张 婷
(中国邮政储蓄银行广东省分行 审计部,广东 广州 510620)
2001年,美国“安然事件”的发生,暴露出上市公司因内部控制缺陷引发财务舞弊与会计造假对国际资本市场带来的巨大冲击与危害,触发了美国“萨班斯法案”的出台,掀开了从监管机构、外部审计、内部评估三个层面强化上市公司内部控制监管的时代。2007年,中国银行业监督管理委员会发布《商业银行内部控制指引》,要求我国商业银行建立健全内部控制体系,并首次对商业银行开展内控自我评估提出了要求。在国家有关部门、银行监管机构的督促和指导下,我国商业银行遵照相关制度规范和行业标准,结合自身实际,开展内部控制评价(以下简称内控评价),取得了较好的成效。历经逾十年的实践,商业银行内控评价仍停留在传统阶段,投入高、产出低的问题逐渐凸显。现从内控评价框架出发,剖析商业银行内控评价实践中普遍存在的问题,以此为基础探寻优化措施。
根据2014年版《商业银行内部控制指引》,内控评价是商业银行对自身内部控制体系建设、实施和运行结果开展的调查、测试、分析和评估等系统性活动。该工作由商业银行董事会指定内部审计部门具体实施,至少每年开展一次。
为了引导、规范国内企业开展内控评价,我国监管部门发布了系列文件。2010年,财政部、证监会、审计署、原银监会、原保监会联合发布了企业内部控制配套指引。其中,《企业内部控制评价指引》对国内A股上市公司内控评价工作提供了标准和依据。2015年,中国人民银行发布了《商业银行内部控制评价指南》,构建了以评价内容为基础,以评价标准、评价方法和评价程序为支柱,最终服务于评价目标的评价框架,为商业银行的内控评价实践提供了更加明确的行业标准。
商业银行是我国金融行业的重要组成部分,充当着信用中介、支付中介和政策中介,发挥着服务实体经济、优化资源配置的重要作用。商业银行的内部控制体系是推进风险管理的基础,关乎自身经营成败,更关系着我国金融系统的安全与稳定。内控评价作为内控管理体系定期自查、及时纠偏的一项重要制度设计,在护航商业银行稳健发展方面具有相当重要的意义。
一是落实监管刚性要求。2014年版《商业银行内部控制指引》要求商业银行建立内部控制评价制度,明确内部控制评价的实施主体、频率、内容、程序、方法和标准,强化内部控制评价结果运用,推动内控评价工作制度化、规范化,以利于促进商业银行不断改进其内控设计与运行。文件要求,商业银行年度内部控制评价报告经董事会审议批准后,于每年4月30日前报送银监会或对其履行法人监管职责的属地银行业监督管理机构。
二是夯实风险防控基础。近年来,经济社会各类风险交织,并不断向银行内部渗透。部分高风险客户通过信用卡、消费贷款等套取银行资金,将风险传导至银行。一些不法分子甚至是银行内部员工参与非法集资、民间借贷等违法违规行为,进一步加大了商业银行的案件防控压力。剖析每一起案件的发生,都对应着银行内部控制的缺位与失效。内控评价着力于查找内部控制缺陷、评估内控体系运行,促进内控机制的建立与持续完善,为商业银行防范化解重大风险奠定了坚实的基础。
三是增强市场竞争能力。互联网金融的出现,给商业银行带来了巨大冲击。商业银行通过加大金融科技投入,拓展线上服务渠道,提供更加细致、便捷、智能的金融服务,以更好地满足客户和市场的需要。新产品、新模式的安全、有效运行,离不开内部控制的支撑。内控评价聚焦内部控制,在推动搭建、改进、优化内控体系方面发挥着重要作用,有助于商业银行在激烈的竞争中及时调整、迅速把握发展机遇。
评价指标体系是评价内容的指标化体现,服务于评价目标的实现。在商业银行内控评价实践中,通常基于COSO内部控制框架,围绕控制环境、风险评估、控制活动、信息沟通、监督反馈五个要素,按照公司、流程、信息科技三个维度梳理风险点和控制点,确定评价内容,形成评价指标体系。由于商业银行经营风险的特殊属性,其内部控制设计具有较强的监管色彩。大到公司层面的人力资源管理、机构管理,小至流程层面的业务操作,都有监管制度规章予以约束。因此,商业银行的内控评价工作习惯性从监管视角出发,侧重于合规目标和外部报告目标,对银行自身的经营目标关注不够,并具体反映在评价指标选取上。缺少服务经营目标的控制指标,无法提供经营目标实现程度的评价结果,限制了内控评价增值作用的发挥,也削弱了管理层对内控评价工作的关注意愿,不利于该项工作的持续开展。
内控评价标准是衡量内控缺陷和控制有效性的重要指标,包括业务标准和认定标准。其中,业务标准是银行各项业务正常运行应当遵守的控制要求,着眼于控制的末梢,即业务流程控制点。总体而言,业务标准包括法律法规、监管政策、本行内控制度、行业最佳实践四个类型。从标准的严格程度来看,法律法规是基本要求,行业最佳实践属于较高标准,而本行内控制度一般处于居中的位置。在业务标准的选择上,普遍的做法是以法律法规、监管政策作为标尺。优点是标准明确且直观,凸显了对内部控制底线和红线的警示作用。不足之处是与银行自身的发展阶段、发展目标结合得不够紧密,对行业最佳实践关注得不够充分,未能有效发挥内控评价对内控体系建设的引领与激励作用。此外,业务标准单一,也会带来评价结果区分度不大、信息内涵不丰富的弊端。
内控评价流程大致可分为计划准备、现场实施、报告编写和整改追踪四个阶段。计划准备阶段,主要包括收集资料、梳理流程、评估风险、建立标准、编制方案、非现场测试等步骤。近年来,为了适应竞争与发展的需要,商业银行提供的金融服务更加综合、产品体系更加丰富。随着业务品种的增加,业务层面的内部控制也随之增加。实践中,商业银行的内控合规部门会组织各部门按照业务产品和管理事项梳理控制流程,汇总形成全行的内控管理手册,并定期更新。在评价准备阶段,审计部门通常以内控管理手册为基础,筛选、编制内控评价指标,并对指标简单赋予权重。内控管理手册全面、系统地呈现了银行各个业务产品和管理事项涉及的控制流程、控制环节及控制对应的风险等级,在一定程度上可以替代梳理流程步骤。但是,内控管理手册无法反映业务品种或管理事项之间的重要性水平。若省略评估风险步骤,容易陷入评价指标体系大而全、评价重点不突出、评价实施费时费力而评价结果却不能有效反映银行内控运行情况的困境。
当前,商业银行开展内控评价主要采取流程描述、控制测试、观察、比较分析等评价方法,由评价人员对照评价测试表具体实施。一方面,评价人员的能力有差别,对评价方法、评价标准的理解和把握存在差异,这些直接影响了现场实施阶段的样本选择、问题认定等环节,并最终影响评价工作质量及评价结论。尤其在财务、工程、科技等专业性比较强的领域。此外,当内部审计资源不够充足时,商业银行也会联合其他条线开展评价工作。与审计人员相比,其他条线的骨干人员对评价流程与工作要求接触较少。且随着评价人员独立性的降低,评价工作的质量管控难度会进一步加大。另一方面,为了提升评价效率,商业银行常常运用非审计条线的考核结果,例如使用案件防控工作考核评估结果作为案件防控管理指标的评价基础。由于考核类指标通常是综合性指标,由多个单一指标组合而成,容易出现同一数据在不同综合指标中相互引用、重复评价的情况,扩大了该数据对评价结果的影响,导致以一概全的问题。
在评价指标选取方面,以COSO-IC(2013)为基本依据,围绕经营目标、报告目标和合规目标这3大目标,由上至下地构建评价指标体系,并随着银行的发展动态调整。一是主动关注经营目标。在计划准备阶段,收集银行年度工作报告和各条线工作指导意见,结合经营管理绩效考核方案,选取与当期经营目标密切相关的事项,梳理关键控制活动,据此设计评价指标。例如,针对近期提出的中间业务发展战略,梳理出职责分工、目标分解、绩效考核、内部监督等关键控制活动,根据工作要求,构建评价指标。二是合理设置分值权重。按照评价指标与评价目标的关联程度,从高至低赋予指标分值权重,确保评价内容重点突出。三是持续更新指标体系。在编制方案过程中,加强与管理层的沟通与交流,充分了解管理层的关注焦点。每年对指标的有效性开展评估,确保内控评价指标体系与企业内控管理和经营发展目标保持较高的契合度。
在业务标准选择方面,保持业务标准与评价目标的对应与统一,进一步丰富业务标准,积极发挥内控评价对内控管理的引领作用。针对服务合规目标的评价指标,如反洗钱、消费者权益保护工作、外汇合规管理等指标,选择法律法规、监管政策作为业务标准;针对服务内部报告目标的评价指标,如内部信息与沟通指标,选择本行内控制度、工作要求作为业务标准;针对服务经营目标的评价指标,如业务转型、现金备付金率等指标,综合选择行业最佳实践、本行内控制度作为业务标准。在运用行业最佳实践标准时,首先要明确标杆机构。可结合本行所处的市场位置,选取与本行业务规模相当,资源禀赋、发展战略相近,且业绩表现突出的同业机构。收集标杆机构对应指标的量化数据,作为业务标准。在标杆机构及标杆数据的选取方面,可参考借鉴管理层日常经营分析材料。通过评价,查找差距与不足,为管理层摸清情况、改进管理提供客观、准确、多维度的参考。
在计划准备阶段,全面收集内外部资料和数据,认真开展风险评估工作,确定控制体系中重要风险点和关键控制点,让评价工作更加有的放矢。一是充分考虑监管关注重点。全面梳理当期监管机构发布的制度规范、监管意见、风险提示和处罚文件,找准监管机构关注的重点领域、重要事项,识别与本机构密切相关的控制要求,纳入评价体系予以覆盖,主动防范合规风险。二是合理运用风险管理成果。持续收集、认真分析本行全面风险管理报告,获取关于银行经营发展战略、业务发展结构、重要风险领域相关的数据信息。在风险评估的基础上,对风险积聚、问题高发的领域和环节投入更多的评价资源。三是融合当期审计监督成果。汇总当期专项审计发现的重大问题,将涉及的管理领域、业务品种、控制环节纳入评价体系。以内控评价为契机,对重大问题开展从点到面的全面排查,着力查明问题背后潜藏的控制缺陷。通过审计监督与内控评价的有效融合,提升内控评价的针对性。
在评价实施阶段,持续改进评价方式,不断夯实评价管理,能有效提升评价质效。一是强化科技支撑。利用信息系统和科技手段,加大非现场评价比重,逐步实现评价测试从局部抽样向全样本的转变,将有助于提升评价工作的全面性与准确性,避免因评价人员能力的差异,影响评价结果的客观性。二是加强队伍建设。建立内控评价人才库,涵盖审计人员和非审计人员,明确入库标准,保障队伍质量。根据评价人员的工作经历与专业特长,开展评价分组和工作分工,尽量做到各组实力相当、组员各尽其用。扎实做好评前培训,将评价思路和评价方法讲明讲透。落实评价考评,并据此动态调整人才名单,督促评价人员履职尽责。三是推进成果共享。在设置内控评价指标体系时,充分借鉴、合理利用评价期间内部监督结果,避免重复检查和资源浪费。认真分析内部检查发现的问题,引用符合评价标准的问题,并对控制缺陷进行认定。审慎使用其他条线的综合性考评结果。使用前,应充分考虑指标相互引用的影响,适当调整指标权重,纠正影响偏差。
综上所述,面对日益复杂的外部形势和激烈的市场竞争,商业银行开展内控评价既是落实监管的强制要求,也是稳健发展的内在需要。内控评价工作要围绕控制目标设计评价指标,提升与银行经营目标的契合程度;区分不同类型指标,优选业务标准,实现评价目标与评价标准的对应与统一;通过充分关注监管风险,合理利用风险管理、专项审计成果,提升评价的针对性与有效性;在科技支撑、队伍建设和成果共享上下功夫,多措并举推动内控评价质效持续提升,为商业银行的行稳致远提供更加有力的保障。