商业银行内部控制评价工作探讨

来源:用户上传      作者: 黄柯

　　 随着银行业内、外部环境越来越复杂、多变，监管部门近些年来先后颁布了多项银行业内部控制方面的指引、评价办法，以促进银行业提升风险管理水平。人民银行早于20世纪90年代即已颁布过金融机构内部控制指导性文件，银监会2004年则颁布了《商业银行内部控制评价试行办法》（2005年起实施）、2006年6月颁布的《银行业金融机构内部审计指引》、2007年颁布实施了《商业银行内部控制指引》，财政部、证监会、审计署、银监会、保监会于2008年联合颁布了《企业内部控制基本规范》，自2009年7月1日起在上市公司范围内施行。 在商业银行内部，各层级管理和经营机构也不断认识到内部控制的重要性，尤其对于银行案件防控及健康发展所具有的重要意义。银行内部建起了多道防线实施内部控制，并由专门的部门定期对银行内部控制状况进行评价。本文尝试结合对内部控制有关问题的思考，围绕商业银行内部控制评价工作进行探讨，希望能对促进银行业内部控制评价工作以及整体内部控制水平提升有所帮助。
　　
　　内部控制健全性、有效性如何评价
　　内部控制的健全性和有效性是银行内部审计部门主要审计事项之一。参考《商业银行内部控制评价试行办法》，内部控制的“有效性”主要是指“控制措施”是否有效，即针对银行经营管理活动特定过程中的风险所设计的控制措施，是否能被执行并控制该风险。内部控制健全性，是指所有过程及其存在的风险是否均已被识别，并针对这些风险点均设计了有效的控制措施。要对控制是否健全做出判断，评价人员必须具备一定的内部控制专业知识和经验自不必说，对被评价机构业务范围、业务状况有充分的了解也是基本条件之一。下面以授权体系控制评价为例，说明这一基本条件对于评价内控是否健全的重要性。
　　授权控制是防止分支机构超越权限开展经营活动的重要措施之一。它不仅限于对被授权人审批、交易额度等控制，对于银行而言，涉及外部法律关系的重要事项同样需要实施授权控制，如以银行名义对外签订经济合同、协议等等。有权人一般以书面授权书方式明确限定被授权人的权限。在与外部发生法律纠纷时，相关业务合约签字人是否被授予相应权限，会被用于认定该合约是否存在瑕疵。而授权书一般由银行内部负责授权管理的部门按年度起草，并经有权人签发生效。
　　近年来，银行新业务不断出现，需要实施授权管理的业务范围及环节也随之不断增加。如在对分支机构负责人签发年度授权书时，对于传统的授信业务，授权书会明确授予其业务办理及相关的对外签约权限，但非授信业务类的经营活动，如提供服务、租赁房屋、采购物品等，相关的签约权限却容易被忽略。而分支机构负责人思想上主观地认为上级授予的权限自然包括了所有与业务开展相关的签约权限，造成与客户签订非授信业务相关协议时，签字人无权限，构成合约瑕疵。
　　产生上述现象的原因，一方面是负责起草授权书的部门未充分了解分支机构业务范围的变化，每年基本依据上年的授权事项起草当年的授权书，从而授权书中对新的控制事项有所疏漏；另一方面，分支机构负责人授权控制意识不够，未能在日常工作中时时关注授权控制要求。
　　通过上面这个例子的分析可以看出，了解被评价机构开办的全部业务品种、开展的全部经营管理活动，对于评价其内控健全性非常重要，是开展健全性评价的基础。如果评价人员仅就被评价机构既有的控制措施（如例子中的授信业务签约授权）开展检查测试，则可能导致对被评价机构内控健全性认定结论的偏差。但由于各行管理方式不同，需视各自情况决定通过何种方式获取这些信息。
　　
　　内部控制评价是否应该与合规、风险审计结合实施
　　传统的银行内部审计工作主要针对经营管理中的合规性，即检查、核对各项业务是否按规定办理，这一般也是银行管理层对传统内部审计工作提出的基本要求。但随着银行经营、管理复杂性的不断提升，无论是银行管理层还是股东，更希望内部审计工作不仅是发现、提出合规性问题，而是能够站在独立的立场上揭示经营管理中更深层次的问题，比如针对风险状况、内部控制状况，甚至经营状况提供更有价值的管理建议。
　　银监会《银行业金融机构内部审计指引》中列示的内部审计机构的主要工作事项，也不仅仅局限于合规性内容，还包括了如前所述的“内部控制的健全性和有效性”；以及“风险状况及风险识别、计量、监控程序的适用性和有效性”；“机构运营绩效和管理人员履职情况”等共七项。
　　但除合规性审计以外的其他审计事项，对于传统的银行内部审计而言都属相对较新的内容（履职情况审计也在遇到“问责”环节时成为较新的课题），在实际工作中，容易发生不事先界定审计事项并进而制定针对性的审计方案，而是将多种审计事项融合在一个审计项目中的现象，也就是每次审计顾及多个审计事项。在内部控制评价工作中，也容易发生这种状况。
　　其实，《银行业金融机构内部审计指引》单独列示了合规性审计、风险状况审计与内部控制评价等七个审计事项，对于审计项目管理而言，各个审计事项均应有各自专门的审计目标、审计重点，也应有各自专门的审计程序、审计方法。将这些本应独立的审计事项融合在一个审计项目中，难免目标、重点偏离。具体实施审计时，查到什么就提什么，就在审计报告里写什么，形成的审计报告也难免缺乏针对性、系统性，给审计报告使用者利用审计结果带来不便，审计工作效果难以保证。
　　具体到内部控制评价工作，如果融入业务合规性、风险性审计内容，评价测试人员往往不能专注于内部控制要素，不得不更多地花费时间、精力于具体业务的合规性或风险状况的分析、判断，这样就会发生上述审计重点偏离、报告内容缺乏针对性、系统性等状况。
　　当然，在内部控制评价过程中，必然会涉及到合规方面和风险管理方面的内容，但应该从控制的角度去开展测试、评价，去审视被评价机构内部控制建设部门是否建立了针对风险的控制措施、执行部门是否执行了这些针对风险的措施、合规部门是否开展了合规性检查等。而不是针对某笔业务是否合规，或者风险到了什么程度去做判断。
　　存在不合规业务、风险较大业务，并不一定与控制失效划等号――控制有效指风险点有相应的控制措施，控制措施得到执行，而措施的执行是由岗位上的“人”完成的。也正因如此，对业务合规性、风险程度的判断，不应成为内部控制评价工作的目标和内容。内部控制评价工作的目标和内容是检验风险点上的控制措施是否得以执行，以保证业务流程的整体抗风险性能。而个别业务的措施执行效果（决定个别业务的合规性、风险性），应通过合规性、风险性、履职情况等方面的审计去审验。
　　内部控制评价工作与其他审计事项结合开展会产生一系列的弊端，如精力分散、重点偏离、结果不便利用等等，也会给审计项目管理造成不利影响。当然，在特殊情况下，几个审计事项结合进行并非完全不可行，但应该界定清楚每个审计事项的目标、重点和程序，还需要有较强大的项目总体协调。
　　
　　评价准备工作是否那么重要
　　开展内部控制评价工作，必然先设计一套测试表，列出要测试的项目（控制点），后面的符合性测试则依据测试表项目，抽取被评价机构样本来实施。测试表项目的设计及抽样对能否得出恰当的评价结论，是两个非常关键的因素，也是评价准备工作的重要内容。
　　测试表项目设计的合理性影响评价结论
　　正如前面举过的授权控制的例子，如果对被评价机构的经营管理情况不够了解，不清楚该机构业务范围，都办理了哪些业务，则可能导致测试表项目不全面，漏掉重要控制点、控制措施的测试，也形成测试、评价结论不够全面的审计风险。因此，评价前必须开展充分的准备工作收集被评价机构的业务、管理信息。

　　设计项目全面的测试表，不仅要考虑被评价机构的业务范围，还应特别注意另外一种情况，就是被评价机构的业务流程与总行统一的业务流程之间是否存在差别，控制点、控制措施是否完全一致。
　　银行成文的业务流程是各项业务处理的规范依据，也是内部控制措施的重要组成部分。一般情况下，商业银行总行会在开办业务之前颁布包括一定的控制措施内容在内的该项业务的管理规定、操作办法，以规范该项业务流程所涉及的各项操作，实施对该项业务的控制。但总行出于地区特点的考虑，一般仅规定全行层面适用的内容，不一定细致到每一个岗位或每一个环节的操作，就算是细致到每一个岗位的操作，也只能针对执行总行统一岗位设置标准的分支机构。
　　但银行各分支机构由于所处的监管环境、发展阶段等方面的差异，其内部组织架构和岗位设置的繁简程度、业务和管理活动过程中的关系人（银行内部与外部）会有所不同（如有的分支机构有自己的金库，而有的分支机构没有）。而内部控制必然涉及分支机构内部组织架构、岗位设置以及每项业务和管理活动的具体操作流程，所以，分支机构业务和管理活动的实际操作流程一般要比总行颁布的流程更为复杂，或与总行的流程有一定的差异，控制措施也相应会有不同的内容。
　　但在很多分支机构甚至有些评价人员的观念中，总行颁布了相关业务流程，分支机构不需要再制订本辖区的管理规定，一定是遵循总行规定开展业务和管理活动，他们忽略了分支机构差异化部分的操作，而这部分差异化的操作往往是内部控制的关键。这种观念在内部控制评价工作中，导致未针对分支机构每项业务和管理活动的全流程设计测试项目，也往往在实施测试过程中忽略掉分支机构的特色流程。
　　举个例子说明一下，比如总行要求分支机构统一保管印章，并制定了相关的保管规定、使用流程以及相应的控制措施。但部分机构由于离统一保管机构距离太远，因此经申请获得自行保管的批准。虽然总行制定了印章管理相关规定和控制措施，但这些自行保管印章的分支机构显然不能适用，它们的岗位设置（职责）必然有其特殊之处，涉及具体的保管、使用流程也与总行统一模式有所差异。所以，它们必须针对其特有的业务流程识别控制点，并制订控制措施。内部控制评价人员也必须设计它们所适用的测试项目。这样的事例不胜枚举，测试表设计过程中必须充分考虑。
　　所以，评价准备阶段应在了解被评价机构业务范围的同时，还应对其规章制度进行收集、整理，掌握其主要业务的流程，以便针对性地设计或在总行统一测试项目中选择包括其特色流程在内的适用项目开展测试、评价。
　　符合性测试抽样的科学性同样会对评价结论产生重大影响
　　如果抽取的样本不具代表性或样本量不恰当（如过少），同样可能导致测试、评价结论不准确的审计风险。仍以抽样中问题会比较突出的授信业务为例。评价测试组出于简化抽样程序等方面的考虑，可能会在被评价机构某时点有余额的贷款户中，按一定比例抽取若干“户数”金额较大的贷款作为样本进行测试。不仅如此，还会以全部抽取的样本作为贷款业务测试的样本总量，据以计算贷款业务每一控制点的控制措施执行率并进行最后的评分。
　　但需要指出的是，上述抽样方式，未按每“笔”贷款区分担保方式的类别（每户贷款项下可能发放多笔不同担保方式的贷款），而且担保方式不同的贷款业务，需测试的控制点、控制措施也有所不同，这样抽取的样本不一定适用于每个需要测试的控制点。如，抵押贷款的控制点中应包括押品权利凭证入库环节，如欲测试这一控制点执行情况，必须从经营机构发生的抵押贷款中抽取样本。而上述抽取若干户的抽样方法，很难区分出这些贷款项下每笔贷款的担保方式。当测试中发现几笔贷款押品入库控制措施未得到执行时，测试组如果以这些措施未被执行的贷款笔数或户数占此次测试全部样本总“户数”的比例扣分，也就会造成控制措施执行率计算较明显的偏差。因为上述抽样方法产生的样本并不一定每一户都是抵押贷款，即使每一户项下都包含抵押贷款，但每一户项下仍可能有多笔担保方式不同的贷款。
　　还有一点值得注意，样本抽取应依据业务或管理活动发生的频率，而如果仅选择有余额的或金额大的业务作为样本则样本代表性会受到影响。因为业务处理过程与业务金额大小没有必然因果关系，已经结清的业务在某些情况下更能反映出评价期间控制措施执行状况。
　　为了合理确定样本，需要在实施测试前，开展充分的准备工作，必须根据测试项目，对被评价机构一段期间内（评价期间）发生的业务和管理活动频率（而不是额度规模）进行统计分析，并进行细致分类整理，按类别统计样本量。以保证抽取的样本并非时点性的，而是能够代表普遍情况的，同时，全部测试点均有适用的样本。
　　由此可见，内部控制评价准备阶段工作至关重要，是决定评价工作能否顺利开展、获得准确评价结论的基础，有大量细致的工作需要完成，不容草率。
　　商业银行内部控制是一个涉及面广、专业性强、意义重大的领域，内部控制评价也是一个较为复杂的过程，实践中难免会遇到各种各样的问题，有待探讨的课题很多。本文仅就评价工作中常会遇到的几种现象进行了探讨，希望对促进商业银行内部控制评价工作更加科学地开展以及商业银行内部控制整体水平不断提升能有所帮助。
　　（作者单位：中国民生银行审计部）
　　

转载注明来源:https://www.xzbu.com/3/view-757007.htm