（精选）基层金融机构内部控制问题研究

《（精选）基层金融机构内部控制问题研究》由会员分享，可在线阅读，更多相关《（精选）基层金融机构内部控制问题研究（19页珍藏版）》请在金锄头文库上搜索。

1、基层金融机构内部控制问题研究 稽核评价金融机构内部控制状况 按语： 在上个世纪九十年代，人民银行曾经组织了“中国金融稽核监督研究会”，该研究会主办过一个月刊，名为金融稽核监督研究。这个月刊编辑了一个“金融稽核监督实务系列讲座”，1999年该刊物第一期在这个栏目里刊登了杨海群博士的下述论文，文章运用国际先进内控理论和原理，提出了一套稽核评价金融机构内部控制的标准和方法，不仅促进了当时金融机构的内部控制及其稽核工作，而且积极支持了中央银行对我国金融机构内部控制进行检查评价的政策的制订。2021年4月成立的中国银行业监督管理委员会后来专门制订了有关规定，在2021年2月1日起施行商业银行内部控制评价

2、试行办法，那个文件也基本参照了coso的内部控制理论框架。杨海群博士当时应邀在银行家杂志发表了一篇评论，支持了银监会的那个文件，同时进一步阐述了评价内部控制的标准和方法。时隔一个世纪，上述那份有益的研究刊物早已停刊，但是稽核评价金融机构内部控制状况仍然是一项非常重要的工作。为了促进这方面的研究和工作，也便于大专院校的学生学习商业银行管理的有关课程，笔者将原文转载于此，并欢迎读者批评指正。 金融稽核监督实务系列讲座 第七讲稽核评价金融机构内部控制状况 转变经营观念，增强内部控制意识，提高管理水平，是我国金融机构向商业化金融机构转变的基本前提，那种坚持传统的管理方式，或片面以改革取代控制的观念，都

3、已经被实践证明是有害的。 金融机构的稽核工作从对所有帐表资料进行全面审查的传统方式发展到对内部控制系统进行测试和评价是必然趋势。这样做有两个好处，一方面，确定的稽核重点能抓得准，有利于提高工作效率和质量；另一方面，通过对内控系统的评价，有利于建立健全自我约束机制，促进金融机构管理制度的完善和经营效益的提高。 一、要更新稽核的观念 长期以来，内部稽核囿于核查帐目和会计凭证，主要是看帐实、帐帐，帐款是否相符。而稽核评价内控就有必要采取新的方式。一是对内控制度本身的检查评价，二是对内控制度 1 执行情况或对内控活动的检查评价。而这些检查和评价又分为各业务部门的自我检查与评价以及稽核部门对上述部门的再

4、监督。稽核是金融机构内部控制的重要组成部分和综合管理部门，但稽核又是相对独立的。 搞清内控的含义，内控的目的.是组织好稽核评价的前提。内部控制的概念经过了由“部分控制论”向“全部控制论”的发展。“部分控制论”认为内控仅包括内部会计控制和稽核两部分。这种认识的缺陷是，内控只与一个单位资产管理有关，而与行政、业务管理无关。“全部控制论”克服了这个缺陷，认为内控内容渗透到经营的各个方面和管理的全过程。 关于内控的目的，一种是“三目的论”，此种理论认为，内控是为了保护单位的财产，会计记录的准确可靠和及时提供可靠的财务信息。一种是“四目的论”，它认为，内控除了保全资产和检查财务资料的准确可靠性以外，更重

5、要的是执行管理政策，提高经营效益和效率。 上述内控理论的演进给金融机构稽核部门的启示在于，对内部控制的检查评价应有别于传统的稽核思路，目的要明确和全面，检查和评价要完整和深入。 对内部控制的检查评价离不开对内控的正确理解，美国权威机构coso提出了简明透彻的内控定义： 内部控制是一种为合理保证实现下述三大目标的程序： （一）经营的效果和效率； （二）财会报告的可靠性； （三）符合法律和规章制度。 这是一种。全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。为此.稽核部门要参照有关法规和实施细则，设定一些具体的标准.认真考察被稽核单位的内控系统，看其是否合理地确保了这些目标的实现。

6、如果不能，总是可以从内控的某些方面找出问题的。 国际上已经将内部控制各环节划分为以下几个下几个方面 （一）控制环境是推动控制工作的发动机，是其他内控组成部分的基础。它奠定组织的体系和结构，涉及所有活动的核心人，特别是人的控制觉悟。 （二）风险评估。是识别和分析那些妨碍实现经营管理目标的困难和因素，对风险的分析评估构成风险管理决策的基础。 （三）控制活动。是为了合理地保证经营管理目标的实现，指导员工实施管理指令，防范和化解风险而采取的政策和程序。包括高层检查层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。 2 （四）信息与交流。存在于所有经营管理活动中.使员工得以搜集和变换为开展经营

7、、从事管理和进行控制等活动所需要的信息，包括管理者对员工的工作业绩和经常性评价。 （五）监督评审。是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制的再监督与再评价活动的总称。 以上五大组成部分与三大目标有机地相结合，构成了内控的完整体系。稽核人员应适应形势，转变观念，从上述三大目标出发.去考察被稽核单位的五大组成部分的各个方面看是否建立了健全的内控制度t而且.这些制度是否得以认真贯彻实施。稽核检查的方法和评价的标准也应当沿着这条思路，按照这个有机结合的整体去设计。 二、评价标准 评价内控制度本身及其执行情况都要有标准。 （一）对内控制度建立的评价标准：过去人们也从一般的意义上谈论过内

8、控制度。我们认为，现代内控制度（包括与制度有关的规定和实施细则）的建立，应当遵循下述标准，而这些标准又为对内控制度的稽核提供了依据： 1.有央行政策法规和现代内控理论指导。所谓“现代”就是用最先进的内控理论，而不是闭门造车或随意拼凑出来的： 2.形成完整的和有机结合的体系，而不是规章制度零散不齐的拼凑，控制系统无逻辑关系。 3.控制方法的先进性和可操作性，既有中国特色，又能够同国际接轨。 4.能够计算机化.以便于规范存储和分析检查。 从这些标准出发去稽核.一个单位不是有了一些规章制度就说明有了完整和适当的内控制度.也不是那些适应传统体制（例如专业银行体制）的内控制度都能适应现代化商业银行的发展

9、需要。稽核部门应该检查和评价被稽棱单位是否依据上述标准建设其内控制度。客观地说，我国金融机构的内控制度距离上述标准还相差甚远，稽核的任务正是促使它们整章建制，不断改进和完善其内控制度。 （二）对内控制度执行情况的评价标准： 对内部控制的稽核也是对内控制度执行情况的稽核。这恰恰可以从内控制度的五大组成部分的内容人手去检查和评价。评价的标准可以依据各组成部分的内容（即各种要素）来制定。 l.控制环境：评审人员应理解控制环境的含义，列出控制环境的要素，根据每一要素，判定被检查单位是否存在积极的控制环境。例如： 3 （1）从价值观看人的道德观念。检查行为守则的制定和执行.业务操作方法的规范，对违背公共

10、利益的活动的限制，评价职员的道德与精神文明行为等。 （2）激励与诱导机制。检查引导员工和各级管理层的激励机制，不实现工作目标将得到何种惩处，物资刺激的效果。 （3）检查管理者从思想上和精神上指导员工的情况。 （4）对工作能力的承诺。检查实际工作任务的说明和工作所需要的知识和技能的分析。 （5）管理哲学和经营作风。检查管理者的风险意识，高级管理人员和业务经营者相互干扰的频率，对财务报告采取的行为和态度。 （6）组织结构。检查组织结构的合理性和其提供信息的能力.主要管理人员的责任以及他们的知识和经验。 （7）有关授权与责任方面的制度规定。检查与控制有关的标准和程序的合理性员工数量的合理性及其技术水

11、平。 （8）人事政策和做法。检查招聘、培训、晋升、补偿方面的政策和程序，候选员工的背景t员工留任或提升的标准是否充分。 （9）董事会或审计委员会；检查审计（稽核）委员会的独立性，向董事会或审计（稽核）委员会提供信息的时效和充分性.稽校部门对管理目标和战略进行监督的效果。对财务状况和经营成果进行的评审.以及向董事会或审计（稽核）委员会报告敏感性信息和不轨行为（包括高级管理官员）的时效和充分性。 在控制环境方面稽核应着重注意的主要问题是。管理层是否向各方人员充分说明了在内控完整性方面不允许磨梭两可。是否存在积极的控制环境。是否在整个组织中具有控制觉悟或自觉控制的态度。高度管理层的内控基调是否积极。

12、单位员工的能力是否与他们的责任相匹配。管理层的经营风格、授权、责任、组织与业务发展的方式是否适当。董事会或审计（稽核）委员会是否给予内控以充分的注意。 2.风险评估：评估人员要集中注意在设立目标、分析风险和管理变化诸方面的管理程序，包括管理与业务活动之间的联系以及相关问题。例如： （1）目标：经营目标、财会报告目标和合规性目标可以分解为全行范围的整体目标和业务活动的分项目标。稽核人员可以从以下方面去检查评价： 单位整体目标。检查对整体目标说明的充分性和针对性，以及其传达的时效性，各项战略、业务计划、预算与单位整体目标的关系。 4 业务活动中的具体目标。检查与单位整体目标和战略计划之间的关系，与

13、所有重要的业务程序之间的关系，各业务活动目标之间的相互关系，业务活动目标的针对性，实现目标的资源是否充分，整体目标中至关重要的活动目标的认定，在目标设定上各级管理部门的参与情况及其承担的责任。 目标的交叉（或相互支持）、联系和实现。 （2）风险。稽核人员应检查和评价对阻碍目标实现的各种问题和因素的识别、分析和管理。要点如下 风险识别。包括识别全行的风险和业务活动中的风险。风险的内部要素和外部要素。 风险分析。估量风险的重要性，概率和额率，以及研究如何管理风险。检查风险分析是否透彻和恰当。 对由变化产生的风险的管理。包括识别变化的机删和预测风险。检查预见和识别风险并对此作出反应的机制.特别是对重

14、要变化作出行动反映的机制。 稽核人员在风险评估方面应注意的主要问题包括： 是否制定了单位的总体目标和业务活动目标。二者之间是否衔接好了。是否识别和评估了影响目标实现的内部和外部的风险。对影响实现单位目标自识别机制是否已经建立了。是否按需要调整了各项政策和工作程序。 3.控制活动。管理人员为每一重大活动设定目标，并针对与这些目标相关的风险发布控制指令。评审人员必须在这个前提下评价控制活动。 （1）在风险的管理方面应检查。是否与风险评估联系起来，恰当地实行了控制，控制活动能否保证管理指令的执行，是否针对每一重要业务活动（包括对计算机信息系统）实行了整体性控制。 （2）应检查和评价控制活动所采取的各

15、种形式.例如。高层次检查工作的情况，管理人员的管理活动，检查交易的准确性、完整性和授权.资产的实物控制和定期核算.经营或财务方面的工作指标的确定.员工职责的划分，以及政策的制定及其实施的程序。 稽核人员在控制活动方面应着重注意的主要问题是。是否通过控制活动确保了所制订的政策的执行。是否采取了措施来防范和化解相关的风险。单位的每项经营管理活动是否都得到了适当的控制。 4.信息与交流；应检查和评价信息部门是否特别注意以评价监督方式工作.严格从会计数据中产生预警信号.保持管理信息的真实性、连贯性。 5 （1）信息方面.应检查各部门是否注意、获取和报告内外部信息，向适当的人按时提供足够详细的信息，根据信息系统的战略发展计划修改信息制度，对信息系统的支持程度（包括适当的资源一人力和资金）。 （2）在交流方面，应检查内外部交流的情况。例如， 内部。在员工职责和控制责任方面的交流效果，报告可疑和不轨行为和事件的交流渠道，管理层接受员工改进办法的建议