内部控制是管理现代化的必然产物。而内部控制的产生和发展,促使了审计工作从详细审计发展成为以评审内部控制为基础的抽样审计。因此,现代审计与内部控制之间存在着密切的联系。在审计过程中,首先要评审被审计单位的内部控制——这是现代审计的一个十分重要的特征。
一、金融内部控制的含义
关于内部控制(Internal Control)的概念,中外学者表述颇多,观点各异。我们认为,所谓内部控制,是指单位为实现经营目标而制定并实施的一系列相互联系、相互制约的程序、措施、手续和方法的总称。它是一个属于管理的范畴,是市场主体强化管理的一种自律行为。
金融机构为了有效地防范和化解金融风险,维护正常的金融秩序,除了实行严格的金融监管之外,自身必须健全有效的内部控制体系。内部控制是金融机构的一种自律行为。中国人民银行颁布的《加强金融机构内部控制的指导原则》将金融内部控制定义为:金融机构内部为完成既定的工作目标和防范风险,对各职能部门及其工作人员从事的业务活动进行风险控制,而制定的管理方法、措施和程序。
上述定义反映了:内部控制是一个管理过程,这个过程主要由控制环境、风险评估、控制活动、信息交流、质量监督等环节构成。内部控制不仅仅是银行的各种规章制度,其机制的运作要依靠银行的管理层和全体员工来完成,所以必须贯彻“以人为本”的管理思想。内部控制制度无论设计得多么完整,机制无论运作得多么顺畅,它给银行提供的只能是基本的保证,而非绝对保障。内部控制用于实现银行的战略目标,即经营管理的有效性、财务报告的可靠性和现行法律的遵循性。
关于内部控制,国外多讲“内部控制”,国内多言“内部控制制度”。其实,内部控制与内部控制制度是两个概念,不能混用。内部控制制度是为了进行内部控制而建立的各项规章制度,是内部控制的具体体现,或者说内部控制制度是一个企业在其内部所建立的关于内部控制的制度群。所以,内部控制制度不是一种单一的制度,而是包括了企业单位内部所建立的各项规章制度。由此不难理解,当一个单位所制定的规章制度还是零散而不系统的时候,它们还不构成严格意义上的内部控制制度。只有当一个单位全面制定了有关的规章制度,并且它们之间相互配合、相互补充、相互促进,组成一个较为完整的体系时,才构成严格意义上的内部控制制度。
谈到内部控制,与之密切相关的另一个重要概念就是内部牵制。实际上,内部控制是由内部牵制发展而来的。所谓内部牵制,是指为了防止和及时揭露经济活动中的错弊行为,对任何一项经济业务的处理,都要经过两个或两个以上的部门或人员分工掌管,以使其之间相互联系、相互制约的一种机制。以内部牵制为主要内容而建立起来的有关相互联系、相互制约的各项规章制度,即称内部牵制制度。内部牵制的核心是合理分工,关键是相互制约。故而,内部牵制有两条基本原则:一是不允许任何一项经济业务由一个人从头到尾包办到底;二是每个人所从事的工作都必须受到其他人在其履行职责时的检查核对,通过这种检查核对,可以减少乃至杜绝错弊的发生,即使一方有错弊,另一方亦可以及时发现并予以纠正。内部牵制制度由来已久,几乎与会计制度同时产生。凡是健全的会计制度,都包括内部牵制制度。最初,内部牵制只是用来对钱、账、物等进行管理的一种方法。如:银行业中广泛采用的钱账分管、双人临柜、双人押运、换人复核、印押分管等等,都是行之有效的内部牵制的具体做法。后来,内部牵制的基本原理逐渐地被应用于企业管理的各个方面,从而形成管理企业所不可缺少的重要手段——内部控制。
由此可见,内部控制是内部牵制的进一步发展,内部牵制是内部控制的重要组织部分,并且,内部牵制可以在一定程度上反映出内部控制的优劣。如果一个单位的内部牵制尚不健全,那么,它就肯定不会有健全的内部控制。
二、内部控制的目标和原则
(一)内部控制的基本目标
金融内部控制的基本目标主要有四:
1.监督实施目标,即确保国家法律规定和金融机构内部规章制度的贯彻执行
这是金融内部控制的第一目标。因为依法经营是防范金融风险的前提和基本保障,而执行内部控制则是规范操作、统一管理的有效保证。
2.自身发展目标,即确保金融机构发展战略和经营目标的全面实施和充分实现
任何理智且有远见的金融机构都会根据自身情况和市场条件来制定相应的发展战略和经营目标。而内部控制的目标之一,就是要保证发展战略和经营目标的全面实施和充分实现,否则,就很难在激烈的竞争中生存和发展。
3.风险控制目标,即确保风险管理体系的有效性
对金融机构而言,风险既预示着挑战,又影响其竞争能力,并影响其维持融资的能力及保持和提高其服务水平的能力。而目前我国金融机构的风险管理还是一个薄弱的环节,因此,内部控制应当确保风险管理体系的有效建立和正常运行。
4.稳健经营目标,即确保业务记录、财务信息和其他管理信息的及时、真实和完整
及时、真实和完整的业务记录、财务信息和其他管理信息,是金融机构正确掌握和评价其经营管理效果的前提,也是按照有关法律法规的规定进行有效信息披露的基础,因此,也是内部控制的重要目标。
(二)内部控制的基本原则
建立金融内部控制,应当遵循一定的原则,以保证内部控制的科学、合理和切实可行。这些原则主要包括:
1.全面性原则
内部控制应当渗透到商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,不能留有任何死角和空白点,真正做到“无所不控”,并由全体人员参与,任何决策或操作均应当有案可查。
2.审慎性原则
内部控制应当以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求。
3.有效性原则
要使内部控制充分发挥其控制作用,在各部门和各岗位得到贯彻实施,建立的内部控制必须具有有效性,即内部控制应当具有高度的权威性,要真正成为所有员工严格遵守的行动指南,任何人(包括董事长、行长、经理)不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够得到及时反馈和纠正。
4.相对独立性原则
内部控制渗透到业务过程中的各个环节,它控制的是整个经营过程,因而与业务过程密不可分。从整个业务过程来看,各个环节都是整个业务的一部分,它们之间在操作上具有连续性;从控制上来看,各个环节的操作又是相对独立的,它们之间是相互核对、相互牵制的关系。因此,在建立业务过程内部控制时,要保持各个环节的相对独立性,即坚持相对独立性原则。这一原则要求,内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
5.及时性原则
及时性原则是指内部控制的建立和改善要跟上金融业务和形势发展的需要。开设新的业务机构或开办新的业务种类,必须树立“内控先行”的思想,首先建章立制,采取有效的控制措施,即使在金融创新的领域,也不能由于法律没有规定或监管当局没有要求而不采取必要的控制措施。
三、内部控制的要素
金融内部控制应当包括以下要素:
(一)内部控制环境
内部控制环境是指对内部控制的建立和执行过程有重大影响的各种因素的总称。内部控制环境的好坏直接决定了金融机构内控机制实施的效果。具体来讲,内部控制环境的建设应当注意以下几点:
(1)应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构,为内部控制的有效性提供必要的前提条件。
(2)董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。
董事会负责审批商业银行的总体经营战略和重大政策,确定商业银行可以接受的风险水平,批准各项业务的政策、制度和程序,任命高级管理层,对内部控制的有效性进行监督;董事会应当就内部控制的有效性定期与管理层进行讨论,及时审查管理层、审计机构和监管部门提供的内部控制评估报告,督促管理层落实整改措施。
高级管理层负责执行董事会批准的各项战略、政策、制度和程序,负责建立授权和责任明确、报告关系清晰的组织结构,建立识别、计量和管理风险的程序,并建立和实施健全、有效的内部控制,采取措施纠正内部控制存在的问题。
监事会在实施财务监督的同时,负责对商业银行遵守法律规定的情况以及董事会、管理层履行职责的情况进行监督,要求董事会、管理层纠正损害银行利益的行为。
(3)应当建立科学、有效的激励约束机制,培育良好的企业精神和内部控制文化,从而创造全体员工均充分了解且能履行职责的环境。
(二)风险识别与评估体系
风险的识别与评估是提高内控效率和效果的关键。金融机构要清楚在其经营管理过程中,每一重要业务活动会出现哪些风险,在对其予以分类的基础上,确定内部控制的重点。具体来讲,风险识别与评估体系的建设应当注意以下几点:
(1)应当设立履行风险管理职能的专门部门,制定并实施识别、计量、监测和管理风险的制度、程序和方法,以确保风险管理和经营目标的实现。
(2)应当建立涵盖各项业务、全行范围的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。
(3)应当对各项业务制定全面、系统、成文的政策、制度和程序,并在全行范围内保持统一的业务标准和操作要求,避免因管理层的变更而影响其连续性和稳定性。
(4)设立新的机构或开办新的业务,应当事先制定有关的政策、制度和程序,对潜在的风险进行计量和评估,并提出风险防范措施。
(5)应当建立内部控制的评价制度,对内部控制的制度建设、执行情况定期进行回顾和检讨,并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。
(三)内部控制措施
内部控制措施是内部控制建设的核心内容。具体来讲,内部控制措施的建设应当注意以下几点:
(1)应当明确划分相关部门之间、岗位之间、上下级机构之间的职责,建立职责分离、横向与纵向相互监督制约的机制。涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。
(2)应当根据不同的工作岗位及其性质,赋予其相应的职责和权限,各个岗位应当有正式、成文的岗位职责说明和清晰的报告关系。关键岗位应当实行定期或不定期的人员轮换和强制休假制度。
(3)应当根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济环境和业务发展需要,建立相应的授权体系,实行统一法人管理和法人授权。授权应适当、明确,并采取书面形式。
(4)应当利用计算机程序监控等现代化手段,锁定分支机构的业务权限,对分支机构实施有效的管理和控制。下级机构应当严格执行上级机构的决策,在自身职责和权限范围内开展工作。
(5)应当建立有效的核对、监控制度,对各种账证、报表定期进行核对,对现金、有价证券等有形资产及时进行盘点,对柜台办理的业务实行复核或事后监督把关,对重要业务实行双签有效的制度,对授权、授信的执行情况进行监控。
(6)应当按照规定进行会计核算和业务记录,建立完整的会计、统计和业务档案,妥善保管,确保原始记录、合同契约和各种报表资料的真实、完整。
(7)应当建立有效的应急制度,在各个重要部位、营业网点等发生供电中断、火灾、抢劫等紧急情况时,应急措施应当及时、有效,确保各类数据信息的安全和完整。
(8)应当设立独立的法律事务部门或岗位,统一管理各类授权、授信的法律事务,制定和审查法律文本,对新业务的推出进行法律论证,确保每笔业务的合法和有效,维护银行的合法权益。
(四)信息交流与反馈
金融机构的内部控制是否有效,信息交流与反馈是否及时、顺畅起着相当重要的作用。具体来讲,信息交流与反馈的建设应当注意以下几点:
(1)应当实现业务操作和管理的电子化,促进各项业务的电子数据处理系统的整合,做到业务数据的集中处理。
(2)应当实现经营管理的信息化,建立贯穿各级机构,覆盖各个业务领域的数据库和管理信息系统,做到及时、准确提供经营管理所需要的各种数据,并及时、真实、准确地向中国人民银行报送监管报表资料和对外披露信息。
(3)应当建立有效的信息交流和反馈机制,确保董事会、监事会、高级管理层及时了解本行的经营和风险状况,确保每一项信息均能够传递给相关的员工,各个部门和员工的有关信息均能够顺畅反馈。
(五)监督评价与纠正
内部控制是一个“动态”的系统,不论是制度的制定、执行,还是最终的评判,均需要恰当且必不可少的监督。具体来讲,监督评价与纠正的建设应当注意以下几点:
(1)业务部门应当对各项业务的经营状况和例外情况进行经常性检查,及时发现内部控制存在的问题,并迅速予以纠正。
(2)内部审计部门应当有权获得商业银行的所有经营信息和管理信息,并对各个部门、岗位和各项业务实施全面的监控和评价。
(3)内部审计应当具有充分的独立性,实行全行系统的垂直管理。下级机构内部审计负责人的聘任和解聘应当经上级机构内部审计部门同意,总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。
(4)应当配备充足的、业务素质高的、工作能力强的内部审计人员,并建立专业培训制度,每人每年确保一定的离岗或脱产培训时间。内部审计力量不足的,应当将审计任务委托社会中介机构进行。
(5)应当建立有效的内部控制报告和纠正机制,业务部门、内部审计部门和其他人员发现的内部控制的问题,均应当有畅通的报告渠道和有效的纠正措施。
四、内部控制的内容
商业银行内部控制的基本内容主要包括:
(一)授信内部控制
授信内部控制的重点是:实行统一授信管理,健全客户信用风险识别与监测体系,完善授信决策与审批机制,防止对单一客户、关联企业客户和集团客户风险的高度集中,防止违反信贷原则发放关系人贷款和人情贷款,防止信贷资金违规投向高风险领域和用于违法活动。
(二)资金业务的内部控制
资金业务内部控制的重点是:对资金业务对象和产品实行统一授信,实行严格的前后台职责分离,建立中台风险监控和管理制度,防止资金交易员从事越权交易,防止欺诈行为,防止因违规操作和风险识别不足导致的重大损失。
(三)存款及柜台业务的内部控制
存款及柜台业务内部控制的重点是:对基层营业网点、要害部位和重点岗位实施有效监控,严格执行账户管理、会计核算制度和各项操作规程,防止内部操作风险和违规经营行为,防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动,确保商业银行和客户资金的安全。
(四)中间业务的内部控制
中间业务内部控制的重点是:开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权,建立并落实相关的规章制度和操作规程,按委托人指令办理业务,防范或有负债风险。
(五)会计的内部控制
会计内部控制的重点是:实行会计工作的统一管理,严格执行会计制度和会计操作规程,运用计算机技术实施会计内部控制,确保会计信息的真实、完整和合法,严禁设置账外账,严禁乱用会计科目,严禁编制和报送虚假会计信息。
(六)计算机信息系统的内部控制
计算机信息系统内部控制的重点是:严格划分计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。
五、内部控制评审与审计
金融内部控制不仅关系到金融机构本身的生存与发展,而且也关系到金融审计工作的安排和整体审计策略。
首先,对内部控制的审计评审是现代审计工作的基础。内部控制是现代企业管理的重要内容,而评审内部控制是现代审计工作的基础。这是因为,内部控制的“质”与审计工作的“量”密切相关。具体说来,如果企业内部控制设计良好,健全完善,经过评审,在实际中又是严格按设计认真遵照执行的,那么,审计人员就可以推断,该单位不至于存在严重问题,审计范围就可以大大缩小。这种情况可以表示为:内控“质”高→抽样少→审计工作“量”小。相反,如果企业内部控制设计不够严密,或设计虽无问题,但经过评审,实际中却未能认真遵照执行,那么,审计人员尽可推断,该单位存在的问题必多,因此,审计范围应该扩大。这种情况可以表示为:内控“质”低→抽样多→审计工作“量”大。总之,对被审计单位内部控制的审计评审,是现代审计业务特别是审计实施阶段重要的或首要的步骤。
其次,审计工作可以促进内部控制不断完善。内部控制是金融机构为加强内部管理而形成的一种管理体系,它只有不断完善,才能真正发挥其应有作用,达到加强经营管理,提高经济效益的目的。内部控制作为审计工作的重要对象及其组成部分,通过对其进行评审,针对存在的缺陷和薄弱环节,提出可行的改进建议,拟定措施,从而帮助和促进被审计单位加强管理,使其内部控制不断得到完善。从这个意义上说,金融内部控制的完善和有效执行,离不开审计的监督检查。
近年来,有人提出了“内部控制审计”的概念,当然,具体称谓不尽相同,有的称做内部控制制度审计,或者简称系统审计、制度审计等等。但人们对待内部控制审计存在两种不同的看法:一种观点是把内部控制审计仅仅看成是整个审计过程中实施阶段的一种审计方法,或一个重要的环节和步骤;另一种观点则认为,内部控制审计不仅是一种审计方法,而且有其本身的审计目的、内容和程序,因而,它也是一个独立的审计类别。第一种看法的理由是:内部控制审计并不是以评审内部控制健全、有效与否为其最终目的,而是通过审计评审,确定审计人员对被审计单位内部控制的可信赖程度,在此基础上进一步考虑审计工作的安排和整体审计策略。
从当前我国金融内部控制的实际情况来看,把内部控制审计作为一个独立的审计类别,开展专门的内部控制审计,对金融机构现行的内部控制作出客观公正的科学评价,从而督促其建立健全有效的内部控制,确实具有十分重大的现实意义。
综上所述,金融审计与金融内部控制的关系非常密切,两者之间既相互联系,又相互制约。没有内部控制提供审计线索,审计的效能就会受到影响;反之,没有审计的监督检查,金融内部控制也就不可能得到进一步的改进和完善。