商业银行内部控制评价工作探析.docVIP

商业银行内部控制评价工作探析随着银行业内、外部环境越来越复杂、多变，监管部门近些年来先后颁布了多项银行业内部控制方面的指引、评价办法，以促进银行业提升风险管理水平。人民银行早于20世纪90年代即已颁布过金融机构内部控制指导性文件，银监会2004年则颁布了《商业银行内部控制评价试行办法》（2005年起实施）、2006年6月颁布的《银行业金融机构内部审计指引》、2007年颁布实施了《商业银行内部控制指引》，财政部、证监会、审计署、银监会、保监会于2008年联合颁布了《企业内部控制基本规范》，自2009年7月1日起在上市公司范围内施行。 在商业银行内部，各层级管理和经营机构也不断认识到内部控制的重要性，尤其对于银行案件防控及健康发展所具有的重要意义。银行内部建起了多道防线实施内部控制，并由专门的部门定期对银行内部控制状况进行评价。本文尝试结合对内部控制有关问题的思考，围绕商业银行内部控制评价工作进行探讨，希望能对促进银行业内部控制评价工作以及整体内部控制水平提升有所帮助。 内部控制健全性、有效性如何评价 内部控制的健全性和有效性是银行内部审计部门主要审计事项之一。参考《商业银行内部控制评价试行办法》，内部控制的“有效性”主要是指“控制措施”是否有效，即针对银行经营管理活动特定过程中的风险所设计的控制措施，是否能被执行并控制该风险。内部控制健全性，是指所有过程及其存在的风险是否均已被识别，并针对这些风险点均设计了有效的控制措施。要对控制是否健全做出判断，评价人员必须具备一定的内部控制专业知识和经验自不必说，对被评价机构业务范围、业务状况有充分的了解也是基本条件之一。下面以授权体系控制评价为例，说明这一基本条件对于评价内控是否健全的重要性。 授权控制是防止分支机构超越权限开展经营活动的重要措施之一。它不仅限于对被授权人审批、交易额度等控制，对于银行而言，涉及外部法律关系的重要事项同样需要实施授权控制，如以银行名义对外签订经济合同、协议等等。有权人一般以书面授权书方式明确限定被授权人的权限。在与外部发生法律纠纷时，相关业务合约签字人是否被授予相应权限，会被用于认定该合约是否存在瑕疵。而授权书一般由银行内部负责授权管理的部门按年度起草，并经有权人签发生效。 近年来，银行新业务不断出现，需要实施授权管理的业务范围及环节也随之不断增加。如在对分支机构负责人签发年度授权书时，对于传统的授信业务，授权书会明确授予其业务办理及相关的对外签约权限，但非授信业务类的经营活动，如提供服务、租赁房屋、采购物品等，相关的签约权限却容易被忽略。而分支机构负责人思想上主观地认为上级授予的权限自然包括了所有与业务开展相关的签约权限，造成与客户签订非授信业务相关协议时，签字人无权限，构成合约瑕疵。 产生上述现象的原因，一方面是负责起草授权书的部门未充分了解分支机构业务范围的变化，每年基本依据上年的授权事项起草当年的授权书，从而授权书中对新的控制事项有所疏漏；另一方面，分支机构负责人授权控制意识不够，未能在日常工作中时时关注授权控制要求。 通过上面这个例子的分析可以看出，了解被评价机构开办的全部业务品种、开展的全部经营管理活动，对于评价其内控健全性非常重要，是开展健全性评价的基础。如果评价人员仅就被评价机构既有的控制措施（如例子中的授信业务签约授权）开展检查测试，则可能导致对被评价机构内控健全性认定结论的偏差。但由于各行管理方式不同，需视各自情况决定通过何种方式获取这些信息。 内部控制评价是否应该与合规、风险审计结合实施 传统的银行内部审计工作主要针对经营管理中的合规性，即检查、核对各项业务是否按规定办理，这一般也是银行管理层对传统内部审计工作提出的基本要求。但随着银行经营、管理复杂性的不断提升，无论是银行管理层还是股东，更希望内部审计工作不仅是发现、提出合规性问题，而是能够站在独立的立场上揭示经营管理中更深层次的问题，比如针对风险状况、内部控制状况，甚至经营状况提供更有价值的管理建议。 银监会《银行业金融机构内部审计指引》中列示的内部审计机构的主要工作事项，也不仅仅局限于合规性内容，还包括了如前所述的“内部控制的健全性和有效性”；以及“风险状况及风险识别、计量、监控程序的适用性和有效性”；“机构运营绩效和管理人员履职情况”等共七项。 但除合规性审计以外的其他审计事项，对于传统的银行内部审计而言都属相对较新的内容（履职情况审计也在遇到“问责”环节时成为较新的课题），在实际工作中，容易发生不事先界定审计事项并进而制定针对性的审计方案，而是将多种审计事项融合在一个审计项目中的现象，也就是每次审计顾及多个审计事项。在内部控制评价工作中，也容易发生这种状况。 其实，《银行业金融机构内部审计指引》单独列示了合规