在“金融标准 为民利企”的宣传推广浪潮中,一册厚厚的早于2015年10月21日发布的《商业银行内部控制评价指南》进入业内人士视野。说实在的,之前只是知道有这个东西,也粗粗翻阅过,但关注度不够,在实际工作中的大打折扣甚至视之若无就更不必说了。借目前这个宣传热度,大有细细读之、深深落之的必要性。
一 概述
1.制定及发布。按照《中华人民共和国标准化法》(2017),标准化分为五个层次:国家标准、行业标准、地方标准、团体标准、企业标准。金融标准化的具体承办机构是金标委(全国金融标准化技术委员会),隶属中国人民银行,接受中国国家标准管理委员会指导。金标委下设金融服务标准化技术委员会、个人理财标准化技术委员会、可持续金融技术委员会。《商业银行内部控制评价指南》属于行业标准。该标准是由工行提出并具体制定,起草单位是工行,充分说明了工行在内控工作领域的行业领导地位。
2.适用范围。本指南适用于指导中国商业银行开展的内部控制自我评价工作(非国际标准)。需注意点:(1)旨在优化商业银行内部控制,提升风险管理水平和完善公司治理(内控、风管、治理三者密切相关)。(2)各银行可在此基础上调整、补充、细化(是指导性的而非刚性,各银行要考虑本行业务实际和管理要求)。(3)非强制性要求(即可以不执行)。
3.制定依据。分四个层次:(1)遵循《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》(一个规范、三个指引)。(2)遵循《商业银行内部控制指引》《商业银行内部控制评价试行办法》。后面这个试行办法好久未修订了,似乎不用了,但显然在本指南发布时尚未废止。(3)遵循上交所《上市公司内部控制指引》和深交所《上市公司内部控制指引》。两个证交所各有一套,不知为何,若能统一为一个,应当更好些吧。(4)根据中国商业银行的特点和内控评价的现状。这个特点、现状当然要考虑,但具体如何把握,恐怕只能是仁者见仁、智者见智了。
4.核心内容概括:1314。即:一个基础(以评价内容为基础),三个支柱(以评价标准、评价方法、评价程序为支柱),一个目标(服务于评价目标),明确四个问题(由谁评价、评价什么、如何评价、评价结果如何利用)。
5.核心概念列举。包括八个关键词:内部控制、内部控制评价、评价主体、评价目标、评价内容、评价标准(包括业务标准和认定标准)、评价程序、评价方法。
其中评价内容为本指南的主脉络,围绕“532”开展测试和评价,即:内控五要素(内部环境、风险评估、控制活动、信息与沟通、内部监督),三个层面(公司、流程、信息科技),两表梳理(风险点、控制点)。
二 框架
1.内控评价的原则。全面性原则(包括内控的设计与运行,涵盖各项业务的全过程及所有机构、部门、岗位,大致可理解为涵盖所有事、所有人);重要性原则(重点分行、高风险领域、重要业务单元、重大业务事项,可概括为三重一高);客观性原则;一致性原则。
2.屋型评价框架。即前述1314。内控评价目标处于统领和核心地位,是首要考虑的因素。内控评价内容处于基础地位,目标决定内容,内容决定标准、程序、方法。内控评价标准、内控评价程序、内控评价方法是内控评价的三大支柱,标准是内控评价的准绳,方法是内控评价的手段,程序是内控评价的保障。
3.内控评价的组织。涉及五个基本问题:(1)评价主体问题。一般区分为责任主体、实施主体。责任主体为董事会或类似权力机构,实施主体一般为内部审计部门或专门职能机构(需经授权)。(2)报告路线问题。内控评价机构宜向董事会及其审计委员会报告工作,并在评价过程中加强与管理层沟通(主旨在保证内控评价的独立性和权威性,一个“宜”字说明非强制特征)。(3)组织分工方面。在治理层面,包括董事会、审计委员会、监事会、高级管理层。在部门和机构层面,包括各专业部门、各分支机构、评价机构。不同层级的机构和人员,按照分工,各负其责。(4)评价周期问题。一个会计年度。(5)评价频率。每年开展一次(也可根据自身情况调整评价频率)。
4.内控评价目标。总目标是:通过对内控状况的监督评价,发现内控缺陷,促进相关问题整改,提升和完善内控,并以此促进内控目标的实现。具体目标可概括为“五个促进”:(1)促进遵循外规和内规(在合规目标基础上做了拓展);(2)促进数据合规性及信披可靠性(沿着信披、信誉、公信力方向做了拓展);(3)促进风管和资产安全(突出了资产安全);(4)促进改进和优化内控程序,提高经营效率和效果(程序即流程,这里既强调控的管理,也强调了冲的管理,既管住也管活,让流程既不失控也要流畅,此点很接地气,十分重要);(5)促进内控意识、内控体系有效运行、自身发展战略目标实现(兜底性条款)。这“五个促进”大致可理解为整个内控评价工作的总纲、主线、灵魂。
5.内控评价内容。
要围绕前述“532”,全面覆盖各机构和各业务线(各银行可根据自身组织架构、业务条线管理模式对内控评价内容进行动态调整)。
三个层面:(1)公司层面围绕内控五要素展开,涉及5个一级领域、35个二级子领域。(2)流程层面主要针对业务流程,包括银行类和非银行类8 条业务线,涉及若干一级流程、二级子流程。(3)信息科技层面分为7个一级领域、若干个二级子领域。
内控评价涵盖所有业务和流程,涉及多个层级,应自下而上逐级汇总(也可以根据管理需要,按业务条线汇总、按层面汇总、按机构汇总)。八级汇总逻辑框架:第一层,集团。第二层,银行类/非银行类。第三层,公司层面/流程层面/信息科技层面。第四层,业务线。第五层,一级领域/一级流程。第六层,二级子领域/二级子流程。第七层,产品/服务。第八层,风险点/控制点。
6.内控评价标准。
(1)业务标准(各项业务正常运行宜遵循的控制要求)。组成:监管法规 行业最佳实践 商业银行内控制度。要求细化到每个领域中的关键控制点。
(2)认定标准(衡量商业银行内部控制状况的依据和尺度)。包括:
a.(内控)缺陷认定标准。按问题产生原因,分为设计缺陷、运行缺陷。按影响内控目标的严重程度,分为重大、重要、一般三个等级(各银行应具体定义,按定性与定量相结合的方法进行具体认定)。
b.(内控)有效性认定标准。可具体定义,将内部控制有效性等级分为:有效,无效。
c.二者对应关系。一般缺陷、重要缺陷,可认定为内控有效,重大缺陷,认定为内控无效。
7.内控评价程序。内控评价是一个闭合式循环。可设定为四个阶段:计划准备阶段(收集资料、梳理流程、评估风险、建立评价标准、编制评价方案、开展非现场测试),现场实施阶段(开展穿行测试、开展控制测试、认定缺陷、综合评价),报告编写阶段(报告编写、沟通交流、报告报送),整改跟踪阶段(必要时做后续评价)。
8.内控评价方法。主要包括:风险评估,识别关键控制技术,风险控制矩阵,穿行测试法,控制测试法,其他(询问或访谈法、调查问卷法、对比分析法、实地查验法、专题讨论会法、其他检查成果的综合利用)。
9.内控评价结果利用。从报告路径看,应报审计委员会审议,进而报董事会审议,审议通过后可送监事会、可按监管要求进行信披。从利用主体看,包括股东及债权人、董事会、管理层、全体员工、外部监管者、外部审计,均可根据自身需要,利用内控评价报告的成果。
三 公司、流程、信息科技三个层面内控评价操作的简要逻辑
公司层面内控评价围绕内控五要素展开:1.内部环境。包括:组织架构;发展战略;企业文化;内部审计;人力资源;社会责任。2.风险评估。包括:风险管理体系;风险识别;风险评估;风险应对。3.控制活动。包括:政策与流程;不相容职务审批控制;授权审批控制;会计系统控制;财产保护控制;预算控制;运营分析控制;绩效考评控制;重大风险预警控制;并表管理控制;反洗钱控制;关联交易控制;业务外包控制;业务连续性控制。4.信息与沟通。包括:信息指标体系;信息系统建设;信息安全控制;信息交流机制;信息披露机制;反舞弊机制。5.内部监督。包括:内部监督组织架构;内部监督制度;内部监督工作;整改机制;内部控制评价。以上每个子领域都要找到主要风险点、控制要求。
流程层面内控评价主要列举了27个一级流程,包括:公司贷款、公司存款、票据融资、国际结算、贸易融资、投资银行、个人存款、个人贷款、信用卡、私人银行、资产托管、养老金、贵金属、理财、债券投资与交易、外汇交易、货币市场业务、衍生产品交易、债券承销发行、运行管理、电子银行、代理业务、账务会计管理、资产负债管理、产品创新管理、租赁、基金。每个一级流程下又有若干二级流程。都要找出主要风险点、控制要求。
信息科技层面内控评价的主要领域包括:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试、投产;信息科技运行管理;业务连续性管理;外包服务管理。每个领域下有若干子领域。都找出主要风险点、控制要求。
在各个层面的内控评价工作底稿中,对每个作为评价对象的环节(颗粒度细分到不可再细分),都要求列出:控制目标、主要风险点、控制要求、控制依据、测试步骤及测试方法。这样就形成一套比较系统的内控评价操作表单。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。