论内部控制
以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为,内控的过程涵盖了公司所面对的,并在公司内由各级人员所经营的所有的内部和外部的风险。
然而现实中的风险管理却很实在,巴塞尔委员会指出,风险管理不同于内控之处在于,典型的风险管理比较关注特定业务的战略的评审,旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。在我国一些银行里,风险管理往往被狭义地理解为授信或部分业务(如信贷)的授权管理;广义的风险不仅有信贷风险,还包括国家与转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和信誉风险等等。而广义的风险管理又似乎难以真正落实到银行的某一具体业务或管理部门,成为它的责任。其结果,我国的银行实业界尚不存在广义的风险管理的概念。不少银行不能对各种风险进行总体研究和控制,甚至连统一授信都难以在一些银行里真正实现。
不过,现实情况中的风险管理一方面有其特有的内涵和现实的范畴,另一方面也在某些内容上与内控相交叉。在上节中,COSO认为风险管理不属于内控的范围,而是非内控性的管理活动,这种分析也是有片面性的。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中,与内控相交叉,属于内控强化过程中的管理活动。
然而,内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监督评审与缺陷的纠正”等重要的内容。在现实中,管理层的监督并不是没有,而是远远没有强调到某种“控制文化”的程度。“信息与交流”和“监督评审与缺陷的纠正”这两大内容的内控也没有达到现代内控原理的要求。特别应该指出,风险管理的全部活动都在内控的监督评审之下,不外乎一些国内外专家认为,内控涵盖了风险管理。内控的确处在比风险管理更高的层次上,尽管内控并没有超出广义管理的大范围。下图从现实考察的角度勾略了内控同广义的管理和现实的风险管理的关系。
图2 内部控制同广义的管理和现实的风险管理的关系
四、正确处理内控与内审的关系
各商业银行和非银行金融机构在开展整章建制的工作中曾经出现过一些问题,有些问题反映在处理内控与稽核的关系上。例如,认为内控主要是稽核部门的事,应该由稽核部门牵头此项工作。有的银行干脆在稽核部门内设立了“整章建制处”,负责领导全行的整章建制工作。有些认识往往来自高级管理层。稽核人员也存在一些模糊认识。生产性企业也同样会遇到此类问题。澄清认识,转变观念,正确处理内控与内审的关系,对于加强企业内控实属必要。
1.内控首先是经营管理部门的工作
内部控制是公司(包括金融机构和非金融企业)合理保证其各项目标实现的动态过程。内控程序涉及工作目标的确立,风险的识别和分析,针对风险研定控制措施,并对所采取的控制活动进行监督评审等等。这些控制业务显然首先是各级经营管理部门的基本职责。本文所指的经营管理部门有别于内审监察部门。后者尽管也是内控组织体系的重要环节,但是独立于前者之外。
在实际工作中,内控工作往往被领导委派给内审(稽核)部门去计划和安排,原因是多方面的。首先,金融系统的内控文件是由人民银行原来的稽核监督部门下达的。一些单位在接到文件后,没有注意区别商业机构和央行在职能上的本职区别,也没有理解内控工作的内涵,而简单地把内控任务交办给本单位的稽核系统。其次,具体业务部门有重业务经营,轻管理控制的传统倾向。有些业务和管理部门习惯于执行各种业务的“硬指标”,而把内控(例如整章建制工作)作为“软任务”推给“综合部门”去应付。第三,尽管各经济实体中都存在内控制度和控制机制,但是其控制系统有不同程度的缺陷。例如,在控制的组织结构上,的确缺少一个专司内控的综合管理部门;而也确有文件把稽核部门称为“内控综合管理部门”。第四,在专业银行体制下,稽核部门曾经是缺乏权威性的比较薄弱的部门,银行在商业化的过程中虽然提高了该部门的地位,但在许多单位里仍显现不出稽核部门足够的重要性。在一些综合部门相互踢皮球的情况下,任务也难免被分派到稽核部门。这些问题在生产企业里
经营管理部门首先要重视内控,只有把内控视为本身的基本职责,才能把这项工作当作硬任务去安排。因此,在整章建制中,人民银行曾明确指示各金融机构,组成专门的领导班子(如内部控制委员会)去领导和组织这项系统工程。而内审部门应当独立于这项领导工作之外,才能真正起到对工作的监督作用。
2.内控主要是经营管理部门的工作
内控作为一项系统工程,已经在发达国家形成了一套完整的有机结合的理论体系和严谨的操作方法,很值得我国在国营企业(特别是国有金融机构)改制和再造其内部治理结构时予以借鉴。
内控的大部分工作都是经营管理部门的重要职责。首先,合乎标准的内控需要公司营造良好的“控制环境”,使员工树立正确的价值观,遵守正常的职业道德,而公司的管理层又能够以恰当的管理风格和正确的激励机制,引导员工创造一种良好的企业文化,特别是控制文化。同时,设计适应业务发展的组织结构,配备合格的经营管理人员,制定合理和严格的规章制度,确立正确的目标和战略决策系统等等,也都是加强内控的必要环境条件。
第二,“风险评估”也主要是各经营管理部门的重要职责。传统的经营管理方式忽视对风险的识别和分析,而满足于执行指令。这种方式给国营企业和金融机构在转轨过程中带来了巨大的损失。金融系统近年来存在秩序混乱,案件频频,经营亏损的现象,其重要原因之一就是风险管理落后。风险的防范有大量工作要做,包括对内部和外部的风险进行判别和预测,分析风险发生的可能性和概率;并在此基础上研究化解风险的种种控制措施。
第三,当风险已被发现之后,经营管理者还需要调动机构和人员,切实执行所制定的“控制活动”,以便防范和化解风险,合理保证经营管理目标的实现。这方面的工作是十分细致的,包括高层检查,直接管理,信息加工,实物控制,确定指标,职责分离等等。
第四,在信息科技突飞猛进地发展的时代,“信息与交流”是经营管理中的另一不容忽视的职能。在把有关的内部和外部控制信息搜集整理出来以后,经营管理者要利用可靠信息为实现目标服务,并向适当的部门和负责人进行交流。
如果把如此丰富的内控工作统统推给审计或稽核部门去做,一个直接的恶果就是削弱了经营管理部门的风险意识和控制觉悟,使他们满足于计划经济体制下的行政指令的执行方式,而无意面对复杂多变的竞争形势。另外的一个后果是使审计人员不务内审业务,而去参与经营管理活动,自然分散了审计人员的注意力,也削弱了审计的独立性。因此,控制活动是公司日常经营管理工作的不可分割的一部分。
3.对内控的检查评价主要是经营管理部门的工作
“监督评审”是内控体系的第五大重要组成部分,其主要内容是对上述内控活动,包括“控制环境”、“风险评估”、“控制活动”和“信息与交流”等内容进行严格的检查监督和客观公正的评价。这包括从整体水平上和从业务活动水平上对内控进行持续性的或分别单独的评审。重要的是认识到这种检查评价不仅首先不是,而且主要不是内审(稽核)部门的工作。
对内控情况进行监督评审犹如设立一道道防线,而第一道检查监督的防线就应由经营管理部门的各级负责人监守,包括设置和执行岗位内部和岗位之间的相互牵制,进行前后台和部门之间的平衡制约等等,并应不断在日常工作中监督评审内控的整体效果。他们要对内控的情况和问题及时进行分析和研究,把大量主要的风险问题在第一道防线予以切实解决。这里,他们不仅要深刻地自我评价所开展的控制活动,还要提出改进控制和进一步化解风险的措施,并交上级主管验证。这种自我评价要规范化和制度化,必要时应实行离岗检查和交叉检查的制度。在实际中,这种工作往往被以工作忙、人手少或成本高而忽略掉了。例如把对离任负责人的评审统统推给内审(稽核)部门进行“离任稽核”,不仅加重了内审负担,而且常使该项工作流于形式。恰恰是疏于自我检查和评价,造成部分管理人员有章不循,一些基层单位问题成堆。
财会部门应当形成化解风险的第二道防线,财会人员负责行使后台监督的重要职能。业务的每一项收 《论内部控制(第4页)》
本文链接地址:http://www.oyaya.net/fanwen/view/111695.html
然而现实中的风险管理却很实在,巴塞尔委员会指出,风险管理不同于内控之处在于,典型的风险管理比较关注特定业务的战略的评审,旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。在我国一些银行里,风险管理往往被狭义地理解为授信或部分业务(如信贷)的授权管理;广义的风险不仅有信贷风险,还包括国家与转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和信誉风险等等。而广义的风险管理又似乎难以真正落实到银行的某一具体业务或管理部门,成为它的责任。其结果,我国的银行实业界尚不存在广义的风险管理的概念。不少银行不能对各种风险进行总体研究和控制,甚至连统一授信都难以在一些银行里真正实现。
不过,现实情况中的风险管理一方面有其特有的内涵和现实的范畴,另一方面也在某些内容上与内控相交叉。在上节中,COSO认为风险管理不属于内控的范围,而是非内控性的管理活动,这种分析也是有片面性的。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中,与内控相交叉,属于内控强化过程中的管理活动。
然而,内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监督评审与缺陷的纠正”等重要的内容。在现实中,管理层的监督并不是没有,而是远远没有强调到某种“控制文化”的程度。“信息与交流”和“监督评审与缺陷的纠正”这两大内容的内控也没有达到现代内控原理的要求。特别应该指出,风险管理的全部活动都在内控的监督评审之下,不外乎一些国内外专家认为,内控涵盖了风险管理。内控的确处在比风险管理更高的层次上,尽管内控并没有超出广义管理的大范围。下图从现实考察的角度勾略了内控同广义的管理和现实的风险管理的关系。
图2 内部控制同广义的管理和现实的风险管理的关系
四、正确处理内控与内审的关系
各商业银行和非银行金融机构在开展整章建制的工作中曾经出现过一些问题,有些问题反映在处理内控与稽核的关系上。例如,认为内控主要是稽核部门的事,应该由稽核部门牵头此项工作。有的银行干脆在稽核部门内设立了“整章建制处”,负责领导全行的整章建制工作。有些认识往往来自高级管理层。稽核人员也存在一些模糊认识。生产性企业也同样会遇到此类问题。澄清认识,转变观念,正确处理内控与内审的关系,对于加强企业内控实属必要。
1.内控首先是经营管理部门的工作
内部控制是公司(包括金融机构和非金融企业)合理保证其各项目标实现的动态过程。内控程序涉及工作目标的确立,风险的识别和分析,针对风险研定控制措施,并对所采取的控制活动进行监督评审等等。这些控制业务显然首先是各级经营管理部门的基本职责。本文所指的经营管理部门有别于内审监察部门。后者尽管也是内控组织体系的重要环节,但是独立于前者之外。
在实际工作中,内控工作往往被领导委派给内审(稽核)部门去计划和安排,原因是多方面的。首先,金融系统的内控文件是由人民银行原来的稽核监督部门下达的。一些单位在接到文件后,没有注意区别商业机构和央行在职能上的本职区别,也没有理解内控工作的内涵,而简单地把内控任务交办给本单位的稽核系统。其次,具体业务部门有重业务经营,轻管理控制的传统倾向。有些业务和管理部门习惯于执行各种业务的“硬指标”,而把内控(例如整章建制工作)作为“软任务”推给“综合部门”去应付。第三,尽管各经济实体中都存在内控制度和控制机制,但是其控制系统有不同程度的缺陷。例如,在控制的组织结构上,的确缺少一个专司内控的综合管理部门;而也确有文件把稽核部门称为“内控综合管理部门”。第四,在专业银行体制下,稽核部门曾经是缺乏权威性的比较薄弱的部门,银行在商业化的过程中虽然提高了该部门的地位,但在许多单位里仍显现不出稽核部门足够的重要性。在一些综合部门相互踢皮球的情况下,任务也难免被分派到稽核部门。这些问题在生产企业里
也存在。
经营管理部门首先要重视内控,只有把内控视为本身的基本职责,才能把这项工作当作硬任务去安排。因此,在整章建制中,人民银行曾明确指示各金融机构,组成专门的领导班子(如内部控制委员会)去领导和组织这项系统工程。而内审部门应当独立于这项领导工作之外,才能真正起到对工作的监督作用。
2.内控主要是经营管理部门的工作
内控作为一项系统工程,已经在发达国家形成了一套完整的有机结合的理论体系和严谨的操作方法,很值得我国在国营企业(特别是国有金融机构)改制和再造其内部治理结构时予以借鉴。
内控的大部分工作都是经营管理部门的重要职责。首先,合乎标准的内控需要公司营造良好的“控制环境”,使员工树立正确的价值观,遵守正常的职业道德,而公司的管理层又能够以恰当的管理风格和正确的激励机制,引导员工创造一种良好的企业文化,特别是控制文化。同时,设计适应业务发展的组织结构,配备合格的经营管理人员,制定合理和严格的规章制度,确立正确的目标和战略决策系统等等,也都是加强内控的必要环境条件。
第二,“风险评估”也主要是各经营管理部门的重要职责。传统的经营管理方式忽视对风险的识别和分析,而满足于执行指令。这种方式给国营企业和金融机构在转轨过程中带来了巨大的损失。金融系统近年来存在秩序混乱,案件频频,经营亏损的现象,其重要原因之一就是风险管理落后。风险的防范有大量工作要做,包括对内部和外部的风险进行判别和预测,分析风险发生的可能性和概率;并在此基础上研究化解风险的种种控制措施。
第三,当风险已被发现之后,经营管理者还需要调动机构和人员,切实执行所制定的“控制活动”,以便防范和化解风险,合理保证经营管理目标的实现。这方面的工作是十分细致的,包括高层检查,直接管理,信息加工,实物控制,确定指标,职责分离等等。
第四,在信息科技突飞猛进地发展的时代,“信息与交流”是经营管理中的另一不容忽视的职能。在把有关的内部和外部控制信息搜集整理出来以后,经营管理者要利用可靠信息为实现目标服务,并向适当的部门和负责人进行交流。
如果把如此丰富的内控工作统统推给审计或稽核部门去做,一个直接的恶果就是削弱了经营管理部门的风险意识和控制觉悟,使他们满足于计划经济体制下的行政指令的执行方式,而无意面对复杂多变的竞争形势。另外的一个后果是使审计人员不务内审业务,而去参与经营管理活动,自然分散了审计人员的注意力,也削弱了审计的独立性。因此,控制活动是公司日常经营管理工作的不可分割的一部分。
3.对内控的检查评价主要是经营管理部门的工作
“监督评审”是内控体系的第五大重要组成部分,其主要内容是对上述内控活动,包括“控制环境”、“风险评估”、“控制活动”和“信息与交流”等内容进行严格的检查监督和客观公正的评价。这包括从整体水平上和从业务活动水平上对内控进行持续性的或分别单独的评审。重要的是认识到这种检查评价不仅首先不是,而且主要不是内审(稽核)部门的工作。
对内控情况进行监督评审犹如设立一道道防线,而第一道检查监督的防线就应由经营管理部门的各级负责人监守,包括设置和执行岗位内部和岗位之间的相互牵制,进行前后台和部门之间的平衡制约等等,并应不断在日常工作中监督评审内控的整体效果。他们要对内控的情况和问题及时进行分析和研究,把大量主要的风险问题在第一道防线予以切实解决。这里,他们不仅要深刻地自我评价所开展的控制活动,还要提出改进控制和进一步化解风险的措施,并交上级主管验证。这种自我评价要规范化和制度化,必要时应实行离岗检查和交叉检查的制度。在实际中,这种工作往往被以工作忙、人手少或成本高而忽略掉了。例如把对离任负责人的评审统统推给内审(稽核)部门进行“离任稽核”,不仅加重了内审负担,而且常使该项工作流于形式。恰恰是疏于自我检查和评价,造成部分管理人员有章不循,一些基层单位问题成堆。
财会部门应当形成化解风险的第二道防线,财会人员负责行使后台监督的重要职能。业务的每一项收 《论内部控制(第4页)》
★读了本文的人也读了: