1 内部控制的发展
内部控制一词,最早出现在1936年美国会计师协会发布的《注册会计师对财务报表的审查》文章中,指为保护现金和其他资产,检查账簿记录准确性,而在公司内部采用的各种手段和方法。
内部控制理论的发展大致可以分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同阶段。
内部牵制思想以账目间的相互核对为主要内容并实施岗位分离,这在早期被认为是确保所有账目正确无误的一种理想控制方法。
内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制两部分,前者在于报告企业资产、检查会计数据的准确性和可靠性;后者在于提高经营效率、促进有关人员遵守既定的管理方针。
后来,西方学术界在对内部会计控制和管理控制进行研究时,逐步发现这两者是不可分割、相互联系的。因此在20世纪80年代提出了内部控制结构的概念,认为企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序,并且明确了内部控制结构的内容为控制环境、会计制度和控制程序。
90年代,美国提出内部控制整体框架思想,并逐步将各界对内部控制的认识统一起来。1992年美国会计师学会、注册会计师学会、内部审计师协会等参与的“发起组织委员会”提出了一个内部控制的专题研究报告。对内部控制给出了一个较为公认的定义:内部控制是“由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标而提供合理保证的过程。”这个定义已不再将会计体系视为内部控制的核心内容,而是将会计体系和控制程序具体化为风险评估、控制活动、控制环节、信息沟通和监督等控制环节。
2002年9月,中国人民银行颁发了《商业银行内部控制指引》,《指引》中对商业银行内部控制做出了定义:内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。《指引》突出了内部控制的三个特点:一是内部控制的核心是防范风险;二是内部控制的工具是制定和实施一系列制度、程序和方法;三是内部控制的范围为实施事前、事中、事后全过程及全部岗位。
2004年12月,中国银监会颁布了《商业银行内部控制评价试行办法》,《办法》中定义商业银行内部控制体系为:商业银行为实现经营管理目标,通过制定并实施系统化的政策、程序和方案,对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。《办法》强调内部控制是一种系统的制度安排,《办法》对商业银行风险管理的认识有了新的突破,对风险的控制建立在了有效地识别与评估基础上。
2 建立商业银行内部控制体系的主要内容
商业银行为了实现既定的发展目标,必须建立健全内部控制制度,完善内部控制体系。笔者认为商业银行内部控制体系的主要内容应包括以下几个方面:
2 1 以RAROC指标为基础构建自我约束的风险控制机制。实现对风险的有效控制是商业银行内部控制的最终目标,在这个过程中,选择一个有效的风险控制机制是关键,而自我约束的核心是资本约束。经济资本通过对非预期损失的计算和预测,直接反映银行的风险状况。在商业银行内部控制中,应自觉运用经济资本概念,发挥经济资本分配在银行风险控制中的作用,从而使商业银行形成稳定的激励约束机制。经济资本回报率RAROC(RiskAdjustReturnOnCapital)采用风险调整后的资本利润率指标,其计算公式为:风险调整后的资本利润率(RAROC)=(利润—预期损失)/经济资本=(收入—支出—预期损失)/经济资本。与传统的资本收益率指标不同的是,RAROC指标的分母采用的是经济资本,而不是账面资本,分子中扣除了预期损失。由此计算的资本利润率指标,既考察了银行的盈利能力,又充分考虑了该盈利能力背后承担的风险。RAROC指标传导了如下几个理念:第一,经济资本直接反映银行的风险状况,可方便地分解、合并。通过对经济资本进行分配,在清楚地显示各部门、分行和各项业务的风险水平的同时,实现了资本与风险的匹配;第二,在经济资本分配的基础上,通过资本利润率指标对各部门、分行和各项业务的评价,既考察了其盈利能力,又充分考虑了该盈利能力背后承担的风险;第三,经济资本成为银行确定其风险控制边界的基础:经济资本作为一种虚拟资本,当它在数量上接近或超过银行的实际资本(即监管资本)时,说明银行的风险水平接近或超过其实际承受能力,这时银行要么通过一些途径增加实际资本,要么控制或压缩其风险承担行为,否则其安全性将受到威胁。经济资本回报率可以使商业银行从利益驱动上实现资本与风险相匹配的经营导向,形成真正意义上的以资本为基础的风险防范体系。
2 2 健全组织结构和规章制度。一家银行要想有序、有效地开展业务,必须有一个合理的组织结构和一套完善的规章制度来保证。所有的工作人员无论其职位高低,都能清楚地知道自己的授权和职责,并对银行的业务政策有比较清晰的了解。不论是直接面对客户或其他直接创造收益的一线部门,还是提供各种支持功能的后线部门及其他保障部门,都清楚地知道自己的职责以及彼此之间的关系。只有这样,整个银行才能有效的运转起来,形成一个有机的整体。
商业银行的组织结构和规章制度所涉及的控制环节主要有:①制定明确的银行政策目标;②对每一个工作人员给予明确的授权;③建立合理的组织架构,把整个银行的所有业务部门,按照其业务范围、在上下级关系中的位置、彼此之间的联系、与管理层的关系等,组成一个有机的整体;④建立畅通的报告渠道,使基层信息能够及时传递上去;⑤对全体职工提出职业道德准则要求;⑥为各项业务制定标准化的操作规程;⑦对会议记录、往来信函、签字样本等予以妥善地保管;⑧为一些重大事项的处理,诸如资金、授信、开拓新业务、购买或处理重要资产等制定出一套标准的操作程序。
2 3 建立经常性的监督与评价机制。商业银行建立一个合理的组织结构和一套完整的规章制度,并不意味着万事大吉了,还要实现经常性的监督。管理层要对业务的发生情况、规章制度的执行情况、银行的经营情况等给予经常性的监督与控制,确信各项银行业务正在按照既定的方针,有计划、有秩序地进行。要实现这样的目标,管理层要经常查看:①各类头寸报告,观察是否有异常现象发生,如果有,需要马上查明原因,采取相应的措施;②财务报表,如损益表、资产负债表等,注意各类计划的完成情况;③流动性报告,确保银行有充足的对外支付能力;④贷款作业程序报告,注意贷款的发放和管理是否在遵循着既定的程序;⑤存款报告,注意观察存款余额、来源、期限结构、成本等是否有大的变化;⑥经营报告,注意银行的各类业务、法定财务比率是否符合金融监管当局的有关规定。
2 4 实施科学合理的职责分离。商业银行在设计组织架构及明确工作权限时,要坚持“职责分离”的原则。在分配任务和明确职责时,要避免让一位工作人员承担一些不可兼容的职责,通过相互牵制的方式,防止单个人办理业务时出现差错或舞弊行为,万一有此类事件发生,也能够及时察觉。比如:贷款的调查、审批、发放和会计记录四个环节要由不同的部门来完成。如建立三道防线体系,牢固筑起一线岗位双人、双职、双责为基础的第一道监控防线,发挥业务管理部门实施业务监督的第二道监控防线,加强稽核评价、监督的第三道防线力量。这样,才能大大降低银行所承受的风险。
2 5 实行有限的业务授权。授权是指银行董事会向管理层及其下级机构和工作人员赋予的,一种能够代表银行从事各项业务或某些业务的权利。在银行内部,董事会是最高权力机构,它授权管理层主持银行的日常工作,管理层再依次向所属部门和分支机构给予授权。全体员工都要严格遵守授权有度,在授权下开展业务的规则。商业银行要对不同的控制环节给予不同的授权,防止授权不当引起的权利过大,及导致产生舞弊的土壤。不管那个环节,在具体授权时,应以既能保证经营决策有效运作,管理制度有效贯彻,又能保证权利制衡得到落实为目标。
2 6 培育具有风险意识的企业文化。企业文化是一种观念形态的价值观,它是被全体员工认同的企业核心价值观念。商业银行每项业务都是伴随着对风险的分析、评价、监控、转移、分解等处理方式展开的。作为制度建设者、执行者的人,是内部控制的基础,只有充分发挥了人的能动性,才能激励其自觉实现内控管理目标。
商业银行应培育健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进作出明确的规定。特别应向员工传导遵守法律法规和实施内部控制的重要性,让不制造、不接受、不传递缺陷成为每个员工的信条,引导员工树立合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。