专题:超越coso——其他框架
本专题的目标是介绍其他内部控制的概念框架。主要有以下几种:
1、加拿大特许会计师协会(CICA)控制准则委员会(CoCo)发布的《控制指南》。COCO于1995年发布了“控制指南”文件。该指南是麦克唐纳委员会1988年提出的一条建议的结果。这条建议是,CICA应当制定准则以使记录保管系统、控制系统和审计系统变得有效和谨慎。
2、马尔科姆·鲍尔里治国家质量奖(MBNQA)准则。1987年,美国设立了马尔科姆·鲍尔里治国家质量奖(以已故的里根政府商务部长的名字命名)。国家标准和技术协会(NIST)负责奖励的管理。他诸多任务中的一项就是保持用于评价申请者的质量计划的准则。这些准则已经发展为一种评估质量的有价值的工具。由于质量渗透到组织的各个部分,因此,他和内部控制很相似。它包括7个主要方面:领导;战略计划;关注客户和市场;信息和分析;人力资源开发和管理;流程管理;经营结果。
3、内部审计师协会提供的作为职业标准一部分的内部控制指南。由IIA的内部审计标准委员会(IASB)制定的。1978年,IASB发布了一套标准,它包括5条通用标准和25条一般标准,涵盖了内部审计的独立性、熟练程度、范围和实施以及内部审计部门的管理。1983年开始发布第一期内部审计标准声明(SIAS),主要是内部控制。但是2000年对内部审计标准进行了修订。
4、巴塞尔体系。巴塞尔银行监管委员会是制定国际银行业监管规定的重要国际组织,其成员包括比利时、加拿大、法国、德国、意大利、日本、卢森堡、荷兰、瑞典、瑞士、英国和美国。自1975年成立以来,巴塞尔委员会发布的各项监管原则被人们统称为“巴塞尔体系”。1997年9月公布了《有效银行监管的核心原则》,并汇总以往公布的各项监管文件,形成了巴塞尔委员会文件汇编。
1998年9月,巴塞尔银行监管委员会颁布了“银行内部控制基本原则”的报告,提出了银行内部控制十三条基本原则,为银行内部控制的建立提供了一个基本框架。在这份报告中,巴塞尔银行监管委员会对控制环境强调了管理层的督促和控制文化;在风险评估方面将风险的识别和风险的评估并举;在控制活动方面有突出了职责分离的重要性;特别对信息与交流作了重要的解释;除了监督评审活动之外,还把缺陷的纠正也归纳为内部控制活动。
银行内部控制存在的问题巴塞尔委员会对当时世界银行业出现的一些问题进行了深入的研究和调查,发现几家大银行倒闭或出现问题的主要原则是内部控制系统出现了问题,这些问题对我国银行业而言,可能表现得更为严重。
第一,银行的管理层对银行经营缺乏控制和管理,在整个银行内部,缺少一种“内控文化”,权责不明确。
第二,对一些银行业务所涉及的风险没有足够的认识。一些银行的内控制制度对于传统的业务非常有效,但是当银行涉足新的业务、新的领域时,管理层没有清醒地认识,使原有的内部控制制度随着情况的发展而变化。
第三,内控制度缺乏或者不够完善,在日常经营活动中,权力过分集中,没有有效的审批、确认和审核制度。
第四,银行的各级管理层之间缺乏信息沟通。上情不能下达,有关人员不清楚银行的经营目标和政策;下情也不能上传,基层的违规操作,董事会或高级管理层也不清楚,从而造成银行资产的损失。
第五,缺乏有效的稽查制度,银行的审计和稽核不严格,不能发现银行内部控制系统中存在的问题,及时发现,也没有有效的措施加以纠正。
十三项原则与控制环境有关的基本原则:
原则1:董事会有义务批准、定期检查银行的经营策略和重要政策;了解银行经营中的风险,明确可以接受的风险程度,确保公司的高级人员采取必要的步骤,识别、衡量、监测和控制这些风险;审核公司的组织机构;确保公司的高级管理人员对内控制度的有效性进行监测。董事会最终有义务建立和维持完善、有效的内控制度。
原则2:高级管理层有医务室是董事会批准通过的经营策略和方针;制定和完善有关的制度和程序,用以识别、衡量和监测银行业务中的风险;建立和完善内部组织结构,明确相互的权力和责任;确保赋予下级的任务能够得到有效地执行;制定适当的内控政策;对内控制度的有效性和是否完善进行监测。
原则3:董事会和高级管理层有义务促进银行内部职业道德水平的提高,在银行内部建立一种控制文化,向内部各级职员强调和宣传内部控制的重要性。银行的所有职员都应该了解各自在内控制度中的作用,全面投入内控制度的建设。
与风险评估有关的基本原则:
原则4:为了建立一个有效的内部控制制度,必须有效识别和持续评价有关风险,特别是对银行经营目标有负面影响的重要风险。银行面临的其他风险也必须进行评价(主要包括信用风险、国家和支付转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险)。内控制度还必须随时加以修改和完善,对新的或者以前没有控制的风险进行控制。
与控制活动有关的基本原则:
原则5:内部控制应该成为银行日常业务中不可分离的一部分。一个有效的内部控制制度应该首先建立一套适当的内控结构,在银行业务的每一层级都有明确的内控措施。这些内控措施包括:高层审核、不同部门采取的内控措施;对是否遵守风险头寸进行检查,并在出现违规情况时进行监督;建立审批、授权以及核实制度。
原则6:为了建立有效的内部控制,必须建立适当的责任分离制度,银行职员不能承担有利益冲突的工作。对于潜在的利益冲突,必须加以识别,尽可能降低到最低限度,并且进行仔细地、独立地监督。
与信息与交流有关的原则:
原则7:有效的内部控制同时也应该是一个有效的信息数据系统,掌握全面的内部财务、经营、监测信息,以及对内部决策有关的、反映重大事件和条件变化的外部市场信息。信息本身应该是及时可靠的,随时可以获得,并且前后一致。
原则8:有效的内部控制要求银行必须建立可靠的信息系统,反映银行所有重大业务的情况。所有的信息,包括以电子方式持有和使用的信息,必须保密,独立监测,并且在意外事件发生时,有完善的措施作为备用手段。
原则9:有效的内部控制必须有有效的信息沟通渠道,保证所有银行职员充分了解和遵守涉及其责任和义务的所有政策和程序,保证其他有关信息能够向恰当的人员沟通。
与监督评审有关的原则:
原则10:应该对内部控制是否有效进行持续的监测。对主要风险进行监测应该成为银行日常业务活动组成部分,同时,还应由业务部门和内部审计部门对其进行定期评价。
原则11:内部控制还应该包括完善有效的内部审计制度,由独立的、经过良好训练的合格职员从事内部审计工作。内部审计是内控制度中监测工作的一部分,应该直接向董事会或其审计委员会报告,向高级管理层报告。
原则12:对于内部控制中的缺陷,无论由业务部门、内部审计部门或者其他职员发现,都应该及时向适当的管理层报告,并加以及时处理。内部控制中的重大缺陷应该直接向高级管理层和董事会报告。
原则13:银行的监管机构应该规定,所有银行,不管其大小,都应该建立有效的内部控制系统,同其业务性质、复杂性以及表内和表外业务中潜在风险相适应,并且随着银行外部环境和条件的变化而不断完善。如果监管机构认为银行的内部控制系统不完善,或缺乏有效性(例如没有遵守本报告中规定的所有原则),则应该采取相应的措施和行动。
巴塞尔体系的内部控制思想审慎监管的内部控制原则银行监管者必须确定银行是否具备与其业务性质及规模相适应的完善的内部控制制度。这包括对审批和职责分配的明确安排;将银行承诺、付款和资产与负债帐务处理方面的职能分离;将上述程序交叉核对;资产保护;完善、独立的内部或外部审计,以及检查上述控制措施和有关法律章程遵守情况的职能。
银行监管者必须确定具有完善的政策、做法和程序,其中包括严格的“了解你的客户”的政策,以促进金融部门形成较高的职业道德与专业标准,并防止银行有意或无意地被罪犯所利用。另外还包括资本充足率、贷款损失准备金、资产集中、流动性、风险管理等其他方面。
以上两条体现了银行业风险的特点,并确定其内部控制的目标是确保一家银行的业务能根据银行董事会制定的政策以谨慎的方式经营。只有经过适当的审批方可进行交易;资产受到保护而负债受到限制;会计及其它记录能提供全面、准确和及时的信息;而且管理层能够发现、评估、管理和控制业务的风险。
在审慎原则指导下的银行内部控制主要包括四个部分:1、组织结构:职责的界定,贷款审批的权限分离和决策程序;2、会计规则:对帐、控制单、定期试酸等;3、双人原则:不同职责的分离、交叉核对、资产双重控制和双人签字等;4、对资产和投资的实物控制。
恰当的控制活动要求原则6:控制活动是银行日常经营必不可少的部分,高级管理层必须建立一个适当的控制结构,以确保有效地进行内部控制,限定每个业务层面的控制活动。
1、高层检查:
2、行为控制:
3、实体控制:
4、遵守对披露的限制:
5、批准和授权:
6、确认和对帐:
明确职责分工的内部控制要求原则7:高级管理层应当确保职责分工明确,员工的责任分工没有冲突,应当识别存在潜在利益冲突的区域,对此要谨慎地监控以使其风险降到最小化。
在回顾由银行薄弱的内部控制而引起的主要损失时,监管者发现不当的职责分配是导致这些损失最主要的原因之一。银行为了减少财务数据被更改或资产被任意占用的风险,通常将一些重要的责任分配给几个不同的职员共同进行管理。
责任分离问题不仅仅在于控制一个职员同时负责前后台的业务,当一个职员同时负责下列业务时,不适当的控制也会导致严重的问题:
借鉴巴塞尔协议健全我国银行内部控制根据银行经营特点确定内部控制的原则和基本方式原则:有效性、审慎性、全面性、及时性、独立性方式:组织机构控制、人员素质控制、授权审批制度、职务分离制度、法规制度控制、内部审计制度建立和完善银行内部动态信用评级管理系统关注和管理银行新兴业务的风险建立银行独立的内控评价部门,推行银行认证
本专题的目标是介绍其他内部控制的概念框架。主要有以下几种:
1、加拿大特许会计师协会(CICA)控制准则委员会(CoCo)发布的《控制指南》。COCO于1995年发布了“控制指南”文件。该指南是麦克唐纳委员会1988年提出的一条建议的结果。这条建议是,CICA应当制定准则以使记录保管系统、控制系统和审计系统变得有效和谨慎。
2、马尔科姆·鲍尔里治国家质量奖(MBNQA)准则。1987年,美国设立了马尔科姆·鲍尔里治国家质量奖(以已故的里根政府商务部长的名字命名)。国家标准和技术协会(NIST)负责奖励的管理。他诸多任务中的一项就是保持用于评价申请者的质量计划的准则。这些准则已经发展为一种评估质量的有价值的工具。由于质量渗透到组织的各个部分,因此,他和内部控制很相似。它包括7个主要方面:领导;战略计划;关注客户和市场;信息和分析;人力资源开发和管理;流程管理;经营结果。
3、内部审计师协会提供的作为职业标准一部分的内部控制指南。由IIA的内部审计标准委员会(IASB)制定的。1978年,IASB发布了一套标准,它包括5条通用标准和25条一般标准,涵盖了内部审计的独立性、熟练程度、范围和实施以及内部审计部门的管理。1983年开始发布第一期内部审计标准声明(SIAS),主要是内部控制。但是2000年对内部审计标准进行了修订。
4、巴塞尔体系。巴塞尔银行监管委员会是制定国际银行业监管规定的重要国际组织,其成员包括比利时、加拿大、法国、德国、意大利、日本、卢森堡、荷兰、瑞典、瑞士、英国和美国。自1975年成立以来,巴塞尔委员会发布的各项监管原则被人们统称为“巴塞尔体系”。1997年9月公布了《有效银行监管的核心原则》,并汇总以往公布的各项监管文件,形成了巴塞尔委员会文件汇编。
1998年9月,巴塞尔银行监管委员会颁布了“银行内部控制基本原则”的报告,提出了银行内部控制十三条基本原则,为银行内部控制的建立提供了一个基本框架。在这份报告中,巴塞尔银行监管委员会对控制环境强调了管理层的督促和控制文化;在风险评估方面将风险的识别和风险的评估并举;在控制活动方面有突出了职责分离的重要性;特别对信息与交流作了重要的解释;除了监督评审活动之外,还把缺陷的纠正也归纳为内部控制活动。
银行内部控制存在的问题巴塞尔委员会对当时世界银行业出现的一些问题进行了深入的研究和调查,发现几家大银行倒闭或出现问题的主要原则是内部控制系统出现了问题,这些问题对我国银行业而言,可能表现得更为严重。
第一,银行的管理层对银行经营缺乏控制和管理,在整个银行内部,缺少一种“内控文化”,权责不明确。
第二,对一些银行业务所涉及的风险没有足够的认识。一些银行的内控制制度对于传统的业务非常有效,但是当银行涉足新的业务、新的领域时,管理层没有清醒地认识,使原有的内部控制制度随着情况的发展而变化。
第三,内控制度缺乏或者不够完善,在日常经营活动中,权力过分集中,没有有效的审批、确认和审核制度。
第四,银行的各级管理层之间缺乏信息沟通。上情不能下达,有关人员不清楚银行的经营目标和政策;下情也不能上传,基层的违规操作,董事会或高级管理层也不清楚,从而造成银行资产的损失。
第五,缺乏有效的稽查制度,银行的审计和稽核不严格,不能发现银行内部控制系统中存在的问题,及时发现,也没有有效的措施加以纠正。
十三项原则与控制环境有关的基本原则:
原则1:董事会有义务批准、定期检查银行的经营策略和重要政策;了解银行经营中的风险,明确可以接受的风险程度,确保公司的高级人员采取必要的步骤,识别、衡量、监测和控制这些风险;审核公司的组织机构;确保公司的高级管理人员对内控制度的有效性进行监测。董事会最终有义务建立和维持完善、有效的内控制度。
原则2:高级管理层有医务室是董事会批准通过的经营策略和方针;制定和完善有关的制度和程序,用以识别、衡量和监测银行业务中的风险;建立和完善内部组织结构,明确相互的权力和责任;确保赋予下级的任务能够得到有效地执行;制定适当的内控政策;对内控制度的有效性和是否完善进行监测。
原则3:董事会和高级管理层有义务促进银行内部职业道德水平的提高,在银行内部建立一种控制文化,向内部各级职员强调和宣传内部控制的重要性。银行的所有职员都应该了解各自在内控制度中的作用,全面投入内控制度的建设。
与风险评估有关的基本原则:
原则4:为了建立一个有效的内部控制制度,必须有效识别和持续评价有关风险,特别是对银行经营目标有负面影响的重要风险。银行面临的其他风险也必须进行评价(主要包括信用风险、国家和支付转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险)。内控制度还必须随时加以修改和完善,对新的或者以前没有控制的风险进行控制。
与控制活动有关的基本原则:
原则5:内部控制应该成为银行日常业务中不可分离的一部分。一个有效的内部控制制度应该首先建立一套适当的内控结构,在银行业务的每一层级都有明确的内控措施。这些内控措施包括:高层审核、不同部门采取的内控措施;对是否遵守风险头寸进行检查,并在出现违规情况时进行监督;建立审批、授权以及核实制度。
原则6:为了建立有效的内部控制,必须建立适当的责任分离制度,银行职员不能承担有利益冲突的工作。对于潜在的利益冲突,必须加以识别,尽可能降低到最低限度,并且进行仔细地、独立地监督。
与信息与交流有关的原则:
原则7:有效的内部控制同时也应该是一个有效的信息数据系统,掌握全面的内部财务、经营、监测信息,以及对内部决策有关的、反映重大事件和条件变化的外部市场信息。信息本身应该是及时可靠的,随时可以获得,并且前后一致。
原则8:有效的内部控制要求银行必须建立可靠的信息系统,反映银行所有重大业务的情况。所有的信息,包括以电子方式持有和使用的信息,必须保密,独立监测,并且在意外事件发生时,有完善的措施作为备用手段。
原则9:有效的内部控制必须有有效的信息沟通渠道,保证所有银行职员充分了解和遵守涉及其责任和义务的所有政策和程序,保证其他有关信息能够向恰当的人员沟通。
与监督评审有关的原则:
原则10:应该对内部控制是否有效进行持续的监测。对主要风险进行监测应该成为银行日常业务活动组成部分,同时,还应由业务部门和内部审计部门对其进行定期评价。
原则11:内部控制还应该包括完善有效的内部审计制度,由独立的、经过良好训练的合格职员从事内部审计工作。内部审计是内控制度中监测工作的一部分,应该直接向董事会或其审计委员会报告,向高级管理层报告。
原则12:对于内部控制中的缺陷,无论由业务部门、内部审计部门或者其他职员发现,都应该及时向适当的管理层报告,并加以及时处理。内部控制中的重大缺陷应该直接向高级管理层和董事会报告。
原则13:银行的监管机构应该规定,所有银行,不管其大小,都应该建立有效的内部控制系统,同其业务性质、复杂性以及表内和表外业务中潜在风险相适应,并且随着银行外部环境和条件的变化而不断完善。如果监管机构认为银行的内部控制系统不完善,或缺乏有效性(例如没有遵守本报告中规定的所有原则),则应该采取相应的措施和行动。
巴塞尔体系的内部控制思想审慎监管的内部控制原则银行监管者必须确定银行是否具备与其业务性质及规模相适应的完善的内部控制制度。这包括对审批和职责分配的明确安排;将银行承诺、付款和资产与负债帐务处理方面的职能分离;将上述程序交叉核对;资产保护;完善、独立的内部或外部审计,以及检查上述控制措施和有关法律章程遵守情况的职能。
银行监管者必须确定具有完善的政策、做法和程序,其中包括严格的“了解你的客户”的政策,以促进金融部门形成较高的职业道德与专业标准,并防止银行有意或无意地被罪犯所利用。另外还包括资本充足率、贷款损失准备金、资产集中、流动性、风险管理等其他方面。
以上两条体现了银行业风险的特点,并确定其内部控制的目标是确保一家银行的业务能根据银行董事会制定的政策以谨慎的方式经营。只有经过适当的审批方可进行交易;资产受到保护而负债受到限制;会计及其它记录能提供全面、准确和及时的信息;而且管理层能够发现、评估、管理和控制业务的风险。
在审慎原则指导下的银行内部控制主要包括四个部分:1、组织结构:职责的界定,贷款审批的权限分离和决策程序;2、会计规则:对帐、控制单、定期试酸等;3、双人原则:不同职责的分离、交叉核对、资产双重控制和双人签字等;4、对资产和投资的实物控制。
恰当的控制活动要求原则6:控制活动是银行日常经营必不可少的部分,高级管理层必须建立一个适当的控制结构,以确保有效地进行内部控制,限定每个业务层面的控制活动。
1、高层检查:
2、行为控制:
3、实体控制:
4、遵守对披露的限制:
5、批准和授权:
6、确认和对帐:
明确职责分工的内部控制要求原则7:高级管理层应当确保职责分工明确,员工的责任分工没有冲突,应当识别存在潜在利益冲突的区域,对此要谨慎地监控以使其风险降到最小化。
在回顾由银行薄弱的内部控制而引起的主要损失时,监管者发现不当的职责分配是导致这些损失最主要的原因之一。银行为了减少财务数据被更改或资产被任意占用的风险,通常将一些重要的责任分配给几个不同的职员共同进行管理。
责任分离问题不仅仅在于控制一个职员同时负责前后台的业务,当一个职员同时负责下列业务时,不适当的控制也会导致严重的问题:
借鉴巴塞尔协议健全我国银行内部控制根据银行经营特点确定内部控制的原则和基本方式原则:有效性、审慎性、全面性、及时性、独立性方式:组织机构控制、人员素质控制、授权审批制度、职务分离制度、法规制度控制、内部审计制度建立和完善银行内部动态信用评级管理系统关注和管理银行新兴业务的风险建立银行独立的内控评价部门,推行银行认证