论文部分内容阅读
【摘 要】建立健全内部控制机制,是企业适应国内外资本市场监管的需要,更是企业促进发展、提升管理水平和风险防范能力的客观需求。本文结合银行类企业内控现状,分析当前企业内部控制建设面临的问题,并从领导重视、全员参与、全程管理、稳步推进等方面探讨完善企业内部控制体系建设的策略。
【关键词】内部控制;银行;策略
上网搜索一下“成功企业”这个关键词,会发现不同的企业各有其成功之道,但鲜有说是因内部控制搞得好而成功的;同样搜索一下“失败企业”,却几乎没有一家企业不提到是因为内部控制出现了诸多问题。良好的内部控制是企业成功的必备条件,内部控制能为企业战略的有效实施、资源的优化配置、企业价值的持续提升提供强有力的支撑,是企业有效防范经营风险、促进健康发展的重要保障,内部控制因此又被称为企业的“免疫系统”。
一、我国企业内部控制建设的背景和现状
美国是世界上内控建设比较前沿的国家,先后有1992年的《内部控制整合框架》(COSO)、2002年的《萨班斯法案》(SOX)、2004年的《企业风险管理整合框架》(COSO-ERM)出台,被认为是规范内部控制的高质量标准,内部控制的目标由最初的单纯对财务报告的控制,发展到对企业战略、经营效率和效果、资产安全、遵循法律法规情况的全面控制。在我国,内部控制建设起步较晚,企业内部控制制度主要由2008年的《企业内部控制基本规范》和2010年的《企业内部控制配套指引》组成,二者是规范我国不同类型企业建立健全内部控制的基础性规定,前者自2009年7月1日起已在上市公司范围内施行,后者自2011年1月1日起在境内外同时上市的公司施行,2012年1月1日起已扩大到绝大多数主板上市公司施行。随着内部控制首先在上市公司、中央企业的稳步推进,加之部分企业的主动跟进与探索,我国不同类型的企业在内部控制机制建设方面积累了丰富的经验,同时,也不断发现并纠正推行内部控制过程中遇到的问题和困难。
二、建立健全内部控制体系面临的问题
1.内部控制机构的设置与工作机制有待进一步规范。为保证内部控制措施的有效运行,企业首先需建立健全有效的内部控制机构,并明确各自的职责。企业内部控制机构设置没有统一的模式,应该以提升管理效能、保证信息畅通为标准。银行类金融企业属高负债、高杠杆经营企业,经营风险较大,无论是出于自身考虑还是监管需要,都比较注重内部控制机制的建设,能够按照监管部门要求建立股东大会、董事会、监事会等机构,并制定相应的议事规则,也能在董事会下设风险管理与内部控制委员会(风险控制委员会、审计委员会等),全面统筹本行的风险管理及内部控制工作,内控建设现状在面上优于其他类型企业。但在实际工作中,其内涵距离有效的法人治理结构还有不小的距离,如:烟台银行在长达5年的时间里一直没有设行长一职,在内部公司治理方面存在着严重的缺陷,不能不说是其2012年高达4.36亿元资金案发的一个重要原因。有的银行内部同时设有负责贷款审批的风险管理部门和负责内部控制的内部审计部门,内部控制和风险管理的目的都是防范风险,工作中往往因分头负责、职能交叉、分工不明存在推诿扯皮现象。
2.内部控制没有得到应有的重视。将企业内部控制建设视为“花瓶”工程,是为了应付上级部门的监管需要而设,这种错误认识也不同程度地存在。具体表现在:一是重经营、轻管理,出现矛盾时往往是内控向指标让路;二是名义上是“一把手”工程,实际全部交给分管副职处理;三是被动搞内控,仅限于满足监管的最低要求;四是认为内部控制仅与企业管理层有关,基层员工不了解自身内控责任;五是只有牵头部门在做内部控制,其他业务部门没有真正参与进来。
3.内部控制没有得到全面和全程控制。良好的内部控制应该是一条环环紧扣的闭环循环链,每一个环节都不是静态孤立的,而是相互牵制影响的。实际工作中,各环节经常被隔离开,没有强调从全面和全程角度进行控制,多表现在:设计存在缺陷、重设计、轻执行、重事后控制、轻事前控制等方面。在设计内部控制体系时,有的顾此失彼,忽略了重要环节的控制;有的胡子眉毛一起抓,可用资源捉襟见肘,有的因资源不足索性将重要内部控制(内部控制体系的建设与实施等)全部外包给中介机构;有的缺少对内控执行情况的监督机制,不利于及时对执行过程中发现的偏差纠编。其实,建立了没有任何缺陷的内控制度也并不能代表内控无忧,再完善的制度束之高阁也没有用武之地,往往是到案件发生后方真正感觉内部控制的重要。当前,银行业竞争激烈,利润的增长、市场份额的提升常被认为是当务之急,内控的性质与消防类似,极其重要但多数情况下表现得并不紧急,但如被长期忽视,肯定会引发紧急事件发生。如:1995年交易员里森越权交易导致有200多年历史的英国巴林银行破产、2008年法国兴业银行交易员Kerviel越权交易造成49亿欧元的损失;国内银行有2005年中国银行黑龙江分行的高山巨额资金被卷案、2007年的河北邯郸农业银行5100万元金库被盗案、2011年齐鲁银行高达10亿元的伪造金融票证案、2012年烟台银行4.36亿元的挪用资金案。以上案件无不因多重内控机制层层失效、有章不循、违章操作而引发。银行属高风险行业,内部控制建设虽然总体超前,但即便是英国巴林银行、法国兴业银行这样的老牌银行,仍然不堪越权交易一击,说明再严密的规章制度,执行中存在的漏洞都可能是致命的,制度的有效执行成为现实的“瓶颈”。重事后控制、轻事前控制也是多数现代企业的共同特点,将精力过多地集中在事后控制,不符合内部控制建设的成本效益原则。以上案件的事后责任处理往往连追三级还要多,处理人数之多、处罚之重足以显示对内部控制的重视程度,但事前的内控预警机制建设往往不被关注,内控检查也因流于形式发现不了大的问题,大的案件多是由上级单位检查、外部客户投诉或外部审计部门检查发现,有的作案已持续几年之久,每一个案件案发后的成本都异常高昂,有的甚至付出破产的代价。 三、完善企业内部控制机制建设的策略
1.内部控制必须是“一把手”工程,且保证全员参与。内部控制的效果关键体现在领导是否重视,责任是否明确。“一把手”工程能使内部控制与企业战略更多地结合起来,提升内部控制建设的着眼高度;可以保证内部控制对高素质、复合型人才的特质需求;有利于健全跨部门的联动机制,在职能交叉时能够对有关机构和业务迅速整合,高效解决内部控制执行过程中遇到的困难。内部控制具有全面性和系统性,从企业“一把手”到每一位普通员工,都应对内部控制的实施负有责任。内部控制建设不仅仅是管理部门的事情,必须由企业中各层级人员共同实施,全员参与,由每一位员工自觉践行到日常工作中,倡导全员参与内部控制的设计与执行,全面、全过程予以管理。
2.要抓好内部控制建设的基础工作和关键环节。内部控制建设并非越细越好,也并非环节越多越好,要注意抓好内部控制建设的基础工作和关键环节。内部控制的设计是基础,执行是关键,应首先建立起内部控制体系,再重点抓有效执行和持续改进,执行中注意加强对重点流程与特殊业务的控制,如信贷管理、基建投资、大额采购、人力资源管理等关键环节。事前与事中控制的推进应优先于事后控制,将风险关口尽量前移,减少控制成本,遵循内部控制建设的成本效益原则,体现出内部控制为企业战略服务的初衷。
3.完善内部控制的绩效考评和执行监督机制。银行类企业对经营指标的绩效管理体系相对完善,还应注意将内部控制建设与执行情况纳入到绩效考评体系中,确保内部控制不断完善并高效执行。中国银行不但将对内部控制的考核百分量化用于对分支机构的考核中,还将控制环境、风险评估、控制活动、信息与沟通、内部监督“五要素”进一步细化,将内部控制评价结果与分支机构的经济资本占用挂钩、与经济价值增加值(E
VA)挂钩、与分支机构的绩效奖励挂钩,通过考核将务虚的内部控制与务实的经济指标紧密结合,引起管理层的高度重视,也有利于对内部控制执行过程中发现问题的及时整改,从而步入自行发现内控问题——自行修复完善内控制度的良性循环。
4.关键内部控制建设不能全部实施外包。内部控制建设与企业的核心业务流程、运作模式息息相关,企业应避免将核心内部控制建设全部外包带来的问题不能高效整改、无核心内控人才、受制于第三方机构等问题,尤其是一旦涉及商业秘密,成本和代价就会更高。囿于人员限制,企业可以委托第三方机构进行内部控制的咨询、内部控制的审计与内部控制的评价,内部控制的建设与实施一般应当由企业自上而下自主开展,不得已聘请外部机构协助开展时,应注意保护企业核心商业秘密,培养“本土化”核心内控人才。
5.内部控制建设应与企业信息化建设相结合。随着计算机信息技术的高速发展,企业信息化建设进程加快,应将内部控制举措嵌入到日常业务流程中,实现管理的制度化、制度的流程化、流程的信息化。大型银行的内控机制建设和信息化建设都相对完善,将内部控制制度嵌入到公司、个金、运营、风险、信科等各条线业务日常操作流程中。如:中国银行在客户身份识别环节,已经实现了前台开户时自动联动后台反洗钱系统对控制名单的检索,大大提高了柜台客户身份识别效率,显著减轻了分支机构员工的重复劳动。
6.内部控制建设的推进应分步分类推进。截至目前,我国中央企业尚未全面建立起完善有效的内部控制体系,2012年内部控制在主板上市公司的推进步伐也有所放缓。内部控制建设的目的重在效果,不在速度,因此,虽是发展的大势所趋,但也不能操之过急,需结合企业实际情况,按照重要性原则,分步分类分批循序渐进。按照国资委和财政部要求,中央企业自2013年起每年向国资委报送内部控制评价报告,这说明,我国内部控制“先上市公司、后非上市公司,先中央企业、后其他大中型企业,先主板、后中小板和创业板”的分步分类推进方案正在稳步实施。
参 考 文 献
[1]财政部等.企业内部控制基本规范[M].上海:立信会计出版社,2008
[2]财政部等.企业内部控制配套指引[M].上海:立信会计出版社,2010
[3]财政部.企业内部控制规范体系实施中相关问题解释第1号[N].财政部网站.2012
[4]财政部.企业内部控制规范体系实施中相关问题解释第2号[N].财政部网站.2012
[5]叶雪芳.美国COSO报告及对我国内部控制的启示[J].商业经济与管理.2003(3):62~64
[6]刘春平.企业内部控制[J].企业导报.2009(11)
[7]赵青华.商业银行内控的教训:法国兴业银行案例[J].生产力研究.2009(11):130~131,163
[8]胡兴国,王晶.信息化背景下内部控制体系建设研究[J].财会研究.2009(3):43~44
【关键词】内部控制;银行;策略
上网搜索一下“成功企业”这个关键词,会发现不同的企业各有其成功之道,但鲜有说是因内部控制搞得好而成功的;同样搜索一下“失败企业”,却几乎没有一家企业不提到是因为内部控制出现了诸多问题。良好的内部控制是企业成功的必备条件,内部控制能为企业战略的有效实施、资源的优化配置、企业价值的持续提升提供强有力的支撑,是企业有效防范经营风险、促进健康发展的重要保障,内部控制因此又被称为企业的“免疫系统”。
一、我国企业内部控制建设的背景和现状
美国是世界上内控建设比较前沿的国家,先后有1992年的《内部控制整合框架》(COSO)、2002年的《萨班斯法案》(SOX)、2004年的《企业风险管理整合框架》(COSO-ERM)出台,被认为是规范内部控制的高质量标准,内部控制的目标由最初的单纯对财务报告的控制,发展到对企业战略、经营效率和效果、资产安全、遵循法律法规情况的全面控制。在我国,内部控制建设起步较晚,企业内部控制制度主要由2008年的《企业内部控制基本规范》和2010年的《企业内部控制配套指引》组成,二者是规范我国不同类型企业建立健全内部控制的基础性规定,前者自2009年7月1日起已在上市公司范围内施行,后者自2011年1月1日起在境内外同时上市的公司施行,2012年1月1日起已扩大到绝大多数主板上市公司施行。随着内部控制首先在上市公司、中央企业的稳步推进,加之部分企业的主动跟进与探索,我国不同类型的企业在内部控制机制建设方面积累了丰富的经验,同时,也不断发现并纠正推行内部控制过程中遇到的问题和困难。
二、建立健全内部控制体系面临的问题
1.内部控制机构的设置与工作机制有待进一步规范。为保证内部控制措施的有效运行,企业首先需建立健全有效的内部控制机构,并明确各自的职责。企业内部控制机构设置没有统一的模式,应该以提升管理效能、保证信息畅通为标准。银行类金融企业属高负债、高杠杆经营企业,经营风险较大,无论是出于自身考虑还是监管需要,都比较注重内部控制机制的建设,能够按照监管部门要求建立股东大会、董事会、监事会等机构,并制定相应的议事规则,也能在董事会下设风险管理与内部控制委员会(风险控制委员会、审计委员会等),全面统筹本行的风险管理及内部控制工作,内控建设现状在面上优于其他类型企业。但在实际工作中,其内涵距离有效的法人治理结构还有不小的距离,如:烟台银行在长达5年的时间里一直没有设行长一职,在内部公司治理方面存在着严重的缺陷,不能不说是其2012年高达4.36亿元资金案发的一个重要原因。有的银行内部同时设有负责贷款审批的风险管理部门和负责内部控制的内部审计部门,内部控制和风险管理的目的都是防范风险,工作中往往因分头负责、职能交叉、分工不明存在推诿扯皮现象。
2.内部控制没有得到应有的重视。将企业内部控制建设视为“花瓶”工程,是为了应付上级部门的监管需要而设,这种错误认识也不同程度地存在。具体表现在:一是重经营、轻管理,出现矛盾时往往是内控向指标让路;二是名义上是“一把手”工程,实际全部交给分管副职处理;三是被动搞内控,仅限于满足监管的最低要求;四是认为内部控制仅与企业管理层有关,基层员工不了解自身内控责任;五是只有牵头部门在做内部控制,其他业务部门没有真正参与进来。
3.内部控制没有得到全面和全程控制。良好的内部控制应该是一条环环紧扣的闭环循环链,每一个环节都不是静态孤立的,而是相互牵制影响的。实际工作中,各环节经常被隔离开,没有强调从全面和全程角度进行控制,多表现在:设计存在缺陷、重设计、轻执行、重事后控制、轻事前控制等方面。在设计内部控制体系时,有的顾此失彼,忽略了重要环节的控制;有的胡子眉毛一起抓,可用资源捉襟见肘,有的因资源不足索性将重要内部控制(内部控制体系的建设与实施等)全部外包给中介机构;有的缺少对内控执行情况的监督机制,不利于及时对执行过程中发现的偏差纠编。其实,建立了没有任何缺陷的内控制度也并不能代表内控无忧,再完善的制度束之高阁也没有用武之地,往往是到案件发生后方真正感觉内部控制的重要。当前,银行业竞争激烈,利润的增长、市场份额的提升常被认为是当务之急,内控的性质与消防类似,极其重要但多数情况下表现得并不紧急,但如被长期忽视,肯定会引发紧急事件发生。如:1995年交易员里森越权交易导致有200多年历史的英国巴林银行破产、2008年法国兴业银行交易员Kerviel越权交易造成49亿欧元的损失;国内银行有2005年中国银行黑龙江分行的高山巨额资金被卷案、2007年的河北邯郸农业银行5100万元金库被盗案、2011年齐鲁银行高达10亿元的伪造金融票证案、2012年烟台银行4.36亿元的挪用资金案。以上案件无不因多重内控机制层层失效、有章不循、违章操作而引发。银行属高风险行业,内部控制建设虽然总体超前,但即便是英国巴林银行、法国兴业银行这样的老牌银行,仍然不堪越权交易一击,说明再严密的规章制度,执行中存在的漏洞都可能是致命的,制度的有效执行成为现实的“瓶颈”。重事后控制、轻事前控制也是多数现代企业的共同特点,将精力过多地集中在事后控制,不符合内部控制建设的成本效益原则。以上案件的事后责任处理往往连追三级还要多,处理人数之多、处罚之重足以显示对内部控制的重视程度,但事前的内控预警机制建设往往不被关注,内控检查也因流于形式发现不了大的问题,大的案件多是由上级单位检查、外部客户投诉或外部审计部门检查发现,有的作案已持续几年之久,每一个案件案发后的成本都异常高昂,有的甚至付出破产的代价。 三、完善企业内部控制机制建设的策略
1.内部控制必须是“一把手”工程,且保证全员参与。内部控制的效果关键体现在领导是否重视,责任是否明确。“一把手”工程能使内部控制与企业战略更多地结合起来,提升内部控制建设的着眼高度;可以保证内部控制对高素质、复合型人才的特质需求;有利于健全跨部门的联动机制,在职能交叉时能够对有关机构和业务迅速整合,高效解决内部控制执行过程中遇到的困难。内部控制具有全面性和系统性,从企业“一把手”到每一位普通员工,都应对内部控制的实施负有责任。内部控制建设不仅仅是管理部门的事情,必须由企业中各层级人员共同实施,全员参与,由每一位员工自觉践行到日常工作中,倡导全员参与内部控制的设计与执行,全面、全过程予以管理。
2.要抓好内部控制建设的基础工作和关键环节。内部控制建设并非越细越好,也并非环节越多越好,要注意抓好内部控制建设的基础工作和关键环节。内部控制的设计是基础,执行是关键,应首先建立起内部控制体系,再重点抓有效执行和持续改进,执行中注意加强对重点流程与特殊业务的控制,如信贷管理、基建投资、大额采购、人力资源管理等关键环节。事前与事中控制的推进应优先于事后控制,将风险关口尽量前移,减少控制成本,遵循内部控制建设的成本效益原则,体现出内部控制为企业战略服务的初衷。
3.完善内部控制的绩效考评和执行监督机制。银行类企业对经营指标的绩效管理体系相对完善,还应注意将内部控制建设与执行情况纳入到绩效考评体系中,确保内部控制不断完善并高效执行。中国银行不但将对内部控制的考核百分量化用于对分支机构的考核中,还将控制环境、风险评估、控制活动、信息与沟通、内部监督“五要素”进一步细化,将内部控制评价结果与分支机构的经济资本占用挂钩、与经济价值增加值(E
VA)挂钩、与分支机构的绩效奖励挂钩,通过考核将务虚的内部控制与务实的经济指标紧密结合,引起管理层的高度重视,也有利于对内部控制执行过程中发现问题的及时整改,从而步入自行发现内控问题——自行修复完善内控制度的良性循环。
4.关键内部控制建设不能全部实施外包。内部控制建设与企业的核心业务流程、运作模式息息相关,企业应避免将核心内部控制建设全部外包带来的问题不能高效整改、无核心内控人才、受制于第三方机构等问题,尤其是一旦涉及商业秘密,成本和代价就会更高。囿于人员限制,企业可以委托第三方机构进行内部控制的咨询、内部控制的审计与内部控制的评价,内部控制的建设与实施一般应当由企业自上而下自主开展,不得已聘请外部机构协助开展时,应注意保护企业核心商业秘密,培养“本土化”核心内控人才。
5.内部控制建设应与企业信息化建设相结合。随着计算机信息技术的高速发展,企业信息化建设进程加快,应将内部控制举措嵌入到日常业务流程中,实现管理的制度化、制度的流程化、流程的信息化。大型银行的内控机制建设和信息化建设都相对完善,将内部控制制度嵌入到公司、个金、运营、风险、信科等各条线业务日常操作流程中。如:中国银行在客户身份识别环节,已经实现了前台开户时自动联动后台反洗钱系统对控制名单的检索,大大提高了柜台客户身份识别效率,显著减轻了分支机构员工的重复劳动。
6.内部控制建设的推进应分步分类推进。截至目前,我国中央企业尚未全面建立起完善有效的内部控制体系,2012年内部控制在主板上市公司的推进步伐也有所放缓。内部控制建设的目的重在效果,不在速度,因此,虽是发展的大势所趋,但也不能操之过急,需结合企业实际情况,按照重要性原则,分步分类分批循序渐进。按照国资委和财政部要求,中央企业自2013年起每年向国资委报送内部控制评价报告,这说明,我国内部控制“先上市公司、后非上市公司,先中央企业、后其他大中型企业,先主板、后中小板和创业板”的分步分类推进方案正在稳步实施。
参 考 文 献
[1]财政部等.企业内部控制基本规范[M].上海:立信会计出版社,2008
[2]财政部等.企业内部控制配套指引[M].上海:立信会计出版社,2010
[3]财政部.企业内部控制规范体系实施中相关问题解释第1号[N].财政部网站.2012
[4]财政部.企业内部控制规范体系实施中相关问题解释第2号[N].财政部网站.2012
[5]叶雪芳.美国COSO报告及对我国内部控制的启示[J].商业经济与管理.2003(3):62~64
[6]刘春平.企业内部控制[J].企业导报.2009(11)
[7]赵青华.商业银行内控的教训:法国兴业银行案例[J].生产力研究.2009(11):130~131,163
[8]胡兴国,王晶.信息化背景下内部控制体系建设研究[J].财会研究.2009(3):43~44