首页> 图书频道> 经管> 金融会计

一、内部控制

2026年01月15日
版权
一、内部控制

(一)内部控制的概念

内部控制是各个组织控制操作风险最重要的管理方法。所谓内部控制,是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。巴塞尔协议体系核心监管原则中,历来重视内部控制在风险管理中的重要作用。巴塞尔委员会在1997年9月颁布的《有效银行监管的核心原则》中第一次提出具有普遍意义的内部控制原则,以指导和加强银行业的内部控制,指出“内部控制的目的是确保银行的业务能根据银行董事会制定的政策以谨慎的方式经营。只有经过适当的授权方式方可进行交易,资产得到保护而负债受到控制,会计及其他记录能够提供全面、准确和及时的信息,而且管理层能够发现、评估、管理和控制业务的风险。”在2006年修改的《有效银行监管的核心原则》中,则强调指出,“银行监管当局必须满意地看到,银行具备与其业务规模和复杂程度相匹配的内部控制。各项内部控制应包括对授权和职责的明确规定,银行做出承诺,付款和资产与负债账务处理方面的职能分离,上述程序的交叉核对,资产保护,完善独立的内部审计,检查上述控制职能和相关法律、法规合规情况的职能(原则 17-内部控制和审计)。”

1997年中国人民银行在《加强金融机构内部控制的指导原则》中对金融机构内部控制原则与目标、基本内容与要求、管理与检查等方面均设定了明确的指导性规定,全面参考巴塞尔委员会颁布的《有效银行监管的核心原则》,对我国金融机构内部控制的建设具有积极意义。

银监会于2007年最终定稿的《商业银行内部控制指引》对我国商业银行内部控制制度做了进一步的指导和探索,对内部控制做了如下定义:“商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制和事后评价的动态过程和机制。”这个定义突出了对内部风险的动态处理特征,是一个很大的进步。这个指引还具体探讨了商业银行内控制度若干核心问题,是中国广大商业银行及非银行类金融机构内控自评价时的主要参照。

根据巴塞尔协议体系对内部控制的要求,内部控制应该达到以下三大目标:运营目标、信息目标、合规目标。运营目标确保各岗位运行的效率和各项经营活动的效果,避免无效运作。信息目标确保银行经营管理的信息传递、反馈和财务运行等信息的全过程可靠、完整。合规目标确保整体运作受制于法律、法规和内部规章制约,依法合规经营。

上述三大目标相辅相成、互为补充、互为条件、互相兼容,只有正确把握三大目标的度与量,才能有效地实现金融机构内控目标。

根据银监会《商业银行内部控制指引》,我国商业银行内部控制的目标包括以下四项:①保证国家法律法规、金融监管规章和金融机构内部规章制度的贯彻执行。②保证自身发展略与经营目标的全面实施和充分实现。③保证业务记录、财务信息以及其他管理信息的及时、完整和真实。④保证风险管理体系的有效性,确保将各种风险控制在适当的范围内。

可以看出,这四项目标的前三项分别为合规目标、运营目标和信息目标,而最后一项则说明商业银行内部控制的核心目标是保证风险管理体系的有效性。

(二)内部控制的具体做法

当前,美国的COSO 框架、巴塞尔协议体系下的银行组织内部控制系统框架、加拿大的COCO 控制指南、英国的Turnbull 指南是世界上广为接受的内部控制框架体系。在这几类内部控制框架中,COSO 内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架,同时《萨班斯一奥克斯利法案》第404条款的“最终细则“也明确表明 COSO 内部控制框架可以作为评估企业内部控制的标准。纽约证券交易所上市的公司,需要按照法案要求,引进 COSO 内部控制框架,整合现有内部控制,满足法案的要求。因为纽约证券交易所上市公司众多,且多为世界经济巨头,故而这样的客观要求促使 COSO 框架成为被世界广为接受且使用范围最广的内部控制框架。

巴塞尔协议体系下的银行组织内部控制系统框架,认同和发展了COSO 内部控制框架。银行组织内部控制系统框架包括五大要素,即管理层的督促与控制文化、风险识别与评价、控制活动与职责分离、信息与交流、监控评审活动与缺陷的纠正,此五要素可与 COSO的五要素相对应。故可将此内部控制系统框架视作 COSO 框架在银行业的特殊领域应用。

1992年9月,随着公司舞弊行为和社会公众的利益冲突日益加剧,为调和矛盾,美国反对虚假报告委员会所属的发起机构委员会(简称“COSO 委员会”)提出了“内部控制整合框架”。1994年,COSO 委员会公布了该报告的修订版,得到了美国审计署(GAO) 和美国注册会计师协会(AICPA)等权威机构的大力支持。COSO 报告将内部控制看作一个受公司决策层、经理层及其他人员影响的过程,旨在保证财务报告的可靠性、经营的效果和效率以及遵循现行的法规。COSO 委员会内部控制整体架构主要由控制环境、风险评估、控制活动、信息沟通和监督五项要素构成,其对象是所有的组织,也包括金融机构。

控制环境(control environment)是提供控制人员开展各项活动和进行监控活动的基础,既包括公司的诚信度和道德观,也包括员工的道德标准和能力。另外,COSO 还特别强调组织的管理风格和规模对控制环境会有深远影响。环境要素是推动企业发展的引擎,也是其他一切要素的核心。

风险评估(risk appraisal)就是识别并分析实现目标的过程中存在的重大风险,它是决定未来如何管理风险的基础。COSO 报告认为,商业决策和公司运营必然会产生风险,且没有任何一种方法可以将风险降至零。通过风险评估这个过程可以识别和评估风险,选取对公司实现其目标有重大影响的风险进行管理,并决定未来在该项风险投放的资源、相关的管理改进等问题。COSO 报告希望公司应采取定期的、正式的、备有证明的文件努力去识别所有风险。

控制活动(control activity)就是确保管理层得到实施的政策和程序。控制活动分为三种类型:经营控制活动、财务控制活动和遵守法律控制活动。控制活动是管理的工具,为管理各类风险,公司必须建立并有效执行实施控制的各项政策和流程。

信息沟通(information and communication)是将上述三项活动相联系的纽带,为了实现公司目标,公司的所有层级,特别是高级管理人员和风险管理人员都需要获取大量的经营和财务信息。而沟通的目的就是为了确保所有人员都能接受来自高级管理层对控制责任和内部控制重要性的认识。

监督(monitoring)。整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。COSO将监督看成是评估各个时期的内部控制质量过程的一部分,只有将公司运营的全过程置于监控之下,控制系统才可以反馈,并在授权范围内及时做出调整。这个过程可以包括即时监督、分别评估或两者的组合。

COSO 报告提出了经营目标、财务报告目标和合规目标三大目标,以及内部控制环境,内部控制策划、实施和运行,检测评价与持续改进,信息交流与反馈五大要素。COSO 报告提出的五大要素采用了“策划—实施—检查—处理”(PDCA)循环的管理模式,是系统论、控制论和信息论在管理中的具体应用。

COSO 报告还对内部控制中各个参与主体所应承担的职责做了要求:

①管理层:CEO 最终负责整个控制系统。对于大公司而言,CEO 可以把权限分配给CRO或其他负责风险管理的高级管理层,并评价其控制活动,然后,高级管理层具体制定控制的程序和人员责任;对于小公司而言,一切可以更为直接,由 CEO 具体执行。

②董事会:管理层对董事会负责,由董事会设计治理结构,指导监管的进行。有效的董事会应掌握上下沟通的有效渠道,设立财务、内部审计等职能,防止管理层通过超越 控制、有意歪曲事实来掩盖管理的缺陷。

③内部审计师:内审对评价控制系统的有效性具有重要作用,对公司的治理结构行使着监管的职能。

④内部其他人员:明确各自的职责,提供系统所需的信息,实现相应的控制;对经营中出现的问题,对不合法、违规行为有责任与上级沟通。

⑤外部人员:公司的外部人员也有助于控制目标的实现,如外部审计可提供客观独立的评价,通过财务报表审计直接向管理阶层提供有用信息;另如法律部门、监管机构、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。(https://www.daowen.com)

当前,中国企业都需要按照财政部、银监会、证监会、保监会、审计署等五部委共同发布的《企业内部控制基本规范》和《企业内部控制配套指引》来规范内部控制,银行及集团财务公司等非银行类金融机构参照《商业银行内部控制指引》执行,证券公司参照《证券公司内部控制指引》执行,保险公司参照《保险公司内部控制基本准则》执行。尽管如此,金融机构因内部控制出现问题而导致巨额损失的例子仍然比比皆是,案例众多,金额触目惊心。

相关案例Ⅰ:中国银行河松街支行 10 亿元存款失踪案

2005年1月4日,东北高速公司在河松街支行对账发现该公司两个账户应有的存款余额近 3 亿元只剩下 7万多元,其余存款去向不明。另外,东北高速子公司——黑龙江东高投资开发有限公司存于该行的530万元资金也去向不明。与此同时,河松街支行行长高山也神秘“失踪”。东北高速公司随即向警方报案。

警方后来调查发现,此案 10 亿元资金涉及东北高速公司在哈尔滨河松街支行的两个账户中共计存款余额 2.9337 亿元;东北高速公司子公司——黑龙江东高投资开发有限公司存于该行的530万元资金;黑龙江辰能哈工大高科技风险投资有限公司所存的3 亿余元资金;黑龙江社保局 1.8 亿元资金;同时,东高投资开发有限公司存在大庆市农业银行的履约保证金2 427.98万元亦被悉数卷走。

事后查明,该行行长高山以跳票飞单的形式,利用高息获得巨额存款,在休眠期串通世纪绿洲系企业的实际控制人李东哲通过地下钱庄将超过 10 亿元的资金汇往国外并顺利出境。

“飞单”或“跳票”这种融资手段,即用高息揽存的方法,把企业的大额资金套进指定银行,然后通过各种手段把固定期限的存款划转到另一家企业的账户上使用,到期限结算时再把本金连同利息“回笼”,从而完成一次交易。一般贷方只需将钱以“活期”形式存入指定银行,然后自己拿着高息承诺的存款凭据。贷方唯一的“代价”是要签一份书面文件,并加盖法人印鉴和本单位支票专用印鉴,承诺一年的“休眠期”之内不得支取这笔款项。

包括东北高速公司在内的多家企业,将账户开在河松街支行后,运用支票的形式将资金转移到河松街支行的账上,然后通过背书转让或者其他转账方式转至其他账户用作他途;同时,河松街支行向企业出具虚假的存款凭证和对账单,维持资金仍在企业中国银行账户上的假象。但正是这一年的“休眠期”使李东哲和高山有了充分的时间去转移这笔资金。

资料来源:中国银行黑龙江河松街支行的公开材料,包括金融界网站专题“中行高山案”;人民网法治专题“中行黑龙江河松街支行金融大案”。

相关案例Ⅱ:美国银行的内部控制实践

为了确保风险与回报的适当平衡,需设置系统且全面覆盖的风险管理流程,在全行范围内识别、度量、监测和管理风险,采用一全面综合的方法审视风险。美国银行的风险管理流程包括识别和度量、政策和审批、缓释和升级调整、报告和评估、培训和认知等环节。风险评级、风险矩阵等控制流程也都是标准化的,能确保信息透过业务单元和产品类别进行汇总。美国银行的风险管理流程如图 3-1所示。

图示

图3-1 美国银行的风险管理流程

作为风险和收益管理的一部分,美国银行认为每个员工都应承担100%的报告义务——用公开、直接的方式揭示和标示所有风险。最佳决策依赖于所有交易和事项充分披露,为达到这个目标,美国银行运用多种风险管理工具,如使用六西格玛法来寻求机会,测量和管理风险,平衡风险和收益。

1.三道防线

美国银行的风险管理架构和流程建立在三道防线的基础上,其中的任意一层对确保经营活动中风险与收益的合理识别、计量和管理都有重要的意义。三道防线(见图 3-2) 需要有高效的团队合作,团队的每个角色都应对自己的岗位负责。与传统意义上的三道防线相比,美国银行将财务、会计、人力资源、IT 一同视为第二道防线的组成部分,与风险管理部共同组织业务单元,识别、评估并降低风险。

图示

图3-2 美国银行的三道防线设置

2.持续改进

持续改进为美国银行风险与汇报管理模式的特点之一。目前美国银行关注的改进是加强市场风险和操作风险管理体系的建设,进一步提高在跨业务单元风险方面的预测能力并进一步加强报酬与绩效之间的联系。

3.合规管理

美国银行将合规视为其根本的经营之道。合规是各业务单元以及所有员工的首要职责。每项业务的合规包含 7个元素:承诺和责任、政策和操作规程、控制和检查、监管检查、监督、培训和认知以及报告。

CEO 每年与各业务单元执行官会晤检查其主要的合规风险以及合规程序的执行情况,评估第一道、第二道防线负责人对最高标准合规要求的责任表现、尽责程度和贯彻落实情况。

所有员工每年必须承诺将严格遵守道德行为手册上的内容规定,并将其作为继续聘用的条件之一。要求员工接受反洗钱培训,了解并掌握客户情况,注重保密,重视信息安全等。