構建我國商業(yè)銀行的有效內(nèi)部控制體系

劉關新

摘 要:有效的內(nèi)部控制是確保我國商業(yè)銀行持續(xù)健康發(fā)展的關鍵。但是,我國商業(yè)銀行目前順應COSO框架構建的內(nèi)部控制并不足以滿足全面管理的需要。正確的做法是,順應全面風險管理,對COSO框架進一步完善,拓寬其外延,構建更為有效的內(nèi)部控制體系。

關鍵詞:內(nèi)部控制 COSO 內(nèi)控體系

中圖分類號:F830.2 文獻標識碼:A

文章編號:1004-4914(2009)08-195-02

一、問題的提出

構建有效的內(nèi)部控制體系,維護我國商業(yè)銀行良好的發(fā)展態(tài)勢和公共形象在金融全球化的今天顯得十分重要。從全球來看,由于美國對全球的巨大影響,全美反欺詐財務報告委員會制定的COSO框架已經(jīng)成為各國理解和評價組織內(nèi)部控制的公認標準。該框架將內(nèi)部控制定義為“受企業(yè)董事會、管理當局和其他職員的影響,目的在于為取得經(jīng)營效果和效率、財務報告的可靠性、遵循適當?shù)姆ㄒ?guī)等目標而提供合理保證的一種過程”,把內(nèi)部控制分為控制環(huán)境、風險評估、控制活動、信息交流與反饋、監(jiān)督評價與糾正五個要求,并列出了相關內(nèi)容。我國的銀行監(jiān)管組織,如國家審計署、中國銀行業(yè)監(jiān)督委員會、中國人民銀行,目前基本是在按該框架建立體系,評價各商業(yè)銀行的內(nèi)部控制;各家商業(yè)銀行也都在按照該框架構建自身的內(nèi)部控制體系,開展內(nèi)部控制評審。但是,正如美國知名內(nèi)部控制專家史蒂文·J·魯特在其所著《超越COSO——加強公司治理的內(nèi)部控制》中強調(diào)的那樣,該框架主要代表財務、會計、審計,特別是外部公眾會計職業(yè)界、監(jiān)管者的觀點,它能夠幫助管理者有效控制財務報告的風險,卻并不能幫助其更好地達到創(chuàng)造價值這一主要目標,以滿足股東、投資者的需要。同時,該框架也僅僅是基于內(nèi)部控制的一般原理而設計,未能反映出當今時代銀行業(yè)的控制要求。因此,從商業(yè)銀行全面管理的角度,從努力發(fā)揮內(nèi)部控制對實現(xiàn)我國商業(yè)銀行戰(zhàn)略愿景的助推作用來看,我國商業(yè)銀行應參照該框架,更要超越該框架,取長補短,構建有效的內(nèi)部控制體系。

二、COSO內(nèi)部控制框架的現(xiàn)實局限性分析

從商業(yè)銀行經(jīng)營管理的現(xiàn)實來看,COSO內(nèi)部控制框架具有一定的缺陷。具體體現(xiàn)在以下方面:(1)COSO內(nèi)部控制框架提出的內(nèi)部控制的目標包括運營的效果和效率、財務報告的可靠性、遵守適用的法律和法規(guī)三項。這三個目標僅僅包括與財務報告有關的三項內(nèi)容,突出的是會計控制,提供的只是過去已發(fā)生事件的信息,不足以用來指導和評價公司創(chuàng)造未來價值的活動,更沒有賦予影響經(jīng)營結(jié)果的管理控制活動以應有的地位。(2)控制環(huán)境是COSO內(nèi)部控制框架五要素中最主要的一環(huán),它對組織應采取的控制措施具有決定性的影響。但COSO框架中的控制環(huán)境只考慮了組織內(nèi)部因素,這就其關注的事項——財務會計報告控制來說無可厚非,因為財務會計報告的控制主要受組織內(nèi)部因素的影響。但在一個高度競爭的市場環(huán)境中,商業(yè)銀行的內(nèi)部控制將更多地受客戶反應、同業(yè)策略的影響,僅考慮內(nèi)部環(huán)境顯然過于狹隘。(3)COSO內(nèi)部控制要素中的風險識別和評估傾向于順著各類控制過程確定風險點、提出風險控制措施。這樣,運用COSO框架所識別和評估的風險可能過于細微,與組織整個經(jīng)營管理目標的關聯(lián)度不高,無礙于組織戰(zhàn)略目標的實現(xiàn),甚至是組織為實現(xiàn)其目標而應當接受的風險。據(jù)其采取控制措施可能無法有效防范組織層面的風險,也無助于組織戰(zhàn)略目標的實現(xiàn)。(4)該框架由全美反欺詐財務報告委員會設計,作為一個政府監(jiān)管組織,它不甚關注企業(yè)如何采取控制活動來獲取最大的效益,而重點關注的是通過怎樣的控制,讓股東、社會公眾獲取企業(yè)真實的財務信息,以方便決策。而按照這一目的,多一些控制自然可以提供更可靠的保證。因此,按照該控制框架的思路操作,當問題出現(xiàn)時人們往往首先想到的是增加控制,層層加碼,使得操作規(guī)章越來越復雜。一方面,導致許多人總認為控制是限制性的,是“緊身衣”、“緊箍咒”,降低了對內(nèi)部控制的熱情;另一方面,給商業(yè)銀行帶來的只能是經(jīng)營效率和效果的降低,以及客戶響應度的遲緩。

三、我國商業(yè)銀行有效內(nèi)部控制體系的構建

1.拓展COSO內(nèi)部控制目標,構建滿足各方面有效需求的目標體系。在當今這個競爭激烈的時代,一個組織必須首先在客戶、員工、過程、技術和創(chuàng)新等諸方面獲得競爭優(yōu)勢,才能持續(xù)發(fā)展、創(chuàng)造最大化價值,也才能從根本上降低財務信息失實、不遵循財務會計政策的風險,因為這些問題往往都發(fā)生在企業(yè)無法實現(xiàn)滿意的業(yè)績時。有鑒于此,國際內(nèi)部審計師協(xié)會就指出:“內(nèi)部控制可以把市場需要、客戶反映和組織競爭的各種要素納入到控制目標之中,并通過內(nèi)部控制保證組織以不斷提高的質(zhì)量標準服務于市場、服務于顧客,取得持續(xù)的競爭優(yōu)勢和良好的業(yè)績。”因此,我國商業(yè)銀行必須拓展COSO控制框架的目標,借鑒平衡記分卡的業(yè)績評價方法,從財務、客戶、內(nèi)部業(yè)務流程、學習與成長等方面著手,建立適應顧客、市場、股東、投資者、國家、監(jiān)管者、員工和社會公眾需要的全面的內(nèi)部控制目標體系,同時注意根據(jù)環(huán)境的變化不斷調(diào)整完善,保持其適當性。

2.拓展COSO內(nèi)部控制活動的范圍,實施全方位控制。從現(xiàn)代內(nèi)部控制理論來看,控制包括會計控制,也包括管理控制,即控制既要保證會計系統(tǒng)的有效和財務會計信息的真實、完整,也要關注影響經(jīng)營結(jié)果的過程的控制;控制不僅僅是管理的四大職能之一,而是已經(jīng)融于了管理的全過程,管理的其他三大職能——計劃、組織、領導,都需要有效的控制,才能使組織經(jīng)濟高效地實現(xiàn)其經(jīng)營目標。我國商業(yè)銀行是一個企業(yè),股東、投資者不僅僅關注其財務報告所披露的財務信息是否真實,更主要的興趣還在于他們的投資是否增值、增值幅度是否符合其預期。因此,在重視按照COSO框架加強財務會計活動控制的基礎上,我國商業(yè)銀行還更應注意創(chuàng)造滿意業(yè)績的相關活動的控制,擴大控制活動的范圍。一方面,要將控制活動擴大到整個經(jīng)營管理領域,把目標設定、風險管理、客戶服務、經(jīng)營流程、運行機制的合理性、有效性全部納入控制范圍;另一方面,既要關注操作層面經(jīng)營管理活動的控制,更要關注公司治理、戰(zhàn)略決策層面的控制,因為只有治理結(jié)構有效、戰(zhàn)略決策正確,才能從根本上保證我國商業(yè)銀行經(jīng)營目標的經(jīng)濟有效實現(xiàn)。

3.拓展控制關注的內(nèi)容,謀求恰如其分的控制。從管理角度來看,一個組織存在的目的是要追求獲得最大的效益,這就要求其控制必須考慮成本效益,而不是傳統(tǒng)的越多越好?，F(xiàn)代內(nèi)部審計之父索耶就指出:“過度控制與缺乏控制一樣有害,昂貴的、限制性的控制可能抑制績效和主動性,所得到的保護是以壓抑為代價的?！币虼?為了構建以客戶為中心的經(jīng)營機制,提升市場競爭力和價值創(chuàng)造力,我國商業(yè)銀行在設計內(nèi)部控制時既要關注控制不足問題,也要關注控制過度問題,要在該增加控制時及時增加,該減少控制時毫不猶豫地減少,通過恰當?shù)膬?nèi)部控制讓全行始終保持在一個理想的控制狀態(tài),使內(nèi)部控制成為幫助各級管理者整合其所有資源,實現(xiàn)經(jīng)營目標的積極工具。

4.擴展COSO框架控制環(huán)境要素的外延,從更開放的視角來考慮內(nèi)部控制。隨著經(jīng)濟的全球化,任何組織都被置于了一個更加開放、競爭更加激烈的環(huán)境,內(nèi)部控制僅僅考慮內(nèi)部因素的影響已經(jīng)遠遠不夠,組織外部的環(huán)境往往也會對組織內(nèi)部控制和管理產(chǎn)生巨大的影響。現(xiàn)代管理學認為,一個組織要想生存、發(fā)展和興旺,管理者必須充分認識所處環(huán)境中的一系列因素,并且保證自己的組織對這些因素做出快速又恰當?shù)姆磻?。當?除COSO框架外的大部分內(nèi)部控制體系都考慮了外部因素對內(nèi)部控制的影響。如國際內(nèi)審研究院制定的“系統(tǒng)鑒證與控制模型(SAC)”直接將外部環(huán)境作為內(nèi)部控制的一個重要因素,并將影響內(nèi)部控制環(huán)境的外部因素細分為兩種,一是與外部實體(供應商、合作伙伴、代理商)之間的交互作用及相互依賴性,二是外部市場力量(如客戶、競爭對手、監(jiān)管者、共同體、股東),要求在內(nèi)部控制的五個環(huán)節(jié)都予以考慮。隨著我國金融業(yè)的全面開放,我國商業(yè)銀行面對的已經(jīng)不是一個封閉的經(jīng)營環(huán)境,而是一個完全開放的市場;我國商業(yè)銀行也已經(jīng)不是一個市場壟斷者或主導者,而完全成了一個市場行為追隨者、行業(yè)慣例的接受者。因此,構建我國商業(yè)銀行的內(nèi)部控制體系時,必須認真分析外部環(huán)境,包括經(jīng)濟發(fā)展的周期、產(chǎn)業(yè)行業(yè)發(fā)展趨勢、法律法規(guī)的要求和變化、客戶需求和同業(yè)競爭的特點等等,并采用SWOT分析法,有效發(fā)現(xiàn)環(huán)境因素中的機會和威脅,充分識別我國商業(yè)銀行內(nèi)部控制(包括內(nèi)部環(huán)境)的優(yōu)勢和劣勢,設計針對性的控制措施,使其與外部環(huán)境始終保持一種良好的互動狀態(tài)。

5.提升COSO風險評估層次,密切風險評估與我國商業(yè)銀行戰(zhàn)略目標的關聯(lián)度。COSO內(nèi)部控制框架1992年發(fā)布之后,許多國家和組織已經(jīng)看到了其在風險識別與評估方面的缺陷。加拿大特許會計師協(xié)會1995年發(fā)布的控制標準框架(COCO)、英國1999年發(fā)布的特恩布爾內(nèi)部控制報告就對其進行了修正,更強調(diào)基于組織目標的風險管理,并將風險分析作為設計有效內(nèi)部控制的首要步驟。COSO委員會經(jīng)過反思,在2004年發(fā)布了企業(yè)風險管理(ERM)框架,提出了理解和評價企業(yè)層面所有機構風險的框架,明確指出“企業(yè)風險管理是一個受機構董事會、管理層以及其他人員影響的過程,它可以運用在戰(zhàn)略設定并貫穿于企業(yè)當中,確認影響機構的潛在事件,并在風險偏好內(nèi)管理風險,為機構目標的實現(xiàn)提供合理的保證”。因此,我國商業(yè)銀行內(nèi)部控制體系的建立必須拓展風險識別與評估的層次。首先,應樹立“戰(zhàn)略風險”意識,應清楚理解、把握我國商業(yè)銀行的總體戰(zhàn)略目標,以及各個層次的分目標,始終注意優(yōu)先識別和管理與我國商業(yè)銀行戰(zhàn)略相關的風險。其次,應樹立“風險偏好”理念。風險偏好是我國商業(yè)銀行在追求自身戰(zhàn)略目標時愿意接受的風險數(shù)量。承受風險是商業(yè)銀行的核心特征,我國商業(yè)銀行要實現(xiàn)自己的戰(zhàn)略目標,必須接受一定的風險,也就是要有自己的風險偏好。我國商業(yè)銀行要引導全行員工改變傳統(tǒng)上一看到風險因素就想控制的傳統(tǒng)認識,推行積極的風險管理,開展風險收益評價,只要所承受的風險能夠以所得收益覆蓋,我國商業(yè)銀行就應當承受,從而將精力集中在超過自身偏好的風險上。

6.藝術地、綜合地設計和運用控制手段,使各種控制手段之間能夠相得益彰、揚長避短。任何內(nèi)部控制措施都是一把“雙刃劍”,既可能防范風險,也可能帶來負面影響,甚至損害組織的整體利益。同樣的風險可以采取的控制措施多種多樣,富有成效的控制就是要對這多種方法進行科學合理的組合搭配,既有效控制風險,又盡可能避免其負面影響。如崗位輪換,管理學就認為,它能夠防范一個人長期在某一崗位上工作可能帶來的風險,但也會影響那些聰明且富有進取心的員工的積極性,非自愿地對員工進行崗位輪換還可能導致曠工和事故的增加。因此,對一些不適宜輪換或采取輪換方式可能得不償失的崗位,采用加大監(jiān)督檢查頻率、實施科學的激勵約束、培育良好的道德氛圍等替代手段,照樣能夠有效控制風險。因此,我國商業(yè)銀行首先對任何一個風險點制定的控制制度,都要盡可能地設計多種可供選擇、可以替代的控制措施,并允許執(zhí)行者根據(jù)實際情況靈活選擇;其次,對單一控制過程設計的控制措施,要具有一定的靈活性,為執(zhí)行者采取設計者沒有考慮到的其他替代措施留下接口,允許執(zhí)行者根據(jù)實際情況選用其他控制措施;其三,實施內(nèi)部控制合規(guī)性、遵循性檢查評價時,要避免機械地看是否遵循了哪個具體制度、執(zhí)行了某個具體的控制措施,而應從整體的角度去判斷其控制的有效性。

四、結(jié)論

筆者從商業(yè)銀行全面管理的視角,分析了COSO內(nèi)部控制框架的局限性,提出我國商業(yè)銀行應立足COSO框架,但不應拘泥于該框架,在具體的內(nèi)部控制體系的構建中,應拓展內(nèi)部控制的目標、內(nèi)部控制活動的范圍、內(nèi)部控制環(huán)境的外延,提升內(nèi)部控制風險評估的層次。最重要的,內(nèi)部控制作為商業(yè)銀行管理活動的一部分,在實際運用中必須靈活、藝術。只有這樣才能使內(nèi)部控制更有效地服務于我國商業(yè)銀行的經(jīng)營管理和健康發(fā)展。

參考文獻:

1.中國人民銀行.商業(yè)銀行內(nèi)部控制指引,2002.9.18

2.葉永剛,顧京圃.中國商業(yè)銀行內(nèi)部控制體系研究、設計與實施[M].中國金融出版社,2003

3.中國內(nèi)部審計協(xié)會.經(jīng)營分析和信息技術(第三版)[M].中國財政經(jīng)濟出版社,2004

4.[美]史蒂文·J·魯特.超越COSO——加強公司治理的內(nèi)部控制[M].中國財政經(jīng)濟出版社,2004

5.[美]索耶.索耶內(nèi)部審計(第五版)[M].中國財政經(jīng)濟出版社,2005

6.[美]加雷思.瓊斯.珍妮弗.喬治.當代管理學(第三版)[M].人民郵電出版社,2005

7.[美]James Roth.最佳內(nèi)部控制評估實務—自我評估與風險評估[M].中國內(nèi)部審計協(xié)會印制,2006(7)

8.[美]斯科特·格林.薩班斯法案內(nèi)控指南[M].經(jīng)濟科學出版社,2007

9.楊雄勝.內(nèi)部控制理論面臨的困境及其出路[J].會計研究,2006(2)

10.李兮旸.論我國企業(yè)內(nèi)部控制失效的治理[J].當代經(jīng)濟,2007(1)

(作者單位:中國建設銀行陜西省分行 陜西西安 710002)

(責編:呂尚)