强化内审监督 促进内控机制建1.docx
《强化内审监督 促进内控机制建1.docx》由会员分享,可在线阅读,更多相关《强化内审监督 促进内控机制建1.docx(7页珍藏版)》请在冰豆网上搜索。
![强化内审监督 促进内控机制建1.docx](https://file1.bdocx.com/fileroot1/2023-1/10/98fe192e-a9a9-4efe-8a6c-21876a8e015e/98fe192e-a9a9-4efe-8a6c-21876a8e015e1.gif)
强化内审监督促进内控机制建1
强化内审监督促进内控机制建设
摘要:
建立自我管理、自我约束、自我完善的内部控制机制,是对单位各项决策和业务活动进行更有效控制的前提,也是确保各项业务管理工作的制度化、规范化和法制化的基础。
本文试图通过分析银行业目前内部控制现状,揭示内控制度建设和执行中存在的问题和风险隐患,以求达到强化内审监督职能发挥,进一步促进内控机制建设的目的。
本文的第一部分主要是从思想认识、制度建设及运行、内审监督与评价等三个方面存在的问题分析目前银行业内部控制的现状;第二部分是借鉴巴塞尔委员会等权威机构对内部控制的定义、目标等方面的经验,简述我国银行业应具备内部控制的原则和基本方式;第三部分提出建立风险控制的三道防线;创造良好的内控环境;坚持“以人为本”的原则,树立部门的风险防范意识;强化对权力的约束;狠抓内控制度的落实;强化内控监督体系等强化内部管理和内审监督,完善银行内控机制建设的建议;最后强调要正确理解几个关系,即内控制度与管理制度之间的关系、内控与管理的关系、内控与风险管理的关系、内控与内部审计的关系。
一、银行业内部控制的现状
近年来,各家银行根据自身的特点和业务发展的需要,不断加强内部控制制度建设,出台了一系列的制度和办法,在实践中发挥了较好的监督、制约作用。
但是,与建立完善的内部控制制度的要求相比,在组织机构、制度建设、内控意识及执行等方面尚有不小的差距。
况且,内部控制是一个“动态过程”,即是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程,因此,更需要各家银行不断地对自身的内部控制加以完善。
以下从三方面来分析目前银行业在内部控制方面存在的主要问题。
(一)思想认识方面存在的问题:
1、重一般规章制度建设,轻对内控制度含义的理解。
目前一部分人认为只要有了一套书面的规章制度,就是建立了内部控制机制,简单、片面地理解内部控制建设就是各种规章制度的制定和汇总,或认为做了整章建制工作就等于建立了内控机制,对内控和风险管理的内涵,缺乏全面的认识;管理上忽视了内控制度是一种业务运作过程中环环相扣的动态监督机制,内控制度不仅包括完善的规章制度,可行的操作规程和严密的控制程序,还要包括预警预报系统等。
因而导致全员内控意识不浓,事前防范意识不强,加之内控制度的制定者、执行者和监督者之间缺少有机串联,信息沟通缓慢,制度的建设与执行一头热一头冷,造成了内控制度制定先天不足。
2、重外在制度的建设,轻内在素质的提高。
近年来,分支机构积极顺应时势,强化人员培训,提高员工素质,但与此同时,工作中的差错现象、违规行为仍屡屡发生。
反思深究,主要原因就在于重视业务培训,忽视对员工思想政治工作、职业道德、法律法规等方面的教育培训,或者培训对象对业务培训较为重视,而对后者敷衍了事,职工内控自律意识较为淡漠,存有依赖思想,将内控责任上移给中层及以上管理层,导致管理陷入“出现问题-解决问题-再出现问题-再解决问题”的被动循环中。
一些员工甚至对内控制度的遵守和执行产生抱怨情绪和逆反心理,表现出工作不扎实、不细致,从而影响了工作质量,影响了内控效率。
3、重对基层员工控制的有效性,轻对上层管理者控制的有效性。
目前内部控制防范风险的对象主要还是操作层和一般工作人员,并未充分关注决策层和管理层等存在的风险,还不能从内控系统整体的角度,综合分析风险状况,对决策层和掌握一定管理权的各级领导的日常行为缺乏明确有效的控制。
也就是说,在内部管理中,存在着对人员的行为控制是随着其地位的升高而减弱的现象。
所以在制定规章制度时似乎会隐含着这样一个前提:
管理岗位上的人员是可靠的、尽责的,而管理层却游离于内部控制之外,形成内控盲点。
很多的案件表明,一些重大违规、违法行为有不少与部门主管或其他领导越权有关,甚至有的领导直接参与作案。
对管理层缺乏有效的监督约束,是致使内部制约出现断层的结果。
(二)制度建设及运行方面存在的问题:
1、重业务发展,轻及时修订、完善相关的内控制度
近几年来,随着银行业务的创新和不断发展变化,各级银行业务运作流程、管理要求、内容等都在不断发生变化,如各类新兴业务系统的推广应用、电子化水平的日渐提高、反洗钱工作的开展等,但制度建设相对滞后,老的制度已经不能覆盖所有的风险点,均需要完善和修订原有的业务规章及操作规范。
同样,内控建设中对相应的操作规程有的还未修正到位,甚至呈现出静态化的趋势,与实际操作脱节,造成控制盲点,留下了薄弱环节,也就存在了一定的风险隐患。
2、重制度的起草制定,轻制度落实。
在实际工作中,只有将各项内控制度真正落到实处,成为所有员工严格遵守的行动指南,才能真正起到控制风险的作用。
目前,有些行内控建设喊得很响,制度也较健全,但却发生了资金风险事故或案件,其中一个最重要的原因就是没有把规章落到实处,内部控制形同虚设,加上有些管理层特别是一些中层干部的认识以及责任心不到位,制定不落实,甚至对制度理解的扭曲,造成有章不循,违章不究。
除外,还有业务运作与制度落实客观上存在一些矛盾,如人力资源和岗位的合理配置问题,业务环节的流程和人力组合的问题,操作环节和事后监督检查的科技投入问题等等,这些问题如果不能通过制度落实加以解决,必然产生在内控制度落实上的实际困难,从而为有效防范差错事故等管理风险留下了隐患。
3、重对现行制度的补充和执行情况层面的完善,忽视对内控管理框架的健全。
内控系统缺乏实时自我监督、防患于未然的功能。
出现问题时,事后检查、处理和寻找补救措施仍是主要特征,内控系统的自动防范、自我纠错的特点和功能并没有发挥出来。
对此,有效的内控管理应包括内控预警机制、内部风险处置机制、内部风险善后机制、内控管理辅助机制等功能部分。
目前多以制定和补充各项规章制度和业务流程为第一道防线,各要害岗位虽制定风险等级确定风险点,但对风险发生的前兆、等级以及预警措施研究不够,一线人员无法及时识别风险,易成风险隐患;还有多数部门尚未制定突发事件的应急方案,应对风险处置的能力比较薄弱,对发生风险的善后问题考虑不多,一旦发生风险后如何及时控制,减少损失的措施未得到有效落实。
由于内控管理还没有配套的辅助机制来保证内控制度的全面、及时和准确地贯彻与落实,内控制度的效能尚未充分发挥,所以有章不循、有令不行、屡禁不止,违规违纪行为甚至违法案件时有发生。
(三)内审监督、评价方面存在的问题:
1、内审部门对内部控制的检查与评价还不够深入。
目前大部分分支机构基本上是按照既定的制度、规章和程序来检查,对出现的问题没有进行深入的风险分析,有的行内控检查评价甚至只是走形式,对内部控制系统的风险状况没有进行综合的和动态的分析评价。
2、内控监督作用不够充分,内审体制不畅。
内审部门是对各岗位和部门的各项业务全面实施监督反馈的最后一道关口,在内控建设中的地位至关重要。
应该说,内部控制运作过程中的大多数问题、差错、隐患一般能够在内审部门的检查中被及时发现,但事实上,有些行在内审监督中发现的往往是一些诸如资料不全、漏盖印章之类的小问题,而真正涉及到会计财务、经营风险等关键性、敏感性问题和责任时却往往不能深入其中,追根溯源。
究其原因是内审体制不畅,内审部门缺乏独立性和权威性,导致分支机构内部监督工作存在着检查难,上报难,处理难的三难状况,结果是内部监督部门的职能作用相对弱化。
3、违规处罚力度欠缺。
目前对内控制度执行不到位的单位和个人缺少处罚手段,也没有明晰的处罚条款,由于内部检查属于自律行为,只要不出现严重的违规违纪行为或不是经济案件,很少对相关责任人作出行政或经济处罚,特别是对有分管行领导和上级主管部门认可或默认的问题,使得内审人员难以提出适当的处理意见,更缺少必要的责任追究。
4、有法不依、监督失控。
违法违规行为分两种情况:
一是恶意违规。
主要是指内部一些不良分子受畸形物质欲望的侵蚀,铤而走险内部作案。
二是没恶意违规。
这种“善意的过失”有可能是由于工作责任心不强、注意力分散而造成的风险;也有可能是由于怕麻烦、图方便而违规操作造成的风险;还有可能是不讲原则、怕得罪人,明知违规而操作造成风险。
无意犯错的原因是部分员工缺乏风险意识、忽视内部控制、自我保护意识淡薄,为犯罪分子提供作案机会。
这种现象是最为大量又最易被检查人员忽视的。
二、强化内部管理和内审监督,完善银行业的内控机制建设
(一)建立风险控制的第一道防线
由于建设一个完整的内控系统是一项庞大的系统工程,就内控制度建设本身而言,其内容也十分丰富,不可能在短时间内一蹴而就,只能分阶段逐步进行。
从当前内控制度建设的现状出发,我们应从具体业务操作入手,建立控制活动中的业务操作系统,规范日常业务操作,建立风险控制的第一道防线。
从内控要求出发,我们试提出以下制定思路:
1、制定详细规范的操作规程。
操作规程内容应包括业务处理流程、操作规范(质量标准)及有关操作制度依据。
制定过程中应遵循以下要求:
(1)操作规程首先应符合有关法律法规、制度规定,以保证业务合规性。
对于每一项业务操作,应找出正式法律法规或上级行规定做为依据,并对依据做出注解说明。
各职能部门可对目前适用的业务操作法律法规、规章制度等依据资料进行全面整理,按业务类别打印分类目录清单,作为操作规程中的附件内容。
(2)操作规程应尽可能详尽,达到一个新成员依据规程就基本能够自行操作。
应当明确,除上级行制定有统一操作规程外,大部分业务,上级行只是规定各项业务的内容、目标和质量要求,基本没有规定操作过程的具体步骤和环节,这就需要具体执行部门对实践操作过程进行总结,并用流程图、表格、文字说明等多种形式清晰地再现出来。
努力实现操作规程程序化,只有让操作过程明晰化,管理人员和检查人员才能看出各个环节的实际操作是否真正合规,是否符合内控的原则和要求。
涉及保密事项的,可做出简要说明,并另行单独制定,由指定人员在指定地点收藏保管。
(3)操作规程应按业务类别及其运作规律分项制定,而不应按岗位分工制定(一项业务在岗位分工后往往被分割断开),才能保证全面完整,不留下操作上的空档。
相反,岗位分工和岗位职责应参照科学合理的业务操作流程确定。
只有明确了各项业务的操作流程,才能综合考虑业务量、工作效率、内控原则(如不相容职务分离、交叉复核等)等方面要求确定合理的岗位分工和岗位职责。
2、找出风险控制点,制定相应控制措施。
风险控制点是指经营管理活动过程中那些容易发生错弊因而需要特别关注的关键环节。
通过分析操作流程,设置风险控制点,并对风险控制点加以标注,同时设计出相应的控制措施。
原先已有控制措施的,应将与控制点有关的控制措施进行归纳整理,列在相关业务操作规程后,以引起操作人员、管理人员和检查人员的特别重视,并有利于检查监督。
3、参照操作规程调整岗位分工、明确岗位职责。
岗位责任制度是银行控制业务风险的基础环节,建立岗位责任制度要求岗位独立、人员定位、职责分明。
在实际操作中要严格岗位分工,切实根据业务运作的实际要求,因事设岗,因岗定人;要明确各岗位或员工在业务操作中的责权划分,按各自的工作性质、权限承担相应的工作责任。
通过不同岗位、不同人员在业务活动中的相互制约,起到防范风险,提高效率的目的。
岗位职责应包括各岗位在操作流程中所负责的工作内容、出现错弊时承担的责任(奖惩措施)。
制定合乎内控要求的岗位职责,首先应保证岗位分工符合内控的要求。
具体而言,主要有两方面:
一是明确划分职责,这就要在对各项业务操作过程进行深入分析的基础上,建立流程环节的人员负责制,使岗位职责具体到操作层面,使各个岗位之间的职权和责任能够真正分清;二是不相容职责的分工。
不相容职责指存在差错和舞弊风险、不能集于一人操作的两个或两个以上职责,如交易业务的具体执行职责与业务授权或审查这种业务的职责不能集于一身;资产保管职责和对这些资产的记录凭证进行管理的职责也不能集于一身等。
通过对业务操作过程的细致分析,明确了哪些操作上的职责是不相容的,才能制定出具有制约监督关系、防范内部风险的岗位职责。
在制定岗位职责时,还应注意几点:
一是各岗位负责的工作内容应与操作规程紧密联系起来,相互对应,做到每一个操作环节都落实到具体操作的人员,避免工作推诿;二是责任内容应自上而下确定。
目前由本岗位人员制定其出现错弊时应负的责任、及将要受到的惩罚措施是不可行的,即使这样做了,也很难达到应有的效果;三是应改“因人设岗”为“因事设岗”,并按业务类型和职责核定各岗位的确切名称。
4、建立授权制度,实行操作权限控制。
授权制度包含授权内容和责任内容:
(1)授权内容指各项业务审批、操作权限的具体内容。
在行内逐级明确业务的权限内容,各职能部门按业务操作流程提出相应的处理权限方案,经行领导决定后,下发对部门领导的授权书。
各部门内部也进行分级授权,并综合形成书面授权审批制度。
若上级行相关部门对一些业务已有直接授权的,应进行系统整理,纳入授权制度中,并注明授权方。
(2)责任内容指追究在责任事故中因越权或授权不当引起的责任及相应惩罚措施。
由此可以看出,通常我们所说的责任制度,落实到各具体岗位操作,就是岗位职责;而落实到决策审批方面,就是授权制度。
岗位职责和授权制度两部分内容构成了完整的责任制度。
5、用发展的和动态的眼光完善内控系统。
内控系统是动态的和发展的,不能拘泥于现状,更不能只顾眼前,要以发展的和长远的眼光审视正在运行的内控系统。
因此在制定内控制度时应更多关注随着时间的推移和业务的发展变化,哪些规章制度、操作程序或管理措施已经过时或偏离管理目标甚至已阻碍管理目标的实现,有关部门要及时关注风险并适时进行修订和完善,不能只是简单地看是否违反现有的内控规则。
总之,内控系统在初始设计的过程中就要从包括规章制度、处理方法、办事程序以及所有环节的整体等各个方面来综合防范风险,这是银行内部管理迈向科学化、现代化的一个重要标志。
内部控制系统要在分析局部风险的同时,着眼全局,把局部的风险放在整个内控系统中去综合分析,从全局的角度降低风险,同时还要用动态和发展的眼光,及时修订、完善各项制度。
(二)创造良好的内控环境
1、内控环境是构成内控系统的必备要素,而且是首要的要素。
所谓内控环境,是指对机构内部控制的完善程度和实施效果有着重大影响的内外因素的统称,是实现控制目标的环境保证。
内控环境的好坏,直接影响内控制度制定和实施的效果好坏。
而创建一个理想的内控环境,又非一朝一夕能够完成,甚至比单纯建立内控制度要费时费力得多。
因此,在开展建立健全内控制度工作的同时,还应着手创建一个较为理想的内控环境。
如何着手呢?
首先,要加大内控知识宣传,增强内控意识与风险理念,可以通过开展内控建设大讨论、专家讲座、专题调研等活动,逐步加深全体员工对内控知识的理解和认识;其次是要致力于完善一般内部管理制度。
内控制度是整个管理体系的组成部分,它与一般管理制度既相互联系又相互区别。
而一般管理制度又是内控系统运行的前提和基础,并与内控意识、组织结构、人员素质等一同构成内控环境。
因此,加强管理、完善一般内部管理制度,就成为构建完善的内控系统的一个首要内容。
此外,应强化内控制度执行情况的检查制度和责任追究制度,加强对重要部门和岗位的重点防范和管理,重点检查各项内控制度的执行和落实,坚决杜绝有章不循、违章操作现象,及时消除隐患,确保各项制度落到实处。
2、要坚持“以人为本”的原则,全面提高员工的综合素质。
防范和化解金融风险,关键是人,人员素质高低和人情观念决定了内控制度是否能很好地的执行和落实,所以说内部控制归根到底是对人的控制,不解决人的管理问题,再好的内控制度也无济于事。
因此,全面提高全员的综合素质乃是当务之急。
只有通过科学缜密的管理,为内部控制管理人才的健康成长和忠诚服务创造良好的条件,才能实现可持续发展和防范化解风险的目标和任务。
为此,必须加强领导班子、职能部门、党团组织、职代会及群众性的民主监督工作,切实发挥其应有的作用。
加强政治思想品德教育,职业道德教育,法纪教育和廉洁自律教育,进一步建立和完善激励机制,最大限度地调动团队的工作热情。
所以,内部控制建设必须以人为本,把提高全员的综合素质作为一项长期的任务来抓,避免因人员素质不高,致使在业务操作中存有风险,如因政治思想素质不高造成的主观风险,即道德风险;因专业知识和业务素质不高造成的客观风险,即操作风险;因偏重人情关系,相互监督意识不够,致使某些内部工作人员有恃无恐地作案。
3、要狠抓内控制度的落实。
常言道,没有规矩,不成方圆。
但有了规矩,不去落实,即使内控制度制定得再严密,那也只能是纸上谈兵,制度本身的约束力和威慑力都会大打折扣。
因此,基层银行一方面要加强教育,提高员工的自律意识,另一方面,要敢于管理,敢于承担责任,结合各自实际开展经常性的监督检查,对那些违章作业、违规违纪行为要严肃处理,决不姑息,真正达到内控制约监督有效的目的。
与此同时,要进一步优化人力资源配置、加大必要的财力投入,确保内控建设和制度的落实。
4、要强化对权力的约束。
在内部控制和风险防范重要性日益突出的形势下,基层银行内部组织结构的控制建设,不仅要体现精简高效的要求,而且要把决策权、执行权和监督权相互制衡的原则落到实处,通过对各级管理人员行为进行有效监督,形成集中管理、各司其职、各负其责、互相制衡的组织结构和权力结构。
(三)强化内控监督体系
1、建立系统的内部审计管理体制。
内部审计应体现审计制度的独立性、权威性、严肃性。
建立总行统一领导的分支行负责制,各级分支机构内审部门实行派驻制,业务上实行下查一级,对上级内审部门负责,同时要真正赋予内审部门审计、建议、处理的权力。
内审部门主要履行业务风险审计、内控制度审计以及对内部违规违章行为依据法律法规进行处罚,将内部控制的健全和执行情况作为审计工作的内容。
内审计部门要配备政治素质好、能力强、业务精,敢于坚持原则的内审干部,要明确内部审计的责任、权力和工作程序,并经过一定的培训不断提高内审人员的政治素质和业务能力。
2、提高和改进审计手段,确立科学的审计方式。
在审计监督中实现以下转变:
由单一的业务合规性监督向以风险性监督为主转变;由单一的现场审计向以非现场审计监督为主转变;由传统的手工审计向以计算机审计为主转变;由对金融违法的事后监督向事前防范为主转变,着重建立信息网络,形成系统资料共用、信息共享的经营管理数据库,通过计算机网络实时了解被审计对象的有关信息。
3、建立审计责任追究制度。
明确检查人员的责任、职责、处罚办法,使检查人员真正认识到自身责任的重大,防止“走马观花”式的审计,使各项审计工作真正落到实处,并使广大内审干部充分认识到:
发现问题是责任,无视问题是失职,揭露问题是原则。
同时也要让领导树立解决问题是政绩的思想意识。
4、建立完善的内控评价系统,提高内控机制的工作效率。
内控评价系统是指银行在一定时期内运用各种方法和手段,对内部控制执行情况进行综合分析和评价并做出评审结论。
建立这一系统能持续地监测内控运行质量,客观地评价内控在防止舞弊、消除风险和严守经营法规方面的可靠性和有效性。
其重点是放在内控制度的研究和评价上,以提高内控机制的工作效率。
内控评价系统应包括:
(1)内控评价的主要内容。
内容指标必须系统和量化,反映出内部控制的基本情况和本质特征;
(2)内控评价的方法。
采用反映真实状况的计算机模式和分类比较方法,进行连续、系统、综合地研究和评价,并使评价结论真实、严密,使内部控制环节上存在的问题和漏洞及时得到揭示;(3)内控评价后的处理。
评价后要有针对性的制定出解决问题的措施和办法,并对严重违反法律法规的行为提出处理意见,保证金融安全稳健运行。
五、国内外内控理论与实践的发展给我国银行的启示
(一)要正确理解内控制度与管理制度之间的关系。
从广义上讲,内控制度也是一种内部管理制度,存在于一个组织或单位的组织结构和管理框架(或称之为管理体系)之中。
在银行现有的许多管理制度中,不少制度在一定程度上也具有控制风险的功能,但内控制度与一般的管理制度又有所区别。
一般的管理制度侧重于工作程序、上下左右工作关系、工作进度、工作质量等方面内容,其主要目标是保证完成既定的管理目标;而内控制度则着重对业务管理活动中的风险进行预测、防范,对可能引发风险的行为进行监督和控制,其主要目标即在于控制风险。
可以说,内控制度是以风险控制为中心、从管理制度中分化、脱胎出来的另一套制度框架,它与一般管理制度存在着紧密的联系而又相互区别,共同构成一个组织或单位的管理体系。
(二)要正确理解内控与管理的关系。
银行要充分认识并高度重视内控在业务管理活动中的重要地位,要建立专门的内控机构,由决策管理层和部门领导带头,动员全体员工营造一个良好的控制文化,在内控理论与实践相结合的基础上形成统一共识,齐抓共管,上下互动,按照内控的三大目标、三大系统和五大方面的要素(或八要素),制定统一规范的内控方法、程序和评价标准,实行对业务管理中各种风险的逐级控制,以提高业务管理水平。
(三)要正确理解内控与风险管理的关系。
要按照国际规范的内控原则和系统框架,尽快建立适合我国国情的银行内控组织机构,以进一步确立内控在整体管理中的重要作用和地位,如建设内控的执行系统和监督反馈系统,分别组建内部控制委员会(或内控领导小组)和内部审计委员会负责实施。
同时,要尽快在体制上明确内控高级管理层在这两大系统中的责任,加强对银行内、外部所有风险的总体研究、监测和控制。
(四)要正确理解内控与内部审计的关系。
要明确内控的执行主要是业务管理部门的责任,而对内控制度的检查评价主要是内审部门的责任,这已成为内审部门日常监督的一部份。
同时,内审部门要把工作重点尽快转向对业务管理的内控系统进行有效的和全面的审计监督,对业务管理部门的内控缺陷提出纠正措施和处理意见,并在监督评审中保持独立性,充分发挥内审部门的职能作用。