第10章 商业银行内部控制.ppt

1、第10章 商业银行内部控制,商业银行要想平稳地开展各项业务，实现既定的发展目标，必须有一套完整、有效、合理的内部控制体系，以防范可能产生的风险。学习本章，要求理解商业银行内部控制制度的基本内涵，明确内部控制目标和原则，掌握商业银行内部稽核流程和方法。,10.1 商业银行内部控制制度,内部控制制度是银行最高管理层为保证经营目标的实现而制定并实施的，对内部各部门与人员相互制约和协调的一系列制度、措施、程序和方法。目的在于确保一家银行的业务能根据银行管理层制定的政策以谨慎的方式经营。,10.1.1 内部控制体系的主要内容,（1）建立组织结构和各种规章制度。银行组织结构和规章制度所涉及的控制环节有以下

2、内容：制度明确的银行政策目标；对每一个工作人员给予明确的授权；建立合理的组织架构，把整个银行的所有业务部门，按照其业务范围、在上下级关系中的位置、彼此之间的联系、与管理层的关系等，组成一个有机的整体，这个整体可以通过组织架构图明确地勾画出来；建立畅通的报告渠道，使基层信息能够及时传递上去；对全体职工提出职业道德准则要求；为各项业务制定标准化的操作规程；对会议记录、往来函件、签字样本等予以妥善地保管；为一些重大事项的处理，诸如计划、授权、开拓新业务、购买或处理重要资产等制定出一套标准的操作程序。,（2）监控环节。 （3）职责分离原则（“四只眼”原则）。在设计组织架构及明确工作权限时，银行要根据“

3、职责分离”（segregation of duties）的原则来进行。根据此原则，在分配任务和明确职责时，要避免让某位工作人员承担一些不可兼容的职责。这样做的目的，是通过相互牵制的方式，防止单个人办理业务（“一手清”）时出现差错或舞弊行为，万一有此类事件发生，也能够及时察觉。,（4）授权有限原则。 授权从形式讲有两种：一般意义上的授权和特定的授权。一般意义上的授权是指任何业务只要满足特定的标准和条件，都在授权之列。特定的授权往往是在特定情况下所给予的明确授权，这时，金额、交易对手、期限等交易事项往往会在授权书上给予明确的界定。 授权从本质上讲应该是有限度的，因为上级机构只会授予下级机构和有关人

4、员与其特定业务、特定经营环境、管理人员的能力等相关联、相匹配的权利，而不能允许他们想做什么便做什么。 授权关系是商业银行内部管理机制中最重要的手段之一。,（5）银行档案。银行档案包括会计档案、业务档案等，它是商业银行内部控制的基础工作之一。 （6）安全保卫措施。商业银行应建立一套安全保卫措施和作业程序，对银行的资产、器具、重要空白凭证、业务秘密等给予充分的保护。 （7）会计销账。商业银行要经常进行账户的核对、核销工作，保证所有账户都能与控制账户、与联行、代理行寄发的对账单相符。,10.1.2 内部控制的目标及实施原则,（1）内部控制的目标。商业银行通过建立内部控制机制来控制风险，防止和减少损失

5、，保障其经营活动能安全、顺畅地进行。具体而方，该目标体现在两个方面：一是在风险损失发生前，银行可借助有效的内部控制制度，以最低的损失来获取控制风险的最佳效果；二是在风险损失发生之后，商业银行采取有效措施，使商业银行不致因风险的产生而造成更大的损失甚至危及其生存，并确保银行盈利目标的顺利实现。,（2）内部控制的实施原则。 确定各部门、各级人员的职权和责任。 明确商业银行各项业务的操作程序。商业银行各项业务的操作程序规范了业务操作人员的行为以及业务的运作过程。它为评价各项业务实绩的客观性提供了很大的保障，有助于内部控制程序中的绩效评估。 明确商业银行控制程序。控制程序可由反馈环流的图式表示（见图1

6、0-1）。,图10-1 控制程序反馈环流图,图10-1所示的控制程序由设定的控制标准、衡量工作绩效和纠正偏差三个基本程序组成。 设定控制标准应以显示预期目标轮廓的标志点为准，并以此作为衡量实际绩效是否符合目标的准则。 衡量工作绩效是指运用标准对银行客观业绩作出公允的评价。对实绩与标准之间的偏差应认真其性质及其原因。 纠正偏差以可控因素引起的偏差对对象。可从两方面考虑纠正措施，一是改进组织功能，即通过诸如重新委派、撤换、增设机构等完成；二是改进业务功能，即通过改进操作程序，采用新的技术手段等实现。,10.1.3 商业银行内部控制制度的实例分析,德意志银行是一家规模巨大的跨国银行，它的机构多达24

7、94个，遍及50个国家和地区，业务范围涉及商业银行、投资银行等各类金融业务，资产规模达7200亿马克（1995年）。对于这样一个巨型“金融百货公司”，其总行实施内部控制的核心手段有以下几个：建立高度集中、资源共享的信息中心。为达此目的，在全集团范围内推行标准化的数据结构。财务会计与管理会计并重，在全集团推行单位经济效益考核（divisional profitability calculation，这实质上和我们所经常提到的分部门核算是相似的）。在全集团内，推行标准、统一的风险评估、衡量、控制手段和政策。从这几个手段来看，德意志银行总行把内部控制的重点放在了集中、协调、作业和行为规则标准化等方面

8、。,德意志银行在伦敦有一个全资附属的商业银行机构Deutsche Morgan Grenfell（简称DMG），主要负责全集团的投资银行业务、诸如债券、股票等金融产品的承销、包销、投资基金管理、企业合并、兼并咨询等。DMG作为德意志银行的附属机构，自然要贯彻、执行总行关于风险控制和内部管理的方针、政策，但是，它又必须考虑自己的业务特点，因为投资银行业是高收益、高风险行为，其内部控制的重点之一必须是把市场风险控制在自己能够随的范围之内，所采用的主要手段之一是使用复杂的数学模型来评估银行所承受的潜在风险，据此控制敞口头寸（既包括整个银行的全部头寸，也包括每个交易员的头寸）。,德意志银行是现在仅有的

9、享有AAA信用等级的三家银行之一，由此我们可以推测出其内部控制应是相当严密的。但是，在1996年，该行在伦敦的商业银行机构DMG却出了漏洞，造成了7.1亿美元的潜在亏损，使其信誉受到了很大损害。为什么这么一家信誉卓著的银行还出现如此严重的问题？该行的伦敦的附属机构（DMG）管理着许多投资基金，其中两个由一位名叫彼得杨的人来负责。按照英国的有关规定，这两个基金投资于未上市公司股票的份额不得超过10%，但他为了获得更大的利润，偷偷地购买了大量的北欧中、小企业的未上市股票，明显地超过了这个标准。彼得杨为躲避检查，便在卢森堡建立了好几个子公司，然后通过子公司来购买那些未上市公司的股票。,我们知道，未上

10、市公司股票的流动性差、风险高，当投资者发觉彼得杨违反了规定时，纷纷要求向DMG赎回股份，导致两年投资基金的价格一时间急剧下降。德意志银行为了维护信誉，不得不注资营救，把那些未上市股票从基金手中买过来，造成潜在经济损失7.1亿美元。大量的分析表明，内部控制薄弱是导致上述巨额损失的主要原因之一，其薄弱环节表现在：和上司对他的违规行为采取了姑息态度。牵制不够。按照内部规定，基金经理在购买未上市公司股票时，应报上司批准，但上司却听信了他的一面之词签了字。德意志银行整个集团的基金业务的管理方式没有理顺，总行对伦敦附属机构控制失当。当事人有意钻法律的空子。,10.1.4 我国商业银行内部控制制度的建立与健

11、全,（1）我国商业银行内部控制制度的基本因素。中国人民银行于1997年5月6日发布了加强金融机构内部控制的指导原则，其中对内部控制制度的目标、原则，内部控制的要素及内容，建立内部控制的基本要求，内部控制制度的管理与监督都作了详细全面的规定。 完善落实资产负债管理和风险管理办法。 依据中华人民共和国商业银行法和贷款通则建立和健全贷款风险管理责任制度。,建立健全统一的授信制度，并努力杜绝或减少越权和超权行为的发生。 建立健全外汇资金交易业务的风险管理制度。在外汇资金管理上，实行统一报价、集中平盘、风险集中控制的体系，并确保前台交易与后台结算职责的分离，外汇风险有所降低。 针对存在的金融混乱现象，切

12、实做到：严禁银行信贷资金进入股票市场；严禁违反利率政策的高息吸存；彻底解决绕规模贷款和账外账问题等。,建立健全商业银行的内部稽核制度。各级行的上级管理部门，加强了对资产质量和风险情况，以及对外汇交易等高风险业务的稽核，在一定程度上防止了大案要案的发生。 健全钱账分管，多种复核，总分账核对，印、压、证分管和计算机风险防范等各项制度。,（2）我国商业银行建立健全内部控制制度应注意的问题。 稳健的经营方针和健全的组织结构。 合理的职责分离。要明确划分商业银行内部各部门的职责和权限，建立对业务经营活动计划、执行和控制的适当机构。 严格的授权与审批制度。对任何银行业务活动都必须经过严格的授权程序，对越权

13、行为必须予以严厉处罚，越权产生的损失应追究相应的责任。,独立的会计及核算体制。银行的会计人员业务上只接受会计主管的领导，会计主管不得同时对业务的审批与经办负责，会计人员必须根据法定或公认的会计准则制度具体的会计制度，对所有的业务活动进行及时、完整、准确的记录。 建立内部风险评估和监测制度。 有效的内部审计。商业银行应建立具有独立性、权威性的内部审计机构，直接向最高决策层负责，而不受被监督人员和部门辖制。,10.2 商业银行内部稽核,10.2.1 稽核定义与基本范畴,（1）稽核的定义。英国A. H. Millichamp认为，内部稽核可以定义为：“企业内部为企业服务的、对控制系统和经营质量进行独

14、立评估的一项功能。它客观地检查、评估和报告内部控制是否足够，以确保资源得到有效、适当、经济和高效的使用。” 上述定义明确了内部稽核的服务对象是企业本身而不仅仅是企业董事会或管理层。虽然在实务中，稽核是在银行董事会或管理层领导下的一个部门，但正如董事会或管理层是为企业服务一样，稽核的最终服务对象也是企业本身。,（2）稽核的基本范畴。稽核的基本范畴是引导稽核工作沿着正确方向有效开展的基本理论，这些基本理论是对稽核这门学科本质的高度概括。正确把握稽核的基本范畴，对于有铲地开展稽核工作具有十分重要的意义。 稽核的目标。稽核的目的是维护资产的完整，促进资源的有效使用。 稽核的职责。与稽核目的相对应，稽核

15、的基本职责有两个：一是检查核证资产的完整性。二是评估内部控制的效验性、效率性与效益性（简称“三效性”）。,稽核的作用。通过检查核证资产是否完整和对内部控制系统“三效性”进行评估，稽核是有可能发现业务操作过程中的某些错漏或作弊。 稽核的范围。从广义上讲，稽核员应关心银行的所有经营活动。但在实务中，为了使稽核员有限的时间和精力得到最有效的使用，有关专业团体会在指引中列出稽核的具体范围。国际内部审计师协会认为，稽核员的检查范围应包括：,财务和经营信息的可靠性和完整性以及这类信息的辨别、衡量、分类和报告方法。 对经营和报告有重大影响之政策、计划、措施、法律和规定的各项保障制度，并判断银行是否遵从。 保

16、护资产的方法，如有可能证明这些资产的存在。 评估资源使用的经济性和效益性。 操作或程序是否与计划吻合，并确定其结果是否与原定目标一致。,权力。为了保证稽核员有效地开展工作，稽核员应拥有一定的权力，这些权力通常是由银行董事会或最高管理赋予的。稽核员的权力应以保障稽核工作的顺利开展为准，不得与行政管理权发生任何联系。也就是说，稽核员不得拥有行政命令权和业务参与权，否则其超脱独立的立场和观点就会受到影响。一般来说，稽核员应有以下三方面的权力：有权接触银行的一切记录、财产和人员；有权从有关人员处获得必要的信息和解释；有权向其直接领导反映检查中所发现的问题。,10.2.2 商业银行内部稽核流程,稽核流程

17、（audit Process）是指稽核员完成一项稽核工作的全部过程。为便于区分，我们将针对某个具体检查项目的稽核步骤和方法组成的具体实施计划称为稽核程序（audit program）。 一个完整的稽核流程通常可分为计划、现场检查、报告、跟进（ follow-up）四个阶段。,（1）稽核计划包括： 综合风险分析。综合风险的目的是从众多的业务品种中找出风险最大的作为本次稽核的对象。其主要内容是分析、判断业务操作或控制风险的集中域或发生的概率。 业务流程检查。 个别风险分析。个别风险是指稽核员依据选定稽核对象的业务流程图，针对所有风险点评估内部控制是否有效、足够与合适。 制订稽核程序。稽核程序是指导

18、稽核检查按时按质进行，保证稽核检查得以有效完成的工具，同时也是评核稽核本身工作质量的依据，它是稽核计划阶段的最后一环。,（2）现场检查。稽核的现场检查阶段实际上是获取各个风险点内部控制可靠性证据的阶段。获取证据的方法可分为遵从性测试和实质性测试两种。 实施稽核检查时，采用何种测试方法要根据内部控制评估的结果而定。一般来说，运用两种手段的基本模式有如下三种：,模式一：,通过个别风险分析环节，稽核员应对有关内部控制系统得出一个判断，即可靠或不可靠。如果可靠，则稽核员应采取的下一个步骤是对有关内部控制进行遵从性测试。如果遵从性测试亦获得满意的结果，则可按预订的稽核程序进行实质性测试。,模式二：,在内

19、部控制可靠但遵从性测试结果不能令人满意的情况下，稽核员应考虑是否需要对原订稽核程序进行修改以加大实质性测试，防止因实质性测试范围太小或深度不够而未能发现潜在问题的情况出现。修订稽核程度之所以必要，是因为原订稽核程序是在内部控制可靠这样一个判断的基础之上，其实质性检查的范围和深度都较小。,模式三：,在综合风险分析或个别风险分析中，如果发现内部控制不可靠，稽核员应考虑直接进行实质性测试以获取有关证据。对不可靠的内部控制进行遵从性测试是毫无意义的。,（3）稽核报告。稽核的报告阶段是对稽核中发现的问题进行评估并形成稽核意见和建议的过程，其最终结果是稽核报告。稽核建议必须具有针对性、可行性和经济性，以利

20、于被查间接的贯彻和落实。,（4）跟进阶段。 稽核的跟进是一个稽核项目完成一段时间之后才进行的，理论上是最短间距应是稽核建议充分发挥作用所需的时间。稽核跟进可以是专门针对某一个或某几个稽核项目所安排的跟进检查，但在实务中，出于资源使用上的考虑，它往往是在对同一个单位进行另一新的稽核项目时同时进行的。 稽核跟进主要是对前期稽核报告中提出的稽核建议是否得到有效地贯彻落实进行检查，并评估该等建议实施的效果如何。稽核跟进不仅是对被稽核单位的检查，而且也是对自身稽核工作质量的检查，它对于完善被稽核单位的内部控制和提高稽核自身工作水平具有双重意义。,10.2.3 稽核资料与稽核证据,（1）稽核资料。所有业务

21、操作与管理活动都可由有关的书面或非书面的资料所体现，稽核人员可通过这些资料所反映的信息来评估各项业务操作与管理活动的真实性、合法性与效益性。所有体现业务操作与管理活动的资料都可称为稽核资料。 稽核资料从外形分类，可分为书面资料和非书面资料。书面资料包括：经济核算（包括会计、统计和业务三类核算）的凭证、账簿、计划、方案、合同、报告等有关文字图表的书面文件。非书面资料包括：经济管理的有关人员提供的口头解释，外界人士提供的有关说明，摄影照片，音影记录等。,（2）稽核证据。稽核证据是稽核人员提出稽核意见和撰写稽核报告的根据。稽核人员不仅要收集、分析、评价个别的稽核证据，有时还需汇集有关稽核证据，并从其相互联系中，提出确切的稽核意见。 合格的稽核证据应具备以下三个条件：,一是真实性。稽核证据最根本的要求是其身必须真实准确，本身不真实准确的资料不能成为稽核证据。 二是相关性。稽核证据是用来证明稽核员有关意见的，因而其必须具有与有关意见的相关性。 三是充分性。充分性是指“如该项稽核证据存在，则稽核意见必成立”这样一种逻辑关系