構建我國商業銀行的有效內部控制體系

劉關新

摘 要:有效的內部控制是確保我國商業銀行持續健康發展的關鍵。但是,我國商業銀行目前順應COSO框架構建的內部控制并不足以滿足全面管理的需要。正確的做法是,順應全面風險管理,對COSO框架進一步完善,拓寬其外延,構建更為有效的內部控制體系。

關鍵詞:內部控制 COSO 內控體系

中圖分類號:F830.2 文獻標識碼:A

文章編號:1004-4914(2009)08-195-02

一、問題的提出

構建有效的內部控制體系,維護我國商業銀行良好的發展態勢和公共形象在金融全球化的今天顯得十分重要。從全球來看,由于美國對全球的巨大影響,全美反欺詐財務報告委員會制定的COSO框架已經成為各國理解和評價組織內部控制的公認標準。該框架將內部控制定義為“受企業董事會、管理當局和其他職員的影響,目的在于為取得經營效果和效率、財務報告的可靠性、遵循適當的法規等目標而提供合理保證的一種過程”,把內部控制分為控制環境、風險評估、控制活動、信息交流與反饋、監督評價與糾正五個要求,并列出了相關內容。我國的銀行監管組織,如國家審計署、中國銀行業監督委員會、中國人民銀行,目前基本是在按該框架建立體系,評價各商業銀行的內部控制;各家商業銀行也都在按照該框架構建自身的內部控制體系,開展內部控制評審。但是,正如美國知名內部控制專家史蒂文·J·魯特在其所著《超越COSO——加強公司治理的內部控制》中強調的那樣,該框架主要代表財務、會計、審計,特別是外部公眾會計職業界、監管者的觀點,它能夠幫助管理者有效控制財務報告的風險,卻并不能幫助其更好地達到創造價值這一主要目標,以滿足股東、投資者的需要。同時,該框架也僅僅是基于內部控制的一般原理而設計,未能反映出當今時代銀行業的控制要求。因此,從商業銀行全面管理的角度,從努力發揮內部控制對實現我國商業銀行戰略愿景的助推作用來看,我國商業銀行應參照該框架,更要超越該框架,取長補短,構建有效的內部控制體系。

二、COSO內部控制框架的現實局限性分析

從商業銀行經營管理的現實來看,COSO內部控制框架具有一定的缺陷。具體體現在以下方面:(1)COSO內部控制框架提出的內部控制的目標包括運營的效果和效率、財務報告的可靠性、遵守適用的法律和法規三項。這三個目標僅僅包括與財務報告有關的三項內容,突出的是會計控制,提供的只是過去已發生事件的信息,不足以用來指導和評價公司創造未來價值的活動,更沒有賦予影響經營結果的管理控制活動以應有的地位。(2)控制環境是COSO內部控制框架五要素中最主要的一環,它對組織應采取的控制措施具有決定性的影響。但COSO框架中的控制環境只考慮了組織內部因素,這就其關注的事項——財務會計報告控制來說無可厚非,因為財務會計報告的控制主要受組織內部因素的影響。但在一個高度競爭的市場環境中,商業銀行的內部控制將更多地受客戶反應、同業策略的影響,僅考慮內部環境顯然過于狹隘。(3)COSO內部控制要素中的風險識別和評估傾向于順著各類控制過程確定風險點、提出風險控制措施。這樣,運用COSO框架所識別和評估的風險可能過于細微,與組織整個經營管理目標的關聯度不高,無礙于組織戰略目標的實現,甚至是組織為實現其目標而應當接受的風險。據其采取控制措施可能無法有效防范組織層面的風險,也無助于組織戰略目標的實現。(4)該框架由全美反欺詐財務報告委員會設計,作為一個政府監管組織,它不甚關注企業如何采取控制活動來獲取最大的效益,而重點關注的是通過怎樣的控制,讓股東、社會公眾獲取企業真實的財務信息,以方便決策。而按照這一目的,多一些控制自然可以提供更可靠的保證。因此,按照該控制框架的思路操作,當問題出現時人們往往首先想到的是增加控制,層層加碼,使得操作規章越來越復雜。一方面,導致許多人總認為控制是限制性的,是“緊身衣”、“緊箍咒”,降低了對內部控制的熱情;另一方面,給商業銀行帶來的只能是經營效率和效果的降低,以及客戶響應度的遲緩。

三、我國商業銀行有效內部控制體系的構建

1.拓展COSO內部控制目標,構建滿足各方面有效需求的目標體系。在當今這個競爭激烈的時代,一個組織必須首先在客戶、員工、過程、技術和創新等諸方面獲得競爭優勢,才能持續發展、創造最大化價值,也才能從根本上降低財務信息失實、不遵循財務會計政策的風險,因為這些問題往往都發生在企業無法實現滿意的業績時。有鑒于此,國際內部審計師協會就指出:“內部控制可以把市場需要、客戶反映和組織競爭的各種要素納入到控制目標之中,并通過內部控制保證組織以不斷提高的質量標準服務于市場、服務于顧客,取得持續的競爭優勢和良好的業績。”因此,我國商業銀行必須拓展COSO控制框架的目標,借鑒平衡記分卡的業績評價方法,從財務、客戶、內部業務流程、學習與成長等方面著手,建立適應顧客、市場、股東、投資者、國家、監管者、員工和社會公眾需要的全面的內部控制目標體系,同時注意根據環境的變化不斷調整完善,保持其適當性。

2.拓展COSO內部控制活動的范圍,實施全方位控制。從現代內部控制理論來看,控制包括會計控制,也包括管理控制,即控制既要保證會計系統的有效和財務會計信息的真實、完整,也要關注影響經營結果的過程的控制;控制不僅僅是管理的四大職能之一,而是已經融于了管理的全過程,管理的其他三大職能——計劃、組織、領導,都需要有效的控制,才能使組織經濟高效地實現其經營目標。我國商業銀行是一個企業,股東、投資者不僅僅關注其財務報告所披露的財務信息是否真實,更主要的興趣還在于他們的投資是否增值、增值幅度是否符合其預期。因此,在重視按照COSO框架加強財務會計活動控制的基礎上,我國商業銀行還更應注意創造滿意業績的相關活動的控制,擴大控制活動的范圍。一方面,要將控制活動擴大到整個經營管理領域,把目標設定、風險管理、客戶服務、經營流程、運行機制的合理性、有效性全部納入控制范圍;另一方面,既要關注操作層面經營管理活動的控制,更要關注公司治理、戰略決策層面的控制,因為只有治理結構有效、戰略決策正確,才能從根本上保證我國商業銀行經營目標的經濟有效實現。

3.拓展控制關注的內容,謀求恰如其分的控制。從管理角度來看,一個組織存在的目的是要追求獲得最大的效益,這就要求其控制必須考慮成本效益,而不是傳統的越多越好。現代內部審計之父索耶就指出:“過度控制與缺乏控制一樣有害,昂貴的、限制性的控制可能抑制績效和主動性,所得到的保護是以壓抑為代價的。”因此,為了構建以客戶為中心的經營機制,提升市場競爭力和價值創造力,我國商業銀行在設計內部控制時既要關注控制不足問題,也要關注控制過度問題,要在該增加控制時及時增加,該減少控制時毫不猶豫地減少,通過恰當的內部控制讓全行始終保持在一個理想的控制狀態,使內部控制成為幫助各級管理者整合其所有資源,實現經營目標的積極工具。

4.擴展COSO框架控制環境要素的外延,從更開放的視角來考慮內部控制。隨著經濟的全球化,任何組織都被置于了一個更加開放、競爭更加激烈的環境,內部控制僅僅考慮內部因素的影響已經遠遠不夠,組織外部的環境往往也會對組織內部控制和管理產生巨大的影響。現代管理學認為,一個組織要想生存、發展和興旺,管理者必須充分認識所處環境中的一系列因素,并且保證自己的組織對這些因素做出快速又恰當的反應。當前,除COSO框架外的大部分內部控制體系都考慮了外部因素對內部控制的影響。如國際內審研究院制定的“系統鑒證與控制模型(SAC)”直接將外部環境作為內部控制的一個重要因素,并將影響內部控制環境的外部因素細分為兩種,一是與外部實體(供應商、合作伙伴、代理商)之間的交互作用及相互依賴性,二是外部市場力量(如客戶、競爭對手、監管者、共同體、股東),要求在內部控制的五個環節都予以考慮。隨著我國金融業的全面開放,我國商業銀行面對的已經不是一個封閉的經營環境,而是一個完全開放的市場;我國商業銀行也已經不是一個市場壟斷者或主導者,而完全成了一個市場行為追隨者、行業慣例的接受者。因此,構建我國商業銀行的內部控制體系時,必須認真分析外部環境,包括經濟發展的周期、產業行業發展趨勢、法律法規的要求和變化、客戶需求和同業競爭的特點等等,并采用SWOT分析法,有效發現環境因素中的機會和威脅,充分識別我國商業銀行內部控制(包括內部環境)的優勢和劣勢,設計針對性的控制措施,使其與外部環境始終保持一種良好的互動狀態。

5.提升COSO風險評估層次,密切風險評估與我國商業銀行戰略目標的關聯度。COSO內部控制框架1992年發布之后,許多國家和組織已經看到了其在風險識別與評估方面的缺陷。加拿大特許會計師協會1995年發布的控制標準框架(COCO)、英國1999年發布的特恩布爾內部控制報告就對其進行了修正,更強調基于組織目標的風險管理,并將風險分析作為設計有效內部控制的首要步驟。COSO委員會經過反思,在2004年發布了企業風險管理(ERM)框架,提出了理解和評價企業層面所有機構風險的框架,明確指出“企業風險管理是一個受機構董事會、管理層以及其他人員影響的過程,它可以運用在戰略設定并貫穿于企業當中,確認影響機構的潛在事件,并在風險偏好內管理風險,為機構目標的實現提供合理的保證”。因此,我國商業銀行內部控制體系的建立必須拓展風險識別與評估的層次。首先,應樹立“戰略風險”意識,應清楚理解、把握我國商業銀行的總體戰略目標,以及各個層次的分目標,始終注意優先識別和管理與我國商業銀行戰略相關的風險。其次,應樹立“風險偏好”理念。風險偏好是我國商業銀行在追求自身戰略目標時愿意接受的風險數量。承受風險是商業銀行的核心特征,我國商業銀行要實現自己的戰略目標,必須接受一定的風險,也就是要有自己的風險偏好。我國商業銀行要引導全行員工改變傳統上一看到風險因素就想控制的傳統認識,推行積極的風險管理,開展風險收益評價,只要所承受的風險能夠以所得收益覆蓋,我國商業銀行就應當承受,從而將精力集中在超過自身偏好的風險上。

6.藝術地、綜合地設計和運用控制手段,使各種控制手段之間能夠相得益彰、揚長避短。任何內部控制措施都是一把“雙刃劍”,既可能防范風險,也可能帶來負面影響,甚至損害組織的整體利益。同樣的風險可以采取的控制措施多種多樣,富有成效的控制就是要對這多種方法進行科學合理的組合搭配,既有效控制風險,又盡可能避免其負面影響。如崗位輪換,管理學就認為,它能夠防范一個人長期在某一崗位上工作可能帶來的風險,但也會影響那些聰明且富有進取心的員工的積極性,非自愿地對員工進行崗位輪換還可能導致曠工和事故的增加。因此,對一些不適宜輪換或采取輪換方式可能得不償失的崗位,采用加大監督檢查頻率、實施科學的激勵約束、培育良好的道德氛圍等替代手段,照樣能夠有效控制風險。因此,我國商業銀行首先對任何一個風險點制定的控制制度,都要盡可能地設計多種可供選擇、可以替代的控制措施,并允許執行者根據實際情況靈活選擇;其次,對單一控制過程設計的控制措施,要具有一定的靈活性,為執行者采取設計者沒有考慮到的其他替代措施留下接口,允許執行者根據實際情況選用其他控制措施;其三,實施內部控制合規性、遵循性檢查評價時,要避免機械地看是否遵循了哪個具體制度、執行了某個具體的控制措施,而應從整體的角度去判斷其控制的有效性。

四、結論

筆者從商業銀行全面管理的視角,分析了COSO內部控制框架的局限性,提出我國商業銀行應立足COSO框架,但不應拘泥于該框架,在具體的內部控制體系的構建中,應拓展內部控制的目標、內部控制活動的范圍、內部控制環境的外延,提升內部控制風險評估的層次。最重要的,內部控制作為商業銀行管理活動的一部分,在實際運用中必須靈活、藝術。只有這樣才能使內部控制更有效地服務于我國商業銀行的經營管理和健康發展。

參考文獻:

1.中國人民銀行.商業銀行內部控制指引,2002.9.18

2.葉永剛,顧京圃.中國商業銀行內部控制體系研究、設計與實施[M].中國金融出版社,2003

3.中國內部審計協會.經營分析和信息技術(第三版)[M].中國財政經濟出版社,2004

4.[美]史蒂文·J·魯特.超越COSO——加強公司治理的內部控制[M].中國財政經濟出版社,2004

5.[美]索耶.索耶內部審計(第五版)[M].中國財政經濟出版社,2005

6.[美]加雷思.瓊斯.珍妮弗.喬治.當代管理學(第三版)[M].人民郵電出版社,2005

7.[美]James Roth.最佳內部控制評估實務—自我評估與風險評估[M].中國內部審計協會印制,2006(7)

8.[美]斯科特·格林.薩班斯法案內控指南[M].經濟科學出版社,2007

9.楊雄勝.內部控制理論面臨的困境及其出路[J].會計研究,2006(2)

10.李兮旸.論我國企業內部控制失效的治理[J].當代經濟,2007(1)

(作者單位:中國建設銀行陜西省分行 陜西西安 710002)

(責編:呂尚)