银行内部控制系统是一个循环的过程。在这个循环系统中主要包括:设计→执行→评价→改进四个环节。内部控制系统存在的意义就在于持续地循环,包括:再设计、再执行、再评价、再改进。银行内部控制系统就是在这个不断的循环中得到持续的进化。
一、内部控制的设计
银行设计内部控制系统的目的是为了完成其经营目标。现代管理的思维方式往往是: 确立组织的经营目标→评估实现目标的风险→根据风险评估设计内部控制系统→执行内部控制系统→评价控制系统的适当性和有效性→根据评价结果采取改进行动。可见设计内部控制系统的主要依据是风险,假如银行在实现目标过程中没有风险就不需要设计内部控制系统。
银行所有内部控制都是针对风险的大小来设计的,风险越大,设计的控制措施就越多、越严密。在银行重要风险领域,还要设置多重控制措施。内部控制与风险是一对矛盾。
内部控制和风险这对矛盾的双方都是人。设计和执行内部控制的往往是银行内部的人,而制造风险的也是人,造成这些问题的可能是银行外部的人,也有可能是银行内部的人,有时甚至是银行内部控制的设计者或执行者。所以,“人”是内部控制设计者应当考虑的核心问题。他们之间似乎是在玩博弈游戏,双方用的都是一种对抗性思维,所以,对银行内部控制系统的设计者而言,学会运用科学的思维方法至关重要。
二、内部控制的执行
内部控制系统的设计和执行在银行内部的不同管理层次有不同的分工。在组织中层次越高,设计的职责越多,执行的职责越少;层次越低,执行的职责越多,设计的职责越少。如用数学的方式来表达就是,内部控制的设计与管理层次成正比,内部控制的执行与管理层次成反比。譬如,银行董事会的职责是设计重大的方针政策,方针政策也是银行的内部控制;高级管理层的职责是执行董事会的方针政策,并设计相应的控制系统;中低级管理层的职责主要是执行高级管理层制定的有关政策和程序,并设计一些具体的控制措施; 最基层的操作人员只负责执行与自己岗位有关的操作规程和内控制度。
内部控制执行环节要注意以下问题:
1.内部控制的有效执行特别需要一个良好的控制环境。在银行内部营造一种浓厚的“控制文化”和“控制氛围”,是内部控制得以有效执行的基础。强调内部控制对单位管理与个人切身利益的关系,使全体管理人员与职工理解贯彻执行制度的意义,清楚最高管理层的决心、意向与要求,明确本职工作的地位与影响力。
2.银行各级管理层不仅是内部控制的设计者,同时也是内部控制的模范执行者。董事会和高级管理层要通过自己的言行,向广大员工表明内控的重要性。银行各阶层管理人员,特别是高层管理者要自觉遵守与自己有关的各项控制制度,要自觉接受违反制度后的应有惩罚。
3.可靠的信息系统是内部控制得以有效执行的前提。有效的内部控制系统应该是一个有效的信息数据系统。内部控制得以执行的前提是相关的控制信息能及时、准确地传达到执行者。所以,应保持有效的信息沟通渠道,以保证所有银行职员能充分了解和遵守涉及其责任和义务的所有政策和程序,并保证信息能够及时送达有关人员。
三、内部控制的评价
内部控制的评价,是指对上述内部控制系统“设计”和“执行”两个环节的恰当性和有效性进行测试和评价,其中测试是手段,评价是目的,测试是评价的基础,测试是为了获取充分的评价证据。
评价是内部控制循环过程中一个非常重要的环节,或者说是一个承前启后的环节。从系统本身看,它是内部控制持续改进过程中的一个重要信息反馈渠道。通过对内部控制设计和执行两个环节的测试,将内部控制适当性和有效性方面的评价信息,作为系统设计和系统执行两个环节的重要资源输入,从而使内部控制系统不断得到改进。
内部控制评价质量的高低,首先取决于评价者是否具有独立的地位,其次取决于评价人员有无适当的评价方法和专业技术水平。按照评价主体的不同,内部控制评价有外部评价和内部评价两种。银行内部控制的外部评价主要是指外部审计师和银行监管当局对其内控的评价;内部评价主要是指内部审计师的评价,或有关管理部门的自我评价。不管是内部审计师,还是外部审计师,最重要的一点就是评价者应当保持“独立性”。因为“独立性”是评价者做出公正、客观评价结论的基础。内部审计部门是以履行内部控制评价为职能的机构,其对内部控制的评价具有一定的客观性和公正性。但外部审计师作为一种独立的机构,相对内部审计来说更有其自己优势。事实上由外部审计师来完成银行内部控制评价工作可能会显得更经济和更有效率。所以,在市场经济成熟的国家里,不管银行监管当局还是银行管理当局,往往会把这项工作委托给外部审计师去完成。
内部控制测试和评价主要解决的问题有:
1.什么是确实存在的?即现状如何,就是在测试评价过程中发现的事实证据,特别是那些关键控制点上的事实证据。
2.什么是应该有的?即标准怎样,就是在做出评价时所使用的准则、措施或所期望的事物。
3.差异会造成什么影响?即风险有多大,就是由于现状和标准之间存在的差异而使被测试评价银行产生的风险暴露。
4.为什么会有差异?即原因何在,就是所期望的和实际存在之间的差异的产生原因。
5.应该采取什么改进措施?即改进建议,就是以上述“发现”为基础提出的改进措施。改进建议可能是:无须改变现行的控制系统;修改或补充现行的控制系统; 重新设计控制系统。
四、内控的持续改进
前面说,内部控制与风险是一对矛盾,风险是“矛”,内部控制是“盾”。矛盾的双方都是人,双方当事人存在一种对抗性思维,内部控制系统是否适当和有效要看谁更高明。这对矛盾随着时间和环境的变化而相互不断地进化。如果说昨天设计的“盾”还可以抵御“矛”的进攻,但经过进化后今天的“矛”就可能刺穿昨天的“盾”,那么,作为防御系统的“盾”也应当及时地做出相应的改进,而且,矛盾双方的进化是一个相互交替和持续不断的过程。因此,内部控制系统必须保持持续的改进。只有这样才能使内部控制和风险这对矛盾保持某种平衡状态。内部控制系统的持续改进也可以说是矛盾双方博弈的必然。
在评价和改进两个环节上,评价属手段,而改进才是目的。所以,内部控制过程还有一个不可缺少的环节,那就是在检查评价以后必然紧跟着改进行动。通过对内部控制系统的测试和评价,及时发现它的缺陷和薄弱环节,而且只有及时地加以改进,内部控制才能起到防御风险的作用。如果只检查评价,而没有相应的改进行动,那么这个内部控制过程也是不完整的。所以说,内部控制系统循环过程有四个环节,即:设计→执行→评价→改进。
内部控制的设计→执行→评价→改进是一个有机的整体,是一个循序渐进的过程,也是一种持续的过程。这四个环节体现了PDCA工作原理在银行内部控制活动中的具体应用,也就是说银行内部控制的过程也是一种PDCA循环。所谓PDCA工作原理或循环可简述如下:
P(Plan):根据顾客的要求和组织的方针,为提供结果建立必要的目标和过程。P就是根据组织目标及风险评估来设计内部控制系统。
D(Do):实施过程。D就是执行上述设计的内部控制系统。
C(Check):根据方针、目标和产品要求,对过程和产品进行监视和测量,并报告结果。C就是对内部控制系统的设计和执行两个环节的适当性和有效性进行测试并做出评价。
A(Act):采取措施,以持续改进过程业绩。A就是根据上述测试和评价中发现的内部控制设计和执行两个环节存在的缺陷,采取相应的改进。
银行在实现经营目标过程中必然会遇到各种各样的问题,要克服这些问题就要先对它们做出分析和估计,这就是风险评估。银行根据风险评估的结果来“设计”和安装相应的内部控制系统。设计及安装内部控制系统后还需要在日常的活动中加以“执行”。银行对设计并安装在银行经营活动中的内部控制系统,在正式运行前或经过一段时间的运行后,应当进行测试和“评价”。对银行内部控制系统的测试和评价往往是由独立于设计和执行该控制系统的内部审计部门或外部审计师进行。审计师在银行内部控制PDCA循环过程中的定位就是对内部控制系统设计的适当性和执行的有效性进行评价。根据审计师在测试和评价中发现的内部控制设计和执行两方面存在的缺陷,银行对正在运行中的内部控制系统采取相应的“改进”行动。
内部控制系统的“设计→执行→评价→改进到再设计→再执行→再评价→再改进是一个不断循环和周而复始的过程。每经过一次这样的循环,银行内部控制系统的性能都会得到相应的改善和提高。PDCA工作原理相似于我们经常讲的抓制度建设,抓制度落实,抓制度检查和抓问题的整改等工作环节,这是我们所熟悉的工作方法。廖道亮 汪叶斌