构建我国商业银行的有效内部控制体系

刘关新

摘 要:有效的内部控制是确保我国商业银行持续健康发展的关键。但是,我国商业银行目前顺应COSO框架构建的内部控制并不足以满足全面管理的需要。正确的做法是,顺应全面风险管理,对COSO框架进一步完善,拓宽其外延,构建更为有效的内部控制体系。

关键词:内部控制 COSO 内控体系

中图分类号:F830.2 文献标识码:A

文章编号:1004-4914(2009)08-195-02

一、问题的提出

构建有效的内部控制体系,维护我国商业银行良好的发展态势和公共形象在金融全球化的今天显得十分重要。从全球来看,由于美国对全球的巨大影响,全美反欺诈财务报告委员会制定的COSO框架已经成为各国理解和评价组织内部控制的公认标准。该框架将内部控制定义为“受企业董事会、管理当局和其他职员的影响,目的在于为取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程”,把内部控制分为控制环境、风险评估、控制活动、信息交流与反馈、监督评价与纠正五个要求,并列出了相关内容。我国的银行监管组织,如国家审计署、中国银行业监督委员会、中国人民银行,目前基本是在按该框架建立体系,评价各商业银行的内部控制;各家商业银行也都在按照该框架构建自身的内部控制体系,开展内部控制评审。但是,正如美国知名内部控制专家史蒂文·J·鲁特在其所著《超越COSO——加强公司治理的内部控制》中强调的那样,该框架主要代表财务、会计、审计,特别是外部公众会计职业界、监管者的观点,它能够帮助管理者有效控制财务报告的风险,却并不能帮助其更好地达到创造价值这一主要目标,以满足股东、投资者的需要。同时,该框架也仅仅是基于内部控制的一般原理而设计,未能反映出当今时代银行业的控制要求。因此,从商业银行全面管理的角度,从努力发挥内部控制对实现我国商业银行战略愿景的助推作用来看,我国商业银行应参照该框架,更要超越该框架,取长补短,构建有效的内部控制体系。

二、COSO内部控制框架的现实局限性分析

从商业银行经营管理的现实来看,COSO内部控制框架具有一定的缺陷。具体体现在以下方面:(1)COSO内部控制框架提出的内部控制的目标包括运营的效果和效率、财务报告的可靠性、遵守适用的法律和法规三项。这三个目标仅仅包括与财务报告有关的三项内容,突出的是会计控制,提供的只是过去已发生事件的信息,不足以用来指导和评价公司创造未来价值的活动,更没有赋予影响经营结果的管理控制活动以应有的地位。(2)控制环境是COSO内部控制框架五要素中最主要的一环,它对组织应采取的控制措施具有决定性的影响。但COSO框架中的控制环境只考虑了组织内部因素,这就其关注的事项——财务会计报告控制来说无可厚非,因为财务会计报告的控制主要受组织内部因素的影响。但在一个高度竞争的市场环境中,商业银行的内部控制将更多地受客户反应、同业策略的影响,仅考虑内部环境显然过于狭隘。(3)COSO内部控制要素中的风险识别和评估倾向于顺着各类控制过程确定风险点、提出风险控制措施。这样,运用COSO框架所识别和评估的风险可能过于细微,与组织整个经营管理目标的关联度不高,无碍于组织战略目标的实现,甚至是组织为实现其目标而应当接受的风险。据其采取控制措施可能无法有效防范组织层面的风险,也无助于组织战略目标的实现。(4)该框架由全美反欺诈财务报告委员会设计,作为一个政府监管组织,它不甚关注企业如何采取控制活动来获取最大的效益,而重点关注的是通过怎样的控制,让股东、社会公众获取企业真实的财务信息,以方便决策。而按照这一目的,多一些控制自然可以提供更可靠的保证。因此,按照该控制框架的思路操作,当问题出现时人们往往首先想到的是增加控制,层层加码,使得操作规章越来越复杂。一方面,导致许多人总认为控制是限制性的,是“紧身衣”、“紧箍咒”,降低了对内部控制的热情;另一方面,给商业银行带来的只能是经营效率和效果的降低,以及客户响应度的迟缓。

三、我国商业银行有效内部控制体系的构建

1.拓展COSO内部控制目标,构建满足各方面有效需求的目标体系。在当今这个竞争激烈的时代,一个组织必须首先在客户、员工、过程、技术和创新等诸方面获得竞争优势,才能持续发展、创造最大化价值,也才能从根本上降低财务信息失实、不遵循财务会计政策的风险,因为这些问题往往都发生在企业无法实现满意的业绩时。有鉴于此,国际内部审计师协会就指出:“内部控制可以把市场需要、客户反映和组织竞争的各种要素纳入到控制目标之中,并通过内部控制保证组织以不断提高的质量标准服务于市场、服务于顾客,取得持续的竞争优势和良好的业绩。”因此,我国商业银行必须拓展COSO控制框架的目标,借鉴平衡记分卡的业绩评价方法,从财务、客户、内部业务流程、学习与成长等方面着手,建立适应顾客、市场、股东、投资者、国家、监管者、员工和社会公众需要的全面的内部控制目标体系,同时注意根据环境的变化不断调整完善,保持其适当性。

2.拓展COSO内部控制活动的范围,实施全方位控制。从现代内部控制理论来看,控制包括会计控制,也包括管理控制,即控制既要保证会计系统的有效和财务会计信息的真实、完整,也要关注影响经营结果的过程的控制;控制不仅仅是管理的四大职能之一,而是已经融于了管理的全过程,管理的其他三大职能——计划、组织、领导,都需要有效的控制,才能使组织经济高效地实现其经营目标。我国商业银行是一个企业,股东、投资者不仅仅关注其财务报告所披露的财务信息是否真实,更主要的兴趣还在于他们的投资是否增值、增值幅度是否符合其预期。因此,在重视按照COSO框架加强财务会计活动控制的基础上,我国商业银行还更应注意创造满意业绩的相关活动的控制,扩大控制活动的范围。一方面,要将控制活动扩大到整个经营管理领域,把目标设定、风险管理、客户服务、经营流程、运行机制的合理性、有效性全部纳入控制范围;另一方面,既要关注操作层面经营管理活动的控制,更要关注公司治理、战略决策层面的控制,因为只有治理结构有效、战略决策正确,才能从根本上保证我国商业银行经营目标的经济有效实现。

3.拓展控制关注的内容,谋求恰如其分的控制。从管理角度来看,一个组织存在的目的是要追求获得最大的效益,这就要求其控制必须考虑成本效益,而不是传统的越多越好。现代内部审计之父索耶就指出:“过度控制与缺乏控制一样有害,昂贵的、限制性的控制可能抑制绩效和主动性,所得到的保护是以压抑为代价的。”因此,为了构建以客户为中心的经营机制,提升市场竞争力和价值创造力,我国商业银行在设计内部控制时既要关注控制不足问题,也要关注控制过度问题,要在该增加控制时及时增加,该减少控制时毫不犹豫地减少,通过恰当的内部控制让全行始终保持在一个理想的控制状态,使内部控制成为帮助各级管理者整合其所有资源,实现经营目标的积极工具。

4.扩展COSO框架控制环境要素的外延,从更开放的视角来考虑内部控制。随着经济的全球化,任何组织都被置于了一个更加开放、竞争更加激烈的环境,内部控制仅仅考虑内部因素的影响已经远远不够,组织外部的环境往往也会对组织内部控制和管理产生巨大的影响。现代管理学认为,一个组织要想生存、发展和兴旺,管理者必须充分认识所处环境中的一系列因素,并且保证自己的组织对这些因素做出快速又恰当的反应。当前,除COSO框架外的大部分内部控制体系都考虑了外部因素对内部控制的影响。如国际内审研究院制定的“系统鉴证与控制模型(SAC)”直接将外部环境作为内部控制的一个重要因素,并将影响内部控制环境的外部因素细分为两种,一是与外部实体(供应商、合作伙伴、代理商)之间的交互作用及相互依赖性,二是外部市场力量(如客户、竞争对手、监管者、共同体、股东),要求在内部控制的五个环节都予以考虑。随着我国金融业的全面开放,我国商业银行面对的已经不是一个封闭的经营环境,而是一个完全开放的市场;我国商业银行也已经不是一个市场垄断者或主导者,而完全成了一个市场行为追随者、行业惯例的接受者。因此,构建我国商业银行的内部控制体系时,必须认真分析外部环境,包括经济发展的周期、产业行业发展趋势、法律法规的要求和变化、客户需求和同业竞争的特点等等,并采用SWOT分析法,有效发现环境因素中的机会和威胁,充分识别我国商业银行内部控制(包括内部环境)的优势和劣势,设计针对性的控制措施,使其与外部环境始终保持一种良好的互动状态。

5.提升COSO风险评估层次,密切风险评估与我国商业银行战略目标的关联度。COSO内部控制框架1992年发布之后,许多国家和组织已经看到了其在风险识别与评估方面的缺陷。加拿大特许会计师协会1995年发布的控制标准框架(COCO)、英国1999年发布的特恩布尔内部控制报告就对其进行了修正,更强调基于组织目标的风险管理,并将风险分析作为设计有效内部控制的首要步骤。COSO委员会经过反思,在2004年发布了企业风险管理(ERM)框架,提出了理解和评价企业层面所有机构风险的框架,明确指出“企业风险管理是一个受机构董事会、管理层以及其他人员影响的过程,它可以运用在战略设定并贯穿于企业当中,确认影响机构的潜在事件,并在风险偏好内管理风险,为机构目标的实现提供合理的保证”。因此,我国商业银行内部控制体系的建立必须拓展风险识别与评估的层次。首先,应树立“战略风险”意识,应清楚理解、把握我国商业银行的总体战略目标,以及各个层次的分目标,始终注意优先识别和管理与我国商业银行战略相关的风险。其次,应树立“风险偏好”理念。风险偏好是我国商业银行在追求自身战略目标时愿意接受的风险数量。承受风险是商业银行的核心特征,我国商业银行要实现自己的战略目标,必须接受一定的风险,也就是要有自己的风险偏好。我国商业银行要引导全行员工改变传统上一看到风险因素就想控制的传统认识,推行积极的风险管理,开展风险收益评价,只要所承受的风险能够以所得收益覆盖,我国商业银行就应当承受,从而将精力集中在超过自身偏好的风险上。

6.艺术地、综合地设计和运用控制手段,使各种控制手段之间能够相得益彰、扬长避短。任何内部控制措施都是一把“双刃剑”,既可能防范风险,也可能带来负面影响,甚至损害组织的整体利益。同样的风险可以采取的控制措施多种多样,富有成效的控制就是要对这多种方法进行科学合理的组合搭配,既有效控制风险,又尽可能避免其负面影响。如岗位轮换,管理学就认为,它能够防范一个人长期在某一岗位上工作可能带来的风险,但也会影响那些聪明且富有进取心的员工的积极性,非自愿地对员工进行岗位轮换还可能导致旷工和事故的增加。因此,对一些不适宜轮换或采取轮换方式可能得不偿失的岗位,采用加大监督检查频率、实施科学的激励约束、培育良好的道德氛围等替代手段,照样能够有效控制风险。因此,我国商业银行首先对任何一个风险点制定的控制制度,都要尽可能地设计多种可供选择、可以替代的控制措施,并允许执行者根据实际情况灵活选择;其次,对单一控制过程设计的控制措施,要具有一定的灵活性,为执行者采取设计者没有考虑到的其他替代措施留下接口,允许执行者根据实际情况选用其他控制措施;其三,实施内部控制合规性、遵循性检查评价时,要避免机械地看是否遵循了哪个具体制度、执行了某个具体的控制措施,而应从整体的角度去判断其控制的有效性。

四、结论

笔者从商业银行全面管理的视角,分析了COSO内部控制框架的局限性,提出我国商业银行应立足COSO框架,但不应拘泥于该框架,在具体的内部控制体系的构建中,应拓展内部控制的目标、内部控制活动的范围、内部控制环境的外延,提升内部控制风险评估的层次。最重要的,内部控制作为商业银行管理活动的一部分,在实际运用中必须灵活、艺术。只有这样才能使内部控制更有效地服务于我国商业银行的经营管理和健康发展。

参考文献:

1.中国人民银行.商业银行内部控制指引,2002.9.18

2.叶永刚,顾京圃.中国商业银行内部控制体系研究、设计与实施[M].中国金融出版社,2003

3.中国内部审计协会.经营分析和信息技术(第三版)[M].中国财政经济出版社,2004

4.[美]史蒂文·J·鲁特.超越COSO——加强公司治理的内部控制[M].中国财政经济出版社,2004

5.[美]索耶.索耶内部审计(第五版)[M].中国财政经济出版社,2005

6.[美]加雷思.琼斯.珍妮弗.乔治.当代管理学(第三版)[M].人民邮电出版社,2005

7.[美]James Roth.最佳内部控制评估实务—自我评估与风险评估[M].中国内部审计协会印制,2006(7)

8.[美]斯科特·格林.萨班斯法案内控指南[M].经济科学出版社,2007

9.杨雄胜.内部控制理论面临的困境及其出路[J].会计研究,2006(2)

10.李兮旸.论我国企业内部控制失效的治理[J].当代经济,2007(1)

(作者单位:中国建设银行陕西省分行 陕西西安 710002)

(责编:吕尚)