1、内部控制评价标准的思考 平湖支行谢晓 。本文简述内控评价的解释和由来,分析我国内控评价的现状,再研究、探讨国际上内控评价体系的开展历程,从中得到一些体会和经验,最后根据借鉴国际经验和个人分析得出一些建立科学的内控评价体系的思考。 关键词:内控评价国际经验科学体系 一、内控评价的由来 内部控制评价是内部控制开展到一定阶段的必然产物。内部控制是指通过制定和执行一系列具体的制度、程序和方法,对相关风险进行识别、分析和应对的机制和动态过程。内部控制评价是对被评价对象内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动,是对内部控制制度性安排进行的验证、审视和判断。 二、我国内控
2、评价的现状 我国对内部控制评价的研究起步较晚,尤其是对中央银行内部控制评价的研究开展较为滞后。20世纪80年代末至90年代初,随着内部控制的开展,以内部控制评价为主的符合性测试开始受到专业人员的关注和使用,但内.部控制评价仍停留在对内部管理制度执行的一般了解上,内部控制评价还只是起辅助作用。20世纪90年代中后期,我国政府才开始积极推进内部控制和内部控制评价的标准化建设。1997年5月,中国人民银行公布了加强金融机构内部控制的指导原那么,对金融机构内部控制的定义、目标、原那么和内容等做出了规定。2022年,中国人民银行借鉴coso报告,公布了商业银行内部控制指引,指出内部控制是商业银行为实现经
3、营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。2023年4月,中国人民银行出台中国人民银行分支机构内部控制指引(以下简称指引)。这是一份主要基于coso整体框架思想的内部控制建构指引,它的公布为人民银行分支机构内部控制建设提出了框架性意见和方向性指导。但是,该指引在范围上没有包括人民银行总行,仅针对人民银行分支机构,在对象上是针对内部控制,并非内部控制评价。 三、国际内控评价开展概况 综观内部控制理论和实践产生和开展的演进历程,可以将内部控制的开展划分为五个阶段,即内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶
4、段、风险管理总体框架阶段。20世纪30年代以来,世界各国行政管理机构、审计部门、企业及研究人员对内部控制进行了理论和实践探讨,取得大量成果。 (一)、美国的内部控制评价 1978年,美国柯恩委员会(cohencommission)就建议企业管理当局在披露财务报告时,提交一份关于内部控制系统的评价报告,说明管理当局对公司会计系统及其控制的评估,包括对控制系统固有限制及公司对独立注册会计师认定的重大缺陷做出反响的描述,并要求独立注册会计师对该报告进行证明。 1987年,treadway委员会(全美反舞弊财务报告委员会)在其报告中也提出了类似的建议,虽然treadway委员会未对内部控制提出结论,但
5、其报告立刻引起了广泛的反响。随后treadway委员会发起的组织(coso),于1992年在内部控制整体框架中提出了内部控制报告的框架。cohen报告、treadway报告、coso报告均认为,内部控制报告应着重说明控制系统的有效性。 在1979年和1998年,美国证券交易委员会(sec)分别提议强制要求提供内部控制报告。1989年,美国政府审计署(gao)也曾提议在存贷机构紧急援助议案中,应规定管理当局和审计人员报告内部控制,但都没有形成最终议案。2022年以来,美国安然、世通等许多著名公司暴露出的一系列财务舞弊问题引起了社会公众的关注,严重影响了公众对公司会计实务、财务报告的信心以及投资者
6、的信心,迫于这种压力和形势, 2022年7月,美国国会通过并公布了sox法案,致力于治理财务丑闻和财务报告中可能出现的问题,目的是为了恢复公众对公司会计实务和财务报告的信心。sox法案结合公司的财务报告全面提高了对上市公司内部控制的要求,把过去的很多自愿和选择性做法变成了法定的、强制性的要求,其中302节和404节尤为具体,对内部控制的评价和报告进行了明确的规定和要求。 sec根据sox法案的规定,于2022年6月发布的“最终规那么:管理层的财务报告内部控制报告和交易法案定期报告中披露确实认要求,管理层对公司财务报告内部控制有效性的评价必须依据一个适当的、公认的控制框架,并同时指出,coso框
7、架满足它们的要求。sox法案为上市公司规定了一个内部控制的评价和报告体系,以提高内部控制的有效性,加强内部控制信息的透明度。根据sox法案302节“公司对财务报告的责任和404节“管理层对内部控制的评价以及sec的相关规定和pcaob的asno.2,美国上市公司内部控制的评价和报告体系应当包括:公司管理层对财务报告内部控制的有效性进行评价,对内向审计委员会报告,对外发布公开报告;注册会计师对财务报告内部控制进行的审计,对管理层财务报告内部控制有效性评价发表鉴证意见以及对公司财务报告内部控制的有效性发表意见等两个方面。 (二)、英国的内部控制评价 英国内部控制的特色是建立在其特定的内部控制法律框
8、架根底之上的。英国内部控制的法律框架主要包括四个局部:一是公司法和普通法;二是上市股票登记规那么;三是公司治理的联合规那么;四是turnbull指南。其中turnbull指南把风险管理、内部控制和商业目标联系了起来,指出风险管理是企业内每个人的责任;认为董事会应当在获得信息和做出承诺时仔细检查公司制度的有效性,确保风险管理流程已经成为公司日常程序的一局部,并能够在遇到风险时做出快速反响;强调内部审计的职能以确保公司经营目标的实现。2023年,turnbull指南在保持根本原那么不变的情况下进行了局部修改,并于2023年2023月公布了修改后的turnbull指南。其内容包括:保持健全的内部控制
9、系统,审查内部控制的有效性,内部控制的董事会报告书,内部审计等四项内容。该指南规定董事会在定期审查内部控制报告以及实施年度评价时,需要重点考虑内部控制系统的风险评估、控制环境与控制活动、信息与沟通和监控等四个构成要素的相关问题。turnbull指南认为评价内部控制的有效性是董事会责任的重要组成局部,并要求董事会必须对内部控制进行年度评价并报告。早在1994年,cadbury委员会在其发布的内部控制和财务报告中要求英国各公司公布一份有关其内部财务控制制度的声明,这份声明至少必须包括以下内容:成认董事会对内财务控制负责;为内部控制制度对重大的错报或遗漏的事项仅提供合理保证而非绝对保证作出解释;描述
10、董事会为了确保有效确实认内部财务控制已经建立的关键程序;证实董事会已经审核过内部财务控制制度的有效性。cadbury鼓励但不要求董事会对内部财务控制制度的有效性发表意见。根据当前英国内部控制的法律框架,英国的内部控制评价与报告体系包括以下主要内容:审查内部控制有效性的责任;审查内部控制有效性的过程;董事会对内部控制的声明;注册会计师的责任。 (三)、加拿大的内部控制评价 1.coco的评价标准。1995年,加拿大特许会计师协会(cica)的控制标准委员会(coco)发布了控制指南,这是一个关于主体控制系统的设计、评估和报告的指南,其目的是为实体各个层级的人开发、评价和改进控制时提供参考和依据。
11、1999年,coco发布的评估控制指南设计了形成一份评估报告的2023步程序,其评估的重点是关于目标的信息和相关风险的管理。coco对控制的评估着眼更多的是企业未来,而不是对过去的评价。coco从目的、承诺、能力、监督与学习等四个根本要素出发,制定出了有效控制的20个评价标准。 2.coco的评价体系。coco的评价体系在评估控制的有效性时,通常针对实体的具体情况把评价指标设计成一系列问题,根据问题的答案来评价内部控制的有效性程度。重点从企业的战略目标同经营目标的协调、目标的实现、风险的控制、企业文化、员工能力、监督与控制等方面设计问题,评价内部控制的健全性和运行的有效性。 (四)、巴塞尔银行
12、监管委员会的内部控制系统评价1998年9月,巴塞尔银行监管委员会发布的名为银行组织内部控制系统的框架(frameworkfortheinternalcontrolsystemsinbankingorganisations)的报告中提出了一个内部控制系统的框架。该报告规定了银行组织内部控制系统的目标,设计了内部控制的五个相互关联的构成要素,并针对内部控制系统提出了五个要素和12条原那么。其中五个控制要素为:(1)管理监督与控制文化。包括董事会、高级管理者、控制文化等;(2)风险识别和评估;(3)控制和职责别离;(4)信息与沟通;(5)监督活动与纠正缺陷。12个根本原那么是:董事会最终责任原那么;
13、高级管理层的执行原那么;塑造控制文化原那么;控制风险原那么;控制结构原那么;职责别离原那么;信息获取原那么;信息系统原那么;信息沟通原那么;整体有效性原那么;独立内部审计原那么;及时报告原那么。 巴塞尔银行监管委员会要求监管当局对内部控制系统进行评价,在其第12条原那么中提出,“监管者应当要求所有的银行,无论其规模的大小,应当建立一个与其性质、复杂程度和借贷活动固有的风险相一致的内部控制系统,并且对银行环境和条件的变化做出反响。如果监管者确认某一银行的内部控制系统对其特定的风险状况来说是不充分或无效的,他们应当采取适当的行动。评价标准和依据就是其所提出的目标和12条原那么。 四、建立科学的内控
14、评价的个人思考 (一)建立严密的内部控制综合评价体系 人民银行内部控制综合评价活动应由总行统一部署,各分行统一组织,中心支行具体实施。内部控制综合评价工作应每年进行一次,采取下查一级的方法。应制定统一的内部控制综合评价方法和操作规程。各级行应设立内部控制综合评价领导机构内部监督委员会,负责内控评价的组织方案、监督管理、等级认定和责任人处理。各级内审部门作为内部监督委员会的常设办公机构,具体组织内部控制综合评价活动,行使直接评价职能。内控建设评价属于内部控制健全性评价范畴,是对被评价单位及时贯彻落实上级行金融方针、政策和有关规章制度情况进行的评价;内控执行评价属于内部控制遵循性评价范畴,是按主要
15、业务类别及其主要内部控制点,对被评价单位的内部控制制度执行过程和执行结果进行的有效性评价;内控保障评价主要是根据“三道防线的控制要求,对专职监管部门和岗位履行监管职能情况进行的评价。 (二)明确评价内容和标准 内部控制评价的范围是人民银行所有业务活动的全过程,重点是单位内部最容易发生风险的失控点,主要集中在直接管人、财、物、权力的重要岗位或环节上,特别是对财务、资金的监督要作为重点。评价的主要内容及主要控制点: 1、内控建设评价。内控建设评价采取通过调查问卷或召开座谈会的形式,了解被评价行各项业务的管理模式,分析这些管理模式能否将不相融岗位分开设置,岗位之间相互制约,工作环节衔接,决策按程序进行。 2、内控执行评价。内控执行系统评价是对各职能部门为完成工作目标和防范风险,对各项业务和内部管理活动进行风险控制、制度管理和相互制约体系的评价。 3、内控保障评价。根据“三道防线的内部控制要求,对业务主管部门履行监管职责的评价,主要是评价业务主管部门是否按规定对所属机构开展业务检查,是否配备检查人员,对检查发现的问题是否落实整改措施并有整改回复,对重大问题是否移交监督部门。 (三)设定科学的计分方式和评价等级 内部控制综合评价须以量化评价为主,要对有关评价内容或要点赋予一定的分值,并根据各种不同业务及其各个环节在内部控制整体中所产生影响的程度,设定不同的“内控权重。其中内控建