銀行內(nèi)部控制系統(tǒng)是一個循環(huán)的過程。在這個循環(huán)系統(tǒng)中主要包括:設計→執(zhí)行→評價→改進四個環(huán)節(jié)。內(nèi)部控制系統(tǒng)存在的意義就在于持續(xù)地循環(huán),包括:再設計、再執(zhí)行、再評價、再改進。銀行內(nèi)部控制系統(tǒng)就是在這個不斷的循環(huán)中得到持續(xù)的進化。
一、內(nèi)部控制的設計
銀行設計內(nèi)部控制系統(tǒng)的目的是為了完成其經(jīng)營目標?,F(xiàn)代管理的思維方式往往是: 確立組織的經(jīng)營目標→評估實現(xiàn)目標的風險→根據(jù)風險評估設計內(nèi)部控制系統(tǒng)→執(zhí)行內(nèi)部控制系統(tǒng)→評價控制系統(tǒng)的適當性和有效性→根據(jù)評價結果采取改進行動。可見設計內(nèi)部控制系統(tǒng)的主要依據(jù)是風險,假如銀行在實現(xiàn)目標過程中沒有風險就不需要設計內(nèi)部控制系統(tǒng)。
銀行所有內(nèi)部控制都是針對風險的大小來設計的,風險越大,設計的控制措施就越多、越嚴密。在銀行重要風險領域,還要設置多重控制措施。內(nèi)部控制與風險是一對矛盾。
內(nèi)部控制和風險這對矛盾的雙方都是人。設計和執(zhí)行內(nèi)部控制的往往是銀行內(nèi)部的人,而制造風險的也是人,造成這些問題的可能是銀行外部的人,也有可能是銀行內(nèi)部的人,有時甚至是銀行內(nèi)部控制的設計者或執(zhí)行者。所以,“人”是內(nèi)部控制設計者應當考慮的核心問題。他們之間似乎是在玩博弈游戲,雙方用的都是一種對抗性思維,所以,對銀行內(nèi)部控制系統(tǒng)的設計者而言,學會運用科學的思維方法至關重要。
二、內(nèi)部控制的執(zhí)行
內(nèi)部控制系統(tǒng)的設計和執(zhí)行在銀行內(nèi)部的不同管理層次有不同的分工。在組織中層次越高,設計的職責越多,執(zhí)行的職責越少;層次越低,執(zhí)行的職責越多,設計的職責越少。如用數(shù)學的方式來表達就是,內(nèi)部控制的設計與管理層次成正比,內(nèi)部控制的執(zhí)行與管理層次成反比。譬如,銀行董事會的職責是設計重大的方針政策,方針政策也是銀行的內(nèi)部控制;高級管理層的職責是執(zhí)行董事會的方針政策,并設計相應的控制系統(tǒng);中低級管理層的職責主要是執(zhí)行高級管理層制定的有關政策和程序,并設計一些具體的控制措施; 最基層的操作人員只負責執(zhí)行與自己崗位有關的操作規(guī)程和內(nèi)控制度。
內(nèi)部控制執(zhí)行環(huán)節(jié)要注意以下問題:
1.內(nèi)部控制的有效執(zhí)行特別需要一個良好的控制環(huán)境。在銀行內(nèi)部營造一種濃厚的“控制文化”和“控制氛圍”,是內(nèi)部控制得以有效執(zhí)行的基礎。強調(diào)內(nèi)部控制對單位管理與個人切身利益的關系,使全體管理人員與職工理解貫徹執(zhí)行制度的意義,清楚最高管理層的決心、意向與要求,明確本職工作的地位與影響力。
2.銀行各級管理層不僅是內(nèi)部控制的設計者,同時也是內(nèi)部控制的模范執(zhí)行者。董事會和高級管理層要通過自己的言行,向廣大員工表明內(nèi)控的重要性。銀行各階層管理人員,特別是高層管理者要自覺遵守與自己有關的各項控制制度,要自覺接受違反制度后的應有懲罰。
3.可靠的信息系統(tǒng)是內(nèi)部控制得以有效執(zhí)行的前提。有效的內(nèi)部控制系統(tǒng)應該是一個有效的信息數(shù)據(jù)系統(tǒng)。內(nèi)部控制得以執(zhí)行的前提是相關的控制信息能及時、準確地傳達到執(zhí)行者。所以,應保持有效的信息溝通渠道,以保證所有銀行職員能充分了解和遵守涉及其責任和義務的所有政策和程序,并保證信息能夠及時送達有關人員。
三、內(nèi)部控制的評價
內(nèi)部控制的評價,是指對上述內(nèi)部控制系統(tǒng)“設計”和“執(zhí)行”兩個環(huán)節(jié)的恰當性和有效性進行測試和評價,其中測試是手段,評價是目的,測試是評價的基礎,測試是為了獲取充分的評價證據(jù)。
評價是內(nèi)部控制循環(huán)過程中一個非常重要的環(huán)節(jié),或者說是一個承前啟后的環(huán)節(jié)。從系統(tǒng)本身看,它是內(nèi)部控制持續(xù)改進過程中的一個重要信息反饋渠道。通過對內(nèi)部控制設計和執(zhí)行兩個環(huán)節(jié)的測試,將內(nèi)部控制適當性和有效性方面的評價信息,作為系統(tǒng)設計和系統(tǒng)執(zhí)行兩個環(huán)節(jié)的重要資源輸入,從而使內(nèi)部控制系統(tǒng)不斷得到改進。
內(nèi)部控制評價質(zhì)量的高低,首先取決于評價者是否具有獨立的地位,其次取決于評價人員有無適當?shù)脑u價方法和專業(yè)技術水平。按照評價主體的不同,內(nèi)部控制評價有外部評價和內(nèi)部評價兩種。銀行內(nèi)部控制的外部評價主要是指外部審計師和銀行監(jiān)管當局對其內(nèi)控的評價;內(nèi)部評價主要是指內(nèi)部審計師的評價,或有關管理部門的自我評價。不管是內(nèi)部審計師,還是外部審計師,最重要的一點就是評價者應當保持“獨立性”。因為“獨立性”是評價者做出公正、客觀評價結論的基礎。內(nèi)部審計部門是以履行內(nèi)部控制評價為職能的機構,其對內(nèi)部控制的評價具有一定的客觀性和公正性。但外部審計師作為一種獨立的機構,相對內(nèi)部審計來說更有其自己優(yōu)勢。事實上由外部審計師來完成銀行內(nèi)部控制評價工作可能會顯得更經(jīng)濟和更有效率。所以,在市場經(jīng)濟成熟的國家里,不管銀行監(jiān)管當局還是銀行管理當局,往往會把這項工作委托給外部審計師去完成。
內(nèi)部控制測試和評價主要解決的問題有:
1.什么是確實存在的?即現(xiàn)狀如何,就是在測試評價過程中發(fā)現(xiàn)的事實證據(jù),特別是那些關鍵控制點上的事實證據(jù)。
2.什么是應該有的?即標準怎樣,就是在做出評價時所使用的準則、措施或所期望的事物。
3.差異會造成什么影響?即風險有多大,就是由于現(xiàn)狀和標準之間存在的差異而使被測試評價銀行產(chǎn)生的風險暴露。
4.為什么會有差異?即原因何在,就是所期望的和實際存在之間的差異的產(chǎn)生原因。
5.應該采取什么改進措施?即改進建議,就是以上述“發(fā)現(xiàn)”為基礎提出的改進措施。改進建議可能是:無須改變現(xiàn)行的控制系統(tǒng);修改或補充現(xiàn)行的控制系統(tǒng); 重新設計控制系統(tǒng)。
四、內(nèi)控的持續(xù)改進
前面說,內(nèi)部控制與風險是一對矛盾,風險是“矛”,內(nèi)部控制是“盾”。矛盾的雙方都是人,雙方當事人存在一種對抗性思維,內(nèi)部控制系統(tǒng)是否適當和有效要看誰更高明。這對矛盾隨著時間和環(huán)境的變化而相互不斷地進化。如果說昨天設計的“盾”還可以抵御“矛”的進攻,但經(jīng)過進化后今天的“矛”就可能刺穿昨天的“盾”,那么,作為防御系統(tǒng)的“盾”也應當及時地做出相應的改進,而且,矛盾雙方的進化是一個相互交替和持續(xù)不斷的過程。因此,內(nèi)部控制系統(tǒng)必須保持持續(xù)的改進。只有這樣才能使內(nèi)部控制和風險這對矛盾保持某種平衡狀態(tài)。內(nèi)部控制系統(tǒng)的持續(xù)改進也可以說是矛盾雙方博弈的必然。
在評價和改進兩個環(huán)節(jié)上,評價屬手段,而改進才是目的。所以,內(nèi)部控制過程還有一個不可缺少的環(huán)節(jié),那就是在檢查評價以后必然緊跟著改進行動。通過對內(nèi)部控制系統(tǒng)的測試和評價,及時發(fā)現(xiàn)它的缺陷和薄弱環(huán)節(jié),而且只有及時地加以改進,內(nèi)部控制才能起到防御風險的作用。如果只檢查評價,而沒有相應的改進行動,那么這個內(nèi)部控制過程也是不完整的。所以說,內(nèi)部控制系統(tǒng)循環(huán)過程有四個環(huán)節(jié),即:設計→執(zhí)行→評價→改進。
內(nèi)部控制的設計→執(zhí)行→評價→改進是一個有機的整體,是一個循序漸進的過程,也是一種持續(xù)的過程。這四個環(huán)節(jié)體現(xiàn)了PDCA工作原理在銀行內(nèi)部控制活動中的具體應用,也就是說銀行內(nèi)部控制的過程也是一種PDCA循環(huán)。所謂PDCA工作原理或循環(huán)可簡述如下:
P(Plan):根據(jù)顧客的要求和組織的方針,為提供結果建立必要的目標和過程。P就是根據(jù)組織目標及風險評估來設計內(nèi)部控制系統(tǒng)。
D(Do):實施過程。D就是執(zhí)行上述設計的內(nèi)部控制系統(tǒng)。
C(Check):根據(jù)方針、目標和產(chǎn)品要求,對過程和產(chǎn)品進行監(jiān)視和測量,并報告結果。C就是對內(nèi)部控制系統(tǒng)的設計和執(zhí)行兩個環(huán)節(jié)的適當性和有效性進行測試并做出評價。
A(Act):采取措施,以持續(xù)改進過程業(yè)績。A就是根據(jù)上述測試和評價中發(fā)現(xiàn)的內(nèi)部控制設計和執(zhí)行兩個環(huán)節(jié)存在的缺陷,采取相應的改進。
銀行在實現(xiàn)經(jīng)營目標過程中必然會遇到各種各樣的問題,要克服這些問題就要先對它們做出分析和估計,這就是風險評估。銀行根據(jù)風險評估的結果來“設計”和安裝相應的內(nèi)部控制系統(tǒng)。設計及安裝內(nèi)部控制系統(tǒng)后還需要在日常的活動中加以“執(zhí)行”。銀行對設計并安裝在銀行經(jīng)營活動中的內(nèi)部控制系統(tǒng),在正式運行前或經(jīng)過一段時間的運行后,應當進行測試和“評價”。對銀行內(nèi)部控制系統(tǒng)的測試和評價往往是由獨立于設計和執(zhí)行該控制系統(tǒng)的內(nèi)部審計部門或外部審計師進行。審計師在銀行內(nèi)部控制PDCA循環(huán)過程中的定位就是對內(nèi)部控制系統(tǒng)設計的適當性和執(zhí)行的有效性進行評價。根據(jù)審計師在測試和評價中發(fā)現(xiàn)的內(nèi)部控制設計和執(zhí)行兩方面存在的缺陷,銀行對正在運行中的內(nèi)部控制系統(tǒng)采取相應的“改進”行動。
內(nèi)部控制系統(tǒng)的“設計→執(zhí)行→評價→改進到再設計→再執(zhí)行→再評價→再改進是一個不斷循環(huán)和周而復始的過程。每經(jīng)過一次這樣的循環(huán),銀行內(nèi)部控制系統(tǒng)的性能都會得到相應的改善和提高。PDCA工作原理相似于我們經(jīng)常講的抓制度建設,抓制度落實,抓制度檢查和抓問題的整改等工作環(huán)節(jié),這是我們所熟悉的工作方法。