(1)定义
2008年《企业内部控制规范》定义:内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
2014年《商业银行内部控制指引》定义:内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。
(2)目标
①保证国家有关法律法规及规章的贯彻执行;
②保证商业银行发展战略和经营目标的实现;
③保证商业银行风险管理的有效性;
④保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。
(3)基本原则
全覆盖原则、制衡性原则、审慎性原则、相匹配原则。
内部控制发展大致经历五个阶段,分别为:内部牵制、内部控制制度、内部控制结构、内部控制整体框架、全面风险管理阶段。
(1)内部牵制
主要强调安全是制衡的结果,通过前中后台分离、不相容岗位与职务分离,实现查错防弊的目的。
(2)内部控制制度
①审计理论主导内部控制的发展;
②内部控制划分为内部会计控制和内部管理控制。
(3)内部控制结构
特点:将控制环境作为一项重要的要素内容与会计制度、控制程序一起纳入内部控制结构之中。
(4)内部控制整体框架
三目标:财务报告的可靠性、发展的效果和效率、相关法律法规的遵循;
五要素:控制环境、风险评估、控制活动、信息与沟通和内部监督。
(5)全面风险管理
2004年COSO委员会发布《企业风险管理——整合框架》,将风险管理框架分为八大要素∶内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
内部控制的基本要素
(1)内部环境
组织架构(基础地位)、人力资源、企业文化、规章制度。
(2)风险评估
目标设定、风险识别、风险分析、风险应对。
(3)控制活动
控制措施∶不相容职务分离控制、授权审批控制、会计系统控制、运营控制、绩效考评控制等。
应当加以分离的不相容职务有∶授权审批与业务执行、业务执行与监督审核、业务执行与相应记录、财务保管与相应记录、授权批准与监督检查等。
(4)信息与沟通
①信息与沟通的基本要求:信息收集(内部信息和外部信息)、信息加工、信息传递
②信息技术的运用:通过信息系统强化内部控制;加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制。
③反舞弊及客户投诉
(5)内部监督
①内部控制评价
评价对象:商业银行及其附属机构
评价实施:至少每年开展1次
评价标准制定:制定内部控制缺陷认定标准,明确纠正措施和方案
评价质量控制:实现全流程管理
评价结果运用:将评价结果与被评价机构的绩效考评和授权等挂钩
评价结果报告:经董事会审议批准后,于每年4月30日前报送国务院银行业监督管理机构
②内部控制监督
董事会、高级管理层:分级负责,承担管理责任。
内审部门、内控部门:对未适当履行监督检查和内控评价职责承担直接责任。
业务部门:应当对未直销相关制度、流程,未适当履行检查职责,未及时落实整改承担直接责任。
内部控制的职责分工
(1)董事会
①保证内控体系充分有效,保证银行审慎经营;
②明确设定可接受的风险水平,保证高级管理层采取必要的风险控制措施;
③监督高级管理层对内部控制体系的充分性与有效性进行监测和评估。
(2)监事会
①监督董事会、高级管理层完善内部控制体系;
②监督董事会、高级管理层及其成员履行内部控制职责。
(3)高级管理层
①执行董事会决策;
②根据董事会确定的可接受的风险水平,制定系统化的制度、流程和方法,采取相应的风险控制措施;
③建立和完善内部组织机构,保证内部控制的各项职责得到有效履行;
③组织对内部控制体系的充分性与有效性进行监测和评估。
(4)业务部门(第一道防线)
①参与制定与自身职责相关的业务制度和操作流程;
②严格执行相关制度规定;
③组织开展监督检查;
④按照规定时限和路径报告内部控制存在的缺陷,并组织落实整改。
(5)内控管理职能部门(第二道防线)
指定专门部门作为内控管理职能部门,牵头内部控制体系的统筹规划、组织落实和检查评估。
(6)内部审计部门(第三道防线)
履行内部控制的监督职能,负责对商业银行内部控制的充分性和有效性进行审计,及时报告审计发现的问题,并监督整改。