2007年银监会在《商业银行内部控制指引》中明确规定,内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。
完善商业银行的内部控制机制,不仅可以保障风险管理体系的健全,改善公司治理结构,而且可以促进风险管理策略的有效实施,同时风险管理水平的提升也会极大地提高内部控制的质量和效率。
内部控制的内容和目标:
具体内容
|
控制目标
|
明确划分股东、董事会和高级管理层、经理人员各自的权利、责任、利益形成的相互制衡关系。 | 确保国家法律规定和商业银行内部规章制度的贯彻执行。 |
为遵守既定政策和预定目标所采取的方法和手段。 | 确保商业银行发展战略和经营目标的全面实施和充分实现。 |
为保证各项业务和管理活动有效进行、保护资产的安全和完整、保证资料的真实、合法、完整而制定和实施的政策与程序。 | 确保业务记录、财务信息和其他管理信息的及时、真实和完整。 |
及时防范、发现和动态调整管理风险的机制。 | 确保风险管理体系的有效性。 |
为有效实现内部控制目标,商业银行应不断自我完善内部控制体系的各项要素,同时接受外部监管机构的监管评价。
内控要素的自我完善和监管评价:
内控要素
|
自我完善
|
监管评价
|
内部控制环境 | 董事会负责建立并实施一个充分有效的内部控制体系; 高级管理层有责任制定适当的内部控制政策,对内部控制体系的充分性与有效性进行监测和评估; 监事会负责监督董事会、高级管理层完善内部控制体系; 董事会和高级管理层负责在商业银行内部建立科学、有效的激励约束机制,培育良好的价值理念和风险文化,履行相关的内部控制职责。 |
商业银行公司治理,董事会、监事会和高级管理层的责任; 内部控制政策和目标; 组织结构; 企业文化; 人力资源情况。 |
风险识别与评估 | 设立履行风险管理职能的专门部门; 制定并实施风险识别、计量、监测和控制的制度、程序和方法; 确保风险管理和经营目标的实现,特别是确保对商业银行经营管理目标有不利影响的重要风险都能被确认和评估; 内部控制体系需要适时修改,以应对任何新的或之前未能有效控制的风险。 |
银行的经营管理活动风险识别与评估情况; 法律法规、监管要求和其他要求的识别情况; 内部控制方案等。 |
内部控制措施 | 内部控制是日常经营管理的重要部分,每个业务/岗位都要建立控制措施,分清责任范围,并接受仔细、独立的监控。 | 运营控制、应急准备与处置情况; 信息系统环境下的控制。 |
监督与纠正 | 确保内部控制的状况能够被连续监控和掌握; 内部审计部门应直接向董事会、审计委员会或高级管理人员报告对内部控制状况/效果的评价结果; 内部控制的不足之处应及时向适当的管理人员汇报并及时处理和纠正。 |
内部控制绩效监测、意外事件处置和纠正及预防措施、内部控制体系评价、管理评审,以及持续改进情况。 |
信息交流与反馈 | 具有可靠、及时、充分的内部财务数据信息以及与决策相关的事件/情况的外部市场信息; 具有能够覆盖所有经营活动的、可靠的信息系统; 具有有效的沟通渠道,保证所有人员能完全理解并正确执行各项政策和程序; 同时保证组织机构内部各级管理层之间和各部门之间信息的充分流动; 建立程序,规定对内部控制相关活动中所涉及记录的控制。 |
信息交流与沟通; 内部控制体系对文件的要求; 是否建立并保持了必要的内部控制体系文件,同时对文件进行有效控制。 |
商业银行的内部控制必须贯彻全面、审慎、有效、独立的原则:
(1)内部控制应当渗透到商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查;
(2)内部控制应当以防范风险、审慎经营为出发点,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求;
(3)内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够得到及时反馈和纠正;
(4)内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
2012年巴塞尔委员会修订了《有效银行监管的核心原则》,要求商业银行应培育良好的内部控制环境,以保障开展业务时考虑其风险状况。与国际先进金融机构的内部控制体系相比,我国大部分商业银行在内部控制建设方面还处于起步阶段,存在许多薄弱环节。例如,商业银行的所有权和经营权的分离和制衡机制还有待完善;内部控制的组织架构尚未形成;内部控制的管理水平、对内部控制监督及评价的及时性和有效性亟待提高。因此,对我国商业银行来说,结合自身经营特点,借鉴国际规范的内部控制体系,加快、加强内部控制建设是当前的重要任务,不仅有利于全面风险管理体系的建设,而且有利于自身的稳健发展,从而提升在国内和国际市场上的竞争力。