1、中国民生银行内部控制评价体系介绍作为中国银行业改革的试验田,民生银行锐意改革、积极进取,自成立以来,规模不断地扩大,效益逐年递增,保持了快速健康的发展势头,为推动中国银行业的改革创新做出了积极贡献。在成立的第一个十年,民生银行实现了快速增长,资产规模年复合增长率达到100%,利润的增长率保持在40%-50%;近三年,资产规模年复合增速放缓至27%-28%,利润的增长则保持了平均50%的增速,总资产收益率增幅和净利润增幅在股份制商业银行中排名第一,为投资者和客户创造了更高的价值和回报;到2013年上半年,民生银行集团资产总额达到3.4万亿元,实现净利润229.45亿元,同比增长20.43%,处于
2、股份制银行前列;不良贷款率为0.78%,长期保持较低的增长。一、民生银行内部控制管理体系建设发展的状况自1996年建行,特别是2007年五年发展刚要正式实施以来,民生银行持续完善现代金融企业公司治理机制,推进经营模式和增长方式转变,提高全行经营管理水平和内控风险防范能力,在全行初步建立起了对各项经营管理活动全方位覆盖、全过程控制和全员参与的内部控制体系,内部控制机制日趋完善,风险防范能力得到提升,内控管理水平明显改善。(一)营造良好的内控环境,奠定经营管理与内部控制的基石民生银行作为首家主要由非公有制企业入股的全国性股份制商业银行,在独特的股权结构基础上,建立和完善了现代公司治理架构,形成了权
3、力机构、决策机构、监督机构和执行机构之间权责分明、各司其职、相互协调、有效制衡的组织架构和运作机制。民生银行根据业务发展情况,不断完善组织架构和业务流程、健全激励机制,并通过集中化管理提高内部运行和风险防控效率。在业务线,推行公司业务集中经营改革,建立行业事业部管理机制,推进分行业务转型,支行进行零售化改革;在风控线,推出独立评审制度,独立稽核体制,分行集中放款制度,健全了信贷前中后台分离的制约机制;通过中后台改革,对组织机构、岗位体系、绩效管理、业务流程和经营模式等进行全方位整合,搭建适合我行较长时期发展战略需要的基础性平台。相继实施的“两率”考核、千分制考核、贡献积分、平衡计分卡等激励考核
4、机制,优化绩效管理体系,推进岗位标准化建设,构建新的岗位职级体系,建立了基于业绩贡献和岗位价值的激励约束机制。(二)初步建成了成本和风险横贯型约束机制,管理和经营风险能力得到增强民生银行持续加强全面风险管理体系建设,不断完善全面风险管理框架,风险识别、评估与管理水平明显提高,实现了从关注单一客户风险转向关注组合风险、控制行业集中度风险,从简单定性判断风险转向定性与定量判断相结合,管理和经营风险能力大大增强。在信用风险管理方面,建立了全行法人客户评级和债项评级体系,完成了零售资产风险评分模型和风险分池量化参数的设定,初步实现了每笔债项和客户所对应的风险拨备、经济资本、风险调整后的资本收益(RAR
5、OC)与经济增加值(EVA)的自动计算,为内部评级法的推广应用和信用风险的数目化管理奠定了坚实的基础。在市场风险管理方面,完善了市场风险识别、市值评估、风险计量、限额管理、风险报告及应急管理等制度办法,初步搭建起集中的市场风险计量、监测、控制和管理平台,对金融市场部、上海交易中心和香港的各类投资交易组合均实现了市值、损益、敏感性等风险指标的每日计量和监控,市场风险计量与管理水平大幅提升。在操作风险管理方面,建立了政策制定、工具开发、资本计量与日常管理相分离的管理架构,制定了操作风险管理制度,设计并推出了操作风险与控制自我评估、关键风险指标和损失数据收集三大管理工具,明确了操作风险日常监督和检查
6、管理机制,制定了操作风险监管资本计量管理办法和计算模版,操作风险管理能力明显提高。在流动性风险管理方面,制订了流动性风险管理办法、流动性应急计划与流动性压力测试方案,明确了流动性风险管理职责、管理流程、管理策略、管理方法与手段,清晰了流动性应急触发条件和预警信号、应急处理措施,规范了流动性风险压力测试的方法、程序与报告要求,构建了有效应对流动性风险的管理体系。在合规风险管理方面,相继开发了合规风险管理系统、管理标准和数据模型,合规性检查和合规风险整改逐步规范化,持续开展“主动合规”主题活动,“规规矩矩办银行、人人尽职合规”的合规文化有效树立,合规评价不断成熟,监管评价和监管环境大为改善。战略风
7、险、国别风险、声誉风险、IT风险管理架构已基本构建。此外,建立了经营机构风险评价制度,对各经营机构的风险管理工作进行定期评价,并将其结果纳入平衡计分卡体系,推动各经营机构风险管理持续提升。 (三)加强了流程控制,内控机制和内控技术不断成熟。在规章制度建设方面,2007年建立规章制度合规审查制度,2008年组织全行制度大清理并实行“制度有效覆盖率”管理指标,2010年建立“流程立规”规章制度管理机制,着力构建直观清晰、简明扼要、体系和谐的规章制度体系,有效克服了制度间不衔接甚至相互冲突、制度繁杂不便于掌握等问题,大大提高了制度执行力。在业务集中管理方面,2001年在业界率先实现“数据大集中”,随
8、后在信贷审批、单证处理、授信发放、会计运营、财务管理、资金管理和稽核审计等领域加快集中化改革,减少管理层级,提高管理效能,增强风险控制能力。2013年新核心系统全面上线运行,为以客户为中心的业务流程及组织管理提供强大的技术支持。在业务流程方面,坚持“以客户为中心”的指导思想,自上而下持续推进公司业务、零售业务、私人银行业务、金融市场业务、中后台管理等主要业务流程优化,梳理并完善相关业务流程,建立起市场反应灵敏、风险控制有力、运行协调高效、前中后台分离的业务流程。在管理工具方面,引进和实施平衡计分卡指标体系,启动了平衡计分卡信息平台开发;推进六西格玛流程优化项目,部分机构顺利试点并取得阶段性成果
9、;根据客户之声管理要求,启动了客户满意度体系构建。在系统控制方面,在公司金融、零售金融、信用卡、网上银行、金融交易、风险管理、运营管理、人力资源管理、财务管理等专业系统中广泛应用IT硬控制技术,减少了人工干预因素,进一步提高了系统控制能力。(四)创新监督管理模式,三道防线管理效能明显提高。各一线业务机构自觉践行合规文化,规范营销客户,全面落实业务审批要求,密切监控信贷资金流向,主动自查自纠。业务管理部门建立正向激励制度,明确合规经营导向,充分发挥专业优势,主动实施对自身业务领域的检查和督导。运营管理部门不断健全事权划分、事中控制、业务监督、检查督导等管理机制,业务运营风险得到较好控制;放款部门
10、积极开展授信作业监督,使授信业务风险防范关口前移;法律合规部门作为直接对各级管理层负责的合规性检查部门,着力加强对各类合规性检查的统筹管理,不断完善内控合规评价指标体系和方式方法,独立或联合组织合规性检查,组织并督促合规性整改,有效提高了全行合规性检查监督的效率和效能;独立的内部审计部门以风险为导向,将监督评价全行风险管理、内部控制和公司治理的充分性与有效性作为审计活动的重要内容,审计活动深入到公司治理过程中,审计职能得到深化,审计价值不断提升。从成立之初,即聘请四大会计师事务所负责年度、季度审计以及内控审计,促进内控建设持续完善,提高内控审计公信力。纪检监察部门作为执纪部门和案件统筹管理部门
11、,不断完善组织架构和制度流程,加强宣传教育,强化员工监督,完善案件(风险)信息报告和处置工作,构建和完善问责体系,严格责任追究,整肃内部纪律和风气。(五)加快了信息化建设步伐,内外部信息得到有效沟通。在信息管理方面,推进企业级数据仓库建设,实施数据质量治理工程,提高了基础信息的真实性和可靠性,为各级管理者的经营决策和内控管理提供了有力支持。在信息传导机制方面,制定内部控制信息报告管理办法等制度,全行形成了横向覆盖各业务领域、纵向贯穿各级机构、业务条线和工作岗位的信息报告传递机制,保证了各类经营管理信息在各级行、各部门之间的通畅传导。在信息披露方面,持续修订完善信息披露事务管理制度等相关规定,规
12、范了信息披露工作流程和权限,确保信息披露的真实性、准确性和完整性,有效地满足了监管部门、投资者及社会公众对我行的信息披露需求。与此同时,我行还积极建立外部信息收集机制,多渠道、有重点地获取、筛选、分析监管信息、社会信息和客户信息,以便及时跟进管理措施,强化内部控制,有效防范和化解风险。近年来,加速演化的经济全球化、金融自由化和金融危机给商业银行带来了全面竞争与经营风险,随着外部经营环境、国际、国内监管环境变化,加之成为中国最佳商业银行的发展愿景都对内控体系建设提出了更高的要求。对内部控制体系进行重新梳理,规划和改进是今后一段时期的重点任务。二、内部控制评价体系主要内容介绍一些国有商业银行在九十
13、年代末,即启动了对分支机构的内部控制评价,但在相当长的时间内未形成明确的、系统的工作要求,内控评价内容仍以查弊纠错为主,未摆脱传统业务审计的模式。2004年后,在银监会评价办法的指导下,各商业银行开始探索符合自己特点的内部控制审计评价准则和审计评价方法,基本建立了以COSO要素为核心、完善的内控评价制度和体系文件。经过多年实践,形成了各具特色的评价体系和方法。中国民生银行的内部控制评价是依据企业内部控制基本规范的总体要求和商业银行内部控制指引的具体要求,在银监会的指导下进行的。我行内部控制评价遵循五部委的企业内部控制基本规范的体系框架和商业银行内部控制指引的具体要求,结合本行实际,在2008年
14、制定了中国民生银行内部控制评价办法,并于2012、2013年两次修订,对整体内部控制评价体系进行了全面的发展和完善。经营机构是全行各项业务的落脚点,我们将对经营机构的内部控制评价作为全行内部控制有效性评估的最重要和最基础的工作,对经营机构的内部控制评价内容是年度内控报告的核心。(一) 经营机构内部控制有效性评价的内容及范围1、评价内容依据有关指导文件的框架要求,内部控制评价是围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制设计与运行情况进行的全面评价。内部环境评价,以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本行内部控制制度,对内部环境的设计
15、及运行情况进行认定和评价。风险评估评价,以企业内部控制基本规范有关风险评估的要求,以及各项应用指引中所列的主要风险为依据,结合本行内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略的设计及运行情况等进行认定和评价。控制活动评价,以企业内部控制基本规范等相关法规和各项应用指引中的控制措施为依据,结合本行各项业务的管理办法、操作规程、内控手册,对相关内部控制措施的设计和运行情况进行认定和评价。信息与沟通评价,以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本行内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息
16、系统实施内部控制的有效性等进行认定和评价。内部监督评价,以企业内部控制基本规范有关内部监督的要求,以及各项应用指引和相关法规与监管要求中有关日常管控的规定为依据,结合本行内部控制制度,对内部监督机制的有效性进行认定和评价。2、评价范围在多年的内部审计过程中,我们对全行各项业务经营情况有较为全面的了解,通过不断对业务制度和流程进行梳理,来确定主要的经营管理活动领域和关键控制流程。目前,对分行的评价主要集中在以下十个管理控制和业务流程,即公司层面、综合管理、对公授信、零售授信、零售非授信、私人银行、同业业务、运营管理、财务管理、电子银行。2012年以前,我行对经营机构内部控制评价是围绕内部控制五要
17、素进行,对具体的控制活动投入了较大的力量,但经过评估,我们发现以往的评价往往忽略了对经营机构战略执行能力的评价,评价没有抓住经营机构自身的特点和亮点,多局限于对内部控制活动环节的合规性检查,内容偏窄,限制了内控评价作用的发挥。在董事会战略转型的关键时期,我们确定对内控评价的内容进行调整,增加了对经营机构战略执行、特色业务、经营管理等方面的分析评价内容。经过实践检验,对这几方面的分析评价提升了内控报告的高度和水平,对从深层次揭示内部控制中存在的问题实质起到重要的作用。(二)评价工具内部控制评价手册是对我行内部控制评价时所运用的基本技术工具,是在我行基本规章制度的基础上形成的,是各项业务的流程化体
18、现,我们通过对业务各流程中的关键节点,即控制点的抽样检查,判断经营机构的内部控制是否发挥作用。评价手册根据对象不同,分总行级、分行(事业部)级,由各类评价表组成,是量化评分的基础依据。以分行级内部控制评价手册为例说明:包括公司层面、综合管理、公司授信、零售授信、零售非授信、私人银行、资金与票据、运营管理、计划财务、电子银行等十张评价表。每张评价表有50个左右的控制点。评价表共10列,包括业务管理与流程、控制点描述、制度依据、测试方法建议、替代控制措施描述、样本量、样本区间、问题描述等内容。仅公司层面表采用固定分值,定性判断的方式,其余9张表均采用定量扣分的方式。我们在对经营机构的公司层面中,将
19、经营指标完成情况和战略执行效果均给予了分值,在定性判断的基础上,引入量化参考指标,如经营指标中选取资本收益率、经济资本收益率等资本节约指标,净非利息收入额等中间业务指标,不良贷款率等资产质量指标;在战略执行方面,选取民营企业中的客户开发和结构指标,小微企业的综合化开发、户均贷款额及批量化指标,高端客户管理金融资产年均复合增长率、特色业务开发模式和效果指标。通过指标完成情况,作为对公司层面定性判断的辅助。(三)评分方法和程序为增强评价的科学性、可对比性,我们在最初设计评价办法时,就建立了量化的评价指标体系,以实际得分的方式来确定不同的评价结果,按照标准分数确定评价等级。千分制的内控评价的评分方法
20、仅限于对经营机构内部控制评价。内部控制整体评价和单项流程评价均实行千分制评分,整体评价得分由各单项流程评价得分加权汇总形成。评分设置内部控制要素权重和单项业务流程风险权重两个权重指标。单项业务流程评价按内部控制要素分配权重,对评价发现问题按内部控制要素进行归类,按风险等级确定得分,然后加权汇总形成单项业务流程得分;再将各单项业务流程得分按业务流程风险权重加权汇总后,形成整体内部控制评价得分。例:经营机构内控要素汇总表业务条线 控制要素标准分值 汇总分值 公司层面综合管理对公授信零售授信零售非授信电子银行内控环境150风险识别与评估150控制活动450信息交流与反馈100监督评价与纠正150汇总
21、权重100%1001052520105总计 1000 1、两个权重划分原则:A.内部控制要素权重划分应考虑各要素在经营机构中的重要程度,结合经营机构的运作特点和管理层次来确定。如:内部控制环境15%,风险识别与评估15%,控制活动45%,信息交流与反馈10%,监督评价与纠正15%。B.单项业务流程的权重划分原则贯彻风险导向原则,对业务占比较高、风险发生概率较高以及影响程度较大的单项业务分配较大的权重。如:公司治理10%,综合管理5%,对公授信25%,零售授信20%,零售非授信10%,私人银行5%,运营管理10%,同业业务5%,财务管理5%,电子银行5%。2、风险等级认定在对问题发现的性质判断上
22、,我们引入了风险管理中的风险等级概念,即每个审计发现按照问题发现的损失影响和发生的可能性进行综合判断,赋予风险等级不同的分值,根据最终确定的风险等级进行扣分;所有审计发现按照五要素进行归类汇总,进行整体评分。这个评分体系采用的是扣分制,和以前得分制有明显不同。例:各业务条线控制要素评分表管理环节 标准分数 汇总分数 扣分 风险等级 发生可能性影响程度问题 内控环境150风险识别与评估150控制活动450信息交流与反馈100监督评价与纠正1503、确认风险等级的方法在审计发现的性质判定上,我们采用了风险等级矩阵模型。风险等级=发现的损失影响发生的可能性 三个因素均分为高中低三档,最终确定的风险等
23、级分别对应相应的扣分区间。例:风险等级矩阵 问题发生的可能性 问题发现损失影响低中高高中中高中低中中低低低中风险等级对应扣分区间表等级扣分区间等级扣分区间等级扣分区间低1扣分6中7扣分12高13扣分18三个需明确的定义或标准:A、风险等级定义缺陷等级描述高问题发现处于关键领域且存在重大的风险隐患,管理层须立即引起注意解决相关问题。中问题发现处于一般领域且存在重要的风险隐患,管理层须尽快引起注意避免问题向更严重方向发展。低问题发现处于一般领域且产生的风险隐患影响有限,管理层应考虑这些领域整体控制的有效性。B、发生可能性等级划分表业务发生频率问题占抽样比率每年一次每季一次每月一次每周一次每天一次每
24、天多次差错率5%中低低低低低5%差错率10%高中中中中低10%差错率15%高高高高中中 15差错率20%高高高高高中20%差错率高高高高高高C、问题发生损失影响等级划分表问题发现损失影响 描述高受到较严重的行政处罚;形成重大财产和资源损失;极大地违反、损害或阻挠业务、名誉和利益;发生重大差错或严重的控制缺陷。中造成明确的财产和资源损失;违反、损害或阻挠业务、名誉和利益;行为产生不良影响或后果,损失程度不大;发生重要差错或重要的控制缺陷。低造成财产和资源的较少损失;可能会影响组织的业务、名誉和利益;内部控制执行中的不规范问题。4、评分程序A、由评价工作组组织各专业评价小组进行初评,首先按内控要素
25、分类标准将问题发现进行业务流程归类;其次按照问题发现的差错率和发生频率确定问题发生的可能性等级,与问题发现损失影响程度相结合,按风险等级矩阵确定不同程度的风险等级;然后按不同风险等级对应的扣分区间进行扣分;最后对单项业务流程评价表按权重进行加权,汇总成为经营机构整体内控评价得分。B、评价组主审人组织评审组对初评分结果进行复核确认,经评价组长审阅后上报审计部。C、审计部组织内控评价专家组对各评价工作组的评分结果进行复审。在对经营机构内部控制进行评价的基础上,检查是否存在重大内部控制风险事项,如果存在重大内部控制风险事项,则按照重大缺陷校正评价表中的标准分值进行内部控制评价的分数调整。5、缺陷认定
26、内部控制缺陷是指内部控制体系在设计上或运行中,存在的无法让管理层和员工在正常执行所分配工作时,及时地预防或发现错报的控制程序缺失。内部控制缺陷认定遵从统一的判断标准。(1)缺陷分类按严重程度的分为:重大缺陷:一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形;重要缺陷:一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标的情形;一般缺陷:除重大缺陷、重要缺陷之外的其他控制缺陷。(2)内部控制缺陷认定根据问题发生可能性及问题影响程度,依据相应的定量、定性标准进行确定。内部控制评价要对所有的审计发现进行缺陷认定,初步的认定由评价组负责,要按照统一的缺
27、陷认定标准和程序进行,如有重大或重要缺陷的判断,则应在退出内部控制评价现场前,与被评价单位高级管理人员沟通和确认内部控制评价发现和结论;对内部控制评价中发现的重要缺陷,与高级管理层(行领导)进行沟通和确认,并提出改进措施;审计部将就重大的审计发现和高级管理层拟采取或不采取改进措施的决定,向董事会审计委员会汇报,并由其最终认定重大控制缺陷。6、评价有效性结论有效性评价结论分为有效、基本有效、关注、特别关注、无效等五级,确定以定量与定性相结合的形式,对评价结果进行判定,将是否出现重要和重大的内控缺陷作为评级浮动的重要因素。经营机构内部控制评价的认定标准如下:有效的认定标准:内部控制设计适当且得要素
28、到贯彻执行,不存在控制过度和控制不足的情况,无重大缺陷和重要缺陷。基本有效的认定标准:内部控制设计适当但个别执行效果不佳,存在控制过度可能,不存在控制不足的情况,无重大缺陷和重要缺陷。关注的认定标准:内部控制存在少量设计缺陷,存在控制过度和控制不足的情况,存在控制过度和控制不足的情况,无重大缺陷和重要缺陷。特别关注的认定标准:内部控制存在较多设计缺陷且涉及范围较广,控制不足情况较为严重,违反行内规章制度疏导总行处罚,存在重要缺陷。无效的认定标准:内部控制存在无控制或控制失效的情况,违反监管机构规定并受到处罚,存在重大缺陷。按照审慎性原则,如果被评价对象存在重大内部控制风险事项,将按照扣分标准给
29、予分数调整。7、评价报告经营机构内部控制评价意见是基于对经营机构内部控制专项审计和日常监督检查结果编制而成。经营机构内部控制评价意见包括内部控制评价开展基本情况及评价结论,被评价单位的战略执行、经营特色、内部控制分析评价,主要审计发现,改进建议等内容。评价意见根据经营机构内部控制实际得分,得出内部控制有效性结论,以反映经营机构内部控制设计和运行的效果。8、评价程序评价程序包括:方案培训、非现场准备、现场审计、评价结果认定、报告撰写等阶段。(1)方案培训。由各审计中心组织全体评价人员进行集中培训,培训内容包括对被评价对象基本经营管理情况的介绍,主要经营指标的分析,重要风险预警信息的排查,业务流程
30、的审计方法,审计记录的说明,沟通与反馈要求,缺陷认定的基本方法,评价表的汇总方法等。(2)非现场审计。入场前现场审计组组织非现场检查,对分行/事业部的组织管理、经营情况进行调查摸底,对业务进行预警排查和数据挖掘,利用非现场模型进行预设条件的筛查,并确定初步的抽样样本。正式进场评价前应组织召开项目分析会,对非现场排查结果进行通报,对抽样问题初步排查结果进行分析,确定重点检查的方向。(3)现场审计。评价组按照职责分工和时间进度安排进驻现场,对评价方案确定的评价内容实施现场评价。具体工作评价步骤按中国民生银行现场审计管理办法中有关规定实施。现场评价工作要求有完整、客观评价记录,按照评价底稿的统一要求
31、填写,针对审计发现的偏差填写情况确认书和备查记录。(4)评价结果认定。 A、由业务条线评价小组进行初评,先按COSO五要素分类标准将问题归类到业务条线内控要素评分表,按照风险认定标准,进行风险评估,形成问题的风险等级;按最终确定的风险等级扣分。 B、主审人组织评审组对初评分结果进行复核确认;业务条线内控要素评分表加权汇总形成经营机构内控要素评分汇总表,经组长审阅后上报总部。 C、总部内控评价专家组对各审计中心的评分结果进行复审,复审的目的是平衡各中心问题判定标准和评分的差异,保证评价结果的公平性。(5)报告撰写 经营机构内部控制评价形成内控评价意见书,该意见书正式发文,报送行内高级管理层。对检
32、查发现的问题,统一纳入问题库,整改要求以问题库的形式下发被评价机构进行限期整改。 在这个评价过程中,特别对非现场系统的应用进行说明。民生银行是在国内股份制商业银行中较早应用非现场审计技术的金融机构,在近十年的摸索中,非现场系统经过数次更新和升级,具有较为强大的数据筛选和预警的功能,已经成了为基本信息查询与风险预警相结合的有力审计工具,特别是最新的非现场系统开发出自主化的模型探索功能,对满足审计人员个性化的审计需求,起到较大的支撑作用。在内控评价工作中,非现场系统亦发挥了较大的作用,在正式进场审计前,审计组都要应用非现场审计审计系统进行1-2周的准备工作,包括抽样和初步风险排查,非现场信息为重点
33、领域,有风险疑点的业务进行补充抽样等提供重要的参考依据,已经成为内控评价过程的重要组成部分。在内控评价非现场审计系统应用中,我们也在不断加强二者的结合。由于非现场系统中尚无与内控评价职能相匹配的应用模块,内控评价所依据的非现场信息比较零散,很难形成系统的预警和风险评估结果。我们正在研究建立针对关键控制点的审计风险模型,将之内嵌到非现场审计系统中,对风险预警信息进行实时排查,评估风险状况,为现场审计提供抽样依据和参考,这将极大提高内控现场审计的效率和效果。持续提高内控评价中非现场审计因素的比重,强化非现场系统的应用,是内部控制评价建设的内在革命,成型的、模块化的内控和风险审计预警排查功能和模型从
34、主要业务数据的监测,对高风险审计疑点和重点审计领域风险特征的预警,对资金流、业务流的全程控制是实现内控评价效能发挥的重要途径,将有利于对全行整体控制状况的把握,有利于全行内部控制水平的提高。(四)年度内部控制有效性自我评估从2008年开始,民生银行的内部控制评价即分为全行年度内部控制有效性自我评价及经营机构内部控制有效性评价两个层级来开展。作为境内外同时上市的公司,编制内部控制评价有效性自我评估报告,并随年报对外披露是监管的制度性要求。我行在2012年以前,年度内控评价是集中进行的,方法是由审计部组织力量按照评价要求对总行本级及5-10个分行(事业部)进行评估,并表附属机构自查,合并出具全行自
35、我评估报告。同时我行也开展了针对经营机构的内部控制评价,是对分行级(事业部)进行的,全部经营管理业务的全面评价,但内部控制有效性评价的结果没有纳入年度法人机构自我评估的范围。2012年以后,在对以往内部控制评价工作进行总结的基础上,我行改变了内部控制评价的基本形式,在做年度内部控制有效性自我评估时,不再单独抽取经营机构,而是充分利用年中两次经营机构内部控制有效性评价及全年后续审计的结果。由审计部在每年初对总行本级有关管理和业务部室进行重点检查,其他部门进行内控自查,对并表附属机构采取自查和抽查相结合的形式。对评价组织形式的调整原因主要考虑到减轻年末经营机构的负担、增强对审计结果的利用,更加强调
36、的是内控的全过程控制,通过将全年审计发现全部纳入年度法人机构自我评估的范围来提高内控评价的广度和深度。按照监管要求,年度报告内容包括董事会对内部控制报告真实性的声明、内部控制评价工作的总体情况、内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定、内部控制缺陷的整改情况、内部控制有效性的结论等几部分内容。年度内部控制评价报告针对不存在重大缺陷的情形,出具内部控制有效的结论;针对存在重大缺陷的情形,则描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。全行年度内部控制评价报告是根据年度针对总行本级、各经营机构和投资控股公司等内部控制评价自查和检查结果,结合其他审计活动中
37、发现的问题,进行内部控制缺陷认定,形成内部控制缺陷汇总表,并在此基础之上进行编制。三、民生银行内部控制评价的创新实践与思考(一)民生银行在内控评价工作中的创新思路1、以风险导向为核心 我行最初进行内部控制评价的理论和工具都是在外部审计咨询机构的指导下进行的,基本就是在随机抽样基础上,采取符合性测试为主导的方式进行。但是实践发现,这种单纯的就评价而评价的方法并不完全符合处于高速发展中我行的风险状况。内部控制相对成熟的国外商业银行多采取在内部控制评价的基础上,对重要业务或内控系统存在较大缺陷的机构进行实质性审计的方法。我行借鉴国外商业银行的审计理论和方法,在内部控制评价中贯彻风险导向审计的理念,通
38、过对被审计单位全面风险评估为基础的,从重要风险点入手,结合审计人员的风险职业判断,评价被审计单位的风险控制,确定剩余风险,执行追加审计程序,以将剩余风险降低到可接受水平的过程。例如我们在内控评价的样本抽样方面采用了随机抽样和重点抽样相结合的方式,审计人员利用非现场系统对被审计对象进行数据分析和预警排查,在满足随机抽样样本的基础上,增加重点检查的业务数量,增加抽样比例。基于风险审计的要求,我们对业务条线的检查内容也不仅仅局限于评价表中的内容,通过多年来对经营机构的检查情况,基本对各经营机构的薄弱环节均有较深的了解,在此基础上的评价,往往可以切中时弊,起到事半功倍的效果。我们的内控评价的抽样比重较
39、大,资产业务平均都超过20-30%的比重,评价结果基本能够符合被评价单位的实际状况。我们认为风险导向审计遵从的是由风险到控制的逻辑,符合风险管理的要求,有利于发现内部控制中的薄弱环节,有利于发现真正的风险隐患,是对内控评价的深化,能有效解决内控评价全面而不深入的顽疾。实践证明风险导向的理念和方法为内控评价技术提供了很好的借鉴,而这个理念和方法正是未来内控评价方法由“查弊纠错”式的符合性测试向以风险导向为核心的风险审计过渡的必然选择。2、内控评价常态化从国内商业银行实践看,内控评价始终作为一个单独的项目集中进行的,有的是对全部机构每年一次的评价,有的是选取重点机构进行的分批评价。不论是采取何种形
40、式,内控评价还是与其他的审计项目区分出来,按自己的逻辑和方法进行,评价的结果、发现的内控缺陷与风险识别、审计重点立项等没有有效结合起来,还未作为各项审计工作的基础,在重点机构、重要领域的项目安排上发挥指导性作用。我行以内控评价为基础的审计,是“制度基础审计”,通过对内部控制的系统评价来确定审计重点、范围、方法和程序,可以有效解决审计资源紧张和保证重点审计的矛盾问题,在科学、合理抽样基础上所得到了评价结论,对于判断风险控制和风险管理的薄弱环节,加强管理控制会起到基础性作用。我们把内控评价应该作为一项基础性、常规的工作,以科学抽样为前提,确定一段时期内的重要审计风险领域,以评价中发现的线索、问题特
41、征,作为风险审计立项的依据。对日常风险排查和专项审计的结果进行深入的分析,确定在问题表象后隐藏的内部控制设计和执行方面的缺陷,作为对内部控制评价的补充。形式上不局限于集中式的全面普查,可以采用多种灵活的方式,结合日常审计、后续审计和审计监督工作进行。全年审计中的风险发现都作为内部控制评价的内容。(二)内控评价取得的主要成绩及存在的问题受董事会的委托,审计部负责全行内部控制评价的组织和实施。目前,对经营机构的内部控制评价上下半年各做一次,每次选择5家分行,1家事业部,约三年一个循环,可以做到对所有经营机构的全覆盖。根据经验对经营机构内部控制评价项目平均时间、人力资源投入、工作量综合测算,内控评价
42、工作约占全年审计部工作量的15-20%,审计项目发现问题的数量约占全年问题总量的30%,已经成为审计范围最广,影响力最大的审计项目。我行所做的内部控制评价内容覆盖面广,是对经营机构全面的、客观的和综合的评价,受到被评价单位高度重视,各部门积极配合,审计问题沟通顺畅,整改措施到位,效果明显。内控评价报告采用统一的标准和评分方式,便于经营机构间相同业务模块的比较,也更容易发现自身经营管理中的短板,有助于加强对薄弱环节的管理和推动。 同时内控评价方法在实践中不断得到发展和完善,评价工具已经成为审计人员业务检查的有力工具,为建立和完善标准化的审计方法打下了基础。 几年来,内部控制评价从制度上、流程上对
43、经营机构的管理和操作进行了细致的检查和评价,为经营管理层强化管理手段、加强针对性管理都起到积极的推进作用。一些人长期存在的错误意识得到纠正,一些屡查屡犯问题的发生率逐年下降,经营机构的组织建设、制度建设得以加强,全员合规性意识增强,机构整体风险管理水平提升。审计结果与责任追究紧密结合,从根本上夯实了规范经营的基础。伴随着全行合规风险管理体系建设的逐步完善,制度建设和对制度的执行力都有很大的提高,传统的以合规性审计为主导的方式已初步显示出不适应,表现在内部控制评价上就是审计覆盖面宽,但对审计发现的深度不够,层次不高,对被审计单位的经营管理实质性问题触动较少,对深层次问题揭示还不够。在方案设计和执
44、行中尚有缺陷,对缺陷认定受人为因素影响较大,经营机构评级分值接近,未体现出差异化,客观性还有欠缺。另外,内控评价与风险管理的关系还不完全清晰,内控评价部分控制点还是过细,做了一些操作性的合规检查,对二线风险管理的审计评价还未开展。内控评价的非现场审计系统应用还不深入,对问题线索的预警不足,现场评价缺乏更有力的技术支持。不能很好解决和协调好“全面”和“深入”的关系是困扰内控评价继续推进的主要问题。(三)外部环境及监管政策对内控评价工作的要求随着经济全球化、金融自由化和金融危机,商业银行面临着全面竞争与经营风险。在国家经济发展方式转变和经济结构调整中,金融业监管政策和信贷政策不断出台,对商业银行的
45、信贷投向与结构、贷款存量和质量产生深远的影响。对金融机构准入的放松,使国内银行业面临兼并收购、规模扩张、产品创新、服务效率的激烈竞争;利率市场化将改变以往以存贷利差为主要收入来源的银行商业经营模式。在资本市场进一步快速发展下,优质大中型客户的脱媒现象更为普遍,对商业银行的客户定位带来影响;互联网、手机等新兴金融渠道功能日新月异,客户需求日趋多元,竞争的方式和手段快速升级。外部经济金融环境变换带来的系统性风险对我行内控风险管理提出了更高的要求。 国内外监管环境的变化,尤其是随着国际监管规则和监管标准的提升,国内监管政策与管理机制不断完善,监管方法持续改进,对我行加强内部控制管理提出了更为严格的监
46、管要求。持续的金融创新是我行各项业务得以高速发展的重要特征和主旋律,随着我行发展战略的深化和调整,事业部准公司化改革,产业链金融,小微、小区金融的全面推开,传统的业务产品和操作模式都受到一定程度的影响和冲击,新的操作模式和流程的建立对风险管理和内部控制都提出了更高的要求。中后台的持续变革,机构管理模式和方法不断创新,也是对内部控制的重构过程。 内部控制评价体系是与内部控制的建设紧密相连的,随着风险管理体系建设的推进,伴随的内部控制建设也将发生重大的飞跃,这种实质性的改变,必将为内部控制评价工作带来新的挑战和机遇。(四)我们对内部审计的定位及内控评价工作的思考中国民生银行是第一家设立独立垂直内部
47、审计体系的商业银行,我行从成立伊始就注重独立内部审计体系的建立和不断完善,经过多年的持续探索和创新,内部审计的职能优势、技术优势和服务优势全面形成,以增值为目的的现代内部审计思想内涵渐渐融入和渗透到了民生银行战略转型和经营管理中。我行内部审计立足审计职能定位,从过去的“查错纠弊”和合规型审计,逐步向“服务型、增值型、风险型”审计转变,逐渐树立了以银行及股东价值最大化为核心的增值型审计理念。内部审计强调大的内部控制概念,所有的内部审计项目都是紧紧围绕健全和完善全行内部控制机制的有效性来开展工作,重点从传统的合规性审计向战略审计、经营管理效益审计、资本管理审计等方面转移,通过加大风险审计的比重,提高对内部控制有效性的评估,提升审计的质量和效果。近年来,民生银行通过组织体系的优化调整、“监督与服务并重”的审计职能转变、以风险和内控为导向审计理念的形成、审计人员专业化水平的提升、审计工具及方法的创新、强大审计科技平台的建设、
