《商业银行内部控制指引》(2014)第五章讲“内部控制评价”,从第三十四条第四十二条,共计九条。作为内控体系的一部分,内控评价这九个条款可梳理为三大块内容:
一 内控评价概念及总的要求
1.内控评价概念。“商业银行内部控制评价是对商业银行内部控制体系建设、实施和运行结果开展的调查、测试、分析和评估等系统性活动”(第三十四条)。此定义的要害点可概括为:第一,内控评价是一个系统性活动。第二,内控评价针对的是内控体系,包括其建设、实施、运行结果。第三,内控评价的具体动作包括调查、测试、分析、评估等。可见在此语境下,内控评估是内控评价的一部分。
需注意,由这个第三点又引出两个矛盾点:一是内控职能部门的职责概括中,有“牵头内控体系的检查评估”(本指引第十一条),此“评估”与彼“评估”有何不同,是不是一回事。考虑是在同一个制度文件中出现,应当是一回事。二是内控五要素当中内部监督组织架构的规定指出,“商业银行应指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价,内控建设与内控评价部门进行分离”(商业银行内控评价指南5.6.1),这是否意味着内控评价的牵头部门,不可以是内控职能部门?显然是这个意思。一方面,内控职能部门的职责中有“评估”,而“评估”是“评价”的一部分,另一方面,内控建设部门与内控评价部门需分离,即内控职能部门不可以做“评价”。这二者显然是有些矛盾的,实务工作中具体如何摆布,还需细细思量。
2.要有内控评价制度并规范进行。“商业银行应当建立内部控制评价制度,规定内部控制评价的实施主体、频率、内容、程序、方法和标准等,确保内部控制评价工作规范进行”(第三十五条)。这个建内控评价制度的工作,应由内控评价部门牵头,而非内控建设部门。
3.内控评价年度报告报送的监管要求。“商业银行年度内部控制评价报告经董事会审议批准后,于每年4月30日前报送银监会或对其履行法人监管职责的属地银行业监督管理机构。商业银行分支机构应将其内部控制评价情况,按上述时限要求,报送属地银行业监督管理机构”(第四十二条)。此监管要求很明确,时间要求与信披报告一致,可见其重要性。必须明确内控评价部门,扎扎实实做好各个动作点,防止手忙脚乱疲于应付,或者表面上谁也负责、实际上谁也不负责。
另,央行《内控评价指南》4.9.2对报告路径做了描述:先审计委员会审议,次董事会审议决定,再报监事会和做信披。这个做信披的要求应予以关注。
二 内控评价相关工作要求的元素化分解
4.主体。“商业银行内部控制评价应当由董事会指定的部门组织实施”(第三十六条)。按照本指引划分的三类部门,内控评价的组织实施工作由内控职能部门承担和由内部审计部门承担,似乎都可以。但前提是需经董事会确认、授权。此项工作的管理责任部门只能是董事会,无论哪个具体部门牵头组织实施,本质上只是操作责任部门。董事会必须对内控负责,内控评价、内控审计本质上都是董事会层面的工作。如何指定这个牵头部门,需考虑评估与评价的厘清(如上所述)、评价与审计的厘清、内控建设部门与内控职能牵头部门的厘清。
5.客体(对象、范围)。“商业银行应当对纳入并表管理的机构进行内部控制评价,包括商业银行及其附属机构”(第三十七条)。需注意并表的概念,内控评价的范围要弄对。其实并表管理是个常识,只是常常易被忽略掉罢了。
6.频率。“商业银行应当根据业务经营情况和风险状况确定内部控制评价的频率,至少每年开展一次。当商业银行发生重大的并购或处置事项、营运模式发生重大改变、外部经营环境发生重大变化,或其他有重大实质影响的事项发生时,应当及时组织内部控制评价”(第三十八条)。按这个规定,一年一次是最低的频率了。《商业银行内控评价指南》(央行,4.3.5)对此也有规定,“原则上宜每年开展一次”,也可根据情况“调整评价频率”,“并在对外披露的内控评价报告中予以说明”。这两个规定总体上一致,但在具体用语上有所差异。按央行指南,似乎内控评价频率高于一年一次和低于一年一次都可以。同时按央行指南,内控评价报告原则上是应当做信披的,需引起关注。
7.标准。“商业银行应当制定内部控制缺陷认定标准,根据内部控制缺陷的影响程度和发生的可能性划分内部控制缺陷等级,并明确相应的纠正措施和方案”(第三十九条)。这个标准,显然也应当由内控评价部门制定。内控牵头部门制定是否也可以?似乎也行。按央行的《商业银行内控评价指南》具体要求,分为业务标准、认定标准,其中业务标准又分为公司层面业务标准、流程层面业务标准、信息科技层面业务标准,认定标准又分为内控缺陷认定标准、内控有效性认定标准。本指引此条是讲的内控缺陷认定标准。
8.程序。“商业银行应当建立内部控制评价质量控制机制,对评价工作实施全流程质量控制,确保内部控制评价客观公正”(第四十条)。此条主要讲内控评价程序中的质控问题,是原则性规定。央行《商业银行内控评价指南》4.7对内控评价程序做了详细分解,在此基础上,对每个阶段、步骤应有具体的质控要求。
三 内控评价结果的运用
9.内控评价结果要充分、合理运用。“商业银行应当强化内部控制评价结果运用,可将评价结果与被评价机构的绩效考评和授权等挂钩,并作为被评价机构领导班子考评的重要依据”(第四十一条)。这里讲到至少要三挂钩:与机构考评挂钩、与机构授权挂钩、与班子考评挂钩。央行《内控评价指南》4.9.3对此有更广泛、更详尽的规定。
总体上看,内控评价是内控体系中一个最紧要、最为提纲挈领的环节,央行专门制订了《商业银行内部控制评价指南》(2015)。将《指南》与本指引条款对照着研读,可更为精准地理解其中一些要义,进而在具体工作中更好地把握。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。