中国工商银行价值创造导向的内部控制评估体系,本文主要内容关键词为:中国工商银行论文,内部控制论文,导向论文,评估体系论文,价值论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中国工商银行股份有限公司(以下简称工商银行)顺利完成股份制改革后,成功地在沪港两地同步上市,并成为全球市值最大的上市银行,其业绩屡创新高。内部审计在其中发挥了积极的作用,不仅赢得董事会的充分信任,也得到各级管理层的普遍认可。内部审计以风险为导向,以增值为目的,审计覆盖境内37家一级分行、境外10家分行,412个二级分行及1756个县支行,总行22个部室及直属机构;审计事项涉及操作风险、信用风险、合规风险等各类风险领域,提出许多有针对性的意见和建议。内部审计作为董事会重要的监督资源,正在成为改善组织风险管理机制的倡导者、内部控制有效性的评价者和改善组织效能的推动者。价值创造导向是工商银行构建内部控制评估体系的核心和灵魂。为此,内部审计在组织实施内部控制评估工作的过程中,不仅仅关注制衡,而且更加关注效率与价值创造。工商银行从业务、产品和机构三个维度对有关管理办法和内部控制制度进行全面梳理,识别出主要业务流程中的关键风险环节和系统控制点,建立起相关业务环节的风险控制矩阵,初步形成特色鲜明、标准规范、体系完整、方法科学的评估体系(见图1),实现了评估标准化、规范化、信息化的工作目标。
1、评估体系的构建目标。评估体系以风险为导向,以促进提高工商银行风险控制能力和为组织增加价值为目的,以董事会提出的战略目标和经营目标为核心,关注国内外行业监管政策的变化趋势,关注全行内部控制体系建设、实施和运行状况,从公司、流程和IT三个层面对内部控制的有效性进行持续、独立的测试和评估,编制内部控制自我评估报告,并向董事会和高级管理层报告全行的固有风险布局变化和各业务领域的风险控制状况,推动全行内部控制程序持续优化。同时,工商银行内部控制相关情况按资本市场的要求披露信息。
2、评估体系的理论框架。工商银行密切跟踪国际最新研究成果,广泛借鉴全球最佳评估实践,吸收国际成熟监管理念与技术,专门成立项目组细致解读《企业内部控制基本规范》和COSO《内部控制整体框架》的内涵,遵循巴塞尔银行监管委员会《银行组织内部控制系统整体框架》、中国银监会《商业银行内部控制指引》和中国证监会《上市公司治理准则》等国内外监管要求,按照沪港两地证券交易所对上市公司信息披露的规定,构建内部控制评估体系的理论框架(见图2)。
图1 工商银行内部控制自我评估体系
图2 工商银行内部控制评估理论框架
3、评估体系的构建原则。(1)全面性原则。评估体系覆盖工商银行经营管理活动的全部内容与环节,能够实现对全行各级机构、业务和产品所面临的风险环节和控制措施的全面评估。(2)重要性原则。评估体系对不同的评估事项按照不同的内容和标准实施评估。对境内机构,重点关注其经营转型能力、市场竞争能力与发展创新能力的变化情况;对境外机构,重点关注老机构的经营转型与新机构的经营定位以及各机构的风险控制和可持续发展。(3)实用性原则。评估体系立足于规范工商银行内部控制评估活动的内容、方法、标准和步骤,引导评估人员能够及时、准确地对评估事项作出专业判断,为董事会和高级管理层科学决策提供参考依据。(4)先进性原则。评估体系对内部控制的关注应实现从审计视角向管理视角、从审计方法向管理方法,从财务报告导向向价值创造导向转变;评估技术与方法应能够满足评估事项多维度、多层级、多风险、多控制、多变化的需要。(5)开放性原则。评估体系应随着工商银行产品/服务创新能力的不断提升、业务活动范围的不断扩展,不断完善和修正,不断增强评估队伍履职能力。
4、评估标准体系。工商银行内部控制评估的标准分为一般标准和具体标准,二者相辅相成,共同构成一个完整的体系。一般标准是指工商银行内部控制系统整体运行应遵循和达到的目标,具体包括完整性、合理性、有效性三个方面的内容;具体标准是内部控制系统在具体运行中应遵循和达到的目标。具体标准是一般标准的基础。具体标准将COSO五要素完全融入了相关的控制程序设计和评估中,细分为两个层次:一是内部控制要素层级评估标准;二是内部控制作业层级评估标准(如图3)。
图3 工商银行内部控制评估标准体系
5、评估方法与工具。(1)编制评估清单。在梳理公司层面、流程层面和IT层面各领域、流程、产品以及服务所存在的风险及其相应的控制的基础上,分别编制覆盖价值链战略管理、前中后台各个环节的风险点、控制点、产品与服务、控制流程和控制领域清单。评估清单将随着风险变化情况作出动态调整。(2)建立价值链矩阵。在评估矩阵的构建过程中引入价值增值理念,以价值链条为纽带将不同评估对象的价值创造与其相应的控制水平、控制成本、控制效益联系起来,以此评估各风险点所对应的控制措施的适当性与有效性。按照价值形成过程排列各部门、控制领域、控制流程、业务单元、产品/服务等在前中后台的位置,清晰地界定组织层次,明确各部门在控制领域、控制流程、业务单元、产品/服务等风险控制方面的职责关系(见图4)。(3)绘制风险宇宙。根据国内外政治、经济、金融、信用和监管环境的变化情况,查找当前所面临的重要风险领域,建立全行的一级风险宇宙和二级风险宇宙,绘制全行风险热图,以明确各年度评估的重点(见图5),据此做持续的评估和改进,保证合理的审计评估覆盖。(4)建立量化评估模型。内部控制评估属于多目标决策。通过搭建多级评估体系,从固有风险、控制等级和控制有效性三个方面对全行不同产品、流程、领域、层面和机构开展量化评估,在构建因素集、评估集和权重集的基础上,运用模糊综合评估模型,得到基于产品、流程、领域、层面和机构的量化评估结果。(5)自主开发评估工具。先后开发风险控制矩阵(RCM)、内部控制评估系统(1CAS)和风险评估系统(RAS)等评估工具,实现对评估模板的统一管理、自动链接和自动校验,为建立前台现场测试、中台项目管理和后台技术保障的评估组织模式提供了平台支持。(6)实施标准化的评估作业流程。为确保评估工作的质量和效率,编制详尽的操作手册,设计菜单式的评估作业流程,对风险点、控制要求、实际操作描述、穿行测试、控制测试、缺陷判断、评估结果、质量控制等各个环节实现了标准化、规范化的评估操作,实现对评估准备、评估行为、评估过程和评估质量的系统硬控制。
图4 价值链构成
图5 风险宇宙(含二级)
6、评估内容。(1)公司层面。具体包括总行本部18个重要控制领域,境内分行6个重要控制领域和境外机构12个重要控制领域(见表1)。(2)流程层面。具体包括银行类与非银行类两大类别,涉及8条业务线,27个一级流程和145个二级子流程(见表2)。(3)信息科技层面。具体包括IT公司层面、IT一般控制及IT应用控制3个控制领域,27个控制子领域(见表3)。
7、评估报告。评估报告着力于内部控制的健全性、适当性和有效性,关注控制设计的适当与缺失,关注控制执行的充分与不足。在认定内部控制缺陷、绘制风险热图(见图6)的基础上,按年度分别形成用于内部管理的《内部控制自我评估工作情况报告》、《内部控制自我评估测试报告》、《内部控制量化评估报告》和用于资本市场信息披露的《年度内部控制自我评估报告》。这些报告揭示全行固有风险、控制缺陷及其迁徙变化情况,为董事会和高级管理层有针对性地完善内部控制体系提供了重要的决策参考。
图6 内部控制有效性状况图
表1 公司层面的评估内容
表2 流程层面的评估内容
表3 信息科技层面的评估内容
目前,瞬息万变的国内外经营环境无时不在深刻地影响着工商银行的风险布局,挑战着控制格局,如何在工商银行综合化、国际化前进的道路上,实现稳健经营与创新发展、价值创造与风险控制的平衡,是内部控制评估工作面临的最大挑战。工商银行的内部控制评估体系必须加强以下3方面工作:(1)深化评估体系标准化建设,加快信息系统优化和评估技术创新,推进内部控制视图的绘制工作。一是加快完善评估测试抽样规则;加快制定评估实施标准,为有序绘制全行控制视图做好技术准备。二是加快信息系统优化,实现评估流程的统一控制和评估模板的统一管理;为量化评估模型的研发与推广和控制视图的展现提供足够的技术平台。三是在业务流程再造中持续梳理价值链条,以价值创造为主线继续开展评估技术创新,建立内部控制评估信息库,深化和拓展量化评估工具,将Var值引入评估模型,提高控制视图的精准度。(2)加快内部控制评估职业化队伍建设,提高非现场分析与测试占比,着力提升评估工作效率。内部控制评估工作对评估人员宽广的职业素质要求与银行集团多维复杂的治理架构,决定了建设职业化评估队伍的重要性与紧迫性。因此,应将加快内部控制评估职业化队伍建设,依托现有强大的信息系统逐步实现非现场测试分析二级子流程的内部控制状况,实现非现场完成对全行控制过度与控制不足、控制成本与控制收益、控制格局与风险转移情况的整体评估工作,显著提升内部控制评估的工作效率。(3)建立评估体系修正机制,促进评估功能以事后评估为主向事前评估与事后评估并重转变,满足工商银行跨国并购的战略需求。作为跨国银行集团,工商银行将根据不同国家和地区政治、经济、社会和监管环境的变化,加快建立评估体系的动态修正机制,满足适时准确评估海外机构内部控制状况的工作需求;在评估体系标准化建设的基础上,推进内部控制事后评估功能向事前评估功能延伸,满足跨国并购的战略需求。
标签:内部控制论文; 企业内部控制评价指引论文; 企业流程管理论文; 风险价值论文; 内部控制缺陷论文; 流程优化论文; 评估标准论文; 风险控制论文;