中国工商银行价值创造导向的内部控制评估体系

作者简介:

原文出处:
中国内部审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2010 年 06 期

关 键 词:

字号:

      中国工商银行股份有限公司(以下简称工商银行)顺利完成股份制改革后,成功地在沪港两地同步上市,并成为全球市值最大的上市银行,其业绩屡创新高。内部审计在其中发挥了积极的作用,不仅赢得董事会的充分信任,也得到各级管理层的普遍认可。内部审计以风险为导向,以增值为目的,审计覆盖境内37家一级分行、境外10家分行,412个二级分行及1756个县支行,总行22个部室及直属机构;审计事项涉及操作风险、信用风险、合规风险等各类风险领域,提出许多有针对性的意见和建议。内部审计作为董事会重要的监督资源,正在成为改善组织风险管理机制的倡导者、内部控制有效性的评价者和改善组织效能的推动者。价值创造导向是工商银行构建内部控制评估体系的核心和灵魂。为此,内部审计在组织实施内部控制评估工作的过程中,不仅仅关注制衡,而且更加关注效率与价值创造。工商银行从业务、产品和机构三个维度对有关管理办法和内部控制制度进行全面梳理,识别出主要业务流程中的关键风险环节和系统控制点,建立起相关业务环节的风险控制矩阵,初步形成特色鲜明、标准规范、体系完整、方法科学的评估体系(见图1),实现了评估标准化、规范化、信息化的工作目标。

      1、评估体系的构建目标。评估体系以风险为导向,以促进提高工商银行风险控制能力和为组织增加价值为目的,以董事会提出的战略目标和经营目标为核心,关注国内外行业监管政策的变化趋势,关注全行内部控制体系建设、实施和运行状况,从公司、流程和IT三个层面对内部控制的有效性进行持续、独立的测试和评估,编制内部控制自我评估报告,并向董事会和高级管理层报告全行的固有风险布局变化和各业务领域的风险控制状况,推动全行内部控制程序持续优化。同时,工商银行内部控制相关情况按资本市场的要求披露信息。

      2、评估体系的理论框架。工商银行密切跟踪国际最新研究成果,广泛借鉴全球最佳评估实践,吸收国际成熟监管理念与技术,专门成立项目组细致解读《企业内部控制基本规范》和COSO《内部控制整体框架》的内涵,遵循巴塞尔银行监管委员会《银行组织内部控制系统整体框架》、中国银监会《商业银行内部控制指引》和中国证监会《上市公司治理准则》等国内外监管要求,按照沪港两地证券交易所对上市公司信息披露的规定,构建内部控制评估体系的理论框架(见图2)。

      图1 工商银行内部控制自我评估体系

      

      图2 工商银行内部控制评估理论框架

      

      3、评估体系的构建原则。(1)全面性原则。评估体系覆盖工商银行经营管理活动的全部内容与环节,能够实现对全行各级机构、业务和产品所面临的风险环节和控制措施的全面评估。(2)重要性原则。评估体系对不同的评估事项按照不同的内容和标准实施评估。对境内机构,重点关注其经营转型能力、市场竞争能力与发展创新能力的变化情况;对境外机构,重点关注老机构的经营转型与新机构的经营定位以及各机构的风险控制和可持续发展。(3)实用性原则。评估体系立足于规范工商银行内部控制评估活动的内容、方法、标准和步骤,引导评估人员能够及时、准确地对评估事项作出专业判断,为董事会和高级管理层科学决策提供参考依据。(4)先进性原则。评估体系对内部控制的关注应实现从审计视角向管理视角、从审计方法向管理方法,从财务报告导向向价值创造导向转变;评估技术与方法应能够满足评估事项多维度、多层级、多风险、多控制、多变化的需要。(5)开放性原则。评估体系应随着工商银行产品/服务创新能力的不断提升、业务活动范围的不断扩展,不断完善和修正,不断增强评估队伍履职能力。

      4、评估标准体系。工商银行内部控制评估的标准分为一般标准和具体标准,二者相辅相成,共同构成一个完整的体系。一般标准是指工商银行内部控制系统整体运行应遵循和达到的目标,具体包括完整性、合理性、有效性三个方面的内容;具体标准是内部控制系统在具体运行中应遵循和达到的目标。具体标准是一般标准的基础。具体标准将COSO五要素完全融入了相关的控制程序设计和评估中,细分为两个层次:一是内部控制要素层级评估标准;二是内部控制作业层级评估标准(如图3)。

      图3 工商银行内部控制评估标准体系

      

      5、评估方法与工具。(1)编制评估清单。在梳理公司层面、流程层面和IT层面各领域、流程、产品以及服务所存在的风险及其相应的控制的基础上,分别编制覆盖价值链战略管理、前中后台各个环节的风险点、控制点、产品与服务、控制流程和控制领域清单。评估清单将随着风险变化情况作出动态调整。(2)建立价值链矩阵。在评估矩阵的构建过程中引入价值增值理念,以价值链条为纽带将不同评估对象的价值创造与其相应的控制水平、控制成本、控制效益联系起来,以此评估各风险点所对应的控制措施的适当性与有效性。按照价值形成过程排列各部门、控制领域、控制流程、业务单元、产品/服务等在前中后台的位置,清晰地界定组织层次,明确各部门在控制领域、控制流程、业务单元、产品/服务等风险控制方面的职责关系(见图4)。(3)绘制风险宇宙。根据国内外政治、经济、金融、信用和监管环境的变化情况,查找当前所面临的重要风险领域,建立全行的一级风险宇宙和二级风险宇宙,绘制全行风险热图,以明确各年度评估的重点(见图5),据此做持续的评估和改进,保证合理的审计评估覆盖。(4)建立量化评估模型。内部控制评估属于多目标决策。通过搭建多级评估体系,从固有风险、控制等级和控制有效性三个方面对全行不同产品、流程、领域、层面和机构开展量化评估,在构建因素集、评估集和权重集的基础上,运用模糊综合评估模型,得到基于产品、流程、领域、层面和机构的量化评估结果。(5)自主开发评估工具。先后开发风险控制矩阵(RCM)、内部控制评估系统(1CAS)和风险评估系统(RAS)等评估工具,实现对评估模板的统一管理、自动链接和自动校验,为建立前台现场测试、中台项目管理和后台技术保障的评估组织模式提供了平台支持。(6)实施标准化的评估作业流程。为确保评估工作的质量和效率,编制详尽的操作手册,设计菜单式的评估作业流程,对风险点、控制要求、实际操作描述、穿行测试、控制测试、缺陷判断、评估结果、质量控制等各个环节实现了标准化、规范化的评估操作,实现对评估准备、评估行为、评估过程和评估质量的系统硬控制。

相关文章: