金融企业内部控制

一、金融企业内部控制理念
1.1内部控制发展的五个阶段
第一阶段：内部牵制阶段（Internal Check）
20世纪40年代以前,以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。

主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。

查错防弊职务分离如：银行业务可能性降低
双人临岗，互相制约,出现差错,产生舞弊
第二阶段：内部控制阶段（Internal Control）
20世纪40——70年代,美国注册会计师协会（AICPA）准则委员会：
1949年定义，企业为保护资产完整、保证会计救据的正确和可靠、提高经营效率、贯彻管理部门既定决策，所制定的政策、程序、方法和措施。

1958年发布《审计程序公告29号》，将内部控制划分为内部会计控制和内部管理控制。

美国注册会计师协会所属审计准则委员会（ASB）
1972年发布《审计准则文告第1号》（SASNo .1），重新解释内部控制定义：
管理控制包括（但不限于）组织规划以及与管理当局进行经济业务授权的决策过程有关的程序和记录。

这种授权是与完成该组织目标的职责直接有关的一种管理职能，也是建立经济业务的会计控制的起点。

会计控制包括组织规划以及与保护财产安全和财务报表可靠性有关的程序和记录，因此它在设计上应能合理保证。

会计控制---资产、信息的可靠性;管理控制 - 业务的合规性、有效性
第三阶段：内部控制结构阶段（Internal Control Structure）
20世纪80——90年代，内部控制结构由三部分组成:控制环境，会计制度，控制程序
美国注册会计师协会（AICPA）、美国会计协会（AAA）、财务经理人协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）1985年，联合创建了反虚假财务报告委员会（通常称Treadway委员会），旨在探讨财务报告中的舞弊产生的原因，并寻求解决之道。

1987年，该委员会提交专题报告，认为50%的财务报告虚假是由内部控制失效所引起的，因此有必要对现有各种内部控制理论和解释进行整合，从而成立了“发起人委员会”，即COSO（The Committee of Sponsoring Organization of Fraudulent Financial Reporting）
第四阶段：内部控制整体框架阶段
20世纪90年代以后，1992年，COSO委员会提出著名的COSO报告——《内部控制整体框架》，并于1994年进行了增补，从而产生了至今极有影响的COSO报告。

1996年，美国注册会计师协会（AICPA）全面接受COSO报告，发布《审计准则公告7号替代55号》。

COSO报告首次把内部控制从原来的平面结构发展为立体框架模式。

代表着国际上在内部控制研究方面的最高水平，是内部控制理论研究历史性的突破。

内部控制由五个相互联系的要素组成：控制环境（Control Environment）风险评估（Risk Assessment）
控制活动（Control Activities）信息与沟通（Information and Communication）监控（Monitoring）
第五阶段：风险管理整体框架（ERM）
21世纪初期
COSO全面风险管理框架发布于2004年，相比1992年的综合内控框架，更关注于对企业风险的应对。

第一维度：目标从三性到四性，即战略目标、经营目标、报告目标和合规目标；
第二维度：要素从五个变为八个，即内控环境、目标设定、时间识别、风险评估、风险对策、控制活动、信息和交流、监控；从合理的保证到“风险边界”，到“风险容忍度”的合理保证。

1.2 内部控制的理论基础：控制论，信息论，系统论
20世纪40年代出现的一门新型的综合学科，美国学者维纳。

目的是研究系统和经济过程如何发挥其功能，如何控制经济过程。

产生于20世纪40年代末，它的主要创立者是美国的数学家申农 (GE.Shalmon)和控制论的维纳，广泛应用于各种学科，成为广义信息论。

美籍奥地利生物学家塔朗菲 (L.v Bertalan），1945年月发表了题为《关于一般系统论》的论文，宣告了这门新学科的诞生。

一切事物都是在不断运动之中，任何一个系统也不例外，内部控制系统也是在不断改进和发展中逐步趋向完善的。

二、国际上有名的内控模式
2.1 美国COSO框架
（1）企业内部控制整合框架
三目标：经营效果和效率，财务报告的可靠性，遵守法律和法规
五要素：控制环境，风险评估，控制活动，信息与沟通，监控
（2）企业风险管理整合框架
四目标：战略实现，经营效果和效率，报告的可靠性，遵守法律和法规八要素：内部环境风险应对，控制活动，信息与沟通，监控，目标设定，事项识别，风险评估
2.2 加拿大的COCO，CoCo：Criteria of Control Board控制标准委员会
三目标：经营的效率和效果，内部和外部报告的可靠性，遵守适用的法律基本要素：目的，承诺，能力，监督和学习
2.3英国的Cadbury
最主要的理念就是把内部控制嵌入到公司的经营过程中去，也就是把内部控制和经营过程结合起来。

三、COSO内部控制整合框架在金融企业的应用
3．1 COSO内部控制整合框架概念：内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。

3.2 萨班斯—奥克斯利法案
针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。

法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面做出了许多新的规定。

萨班斯法案主要包括以下几个方面的内容：成立独立的公众公司会计监察委员会，监管执行公众公司审计职业。

要求加强注册会计师的独立性；
要求加大公司的财务报告责任；
要求强化财务披露义务；
加重了违法行为的处罚措施；
管理层对内部控制的评价：要求按《1934年证券交易法》第13节(a)或15节(d)编制的年度报告中包括内部控制报告。

3.3 巴塞尔委员会对内部控制的定义
1998年9月，巴塞尔委员会《银行机构的内部控制体系框架》，规定了银行内部控制制度的13项评估原则。

1999年10月，巴塞尔《核心原则评价办法》，规定了内控体系评价标准。

3.4 金融企业的“一个基础、三道防线”小结
1内部控制方法在经济组织内部产生，在外部审计和外部监管的推动下获得长足的发展，在经济组织内部得到广泛使用。

2内部控制是一种一般的管理行为，在财务会计领域发展为成熟完备的体系，最后又扩展到管理活动的各个方面。

3内部控制形成完整的科学体系并最终确立了它在管理活动中的重要地位，有其内在的根源，是现代企业制度逐渐成熟、企业规模大型化的必然要求。

4各国从不同的角度剖析公司的经营管理活动，为营造良好的内控框架提供了一系列的趋于一致的政策和建议。

5尤以美国的COSO模式从理论到操作方法上阐述了一整套完整的内控框架。

一、我国金融企业内部控制发展
1.1内部控制制度追溯
——财政部2001年《内部会计控制规范》，指出内部会计控制是指单位为了提高会计信息质量，保护资产安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。

——中注协1997年《独立审计具体准则第9号－企业内部控制与审计风险》。

——证监会2001年《证券公司内部控制指引》。

——中国人民银行1997年《加强金融机构内部控制的指导原则》、2002年《商业银行企业内部控制指引》。

——银监会2004年《商业银行内部控制评价试行办法》。

——银监会2007年发布《商业银行内部控制指引》。

——2008年6月，在借鉴和吸收有关机监管新理念的背景下，我国财政部、证监会、审计署、银监会和保监会五部委联合印发了《企业内部控制基本规范》（财会平[2008]7号）。

——2010年4月26日，财政部等五部委又联合发布了《企业内部控制配套指引》。

该指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，这标志着适应我国实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。

我国成为继美国和日本之后第三个要求对本国企业实施全面内部控制审计的国家。

1.2金融企业执行内部控制规范要求
为确保企业内控规范体系平稳梳理实施，证监会将把内控建设纳入上市公司日常监管。

财政部等五部委制定了实施时间表：——自2011年1月1日起，首先在境内外同时上市公司施行；
——自2012年1月1日起在上海证券交易所、深圳证券交易所竹本上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。

鼓励非上市大中型企业提前执行。

（在上交所、深交所上市的金融企业也按照该表实施）执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。

上市公司聘请的会计师事务所应当具有证券、期货业务资格；非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。

1.3金融企业面临的挑战
五部委发布的《企业内部控制基本规范》及其《配套指引》，形成了内部控制基本的法规体系，各大金融机构开始积极着手应对。

指导金融企业做好三件事：1根据规范、指引的框架要求，建立、完善内部控制并有效实施；2建议一个科学的内部控制有效性自我评估体系，进行自我评价并形成意见；3聘请外部审计师对内部控制有效性进行独立审计。

金融企业面临新的要求：合规、资产安全等内部控制之外，银行还需要建设和完善财务报告、经营效率和效果以及发展战略方面的内部控制。

从目标、风险的角度对内部控制进行梳理和评价，对大部分金融企业来说是面临着新的挑战。

上市或将上市的银行，内部控制审计是强制性要求，外部审计师在审计过程中可能会对企业内部控制提出具体要求。

金融企业的机遇和挑战：需要专业人员，专业专注；通过这一契机，加强内控，防范风险。

小结
基本规范和配套指引，将控制环境和监控两个要素进一步限定为内部环境和内部监督，突出了内部控制的特征。

内部控制框架上，从风险识别，到风险评估，确定风险战略，拟定解决方案，风险治理，以及持续不断改进的流程，覆盖了风险管理的全面流程。

我国金融企业内部控制从一开始就站在了一个较高的起点。

一、金融企业内部控制的框架
1.2金融企业内部控制要素，控制环境，风险评估，控制活动，信息与沟通，监督
1.3金融企业内部控制的作用1．会计信息的真实、可靠2．经营方针、政策的有效执行3．防范金融风险4．保护企业财产物资安全、完整5．提高实现经营目标的效率6．为内部审计打好基础
二、金融企业内部环境
2.1基本概念
内部环境，是金融企业实施内部控制的基础。

一般包括：公司治理结构：建立董事会、监事会和高管层等治理结构，明确其职责。

机构设置及权责分配：设置精简、高效的本级及下属机构，合理分配权限。

（如：管理的层级论）内部控制政策：内控先行。

（如：体系文件）内部审计：是企业内部控制的有效组成部分。

人力资源政策：人是第一生产要素。

企业文化，含管理层的管理理念和经营风格、价值观、风险偏好等。

（如：企业负责人的经营风格）
2.3原因及对策
原因，1基层管理和操作人员未真正理解金融企业内部控制的内涵，简单把内控当成“规章制度+执行”。

2对内控认识存在偏差。

如：贷款投向的盲目扩张操作风险事件等
对策1加强内部控制培训；制定内部控制规范；加强企业文化建设；制定员工行为规范；普法宣传教育，警示。

风险评估，是及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

一般包括：A．目标设定：目标应该是合理的。

B．风险识别：是否能识别内、外部各类影响目标实现的风险因素。

C．风险分析：包括风险计量（工具、技术、方法）、风险分析频率、分析报告上报等。

D．风险应对：针对风险分析结果而制定的风险规避、风险降低、风险分担、风险承受等应对风险的策略。

三、金融企业风险评估
3.1基本概念
金融企业主要风险：（1）信用风险（2）利率风险（3）操作风险；信用卡，自助设备（4）流动性风险
3.2金融企业内部控制目标
控制目标：内部控制的目标是合理保证：
（1）企业经营管理合法合规（2）资产安全（3）财务报告及相关信息真实完整（4）提高经营效率和效果，促进企业实现发展战略评价目标：健全性：内部控制（政策、程序）是否存在。

合理性：是否适度，防止控制不足或控制过度。

如在手中抓一只活麻雀，太松麻雀飞了，太紧麻雀死了。

遵循性（有效性）：既定的政策和程序是否得到执行。

“三性”缺一不可，只有内部控制健全、合理，且得到执行，内部控制才是有效的。

3.3金融企业风险识别
具体要求：（1）注意到风险的存在（2）识别风险的特征和类别
一般方法：财务报表分析法，风险树搜寻法，专家意见法，筛选——监测——诊断法
3.4 金融企业风险分析
抵押物管理风险分析
1贷款发放时，抵押物尚未落实登记；2客户经理未亲自办理土地抵押登记手续；3未查询他项权证的真实性；4他项权证未及时交会计部门保管；5抵押物选择不审慎；6抵押登记手续双人办理；7实地查看抵押物；8抵押物的重估；9尽可能选择价值保障性强，处置容易的抵质押物；10审慎选择存在政策和法律风险的抵押物；11对影响抵质押物处置变现的风险因素要充分分析。

风险应对策略：（1）风险预防（2）风险转移（3）风险分散（4）风险自留
注意事项：对已识别风险的监测，管理层从全局和组合的角度考虑风险
自助设备及营业网点安全防控
1自助设备窃取密码（加装置、客户密码保存不当）；2窃取银行卡自助设备转账；3排查安全隐患；4加强网点巡逻；5完善技防设备；6客户签约风险提示；7营业场所风险提示等。

原因1风险评估体系相对落后；2风险管理部门零散；3风险多关注信用风险；4风险管理人才匮乏。

对策1风险评估、分析模型体系；2风险管理的高素质人才。

四、金融企业控制活动
4.1基本概念
控制活动，是金融企业根据风险评估结果，采取相应的控制措施，将风险控制在可承受度之内。

一般包括：A．不相容职务分离控制B．授权审批控制C．会计系统控制D．财产保护控制E．预算控制F．运营分析控制G．绩效考评控制H．综合运用控制I．风险预警机制和突发事件应急处理机制
4.3授权审批控制
授权体系：（1）授权批准范围（2）授权层次（3）授权责任（4）授权批准的程序
4.4会计系统控制
关键控制点：（1）预算管理（2）内部牵制（3）货币资金管理（4）信息系统管理（5）往来账款管理（6）成本管理（7）财务报告（8）税金管理（9）内部稽核存货、费用等
4.5财产保护控制
财管保护控制措施：（1）接触控制（2）盘点（3）记录保护（4）财产保险（5）财产记录监控（6）信用评价、定期对账（7）应收账款催收
举例
抵债资产的管理控制，抵债资产被占用；抵债资产被查封；少收抵债资产；加强抵债资产收取、保管、处置等环节的内部控制；
严格抵债资产的账务处理和信息与档案管理。

4.6预算控制
预算控制措施：（1）预算体系的建立（2）合理确定目标利润（3）编制预算（4）预算控制与差异分析（5）预算的考评与激励
4.7运营分析控制
运营分析控制措施：（1）建立运营分析体系（2）建立数据仓库（3）加强信息沟通在运用风险方面，应至少收集的信息：产品结构、新产品研发；新市场开发，市场营销策略，包括产品或服务的定价渠道和策略；企业管理现状，人员知识结构、经验；质量、安全等方面曾发生或容易发生的失误业务环节、流程；内外部道德风险导致的损失；系统宕机风险等。

4.8绩效考评控制
两个前提：（1）组织体系设置和权责确定明确（2）已有完善的内部控制体系
4.9综合运用控制措施，控制措施：（1）提高风险综合应对能力（2）提高集中监控职能（3）提高风险监测和控制水平（4）将内部控制贯穿在整个组织的各个层级
4.10风险预警和突发事件处理机制
风险预警机制：（1）建立风险预警指标体系（2）建立风险预警系统（3）建立快速反应渠道突发事件处理机制：（1）政策保障（2）完善突发事件预警、预报、预测通道（3）加强金融网络安全（4）加强金融信息透明
4.11原因与对策
原因岗位自我约束不足；有章不循，违规操作；责任追究不够。

对策针对重点构筑监控防线，重点岗位（会计、信贷、资金清算等），重点控制环节（票据交换、重要单证、授信等）。

加强内部控制措施的贯彻落实（业务授权、重要岗位、财务管理、大额资金、章证管理、廉洁从业等）。

五、金融企业信息与沟通
5.1基本概念
信息与沟通，是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

信息与沟通一般包括：A．信息管理机制；B．信息的真实性、完整性和充分性；C．信息内部沟通（自上而下、自下而上、横向、斜向）；D．信息外部沟通（外部投资者、债权人、客户、外部审计师）；E．重大事项报告制度F．反舞弊机制。

内部控制制度是预防舞弊发生的第一道防线，也是发现舞弊的首要手段，“红旗”标志法，也称舞弊风险因素法，是寻找和分析舞弊信号的很重要的方法。

该方法是以一整套文字表达的方式，指出在这种条件下舞弊发生率会比较高，而标志是在总结以往舞弊的基础上得出的。

管理舞弊方面的主要“红旗”：
①机构的管理人员遭受异常压力或期望业绩；②资金短缺，影响营运周转；③未加解释的实施内部审计业务政策变更；④管理层的薪酬与经营成果挂钩；⑤实施内部审计业务人员或信息技术人员等变动频繁，或不具备胜任能力；⑥存在异常交易或大量的调账项目；⑦审计人员难以获取充分、适当的审计证据等。

员工舞弊的征兆：
①超支采购或奢侈的生活方式；②无法解释的情绪波动或复杂行为；③承受压力过大；④具有使他们的盗窃行为合理化的能力；
⑤能够利用内部控制的弱项以掩盖自己的舞弊行为；⑥不愿意请假或离开岗位；⑦在工作中，长期士气低下；⑧与卖主之间存在不正常的亲密关系或突然换掉一个长期卖主；⑨沉重的个人债务迹象。

原因会计信息失真；信息管理系统设置落后；信息传导效率低下。

对策构建信息识别、共享平台；加强“三道防线”的信息传递和沟通。

六、金融企业内部监督
6.1基本概念
内部监督，是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

内部监督一般包括：A．监督检查B．控制自我评价C．缺陷报告D．缺陷整改
6.2监督检查
内部监督机制：（1）股东大会（2）股东（3）董事会（4）监事会。

两大监督部门：（1）监察部（2）审计部
6.3控制自我评价
评价方法：（1）询问（2）问卷调查（3）实地分析（4）比较分析（5）专题讨论（6）抽样（7）穿行测试（8）重新执行
6.4缺陷报告缺陷含义和分类：
6.5缺陷整改系统性整改；持续性整改；举一反三整改。

6.6原因及对策
原因事后监督，被动监督；侧重违章违纪检查，缺少内部控制检查；内部审计独立性不强；内部控制自我评价人员素质不高。

对策发挥第三道防线的监督检查作用；变“事后”监督为“事前”监督；完善内部控制自我评价。

小结1金融企业内部控制是一个过程，它是实现目的的手段，而不是目的本身；2金融企业内部控制由人员来实施，它并不仅仅是政策手册和表格，还涉及组织中的各个层级的人员；3金融企业内部控制为董事会和管理层提供合理保证，而不是绝对保证；4金融企业内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标。

七、金融企业内部控制缺陷分析以商业银行为例（一）公司类贷款（二）担保承诺（三）个人贷款（四）公司及机构负债（五）个人负债（六）会计及营运管理（七）财务管理及其他资产（八）中间业务（九）IT管理
小结1任何问题都有其内部控制缺陷之根源，整治根源才能消除屡查屡犯；2克服“管理疲劳”，要通过对照分析，有所行动，不要让内部控制题越积越多、雪球越滚越大；3对内部控制问题的整改，整改永远比发现问题更重要。

一般缺陷正常经营活动中，内部控制的设计和运用不能使管理层和员工既是地防止和发现错报
重要缺陷不能根据公认的会计原则批准、记录、运行和可靠地报告外部财务报表数据的一个或多个一般缺陷的集合，可能导致无法及时预防和发现年报和季报中的错误
重大缺陷一个或几个重要缺陷的联合，可能知道无法及时预防和发现年报和季报中的错误。