《商业银行内部控制指引》第三章“内部控制措施”,是“内部控制体系”的重要组成部分。从第十四条到第二十六条,共计十三条,每一条都可以理解为一条相对独立的内控措施。对每一条内控措施的内容应如何界定、由谁去做、如何去做,必须认真细致地加以思考。总体上看,这十三条大致可概括为四大类别:
一、制度化、流程化、信息化一体推进。
1.制度化条款。“商业银行应当建立健全内部控制制度体系,对各项业务活动和管理活动制定全面、系统、规范的业务制度和管理制度,并定期进行评估”(第十四条)。
此项工作的牵头责任主体应当为合规部门。“内控制度体系”,显然应当包括所有业务活动、所有管理活动的相关制度。对“内控制度”的理解,应当有两种含义,一种是各个业务制度、管理制度的集合体,另一种是单指内部控制如何做、如何管、如何抓的制度。
2.流程化条款。第十五条有两款:
一是总述。“商业银行应当合理确定各项业务活动和管理活动的风险控制点,采取适当的控制措施,执行标准统一的业务流程和管理流程,确保规范操作”(第十五条第一款)。此款体现了“一图两表”思路,把风险点表、控制措施表的要求凝结在流程图的各个细节里,以流程保规范。由内控部门牵头较为合适。
二是重点强调。“商业银行应当采用科学的风险管理技术和方法,充分识别和评估经营中面临的风险中面临的风险,对各类主要风险进行持续监控”(第十五条第二款)。此款强调了对风险点的识别、评估、监控,要持续监控好,当然需要借助流程的力量。牵头部门以风险管理部门为宜。
3.信息化条款。“商业银行应当建立健全信息系统控制,通过内部控制流程与业务操作系统和管理信息系统的有效结合,加强对业务和管理活动活动的系统自动控制”(第十六条)。
落实此条应由信息科技部门牵头,内控部门要紧密协同。这当中提到了“内控流程”概念。可见不仅有“内控制度”的概念,也有“内控流程”的概念,而且只有以流程为抓手,内控工作才能持续做实、管实、抓实。
二 、基于人和岗位的内控。
4.权责架构条款。“商业银行应当根据经营管理需要,合理确定部门、岗位的职责及权限,形成规范的部门、岗位职责说明,明确相应的报告路线”(第十七条)。此项牵头应为人力资源管理部门。
5.不相容岗位条款。“商业银行应当全面系统地分析、梳理业务流程和管理活动中所涉及的不相容岗位,实施相应的分离措施,形成相互制约的岗位安排”(第十八条)。此项涉及面广,也应当由人力资源部门总牵头。
6.重要岗位条款。“商业银行应当明确重要岗位,并制定重要岗位的内部控制要求,对重要岗位人员实行轮岗或强制休假制度,原则上不相容岗位人员之间不得轮岗”(第十九条)。此项牵头应为人力资源部门。
7.员工行为条款。“商业银行应当制定规范员工行为的相关制度,明确对员工的禁止性规定,加强对员工行为的监督和排查,建立员工异常行为举报、查处机制”(第二十条)。此项可由人力资源部门或监察部门牵头办理。
8.授权条款。“商业银行应当根据各分支机构和各部门的经营能力、管理水平、风险状况和业务发展需要,建立相应的授权体系,明确各级机构、部门、岗位、人员办理业务和事项的权限,并实时动态调整”(第二十一条)。此项由授权管理部门办理。
三、基于会计核算的内控。
9.会计信息条款。“商业银行应当严格执行会计准则与制度,及时准确地反映各项业务交易,确保财务会计信息真实、可靠、完整”(第二十二条)。此项由财务会计部门牵头。
10.会计监控条款(财产保护)。“商业银行应当建立有效的核对、监控制度,对各种帐证、报表定期进行核对,对现金、有价证券等有形资产和重要凭证及时进行盘点”(第二十三条)。由财务会计部门牵头。
四、几种特别重要又极易忽略的情形下的内控。
11.三新条款。“商业银行设立新机构、开办新业务、提供新产品和服务,应当对潜在的风险进行评估,并制定相应的管理制度和业务流程”(第二十四条)。此项应由风险部门牵头,内控部门和具体做新机构、新业务、新产品服务的事主部门协同办理。
12.外包管理条款。“商业银行应当建立健全外包管理制度,明确外包管理组织架构和管理职责,并至少每年开展一次全面的外包业务风险评估。涉及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包”(第二十五条)。此项由外包管理部门牵头。
13.投诉处理条款。“商业银行应当建立健全客户投诉处理机制,制定投诉处理工作流程,定期汇总分析投诉反映事项,查找问题,有效改进服务和管理”(第二十六条)。此项由投诉管理部门牵头。
以上十三条措施体现了内控措施的核心思路,但也仅仅是一些重要措施、主要措施的列举,而不是全部。比如,《企业内部控制基本规范》第二十八条第二款指出,“控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等”,第三十七条指出,“企业应当建立重大风险预警机制和突发事件应急处理机制”,有些在上述十三条当中就没有涉及。再如《商业银行内控评价指南》5.4“控制活动”中列举了十四项,其中政策与流程、并表管理控制、反洗钱控制、关联交易控制、业务连续性控制,与《商业银行内控指引》的表述也所有不同,有些在《指引》中是作为“内部控制保障”描述的。事实上,任何以列举方式拟写的制度条款,都很难做到穷尽列举。此点是推动本章所列内控措施落地时需特别注意到的。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
