控制自我评估在人民银行风险管理中的应用研究

来源:用户上传      作者: 何向红

　　摘　要:控制自我评估(CSA)作为新兴的审计技术和方法,已在发达国家很多领域被广泛应用。文章在对中国人民银行风险管理现状及组织文化特点进行分析的基础上,论证了CSA方法在中国人民银行应用的可行性及影响,提出应结合中央银行的实际,选择性地应用CSA方法,并构建了CSA有效运行的相关环境,为创新中央银行的风险管理的新方法做了有益的探索。
　　关键词:中央银行;风险管理;控制自我评估
　　
　　文章编号:1003-4625(2010)09-0109-04
　　中图分类号:F830.31
　　文献标识码:A
　　
　　一、控制自我评价的含义及特征
　　
　　控制自我评估(control Self-Assessment,以下简称CSA)是一种新兴的审计技术与方法。根据国际内部审计师协会(IIA)的定义,控制自我评估是一个旨在检验为实现组织所有目标提供合理保证的内部控制是否有效的过程。CSA具有以下三个基本特征:关注业务的过程和控制的成效;由管理部门和员工共同进行;用结构化的方法开展自我评估。1987年由加拿大海湾能源公司首次尝试该方法后,其独特的理念得到广泛的认同。近三十年来自我评估风气已席卷全球,成为内部控制发展的一个新趋势。
　　CSA通常由内审人员、管理层及员工共同参与并完成对主体内部控制的评价,主体内的所有员工都对CSA过程负责,把传统的只由内部审计人员从事的内部控制评价转由主体各部门参与作业的人员亲自评估。帮助他们认识到内部控制不只是内部审计工作的责任,也不仅仅是高级管理层应关心的问题,相反,应该把它看做是组织所有成员的事。
　　
　　二、中国人民银行现有风险管理存在的问题
　　
　　风险管理是在组织范围内用来识别、评估和管理经营风险的共同方法。有效的内部控制作为管理风险的重要手段,是组织机构生存与发展的重要基础和前提。对于工作任务重、机构层级多、人员数量大的中国人民银行来说,意义尤为重要。中国人民银行现阶段存在着亟待解决的一些问题,制约了风险管理职能的有效发挥,有必要采用新的方法来寻求突破。
　　一是员工风险意识较为淡薄。相对于商业银行而言,中国人民银行不存在经营风险,员工对风险的认识不足,缺乏危机意识与风险隐患意识。对风险的控制没有得到应有的重视。
　　二是内部控制未能做到全员覆盖。不仅部分员工认为内部控制是内审部门的事情,内控工作的好坏与己无关,而且不少单位领导也往往游离于内部控制之外,对“一把手”及其班子成员缺乏有力的监督。
　　三是风险管理的手段滞后。囿于传统的检查方式,检查人员与被检查人员之间容易形成对立,揭示的问题停留在浅表性层次,根源性问题不易挖掘,检查成本高,效率低。
　　四是风险责任意识未落实。对内部控制运行的结果缺少科学的内部控制评价标准和评价方法,守则不奖励,违规未处罚。风险管理责任追究机制难以落实。
　　
　　三、CSA引入对中央银行风险管理的影响
　　
　　美国内部审计师协会通过建立控制自我评估中心后认为,CSA既是一项新型的审计工具,也是一项强有力的管理工具,可以应用在内部审计、高层管理和其他管理职能上,可以帮助组织达成其目标。如果在中国人民银行引入CSA方法,必然也会带来新的冲击,体现在:
　　
　　(一)提高央行内部控制的有效性
　　按照COSO对内部控制的定义,有效的内部控制被界定为能够为内部控制目标的实现提供合理保证的内部控制。通过实施全员CSA,员工可以更加深刻地认识现有的内部控制体系,建立人人有责的观念,降低法规和制度遵从成本。在项目进行过程中主动提出精简和改进现有活动的控制,消除冗余。决策管理层可以减少或消除对第三方的依赖,将工作重点放在内控目标的实现上。在内部控制评价的内容上,不仅能做到对财务报告、岗位分离、授权管理等硬性控制的评价外,还能够做到对管理哲学、职业道德、员工胜任能力等软性控制的评价与看重。
　　
　　(二)有助于避免或控制各种风险,确保金融安全
　　目前由央行内审人员担当主角的内控评价体制,易形成查与被查的对立。由于缺乏各相关领域人员的通力配合,加之内审人员事实上不能做到对中国人民银行各部门岗位及众多业务系统的全盘深入了解,必然缺乏对隐性深层次风险的发现与分析。而CSA倡导内审人员与职能部门人员的指导与合作,由对立转向合作,可以帮助组织了解其业务流程至关重要的最新变化,有利于全面获取事实真相,实现对风险的识别与控制共赢,有助于及时防范和化解各类金融风险,保证金融安全。
　　
　　(三)推动内部审计的转型与发展
　　内部审计是内部控制系统的重要组成部分,同时又是对内部控制系统的一种监督,内部审计的双重功能决定它在内部控制系统中的重要地位。在央行实施CSA过程中,内审人员作为CSA恰当的驱动者,审计人员的角色从监督者逐步转变为管理控制者与参与者。正如现代内部审计之父劳伦斯・B・索耶所言,内部审计师是内部咨询师,而不是内部的冤家对头,他不是处分众人的事后诸葛,而是鞭策人们励精图治的咨询师。内审人员由警察型向引导咨询型转化,和其他人员共同完成内控评估活动,为组织内部控制提供持续改进的依据和动力。
　　
　　(四)有利于形成更加良好的央行内控环境,提升员工的责任感
　　CSA强调全体员工的参与,使得内部控制成为每个人的责任与义务。在员工适应内部控制自我评估后,鼓励员工发现问题和协调问题,增进管理层与高层及各层级相互之间的信息交流,尽量在发生损失前解决问题,事前防范多于事后救火。调动了各个层面员工的积极性与价值认同感,有助于建设以人为本的央行风险文化。对软性控制的渗透与关注有利于全行员工从思想上和工作上形成共同的价值取向,塑造具有央行特色的核心价值观标准,提高央行组织内部的凝聚力。
　　
　　四、CSA在中央银行风险管理中的适用性分析
　　
　　(一)中国人民银行所面临的风险压力需要全员树立风险意识应对
　　作为我国的中央银行,中国人民银行负有制定和实施货币政策,提供金融服务和维护金融体系稳健运行的重要职责。金融危机后中央银行的地位和作用更为凸显,其相关政策和业务,越来越引起社会各界的广泛关注,也越来越多地成为某些矛盾和公众目光的焦点。有别于商业银行风险类型,中央银行自身存在着声誉风险、法律风险、资产风险、信息技术风险、效率风险及操作风险等。全面准确地履行央行职能,维护和提高央行社会公信力,对中央银行风险控制提出了更新、更高的要求,仅仅依靠内审部门的监督检查是远远不够的。而CSA全员参与的模式强调不同层级,每个职能部门的员工作为风险控制的责任主体,契合了中央银行实施全面风险管理的需要。
　　
　　(二)相关风险控制理论框架的系统构筑为CSA的引入提供了制度支持
　　继1992年COSO委员会发布了《内部控制――

整合框架》后,2004年又发布了《企业风险管理――整合框架》,将内部控制置于风险管理的框架之内,关注于全面风险管理这一更加宽泛的领域。中国人民银行总行在借鉴国内外先进理念的基础上,于2006年研究出台了《中国人民银行分支机构内部控制指引》,将中国人民银行内部控制细分为五大要素,包括控制环境、风险评估、控制活动、信息与沟通、监控等,认为风险评估和控制是管理的关键要素,这为CSA的引入提供了方向性指导。而同年颁布的《中国人民银行岗位风险防范指南》,就中国人民银行分支行各主要岗位的风险点、潜在风险及防范措施分别作了详细描述,为CSA的应用提供了可参照的具体内容。可在两者整合的基础上,建立央行风险控制信息基础数据库。
　　
　　(三)不断发展的中央银行内审工作实践为CSA方法的应用积累了探索经验
　　早在1998年政府机构改革中,中国人民银行就成立了专门的内审部门。十年来内审部门始终是在探索和创新中发展,培养了一支专业化与职业化的审计队伍。当前正面临着由传统合规性审计向现代管理审计模式的转变,要想充分实现内审工作价值的最大化,必须使内审工作贴近和服务于组织治理的需要,而推进内部控制的方法建设就是一个重要的突破口。CSA作为一项新的审计技术,其理论与应用也正被我国业界不断充实与更新。继20世纪90年代在我国宝钢得到了成功运用后,2006年7月,中国内部审计协会发布了《内部审计具体准则第21号――内部审计的控制自我评估法》,每年举办内部控制自我评估专业资格证书(CCSA)的考试与培训。2005年10月中国电信、2008年1月中国寿险也在其内部启动了控制自我评估。相信依靠现有的中国人民银行各级审计部门及内审人员研究与实践,进而在全行范围内推广是现实可行的。
　　
　　(四)央行明晰的职能型组织机构特点为CSA方法提供多视角的风险控制信息来源
　　按照组织类型来划分,中国人民银行属于职能型组织结构,管理层级相对固定,职能内部专业化,不同层级人员拥有不同的信息资源。基层人员以一线操作,处理具体事务为主;中层管理人员负责部门层次的管理和协调,参与关系全行性发展的建议提出;高层领导掌握决策权,实行行长负责制。在央行内部,尤其是中高层以上管理人员参与人事或纪检部门组织的对于人员德能勤绩方面的巡查及考核已形成常态化,对该层面人员进行人力资源及队伍建设信息方面的收集,可以提供CSA关于道德操守、人员安排等软性控制的评价。面对不断变化的外部环境及新业务,还可及时追踪各层面人员关于风险管理的最新信息,为CSA提供即时更新的丰富内容。
　　
　　五、CSA在中央银行风险管理中应用的具体选择
　　
　　尽管CSA受到多方好评,但从本质上讲,实施CSA是一个资源密集型的流程。因此,必须要有充分的认知储备和能力储备。从国外运行的情况来看,既有成功经验,也有失败的案例,原因在于不同特点的人员参加CSA项目会有很大的效果反差,因此推广CSA一定要与央行的组织结构特点与现有人员特质等充分结合,灵活吸收酌情采用。可考虑通过选择恰当的人员参加不同的CSA项目,使央行决策层、管理层及基层员工分别作为自我评价主体,选择性地使用CSA方法,力争获得成本效益最大化的管理实践。
　　
　　(一)基于执行效果为导向的问卷调查法,以央行基层操作人员为主
　　如果说内部控制是一条链,那么每个员工就好比这链条中的每个环节。只有每个环节所在的员工不出问题,才能做到环环相扣,内控安全。基层员工最清楚内部控制具体执行中存在的缺陷及可能导致的后果,由他们自己提出来比被内审部门指出来更有助于改进。调查问卷以央行风险控制信息基础数据库内容为样本,由内审部门与业务部门共同设计确定,要向被调查对象解释清楚内部控制的相关文件,介绍采用这种方法的目的和优点。员工在深入了解提出问题的背景与意义后给出是/否或者有/无等选择性答案。问卷调查法具有节约时间、成本低的特点,可以相对有效率地收集该领域内部控制状况,但调查问卷不适用于对组织文化的调查。
　　
　　(二)基于风险评估为导向的专题研讨会法,以央行相关职能部门中高层管理人员为主
　　一般来说,职能部门的中高层管理人员对风险的判断与认知更具有前瞻性与敏锐性,对软性评价也有经常性的参与及关注。在内审专业人员的引导下,统筹安排具有不同专业背景及观察视角的多部门参会者的现场交流增加研讨会的价值,针对包括调查问卷反映出的重要问题及控制环境、业务流程等议题展开讨论,包括软性控制的评价,即将员工的职业道德、工作态度与胜任能力等纳入讨论的内容。为保证与会者充分发表真实意见,可以采取匿名投票或无记名电子投票方式。研讨会要成为发现问题、分析问题、解决问题、分享经验的双向沟通过程。通过专题研讨对央行现有及潜在风险排序,确定风险等级,根据剩余风险分配部门资源重点突破。一些公开和简单的风险控制问题可以被认识到和很快得到解决,复杂的问题可以采用德尔菲法,听取集体智慧,经过几轮投票达成共识。专题研讨会法作为CSA区别于传统审计的典型方法,需要花费较多的时间与精力,会前工作要准备充分。
　　
　　(三)基于战略目标为导向的管理分析法
　　以央行决策层领导人员为主,完善的内部控制将保证各层级授予下属各级的职责得到正确的履行。如果决策层失去对本单位诸多环节的控制,其管理目标的实现就会大打折扣,甚至向着相反的方向转化。在行长负责制的要求下,各级行负责人作为单位内部控制体系第一责任人,负有对本单位各部门风险控制及内控缺陷的整合、分析、处理的任务。由内审引导员收集汇总风险、控制和薄弱环节的异常信号,包括研讨会上软性控制评价的内容。决策层领导采用CSA综合分析的方法,从整体上对内部控制进行系统思考与评价,确认应对这些风险的内部控制是否存在、是否有效,以此来改进现有的控制活动。决策者从战略高度系统审视组织目标实现的风险,将风险管理与人力资源管理等政策措施相结合,提升内部控制对战略层面的推动。此外,在决策层开展自我评估,有利于领导者对照职责要求明确其承担的责任,就领导能力、管理风格等软控制开展自我规范与自我监督,避免或减少决策层失误,促进组织目标顺利实现。
　　
　　(四)基于改进为导向的报告和行动实施
　　以央行内审人员和相关部门人员为主,上述活动结束后,与会各方要进行后期工作。由内审人员对投票结果及被评价部门的测评情况进行统计分析,汇总形成自我评估报告。报告应涵盖发现的风险及内控缺陷,提出改进方案,明确责任人及完成时间。对提高组织目标实现的可能性的机会也应该报告,而且还应该报告给该部门至少上一个层级的管理者。参加会议的管理者针对潜在的剩余风险及控制缺陷准备行动方案,控制方案和程序以文件形式

予以确定,整改落实是内部控制持续完善的关键步骤,也是开展内部控制评价的最终目的。所有的问题不会立即解决,但能使大家向预定的目标努力,保持一个持续改进的心态,补救已确认的内控缺陷,使新的办法更符合控制流程,内控本身更有效率。
　　
　　(五)基于优化为导向的新一轮CSA项目
　　以央行内审人员和外部评价人员为主。作为新使用的方法,要在实践中不断总结与改进。在完成一轮CSA项目以后,要多渠道征求CSA方法实施过程中的意见和建议,应从小项目开始,如对某个部门单项业务开始,循序渐进。此外,对CSA方法的使用须确定适当的频率,进行定量指标的统计,如全员参与的比率、建议的成功率等,对哪些部门使用,多长时间使用,要统筹兼顾。及时吸取经验与教训,如调整组织成员的参与者,修改培训计划,对项目主持和引导员的要求等。适当的时候可以开展独立的外部第三方监督评价与自我评价的结果相比较,能够有效地激励CSA得到重视和改进。内外共同推动CSA方法在实践中得以不断完善和个性化改进。
　　
　　六、积极构建CSA有效运行的内部环境
　　
　　一种新的管理方法能够得以顺利推行有赖于它所依存的环境。因此,在中国人民银行系统内要着力营造以下氛围:
　　
　　(一)创建学习型组织,构造良好的内控文化环境
　　彼得・圣吉在《第五项修炼》一书中写到,“未来真正出色的企业,将是能够设法使各阶层人员全心投入,并有能力不断学习的组织”。在中国人民银行创建学习型组织的过程中,要加强对风险管理意识的宣传,使风险控制成为组织与员工的内生性需求。
　　
　　(二)取得决策层的支持,领导要以身作则做好表率
　　经验表明,没有组织高层的支持,实施CSA几乎是不可能的。作为决策层,不能凌驾于单位的内部控制之上,决策层需要转变观念参与其中,为CSA的实施提供有力的承诺与反馈支持。
　　
　　(三)配备和培养具有胜任能力的内审专业引导员
　　CSA项目成效如何与内审人员的专业引导关系密切。既要培训内审引导员就任CSA项目的专业协调素质,更要注重对引导员品质的要求,引导员应具备客观公正、实事求是、善于沟通、保守秘密的素质。
　　
　　(四)提升信息化,重视成本与效益
　　CSA流程会产生大量的数据和信息,对这些数据的快速处理及有效把握,会影响到项目运行的后续成功和效果。随着信息技术的发展及其在央行各个领域的应用,内控信息化也将成为必然。要努力降低内控成本,利用内控信息化推动内控评价的可持续发展。
　　
　　参考文献:
　　[1]李凤鸣.内部控制论[M].北京:北京大学出版,2002:405.
　　[2]张谏忠.吴轶伦.内部控制自我评价在宝钢的运用Ⅲ会计研究.2005.(2).
　　[3]美国COSO委员会发布;方红星.王宏译.企业风险管理――整合框架[M].大连:东北财经大学出版社.2005.
　　[4]上海市内部审计师协会课题组企业内部控制自我评估研究――基于上汽集团借助IT系统平台的CSA实践[J].审计研究.2009.(6).
　　[5]杨锡怀.冷克平.王江主编.企业战略管理:理论与案例[M].北京:高等教育出版社.2004:287.
　　[6](英)韦德(Wadek)等编著,李海风.林小驰译.控制自我评估理论及应用[M].北京:中国财政经济出版社.2008.
　　[7]Mcnauy,J Stephen,Control Self-assessment:Everybody Pitching in With Internal Controls.Pennsyl-vania CPA Journal,October 2007.
　　[8]Terry J Engle and Gilbert W Joseph.Use 0fControl Self-assessment in Audits.The CPA JournalAugust 2001.

转载注明来源:https://www.xzbu.com/3/view-1416268.htm