神马文学网【研究·调查】城商行“内控”调查
来源:百度文库 编辑:神马文学网 时间:2024/04/28 10:38:31
【研究·调查】城商行“内控”调查
《金融实务》 2006.10.31 20:47
城市商业银行仍然广泛存在公司治理不完善,信息系统建设薄弱,以及内部人主导内控的现象
【编者按】
在中国的银行业改革版图中,股份制商业银行一路领先,国有商业银行逐一上市,外资银行入境提速,城市商业银行加快改革已是时不我待。
中国的城市商业银行,一般是由城市企业、居民和地方财政投资入股组成的地方性股份制商业银行。到目前为止,中国的城市商业银行总数已达113家。
早在2004年11月,中国银监会发布《城市商业银行监管与发展纲要》,要求各城商行须在2006年底满足资本充足率8%的监管要求,并在2008年底前分阶段完成不良贷款的拨备。这意味着,重组、联合抑或跨区经营是城商行图变的主要方向。各城商行实现规章制度、业务流程与企业文化的规范统一,便成为当务之急。
2004年12月,中国银监会颁布实施《商业银行内部控制评价试行办法》(下称“9号令”),旨在通过加强对商业银行内部控制的评价,督促商业银行进一步完善内部控制体系,从根本上建立风险管理的长效机制。
“9号令”颁布近两年后,出现了第一个关于城市商业银行内部控制实施情况的调查研究报告。这一报告由清华大学继续教育学院金融培训中心和甫瀚咨询公司(Protiviti,下称甫瀚)共同组织,将于近日正式公布。《财经金融实务》独家获得报告全文,摘编刊发,以飨读者。
调查概要
此次内控调查于2006年5月27日至7月31日期间进行,共向100多家城市商业银行发出问卷,收回的59份有效问卷来自48家银行的受访者。对于“9号令”中未具体明确的内容,本次调查分析结论,同时参考了银监会于2006年6月27日发布的《银行业金融机构内部审计指引》(下称“指引”)。
调查发现,目前大部分城市商业银行已根据“9号令”的要求,开展内部控制的工作。其中大部分机构对自身内部控制的评价介乎70分到90分之间(100分为满分)。调查结果仍反映出国内城市商业银行在内控方面存在以下普遍现象:
——大部分银行已建立了现代公司治理结构,但在具体职责划分上还不明晰,可能不能很好地发挥董事会、监事会和管理层在公司治理中的作用;
——银行的信息系统建设普遍薄弱,内控活动在较大程度上还依赖人工控制。这有可能存在人工控制的固有隐患,并增加风险管理工作的难度;
——大部分内控工作的实施、评估、监测、沟通及培训皆以内部人员为主导。然而,大部分受访者同时表示,银行缺乏经验丰富的人员及有效工具或方法来进行自我评估及识别企业的风险,这可能不利于银行提升自身的内控能力;从反馈来看,银行迫切需要银监会提供更详细的工作指引,并希望得到外部专业机构的帮助。
1.受访者当前的职位状况如何?
受访者中,62%是银行的高层管理者,其中有四名为监事长;5%来自内审部门,其中有两名在担任内部审计负责人或代表时,也兼任监事长。
根据“9号令”,监事会负责监督董事会和高级管理层完善内部控制体系;负责监督董事会及董事和高级管理人员履行内部控制职责。以上六名监事长,其身兼相互制约职位的非独立状态,可能会影响其在履行监督董事会和管理层职能时的有效性。
2.谁负责审阅、批准内部控制方案以及确认此政策?(可以多选)
近65%的受访者选择了由董事会或者董事会下设的审计委员会负责内控政策的批准及确认,有15%的受访者选择了监事会。根据“9号令”,监事会应当担任监督的角色,而不是批准和确认内部政策。这说明,在实际操作中,由于对监事会的职能和权责的理解不够清晰,造成实际分工的不合理。
3.谁负责审阅、批准内部审计方案以及确认此政策?(可以多选)
只有43%的受访者表示,是由董事会/审计委员会来批准及确认内部审计方案和政策,而大部分银行是由其他部门或通过其他方式来批准及确认的。
根据“指引”,银行业金融机构的董事会负责建立和维护内部控制体系;没有设立董事会的,由高级管理层负责履行相关职责。我们不排除在24%的“其它”当中包括了高级管理层。
由监事会审批内审方案的29%的受访者当中,76%是认为完全由监事会审批内审方案,董事会或审计委员会完全没有参与。这与“9号令”关于监事会是“负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责”、“高级管理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估”的要求,存在一定的矛盾。
4.内部审计部门负责向谁汇报情况?(可以多选)
58人回答了这个问题。其中,48%的受访者表示是向董事会/审计委员会汇报工作;62%表示是向管理层汇报。我们发现,大部分参与调研的内控部门、信贷部门、风险部门的人员认为,是向董事会或审计委员会提交审计报告。“9号令”规定,内部审计部门应该向董事会或审计委员会提交审计报告。根据“指引”,没有设立董事会的,由高级管理层负责履行相关职责。
5.内部审计师占全体员工的比例(不包括第三方工作人员的数量,如咨询师等)?
58人回答了此问题。其中大约43%的人表示,商业银行的审计人员比例不足1%。这与“指引”要求的1%的最低比例有差距;与内部审计人员通常占人力资源总数2%-5%的国际商业银行水平相比,差距更大,说明国内银行需要在内部审计机构的建设上投入更多的资源。
6.是否已经进行风险评估(定期执行标准化的风险分析方法,使其能覆盖所有的活动和银行机构)?
根据反馈,80%的银行对机构面临的风险进行了部分或完整的评估:22%表示进行了整个机构及所有风险的评估;58%的受访者表示进行了部分评估(不是对整个机构的评估);还有10%表示没有进行风险评估。
在受访者中,风险控制部门和信贷部门的人员——包括绝大多数的监事长——都表示只进行了部分评估。这反映了国内商业银行的全面风险管理工作刚刚起步,仍有很多进展的空间。
7.采用或打算采用哪种风险评估方法?
超过51%的受访者表示,其银行采用或打算采用以业务流程为基础的风险评估方法;采用以公司整体为基础的风险评估方法的有17%;两者都有的占到20%。
这说明,大部分银行着重于业务流程为起点来进行风险评估。然而,以公司整体为基础的高层面风险评估、自上而下的风险管理模式以及以公司整体为基础的控制环境评估,往往是决定流程控制有效性的基础。这反映了国内商业银行在风险评估方法这方面还未成熟。
8.在风险评估过程中可能遇到的主要困难是什么?(可以多选)
超过60%的受访者认为,其银行缺乏协助评估风险的IT系统及经验丰富的员工;将近70%的受访者反馈,其银行难以识别机构中的全部风险。
这反映了银行缺乏充分的内部资源及有效的评估工具或方法来进行评估工作,也同时说明了有必要引入外部专业指导和培训。
9.如果已实施了风险评估活动,如何处理高风险的领域?(可以多选)
78%的受访者表示,主要通过人工控制的方法处理高风险领域;69%表示,通过审计方案及后续的改善方案来处理;19%表示,通过自动控制来处理。
这一方面反映了大部分银行都积极采取措施来处理高风险领域以控制风险,另一方面,也反映出银行在很大程度上是依赖具有专业技能的员工进行人工控制来处理高风险领域。而结合之前的分析,目前银行内控人员的专业能力还有待提升,因此,高度依赖人工控制会增加发生错误的可能,同时也表明,银行以IT为基础的系统控制能力有待建设与加强。
10.如何确保所使用数据的可靠性?(可以多选)
57人回答了这个问题。58%的受访者表示是通过自动的核对流程;19%表示通过自动检查和抽样检查;14%表示通过系统之间的核对配比;有65%是通过人工检查和抽样检查的情况。
这一结果表明,城市商业银行在信息可靠性上采用了多重的方式来保证;其中高比例借助于系统帮助的选择说明,国内城市商业银行已经在系统建设方面有了一定程度的进展。但是,只有不到60%的机构在操作中采用了系统自动核对的方法,说明国内城市商业银行还需积极推进信息系统建设来提高检查的效率、及时性和覆盖率,以避免人工操作可能导致的错误、主观性误差、舞弊等问题,从而保证数据的可靠性。
11.如何确保重大决定经过适当的审批?(可以多选)
54%表示是通过政策和流程审批重大决定;37%的反馈是由董事会/审计委员会审批;51%是由风险管理委员会审批;由董事会代表管理的占5%。由此可以看出,政策和流程的建设还需加强,以保证机构内控体系的规范,降低人为因素的干扰;同时,董事会/审计委员会、风险管理委员会的参与也还需要加强。
12.是否建立了系统应急和恢复预案?
从来自内审部门的反馈看,大部分选择“不清楚”的都是来自内审部门的人,说明内审部门参与系统审计的工作不多或者是企业正在建立。由于这方面的调研资料较少,相关结论还需做进一步调查。但是,由于系统应急和恢复预案机制对银行数据的重要性,我们认为无论上述哪种可能性,这方面的工作都有重视的需要。
13.如果发生运营损失,是否有规章制度对之进行处理?
89%的受访者表示,其银行建立了处理运营损失方面的规章制度。这说明国内商业银行在这方面的制度建设相对完善,但仍有部分银行缺少相关政策。反应机制的缺失,将可能直接造成银行以及储户更大的损失。
14.如何持续地评估内部控制绩效?(可以多选)
86%的受访者表示,是采用制定绩效指标的方法评估内控绩效;69%是通过内部审计部门抽样审查的方法;19%是通过员工的自我风险评估。制定绩效指标的方法广泛为各银行所用,这种方法从结果入手,简单有效。同时,流程管理和评估也很重要,因而很多银行采用由内部审计部门抽样审查的方式来检查内控体系,以发现内控中存在的问题。
在调查中我们发现,自我风险评估方法使用较少。如果在使用上述两种方法的同时加强员工的自我风险评估,将有利于员工风险意识的提高及对风险控制活动的参与度。
15.有待提高的主要领域是什么?(可以多选)
50人回答了这个问题。其中,50%的人希望在管理层监督和控制环境方面得到改善;68%希望在风险类型和识别过程方法方面提高水平;20%希望在控制活动方面得到加强;30%希望在信息交流和沟通系统控制要求方面得到加强;40%希望在自我评估和监测流程方面得到提高。
因此可以推断,商业银行人员已经意识到,其在风险评估、高层监督、控制环境等领域的能力上需要得到更多的提升和加强,才能满足内部控制目标的需要。
报告编制:清华大学继续教育学院金融培训中心、甫瀚咨询公司
《金融实务》 2006.10.31 20:47
城市商业银行仍然广泛存在公司治理不完善,信息系统建设薄弱,以及内部人主导内控的现象
【编者按】
在中国的银行业改革版图中,股份制商业银行一路领先,国有商业银行逐一上市,外资银行入境提速,城市商业银行加快改革已是时不我待。
中国的城市商业银行,一般是由城市企业、居民和地方财政投资入股组成的地方性股份制商业银行。到目前为止,中国的城市商业银行总数已达113家。
早在2004年11月,中国银监会发布《城市商业银行监管与发展纲要》,要求各城商行须在2006年底满足资本充足率8%的监管要求,并在2008年底前分阶段完成不良贷款的拨备。这意味着,重组、联合抑或跨区经营是城商行图变的主要方向。各城商行实现规章制度、业务流程与企业文化的规范统一,便成为当务之急。
2004年12月,中国银监会颁布实施《商业银行内部控制评价试行办法》(下称“9号令”),旨在通过加强对商业银行内部控制的评价,督促商业银行进一步完善内部控制体系,从根本上建立风险管理的长效机制。
“9号令”颁布近两年后,出现了第一个关于城市商业银行内部控制实施情况的调查研究报告。这一报告由清华大学继续教育学院金融培训中心和甫瀚咨询公司(Protiviti,下称甫瀚)共同组织,将于近日正式公布。《财经金融实务》独家获得报告全文,摘编刊发,以飨读者。
调查概要
此次内控调查于2006年5月27日至7月31日期间进行,共向100多家城市商业银行发出问卷,收回的59份有效问卷来自48家银行的受访者。对于“9号令”中未具体明确的内容,本次调查分析结论,同时参考了银监会于2006年6月27日发布的《银行业金融机构内部审计指引》(下称“指引”)。
调查发现,目前大部分城市商业银行已根据“9号令”的要求,开展内部控制的工作。其中大部分机构对自身内部控制的评价介乎70分到90分之间(100分为满分)。调查结果仍反映出国内城市商业银行在内控方面存在以下普遍现象:
——大部分银行已建立了现代公司治理结构,但在具体职责划分上还不明晰,可能不能很好地发挥董事会、监事会和管理层在公司治理中的作用;
——银行的信息系统建设普遍薄弱,内控活动在较大程度上还依赖人工控制。这有可能存在人工控制的固有隐患,并增加风险管理工作的难度;
——大部分内控工作的实施、评估、监测、沟通及培训皆以内部人员为主导。然而,大部分受访者同时表示,银行缺乏经验丰富的人员及有效工具或方法来进行自我评估及识别企业的风险,这可能不利于银行提升自身的内控能力;从反馈来看,银行迫切需要银监会提供更详细的工作指引,并希望得到外部专业机构的帮助。
1.受访者当前的职位状况如何?
受访者中,62%是银行的高层管理者,其中有四名为监事长;5%来自内审部门,其中有两名在担任内部审计负责人或代表时,也兼任监事长。
根据“9号令”,监事会负责监督董事会和高级管理层完善内部控制体系;负责监督董事会及董事和高级管理人员履行内部控制职责。以上六名监事长,其身兼相互制约职位的非独立状态,可能会影响其在履行监督董事会和管理层职能时的有效性。
2.谁负责审阅、批准内部控制方案以及确认此政策?(可以多选)
近65%的受访者选择了由董事会或者董事会下设的审计委员会负责内控政策的批准及确认,有15%的受访者选择了监事会。根据“9号令”,监事会应当担任监督的角色,而不是批准和确认内部政策。这说明,在实际操作中,由于对监事会的职能和权责的理解不够清晰,造成实际分工的不合理。
3.谁负责审阅、批准内部审计方案以及确认此政策?(可以多选)
只有43%的受访者表示,是由董事会/审计委员会来批准及确认内部审计方案和政策,而大部分银行是由其他部门或通过其他方式来批准及确认的。
根据“指引”,银行业金融机构的董事会负责建立和维护内部控制体系;没有设立董事会的,由高级管理层负责履行相关职责。我们不排除在24%的“其它”当中包括了高级管理层。
由监事会审批内审方案的29%的受访者当中,76%是认为完全由监事会审批内审方案,董事会或审计委员会完全没有参与。这与“9号令”关于监事会是“负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责”、“高级管理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估”的要求,存在一定的矛盾。
4.内部审计部门负责向谁汇报情况?(可以多选)
58人回答了这个问题。其中,48%的受访者表示是向董事会/审计委员会汇报工作;62%表示是向管理层汇报。我们发现,大部分参与调研的内控部门、信贷部门、风险部门的人员认为,是向董事会或审计委员会提交审计报告。“9号令”规定,内部审计部门应该向董事会或审计委员会提交审计报告。根据“指引”,没有设立董事会的,由高级管理层负责履行相关职责。
5.内部审计师占全体员工的比例(不包括第三方工作人员的数量,如咨询师等)?
58人回答了此问题。其中大约43%的人表示,商业银行的审计人员比例不足1%。这与“指引”要求的1%的最低比例有差距;与内部审计人员通常占人力资源总数2%-5%的国际商业银行水平相比,差距更大,说明国内银行需要在内部审计机构的建设上投入更多的资源。
6.是否已经进行风险评估(定期执行标准化的风险分析方法,使其能覆盖所有的活动和银行机构)?
根据反馈,80%的银行对机构面临的风险进行了部分或完整的评估:22%表示进行了整个机构及所有风险的评估;58%的受访者表示进行了部分评估(不是对整个机构的评估);还有10%表示没有进行风险评估。
在受访者中,风险控制部门和信贷部门的人员——包括绝大多数的监事长——都表示只进行了部分评估。这反映了国内商业银行的全面风险管理工作刚刚起步,仍有很多进展的空间。
7.采用或打算采用哪种风险评估方法?
超过51%的受访者表示,其银行采用或打算采用以业务流程为基础的风险评估方法;采用以公司整体为基础的风险评估方法的有17%;两者都有的占到20%。
这说明,大部分银行着重于业务流程为起点来进行风险评估。然而,以公司整体为基础的高层面风险评估、自上而下的风险管理模式以及以公司整体为基础的控制环境评估,往往是决定流程控制有效性的基础。这反映了国内商业银行在风险评估方法这方面还未成熟。
8.在风险评估过程中可能遇到的主要困难是什么?(可以多选)
超过60%的受访者认为,其银行缺乏协助评估风险的IT系统及经验丰富的员工;将近70%的受访者反馈,其银行难以识别机构中的全部风险。
这反映了银行缺乏充分的内部资源及有效的评估工具或方法来进行评估工作,也同时说明了有必要引入外部专业指导和培训。
9.如果已实施了风险评估活动,如何处理高风险的领域?(可以多选)
78%的受访者表示,主要通过人工控制的方法处理高风险领域;69%表示,通过审计方案及后续的改善方案来处理;19%表示,通过自动控制来处理。
这一方面反映了大部分银行都积极采取措施来处理高风险领域以控制风险,另一方面,也反映出银行在很大程度上是依赖具有专业技能的员工进行人工控制来处理高风险领域。而结合之前的分析,目前银行内控人员的专业能力还有待提升,因此,高度依赖人工控制会增加发生错误的可能,同时也表明,银行以IT为基础的系统控制能力有待建设与加强。
10.如何确保所使用数据的可靠性?(可以多选)
57人回答了这个问题。58%的受访者表示是通过自动的核对流程;19%表示通过自动检查和抽样检查;14%表示通过系统之间的核对配比;有65%是通过人工检查和抽样检查的情况。
这一结果表明,城市商业银行在信息可靠性上采用了多重的方式来保证;其中高比例借助于系统帮助的选择说明,国内城市商业银行已经在系统建设方面有了一定程度的进展。但是,只有不到60%的机构在操作中采用了系统自动核对的方法,说明国内城市商业银行还需积极推进信息系统建设来提高检查的效率、及时性和覆盖率,以避免人工操作可能导致的错误、主观性误差、舞弊等问题,从而保证数据的可靠性。
11.如何确保重大决定经过适当的审批?(可以多选)
54%表示是通过政策和流程审批重大决定;37%的反馈是由董事会/审计委员会审批;51%是由风险管理委员会审批;由董事会代表管理的占5%。由此可以看出,政策和流程的建设还需加强,以保证机构内控体系的规范,降低人为因素的干扰;同时,董事会/审计委员会、风险管理委员会的参与也还需要加强。
12.是否建立了系统应急和恢复预案?
从来自内审部门的反馈看,大部分选择“不清楚”的都是来自内审部门的人,说明内审部门参与系统审计的工作不多或者是企业正在建立。由于这方面的调研资料较少,相关结论还需做进一步调查。但是,由于系统应急和恢复预案机制对银行数据的重要性,我们认为无论上述哪种可能性,这方面的工作都有重视的需要。
13.如果发生运营损失,是否有规章制度对之进行处理?
89%的受访者表示,其银行建立了处理运营损失方面的规章制度。这说明国内商业银行在这方面的制度建设相对完善,但仍有部分银行缺少相关政策。反应机制的缺失,将可能直接造成银行以及储户更大的损失。
14.如何持续地评估内部控制绩效?(可以多选)
86%的受访者表示,是采用制定绩效指标的方法评估内控绩效;69%是通过内部审计部门抽样审查的方法;19%是通过员工的自我风险评估。制定绩效指标的方法广泛为各银行所用,这种方法从结果入手,简单有效。同时,流程管理和评估也很重要,因而很多银行采用由内部审计部门抽样审查的方式来检查内控体系,以发现内控中存在的问题。
在调查中我们发现,自我风险评估方法使用较少。如果在使用上述两种方法的同时加强员工的自我风险评估,将有利于员工风险意识的提高及对风险控制活动的参与度。
15.有待提高的主要领域是什么?(可以多选)
50人回答了这个问题。其中,50%的人希望在管理层监督和控制环境方面得到改善;68%希望在风险类型和识别过程方法方面提高水平;20%希望在控制活动方面得到加强;30%希望在信息交流和沟通系统控制要求方面得到加强;40%希望在自我评估和监测流程方面得到提高。
因此可以推断,商业银行人员已经意识到,其在风险评估、高层监督、控制环境等领域的能力上需要得到更多的提升和加强,才能满足内部控制目标的需要。
报告编制:清华大学继续教育学院金融培训中心、甫瀚咨询公司
【研究·调查】城商行“内控”调查
广告前中后的调查与研究
广告前中后的调查与研究
中学生消费状况调查与研究b
早恋现象的调查与研究
校园环境噪音之调查与研究
校园环境噪音之调查与研究1
高中生心理健康状况调查与研究
中学生消费状况调查与研究1
中学生消费状况调查与研究
中学生消费状况调查与研究sfdsf
研究调查:人在74岁时最幸福
校园环境噪音之调查与研究1
物联网产业链国内外发展研究调查
关于中学生早恋现象的调查与研究
关于中学生早恋现象的调查与研究
农村高中英语写作现状调查与对策研究2
网络社会中人际关系的变化研究 - 网络调查问卷
农村高中英语写作现状调查与对策研究1
设计调查问卷——研究型学习
农村留守儿童教育现状调查及对策研究
关于中学生早恋现象的调查与研究
系统软件研究的一些调查数据 : 弯曲评论
农村留守儿童教育现状调查及对策研究