|
|
内部控制测试和评价主要解决的问题有:
1.什么是确实存在的?即现状如何,就是在测试评价过程中发现的事实证据,特别是那些关键控制点上的事实证据。
2.什么是应该有的?即标准怎样,就是在做出评价时所使用的准则、措施或所期望的事物。
3.差异会造成什么影响?即风险有多大,就是由于现状和标准之间存在的差异而使被测试评价银行产生的风险暴露。
4.为什么会有差异?即原因何在,就是所期望的和实际存在之间的差异的产生原因。
5.应该采取什么改进措施?即改进建议,就是以上述“发现”为基础提出的改进措施。改进建议可能是:无须改变现行的控制系统;修改或补充现行的控制系统; 重新设计控制系统。
四、内控的持续改进
前面说,内部控制与风险是一对矛盾,风险是“矛”,内部控制是“盾”。矛盾的双方都是人,双方当事人存在一种对抗性思维,内部控制系统是否适当和有效要看谁更高明。这对矛盾随着时间和环境的变化而相互不断地进化。如果说昨天设计的“盾”还可以抵御“矛”的进攻,但经过进化后今天的“矛”就可能刺穿昨天的“盾”,那么,作为防御系统的“盾”也应当及时地做出相应的改进,而且,矛盾双方的进化是一个相互交替和持续不断的过程。因此,内部控制系统必须保持持续的改进。只有这样才能使内部控制和风险这对矛盾保持某种平衡状态。内部控制系统的持续改进也可以说是矛盾双方博弈的必然。
在评价和改进两个环节上,评价属手段,而改进才是目的。所以,内部控制过程还有一个不可缺少的环节,那就是在检查评价以后必然紧跟着改进行动。通过对内部控制系统的测试和评价,及时发现它的缺陷和薄弱环节,而且只有及时地加以改进,内部控制才能起到防御风险的作用。如果只检查评价,而没有相应的改进行动,那么这个内部控制过程也是不完整的。所以说,内部控制系统循环过程有四个环节,即:设计→执行→评价→改进。
内部控制的设计→执行→评价→改进是一个有机的整体,是一个循序渐进的过程,也是一种持续的过程。这四个环节体现了PDCA工作原理在银行内部控制活动中的具体应用,也就是说银行内部控制的过程也是一种PDCA循环。所谓PDCA工作原理或循环可简述如下:
P(Plan):根据顾客的要求和组织的方针,为提供结果建立必要的目标和过程。P就是根据组织目标及风险评估来设计内部控制系统。
D(Do):实施过程。D就是执行上述设计的内部控制系统。
C(Check):根据方针、目标和产品要求,对过程和产品进行监视和测量,并报告结果。C就是对内部控制系统的设计和执行两个环节的适当性和有效性进行测试并做出评价。
A(Act):采取措施,以持续改进过程业绩。A就是根据上述测试和评价中发现的内部控制设计和执行两个环节存在的缺陷,采取相应的改进。
银行在实现经营目标过程中必然会遇到各种各样的问题,要克服这些问题就要先对它们做出分析和估计,这就是风险评估。银行根据风险评估的结果来“设计”和安装相应的内部控制系统。设计及安装内部控制系统后还需要在日常的活动中加以“执行”。银行对设计并安装在银行经营活动中的内部控制系统,在正式运行前或经过一段时间的运行后,应当进行测试和“评价”。对银行内部控制系统的测试和评价往往是由独立于设计和执行该控制系统的内部审计部门或外部审计师进行。审计师在银行内部控制PDCA循环过程中的定位就是对内部控制系统设计的适当性和执行的有效性进行评价。根据审计师在测试和评价中发现的内部控制设计和执行两方面存在的缺陷,银行对正在运行中的内部控制系统采取相应的“改进”行动。
内部控制系统的“设计→执行→评价→改进到再设计→再执行→再评价→再改进是一个不断循环和周而复始的过程。每经过一次这样的循环,银行内部控制系统的性能都会得到相应的改善和提高。PDCA工作原理相似于我们经常讲的抓制度建设,抓制度落实,抓制度检查和抓问题的整改等工作环节,这是我们所熟悉的工作方法。 |
|
