时间:2023-03-11 09:27:29
(一)动员部署阶段工作情况(30分,自评分28分)
1、建立健全组织领导机构。局党组召开会议专题研究部署了廉政风险防控工作;成立了领导小组并有一名领导班子成员分管;设立了廉政风险防控工作办公室并有专人办公;制定了县商务局廉政风险防控工作方案,自评分10分。
2、党组主要领导履行第一责任人职责、分管领导具体负责、纪检监察机关发挥组织协调作用。局党组书记、局长亲自研究、动员部署此项工作;分管领导定期协调解决工作中的问题;对基层单位及部门开展了两次以上的监督检查,自评分10分
3、宣传发动工作贯穿始终,营造良好舆论氛围。局党组及时召开了动员会;在整个工作过程中遇到问题及时召开推进会,共召开推进会两次;组织全体工作人员开展了专题业务培训;在本单位的“商务之窗网站”设立了专题网页,自评分8分
(二)重点推进阶段工作情况(50分)
1、清权确权(20分,自评分20分))
(1)按照有关法律法规及“三定方案”,对涉及商务部门权力的事项进行了全面清理。自评分8分。
(2)详细编制了内部及外部职权目录。自评分4分。
(3)根据职权目录认真绘制了内部及外部权力运行流程图。自评分4分。
(4)以印发文件、制作展板方式并在政府信息公开网上公开公示了本单位职权目录和权力运行流程图。自评分4分。
2、排查风险点,确定风险等级(15分,自评分15分)
(1)排查风险点。风险排查按照单位、部门和岗位三个层面进行;党政正职、领导班子成员、中层以下干部全部进行了风险排查,无人员遗漏;风险排查紧紧围绕“三重一大”进行排查。全局共排查领导岗位3个,其他岗位3个,内设机构3个,自评分10分。
(2)风险等级评估。逐一评估风险点、确定风险等级,共排查出高、中、低风险点52个,制定防控措施49条。自评分5分。
3、制定防控措施和处置纠正问题(15分,自评分15分)
(1)制定防控措施。针对排查出的风险点“一对一”制定防控措施;防控措施有针对性和可操作性;建立了廉政风险点目录并以展板形式进行了公开公示。自评分10分。
(2)处置纠正廉政风险防控工作中发现的问题。对廉政风险防控工作中发现的问题,及时处置,切实整改到位。自评分5分。
(三)检查考核阶段工作情况(20分,自评分20分)
1、认真做好总结。对全局开展的廉政风险排查工作全部进行了“回头看”,对照要求进行自查并提出改进措施;对其中一些好的经验和做法进行提炼;及时报送总结。自评分10分。
关键词:内部控制 评价 问题 实施方法
随着经济的全球化,企业加强内部控制和风险管理的要求就越来越迫切。但很多企业普遍存在控制体系不健全、执行不到位,因此,建立和完善企业内部控制体系,不断提高企业应对风险挑战,把握发展机遇能力,提高国际竞争力显得尤为重要。
一、企业内控评价的现状和问题
2008年-2010年,财政部会同证监会、审计署、国资委、银监会、保监会等部门了内控评价基本规范和配套指引,构建了中国企业内部控制规范体系。要求企业对内部控制的有效性进行自我评价,政府监管部门将进行监督检查。从企业内部控制评价开展情况来看,还存在不少问题:一是公司治理结构不完善,内控评价组织在企业所处的层次偏低,内控评价组织缺乏有力的后盾;二是内控评价人员素质不能完全满足要求,难以从实际工作的深层次上发现问题;三是缺乏内部控制缺陷认定标准,内部控制配套指引对缺陷认定未提出统一标准,要求由企业自行确定;四是对内控评价认识不足,管理层对加强内部控制制度建设的观念淡漠,认识不足。
二、内控评价实施方法
本人从事公司内控评价工作已两年,总结这两年经验和教训,结合内控规范的要求和其他公司的成功经验,提出一套内控评价实施流程和方法,与大家探讨。
(一)建立内控评价组织机构
内控评价是全公司的一项重要而长期的工作,组建内控评价组织机构非常必要,可建立两层次的内控评价机构,一是组建公司内控评价工作组,负责公司内控评价工作的组织、内控缺陷及内控报告的审核工作,直接向董事会负责,组长应由董事长或总经理担任,成员应包括企业管理、内部审计、财务等主要部门负责人;二是年度自评价项目组,负责当年度内控自评价工作,出具内控自评价报告,一般由内部审计部门牵头负责。
(二)完善内控管理制度
内控评价工作组定期组织内控制度梳理工作,目的是查找制度设计缺陷,完善公司管理制度。首先根据《企业内部控制规范讲解2010》中18板块的内控措施,对照公司相应内部管理制度,查找公司制度设计缺陷,然后结合公司实际,判断和缺陷影响程度,提出整改措施、整改时间等内容;最后向制度编制部门下达整改通知书。
(三)风险库建立
内控评价工作组每年根据内控评价应用指引及讲解中列出的内控风险,编制出本公司可能存在的内控风险,然后组织相关部门分别对内控风险进行风险程度评分,并按风险程度大小排序,建立内控风险库,明确公司主要风险所在,并为下一步的内控自评价指明方向。每年应对风险库进行更新,确保风险库能有效反映当前阶段公司的风险实际状况。
(四)内控自评价阶段
内控自评价是指由公司董事会或类似权力机构对公司内部控制有效性进行全面评价、形成评价结果、出具评价报告的过程。内控自评价一般由内审部门牵头实施,具体可以采取以下步骤。
1、开展内控调查问卷
根据《企业内部控制规范讲解2010》和公司实际,针对18个板块业务内容,设计出一套内控调查问卷,并下发给相应业务职能单位填写,内审部门汇总调查问卷结果,并将此作为选取重点测试板块等的依据之一。
2、制定内控评价方案
主要应包括:成立内控评价项目组,可以由内审部门、企管部门、财务部门等单位联合组成;确定评价范围和重点内容,应实行全面评价,但需突出重点业务和高风险业务,可根据风险排序和内控调查问卷结果等选择;编制内控评价测试底稿模板,可以参照内控指引和公司内部管理制度来设置测试关键控制点;确定测试样本选择方法和样本规模。
3、实施评价工作
首先对通过穿行测试,排查内控制度设计缺陷;然后按照方案制定的抽样方法和样本规模,选择业务样本;第三是对选出样本实施实质性测试,判断是否存在内控运行缺陷;第四是编制缺陷底稿,并由被评价部门书面签章确认。
4、认定内控缺陷
内控缺陷认定应由项目组初步认定,提交内控工作组讨论和认定,对重大缺陷,应由董事会予以最终认定。
5、分析内控缺陷
对缺陷的形成原因、表现形式和影响程度进行综合分析,找出影响较大的缺陷和内控薄弱环节,形成书面内控缺陷分析报告,提交内控评价工作组和董事会。
6、撰写内控评价报告
内控评价报告可分为对内报告和对外报告,其中对内报告没有固定格式和要求,主要以满足公司决策层和经理层的需要为主,对外报告则有固定的内容和格式要求。
(五)整改提高阶段
针对发现的内控缺陷,内控评价项目组提出整改建议,经审核批准后,向整改责任单位下发整改通知书,要求限期整改并提交书面反馈。内审部门应定期组织整改跟踪检查,确保成效。
三、内控评价应注意的方面
(1)严格复核和审核缺陷底稿,确保缺陷证据的必要性和充分性,文字描述必须清楚、无歧义,避免引起争议。
(2)科学制定抽样方法和确定样本规模,对样本量小的,可采取详查法,对样本量大的,可以采用分类随机抽样法。
(3)提高缺陷认定标准的可靠性和可操作性。认定标准可包括定量标准和定性标准,企业应根据自身具体情况制定。
(4)不断强化整改落实效果。应将整改情况与单位绩效挂钩,并建立和完善整改信息库,以随时掌握整改进度和关闭情况。
参考文献:
关键词:内部控制;自评报告;信息披露;监管体制
中图分类号:F83 文献标识码:A 文章编号:16723198(2012)18009003
近年来,人们对上市公司的数据真实性,可靠性、风险性产生很大疑问。上市银行属于高风险企业,通过风险取得报酬。上市银行所承担的风险,以及银行内部自身对风险的识别、衡量、监控对上市银行的经营和安全至关重要。上市银行披露内控信息有利于提高财务报告、年报以及企业自身的真实性和可靠性,也有利于银行外部的信息使用者了解银行的内控状况,通过内控的有效性评价上市银行的质量,并且做出相关决策。
1 关于我国上市银行内控自评报告内容的研究综述
1.1 披露载体的研究
韩晓杰、段洪波、梁静(2011)认为在我国主要存在四种形式的披露载体:董事会报告、监事会报告、年报正文及附件、会计市事务所的审核报告。从七家上市银行38份年报披露的内控信息情况看,信息披露主体有公司董事会、监事会、管理当局和注册会计师,披露的载体主要是董事会报告、监事会报告、年报正文及附件和会计师事务所的审核报告。
许莉,朱睿,王芳(2010)指出我国上市银行内控的披露载体众多,不统一,缺乏可比性。他们从11家上市银行的2008 年年报中发现,不同银行的内控信息在年报的不同位置披露,缺乏规范性,有的银行甚至在董事会报告、监事会报告、公司治理报告中同时披露内控信息。
1.2 披露主体的研究
李伟和施家芳(2007)以表格的形式分析了各个银行的披露主体。主要主体就是董事会、监事会和管理当局,不同主题披露的侧重不同,董事会报告中披露内控主要情况,监事会报告中披露内控制度的“三性”,如华夏银行、浦发银行、民生银行和招商银行。
韩晓杰,段洪波,梁静(2011)认为所有上市银行的年度报告中都在对内部控制的基本构架进行描述,但是对内部控制的责任主体却没有明确指出,一旦发生损失,承担直接责任方存在缺失。
1.3 自评报告披露量的现状
我国上市银行在2003年以前大多采用多形式大量披露策略,而在2003年及以后年度则渐渐采用固定形式少量披露策略。
倪慧萍(2006)提出不同银行信息披露量差异较大。纵向看,同一家银行不同年度的披露量差异大,如深圳发展银行、民生银行以及招商银行3家银行3年内控信息披露量都是“先多后降”之后持续减少;2002年3家均提供管理当局、事务所披露的内控说明和内控审核(或评审)报告;2003年和2004年则没有披露事务所审核(或评价) 报告而只披露事务所内控审查结果。横向看,不同银行之间披露差异更大。从韩晓杰、段洪波、梁静(2011)抽取的样本来看,中国银行和工商银行信息披露量较多较全面,深圳发展银行和招商银行信息披露量相对较少。主要采取的是形式固定少量披露的模式。
1.4 内控自评报告的规范制度
许莉、朱睿、王芳(2010)认为我国证监会的各项政策规定都在强调上市银行要充分披露在报告期内的业务、风险和内控情况。比如2000年11月14日的《公开发行证券公司信息披露编报规则》和2000年12月21日的《商业银行年度报告内容与格式特别规定》。2006年上海证券交易所提出上市公司在年报中要进行内部控制评价,2007年深圳交易所也提出该项政策。2008年财政部等五部委制定了有中国版“萨班斯法案”之称的《企业内部控制基本规范》,于2010 年1月1日起实施。目的在于加强和规范企业内部控制,提高企业风险防范能力,促进企业可持续发展。这些法律法规,规范制度从不同层面完善了我国上市银行内部控制制度。
1.5 实质性漏洞的披露现状
实质性漏洞是指如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时,该缺陷构成实质性漏洞,而那些严重程度低于实质性漏洞的一项或若干项缺陷,仅仅是重要到值得负责监管公司财务报告人的注意,那么该缺陷为重大缺陷。
瞿旭、李明、杨丹 叶建明(2009)提到由于我国目前在理论和实践中对于“实质性漏洞”概念的缺失,使得我国上市银行尽管面临严格的监管,但相关内控体系中的“漏洞”信息却不为市场和监管机构所知。
瞿旭、应旭婧、王娟(2011)阐明上市银行内部控制实质性漏洞披露是衡量高质量上市公司的主要标准,银行业掌握着国家的金融命脉,在维护国家的金融安全与稳定、促进经济的持续、稳健发展等方面起着重要作用。正是如此,上市银行内部控制实质性漏洞信息披露是传递出上市银行拥有良好内部控制体系的信号,也是作为资本市场健康运行的重要指标。
2 关于我国上市银行内控自评存在问题的研究综述
2.1 法律规范不完备
戴新华和张强(2006)提出虽然目前不同机构组织已经出台很多相关的法律法规,但是董事会、监事会在内部控制信息披露中的责任与职责,内控自评报告披露的时间、频次、方式、位置都需要规范化规定。
关键词:内控报告 披露质量 评价指标
010年以来,随着我国企业内部控制理论框架的逐渐成熟,其实践环节也显得日趋重要。其中,作为利益相关者了解企业经营效率和效果的重要途径,包括企业自评报告和外部审计报告的内部控制报告的披露质量备受关注。作为上市公司的直接监管机构,上交所和深交所就此开展了大量工作。然而,尽管两所多次颁布文件规范上市公司的内部控制报告披露工作,但并未针对报告披露质量提出明确的量化标准。为此,近年来众多学者致力于从多种角度对影响内控报告披露质量的因素进行分析,并通过构建评价指标体系来评判报告质量。这些研究表明,市场管理者出于宏观监管的需要,企业基于实现长久立足于资本市场的内在要求,外部投资者为了获得财务真实可靠的报告信息,都追求高质量的内控报告信息披露。鉴于此,本文依据市场管理者制定的上市公司信息披露质量考核标准,借鉴有关学者的指标分析方法,从市场管理者的视角构建我国上市公司内部控制报告信息披露质量分析指标。
一、文献综述与质量分析指标建立
(一)文献综述
2004年推出的COSO报告为上市公司内部控制质量体系提供了一套标准化体系,但该体系主要采用定性方法而难以进行定量衡量,并不适用于我国现行的市场经济,因而国内学者对如何衡量内控报告信息披露质量进行了大量探讨。韩传模、刘彬(2012)认为学术界研究信息披露质量主要采用两类方法:一是直接采用权威机构的评分;二是学者根据自身搜集的数据给予的评分。戴文涛、李维安(2013)从一个“局外人”如政府监管机构或外部非营利性机构的角度对企业内部控制状况实施了全面、综合、定量化评价。宋洪琦、魏建(2011)指出影响上市公司信息披露质量的评价指标,既有定性指标,又有定量指标,只有将定性指标和定量指标有机的结合才能实现真正的综合测度。孟强、苏本知、赫红(2008)认为内部控制的评价方法应从内部检查、外部监督、注册会计师的评价三方面进行。另一些学者则引入信息传播学相关理念,形成内部控制信息披露质量评价的理论基础,构建评价的指标体系与方法,以此来衡量上市公司的内部控制信息披露质量,如刘玉、邓德强(2011)等。综上可以看出,学者们在内控报告信息披露质量的研究中对质量测度方法予以了重点关注。本文拟选取一个新的外部监督者视角,即从证券市场管理者的角度,参考现有相关文件,构建一套内控报告信息披露定性与定量的质量分析指标。
(二)基于证券市场管理者角度构建内控报告披露质量分析指标
为了保证上市公司内部控制信息披露质量,深交所和上交所颁布了一系列规定与考核措施。证券交易所作为证券市场最直接的管理者,辅助五部委组织和监督上市公司的市场交易行为,肩负着规范上市公司内部控制报告及提高内控报告信息披露质量的任务。
深交所2001年《深圳证券交易所上市公司信息披露工作考核办法》(以下简称《考核办法》),对上市公司信息披露实施考评。从信息披露的及时性、准确性、完整性、合法性四方面划分评价等级,同时考虑上市公司所受奖惩情况及与深交所的工作配合情况而综合形成最终考评结果,并将上市公司信息披露质量从高到低划分为A、B、C、D 四个等级。2013年4月深交所对该《考核办法》进行修订,增加了真实性和公平性两项指标,并详细指出不能评价为A的情形和必须评价为C和D的情形。此后,2013年10月上交所也正式《上海证券交易所上市公司信息披露工作评价办法(试行)》,重点关注上市公司信息披露的真实性、准确性、完整性、及时性和公平性,通过定量计分和定性评价将上市公司分为A、B、C、D四大监管类别,分别为信息披露优秀类、良好类、合格类及不合格类公司。从深交所对考核办法的修改及上交所试行的评价办法来看,两所均赋予了信息披露的真实性及准确性重要地位。
因此,本文结合上交所和深交所颁布的信息披露质量考核办法,选取其共同的五项评价指标进行内控报告披露质量评级。具体定义如下:(1)真实性。是否聘请外部审计机构对公司的内控自评报告信息披露进行鉴证及外部审计机构的声誉等级。本文将四大会计师事务所定义为第一等级,其他会计师事务所定义为第二等级,未聘请会计师事务所定义为第三等级。(2)准确性。内部控制缺陷及风险的衡量,即是否在自评报告中披露对内部缺陷的定性及定量的衡量和对公司各种风险的阐述与预防、应对措施。(3)完整性。是否按照内控自评报告书写规范要求出具至少应当披露的8大内容,即董事会对内部控制报告真实性的声明,内部控制评价工作的总体情况,内部控制评价的依据、范围、程序和方法,内部控制缺陷及其认定情况,内部控制缺陷的整改情况及重大缺陷拟采取的整改措施及内部控制有效性的结论。(4)及时性。《企业内部评价指引》(以下简称“指引”)第二十六条规定,“企业应当以12月31日作为年度内部控制评价报告的基准日,内部控制评价报告应于基准日后4个月内报出”。为对样本加以区分,本文以10日为一个间隔期对及时性做出划分。(5)公平性。《指引》就上市公司如何保证公平信息披露提出了几点原则性要求,如信息披露要平等对待所有投资者;发生未公开重大信息泄漏或股票交易异常时,应第一时间报告交易所并立即公告等,本文据此定义公平性。
从上交所和深交所颁布的信息披露考核办法中各评价指标的排序可以看出,真实性、准确性、完整性、及时性和公平性的重要性由高到低,由此本文为上述五个指标设定了等差权重,公差为5%。每个指标设定满分为20分,总计100分,并为细分项目设定了相应的分值。具体评价指标体系详见下页表1。评价测算分数公式为E=ΣW×Xi;评级标准为:85至100分评定为A级,70至85分评定为B级,55至70分评定为C级,55分以下评定为D级。
二、上市公司内控报告信息披露质量分析
(一)样本选取
本文以沪深两市主板以及深市部分中小板上市公司作为研究样本,基于研究设计的要求进行了适当比例的筛选,即制造业为总样本的1%,其他行业为总样本的10%,最终得到100个研究样本。其中沪市主板49家,包括制造业5家,其他行业44家;深市主板27家,包括制造业2家,其他行业25家;深市中小板24家,包括制造业6家,其他行业18家。
(二)总体披露质量
对100家样本公司的内控报告信息披露质量使用本文上述质量评价方法打分并评级,得到总体质量情况的分布,具体如下页表2所示。
从表2可以发现,2011年评价为C级的样本居多,而2012年评价为B级的样本居多。2011年上市公司内控报告信息披露质量等级向上累积频数分布为22、67、95、100;2012年的则为10、35、79、100。从总体来看,样本公司的内控报告信息披露质量有了明显的提升。其中,沪市主板高分变动最大,评价为A级的公司由2011年的4家变为2012年的16家,相应比例由8.1%变为32.7%;评价为B级的公司增加5家,占2012年总体的49.0%。深市主板评价为A级的公司增加4家,评价为B级的公司增加9家,深市中小板总体变动不大,略有改善。从年度数据的变化可见上交所和深交所对内控报告规范化的实施具有实际指导意义,证券市场管理者能引导上市公司在理解规范理论的基础上更加高效率地实施内部控制。
(三)对真实性和准确性指标的进一步分析
在此基础上本文进一步分析真实性和准确性两项加和权重为55%的指标,这是由于其对总体质量的评价结果具有较大影响,因此细化而深入的分析能为评价内控报告信息披露质量提供强有力的补充。
1.真实性指标。从证券市场管理者在《指引》中规定上市公司聘请外部审计机构或更换外部审计机构对企业进行审计以加强企业内控建设的行为可见,外部审计机构对上市公司内控报告信息的披露质量的鉴证作用与市场管理者对上市公司内部控制监管的目的相契合。外部审计机构对证券市场管理者评价内控自评报告信息披露质量有辅助作用。本文将内控审计报告披露质量划分为以下两等,若由“四大”出具则为优,若由一般会计师事务所出具则为良,具体如表3所示。
可以发现,样本公司未聘请会计师事务所的数量由2011年的51家减至2012年的33家,聘请“四大”的总数不变,说明新加入的“四大”之外的会计师事务所增加了18家。其中,深市主板“未聘请”比例由2011年的70.4%降至2013年的37.0%,沪市主板“未聘请”比例由2011年的20.4%降至2012年的4.1%,沪市主板总体状况明显优于深市主板,深市中小板“未聘请”比例较高且两年来几乎没有变化。从总体情况来看,上市公司聘请外部审计机构的数量仍有提高空间,证券市场管理者需加强对上市公司聘请会计师事务所进行内控自评报告鉴证监督的工作力度。
2.准确性指标。内控缺陷的准确认定作为内部控制有效性评价的核心,影响着内控自评报告信息披露的质量。近年来,越来越多的国内学者试图对企业内控缺陷认定做出系统研究,并建议在内控自评报告中披露内部控制缺陷定性和定量的认定与分析,与此同时,上市公司也逐渐开始加强此方面的工作。王惠芳(2011)认为内控缺陷的认定是内部控制评价和鉴定中最基础的问题。若上市公司能加强内控缺陷的认定、有效管理企业内部缺陷,并减少实质性漏洞或重大缺陷发生的可能性则对企业内部控制有良好效益,从而提高内控自评报告信息披露的质量。
笔者选取内控缺陷的相关控制作为内控自评报告信息披露质量分析的关键,并将其定义为制定了内控缺陷定性、定量的认定标准或采取了有效预防措施应对内部缺陷,同时增加是否设立包括内部审计部门在内的内控小组考核项,以对内控缺陷的相关控制展开补充,更细致地研究两年样本内控自评报告信息披露质量及内部控制情况,具体如下页表4所示。
由表4可知,样本内控缺陷的相关控制比例增幅较大,由2011年的41%增至2012年的77%,设立内控小组的上市公司增加了8家,比例由64%增至72%。在这两项考核中,2011年沪市主板的情况较之深市主板与中小板都显现劣势,2012年沪市主板的情况有较大改善,略逊色于深市主板,且明显优于几乎未有改善的深市中小板。这不仅说明证券市场管理者对上市公司内部控制的相关规范起了一定作用,更说明上市公司对其内部控制治理的自愿意识有所提高。证券市场管理者应继续鼓励上市公司使其提高对内控缺陷的管理与控制,使得市场整体内部控制水平稳步提升。
风险管理是企业提高核心竞争力的重要手段,而风险评估作为美国COSO委员会提出的内控五要素之一,更是内部控制质量衡量的决定性因素之一。这部分内容是否在内控自评报告中得以准确详尽披露对披露质量有重要的影响,因此证券市场管理者应将上市公司是否在内控自评报告中披露对公司各种风险的评估、预防及应对措施作为另一披露质量关键考核点。
笔者提取出较有代表性的另一个细化考核项风险控制,审查上市公司内控自评报告是否有风险评估与控制的相关披露,如对运营风险、财务风险、流动风险等风险的认定及预防应对措施。内控自评报告风险控制的披露情况具体如表5所示。统计样本显示,2012年上市公司在内控自评报告中披露风险控制的比例有所增加,其中上交所样本公司增加了4家;而深市中小板仅增加1家,主板未有变动;2011、2012两年在自评报告中披露“风险控制”的样本公司比例,深市中小板最高,主板次之,而沪市主板情况最不尽如人意。上市公司虽然对内控缺陷的披露意识有所提高,但是对风险控制的观念仍有待加强。
三、结论与建议
本文基于证券市场管理者的角度,以2011年及2012年沪市主板和深市主板及中小板上市公司为研究对象,通过构建内控报告信息披露质量评价指标体系对100家样本公司内控报告信息披露质量进行实证研究。研究表明,2012年内控报告信息披露质量高于2011年,且沪市的质量高于深市;沪市绝大部分上市公司两年来皆聘请外部审计机构对其自评报告进行了审计或鉴证,而深市2011年只有较少数公司做到了这一点,2012情况略有好转;外部审计机构多为国内事务所,“四大”常被聘请作为外部咨询机构协助上市公司开展内部控制。
基于此,笔者提出三点建议:(1)证券市场管理者应加强对上市公司内控报告信息披露质量的监管工作,同时制定更加细化的衡定指标以引导上市公司开展实践。上交所和深交所要肩负起有效考评内控报告信息披露质量的重任,必须建立起强制性信息披露制度及定性、定量考核标准,在加强外部监管的同时,要求所披露内容必须经注册会计师审计。(2)证券市场管理者及企业都应提高对内控缺陷认定及控制与风险评估及控制的关注度。对内控缺陷和风险管理实施适度的监督检查,是市场管理者评价内部控制有效性、企业避免内控流于形式并及时改进的必要持续措施。上市公司的内控缺陷和风险越少或越能被有效控制,则越能保证内部控制的有效性,从而提供高质量的内控报告。(3)证券市场管理者应督促企业聘请外部审计机构对内控自评报告进行审计或鉴证。聘请会计师事务所且所聘事务所信用等级越高,内控自评报告信息披露的质量也越高,会计师的审计工作有助于确保内控有效性,也可为市场管理者进行内控报告信息披露质量评级提供辅助依据。X
参考文献:
1.戴文涛,李维安.企业内部控制综合评价模型与沪市上市公司内部控制质量研究[J].管理评论,2013,(1).
2.方红星,孙,金韵韵.公司特征、外部审计与内部控制信息的资源披露――基于沪市上市公司2003-2005年年报的经验研究[J].会计研究,2009,(10).
3.葛建军.基于风险视角的企业内控缺陷浅探[J].国际商务财会,2012,(12).
4.王惠芳.内部控制缺陷认定:现状、困境及基本框架重构[J].会计研究,2011,(8).
5.王加灿,沈小袷,朱志坚.企业内部控制质量评价体系研究综述[J].湖南财政经济学院学报,2012,(4).
关键词:操作风险 管理机制 商业银行 基层分行
中图分类号:F832 文献标识码:A 文章编号:1006-1770(2011)08-036-04
引言
2006年巴塞尔委员会的《新资本协议》将操作风险作为一项单独风险纳入第一支柱,随着新资本协议的推广实施,国内各主要商业银行开始逐步实施操作风险管理,但是一方面,操作风险不同于信用风险和市场风险,其具有广泛性和普遍性的特点,涵盖各业条线和基层机构,涉及人员、流程、系统及外部多因素,另一方面,国内商业银行普遍架构为多级总、分支结构,管理链条长,总行对分支行的控制能力逐级下降,基层分支机构具有较强的“内部人”特征,操作风险管理落实的有效性重在基层,因此要强化操作风险管理,除了要搭建合理统一的管理体系外,如何在全行,尤其是基层网点层面落地管理体系、在第一线业务运营中应用操作风险管理工具、在基层分行全面普及和培育操作风险管理文化,仍然需要一个摸索的过程。
一、基层分行操作风险管理机制的构建
操作风险内生于业务和机构,与银行的经营管理和业务运营密切相关,这就决定了银行的操作风险管理需要在银行经营和管理的多个层面来展开。基层分行的操作风险管理,是整个银行操作风险管理的重要一环,它是全行操作风险管理向分行各业务经营单位实施的关键纽带,是总行操作风险管理体系在分行的一个本地化应用。因此基层分行的操作风险必须是在全行统一的操作风险体系下,结合分行业务和管理实际,确定分行的操作风险管理定位、管理内容和组织机构等机制设计。
(一) 统一的操作风险管理体系基础
区别于商业银行传统的内部控制管理,新资本协议操作风险管理要求建立统一的操作风险治理架构,应用统一的操作风险管理标准和工具,从银行内部管理来说,虽然具有本地化特征,但众多基层银行的操作风险必须要有统一的标准,以便全行的汇总、比较和管理。因此,建立统一的操作风险管理体系是基层银行操作风险管理的基础。
一个完整的操作风险管理体系应该包括操作风险治理和偏好设计、操作风险管理标准统一、操作风险管理制度和流程、操作风险管理工具应用及操作风险管理信息系统等内容的有机体(见图一),应具有“完整的组织、统一的标准、全面的流程、通用的工具、集中的系统、循环的管理”六个核心特征。
完整的组织,是指建立了满足监管要求的操作风险管理各级组织和报告路线,包括董事会、高管、总行、分行、经营单位等个层面的操作风险管理组织;
统一的标准,是指建立了操作风险的分类标准、评估标准、风险容忍度等统一的规范;
全面的流程,是指对全行的业务流程进行了全面的盘点和梳理分析,为后续的风险评估,建立了可靠的基础;
通用的工具,是指引进了国际通用的风险与控制自评估RCSA、关键风险指标KRI、损失数据收集LDC三大工具,作为管理操作风险的基础手段;
集中的系统,是指通过建立集中的信息管理系统,对操作风险的各类信息进行集中管理;
循环的管理,是指在日常实践中不断调整和完善操作风险管理的标准和方法。
(二)基层分行操作风险管理架构
基层分行操作风险管理是总行统一管理体系的具体应用,有众多具体细致的管理和操作内容,涉及各业务条线,因此分行操作风险管理的组织架构应设有分行领导层和管理实施层,建立起操作风险管理专岗和联系人兼岗制度,深入到各业务线及第一线网点(具体架构建议见图二)。
分行领导层,主要由分管风险的行长和会计、公司、零售、国际、风险等业务的负责人组成,对分行的操作风险管理具体进行总体性领导;
管理实施层由分行的风险管理部门和业务管理部门组成,它们是操作操作风险管理的主要力量。风险管理部是分行层面的操作风险管理牵头者,指导相关业务管理部门和业务经营单位进行操作风险各项管理应用与实践。业务管理部门负责本条线的操作风险管理,开展本条线相关的管理工作。
在分行的各级经营单位中,应设立操作风险管理联络员,分行风险管理和业务管理部门,通过操作风险管理联络员,将操作风险管理的各类要求,落实到分行的每一个经营单位。
(三)基层分行操作风险管理的工作职责
分行操作风险管理,由风险管理部门(专业的操作风险管理)和业务经营管理部门承担主要的工作,这两个部门在操作风险各类管理工作中的职责,可以归纳如下表:
二、基层分行操作风险管理内容
基层分行承担着操作风险管理的重要职责,这些职责和管理内容可以分成两种类型,即操作风险日常管理、操作风险体系的本地化实施。
(一) 操作风险的日常管理
分行的操作风险管理团队承担了总行操作风险管理的相应职责,是总行操作风险管理职责在分行的延伸和深化,是分行操作风险管理的主要组成部分,承担了制度办法的制定、三大工具的运用、培训、报告等职能,具体为:
1.建立涵盖下辖分支行经营机构、业务经营部门和业务管理部门及分行风险管理部的操作风险管理机构、及日常的联席工作机制。
2.制定分行层面的操作风险管理办法,根据总行制定的操作风险管理政策和实施办法,结合分行当地业务实际情况,制订分行操作风险管理制度细则,包括:分行操作风险管理实施办法,分行操作风险与控制自我评估细则,分行操作风险事件收集细则等。
3.组织收集分行范围内的操作风险事件,对分行层面发生的操作风险事件进行确认,按照总行统一的信息收集模板,收集操作风险事件的数据和信息,通过操作风险管理系统及时向总行上报,同时,组织相关部门对此业务流程从流程、制度、人员培训,IT系统设计等方面,分析其存在的问题和缺陷,提出优化、整改的方案并付诸实施。
4.组织分行层面的业务流程风险与控制自评估,按照总行的自评估要求,确定分行的自评估工作计划,开展自评估工作,抽查相关部门的自评估结果,对自评估的总体结果,进行确认,对发现的存在重大风险的业务流程,进行深入分析和研究。
5.撰写操作风险评估报告,每季度末,汇总全行的操作风险情况,撰写整个分行的操作风险评估报告,重点反映操作风险事件的统计和重大事件的分析,反映分行风险自评估、关键风险指标的结果,对分行所采取的操作风险措施进行汇总,并给予评价,对分行面临的主要操作风险点进行揭示,并提出相关的对策、措施和建议。
6.组织分行的操作风险管理培训和文化建设,对业务经营部门及辖属行进行系统化的培训,做好操作风险管理文化建设工作。
(二)操作风险管理体系的本地化
操作风险管理体系的本地化,是分行操作风险管理工作的一个重要部分,是将操作风险管理体系推广到分行层面的一个必不可少环节,也是操作风险管理工作能够在分行层面落地生根的一个重要因素。操作风险管理体系本地化的目的,是使分行能够按照其实际的经济环境和经营情况,对其操作风险进行更为准确的评估和管理。操作风险体系的本地化工作,有以下几个部分:
1.操作风险管理的制度办法本地化,根据分行的经营情况和业务管理的特点,制定或修改与操作风险管理相关的制度和办法。
2.业务流程和RCSA评估问卷的本地化,在总行标准的业务操作流程和业务制度办法基础上,根据当地行的特点和特色化业务的开展情况,进行流程和制度上的微调,对评估问卷进行相应的本地化调整。但为保证全行风险评估问卷的统一和完整,分行层面对问卷的调整主要是限于:一是业务流程的调整,删除分行没有开展的业务,增加分行的特色业务,对特色业务按照总行的模板进行问卷的生成;二是控制措施的增加,分行可根据本行对此业务的管理制度,增加相应的控制措施,但不允许删除总行模板中原有的控制措施。
3.风险容忍度、风险地图的本地化,由于各分行的风险偏好、业务规模、业务的获利能力等方面存在不同的情况,因此,各分行对操作风险的容忍度也有所不同,具体表现为不同分行对同一业务的风险地图中红、橙、黄、绿之间的三条边界线是不一样的,总行在下发标准模板时,已经考虑不同业务的风险容忍度的差别,因此,分行应根据本行的经营情况和当地的经济环境,对每个业务风险地图的边界进行调整。调整的方法主要有以下的三种:一是财务指标法,根据此业务的盈利或支出数据,按照一定的比例,来设定风险地图的边界值。二是管理目标认定法,根据此业务的管理目标值,如会计核算业务中的差错率指标,来设定红、橙、黄、绿各区的边界值。三是主观认定法,由业务专家来主观认定其风险容忍度的边界值。
三、基层分行操作风险管理的保障措施
操作风险管理的特点,决定了推广至各基层分行的任务是非常繁重的。我们需要采取一定的措施和手段,把操作风险管理体系顺利地推进到分行。
1. 制定合理的整体方案和计划,是工作成败的关键。事先应仔细规划好向分行推广的每一个环节和步骤,并按照轻重缓急来组织安排,同时考虑到在全行范围推广,将这些分行分片分块,使得各块的推广工作交叉进行,这样,既提高了推广工作的效率,又减轻了总行推广工作的压力。
2. 专项和日常工作相结合,将分行操作风险管理工作逐步深化。通过专项工作方式,集中推进操作风险管理体系推广层面上的工作,如组织机构的建立、政策制度的制定、集中培训、体系的本地化工作、风险与控制的首次评估等,而在项目工作结束后,应及时将操作风险事件收集、风险自评估、季度评估报告等工作转入到常规化的状态,这样,在分行建立完整的操作风险管理机制。
3. 强化培训和文化建设,使操作风险管理的理念深入人心。要进行形式多样的、多层次的操作风险培训,如实地培训、网络培训等多种渠道,对全行员工进行培训。同时,通过网站专栏、手册折页等多种形式,专门宣传普及操作风险管理知识,还可以开展多形式的操作风险管理知识竞赛和征文比赛。
4. 纳入绩效考核,以考核来引领分行操作风险管理。应将分行操作风险管理的成效纳入到总行对分行的绩效考核指标中,通过考核,来促进分行的操作风险管理工作。考核的指标,可以是分行操作风险管理的基础建设情况、风险与控制自评估的工作质量和及时性、操作风险事件收集的质量、操作风险管理评估报告的完整性等。
结论与展望
分行操作风险管理,是整个银行操作风险整体管理的一个重要部分,只有通过分行管理这个纽带,才能使操作风险管理渗透到全行每一个经营单位,才能有效地防范各类操作风险。因此,商业银行必须要充分重视基层分行的操作风险管理工作,有效应用各种先进的操作风险管理工具,在基层分行第一线业务运行中强化操作风险管理,保证业务的健康发展。
作者简介:
一、熟悉法规,依法依规执行内部控制自我评价工作
首先,内部控制是一项全员参与的工作,风控体系要成功发挥作用,不仅要依靠企业的风控人员,还要全体员工都具备高度的内控意识与风险防范知识。因此上市公司从建设内部控制和风险管理伊始,就必须重视对相关法律法规的熟悉。
二、目标明确,建立专业和尽职的内控团队
上市公司特别是两地上市的公司要满足国内外不同监管机构的合规要求。《企业内部控制基本规范》中内部控制的目标是保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性。对于专业能力不足或专业人才不够的上市公司可以考虑一方面,借助专业咨询机构的知识,协助下属企业执行首年度的风控体系建设工作;另一方面,注重培养企业自身的风控人员,建立组织保障,成立内控领导小组和内控工作小组,强调咨询机构的知识转移,因此,下属企业在开展风控工作的次年可以依托自身的风控力量完成以后年度的风控工作。通过风控建设,公司及下属企业要建立起一套统一完整且具有企业特色的风险与内控管理体系以及评价体系,推进企业管理制度的不断健全,促进企业经营效率和效果的提升,有效提高企业的内控与风险防范意识,并打造一支自身的风控队伍。
三、榜样示范,推广集团投资企业统一执行内控规范工作
上市工作在搭建内部管控体系之初,可以订立一体化理念,将内部控制体系与风险管理体系融为一体,打造公司的风控体系。风控体系的建立与评价工作,最初从集团主要业务板块中各选出有一两家有代表性的企业,分别建立适合集团行业或经营范围等不同板块的风控体系,然后逐年推向各板块更多的下属企业,不断优化风控体系,逐步提高风控工作的覆盖范围。在推广过程中,要注意设计覆盖内控体系建设全方位的工作模板,使内控工作模板化、标准化,促进集团和投资企业统一执行内控规范工作。
四、组织保障,将内部控制规范工作纳入绩效考核体系
企业内部控制基本规范规定了董事会负责实施内部控制评价并出具内部控制自评报告,财政部随后的相关发文也明确规定企业需要为内控自评工作提供组织保障。为推进公司内控规范工作的顺利实施,全面、准确地执行好《企业内部控制基本规范》及其配套指引,上市公司可以成立内控领导小组、内控工作小组。监事会是内部控制的实施主体之一,对股东大会负责,并对董事会建立与事实内部控制进行监督。公司董事长作为内控建设第一责任人,总经理为内控实施负责人,分管审计部的高级管理人员负责内控实施指导和协调,从组织上保证内控实施规范的落实和执行。
五、结合风险管理进行内部控制自我评价工作
内部控制自评跟风险管理结合,可以提高内部控制自我评价的效率和效果。主要原因如下。第一,风险管理策略和风险管理意识,作为内部控制五大要素中内部控制环境的体现之一,在内部控制运行中一直贯穿其中。第二,风险管理是公司董事会、管理层和其他人员影响内部控制的因素,从公司战略制定一直到企业的具体各项内部活动中,风险管理一直存在每一个环节,把风险控制在合理范围内是内部控制设置和运行的目标。第三,通过风险管理的风险评估和评估出来结果的应对,可以执行内部控制设计测试。通过穿行测试,可以发现内部控制设计缺陷。按照《企业内部控制基本规范》规定,执行该基本规范的公司要求需每年对内部控制有效性进行评价,每年出具内部控制评价报告,同时必须聘请会计师事务所对内部控制进行审计,出具内控审计报告。《内部控制基本规范》的强制执行时间表是,首先,2011年在中国境内和境外同时上市的公司执行,2012年,将把国有控股主板上市公司纳入内部控制基本规范的实施范围。2014年,所有上市公司均需执行内部控制基本规范。2014年,按照财政部的要求,所有主板上市公司均应在披露年报的同时,披露内控自我评价报告和内部控制审计报告。上市公司如何能实施有效的内部控制评价体系,同时提高内部控制信息披露质量是公司本身发展需求也是监管机构的愿景。六、结语随着监管机构对上市公司内部控制自我评价的日趋严格的要求,上市企业会更重视内部控制自我评价工作,内部控制信息披露会更清晰全面,对上市公司内部控制自我评价的研究将能获取更多的数据和信息。研究这些数据和信息目的在于推动内部控制建设工作,提高内部控制工作的质量,为企业长期健康发展保驾护航。
关键词:内部审计;企业风险框架
一、企业风险管理框架介绍
1 企业风险管理的定义。2003年7月美国COSO(全美反舞弊性财务报告委员会发起组织)委员会的《企业风险管理框架》征求意见稿中对其定义“企业风险管理是4"由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义,适用于各种类型的组织、行业和部门。
2 COSO企业风险管理框架的内容。对于许多企业来说,没有一个普遍认同的关于风险以及风险管理的定义,也缺乏一个概述风险管理运作程序的全面框架,这使得董事会成员和管理层之间进行风险交流变得异常困难。在这背景下,制定框架有着强烈的驱动力。为了顺应企业的呼声和要求,2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿。讨论稿描述了企业风险管理框架包括四类目标:战略目标、经营目标、报告目标、合规性目标。要素:内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
二、以风险导向的内部审计
内部审计是在一个组织内部建立的一种独立的评价活动,并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。内部审计的发展趋势是有财务审计到财务审计与管理审计并重。
现在国内外的审计都推行风险导向审计。审计风险模式为:审计风险=重大错报风险×检查风险。在审计过程中,审计师需要实施审计程序,评估重大错报风险,并依据重大错报风险的评估水平确定并实施进一步的审计程序,以便把检查风险降低到一个可以接受的低水平。
站在企业立场的内部审计师更多的把风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险,所以内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种审计方法。
三、内部审计与企业风险管理的关系
内部审计即是企业风险管理(内部控制)的一个组成部分,又是企业风险管理(内部控制)的一种特殊形式。
企业风险管理体系包括要素,其中监控又分为持续监控与个别评价。持续监控的对象是除监控外的七大要素,持续监控的主体是各直接进行风险管理的业务部门。个别评价的对象是除监控外的七大要素和持续监控。个别评价的主题是内部审计部门和业务部门,并且应该以内部审计部门为主,因为业务部门主要负责持续监控,长时间从一个角度看问题容易产生偏差,由内部审计部门介入,能有效地纠正这种偏差。作为个别评价的内部审计是企业风险管理的一部分,评价除自身以外的企业风险管理体系的全部内容。
四、内部审计中企业风险管理框架的应用
在企业风险管理体系中,内部审计是对企业风险管理有效性的评价。本文试图建立一个风险管理评价体系,以方便地指导内部审计对风险管理体系的评价工作,加强全企业范围内对风险的识别与控制,完善风险管理体系。
1 评价的目的。内部审计对企业风险管理有效性评价的目的在于完善企业风险管理体系,更好地控制风险、增加价值。需要注意的是,评价本身不是目的,评价过程中内审人员与各部门的沟通以及评价后相应改进措施比评价本身更为重要。
2 评价的内容。内部审计人员对企业风险管理的评价可分为总体和业务两个层面进行,评价的内容就是企业风险管理框架中的八要素。
3 评价的方法。评价的方法有很多,有很多不同的评价方法和工具,包括一览表、问券以及流程图技术等。这里介绍2种模式。(1)风险管理自评。风险管理自评的方法就是要求审计人员与被审计部门管理人员组成一个小组,对本部门风险管理的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对于内部审计而言,风险管理自评可以让管理部门了解到对风险管理的责任,同时还可以提高审计的效率和效果,减少审计人员的工作量,节省审计时间。(2)风险管理矩阵法。风险管理矩阵法是审计人员根据企业经常目标、风险与控制之间的联系,为确保审计建议能针对重要的风险而建立的一张工作表。
该表包含了下列信息:明确企业的经营目标,审计人员对被审计事项的初步了解,根据初步了解的情况识别风险因素,衡量风险的重要程度,采取适当的控制措施,审计人员的评价和结论。
内部审计人员通常在测试的最后阶段来做这个矩阵,其优点是清楚地反映出对每一目标的测试和评价,有助于关注重要风险。
4 评价的报告。评价报告分为两大类,一类是专项评价报告,一类是总体评价报告。
在对每一个业务模块评价结束时,内部审计部门出具专项评价报告。报告呈送至改业务模块涉及部门和风险管理部门,并在审计部门留底备案。
关键词:商业银行 操作风险管理 分行层面 体系建设
中图分类号:F830文献文识码:A文章编号:1006-1770(2011)02-045-03
在“总行―分行―支行”的层级体制下,从总行层面看,操作风险管理项目建设是巴塞尔新资本协议达标的需要。对分行层面而言,操作风险管理体系建设有重要的现实意义。
一、商业银行操作风险管理体系比较分析
目前,国内外多家商业银行已开展或陆续开展操作风险管理体系建设,本文选取两家有代表性的“总行―分行―支行”层级体制的商业银行,介绍其体系构建情况,并做简要评价。其中,A银行(某大型中资商业银行)在组织架构搭建上比较完善,B银行(某外资商业银行)在流程管理、数据分析、损失数据收集方面比较完善。
(一)A银行操作风险管理体系构建
⒈建立不同层级的风险管理委员会,构建集中的风险决策框架
分行成立操作风险管理委员会,负责分行层面操作风险管理工作的组织、制度监视和流程安排等事项。每年召开4次操作风险管理委员会会议,制定分行操作风险管理规划,审议操作风险制度、报告、重大风险事项,并对上年度操作风险管理执行情况进行总结。支行风险管理委员会对支行操作风险进行确认、评价并管理操作风险,每年2次形成全面风险评估报告,报告内容应涵盖操作风险管理状况及评价,包括操作风险指标监测情况、法律风险等。
⒉设立操作风险管理的牵头部门
内控合规部牵头分行操作风险管理,负责对分行操作风险管理的统筹、组织、协调和督导工作;建立分行的操作风险管理体系,对操作风险进行全面、综合管理;组织推动本行各业务部门识别、评估与监测本专业领域的操作风险;建立操作风险监测机制,负责操作风险监测指标的统计、分析与报告;定期形成操作风险管理评估报告,并向上级内控合规部和分行操作风险管理委员会报告。分行法律部主要牵头负责法律风险管理工作。分行风险管理部主要负责牵头操作风险资本计量高级法、推进工作,配合总行做好操作风险管理系统建设工作,主要包括:AMA合规模型原型、内部损失数据收集系统、外部损失数据导入系统、情景分析、风险与控制自我评估、关键风险指标等功能模块。此外,风险管理部还负责对支行操作风险情况进行定量考核。
⒊实际的操作风险管理仍在业务部门
分行业务主管部门主要负责本部门操作风险管理工作,保持相关制度、流程、程序和控制的适度性和有效性;根据全行统一的操作风险管理架构,制定、管理、检查和修订相关的操作风险管理目标、程序、内容及办法;分析、识别、评估、监测、控制/缓释以及报告相关业务的操作风险。
⒋强调业务保障部门在操作风险管理中的重要作用
分行支持保障部门主要负责协助业务管理,并负责某些特定部分的风险政策制定和风险监督;为操作风险管理的有效运作提供人力资源、技术、法律、智力培训、综合信息等多方面的支持和保障;承担本部门相关操作风险的分析、识别、评估、监测、报告和控制/缓释。
⒌内审部门对操作风险管理有效性进行检查
内审部门负责独立监督操作风险管理架构,检查操作风险制度和程序是否有效实施;开展内部审计,检查各项操作风险管理的制度、政策、流程和程序是否有效实施,并出具独立审计报告。此外,A银行在分行层面大力推动内控评价建设,对支行内控执行情况进行分级,内控管理较好的支行被评为“一级行”;内控合规部建立“违规积分”制度,凡内控违规超过一定分值的行员,会被解除合同,以此加强内控管理。
A银行的操作风险管理体系建设有如下特点:
一是操作风险管理开展较早,由内控合规部牵头,形成了比较成熟的操作风险管理体系,管理目标明确,组织架构较完善并有相应配套的政策制度、管理流程、报告路径、管理方法、职责分工等。近两年开展系统建设工作,重视操作风险计量,并逐步将定性管理和定量分析相结合。
二是内审部门相对独立,能对操作风险整体执行情况进行检查。A银行在支行层面建立内控评价制度,以评价考核来进一步规范操作风险管理。
三是根据巴塞尔新资本协议中的操作风险定义,A银行还将法律风险纳入操作风险范畴。
四是A银行操作风险管理体系建设取得较好效果,与其全面风险管理体系建设较完善以及重视内控合规管理密不可分。
(二)B银行操作风险管理体系构架
⒈组织架构搭建
相比A银行,B银行操作风险管理组织架构相对简单。对于分行层面,划分为“业务部门-业务条线部门-风险管理部门-内审部门”,风险管理部牵头操作风险管理并对全行操作风险情况进行评估,业务条线部门负责本条线的操作风险管理,内审部门负责根据风险部门报送的情况有针对性地开展检查,并根据检查结果提出整改意见。
⒉操作风险管理流程
B银行按照业务板块对其操作风险进行识别、评估、监测、控制与缓释,并通过风险与控制自评估(RCSA)问卷加以实现。如对风险管理中的资产分类业务,首先识别出该类业务的风险点,资产五级分类存在不准确的可能;其次,找出产生该类风险的原因,然后将风险进行量化;第三,对目前该类风险的内部控制措施进行评价,确定其是否正常运行以及设计是否合理;第四,根据业务本身存在的风险以及采取的控制措施,评估剩余风险大小;最后,根据存在的问题提出内控改进建议,如改进制度、加强人员安排等。
报告路径上,业务部门负责填写本部门的RCSA问卷后,报业务条线部门,后者可通过RCSA问卷填报情况、开展检查进行操作风险管理,再将本条线操作风险管理情况报告风险管理部。风险管理部汇总后形成有针对性的报告,报送内审部门。内审部门根据风险部报送的情况有针对性地开展检查,并根据检查结果提出整改意见。年末,风险管理部根据业务条线的RCSA、自查情况以及内审部门的检查及整改情况,形成全行操作风险管理评价。
⒊损失数据收集
B银行对操作风险采用AMA法计量,一方面积累内部数据,一方面购买外部数据,增加数据量。损失数据具体的应用范围有:
⑴为AMA法提供计量的数据基础。找出内部、外部损失数据的分布函数,并根据分布函数特征模拟出n组数据(蒙特卡罗模拟),计算模拟数据在某一置信水平(如99%的置信区间)的损失情况。
⑵情景分析依据。情景分析中的损失频率和严重度均参考历史损失数据得到。对于零售银行的内部欺诈事件进行情景分析,可根据历史数据的损失金额以及发生的频率来设定情景分析的指标。
⑶风险指标边界值的依据。对于设定的风险指标,可以根据历史数据观察指标值的分布情况,确定当指标值处于哪个区域时风险较低、当指标值处于哪个区域时风险较高,并确定应采取的措施加强管控。
B银行的操作风险管理体系建设有如下特点:
一是B银行直接采用AMA法。该方法对损失数据积累程度要求较高,因此,B银行更加注重损失数据的收集工作,研究制定了损失数据的收集办法,并充分利用外部数据积累损失数据量。
二是B银行比较注重损失数据运用。对于RCSA、RI等工具的损失频率和严重度设定,均以历史损失数据为参照值,使得上述指标的设定更接近真实情况。
三是B银行更加注重内控和操作风险管理相结合。该行设计的RCSA模板简单易懂,基本上体现了风险识别、评估、监测、控制/缓释的过程,其中的控制项完全为内控执行情况,通过操作风险暴露值反映内控管理情况,把主观的管理变成可以量化的数值。
四是B银行充分强调内审在操作风险管理中的重要作用。以检查为手段对风险与控制自评估的有效性进行约束,业务条线部门负责具体的操作风险管理工作,风险管理部负责牵头和汇总,并对银行操作风险情况进行评估。
五是B银行的不足之处在于操作风险管理系统尚不健全,未能实现风险与控制自评估的电子化,增加了汇总、分析人员的工作量。
二、对分行操作风险管理体系建设的设想
(一)健全的操作风险管理框架
1.明确的组织架构和职责分工。在分支行层面设立不同层级的风险管理委员会,负责根据总行要求制定分行风险管理目标、政策并审议风险评估报告以及重大风险事项等内容,实现分行全面、集中、垂直的风险管理框架。2.明确的政策制度作为支撑。内容包括操作风险管理的目标、风险偏好、组织架构和职责分工、流程管理、报告路径及内容、系统建设、文化建设等。3.通过操作风险管理系统实现风险识别、评估、监测、控制/缓释、报告等流程管理。通过在系统中建立风险与控制自评估模块进行操作风险的识别和评估,关键风险指标模块对风险进行监测,积累损失数据用于操作风险计量和情景分析,通过问题与行动计划模块对操作风险进行控制和缓释,通过建立报告机制使管理层能及时掌握银行操作风险状况以及重大风险事件。4.加强操作风险管理文化建设。通过网络学习、培训、例会学习、案例分析、定期编发操作风险管理简报等形式构建操作风险管理文化。
(二)与内控管理相结合,实现操作风险流程管理全覆盖
操作风险管理体系建设近年来方开始推行,相比银行内控管理尚不成熟。建议分行操作风险管理应与内控管理相结合,充分发挥内控管理在银行中的基础性作用,降低成本,增强操作风险管理效果。⒈建立风险与控制自评估模板,对内控执行情况进行评价,并覆盖分行全部业务。⒉分行业务管理部门负责本部门或本条线业务的操作风险管理,通过分、支行对业务本身内控评价,或对分、支行内控执行情况进行检查,在此基础上确定内控效果,进而测算业务存在的操作风险,并将结果报送风险管理部汇总。风险管理部将其作为操作风险评估报告的一部分,对分行整体操作风险进行评价,也可作为内审部门检查的基础资料。
(三)加强内部审计部门对操作风险管理执行情况的独立评价
分行应加强内审部门的检查职能,不能仅仅增加检查量,而应增强检查的针对性。将分行业务管理部门对本部门或条线的操作风险情况所开展的定期或非定期检查作为操作风险管理的常规手段,在此基础上,充分发挥内审部门作为最终检查部门的作用,结合风险部定期提供的操作风险评估报告,对操作风险管理的执行情况、效果等进行检查,并提出改进建议,进一步提升分行操作风险管理水平。
(四)建立损失数据收集制度
损失数据收集是操作风险管理体系建设的一个重要组成部分。损失数据不仅能为操作风险高级计量法提供数据基础,还可用于情景分析、风险指标等多个管理工具中。目前分行损失数据积累较少,主要由于长期以来,分行没有明确的损失数据收集范围,即便在总行统一指导和监测下,损失数据收集仍有一定困难,漏报、瞒报现象时有发生。分行自身应加强对损失数据收集的调研工作,出台损失数据收集办法。在此基础上,充分利用损失数据进行操作风险分析,如观察其分布情况、集中度、发生频率、损失金额等,对重点业务、环节和支行加强管理。
(五)建立后评价机制
除检查手段外,分行还需建立内控的后评价机制,主要对象是经营单位或员工。可将经营单位分成几个级别,如内控管理情况较好的为“一级行”;分行设定内控评价指标,根据得分情况判断经营单位内控管理情况;此外,还可通过对员工建立“违规积分”的制度,判断其自身内控是否到位。通过推进分行内控管理,提升操作风险管理水平。
作者简介:
齐兰中央财经大学经济学院
一、内控建设起源
内部控制起源于西方,尤其是自1992年9月,美国反虚假财务报告委员会的发起组织委员会(COSO)了一份报告《内部控制:整合框架》,提出了内部控制的三项目标和五大要素,标志着美国的内部控制进入了一个新的发展阶段。
内部控制这一概念导入我国不过近10年的历史。2008年6月28日,财政部、证监委、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,了《企业内部控制基本规范》。2010年4月24日,五部委在北京正式《企业内部控制配套指引》,标志着我国的内部控制体系建设取得重大突破,进入了一个全新格局。
二、提升认知水平
从某种程度上来讲,内控真正引起国资管理部门和国企经营管理者的重视不过也就是近几年的事情。因此,很多企业对内控的认知水平并不高,认识往往仅局限在内部监督或内部控制制度等简单层面,并未了解这种模式的优点是增加了风险评估要素,可以利用已经发生的事情来进行分析,减少事后发生风险的可能性,使它成为一个既控制舞弊又控制风险的控制模式。例如,通过内控测试发现,下属企业与营业执照经营范围无“食品批发与销售”资质,食品流通许可证经营方式为“食品销售管理”,而非“批发”或“零售”的供应商有采购业务往来,我们可以判断出潜在的风险,若出现食品质量安全问题,可能使企业遭受经济损失、信誉损失,引发企业的经营风险及法律风险。由此可见,企业内部控制的目标之一是要将从控制事后风险逐渐向控制事前风险过渡和转化。通过控制风险,企业内部控制将会同步发现自身问题和机遇,有利于企业持续、健康发展。
因此,董事会、监事会、管理层及全体员工对内控的认知程度,直接影响了内控的建设和实施,企业的内控建设首先要扫清的障碍是对内控认知的混乱,提高全社会、各企业对内控建设的正确认知乃重中之重。
三、浅淡内控规范实施
根据“五部委”要求,内控评估实施时间自2012年1月1日起在上海证券交易所、深证证券交易所主板上市公司施行。为有序、适时、稳妥、有效落实该项工作,拟作分步推进。
步骤一、制定年度内控实施工作方案及具体行动计划
企业年度内部控制规划实施工作方案要求涵盖公司基本情况、内部控制工作的组织领导、内部控制建设工作计划、内部控制自我评价工作计划及内部控制审计工作计划。
公司基本情况应包括公司简称、股票代码、上市情况、组织架构、公司性质、资产规模、经营范围、控股子公司情况、参股公司情况等。
内部控制工作的组织领导应明确①公司设立内部控制推进工作小组、内控规范实施工作负责人、牵头部门及内部控制推进工作小组成员、组长、副组长等。②聘请外部咨询机构为公司在内控规范实施工作中提供相关专业支持。③内部控制规范实施工作预算费用。
内部控制建设工作计划应首先制定内控缺陷整改方案,根据已查找出的内控缺陷,完成内控缺陷整改方案。其次落实内控缺陷整改工作,各责任部门根据内控缺陷整改方案完成整改工作;计划财务部、董秘室、审计室等检查整改效果。再次确定内控实施工作情况披露,董事会将按照上市公司信息披露要求,在定期报告中及时披露内控实施工作情况。
内部控制自我评价工作计划应包括①拟定自我评价工作计划,明确纳入评价范围的子公司和业务流程,确定评价工作的时间表、人员分工等;②确定内控缺陷评价标准,根据《企业内部控制评价指引》对一般缺陷、重要缺陷和重大缺陷的定义确定评价标准,评价标准将包括定性标准和定量标准;③组织实施评价提出整改建议,根据经批准的内控自我评价计划,组织实施内控自我评价工作,提出整改建议;④编制并披露内控自我评价报告,根据缺陷评价汇总表和责任部门及所属企业整改情况,编制内部控制自我评价报告,报经董事会批准,审议通过后按照监管要求对外披露。
内部控制审计工作计划应确定内控外部审计机构,对以某年某月某日为基准日的财务报告内部控制设计与运行有效性发表审计意见,出具内部控制审计报告。
具体行动计划分解到月,列明每月内控工作推进的内容、责任人、工作目标及需要协调资源等。
步骤二、明确内控工作组织领导和工作小组
首席执行官为内控规范实施工作负责人,并由审计室牵头与纪检监察室、董秘室、办公室、计划财务部、投资发展部、人力资源部等相关人员组成内部控制推进工作小组;下属各企业的董事长或总经理为本企业内部控制第一责任人。
步骤三、搭建培训师队伍,开展《企业内控手册》专题培训
抽调总部各职能部门专业人员担任培训师,结合实际,就《企业内控手册》涉及各专业板块的风险描述、风险控制对下属企业进行专题培训,并有合格会计师事务所内控专家对关键风控点作点评。
步骤四、启动内控宣贯动员大会
首席执行官作内控宣贯总动员,学院内控教授或行业内控专家配合总动员作《企业内控与风险管理》专题报告,以生动、形象、深刻的案例说明内控工作的重要性。出席对象总部各职能部门负责人、企业总经理、财务总监、审计主任等部门负责人。
步骤五、各类测试模版的编制
组织相关人员着手编制《内控规范自我评价调查问卷》、各主流程内控独立测评测试程序及《内控测试工作底稿》模版等。关键内控活动测试工作表应包括被测试单位名称、测试业务流程、子流程、控制责任人、控制活动编号、控制活动描述、控制类型、控制频率、样本量、测试程序、测试记录、测试结果等具体内容。
步骤六、下达《关于开展企业内部控制规范自测自评的通知》
《通知》中应明确自测自评范围、自测期间、自测方式、自测跟踪、测试评估等相关要求。
自测自评范围,某公司所有附属公司,包括各分公司、子公司和总部各部室。
自测期间,总体以某年工作轨迹作为自测自评重点。总部职能部门及所属相关企业以某年第一季度作为自测自评重点;自测跟踪扩展到某月份;测试评估扩展到评估日。
自测方式,总部职能部门及所属相关企业依据总部下发的《内部控制规范自我评价调查问卷》所涉及公司层面、财务报表编制与披露、长期股权投资管理、人力资源管理、固定资产管理、无形资产管理、合同档案管理等某个主流程,某个子流程的相关内容,逐项逐条认真对标。
对标使用文件:总部各职能部门对标使用附件二①,某板块对标使用附件二②,其他企业对标使用附件二③。
各相关企业及部门应将对标情况,如控制描述是否有变化、控制设计是否有效、控制执行是否有效等如实、完整记录在问卷中,并妥善保存对标的相关资料,以备核查。同时,根据对标记录反映的结果,形成本企业、本部门的自测自评报告。
自测跟踪,企业完成对标工作后,总部各职能部门应组织力量对各企业对口部门进行后续跟踪,并应就跟踪发现的未达标情况,提请企业限时整改。同时,将跟踪情况形成汇总报告,提交总部内控工作推进小组。
测试评估,总部内控工作推进小组将派内控规范测试小组,对纳入评价范围分子公司,按照确定的关键业务流程及其控制活动的测试程序进行测试。
步骤七、构建两支队伍,做好测试跟踪及测试评估
一支队伍,由总部各职能部门专业人士组成,落实《通知》要求的自测跟踪;另一支队伍,由总部内审与外部专业人士共同组成测试小组,落实《通知》要求的测试评估。
步骤八、进行现场测试
通过现场访谈,了解被测试企业所涉及的关键业务主流程内控设计和执行有效性;并对相关子流程所对应的控制活动实施实地测试、穿行测试、抽样测试等。
步骤九、编制、复核测试工作底稿,出具内控测试报告
测试小组编制、复核被测试企业测试工作底稿,并与被测试企业就测试情况进行沟通,交换意见,形成测试结果和整改建议汇总表,出具被测试企业内控测试报告。内控测试报告内容涵盖项目立项依据、被测试企业、测试期间、测试流程、测试方法、测试结果及测试发现的问题、存在风险及整改建议等。
步骤十、下达整改任务书
对被测试企业下达整改任务书。
步骤十一、内控测试结果运用
一、上市公司内部控制自我评估必要性
上市公司内部控制自我评估必要性,具体如下:
(一)内部控制自我评估的概念 内部控制自我评估就是指公司管理当局以监控公司内部控制执行情况、评估部门业绩及个人表现、改进内部控制及管理缺陷为目的,按照一定的内控评估标准进行的内部测评、缺陷整改以及最终出具内部控制自我评估报告的系统、连续的过程。
(二)内部控制自我评估的必要性 第一,外部信息使用者为了做出有效的重要决策,对公司内部控制情况了解的需要促使了管理层对内控自评工作的重视。此外,这也同时考核了公司部门的业绩和员工的表现,具有监督和威慑作用,从而减少错误和舞弊的发生。第二,从理论上讲,内控信息的披露与财务报告质量在一定程度上存在关联。陈关亭、杨芳在实施了专项问卷调查后,认同内部控制评估报告对于提高财务报告可靠性的作用。健全、完善、有效的内部控制可以消除财务报告信息失真的产生,对加工整理过程起到监督作用,从根本上保证财务报告的质量;可以约束会计人员遵守相关财务法规,减少会计造假;可以制约管理层粉饰财务报告的行为,易于查出内部控制存在的缺陷并加以改进,一定程度上减少了财务报告舞弊的可能性。
二、2009年石油行业上市公司内部控制披露现状
因意识到内控自评的必要性及重要性,国务院及财政部等五部委依据《基本规范》制订了较为细致的《企业内部控制评价指引》(以下简称《内控评价指引》),并以此规范企业内控自评工作,逐步要求上市公司对内部控制制度的有效性进行自我评价,披露年度自我评估报告,并聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。以2009年石油行业所有上市公司(共13家)披露的《内控自评报告》作为样本,根据《内控评价指引》中对于内控评价内容的要求,按《基本规范》内控框架五要素对披露的内容进行了归纳,制成表1。
这13家上市公司按照《基本规范》及《内控评价指引》适当地披露了自家公司的信息,但是披露的信息有所侧重,反映出了以下两个问题:
(一)内控信息披露效用不大 纵观13家上市公司《内控自评报告》均有同样体会――披露的形式很规范、全面,但批露的内容仍只是表面性文章。13家传达的信息都是内部控制完善、有效等信号,每一项均是简单几句话,每一家只挑选其中一两方面进行披露,且均是对自身有利的内容,较具形式化。从样本分析来看,尽管有61.54%的8家上市公司披露了内部控制中存在的问题,但对于不利消息只是一笔带过、含糊其辞,而提出的整改意见也只是在XX方面需“加强”、“完善”,反映出上市公司披露的不足与缺失。而对于信息使用者来说,并没有从中获得多少有价值的信息。
(二)内控信息披露评价标准缺乏 尽管本文对上市公司内部控制自我评估现状是按照《基本规范》五要素抽丝剥茧归纳总结的,但缺乏对内部控制自我评估的统一规范,虽然国家据此于今年4月出台了《内控评价指引》,但由于尚未实施,所以披露的内容侧重不一,并不全面。其中有4家公司是按照《内控指引》的要求进行披露的,他们从内控制度建立健全情况、内控监督设置情况、董事会对内控工作安排、财务核算内控制度完善、内控存在缺陷及整改方面进行了陈述,但是明显内容太过简略,基本以肯定为主。
三、内部控制披露不足成因分析
信息的供需关系直接影响着厂商与消费者决策的制定。因此《内控自评报告》必须将影响厂商提供信息的动力和成本与信息的使用者结合起来加以考虑分析,这样才能准确、客观做出判断。
(一)公司提供内控信息的意愿 第一,披露动力对内控信息披露的影响。上市公司之所以不愿意对内控信息的真实情况进行全面披露,归根结底主要还是因为公司自身的经营状况、获利能力存在问题。在信息不对称的市场中,好公司非常愿意将自己的优势信息(内部控制完善、有效等)向信息使用者提供,从而获得更多投资者的信赖,占据更多的资源优势;而经营状况较差的公司则不愿向投资者披露他们公司在内部控制方面存在的缺陷和问题,以防止资源的流失。所以可见,披露内控信息的动力取决于上市公司经营情况的好坏,却又决定了内控信息的披露质量。第二,披露成本对内控信息披露的影响。披露成本同样也直接影响着上市公司对内控信息的披露。若上市公司披露内控信息所花费的人力、物力等成本不仅能在后期能得到补偿,而且披露还会给公司带来更多的经济利益,那么,公司肯定愿意进行披露;但若公司披露内控信息所花费的成本预期得不到补偿,那么即使国家要求,公司也不会愿意披露。
(二)内控信息使用者的需求 国家之所以要求企业在年报中披露《内控自评报告》,是为了让更多的信息使用者了解掌握更为准确的信息来进行判断决策。内控信息使用者主要包括投资者、债权人以及相关政府部门。这三者对内控信息的需求目的不同,从而对上市公司所披露信息的关注面不同。投资者希望通过获取内控信息帮助自己做出正确的投资决策、增加经济利益;债权人利用内控信息了解自己出借的资金营运管理情况,以判断能否按期收回债权,并适时做出后期的信贷决策;政府部门获取信息则为考察判断上市公司的经营行为有没有违规,政策法规是不是被公司认真的贯彻执行,进而在此基础上制定下一步的宏观经济政策。
四、上市公司加强内部控制自我评估的措施
通过对内控信息披露原因的分析可以看到,我国上市公司内控自评信息披露不足的原因除了上市公司存在披露动力不足、披露成本制约外,还受到外部信息使用者需求的影响。所以笔者将从这两个方面进行完善,一方面提出规范的《内控自评报告》的主体内容框架,另一方面提高我国上市公司披露内控信息的意愿。
(一)《内控自评报告》主体内容框架 在关注《内控自评报告》的时候,不能仅仅关注报告的结果,而应该是注重管理层对于内部控制信息的描述。因此,《内控自评报告》主体框架应包括以下内容:第一,内控五要素的评估。一是控制环境。对控制环境的评估应考虑以下因素:公司的治理结构与企业文化;董事会、管理层的经营风格和经营理念;审计委员会与董事会;组织结构与权责分派体系;人员的品行与素质;人力资源政策与实务;管理控制方法、外部环境。二是风险评估。对风险的评估应考虑以下因素:目标的设立与达成;风险识别与分析;改变的管理与应对机制。三是控制活动。对控制活动的评估应考虑以下因素:授权及目标;职责划分;业务流程与操作规程;业务记录(资产和会计记录);规章制度;独立检查规章制度;控制标准;重点控制(对控股子公司的管理控制、对关联交易、对外担保、募集资金使用、重大投、融资的内部控制、重要财务决策、信息披露的内部控制是否恰当)。四是信息沟通。对信息沟通的评估可以考虑以下因素:信息披露系统;对内对外的沟通汇报渠道。五是内部监督。对内部监督的评估应考虑以下因素:内部审计(持续监督程序、独立的审计监察组、内部控制评价小组和外部审计人员的建议);自我控制(自我评价测试、评价的频率和范围、综合检查)。第二,公司内部控制情况的整体评估意见。对整体的评估意见可以考虑以下因素:监事会、董事会审计委员会、独立董事独立的评价意见,包含了对生产经营全过程控制、公司职能划分控制、人员间分工和牵制、控制点设置、建立和执行内部控制所花费的成本和由此带来的经济效益之间的比例、各项具体的控制制度等方面的评价。第三,公司内部控制存在的问题及改进措施:内部控制缺陷汇总和报告的机制;发现问题的改善或更正措施。
(二)采取强有力的内控信息披露保障措施 第一,建立评价、监管机构,鼓励企业全面准确披露内控信息。虽然国务院及财政部等五部委出台了《内控评价指引》,相关行业中的企业日渐认识到内部控制的重要性,聘请了会计师事务所进行审核,但是内容也归于形式化,信息质量的准确性、全面性不高,作用不大。所以,笔者认为应建立行业评价协会,可从行业代表性大中小企业中选取代表组成评价协会,对行业中的企业《内控自评报告》进行抽样检查,并予以诚信星级评价,从而提供信息使用者准确的评价信息。对于诚信的企业,应树立其标杆地位,鼓励行业中其他企业效仿学习;对于不诚信的企业,应予以通报,追究当事企业的法律责任。或者建立类似会计师事务所这样的第三方独立监察机构,对于监察出来的信息出具评价意见。同时,为了避免管理层面临不该有的诉讼风险和其它问题,有关部门应对自愿性信息披露行为加以保护。当然,自愿性信息作为企业财务报告的组成部分,一旦对外披露,必须与强制性披露的信息一样,接受必要的监管和约束,对于恶意披露误导投资者的企业应当加以处罚。第二,建立企业内控信息的披露质量保障机制。企业内控信息的披露质量保障机制由企业参与内控评估的相关部门和各层人员组成的,它是一个系统,也是一种机制。因此,要寻求企业可披露的内控信息与使用者要求披露信息的均衡点,使信息的供求平衡符合成本效益原则;要提高企业内控评估人员的业务能力,使信息由企业中经验丰富并有较高职业判断能力的人员持适度谨慎的态度编制完成;要规范内控信息的表述和披露,以便使用者理解,同时应注意揭示内控信息的性质、不确定性和风险,防止使用者盲目依赖,以减少和避免法律诉讼。
上市公司内部控制自我评估的建立和健全是一个长期的工作,通过对2009年我国石油行业上市公司《内控自评报告》的分析研究,不难发现目前我国上市公司内控自评工作还处于起步阶段,很多内容还不够完善,因此笔者根据新出台的《基本规范》及《内控评价指引》设计出较为规范全面的《内控自评报告》内容框架,希望能为内控自评的具体实施提供一个新的视角和参考依据。
参考文献: