目前,业内对于担保业务内部控制设计的概念还没有统一的定义。中天恒3C框架认为,担保业务内部控制设计是在遵循国家和企业担保业务相关法规制度的基础上,以国家监管部门制定的内部控制规范及其应用指引为依据,结合企业担保业务发展的实际情况,用系统控制的技术和方法,构建企业自身担保业务内部控制体系的动态过程。担保业务内部控制设计是担保业务内部控制建设的首要环节。
设计范围及基本流程
《企业内部控制应用指引第12号———担保业务》(以下简称《担保业务应用指引》)第二条规定:“本指引所称担保,是指企业作为担保人按照公平、自愿、互利的原则与债权人约定,当债务人不履行债务时,依照法律规定和合同协议承担相应法律责任的行为”。
担保业务内部控制设计是对担保业务实施有效内部控制的首要步骤,是担保业务内部控制实施、评价和审计的基础,其基本流程包括设计准备、设计实施、试行及完善等。中天恒认为,描述现状、风险评估、设计控制是担保业务内部控制设计的三个关键方面。不过,根据设计操作需要,在基本流程的基础上,还要有多层次具体的流程,每个具体流程中需明确工作内容、方法、步骤以及相应的表单等,要突出担保业务内部控制设计的特色。
担保业务内部控制设计,需要企业根据《企业内部控制基本规范》及配套指引等法规的要求,结合担保业务的实际需要,建立和完善各项管理制度,全面梳理各个环节可能存在的风险点,规范调查评估与审批、执行与监控等环节的工作流程,明确相关部门和岗位的职责权限,引导企业加强对担保业务的内部控制,规范担保行为,防范担保风险。
描述现状
描述现状,就是梳理担保业务相关的内部管理制度或相关文件,梳理担保业务现有业务流程,编制业务内部管理制度或相关文件情况表,编制担保业务流程目录,绘制业务流程图等担保业务内部控制设计的基础性工作。
1、梳理描述制度文件。梳理描述制度文件,应重点关注有无担保业务方面的相关制度以及是否完善和充分执行;有无具体可控的操作文件或表单等。
2、梳理描述业务流程。企业担保业务流程的内容因企业而不同。《担保业务应用指引》将担保业务流程界定为调查评估与审批、执行与监控等活动。我国企业在担保业务内控设计时,应将业务范畴统一到《担保业务应用指引》的要求上来。当然,企业担保业务复杂多样,其管理制度、业务流程也千差万别,因此,本阶段在具体业务流程的设计上一定要体现不同企业的自身特点,不能简单照抄照搬。企业担保业务的业务流程应包括以下基本控制环节:
(1)担保申请。担保申请人提出担保申请。
(2)调查评估。担保人对担保项目和被担保人资信状况进行调查,对担保业务进行风险评估。
(3)授权审批。担保人根据调查评估结果,结合本企业担保政策和授权审批制度,对担保业务进行审批,重大担保业务应提交董事会或类似权力机构批准。
(4)签订合同。担保人依据既定权限和程序,与被担保人签订担保合同。
(5)日常监控。担保人切实加强担保合同日常管理,对被担保人经营情况、财务状况以及担保项目执行情况等进行跟踪监控。
3、确定业务流程目录。在梳理担保业务管理制度和业务流程现状的基础上,根据内部控制设计的要求,编制担保业务流程目录,绘制担保业务流程图。
本阶段设计工作成果是,形成《担保业务内部管理制度或相关文件情况表》、《担保业务流程目录》、《担保业务业务流程图》。
风险评估
担保业务的风险,是指担保业务在可行性研究、实施等各个阶段可能遇到的风险。担保业务风险评估的基本程序为:识别担保业务风险,并进行具体描述;分析担保业务风险,编制担保业务风险分析表;评价担保业务风险,编制担保业务风险评价表;确定担保业务风险应对策略;提出担保业务重大风险解决方案。在实践中,担保业务风险分析及其评价是合在一起进行的,担保业务重大风险解决方案的制定要看企业是否需要,也可以在担保业务内部控制设计完成后单独进行。
1、识别并描述风险。评估担保业务风险,先要识别出担保业务的具体风险,再整理出整体层面的风险。企业担保业务具体风险是多种多样的,也因企业而异。
按照《担保业务应用指引》要求,在评估担保业务风险时,至少应关注下列风险:对担保申请人的资信状况调查不深、审批不严或越权审批,可能导致企业担保决策失误或遭受欺诈;对被担保人出现财务困难或经营陷入困境等状况监控不力、应对措施不当,可能导致企业承担相应法律责任;担保过程中存在舞弊行为,可能导致经办审批等相关人员涉案或导致企业利益受损。
2、分析风险。担保业务风险分析涉及的内容很多,一般应从成因和结果两个方面进行,要编制担保业务风险分析表。
3、评价风险。担保业务风险评价应从可能性和影响程度两方面进行,根据评价结果进行风险排序和等级划分,并编制担保业务风险评价表。识别出担保业务风险后,就要对风险进行评估,即,考查风险发生的机率,衡量风险可能造成的损失程度,明确企业容忍的最大损失,即承受能力。
4、选择风险应对策略。担保业务风险应对是根据风险评价结果,针对不同风险等级选择不同担保业务风险应对策略的过程。
5、编制风险数据库或绘制风险图谱。依担保业务风险评估结果编制业务层面风险数据库或绘制风险图谱。担保业务层面数据库的基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等,并可加上内部控制设计完成后的控制措施、控制部门或岗位等。风险图谱一般适用于公司层面的风险描述。
本阶段工作成果是,形成《担保业务风险及其描述表》、《担保业务整体层面风险清单》、《担保业务风险分析表》、《担保业务风险评价表》、《担保业务风险应对策略表》、《担保业务风险解决方案》等。