第一部分 内部控制的定义与目标
一、内部控制的定义-----------------------------------------------P4
二、内部控制目标-------------------------------------------------P4
第二部分 银行内部控制应包含的基本要素和内容
一、内部控制的基本要素-------------------------------------------P5
(一)控制环境。-------------------------------------------------P5
(二)控制活动。-------------------------------------------------P5
(三)风险评估。-------------------------------------------------P5
(四)信息与交流。-----------------------------------------------P5
(五)监督与纠正。-----------------------------------------------P6
二、内部控制的内容
(一)明确的经营方针。-------------------------------------------P6
(二)完善的岗位责任制度和规范的岗位管理措施。-------------------P6
(三)合理的授权分责。-------------------------------------------P6
(四)部门岗位职责的恰当分离。-----------------------------------P6
(五)商业银行要建立严格的、明确的决策程序和办事程序。 ----------P6
(六)有效的内部核查制度。 --------------------------------------P7
(七)完整的信息^^文档保全系统。 ----------------------------------P7
(八)有效的预警预报系统。 --------------------------------------P7
(九)有效的应急应变措施。 --------------------------------------P7
(十)有效、严格、具有权威性内部审计制度。-----------------------P7
第三部分 我国商业银行内部控制的现状
一、我国银行内部控制的建设成就----------------------------------P8
(一)强化了授权管理。 ------------------------------------------P8
(二)实行了审贷分离。 ------------------------------------------P8
(三)加强了资产负债管理。 --------------------------------------P8
(四)强化了资金的统一调度。-------------------------------------P8
(五)注重了内部审计部门作用的发挥。-----------------------------P8
二、当前银行内部控制的薄弱环节和存在的主要问题
(一)对内部控制的认识和理解上存在偏差。 ------------------------P8
(二)制度不够完善和健全。 --------------------------------------P8
(三)缺乏明确的经营方针。 --------------------------------------P8
(四)内部管理机制不完善,缺乏必要的办事程序。-------------------P8
(五)内部组织机构不尽科学。 ------------------------------------P9
(六)风险防范意识薄弱。 ----------------------------------------P9
(七)法人管理不健全,自控不力。 --------------------------------P9
(八)监测监控机制不健全,预警、预报机制差。---------------------P9
(九)内部监督层次不高,权威不够。 ------------------------------P9
内 容 摘 要
作为风险防范的重要途径和手段,现如今,商业银行越来越加重视内部控制工作,尤其是国际上一些知名银行因内机制不健全而发生的倒闭事件,给银行业的发展敲响了警钟。为了强化内控工作,在2002年9月,中国人民银行发布了《商业银行内部控制指引》,比较系统地对商业银行内部控制提出了原则要求,指引的发布,可以说是我国商业银行内部控制的一座里程碑。作为管理活动之一,内部控制有其自身规律可循,了解基本要素,明确控制内容是其关键所在。同时,要结合我国商业银行管理实际,对当前银行业在内部控制中存在的薄弱环节和问题有所认识和了解,防止由于内控缺位而导致风险隐患的发生……
商业银行内控问题研究
第一部分 内部控制的定义与目标
商业银行是以赢利为目的的特殊企业。商业银行特殊的经营对象和性质,决定了商业银行在利润目标下,必须保证资金的安全性、流动性,最大限度地减少经营风险。商业银行的风险防范在其内部管理方面核心的要求就是要加强内部控制,内控系统不健全甚至失灵所带来的破坏和冲击有时可以是毁灭性的。近年来国际金融界一系列银行事件的发生,特别是英国巴林银行的倒闭和日本大和银行因违章经营而不得不将业务从某一地区撤出,都是由于内部控制失效和失灵而引发的典型事件。这些事件暴露后,国际金融界开始对金融机构的内部控制机制运行状况进行重新审视。在科技高度发展与金融自由化程度不断加快的形势下,特别是由于衍生金融工具及市场与金融“表外”业务的急剧发展,国际金融市场上的金融投资组合的调整与资金的全球性调度已是瞬息万变,传统的资产负债表已很难反映出商业银行在某一时期风险的真实情况。特别是当商业银行的经理人员极力想掩盖其内部风险状况或对其内部风险毫无所知的情况下,外部的金融监管人员要发现这些风险非常困难。因此,商业银行加强其内部控制实际上已处于商业银行风险防范体系中最重要的地位。
我国金融界对金融机构内部控制的研究和认识,由于受体制和经济环境的影响,长期以来一直没有引起足够的重视,缺乏规范的定义和内涵标准。由于缺乏完善的内控机制而导致的违规违纪问题大量出现,金融案件频繁发生,金融风险在局部时有显现。我国金融机构内部控制薄弱的问题也开始引起国内金融界乃至国家领导部门的高度重视,有关管理部门及各金融机构普遍开始在理论上对内部控制做进一步的探讨,并在实践中提出来了明确的要求、采取了一些步骤。
一、内部控制的定义
内部控制属于管理范畴。国际上一些从事管理理论研究的专家把内部控制作为现代管理的重要职能之一。对于金融机构的内部控制,世界各国没有统一的定义。就内部控制本身而言,国际内部审计师协会认为,内部控制是管理层在业务运营过程中为保证资金安全,检查会计数据是否真实、准确,是否遵守既定政策和预定目标所采取的方法和手段;英国银行界认为,内部控制是管理层为有序、有效地开展业务而建立起来的各种控制机制,用以确保管理政策的贯彻,保全资产或各种记录的完整和准确;新加坡银行界认为,内部控制是管理层为了把错误降到最低程度,并有效进行监控而建立的对业务经营活动的检查和相互制约机制。
从上述表述可以看出,由于各国的国情和管理制度不同,对内部控制的理解也各异。但总的来讲,金融机构作为经营货币资金的特殊行业,建立其自身的内部控制机制,必须围绕货币资金经营,维护金融资产完整,保持资金合理流动,确保金融机构稳健运行来进行。
《商业银行内部控制指引》把金融机构的内部控制定义为:金融机构内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。通过这一定义,我们可以总结出内部控制是商业银行的一种自律行为,是“自控”,不是“他控”。
二、内部控制目标
由于经营的特殊性,决定了银行是高风险行业,其风险有很多种类,如信用风险、政策性风险、市场风险、利率风险、道德风险、流动性风险和操作性风险等,商业银行建立一套完善的内部控制制度,并通过严密的制约机制来保证制度的贯彻和落实,就可以有效地防止决策上的失误或操作上差错,堵塞漏洞、消除隐患,从而达到防范风险的目的。从宏观上讲,商业银行内部控制的目标是确保商业银行自身发展战略和经营目标的实施,从微观来说,商业银行内部控制的主要目的是防范各种风险。如商业银行在日常经营及业务管理中,有可能由于业务差错、舞弊以及授权制度不完善、组织体制不健全、业务程序不合理等而引发事故或招致损失,这些构成了商业银行的内部操作或管理上的风险。而行之有效的内部控制,包括合理授权、及时复核、分工牵制、内部审计等措施就可以起到防范和控制此类风险的作用。
一般地,如果一家银行内部控制机制健全,应该能做到无需检查就能确保工作中无重大差错或严重违规事件发生。因为内部控制机制本身就是一种能自我测试、自我修正的循环式管理控制系统。它从建立起就试图达到保证银行稳健经营的目标,如果内部控制制度及程序存在缺陷,内控系统中的监督部门就会通过检查发现并及时改进。
第二部分 银行内部控制应包含的基本要素和内容
一、内部控制的基本要素
国际上的管理经济和管理方式的实践表明,内部控制包括控制环境、控制活动、风险评估、信息交流和监督等五个相关的要素。一个机构必须具备以上所有五个要素,才能有效发挥内部控制的作用。
(一)控制环境。内部控制要形成一种机制,其关键是人。一个机构成员各自的特点,包括人格、道德价值观、技能以及工作环境,都决定或影响着机构的发展前景。“以人为本”的管理思想核心是强调人是发展的动力,是一切事物的基础。无数的实践证明,金融机构内部形成的氛围和环境会影响控制活动、信息交流以及监督活动。
所以,一般内部控制搞得比较好的银行机构,从管理层到基层工作人员都推崇廉洁诚实、优质服务的风气。高层管理人员特别是“三会一层”在控制环境中起重要作用,高层管理人员不仅负责制定、执行和监督有关制度、要求,而且其本身的行为规范也决定着内部控制是否有效的运行。因此,从某种意义上来讲,内部控制对一个机构控制环境的要求,也就是对这个机构从上到下所有员工人格、品质以及以此为基础而形成的整个机构的工作风气的要求。
(二)控制活动。控制活动就是确保管理方针能够得以实施的一系列制度、程序和措施。它存在于整个机构内,并体现在各管理阶层及功能组织中。这些活动包括审批、授权、核实、会计控制、资产保全及责任分工等。
控制活动通常包括三个因素:一是说明应该设立什么方针,制定哪些规章制度;二是执行这些方针和规章制度的程序;三是对规章制度的贯彻落实情况、内控程序的遵从情况进行监督检查,发现问题或隐患及时向管理层反馈,并督促采取纠正措施。
(三)风险评估。确定、分析和防范风险是一个连续的过程,也是有效的内部控制中的重要组成部分。商业银行内部控制的最主要目的也在于此。商业银行建立内部控制机制,必须充分考虑各种风险,并将其纳入有效的内部控制当中,保证有充分的程序来进行风险评估。目前我国商业银行面临的主要风险有:资产风险、信用风险、流动性风险、利率和汇率风险、操作风险、决策风险、政策风险、法律风险、管理风险、自动化和系统故障风险等等,但概括来说,最需引起关注的是与会计、信贷、资金交易、计算机系统等有关的管理和操作性风险。
(四)信息与交流。商业银行内部信息系统包括反映经营管理状况、遵循法规或规章制度的情况、财务报表^^文档等内容的各种报告,也包括反映外部环境、提供决策支持的各种信息报告等;同时还必须包括交流。传递明确的信息及有效地传递信息是非常重要的。畅通的信息交流系统,不仅有利于管理层及时掌握经营管理情况或动态,而且也有助于银行的员工通过报告体系体现自己在内部控制系统中发挥的作用,清楚自己个人的活动和其他人员的工作关系。信息系统为管理层提供了一种手段,使其能真正地知晓或发现问题所在并及时有效地处理这些问题。
(五)监督与纠正。内部控制系统需要监督,它是一个不断评估系统质量的过程。它通常由管理自测和内部审计部门或外部审计机构进行审计检查来完成。审计部门一般在下列方面为商业银行提供监督服务:评估管理控制的效率和效果、评估资产和风险、针对检查出的问题向管理层提出改进意见。
二、内部控制的内容
对于商业银行来讲,内部控制应渗透于整个业务经营过程之中,商业银行内部各个业务部门都应有与业务内容相配套的内部控制措施。根据国内外金融机构内部控制的实践和经验,商业银行的内部控制应包括以下内容:
(一)明确的经营方针。这是商业银行经营活动的基础和指南,也是进一步制定发展目标的方向。商业银行应当按照合法、合规、稳健的要求制定明确的经营方针,各部门、各分支机构都应该围绕整体的经营方针来制定相应的工作目标,以保证实现整体的经营利益。一般来说,商业银行应当制定符合国家经济金融方针政策和法律规范的经营目标,建立“自主经营、自担风险、自负盈亏、自我约束”的经营机制,坚持资金营运“安全性、流动性、效益性”相统一的经营原则。
(二)完善的岗位责任制度和规范的岗位管理措施。这是商业银行微观运行的基础。商业银行的宏观经营目标要靠各个岗位人员的共同努力来实现,因此,商业银行应当推行内部工作的目标管理,制定规范的岗位责任制度、严格的操作程序和合理的工作标准;并按照不同的岗位,明确工作任务,赋予各岗位相应的责任和职权,建立相互配合、相互督促、相互制约的工作关系;同时对重要岗位实行定期轮换,以保证继任者对上一任的工作进行考察,发现缺陷和不足。
(三)合理的授权分责。商业银行的各项业务是由各级管理人员和在岗人员完成的,赋予各级人员合理的权限是完成任务的基础和保证。因此,商业银行应当按照各自经营活动的性质和功能,建立符合有关法律法规的内部“分级分口”管理和“授权有限”的管理制度,针对部门的工作性质、人员的岗位职责,赋予相应的工作任务和职责权限;各级管理和操作人员应在各自的岗位上,按照所授予的权限开展工作,并对各自职责范围的工作负责。
(四)部门岗位职责的恰当分离。这是内部控制独立性的具体体现。合理的职能分工和恰当的责任分离能够使各部门、各岗位人员各司其职,在各自的工作范围内完成相应的任务,同时一项任务不由一个部门或一个人员从头至尾地完成,而是相互配合、相互监督地完成,保证各个工作环节的完整和安全。因此,商业银行在业务营运过程中应当对部门之间、岗位之间实行责任分离制度。如实行对货币、有价证券的保管与财务处理相分离;重要空白凭证的保管与使用相分离;资金交易业务的授权审批与具体经办相分离;前台交易与后台结算相分离;贷款的受理发放与审查管理相分离;确认的损失与核销相分离;电子数据处理系统的技术人员与业务经办人员及会计人员相分离等。
(五)商业银行要建立严格的、明确的决策程序和办事程序。所有重要业务、重要事项和重大决策都必须严格按规定程序进行,并应保留可核实的记录,防止个人独断专行,超越或违反程序都应受到处罚。
(六)有效的内部核查制度。内部核查制度是指商业银行各部门、各岗位之间在业务运作过程中一种不间断的连续检查制度,即每一环节在完成自身业务的同时,也是对上一环节工作准确性的检查,它不同于独立的事后内部审计。坚持业务过程中的相互核查制度,可以减少工作差错,防弊堵漏,也是完善业务审批手续,执行授权授信的重要手段;在业务过程中对文件的检查,可以做到有据可查,责任明确;相互核查也是保证资产和交易安全完整的基础。因此,商业银行在各项业务活动中应当建立部门之间、岗位之间有效的相互核查制度,保证部门之间、岗位之间的相互监督。
(七)完整的信息^^文档保全系统。商业银行的各种信息^^文档是对业务过程的全面记载,是商业银行经营活动的重要凭证,对这些^^文档进行安全保管,是业务顺利进行的必要保证。因此,商业银行应当真实、全面、及时地记载每一笔经济业务,正确进行会计核算和业务核算,建立完整的会计、统计和各种业务^^文档的档案,并妥善保管,定期核对,确保原始记录的合同契约、各种信息^^文档数据的真实完整;建立计算机应用、系统开发、信息处理的使用管理制度,确保各项资产、支付清算系统、电脑微机的安全有序运行。
(八)有效的预警预报系统。商业银行建立预警预报系统的目的是为了早期预知可能出现的错误和问题,及时发现经营过程中的问题所在,防患于未然,减少失误和损失。因此,商业银行应围绕经营行为、业务管理、风险防范、资产安全建立定期业务分析、信贷资产质量评价、资金运用评估制度;建立定期实物盘点、各种账证、账表的核对制度以及业务活动的事前、事中和事后监督制度;健全完善内部控制系统的评审和反馈,对带有苗头性、倾向性的问题进行预测预报,从而把业务风险降到最低。
(九)有效的应急应变措施。商业银行经营过程中对各个重要部位、营业网点等都应制定明确的应急应变措施,以保证业务不受突发事件的影响。如应规定遇到断电、失火、抢劫等紧急情况时,各个岗位的工作人员应当根据各自职责和实际情况采取哪些应变措施。应急应变措施要考虑各种可能因素,分别依次设定具体的应急应变步骤。
(十)有效、严格、具有权威性内部审计制度。在商业银行里,内部控制制度的综合管理部门,应当是内部审计(或稽核)部门。其主要职责包括:对各项业务提出内部控制的建议;检查评价有关部门内部控制的情况;对内部控制制度的执行稽核检查;对违反内部控制的部门和个人建议进行处分和处理。商业银行的内部审计或稽核是一种独立的事后评价活动,它在定期或不定期的评价商业银行的各项业务活动的同时,也要对内部控制的状况作出及时评价,因此,它是各项内部控制措施得到有效实施的重要保证。商业银行的内部审计或稽核部门要行使综合性的内部监督职责,因此必须实行对一级法人负责,以保证期独立地履行监督反馈职能。商业银行应作出制度规定,保证内部稽核审计部门的独立性和权威性。同时建立稽核处罚制度和稽核检查制度,督促内部各项管理措施和规章制度的贯彻实施。
第三部分 我国商业银行内部控制的现状
近几年来,借鉴国外商业银行内部控制的经验,结合国际金融管理机构如巴塞尔委员会制定的“有效银行监管核心原则”,我国商业银行在加强内部控制与风险防范意识方面有了长足进步,在2002年9月,中国人民银行发布了《商业银行内部控制指引》,比较系统地对商业银行内部控制提出了原则要求,指引的发布,可以说是我国商业银行内部控制的一座里程碑。但由于受经营管理体制和观念及经验的影响,我国商业银行在内部控制方面还存在不少问题。
一、我国银行内部控制的建设成就
经过近年来的不断努力,我国的国有商业银行和其他商业银行普遍在以下五个方面进行了内部控制建设:
(一)强化了授权管理。普遍建立起对分支机构的授权和转授权制度,从营运资金、贷款、担保、拆借、外汇买卖等业务环节规范分支机构的经营行为。
(二)实行了审贷分离。完善贷款风险防范机制,逐级建立了信贷审查委员会和信贷资产质量管理委员会,全面实行了审、贷分离制度。
(三)加强了资产负债管理。普遍成立了资产负债比例管理委员会,建立了资产负债比例管理监测制度,定期考核资产负债比例的各项指标。
(四)强化了资金的统一调度。加强了总行对系统内信贷资金清算、汇差资金、拆借资金和备付金的控制,不断健全总行对全行资金的统一调度与管理制度。
(五)注重了内部审计部门作用的发挥。逐步认识到内部稽核或审计的重要性,开始从内部稽核的权威性、独立性以及内部稽核队伍的素质等方面加强内部稽核或审计工作。
二、当前银行内部控制的薄弱环节和存在的主要问题
(一)对内部控制的认识和理解上存在偏差。许多机构认为,内部控制就是各项工作制度和业务规章的汇总,有了规章制度就有了内部控制,把内部控制等同于各项规章制度,没有真正理解内部控制的内在含义,即忽视了内部控制是一种机制,是一种业务运作过程中环环相扣、监督制约的动态控制。各项规章制度在商业银行内控体系中是必不可少的组成部分,但它不能代替内部控制机制。由于这种认识上的偏差,限制了商业银行内部控制机制的有效运作。
(二)制度不够完善和健全。目前,绝大多数商业银行在业务工作中都建立了基本的规章制度,但不够完善和健全。有些制度过时,已不适应形势发展的需要,没能随着业务状况和客观环境的变化及时进行修订;有些新型业务已经开展,但制度尚未建立,致使运作上带有盲目性;有些制度过于概括、简单和条文化,操作性不强,不能为业务提供实际的指导;有些制度偏重于强调纪律约束,缺乏必要的程序控制;有些制度缺乏必要的处罚措施,即使有处罚措施,也往往以党纪、政纪的处罚代替职责上的处罚;有些制度之间存在交叉重叠;更多的是在实际工作中有制度,但缺乏严格的、经常性的检查,使一些基本制度如柜台交叉复核、双人双责和事后监督等难以落实,替岗、代岗、代人签章现象时有发生。这些制度上的不完善和不健全,导致了内部控制上的漏洞和操作上的失误,增大了商业银行经营的风险。
(三)缺乏明确的经营方针,不能制订适合自身实际的发展战略和中长期经营目标。有些商业银行不能认清自己在市场中的位置,盲目决策,一味追求规模,加之缺乏必要的管理、决策程序,导致盲目地大量设立分支机构,增加营业网点,扩大经营范围;由于人才的培养跟不上规模扩大的需要,造成部分分支机构管理人员素质较低,缺乏必要的政策水平,违规经营甚至账外经营情况相当普遍。这种粗放经营、盲目发展的结果是业务不能正常发展,资产越来越大,资产质量越来越差,甚至造成混乱,最终导致管理上的失控。
(四)内部管理机制不完善,缺乏必要的办事程序。主要表现在业务的审批和授权随意性较大,甚至滥用职权;业务处理上出现反向运作状况,有的企业、个人要贷款,不是先向信贷部门提出申请,然后由信贷员进行信用分析,逐级审查上报批准,而是直接先找主管领导,由领导一级一级向下指派,具体经办人员再具体进行办理。这种操作上的“逆向”运作,使得经办人员不能够认真履行自己的职责,造成必要的审批和经办过程“走过场”,为徇私舞弊创造了可乘之机,同时也使银行资产面临较大的风险。
(五)内部组织机构不尽科学,部门之间业务分工不明确,权利制衡在运作中失灵。有些商业银行缺乏严格的授权管理和集体决策程序,在对各分支机构及部门的管理上授权不清、责任不明,有些分支机构权力过大,有些部门身兼数责;部门内部各岗位之间职责不清,内部权责脱节,内部检查走形式,预防差错的能力被削弱。由于对授权授信没有进行统一管理,权力得不到有效制约,岗位操作无有效控制,加之一些监督部门不能有效地发挥监督作用,造成商业银行内部侵吞、挪用和外部盗窃、诈骗等案件时有发生。
(六)风险防范意识薄弱。有些商业银行只注重经营,忽视内部管理,自我防范意识较差,自我约束机制不健全,结果是内部管理跟不上业务发展的需要。如贷款评估流于形式,审贷分离和贷款“三查”制度不能有效实施,对贷款缺乏整体的动态监控和效益分析,以单个企业的放款缺少定期评述,以至资产风险不断加大。
(七)法人管理不健全,自控不力。内部控制是否健全与有效,关键在人,特别是高层管理人员。从现行商业银行制约监督机制来看,对掌握一定决策权的高层管理人员制约力不强。有些商业银行的高层管理者甚至一些小型机构的法人,缺乏法律、政策观念,按个人意志办事,使内部控制规章制度落不到实处。
(八)安全防范措施不完备,手段落后,一些必要的监测监控机制不健全,预警、预报机制差。有些商业银行的基层营业网点对重要业务档案没有设立专柜保管;防火、防盗措施不够完备,缺乏有限接触和存取登记制度;一些商业银行对资产质量、资金交易业务经营效果缺乏定期分析,重大问题报告不及时。在金融电子化普遍应用的情况下,部分机构在编制计算机应用程序时,内部控制的要点不能够有效地渗透到各个系统的关键环节,甚至系统本身就不太完整,对账和核查不能直接进行,给控制人员的有效监督带来一定困难,致使问题难以及时发现,利用计算机作案的现象时有发生。
(九)内部监督层次不高,权威不够。有些商业银行没有独立的内部稽核或审计部门和专职的控制人员,有些商业银行的内部稽核审计部门形同虚设,没有真正发挥其应有的作用。内部监督的检查范围窄,频率低,周期长,结果是有问题不能及时发现,对发现的问题处理力度弱,有的甚至姑息偏袒,造成有章不循,违章不纠。
参 考 文 献
陈四清,《商业银行风险管理通论》,中国金融出版社,2006年
刘实,《企业内部审计论》,中国时代经济出版社,2005年
何林祥,《美国商业银行内部控制、风险管理与稽核制度》,人民出版社,1999年
魏杰,《企业制度安排》,中国发展出版社,2002年
