一、强化商业银行内部控制是防范金融风险的必要的手段。
二、目前国内商业银行如何做好风险的内部控制
1、建立健全完善的内控制度;
2、配备必要的硬件设施辅助控制;
3、应用环环相扣的电脑程序主动控制;
4、加强业务人员道德教育及业务培训,从主观上强化内部控制;
5、以事后监督、稽核做为内控的检查、评价和调整手段。
三、借鉴国外商业银行先进的内控建设。
四、结合我国商业银行实际,思考强化商业银行内控的发展方向。
内 容 摘 要
为了保障银行稳健经营、防范风险,实行风险控制下银行价值最大化的经营目标,商业银行就必须加强内部控制,使风险控制在最低程度。本文提出了现阶段我国商业银行内控建设的若干手段,联系国外商业银行先进的内控建设,对我国商业银行内控的发展提出些许思路。
强化商业银行内控问题研究
商业银行具有高负债、高风险的特点,为了规避风险,加强内控建设成为银行业一个古老而又充满活力的话题。近几年银行发生了多起案件,其中内部作案更具有隐蔽性、大额性,危害性和牵涉面也更加广,另外因为内控不力而导致的银行经营危机甚至倒闭也有例可查,这些风险主要是由于内部控制不到位造成的。因此,商业银行要想平稳地开展各项业务,实现既定的发展目标,必须加强内控管理。
一、强化商业银行内部控制是防范金融风险的必要的手段
随着内外经济环境的不断变化,我国商业银行风险也呈现出了新的变化趋势。从外部环境来看,由于我国经济对外开放不断深化,对外资银行的业务限制已经逐步放开,银行业的竞争日益呈现国际化特色,竞争更加激烈;国内国际的法律体系趋于完善,给银行业带来了新的挑战。从内部发展来看,银行经营的业务逐步趋向多元化和国际化,新的金融业务如网上银行、电子银行、各种理财业务和金融衍生工具不断出现;内部治理结构也在不断地变化,其风险也呈现出复杂多变的特征。从对象上看,我国商业银行风险已由单一的信贷风险发展成为包括信用风险、市场风险、操作风险、道德风险、环境风险等在内的多类型风险;从性质上看,已从最初的局部风险演变为全球风险。虽然经过近几年的连续审计和金融监管力度的加大,以及银行自身内部控制的完善,银行的违纪违规问题和重大案件明显减少,但银行面临的各种风险依然存在。如何建立规范、系统、可靠的商业银行内部控制系统,有效地防范商业银行巨大的经营风险,再一次成为银行家和金融理论家的一个重大课题。因此,建立有效的内控监督机制则显得至关重要。
二、目前国内商业银行如何做好风险的内部控制
(一)商业银行风险存在的原因
1.外部竞争激烈导致经营风险增大
一方面,以扩大资产规模为战略重点的商业银行为获取较高的资产收益和资产增长速度,压低价格和放宽条件发放贷款,使银行资金营运风险程度加大。另一方面,在激烈的金融竞争中,商业银行为占领并扩大市场份额,各种金融新产品和新业务在银行资产负债表外迅速滋生,使得银行在不知不觉中承担了各种潜在风险。
2.制度存在的固有缺陷导致制度风险显现
一是制度空缺风险,商业银行正常经营所必须具备的若干基本规章制度,在某些地方还存在盲点。没有规矩不成方圆,出现风险损失自然不可避免。二是虽有制度,但制度设计不能顾及全面,许多制度设计从服务客户和防范风险两方面考虑可能存在不相容点。三是有章不循,在实际工作中为了方便操作或主观上就不重视,对现有制度没有认真执行。
3.还有一个致命的问题,就是人员风险。
因为制度和体制是由人来设计的,各项工作也是由人来干的。但由于没有形成防范风险所要求的激励约束机制,并且员工专业水平参差不齐,部分员工缺乏识别风险和防范风险的意识和能力,更易导致经营风险发生。另外,虽然现在的商业银行都采用计算机系统进行业务操作,但由于操作人员的业务水平存在差异,也容易导致操作风险。
综上所述,内控制度缺陷是银行风险存在的内部原因
(1)内控制度的适应性不足
对内控制度的认识存在偏差,内控规章制度不健全,在理解上存在偏颇之处。仅认为内部控制是各种规章制度的制定、装订、汇总等整章建制方面的工作;还表现在业务开拓与内控制度建设缺乏同步性,特别是新业务的开展缺乏必要的制度保障,风险较大。
(2)内控制度的整体性不够
对所属分支机构控制不力,对决策管理层缺乏有效的监督。对业务人员监督得多,而对各级管理人员监督得较少、制约力不强,内控制度缺乏刚性。
(3)内控制度的权威性不强
审计资源配置效率低下,稽审职能和权威性没有充分发挥,内部审计部门没有完全起到查错防漏、控制风险的作用。
(二)商业银行加强内控建设的手段
针对各种风险产生的原因,针对目前国内商业银行内控制度及管理上的弱点,现就商业银行加强内控建设的手段提出以下拙见。
1、建立健全完善的内控制度;
内控制度的建立,是有效防止商业银行发生金融风险的关键,也是商业银行内部控制的基础。
(1)内控制度的制定。内审部门在内控制度建设时,应充分发挥职能部门的作用,对内控制度建设工作要实行分工负责制:内审部门负责本行及下级行全行性内控制度的规范、统一工作,信贷、会计、科技、业务部门等应相互勾通,在内审部门的牵头下合作制定各项内控制度;上级行职能部门在做好自身内控制度建设工作的同时,必须负责下级行职能部门的内控制度建设工作。
在制定内控制度时,一是要注重制度的可操作性,任何内控制度在制定的过程中必须合乎客观实际,并考虑到其可操作性。因为制度是需要人去执行的,好高骛远、不切合实际的制度使员工无所适从、难以执行,这就起不到制度应有的制约、规范作用。二是要注重制度的动态性、时效性。事物都是在不断发展变化的,制度亦然,目前,因为各项改革的不断深入,新业务、新规章不断涌现,各级行、各部门应随着业务的变化、中心工作的更替、重点的转移、时间的变迁等紧跟形势,把握政策,及时调整、修订、补充和完善相关的内控制度,树立动态的监督管理理念,避免内控制度对业务行为的不协调性和控制上的滞后,使内控建设紧跟形势和业务发展的需要。
(2)内控制度应包括的内容。
科学决策制度,建立科学有效的决策管理组织,严格明确的决策程序和办事程序。所有重要业务、重大事项、重要决策都必须严格按规定程序进行,并应保留可核实的记录,防止个人的独断专行,超越违法程序都应受到处罚;实行民主管理,充分体现职工的主人翁意识,在提高决策的科学性上发挥重要的作用。
授权授信制度,上级行必须将权、责进行合理划分,对下级授权、分权,明确各级人员处理某项业务的权力,同时权责挂钩,权责对等。如总行根据各分行的资产负债情况,授权分行信贷委员会的最高审批限额,分行根据最高审批限额再转授权。另外,要通过对企业信用与经营者素质、企业的经济实力、经营效益、发展潜力以及企业能否还贷等方面进行定量、定性分析,确定企业信用等级,根据不同的等级给予不同的授信。通过合理的授权授信,防止系统失控、保证资金安全。
岗位责任制度,首先,需要制定出切合实际的业务操作规程,整理成文成册,发放到员工手中,便于遵照执行;其次,主管部门通过制定完善岗位责任制度,明确各岗位职责,赋予各岗位相应的职权,建立相互配合、相互监督、相互制约的工作关系;再次,对重要岗位人员要定期轮换,以保证继任者对上一任的工作进行考察,发现缺陷和不足;最后,岗位责任制度要求各项业务活动的核准、记录、经办应当尽可能做到相互独立。
业务操作制度,会计部门是商业银行内部的第一监控部门,会计内部控制制度总括起来讲,是由有关法规、会计、结算、联行、财务制度、核算办法、操作程序、会计计算机程序、工作计划、管理办法、岗位责任制等组成。信贷业务操作制度的建立应着眼于以下几个方面:建立健全审贷分离决策制度;建立符合《贷款通则》和《商业银行法》的贷款操作细则;建立健全贷款监控制度;建立健全贷款风险权责对应制度;建立健全贷款业务目标控制制度;建立健全内部贷款稽核审计制度。
内部稽查制度,首先,应建立独立的、具有监督权威的内部稽核部门。其次,建立合理有序的内部稽核检查制度。再次,设置科学的量化监控指标体系,形象反映监控对象的主要内容,作为警戒线对监控对象的状况做出快捷的判断,并采取必要的措施。
数据保全制度,商业银行应建立完整的档案管理制度,对原始凭证、明细帐、总帐应归档保存,对存贷客户的一切详细^^文档应分类保管,对空白重要凭证应严格管理,定期核对,确保原始记录、合同契约、各种数据信息的真实完整,特别是计算机软件数据,建立计算机应用、系统开发、信息处理的使用管理制度,确保各项资产、支付清算系统、计算机微机的安全有序运行,确保商业银行内部控制数据保全制度的建立。
信息回馈制度,商业银行应充分利用现代化的信息处理和通讯技术,建立灵敏的信息收集、加工、回馈信息,建立完整的信息回馈制度,使各项决策和业务经营活动建立在充分的信息支持的基础上,利用各种信息及时调整业务经营方针和发展策略,加强决策和经营管理活动的针对性和主动性。
奖惩制度,商业银行应依据人民银行总行《关于对金融系统工作人员违反金融规章制度行为处理的暂行规定》并结合各商业银行的实际情况制定实施细则,对各类违章行为严惩不贷,决不姑息迁就,以达到处罚一部分教育一大片的目的。同时对那些在执行制度、办理业务过程中表现突出的员工及执行内控表现优异的稽核人员应大力表彰,以达到鼓励先进、鞭策后进的作用。
(3)内控制度的执行。制度建立后,执行是关键,为及时了解各单位、各部门内控制度建立与执行情况,内审部门应进一步加大此方面的监督检查力度,内审部门可联合其他相关部门对下级行进行全面内审、专项内审,检查时必须将相关的内控制度建立与执行情况作为检查内容,达到以查促建、以查促整的效果。
2、配备必要的硬件设施辅助控制;
内控制度建设必须走人控、物控、技控相结合之路。物控主要是指配备必要的器具和硬件设施,代替自控互控不到位的真空。目前国内商业银行在物控上都投入很多,就浙江省的商业银行来说,一般网点都拥有下列硬件设施:营业场所现金区域使用电控联动互锁二道门,两道门不能同时开启,人员进出现金操作区域必须在两道门中间的缓冲区过渡;营业场所现金柜台必须安装规定厚度的防弹玻璃,必须在规定位置安装报警装置(须符合公安部《银行营业场所风险等级和防护级别的规定》(GA38-2004)的要求),这些装置可有效防止非法入侵。银行运钞车都配备无线通讯车载电话、手持电话,安装GPS定位装置,与“110”指挥中心都建立通讯联网和报警,在对抗外部侵害方面可起到一定的防御作用。各营业柜台、柜面人员操作区、ATM机加钞区及客户操作区、其他重要防控部位等等都安装监控装置,使操作人员的每个操作细节、与客户的交流等等都记录在电脑中,对内控检查、防范操作风险及人为风险可起到非常重要的作用。另外还有银行各类操作系统登录使用指纹识别仪,可控制冒名登录等,越来越先进的物控设施,在某些方面可代替部分人控,同时,在一定程度上提高了内控的管理能力,对提高员工自觉执行制度也可起到积极的作用。
3、应用环环相扣的电脑程序主动控制;
加大科技投入,提高内控的科技含量。客观地说,人控物控只能解决不想违和不敢违问题,但解决不了个别人想违而不能违问题。要真正解决不能违问题则需要程控。科学技术的迅速发展,特别是计算机在银行业务中应用的不断深入,为我们进行内部控制提供了新的武器。通过软件开发,将内部控制的一些规定编入程序,由软件程序进行控制,可以解决人控物控控不了的问题,使得个别员工无意或有意的错误都将被计算机程序发现而难以通过。例如,柜员密码的定期更换或使用指纹登录操作系统;柜员库存限额、操作限额及操作权限控制;凭证号码使用自动控制;重要业务换人复核和授权;信贷授信、审批、发放采用不同操作系统但以接口互联,授信、审批、发放柜员操作流程自动控制;电子银行服务采用客户身份识别、安全认证功能等等。当然,在我们高度依赖计算机进行内控的同时,更要建立好计算机信息系统完全应急机制,使计算机系统出现故障时能及时切换到备份系统进行业务操作,保证数据安全不丢失;还要建立好计算机后台数据、程序严密管理机制,以防止犯罪分子利用计算机系统进行作案。
4、加强业务人员道德教育及业务培训,从主观上强化内部控制;
从近年来许多案件的经验教训表明:风险大多是由人引起的,因此,人控就是要使人的素质提高,增强遵章守纪、遵纪守法的自觉性。银行业必须坚持以“教育为本”。加强教育引导,夯实思想防线。一是要牢固树立以人为本的经营思想,切实把以人为本的管理理念贯穿于风险防范的全过程,充分发动和依靠广大员工抓好风险管理工作。二是要加强思想政治教育。用先进的思想武装人,用模范的力量带动人,树立人人遵纪守法的良好氛围。三是加强风险意识教育,向员工灌输“管理无小事”的观念,对近期有关案件进行通报、分析当前形势,切实提高全行员工的安全防范意识和遵纪守法观念,做到常抓不懈、警钟常鸣。四是注重提高员工业务素质,扎扎实实开展“创建学习型组织、争做知识型员工”活动,树立“终生学习、全员学习、团队学习”的理念,通过多种形式的培训、学习,使员工知晓规章制度,知晓操作规程,切实提高自身素质。五是采用晨会、月会等方式了解员工思想动态,开展案件防范分析会,重点分析员工思想动态,规章制度执行情况,找出事故、案件的隐患所在以及管理上的薄弱环节,明确具体整改措施,把案件防范落到实处,确保制度执行有力。
5、以事后监督、稽核做为内控的检查、评价和调整手段。
内控建设完成了制度先行,人控、物控、机控相结合的体系下,再辅以事后监督系统、内部稽核等后续控制,可以更全面、更完整地进行风险防范,同时稽核结果也为内控建设提供了评价和调整的依据,可以更好地完善内控建设。
浙江省继建设银行于04年成功上线OCR事后监督系统,其他商业银行也纷纷采用,目前包括部分农村合作银行都采用了OCR系统。OCR系统将前台凭证、账簿、报表等会计档案通过扫描,实现^^文档影像的采集,将原始凭证、业务凭证按流水号自动与核心业务系统后台流水进行逐笔勾对,既实现了对票据档案的长期保存、科学管理,又全面细致地对前台业务作了真实性、完整性的检查,可有效查获凭证缺失、业务系统记录与原始凭证不符等违规或失误操作,对内控起到了后期保障的作用。
内审部门对商业银行的稽核监督也是内控建设中不可缺少的一部分,实践证明,内部审计是减少或避免商业银行操作风险的重要手段,随着商业银行内部审计制度的完善和审计工作的加强,操作风险也逐步降低。按银监会的9号令和《银行业金融机构内部审计指引》的要求,内部审计应按季向董事会报告审计工作情况,每年至少一次向董事会提交包括履职情况、审计发现和建议等内容的审计工作报告。目前商业银行应按《指引》要求配备一定比例的内部审计师,审计部门要具有相当的独立性和权威性,能真实反映发现的问题,起到监督制衡的作用。上级行要建立健全合理有序的内部审计检查制度和非现场审计制度,加大监督检查的频率和力度,对商业银行内控制度的总体有效性进行连续性监管,可推进银行业内控体系的建立与完善。
三、借鉴国外商业银行先进的内控建设
国际上许多大银行在操作风险度量与管理上积累了较为丰富的经验,并取得了一定的成就,值得我们借鉴。
1、有各自的风险文化。国外许多商业银行很看重金融风险,并形成自身的风险管理理念和策略,均体现在风险文化之上。在汇丰银行,风险意识深种在每一个员工的脑海里,在汇丰银行作为战略投资者加入交行之后,带来了汇丰深厚的风险管理文化理念,也改良了交行的风险文化理念;花旗银行在风险文化上,通过建立内部评级法(IRB)突出了风险管理和内控意识,给浦发银行一定的启发。IFC参股南京市商业银行后,以国外银行广泛采用的管理策略和流程为参照,对该行的经营管理模式提出了改进建议。在IFC的帮助下,南京商行明确了风险管理目标,引入了新的风险监测和计量手段,建立了信贷预警系统,风险管理和内部控制得到了强化。
2、有规范成熟的信息披露制度。巴塞尔银行监管委员会认为(2003):银行应该进行足够的信息披露,允许市场参与者评估银行操作风险管理方法。委员会认为,银行对公众进行及时和经常的相关信息披露,可以提高市场约束力,便于市场参与者对银行的操作风险管理进行监督,促成更加有效的风险管理效率。并且,信息披露数量应该与银行经营的规模、风险状况和复杂性相适应。
3、有完善的内部稽核系统。国外大的商业银行都拥有强有力的内部稽核监督体系,稽核监查人员无论从理论水平、政策水平、实际操作水平、品德素质和实践经验等各方面都具有良好的素质;内部稽核监察部门独立于银行内各部门更独立于行长等经营层领导,稽核工作具有充分的权威性;稽核监察工作的内容、范围和权限非常广,不仅对业务部门进行稽核监察,也能对银行其他部门进行稽核监察,能有效地掌握银行机构的所有活动。完善的稽核系统确保了银行内部权力的制衡、杜绝了制度性风险的漏洞。
4、有全面的计算机信息系统。在现代信息技术方面,国外商业银行使用的计算机通信技术、应用系统软件开发、信息系统数据采集和处理等,比我们更先进、更有经验。在风险评估与管理中采用先进的数学模型,辅佐银行管理的计算机应用等,也比我们更加成熟。西方商业银行计算机应用系统已不再是一个单纯的业务处理系统(或柜面处理系统),同时还是一个信息分析管理系统和决策支持系统,业务处理子系统在具备高效业务处理功能的同时,还具有很大的信息量和很强的分析管理功能,可确保整个业务处理系统处在一个有效的监管流程内,能确保其高效率、低风险运行。
5、有学习型组织。国外商业银行广泛推行学习型组织的建设,组织之间控制活动协调一致,控制人员责、权、利关系明确,使商业银行从内部到外部形成整体的控制程序,对于银行业包括操作风险控制在内的各种风险控制行为产生了较高的正向效应。巴塞尔银行监管委员会确认了可能导致重大损失的七种操作风险事件:内部欺诈、外部欺诈、雇佣制度和工作场所安全、顾客产品和业务做法、实物资产的损坏、营业中断和系统瘫痪、执行和程序管理,均与银行业组织行为绩效具有较强的相关性。
四、结合我国商业银行实际,思考强化商业银行内控的发展方向
近年来,我国商业银行的内控建设有了一定的改善,采取了一系列措施,也发挥了一定的作用,但与国际上先进的商业银行内控管理相比,还存在不小的差距。在学习国外商业银行先进的内控管理,并结合我国商业银行实际后,我认为我们在强化商业银行内控建设的发展方向上,可逐步注重下列方面的建设:
1、优化组织结构,强化法人治理。在机构设置上考虑操作风险控制流程,设立独立的稽核审计部门、风险测评机构、信息披露机构等。
2、加强计算机信息系统建设,使银行的计算机信息系统成为集业务处理、信息分析、风险管理和决策支持于一体的综合应用系统。
3、加强企业文化建设,将风险文化、学习文化及其他营销、服务、创新等文化建设一并作为银行企业文化的长效建设机制,将合规经营理念的渗透和企业文化的培育捆绑在一起,使员工产生企业归属感、工作自豪感的同时加强风险意识,使合规经营、合规操作的经营理念根植于每名员工的心中。
我相信,我国的银行业正与我国的经济一起在高速发展,我国商业银行的内控建设也一定会越来越强。
参 考 文 献
1、蓝春锋:《中国商业银行内部控制问题研究》,价值中国网,2005-10-28。
2、中华人民共和国公安部:《银行营业场所风险等级和防护级别的规定》(GA38-2004),2004-09-22发布,2004-12-01实施。
3、银监会:《商业银行内部控制评价试行办法》,2004-12-25发布,2005-02-01实施。
4、银监会,《银行业金融机构内部审计指引》,2006-06-27发布,2006-07-01实施。
5、苏勤峰:《商业银行引进战略投资者的文化建设思考》,《华夏金融》 2007年第四期。
6、张同健:《论新巴塞尔协议下商业银行操作风险控制的措施》,湖南财经高等专科学校学报,2007年第109期。
