商业银行内部控制现状………………………………(3)
健全和加强商业银行内部控制的建议………………(7)
内 容 摘 要
本文对商业银行内部控制环境、风险管理、控制措施、监督评价、信息交流等方面的现状进行分析,指出当前商业银行的内部控制虽然取得了一定的成效,但由于受内外部各种因素的制约,目前商业银行的内部控制与当前严峻的风险管理形势相比,仍然存在诸多不足:一是公司法人治理结构尚未到位;二是控制不足与控制分散的问题同时存在;三是内控文化还没有真正建立起来;四是对内控的认识存在偏差;五是内控管理方法还有待改进和完善;六是对问题整改和责任追究监督不到位;七是内控激励机制没有真正建立起来。针对以上问题笔者提出健全和加强商业银行内部控制的几点建议:一是更新防范理念,培育内控文化;二是完善治理结构,重建组织架构;三是创新绩效考评,转变增长方式;四是推进基础管理,提高内控层次;五是推行内审改革,强化内部监督;六是建立反馈系统,实现及时预警;七是强化自律监管,健全监控体系。
商业银行内部控制的思考
近年来,国际和国内频频发生系列金融大案要案,且有愈演愈烈之势,严重威胁着金融业的安全和发展,对世界经济产生不良的影响。特别是1997年的东南亚金融风暴,给我国商业银行敲响了警钟。对于处在经济转型之中和正在加速推进改革开放的中国银行业来说,加强内部控制,防范金融风险,不仅对现在而且对将来都有着十分重要的意义。
商业银行内部控制现状
近年来,我国商业银行,为化解和防范经营风险,在内部控制上
倾注了一定的精力,从控制环境、风险管理、控制措施、监督评价、信息交流等方面做了大量的工作,取得了一定的成效,但由于受内外部各种因素的制约,目前商业银行的内部控制与当前严峻的风险管理形势相比,仍然存在诸多不足,抵御各种风险的能力还有待进一步加强。
公司法人治理结构尚未到位
目前,国有商业银行正积极推行股份制改造,中国建设银行、中
国银行已成功上市。但与真正市场化的货币金融企业相比,国有商业银行尚未建立符合现代企业制度要求的公司法人治理结构,对行长决策行为的监督制约在一定程度上依赖上级领导的要求而不是被科学的管理机制所支配,因此基层行长“胆大妄为”和“不作为”的问题依然在一定范围内存在。与现代企业法人治理结构相适应的自我约束和自我发展机制也需要进一步完善,管理流程不科学、环节过多、效率不高、执行不力的问题还在一定范围内存在。这些都在一定程度上限制了内部控制体系的完善和有效运行。
(二)控制不足与控制分散的问题同时存在
控制不足主要表现在现有内控制度的空白点和执行中的漏洞上。
如果内控制度建设不能随形势变化及时补充和调整,就容易发生控制不足的问题。比如管理部门之间、上下级之间衔接不充分,形成空白和死角;有的制度操作性不强,给执行带来困难;有的制度滞后于业务创新和环境变化,前瞻性和应变性不够等。控制分散则表现为规章制度数量庞大,但分散于各类文件制度之中,缺少系统性整合性。规定虽多,但不能系统、完整地体现内部控制的本质要求。例如,有些关键环节的控制关系设计不到位、控制不合理;有些业务的责任划分、审批、核实、对账和审查等未能进行科学分工;有些管理制度政出多门,对同一项业务的要求相互矛盾,执行起来无所适从。内部控制不是苦于管理制度简单的叠加、汇总和组合,它应是一种机制,一种注重业务运作过程中部门之间、岗位之间以及业务环节之间 ,环环相扣、相互制约、相互监督的制衡关系。对银行而言,建立各种业务制度固然重要,但重视制度中岗位设置和岗位分工的科学性,重视制约原则的体现,重视制度之间的配套和衔接同样重要。目前,业务流程再造是商业银行内部控制面临的一个大问题,深层次矛盾是要再造我们的体制。有些流程明显不合理,存在部门之间的扯皮、低效率等,需要通过完善公司治理,进行业务流程再造加以解决。
(三)内控文化还没有真正建立
所谓内控文化,简而言之,就是商业银行在长期的内控管理活动
中形成的,被大家普遍所认同、遵守的内部控制的价值理念和行为规范的总和。一是共同认可的价值理念;二是共同遵守的管理规则;三是共同养成的行为习惯。良好的内控文化是内部控制的重要组成部分,也是内控制度的有益补充,甚至可以在一定程度上弥补制度设计缺陷。内控制度最终要由人来执行,人的因素决定内控结果。长期以来,商业银行在经营管理上也形成了不少相互控制和制约的基本办法,如出纳中的“四双制度”、会计核算上的“六相符制度”、信贷管理中的“三查制度”等。之所以还存在种种问题,关键在于没有真正形成一个有效的、自觉的内控文化氛围,规章制度执行力不强。一些违规行为甚至在局部形成了小气候, 使上级的内控要求在这个局部小气候中显得苍白无力。
(四)对内控的认识存在偏差
目前,各商业银行之间的竞争日趋激烈,在越来越重的经营压力下,个别行的经营思想产生偏差。重业务轻管理,重发展轻规范,只图规模扩张,不求质量,对内控工作口头上重视、思想上近视、行动上忽视,这样就容易产生工作中的急功近利行为。有的对上级行的管理规定只是层层转发,很少抓学习、抓落实、抓监督,文件被束之高阁,使系统“未稍神经坏死”。有的则通过对总行的一些文件制定实施细则,层层改动,进行“变压”,降低了原有的效力。在这种思想和行为的支配下,就容易导致执行贷款限制性条款不严、放宽条件进行资产业务营销、不计成本竞争等问题,使业务发展的规模、速度与商业银行稳健经营的要求之间不能和谐统一。
内控管理方法还有待改进和完善
部分基层行的决策层和管理层对内部控制投入精力少,深入研究少,没有按现代商业银行理念进行全面的风险管理,将内部控制从制度层面、管理层面转化为技术层面和操作层面,抓起来往往不能够得心应手。主要表现为:一是注重形式,忽视落实。一些行内部控制多停留在印发文件、制定制度、领导讲话上,对内控管理执行情况很少深入研究,对业务风险点不能不能准确把握,内控管理形式简单化、过程粗放化,难以取得好的质量和效果。二是注重结果,忽视过程,有的行只关心内部控制评价结果,而忽视内控的过程和具体问题的整改,没有从基础作起,打牢内控基础,内控评价经不起考验。三是注重短期效应,忽视建立长效机制。部分行对内控建设工作缺乏长期性、持续性、综合性的全盘规划和考虑,“头痛医头、脚痛医脚”。有时发生重大违规问题、案件后,组织运动式的检查活动,追求短期效应,但内控管理中的一些基本要求没有得贯彻和落实,内控机制没有建立和完善,产生问题根源没有得到铲除,致使问题屡查屡犯,“按下葫芦浮起瓢”内控状况不能够从根本上得到有效的改观。
对问题整改和责任追究监督不到位
问题整改不到位的主要表现是有些问题屡查屡犯、屡禁不止。有
的行不重视问题整改,整改效果难以保证。另外,一些单位对检查结果不能举一反三删繁就简,不进行深入剖析,自查自纠,对问题产生的根源不明,症结不清,不能够拿出得力的措施有针对性地来正本清源,从根本上解决问题,风险隐患始终没有消除。同时,一些单位对违规违纪问题处理处罚和责任追究不力,也导致一些违规问题屡禁不止。有的问题暴露之后,能捂则捂,能盖则盖,搞“内部消化”,不利用问题进行反思和警示,致使一些隐患潜伏多年,不断聚积,而且助长和纵容了不良风气的蔓延;有的追而不严,避重就轻,处理责任人时不能从严从快处理,处理起来也往往对违规者本人处分较多,对连带责任人处分较少;对员工处理严,对领导处理宽,经济处罚多,纪律处分少,影响了制度的威慑力。
(七)内控激励机制没有真正建立起来
内部控制不仅要求建立科学合理的控制关系和约束机制,还要建
立有效的激励机制。现在商业银行对内部控制责任划分及内控成果的激励机制还需要进一步完善。主要表现在内部控制评价体系还不够全面,有的评价指标设置还不够科学。这样在评价判断一个行内控状况并依此分配资源、进行奖惩时,就会存在一定误差和空白点;一些行内部控制结果没有充分体现在对经营行的考核中,考核仍然主要以业务经营单一指标为主。有的即使体现了内控方面的内容,但所占的比重过低,影响奖惩效果;对能够在检查中发现的违规问题的奖励政策还没有制度化、规范化,内部控制奖惩机制不够健全。这些问题制约了内部控制机制作用的发挥。
二、健全和加强商业银行内部控制的建议
商业银行内部控制是一个动态过程, 要严格按照《商业银行内部
控制指引》、《商业银行内部控制评价试行办法》的要求,从内部控制环境、风险识别与评价、控制活动、信息与交流、监督评价与纠正5个方面进行不断地改进和再造,并从文化理念、制度建设、机制创新、科技手段、案件查防等各方面入手,改进和完善内部控制,防范经营风险。形成“文化约束+制度约束+系统制约+监管制约+违规惩戒”的风险防范模式,全方位构建并筑牢风险防范的“免疫系统”。力争通过努力,尽快建立起以完善的公司治理结构和先进的内控文化为基础,以健全的内部控制制度为核心,以科学的内部控制综合评价体系为保障,以严格的自律监管和审计监督为手段,以多层次的信息系统为支撑的内部控制体系,切实提高内控管理水平和风险防范能力,避免大案要案和重大违规问题的发生。
(一)更新防范理念,培育内控文化
理念是行动的先导,文化是无形的约束。理念决定行为,行为形成习惯,习惯久而久之凝聚为文化。文化一旦形成,就会变为一种力量,直接指导、激励和约束着员工的行为。孔子说过,“与善人居,如入芝兰之室,久而不闻其香,即与之化矣;与不善人居,如入鲍鱼之肆,久而不闻其臭,亦与之化矣”。如果周围的人都恪守制度,按章行事,原先心存不轨的人也可能变成遵章守纪的模范,这就是文化的力量。商业银行应从以下几个方面入手推动内控文化的建设和普及:一是加强内控教育培训。从业人员的职业操守和业务素质是保证内控制度落实的重要因素,商业银行应将内控制度的培训教育作为一项长期性的重要工作,建立严格的学习培训制度,有计划、有目的地持续开展。既要注重重点岗位、重点业务的培训,又要注重全员内控意识、风险意识的培养,使员工在日常点滴工作中贯彻内控要求,培养遵章守纪、扎实细致的工作作风,在系统上下树立良好的内控价值观。二是制定内控行为规范。这方面西方现代企业比较成熟,比如企业(包括银行)新聘员工首先得到的是一本《内部控制手册》,包括组织系统图、职责划分表、工作说明书、方针和程序手册、业务流程图。详细介绍企业各个环节的具体要求。当前商业银行传统的“师父带徒弟”、“以工代训、以会代训”的培训方式,其实是小生产手工作坊的产物,而现代化大生产是流程控制。因此,商业银行要制定统一的内控管理行为规范,系统地对每一项业务的内控要求、管理决策和操作程序做出规定。并定期或不定期评估执行效果,及时进行修订补充,真正将内控理念转化为一种行为符号传导给全行员工,实现用制度来控制人,用制度来规范行为的目的。三是通过狠抓问题整改开展警示教育,达到整改一个,教育一片的效果。对现有的问题的大力整改要成为当前商业银行一项重要的工作,要下决心解决一些长期不过问、不处理的问题,同时要利用现有的典型案例教育全行员工,在思想和观念上树立有错必改,有责必究的认识,起到应有的警示作用。同时还要进一步建立健全问题整改的保障机制,加大后续跟踪检查力度,促使问题整改到位,有效解决屡查屡犯的问题。四是加强对各类问题的查处,提高违规成本。对于理性人来说,如果违规成本足够高,那么没有人会选择违规。所以,对于违规问题必须尽可能快地发现,并坚决地予以重罚。要积极推行内控问责制,在发现、深挖和处理问题的过程中还要追究各级管理人员、审计人员、监管人员的责任,加大处理处罚的力度。五是建立内部控制奖励机制。对于在内控工作中成绩突出的单位、个人,要明确奖励标准,落实奖励措施。对于发现、防堵、举报重大问题的有功人员也要奖励,鼓励和调动全体员工参与内部控制的积极性。通过以上措施,要致力于推行一种遵章守纪的操作理念,营造一种从严治行的管理氛围,树立一种科学规范的经营思想,最终形成一种健康向上的企业文化。
(二)完善治理结构,重建组织架构
完善现代化的企业法人治理结构是商业银行改革的方向和目标。公司法人治理结构是一种权利和责任的分配关系,是通过股东与经营者之间、委托人和代理人之间的权利相互制衡,把经营风险降低到最低、经营利润提升到最大的制度安排。公司法人治理的核心就是在所有者和经营者之间、委托人和代理人之间建立一种制衡和约束机制,是内部控制能够有效发挥作用的体制基础。商业银行应积极研究法人治理结构的改革方案,加快推进改革步伐,通过公司治理结构的改造解决内部控制中一些深层次的问题。
(三)创新绩效考评,转变增长方式
为真正强化资本约束机制,转变业务增长方式,商业银行应创新业务绩效考核体系,引入经济增加值考核指标,要通过风险资本的计量分配以及投资风险的弥补,从绩效考核方面引导各级行关注风险防范,实现业务发展、风险控制和效益增长的有机统一。同时,商业银行要抓紧完善内部控制综合评价体系,严格按照巴塞尔银行监管委员会确定的商业银行内部控制五个要素和银监会《商业银行内部控制试评价办法》,对下级行内部控制综合评价进行完善,特别要研发对一级分行内控评价办法,开展一级分行内控评价。充分利用内控评价结果,将内部控制综合评价结果纳入对各行的考评体系中,与其绩效考核、评先表彰、工资分配等合理挂钩,与主要负责人的晋升、政绩考评等个人利益紧密结合起来,通过内部控制综合评价使内控优先的意识深入人心,促进全行内控建设,增强风险防范能力。
(四)推进基础管理,提高内控层次
一是加强内部控制制度建设,健全完善内控制度体系。要对现有各项规章制度进行全面的修订、完善和清理。着重抓好信息电子化条件下的规章制度建设、组织流程和系统平台建设,抓紧建立与新产品、新业务发展相对应的制度规定,消除各种制度肓区。逐步建立一整套适合各行内部管理特点、符合内外部监管要求、具有较强操作性和先进性的内部控制制度体系。二是建立风险识别机制。筛选整理有代表性的案例,深入研究内部控制的风险点,密切关注、持续跟踪业务风险变化情况,不断改进各业务系统的风险识别方法和手段。借鉴国际先进经验,充分运用现代科技手段,逐步建立覆盖所有业务风险的监控、评价和预警系统,并进行持续的监控和定期评估。三是建立灵活有效的决策机制。及时对不断变化的环境和情况做出反应,在发挥现有内控制度作用的基础上,灵活制定内控措施,适时修改有关内部控制制度,以解决新出现的风险或以前未能发现的风险,建立内部控制的长效机制。
(五)推行内审改革,强化内部监督
当前商业银行内部审计体系基本完成了从“对一级法人负责、垂直领导、下审一级”到“在一级法人管理下的总、分行两级审计派驻制,逐步建立垂直管理,并具备较高独立性、超脱性和权威性的审计管理体制”的转变。各商业银行普遍建立了总、分行两级审计派驻制。总行对一级分行派驻审计特派员,加强对一级分行的贴身监督和直接监控,同时上收一级分行以下机构的审计职能,实现一级分行对二级分行及所属机构的集中审计或审计派驻制。但要真正发挥内部审计的高度独立性、超脱性和权威性,必须尽快实现总行垂直领导和管理体制。
(六)建立反馈系统,实现及时预警
信息反馈系统是现代化内部控制体系的一项基础性工作,管理控制信息只有顺利反馈到组织管理部门和决策机构,才能得到有效地处理。商业银行要加强信息系统的建设,建立完备的信息预警系统,实现全行业务交易信息和经营管理信息的集成和一体化管理。通过对业务运行风险点的全方位实时监控,实现风险隐患的及时预警。
(七)强化自律监管,健全监控体系
《商业银行内部控制指引》中规定,“商业银行的业务部门应当对各项业务的经营状况和例外情况进行经常性检查,及时发现内部控制存在的问题,并迅速予以纠正“。作为商业银行内部控制“第二道防线”的业务部门自律监管,涵盖了业务部门对本身业务操作的自律和对主管业务从上而下的监督两方面内容,与内部控制和内部审计有着密切的互补关系。业务主管部门集业务管理和操作于一身,具有很强的组织优势和技术优势,对业务经营风险的防范和控制具有十分重要的作用。但这种主管业务部门实施的自律监管超脱性不强,处理处罚力度相对较弱。因此,商业银行要在进一步发挥业务部门的自律监管作用,加大对监管责任上的监督和追究力度的同时,逐步健全内部控制体系,最终实现分层次多角度的专门风险管理体系取代业务部门自律监管职责。
参 考 文 献
1、广西壮族自治区财政厅会计管理处,《内部会计控制规范讲解》,2002年
2、赵开元,《中国农业银行内部控制与自律监管》,中国经济出版,2003年
3、赵开元,《中国农业银行内部控制综合评价》,中国物价出版社,2002年
4、中国人民银行,《商业银行内部控制指引》,2002年
5、中国银行业监管管理委员会,《商业银行内部控制评价试行办法》,2005年
