目 录
一、商业银行内部控制的制度依据
(一)国外商业银行内部控制发展历程
(二)我国商业银行内部控制发展历程
(三)当前商业银行内部控制基本内容
1、内部控制定义
2、我国与西方内部控制区别
二、简要介绍工农中建四大商业银行内部控制建设情况
(一)四大商业银行内部控制
(二)建设银行的内部控制基本规定
1、总体情况
2、整改流程
三、对建行某某分行2014年内控管理中存在的问题分析
(一)内控的主要问题
1. 制度建设不健全
2. 制度执行不到位
3. 制度保障不得力
(二)内控问题的原因分析
(三)内控问题的治理建议
四、结论
内 容 摘 要
内部控制是商业银行管理工作中重要的组成部分,建立健全科学、完整和有效的内部控制管理机制,对商业银行依法合规、稳健经营、有效控制和规避风险具有重要的意义。为顺应国际化竞争趋势,2006年12月我国银行业全面对外开放,商业银行也加快股份制改革的进程。在我国银行业的快速发展的同时,商业银行不断暴露出内部控制方面的缺陷。按照财政部《企业内部控制基本规范》、银监会《商业银行内部控制指引》等外部监管要求,结合自身加强风险控制的需要,工农中建四大商业银行着力加强了内部控制体系建设。通过对建行某某分行2014年内部控制中存在的问题进行分析发现, 面对国家经济下行,企业经营不景气,信用风险增加,以及高频低损、屡查屡犯现象还时有发生,通过对产生这些问题的根源进行分析,提出治理措施,希望对进一步提升商业银行内控管理水平和政策的执行力有一些帮助。
强化商业银行内控问题的研究
目前,中国经济进入“新常态”,周期性因素和结构性矛盾相互交织,经济下行压力明显。2014年全年GDP 增速预计为7.4%,通缩预期上升,经济先行指数保持低位运行。PMI连续下降,12月降至全年新低,表明近期经济增长的内生动力依然不足。实体经济的走势和问题势必会波及和影响银行的经营管理,银行业也进入了“新常态”,利润增幅收窄、存款增长乏力、不良双升,重大风险事件和案件增加,战略转型进入关键时期。内部控制问题工作在未来商业银行的管理中越来越重要。内部控制作为一种常态行为,在对商业银行的作用过程中会受到主观因素和外部环境的影响。为此,必须不断地对内控制度进行完善和规范,使之真正符合商业银行的实际发展需要。
一、商业银行内部控制的制度依据
(一)国外商业银行内部控制发展历程
1、1992年9月美国COSO(美国反虚假财务报告委员会下属的发起组织委员会)发布的《内部控制---整合框架》对内部控制提出了“一个定义、三项目标、五个要素”,简称“五要素阶段”。
2、2004年9月,COSO发布研究报告《企业风险管理---整合框架》,将内部控制上升至全面风险管理的高度来认识。
3、2013年4月发布2013年版《内部控制---整合框架》 ,对1992年版框架作出了循序渐进,而不是翻天覆地的改动。新版框架既考虑到过去20年业务环境和经营状况的变化,又保留了内部控制和COSO魔方的定义。
(二)我国商业银行内部控制发展历程
1、1995年-1997年,以《中国人民银行法》和《商业银行法》颁布为契机,商业银行内部控制建设开始提上日程,主要围绕“强化管理、完善体制、健全制度、监督检查”十六字开展工作。
2、1998年 ,人民银行持续对商业银行的内部控制制度进行专项检查,督促各银行机构加强内控建设和风险管理。各家银行先后制定《内部控制实施细则》,进一步明确岗位人员、经营部门、监督机构各自的内部控制职责,建立起内部控制的“三道防线”。
3、2002年,人民银行发布《商业银行内部控制指引》。第一次将COSO整体框架标准引入我国银行业。
4、2007年,银监会发布新版《商业银行内部控制指引》,成为当前商业银行内部控制最主要的监管法规。充分体现了《巴塞尔新资本协议》全面风险管理的基本理念。
5、2008年5月,五部委联合发布《企业内部控制基本规范》,要求2009年7月1日起在上市公司范围内实施。从内部环境、风险评估、控制活动、信息沟通以及内部监督五大要素提出了企业建立、维持有效的内部控制原则性要求,建立了具有中国特色的内部控制框架。
6、2010年4月,五部委发布18个企业内部控制指引,要求2011年1月1日起在境内外同时上市的公司施行。四大国有商业银行属于此范围之内。
(三)当前商业银行内部控制基本内容
2014年9月12日,中国银监会以银监发〔2014〕40号印发修订后的《商业银行内部控制指引》。该《指引》分总则、内部控制职责、内部控制措施、内部控制保障、内部控制评价、内部控制监督、附则7章51条,自印发之日起施行。
1、内部控制定义
内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。
2、我国与西方内部控制区别
此次,银监会修订发布《商业银行内部控制指引》,新《指引》主要从内控评价、内控监督、监管约束三方面引导商业银行强化内控管理。目前我国商业银行在内部控制上存在制度不健全,缺乏有效风险评估等问题,与西方商业银行仍存在较大差距,建议银行通过建立良好的内控文化,针对盲点完善现有的控制制度,重视新业务和新机构,合力科学设计绩效考核指标,充分应用风控信息系统等措施提升内部控制有效性。
二、简要介绍工农中建四大商业银行内部控制建设情况
(一)四大商业银行内部控制
经过对工农中建四大商业银行合规管理较先进同业的调研,初步分析如下:
1、四大商业银行行内控合规管理工作普遍开展较早,都建立了各级较为完善的组织架构与管理制度,均设立独立的管理部门或牵头部门;重视发挥条线管理作用,在各业务部门设置相关岗位,分别管理不同业务条线的内控工作。
2、同时建立较成熟的考核体系与问责机制。
(二)建设银行的内部控制基本规定
建设银行根据《企业内部控制基本规范》及配套指引、《商业银行内部控制指引》、《中国建设银行股份有限公司章程》和《中国建设银行股份有限公司内部控制基本规定》及相关法律、法规制度了内部控制的基本规定。
1、 总体情况
建设银行内部控制中的整改工作已建立起制度化、流程化和常态化的整改机制,形成了整改领导小组总体负责,合规部门牵头实施,业务部门归口管理,分支机构具体落实的整改模式。整改工作从总、省分行领导层面自上而下整体联动,通过行领导批示,合规部门部署,业务部门及分支机构实施,整体推动整改工作的有序进行,整改机制运行良好。
2、整改流程
一是进一步强化问题整改激励约束机制,将整改率纳入全行的“整改情况综合评价”、“风险管理评价”、“案件防控”进行考核,从整改机制上促使业务条线和分支机构发挥能动性;二是建立了总、省分行部门整改工作联系人制度,明确了整改工作的部门负责人和联系人具体职责,牵头做好本条线整改工作的指导、审核、分析和汇总工作;三是优化了审计发现问题传导路径,采取审计情况问题通报、审计发现问题风险提示等形式,将审计揭示的问题类型、违规事项、管理建议等内容在全行内进行通告,以点带面,落实整改;四是完善了问责管理,2014年印发了《建设银行检查发现违规问题责任处理实施办法》,规范了问责流程。
三、对建行某某分行2014年内控管理中存在的问题分析
(一)内控的主要问题
1.制度建设不健全。主要表现在制度建设存在滞后性。2014年是互联网金融全面渗透金融业的一年,从移动支付技术升级,到场景建设,到金融产品创新,它的成长正改变着未来金融的形态。可以预见,2014年五家民营银行的诞生将对当前金融体制带来巨大挑战;而互联网金融基因的引入将真正倒逼金融体制改革加快推进,个人金融消费也将产生连锁突变。迫使商业银行进行业务创新,新的业务领域不断拓展,新的业务品种和科技手段层出不穷,但相关制度未及时跟上,蕴藏着新的操作风险。 2.制度执行不到位。突出表现在部分支行、部门内控管理软弱无力,规章制度得不到很好地执行,关键风险控制点失控。
(1)授权管理流于形式。有部分单位管理人员执行授权制度时,没有严格按照要求进行审查,没有进行重新录入核对,授权无审批记录,存在事后补记现象,甚至有的单位管理人员以信任代替原则,擅自将自己的密码泄露给一般柜员,使授权管理制度难以取到应用的控制作用,形成较大的安全隐患。
(2)岗位制约有名无实。授权分责原则是内部控制的重要原则,但在实际工作中,还有一些单位的重要岗位人员长期未进行轮换,强制休假也只停留在口头上,并没有付诸行动。
(3)现金管理明显偏松。主要存在库存现金长期超限额未及时上解或者随意调整现金余额的现象。
(4)密码管理形同虚设。有的会计人员密码长期未进行更换,离岗后没有妥善保管,甚至有的人员密码是公开的,起不到保密的作用。从分析近年来发生的案件情况来看,有许多案件都是内部人员盗用他人密码进行作案的,教训应该十分深刻。
(5)信用风险压力增大。总体上看,全行2013年至2014年新发放贷款资产质量较好,整体风险可控,但同时,受近年来宏观经济下行、钢贸、煤炭及担保圈等风险集中暴露影响,部分新发放贷款也面临严峻形势,存在着一些不容忽视的问题。问题主要集中在企业生产经营、财务状况、信用情况、外部环境等四方面,这些问题在相关企业中往往交互存在,反映出在经济“三期叠加”新常态下,信用风险管控面临较大压力,而相应的客户经理在贷后管理上未跟上,如:贷前调查不深入,关联企业未充分披露等。
3、制度保障不得力。
(1)业务部门自律监管重形式、轻质量。在实际工作中,业务部门越来越多地把主要精力放在业务经营上,对自律监管缺乏主动性和前瞻性,监督检查在很多时候存在走过场的现象,监管丧失了独立性和权威性,结果导致违规违纪甚至违法行为得以顺利施行。
(2)在监管过程中存在重对新发生业务的检查,轻对问题整改情况的检查,致使存在的问题长期得不到纠正。
(二)内控问题的原因分析
1.内控合规文化建设有待加强。
从内控合规文化建设分析,审计、检查发现的问题具有发生频率高,出现经济损失概率小的特点,有些柜员认为只要不产生资金损失,操作上马虎点无所谓,重复的业务操作使柜面人员责任心下降,风险防范意识淡化,长期与同事、客户接触,碍于情面,觉得不好意思太较真,久而久之以信任代替管理、以习惯代替制度、以情面代替纪律的不良文化影响了政策和程序的执行效力。一些员工制度执行淡薄,用信任代替原则,用习惯代替制度,业务处理走捷径,片面强调做好内控管理工作只是份内工作。
2.员工教育培训不到。
由于近年来新业务不断推出,网点转型的不断加快,一些员工尤其是新员工业务操作不熟练,或对相关制度不熟悉而产生的误操作等现象较多,给柜面业务高频低损、屡查屡犯的有效控制带来一定难度,人员流动性大,新员工较多,对他们的上岗培训只是入门学习,系统性、针对性不强,难以满足岗位操作的需要。在实际工作中新员工主要依靠传帮带的方式了解流程操作要求,尤其是现行的业务系统,使用交易码操作业务,诸多新柜员没有业务理论基础,对业务知其然不知其所以然,遇到稍复杂的业务就不能独立处理,对规章制度理解不到位,操作的规范性得不到保障。
3.制度的实用性较差,制度落实不到位。
互联网金融的蓬勃发展给银行业的收入端和成本端带来了不同程度的冲击。在收入端,互联网金融预计对传统银行营业收入影响在1%以内;在成本端,预计银行业至多5%的存款和理财资金遭受分流。总之,受互联网金融的影响,以及存款保险制和利率市场化的推出,银行相应的配套风险防范措施未及时制定。另外,传统银行经营模式的规章制度很多,但实际缺乏流程管理的规章制度,没有按流程建设规章制度体系,实际操作性较差。
4.监督检查不到位。
由于上级监督检查时间短,检查面窄,难以发现更多问题,加之检查人员自身业务知识的限制,对自己不熟悉的业务无法发现问题。
5.整改落实不到位。
对问题的整改就事论事,仅对检查出的问题及所涉及的机构和人员要求整改,不能举一反三并对需整改的问题在机构内通报,要求全体员工引以为戒。部分员工存在事不关己的思想,对别人出现的问题不关注,同样的问题往往会重复发生在不同的柜员间,没有从根本上分析问题产生的原因,从根源上提出整改的措施和要求。
6.考核机制不到位。
目前的考核机制更多地将业务指标与机构、员工绩效挂钩,对业务操作质量虽有要求,但具体的量化指标较少,只是出现了重大差错事故或案件时才会影响到机构、员工的绩效,在趋利导向上形成了员工重任务指标,轻核算质量、轻风险防范的现状。
7.经济下行压力大。
主要表现为部分企业由于自身经营管理不善,出现产品滞销、存货积压、订单减少或取消、销售回款不及时、资金链紧张或断裂而造成产能闲置、部分或全部停工/产等情况。
(三)内控问题的治理建议
基层机构审计、检查发现的屡查屡犯问题客观存在,形成的原因是多方面的;要治理和解决屡查屡犯问题,必须对症下药,多管齐下,标本兼治,疏堵结合。
1.加强合规文化建设。
一是培养合规文化,增强风险意识、制度意识、自我保护意识,营造良好的内控氛围。
二是联系员工的思想实际,加强廉政从业、职业道德、职业操守教育,强化风险管理理念,弘扬团队精神与敬业精神,使各级人员思想认识上高度统一,形成严谨、合规的业务操作。
三是将内控管理纳入到全行绩效考核体系,从强化管理、规范操作、安全运行、案件防控等方面进行综合评价,对内控措施得力,内控制度执行到位,内控水平显著提升的支行、部门、网点以及个人进行奖励。
四是树立“合规创造价值”理念,有效调动员工加强内控管理的积极性和主动性。
2.加快员工专业化建设,促进全员整体素质的提高。
抓好员工培训,提高员工整体素质和业务技能,重点做好基础和一线员工的培训工作,扩大培训的覆盖面,让员工真正熟悉制度、掌握系统,提升员工整体业务素质和业务技能。
一是组织员工学习规章制度,使员工清晰的掌握什么事情不能做,提高员工风险的识别、分析和判断能力。
二是组织有针对性的开展培训并建立培训档案, 针对不同岗位拟定不同的培训措施,建立员工培训档案,详细记录员工的培训项目、培训的级次、培训成绩等内容。
三是创新培训方式,实际工作中,要组织全行员工进行集中学习的难度较大,员工的参与积极性和培训效果不是特别高,除必要的集中培训外,建议多开展网上培训,由总行开发网上培训课程,不同岗位的员工培训重点有所不同,在规定时间内完成培训并参加网上考试,培训合格后发给证书,以便员工灵活掌握培训时间,取得更好的学习效果。
3.业务条线部门积极发挥业务指导与监督管理的职能。
一是建立规章制度网页,相关部门将现行适用的业务文件挂在网上,并及时更新、完善,使员工能随时查阅,业务操作有据可依。
二是做好标准化和规范化管理,对各岗位业务建立业务操作手册,规范每个岗位、每项业务的规范化操作流程,便于柜员掌握和执行,在此基础上,以关键岗位、关键业务、关键环节等风险防控重心,梳理建立作业标准、控制措施、控制手段,指导基层行开展风险控制工作。
三是加强信息沟通交流, 搭建业务交流平台,定期或不定期地对基层机构在制度执行过程中遇到的问题进行专业化指导,同时广泛征求其意见和建议;业务部门将各种检查发现的问题进行通报,各级机构、网点组织员工学习,不断总结,避免同类问题在不同机构重复发生。
四是充分利用柜面业务监测、稽核管理、档案管理等系统功能,进行非现场监控、持续的业务检查与管理跟踪,提高管理监督的规范化水平,提高管理效率,提升管理效果。
五是加大检查与辅导力度,尤其是对审计、检查问题加大关注与整改力度。 4.优化绩效考核机制。
一是建立内控绩效考核指标,加大正向激励力度,实现内控考核结果与整体绩效考核挂钩,促进各级管理者认真抓好内控管理工作。
二是按照发现问题的数量及严重程度对员工的合规操作予以量化考核,建立风险等级评价机制,通过对基层机构评价结果和排名的定期的公布全辖,并与机构和个人绩效挂钩。
三是将屡查屡犯问题治理纳入各级人员的工作目标,辅以适当的奖惩机制,调动其工作积极性;四是充分发挥积分的惩戒作用,通过认真实施积分管理,对屡查屡犯,重复违规的,不但要严肃处理,而且要加倍处理,用严厉的惩戒手段提高违规成本,使积分管理发挥其应有的作用。
5.加大整改力度,提升整改效果。
一是基层机构要针对本单位各类检查中发现的问题,采取有力措施在全辖范围内全面整改,注意举一反三,防止类似问题重复出现。稽核部门要加强对发现问题整改情况的分析和跟进,通过非现场分析和现场验证等方式,保持对高风险以及系统性问题的跟踪频度和力度,促进屡查屡犯问题的改进和解决。
二是针对信用风险问题,尝试根据发现的四大问题在系统中建立相应的检查模型,实现系统自动化排查风险隐患,发现新发放贷款客户存在的问题,从而更有针对性地采取现场检查,减少基层行自查工作量,同时也能够避免由于人工疏忽或主观判断失误造成遗漏“应查未查”客户。
6.加强信息科技建设,优化业务流程。
一是加快系统的改进升级,尽可能利用系统控制风险环节,从传统管理的发现问题事后补救的做法,发展为事前预防和事中控制,减少人为操作失误产生差错的机会。
二是提高系统的集中处理能力,能否通过系统改造,将业务数据、相应的凭证及交易场景的影像同步传输到远程授权中心,建立远程授权,建设前台柜员授权的压力。
三是推动业务集中处理,提高专业化处理能力,强化风险集中管理,如建立前后台分离制度,实施弹性工作制,使前台人员的主要精力放在业务营销上,后台人员的主要精力放在风险控制上,加强分工协作,提高专业化水平。
7.加快金融互联网风险防控制度的建立。互联网与银行业务的融合,将促银行转变传统经营方式,减少依赖传统化的专用资本,学会运用网络化的社会资本,这正是未来银行结构转型的重要抓手。作为商业银行,应尽快出台配套的风险防控措施,以适应商业银行新产品创新的需要。
四、结论
商业银行的内部控制工作作为一个庞大的系统工程,涉及银行业务操作和经营管理的各个方面,内部控制的建设任重而道远,因此,只有通过各层级行、各部门、全体员工的高度重视和不懈努力,从内部的机体着眼,在实践中不断完善和发展,才能实现内部控制在商业银行经营管理过程中的有效执行,才能服务于商业银行价值创造,适应金融发展的“新常态”。
参 考 文 献
1.美国COSO(美国反虚假财务报告委员会下属的发起组织委员会)发布的《内部控制---整合框架》
2.财政部《企业内部控制基本规范》
3.2014年9月12日,中国银监会以银监发〔2014〕40号印发修订后的《商业银行内部控制指引》
4.建行相关内部控制文件
