对加强我国商业银行内部控制的思考
摘要:本文客观地分析了目前我国商业银行内部控制建设在观念、体系、方法、技术和外部环境上存在的差距,借鉴国际先进银行经验,提出完善内部控制机制,必须加强内控管理文化建设,建立现代公司法人治理结构,构建内部控制管理体系,理顺内控程序,强化内控的监督和后评价。
关键词:商业银行 内部控制
目录
对加强我国商业银行内部控制的思考1
一、我国商业银行内部控制的现状和存在的缺陷1
二、对我国商业银行内控缺陷的成因分析3
三、对进一步完善商业银行内部控制的可行性建议6
金融时报 2002年4月5日第2、3版11
4、王长虹 《现行商业银行内控缺陷》 中华会计网 2004年2月3日11
内部控制是指银行内部的管理控制系统,是商业银行为保证各项业务和管理活动有效进行,保护资产的安全和完整,防止、发现、纠正错误和舞弊,保证资料的真实、合法、完整而制定和实施的政策与程序。完善的内部控制是商业银行推行全面风险管理的重要组成部分,也是商业银行审慎经营的前提。当前,我国商业银行加快建立和完善运转高效、控制严密的内部控制机制,不仅是抵御外部违法行为侵蚀的一道坚实“防火墙”,也是防范银行从业人员道德风险、规避职务犯罪等腐败行为的有效措施。
一、我国商业银行内部控制的现状和存在的缺陷
纵观20世纪90年代以来发生的诸多银行危机,我们发现,这些危机之所以发生,除了银行的管理监管不力外,银行内控制度存在重大缺陷或现有内控制度不力也是一个非常重要的原因。商业银行的内部控制在我国仍属于一个较新的领域,无论在制度设计方面,还是在实际操作方面,我国商业银行的内控体系都存在着不少的缺陷。
(一)对内控制度重要性的认识存在偏差。国有商业银行内部的某些管理者错误地认为,建立内控制度就是建章立制,有了规章制度,就等于建立了内控制度。忽视了内控制度是一种业务运作过程中环环相扣的动态监督机制;也没有意识到管理者和相关部门在内部控制过程中应当承担的职责。仅仅把内部控制当作上级对下级的管理手段;还有的把内部控制与业务发展对立起来,片面追求业务扩展,忽视了风险控制。
(二)法人治理结构不健全,内部组织架构尚不合理。内控目标的实现,要靠完善的组织结构作保证。我国国有商业银行目前还没有普遍按照现代企业制度的要求,建立董事会和监事会,内控组织体系缺乏真实的所有者主体。再者,内部审计部门尽管已相对独立,但还没有建立起内审部门直接向董事会和最高管理层负责的体制。另外,国有商业银行基层分支机构按行政区划设置的格局并未完全扭转,机构层次过多,环节过多,降低了内部控制的灵敏度,增加了组织运行的风险。
(三)对管理者缺乏有效的监督制约。任何严密的规章下都隐含着这样的一个前提:管理岗位上的人员是可靠的、尽责的。但实践证明,由于存在信息不对称,内部组织结构及分工不合理,管理者也有的不可靠,也就是说,权力必须有一定的监督和制约,否则,再好的规章制度也会因为管理者的疏忽大意而无法发挥作用。我国商业银行对业务经办人员的内控制度比较健全,而对于各级管理者,特别是基层机构负责人,则有不少盲点,近年来发生的一些金融案件表明,对部分基层机构负责人制约不严、监督失控是案发的主要原因。
(四)信息渠道不畅。由于国有商业银行分支机构管理层次多,信息的收集、传送、分析的手段落后,加之信息存在失真现象,致使全面、准确、快速传输信息的目标无法实现。从纵向上看,一些政策及相关实施程序没有较好地贯彻到每一位员工,员工对自己在内控程序中所起到的作用并不清楚;从横向上看,信息的交流没有畅通的渠道,许多信息无法共享。信息不能及时准确地提供,不仅不能发挥其在内控中的重要作用,势必会影响或误导下一步的控制对策。
(五)部分内控制度的建立相对滞后。近几年来,金融业务发展较快,新情况、新问题不断涌现,老的制度不能覆盖所有的风险点,新制度又没能及时完善充实,致使内控出现盲点,造成一定的风险隐患。
二、对我国商业银行内控缺陷的成因分析
2002年,中国人民银行发布了《商业银行内部控制指引》,并相继出台了一系列的制度、办法和措施,对我国商业银行内部控制建设起到了很大的推动作用。但由于我国国有商业银行内部控制的建立、形成与我国国有商业银行的全民产权制度、经济转型期特殊的经济背景以及传统的经营管理方式直接相关,这就决定了我国国有商业银行的内控机制建设与国外先进商业银行相比尚有很多薄弱环节。分析其成因主要有:
(一)经营管理理念和认识上的差距。过去一段时期,我国国有商业银行只追求经营规模的扩张,而不注重内部控制的建设和创新,或片面地将内部控制理解为规章制度的建立,而且将效益低下、经营亏损归咎于政策性因素和外部环境。在内控管理上表现为“四多四少”现象:一是抓业务经营多,抓内控建设和风险少;二是平时讲得多,具体落实少;三是应急“救火”多,平时抓案件防范与预测少;四是抓制度订立多,抓检查监督少。在把握内部控制与业务管理、内部控制与经营风险、内部控制与百年发展的关系上、认识上存在偏差。管理上不够规范,有的甚至内部控制与发展、内部控制与经济效益对立起来,在业务拓展和风险防范的抉择中,侧重于抓规模,抓效益,不切实际地追求所谓的“规模经济”,一味强调争取所谓的“生存发展问题”,盲目扩增营业网点,随意扩大经营范围,致使违规经营和帐外经营屡禁不止,其结果是业务不按规定的要求发展。资产在规模越来越大的同时,质量却每况愈下,最终导致管理上的失控甚至是经营和生存危机。
(二)内控机制不健全,制度落实不到位。一是职责不明,牵制乏力。目前有点银行不仅对违规违纪人员没有明晰的处罚条款,更无相应的执行主体。如多年来对放贷造成风险损失怎样界定、处理就无明确的制度规定,致使责、权、利脱节,信贷风险难以得到控制。同时上下级行、同级行各部门、各岗位之间自成体系,各自为政,缺乏必要的制约和监督机制。更有甚者,过去有的部门之间发现问题不是督促改正,而是调整账表隐瞒其违规违章行为,以至造成严重后果。二是内控制度不适应新业务发展的需要。如在会计核算手段日趋高效化、科学化的同时,原有的监督制约机制已不适应新业务及外币业务的需要,相应的会计电子化内控措施没有及时配套,形成了内控领域的“真空”,以至高科技作案时有发生,对银行资金构成严重威胁。三是有章不循,违章操作。从对有些银行现行制度的分析中可以看到很多内控制度是健全的,问题在于一些制度没有真正得到贯彻落实。由于人为地减少控制和逆程序操作,以至内部控制机制变形,失去了应有的刚性。四是职能监督岗的作用弱化。管理岗的人员缺位,职责游离,使监督制度本身形同虚设。如坐班主任主要是对柜面业务实施动态监督,但在实际工作中坐班主任或补岗填缺,或顶岗操作,职责无法履行。由于包括审计稽核、纪检监察部门在内的再监督机构“既向本行行长负责,又向上级行职能部门负责”,形同“外科医生给自己做手术”,再监督实际上陷入了一种自己监督自己的怪圈。结果,稽核出的问题,如果是行长的,自然不能也不敢暴光,如果是下属人员的,也怕影响行长政绩,大多是“大事化小,小事化了”。
(三)对决策者、管理者、责任人和分支机构缺乏有效的监督制约。目前我国国有商业银行实行的是一级法人下的分级行长负责制,银行内部经营管理有行长负责,行长既是国有资产所有者代表,又是企业法人代表;既是银行经营决策者,又是经营管理运作的执行者。公司法人治理结构基本上就是行长一个层次,对其权力行使缺乏应有的监督控制机制,行长的个人决策行为、业务行为、责任行为没有操作性强而又规范的制度约束,特别是“一把手”的行为主要取决于其“自律”程度。一家商业银行如果长期对分支机构失去控制,就可能危及商业银行法人的生存和发展。实践证明,没有内控制度不行,有了制度而没有有效的监督和控制则更不行。
(四)管理风险控制缺乏硬约束。风险控制是我国商业银行内部控制中的一个难点问题,也是一个薄弱环节。目前各商业银行以整体风险控制为目标的资产负债比例管理已得到有效约束,但以局部风险控制为内涵的授权分责管理还不严格,缺乏具体风险评估及控制为核心的信贷风险、交易风险管理等监控的手段,管理制度和评估方法也不完善。如在贷款发放上还 没有实行真正意义上的风险度管理,决策者不能据此做出正确决策和实行预警管理,这样从受理贷款业务的一开始就往往隐藏着难以预测的能力风险和道德风险。
(五)内部稽核监督职能作用未能充分发挥。这首先表现为内部稽核部门的独立性和权威性不够;其次表现为内部监督力量配备不足,监管人员素质不高;再次,内部稽核面过窄,频率偏低,履行职责滞后性比较严重。最后是表现为缺乏内部控制的综合评价体系。内部控制的检查评价机制是商业银行内部控制制度建设的重要组成部分,通过评价可以起到促进内部控制的不断完善和加强、保证内部控制合理性和有效性的作用。但从我国商业银行的实际情况看,目前国内多数商业银行在内部控制建设上更多着眼于完善和加强制度建设,对内部控制制度设计的合理性以及执行的效果往往缺乏有效的衡量、评价手段。因而如何借鉴国际先进经验,并结合我国银行业的经营环境以及内部控制管理现状进行积极的探索,摸索出一条内部控制评价的途径,已经成为完善我国商业银行内部稽核机制乃至内部控制制度的重要任务之一。
三、对进一步完善商业银行内部控制的可行性建议
十六届三中全会提出了把国有商业银行建设成为资本充足、内控严密、运营安全、服务和效益良好的现代金融企业。随着金融自由化、全球化趋势的加强和金融竞争与创新的发展,建立健全内部控制机制,推行全面风险管理模式是现代商业银行发展的必然趋势,也是商业银行谋求持续发展的最重要的方式。
(一)坚持以人为本,加强内控管理文化建设。内控管理文化包括商业银行员工的风险观、风险内部控制意识和风险管理职业道德等。这些内容决定了商业银行在内部控制管理上的价值取向、行为规范和道德水准,对银行内部控制有着极为重要的影响。各商业银行要进一步提高管理层和全体员工对加强内部控制建设的重要性、迫切性的认识,持续不断地进行内部控制培训,确保全员都具有内控管理观念、意识和行为规范,形成全行齐抓共管的内控建设文化。应该看到,银行内控管理薄弱,不仅会使从业人员滋生道德风险,直接导致金融职务犯罪等腐败行为,而且极易引发金融风险,最终影响经营安全和经济发展。因此,各行要十分重视开展法律法规教育和职业道德教育,树立起“严格、规范、谨慎、诚信、创新”的十字行风,增强干部员工遵纪守法的自觉性和拒腐防变的能力。
(二)建立健全现代公司法人治理结构。公司法人治理结构决定了商业银行风险内部控制中的权力和责任分配体系,是对商业银行所有者(股东)与经营者之间关系的一整套制度安排,也是商业银行的内部组织结构和权力分配体系的具体体现形式。我国商业银行要必须进一步深化改革,通过规范的股份改造,建立相对独立的内控机制,明确划分股东、董事会和高级管理层、经理人员各自的权力、责任和利益,形成三者之间的相互制衡关系,并通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制和事后评价的动态过程和机制,从而有效防范和化解经营管理中的道德风险和操作风险。当前,各国有商业银行应按照《商业银行内部控制指引》的原则,在全面清理现行管理制度和业务规章的基础上借鉴国际经验,尽快完善并形成一整套责权分明、平衡制约、规章健全、运作有序的内部风险控制体系和评价体系。针对国有商业银行内控管理上的薄弱环节,应重点指定对各级管理层的经营决策行为、业务行为与责任行为的运作规范和领导者经营行为与决策过程中的控制监督的管理办法,切实解决权力失控、决策失误和行为失范的问题,努力把经营活动中的道德风险降到最低限度,使违规违章经营和大案要案有明显下降。
(三)加快构建内部控制管理体系。商业银行建立健全分工合作、职责明确、报告关系清晰的内部控制管理组织体系是确保内部控制及时有效的前提条件。而有效的决策控制系统、执行保障系统、监控和预警系统,规范的内部管理制度和措施,独立的、有权威的内部稽核监督系统,完善的信息资料保全系统和业务操作的电子化控制系统是构成商业银行内部控制的基本要素。各商业银行应按照内部控制政策决策、制度建设、组织实施、监督评价四个环节,形成商业银行的内部控制体系。首先要根据现代商业银行的特点,从防范风险和提高经营效益的实际需要出发,对分支机构和内设机构进行改组和完善,实现内外部机构设置和业务运行的最佳组合,使组织管理体制和方式不断改进和完善。其次要尽快制定和完善内部授权和授信制度,对分支行或专业部门进行科学合理的授权,防止个人权力过大或化整为零逃避上级行监管的现象。再则要建立各专业、各岗位之间的相互制约关系和制度,赋予各岗位相应的责任和职权,规范操作程序,做到有章必循,违章必究。对重要岗位要建立轮岗制度,及时发现岗位存在问题和风险隐患,采取救急措施,不给违规违章或不法行为以可乘之机。第四要建立有效的信息系统及有效的交流渠道。通过建立数据库、模型库、方法库实现快速、准确的识别、预测和分析风险,提供内部控制的信息来源和最终的决策支持,建立和完善对可能产生的能力风险和道德风险实行“人+机器”的双重制约。
(四)进一步理顺内部控制程序。现代商业银行管理最显著的特征是法治而非人治,如果用简单的行政领导和个人经验来代替科学严密的制度规范,在时常经济条件下是不足以防范各类风险的。特别是现代金融教育的手段越来越发达,上亿美元的跨国金融交易可以在几秒钟之内完成,上亿美元的风险也可以在几秒钟之内从一国转嫁到另一国,防范管理风险的问题就变得更为突出。一家银行如果没有慎密有效的内控制度、合理的操作规程、相互制约的机制,其后果是不可想象的。因此,我国商业银行要按照巴塞尔新资本协议和监管当局的要求,理顺内部控制各环节的关系,结合流程整合与再造,按照前、中、后台的要求,对现有业务的内部控制程序,作出相应的调整。建立健全岗位授权管理的制约机制,明确各个岗位的职责和权限,严禁越权从事业务活动。随着业务的发展和经营形势的变化,内控建设又必须有一个逐步完善的过程。在学习国外业务操作技能和引进金融产品的同时,也要研究借鉴其相应的风险防范和控制方法。不仅要有审贷分离等制约制度和程序,而且还要结合自身实际和业务特点,建立风险识别、评估体系和风险评价制度。如每设立一个新岗位,每开展一项新的业务,管理办法、操作规程、制约措施必须及时配套,并使之在实践中不断加以修改完善。
(五)建立管理信息系统和信息交流制度。充分的信息和有效的交流,对内部控制体系的运作是不可缺少的,因此,国有商业银行必须建立一个涵盖其全部活动的管理信息系统,并定期对其进行测试,确保其安全可靠。建立有效的交流渠道,保证在纵向上、横向上信息交流渠道畅通无阻,确保有关人员掌握必要的信息;建立信息交流制度,共享信息,为内部控制体系各要素的运转提供有效的信息支持,以便及时发现内控过程中的问题并采取有效的补救措施,保证内控目标的实现。
(六)强化对内部控制建设的监督和后评价。各商业银行要切实做到内部控制建设有规划、有政策、有执行、有监督、有评价、有整改。内审稽核部门要按照有效性、审慎性、全面性、及时性、独立性和权威性的原则,对各业务单位和部门进行持续的内部控制检查,按照科学的考核标准对内部控制的整体建设和执行情况做出客观评价。鉴于我国国有商业银行现有体制,必须建立完善的内审稽核体系,构建以稽核监督为中心,以业务部门自律监管为基础,以纪检、监察、保卫部门案防教育与纪查为补充的综合监管机制,实行垂直领导和下审一级的内审稽核体制。要进一步转变稽核职能,把工作定位于高层次的职能监督,重点放在合规性稽核、风险稽核和对主要负责人的责任稽核三个方面,实现由查到防的转变,强化对各级行主要负责人的任期与离任稽核。内部监督部门要对稽核情况和业务检查活动进行再监督,并及时将监督评价的结果反馈给上级管理层。无论是稽核的监督还是业务管理部门的检查,抑或事后监督部门的监管,都应对查过的内容签字负永久责任和连带责任。要借鉴国际先进经验并运用现代科技手段,逐步建立覆盖所有业务风险的监控和评价预警系统,并进行持续的监控和定期评估,对业务发生后的风险状况进行跟踪监测。同时,针对我国商业银行自我约束不力、内控意识不强的现状,各级银行业监管机构要强化监管职责,建立内部控制评价制度的标准,加强监督和检查,并积极创造条件,促进商业银行不断完善内部控制,提升防范风险的能力。
参考文献:
1、中国人民银行《商业银行内部控制指引》 (征求意见稿)
金融时报 2002年4月5日第2、3版
2、张汉桥《金融机构内部控制及其评价》 红旗出版社 1998年
3、巴塞尔委员会 新《巴塞尔资本协议》 农行网 2003年4月
4、王长虹 《现行商业银行内控缺陷》 中华会计网 2004年2月3日
5、张平国 《国有商业银行内控建设存在的问题》 会计文苑网
2002年11月2日
