商业银行内部控制是银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。一个强有力的内部控制将有利于银行实现三大目标一一业绩目标、信誉目标、合规性目标,即有效的内部控制将帮助银行实现长期盈利,保证财务报表与管理报告的可靠性、完整性和及时性,并确保银行遵守相关的法律、管理条例、政策、计划以及内部管理制度及程序等。
为了促进商业银行达到上述目标,我们重点关注内部控制的五大因素:一是内部控制环境,银行机构要建立完善的公司治理结构,使各层次工作人员了解内部控制的重要性及自身在内部控制过程中的作用,并形成银行内部控制文化;二是风险认定与评估,银行机构必须能够认定影响其实现目标的重大风险,并对之进行持续监控;三是控制措施与职责分工,银行机构应建立适当的控制结构,明确每一业务层次上的控制措施,实行适当的职责分离,四是信息与交流,银行机构应确保内部财务数据、经营与合规性数据的可靠性、及时性,并建立能覆盖银行所有重大业务活动的管理信息系统,同时保证信息的充分交流;五是监督与纠正,银行机构应当由独立的、受过良好训练并具有合格工作能力的人员对内部控制制度进行有效而全面的内部审计,内部审计部门应直接向董事会及其审计委员会和高级管理层报告。
目前全球银行业及银行监管当局对内部控制日益关注,这是在一定程度上对若干银行机构产生大量损失后的回应。与世界上其他银行监管当局一样,我国银行监管部门非常重视银行的内部控制,并不断采取措施加强对中国商业银行内部控制的评估和监督。这些措施主要包括:1997年,监管部门制定了肋n5虽金融机构内部控制的指导原则》,2002年又对该指导原则进行了修改和完善,以进一步指导和促进中国商业银行建立更加有效和完善的内部控制制度;2002年,相继下发了《股份制商业银行公司治理指引》和《股份制商业银行独立董事和外部监事制度指引》,促进商业银行不断完善公司治理结构;近年来,银行监管部门要求并积极推动商业银行建立和实施统一授权授信、贷款质量五级分类等风险管理制度,以促进银行加强风险管理;2002年,下发了《商业银行信息披露暂行办法》,要求商业银行加强信息披露;加大对商业银行内部控制的评估与监督,对商业银行内部控制的检查与评估已经贯穿到每一次现场检查中,成为现场检查的一部分。
近年来,通过商业银行自身的努力,中国商业银行内部控制制度建设和执行情况已有了较大的改善。内控优先意识明显增强,内控环境得到改善,尚未出现大面积违规的现象;按照内部控制原则和防范风险的要求,商业银行调整和完善组织结构,明确职责,新建和修改了大量的业务规章制度和操作流程,目前大多数商业银行均建立了资产负债比例控制和风险管理制度、贷款质量五级分类制度和审慎的会计制度,风险控制措施逐步完善;管理信息系统不断升级,信息容量不断增大,支持了商业银行风险管理的需求;银行普遍建立了相对独立的统一管理、下查一级的内部稽核体系,内部审计的独立性不断增强,对规章制度合理性和经营活动合规性的反馈、纠正机制正在形成。
但是,我们也清醒地看到我国商业银行内部控制还存在一些迫切需要解决的重大问题:
一是银行公司法人治理结构有待进一步完善。近年来,银行公司法人治理结构虽发生了很大变化,但与真正市场化的货币金融企业相比仍相差甚远,主要表现在符合现代银行制度要求的公司法人治理结构尚未完全确立,与之相适应的自我约束和自我发展机制也需要进一步完善。股份制商业银行虽初步建立了现代银行制度的基本框架,但却不同程度地存在着公司治理架构不健全、决策执行体系构造不合理、监督机制有效性不足等问题。所有这些,都在一定程度上限制了银行内部控制的有效运行。
二是银行内控文化尚未得到真正的建立。内部控制是一个需要董事会、高级管理层和各级工作人员共同努力才能实现的过程。随着银行监管力度的加大和商业银行的改革与发展,银行内部人员的风险意识得到了增强。但内控文化并未在银行从上到下真正形成,特别是基层机构的部分工作人员还未充分认识到内控和风险管理的内涵。这些都将增大银行发现和防止失误的难度,加大出现违规行为的可能性。
三是控制分散与控制不足并存。控制分散表现为规章制度数量庞大,但分散于各类文件中,缺少整合:控制不足表现为有的控制制度尚未建立或尚不健全,管理部门之间的衔接不充分。
四是部分基层机构内控制度执行情况不容乐观,有章不循、违规操作的现象依然存在。
五是银行分支机构内控制度的检查、评价不足。内部控制不仅要求银行机构建立内部控制政策与程序,还要检查内部控制政策与程序是否得到了遵守。目前一些银行内部审计不足,对内部控制的检查频率和深度不能与银行机构的风险程度相适应,这在一定程度上影响了内部控制作用的效力。
最近在全面推进国有独资商业银行综合改革的同时,国务院批准中国银行和中国建设银行进行股份制改革,强调通过改革使两家银行建立起现代法人治理结构,并进一步加强外部监管。国家还为两家银行注资450亿美元,并要求进行财务重组,确保国家注入资金的保值增值。这是我国金融和经济工作中的一件大事,按这次改革的部门分工,银监会承担推动国有商业银行建立法人治理结构的职责。今后,我们将在以下几个方面促进商业银行内部控制水平的进一步提高:
建立完善的公司法人治理结构,加强对银行管理层的监督。按照已经确立的国有独资商业银行综合改革目标,我们最近对中国银行和中国建设银行提出了公司法人治理结构改革的十个方面内容:建立规范的股东大会、董事会、监事会制度;引进国内外战略投资者,实现投资主体多元化;制定清晰明确的发展战略,包括以实现利润最大化为目标研究核心竞争优势和市场竞争优势,制定与发展相适应的客户战略、业务增长战略、地域发展战略和持续增长战略;建立科学的决策体系和完善的风险管理体制,优化组织结构体系,建立市场化、规范化的人力资源管理体制和有效的激励约束机制;建立审慎的会计、财务制度和透明的信息披露制度;加强信息科技建设;发挥中介机构的专业优势,稳步推进商业银行重组上市进程;加强人员培训和公共关系宣传,确保改革工作顺利进行。这些改革内容同样适用于其他商业银行公司法人治理结构的改革。
建立良好的内部控制环境,培育内部控制文化。要使银行机构的所有工作人员都了解内部控制的重要性,熟悉岗位工作的职责要求,理解和掌握内控要点,努力发现问题和风险,而不是掩饰问题、遮盖风险,并积极参加内部控制,在银行内部形成良好的内控环境和文化。
建立健全风险识别和评估体系。要借鉴国际先进经验并运用现代科技手段,逐步建立覆盖所有业务风险的监控和评价预警系统,并进行持续的监控和定期评估。同时,高级管理层要及时对不断变化的环境和情况作出反应,适时修改有关内部控制制度,以应对新出现的风险或以前未能控制的风险。
建立完善的稽核审计体系,完善专业监督检查制度。要进一步在银行机构中推动相对独立的内部稽核体系建设,提高稽核审计独立性,提高稽核审计频率,提高稽核审计质量,注意使用外部审计力量和市场中介;进一步发挥银行机构各业务部门的专业检查作用,制定专业检查制度,加大专业检查力度,尤其是对一些重要业务、重点岗位的检查,以及时发现银行机构存在的问题和风险,特别是内部控制弱点、财务报表错误和经营安全等。
建立和完善信息系统及有效的交流渠道。要不断加大信息系统建设的投入,使信息系统能够覆盖银行所有的重大业务活动,充分满足银行风险管理的需求,并建立适当的组织结构、完善的工作制度和充足的交流渠道,保证信息的充分流动,包括信息上报、信息下达及机构内部信息的横向流动。
2004年对于中国银行业改革和发展将是极其重要和关键的一年。《银行业监督管理法》已经颁布施行。银监会作为中国银行业监督管理机构,将依法履行职责,倍加关注商业银行内部控制的建设和发展,加强监督和检查,并积极创造条件,促进商业银行不断完善内部控制,提高防范风险的能力。