商业银行内部控制是指商业银行内部自觉主动地通过建立各种规章制度,以确保管理有效、资产安全,最终实现安全与效率的目标。为此,商业银行内控制度必须在银行内部保证国家有关法律法规和央行监管制度在各部门和各级人员中得到正确且充分地贯彻执行,以有效杜绝内部人员的违规操作、内部欺诈与犯罪行为。
从近几年广东地区发生的信用证骗汇案、“皮包公司”骗贷案、假按揭案、内外部勾结转移资金案、员工监守自盗案等案件看,金融案件给国家带来的经济损失无不数额巨大,暴露出商业银行内控管理中存在的巨大风险。
内控管理的风险表现原因
1.外部竞争激烈导致经营风险增大
加入WTO后,随着金融市场开放程度的不断扩大,我国商业银行面临更加激烈的竞争环境和更加复杂多样的风险。具体表现在:一方面,以扩大资产规模为战略重点的商业银行为获取较高的资产收益和资产增长速度,压低价格和放宽条件发放贷款,使银行资金营运风险程度加大。另一方面,在激烈的金融竞争中,商业银行为占领并扩大市场份额,各种金融新产品和新业务在银行资产负债表外迅速滋生,使得银行在不知不觉中承担了各种潜在风险。
2.制度存在的固有缺陷导致制度风险显现
一是制度空缺风险,商业银行正常经营所必须具备的若干基本规章制度,在某些地方还存在盲点。没有规矩不成方圆,出现风险损失自然不可避免。二是虽有制度,但制度设计漏洞多,许多制度设计从方便自己工作出发,对方便客户和防范风险考虑的不同。三是有章不循,本来就不多且还存在漏洞的制度,在实际工作中也没有得到认真执行。有章不循、检查监督不力,是案件居高不下的主要原因。
还有一个致命的问题,就是人员风险。因为制度和体制是由人来设计的,各项工作也是由人来干的。但由于没有形成防范风险所要求的激励约束机制,员工队伍不纯,鱼龙混杂,并且员工专业水平不高,缺乏识别风险和防范风险的意识和能力,更易导致经营风险发生。
内控制度缺陷是银行风险存在的内部原因
1.内控制度的适应性不足
对内控制度的认识存在偏差,内控规章制度不健全,在理解上存在偏颇之处。仅认为内部控制是各种规章制度的制定、装订、汇总等整章建制方面的工作;还表现在业务开拓与内控制度建设缺乏同步性,特别是新业务的开展缺乏必要的制度保障,风险较大。
2.内控制度的整体性不够
对所属分支机构控制不力,对决策管理层缺乏有效的监督。对业务人员监督得多,而对各级管理人员监督得较少、制约力不强,内控制度缺乏刚性。
3.内控制度的权威性不强
审计资源配置效率低下,稽审职能和权威性没有充分发挥,内部审计部门没有完全起到查错防漏、控制风险的作用。
健全商业银行内部控制体系的构想
(一)内部控制发展的过程
内部控制制度的发展经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架等几个阶段。目前理论界和实务界对内部控制的认识尚不统一,多数人对其认识仍停留在内部控制制度和内部控制结构阶段。应该说,内部控制整体框架更为完善,具体体现在内容方面,在控制环境中增加对全体员工的诚实、职业道德和胜任能力的要求,并增加风险评估这一新的控制成分,强调单位要为实现目标分析相关风险,以构成风险管理的基础,而且将会计系统改为信息与沟通系统,扩大了信息系统方法和记录的内涵。
在现代公司制下,以保护资产和查错防弊为主要内容的内部控制,明显不能满足需要。这种内控职责不仅仅包括财产的安全完整和会计资料的真实可靠,还将促进单位贯彻其经营方针及提高经营效率纳入其中,这是公司治理结构对内部控制提出的新要求。因此,商业银行的内部控制构建思路是:明确各控制成分之间的相互关系,建立以控制环境为基础、风险评估为依据、控制活动为手段、信息与沟通为载体,监督与控制为保证的内部控制整体框架。
(二)实现有效控制的原则
1.管理控制的特点
控制作为组织管理的一项基本职能,主要是通过发挥“纠偏”和“调适”两方面功能,促使组织更加有效地实现其根本目标。其特点包括:一是具有明确的目的性,为实现组织目标而活动。二是具有整体性,从控制主体看,管理控制应成为组织全体成员的职责,而非管理人员的职责,这是现代组织中推行民主化管理思想的重要方面;从控制对象看,管理控制覆盖组织活动的各个方面,包括人、财、物、信息资源等,使各方面的控制能力能协调一致,达到整体优化。三是具有人性,管理控制本质上是由人来执行的且主要是对人的行为的一种控制。管理控制应成为提高员工工作能力的工具,控制不仅仅是监督,更重要的是指导和帮助。只有员工认识到纠正偏差的必要性并具备纠正能力时,偏差才会真正被纠正。
2.有效控制的原则
首先,有效的管理控制必须能够反映一个组织的结构状况并通过健全的组织结构予以保证,否则只能是空谈。其次,有效控制应突出重点,强调例外,找出和确定最能反映或体现经营成果的关键因素加以控制,根据偏差反映事态严重程度进行判断。再者,有效控制应具有灵活性、及时性和
经济性的特点。内部控制体系应适应内外部环境的变化,具备及时纠正功能,同时要坚持适度性原则。为进行控制而支出的费用和由控制而增加的收益都直接与控制程度相关。控制系统越复杂,控制工作力度越大,只意味着控制的投入大,此时未必计划目的更易实施或实现。最后,控制过程应避免出现目标扭曲
问题,避免出现“不是组织在运用控制职能,而是控制在束缚组织”的控制功能障碍。
(三)构建“以人为本”的内部控制管理体系
1.以“人本主义”作为构建内部控制机制的信条,营造良好的内控管理文化氛围。具体表现在内部环境的控制,包括领导班子与组织机构控制、人力资源管理、安全保卫及法规管理、信息系统控制等方面,既要重视正式约束的建设,也要充分考虑非正式约束的作用。从内控管理降低银行风险的角度看,好的非正式约束有助于人们价值观念、道德规范的形成,自觉约束人们的行为,减少制度对其的强制性。从而节约银行运行中处理磨擦的费用和正式约束制度成本的支出,避免出现再好的正式约束制度由于没有非正式约束的配合导致“好看不中用”尴尬局面。
为此,首先要建立内部控制管理理念,也就是风险控制思想。银行每项业务都是伴随着对风险的
分析、评价、监控、转移、分解等处理方式展开的。内控管理是银行提高核心竞争力的重要手段,关系到银行的生存和
发展,要使全体员工都要有这样一种理念,作为组织行为的共同指导思想,促使由决策层、执行层和监督保障层共同构建的风险内部管理体系充分发挥相互制衡作用。再者,要建立合理的内控管理激励约束机制,充分实现内控制度管理的多元化目标。作为制度建设者、执行者的人,是内控管理的基础,只有充分发挥了人的能动性,才能激励其自觉实现内控管理目标。
2.以“风险评价”为依据,通过建立内控评价管理办法推动内控管理工作有序开展。
(1)制度建设评价标准
内部控制制度建设评价标准,首先要遵循国家的
金融监管政策
法律法规;二是遵循“控制论”的基本原理,既要具有完整性和有机结合性,又要以“有效控制”为原则,通过对信用风险、市场风险、操作风险等有效监测分析、有效控制银行经营活动;三是遵循
电子技术的程序化和
科学化原则,将内控资料规范存储和积累,便于监测、分析和评价工作的顺利开展。
(2)制度执行评价标准
内控制度执行评价标准包括内控环境、内控风险识别、内控活动的有效性、内控信息的交流反馈。一是内控环境标准,包括:内控执行人员的价值观和道德观是否完整可靠;内控激励约束机制的作用程度是否达到预期目的;各级管理层的内控意识是否牢固树立;内控人员的内控能力是否与其责任相匹配;内控用人机制是否健全有效;内控管理层和监督层对内控是否给予了充分的关注等。二是内控风险识别标准,包括:内控管理的总体目标和分项目标是否明确,二者的关联程度如何,各级管理层为确保整体目标实现的参与情况和承担责任是否清晰、明确;是否建立了对内部和外部内控风险预测和识别机制,即内控风险预测是否透彻和恰当,内控风险评价概率和频率依据是否准确可靠,是否建立了内控风险的预测和识别的反应机制。三是内控活动的有效性标准,包括:银行的每项经营和管理是否都设有恰当的风险监控活动;内部风险控制活动是否保证内控指令得到全面的执行;通过内控活动的实施是否及时有效地化解相关风险。四是内控信息的及时反馈标准,包括:是否建立了各种有效的内控信息交流反馈系统,即内控系统岗位员工通过内控责任的履行,发现可疑和不轨行为是否及时将信息传递给管理层,管理层是否将内控信息以一定方式及时转达给有关人员有效履行其内控职责,达到内控的预期效果;内部控制系统当中每位员工和每个内控管理部门所负有的内控管理信息的交流职责、交流渠道、交流方式、交流时间是否真正明确;内控信息的上传下达和横向交流手段与方式是否切实可行、及时有效等。
(3)内控制度保障评价标准
一是是否建立和设置了适时跟踪评价反馈内控情况的渠道和工作程序以及组织保障措施。二是内控体系中各个职能部门之间的内控制约关系是否建立和运转有效。三是内控制度的缺陷是否得到及时的发现和纠正。四是随着银行业务的不断拓展和品种的创新,内部控制制度、程序和政策是否得到了及时的调整、修正和完善。
3.以“高效信息沟通”为依托,通过电子化信息交流渠道的安全运转,保证银行内控体系有效运作。通过建立风险报告制度保证风险管理的信息沟通,保证决策层能够通过内控评价和风险报告,对内控状况进行检查评价,对风险监测报告进行整理分析,做出有分析依据的判断决策;执行层在责任划分和权限内履行风险内控管理职责监督检查层通过对决策管理层和执行层工作的事后再监督与检查,对违规违纪行为进行处罚。
只有形成内控管理有标准、部门设置有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核的全面有效内控制度体系,才能确保商业银行实现经营目标。