【商业银行的内部控制与风险管理】
2013-04-11
【商业银行的内部控制与风险管理】
商业银行的一切活动都是围绕着银行价值最大化的目标展开的。这些直接创造价值的经营活动和间接创造价值的管理活动构成一个有机体,它们以产品线为链接,使每一个活动或每一个环节的出口都成为另一个活动或环节的入口,每一个活动都不可能脱离其他活动而孤立存在。这些活动的有序进行必须通过内部控制方可实现,而体系化文件则成为这些活动得以有效实现的依据。这就是说,商业银行要有效开展其经营活动以达价值最大化目标,必须建立起有效的以体系化文件为特征的内部控制体系。但这种价值最大化必须是经过风险调整之后的概念,即银行的经营活动只有在风险可控的状态下进行,才能达到预期目标。因此,商业银行的内部控制与风险管理又有着密切的、不可分割的联系,前者为后者构筑基础、平台,后者则在此基础上实施有效的风险管理,并支持商业银行总体经营目标的实现。
一、明确内部控制与风险管理的关系
一是,内部控制的理念和实施路径与全面风险管理的理念和实施路径是一致的。内部控制旨在建立一个适应商业银行运作的系统的、透明的、科学的、文件化的内部控制体系框架,实现对各类风险系统、连续、有效地控制,最终为实现银行的发展战略和经营目标奠定坚实基础。其实现路径则是运用“过程方法”和“管理的系统方法”,全面梳理业务和管理活动的流程,识别、评估流程中的各类风险,确定控制措施及要求,并通过“内部控制环境”、“内部控制策划”、“实施与运行”、“监测评价与持续改进”、“信息交流与反馈”五大功能模块的文件化系统的运行,形成对风险进行事前预防、事中控制、事后监督纠正的动态过程和机制。全面风险管理则也是旨在建立一个包括对信用风险、市场风险和操作风险等各类风险在内的有效的风险管理体系,促进银行价值最大化的目标在风险可控的状态下实现。其实施路径也是通过对各类风险的识别、计量、分析、控制,使各类经营活动在风险可控的状态下运行,实现收益与风险控制的最佳结合。因此,从这个意义上讲,两者是一致的。
二是,内部控制体系实施的过程即各类风险识别、计量、控制、监测的过程。内部控制体系主要是通过“五大功能模块”的有序推进和相互作用而发挥其功能的:着力营造一个治理结构完善、职责分工清晰、最高管理层高度重视并充分参与的内部控制环境,有助于打造一个清晰的、与商业银行发展战略一致并符合法律法规及监管部门要求的内部控制政策;有了清晰的内部控制政策,有助于在识别与评估风险的基础上,确定与内部控制政策一致、体现持续改进要求并尽可能量化的内部控制目标,构建内部控制框架;通过对所识别风险采取有效控制措施,能够使金融产品的价值创造过程和支持过程处于控制状态,以有效规避风险;而通过对内控体系的运行状况进行持续的、不间断的监测,又能够及时发现损失、险情及不符合事项,采取控制及纠正措施,并督促持续地改进与完善;通过建立与内控目标相适应的信息交流机制,又能够确保董事会和高级管理层及时了解核心业务及重要管理活动的相关信息,在险情、事故发生时,能够得到及时报告和有效沟通,以研究制订相应的控制方略。不难看出,内部控制体系实施的过程,也就是对各类风险识别、计量,控制、监测的过程,而且随着这一过程的不断循环往复,商业银行的基础管理会不断增强,各类风险管理工具在此基础上的运用会更加富有成效。
三是,内部控制体系为风险管理、尤其是操作风险管理积累数据,奠定基础。内部控制体系所确立的内控原则、内控目标和内控框架,是符合巴塞尔银行监管委员会《有效银行监管的核心原则》以及中国人民银行《商业银行内部控制指引》的要求的,对风险的监测和控制是全方位、多层面的。尤其是通过不断地对各类、各层次风险的监测和评估,可以识别某类风险在某一部位或某一环节发生的频度以及造成损失的严重程度,以便在采取有效措施加强控制的同时,不断积累数据,建立操作风险分类系统,开发操作风险管理工具,进而为建立管理模型奠定基础。因此,内部控制体系的有效实施有助于商业银行全面风险管理能力,尤其是操作风险管理能力的有效提升,这在我国商业银行现阶段操作风险频生的情况下尤为重要。
四是,内部控制体系通过评审及持续改进功能,促进风险管理能力的不断提升。“监测、评价与持续改进”是内部控制体系内生的一个非常重要的功能。其可贵之处在于彻底摒弃了过去对问题部位的单点式、间断式、就事论事式的评价与改进方式,代之于全面的、持续的、系统的监测与跟进方式,对于全面加强商业银行的基础管理,提升其风险管理能力有着非常重要的作用。现阶段,商业银行基础管理的薄弱已成为其风险管理工具运用和风险管理能力有效提升的重要掣肘因素,有章不循、违规越权等问题屡查屡犯、屡禁不止,不仅加大了监管成本,而且成为案件频发和问题资产的一大根源。究其原因,就在于没有一个系统控制及持续跟进的机制,使得同一部位类似的问题不断发生,很大程度上抵消了现场检查及责成整改的效果。这一问题若不从根子上解决,商业银行的操作风险引发的恶性案件以及造成的资产损失就不可避免。因此,建立内部控制体系,充分发挥其持续监测与跟进改进的功能,着实已成为商业银行提升基础管理能力和风险管理水平的当务之急。
需要指出的是,内部控制又不等同于风险管理。首先,从实现目标看,内部控制的目标是建立适应商业银行运作的系统的、透明的、科学的、文件化的控制体系,实现组织的规范有序运行;风险管理的目标则是通过对业务运行中各类风险的识别、评估、计量、控制,消除风险隐患,实现银行价值的最大化。其次,从控制手段看,内部控制主要通过一套体系化文件对银行的经营和管理活动进行控制,并通过体系内生的监测和评价功能形成持续改进的机制;风险管理则主要运用信用、市场、操作等风险分析模型,通过授权、评级、限额、组合分析、经济资本配置等风险分析工具及手段,对银行的各类业务和管理活动进行管理和控制。再次,从控制方式看,内部控制主要运用“过程方法”和“管理的系统方法”,形成对风险进行事前预防、事中控制、事后监督纠正的动态过程和机制;风险管理则主要通过理念的灌输使风险意识渗透于银行业务的全过程和产品制作的各环节,并通过各类风险分析模型和工具跟进运行过程,不断发现问题及时预警并跟进控制措施。如果说内部控制侧重于过程本身和结果评价的话,风险管理则更重视一个过程的前端及控制措施的有效性,并设法将预测到的风险隐患消灭在萌芽状态。
二、我国商业银行内部控制的现状及差距
我国商业银行内部控制的总体状况是令人担忧的。作为内控薄弱结果的突出显现,商业银行案件的频发,违规越权事件的屡禁不止,主要资产业务的事前、事中、事后控制的不到位,又构成不良资产生成甚至损失的动因。而其背后的体制性、机制性因素又是构成内部控制失效的根本性内因。
一是单点、条线式的控制,使得商业银行的内部控制不能够成为体系。我国商业银行注意内部控制是从20世纪90年代国有银行商业化改革开始的,也可以说是从90年代初期的粗放经营引发了多起案件和大量不良贷款中汲取教训而开始关注的,还可以说是从英国“巴林银行事件”中得到启示而引发思考的。但即便如此,这种处于“初级阶段”的内部控制多是单点、条线式的,即针对某一风险点采取某项控制措施,或者负责某一条线的业务部门实行自上而下的风险控制。这种控制在某一环节或某一业务品种可能是有效的,但由于各业务环节和各业务条线未能有机连接,不能形成网络状的体系,使得业务运行中的各个部位和各个环节不能形成平衡制约或相互支持,因此,必然造成总体上控制不足或系统控制失效,使内控难以达到预期目标。
二是间断式、就事论事式的控制,使得银行缺乏持续改进的动力和机制。为达到规章、制度执行有效,减少操作风险的控制目标,商业银行内部及外部监管机构组织了多次、甚至是大规模的现场检查。但每次检查都会发现大量的、以前检查中发现并责成整改的问题,本次只是在不同的部位、以不同的形式又表现出来,而且更多的竟是在相同部位、或相同形式再次发生。究其原因,主要还是这种检查是不定期的、视银行管理者或监管部门的管理偏好而定的,是非制度化的。因此尽管每次检查过后督促整改的意见中都有“举一反三”的要求,但由于没有形成制度化的、持续跟进的机制,因此改进的效果必然是“就事论事”式的,而非从根源上查找原因并加以系统整改的。
三是文件繁多甚至政出多门,是引发控制“盲点”或控制不力的原因所在。公文作为指挥一个组织开展活动的主要形式,近几年在商业银行发挥到了极致。因为这些年商业银行的改革任务重,业务发展快,文件无疑也发得多。但由于这些文件是总行在不同时期由不同部门制作出来的,且有的同一时期不同部门针对同一事件发文,尽管各有不同职责,但之间重复、甚至相互矛盾的事情时有发生,使得下级分支机构执行起来无所适从。同时,大量的、根据新的情况不断修订的规章制度不断覆盖以往的制度,也往往使分支机构执行时要费很多周折才能搞清楚,但难免有疏漏的时候。这种大量的、未能体系化的文件,不仅影响执行效率,而且影响执行效果,同时还有“挂一漏万”之虞。上述问题在商业银行层级管理体制下造成的信息传递层层衰减的状况下就更为突出。
四是内控管理基础极为薄弱,操作风险隐患很大。伴随着20多年来我国经济的快速发展,我国银行业也获得了迅速发展。从我国商业银行能够提供的服务品种和能够进入的业务领域来看,与国外商业银行已不差上下。但在市场的反应能力、业务的创新能力、管理的规范能力和风险的控制能力等方面还存在较大差别,尤其在流程的科学性、管理的规范性方面差距更大。突出表现在:第一,制度的修订滞后于市场的变化和业务的发展。这种滞后可能导致两种后果:其一是禁锢该项业务的发展,削弱银行的竞争力;其二是业务发展挣脱制度禁锢,但容易造成无制约的风险或违规操作主嫌。第二,制度的执行软弱无力。近几年监管部门及银行自身的检查均表明,商业银行对规章制度的执行能力存在诸多薄弱环节,使得内部控制在业务运行的一些环节及部位失效,导致案件频发及由此造成惨重损失。第三,对制度覆盖的充分性和执行的有效性缺乏考核和评价。现在商业银行的考核体系偏重于当期经营绩效的考核,对基础管理的贡献度尚无量化的计算并将其纳入考核体系之中。由此引发的一个直接后果就是基础管理的位次总也排不上去,因此管理薄弱的状况总是得不到有效的改观。
三、强化内部控制,全面提升我国商业银行风险管理能力的思考和探讨
要改变我国商业银行管理基础薄弱,操作风险频升的现象,就必须着力构筑内部控制体系,使之成为商业银行打造公司治理结构、改革管理体制及运行机制、有效运作各类风险管理工具的一个基础平台,彻底消除在过去单点、单线和间断式控制下造成的内控不力或失效的问题,全面提升风险管理水平,增强核心竞争能力,不断缩小与国际先进银行的差距。由于内控体系的建造和维护其持续运转是一个宏大的、系统的,长期的工程,需要决策层的正确决策、管理层的高度重视和全体员工的全面参与,并要持之以恒地推进下去,唯此,才能使之建立并运转起来,也才能在运转中不断地改进,实现过程中的“螺旋式”上升。
第一,内部控制体系的构筑必须从最基础做起。通过上述分析,建立内部控制体系的必要性是不言而喻的,从缩短与国际先进银行风险与内控能力的差距看也必须有强烈的紧迫意识。但内控体系的建立是一个系统工程,必须从最基础的工作做起,包括理念培训、文件清理、流程梳理、风险点识别、控制性文件的编制及不断评审、持续改进及信息反馈等等。理念培训是内控体系得以建立的最基础、也是非常关键的一个环节,只有将内控的理念植根于各管理层、执行层及每位员工的灵魂深处,风险控制才能成为自觉的意识和行为,银行的经营目标才有可能实现。同样,文件清理和流程的梳理也必须做细、做实。因为只有通过对现有文件的系统清理,才能识别出有效文件和无效文件、一次性文件和循环使用的制度性文件,从而将有效文件和制度性文件加以整合,与流程的梳理形成映射。同理,只有通过对业务流程和管理流程的系统梳理,才能将各产品线的制作流程识别清楚,才能进一步弄清楚各产品线之间、各产品线与管理流程之间的接口与出口,也才能在梳理的过程中识别各类风险点,进而明确控制措施,并将这些控制措施通过体系化文件嵌入各类产品的制作流程中,从而实现对业务运作的全面、系统的风险控制。因此,必须潜下心来,扎扎实实地做好体系建立的前期基础工作,奠定比较坚实的基础。
第二,公司治理结构的建立及管理体制改革推进必须以内控管理平台为基础。要建立内控体系,必须创建良好的内控环境。一般说来,完善的公司治理结构是实施有效内控的前提。但在我国商业银行的现有条件下,公司治理结构尚未建立或正在建立,因此内控体系建立不能坐等公司治理结构完全建立起来之后再着手打造,而应不失时机地向前推进。这就需要有一个衔接,即在建造内控体系的过程中密切关注公司制改革及与之相应的内部管理体制改革的进展情况,并将改革的内容及时吸纳到内控框架。反之,应考虑以内控体系的建造为基础,在公司治理及内部体制改革的安排、机构的设置、必要的职责分离、报告线路等方面要与内控体系有机衔接起来,切忌搞成“两张皮”。唯有这样,才能真正起到内控体系支撑公司治理结构建立和内部管理体制改革顺利进行,公司治理和内部体制改革有效支持内控体系运转和内控目标实现的良性作用。这里应该着重指出的是,内部管理体制改革必须要考虑打破“层级制”的管理模式,推进各业务条线的“单元制”,尤其是风险管理的独立性和垂直化更要先行,否则很难从根本上改变内控措施难以奏效甚至失效的局面,建立符合现代商业银行内控要求的长效机制。
第三,要探索建立推进内控体系持续运转的考评机制。内控体系的建立不是目的,目的是使其运转起来,通过运转发挥其识别风险、评估风险并有效管理和控制风险的作用。因此必须建立一种机制,使其能够推进内控体系持续不断地运转。否则,花费很大力气建造起来的文件化体系很可能被束之高阁,变成“中看、中听而不中用”的东西。由于内控体系在加强商业银行基础管理、防范操作风险方面具有不可替代的作用,以及目前该方面的薄弱状况和在商业银行管理考核中排不上位次的现状,可考虑将对内控体系运行状况的审核及评价结果作为商业银行综合考评的一项重要内容,设置一定的权重,使考评结果与商业银行的资源配置密切挂起钩来。只有这样,内控体系的运转才能够真正被重视,其对商业银行经营目标实现的支持作用才能真正发挥出来。
第四,要以评审推进内控体系的持续改进。内部审核作为推动内控体系不断改进的持续动力,是内控体系建立和维护过程中的一个核心环节。要使内部审核真正发挥其作用,需要建立起三个层面的审核或监督,使其在独自发挥作用的同时又形成有机的整体:一是各业务条线的自我检查。即各业务条线定期对其经营活动、尤其风险点进行梳理检查,对发现的问题及时纠正。二是承担内控管理的综合部门(一般是风险管理部门)定期组织全行性的评审活动,从各业务条线抽调审核人员对各业务条线进行交叉评审,作为上报管理层进行管理评审的重要依据。三是审计部门定期或不定期组织对内控体系运行及控制状况进行评审,并作为董事会进行内控政策及目标调整的重要依据。这种环环相扣的自我监督和评审,可以在确保审核的覆盖面,使全员、尤其是操作岗位的员工参与其中的同时,保证审核的专业性以及审计部门评审的独立性,同时保证评审的制度化,从而使风险得以有效识别并使体系得以持续、有效改进。
第五,要在内控体系的基础上着手模型的开发和电子化手段的应用。内控体系的建立和运行旨在有效防范和控制风险、尤其是操作风险,因此不能满足于手工操作,必须在条件许可的情况下抓紧推进电子化建设。可考虑在内控体系全部运转起来并逐步趋于稳定的基础上,以内控体系明确的工作流程为对象,将有关控制程序和措施固化到计算机系统中,并有机与各业务操作流程系统连接起来,形成一个能有效地监测内控体系运行的电子化管理系统。同时,运用体系建立和运行过程中识别出的风险点以及针对风险点采取控制措施的有效性监测情况,积累这些风险点发生实际损失的事件及频率,逐步建立操作风险“分类树”和数据库,开发操作风险控制的模型,设置操作风险限额,并有效配置操作风险资本,以更有效监测和控制风险。
(招商银行股份有限公司石家庄分行郑晓东)