浅析银行业金融机构内部控制管理存在的问题与优化建议
2018-07-12张汉
张 汉
(上海国际信托有限公司,上海 200002)
2017年全国金融工作会议上,习近平总书记在阐述金融工作三项任务之一的“深化金融改革”时,再次强调了要完善现代金融企业制度、公司法人治理结构和风险管理框架,强化风险内控机制建设。在经济建设转型发展的新时期、新形势、新要求下,银行业金融机构获得了健康有序的发展环境,同时也面临着依法合规经营的更高要求和更为复杂严峻的考验。因此,建立健全自身严密的内部控制体系,就成为银行业金融机构防范和化解金融风险、保障持续经营的最基本要求。
1 银行业金融机构内部控制概述
内部控制是一种管理体系,是整个经营管理过程的一个重要阶段,是现代分权管理的重要手段,是提高管理效能的一种先进方法,是实现组织管理高效化、专业化、规范化、自动化最基本的条件。根据COSO 委员会发布的《内部控制——整合框架》,内部控制是由企业董事会、管理层和其他员工建立并实施的,为达到或实现企业经营效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程,体现了全面、全员、全过程的控制理念。
银行业金融机构的内部控制体现的是一种自律行为,是金融机构为完成既定的工作目标和防范业务风险及员工道德风险,对内部各职能部门及其工作人员从事的业务活动进行风险控制、制度管理和相互制约的方法、措施和程序的总称。对于银行业金融机构而言,内部控制通常包括内部组织结构的控制、授权授信的控制、信贷资金风险的控制、会计系统的控制、计算机业务系统的控制等。
2 银行业金融机构内部控制存在的主要问题
我国银行业金融机构内控体系和发达国家或是更为先进的金融企业相比,差距主要表现在以下几个方面。
2.1 内部控制环境不成熟、理念不普及
(1)公司治理结构尚不完善。现代企业制度要求企业建立规范的公司治理结构,股东大会、董事会、监事会、经理层应互相监督制约。但仍有部分银行业金融机构在公司治理结构方面存在不足,控股股东掌控公司经营,股东大会、监事会没有充分发挥监督制约作用,经营授权不合规、不合理,经营决策机制缺乏必要的依据,从而容易发生违规、越权、决策失误、滥用职权等问题。
(2)对内部控制的认识不充分。内部控制需要董事会、高级管理层和各级工作人员共同努力才能实现,但部分金融机构的高层对内部控制重视程度不够,合规经营的意识淡薄,把内部控制简单等同于各项日常规章制度,对员工缺乏必要的宣传教育,防范各类风险的意识薄弱。有些机构甚至把案件的发生仅仅归咎于员工的道德品质出现问题,而忽视了内控制度流程方面存在的漏洞和薄弱环节,没有充分认识到内部控制是一项在业务实际操作中层层监控、步步把关的工作机制。由此造成内控机制未能充分发挥应有的作用,组织内部没有形成良性的内控文化和合规氛围。
(3)业务发展与内部控制的关系不平衡。实现公司经营目标是实施内部控制的目的之一,但是有些金融机构重业绩、轻管理,重规模、轻效益,片面地认为如果按照内控规范要求去做就会影响业务的增长,把内部控制等同于各种内外部检查,直接放在了业务发展的对立面上。一味追求业绩,只顾业务拓展,忽略了必要的风险控制,一旦发生风险事件,出现违法违规行为,必将造成资产损失,反而影响了经营目标的达成。
2.2 风险控制机制不健全,风险评估方法不科学
(1)风险控制的职责分工不明确。业务管理部门、内控管理部门、风险管理部门和内部审计部门在公司风险管理中常出现交叉管理,所承担的职责界定不清,出现问题以后容易产生推诿扯皮现象。
(2)风险管控范围不全。我国金融改革不断深化,随着银行业金融产品的不断创新,市场和监管环境的调整,随之而来的各类风险也凸显。但我国银行业金融机构的风险管理目前主要是针对信贷业务和信用风险,对于利率风险、汇率风险、市场风险、流动性风险等都还处于摸索和完善阶段,对于跨越其他金融行业的交叉风险更是缺乏管理经验和方法,银行业金融机构的风险隐患正不断聚集。
(3)风险度量方法待改进。我国银行业金融机构对风险的评估度量主要还是使用定性分析方法,而在国际上或是先进的金融机构中,已广泛使用定量分析方法。用定型分析方法去评估那些可量化的金融业务风险,其结果的科学性和可靠性就难以得到有效保证,进而影响到后续内部控制措施的制定与实施。
2.3 内控制度体系不健全,控制活动执行不到位
(1)内部控制制度设计存在缺陷。在银监会的严格监管下,目前我国部分银行业金融机构逐步建立起了各种与内控有关的规章制度,但很多或是停留在指导意见或方针政策层面,或是分散在各项具体的业务操作流程中,既缺乏可操作性,也不够整体和全面,有的制度间甚至存在相互矛盾,影响内控制度的有效性。有些内控制度在设计上就存在漏洞或者盲区。例如有的制度对普通员工严格要求的同时却对公司高级管理层没有设计规范的监督制约机制,没有将权力控制在制度的笼子中;有的制度没有充分考虑到不兼容岗位需要进行风险隔离,一岗多责,造成违规行为有机可乘;有的制度设计已经不适应新环境、新业务、新系统的发展需要,导致内部控制出现盲区。
(2)内部控制活动未严格执行。有的银行业金融机构虽然有制度,但实际操作人员合规意识淡薄,忽视了这些控制活动,有规不依,甚至故意变通绕过控制,致使重要风险控制节点失效;有的金融机构常以成本控制和人手不足为由,一人兼职多岗的情况仍然存在,近几年在印章、有价单证及各类凭证方面就已发生过因被同一人管理而作假的情况。
2.4 内控管理的信息交流与沟通存在不足
(1)信息沟通传递不顺畅。银行业金融机构一般层级较多、机构数量庞大,如商业银行从总行到分行、支行,分支机构设置层次较多,内部还分很多不同业务板块,业务流程纷繁复杂,数据信息分散,涉及人员众多,信息传递及反馈的渠道会出现断层,要求的上传下达很难保证被贯彻落实到位,使得内部控制管理信息的获取、归集和分析存在较大难度,影响了内控制度、流程在机构内部的实施效果。
(2)信息系统建设不匹配。银行业金融机构正逐步推行信息系统化,业务、财务等各类应用系统在金融机构中广泛运用,但配套的内控制度流程和控制措施却没有及时更新补充完善,有些金融机构为了不影响业务,在应付系统使用要求的同时,仍通过手工纸质操作进行处理,操作过程繁冗低效,有些分支机构不适应总行的新系统,仍沿用陈旧系统进行业务操作,导致数据交换出现问题。信息系统的不统一、不完善,给银行业金融机构整体的信息数据管理带来隐患,影响了内部控制的有效性。
2.5 内部监督机制缺乏有效性
一是内部审计等监督部门及人员配备不足,银行业金融机构,特别是商业银行,机构数量庞大、从业人员众多,在内部审计部门和审计人员编制上往往是不足的,内部审计的频率与覆盖面达不到合规合理的水平,监督职能未能有效履行。二是部分机构仍停留在以事后检查为主的监督方式上,缺少对事前和事中的风险防范和控制,不能从公司经营和业务整体的角度进行监控。三是监督方法有待改进,银行业的金融创新正不断深入,以往以查漏补缺为主的监督方法已不能适用于新业务、新产品的风险管控,没有运用到内控流程设计执行、考核问责等综合性内控方法,影响监督成效。
3 银行业金融机构内部控制的优化建议
COSO发布的《内部控制——整合框架》是目前世界上最著名的内控理论之一,它从控制环境、风险评估、控制活动、信息和交流以及监控五个要素建立起一套通用型的内部控制模型。银行业金融机构应借鉴COSO的五要素模型,结合全面风险管理要求,建立健全符合行业特点的内部控制运行体系。本文以此为基础提出以下建议。
3.1 完善内部控制体系,培育良好内控文化
3.1.1 建设以风险为导向的内部控制体系
体系的建立需要首先完善公司治理结构,应明确董事会是内部控制的第一责任人,高级管理层负责内部控制的日常运行,董事会下设专业委员会,履行内部控制管理的相应职责,评价内部控制的有效性,监事会对董事会、高级管理层建立与实施内部控制进行监督。其次,银行业金融机构需进一步建立健全内控“三道防线”机制,业务部门和员工是内部控制的第一道防线,肩负业务拓展与落实内控要求的任务,应严格规范操作流程和控制节点。专业的内控管理或风险管理部门是第二道防线,统筹组织内控建设,制定统一的内控政策、风险识别评估标准,指导和监督第一道防线的内控工作执行情况,对发现的内控缺陷及时督促落实整改,促进流程优化和系统完善。内部审计部门作为第三道防线,检查和评估内部控制政策、制度及内部控制执行的有效性,促进金融机构更好地提升风险管控能力。
3.1.2 加强内控文化建设
内控文化是银行业金融机构内部控制环境中的一个重要因素。良好的内控管理文化,可以从根源上防范和控制各类风险。一是管理层重视。内控文化的建立与高级管理层对内部控制的态度有很大的关系,如果管理者相信内部控制在企业管理中能发挥重要促进作用,那么企业自上而下都会落实内部控制,良好的内控文化自然建立起来。二是增强全员内部控制意识。银行业金融机构有很多关键岗位,每个岗位的员工都应该接受宣传教育、学习培训等,以此培养其内控管理理念,让全员参与内控,帮助他们理解和支持公司日常经营管理,自觉地履行内控职责。
3.2 健全风险评估机制,运用科学评估标准和方法
在内控模型中,风险评估是一项重要的管理活动,只有以风险为导向,才能更好地发现制度流程中存在的问题,并设计出合理有效的风险管控措施。
3.2.1 加强风险管理职责
银行业金融机构在完善法人治理结构的基础上,进一步规范机构各层级在风险管理中的责任、权力、义务,相互配合、各司其职,能具备分析识别经营管理各个关键环节风险的能力,对最可能产生风险的环节应该建立严格的操作规范、设立明确的应对措施。
3.2.2 加大风险识别与评估的范围
银行业金融机构不仅要控制信用风险,更要对市场风险、流程性风险、汇率风险以及来自创新业务的合规风险等进行全方位的识别与评估,防范各类风险发生转移和扩散,促进专业部门的设置和专业技术人员的配备,加强制度程序性的防范手段,提高风控技术能力,确保风险评估活动的连续性和完备性。
3.2.3 制定统一的风险评估标准
进一步推进风险识别、评估及计量的体系化、科学化。银行业金融机构应充分借鉴国内外先进经验,设计风险计量模型,补充风险数据库,建设风险管理信息系统,从而逐步建立起一套科学的风险评估方法,保证相关风险的及时识别、充分计量,从而制定合理的风险应对策略。
3.3 完善内部控制活动设计,提升风险控制成效
3.3.1 优化内部控制制度体系
银行业金融机构应打破内部制度本位主义、自管门前雪的管理模式,应以完整的业务流程为制度纽带,对制度、程序、方法进行全面的梳理和优化,规范描述流程上各个关键环节的控制活动,便于各岗位人员进行日常操作和执行。同时还要根据内外部形势和监管政策变化,以及业务创新情况,及时更新或补充相关的规章制度和操作流程,提高时效性和可操作性。
3.3.2 强化决策权力制衡机制
银行业曾经在经营上发生的违规行为甚至重大案件,很多情况下与权力过于集中、缺少监督制衡机制有关。为防止这种问题再次发生,银行业金融机构应明确机构负责人的相关责任,设立决策约束制衡机制,对决策行为进行加强约束监督。
3.3.3 明确经营授权机制,严控岗位职责分工
银行业金融机构的业务活动一般都需要多部门、多人协同处理,而且根据业务的不同,各级人员的权限也会有所区别。因此机构应明确业务流程中岗位责任、操作标准,将责任落实到人,提高制度的执行力。对高风险领域的岗位进行适当的职责分离,确保一人不能同时兼任两个以上不兼容岗位,并对关键岗位实行定期轮换制度,形成有效的制约机制,降低风险隐患。
3.3.4 建立完善的考核和激励约束机制
银行业金融机构应将合规经营、内部控制执行情况作为考核员工业绩的重要指标之一,督促员工遵章守纪,对于制度执行不力的严格进行问责。通过绩效分配、股权和福利等激励措施来促使管理层和广大员工积极执行内控管理制度。
3.4 完善信息沟通传递机制,建立先进信息管理系统
银行业金融机构在业务发展中应规范对各种内外部信息的收集、整理加工、传递和反馈的工作程序,明确信息的获取范围、交流渠道、保密要求等,严格遵守信息管理相关制度。同时,还应建立统一的管理信息系统,通过数据库、数据处理程序等应用系统,实现快速、全面、准确的数据预测和分析,以此加强信息技术处理和分析运用,提高信息管理工作的质量和效率,促进信息对经营决策的支持保障作用。
3.5 完善内部控制评估,强化内部审计监督约束
3.5.1 开展年度内部控制自我评估工作
银行业金融机构应按照《企业内部控制基本规范》的要求每年都要开展内部控制自我评估工作,由内控管理部门组织各级机构和各业务部门对自身的内控情况进行自我检查,程序上一般包括梳理内控制度、风险识别与评估、内控设计有效性测试、内控执行有效性测试、缺陷整改和年度报告等,以此形成内控自我评估的闭循环。通过这样的自我评估和诊断,推动机构建立起内部控制内生式的长效机制。
3.5.2 建立高效的内部审计监督系统
银行业金融机构内部审计部门负责内控评价工作,是各项内部控制措施得到有效实施的重要保证。一是银行业金融机构要建立起扁平化管理的内审体制,内部审计部门向董事会或审计委员会直接汇报,保证其独立性和权威性。二是内部审计部门要把工作定位于高层次的职能监督,审查重点要向全面风险管理和综合经营管理转移。三是倡导并实施风险导向审计,实现由查到防的转变,要由过去对会计资料的详细检查转变为以评价内部控制系统为基础的抽样检查,并借助对内部控制系统的评价结果确定审计的重点、范围和方法。四是由事后审计转变为事前、事中、事后审计相结合,做到事前预防、事中阻止。五是培养高素质的内部审计人员队伍,通过强化审计培训、组织内外部交流等方式,引入国外先进的审计理念和审计技术,普及审计创新意识,提高审计人员的综合素质。
[1]潘晓梅,陈萍,基于风险管理的企业内部控制框架构建[M].北京:经济科学出版社,2010.
[2]王晓琴.金融机构内控体系问题探讨[J].时代金融,2013(11).
[3]韩羽.浅谈金融机构内部控制的日常化管理[J].商场现代化,2015(22).
[4]陶以平.新形势下对银行业内控体系建设实践的思考[J].国际金融,2015(2).
[5]王晓娟.企业会计的财务管理及内部控制研究[J].中国市场,2014(52).
[6]郗望.论互联网金融企业的信息系统内部控制管理与创新[J].中国市场,2016(1) .