一、我国商业银行内部控制管理现状
我国商业银行经过十多年的探索实践,初步构筑起对各项经营管理活动全方位覆盖、全过程监督的内部控制体系,但内控状况并未达到预期效果。根据某银行省分行2011~2013年度内外部检查发现问题,按照内部控制的五个要素分析,我国商业银行内控管理在内控设计和运行两个层面存在以下缺陷和不足。从内部环境来看,设计层面存在组织架构设置缺乏系统性、内控管理职责不够清晰、内控考核机制需完善、内控文化建设需深化、分支机构管控需加强等问题。如在支行没有明确具体的部门或团队专职承担内控合规工作的统筹管理,在分行部门没有明确的内控合规管理人员;内控体系建立不是以流程为导向,业务管理以部门为单位,尚未建立流程负责人或控制负责人的概念。运行层面存在主动管控意识不强、内控资源投入不足、员工教育培训力度和针对性不够等问题。如基层员工参与完善内控体系建设的积极性不高,中高级管理人员对内控建设工作主动意愿不强;部分人员片面地将内部控制等同于牵制、制衡、复核、监督,认为内控建设只是内控部门的职责,在业务发展碰到难题或有压力时,错误地把内控建设与业务发展割裂对立。从风险评估来看,设计层面存在风险识别评估体系建设不足的问题,运行层面存在风险数据管理能力不强、重点领域风险管控形势严峻等问题。2011~2013年内外检查揭示问题总数和关注类及以上问题逐年增长、员工行为失范问题呈逐年上升趋势、操作风险隐患不断、信用风险管控难度加大,问题主要分布在会计出纳、信贷、电子银行和银行卡等方面。如员工违规行为表现形式趋于多样化,由与客户发生非正常资金往来,发展到违规经商或在外兼职、利用信用卡套现、出借账户、飞单销售理财产品等,违规手段随着互联网金融的发展也越来越隐蔽,更多的是通过控制账户而非使用本人账户进行违规资金操作,监测难度加大。从控制活动来看,设计层面存在制度建设体系不完善、缺乏对业务流程风险和控制的识别和描述、内控管理的系统控制水平不高等问题。如部分制度仅有禁止性规定,但对“怎么做”没有明确规定;未能及时将内控管理要求有效嵌入业务系统,系统不能自动识别代收工资账户、不能自动解冻和解挂、不能对信用额度自动控制等。运行层面存在业务流程运行不畅、制度执行不力、对创新业务管控不足、内控管理滞后于业务发展、关键岗位人员的管控不到位等问题。近三年来超过90%的违规问题发生在一级支行和营业网点层面;违规问题主要集中在客户经理、临柜柜员和营业机构负责人等岗位,其中客户经理由于岗位工作的特性,管控难度最大。从信息沟通来看,设计层面存在信息交流和沟通机制不完善、信息资源共享平台建设不足。运行层面存在部门间信息交流不通畅、内控管理的资源与信息不能充分共享。目前商业银行没有建立制度化的信息收集、传递和共享渠道,信息资源共享渠道未能有效打通,信息局限于单个部门或机构内部或分散在各个业务系统的现象仍较为常见,形成一个个的信息孤岛。从内部监督来看,设计层面存在内控三道防线的内部监督职责尚未有效厘清、内控问责机制不健全等问题。运行层面存在内控监督检查就事论事、部门条线尽职监督管理不到位、整改工作需加强等问题。近三年发现问题结构特征明显,高发业务领域、环节、管理区域、工作岗位基本保持不变,但整改工作更多关注问题个案,针对问题根源的解决措施不多。
二、我国商业银行内控管理面临的新形势
(一)外部环境发生深刻变化。
国际金融危机爆发后,全球经济进入低速增长期,国内经济缓中趋稳,发展转型加快,金融体制改革和政策调整预期加强,银行业面临着同业竞争加剧、利率市场化加速、盈利模式转型等多重挑战,经营环境严峻复杂。随着《巴塞尔协议III》、《企业内部控制基本规范》和《商业银行内部控制指引》等文件的颁布与实施,国内外相关监管政策体系逐步健全,监管要求日趋严格,差异化宏观审慎监管政策对银行风险管理提出更高要求,规范融资业务活动成为银行业务监管重要议题。特别是随着金融消费者权益保护意识的增强、保护金融消费者权益正成为银行内控管理的重要内容,银行须采取有效管控措施约束市场行为。
(二)内部管理面临巨大压力和全新挑战。
业务和产品创新加快对内控管理机制的健全和完善提出新要求。如无卡二维码支付服务、虚拟信用卡产品等创新类支付业务的开发;银行防堵各类外部欺诈事件、堵截未遂刑事案件数量居高不下,内控案防压力还会持续增长。在发展形势向好的情况下,内部管理容易出现松懈,如不及早遏制,势必影响银行持续健康发展。在战略发展不断加深的情况下,更加需要做好业务发展与内控管理的平衡,如为了即期利益而放松风险控制,就可能在客户准入和产品开发等环节埋下风险隐患;在增长冲动下扭曲激励机制,就容易诱发个别员工铤而走险;开展创新而风险防控滞后,低风险业务也会出现合规缺陷成为高风险业务。
三、商业银行全面内部控制管理体系建设的主要对策
(一)树立全面内控管理新理念。
充分依托、融合企业文化、合规文化建设,倡导并培育“诚信合规、内控优先”的内控文化,使其成为员工共同遵守的基本信念、行为规范。整合管理资源,建立一体化、系统化的内控管理运行机制,推动内控管理向全方位、过程控制转型,由单纯监督向监督与服务并重转变,由结果检查向结果与过程检查并重转变,由现场检查为主向现场与非现场并重转变,由个案问题的查纠向对全行系统性、全局性风险的监督评价转变。
(二)夯实全面内控管理制度基础。
做好制度梳理工作,分析内控管理中存在的薄弱环节和带有普遍性、倾向性的问题,为制度制定及管理决策提供参考依据;做好制度后评价工作,有效解决跨部门间关联业务产生的“制度盲区”,促进全行制度流程的持续优化。此外还要大力推进制度执行力建设。开展合规文化宣教,加强制度宣讲学习,让员工掌握制度规定要求,正确处理业务发展与风险控制的辩证关系,杜绝和减少变相、选择性、应付式执行的现象;加强对检查监督成果的分析,查找制度缺陷,督导业务部门及时修订制度,切实解决制度不好用的问题;对不遵守规章制度的行为,及时进行责任追究。
(三)完善全面内控管理组织体系。
完善组织结构,建立分支行两级内控委员会;制定分行本部、一级支行、二级支行、三级合规经理制度;明确职责,发挥委员会的统领作用和合规经理队伍的职能。加强组织系统培训,提升员工素质,促进员工自觉遵守职业操守,珍惜职业生命;完善考核方案,将兼职合规经理履职考核纳入个人绩效计划书,考核比率不低于30%;加强管理风格、经营理念、企业文化、内部控制意识等建设,坚定员工信仰和合规追求。突出抓好柜员、客户经理、网点负责人等关键岗位风控管理,在人员选聘、绩效考核、日常监督等方面的精细管理。
(四)加强全面风险主动管控。
一是抓好重点领域的风险防控工作,加快风险管理技术创新,主动争取差异化监管政策支持;重视经营转型和业务创新中的风险,严防新产品设计和业务营销中的合规风险和操作风险;防范不规范经营造成的合规风险和声誉风险;重视社会融资活跃和外部欺诈猖獗的风险冲击,建立外部风险防火墙;关注员工行为管理,防范道德风险。二是梳理风险点,突出防控重点。加快建设风险量化管理信息系统,实现操作风险的主动性、科学性、前瞻性管理;认真梳理风险防控要点,使员工掌握业务流程中的关键风险点;做好事前风险评估工作,及时发现、提示并控制风险。三是定期开展内部控制状况全面扫描检视,全面查找内控缺陷,及时进行修改完善。
(五)全面提升基础管理水平。
推进信贷精细化,强化对行业客户的“预管理”,落实“潜在授信客户名单”制度;加强信贷制度建设和信贷政策管理,不断优化信贷业务流程;做实贷后管理和风险控制。推进财会精细化,规范财务开支管理,强化财务合规意识;优化经济资本配置,提高资本回报和定价管理水平;加快全面预算管理体系建设,优化财务资源配置机制,保障战略传导到位。推进运营精细化,深化集中作业模式改革,完善标准化基层管理系统;推动运营准入管理前移,建立新业务、新系统和临柜业务制度的扎口准入机制;加强操作风险薄弱环节管控,建设现代运营体系。推进零售业务精细化,固化操作系统、探讨员工行为管理新模式、创新零售条线尽职监督工作方式,夯实业务发展根基。
(六)运用信息技术提升全面内控管理能力。
一是提高内控管理的系统控制水平。将控制措施嵌入业务流程,实现对内控管理的自动管理;优化整合各专业监测预警系统,建立一套全面的内控信息化系统,实现内控措施的事前、事中控制。二是优化内控合规系统管理和应用。做好系统基础信息管理,确保检查信息及时收集、高效传递、便捷共享;强化系统检查成果的综合利用,分析数据,挖掘经营管理的突出和共性问题,完善制度流程建设,提升内控检查价值。三是建立内控信息监测数据库。建立分行内控数据监测制度,开发相应管理系统,持续不断地收集汇总与内控管理相关的内外部信息,使之成为内控管理动态分析及应用的综合化信息工具,为内控管理量化技术的运用奠定基础。
(七)构建集约高效的全面内控管理监督体系。
强化尽职监督,落实业务部门内控管理职责,厘清各业务部门职责边界,避免监督工作重叠、交叉和缺失;加强监督队伍建设,建立相对系统完整的运营监管、风险经理队伍,承担财会运营、信贷业务、个人业务的日常监管;加大再监督力度,强化考核引导,推动业务部门有效履职,提升监督质量。完善检查管理,建立检查工作管理机制,强化计划统筹,避免重复和无效检查;实行自查与他查发现问题区别对待机制,鼓励自查自纠;推进检查模式转型,加大非现场监测,大力推进监测分析模型建设,形成“指标预警、模型监测、精准核查、及时处置”的工作机制,实现对业务经营的全过程控制;开展动态内控评价工作,由每年一次的综合评价转变为每半年或每季度一次的动态评价;加大重点领域检查力度,以风险线索为导向,利用案排、飞检、移位、专项等多种方式,突出对重点单位、重点部位、重点业务、重点人员的风险防控。
四、结语
总之,商业银行只有形成有效的内部控制体系,做到“管理有标准、部门有制约、岗位有职责、操作有制度、过程有监控、风险有监测、工作有评价、责任有追究”,才能形成风险防范和内部控制的长效机制,实现安全性、效益性和流动性的有机统一,实现质量、速度和效益的协调发展。
作者:陈晓嘉 张长安 刘杰 单位:湖南大学金融与统计学院 中国农业银行湖南省分行
