我国上市商业银行内部控制现状与完善对策分析,本文主要内容关键词为:商业银行论文,内部控制论文,对策论文,现状论文,我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
近年来,我国银行业在完善内部控制制度,强化风险管理方面取得了长足进步,但金融大案、要案的频频发生仍暴露出银行业在内部控制方面还存在着诸多漏洞。《企业内部控制基本规范》(以下简称为《基本规范》)及其配套指引的发布,无疑为商业银行建立和完善内部控制体系提供了一个有力的指引,上市商业银行应适时利用这一契机,切实做好本公司内部控制建设、梳理、实施与评价工作。
截至2009年12月31日,我国1837家上市公司中上市商业银行共有14家,从公布的内部控制百强企业的结果来看,14家上市商业银行均位列其中,具体排名见表1。从表1可以看出,银行业整体内部控制质量和水平较高。这主要是由于银行业本身具有高风险的特点,对内部控制的建立健全具有内在诉求与外部监管的双重要求。
具体从14家上市商业银行的排名及内控指数分析,则表现出明显的区间差异:落在1~10名次内的有9家公司;10~20名次区间有1家;20~30的1家;30~40的2家;50~60的1家。这些银行的内部控制有何差异?与《基本规范》相比还有哪些差距?为回答上述问题,本文以《基本规范》为指导,通过搜集、整理2009年度14家上市商业银行的公开资料,包括公司年度报告、内部控制自我评价报告、社会责任报告等定期公告、临时公告和公司的规章制度等,分别从内部环境、风险评估、控制活动、信息与沟通和内部监督五个方面对14家上市商业银行内部控制状况进行具体分析。
一、内控环境建设薄弱,意识弱化
一是公司治理方面,部门分工不明晰。14家上市商业银行均按照相关法规要求,建立了由股东大会、董事会、监事会和高级管理层构建的现代股份制公司治理框架,但公司治理在具体实施过程中存在差异。以中国银行和南京银行关于专门委员会的表述为例,中国银行分别就战略委员会、稽核委员会、风险政策委员会、人事和薪酬委员会、关联交易控制委员会的构成、职责、会议内容及各委员出席会议情况等细节在报告中进行了详细披露。而南京银行仅以“报告期内,发展战略委员会、风险管理委员会、提名及薪酬委员会、关联交易控制委员会、审计委员会共召开了14次会议,研究和审议了公司2008-2010年跨区域发展规划、风险管理限额体系建设规划、高级管理层薪酬和考核激励办法、关联方和关联交易认定,审计制度完善等重大事项”笼统带过。披露详略的不同在一定程度上可以反映出公司治理机制在各公司具体实施过程中的差异,而这种差异可以部分解释公司之间内部控制水平差距的问题。
二是人力资源政策方面,重视程度不够。根据《基本规范》的要求,企业人力资源政策主要有聘任、培训、员工辞退及辞职、薪酬与考核、晋升与惩罚、强制休假制度和岗位轮换制度、职业道德修养和专业胜任能力等7个方面内容。14家上市商业银行具体执行情况见表2。
从表2可以看出,招商银行、民生银行、深发展3家银行在公开资料中均未明确提到“人力资源政策”这一概念,对员工的政策均在其社会责任报告中体现。其他明确提到“人力资源政策”的11家银行都较为重视对员工的培训、绩效考核以及薪酬管理。从人力资源政策的具体实施情况看,11家银行的公开资料披露有差异,以招商银行和宁波银行为例,招商银行针对员工聘任,制定了《人员录用管理办法》和《员工招聘规程》;针对员工培训以及解除劳动合同,制定了《劳动合同管理暂行办法》、《劳动合同管理操作流程》等一系列相关制度;针对绩效考核,公司引入个人绩效合约、目标考核管理、行为能力评价等先进工具;针对员工的岗位轮岗,招商银行制定了《关键岗位人员岗位轮岗和强制休假暂行办法》。而宁波银行在公开资料中并没有对人力资源政策进行实质性规定,仅在其《内部控制自我评价报告》中指出“公司将对包括职位体系、绩效管理体系、薪酬体系、能力模型以及员工职业生涯设计等方面的人力资源管理体系进行全面梳理和完善,以进一步优化公司人力资源管理体系,提升人力资源竞争力。”总体来看,上市商业银行对人力资源政策中职业道德修养和专业胜任能力重视程度还不够。
三是银行特有的企业文化欠缺。14家银行对企业文化的理解和关注存在一些差异,比如中国银行、中信银行、建设银行、工商银行都围绕“诚信、创新、责任、风险”进行企业文化建设,南京银行等几家银行将企业文化建设重点放在内部控制文化上开展,宁波银行则没有明确提出企业文化建设思路。可见,企业文化建设在银行业内部具有差异,突出表现在:第一,对企业文化的理解具有差异。一些银行将企业文化局限于内部控制文化,虽然内部控制文化是银行企业文化的重心,但内部控制文化并不能代替银行企业文化的所有方面。第二,企业文化建设特色不足。银行的企业文化应体现出自身的独特性,这样才能保持其旺盛的生命力和独特的魅力。然而现实中,银行的企业文化理念共性的内容较多,而一些银行特有的,如防范风险的特殊文化均没有体现出来。第三,没有体现高层领导的主导作用。领导的示范和榜样效果有利于企业文化在公司内部的推广。从14家银行披露的信息来看,涉及员工参与的较多,但都没有明确指出董事、监事、经理及其他高级管理人员在企业文化建设中发挥了哪些主导性的作用。
二、风险识别与分析能力不强,缺乏针对性的应对措施
风险评估是实施内部控制的前提条件和开展内部控制活动的重要保证。《基本规范》中风险评估包括控制目标、风险识别、风险分析与风险应对四个方面。14家银行具体执行情况见表3。
从表3可以看到,首先从控制目标分析,14家银行都有控制目标,但对控制目标的表述趋同性很强,如中信银行内部控制的目标是“有效保证本行经营管理合法合规、资产安全、财务报告及相关信息真实完整,确保本行战略目标和经济目标的实现”,中国银行的表述是“本公司内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略”。可见上市商业银行提出的控制目标仅是为符合规范要求,并没有起到实质性的作用,这与《基本规范》规定的“企业根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估”要求有较大差异。
其次,从风险识别来看,虽然14家银行公开披露的信息中都涉及到对外部风险和内部风险的识别,但就需考虑的风险因素及对风险关注的力度方面,各银行之间存在差异。以中信银行和南京银行为例,从披露的风险类型看:中信银行面临的风险主要包括信用风险、市场风险、流动性风险、汇率风险、操作风险;南京银行面临的风险主要包括信用风险、市场风险和操作风险、流动性风险及法律与合规风险。可见,两家银行对内外风险的关注力度不同。从对各风险关注的力度看,虽然两者都较为关注各自的信用风险,但关注深度仍有差异:中信银行分别从公司贷款风险、中小企业贷款风险、个人贷款风险、信用卡风险、资产业务风险、贷款检测及贷后管理、贷款分布、贷款质量分析、贷款减值准备等8个方面对风险信用风险进行了考察。与此相比,南京银行对信用风险的识别就显得相对单一。
再次,从风险分析来看,14家银行对风险分析都采用了定性和定量的方法,但总体表现出定性方法运用较多,风险量化分析有待加强。从风险分析的技术手段上看,14家银行存在差异。如与南京银行相比,中信银行具有“天眼”信贷预警系统、用于计量市场风险的Panorama系统、用于产品估值的Numerix系统等,这些先进管理系统的引进,有利于提升风险分析的水平,节约人力资源,提高企业效率。
最后,从风险应对来看,14家银行总体表现不佳。从实践层面看,上市公司应该针对特定风险,综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。但从14家银行披露的相关信息看,大多没有就特定风险提出相应的风险应对策略。
三、控制措施不完善
《基本规范》规定,企业控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等8个方面。14家银行具体执行情况见表4。
从表4可以发现,14家银行对控制活动的披露大致有两种类型,一种是按照《基本规范》要求格式对控制活动进行披露,以工商银行和北京银行为代表。另一种是按照银行主要业务进行披露,例如中信银行以授信业务、资金资本市场业务、中间业务、计划财务、会计及柜台业务、计算机信息系统、法律风险与反洗钱方面为模块对控制活动进行披露。两种类型相比,第一种方式较为全面,第二种方式针对性强。银行可以将两种方式结合起来运用,使得信息披露既体现银行特色,又较为全面可比。如商业银行可在符合《基本规范》要求的基础上,增设“业务控制措施”部分,用于披露企业主要业务控制活动情况。
四、信息收益与沟通机制有效性不足,信息系统建设滞后
《基本规范》规定信息与沟通包括信息收集、信息沟通、信息系统、反舞弊和举报制度5个方面。14家银行具体执行情况见表5。
从表5看出,14家银行中有4家银行没有明确披露“信息与沟通”方面的信息,其余10家公开披露了相关信息。从披露信息的10家银行看,内控指数较高银行的“信息与沟通”情况明显好于内控指数相对较低的银行,两者差别体现在对外部信息收集和与银行外部进行信息沟通上。前者不仅重视对内部信息的收集和与银行内部各管理级次、责任单位进行沟通和反馈,还重视对外部信息的收集和与企业外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面进行沟通和反馈,而后者仅仅关注银行内部信息的获取和与银行内部单位和人员的沟通。
同时我国上市商业银行在信息与沟通方面还存在着以下问题:首先,没有建立较为完善的管理信息系统,严重阻碍了控制信息的交流和沟通;其次,对反舞弊和举报制度重视程度不够,削弱了银行获得重要信息的机会。
五、监督不够全面,内部控制自我评价报告内容、格式随意性强
《基本规范》关于内部监督的规定,主要包括内部监督检查、内部缺陷认定和内部控制自我评价报告3个方面。14家银行具体执行情况见表6。
从表6可以发现,14家上市商业银行中,中国银行和民生银行2家银行没有明确公开披露公司内部监督检查、内部缺陷认定方面的信息,其余12家银行均披露了相关信息。从12家披露的关于内控监督的信息看,大多包含了内部监督检查和内部控制自我评价报告两个方面的信息,只有中信银行和工商银行增加披露了有关内部缺陷认定方面的信息。
虽然从形式上看,14家上市商业银行都公布了内部控制自我评价报告,但就公布的格式和详细程度来看,存在较大差异。其中,中国银行、民生银行和深发展自成体系,均没有按照《基本规范》要求的内部环境、风险评估、控制活动、信息沟通和内部监督等五个方面进行评价报告的编制,这可能影响各评价报告之间的可比性;其余11家银行的内部控制评价报告均按照上述五个方面为主体编制,此外有些银行在此基础上进行了略微扩展。
从14家上市商业银行公布的信息可以看出,银行业在内部监督方面还存在着一些尚待解决的问题:一是内部监督检查权限的划分有些模糊,使得监督活动难以操作;二是在银行发生较大调整或变化时,忽略对内部控制进行有针对性的专项监督检查;三是缺乏对内部控制在设计和运行方面缺陷的认定标准,难以及时发现内部监督中存在的重大缺陷,使相关责任人有逃避推诿责任的机会;四是内部控制自我评价报告编制过于简单,格式不一致。
六、完善我国商业银行内部控制的思路与建议
1.构筑良好的银行内部控制环境。首先,应按照现代银行制度的要求,建立健全公司治理机制。亚洲金融危机的教训表明,公司治理的目标不仅在于保护投资者的利益,更为重要的是要减少市场系统风险和保持金融体系的稳定。因而,完善商业银行的公司治理机制,具体来讲包括以下几个方面:一是建立规范、有效的股东大会、董事会、监事会制度,明确划分股东大会、董事会、监事会以及管理层的责、权、利,做到相互之间既保持独立又相互牵制。在此基础上,制定具体的操作流程,提高各部门对银行事务的参与度和关注度,真正使股东大会和董事会的决策作用、行长的经营管理作用和监事会的监督作用落到实处。二是要高度重视银行人力资源政策的内部控制。银行业的一切事务最终都要靠人来进行操作并受人的影响,因此,保证银行所有成员具有一定水准道德观,是银行内部控制有效发挥的关键因素之一。银行业在具体招聘和培训员工过程中,要重视对员工道德修养和专业胜任能力的考察和教育,并通过适当的奖励和惩罚措施来提高员工素质。再次,重视企业文化的培育。培育银行业企业文化是银行业塑造内控制度的灵魂所在。良好的企业文化会增强员工风险意识,使银行业的内部控制更加有效。因而,要发挥董事、监事、经理及其他高级管理人员在企业文化建设中的主导作用。通过高层的示范效应,带动员工对内部控制的重视,形成良好的内部控制文化。同时要培育具有银行业自身特色的企业文化。在坚持企业文化共性的基础上,融入银行业稳健、诚信等特有的元素,使银行业企业文化更符合银行业自身发展的需要。
2.建立科学的风险评估系统。一是根据商业银行实际情况,建立控制目标体系。控制目标体系应由总体控制目标和具体控制目标构成。商业银行风险管理委员会根据银行业既定的经营目标,在综合考虑影响这一目标实现的内部和外部因素基础上,确定银行总体控制目标,然后将总体控制目标层层分解到各分支行设立的风险管理部,形成各分支行具体的内部控制目标。下级风险管理部门对具体控制目标的实施受上级风险管理部门的管理和监督,但同时保持一定的相对独立性。
二是围绕设定的控制目标,商业银行各风险管理部门应系统考虑与实现目标相关的内部风险和外部风险,并确定相应的风险承受度。随着金融业的开放程度和金融创新速度的加快,银行业面临更多来自市场、社会等外部风险的影响,因此银行应在强化内部风险识别的基础上,综合利用调查问卷、专家访谈、实地考察、流程分析等多种方法,拓展对银行外部风险的识别。
三是借鉴国外商业银行先进的风险分析方法和技术,提高我国银行风险分析能力。长期以来,我国商业银行在风险分析上多采用传统的分析方法,如在信用风险分析上多采用统计学方法、专家系统法、神经网络法等,这会影响到银行对风险的准确把握,降低风险分析的质量和抵御风险的能力。因此,我国银行在考虑自身实际情况的前提下,适时引进国外先进的风险分析方法和技术,如杂合系统、支持向量机等。在实际运用当中,应注意定性和定量方法的有效结合,同时要科学合理地借鉴国外先进经验,逐步开发适合我国商业银行实际的分析方法。
最后,应针对风险分析的结果提出风险应对策略。特定风险与对应策略是一一对应的,而且随着风险的变化,策略也会随之改变。因此,在实践当中,银行不应对所有风险一视同仁,更不应该将风险应对策略固化,而是应该在合理面对风险分析的基础上,综合运用多种风险策略,针对特定风险给出应对策略,并对风险实施动态监控,依据风险变化,相应调整风险应对策略。
3.强化与提升内部控制活动。内部控制活动是商业银行内部控制体系的核心,直接决定银行内部控制的程度和水平。银行业应根据自身业务发展需要,采取有效措施,强化内部控制活动。具体来讲,首先应合理吸收国外银行内部控制制度方面的研究成果,结合我国银行实际,进一步完善银行内部控制制度。通过多种渠道,发现控制盲点,采取有效措施,努力使内部制度覆盖银行决策、执行和监督等所有环节。其次要注重制度的落实执行。再好的制度如果没有被有效执行,就会变成一纸空文。因此,银行要将内部控制落实到人,并通过有效的激励和惩罚措施,保证内部控制制度真正被执行。最后,根据发展需要,进一步完善银行内部控制措施。具体来说,巩固和加强传统的控制措施,例如不相容职务分离、预算控制等,并根据银行业发展面临的新情况,适时增加新的内部控制措施,如对突发事件的控制等。
4.建立畅通的银行信息与沟通机制。良好的信息与沟通机制有利于提高商业银行内部控制的实施效能,目前银行在信息与沟通中应着力于:一是加大投入力度,有序组织信息系统的开发。良好的信息系统有利于信息的传递与交流,有利于银行及时发现内部控制薄弱环节,快速做出反应。因此,银行要注重对信息系统的开发和运用,并注重信息系统的日常维护和管理,可以建立有效的工作机制,明确相关责任人的管理权限。二是拓展银行信息收集的外部来源,增强与外部有关方面的沟通。银行本身的特点以及发展的现实需要,决定了银行应加大对外部信息的收集和沟通。三是建立和完善银行举报投诉制度和举报人保护制度,拓展银行业掌握信息的渠道,为反舞弊提供基本保障。具体来讲,银行应设立受理举报投诉的专门机构,配备相应的人员并明确各自职责,制定举报投诉受理程序,并明确相应罚则。
5.构建实时的银行内部监督检查体系。内部监督是保证内部控制体系有效运行和逐步完善的重要措施。首先,要根据银行自身特点,建立内部监督制度。明确内部监督主体和职责,制定监督程序、运用的方法和要求等。其次,在保证对银行内部控制实施情况进行日常监督的基础上,针对银行内部控制的关键环节,实施专项监督,并对发现的内控问题,及时报告有关部门。再次,银行应积极制定内部控制缺陷认定标准,进行对内部控制缺陷的认定和报告。已有的内部控制制度有可能存在设计或者运行方面的缺陷,如果对这些缺陷不加以及时发现和有效处理,很可能影响内部控制的效力。所以,银行应加快对内部控制标准的制定,根据标准对内部监督发现的内控缺陷进行认定,分析缺陷产生的原因,并提出整改方案。最后,应统一银行内部控制自我评价报告编写格式。统一格式并不等于固化和僵化,其目的是促进行业内部各企业之间对内部控制进行比较和改进。因此,银行在编制内部控制自我评价报告时,可在遵循《基本规范》的基础上,增设附加信息。
标签:内部控制论文; 银行论文; 商业银行论文; 企业内部控制评价指引论文; 商业银行内部控制论文; 商业银行操作风险管理指引论文; 企业文化建设论文; 银行风险论文; 人力资源管理体系论文; 内部控制缺陷论文; 相关性分析论文; 银行上市论文; 人力资源计划论文; 差异分析论文; 沟通管理论文; 政策风险论文; 中信银行论文; 南京银行论文; 人力资源战略论文; 上市要求论文;