完善我国商业银行内部控制制度的思考,本文主要内容关键词为:商业银行论文,内部控制论文,制度论文,我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2008年9月15日美国雷曼投资银行倒闭引发了全球金融危机,至今已二年多了。两年多来,人们在探索这场危机爆发根源时,除了从国际货币体系和美国金融体系的痼疾找原因外,迫使人们重新审视商业银行内部控制制度方面的问题。制度是人定的,关键在于如何管理执行,如果为了利润而忽视内控风险,最终必然导致失误亏损,甚至破产倒闭。本文着重简介西方和我国商业银行内控制度的内容,以及提出完善我国商业银行内控管理的思考。
一、商业银行内部控制制度的目的和内容
内部控制制度是银行最高管理层为保证实现经营目标而制定并实施的,对内部各部门与人员相互制约和协调的一系列制度、措施、程序和方法。目的在于确保一家银行的业务能根据银行管理层制定的政策以谨慎的方式经营,只有经过适当的授权方可进行交易,从而使商业银行资产得到保护、负债受到控制,会计及其他记录能提供全面、准确和及时的信息,管理层能及时发现和评估业务风险。
根据巴塞尔协议《有效银行监管的核心原则》,内部控制主要包括三个方面的内容:(1)组织结构(职责的界定、贷款审批权限的分离和决策程序);(2)会计规则(对账、控制单、定期试算等);(3)“双人原则”(不同职责的分离、交叉核对、资产双重控制和双人签字等)。[1]上述内容概括地描述了商业银行内部控制制度的要点,具体内容可概括为七个方面:
(一)建立组织结构和各种规章制度
一家银行要想有序、有效地开展业务,必须有一个合理的组织结构和一套完善的规章制度来保证。所有的员工,不论其职位级别高低,都能清楚地了解自己的权限和职责,并对银行的业务政策有比较清晰的了解。所有的银行业务部门,不论是直接面对客户或其他直接创造收益的前线部门,还是提供各种支持功能的后线部门及其他保障部门,都清楚地知道自己的职责以及彼此之间的关系。只有这样,整个银行才能成为一个有机的整体。
银行组织结构和规章制度所涉及的内部控制环节有以下内容:(1)制订明确的银行经营目标;(2)对每一个工作人员给予明确的授权;(3)建立合理的组织架构,把整个银行的所有业务部门按照其业务范围、在上下级关系中的位置、彼此之间的联系、与管理层的关系等组成一个有机的整体,这个整体可以通过组织架构图明确地勾画出来;(4)建立畅通的报告渠道,使基层信息能够及时传递上去;(5)对全体员工提出职业道德准则要求;(6)为各项业务制订标准化的操作流程;(7)对会议记录、往来函件、签字样本等予以妥善的保管;(8)为一些重大事项的处理,诸如计划、授权、开拓新业务、购买或处理重要资产等制订出一套标准的操作程序。
(二)必要的监控环节
管理层制定一个合理的组织结构和一套完整的规章制度以后,并不意味着万事大吉。相反,管理层要对每天业务的发生情况、规章制度的执行情况、银行的经营情况等给予经常性的监督与控制,确保项银行业务正在按照既定方针,有计划、有秩序地进行。管理层要经常查看下列报表和报告:(1)各类资金头寸报告,观察是否有超越额度的现象发生,如果有,需马上查明原因,并采取相应措施;(2)财务报表,如损益表、资产负债表等,注意各类计划的完成情况;(3)流动性报告,确保银行有充足的对外支付能力;(4)贷款作业程序报告,注意贷款的发放和管理是否遵循着既定的程序,严防反程序操作;(5)存款报告,注意观察存款余额、来源、期限结构、成本等是否有大的变化;(6)依法、合规经营报告,注意银行的各类业务、法定财务比率是否符合有关金融监管当局的规定,以及各项业务操作有无超权、越权的现象发生等等。
(三)职责分离原则(“四只眼”原则)
在设计组织架构及明确工作权限时,银行要根据职责分离(segregation of duties)的原则来进行。根据此原则,在分配任务和明确职责时,要避免让某位工作人员承担一些不可兼容的职责。这样做的目的是通过相互牵制的方式,防止单个人办理业务(“一手清”)时出现差错或舞弊行为,万一有此类事件发生,也能够及时察觉。一个简单的例子是,任何一项业务(比如贷款)的审批(authorization)、具体执行(execution)和会计记录(accounting recording)三个环节应由不同的人员或部门来完成,这样会大大降低银行所承受的风险。
(四)授权有限原则
授权是指银行董事会向管理层及其下级机构和工作人员赋予的,种能够代表银行从事一项业务或某些业务的权利。在银行内部,董事会是最高权力机构,它授权管理层主持银行的日常工作,管理层再依次向所属部门和分支机构授权。从理论上讲,一家银行的法人代表只有一个,那就是董事长(行长),其他部门、分支机构及工作人员只能在他的授权范围内从事经营活动。
从形式上来看,授权有两种:一般意义上的授权和特定的授权。一般意义上的授权是指任何业务只要满足特定的标准和条件,都在授权之列。比如说,总行规定分行有权审批2000万元以下的信用贷款,那就意味着只要贷款金额在2000万元以下,分行就可以独自决定向一个项目提供贷款,而不必再向总行请示。而如果一个借款人申请贷款金额在2000万元以上,分行便无权批准,只能报总行审批。特定的授权往往是在特定情况下所给予的明确授权,这时,金额、交易对象、期限等交易事项往往会在授权书上给予明确的界定。
授权从本质上讲应该是有限度的,因为上级机构只会授予下级机构有关人员与其特定业务、特定经营环境、管理人员的能力等相关联、相匹配的权利,而不能允许他们想做什么便做什么。一家银行是一个整体,总行最终要为所有分支机构的经营活动承担责任,它自然会要求下属机构和人员在授权的范围内从事经营活动。授权关系是商业银行内部管理机制中最重要的手段之一。所有商业银行都应科学、明确地把各种授权关系从上到下确定下来,并建立一套机制(如内部稽核),来保证所有经营活动都在有效授权的范围内进行。商业银行要采取有效措施,尽量避免越权、没经授权进行交易等行为的发生。鉴于授权在银行内部管理中所处的重要地位,授权关系应以书面形式确定下来。
(五)完整的银行档案
银行档案包括会计档案、业务档案等,是商业银行内部控制的基础工作之一。根据有关银行监管规定,商业银行应把经营活动过程中所有能够对资产、负债、收入、支出等科目产生影响的交易事项准确、及时地记录在案,并加以妥善保存。交易记录要力求完整,把一笔业务的全部过程(从批准、承诺到实施)所发生的实质性交易细节、账务处理、相关的文件凭证等都记录保存。会计人员应定期通过销账、试算、使用控制账户等手段,来检查会计报表的准确性。为保证银行档案的准确、完整,商业银行应制订适当的操作程序,把有关的规定和要求明确下来。
(六)有效安全保卫措施
商业银行应建立一套安全保卫措施和作业程序,对银行的资产、器具、重要空白凭证、业务秘密等给予充分的保护。例如,银行应明确规定,除少数经过授权的员工以外,其他人一律不准进入储存现金、不记名票据、尚未使用的存单、支票簿等物品的库房;在业务过程中,重要空白凭证的使用要建立领取及销号制度。尤其是电子计算机和网络,以及电讯设备的使用,更应制订严格的安全保密管理措施。
(七)严格的会计销账制度
商业银行要经常进行账户的核对、核销工作,保证所有账户都能与控制账户、联行、代理行寄发的对账单相符。如果发现问题,要及时查询。当需要调账时,经办人员要取得明确的授权。管理层要意识到,欺诈行为和未经授权的交易往往藏匿在联行账、过渡性账户或暂记账户里,所以这类账户的核销要特别注意。会计销账是特别重要的控制手段,管理层应让经办人员明白其工作的重要意义,并通过培训使其掌握必要的技能。管理人员要经常检查指导销账工作,并能够不定期地亲自参与此项工作。
二、商业银行内部控制制度失控的实例分析
商业银行内部控制体系的建立取决于银行的规模、经营特色、业务品种、外部环境等多种因素,彼此之间有很大的差异,侧重点也有所不同。比如说,一家大型跨国银行总行和一家规模较小的银行,或者一家银行分行和附属机构,双方内部控制体系的内容和侧重点将会大不一样,前者会把政策的制订、业务协调、经济效益考核等作为重点,而后者将会把保证业务的正常发展作为重点。下面通过实例加以说明。
德意志银行是一家规模巨大的跨国银行,1995年,它的分支机构多达2494个,遍及50个国家和地区,业务范围涉及商业银行、投资银行等各类金融业务,资产规模达7200亿马克。对于这样一个巨型“金融百货公司”,其总行实施内部控制的核心手段有以下几个:(1)建立高度集中、资源共享的信息中心,为达到这一目的,在全集团范围内推行标准化的数据结构;(2)财务会计与管理会计并重,在全集团范围内推行单位经济效益考核(divisional profitability calculation),这实质上和我们经常提到的分部门核算是相似的;(3)在全集团内推行标准、统一的风险评估、衡量、控制手段和政策。从这几个手段来看,德意志银行总行把内部控制的重点放在了集中、协调、作业和行为规则标准化等方面。
德意志银行在伦敦有一个全资附属的商人银行机构——Deutsche Morgan Grenfell(简称DMG),主要负责全集团的投资银行业务,诸如债券、股票等金融产品的承销、投资基金管理、企业合并、兼并咨询等。DMG作为德意志银行的附属机构,自然要贯彻、执行总行关于风险控制和内部管理的方针、政策,但是,它又必须考虑自己的业务特点,因为投资银行是高收益、高风险行业,其内部控制的重点之一是必须把市场风险控制在自己能够承受的范围之内,所采用的主要手段之一是使用复杂的数学模型来评估银行所承受的潜在风险,据此控制敞口头寸(既包括整个银行的全部头寸,也包括每个交易员的头寸)。
德意志银行是享有AAA信用等级的少数几家银行之一,由此可以推测出其内部控制应是相当严密的。但是在1996年,该行在伦敦的商人银行机构DMG却出了漏洞,造成了7.1亿美元的潜在亏损,使其信誉受到了极大损害。为什么这么一家信誉卓著的银行还会出现如此严重的问题?在此作简要介绍。该行在伦敦的附属机构(DMG)管理着许多投资基金,其中两支基金由彼得·杨负责。按照英国的有关规定,这两支基金投资于未上市公司股票的份额不得超过10%,但他为了获得更大的利润,偷偷地购买了大量的北欧中、小企业的未上市股票,明显地超过了这个标准,彼得·杨为躲避检查,便在卢森堡建立了好几个子公司,然后通过子公司来购买那些未上市公司的股票。未上市公司股票的流动性差、风险高,当投资者发觉彼得·杨违反了规定时,纷纷向DMG提出赎回要求,导致两只投资基金的价格一时间急剧下降。德意志银行为了维护信誉,不得不注资营救,把那些未上市股票从基金手中买过来,造成潜在经济损失7.1亿美元。大量的分析表明,内部控制薄弱是导致上述巨额损失的主要原因之一,其薄弱环节表现在:(1)授权不当。作为基金管理人彼得·杨权力太大,而他的同事和上司对他的违规行为采取了姑息态度;(2)牵制不够。按照内部规定,基金经理在购买未上市公司股票时,应报上司批准,但上司却听信了他的一面之词签了字;(3)德意志银行整个集团的基金业务的管理方式没有理顺,总行对伦敦附属机构控制失当;(4)当事人有意钻法律的空子。
三、我国商业银行内部控制制度的目标和原则
为保证商业银行建立健全内部风险控制制度,实施稳健经营,积极有效地防范风险,中国人民银行于1997年5月6日发布了《加强金融机构内部控制的指导原则》,其中对内部控制制度的目标、原则、要素及内容、基本要求、管理与监督等都做出了详细全面的规定。上述措施对商业银行的内部控制制度建设起了很大的推动作用。为促进商业银行建立和健全内部控制,防范金融风险,保障银行体系安全稳健运行,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律规定和银行审慎监管要求,2007年中国银监会重新制定发布了《商业银行内部控制指引》。该指引明确,我国商业银行内部控制的目标是:确保国家法律规定和商业银行内部规章制度的贯彻执行;确保商业银行发展战略和经营目标的全面实施和充分实现;确保风险管理体系的有效性;确保业务记录、财务信息和其他管理信息的及时、真实和完整。
对于我国商业银行来说,商业银行内部控制必须贯彻全面、审慎、有效、独立的原则,包括:(1)内部控制必须渗透商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均必须有案可查;(2)内部控制必须以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均必须体现“内控优先”的要求;(3)内部控制必须具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题必须能够得到及时反馈和纠正;(4)内部控制的监督、审计、评价部门必须独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
四、完善我国商业银行内部控制的要求与思考①
(一)完善公司治理机制和激励约束机制
1.商业银行必须建立良好的公司治理以及分工合理、职责明确、相互制衡、报告关系清晰的组织结构,为内部控制的有效性提供必要的前提条件。商业银行股东大会、董事会、监事会和高级管理层必须充分认识自身对内部控制所承担的责任。董事会负责保证商业银行建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。高级管理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
当前,上市的国有大型银行、股份制商业银行和地方商业银行在完善公司治理结构上有很大的进步,但是如何更好地厘清和妥善处理好党委与董事会的关系,董事会与高管层的代理关系还存在不少问题和矛盾,这在一定程度上影响商业银行长远的经营与发展。[2]
2.商业银行必须建立科学、有效的激励约束机制,培育良好的企业精神和内部控制文化,从而创造全体员工均充分了解且能履行职责的环境。商业银行必须明确关键岗位及其控制要求,关键岗位必须实行定期或不定期的人员轮换、培训和强制休假制度。商业银行必须根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济和业务发展需要,建立相应的授权体系,实行统一法人管理和法人授权。授权应适当、明确,并采取书面形式。需要指出的是,当前在薪酬制度上如何体现合理的岗位激励和约束机制还存在许多不合理的问题,有待于进一步改进。
(二)完善全面风险管理体系
商业银行必须设立履行风险管理职能的专门部门,负责具体制定并实施识别、计量、监测和控制风险的制度、程序和方法,以确保风险管理和经营目标的实现。商业银行必须建立涵盖各项业务、全行范围的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。商业银行必须对各项业务制定全面、系统、成文的政策、制度和程序,在全行范围内保持统一的业务标准和操作要求,并保证其连续性和稳定性。商业银行设立新的机构或开办新的业务,必须事先制定有关的政策、制度和程序,对潜在的风险进行计量和评估,并提出风险防范措施。
当前,必须清楚地认识到全面风险管理是全员参与的管理,不是一个独立的管理活动,它是对所有风险进行预防与控制的管理,是风险的组合管理,是追求风险与收益的均衡管理,商业银行管理层需要更加重视经济资本与经济资本管理,把它作为落实全面风险管理的重要依据,但是至今为止,许多商业银行在全面落实风险管理上参差不一进展缓慢,与西方先进的商业银行存在较大差距。
(三)完善会计管理体系和核算原则[3]
商业银行必须建立有效的核对、监控制度,对各种账证、报表定期进行核对,对现金、有价证券等有形资产及时进行盘点,对柜台办理的业务实行复核或事后监督把关,对重要业务实行双签有效的制度,对授权、授信的执行情况进行监控。商业银行必须按照规定进行会计核算和业务记录,建立完整的会计、统计和业务档案,妥善保管,确保原始记录、合同契约和各种资料的真实、完整。
商业银行必须建立健全会计核算管理体系,必须遵守会计制度的六大原则,即真实性、一致性、权责发生制、审慎性、重要性、充分披露性原则。需要指出的是,至今仍有一些商业银行在执行审慎性和充分披露性原则方面存在较多问题。
(四)实施专业的内部审计和内部评价制度
1.商业银行的内部审计部门必须有权获得商业银行的所有经营信息和管理信息,并对各个部门、岗位和各项业务实施全面的监督和评价。商业银行的内部审计必须具有充分的独立性,实行全行系统垂直管理。下级机构内部审计负责人的聘任和解聘必须由上一级内部审计部门负责,总行内部审计负责人的聘任和解聘必须由董事会负责。商业银行必须配备充足的、具备相应的专业从业资格的内部审计人员,并建立专业培训制度,每人每年确保一定的离岗或脱产培训时间。商业银行必须立有效的内部控制报告和纠正机制,业务部门、内部审计部门和其他人员发现的内部控制的问题,均必须有畅通的报告渠道和有效的纠正措施。
2.商业银行必须建立内部控制的评价制度,对内部控制的制度建设、执行情况定期进行回顾和检讨,并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。商业银行必须明确划分相关部门之间、岗位之间、上下级机构之间的职责,建立职责分离、横向与纵向相互监督制约的机制。涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。商业银行必须根据不同的工作岗位及其性质,赋予其相应的职责和权限,各个岗位必须有正式、成文的岗位职责说明和清晰的报告关系。
当前,仍有一些商业银行的内部审计和内部评价制度存在不规范和非常态的情况,特别是一些城市商业银行和村镇银行与规定要求有很大的差距。
(五)完善现代化的科技手段和及时的信息反馈机制
1.商业银行必须利用计算机程序监控等现代化手段,锁定分支机构的业务权限,对分支机构实施有效的管理和监控。商业银行必须实现业务操作和管理的电子化,促进各项业务的电子数据处理系统的整合,做到业务数据的集中处理。商业银行必须实现经营管理的信息化,建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统,做到及时、准确提供经营管理所需要的各种数据,并及时、真实、准确地向中国银监会及其派出机构报送监管报表资料和对外披露信息。
2.商业银行必须建立有效的信息交流和反馈机制,确保董事会、监事会、高级管理层及时了解经营和风险状况,确保每一项信息均能够传递给相关的员工,各个部门和员工的有关信息均能够顺畅反馈。商业银行的业务部门必须对各项业务经营状况进行经常性检查,及时发现内部控制存在的问题,并迅速予以纠正。
3.商业银行必须建立有效的应急预案,并定期进行测试。在意外事件或紧急情况发生时,应按照应急预案及时做出应急处置,以预防或减少可能造成的损失,确保业务持续开展。
当前,现代化的信息科技手段已成为实现和提升商业银行核心竞争力的根本保障,但有的商业银行在信息管理上还有很多欠缺,尤其是风险控制和应急措施方面仍有很大差距。
此外,根据业务发展需要,商业银行也应设立独立的法律事务部门或岗位,统一管理各类授权、授信的法律事务,制定和审查法律文本,对新业务的推出进行法律论证,确保各项业务的合法和有效。当前,这一工作虽已得到各类商业银行的重视和认同,但至今建立法律事务部门的商业银行并不多,仍有不少商业银行未设立这一岗位。
总之,商业银行的内部控制是一个比较复杂的系统工程,其有效性依赖于每一项要素的完善。这些要素之间是紧密联系的,任何一项要素执行得不好,都可能危及整个系统的有效运作,使金融机构面临困境。因此,商业银行既要从总体上把握宏观经济运行与商业银行发展战略的协调,以及内部控制体系的有效性,又不能放松每一个具体环节。既要依靠发挥每位员工的积极性,又要依靠完善的制度约束,同时还要有坚强的信息科技手段支持,才能确保和发挥内控制度的有效作用。
注释:
①中国银行业监督管理委员会2008年年报。
标签:内部控制论文; 银行论文; 商业银行论文; 商业银行内部控制论文; 商业银行信息科技风险管理指引论文; 商业银行操作风险管理指引论文; 企业内部控制评价指引论文; 银行风险论文; 业务管理论文; 管理控制论文; 管理风险论文; 经营风险论文; 德意志银行论文; 工作管理论文; 股票论文;