银行业金融机构根据新《内控指引》,从问题导向、目标导向和责任导向等多个维度,重新梳理内控制度的相关内容,共同探讨内控存在的主要问题及应对措施,将内控真正嵌入到银行的每一个流程里面,使内部控制发挥更好的效果。
银行内部控制工作是防范银行风险的关键环节,银监会对此高度重视。为进一步推进商业银行规范内部管理、完善内部控制,银监会深入总结近年来商业银行内部控制发展实践经验,于今年9月发布了新修订的《商业银行内部控制指引》(以下简称新《内控指引》),新《内控指引》内容更加全面,体现了原则性、导向性的要求,有利于引导商业银行秉承稳健经营的理念,根据自身发展需要,科学确定内控管理重点,合理配置资源,提高内控管理的有效性。希望全国银行业金融机构根据新《内控指引》,从问题导向、目标导向和责任导向等多个维度,重新梳理内控制度的相关内容,共同探讨内控存在的主要问题及应对措施,将内控真正嵌入到银行的每一个流程里面,使内部控制发挥更好的效果。
问题导向:商业银行需要进一步重视内控建设
从目前来看,商业银行在内控方面存在的问题最主要体现在以下三个方面:
一是内外部治理环境不完善。缺乏合理的组织架构体系和内部控制治理,有的尚未建立健全有效的内部制衡和约束机制。
国内商业银行内部控制相关规章制度基本都参考了国际上的良好监管实践——COSO框架。COSO框架主要是针对上市企业,从会计信息质量、内控评价监督等方面提出要求,在内容上和我国银行的内部控制有共通之处,但还是存在区别,区别在于中国的国情和商业银行经营环境。在我国银行公司治理结构中,董事会和高管层的权力相对比较集中,监事会相对较弱。一般来说,监事会在风险管理、内部控制上真正提出需要时,得到支持的不多,主要还是侧重于银行如何发展、如何创新产品、机构准入等问题。
在英美法系下,公司治理中没有监事会;在大陆法系下,比如中国《公司法》中就要求设立监事会。所以在参照或者依据国际上的良好监管实践时,要考虑中国的国情,一个规则要完全适用于所有国家、地区的文化各异的企业和组织是很困难的,没有一把“万能钥匙”。
前美联储主席格林斯潘在2008年金融危机后进行反思,认为问题主要出在监管当局过度信任了金融机构的内部控制,机构因为崇尚市场自由主义而过度放任,最后出现金融危机。内外部治理环境具体如何完善没有现成答案,只能通过实践探索。在中国,党委会、董事会、高管层、监事会和股东大会之间应该起到制衡作用。
二是内控管理的职责划分不够清晰。现实中,有些银行将内控管理的职能放在稽核部门,有些放在法规部门,有些放在风险管理部门。由于任务不明确,导致内控工作不够规范。有的银行因行领导分工及部门职能的原因,存在“部门墙”现象,使内控工作缺乏统筹。新《内控指引》的主要目的之一是让银行有一个主牵头部门来做内控,否则内控管理太分散,因为内审、合规、风险管理等每个环节都会涉及到内控。
三是内控文化建设不够到位。内控制度实施最重要的是文化建设。西方国家的银行以合伙制、股份制、民营制为主,高管层都有股权、期权,投资者非常关心自己的收益,都会比较重视本机构内部控制和风险管理。2014年诺贝尔经济学奖获得者,法国经济学家梯若尔的获奖理由是因为他在市场力量和管制方面的研究。他认为,在内控体系中主要分为三种类型的参与者,首先是拥有股权或期权的投资者,他们会关心机构的内部控制,并且一定会推动内控体系建立得非常严密。其次是主要合伙人和主要大股东,他们关心企业的行为是否违反了内部控制,或者哪里存在重大的内控缺陷。最后才是监管者。
我国80%以上的商业银行都是国有控股,只有少量非公企业。所以这种形势下我们更应该努力去营造关心银行发展和未来的文化氛围。阿里巴巴旗下“阿里云”的18个发起人根本不需要任何主管部门,也不需要监管部门叮咛嘱咐,他们自己利用信息技术来形成一种相互监督、相互制约的内控体系。当前为什么在内部控制方面始终还是有些问题?如何把中国特色银行公司治理下的内部控制做得更有效?我觉得这些问题值得讨论。
目标导向:根据国际最新进展重新梳理内控理念
国际上,广为大家熟悉并被业界认可的与内部控制相关的标准和法律法规有《COSO内部控制整合框架》(也称为《COSO报告》)和巴塞尔委员会颁发的《银行组织内部控制系统框架》。这些国际上较为先进的内控标准,对我国商业银行内部控制体系的建立具有非常宝贵的借鉴意义。
从去年5月份COSO委员会发布的新内控框架看,国际上对内控研究的最新进展可以归纳为“五个更加”:
一是内控框架更加具体。新的COSO报告突出了原则导向,在原有五要素基础上提出了17项基本原则,并提炼出82个体现相关原则的主要特征和关注点。每一项原则都代表着与内部控制五大要素相关联的基本概念。比如在控制环境方面,框架提出组织要承诺遵守职业操守及道德规范。在风险评估方面,提出要对内控体系产生重大影响的变化事项进行识别与评价等原则。在控制活动方面,提出要通过制定政策和具体流程来贯彻控制活动等原则。在信息与沟通方面,提出要在内部和外部形成良好的信息沟通渠道等原则。在监督活动方面,提出要对内控进行评价,并将发现的内控缺陷报告给负责主体等原则。
二是内控报告的目标更加全面。旧框架在内部控制目标设定中只关注财务报告目标,而新框架提出的报告目标包括内部、外部的财务报告和非财务报告目标。其中,外部财务和非财务报告目标的特征是主要用于满足外部投资者和监管机构的要求,根据外部准则进行披露,可能受监管者、有关合同和协议要求的限制。内部财务和非财务报告目标的特征是主要用于企业内部经营管理和决策制定,相关披露要求由管理层和董事会制定。各报告目标的具体内容为:外部财务报告目标可能与年度财务报告、中期财务报告和盈余公告有关;外部非财务报告目标可能与内部控制报告、可持续性报告以及供应链和资产托管有关;内部财务报告目标可能与部门财务报告、客户盈利性分析和银行合同有关;内部非财务报告可能与员工和资产利用率、顾客满意度的衡量以及健康和安全的衡量有关。
三是内控建设和评价更加自主。旧框架要求在内控建设和评价方面要严格基于证据,新框架则强调董事会、管理层和内审人员要拥有“判断力”,给予董事会、管理层和内审人员适度的自由裁量权。内控如何实施、如何评价、如何认定有效性,企业可以有自己的判断。新框架建议管理层通过判断,去除那些失效、多余乃至完全无效的控制,提升控制的效率和效果,节省实施成本,而非单纯地为了控制而控制。
四是反舞弊与反腐败的实施更加严格。舞弊风险因其存在主观故意性、隐蔽性、串谋性、危害严重性等特征而区别于一般风险。新框架包含了更多关于舞弊与欺诈的内容,并且把管理层评估舞弊风险归在风险评估阶段,作为内部控制的17项总体原则之一,重点加以阐述。新框架提出要求“识别欺诈产生的各种途径,如非法所得、非法使用或处理资产、篡改企业报表记录等”,并“对欺诈风险产生的因素进行评估”。
五是内控措施更加先进。自1992年旧COSO框架发布以来,使用或依赖于技术进行内部管理和控制的企业实体数量大幅增长,而技术应用的范围也在大多数的企业实体中得以扩展。随着技术发展的程度越来越高,技术应用已经变成了企业管理的常态。新框架对现代信息技术的变化对内部控制所有要素的影响,都作了较为充分的考虑并给予详尽的操作指导,提出要建立技术获取、开发和维护机制,相应的技术控制手段以及相关技术安全管理机制。
责任导向:商业银行需切实抓好新《内控指引》的落实
新《内控指引》明确指出,“内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。”要确保内部控制有效,必须做到目标明确、思路清晰、执行有效,具体来说,要做好以下几点:
第一,确保四个目标。商业银行的内部控制应重点关注以下四大目标:
合规性目标。保证国家有关法律法规及规章的贯彻执行。这里的合规指符合国家层面、行业层面和银行内部的各种法律法规和规章要求,防止银行因违规遭受处罚、制裁,蒙受声誉或经济方面的损失。
安全性目标。保证商业银行发展战略和经营目标的实现。商业银行是一个承担着多种责任的经济实体,既要对国家负责,又要对金融消费者负责;既要对股东负责,又要对银行内部员工负责,发展战略和经营目标是银行生存的重要保证。
有效性目标。保证商业银行风险管理的有效性。这主要是通过建立制度来实现。有些内控制度可能已经有十几年时间了,应该请一些独立的、客观的、有一定代表性的机构来做评估,以增强有效性。
真实性目标。保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。这些信息都应该通过现代信息技术充分记录。
这四个目标,尤其是真实性目标越来越重要。每一次经济周期下行时,大浪淘沙,都会出现客户和内部工作人员相勾结,导致欺诈行为的发生,最后使银行蒙受声誉方面的不良影响,特别是16家上市银行的声誉风险就更大。所以证监会、财政部、会计师协会、上市公司协会等,都重点对上市企业做了一些相关规定。
第二,遵循四项原则。内部控制的原则主要还是按照国际上的标准,并结合中国实际情况,我称之为“四全”原则。
全覆盖原则。将内部控制贯穿于决策、执行和监督的全过程,覆盖各项业务流程和管理活动,覆盖所有的部门、岗位和人员。
全制衡原则。在商业银行治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制。
全审慎原则。坚持风险为本、审慎经营的理念,从设立机构或开办业务开始,坚持内控优先,全程审慎。
全匹配原则。内部控制与管理模式、业务规模、产品复杂程度、风险状况等相适应,并根据情况变化及时进行调整。如今业务发展快、跨市场业务多,可能会导致内部控制的匹配性不足。这种情况在国际上也是如此,2012年G20会议讨论《国际银行业监管准则》时就提到了匹配性不足的问题。包括前不久在天津市召开的“第18届国际银行监督官大会”,也讨论了“三个问题”,即一致性、可比性、简单性。尽管中西方文化不一样,但是实际上讨论的出发点和最终的着力点都是一致的。
第三,抓好六项落实。商业银行风险防控作为一个系统工程,应重点应抓好以下六个方面的工作:
健全体系。建立由董事会、监事会、高管层、内控管理职能部门、内部审计部门、业务部门组成的分工合理、职责明确、报告关系清晰的内部控制治理和组织架构体系。
明确职责。分别赋予董事会、监事会、高管层对内部控制的领导、监督和管理职责;赋予内控部门统筹规划、组织落实和检查评估职责;赋予审计部门对内控充分性和有效性进行审计、报告并监督整改的职责;赋予各业务部门参与制定业务制度和操作流程、执行相关制度规定、组织开展监督检查、报告缺陷和落实整改的职责。
完善措施。制定全面、系统、规范的业务制度和管理制度,梳理流程,识别评估经营中面临的各种风险,采取定岗责、设禁令、设权限、分离不相容岗位、严格财会对账制度、审慎准入、控制外包等多种措施,对各类风险进行有效控制。
强化保障。建立贯穿各级机构、覆盖所有业务的信息系统;建立与战略目标相一致的业务连续性管理体系;制定有利于可持续发展的人力资源政策;建立科学的绩效考评体系来规范员工的行为;培育良好的企业内控文化,引导员工树立合规意识、风险意识,提高员工的职业道德水准,规范员工行为。
规范评价。建立内部控制评价制度,规定内部控制评价的实施主体、频率、内容、程序、方法和标准等,确保内部控制评价工作规范进行。
严格监督。一是加强内部监督。商业银行建立内部控制监督的报告和信息反馈制度,将发现的内部控制缺陷,按照规定报告路线及时报告董事会、监事会、高管层或相关部门;建立问题整改机制,确保整改措施落实到位;建立内部控制责任制,强化责任追究。二是加强外部监督。监管机构通过非现场监管和现场检查等方式对商业银行内部控制实施持续监管,对内部控制存在的缺陷责成其限期整改,对逾期未改的,采取监管措施。
国际上提出了“纠错机制”,快速纠错机制是将发现的问题马上报告董事会、高管层。巴塞尔委员会多次提出纠错机制的问题,因此,我们也要建立快速纠错机制。
第四,培育一种文化。这个文化就是“内控创造价值”。银行是经营风险的企业,我们是在与风险赛跑。银行是主动防范风险还是被动应对风险,结果完全不一样。主动防范风险,可能将多数风险事件消灭在萌芽状态,不给经营带来直接损失;被动应对风险,发生风险事件多,损失就大。古代军事家孙武说过:“不战而屈人之兵,善之善者也”。清朝赵藩在成都武侯祠撰写了这样一幅对联,“能攻心则反侧自消,从古知兵非好战;不审势即宽严皆误,后来治蜀要深思。”都提到了战争的最高境界是不发生战争。风险管控也是如此,把风险事件消灭在萌芽状态,是最理想、最科学的风险控制理念。内控的核心价值就是让风险事件不发生或者少发生。
从多年实践看,银行风险事件的发生多与违规有直接或间接的关系,因此,防违规又成为内部控制的重心。要实现“内控创造价值”,必须从培育良好文化抓起。
一是建立强有力的制衡约束机制。机制就是优化了的制度,就是让人无法钻空子的制度,比如激励相容机制、不相容岗位分离机制等。要从组织结构、流程管理、岗责体系、绩效管理等多方面入手,梳理、整合和优化银行的规章制度,让制度真正发挥“笼子”的作用。
二是提高违规的成本。搞内控,除了建好制度外,还要靠严格执法。真正让制度成为“带电的高压线”,谁碰谁触电。从以往发生问题的银行看,多数是执行规章不严格,有的规章制度形同虚设,有制度无监督;有的领导干部带头违规;有的集体违规。近几年“飞单”满天飞,私售理财产品等,是没有制度吗?关键还是执规不严。银行必须加大违规处罚力度,提高违规成本,对存在或隐瞒违规问题、造成资金损失和经济案件的,除了追究直接责任人的责任外,还要严格追究各级管理者的责任。
三是下大力培育符合中国特色的合规文化。牢固树立“合规经营、人人有责”的意识。由于银行内部风险存在于多个环节、多个部门,因此,合规文化建设应强调每个人都是风险管控的责任人,每个部门或岗位都有发生风险的可能性,作为银行的员工,每个人都有责任和义务在自己的岗位上和部门内有效防范合规风险。要将合规文化建设与员工日常的工作和业务有机结合起来,将合规文化意识渗透到每个人的工作中,起到“润物细无声”的实际效果;要将“规则牢不可破”的理念根植于心,帮助员工明确合规建设的重要性。可以从个人职业生涯、家庭幸福等贴近生活的角度,帮助银行员工认清利弊,让他们意识到合规是银行经营管理的一件大事。要进行全员合规培训,区分不同层次将银行所适用的法律、规则和准则、合规政策、合规意识和合规职责等要求渗透到全体人员的血液中,使之成为员工的价值标准和行为准则。只有当合规经营的共同价值观在日常经营活动中得到实际运用和充分体现时,一个活的合规文化才算真正建立起来。