最近十几年是国内银行信息系统快速发展的时代,各家银行以核心系统为基础,开发了一系列围绕核心系统,支撑各类业务的业务管理及风险管理的系统。不过在内部控制领域,银行仍较多地停留在传统的“人控”阶段,如较多的前、中台的检查仍然是手工方式进行,内部稽核也多以手工核对、现场检查为主。内控效果不佳、稽核难度大等问题一直较为突出,而完善的信息化系统以及充分的自动化控制可以帮助改善这一情况。因此,“内控信息化”这一概念应运而生。
所谓内控信息化主要包含两个层面,一是基于银行业务流程中控制活动的梳理,提炼和设计出可在系统中固化的控制活动,遵循系统开发的生命周期,将提出的内控需求注入到正在开发的系统中,并且对开发完成的系统进行测试以及上线后再评估,最终在系统中实现相关应用系统控制的过程。二是通过信息系统进行内控稽核工作,将庞大、繁杂的内控稽核工作通过系统流程进行管理。
优势
整体而言,内控信息化与业务流程紧密结合、固化在系统中,有效缩短内控管理半径,构筑零距离的内控防线。内控信息化为业务发展、内部运营和风险管理等方面带来了便利和优势,主要体现在以下几个方面:
提升管理效率
内控信息化是一项跨部门、跨业务的系统工程。内控信息化的建设过程中充分考虑了内控对风险管理的要求,把跨部门、跨业务条线的各项业务,以风险管理为纽带放在银行的整体运营平台上,把握银行面临的重要风险,从整体协调的角度优化业务流程,最大限度地提高了信息系统与银行实际业务需求、内控需求的结合度,并促使银行及时识别、评估、掌握和控制信息系统自身的风险,制定相应的控制措施。
从某种程度上讲,借助于计算机信息系统进行的“机控”比传统的“人控”更有效率。传统的“人控”方式,由于工作人员容易受到思想、情绪、业务技能等主观因素及金钱诱惑、权力压制等客观因素的影响,内控的效果会大打折扣,甚至流于形式。而完善的操作系统和信息系统可以使某项业务整个流程的各个环节置于不同部门、不同岗位的监督之下,可以对操作人员形成强有力的约束。内控信息化建设可以降低原本手工进行操作的内控工作成本,通过“机控”代替“人控”,从而减少人力资源的投入,提高银行信息科技投资的回报。
优化业务流程
内控管理是一个全员参与、覆盖全部业务范围的全过程管理方式。这要求在各个业务流程和环节上分析确定出重要风险,并有针对性地制定控制措施。在内控信息化的实施过程中,不仅包括理顺业务操作的程序和步骤,还包括针对重要风险的明确的控制措施和标准,满足以风险管理为核心的内控体系建设的要求。将风险管理的理念融入和体现到业务信息系统的建设过程中,在确保重要风险得到适当防范和控制的前提下优化业务流程。
改善数据质量
数据质量是数据分析的主要基础,而内控信息化可以对数据质量提供保障,银行可以利用其数据资源在交叉营销、产品创新、市场细分以及客户挖掘方面大有作为。在零散无序的历史数据中挖掘业务规律,预测未来发展,根据对客户需求变化的敏感度开展业务产品的创新,充分利用数据分析的结果,使发展手段和方向更为精确,打造不可复制的竞争力。
体系
如前文述及,内控信息化的主要内容之一就是在信息系统中注入应用控制的过程。在国际内控权威机构ISACA发布的《信息系统和技术控制目标及应用控制管理指导》一书中指出,应用控制是指为实现与既定的自动化解决方案相关的目标提供合理保证而设计的政策、流程和活动,是业务流程中内嵌的信息系统相关控制,其目标是保证系统中业务处理的有效性、完整性和准确性,可分为输入控制、处理控制、输出控制、边界控制、审计痕迹控制、授权控制等六类。
以哈尔滨银行为例,信贷业务包括个人贷款、对公贷款、农贷和小企业贷款。在信贷系统中,业务信息化可以在系统中对不同的信贷类型、产品和模块实行系统集中管理,不同系统间存在接口,实现全行统一的授信、客户管理和贷款管理的功能,改善了以往只能通过手工进行贷款审批、出账审核、贷后管理和对贷款进行五级分类的处理方式。在内控信息化的概念下,系统可以自动生成交易日志,并自动对可疑的交易进行筛选和识别,对发生频率较高的业务出错或提示,系统要求业务主管或管理层定期审核日志报告。自动化的控制可以保证业务员在系统中的操作有据可依,防止数据未经授权的更改和删除。
再以人力资源方面为例,人力资源系统仅在总行实施,分支机构无法直接访问人力资源系统。分支行人员入职、离职以及职级变化信息无法及时被更新,传统意义上只能采取手工的方式计算薪酬,并需要通过邮件等方式将数据发送给总行。在业务信息化的驱动下,系统可以实现薪酬自动准确计算的功能,且总行可以随时采集各分支行的薪酬信息,实现集中、区域化管理。但从内控的角度而言,薪酬专员同时拥有系统管理员的权限,会引起权责未分离并进一步引起薪资不准确、存在虚拟员工的风险,如果将内控注入人力资源系统,则可限制业务人员拥有业务所需的最小权限,且遵循不相容职责分离的原则,定期对系统权限进行审阅和清理。
在对系统进行内控需求注入后,还须对内控需求进行评估,衡量其可实现性和可操作性。系统在开发实施后,需要对系统模块及其功能进行验收测试,如有未落实的需求,则在整改后进行验收工作。在此基础上可以进行内控自评系统的实施作为内控信息化的辅助手段,对内控信息化进行测试和评估。传统方式中,由于业务流程繁多,分支机构范围较大,内部控制自我评估需要耗费大量的人力物力以及时间,而内控自评系统的实施可以改善这一问题。
内控信息化能够帮助银行业更全面、高效地防范中小额贷款中存在的风险,为支柱业务的运营和发展奠定扎实基础。作为内控体系建设的延续,内控信息化还能持续改造传统内控体系中大量的手工控制,切实提升各业务流程的风控管理水平。另外,内控信息化也是提升银行操作风险管理能力的主要手段,它为风险控制自我评估、关键风险指标和损失事件操作风险的三大工具的运用提供了良好平台,IT系统的投资回报率也将因此得到大幅度提升。
挑战及展望
内控与信息技术的结合也面临许多挑战。内控点的梳理是否完全厘清了银行对内控管理的要求;内控需求是否能完整、准确地转化为系统需求;内控需求是否会对系统的功能性需求产生影响;系统开发时内控需求是否能够有效注入;内控信息化注入后是否有持续改进的机制等等都是银行面临的现实挑战。
其中,制度的整体架构与管理问题是开展内控信息化以及其他内控合规工作中遇到的难点。制度是开展内控信息化工作的前提,是整个内控管理工作的基石。然而,随着业务的不断发展以部门架构、业务条线的调整,“政出多门”、“野蛮生长”、“重业务轻内控”等破坏性制度建设行为较为突出,亟需通过结构性的制度架构及机制对整个制度体系、运作管理进行规范化、标准化,进而为内控工作奠定坚实基础。
此外,加强内控一道防线建设、释放一道防线的控制效能,作为内控信息化工作的线下重要补充机制建设是未来开展内控信息化工作的重心之一,也是工作的难点。一道防线效能的发挥有赖于岗位职责的明晰,以及在此基础上的岗位自查与机构自查的检查体系,以此两个方面为切入点进行一道防线的强化建设,与内控信息化形成“岗位职责—自动化控制—检查体系”三维立体的一道防线控制网络。
毫无疑问,内控信息化对于银行的内控管理工作是非常有益的尝试,未来银行内控信息化的发展方向是大幅提升银行业务流程的整体内控信息化比率,实现所有主要内控管理工作围绕信息系统来开展,让信息系统服务于业务支撑的同时也能够起到内控管理的职能,充分实现信息系统“一份投入、双重功用”的效果,从而全面提升银行的内控管理水平,为银行实现经营目标保驾护航。