作者閻慶民系銀監會(huì )副主席����、中國人民大學(xué)重陽(yáng)金融研究院理事�����,本文載于《中國銀行業(yè)》雜志2014年第11期�。
銀行業(yè)金融機構根據新《內控指引》��,從問(wèn)題導向�、目標導向和責任導向等多個(gè)維度�,重新梳理內控制度的相關(guān)內容��,共同探討內控存在的主要問(wèn)題及應對措施�,將內控真正嵌入到銀行的每一個(gè)流程里面���,使內部控制發(fā)揮更好的效果��。
銀行內部控制工作是防范銀行風(fēng)險的關(guān)鍵環(huán)節���,銀監會(huì )對此高度重視�����。為進(jìn)一步推進(jìn)商業(yè)銀行規范內部管理���、完善內部控制�,銀監會(huì )深入總結近年來(lái)商業(yè)銀行內部控制發(fā)展實(shí)踐經(jīng)驗����,于今年9月發(fā)布了新修訂的《商業(yè)銀行內部控制指引》(以下簡(jiǎn)稱(chēng)新《內控指引》)����,新《內控指引》內容更加全面�,體現了原則性�、導向性的要求���,有利于引導商業(yè)銀行秉承穩健經(jīng)營(yíng)的理念����,根據自身發(fā)展需要�����,科學(xué)確定內控管理重點(diǎn)�,合理配置資源�,提高內控管理的有效性��。希望全國銀行業(yè)金融機構根據新《內控指引》��,從問(wèn)題導向����、目標導向和責任導向等多個(gè)維度��,重新梳理內控制度的相關(guān)內容�����,共同探討內控存在的主要問(wèn)題及應對措施�����,將內控真正嵌入到銀行的每一個(gè)流程里面��,使內部控制發(fā)揮更好的效果�����。
問(wèn)題導向:商業(yè)銀行需要進(jìn)一步重視內控建設
從目前來(lái)看���,商業(yè)銀行在內控方面存在的問(wèn)題最主要體現在以下三個(gè)方面:
一是內外部治理環(huán)境不完善�。缺乏合理的組織架構體系和內部控制治理���,有的尚未建立健全有效的內部制衡和約束機制�����。
國內商業(yè)銀行內部控制相關(guān)規章制度基本都參考了國際上的良好監管實(shí)踐——COSO框架�。COSO框架主要是針對上市企業(yè)�����,從會(huì )計信息質(zhì)量�����、內控評價(jià)監督等方面提出要求�����,在內容上和我國銀行的內部控制有共通之處����,但還是存在區別����,區別在于中國的國情和商業(yè)銀行經(jīng)營(yíng)環(huán)境��。在我國銀行公司治理結構中����,董事會(huì )和高管層的權力相對比較集中�����,監事會(huì )相對較弱��。一般來(lái)說(shuō)�,監事會(huì )在風(fēng)險管理�����、內部控制上真正提出需要時(shí)���,得到支持的不多��,主要還是側重于銀行如何發(fā)展����、如何創(chuàng )新產(chǎn)品����、機構準入等問(wèn)題��。
在英美法系下��,公司治理中沒(méi)有監事會(huì )���;在大陸法系下�,比如中國《公司法》中就要求設立監事會(huì )�����。所以在參照或者依據國際上的良好監管實(shí)踐時(shí)����,要考慮中國的國情���,一個(gè)規則要完全適用于所有國家����、地區的文化各異的企業(yè)和組織是很困難的�,沒(méi)有一把“萬(wàn)能鑰匙”����。
前美聯(lián)儲主席格林斯潘在2008年金融危機后進(jìn)行反思�,認為問(wèn)題主要出在監管當局過(guò)度信任了金融機構的內部控制����,機構因為崇尚市場(chǎng)自由主義而過(guò)度放任�,最后出現金融危機��。內外部治理環(huán)境具體如何完善沒(méi)有現成答案�����,只能通過(guò)實(shí)踐探索��。在中國��,黨委會(huì )���、董事會(huì )����、高管層���、監事會(huì )和股東大會(huì )之間應該起到制衡作用�。
二是內控管理的職責劃分不夠清晰?���,F實(shí)中�����,有些銀行將內控管理的職能放在稽核部門(mén)���,有些放在法規部門(mén)�,有些放在風(fēng)險管理部門(mén)�。由于任務(wù)不明確��,導致內控工作不夠規范���。有的銀行因行領(lǐng)導分工及部門(mén)職能的原因�,存在“部門(mén)墻”現象�����,使內控工作缺乏統籌����。新《內控指引》的主要目的之一是讓銀行有一個(gè)主牽頭部門(mén)來(lái)做內控��,否則內控管理太分散�,因為內審�����、合規�、風(fēng)險管理等每個(gè)環(huán)節都會(huì )涉及到內控����。
三是內控文化建設不夠到位�����。內控制度實(shí)施最重要的是文化建設��。西方國家的銀行以合伙制���、股份制��、民營(yíng)制為主����,高管層都有股權��、期權�����,投資者非常關(guān)心自己的收益���,都會(huì )比較重視本機構內部控制和風(fēng)險管理���。2014年諾貝爾經(jīng)濟學(xué)獎獲得者����,法國經(jīng)濟學(xué)家梯若爾的獲獎理由是因為他在市場(chǎng)力量和管制方面的研究�。他認為�����,在內控體系中主要分為三種類(lèi)型的參與者�,首先是擁有股權或期權的投資者�,他們會(huì )關(guān)心機構的內部控制�,并且一定會(huì )推動(dòng)內控體系建立得非常嚴密��。其次是主要合伙人和主要大股東��,他們關(guān)心企業(yè)的行為是否違反了內部控制����,或者哪里存在重大的內控缺陷���。最后才是監管者��。
我國80%以上的商業(yè)銀行都是國有控股��,只有少量非公企業(yè)����。所以這種形勢下我們更應該努力去營(yíng)造關(guān)心銀行發(fā)展和未來(lái)的文化氛圍����。阿里巴巴旗下“阿里云”的18個(gè)發(fā)起人根本不需要任何主管部門(mén)����,也不需要監管部門(mén)叮嚀囑咐����,他們自己利用信息技術(shù)來(lái)形成一種相互監督����、相互制約的內控體系�。當前為什么在內部控制方面始終還是有些問(wèn)題��?如何把中國特色銀行公司治理下的內部控制做得更有效�����?我覺(jué)得這些問(wèn)題值得討論����。
目標導向:根據國際最新進(jìn)展重新梳理內控理念
國際上���,廣為大家熟悉并被業(yè)界認可的與內部控制相關(guān)的標準和法律法規有《COSO內部控制整合框架》(也稱(chēng)為《COSO報告》)和巴塞爾委員會(huì )頒發(fā)的《銀行組織內部控制系統框架》���。這些國際上較為先進(jìn)的內控標準���,對我國商業(yè)銀行內部控制體系的建立具有非常寶貴的借鑒意義��。
從去年5月份COSO委員會(huì )發(fā)布的新內控框架看�,國際上對內控研究的最新進(jìn)展可以歸納為“五個(gè)更加”:
一是內控框架更加具體��。新的COSO報告突出了原則導向�,在原有五要素基礎上提出了17項基本原則����,并提煉出82個(gè)體現相關(guān)原則的主要特征和關(guān)注點(diǎn)�����。每一項原則都代表著(zhù)與內部控制五大要素相關(guān)聯(lián)的基本概念��。比如在控制環(huán)境方面��,框架提出組織要承諾遵守職業(yè)操守及道德規范�。在風(fēng)險評估方面�����,提出要對內控體系產(chǎn)生重大影響的變化事項進(jìn)行識別與評價(jià)等原則��。在控制活動(dòng)方面���,提出要通過(guò)制定政策和具體流程來(lái)貫徹控制活動(dòng)等原則����。在信息與溝通方面��,提出要在內部和外部形成良好的信息溝通渠道等原則���。在監督活動(dòng)方面�,提出要對內控進(jìn)行評價(jià)��,并將發(fā)現的內控缺陷報告給負責主體等原則�。
二是內控報告的目標更加全面���。舊框架在內部控制目標設定中只關(guān)注財務(wù)報告目標����,而新框架提出的報告目標包括內部����、外部的財務(wù)報告和非財務(wù)報告目標��。其中�����,外部財務(wù)和非財務(wù)報告目標的特征是主要用于滿(mǎn)足外部投資者和監管機構的要求����,根據外部準則進(jìn)行披露��,可能受監管者�、有關(guān)合同和協(xié)議要求的限制�����。內部財務(wù)和非財務(wù)報告目標的特征是主要用于企業(yè)內部經(jīng)營(yíng)管理和決策制定��,相關(guān)披露要求由管理層和董事會(huì )制定���。各報告目標的具體內容為:外部財務(wù)報告目標可能與年度財務(wù)報告�����、中期財務(wù)報告和盈余公告有關(guān)�����;外部非財務(wù)報告目標可能與內部控制報告���、可持續性報告以及供應鏈和資產(chǎn)托管有關(guān)����;內部財務(wù)報告目標可能與部門(mén)財務(wù)報告����、客戶(hù)盈利性分析和銀行合同有關(guān)��;內部非財務(wù)報告可能與員工和資產(chǎn)利用率�����、顧客滿(mǎn)意度的衡量以及健康和安全的衡量有關(guān)���。
三是內控建設和評價(jià)更加自主�����。舊框架要求在內控建設和評價(jià)方面要嚴格基于證據��,新框架則強調董事會(huì )����、管理層和內審人員要擁有“判斷力”��,給予董事會(huì )�、管理層和內審人員適度的自由裁量權���。內控如何實(shí)施�����、如何評價(jià)����、如何認定有效性����,企業(yè)可以有自己的判斷���。新框架建議管理層通過(guò)判斷���,去除那些失效����、多余乃至完全無(wú)效的控制��,提升控制的效率和效果���,節省實(shí)施成本����,而非單純地為了控制而控制�。
四是反舞弊與反腐敗的實(shí)施更加嚴格��。舞弊風(fēng)險因其存在主觀(guān)故意性�、隱蔽性���、串謀性��、危害嚴重性等特征而區別于一般風(fēng)險�����。新框架包含了更多關(guān)于舞弊與欺詐的內容���,并且把管理層評估舞弊風(fēng)險歸在風(fēng)險評估階段�,作為內部控制的17項總體原則之一����,重點(diǎn)加以闡述��。新框架提出要求“識別欺詐產(chǎn)生的各種途徑����,如非法所得����、非法使用或處理資產(chǎn)��、篡改企業(yè)報表記錄等”�����,并“對欺詐風(fēng)險產(chǎn)生的因素進(jìn)行評估”����。
五是內控措施更加先進(jìn)��。自1992年舊COSO框架發(fā)布以來(lái)����,使用或依賴(lài)于技術(shù)進(jìn)行內部管理和控制的企業(yè)實(shí)體數量大幅增長(cháng)�����,而技術(shù)應用的范圍也在大多數的企業(yè)實(shí)體中得以擴展�。隨著(zhù)技術(shù)發(fā)展的程度越來(lái)越高�����,技術(shù)應用已經(jīng)變成了企業(yè)管理的常態(tài)�����。新框架對現代信息技術(shù)的變化對內部控制所有要素的影響�����,都作了較為充分的考慮并給予詳盡的操作指導����,提出要建立技術(shù)獲取���、開(kāi)發(fā)和維護機制��,相應的技術(shù)控制手段以及相關(guān)技術(shù)安全管理機制����。
責任導向:商業(yè)銀行需切實(shí)抓好新《內控指引》的落實(shí)
新《內控指引》明確指出���,“內部控制是商業(yè)銀行董事會(huì )��、監事會(huì )�����、高級管理層和全體員工參與的���,通過(guò)制定和實(shí)施系統化的制度�、流程和方法����,實(shí)現控制目標的動(dòng)態(tài)過(guò)程和機制����?�!币_保內部控制有效���,必須做到目標明確���、思路清晰�����、執行有效�����,具體來(lái)說(shuō)���,要做好以下幾點(diǎn):
第一��,確保四個(gè)目標�。商業(yè)銀行的內部控制應重點(diǎn)關(guān)注以下四大目標:
合規性目標����。保證國家有關(guān)法律法規及規章的貫徹執行�����。這里的合規指符合國家層面���、行業(yè)層面和銀行內部的各種法律法規和規章要求���,防止銀行因違規遭受處罰��、制裁�,蒙受聲譽(yù)或經(jīng)濟方面的損失�。
安全性目標���。保證商業(yè)銀行發(fā)展戰略和經(jīng)營(yíng)目標的實(shí)現�。商業(yè)銀行是一個(gè)承擔著(zhù)多種責任的經(jīng)濟實(shí)體����,既要對國家負責��,又要對金融消費者負責���;既要對股東負責���,又要對銀行內部員工負責�,發(fā)展戰略和經(jīng)營(yíng)目標是銀行生存的重要保證���。
有效性目標�����。保證商業(yè)銀行風(fēng)險管理的有效性���。這主要是通過(guò)建立制度來(lái)實(shí)現���。有些內控制度可能已經(jīng)有十幾年時(shí)間了��,應該請一些獨立的�����、客觀(guān)的��、有一定代表性的機構來(lái)做評估���,以增強有效性�����。
真實(shí)性目標����。保證商業(yè)銀行業(yè)務(wù)記錄�����、會(huì )計信息�����、財務(wù)信息和其他管理信息的真實(shí)�����、準確�、完整和及時(shí)�����。這些信息都應該通過(guò)現代信息技術(shù)充分記錄�����。
這四個(gè)目標�����,尤其是真實(shí)性目標越來(lái)越重要����。每一次經(jīng)濟周期下行時(shí)����,大浪淘沙���,都會(huì )出現客戶(hù)和內部工作人員相勾結����,導致欺詐行為的發(fā)生��,最后使銀行蒙受聲譽(yù)方面的不良影響�����,特別是16家上市銀行的聲譽(yù)風(fēng)險就更大����。所以證監會(huì )���、財政部����、會(huì )計師協(xié)會(huì )�、上市公司協(xié)會(huì )等�,都重點(diǎn)對上市企業(yè)做了一些相關(guān)規定��。
第二�����,遵循四項原則����。內部控制的原則主要還是按照國際上的標準�����,并結合中國實(shí)際情況�����,我稱(chēng)之為“四全”原則�。
全覆蓋原則����。將內部控制貫穿于決策����、執行和監督的全過(guò)程����,覆蓋各項業(yè)務(wù)流程和管理活動(dòng)���,覆蓋所有的部門(mén)�����、崗位和人員���。
全制衡原則��。在商業(yè)銀行治理結構�����、機構設置及權責分配���、業(yè)務(wù)流程等方面形成相互制約��、相互監督的機制�����。
全審慎原則��。堅持風(fēng)險為本�、審慎經(jīng)營(yíng)的理念����,從設立機構或開(kāi)辦業(yè)務(wù)開(kāi)始���,堅持內控優(yōu)先�����,全程審慎��。
全匹配原則����。內部控制與管理模式�、業(yè)務(wù)規模�、產(chǎn)品復雜程度�����、風(fēng)險狀況等相適應��,并根據情況變化及時(shí)進(jìn)行調整����。如今業(yè)務(wù)發(fā)展快�、跨市場(chǎng)業(yè)務(wù)多�����,可能會(huì )導致內部控制的匹配性不足����。這種情況在國際上也是如此���,2012年G20會(huì )議討論《國際銀行業(yè)監管準則》時(shí)就提到了匹配性不足的問(wèn)題�。包括前不久在天津市召開(kāi)的“第18屆國際銀行監督官大會(huì )”����,也討論了“三個(gè)問(wèn)題”���,即一致性���、可比性��、簡(jiǎn)單性���。盡管中西方文化不一樣����,但是實(shí)際上討論的出發(fā)點(diǎn)和最終的著(zhù)力點(diǎn)都是一致的����。
第三�,抓好六項落實(shí)�����。商業(yè)銀行風(fēng)險防控作為一個(gè)系統工程�,應重點(diǎn)應抓好以下六個(gè)方面的工作:
健全體系�����。建立由董事會(huì )�����、監事會(huì )�、高管層���、內控管理職能部門(mén)���、內部審計部門(mén)�、業(yè)務(wù)部門(mén)組成的分工合理���、職責明確�、報告關(guān)系清晰的內部控制治理和組織架構體系�����。
明確職責�。分別賦予董事會(huì )����、監事會(huì )��、高管層對內部控制的領(lǐng)導�、監督和管理職責�;賦予內控部門(mén)統籌規劃�、組織落實(shí)和檢查評估職責�����;賦予審計部門(mén)對內控充分性和有效性進(jìn)行審計��、報告并監督整改的職責����;賦予各業(yè)務(wù)部門(mén)參與制定業(yè)務(wù)制度和操作流程����、執行相關(guān)制度規定�����、組織開(kāi)展監督檢查����、報告缺陷和落實(shí)整改的職責���。
完善措施�����。制定全面���、系統��、規范的業(yè)務(wù)制度和管理制度��,梳理流程����,識別評估經(jīng)營(yíng)中面臨的各種風(fēng)險���,采取定崗責�、設禁令��、設權限����、分離不相容崗位�����、嚴格財會(huì )對賬制度���、審慎準入��、控制外包等多種措施����,對各類(lèi)風(fēng)險進(jìn)行有效控制����。
強化保障��。建立貫穿各級機構�、覆蓋所有業(yè)務(wù)的信息系統�����;建立與戰略目標相一致的業(yè)務(wù)連續性管理體系��;制定有利于可持續發(fā)展的人力資源政策����;建立科學(xué)的績(jì)效考評體系來(lái)規范員工的行為���;培育良好的企業(yè)內控文化����,引導員工樹(shù)立合規意識�����、風(fēng)險意識��,提高員工的職業(yè)道德水準�,規范員工行為�����。
規范評價(jià)�。建立內部控制評價(jià)制度���,規定內部控制評價(jià)的實(shí)施主體�、頻率�、內容�、程序��、方法和標準等�����,確保內部控制評價(jià)工作規范進(jìn)行���。
嚴格監督�。一是加強內部監督�。商業(yè)銀行建立內部控制監督的報告和信息反饋制度��,將發(fā)現的內部控制缺陷����,按照規定報告路線(xiàn)及時(shí)報告董事會(huì )���、監事會(huì )�、高管層或相關(guān)部門(mén)�����;建立問(wèn)題整改機制�,確保整改措施落實(shí)到位�;建立內部控制責任制�����,強化責任追究��。二是加強外部監督��。監管機構通過(guò)非現場(chǎng)監管和現場(chǎng)檢查等方式對商業(yè)銀行內部控制實(shí)施持續監管�����,對內部控制存在的缺陷責成其限期整改����,對逾期未改的�����,采取監管措施����。
國際上提出了“糾錯機制”����,快速糾錯機制是將發(fā)現的問(wèn)題馬上報告董事會(huì )����、高管層���。巴塞爾委員會(huì )多次提出糾錯機制的問(wèn)題�,因此����,我們也要建立快速糾錯機制�����。
第四��,培育一種文化��。這個(gè)文化就是“內控創(chuàng )造價(jià)值”�����。銀行是經(jīng)營(yíng)風(fēng)險的企業(yè)��,我們是在與風(fēng)險賽跑�。銀行是主動(dòng)防范風(fēng)險還是被動(dòng)應對風(fēng)險���,結果完全不一樣���。主動(dòng)防范風(fēng)險�,可能將多數風(fēng)險事件消滅在萌芽狀態(tài)�,不給經(jīng)營(yíng)帶來(lái)直接損失�����;被動(dòng)應對風(fēng)險���,發(fā)生風(fēng)險事件多�����,損失就大�。古代軍事家孫武說(shuō)過(guò):“不戰而屈人之兵����,善之善者也”��。清朝趙藩在成都武侯祠撰寫(xiě)了這樣一幅對聯(lián)����,“能攻心則反側自消��,從古知兵非好戰����;不審勢即寬嚴皆誤�,后來(lái)治蜀要深思���?���!倍继岬搅藨馉幍淖罡呔辰缡遣话l(fā)生戰爭�����。風(fēng)險管控也是如此�����,把風(fēng)險事件消滅在萌芽狀態(tài)�����,是最理想����、最科學(xué)的風(fēng)險控制理念����。內控的核心價(jià)值就是讓風(fēng)險事件不發(fā)生或者少發(fā)生���。
從多年實(shí)踐看�,銀行風(fēng)險事件的發(fā)生多與違規有直接或間接的關(guān)系����,因此����,防違規又成為內部控制的重心�����。要實(shí)現“內控創(chuàng )造價(jià)值”���,必須從培育良好文化抓起����。
一是建立強有力的制衡約束機制�。機制就是優(yōu)化了的制度����,就是讓人無(wú)法鉆空子的制度��,比如激勵相容機制�����、不相容崗位分離機制等�。要從組織結構�、流程管理����、崗責體系���、績(jì)效管理等多方面入手�����,梳理��、整合和優(yōu)化銀行的規章制度��,讓制度真正發(fā)揮“籠子”的作用���。
二是提高違規的成本���。搞內控��,除了建好制度外���,還要靠嚴格執法�。真正讓制度成為“帶電的高壓線(xiàn)”��,誰(shuí)碰誰(shuí)觸電�����。從以往發(fā)生問(wèn)題的銀行看�,多數是執行規章不嚴格��,有的規章制度形同虛設���,有制度無(wú)監督��;有的領(lǐng)導干部帶頭違規����;有的集體違規�。近幾年“飛單”滿(mǎn)天飛��,私售理財產(chǎn)品等��,是沒(méi)有制度嗎��?關(guān)鍵還是執規不嚴���。銀行必須加大違規處罰力度��,提高違規成本�����,對存在或隱瞞違規問(wèn)題���、造成資金損失和經(jīng)濟案件的��,除了追究直接責任人的責任外���,還要嚴格追究各級管理者的責任����。
三是下大力培育符合中國特色的合規文化��。牢固樹(shù)立“合規經(jīng)營(yíng)�、人人有責”的意識��。由于銀行內部風(fēng)險存在于多個(gè)環(huán)節���、多個(gè)部門(mén)�,因此��,合規文化建設應強調每個(gè)人都是風(fēng)險管控的責任人�,每個(gè)部門(mén)或崗位都有發(fā)生風(fēng)險的可能性���,作為銀行的員工���,每個(gè)人都有責任和義務(wù)在自己的崗位上和部門(mén)內有效防范合規風(fēng)險����。要將合規文化建設與員工日常的工作和業(yè)務(wù)有機結合起來(lái)����,將合規文化意識滲透到每個(gè)人的工作中�,起到“潤物細無(wú)聲”的實(shí)際效果���;要將“規則牢不可破”的理念根植于心�����,幫助員工明確合規建設的重要性��?���?梢詮膫€(gè)人職業(yè)生涯�����、家庭幸福等貼近生活的角度�����,幫助銀行員工認清利弊����,讓他們意識到合規是銀行經(jīng)營(yíng)管理的一件大事�����。要進(jìn)行全員合規培訓��,區分不同層次將銀行所適用的法律�����、規則和準則����、合規政策�����、合規意識和合規職責等要求滲透到全體人員的血液中���,使之成為員工的價(jià)值標準和行為準則�。只有當合規經(jīng)營(yíng)的共同價(jià)值觀(guān)在日常經(jīng)營(yíng)活動(dòng)中得到實(shí)際運用和充分體現時(shí)����,一個(gè)活的合規文化才算真正建立起來(lái)��。(歡迎關(guān)注人大重陽(yáng)新浪微博:@人大重陽(yáng)�����,微信公眾號:rdcy2013)