商业银行强化内控的着力点
为严守不发生系统性金融风险底线,切实回归服务实体经济本源,从 2017 年开始,银保监会组织开展了“三三四十”银行业市场乱象专项整治。两年多的专项整治取得了阶段性成效,但金融风险高发多发具有复杂性、长期性,整治市场乱象的根本性措施是商业银行自身要不断加强和完善内部控制体系建设。
2008年,财政部、证监会、审计署、银监会、保监会五部委联合下发了《企业内部控制基本规范》,在上市公司中推广执行内部控制制度,同时要求外部审计师就上市公司内控有效性状况进行审计并定期披露。商业银行内部控制体系建设起步较早,2002年人民银行制发了《商业银行内部控制指引》,2007年银监会结合《巴塞尔协议》发布了新版《商业银行内部控制指引》,2014年又进行了修订,要求我国商业银行要不断加强和完善内控体系建设。2013年版《内部控制—整合框架》,在原有三目标五要素基础上提出了17 条原则及其相关的81个属性,用于评估内控有效性状况;内部控制理念强调内部控制可以帮助企业主体到达它想去的地方,并避开了途中的隐患和意外;强调内部控制是全员、全面、全过程的,是内生的;强调主动、自发、人人尽责;强调独立、前瞻、协调、渐进与超越。《内部控制—整合框架》突出强调了内部控制体系建设要能够更加敏捷地适应不断变化的商业、运营和监管环境;突出强调了五个控制要素要共同运行,发挥整合的作用。“共同运行”是指所有的五个控制要素共同将影响目标实现的风险降低到可接受水平。这些核心理念与建设要点,正是我国商业银行内控体系建设当中的痛点和难点,单一
控制要素都具备,但整合运行不够。当前,进一步加强我国商业银行内部控制体系建设框架有四个关键的着力点。
优化调整组织架构,完善公司治理,落实管理责任
进一步完善商业银行党委、董事会、监事会、高管层公司治理架构,进一步理顺与股东、出资人的关系。针对当前中小银行治理体系不完善、大股东利用商业银行谋取不当利益和银行资金问题,需要从治理层面解决,重点是解决大股东、管理层舞弊造成的内控失效。对于大型国有商业银行、股份制银行,重点是进一步厘清和压实管理责任,进一步解决部门职责交叉、边界不清晰、管理不到位等造成的内控有效性不足问题,形成架构合理、分离制衡、有机协作的管理体制。
内控管理责任的落实至关重要,内控失效与内控薄弱往往是责任不落实,职责边界不清晰、职责交叉的业务与管理事项往往又是内控最薄弱的环节。内控管理不单单是合规部门、风险管理部门、审计部门的责任,需要人人尽责,全员、全面、全过程。业务管理与行为管理要有机结合,二者是一个问题的两个方面,不是两个问题。要按照业务管理的责任分工进一步夯实内控管理、员工行为管理的责任,比如,客户经理的行为管理由客户经营部门负主体责任,柜员的行为管理由运营部门负主体责任,机构负责人的行为管理由上级机构负责,管业务的同时必须管行为,形成规范,有效贯穿于业务始终,才能增强内控的严密性。
近几年,我国商业银行综合化经营步伐加快,混业经营规模不断扩大,有效的股权投资管理、并表关系管理、关联交易管理、内幕交易管理,相关的风险把控、风险隔离,都需要在组织与体制层面进行系统性设计。随着金融科技发展,以及商业环境、业务流程、作业模式、控制方式的变化,对组织机构运行的有效性也需要同步进行评估、调整和优化。重点关注责任是否清晰,分离是否充分,制衡是否有效,监督是否有力,是否适应新的作业与管理模式。
健全完善内部规章制度体系,无设计缺陷的可操作执行
规章制度是增强事前控制的有效手段。我国商业银行现有规章制度存在的主要问题是体系较为庞杂,重检修订不及时,往往一个制度附带若干个“补丁”通知或规范性文件,基层机构难以掌握和有效执行;有的规章要求了做什么,怎么做却不明确,可操作性不足;有的制度间交叉矛盾,“规不和”,形成了执行中不合规,直接影响内控有效性。
由此,一是要建立管制度的制度,对规章制度分层分类,对规章起草、审查、发布、执行、修订、废止等实施全流程管理,特别是要明确重检修订的触发情形及相关管理规定。实行统一的年度版本,新规章必须覆盖原有规章和规范性文件,便于基层机构掌握执行。编制“规章制度树”,按照制度类别确定制度分层,如管理办法、操作规程、岗位手册等;按照业务类别、业务环节确定分类,如信贷类规章、交易类业务规章等,搭建经络清晰、规范科学的规章制度体系。二是建立监管规则
库、规章制度库,支持实现监管规则、规章制度的分类查询、模糊查询,便于员工学习掌握。将规章制度库与业务系统进行对接,业务操作人员过程中可随时进行制度查询,增强制度执行的能力。三是强化监管规则的外规内化管理。实施监管规则“一口入,一口出”,按照重要程度、业务领域、时限要求等,对监管规则进行分级分类,确定责任主体部门与落实时限要求。对照监管规则,及时予以解读并重检修订相关规章制度,将监管规则内化到本行规章制度当中。同步优化相关业务系统,完善控制方式、控制手段。加强监管规则落地实施的追踪管理,及时跟进,形成管理闭环。四是对新制度、新业务、新产品、新系统进行合规性审查,嵌入流程,重点解决规章制度内外(与监管规则)、左右(部门之间)、前后(发布时间)、上下(总部与分支机构)四个不一致问题。为保证规章制度的落实,强化所对应业务系统的独立测试与验收,实施业务实现与内控有效性双评估,对关键环节控制有效性进行重点审查,从源头上解决产品、业务流程的设计缺陷,增强事前控制的有效性。
嵌入业务流程,优化控制方式,加强监测预警
商业银行的业务处理多是IT 化的,当前主要的问题是内部控制嵌入业务流程不够,控制方式相对单一,机控手段不足,重业务实现,轻内控管理。
由此,一是要系统分析业务流程当中的关键控制环节,优化调整控制方式,将控制措施嵌入业务处理流程当中,增强过程控制。特别是依托金融科技手段,对关键领域、关键环节更多地运用机控手段,不能机控的,通过一般性机控规则,解决大部分的问题,针对例外处理事项再设置特别的复核、授权等人控措施。
二是研究建立企业级、业务领域级、产品级的标准化控制规范,辅以控制矩阵表、工具箱,共享控制工具与方法,供业务部门在流程设计、IT系统开发时遵循与
选择,拉升整体控制水平。IT系统开发要改变临时搭台唱戏的开发模式,严格项目经理资质管理,引入国际通行的COBIT5,从项目可研、需求编写、立项、开发、测试、验收全流程统一规范IT项目开发与管理。测试、验收与开发相分离,及时发现控制缺陷,避免系统带病上线运行。
三是依托现代金融科技,通过数据驱动和人工智能,调整优化作业模式,构建智能风控,增强控制能力。如实施业务前后台分离,集中作业等。现代金融科技为商业银行后台大规模、工厂化集中生产创造了条件,远程网络技术为优化调整作业模式创造了条件。如我国部分商业银行实现了柜面结算业务前后台分离,柜员接单后扫描上传,总行后台组织进行票面要素集中录入、集中审核、集中验印,资金清算、账务核算集中处理,形成了“总行—营业网点”两层作业架构。既大大减轻了前台工作压力,又有效解决了柜员一手清、风险分散控制有效性不足的问题。再如,利用远程技术和人工智能,将专家经验模型化,实施信贷业务集中审批、集中放款,增强集中控制能力。集中化作业模式可实现专业化处理、批量化作业,有助于降低成本,提升效率,控制风险。
四是依托大数据、人工智能,采用神经网络、梯度提升树(GBDT)、随机森林和机器学习,实施事前、事中、事后全流程风险监测预警。根据业务场景、控制需要、数据基础,不断调整完善预警模型,提升对柜面业务、信贷业务、金融市场交易类业务的非现场监测预警能力。可以在业务处理系统中嵌入预警模型,实时预警;也可以按照业务类别建立专门的风险监测预警平台,集中监测预警内部欺诈、外部欺诈和违规操作。
五是加强对业务流程、业务产品固有风险、剩余风险进行自评估管理,建立关键风险监控指标,通过风险评估与监测预警,对机构、业务、产品内控的有效性定期不定期进行评价,利用成熟度模型,确定内控成熟度状况,实现风险量化管理。
完善配套机制,激发内生动力
机制配套是内控体系建设的重要组成部分。一是建立规范的风险评估工作机制。风险评估范围包括外部经营环境变化风险评估、监管政策变化影响评估、作业模式与业务流程重大变化风险评估、重大风险事件与案件影响评估等,规范评估触发情形,评估方式、结果应用、信息沟通、风险应对等工作规范,完善控制措施。
二是不断优化绩效考核机制。要在绩效考核中加大风险与内控有效性考核权重,科学设置违规事件、案件风险、监管处罚、资产损失等相关考核指标,既体现过程控制,又体现控制结果。风险内控指标的向下传导极为重要,绩效考核结果要与机构、员工的绩效分配、职务晋升、薪酬兑现、评优评先等挂钩,通过绩效考核机制,有效激发机构与个人强化内控管理的内生动力。
三是要建立完善信息报告制度。信息沟通如同血脉,是打通内控五要素、实现内控五要素整合运行的关键。要建立纵向、横向矩阵式内部控制信息报告机制,完善各类例会制度,共享风险信息、违规信息、整改信息,针对性采取内控措施,形成管理合力。
四是建立内审外查问题整改机制。针对违规问题多发、整改缺乏深度、屡查屡犯等问题,完善整改工作机制。深入剖析
风险事件、重大违规事件、案件以及典型审计发现问题,认真梳理,总结归类,对问题进行分级分类,明确整改标准、整改时限,实施分类督改。涉及制度、流程、系统层面的,整改责任主体在总部,进行系统性整改,涉及基层机构执行层面的,重点从制度执行有效性方面进行整改,既落实条线管理部门监督制度执行的责任,又强化基层机构制度落实的执行力。持续加强整改追踪验证,及时识别整改过程中的难点、断点,分析深层次原因,优化整改方式。
五是建立违规处置与问责管理机制。对于重大违规、案件风险,要进行快速应急处置,控制涉案人员,追索资金、资产,缩小风险敞口;组织业务风险排查,举一反三,自查自纠,消除隐患。对违规机构、人员要实施违规处置,综合运用约谈、通报批评、取消授权、暂停业务等手段处置违规机构;按照违规性质、情节严重程度及风险影响后果等,综合运用违规积分、扣发绩效、调整岗位、行政处分、辞退、开除等手段对违规人员进行责任追究。涉及违法的,坚决移送司法处理。要摒弃怕露丑、怕揭短的思想,狠抓违规警示通报,既公开通报违规事件、案件情况、手段、暴露出的控制问题、管理问题,又通报对机构、人员的问责处理情况,强化不敢违规、不愿违规的管理震慑。由此,从治标逐渐到治本,标本兼治,培育良好的合规文化。
六是建立完善外部审计师审计验证机制。必要时,聘请外部审计师进行独立测试、审计或验证,检视相关业务流程、管理方式,发现控制缺陷,及时整改问题。特别是设立海外机构的国有大型商业银行,要善于利用外部审计师独立验证,快速学习、适应国际监管规则与运行模式,提升自身适应国际金融市场竞争环境的能力和水平。■