國際上,巴林銀行因內部管控缺乏而最終走向破產,法國興業銀行因交易員的虛假交易而造成49億歐元的巨額損失,很多知名銀行頻頻上鏡,爆出欺詐、洗錢、隱瞞債務等丑聞。而在國內,類似的事件也接連發生,山西7?28金融詐騙案、哈爾濱1?06金融詐騙案、山東“票據”詐騙案等發人深省。
這些案情所暴露出的一個共性問題就是銀行內控合規的風險管理缺位,直接反應出銀行對操作、合規風險的弱視。近日,銀監會在向下轄金融機構發布的《關于進一步推進改革發展加強風險防范的通知》中明確要求,各商業銀行等金融機構要對六大風險進行相應的風險提示,其中與內控合規密切相關的操作風險就位列其中。
風險防范要向內看
正如華夏銀行行長所說:“銀行經營的就是風險,并在經營風險的過程中實現利潤。”銀行是風險的眾矢之的,風險管理的核心是確保風險和收益的合理匹配。但在當前金融風險防范的實際工作中,大多數銀行都習慣于把目光向外看,重視外部風險,而往往疏忽了內部風險。由于銀行內部經營管理不當,或是內部人員、機構的主觀行為所造成的風險涉及層面十分廣泛,包括了銀行內部機構、制度、規定、管理、人員等各個方面,這些方面的疏漏都可能為內在風險提供“潛伏”之機。而大量事實表明,很多嚴重的風險損失往往是由于內部疏漏而導致的。
依照銀監會的定義,“銀行內部控制”是銀行為實現經營目標,通過制定和實施一系列制度、程序和方法,對風險進行事前防范、事中控制、事后監督和糾正的動態過程和機制。強有力的內部控制,可以幫助銀行實現三個方面的目標:第一保證財務報表與管理報告的可靠性、完整性和及時性;第二確保銀行遵守相關的法律、管理條例、政策、計劃以及內部管理制度及程序,降低發生損失、損害信譽的風險;第三是實現經營效果、效率以及保護銀行資產的重要保障機制。“
對此,來自金融服務一線,提供內控管理咨詢的神州數碼融信軟件的專家也剖析了銀行內控合規的重要性——”內控合規風險是銀行操作風險和信譽風險發生的一個重要誘因,也是銀行全面風險管理的基礎環節。當前,國內銀行的全面風險管理由于缺乏合規風險管理過程的有效支撐,銀行的風險管理制度以及合規文化往往難以確立,因此,全面風險管理也就無法真正落實。“
內控暴露的共性問題
銀行內控合規的加強重在管控操作風險和合規風險,而要確保銀行的一切操作行為均符合有關政策法規也絕非易事。巴塞爾委員會會計工作組主席Arnold Schilder就曾說:”發展和實施合規風險管理的挑戰不亞于實施巴塞爾新資本協議所面臨的挑戰“。
通過如上案件的總結分析,業界專家對目前國內銀行在內控合規管理方面存在的主要問題也已形成共識。第一,內控制度尚不健全,控制不足。目前我國商業銀行業務發展仍以信貸規模擴張為主,受不良貸款的現實制約,內控機制建設主要圍繞著信用風險而展開,強調資產負債比例管理、審貸作業分離、貸款五級分類和資本充足率達標等。相對而言,合規風險、操作風險以及信譽風險等尚未引起國內銀行的足夠重視,導致出現了風險控制的一些真空地帶。神州數碼融信指出:”相繼發生一些違規操作和違規經營的問題和案件,其深層次原因就在于合規風險管理機制的不完善。“
第二,內控執行不足,控制分散。這方面主要表現在規章制度數量眾多,但多分散于各部門、各崗位和各項業務中,缺少整合。現在,國內很多商業銀行都建立了”三道防線“的內控風險管理思路,但三道防線所涉及的各類信息和數據比較零亂、分散,沒有進行整合分析,也因此三道防線的威力沒有得到充分的發揮。
第三,對分支、基層機構的檢查評估不足。內部控制不僅要求銀行建立相關的制度與流程,還要經常監督檢查這些制度和流程是否得到了執行。一些銀行內部審計不足,對內部控制的檢查頻率和深度往往與風險程度不匹配。因此,分支機構不嚴格執行內控制度的現象也確實存在。
第四,科技對業務發展缺乏有利的支持。如銀行賬戶管理系統與同城票據交換系統、支付系統缺乏聯系,就容易導致支付結算管理系統安全系數較低。再如一些大額資金與異常支付的管控鑒別也需要信息數據的及時采集和共享,及時進行整理分析,這就對各銀行之間信息的交流暢通和數據共享提出了要求。
第五,內控文化未真正落地。神州數碼融信軟件認為:”銀行內部控制是需要董事會、高級管理層和各級人員共同努力才能實現的過程,銀行內部的每一個工作人員都要參與這一過程。“也只有這樣,內控文化方能從上到下真正落實,從而有效地規避風險。當前一些銀行已建立起”防風險“與”業務發展“的雙重考核機制,以期提升全員的風險防范意識。
構建合規風險管理的有效機制
當前,加強內控治理已成為銀行落實全面風險管理的重要一步。但做好內控治理僅有意識是不夠的,如何加強執行、真正杜絕風險才是銀行所期望的結果。神州數碼融信軟件曾經歷時四年為國內一大型銀行實施了內控管理咨詢及系統,達到了業內先進水平。在接受采訪時,神州數碼融信的專家明確指出:”銀行亟需構建有效的合規風險管理機制,這是解決合規風險與操作風險頻發的一個重要的治本之策。“
合規風險管理機制是銀行主動識別合規風險,主動避免違規事件發生,主動采取各項糾正措施以及適當的懲戒措施,持續修訂相關制度流程和具體做法而形成的崗位手冊,可以有效地管理合規風險,確保銀行的合規穩健運行,實現周而復始的良性循環。
對銀行而言,這一機制的建立將使銀行合規工作不再局限于簡單滿足監管部門的監管要求,或者與監管部門進行博弈,而是將合規作為銀行經營發展的一種特殊風險,以風險管理的理念和方法,推進銀行內部制度和流程的建設及持續改進,從而提高制度和流程的執行力。
銀行構建合規風險管理機制需要強調四個方面:第一,合規是銀行內部的一項核心風險管理活動,也是銀行實施內部控制的一項基礎性工作。第二,”合規應從高層做起“,通過完善公司治理和培育良好的合規文化來加強合規風險管理。第三,在銀行內部組建一個常設的、獨立有效的專職合規部門,支持和協助銀行高級管理層有效管理合規風險,實現銀行的穩健經營。第四,進行事前的風險識別和預警,事中的風險控制以及主動的合規風險管理,確保合規風險管理與銀行制度和流程的評估處于持續改進的良性循環之中。
”合規風險管理可以成為銀行進行內部控制的基礎、‘抓手’或載體,內控由此不再是不可觸摸的,而是實實在在的日常工作。“融信專家如是說。而內控合規風險管理系統的建設是支持這一目標落地的必要舉措。神州數碼融信是目前國內從事銀行合規風險系統建設的唯數不多的廠商,他們的體會是:系統可以幫助銀行初步建立起內部控制的立體管理體系:首先,通過系統實現信息集中和風險評估后,銀行能夠正確了解所處的風險環境,從而將管控的重點放在有重大影響的關鍵風險上;其次,系統可以完善第二道防線的檢查制度,不僅提升內控工作質量也能改進工作效率,實現內控管理流程的標準化和模塊化;第三,系統可加強基層網點的綜合治理,實現一線的自查、自訓、自糾,并對營業經理派駐制進行管理,對基層網點員工進行風險管理;第四,系統可實現稽核的再監督職能,如檢查中發現的問題,可在內控系統中得以驗證并進行預警。
另一方面,銀行通過構建內控管理系統,可提升內控管理水平和科技水準,實現合規或操作風險管理的規范化、標準化和內控信息管理的集約化。例如可提高內控的可驗證性,強化內控過程控制,提升內控風險的統計分析水平,實現內控的連續糾偏和持續整改。
所以,隨著內控合規管理的加強,國內銀行新一輪內控合規管理信息系統的建設已迫在眉睫。
