金融内控(共6篇)
篇1:金融内控
金融内控
一、单选题
1、审计师向银行高级管理层通报审计结果,需采用专门的文书是()。A.推荐信 B.致管理层函 C.密函 D.邀请函
A
2、银行业监管机构统一颁布了详细的规定,用于()风险。A.减少 B.增加 C.保持 D.审查
A
3、商业银行内部控制应当贯彻全面、审慎、有效、()的原则。A.独立 B.公平C.公正 D.公开
A
4、银行内部制度建设使得内部控制制度完整、系统的有()。A.内控制度之间相互制约作用强 B.对内部控制的研究不够 C.对老制度未作评价完善
D.新业务开办而其管理制度不配套或滞后
A
5、内控制度由业务管理部门统一设计、评价、()。A.引用 B.修订 B C
D B C
D B C
D B C
D C.插入 D.审阅
A
6、德国商业银行发放超过10%的贷款必须经过银行()的批准。A.分行行长 B.总行长 C.所有管理人员 D.信贷部经理
A
7、下列不属于对内控制度认识上存在误区的是()。A.对完善内控机制行为的认识误区 B.对完善内控机制目的认识误区 C.对完善内控机制作用的认识误区 D.建立完善的内部控制制度
A
8、建立完善的内部控制系统,应首要建立()。A.规范的董事会和监事会
B.公正、合理、高效的人力资源管理体制 C.公司制度 D.业绩考核标准
A
9、发挥内部检查职能作用,要以常规检查为主转向()为主。A.盲目检查 B.不再检查 C.突击检查 D.随意检查
A
10、完善监督核查制度时,内部控制的最后一道防线是()。B C
D B C
D B C
D B C
D B C
D A.监盘 B.风险评估 C.信息沟通 D.稽核审计
A B C
D
二、多选题
1、香港汇丰银行独特的信贷文化包括()。A.保守性 B.建设性 C.竞争性 D.沟通性
A
2、从()等方面建立科学的内部评级法。A.风险组织流程 B.风险评估 C.风险计量模型 D.风险管理信息系统
A
3、我国国有商业银行的控制环境不佳的表现有()。A.产权制度还未完成转型 B.公司治理结构不合理 C.风险管理理念落后
D.商业银行对员工思想道德教育的普遍不重视
A
4、以人为本,加强员工素质教育的方法有()。A.加强培训和学习,努力提高广大职工的业务技术水平
B.强化对员工的任用,真正形成“能者上,庸者下”的科学的用人制度 C.加强政治思想品德教育,职业道德教育及法制教育等 D.加强内控制度教育
A B C
D B C
D B C
D B C
D
5、德国《银行法》规定,监事会主要权责包括()。A.制定公司章程
B.监督执行董事会的经营活动,任免执行董事会的成员 C.对银行的重要经营事项作出决策 D.审核银行账簿,核对银行资产
A B C
D
6、商业银行内部控制使商业银行实现经营管理目标的(A.安全性 B.效益性 C.全面性 D.流动性
A B C
D
7、建立完善内控评价的方法有()。A.风险测量
B.构建有效的内部控制评价体系 C.借助外部评价机构 D.完善考核机制
A B C
D
8、银行内部控制体系中的审计评价包括()。A.初评 B.描述 C.验证 D.评估
A B C
D
9、审计部门将内部控制风险分为()。A.固定风险 B.控制风险 C.资产风险 D.察觉风险
A B C
D)。
10、商业银行控制体系主要有()。A.内部控制环境 B.内部控制措施 C.风险识别与评估 D.监督评价与纠正
A B C
D
三、判断题
1、坚持进行股份制改革,并逐步完善公司治理结构股改是国有商业银行治理改革的必由之路。()
对
2、银行在建立内部控制制度时要遵循“重制度建设,轻制度执行”的方针。()
对
3、业务部门要定期把该系统测算出的可能风险与市场数字进行核对。()
对
4、内部控制测试是对初步评价过程的校验。()
对
5、商业银行内部控制评价是指对商业银行内部控制体系对建设、实施和运行结果而与其他项目一同开展调查、测试、分析和评估等系统性的活动。()
对
6、银行内控系统是个再设计→再执行→再评价→再改进,到设计→执行→评价→改进的不断循环的过程。()
对
7、银行自行开发或购买软件,必须经过严格审核、测试、评价,才能投入使用。()
对 错
错
错
错
错
错
错
8、风险评估是风险控制的基础和前提。()
对
9、中银香港每年对内部监控系统进行检讨,有关检讨结果无须向稽核委员会及董事会报告。错
()
对 错
10、内部控制测试一般在银行会计终了之前进行。(对 错)
篇2:金融内控
随着我国社会主义市场经济的逐步建立,金融业的迅速发展,金融经营风险也随之增加,防范金融风险成为各商业银行的当务之急。近年来,国际上发生的金融业巨人大厦坍塌事件,究其原因,与其内部控制有着密切的关系。譬如英国巴林银行的倒闭与其缺乏有效的内部监督与制约机制密切相关,日本大和银行纽约分行的巨额亏损与其授权机制和人事控制制度的缺陷密切相关。而我国频繁发生的金融案件也大多与权利失衡,违规越权,缺少内部监督有关,是由于内部控制制度不够完善和健全,执行内部控制措施不严格而造成的。严格的内控制度是银行防范和控制金融风险的有效手段,国务院前总理朱镕基曾说“银行当务之急,是要认真建立健全会计制度和存贷内控制度。”因此,健全和完善银行内部控制,从而提高防范金融风险的能力,已成为我国金融业务发展的迫切需要。本讲座从以下六个方面谈商业银行的内控问题;
一、银行内部控制概述
内部控制是现代企业管理中的一个特定概念,国有商业银行和股份制银行作为企业对这个概念已耳熟能详了。商业银行架构多数为董事会负责的垂直管理体制,即总行统一法人管理体制。总行下设一级(直属)分行或分设境外分行;一级(直属)分行下设二级分行;二级分行下设支行;支行下设网点的形式进行管理,管理形状呈正三角形分布状态。完善的内部控制机制是商业银行审慎经营的前提,是保证金融体系稳定的基础。商业银行要实现持续稳健发展,必须严格执行银监会颁布《商业银行内部控制指引》相关要求,采取相关措施建立完整、有效、合理的内部控制体系。内部控制评价是检验商业银行内部体系建设是否达标的有效途径。
银行内部控制是银行的一种自律行为,是银行为完成既定工作目标和防范风险,对内部各职能部门及其员工从事和业务活动进行风险控制、制度管理和相互制约的方法、措施和程序的总称。内部控制是实现银行经营目标的关键。银行内部控制要达到防范风险、合法经营、提高经济效益目标,都需要通过核算、管理、监督和控制来实现,只有实施有效的内部控制,才能保证银行经营目标最终实现。
一般来说,银行内部控制由制度设计、制度执行、内部审计和评价三部分组成。制度设计是内部控制的基础,是指在明确银行经营目标,掌握控制方法后进行具体控制制度的设计。制度执行是内部控制的核心,是指有关职能部门和人员严格执行各项内控制度,有效控制金融风险。内部审计和评价是内部控制的保障,是指在发现问题后督促相关部门及时整改,同时对内控体系进行评价,并进一步完善内部控制体系。在具体执行中三者有机结合,相辅相成,共同提高。
二、银行内部控制的现状
我国各银行经过长期的运作一般均具有一定的内部控制工作实践经验,然而随着金融业务的发展,风险因素的增加,电子技术的广泛应用,金融机构有的制度已不适应实际的控制需要,内部控制存在诸多薄弱环节。主要表现在:
(一)内部控制体系不完善
商业银行内部控制是商业银行为实现安全性、效益性、流动性经营管理目标,通过制定并实施系统化的制度和程序,对经营风险进行有效识别、评价、控制、监测和改进的动态过程和机制。商业银行控制体系主要由内部控制环境、风险识别与评估、内部控制措施、信息与交流、监督评价与纠正五个相互独立、相互联系又相互制约的要素组成。其中,内部控制环境包括高级管理层责任、组织结构、内部控制政策与机制、人力资源内部控制文化等方面的内容;风险识别与评估包括信用、市场、操作等方面风险识别与评估;内部控制措施包括授权授信风险控制、岗位分离与权限分离风险控制、信贷资产管理风险控制、资产负债风险控制、财务会计风险控制、运行管理风险控制、国际业务风险控制、中间业务风险控制、洗钱风险控制、信息科技及安全防护风险控制、突发事件风险控制等方面的内控;信息与交流包括信息质量与管理、信息沟通与交流;监督评价与纠正主要包括检查监督履职、纠正与改进等方面的内容。
银行业务流程和岗位职责设定不科学。譬如目前在基层网点,会计和储蓄人员的配备处于两难的境地,一方面由于计算机的应用提高了工作效率,网点不但不能增加反而被削减了人员,必要的制约监督制度无法建立,更不用说较好的执行;另一方面,为了必要的制约机制,基层网点需增加人员,致使员工工作量不饱合,银行经营成本增加。当前各银行普遍做法是储蓄人员岗位、会计人员顶替储蓄岗位以解燃眉之急,这导致银行核算质量和金融风险防范上大打折扣。同时,一些业务操作流程设计也不尽合理,有的为提高效率减少操作环节,失去了控制,而有的充分考虑风险的防范增加业务环节,却降低了工作效率。
在对一线部门用人机制上,不少银行常常陷入两种误区,一是认为一线部门是基础部门,是“新手上路”的培训基地,通过招工或分配到的新员工往往先到一线部门“操练”,等其熟悉会计或储蓄业务后调至其他管理部门工作,当然这是一种人才培养的方法,但其负面影响也不言而喻,对一线员工的稳定、业务精通、减少差错和风险是不利的;二是认为一线部门是操作部门,不需要太多的政治业务素质要求,往往将一些学历低、素质差的人员安排在一线岗位,甚至管理部门员工一犯过错就马上调入一线岗位,这严重影响了一线部门员工素质的整体提高,内控的有效性陡然下降,同时挫伤了一线员工的工作积极性。
对各项业务操作流程、员工岗位职责和权限都制定了不少规章制度,但常常忽视了对决策层、管理层的权力控制和工作规范的制定。
(二)内部控制制度不健全
总的来说,银行内部制度建设存在内部控制制度不完整、不系统;已有的内控制度之间的相互制约作用不强,形成单项业务管理制度、规定分散,甚至相互间的抵触;对内部控制的研究不够,对老制度未作评价完善,新业务开办而其管理制度不配套或滞后。
某一类具体业务考虑的较多,整体业务流程考虑少,全行没有一个统一的规章制度和操作手册,不利于新手上岗和内部控制制度的全面掌握,有些制度只是一些粗略规定,尚未细化到岗位责任制和操作规程,有的制度缺乏必要的处罚措施,从而使这些制度的可操作性大打折扣。
2.部分内控制度没有考虑实际情况,难以执行,如某行总行规定会计重要岗位每两年轮岗一次,但实际上大多数银行苦于是员工人数没能做到这一点,尤其是基层网点中的会计重要岗位,有的员工在一个岗位一做就是十年。
3.对内部控制制度的制定和修订缺乏统一管理,有些制度过时,跟不上业务发展的需要,没有随着业务发展变化进行及时修订,制度的不完善和不健全、不配套,导致内控制度上的漏洞和操作上的失误。
4.银行从业人员甚至高级管理人员对风险控制的认识不足,以致于没有及时、充分地研究,加强内部控制,有的甚至客观存在利益驱动,重经营、轻管理,制度执行不严肃,违规经营、违章操作现象严重。一些银行虽常谈风险控制,召开内控例会,但实际行动上并未真正有效实施,对制度本身和业务操作过程中风险点未及时研究,采取强化内部控制措施,贯彻规章制度不彻底。
5.重制度建设,轻制度执行。近年来银行经营风险凸现,各行制定了很多旨在加强内控的规章制度。一些银行的内控制度可以装订成厚厚的一本书,但这些制度的可执行性及执行情况却无人问津,很大程度上成为应付上级检查的一种摆设。致使有的银行内部管理和控制比较混乱,内控机制在实际运行上处于“悬空”状态。大部分银行制度制定部门和执行部门不为同一部门,这本身是加强内控的一种好措施,但同时也带来一些弊端,制度制定部门仅考虑制定详尽的各项制度,以避免制度不全需承担的责任,有时便顾不上制度的可执行程度。而制度执行部门见制度无法执行便索性不执行,制度的权威性和严肃性受到质疑,造成有章不循。
(三)对内控制度认识上存在误区
1.对完善内控机制目的认识误区。完善内控机制的目的是为了防错查弊,控制银行经营风险,保护银行资产安全完整。而有些银行执行内控制度,仅仅是应付上级行检查,对完善内控目的认识不足,造成执行制度的被动,搞形式主义,敷衍了事。
2.对完善内控机制作用的认识误区。有些人认为完善内控就能制止风险。其实银行经营风险是客观存在的,与内部控制的强弱成反比,内控强则风险低,内控弱则风险高,但无论内控机制如何强化,银行经营风险绝不为零。内控越有效,所需成本就越高,而银行企业化要求银行以经济效益为其经营目标,内控机制的运作须考虑成本效益原则,一些银行不计成本制定的内控制度既不合理,也不会长久。
3.对完善内控机制行为的认识误区。有些人认为完善内控机制就要不折不扣地执行上级制定的所有制度。但一些基层机构人员少,对制度规定,如印押证三分管及定向代班,根本无法做到。实际上制度规定印押证三分管及定向代班,其目的就是为了防止一个经办员接触到三种结算工具时可能产生的舞弊。但三分管及定向代班并不是唯一的办法,对一些人员少的网点,完全可以通过加强检查和监督等其他控制手段来代替。
(四)制度执行不严肃,有章不循,违章操作现象严重
1.计算机唯一能够识别和控制操作者身份的是操作密码和预先设置的权限码,而在实际工作中,有的操作人员随意泄露密码,窜岗进行操作。这种员工相互间的盲目信任,致使内部制约制度形同虚设,银行潜在风险令人咋舌。
2.如要求银行人员的柜员密码每月至少更换一次,但事实大多员工或嫌麻烦或怕更换后自己难以记忆,不能真正做到“每月至少一次”,而系统又不支持,使内控员也无法了解柜员更换密码的执行情况。某行按要求所有会计和储蓄业务操作都应记录日志文件,以日志文件作为事后业务操作核查的依据,但有的员工纯粹为“要”记录而草草记录,敷衍了事,检查中发现,检查日后一个星期的日志已填写完毕。
3.如制度明确规定,发生长短款须上报主管,但有些银行员工在发生短款时,为轧平现金库在未查清情况前就已私自补进短款,可以想像在发生长款时,银行员工是否为轧平现金库也同样私自吞没长款呢?
4.银行账户管理严重失控,企业“多头开户”呈蔓延之势。各家银行为了在激烈的市场竞争中求生存,求发展,不惜放弃原则,拉存款、抢客户,有的公司有各家行开立的账户高达几十个,甚至在同一银行开立基本账户后,再开一般账户。
凡此种种,银行从业人员或不谙规定或贪图方便,业务操作主观随意性大,有章不循,违章操作,这种执行制度的不严肃性,风险意识的淡薄,使制度、规定未能很好地贯彻落实,这严重地影响了内部控制使用的发挥,形成较大的风险隐患。
(五)员工整体素质有待提高
当前银行从业人员存在素质参差不齐现象,新进的、工作时间较短的青年职工占相当大的比例,由于认识不足和其行业的非约束性,给内部控制带来了很大影响。有的员工责任心不强,听之任之,得过且过,缺少工作主动性和责任心,对业务处理中的一些异常情况不闻不问,缺乏警觉,不能及时发现疑点,以至犯罪分子阴谋得逞。有的员工由于业务水平的低下,在处理业务上因为业务的不熟练、制度的不执行,容易发生差错,同时也给犯罪分子有机可乘。有的员工由于思想教育和管理工作抓得不紧,或经不起金钱的诱惑,窃取、挪用银行资金。有的员工风险意识不强,过分相信别人,私章随意丢放,互通口令,给犯罪分子留下作案的机会。
(六)电算化管理滞后
银行业务处理的电子化在减少环节和提高效率的同时,也增加了新的风险因素。新程序开发、使用、系统管理等缺乏完整的规定,有的银行自行开发或购买软件,未经严格审核、测试、评价,即投入使用,同时新的管理和控制措施又未及时配套,造成了电算化管理、滞后的局面。
(七)内部检查和内部审计有待加强
现在银行内部检查存在责任不明确,检查不深入等现象,一些检查纯粹为应付人民银行或上级行检查任务或需报送报表报告而“过过场”,使内部检查流于形式,失去监督制约作用。内部检查和内部审计存在人员不足、频度过低、缺乏标准、对内控体系评价不够等问题。内部控制机制中缺乏独立、权威部门对执行情况连续、系统化的检查监督和评价,致使制度不能发挥其应有的作用。
三、我国国有商业银行内部控制中出现的问题
目前我国商业银行的内部控制制度的整体执行情况并不理想,突出表现在缺乏五性:有效性、全面性、及时性、独立性、审慎性。下面将具体从内部控制理论的五大方面来分析我国国有商业银行内部控制制度存在的主要问题。
(一)从控制环境来看良好的控制环境是内部控制系统有效运行的基础。无数实践表明,金融机构内部形成的氛围和环境会影响控制活动、信息交流以及监管活动。而我国国有商业银行的控制环境不佳:
1.产权制度还未完成转型。一直以来我国国有商业银行建立在全民所有制基础上,适应计划经济体制,产权单一,缺乏活力。正是因为认识到这一点,目前国有商业银行的股改上市正紧锣密鼓地进行。朝着银行法人产权制度这一方向不懈努力,但过程中仍然会遇到许多阻力。
2.公司治理结构不合理。虽然国有商业银行的公司法人治理结构发生了很大的变化,但与真正市场化的货币金融企业相去甚远。首先,由于产权问题还未得到最终解决,公司治理架构不健全。其次,权力的委托和分配更多是依靠行政力量,不能保证其独立于政府的经济性、市场性。再次,在激励与约束机制方面,主要实行行政级别的升迁的官本位制,易造成高级管理层注重短期业绩,忽视长期和滞后风险的现象。另外,在监督机制方面,以党政机关的纪律和有关规定监督为主,缺乏股东和资本市场的有效的实质性监督,且各权力部门之间独立性不强,界限模糊,缺乏制衡约束力量,易造成政府监管与银行内部信息不对称,滋生腐败行为。
3.风险管理理念落后。我国国有商业银行的高层管理人员对风险管理不够重视,没有设立专门的风险管理部门,风险的管理分散在不同的部门,往往存在多头管理,不利于发现问题。同时对于风险管理的认识常常具有片面性,缺乏全面正确的风险管理观念。表现在计划体制下的完全漠视到现在强化风险管理和责任下的对风险采取过度规避,而过度规避影响了业务的正常发展。
4.商业银行对员工思想道德教育的普遍不重视导致许多不规范或不道德的行为,如:有法不依、有章不循、违法违规经营,为一己之私而损害集体利益,无团队精神,无主人翁姿态,缺乏责任感,甚至以权谋私、以贷谋私,大肆侵吞国家财产。2003年,国家有关部门为打击这些现象,制定了一系列严格的规章制度约束职工行为,但收效甚微。这说明,单纯的规章约束远远不够,还必须培育银行企业文化,外部的“硬约束”要通过良好的内部“软约束”才能发挥作用。
(二)从风险评估来看风险评估是风险控制的基础和前提,是全面、准确、及时的了解和把握银行风险的内控要素。我国国有商业银行在风险评估意识、方法、技术等方面还比较落后。
1.风险评估的方法技术落后,人才缺乏。由于管理层的不重视和高技术人才的缺乏,我国国有商业银行的风险评估主要依靠定性的、人为控制的直接管理方法,如信贷审查方式,而未使用定性和定量相结合的客观的科学方法。这导致了风险管理的专业化程度和效率较低,特别是对于已标准化的可批量处理的银行资金交易和零售业务,没有实现以模型等定量分析为主的间接管理方法。而且,由于缺乏专业化的技术人员和足够的数据信息,目前我国商业银行尚未建立更为科学的内部评级法,也就无法使用国际银行界广泛使用的VAR技术,无法对风险做出准确的识别和分析,更谈不上建立起科学的风险管理体系了。
2.风险评估主要局限于信用风险,而对其他风险和一些新业务缺乏必要的分析。我国国有商业银行的风险评估大多是针对信贷业务设计的,而对市场风险、利率风险、外汇风险等其它业务的风险评估还处于空白,对衍生金融工具、中间业务等新业务的风险更加缺乏监控。这对于业务范围不断扩大的国有商业银行是一个隐患。
(三)从内部控制活动来看
内部控制活动是内部控制最重要、最具有现实意义的子系统,而我国国有商业银行开展的内部控制活动总体效果不理想。
1.现行的内控规章制度不健全、不系统、不科学。我国国有商业银行的规章制度有的过时,跟不上发展需要,没有及时修订;有的新业务的开展还没有制定规章制度来约束,运作上带有盲目性;有的制度过于简单,操作性不强;有的又过于严格、机械等等。值得注意的几点是:实际工作中有制可循却缺乏严格的执行,使一些基本制度如柜台交叉复核、双人双责和事后监察难以落实,替岗、代岗,代人签章现象时有发生;奖惩制度往往以党纪政纪处罚代替了职业上的惩罚,有名无实;成绩考核制度也存在较大缺陷,一些基层银行仅以完成存款的多少来考核评价员工和决定工资待遇,忽视资产的风险状况。所以总的来说,这样的制度不利于风险控制。
2.内部组织结构不科学,人员素质控制不到位。由于机构岗位之间的分工不明确,经常会出现责任推诿的情况,利益的交叉也使得权力制衡在运行中失灵。而且,各层之间的授权审批制度没有规范化,授权过大、过小或越权现象严重。再加上对职工的录用把关不严,培训考试过程又流于形式,这些都易导致业务上的操作风险。
3.风险控制手段不足,风险控制系统不全。国有商业银行缺乏正常的风险补偿、风险转移和风险分散机制。在风险补偿方面,未分配利润远不适应迅速扩大的资产规模,呆账准备金过少;在风险转移方面,能够转移风险的衍生金融市场尚未形成;在风险分散方面,由于我国仍处于分业经营状态,不利于风险分散,从而一定程度上的导致国有商业银行过多的采取风险回避而降低收益。
(四)从信息交流方面看
我国国有商业银行在信息的真实性和传递效率上存在很大的问题。
1.会计信息失真。由于各种客观和主观的原因,国有商业银行的会计要素经常出现错漏现象。更严重的是一些分支行机构为了显示业绩而随意修改会计报表、做假账、违规操作。这一方面与我国会计制度存在缺陷有关,也与人员的素质有关,更与监管不力有关。
2.管理信息系统建设滞后。管理信息系统具有收集、加工、处理内外部信息并转换成对管理者有用的信息的功能。我国国有商业银行的计算机应用还主要停留在操作层面的会计信息系统,面向管理层面的管理信息系统建设落后,因而不能很好的辅助管理人员对信息作出准确的细节分析和综合把握,从而及时发现风险、化解风险。这种滞后造成的原因,一是受传统的影响,对信息管理工作不够重视,银行没有专门的信息管理部门:二是缺乏既懂业务又懂电脑的人才,限制了技术的开发。
3.信息的传递效率低下。我国国有商业银行的信息传递是靠金字塔式的组织来完成的,由总行到一级分行、二级分行等,最后到基层,多达七个层级,链条冗长,虽然计算机互联网消除了许多时滞因素,但信息上行下达过程中出现的人为拖延、理解偏差,导致高层与基层行动步调上的不一致。
(五)从内部监督与审查来看
1.内部审计独立性不强。我国国有商业银行内部审计直属行长领导,对行长负责,报酬由行长决定,这实际上一定程度削弱了对行长及其负责范围内业务的监督,严重影响了审计的独立性,从而影响了审计工作的公正性和效果,不利于其发挥监督职能。
2.审计人员的思想素质和技术水平有待提高,内部审计方法有待完善。审计人员自身对本职工作的重要性没有深入认识,且长期以来沿袭旧的审计方法,将审计主要局限在专项审计和突出检查,方式单一,覆盖面不广,审查频度不高,审计水平有限,只注重事后稽查而忽视事前防范、事中控制,不能充分发挥其预警效果。
四、强化银行内部控制的对策
如何在保证内控目标的前提下,促进内部控制的有效性,尤其是通过优化整体业务流程,减少内控环节,简化内控程序,降低内控成本,提高效率和效益,是深化内部控制的重要内容。本讲座试从以下几方面提出对策:
(一)完善内部控制体系
1.提高认识,树立“内控优先”观念。领导重视是搞好内控机制建设的关键。如果领导只重视利润目标的实现和存贷款等各项指标的完成,不重视内部控制制度的执行和监督检查,那么员工就会自觉或不自觉地违反内部控制制度。所以,领导重视内部控制管理工作,是搞好内控机制建设的关键所在。因此,建立和落实内部控制管理领导责任制,将内部控制管理制度执行的好坏,作为分管内控的行长和部门负责人考核的主要内容,一级抓一级,层层落实,就能切实将内控建设搞好。
2.银行各项规章制度都贯穿“内部制约”四个字,其核心是银行办理任何业务都应避免个人或小组有单独控制权,在实际业务运作中要对有潜在风险的业务实行岗位或部门分离的运作机制,通过横向制约和程序制约,实现内部管理规范化、科学化和制度化。
3.内控制度设计和执行的主体应分离,具体营业部门、信贷部门负责具体业务处理,制度由业务管理部门统一设计、评价、修订,操作部门对制度存在的问题和出现的新情况应及时反馈给业务管理部门。
4.随着银行业务发展和电子化条件下,对不再有效和重要的控制环节进行调整,保证控制的有效性和效益性。
5.劳动组合的合理性与内控的有效性密切相关。银行要在现有人员不足条件下优化劳动组合,应以员工个人整体素质是否符合工作需要为出发点,来进行配置,并且数量必须加以保证。
(二)健全并严格执行内部控制制度
1.整章建制,完善内部控制制度。温家宝总理曾强调:“建立健全制度是加强内部管理的根本,是金融现代化的根本保障”。制度建设是一个永不停止的过程,银行应加强内部控制和实际执行情况的分析研究,评价内控的有效性,因势而化,及时修订完善各项内部控制制度。在具体工作中,要对每项业务的重要风险部位,都制订健全完备的内控制度进行约束和限制,做到制度无所不在,从各个方面防患于未然。
2.各项业务流程须按照内控要求予以规范,加强重要环节的控制,做到核算操作程序规范化,提高业务的可操作性和透明度,改变师傅带徒弟,越带越打折的现象。特别是针对当前各项会计核算和业务处理过程中的制定相互制衡的办法。对已制订的制度应经常对照检查,发现制度中与现在操作不符之处、制度本身存在的风险点等情况应及时修订和完善。
3.内控制度建设应从各银行网点的实际情况出发,根据机构规模和业务特点,尤其应针对高风险业务及岗位,参照人民银行和上级有关规定制定切实可行、有实效的内控制度,如钱账分管、内外账定期核对、账户开户审查、定期轮岗或换行上岗、强制休假、事后监督、联行查询查复、大额提现审批、票据凭证审核、重要会计事项审核、联行业务和同城清算安全、会计检查辅导、内部检查等制度,以保证核算的准确及时,防范银行经营风险。
4.银行员工在办理业务时应严格执行各项内控制度,加强自身风险防范意识。
(三)以人为本,加强员工素质教育
1.应加强培训和学习,努力提高广大职工的业务技术水平。譬如规定在岗人员每年培训时间不得少于几周,加强员工的业务学习和计算机应用能力的训练。业务管理部门要加强员工对各种凭证、票据的真伪鉴别技能的培训和其他防范犯罪行为的特殊能力的培训。
2.要强化对员工的任用,真正形成“能者上,庸者下”的科学的用人制度,同时进行岗位轮流,用人所长。还要有一套促使员工提高自身素质的激励机制,如薪酬、奖励机制等。
3.加强政治思想品德教育,职业道德教育及法制教育等,从思想上净化各种违法行为,引导员工敬业爱岗无私奉献的精神,从而抵制不良思想的入侵。
4.加强内控制度教育,尤其是要使一线员工认识到自己是各项业务直接经办者,是防范经营风险的基础。要认真组织员工经常学习有关规章制度,增强其内控意识,使其养成自觉执行规章制度的好习惯,杜绝违章操作,违反制度的现象,减少失误和差错,消除风险隐患,筑实第一道防线。
(四)加快电算化进程
银行电算化的发展,加速了资金汇划,提高了服务效率和质量,同时改善了员工的劳动条件,使员工在思想观念、管理形式、劳动组织等方面发生了很大的变化,培养了一大批具有现代化计算技能的人才。
(五)加强内部检查和内部审计
1.内部检查是内部控制中不可或缺又无法替代的一个重要环节,是内部控制的一个特殊组成部分。各行各部门要成立专门负责检查制度执行情况的监管机构,配备监管检查人员,并实行严明的奖惩制度。强化监督,充分发挥内部检查职能作用。
2.内部检查组织应相对独立,独立负责和进行内控制度执行情况、制度和严密性和完整性进行评价,提出意见。加强内部检查的独立性,应逐步建立行长直接领导下的有较大独立性的内部检查组织,在所扮演角色方面,要更多地扮演“顾问”“伙伴”角色,牢固树立为行长服务,为职能部门服务的意识。
3.发挥内部检查职能作用,要以常规检查为主转向突击检查为主,以业务合规性检查为主转向以评价内控机制有效性为主。评价内部控制系统是否全面有效,控制目标是否达到,从中找出控制盲点和控制缺陷,提出改进意见,从而完善内部控制。
4.内部检查与审计必须对组织内部进行全方位的监督,应该说“内审无禁区”,银行所有部门,各个业务环节,各个层次的员工都是内部检查和审计的对象。对内部控制中存在的问题,应及时向有关职能部门反馈,提出整改意见,并及时向决策层报告,真正做好“管理层的眼睛和耳朵”,对重大违规事项及问题较多的分支机构和职能部门整改情况作跟踪检查。
银行内控系统是个设计→执行→评价→改进,到再设计→再执行→再评价→再改进的不断循环的过程。具体来说是,银行在开办和处理任何业务必须有制度作保证,明确操作程序和各项具体要求;银行从业人员必须严格执行各项内控制度,服从规定;在经营中要处理好业务发展和内部控制的关系,避免内控滞后现象;充实内控组织机构的内控人员,严格监督检查,推进管理的规范化并加强监控,提高其有效性。在检查评价以后及时加以改进,加固防范风险的“防御工程”。同时,严格奖惩,建立激励机制。对有章不循、违反制度规定的责任人应给予经济处罚,对严格执行制度、工作质量高的个人应给予相应的奖励,做到奖罚分明,在全行营造一个人人遵规守章良好的工作环境。真正树立银行的“铁账、铁款、铁规章”的新三铁形象。通过银行内控体系的完善和内控机制作用的发挥,力图达到堵塞漏洞,消除隐患,规范运作,提高效率的作用。
五、建立完善的内部控制系统的建议
(一)坚持进行股份制改革,并逐步完善公司治理结构股改是国有商业银行治理改革的必由之路。只有通过改制,剪断国有商业银行联结在国家母体上的“脐带”,使股权结构多元化,银行资本社会化,才能促使国有商业银行以其法人财产权承担有限责任,以市场经济规则去经营,去承担和防范风险,去选人用人,才能使其经营者排除经营因素的干扰,聚精会神谋发展。在此基础上,现代企业的公司治理结构必须加以完善。
首要的是建立规范的董事会和监事会,适当引进外部独立董事和监事,明确划分股东、董事会、监事会、高级管理层、经理人员各自的权力、责任和利益,保持他们之间的独立性,形成制衡机制;其次,要建立公正、合理、高效的人力资源管理体制,关键在激励约束机制上,可适当拉开员工收入差距,提高高层管理人员的工资,“以薪养廉”、“以酬留人”,将薪酬和晋升机会与工作绩效、创新成果、技术水平挂钩。为了保证待遇和晋升的合理性,还要充分考虑业绩的风险收益对比和长期效用,而不是以表面的、短期的业绩为标准考察。
(二)重塑优秀的企业精神,着力培育内部控制文化优秀企业精神是内部控制中的软约束力,他强调以人为核心,通过自我修养起作用。首先应从培育正确的价值观入手,树立集体主义价值观,纠正狭隘的个人至上的思想导向;其次,在日常工作中,通过培训、建立赏罚机制、领导以身作责、广泛宣传等手段,培养职工良好的职业道德,以诚信、廉洁、守法、服务、敬业、勤勉、协作为标准来要求员工,熟悉岗内工作的职责要求,理解和掌握内部控制的要点,积极努力去发现问题和风险,使银行能拥有一个较好的内部控制氛围。
(三)改革落后的风险管理观念和方法,健全风险评估体系
国有商业银行的高级管理层应从根本上加强对风险管理的认识,尽快成立专门的风险管理部门,对风险进行系统、及时的管理。要按照巴塞尔协议的要求,借鉴国际先进经验和手段,从风险组织流程、风险计量模型、风险数据库、风险管理信息系统等方面建立科学的内部评级法,逐步建立覆盖所有风险业务的监控和评价预警系统,并进行持续的监控和定期评估。需要强调的是,由于现代风险识别、评估是一门技术性非常强、非常复杂的工作,其采用的定量分析法与我国传统应用的定性分析法存在很大的差异。所以国有商业银行要注意这方面管理技术人才的培育和吸纳,积极与国外优秀银行交流,向他们学习经验、技术。
(四)有效开展内部控制活动,控制各种风险在规章制度的规定方面,要打破以往商业银行内部条条框框的管理模式,实现规章制度的制定以业务流程为中心,紧跟流程过程、变革及业务创新。
对原有的、过时、僵化、不完善的规定进行全面检查修改、做到灵活、标准规范管理。为将各项规则落到实处,要完善相互协调相互制约的组织结构,如岗位双人,双职、双责制,进一步完善内部授权审批制和岗位责任制,确保内部权责明确,防止替岗、代岗现象,同时建立责任定性,考核定量的管理考评制度,建立风险管理奖惩制度,赏罚严明。这些都可以在很大程度上防范操作风险。对于市场风险、信用风险的防范则应适当增加呆账准备金规模,并积极配合有关方面培育好中国的衍生工具市场,利用多种金融工具进行投资组合、分散市场风险。
(五)加大会计改革力度,加强信息管理,建立顺畅的信息传递机制
首先,借鉴国际惯例,依据自身条件,我国国有商业银行要继续完善其会计核算体系,裁减核算主体,上收核算层级,统一会计口径,废除计划限制,同时完善会计账务的电子化管理,减少造假可能性,强化审查,提高会计信息的真实度;其次,建立完备的信息管理系统,运用现代信息技术进行设计,力求管理全面、安全可靠。再次,要防止信息传递过程中的理解偏差。以会议座谈、研讨等方式的上下级直接交流也有利于信息的正确传递和决策的执行。
(六)加强内部稽查审计,完善监督核查制度稽核审计是内部控制的最后一道防线,独立性是其有效的首要要求,从这点出发,国有商业银行可考虑将稽核部门的地位提升,直接隶属代表股东利益的董事会,或可以在总行建立一个总稽查审计部门,直接对总行行长负责,下属支行分别建立分部门,直接对总稽查部门负责,防止机会主义错误。同时要借鉴国外经验,设置科学的量化监控指标体系,对监控对象作出迅速判断,并采取即使必要的措施。当然,审计人员的素质把关也十分重要,要从严选拔,特别注重其品德修养,这是审查有效的最基本保证。
六、内部控制评价对商业银行内控管理的作用
(一)商业银行内部控制的内涵及构成要素
商业银行内部控制是商业银行为实现安全性、效益性、流动性经营管理目标,通过制定并实施系统化的制度和程序,对经营风险进行有效识别、评价、控制、监测和改进的动态过程和机制。商业银行控制体系主要由内部控制环境、风险识别与评估、内部控制措施、信息与交流、监督评价与纠正五个相互独立、相互联系又相互制约的要素组成。
其中,内部控制环境包括高级管理层责任、组织结构、内部控制政策与机制、人力资源内部控制文化等方面的内容;风险识别与评估包括信用、市场、操作等方面风险识别与评估;内部控制措施包括授权授信风险控制、岗位分离与权限卡风险控制、信贷资产管理风险控制、资产负债风险控制、财务会计风险控制、运行管理风险控制、国际业务风险控制、中间业务风险控制、洗钱风险控制、信息科技及安全防护风险控制、突发事件风险控制等方面的内控;信息与交流包括信息质量与管理、信息沟通与交流;监督评价与纠正主要包括检查监督履职、纠正与改进等方面的内容。
(二)商业银行内部控制评价的定义和内部控制评价的组成部分
商业银行内部控制评价是指对商业银行内部控制体系对建设、实施和运行结果而独立开展的调查、测试、分析和评估等系统性活动。通过实施内部控制评价活动,有助于督促商业银行进一步建立健全内部控制体系和内部控制机制,为全面风险管理体系的建立奠定基础; 有助于外部监管部门和内部高级管理层客观全面了解一个分支机构内部控制状况,从而达到促进其内部控制过程各体系目标的进一步实现。内部控制评价包括过程评价、效果评价和限制评价三个部分。过程评价是对内部控制环境、风险评估与管理、内部控制活动、监督与纠正、信息与交流等五大要素的评价。效果评价是对内部控制主要目标实现程度的评价,按照重要性原则确定各效果评价指标,主要包括效益类指标、资产质量类指标和案件损失类指标。限制评价是对评价内是否发生影响内部控制的重大事件的评价,主要包括违反国家有关金融法规,情节严重,受到人民银行、银监会、审计署等外部监管部门处罚情况;发生一定金额以上的贪污、挪用、贿赂等内部经济案件的;发生涉案一定金额以上的金融诈骗案件等。
(三)商业银行开展内部控制评价的重要意义
商业银行内部控制评价有助于外部监管部门或上级管理部门了解被评价机构的经营及内部控制管理情况。商业银行通过内控评价在排风险、找差距、堵塞漏洞的同时,更多地是可以帮助被评价机构通过评价发现问题进行整改,从而完善内控管理机制,进一步建立长效内控管理机制,按照内控管理的五大要素,培育良好的内控文化,建立完善高效的风险评估机制,实施健全有效的控制活动,构建科学、完善的内控体系。
1.内控评价促进商业银行分支机构严格遵守国家法律,银监会的监管要求和商业银行审慎经营原则。2007年7月3日中国银行业监督管理委员会颁布实施《商业银行内部控制指引》商业银行内部控制应当贯彻全面、审慎、有效、独立的原则,包括:内部控制应当渗透商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查;内部控制应当以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求;内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够得到及时反馈和纠正;内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
2.内控评价促进商业银行分支机构提高风险管理水平,保证其发展战略和经营目标的实现。工商银行从2002年开始从内部控制的五大要素按业务条线进行内部控制自我评价,2003年引入对基层行(二级分行和支行)的全面评价,并把评价分为过程评价和效果评价两大部分,2005年总行开始对一级分行进行全面评价,2007年引入非现场评价指标体系,2009年扩大非现场评价的范围。内控评价的五大要素为控制环境、控制活动、风险识别与评估、信息交流与沟通及监督检查五个方面。拥有较为健全的内部控制评价体系和实施细则、评价方法和评价标准等,强有力地保障了工商银行实现其发展战略和经营目标。通过近十多年对基层行和五年来对一级(直属)分行的评价,使工商银行内控管理水平得到了显著改善,经营效益大幅提升。
3.内控评价促进商业银行分支机构在出现业务创新、机构重组及新设和关键岗位人员轮换等重大变化时,及时有效地评估和控制可能出现的风险隐患。通过对内控制度建设、执行情况作出有效的评价,同时揭示出内控制度的不足和疏漏,在开办新业务、设立新机构和重要关键岗位人员(包括各级管理人员)轮换等重大业务、机构和人员发生变化时作出有效的评估,研究对策措施,促进商业银行内控建设得到不断改进。
一是构建有效的内部控制评价体系。建立内控评价机构,保证其内控评价的客观性和公正性。二是借助外部评价机构,实施外部评价。充分重视内、外部对内控制度建设、执行效果改进措施的评价,促进商业银行内控制度建设走健康发展道路,提高内控制度建设的有效性,保证各项业务健康有序发展。三是完善考核机制,将内控评价结果作为考核分支机构行和业务部门考核重要内容之一,合理设置分值,充分运用内控评价结果。同时,要建立违规必究的处罚机制,防止重检查轻整改现象,树立内控规章制度的权威性。通过对各业务线条制定制度、办法和实施细则等进行有效评价,堵塞制度方面存在的漏洞和隐患。
(四)商业银行分支机构开展内部控制评价的作用
商业银行的管理层需要了解分支机构内控的效果,监管当局需要掌握金融机构内控的状况,这都需要通过对一个机构内控状况的全面评价来实现。没有有效内控评价,就无法对一个商业银行分支机构内控管理情况得出全面性结论,也就不可能为其内控工作的优化创造条件。
1.开展内控评价工作,有利于商业银行加大对各级机构内控工作管理力度。内控评价工作在消除业务操作和管理隐患、改善内部控制环境、从根本上建立风险管理绩效机制、持续改善内控管理方面发挥着重要作用。各金融机构根据银监会《商业银行内部控制评价试行办法》的要求,制定或完善本行《内部控制评价办法》,促进内部控制评价工作的制度化、规范化和科学化。逐步加大内控管理在经营绩效中的占比,把内控管理状况及评价结果与高管人员考核和离任、责任审计和绩效分配相挂钩。
2.开展内控评价工作,有利于商业完善操作风险防范体系,提高操作风险防控能力。内控评价工作是对商业银行内控管理状况的全面体检。通过内控评价工作有利于各商业银行防范操作风险,防止发生重大差错事故、操作性失误和违规违纪案件,全面贯彻落实银监会案件专项治理的工作部署,是一项标本兼治的综合性管理工作,切实提高操作风险防范水平。
一是强化操作风险管理员在组织推动操作风险管理的重要作用,突出操作风险防范在全面风险管理体系中的重要地位,推动形成各分支机构、各业务部门齐抓共管操作风险局面。二是强化内控管理委员会对全行各分支机构、各职能部门和各业务条线进一步落实对重点部位、重要环节和重要岗位的防控措施。三是强化各分支机构建立规章制度的后评价制度,跟踪研究制度执行情况,并根据经营环境的变化,不断加以完善,及时发现和堵塞漏洞,防范制度梳理工作不到位带来的风险隐患。
3.开展内控评价工作,有利于商业银行各项内部控制措施有效发挥作用,各类风险得到有效控制。通过对内部控制五大要素的有效评价,能够确保各项内部控制措施作用得以有效发挥,各类风险得到有效控制。
一是促进各分支机构严格执行授权控制。各项业务活动按照授权控制原则,实行统一法人管理和法人授权。严格执行授信控制,对法人客户办理的各类授信业务纳入法人客户统一授信管理。二是促进各分支机构执行严格的职责分离制度。明确划分各级机构和部门之间、岗位之间的职责分离、横向与纵向相互监督制约的机制,并严格按规定程序办理各项业务。三是促进各分支机构强化业务监督控制。配置专人对各类核算业务进行有效监督,按照重要性原则确定检查范围,进行检查,发现问题立即整改。四是促进各分支机构建立科学的信息资料保全系统,确保信息资料的完整性、真实性、保密性、安全性,有助于各部门之间信息进行有效的交流与沟通。
七、国际商业银行内部控制实践
(一)国际商业银行内部控制实践
国际商业银行高度重视内部控制,并在长期的经营实践中积累了丰富的内部控制管理经验。由于公司治理结构的不同以及银行经营管理文化的不同,因而国际商业银行的内部控制也显示出不同的特点,但对我国的商业银行加强内部控制具有十分重要的借鉴意义。我主要介绍美国、德国、英国、中国香港等发达国家和地区的商业银行的内部控制实践。
1.美国商业银行的实践
美国商业银行在长期实践中,模索出一套行之有效的内部控制管理策略和运作原则,一些著名的银行如花旗银行、美洲银行、纽约银行的内部控制制度与实践在跨国银行中有着良好的口碑。
美国商业银行的内部治理结构与一般公司相同,都设有股东大会、监事会和董事会,商业银行董事会为实际上的最高权力机构,董事会领导下的行政总监(行长)负责全行的经营管理,而业务审计部及内部审计部门则直接对董事会负责,并在全球范围内设立若干业务审计及内部审计中心,负责银行全球业务的审计及内部管理状况的审计。这种组织机构的设置,使银行内部控制机构具有很大的独立性和权威性。概括的说,美国银行业的内部控制特点主要体现在以下二个方面:
(1)科学的内部控制体系
①丰富的内部控制内涵
美国联邦储备体系(美联储)十分注重银行业的内部控制工作,其对内部控制的定义为:内部控制是组织计划并在业务中采用的所有协调方法和手段,旨在保证资产的安全、检查会计资料的精确性和可靠性、提高经营效率、鼓励坚持既定的管理政策。
这一定义大大的扩展了内部控制的范围,他把内部控制的范围延伸到与会计和财务部门直接或间接相关的职能中。换句话说,内部控制不仅是对人员、风险、从业范围、制度和工作程序的监督管理,而且是一个包含预算控制、标准成本、定期经营报告、统计分析等在内的内部控制与稽核相统一的系统。
因此,银行稽核职能的发挥是评价其内部控制系统的重要尺度。1993年5月11日,联邦存款保险公司董事会批准执行《联邦存款保险公司改进法》,其中第12条规定,要求银行就其内部控制和守法情况以及经稽核过的财务报表档案向联邦存款保险公司和美联储等管理机构报告,并且要求银行设立由独立的外部董事组成的稽核委员会。大银行和稽核委员会中至少要有两名成员具备商业和金融方面的管理经验,并且这些成员不能是该银行大客户中的雇主或雇员。
②独立的内部控制部门和人员
为了强化内部监督控制,在银行组织结构设计中需要专门独立于其他部门,只对银行最高权力机构负责的内部审计机构。
美联储要求银行内部的稽核人员负责监督银行在会计、经营和管理等方面是否健全和适当,确保这些方面都正常运转,以使银行资产免遭损失;同时,内部稽核还负有帮助制定新的政策和程序的义务,同时要督促银行遵守法律法规,对现行的监控政策及程序的有效性做出评价。为达到这一要求,美联储对银行内部稽核进行检查时,着重从内部的独立性,内部稽核员是否称职,内部稽核的充足性和有效性几个方面入手,强化了内部稽核的功能。
通过对其工作顺序、业绩,尤其是对专业人员素质这些非常细致入微的指标检查,促进了银行业的内部控制。
一旦美联储认为某银行内部稽核报告不可信,那么,该银行的内部稽核工作在美联储的综合的评级中将被列为基地等级,这对该银行的经营发展来说是非常不利的。
正是由于上述原因,美国银行业非常重视内部控制,由此来实现金融监管的精神实质,把风险扼杀在萌芽状态。
在美国商业银行的董事会中,外部董事一般占有重要地位。
如花旗集团董事会共有17名董事,其中有13人来自集团外部。而且美国商业银行董事会的外部董事一般是相关领域的资深专家,具有某个领域的独立专长并拥有广泛的关系网络,比较注重自身的信誉和身价,因此,他们能客观、积极地参与对公司重大经营决策的参议和监督,在公司管理层的监督中发挥着重要作用。
内部董事虽然所占比例极小,却身居要职,这一方面也有利于董事会所肩负的重大经营决策活动,另一方面也有利于减少董事会和经理层之间的摩擦。
美国商业银行董事会一般下设各种专业委员会以协助其进行经营决策和行使监督职能,大多设有三种委员会:审计委员会、薪酬委员会和提名委员会。这些委员会一方面协助董事会行使决策与监督职能;另一方面也对公司内部管理的改善起着很重要的作用。
③集中、权威的内部监管体系和统一、严密的稽核依据
美国银行业稽核权由银行总行统一行使,分行没有稽核部门;内部审计独立,银行的行政和日常管理层无权干涉内部审计体系的运作;稽核部门分工精细,人员充足。
稽核部门内部机构根据职称、业务、区域等不同标准划分,部门众多。如花旗银行的稽核总部除首席审计师以外,下设调查部、业务审计部、辅助管理部、监督检查部、审计培训部、现场检查部。在现场检查部下又根据业务和区域分设北美一部(负责资金,证券审计)、北美二部(负责零售业务审计)、北美三部(负责衍生工具审计)、亚太部、拉美部、欧洲一部和欧洲二部等部门。
美国主要银行的稽核人员占其员工总数的比重相当高,2000年的统计数据表明,花旗银行稽核人员为575人,占总部员工总数的0.58%,美洲银行稽核人员为350人,占员工总数的0.44%,纽约银行稽核人员为170人,占员工总数的1.4%。
美国跨国银行要求各业务部门必须针对本部门业务特点制定统一、规范的业务规章或守则,这些规章或守则必须经董事会或专门的风险管理委员会审核同意。
④注重非现场稽核方法
与其他企业一样,跨国银行是营利性经济组织,他以利益最大化为经营目标,在风险管理和内部稽核问题上同样面临着成本与收益的比较问题。
美国跨国银行强调稽核工作不应干扰银行业务部门的正常运作,不鼓励大量采用现场调查方式,提倡开放式、自律型的非现场检查。
以花旗银行为例,其稽核部门在确定稽核任务与稽核目标后,一般提前两周向稽核对象发出通知,要求报送相关的稽核材料。
稽核人员通过计算机系统接纳和审核业务账册和资料,只有在账册无法说明问题时才考虑进行必要的现场检查。
⑤资产风险管理的“六C”法则
美国跨国银行通过评估资产的营利性、安全性和流动性来控制资产风险,以提高银行经营的稳健性。
对一般资产业务的风险评估必须贯彻“六C”法则,必须考虑如下六个因素:(1)品质;(2)能力;(3)资本;(4)抵押品;(5)环境;(6)控制等。
综上可以看出,美国跨国银行对内部稽核工作是相当重视的,从人力、物力、制度等方面均给予了充分保障。
这种强势稽核体制对银行经营的安全性与稳健性有着至关重要的作用,近十年来美国跨国银行业之所以没有出现大的危机,这与美国跨国银行奉行的强有力的内部控制制度紧密相关。
(2)高度重视内部控制评估
内部控制评估是外部审计师或监管机构对银行内部控制体系进行调查、了解、审计、评估的一系列活动过程的总称。
美国注册会计师协会《现场审计工作准则》第二条明确规定:“审计师对现行的内部控制结构进行充分的研究和评估,以此作为制订审计计划,确定审计性质、时间安排以及测试范围的基础。”
美国是少数几个以法律强制银行披露经独立审计的内部控制评估报告的国家之一,其《联邦存款保险公司改进法》要求所有资产超过1.5亿美元的银行和储蓄机构,应定期公布经独立审计师审计的内容控制评估报告。
美国审计部门对银行内部控制体系的评估,有一套相当成熟的模式,主要分为以下三个步骤。
①对银行内部控制体系的审计评价
这是内部控制体系评估最重要的一环,可细分为如下四个程序。
a.初评。在正式评估内部控制体系之前,审计师应先审阅银行上一审计报告,以及银行各种规章、制度和指南,向管理人员询问,并现场检查银行工作情况,以便对银行的控制环境、风险管理、信息交流等有一个总体印象。
b.描述。审计师必须对内部控制的初评结果加以详尽描述,编成工作底稿归入审计档案。描述可以采用多种方法,具体有以下几种:文字叙述法,即以书面文字的形式阐述银行现有的内部控制制度;系统流程图法,即用流程图解的方式描述各业务环节的处理程序以及财务记录的编制、处理、传递与保存;调查表法,即预先设计一份标准化调查问卷,以便了解银行内部控制及其实际功能。
[调查表分别针对各主要业务和环节的内部控制措施列出一系列问题,备好正面答案(有时还有中性答案),交由银行业务人员进行问卷调查]。
这三种调查描述法各有其优劣,需要根据特定银行的内容控制情况加以选择适用。有时,为了全面客观地反映银行的内部控制运作情况,审计师将三种方法兼施并用,以求达到更为准确、真实的描述结果。
c.验证。通过从银行业务中抽取某一样本业务,从其处理始点审视至终点,借以判断银行的业务控制是否完善,审计师对银行内部控制机制的初评和描述是否客观全面。
d.评估。美国的内部控制机制评估是相当有特色的,审计部门将内部控制风险分为三个层次:(1)固有风险,是指银行因业务性质本身具有发生错误或弊病的可能;(2)控制风险,是指银行内部控制未能防止银行业务出现弊病或错漏的可能,控制风险越大,说明银行的内部控制越薄弱,发生风险的可能越大;(3)察觉风险,是指那些内部控制机制和审计部门均未能有效察觉业务出现错漏或舞弊的可能性。
②内部控制测试
内部控制测试是对初步评价结果的校验,在整个内部控制评估过程中有着重要的作用:对于内部控制不完善、内部控制风险较大的银行,内部控制测试可以校验其内部控制问题严重的程度,确定内部控制失灵的关键环节,为今后的整改提供终点和思路;对于内部控制完备、风险较小的银行,内部控制测试可以再次验证银行的内部控制水平,避免有隐藏的内部控制缺漏。
由于跨国银行业务活动纷繁复杂,因而审计师不可能面面俱到的进行复查,只能以样本抽查的形式进行测试。
内部控制测试一般在银行会计终了之前进行,这样有助于及早发现银行内部控制的问题,建议进行整改,以保证银行会计记录的真实性和可靠性。测试之后,审计部门会形成最终的内部控制评估报告,对银行内部控制风险进行评价,并分析其内部控制的薄弱环节,确定今后的审计计划与程序。
③报告银行高级管理层和监管当局
根据美国的审计准则,审计师不对银行内部控制的有效性负责,但对于审计调差过程中发现的重大内部控制控制缺陷,属于审计准则中的“可报告事项”,应及时通报银行董事会或高级管理层,或依据金融监管法规的要求,将重大内部控制缺陷报告监管当局。
审计师向银行高级管理层通报审计结果,需采用专门的文书“致管理层函”,并通过专门的渠道直接呈交银行董事会、董事长或审计委员会。之所以做出这样审慎的安排,是为了防止审计结论被搁置或篡改,以利于银行高级管理层及早针对内部控制问题做出妥善安排,避免内部控制危机发生。当审计师发现银行内部控制的重大问题时,必须尽快向高级管理层或监管机构报告,如因审计师的瞒报或拖延给银行造成损失,审计师必须承担相应的法律责任。
国外商业银行的内部控制制度的先进性,对我国商业银行内部控制体系的建立具有十分重要的借鉴意义。下面以美国花旗银行为例具体阐述其内部控制体系的运行。
<<美国花旗银行的内部控制体系案例分析>>
美国花旗银行的内部控制体系具有一定代表性,主要体现在:
(1)严密有效的组织结构和独立的内部审计机构
在美国花旗银行的组织结构中,董事会是全行的最高权力机构,由董事会领导下的行政总裁(行长)负责管理全行的业务运作,而业务审计部和内部审计部则直接向董事会负责,并在全球设有若干业务审计及内部审计中心,分别负责花旗银行全球业务的审计和内部管理的审计,从而保证了内部监管机构的独立性和权威性,为花旗银行在世界各地巩固自身的强大地位提供了保证。
这种制约机制产生效果要有一个前提,即董事会实实在在是全行最高权力机构,能对行长的权利产生实质性的制约。
(2)相互独立的业务部门和明确的职责
花旗银行每发放一笔贷款要由市场部、业务部、信贷委员会和信贷部分工负责。首先由市场部对申请贷款的客户进行资信评估,其次由信贷委员会的至少三个委员共同为客户核定一个授信额度,然后转给业务部开户,并由信贷部把有关客户的资料录入本行的贷款电脑管理系统。
一旦客户获得信贷授信额度,需要查看客户的实际贷款余额有没有超过限额,审查客户贷款质量如何最后决定是否给客户放贷。
这种模式保证了信贷管理的严谨、安全和高效。
(3)严格的授权审批程序
花旗银行对信贷的控制非常严格,实行了一套科学的、行之有效的贷款管理模式,可概括为:审贷分离制、信贷授权审批制、三人信贷委员会批准制、企业授信额度制。
其中最主要的是信贷授权审批制,即总行设有信贷政策委员会,负责审查决定全行哪些人有资格可以担任信贷委员会委员,并授权每个委员的贷款审批额度,同时明确规定企业授信额
度必须由信贷委员会的至少三个委员批准签字。
花旗银行中国部仅有五个人具有贷款签字权的信贷委员会委员,可见其对信贷委员会审查之严格。
(4)高度的电脑管理
花旗银行花费巨资建立了全面的电脑系统,把本行的经营方针、政策及其业务操作规程全部纳入电脑管理系统。不仅简单易行,而且该行还严格的把电脑管理系统的设计人员与操作人员及其相关业务管理人员分开,以保证电脑管理系统被正确使用。因此可以说,电脑系统在内部控制上的应用是银行内部控制体系的一场革命。
2.英国银行业的实践
作为老牌金融帝国,英国银行内部控制总体上也是比较规范的,但在执行中也存在一些漏洞。
特别是巴林银行事件后,英国更加重视银行内部控制的作用。
英国商业银行内部控制制度的每次重大进展,均与英国商业银行曾经面临的危机分不开,同时也得益于大监管体系的强有力支持,使内部控制在现代银行风险防范领域中发挥着不可替代的作用。
(1)巴林银行事件:英国银行业内部加强内部控制的重要契机
1995年,巴林银行新加坡分行首席交易员里森,利用欺骗的手段使巴林银行蒙受了8.6亿英镑的巨额损失,从而把将这家拥有200多年历史,在国际银行界享有盛誉的巴林银行推向了死亡之路。
事件发生之后,英国监管当局进行了全面而深入的调查,形成一份300余页的研究报告《巴林银行倒闭的教训》,对改善跨国银行的内部控制,提高其风险防范能力提出了具体的意见和要求。
巴林银行的倒闭虽然看起来像是因为个人的越权行为所致,但实际上反映了现代跨国银行管理和内部控制体制的缺陷。
在这一事件过程中,巴林银行的管理层可谓在各个层面、各个步骤都存在失职的现象,外部审计师和监管者对此也有不可推卸的责任。
因此,客观的讲,巴林银行事件的原因并不在于衍生业务的复杂性,而主要在于业务人员的行为超出了管理层的控制范围。
外部审计时的行为准则在英国审计业务委员会的相关规则中有明确的规定,其中包括了对银行审计师的特殊要求造成实践中内、外审计的脱节,内、外审计师之间无法实现重大审计信息的有效沟通。为此,英国银行监管部门总结了如下五条重要的经验教训。
①管理层必须充分认识所经营管理的业务
在巴林银行中,最高管理层和日常管理层都没有充分理解新加坡分行所从事的衍生业务的性质,他们只注意到新加坡分行每年账面上的盈利,却没有发现这些巨额盈利背后的风险。
②银行内各项业务的职责必须确立并明示
无论银行的分支机构采取何种组织形式,都必须建立起明确的责任机制。
所有的管理人员和雇员都必须明确自己的职责,在各个职责之间必须做到不疏不漏。
报告特别指出,对于“矩阵”组织结构的银行,即由一名业务人员负责多项业务的情况下,必须特别注意管理职责的明晰。
巴林银行无疑就是采取“矩阵”模式的典型,他主要教训有三个:
a.在跨国银行组织系统内,当地分支机构的管理层必须承担一线监管责任。
b.对于银行的非主流业务,即所谓的创新或表外业务,银行管理层必须有足够的并表和监控措施。
c.在“矩阵”模式下,可能存在着“多头汇报”的信息沟通体系,即业务人员可能既向当地管理层汇报,又向总部业务管理部门汇报,因此,在接纳信息的管理层之间必须要有充分的信息沟通渠道。
③利益冲突业务的隔离是内部控制有效性必不可少的一个环节
巴林银行最惨痛的教训在于没有实现“前台职务”和“后台职务”的有效分离,漠视交易员里森的舞弊行为得以长时间实施,而没有引起后台管理部门的任何警惕。
④建立专门的风险管理机制以应对可能的业务风险
缺乏专门的风险管理机制是巴林银行的里森能够顺利从事越权交易的主要原因,至少是相关管理机制没有得到有效执行,造成巨大的管理漏洞。
⑤内部审计部门应当迅速将查悉的内部控制漏洞向最高管理层和审计委员会报告。
内部审计部门应当迅速将查悉的内部控制漏洞向最高管理层和审计委员会报告,后者应尽快采取措施解决上述问题。
对于从事多种业务的金融机构而言,必须建立一个统一的内部审计机构对金融机构整体业务进行监督检查。
(2)英国银行业的内部控制的基本内容
①完善银行业大监管体系
英国银行业大监管体系由外部监管和内部控制两个部分组成。
外部监管包括金融法规、中央银行监管及其银行外部独立审计;内部控制包括商业银行的内部控制制度和内部审计。
内部控制制度分为内部会计控制制度和内部管理控制制度两个部分。英国大监管体系既为英国商业银行内部审计的现实运作提供了强有力的事务指导和法律保证,也为其不断克服危机以及长期发展提供了理论依据和制度框架。
②科学的目标定位和职责分工
英国银行业将内部控制目标定位为下列内容:控制体系的充分性和有效性,信息的可靠性和完整性,符合政策、计划、程序、法律和法规,有效的使用资源,目标和任务的完成。
在职责分工上,银行管理层负责承担设计、建立、运转银行内部控制系统的责任,内部审计负责承担对银行管理层工作进行分析、评价,并提出建议或咨询的责任。
科学的目标定位和职责分工,保证了内部审计部门能够适应形势的变化和管理当局的新要求,逐步将工作内容从传统的查错防弊审计转向富有建设性的现代经营审计。
③全面高效的计算机审计
由于道德风险所造成的银行风险,即使是最严密的内部控制制度也难以防范,而在控制人为因素造成的失误方面,电子化控制发挥着重要的作用。
英国的商业银行采用计算机系统对下属分行的重大控制指标进行实时跟踪记录,将其审计重点由审计所有的分行转移到测试整个系统,确保其审计能够覆盖所有存在问题的领域。
通过对可能的经营风险进行细分,由该系统按照不同的层次、环节、部门进行计算机自动控制,相互核对和授权管理,保证了业务的准确安全运行,防止了风险的发生,从而实现了从业人员之间相互牵制的控制向风险细分下的计算机控制转变,有效的进行了事前、事中的控制,而非滞后的事后监督。
④审计技术方法的规范化和标准化
为完成经营审计确定的审计目标,英国的商业银行在审计实践中逐步建立和形成了内部控制制度的评价方法体系,这些方法体系以定量分析为基础。
在英国银行内部审计方法体系运用的一些数学模型和定量分析技术中,有不少受到了国际清算银行、巴塞尔银行监督委员会以及国际内部注册审计师协会的认同,为银行内部审计监控技术的发展指明了方向。
(3)英国银行业多方面强化内部控制
①强化内部审计
英格兰银行认为,内部审计机构的设置有助于将重大事项和业务弱项及时反馈给最高管理层,并有助于金融机构研究和计划在整个集团内资源的合理配置问题。
在内部审计机制提出问题之后,管理层必须在一定时限内做出及时反映,如提出补救措施或责令业务部门整改,甚至撤换业务部门负责人和舞弊人员等。
完善的内部审计机制还应包括“回访”安排,即由内部审计部门在内部审计结束之日起若干日内对被审计单位再进行突击式的现场或非现场检查,以确认管理层和业务部门是否已采取了必要的整改措施。如果管理层和业务部门未及时采取措施,内部审计人员应及时将情况向审计委员会报告,由审计委员会责令管理层和业务部门进行补救或整改。
②加强外部审计
吸取了巴林银行的教训,英格兰银行认为,内部审计功能不应单独存在,而应与外部审计相配套、相互沟通,并与管理层之间保持畅通的联络通道。例如,内部审计负责人应能随时向首席执行官、审计委员会主席等重要管理人员汇报工作,或至少保持不被任意干预的联络渠道。
英国承担对商业银行进行外部审计职责的主体主要有两类,即审计师和报告会计师,两者的工作性质、审计内容和范围存在明显差异:其一,从审计依据上看,审计师的审计依据是《公司法》及其他有关会计审计准则;报告会计师则依据《银行法》和金融监管的有关规定对银行进行审计监督。
其二,从两者对内部控制的审计范围上看,报告会计师的审计范围大于审计师。审计师在审查银行的内部控制系统时,重点在于检查内部控制记录的失真问题,从而防范银行内部的滥用行为,其关注的是问题的某一点;而报告会计师除了审查财务会计记录的真实、准确、完整性之外,还关注由此记录所产生的管理信息能否为银行管理层所知悉,并能确保银行管理层对风险因素的有效控制,因而其关注的是整个银行内部控制系统的有效性。
其三,从性质上判断,审计师的审计工作主要是一种事后验证,即对财务会计记录的事后审查;而报告会计师的审计工作则更多的是一种前瞻性审查,更关注对内部控制工作有效性和风险因素的防范问题。
英国对跨国银行的外部审计主要包括以下内容:对银行财务报表的审慎审计;受监管机构的委托,就内部控制的特殊问题或特殊事项进行审计;否定意见的审计报告;监管机构、审计师和银行的合作商讨机制——三方联席会议。
③强化内部控制的监督和评估
内部控制的运作和效果需要来自外界的监督和评估,在许多国家这一工作主要是由监管机构承担的,但在英国,长期自律监管的传统决定了监管机构并不直接参与对银行内部控制效果的评估和检查,监管机制习惯于借助审计师或报告会计师来对银行内部控制进行监督和审查。
借助外部审计力量对商业银行进行监管,既是法规的要求,又符合经济需要。
从法规方面看,各国的《公司法》、《银行法》等有关法律大多都要求公司企业的财务报表须经过审计,商业银行业也不例外;从经济角度考虑,金融监管当局如果完全依靠自身力量对商业银行进行稽核,则需要保持十分庞大的稽核力量,增加费用开支,而通过外部审计力量的参与,金融监管当局在不增加额外支出的情况下,仍可以对商业银行实施有效监管。
3.德国银行业的实践
德国的银行业实行全能银行制,除了经营传统业务外,还兼营保险、证劵、投资等其他非银行金融业务。在第二次世界大战后欧洲的金融发展中,德国堪称是稳健发展的典范。这与德国银行健全、有效的内部控制是分不开的。
德国商业银行的内部治理结构是股东大会、监事会、董事会、经理层组成的双层结构模式,其突出的特点是银行监事会独立于董事会,直接对股东大会负责,行使对董事会及其成员和高级经理人员的监督职能,并参与诸如由超量贷款而引起银行资本增减的重要经营事项的决策。
因此,德国商业银行的监事会是公司股东和员工利益的代表机构,而执行董事会则负责日常经营管理,并向监事会报告和负责。监事会对董事会的工作只有监督的权力,可以提出具体的建议,但不能直接干预其正常工作,若执行董事会和监事会之间存在争议,则由股东大会来裁决。在这种内部治理结构下,银行监事会的独立性和权威性得到了更大的提升。
(1)完善金融机构内部控制体系
长期以来,德国非常重视银行内部控制机制的建立,为了防范金融风险,各银行均建立健全内部控制体系和相关的规章制度。主要建立内部审计机构、风险管理机构、证劵监管机构。
①内部审计机构
各银行一般均设有内部审计部,通过内部稽核,及时发现问题,银行所有权人可以监督经理人,以此实施有效的监管,防范经营风险。
②风险管理机构
银行建立了一套行之有效的风险管理机制,银行董事会、市场风险管理部、各业务部门、内部审计部门都分别对风险负有明确的责任。董事长负责的是整个银行的风险管理,确定风险及其上限。银行每天通过数学计算的方法确定风险的大小,如超过了风险的上限,董事会将马上采取措施降低风险。
市场风险管理部是银行专门负责风险管理的职能部门,负责制定衡量市场风险的指标,并对各业务部门进行检查、监督,随时提供风险信息。同时还建立一些数字模型来预测和计算风险。通过进行量的分析及质的定性,提出降低风险的措施,及时向董事会报告。各业务部门要预测本部门业务范围内的风险上限,定时进行检查,发现风险及时采取措施,并向风险管理部门报告。内部审计部门则要每天计算风险情况,并将当时的风险所处的状态向有关部门和董事会报告。
③证劵监察部
德国于1995年开始实施《证劵交易法》,并创立了联邦证劵监管委员会。为了配合实施《证劵交易法》以及证劵监管委员会的有效监管,各商业银行都依法设立了证劵监察部,具体负责对本银行证劵经营活动的监督。
德国金融监管在内部控制上最突出的特点是“四眼原则”(也称双人原则),即业务交叉核对、资产双重控制和双人签字。在德国联邦金融监管局颁布的《对经营金融交易的信用机构业务管理的基本要求》中详尽地展示了这种“分而治之”的原则。
在《基本要求》中关于操作程序的监督与牵制中规定,各项交易活动必须有明确的职能分工,包括四个层次:
a.一线交易
b.后线结算
c.会计审核
d.监控
最低要求是一线交易与其他职能部门分开,即使是交易管理人员也必须遵守这一原则。在一个职能部门中,相关但不同的工作要由不同的人员做,以确保相互的业务监督牵制。当使用自动数据处理系统时,要有相应的程序来保证实施监督数据处理系统中输入人员与交易或后线结算分开、会计审核与业务监控人员分开。任何数据内容的修改,由处理系统自动记录在案。为控制与交易业务相关的风险,每个业务部门必须建立一个用于测量和监控风险头寸和分析潜在亏损风险大小并对其进行控制和管理的系统。
风险控制人员要与一线交易人员分开,头寸权限要由管理人员授予,交易产生的风险要及时得到监控。要有一名管理人员专门负责风险控制和管理工具,并且他本人不介入每天的前线交易。
德国《银行法》规定,监事会主要权责包括:
a.监督执行董事会的经营活动,任免执行董事会的成员;
b.对银行的重要经营事项作出决策;
c.审核银行账簿,核对银行资产,并在必要时召开股东大会。
德国《银行法》规定,监事会主要权责包括:
a.监督执行董事会的经营活动,任免执行董事会的成员;
b.对银行的重要经营事项作出决策;
c.审核银行账簿,核对银行资产,并在必要时召开股东大会。
因此,德国商业银行的监事会才是股东行使控制和监督权力的机构,相当于英国和美国的董事会,而执行董事会只负责银行的日常运转,向监事会负责,相当于英国和美国的经理班子。这样无论从组织机构形式上,还是从授予的权力上,都保证了股东能发挥其应有的控制与监督职能。
④职工参与决策制度
目前,按照德国的相关法律,职工可以分三种形式参与银行经营管理决策:
a.在有2000名以上职工的商业银行,监事会成员应达到20人,普通职工和高级职员按比例选举进入监事会,但每一群体至少有一名代表入选;
b.在有1000-2000名职工的商业银行,董事会中要求有一名劳工经理参加,监事会要达到11人,其中由劳资双方各选出4名代表;
c.在有500-1000名职工的商业银行,要求职工代表入选人数达到监事会人数的百分之三十,当监事会席位总数多于1个时,至少应有1名职工代表。
这样,一方面职工通过选派职工代表进入监事会参与银行重大决策,使得银行决策比较公开,有利于对银行的经营监督;另一方面,由于职工在监事会中占有一定的席位,增强了职工的归属感和凝聚力,在一定程度上减少了银行被兼并的可能性。这也是德国商业银行很少受到外国投资者接管威胁的主要原因之一,同时,这样一种制度也保护了经理人进行长期投资的积极性。
(2)业务风险监控与稽核双轨制运行
德国商业银行业务部门把风险监控视为本身的基本职责,作为每天工作中不可缺少的一部分,在日常的监控中及时发现或避免风险。
在业务经营过程中,严格执行授权分责和部门间的互相监督制约及全体员工的按章操作等监控规定。
此外,德国每个商业银行的业务部门还拥有一套有效的权衡风险状况的计算机监控系统,运用该系统可以每天对银行业务状况进行评估,并计算出可能的风险。
该系统还附有应急方案,以便在紧急情况下使用。
业务部门要定期把该系统测算出的可能风险与市场数字进行核对。
除业务部门自身监控外,稽核部门也对银行业务风险进行稽核监控。
稽核部门必须对银行的所有业务领域的风险监控情况进行稽核检查,特别是对贷款业务、贸易和数据处理风险监控结果进行考察、评价。
(3)严格管理业务风险
德国各商业银行都设有专门的风险管理部门,整个业务的风险管理比较严格。
为保证所有银行稳健运行,减少金融风险,德国银行业监管机构统一颁布了详细的规定来规范银行经营业务中的风险。例如,对银行内部发放贷款的权限必须有明确的定义和记录,各级管理人员只能发放各自限额内的贷款。
发放超过10%的贷款必须经过银行所有管理人员的批准。
在发放一笔贷款之前,银行必须要求借贷人全面提供其财务状况,只有在全面了解借贷人财务状况的基础上才能做出发贷的决定。同时,银行内部还要建立一个贷款检查部。
这个部门必须独立于信贷部之外,它必须在贷款发放之后定期对信贷业务进行同业比较检查,检查结果必须向董事会汇报。如果贷款检查部门发现某个借款人的信用出现下降,那么董事会必须决定要在当年拿出相应的准备金。
除了用于单笔贷款准备金外,还要针对全部贷款的质量,确定总准备金数额,以对付出现最不利局面时的风险。
4.中国香港地区银行业的实践
香港银行业的内部控制吸收了西方发达国家的经验,也是比较规范和具有成效的,其中汇丰银行和中银香港最具有代表性。
(1)汇丰银行的内部控制
汇丰银行作为国际著名的商业银行,对银行内部控制非常重视,其加强内部控制主要表现为四个方面:一是实行了“矩阵式”的内部控制模式,该模式纵向管理为逐级业务授权和分工,横向管理为同级监督和对部门内部中后台的制约;
二是建立了统一,规范而又长期稳定的内部控制政策和管理制度;三是建立了高效的计算机业务管理体系和良好的后台支持体系,包括业务操作系统和信息支持系统;四是良好的信贷文化为银行内部风险控制提供了良好的环境。
汇丰银行还建立了独特的信贷文化,即保守性,建设性,竞争性,集体性,沟通性。
(2)中银香港的内部控制
中银香港(即中银香港有限责任公司)作为中资在香港注册的商业银行,较好的借鉴和吸取了世界上先进银行内部控制的成功经验,建立了较为完善的内部控制体系。
①完善的内部控制体系
a.中银香港明确董事会有责任维持本集团的内部监控系统稳健、妥善、有效,以保障本集团的资产。
b.中银银行的内部控制系统旨在控制合理(而非绝对)的保证,以防范出现严重错漏或损失的情况,并管理(而非完全杜绝)动作系统故障的风险,以达到本集团的目标。
除保障本集团资产安全外,内部控制系统也要确保妥善的会计记录及遵守有关的法律及规定。
c.中银香港每年对内部监控系统进行检讨,有关检讨工作时以监管机构及其专业团体的指引、定义为基础的,根据内部监控环境、风险识别、监控措施、信息与交流及监控机制五项内部监控元素进行评估,涵盖所有重要的监控及措施,包括财务、运作及合规、风险管理功能。
有关检讨由该集团内部稽核部门统筹,通过管理层及其业务部门的自我评估,内部稽核部门对检讨过程及其结果进行独立的检查及其评价工作。
有关检讨结果向稽核委员会及董事会报告。
d.稽核委员会及董事会确认该集团的内部监控系统能合理地落实各项重大方面的监控措施,防止严重错漏或损失的发生,保障该集团资产的安全,会计记录的基本完善法规的遵循,整体上基本符合香港金融管理局对内部监控系统的要求。
②完善监控程序及措施
中银银行建立并落实执行的各项监控程序及其措施,主要包括以下几点:
a.建立了健全的组织架构和各级人员的职权责任,制定了书面的政策和程序,对各单位建立了相互牵制的的职能分工,合理的保障了该集团的各项资产安全,及内部监控措施的执行,并能在合规及风险控制范围内经营及运作。
b.管理层制定并持续监察该集团的发展策略、业务计划及其财务预算的执行情况,并已经设置了会计管理制度,为衡量财务及其营运表现提供了基础。
c.制定了相应的风险管理政策及人力资源管理政策,对各重大风险类别均设定单位和人员承担职责及处理程序。在风险的识别、评估及管理范畴,包括信誉、策略、法律、合规、信贷、市场、业务操作、流动性、利率等,均发挥了应有的监控功能。
d.确立的信息科技管治架构设有多元化的信息系统及管理报告渠道,包括各类业务的监察资料、财务信息、营运表现等,为管理层及其业务单位,监管机构等提供了衡量及监控的信息;各单位、层级也已建立了适当的沟通管理和汇报机制,以确保信息的交流。
e.内部稽核部门采用风险为本的评估方法,根据董事会下辖稽核委员会内部核审的计划,对财务范畴,各业务领域,各风险类别,职能运作及其活动进行独立的检查,直接向稽核委员会提交报告,对需关注的事项及其需改善的方面做持续跟进。
f.稽核委员会审阅外部审计师在审计中致该集团管理层的报告以及监管机构提出的内部监控建议,内部稽核部门持续跟进,以确保有关计划实施的有关建议,并定期向管理层及其稽核委员会报告建议的落实情况。
此外,香港的商业银行都高度重视利用现代信息科学技术,建立了信息中心和营运中心,将各项银行业务数据和信息进行集中化处理,分行网点只作为银行的前端业务营销推介和收付转账窗口。
银行业务前台、后台集中化分离,减少了不同层级人为干涉可能性,有利内部控制措施的贯彻落实,增强内部控制的有效性。
从各行的时间情况看,极少出现银行从业人员因个人操守和操作失误而出现的银行风险资产和信誉风险,内部控制效果极为明显。
八、国际商业银行内部控制实践对我国商业银行内部控制的启示
发达国家与地区的内部控制体系,主要是商业银行为保证正常经营,规避和化解风险所采取的一系列必要的管理制度和措施。
从内部管理理论的演变过程及国外商业银行内部控制的实践可以看出,内部控制的着眼点是识别、防范和化解风险问题。
控制环境是内部控制制度得以正确实施的重要环节,信息系统是保证内部控制有效的基础条件,监督机制是内部控制取得成效的保证。
国外商业银行在长期的经营时间中积累了丰富的内部控制管理经验,这对于正走向国际化,市场化的我国银行业来说,无疑具有十分重要的借鉴意义。
国内商业银行在内部控制过程中,应充分在以下几方面借鉴国外银行的经验。
1.严密有效的组织结构和独立的内部审计机构
银行的组织结构是银行业进行计划、指挥和控制的经营基础。因此,国外商业银行非常重视对银行内部组织结构的设计,力争做到职责明确,分工合理,使银行能顺畅地运行和有效地执行领导者的管理意图。
大多数国家商业银行是根据《公司法》设立的股份公司制企业,因而其基本组织结构和一般公司相同,即股东大会、董事会、监事会等机构。
为防范银行各部门和员工因经营管理不善而产生欺骗行为,国外银行一般还专门设立了独立于其他部门,仅对最高权利机构负责的内部审计机构。
例如,在美国花旗银行的组织结构中,董事会就是全行最高权利机构,董事会领导下的行政总裁(行长)负责管理全行的业务运行,而业务审计部门和内部审计部直接接受董事会为委派,并在全球设有若干业务及其内部审计中心,分别负责花旗银行全球业务和内部管理的审计,从而保证了银行内部监管机构的独立性和权威性。
2.相互独立的业务部门和明确的职责
相互业务的性质要求银行的每项业务至少应有两人或两个部门参与记录、核算和管理。因此,各职能部门要具有相对的独立性,以达到内部控制制度所要求的双重控制和交叉检验的效果。
例如,花旗银行中国分行下设市场部、业务部、财政监管部、质检部和信贷部等。当客户申请贷款时,市场部先对其资信进行详谈的评估,再由信贷委员会至少三名委员共同为客户核定一个授信额度,然后转给业务部开户,并由信贷部把有关客户的资料输入本行的信贷电脑管理系统。
对于资信良好的客户的具体贷款业务则有信贷部负责。信贷部人员先打开贷款电脑管理系统检索,查看客户的实际贷款余额有没有超过限额,审查客户使用贷款的质量,然后决定是否贷款。
这种模式保证了信贷管理的严谨、安全和有效。
另外,当客户申请结算业务时,市场部首先调查客户的资信,再转给业务部办理开户手续,并输入电脑系统。
业务部至少要有两人办理此项业务,一人负责操作,一人负责检查。
一般由操作人员先打开电脑系统,查看客户的开户及其资金状况,并制作有关结算凭证,然后交给检查人员,检查人员从电脑系统的另一终端复查客户的资金状况,对操作员的凭证进行核对,核对无误后,发出有关指令,即由电脑自动完成检查人员的命令。
财务监控部负责银行的资金头寸和监控各相关的财务指标,同时对中国分行和纽约总部负责。质检部负责银行日常审计工作,每日检查银行的每笔交易记录,一旦发现问题立即向上汇报,以便分行在最短的时间内对问题进行处理。在客户获得信贷授信额度后,由信贷部具体办理每一笔贷款。
这种管理模式保证了信贷管理的安全、严谨和高效,形成了风险管理交叉监督,双重控制的效果。一般来说,董事会至少会安排一名成员直接负责内部控制管理的行政工作,并由行政委员会或执行委员会制定具体的管理策略。
行政委员会通常会根据工作需要设立一些专门的技术支持组织,直接对行政委员会负责。
3.完善的会计控制体系
从某种意义上讲,会计部门是银行内部的第一监控部门。因此,国外许多商业银行都赋予会计主管或财政总监以特别的权利和地位。
例如,南洋商业银行设有会计主管,受分行和总行财监处双重领导,负责审查分行的报表,财务状况和银行的放贷额度,检查信贷部门的放贷条件是否合理,客户申请贷款的法律文件是否齐备。
对于不合格的贷款计划,会计主管有权拒绝签字,或向总行财务总监报告,会计主管拒绝签字的贷款计划不能付诸实施。
会计主管还有责任监督客户贷款的用款情况,如发现逾期或者其他异常情况,可督促信贷部门采取必要措施防范风险,实践证明这种制约作用是行之有效的。
4.严格的授权审批程序
国外商业银行都有一套严格的授权审批程序,包括建立银行客户信用评级制度,将客户风险控制标准化;建立有效的信贷授权审批制度;建立持续的事后跟踪管理制度等。
以贷款管理为例,美国花旗银行对信贷的控制非常严格,实行了一套科学、有效的货款管理模式,可概括为:审贷分离制,信贷授权审批制,三人信贷委员会批准制,授信额度制。
这其中最主要的是信贷授权审批制度,即总行设有信贷政策委员会,负责审查决定全行哪些人有资格担任信贷委员会委员,并规定每个委员的贷款审批额度。同时,明确规定授信额度必须由信贷委员会至少三名委员批准签字。
另外,南洋商业银行规定分行实行授信三级制,即由放贷主管、会计主管和分行主管分别签字批准,然后报总行审批,从而保证了信贷风险最小化。
国外成功商业银行在内部控制制度的设计中十分强调不相容职务分离在风险防范中的作用,毕竟银行是经营货币的特殊行业,其面对的道德风险要远高于其他行业。因此,他们绝不允许仅仅出于成本的考虑而出现相互串岗的现象。
国外成功商业银行还非常强调人为的因素在内部控制运行机制运行中的作用,因为任何完善的内部控制制度都必须由胜任的人员去执行。
有必要对工作岗位特别地规定任职资格和条件,并定期对在岗人员进行培训和考核,以评价其胜任能力。
这一点尤其值得我国商业银行借鉴。
5.合理有序的内部检查制度
银行内部检查既是发现银行内部问题的有效手段,也是保障全行安全经营的必要措施。
国外商业银行可以通过严格的内部检查制度及时发现问题和隐患,便于有效的防范风险,避免或减少损失。
内部检查制度是商业银行安全运行的一道“防护墙”,一般包括三个方面:一是总行的业务部门对分行的对口检查,其形式包括召开各分行行长座谈会,要求分行报送各种报表和组织专题报告回忆等;二是总行审计机构对分行进行定期或不定期的全面及专项检查;三是银行内部的自查或外聘会计师查账。
通过这些检查,总行或高层领导就能及时了解各分行的运营状况。在此过程中,严格和有效的稽核制度对防止银行风险起到了重要的作用。
(1)组织完善、权利超脱独立的内部稽核机构
实行总部一级制的内部稽核机构。
稽核部门设在总部,分行一律不设,而在各业务大区派出若干稽核主任,分别领导一个稽核分部或稽核小组,负责一个业务大区内各分支机构的稽核工作,与驻地分支行没有关系。
如花旗银行的亚太地区稽核分部共57人,分为4个办事处,分别在中国香港、新加坡、悉尼、马尼拉,在中国的业务由香港稽核分部负责。
稽核部门只对董事会负责。
首席审计官不对银行总裁负责,不向总裁报告工作,而是直接向董事会报告稽核工作,对董事会负责。
稽核部门人、财、物独立。
稽核人员由总稽核部门直接选聘。此外,为了保障稽核部门的超脱性和独立性,稽核部门均有独立的财务预算。
(2)灵活有效的稽核方法
在稽核问题上,美国银行一般根据风险程度确定重点稽核对象和相应稽核频率。
如美国花旗银行的稽核部对业务部门和分支机构指定了风险程度测定的标准,并将这个标准转化为数学模式输入计算机系统,计算机利用每一笔业务的原始数据资料,自动定期的对各稽核对象的风险程度进行打分,根据事先打分的结构确定稽核计划。
稽核部门依据事先评定的结构,对风险打分高的业务部门和分支机构实施高频率的稽核,对风险打分低的则实施低的稽核频率。
在稽核手段上,美国商业银行将非现场稽核与现场稽核相结合。
美国花旗银行根据风险程度打分确定稽核对象后,要求稽核对象在规定的时间内提供有关的资料和数据,稽核人员在自己的办公室和计算机系统内进行稽核检查,若认为可能存在问题时再去现场稽核。
他们的目标是通过随时收集资料,随时进行监督来实施稽核,把非现场稽核与现场稽核有机的结合起来,从而提高稽核效率。
商业银行的内部稽核制度对银行的经营活动和内部控制系统的建立与完善起着有效监督和评价的作用。
国外商业银行通常自上而下的建立独立的内部稽核部门,配备专职的稽核人员,在上级稽核组织和董事会的直接领导下,依法独立行使稽核监督权,不受其他行政机关和部门及个人的干扰。
通过检查,总行高层领导能及时,准确的了解各行的经营情况,掌握本行的发展状况,并督促各级管理者稳健经营,保证业务正常发展。
美国商业银行现金的内部稽核制度是源于经营管理层强烈的内部稽核意识,而这正是这种思想基础为美国商业银行的内部稽核创造了较为宽松的外部环境。
一方面使得内部控制稽核评价报告收到银行最高管理层的充分重视并优先讨论;另一方面也使得内部稽核机构的独立性和权威性有了很大提升。
其内部稽核中所使用的手段、方法也值得我国国有商业银行借鉴。
6.重视商业银行内部控制的制度和方法创新
缺乏深度数理分析是我国商业银行业务管理中的一个重大不足之处。
以信贷业务为例,随着个人消费信贷业务的扩大,在统计学基础上对各项业务指标进行量化控制已经变得非常迫切,但目前业务管理模式的创新已经落后于业务本身的发展。
在内部控制方面,也面临着经验升华不够的问题,这与长期以来所形成的体制运转惯性有很大关系。
这种科学抽象程序较高的非常规事务性工作往往被视为一种没有多少实际意义的事情。因此,管理人员几乎全部要集中在事务性工作的第一线,管理队伍的阵型压得很扁,后方相对变得空虚。
而开发新的管理模式,恰恰是要由后方的决策支持性组织来完成的。
因此,国内商业银行应当适当的拉长业务部门的管理阵型,将日常管理事务和管理模式创新工作从机制和机构上分开,选择合适的人员,建立各级业务主管人员的参谋支持机构。通过对国际陷阱管理方法和经验进行系统的收集、研究、消化和借鉴,并结合国情制定出实施规划,以切实有效的推动商业银行内部控制管理水平的提高。
7.注重信贷风险的规范管理
商业银行为贷款管理制定了详尽的操作规程,各级信贷人员和客户经理在办理贷款业务时必须严格遵守这些操作规程。
这些操作规程都是银行在相关业务上长期经验的积累,并且还要根据实际情况随时更新。业务人员只要严格按照操作规程办事,就可以有效的防范信贷风险。这样的内部控制制度建立起来之后,银行风险管理也就实现了稳定性和连续性,而这种稳定性和连续性,则是其内部管理低风险的一个基本标志。
这样,就把因为业务人员的个人原因而有可能导致的风险控制在最低限度,也是的高层管理机构敢于把更多的职责授予不同级别的业务人员。
例如,花旗银行以“4W”为主线决定是否批准贷款申请。
“4W”分别是:who(借贷人是谁),why(为什么借给他),what(借款做什么),和how(怎么还款)。围绕着这4条主线,信贷审批人员就可以把各个环节上可能存在的风险串联在一起,将审批决策建立在一个点面俱到,巨细并存的信息基础之上。
8.高度智能化内部控制管理
随着金融工具的日益现代化,国外先进商业银行普遍加强了计算机在内部管理上的应用,以改进和完善银行的内部控制手段。
目前,计算机已被普遍应用在信贷管理和国际结算方面,这在一定程度上消除了因个人操作疏忽而导致的失误,并有效的防范了道德风险。
例如,花旗银行花巨资健全内部计算机系统,把本行的经营方针,政策及其业务操作规程全部纳入计算机管理系统,这不仅简单易行,而且安全可靠,从而保证了全行业务的正常运行和内部审计的及时、准确。
同时,该行还严格的把计算机管理系统的设计人员及其相关业务管理人员分开,以保证计算机管理系统被正确应用和防范内部风险。
可以说,计算机系统在内部控制上的应用是银行内部控制制度的一场革命。
相比之下,我国商业银行目前的管理信息系统在数据基础的准确性,全面性,查询功能的方便性以及多功能开发上尚有诸多缺陷。因此,迫切需要进一步提高和完善。
9.行之有效的员工管理
国外先进商业银行非常重视对员工的管理,并制定了一些措施来规范员工的行为。规范员工的主要措施有以下几类:
(1)颁发员工手册
员工入行伊始就需认真学习员工手册,知道自己应该做什么,不该做什么,明确自己的责、权、利。
这样,员工在工作过程中,就不会无所是从。
(2)开门办公增强业务处理的透明度
此措施要求要求员工坚守自己的岗位,并对自己的岗位负责。
如果经理人员越权或违反规范行规发布指令,员工可以不执行,并可向更高层管理人员报告,从而在体制上防范由于个人的独断专行给银行经营带来的风险。
(3)实行员工年假制
国外银行员工每年都有一定时间的休假,每个员工每年至少可享受一次连休一周以上的假期。
这样可以让员工从繁忙的工作中解脱出来,休整一下身心,但更重要的是这也是银行内的每个岗位,每项业务都有被充分检查的时间和机会,而又不伤害员工的自尊。
这种制度对于防止长期在某岗位上操作的业务人员的作弊行为非常有效。
(4)高效的激励机制
a.广泛的采用了多种激励工具,并通过激励工具的组合运用以求达到最佳激励效果。
例如,在花旗银行的激励工具中不仅包含奖金,职位晋升,还包括职业培训和海外旅行。
b.采用人性化的激励方式
决定激励方式时更多的考虑了员工乃至员工家属的满意度,体现出人性化的要求。
例如,美国花旗银行对中国区表现突出的员工,奖励他们去澳大利亚旅游,并允许他们携带家属。
这种激励方式不但对员工起到了有效的激励作用,增加了员工的忠诚度,还赢得了员工家属的理解和支持,有效的激励作用,增强了家属的自豪感。
c.采用长短相结合的激励目标
采用即期激励和远期激励相结合,注重引导员工行为长期化的激励机制。例如,美国花旗银行除了对工作业绩出色的员工给予奖励外,还给予他们花旗银行的期权,使银行长期利益与员工个人长期利益紧密相连。
d.强调精神需求的重要性
不仅注重物质激励对员工的引导作用,还强调员工的精神追求。
例如,花旗银行每年都设立“花旗品质服务卓越奖”以奖励那些在公司内部服务与外部服务方面都表现出色的员工,并通过对优秀员工的奖励和事迹宣传引导其他员工行为。
通过上述激励机制的分析可以看出,西方商业银行都将发挥员工的敬业精神和创造力作为考虑的重点,力求做到兼顾效率与公平,坚持即期激励和远期激励相结合的原则,通过薪酬结构的合理运用最大限度的调动员工和高管人员的工作积极性和工作责任感,并针对每个员工的不同情况通过采取不同的激励计划,使员工从进入公司到离退休,从年轻新手到资深专家都能享受到不同的阶段性刺激。
最终使公司的成长与高管人员,普通员工的个人利益紧密联系在一起,并形成相互促进的良性循环,以保证银行持续稳定的发展。
这也是我国国有银行值得借鉴之处。
(5)交流信息。
国外商业银行比较重视员工之间的信息交流以及员工与管理者的沟通,以达到工作上的和谐。
例如,法国兴业银行在中国国内的各银行行长每月要在中国香港地区召开一次座谈会,沟通业务信息,交流工作情况。
又如荷兰银行深圳分行每月召开管理者研讨会和市场人员座谈大会,充分交流思想已达成发展共识,每月底还要召开员工大会,向全体员工通告一个月来的业务开展情况,以培养员工的集体观念。
10.密切关注国际先进银行内部控制新变化
目前,国际先进银行内部控制出现了新的内涵和特点,这对完善我国商业银行内部控制体系也具有重要的借鉴意义。主要体现以下几方面:
第一,明确组织中的每一个人对内部控制负有的责任。
内部控制制定与实施的不仅仅是管理人员,而是组织中的每一个成员都参与。
第二,强调内部控制应该与企业的经营管理过程相结合。
内部控制是商业银行经营过程的一部分,应与经营过程结合在一起,而不是凌架于银行的基本活动之上,他使经营达到预期的效果,并监督银行经营过程的持续进行。
第三,强调内部控制是一个动态过程。
内部控制是对银行整个经营管理活动进行监督与控制的过程,银行的经营活动是持续进行的,其内部控制过程也应该是不断发展的,且随着经营环境的变化越来越完善。即内部控制是一个发现问题----解决问题----发现新问题-----解决新问题的循环往复的过程。
第四,强调人的重要性。
内部控制受企业董事会,管理层及其他员工影响,通过行内员工的行为而完成。
只有人才能控制目标;而反过来,内部控制也影响着人的行动。
篇3:金融系统IT治理与内控解决方案
随着现代信息技术的迅猛发展与金融行业信息化的不断深入, 信息科技在金融系统中的应用越来越广, 金融机构对信息系统的依赖程度也越来越大, 与此同时, 金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。根据美国FBI的相关调查, 75%以上的信息安全案件, 都是与内部人员有关。
为了提高金融机构防范来自内部攻击与违规操作风险的能力, 2006年银监会对国内商业银行提出了强化内部控制与审计的要求 (银监会63号文和313号文) , 要求不仅仅要加强安全建设, 同时也要对IT系统的相关操作进行全面采集和审计。之后又于2008年7月, 由财政部会同证监会、审计署、银监会、保监会共同制定发布了《企业内部控制基本规范》 (有“中国版萨班斯法案”之称) , 并将于2009年7月1日起正式施行。
2008年12月19日, 第五届深圳地区金融系统IT技术座谈会暨迎春联谊会在深圳晶都大酒店举行, 华为存储与网络安全有限公司作为IT厂商代表有幸参加了本次会议, 并在会上作了《构建银行IT系统基石缔造和谐信息世界》的主题演讲, 其中重点介绍了银行IT治理与内控安全解决方案, 并分享了华为公司在IT内控管理上的一些经验, 引起了与会各银行代表的共鸣及热烈讨论。
二、金融系统IT内控需求
金融系统IT内控的重点是对终端用户的管理、认证、授权、审计, 从业务过程上可以分为事前、事中、事后三个阶段, 每个阶段的关注点不同, 但整体上是前后互相关联的, 如图1所示。
(一) 事前对终端用户的身份认证和安全检查, 对未通过身份认证或不安全的用户终端进行隔离修复 (打补丁、安装杀毒软件、更新病毒库等) , 以防止非法访问或引入安全威胁;
(二) 事中根据终端用户的角色或群组进行细粒度的权限控制, 并对用户的行为进行实时监控记录;
(三) 事后根据日志记录进行审计取证。
三、金融系统IT内控建设目标
金融机构IT系统的网络环境一般都比较复杂, 终端用户数量庞大, 业务应用繁多, 对安全的要求等级高。金融系统IT内控建设的目标主要是:
(一) 建立先进的IT系统管理平台, 实现终端系统的规范化、流程化、自动化管理。
(二) 建立完善的资产管理系统, 最终实现整个IT系统的资产生命周期管理。
(三) 建立完善的补丁管理机制, 实现终端系统补丁程序的自动统一更新。
(四) 实现对终端系统的网络准入控制, 阻止非法的或不安全的终端接入。
(五) 实现对终端系统的访问权限控制。
(六) 对终端系统的防病毒策略进行检查, 确保所有终端系统都安装了防病毒软件并且及时更新病毒特征库, 以使整个防病毒系统保持统一防范水平。
(七) 实现对终端系统的安全风险分析, 针对终端操作系统的配置问题和安全问题进行风险评估和报告。
(八) 实现对终端用户的操作行为监控及审计。
(九) 建立远程技术支持服务平台, 降低IT环境的维护成本。
四、华为金融IT治理与内控解决方案
根据以上目标, 参考《商业银行内部控制指引》及《信息安全等级保护管理办法》等相关法规政策, 华为公司结合自身的IT内控最佳实践经验, 为金融机构提供了一整套完善的IT治理与内控解决方案。
华为金融IT治理与内控解决方案通过在全网部署华为成熟的Secospace TSM (终端安全管理) 系统、Secospace DSM (文档安全管理) 系统, 可以全方位地解决客户内部网络管理失控的问题, 保障内部网络的畅通、终端的安全和信息数据的安全。
如图2所示, 华为金融IT治理与内控解决方案主要由SA (Secospace Agent) 、SM (Secospace Manager) 、SC (Secospace Controller) 、SRS (Secospace Repair Server) 、DSS (Document Security Server) 、SACG (Security Access Control Gateway) 等几部分组成。
华为金融IT治理与内控解决方案提供如下功能。
(一) 用户账号管理。
华为金融IT治理与内控解决方案是以终端用户的角色来进行安全策略管理和访问权限控制的, 终端用户只有完成身份认证才能接入网络。用户管理可以参考金融机构现有的组织和管理结构, 支持基于树状结构的组织管理, 部门下可以包含子部门, 组织的人员归属于某一个部门。用户组织结构分组可以支持多级 (8级) 的分组方式, 以树状结构进行管理和浏览。终端用户的账号可由现有的人事系统、邮箱系统或者其他数据库中导出, 然后再批量导入到Secospace系统里, 导入时可对用户账号进行分组, 以保证Secospace系统里的组织结构与现有的组织机构完全一致, 保证每个员工都有网内唯一的认证账号。
(二) 安全接入控制。
安全接入控制作为一个真正的普遍存在的接入控制系统, 主要用于解决来自内部网络最大的风险源———终端的安全威胁, 涉及终端安全的各个方面。为防止非法终端和不安全的终端接入内网, 当终端接入内网时, 终端用户须先经过身份认证和安全检查, 只有身份认证通过和安全检查符合安全策略要求的终端才能接入内网;对于那些不符合要求的终端, 将被系统隔离, 并在终端界面上提示用户进行相关修复操作。为防止合法的用户越权访问内网资源, 还需要对接入内网的终端用户进行授权访问。在本方案里, 采用的是基于终端用户角色的网络访问权限控制, 管理员根据访问对象和安全等级, 将内网的业务服务器资源划分若干认证子域, 授权指定的终端用户或用户组进行访问。
(三) 终端安全管理。
终端安全管理由一组安全策略组成, 这些安全策略主要涉及终端安全状态的检查和审计, 这些安全状态能够与接入控制功能进行联动, 当发现不安全终端接入网络的时候, 能够对这些终端实现一定程度的阻断, 防止这些终端对业务系统的危害。
(四) 员工行为管理。
终端用户的网络行为管理也是由一组安全策略组成, 这些安全策略的主要目的用于控制员工的网络行为和桌面操作行为, 防止员工恶意侵害公司的业务系统和信息资产, 或从事与工作无关的活动, 滥用网络资源。
(五) 员工行为审计。
能够监控互联网网站的访问记录, 按照时间段控制对互联网的访问, 记录在线/离线情况下的互联网访问记录, 加强对办公终端用途的审计, 并提供完善的安全审计方案, 包括终端安全违规报表和系统日志管理。
(六) 防止非法外联。
能够对内网用户通过MODEM、ADSL、无线、PROXY等方式非法接入互联网的行为进行监控, 防止因为终端非法接入互联网对内网带来的安全风险。还可以对终端用户使用软驱、光驱、USB、串并口、蓝牙、红外、1394等外设接口的行为进行监控, 防止信息泄密。
(七) 远程协助。
可以通过集成的KVM (Keyboard/Video/Mouse) 组件, 帮助管理员实现对终端系统的远程监视和远程协助功能。考虑到用户的隐私性和管理的实效性需求, 此功能可以提供定制, 即在定制客户端安装包时, 远程协助功能作为可选项, 由客户自己选择。
(八) 资产管理。
提供对IT资产的生命周期管理, 包括资产的购置、变更、淘汰管理;软、硬件资产的管理;软件License统计和管理。同时提供资产统计、报表和资产变更告警等功能, 帮助管理员对终端资产进行实时、规范的管理。
(九) 补丁管理。
通过补丁检查策略与接入控制进行联动, 强制接入网络的终端进行补丁检查, 对于未按照要求安装指定补丁的终端禁止接入网络, 并在终端界面提示用户, 引导用户至修复服务器按照修复建议进行修复操作。
(十) 软件分发。
软件分发与补丁分发的机制相似, 可大大提高终端管理的自动化程度, 提高管理效率。此外, 自动化的工作流程还可以避免人工操作带来的风险, 使终端资产得到更好的保护。
(十一) 文档安全管理。
针对金融机构保密文档和涉及部门繁多的情况, 推荐采取“文档分散管理, 权限统一管理”的方案。通过分散管理用户文件, 保证安全控制服务器可以高效率处理用户身份验证、存储加密数据信息等操作, 不但极大提高每个前端单独访问服务器的速度, 同时极大提高许多前端并发访问服务器的速度。此外, 本方案还可以提供USB移动存储设备使用认证功能, 防止非注册USB设备使用。提供日志审计功能, 记录要素包括使用人、使用计算机、使用时间和动作等, 生成相应的审计报告。确保未经注册的USB移动存储设备无法在内网终端 (安装有终端控制软件) 上使用, 并且注册过的USB移动存储设备也无法在非授权终端上使用。
华为金融IT治理与内控解决方案流程如图3所示。
五、总结
面对纷繁复杂的网络和应用环境, 金融业务IT部门正经历着严峻挑战。一方面, 金融业务已高度依赖于IT系统;另一方面, 金融创新业务的发展对IT系统提出了更高的要求。对于金融行业IT内控解决方案来说, 一个最基本的要求是管理方便、易于维护, 以节省运维成本;同时, 系统还应具有高安全性, 通过采用先进的软硬件等技术手段, 实现网络传输安全、数据安全、接口安全;此外, 系统还应具有高可靠性, 具备冗余设计, 有大规模部署的成功案例。华为金融IT治理与内控解决方案在国内和国外都有多个大规模部署案例, 在管理维护、安全性及可靠性等方面可以完全满足金融系统的高端要求。
篇4:金融内控
关键词:银行 ;财务制度; 内部管理; 创新突破
一、银行财务管理的内部控制认识
宏观上看,银行内部控制制度是银行财务风险管理的决定者。内部控制制度具有银行财务部门的报告程序、会计核算以及监督审核的多种职能,在银行加强内部控制建设过程中内占据重要地位。据调查,我国大部分中小银行缺乏银行内部控制体系建设,导致财务信息不对称、内部控制失效及权力过度的集中等现象,给银行造成严重的干扰。
目前,我国很多民营银行以及中小型银行均停留在传统的财务管理体系上,据调查,财务部门大部分工作人员认为银行的资金根本不存在什么风险,这充分说明了财务人员没有较强的风险意识,加上财务部门政策缺乏科学性、财政资金结构管理不合理以及财政内部财政关系不融洽,均是造成银行财务风险的主要原因等。
二、银行内部控制制度对财务风险管理的作用
财务风险主要是指银行在整个发展的过程中的财务活动由于某种原因导致银行亏损的可能。造成银行风险的因素主要是客观因素与人为因素等。银行的财务管理人员的工作意识及能力的高低直接影响着银行的经济发展,因此,加强财务管理工作人员的财务管理风险意识十分重要。
强化银行高层主管的风险意识。银行高管是银行的管理者,必须具有较强的财务风险意识,并进行自上而下的风险管理文化知识传递,促进银行的可持续发展。
强化经营管理者的风险意识。银行内部的经营层必须具备多元化经营分散风险的方式,以此提高银行经营者工作运营的管理能力,同时增强银行抵抗财务风险的能力,为银行财务管理正常进行提供良好的保证。
除此之外,还有多种财务风险管理工具。银行风险管理工具的合理应用要求银行内部控制必须加强银行制度、工作人员以及工作流程等方面的管理和规范,促使银行内部控制工作能够顺利进行。
银行内部控制能够有效的控制银行分部的管理。银行利用内部控制对分部的财务信息、资金管理以及财务分配等方面进行规范,减少银行财务风险的发生。
强化银行财务部门工作人员的风险意识。银行财务部门的工作人员是一个银行内部的领导者,财务人员工作能力的高低对银行的发展、运行起着决定性作用,因此,必须制定相应的内部控制机制,来加强银行财务部门工作人员的风险意识,确保银行能够持久的运营下去,取得更好的经济效益。
三、银行内部控制如何有效科学的设置
银行内部控制主要通过对现金流量编制预算、现金流通数量来了解银行的资金输出量的,或者通过筹集资金,资金回收等一系列资金活动来实现银行内部控制对银行内部的资金流通、资金使用的决策以及执行等各个环节进行监督、规范的,确保银行内部财务部门的资金能够进行安全流通。此外,还需加强银行的成本目标的管理,并对资金量预算等多方面对银行进行银行内部控制,运用预算执行的情况发现银行内部控制与银行财务风险管理目标之间的区别,进行分析制定相应解决措施,以确保银行财务全面预算的严格性。
银行内部控制机制逐渐完善。银行均是存在于某种特定的控制环境内,因此,银行内部控制机制的完善有利于银行的发展。建立和完善银行内部的科学化管理体系控制体系,用来优化银行目标管理与银行财务风险之间的关系,是银行财务风险管理持续走科学发展观的道路。
银行财务风险管理工具多样化。目前,部分银行均是通过内部控制来规范银行的财务风险管理工具使用,比如,某些民营银行在贸易中产生大量支付资金,为了避免对银行造成一定的资金损失,可采取分期付款来降低银行财务风险。
四、加强银行内部审计的有效策略和重大意义
银行财务管理在很大程度上需要借助内部审计工作的力量。因此,如何使审计工作在银行财务管理中发挥作用,是我们应当着重考虑的问题。
将内部审计写入企业文化,使其具备一定高度。银行内部审计是银行内部的一种经济监督方式,具有积极可行的现实价值,职能加强,不能削弱。因此,银行内部应当将内部审计制度落实在企业文化之中,使其具备一定高度,在银行发展过程中发挥出总括性的指导作用。这样,银行的工作人员就会对审计工作有一个全新的认识,并努力执行好各项内部审计制度,大力配合财务管理工作的顺利开展。在实际工作中,领导可以采取召集讨论会或个别谈话的方式,分析当前银行内部审计工作的形势,使工作人员发表对内部审计工作的看法和意见,以便及时改变思路,确保审计工作的全面落实。
提高内部审计人员素质,确保审计工作良性开展。内部审计工作不是一项单纯的机械性的工作,其融合了很多领域的技能,比如财务、会计、职业道德理论、法律、金融等方面的知识;同时也要求审计人员具备一定的沟通、管理、组织能力等。因此,如今的经济发展形势下,银行内部审计工作人员要具备较为全面的知识储备,以顺利应对财务管理工作中出现的各种问题,确保审计工作质量和水准。
在实际工作中,银行可以也可适时组织培训,对更新的相关知识进行学习,用知识武装本领,用知识指导业务。同时,应当定期组织内审人员观看相关廉政教育片,时刻警醒他们要廉洁自律,对自身的工作树立责任心,公正感。
呼吁对内部审计法律制度进行完善,为银行财务管理亮起绿灯。目前,国家有关部门应当根据《审计法》和《内部审计准则》等法律法规,制定更加具体的业务规范和操作指南,以增强银行内部审计法律法规的可操作性。另一方面,银行也应当着重以国家相关法律法规为蓝本,建立健全更为适合自身发展的财务管理规章制度,形成以国家法律法规为外部保护,银行规章制度为内部保护的局面,使内部审计工作能够在双重保护下全面铺开,使其更好的为银行财务管理工作服务。
在实际工作中,银行有必要号召内审人员着重学习相关法律法规。因为,内审工作总是与法律责任挂钩,违反审计原则和制度,必然会承担相应的法律责任。
积累运用科学可行的工作方法,提高内部审计工作质量。银行内部审计工作的出发点是强化内部财务管理质量和效率,以便平衡各项财务收支工作,落脚点则是努力完成银行社会效益目标和经济效益目标。因此,科学有效的工作方法对于内部审计来说,显得非常必要和重要。在实际工作中,内审人员一定要秉承“科学良好的方法,是提高工作效率的捷径”的观念,在工作中善于摸索和总结经验,在利用科学的工作方法后,往往会事半功倍。另外,银行在管理层面可以建立沟通机制,鼓励员工及时与领导沟通交流,对审计过程中出现的问题及时汇报给领导,实现及时妥善解决。
综上所述,加强银行业内部控制制度以及审计制度是很有必要,银行必须清醒地看到内部控制度以及财务风险控制在银行发展过程中的现实价值。因此,银行应该在实践中积极寻找加强我国银行化解金融风险和内部审计的策略和方法,使其更好地为服务于银行财务管理,使银行的经济效益和社会效益目标都能够畅通无阻的实现。
篇5:邮政金融内控学习心得2
通过组织学习《内控达标年学习手册》,通过这段时间的学习和总结,我就内控合规培训活动谈一谈自己的体会。
首先,合规经营是提高风险管理水平的基础。作为银行的一名员工,要有风险服务意识和风险服务技能。通过内控合规培训,要明确那些该做那些不该做,确保在工作中严格执行操作流程、岗位制度、合规守法工作标准及纪律惩处规则,把合规管理、合规经营、合规操作落到实处。只有让每一个员工把警惕风险、正视风险、管理风险、防范风险的意识深入到工作的每一个细节中,增强自我约束和自我发展能力,才能为全面提升银行的核心竞争力提供有效保障。
第二,合规经营是防范商业银行操作风险的需要。合规经营是规范操作行为,遏制违规违纪问题和防范案件发生,全面防范风险,提升经营管理水平的需要。因为合规与银行的成本控制、风险控制、资本回报等银行经营的核心要素具有正相关的关系,能为银行创造价值,而且有效的合规经营能将合规风险消除于无形。
第三、合规经营是增强规章制度执行的有效途径。银行在百姓心中一直是可以信赖的,就是因为银行有铁的规章制度。而制度的执行与否,取决于广大员工对各项规章制度的清醒认识与熟练掌握程度。这几年银行职业犯罪之所以呈上升趋势,其中重要一条是忽视了自身思想变化。只有坚持至始至终地按规章办事,我们的制度才得以执行,我们的资金安才有保障。
第四、合规经营是银行实现发展目标的根本保证。合规经营就是为业务保驾护航的,是为了更好地促进业务发展服务的。在发展、开拓业务和同业竞争中,只有紧紧遵循合规经营的理念,提高管理的质量,才能保证银行业务的经久不衰。
篇6:金融机构内控制度建设现状及对策
近年来,一桩桩金融系统内部案件的发生,给我们敲响了警钟,使我们清楚地认识到我国商业银行包括农村合作金融系统内控制度建设不健全、漏洞百出的现实,从而进一步认识到内控制度建设及组织实施的重要性。目前,我国的农村合作金融系统处于改革的初级阶段,如果不紧跟步伐实施“制度优先”的策略,势必要落后,落后就要挨打,就要被淘汰。
问题主要表现在:
1、由于职能部门不健全或权限不清,出现了管理的真空地带;
2、规章制度不够健全或执行不力,说明管理存在较大问题;
3、内部稽核人员数量不足,稽核力量稍嫌薄弱,内部审计有时流于形式,查出来的问题因种种原因也不一定得到及时的处理;
4、财务核算上事前分析、预测和监督少等。
就像计算机的系统如果有漏洞存在就随时有可能遭到病毒的袭击,健全的内控制度是金融机构安全、有序运作的前提和基础。因此在加强外部监管的同时也必须督促内部控制制度的建设,笔者认为应该从以下两个大方面出发来建立能真正发挥作用的内控制度。
一、制度要优先,即在开展业务之前建立一套完善的内控制度。
1、在开展业务之前要在银行内部建立一套以明确责任、相互制约、分工协作为原则的严密有效的组织机制。首先应严格岗位分工。每位员工根据工作性质、权限承担相应的责任。其次应在自我检查监督、自我控制保护的基础上,在各职能部门之间、上下级之间、岗位之间设一套相互制约、相互监督的牵制机制。第三,应注意组织机制的完整性和连贯性,防止随着管理人员级别的升高其所受内部控制的约束力越小的情况出现,加强各级业务主管部门的自身监管和对下级的监督,以有效防止银行高级管理人员的舞弊行为。第四,在设置岗位的时候应注意度的把握,既要科学又不能过于强调严密性和完整性,应尽量简化机构和人员,简化程序和手续,从而提高工作效率和效益。
2、逐步完善财务会计制度。会计部门是银行内部的一个重要部门,应首先保证各项会计数据的真实性和帐务处理的准确性,通过完整的帐务体系发现问题,监控各项业务操作。其次应重视事前的财务分析和预测,把风险控制在萌芽状态。第三,建立起各级会计主管人员责任制,会计机构要有充分的独立性,会计主管同时对主管行长和上级会计主管负责。第四,建立会计重要岗位离岗审计和岗位轮换制度,要定期对重要岗位进行审计和轮换,以便及时发现隐患,尽早解决。第五,制定会计电算化管理制度,防范会计电算的风险。
3、内部审计部门要加大对内控制度落实的监督力度。目前审计部门由于种种原因对监督各项内控制度的落实、防范和化解金融风险所起到的作用并不明显。然而对内控制度进行再监督的审计制度是商业银行内控制度的核心,也是确保各项内控制度落实的关键,因此改革审计机制已显得日益重要。
4、要实行严格的授权审批制度。金融机构要以安全性、效益性、流动性为经营原则,安全经营尤为重要,对每一项业务都要由各级部门经办人员审核和审批;开办任何业务都必须经过有权审批部门的书面认可,取得相应的授权书,并实行严格的授权;对越权行为予以严厉处罚,越权造成的损失应追究相应的责任。
二、采取相应的措施保证内控制度得以有效的执行。
内控制度定得再好、再完善,如果没有严格的执行,那也只是一纸空文,更何况内控制度的建立本身就是一个通过实践不断健全和完善的过程,所以内控制度贵在落实。
1、倡导员工加强学习,提高自身素质。首先应加强岗前和在职员工多层次多方位的定期培训,增强法纪观念,提高政治素质和业务素质;其次要加强思想政治工作和廉政教育,引导员工敬业爱岗,自觉的遵纪守法;第三,应经常对员工进行案例教育,提高员工对违章、违规操作危害性的认识,从而自觉维护和执行规章制度。
2、建立有效的内部激励机制,奖罚分明。目前在内控制度的执行过程中奖惩不明现象严重,这是导致规章制度执行不力的一个重要原因。可将员工的执行制度情况与奖金和职务升降等挂钩。
3、严把用人制度关。对干部和重要岗位的人员配备要考察其综合素质,可以采取跟踪考核制度,确保管理人员与所承担的职权相适应。各级领导更应该严以律己,以身作则,做遵守规范制度的模范。
4、实行定期和不定期轮岗制,使银行每个人、每项业务都处于被检查、被监督范围内。
5、各级领导要注重与员工之间的沟通,达到工作上的和谐,提高员工工作的主动性、创造性和责任感。同时不断改善工作环境,使职工对银行产生归宿感,把自己的工作与银行兴衰联系起来,从而自觉执行制度。
【金融内控】相关文章:
金融风险内控研究论文04-19
金融企业内控制度分析论文04-24
金融风险内控研究论文提纲11-15
金融企业内控制度分析论文提纲11-15
内控理论05-07
内控执行05-11
内控系统05-14
内控论文题目05-06
华能内控范文05-16