|
《商业银行内部控制指引》与银行全面风险管理
建设银行湖北省分行襄樊审计办事处 冯跃春
建设银行正积极铺设风险管理平台,该平台是对银行现有风险管理模式的系统整合和再造,能够从系统性角度为风险管理提供框架,确保银行持续、有效地开展风险控制活动,并满足人民银行《商业银行内部控制指引》(以下简称《控制指引》)要求。银行内部控制体系的基本依据是《控制指引》,如何将《控制指引》的基本原则导入全面风险管理,是一个需要研究的问题。
《控制指引》共10章141条,其用意是促进商业银行建立和健全内部控制,防范金融风险,保障银行体系安全稳健运行。在《控制指引》中,将商业银行内部控制细分为五大要素,采用了目前关于内部控制最具权威的美国COSO委员会1992年所发布《内部控制—整体框架》报告中提出的内部控制,包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系要素的概念。2003年建设银行实施的一级分行及二级分行内部控制评价审计方案,也是依《控制指引》五大要素来列示审计分项。同时,巴塞尔新资本协议要求金融机构将市场风险和操作风险纳入整体风险管理,而COSO委员会《内部控制—整体框架》报告则揭示了市场风险和操作风险控制原理,因此,无论从国际惯例来讲,抑或从中国银行业公认准则来讲,依五项要素进行内部控制,是全面风险管理的一个立足点。
《控制指引》全面风险管理体现在以下两个方面。首先,《控制指引》有一个非常重要的全面、审慎、有效、独立“八字原则”,并将“全面”定义为内部控制的首要原则。在控制过程中,要求内部控制应当渗透到商业银行的各项业务过程和各个操作环节,覆盖所有的部门和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查;在控制架构上,要求建立涵盖各项业务、全行范围的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控,这就使得内部控制覆盖到银行的全部经营管理活动。其次,《控制指引》对银行内控作用对象进行了细分,组织结构控制方面,包括公司治理结构、高级管理层控制责任、执行控制部门及部门控制技术手段;业务运行控制方面,包括授信、资金、存款及柜台、中间业务、会计、计算机信息系统控制;控制监督与考评方面,给定了内部控制评价、纠正、后续行动与信息流动的控制机理及要求。在《控制指引》的指引下,银行控制需求基本能够得到满足,这既是《控制指引》的设计理念,也是银行内部控制与《控制指引》成为银行构筑全面风险管理平台的实践依据。
采用《控制指引》标准,构建全面风险管理平台,需从以下几个方面着手。
(一)建立体现全面风险管理的公司治理结构
《控制指引》要求商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任,这一要求至少包含两层涵义,一是全面风险管理必须由决策层来推动,二是高级管理层也是全面风险管理的一个控制环节,因为内部控制具有高度的权威性,任何人不得拥有不受内部控制约束的权力。在股份制商业银行,公司治理结构从银行发起时己经成型。国有商业银行目前正进行上市准备,依照《公司法》,建立公司治理结构是必走的一步棋。在未来的公司治理结构中,体现全面风险管理要求的标志有这么几点:银行依法设立董事会和监事会,并设立独立董事,构建以股东大会—董事会—监事会—经理层之间的权力划分和权力制衡的有效结构,通过高级管理层权力制衡,抑制“内部人控制”、“道德风险”的发生;设立风险管理委员会,风险管理委员会总揽银行风险控制。设立审计委员会,并将审计委员会明确为全面风险管理的监督、评价部门、负责检查、评价内部控制的健全性、合理性和遵循性,督促管理层纠正内部控制存在的问题。前者负责拟订、执行控制程序,后者负责监督、评价控制状况,并将修正控制意见反馈前者,以完备内部控制体系。
(二)全面普及《控制指引》蕴含的控制理念
《控制指引》吸取了最新、最近的国际内部控制理论,虽然目前它并非是一个强制性文件,但它却是银行界应当给予足够重视的方法性文件。股份制银行重组上市,无法绕过文件给定的原则。《控制指引》重要理念主要有五点:一是无任何人、无任何经营活动能游离于内控体系之外的理念,任何人均应自觉遵循控制制度;二是内控优先的理念,一切新型业务应以防范风险、审慎经营为出发点,风险在前,收益在后;三是一切控制均有案可查的理念,保存控制记录,是回顾、检讨控制轨迹,甄别控制责任,传递控制信息,监督纠正控制错误的基础;五是内部控制监督、评价部门保持独立性的理念,按《控制指引》要求,审计部门应实行全行系统垂直领导,作为内部控制监督、评价部门,拥有直接向董事会、监事会和高级管理层报告的渠道。
(三)制定全面的风险识别、计量、报告程序
银行风险管理委员会应整合现有内部控制资源,统筹制定信贷风险、市场风险、流动性风险、操作风险、法律风险、道德风险等风险的识别、计量、监测、报告制度、程序和方法,实施银行全面风险控制技术,对各类风险进行持续监控。除信用风险评级预警系统外,运用先进风险管理工具,对市场风险、流动性风险进行模型分析和控制,对市场风险,即市场利率、汇率变化而使资产收益减少或负债成本增加的风险,应遵循《巴塞尔资本协议市场风险修正案》及《控制指引》有关资金业务内部控制要求,制定适合本行控制需求的控制程序;对流动性风险,即银行因资金结构不合理,超负荷经营,没有足够现金清偿债务和保证客户提取存款而给银行带来损失的可能性,应当克服国有银行以国家为后盾的风险麻痹意识,未雨绸缪,研究包括匹配资产负债比率、监测资产实际变现能力,监测资本充足率等重要流动性指标的控制程序。对操作风险,即由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险,要针对银行需求进行控制程序开发。同时,进行岗位定位,借鉴国际化质量标准体系,层层制作场所文件;在各操作层面按部门、分支机构设立风险经理,前移风险管理关口。但操作风险与其他风险不同,其中掺杂道德风险和机会性风险,极易因人为因素酿成,其控制难度较大,巴塞尔新资本协议在将操作风险纳入第一支柱的同时,认为操作风险的管理方法虽在迅速发展,但近期内不能达到准确量化信用风险和市场风险的程度,因此也鼓励商业银行在探索中开发新的控制技术。本文认为,控制操作风险,仅有按产品分类的内部控制分册还不够,必须辅之以在线控制技术。首先,银行各项业务活动应全部纳入统一的网络管理,各种风险信息能够在线监控和自动进行风险预警;其次,在未来几年内,银行应为操作风险在线监测安排足够的资本性及人力技术资源。在华经营有着144年历史的英国渣打银行,对操作风险实行矩阵式控制,除集团总部设审计和风险管理委员会外,集团主要业务部门均有独立的风险控制部门,对本部门所有业务进行风险评估和监控,每一项业务进展相应产生一项风险评估报告,对所有可能出现的风险进行预估并标出风险等级。操作系统中,数据录入与授权严格分离,一项交易终了,系统会自动产生一个报告,用以监控系统中发生的所有行为。一般而言,各操作部门对重大和例外事件必须报告给操作风险控制委员会(CORG),如果需要,还必须同样报告给业务部门风险管理委员会和集团风险管理委员会,而这样的报告,在正常情况下每月都必须例行。作为一个成熟的跨国商业银行,渣打银行操作风险控制经验,至少有三点值得借鉴,一是通过矩阵设置,使操作风险控制成为一种环境控制,而不仅仅是操作部门自我控制,是各级风险控制部门控制,而不仅仅是风险经理控制;二是风险报告成为惯例,信息交流搭乘直通车;三是由于系统自动产生一个追踪报告用以监控系统中发生的所有行为,使系统实时监控得到较好解决。
(四)建立内部控制的监督、评价、纠正机制
应充分发挥银行内部审计部门作用,建立监督、评价、纠正机制,使全面风险管理平台真正承受起风险控制之重。内部审计部门在内部控制审计及其他审计活动中发现的内部控制缺陷,在报告高级管理层的同时,当在第一时间通知被审机构。被审机构应对自身存在的控制缺陷予以高度重视,并迅速发起整改。控制缺陷整改率,应作为考核、计量被审机构管理经营绩效不可缺少的指标。若因拒不接受审计部门管理及整改建议,对控制缺陷整改不力而造成风险损失,上一级行应追究责任行管理层渎职责任。只有如此形成风险识别、计量、监测、纠正的整套机制,全面风险管理才能落到实处,《商业银行内部控制指引》才能成为商业银行全面控制风险之利器。(《现代商业银行导刊》2004年第2期) |
