为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,2008 年 5 月,财政部会同证监会、审计署、银监会、保监会,制定了《企业内部控制基本规范》。2010 年 4 月,五部委又联合发布了《企业内部控制配套指引》。该配套指引包括 18 项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
为确保企业内部控制规范体系平稳顺利实施,财政部等五部委制定了实施时间表:自 2011 年 1 月 1日起,首先在境内外同时上市的公司施行;自 2012年 1 月 1 日起,扩大到上海证券交易所、深圳证券交易所主板上市的公司;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
一、中小银行内部控制系统建设现状
银行是经营货币的高风险金融企业,其风险不仅表现为贷款违约等带来的信用风险,还表现为内部人员违规操作,侵占客户资金等带来的操作风险以及其他诸多风险。近年来国内银行业频频发生的大案,印证了银行业内部控制体系建设的重要性。近年来,随着信息技术在银行业的广泛应用,银行业的风险防范水平有了很大的提高,但仍然存在诸多不完善之处。对于信息系统建设尚不够完善的中小银行机构来说,内部控制系统建设存在更多的问题和不足,主要表现在以下“四重四轻”方面。
(一)信息系统重视业务处理功能,轻视内部控制功能
中小银行的中、高级管理层对信息系统的建设,更倾向于满足新业务开办等业务功能研发,对建设内部控制系统或相关功能模块往往重视不够、兴趣不高,对建设内部控制系统认识不足。
(二)系统维护重视漏洞修补,轻视系统性持续性完善
银行发生重大问题和案件后,各级均高度重视信息系统的漏洞修补、完善等工作,这样可以较好地防范以后同类同质案件的发生,但多缺乏对信息系统进行持续优化,在日常维护中缺乏对风险点的搜集、分析和处置。
(三)日常管理重视前台操作,轻视后台管理
现有信息系统关注更多的是前台营业功能的完善和优化,而对中后台管理、控制、监测、审计、分析等业务需求支持不足,无法满足内部控制管理的需要。
(四)风险防控重视事后严罚重管,轻视事前预防和事中控制
风险防控是银行永恒的主题,监管及上级管理部门对案件及风险事故非常关注和重视,对各类案件均规定了处理范围及处理标准,体现了严罚重管理念。相较于事后处理机制,事前防范及事中控制明显弱化。若更加注重事前预防和事中控制,可能会取得更好的效系统等均可用于事前及事中控制,但多数中小银行尚未建设。
二、内部控制系统建设实证分析
为提高业务处理及管理工作信息化水平,同时加强内部控制实施工作,目前,笔者所在单位正耗费巨资研发新一代 IT 系统,系统包括核心业务系统、综合柜面系统、客户信息系统、IC 卡系统、信贷管理系统、总账及财管系统、数据存储及报表系统、中间业务系统、影像平台系统、二代支付清算系统、渠道管理系统、监管数据报送系统、票据管理系统、数据总线系统等十多个子系统。我们在研发新系统过程中,十分关注内部控制与信息系统的融合、嵌入问题,努力使内部控制融入到银行的管理决策和日常经营活动之中。我们在内部控制系统建设方面,主要做法有以下几点。
(一)查找关键风险点
1.绘制重要业务流程图
结合目前中小银行业务经营范围,我们梳理出了存款、贷款、清算、IC 卡等二十多个最常用业务的全生命周期业务流程,本着提高效率、科学合理、风险可控、操作规范、责任明确、可追溯的原则,绘制出有关业务的流程图初稿。通过业务人员会议讨论方式,研究业务流程图是否符合实际情况,分析存在的问题及有无不合理的流程和环节,完善修改后将新业务流程图提交软件开发人员开发。
2.梳理风险点
通过仔细研究有关业务流程,全面评估各节点的风险,找出需要控制的节点和环节,逐一分析风险发生的可能性及风险发生后的影响程度。根据重要性原则及成本效益原则,确定每个风险点应采取的风险应对策略,将银行的剩余风险控制在银行的可承受范围内。
3.分析以往银行业案件发生原因及环节
组织人员收集研究近年来银行业发生的各类案件,分析发案原因,找出日常工作中存在的控制薄弱环节,提出防范措施,争取在新系统中实现计算机控制,尽可能防止在新系统平台下再次发生同质同类案件。
4.对各类业务交易进行风险评级
对新系统全部 2 100 多个业务交易,逐项进行风险评估和风险评级。对风险较大的交易事项,采取更加严苛的控制措施。在风险评估过程中,不但要评估此交易自身业务功能存在的风险,还要评估“坏人”能否利用此交易办理其他业务造成风险和损失,若有此可能性则必须改正和避免。
5.梳理需要授权复核的业务
针对各类交易和事项,逐一分析判断是否需要授权复核、多大金额以上需要授权复核、是本地现场授权还是异地远程授权、授权后是否还应纳入风险预警提示等。对发生的大额交易和高风险业务,通过在不同层级岗位之间的权力分配,实现制衡,确保了不相容职务的分离。
(二)防控重要风险
1.操作风险防范
目前银行业的中、高级管理层非常重视操作风险,因其多与案件有关。银行业发生案件,不但会出现资金损失,还会带来声誉风险,当事人及各级管理人员也将承担相关责任。
(1)强化柜员管理。新系统中,我们配备了灵活多样的柜员身份类型,同时还支持灵活配置柜员身份权限。也就是说,人力资源部门可为某一柜员量身定制工作范围及操作权限,避免了以往同类柜员操作权限相同,不可自行配置的缺陷。这样做最大的好处,是可以根据柜员以往工作表现及专业能力,定制工作权限和范围,解决了易错柜员和有过不良行为柜员操作权限过大问题。
(2)强化授权复核。新系统中,支持现场授权、异地远程授权等方式,支持上级机构自主改变授权方式和授权额度。对于需要他人授权的业务,系统自动分派授权人员,可有效防范内部人员之间串通作案及集体作案。
(3)实行强制休假与强制轮岗。新系统中,对柜员在某一机构工作超过一定年限的,将自动终止其在该机构继续办理业务的权限,切实做到了强制轮岗,解决了现实工作中轮岗不彻底、看人轮岗等问题。同时,系统还可以不定时在日结后从辖内柜员中随机选取若干名柜员实行强制休假,被选中柜员次日登录系统只能办理交接业务,不能办理日常业务。
通过接替柜员继续在强制休假柜员岗位上工作,可以及时发现休假柜员舞弊及本网点集体舞弊现象。由于可以随机抽取休假柜员,无形之中也增加了舞弊柜员的心理压力。
2.信用风险防范
信用风险是银行业面临的最大风险,新的信贷管理系统实现了风险管理在贷款生命周期中的全覆盖。除常规风险管控外,新系统在风险管控方面有以下几个亮点。
(1)预警。在客户预警方面,设置了 34 个指标,如客户信用等级下降、评级授信到期或财务指标发生重大变化,系统自动根据风险等级作出提示或拦截。在机构预警方面,设置了 14 个指标,系统可实现对存贷比、不良贷款率、到期贷款收回率等超标的机构进行业务拦截,限制办理相关业务。在业务预警方面,设置了 11个指标,对当日发生垫款的表外业务、授信冻结与解冻信息、抵债资产处置、贷款逾期 6 个月诉讼等进行预警提示。
(2)关联关系深度挖掘。新系统将借款人的企业高管、配偶及成年家庭成员、担保人、联保体成员、集团关系、母子公司关系、共同担保人、循环担保、共同企业高管、企业高管共同任职企业、配偶所在企业、法定代表人家庭成员所在企业、企业的股东、企业投资的企业这15 种关联关系写入系统,同时支持自定义关联关系,形成关联关系网络,便于更加全面直观地掌握借款人的关联关系。
(3)黑名单制度。贷款逾期后,借款人或保证人自动进入系统黑名单,不能再为其办理新的信贷业务。黑名单数据全省共享,形成系统内的不良客户信息库,黑名单还支持手工录入维护功能。
3.其他风险的防范
(1)加强了凭证管理和现金调拨风险防控。重要空白凭证的入库、出库、使用、作废、调拨、销毁等实现了全流程系统控制。对当日从上级机构领出的凭证,若下级机构日结时尚未入库,系统会向有关领导发送信息。同样,机构间调拨现金,若一方在日结时存在未入账凭证,也会及时报警,防范了携款跑路等现金流失风险。
(2)强化了企业文化建设。系统中加入了员工激励功能,员工生日、重要节日等可及时在柜面系统看到上级领导的祝福。对工作量较大、发放贷款质量好且收息率高的有关柜员,在其本人及有关领导的柜面系统中给予表扬;对发放贷款质量差的,给予批评。引导广大员工学习先进,比学赶帮超,营造积极向上、努力工作、符合企业发展要求的企业文化氛围。
(3)加强了资金和费用管理。新系统加大了对无效和低效资金的管理,对存放同业款项、清算资金款项等进行监测,通过全省排名等措施,激励先进,鞭策落后,可有效防范私存乱放造成的资金浪费,减少了人情存款。如原来有些县级机构,私自将数亿元资金,以较低的利率长期存放在其他同业,造成了大量的资金浪费。新系统上线后,预计因此项功能每年就可增加效益数亿元。另外,新系统还加强了费用支出分析,通过与上期比、与同业比、与预算比等方式,过滤出费用支出异常情况,减少个别机构成本费用支出浪费现象。
(4)加强了诈骗账户的管理与控制。新系统中,通过全省数万名员工,及时收集涉嫌诈骗的银行账户,并录入系统,当有客户通过全省农信社的柜面、ATM、手机银行、网上银行等渠道向这些银行账户转账或存入现金时,系统会向客户提示此账户涉嫌诈骗,为客户资金安全加筑了一道防火墙,提升了银行的美誉度。
三、工作启示
(一)内部控制系统建设是一项系统工程经过这次信息系统建设,我们感觉到内部控制信息系统建设不是一蹴而就的,是一个漫长持续优化的过程。内部控制系统建设是“设计—运行—发现问题—优化控制—再设计—再运行”这样一个螺旋上升的过程。特别是对银行来说,整天与钱打交道,需要控制的关键点太多、太细、太繁琐,因此,需要在以后运行中,持续征求使用者的意见和建议,反复修改、优化和完善,使内部控制系统适应内外部环境的变化及业务发展的需要。
(二)要结合企业自身情况开展内部控制系统建设虽然财政部等五部委联合印发的内部控制基本规范与配套指引内容丰富,详实具体,但对于具体的某个企业来说,外购通用的内部控制软件系统肯定不能满足自身的需要。企业需要结合自身业务范围特点、客户群体、企业规模、管理状况、风险水平和外部监管要求,打造属于自己的内部控制信息系统。
(三)良好的企业文化是实现内部控制目标的基础企业文化是企业的灵魂,是推动企业发展的不竭动力,也是企业防范风险的重要基础。从近几年银行业发案情况来看,道德风险十分突出,多数案件还是串案、窝案。在串案、窝案面前,很多行之有效的内部控制措施将失去效力,若仅靠传统的系统控制手段根本无法防范。而防范此类案件,需要依靠银行良好的企业文化,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,强化现代管理理念,强化风险意识和法制观念。当将上述理念的企业文化根植于全体员工内心时,内部控制才可以真正落到实处。
【参考文献】
[1]财政部,证监会,审计署,银监会,保监会.企业内部控制基本规范[S].2008.
[2]财政部,证监会,审计署,银监会,保监会.企业内部控制配套指引[S].2010.
[3]银监会.商业银行操作风险管理指引[S].2007.
[4]羊建,杨秀梅.商业银行个人贷款业务的内部控制探讨[J].会计之友,2014(4):67- 69.