中国银行浙江省分行监察稽核部 吕秀珍总经理
(浙江大学金融管理高级研修中国银行班学员)
摘要:核心竞争力是企业能够长期获得相对竞争优势的能力,是企业所特有的、能够经得起时间考验、具有延展性,并且是竞争对手难以模仿的技术或能力。加强内部控制有助于提高风险防范能力和制度执行能力,有助于提高管理系统的可靠性和管理过程的精细化,从而提升中国银行的核心竞争力。
本文按照“内部环境、风险评估、控制活动、信息与沟通、监控”五个要素维度分析了中国银行浙江省分行内部控制竞争力,并以此为基础,从内控治理、流程控制、基层控制、IT控制等方面提出了提升我行内控竞争力的若干措施。
本文在进行内控竞争力分析和提出措施的过程中,主要参考了苏格兰皇家银行(RBS)及工商银行等国内外同行的内控管理经验,研究了银监会等外部监管机构的相关指引和监管数据,调阅了总分行及各业务条线有关内控管理信息,结合了外审就中国银行浙江省分行内控状况提出改进建议。
关键词:核心竞争力 内部控制
一、引言
核心竞争力是企业能够长期获得相对竞争优势的能力,是企业所特有的、能够经得起时间考验、具有延展性,并且是竞争对手难以模仿的技术和能力。一个企业的核心竞争力不仅包括产品创新能力,而且还需要有良好的内控机制和企业文化。
加强内部控制有助于提高风险防范能力和制度执行能力,有助于提高管理系统的可靠性和管理过程的精细化,从而提升一家企业的核心竞争力。中国银行作为一家国际化大银行,要在当前竞争不断加剧的国内金融市场上立于不败之地,还需要不断提升自身的核心竞争力。完善中国银行内部控制体系、加强内部控制、提升内部控制竞争力是增强核心竞争力的有力手段。
二、内部控制竞争力分析
(一)内部环境维度的竞争力分析
1.内部环境维度
内部环境是指影响和制约企业内部控制建立与执行的各种因素的总称,是内部控制综合框架中所有其他构成要素的基础。内控环境主要包括治理结构、组织机构设置和权责分配、企业文化、人力资源政策、内部审计机制等内容。
2.我行现状分析
近年来,我行董事会、高级管理层高度重视并积极推动内部控制体系建设与发展。2005年,首次召开了全行内部控制体系建设工作会议,确定了全行内部控制的目标和指导原则。2005年,总分行成立内部控制委员会,管理层通过内控机制有力推动了全行内部控制体系的有效运行。2006年,高管层做出了建立内控三道防线体系的重大决策,为深化内控建设奠定了组织实施基础。
董事会批准了《合规政策》、《操作风险管理政策框架》。管理层针对我行情况采取了一系列内控措施,确立了我行内控报告机制和内控管理机制。全行内控合规意识得到不断强化,内控合规环境得到了不断改善。
通过全行一致努力,案件治理成效显着,案件数量和涉案金额明显下降。根据银监会2007年1~8月案件情况通报,全部金融机构共发生案件251件,涉案金额约12.86亿元;其中工行、农行、中行、建行、交行五家主要银行案件数73件(占比29%),涉案金额约4.46亿元(占比35%)。本行案件数量为5起,在五大商业银行中居第四位(交通银行案件数量为零);但涉案金额均过百万元,案件总金额(2845万元)居第二位,高于工行、建行、交行。
3.整体评价
外审及内控自我评价的结论均认为我行进一步加强和改进了内部控制环境,职责得到进一步分离和明确。但是,我行风险偏好尚未设定,需要进一步培育基层的内控合规理念。
(二)风险评估维度的竞争力分析
1.风险评估维度
风险评估是及时识别、分析和评估影响企业目标实现的各种不确定因素并制订应对策略的过程。风险评估主要包括风险识别、风险分析、风险应对和风险监控。企业在开展风险评估时必须对过去发生的风险事件作出定义、分类和信息收集,以此作为风险评估的基础。企业还需要根据企业的目标设定自身的风险偏好政策,以作为确定风险应对策略的依据。
2.我行现状分析
内控委员会建立了分行内部控制数据监测制度。每季度收集包括人力资源、系统失灵、欺诈越权、业务重大差错、反洗钱、监管处罚、内控整改、违规事件、法律风险、关联交易等10大类共61项内控数据,分析比对分行内控数据及其变化情况,及时发现问题并对分行提出有针对性的内控改进指导意见。
我行还运用操作风险管理工具进行风险评估。我行通过与战略投资者苏格兰皇家银行(RBS)的合作,借鉴了其操作风险管理经验,建立了操作风险管理框架,研发了操作风险与控制评估工作流程(RACA)、重大操作风险事件报告流程(SERP)、关键风险指标工作流程(KRI)等一系列操作风险管理工具,为操作风险管理提供统一方法和标准,促进操作风险管理的科学化、规范化、流程化,努力实现“无预期之外的操作风险损失”,将操作风险控制在风险偏好内。
为满足上交所和联交所在内控评价方面的披露要求,在与外审沟通的基础上,由稽核部门制订了覆盖全行各业务条线、各层级的内控评估流程,开展了全面的内控自我评价工作。
在评估风险的过程中,我行综合运用了内外审查、监管部门检查的相关信息和结果,使风险评估结论具有了较强的可靠性和数据基础。
3.整体评价
全行已经建立了一套风险评估的初步方法,使总分行的管理层对我行操作风险总体状况和主要风险的分布特征有了较为明确的把握和判断。但是,我行风险评估较国际最佳实践尚有差距,风险评估的方法和工具尚待改进,评估流程尚待进一步规范化和标准化,评估数据的可靠性和准确性尚待进一步提高。
(三)控制活动维度的竞争力分析
1.控制活动维度
控制活动是根据风险评估结果、结合风险应对策略,采用恰当的控制措施以确保企业内部控制目标得以实现的政策和程序,是实施内部控制的具体方式。
2.我行现状分析
在加强集团统一管控方面,制订实施了《规章制度管理办法》、《授权管理办法》、《合同管理办法》,确定了集团制度、授权、合同等重要管理活动的集团管理架构,建立了全流程管理、统一管理与维护、信息报告与共享等制度,促进集团相关管控活动的流程化、规范化。
在强化基层机构管控方面,我行上收了县支行人事管理和财务核算权限,严格落实强制休假、代职和轮岗制度,推行了分支行行长聘任报备制度和业务经理派驻制度;建立了事后监督中心、营业网点录像检查制度;规定了《基层机构负责人十个“严禁”》和《营业柜员十个“严禁”》,进一步明确了基层机构负责人和基层员工的行为规范。
在加强业务集中管理方面,通过贷款集中审批,将对公贷款的信贷审批集中到总行或一级分行,零售类贷款的审批由一级分行设立的消费信贷中心专门负责;通过建立完全独立的评级工作流程,实现总行对全行贷款的定期审阅;通过规范资产保全管理机制,实现了对公贷款的抵押物管理、放款流程管理、不良贷款保全和信贷资料管理等职责与前台部门的分离。
在强化重点环节控制方面,我行严格控制了票据承兑业务权限,实行了账户开户集中审批制度,制订实施了银企对账、重要空白凭证管理制度;开展了全辖金库安全专项治理工作和行政印章、业务印章使用及管理情况的清理工作,修订了《印章管理办法》。
在跟进内外部检查问题整改方面,针对银监会、外部审计以及二道防线等检查发现的问题,我行严格规范了整改计划的制订、审批程序,定期逐级报告整改情况等监控机制,促进了对全行整改工作的掌控。
在强化IT建设方面,大力推进IT蓝图建设,将重要业务流程、重点控制环节的内控要求植入系统设计之中。
3.整体评价
全行各业务条线、总分行多个层面采取了一系列有针对性的内控措施,使我行基础薄弱和基层薄弱的问题得到一定程度改善。但是,基层机构层面的欺诈舞弊仍是我行面临的主要风险之一,制度执行力不强、屡查屡犯现象依然存在;利用系统和技术手段来实现对流程的自动化控制的能力尚显不足。
(四)信息与沟通维度的竞争力分析
1.信息与沟通维度
信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时的传递、有效沟通和正确运用的过程,是实施内部控制的重要条件。信息沟通包括信息的收集机制以及企业内部与外部有关方面的沟通机制。
2.我行现状分析
在董事会层面,我行建立起了管理层向稽核委员会、风险政策委员会、关联交易委员会按季报告全行内控进展情况、操作风险管理情况、重大违规情况的报告机制。
在管理层层面,我行建立起了总分行内控委员会定期沟通机制,内控委员会实行季度会议制,并在遇有重大或特殊内控问题时召开临时会议,就各业务条线和分行内控工作做出部署。
在总分行层面,开展了多层次的合规培训。对一级分行领导班子成员、二级分行行长进行了合规管理培训,对总分行内控合规专业管理人员进行了专业管理培训,对一线员工进行了岗位合规培训,向管理者和员工传达了清晰的内控合规理念和内控管理办法。
3.整体评价
我行基本建立了信息共享与沟通机制。但是,与RBS及我们的目标相比,报告流程缺少统一标准和模板,报告涵盖的信息与管理层的决策需求尚有差距。
(五)监控维度的竞争力分析
1.监控维度
监控是企业对其内部控制的有效性进行检查和评价,形成书面报告并做出相应处理的过程,是实施内部控制的保证,主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或某些方面进行专项监督检查,以提交相应的检查报告,并提出有针对性的改进措施。
2.我行现状分析
在条线监控方面,总行各条线通过一系列监控措施、检查手段,基本掌握了本条线的内控工作情况,条线监控能力得到加强。
在基层监控方面,初步建立了针对基层的自查流程,促使基层机构能够切实发挥风险防范第一责任人的职责。基层机构实施自查流程,留下清晰的过程记录和结果记录,也为二级分行和一级分行掌握基层风险和控制总体情况提供信息,从而加强上级分行对基层指导和管理的针对性。
在集团监控方面,总行对海外机构实行相对集中的归口管理。海外机构管理部牵头负责全行海外机构的内部控制工作,对海外机构实施规划、指导、管理、考核和问责。总行各业务部门和管理部门对海外分行内部控制建设开展指导,加强矩阵式管理。
3.整体评价
虽然我行在条线监控、基层监控、集团监控方面的监控水平得到了提高,但与国际最佳实践相比,监控流程的清晰化、监控结论的可靠性、监控数据的获取能力、IT监控手段等方面尚需进一步提高。全行内控水平尚不平衡,部分分行内控薄弱,存在内控盲点。目前,全行内控工作重点主要放在国内分行;在未来,我行需就包括海外分支机构以及控股子公司在内的中国银行集团的内控工作作整体性的安排。
三、提升内部控制竞争力应考虑的主要因素
在提升内控竞争力的过程中,应着重考虑以下几个方面的因素。
(一)保证业务创新和发展
加快业务转型、抢占市场先机已成为国内各商业银行的一致选择,中国银行为了跑赢大市,必须不断创新、拓展市场,新的业务领域与产品创新必然会带来新的风险因素。因此如何使内部控制措施与具体业务的规模、复杂程度和特点相适应,以合理的成本实现内部控制目标,是我们需要考虑的因素。
(二)业务条线整合与组织架构改革
全行业务条线整合与组织架构改革工作已经启动,如何通过机制体制创新,创造性地解决内部控制管理、人力资源、内控激励约束机制等问题,同时又能防止出现管理漏洞,是一个复杂的系统化变革工程。
(三)IT蓝图实施
IT蓝图要到2008年底才全面上线,在IT蓝图完成之前,我行的信息系统仍处于分散状态,某些应用系统在全行存在多个版本,有的系统仍运行在遗留下来的过时的操作平台(如VSE),这种分散状态不仅造成了管理控制成本的上升,而且导致潜在的运行操作风险。IT蓝图全面实施后,如何保证系统的稳定与安全,如何提高IT系统对内部控制的支持功效,是我们需要考虑和面对的问题。
四、提升内部控制竞争力的措施全行的内控工作总体目标是:借鉴国际最佳实践,探索具有中国银行特色的内部控制与操作风险管理模式,努力构建具有市场竞争力的全面、系统、动态、主动和可证实的内部控制治理框架,保证业务得到全面、协调和可持续发展。
围绕上述目标,我们将从提升治理能力、流程能力、基层控制能力、IT控制能力等几个方面,着力采取以下措施提升中国银行内部控制竞争力。
(一)进一步完善内控治理框架和管理流程框架
建立全面覆盖总行、一级分行、二级分行和基层机构四个层级的分层监控管理体系和内部控制三道防线体系,完善我行操作风险管理流程、内控检查流程、内控整改流程、内控考核流程的管理框架。
(二)重点加强一道防线建设
推广落实基层经营性分支机构自查流程,形成有组织的、定期和经常性的、具有反馈机制、可验证的、同整改和培训相结合的一线自查制度,实现一道防线对风险的主动管理。通过建立员工合规档案、落实内控考核的激励约束机制、建立内控问责机制等措施,强化一道防线是“风险所有者”和“自己管自己”的职责。
(三)进一步完善二道防线建设
第二道防线通过建立和完善四大流程,即操作风险管理流程、内控检查流程、内控整改流程、内控考核流程,对一道防线进行指导、检查、督促和评估。充分利用内控委沟通协调的平台作用,解决重大内控问题,及时推出适应本行战略和业务发展需要的内控措施,并定期评估内控措施的有效性和适当性。
(四)深化三道防线建设
第三道防线应对全行内控的充分性和有效性进行独立检验和评估,定期与二道防线的前头部门和业务条线管理部门沟通、及时反馈检查结果、共享检查经验与成果。
三道防线应与二道防线、外审内控检查统一内控环节检查要点,在一致化、标准化的内控管理语言和内控环节基础上,统一评价标准,促进全行内控管理目标一致、内控管理步调一致,提升内控体系的整体竞争力。
(五)着手解决屡查屡犯问题
解决屡查屡犯问题是提升我行内控竞争力的一个重要突破口。下一步将从研究各种屡查屡犯的案例着手,深入基层调研,分析在人员、系统、流程等方面存在的深层次问题,找出原因,着力探索解决屡查屡犯的有效办法和途径。
(六)提升集团内控监督能力
提升集团总部的内控监督能力,总行要将内控管理全面覆盖境内分支机构、海外分行、海外附属行及附属公司。要根据集团整体战略,综合考虑境内分支机构的内控管理现状、管理需要、监管环境等因素,在确定内控管理集团战略的基础上,按照司法管辖区域的不同,采取分类管理的模式,对海外机构实施有效的战略控制、投资控制、财务控制、人员控制、信息控制、法律风险控制、考核控制,提升集团整体的内控管理能力。
提升一级行的管控能力和基层经营性分支机构识别和缓释风险的能力,一级行要解决“流程制度不便于基层员工理解执行”的问题,要将总行发布的规章制度和操作流程消化、整合、转化为基层员工日常操作时使用的“业务操作规程”,避免基层员工查找使用不便和规章制度信息层层递减。基层经营性分支机构要明确流程控制的负责人并做好培训,向责任人明确其应承担的内控责任;对流程制度的执行情况进行检查、整改、考核,该整改的要整改,该问责的要问责,必须树立规章制度的权威,切实解决有章不循问题,使内部控制真正在操作上得到落实。
(七)完善内控考核流程
下一步需从三个方面着手进一步完善内控考核流程。①完善总行对分行的考核模式,使考核既能反映分行内控工作结果,也能反映内控的管理过程;既能从正面激励分行的内控积极性,又能通过负项扣分机制对分行内控工作进行硬约束;既要使考核全面反映分行内控管理工作,又有重点突出,导向明确。②完善总分行条线部门的考核机制,强化对条线部门内控检查、整改、操作风险管理、合规等二道防线工作的考核,通过考核提升条线部门的内控监督能力。③总行要强化对分行建立合理有效考核模式的指导,着手建立分行内控考核模式的最低标准,促进各分行之间内控考核模式的一致性。
(八)加强IT系统建设
加强基础建设,加快建立案件库、整改问题库、检查信息库和规章制度等四大数据库。各业务部门在推出新产品、新业务及优化业务流程的过程中,必须充分注意贯彻内部控制原则,必须充分注意利用信息技术应用系统防范操作风险,在关键岗位设置有效的授权制衡和舞弊识别系统,实现不相容操作的分离和必要的岗位制约,减少干预业务流程的几率,确保银行的自身安全。
(九)提高内控条线人员管理能力
加强内控培训,内控培训应当具有针对性,根据上级管理者、基层网点负责人等不同层面的培训需求,合理安排培训内容:对省行和二级行管理者,重点培训内控管理模式、管理方法、管理工具,促进上级机构规范管理;对基层网点负责人,重点培训日常内控制度及标准化管理程序,促进网点负责人规范履职。
五、结束语
借鉴国际最佳实践,探索具有中国银行特色的内部控制与操作风险管理模式,努力构建具有市场竞争力的全面系统、动态、主动和可证实的内部控制治理框架,保证业务得到全面、协调和可持续发展。中国银行在实现上述内部控制目标的过程中,采取提升治理能力、流程能力、基层控制能力、IT控制能力等措施,不断提高中国银行内部控制竞争力。
随着IT蓝图的逐步实施,中国银行必将全面完成业务流程整合,有力推动并完善三道防线的内控体系,进一步提升公司治理的能力,则公司内部控制的核心竞争力必将充分显现。