1、西方商业银行内部控制制度现状及启示
商业银行作为一国重要的金融基础,在国民经济发展中的作用是非常巨大的,因此,商业银行的内部控制受到各国的重视,西方发达国家的内部控制管理机制和管理制度经过多年的发展日臻成熟,按照《巴塞尔协议》的要求,结合本国的实际情况,形成了具有不同特色的内部控制体系。当前对商业银行内部控制体系的监管已成为西方国家监管当局考核商业银行市场准入的一项重要准则。学习西方国家商业银行的内控制度,对于我国商业银行内控体系的完善具有很大的借鉴意义。其中最具有代表性的是德国典型全能银行制下的内控制度和美国分业监管下的内控制度。
1.1德国典型全能银行制下的内控制度
在战后欧洲的金融发展中,德国堪称稳健发展的典范,而德国的金融监管更是独领风骚,其金融监管最主要的特点,主要表现在两个方面: 1.1.1分工明确和互相协作的金融监管组织体系
德国的银行业虽然实行全能银行制,银行除了经营传统的业务外,还兼营保险、证券、投资等其他非银行业务。然而,银行的兼营业务与银行业务是分开进行单独核算的,所以政府对其监管也分别由不同的部门进行。如对保险业和证券业的日常监管,由联邦保险监管局和联邦证券监管委员会来实行,而联邦金融监管局,则负责对银行和其他非银行金融机构(保险、证券除外)实施监管。它们均隶属于财政部。此外,德意志联邦银行(中央银行)、州中央银行协助联邦金融监管局实行行业监管。联邦金融监管局、联邦保险监管局、联邦证券监管委员会和中央银行既明确分工,又互相配合,构成了德国完备和多层次的金融监管体系。 1.1.2健全完善的金融机构内部控制制度
长期以来,德国非常重视银行内控机制的建立,为了防范经营风险,各银行均建立健全了内部控制体系和有关制度,主要是建立内部审计机构、风险管理机构和证券监管机构。
第一、内部审计机构。各银行一般均设有内部审计部,通过内部稽核,及时发现问题。银行所有权人可以监督经理人,以此实施有效的监管,防范经营风险。
第二、风险管理机构。银行建立了一套有效的风险管理机制,银行董事会、市场风险管理部、各业务部门、审计部门都分别对风险负有明确的职责。董事长负责整个银行的风险管理,确定风险及其上限。银行每天通过数学计算方法确定风险的大小,如超过了规定的风险上限,董事会将马上采取措施降低风险。
市场风险管理都是银行专门负责风险管理的职能部门,负责制定衡量市场风险的指标,对各业务部门进行检查、监督,随时提供风险信息。同时,建立一些数学模型来预测和计算风险。通过进行量的分析到质的定性,提出降低风险的措施,及时向董事会报告。各业务部门要预测本部门业务范围内的风险上限,定时进行检查,发现风险及时采取措施,并向风险管理部报告。内部审计部门则通过每天计算风险情况,并将风险所处的状态报告有关部门和董事会。
第三、证券监察部。德国1995年实施《证券交易法》,并成立了联邦证券监管委员会.为了配合实施《证券交易法》和联邦证券监管委员会的有效监管,各银行都依法成立了证券监察部,具体负责对本银行证券经营业务活动的监督。
,德国金融监管在内部控制上最突出的特点是“四只眼原则”(也称双人原则),也就是业务交叉核对,资产双重控制和双人签字。在德国联邦金融监管局颁布的《对经营金融交易的信用机构业务管理的基本要求》中详尽地展示了这种“分而治之”的原则.在《基本要求》关于操作程序的监督与牵制中规定:各项交易活动必须有明确的职能分工,包括四个层次:一是一线交易,二是后线结算,三是会计审核,四是监控。最低要求是一线交易与其它职能部门要分开,即使是交易管理人员也必须遵守这个原则。在一个职能部门中,相关但不同的工作要有不同的人员做,以确保相互的业务监督牵制。使用自动数据处理系统时,要有相应的程序来保证实施监督数据处理系统中输入人员要与交易、后线结算分开,会计审核要与业务监控人员分开。任何数据内容的修改,由处理系统自动记录在案。为控制与交易业务相关的风险,每个业务部门必须建立一个用于测量和监控风险头寸和分析潜在亏损风险大小并对其进行控制和管理的系统。风险控制人员要与一线交易人员分开,头寸权限由管理人员授予,交易产生的风险要及时得到监控,要有一名管理人员专门负责风险控制和管理工具,并且他本人不介入每天的前线交易。 1.2美国分业监管下的内控制度
美国联邦储备体系十分注重银行业的内部控制工作,其对内部控制定义为:内部控制是组织计划和在业务中采用所有协调方法和手段,旨在保证资产的安全、检查其会计资料的精确性和可靠性、提高经营效率、激励坚持既定的管理政策。这一定义大大扩展了内部控制的范畴,它把内部控制的职能延伸到与会计和财务部门直接或间接相关的职能中。其=内部控制不仅仅是对人员、风险、从业范围、制度和工作程序的监督管理,而且是一个包含了预算控制、标准成本、定期经营报告、统计分析等在内的内部控制与稽核相统一的系统。因此,银行稽核职能的发挥是评价其内部控制系统的重要尺度。
1993年5月11日,联邦存款保险公司董事会批准了执行《1991联邦存款保险公司改进法》第十二条中的内容,要求银行就其内部控制和守法情况以及经稽核过的财务报表档案向联邦存款保险公司和联储等管理机构报告,这些银行应设立由独立的外部董事组成的稽核委员会。大银行和稽核委员会中至少有两名成员要具备商业和金融方面的管理经验,并且这些成员不能是该银行大客户中的雇主或雇员。
美联储要求银行内部的稽核审计人员负责监督银行在会计、经营和管理等方面是否健全和适当,以确保这些方面都正常运转,使银行资产免遭损失;同时,内部稽核还负有帮助制定新的政策和程序的义务,还应督促银行遵守法律法规,对现行的监控政策及程序有效性做出评价。为达到这一要求,美联储对银行内部稽核进行检查时,着重从内部稽核的独立性,内部稽核员是否称职、内部稽核的充足性和有效性几个方面入手,强化了内部稽核的功能。从其工作程序、业绩,尤其是专业人员素质这些非常细致入微的指标检查中,促进了银行业极其重视风险的内部控制。因为,一旦美联储认为某银行内部稽核报告不可信,那么,该银行的内部稽核工作在联储的综合评级中将处于极低等级,这对该银行的经营发展来说是非常不利的,因此,迫使银行重视内部控制,由此来实现金融监管的精神实质,把风险扼杀在萌芽状态。
2005年,随着花旗银行炒汇关联交易案等丑闻的曝出,美国银行业开始了以提升公司治理地位、培育治理文化、构建更为科学的权力制衡机制、强化内控等重点在内的公司治理改革。公司治理改革成为美国银行业自身发展的战略性问题,银行在经营中努力营造“重内控、防风险、合规经营”的企业氛围,采取严格的会计标准和信息披露制度,并严格设定组织机构的职责边界,维护良好的权力制衡机制,努力杜绝“内部人控制”现象。其中最重要的是强化内控体系和风险管理体系。
为了强化内控,美国银行业发布了专题报告《内部控制——一体化框架》,这成为美国商业银行内控方面最具有指导意义的标准。该框架将银行人员在内控工作中的责任划分为以下几个层次:
第一、明确基层的内控职责。业务经理与普通员工是执行内控的一线人员,责任重大。部门经理要抽出专门的时间考虑本部门的风险特征,决定能够接受的风险程度,确定适当的风险缓释措施,并确保本部门盈利。普通员工必须有能力对风险的性质进行判断,能够及时将那些不可接受的风险向相应的管理层报告。
第二、实行逐层报告制度。业务经理将自己职责范围内的风险暴露和控制情况向上级汇报,上级管理者在对自己管理范围的风险暴露情况进行考虑,并向上级报告。此过程如此反复直到执行官,最终向董事会的审计委员会报告。层层报告机制有助于加强管理者之间的交流,董事会也能及时了解那些影响全行风险暴露、风险偏好和风险控制的重大事项。 第
三、顺应业务拓展的新要求。业务快速发展、引入新产品和新分销渠道容易对银行的内控产生压力和挑战,如果盲目拓展业务而事先缺乏周密的考虑很可能给银行带来巨大的风险。在进入新领域之前,董事会和管理层需要审慎考虑可能遇到的风险及新业务可能带来的利益冲突等问题,在此基础上判断银行是否已经具备了防范这些风险的能力,是否在可能发生利益冲突的业务之间建立防火墙。
第四、革新风险管理体系。随着衍生品的日益增多,银行面临的风险状况日益复杂,风险管理得到了监管部门和银行的普遍管制,美国银行业发布的《全企业风险管理》更新了银行的风险管理观念,强调了风险管理的防御功能。它为企业提供了一种全新的风险管理理念和思路,其最突出的特点就是不再对风险进行分单位的割裂管理和考虑,而是将企业的不同单位视为一个整体,考虑其中一个单位的风险暴露与风险控制对其他单位的运营,甚至对整个企业的运营产生怎样的影响。银行开始用全公司视角代替单一业务线或单一功能的特定视角,在整个组织内确认、管理风险,有利于提高治理水平,强化风险管理的防御功能。事前防御胜于事后补救,好的风险管理方法应当能够起到有效防御的作用,确保企业在新产品推出前就具备了应有的控制,确保董事会和高管层已经清楚地了解了新产品、新业务的性质及其将对企业风险状况产生的影响。董事会和高管层在制定战略计划时,必须将风险控制作为战略性问题加以考虑,在拓展新业务前要仔细斟酌新业务带来的主要风险是什么、银行愿意接受的风险暴露是多少、怎样才能有效控制这些风险等。
第五、重点管理操作风险。随着进入组织复杂程度的提高、产品和服务种类的增多、商业过程的演进以及所处环境道德约束的变化,操作风险逐渐引起了银行的关注,一方面,银行对高管人员进行权力制衡,充分发挥内、外审计的作用,对高管层的财务报告进行验证,对违规违法的高管人员进行严厉惩罚。另一方面,银行开始在高风险业务领域建设必要的管理信息系统,为董事会和高管层提供信息进行监督。 1.3 英国银行内控机制模式 1.3.1 英国的银行内部控制研究
英国的内部控制研究发端于20世纪80、90年代,当时英国假帐盛行,因控制失灵导致的公司经营失败层出不穷,很多公司面临着严重的信任危机。英国会计界为此成立了多个专门委员会,进行公司内部控制和治理结构改革的专题研究,并形成了多份研究报告,其中最有影响的是1992年发布的《卡德伯利报告》(Cadbury Report)、1998年发布的《哈姆佩尔报告》(Hampel Report)和1999年发布的《特恩布尔报告》(Turnbull Report),它们也被称为是英国公司治理和内部控制研究史上的三大里程碑。 《卡德伯利报告》的发布在一定程度上解决了董事会监督约束公司财务会计记录的具体制度设计的问题。这份报告认为,有效的内部控制是公司治理结构的重要一环,并且,为避免董事会和董事串通一气,联合舞弊,而创设了“内外双重审计”的制度。这一制度设计要求董事会向公众或监管机构出具正式的内部控制评估报告之前,该报告必须经内部审计师和外部审计师的双重审核。这样,就最大限度地避免了董事会、董事甚至内部审计人员串通舞弊的可能性。《卡德伯利报告》在许多方面开创了英国公司内部控制的先河:如要求在董事会下设专门的审计委员会;强化内部审计在公司治理和内部风险控制中的作用等等。其中一些制度和原则,还沿用至今。因此,英国的商业银行内控模式也被称为卡德伯利(Cadbury)模式。
1998年发布的《哈姆佩尔报告》指出内部控制的目标在于保护资产的安全,保持正确的财务会计记录,保证公司内部使用和向外部提供的财务信息的准确性。该报告将内部控制的范围由原先的财务控制扩展到全面的业务控制,并重申了董事会和董事的风险管理职责,不再要求董事会和董事对内部控制的有效性承担绝对的担保责任,而仅对内部控制的有效性作“合理保证”,即排除了在董事会和董事均恪尽职守的情况下仍不能发现的一些内控失灵问题,如操作性失误、系统性风险等。
1999年,英格兰和威尔士特许会计师协会成立了以特恩布尔(Nigel Turnbull)为主席的十人工作小组,公布了名为《内部控制综合准则董事指南》的报告,即《特恩布尔报告》。该报告主要为董事会和董事履行内部控制职责提供可行性操作标准。其主要内容包括:董事会必须对公司内部控制系统的建设负总责,尤其应关注风险管理的核心问题;高级管理层是内部控制的具体执行者,应承担执行和评价内部控制机制的具体职责;公司员工有义务将内部控制与其日常业务结合起来,他们应具备必要的知识、技能、信息和授权,以参与、控制和监督公司的内部控制系统。 1.3.2英国银行内部控制的改革
在20世纪90年代之前,英国沿袭其传统的自律性、非制度化监管方式,全国金融机构和业务虽然统由英格兰银行负责监管,但英格兰银行并不通过制定监管法律和规则、下达指令等外部约束措施监督金融机构的业务活动,而习惯上采取“道义劝说”、“君子协定”等弹性很大的非规范性方式实现其监管目标。
在这样的背景下,银行的内部控制作为其“私法自治”的范畴,未受到来自监管机构的过多干预,实际上在许多银行中,内部控制机制不是缺位,就是流于形式,根本达不到监控风险的效果,这种状况成为导致1995年巴林银行的倒闭的主要原因之一。 事件发生后,英国监管当局进行了全面深入的调查,形成了一份300余页的研究报告——《巴林银行倒闭的教训》(Leons Arising From the Collapse of Barings),对改善跨国银行的内部控制,提高其风险防范能力提出了具体的建议和要求,包括管理层必须对其所经营管理的业务有充分的认识;银行内各项业务的职责必须确立并明示;必须建立专门的风险管理机制以应对可能的业务风险等措施。 1.4西方商业银行内部控制制度的启示
通过以上对主要西方国家商业银行内部控制制度的分析可以看出,这些西方发达国家的内部控制管理机制和管理制度,对于我国商业银行内控体系的建设和完善具有很大的启示作用。随着我国金融业改革开放的发展,中国加入WTO,我国商业银行与西方商业银行面临平等竞争的机会,加快我国商业银行内控制度建设将提上议事日程,因此,借鉴西方发达国家的银行内部控制制度的长处,根据我国实际情况有选择的“拿来”,这可以使我国早日与国际接轨,用当今最先进的标准和成功的经验来建设我国商业银行内控制度,增强我国商业银行的核心竞争力。
1.4.1组织结构和内部审计机构
西方商业银行非常重视银行内部组织结构的设计,做到职责分工合理,使银行能顺畅地运行和有效地执行领导者的管理意图。为防范各部门和银行员工因经营管理不善而产生隐瞒欺诈行为,一般还专门设立了独立于其他部门仅对银行最高级权力机构负责的内部审计机构。如美国花旗银行的组织结构中,董事会是全行最高权力机构,董事会领导下的行政总裁(行长)负责管理全行的业务运作,业务审计部和内部审计部则直接向董事会负责,并在全球设有若干业务审计及内部审计中心,分别负责花旗银行全球业务和内部管理的审计,从而保证本行内部监管机构的独立性和权威性。 1.4.2内部检查制度
银行内部检查是发现银行内部问题的有效手段,也是保障全行安全经营的必要措施。西方商业银行的内部检查有三个层次:一是总行业务部门对分行的检查,包括按要求报送的各种财务报表、专题报告、召开分行长座谈会听取汇报等;二是总行审计机构对分行定期全面检查和不定期专项检查;三是银行内部的自我日常检查以及聘请外部会计师查账。通过三层检查监督整个银行的发展状况,一方面避免重复检查并保证覆盖范围,另一方面督促各级管理者稳健经营,及时发现问题,保证业务正常发展。一 1.4.3业务部门和职责
西方银行的各职能部门具有相对的独立性,以达到内部控制所需要的双重控制和交叉检查效果,并对银行的每一项业务要求至少应有两个人或两个部门参与记录,核算和管理(即“四眼原则”)。如美国花旗银行中国部设市场部、业务部、财务监控部、质检部和信贷部等,当客户申请贷款时,市场部先对其资信进行详细的评估,再由信贷委员会的至少三个委员共同给客户核定一个授信额度,然后转给业务部开户,并由信贷部把有关客户的资料录入本行的贷款计算机管理系统。一旦客户获得信贷授信额度,具体办每笔贷款就由信贷部负责。信贷部人员首先进入贷款管理系统,查看客户的实际贷款余额有没有超过限额,审查客户贷款质量如何,最后决定是否给客户放款。这种模式保证了信贷管理的严谨、安全和效率。除此之外,财务监控部负责银行的资金头寸和相关财务指标的监控,同时对中国部和纽约总部负责。质检部负责银行日常审计工作,每日检查银行的每一笔交易记录,保证在有问题的情况下,分行可以及时发现并能在最短时间内纠正。 1.4.4授权审批程序
银行以安全经营为本,每一项交易一定要有不同的人进行审查和批准,并且任何人的权限都是有限的,因此,国外商业银行都设计了一套控制资产风险的授权审批程序,这突出表现在贷款管理和外汇交易控制上。以贷款管理为例,美国花旗银行对信贷的控制非常严格,实行了一套科学有效的贷款管理模式,可概括为审贷分离制、信贷授权审批制、三人信贷委员会批准制、企业授信额度制。信贷授权审批制是该模式中最关键的一环,即总行设有信贷政策委员会,负责审查决定全行哪些人有资格作为信贷委员会委员、并授权每个委员的贷款审批额度,同时明确规定企业授信额度必须由信贷委员会的至少三个委员批准签字,例如:南洋商业银行规定分行实行授信三级制,即由放贷主管、会计主管和分行主管分别签字批准,然后报总行审批;而住友银行实行逐级授权审批制度。 1.4.5会计控制体系
从某种意义上讲,会计部门是银行内部的第一监控部门,因此西方许多商业银行都赋予会计财务总监以特别的权力和地位。南洋商业银行下属分行设会计主管一名,受分行和总行财监处双重领导,负责审查分行报表、财务状况和银行的放贷额度,检查信贷部门的放款条件是否合
理,法律文件是否齐备,对不合格的贷款文件,会计主管可以拒绝签字,或向总行财务总监报告,此项贷款就不能执行。会计主管还有责任监督客户的贷款用款情况,如发现逾期或其他异常情况,可督促信贷部门采取必要措施,防范风险。 1.4.6计算机管理
西方商业银行普遍加强了计算机在内部管理上的应用,尤其是在信贷管理和国际结算方面,在一定程度上消除了因为个人的疏忽而导致业务的失误,并有效地防范了道德风险。花旗银行巨资健全内部的计算机管理系统,把本行的经营方针、政策及业务操作规程全部纳入计算机管理系统,不仅简单易行,而且安全可靠,从而保证了全行业务的正常运行和内部审计的及时准确,并将计算机管理系统的设计人员与操作人员及相关业务管理人员分开,以保证计算机管理系统被正确应用,可以这样说,计算机系统在内控上的应用是银行内部控制制度的一场革命。 1.4.7员工管理
西方银行非常重视对员工的管理,制定了一些措施规范员工的行为,使员工的行为按管理者的既定规程进行。具体的管理方式有:
第一、学习员工手册.员工一入行就须进行入行培训,认真学习员工手册,明确自己的责、权、利,明确自己的工作,不会无所适从。
第二、越级上报制。增加业务处理的透明度,要求员工坚守岗位,并对自己的岗位负责,如经理人员越权或违反行规发布指令,员工可以不执行,一并可向更高层管理人员报告,从体制上避免由于个人的独断专行可能给银行经营带来的风险。
第三、强制休假制。员工每年都有一定时期的休假期,并至少要连续休息超过一周,通过员工休假期间的顶岗或检查,防止出现业务人员长期作弊而不被发现.
第四、信息交流。西方商业银行比较重视员工之间信息的交流以及员工与管理者的沟通,沟通业务信息,交流工作情况以达到工作上的和谐,并促进信息的共享和业务的进步;同时,西方商业银行很重视各种培训制度、使员工能迅速学习和补充技能。例如荷兰银行深圳分行每周召开管理者讨论会和市场人员座谈会,充分交流思想,每月底召开员工大会,向全体员工通告一个月来的业务开展情况,培养员工的集体观念。
