商業銀行內部控制
保證經營效果和效率的管理方法
內部控制是20世紀中葉隨著現代經濟的發展而建立起來的一個重要管理方法。美國權威機構COSO(The Committee of Sponsoring Organizations of the Treadway Commission)委員會對內部控制的定義是:內部控制是一種為合理保證實現經營的效果和效率、財務報告的可靠性及符合法律和規章制度三大目標的程序。
1998年1月巴塞爾委員會頒布的適合一切表內外業務的《內部控制系統評估框架(徵求意見稿)》,提出了新的內控定義,其中進一步強調董事會和高級管理層對內控的影響,描述了一個健全的內部控制系統及其基本構成要素,提出了供監管當局評價銀行內部控制系統的若干原則。
一、內部控制和商業銀行內部控制的定義
根據中國人民銀行2002年4月頒布的《商業銀行內部控制指引》的定義,商業銀行內部控制是:商業銀行為實現經營目標,通過制定和實施一系列制度、程序和方法,對風險進行事前防範、事中控制、事後監督和糾正的動態過程和機制。
二、商業銀行內部控制的目標
巴塞爾銀行監管委員會把商業銀行內部控制的目標分解為操作性目標、信息性目標和合規性目標。操作性目標不只針對經營活動,而且包括其他各種活動,強調各種活動的效果和效率。信息性目標包括管理信息,明確要求實現財務和管理信息的可靠性、完整性和及時性。合規性目標也即遵從性目標,要求商業銀行遵從現行法律和規章制度。
我國《商業銀行內部控制指引》規定,商業銀行內部控制的目標是:
(一)保證國家法律法規、金融監管規章和商業銀行內部規章制度的貫徹執行;
(二)保證自身發展戰略和經營目標的全面實施和充分實現;
(三)保證風險管理體系的有效性;
(四)保證業務記錄、財務信息及其他管理信息的及時、完整和真實。
商業銀行應在相關職能和層次上建立並保持內部控制目標。內部控制目標應符合內部控制政策,並體現對持續改進的要求。在建立和評審內部控制目標時,應考慮法律法規、監管要求和其他要求,以及技術、財務、經營和風險相關方等因素,尤其應考慮監管部門的內部控制指標要求。內部控制目標應可測量。有條件時,目標應用指標予以量化。
三、商業銀行內部控制的原則
我國《商業銀行內部控制指引》規定,商業銀行內部控制應遵循以下基本原則:
(一)全面性。銀行的內部控制不是只針對某一方面進行的,而應當滲透到商業銀行的各項業務過程和各個操作環節,覆蓋所有的部門、崗位和人員。不能留有死角和空白,要做到無所不控。
(二)審慎性。內部控制應當以防範風險、審慎經營為出發點,商業銀行的經營管理,尤其是設立新的機構或開辦新的業務,都應當體現“內控優先”的要求。
(三)有效性。內部控制應當具有高度的權威性,真正落到實處,任何人不得擁有不受內部控制約束的權力;內部控制存在的問題應當得到及時反饋和糾正。
(四)獨立性。內部控制的檢查、評價部門應當獨立於內部控制的建立和執行部門,並有直接向董事會和高級管理層報告的渠道。
一、問題的提出及文獻綜述
我國商業銀行的內部控制始於20世紀90年代初期對獃滯賬的控制,1990年我國四大國有銀行的壞賬佔全部貸款的比例已經超過20%,連同逾期、展期的獃滯貸款總額占貸款總額的比例超過了70%,1991年末四大國有銀行的壞賬超過其自有資本,產生資不抵債。1992年美國COSO委員會頒布五要素的內部控制框架(簡稱COSO報告),引發了全球性內部控制高潮,也給我國商業銀行提出了建設內部控制制度的要求。到20世紀90年代中期,由於我國越來越多的國有企業不但不償還貸款,甚至連貸款利息也不支付,致使全國銀行業在1994年和1995年出現了全行業虧損,分析其產生虧損原因,主要是由於商業銀行缺乏有效的內部控制制度(趙文傑,1996),產生了過多的獃滯賬以及市場風險、信用風險和操作風險。為控制全球普遍存在的壞賬損失及其金融風險,1998年9月巴塞爾銀行業委員會發布了銀行內部控制系統框架(Framework for Internal Control Systems in Banking Organizations)。我國商業銀行也開始了全面內部控制建設,雖然對降低運營成本以及控制金融風險等方面起到了一定的作用,但並沒有改變我國銀行業獃滯賬過多的現象,1999年四大國有銀行的不良貸款總額超過1萬億元,2003年6月全國商業銀行的不良貸款總額達到3.2萬億元,這就不得不使我們反思商業銀行實施的內部控制制度建設還存在的許多難以克服的弊端。
為解決我國商業銀行實施內部控制制度低效的問題,理論界和實踐中都進行了深入的探討。陳元燮(1998)使用系統觀點分析了我國商業銀行的內部控制結構,指出控制信息不暢以及控制的手段和方法失效是產生內部控制低效的主要原因;王順(1999)從COSO報告的要求出發分析我國商業銀行的內部控制制度,指出監管不利以及約束失效降低了內部控制制度的作用;秦輝(2000)從農業銀行深圳分行實施內部控制的實踐出發,分析了商業銀行建立要素式內部控制模式的必要性;董青(2001)從工商銀行湖南省分行實施內控制度的實踐出發,在分析銀行業內部控制制度存在問題的基礎上,提出了商業銀行建立有效內部控制體系的要求;張明魁,任福堂(2002)在分析商業銀行內部控制目標管理的基礎上,提出了加強對商業銀行內部控制實施審計的要求;楊軍、陳朝豹(2003)重點對國有商業銀行的內部控制進行了分析,提出了構建要素式內部控制系統的初步設想;李明輝、王學軍(2004)重點研究了商業銀行內部控制的信息披露,指出對商業銀行特別是上市銀行,加強內部控制的信息披露,是提高內部控制效果的有效措施;周正兵(2005)通過對《商業銀行內部控制體系標準》編寫組組長王健豪先生的採訪,介紹了相關的標準並分析了制定商業銀行內部控制標準的重要性;余奇才、曾北川(2006)分析了《商業銀行內部控制評價試行辦法》,強調了商業銀行實施內部控制時進行評價的重要性。經過幾年來理論與實踐界的研究,已經明確了我國商業銀行進行內部控制制度建設的方向是要根據COSO報告以及ERM框架的要求建立要素式的內部控制模式,並且要打破傳統的平面式結構,構建多維內部控制框架。雖然許多專家、學者已經進行了深入的探討,但應如何構建這一模式到目前為止尚沒有一致的意見,需要進一步地探究。
構建適合我國商業銀行實際情況的有效運營模式是一項長期的任務,經過幾年來商業銀行不良資產剝離以及上市治理,不良貸款數額有較大幅度的下降,但仍不容樂觀。2006年第一季度境內商業銀行不良貸款總額仍有1.3125萬億元,據新聞報道我國1-9月份新增不良貸款金額近9000億元,這種現象除了制度方面的原因外,在很大程度上還是由於內部控制低效。我國商業銀行內部控制低效,在增加其市場風險和信用風險的同時,也在一定程度上促進了操作風險的產生(孫濤,2006)。從2000年到2004年我國商業銀行共發生涉案金額在百萬元以上的操作風險案件75起,其中人民銀行6起,農業銀行15起,建設銀行17起,中國銀行18起,其他金融機構10起,除涉案金額不詳的13起案件以外的其他案件造成國有資產損失高達24.15億元。因此,我國商業銀行加強內部控制建設的任務仍很艱巨。
自上世紀90年代以來,我國商業銀行在走向市場化的過程中開始實施內部控制,但隨著商業銀行內部控制的實施,金融風險不但沒有下降反而越控制越高。究其原因是多方面的,但其中重要的原因之一就是我國商業銀行傳統的內部控制模式存在著嚴重的問題,內部控制的思路和方式與金融風險的控制方向相背離,致使內部控制低效。在這種情況下,結合我國商業銀行風險控制的實際情況,借鑒國外金融風險防範的先進經驗,採用創新的手段和方法重構我國商業銀行的內部控制模式,並深入探索採用內部控制方式防範和控制商業銀行市場風險、信用風險和操作風險的有效途徑具有十分的重要性和迫切性。
二、商業銀行內部控制低效的主要原因
我國商業銀行傳統的內部控制由於受目標管理的影響,普遍採用了內容控制的方式,過度地強調目標的實現與控制,忽視了規範化建設,結果造成了短期有效之後的長期失效或低效,並因內部控制機構的設置、控制活動的實施以及內部控制的測試與評價,大大增加了管理成本。因此,分析我國商業銀行內部控制低效的原因,是提高內部控制有效性的基礎,根據我國商業銀行內部控制的實際情況,產生這種現象的主要原因表現在以下幾個方面:
(一)內部控制的條件尚不夠成熟
內部控制是一定的組織發展到一定程度提高管理水平的一種自然要求,它有許多基本條件的限制,主要包括:技術狀況、管理水平、人員素質、組織文化、經營規模以及運營效率等,它們必須要達到一定的程度才會有效。我國商業銀行由於受傳統管理方式的影響,以及長期的國家統管或干涉,致使資本運營效率十分低下。目前我國銀行業正在商業化改造過程中,市場營銷的觀念尚不夠成熟,特別是嚴重的富餘人員、臃腫的組織機構以及低下的工作效率,使得內部控制的效果大大低於這些問題所產生的費用超支,而使得內部控制必然產生低效。因此,商業銀行的內部控制應隨著控制環境的改善和條件成熟而逐步完善。
(二)忽視內部控制模式建設
內部控制是規範組織整體行為,提高整體管理效率和水平的一種管理方式,它的核心是構建一個有效的控制模式來規範和指導人們的控制行為和結果。商業銀行傳統的內部控制多採用頭痛醫頭、腳痛醫腳的打補丁控制方式,缺乏整體的控制思想和控制框架,主要採用目標控制的方法,以控制具體管理活動的內容為目的,過多地強調結果,不能夠注重內部控制的環境建設和過程建設,不能把內部控制要素與內容有機地結合起來,通過構建有效的內部控制模式來實現有效的控制,這在很大程度上影響了商業銀行管理者的控制觀念,致使商業銀行的內部控制活動長期在非規範的環境下低效運行。
(三)傳統的目標管理與COSO報告的要素控制框架產生矛盾降低了內部控制效果
從我國商業銀行風險管理的現狀來看,產生市場風險、信用風險與操作風險的主要原因是缺乏有效的內部控制系統來約束管理者和業務人員的行為。商業銀行在實施內部控制活動的過程中,由於受傳統目標管理的影響,過度重視內部控制目標的分解以及控制結果的考核與獎懲,這就促進了內部控制人員舞弊的動機與行為。當內部控制目標實現與要素控制的要求產生衝突時,由於利益驅動的原因會使得管理者和業務人員為實現預期內部控制目標而不擇手段,從而嚴重破壞內部控制的規範化建設,使控制活動常常失效,導致內部控制風險的產生。
(四)內容控制的模式必然導致內部控制的失效或低效
我國傳統的內部控制制度,把具體的經濟業務作為內部控制的主要內容,把實現與控制預期目標作為內部控制的核心,控制過程中將控制目標分解到各職能部門和相關人員,通過定期的考核與評價檢查內部控制的效果,這種以內容控制為核心的內部控制方式與COSO報告的要素式控制方式存在著根本的不同。要素式內部控制模式把環境和過程的規範化建設作為內部控制的主要內容,把構建內部控制模式作為內部控制的核心,注重的是長期控制目標的實現。相比之下可以看出,內容控制為核心的內部控制方式雖有利於短期控制目標的實現,卻忽視了內部控制環境和過程的規範化建設,失去了內部控制長期有效的動因。因此,最終必然會導致長期控制目標的失效。
(五)缺乏有效的內部控制標準和規範的控制程序
我國商業銀行的內部控制活動與西方國家相比起步比較晚,再加上多年來實施內容式控制模式,忽視要素式內部控制模式建設,存在著嚴重缺乏業務執行標準和綜合評價標準的現象,管理標準也多以規章制度為主,缺乏控制標準,而且內部控制程序也因缺乏要素控制的要求表現出明顯的不規範。根據COSO報告的要求,內部控制是以建立和完善內部控制標準為基礎的規範化管理方式,以檢查與評價管理者以及業務人員執行控制標準、修正與完善內部控制標準為重點,通過控制標準的制定、執行、修正與完善來規範人們的控制行為,通過人們行為的規範來實現控制目標。我國傳統的內部控制方式因控制標準的不完善和控制程序的不規範,使內部控制不可能實現程序化的優化運行,也就必然會導致內部控制的失效和低效。
(六)內部控制的測試與評價系統不完備
按照內部控制的要求,商業銀行必須要及時進行內部控制的健全性測試、符合性測試、實質性測試以及綜合評價,根據測試的結果採取相應的策略,以提高內部控制系統的有效性。由於我國商業銀行現行的內部控制採用內容控制的方式,在很大程度上存在忽視或缺乏內部控制的測試評價系統的現象,使得商業銀行現有的內部控制系統低效或流於形式。另一方面,我國商業銀行現有的控制目標考核評價系統,以完成預期目標為中心,主要考核和評價控制目標的完成程度,屬於剛性控制,長期的剛性目標控制必然會導致控制活動的失效,這就是目標控制的短期行為。
三、商業銀行內部控制模式的重構
我國商業銀行的內部控制系統需要根據COSO報告的要求重新構建,新的內部控制框架應該能夠克服原有內部控制制度所存在的種種弊端,並體現合理有效的原則在重構我國商業銀行內部控制系統的過程中,除充分考慮我國商業銀行內部控制的實際情況,借鑒國外內部控制的先進經驗,最大限度地克服現有制度的弊端之外,還要考慮2004年6月COSO委員會頒布的企業風險管理框架的要求,在內部控制五要素的基礎上增加目標設置、事件確定和風險應對。綜合以上分析,應構建我國商業銀行操作風險內部控制的動態系統(見下圖)。
(一)環境建設子系統是內部控制模式有效運行的基礎
內部控制環境在很大程度上決定著內部控制的實施效果,其建設目的是要塑造商業銀行的文化並影響其員工的內部控制思想。根據COSO報告的要求和我國商業銀行內部控制的實際情況,確定內部控制環境建設的主要內容包括:誠信機制與道德價值觀、員工能力的培養、領導機制與風格、經營方式與組織機構、責任與授權等。通過以上幾方面的建設,形成商業銀行風險控制的良性內部控制環境,並利用環境本身所具有的特定功能和作用,迫使內部控制事件及控制人員按照規範的行為和程序進行有效的工作,從而達到有效控制的目的。目前我國商業銀行內部控制的環境建設還比較薄弱,環境建設位於內部控制模式的外圍,它的完善程度對內部控制效果產生著重大影響。因此,環境建設是內部控制制度有效運行的基礎,也是完善內部控制制度需要長期建設的一項重要工作。
(二)目標管理子系統是內部控制模式的起點並決定著內部控制模式的方向
商業銀行內部控制的目標管理子系統是一個動態循環的過程,包括目標確定、目標的檢查與核對、目標的考核與評價以及目標改進等內容。目標確定是內部控制系統的起點,確定合理的控制目標是內部控制系統有效的基礎;目標的檢查與核對是根據內部控制實施效果進行的動態管理,用於調整內部控制環境適應控制目標以及檢查內部控制目標的實施情況;控制目標的考核與評價是對控制過程效果的綜合評價,主要用於檢查控制目標的實施情況;目標改進是一個反饋系統,主要是把考核與評價的結果反饋到下期的目標制定過程中去,用於修正下期控制目標。
(三)風險評估子系統是連接內部控制目標與控制過程的橋樑
在市場經濟條件下,風險和收益是一對矛盾,只有降低風險與提高效益同步進行,才能提高內部控制的有效性。我國商業銀行的內部控制系統以風險控制為先導,目的在於最大限度地減少內部控制的實施效果與預期目標之間的差距。這一子系統在內部控制模式中起著評估風險、修正標準和應對風險三方面的重要作用,評估風險是根據對控制目標和控制活動的比較分析進行的,通過選擇合理的程序和有效的方法,實施對商業銀行內部控制風險的評估,確定風險的大小;完成風險評估以後,首先根據所評估風險的大小,通過風險評估的標準修正內部控制過程的標準,以保證控制活動的有效性;與此同時根據風險評估的結果和控制目標的要求,將風險應對策略應用於內部控制過程,以最大限度地減少內部控制風險。
(四)過程管理子系統是內部控制模式的核心
商業銀行內部控制過程管理子系統包括:控制標準的制定、設置控制系統、執行控制系統以及必要的結果檢查等。控制過程是內部控制系統的核心,也是降低商業銀行風險的關鍵,根據COSO報告的要求,有效的內部控制是以要素控制為主體的控制系統,在這個控制系統中以環境建設為起點,以控制過程為核心。因此,內部控制的過程管理在控制系統中具有重要的地位。在這個子系統中制定標準和檢查標準具有特殊的意義,子系統的設計及執行必須要充分考慮控制標準的特點及性質,並以風險評估的結果為依據考慮內部控制測試與評價的要求,以保證控制系統的有效性。
(五)信息與溝通子系統是保證內部控制模式有效運行的重要手段
根據有關學者的研究,加強對商業銀行內部控制信息的披露,有利於提高內部控制的效果。商業銀行內部控制的信息與溝通子系統,把商業銀行內部控制的內部信息與外部信息聯繫在一起,通過信息的傳遞、接收、整理與使用協調控制過程的各種矛盾,減少內部控制中的各種摩擦,通過信息渠道還可以及時傳遞各種內部控制信息,實現有效的溝通,以減少因缺乏溝通而產生的風險。以上構建的內部控制框架採用雙向的信息傳遞通道,利用信息通道把內部控制的諸要素有機地結合起來,以便於內部控制部門及人員之間的溝通,同時又能夠把每一個要素或過程的實施效果信息反饋到前一個要素或過程,以提高內部控制模式運行的有效性。隨著我國市場經濟的發展,商業銀行內部控制系統中信息與溝通的作用越來越大,加強商業銀行內部控制模式中的信息與溝通子系統建設,對提高內部控制的有效性以及減少商業銀行風險損失等都具有十分重要的現實意義。
(六)監督子系統是內部控制模式有效運營的重要保障
商業銀行的內部控制監督是指對實施內部控制人員的行為以及內部控制的設計和運作的過程,按照預期目標或控制標準所進行的監視及督察。監督活動一般由持續監督和個別評估所構成,持續監督是對內部控制活動的過程實施的不間斷的監督,屬於過程監督。個別評價是對內部控制的特定事件或結果進行的控制性評價,屬於重點監督。商業銀行內部控制的監督子系統也是一個動態的過程,對內部控制的整個過程和全部內容實施控制,並不斷地把監督的信息反饋到內部控制的有關環節,以進行有效的商業銀行風險控制。因此,它是促進內部控制有效運行的重要保障。
(七)測試與評價子系統是內部控制有效運行的有效措施
商業銀行的內部控制測試與評價子系統包括健全性測試、符合性測試、實質性測試和綜合評價。常規的內部控制測試與評價不進行實質性測試,當商業銀行的健全性測試或符合性測試不能通過時,才需要實施實質性測試。商業銀行內部控制的測試與評價是內部控制系統的有機組成部分,也是促進其有效運營的一個有效措施。為提高商業銀行內部控制的有效性,就必須要加強內部控制測試與評價的規範性。
四、主要研究結論
商業銀行實施內部控制的主要目的是為了規範人們的行為,最大限度地降低風險。根據COSO報告和ERM的要求,提高內部控制有效性的關鍵是要首先建立一個有效性的內部控制模式,利用控制模式的約束來規範人們的行為,達到實現內部控制目標的目的。通過對商業銀行內部控制模式構建進行了深入探討,本文主要得出以下幾方面的結論:
1.形成內部控制的原因是多方面的,但採用以目標控制為導向的內容式控制模式是內部控制最終失效或低效的主要原因,解決的主要方法就是要構建要素式的內部控制模式框架。
2.我國內部控制的有效模式應該是目標管理與要素式控制的結合。目標管理是我國商業銀行長期實施內部控制的經驗,雖有缺點但不能拋棄。COSO報告的五要素框架與ERM的八要素框架雖然在國外比較成功,但有一些內容不適合我國國情,也不能照搬,合理的作法是謀求二者的統一和融合,構建適合我國國情的新型內部控制模式。
3.把商業銀行的內部條件與外部環境結合起來,構建層次化的內部控制模式。提高商業銀行的內部控制效果,首先要通過對內部條件的優化組合完善商業銀行的內部控制環境,利用規範的控制行為保證控制目標的實現;其次把內部條件和外部環境結合起來,根據外部環境的要求完善內部控制標準,逐步提高內部控制效果;第三個層次是要根據動態控制的要求,通過內部控制模式的有效運行,追求內部控制效率的最大化。
4.把COSO報告的五要素框架與ERM的八要素框架結合起來,構建階段化的內部控制模式。COSO委員會的ERM框架是在COSO報告五要素基礎上增加了目標設置、事件確定和風險應對三個要素形成的,但二者有著本質的區別:COSO是內部控制的基本框架;ERM只是企業風險框架。本文把二者結合構建了包含目標的制定、風險的評估、控制活動的實施、內部控制的測試與評價以及內部控制目的考核與評價五個發展階段的內部控制動態框架。
5.內部控制動態模式的構建只是提高商業銀行內部控制效果的起點,不是終點。本文構建的商業銀行內部控制動態模式只是一個基本框架,還有許多內容需要進一步地深入研究。這一模式的運行具有多種方式,同一種方式在不同的環境下運行的效果也存在著很大的不同,而且控制模式本身還存在著許多不完善的地方,需要廣大同行更密切地關注這一問題,共同對這一問題進行更深入地研究,以徹底解決商業銀行內部控制低效問題。