银行内控制度的基本原则
1998年9月下旬,巴塞尔银行监管委员会颁布了“银行内控制度基本原则”的报告。在此之前,巴塞尔委员会对最近几年出现的一些问题进行了深入的研究和调查,发现几家大银行倒闭或出现问题的主要因素是内部控制系统出现了问题,这些问题表现在以下几个方:
第一,银行的管理层对银行经营缺乏控制和管理,在整个银行内部,缺少一种“内控文化”,权责不明确。
第二,对一些银行业务所涉及的风险没有足够的认识。一些银行的内控制度对于传统的业务非常有效,但是当银行涉足新的业务、新的领域时,管理层没有清醒的认识,使原有的内控制度随着情况的发展而变化。
第三,内控制度缺乏或者不够完善,在日常经营活动中,权力过分集中,没有有效的审批、确认和审核制度。
第四,银行的各级管理层之间缺乏信息沟通。上情不能下达,有关人员不清楚银行的经营目标和政策;下情也不能上达,基层的违规操作,董事会或高级管理层也不清楚,从而造成银行资产的损失。
第五,缺乏有效的稽查制度,银行的审计和稽核不严格,不能发现银行内控制度中存在的问题,即使发现,也没有有效的措施加以纠正。
内控问题本来属于银行内部的事务,从历史上看,法律一般不介入一个公司内部的事务,但随着经济的发展,公司本身的事务已经不仅仅对公司及其内部职员有影响,而越来越涉及公众和国家的利益。因此,各国监管机构开始探讨通过法律来对银行的内部控制进行规范和调整的可能性。1997年2月,英格兰银行颁布了《银行内控和第39条程序》( “Banks Internal Controls and the Section 39 Process”),同年6月,欧洲货币当局也发布了《信贷机构内控制度》报告( “Internal Control Systems of Credit Institutions”)。
在参考一些国家做法的基础上,1998年9月,巴塞尔银行监管委员会颁布了“银行内控制度基本原则”报告( Framework for Internal Control Systems in Banking Organizations),提出了银行内控制度的一些基本原则,为银行内控制度的建立提供了一个基本框架。巴塞尔委员会颁布这份报告的目的在于:希望世界各国的监管机构以此为基础,根据这些指导性原则,建立本国内控制度的框架,从而有利于建立一个稳健、规范、有效的国内和国际银行体系。这一报告已经提交给世界上各主要的银行监管机构进行讨论。如果被该国中央银行接受,纳入本国的法律,那么内控制度是否完善就可能成为各国银行法中新的组成部分。这些原则一共13条,分为5个方面的内容,本文将对这些原则进行简单的介绍。
一、内控文化方面
巴塞尔委员会在内控文化方面提出了三条原则,分别涉及董事会、高级管理人员和公司内控文化。
原则1:董事会有义务批准、定期检查银行的经营策略和重要政策;了解银行经营中的风险,明确可以接受的风险程度,确保公司的高级人员采取必要的步骤,识别、衡量、监测和控制这些风险;审核公司的组织机构;确保公司的高级管理人员对内控制度的有效性进行监测。董事会最终有义务建立和维持完善、有效的内控制度。
原则2:高级管理层有义务实施董事会批准通过的经营策略和方针;制定和完善有关的制度和程序,用以识别、衡量和监测银行业务中的风险;建立和完善内部组织结构,明确相互的权力和责任;确保赋予下级的任务能够得到有效的执行;制定适当的内控政策;对内控制度的有效性和是否完善进行监测。
原则3:董事会和高级管理层有义务促进银行内部职业道德水平的提高,在银行内部建立一种控制文化,向内部各级职员强调和宣传内部控制的重要性。银行的所有职员都应该了解各自在内控制度中的作用,全面投入内控制度的建设。
董事会对于银行的内控制度负有总的责任,董事会成员都应该是合格的专业人士,在有的国家,董事会中必须有一些成员来自银行之外,不参与银行的日常管理,成为独立董事。在董事会的组织机构方面,有的国家要求董事会建立独立的稽核委员会,专门负责内控制度的完善。建立独立的稽核委员会,主要目的在于对有关的报告进行详细的审查,而不必占用所有董事的时间。稽核委员会直接同银行的内部稽核部门保持联系,同时也同外部稽核人士保持联系。
高级管理层具体执行董事会的决议,包括执行有关内控制度的决议和政策。高级管理层要采取具体措施确保从事内控工作的职员得到恰当的报酬,定期对其进行培训,制定内控部门工作人员的薪金标准、提升标准和奖励标准,从而提高工作人员从事内控工作的积极性。
不管是董事会,还是高级管理层,还是一般的员工,都应该在银行内部营造一种“内控文化”。董事会和高级管理层要通过自己的言行,向广大员工强调内控的重要性;广大员工也要形成内控意识,在经营中遇到的问题、违规操作的情况、以及违法行为都要及时向上反映,银行要通过书面文件加以确认,形成制度。应该注意的是,银行的各级组织在制定其目标或政策时,要避免一些负面的影响,比如过分强调业绩或经营成果,尤其是短期成果,从而忽视长期风险;薪金和奖励政策过分强调短期的业绩;责任分离不够,造成滥用银行资产,隐瞒损失等等。
二、识别和评价风险
原则4:为了建立一个有效的内部控制制度,必须有效识别和持续评价有关风险,特别是对银行经营目标有负面影响的重要风险。银行面临的其他风险也必须进行评价(主要包括信用风险、国家和支付转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险)。内控制度还必须随时加以修改和完善,对新的或者以前没有控制的风险进行控制。
银行是风险行业。内控制度必须对风险进行识别和评价。识别风险时必须考虑银行的内部因素,银行内部机构组织的复杂性,银行业务本身的特点,职员的素质,机构的变化和人员的流动等等。此外,还必须考虑外部因素,如外部经济形势的变化,各行业和技术的发展等等。这些因素都有可能影响银行的经营。在识别和评价风险时,既要衡量每一个具体的业务的风险,也要衡量银行各项业务和领域的风险;既要对那些可以加以量化的风险进行识别和评价,同时也要对不能量化的风险进行识别和评价;既要确定哪些风险是银行能够控制的,也要确定哪些风险是银行不能控制的;对于不能控制的风险,则要决定是完全撤出该领域,还是减少业务量。此外,银行还要使风险识别适应新业务的发展,如使用一些新的金融创新工具或进入新的市场时,都必须随之完善相应的制度。
三、内控措施和责任分离
原则5:内控措施应该成为银行日常业务中不可分离的一部分。一个有效的内控制度应该首先建立一套适当的内控结构,在银行业务的每一层级都有明确的内控措施。这些内控措施包括:高层审核、不同部门采取的内控措施;对是否遵守风险头寸进行检查,并在出现违规情况时进行监督;建立审批、授权以及核实制度。
原则6:为了建立有效的内控制度,必须建立适当的责任分离制度,银行职员不能承担有利益冲突的工作。对于潜在的利益冲突,必须加以识别,尽可能降低到最低限度,并且进行仔细地、独立地监督。
根据风险识别和评价的结果,银行采取相应的内控措施。这些措施涉及银行的各个层级,这些措施主要包括:第一,高层审核。主要是董事会和高级管理层的审核,经常性地要求各级组织、机构和人员提供定期或不定期业绩报告或述职报告,在审核和检查中发现的问题,必须要求下级部门采取相应的对策和防范措施;第二,业务控制。主要指银行各级部门和分支机构在每天、每周和每月的日常业务工作中所采取的内控措施。比如,信贷部的经理对收回的贷款、拖欠的贷款、利息收入等情况每周进行详细的审核,而更高一级的经理则每月就下属各个部门的情况进行审核,对日常业务进行有效的控制;第三,实际控制。主要是对一些现金和证券资产要加强保管,限制接触这些资产的人员,设置双人保管,定期检查等制度;第四,设立和遵守风险头寸管理制度。在风险管理中,对银行在经营业务中所暴露的风险规定一个谨慎的限度非常重要。常见的比如对同一借款人的限制等等。如果没有遵守这些限度,则应立即采取相应措施;第四,建立授权和审批制度。对于业务的范围应该有明显的授权和审批制度;第五,建立核实制度。对交易和业务详细情况和风险管理的结果进行审核,定期检查现金流量,及时发现问题。
以上所有这些制度都应该是银行日常业务的一部分,而不是独立于日常业务之外的专门措施,这样才能对外部的变化作出迅速反映,避免不必要的损失。在具体操作方面,则要注意日常业务活动中责任的分离。有的职员同时在同一交易或业务中承担若干工作,既由其交易,又由其审核,就难免造成为了个人的利益,篡改有关的资料,隐瞒损失。因此,必须在以下一些方面将责任分离,不同的工作由不同的人承担:批准划拨资金和实际划拨资金;代理客户的帐户和自己的帐户;正式向客户提供信息、建议和向同样的客户销售有关的金融产品;贷款文件的审查和监督借款人还贷;其他存在利益冲突的领域。
四、 信息及其沟通
原则7:有效的内控制度同时也应该是一个有效的信息数据系统,掌握全面的内部财务、经营、监测信息,以及对内部决策有关的、反映重大事件和条件变化的外部市场信息。信息本身应该是及时可靠的,随时可以获得,并且前后一致。
原则8:有效的内控制度要求银行必须建立可靠的信息系统,反映银行所有重大业务的情况。所有的信息,包括以电子方式持有和使用的信息,必须保密,独立监测,并且在意外事件发生时,有完善的措施作为备用手段。
原则9:有效的内控制度必须有有效的信息沟通渠道,保证所有银行职员充分了解和遵守涉及其责任和义务的所有政策和程序,保证其他有关信息能够向恰当的人员沟通。
为了使银行的内控制度能够有效运作, 银行内部必须建立一套与信息处理有关的内控机制。随着信息技术和计算机的广泛应用,对于电子信息系统和使用信息技术的风险也必须得到有效的内部控制。从目前而言,对信息系统和技术的控制包括两个层次:第一,中央控制,即银行中枢要有程序备份,软件开发和使用的规章,设备维护规定,安全防范规定;第二,应用控制,主要是在计算机应用程序中设计的与交易和业务活动和有关的控制措施。尽管如此,还是有一些情况是银行无法控制的,因此,还必须建立一套应急的机制,一旦发生突发事件,能够随时应急。
此外,有效的银行信息系统还必须保证信息在银行内部得到有效的流动,银行自身的组织结构要能够促进信息的纵向和横向流动。
五、 对内控制度的监测
原则10:应该对内控制度是否有效进行持续的监测。对主要风险进行监测应该成为银行日常业务活动组成部分,同时,还应由业务部门和内部稽核部门对其进行定期评价。
原则11:内控制度还应该包括完善有效的内部稽核制度,由独立的,经过良好训练的合格职员从事内部稽核工作。内部稽核是内控制度中监测工作的一部分,应该直接向董事会或其稽核委员会报告,向高级管理层报告。
原则12:对于内控制度中的缺陷,无论由业务部门、内部稽核部门或者其他职员发现,都应该及时向适当的管理层报告,并加以及时处理。内控制度中的重大缺陷应该直接向高级管理层和董事会报告。
由于银行处在一个不断发展变化的环境中,对于内控制度本身是否有效也应该进行持续的监测。监测包括两种方式,一种是将监测融于日常的业务之中;另一种则是对内控制度进行单独监测和评价。这种监测可以由不同的人员进行,包括业务人员、财务人员和内部稽核人员。不同类型和不同级别的人员分别对自己领域的内控情况进行监测和评价,定期向有关的管理部门汇报。
其中,内部稽核部门在保证内控制度的有效运作方面起着非常重要的作用。内部稽核部门应该保持独立,直接向董事会或其稽核委员会,或向高级管理层报告,一旦发现缺陷,应该及时报告,高级管理层有义务建立一套机制来及时接受报告和纠正所发现的内控制度中的缺陷。
六、 监管机构对内控制度的评价
原则13:银行的监管机构应该规定,所有银行,不管其大小如何,都应该建立有效的内控制度,同其业务性质、复杂性以及表内和表外业务中潜在风险相适应,并且随着银行外部环境和条件的变化而不断完善。如果监管机构认为银行的内控制度不完善,或缺乏有效性(例如,没有遵守本报告中规定的所有原则),则应该采取相应的措施和行动。
内控制度已经不仅仅是银行内部的事情,监管机构有权利和义务对银行内控制度的有效性进行监管。不仅要对某一银行内控系统是否有效进行总的评价,而且要针对一些高风险领域或地区,如利润过高、成长过快、业务创新或远离总部的地区等,进行特别监测,如果发现该银行这些领域或地区的内控制度不完善或有缺陷,有权采取相应措施,譬如通知或警告该银行,并监督银行改善其内控制度。
监管机构对银行的内控制度有效性进行监管,可以采取许多方式。可以通过审查银行内部稽核部门提供的报告来对该银行的内控制度进行评价,也可以聘用外部审计机构对银行或者主要业务领域的情况进行定期审计,也可以由监管机构进行现场稽核。