建立内部控制体系是企业管理一项重要的基础性工作。银行业是我国较早引入并推行内部控制体系建设的行业,1997年,中国人民银行发布了《加强金融机构控制的指导原则》,标志着内部控制体系作为一项风险管理工具被正式引入,经过几十年来的不断实践、优化,已成为我国银行业金融机构的风险管理重要基础。
中小银行由于经营规模、内部管理等方面的特点,对于内部控制的要求、流程等有其自身的一些特色,与业务发展目标的紧密程度相对比较高,本文就中小银行的内部控制体系建设进行了思考与探讨。
企业文化建设是内部控制发挥作用的基础
企业文化是一种务虚、柔性的规则,要把企业文化与刚性的内部控制规则结合起来,需要各级管理者和内部控制专业部门的共同努力,使之成为标准化的管理架构;同时,要解决在企业文化大背景下提升员工内控履职能力,使关键岗位人员对自身岗位风控职责、作业标准“知其然更知其所以然”,将风险意识内化为全体员工职业习惯;对不符合内控规则的行为应能及时识别并得到合理处置,形成有效的内部牵制,夯实管理基础,并发挥出对内部控制体系的引领作用。这不是一个专业部门所能完成的,需要从最高层做起,全员参与才能完成。
内部控制体系的核心是实现各项业务的全流程管理
中小银行内部控制目标是通过各项业务、管理流程有效控制来实现的。制度提供了各项流程的作业标准和职责分配,并不能自动落实到执行过程中;中小银行要建立、优化符合企业实际、可操作性强的内部控制体系,从流程入手,以全流程管理的思路展开内部控制关键点梳理,找到控制关键点,设计必要、够用的控制措施;在此基础上界定各控制点的作业标准、操作步骤并实现制度化。中小银行不像大型银行业务管理链条长、内部分工复杂、产品多样化程度高,不一定需要逐一梳理业务全流程,这需要有专业的团队、充裕的时间、大量的资源投入才能完成。
全流程管理容易出现的一个问题是,规则设计者往往是银行管理总部人员,习惯从银行内部的产品流程入手,而不是以客户为导向,很容易将控制标准局限在业务条线部门内部的职责范围内。内控缺失多数会出现在条线的结合部,比如常规信贷业务中的内控风险点往往出现在客户与银行、授信条线与运营条线的交互节点上,客户准入以及退出经常不会出现在流程管理视野中。这些需要多个业务条线参与的控制节点容易被业务主管部门选择性忽视。因此,作为“二道防线”的内部控制主责部门需要强化自身能力建设,从更高的视角、更宽的视野,及时发现流程管理中存在的问题,更有效地行使监督职能。
过度控制并非加强内控表现,不仅徒增成本,降低效率,更是内部控制体系低成熟度体现。中小银行应合理确定控制目标,梳理、权衡各业务流程关键控制节点,放松内控对风险水平、业务发展的影响程度,以定性、定量分析,合理界定控制目标、作业规则、监测体系和问责规则;同时,强化业务系统关键节点的刚性控制,减少人为操作影响程度,使其能实现监测和自动预警,确保操作过程可控制、可追溯、可检查。中小银行要常态化开展基于风险控制体系成熟度的内控有效性评价,强化精细化管理;通过流程再造减少内控缺失项,为实现经营目标提供更有效的保障。
内部控制体系的完善程度应与业务结构相适应
中小银行的业务结构相对比较简单,与之相适应的是组织架构也相对比较简单。事实上,内部控制本身就是一种风险,超前或滞后于当下中小银行业务发展水平的内部控制都将损害其经营目标的实现。超前的内部控制将会使其经营部门失去发展机会,滞后的内部控制将无法有效防范风险的发生。此外,内部控制也并不能控制外部风险的侵害,不应过度扩大工具的作用,过度控制非但无益而且有害,更是风险管理体系的低成熟度表现。
银行业务的特点就是少量的业务品种大量重复发生,如网上转账交易、贷款等。在海量的数据面前,靠人工来及时获取内控规则执行信息已无可能,通过大数据系统及时发现执行与规则的偏离,精准定位风险信息,是中小银行内部控制体系建设中十分重要的工作。如何建设一个符合设计定位和管理需求的内部控制系统,是困扰从事内部控制实务的岗位人员的难题。实务中,中小银行内部控制的成效很大程度上取决于相关人员的职业判断,但这种经验积累是很难通过大数据来处理。当前,中小银行的各种风险管理系统建设比较多,不仅浪费资源,也使得各类风险管理工具之间出现条线分割,这有悖于内部控制整合框架的含义。
在内部控制系统建设方面,中小银行要把各项控制要求整合到业务系统中;同时,要能及时把违背控制规则行为及时作出预警。在信息反馈与沟通功能上如何实现,需要中小银行相关业务部门与内部控制部门实现方法上的整合和系统的融合。从某种程度上可以认为,内部控制体系无须单独建立系统,而每一个系统均应体现内部控制要求。
银行是经营风险的企业,内部控制是风险管理基础,为各类别风险管理提供必要的流程保障、信息保障、规则保障。而风险分级分类是实现有效控制的前提,对通过容错容缺机制进入中小银行业务体系的客户、业务进行标注,在业务信息发生重大变更时给予标识,并确保这些信息能被有效识别,保障风险隐患能被及时得到适当处置;同时,要防止过度控制、垃圾信息泛滥而掩盖真正有用的信息传递效率。
(作者单位:台州银行)