对商业银行内部控制的新起点探析
摘 要:文章从主要精神、主体框架、具体内容、效力等四个方面出发,对该指引进行了重点解读,并认为该指引整体上已与国际惯例接轨,对我国商业银行建设全面风险管理体系有着深远的意义。
关键词:商业银行;内部控制;风险管理;巴塞尔新资本协议
Abstract: The article from the main spiritual, the main body frame, the actual content, the legal effect and so on four aspects embarks, has carried on the key explanation to this direction, and thought that in this direction whole with the international convention trail connection, has constructed the comprehensive risk management system to our country Commercial bank to have the profound significance.
key word: Commercial bank; Internal control; Risk management; Barthel new capital agreement
前言
为促进商业银行建立和健全内部控制,防范风险,保障银行体系安全稳健运行,在人民银行2002年9月19日发布的《商业银行内部控制指引》的基础上,银监会于2007年7月3日发布了《商业银行内部控制指引》(以下简称“指引”)。《指引》从我国商业银行内部控制实践的内在需求以及银行业监管机构的角度出发,对商业银行开展内部控制工作的目标、原则、内容、流程以及工具和方法等所有方面进行了详细规定,与此前央行版《指引》相比更加符合商业银行运作的特点,成为迄今为止商业银行内部控制领域最为详尽的指引性文件,代表着国内商业银行内部控制实践的新方向,《指引》的出台开创了我国商业银行内部控制改革创新里程中的新起点。
《指引》发布以后,引起了商业银行及学术界等各方面的关注和积极反应。笔者认为,在国内有些商业银行由于相关制度不健全,或者对制度执行缺乏有效监督,对不执行制度规定者查处不力,风险管理和内部控制薄弱,导致大案、要案屡有发生(参见银监会2005年3月7日出台的《关于加大防范操作风险工作力度的通知》),急需加强内部控制,切实提高内部控制与风险管理能力的背景下,《指引》的“适时”发布,对我国商业银行建设全面风险管理体系有着深远的意义,值得我们高度关注和深刻领会。
一、从《商业银行内部控制指引》的主要精神来看,充分体现了《巴塞尔新资本协议》全面风险管理的基本理念
全面风险管理是现代商业银行内部管理的核心,是商业银行风险控制的更高阶段,是动态的、全程的、计量的、立体的风险控制。巴塞尔银行监管委员会于2004年6月26日发布的《巴塞尔新资本协议》(全称是《资本计量和资本标准的国际协议:修订框架》)蕴涵了这种全新的风险管理理念,除详细论述了如何信用风险、市场风险和操作风险这三大类风险总的最低资本要求外,还提出了诸如法律风险、文档风险、流动性风险等其他风险。比如,该协议第690段明确提出,商业银行“资本评估程序应覆盖银行面临的所有实质性风险。尽管并非所有风险都可以精确计量,但仍然需要开发测算风险的程序。”第706段强调,“监管当局应评估银行的内部目标和程序是否涵盖了银行面临的所有实质性风险。”而且,虽然诸如声誉风险和战略风险在内的其他风险难以计量,但巴塞尔委员会仍希望银行业进一步开发出管理这些风险各方面的技术。《指引》从总体框架到具体内容,无不体现了《巴塞尔新资本协议》中全面风险管理的基本理念。
一方面,《指引》明确提出了“全面”的内部控制原则,并将其列为内部控制“四项基本原则”1的首位,明确要求“内部控制应当渗透商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查”。而且,《指引》强调,内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力。应该说,这些规定在制度层面上杜绝了像中行高山案2等案件发生的可能。同时,在内部控制架构上,《指引》要求商业银行“建立涵盖各项业务、全行范围的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。”
另一方面,《指引》对商业银行内部控制的作用对象进行了多角度细分。首先,在组织结构控制方面,包括公司治理结构、高级管理层控制责任、执行控制部门及部门控制技术手段。与央行版指引相比,该《指引》最大的不同,就在于重新划分了商业银行董事会、监事会、高级管理层各自在内部控制方面的职责3。其次,在业务运行控制方面,《指引》除对商业银行授信、资金业务、存款及柜台业务、中间业务、、计算机信息系统等六个主要业务或环节(《商业银行内部控制指引》第四条规定,商业银行内部控制应当贯彻全面、审慎、有效、独立的原则。)作出明确的内部控制具体规定外,还用一个兜底条款,明确要求对其他业务或环节也要按照该指引的要求建立和完善内部控制。第三,在内部控制监督与考评方面,确定了内部控制评价、纠正、后续行动与信息流动的控制机理,明确要求商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。
二、从《商业银行内部控制指引》的主体框架来看,大体借鉴了以美国COSO报告为代表的国外内部控制规范性文件的基本精神。
现代理论界对内部控制的定义各不相同,但最具权威性且被普遍接受的定义是美国 COSO委员会4对内部控制的定义。该组织认为,内部控制是由董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成提供合理保证的过程。同时,COSO委员会提出,内部控制的构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合,具体包括控制环境、风险评估、控制活动、信息和沟通、监督等五个部分,从而使内部控制构成了一个相对成熟、稳定的框架结构。
COSO委员会的内部控制理论得到了巴塞尔委员会的认同和发展。1998年9月,巴塞尔委员会颁布了《银行内控制度基本原则》5的报告,提出了银行内控制度的一些基本原则,为银行内控制度的建立提供了一个基本框架。巴塞尔委员会颁布这份报告的目的在于:希望世界各国的监管机构以此为基础,根据这些指导性原则,建立本国内控制度的框架,从而有利于建立一个稳健、规范、有效的国内和国际银行体系。在这份报告中,巴塞尔委员会进一步强调了董事会和高级管理层对内部控制的影响,强调银行的所有职员都应该了解各自在内控制度中的作用,全面投入内控制度的建设。
在国际权威组织关于内部控制定义的基础上,银监会在《指引》第二条中对内部控制作了如下解释:内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。同时明确规定,内部控制应当包括五个要素,即:(一)内部控制环境;(二)风险识别与评估;(三)内部控制措施;(四)信息交流与反馈;(五)监督评价与纠正。
对比国内外对内部控制的定义,我们可以看出,《指引》采用了国际权威机构关于内部控制的框架结构并全面涵盖了其基本内容,同时又结合了我国商业银行的内部控制实践,是国内外内部控制标准的集大成者。而且,在具体内容的阐述方面,《指引》并非完全照抄照搬国外的框架,而是根据我国实际情况作出了较大调整,脉络更清晰,技术手段更丰富,在表达方式上符合我国法规特点、文化传统和语言习惯,使国外提出的较为宏观、抽象的内控理念转变成具有针对性、实用性的内控规定。无论从国际惯例来讲,抑或从中国银行业公认准则来讲,依五项要素进行内部控制,是全面风险管理的一个立足点。
三、从《商业银行内部控制指引》的具体内容来看,体现了统筹兼顾、突出重点的基本思想。
根据《指引》第三条的规定,我国商业银行内部控制的最终目标包括四个方面,即:(一)确保国家法律规定和商业银行内部规章制度的贯彻执行;(二)确保商业银行发展战略和经营目标的全面实施和充分实现;(三)确保风险管理体系的有效性;(四)确保业务记录、财务信息和其他管理信息的及时、真实和完整。要实现这些目标,商业银行必须以各项具体的经营管理活动为载体,针对性地采取一系列具体的内部控制措施并确保取得实际成效。内部控制是否能够“见实效”,其前提是各项内部控制措施必须“可操作”,即必须结合银行的经营管理现状将内部控制的先进理论和做法变为可实际操作的流程、工具和方法。作为银行业监管部门的规范性文件,《指引》在这方面可以说下足了功夫,它不但是一个面向商业银行内部控制的整体框架性文件,更是一份经过多方实践和论证后的银行开展实际内部控制工作的可操作性指导范本。
比如,尽管近年来银行各项内控机制和风险防范制度在不断完善,但信贷资金违法违规案件仍层出不穷7,无一不暴露出银行内控机制、风险防范和监管制度的薄弱。针对这种现象,《指引》把内部控制的重点首先放在授信业务领域,并且明确提出授信业务的内部控制重点是实行统一授信管理,健全客户信用风险识别与监测体系,完善授信决策与审批机制,防止对单一客户、关联客户和集团客户授信风险的高度集中,防止违反信贷原则发放关系人贷款和人情贷款,防止信贷资金违规使用等方面。在此基础上,《指引》从24个方面入手,提出了更加详细具体的授信业务内部控制措施,如要求商业银行应当严格审查和监控贷款用途,防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金,改变借款用途;建立统一的授信操作规范,明确贷前调查、贷时审查、贷后检查各个环节的工作标准和尽职要求等。而且,尤其值得关注的是,对于最重要的授信管理,《指引》明确要求商业银行应当建立严格的授信风险垂直管理体制,“对授信实行统一管理”,而此前仅要求“下级机构应当服从上级机构风险管理部门的管理,严格执行各项授信风险管理政策和制度”。显而易见,这些控制重点与措施可谓字字珠矶,目标性、针对性非常强,其背景无一不是我国商业银行在目前阶段面临的最严重的现实问题。
四、从《商业银行内部控制指引》的效力来看,主要表现为窗口指导作用而非行政强制手段。
窗口指导(window guidance)是一种劝谕式监管手段,指监管机构向机构解释说明相关政策意图,提出指导性意见,或者根据监管信息向金融机构提示风险。窗口指导是监管机构利用其在金融体系中特殊的地位和影响,引导金融机构主动采取措施防范风险,进而实现监管目标的监管行为。窗口指导是监管机构向被监管对象进行风险预警的一种形式,这种监管手段没有固定的使用频率,与现场检查和非现场分析等常规监管手段不同,具有较强的灵活性,可以视具体情况随时地、迅速地采用。通常情况下,窗口指导采取口头通知、电话通知、座谈会等各种非书面函件的形式,或者采取发布指引、指导意见等规范性文件的形式,不具有可强制执行的法律效力。窗口指导是监管机构与被监管对象保持密切联系,提高监管有效性的重要手段。通过窗口指导,监管机构可以向被监管对象诠释相关监管政策意图,提供宏观层面的监管信息,帮助金融机构分析宏观形势,指导金融机构有效管理风险。该手段的效果取决于监管机构的专业水平和权威性。实践证明,窗口指导是一种成本低、传导快,意图明确、效果明显的银行监管方式。
利用发布指引、指导意见等形式,对商业银行给予窗口指导,是国内外金融监管机构普遍采取的一种监管方法。比如,巴塞尔银行监管委员会在2001年8月颁布的《银行内部审计及监管当局与审计师的关系》中,开宗明义地指出,“巴塞尔银行监管委员会一直致力于研究银行监管问题,并通过制定鼓励稳健做法的指引来提高监管水平。”又如,2006年6月6日,美联储理事会成员Susan Bies在科罗拉多西部独立银行家首席财务官年会和风险管理研讨会上就美国社区银行风险管理问题发表演讲时指出,基于风险考虑,美国银行监管当局发布了商业房地产贷款指引的讨论稿,强调了对信贷集中和资产组合加强风险管理的重要性,以提示银行,良好的风险管理和适当的资本准备在商业房地产贷款战略中是必不可少的。再如,2006年2月,新加坡金融管理局发布了《新加坡金管局风险管理做法指引——内部控制》修订稿,指引中的内部控制文件,旨在通过提供稳健和审慎的内控措施,以供金融机构结合自身的风险和业务状况加以采用。
现在银行业的经营活动日益综合化、日益国际化,业务和产品越来越复杂,公司治理和风险管理的要求越来越高。银监会自成立以来,大力进行监管制度、方式和手段创新,充分、灵活运用窗口指导监管手段,在推动颁布《中华人民共和国银行业监督管理法》,系统规划和设计一系列银行审慎监管规章的同时,相继制定发布了一系列指引或指导意见,如《商业银行小企业授信工作尽职指引(试行)》(2006年10月)、《商业银行操作风险管理指引》(2007年5月)、《银团贷款业务指引》(2007年8月11日)《关于商业银行改善和加强对高新技术企业金融服务的指导意见》(2007年1月)等。应当说,所有这些指引、指导意见等,虽然不是行政规章,更大层面上属于倡导性、道义劝告式的规则,但在规范我国商业银行的经营管理行为、有效防范和化解金融风险、推动银行业健康发展等方面,发挥了勿庸置疑的重要作用。
当然,与其他所有指引、指导意见一样,《商业银行内部控制指引》作为一种规范性文件,尽管其指导性政策建议本身不具有法律约束力,但这并不意味着商业银行可以对此置若罔闻。因为,该《指引》第一百四十条明确规定:“银监会及其派出机构依据本指引及《商业银行内部控制评价试行办法》对商业银行做出的内部控制评价结果是商业银行风险评估的重要内容,也是中国银监会及其派出机构进行市场准入管理的重要依据。”换言之,商业银行在经营管理过程中,如果不听从指导,违反《指引》及《商业银行内部控制评价试行办法》的基本规范,尽管不直接承担法律责任,监管部门也不能据此直接给予处罚,但其评价结果将作为商业银行机构及业务的市场准入依据,最终仍要承受因此带来的相应制裁。因此,《指引》必然是我国商业银行内部控制体系的基本依据,其要求必然对商业银行具有事实上的约束力。
总之,从制度完备性角度来说,《指引》是一个层次分明、内容完整、衔接有序、整体互动的有机统一体,其原则性规定已经形成了我国商业银行内部控制的基本框架,从而为商业银行构筑全面风险管理平台的实践提供了有力的依据。但是,内部控制作为一种系统的制度安排,必然要经历一个从起步到优化的过程。鉴于各商业银行目前内部控制基础水平参差不齐的现状,在具体贯彻《指引》的过程中,应该本着“从实际出发、务求实效”的原则,有计划、分步骤地采取行动,不断促进自身的内部控制从制定零散的、静态的、被动的内部控制规章层面,向建立系统的、动态的、主动的内部控制体系层面转变,使内部控制工作从临时、分散的行为,发展为过程标准化、操作制度化的管理活动,最终达到持续改进、量化为主的状态,从而为商业银行发展战略和经营目标的全面实施和充分实现提供合理保证。
【】
[1]巴塞尔银行监管委员会发布,中国银行业监督管理委员会译.统一资本计量和资本标准的国际协议:修订框架[M].北京:中国金融出版社,2004.
[2]方红星,王宏译,美国COSO制定发布.企业风险管理——整合框架[M].大连:东北财经大学出版社,2005.
[3]李凤鸣.内部控制学[M].北京:北京大学出版社,2002.
[4]孙永尧.内部控制案例分析[M].北京:中国时代经济出版社,2007.
[5]叶永刚,顾京圃.中国商业银行内部控制体系研究、设计与实施——金融工程在中国商业银行风险管理中的应用[M].北京:中国金融出版社,2003.
[6]张先治.内部管理控制论[M].北京:中国财政经济出版社,2004.
[7]中国银行业监督管理委员会.商业银行内部控制指引[M].中国银行业监督管理委员会令2007年第6号,2007年7月3日.
