银行内控:防、疏、堵
- 来源:计算机世界
- 关键字:银行,内控,操作风险,金融
- 发布时间:2011-03-16 13:24
银行业的健康发展是社会进步和经济繁荣的基本保障,而能否有效地对银行的各种风险进行科学的管理和防范直接关系到银行的健康发展。随着银行业的产品日趋多元化、业务流程日趋复杂化、人文环境不断变化,操作风险日益受到关注。
近日,银监会发布了《关于进一步推进改革发展加强风险防范的通知》,通知中明确要求,各商业银行等金融机构要对6大风险进行相应的风险提示,其中与内控合规密切相关的操作风险就位列其中。那么,如何最大程度地规避操作风险的发生呢?
防:不足的内部控制
2008年以来的国际金融危机,给国际金融业的监管改革又上紧了发条。与此同时,因内控管理不到位而导致的银行重大风险案例也层出不穷——国际上,巴林银行因内部管控缺乏而最终走向破产;法国兴业银行因交易员的虚假交易造成49亿欧元的巨额损失;很多知名银行频频爆出欺诈、洗钱、隐瞒债务等丑闻。在国内,类似的事件也不断发生,山西“7.28”金融诈骗案、哈尔滨“1.06”金融诈骗案、山东“票据”诈骗案等都发人深省。
“这些案情暴露出一个共性问题,就是银行对内控合规风险管理的缺位,也直接反映了银行对操作、合规风险的弱视。” 神州数码融信软件有限公司风险管理咨询总监喻巧玲在接受记者采访时表示。
据记者了解,尽管目前金融界对操作风险的界定还不完善,但将操作风险按其损失风险因素划分界定,已经得到了国内外理论和实务界的公认。喻巧玲说,操作风险可分为由内部因素和外部因素引发的操作风险。内部因素主要包括人员因素、流程因素和系统因素,其中人员因素主要指操作失误、违法行为(员工内部欺诈/内外勾结)、越权行为、违反用工法、关键人员流失;流程因素主要指流程设计不合理、流程执行不严;系统因素指系统失灵、系统漏洞、数据信息安全等。外部因素主要指外部事件,包括外部欺诈、突发事件(自然灾害、抢劫、工作场所安全等)和经营环境的不利变化。
对于银行与风险这两个事物,华夏银行行长樊大志曾表示:“银行经营的就是风险,并在经营风险的过程中实现利润。”银行是风险的众矢之的,风险管理的核心是确保风险和收益的合理匹配。但在当前金融风险防范的实际工作中,大多数银行都习惯于把目光向外看,重视外部风险,而往往疏忽了内部风险的防范。
事实上,由于银行内部经营管理不当,或是内部人员、机构的主观行为所造成的风险涉及层面十分广泛,包括银行内部机构、制度、规定、管理、人员等各个方面,这些方面的疏漏都可能为内在风险提供“潜伏”之机。而大量事实表明,很多严重的风险损失往往是由于内部疏漏而导致的。
依照银监会的定义,“银行内部控制”是银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。强有力的内部控制,可以帮助银行实现3个方面的目标:第一保证财务报表与管理报告的可靠性、完整性和及时性;第二确保银行遵守相关的法律、管理条例、政策、计划以及内部管理制度及程序,降低发生损失、损害信誉的风险;第三是实现经营效果、效率以及保护银行资产的重要保障机制。”
喻巧玲强调:“内控合规是银行操作风险和信誉风险发生的一个重要诱因,也是银行全面风险管理的基础环节。当前,国内银行的全面风险管理由于缺乏合规风险管理过程的有效支撑,银行的风险管理制度以及合规文化往往难以确立,因此,全面的风险管理也就无法真正落实。”
疏:梳理共性问题
银行内控合规的加强重在管控操作风险和合规风险,而要确保银行的一切操作行为均符合有关政策法规也绝非易事。巴塞尔委员会会计工作组主席Arnold Schilder曾说:“发展和实施合规风险管理的挑战不亚于实施‘巴塞尔新资本协议’所面临的挑战”。
通过多年来诸如上述案件的总结、分析,金融界的专家们对目前国内银行在内控合规管理方面存在的主要问题已形成了部分共识,并做了梳理。
第一,内控制度尚不健全,控制不足。目前我国商业银行业务发展仍以信贷规模扩张为主,受不良贷款的现实制约,内控机制建设主要围绕着信用风险而展开,强调资产负债比例管理、审贷作业分离、贷款5级分类和资本充足率达标等。相对而言,合规风险、操作风险以及信誉风险等尚未引起国内银行的足够重视,导致出现了风险控制的一些真空地带。
第二,内控执行不足,控制分散。这方面主要表现在规章制度数量众多,但多分散于各部门、各岗位和各项业务中,缺少整合。现在,国内很多商业银行都建立了“三道防线”的内控风险管理思路,但三道防线所涉及的各类信息和数据比较零乱、分散,没有进行整合分析,三道防线的威力没有得到充分发挥。
第三,对分支、基层机构的检查评估不足。内部控制不仅要求银行建立相关的制度与流程,还要经常监督检查这些制度和流程是否得到了有效执行。一些银行由于内部审计不足,对内部控制的检查频率和深度往往与风险程度不匹配。因此,分支机构不严格执行内控制度的现象确实存在。
第四,科技对业务发展缺乏有力的支持。如银行账户管理系统与同城票据交换系统、支付系统缺乏联系,就容易导致支付结算管理系统安全系数较低。再如一些大额资金与异常支付的管控鉴别也需要信息数据的及时采集和共享,及时进行整理分析,这就对各银行之间信息的交流畅通和数据共享提出了要求。
第五,内控文化未真正落地。喻巧玲认为:“银行内部控制是需要董事会、高级管理层和各级人员共同努力才能实现的过程,银行内部的每一个工作人员都要参与这一过程。”也只有这样,内控文化方能从上到下真正落实,从而有效地规避风险。
据了解,当前一些银行已建立起了“防风险”与“业务发展”的双重考核机制,以期提升全员的风险防范意识。
堵:构建有效IT机制
当前,加强内控治理已成为银行落实全面风险管理的重要一步。但做好内控治理仅有意识是不够的,如何加强执行、真正杜绝风险才是银行所期望的结果。神州数码融信软件公司曾经历时4年为国内一大型银行实施了内控管理咨询及系统,具备了一定经验,在接受采访时,喻巧玲就明确指出:“银行亟需构建有效的合规风险管理机制,这是解决合规风险与操作风险频发的一个重要的治本之策。”
合规风险管理机制是银行主动识别合规风险,主动避免违规事件发生,主动采取各项纠正措施以及适当的惩戒措施,持续修订相关制度流程和具体做法而形成的岗位手册。制定这种机制的目的就在于,堵住一切可能发生的风险漏洞,有效地管理合规风险,确保银行的合规稳健运行,从而实现周而复始的良性循环。
对银行而言,这一机制的建立将使银行合规工作不再局限于简单满足监管部门的监管要求,或者与监管部门进行博弈,而是将合规作为银行经营发展的一种特殊风险,以风险管理的理念和方法,推进银行内部制度和流程的建设及持续改进,从而提高制度和流程的执行力。
银行构建合规风险管理机制需要强调4个方面:第一,合规是银行内部的一项核心风险管理活动,也是银行实施内部控制的一项基础工作;第二,合规应从高层做起,通过完善公司治理和培育良好的合规文化来加强合规风险管理;第三,在银行内部组建一个常设的、独立有效的专职合规部门,支持和协助银行高级管理层有效管理合规风险,实现银行的稳健经营;第四,进行事前的风险识别和预警,事中的风险控制以及主动的合规风险管理,确保合规风险管理与银行制度和流程的评估处于持续改进的良性循环之中。
“合规风险管理可以成为银行进行内部控制的基础,只有这样内控才会不再是不可触摸的,而是实实在在的日常工作。”喻巧玲如是说。而内控合规风险管理系统的建设是支持这一目标落地的必要举措。
IT系统可以帮助银行初步建立起内部控制的立体管理体系:首先,通过系统实现信息集中和风险评估后,银行能够正确了解所处的风险环境,从而将管控的重点放在有重大影响的关键风险上;其次,系统可以完善第二道防线的检查制度,不仅提升内控工作质量也能提高工作效率,实现内控管理流程的标准化和模块化;第三,系统可加强基层网点的综合治理,实现一线的自查、自训、自纠,并对营业经理派驻制进行管理,对基层网点员工进行风险管理;第四,系统可实现稽核的再监督职能,如检查中发现的问题,可在内控系统中得以验证并进行预警。
另一方面,银行通过构建内控管理系统,可提升内控管理水平和科技水准,实现合规或操作风险管理的规范化、标准化和内控信息管理的集约化。例如可提高内控的可验证性,强化内控过程控制,提升内控风险的统计分析水平,实现内控的连续纠偏和持续整改。
编辑观察
银行IT风险管控亟待加强
科技是一把“双刃剑”,虽说IT系统可以帮助银行进行风险管理,但是当前,银行业对信息技术的依赖性日益加强,这使得信息系统的安全性、可靠性和有效性也直接关系到整个银行业的安全和金融体系的稳定。
众所周知,银行业IT架构庞大、IT设施复杂、所涉及的机构繁多,技术方面综合了应用系统、操作系统、网络、数据库等多方面,其中的任何缺陷都会影响整体IT架构的安全。据国际清算银行统计,90%以上的金融风险事件都与IT间接相关,在已经报告的损失事件中,50%以上的事件与IT间接相关。
所以,国际清算银行颁布的巴塞尔II协议明确表示,IT风险管理属于操作风险并且是操作风险管理的重中之重。巴塞尔 II协议也要求银行提供新的操作风险报告,并对业务连续性管理等方面提出了明确要求。因此,随着银行的业务运营对IT系统的依赖性与日俱增,IT管控作为银行风险防范的重要环节,也亟待加强。(文/刘丽丽)
……
近日,银监会发布了《关于进一步推进改革发展加强风险防范的通知》,通知中明确要求,各商业银行等金融机构要对6大风险进行相应的风险提示,其中与内控合规密切相关的操作风险就位列其中。那么,如何最大程度地规避操作风险的发生呢?
防:不足的内部控制
2008年以来的国际金融危机,给国际金融业的监管改革又上紧了发条。与此同时,因内控管理不到位而导致的银行重大风险案例也层出不穷——国际上,巴林银行因内部管控缺乏而最终走向破产;法国兴业银行因交易员的虚假交易造成49亿欧元的巨额损失;很多知名银行频频爆出欺诈、洗钱、隐瞒债务等丑闻。在国内,类似的事件也不断发生,山西“7.28”金融诈骗案、哈尔滨“1.06”金融诈骗案、山东“票据”诈骗案等都发人深省。
“这些案情暴露出一个共性问题,就是银行对内控合规风险管理的缺位,也直接反映了银行对操作、合规风险的弱视。” 神州数码融信软件有限公司风险管理咨询总监喻巧玲在接受记者采访时表示。
据记者了解,尽管目前金融界对操作风险的界定还不完善,但将操作风险按其损失风险因素划分界定,已经得到了国内外理论和实务界的公认。喻巧玲说,操作风险可分为由内部因素和外部因素引发的操作风险。内部因素主要包括人员因素、流程因素和系统因素,其中人员因素主要指操作失误、违法行为(员工内部欺诈/内外勾结)、越权行为、违反用工法、关键人员流失;流程因素主要指流程设计不合理、流程执行不严;系统因素指系统失灵、系统漏洞、数据信息安全等。外部因素主要指外部事件,包括外部欺诈、突发事件(自然灾害、抢劫、工作场所安全等)和经营环境的不利变化。
对于银行与风险这两个事物,华夏银行行长樊大志曾表示:“银行经营的就是风险,并在经营风险的过程中实现利润。”银行是风险的众矢之的,风险管理的核心是确保风险和收益的合理匹配。但在当前金融风险防范的实际工作中,大多数银行都习惯于把目光向外看,重视外部风险,而往往疏忽了内部风险的防范。
事实上,由于银行内部经营管理不当,或是内部人员、机构的主观行为所造成的风险涉及层面十分广泛,包括银行内部机构、制度、规定、管理、人员等各个方面,这些方面的疏漏都可能为内在风险提供“潜伏”之机。而大量事实表明,很多严重的风险损失往往是由于内部疏漏而导致的。
依照银监会的定义,“银行内部控制”是银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。强有力的内部控制,可以帮助银行实现3个方面的目标:第一保证财务报表与管理报告的可靠性、完整性和及时性;第二确保银行遵守相关的法律、管理条例、政策、计划以及内部管理制度及程序,降低发生损失、损害信誉的风险;第三是实现经营效果、效率以及保护银行资产的重要保障机制。”
喻巧玲强调:“内控合规是银行操作风险和信誉风险发生的一个重要诱因,也是银行全面风险管理的基础环节。当前,国内银行的全面风险管理由于缺乏合规风险管理过程的有效支撑,银行的风险管理制度以及合规文化往往难以确立,因此,全面的风险管理也就无法真正落实。”
疏:梳理共性问题
银行内控合规的加强重在管控操作风险和合规风险,而要确保银行的一切操作行为均符合有关政策法规也绝非易事。巴塞尔委员会会计工作组主席Arnold Schilder曾说:“发展和实施合规风险管理的挑战不亚于实施‘巴塞尔新资本协议’所面临的挑战”。
通过多年来诸如上述案件的总结、分析,金融界的专家们对目前国内银行在内控合规管理方面存在的主要问题已形成了部分共识,并做了梳理。
第一,内控制度尚不健全,控制不足。目前我国商业银行业务发展仍以信贷规模扩张为主,受不良贷款的现实制约,内控机制建设主要围绕着信用风险而展开,强调资产负债比例管理、审贷作业分离、贷款5级分类和资本充足率达标等。相对而言,合规风险、操作风险以及信誉风险等尚未引起国内银行的足够重视,导致出现了风险控制的一些真空地带。
第二,内控执行不足,控制分散。这方面主要表现在规章制度数量众多,但多分散于各部门、各岗位和各项业务中,缺少整合。现在,国内很多商业银行都建立了“三道防线”的内控风险管理思路,但三道防线所涉及的各类信息和数据比较零乱、分散,没有进行整合分析,三道防线的威力没有得到充分发挥。
第三,对分支、基层机构的检查评估不足。内部控制不仅要求银行建立相关的制度与流程,还要经常监督检查这些制度和流程是否得到了有效执行。一些银行由于内部审计不足,对内部控制的检查频率和深度往往与风险程度不匹配。因此,分支机构不严格执行内控制度的现象确实存在。
第四,科技对业务发展缺乏有力的支持。如银行账户管理系统与同城票据交换系统、支付系统缺乏联系,就容易导致支付结算管理系统安全系数较低。再如一些大额资金与异常支付的管控鉴别也需要信息数据的及时采集和共享,及时进行整理分析,这就对各银行之间信息的交流畅通和数据共享提出了要求。
第五,内控文化未真正落地。喻巧玲认为:“银行内部控制是需要董事会、高级管理层和各级人员共同努力才能实现的过程,银行内部的每一个工作人员都要参与这一过程。”也只有这样,内控文化方能从上到下真正落实,从而有效地规避风险。
据了解,当前一些银行已建立起了“防风险”与“业务发展”的双重考核机制,以期提升全员的风险防范意识。
堵:构建有效IT机制
当前,加强内控治理已成为银行落实全面风险管理的重要一步。但做好内控治理仅有意识是不够的,如何加强执行、真正杜绝风险才是银行所期望的结果。神州数码融信软件公司曾经历时4年为国内一大型银行实施了内控管理咨询及系统,具备了一定经验,在接受采访时,喻巧玲就明确指出:“银行亟需构建有效的合规风险管理机制,这是解决合规风险与操作风险频发的一个重要的治本之策。”
合规风险管理机制是银行主动识别合规风险,主动避免违规事件发生,主动采取各项纠正措施以及适当的惩戒措施,持续修订相关制度流程和具体做法而形成的岗位手册。制定这种机制的目的就在于,堵住一切可能发生的风险漏洞,有效地管理合规风险,确保银行的合规稳健运行,从而实现周而复始的良性循环。
对银行而言,这一机制的建立将使银行合规工作不再局限于简单满足监管部门的监管要求,或者与监管部门进行博弈,而是将合规作为银行经营发展的一种特殊风险,以风险管理的理念和方法,推进银行内部制度和流程的建设及持续改进,从而提高制度和流程的执行力。
银行构建合规风险管理机制需要强调4个方面:第一,合规是银行内部的一项核心风险管理活动,也是银行实施内部控制的一项基础工作;第二,合规应从高层做起,通过完善公司治理和培育良好的合规文化来加强合规风险管理;第三,在银行内部组建一个常设的、独立有效的专职合规部门,支持和协助银行高级管理层有效管理合规风险,实现银行的稳健经营;第四,进行事前的风险识别和预警,事中的风险控制以及主动的合规风险管理,确保合规风险管理与银行制度和流程的评估处于持续改进的良性循环之中。
“合规风险管理可以成为银行进行内部控制的基础,只有这样内控才会不再是不可触摸的,而是实实在在的日常工作。”喻巧玲如是说。而内控合规风险管理系统的建设是支持这一目标落地的必要举措。
IT系统可以帮助银行初步建立起内部控制的立体管理体系:首先,通过系统实现信息集中和风险评估后,银行能够正确了解所处的风险环境,从而将管控的重点放在有重大影响的关键风险上;其次,系统可以完善第二道防线的检查制度,不仅提升内控工作质量也能提高工作效率,实现内控管理流程的标准化和模块化;第三,系统可加强基层网点的综合治理,实现一线的自查、自训、自纠,并对营业经理派驻制进行管理,对基层网点员工进行风险管理;第四,系统可实现稽核的再监督职能,如检查中发现的问题,可在内控系统中得以验证并进行预警。
另一方面,银行通过构建内控管理系统,可提升内控管理水平和科技水准,实现合规或操作风险管理的规范化、标准化和内控信息管理的集约化。例如可提高内控的可验证性,强化内控过程控制,提升内控风险的统计分析水平,实现内控的连续纠偏和持续整改。
编辑观察
银行IT风险管控亟待加强
科技是一把“双刃剑”,虽说IT系统可以帮助银行进行风险管理,但是当前,银行业对信息技术的依赖性日益加强,这使得信息系统的安全性、可靠性和有效性也直接关系到整个银行业的安全和金融体系的稳定。
众所周知,银行业IT架构庞大、IT设施复杂、所涉及的机构繁多,技术方面综合了应用系统、操作系统、网络、数据库等多方面,其中的任何缺陷都会影响整体IT架构的安全。据国际清算银行统计,90%以上的金融风险事件都与IT间接相关,在已经报告的损失事件中,50%以上的事件与IT间接相关。
所以,国际清算银行颁布的巴塞尔II协议明确表示,IT风险管理属于操作风险并且是操作风险管理的重中之重。巴塞尔 II协议也要求银行提供新的操作风险报告,并对业务连续性管理等方面提出了明确要求。因此,随着银行的业务运营对IT系统的依赖性与日俱增,IT管控作为银行风险防范的重要环节,也亟待加强。(文/刘丽丽)
关注读览天下微信,
100万篇深度好文,
等你来看……