内部控制在商业银行经营管理中起着基础性、长期性和全面性作用。本文分析了强化内部控制在银行资管业务转型中的必要性和紧迫性,并结合资管业务现状提出强化内控管理、夯实发展基础的切入点和发力点。本文还从加强内部控制环境建设、完善内部控制手段、保持沟通与协调、持续内部控制监督四个方面提出强化内控管理的建议。
进入21世纪以来,美国发布的萨班斯—奥克斯利(Sarbanes-Oxley)法案和美国反虚假财务报告委员会下属发起组织委员会(COSO)发布的内部控制框架及其配套指南,在全球范围内对企业公司治理和内部控制产生了广泛影响。中国监管部门也高度重视银行业公司治理与内部控制建设,2009年至今商业银行按照财政部等五部委《企业内部控制基本规范》及银监会《商业银行内部控制指引》要求,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五大要素,不断完善内部控制体系,规范内部管理。
内部控制并不是新概念,但因为其在商业银行经营管理中起到的基础性、长期性和全面性作用,需要时刻强调,常讲常新。根据巴塞尔委员会《加强银行公司治理的原则》,内控部门有助于银行的诚信合规和有效运行。如果内部控制不到位,商业银行发生合规风险、操作风险、声誉风险的可能性大大增加,极端情况下甚至引发案件风险,自身受到严重损害,国内外个别知名企业因内控失效暴露的风险事件屡屡敲响警钟。
商业银行资管业务转型中的内部控制
当前,中国银行业正由过去的高速增长向高质量增长转变,各家商业银行发展差异性逐渐显现,金融与科技关系日益加深,银行资管正处于转型与发展的关键阶段。内部控制具备的保障、纠偏、制约和激励作用,在今后一段时期内的必要性、紧迫性与重要性凸显。银行资管唯有摆脱短期利益导向,做实做精做细内部管理,建立科学严密有效的内部控制体系,才能为稳健可持续经营奠定坚实基础。
首先,是适应外部监管形势的必然要求。大资管新规正式印发,明确要求金融机构开展资管业务时内部控制应该健全。2018年7月,中国银保监会发布的《商业银行理财业务监督管理办法(征求意见稿)》规定,商业银行应按照国务院银行业监督管理机构关于内部控制相关规定,建立健全理财业务内部控制体系。随着宏观审慎管理进一步强化,机构监管、功能监管与行为监管相结合的模式逐渐完善,监管处罚和问责力度增强。监管部门近两年行政处罚情况显示,个别金融机构内控管理失效成为受罚的重要方面,具体表现为违反审慎经营规则、内控制度不健全、员工行为管理不到位等。面对监管形势的新变化和新要求,持续推进资管业务内控体系的建设及实施,有助于确保业务经营符合监管政策、纠偏经营行为、防范合规风险。
其次,是培育资管竞争优势的有力支撑。有效的内部控制和规范管理是银行资管核心竞争力的重要组成部分。一是有效预防风险。近两年银行经营的外部风险更加复杂,各类市场乱象丛生,跨市场跨行业跨机构风险传染的可能性加大。内控体系作为全面风险管理体系的要素之一,是对各类风险事前评估并采取相应控制措施的过程和机制,能帮助商业银行及时发现管理漏洞,消除潜在威胁,确保风险管理能力与业务规模、业务发展速度相匹配。如果内部管理松懈,形成薄弱环节和高风险领域,可能会埋下隐患。二是助力实现经营发展目标。内部控制贯穿整个银行管理,内控体系健全,有利于内部业务流程的顺畅运转,推动管理创新,实现向管理要效益,帮助银行维护和创造价值。同时,内部管理的有效性间接提升了外部投资者体验,助力在市场中树立良好形象。
再次,是护航资管子公司转型的重要保障。2014年以来银行按照监管要求纷纷开展理财业务事业部制改革,设立专门的理财业务经营部门。此次大资管新规发布后,银行资管开始从事业部制向子公司转型,股权结构、公司治理结构、部门设置、人力与薪酬管理等面临较大变化,初期将处于摸索、调整与适应阶段。在资管新规过渡期内,根据中国人民银行2018年7月发布的最新规范通知,商业银行应自主有序地确定整改计划,加快落实整改。随着组织、人员、业务模式、产品形态、母行联动机制、科技系统等变动与调整,内控体系能否根据内外部环境变化及时优化至关重要,扎实的内部管理起到“稳定器”的作用,以确保在过渡期内顺利转型。如果存在内部控制缺陷,将会削弱业务经营各环节制衡有效性,增加内部不稳定因素。
强化内控管理的五个切入点
内控涉及资管业务经营管理的方方面面,存在执行水平不一致、成果不易衡量、需要持续实施等特点。好的内部控制应夯实管理基础,以支撑内控体系的良好运转,但是,实际实施中面临个别员工思想不重视、被动应付多、重形式轻实质、风险敏感性不强等问题,因此,找准着力点持续推进尤为重要。结合大资管新规,全面审视当前银行资管业务现状,围绕影响内控管理水平的重点环节,应狠抓制度、数据、系统、文化与档案五项基础管理,加强质量管控,提升管理精细化水平。
在规章制度方面:制度是落实外部监管要求、执行公司发展战略的具体体现,建章立制是实施内部控制的首要任务。制度管理中,可能存在对制度严肃性认识不够、修订不及时、执行不到位等问题,弱化“以规控人”“按规行事”的效果。一是做好顶层设计。对标资管子公司要求,合理规划制度体系。全面梳理和查找规章制度中的盲区、矛盾、不衔接之处,重新整合,既要全面覆盖所有业务、所有活动,也要防止控制过死,兼顾风险防控与经营效率。二是加强制度起草过程控制。制度中能够明确岗位与职责的应尽量明确,防止制度发布后无人执行。制度起草部门要充分听取各方意见,内控合规部门做好把关审核,避免出现制度体例选择不当、权责不一致等现象。三是开展制度后评价。出现需要开展制度后评价情况的,及时组织相关部门,查找现行制度中存在的突出问题,根据评价结果采取修订、废止、整合等针对性措施,做好动态更新。加强对临时性通知类文件的管理,定期开展清理。
在数据信息方面:金融科技时代,数据深刻推动了思维变革和决策优化。在精准营销、智能投顾、投资研究、风险管理等领域,对数据的整合、挖掘和应用能力将成为资管子公司核心竞争力之一。资管业务要实施数据全流程管理,加速向数据驱动发展模式转变。一是加强数据质量管控。内部控制的目标之一是保证各类信息的真实、准确、完整和及时,高质量数据是报送监管统计、开展数据应用的基础。根据监管要求,银行应将数据质量检查纳入内控合规检查范围,非现场监管统计数据报送不真实、错误、不完整等将面临合规风险。资管子公司要建立数据质量控制机制,提高全员对数据的重视程度,在部门职责、监督检查、交叉核对、安全保密等环节,谁采集、谁负责,全程管控数据质量。二是提升内控管理数据应用水平。创新内控管理技术手段,引入大数据分析工具,通过数据分析更加全面准确地识别和评估业务中的风险点。持续收集内外部检查、操作风险事件、客户投诉等管理数据,提升风险实时监控能力。完善内部控制执行质量考评机制,提高量化分析占比。
在科技系统方面:设计合理、功能完善、运营稳定的科技系统是内部控制的重要保障,推动系统向智能化引擎方向发展是资管业务亟待提高的领域。实施电子化运行,既避免人为操纵的道德风险,也有利于形成统一规范的工作流程,避免手工操作中可能出现的数据难以回溯核查、出错可能性大等问题,将很多问题或失误消灭在萌芽状态。一是加快系统建设。提高科技方面投入,梳理资管业务各项流程,做好业务功能向科技语言的顺利转换,分批推动所有业务和管理事项嵌入系统。除加快开发业务操作系统外,也要重视管理信息系统功能,依托系统提高管理效率与精度。必要时引入外部资源,借助第三方科技公司力量进行开发。二是建立内控合规管理系统。分解各项风险控制点和管理要求,转化为系统功能,实现对关键业务和事项的刚性控制。建设以系统为依托的内控合规管理平台,协调与投资系统、营销系统、估值系统等关系,整合内外部数据源,构建全方位内控监测分析体系,提升内控管理信息化水平。三是加强对连续性风险和外包风险管理,确保系统运营稳定。制定完备的系统应急预案,防范因突发事件导致系统异常,最大限度地减少不良影响。
在内控文化方面:核心文化从根本上决定了公司能否持续成功经营,也对内控体系的实施效果有重要影响。建设内控体系绝不仅仅是迫于外部监管要求,更要从内部开始,每个人均是塑造组织内控文化的一员。一是加强从业人员行为管理。开展职业操守和伦理教育,培养职业、敬业、专业的良好工作习惯,严格避免重复发生操作性失误。按照监管要求,明确员工行为的“底线”与“红线”,切实做到令行禁止,适时开展全体从业人员行为评估。二是岗位责权利匹配。建立并落实激励约束机制,实行与内控管理相匹配的绩效考核制度,提倡强化基础管理导向,防止过于追求短期利益。压实中层管理人员责任,以更好地发挥承上启下的作用。对于工作变动的员工,做好前后手交接,明确各类事项。三是提升法律风险意识。资管子公司成立后,自身法律风险管理能力要求明显提高,合同管理重要性增加,在合同签订、合同履行情况监控、合同纠纷处理等环节,通过有效的合同管理避免经济利益或信誉受损。
在档案记录方面:资管业务在经营管理中形成的各类档案记录,不论是纸质还是电子形式,均为当时业务决策审批流程或者办理流程的完整真实记录和原始证明,通过全程留痕,可以有备业务查考,有效制约不当行为。应该摒弃把档案管理仅仅作为基础工作的狭隘思维,避免出现归档不及时、记录不完整、档案整理混乱等问题。档案记录主要包括三类:一是业务运作档案。一般侧重于投资部门、营销部门等形成的业务档案,此类档案与外部投资者、融资人等关联密切,也是常规意义上最重要的档案类型。二是工作过程中产生各类的内部文件。工作中部门之间、不同岗位之间形成的各类业务记录和事项确认信息,经办人员应像对待业务档案一样严格保管,实现全程可追溯,防止由于人员变动、岗位调整、保管不善等因素,造成无据可查,产生责任的推诿扯皮现象。三是印章、用印审批、重要空白凭证等管理。实行专人保管,规范用印审批流程,并确保所有用印记录可查。
强化内控管理的对策建议
第一,应加强内部控制环境建设。内部环境是内部控制的基础,影响着内控文化培养与内控措施实施。一是探索完善公司治理。根据银行资管子公司特点和资管业务特征,合理设置组织架构,综合考虑公司股东、董事会、监事会、管理层之间的关系和权力制衡,加强对潜在利益冲突和关联交易管理。董事会与管理层应积极推动内部控制,充分体现高层的价值导向。二是明确内控责任划分。清晰界定各部门、各岗位职责内容与职责边界,编制岗位说明书,确保员工行为有据可依。三是建立“防火墙”机制。建立资管业务与银行自营业务的“防火墙”机制,强化资管业务风险隔离,防范风险传染,保护投资者利益。
第二,要完善内部控制手段。预防性控制与发现性控制并重,“线上”与“线下”相结合,丰富和完善内部控制手段。一是开展风险评估。全面准确识别资管业务经营管理中的风险点,避免流于形式。内部控制与创新发展兼顾,加强对新业务新产品的风险识别,以及评估内控与风险部门管控新产品风险的能力。二是完善授权管理。细化授权范围、额度等要素,加强转授权管理,防范出现越权行为。三是健全制衡机制。既包括公司内部部门间、岗位间相互协调和制衡,也包括对管理人员和普通人员行为的制衡,特别是关键岗位员工。加强员工行为管理,开展员工异常行为排查,防止出现不当行为。四是建立资管业务突发事件应急处理机制,明确应急处理职责、流程、报告等要求,及时消灭风险隐患,防范声誉风险。
第三,保持沟通与协调。一是强调管理层与员工的沟通。积极宣传内控体系与内控程序重要性,督促员工熟悉所在部门及自身职责,牢固树立内控创造价值理念。畅通信息沟通渠道,建立举报投诉制度,以便及时了解内控合规方面最新情况。二是内控部门与其他部门的良好互动。内控实施不能停留在文件上,依赖各条线的协调配合。内控部门既要具备充足的专业能力和内部授权,对业务部门形成有效制衡,也要主动了解业务、融入业务,加强服务意识,防止内控与业务形成“两张皮”。业务部门实际执行情况对内控体系能否落地至关重要,应狠抓执行力建设,同时提升业务活动的信息透明度,不能简单和被动应对,以共同创造维护良好的内控氛围。
第四,持续内部控制监督。持续监督以及后续的整改问责机制是保证内部控制有效性的必要手段。一是做好内部控制评价。根据业务经营情况和风险状况合理确定评价频率,全面排查以前瞻发现内部控制缺陷,切实做好整改,并将内控评价结果纳入绩效考核。二是加强日常监督。通过定期或不定期检查内部控制的执行情况,及时纠正违规行为。加强监督检查,防止出现“灯下黑”的情况。三是强化责任意识。按照规章制度,做到尽职免责和严格问责并重,增加违规成本,以确保工作职责落实到位。
(均供职于华夏银行总行资产管理部。本文仅代表个人学术观点,不代表所在机构意见。本文编辑/王蕾)