导言:制度重在执行,没有执行,再好的制度也只是一纸空文。但在现实中,“重制度建设、轻制度执行”的现象却是普遍存在。对于大多数企业来说,不缺乏制度建设与创新的能力,却缺乏制度执行的力度,其结果是:一方面,各种新的规章制度不断出台;另一方面;大量规章制度不能有效执行,致使制度束之高阁,不能发挥作用。本文以某银行为例,对该银行内部控制制度失效原因进行深入分析。
一、案例背景
f银行是1996年以来国务院批准设立的首批股份制商业银行之一,目前已在全国设立了十余家一级分行和数十家支行,银行资产总额超过两千亿元。公司风险管理系统下设内控合规部、风险管理部、信贷监控部等,从组织形态上已经构筑了包括内控合规部门、审计部门、业务条线和分支机构四位一体的内控防线,并且建立了配套的制度与流程体系。然而,看似内控制度非常健全的f银行,却在近年来相继发生多起风险事故:
(1)2010年底,太原市公安局陆续接到报案,f银行数十名储户出现账户资金被盗用,内部人士估计资金高达上千万元。经查证,该案件竟是f银行内部员工监守自盗,通过内外勾结,高息揽储,然后以客户名义私开网银,再利用网银盗取客户存款,将存款放贷出去。
(2)2011年8月底,南京宇扬集团董事长杨军卷走巨款失踪,许多银行都被卷入其留下的债务危机,涉案金额不少于3亿元,其中以f银行贷款额最大。f银行向宇扬集团开具的两张银行承兑汇票,分别为9000万元和5960万元,合计逾亿元。而宇扬集团与之对应的贷款担保,则为同一集团内成员企业的相互担保,属于“左手倒右手”的情况,致使银行面临上亿元的风险敞口。而同在南京的多家银行,因对贷款资料认真审核未予放贷而避免了损失。
以上案件发生于拥有相对完善的内部控制制度的银行业,说明了企业并不是“无法可依”,而是未能做到“有法必依”,根本上是企业制度执行力的不足。对此,银行监管机构与风险管理研究机构进行了深入的分析,产生上述风险事故的原因逐步被揭示出来。
二、原因分析
内部控制制度的执行效果,需要任务的制订、完成任务的人、任务执行过程三个要素完全具备,并在各个环节良好配合,内部控制的目标才能得以实现。f银行产生上述事故的原因,归结为以下三个方面:
1.绩效考核与短期利益过度强调业务发展、忽视内部控制
企业除了要合适的人安排到合适的岗位之外,正确引导员工、使员工行为与企业战略相一致非常重要。在市场竞争激烈的大环境下,以f银行为代表的金融企业为了赢得客户,提升市场占有率,或者获得远超正常利润的超额回报,倾向于选择高风险、高回报的项目。这一价值取向决定了虽然公司内部控制制度设计严密,但具体执行过程中常常会被利益牵引而走了形式,甚至纵容违规事项的发生,再完善的内部控制体系也成了一纸空文。
另一方面,绩效考核的大多数指标与存款、贷款、客户增加量、保有量等指标的完成挂钩,内部控制指标在考核中的比重较低,甚至完全得不到体现,同时,业绩考核和激励机制存在严重的设计缺陷,员工岗位的晋升、奖金的发放都以业务的发展来衡量,促使管理者和员工不能正确评估和应对风险,将内部控制和业务风险防范抛诸脑后,一切以经济指标为导向,这种导向虽然可能在一段时间内使得公司和员工的业绩大幅提升,但却为公司的长期发展留下了巨大的风险隐患。
2.银行的内部控制体系缺乏动态的完善和改进机制
内部控制体系是一定时间、一定环境下的产物,环境、政策等外界因素的变化,会使得原有的内部控制制度不再适合,从而失去作用。
以上述案例为例,2011年央行数次提高存款准备金率及加息,宏观政策进入紧缩时期,在信贷压缩的大环境下,企业的资金链条普遍吃紧,银行所面临的贷款违约的风险加大。面临逐步放大的信用风险,原本有效的内部控制能否使公司保持正常的风险敞口,值得关注。
另一方面,2005年f银行成立以来,竭力拓展异地网点,努力揽储,扩大资产规模,相继在北京、济南、太原等地成立分支机构,企业资产规模和经营规模高速扩张,使得内部控制难度加大,银行总部的内控模式有效导入各级新增分行,需要一定的时间和过程,致使内部控制体系的发展速度慢于企业的成长速度,在这个敞口的时间段,银行的经营风险显著加大。
3.在内控制度的执行过程中缺乏严格的过程控制
内控制度要充分发挥效力,离不开对于业务过程的严格控制。在过程控制中,能否准确及时掌握一线情况,至关重要。在上述案例中,f银行职员能够以客户名义私开网银,再利用网银盗取客户存款,说明银行在开立网银环节中存在漏洞,未落实“三亲见”的要求(即:“亲见本人、亲见签名、亲见申请资料原件并鉴别真伪”)。同时,业务复核环节也存在空白或执行不到位。这就证明了制度即便是科学的,由于人的自利性,也同样需要一套科学、可行的考核和审查机制,对执行人的行为进行监督,对内部控制的执行效果进行检验和测试,以及时发现漏洞与不足,并进行完善。
三、华体育app官网登录的解决方案
要系统解决f银行存在的问题,专家组提出了三个方面的建议,以全面提升银行的内部控制执行力。
1.建立与内控体系相配套的薪酬激励机制
前文已述,种种内控失灵现象的背后,都是个人行为偏离组织目标的结果。因而,建立与内控制度相配套的薪酬激励机制,对于内控制度的有效运行十分必要。在实际工作中,应改变一切以经济指标为导向的考核机制,提高内部控制执行效果考核的权重,并将内部控制的执行与等级评定、评选表彰、领导考核以及奖励性工资的分配结合起来。反之,则加重处罚力度,绝不姑息,不给员工以侥幸心理。通过这种权威而严格的激励与约束机制,逐步使得内部控制制度成为每个员工的自觉行为。
2.定期收集内部控制敏感因素指标数据,及时对内控的有效性、完整性进行评估
建立企业内部控制完善和改进机制,主要是外部环境和自身情况变化后,企业应根据变化动态完善内部控制和风险管理机制,改变习惯性思维方式,主动评估和应对风险,否则,其结果必然是“温水煮青蛙”,被习惯和惯性推动,忽视了新的风险的产生和影响。实际操作中,可选取若干内部控制的敏感因素,如利率、采购经理指数、产品价格指数、资产增长率、收入增长率等,并设定对应的临界值,定期收集上述指标数据,当指标超越临界值时,及时对内部控制的有效性、完整性进行评估,及时应对各种变化给银行带来的风险。
3.建立一套符合实际的、具有可操作性的内部控制评价程序
企业内部控制评价应以内部控制框架为参照物,根据内部控制框架构成要素是否存在来评价内部控制设计的完整性,测试内部控制运行的有效性,最后,根据综合设计和运行的评价结果对内部控制做出总体评价,以检验体系在设计和运行上的“双重有效”。其中,内部控制运行的有效性更为重要,评估方式可采用内部审计评估和自我评价两种方式。内部审计评估由内部审计人员等评价主体定期进行,以全过程审计的方式开展;自我评价可采用调查问卷或研讨会的方式,由管理人员在内部审计人员的帮助下,对本部门或单位内部控制实施的恰当性和有效性进行评估。以上评价的目标是及时发现内部控制的薄弱环节,发现内部控制执行的真空地带,以及对违反内部控制的行为即时纠正。
4.严厉惩处违规违纪、破坏内控体系运行的人员和事件
大的风险往往是由小的风险积累而来,对违规事件的姑息、迁就,是导致重大风险事故的原因。因此,f银行应建立严格的内控制度违约惩处机制,与风险控制、稽核、审计、监查等企业行政管理体系实现有机联动,对于违纪事件采取“零容忍”的态度,坚决刹住违反制度流程、违反内控制度的歪风,防微杜渐,从根本上消灭员工的侥幸心理,从源头上杜绝任何违规事件发生的可能性。