《商业银行法律及合规风险管理(第一部分).doc》由会员分享,可在线阅读,更多相关《商业银行法律及合规风险管理(第一部分).doc(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、商业银行法律及合规风险管理(第一部分)2017-0215陈卓 天元所金融法律那点事儿来源:诉说孔子曰:“吾恐季孙之忧,不在颛臾,而在萧墙之内也。”对于商业银行而言,本身所从事的就是一种风险经营,面临各种各样的外部风险因素是必然的,但对商业银行的经营存在根本性影响的还是自身内部所存在的各种风险因素。打铁还须自身硬,商业银行内部风险的规制和尽量降低,可以增强抵御外部风险的能力,但如果内部风险不断暴露,则有可能在没有外部风险因素发生重大影响的情况下遭受重创。因此,商业银行对于内部风险的管理,是商业银行能够持续、稳健风险经营的前提.而内部风险管理的基石,是对法律及合规风险的管理.一、法律风险与合规风险
2、的界定(一)商业银行风险类别根据1997年巴塞尔委员会所制定的有效银行监管的核心原则,银行所面临的风险类型包括:1、信用风险;2、国家和转移风险;3、市场风险;4、利率风险;5、流动性风险;6、操作风险;7、法律风险;8、声誉风险.此后,巴塞尔委员会又出台了一系列规定对于相关风险类型以及内涵进行了调整。概括而言,商业银行所面临的最主要风险为信用风险、市场风险和操作风险,法律风险则为操作风险的一种,与前述各种风险都有千丝万缕的联系,而合规风险则更为基础的贯穿于各种风险因素之中。我国银监会2011年发布了关于中国银行业实施新监管标准的指导意见,就此开始启动全面推行第三版巴塞尔协议的工作,在此前后银
3、监会借鉴巴塞尔协议的标准并结合我国国情制定了一系列的监管规定。从监管及合规层面,国内商业银行的风险经营活动面临与国际接轨的挑战.(二)法律风险是一种特殊类型的操作风险根据银监会2007年制定的商业银行操作风险管理指引第三条的规定:“操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险.本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。”该规定与巴塞尔委员会对操作风险的定义相同。据此,法律风险属于一种特殊类型的操作风险。而对于法律风险,在商业银行操作风险管理指引中并没有给出明确的定义,而是进行了不完全列举:“法律风险包括但不限于下列风险:1.商业银行
4、签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的;2.商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任的;3。商业银行的业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的.1、撤销和无效其中,按照合同法的规定,可能会导致合同被撤销的包括欺诈、胁迫、趁人之危、显失公平和重大误解。商业银行面临合同被撤销的法律风险,主要发生在与个人客户相关的零售业务中,原因在于个人与银行之间存在着谈判地位的不对等、个人专业认知能力不足等情况,并且银行的个别业务人员为了完成业绩,也可能会利用个人客户所存在的弱点。一般情况下,商业银行被认定为胁迫和趁人之危是比较少见的,
5、毕竟银行是正规的信贷机构,但欺诈、显失公平和重大误解则较为常见.对此主要体现在两个方面,即虚假宣传(欺诈)以及格式合同(显失公平和重大误解)。例如理财产品的广告上写明或业务人员的推销宣称“年收益10%”,而实际上并非是保本保固定收益,就有可能被认定为欺诈。格式条款如果条款严重不对等,或者利用专业表述而误导了个人客户(如载明“预期年化收益率10”,而没有相应载明理财产品所存在的损失风险),则有可能被认定为显失公平或重大误解.对于与单位客户相关的撤销情形,则与前述有所不同,主要包括配合客户转移财产逃避债务而被行使撤销权,或者银行在客户破产前被客户个别清偿而被行使撤销权,即银行在客户资产状况恶化的情
6、况下,不仅要考虑如何及时清收债权,而且要考虑如何防范债权清收行为被第三方异议。按照合同法的规定,可能会导致商业银行面临合同无效的情形则包括损害国家及社会公共利益、恶意串通、合法形式掩盖非法目的、违反法律和行政法规的强制性规定、故意或重大过失造成对方财产损失、格式条款免除银行责任或加重对方责任或排除对方主要权利等情形。这些情形中最难把握的是合法性所导致的合同效力问题,原因在于:对于无效的认定,散见于各种法律及行政法规之中,即使是法律专业人士也未必能够完全穷尽列举;法律和行政法规的强制性规定又分为效力性和管理性两类,而某些规定究竟是效力性的还是管理性的,从规定本身是看不出来的,而只能依赖于司法审判
7、实践中的认定;法律规定以及司法审判实践中的认定也是随着经济形势和社会价值导向的变化而可能发生变化的。商业银行合同效力问题往往存在于不掌握法律知识、故意规避法律或者在法律规定缺失及不明确的情况下贸然开展非传统银行业务模式的情况之下。例如商业银行与客户约定了“让与担保”的业务方式(买入返售),如果标的物本身不能随意买卖或者银行作为主体不能购买,或者被认定为规避担保法中的“流押条款,则可能会被认定为无效。2、违约与侵权对于商业银行违约的情形,概括言之就是银行没有按照约定的承诺来履行义务,包括主观上不想给(不诚信)和客观上给不了(资信状况恶化)两种情况,但无论是哪一种情况,都不仅会遭到索赔,而且会导致
8、商业银行面临声誉风险。需要特别予以关注的是,尽管前述法律风险的情形中没有规定,但客户对商业银行的违约,也应当属于法律风险的范畴,而不应当仅仅作为信用风险来对待.尤其是商业银行合同条款设置不合理所导致的客户“理性违约”或“被迫违约”,更应当加以重视。理性违约是指客户违约的成本小于其违约的收益,被迫违约则是指商业银行的强势约定使得客户主观上不得不违约(例如约定客户不得使用担保财产进行生产经营活动)或者客观上可能会被动陷入违约(例如约定客户不得提前还款,结果客户之后资金状况恶化无力偿还)的境地,这两种非常态的违约情形都说明商业银行没有事先做好合同条款的设置。对于商业银行的侵权,则存在的范围更为广泛,
9、银行的各种操作风险事件都有可能会导致侵权的发生。商业银行操作风险管理指引规定:“操作风险事件是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件,具体事件包括:内部欺诈,外部欺诈,就业制度和工作场所安全,客户、产品和业务活动,实物资产的损坏,营业中断和信息技术系统瘫痪,执行、交割和流程管理七种类型。3、遭受制裁至于商业银行的业务活动违反法律或行政法规,依法可能承担行政责任或刑事责任,此种法律风险应当属于合规风险的范畴,但并不能覆盖合规风险的全部内涵。具体内容,在以下合规风险部分阐述.(三)应当被零容忍的合规风险根据银监会2006年制
10、定的商业银行合规风险管理指引第三条的规定:“合规风险,是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险.”由此可见,合规风险的内涵要大于法律风险的第三种情形。“合规并不仅仅指遵守法律和行政法规,而是指商业银行经营活动与相关法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守相一致,即包含守法、守规矩、守职业道德三个方面.而相应的“风险”也不仅指遭受法律制裁、监管处罚,还包括重大财务损失和声誉损失的风险。合规要求是商业银行经营活动的最低标准,因此商业银行应当持零容忍的态度,很多国际知名银行也都将合规风险视同“丑
11、闻”来处理,并且合规风险也被监管部门和社会公众所关注。之所以会如此,原因在于其他类型的风险发生存在客观性,商业银行甚至有时是不可能全面预见、控制和避免的,但是合规风险不同,毕竟法律规定、行业准则和职业道德都是看得见的,就算是对于缺乏金融专业知识的社会公众而言也不难理解银行没有遵守合规要求所存在的错误.因此,防范合规风险,不仅是为了避免受到监管机关的惩罚,而且是要避免发生声誉风险。商业银行合规风险管理指引第四条规定:“合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性,确保各项风险管理政策和程序的一致性.”巴塞尔委员会2005年制
12、定的合规与银行内部合规部门引言部分第4项规定:“合规法律、规则和准则通常涉及如下内容:遵守适当的市场行为准则,管理利益冲突,公平对待消费者,确保客户咨询的适宜性等。同时,还特别包括一些特定领域,如反洗钱和反恐怖融资,也可能扩展至与银行产品结构或客户咨询相关的税收方面的法律。如果一家银行故意参与客户用以规避监管或财务报告要求、逃避纳税义务等的交易或为其违法行为提供便利,该银行将面临严重的合规风险。”相比于其他风险类型,合规风险不仅更为基础,而且在很多情况之下也是诱发信用风险、市场风险、操作风险等风险从而导致银行发生重大损失的重要原因.合规风险的管理工作也是商业银行其他类型风险管理工作的一部分。因
13、此,对于合规风险,监管机构的处罚本身只是手段而非目的,商业银行不应当只考虑是否会被处罚这样的直接后果,而是应当从减少自身财务损失来对合规风险加以认识。防范合规风险不仅仅是对法律规定、行业规则和职业道德的遵守,而且应当是诚心实意的遵守,在某些情况之下,利用监管规定所存在的漏洞进行经营活动,或者以所谓的金融创新来规避限制打擦边球,这种行为本身就是非常危险的,因为这种行为只关注如何避免被监管机关处罚,却忽视了相关规定都是在银行业多年以来遭受重大损失的经验教训基础上总结和制定的,遵守这些规定是为了避免重蹈覆辙.更有甚者,为了符合监管规定,商业银行不是主动调整和改变自己,而是反过来去影响监管机关要求监管
14、机关来改变既有监管标准.如果监管标准不合理,商业银行遵守者提出适当的反馈意见以争取监管的改进是可以的,但如果是自己达不到正常的监管标准,而是游说监管机构降低标准,这种掩耳盗铃的做法甚至可能会引发银行业严重的系统性风险。由此可见,巴塞尔委员会合规与银行内部合规部门和商业银行合规风险管理指引都强调合规是应当从商业银行高层即董事会、高级管理人员做起,是商业银行所有员工的共同责任,并且商业银行要注重合规文化的建设是十分必要的。二、公司治理及内部控制对风险防范的制度作用如前所述,商业银行内部法律及合规风险的有效管控,是商业银行对外得以良好的风险经营的前提。商业银行管理包括法律及合规风险在内的所有风险,都
15、离不开良好的公司治理以及内部控制制度。(一)商业银行的公司治理2013年银监会制定的商业银行公司治理指引第三条规定:“商业银行公司治理是指股东大会、董事会、监事会、高级管理层、股东及其他利益相关者之间的相互关系,包括组织架构、职责边界、履职要求等治理制衡机制,以及决策、执行、监督、激励约束等治理运行机制。”由此可见商业银行的公司治理基本结构与一般的股份有限公司并无区别。公司治理简而言之,就是在公司内部明确谁负责做什么,并确保如何能够做好。1、什么是良好的商业银行公司治理巴塞尔委员会在强化公司治理指导原则中认为:“有效的公司治理是获得和维持公众对银行体系信任和信心的基础,这是银行业乃至整个经济体
16、系稳健运行的关键所在。良好的银行公司治理应达到的标准包括:一是能够提供适当的激励,使董事会和管理层符合公司和股东利益的目标,并实施有效的监督;二是建立在合理有效的法律法规、监管规定和内部制度的基础之上;三是应用至各种所有制结构的银行,包括国有银行或国家支持的银行。银监会商业银行公司治理指引第七条规定:“商业银行良好公司治理应当包括但不限于以下内容:(一)健全的组织架构;(二)清晰的职责边界;(三)科学的发展战略、价值准则与良好的社会责任;(四)有效的风险管理与内部控制;(五)合理的激励约束机制;(六)完善的信息披露制度.通过上述对比可以看出,巴塞尔委员会对有效公司治理是从目标和结果的角度所作的
17、界定,而银监会则是从构建良好的公司治理结构所应当具备的制度要件角度所作的界定,二者实际上是殊途同归的.2、商业银行为什么要有良好的公司治理公司治理结构并不是一种形式上的部门划分,这是基于公司所有权和经营权分离的情况而衍生出的制度安排。商业银行作为一个法人机构,其行为对外作出是通过内部不同角色的个体各自的内部行为组合完成的,而公司内部每一个角色在作出行为时都会有自己的利益和意志.纯粹的依赖人与人的信任关系是不足以维系一个公司有效运行的,因为每一个角色做出自己的行为时都有可能犯错误,这种错误既有可能是工作中的错判或者疏忽,也有可能是个体利益优先于公司利益的道德风险。因此,公司治理结构是解决决策执行
18、和制衡监督这两方面问题的基本制度安排。从风险管理的角度而言,良好的公司治理所形成的是一种集体运行的自动风险防控机制,而不是依赖于个体意志的手动风险防控机制。巴塞尔委员会在强化公司治理指导原则中,就复杂或不透明的公司治理结构对于董事会和高管层提出了两项基本要求,即“知晓你的结构”和“理解你的结构”。商业银行的董事会和高管层对于公司治理结构的深刻认识,是确保商业银行有良好公司治理,进而实现稳健风险经营的必要条件。3、商业银行董事会对风险管理承担最终责任我国公司法对于股东大会、董事会、以经理为代表的高级管理人员和监事会的职权有明确的列举。概括而言,董事会负责制定方案,股东大会负责批准,高管层负责执行
19、,监事会负责监督,即董事会在公司治理结构中处于中心地位。银监会商业银行公司治理指引在公司法基础之上结合商业银行的经营特点,作了更为具体和有针对性地划分.而具体到商业银行风险管理层面,也遵循着上述基本制度架构,例如以下规定:(1)商业银行公司治理指引第八十二条规定:“商业银行董事会对银行风险管理承担最终责任.商业银行董事会应当根据银行风险状况、发展规模和速度,建立全面的风险管理战略、政策和程序,判断银行面临的主要风险,确定适当的风险容忍度和风险偏好,督促高级管理层有效地识别、计量、监测、控制并及时处臵商业银行面临的各种风险.”(2)商业银行操作风险管理指引第六条规定:“商业银行董事会应将操作风险
20、作为商业银行面对的一项主要风险,并承担监控操作风险管理有效性的最终责任。主要职责包括:(一)制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策;(二)通过审批及检查高级管理层有关操作风险的职责、权限及报告制度,确保全行的操作风险管理决策体系的有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;(三)定期审阅高级管理层提交的操作风险报告,充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性;(四)确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险;(五)确保本行操作风险管理体
21、系接受内审部门的有效审查与监督;(六)制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系地建设。(3)商业银行合规风险管理指引第十条规定:“董事会应对商业银行经营活动的合规性负最终责任,履行以下合规管理职责:(一)审议批准商业银行的合规政策,并监督合规政策的实施;(二)审议批准高级管理层提交的合规风险管理报告,并对商业银行管理合规风险的有效性作出评价,以使合规缺陷得到及时有效的解决;(三)授权董事会下设的风险管理委员会、审计委员会或专门设立的合规管理委员会对商业银行合规风险管理进行日常监督;(四)商业银行章程规定的其他合规管理职责.通过上述职责列举可以看出,董事会在风险管理过程中是舵手的
22、角色。商业银行法律及合规风险的管控首先要从董事会的层面自上而下的抓起,制定相应的战略、制度、政策和文化.董事会所负责的风险管理最核心的是将股东的风险偏好传达给管理层,并确保其贯彻执行.“统一的风险偏好,是银行各项风险管理活动的指南,是大型商业银行实现风险管理目标的重要保障。选择与确定风险偏好是银行最重要的战略管理行为,同时围绕风险偏好,构建科学合理的风险管理体系才能确保风险偏好成为业务发展和风险管理活动的共同指针.”4、商业银行公司治理中的制衡监督如前所述,公司治理结构对于公司内部个体具有监督制衡的制度作用,这种监督制衡既体现在股东大会对董事和监事的任命,以及董事会对高级管理人员的任命上,也体
23、现在董事会及高级管理人员的工作不受无理干涉,监事会对董事会和高级管理人员的监督,以及董事会或监事会决定公司对损害公司利益的股东、董事和高级管理人员提起诉讼的权利上。对此商业银行公司治理指引有明确的规定。此种监督制衡实际上是对于关联交易、股东滥用控制权以及董事高管违反勤勉义务和忠实义务等可能会造成公司损失的情况进行事先防范、事中控制与事后追责的有机统一。特别的,对于关联交易,按照商业银行公司治理指引的要求,商业银行应当作出一系列特别的制度安排:(1)关于股东第十四条规定:“商业银行应当制定关联交易管理制度,并在章程中规定以下事项:(一)商业银行不得接受本行股票为质押权标的;(二)股东以本行股票为
24、自己或他人担保的,应当严格遵守法律法规和监管部门的要求,并事前告知本行董事会;非上市银行股东特别是主要股东转让本行股份的,应当事前告知本行董事会;(三)股东在本行借款余额超过其持有经审计的上一年度股权净值,不得将本行股票进行质押;(四)股东特别是主要股东在本行授信逾期时,应当对其在股东大会和派出董事在董事会上的表决权进行限制。”第十五条规定:“商业银行应当在章程中规定,同一股东及其关联人不得同时提名董事和监事人选;同一股东及其关联人提名的董事(监事)人选已担任董事(监事)职务,在其任职期届满或更换前,该股东不得再提名监事(董事)候选人;同一股东及其关联人提名的董事原则上不得超过董事会成员总数的
25、三分之一.国家另有规定的除外。(2)关于董事第五十二条规定:“董事个人直接或者间接与商业银行已有或者计划中的合同、交易、安排有关联关系时,应当将关联关系的性质和程度及时告知董事会关联交易控制委员会,并在审议相关事项时做必要的回避。”第五十三条规定:“非执行董事应当依法合规地积极履行股东与商业银行之间的沟通职责,重点关注股东与商业银行关联交易情况并支持商业银行制定资本补充规划。第二十一条第二款规定:“独立董事是指不在商业银行担任除董事以外的其他职务,并与所聘商业银行及其主要股东不存在任何可能影响其进行独立、客观判断关系的董事.”第二十四条规定:“审计委员会、关联交易控制委员会、提名委员会、薪酬委
26、员会原则上应当由独立董事担任负责人,其中审计委员会、关联交易控制委员会中独立董事应当占适当比例。”第四十七条规定:“独立董事在同一家商业银行任职时间累计不得超过六年.”第五十条规定:“商业银行应当在章程中规定,独立董事不得在超过两家商业银行同时任职。”第五十四条规定:“独立董事履行职责时应当独立对董事会审议事项发表客观、公正的意见,并重点关注以下事项:(一)重大关联交易的合法性和公允性;”(3)关于高级管理人员第六十六条规定:“高级管理人员应当遵循诚信原则,审慎、勤勉地履行职责,不得为自己或他人谋取属于本行的商业机会,不得接受与本行交易有关的利益。”(二)关于商业银行法律及合规风险的内部控制2
27、007年银监会制定的商业银行内部控制指引第二条规定:“内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。第三条规定:“商业银行内部控制的目标:(一)确保国家法律规定和商业银行内部规章制度的贯彻执行。(二)确保商业银行发展战略和经营目标的全面实施和充分实现。(三)确保风险管理体系的有效性。(四)确保业务记录、财务信息和其他管理信息的及时、真实和完整。2008年财政部、证监会、审计署、银监会和保监会五部委制定的企业内部控制基本规范第三条规定:“内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目
28、标的过程.内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”根据前述规定可以看出,内部控制与监管机关的外部监管相对,是商业银行自我监管的一项重要的制度,对于防范法律及合规风险具有重要作用。千里之堤溃于蚁穴,对于内部控制而言,在风险暴露和损失发生之前,纰漏并无大小之别,但事后的评判是没有意义的,有时一个看似并不严重的内部控制问题,也有可能会颠覆掉商业银行稳健经营的成果。严格执行内部控制制度本身就属于合规的要求,因此内部控制的瑕疵属于合规风险,应当执行零容忍的态度.内部控制风险防范的重点为形形色色的操作风险,而法律风险也
29、应为内部控制所重点针对的对象。有两个关于内部控制问题而导致商业银行遭受重创的著名案例,即巴林银行倒闭案和法国兴业银行巨额亏损案,这两个案件均是由于内部控制机制失灵导致合规风险和法律风险的爆发:案例1:巴林银行倒闭案巴林银行集团是有232年历史的老牌英国银行,在全球拥有雇员1300多人,总资产逾94亿美元,所管理的资产高达460亿美元,在1995年2月17日,巴林银行破产。巴林银行破产的直接原因,是其新加坡分行的一名交易员尼克李森违规交易造成的。李森的工作,是在日本的大阪及新加坡进行口经指数期货套利活动。然向李森井没有严格地按规则去做,当他认为日经指数期货将要上涨时,不惜伪造文件筹集资金,通过私
30、设账户大量买进日经股票指数期货头寸,从事自营投机活动.然而,日本关西大地震打破了李森的美梦,日经指数不涨反跌,李森持有的头寸损夫巨大.若此时他能当机立断斩仓,损失还是能得到控制,侗过于自负的李森在1995年1月26日以后,又大幅增仓、导致损失进一步加大。1995年2月23日,李森突然失踪,其所在的巴林新加坡分行持有的日经225股票指数期货合约超过6万张,占市场总仓量的30%以上,预计损失逾10亿美元之巨。这项损失,已完全超过巴林银行约5。41亿美元的全部净资产值。巴林银行破产的原因是多方面的,概括起来上要有:(1)巴林银行内部管理不善,缺乏风险防范机制。在新加坡分行,李森既是清算部负责人,又是
31、交易部负责人,一身二职,说明巴林银行内部管理极不严谨.同时、巴林银行也没有风险控制检验机构对其交易进行审计.巴林银行管理层知道李森在关西大地震后仍在增加仓位,却继续在1995年1月至2月间将10亿美元以上资金调拨给新加坡分行,充分说明巴林银行风险意识薄弱。巴林银行设立新加坡分行,在组织形式上也欠周详考虑,如果注册为全资子公司而不是分公司,也就不会招致巴林银行全军覆没的后果.(2)过度从事期货投机交易,超出自身财务承受能力从事过度投机有关.(3)混淆代客交易和自营交易,对风险无法进行辨识,最终导致控制的失败。(4)奖金结构忽视企业风险系数.奖金与基本年薪的比例失衡且忽视对风险的考虑,就会使员工为
32、获得高额奖金不恰当地增加公司的风险.案例2:法国兴业银行巨额亏损案法国兴业银行(法兴银行)创建于1864年5月,是有着近150年历史的老牌欧洲银行和世界上最大的银行集团之一,其总部设在巴黎,市值仅次于法国巴黎银行。法兴银行曾一度被认为是世界上风险控制最出色的银行之一.但2008年1月,因期货交易员杰罗姆科维尔在未经授权情况下大量购买欧洲股指期货,形成49亿欧元(约71亿美元)的巨额亏空,创下世界银行业迄今为止因员工违规操作而蒙受的单笔最大金额损失。据称,科维尔通过勾结中台交易主力,同时利用其上级主管专业经验不足等缺陷,采用技术手段,突破了一系列内部程序和内部控制关口.1、内部控制的原则和要素企
33、业内部控制基本规范第四条规定:“企业建立与实施内部控制,应当遵循下列原则:(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。(二)重要性原则.内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。企业内部控制基本规范第五条规定:“企
34、业建立与实施有效的内部控制,应当包括下列要素:(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略.(三)控制活动.控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。(四)信息与沟通.信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通.(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控
35、制缺陷,应当及时加以改进.建设银行首席经济学家黄志凌先生在风险经营-商业银行的精髓一书中认为:“完善的商业银行内部控制体系要满足一些基本标准,一是内控体系要覆盖主要业务种类和流程;二是实现所有员工在各项业务操作中有章可循,并且规章制度可以有效执行;三是内部程序对不同的执行对象要体现一定差别化的灵活性,即对经验丰富并得到银行授权认可的执行者在操作中有一定的自主性;四是内部程序的设计和执行要考虑成本,包括管理成本和机会成本;五是内部程序的设计要建立在对业务主要关键流程环节进行风险评估和知晓确认的基础上。”虽然商业银行内部控制有一整套复杂的体系,但良好的内部控制并不以复杂为评判标准,而是要看是否有效
36、设置管控措施。对此,可以借鉴处理航空事故的“瑞士奶酪模型”来解释.瑞士奶酪模型的主体思想是组织活动可以分为不同层面,每个层面都有漏洞,不安全因素就像一个不间断的光源,刚好能透过所有这些漏洞时,事故就会发生。2、从传统的层级式转变为矩阵式内部控制传统的总分行层级式内部控制架构早已不再适应市场经济条件下的自由度,加上金融创新的层出不穷,商业银行经营的地域范围和经营的资金规模不断扩大, 总分行层级式内部控制架构无法有效地管理内部的法律及合规风险。近年来我国商业银行的内控已经开始从传统的总分行层级式管控开始向矩阵式内部控制改进。商业银行内部控制指引第十五条规定:“商业银行应当明确划分相关部门之间、岗位
37、之间、上下级机构之间的职责,建立职责分离、横向与纵向相互监督制约的机制。”此条规定,就是对矩阵式内控结构的诠释。矩阵式内控结构,实际上是将公司治理结构中所蕴含的决策执行和制衡监督内涵外延到公司的业务层面。矩阵式实际上是集中化和扁平化相结合,主要包括两个方面,一是垂直管理,二是平行作业。所谓垂直管理就是指风险管理部门及管理体系应当是专业和独立的,从董事会、总裁到风控总监再到独立的风险管理部门(包括风控、合规、法律、监察、审计等).所谓平行作业就是不同角色的岗位分置,尽量避免出现岗位兼职,按照“四眼原则,实现不同岗位之间的配合和制约。例如商业银行内部控制指引的以下规定:第三十三条规定:“商业银行授
38、信岗位设置应当做到分工合理、职责明确,岗位之间应当相互配合、相互制约,做到审贷分离、业务经办与会计账务处理分离。”第五十七条规定:“商业银行资金业务的组织结构应当体现权限等级和职责分离的原则,做到前台交易与后台结算分离、自营业务与代客业务分离、业务操作与风险监控分离,建立岗位之间的监督制约机制。第七十九条规定:“商业银行应当严格执行”印、押、证”三分管制度,使用和保管重要业务印章的人员不得同时保管相关的业务单证,使用和管理密押、压数机的人员不得同时使用或保管相关的印章和单证。”第八十七条规定:“商业银行办理结汇、售汇和付汇业务,应当对业务的审批、操作和会计记录实行恰当的职责分离,并严格执行内部
39、管理和检查制度,确保结汇、售汇和收付汇业务的合规性。”第一百零七条规定:“商业银行会计岗位设置应当实行责任分离、相互制约的原则,严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作.”第一百一十九条规定:“商业银行应当对计算机信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理,开发环境应当与生产环境严格分离。”矩阵式内控结构可以在一定程度上管控商业银行内部人员的失职风险或者道德风险,但可能仍然会有“业绩激励所导致的“审批免责”的不良现象。一方面下级在向上级汇报时有可能重点强调潜在收益而淡化或回避风险,另一方面不同部门的工作人员只关注自己的一亩三分地,尤其是业务部门以业绩压力来迫使
40、风控、合规及法律部门妥协.此种情况下相关工作人员所抱有的心态是只要是领导决策的,风控、合规及法律部门通过的,我就可以做,就有人给我背书,审查是否有风险不是我的责任,以后就算出了事也不全是我的责任。与此种心态相对应的另一种心态是“不做事就不会错”,即决策层难以决策或者回避决策,或者风控、合规及法律部门尽量列举和放大风险因素以实现免责。前者是忽视风险的激进,后者则是影响经营的消极,出现以上两种现象的任何一种,都说明内部控制存在问题。良好的内部控制一定是兼顾效率的风险制衡机制.解决上述问题的方法之一,就是避免“唯业绩论的薪酬激励制度,注意建立起合理的注重长、中、短期相结合,业绩激励与风控责任相结合的奖罚制度。黄志凌,风险经营-商业银行的精髓,人民出版社,P99100黄志凌,风险经营-商业银行的精髓,人民出版社,P26黄志凌,风险经营商业银行的精髓,人民出版社,P295本部分内容概括引述了黄志凌先生的观点,风险经营-商业银行的精髓,人民出版社,P351(未完待续)