大案频发暴露银行业内控十大缺陷
大案频发暴露银行业内控十大缺陷 篇1
大案频发暴露银行业内控十大缺陷
张吉光
大案频发暴露银行业内控十大缺陷 上海银行发展研究部 张吉光
鸡年伊始,当人们还沉浸于辞旧迎新传统节日的浓厚喜庆氛围之时,上市公司东北高速的一纸公告掀开了中国银行黑龙江河松街支行巨额诈骗案(以下简称高山案)的黑洞,并旋即在中国金融界引起轩然大波。其涉案金额之巨、谋划之周密不但令平民大众为之惊愕,也让金融业界为之震动,乃至于中国银监会罕见地公开对此案做出评价。在中国银行业改革的关键时期和银行业监管新格局的起步阶段,高山案决不会像此前发生的众多金融大案一般很快被人们遗忘,并归于平静;其注定会引起上至高层领导、专家学者,下至平民大众、从业人员的更为持久和强烈的关注,注定会对中国银行业经营管理体制改革和全面风险管理体系的建立产生巨大影响;对现有银行监管体系和思路形成巨大挑战,并加速其转型;从而在中国银行业发展历程中留下可圈可点之处。
近几年来,随着我国金融改革与开放的不断深入,特别是国有商业银行股份制改造的启动和中国银监会的成立,国内商业银行的经营管理水平和风险控制能力相比以前有了很大提高。但频频发生的金融大案明白的告诉我们,国内商业银行的风险控制能力仍不容乐观。从余振东到王雪冰,再到刘金宝、丁燕生,一个个金融高官纷纷落马;从中行开平支行案件到工行河南票据诈骗案,再到高山案,一起起令人震惊的诈骗大案频频发生;从2003年审计署查出工商银行各类涉嫌违法犯罪案件30起,涉案金额69亿元,进而工商银行处理相关责任人368名,到2004年中国银监会查出并处理四大国有商业银行违规机构157家、违规人员1841名;种种迹象显示,国内商业银行的内控体系存在重大缺陷,并成为各商业银行发展过程中挥之不去的痛。而高山案则再次为我们敲响了警钟。
一、内控意识薄弱,内控优先理念缺乏。
用什么样的内控意识指导商业银行的内控建设和运行在很大程度上决定着内控的有效性。内控意识薄弱导致的必定是内控体系的脆弱和低效,甚至于无效。概括来讲,内部控制的核心理念就在于内控优先。也就是说,商业银行在开展经营管理活动时,小到日常业务办理,大到新产品开发、新机构设立,都必须事先考虑到其可能存在的风险点,进而采取有效的控制措施。这既是商业银行审慎经营的特性使然,亦是银行实现可持续发展的根本保证。但目前国内商业银行的现状却是内控意识的薄弱和内控优先理念的缺乏。这集中体现在,很多银行过分追求规模扩张和发展速度,而忽视风险管理和内部控制;过于重视营销,而轻视内控;重放贷,轻管理;打擦边球,钻制度的空子等等。这虽然会使商业银行在短期内取得快速发展,但往往会因内控跟不上而潜藏巨大风险隐患,甚至于发生大案、要案。分析这两年发生的金融大案,有一个非常奇怪的现象值得深思,即那些落马的官员大多是以前的业务能手或营销能手,甚至于精英人才;而那些出事的分支行则多为前几年发展较快、业绩突出的分支机构。比如高山案中的中行河松街支行和支行行长高山,中行开平支行案中的开平支行和余振东、许超凡以及山西太原7.28金融诈骗案中的杜建国。这充分表明内控意识和内控优先理念是商业银行实现风险控制前提下稳健发展的关键,是商业银行构建有效内控体系的前提。而近两年来国内银行业之所以频频发生金融大案,某种程度上讲,其根源就在于内控意识的薄弱。
二、激励约束机制不合理,逆向激励问题严重。
合理恰当的激励约束机制可以确保商业银行的每一位员工、每一家分支机构在充分防范风险的前提下发挥最大的积极性,从而确保商业银行在内控体系有效运行进而充分控制风险的前提下取得最佳发展。而不合理的激励约束机制往往会产生逆向激励和道德风险问题。从国内外的有关研究和现实案例来看,一个合理的激励约束机制一般会把内控评价作为重要的考核内容。这会促使商业银行的各分支机构在追求业务发展的同时,做好风险防范工作,从而实现可持续发展。与之形成鲜明对比,国内很多商业银行的激励约束机制存在严重不合理之处。首先,商业银行在对分支机构进行考核时,仍以业务发展为主,考核指标仍为传统的规模指标和速度指标,基本上不考虑内控建设及运行情况。其次,大多数商业银行都设立了数额不等的营销奖励基金,对那些营销做得较好(主要是拉存款)的分支机构进行奖励;而很少有商业银行会专门对那些风险管理做得较好的分支机构进行奖励。在这种激励约束机制下,各商业银行的分支机构必然是大力拓展营销,加大吸存力度,将内控建设让位于业务发展,从而造成内控水平难以适应业务的快速发展,留下风险隐患。以山西太原7.28金融诈骗大案为例,那些涉案商业银行的下属分理处主任之所以会卷入诈骗漩涡并不能自拔,最根本的原因就在于上级机构对其实施的以存款指标为主的考核。在这种考核机制下,各分理处主任的主要任务就是拉存款,这不仅关系到他们的收入,还关系到他们的升迁。在日益激烈的“吸存大战”中,取胜的途径只有两条,要么是以业务拓展费给客户返点;要么是寻找资金贩子帮忙。在不合理机制的逆向激励下,很多分理处主任都选择了后者,从而为日后的违法违规埋下伏笔。可以说,如果这种以“重业务发展,轻内控管理”为主要思想的激励约束机制得不到根本改变,类似案件必定还会上演。
三、内控制度执行不力,形同虚设。
近几年来,在中国人民银行《商业银行内部控制指引》的指导下,各商业银行都加强了自身的内控建设,基本建立了渗透到银行各项业务过程和各个操作环节,覆盖所有部门和岗位的内部控制制度。以经常出现问题的重要空白凭证和印章管理为例,各商业银行大多都按照要求出台了以“实行专人、专库管理,印、押、证三分离,印章管理人员不能监管重要凭证和密押,定期查库、查账,保证账账、账据、账款、账实、账表和内外账相等”为主要内容的内控制度。从理论上讲应该可以起到防范金融诈骗和挪用客户资金案件的发生。而事实却是此类案件仍屡有发生,且成为令各家商业银行非常头痛的顽症。究其原因就在于各商业银行的分支机构并未认真落实这些内控制度,在执行上打折扣,甚至流于形式。纵观近几年国内发生的金融诈骗大案,其诈骗手法不外乎以下几种:利用金融工具诈骗、关联企业相互担保骗取银行贷款、伪造企业公章骗取银行贷款、银行职工利用职务之便挪用客户资金。如果银行相关岗位的操作人员均严格按照有关规章制度来执行,这类诈骗大都可以避免。但受很多因素的影响,比如人情关系、上级干预、利益诱惑、思想上麻痹大意等,相关操作人员往往在执行内控制度上打折扣,睁一只眼闭一只眼,该双人会同的,一个人独立操作;该实行岗位分离的,一人兼任;该实行专人管理的,没有落实专门人员;该定期更换的,长期保持不变;等等诸如此类,从而为案犯作案提供便利。比如这两年经常发生的通过假对帐单迷惑客户并挪用客户资金的情况,各家商业银行均规定了信贷员不能经办对帐单递送工作,可在现实操作中,这一措施往往流于形式,从而为那些心态不正的信贷员作案提供条件。再比如2003年发生的河南工商银行票据诈骗案。在这一案件中,案犯得手的关键就在于票据审核环节出了问题。按照有关规定,办理票据贴现至少要审核以下内容:转出行营业执照、经营许可证;核实办理该业务的人员身份;检查授权书;转出行票据原件;正规增值税发票和供销合同的原件及复印件。令人吃惊的是,向来以票据业务著称的工商银行华信支行的相关人员居然没有发现问题。原因就在于上述内控制度早已被他们束之高阁,根本就没有落到实处。在现实中,制定制度是一回事,执行又是另外一回事,有制度≠制度得到执行,制度制定与执行被人为地割裂成毫无关系的两张皮。这正是很多案件发生的原因所在。
四、内控措施不完善,有效措施缺乏。
切实可行且有效的内控措施是商业银行实现既定内控目标的关键。因此,无论是中国人民银行发布的《商业银行内部控制指引》,还是巴塞尔委员会出台的《银行机构的内部控制制度框架》均对商业银行应该采取的内控措施作出规定。纵观这些内控措施,有两条最为核心的原则和内容贯穿其中,即“职责分离,岗位制约”、“关键岗位的人员轮换和强制休假制度”。这两条可谓是最基本、也是最核心、最有效的内控措施。“职责分离,岗位制约”就是要求商业银行明确划分部门之间、岗位之间、上下级机构之间的职责,不同职责由不同人员承担,并在上述三者之间建立起一种相互监督制约的机制,从而避免违法违规事件的发生。在商业银行业务开展中,“职责分离,岗位制约”最好的体现就是审贷分离和贷管分离。“关键岗位的人员轮换和强制休假制度”的目的在于,通过人员轮换,使后来者可以轻易发现前一任存在的问题,从而在这一岗位上形成一种强有力的无形监督约束机制,督促在岗人员合规操作。反观国内商业银行,在这两项核心措施上,要么是没有得到落实,形同虚设(如放贷与贷后检查的分离);要么是措施缺乏(大多数商业银行未能在全行范围内推行人员轮换和强制休假制度),从而失去了最有效的控制手段和约束机制,为违法违规案件的发生提供空间。以2002年中信实业银行3亿票据诈骗案为例,该案中银行工作人员陈某之所以可以多次开出汇票,在很大程度上是因为银行没有实行专门的贷后检查,陈某兼任信贷员和贷后检查员所致。再比如2004年中国银行开平支行40亿资金盗窃案,由于银行没有实行人员轮换和强制休假制度,除去请假和休息时间之外,三年内支行行长几乎天天呆在同一岗位上,其所做的一切往往很难为外人所知。这正是造成三任行长持续长达九年作案而不被人所知的根源。试想,如果银行实行强制休假制度,由其他人顶替期间的职位空缺,恐怕这一案件早就被发现,甚至于这一案件根本就不会发生。一言以蔽之,核心有效措施的缺乏令商业银行看似固若金汤的内控体系漏洞百出,以至于成为徒有虚名的纸老虎。
五、关键岗位及人员的监督约束机制缺乏。
关键人员作案给银行造成的损失要远远超过一般操作人员。因为关键人员往往拥有一定的人、财、物权,有更多的机会接触重要凭证和印章,也就有更多作案的机会。鉴于此,国外商业银行大都建立了针对关键人员的更为严格的监督约束机制,比如前面提到的人员轮换和强制休假制度;再比如专门的内部稽核(或审计)部门。而从国内商业银行的情况来看,针对关键人员的监督约束机制明显缺乏。一方面,人员轮换和强制休假制度尚未推行,或流于形式;另一方面,内部稽核监督(审计)存在重大缺陷,即重视对基层操作人员的稽核,忽视对高层管理人员(指具有一定权力的管理人员)的审计。这使得银行内部稽核部门的主要精力都放在了基层操作人员身上,而对高层管理人员的稽核,无论是在频率,还是范围上都远不能形成对高层管理人员的有效威慑。这正是最近发生的金融案件呈现出犯案人员职务趋高特征的原因所在。可以说,关键人员作案已成为国内商业银行防不胜防的冷枪暗箭。2002年发生的中信实业银行票据诈骗大案之所以得逞与支行信贷科科长的直接参与不无关系;广东省梅州市兴宁信用社8.8亿元帐外帐更是该信用社主任胡某一手造成;而迅达信用社的破产则是该信用社董事长总经理林芊挪用、侵占信用社资金所致。震动业界内外的中行开平支行案件之所以长期不为人所知,正是支行行长亲自作案的结果。在该案中,支行行长的权力范围包括财务管理、核算管理、授权管理、人事管理及行政管理,却没有相应的监督约束,使其几乎无所不能。于是,支行行长凭借手中大权,控制银行的内部资金,并掌控银行与客户之间的清算过程,利用联行系统漏洞侵占银行资金。从某种意义上说,不论银行的规章制度有多齐全,系统有多完善,只要对关键人员的监督约束不力,案件的发生就难以避免。
六、内部控制的电子化水平较低。
从某种程度上讲,借助于计算机信息系统进行的“机控”要比传统的“人控”更有效率。因为完善的操作系统和信息系统可以使某项业务整个流程的各个环节置于不同部门、不同岗位的监督之下,从而对操作人员形成强有力的约束。而在传统的“人控”方式中,由于人员易受到主观上思想、情绪、业务技能等因素及客观上金钱诱惑、权力压制等因素影响,从而使内控效果打折扣,甚至流于形式。这已被国内外的现实案例所证实。国外银行大多都建立了较为完善的操作系统和信息系统。而国内商业银行则与此相去甚远,内部控制仍停留在传统的“人控”阶段,尤其是内部稽核仍以手工对帐、现场检查为主,电子化稽核水平较低。在此情况下,只要发生内外勾结或内部人串谋的情况,案犯一般都会得手。有调查显示,近几年来国内发生的100个银行诈骗案件中,60%属于内外牵连型诈骗案件,其中内外勾结诈骗造成的损失最大,占损失总额的79.6%;而这种内外勾结型诈骗的得逞率高达91.7%。造成这种结果的根本原因就在于,在缺乏完善的操作系统和信息系统,特别是缺乏电子化稽核制约的情况下,商业银行出台的规章制度和控制措施都会因内部人员的参与作案而流于形式。以中国银行北京某储蓄所员工集体挪用公款炒汇案为例,针对可能存在的风险点,银行出台了相应的控制制度,比如所长、储蓄员、复核员之间的职责分离、岗位制约及监督;但由于所有员工合伙作案,这些制度就成了一纸空文,案件发生也就在所难免。解决这类内部人作案(或参与作案)的情况,加强系统建设是唯一有效途径。提升内控的电子化水平显然已成为各家商业银行的当务之急。
七、信息交流渠道缺乏,沟通不畅。
信息交流与反馈是商业银行内部控制五要素之一。这一要素要求商业银行内部建立并保持畅通的信息交流与沟通的程序,明确对财务、管理、业务、重大案件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。其目的有三:一是,是管理层能够充分了解并识别银行面临的风险,进而采取相应的控制措施;二是,使所有岗位、人员充分了解相关信息,遵守有关责任及制度;三是,险情、事故、案件发生后,有关信息能够得到及时报告和沟通,一方面确保内控体系得到持续改进,另一方面引起行内警示,避免此类案件再次发生。这就要求商业银行内部建立起下行传达、平行沟通、上行汇报三条畅通的信息渠道。下行传达渠道可以使下级分支机构充分了解上级机构和总行的战略方向和决策意图,并在工作中得到落实。平行沟通渠道主要是解决信息在不同岗位之间和不同分支机构之间的共享,如黑名单、客户的不良信息及重大案件,以引起警惕。上行汇报渠道是指下级分支机构要及时将发现的风险点、内控薄弱环节及发生的案情汇报至管理层,确保问题得到及时解决,并使内控体系得到持续改进。对照上述三条信息渠道,国内商业银行的情况不容乐观。首先,制度及决策的下行不畅,贯彻落实不力。这主要是因为上下级分支机构沟通不足,下级机构不能充分理解上级的意图;上级机构在出台相应制度及措施时,没有与下级基层机构充分交流,导致操作性不强。其次,不同分支机构之间的信息共享度极低。大多数商业银行未能做到行内经营管理信息的实时共享。这正是同类案件在同一家银行的不同分支机构中反复发生的原因所在。再次,大多数银行未能真正落实和执行重大案件汇报制度。很多分支机构的负责人在发生案件后的第一反应不是上报,而是掩盖。从而贻误解决问题的最佳时机,并使管理层无法识别现有内控体系的漏洞,并对其进行及时纠正。思想上的轻视是造成国内商业银行信息交流与沟通环节较为薄弱的深层原因。
八、内控责任制缺失,责任追究不当。
内控责任制是确保各项内控制度落到实处、保障内控体系得到持续改进的有效方式。那些内控做得比较好的银行大多建立了完善的内控责任制。内控责任制应包括四方面内容:一是董事会、高级管理层应当对内控的有效性负责,并对内控失效造成的重大损失承担责任;二是内部审计部门应当对检查发现问题隐瞒不报、上报虚假情况或检查监督不力承担相应的责任;三是业务部门和分支机构应当及时纠正内部控制存在的问题,并对出现的风险和损失承担相应的责任;四是高级管理层应当对违反内控的人员,依据法律规定、内部管理制度追究责任和予以处分,并承担处理不力的责任。在内控责任制的约束下,各相关责任人必定会努力确保各项内控制度落到实处,确保各项内控措施发挥效力;进而实现内控体系的持续改进。但目前国内的情况却是内控责任制的缺失。在此情况下,由于不承担责任,相关部门和人员也就失去了严格执行内控制度、维护内控有效性的动力和压力。内控制度出台后得不到落实,内控措施得不到执行,内控体系也就成了中看不中用的空中楼阁。特别是目前各商业银行对内控失控的责任追究不当,一般只处罚案件的当事人,并不追究有关内控负责人及部门的责任。这只能是头疼医头,脚疼医脚。因为内控责任制的缺失使得内控体系的漏洞得不到及时纠正,从而为相同案件的再次发生提供可能。如果对照上面内控责任制的相关内容,最近发生的高山案,除当事人外,有关业务管理部门、内部审计部门,乃至于高级管理层都应承担相应责任。但我们却看不到这一迹象。为什么近年来国内一些商业银行会屡屡发生手段相同乃至于完全一样的案件?内控责任制缺失,责任追究不力罪当其首。
九、内部稽核力量薄弱、水平不高,与业务发展速度不匹配。
商业银行内控体系可概括为决策、建设与管理、执行与操作、监督评价和持续改进五个环节。其中,监督评价环节负责组织检查、评价内部控制的健全性和有效性,发现并督促管理层纠正内部控制隐患和缺陷。现实中,这一环节的职责一般是由商业银行的内部稽核部门(也有的银行称为内部审计部门或合规部门)来完成的。为确保监督评价的充分性、全面性和有效性,对内部稽核部门的独立性、权威性和专业性提出很高的要求。独立性要求内部稽核部门可以不受干扰地独立开展审计稽核,并有直接向董事会汇报的路线,甚至于不经过高级管理层。该部门负责人的聘任和解聘必须经过董事会或监事会同意,以确保其工作不受来自高级管理层的行政干扰。权威性则指内部稽核部门在内部控制的监督评价上享有绝对的权威,对于其发现的问题,相关部门必须在指定期限内予以整改,绝不能推诿扯皮。而专业性对内部稽核部门内审人员的专业水平提出要求,这些人员必须具有从业资格,熟悉银行经营管理、金融企业会计制度及风险管理等相关知识,并具备一定的计算机能力。因为国际上通行的内控手法是以电脑实时监控、定量分析为主的。此外,为确保内部稽核部门切实履行职责,商业银行还需要为其配备充足的人(国际上内部稽核人员一般占总员工数的5%)、财、物等资源。与之对照,国内商业银行的内部稽核显得相当薄弱。首先,有些银行尚未设立独立的内部稽核部门;其次,内部稽核部门隶属高级管理层,受行政体制干扰较多,独立性得不到保障,尤其是在对总行层面进行稽核时,难度相当大;再次,受制于架构设置的缺陷,内部稽核的权威性不强,很多部门和分支机构对其提出的整改要求重视性不高,影响内控改进的效率;第四,大多数银行内部稽核人员配备不足,与5%的比例相去甚远,影响内部稽核的频率和范围;最后,内部稽核人员的专业性不强,有很多人甚至没有内部审计资格,对相关业务不熟,特别是计算机水平不高,不能适应内部稽核发展的电子化趋势。上述因素严重制约了银行内部稽核的水平,以至于很多大案和内控漏洞不能及时发现。2004年工商银行上海外高桥支行姚康达事件、佛山冯明昌骗贷案,最早并非由该行而是审计署发现,就是很好的说明。
十、持续改进机制缺失,内控水平得不到持续提高。
所谓持续改进机制就是商业银行利用内部控制政策、内部控制目标、评价结果、绩效检测和数据分析、纠正和预防措施以及管理评审等,及时发现并纠正内控漏洞与缺陷,实现内控体系有效性的持续提高。持续改进机制是一个由内控监督与评价、信息交流与反馈、内控完善与纠正、管理评审等四个环节组成的有机体系。其中,任一环节出现问题都会引起持续改进机制的失灵。如前所述,国内商业银行在内控监督与评价、信息交流与反馈等环节均存在或多或少的问题,从而造成内控持续改进机制的缺失,内控的有效性长期得不到提高。判断一家银行内控体系的持续改进机制是否健全有效,有一个非常简便的方法,就是查看同一类型案件发生的次数。如果某类案件发生后,商业银行采取了相应纠正措施,自此之后此类案件几乎不再发生,说明该银行的内控持续改进机制是健全有效的。反之,如果某类案件发生之后,银行虽采取了纠正措施,但这类案件还是屡屡发生,则意味着银行的内控持续改进机制是不健全、低效或无效的。按照这一标准来看,国内商业银行的内控持续改进机制普遍不健全且低效或无效。最充分的证据就是近几年来发生的银行大案,大多是内外勾结型或支行行长(分理处主任)内部人作案。往往是并不高明的手法屡屡得逞,频频发生。当然,持续改进机制的建立健全是一项系统工程,绝非一朝一夕之功。
上述缺陷的存在,使得国内商业银行的内控体系犹如窗户纸——一捅就破,只防君子不防小人,从而造成大案、要案频频发生。古人云“防微杜渐”、“亡羊补牢”。“防微杜渐”就是要求商业银行在内控体系建设过程中通盘考虑,不放过任何细节,并注重加强前瞻性研究,对可能存在的问题和漏洞,早作预谋,提前布局,以确保内控体系的健全有效。“亡羊补牢”就是要求商业银行对自己或他人发生的案件,举一反三,有则改之,无则加勉,以确保内控体系的有效性得到持续改进。这两点正是国内商业银行当前需要花大力气去做的地方。