时间:2020-05-20 作者:马志娟 周波 (作者单位:南京审计学院)
[大]
[中]
[小]
摘要:
2004年,美国COsO委员会颁布了《企业风险管理框架》(Enterprise Risk Management————Integrated Framework,下文简称ERM框架),在世界范围内产生了深远的影响。本文将借鉴ERM框架中所提出的现代企业内部控制理论,深入分析2006年2月中国银行双鸭山四马路支行的9.146亿元承兑汇票大案(下文简称中行双鸭案)发生的根源,揭示中国银行在内部控制和风险管理上存在的诸多问题,并进一步探讨该案对于我国商业银行利用ERM框架改善内部控制体系的启发。
一、案件分析
自2003年3月起,中国银行双鸭山分行四马路支行行长伙同下属业务员,先后为黑龙江省集贤县富强粮油贸易有限公司董事长朱德全非法开具空白承兑汇票96张,滚动金额达9.146亿元。直到2006年2月,行长胡伟东被强制轮岗调离四马路支行之后,这一特大非法出具票证、票据诈骗案才在一次偶然的汇票承兑过程中败露。这一恶性要案暴露了中国银行不完善的内部控制环节和较大的操作风险。
(一)误用传统的内部控制措施,忽视总体内部环境的营造
首先,中行系统对于传统内部控制措施的运用存在明显漏洞,具体表现是不完备的授权批准控制。作为内部控制的基本准则,授权批准制度可以从源头上防止...
2004年,美国COsO委员会颁布了《企业风险管理框架》(Enterprise Risk Management————Integrated Framework,下文简称ERM框架),在世界范围内产生了深远的影响。本文将借鉴ERM框架中所提出的现代企业内部控制理论,深入分析2006年2月中国银行双鸭山四马路支行的9.146亿元承兑汇票大案(下文简称中行双鸭案)发生的根源,揭示中国银行在内部控制和风险管理上存在的诸多问题,并进一步探讨该案对于我国商业银行利用ERM框架改善内部控制体系的启发。
一、案件分析
自2003年3月起,中国银行双鸭山分行四马路支行行长伙同下属业务员,先后为黑龙江省集贤县富强粮油贸易有限公司董事长朱德全非法开具空白承兑汇票96张,滚动金额达9.146亿元。直到2006年2月,行长胡伟东被强制轮岗调离四马路支行之后,这一特大非法出具票证、票据诈骗案才在一次偶然的汇票承兑过程中败露。这一恶性要案暴露了中国银行不完善的内部控制环节和较大的操作风险。
(一)误用传统的内部控制措施,忽视总体内部环境的营造
首先,中行系统对于传统内部控制措施的运用存在明显漏洞,具体表现是不完备的授权批准控制。作为内部控制的基本准则,授权批准制度可以从源头上防止舞弊的发生,是内部控制系统的第一道防线。在中行双鸭案中,根据商业银行票据管理规定,四马路支行行长胡伟东并无权利接触或管理本应由分行以上的机构统一管理的空白银行承兑汇票。但胡伟东等人竟以票据作废为名,私下截留多达96张空白汇票,并用于账外经营长达3年之久。按规定,作废的票据应装订回收,不能流失,四马路支行的上级部门显然并未尽其监督回收和会计凭证检查之责,为胡伟东等人越权舞弊制造了机会。
其次,中行系统单纯依赖“轮岗交流、岗位分离”的传统内部控制措施,重“控制环境”的构建,轻“内部环境”的营造。尽管中行双鸭案相关违法行径被发现得益于轮岗交流,但案件真正大白天下源于2006年2月7日山东莱芜建行在处理一笔兑付期已到的汇票时,要求出票行四马路支行付款,此时新到任人员方发现该笔汇票实属盗用。如果没有莱芜建行的提示付款,朱德全非法盗用的汇票很可能会继续于中行财务系统之外畅通流转。而另一种传统内部控制方法——职责分离的无效性也在双鸭案中体现。四马路支行的人员职位构造中确实做到了职责分离,包括章证分管、领导审批、会计复核等程序,但这种简单的内部牵制体系很容易被职员间的相互勾结所打破。据了解,涉嫌双鸭案的5名银行工作人员中就包括了凭证管理员、管章人员、复核人员和负责审批的行长及副行长。从领导到经办员,全部参与到违法活动中,银行的监督制约机制形同虚设。
第三,忽视风险文化的建设。管理层和员工对待风险控制的态度直接决定了企业内部环境的优劣。在中行双鸭案中,涉嫌违法员工的作案手段并无高明之处,仅仅是在重复“信贷账外经营”的把戏——胡伟东盗用票据为朱德全非法开具汇票,朱德全通过贴现票据获得短期贷款,在汇票到期兑付时,朱德全再直接向贴现行偿还,完成资金的体外循环。毋庸置疑,这一违规运做的风险是巨大的,一旦资金链断裂,循环将无法完成;同时,账外经营使银行对于借款人的信用状况和还款来源一无所知,使整个银行置于极度危险的状态。在双鸭案中,朱德全将通过贴现盗取的大量资金用于期货投机,酿成巨额亏损,导致上述资金体外循环的中止,给中行带来了近1亿元的损失。正是由于中行系统尚未建立真正的风险文化,特别是基层机构工作人员对风险管理和内部控制缺乏必要的了解和重视,才使得十多年前拙劣的“账外经营”仍屡禁不止。
(二)银行内部的法人不统一使高级管理层设立的目标无效
从目标设定的角度分析中行双鸭案产生的根源可以发现,由于我国银行业普遍存在公司治理和分支行制度的缺陷,使总行一级法人授权经营制度流于表面,无法真正实施。数量众多且按行政区划设置的银行分支机构并不能完全按照总行的整体经营战略进行操作,上级行与下级行之间不存在统一的法人,致使管理极度分权化,总行实际上成为控股公司的角色,分行则成为一级法人机构。因此,在总行根据银行整体的风险偏好和风险容忍度制定了战略目标和其他相关目标之后,法人的不统一和政策传达渠道的不通顺使分支行往往建立不同于总行的运作目标和收益函数来达到自身效用的最大化。这种总分行目标分离的体系使基层机构在展开业务时随意设立目标,忽视实现该目标对银行整体所带来的风险。
中行双鸭案正体现了这一点。中行对基层银行的考核以信贷业务量为衡量指标,四马路支行的涉案职工在票据业务操作时,为完成吸存放贷量最大的目标及获取账外经营所带来的高额贷款利息,忽视巨大的操作风险,不惜以提供账外汇票业务为交换条件。追求自身福利最优的分支机构和追求全行利益最大、风险最小的总行之间目标设定的差异是导致双鸭案产生的深层次原因之一。
(三)事项识别、风险评估、风险反应及控制活动不完善
事项识别、风险评估、风险反应、控制活动是企业在面对风险时应采取的四个连动的反应步骤。中行双鸭案中,从四马路支行的上级银行双鸭山分行到黑龙江分行再到中行总行,对其长达三年的账外经营竟一无所知,这暴露出中行系统在主动的风险识别和评估机制方面的缺乏。我国商业银行对于市场风险和操作风险尚未建立完整科学的风险指标体系和量化标准,因此尽管每年均按时进行常规的内部稽核检查,但掩藏在会计账目之外的操作风险却难以被揭发。
在中行的组织结构中没有设专职的风险经理或风险主管,风险控制活动全部依附于相应的业务部门,如信贷管理部和稽核部,而这些部门往往缺乏独立进行风险管理的能力,且各部门在日常的控制活动中往往各自为政,缺乏相互交流,致使风险管理的效率低下。
(四)银行内部的信息与沟通渠道不通畅
ERM框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。同时ERM框架指出,企业信息系统的基本职能应以时间序列的形式收集、捕捉数据,其收集数据的详细程度视企业风险识别、评估和反应的需要而定,应保证将风险维持在风险偏好的范围内。中行双鸭案暴露了中国银行内部的信息交流系统极不通畅,上级行与下级行存在严重的信息不对称。
银行内部组织结构的设计不合理是造成信息沟通不畅的主要原因。我国多数银行的分支行纵向结构冗长,从起点的总行到末端的分理处共有五个不同层次,且机构的数目随着层次的下移而成倍地增加,在这样复杂的结构特征中,层次间建立畅通的信息沟通渠道比较困难,而跨层次间的信息互通交流(如总行与二级分行、一级分行与支行)更加阻碍重重。另外,账户、交易信息、客户管理系统的不完善和数据中心的建设不完备也为总行及时了解基层机构的动态设置了障碍。
(五)内部监控体系的构造不合理和外部监控制度的设计不完备
聚焦中行的内部审计管理机制会发现,其组织架构存在不合理性;中行的各级分支机构都设有内审部门并配备了审计师,内审部门隶属于总行的内部控制委员会,其工作职责向行长负责,但其工作人员的福利安排及人事调度却由所在行决定,存在“双重领导”的问题,内审部门的独立性被削弱。另外,高级管理层在内部控制监控中也承担着不可替代的作用,而中行在这一方面也存在漏洞:在总行层面的内部控制体系中,包括稽核委员会、监察稽核部和内部控制委员会在内的三个部门同时负责银行的内部控制活动,明显存在职能交叉、机构冗余的问题。
另一方面,商业银行外部监控的不完备对于双鸭案的发生也负有一定的责任。2005年起,我国开始施行《商业银行内部控制评价试行办法》,这一基于ERM框架起草的评价办法确实起到了改善银行内部控制的效果,但该办法仍按照传统的内部控制五要素(即控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正)进行评分,忽视了对银行内部风险文化、目标设立和事项识别等行为的监控。同时,试行办法第五十九条规定“银监会对商业银行法人机构整体评价时,总部占整体评价得分的60%,分支机构平均得分占整体评价得分的40%,形成最终评级结果。”这一规定反映了对银行内部控制的监测管理侧重于总行层面,对其下属数量多规模大的分支机构仍重视不够,也正因如此,近年来主要的银行大案都发生在地处偏远的支行和分理处,如建行的朝阳支行和铁路支行诈骗案、农行信用社资金被盗案及我们讨论的中行双鸭案。外部监控体系往往在组织的顶端形成严密的保护伞,却不能覆盖到组织末端,造成了基层犯罪的低风险。
二、双鸭案对于商业银行风险管理的启示
(一)引进全面的风险管理政策
1、建设完整的全面风险管理平台。首先银行需要在整个机构内将风险管理流程的定义、规章、程序标准化,在此基础上,按产品、部门、客户来建立头寸,并将头寸细分,通过对风险数据的积累、清洗和分析,将收集的所有有用数据合并组合、保存,建立储存全部头寸、信用交易数据的银行数据库。此外还需确定数据修正的频率,以保证数据系统的准确安全。在不断更新的数据系统的基础上,利用银行长期不同信用等级的客户的贷款违约数据和造成的损失额,确立若干统计评级模型,进一步建立完善的风险内部评级模型,且每年经独立的内部审计部门审查。
2、引进先进的风险管理技术和模型。形成全面风险管理体系不仅需要完整的数据系统和内部评级法体系,还需要一个公共的架构来操作数据并将其转换成风险信息。在全面风险管理体系的运行中,受险价值(VaR)和经风险调整的资本收益率(RAROC)管理模式是两种核心的技术手段。RAROC将未来可预计的损失量化为当期成本,直接对当期收益进行调整,并计算出为潜在风险应做出的资本准备。而VaR值计算出在一定的容忍度(或置信度,置信度=1-容忍度)内,某金融组合或工具在未来一定的时间区间所面临的潜在最大损失金额,精确量化银行面临的风险。我国商业银行应全面推广RAROC和VaR方法,有效地进行大型客户或上市公司的信用风险管理、银行投资组合的市场风险管理等。
3、运用风险信息进行战略性管理。ERM框架创造了“战略性目标”这一概念,要求银行将风险嵌入日常管理外,还需要运用风险信息来管理银行的中长期方向。将风险结合到战略方向的过程中,需要银行内部的计算机智能系统和报告系统支持,但目前我国商业银行较为落后的计算机系统无法达到这一要求。因此建立支持战略性管理风险的IT系统,将大量风险数据转化为动态的风险报告是我国商业银行实现内部控制战略性目标的第一步。在此基础上,进一步创建以风险为基础的银行管理模式,将风险控制技术运用到战略方向的确定上。
(二)重整风险治理组织结构
1、完善风险经理制,确保风险线与业务线的相互独立。科学完备的风险经理制是商业银行风险线的重要构成。近年来,包括建设银行在内的多家商业银行对推行风险经理制进行了有益的探索和尝试,但仍处于初始阶段。对于我国拥有众多分支机构和业务部门的商业银行而言,ERM框架中的组织结构过分简单了,不能满足银行有效控制风险的目的。商业银行应根据不同的机构层次和业务范围,在总行、一级分行、二级分行设立不同类别的风险监控部门和风险经理。
值得强调的是,在商业银行风险经理制的建立中,应注重风险经理与业务经理之间既联系又相互独立的关系。加强业务经理与风险经理的合作,保证银行每项业务都要经过风险经理和业务经理的审查,确保业务拓展与风险管理的协调发展,强化风险与收益平衡的管理理念;同时,保持风险经理与业务经理的相对独立,有效实现银行内部风险承担与风险监控的分离。
2、重组业务风险线,建立嵌入业务流程的风险管理机制。前台的业务部门是银行最终的风险决策者,其对待风险的偏好和容忍度直接决定了银行总体的风险水平。在我国商业银行的业务线风险管理中,业务部门应加强风险意识,通过对批发信贷业务、零售信贷业务、中间业务等进行风险评估和收益测算,将基础资源配置到风险最小、收益最大的业务线中,以实现银行利润的最大化。
而具备细分客户群的风险定价能力则是商业银行成功实施信贷战略的保证。因此,我国银行的信贷业务部门应积极利用VaR技术对银行风险成本和风险资本进行核算,同时以RAROC为核心指标,对零售客户和大、中、小型企业客户的信贷业务进行绩效考核,并在此基础上配置资本、重组业务线,实现银行业务组合综合收益的最大化和组合风险的最小化。
3、改造内部审计流程,强化审计部门的权威和独立性。ERM框架强调了内部审计部门在企业内部控制体系中的监控地位,该部门的有效运行是确保风险事件的相关信息被传递至适当管理层,从而获得商业银行整体风险容忍度的保证。在商业银行重塑内部审计流程的过程中,应实行全行内部审计部门的垂直领导,各级内审部门的人事、工资直接由上级内审部门进行管理,形成贯穿于全行的独立的内部审计线。
(三)再造内部环境
1、深入推进扁平化、垂直化管理。在分支行制度改革方案的设计上,对于如中国银行、建设银行的大型商业银行应以二级分行为重点推进扁平化改革,将控制支行的权力上收至一级分行,二级分行的管理层次将逐步被取消。同时,实现全行的数据互通交流,总行则成立专门的银行卡分支机构、专门的数据处理中心、贷款评估中心,建立内部垂直的稽核审计系统,实现真正意义上的总行一级法人授权经营制度。对于中小商业银行,应根据民生银行和交通银行垂直化改革的成功经验,建立适合自身特点的分支行架构。应选择强势业务,如零售业务或批发信贷业务,实现重点业务项目的总行集权,以一级分行为重点进行垂直化管理。同时,将其业务覆盖地域进行划分,在不同划分地域内设立处理包括授信、评审、稽核等业务在内的区域中心,形成分行、区域中心和总行的“三级制”控制。
2、培育风险文化。与国际先进银行相比,我国商业银行缺乏一种渗透于银行所有业务活动中的企业文化。对此,我国商业银行应倡导和强化全员风险意识,逐步创造适合自身发展需要,培养员工诚实性和道德观的银行风险文化。在商业银行培育风险文化的过程中,需注意以下几点:首先,应充分发挥高级管理人员的导向作用。其次,应制订完备的员工管理法规,积极建立银行风险文化中的制度文化。再次,应积极培养全部银行员工的“风险组合观”,使全行上下从总体的、组合的角度理解风险。最后,建立以培养风险素质为主要内容的“员工学习型组织”。
责任编辑 杨曼
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号