|
二、识别和评价风险
原则4:为了建立一个有效的内部控制制度,必须有效识别和持续评价有关风险,特别是对银行经营目标有负面影响的重要风险。银行面临的其他风险也必须进行评价(主要包括信用风险、国家和支付转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险)。内控制度还必须随时加以修改和完善,对新的或者以前没有控制的风险进行控制。
银行是风险行业。内控制度必须对风险进行识别和评价。识别风险时必须考虑银行的内部因素,银行内部机构组织的复杂性,银行业务本身的特点,职员的素质,机构的变化和人员的流动等等。此外,还必须考虑外部因素,如外部经济形势的变化,各行业和技术的发展等等。这些因素都有可能影响银行的经营。在识别和评价风险时,既要衡量每一个具体的业务的风险,也要衡量银行各项业务和领域的风险;既要对那些可以加以量化的风险进行识别和评价,同时也要对不能量化的风险进行识别和评价;既要确定哪些风险是银行能够控制的,也要确定哪些风险是银行不能控制的;对于不能控制的风险,则要决定是完全撤出该领域,还是减少业务量。此外,银行还要使风险识别适应新业务的发展,如使用一些新的金融创新工具或进入新的市场时,都必须随之完善相应的制度。
三、内控措施和责任分离
原则5:内控措施应该成为银行日常业务中不可分离的一部分。一个有效的内控制度应该首先建立一套适当的内控结构,在银行业务的每一层级都有明确的内控措施。这些内控措施包括:高层审核、不同部门采取的内控措施;对是否遵守风险头寸进行检查,并在出现违规情况时进行监督;建立审批、授权以及核实制度。
原则6:为了建立有效的内控制度,必须建立适当的责任分离制度,银行职员不能承担有利益冲突的工作。对于潜在的利益冲突,必须加以识别,尽可能降低到最低限度,并且进行仔细地、独立地监督。
根据风险识别和评价的结果,银行采取相应的内控措施。这些措施涉及银行的各个层级,这些措施主要包括:第一,高层审核。主要是董事会和高级管理层的审核,经常性地要求各级组织、机构和人员提供定期或不定期业绩报告或述职报告,在审核和检查中发现的问题,必须要求下级部门采取相应的对策和防范措施;第二,业务控制。主要指银行各级部门和分支机构在每天、每周和每月的日常业务工作中所采取的内控措施。比如,信贷部的经理对收回的贷款、拖欠的贷款、利息收入等情况每周进行详细的审核,而更高一级的经理则每月就下属各个部门的情况进行审核,对日常业务进行有效的控制;第三,实际控制。主要是对一些现金和证券资产要加强保管,限制接触这些资产的人员,设置双人保管,定期检查等制度;第四,设立和遵守风险头寸管理制度。在风险管理中,对银行在经营业务中所暴露的风险规定一个谨慎的限度非常重要。常见的比如对同一借款人的限制等等。如果没有遵守这些限度,则应立即采取相应措施;第四,建立授权和审批制度。对于业务的范围应该有明显的授权和审批制度;第五,建立核实制度。对交易和业务详细情况和风险管理的结果进行审核,定期检查现金流量,及时发现问题。
以上所有这些制度都应该是银行日常业务的一部分,而不是独立于日常业务之外的专门措施,这样才能对外部的变化作出迅速反映,避免不必要的损失。在具体操作方面,则要注意日常业务活动中责任的分离。有的职员同时在同一交易或业务中承担若干工作,既由其交易,又由其审核,就难免造成为了个人的利益,篡改有关的资料,隐瞒损失。因此,必须在以下一些方面将责任分离,不同的工作由不同的人承担:批准划拨资金和实际划拨资金;代理客户的帐户和自己的帐户;正式向客户提供信息、建议和向同样的客户销售有关的金融产品;贷款文件的审查和监督借款人还贷;其他存在利益冲突的领域。(待续)
|
