张新存
在我国经济由高速增长向中低速平稳发展转型的过程中,商业银行面临着前所未有的任务压力。经济转型导致商业银行的经营管理面临全新的运行环境,经营形势日趋复杂多变;受外部因素的诱导,商业银行的内部管理也面临着不同以往的挑战。在这种情况下,重新审视商业银行既有的内部审计机制流程,找出内部审计中存在的短板,真正发挥出内部审计应有的作用,是经济转型期商业银行不得不面临的一项艰巨任务,需要统筹规划,多方施策。
(一)重塑内审理念,提升内部审计职能
长期以来,商业银行内部审计的定位是查堵各种业务漏洞,防范事故和案件等风险事件的发生,并对审计结果进行全面整改,处理当事人以儆效尤。这种定位执行下来的弊端之一是审计人员与被审计机构人员形成了一种类似猫与老鼠关系的相处状态,审计人员千方百计“找茬”以表明自己的业绩与能力,而被审计人员则想方设法掩盖可能存在的问题,内部审计成本越来越高,而风险事件却层出不穷。面对这种偏离正常审计意图的运作模式,商业银行高层有必要重新审视既有的审计理念,是仍坚持以堵为主,还是探索以疏为主的模式。长期以来的实践证明,堵的方式是事倍功半的,有限的审计人员根本无法防堵日益复杂经营环境下不断冒出的风险事件,而从理念上确定以疏为主的改革方向,将银行内部审计确定为商业银行业务发展的助推器,与业务发展同进退,更能发挥出有效的保障作用。在确立了这种审计理念之后,商业银行可能采取的各种内部控制和审计措施便会迥然不同。
(二)弱化对内部审计部门的业绩考核,使其彻底摒弃功利思维
对内部审计人员进行全面量化的绩效考核,便有可能使其偏离审计的应有作用,花大力气去追逐业务操作中细枝末节的瑕疵,而忽视潜藏其中的实质风险。发现问题的多寡并不代表审计人员的真实业务水平和能力,如果某个审计人员分管的机构长期没有发生差错事故,被审计机构经营业绩平稳,那正说明审计人员真正抓住了业务的实质风险,使业务不会以表面漏洞或瑕疵的方式浪费审计人员大量的精力和时间。更不应以没有发现问题不代表没有问题来时时给审计人员施加无形的压力,使其疲于去应付繁琐的内部审计流程。绩效考核不是万能的,尤其是对内部审计人员。弱化对内部审计人员的考核,并不是弱化内部审计人员的作用,应该通过进一步明确其岗位职责,加强其职业道德理念建设提高其从业自觉性,真正树立起职业审计人员素养,潜心去发挥应有的作用,控制业务实质风险,而不是为了追求表面的业绩频频吹毛求疵,将主要精力花费在表面文章功夫上。
(三)确立从业人员免责条款,减轻银行员工疲于应付内部审计的现状
商业银行长期以来形成的“三铁”信誉,从来不是靠对员工加大处罚甚至开除员工来实现的,银行制度在员工人职时便通过老员工的传帮带内化于心、外化于形,执行制度不是靠外部监督,而体现为每个人的自觉行动。因此,应该改进商业银行无时不在提及的保持对内部控制的高压态势,将风险事件消灭在萌芽阶段,防微杜渐。高压的结果是银行的风险事件不断爬升,以防贼的心态来防备员工只能進一步导致员工对银行的离心离德,将工作只是视为谋生的手段被迫而为之,而不是作为自己所崇尚的职业来实现个人的价值。日趋复杂的制度不仅未能将风险事件压缩至最低程度,反而不断呈现爬升态势,而且将大好的业务机会拱手相让给互联网金融、第三方支付机构等新的业态,这些业态既不需要复杂的内控制度,而且内部也没有爆发出频繁的风险事件,很少出现员工内部作案的新闻事件。如果一味为了内控合规而压抑员工的从业积极性,商业银行的业务领地将会进一步萎缩。尽快出台银行员工免责条款,减轻员工内控压力。已迫在眉睫,急需采取行动。
(四)加强对经营形势的分析,提高内部审计的前瞻性
在计划经济时代,各专业银行都非常重视研究规划工作,提前分析和研判国家宏观经济政策和社会经济实体运行状况。在向社会主义市场经济的转轨过程中,商业银行经营管理体制的改革忽视了对研究规划工作的与时俱进,使之越来越不受重视,逐渐被边缘化。但市场经济体制下,国家政策调整日趋与市场接轨,社会经济实体的经营运行日趋多元化,居民个人的金融意识也不断苏醒和强化,因此商业银行面临日趋严峻的内控压力,这是不争的事实。这就需要商业银行恢复研究规划部门的职能并根据经济形势变化的要求加以完善,尤其是内部控制面临的新问题、新风险点,应提前进行分析预判,并提出有针对性的对策建议。当然,这并不是说分析研究是研究规划部门的独有职责,这种分析研究一定要结合银行经营的实际需要,与各经营单元、专业管理部门、内审内控部门、运行支持部门联合进行,可以突出内审内控的专有特性进行专题性研究,形成有针对性的课题报告,为领导决策提供依据,为内审内控部门提供建议。但切忌将这种研究成果变异为阳春白雪、空中楼阁式的空想性理论分析,一定要结合实际业务所对应的社会经济形势进行有针对性的预判,不宜为研究而研究,为分析而分析,形不成应有的研究分析效果。
(五)重塑部门内控职能,形成内控管理合力
前中后台式的部门分割必然会导致部门墙的形成,体现在内审内控职能上,往往会形成部门之间的对立,前台部门基本完全忽略自身应该担负的内部控制职能,而后台部门则一味强调内控合规,却又不真正掌握业务的实际操作流程,管理层级越高,脱离业务实际的可能性越大,造成出台的内审内控措施没有针对业务运行的实际.无法有效防范真正的实质业务风险,极易形成内控真空。为此,在内控职能上,应模糊前中后台的割裂式划分,强化各部门的内部控制职能,各业务条线均应承担各自的内控职责,防范业务差错、事故和案件的发生。尤其是在各级管理机关,内控职责应体现在各业务条线的日常管理工作中,不应再由独立的内控部门执行所谓的内部审计职能。在银行内部,审计的独立性是无法落地的,审计的结果要么造成部门对立,各执一词,对细枝末节的瑕疵纠缠不休,相互推卸真正的风险防控职责;要么内控结果流于形式,被审计机构认可表面文章式的整改要求,但对实质风险防范并没有明显促进作用。银行内部发生的绝大多数事故案件都是由外部机构人员事发牵连而出,或是当事人自我暴露,有些是专业部门检查发现的,通过单独的内审部门以固化的条款式检查对防范风险事件的发生已严重落后,其审计出的问题绝大多数都是流程中的操作失误,而非业务实质风险。因此,将内控的职责重归各业务条线管理部门是不可再回避的选择,为强化专业部门的内控职能落实,可适当充实原分配在内控条线的人员,使其带着内控的眼光重新审视既有的业务管理规定,识别各业务条线中可能真正存在的业务风险,并出台有针对性的管理制度予以规范。
(六)提高大数据应用效果,充分借助非现场分析结果提升内控质量
当前,各商业银行均越来越重视科技投入,所有业务都通过计算机自动处理,提高了业务处理效率和准确度。银行所有的业务成果也都通过计算机系统反映出来,形成了业务数据的集中存储,这也为通过大数据进行业务风险分析提供了可能。当然,银行肉审内控部门也越来越重视大数据分析工作,意图通过缜密的非现场分析来发现业务运行过程中可能存在的问题,为业务发展保驾护航。但大数据分析的作用还没有得到完全发挥,庞大的科技投入尚未产生足够的业务成效。在大数据分析提升内审内控职能方面,一是要强调基层机构人员对各自数据结果的分析运用,这样既可提高数据应用的针对性,在萌芽阶段发现可能存在的问题,又可减轻内审内控部门的工作压力,避免过多的数据分析结果冲淡对某一问题的着力关注。二是要强调通过数据分析形成确定的审计结果,尽量避免添加由基层机构加以核实的环节,不同利益诉求的人员对同一数据的分析可能会形成不同的判断结果,内审部门应从自身的角度形成令人信服的分析报告,而不应再依赖其他部门机构人员的立场。当然,在分析的过程中,可以咨询专业人士的意见,使自己的分析结果更具可信性。三是要结合业务的发展变化和内控案防的新形势新要求,创新性地开展数据分析,形成有针对性的分析结果,大数据的分析结果不是一成不变的,不宜以一成不变的数据分析标准固化非现场分析职能。
(七)加强业务培训,提高员工素质
员工的更新换代是持续性的,新员工的加入需要全方位的培训以适应业务发展和防控风险的要求。由于金融竞争的日趋激烈,金融创新产品也不断涌现,以应对金融新业态对市场份额的争夺。在进行新业务推广的过程中,不应仅局限于对员工业务知识的培训,更应进行业务风险点的防范培训。内部控制培训应纳入各项业务推广的固定组成部分,不应只提业务发展指标而忽视内部风险控制。业务内控知识的培训应以专业条线为主,在进行业务推广的安排中,提前嵌入风险防控措施的内容,避免业务推广与风险控制的对立。
当前阶段,对于从事内审内控岗位的从业人员,也应有针对性地加强业务知识的培训。银行业务的更新速度是超前的,传统的操作方式正在发生根本性的变化。如果从事内部审计的人员对这些新业务、新制度不了解,或了解不全面,则很难适应岗位工作的要求,出具的审计结果是没有任何意义的,甚至会浪费被审计人员不必要的时間和精力。对内部审计人员的培训,除内部审计条线本身的各项要求之外,还应更多邀请各业务条线的专业讲师授课,以真正掌握业务的处理流程,从中发现业务操作过程中可能存在的风险。要特别重视案例教学,通过活生生的案例来全面分析实际业务过程中的潜藏风险。除业务培训之外.还可以邀请一些宏观经济管理部门和研究机构的专家学者授课,讲解宏观经济形势,使内部审计人员能够从更广的经济环境层面提前预判可能出现的风险,并结合实际业务安排审计措施,加以防范。