4.3.1以风险管理为导向的内部控制
机制的再设计内部控制机制是商业银行内部程序、运营程序、财务报告以及合规性政策等等各因素之间相互制衡的重要控制机制之一,是为了确保银行业务正常运转和实现经营目标而实施的制度以及政策的集合。内部欺诈风险内部性的特征说明内部欺诈风险与内部控制之间存在着十分紧密的关联,内部控制的不完善亦或是失效会导致内部欺诈风险的发生、蔓延和扩大,内部控制的失败和疏漏已然成为内部欺诈风险重要的成因之一,因此,A银行需及时构建基于内部欺诈风险导向的内部控制机制,以有效防范内部欺诈风险事件。
4.3.1.1建立银行内部控制责任制
近年来,A银行内部欺诈案件中管理层受贿案件数量激增,鉴于管理层位于各级机构权利的顶端,这部分人群一旦收受贿赂做出侵害行为,其造成的损害程度较大,范围较广并且短时间内不易察觉,隐蔽性较强。
要解决以上的这些问题,就必须建立银行内部控制责任制。制定包括总行董事长、行长、首席风险执行官、监事长在内的总行级、分行级、支行级领导人员责任追究制度,内容应涵盖领导干部失职行为的行政处罚条款,包括降级、免职、撤职以及开除处分等。
制度规定应明确各级领导人员因严重失职,导致辖区内发生重大风险事件或违规问题的具体情形及处置措施,此外,对于违反集体决策原则,个人决定重大决策、重要人事任免、重大项目安排、大额度资金运作等重要事项的,给予责任人警告至降级处分,或者免职处理,造成严重后果的,给予撤职至开除处分。严格的内控控制责任制度一旦实施,将使得内部欺诈风险管理中“重视基层人员管理,轻视高层管理人员管理”的弊端得到有效修正,同时此举将促使内部欺诈风险管理和银行内部控制有效性的评价变为高层管理人员的责任,有利于A银行培育良好的风险管理内部环境。
4.3.1.2完善内部欺诈风险评估和控制机制
内部欺诈风险评估和控制机制是商业银行重要的风险管控机制,为进一步完善内部欺诈风险评估和控制机制,首先,A银行各风险部门要对引发内部欺诈风险的各类风险源进行评估和控制,并有针对性的提出管控方案;其次,应在内部欺诈风险管控工作中引入风险管控关口前移的思想,充分利用内部欺诈风险评估和控制机制,确保源头控制,将内部欺诈风险降低至可接受范围内;最后,要强化完善内部欺诈风险的评估和控制机制,对内控工作中存在的问题及时补救,确保银行内部控制全面有效。
考虑到A银行业务的复杂性,采用流程图法来进行内部欺诈风险的评估和控制具有一定的适用性,这主要包括以下几个步骤:
一是建立流程图。首先对A银行业务流程进行梳理,对可能引发内部欺诈风险的业务和产品操作流程以及主要环节应详实列示,如图4.2所示二是提炼风险点。对业务和产品操作流程中每一个操作环节可能产生内部欺诈风险的风险点进行提炼,建立一个包括所有潜在风险的内部欺诈风险数据库。
三是建立损失矩阵分布图。根据上一步骤已经提炼出的风险点,A银行可采用专家分析法以及历史数据估计法来对各个风险点可能发生内部欺诈风险案件的概率进行评估,并以此为依据,建立损失矩阵分布图。
四是制定风险控制政策。通过前三个步骤,A银行已经比较全面的掌握了本行内部欺诈风险的分布情况,并可通过分析损失矩阵分布图来得到具体业务内部欺诈风险事件发生的概率,此时,A银行可以制定行之有效应对措施来达到控制内部欺诈风险的目的,同时,可以进一步优化业务操作流程,最终实现内部欺诈风险评估和控制的有机结合。
综上,引入流程图法后,A银行内部欺诈风险评估、控制程序图见下图4.3所示:4.3.1.3健全关键岗位监督制为进一步健全完善关键岗位监督制度,首先,A银行应建立统一规范的关键岗位的管理政策,主要内容应包括关键岗位的识别标准,以及岗位管理的配套措施,并对轮岗论调,强制休假,离任审计以及重大事项报告等等事项作出明确规定,同时,办法的制定要关注各个内控措施的协调性和匹配性。其次,进一步完善关键岗位设置,建立科学、标准化的岗位职责和具体工作流程,应对所有岗位进行全面梳理,制定统一的岗位职责,以流程图的方式对关键岗位的整个工作流程进行标准化,此外,内审人员应当按照已标准化的关键岗位操作流程和工作职责开展客观评价,并对风险点的控制情况进行审计评估,确保审计规范,提高审计质效;最后是强化对关键岗位的监督,并制度相应的考核机制。通过定期对关键岗位的相关制度、政策的执行及落实情况展开评价和监督,及时纠正和解决出现的问题,同时通过引入考核机制,来促使A银行关键岗位监督制度落到实处。
4.3.1.4强化内部权力监督制约机制
A银行还需进一步完善银行内部权利监督制约机制,加强对管理层监督和约束。通常可通过以下几个方面来进行完善:首先,建立科学合理的决策机制。这要求A银行的重大决策要通过管理层同银行员工的集中讨论来决定,以确保重大决策的公开、公正和民主;其次,加强内部监督,制约权利滥用行为。对权利覆盖的各个环节,尤其是特别容易滋生败德行为关键环节和领域,有针对性的开展监督,严格做到权利到哪里,监督就延伸到那里;最后,严格落实离任及责任审计。在审计环节,要对离任以及责任审计重点关注,切实提高管理层的用权水平。
4.3.2内部欺诈风险预警机制的建立
预警(early warning)是度量某种状态偏离预警线的强弱程度,发出报警信号的过程。在控制论理论中预警属于前馈控制,通过识别和监测那些导致事件发生的因素,进而来控制事件发生的结果,这种前馈控制要比过程控制要更积极主动,更有效。在A银行内部欺诈管控体系优化方案中引入预警机制的建立,对于内部欺诈风险管理工作具有极大的现实意义。
4.3.2.1关键风险指标的引入
关键风险指标是形成前瞻性的风险预警的必要工具之一,通过这一工具的使用,可以有效识别和了解自身的内部欺诈风险状况及其变化趋势的问题。由于内部欺诈风险的内生性特点,A银行关键风险指标的选取应当要以本行所处的内外部环境、风险控制政策以及内控水平为出发点,在现有的内部欺诈风险管控体系之上进行创建。通常,建立有效的关键分析指标体系分为以下几个步骤:
首先,突出重点,构建关键风险指标。通常,KRI的构建过程可分为5步,即流程关键风险和控制识别、风险指标识别、关键风险指标筛选、确认KRI定义和数据收集程序、确认KRI阀值,详细流程见图4.4所示:在构建常用关键指标的过程中,首先应对业务流程进行彻底的排查,对潜在的内部欺诈风险动因进行识别,按照“四重原则”(重大金额、重点客户、重点业务、重点关注员工)确定需要进行监测的风险区域,发现主要风险问题并制定相关风控措施,下一步,各条线管理部门的操作者和管理者会同对现存指标有效性进行判断并甄选,或者评定选录新指标,通常可通过考察指标对内部欺诈风险的反应速度,进而确定新一轮指标。
此外,在选录新指标时也需要以指标取得的难易程度以及指标本身对内部欺诈风险的重要程度作为选录标准,并综合专家的建议来进行共和选择综合评选。最后,在关键指标确定后,应对关键指标的量化方法加以确定,并规定数据的收集程序,下表4.1为A银行关键风险指标表:其次,在使用KRI进行内部欺诈风险管控的过程中,A银行应当正确理解关键指标所代表的含义并及时预警,定期将指标数值与设定的参照基准做比较,因为一旦指标数据超过了规定阀值数据,就说明业务风险偏大,已经超出了风险可容忍的最大限度,各管理部门应快速反应,及时找出解决办法,对症下药。某一关键指标的阀值,实际上反映出银行对某类型风险的容忍度,而这些阀值通常是通过对指标历史数据进行分析产生的,因此,A银行风险管理部门应每年依据内部欺诈风险与控制的识别结果,删除那些变得已经不具有风险敏感性或多余的指标,根据风险和控制环境的变化重新选择适宜的KRI,重新设定指标体系相关信息,如指标具体内容、监控阀值以及管理办法等。
最后,A银行应持续提高关键风险指标检测水平,并将检测关键风险指标工作列入日常实时监控范围,要求指标数据实时的根据内部欺诈风险的变动情况以及内部控制状态进行调整,确保关键风险指标体系科学合理有效。
4.3.2.2员工行为动态预警监测
机制的建立建立员工动态行为预警机制,可以帮助A银行在风险尚未显现或初见端倪时,及时将风险因素消灭在萌芽中,是预防、控制和化解内部欺诈风险的有效途径。
一是建立员工失范行为档案。应对条线检查数据、各类专项自查、内外部审计数据及非现场发现的问题进行整合,以问题责任人为主体建立失范行为档案,同时要确保员工失范行为档案信息的全面有效,在建立档案时,要求一份完整的失范行为档案应包括:
个人基本信息、违规信息、日常失范行为、谈话及家访信息等。
二是设定风险等级和临界值。风险等级的确定通常是以风险事件所造成的损失的大小、违规行为造成的影响以及危害程度为标准,A银行在对员工行为管控过程中,要对员工按等级进行积分,设定临界值,当员工积分累计超过临界值时,系统自动进行预警提示,此时,稽核部门应立即行动,收集证据查找信息,以预警提示为出发点,对行为档案数据逐条逐项展开排查,并对排查过程及方法全程记录,便于复查,然后再根据排查结果对员工进行下一步的追责教育并跟踪整改。
三是完善事件跟踪反馈功能。
A银行应在员工行为动态预警系统中设置跟踪反馈功能,指定专人登陆系统对各机构及重点员工进行每日追踪,并对其已发生的风险行为进行跟踪评估,对于未在限定时间进行信息反馈的机构和个人,除出现提示信息外,还应要求相关机构和个人出具详实的未及时反馈情况说明,同时还应综合考虑其他方式介入调查,这包括约谈、家访、第三方介入等,促使相关人对内部欺诈风险事件的各个阶段进行追查并及时落实,不断促进A银行内部欺诈风险管理水平的提高。
