2001年6月至8月,部分银行组织内部审计人员对基层网点机构实施了内部控制审计。这次审计是银行积极贯彻年初全国银行证券保险工作座谈会议的精神,了解基层网点机构内部控制的基本状况及薄弱环节,为加强制度建设,规范业务管理,建立健全内控机制,防范经营风险提供依据。通过审计发现,当前银行内部控制存在着很多方面的新问题,这些业务发展变化过程中产生的新问题,如果处理不好,就会对当前银行内部控制的有效发挥和效率运转起着制约作用。
一、当前银行内部控制出现的新问题
问题一:技术性风险错误或事故难以根绝
什么是技术性风险错误或事故呢?技术性风险错误或事故是由于业务人员在办理某些业务时因业务数量、强度及对业务熟知程度等因素发生变化而出现在内部控制环节上的错误或事故。银行内部审计检查中发现的诸如:储蓄单折跳号使用,流水账页短缺,办理异地通兑业务电话核对记录不全,柜员没有按照规定的频度修改口令,柜员调离后没有及时修改有关口令,部分手工登记簿记录不全等问题一般就属于技术性风险错误。按理来说,技术性风险错误不是当前银行内部控制出现的新问题,在防范技术性风险错误上,很多银行的总行和基层行采取了很多措施,制定了很多考核奖罚办法,甚至为此已经处理、辞退了一部分有关的责任人,但是,每次检查还是发现了较多的技术性风险错误,所以,这些“常查常出”的技术性风险错误或事故难以根绝是当前银行内部控制中出现的新问题。
问题二:内部控制制度建设难以适应业务发展的需要
当前银行内部控制制度建设难以适应业务发展的需要表现在三个方面,一是制度建设滞后。某支行经上级管理机构批准在营业部实行综合柜员制业务处理,营业部设置柜员若干名,综合柜员2名,其中:会计综合柜员1名,储蓄综合柜员1名;总综合柜员1名。综合柜员制打破了原先储蓄、会计业务处理各自分设,分人处理的模式,柜员既做会计业务,也做储蓄业务。实际运行中,由于上级行对总综合柜员与综合柜员之间,会计和储蓄综合柜员之间的内部控制制度,综合柜员与上级机构内部往来控制制度,综合柜员制业务检查等制度建设上没有能根据业务发展状况及时作出有关规定,使基层机构对综合柜员制的很多控制照搬照抄原会计、储蓄业务柜员制的有关规定,当遇到会计业务与储蓄业务相互交叉时,因缺乏相关制度,内部控制可能出现薄弱点,而且上级机构没有设立负责综合柜员制管理的有关部门,对网点进行检查时,会计、储蓄部门只对各自分管的业务进行检查,给综合柜员制的内部控制检查留下了风险点。二是部分制度不切合实际,执行流于形式或难以实施。内部审计中发现某行大部分基层机构对逾期贷款按半年发放催收通知,没有执行每季发出书面催收通知的规定;保管的客户利息清单没有执行签字领取制度;部分大额现金的存取没有领导签字。在实际运作中,对逾期贷款每季发送书面催收通知数量多,工作重复,成本高,况且按有关规定贷款存续期间适用诉讼时效中断的有效期限为2年,只要在诉讼时效中断的有效期限内发放书面催收通知并收到回执即能起到作用,因而这项制度在基层机构基本没有得到落实。大额现金支付的审批制度规定5万元以上的现金支付需办事处分管领导审批,基层网点遇到此类问题处理起来费时不说,碰到领导不在,就只好事后补签了事。三是部分制度针对性差,头痛医头,脚痛医脚,有病无病一起服药的现象时有发生。例如:由于某行在异地通兑业务上出了问题,上级行就定了个:“二查一做”规定要求每个行遵照执行,实际上只要按原有的规定认真执行就不会出风险,由于该规定针对性较差,没有考虑每个行的具体情况,在业务较大的网点因执行此规定延长了其他客户等待的时间招致了客户的不满,一段时间下来后,基层网点机构往往又回到以前的做法上去了。
问题三:人力资源配置方式不能适应内部控制的要求
银行内部控制是根据业务流程,确定每一个风险控制点,对银行相关业务人员进行控制和检查,其核心控制要求是职责分离。目前,大部分银行的分理处配置7名左右工作人员,储蓄所配置5名左右工作人员,随着网点经营业务品种逐渐增加的趋势,如:汇票业务,各类代理收费业务,异地存取、划转、业务咨询服务以及外出揽储吸存等增加网点业务工作量的同时,也增加了网点机构风险控制点。根据内部控制的要求,银行基层网点要根据业务品种的不同,各个环节必须按规定做到分人分岗。然而,目前银行的人力资源配置还停留在主要按业务量定编定岗的方式上,很多银行比较重视中层干部的配置,对基层网点的人力资源配置与基层网点内部控制的关系不敏感,或重视不够,往往出现增加了业务品种,基层网点却没有能按照内控制度的要求在增加的风险环节上合理配置有关人员,结果出现了混岗操作,一人多岗,监督检查走形式等问题。
问题四:银行业务处理方式的变化,使部分内部控制环节向客户端转移
随着银行电子化进程的日新月异,银行的服务从柜面延伸到了客户的单位或家庭。最近,几家商业银行推出了网上银行服务,客户无须跑到银行在单位或家庭通过电脑借助internet就能办理帐户查询、打印对帐单、购物消费、电子转帐业务等,真正做到了足不出户,点几下鼠标,敲几下键盘便能享受到在家理财的乐趣。上述银行业务方式的变化改变了银行业务需要通过柜面人员才能完成的状况,很多原先由银行人员掌握的业务流程变为由客户自己控制,致使部分内部控制环节向客户端发生了转移。举个例子:有一位客户分别在储蓄所和网上银行服务系统中办理定期存款转活期存款业务,在储蓄所,客户首先要向储蓄员讲明业务意愿,然后填写有关业务凭条,最后由储蓄员办理具体的转帐手续并给客户回单,业务完成;在网上银行服务系统中,客户首先要利用有关电脑设备输入相关密码和口令后进入网上银行服务系统,然后选择相关的转帐业务品种,最后按屏幕提示依次输入有关转帐信息并确认,业务完成。前者,银行柜员进入系统,综合柜员对有关业务进行授权,柜员输机及复核,交易完成确认等内部控制环节都受到银行内部控制制度的控制约束;后者,原先受到银行内部控制制度控制的上述环节交给了客户,需由客户自己约束和控制,否则客户极易受到风险的威胁。当然,客户对上述环节的约束控制和银行利用内部控制制度进行控制在形式和具体采取的措施上不会相同,但转移到客户端的这些控制环节由于控制问题形成的风险后果是一样的,比如:网上银行服务系统没有地点,时间等的限制,客户如果对进入网上银行服务系统第一关的密码和口令控制不严,造成的风险将是无法估量。
问题五:银行帐务电子处理系统没有给审计留下接口,致使内部控制检查实时性差
最近,有些同志提出要以先进的电子监控系统为手段,使“利用计算机审计”代替“饶过计算机审计”和“穿过计算机审计”。实际上早在几年前,银行审计部门就已经开始利用计算机进行审计了,有些行还开发了审计软件,定期从银行会计系统卸下数据,然后对这些数据进行审计,这种审计虽然比人工审计先进,但仍然是事后审计,而且审计内容主要是数据结果的真实性,对数据在电子系统中的流动过程缺乏审计监督,因而这种“利用计算机审计”缺乏审计的实时性和完整性。近年来发生的银行人员利用电脑挪用、贪污、盗窃资金的很多案件从作案到发案一般都要经过数月有的甚至数年之久的事实也说明了目前银行审计存在时效性差的问题。让帐务电子处理系统给审计留下接口也是审计对实施会计电算化的各类部门的基本要求,长期以来,包括银行在内的各类部门在实施会计电算化过程中,只重视“计算机如何完成任务”方面的程序设计,而对计算机完成任务过程中,有关部门如何检查程序本身的运行等方面的程序没有给予足够重视,开发出来的软件往往没有给审计留下接口,使审计人员无法对计算机完成任务中的数据流向过程进行有效监督。在银行帐务电子处理系统中留下审计接口的目的是使审计人员能够随时随地对在帐务系统中流动着的银行数据信息进行实时检查和审计,做到既要检查数据的来源和结果,也要检查数据的流动轨迹。