法兴事件为现代金融业的风险控制与内部控制体系构筑敲响了警钟,它对发展中的我国金融产业风险控制又将产生怎样的警示作用?
(一)构筑基于企业风险管理整体框架的内部控制体系
随着金融开放和深化程度的不断提高,我国的衍生工具业务已经进入新的发展阶段。衍生工具是把双刃剑,一方面,其在为企业规避风险、获取收入方面作用重大;另一方面,联动与杠杆效应使其本身伴随着巨大的风险。那么,如何进行有效的风险控制?笔者认为,应运用COSO中的企业风险管理理念,构建组织内部控制体系,对可能的风险源进行全面控制与防范。
1、完善内部环境。良好的内部环境是有效控制与管理风险的基础,是影响、制约企业内部控制建立与执行的各种内部因素的总称,主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。其中,应当充分发挥董事会的核心作用,从决策层面而非业务执行层面来控制风险的发生。
2、建立有效的风险评估机制,包括目标设定、事项识别、风险分析与风险应对。企业应当按照战略目标,设定相关的经营目标、报告目标、资源目标与合规目标,并根据所设定的目标合理确定主体整体风险承受能力和具体业务层次上的可接受的风险水平。随时关注内外部环境变化对企业的影响,以识别潜在的风险事项,并根据风险评估结果与自身的风险偏好与最大风险容忍度采取有效的应对措施。
3、实施有效的控制措施。根据风险识别、评估的结果,针对相关风险源,制定统一的风险管理战略,加强实时监控,建立起全面风险预警机制。
4、加强内外部信息沟通。完善对外报告与对内报告系统,确保对业务的持续监控与信息沟通。同时,加强董事会、管理层、业务部门、风险管理部门与内部审计部门的协调合作。
5、完善监控职能。对内部控制系统的有效运行进行持续监控与个别评估。充分发挥内部审计对内部控制系统的再监控作用,实现内部审计与内部控制的有效结合,以改善风险控制与管理的效果。
(二)人性控制与激励并重
人的因素是风险控制中的重要因素。人是组织运营的执行者,也是风险的控制者与制造者。所以,企业内部控制不仅是针对物和事、流程的控制,从根本上说,应是针对人的行为的控制。由于内部控制是全体员工共同执行的,贯穿整个企业流程,所以员工的行为直接决定了控制的成效。
成功的企业都理解一个规则:企业的发展战略要同员工的人生价值追求相结合。所以,良好的内部控制应当立足于控制人性弱点,除了在牵制、约束并监督人的各种自利与败德行为方面发挥作用外,还应当是一种激励与引导机制,通过将人的精神属性和价值追求提到首位,建立起一种积极向上的企业文化和价值观,以“软控制”的方式,充分调动员工的主动性,自律协调员工个人目标与企业目标,以实现企业价值的最大化。
(三)加强IT控制与流程控制的整合
法兴事件暴露出IT内部控制与基本流程控制脱节的问题。目前银行业的操作或欺诈风险多辅之以高科技手段,为此,利用IT控制,采用先进的信息技术来识别、评估、监控、管理这些不断变化的风险,成为国际银行业风险管理信息分析和风险管理决策采用的主流技术。如在法兴事件中,银行内部风险控制系统对科维尔的异常操作发出了75次警报,足以证明IT内部控制在防范风险上的敏锐性。但是,IT控制毕竟只是一种智能机械控制手段,它能否替代流程控制?答案是否定的。法兴银行恰恰失败于基本流程控制的疏漏。一次次警报或未能传递至有关部门,或被科维尔的假证明所蒙蔽。笔者认为,只有加强IT控制与流程控制的整合,才能真正防范企业的各类风险。
与此同时,IT技术的应用带来的操作风险与信息安全风险也在增加。如何保障IT内部控制系统的有效运行与信息安全性?除了应用COSO的企业风险管理理念外,还应考虑将IT治理与内部控制相结合,在IT控制的设计中融入COBIT4.0与ISO17799/IEC27001这一全球公认的信息安全管理标准。惟有如此,方能完成企业在战略、运营和信息安全层面的风险评估、应对与控制。
(四)完善外部监管体系
广义的企业风险控制机制应由内部控制系统与外部的监管体系共同构成。外部监管体系在企业面临巨大系统风险时,应起首道“防御墙”作用。但是法兴事件的外部监管缺陷则成了违规者的“帮凶”。为此,要求改革欧洲银行业监管体系的呼声此起彼伏。我国资本市场、金融市场和其监管体制尚未成熟,股指期货引弓待发,法兴事件无疑是一剂清醒剂。加强监管机制建设,疏导系统风险,有效监督企业行为,政府与监管部门的引导作用必不可少。值得一提的是,中国银行间市场交易商协会已于2008年3月7日向银行间市场参与主体发出《银行间市场金融衍生产品业务指引(讨论稿)》征求意见,文件对银行间市场金融衍生产品业务作出了详细的规定,其中风险管理的重点为授权授信管理,相关规定将有助于防范类似法兴银行交易员越权操作的行为。
