内部控制与中小银行信息系统整合之实践.docVIP

内部控制与中小银行信息系统整合之实践 　　【摘 要】 银行作为经营货币的高风险金融企业，加大内部控制体系建设尤其重要。文章从信息系统建设实践者的角度，探讨了内部控制信息系统与业务管理信息系统的融合方法，并针对信用风险、操作风险等提出了较为新颖、实用的防控措施，还就内部控制系统建设提出了意见和建议。 　　【关键词】 银行; 内部控制; 信息系统建设; 实践 　　中图分类号：F830.33 文献标识码：A 文章编号：1004-5937（2014）35-0073-03 　　为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，2008年5月，财政部会同证监会、审计署、银监会、保监会，制定了《企业内部控制基本规范》。2010年4月，五部委又联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。 　　为确保企业内部控制规范体系平稳顺利实施，财政部等五部委制定了实施时间表：自2011年1月1日起，首先在境内外同时上市的公司施行;自2012年1月1日起，扩大到上海证券交易所、深圳证券交易所主板上市的公司;在此基础上，择机在中小板和创业板上市公司施行;同时，鼓励非上市大中型企业提前执行。 　　一、中小银行内部控制系统建设现状 　　银行是经营货币的高风险金融企业，其风险不仅表现为贷款违约等带来的信用风险，还表现为内部人员违规操作，侵占客户资金等带来的操作风险以及其他诸多风险。近年来国内银行业频频发生的大案，印证了银行业内部控制体系建设的重要性。近年来，随着信息技术在银行业的广泛应用，银行业的风险防范水平有了很大的提高，但仍然存在诸多不完善之处。对于信息系统建设尚不够完善的中小银行机构来说，内部控制系统建设存在更多的问题和不足，主要表现在以下“四重四轻”方面。 　　（一）信息系统重视业务处理功能，轻视内部控制功能 　　中小银行的中、高级管理层对信息系统的建设，更倾向于满足新业务开办等业务功能研发，对建设内部控制系统或相关功能模块往往重视不够、兴趣不高，对建设内部控制系统认识不足。 　　（二）系统维护重视漏洞修补，轻视系统性持续性完善 　　银行发生重大问题和案件后，各级均高度重视信息系统的漏洞修补、完善等工作，这样可以较好地防范以后同类同质案件的发生，但多缺乏对信息系统进行持续优化，在日常维护中缺乏对风险点的搜集、分析和处置。 　　（三）日常管理重视前台操作，轻视后台管理 　　现有信息系统关注更多的是前台营业功能的完善和优化，而对中后台管理、控制、监测、审计、分析等业务需求支持不足，无法满足内部控制管理的需要。 　　（四）风险防控重视事后严罚重管，轻视事前预防和事中控制 　　风险防控是银行永恒的主题，监管及上级管理部门对案件及风险事故非常关注和重视，对各类案件均规定了处理范围及处理标准，体现了严罚重管理念。相较于事后处理机制，事前防范及事中控制明显弱化。若更加注重事前预防和事中控制，可能会取得更好的效果，制度执行才更有保障。如风险预警系统、风险评估系统等均可用于事前及事中控制，但多数中小银行尚未建设。 　　二、内部控制系统建设实证分析 　　为提高业务处理及管理工作信息化水平，同时加强内部控制实施工作，目前，笔者所在单位正耗费巨资研发新一代IT系统，系统包括核心业务系统、综合柜面系统、客户信息系统、IC卡系统、信贷管理系统、总账及财管系统、数据存储及报表系统、中间业务系统、影像平台系统、二代支付清算系统、渠道管理系统、监管数据报送系统、票据管理系统、数据总线系统等十多个子系统。我们在研发新系统过程中，十分关注内部控制与信息系统的融合、嵌入问题，努力使内部控制融入到银行的管理决策和日常经营活动之中。我们在内部控制系统建设方面，主要做法有以下几点。 　　（一）查找关键风险点 　　1.绘制重要业务流程图 　　结合目前中小银行业务经营范围，我们梳理出了存款、贷款、清算、IC卡等二十多个最常用业务的全生命周期业务流程，本着提高效率、科学合理、风险可控、操作规范、责任明确、可追溯的原则，绘制出有关业务的流程图初稿。通过业务人员会议讨论方式，研究业务流程图是否符合实际情况，分析存在的问题及有无不合理的流程和环节，完善修改后将新业务流程图提交软件开发人员开发。 　　2.梳理风险点 　　通过仔细研究有关业务流程，全面评估各节点的风险，找出需要控制的节点和环节，逐一分析风险发生的可能性及风险发生后的影响程度。根据重要性原则及成本效益原则，确定每个风险点应采取的风险应对策略，将银行的剩余风险控制在银行的可承受范围内。 　　3.分析以往银行业案件发生原因及环