用信息化手段布下內控防線

呂天君

最近十幾年是國內銀行信息系統快速發展的時代，各家銀行以核心系統為基礎，開發了一系列圍繞核心系統，支撐各類業務的業務管理及風險管理的系統。不過在內部控制領域，銀行仍較多地停留在傳統的“人控”階段，如較多的前、中臺的檢查仍然是手工方式進行，內部稽核也多以手工核對、現場檢查為主。內控效果不佳、稽核難度大等問題一直較為突出，而完善的信息化系統以及充分的自動化控制可以幫助改善這一情況。因此，“內控信息化”這一概念應運而生。

所謂內控信息化主要包含兩個層面，一是基于銀行業務流程中控制活動的梳理，提煉和設計出可在系統中固化的控制活動，遵循系統開發的生命周期，將提出的內控需求注入到正在開發的系統中，并且對開發完成的系統進行測試以及上線后再評估，最終在系統中實現相關應用系統控制的過程。二是通過信息系統進行內控稽核工作，將龐大、繁雜的內控稽核工作通過系統流程進行管理。

優勢

整體而言，內控信息化與業務流程緊密結合、固化在系統中，有效縮短內控管理半徑，構筑零距離的內控防線。內控信息化為業務發展、內部運營和風險管理等方面帶來了便利和優勢，主要體現在以下幾個方面：

提升管理效率

內控信息化是一項跨部門、跨業務的系統工程。內控信息化的建設過程中充分考慮了內控對風險管理的要求，把跨部門、跨業務條線的各項業務，以風險管理為紐帶放在銀行的整體運營平臺上，把握銀行面臨的重要風險，從整體協調的角度優化業務流程，最大限度地提高了信息系統與銀行實際業務需求、內控需求的結合度，并促使銀行及時識別、評估、掌握和控制信息系統自身的風險，制定相應的控制措施。

從某種程度上講，借助于計算機信息系統進行的“機控”比傳統的“人控”更有效率。傳統的“人控”方式，由于工作人員容易受到思想、情緒、業務技能等主觀因素及金錢誘惑、權力壓制等客觀因素的影響，內控的效果會大打折扣，甚至流于形式。而完善的操作系統和信息系統可以使某項業務整個流程的各個環節置于不同部門、不同崗位的監督之下，可以對操作人員形成強有力的約束。內控信息化建設可以降低原本手工進行操作的內控工作成本，通過“機控”代替“人控”，從而減少人力資源的投入，提高銀行信息科技投資的回報。

優化業務流程

內控管理是一個全員參與、覆蓋全部業務范圍的全過程管理方式。這要求在各個業務流程和環節上分析確定出重要風險，并有針對性地制定控制措施。在內控信息化的實施過程中，不僅包括理順業務操作的程序和步驟，還包括針對重要風險的明確的控制措施和標準，滿足以風險管理為核心的內控體系建設的要求。將風險管理的理念融入和體現到業務信息系統的建設過程中，在確保重要風險得到適當防范和控制的前提下優化業務流程。

改善數據質量

數據質量是數據分析的主要基礎，而內控信息化可以對數據質量提供保障，銀行可以利用其數據資源在交叉營銷、產品創新、市場細分以及客戶挖掘方面大有作為。在零散無序的歷史數據中挖掘業務規律，預測未來發展，根據對客戶需求變化的敏感度開展業務產品的創新，充分利用數據分析的結果，使發展手段和方向更為精確，打造不可復制的競爭力。

體系

如前文述及，內控信息化的主要內容之一就是在信息系統中注入應用控制的過程。在國際內控權威機構ISACA發布的《信息系統和技術控制目標及應用控制管理指導》一書中指出，應用控制是指為實現與既定的自動化解決方案相關的目標提供合理保證而設計的政策、流程和活動，是業務流程中內嵌的信息系統相關控制，其目標是保證系統中業務處理的有效性、完整性和準確性，可分為輸入控制、處理控制、輸出控制、邊界控制、審計痕跡控制、授權控制等六類。

以哈爾濱銀行為例，信貸業務包括個人貸款、對公貸款、農貸和小企業貸款。在信貸系統中，業務信息化可以在系統中對不同的信貸類型、產品和模塊實行系統集中管理，不同系統間存在接口，實現全行統一的授信、客戶管理和貸款管理的功能，改善了以往只能通過手工進行貸款審批、出賬審核、貸后管理和對貸款進行五級分類的處理方式。在內控信息化的概念下，系統可以自動生成交易日志，并自動對可疑的交易進行篩選和識別，對發生頻率較高的業務出錯或提示，系統要求業務主管或管理層定期審核日志報告。自動化的控制可以保證業務員在系統中的操作有據可依，防止數據未經授權的更改和刪除。

再以人力資源方面為例，人力資源系統僅在總行實施，分支機構無法直接訪問人力資源系統。分支行人員入職、離職以及職級變化信息無法及時被更新，傳統意義上只能采取手工的方式計算薪酬，并需要通過郵件等方式將數據發送給總行。在業務信息化的驅動下，系統可以實現薪酬自動準確計算的功能，且總行可以隨時采集各分支行的薪酬信息，實現集中、區域化管理。但從內控的角度而言，薪酬專員同時擁有系統管理員的權限，會引起權責未分離并進一步引起薪資不準確、存在虛擬員工的風險，如果將內控注入人力資源系統，則可限制業務人員擁有業務所需的最小權限，且遵循不相容職責分離的原則，定期對系統權限進行審閱和清理。

在對系統進行內控需求注入后，還須對內控需求進行評估，衡量其可實現性和可操作性。系統在開發實施后，需要對系統模塊及其功能進行驗收測試，如有未落實的需求，則在整改后進行驗收工作。在此基礎上可以進行內控自評系統的實施作為內控信息化的輔助手段，對內控信息化進行測試和評估。傳統方式中，由于業務流程繁多，分支機構范圍較大，內部控制自我評估需要耗費大量的人力物力以及時間，而內控自評系統的實施可以改善這一問題。

內控信息化能夠幫助銀行業更全面、高效地防范中小額貸款中存在的風險，為支柱業務的運營和發展奠定扎實基礎。作為內控體系建設的延續，內控信息化還能持續改造傳統內控體系中大量的手工控制，切實提升各業務流程的風控管理水平。另外，內控信息化也是提升銀行操作風險管理能力的主要手段，它為風險控制自我評估、關鍵風險指標和損失事件操作風險的三大工具的運用提供了良好平臺，IT系統的投資回報率也將因此得到大幅度提升。

挑戰及展望

內控與信息技術的結合也面臨許多挑戰。內控點的梳理是否完全厘清了銀行對內控管理的要求;內控需求是否能完整、準確地轉化為系統需求;內控需求是否會對系統的功能性需求產生影響;系統開發時內控需求是否能夠有效注入;內控信息化注入后是否有持續改進的機制等等都是銀行面臨的現實挑戰。

其中，制度的整體架構與管理問題是開展內控信息化以及其他內控合規工作中遇到的難點。制度是開展內控信息化工作的前提，是整個內控管理工作的基石。然而，隨著業務的不斷發展以部門架構、業務條線的調整，“政出多門”、“野蠻生長”、“重業務輕內控”等破壞性制度建設行為較為突出，亟需通過結構性的制度架構及機制對整個制度體系、運作管理進行規范化、標準化，進而為內控工作奠定堅實基礎。

此外，加強內控一道防線建設、釋放一道防線的控制效能，作為內控信息化工作的線下重要補充機制建設是未來開展內控信息化工作的重心之一，也是工作的難點。一道防線效能的發揮有賴于崗位職責的明晰，以及在此基礎上的崗位自查與機構自查的檢查體系，以此兩個方面為切入點進行一道防線的強化建設，與內控信息化形成“崗位職責—自動化控制—檢查體系”三維立體的一道防線控制網絡。

毫無疑問，內控信息化對于銀行的內控管理工作是非常有益的嘗試，未來銀行內控信息化的發展方向是大幅提升銀行業務流程的整體內控信息化比率，實現所有主要內控管理工作圍繞信息系統來開展，讓信息系統服務于業務支撐的同時也能夠起到內控管理的職能，充分實現信息系統“一份投入、雙重功用”的效果，從而全面提升銀行的內控管理水平，為銀行實現經營目標保駕護航。

（作者系哈爾濱銀行副行長）