時間:2023-09-15 17:13:13
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇內控合規與風險管理范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:企業內部控制 合同 風險 機制
限于管理理論、意識控制等方面的原因,部分企業合同的管理仍存在著諸多問題。因此,合理運用內部控制理論,加強對合同的監督管理勢在必行。
1 合同管理存在的主要問題
①合同歸口管理不到位,權責分配和職責分工不明確。合同管理實際運行中,法律事務管理部門、業務部門、相關職能部門之間缺乏有效的溝通機制,無任何部門或個人能掌握合同總體情況。②合同樣式不符合要求,要素表述不清晰。在合同樣式方面,有正式書面的格式合同,也有簡單的傳真件;在要素描述上有些條款缺少關鍵表述,有的對會簽意見大而化之等等。③合同動態管理如會簽、授權、履行監控程序缺失。許多企業在合同靜態管理、談判等前期階段能夠高度重視,但對合同簽訂之后的合同履行階段,則往往存在重視不足、管理不到位等情況。④合同執行后驗收、評價工作缺失。企業往往缺少對年度合同履行的總體情況和重大合同履行的具體情況分析評估,對分析評估中發現合同履行中存在的不足,沒有及時采取有效措施加以改進。
2 企業內部控制理論與合同管理風險辨識
2.1 指引第16號指出企業合同管理至少應當關注下列風險。①未訂立合同、未經授權對外訂立合同、合同對方主體資格未達要求、合同內容存在重大疏漏和欺詐,可能導致企業合法權益受到侵害。②合同未全面履行或監控不當,可能導致企業訴訟失敗、經濟利益受損。③合同糾紛處理不當,可能損害企業利益、信譽和形象。
2.2 從企業合同管理環節上至少應當關注下列風險。①合同準備階段,包括合同策劃、調查、初步確定商業對象、要約、談判及擬訂合同文本等程序。②合同簽署階段,包括征求法律顧問意見,按照權限分部門審核、會簽,簽署合同文本等。③合同履行階段,包括合同履行,跟蹤監督,變更或終止、糾紛的處理等程序。對合同履行情況及實施情況進行,及時反饋合同履行情況的最新進展,確保合同各方能夠完全、全面的履行合同。④合同履約后管理階段,包括合同履約情況總體評價、風險防控、歸檔保管等程序。建立合同履約后評價與考核評比獎懲制度,把履約效果與獎懲掛鉤,把存在的問題不足與風險管控結合,推動合同管理PDCA機制不斷完善,不斷提高公司對外經營的競爭力與誠信度。
2.3 基于內部控制理論的合同管理風險辨識。①內控觀念的局限性。受內部審計環境影響,部分企業一直將企業的內部控制過多的理解為企業的內部審計和財務管理。但對企業運營聯系最密切的合同管理與法律風險控制缺少足夠重視。②內控流程設計的局限性。部分企業或合同承辦部門認為企業內部控制流程的設計增加了企業的運營成本、影響經營效率,對于效益的改觀沒有太多幫助。③法人治理結構不規范。目前很多企業雖然在形式上建立了法人治理結構,但遠未達到內部權利制衡的效果。合同管理流程被架空,內部控制干擾因素過多,內控流于形式,甚至成為違規的遮羞布。
3 內部控制基本理論下的合同管理與風險防控
3.1 企業內部控制理論。企業內部控制理論的發展大致分為內部牽制、內部控制制度、內部控制結構與內部控制整體框架等幾個不同的階段。20世紀,內部控制活動大部分集中在制度的設計和審計方面。如美國相繼成立了全國舞弊性財務報告委員會和專門研究內部控制問題的委員會。
3.2 內部控制五要素與合同管理。①控制環境。任何企業管理的核心都是企業中的人及其活動,而人又是構成環境的最重要要素。明確組織中的每一個人都對內部控制負有責任,這種組織思想有利于將企業的所有員工團結一致,使其主動地維護及改善企業的內部控制。②風險評估。企業必須建立可辨認、分析和管理相關風險的機制,對經濟活動中各層級所面臨的風險加以管控。③信息與溝通。圍繞合同管理內外部環境的變化,必須建立與合同管理控制活動相關的信息與溝通系統。通過信息的交換與分析,對監督、控制進行調整,使企業內部控制越來越趨于完善。④內部監督。在成本與效益原則下,企業合同管理控制過程必須施以恰當的監督,通過監督考核機制對違規現象加以修正。
3.3 合同管理環節的風險防控。①合同準備。簽約主體風險防控。簽約主體合格是合同得以有效成立的前提條件之一,簽約主體風險的結果是合同無效或被撤銷。②合同談判。合同談判風險防控。談判是雙方在平等、自愿、公平原則下,磋商合同內容和條款,明確雙方的權利義務的過程。③文本起草。合同形式風險防控。合同形式可以分為書面形式、口頭形式和其他形式,是合同當事人意思表示的載體,應符合法律或有關部委審查備案的要求。如《合同法》規定,對借款合同、建設合同等應采用書面形式。④合同訂立。合同訂立前有關部門必須對文本進行審查會簽。合同文本審核是合同簽署的關鍵環節,其風險主要有是否違反國家有關政策法規,合同主要條款存在重大誤解,審查人員的職業技能與操守,審查意見或建議是否被采納。⑤合同生效。合同生效風險防控。經審核后的合同簽訂稿必須由企業法定代表人或被授權人簽署,加蓋企業公章后生效。其風險主要表現在:企業內部授權委托制度不健全,簽署權限不明確而造成越權簽訂;合同印章管理不當,隨意加蓋合同印章。合同簽署后被篡改等。主要管控措施:企業應當建立合同簽訂授權制度、專用章使用與保管制度。采取恰當措施,防止已簽署的合同被篡改。⑥合同履行。合同訂立后,企業應誠實守信的履行合同約定,并按交易習慣履行通知、協助、保密等義務。該環節的主要風險是當事人沒有恰當地履行合同中約定的義務。⑦合同變更(解除)。合同變更(解除)風險。其風險主要表現在:變更雙方意見不一致導致合同無法繼續履行,合同變更簽證不規范,涉及合同變更協商的書面協議未作為合同的組成部分等。主要管控措施:合同變更程序上應參照新訂立合同按權限履行審批手續,明確合同承辦部門對合同履行情況及效果的信息通報。⑧合同爭議。合同爭議是一方或雙方對合同條款履行提出質疑并要求予以解決處理。在發生糾紛時,雙方應采取有效措施防止糾紛的擴大和發展,首先通過和解或者調解解決爭議,盡可能避免訴訟。當事人不愿和解、調解或者和解、調解不成的,可以根據合同約定申請仲裁或向人民法院提訟。⑨合同終止。合同終止指合同當事人雙方在合同關系建立以后,因一定的法律事實的出現,使合同確立的權利義務關系消滅。合同履行的終止并不消滅當事人因此所應承擔的返還財產、賠償損失等責任,以及以后合同義務的履行。值得關注的還有合同終止后有關質保金與售后服務的繼續履行。⑩合同后評價。合同后評價是對合同管理各個過程一個整體的、綜合性的評定,通過評價有助于分析、總結企業合同管理中的經驗和不足,推動合同管理水平的提升。企業應當建立合同后評價與責任追究制度,對分析評估中發現合同履行中存在的不足,應當及時采取有效措施加以改進,對合同訂立、履行過程中出現的違法違規行為,應當追究有關機構或人員的責任。{11}合同歸檔。合同歸檔保管是完善合同管理的重要環節,通過對合同資料的編號、統計、分類、歸檔和借閱進行管理,保證合同資料(包括招投標文件、補充協議、合同文本、審查會簽單、監控視頻材料等)的完整性,避免合同資料缺失或被泄密、濫用。主要防控措施:明確合同管理人員職責,規范合同資料歸檔范圍、借閱審批、歸還手續等有關要求。
4 結束語
合同作為企業承擔獨立民事責任、履行權利義務的重要依據,是企業管理活動的重要載體,也是企業風險管理的主要內容。企業需要運用內部控制理論對合同法律風險進行分析與控制,并建立一系列制度體系和機制保障,促進合同管理的作用得到有效發揮。當然,內部控制并不是要消除任何的可能性,也不存在完美無缺的內部控制。只有這樣,才能正確認識基于內控規范下的合同管理與風險防控工作,不斷提高經營管理水平和經濟效益,促進企業的事業不斷健康發展。
參考文獻:
[1]朱錦余.合同風險管理與內部控制――理論?實務?案例(企業內部控制與風險)[M].大連出版社,2010.
【關鍵詞】內部控制;風險管理
伴隨實務界與理論界對內部控制與風險管理認識的不斷加強,內部控制建設與發展已經提升到與風險管理相融合的新高度。在此背景下,企業內部控制與風險管理的要求更高,并需要不斷改進與提升,是一個循環往復、永無止境的企業管理工作,將不斷促進企業加強流程管控,增強風險防范能力,實現穩健持續發展。
一、企業內部控制與風險管理概述
企業內部控制與風險管理是相輔相成、互為促進的整體。其一致性主要表現在:一是企業內部控制以及風險管理的實現都需要各方的參與;二是兩者都貫穿于企業的整個日常經營管理活動當中;三是兩者的最終目的都是要實現企業的價值。由于內部控制主要規范內部管理流程,而風險可能涉及內部風險和外部風險,從這個意義上繳,企業內部控制屬于風險管理。然而,內部控制的提升,將增強企業對外部風險的抵御能力,二者是互相促進的。企業的風險管理和企業的內部控制相比較起來,它是站在更高的戰略層次上來分析問題的,比內部控制更加細化,能夠更好地解決企業經營活動當中所出現的各種各樣的風險問題。隨著內部控制以及風險管理的不斷健全和完善,二者之間必定會相互交叉且相互融合,最終相互統一。
二、企業內部控制與風險管理中存在的問題
1.內部控制與風險管理意識較弱
一是風險管理意識淡薄,片面追求發展速度,制定不切實際的目標或盲目擴展投資,使企業承受無謂的風險。二是把內部控制和風險管理看作一種靜態的東西,認為僅僅是規章制度,如文件法規、技術規范和應用模型等。三是內部控制和風險管理的內涵有很多重合之處,單純的將二者混為一談,忽略了其對不同企業的不同效果。四是片面相信國外的內部控制和風險管理理念,忽略了將其與我國國情與企業實際情況結合,使得內部控制與風險管理水土不服。
2.內部控制和風險管理組織機制較弱
一是公司治理結構不規范,不能有效制衡管理層的強大權力,董事會沒有或者不能負起監督管理層的責任。二是過分夸大內部控制和風險管理的作用,認為只要建立了內部控制和風險管理,企業的發展就是必然的。三是缺少對企業自身的特點、發展階段、行業特性、技術條件、外部環境等情況的評估機制,使得內部控制與風險管理本末倒置。四是管控模式和組織結構設計不合理,無法有效控制企業風險,難以建立有效的內控和相互制衡的機制。五是缺乏系統的風險管理體制,沒有將風險管理的手段和內控程序融入到管理與業務的制度與流程中。
3.內部控制與風險管理執行力度較弱
制度的關鍵在于執行,沒有執行或執行力度不夠,再先進的制度也不起作用。影響內部控制和風險管理執行力度的因素很多,其中,企業組織結構不合理、執行人員素質偏低、企業文化落后、資源配置不當是主要因素;制度本身的局限性及制度與制度之間的不協調性也給內部控制和風險管理的執行帶來困難。內部控制針對的是“事”而不是“人”,是一種“非人格”的控制機制,其控制對象不限于受控方,施控方也是內部控制的控制對象。內部控制需要全員參與、平行參與和平等參與,這與我國傳統的等級制、科層制是大不相同的。
三、企業提升內部控制與風險管理的改進措施
1.建立內部控制與風險管理相融合的管控文化
一是建立完善的內部控制組織框架,將高管層、中層、普通員工全部聯動起來,將內部控制的理念貫穿入公司上下,并對公司主要風險點建立追蹤機制,以承接各種風險。二是開展一系列教育活動,包括合規在線、合規課件、合規漫畫等,進一步鞏固基于風險管理的內控文化。三是在傳統金融內控經驗的基礎上,結合自身業務特點走出一條適合企業自身發展的內控道路,鼓勵內控與風險人員學習專業課程,系統地提升自身專業知識水平。
2.建立合法合規符合實際的內部控制與風險管理體系
在越來越明朗化的行業大環境下,內部控制與風險管理需要符合國家相關法律法規、行業監管辦法以及公司內部規章制度,需要建設既合法合規又符合實際的內部控制與風險管理體系。一是從自身實踐出發,建立和完善內控管理機構,并高度重視內控專業人才的培養。二是按照科學、精簡、高效、透明、制衡的原則設立組織架構,設有內審、合規和法務等模塊,并將治理層和管理層相隔離,避免職能交叉、缺失或權責過于集中。三是由內控部門制定一系列制度,有助于內控識別、評估和解決風險。
基金管理公司之所以如此強調風險控制的重要性,一方面是因為監管層為規范市場秩序加強了監管力度,另一方面則是因為基金管理公司從上述案例中認識到:風險控制對提高競爭力有著重要的作用,是鞏固和重塑誠信市場形象的必然途徑;基金管理公司應該在獲取收益和控制風險之間找到平衡點,如果沒有嚴格有效的內部控制體系和風險管理措施,最終將不能保住已獲得的市場份額和無形價值的積累——企業信譽。因此,基金管理公司必須將風險控制當作一項戰略決策來對待,通過全面、嚴密、的制度設計和體系構造,確保在控制風險的基礎上為投資者創造收益,實現公司的經營戰略目標。
基金管理公司有效控制風險應當具備的基本要素
一、有效內控的基本點是基金管理公司的最高管理層必須承諾對控制風險負有全部責任,即由全權負責整個公司業務的最高層自上而下推動和實施內控和風險管理,其制定的各項內控和風險原則、制度必須適用于基金管理公司的所有部門、環節、崗位,并能被貫徹執行。概括地說,一套有效的內控體系首先需要基金管理公司領導層的重視、參與和監督貫徹。
二、內部控制體系是一項系統工程,應在基金管理公司構造一個全面的包含兩個層面的體系和系統——公司層面的、整體的內控體系和業務層面的風險管理系統,包括建立完整的內控組織架構、流程、報告路線,明確管理層與業務部門的內控職責、紀律程序和量化的風險管理評價體系以及手段、措施等。能夠正確地確認風險,不僅要識別可量化的風險,而且必須認識和控制住其它不同類型的非量化風險,比如公司治理結構、法規、道德、人力資源、市場、運作環境以及操作上的風險。
三、平衡公司業務與實施嚴格風險控制兩者之間的成本費用關系。管理層應明確嚴格風險控制所需成本費用應由為確保實現公司長遠目標和預防、控制風險的有效性來決定,而不是根據短期內的損益情況來考慮控制風險應該支出多少成本費用,應將實施風險管理控制的成本費用支出看作是基金公司的一項連續的、長期的可以給企業帶來競爭力和價值增值的投入。
四、有效的內控依賴于內控職責的明確劃分,管理層在劃分內控職責時要將“控制”與“監督”職責加以細化分解,并需將責任落實到人。在風險控制職能上,業務部門的主管無疑是業務風險控制的責任人,并承擔著業務風險控制的職責;業務部門還應設專人負責日常的業務監控,并建立內部風險管理信息的傳遞與反饋機制;監察稽核部門除負責控制法律法規和道德操守風險外,更多的是監督檢查職能,即對業務部門的運作合規性進行檢查監督;績效評估部門主要對基金運作績效風險進行獨立的監控、測定及評估;此外部門之間還擔負著互相監督的責任。
五、有效的內控和風險管理的主要特征是公司上下均對風險具有很強的敏感性和認知度,相關的部門和人員去認真對待和控制,并通過持續不斷的培訓將控制風險的意識貫穿到企業所有員工的言行之中與部門間的業務環節中。對基金管理公司而言,在日常工作中業務部門是否能夠真正有效地進行風險控制將取決于部門以及員工是否能夠主動進行風險控制和嚴格遵守行為操守規范,以及風險管理職能部門是否嚴格履行職責并與業務部門相互間進行良好的溝通和合作。
六、監管機關的有效監管和良好的市場秩序。來自外部監管環境的對有效的內控和風險管理同樣重要,如果證券市場監管機關不能有效監管,就會使合規運作的基金公司無所適從。此外,良好規范的市場秩序將有助于控制市場風險,反之則較難把握和控制市場風險。
七、順暢的報告渠道。隨著基金公司在日常管理以及投資交易過程中各種風險的日益增加,通暢的風險報告渠道已成為風險控制過程中日益重要的組成部分,業務部門需要將存在或潛在的風險問題分別向風險管理部門和主管領導報告。風險控制職能部門,如監察稽核部和基金風險績效評估小組,對日常監控過程中發現的風險問題,應定期、及時編制風險評估報告提交管理層,并將有關信息及時反饋給業務部門。
鵬華基金管理公司的風險控制實踐
鵬華的內部控制和風險管理體系經歷了不斷在實踐中構造和完善的過程。在對內控和風險管理有了較為深刻認知的基礎上,鵬華自成立伊始就確立了“保護投資人利益,取信于市場、取信于社會”以及“內控優先”的風險管理理念,進行了大量、多方位的制度設計和措施安排,并通過健全內部控制體系控制非系統性風險,通過建立風險管理系統平臺對系統性風險進行控制。
一、內控體系建設方面:
1、完善法人治理結構,防止內部人控制為保障投資者和股東的合法權益,防止內部人控制,近年來鵬華積極向國際標準靠攏,不斷完善公司治理結構:建立了獨立董事制度;在董事會下增設了審計、薪酬和提名三個專業委員會;加強了風險控制委員會的風險控制職能等。
2、構建內控整體架構,明確內控流程鵬華的內控架構是多層次的,包括了風險管理委員會,投資決策委員會,督察員,監察稽核部,業務和支持部門,以及風險———績效評估小組。此外,鵬華還明確了風險控制由最高管理層自上而下推動和業務部門、員工自下而上主動、自覺履行風險管理。
3、完善內控制度,明確內控職責在鵬華在風險控制實踐中還認識到內控制度應是一個包含兩個層面的有機整體:一是公司層面的總體內控制度,它必須全面覆蓋公司管理和基金運作各個環節;
二是各個業務層面的、部門的風險控制制度。
在內控制度中鵬華對公司所有部門和崗位的內控職責進行了明確,也就是具體規定了由哪個部門誰對何種風險、按照何種程序、在多長時間內進行控制。此外,鵬華的內控制度還包括了定期對內部控制的有效性進行評價,以測試內部控制是否依然充分有效。對內控制度的評價不僅應該檢驗其是否符合控制目標的要求,還應該結合市場環境的變化、新的工具和技術的等情況,對內控制度進行適時的更新、補充和調整,使其適應基金業的發展趨勢和最新法律法規等風險管理要求。
去年以來,鵬華結合開放式基金的籌備工作,根據最新的法律法規和行業規范的要求,對公司層面以及業務層面的風險控制制度進行了進一步修訂完善,特別加強了對投資、交易和開放式基金業務風險的制度控制力度。
4、加強內控培訓,培育全員風險管理文化在與境外基金管理公司的訪問交流中認識到,基金管理公司的風險控制不僅僅是風險管理部門的事,而必須由每一個員工自覺地落實到日常的工作中去。因此,需要在基金管理公司培養一種風險管理文化,這種文化可以使得風險控制意識在公司內部得到廣泛的分享,擴展到公司所有員工,并最終形成一種良好風險的控制環境。
為此,鵬華管理層在各種場合向員工反復強調和灌輸“誠實信用、勤勉盡責,切實保護投資人利益,取信于市場、取信于社會”以及“內控優先”、“紀律產生業績”的風險控制理念。
為達到此目標,鵬華對員工進行了持續的內控培訓。去年,鵬華采取邀請境外專家到公司舉辦講座和內部交流等內外交流的等方式開展了三次內控培訓,幫助公司全體員工樹立了正確的風險管理理念和勤勉盡責的工作作風,并要求所有員工把風險控制融入到每天的工作中去。
經過三年多的實踐和努力,鵬華良好的內控環境和溝通平臺已構造完成,初步形成了全員風險管理文化。
5、制定行為操守準則,控制操守風險在培養風險管理文化的基礎上,鵬華還十分重視道德操守風險的防范,制定了詳盡的《員工行為操守準則》,并強制性要求全體員工每年簽署一次;此外,還制定了《基金經理操守準則》并要求基金經理簽署和向承諾。操守準則的簽署,意味著全體員工向公司和全社會承諾自覺遵守相關法規、基金契約和公司規章制度的規定,并接受社會和公司內部的監督。
6、獨立的監察稽核,嚴格的紀律程序監察稽核是在各業務部門自我監督基礎上的再監督。監察稽核部是法律法規和內控制度遵守和執行的監督者,是內控體系中的關鍵環節之一。
自公司成立以來,鵬華管理層就非常重視監察稽核工作。首先,公司賦予監察稽核部對所有業務,如基金投資、交易、公司和基金會計等進行獨立地檢查監督的權力,并不受其它部門的限制和干涉;其次,公司還賦予監察稽核部為履行工作職責所需要的其他必要權限,如對防火墻的穿越權,對所有文件、資料的調閱權,對違規行為的制止權等;最后,為建設一支高效的監察稽核隊伍,公司還為監察稽核部配備了審計、會計、法律方面的高素質人才,并多次安排監察稽核人員赴境外和培訓。
近年來,鵬華監察稽核部不斷加強對各項業務的監察稽核,在監察流程、方式、措施、手段上取得了長足進步:1、盡量實現風險控制由“事后處理”向“事前防范”的轉變,并在事前、事中、事后等各階段對風險進行全面控制,確保公司管理和基金運作的合法、合規;2、虛心學習境外合作伙伴在內部風險控制和監察稽核方面的先進經驗和量化監控,引進了關鍵風險指標(KPI)月度評估報告制度等。
為保護投資人利益,確保公司規章制度得以有效貫徹執行,公司還制定了嚴格的紀律程序,對在監察稽核過程中以及在部門內控和風險管理中發現的違法、違規行為,將根據情節輕重、性質和危害程度,經部門會議、監察稽核部、總經理辦公會議或風險控制委員會討論確定對行為人的處罰和行政處分。
7、強化崗位分離和制衡機制關鍵崗位的分離和制衡,是內部控制的重要原則。在這一原則指導下,,鵬華對以下崗位進行了空間和區間的分離:
(1)投資與交易:投資與交易從部門到人員均相互獨立,并以防火墻進行物理隔離;(2)交易與清算:公司交易人員與清算分屬不同的部門,彼此完全獨立,業務上沒有交叉,并且建有防火墻,辦公區間進行隔離;(3)監察稽核與其他業務部門:監察部由董事會任命的督察員負責,保持了很強的獨立性,其監察報告可以直接送達董事會和監管機關,而無需總經理的批準;(4)其他重要崗位,如投資與、公司會計與基金會計等均實現了人員獨立和崗位分離,無崗位、業務重疊現象。
在制衡機制方面,根據業務流程和制度規定,部門之間對明顯違反法律法規和制度流程的行為有制止權和報告責任,因而可以通過部門、崗位的相互制衡達到控制風險的目的。
8、改革人力資源和薪酬制度,加強激勵機制
人力資源是鵬華公司最寶貴的資產。為吸引人才、留住人才,體現鵬華“以人為本”的經營管理理念,公司一直致力于建立起一套的人力資源體系。2001年,鵬華選擇美國著名的惠悅咨詢公司,為鵬華量身設計薪酬、績效評估、培訓等方面的人力資源改進方案,重新制定了,如薪酬制度、績效評估制度、培訓制度等,并于2002年全面推行。
在此基礎上,公司逐步建立起包括人才數據庫、崗位、績效評估等在內的人力資源電腦管理系統,力爭建立起科學的人力資源體系,不斷提高人力資源管理水平。
二、風險管理系統平臺的建設對于流動性風險、波動性風險、行業、個股集中度風險等系統性風險,除通過基金投資部門對基金進行日常的風險管理外,公司還設有專門的工程小組,負責開發投資模型和量化的風險管理系統,并建立起獨立的風險管理系統平臺進行輔助控制。2001年,公司開發完成了投資決策支持系統(PHIDSS)和投資研究信息系統,其子系統包括恒生交易系統、證券分析系統、鵬華財務風險識別和預警系統、指數研究工具、投資策略、投資風險實時監控系統;另外還開發了基金投資、交易自動控制系統以及基金風險績效評估系統并正式投入使用。鵬華風險管理系統平臺的建設,為規避和控制市場風險在系統化和數量化的道路上邁出了堅實的一步。
內部控制的趨勢
2008年6曰28日《企業內部控制基本規范》后,中國平安高度重視、立即行動組織項目組貫徹落實,聘請國際知名咨詢公司協助項目實施,遵循“務實整合”的核心原則,秉持“以制度為基礎、以風險為導向、以流程為紐帶、以內控平臺系統為抓手”的思路,將內控體系再次整合升級,具體包括:修訂了《內部控制評價管理辦法》、《內部控制自評手冊》,進一步健全內控制度體系;構建了內控評價系統平臺,為管理層提供風險狀況及決策支持;并逐步建立完善了內控評價日常化運作機制,實現“內控人人參與、合規人人有責、內控融入業務和流程”等。
建設“三位一體”的管控機制
在內部控制治理架構與體系方面,中國平安董事會對內部控制的有效性負最終責任。中國平安董事會是一個依托本土優勢并踐行國際化公司治理標準的董事會,現有19名董事中,有3名獨立非執行董事及5名非執行董事來自海外,這些海外董事均為金融、保險、財務、法律等專業領域的資深人士,負責內部控制的建立健全和有效實施,董事會下設審計與風險管理委員會,負責監督、審查公司內部控制的有效實施和內部控制評價情況,協調內部控制審計及其他相關事宜。
中國平安集團設立內控管理中心,包括合規部、風險管理部、稽核監察部;各專業公司層面設立相應的合規、風險管理、稽核監察職能部門。公司持續優化內部控制體系,在公司副總經理兼首席稽核執行官葉素蘭(其作為首席稽核執行官根據《審計與風險管理委員會工作細則》直接向董事長、董事會審計與風險管理委員會報告工作,以確保獨立性)的統籌協調與管理指導下,不斷加強“合規管理、風險管理、稽核監察”三個模塊職能的分工與協作,強化工作銜接與信息共享以及“事前、事中、事后”的三位一體風險管控機制。葉素蘭向《董事會》表示,“三位一體”指三個專業部門在風險管控中分工、配合與協作,強化事前、事中、事后風險管控。其中,合規部門主要履行“風險事前策劃應對”,風險管理部門主要履行“風險事中監測控制”,稽核監察部門主要履行“風險事后監督報告”。業務部門是風險管控的第一道防線,中國平安通過建立內控評價與考核問責,將內部控制與日常經營管理融合,嵌入業務和流程,確立內部控制的核心驅動力,將風險管控盡可能前置。合規部門和風險管理部門是第二道防線,稽核監察部門是第三道防線。
針對綜合金融可能存在的關聯交易、風險轉移、資本重復計算等風險,中國平安通過建立完善嚴格的“法人防火墻”、“財務防火墻”、“交易防火墻”和“信息防火墻”等防火墻制度,將單一/累積風險控制在遠低于集團可接受的水平范圍內。
值得一提的是,平安一直致力于建立一個以國際領先綜合金融服務集團為目標,與自身業務特點相結合的全面風險管理體系。其通過完善的組織架構、規范的管理流程、定量與定性相結合的風險管理技術方法,進行風險的識別、評估和控制,支持業務決策,促進集團有效益可持續健康發展。
中國平安總經理任匯川對《董事會》感慨道:“風控體系非常獨立和嚴格,集團強調法規+1,之所以能放心也是因為有這套體系。”
完善內控評價機制
內控評價機制方面,中國平安確立了以內控評價方法論為基礎,覆蓋全部業務部門進行內控自我評價,風險管理部門進行內控風險評估,稽核監察部門成立專門的評價小組進行內控獨立評價,外部審計師對公司內控狀況進行審計的內控評價機制。
中國平安的內部控制評價工作嚴格遵循相關外部監管規定及公司內部控制評價辦法規定的程序執行。由公司合規部牽頭,會同各業務及相關管理部門進行管理層內控自評,由公司稽核監察部實施內控稽核獨立評價,相關責任部門根據內控缺陷及整改建議制定并執行整改計劃。中國平安不斷完善管理層內控自評和內控稽核獨立評價流程,通過加強項目管理、過程管理、質量復核、固化項目方法和程序、評價結果分類等內容,規范管理層內控自評和內控稽核獨立評價工作的開展。公司通過內部控制系統平臺,完成內部控制評價的發起、測試、匯總、復核、審批、整改追蹤、結果分析等工作。管理層內控自評和內控稽核獨立評價過程中,公司通過訪談、資料收集與研討、專題研討、與行業最佳實踐對比、培訓等方式,收集、確認、分析相關信息,確定與實現公司整體控制目標相關的風險,并在此基礎上辨識與細化相對應的控制活動,然后針對控制活動進行穿行測試和運行有效性測試,獲取充分、相關、可靠的證據對內部控制的有效性進行評價,并書面記錄工作底稿。從定量和定性等方面進行衡量,判斷是否構成內部控制缺陷,對發現的內部控制缺陷,督促相關單位或部門進行整改,并對整改結果進行核查和確認。
中國平安外部審計師安永華明會計師事務所對其財務報告內部控制發表的審計意見認為,于2011年12月31日中國平安按照《企業內部控制基本規范》和相關規定在所有重大方面保持了有效的財務報告內部控制。
打造信賴工程
做好內控和風險管理工作的核心,是發揮治理架構和人的作用——這是馬明哲對平安內控和風險管理工作的要求。中國平安對完善內控過程的總結還包括:管理層的高度重視是內控工作實施的必要條件;組建權責清晰、運作高效的內控組織架構是內控工作實施的前提;進行內控考核與問責是內控工作實施的驅動力;外部咨詢公司的力量是內控工作實施的專業支持;內控工作需要依托公司現有基礎,完善、優化、整合升級,一般情況下不宜推倒重來。
【關鍵詞】商業銀行;合規風險;長效機制;防控
一、合規、合規風險的概念
關于合規的概念,我國《商業銀行合規風險管理指引》對合規的含義進行了如下明確:“合規是指商業銀行的經營活動與法律、規則和準則相一致”;“合規風險”指的是:銀行因未能遵循法律法規、監管要求、規則、自律性組織制定的有關準則、已經適用于銀行自身業務活動的行為準則,而可能遭受法律制裁或監管處罰、重大財務損失或聲譽損失的風險。
二、建立合規風險管理的必要性
從銀行業內控管理現狀看,合規經營、合規管理、合規文化建設依然任重道遠,各類違法、違規案件時有發生,特別是一些大案要案,給銀行業造成了極大的經濟和聲譽風險。千里之堤毀于蟻穴,一個很小的合規漏洞都可能造成銀行的巨大損失。邯鄲農行金庫竊案中,庫管員盜取現金數千萬元,如此巨大數額的現金,絕不可能在短時間內完成轉移,因此犯罪分子同時發展了數名同犯,在不短的時間內,整個銀行都沒有發現異常。1995年,有著233年歷史的巴林銀行突然一夜之間宣布破產倒閉,事后李森對自己的過往中有這樣一段描述:“對于沒有人來制止我的這件事情,我到現在仍覺得很不可思議。倫敦總部的人應該知道我的數據都是假造的,這些人都應該知道我每天向倫敦總部要求的現金是不對的,但他們仍舊向我支付這些錢。”從李森的描述中我們不難發現,巴林銀行倒閉事件當中不應僅只有李森一人違規操作的原因,亦有周邊人對李森的違規操作視而不見原因,更有管理監控缺失的原因。銀行的制度不可能完全沒有漏洞,內控制度執行不力,工作人員防范意識不強,就會為犯罪分子提供客觀的條件便利。
三、當前基層行合規管理方面存在的問題
(一)未能正確處理好業務發展與合規經營的關系
在經營管理中重業務營銷、輕風險防控,重經營業績、輕管理細節的意識依然存在,容易產生風險事件。
(二)員工的整體素質有待增強
一些基層機構對各項制度規定和業務知識學習不夠,沒有把警示教育、制度教育、流程教育作為一線員工每天的必修課。部分員工思想上對風險防控的重要性、長期性、復雜性和艱巨性認識不足,對業務操作流程不夠熟練,對風險的把握不夠準確,在業務操作過程中規范性不強,極易產生操風險事件。
(三)風險防控的制度措施有待完善
現行的制度還不能完全適應新常態下內控管理和風險防控的要求,應根據管理和風控要求,不斷對辦法制度進行修定和完善,為基層行風險防控提供有力的制度保障。
(四)監督機制還不夠健全
在銀行的平常經營過程中,側重預先的風險防范,事前決策和結果執行的合規抓得緊,而事中監督和事后反饋環節的合規力度相對較弱;目前仍存在有章不循、“屢查屢犯”現象。對合規考核、問責、誠信舉報等持續需要改進的后續制度建設相對弱化、合規管理的長效機制建設有待深化。
四、如何建立商業銀行防控合規風險長效機制
機制是使制度能夠正常運行并發揮預期功能的配套制度。它的基本條件:要有比較規范、穩定、配套的制度體系;又要有推動制度正常運行的“動力源”。良好的合規風險管理文化是商業銀行風險管理的重要基礎,也是銀行企業文化構成要素長效機制,即能長期保證制度正常運行并發揮預期功能的制度體系。長效機制不是一勞永逸、一成不變的,它必須隨著時間、條件的變化而不斷豐富、發展和完善。
一是明確合規風險防控責任。要建設好銀行的合規文化,首先要從高層做起,高層合規能起到榜樣作用,要強化高管人員“合規創造價值”及“以內控促管理,以管理促效益”的理念,樹立合規風險防控責任意識,形成全行上下齊抓共管、整體聯運的合規風險防控格局。大力營造遵章守紀光榮、違規違紀可恥的良好氛圍,將“全員主動合規、合規人人有責、合規創造價值”的理念滲透到全行員工的日常行為中,滲透到每個崗位、每項業務操作環節中,促使員工自覺遵循法律、規則和標準。
二是持續加強合規風險防控教育。牢固樹立“發展是硬道理,管理也是硬道理,兩手抓、兩手都要硬”的內控合規文化理念,每年定期舉辦不同主題的內控管理教育活動,培育和弘揚誠信至上的內控合規文化氛圍,進一步提升全員合規風險防控意識,全面提升員工職業素養,增強全行員工遵紀守法的自覺性。
三是建立有效的獎懲約束機制。實行內控管理問責制度,把合規風險防控工作納入經營行和業務管理部門的績效評價指標體系,將合規管理成效與考評機制相結合,增強對違規問題的自查自糾能力,加大對違紀違規、特別是“屢查屢犯”行為的處罰問責力度,對出現有違規行為的實行“零容忍”并堅決按有關制度規定進行問責和處罰。通過對違規違紀行為和相關人員的嚴肅懲處和定期通報,警醒員工隊伍,真正發揮制度的約束作用。同時建立正向激勵機制,對合法守規行為進行表揚和獎勵,切實做到獎懲分明,對報告或避免重大合規風險的給予表彰獎勵。形成合規人人有關、人人有責的健康局面。
全面抓好風險防控措施落地。切實抓好不同時期的重點領域防范措施的落地。同時發揮合規審查、履職監督與監督評價的作用,通過進一步加強重點領域高風險機構、崗位和環節的排查,健全完善制度流程和系統控制,多措并舉防止風險輸入擴散和交叉傳染。同時加強合規安全教育,強化員工異常行為管理。
參考文獻:
[1]中國銀監會.商業銀行合規風險管理指引,2006,(10)
[2]劉曉勇.《清華金融評論》關于健全銀行風險管理機制的探討,2015,(08)
[3]徐瑾,楊繼繩.《中國經營報》警惕“權力市場經濟”,2010,(11)
關鍵詞:企業 全面風險管理 內部控制 體系
一、全面風險管理和內部控制概念
(一)全面風險管理的概念
全面風險管理是一個持續的實施過程,緊密結合在企業經營戰略的設定之中,是企業的董事會、管理層和其他員工共同參與的協作執行,應用于企業的戰略制定和企業的各個部門及各項經營活動,用于確定可能影響企業的潛在事項,并在其風險偏好范圍內管理風險,從而對企業目標實現提供合理保證。
根據企業管理層經營的方式劃分,全面風險管理包括八個要素,內部環境識別、制定經營目標、企業風險評估、經營事項評估、風險應對方案、風險控制措施、信息獲取與溝通以及風險效果監控,上述要素之間相互關聯,相互協作,始終貫穿于企業生產經營活動中。
(二)內部控制的概念
內部控制是一個動態的全過程,包括控制環境、風險評估、控制活動、信息與溝通及監控五個互相聯系的要素,體現于管理層經營企業活動中。企業內部控制由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。這一定義突出強調內部控制是由企業董事會、監事會、經理層和全體員工實施的,旨在實現控制目標的過程,有利于梳理全面、全過程控制的理念。
筆者認為,內部控制的基本出發點是以預防為主,貫穿于企業生產經營的始終,內部控制需通過事前、事中、事后的過程性的控制手段,對內部控制設計及執行過程進行評估,從中獲得當前內部控制體系的有關信息,及時對內部控制體系進行修訂、完善和補充,確保企業管理的完整性,有利于充分發揮審計職能、提供各方決策依據等內容,以達到整體控制的效果。
二、全面風險管理和內部控制的關系
全面風險管理與內部控制既相互聯系又存在一定差異,具體情況如下。
(一)管控實施主體一致
從實施主體上看,企業風險管理和內部控制管控主體都是企業董事會管理層及各息與溝通及監控五個互相聯系的要素,體現于管理層經營企業活動中。企業內部控制由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。這一定義突出強調內部控制是由企業董事會、監事會、經理層和全體員工實施的,旨在實現控制目標的過程,有利于梳理全面、全過程控制的理念。
筆者認為,內部控制的基本出發點是以預防為主,貫穿于企業生產經營的始終,內部控制需通過事前、事中、事后的過程性的控制手段,對內部控制設計及執行過程進行評估,從中獲得當前內部控制體系的有關信息,及時對內部控制體系進行修訂、完善和補充,確保企業管理的完整性,有利于充分發揮審計職能、提供各方決策依據等內容,以達到整體控制的效果。
二、全面風險管理和內部控制的關系
全面風險管理與內部控制既相互聯系又存在一定差異,具體情況如下。
(一)管控實施主體一致
從實施主體上看,企業風險管理和內部控制管控主體都是企業董事會管理層及各員工,其管控主體為公司全體員工,為公司戰略目標實現提供合理保證。
(二)管控范圍相互包含
從管控范圍上看,企業的內部控制體系是企業全面風險管理體系中重要的組成部分之一,而內控體系建設的動因則來自企業對風險的認識和管理。內部控制是管理的一項職能,而全面風險管理貫穿于企業經營管理過程的各個方面。
(三)管控視角側重不同
從管控視角上看,全面風險管理強調通過前瞻性的視角去積極應對企業內外各種可控和不可控的風險,側重于戰略、市場及法律等領域。而內部控制主要通過防范性的視角去降低企業內部可控的各種風險,側重于財務和運營。
(四)管控目的存在差異
從管控目的上看,企業通過對全面風險管理的戰略風險、財務風險、市場風險、運營風險及合規風險等多項風險進行分析、評估獲取機遇,規避或預知影響。而內部控制則沒有對風險和機遇進行明確的區分。
綜上所述,能夠對風險包括風險偏好、風險應對策略、風險零容忍度等戰略要素,進行準確全面的度量和評估,建立初始信息框架,是全面風險管理工作流程起始點,因此,要確保企業在風險偏好及運營發展戰略方面保持一致。內部控制則是在對企業內部風險和機遇分析的基礎上,提出各種應對措施及方法,內部控制措施其必要性與風險系數呈正相關的關系,并依據風險內容制定控制機制與實施,企業在生產運營管理中,通過使用具體的內部控制措施的有效工具,對各類風險進行控制、評估,從而監控管理潛在的各類風險爆發隱患。
三、企業內部控制體系實施
隨著國家有關部門和資本市場監管要求日趨嚴格,以及全面風險管理與內部控制理論的特性,為企業建立風險管控體系提供了指導依據。同時,將風險管理理念列為管理重點,以有效的內部控制為基礎,科學融合了現代企業管理體系中的風險管理理念,促使企業充分審視、完善和加強自身內部控制管理工作。
建立以風險管理為導向的內部控制體系,從而不斷提升企業自身的風險管控能力,其發展歷經了SOX內控體系到全面風險管理內控體系演進的過程。
(一)基于財務報告相關基礎的SOX內控體系
初步建立以《薩班斯》財務報告為基礎的一套內控體系,主要關注內控組織和制度的建設,完成體系的搭建,內外部審計中,均順利過關,遵循工作總體有效,主要建設效果如下。
1.搭建內部控制體系組織架構和體系
內控體系從組織架構上實行兩條線管理機制。一方面,財務部門作為內控職能管理部門與業務部門(虛擬團隊)作為運動員,分別負責公司內控體系的設計和執行;另一方面,內審部及外部審計師作為裁判員,負責內控體系的監督和檢查。
按照內部控制建設目標和原則,通過統一、規范、系統化的與財務報告相關的內部控制體系制度的建設,完善了基本的內部控制設計,業務流程范圍覆蓋了企業所有業務部門,形成資本性支出流程、收入和計費業務流程、存貨管理流程、營運支出業務流程、貨幣資金管理流程、固定資產和無形資產管理業務流程、人工成本管理業務流程、會計和財務報告、籌資業務流程、關聯交易業務流程、法律法規遵循業務流程、稅務管理業務流程及信息技術整體控制等十三大主要內控流程及關鍵控制點,形成內部控制手冊和矩陣。
2.梳理規范業務操作
梳理及規范了業務執行層面各類操作,實現了風險評估、制度設計、業務執行、監督報告的閉環管理流程。通過業務訪談及專業判斷進行了業務流程的風險評估,通過內控文檔的優化更新及內控制度辦法的建立完善了制度設計,通過明確落實關鍵控制點責任部門和責任人保證執行落地,通過內外部內控審計測試及業務自查加強了監督檢查力度,通過定期內控體系建設情況報告形式明確了管理要求。
3.提升風險管理意識
通過結合基于財務報告相關的內控建設初步的風險管理體系,深化了內控的管理細度,實現了將與財務報告相關的內控要求融入日常工作,與業務運營融合,提升了業務執行效率與效果,增強了風險管理意識。
4.內部控制落實
企業通過部門層面內控常態化管理項目的實施,將公司層面的控制落實到部門層面,控制的執行更加明確,轉換部門角色,把部門由受控主體轉變為控制的主體,形成部門內控閉環管理體系,實現部門內部控制的建立、執行、測試及跟進閉環管理,將控制真正融入到日常工作之中,避免內控管理與生產管理“兩張皮”。同時,建立并完善內部信息溝通渠道即內控月報制度,內控月報涵蓋了各部門日常工作中涉及的相關內控工作,實現與公司內控職能管理部門財務部的有效溝通。
5.加強內控執行監督
為加強對內控業務執行的監督力度與執行效果,設置考核體系和評價體系,企業采用了將內控業務執行監督納入公司各部門關鍵績效指標考核體系的方式,以加強業務部門對內控管理工作的重視程度;在日常監督檢查方面,采取了部門層面內控閉環管理體系,通過明確各部門內控自測要求,促進業務部門開展自測,并與內外部審計等檢查實行有效銜接,主動發現風險,從而達到關注重點、聚焦實質的目標,將內控風險管理工作和業務管理工作有機的結合在一起。
(二)以風險為導向、面向業務運營的全面內控體系
開展企業層面的風險評估,編制全面風險評估報告,全面優化SOX內控,梳理、搭建業務風控框架,以風險管理控制為核心,面向生產運營內控體系逐漸過渡到以風險為導向的內部控制體系建設,建立全面內控體系,其主要效果如下。
1.搭建業務框架
內控體系框架不再以存貨、資金等會計視角為主線,而是從市場營銷、采購等公司具體業務視角搭建。同時,從全生命周期出發,在各關鍵環節設置數據稽核的控制要求,區分實物管理和數據管理采集稽核樣本,從而加強全流程的風險管理控制,提升數據真實性。
2.增設關鍵控制,注重前后評估
一方面,由于業務合作形式日趨多樣,多渠道整合營銷及聯合促銷等合作模式對雙方資金、資產安全提出了更高的控制要求。如,對于代銷商與營業廳合作業務,對代管存貨明確了控制措施,明確控制要求;另一方面,結合原則性控制要求,針對具體方式進一步細化控制要求,提高關鍵環節控制力度。如,對于采購業務,鑒于采購方式及業務流程不同,區分了招標采購、非招標采購與集中采購三類模式,細化控制要求。
根據業務流程進行梳理發現,部分業務流程未明確事前評估及事后監控的閉環要求。基于此,在業務流程評估的基礎上,對部分業務流程增加了前后評估環節,提升了效率效果。
3.合并同質控制
通過長期的業務實踐來看,對于同類業務,放在不同的流程中,出現了不同業務部門的認識不統一,導致管理方式不一致。通過業務流程的刪繁就簡,歸并整理了同類型業務控制。
4.梳理標準規范
考慮系統維護量增加,效率降低,以及未來的可擴展性,兼顧控制基線要求,適當強化部分控制,為不斷增多的系統提供統一、標準的控制規范,統一了各信息系統的整體控制要求。此外,通過梳理與財務報告相關性系統,考慮其是否產生計費話單或生成財務數據,是否傳輸或存儲財務數據,對與財務報告無直接關聯的系統不再納入內控手冊矩陣關鍵控制系統范疇,而是納入日常管理流程。
5.實施內控系統固化
伴隨企業內控管理制度的逐步規范以及信息系統建設的不斷完善,內控制度和流程相對明確,內控工作的重心從內控手冊矩陣優化轉到控制要求的落實執行上。如何通過信息化手段將內控管理制度落實到實際執行中,將內部控制矩陣中的關鍵控制點在業務系統中予以固化,以建立常態化的內控執行體系,既是進一步改善內控措施執行的效率和效果,又是實現內部控制和風險管理的智能化和標準化的要求。內控固化管理也是順應持續性審計、懲防體系建設等內外部監管領域發展趨勢,并為業務的健康成長和管理效率的提升提供支撐保障。
(三)以全面風險管理為視角的內控體系
遵循COSOII框架的全面風險管控體系,組織開展重大風險管控項目試點,促進風險管理工作與業務的深度融合,主要關注風險評估和風險應對,實現向全面風險管理過渡,不斷完善其風險體系和內控體系建設,構建與以全面風險管理視角的內控體系,其主要建設效果如下。
1.深化風險文化
作為企業文化建設的重要部分,企業已將風險管理文化建設納入企業文化標桿管理體系,從制度層面上保障風險管理文化的建設,并將風險管理與績效考核相結合,對于不符合風險管理要求、違反商業道德和誠信原則的行為進行處罰,促進風險責任的落實。公司管理層和風險管理專職人員作為傳播企業風險管理文化的兩種基本力量,分別通過自上而下和由點及面的推動方式,傳播公司的風險管理文化。通過風險管理文化建設與培訓,風險管理意識日趨深入人心,風險文化逐步形成。
2.構建風險體系
企業以國資委的《中央企業全面風險管理指引》中確定的分類為參考,結合企業行業特點及其實際業務情況,主要風險主要劃分為戰略風險、財務風險、市場風險、運營風險、法律風險和信息技術風險等六類風險。
全面風險管理工作從上述六類風險角度出發,營造企業自身文化;梳理公司各業務和內外部環節存在的風險,健全風險防范制度,構建風險防范體系。通過與利益相關方的溝通,提升公司形象,加強公司的廉政建設。
首先,企業根據業務發展需求,圍繞中心,服務大局,聯系實踐,落實企業文化規劃,完成企業文化發展規劃,提升企業文化知曉率和認同度。
其次,企業通過梳理公司業務管理、網絡運營等各方面存在的風險點及薄弱環節,提升全員信息安全意識,以風險管理為核心開展信息安全管理工作。
再次,企業通過加強反腐倡廉建設,廉潔自律,強化紀檢監察、內審、安全生產、法律和社會責任風險管理,構建全面風險管理體系。
最后,加強利益相關方溝通管理和需求回應,全面提升社會形象。
企業通過上述措施制訂執行全面風險管理工作計劃,明確責任,評估各項風險發生的可能性和發生后對公司的影響程度,并對風險的重要性程度排序,確定公司面臨的各種風險,細化落實相關計劃與措施,定期開展回顧總結,監督執行情況、提出改進建議,完善風險管理的閉環管理機制,將風險管理的工作要求與業務運營管理相融合,切實做好日常的風險管理控制。
3.提升管理水平
通過規范業務流程,促進公司精細化管理水平的提升。在以價值為導向的全面風險管理體系建設階段,實現了風險評估、制度設計、執行、監督檢查及報告的閉環管理的新的提升。在以風險為導向的內控體系建設的基礎上,通過風險量化分析工具及效益評價開展風險評估,建立風險評估標準完善了制度設計,通過專項風險管理加強執行,建立風險信息數據庫方式增強監督檢點,通過定期編制全面風險管理報告提升風險管理水平。
4.關注重點風險,內控業務對標
隨著企業管理日益精細化,相關內控要求與業務制度也在持續優化更新。在生產經營過程中,運用正向、逆向思維,梳理內部控制制度和業務管理制度,內控制度設計覆蓋業務管理全過程,關注重點高風險和舞弊領域,業務制度是內控制度執行依據,內控制度是將業務制度中與內控相關條款歸納、整合。基于此,從內控合規角度出發,查找設計不合規或兩者不一致的內容,進而完善內控要求與業務制度,實現全部內控業務流程對標,并將此項工作納入內控常態化管理工作范圍,不斷完善內控體系。
上述內控體系特點為,建立企業統一的、標準化的內控手冊和矩陣;控制點要求落實到具體部門和責任人,確保有效落地執行;內控管理執行部門和風險管理監督部門各司其職,相互制衡;全面覆蓋涉及企業所有業務單元,涵蓋生產、市場和管理等各業務線條;采用風險評估的方法,以風險為導向,關注關鍵環節風險管控;將內控與業務活動的緊密融合,避免“兩張皮”;利用信息化手段固化內控要求,充分發揮信息系統優勢。
四、未來全面風險管理內控體系的實施建議
(一)將企業風控管理和戰略管理結合在一起
戰略管理、風險管理是企業整個治理過程中的重要環節,企業戰略管理的終極目標是為了實現企業價值的可持續增長,企業價值創造的路徑是“股東價值客戶價值業務流程核心資源”,所以企業必須具有高效、快捷、有可靠質量的業務管理流程,是企業價值鏈的形成途徑,企業風控管理也應遵循這一路徑而展開。這就需要企業結合整體戰略規劃對本企業的風控管理目標、建設原則、建設步驟及建設藍圖等進行評估、設計與決策,并且企業還需結合已確定的內部控制體系建設規劃,審核建設方案和實施計劃,監督內部控制管理機制的日常運行和持續改進,從而實現自上而下的風控管理與戰略管理相結合的管理機制。
為實現企業戰略目標,一方面將風控管理偏好和企業的戰略結合在一起,將企業成長、風險和收益聯系起來,增加風控反應決策,使企業的經營意外和損失最小化,減少企業生產、運營管理風險盲點;另一方面確認和管理企業的總體風險,合理配置風控管理領域的資源,抓住機遇,針對多重風險提供完整的應對反應方案。
(二)全員參與自主風控
全面風險管理是長期性工作,涉及企業生產和管理整個過程,需要全員上下共同參與實施,也是與日常生產和管理活動緊密相關聯的。通過有效運用風險管理和內部控制的相關手段和要求,評估企業關鍵性業務的狀態,避免業務執行和風控執行信息不對稱;實行自主動態風控管理,使業務制度涵蓋內控要求、業務流程符合內控要求和業務系統固化內控要求,從而不斷提升全員風險管控意識,做好重大風險自主評估;增強內控與業務融合度,確保關鍵業務自主內控合規;深化內控管理信息化的建設,實現內控要求系統自動控制;推動審計發現問題整改復查,發揮審計檢察閉環監督價值。
(三)強化風險監控預警,有效完善內控體系
企業的風險監控是風險預警的關鍵部分,結合企業內外部環境、行業特點,通過一定的評估方法或模型來確定風險監控指標的權重,充分利用統計分析的決策支持、工具和系統,從生產管理多維度入手,如運用年度績效考核指標分析,監控企業經營業績、發展效益、網絡質量等;通過年度全面預算標桿管理體系,對標分析查找差距,突出價值導向優化資源配置;利用對業財半年報表和日常管理情況分析,監控業財指標,從財務角度進行風險分析和提示;透過月度/季度統計數據,分析企業日常生產經營風險,并將監測動態數據進行統計、分析,得出風險的變化趨勢,定期進行匯總提出分析報告,為企業決策和風險管控提供參考依據,也為業務流程和內控體系持續優化提供有效信息,切實起到風險把控作用。
五、結束語
發起行對村鎮銀行的垂直風險管理體系
《指引》規定“農村中小金融機構可根據業務發展需要設置首席風險官(風險總監),首席風險官負責分管風險管理條線工作,不得分管前臺業務工作,直接對行長(主任)負責”。結合發起行對村鎮銀行的管理職責,發起行可通過派駐村鎮銀行首席風險官方式,對其發起設立的村鎮銀行實行垂直、獨立的風險管理。派駐村鎮銀行首席風險官向發起行及村鎮銀行董事會、行長負責,在發起行村鎮銀行管理總部及村鎮銀行行長領導下開展工作,屬于村鎮銀行經營層,接受村鎮銀行董事會及所在地監管部門的高管資格審定和考核。借鑒《指引》相關規定,發起行派駐首席風險官對村鎮銀行的風險管理目標是“三個確保”,即確保持續發展、確保審慎合規經營、確保風險可控。
推行派駐村鎮銀行首席風險官模式后,發起行對村鎮銀行的垂直、獨立風險管理組織架構可分為三層,分別是發起行村鎮銀行管理總部、派駐村鎮銀行首席風險官、村鎮銀行風險管理部。風險管理組織架構及報告路線如下圖:
發起行村鎮銀行管理總部的垂直風險管理
一是制訂并下發發起行對村鎮銀行的風險管理政策或意見。通常包括信貸投向、信貸結構、行業及客戶限額、流動性管理指標、合規與操作風險控制要求等,對村鎮銀行的業務發展、內控建設與風險管理提出方向性意見。村鎮銀行管理總部對此意見進行督促落實。
二是按月開展非現場風險指標監測,對村鎮銀行進行風險預警和分析。村鎮銀行須定期向發起行報告相關風險指標監測表,前期指標主要包括信用風險指標、流動性風險指標和限額指標,如指標發生異常變化則下發風險提示書或整改意見書,進行調整或控制。
三是指導各村鎮銀行首席風險官開展風險排查并要求其上報風險報告,以便全面了解和掌握村鎮銀行內控、合規與風險管理情況,進行風險監測和指導。
四是針對業務異常變化或風險指標變化,組織風險、合規人員進行現場風險排查或專項業務檢查,有效識別和控制風險。
五是制訂并推動實施村鎮銀行內控評價辦法和實施細則,按年組織審計人員對村鎮銀行開展全面內控審計評價,對村鎮銀行內控及風險管理情況進行稽核監督,持續跟蹤管理變化,并對發現問題下發審計整改意見書并進行后續審計監督。
六是開展以內控及風險管理為核心的績效考核。通過設置貸款五級分類準確性、不良貸款率、成本收入比、人均工資總額、貸款撥備比率、發起行內控評級、監管評級等指標,引導村鎮銀行全力構建符合村鎮銀行特色和監管要求的風險管理機制,達到穩增長、控風險的可持續經營目標。
派駐首席風險官對村鎮銀行的垂直風險管理
派駐村鎮銀行首席風險官應按照《指引》規定,負責村鎮銀行內部垂直、獨立的風險管理機制和組織體系建設,并對風險進行統一、垂直、全面管理。具體工作如下:一是牽頭組織擬訂村鎮銀行所需各項風險管理制度、流程,并推動實施。二是組織推動村鎮銀行內部控制體系建設,督促建立健全內部控制體系并組織監督檢查。三是組織開展村鎮銀行各項風險識別、評估、監測、檢查及控制工作;指導風險管理部制訂各項風險管理計劃。四是組織開展村鎮銀行授權管理,并對授權工作執行情況進行監督檢查。五是組織實施村鎮銀行授信客戶信用評級、信貸資產分類及不良貸款的管理,組織授信業務審批、管理,負責村鎮銀行授信審批委員會工作。六是負責指導村鎮銀行風險管理部配合財務管理部門開展全行流動性風險管理。
同時還負有以下職責:一是組織落實發起行對村鎮銀行的風險管理政策、制度及相關要求,推進村鎮銀行按照發起行要求和自身市場定位開展業務及風險管理工作,并實時監督、檢查執行情況。二是負責定期、不定期向發起行進行獨立風險報告和預警。三是配合發起行對村鎮銀行開展風險排查、審計稽核工作。
為確保有效履行上述職責,派駐首席風險官應賦予超出一般高級管理人員的更廣泛地知情權、審貸一票否決權、檢查監督權、獨立報告權、處罰權等權力。
村鎮銀行內部的垂直風險管理
村鎮銀行內部的風險管理應設置“三道防線”,《指引》規定“各業務部門是第一道防線,負責本部門和本業務條線風險管理的日常工作,對本部門和本業務條線的風險管理負第一責任”,第二道防線是首席風險官領導下的風險管理部門(在村鎮銀行規模較小時與合規部門合并設立),第三道防線是審計部門(見上圖)。同時,按照《指引》規定,風險管理部可通過向業務部門或分支機構委派風險管理人員實施垂直、獨立的風險管理。委派的風險管理人員獨立實施風險審查,直接對風險管理部門負責。村鎮銀行垂直、獨立、集中的風險管理架構如下圖:
發起行對派駐村鎮銀行首席風險官的垂直管理
一是為了確保發起行對村鎮銀行風險管理的獨立性、有效性,派駐村鎮銀行首席風險官人事關系應隸屬發起行,由發起行村鎮銀行管理部門秉承“統一管理、統一調配、統一考核、統一薪酬”的原則對其進行人力資源管理工作。
二是派駐村鎮銀行首席風險官應推行定期“輪崗制”。從增強首席風險官的風險管理能力及防范單體風險的角度出發,應進行定期崗位交流,在同一村鎮銀行連續任職時間不應超過兩屆。
三是績效考核。發起行應負責對其進行績效考核并發放薪酬,基本薪酬應參照村鎮銀行高管設定,績效薪酬考核應遵循“注重實績,結果考核與過程考核相結合,定量考核與定性考核相結合,發起行考核與所在村鎮銀行考核相結合”的原則確定。考核內容可以圍繞村鎮銀行風險管理機制建設的核心指標設置,同時參考村鎮銀行監管評級確定,以有力促進村鎮銀行風險管理能力提升。指標設計時至少應包括以下內容:內控體系建設(以發起行內控評價為準)、監管評級、風險報告、貸款資產風險分類偏離度、不良貸款率、不良資產處置率、重大事項報告及時有效性、案件及責任事故等。
實施派駐首席風險官制的成效分析
通過石嘴山銀行對發起設立村鎮銀行派駐首席風險官與派駐前的實踐對比,派駐村鎮銀行首席風險官機制在促進村鎮銀行風險管理機制建設方面取得了以下成效:
一是由于村鎮銀行更多地考慮所在地政府及股東的影響,在市場定位及信貸投向方面有可能發生不同程度地偏離,通過派駐首席風險官的統一控制,能夠更好地堅持村鎮銀行的市場定位和信貸政策。
二是由于受股東回報率的影響,村鎮銀行可能會追逐短期利益,通過派駐首席風險官制度,能夠更好地執行審慎經營原則,嚴格按照監管要求和發起行風險管理政策合規開展相關業務工作,更好地選擇忠實穩定的客戶,促進村鎮銀行穩健發展。
三是當前村鎮銀行大多實行總行風險管理部統一風險審查、集中管理的模式,在風險管理的獨立性、及時性上存在一定缺陷。通過派駐首席風險官制度,一方面推進了總行授信審批委員會的獨立性與有效性,另一方面通過在支行派駐風險經理模式,提高了支行授信審批效率,統一了全行合規與風險管理理念。
四是通過派駐首席風險官制度,推進了發起行風險管理政策的有效執行,促進了村鎮銀行獨立、垂直、集中的風險管理體系建設,促進了村鎮銀行有效實施全面風險管理。
【關鍵詞】 銀行 操作風險 合規機制建設
合規經營是銀行的生命,也是銀行持續發展的保證。管控好操作風險則是銀行合規建設的關鍵。與國外的銀行業相比,我國銀行由于長期以來對合規、操作以及聲譽等風險的認識程度不夠,導致銀行操作風險管理不能夠真正落實到實際工作中,有些銀行甚至出現了許多違規操作和違規經營的問題,根源就在于銀行內部的合規風險管理機制不完善。所以,我國銀行業應當高度重視操作風險的管控,構建有效的合規風險管理機制,抓住銀行合規機制建設的關鍵,從而促進銀行健康穩定的發展。
一、銀行操作風險管理的現狀及分析
由于我國銀行體制、機制、理念等各種因素的影響,現階段銀行的操作風險管理依然存在許多的薄弱環節,導致銀行操作風險管理體制存在漏洞。
1、操作風險管理體系不健全
有些銀行對操作風險的普遍性、長期性以及頑固性缺乏一定的認識,非常容易把一些操作風險情況當做是偶然、局部發生的,存在一定的僥幸心理,致使銀行管理人員對操作風險的重視程度不夠,銀行內部缺乏一些重要的操作風險管理機制,沒有嚴格遵循銀行內部控制準則,對于風險管理職能沒有專門的部門監管,僅僅由各個業務管理部門負責,存在管理職能上的交叉、管理目標的沖突以及管理流程紊亂等情況,折舊導致銀行缺乏統一的操作風險管理戰略和政策,銀行的管理者也不能清楚地了解到銀行面臨的操作風險整體狀況,操作風險管理機制形同虛設根本落實不到工作中。
2、銀行內部管理人員對操作風險認識不夠
首先銀行管理者在銀行內部管理與未來的發展關系上存在一定的認識誤區,沒有將風險管理與加快發展聯系起來。其次由于受傳統的東方文化沉淀影響,銀行在風險管理制度的執行時操作人員,從上不從制,從師不從制,從習慣不從制,使一些風險管理制度無法得到有效的落實。最后是對操作風險認識太片面。有的銀行管理者將操作風險僅僅理解為“操作中”的風險和“操作性”的風險,有的則將操作風險等同于金融犯罪等情況,在對操作風險認識上的不同及局限就導致管理者對操作風險管理的不全面、不系統。
3、操作風險的責任配置錯位
近年來,在我國銀行實施績效分配機制改革的過程中,大多數都突出了對銀行內部中高級管理人員的正向激勵,但對銀行基層機構以及一線員工確實激勵不足。這種“收入分配上移、風險責任下移”的分配激勵機制不但導致銀行基層員工的嚴重不滿,同時也挫傷了基層員工積極工作、規范操作的自覺性。另外,銀行內部不合理的人力資源配置也嚴重影響到基層員工合規操作的積極性。近幾年的減員增效改革中,各級管理銀行作為政策的實際執行者,只是進行各個網點的撤并以及對基層人員進行減員分流,但對于本部的改革卻沒有見到成效。這種錯位的風險責任配置不僅造成基層機構不能按風險控制制度定崗定員,還導致了銀行學習培訓以及輪崗休假制度順利進行,再一點程度上提高了操作風險發生的概率。
4、金融創新和電子化建設帶來的風險
一方面,許多銀行為了搶占并擴大市場的份額,不斷地推出許多新的金融產品、新的業務以及新的服務舉措,但是在現階段產品、業務和服務復雜程度不斷提高的情況下,如果沒有相應配套的內控制度的及時跟進,就非常容易引發新的操作風險;另一方面,在銀行業務電子化、自動化程度不斷提高的情況下,使銀行在各個銀行地區的經營以及各項產品的經營越來越緊密地聯系在一起,但是,如果銀行現代化系統建設滯后就會導致總行不能對各個分支行進行準確到位的內部監控,如果銀行的電子化處理系統出現了問題,就會導致嚴重的、甚至是災難性的后果。
二、加強合規機制建設,防控銀行操作風險
銀行是一種具有特殊經營風險的行業,銀行在一定程度上是因為承擔風險而生存和發展,可以說,銀行是處理風險的機器,風險也是銀行永恒的主題。現階段,隨著市場經濟的快速發展以及銀行內部體制的深化改革,銀行面臨的同業間的競爭壓力越來越大,要想加強銀行內控體制的完善以及銀行合規機制的建設,實現銀行快速穩定發展,就必須加大對銀行操作風險的防控力度,切實推進銀行合規文化的建設。
1、切實增強操作風險防范以及合規機制建設意識
一方面,要想保證銀行操作風險管理系統的完善,首先就必須正確認識操作風險,加強銀行管理者對操作風險的重視,只有正確認識到操作風險管理對銀行的重要性,才能保證操作風險管理系統的建立與完善,使操作風險管理系統真正得到落實,發揮出應有的作用。另一方面,也要提升對銀行合規建設的認識,持續開展銀行合規學習培訓。通過銀行內部中層管理人員合規機制認識的提高、合規建設意識的樹立以及合規執行水平的提高,來不斷培養銀行內部員工的合規優先、主動合規、全員合規的合規建設文化,使合規建設機制的核心價值觀成為銀行全體員工的行為準則。
2、建立嚴密的內部控制環境
任何操作風險可以說都是人的行為造成的,而人的行為主要就是受到制度道德約束以及文化熏陶。所以,要從根本上控制和避免操作風險的發生,形成操作風險防范的長效管理機制,就必須抓好銀行風險管理制度、文化以及人三個關鍵要素,加強銀行對操作風險管理的文化認同,建立起系統化、制度化的內部控制環境。首先要建立嚴密的內控環境,并對銀行的內部控制進行全面的檢測評價,按照制度化、規范化、精細化的要求,加強銀行的內控建設,構建全面、規范、有效的風險管理以及內控體系,對銀行各業務層面的關鍵風險點實施有效過程監督控制。從內部控制的建設入手,對銀行現有的內控制度進行一定的清理整合,對銀行業務和風險管理流程進行梳理、整合、規范,以及對崗位職責體系進行細化。
3、進行信息化管理,完善操作風險預警機制
銀行的法人在推進銀行內部機構管理的同時,還應該全面加強管理信息系統的建設,借助各類現代化實時監控系統加強對銀行潛在風險、可疑交易以及違規行為的揭示、控制功能,并加強對各類監測信息共享和過濾的分析評價,對可疑行為以及潛在的風險進行現場檢查、監管,從而及時排除操作風險隱患,保證銀行業務的安全進行。當前,銀行必須要加快將操作風險點細化、量化,將操作的風險點逐一分解落實到銀行各個崗位、各個員工,建立完善操作風險數據的識別、登記、報告制度,對各級機構以及業務部門嚴格按風險控制指標進行監測和控制。同時,還要成立專門的操作風險管理機構,規范操作風險業務流程,形成一套科學、規范、完整的操作風險監控體系。
4、全面提高風險管理人員綜合素質
銀行風險管理人員的素質對操作風險的控制也會產生重要的作用,高素質管理人員是銀行防范操作風險最主要的力量。所以,銀行要定期組織管理人員進行學習和培訓,不斷提高管理人員的職業專業技能、風險管理能力、計算機操作及運用的能力,及時對專業知識進行更新,不斷提高管理對對操作風險的認識以及控制能力,保證管理人員能夠從容應對銀行面臨的各種操作風險;另外,銀行還要對管理人員進行分階段的考核,實施管理人員競爭上崗,優勝劣汰的制度,從而提高風險操控管理人員的綜合素質,加強對銀行操作風險的有效控制。
5、推進銀行人性化管理,完善人員的激勵約束機制
首先,銀行要堅持“以人為本”的基本管理理念,將銀行風險管理員工的個人價值利益與銀行企業的發展目標相結合,使銀行的風險管理人員對未來工作的發展前景充滿信心,從而不斷提高風險管理工作員工的工作主動性和積極性,有效提高銀行操作風險管理工作的完成。其次,銀行管理者還要制定一定的獎懲制度,對那些嚴格遵守銀行內部規章制度以及及時消除銀行操作風險隱患的工作人員給予一定的獎勵;同樣,對于操作風險管理人員中疏于管理、監督不到位、執行力度不夠等現象,也要追究其相應的責任,給予一定的批評教育或者懲處,從而端正風險管理人員的工作態度,不斷引導風險管理員工自覺遵守銀行的的規章制度。最后,銀行管理者還要根據銀行的實際情況,相應地減少銀行內部的行政管理人員,不斷充實銀行內部的基層員工隊伍,使銀行內部的基層崗位輪換制度和強制休假制度得到切實有效的落實,從而在銀行內部建立起一套適合銀行自身的科學有效的人員配置體系。
三、結語
總而言之,銀行操作風險管理機制的建立完善,對于彌補銀行法人治理結構中合規風險控制缺陷、增強銀行經營規章制度的可執行性都具有極為重要的意義,并且還有利于銀行真正落實全面的風險管理,提高銀行內部控制體系的有效性,加強銀行合規機制的有效建設。所以銀行管理者應當立足于銀行自身實際情況,采取必要的措施,盡可能的避免銀行操作風險的發生,從而保證銀行在新的經濟環境下能夠健康而穩定地發展。
【參考文獻】
[1] 萬杰、苗文龍:國內外商業銀行操作風險現狀比較及成因分析[J].國際金融研究,2005(7).
[2] 曾憲彬:加強商業銀行合規文化建設的思考[J].現代金融,2009(7).
[3] 程普:淺談基層商業銀行操作風險的成因及防范[J].青海金融,2008(9).
關鍵詞:合規文化;內控制度;管理機制
中圖分類號:F832.2
文獻標識碼:A
文章編號:1006-1428(2007)04-0069-03
一、我國商業銀行合規文化與內控制度建設的現狀
目前,就我國而言合規文化及內控制度建設都處于起步階段,還存在著許多不足:
(一)合規制度有待完善,特別是內控制度不夠健全
商業銀行雖然已經建立了單獨或合署的合規部門,但多未制定和完善與合規風險管理相關的規章制度、職業操守與行為準則。特別是作為合規制度中不可或缺的內控制度還不夠健全,嚴重制約了商業銀行內部控制和合規風險管理的有效運行。
1.內控制度制約范圍不夠全面。我國銀行的內控制度設置不合理,往往是“控下不控上”,針對銀行業務經辦人員的內控制度比較多,而對各級管理者特別是對基層管理者的內控制度約束相對缺乏,有不少控制盲點。近年來發生的許多金融案件表明,對部分基層銀行負責人制約不嚴、監督失控是案發的主要原因。
2.內控制度滯后于業務發展,缺乏前瞻性。當前我國經濟正處于高速成長期,銀行經營的內外環境亦快速變化。如果不能及時、前瞻性地提供制度保障,就必然會導致不規范操作,使新興業務的風險無法得到控制,新興業務往往成為新的風險源。同時,由于缺乏制度的適時調整功能,一些不適宜的制度仍然需要執行,導致經營者在指標的壓力下,不得不逾越制度,形成了普遍的有令不行、有禁不止的現象。另外,由于缺乏對業務經營的連續、系統的監督,往往寄希望于事后監督與補救,而在事前防范、事中控制等方面缺乏必要的規章。
3.內控制度分散制定,缺乏系統性。目前中國的銀行仍然是“部門銀行”,而不是“流程銀行”。商業銀行內部各管理機構基本都是橫向的,每一層分支機構都設有各自的管理機構,由于內部缺乏一個統一的內控制度建設規劃,各個部門自行制定規章。從而形成各自為政、分頭管理的局面,部分內控制度在部門和部門之間不僅是相互割裂的,有些甚至相互抵觸,造成了現行銀行內控制度數量龐大,制度目標難以統一,使基層機構在內控制度執行時因多頭管理而不知所措。
4.內控制度程式化嚴重,缺乏可操作性。一方面,制度設計者片面追求制度本身的“完美”,往往偏離實際,導致一些內控制度在實際工作中很難操作,逼迫制度執行者采取越軌的作法,并給不良動機者創造作案機會。另一方面,不少制度規定又存在模糊化的概念,在涉及操作層面的各個業務環節時往往采取原則性的提法,導致制度執行者理解和執行上的差異性較大。
5.內控制度執行不到位,流于形式的現象普遍存在。內控制度只限于定規章、發文件而不注重制度的落實。銀行員工執行內控制度的意識淡漠,遇到具體問題,靈活性講得多,原則性講得少,以種種“理由”加以變通和回避。更有甚者對某些內控制度視而不見,使內控制度形同虛設。究其根源,原因在于內控制度缺乏科學的量化評價體系,好與壞的區分標準模糊,獎懲制度無法建立。激勵機制跟不上,內控制度執行自然無法到位。
(二)合規文化普遍缺失
1.銀行員工合規意識與觀念淡薄。銀行有的管理層或領導者本身合規意識淡薄,示范作用沒有發揮,導致上行下效,員工“規”的觀念淡化,執“規”的自覺性不強,形成違規也見怪不怪的“怪圈”。同時上下級機構之間以及管理層與員工之間存在“相互博弈”的文化,制約了銀行政策和程序的制定及其執行的效力。
2.合規激勵約束機制扭曲。銀行沒有建立關于合規獎懲的制度,對違規行為的處罰,往往以“是否造成損失”作為評判標準,當違規沒有造成經濟損失,甚至產生經濟效益時,往往對存在的違規行為既往不咎,致使員工合規得不到獎勵,違規受不到懲罰,甚至反而會獲益。這樣扭曲的合規激勵約束機制使得員工覺得合規“吃力不討好”,對規章制度置若罔聞,為求業績甚至刻意違規操作,導致銀行合規文化氛圍難以形成。
二、建設合規文化與健全內控制度的構想
(一)以建設合規文化為契機,健全內控制度,為合規文化建設奠定制度基礎
1、在內控制度設計上要確立分層定位的思想。商業銀行要對內部的各層次、崗位進行合理有效的分工,這是實施內部控制制度的基礎。商業銀行的內部控制體系要從決策層、管理層、操作層來分別設計。加強對決策層與管理層的內控制度建設,改變“控下不控上”的現狀,避免管理人員游離控制系統之外,將所有的人都納入到內控體系中來,在內控制度面前人人平等,不搞特殊化。同時要充分考慮操作層面制度設計的可執行性,不能再籠統地規定業務經營的相關操作標準,要按照金融企業的穩健做法,制定可供各個崗位人員使用的業務政策、行為手冊和操作程序,確保制度執行的可操作性。
2.內控制度的制定必須系統、科學化。形成統一的內控制度制訂規劃,按照業務流程來制定內控制度,不能將涉及多個部門的同一業務的內控制度分散到各個部門去制定,要形成一個業務一個流程、一個流程一個制度,避免業務操作人員面對多頭的制度而無所適從。要根據業務的發展、風險點的轉移以及環境的改變及時修訂內控制度,同時轉變過去以事后懲罰為主的內控制度思路,切實加強風險的事前識別和事中評估的內控制度設計,使內控制度真正成為風險的防御線。
(二)以人為本,創建科學的合規風險管理機制
1.要設立合規部門或專職合規崗位,界定其功能和職責,獨立于銀行的經營活動。合規部門為履行其職責應有權獲取必要的信息,銀行其他部門和員工有給予密切合作的義務。合規部門有權獨立調查銀行內部可能違反合規政策的事件,對于調查所發現的任何異常情況或違規行為,合規部門可隨時向上一級合規部門和所屬機構管理層報告。銀行高層應確保合規部門報告路線的暢通,并采取切實保障措施使合規部門不用擔心來自管理層或其他員工的報復或冷遇;應給予合規部門足夠的資源支持,重視并依賴合規部門協助其有效管理銀行的合規風險。
2.要通過一定方式對所有員工和負責人進行上任前的合規培訓,通過培訓使其充分系統地了解和掌握各項主要規章制度和其所在部門的全部規章制度,達到對工作中可能涉及到的“規”了如指掌。
3.合規的“規”要在實踐中得以貫徹執行,必須建立有效的激勵機制,切實有效地落實問責制,確保獎懲分明、違規必究。銀行不僅要獎勵好的道德行為和良好合規做法,還要懲罰不道德的行為和違規行為,并且將資源應用于好的控制系統、優質的客戶服務和盡職員工激勵上,而不只是表面上的業績激勵。糾正“重經營業績、輕內控管理”的績效考核理念,確立內部控制優于業務拓展的理念,平衡業務拓展與風險管理的關
系。對合規工作做得好或對舉報、抵制違規有貢獻者給予保護、表揚或獎勵;對存在或隱瞞違規問題、造成不良后果者,要按照規定給予處罰,追究責任,使整個團隊形成合規光榮、違規可恥的工作氛圍。
(三)建設合規文化應該從高層做起,領導率先垂范
巴塞爾銀行監管委員會明確提出:“合規應從高層做起,應成為銀行文化的一部分。當企業文化強調誠信與正直的道德行為準則,并由董事會和高級管理層作出表率時,合規才最為有效……”。領導者所做的事情不只是代表其個人,而是代表一個群體,能讓下屬和自己一起發揮集體效應,起到耳濡目染的效果。銀行管理層應該充分承擔合規責任,在全行積極倡導合規文化和合規理念,包括誠信、盡職等。同時要率先垂范,躬身實踐,以身作則做合規的“楷模”,帶動和影響員工自覺遵守各項制度和準則。只有自上而下地強調誠信與正直的行為準則,并由銀行高層作出表率,良好的合規文化才能蔚成風氣,合規才最為有效。可以說,領導合規是構成銀行合規文化基因、實現人人合規的首要前提。
(四)推行合規人人有責、主動合規、合規創造價值等合規理念
1.樹立“合規人人有責”的觀念。合規并不僅僅是合規部門或合規員的職責,更是銀行所有員工的責任。只有合規成為每一個銀行員工的行為準則,成為各級各崗位員工每日的自覺行動,才能共同保證有關法律、規則和標準及其精神得到遵循和貫徹落實。由于合規文化體現在每一個銀行職員對合規理念的認知及其日常的行為規范和準則之中,這不但需要管理層在全行推行誠實與正直的價值觀念,還需要制定和執行清晰的員工行為準則和規范。只有當銀行的員工恪守高標準的職業道德規范,人人都能有效履行自身合規職責,銀行合規風險管理才會有效。
2.培養員工的合規意識。合規意識是合規文化的一個核心要素,是銀行合規風險管理機制得以有效運轉的重要基礎。銀行管理層應確保:(1)各業務部門或業務條線的員工能夠欣然接受全面的合規培訓,主動尋求合規部門或合規員的建議;(2)各業務部門或業務條線的管理者能夠準確識別關鍵合規問題,及時向合規部門或合規人員報告和咨詢,主動地進行動態合規回顧;(3)合規部門或合規人員則應積極主動地識別、評估和監測潛在的合規風險或問題,樂于為各業務部門或業務條線人員提供合規建議,并主動向上級報告,持續跟蹤其發展。