时间:2023-09-22 09:28:10
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇内控合规与风险管理的关系范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
合规风险管理的定位不清晰
合规风险管理与业务发展的关系难以摆正。“依法合规经营”是许多商业银行的经营要求,甚至是部分商业银行的办行宗旨。这充分反映了商业银行在价值追求上对合规风险管理的重视。但由于合规风险管理不能直接创造利润,不能当期产生价值,甚至可能会放弃一些业务机会和短期利益,而其本身又需要一定的成本。由此,在实践中,属于长期内功修炼的合规风险管理往往屈从于当前的发展压力。其结果就是在文件上、在制度上、在会议上,都高调强调、严格规定、大讲特讲合规风险管理的重要性、必要性和操作性,但在实际的经营管理中,却屡屡漠视规则,甚至明知违规而为之。
合规风险管理与操作风险管理、内部控制管理的关系难以理清。近几年,监管机构先后推出了《商业银行内部控制指引》、《商业银行合规风险管理指引》、《商业银行操作风险管理指引》等文件。这些文件为提高商业银行内部管理水平和效果发挥了非常重要的作用,但并没有规定这些文件所针对的风险管理之间的关系。由此,导致商业银行在落地实施各类风险管理时,无法准确、清晰的区分这几种风险管理各自的内涵、职能和边界,也就无法有效的处理这几种风险管理的关系,结果是不同的商业银行,或同一个商业银行内部因为总行或分行主要行领导的不同,内控管理、合规风险管理和操作风险管理的贯彻执行程度等都相互不同。带有较大的随意性和人治色彩。
合规组织条线在商业银行公司治理结构中的地位难以独立。鉴于有效实施合规风险管理的难度,巴塞尔《合规与银行内部合规部门》,中国银监会《商业银行合规风险管理指引》都强调合规部门的独立性。但问题是,独立性存在形式独立和实质独立的区别,而实质独立性是有效开展合规风险管理的基本前提。要实现实质独立,需要处理好合规部门的上级领导与其同级行领导之间的关系,需要处理好合规部门与同级部门之间的关系,需要处理好上下级合规部门之间的关系。在中国这样一个崇尚权力的文化背景下,要真正处理好这些关系是非常不容易的。
合规部门与操作、内控、稽核、纪检监察等部门的职责难以分清。由于合规风险管理的职能不清晰,内涵和外延也不明确,导致合规部门与操作、内控、稽核、纪检监察等部门的职责无法完全分清。这种状况,导致在各部门履行职责时,会存在一定的重叠,其结果是对一些事情,或者是多部门共同管理,或者是各部门相互推诿。一些商业银行为解决这个问题,或是合并设置相应主管部门,如设置合规与操作风险管理部、内控合规部;或是合并一些部门的职责,如合规部承担内部检查、内部监察等职责。这种变通处理,可以解决一些问题,但与风险管理的三道防线原则、与合规部门独立性原则等风险管理基本规则是相矛盾的。
合规风险管理的规则不明确
合规风险管理如何开展的规则不具体。一方面,在我国商业银行界,作为一种独立的风险管理,合规风险管理还是源于监管机构的推动。上海银监局2005年《上海银行业金融机构合规风险管理机制建设的指导意见》拉开了中资商业银行合规风险管理的序幕,中国银监会2006年《商业银行合规风险管理指引》则推动中资商业银行合规风险管理进入了主戏。但在这两个文件之后,再没有制订具有操作性的,指引商业银行开展合规风险管理的相应法规。这如同一场缺乏推动进入剧段的戏剧。在没有适合的“规”可依的情况下,各商业银行对合规风险管理也只能大胆规划、小心行事,而无法可依的状况始终是一把达摩克利斯之剑,是合规风险管理的“短板”。另一方面,根据2005年“十一五规划”纲要,我国将“稳步推进金融业综合化经营试点”的规划。目前国内大部分商业银行都在积极朝综合化经营方向努力,并已略有成效。但由于目前金融监管的格局是中国银监会、中国证监会、中国保监会三足鼎立,随着综合经营的全面深入发展,如不改进现有的监管机制,监管标准的协调一致很难达成,这无疑也加重综合化经营商业银行合规风险管理的负担。
合规风险管理事项所涉及的制度依据部分比较模糊。由于种种原因,我国的法律法规常常是言而不尽,对一些事项要么是规定的比较模糊,要么是干脆就不作规定。同时,对是“法不禁止即允许”,还是“法无规定允许即禁止”也没有明确态度。这种情况,给商业银行的合规风险管理带来许多难题。特别在一些业务创新领域,国家立法仍是处于空白状态或只有不成体系、不尽明确的规定,都给新业务、新产品的合规性论证工作带来了困难。
合规风险管理的技术相对落后
金融市场开放步伐和金融工具创新步伐不断加快,对合规风险管理技术提出了更高的要求。但目前商业银行合规风险管理技术和工具还比较落后,不能对有限的信息资源进行技术处理,难以对合规风险管理形成有效的支撑。表现在:事后被动处理多,事前主动防范少;定性分析多,定量分析少;静态分析多,动态分析少;立足局部分析多,站在全局分析少;手工操作多,系统处理少。这种缺乏先进的风险管理技术来科学规避风险的状况,既影响了合规风险管理的深入有效开展,又无法实现合规风险防范和业务发展的动态平衡。
商业银行合规监管的突破方向
要实现合规风险管理“主动合规”、“人人合规”、“事事合规”的目标,需要监管机构和商业银行的共同努力。离开监管机构的推动,商业银行的合规风险管理将难成气候;离开商业银行的探索,监管机构的合规风险管理将会是无本无源、难以发展。
监管机构应推动合规监管,创造环境
进一步清晰合规风险管理的定位。建议监管机构明确规定,在商业银行风险管理体系中合规风险管理作为一种独立的风险管理,同时也是一种必须强制性开展的风险管理,以加大商业银行合规风险管理的力度。
进一步明确合规风险管理的要求。建议监管机构明确规定商业银行合规负责人的地位。如《保险公司合规管理指引》中就规定了“合规负责人是公司高级管理人员”。明确规定合规条线的人员配备要求。如《银行业金融机构内部审计指引》就明确规定了内审人员应占银行员工总数1%的配备。明确规定合规风险管理在商业银行内部的考核要求,使此考核棒有效引导合规风险管理的实施。
进一步强化合规风险管理的监管。《商业银行合规风险管理指引》规定了:将商业银行合规风险管理状况作为分类监管的依据。但这一规定过于原则,建议应进一步细化,付诸操作,以体现监管机构的态度。
进一步引导合规风险管理的发展。合规风险管理是一种新型的风险管理,商业银行没有经验,也没有借鉴,靠自己摸索,成本高效益低。建议监管机构通过组织研讨、培训,指引等多方式,引导商业银行合规风险管理的发展和走向,避免走弯路。
进一步推动金融法制建设。建议完善《商业银行合规风险管理》,使其更具有可操作性。完善与商业银行经营管理有关的其他法律法规,尽量做到法规和谐、法条详实、法意确定、要求具体。监管机构可以先从自身制订的规范性文件开始,再逐步影响其他的立法部门。在法律法规的完善尚难到位时,对商业银行个别事项的请示,及时给予准确、具体的答复。
商业银行需务实探索,抓出实效
根据目前的金融环境,商业银行合规风险管理建设的重点还是集中在以下五个方面:在理念上,要推动各机构、各员工由被动要求合规管理转变为主动实施合规管理;在架构上,要推动合规风险管理体系从局部管理转变为全面管理;在机制上,要推动合规风险管理机制从单纯目标管理转变为过程管理;在技术上,要推动合规风险管理技术从定性管理转变为定量管理,从手工管理转变为IT管理;在团队上,要打造专业化、专家化的合规风险管理团队。具体而言,主要体现在以下几个方面:
有能促进合规风险管理持续发展的长远规划。合规风险管理是一个慢功夫,需要长期的坚持、长期的积累,这就需要商业银行有一个明确的目标,科学的规划,持续的发展。目前,有些商业银行为推动合规风险管理长远发展,分别制定了《三年计划》、《五年纲要》等类似文件。这些文件大多数都是有利于促进合规风险管理长期持续发展的。
当然,这些文件的真正有效,需要满足以下条件:符合监管政策;符合本行发展目标和发展思路;满足本行风险管理需要;措施得当且有连续性;获得主要行领导的认同;合规部门特别是部门负责人长期坚持。
获得内部各机构、员工最广泛的支持。合规风险管理涉及面广,一些工作还可能会影响到部分机构的当期利益,这些都给合规风险管理的带来一定的负面影响。这就要求合规风险管理,必须做出看得见摸得着的实效,从而获得最广泛的支持。
要获得大多数部门和大多数员工的真正支持,需要合规部门认真处理好合规风险管理与业务发展的关系。合规管理与业务发展如同肌肤。没有皮肤,肉不成肉;没有肌肉,皮是干皮。没有业务的发展,合规风险管理是空对空;没有合规风险管理,业务发展将变成洪水泛滥,后果不堪设想。合规风险管理与业务发展的这种关系,要求合规部门在处理两种的关系时,应坚持以下两个准则:其一是合规风险管理应全覆盖、全过程、全员。合规性目标是商业银行自身实现其战略目标、经营目标、信息披露报告目标的基础,覆盖风险管理的所有方面。商业银行内部各项经营及管理活动的全过程都须符合法律法规的要求。其二是合规风险管理应控制风险、促进发展。风险管理的根本目标是规范发展而不是限制发展。因此,合规风险管理不能为了控制风险而控制风险,而应把握好容忍度。这就要求我们:一是合规风险管理应立足于帮助企业规范、有序发展。合规部门应认识到,合规风险管理和业务部门不是对立的,不是事事都要求、命令或阻止业务部门;而是应多站在业务部门的角度,帮助业务部门分析问题,解决问题。二是应做好风险等级分类,对于红线类的应坚决禁止,对于黄色类的应有取有舍、积极规范,对于绿色类的应日常监测,防范操作风险。三是在提出风险管理措施时,应既要能够控制风险,又要便于操作。这个“度”的把握,对合规风险管理条线来说,是一个很高的要求,需要合规部门和合规人员努力实现。
融入本行的主流活动、主流业务。商业银行是企业,追求利润是资本的本性也是生存发展的必需。这就决定了创利部门、创利条线以及直接服务于创利的部门和条线是商业银行的主流。合规风险管理应全面覆盖到商业银行的经营管理,但在不同的时期,一家商业银行有不同的重点、不同的主流,合规风险管理要有敏感性,要能服务于、支持于主流。如此,才能有效体现合规风险管理的价值。
一、健全企业风险管理的必要性
当今现代企业面对着许多隐藏在不同层次的各种风险, 使利润的增长变得不稳定, 而同时现代企业又要面对投资者不断提高的各种要求, 因而迫切需要采取各种方法控制风险, 避免损失。现代企业风险管理的手段不应是在企业内部另外增加一个成本高昂的官僚管理机构, 它应该能够帮助企业建立并强化应对困难的组织能力, 这也是现代企业能够在当今不断变化的全球经济中生存所必须拥有的一种关键能力, 就是现代企业必须构建一种切实有效的内部控制框架体系。
二、风险管理与内部控制、内部审计的关系
(一)风险管理与内部控制
内部控制与风险管理有着密切的联系。COSO 认为,内部控制是风险管理的一部分。COSO 对内部控制与风险管理的定义及其组成要素分别是:
内部控制:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。
风险管理:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
从COSO 的两份报告来看,企业风险管理与内部控制有以下相似或不同之处:第一, 它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。第四,风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部) 环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。第五,风险管理提出了风险组合与整体风险管理的新观念。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响
(二)内部控制与内部审计的关系
澄清认识,转变观念,正确处理内控与内审的关系,是加强企业内控的前提。在实际工作中,内控工作往往被领导委派给内审部门去计划和安排,原因是多方面的。首先,一些单位没有理解内控工作的内涵,简单地把内控任务交给本单位的内审部门。其次,具体业务部门有重业务经营,轻管理控制的传统倾向。有些业务和管理部门习惯于执行各种业务的“硬指标”,而把内控作为“ 软任务” 推给“综合部门”去应付。 第三,尽管各经济实体中都存在内控制度和控制机制,但其控制系统有不同程度的缺陷。第四,内审部门曾经是缺乏权威性的比较薄弱的部门,现在虽然提高了该部门的地位,但在许多单位仍显现不出稽核部门足够的重要性。
要正确理解内控与内部审计的关系,明确内控主要是经营管理部门的责任,对内控的检查评价也主要是经营管理部门的责任;同时,内部审计部门要把工作的重点尽快转向对经营管理的内控系统进行有效的和全面的审计再监督,并在监督评审中注意保持独立性,建议和敦促经营管理部门纠正控制的缺陷。
三、对内部控制制度设计的一些建议
在内部控制制度的设计上,必须转变观念,以风险管理为中心来设计企业的内部控制制度。
(一)开展建章立制,搞好内部控制制度的创新。依据有关的法规政策,认真分析解剖自己企业存在的问题,抓住改进和改善企业管理水平和管理效率这个中心,围绕减少企业风险,提高企业经济效益和赢利水平这个核心,制订本企业内部控制制度或具体的实施办法。
(二)分级风险管理。风险可以分为战略风险、日常经营管理风险、财务风险。 对于涉及到战略风险,如合并兼并、重大的投融资、新产品的开发等涉及到企业未来发展的重大前景的,要通过股东大会或董事会的进行表决。
(三)搞好内部会计控制的体系建设。
1.建立内部会计控制的班底。就公司制的企业而言,董事会、监事会、总经理层为内部控制机构的建立、职责分工与制约提供了基本的组织框架,应该结合自身特点建立适合企业内部控制需要的职能机构。董事会下可以设立包括审计委员会在内的若干专业委员会,作为实施决策和内部控制的支持机构。
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SOX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
中图分类号:O23文献标识码: A
一、内部控制及内控评价的发展趋势
21世纪以来,随着经济全球化的深入,企业面临的外部环境趋于复杂多变,企业的经营面临更大的风险。为了应对外部环境的变化,各个发达国家的企业都在加强风险管理和内部控制,内部控制与风险管理趋于融合。为了更好适应国内外形势的变化,不断提高风险管控能力,开展内部控制和风险管理也成为国有企业发展的内在需求。自从2008年《企业内部控制基本规范》以来,上市公司以及大中型国有企业都逐步建立了内部控制体系。我国企业面临走向市场、走向世界,迫切需要进一步完善风险导向型的内部控制体系建设,使得内部控制可以防范风险,提升企业价值。内部控制保持有效,就必须随着企业的发展变化进行动态调整,而内部控制评价正是促使管理型内控体系持续优化完善,保持有效运转的机制。企业开展内部控制是为了控制风险,提升管理效率的需要。内部控制要保持有效,必须随着企业的发展变化进行动态调整,而内部控制评价正是促使管理型内控体系持续优化完善,保持有效运转的机制。
二、基于内部管理的风险导向型内控评价体系
对企业而言,内部控制的最高或者说终极目标,就是促进企业健康、协调、可持续发展,实现企业的发展战略。内部控制的框架体系应该为公司战略服务,为实现战略目标提供支持。内部控制规范体系是一个企业内部控制应有的基本管理要求,在规范的基础上进行风险控制才是最有效率和效果的。风险管理与内部控制作为企业管理的两大工具,各自经历了理论体系的创新和实务操作的发展。内部控制由传统的内部控制制度逐步发展为以风险为导向的内部控制整合框架,风险管理也由分散的财务、经营和战略风险管理逐步发展为整合风险管理。实践证明,内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也流于形式。我国的企业内部控制规范体系将内部控制与风险管理融为一体。内部控制评价是对企业内部控制有效性进行评价,内部控制是否有效关键是看内部控制能否真正防控风险,能否促进企业战略目标的实现。现在有相当部分企业只是立足于合规型内控,真正跟业务融合仍有一定的距离。企业可以从合规型内控开始,以外部监管要求为对标,发现合规差异,改进管理。但是外部监管要求是最基础的、普适的、通用性的,企业不能永远停留在合规型内控。合规型的内部控制体系难于实现对企业风险的管控,不能满足提高经营的效率和促进实现企业发展战略方面的实际需要。面对新的经济形势与外部环境,企业的内部控制要与风险管理融合,并逐步地将内部控制体系与企业自身管理模式、管理特点和已有的管理制度和程序相结合,推动合规型内部控制向风险导向兼管理型内部控制转型,建立以风险管理为主线,基于内部管理视角的内部控制评价体系。
具体来说,企业应下工夫梳理、摆正内部控制与风险管理的关系,需要独立运行的部分则独立运行,能够结合的地方尽量统筹运作,从而走上既有机融合又自成体系的和谐发展之道。首先是机构整合一致,成立内部控制与风险管理合署办公的领导小组及办公室,统一组织开展两项工作,从源头上确保两者不分割、共发展。其次是统筹运作,凡是两者有交集的地方,如可控风险的识别、评估与管控等,应统筹考虑,并依托日常专业管理,将内部控制与风险管理有机融合起来。最后是形成完整体系,对于两者无交集的部分(如不可控风险的管控、重大风险的预警或者内控长效运行机制的顶层设计等),企业可独立运行,并将独立运行部分与统筹运作部分贯通起来,形成完整的内部控制体系和风险管理体系。
内部控制体系包括评价组织、评价程序、评价方法、评价模型、内控缺陷认定和整改以及评价报告。内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行,企业应结合《企业内部控制基本规范》、各项应用指引以及本企业的内部控制制度,确定具体评价内容,对内部控制设计和运行情况进行全面评价。建立评价模型是建立评价体系的重点,企业应当以内部控制五要素为基础,建立内部控制核心指标体系以及评价标准,对五要素进行层层分解、展开,进一步细化。
风险导向型的内控评价体系,其评价模型应该结合企业的实际情况。企业所处的发展阶段差异非常大,不同行业、不同成长阶段,不同规模,不同所有制的企业,企业的风险不一样,风险不一样,内控上存在的缺陷表现形式不一样,控制重点和控制的方式也存在很大的差异。如集团企业更多关心战略风险、管控风险,投资风险,资金风险等,而单体企业更关心市场风险、生产风险、质量安全风险等。
基于管理视角的内部控制评价体系还要紧密结合企业的其他管理活动状况,企业内部控制在执行中是否有效,能否实现风险控制与企业的业务、集团管控模式、企业生产和质量控制、用人机制和激励放权措施等都有关系。影响内部控制的效率可能是系统问题,因此在内部控制评价过程中,要评价内部控制与业务活动以及其他管理活动的融合情况,从而评价内部控制的有效性。要实现集团内部控制与集团管控、全面预算管理、绩效管理等管理活动的有机融合,才能真正建立管理型的内部控制体系,实现内部控制的目标。
风险导向兼顾管理导向型的内部控制评价体系是将全面风险管理与内部控制有机结合,以内部控制五要素为基础,以风险管理为主线,基于内部管理视角的内部控制评价体系。一方面,全面风险管理与内部控制有机结合,使企业更好地面对当前国内外不断变化的形势,增强企业抵御风险的能力。另一方面,内部控制与企业的业务有机融合,内部控制与企业的各项管理活动实现对接,使得内部控制在风险控制和提升管理效率中发挥作用。风险导向兼顾管理型内部控制评价体系为更加全面的识别企业现阶段存在的问题以及未来面临的战略风险、变革风险提供了明晰的思路,是新形势下内部控制发展的必然要求,是内部控制有效运行的重要保障。
小结
内部控制的建立是一项系统工程,需要管理者和全体员工的共同努力,企业要根据自身发展的实际情况,坚持循序渐进的原则,采取先进的风险管理理念和科学的风险管理方法,不断完善内部控制制度。企业内部控制要以风险管理为导向,以内部控制为手段,以流程梳理为基础,以关键控制活动为重点,以重大风险报告、预警与应急机制为支撑,结合自身管理的实际情况,促进内部控制与风险管理的有效融合,并通过内控评价体系发现并克服内控缺陷,实现内控的持续改善。通过建立基于内部管理视角,以风险管理为主线的内部控制评价体系,引导企业内部控制工作逐步转变为基于内部管理的风险导向型内部控制。
二、华北电网有限公司财务内部控制体系建设的现状
自2009年开始,华北电网有限公司开始建立企业内部控制管理体系。公司与2010年颁布《华北电网财务内部控制手册》,用于规范企业财务管理。财务内部控制手册是对华北电网有限公司有效执行内部控制规范做出的具体规定和详细说明。财务内部控制手册按照公司财务不同业务将财务内部控制划分为15项具体内容:资金管理、采购、收入、工程项目、固定资产与无形资产管理、存货、融资、对外投资、预算管理、生产成本、担保、关联交易、税金、财务报告及信息系统。财务内部控制手册以业务流程为线索,每一项具体内容即为一个业务流程,通过对每一项具体业务的分析,识别财务部在该业务中的风险点,找出或设计应对风险的控制点,以完善财务内部控制建设。财务内部控制手册适用于华北电网有限公司本部、直属公司、分支机构及下属地市公司财务部。手册中国家电网公司总部简称国网总部,华北电网有限公司简称本部,省网公司简称省公司,华北电网有限公司的直属公司、分支机构及下属地市公司简称地市公司。为提高公司财务内部控制执行力,建立健全财务内部控制体系,规范财务管理,防范财务风险,实现国有资产保值增值,促进公司持续健康稳定发展,制定本办法。公司于2010年下半年,正式颁布《华北电网有限公司财务内部控制评价指引》,对各单位财务内部控制体系的建立健全和执行情况,开展调查、测试、分析和评估的工作。同时,公司不断地通过信息化手段促进制度的落实。公司财务风险管理系统建立了财务管理评价子系统,用于对地市级公司及县级公司财务管理工作的评价。管理评价子系统分为:评价指标库和管理评价流程两大功能。其中,评价指标基于国网公司管理内部控制评价指引的要求建立,形成了具有华北特色的业务类别,共有100多项评价指标。管理评价流程基于华北特色,形成了自评打分和二次评价打分相结合的评价机制,更好地体现了评价的科学性,增强了评价结果的可信度。
三、华北电网有限公司财务管理与内控管理的实施
华北电网财务风险管理和财务内控管理的建设分为三个阶段:风险管理咨询阶段、风险管理系统建设阶段、风险管理推广实施阶段。表1是关于风险管理和内控管理的重要时间表。其一,风险管理与内控管理的系统外结合———财务风险管理手册(见图1)。财务风险管理手册作为财务风险管理系统的有机组成部分,其测试结果与系统内特定风险事件相关联,可追溯至特定风险源及相应防控、缓控措施。财务风险管理手册内容架构财务风险管理手册分为资金管理、预算绩效、资产与产权、电价管理、会计核算与财务报告、财务信息系统六个业务分册。每个业务分册包含华北电网对应业务方面的主要业务流程,每个业务流程由若干子流程构成。每个主业务流程包含结构索引、业务概述、华北电网业务概况、流程描述四大部分。(1)结构索引。结构索引为编制本手册的内在理论逻辑。以财政部颁布的《企业内部控制配套指引》为基准,扩展到对应业务点的标准化内控流程———包括控制目标和控制活动及测试方法。在章节的子流程中,控制活动与华北电网的具体业务环节相对应。特定的业务环节作为控制活动保证企业控制目标的实现,并从风险管理角度对应到相应风险事件及防控缓控措施。见表2:结构索引以《企业内部控制配套指引》为基准,为企业内部控制制度的全面性和合规性提供依据。标准化内控流程为内控指引在企业实际业务中的具体运用,包括特定控制目标、保证目标实现的控制活动及针对性的测试方法,有助于检测企业具体业务流程中内控设计的完整性和合理性。对应风险为特定业务环节保证失效时产生的企业经营风险,以及针对风险应采取的事先防控和事后缓控措施。(2)业务概述。业务概述为该业务流程的普遍定义及一般性内容。(3)华北电网业务概况。华北电网业务概况为华北电网该业务流程的特点。包括业务内容特点、业务权限特点、业务范围特点等。(4)流程描述。流程描述为该主流程下的子流程内容细化,每个子流程包含六个部分:一是业务流程图。业务流程图为该子流程主要操作的图形展示。按照业务环节操作关系进行环节编号,表示其先后时间或逻辑顺序。环节编号与下一步内容中的业务环节描述相对应。二是业务环节描述。业务环节描述是对流程图中每一个业务环节的细化描述,包括每个业务环节的操作部门及职位、操作内容、流转单据等,其环节编号与流程图内环节编号对应一致,并与主流程结构索引中的内部控制-控制活动相对应,是标准化内控在企业具体实务作业中的展现。三是业务风险索引。业务风险索引是针对每一个业务流程中的业务环节与控制活动、风险事件建立的对应关系。四是业务记录。业务记录是该项业务进行过程中流转的单据及保存的记录,是内控测试的主要对象。业务记录既包括企业的内部业务单据如支付申请、系统发票等,也包括外部第三方的原始单据如银行进账单、供应商发票等,还包括企业账务处理的记录单据如入账凭证等。财务风险管理手册的业务记录包括单据及其编制人、审核人、审批人及其所对应的业务环节编号,是业务记录与业务流程的对应和统一。五是账务处理。账务处理为该子流程中涉及到的会计处理内容,部分流程如采购合同签订、年度资金计划编制等不涉及该部分内容。账务处理是内部控制手册与华北电网标准化会计核算流程的统一,其目的是为企业的财务信息准确性和完整性提供保证。见表3:六是内控测试数据。内控测试数据为该子流程对应的内控测试内容,是财务风险管理手册系统化的关键内容。其主要包括该子流程中的主要业务记录及流转单据间的逻辑关系。其逻辑关系是通过各记录及单据主要字段间的追踪匹配来实现的。以目前系统内已实现的采购流程为例,采购合同、采购订单、支付申请、资金计划、入账凭证、银行单据等构成采购流程的主要业务记录。对各记录的主要字段进行数据抽取,对照企业业务规范进行测试,对异常记录进行汇总报告。财务风险管理手册宏观上以《企业内部控制配套指引》为基准,微观上落实到流程中的具体业务环节,业务环节描述、业务记录、账务处理、业务流程图中的业务环节通过统一的环节编号相互索引,并同时关联到标准化控制活动及控制偏差引发的风险事件。见图2:其二,风险管理与内控管理的系统内结合———财务风险管理系统。风险管理与内控管理的系统内结合主要体现在:风险基础信息库、风险地图、内控测试、内控任务、日常工作稽核。(1)风险基础信息库。风险信息库是风险识别的成果,把识别出来的风险事件库转化到信息系统中,是整个财务风险管理系统的基础,包括风险管理的所有基础信息。风险信息库有效结合了风险管理体系中的风险事件库和内控管理体系中的控制矩阵。以控制活动与风险事件的对应关系为切入点,把风险管理与内控管理相结合。通过风险事件库的核心风险—风险事件、内控矩阵中的控制活动,搭建风险管理和内控管理的结合点。(2)风险地图。根据财务风险管理手册,结合财务风险管理系统开发风险地图功能模块,把手册中的流程图、业务环节描述、风险点索引、业务记录落地到系统中。通过风险地图上的操作可以查看风险点、分析风险点、测试风险等。(3)内控测试。内控测试是对业务流程中存在的风险点、控制点进行的测试,包括穿行测试和控制测试。通过内控测试发现问题可以在风险管理中进行风险应对。穿行测试是指选择具有代表性的经济交易事项作为测试样本,对贯穿业务流程中所有控制点进行检查的活动。测试的目的是验证风险控制矩阵(索引)中描述的控制活动是否正确,各环节是否按照其相关规定进行运行,是否存在控制设计及执行缺陷。测试对象为流程中各个子流程的所有控制点。控制测试是指根据既定的抽样原则、方法和样本量规定,对控制点是否按照内部控制手册和控制矩阵(索引)的规定持续有效的执行进行检查的活动。测试的目的是确认各子流程中关键控制点、重要控制点、一般控制点是否按照既定的控制设计持续有效执行。测试对象为各个子流程中的关键控制点、重要控制点、一般控制点。(4)内控任务。内控任务是指企业根据内控测试、专项稽核等工作中发现问题,通过内部的自查、抽查、整改进行内控管理的一种机制。内控任务的系统实现如下:通过内控测试报告中发起整改,进入系统中的发起整改页面,可以对相关单位的人员发起整改,并在整改完成后系统自动通知整改发起人。在任务表头可以填写任务部门、计划完成时间、任务岗位等。通过抄送可以把任务说明抄送给相关部门领导。通过内控任务将企业的内控流程固化到系统中。(5)日常工作稽核。稽核本身是企业内部管理的一种手段,日常稽核是对会计凭证、账簿、财务报表等相关会计资料,以及会计岗位设置、会计核算、财务报告、档案管理等财务基础工作的审核,是保障日常财务工作的真实、合法、合规的必要手段。日常稽核的目的是及时纠正或者制止会计核算工作中的疏忽、错误,有效预防差错和舞弊,保证会计信息的真实、准确,提高会计核算工作的质量。日常稽核的系统化本身就是对内控管理落地的一个体现。通过日常稽核的发起、审批、稽核、复核、反馈、评价等完成日常稽核的落地。综上所述,华北电网财务风险管理和财务内控管理的思路、发展情况反映了风险管理与内控管理在系统外和系统内的有效结合。
作者:胡汇 单位:武汉科技大学城市学院
受美国2002年出台的萨班斯——奥克斯利法案(以下简称SOX法案)的影响,我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求,完善内部控制体系、完成内控评估报告。同时,随着经济全球化的深入,企业遭受产品市场、要素市场和金融市场的价格冲击越来越大,各类风险产生的扩张效应和联动效应越来越严重。因此,内部控制和风险管理成为现代企业重点关注的课题。
本文将在回顾内部控制和风险管理理论发展的基础上,探讨二者之间的关系,并结合宝钢在内控体系建设和风险管理方面的最佳实践,提出整合的风险管理框架设想,以期对我国企业的内控体系和风险管理体系建设提供借鉴。
一、内部控制、风险管理的理论发展及其关系
(一)内部控制理论的发展
20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后,美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序,以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中,把内部控制活动分成五大组成部分,即:控制环境、风险评估、控制活动、信息与交流和监督评审。
2002年,美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架,有些国家和地区在参照该框架的基础上建立了自己的内控体系。
我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求,在理论体系上和COSO内控框架一脉相承。
(二)风险管理理论的发展
企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展,公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明,仅靠内部控制难以实现企业的最终目标。为此,COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM),提出了由三个维度构成的风险管理整合框架。
我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》),标志着我国中央企业建立全面风险管理体系工作的启动。
(三)内控体系建设与全面风险管理工作的联系和作用
全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益,而这正是全面风险管理应该达到的基本状态。此外,内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用,具体体现在以下两个层面:
1.在理论框架层面,完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。
2.在推进工作的步骤层面,从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看,以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设,在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备,可为公司未来开展全面风险管理打下较为完善的基础。
至于差异,从二者的框架结构看,全面风险管理除包括内部控制的三个目标之外,还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外,还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看,内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场、法律等领域。
二、宝钢在内控体系建设领域的实践
宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程,推广管理标准。2007年3月,由公司总经理担任组长的内控评审项目开始启动。
内控项目工作范围包括宝钢股份总部以及下属分子公司,资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程,梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上,逐步建立宝钢股份上市公司内部控制体系,编制公司流程内控手册,形成公司全面的内控改进点报告,建立公司层面基本内控体系。并在前期工作的基础上,开展内控体系的自我评估工作,形成公司内控自我评估报告。
在项目实施过程中,公司组织了多场内控培训会,形成了全员内控的企业文化。同时,公司对发现的内控薄弱点狠抓落实整改,并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析,就同类问题开展自查自纠,以形成辐射效应。此外,宝钢股份还将内控评审项目和常规审计工作相结合,在内部审计工作中跟踪检查问题的整改情况。
三、宝钢在风险管理领域的实践
宝钢从2007年开始全力推进全面风险管理体系建设,这既是资本市场的要求,也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:
(一)以法人治理为基础,建设风险管理的组织体系
完善的法人治理是风险管理重要的内部环境,也是风险管理体系建设的起点和保障,而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业,在完善董事会试点的过程中优化董事会成员结构,建立外部董事制度,不断完善董事会运作机制,初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。
同时,宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”,由系统运行改善部作为风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价,及时发现流程中存在的问题,提出内控完善的建议。
(二)与管控模式相结合,制定风险管理策略和流程
宝钢采取的是“战略控制型”的管控模式,即总部通过对策略性、全局性业务进行管控来确保战略意图的实现,对于具体执行性业务则授权给各子公司来执行,以确保整体运作效率和响应速度。
因此,宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点,通过推进风险管理文化建设、推动内控系统优化,确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施,建立并不断完善风险管理体系。各子公司则结合自身产业特征,从防范运营风险的角度出发,重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估,形成重大风险清单,确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件,评估、完善内控体系,并落实为工作规范,制定管理制度,形成内控手册;4.针对可能发生重大突发事件的业务领域,建立预警机制,制定应急预案。
(三)建立了财务预警指标体系,使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警在应急预案方面,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。
四、整合的风险管理框架设想
通过长期的工作实践和思考分析,笔者认为:企业的风险管理工作需要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统:
(一)风险管理系统应与公司治理系统进行整合
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,高管和风险主管应当直接承担风险管理的责任,董事会则应积极参与增值型的风险管理活动,如在风险管理的过程中对管理层进行指导、授权和监督等活动。:
(二)风险管理系统应与公司战略管理系统相整合
风险管理功能与公司战略管理功能相耦合,主要体现在图2所示的战略管理全过程中:
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略,会引起不同的风险,也应采取不同的风险应对措施。因此,不同的战略模式将会导致在不同的领域配置风险管理的资源。
企业战略管理的最终目标是为了实现企业价值的持续增长,企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开,该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值,必须具有高效、快捷和质量可靠的业务流程,这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径,企业风险管理也应遵循这一路径而展开。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
【主要参考文献】
[1]张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005,(2).
[2]吴轶伦.内部控制自我评价[J].上海财经大学学报,2004,(4).
[3]吴轶伦.内部审计职能的发展与风险管理模式的建设[J].冶金财会,2006,(3).
[4]方红星.内部控制审计组织效率[J].会计研究,2002,(7).
[5]课题研究组.内部会计控制规范操作实务[M].中国商业出版社,2001.
[6]阎达五,宋建.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000,(3).
[7]朱荣恩、贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究,2003,(6).
[8]金或日方,李若山,徐明磊.COSO报告下的内部控制新发展[J].会计研究,2005,(2).
[9]严晖.风险导向内部审计整合框架研究[M].中国财政经济出版社,2004.
[10]宋夏云.现代风险导向审计模式的背景分析与理论创新[J].中国审计,2005.
基金管理公司有效控制风险应当具备的基本要素
一、有效内控的基本点是基金管理公司的最高管理层必须承诺对控制风险负有全部责任,即由全权负责整个公司业务的最高层自上而下推动和实施内控和风险管理,其制定的各项内控和风险原则、制度必须适用于基金管理公司的所有部门、环节、岗位,并能被贯彻执行。概括地说,一套有效的内控体系首先需要基金管理公司领导层的重视、参与和监督贯彻。
二、内部控制体系是一项系统工程,应在基金管理公司构造一个全面的包含两个层面的体系和系统——公司层面的、整体的内控体系和业务层面的风险管理系统,包括建立完整的内控组织架构、流程、报告路线,明确管理层与业务部门的内控职责、纪律程序和量化的风险管理评价体系以及手段、措施等。能够正确地确认风险,不仅要识别可量化的风险,而且必须认识和控制住其它不同类型的非量化风险,比如公司治理结构、法规、道德、人力资源、市场、运作环境以及操作上的风险。
三、平衡公司业务与实施严格风险控制两者之间的成本费用关系。管理层应明确严格风险控制所需成本费用应由为确保实现公司长远目标和预防、控制风险的有效性来决定,而不是根据短期内的损益情况来考虑控制风险应该支出多少成本费用,应将实施风险管理控制的成本费用支出看作是基金公司的一项连续的、长期的可以给企业带来竞争力和价值增值的投入。
四、有效的内控依赖于内控职责的明确划分,管理层在划分内控职责时要将“控制”与“监督”职责加以细化分解,并需将责任落实到人。在风险控制职能上,业务部门的主管无疑是业务风险控制的责任人,并承担着业务风险控制的职责;业务部门还应设专人负责日常的业务监控,并建立内部风险管理信息的传递与反馈机制;监察稽核部门除负责控制法律法规和道德操守风险外,更多的是监督检查职能,即对业务部门的运作合规性进行检查监督;绩效评估部门主要对基金运作绩效风险进行独立的监控、测定及评估;此外部门之间还担负着互相监督的责任。
五、有效的内控和风险管理的主要特征是公司上下均对风险具有很强的敏感性和认知度,相关的部门和人员去认真对待和控制,并通过持续不断的培训将控制风险的意识贯穿到企业所有员工的言行之中与部门间的业务环节中。对基金管理公司而言,在日常工作中业务部门是否能够真正有效地进行风险控制将取决于部门以及员工是否能够主动进行风险控制和严格遵守行为操守规范,以及风险管理职能部门是否严格履行职责并与业务部门相互间进行良好的沟通和合作。
六、监管机关的有效监管和良好的市场秩序。来自外部监管环境的对有效的内控和风险管理同样重要,如果证券市场监管机关不能有效监管,就会使合规运作的基金公司无所适从。此外,良好规范的市场秩序将有助于控制市场风险,反之则较难把握和控制市场风险。
七、顺畅的报告渠道。随着基金公司在日常管理以及投资交易过程中各种风险的日益增加,通畅的风险报告渠道已成为风险控制过程中日益重要的组成部分,业务部门需要将存在或潜在的风险问题分别向风险管理部门和主管领导报告。风险控制职能部门,如监察稽核部和基金风险绩效评估小组,对日常监控过程中发现的风险问题,应定期、及时编制风险评估报告提交管理层,并将有关信息及时反馈给业务部门。
鹏华基金管理公司的风险控制实践
鹏华的内部控制和风险管理体系经历了不断在实践中构造和完善的过程。在对内控和风险管理有了较为深刻认知的基础上,鹏华自成立伊始就确立了“保护投资人利益,取信于市场、取信于社会”以及“内控优先”的风险管理理念,进行了大量、多方位的制度设计和措施安排,并通过健全内部控制体系控制非系统性风险,通过建立风险管理系统平台对系统性风险进行控制。
一、内控体系建设方面:
1、完善法人治理结构,防止内部人控制为保障投资者和股东的合法权益,防止内部人控制,近年来鹏华积极向国际标准靠拢,不断完善公司治理结构:建立了独立董事制度;在董事会下增设了审计、薪酬和提名三个专业委员会;加强了风险控制委员会的风险控制职能等。
2、构建内控整体架构,明确内控流程鹏华的内控架构是多层次的,包括了风险管理委员会,投资决策委员会,督察员,监察稽核部,业务和支持部门,以及风险———绩效评估小组。此外,鹏华还明确了风险控制由最高管理层自上而下推动和业务部门、员工自下而上主动、自觉履行风险管理。
3、完善内控制度,明确内控职责在鹏华在风险控制实践中还认识到内控制度应是一个包含两个层面的有机整体:一是公司层面的总体内控制度,它必须全面覆盖公司管理和基金运作各个环节;
二是各个业务层面的、部门的风险控制制度。
在内控制度中鹏华对公司所有部门和岗位的内控职责进行了明确,也就是具体规定了由哪个部门谁对何种风险、按照何种程序、在多长时间内进行控制。此外,鹏华的内控制度还包括了定期对内部控制的有效性进行评价,以测试内部控制是否依然充分有效。对内控制度的评价不仅应该检验其是否符合控制目标的要求,还应该结合市场环境的变化、新的工具和技术的等情况,对内控制度进行适时的更新、补充和调整,使其适应基金业的发展趋势和最新法律法规等风险管理要求。
去年以来,鹏华结合开放式基金的筹备工作,根据最新的法律法规和行业规范的要求,对公司层面以及业务层面的风险控制制度进行了进一步修订完善,特别加强了对投资、交易和开放式基金业务风险的制度控制力度。
4、加强内控培训,培育全员风险管理文化在与境外基金管理公司的访问交流中认识到,基金管理公司的风险控制不仅仅是风险管理部门的事,而必须由每一个员工自觉地落实到日常的工作中去。因此,需要在基金管理公司培养一种风险管理文化,这种文化可以使得风险控制意识在公司内部得到广泛的分享,扩展到公司所有员工,并最终形成一种良好风险的控制环境。
为此,鹏华管理层在各种场合向员工反复强调和灌输“诚实信用、勤勉尽责,切实保护投资人利益,取信于市场、取信于社会”以及“内控优先”、“纪律产生业绩”的风险控制理念。
为达到此目标,鹏华对员工进行了持续的内控培训。去年,鹏华采取邀请境外专家到公司举办讲座和内部交流等内外交流的等方式开展了三次内控培训,帮助公司全体员工树立了正确的风险管理理念和勤勉尽责的工作作风,并要求所有员工把风险控制融入到每天的工作中去。
经过三年多的实践和努力,鹏华良好的内控环境和沟通平台已构造完成,初步形成了全员风险管理文化。
5、制定行为操守准则,控制操守风险在培养风险管理文化的基础上,鹏华还十分重视道德操守风险的防范,制定了详尽的《员工行为操守准则》,并强制性要求全体员工每年签署一次;此外,还制定了《基金经理操守准则》并要求基金经理签署和向承诺。操守准则的签署,意味着全体员工向公司和全社会承诺自觉遵守相关法规、基金契约和公司规章制度的规定,并接受社会和公司内部的监督。
6、独立的监察稽核,严格的纪律程序监察稽核是在各业务部门自我监督基础上的再监督。监察稽核部是法律法规和内控制度遵守和执行的监督者,是内控体系中的关键环节之一。
自公司成立以来,鹏华管理层就非常重视监察稽核工作。首先,公司赋予监察稽核部对所有业务,如基金投资、交易、公司和基金会计等进行独立地检查监督的权力,并不受其它部门的限制和干涉;其次,公司还赋予监察稽核部为履行工作职责所需要的其他必要权限,如对防火墙的穿越权,对所有文件、资料的调阅权,对违规行为的制止权等;最后,为建设一支高效的监察稽核队伍,公司还为监察稽核部配备了审计、会计、法律方面的高素质人才,并多次安排监察稽核人员赴境外和培训。
近年来,鹏华监察稽核部不断加强对各项业务的监察稽核,在监察流程、方式、措施、手段上取得了长足进步:1、尽量实现风险控制由“事后处理”向“事前防范”的转变,并在事前、事中、事后等各阶段对风险进行全面控制,确保公司管理和基金运作的合法、合规;2、虚心学习境外合作伙伴在内部风险控制和监察稽核方面的先进经验和量化监控,引进了关键风险指标(KPI)月度评估报告制度等。
为保护投资人利益,确保公司规章制度得以有效贯彻执行,公司还制定了严格的纪律程序,对在监察稽核过程中以及在部门内控和风险管理中发现的违法、违规行为,将根据情节轻重、性质和危害程度,经部门会议、监察稽核部、总经理办公会议或风险控制委员会讨论确定对行为人的处罚和行政处分。
7、强化岗位分离和制衡机制关键岗位的分离和制衡,是内部控制的重要原则。在这一原则指导下,,鹏华对以下岗位进行了空间和区间的分离:
(1)投资与交易:投资与交易从部门到人员均相互独立,并以防火墙进行物理隔离;(2)交易与清算:公司交易人员与清算分属不同的部门,彼此完全独立,业务上没有交叉,并且建有防火墙,办公区间进行隔离;(3)监察稽核与其他业务部门:监察部由董事会任命的督察员负责,保持了很强的独立性,其监察报告可以直接送达董事会和监管机关,而无需总经理的批准;(4)其他重要岗位,如投资与、公司会计与基金会计等均实现了人员独立和岗位分离,无岗位、业务重叠现象。
在制衡机制方面,根据业务流程和制度规定,部门之间对明显违反法律法规和制度流程的行为有制止权和报告责任,因而可以通过部门、岗位的相互制衡达到控制风险的目的。
8、改革人力资源和薪酬制度,加强激励机制
人力资源是鹏华公司最宝贵的资产。为吸引人才、留住人才,体现鹏华“以人为本”的经营管理理念,公司一直致力于建立起一套的人力资源体系。2001年,鹏华选择美国著名的惠悦咨询公司,为鹏华量身设计薪酬、绩效评估、培训等方面的人力资源改进方案,重新制定了,如薪酬制度、绩效评估制度、培训制度等,并于2002年全面推行。
在此基础上,公司逐步建立起包括人才数据库、岗位、绩效评估等在内的人力资源电脑管理系统,力争建立起科学的人力资源体系,不断提高人力资源管理水平。
二、风险管理系统平台的建设对于流动性风险、波动性风险、行业、个股集中度风险等系统性风险,除通过基金投资部门对基金进行日常的风险管理外,公司还设有专门的工程小组,负责开发投资模型和量化的风险管理系统,并建立起独立的风险管理系统平台进行辅助控制。2001年,公司开发完成了投资决策支持系统(PHIDSS)和投资研究信息系统,其子系统包括恒生交易系统、证券分析系统、鹏华财务风险识别和预警系统、指数研究工具、投资策略、投资风险实时监控系统;另外还开发了基金投资、交易自动控制系统以及基金风险绩效评估系统并正式投入使用。鹏华风险管理系统平台的建设,为规避和控制市场风险在系统化和数量化的道路上迈出了坚实的一步。
中图分类号:F830.4
文献标识码:A
文章编号:1004-4914(2013)02-208-02
一、操作风险的涵义及其成因
巴赛尔委员会对操作风险的定义是:“由于内部程序、人员、系统的不完善或失误,或外部事件造成直接或间接损失的风险。”因此,操作风险密切相关的四个要素是:人、流程、系统、外部事件。近年来,随着监管部门监管力度的加大、商业银行风险管理的普遍加强以及全社会信息透明度的日益提高,商业银行暴露了一批职务犯罪、金融欺诈、违规操作等违法违规违纪案件,尤其是一些大案要案,金额巨大,情节恶劣,给国家造成了重大经济损失,也给银行业信誉带来了损害,严重影响了金融安全和社会稳定。操作风险几乎覆盖了商业银行经营管理的各个方面,操作风险主要表现在:可预计损失的风险。即银行在日常的营运活动中比较频繁地发生的失误或错误而导致损失的风险。这些风险发生的概率比较小,但严重程度一定很高;灾难性损失的风险,即银行在经营中所遭受突如其来的内部或外部对银行的生存产生直接影响的风险。这种风险发生的概率极低,但是其后果非常严重,足以使银行破产或倒闭。
造成操作风险的原因主要有以下四个方面:
1.银行董事会治理结构有重大缺陷。一是所有者虚位,导致对人监管不够。二是内部制衡机制不完善,董事会、监事会、经营管理层没有真正起到相互制衡作用。三是存在“内部人”控制现象。由于治理结构不健全,很容易导致高管人员的道德风险。分支行主要负责人的权力过大,也容易形成“内部人”控制的局面。四是内部控制能力削弱。由于商业银行内部管理链条长、层次多,信息交流不对称,又没有良好的全流程监控,致使分支机构潜伏问题令人防不胜防。
2.风险管理制度建设不到位。一是在发展与风险控制关系上重发展轻控制;在任务执行上重领导托办轻制度规定;在操作流程上重习惯轻流程,使制度建设不能有效落实。
3.内控制度建设不完善,惩治不力。一是没有形成系统的内部控制制度,重点部门和要害环节控制不到位,业务开拓与内部控制建设不同步。二是内控制度的整体性不够。对所属分支机构控制不力,对决策管理层缺乏有效监督。对业务人员监督较多,而对各级管理人员监督较少、制约力不强,内控制度缺乏刚性。三是内控制度的权威性不强,惩治力度不大。四是部分分支机构内控制度执行不力,有章不循、违规操作时有发生。
4.金融创新与金融风险并存。商业银行为扩大市场份额,不断推出金融新产品、新业务和新服务举措,使产品、业务和服务的复杂程度不断提高,如果内控制度没有及时跟进,就会引发新的操作风险。商业银行业务的电子化、自动化程度的提高,使银行在各个地区的经营和各项产品的经营紧密地联系在一起,若系统建设滞后就会使总行难以对分支行进行内部监控,如果银行的电子化处理系统出现问题,很可能导致严重的甚至灾难性的后果。
二、加强合规制度建设,防控操作风险
商业银行是风险行业,分散化解金融风险是金融业的重要职能,防范风险是商业银行永恒的主题。当前,在同业竞争日益加剧,内部改革不断深化,外部监管不断加强,银行必须加大操作风险防控力度,扎实推进合规制度建设,深化内部体制机制改革。
1.完善公司治理结构。完善公司治理结构是商业银行改革的核心。完善股东会、董事会、监事会及经理班子合理的制衡管理架构,加强制度约束,有效降低内部关联交易和内部人控制的道德风险。
2.建立集中化、扁平化、专业化的风险管理体系。在战略规划、营销、决策、信息等方面,积极探索和尝试集中化、扁平化和专业化管理模式。加速业务流程整合,实施业务集中规范管理;建立覆盖全面业务、部门的信息管理系统;推行客户经理制、产品经理制和风险经理制,确保风险管理尽责到位。
3.理顺风险控制部门和其他职能部门的关系。加强操作风险管理与信用风险、市场风险和流动性风险管理的沟通,防止出现风险管理真空或重复管理。创造条件实施对业务部门和分支机构合规人员实施派驻制,前移风险控制关口,增强风险管理的独立性和有效性。
三、加大法律合规制度建设
合规风险管理是指银行规避违章事件发生,主动发现并采取适当措施纠正已发生的违规事件的内部控制活动,它是构建银行有效的内部控制的基础。
1.合规经营是促进银行业务健康发展的内在需求。国内外许多实践证明,严重的合规缺陷会给银行生存造成致命的威胁,而健全的合规管理可以增加企业的竞争力,提高银行业务效益,提升银行声誉。如果银行无视这些行为准则而违规经营,轻则给银行自身带来经济、声誉的损失,重则会影响到银行的生存发展。
2.加强合规风险管理是强化银行内部治理需要。一家先进的银行必须有良好的合规制度做支撑,否则银行想确立战略目标很困难。如果商业银行的从业人员对银行内部规章视而不见,很容易导致重大违规事件甚至违法案件的发生。
四、加强银行合规建设的举措建议
1.加强合规制度建设。要遵循“标本兼治、重在治本”的原则,根据“一项业务一本手册,一个流程一项制度,一个岗位一套规定”的要求,认真做好对现有规章制度的评估梳理、修订和完善,健全完善各项管理制度和业务操作规程,为有效防范操作风险提供制度基础。
2.健全监督纠正机制。健全授权授信体系,实行统一法人管理和授权;建立必要的职责分离,横纵向相互监督的制度;明确关键岗位、特殊岗位、不相容岗位及其控制要求,积极开展内部控制评价,形成合理的内控管理激励约束机制;充分发挥职能部门自律监管和内部审计的作用,采取多种形式积极排查各类风险隐患,并对检查中发现的各类违规违纪问题,加大责任追究力度。
3.完善合规风险管理长效机制。建立和完善合规风险管理长效机制是合规管理目标实现的重要途径。合规绩效考核制度、合规问责制度和诚信举报制度是合规风险管理长效机制的三个支柱性制度。建立科学的合规绩效考核制度,将银行整体绩效、团体绩效和个人绩效有机结合,建立与岗位职责相联系的合规绩效目标,构建“合规创造价值”的目标导向,落实激励约束,实施有奖有罚,充分体现银行倡导合规与惩处违规的价值理念,使合规风险意识真正贯穿于整个业务流程。切实有效的合规问责制,是解决有章不循,有规不循的关键。建立诚信举报监督制度,为员工举报违规、违法行为提供必要的渠道和途径,鼓励员工举报不合规行为,强化对违规行为的有效监督。
4.以人为本,充分重视人在合规建设中的作用。银行经营管理诸多要素中,人是最基本最活跃的因素,人既是管理的对象,又是管理的动力。健全的体制要靠高素质的队伍去坚持和完善,现代化的管理技术和手段要靠高素质的队伍去掌握和运用。
要改善合规人员配备,加强合规队伍建设。一是选拔有一定资质、经验、从业经历和专业素质,能正确执行法律、规则和标准,具有诚实正直品格的人员充实到合规人员队伍中。二是强化全员合规培训,提高一线员工和管理人员的合规能力,逐步具备与岗位合规要求相匹配的职业素养,更好识别和控制合规风险。
参考文献:
1.陈元富.商业银行内生性操作风险生成机理与防范对策.现代经济信息,2011(4)
2.胡昆.商业银行风险管理文化建设的思考,华南金融电脑,2008(12)
3.谢应东.我国商业银行风险管理文化的陪育和发展.金融与经济,2006(8)
近年来,农村信用社合规风险管理工作取得了一定成绩,但与国有或股份制商业银行相比还存在较大差距,有差距就说明有问题,有问题就要想办法解决。本文提出了当前农村信用社存在的一些合规风险管理问题,并对如何解决这些问题提出了自己的看法。
1 当前农村信用社合规风险管理存在的主要问题。
近年来,在银监会积极倡导和推动下,包括农村信用社在内的广大银行业金融机构启动了合规建设,注重和加强了对合规风险的管理。但也不容忽视,农村信用社的合规风险管理工作才刚刚起步,存在着合规风险意识淡薄、管理资源有限人才匮乏、合规部门独立性不强以及合规风险管理有效性差的问题,合规风险管理工作与监管要求、与业务发展需要、与管控风险的需要相比还存在很大差距。
1.1 合规风险管理意识淡薄,合规文化缺失。由于管理体制、经营机制和人员素质等方面原因,农村信用社还处于过去传统的经营和管理模式中,从高级管理层的高管人员到分支机构的一般操作柜员,对合规风险的理解还存在模糊意识,一些先进的合规理念还没有得到深入贯彻,甚至没有自觉地把合规风险当做一项重要风险源去管控,积极参与合规风险管理工作的主动性不高。
1.2 合规风险管理的有效性较差。一是目前农村信用社合规管理的实质性功能尚不具备,独立于其他检查的合规风险检查机制尚未建立,独立检查尚未开展,合规风险管理部门组织开展的专项合规检查较少,对一些违法、违规问题的调查受到所属业务部门或机构负责人的干扰或影响,达不到合规风险管理职责的要求;二是农村信用社对合规风险管理技术的认识和应用尚在起步阶段,合规风险管理的方法与手段落后,有关合规风险管理的识别、监测、计量、控制技术严重缺乏,远远达不到监管要求;三是合规风险管理部门与业务、审计稽核、风险管理和监察等部门尚未形成资源信息共享、沟通合作、协同配合的机制。
1.3 管理机制不完善,制度执行不到位。一是虽然逐步完善了“三会”制度,但并未产生“三权”制衡的实际效果,话语权基本掌握在理事会和经营班子手中,往往会对经营决策失去有效的监督制约,而失去约束的权力必然产生逆向选择和各种风险。二是岗位之间职责不明确,不能有效执行内控制度,内部失控和职能部门监管不力,监督制约体系形同虚设。
1.4 管理方法不规范,考核奖惩不到位。一是规范风险管理以定性分析为主,量化分析工作不到位,在风险识别、度量、监测等方面不够科学合理,管理方法陈旧落后,跟不上形势发展的要求。二是对日常经营中存在的问题,好人主义思想严重,不能按规章制度严肃追究责任。
1.5 操作程序多,责任划分不清。随着业务系统的不断升级,合规控制更多地依赖于业务办理的事中控制,从而造成柜面处理流程多、环节多、手续多、授权复核多现象。与此同时,一笔业务往往牵涉到多个当事人。如:办理一笔贷款业务,会涉及到调查人、审查人、审批人、发放人等多个责任人,有些员工因工作变动,对贷款的管理责任也容易产生推委,导致责任不清,这给违规操作提供了空间,自己违了规不要紧,还有更多的人也会跟着受牵连、承担责任。
2 农村信用社合规风险管理的建议和对策。
2.1 加快合规风险管理队伍建设。一是在现有员工中选拔懂得金融、财务、会计、法律等知识的专业人才,充实到合规风险管理岗位,鼓励现有在岗人员通过自学、培训等途径提升素质;二是招聘具有国家法律职业资格、企业法律顾问执业资格的专业人才,为合规风险管理培养后备力量;三是选拔派遣骨干力量到国有商业银行、股份制商业银行合规管理部门挂职或进修,学习他行先进的合规管理经验,并进行严格的考核;四是和监管部门实行互动和对接,参与监管部门的合规风险检查,分享监管现场检大案例信息,提升农村信用社合规管理人员的资质、经验、专业技能和个人素质;五是加大省级联社等行业管理机构对合规风险管理的指导与培训力度,拓宽培养合规风险管理人才的途径,造就一批活跃在法人行社的合规风险管理队伍,为农村信用社合规风险管理提供组织和智力上的保证。
2.2 培育良好的合规风险文化。健康向上的合规风险文化是商业银行实现有效合规风险管理的基础保障。农村信用社需采取多种手段加强合规风险管理知识教育和技能培训,加大合规宣传力度,倡导和强化全员合规风险意识,树立诚信与正直的价值观念,让员工充分认识自己是合规操作和管理的第一责任人,坚持合规操作和管理是每个部门、每位员工的神圣职责,让每位员工都自觉养成按章办事、遵纪守规的良好习惯,杜绝有章不偱、违规操作的现象,逐步树立起良好的合规风险控制文化。在深化改革加快发展的同时,农村信用社应高度重视规范风险管理,借鉴商业银行规范风险管理的理念和经验,构建完善的风险管理体系,提升风险管理能力。
风险,通常的理解是对实现企业目标可能发生的不利条件或事件。风险的概念在许多经营管理著作中被扩大化,甚至涵盖了管理中绝大部分的问题和困难而内控的概念也常常被扩大而接近管理的概念,特别是内控中广泛地运用着风险管理中的一些概念,如:风险评估、风险控制点等等。给人造成一种错觉:风险管理可以通过内部控制实现,内部控制也是在进行风险管理。那么,是否应该将两者合并考虑呢?我个人认为,这是十分有害的。诚然,风险和内控应该结合,但应主要是分析方法的相互借鉴和具体措施的部分重合。如果只讲结合,不进行原则上的划分,就变成了混淆。混淆的后果一方面是不能真正体现内控和风险的本质,从而模糊了两者的目标,难以明确各自的解决途径,给管理的效率、效果和决策的正确性带来困难二是内控既没有解决所有风险的不利后果,风险管理又难以真正落实到某一具体业务或管理部门,成为它的责任。于是,企业不能有效得对需要风险管理的风险进行专门的研究和管理。
从风险的概念上,很难将其与内控的内容进行划分,那么,我们可以从风险的性质上将其与内控的内容进行划分,也就是将所有妨碍目标实现的内部、外部的困难、问题,按照其发生的确定性划分为:常规性的、非常规性的和混合性的三类,即确定条件下发生的、不确定条件下发生的和混合条件下发生的三类。
据此,我们就可以分别进行不同的管理:
一是将常规性事件纳入内控;
二是对非常规事件,在内控范围内,只需要设计针对非常规性事件的处理原则,在一定程度上降低风险带来的影响。例如在企业中可能发生财务危机、意外事故、危害公众事件等,为此我们需要设计非常规事件或危机处理原则。对此类不确定性事件,就需要风险管理,应对危机,以弥补内部控制的不足。
三是对企业经营活动中,大量存在的既不是常规又不是非常规的混合性事件,应尽可能将其完全或在一定程度上转化为常规事件,从而纳入内部控制。这就需要凭知识和经验,在内控中充分考虑预防、制约混合性事件发生,以及解决混合性事件后果的措施。其中最重要是预防条款,防危机于未然。
因此,风险的不确定性既预示着机遇,又可能影响竞争能力、融资能力、外部形象等。而内控预示着稳定、有效的运行,强调的是评估经营管理活动中突出的、相对稳定的风险,将其转化为控制点,并实施必要的控制活动。
划分内部控制和风险管理,对加强经营管理的针对性及提高经营管理的效率很有帮助。我们通过把经营中具有一定持续性、稳定性的内部、外部困难和问题纳入内控系统,将相对重要、不确定性强一些的问题作为关键的控制点,以点面结合的方式控制经营始终为管理目标服务;通过把经营中具有突发性、不确定性的内部、外部困难和问题纳入风险管理系统,用风险分析、评估和特定业务领域的特定方法,支持决策始终为管理目标服务。
二、如何利用内控系统规避风险
总的说来,就是运用风险评估方法,认识和分析企业整体目标及各活动层目标,以及影响这些目标实现的内在和外在因素,发生的概率及可能的后果,并采取相应的控制措施,实现企业目标。具体分析如下:
规避风险首先研究风险包括哪些内容。通常风险主要分为三类:一是战争、自然灾害、经济衰退、通货膨胀、高利率等,是不可分散的市场风险;二是市场需求、成本过高、技术发展、竞争、信誉、法规政令、信息系统中断、外部环境变化等经营管理风险;三是筹资、投资等财务风险。
按照上述风险的性质分类,比较利于辨识和分析风险的过程,但要尽可能将风险纳入内控系统内化解,还需要将可能产生这些风险的主观行为和客观条件内化为企业内部的受控行为和受控环节,然后通过风险预警、风险识别、风险评估、风险报告等措施,对风险进行全面防范和控制。例如,对存在市场需求、技术发展、竞争等经营管理风险,影响经营目标实现的重大项目,建立一套完整的市场调研、测试评估、竞争应对机制,就能凭借内控规避风险,或保证风险决策的正确性。当然,这种方法主要对财务风险和部分经营风险比较有效,因为它们不是对全部企业都产生影响的宏观风险,而是可以通过企业微观经营而规避、降低的风险。
日常经营中需要受控的风险行为很多,比如:引起财务风险的筹资、投资活动;引起法律风险的合同行为等等。对风险防范控制应作为内控中的一项基础性、经常性工作,一方面应对实施带有风险性质行为的部门或岗位,专门做好风险的识别、规避和控制;另一方面直接对这些行为进行控制,如:事先可研或评估、事中权限限制或实时跟踪、事后考核和监督,以及出现的负面后果时的应对措施和预案。
日常经营中需要受控的风险环节也很多,内部控制特别应该把风险较大的关键控制点设定在以下位置:①资金点。包括企业的筹资、投资活动,资金调度、使用、分配活动等;②成本费用支出点;③权力使用点。
因此,建立内控就是充分考虑风险后设定一种管理的标准,进行风险管理就是对偏离标准的管理。内控制度设计得越符合实际,企业风险越小。内控常作为衡量组织风险的基础。
但是,合理而有效的内部控制系统,最理想也只是实现了科学而全面的管理。它仍然只能为实现经营目标提供合理的保证,而不是绝对的保证。例如,对于重要信息的异地备份,既是内部控制中信息安全性的要求,也是风险管理中规避风险的必要措施。国际著名投资银行摩根士坦利,正是严格遵循了这一基本要求,其虽置身于世贸大厦88层之高,但在“9・11”事件中,其所有客户的重要资料并未随世贸大厦的轰然倒塌而被埋葬。但是,上述内部控制措施只能防范日常经营中可能的风险,风险发生后的一切措施和决策就是风险管理的重要内容。
因此,内部控制不等于风险管理,两者不能完全替代。前者是针对日常经营的管理,是实现经营目标的系统保障,只能一定程度上防范风险后者是针对风险发生的管理,是实现经营目标的特殊程序,可以承担、分散、转嫁、化解风险。
清晰了内部控制和风险管理的关系,内部审计就可以根据不同的目标,采用不同的程序,运用不同的方法,两线并行开展工作:针对内部控制的内控审计和针对风险管理的专项审计。
[参考文献]
《指引》规定“农村中小金融机构可根据业务发展需要设置首席风险官(风险总监),首席风险官负责分管风险管理条线工作,不得分管前台业务工作,直接对行长(主任)负责”。结合发起行对村镇银行的管理职责,发起行可通过派驻村镇银行首席风险官方式,对其发起设立的村镇银行实行垂直、独立的风险管理。派驻村镇银行首席风险官向发起行及村镇银行董事会、行长负责,在发起行村镇银行管理总部及村镇银行行长领导下开展工作,属于村镇银行经营层,接受村镇银行董事会及所在地监管部门的高管资格审定和考核。借鉴《指引》相关规定,发起行派驻首席风险官对村镇银行的风险管理目标是“三个确保”,即确保持续发展、确保审慎合规经营、确保风险可控。
推行派驻村镇银行首席风险官模式后,发起行对村镇银行的垂直、独立风险管理组织架构可分为三层,分别是发起行村镇银行管理总部、派驻村镇银行首席风险官、村镇银行风险管理部。风险管理组织架构及报告路线如下图:
发起行村镇银行管理总部的垂直风险管理
一是制订并下发发起行对村镇银行的风险管理政策或意见。通常包括信贷投向、信贷结构、行业及客户限额、流动性管理指标、合规与操作风险控制要求等,对村镇银行的业务发展、内控建设与风险管理提出方向性意见。村镇银行管理总部对此意见进行督促落实。
二是按月开展非现场风险指标监测,对村镇银行进行风险预警和分析。村镇银行须定期向发起行报告相关风险指标监测表,前期指标主要包括信用风险指标、流动性风险指标和限额指标,如指标发生异常变化则下发风险提示书或整改意见书,进行调整或控制。
三是指导各村镇银行首席风险官开展风险排查并要求其上报风险报告,以便全面了解和掌握村镇银行内控、合规与风险管理情况,进行风险监测和指导。
四是针对业务异常变化或风险指标变化,组织风险、合规人员进行现场风险排查或专项业务检查,有效识别和控制风险。
五是制订并推动实施村镇银行内控评价办法和实施细则,按年组织审计人员对村镇银行开展全面内控审计评价,对村镇银行内控及风险管理情况进行稽核监督,持续跟踪管理变化,并对发现问题下发审计整改意见书并进行后续审计监督。
六是开展以内控及风险管理为核心的绩效考核。通过设置贷款五级分类准确性、不良贷款率、成本收入比、人均工资总额、贷款拨备比率、发起行内控评级、监管评级等指标,引导村镇银行全力构建符合村镇银行特色和监管要求的风险管理机制,达到稳增长、控风险的可持续经营目标。
派驻首席风险官对村镇银行的垂直风险管理
派驻村镇银行首席风险官应按照《指引》规定,负责村镇银行内部垂直、独立的风险管理机制和组织体系建设,并对风险进行统一、垂直、全面管理。具体工作如下:一是牵头组织拟订村镇银行所需各项风险管理制度、流程,并推动实施。二是组织推动村镇银行内部控制体系建设,督促建立健全内部控制体系并组织监督检查。三是组织开展村镇银行各项风险识别、评估、监测、检查及控制工作;指导风险管理部制订各项风险管理计划。四是组织开展村镇银行授权管理,并对授权工作执行情况进行监督检查。五是组织实施村镇银行授信客户信用评级、信贷资产分类及不良贷款的管理,组织授信业务审批、管理,负责村镇银行授信审批委员会工作。六是负责指导村镇银行风险管理部配合财务管理部门开展全行流动性风险管理。
同时还负有以下职责:一是组织落实发起行对村镇银行的风险管理政策、制度及相关要求,推进村镇银行按照发起行要求和自身市场定位开展业务及风险管理工作,并实时监督、检查执行情况。二是负责定期、不定期向发起行进行独立风险报告和预警。三是配合发起行对村镇银行开展风险排查、审计稽核工作。
为确保有效履行上述职责,派驻首席风险官应赋予超出一般高级管理人员的更广泛地知情权、审贷一票否决权、检查监督权、独立报告权、处罚权等权力。
村镇银行内部的垂直风险管理
村镇银行内部的风险管理应设置“三道防线”,《指引》规定“各业务部门是第一道防线,负责本部门和本业务条线风险管理的日常工作,对本部门和本业务条线的风险管理负第一责任”,第二道防线是首席风险官领导下的风险管理部门(在村镇银行规模较小时与合规部门合并设立),第三道防线是审计部门(见上图)。同时,按照《指引》规定,风险管理部可通过向业务部门或分支机构委派风险管理人员实施垂直、独立的风险管理。委派的风险管理人员独立实施风险审查,直接对风险管理部门负责。村镇银行垂直、独立、集中的风险管理架构如下图:
发起行对派驻村镇银行首席风险官的垂直管理
一是为了确保发起行对村镇银行风险管理的独立性、有效性,派驻村镇银行首席风险官人事关系应隶属发起行,由发起行村镇银行管理部门秉承“统一管理、统一调配、统一考核、统一薪酬”的原则对其进行人力资源管理工作。
二是派驻村镇银行首席风险官应推行定期“轮岗制”。从增强首席风险官的风险管理能力及防范单体风险的角度出发,应进行定期岗位交流,在同一村镇银行连续任职时间不应超过两届。
三是绩效考核。发起行应负责对其进行绩效考核并发放薪酬,基本薪酬应参照村镇银行高管设定,绩效薪酬考核应遵循“注重实绩,结果考核与过程考核相结合,定量考核与定性考核相结合,发起行考核与所在村镇银行考核相结合”的原则确定。考核内容可以围绕村镇银行风险管理机制建设的核心指标设置,同时参考村镇银行监管评级确定,以有力促进村镇银行风险管理能力提升。指标设计时至少应包括以下内容:内控体系建设(以发起行内控评价为准)、监管评级、风险报告、贷款资产风险分类偏离度、不良贷款率、不良资产处置率、重大事项报告及时有效性、案件及责任事故等。
实施派驻首席风险官制的成效分析
通过石嘴山银行对发起设立村镇银行派驻首席风险官与派驻前的实践对比,派驻村镇银行首席风险官机制在促进村镇银行风险管理机制建设方面取得了以下成效:
一是由于村镇银行更多地考虑所在地政府及股东的影响,在市场定位及信贷投向方面有可能发生不同程度地偏离,通过派驻首席风险官的统一控制,能够更好地坚持村镇银行的市场定位和信贷政策。
二是由于受股东回报率的影响,村镇银行可能会追逐短期利益,通过派驻首席风险官制度,能够更好地执行审慎经营原则,严格按照监管要求和发起行风险管理政策合规开展相关业务工作,更好地选择忠实稳定的客户,促进村镇银行稳健发展。
三是当前村镇银行大多实行总行风险管理部统一风险审查、集中管理的模式,在风险管理的独立性、及时性上存在一定缺陷。通过派驻首席风险官制度,一方面推进了总行授信审批委员会的独立性与有效性,另一方面通过在支行派驻风险经理模式,提高了支行授信审批效率,统一了全行合规与风险管理理念。
