时间:2023-09-11 17:41:40
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇内控合规与风险管理的关系,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】风险管理,内部控制,内部审计
一、健全企业风险管理的必要性
当今现代企业面对着许多隐藏在不同层次的各种风险, 使利润的增长变得不稳定, 而同时现代企业又要面对投资者不断提高的各种要求, 因而迫切需要采取各种方法控制风险, 避免损失。现代企业风险管理的手段不应是在企业内部另外增加一个成本高昂的官僚管理机构, 它应该能够帮助企业建立并强化应对困难的组织能力, 这也是现代企业能够在当今不断变化的全球经济中生存所必须拥有的一种关键能力, 就是现代企业必须构建一种切实有效的内部控制框架体系。
二、风险管理与内部控制、内部审计的关系
(一)风险管理与内部控制
内部控制与风险管理有着密切的联系。COSO 认为,内部控制是风险管理的一部分。COSO 对内部控制与风险管理的定义及其组成要素分别是:
内部控制:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。
风险管理:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
从COSO 的两份报告来看,企业风险管理与内部控制有以下相似或不同之处:第一, 它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外的非财务类报告准确可靠。第四,风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部) 环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。第五,风险管理提出了风险组合与整体风险管理的新观念。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响
(二)内部控制与内部审计的关系
澄清认识,转变观念,正确处理内控与内审的关系,是加强企业内控的前提。在实际工作中,内控工作往往被领导委派给内审部门去计划和安排,原因是多方面的。首先,一些单位没有理解内控工作的内涵,简单地把内控任务交给本单位的内审部门。其次,具体业务部门有重业务经营,轻管理控制的传统倾向。有些业务和管理部门习惯于执行各种业务的“硬指标”,而把内控作为“ 软任务” 推给“综合部门”去应付。 第三,尽管各经济实体中都存在内控制度和控制机制,但其控制系统有不同程度的缺陷。第四,内审部门曾经是缺乏权威性的比较薄弱的部门,现在虽然提高了该部门的地位,但在许多单位仍显现不出稽核部门足够的重要性。
要正确理解内控与内部审计的关系,明确内控主要是经营管理部门的责任,对内控的检查评价也主要是经营管理部门的责任;同时,内部审计部门要把工作的重点尽快转向对经营管理的内控系统进行有效的和全面的审计再监督,并在监督评审中注意保持独立性,建议和敦促经营管理部门纠正控制的缺陷。
三、对内部控制制度设计的一些建议
在内部控制制度的设计上,必须转变观念,以风险管理为中心来设计企业的内部控制制度。
(一)开展建章立制,搞好内部控制制度的创新。依据有关的法规政策,认真分析解剖自己企业存在的问题,抓住改进和改善企业管理水平和管理效率这个中心,围绕减少企业风险,提高企业经济效益和赢利水平这个核心,制订本企业内部控制制度或具体的实施办法。
(二)分级风险管理。风险可以分为战略风险、日常经营管理风险、财务风险。 对于涉及到战略风险,如合并兼并、重大的投融资、新产品的开发等涉及到企业未来发展的重大前景的,要通过股东大会或董事会的进行表决。
(三)搞好内部会计控制的体系建设。
1.建立内部会计控制的班底。就公司制的企业而言,董事会、监事会、总经理层为内部控制机构的建立、职责分工与制约提供了基本的组织框架,应该结合自身特点建立适合企业内部控制需要的职能机构。董事会下可以设立包括审计委员会在内的若干专业委员会,作为实施决策和内部控制的支持机构。
2. 建立和完善内部审计制度,促使企业的经营管理正常进行。内部审计是企业对其内部各项经济活动和管理制度是否合理、合规、有效所进行的监督和评价,它可以说是其他内部控制的再控制。内部审计有助于企业发现经营管理中存在的问题,对于促进企业依法经营,提高会计信息质量有十分重要的作用。
一、华北电网有限公司风险管理与内控管理的现状
华北电网有限公司于2009年开始启动财务风险管理系统建设项目。目前已经初步建成理念创新、方法先进、亮点突出、体现华北公司业务特色的风险管理系统。(1)风险管理组织架构建设:按照国资委建立风险管理三道防线的要求,以及国家电网的建立风险管理架构要求,华北公司建立了包括全面风险管理委员会、全面风险管理办公室、公司各业务部门的组织架构,且在各直属单位建立了同样的组织架构。(2)逐步形成公司风险管理文化:完成《财务风险管理手册》中《资金分册》、《预算分册》、《基建分册》、《会计报告分册》和《产权分册》的编写;完善公司的《风险管理数据检查方案》用于规范各单位的数据使用;制定《华北电网有限公司财务管理定性评价办法》,使综合管理和专业管理相结合,逐步形成公司财务管理评价的制度体系;初步编写完成《华北电网公司财务风险管理使用规范》,规范上线单位和非上线单位的风险管理工作。(3)公司提出“三条主线”的风险管理核心思路:提出指标预警看风险、内部控制查风险、管理评价控风险的核心思路。通过设定指标阀值对风险情况进行分级预警,以此对指标异动分析发现风险;将风险管理活动嵌入在业务环节中,及时发现业务缺陷,促进各单位完善各项内控措施;通过管理评价,促进财务工作标准化、规范化、流程化和绩效评价科学化。
二、华北电网有限公司财务内部控制体系建设的现状
自2009年开始,华北电网有限公司开始建立企业内部控制管理体系。公司与2010年颁布《华北电网财务内部控制手册》,用于规范企业财务管理。财务内部控制手册是对华北电网有限公司有效执行内部控制规范做出的具体规定和详细说明。财务内部控制手册按照公司财务不同业务将财务内部控制划分为15项具体内容:资金管理、采购、收入、工程项目、固定资产与无形资产管理、存货、融资、对外投资、预算管理、生产成本、担保、关联交易、税金、财务报告及信息系统。财务内部控制手册以业务流程为线索,每一项具体内容即为一个业务流程,通过对每一项具体业务的分析,识别财务部在该业务中的风险点,找出或设计应对风险的控制点,以完善财务内部控制建设。财务内部控制手册适用于华北电网有限公司本部、直属公司、分支机构及下属地市公司财务部。手册中国家电网公司总部简称国网总部,华北电网有限公司简称本部,省网公司简称省公司,华北电网有限公司的直属公司、分支机构及下属地市公司简称地市公司。为提高公司财务内部控制执行力,建立健全财务内部控制体系,规范财务管理,防范财务风险,实现国有资产保值增值,促进公司持续健康稳定发展,制定本办法。公司于2010年下半年,正式颁布《华北电网有限公司财务内部控制评价指引》,对各单位财务内部控制体系的建立健全和执行情况,开展调查、测试、分析和评估的工作。同时,公司不断地通过信息化手段促进制度的落实。公司财务风险管理系统建立了财务管理评价子系统,用于对地市级公司及县级公司财务管理工作的评价。管理评价子系统分为:评价指标库和管理评价流程两大功能。其中,评价指标基于国网公司管理内部控制评价指引的要求建立,形成了具有华北特色的业务类别,共有100多项评价指标。管理评价流程基于华北特色,形成了自评打分和二次评价打分相结合的评价机制,更好地体现了评价的科学性,增强了评价结果的可信度。
三、华北电网有限公司财务管理与内控管理的实施
华北电网财务风险管理和财务内控管理的建设分为三个阶段:风险管理咨询阶段、风险管理系统建设阶段、风险管理推广实施阶段。表1是关于风险管理和内控管理的重要时间表。其一,风险管理与内控管理的系统外结合———财务风险管理手册(见图1)。财务风险管理手册作为财务风险管理系统的有机组成部分,其测试结果与系统内特定风险事件相关联,可追溯至特定风险源及相应防控、缓控措施。财务风险管理手册内容架构财务风险管理手册分为资金管理、预算绩效、资产与产权、电价管理、会计核算与财务报告、财务信息系统六个业务分册。每个业务分册包含华北电网对应业务方面的主要业务流程,每个业务流程由若干子流程构成。每个主业务流程包含结构索引、业务概述、华北电网业务概况、流程描述四大部分。(1)结构索引。结构索引为编制本手册的内在理论逻辑。以财政部颁布的《企业内部控制配套指引》为基准,扩展到对应业务点的标准化内控流程———包括控制目标和控制活动及测试方法。在章节的子流程中,控制活动与华北电网的具体业务环节相对应。特定的业务环节作为控制活动保证企业控制目标的实现,并从风险管理角度对应到相应风险事件及防控缓控措施。见表2:结构索引以《企业内部控制配套指引》为基准,为企业内部控制制度的全面性和合规性提供依据。标准化内控流程为内控指引在企业实际业务中的具体运用,包括特定控制目标、保证目标实现的控制活动及针对性的测试方法,有助于检测企业具体业务流程中内控设计的完整性和合理性。对应风险为特定业务环节保证失效时产生的企业经营风险,以及针对风险应采取的事先防控和事后缓控措施。(2)业务概述。业务概述为该业务流程的普遍定义及一般性内容。(3)华北电网业务概况。华北电网业务概况为华北电网该业务流程的特点。包括业务内容特点、业务权限特点、业务范围特点等。(4)流程描述。流程描述为该主流程下的子流程内容细化,每个子流程包含六个部分:一是业务流程图。业务流程图为该子流程主要操作的图形展示。按照业务环节操作关系进行环节编号,表示其先后时间或逻辑顺序。环节编号与下一步内容中的业务环节描述相对应。二是业务环节描述。业务环节描述是对流程图中每一个业务环节的细化描述,包括每个业务环节的操作部门及职位、操作内容、流转单据等,其环节编号与流程图内环节编号对应一致,并与主流程结构索引中的内部控制-控制活动相对应,是标准化内控在企业具体实务作业中的展现。三是业务风险索引。业务风险索引是针对每一个业务流程中的业务环节与控制活动、风险事件建立的对应关系。四是业务记录。业务记录是该项业务进行过程中流转的单据及保存的记录,是内控测试的主要对象。业务记录既包括企业的内部业务单据如支付申请、系统发票等,也包括外部第三方的原始单据如银行进账单、供应商发票等,还包括企业账务处理的记录单据如入账凭证等。财务风险管理手册的业务记录包括单据及其编制人、审核人、审批人及其所对应的业务环节编号,是业务记录与业务流程的对应和统一。五是账务处理。账务处理为该子流程中涉及到的会计处理内容,部分流程如采购合同签订、年度资金计划编制等不涉及该部分内容。账务处理是内部控制手册与华北电网标准化会计核算流程的统一,其目的是为企业的财务信息准确性和完整性提供保证。见表3:六是内控测试数据。内控测试数据为该子流程对应的内控测试内容,是财务风险管理手册系统化的关键内容。其主要包括该子流程中的主要业务记录及流转单据间的逻辑关系。其逻辑关系是通过各记录及单据主要字段间的追踪匹配来实现的。以目前系统内已实现的采购流程为例,采购合同、采购订单、支付申请、资金计划、入账凭证、银行单据等构成采购流程的主要业务记录。对各记录的主要字段进行数据抽取,对照企业业务规范进行测试,对异常记录进行汇总报告。财务风险管理手册宏观上以《企业内部控制配套指引》为基准,微观上落实到流程中的具体业务环节,业务环节描述、业务记录、账务处理、业务流程图中的业务环节通过统一的环节编号相互索引,并同时关联到标准化控制活动及控制偏差引发的风险事件。见图2:其二,风险管理与内控管理的系统内结合———财务风险管理系统。风险管理与内控管理的系统内结合主要体现在:风险基础信息库、风险地图、内控测试、内控任务、日常工作稽核。(1)风险基础信息库。风险信息库是风险识别的成果,把识别出来的风险事件库转化到信息系统中,是整个财务风险管理系统的基础,包括风险管理的所有基础信息。风险信息库有效结合了风险管理体系中的风险事件库和内控管理体系中的控制矩阵。以控制活动与风险事件的对应关系为切入点,把风险管理与内控管理相结合。通过风险事件库的核心风险—风险事件、内控矩阵中的控制活动,搭建风险管理和内控管理的结合点。(2)风险地图。根据财务风险管理手册,结合财务风险管理系统开发风险地图功能模块,把手册中的流程图、业务环节描述、风险点索引、业务记录落地到系统中。通过风险地图上的操作可以查看风险点、分析风险点、测试风险等。(3)内控测试。内控测试是对业务流程中存在的风险点、控制点进行的测试,包括穿行测试和控制测试。通过内控测试发现问题可以在风险管理中进行风险应对。穿行测试是指选择具有代表性的经济交易事项作为测试样本,对贯穿业务流程中所有控制点进行检查的活动。测试的目的是验证风险控制矩阵(索引)中描述的控制活动是否正确,各环节是否按照其相关规定进行运行,是否存在控制设计及执行缺陷。测试对象为流程中各个子流程的所有控制点。控制测试是指根据既定的抽样原则、方法和样本量规定,对控制点是否按照内部控制手册和控制矩阵(索引)的规定持续有效的执行进行检查的活动。测试的目的是确认各子流程中关键控制点、重要控制点、一般控制点是否按照既定的控制设计持续有效执行。测试对象为各个子流程中的关键控制点、重要控制点、一般控制点。(4)内控任务。内控任务是指企业根据内控测试、专项稽核等工作中发现问题,通过内部的自查、抽查、整改进行内控管理的一种机制。内控任务的系统实现如下:通过内控测试报告中发起整改,进入系统中的发起整改页面,可以对相关单位的人员发起整改,并在整改完成后系统自动通知整改发起人。在任务表头可以填写任务部门、计划完成时间、任务岗位等。通过抄送可以把任务说明抄送给相关部门领导。通过内控任务将企业的内控流程固化到系统中。(5)日常工作稽核。稽核本身是企业内部管理的一种手段,日常稽核是对会计凭证、账簿、财务报表等相关会计资料,以及会计岗位设置、会计核算、财务报告、档案管理等财务基础工作的审核,是保障日常财务工作的真实、合法、合规的必要手段。日常稽核的目的是及时纠正或者制止会计核算工作中的疏忽、错误,有效预防差错和舞弊,保证会计信息的真实、准确,提高会计核算工作的质量。日常稽核的系统化本身就是对内控管理落地的一个体现。通过日常稽核的发起、审批、稽核、复核、反馈、评价等完成日常稽核的落地。综上所述,华北电网财务风险管理和财务内控管理的思路、发展情况反映了风险管理与内控管理在系统外和系统内的有效结合。
作者:胡汇 单位:武汉科技大学城市学院
参考文献:
[1]刘晓宏:《外汇风险管理战略研究》,《复旦大学学报》2009年第10期。
[2]杨轲:《中国企业特征与风险管理程度的实证分析》,《会计研究》2010年第9期。
关键词:商业银行 操作风险 产生原因 控制举措
中图分类号:F830.4
文献标识码:A
文章编号:1004-4914(2013)02-208-02
一、操作风险的涵义及其成因
巴赛尔委员会对操作风险的定义是:“由于内部程序、人员、系统的不完善或失误,或外部事件造成直接或间接损失的风险。”因此,操作风险密切相关的四个要素是:人、流程、系统、外部事件。近年来,随着监管部门监管力度的加大、商业银行风险管理的普遍加强以及全社会信息透明度的日益提高,商业银行暴露了一批职务犯罪、金融欺诈、违规操作等违法违规违纪案件,尤其是一些大案要案,金额巨大,情节恶劣,给国家造成了重大经济损失,也给银行业信誉带来了损害,严重影响了金融安全和社会稳定。操作风险几乎覆盖了商业银行经营管理的各个方面,操作风险主要表现在:可预计损失的风险。即银行在日常的营运活动中比较频繁地发生的失误或错误而导致损失的风险。这些风险发生的概率比较小,但严重程度一定很高;灾难性损失的风险,即银行在经营中所遭受突如其来的内部或外部对银行的生存产生直接影响的风险。这种风险发生的概率极低,但是其后果非常严重,足以使银行破产或倒闭。
造成操作风险的原因主要有以下四个方面:
1.银行董事会治理结构有重大缺陷。一是所有者虚位,导致对人监管不够。二是内部制衡机制不完善,董事会、监事会、经营管理层没有真正起到相互制衡作用。三是存在“内部人”控制现象。由于治理结构不健全,很容易导致高管人员的道德风险。分支行主要负责人的权力过大,也容易形成“内部人”控制的局面。四是内部控制能力削弱。由于商业银行内部管理链条长、层次多,信息交流不对称,又没有良好的全流程监控,致使分支机构潜伏问题令人防不胜防。
2.风险管理制度建设不到位。一是在发展与风险控制关系上重发展轻控制;在任务执行上重领导托办轻制度规定;在操作流程上重习惯轻流程,使制度建设不能有效落实。
3.内控制度建设不完善,惩治不力。一是没有形成系统的内部控制制度,重点部门和要害环节控制不到位,业务开拓与内部控制建设不同步。二是内控制度的整体性不够。对所属分支机构控制不力,对决策管理层缺乏有效监督。对业务人员监督较多,而对各级管理人员监督较少、制约力不强,内控制度缺乏刚性。三是内控制度的权威性不强,惩治力度不大。四是部分分支机构内控制度执行不力,有章不循、违规操作时有发生。
4.金融创新与金融风险并存。商业银行为扩大市场份额,不断推出金融新产品、新业务和新服务举措,使产品、业务和服务的复杂程度不断提高,如果内控制度没有及时跟进,就会引发新的操作风险。商业银行业务的电子化、自动化程度的提高,使银行在各个地区的经营和各项产品的经营紧密地联系在一起,若系统建设滞后就会使总行难以对分支行进行内部监控,如果银行的电子化处理系统出现问题,很可能导致严重的甚至灾难性的后果。
二、加强合规制度建设,防控操作风险
商业银行是风险行业,分散化解金融风险是金融业的重要职能,防范风险是商业银行永恒的主题。当前,在同业竞争日益加剧,内部改革不断深化,外部监管不断加强,银行必须加大操作风险防控力度,扎实推进合规制度建设,深化内部体制机制改革。
1.完善公司治理结构。完善公司治理结构是商业银行改革的核心。完善股东会、董事会、监事会及经理班子合理的制衡管理架构,加强制度约束,有效降低内部关联交易和内部人控制的道德风险。
2.建立集中化、扁平化、专业化的风险管理体系。在战略规划、营销、决策、信息等方面,积极探索和尝试集中化、扁平化和专业化管理模式。加速业务流程整合,实施业务集中规范管理;建立覆盖全面业务、部门的信息管理系统;推行客户经理制、产品经理制和风险经理制,确保风险管理尽责到位。
3.理顺风险控制部门和其他职能部门的关系。加强操作风险管理与信用风险、市场风险和流动性风险管理的沟通,防止出现风险管理真空或重复管理。创造条件实施对业务部门和分支机构合规人员实施派驻制,前移风险控制关口,增强风险管理的独立性和有效性。
三、加大法律合规制度建设
合规风险管理是指银行规避违章事件发生,主动发现并采取适当措施纠正已发生的违规事件的内部控制活动,它是构建银行有效的内部控制的基础。
1.合规经营是促进银行业务健康发展的内在需求。国内外许多实践证明,严重的合规缺陷会给银行生存造成致命的威胁,而健全的合规管理可以增加企业的竞争力,提高银行业务效益,提升银行声誉。如果银行无视这些行为准则而违规经营,轻则给银行自身带来经济、声誉的损失,重则会影响到银行的生存发展。
2.加强合规风险管理是强化银行内部治理需要。一家先进的银行必须有良好的合规制度做支撑,否则银行想确立战略目标很困难。如果商业银行的从业人员对银行内部规章视而不见,很容易导致重大违规事件甚至违法案件的发生。
四、加强银行合规建设的举措建议
1.加强合规制度建设。要遵循“标本兼治、重在治本”的原则,根据“一项业务一本手册,一个流程一项制度,一个岗位一套规定”的要求,认真做好对现有规章制度的评估梳理、修订和完善,健全完善各项管理制度和业务操作规程,为有效防范操作风险提供制度基础。
2.健全监督纠正机制。健全授权授信体系,实行统一法人管理和授权;建立必要的职责分离,横纵向相互监督的制度;明确关键岗位、特殊岗位、不相容岗位及其控制要求,积极开展内部控制评价,形成合理的内控管理激励约束机制;充分发挥职能部门自律监管和内部审计的作用,采取多种形式积极排查各类风险隐患,并对检查中发现的各类违规违纪问题,加大责任追究力度。
3.完善合规风险管理长效机制。建立和完善合规风险管理长效机制是合规管理目标实现的重要途径。合规绩效考核制度、合规问责制度和诚信举报制度是合规风险管理长效机制的三个支柱性制度。建立科学的合规绩效考核制度,将银行整体绩效、团体绩效和个人绩效有机结合,建立与岗位职责相联系的合规绩效目标,构建“合规创造价值”的目标导向,落实激励约束,实施有奖有罚,充分体现银行倡导合规与惩处违规的价值理念,使合规风险意识真正贯穿于整个业务流程。切实有效的合规问责制,是解决有章不循,有规不循的关键。建立诚信举报监督制度,为员工举报违规、违法行为提供必要的渠道和途径,鼓励员工举报不合规行为,强化对违规行为的有效监督。
4.以人为本,充分重视人在合规建设中的作用。银行经营管理诸多要素中,人是最基本最活跃的因素,人既是管理的对象,又是管理的动力。健全的体制要靠高素质的队伍去坚持和完善,现代化的管理技术和手段要靠高素质的队伍去掌握和运用。
要改善合规人员配备,加强合规队伍建设。一是选拔有一定资质、经验、从业经历和专业素质,能正确执行法律、规则和标准,具有诚实正直品格的人员充实到合规人员队伍中。二是强化全员合规培训,提高一线员工和管理人员的合规能力,逐步具备与岗位合规要求相匹配的职业素养,更好识别和控制合规风险。
参考文献:
1.陈元富.商业银行内生性操作风险生成机理与防范对策.现代经济信息,2011(4)
2.胡昆.商业银行风险管理文化建设的思考,华南金融电脑,2008(12)
3.谢应东.我国商业银行风险管理文化的陪育和发展.金融与经济,2006(8)
4.窦洪权.银行公司治理分析.中信出版社,2005
发起行对村镇银行的垂直风险管理体系
《指引》规定“农村中小金融机构可根据业务发展需要设置首席风险官(风险总监),首席风险官负责分管风险管理条线工作,不得分管前台业务工作,直接对行长(主任)负责”。结合发起行对村镇银行的管理职责,发起行可通过派驻村镇银行首席风险官方式,对其发起设立的村镇银行实行垂直、独立的风险管理。派驻村镇银行首席风险官向发起行及村镇银行董事会、行长负责,在发起行村镇银行管理总部及村镇银行行长领导下开展工作,属于村镇银行经营层,接受村镇银行董事会及所在地监管部门的高管资格审定和考核。借鉴《指引》相关规定,发起行派驻首席风险官对村镇银行的风险管理目标是“三个确保”,即确保持续发展、确保审慎合规经营、确保风险可控。
推行派驻村镇银行首席风险官模式后,发起行对村镇银行的垂直、独立风险管理组织架构可分为三层,分别是发起行村镇银行管理总部、派驻村镇银行首席风险官、村镇银行风险管理部。风险管理组织架构及报告路线如下图:
发起行村镇银行管理总部的垂直风险管理
一是制订并下发发起行对村镇银行的风险管理政策或意见。通常包括信贷投向、信贷结构、行业及客户限额、流动性管理指标、合规与操作风险控制要求等,对村镇银行的业务发展、内控建设与风险管理提出方向性意见。村镇银行管理总部对此意见进行督促落实。
二是按月开展非现场风险指标监测,对村镇银行进行风险预警和分析。村镇银行须定期向发起行报告相关风险指标监测表,前期指标主要包括信用风险指标、流动性风险指标和限额指标,如指标发生异常变化则下发风险提示书或整改意见书,进行调整或控制。
三是指导各村镇银行首席风险官开展风险排查并要求其上报风险报告,以便全面了解和掌握村镇银行内控、合规与风险管理情况,进行风险监测和指导。
四是针对业务异常变化或风险指标变化,组织风险、合规人员进行现场风险排查或专项业务检查,有效识别和控制风险。
五是制订并推动实施村镇银行内控评价办法和实施细则,按年组织审计人员对村镇银行开展全面内控审计评价,对村镇银行内控及风险管理情况进行稽核监督,持续跟踪管理变化,并对发现问题下发审计整改意见书并进行后续审计监督。
六是开展以内控及风险管理为核心的绩效考核。通过设置贷款五级分类准确性、不良贷款率、成本收入比、人均工资总额、贷款拨备比率、发起行内控评级、监管评级等指标,引导村镇银行全力构建符合村镇银行特色和监管要求的风险管理机制,达到稳增长、控风险的可持续经营目标。
派驻首席风险官对村镇银行的垂直风险管理
派驻村镇银行首席风险官应按照《指引》规定,负责村镇银行内部垂直、独立的风险管理机制和组织体系建设,并对风险进行统一、垂直、全面管理。具体工作如下:一是牵头组织拟订村镇银行所需各项风险管理制度、流程,并推动实施。二是组织推动村镇银行内部控制体系建设,督促建立健全内部控制体系并组织监督检查。三是组织开展村镇银行各项风险识别、评估、监测、检查及控制工作;指导风险管理部制订各项风险管理计划。四是组织开展村镇银行授权管理,并对授权工作执行情况进行监督检查。五是组织实施村镇银行授信客户信用评级、信贷资产分类及不良贷款的管理,组织授信业务审批、管理,负责村镇银行授信审批委员会工作。六是负责指导村镇银行风险管理部配合财务管理部门开展全行流动性风险管理。
同时还负有以下职责:一是组织落实发起行对村镇银行的风险管理政策、制度及相关要求,推进村镇银行按照发起行要求和自身市场定位开展业务及风险管理工作,并实时监督、检查执行情况。二是负责定期、不定期向发起行进行独立风险报告和预警。三是配合发起行对村镇银行开展风险排查、审计稽核工作。
为确保有效履行上述职责,派驻首席风险官应赋予超出一般高级管理人员的更广泛地知情权、审贷一票否决权、检查监督权、独立报告权、处罚权等权力。
村镇银行内部的垂直风险管理
村镇银行内部的风险管理应设置“三道防线”,《指引》规定“各业务部门是第一道防线,负责本部门和本业务条线风险管理的日常工作,对本部门和本业务条线的风险管理负第一责任”,第二道防线是首席风险官领导下的风险管理部门(在村镇银行规模较小时与合规部门合并设立),第三道防线是审计部门(见上图)。同时,按照《指引》规定,风险管理部可通过向业务部门或分支机构委派风险管理人员实施垂直、独立的风险管理。委派的风险管理人员独立实施风险审查,直接对风险管理部门负责。村镇银行垂直、独立、集中的风险管理架构如下图:
发起行对派驻村镇银行首席风险官的垂直管理
一是为了确保发起行对村镇银行风险管理的独立性、有效性,派驻村镇银行首席风险官人事关系应隶属发起行,由发起行村镇银行管理部门秉承“统一管理、统一调配、统一考核、统一薪酬”的原则对其进行人力资源管理工作。
二是派驻村镇银行首席风险官应推行定期“轮岗制”。从增强首席风险官的风险管理能力及防范单体风险的角度出发,应进行定期岗位交流,在同一村镇银行连续任职时间不应超过两届。
三是绩效考核。发起行应负责对其进行绩效考核并发放薪酬,基本薪酬应参照村镇银行高管设定,绩效薪酬考核应遵循“注重实绩,结果考核与过程考核相结合,定量考核与定性考核相结合,发起行考核与所在村镇银行考核相结合”的原则确定。考核内容可以围绕村镇银行风险管理机制建设的核心指标设置,同时参考村镇银行监管评级确定,以有力促进村镇银行风险管理能力提升。指标设计时至少应包括以下内容:内控体系建设(以发起行内控评价为准)、监管评级、风险报告、贷款资产风险分类偏离度、不良贷款率、不良资产处置率、重大事项报告及时有效性、案件及责任事故等。
实施派驻首席风险官制的成效分析
通过石嘴山银行对发起设立村镇银行派驻首席风险官与派驻前的实践对比,派驻村镇银行首席风险官机制在促进村镇银行风险管理机制建设方面取得了以下成效:
一是由于村镇银行更多地考虑所在地政府及股东的影响,在市场定位及信贷投向方面有可能发生不同程度地偏离,通过派驻首席风险官的统一控制,能够更好地坚持村镇银行的市场定位和信贷政策。
二是由于受股东回报率的影响,村镇银行可能会追逐短期利益,通过派驻首席风险官制度,能够更好地执行审慎经营原则,严格按照监管要求和发起行风险管理政策合规开展相关业务工作,更好地选择忠实稳定的客户,促进村镇银行稳健发展。
三是当前村镇银行大多实行总行风险管理部统一风险审查、集中管理的模式,在风险管理的独立性、及时性上存在一定缺陷。通过派驻首席风险官制度,一方面推进了总行授信审批委员会的独立性与有效性,另一方面通过在支行派驻风险经理模式,提高了支行授信审批效率,统一了全行合规与风险管理理念。
四是通过派驻首席风险官制度,推进了发起行风险管理政策的有效执行,促进了村镇银行独立、垂直、集中的风险管理体系建设,促进了村镇银行有效实施全面风险管理。
一、风险管理与内部控制两者的联系
内部控制产生和发展的主要动力是因为企业存在又风险,两者之间是不可分离的关系,两者之间的结合是可以有互补作用的,两者相辅相成可以使企业长久平稳的发展。首先,内部控制与风险管理的组成有相同之处,风险管理中的要点五个与内部控制的要点重合。其次,它们的工作都是全体公司人员参与。第三,它们工作的目标是相同的,风险管理的管理策略是在内部控制制度的基础上添加的。第四,风险管理是内控制度的目的,内部控制是企业实施风险管理的有效手段,就我国现状而言,两者之间还没有比较相同的观点。但是我国现在认同的观点是三种:第一种是认为内控制度中包括有风险管理,内部控制包含的内容远远多于风险管理;第二种观点恰恰相反,他们认为内控制度含于风险管理;第三种观点认为两者没有什么区别,风险管理等同与内部控制。笔者认为,内部控制、风险管理是相互关联的,两者之间互相影响、互相约束,风险管理可以控制内控制度是否可以去有效的实施,而内控制度就是风险管理的目的,为了更好的实施管理制度与目的,所以应该将他们结合起来。
二、风险管理视角下企业内控制度建设存在的问题
(一)内控制度滞后
我国很多企业的内部都有环境不够理想的问题。根本的因素就是公司的管理层对内部控制不了解,不明白它的重要性,不知道它的积极作用,一味的追求业务规模和发展速度,都不去重视内控制度的作用,使得内部控制发挥不出应该有的作用,内部控制的实施也没有达到应有的效果。如在财务管理方面,企业领导者掌握着财务大权,但却不熟悉财务管理理论与方法,在实际操作中越权行事,内部控制制度、稽核制度形同虚设。又如在固定资产管理方面,一些房屋建筑没有经过实际论证就上马修建,但建成几年后就闲置起来,造成资源浪费,还有一些适当维修后就可继续利用的设备,被随意放置,提前报废。也有一些企业存在治理结构不合理的问题,比如企业管理人员的水平过低、经营和管理能力不够等等,也缺乏完善的治理结构;再次,员工们的品质是重要的,因为它会影响团队的合作效果,同时员工们也缺乏创新。所以,公司的任职是很重要的,它直接的影响到公司内控制度是否能够真正的实行下去。
(二)风险管理体系有待健全
管理体系在内部控制中占有重要的地位,从内部控制的角度来看,企业要自主的去判断风险,预计有可能到来的风险,才能制定出合适的策略去躲避风险,降低风险几率,就目前来看,本国的防范风险意识都很差,没有一个健全的方法去评估风险,也没有建立判断、评估和管理风险的专业部门,用来采集风险信息,不时的调整策略的应对风险。我国很多企业的风险评估机构、提前预警机构、风险处理机构都不完善,没有完整的风险管理系统,预防风险的实施力度不够大。为了更好的利益,很多企业以高风险为代价进行违经营,这就将公司的风险率提高了。更有可能会导致公司损失财产,制约公司以后的发展。
(三)内控执行不到为
内控执行到不到位也会影响企业的发展,同时它也会对企业内部相关管理和控制的策略的实行、企业经营目标的实现产生影响。如果说内部控制机构是人的大脑,那么全体的员工就好比是执行原件,企业内部执行的力度不够,即时内部控制机构制定的制度再完美也只是个形式而已。很多企业都制定了大量的规章、制度,但是也仅限于记录在册子上,没有去认真的执行到位,有些公司的员工缺乏风险管理念,对它没有一个正确的认识,只是为了应付企业的规章制度。更有些企业在内部控制制度的设计就存在问题,一直执行的是存在问题的内部控制制度。同时,公司员工的认知不够彻底,从而导致内控制度起不到应该有的效果,还有的人员的素质就不过关,根本无法达到内控所设定的标准。公司都是高层制定的制度,公司内部控制的制度同样没有办法约束这些高层,所以,高层应该有一个好的态度去执行内控制度,这样才能起到带头的作用,给公司制造一个良好的环境,下面的工作人员才会认真执行到位,所以,高层对于内控制度的认知是至关重要的。
三、基于风险管理的企业内控制度的构建措施
企业应按照相关《基本规范》《配套指引》的要求,根据企业的实际状况,设定一个好的管理体系,可以有效的去实行内控制度,有利于企业向着更好和更高的目标发展。具体来说,可以按照以下的几方面付诸实施:
(一)强化内部控制力度
首先,内部控制的重要环境因素之一就是风险管理理念,它可以体现出企业经营者对风险的态度,更重要的是它还影响着企业的经营目标。企业必须将风险理念贯穿到各个环节,如在企业招投标中,应派遣专业人员确认投标企业的资质,历史,信誉,能力等,避免低价中标等现象的出现。第二,建立完整企业的法规治理机制。完整的企业法规治理结构是内部控制和风险管理制度实施的重要手段。要想充分的发挥出管理机构在内部控制中的核心地位,还应该设计专门的机构来应对特别事项。如在财务管理中,应明确企业各级人员的权责,重大财务事项纳必须经过讨论和审批,财会部门要发挥好监督作用,企业领导应起决策指挥作用,而非事必躬亲。第三,完善企业的人力资源管理机构,企业的核心工作人员是广大员工,人才是发展的硬道理,为了公司可以更好更快的发展,设计一个激励公司员工的体系势在必行,在设计企业文化制度上,应该融入道德观和价值观,关注全体员工对企业核心价值的认同感,企业经营管理行为与企业文化的一致性以及员工对企业未来发展的信心,要考虑到员工对于企业的情感,员工与员工之间的情感,让他们多交流,提高对公司的感情,这样他们才会自觉的实行公司的防范风险制度。
(二)完善风险管理体系
企业风险管理是指企业对于风险管理的制度,员工们对制度执行的情况。企业完善风险管理体系的首要目标是培育良好的风险管理文化,建立健全集团风险管理体系,高层人员应该与底层人员有相同的标准,不能因人而异,提高他们的防范风险意识,这样才能建立一个符合公司标准的内控制度。完善的风险管理体系首先应该可以识别企业面临的各种事项,区别机会和风险,使引导管理层做出正确的策略。如在“三重一大”、企业大额投资等重大事项方面,企业领导班子必须以会议的形式进行集体讨论,做到制度化、规范化、程序化,保障决策过程与结果的公正、民主、合理。其次,应该建立持续、动态的风险评估制度,也就是衡量企业所面临的危险对企业有多么大的影响,确定企业是否可以承受该风险,并根据风险采取相应的措施。如在企业大额投资中,企业必须成立由领导带头,专业人士组队,审计、财务部门监督的管理小组,对投资的各个环节实施全过程审计。应该注意的是,评估是一个持续的过程,因为企业所面临的危险是持续变化的,需要对其进行持续的变量评估。在制定了相应的政策之后,各个执行单位应该做到多交流,互相要了解,这样才能有效的发挥出所制定的策略,有效的实现内控制度。同时,设定一个奖励机制,用来鞭策、鼓励员工,这样可以使内控制度得以有效进行,同时也可以加大了风险防范的实施力度。
(三)设立内部审计监督
内部审计保障内控制度是否能够执行到位,设立一个公平的内部审计系统,它主要负责监督、评价、咨询以及审计工作。内部审计监督人员必须要积极的参与到企业的各个工作环节当中,从5要素入手结合企业业务特点和管理要求对各种事项以及风险进行专业的全面评估,给管理层提供有价值的内审意见,尽最大的努力把企业风险损失率降至最低。内审监督的前提是必须有足够的权威性,所以内审监督工作必须是独立的,内审的人员必须保证公平公正的态度,这样设立的内部审计才有意义,要不然就只是形式而已,内部审计的建立是是服务于内控制度,它的目的就是让企业可以实行内控制度到位,让企业向着更好的方向发展,在未来的道路上可以越走越远,提高员工的防风险理念,同时,审计机构的设计需求严格,人员公正,做到具体化。
(四)健全外部监管
外部监管机制就是内部控制的强制执行方式,完善外部监督可行方法是加强内部控制信息的自我披露。内部控制信息自我披露的作用是使公司更加的清楚企业内控制度的设立和实施效果,以及实施过程中所存在的缺陷,然后加以完善。通过内部信息的自我披露,外部监管人员了解执行过程中所存在的问题和缺陷,同时加以完善监管。针对一些企业制度执行不力的问题,监管机构应该出台一些相规范和指引,强制企业的人员去执行,同时也要加大对披露虚假内部信息的惩罚力度,更好的完善外部监管机制。
对于中国的大多数企业而言,内部控制更像是一个昂贵的“消防栓”,付出成本进行内控体系、流程和规则搭建,主要是为了应付合规需要和突发事件,能把内控做到形具而又不拘于形的企业不多。在过去的二十多年,从体制、机制到企业文化,中国平安不经意间将内控――这一高深的管理艺术熟谙,已经成为内控和风险管理领域的杰出标杆。
公司治理是内控的核心保证
“内部控制,简单说就是确保集团运作过程中不出问题。”叶素兰说这番话时嫣然一笑。
这位中国平安集团总经理助理兼首席稽核执行官看似轻松的吐露,其实潜藏着一份胸有成竹。谁都清楚,面对保险、银行、投资三大板块业务,近11000亿元的庞大资产,其间对风险的防范需要何等的控制力。而事实上,中国平安就凭借着卓越的治理、高效的风险管控和高速成长的经营业绩,已经成为中国金融业的一面旗帜,一根标杆。
作为金融国际化的先行者,中国平安不断吸收引进境外金融业巨擘成熟的管理经验,实现了从运营、管理和治理脱胎换骨的进化。2002年10月引入汇丰集团这个战略投资者之后,公司风险管理和内控体系的完善,也很自然地融入汇丰的理念;2008年6月,随着《企业内部控制基本规范》的正式,平安率先落实内控法规要求,进一步整合升级内控体系,形成了自身鲜明的特点。
目前,中国平安建立了“集团控股、分业经营、分业监管、整体上市”的组织架构。其中,集团的定位是“有所为,有所不为”,创造集团整体协同价值,发挥战略方向盘、经营红绿灯和业务加油站的作用,落实到董事会层面,负责战略决策,合规风控,代表股东管理和分配资本,并行使监督职责等;集团和监管部门共同构成双重监督体制,各金融子公司分业经营,分别接受对应监管部门的监管;子公司间设有严格的防火墙,严控治理风险、资金风险、财务风险、信用风险、交易风险、信息风险等的传递与系统性风险;集团由于整体上市,公司治理层次清晰、运作透明、信息披露真实及时全面,可以有效根据发展需求动态、均衡配置资源,降低整体风险。
集团董事会专设“审计与风险管理委员会”,由6位独立董事组成,领导集团内控管理中心,与运营、产品等业务模块独立。内控管理中心下辖合规部、风险管理部和稽核监察部,由集团总经理助理兼首席稽核执行官统领履行职责。内控中心将内控嵌入业务和流程,融入日常化运作,确立了内控评价机制,确保实现内控人人参与、合规人人有责,同时实现内部控制体系的整合升级。
据悉,中国平安目前从集团到各子公司,甚至各子公司的分公司,都已基本搭建完成内控和风险管理的架构和体系,确立了以“促进整个集团有效益可持续健康发展”为公司内控与风险管理的战略定位和长期目标,建立了“覆盖全面、运作规范、针对性强、执行到位、监督有力”的“三位一体、三道防线”风险管控运行机制,确保集团并督促子公司经营管理合法合规、符合监管要求,确保单一/累积风险低于公司可接受水平,确保整个集团健康持续发展。
“三位一体、三道防线”主要是体现了在风险管控过程中的角色与职责划分,协作与联动机制,不同企业会有不同的内涵、外延和组成形式。据介绍,平安根据各类相关法律法规和监管规定,风险管控要求,以及综合金融战略发展与经营管理需要构建了符合平安实际情况的风险管控的组织架构、职责分工和协同机制,并在平安规范的公司治理,清晰的集团定位,紧密的集团管控,强大的执行力文化基础上履行职能、紧密配合、彰显价值,有效管控风险,树立典范和领先。平安的“三位一体”是三个专业部门在风险管控过程中分工、配合与协作,是强化事前、事中、事后风险管控三个环节的功能,通过建立与完善制度机制、技术平台、监督和文化,提升风险管控的水平和价值。其中,合规部门主要履行“风险事前策划应对”;风险管理部门主要履行“风险事中监测控制”;稽核监察部门主要履行“风险事后监督报告”。“三道防线”反映了平安的风险管理策略,业务部门是第一道防线,通过建立内控评价与考核问责,将内部控制与日常经营管理融合,嵌入业务和流程,确立内部控制的核心驱动力,将风险管控尽可能的前置。合规部门和风险管理部门是第二道防线,稽核监察部门是第三道防线。同时,平安聘请国际会计师、国际咨询公司等外部独立机构定期对公司进行独立审计、对内部控制的有效性进行独立评价、对风险管理体系的进一步完善和优化提供咨询与建议。金融企业经营的是风险,作为综合金融集团的平安更是如此。对于风险管控,平安善于将合规的制度基因植入流程,流程嵌入系统。通俗地说,就是把复杂的事情简单化,简单的事情流程化,流程的事情标准化,标准的事情IT化。
在集团层面,平安建立了统一的风险定义和分类,统一的风险计量和汇总方法,为集团风险的并表管理打下了基础。“每家子公司都有风险监控的体系,在集团,我们主要是并表管理,每季度进行压力测试。某些风险在单一子公司可能不是问题,但并表到集团,就有可能变成高风险。”叶素兰表示。
凭借着丰富的信息系统管理经验,她善于运用“风险热图”监控风险。“我们现在的常规稽核完全是风险导向的。我们每年把过去一两年发生的风险做成风险热图,通过绿橙红等标示不同风险等级的颜色,能够直观发现整个系统内哪些风险点比较高。而平安的全国运营管理中心也在实施很多非现场的监控和风险预警。”
为了持续改进,集团内控管理中心每年都会对一些重要的流程进行评估,检视流程有没有因为新的业务、产品而产生新的风险。目前,平安还正在实施国内首家综合金融集团全面风险管理(简称ERM)项目,覆盖投资风险等主要风险类别,结合动态风险量化工具和技术,设定相应风险预警限额,完善限额监控机制,为科学合理地建立公司风险偏好体系提供尽可能全面准确的风险动态量化分析,确保单一/累积风险低于公司可接受水平。“我们现在是并表管理,希望以后变成一个可以在后台的监控,更好地动态度量风险。”叶素兰说。
事实上,类似三道防线的说法在国内其他企业并不鲜见,为什么有些企业的重大风险屡屡出现?“做好内控和风险管理工作的核心,是治理架构和发挥人的作用。”集团董事长马明哲指出,只有董事会及下属专业委员会充分发挥作用,高管层高度重视自觉参与,并且守规矩去做每一件事,才能真正做好内控。
叶素兰透露,为了持续完善和改进内控与风险管理,中国平安目前着力打造专业高效内控管理团队和不断创新内控管理手段。创新的内控管理手段包括内部控制有效性评估、三位一体风险管控、全面风险管理、战略项目合规支持与“四新”合规评审、风险并表管理、动态风险监控与预警、专项/远程/突击/IT/任中审计、机构风险评级与管理层评价、强大的IT系统支持、红黄蓝牌处罚、内控/案件问责等11个方面。创新手段为主导,常规稽核重点转为风险导向合理化建议。
“公司如果不守规矩,代价就太大了。任何单位和部门一旦有重大案件发生,就可能会失去业务或机构拓展的机会或资格,从而会影响发展速度。证券部门则会评级下降,丧失推广新产品的机会。个人也一样,集团高管大约一半来自海外,包括我自己,如果事业上有任何污点,将影响我们未来的职业生涯。”她感言。
自上而下合规理念的渗透、传递和内化,背后彰显着强大企业文化的生命力,而“法规+1”则是践行这一文化的行动准则。在2003 年度的系统工作会上,马明哲董事长提出了“法规+1”的概念。法规有明确规定的,坚决严格执行;法规未明确规定的,按照更高的道德自律标准确定行为规范,坚决“不打球”,不钻政策空子,要保证公司的经营行为经得起任何法规、时间和道德标准的考验。换句话说,“法规+ 1”就是要用高于法规原则的道德标准来处理事情。或许有人认为企业做到“遵纪守法”就够了,为什么还要提出“法规+ 1”的概念,用高于法律的道德标准给企业套上“笼头”,这不是给自己“找麻烦”吗?马明哲董事长说这是“建设最高道德标准企业”对我们提出的要求。
中国平安一直在全系统不遗余力地倡导和建立“自觉合规、健康发展”的内控环境与文化,眼下“不敢违、不能违、不愿违”的合规意识深入人心。“不敢违规,是因为检查很容易发现问题,包括在线远程的异常指标提取和分析,威慑力是很大的。如果干坏事就会被发现,侥幸心理大大降低;不能违规,说的是通过制度、机制等,让人没有做坏事的机会,或者无法一个人完成;公司通过文化、激励机制引导,也让员工不愿意违规。”集团合规部副总经理张云平表示,中国平安倡导“内控合规使你持续成功”,合规并不是简单的提出问题,还要帮助解决问题。“内部控制与风险管理工作不仅仅是公司和专业内控部门的事情,它和每一位员工的利益密切相关,它按统一标准建立起员工履职尽责的记录、树立个人品牌、获取他人信赖,它使员工职业生涯更安全更长久,它鼓励员工寻求最佳实践、提高工作效率。”张云平解释说。
内部控制和风险管理已然领先的平安备受外界关注。除了境内外媒体的赞赏评奖不断外,来自央行等国内权威部门和行业巨头也纷纷调研取经“平安模式”。但公司并未就此止步,采访中记者获悉,集团内控管理中心已经有了一系列新的计划安排,月底还准备到香港的廉政公署考察取经。
改革、创新与风控,被平安视作有效益可健康持续发展的永恒主题。如何妥善处理三者之间的关系?董事长马明哲颇有远见地指出,随着社会经济的日益繁荣与发展,科学技术的进步,人们生活水平的不断提高,生活节奏的持续加快,引发了消费者对金融产品和服务需求的变化,这成为金融创新的核心推动力,也促使“金融超市”、“一站式金融服务”等综合金融成为发展趋势。平安始终致力于探索“综合金融”道路,坚持“在竞争中求生存,在创新中求发展”。当然,创新会面临风险,会存在诸多障碍与问题,但平安仍将瞄准国际一流现代金融企业的经营管理机制标杆,践行“法规+1”、风险管控与健康发展,持续提高抵御风险的内控机制保障能力。
三位一体保驾运营
董事长马明哲曾说过,“小胜靠个人,中胜靠机制,大胜靠平台。要取信于人,一定是一个系统工程。平台,是所有方方面面的整合。”平安的内控和风险管理体系具体究竟如何运转?
在内控体系中,根据定位,合规部门主要履行风险事前策划应对,具体包括战略合规支持、合规评审、合规风险提示、合规检视、制度体系完善等;风险管理部门主要履行风险事中监测控制,包括风险量化监测、风险预警追踪、风险评级应对等。而稽核监察部门负责违规案件查处、经营效益审计、红黄蓝牌处罚、风险事后监督报告和内控文化建设等。
在中国平安,事前事中事后的风险管控已经融为一体。首先在“事前”进行风险识别与评估,定期更新、维护风险列表,分析法律法规、监管规定和行业自律规则的变动情况,提示风险出现的可能和应对策略;在“事中”执行统一的风险管理政策、风险指标和实施标准,监控和报告异常风险情况;在“事后”通过垂直、独立的稽核监察架构,实施风险导向的稽核审计,实地查处,威慑违法违规人员,执行事后惩戒机制,并通过审计工作平台、预警系统,实现稽核的阶段性监督向日常性监督转变,发挥风险监控最后防线作用。
“我们是前瞻性地创新合规内控,确保风险持续可控。内控做得不好,我们有问责措施,这是跟业绩挂钩的。”叶素兰认为,“事前风险的管控很重要,价值很高。”
形与神各具,平安集团旗下各子公司的内控既统一于集团整体,又颇有各自的神韵,严格合法合规、风险可控,确保有效益可持续健康发展。
其中,已成功跻身国内第二大产险公司的平安产险,继实现“健康超越”后,今年又提出打造“行业典范”的鲜明口号。“合规经营”就是“行业典范”最重要的内涵之一。
“我们合规管理方面有三项重要措施:首先是实行对制度出台前的合规评审,特别像平安产险这么大的公司,总部细分为二三十个部门,管理制度上难免产生一些交叉甚至冲突,我们在2008年初就出台了新制度合规评审办法,每出台一项制度,都要符合国家有关规定和公司内控合规管理的要求。”平安产险董事会秘书王仕永介绍说。
其次是系统的制度管理平台,这是平安产险的一个创新。这个平台按部门、业务对外部监管和公司制度文件进行归集索引,还融合了公司的组织架构和各业务部门的作业指导,共4大模块,所有制度文件和工作流程,在这个网络平台上集中管理、实时更新,非常易于查找,目的是让员工及时掌握和执行公司制度,做到有章可循。
内控评价和合规检视也是合规平台的重要举措。“我们分别从公司层面和具体业务流程层面,定期对经营管理中的风险点进行识别和评估,并运用集团统一的内控评价系统平台统一管理,通过抽取样本覆盖来测试控制效果的好坏,测试结果都显示在系统里,而集团内控管理中心也能一目了然,这就能够很好地掌握公司内控状况。”王仕永表示,内控评价时,公司严格规定了程序和工具,甚至包括具体业务环节的细致入微的风险信息、控制措施及针对每一个控制点的具体测试程序,“有严格的工具和表格保证内控测试结果不是拍脑袋出来的,而是经过严格、扎实地测试出来的,能够反映实际内控体系设计和运行状况的”。
平安产险合规部除了日常工作以外,还有一个重要职责是开展合规培训教育,提高全员合规意识。部门定期汇总编辑一份《合规动态》,使员工能够及时接触到最新的政策法规、合规理念和实际案例。
2009年2月,新《保险法》出台,更加强调保护被保险人的利益,同时拓展了资金运用的渠道,强化了监管的力度。对于新《保险法》和旧《保险法》之间的差异,集团法律部门制作下发了一个详细的解读,但产险公司不满足,重点抓学习效果和实际落实,借此深入推进合规经营。“集团全系统的知识竞赛一共设六个奖项,平安产险得了其中五个奖项。”
平安产险管理层非常强调合规从高层做起、从干部做起,每年都组织合规知识竞赛等活动。更绝的是,平安产险的所有干部,不分年龄大小、资历深浅,都必须参加新出台的法规知识的闭卷考试。为此,公司搭建了相应的学习及考试平台,每个人必须从自己的账号登录学习参加考试。考试结束张榜公布成绩,优异者的“奖励”是一摞法规书籍。
王仕永丝毫不怀疑考试的重要性和作用。“合规经营,干部的观念和法规知识水平是关键,全员合规意识是基础,通过学习平台和知识竞赛、强制考试,平安产险的全员合规意识和法规知识得到提升,这是平安产险提高合规管理水平的重要手段。”
平安银行的内控实例
作为中国平安的子公司,平安银行其实还是一个新生的银行。从2007年平安集团整合前深圳商业银行算起,到现在也就三年的时间。甫一开始,集团就空降了豪华的外籍高管团队。如果说开始是为了更好的国际化,现在,平安银行则实现了更好的相互借鉴、相互促进,实现了国际化背景下的本土化成长。
由于银行业的风险具有累积性和突发性的特征,因此,必须要有一个强大的风险管控机制来支撑企业的可持续发展。平安银行代行长叶望春指出,这两年,平安银行的评级从五级提升到两级,其中一个不可忽视的因素就是认真落实监管部门对合规的要求,重点是实施了后台集中,而这种后台集中在其他银行还没有做到。
他举例说,假定平安银行的某一个柜台接收一张原始凭证,该凭证会很快被扫描到上海张江后台中心进行录入,再由张江中心把数字传送到成都的核算中心审核、记账,以确保核算的合规合法性,这是平安银行的内控优势所在。
有观点指出,平安银行及深发展的下一步整合,主要取决于内控。尤其是中国平安内部能不能在各子公司之间形成有效的防火墙进行有效地风险隔离。事实是,中国平安已经构建了一系列符合其风险管控要求的防火墙机制,并有完善的关联交易控制机制,严禁出现价格非公允的利益转移或输送,做到合规、公允、有序。
“如果我们跟信托投资公司有合作,这些都需要合规也有额度的限制。我们是独立的法人,系统也是独立的。”叶望春表示。
“关联交易一定要有防火墙,还要有非常健全的统计、报送和审批机制,我们董事会设立了关联交易委员会,专门关注此类事项。”平安银行法律合规部副总经理李峻峰解释说,平安银行按照前中后台彻底分离的方式,在战略布局上,合规搭建了风险管控的整体框架。集团已经给各子公司搭建了一个比较好的风险管理和内控平台,平安银行的风险管理是在全面风险管理的基础上更加强调条线化,也就是流程化。“流程化银行要求你的风险管理专业化,除了前中后台分离的内控要求外,必须按照信用风险、流动性风险,市场风险、操作风险、声誉风险等系列化分类,把所面临的全部风险识别、区分出来,从风险文化、资源配置、规划分析、制度安排、系统支持、动态监督和信息反馈等多维度开展全流程管理。”
采访中,记者注意到,在整个平安集团,目前已经实现了公章集中管理。因为分支机构掌握着实体公章会蕴藏潜在的道德风险。一旦出现问题,当事人虽然会受到惩处,但是公司的风险已经形成。公章集中管理后,可以保证每盖一个公章,都要经过流程的审核,通过内控措施和IT系统的结合来防范风险。
和产险高管的考试不同,平安银行的外籍高管有自己独特的合规文化推行方式。
平安银行的高管团队以外籍人士为主,包括首席执行官、首席风险官、首席财务官等,在合规事项的推动方面,他们都有着丰富的国际先进经验。集团之所以选聘外籍高管,是因为他们是行业中的典范。对于金融机构要求尽快做大做强的诉求和风险管控的实际从客观上来说是有冲突的,走得越快,出现问题的可能性也就越大。平安银行高级管理层很好地解决了这一难题。。
平安银行高级管理层不仅让平安银行快速稳健地发展起来,而且合规意识非常强,注重从细节上推动、支持合规工作。平安银行每年都举行合规考试,高管主动、带头参加考试;总行行长们每年分头深入支行宣讲合规;还有就是在每次合规活动期间,总行行长亲自抽查各级干部的参与程度。有段时间,每天中午一点半,李峻峰都要到前任行长理查德的办公室,把全行干部的名单给他,他从几百人的名单中随机拨打电话,就活动中的具体内容进行提问,进行现场翻译,电话中答不上来的人就会很被动。问题虽小,但是干部很容易感受到高层是真正重视,而不是开开会走走过场就完事。
从银行角度来讲,合规与内控是银行健康、稳健发展的必备基础。从董事会、高管层到执行层,合规与内控的要求无时不在。合规与内控状况是银监会对银行评级的重要参考因素,也是衡量一个银行抵御各类风险和经营管理水平高低的重要标准。在内控方面,平安银行希望通过巩固和坚持不相容职责分离等内控原则,始终保持业务发展中的“零”案件,形成全面覆盖、管控有效的内控体系。任何细节,不管是审核的,还是业务发起端的,都很难作假。在合规方面,平安银行希望通过塑造良好的合规文化和有效规范员工行为来建立起支撑业务高速发展的合规体系。近年来,陆续举行了“合规促强大”、“牢记合规”、“整序兴诚”等合规文化活动,建立了整改跟踪与员工异常行为监控与举报等合规机制。“一天的业务下来,都会有人检查合规的落实情况。查出来就会上报。谁出了合规的问题,就要得到红黄蓝牌的处罚。这些制度、宣传、活动、机制已逐步使合规成为大家的自觉行动。”代行长叶望春说。
内控评价体系
内控做得好不好,不是自己随口说了算,而是必须遵循《企业内部控制基本规范》要求,建立健全内控评价体系。“内控评价实际上是给了大家一套方法,让大家对履职过程中的风险和制度流程的控制力进行持续的评价。如果发现薄弱环节,就必须改进。”叶素兰说。
为此,中国平安采取了相应的内控评价体系:一是合规部门指导业务部门进行自评;二是稽核监察部门的进行独立评价,主要看业务部门的自评是否到位,然后进行抽查,看看是否存在内控缺陷;三是外部审计机构对内控情况的审计,并出具审计报告。
有了评价还要与考核挂钩,平安的做法是将合规与风险状况、内控评价结果融入KPI指标,进行考核与问责。通过实施红黄蓝牌处罚制度、员工违规行为处理执行标准、案件责任追究制度等进行事后惩戒。从经营成果真实性、经营行为合规性、内部控制有效性和经营决策科学性等方面形成管理层绩效评价,作为考核晋职奖惩依据。评价之后是整改追踪和外部机构的独立审计和监督。
“内控不是某个部门的事情,也不是独立于业务之外的东西,我们将制度融入流程里,流程融入系统里,这样就很难违规。因为对业务流程的每个控制点如何,业务部门最清楚,真正提升内控的意识,人人有责,制度加执行,内控文化必须落到实处。”董事长马明哲表示。
关键词:法律;内控;机制;法律风险
随着我国经济改革的不断深化,当前企业建设也不断深入,为了强化企业的建设管理,需要针对内控存在的问题进行分析,从而强化内控管理,避免费率风险。但是近年来大型企业的亏损与违规操作事件频频发生,表明当前的内控机制存在法律风险,企业的法律意识淡薄,局限了企业的发展。为了提升企业的管理质量,需要与企业的管理相结合,规范化企业的管理机制,强化审计等财务内控机制,构建一套资产保护的法律、法规以及制度,与企业的发展战略相结合,从而提升会计信息质量,确保资产安全与完整。
一、法律风险内控机制背景
法律风险管理是企业全面风险管理的重要组成部门,随着2006年《中央企业全面风险管理指引》将法律风险列为企业面临的五大风险之一,法律风险管理的重要性受到越来越多的关注。法律风险管理的核心是建立健全法律风险防范机制,法律风险管理的内控管理机制,能够确保企业的财务报告可靠、确保经营效率,企业经营活动与会计行为符合法律规范要求。法律风险内控机制需要由董事会、管理层以及其他人员共同设计并执行,对公司经营过程的法律风险进行及时规范。但是当前的法律风险内控还存在较多的问题。
1.借款合同存在法律风险
当前的企业借款合同的前期以及履行阶段存在着不少问题,主要表现在:(1)在借款合同前期,企业对于所借款市场利率的明确度不足,而且借款合同未完全按照借款合同拟定,造成一定的文本风险,借款合同的主动权在于银行方面,企业作为借款人,大多数处于被动的地位,因此银行可能会利用经济上的强势地位造成有利于银行的条款,从而产生借款合同风险。(2)借款合同变更风险,当借款合同的贷款期限、用途、时间、还款方式等发生变更时,因为变更手续不全会造成合同变更风险。
2.对外担保合同与交易结算方面存在法律风险
我国企业的签订对外担保合同时,因为在担保的过程中,受到人情关系的影响较大,而且对于所担保企业的资信水平以及对外担保合同细节的认识不足,从而可能会造成风险。而且企业通畅不要求被担保企业提供董事会认可的反担保,相关规范不符合要求,增大了法律风险概率。在企业的财务内控中,结算是内控中常见的业务之一,在结算过程中,因为结算数额大、风险高等会造成法律风险,但是当前的企业对这一领域的重视程度不够,交易结算风险预警以及风险补偿机制明显缺位,使得法律风险不能够得到有效的补偿。
3.知识产权保护方面法律风险
在企业的内控管理中,关于经营、技术开发以及技术流失等方面的知识产权存在法律风险,而且在商业秘密方面,一些企业没有制订合理而有效的保密协议与保密津贴制度。为了确保知识产权保护方面的保护,需要对企业的内控机制进行有效管理,避免法律风险。
4.内部管理模式僵化,风险防范职责不清
企业法律风险内控汇总,因为历史与实际的管理,导致一些企业的内部规章制度主要注重业务实现,守法意识意思规则意识较差,主观上表现为忽视法律风险。而且在企业的组织建设、流程设计与管理规范设计中,对于内控的法律风险的分析、识别与规范等方面规范不足,当前内控法律风险控制还处于自发、朴素的阶段,相关流程设计基本处于空白,事前风险预警与风险应对还处于初始阶段,法律风险首道防线非常脆弱。在企业内控法律风险人才建设中,企业法律专业人才建设不足,法律顾问队伍工作岗位的人员短缺,对于内控法律风险控制不足。
二、企业法律风险内控机制的重要性
根据国家依法治国的方略,企业内外的法制环境发生变化,因此需要加强依法经营、依法管理以及依法维权的中实行,建立基于法律风险的内控机制,从而应对日趋复杂的法律风险环境,满足企业市场经营与内部改革发展的需求。
1.适应经济全球化发展的需求
随着经济全球化的不断深入,当前的企业需要应对全球的资源、人才、技术以及服务的市场竞争,为了适应于当前的经济全球化发展的需求,需要加强企业的内控管理,实现全球范围内的资源优化配置,加快产业结构调整与优化升级。国内经济受到全球化经济发展的影响,所受到的法律风险越来越大,而且企业对外发展过程中,需要应对更加复杂的法律风险,因此构建基于法律风险的内控机制,能够实现企业的依法决策与依法经营,从而确保企业的经营管理满足全球化发展的要求。
2.保障企业资产的客观要求
随着企业的不断发展,企业所面临的资金环境更加复杂,而且资产的分布面广、监管难度大,近年来的重大法律纠纷案件暴露出企业的治理结构不完善、组织结构不合理的状况。为了对企业的资产进行管理,应对相应的法律风险,需要严格法律审核、确保法律论证,并且构建基于法律风险的内控机制,对企业资产进行管理,提升企业应对法律风险的能力,实现企业资产的保值增值。
3.促进企业发展的必然选择
企业竞争的实质,不仅是企业的技术、资金、人才的竞争,而且死法律、规则与标准的较量。随着经济改革的不断深化,当前企业面临多元化的竞争,其中知识产权的竞争是现代企业竞争的重要内容,对于提升企业的创新力度具有重要的意义,法律是知识产权的保障,能够确保企业的创新能力,不断优化企业建设发展。构建基于法律风险的内控机制,能够有效的运用法律武器保障企业的知识产权,使企业的创新成果转变为企业的核心竞争力,促进企业的建设发展。
三、企业财务内控机制法律风险防范的构想
1.企业法律风险内控管理体系基本构架
企业的法律内控风险管理是一个全方位、多角度的网络防范工作,为了确保企业的基于法律风险的内控机制建设,需要建立全员法律风险管理的概念,结合企业的管理结构,从而设立三道风险防线:(1)企业会计部门以及业务单位是法律风险管理的第一道防线,在管理过程中,应该严格执行风险管理制度、有效的处置小型风险管理进行处置,并且对重大、疑难的风险进行识别后送到第二、三道防线,并且严格风险的事前与事中控制;(2)以公司领导下属的法律风险管理委员会作为法律风险管理的第二道防线,确保企业的风险管理制度的有效管理,并且对于第一道防线的法律风险管理进行检查、评估与查漏补缺,并且对疑难、重大的法律风险进行初步处理后报送上级部门特别处理,该道防线负责法律风险管理战略的制定,并且有效完善风险管理规章制度,对法律风险管理人员实施考核与奖惩;(3)第三道防线,以企业的内部审计部门以及下属的审计委员会作为内控法律风险的第三道防线,对于法律风险管理制度的实行情况以及实现效果进行评价,并且有效处理法律风险管理部门以及相关人员,对法律风险管理进行总结,实现法律风险的事后控制,并且为完善法律风险管理制度提出建议。
2.完善企业法律风险管理体系的内控机制
法律风险管理内控机制主要可以分为洗个步骤来完成:(1)拟定控制目标,根据企业的战略目标以及企业的经营管理目标,确定企业的内控目标,确保企业会计信息准确性、资产物资完整性、经营决策贯彻执行、经营活动的效率性与效果性,严格执行国家法律法规;(2)整合控制流程,内控主要由控制点组成,因为当前企业的业务流程存在控制缺陷,因此需要对控制流程重新整合,确保简洁高效的完成控制目标,在控制流程整合过程中,需要对业务活动的控制点进行鉴别,并且针对控制目标与对象设置控制技术与手续;(3)明确法律风险管理内控体系建设,为了确保法律风险的内部控制,需要构建内控体系,明确内控岗位授权对象、条件、范围与额度,并且建立内控报告制度、内控批准制度、内控责任制度、内控审计制度、重大风险预警制度,从而对法律风险进行严格管理,明确风险管理目标与应急预案,明确规定不相容指责分离,确保法律风险的内控管理。
3.企业内控法律风险防范重点
为了通过内控机制防范法律风险,应该从以下方面进行防范管理:(1)加强对外担保合同的法律风险防范,需要建立对外担保合同反担保风险内控机制,并且要求担保企业提供企业董事会认可的反担保,审查反担保低压与质押资产的合法性,确保担保资产的价值相当。建立事先报告制度,对于对外担保合同变更时,与第三方当事人协商一致,与不相容职务分离相结合,确保对外担保合同的拟定、审核、审批与执行进行监督评估,确保精细的内控管理。(2)加强借款合同的法律风险防范,首先需要建立明确的利率机制,规范借款合同存在的风险防范管理,确保利率协商一致,对于无论何种原因发生的借款合同变更与终止,都需要及时向企业管理层、贷款银行充分协商,并且变更后按照新的借款合同履行相应的程序,形成相应的书面文件。(3)建立有效、健全的交易结算制度,为了规范交易结算管理,需要树立支票遗失完整的救助制度,从而规范交易结算管理,在支票遗失后通知开户银行,遗失申明,并且迅速通过法律途径防治持票人到银行提现,结合金融数据保密数据,建立数据输入的调阅与交接登记管理,在遇到法律诉讼时确保用油主动权,避免法律风险。(4)全面梳理知识产权法律保护意识,需要通过企业财务内控机制防范知识产权的法律风险,建立担保制度以确保技术合同符合法律规范,而且要对担保当事人设定担保,当出现合同纠纷时对被担保人进行审查,避免对方利用合同进行伪装,对于合同中的欺诈行为控制管理,避免风险过大。当风险出现时,根据技术被申请专利的救济制度进行管理,采取专利申请的方式加强技术保密管理,以作为发生纠纷时的证据管理,避免法律风险。
四、结语
随着经济全球化的不断深入,企业发展面临着更加复杂的外部环境,为了确保企业的发展规划,需要根据企业的战略目标,构建企业的内部控制管理,把握企业运行的基本规律,持续推动企业内部规范体系建设,以避免法律风险。构建企业法律风险内控机制,需要坚持科学发展,完成企业内控的风险管理架构,不断完善企业内部控制规范体系,对于内控管理中的重点进行管理,在不断提高企业经济效益的基础上,促进企业安全发展,防治财务风险的发生。企业法律风险管理体系,是一个集事前管理、事中管理与事后管理于一身,由制度、流程、活动等相互结合而成的有机整体,囊括了法律风险分析、法律风险控制和法律风险评估三大模块。构建企业法律风险管理体系,企业应该重从组织机构、规章制度、内控机制、业务流程、人才队伍、信息系统等六个方面着手,开展体系构建工作,并不断吸收和借鉴其他企业的先进管理经验,推动公司持续平稳较快发展。
参考文献:
[1]刘平.试析企业经营法律风险的成因与防范措施[J].工会论坛,2014.
[2]郑石桥.内部控制实证研究[M].北京:经济科学出版社,2006(12).
[3]张莉.建立法律风险防范机制,保障企业稳健发展[J].经营管理者,2014.
[4]郑石桥.内部控制实证研究[M].北京:经济科学出版社,2014.
【关键词】本土银行;风险管理;内部控制
一、研究背景
近些年来,在经济热潮的带领下我国与外部综合往来的频率不断增加,随之而来的是经济互通、外资银行的入驻,这无疑增大了本土金融市场的竞争压力,从内部控制和风险管理角度分析本土银行的竞争优劣势发现,只有不断优化自身内部控制制度及提高风险管理能力,才能够在激烈的竞争中屹立不倒。
二、管理控制的现状分析
1.明晰法人治理结构
(1)原有股份制的改革,将“三会”管理体制制定了出来,即股东大会、董事会以及监事会。其中,监事会代表的是国家,是能够对高级管理层、董事会,财务活动、内部控制以及风险管理等内容起到监管作用;此外,监事会还有监管各个成员的义务,其存在的主要目的就是使国有资产的质量和资产的保值增值过程受到保障。
(2)管理模式的改变,以现代化扁平式的管理来替换原有的金字塔式管理。自计算机信息管理技术应用普及以来,人们逐渐改变了原有的管理形式,优化了原有的管理层次,并对现有的权限职能重新划分,进行了全面改革及内设部门重整,从而使内部管理的层次被不断减少精化。
2.监控管理业务流程,实现非现场监管目标
为了更好地实现银行经营活动整体控制,就必须采取有限授权的措施要求下属职能机构进行分级式管理,有利于对下属机构在业务环节中的经营行为约束。自间接调控、计划指导、自求平衡以及比例管理等现代化管理模式正式实施以后,相继建立了一套完善的的内部风险管控的制度,这不但使银行自身的约束能力得到了增强,而且还尽可能地将自求资金平衡的目标实现,从而使经营管理的风险有所降低。
3.会计稽核内部管理力度的增强
近些年来在行业竞争压力持续增大的影响下,各个商业银行相继进行了一系列的整改办法,其中沿用最多的一种办法是经由总行统一的管理和领导,派遣各个区域相互检查的办法;随后将内外部审计稽查的监管制度确立了出来,并设置专业的稽查人员,以此来全面的稽查各级银行的经营现状,同时在会计手段的运用下对风险管控力度进行强化。可见,现有的银行经济责任稽核、效益稽核以及风险稽核模式正逐步替换原有的业务大复核这一银行稽核形式。
三、风险管理同内部控制之间的关系
1.风险形成于落后的内控观念
很长的一段时间里都有一个错误的认识涉及本土银行的内部管理,便是在他们的眼中认为只要是将业务规章以及工作制度制定了出来,就代表着将内部控制制度建立起来了。然而实质上,内部控制主要是由3个部分的内容所构成,分别是:制度结构、制度制定、制度执行。三者作为有机的一个组合,缺一不可。此外,银行管理层还没有充分的将内部控制的必要性认识到,没有向发达国家借鉴先进管理手段和经验的意识,甚至有的人连新巴塞尔协议是什么都不知道。显然没有将科学化的评价预警系统、风险业务监控以及内部评级制度建立起来,必然会有相关的风险在内部管控中存在。
2.风险管理存在于不合理的组织结构中
本土银行依然没有在执行系统、决策系统以及监督反馈系统等三者制衡原则进行组织结构的设置,因而在实际的管理过程中不但容易有下属管理机构不到位的情况出现,而且还可能会有相互割裂的情况在银行内部的各个职能部门中出现。以上情况的存在不但会难以实现有效制衡的权利目标,且普遍存在职权滥授、滥用的问题,而且整体性配合协调能力的缺失,难以实现相互制约和监督的目的,最终会使银行内部控制管理制度的实行受到严重限制。
3.风险存在于不完善的防范机制以及内审制度中
相较于国外先进的银行审计制度来讲,本土银行的内审制度是落后的、保守的,其主要体现在银行内部的审计部门没有独立决心的权利,是各个银行行长管理的下属部门;本土银行的审计工作主要遵循的是事后监督为主要,仅仅是围绕着业务突击检查以及专项审计这两部分进行,自然难以达到风险管理控制的要求;当有违法犯罪行为被发现后,首先想到的是避重就轻,这样不实事求是的做法,自然无法说服众人,也难以实现行之有效的管理效果。
四、解决策略分析
1.风险管理意识的提高
从本土银行发展的时间历程上讲,其是一个具有风险多样化、动态性、不断变化以及复杂性等特征的过程,而这就要求其必须将一个有效地风险管理以及内部控制观念确立出来。如:在2008年的时候,在美国爆发次贷危机之前,就有机构发现了其中潜藏的一些问题,但是受到眼前经济利益的诱惑,他们并没有采取相关的防范措施,而这就体现出了风险管理以及防范意识不足的特征。因而笔者认为国家相关部门应当不断强化教育宣传工作,培养出本土银行风险识别以及防范的意识,并在相关风险规避原则的遵循下,不断提升风险应对能力。
2.内控管理考核制度的强化,有助于提升高效工作
首先需要做的是风险数据的收集,对本银行中所存在的风险进行量化,并对其作出定性判断,定期对各项指标完成的情况进行考核,并针对实际考核的情况做出相应的调整;随后需要正确看待业务管理的意识,将传统的重业务经营轻管理的观念摒弃,替换成现代化的重管理模式,并不断对内控合规的相关工作过程考核力度加强完善,采取年度、月度考核的措施;然后需要前移风险控制要点,以便充分将事前以及事中的控制实际成效发挥出来,以便将支行对网点、分行对支行的这一两级创建的考核机制确立出来;最后将实效性的考核奖励机制建立出来,不再是条线奖励为主,而是向内控综合性的管理方向转变,银行内部应当有组织的展开各种形式的专项评比活动,以便能够将员工的工作热情以及积极性充分调动起来,从而不断提高内部合规的整体性工作质量。
3.内控合规管理制度的建立,基础管理能力的提升
对于基层经营的每一个客户经理、网点以及员工来讲,其在拓展业务的时候都需要加强对内控的重视,不仅讲价值,还要讲合规,以便将一个浓烈的人人争创价值的合规经营氛围创设出来,从而使科学化的合规内控的管理制度能够真正建立起来,最终实现整体性管理水平提升。
五、总结
综上所述,前文中已经有提到受到全球经济一体化的影响,我国本土银行在外资银行的介入下,自身的竞争压力持续增大,基于此,为了确保自身在整个行业中的竞争地位,就需要采取现代化的管理措施,在发达国家优秀管理经验的借鉴下,与自身发展状况及特色相结合,尽可能地使自身的内部控制水平提高,逐渐强化对风险发现以及应对的能力,有助于本土银行健康、稳定的发展。
参考文献:
[1]陆媛,张同健. 国有商业银行内部控制与风险控制的相关性研究[J]. 财会通讯,2011,02:36-37.
[2]魏红刚. 商业银行内部控制与风险管理关系的理论分析[J]. 中国证券期货,2011,09:141-142.
[3]夏海玲. 银行内部控制与风险管理浅谈[J]. 现代营销(学苑版),2011,12:110.
[4]李娟. 我国商业银行内部控制与操作风险、合规风险管理的关系研究[J]. 金融纵横,2014,04:54-60.
一、内部审计和风险管理的关系
内部审计是一项独立、客观的确认与咨询活动,其目的在于增加价值,改善组织经营。它通过系统化和规范化的方法,评估和改进风险管理、控制和管理过程的有效性,帮助组织实现其目标。而风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响,从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件和管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。风险管理的本质就是采取合理的控制措施,将各种风险控制在组织可接受的范围之内,保证组织目标的实现。内部审计是风险管理不可或缺的组成部分,是一种行之有效的方法和手段,在现代管理中发挥着日益重要的作用。从发展趋势来看,人民银行内部审计越来越关注风险,且更强调风险规避、风险转移和风险控制,通过有效的风险管理提高整体管理的效果和效率,以保障央行依法、正确、有效地履行职责。
二、基层央行内部审计在风险管理中发挥的作用
(一) 发挥监控作用。内部审计作为人民银行内部独立的监督机构,主要负责对各项业务管理活动是否达到预定目标、是否遵循了规章制度等进行审计监督,属于单位内部控制系统中的一个重要组成部分。2010 年- 2015 年,株洲中支对所辖县支行和中支职能部门开展了53 次内部审计,其中: 领导干部离任审计18 次,履职审计8 次,风险导向审计3次、内控审计3 次,业务专项审计21 次,发现并纠正各类问题和隐患281 个,提出审计建议112 条。内审部门通过项目审计行使着管理层对下属机构和部门的受托责任进行监督评价的权利,向管理层报告业务及管理控制情况,向治理的参与者提供信息和咨询服务,从而达到对央行的业务活动进行监督反馈,对现存的规章制度进行查错防漏来提高风险管理水平,在检查监督各业务系统安全合规运行的同时,对本单位经营业绩起到了鉴证作用,较好反映了本单位各个时期在贯彻落实上级行的工作部署、执行货币政策、维护金融稳定、提供金融服务方面的履职绩效和内控管理状况。
( 二) 发挥评价作用。随着央行对治理问题重视度的不断提升,促进了风险导向审计的发展,也激发了风险导向审计评价作用的发挥。近年来,基层央行针对央行履职中容易产生风险的业务活动,采用有效的风险评估方法,对各个风险控制环节、各种风险控制措施进行风险评估,以此确定审计对象并开展风险导向审计,全面、客观地评价其固有风险、风险控制措施与成效,达到促进央行风险管理水平提高的目的。2012 年以来,株洲中支紧密围绕人民银行的中心工作,以重点业务和重要风险两个关键环节为切人点,组织实施了国库业务、货币发行、会计核算、再贷款管理、科技综合管理、办公设备管理、预算管理等重要业务管理专项审计、风险导向审计20 项,平均每年审计4 项业务。通过风险导向和专项审计发现业务管理中操作风险问题、业务处理不规范、检查监督等制度执行等问题,及时揭示其风险隐患,对有关部门和单位管理者受托责任和履行情况作出客观评价,通过内部审计评价,督促相关部门建立健全制度、完善操作程序、改进工作方法、严格制度执行,保证了各项重点业务操作的合规性,有效防范了业务风险。
( 三) 发挥风险导向作用。基层央行内部审计的服务作用,不仅体现在服务于职能部门的有效履行职责上,更体现在服务于实现组织的整体发展目标上。目前,基层央行内部审计通过实行风险引导审计,审计关注风险,使审计资源向风险突出、控制薄弱的领域倾斜,帮助央行提高效率实现组织目标。一方面,内审部门要与相关部门进行风险管理沟通,对风险管理过程的充分性和有效性进行检查、评价,对重大的审计发现及时向管理层进行报告,并传递给相关部门和相关人员,以便及时采取相应的控制措施,同时对审计发现问题的落实情况要进行跟踪,使风险得到及时控制; 另一方面,以防范风险为核心的内审部门,能从组织的利益和实际出发管理风险,提出防范风险的有效建议,为管理层决策当好参谋,通过有效的风险管理建议反馈,从而提高组织的整体管理效率。2015 年,株洲中支更加注重内控建设,把加强内控体系建设作为全年工作目标之一,在全辖组织开展了内控制度大学习、大讨论、大完善、大落实活动,修订和完善各项规章制度61 项,建立了23 个一级流程、66 项二级流程,确立风险控制点218 个,编制了内部控制手册、内控流程、风险清单、权限指引表等内控建设成果,内控体系框架更加完善。内审部门对审计发现的问题实行分级预警通报制度,按照违规行为次数和可能造成后果的严重程度由高到低实行一、二、三级预警分类管理,对其中可能存在的风险苗头、错误倾向,向有关单位( 部门) 予以警示提示,并将全年审计情况及结果进行通报。通过分级预警通报,促使有关部门落实内控制度,杜绝查而不改和屡审屡犯等问题发生。
三、影响内部审计在风险管理中作用发挥的制约因素
( 一) 风险管理的职能不明确。内审部门的一个职责是评价风险管理的恰当性,确保风险管理信息的真实准确性,协助管理层将风险控制在可承受范围之内,但应避免承担具体的风险管理职责。内审部门应以审计项目为依托,认真查找并掌握本单位相应的风险情况,通过职业判断,向管理层就风险管理提出专业的意见建议。如果参与的程度过深,渗透到具体的日常管理环节,就会出现职责冲突,导致内审承担责任过大的问题,会造成内审工作中自我评价,对内部审计独立性和客观性带来损害。目前实际工作中,内审与各业务部门在风险管理中的职责划分不构清晰,往往把风险管理与内部控制等同起来,相当一部分人认为内部控制就是内审部门的事,只要内审部门参与的事,就谈不上风险,致使业务部门过度依赖内部审计,而忽视自身在内控风险管理中的主体责任,内审部门则被动应付风险管理工作。
( 二) 内部审计的权威性不突出。被审计对象往往将内审部门视作对立面,很难从内心深处对内审工作给予积极支持和配合,内审部门对此缺乏有效的手段,内部审计的权威性有待提高。如: 上级制定的政策规定未及时传达至内审部门,内审人员了解政策滞后; 审计过程中被审计对象配合不积极,特别是同级审计存在的消极应付现象,自查时对风险管理存在的问题避重就轻,对检查发现的违规问题讨价还价,最后往往是大事化小,小事化了; 审计发现问题整改在一些管理层未引起高度重视,整改落实不到位、问题屡查屡犯的现象时有发生,审计达不到应有的效果。
( 三) 内审部门自身建设不理想。一是思想准备不足,内审人员大多还停留在传统的思维方式,习惯于对照制度规定进行合规性审计,对新业务、新知识的学习速度赶不上业务发展步伐,缺乏深入的审计专业知识及业务风险判断能力。地市级人民银行具有CIA 资格证书的审计人员的比例很低,使内部审计队伍综合素质很难适应内审转型的需要; 二是监督方式落后。目前,基层央行内部审计的方法和手段仍主要依靠手工操作及事后监督,信息技术审计和审计的信息化水平还不高,内审部门对风险信息的收集只能被动地进行,不能实现从业务系统中依靠实时监督来获取风险信息,达到事前、事中有效预防控制,削弱了内审监督的作用; 三是审计结果运用欠佳。审计工作中还存在重审计过程轻结果运用、重检查问题轻经验总结的情况,对问题的分析有时过于表面,缺乏对制度、机制等深层次的分析,提出建议的针对性和建设性不强,不能从根本上发挥内部审计服务组织治理的作用。
四、进一步发挥内部审计在风险管理中作用的建议
( 一) 合理界定风险管理职责,有效发挥内审职能作用。
基层央行要合理界定内审部门和业务部门在风险管理的职责,业务部门是风险管理的主体,负责具体落实风险管理和内部控制措施,确定和排查部门和各类业务的风险点; 内审部门是风险管理的监督者,对各业务部门风险管理和内部控制情况进行检查评价,发现本行各部门、各业务环节的潜在风险,提出改进建议,不能全权包揽全行的风险管理职责。要强化内审部门风险管理审计职能。根据当前形势发展的需要,内部审计应当围绕风险防范这个重点,逐步从合规性检查向风险性、有效性评价转变,内部审计的职责定位也应逐步从再监督向评价转变,重点评价内控制度的健全性和合理性,评价决策的科学性,评价资源利用的效率和效果。现场检查不仅要对照法规制度检查各项业务和职责履行情况,还要围绕风险点和风险环节,查找风险控制盲点和缺陷,分析评价现行管理和控制手段能否保证目标的实现,帮助改善内控和风险管理,从制度上、机制上解决存在的问题,促进基层央行依法、有效履行职责。
( 二) 完善风险管理体系,增强内部审计的权威性。
建立科学的风险管理体系,保持内部审计的独立性、客观性和权威性,是增强内部审计效果的重要前提。一要建立统一的内部审计组织体系。可在基层央行试行内部审计派驻制,建立由总行集中统一管理的内部审计监督管理体制,对管辖机构实行逐级派驻、下派一级,下级对上级负责,一级对一级负责,从管理体制上保证内部审计监督的高层次、权威性,消除来自各方面的对内审工作干预和制约,使内审部门能够真正依法独立行使职权。二是完善内部控制制度。业务部门要按照《中国人民银行分支机构内部控制指引》的有关要求,以风险防范为目标,适应业务发展要求,全面梳理、查找现有制度层面存在的空白点和执行层面薄弱环节,以制度、办法、操作流程等形式,构建科学完整的内控制度体系。三是建立基层行风险预警评估体系。内审部门要以信贷资金、联行资金、国库资金、发行基金为重点,结合本行实际,对重要部门、重要岗位、关键环节等容易发生风险部位的业务进行全面、有效的风险识别,排查并锁定风险点,设立具体的风险预警和评估指标,从人员配置、岗位设置、风险控制等各个方面进行约束牵制和测评,对风险控制情况进行通报,对不达标的部门和专业开展后续审计。
关键词:事业单位 风险管理 内部控制 重要性
近年来,我国经济改革的快速发展,会计的内涵与外延作用也在不断的扩大,国家在加强事业单位的内控与风险管理方面,也处在一个不断发展变化的过程中。2012年财政部颁布了新的《行政事业单位内部控制规范(试行)》,按照规范的要求,在我国上市公司等部分企业现行开始实行内部控制制度的基础上,我国行政事业单位于2014年1月1日起全面实施。内部控制相关规范的颁布与推行,有利于对事业单位内部运行进行监控与管理,有利于加强事业单位的风险管理,并有效的实现对权利的监督与调节。
一、分析内部控制与风险管理两者间的关联
事业单位实施内部控制指的单位为实现控制目标,由全体职员共同实施,通过制定制度、实施措施和执行程序,对事业单位的经济活动的风险实施防范和管控。事业单位的风险管理指的是单位在收集与识别风险信息基础之上,制定有效的对应措施来对风险信息给予评估管理,其最终目标是为了把风险控制在事业单位可承受的范围内,这种控制过程属于管理活动之一,并且包括的环节较多,如经营活动前对风险的预测、活动中对风险的控制等等。
(一)两者间的不同之处
企业的财务风险与内部控制之间的区别主要包括下面两点:首先,二者涉及范围各有不同。对于事业单位而言,其内部控制主要目标是为了增强自身会计信息、经济效益、运营效果、财务报告等准确,同时又严格遵守国家相关法律法规与单位自身制定的制度。而风险管理所以涉及的内容远比前者更为广泛,风险控制目标也较复杂,可以说风险管理既要对自身单位会计信息、财务报告等进行控制,又要对其他报告中相关信息进行整理、收集,从整体上把握单位的经营状态。其次,两者的组成部分不相同。风险管理包含了控制过程,还涉及了对风险的预测评估、规避等等,所以其涉及面远远超过内部控制。
(二)两者间的关联
内部控制可以为事业单位长期健康运行提供有力保障,而事业单位要想进行风险管理,必须实施内部控制。简单来说,事业单位开展风险管理需要建立于内部控制的基础上,在风险管理的过程中,内部控制则属于一个重要环节。事业单位要想保证自身经济及运营效率,就必须要开展内部控制活动,有效完成内部控制作用,有助于单位更好的控制运营风险。而要做好内部控制,首先应当对自身财务风险有清晰地认知,然后再根据单位的业务性质与特点,建立一套健全有效的控制制度进行约束管理。在充分保障良好的内控环境的基础上进行信息的收集和反馈,查找内部控制缺陷,并及时加以改进。总之,事业单位展开风险管理的前提就是实施内部控制,两者之间具有密切相关的联系。
二、事业单位开展内部控制及风险管理的重要性
在事业单位运营管理过程中,风险管理和内部控制互相结合、相互依托,事业单位在进行日常管理时务必将这两者实现有效融合。目前,我国各大企业纷纷步入改革中,事业单位亦是如此,但是同时其也面临了越来越多的风险,面对各种各样未知的风险,事业单位更需通过加强内部控制的方式来控制自身面临的风险,这样才能为单位的经营活动给予保障。除此之外,事业单位开展风险管理,可以通过建立内部流程、制度方式来进行,使得事业单位经营目标得以实现,同时保障单位自身财产安全,所以事业单位在运营管理中是否能将风险管理、内部控制有效融合,也会对管理活动是否成功起到决定性的作用。根据事业单位实际发展情况来看,将内部控制、风险管理始终融入到各个运营管理环节当中,并积极找出二者之间的结合点,分析运营环节中的管理重点与存在的问题,且积极采取有效措施进行应对,能够全面保障事业单位的持续发展。
三、事业单位实施风险管理中应采取的内部控制策略
(一)加强风险管理的意识,不断优化单位内部控制的环境
从某种角度来看,事业单位内部控制的环境决定着其是否能够规范、有序地实施内部控制的制度,所以对其环境不断进行优化显得尤为重要。另外,在实施内部控制的过程当中事业单位还存在很多问题,比如单位缺乏较强的内控意识,单位缺乏浓厚的内控氛围等。基于这些现存的内控问题,可以从下面两个方面来对内控环境进行优化。
1、事业单位要对内部职员展开内控知识培训
这里的单位职员不单指单位普通工作人员,也包括了单位的内部管理层及领导等,整个管理架构均应树立内控必要性意识,进而激发全体职员积极参与。优化内控环境时,单位管理人员更应该充分发挥自身的领导作用,积极鼓励下属职员参与其中,充分发挥自身带头的作用。
2、加强文化素养的培养,建设良好的单位软环境
事业单位的临到人员要将风险管理、内控思想积极灌输为下属职员,并且帮助其树立良好的风险、价值观,在自身单位的文化中积极融入风险管理、内部控制知识,通过单位文化对其职工的工作行为加以约束,充分提升其思想意识水平,确保风险内控管理的有效性。
(二)建设风险评价机制,有效预防财务风险
事业单位对财务风险进行有效规避的关键在于,在发生风险之前就应及时对其作出合理评估和预警,及时扼杀风险。事业单位发生风险的几率是预估风险最直接的体现,这就要求事业单位财务信息具有较高的准确性和及时性,单位的职员具备较强的综合素质与能力。所以事业单位要想提升会计信息准确性,首先应当对单位内部财务人员的专业能力、综合素质进行提升,组建一支具备专业性、高素质的财务工作团队。另外,事业单位建立风险预估、预警等机制,有利于及时发觉并制止不良财务管理行为,然后通过及时分析、核算单位的实际财务数据与账目,尽可能将风险降至最低,甚至完全规避风险。如果评估风险的过程越长、越复杂,则表明发生风险的几率极有能性更大,此时就要对这类风险实施客观评价,同时需要对以下几点给予重视。第一,掌握事业单位组织内控活动的情况,单位内部部门之间是否制定了互相配合、协调的制度。第二,事业单位内控运行的情况,各个部门逐渐是否承担相关权利与责任;内控资金的分配与管理是否达到合理化、科学化,同时管理与监督这两项职能分离与否。第三,单位是否制定了完善的风险管理机制,管理机制的流程是否得到优化,是否按照标准流程来执行。第四,财务部门编制的财务报告与国家要求是否符合,是否遵守真实准确的原则。
(三)设立一个独立的审计部门并制定严格的监督管理
事业单位日常的管理过程中,审计部门也占据重要的位置,该部门是单位进行内控及风险管理过程中不能缺失的一个部分。单位的审计部门能够充分发挥自身作用有效监督内部活动的实施情况,才能保障内控、风险管理更好、更快地实施。事业单位设立一个独立的审计部门(内审部门)并制定严格的监督管理,同时培养一支专业的审计队伍,便于内部监督管理得到实时的监督。此外事业单位还应当借助外部审计监管,将外部审计特有的监督作用充分发挥出来,实现内、外部审计的有机结合。事业单位设立了独立的审计部门之后,还应当对该审计部门的相关制度进行积极完善,同时加强监督与管理的力度。通过完善、健全审计制度及明确部门职责和权利的方式,全面提高单位审计部门监管工作人员的专业修养和综合素质,保障事业单位的风险管理及内控活动有序地开展。
四、结束语
综上所述,事业单位不属于营利组织范畴,是提供公共服务的部门,这类单位开展的风险管理和内部控制均具有自身独特之处。就目前我国很多事业单位内控现状来看,不管是风险管理还是内部控制,其实施过程依旧存在较多问题,使得单位运营管理风险增加,所以事业单位要结合自身实际发展特点,重视内部风险控制与管理的重要性,积极培养人才队伍、制定完善的管理制度、优化内控环境等措施,提高自身内控效果,降低财务风险与经济损失,保证事业单位更好的适应新形势且长远稳定的发展。
参考文献:
解开法规遵从的困惑
《基本规范》的和执行,标志着中国企业内部控制规范体系建设取得重大突破。但是《基本规范》的遵从,却给我国上市公司带来不少的烦恼。这烦恼主要是因为目前《基本规范》还存在两个困惑。
困惑1:指引未出怎么办
尽管出于监管的需求,美国萨班斯法案主要是要求上市公司财务报表的真实性,但是为了保证法案的有效性,还出台了非常详细的指引。虽然在《基本规范》时,财政部副部长王军指出,要逐步建立一套以基本规范为统领,以评价指引、应用指引和内部控制鉴证指引等配套办法为补充的内控标准体系,但是直到现在,这些指引尚未出台。这也正是天士力的困惑。“现在无从判断指引到底什么时候出来。”一位不愿意透露姓名的业内资深人士这样说。很多上市企业对《基本规范》尚处于观望状态,期望进一步的指引出来以后再行动。
与美国萨班斯法案相比,我国的《基本规范》所涉及的范围远远大于美国萨班斯法案。“按照普华、德勤的说法,美国萨班斯法案有9个内控关键控制点,而我国的《基本规范》则有17类业务内部控制关键控制点。”深谙美国萨班斯法案,并且做过很多相关咨询工作的日立咨询中国公司IT总监江玮介绍说。
但是,江玮指出,无论是萨班斯法案还是《基本规范》,参照的都是COSO框架。所以,企业可以先参照COSO框架的需求来梳理业务流程。其实,现在很多IT厂商已经意识到了这一点,比如说,用友软件在其新推出的内控与风险管理解决方案NC 5.5中,就涵盖了COSO内控与风险管理框架。
与此同时,IDS Scheer中国企业风险内控与合规管理咨询总监彭炎认为,《基本规范》到底该执行到什么程度,可参照美国萨班斯法案看出来。值得一提的是,IDS Sheer在国外已经帮助很多在美上市的企业通过流程管理来实现萨班斯法案的遵从。
困惑2:时间紧迫怎么办
尽管《基本规范》将于2009年7月1日在上市公司执行,但是事实上,《基本规范》对2009年的年报并没有提出需求,上市公司只要在2010年的年报中体现出《基本规范》的要求就可以了。所以说,如果在2009年7月1日前指引能够出来,那么企业仍然有一年多的时间来准备;而如果指引没有出来,那么针对目前相对比较粗放的规范遵从起来也比较容易。
彭炎指出,不管怎么说,企业的人力、精力有限,内控管理能力的提升不可能一蹴而就,企业可以把目标定得高一点,但是要考虑到实现这个目标要有一个过程,可以先做一个框架,先规范化财务报表,然后在内控管理水平提高以后再作经营管理方面的细化。因此,江玮认为,企业在内控管理信息化建设过程中,应该采取循序渐进的做法,总体规划,按照紧迫性、重要性的不同分步实施。
不能为遵从而遵从
萨班斯法案的遵从是一个非常复杂的工程,而且需要耗费大量的人力和财力。据了解,通用电气公司为满足萨班斯法案而完善内部控制系统的花费高达3000万美元。高昂的合规成本导致包括华晨在内的我国一些在美上市公司选择了退市,也使得德勤、普华永道等一批提供相关咨询的会计师事务所业务非常红火。江玮说,萨班斯法案遵从的成本很高,确实有点让人怨声载道。股民当然不希望上市公司造假,但是假设一个年利润只有500万元的企业,却要花费2000万元来遵从法规,这个企业将从一个本来盈利的公司变成一个亏损的公司,这同样也是股民不愿意看到的。所以江玮指出,上市公司在遵从《基本法规》的时候要避免舍本逐末。
与此同时,江玮指出,如果企业的内控管理完全是为了应付上市公司的合规要求,那么内控管理带来的效果往往不会很明显。但是,如果企业不是应付合规,而是真正为了减低风险和成本,那么内控管理信息化建设能够起到立竿见影的作用。
彭炎非常认可这种观点。他指出,企业在引入第三方咨询机构将内控体系建立起来以后,要充分考虑如何将这个体系运作起来。他说,过去无论是国内和国外,都有一些企业在体系建立起来后,只是形成了一个像书一样厚的文档,而缺乏执行力和可操作性。这是非常不可取的。因为内控体系每年都要接受审查,如果这样做,第二年企业还要再花很多钱来请咨询公司来做咨询。
所以,企业在遵从法规过程中所形成的内控体系,需要通过一个载体传承下来。如果企业将内控体系和内控流程通过IT系统支撑起来,定期记录执行结果,并且通过ERP、OA等系统进行自动检查,就能大大提高自控执行力,而且可以减少聘请第三方咨询的成本,同时还能保证内控管理的持续性。
用友公司高级副总裁、集团与行业解决方案事业本部总经理李友认为,企业的内控与风险IT建设可以分成三个步骤来走:第一步,合规,此时企业管理者要对企业的一些经营管理信息做到心中有数,在IT建设上来说这是一个信息平台的建立和透明化的过程;第二步,关键过程控制,也叫融入管理的过程,将控制点和业务系统更完美地整合在一起;第三步,真正让内控为企业战略提供支持,在IT建设层面上,要以战略为主要导向,绩效管理、预算管理此时成为重要的IT建设内容。
北京慧点科技开发有限公司(简称慧点科技)已经帮助华能国际、中海油、中国铝业、南方航空、广深铁路、中国移动等多家在美上市公司通过IT系统来实现萨班斯法案的遵从。慧点科技副总裁、风险管理与控制事业部总经理韩国权指出,慧点科技在为南方航空、广深铁路和中国移动做GRC(企业治理、风险管理和合规审查)项目的时候,发现我国IT内控业务出现了一个分水岭――企业的内控需求已经从原来的以满足美国萨班斯法案的遵从,转变到现在以自身内控需求为主;从原来的以财务控制为主,发展到现在开始重视全业务的控制。
要学会取经
韩国权指出,对大部分尚未行动起来进行《基本规范》遵从或者加强内控管理的企业来说,光靠第三方咨询和理论是远远不够的,最好去那些内控做得比较好的企业那里取经,特别是同行业或者类似的企业。因为《基本规范》和美国萨班斯法案采用的都是COSO框架,所以,一些在美上市企业的合规乃至内控经验对他们来说非常具有借鉴意义。
作为纽约、香港和上海三地上市的企业,中国铝业股份有限公司(以下简称中国铝业)一方面因为要遵从萨班斯法案,另一方面要满足于企业自身的风险管控需求,在内控管理方面积累了丰富的经验。早在三年前,中国铝业就决定采用内部控制管理系统来更好地让内控管理落地。如今,内控管理的信息化已经成为中国铝业内控管理的发展需要和有效保障。
那么,作为先行者的中国铝业在选择和应用内控管理软件上的经验能给目前亟待加强内控管理以及内控管理信息化的企业带来哪些借鉴呢?中国铝业内审部副总经理戴锡宝在接受媒体采访时指出,企业在进行内控管理时要从企业的实际情况出发,不可盲目模仿、复制;在应用内控软件系统方面,应该注意以下三个问题:
首先,要对系统所能带来的效果非常了解。
其次,要充分考虑系统能否真正在企业落地。企业应该充分认识到内控软件对企业的管理理念、人员素质及管理水平都有一定要求。企业要在内控管理确实对IT系统提出了需求,并达到了一定的管理水平和实力后,再考虑进行相关的系统实施。
最后,力争使系统真正发挥作用。内控管理系统的实施上线是一项需要全员参与的项目,需要占用大量的时间和精力,只有下决心、下功夫才能达到预期效果。
【关键词】商业银行 内控风险管理 方法 技术 应用
一、前言
就目前来看,我国商业银行呈现良好的发展态势。了解与掌握风险方面的客观规律,加大风险管理力度,是商业银行在发展过程中必须重视的重要事项,也是科学发展观得到有效贯彻落实的基础。发展观,实质上就是关于发展的要求、目的以及本质的一个整体看法,发展观的正确性直接决定着发展道路、发展战略以及发展模式的合理性、有效性,对于发展的实践产生重要的影响。商业银行是一个货币经营、具有良好信誉的企业,商业银行在经营管理方面需要遵循三个原则,即盈利性、流动性以及安全性。其中,安全性是商业银行经营管理过程中的基础,流动性是经营管理中的手段,而盈利性则是经营管理中的主要目标。商业银行在发展过程中对于科学发展观的贯彻与落实,需要遵循盈利性、流动、安全性三大原则,保证三大原则之间的协调与平衡,在确保流动性与安全性的基础上,追求利润最大化。由于经济金融形势处于不断变化的状态,因此商业银行在内控管理的过程中,应当重视风险管理水平的提升,深入贯彻与落实科学发展观。
二、金融生态环境的实际状况分析
现阶段,我国金融生态环境呈现不理想的状况。金融生态环境,是2004年我国人民银行行长周小川提出的一个金融概念。金融生态环境,实质上就是指金融行业发展过程中的外部环境。随着全球金融危机的出现,针对我国经济环境中日益突出的一些矛盾,造成我国金融生产环境处于不太理想的状况,影响我国商业银行的快速发展。
商业银行发展过程中面临的主要问题,主要包括:第一,法制环境存在一定的缺陷。我国现有的法律法规还有待完善,促进金融行业发展的实际方式、措施还比较少,司法机关在对金融机构与企业、个人之间出现的利益冲突案件进行审判的时候,无法做到公正、公平。第二,中小企业资金成本处于高度紧张状态,资金链处于断裂的边缘,融资十分的困难,中小企业的生存与发展面临着非常严峻的考验,在很大程度上增加了信用风险与市场风险,同时还增大了金融操作风险;第三,金融服务水平无法满足区域经济发展过程中的需求;第四,随着我国经济的快速发展,我国经济发展对于银行信贷的依赖性越来越大,这在很大程度上增加了一些金融机构运营过程中不良贷款状况的出现次数,加上国家宏观调控在一定程度上兼容了银行在放贷方面的能力,对经济的信贷投入造成了严重的影响,加剧了企业在资金供求方面的矛盾,尤其是中小企业。第五,政府信用环境不太理想,对于金融债券的落实有着十分严重的影响;金融债务的具体落实情况一般,金融债权并没有得到充分的落实,而且金融债权的具体落实与政府存在一定的联系;第六,企业法人的治理结构存在一定的缺陷,企业财务管理存在权限,很多企业都会借助改制、破产等名义逃离亏欠银行的一系列债务,与当地金融机构出现金融纠纷。
三、商业银行内控风险管理现状分析
商业银行内控风险管理直接关系着商业银行能否正常运营,它是商业银行各项工作在开展过程中的重要事项。我国商业银行在发展过程中,虽然经历了引进外资、资产重组以及路演上市等一系列事项,在整体内控方面有了非常大的改善,但是商业银行在新形势下,内控风险管理状况仍然不太理想。
(一)内控风险管理水平存在差异
现阶段,我国不同地区中不同的商业银行,在合规文化、风险意识以及业务素质等多个方面还存在一定的差异性。同时,商业银行会计跳线“短板效应”十分显著,一个木桶能够装有多少的水,主要在于木桶壁面上最短的木板的长度,而不是木桶壁面上最长木板的长度,即“短板效应”。“短板效应”对于商业银行加强内控风险管理工作具有十分深刻的警示。不同商业银行在管理水平与员工之间存在的差异,在很大程度上影响了商业银行会计内控管理工作的正常开展;针对这一实际情况,各个商业银行应当重视会计人员风险意识的提升,加大合规文化的建设力度,加强工作人员的业务培训,以此实现商业银行内控风险管理整体水平的提升。
(二)工作人员业务素质与产品更新不相适应
由于金融产品的更新十分迅速,商业银行中的新业务层出不穷,对于内部工作人员的培训很难达到理想的效果,各个工作人员对于新产品的了解程度与接受能力存在一定的差异性,怎样有效的控制这些因素所产生的操作风险,是商业银行在发展过程中面临的一个新问题。同时,银行业务会受到商业银行内部相关制度的制约,主要在于商业银行现有的制度创新与修订一般都无法跟上银行业务的更新速度,所以商业银行在业务方面容易出现风险。例如:我国各个商业银行对于财富管理业务、保险业务以及证券三方存管业务的推行。
(三)工作人员行为管理力度不足
从近几年我国银行业案件的发生情况来看,银行内部工作人员在工作上出现的违法乱纪行为是造成这些案件出现的主要原因。因此,商业银行在发展过程中应当充分重视工作人员行为管理力度的加大,这对于内控风险管理十分重要。目前,社会中的诱惑多样化,人们的生活节奏逐渐加快,在工作上的压力也越来越大,价值股票市场中的行情多变,造成一些银行工作人员在心态上失去平衡,脱离了社会道德标准,造成银行业案件的发生。商业银行中的管理人员,应当重视基层工作人员的工作监督,及时发现并解决相关问题,还要加强与基层工作人员的交流与沟通,重视心理疏导的作用,避免不良事故的出现。
四、商业银行内控风险管理技术方法以及应用的分析
(一)信用风险管理
信用风险,实质上就是指交易债务人或者对手无法有效履行合约或者信用出现变化而造成交易债权人或者另一方的权益受损的潜在风险,它普遍存在于商业银行的授信业务中,主要包括信用价差风险(cred it spread risk)与违约风险(defau risk)。
1.内部评级法。在经过多次国际金融振荡后,国际银行业建立了相应的数学模型对信用风险进行合理的度量,需要强调的是数据模型具有很强的技术性。2004年的《巴塞尔新资本协议》,主要将市场纪律、当局监管以及最低资本要求作为支撑,对现代信用风险管理模型进行构建,重点突出风险计量的标准化、敏感性以及精确性,强调内部评级法(In ternal Ratings-Based Approaches,IRB)在银行风险管理工作的重要作用与核心地位,对于全球银行业发展格局的改变具有十分重要影响。内部评级法,主要包括以下几个基本要素:①敞口分类:项目融资、零售业务、银行、国家、股权以及公司业务等;②风险权重;③监管方法;④最低要求;⑤风险要素:期限、违约总敞口头寸、给定违约概率中的损失率以及违约概率等。
2.传统信用风险度量。传统信用风险度量的方法,主要包括:传统信用评级、信用评分方法(ZETA模型、Z模型)、贷款风险度测算以及专家评定制度(5P、5W、6C原则)。传统方法十分简便,方便操作,但是存在相关的不足之处,主要体现在将会计账面价值作为基础的时候,无法将企业实情全面的反映出来,而且动态性比较差;主要依赖于定性分析,主观随意性比较大,而且效率也比较低。
3.信用风险管理工具。信用风险管理工具主要包括:贷款直接转让、银团贷款、授信限额、信用衍生、贷款证券化工具。
4.现代信用风险度量模型。就目前来看,国际金融界十分流行的内部信用风险模型,主要包括沃特曼死亡率模型、瑞士信贷银行的信用风险附加模型、麦肯锡公司的宏观模拟、JP摩根的信用矩阵以及KMV模型等。其中,JP摩根的信用矩阵与KMV模型最具代表性。
(二)市场风险管理
市场风险,又可以将其称为价格风险,主要是指可交易资产的价值或者被用于资产出现的变化而造成的损失风险,主要包括汇率风险与利率风险。
1.市场风险管理工具。外汇风险管理,主要包括外汇期权、货币互换、金融衍生工具以及敞口限额等;利率风险管理,主要包括资产负债管理、利率金融衍生工具、基于VaR的管理等。
2.实诚风险度量。汇率风险度量,主要包括时间、外币以及本币等多个要素,可以姜切划分为经济风险、交易风险以及会计风险。利率风险度量,主要包括全值法、凸性分析、持续期、Var方法以及敏感性缺口分析等。综合风险度量,主要包括情景分析法、VaR方法、压力测试法以及风险状况图。
(三)操作风险管理
操作风险,实质上就是由于内控控制不完善、外部事件、制度失效以及人为错误等一系列事项造成直接损失或者间接损失的可能性,主要是银行内部中可以控制范围内的内生风险,主要包括商誉与法律风险、欺诈风险、信息技术风险以及控制风险。
1.操作风险管理。保险是银行风险管理中非常重要的一个工具,主要包括与操作风险种类相匹配的保险、再保险与保单合格标准以及合同对方风险与保障范围。
2.操作风险度量。主要包括内部衡量法、极值理论方法、损失分布法以及基本指标法。
3.资本准备金与保险的代替计量。内部衡量法、极值理论方法、损失分布法以及基本指标法等主要计算方法为限额法与保费法。
(四)商业银行内控风险管理技术的应用分析
客户评级与债项评价都是信贷风险管理过程中的基础部分,根据客户评级与债项评价与贷款逾期损失率之间存在的关系,可以对10级以上的评级矩阵表进行构建,以此提高商业银行内控风险管理的整体水平。如表1所示,债项评价、客户评级与贷款风险分类之间的关系。
表1 评级矩阵表
五、结语
现阶段,我国金融领域中频繁出现银行内部人员与外界人员联合进行金融诈骗、挪用银行资金以及盗取客户资金等一系列重大刑事案件,不仅严重影响了银行的正常运行,造成银行出现巨大的经济损失,而且在很大程度上破坏了我国银行业的商业信誉与社会形象;同时,阻碍了我国商业银行的快速发展。针对这一实际情况,我国商业银行在内控风险管理方面,应当严格执行各项内控制度,通过对风险管理流程的优化以及管理方式的创新,提高银行业务的操作效率,创造一个良好的风险管理控制环境,为银行业务提供高效、有序以及安全的运营保障,促进商业银行的快速发展。
参考文献
[1]康荟,程慧容,向存忠.商业银行内控风险管理技术方法及应用[J].现代商业,2011(32).
[2]张晓琦.我国商业银行信用风险度量及管理研究[D].哈尔滨工程大学,2011.
[3]李永华.中国商业银行全面风险管理问题研究[D].武汉大学,2013.
[4]贾锐.商业银行风险管理及防范问题研究[D].河南大学,2012.
[5]聂琳.内部控制视角下我国商业银行风险管理策略研究[D].财政部财政科学研究所,2012.
[6]李思宇.我国商业银行会计操作风险及其控制研究[D].西南财经大学,2012.
[7]吴琳.中小商业银行操作风险控制研究[D].山东大学,2012.
[8]刘新宇.基于全面风险管理的中国商业银行内部控制研究[D].辽宁大学,2011.
[9]徐建明.我国商业银行金融衍生品信用风险管理分析[D].山东大学,2013.
