時間:2023-09-11 17:41:40
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇內控合規與風險管理的關系,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】風險管理,內部控制,內部審計
一、健全企業風險管理的必要性
當今現代企業面對著許多隱藏在不同層次的各種風險, 使利潤的增長變得不穩定, 而同時現代企業又要面對投資者不斷提高的各種要求, 因而迫切需要采取各種方法控制風險, 避免損失。現代企業風險管理的手段不應是在企業內部另外增加一個成本高昂的官僚管理機構, 它應該能夠幫助企業建立并強化應對困難的組織能力, 這也是現代企業能夠在當今不斷變化的全球經濟中生存所必須擁有的一種關鍵能力, 就是現代企業必須構建一種切實有效的內部控制框架體系。
二、風險管理與內部控制、內部審計的關系
(一)風險管理與內部控制
內部控制與風險管理有著密切的聯系。COSO 認為,內部控制是風險管理的一部分。COSO 對內部控制與風險管理的定義及其組成要素分別是:
內部控制:企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的準確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。它包括五個方面的組成要素:控制環境、風險評估、控制活動、信息與溝通、監督。
風險管理:企業風險管理是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用于戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,并按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。它有八個組成要素:內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監督。
從COSO 的兩份報告來看,企業風險管理與內部控制有以下相似或不同之處:第一, 它們都是由“企業董事會、管理層以及其他人員共同實施的”,強調了全員參與的觀點,指出各方在內部控制或風險管理中都有相應的角色與職責。第二,它們都明確是一個“過程”,不能當作某種靜態的東西,如制度文件、技術模型等,也不是單獨或額外的活動,如檢查評估等,最好是內置于企業日常管理過程中,作為一種常規運行的機制來建設。第三,它們都是為企業目標的實現提供合理的保證。風險管理的目標有四類,其中三類與內部控制相重合,即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展,它不僅包括財務報告的準確性,還要求所有對內對外的非財務類報告準確可靠。第四,風險管理與內部控制的組成要素有五個方面是重合的,即(控制或內部) 環境、風險評估、控制活動、信息與溝通、監督。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。第五,風險管理提出了風險組合與整體風險管理的新觀念。《企業風險管理框架》借用現代金融理論中的資產組合理論,提出了風險組合與整體管理的觀念,要求從企業層面上總體把握分散于企業各層次及各部門的風險暴露,以統籌考慮風險對策,防止分部門分散考慮與應對風險,如將風險割裂在技術、財務、信息科技、環境、安全、質量、審計等部門,并考慮到風險事件之間的交互影響
(二)內部控制與內部審計的關系
澄清認識,轉變觀念,正確處理內控與內審的關系,是加強企業內控的前提。在實際工作中,內控工作往往被領導委派給內審部門去計劃和安排,原因是多方面的。首先,一些單位沒有理解內控工作的內涵,簡單地把內控任務交給本單位的內審部門。其次,具體業務部門有重業務經營,輕管理控制的傳統傾向。有些業務和管理部門習慣于執行各種業務的“硬指標”,而把內控作為“ 軟任務” 推給“綜合部門”去應付。 第三,盡管各經濟實體中都存在內控制度和控制機制,但其控制系統有不同程度的缺陷。第四,內審部門曾經是缺乏權威性的比較薄弱的部門,現在雖然提高了該部門的地位,但在許多單位仍顯現不出稽核部門足夠的重要性。
要正確理解內控與內部審計的關系,明確內控主要是經營管理部門的責任,對內控的檢查評價也主要是經營管理部門的責任;同時,內部審計部門要把工作的重點盡快轉向對經營管理的內控系統進行有效的和全面的審計再監督,并在監督評審中注意保持獨立性,建議和敦促經營管理部門糾正控制的缺陷。
三、對內部控制制度設計的一些建議
在內部控制制度的設計上,必須轉變觀念,以風險管理為中心來設計企業的內部控制制度。
(一)開展建章立制,搞好內部控制制度的創新。依據有關的法規政策,認真分析解剖自己企業存在的問題,抓住改進和改善企業管理水平和管理效率這個中心,圍繞減少企業風險,提高企業經濟效益和贏利水平這個核心,制訂本企業內部控制制度或具體的實施辦法。
(二)分級風險管理。風險可以分為戰略風險、日常經營管理風險、財務風險。 對于涉及到戰略風險,如合并兼并、重大的投融資、新產品的開發等涉及到企業未來發展的重大前景的,要通過股東大會或董事會的進行表決。
(三)搞好內部會計控制的體系建設。
1.建立內部會計控制的班底。就公司制的企業而言,董事會、監事會、總經理層為內部控制機構的建立、職責分工與制約提供了基本的組織框架,應該結合自身特點建立適合企業內部控制需要的職能機構。董事會下可以設立包括審計委員會在內的若干專業委員會,作為實施決策和內部控制的支持機構。
2. 建立和完善內部審計制度,促使企業的經營管理正常進行。內部審計是企業對其內部各項經濟活動和管理制度是否合理、合規、有效所進行的監督和評價,它可以說是其他內部控制的再控制。內部審計有助于企業發現經營管理中存在的問題,對于促進企業依法經營,提高會計信息質量有十分重要的作用。
一、華北電網有限公司風險管理與內控管理的現狀
華北電網有限公司于2009年開始啟動財務風險管理系統建設項目。目前已經初步建成理念創新、方法先進、亮點突出、體現華北公司業務特色的風險管理系統。(1)風險管理組織架構建設:按照國資委建立風險管理三道防線的要求,以及國家電網的建立風險管理架構要求,華北公司建立了包括全面風險管理委員會、全面風險管理辦公室、公司各業務部門的組織架構,且在各直屬單位建立了同樣的組織架構。(2)逐步形成公司風險管理文化:完成《財務風險管理手冊》中《資金分冊》、《預算分冊》、《基建分冊》、《會計報告分冊》和《產權分冊》的編寫;完善公司的《風險管理數據檢查方案》用于規范各單位的數據使用;制定《華北電網有限公司財務管理定性評價辦法》,使綜合管理和專業管理相結合,逐步形成公司財務管理評價的制度體系;初步編寫完成《華北電網公司財務風險管理使用規范》,規范上線單位和非上線單位的風險管理工作。(3)公司提出“三條主線”的風險管理核心思路:提出指標預警看風險、內部控制查風險、管理評價控風險的核心思路。通過設定指標閥值對風險情況進行分級預警,以此對指標異動分析發現風險;將風險管理活動嵌入在業務環節中,及時發現業務缺陷,促進各單位完善各項內控措施;通過管理評價,促進財務工作標準化、規范化、流程化和績效評價科學化。
二、華北電網有限公司財務內部控制體系建設的現狀
自2009年開始,華北電網有限公司開始建立企業內部控制管理體系。公司與2010年頒布《華北電網財務內部控制手冊》,用于規范企業財務管理。財務內部控制手冊是對華北電網有限公司有效執行內部控制規范做出的具體規定和詳細說明。財務內部控制手冊按照公司財務不同業務將財務內部控制劃分為15項具體內容:資金管理、采購、收入、工程項目、固定資產與無形資產管理、存貨、融資、對外投資、預算管理、生產成本、擔保、關聯交易、稅金、財務報告及信息系統。財務內部控制手冊以業務流程為線索,每一項具體內容即為一個業務流程,通過對每一項具體業務的分析,識別財務部在該業務中的風險點,找出或設計應對風險的控制點,以完善財務內部控制建設。財務內部控制手冊適用于華北電網有限公司本部、直屬公司、分支機構及下屬地市公司財務部。手冊中國家電網公司總部簡稱國網總部,華北電網有限公司簡稱本部,省網公司簡稱省公司,華北電網有限公司的直屬公司、分支機構及下屬地市公司簡稱地市公司。為提高公司財務內部控制執行力,建立健全財務內部控制體系,規范財務管理,防范財務風險,實現國有資產保值增值,促進公司持續健康穩定發展,制定本辦法。公司于2010年下半年,正式頒布《華北電網有限公司財務內部控制評價指引》,對各單位財務內部控制體系的建立健全和執行情況,開展調查、測試、分析和評估的工作。同時,公司不斷地通過信息化手段促進制度的落實。公司財務風險管理系統建立了財務管理評價子系統,用于對地市級公司及縣級公司財務管理工作的評價。管理評價子系統分為:評價指標庫和管理評價流程兩大功能。其中,評價指標基于國網公司管理內部控制評價指引的要求建立,形成了具有華北特色的業務類別,共有100多項評價指標。管理評價流程基于華北特色,形成了自評打分和二次評價打分相結合的評價機制,更好地體現了評價的科學性,增強了評價結果的可信度。
三、華北電網有限公司財務管理與內控管理的實施
華北電網財務風險管理和財務內控管理的建設分為三個階段:風險管理咨詢階段、風險管理系統建設階段、風險管理推廣實施階段。表1是關于風險管理和內控管理的重要時間表。其一,風險管理與內控管理的系統外結合———財務風險管理手冊(見圖1)。財務風險管理手冊作為財務風險管理系統的有機組成部分,其測試結果與系統內特定風險事件相關聯,可追溯至特定風險源及相應防控、緩控措施。財務風險管理手冊內容架構財務風險管理手冊分為資金管理、預算績效、資產與產權、電價管理、會計核算與財務報告、財務信息系統六個業務分冊。每個業務分冊包含華北電網對應業務方面的主要業務流程,每個業務流程由若干子流程構成。每個主業務流程包含結構索引、業務概述、華北電網業務概況、流程描述四大部分。(1)結構索引。結構索引為編制本手冊的內在理論邏輯。以財政部頒布的《企業內部控制配套指引》為基準,擴展到對應業務點的標準化內控流程———包括控制目標和控制活動及測試方法。在章節的子流程中,控制活動與華北電網的具體業務環節相對應。特定的業務環節作為控制活動保證企業控制目標的實現,并從風險管理角度對應到相應風險事件及防控緩控措施。見表2:結構索引以《企業內部控制配套指引》為基準,為企業內部控制制度的全面性和合規性提供依據。標準化內控流程為內控指引在企業實際業務中的具體運用,包括特定控制目標、保證目標實現的控制活動及針對性的測試方法,有助于檢測企業具體業務流程中內控設計的完整性和合理性。對應風險為特定業務環節保證失效時產生的企業經營風險,以及針對風險應采取的事先防控和事后緩控措施。(2)業務概述。業務概述為該業務流程的普遍定義及一般性內容。(3)華北電網業務概況。華北電網業務概況為華北電網該業務流程的特點。包括業務內容特點、業務權限特點、業務范圍特點等。(4)流程描述。流程描述為該主流程下的子流程內容細化,每個子流程包含六個部分:一是業務流程圖。業務流程圖為該子流程主要操作的圖形展示。按照業務環節操作關系進行環節編號,表示其先后時間或邏輯順序。環節編號與下一步內容中的業務環節描述相對應。二是業務環節描述。業務環節描述是對流程圖中每一個業務環節的細化描述,包括每個業務環節的操作部門及職位、操作內容、流轉單據等,其環節編號與流程圖內環節編號對應一致,并與主流程結構索引中的內部控制-控制活動相對應,是標準化內控在企業具體實務作業中的展現。三是業務風險索引。業務風險索引是針對每一個業務流程中的業務環節與控制活動、風險事件建立的對應關系。四是業務記錄。業務記錄是該項業務進行過程中流轉的單據及保存的記錄,是內控測試的主要對象。業務記錄既包括企業的內部業務單據如支付申請、系統發票等,也包括外部第三方的原始單據如銀行進賬單、供應商發票等,還包括企業賬務處理的記錄單據如入賬憑證等。財務風險管理手冊的業務記錄包括單據及其編制人、審核人、審批人及其所對應的業務環節編號,是業務記錄與業務流程的對應和統一。五是賬務處理。賬務處理為該子流程中涉及到的會計處理內容,部分流程如采購合同簽訂、年度資金計劃編制等不涉及該部分內容。賬務處理是內部控制手冊與華北電網標準化會計核算流程的統一,其目的是為企業的財務信息準確性和完整性提供保證。見表3:六是內控測試數據。內控測試數據為該子流程對應的內控測試內容,是財務風險管理手冊系統化的關鍵內容。其主要包括該子流程中的主要業務記錄及流轉單據間的邏輯關系。其邏輯關系是通過各記錄及單據主要字段間的追蹤匹配來實現的。以目前系統內已實現的采購流程為例,采購合同、采購訂單、支付申請、資金計劃、入賬憑證、銀行單據等構成采購流程的主要業務記錄。對各記錄的主要字段進行數據抽取,對照企業業務規范進行測試,對異常記錄進行匯總報告。財務風險管理手冊宏觀上以《企業內部控制配套指引》為基準,微觀上落實到流程中的具體業務環節,業務環節描述、業務記錄、賬務處理、業務流程圖中的業務環節通過統一的環節編號相互索引,并同時關聯到標準化控制活動及控制偏差引發的風險事件。見圖2:其二,風險管理與內控管理的系統內結合———財務風險管理系統。風險管理與內控管理的系統內結合主要體現在:風險基礎信息庫、風險地圖、內控測試、內控任務、日常工作稽核。(1)風險基礎信息庫。風險信息庫是風險識別的成果,把識別出來的風險事件庫轉化到信息系統中,是整個財務風險管理系統的基礎,包括風險管理的所有基礎信息。風險信息庫有效結合了風險管理體系中的風險事件庫和內控管理體系中的控制矩陣。以控制活動與風險事件的對應關系為切入點,把風險管理與內控管理相結合。通過風險事件庫的核心風險—風險事件、內控矩陣中的控制活動,搭建風險管理和內控管理的結合點。(2)風險地圖。根據財務風險管理手冊,結合財務風險管理系統開發風險地圖功能模塊,把手冊中的流程圖、業務環節描述、風險點索引、業務記錄落地到系統中。通過風險地圖上的操作可以查看風險點、分析風險點、測試風險等。(3)內控測試。內控測試是對業務流程中存在的風險點、控制點進行的測試,包括穿行測試和控制測試。通過內控測試發現問題可以在風險管理中進行風險應對。穿行測試是指選擇具有代表性的經濟交易事項作為測試樣本,對貫穿業務流程中所有控制點進行檢查的活動。測試的目的是驗證風險控制矩陣(索引)中描述的控制活動是否正確,各環節是否按照其相關規定進行運行,是否存在控制設計及執行缺陷。測試對象為流程中各個子流程的所有控制點。控制測試是指根據既定的抽樣原則、方法和樣本量規定,對控制點是否按照內部控制手冊和控制矩陣(索引)的規定持續有效的執行進行檢查的活動。測試的目的是確認各子流程中關鍵控制點、重要控制點、一般控制點是否按照既定的控制設計持續有效執行。測試對象為各個子流程中的關鍵控制點、重要控制點、一般控制點。(4)內控任務。內控任務是指企業根據內控測試、專項稽核等工作中發現問題,通過內部的自查、抽查、整改進行內控管理的一種機制。內控任務的系統實現如下:通過內控測試報告中發起整改,進入系統中的發起整改頁面,可以對相關單位的人員發起整改,并在整改完成后系統自動通知整改發起人。在任務表頭可以填寫任務部門、計劃完成時間、任務崗位等。通過抄送可以把任務說明抄送給相關部門領導。通過內控任務將企業的內控流程固化到系統中。(5)日常工作稽核。稽核本身是企業內部管理的一種手段,日常稽核是對會計憑證、賬簿、財務報表等相關會計資料,以及會計崗位設置、會計核算、財務報告、檔案管理等財務基礎工作的審核,是保障日常財務工作的真實、合法、合規的必要手段。日常稽核的目的是及時糾正或者制止會計核算工作中的疏忽、錯誤,有效預防差錯和舞弊,保證會計信息的真實、準確,提高會計核算工作的質量。日常稽核的系統化本身就是對內控管理落地的一個體現。通過日常稽核的發起、審批、稽核、復核、反饋、評價等完成日常稽核的落地。綜上所述,華北電網財務風險管理和財務內控管理的思路、發展情況反映了風險管理與內控管理在系統外和系統內的有效結合。
作者:胡匯 單位:武漢科技大學城市學院
參考文獻:
[1]劉曉宏:《外匯風險管理戰略研究》,《復旦大學學報》2009年第10期。
[2]楊軻:《中國企業特征與風險管理程度的實證分析》,《會計研究》2010年第9期。
關鍵詞:商業銀行 操作風險 產生原因 控制舉措
中圖分類號:F830.4
文獻標識碼:A
文章編號:1004-4914(2013)02-208-02
一、操作風險的涵義及其成因
巴賽爾委員會對操作風險的定義是:“由于內部程序、人員、系統的不完善或失誤,或外部事件造成直接或間接損失的風險。”因此,操作風險密切相關的四個要素是:人、流程、系統、外部事件。近年來,隨著監管部門監管力度的加大、商業銀行風險管理的普遍加強以及全社會信息透明度的日益提高,商業銀行暴露了一批職務犯罪、金融欺詐、違規操作等違法違規違紀案件,尤其是一些大案要案,金額巨大,情節惡劣,給國家造成了重大經濟損失,也給銀行業信譽帶來了損害,嚴重影響了金融安全和社會穩定。操作風險幾乎覆蓋了商業銀行經營管理的各個方面,操作風險主要表現在:可預計損失的風險。即銀行在日常的營運活動中比較頻繁地發生的失誤或錯誤而導致損失的風險。這些風險發生的概率比較小,但嚴重程度一定很高;災難性損失的風險,即銀行在經營中所遭受突如其來的內部或外部對銀行的生存產生直接影響的風險。這種風險發生的概率極低,但是其后果非常嚴重,足以使銀行破產或倒閉。
造成操作風險的原因主要有以下四個方面:
1.銀行董事會治理結構有重大缺陷。一是所有者虛位,導致對人監管不夠。二是內部制衡機制不完善,董事會、監事會、經營管理層沒有真正起到相互制衡作用。三是存在“內部人”控制現象。由于治理結構不健全,很容易導致高管人員的道德風險。分支行主要負責人的權力過大,也容易形成“內部人”控制的局面。四是內部控制能力削弱。由于商業銀行內部管理鏈條長、層次多,信息交流不對稱,又沒有良好的全流程監控,致使分支機構潛伏問題令人防不勝防。
2.風險管理制度建設不到位。一是在發展與風險控制關系上重發展輕控制;在任務執行上重領導托辦輕制度規定;在操作流程上重習慣輕流程,使制度建設不能有效落實。
3.內控制度建設不完善,懲治不力。一是沒有形成系統的內部控制制度,重點部門和要害環節控制不到位,業務開拓與內部控制建設不同步。二是內控制度的整體性不夠。對所屬分支機構控制不力,對決策管理層缺乏有效監督。對業務人員監督較多,而對各級管理人員監督較少、制約力不強,內控制度缺乏剛性。三是內控制度的權威性不強,懲治力度不大。四是部分分支機構內控制度執行不力,有章不循、違規操作時有發生。
4.金融創新與金融風險并存。商業銀行為擴大市場份額,不斷推出金融新產品、新業務和新服務舉措,使產品、業務和服務的復雜程度不斷提高,如果內控制度沒有及時跟進,就會引發新的操作風險。商業銀行業務的電子化、自動化程度的提高,使銀行在各個地區的經營和各項產品的經營緊密地聯系在一起,若系統建設滯后就會使總行難以對分支行進行內部監控,如果銀行的電子化處理系統出現問題,很可能導致嚴重的甚至災難性的后果。
二、加強合規制度建設,防控操作風險
商業銀行是風險行業,分散化解金融風險是金融業的重要職能,防范風險是商業銀行永恒的主題。當前,在同業競爭日益加劇,內部改革不斷深化,外部監管不斷加強,銀行必須加大操作風險防控力度,扎實推進合規制度建設,深化內部體制機制改革。
1.完善公司治理結構。完善公司治理結構是商業銀行改革的核心。完善股東會、董事會、監事會及經理班子合理的制衡管理架構,加強制度約束,有效降低內部關聯交易和內部人控制的道德風險。
2.建立集中化、扁平化、專業化的風險管理體系。在戰略規劃、營銷、決策、信息等方面,積極探索和嘗試集中化、扁平化和專業化管理模式。加速業務流程整合,實施業務集中規范管理;建立覆蓋全面業務、部門的信息管理系統;推行客戶經理制、產品經理制和風險經理制,確保風險管理盡責到位。
3.理順風險控制部門和其他職能部門的關系。加強操作風險管理與信用風險、市場風險和流動性風險管理的溝通,防止出現風險管理真空或重復管理。創造條件實施對業務部門和分支機構合規人員實施派駐制,前移風險控制關口,增強風險管理的獨立性和有效性。
三、加大法律合規制度建設
合規風險管理是指銀行規避違章事件發生,主動發現并采取適當措施糾正已發生的違規事件的內部控制活動,它是構建銀行有效的內部控制的基礎。
1.合規經營是促進銀行業務健康發展的內在需求。國內外許多實踐證明,嚴重的合規缺陷會給銀行生存造成致命的威脅,而健全的合規管理可以增加企業的競爭力,提高銀行業務效益,提升銀行聲譽。如果銀行無視這些行為準則而違規經營,輕則給銀行自身帶來經濟、聲譽的損失,重則會影響到銀行的生存發展。
2.加強合規風險管理是強化銀行內部治理需要。一家先進的銀行必須有良好的合規制度做支撐,否則銀行想確立戰略目標很困難。如果商業銀行的從業人員對銀行內部規章視而不見,很容易導致重大違規事件甚至違法案件的發生。
四、加強銀行合規建設的舉措建議
1.加強合規制度建設。要遵循“標本兼治、重在治本”的原則,根據“一項業務一本手冊,一個流程一項制度,一個崗位一套規定”的要求,認真做好對現有規章制度的評估梳理、修訂和完善,健全完善各項管理制度和業務操作規程,為有效防范操作風險提供制度基礎。
2.健全監督糾正機制。健全授權授信體系,實行統一法人管理和授權;建立必要的職責分離,橫縱向相互監督的制度;明確關鍵崗位、特殊崗位、不相容崗位及其控制要求,積極開展內部控制評價,形成合理的內控管理激勵約束機制;充分發揮職能部門自律監管和內部審計的作用,采取多種形式積極排查各類風險隱患,并對檢查中發現的各類違規違紀問題,加大責任追究力度。
3.完善合規風險管理長效機制。建立和完善合規風險管理長效機制是合規管理目標實現的重要途徑。合規績效考核制度、合規問責制度和誠信舉報制度是合規風險管理長效機制的三個支柱性制度。建立科學的合規績效考核制度,將銀行整體績效、團體績效和個人績效有機結合,建立與崗位職責相聯系的合規績效目標,構建“合規創造價值”的目標導向,落實激勵約束,實施有獎有罰,充分體現銀行倡導合規與懲處違規的價值理念,使合規風險意識真正貫穿于整個業務流程。切實有效的合規問責制,是解決有章不循,有規不循的關鍵。建立誠信舉報監督制度,為員工舉報違規、違法行為提供必要的渠道和途徑,鼓勵員工舉報不合規行為,強化對違規行為的有效監督。
4.以人為本,充分重視人在合規建設中的作用。銀行經營管理諸多要素中,人是最基本最活躍的因素,人既是管理的對象,又是管理的動力。健全的體制要靠高素質的隊伍去堅持和完善,現代化的管理技術和手段要靠高素質的隊伍去掌握和運用。
要改善合規人員配備,加強合規隊伍建設。一是選拔有一定資質、經驗、從業經歷和專業素質,能正確執行法律、規則和標準,具有誠實正直品格的人員充實到合規人員隊伍中。二是強化全員合規培訓,提高一線員工和管理人員的合規能力,逐步具備與崗位合規要求相匹配的職業素養,更好識別和控制合規風險。
參考文獻:
1.陳元富.商業銀行內生性操作風險生成機理與防范對策.現代經濟信息,2011(4)
2.胡昆.商業銀行風險管理文化建設的思考,華南金融電腦,2008(12)
3.謝應東.我國商業銀行風險管理文化的陪育和發展.金融與經濟,2006(8)
4.竇洪權.銀行公司治理分析.中信出版社,2005
發起行對村鎮銀行的垂直風險管理體系
《指引》規定“農村中小金融機構可根據業務發展需要設置首席風險官(風險總監),首席風險官負責分管風險管理條線工作,不得分管前臺業務工作,直接對行長(主任)負責”。結合發起行對村鎮銀行的管理職責,發起行可通過派駐村鎮銀行首席風險官方式,對其發起設立的村鎮銀行實行垂直、獨立的風險管理。派駐村鎮銀行首席風險官向發起行及村鎮銀行董事會、行長負責,在發起行村鎮銀行管理總部及村鎮銀行行長領導下開展工作,屬于村鎮銀行經營層,接受村鎮銀行董事會及所在地監管部門的高管資格審定和考核。借鑒《指引》相關規定,發起行派駐首席風險官對村鎮銀行的風險管理目標是“三個確保”,即確保持續發展、確保審慎合規經營、確保風險可控。
推行派駐村鎮銀行首席風險官模式后,發起行對村鎮銀行的垂直、獨立風險管理組織架構可分為三層,分別是發起行村鎮銀行管理總部、派駐村鎮銀行首席風險官、村鎮銀行風險管理部。風險管理組織架構及報告路線如下圖:
發起行村鎮銀行管理總部的垂直風險管理
一是制訂并下發發起行對村鎮銀行的風險管理政策或意見。通常包括信貸投向、信貸結構、行業及客戶限額、流動性管理指標、合規與操作風險控制要求等,對村鎮銀行的業務發展、內控建設與風險管理提出方向性意見。村鎮銀行管理總部對此意見進行督促落實。
二是按月開展非現場風險指標監測,對村鎮銀行進行風險預警和分析。村鎮銀行須定期向發起行報告相關風險指標監測表,前期指標主要包括信用風險指標、流動性風險指標和限額指標,如指標發生異常變化則下發風險提示書或整改意見書,進行調整或控制。
三是指導各村鎮銀行首席風險官開展風險排查并要求其上報風險報告,以便全面了解和掌握村鎮銀行內控、合規與風險管理情況,進行風險監測和指導。
四是針對業務異常變化或風險指標變化,組織風險、合規人員進行現場風險排查或專項業務檢查,有效識別和控制風險。
五是制訂并推動實施村鎮銀行內控評價辦法和實施細則,按年組織審計人員對村鎮銀行開展全面內控審計評價,對村鎮銀行內控及風險管理情況進行稽核監督,持續跟蹤管理變化,并對發現問題下發審計整改意見書并進行后續審計監督。
六是開展以內控及風險管理為核心的績效考核。通過設置貸款五級分類準確性、不良貸款率、成本收入比、人均工資總額、貸款撥備比率、發起行內控評級、監管評級等指標,引導村鎮銀行全力構建符合村鎮銀行特色和監管要求的風險管理機制,達到穩增長、控風險的可持續經營目標。
派駐首席風險官對村鎮銀行的垂直風險管理
派駐村鎮銀行首席風險官應按照《指引》規定,負責村鎮銀行內部垂直、獨立的風險管理機制和組織體系建設,并對風險進行統一、垂直、全面管理。具體工作如下:一是牽頭組織擬訂村鎮銀行所需各項風險管理制度、流程,并推動實施。二是組織推動村鎮銀行內部控制體系建設,督促建立健全內部控制體系并組織監督檢查。三是組織開展村鎮銀行各項風險識別、評估、監測、檢查及控制工作;指導風險管理部制訂各項風險管理計劃。四是組織開展村鎮銀行授權管理,并對授權工作執行情況進行監督檢查。五是組織實施村鎮銀行授信客戶信用評級、信貸資產分類及不良貸款的管理,組織授信業務審批、管理,負責村鎮銀行授信審批委員會工作。六是負責指導村鎮銀行風險管理部配合財務管理部門開展全行流動性風險管理。
同時還負有以下職責:一是組織落實發起行對村鎮銀行的風險管理政策、制度及相關要求,推進村鎮銀行按照發起行要求和自身市場定位開展業務及風險管理工作,并實時監督、檢查執行情況。二是負責定期、不定期向發起行進行獨立風險報告和預警。三是配合發起行對村鎮銀行開展風險排查、審計稽核工作。
為確保有效履行上述職責,派駐首席風險官應賦予超出一般高級管理人員的更廣泛地知情權、審貸一票否決權、檢查監督權、獨立報告權、處罰權等權力。
村鎮銀行內部的垂直風險管理
村鎮銀行內部的風險管理應設置“三道防線”,《指引》規定“各業務部門是第一道防線,負責本部門和本業務條線風險管理的日常工作,對本部門和本業務條線的風險管理負第一責任”,第二道防線是首席風險官領導下的風險管理部門(在村鎮銀行規模較小時與合規部門合并設立),第三道防線是審計部門(見上圖)。同時,按照《指引》規定,風險管理部可通過向業務部門或分支機構委派風險管理人員實施垂直、獨立的風險管理。委派的風險管理人員獨立實施風險審查,直接對風險管理部門負責。村鎮銀行垂直、獨立、集中的風險管理架構如下圖:
發起行對派駐村鎮銀行首席風險官的垂直管理
一是為了確保發起行對村鎮銀行風險管理的獨立性、有效性,派駐村鎮銀行首席風險官人事關系應隸屬發起行,由發起行村鎮銀行管理部門秉承“統一管理、統一調配、統一考核、統一薪酬”的原則對其進行人力資源管理工作。
二是派駐村鎮銀行首席風險官應推行定期“輪崗制”。從增強首席風險官的風險管理能力及防范單體風險的角度出發,應進行定期崗位交流,在同一村鎮銀行連續任職時間不應超過兩屆。
三是績效考核。發起行應負責對其進行績效考核并發放薪酬,基本薪酬應參照村鎮銀行高管設定,績效薪酬考核應遵循“注重實績,結果考核與過程考核相結合,定量考核與定性考核相結合,發起行考核與所在村鎮銀行考核相結合”的原則確定。考核內容可以圍繞村鎮銀行風險管理機制建設的核心指標設置,同時參考村鎮銀行監管評級確定,以有力促進村鎮銀行風險管理能力提升。指標設計時至少應包括以下內容:內控體系建設(以發起行內控評價為準)、監管評級、風險報告、貸款資產風險分類偏離度、不良貸款率、不良資產處置率、重大事項報告及時有效性、案件及責任事故等。
實施派駐首席風險官制的成效分析
通過石嘴山銀行對發起設立村鎮銀行派駐首席風險官與派駐前的實踐對比,派駐村鎮銀行首席風險官機制在促進村鎮銀行風險管理機制建設方面取得了以下成效:
一是由于村鎮銀行更多地考慮所在地政府及股東的影響,在市場定位及信貸投向方面有可能發生不同程度地偏離,通過派駐首席風險官的統一控制,能夠更好地堅持村鎮銀行的市場定位和信貸政策。
二是由于受股東回報率的影響,村鎮銀行可能會追逐短期利益,通過派駐首席風險官制度,能夠更好地執行審慎經營原則,嚴格按照監管要求和發起行風險管理政策合規開展相關業務工作,更好地選擇忠實穩定的客戶,促進村鎮銀行穩健發展。
三是當前村鎮銀行大多實行總行風險管理部統一風險審查、集中管理的模式,在風險管理的獨立性、及時性上存在一定缺陷。通過派駐首席風險官制度,一方面推進了總行授信審批委員會的獨立性與有效性,另一方面通過在支行派駐風險經理模式,提高了支行授信審批效率,統一了全行合規與風險管理理念。
四是通過派駐首席風險官制度,推進了發起行風險管理政策的有效執行,促進了村鎮銀行獨立、垂直、集中的風險管理體系建設,促進了村鎮銀行有效實施全面風險管理。
一、風險管理與內部控制兩者的聯系
內部控制產生和發展的主要動力是因為企業存在又風險,兩者之間是不可分離的關系,兩者之間的結合是可以有互補作用的,兩者相輔相成可以使企業長久平穩的發展。首先,內部控制與風險管理的組成有相同之處,風險管理中的要點五個與內部控制的要點重合。其次,它們的工作都是全體公司人員參與。第三,它們工作的目標是相同的,風險管理的管理策略是在內部控制制度的基礎上添加的。第四,風險管理是內控制度的目的,內部控制是企業實施風險管理的有效手段,就我國現狀而言,兩者之間還沒有比較相同的觀點。但是我國現在認同的觀點是三種:第一種是認為內控制度中包括有風險管理,內部控制包含的內容遠遠多于風險管理;第二種觀點恰恰相反,他們認為內控制度含于風險管理;第三種觀點認為兩者沒有什么區別,風險管理等同與內部控制。筆者認為,內部控制、風險管理是相互關聯的,兩者之間互相影響、互相約束,風險管理可以控制內控制度是否可以去有效的實施,而內控制度就是風險管理的目的,為了更好的實施管理制度與目的,所以應該將他們結合起來。
二、風險管理視角下企業內控制度建設存在的問題
(一)內控制度滯后
我國很多企業的內部都有環境不夠理想的問題。根本的因素就是公司的管理層對內部控制不了解,不明白它的重要性,不知道它的積極作用,一味的追求業務規模和發展速度,都不去重視內控制度的作用,使得內部控制發揮不出應該有的作用,內部控制的實施也沒有達到應有的效果。如在財務管理方面,企業領導者掌握著財務大權,但卻不熟悉財務管理理論與方法,在實際操作中越權行事,內部控制制度、稽核制度形同虛設。又如在固定資產管理方面,一些房屋建筑沒有經過實際論證就上馬修建,但建成幾年后就閑置起來,造成資源浪費,還有一些適當維修后就可繼續利用的設備,被隨意放置,提前報廢。也有一些企業存在治理結構不合理的問題,比如企業管理人員的水平過低、經營和管理能力不夠等等,也缺乏完善的治理結構;再次,員工們的品質是重要的,因為它會影響團隊的合作效果,同時員工們也缺乏創新。所以,公司的任職是很重要的,它直接的影響到公司內控制度是否能夠真正的實行下去。
(二)風險管理體系有待健全
管理體系在內部控制中占有重要的地位,從內部控制的角度來看,企業要自主的去判斷風險,預計有可能到來的風險,才能制定出合適的策略去躲避風險,降低風險幾率,就目前來看,本國的防范風險意識都很差,沒有一個健全的方法去評估風險,也沒有建立判斷、評估和管理風險的專業部門,用來采集風險信息,不時的調整策略的應對風險。我國很多企業的風險評估機構、提前預警機構、風險處理機構都不完善,沒有完整的風險管理系統,預防風險的實施力度不夠大。為了更好的利益,很多企業以高風險為代價進行違經營,這就將公司的風險率提高了。更有可能會導致公司損失財產,制約公司以后的發展。
(三)內控執行不到為
內控執行到不到位也會影響企業的發展,同時它也會對企業內部相關管理和控制的策略的實行、企業經營目標的實現產生影響。如果說內部控制機構是人的大腦,那么全體的員工就好比是執行原件,企業內部執行的力度不夠,即時內部控制機構制定的制度再完美也只是個形式而已。很多企業都制定了大量的規章、制度,但是也僅限于記錄在冊子上,沒有去認真的執行到位,有些公司的員工缺乏風險管理念,對它沒有一個正確的認識,只是為了應付企業的規章制度。更有些企業在內部控制制度的設計就存在問題,一直執行的是存在問題的內部控制制度。同時,公司員工的認知不夠徹底,從而導致內控制度起不到應該有的效果,還有的人員的素質就不過關,根本無法達到內控所設定的標準。公司都是高層制定的制度,公司內部控制的制度同樣沒有辦法約束這些高層,所以,高層應該有一個好的態度去執行內控制度,這樣才能起到帶頭的作用,給公司制造一個良好的環境,下面的工作人員才會認真執行到位,所以,高層對于內控制度的認知是至關重要的。
三、基于風險管理的企業內控制度的構建措施
企業應按照相關《基本規范》《配套指引》的要求,根據企業的實際狀況,設定一個好的管理體系,可以有效的去實行內控制度,有利于企業向著更好和更高的目標發展。具體來說,可以按照以下的幾方面付諸實施:
(一)強化內部控制力度
首先,內部控制的重要環境因素之一就是風險管理理念,它可以體現出企業經營者對風險的態度,更重要的是它還影響著企業的經營目標。企業必須將風險理念貫穿到各個環節,如在企業招投標中,應派遣專業人員確認投標企業的資質,歷史,信譽,能力等,避免低價中標等現象的出現。第二,建立完整企業的法規治理機制。完整的企業法規治理結構是內部控制和風險管理制度實施的重要手段。要想充分的發揮出管理機構在內部控制中的核心地位,還應該設計專門的機構來應對特別事項。如在財務管理中,應明確企業各級人員的權責,重大財務事項納必須經過討論和審批,財會部門要發揮好監督作用,企業領導應起決策指揮作用,而非事必躬親。第三,完善企業的人力資源管理機構,企業的核心工作人員是廣大員工,人才是發展的硬道理,為了公司可以更好更快的發展,設計一個激勵公司員工的體系勢在必行,在設計企業文化制度上,應該融入道德觀和價值觀,關注全體員工對企業核心價值的認同感,企業經營管理行為與企業文化的一致性以及員工對企業未來發展的信心,要考慮到員工對于企業的情感,員工與員工之間的情感,讓他們多交流,提高對公司的感情,這樣他們才會自覺的實行公司的防范風險制度。
(二)完善風險管理體系
企業風險管理是指企業對于風險管理的制度,員工們對制度執行的情況。企業完善風險管理體系的首要目標是培育良好的風險管理文化,建立健全集團風險管理體系,高層人員應該與底層人員有相同的標準,不能因人而異,提高他們的防范風險意識,這樣才能建立一個符合公司標準的內控制度。完善的風險管理體系首先應該可以識別企業面臨的各種事項,區別機會和風險,使引導管理層做出正確的策略。如在“三重一大”、企業大額投資等重大事項方面,企業領導班子必須以會議的形式進行集體討論,做到制度化、規范化、程序化,保障決策過程與結果的公正、民主、合理。其次,應該建立持續、動態的風險評估制度,也就是衡量企業所面臨的危險對企業有多么大的影響,確定企業是否可以承受該風險,并根據風險采取相應的措施。如在企業大額投資中,企業必須成立由領導帶頭,專業人士組隊,審計、財務部門監督的管理小組,對投資的各個環節實施全過程審計。應該注意的是,評估是一個持續的過程,因為企業所面臨的危險是持續變化的,需要對其進行持續的變量評估。在制定了相應的政策之后,各個執行單位應該做到多交流,互相要了解,這樣才能有效的發揮出所制定的策略,有效的實現內控制度。同時,設定一個獎勵機制,用來鞭策、鼓勵員工,這樣可以使內控制度得以有效進行,同時也可以加大了風險防范的實施力度。
(三)設立內部審計監督
內部審計保障內控制度是否能夠執行到位,設立一個公平的內部審計系統,它主要負責監督、評價、咨詢以及審計工作。內部審計監督人員必須要積極的參與到企業的各個工作環節當中,從5要素入手結合企業業務特點和管理要求對各種事項以及風險進行專業的全面評估,給管理層提供有價值的內審意見,盡最大的努力把企業風險損失率降至最低。內審監督的前提是必須有足夠的權威性,所以內審監督工作必須是獨立的,內審的人員必須保證公平公正的態度,這樣設立的內部審計才有意義,要不然就只是形式而已,內部審計的建立是是服務于內控制度,它的目的就是讓企業可以實行內控制度到位,讓企業向著更好的方向發展,在未來的道路上可以越走越遠,提高員工的防風險理念,同時,審計機構的設計需求嚴格,人員公正,做到具體化。
(四)健全外部監管
外部監管機制就是內部控制的強制執行方式,完善外部監督可行方法是加強內部控制信息的自我披露。內部控制信息自我披露的作用是使公司更加的清楚企業內控制度的設立和實施效果,以及實施過程中所存在的缺陷,然后加以完善。通過內部信息的自我披露,外部監管人員了解執行過程中所存在的問題和缺陷,同時加以完善監管。針對一些企業制度執行不力的問題,監管機構應該出臺一些相規范和指引,強制企業的人員去執行,同時也要加大對披露虛假內部信息的懲罰力度,更好的完善外部監管機制。
對于中國的大多數企業而言,內部控制更像是一個昂貴的“消防栓”,付出成本進行內控體系、流程和規則搭建,主要是為了應付合規需要和突發事件,能把內控做到形具而又不拘于形的企業不多。在過去的二十多年,從體制、機制到企業文化,中國平安不經意間將內控――這一高深的管理藝術熟諳,已經成為內控和風險管理領域的杰出標桿。
公司治理是內控的核心保證
“內部控制,簡單說就是確保集團運作過程中不出問題。”葉素蘭說這番話時嫣然一笑。
這位中國平安集團總經理助理兼首席稽核執行官看似輕松的吐露,其實潛藏著一份胸有成竹。誰都清楚,面對保險、銀行、投資三大板塊業務,近11000億元的龐大資產,其間對風險的防范需要何等的控制力。而事實上,中國平安就憑借著卓越的治理、高效的風險管控和高速成長的經營業績,已經成為中國金融業的一面旗幟,一根標桿。
作為金融國際化的先行者,中國平安不斷吸收引進境外金融業巨擘成熟的管理經驗,實現了從運營、管理和治理脫胎換骨的進化。2002年10月引入匯豐集團這個戰略投資者之后,公司風險管理和內控體系的完善,也很自然地融入匯豐的理念;2008年6月,隨著《企業內部控制基本規范》的正式,平安率先落實內控法規要求,進一步整合升級內控體系,形成了自身鮮明的特點。
目前,中國平安建立了“集團控股、分業經營、分業監管、整體上市”的組織架構。其中,集團的定位是“有所為,有所不為”,創造集團整體協同價值,發揮戰略方向盤、經營紅綠燈和業務加油站的作用,落實到董事會層面,負責戰略決策,合規風控,代表股東管理和分配資本,并行使監督職責等;集團和監管部門共同構成雙重監督體制,各金融子公司分業經營,分別接受對應監管部門的監管;子公司間設有嚴格的防火墻,嚴控治理風險、資金風險、財務風險、信用風險、交易風險、信息風險等的傳遞與系統性風險;集團由于整體上市,公司治理層次清晰、運作透明、信息披露真實及時全面,可以有效根據發展需求動態、均衡配置資源,降低整體風險。
集團董事會專設“審計與風險管理委員會”,由6位獨立董事組成,領導集團內控管理中心,與運營、產品等業務模塊獨立。內控管理中心下轄合規部、風險管理部和稽核監察部,由集團總經理助理兼首席稽核執行官統領履行職責。內控中心將內控嵌入業務和流程,融入日常化運作,確立了內控評價機制,確保實現內控人人參與、合規人人有責,同時實現內部控制體系的整合升級。
據悉,中國平安目前從集團到各子公司,甚至各子公司的分公司,都已基本搭建完成內控和風險管理的架構和體系,確立了以“促進整個集團有效益可持續健康發展”為公司內控與風險管理的戰略定位和長期目標,建立了“覆蓋全面、運作規范、針對性強、執行到位、監督有力”的“三位一體、三道防線”風險管控運行機制,確保集團并督促子公司經營管理合法合規、符合監管要求,確保單一/累積風險低于公司可接受水平,確保整個集團健康持續發展。
“三位一體、三道防線”主要是體現了在風險管控過程中的角色與職責劃分,協作與聯動機制,不同企業會有不同的內涵、外延和組成形式。據介紹,平安根據各類相關法律法規和監管規定,風險管控要求,以及綜合金融戰略發展與經營管理需要構建了符合平安實際情況的風險管控的組織架構、職責分工和協同機制,并在平安規范的公司治理,清晰的集團定位,緊密的集團管控,強大的執行力文化基礎上履行職能、緊密配合、彰顯價值,有效管控風險,樹立典范和領先。平安的“三位一體”是三個專業部門在風險管控過程中分工、配合與協作,是強化事前、事中、事后風險管控三個環節的功能,通過建立與完善制度機制、技術平臺、監督和文化,提升風險管控的水平和價值。其中,合規部門主要履行“風險事前策劃應對”;風險管理部門主要履行“風險事中監測控制”;稽核監察部門主要履行“風險事后監督報告”。“三道防線”反映了平安的風險管理策略,業務部門是第一道防線,通過建立內控評價與考核問責,將內部控制與日常經營管理融合,嵌入業務和流程,確立內部控制的核心驅動力,將風險管控盡可能的前置。合規部門和風險管理部門是第二道防線,稽核監察部門是第三道防線。同時,平安聘請國際會計師、國際咨詢公司等外部獨立機構定期對公司進行獨立審計、對內部控制的有效性進行獨立評價、對風險管理體系的進一步完善和優化提供咨詢與建議。金融企業經營的是風險,作為綜合金融集團的平安更是如此。對于風險管控,平安善于將合規的制度基因植入流程,流程嵌入系統。通俗地說,就是把復雜的事情簡單化,簡單的事情流程化,流程的事情標準化,標準的事情IT化。
在集團層面,平安建立了統一的風險定義和分類,統一的風險計量和匯總方法,為集團風險的并表管理打下了基礎。“每家子公司都有風險監控的體系,在集團,我們主要是并表管理,每季度進行壓力測試。某些風險在單一子公司可能不是問題,但并表到集團,就有可能變成高風險。”葉素蘭表示。
憑借著豐富的信息系統管理經驗,她善于運用“風險熱圖”監控風險。“我們現在的常規稽核完全是風險導向的。我們每年把過去一兩年發生的風險做成風險熱圖,通過綠橙紅等標示不同風險等級的顏色,能夠直觀發現整個系統內哪些風險點比較高。而平安的全國運營管理中心也在實施很多非現場的監控和風險預警。”
為了持續改進,集團內控管理中心每年都會對一些重要的流程進行評估,檢視流程有沒有因為新的業務、產品而產生新的風險。目前,平安還正在實施國內首家綜合金融集團全面風險管理(簡稱ERM)項目,覆蓋投資風險等主要風險類別,結合動態風險量化工具和技術,設定相應風險預警限額,完善限額監控機制,為科學合理地建立公司風險偏好體系提供盡可能全面準確的風險動態量化分析,確保單一/累積風險低于公司可接受水平。“我們現在是并表管理,希望以后變成一個可以在后臺的監控,更好地動態度量風險。”葉素蘭說。
事實上,類似三道防線的說法在國內其他企業并不鮮見,為什么有些企業的重大風險屢屢出現?“做好內控和風險管理工作的核心,是治理架構和發揮人的作用。”集團董事長馬明哲指出,只有董事會及下屬專業委員會充分發揮作用,高管層高度重視自覺參與,并且守規矩去做每一件事,才能真正做好內控。
葉素蘭透露,為了持續完善和改進內控與風險管理,中國平安目前著力打造專業高效內控管理團隊和不斷創新內控管理手段。創新的內控管理手段包括內部控制有效性評估、三位一體風險管控、全面風險管理、戰略項目合規支持與“四新”合規評審、風險并表管理、動態風險監控與預警、專項/遠程/突擊/IT/任中審計、機構風險評級與管理層評價、強大的IT系統支持、紅黃藍牌處罰、內控/案件問責等11個方面。創新手段為主導,常規稽核重點轉為風險導向合理化建議。
“公司如果不守規矩,代價就太大了。任何單位和部門一旦有重大案件發生,就可能會失去業務或機構拓展的機會或資格,從而會影響發展速度。證券部門則會評級下降,喪失推廣新產品的機會。個人也一樣,集團高管大約一半來自海外,包括我自己,如果事業上有任何污點,將影響我們未來的職業生涯。”她感言。
自上而下合規理念的滲透、傳遞和內化,背后彰顯著強大企業文化的生命力,而“法規+1”則是踐行這一文化的行動準則。在2003 年度的系統工作會上,馬明哲董事長提出了“法規+1”的概念。法規有明確規定的,堅決嚴格執行;法規未明確規定的,按照更高的道德自律標準確定行為規范,堅決“不打球”,不鉆政策空子,要保證公司的經營行為經得起任何法規、時間和道德標準的考驗。換句話說,“法規+ 1”就是要用高于法規原則的道德標準來處理事情。或許有人認為企業做到“遵紀守法”就夠了,為什么還要提出“法規+ 1”的概念,用高于法律的道德標準給企業套上“籠頭”,這不是給自己“找麻煩”嗎?馬明哲董事長說這是“建設最高道德標準企業”對我們提出的要求。
中國平安一直在全系統不遺余力地倡導和建立“自覺合規、健康發展”的內控環境與文化,眼下“不敢違、不能違、不愿違”的合規意識深入人心。“不敢違規,是因為檢查很容易發現問題,包括在線遠程的異常指標提取和分析,威懾力是很大的。如果干壞事就會被發現,僥幸心理大大降低;不能違規,說的是通過制度、機制等,讓人沒有做壞事的機會,或者無法一個人完成;公司通過文化、激勵機制引導,也讓員工不愿意違規。”集團合規部副總經理張云平表示,中國平安倡導“內控合規使你持續成功”,合規并不是簡單的提出問題,還要幫助解決問題。“內部控制與風險管理工作不僅僅是公司和專業內控部門的事情,它和每一位員工的利益密切相關,它按統一標準建立起員工履職盡責的記錄、樹立個人品牌、獲取他人信賴,它使員工職業生涯更安全更長久,它鼓勵員工尋求最佳實踐、提高工作效率。”張云平解釋說。
內部控制和風險管理已然領先的平安備受外界關注。除了境內外媒體的贊賞評獎不斷外,來自央行等國內權威部門和行業巨頭也紛紛調研取經“平安模式”。但公司并未就此止步,采訪中記者獲悉,集團內控管理中心已經有了一系列新的計劃安排,月底還準備到香港的廉政公署考察取經。
改革、創新與風控,被平安視作有效益可健康持續發展的永恒主題。如何妥善處理三者之間的關系?董事長馬明哲頗有遠見地指出,隨著社會經濟的日益繁榮與發展,科學技術的進步,人們生活水平的不斷提高,生活節奏的持續加快,引發了消費者對金融產品和服務需求的變化,這成為金融創新的核心推動力,也促使“金融超市”、“一站式金融服務”等綜合金融成為發展趨勢。平安始終致力于探索“綜合金融”道路,堅持“在競爭中求生存,在創新中求發展”。當然,創新會面臨風險,會存在諸多障礙與問題,但平安仍將瞄準國際一流現代金融企業的經營管理機制標桿,踐行“法規+1”、風險管控與健康發展,持續提高抵御風險的內控機制保障能力。
三位一體保駕運營
董事長馬明哲曾說過,“小勝靠個人,中勝靠機制,大勝靠平臺。要取信于人,一定是一個系統工程。平臺,是所有方方面面的整合。”平安的內控和風險管理體系具體究竟如何運轉?
在內控體系中,根據定位,合規部門主要履行風險事前策劃應對,具體包括戰略合規支持、合規評審、合規風險提示、合規檢視、制度體系完善等;風險管理部門主要履行風險事中監測控制,包括風險量化監測、風險預警追蹤、風險評級應對等。而稽核監察部門負責違規案件查處、經營效益審計、紅黃藍牌處罰、風險事后監督報告和內控文化建設等。
在中國平安,事前事中事后的風險管控已經融為一體。首先在“事前”進行風險識別與評估,定期更新、維護風險列表,分析法律法規、監管規定和行業自律規則的變動情況,提示風險出現的可能和應對策略;在“事中”執行統一的風險管理政策、風險指標和實施標準,監控和報告異常風險情況;在“事后”通過垂直、獨立的稽核監察架構,實施風險導向的稽核審計,實地查處,威懾違法違規人員,執行事后懲戒機制,并通過審計工作平臺、預警系統,實現稽核的階段性監督向日常性監督轉變,發揮風險監控最后防線作用。
“我們是前瞻性地創新合規內控,確保風險持續可控。內控做得不好,我們有問責措施,這是跟業績掛鉤的。”葉素蘭認為,“事前風險的管控很重要,價值很高。”
形與神各具,平安集團旗下各子公司的內控既統一于集團整體,又頗有各自的神韻,嚴格合法合規、風險可控,確保有效益可持續健康發展。
其中,已成功躋身國內第二大產險公司的平安產險,繼實現“健康超越”后,今年又提出打造“行業典范”的鮮明口號。“合規經營”就是“行業典范”最重要的內涵之一。
“我們合規管理方面有三項重要措施:首先是實行對制度出臺前的合規評審,特別像平安產險這么大的公司,總部細分為二三十個部門,管理制度上難免產生一些交叉甚至沖突,我們在2008年初就出臺了新制度合規評審辦法,每出臺一項制度,都要符合國家有關規定和公司內控合規管理的要求。”平安產險董事會秘書王仕永介紹說。
其次是系統的制度管理平臺,這是平安產險的一個創新。這個平臺按部門、業務對外部監管和公司制度文件進行歸集索引,還融合了公司的組織架構和各業務部門的作業指導,共4大模塊,所有制度文件和工作流程,在這個網絡平臺上集中管理、實時更新,非常易于查找,目的是讓員工及時掌握和執行公司制度,做到有章可循。
內控評價和合規檢視也是合規平臺的重要舉措。“我們分別從公司層面和具體業務流程層面,定期對經營管理中的風險點進行識別和評估,并運用集團統一的內控評價系統平臺統一管理,通過抽取樣本覆蓋來測試控制效果的好壞,測試結果都顯示在系統里,而集團內控管理中心也能一目了然,這就能夠很好地掌握公司內控狀況。”王仕永表示,內控評價時,公司嚴格規定了程序和工具,甚至包括具體業務環節的細致入微的風險信息、控制措施及針對每一個控制點的具體測試程序,“有嚴格的工具和表格保證內控測試結果不是拍腦袋出來的,而是經過嚴格、扎實地測試出來的,能夠反映實際內控體系設計和運行狀況的”。
平安產險合規部除了日常工作以外,還有一個重要職責是開展合規培訓教育,提高全員合規意識。部門定期匯總編輯一份《合規動態》,使員工能夠及時接觸到最新的政策法規、合規理念和實際案例。
2009年2月,新《保險法》出臺,更加強調保護被保險人的利益,同時拓展了資金運用的渠道,強化了監管的力度。對于新《保險法》和舊《保險法》之間的差異,集團法律部門制作下發了一個詳細的解讀,但產險公司不滿足,重點抓學習效果和實際落實,借此深入推進合規經營。“集團全系統的知識競賽一共設六個獎項,平安產險得了其中五個獎項。”
平安產險管理層非常強調合規從高層做起、從干部做起,每年都組織合規知識競賽等活動。更絕的是,平安產險的所有干部,不分年齡大小、資歷深淺,都必須參加新出臺的法規知識的閉卷考試。為此,公司搭建了相應的學習及考試平臺,每個人必須從自己的賬號登錄學習參加考試。考試結束張榜公布成績,優異者的“獎勵”是一摞法規書籍。
王仕永絲毫不懷疑考試的重要性和作用。“合規經營,干部的觀念和法規知識水平是關鍵,全員合規意識是基礎,通過學習平臺和知識競賽、強制考試,平安產險的全員合規意識和法規知識得到提升,這是平安產險提高合規管理水平的重要手段。”
平安銀行的內控實例
作為中國平安的子公司,平安銀行其實還是一個新生的銀行。從2007年平安集團整合前深圳商業銀行算起,到現在也就三年的時間。甫一開始,集團就空降了豪華的外籍高管團隊。如果說開始是為了更好的國際化,現在,平安銀行則實現了更好的相互借鑒、相互促進,實現了國際化背景下的本土化成長。
由于銀行業的風險具有累積性和突發性的特征,因此,必須要有一個強大的風險管控機制來支撐企業的可持續發展。平安銀行代行長葉望春指出,這兩年,平安銀行的評級從五級提升到兩級,其中一個不可忽視的因素就是認真落實監管部門對合規的要求,重點是實施了后臺集中,而這種后臺集中在其他銀行還沒有做到。
他舉例說,假定平安銀行的某一個柜臺接收一張原始憑證,該憑證會很快被掃描到上海張江后臺中心進行錄入,再由張江中心把數字傳送到成都的核算中心審核、記賬,以確保核算的合規合法性,這是平安銀行的內控優勢所在。
有觀點指出,平安銀行及深發展的下一步整合,主要取決于內控。尤其是中國平安內部能不能在各子公司之間形成有效的防火墻進行有效地風險隔離。事實是,中國平安已經構建了一系列符合其風險管控要求的防火墻機制,并有完善的關聯交易控制機制,嚴禁出現價格非公允的利益轉移或輸送,做到合規、公允、有序。
“如果我們跟信托投資公司有合作,這些都需要合規也有額度的限制。我們是獨立的法人,系統也是獨立的。”葉望春表示。
“關聯交易一定要有防火墻,還要有非常健全的統計、報送和審批機制,我們董事會設立了關聯交易委員會,專門關注此類事項。”平安銀行法律合規部副總經理李峻峰解釋說,平安銀行按照前中后臺徹底分離的方式,在戰略布局上,合規搭建了風險管控的整體框架。集團已經給各子公司搭建了一個比較好的風險管理和內控平臺,平安銀行的風險管理是在全面風險管理的基礎上更加強調條線化,也就是流程化。“流程化銀行要求你的風險管理專業化,除了前中后臺分離的內控要求外,必須按照信用風險、流動性風險,市場風險、操作風險、聲譽風險等系列化分類,把所面臨的全部風險識別、區分出來,從風險文化、資源配置、規劃分析、制度安排、系統支持、動態監督和信息反饋等多維度開展全流程管理。”
采訪中,記者注意到,在整個平安集團,目前已經實現了公章集中管理。因為分支機構掌握著實體公章會蘊藏潛在的道德風險。一旦出現問題,當事人雖然會受到懲處,但是公司的風險已經形成。公章集中管理后,可以保證每蓋一個公章,都要經過流程的審核,通過內控措施和IT系統的結合來防范風險。
和產險高管的考試不同,平安銀行的外籍高管有自己獨特的合規文化推行方式。
平安銀行的高管團隊以外籍人士為主,包括首席執行官、首席風險官、首席財務官等,在合規事項的推動方面,他們都有著豐富的國際先進經驗。集團之所以選聘外籍高管,是因為他們是行業中的典范。對于金融機構要求盡快做大做強的訴求和風險管控的實際從客觀上來說是有沖突的,走得越快,出現問題的可能性也就越大。平安銀行高級管理層很好地解決了這一難題。。
平安銀行高級管理層不僅讓平安銀行快速穩健地發展起來,而且合規意識非常強,注重從細節上推動、支持合規工作。平安銀行每年都舉行合規考試,高管主動、帶頭參加考試;總行行長們每年分頭深入支行宣講合規;還有就是在每次合規活動期間,總行行長親自抽查各級干部的參與程度。有段時間,每天中午一點半,李峻峰都要到前任行長理查德的辦公室,把全行干部的名單給他,他從幾百人的名單中隨機撥打電話,就活動中的具體內容進行提問,進行現場翻譯,電話中答不上來的人就會很被動。問題雖小,但是干部很容易感受到高層是真正重視,而不是開開會走走過場就完事。
從銀行角度來講,合規與內控是銀行健康、穩健發展的必備基礎。從董事會、高管層到執行層,合規與內控的要求無時不在。合規與內控狀況是銀監會對銀行評級的重要參考因素,也是衡量一個銀行抵御各類風險和經營管理水平高低的重要標準。在內控方面,平安銀行希望通過鞏固和堅持不相容職責分離等內控原則,始終保持業務發展中的“零”案件,形成全面覆蓋、管控有效的內控體系。任何細節,不管是審核的,還是業務發起端的,都很難作假。在合規方面,平安銀行希望通過塑造良好的合規文化和有效規范員工行為來建立起支撐業務高速發展的合規體系。近年來,陸續舉行了“合規促強大”、“牢記合規”、“整序興誠”等合規文化活動,建立了整改跟蹤與員工異常行為監控與舉報等合規機制。“一天的業務下來,都會有人檢查合規的落實情況。查出來就會上報。誰出了合規的問題,就要得到紅黃藍牌的處罰。這些制度、宣傳、活動、機制已逐步使合規成為大家的自覺行動。”代行長葉望春說。
內控評價體系
內控做得好不好,不是自己隨口說了算,而是必須遵循《企業內部控制基本規范》要求,建立健全內控評價體系。“內控評價實際上是給了大家一套方法,讓大家對履職過程中的風險和制度流程的控制力進行持續的評價。如果發現薄弱環節,就必須改進。”葉素蘭說。
為此,中國平安采取了相應的內控評價體系:一是合規部門指導業務部門進行自評;二是稽核監察部門的進行獨立評價,主要看業務部門的自評是否到位,然后進行抽查,看看是否存在內控缺陷;三是外部審計機構對內控情況的審計,并出具審計報告。
有了評價還要與考核掛鉤,平安的做法是將合規與風險狀況、內控評價結果融入KPI指標,進行考核與問責。通過實施紅黃藍牌處罰制度、員工違規行為處理執行標準、案件責任追究制度等進行事后懲戒。從經營成果真實性、經營行為合規性、內部控制有效性和經營決策科學性等方面形成管理層績效評價,作為考核晉職獎懲依據。評價之后是整改追蹤和外部機構的獨立審計和監督。
“內控不是某個部門的事情,也不是獨立于業務之外的東西,我們將制度融入流程里,流程融入系統里,這樣就很難違規。因為對業務流程的每個控制點如何,業務部門最清楚,真正提升內控的意識,人人有責,制度加執行,內控文化必須落到實處。”董事長馬明哲表示。
關鍵詞:法律;內控;機制;法律風險
隨著我國經濟改革的不斷深化,當前企業建設也不斷深入,為了強化企業的建設管理,需要針對內控存在的問題進行分析,從而強化內控管理,避免費率風險。但是近年來大型企業的虧損與違規操作事件頻頻發生,表明當前的內控機制存在法律風險,企業的法律意識淡薄,局限了企業的發展。為了提升企業的管理質量,需要與企業的管理相結合,規范化企業的管理機制,強化審計等財務內控機制,構建一套資產保護的法律、法規以及制度,與企業的發展戰略相結合,從而提升會計信息質量,確保資產安全與完整。
一、法律風險內控機制背景
法律風險管理是企業全面風險管理的重要組成部門,隨著2006年《中央企業全面風險管理指引》將法律風險列為企業面臨的五大風險之一,法律風險管理的重要性受到越來越多的關注。法律風險管理的核心是建立健全法律風險防范機制,法律風險管理的內控管理機制,能夠確保企業的財務報告可靠、確保經營效率,企業經營活動與會計行為符合法律規范要求。法律風險內控機制需要由董事會、管理層以及其他人員共同設計并執行,對公司經營過程的法律風險進行及時規范。但是當前的法律風險內控還存在較多的問題。
1.借款合同存在法律風險
當前的企業借款合同的前期以及履行階段存在著不少問題,主要表現在:(1)在借款合同前期,企業對于所借款市場利率的明確度不足,而且借款合同未完全按照借款合同擬定,造成一定的文本風險,借款合同的主動權在于銀行方面,企業作為借款人,大多數處于被動的地位,因此銀行可能會利用經濟上的強勢地位造成有利于銀行的條款,從而產生借款合同風險。(2)借款合同變更風險,當借款合同的貸款期限、用途、時間、還款方式等發生變更時,因為變更手續不全會造成合同變更風險。
2.對外擔保合同與交易結算方面存在法律風險
我國企業的簽訂對外擔保合同時,因為在擔保的過程中,受到人情關系的影響較大,而且對于所擔保企業的資信水平以及對外擔保合同細節的認識不足,從而可能會造成風險。而且企業通暢不要求被擔保企業提供董事會認可的反擔保,相關規范不符合要求,增大了法律風險概率。在企業的財務內控中,結算是內控中常見的業務之一,在結算過程中,因為結算數額大、風險高等會造成法律風險,但是當前的企業對這一領域的重視程度不夠,交易結算風險預警以及風險補償機制明顯缺位,使得法律風險不能夠得到有效的補償。
3.知識產權保護方面法律風險
在企業的內控管理中,關于經營、技術開發以及技術流失等方面的知識產權存在法律風險,而且在商業秘密方面,一些企業沒有制訂合理而有效的保密協議與保密津貼制度。為了確保知識產權保護方面的保護,需要對企業的內控機制進行有效管理,避免法律風險。
4.內部管理模式僵化,風險防范職責不清
企業法律風險內控匯總,因為歷史與實際的管理,導致一些企業的內部規章制度主要注重業務實現,守法意識意思規則意識較差,主觀上表現為忽視法律風險。而且在企業的組織建設、流程設計與管理規范設計中,對于內控的法律風險的分析、識別與規范等方面規范不足,當前內控法律風險控制還處于自發、樸素的階段,相關流程設計基本處于空白,事前風險預警與風險應對還處于初始階段,法律風險首道防線非常脆弱。在企業內控法律風險人才建設中,企業法律專業人才建設不足,法律顧問隊伍工作崗位的人員短缺,對于內控法律風險控制不足。
二、企業法律風險內控機制的重要性
根據國家依法治國的方略,企業內外的法制環境發生變化,因此需要加強依法經營、依法管理以及依法維權的中實行,建立基于法律風險的內控機制,從而應對日趨復雜的法律風險環境,滿足企業市場經營與內部改革發展的需求。
1.適應經濟全球化發展的需求
隨著經濟全球化的不斷深入,當前的企業需要應對全球的資源、人才、技術以及服務的市場競爭,為了適應于當前的經濟全球化發展的需求,需要加強企業的內控管理,實現全球范圍內的資源優化配置,加快產業結構調整與優化升級。國內經濟受到全球化經濟發展的影響,所受到的法律風險越來越大,而且企業對外發展過程中,需要應對更加復雜的法律風險,因此構建基于法律風險的內控機制,能夠實現企業的依法決策與依法經營,從而確保企業的經營管理滿足全球化發展的要求。
2.保障企業資產的客觀要求
隨著企業的不斷發展,企業所面臨的資金環境更加復雜,而且資產的分布面廣、監管難度大,近年來的重大法律糾紛案件暴露出企業的治理結構不完善、組織結構不合理的狀況。為了對企業的資產進行管理,應對相應的法律風險,需要嚴格法律審核、確保法律論證,并且構建基于法律風險的內控機制,對企業資產進行管理,提升企業應對法律風險的能力,實現企業資產的保值增值。
3.促進企業發展的必然選擇
企業競爭的實質,不僅是企業的技術、資金、人才的競爭,而且死法律、規則與標準的較量。隨著經濟改革的不斷深化,當前企業面臨多元化的競爭,其中知識產權的競爭是現代企業競爭的重要內容,對于提升企業的創新力度具有重要的意義,法律是知識產權的保障,能夠確保企業的創新能力,不斷優化企業建設發展。構建基于法律風險的內控機制,能夠有效的運用法律武器保障企業的知識產權,使企業的創新成果轉變為企業的核心競爭力,促進企業的建設發展。
三、企業財務內控機制法律風險防范的構想
1.企業法律風險內控管理體系基本構架
企業的法律內控風險管理是一個全方位、多角度的網絡防范工作,為了確保企業的基于法律風險的內控機制建設,需要建立全員法律風險管理的概念,結合企業的管理結構,從而設立三道風險防線:(1)企業會計部門以及業務單位是法律風險管理的第一道防線,在管理過程中,應該嚴格執行風險管理制度、有效的處置小型風險管理進行處置,并且對重大、疑難的風險進行識別后送到第二、三道防線,并且嚴格風險的事前與事中控制;(2)以公司領導下屬的法律風險管理委員會作為法律風險管理的第二道防線,確保企業的風險管理制度的有效管理,并且對于第一道防線的法律風險管理進行檢查、評估與查漏補缺,并且對疑難、重大的法律風險進行初步處理后報送上級部門特別處理,該道防線負責法律風險管理戰略的制定,并且有效完善風險管理規章制度,對法律風險管理人員實施考核與獎懲;(3)第三道防線,以企業的內部審計部門以及下屬的審計委員會作為內控法律風險的第三道防線,對于法律風險管理制度的實行情況以及實現效果進行評價,并且有效處理法律風險管理部門以及相關人員,對法律風險管理進行總結,實現法律風險的事后控制,并且為完善法律風險管理制度提出建議。
2.完善企業法律風險管理體系的內控機制
法律風險管理內控機制主要可以分為洗個步驟來完成:(1)擬定控制目標,根據企業的戰略目標以及企業的經營管理目標,確定企業的內控目標,確保企業會計信息準確性、資產物資完整性、經營決策貫徹執行、經營活動的效率性與效果性,嚴格執行國家法律法規;(2)整合控制流程,內控主要由控制點組成,因為當前企業的業務流程存在控制缺陷,因此需要對控制流程重新整合,確保簡潔高效的完成控制目標,在控制流程整合過程中,需要對業務活動的控制點進行鑒別,并且針對控制目標與對象設置控制技術與手續;(3)明確法律風險管理內控體系建設,為了確保法律風險的內部控制,需要構建內控體系,明確內控崗位授權對象、條件、范圍與額度,并且建立內控報告制度、內控批準制度、內控責任制度、內控審計制度、重大風險預警制度,從而對法律風險進行嚴格管理,明確風險管理目標與應急預案,明確規定不相容指責分離,確保法律風險的內控管理。
3.企業內控法律風險防范重點
為了通過內控機制防范法律風險,應該從以下方面進行防范管理:(1)加強對外擔保合同的法律風險防范,需要建立對外擔保合同反擔保風險內控機制,并且要求擔保企業提供企業董事會認可的反擔保,審查反擔保低壓與質押資產的合法性,確保擔保資產的價值相當。建立事先報告制度,對于對外擔保合同變更時,與第三方當事人協商一致,與不相容職務分離相結合,確保對外擔保合同的擬定、審核、審批與執行進行監督評估,確保精細的內控管理。(2)加強借款合同的法律風險防范,首先需要建立明確的利率機制,規范借款合同存在的風險防范管理,確保利率協商一致,對于無論何種原因發生的借款合同變更與終止,都需要及時向企業管理層、貸款銀行充分協商,并且變更后按照新的借款合同履行相應的程序,形成相應的書面文件。(3)建立有效、健全的交易結算制度,為了規范交易結算管理,需要樹立支票遺失完整的救助制度,從而規范交易結算管理,在支票遺失后通知開戶銀行,遺失申明,并且迅速通過法律途徑防治持票人到銀行提現,結合金融數據保密數據,建立數據輸入的調閱與交接登記管理,在遇到法律訴訟時確保用油主動權,避免法律風險。(4)全面梳理知識產權法律保護意識,需要通過企業財務內控機制防范知識產權的法律風險,建立擔保制度以確保技術合同符合法律規范,而且要對擔保當事人設定擔保,當出現合同糾紛時對被擔保人進行審查,避免對方利用合同進行偽裝,對于合同中的欺詐行為控制管理,避免風險過大。當風險出現時,根據技術被申請專利的救濟制度進行管理,采取專利申請的方式加強技術保密管理,以作為發生糾紛時的證據管理,避免法律風險。
四、結語
隨著經濟全球化的不斷深入,企業發展面臨著更加復雜的外部環境,為了確保企業的發展規劃,需要根據企業的戰略目標,構建企業的內部控制管理,把握企業運行的基本規律,持續推動企業內部規范體系建設,以避免法律風險。構建企業法律風險內控機制,需要堅持科學發展,完成企業內控的風險管理架構,不斷完善企業內部控制規范體系,對于內控管理中的重點進行管理,在不斷提高企業經濟效益的基礎上,促進企業安全發展,防治財務風險的發生。企業法律風險管理體系,是一個集事前管理、事中管理與事后管理于一身,由制度、流程、活動等相互結合而成的有機整體,囊括了法律風險分析、法律風險控制和法律風險評估三大模塊。構建企業法律風險管理體系,企業應該重從組織機構、規章制度、內控機制、業務流程、人才隊伍、信息系統等六個方面著手,開展體系構建工作,并不斷吸收和借鑒其他企業的先進管理經驗,推動公司持續平穩較快發展。
參考文獻:
[1]劉平.試析企業經營法律風險的成因與防范措施[J].工會論壇,2014.
[2]鄭石橋.內部控制實證研究[M].北京:經濟科學出版社,2006(12).
[3]張莉.建立法律風險防范機制,保障企業穩健發展[J].經營管理者,2014.
[4]鄭石橋.內部控制實證研究[M].北京:經濟科學出版社,2014.
【關鍵詞】本土銀行;風險管理;內部控制
一、研究背景
近些年來,在經濟熱潮的帶領下我國與外部綜合往來的頻率不斷增加,隨之而來的是經濟互通、外資銀行的入駐,這無疑增大了本土金融市場的競爭壓力,從內部控制和風險管理角度分析本土銀行的競爭優劣勢發現,只有不斷優化自身內部控制制度及提高風險管理能力,才能夠在激烈的競爭中屹立不倒。
二、管理控制的現狀分析
1.明晰法人治理結構
(1)原有股份制的改革,將“三會”管理體制制定了出來,即股東大會、董事會以及監事會。其中,監事會代表的是國家,是能夠對高級管理層、董事會,財務活動、內部控制以及風險管理等內容起到監管作用;此外,監事會還有監管各個成員的義務,其存在的主要目的就是使國有資產的質量和資產的保值增值過程受到保障。
(2)管理模式的改變,以現代化扁平式的管理來替換原有的金字塔式管理。自計算機信息管理技術應用普及以來,人們逐漸改變了原有的管理形式,優化了原有的管理層次,并對現有的權限職能重新劃分,進行了全面改革及內設部門重整,從而使內部管理的層次被不斷減少精化。
2.監控管理業務流程,實現非現場監管目標
為了更好地實現銀行經營活動整體控制,就必須采取有限授權的措施要求下屬職能機構進行分級式管理,有利于對下屬機構在業務環節中的經營行為約束。自間接調控、計劃指導、自求平衡以及比例管理等現代化管理模式正式實施以后,相繼建立了一套完善的的內部風險管控的制度,這不但使銀行自身的約束能力得到了增強,而且還盡可能地將自求資金平衡的目標實現,從而使經營管理的風險有所降低。
3.會計稽核內部管理力度的增強
近些年來在行業競爭壓力持續增大的影響下,各個商業銀行相繼進行了一系列的整改辦法,其中沿用最多的一種辦法是經由總行統一的管理和領導,派遣各個區域相互檢查的辦法;隨后將內外部審計稽查的監管制度確立了出來,并設置專業的稽查人員,以此來全面的稽查各級銀行的經營現狀,同時在會計手段的運用下對風險管控力度進行強化。可見,現有的銀行經濟責任稽核、效益稽核以及風險稽核模式正逐步替換原有的業務大復核這一銀行稽核形式。
三、風險管理同內部控制之間的關系
1.風險形成于落后的內控觀念
很長的一段時間里都有一個錯誤的認識涉及本土銀行的內部管理,便是在他們的眼中認為只要是將業務規章以及工作制度制定了出來,就代表著將內部控制制度建立起來了。然而實質上,內部控制主要是由3個部分的內容所構成,分別是:制度結構、制度制定、制度執行。三者作為有機的一個組合,缺一不可。此外,銀行管理層還沒有充分的將內部控制的必要性認識到,沒有向發達國家借鑒先進管理手段和經驗的意識,甚至有的人連新巴塞爾協議是什么都不知道。顯然沒有將科學化的評價預警系統、風險業務監控以及內部評級制度建立起來,必然會有相關的風險在內部管控中存在。
2.風險管理存在于不合理的組織結構中
本土銀行依然沒有在執行系統、決策系統以及監督反饋系統等三者制衡原則進行組織結構的設置,因而在實際的管理過程中不但容易有下屬管理機構不到位的情況出現,而且還可能會有相互割裂的情況在銀行內部的各個職能部門中出現。以上情況的存在不但會難以實現有效制衡的權利目標,且普遍存在職權濫授、濫用的問題,而且整體性配合協調能力的缺失,難以實現相互制約和監督的目的,最終會使銀行內部控制管理制度的實行受到嚴重限制。
3.風險存在于不完善的防范機制以及內審制度中
相較于國外先進的銀行審計制度來講,本土銀行的內審制度是落后的、保守的,其主要體現在銀行內部的審計部門沒有獨立決心的權利,是各個銀行行長管理的下屬部門;本土銀行的審計工作主要遵循的是事后監督為主要,僅僅是圍繞著業務突擊檢查以及專項審計這兩部分進行,自然難以達到風險管理控制的要求;當有違法犯罪行為被發現后,首先想到的是避重就輕,這樣不實事求是的做法,自然無法說服眾人,也難以實現行之有效的管理效果。
四、解決策略分析
1.風險管理意識的提高
從本土銀行發展的時間歷程上講,其是一個具有風險多樣化、動態性、不斷變化以及復雜性等特征的過程,而這就要求其必須將一個有效地風險管理以及內部控制觀念確立出來。如:在2008年的時候,在美國爆發次貸危機之前,就有機構發現了其中潛藏的一些問題,但是受到眼前經濟利益的誘惑,他們并沒有采取相關的防范措施,而這就體現出了風險管理以及防范意識不足的特征。因而筆者認為國家相關部門應當不斷強化教育宣傳工作,培養出本土銀行風險識別以及防范的意識,并在相關風險規避原則的遵循下,不斷提升風險應對能力。
2.內控管理考核制度的強化,有助于提升高效工作
首先需要做的是風險數據的收集,對本銀行中所存在的風險進行量化,并對其作出定性判斷,定期對各項指標完成的情況進行考核,并針對實際考核的情況做出相應的調整;隨后需要正確看待業務管理的意識,將傳統的重業務經營輕管理的觀念摒棄,替換成現代化的重管理模式,并不斷對內控合規的相關工作過程考核力度加強完善,采取年度、月度考核的措施;然后需要前移風險控制要點,以便充分將事前以及事中的控制實際成效發揮出來,以便將支行對網點、分行對支行的這一兩級創建的考核機制確立出來;最后將實效性的考核獎勵機制建立出來,不再是條線獎勵為主,而是向內控綜合性的管理方向轉變,銀行內部應當有組織的展開各種形式的專項評比活動,以便能夠將員工的工作熱情以及積極性充分調動起來,從而不斷提高內部合規的整體性工作質量。
3.內控合規管理制度的建立,基礎管理能力的提升
對于基層經營的每一個客戶經理、網點以及員工來講,其在拓展業務的時候都需要加強對內控的重視,不僅講價值,還要講合規,以便將一個濃烈的人人爭創價值的合規經營氛圍創設出來,從而使科學化的合規內控的管理制度能夠真正建立起來,最終實現整體性管理水平提升。
五、總結
綜上所述,前文中已經有提到受到全球經濟一體化的影響,我國本土銀行在外資銀行的介入下,自身的競爭壓力持續增大,基于此,為了確保自身在整個行業中的競爭地位,就需要采取現代化的管理措施,在發達國家優秀管理經驗的借鑒下,與自身發展狀況及特色相結合,盡可能地使自身的內部控制水平提高,逐漸強化對風險發現以及應對的能力,有助于本土銀行健康、穩定的發展。
參考文獻:
[1]陸媛,張同健. 國有商業銀行內部控制與風險控制的相關性研究[J]. 財會通訊,2011,02:36-37.
[2]魏紅剛. 商業銀行內部控制與風險管理關系的理論分析[J]. 中國證券期貨,2011,09:141-142.
[3]夏海玲. 銀行內部控制與風險管理淺談[J]. 現代營銷(學苑版),2011,12:110.
[4]李娟. 我國商業銀行內部控制與操作風險、合規風險管理的關系研究[J]. 金融縱橫,2014,04:54-60.
一、內部審計和風險管理的關系
內部審計是一項獨立、客觀的確認與咨詢活動,其目的在于增加價值,改善組織經營。它通過系統化和規范化的方法,評估和改進風險管理、控制和管理過程的有效性,幫助組織實現其目標。而風險管理是一個過程。這個過程受董事會、管理層和其他人員的影響,從企業戰略制定一直貫穿到企業的各項活動中,用于識別那些可能影響企業的潛在事件和管理風險,使之在企業的風險偏好之內,從而合理確保企業取得既定的目標。風險管理的本質就是采取合理的控制措施,將各種風險控制在組織可接受的范圍之內,保證組織目標的實現。內部審計是風險管理不可或缺的組成部分,是一種行之有效的方法和手段,在現代管理中發揮著日益重要的作用。從發展趨勢來看,人民銀行內部審計越來越關注風險,且更強調風險規避、風險轉移和風險控制,通過有效的風險管理提高整體管理的效果和效率,以保障央行依法、正確、有效地履行職責。
二、基層央行內部審計在風險管理中發揮的作用
(一) 發揮監控作用。內部審計作為人民銀行內部獨立的監督機構,主要負責對各項業務管理活動是否達到預定目標、是否遵循了規章制度等進行審計監督,屬于單位內部控制系統中的一個重要組成部分。2010 年- 2015 年,株洲中支對所轄縣支行和中支職能部門開展了53 次內部審計,其中: 領導干部離任審計18 次,履職審計8 次,風險導向審計3次、內控審計3 次,業務專項審計21 次,發現并糾正各類問題和隱患281 個,提出審計建議112 條。內審部門通過項目審計行使著管理層對下屬機構和部門的受托責任進行監督評價的權利,向管理層報告業務及管理控制情況,向治理的參與者提供信息和咨詢服務,從而達到對央行的業務活動進行監督反饋,對現存的規章制度進行查錯防漏來提高風險管理水平,在檢查監督各業務系統安全合規運行的同時,對本單位經營業績起到了鑒證作用,較好反映了本單位各個時期在貫徹落實上級行的工作部署、執行貨幣政策、維護金融穩定、提供金融服務方面的履職績效和內控管理狀況。
( 二) 發揮評價作用。隨著央行對治理問題重視度的不斷提升,促進了風險導向審計的發展,也激發了風險導向審計評價作用的發揮。近年來,基層央行針對央行履職中容易產生風險的業務活動,采用有效的風險評估方法,對各個風險控制環節、各種風險控制措施進行風險評估,以此確定審計對象并開展風險導向審計,全面、客觀地評價其固有風險、風險控制措施與成效,達到促進央行風險管理水平提高的目的。2012 年以來,株洲中支緊密圍繞人民銀行的中心工作,以重點業務和重要風險兩個關鍵環節為切人點,組織實施了國庫業務、貨幣發行、會計核算、再貸款管理、科技綜合管理、辦公設備管理、預算管理等重要業務管理專項審計、風險導向審計20 項,平均每年審計4 項業務。通過風險導向和專項審計發現業務管理中操作風險問題、業務處理不規范、檢查監督等制度執行等問題,及時揭示其風險隱患,對有關部門和單位管理者受托責任和履行情況作出客觀評價,通過內部審計評價,督促相關部門建立健全制度、完善操作程序、改進工作方法、嚴格制度執行,保證了各項重點業務操作的合規性,有效防范了業務風險。
( 三) 發揮風險導向作用。基層央行內部審計的服務作用,不僅體現在服務于職能部門的有效履行職責上,更體現在服務于實現組織的整體發展目標上。目前,基層央行內部審計通過實行風險引導審計,審計關注風險,使審計資源向風險突出、控制薄弱的領域傾斜,幫助央行提高效率實現組織目標。一方面,內審部門要與相關部門進行風險管理溝通,對風險管理過程的充分性和有效性進行檢查、評價,對重大的審計發現及時向管理層進行報告,并傳遞給相關部門和相關人員,以便及時采取相應的控制措施,同時對審計發現問題的落實情況要進行跟蹤,使風險得到及時控制; 另一方面,以防范風險為核心的內審部門,能從組織的利益和實際出發管理風險,提出防范風險的有效建議,為管理層決策當好參謀,通過有效的風險管理建議反饋,從而提高組織的整體管理效率。2015 年,株洲中支更加注重內控建設,把加強內控體系建設作為全年工作目標之一,在全轄組織開展了內控制度大學習、大討論、大完善、大落實活動,修訂和完善各項規章制度61 項,建立了23 個一級流程、66 項二級流程,確立風險控制點218 個,編制了內部控制手冊、內控流程、風險清單、權限指引表等內控建設成果,內控體系框架更加完善。內審部門對審計發現的問題實行分級預警通報制度,按照違規行為次數和可能造成后果的嚴重程度由高到低實行一、二、三級預警分類管理,對其中可能存在的風險苗頭、錯誤傾向,向有關單位( 部門) 予以警示提示,并將全年審計情況及結果進行通報。通過分級預警通報,促使有關部門落實內控制度,杜絕查而不改和屢審屢犯等問題發生。
三、影響內部審計在風險管理中作用發揮的制約因素
( 一) 風險管理的職能不明確。內審部門的一個職責是評價風險管理的恰當性,確保風險管理信息的真實準確性,協助管理層將風險控制在可承受范圍之內,但應避免承擔具體的風險管理職責。內審部門應以審計項目為依托,認真查找并掌握本單位相應的風險情況,通過職業判斷,向管理層就風險管理提出專業的意見建議。如果參與的程度過深,滲透到具體的日常管理環節,就會出現職責沖突,導致內審承擔責任過大的問題,會造成內審工作中自我評價,對內部審計獨立性和客觀性帶來損害。目前實際工作中,內審與各業務部門在風險管理中的職責劃分不構清晰,往往把風險管理與內部控制等同起來,相當一部分人認為內部控制就是內審部門的事,只要內審部門參與的事,就談不上風險,致使業務部門過度依賴內部審計,而忽視自身在內控風險管理中的主體責任,內審部門則被動應付風險管理工作。
( 二) 內部審計的權威性不突出。被審計對象往往將內審部門視作對立面,很難從內心深處對內審工作給予積極支持和配合,內審部門對此缺乏有效的手段,內部審計的權威性有待提高。如: 上級制定的政策規定未及時傳達至內審部門,內審人員了解政策滯后; 審計過程中被審計對象配合不積極,特別是同級審計存在的消極應付現象,自查時對風險管理存在的問題避重就輕,對檢查發現的違規問題討價還價,最后往往是大事化小,小事化了; 審計發現問題整改在一些管理層未引起高度重視,整改落實不到位、問題屢查屢犯的現象時有發生,審計達不到應有的效果。
( 三) 內審部門自身建設不理想。一是思想準備不足,內審人員大多還停留在傳統的思維方式,習慣于對照制度規定進行合規性審計,對新業務、新知識的學習速度趕不上業務發展步伐,缺乏深入的審計專業知識及業務風險判斷能力。地市級人民銀行具有CIA 資格證書的審計人員的比例很低,使內部審計隊伍綜合素質很難適應內審轉型的需要; 二是監督方式落后。目前,基層央行內部審計的方法和手段仍主要依靠手工操作及事后監督,信息技術審計和審計的信息化水平還不高,內審部門對風險信息的收集只能被動地進行,不能實現從業務系統中依靠實時監督來獲取風險信息,達到事前、事中有效預防控制,削弱了內審監督的作用; 三是審計結果運用欠佳。審計工作中還存在重審計過程輕結果運用、重檢查問題輕經驗總結的情況,對問題的分析有時過于表面,缺乏對制度、機制等深層次的分析,提出建議的針對性和建設性不強,不能從根本上發揮內部審計服務組織治理的作用。
四、進一步發揮內部審計在風險管理中作用的建議
( 一) 合理界定風險管理職責,有效發揮內審職能作用。
基層央行要合理界定內審部門和業務部門在風險管理的職責,業務部門是風險管理的主體,負責具體落實風險管理和內部控制措施,確定和排查部門和各類業務的風險點; 內審部門是風險管理的監督者,對各業務部門風險管理和內部控制情況進行檢查評價,發現本行各部門、各業務環節的潛在風險,提出改進建議,不能全權包攬全行的風險管理職責。要強化內審部門風險管理審計職能。根據當前形勢發展的需要,內部審計應當圍繞風險防范這個重點,逐步從合規性檢查向風險性、有效性評價轉變,內部審計的職責定位也應逐步從再監督向評價轉變,重點評價內控制度的健全性和合理性,評價決策的科學性,評價資源利用的效率和效果。現場檢查不僅要對照法規制度檢查各項業務和職責履行情況,還要圍繞風險點和風險環節,查找風險控制盲點和缺陷,分析評價現行管理和控制手段能否保證目標的實現,幫助改善內控和風險管理,從制度上、機制上解決存在的問題,促進基層央行依法、有效履行職責。
( 二) 完善風險管理體系,增強內部審計的權威性。
建立科學的風險管理體系,保持內部審計的獨立性、客觀性和權威性,是增強內部審計效果的重要前提。一要建立統一的內部審計組織體系。可在基層央行試行內部審計派駐制,建立由總行集中統一管理的內部審計監督管理體制,對管轄機構實行逐級派駐、下派一級,下級對上級負責,一級對一級負責,從管理體制上保證內部審計監督的高層次、權威性,消除來自各方面的對內審工作干預和制約,使內審部門能夠真正依法獨立行使職權。二是完善內部控制制度。業務部門要按照《中國人民銀行分支機構內部控制指引》的有關要求,以風險防范為目標,適應業務發展要求,全面梳理、查找現有制度層面存在的空白點和執行層面薄弱環節,以制度、辦法、操作流程等形式,構建科學完整的內控制度體系。三是建立基層行風險預警評估體系。內審部門要以信貸資金、聯行資金、國庫資金、發行基金為重點,結合本行實際,對重要部門、重要崗位、關鍵環節等容易發生風險部位的業務進行全面、有效的風險識別,排查并鎖定風險點,設立具體的風險預警和評估指標,從人員配置、崗位設置、風險控制等各個方面進行約束牽制和測評,對風險控制情況進行通報,對不達標的部門和專業開展后續審計。
關鍵詞:事業單位 風險管理 內部控制 重要性
近年來,我國經濟改革的快速發展,會計的內涵與外延作用也在不斷的擴大,國家在加強事業單位的內控與風險管理方面,也處在一個不斷發展變化的過程中。2012年財政部頒布了新的《行政事業單位內部控制規范(試行)》,按照規范的要求,在我國上市公司等部分企業現行開始實行內部控制制度的基礎上,我國行政事業單位于2014年1月1日起全面實施。內部控制相關規范的頒布與推行,有利于對事業單位內部運行進行監控與管理,有利于加強事業單位的風險管理,并有效的實現對權利的監督與調節。
一、分析內部控制與風險管理兩者間的關聯
事業單位實施內部控制指的單位為實現控制目標,由全體職員共同實施,通過制定制度、實施措施和執行程序,對事業單位的經濟活動的風險實施防范和管控。事業單位的風險管理指的是單位在收集與識別風險信息基礎之上,制定有效的對應措施來對風險信息給予評估管理,其最終目標是為了把風險控制在事業單位可承受的范圍內,這種控制過程屬于管理活動之一,并且包括的環節較多,如經營活動前對風險的預測、活動中對風險的控制等等。
(一)兩者間的不同之處
企業的財務風險與內部控制之間的區別主要包括下面兩點:首先,二者涉及范圍各有不同。對于事業單位而言,其內部控制主要目標是為了增強自身會計信息、經濟效益、運營效果、財務報告等準確,同時又嚴格遵守國家相關法律法規與單位自身制定的制度。而風險管理所以涉及的內容遠比前者更為廣泛,風險控制目標也較復雜,可以說風險管理既要對自身單位會計信息、財務報告等進行控制,又要對其他報告中相關信息進行整理、收集,從整體上把握單位的經營狀態。其次,兩者的組成部分不相同。風險管理包含了控制過程,還涉及了對風險的預測評估、規避等等,所以其涉及面遠遠超過內部控制。
(二)兩者間的關聯
內部控制可以為事業單位長期健康運行提供有力保障,而事業單位要想進行風險管理,必須實施內部控制。簡單來說,事業單位開展風險管理需要建立于內部控制的基礎上,在風險管理的過程中,內部控制則屬于一個重要環節。事業單位要想保證自身經濟及運營效率,就必須要開展內部控制活動,有效完成內部控制作用,有助于單位更好的控制運營風險。而要做好內部控制,首先應當對自身財務風險有清晰地認知,然后再根據單位的業務性質與特點,建立一套健全有效的控制制度進行約束管理。在充分保障良好的內控環境的基礎上進行信息的收集和反饋,查找內部控制缺陷,并及時加以改進。總之,事業單位展開風險管理的前提就是實施內部控制,兩者之間具有密切相關的聯系。
二、事業單位開展內部控制及風險管理的重要性
在事業單位運營管理過程中,風險管理和內部控制互相結合、相互依托,事業單位在進行日常管理時務必將這兩者實現有效融合。目前,我國各大企業紛紛步入改革中,事業單位亦是如此,但是同時其也面臨了越來越多的風險,面對各種各樣未知的風險,事業單位更需通過加強內部控制的方式來控制自身面臨的風險,這樣才能為單位的經營活動給予保障。除此之外,事業單位開展風險管理,可以通過建立內部流程、制度方式來進行,使得事業單位經營目標得以實現,同時保障單位自身財產安全,所以事業單位在運營管理中是否能將風險管理、內部控制有效融合,也會對管理活動是否成功起到決定性的作用。根據事業單位實際發展情況來看,將內部控制、風險管理始終融入到各個運營管理環節當中,并積極找出二者之間的結合點,分析運營環節中的管理重點與存在的問題,且積極采取有效措施進行應對,能夠全面保障事業單位的持續發展。
三、事業單位實施風險管理中應采取的內部控制策略
(一)加強風險管理的意識,不斷優化單位內部控制的環境
從某種角度來看,事業單位內部控制的環境決定著其是否能夠規范、有序地實施內部控制的制度,所以對其環境不斷進行優化顯得尤為重要。另外,在實施內部控制的過程當中事業單位還存在很多問題,比如單位缺乏較強的內控意識,單位缺乏濃厚的內控氛圍等。基于這些現存的內控問題,可以從下面兩個方面來對內控環境進行優化。
1、事業單位要對內部職員展開內控知識培訓
這里的單位職員不單指單位普通工作人員,也包括了單位的內部管理層及領導等,整個管理架構均應樹立內控必要性意識,進而激發全體職員積極參與。優化內控環境時,單位管理人員更應該充分發揮自身的領導作用,積極鼓勵下屬職員參與其中,充分發揮自身帶頭的作用。
2、加強文化素養的培養,建設良好的單位軟環境
事業單位的臨到人員要將風險管理、內控思想積極灌輸為下屬職員,并且幫助其樹立良好的風險、價值觀,在自身單位的文化中積極融入風險管理、內部控制知識,通過單位文化對其職工的工作行為加以約束,充分提升其思想意識水平,確保風險內控管理的有效性。
(二)建設風險評價機制,有效預防財務風險
事業單位對財務風險進行有效規避的關鍵在于,在發生風險之前就應及時對其作出合理評估和預警,及時扼殺風險。事業單位發生風險的幾率是預估風險最直接的體現,這就要求事業單位財務信息具有較高的準確性和及時性,單位的職員具備較強的綜合素質與能力。所以事業單位要想提升會計信息準確性,首先應當對單位內部財務人員的專業能力、綜合素質進行提升,組建一支具備專業性、高素質的財務工作團隊。另外,事業單位建立風險預估、預警等機制,有利于及時發覺并制止不良財務管理行為,然后通過及時分析、核算單位的實際財務數據與賬目,盡可能將風險降至最低,甚至完全規避風險。如果評估風險的過程越長、越復雜,則表明發生風險的幾率極有能性更大,此時就要對這類風險實施客觀評價,同時需要對以下幾點給予重視。第一,掌握事業單位組織內控活動的情況,單位內部部門之間是否制定了互相配合、協調的制度。第二,事業單位內控運行的情況,各個部門逐漸是否承擔相關權利與責任;內控資金的分配與管理是否達到合理化、科學化,同時管理與監督這兩項職能分離與否。第三,單位是否制定了完善的風險管理機制,管理機制的流程是否得到優化,是否按照標準流程來執行。第四,財務部門編制的財務報告與國家要求是否符合,是否遵守真實準確的原則。
(三)設立一個獨立的審計部門并制定嚴格的監督管理
事業單位日常的管理過程中,審計部門也占據重要的位置,該部門是單位進行內控及風險管理過程中不能缺失的一個部分。單位的審計部門能夠充分發揮自身作用有效監督內部活動的實施情況,才能保障內控、風險管理更好、更快地實施。事業單位設立一個獨立的審計部門(內審部門)并制定嚴格的監督管理,同時培養一支專業的審計隊伍,便于內部監督管理得到實時的監督。此外事業單位還應當借助外部審計監管,將外部審計特有的監督作用充分發揮出來,實現內、外部審計的有機結合。事業單位設立了獨立的審計部門之后,還應當對該審計部門的相關制度進行積極完善,同時加強監督與管理的力度。通過完善、健全審計制度及明確部門職責和權利的方式,全面提高單位審計部門監管工作人員的專業修養和綜合素質,保障事業單位的風險管理及內控活動有序地開展。
四、結束語
綜上所述,事業單位不屬于營利組織范疇,是提供公共服務的部門,這類單位開展的風險管理和內部控制均具有自身獨特之處。就目前我國很多事業單位內控現狀來看,不管是風險管理還是內部控制,其實施過程依舊存在較多問題,使得單位運營管理風險增加,所以事業單位要結合自身實際發展特點,重視內部風險控制與管理的重要性,積極培養人才隊伍、制定完善的管理制度、優化內控環境等措施,提高自身內控效果,降低財務風險與經濟損失,保證事業單位更好的適應新形勢且長遠穩定的發展。
參考文獻:
解開法規遵從的困惑
《基本規范》的和執行,標志著中國企業內部控制規范體系建設取得重大突破。但是《基本規范》的遵從,卻給我國上市公司帶來不少的煩惱。這煩惱主要是因為目前《基本規范》還存在兩個困惑。
困惑1:指引未出怎么辦
盡管出于監管的需求,美國薩班斯法案主要是要求上市公司財務報表的真實性,但是為了保證法案的有效性,還出臺了非常詳細的指引。雖然在《基本規范》時,財政部副部長王軍指出,要逐步建立一套以基本規范為統領,以評價指引、應用指引和內部控制鑒證指引等配套辦法為補充的內控標準體系,但是直到現在,這些指引尚未出臺。這也正是天士力的困惑。“現在無從判斷指引到底什么時候出來。”一位不愿意透露姓名的業內資深人士這樣說。很多上市企業對《基本規范》尚處于觀望狀態,期望進一步的指引出來以后再行動。
與美國薩班斯法案相比,我國的《基本規范》所涉及的范圍遠遠大于美國薩班斯法案。“按照普華、德勤的說法,美國薩班斯法案有9個內控關鍵控制點,而我國的《基本規范》則有17類業務內部控制關鍵控制點。”深諳美國薩班斯法案,并且做過很多相關咨詢工作的日立咨詢中國公司IT總監江瑋介紹說。
但是,江瑋指出,無論是薩班斯法案還是《基本規范》,參照的都是COSO框架。所以,企業可以先參照COSO框架的需求來梳理業務流程。其實,現在很多IT廠商已經意識到了這一點,比如說,用友軟件在其新推出的內控與風險管理解決方案NC 5.5中,就涵蓋了COSO內控與風險管理框架。
與此同時,IDS Scheer中國企業風險內控與合規管理咨詢總監彭炎認為,《基本規范》到底該執行到什么程度,可參照美國薩班斯法案看出來。值得一提的是,IDS Sheer在國外已經幫助很多在美上市的企業通過流程管理來實現薩班斯法案的遵從。
困惑2:時間緊迫怎么辦
盡管《基本規范》將于2009年7月1日在上市公司執行,但是事實上,《基本規范》對2009年的年報并沒有提出需求,上市公司只要在2010年的年報中體現出《基本規范》的要求就可以了。所以說,如果在2009年7月1日前指引能夠出來,那么企業仍然有一年多的時間來準備;而如果指引沒有出來,那么針對目前相對比較粗放的規范遵從起來也比較容易。
彭炎指出,不管怎么說,企業的人力、精力有限,內控管理能力的提升不可能一蹴而就,企業可以把目標定得高一點,但是要考慮到實現這個目標要有一個過程,可以先做一個框架,先規范化財務報表,然后在內控管理水平提高以后再作經營管理方面的細化。因此,江瑋認為,企業在內控管理信息化建設過程中,應該采取循序漸進的做法,總體規劃,按照緊迫性、重要性的不同分步實施。
不能為遵從而遵從
薩班斯法案的遵從是一個非常復雜的工程,而且需要耗費大量的人力和財力。據了解,通用電氣公司為滿足薩班斯法案而完善內部控制系統的花費高達3000萬美元。高昂的合規成本導致包括華晨在內的我國一些在美上市公司選擇了退市,也使得德勤、普華永道等一批提供相關咨詢的會計師事務所業務非常紅火。江瑋說,薩班斯法案遵從的成本很高,確實有點讓人怨聲載道。股民當然不希望上市公司造假,但是假設一個年利潤只有500萬元的企業,卻要花費2000萬元來遵從法規,這個企業將從一個本來盈利的公司變成一個虧損的公司,這同樣也是股民不愿意看到的。所以江瑋指出,上市公司在遵從《基本法規》的時候要避免舍本逐末。
與此同時,江瑋指出,如果企業的內控管理完全是為了應付上市公司的合規要求,那么內控管理帶來的效果往往不會很明顯。但是,如果企業不是應付合規,而是真正為了減低風險和成本,那么內控管理信息化建設能夠起到立竿見影的作用。
彭炎非常認可這種觀點。他指出,企業在引入第三方咨詢機構將內控體系建立起來以后,要充分考慮如何將這個體系運作起來。他說,過去無論是國內和國外,都有一些企業在體系建立起來后,只是形成了一個像書一樣厚的文檔,而缺乏執行力和可操作性。這是非常不可取的。因為內控體系每年都要接受審查,如果這樣做,第二年企業還要再花很多錢來請咨詢公司來做咨詢。
所以,企業在遵從法規過程中所形成的內控體系,需要通過一個載體傳承下來。如果企業將內控體系和內控流程通過IT系統支撐起來,定期記錄執行結果,并且通過ERP、OA等系統進行自動檢查,就能大大提高自控執行力,而且可以減少聘請第三方咨詢的成本,同時還能保證內控管理的持續性。
用友公司高級副總裁、集團與行業解決方案事業本部總經理李友認為,企業的內控與風險IT建設可以分成三個步驟來走:第一步,合規,此時企業管理者要對企業的一些經營管理信息做到心中有數,在IT建設上來說這是一個信息平臺的建立和透明化的過程;第二步,關鍵過程控制,也叫融入管理的過程,將控制點和業務系統更完美地整合在一起;第三步,真正讓內控為企業戰略提供支持,在IT建設層面上,要以戰略為主要導向,績效管理、預算管理此時成為重要的IT建設內容。
北京慧點科技開發有限公司(簡稱慧點科技)已經幫助華能國際、中海油、中國鋁業、南方航空、廣深鐵路、中國移動等多家在美上市公司通過IT系統來實現薩班斯法案的遵從。慧點科技副總裁、風險管理與控制事業部總經理韓國權指出,慧點科技在為南方航空、廣深鐵路和中國移動做GRC(企業治理、風險管理和合規審查)項目的時候,發現我國IT內控業務出現了一個分水嶺――企業的內控需求已經從原來的以滿足美國薩班斯法案的遵從,轉變到現在以自身內控需求為主;從原來的以財務控制為主,發展到現在開始重視全業務的控制。
要學會取經
韓國權指出,對大部分尚未行動起來進行《基本規范》遵從或者加強內控管理的企業來說,光靠第三方咨詢和理論是遠遠不夠的,最好去那些內控做得比較好的企業那里取經,特別是同行業或者類似的企業。因為《基本規范》和美國薩班斯法案采用的都是COSO框架,所以,一些在美上市企業的合規乃至內控經驗對他們來說非常具有借鑒意義。
作為紐約、香港和上海三地上市的企業,中國鋁業股份有限公司(以下簡稱中國鋁業)一方面因為要遵從薩班斯法案,另一方面要滿足于企業自身的風險管控需求,在內控管理方面積累了豐富的經驗。早在三年前,中國鋁業就決定采用內部控制管理系統來更好地讓內控管理落地。如今,內控管理的信息化已經成為中國鋁業內控管理的發展需要和有效保障。
那么,作為先行者的中國鋁業在選擇和應用內控管理軟件上的經驗能給目前亟待加強內控管理以及內控管理信息化的企業帶來哪些借鑒呢?中國鋁業內審部副總經理戴錫寶在接受媒體采訪時指出,企業在進行內控管理時要從企業的實際情況出發,不可盲目模仿、復制;在應用內控軟件系統方面,應該注意以下三個問題:
首先,要對系統所能帶來的效果非常了解。
其次,要充分考慮系統能否真正在企業落地。企業應該充分認識到內控軟件對企業的管理理念、人員素質及管理水平都有一定要求。企業要在內控管理確實對IT系統提出了需求,并達到了一定的管理水平和實力后,再考慮進行相關的系統實施。
最后,力爭使系統真正發揮作用。內控管理系統的實施上線是一項需要全員參與的項目,需要占用大量的時間和精力,只有下決心、下功夫才能達到預期效果。
【關鍵詞】商業銀行 內控風險管理 方法 技術 應用
一、前言
就目前來看,我國商業銀行呈現良好的發展態勢。了解與掌握風險方面的客觀規律,加大風險管理力度,是商業銀行在發展過程中必須重視的重要事項,也是科學發展觀得到有效貫徹落實的基礎。發展觀,實質上就是關于發展的要求、目的以及本質的一個整體看法,發展觀的正確性直接決定著發展道路、發展戰略以及發展模式的合理性、有效性,對于發展的實踐產生重要的影響。商業銀行是一個貨幣經營、具有良好信譽的企業,商業銀行在經營管理方面需要遵循三個原則,即盈利性、流動性以及安全性。其中,安全性是商業銀行經營管理過程中的基礎,流動性是經營管理中的手段,而盈利性則是經營管理中的主要目標。商業銀行在發展過程中對于科學發展觀的貫徹與落實,需要遵循盈利性、流動、安全性三大原則,保證三大原則之間的協調與平衡,在確保流動性與安全性的基礎上,追求利潤最大化。由于經濟金融形勢處于不斷變化的狀態,因此商業銀行在內控管理的過程中,應當重視風險管理水平的提升,深入貫徹與落實科學發展觀。
二、金融生態環境的實際狀況分析
現階段,我國金融生態環境呈現不理想的狀況。金融生態環境,是2004年我國人民銀行行長周小川提出的一個金融概念。金融生態環境,實質上就是指金融行業發展過程中的外部環境。隨著全球金融危機的出現,針對我國經濟環境中日益突出的一些矛盾,造成我國金融生產環境處于不太理想的狀況,影響我國商業銀行的快速發展。
商業銀行發展過程中面臨的主要問題,主要包括:第一,法制環境存在一定的缺陷。我國現有的法律法規還有待完善,促進金融行業發展的實際方式、措施還比較少,司法機關在對金融機構與企業、個人之間出現的利益沖突案件進行審判的時候,無法做到公正、公平。第二,中小企業資金成本處于高度緊張狀態,資金鏈處于斷裂的邊緣,融資十分的困難,中小企業的生存與發展面臨著非常嚴峻的考驗,在很大程度上增加了信用風險與市場風險,同時還增大了金融操作風險;第三,金融服務水平無法滿足區域經濟發展過程中的需求;第四,隨著我國經濟的快速發展,我國經濟發展對于銀行信貸的依賴性越來越大,這在很大程度上增加了一些金融機構運營過程中不良貸款狀況的出現次數,加上國家宏觀調控在一定程度上兼容了銀行在放貸方面的能力,對經濟的信貸投入造成了嚴重的影響,加劇了企業在資金供求方面的矛盾,尤其是中小企業。第五,政府信用環境不太理想,對于金融債券的落實有著十分嚴重的影響;金融債務的具體落實情況一般,金融債權并沒有得到充分的落實,而且金融債權的具體落實與政府存在一定的聯系;第六,企業法人的治理結構存在一定的缺陷,企業財務管理存在權限,很多企業都會借助改制、破產等名義逃離虧欠銀行的一系列債務,與當地金融機構出現金融糾紛。
三、商業銀行內控風險管理現狀分析
商業銀行內控風險管理直接關系著商業銀行能否正常運營,它是商業銀行各項工作在開展過程中的重要事項。我國商業銀行在發展過程中,雖然經歷了引進外資、資產重組以及路演上市等一系列事項,在整體內控方面有了非常大的改善,但是商業銀行在新形勢下,內控風險管理狀況仍然不太理想。
(一)內控風險管理水平存在差異
現階段,我國不同地區中不同的商業銀行,在合規文化、風險意識以及業務素質等多個方面還存在一定的差異性。同時,商業銀行會計跳線“短板效應”十分顯著,一個木桶能夠裝有多少的水,主要在于木桶壁面上最短的木板的長度,而不是木桶壁面上最長木板的長度,即“短板效應”。“短板效應”對于商業銀行加強內控風險管理工作具有十分深刻的警示。不同商業銀行在管理水平與員工之間存在的差異,在很大程度上影響了商業銀行會計內控管理工作的正常開展;針對這一實際情況,各個商業銀行應當重視會計人員風險意識的提升,加大合規文化的建設力度,加強工作人員的業務培訓,以此實現商業銀行內控風險管理整體水平的提升。
(二)工作人員業務素質與產品更新不相適應
由于金融產品的更新十分迅速,商業銀行中的新業務層出不窮,對于內部工作人員的培訓很難達到理想的效果,各個工作人員對于新產品的了解程度與接受能力存在一定的差異性,怎樣有效的控制這些因素所產生的操作風險,是商業銀行在發展過程中面臨的一個新問題。同時,銀行業務會受到商業銀行內部相關制度的制約,主要在于商業銀行現有的制度創新與修訂一般都無法跟上銀行業務的更新速度,所以商業銀行在業務方面容易出現風險。例如:我國各個商業銀行對于財富管理業務、保險業務以及證券三方存管業務的推行。
(三)工作人員行為管理力度不足
從近幾年我國銀行業案件的發生情況來看,銀行內部工作人員在工作上出現的違法亂紀行為是造成這些案件出現的主要原因。因此,商業銀行在發展過程中應當充分重視工作人員行為管理力度的加大,這對于內控風險管理十分重要。目前,社會中的誘惑多樣化,人們的生活節奏逐漸加快,在工作上的壓力也越來越大,價值股票市場中的行情多變,造成一些銀行工作人員在心態上失去平衡,脫離了社會道德標準,造成銀行業案件的發生。商業銀行中的管理人員,應當重視基層工作人員的工作監督,及時發現并解決相關問題,還要加強與基層工作人員的交流與溝通,重視心理疏導的作用,避免不良事故的出現。
四、商業銀行內控風險管理技術方法以及應用的分析
(一)信用風險管理
信用風險,實質上就是指交易債務人或者對手無法有效履行合約或者信用出現變化而造成交易債權人或者另一方的權益受損的潛在風險,它普遍存在于商業銀行的授信業務中,主要包括信用價差風險(cred it spread risk)與違約風險(defau risk)。
1.內部評級法。在經過多次國際金融振蕩后,國際銀行業建立了相應的數學模型對信用風險進行合理的度量,需要強調的是數據模型具有很強的技術性。2004年的《巴塞爾新資本協議》,主要將市場紀律、當局監管以及最低資本要求作為支撐,對現代信用風險管理模型進行構建,重點突出風險計量的標準化、敏感性以及精確性,強調內部評級法(In ternal Ratings-Based Approaches,IRB)在銀行風險管理工作的重要作用與核心地位,對于全球銀行業發展格局的改變具有十分重要影響。內部評級法,主要包括以下幾個基本要素:①敞口分類:項目融資、零售業務、銀行、國家、股權以及公司業務等;②風險權重;③監管方法;④最低要求;⑤風險要素:期限、違約總敞口頭寸、給定違約概率中的損失率以及違約概率等。
2.傳統信用風險度量。傳統信用風險度量的方法,主要包括:傳統信用評級、信用評分方法(ZETA模型、Z模型)、貸款風險度測算以及專家評定制度(5P、5W、6C原則)。傳統方法十分簡便,方便操作,但是存在相關的不足之處,主要體現在將會計賬面價值作為基礎的時候,無法將企業實情全面的反映出來,而且動態性比較差;主要依賴于定性分析,主觀隨意性比較大,而且效率也比較低。
3.信用風險管理工具。信用風險管理工具主要包括:貸款直接轉讓、銀團貸款、授信限額、信用衍生、貸款證券化工具。
4.現代信用風險度量模型。就目前來看,國際金融界十分流行的內部信用風險模型,主要包括沃特曼死亡率模型、瑞士信貸銀行的信用風險附加模型、麥肯錫公司的宏觀模擬、JP摩根的信用矩陣以及KMV模型等。其中,JP摩根的信用矩陣與KMV模型最具代表性。
(二)市場風險管理
市場風險,又可以將其稱為價格風險,主要是指可交易資產的價值或者被用于資產出現的變化而造成的損失風險,主要包括匯率風險與利率風險。
1.市場風險管理工具。外匯風險管理,主要包括外匯期權、貨幣互換、金融衍生工具以及敞口限額等;利率風險管理,主要包括資產負債管理、利率金融衍生工具、基于VaR的管理等。
2.實誠風險度量。匯率風險度量,主要包括時間、外幣以及本幣等多個要素,可以姜切劃分為經濟風險、交易風險以及會計風險。利率風險度量,主要包括全值法、凸性分析、持續期、Var方法以及敏感性缺口分析等。綜合風險度量,主要包括情景分析法、VaR方法、壓力測試法以及風險狀況圖。
(三)操作風險管理
操作風險,實質上就是由于內控控制不完善、外部事件、制度失效以及人為錯誤等一系列事項造成直接損失或者間接損失的可能性,主要是銀行內部中可以控制范圍內的內生風險,主要包括商譽與法律風險、欺詐風險、信息技術風險以及控制風險。
1.操作風險管理。保險是銀行風險管理中非常重要的一個工具,主要包括與操作風險種類相匹配的保險、再保險與保單合格標準以及合同對方風險與保障范圍。
2.操作風險度量。主要包括內部衡量法、極值理論方法、損失分布法以及基本指標法。
3.資本準備金與保險的代替計量。內部衡量法、極值理論方法、損失分布法以及基本指標法等主要計算方法為限額法與保費法。
(四)商業銀行內控風險管理技術的應用分析
客戶評級與債項評價都是信貸風險管理過程中的基礎部分,根據客戶評級與債項評價與貸款逾期損失率之間存在的關系,可以對10級以上的評級矩陣表進行構建,以此提高商業銀行內控風險管理的整體水平。如表1所示,債項評價、客戶評級與貸款風險分類之間的關系。
表1 評級矩陣表
五、結語
現階段,我國金融領域中頻繁出現銀行內部人員與外界人員聯合進行金融詐騙、挪用銀行資金以及盜取客戶資金等一系列重大刑事案件,不僅嚴重影響了銀行的正常運行,造成銀行出現巨大的經濟損失,而且在很大程度上破壞了我國銀行業的商業信譽與社會形象;同時,阻礙了我國商業銀行的快速發展。針對這一實際情況,我國商業銀行在內控風險管理方面,應當嚴格執行各項內控制度,通過對風險管理流程的優化以及管理方式的創新,提高銀行業務的操作效率,創造一個良好的風險管理控制環境,為銀行業務提供高效、有序以及安全的運營保障,促進商業銀行的快速發展。
參考文獻
[1]康薈,程慧容,向存忠.商業銀行內控風險管理技術方法及應用[J].現代商業,2011(32).
[2]張曉琦.我國商業銀行信用風險度量及管理研究[D].哈爾濱工程大學,2011.
[3]李永華.中國商業銀行全面風險管理問題研究[D].武漢大學,2013.
[4]賈銳.商業銀行風險管理及防范問題研究[D].河南大學,2012.
[5]聶琳.內部控制視角下我國商業銀行風險管理策略研究[D].財政部財政科學研究所,2012.
[6]李思宇.我國商業銀行會計操作風險及其控制研究[D].西南財經大學,2012.
[7]吳琳.中小商業銀行操作風險控制研究[D].山東大學,2012.
[8]劉新宇.基于全面風險管理的中國商業銀行內部控制研究[D].遼寧大學,2011.
[9]徐建明.我國商業銀行金融衍生品信用風險管理分析[D].山東大學,2013.
