时间:2023-09-15 17:13:13
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇内控合规与风险管理范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:企业内部控制 合同 风险 机制
限于管理理论、意识控制等方面的原因,部分企业合同的管理仍存在着诸多问题。因此,合理运用内部控制理论,加强对合同的监督管理势在必行。
1 合同管理存在的主要问题
①合同归口管理不到位,权责分配和职责分工不明确。合同管理实际运行中,法律事务管理部门、业务部门、相关职能部门之间缺乏有效的沟通机制,无任何部门或个人能掌握合同总体情况。②合同样式不符合要求,要素表述不清晰。在合同样式方面,有正式书面的格式合同,也有简单的传真件;在要素描述上有些条款缺少关键表述,有的对会签意见大而化之等等。③合同动态管理如会签、授权、履行监控程序缺失。许多企业在合同静态管理、谈判等前期阶段能够高度重视,但对合同签订之后的合同履行阶段,则往往存在重视不足、管理不到位等情况。④合同执行后验收、评价工作缺失。企业往往缺少对年度合同履行的总体情况和重大合同履行的具体情况分析评估,对分析评估中发现合同履行中存在的不足,没有及时采取有效措施加以改进。
2 企业内部控制理论与合同管理风险辨识
2.1 指引第16号指出企业合同管理至少应当关注下列风险。①未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益受到侵害。②合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。③合同纠纷处理不当,可能损害企业利益、信誉和形象。
2.2 从企业合同管理环节上至少应当关注下列风险。①合同准备阶段,包括合同策划、调查、初步确定商业对象、要约、谈判及拟订合同文本等程序。②合同签署阶段,包括征求法律顾问意见,按照权限分部门审核、会签,签署合同文本等。③合同履行阶段,包括合同履行,跟踪监督,变更或终止、纠纷的处理等程序。对合同履行情况及实施情况进行,及时反馈合同履行情况的最新进展,确保合同各方能够完全、全面的履行合同。④合同履约后管理阶段,包括合同履约情况总体评价、风险防控、归档保管等程序。建立合同履约后评价与考核评比奖惩制度,把履约效果与奖惩挂钩,把存在的问题不足与风险管控结合,推动合同管理PDCA机制不断完善,不断提高公司对外经营的竞争力与诚信度。
2.3 基于内部控制理论的合同管理风险辨识。①内控观念的局限性。受内部审计环境影响,部分企业一直将企业的内部控制过多的理解为企业的内部审计和财务管理。但对企业运营联系最密切的合同管理与法律风险控制缺少足够重视。②内控流程设计的局限性。部分企业或合同承办部门认为企业内部控制流程的设计增加了企业的运营成本、影响经营效率,对于效益的改观没有太多帮助。③法人治理结构不规范。目前很多企业虽然在形式上建立了法人治理结构,但远未达到内部权利制衡的效果。合同管理流程被架空,内部控制干扰因素过多,内控流于形式,甚至成为违规的遮羞布。
3 内部控制基本理论下的合同管理与风险防控
3.1 企业内部控制理论。企业内部控制理论的发展大致分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。20世纪,内部控制活动大部分集中在制度的设计和审计方面。如美国相继成立了全国舞弊性财务报告委员会和专门研究内部控制问题的委员会。
3.2 内部控制五要素与合同管理。①控制环境。任何企业管理的核心都是企业中的人及其活动,而人又是构成环境的最重要要素。明确组织中的每一个人都对内部控制负有责任,这种组织思想有利于将企业的所有员工团结一致,使其主动地维护及改善企业的内部控制。②风险评估。企业必须建立可辨认、分析和管理相关风险的机制,对经济活动中各层级所面临的风险加以管控。③信息与沟通。围绕合同管理内外部环境的变化,必须建立与合同管理控制活动相关的信息与沟通系统。通过信息的交换与分析,对监督、控制进行调整,使企业内部控制越来越趋于完善。④内部监督。在成本与效益原则下,企业合同管理控制过程必须施以恰当的监督,通过监督考核机制对违规现象加以修正。
3.3 合同管理环节的风险防控。①合同准备。签约主体风险防控。签约主体合格是合同得以有效成立的前提条件之一,签约主体风险的结果是合同无效或被撤销。②合同谈判。合同谈判风险防控。谈判是双方在平等、自愿、公平原则下,磋商合同内容和条款,明确双方的权利义务的过程。③文本起草。合同形式风险防控。合同形式可以分为书面形式、口头形式和其他形式,是合同当事人意思表示的载体,应符合法律或有关部委审查备案的要求。如《合同法》规定,对借款合同、建设合同等应采用书面形式。④合同订立。合同订立前有关部门必须对文本进行审查会签。合同文本审核是合同签署的关键环节,其风险主要有是否违反国家有关政策法规,合同主要条款存在重大误解,审查人员的职业技能与操守,审查意见或建议是否被采纳。⑤合同生效。合同生效风险防控。经审核后的合同签订稿必须由企业法定代表人或被授权人签署,加盖企业公章后生效。其风险主要表现在:企业内部授权委托制度不健全,签署权限不明确而造成越权签订;合同印章管理不当,随意加盖合同印章。合同签署后被篡改等。主要管控措施:企业应当建立合同签订授权制度、专用章使用与保管制度。采取恰当措施,防止已签署的合同被篡改。⑥合同履行。合同订立后,企业应诚实守信的履行合同约定,并按交易习惯履行通知、协助、保密等义务。该环节的主要风险是当事人没有恰当地履行合同中约定的义务。⑦合同变更(解除)。合同变更(解除)风险。其风险主要表现在:变更双方意见不一致导致合同无法继续履行,合同变更签证不规范,涉及合同变更协商的书面协议未作为合同的组成部分等。主要管控措施:合同变更程序上应参照新订立合同按权限履行审批手续,明确合同承办部门对合同履行情况及效果的信息通报。⑧合同争议。合同争议是一方或双方对合同条款履行提出质疑并要求予以解决处理。在发生纠纷时,双方应采取有效措施防止纠纷的扩大和发展,首先通过和解或者调解解决争议,尽可能避免诉讼。当事人不愿和解、调解或者和解、调解不成的,可以根据合同约定申请仲裁或向人民法院提讼。⑨合同终止。合同终止指合同当事人双方在合同关系建立以后,因一定的法律事实的出现,使合同确立的权利义务关系消灭。合同履行的终止并不消灭当事人因此所应承担的返还财产、赔偿损失等责任,以及以后合同义务的履行。值得关注的还有合同终止后有关质保金与售后服务的继续履行。⑩合同后评价。合同后评价是对合同管理各个过程一个整体的、综合性的评定,通过评价有助于分析、总结企业合同管理中的经验和不足,推动合同管理水平的提升。企业应当建立合同后评价与责任追究制度,对分析评估中发现合同履行中存在的不足,应当及时采取有效措施加以改进,对合同订立、履行过程中出现的违法违规行为,应当追究有关机构或人员的责任。{11}合同归档。合同归档保管是完善合同管理的重要环节,通过对合同资料的编号、统计、分类、归档和借阅进行管理,保证合同资料(包括招投标文件、补充协议、合同文本、审查会签单、监控视频材料等)的完整性,避免合同资料缺失或被泄密、滥用。主要防控措施:明确合同管理人员职责,规范合同资料归档范围、借阅审批、归还手续等有关要求。
4 结束语
合同作为企业承担独立民事责任、履行权利义务的重要依据,是企业管理活动的重要载体,也是企业风险管理的主要内容。企业需要运用内部控制理论对合同法律风险进行分析与控制,并建立一系列制度体系和机制保障,促进合同管理的作用得到有效发挥。当然,内部控制并不是要消除任何的可能性,也不存在完美无缺的内部控制。只有这样,才能正确认识基于内控规范下的合同管理与风险防控工作,不断提高经营管理水平和经济效益,促进企业的事业不断健康发展。
参考文献:
[1]朱锦余.合同风险管理与内部控制――理论・实务・案例(企业内部控制与风险)[M].大连出版社,2010.
【关键词】内部控制;风险管理
伴随实务界与理论界对内部控制与风险管理认识的不断加强,内部控制建设与发展已经提升到与风险管理相融合的新高度。在此背景下,企业内部控制与风险管理的要求更高,并需要不断改进与提升,是一个循环往复、永无止境的企业管理工作,将不断促进企业加强流程管控,增强风险防范能力,实现稳健持续发展。
一、企业内部控制与风险管理概述
企业内部控制与风险管理是相辅相成、互为促进的整体。其一致性主要表现在:一是企业内部控制以及风险管理的实现都需要各方的参与;二是两者都贯穿于企业的整个日常经营管理活动当中;三是两者的最终目的都是要实现企业的价值。由于内部控制主要规范内部管理流程,而风险可能涉及内部风险和外部风险,从这个意义上缴,企业内部控制属于风险管理。然而,内部控制的提升,将增强企业对外部风险的抵御能力,二者是互相促进的。企业的风险管理和企业的内部控制相比较起来,它是站在更高的战略层次上来分析问题的,比内部控制更加细化,能够更好地解决企业经营活动当中所出现的各种各样的风险问题。随着内部控制以及风险管理的不断健全和完善,二者之间必定会相互交叉且相互融合,最终相互统一。
二、企业内部控制与风险管理中存在的问题
1.内部控制与风险管理意识较弱
一是风险管理意识淡薄,片面追求发展速度,制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险。二是把内部控制和风险管理看作一种静态的东西,认为仅仅是规章制度,如文件法规、技术规范和应用模型等。三是内部控制和风险管理的内涵有很多重合之处,单纯的将二者混为一谈,忽略了其对不同企业的不同效果。四是片面相信国外的内部控制和风险管理理念,忽略了将其与我国国情与企业实际情况结合,使得内部控制与风险管理水土不服。
2.内部控制和风险管理组织机制较弱
一是公司治理结构不规范,不能有效制衡管理层的强大权力,董事会没有或者不能负起监督管理层的责任。二是过分夸大内部控制和风险管理的作用,认为只要建立了内部控制和风险管理,企业的发展就是必然的。三是缺少对企业自身的特点、发展阶段、行业特性、技术条件、外部环境等情况的评估机制,使得内部控制与风险管理本末倒置。四是管控模式和组织结构设计不合理,无法有效控制企业风险,难以建立有效的内控和相互制衡的机制。五是缺乏系统的风险管理体制,没有将风险管理的手段和内控程序融入到管理与业务的制度与流程中。
3.内部控制与风险管理执行力度较弱
制度的关键在于执行,没有执行或执行力度不够,再先进的制度也不起作用。影响内部控制和风险管理执行力度的因素很多,其中,企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置不当是主要因素;制度本身的局限性及制度与制度之间的不协调性也给内部控制和风险管理的执行带来困难。内部控制针对的是“事”而不是“人”,是一种“非人格”的控制机制,其控制对象不限于受控方,施控方也是内部控制的控制对象。内部控制需要全员参与、平行参与和平等参与,这与我国传统的等级制、科层制是大不相同的。
三、企业提升内部控制与风险管理的改进措施
1.建立内部控制与风险管理相融合的管控文化
一是建立完善的内部控制组织框架,将高管层、中层、普通员工全部联动起来,将内部控制的理念贯穿入公司上下,并对公司主要风险点建立追踪机制,以承接各种风险。二是开展一系列教育活动,包括合规在线、合规课件、合规漫画等,进一步巩固基于风险管理的内控文化。三是在传统金融内控经验的基础上,结合自身业务特点走出一条适合企业自身发展的内控道路,鼓励内控与风险人员学习专业课程,系统地提升自身专业知识水平。
2.建立合法合规符合实际的内部控制与风险管理体系
在越来越明朗化的行业大环境下,内部控制与风险管理需要符合国家相关法律法规、行业监管办法以及公司内部规章制度,需要建设既合法合规又符合实际的内部控制与风险管理体系。一是从自身实践出发,建立和完善内控管理机构,并高度重视内控专业人才的培养。二是按照科学、精简、高效、透明、制衡的原则设立组织架构,设有内审、合规和法务等模块,并将治理层和管理层相隔离,避免职能交叉、缺失或权责过于集中。三是由内控部门制定一系列制度,有助于内控识别、评估和解决风险。
基金管理公司之所以如此强调风险控制的重要性,一方面是因为监管层为规范市场秩序加强了监管力度,另一方面则是因为基金管理公司从上述案例中认识到:风险控制对提高竞争力有着重要的作用,是巩固和重塑诚信市场形象的必然途径;基金管理公司应该在获取收益和控制风险之间找到平衡点,如果没有严格有效的内部控制体系和风险管理措施,最终将不能保住已获得的市场份额和无形价值的积累——企业信誉。因此,基金管理公司必须将风险控制当作一项战略决策来对待,通过全面、严密、的制度设计和体系构造,确保在控制风险的基础上为投资者创造收益,实现公司的经营战略目标。
基金管理公司有效控制风险应当具备的基本要素
一、有效内控的基本点是基金管理公司的最高管理层必须承诺对控制风险负有全部责任,即由全权负责整个公司业务的最高层自上而下推动和实施内控和风险管理,其制定的各项内控和风险原则、制度必须适用于基金管理公司的所有部门、环节、岗位,并能被贯彻执行。概括地说,一套有效的内控体系首先需要基金管理公司领导层的重视、参与和监督贯彻。
二、内部控制体系是一项系统工程,应在基金管理公司构造一个全面的包含两个层面的体系和系统——公司层面的、整体的内控体系和业务层面的风险管理系统,包括建立完整的内控组织架构、流程、报告路线,明确管理层与业务部门的内控职责、纪律程序和量化的风险管理评价体系以及手段、措施等。能够正确地确认风险,不仅要识别可量化的风险,而且必须认识和控制住其它不同类型的非量化风险,比如公司治理结构、法规、道德、人力资源、市场、运作环境以及操作上的风险。
三、平衡公司业务与实施严格风险控制两者之间的成本费用关系。管理层应明确严格风险控制所需成本费用应由为确保实现公司长远目标和预防、控制风险的有效性来决定,而不是根据短期内的损益情况来考虑控制风险应该支出多少成本费用,应将实施风险管理控制的成本费用支出看作是基金公司的一项连续的、长期的可以给企业带来竞争力和价值增值的投入。
四、有效的内控依赖于内控职责的明确划分,管理层在划分内控职责时要将“控制”与“监督”职责加以细化分解,并需将责任落实到人。在风险控制职能上,业务部门的主管无疑是业务风险控制的责任人,并承担着业务风险控制的职责;业务部门还应设专人负责日常的业务监控,并建立内部风险管理信息的传递与反馈机制;监察稽核部门除负责控制法律法规和道德操守风险外,更多的是监督检查职能,即对业务部门的运作合规性进行检查监督;绩效评估部门主要对基金运作绩效风险进行独立的监控、测定及评估;此外部门之间还担负着互相监督的责任。
五、有效的内控和风险管理的主要特征是公司上下均对风险具有很强的敏感性和认知度,相关的部门和人员去认真对待和控制,并通过持续不断的培训将控制风险的意识贯穿到企业所有员工的言行之中与部门间的业务环节中。对基金管理公司而言,在日常工作中业务部门是否能够真正有效地进行风险控制将取决于部门以及员工是否能够主动进行风险控制和严格遵守行为操守规范,以及风险管理职能部门是否严格履行职责并与业务部门相互间进行良好的沟通和合作。
六、监管机关的有效监管和良好的市场秩序。来自外部监管环境的对有效的内控和风险管理同样重要,如果证券市场监管机关不能有效监管,就会使合规运作的基金公司无所适从。此外,良好规范的市场秩序将有助于控制市场风险,反之则较难把握和控制市场风险。
七、顺畅的报告渠道。随着基金公司在日常管理以及投资交易过程中各种风险的日益增加,通畅的风险报告渠道已成为风险控制过程中日益重要的组成部分,业务部门需要将存在或潜在的风险问题分别向风险管理部门和主管领导报告。风险控制职能部门,如监察稽核部和基金风险绩效评估小组,对日常监控过程中发现的风险问题,应定期、及时编制风险评估报告提交管理层,并将有关信息及时反馈给业务部门。
鹏华基金管理公司的风险控制实践
鹏华的内部控制和风险管理体系经历了不断在实践中构造和完善的过程。在对内控和风险管理有了较为深刻认知的基础上,鹏华自成立伊始就确立了“保护投资人利益,取信于市场、取信于社会”以及“内控优先”的风险管理理念,进行了大量、多方位的制度设计和措施安排,并通过健全内部控制体系控制非系统性风险,通过建立风险管理系统平台对系统性风险进行控制。
一、内控体系建设方面:
1、完善法人治理结构,防止内部人控制为保障投资者和股东的合法权益,防止内部人控制,近年来鹏华积极向国际标准靠拢,不断完善公司治理结构:建立了独立董事制度;在董事会下增设了审计、薪酬和提名三个专业委员会;加强了风险控制委员会的风险控制职能等。
2、构建内控整体架构,明确内控流程鹏华的内控架构是多层次的,包括了风险管理委员会,投资决策委员会,督察员,监察稽核部,业务和支持部门,以及风险———绩效评估小组。此外,鹏华还明确了风险控制由最高管理层自上而下推动和业务部门、员工自下而上主动、自觉履行风险管理。
3、完善内控制度,明确内控职责在鹏华在风险控制实践中还认识到内控制度应是一个包含两个层面的有机整体:一是公司层面的总体内控制度,它必须全面覆盖公司管理和基金运作各个环节;
二是各个业务层面的、部门的风险控制制度。
在内控制度中鹏华对公司所有部门和岗位的内控职责进行了明确,也就是具体规定了由哪个部门谁对何种风险、按照何种程序、在多长时间内进行控制。此外,鹏华的内控制度还包括了定期对内部控制的有效性进行评价,以测试内部控制是否依然充分有效。对内控制度的评价不仅应该检验其是否符合控制目标的要求,还应该结合市场环境的变化、新的工具和技术的等情况,对内控制度进行适时的更新、补充和调整,使其适应基金业的发展趋势和最新法律法规等风险管理要求。
去年以来,鹏华结合开放式基金的筹备工作,根据最新的法律法规和行业规范的要求,对公司层面以及业务层面的风险控制制度进行了进一步修订完善,特别加强了对投资、交易和开放式基金业务风险的制度控制力度。
4、加强内控培训,培育全员风险管理文化在与境外基金管理公司的访问交流中认识到,基金管理公司的风险控制不仅仅是风险管理部门的事,而必须由每一个员工自觉地落实到日常的工作中去。因此,需要在基金管理公司培养一种风险管理文化,这种文化可以使得风险控制意识在公司内部得到广泛的分享,扩展到公司所有员工,并最终形成一种良好风险的控制环境。
为此,鹏华管理层在各种场合向员工反复强调和灌输“诚实信用、勤勉尽责,切实保护投资人利益,取信于市场、取信于社会”以及“内控优先”、“纪律产生业绩”的风险控制理念。
为达到此目标,鹏华对员工进行了持续的内控培训。去年,鹏华采取邀请境外专家到公司举办讲座和内部交流等内外交流的等方式开展了三次内控培训,帮助公司全体员工树立了正确的风险管理理念和勤勉尽责的工作作风,并要求所有员工把风险控制融入到每天的工作中去。
经过三年多的实践和努力,鹏华良好的内控环境和沟通平台已构造完成,初步形成了全员风险管理文化。
5、制定行为操守准则,控制操守风险在培养风险管理文化的基础上,鹏华还十分重视道德操守风险的防范,制定了详尽的《员工行为操守准则》,并强制性要求全体员工每年签署一次;此外,还制定了《基金经理操守准则》并要求基金经理签署和向承诺。操守准则的签署,意味着全体员工向公司和全社会承诺自觉遵守相关法规、基金契约和公司规章制度的规定,并接受社会和公司内部的监督。
6、独立的监察稽核,严格的纪律程序监察稽核是在各业务部门自我监督基础上的再监督。监察稽核部是法律法规和内控制度遵守和执行的监督者,是内控体系中的关键环节之一。
自公司成立以来,鹏华管理层就非常重视监察稽核工作。首先,公司赋予监察稽核部对所有业务,如基金投资、交易、公司和基金会计等进行独立地检查监督的权力,并不受其它部门的限制和干涉;其次,公司还赋予监察稽核部为履行工作职责所需要的其他必要权限,如对防火墙的穿越权,对所有文件、资料的调阅权,对违规行为的制止权等;最后,为建设一支高效的监察稽核队伍,公司还为监察稽核部配备了审计、会计、法律方面的高素质人才,并多次安排监察稽核人员赴境外和培训。
近年来,鹏华监察稽核部不断加强对各项业务的监察稽核,在监察流程、方式、措施、手段上取得了长足进步:1、尽量实现风险控制由“事后处理”向“事前防范”的转变,并在事前、事中、事后等各阶段对风险进行全面控制,确保公司管理和基金运作的合法、合规;2、虚心学习境外合作伙伴在内部风险控制和监察稽核方面的先进经验和量化监控,引进了关键风险指标(KPI)月度评估报告制度等。
为保护投资人利益,确保公司规章制度得以有效贯彻执行,公司还制定了严格的纪律程序,对在监察稽核过程中以及在部门内控和风险管理中发现的违法、违规行为,将根据情节轻重、性质和危害程度,经部门会议、监察稽核部、总经理办公会议或风险控制委员会讨论确定对行为人的处罚和行政处分。
7、强化岗位分离和制衡机制关键岗位的分离和制衡,是内部控制的重要原则。在这一原则指导下,,鹏华对以下岗位进行了空间和区间的分离:
(1)投资与交易:投资与交易从部门到人员均相互独立,并以防火墙进行物理隔离;(2)交易与清算:公司交易人员与清算分属不同的部门,彼此完全独立,业务上没有交叉,并且建有防火墙,办公区间进行隔离;(3)监察稽核与其他业务部门:监察部由董事会任命的督察员负责,保持了很强的独立性,其监察报告可以直接送达董事会和监管机关,而无需总经理的批准;(4)其他重要岗位,如投资与、公司会计与基金会计等均实现了人员独立和岗位分离,无岗位、业务重叠现象。
在制衡机制方面,根据业务流程和制度规定,部门之间对明显违反法律法规和制度流程的行为有制止权和报告责任,因而可以通过部门、岗位的相互制衡达到控制风险的目的。
8、改革人力资源和薪酬制度,加强激励机制
人力资源是鹏华公司最宝贵的资产。为吸引人才、留住人才,体现鹏华“以人为本”的经营管理理念,公司一直致力于建立起一套的人力资源体系。2001年,鹏华选择美国著名的惠悦咨询公司,为鹏华量身设计薪酬、绩效评估、培训等方面的人力资源改进方案,重新制定了,如薪酬制度、绩效评估制度、培训制度等,并于2002年全面推行。
在此基础上,公司逐步建立起包括人才数据库、岗位、绩效评估等在内的人力资源电脑管理系统,力争建立起科学的人力资源体系,不断提高人力资源管理水平。
二、风险管理系统平台的建设对于流动性风险、波动性风险、行业、个股集中度风险等系统性风险,除通过基金投资部门对基金进行日常的风险管理外,公司还设有专门的工程小组,负责开发投资模型和量化的风险管理系统,并建立起独立的风险管理系统平台进行辅助控制。2001年,公司开发完成了投资决策支持系统(PHIDSS)和投资研究信息系统,其子系统包括恒生交易系统、证券分析系统、鹏华财务风险识别和预警系统、指数研究工具、投资策略、投资风险实时监控系统;另外还开发了基金投资、交易自动控制系统以及基金风险绩效评估系统并正式投入使用。鹏华风险管理系统平台的建设,为规避和控制市场风险在系统化和数量化的道路上迈出了坚实的一步。
内部控制的趋势
2008年6曰28日《企业内部控制基本规范》后,中国平安高度重视、立即行动组织项目组贯彻落实,聘请国际知名咨询公司协助项目实施,遵循“务实整合”的核心原则,秉持“以制度为基础、以风险为导向、以流程为纽带、以内控平台系统为抓手”的思路,将内控体系再次整合升级,具体包括:修订了《内部控制评价管理办法》、《内部控制自评手册》,进一步健全内控制度体系;构建了内控评价系统平台,为管理层提供风险状况及决策支持;并逐步建立完善了内控评价日常化运作机制,实现“内控人人参与、合规人人有责、内控融入业务和流程”等。
建设“三位一体”的管控机制
在内部控制治理架构与体系方面,中国平安董事会对内部控制的有效性负最终责任。中国平安董事会是一个依托本土优势并践行国际化公司治理标准的董事会,现有19名董事中,有3名独立非执行董事及5名非执行董事来自海外,这些海外董事均为金融、保险、财务、法律等专业领域的资深人士,负责内部控制的建立健全和有效实施,董事会下设审计与风险管理委员会,负责监督、审查公司内部控制的有效实施和内部控制评价情况,协调内部控制审计及其他相关事宜。
中国平安集团设立内控管理中心,包括合规部、风险管理部、稽核监察部;各专业公司层面设立相应的合规、风险管理、稽核监察职能部门。公司持续优化内部控制体系,在公司副总经理兼首席稽核执行官叶素兰(其作为首席稽核执行官根据《审计与风险管理委员会工作细则》直接向董事长、董事会审计与风险管理委员会报告工作,以确保独立性)的统筹协调与管理指导下,不断加强“合规管理、风险管理、稽核监察”三个模块职能的分工与协作,强化工作衔接与信息共享以及“事前、事中、事后”的三位一体风险管控机制。叶素兰向《董事会》表示,“三位一体”指三个专业部门在风险管控中分工、配合与协作,强化事前、事中、事后风险管控。其中,合规部门主要履行“风险事前策划应对”,风险管理部门主要履行“风险事中监测控制”,稽核监察部门主要履行“风险事后监督报告”。业务部门是风险管控的第一道防线,中国平安通过建立内控评价与考核问责,将内部控制与日常经营管理融合,嵌入业务和流程,确立内部控制的核心驱动力,将风险管控尽可能前置。合规部门和风险管理部门是第二道防线,稽核监察部门是第三道防线。
针对综合金融可能存在的关联交易、风险转移、资本重复计算等风险,中国平安通过建立完善严格的“法人防火墙”、“财务防火墙”、“交易防火墙”和“信息防火墙”等防火墙制度,将单一/累积风险控制在远低于集团可接受的水平范围内。
值得一提的是,平安一直致力于建立一个以国际领先综合金融服务集团为目标,与自身业务特点相结合的全面风险管理体系。其通过完善的组织架构、规范的管理流程、定量与定性相结合的风险管理技术方法,进行风险的识别、评估和控制,支持业务决策,促进集团有效益可持续健康发展。
中国平安总经理任汇川对《董事会》感慨道:“风控体系非常独立和严格,集团强调法规+1,之所以能放心也是因为有这套体系。”
完善内控评价机制
内控评价机制方面,中国平安确立了以内控评价方法论为基础,覆盖全部业务部门进行内控自我评价,风险管理部门进行内控风险评估,稽核监察部门成立专门的评价小组进行内控独立评价,外部审计师对公司内控状况进行审计的内控评价机制。
中国平安的内部控制评价工作严格遵循相关外部监管规定及公司内部控制评价办法规定的程序执行。由公司合规部牵头,会同各业务及相关管理部门进行管理层内控自评,由公司稽核监察部实施内控稽核独立评价,相关责任部门根据内控缺陷及整改建议制定并执行整改计划。中国平安不断完善管理层内控自评和内控稽核独立评价流程,通过加强项目管理、过程管理、质量复核、固化项目方法和程序、评价结果分类等内容,规范管理层内控自评和内控稽核独立评价工作的开展。公司通过内部控制系统平台,完成内部控制评价的发起、测试、汇总、复核、审批、整改追踪、结果分析等工作。管理层内控自评和内控稽核独立评价过程中,公司通过访谈、资料收集与研讨、专题研讨、与行业最佳实践对比、培训等方式,收集、确认、分析相关信息,确定与实现公司整体控制目标相关的风险,并在此基础上辨识与细化相对应的控制活动,然后针对控制活动进行穿行测试和运行有效性测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并书面记录工作底稿。从定量和定性等方面进行衡量,判断是否构成内部控制缺陷,对发现的内部控制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确认。
中国平安外部审计师安永华明会计师事务所对其财务报告内部控制发表的审计意见认为,于2011年12月31日中国平安按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
打造信赖工程
做好内控和风险管理工作的核心,是发挥治理架构和人的作用——这是马明哲对平安内控和风险管理工作的要求。中国平安对完善内控过程的总结还包括:管理层的高度重视是内控工作实施的必要条件;组建权责清晰、运作高效的内控组织架构是内控工作实施的前提;进行内控考核与问责是内控工作实施的驱动力;外部咨询公司的力量是内控工作实施的专业支持;内控工作需要依托公司现有基础,完善、优化、整合升级,一般情况下不宜推倒重来。
【关键词】商业银行;合规风险;长效机制;防控
一、合规、合规风险的概念
关于合规的概念,我国《商业银行合规风险管理指引》对合规的含义进行了如下明确:“合规是指商业银行的经营活动与法律、规则和准则相一致”;“合规风险”指的是:银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、已经适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
二、建立合规风险管理的必要性
从银行业内控管理现状看,合规经营、合规管理、合规文化建设依然任重道远,各类违法、违规案件时有发生,特别是一些大案要案,给银行业造成了极大的经济和声誉风险。千里之堤毁于蚁穴,一个很小的合规漏洞都可能造成银行的巨大损失。邯郸农行金库窃案中,库管员盗取现金数千万元,如此巨大数额的现金,绝不可能在短时间内完成转移,因此犯罪分子同时发展了数名同犯,在不短的时间内,整个银行都没有发现异常。1995年,有着233年历史的巴林银行突然一夜之间宣布破产倒闭,事后李森对自己的过往中有这样一段描述:“对于没有人来制止我的这件事情,我到现在仍觉得很不可思议。伦敦总部的人应该知道我的数据都是假造的,这些人都应该知道我每天向伦敦总部要求的现金是不对的,但他们仍旧向我支付这些钱。”从李森的描述中我们不难发现,巴林银行倒闭事件当中不应仅只有李森一人违规操作的原因,亦有周边人对李森的违规操作视而不见原因,更有管理监控缺失的原因。银行的制度不可能完全没有漏洞,内控制度执行不力,工作人员防范意识不强,就会为犯罪分子提供客观的条件便利。
三、当前基层行合规管理方面存在的问题
(一)未能正确处理好业务发展与合规经营的关系
在经营管理中重业务营销、轻风险防控,重经营业绩、轻管理细节的意识依然存在,容易产生风险事件。
(二)员工的整体素质有待增强
一些基层机构对各项制度规定和业务知识学习不够,没有把警示教育、制度教育、流程教育作为一线员工每天的必修课。部分员工思想上对风险防控的重要性、长期性、复杂性和艰巨性认识不足,对业务操作流程不够熟练,对风险的把握不够准确,在业务操作过程中规范性不强,极易产生操风险事件。
(三)风险防控的制度措施有待完善
现行的制度还不能完全适应新常态下内控管理和风险防控的要求,应根据管理和风控要求,不断对办法制度进行修定和完善,为基层行风险防控提供有力的制度保障。
(四)监督机制还不够健全
在银行的平常经营过程中,侧重预先的风险防范,事前决策和结果执行的合规抓得紧,而事中监督和事后反馈环节的合规力度相对较弱;目前仍存在有章不循、“屡查屡犯”现象。对合规考核、问责、诚信举报等持续需要改进的后续制度建设相对弱化、合规管理的长效机制建设有待深化。
四、如何建立商业银行防控合规风险长效机制
机制是使制度能够正常运行并发挥预期功能的配套制度。它的基本条件:要有比较规范、稳定、配套的制度体系;又要有推动制度正常运行的“动力源”。良好的合规风险管理文化是商业银行风险管理的重要基础,也是银行企业文化构成要素长效机制,即能长期保证制度正常运行并发挥预期功能的制度体系。长效机制不是一劳永逸、一成不变的,它必须随着时间、条件的变化而不断丰富、发展和完善。
一是明确合规风险防控责任。要建设好银行的合规文化,首先要从高层做起,高层合规能起到榜样作用,要强化高管人员“合规创造价值”及“以内控促管理,以管理促效益”的理念,树立合规风险防控责任意识,形成全行上下齐抓共管、整体联运的合规风险防控格局。大力营造遵章守纪光荣、违规违纪可耻的良好氛围,将“全员主动合规、合规人人有责、合规创造价值”的理念渗透到全行员工的日常行为中,渗透到每个岗位、每项业务操作环节中,促使员工自觉遵循法律、规则和标准。
二是持续加强合规风险防控教育。牢固树立“发展是硬道理,管理也是硬道理,两手抓、两手都要硬”的内控合规文化理念,每年定期举办不同主题的内控管理教育活动,培育和弘扬诚信至上的内控合规文化氛围,进一步提升全员合规风险防控意识,全面提升员工职业素养,增强全行员工遵纪守法的自觉性。
三是建立有效的奖惩约束机制。实行内控管理问责制度,把合规风险防控工作纳入经营行和业务管理部门的绩效评价指标体系,将合规管理成效与考评机制相结合,增强对违规问题的自查自纠能力,加大对违纪违规、特别是“屡查屡犯”行为的处罚问责力度,对出现有违规行为的实行“零容忍”并坚决按有关制度规定进行问责和处罚。通过对违规违纪行为和相关人员的严肃惩处和定期通报,警醒员工队伍,真正发挥制度的约束作用。同时建立正向激励机制,对合法守规行为进行表扬和奖励,切实做到奖惩分明,对报告或避免重大合规风险的给予表彰奖励。形成合规人人有关、人人有责的健康局面。
全面抓好风险防控措施落地。切实抓好不同时期的重点领域防范措施的落地。同时发挥合规审查、履职监督与监督评价的作用,通过进一步加强重点领域高风险机构、岗位和环节的排查,健全完善制度流程和系统控制,多措并举防止风险输入扩散和交叉传染。同时加强合规安全教育,强化员工异常行为管理。
参考文献:
[1]中国银监会.商业银行合规风险管理指引,2006,(10)
[2]刘晓勇.《清华金融评论》关于健全银行风险管理机制的探讨,2015,(08)
[3]徐瑾,杨继绳.《中国经营报》警惕“权力市场经济”,2010,(11)
关键词:企业 全面风险管理 内部控制 体系
一、全面风险管理和内部控制概念
(一)全面风险管理的概念
全面风险管理是一个持续的实施过程,紧密结合在企业经营战略的设定之中,是企业的董事会、管理层和其他员工共同参与的协作执行,应用于企业的战略制定和企业的各个部门及各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
根据企业管理层经营的方式划分,全面风险管理包括八个要素,内部环境识别、制定经营目标、企业风险评估、经营事项评估、风险应对方案、风险控制措施、信息获取与沟通以及风险效果监控,上述要素之间相互关联,相互协作,始终贯穿于企业生产经营活动中。
(二)内部控制的概念
内部控制是一个动态的全过程,包括控制环境、风险评估、控制活动、信息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各息与沟通及监控五个互相联系的要素,体现于管理层经营企业活动中。企业内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程,有利于梳理全面、全过程控制的理念。
笔者认为,内部控制的基本出发点是以预防为主,贯穿于企业生产经营的始终,内部控制需通过事前、事中、事后的过程性的控制手段,对内部控制设计及执行过程进行评估,从中获得当前内部控制体系的有关信息,及时对内部控制体系进行修订、完善和补充,确保企业管理的完整性,有利于充分发挥审计职能、提供各方决策依据等内容,以达到整体控制的效果。
二、全面风险管理和内部控制的关系
全面风险管理与内部控制既相互联系又存在一定差异,具体情况如下。
(一)管控实施主体一致
从实施主体上看,企业风险管理和内部控制管控主体都是企业董事会管理层及各员工,其管控主体为公司全体员工,为公司战略目标实现提供合理保证。
(二)管控范围相互包含
从管控范围上看,企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一,而内控体系建设的动因则来自企业对风险的认识和管理。内部控制是管理的一项职能,而全面风险管理贯穿于企业经营管理过程的各个方面。
(三)管控视角侧重不同
从管控视角上看,全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险,侧重于战略、市场及法律等领域。而内部控制主要通过防范性的视角去降低企业内部可控的各种风险,侧重于财务和运营。
(四)管控目的存在差异
从管控目的上看,企业通过对全面风险管理的战略风险、财务风险、市场风险、运营风险及合规风险等多项风险进行分析、评估获取机遇,规避或预知影响。而内部控制则没有对风险和机遇进行明确的区分。
综上所述,能够对风险包括风险偏好、风险应对策略、风险零容忍度等战略要素,进行准确全面的度量和评估,建立初始信息框架,是全面风险管理工作流程起始点,因此,要确保企业在风险偏好及运营发展战略方面保持一致。内部控制则是在对企业内部风险和机遇分析的基础上,提出各种应对措施及方法,内部控制措施其必要性与风险系数呈正相关的关系,并依据风险内容制定控制机制与实施,企业在生产运营管理中,通过使用具体的内部控制措施的有效工具,对各类风险进行控制、评估,从而监控管理潜在的各类风险爆发隐患。
三、企业内部控制体系实施
随着国家有关部门和资本市场监管要求日趋严格,以及全面风险管理与内部控制理论的特性,为企业建立风险管控体系提供了指导依据。同时,将风险管理理念列为管理重点,以有效的内部控制为基础,科学融合了现代企业管理体系中的风险管理理念,促使企业充分审视、完善和加强自身内部控制管理工作。
建立以风险管理为导向的内部控制体系,从而不断提升企业自身的风险管控能力,其发展历经了SOX内控体系到全面风险管理内控体系演进的过程。
(一)基于财务报告相关基础的SOX内控体系
初步建立以《萨班斯》财务报告为基础的一套内控体系,主要关注内控组织和制度的建设,完成体系的搭建,内外部审计中,均顺利过关,遵循工作总体有效,主要建设效果如下。
1.搭建内部控制体系组织架构和体系
内控体系从组织架构上实行两条线管理机制。一方面,财务部门作为内控职能管理部门与业务部门(虚拟团队)作为运动员,分别负责公司内控体系的设计和执行;另一方面,内审部及外部审计师作为裁判员,负责内控体系的监督和检查。
按照内部控制建设目标和原则,通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设,完善了基本的内部控制设计,业务流程范围覆盖了企业所有业务部门,形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点,形成内部控制手册和矩阵。
2.梳理规范业务操作
梳理及规范了业务执行层面各类操作,实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。通过业务访谈及专业判断进行了业务流程的风险评估,通过内控文档的优化更新及内控制度办法的建立完善了制度设计,通过明确落实关键控制点责任部门和责任人保证执行落地,通过内外部内控审计测试及业务自查加强了监督检查力度,通过定期内控体系建设情况报告形式明确了管理要求。
3.提升风险管理意识
通过结合基于财务报告相关的内控建设初步的风险管理体系,深化了内控的管理细度,实现了将与财务报告相关的内控要求融入日常工作,与业务运营融合,提升了业务执行效率与效果,增强了风险管理意识。
4.内部控制落实
企业通过部门层面内控常态化管理项目的实施,将公司层面的控制落实到部门层面,控制的执行更加明确,转换部门角色,把部门由受控主体转变为控制的主体,形成部门内控闭环管理体系,实现部门内部控制的建立、执行、测试及跟进闭环管理,将控制真正融入到日常工作之中,避免内控管理与生产管理“两张皮”。同时,建立并完善内部信息沟通渠道即内控月报制度,内控月报涵盖了各部门日常工作中涉及的相关内控工作,实现与公司内控职能管理部门财务部的有效沟通。
5.加强内控执行监督
为加强对内控业务执行的监督力度与执行效果,设置考核体系和评价体系,企业采用了将内控业务执行监督纳入公司各部门关键绩效指标考核体系的方式,以加强业务部门对内控管理工作的重视程度;在日常监督检查方面,采取了部门层面内控闭环管理体系,通过明确各部门内控自测要求,促进业务部门开展自测,并与内外部审计等检查实行有效衔接,主动发现风险,从而达到关注重点、聚焦实质的目标,将内控风险管理工作和业务管理工作有机的结合在一起。
(二)以风险为导向、面向业务运营的全面内控体系
开展企业层面的风险评估,编制全面风险评估报告,全面优化SOX内控,梳理、搭建业务风控框架,以风险管理控制为核心,面向生产运营内控体系逐渐过渡到以风险为导向的内部控制体系建设,建立全面内控体系,其主要效果如下。
1.搭建业务框架
内控体系框架不再以存货、资金等会计视角为主线,而是从市场营销、采购等公司具体业务视角搭建。同时,从全生命周期出发,在各关键环节设置数据稽核的控制要求,区分实物管理和数据管理采集稽核样本,从而加强全流程的风险管理控制,提升数据真实性。
2.增设关键控制,注重前后评估
一方面,由于业务合作形式日趋多样,多渠道整合营销及联合促销等合作模式对双方资金、资产安全提出了更高的控制要求。如,对于代销商与营业厅合作业务,对代管存货明确了控制措施,明确控制要求;另一方面,结合原则性控制要求,针对具体方式进一步细化控制要求,提高关键环节控制力度。如,对于采购业务,鉴于采购方式及业务流程不同,区分了招标采购、非招标采购与集中采购三类模式,细化控制要求。
根据业务流程进行梳理发现,部分业务流程未明确事前评估及事后监控的闭环要求。基于此,在业务流程评估的基础上,对部分业务流程增加了前后评估环节,提升了效率效果。
3.合并同质控制
通过长期的业务实践来看,对于同类业务,放在不同的流程中,出现了不同业务部门的认识不统一,导致管理方式不一致。通过业务流程的删繁就简,归并整理了同类型业务控制。
4.梳理标准规范
考虑系统维护量增加,效率降低,以及未来的可扩展性,兼顾控制基线要求,适当强化部分控制,为不断增多的系统提供统一、标准的控制规范,统一了各信息系统的整体控制要求。此外,通过梳理与财务报告相关性系统,考虑其是否产生计费话单或生成财务数据,是否传输或存储财务数据,对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴,而是纳入日常管理流程。
5.实施内控系统固化
伴随企业内控管理制度的逐步规范以及信息系统建设的不断完善,内控制度和流程相对明确,内控工作的重心从内控手册矩阵优化转到控制要求的落实执行上。如何通过信息化手段将内控管理制度落实到实际执行中,将内部控制矩阵中的关键控制点在业务系统中予以固化,以建立常态化的内控执行体系,既是进一步改善内控措施执行的效率和效果,又是实现内部控制和风险管理的智能化和标准化的要求。内控固化管理也是顺应持续性审计、惩防体系建设等内外部监管领域发展趋势,并为业务的健康成长和管理效率的提升提供支撑保障。
(三)以全面风险管理为视角的内控体系
遵循COSOII框架的全面风险管控体系,组织开展重大风险管控项目试点,促进风险管理工作与业务的深度融合,主要关注风险评估和风险应对,实现向全面风险管理过渡,不断完善其风险体系和内控体系建设,构建与以全面风险管理视角的内控体系,其主要建设效果如下。
1.深化风险文化
作为企业文化建设的重要部分,企业已将风险管理文化建设纳入企业文化标杆管理体系,从制度层面上保障风险管理文化的建设,并将风险管理与绩效考核相结合,对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚,促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量,分别通过自上而下和由点及面的推动方式,传播公司的风险管理文化。通过风险管理文化建设与培训,风险管理意识日趋深入人心,风险文化逐步形成。
2.构建风险体系
企业以国资委的《中央企业全面风险管理指引》中确定的分类为参考,结合企业行业特点及其实际业务情况,主要风险主要划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类风险。
全面风险管理工作从上述六类风险角度出发,营造企业自身文化;梳理公司各业务和内外部环节存在的风险,健全风险防范制度,构建风险防范体系。通过与利益相关方的沟通,提升公司形象,加强公司的廉政建设。
首先,企业根据业务发展需求,围绕中心,服务大局,联系实践,落实企业文化规划,完成企业文化发展规划,提升企业文化知晓率和认同度。
其次,企业通过梳理公司业务管理、网络运营等各方面存在的风险点及薄弱环节,提升全员信息安全意识,以风险管理为核心开展信息安全管理工作。
再次,企业通过加强反腐倡廉建设,廉洁自律,强化纪检监察、内审、安全生产、法律和社会责任风险管理,构建全面风险管理体系。
最后,加强利益相关方沟通管理和需求回应,全面提升社会形象。
企业通过上述措施制订执行全面风险管理工作计划,明确责任,评估各项风险发生的可能性和发生后对公司的影响程度,并对风险的重要性程度排序,确定公司面临的各种风险,细化落实相关计划与措施,定期开展回顾总结,监督执行情况、提出改进建议,完善风险管理的闭环管理机制,将风险管理的工作要求与业务运营管理相融合,切实做好日常的风险管理控制。
3.提升管理水平
通过规范业务流程,促进公司精细化管理水平的提升。在以价值为导向的全面风险管理体系建设阶段,实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新的提升。在以风险为导向的内控体系建设的基础上,通过风险量化分析工具及效益评价开展风险评估,建立风险评估标准完善了制度设计,通过专项风险管理加强执行,建立风险信息数据库方式增强监督检点,通过定期编制全面风险管理报告提升风险管理水平。
4.关注重点风险,内控业务对标
随着企业管理日益精细化,相关内控要求与业务制度也在持续优化更新。在生产经营过程中,运用正向、逆向思维,梳理内部控制制度和业务管理制度,内控制度设计覆盖业务管理全过程,关注重点高风险和舞弊领域,业务制度是内控制度执行依据,内控制度是将业务制度中与内控相关条款归纳、整合。基于此,从内控合规角度出发,查找设计不合规或两者不一致的内容,进而完善内控要求与业务制度,实现全部内控业务流程对标,并将此项工作纳入内控常态化管理工作范围,不断完善内控体系。
上述内控体系特点为,建立企业统一的、标准化的内控手册和矩阵;控制点要求落实到具体部门和责任人,确保有效落地执行;内控管理执行部门和风险管理监督部门各司其职,相互制衡;全面覆盖涉及企业所有业务单元,涵盖生产、市场和管理等各业务线条;采用风险评估的方法,以风险为导向,关注关键环节风险管控;将内控与业务活动的紧密融合,避免“两张皮”;利用信息化手段固化内控要求,充分发挥信息系统优势。
四、未来全面风险管理内控体系的实施建议
(一)将企业风控管理和战略管理结合在一起
战略管理、风险管理是企业整个治理过程中的重要环节,企业战略管理的终极目标是为了实现企业价值的可持续增长,企业价值创造的路径是“股东价值客户价值业务流程核心资源”,所以企业必须具有高效、快捷、有可靠质量的业务管理流程,是企业价值链的形成途径,企业风控管理也应遵循这一路径而展开。这就需要企业结合整体战略规划对本企业的风控管理目标、建设原则、建设步骤及建设蓝图等进行评估、设计与决策,并且企业还需结合已确定的内部控制体系建设规划,审核建设方案和实施计划,监督内部控制管理机制的日常运行和持续改进,从而实现自上而下的风控管理与战略管理相结合的管理机制。
为实现企业战略目标,一方面将风控管理偏好和企业的战略结合在一起,将企业成长、风险和收益联系起来,增加风控反应决策,使企业的经营意外和损失最小化,减少企业生产、运营管理风险盲点;另一方面确认和管理企业的总体风险,合理配置风控管理领域的资源,抓住机遇,针对多重风险提供完整的应对反应方案。
(二)全员参与自主风控
全面风险管理是长期性工作,涉及企业生产和管理整个过程,需要全员上下共同参与实施,也是与日常生产和管理活动紧密相关联的。通过有效运用风险管理和内部控制的相关手段和要求,评估企业关键性业务的状态,避免业务执行和风控执行信息不对称;实行自主动态风控管理,使业务制度涵盖内控要求、业务流程符合内控要求和业务系统固化内控要求,从而不断提升全员风险管控意识,做好重大风险自主评估;增强内控与业务融合度,确保关键业务自主内控合规;深化内控管理信息化的建设,实现内控要求系统自动控制;推动审计发现问题整改复查,发挥审计检察闭环监督价值。
(三)强化风险监控预警,有效完善内控体系
企业的风险监控是风险预警的关键部分,结合企业内外部环境、行业特点,通过一定的评估方法或模型来确定风险监控指标的权重,充分利用统计分析的决策支持、工具和系统,从生产管理多维度入手,如运用年度绩效考核指标分析,监控企业经营业绩、发展效益、网络质量等;通过年度全面预算标杆管理体系,对标分析查找差距,突出价值导向优化资源配置;利用对业财半年报表和日常管理情况分析,监控业财指标,从财务角度进行风险分析和提示;透过月度/季度统计数据,分析企业日常生产经营风险,并将监测动态数据进行统计、分析,得出风险的变化趋势,定期进行汇总提出分析报告,为企业决策和风险管控提供参考依据,也为业务流程和内控体系持续优化提供有效信息,切实起到风险把控作用。
五、结束语
发起行对村镇银行的垂直风险管理体系
《指引》规定“农村中小金融机构可根据业务发展需要设置首席风险官(风险总监),首席风险官负责分管风险管理条线工作,不得分管前台业务工作,直接对行长(主任)负责”。结合发起行对村镇银行的管理职责,发起行可通过派驻村镇银行首席风险官方式,对其发起设立的村镇银行实行垂直、独立的风险管理。派驻村镇银行首席风险官向发起行及村镇银行董事会、行长负责,在发起行村镇银行管理总部及村镇银行行长领导下开展工作,属于村镇银行经营层,接受村镇银行董事会及所在地监管部门的高管资格审定和考核。借鉴《指引》相关规定,发起行派驻首席风险官对村镇银行的风险管理目标是“三个确保”,即确保持续发展、确保审慎合规经营、确保风险可控。
推行派驻村镇银行首席风险官模式后,发起行对村镇银行的垂直、独立风险管理组织架构可分为三层,分别是发起行村镇银行管理总部、派驻村镇银行首席风险官、村镇银行风险管理部。风险管理组织架构及报告路线如下图:
发起行村镇银行管理总部的垂直风险管理
一是制订并下发发起行对村镇银行的风险管理政策或意见。通常包括信贷投向、信贷结构、行业及客户限额、流动性管理指标、合规与操作风险控制要求等,对村镇银行的业务发展、内控建设与风险管理提出方向性意见。村镇银行管理总部对此意见进行督促落实。
二是按月开展非现场风险指标监测,对村镇银行进行风险预警和分析。村镇银行须定期向发起行报告相关风险指标监测表,前期指标主要包括信用风险指标、流动性风险指标和限额指标,如指标发生异常变化则下发风险提示书或整改意见书,进行调整或控制。
三是指导各村镇银行首席风险官开展风险排查并要求其上报风险报告,以便全面了解和掌握村镇银行内控、合规与风险管理情况,进行风险监测和指导。
四是针对业务异常变化或风险指标变化,组织风险、合规人员进行现场风险排查或专项业务检查,有效识别和控制风险。
五是制订并推动实施村镇银行内控评价办法和实施细则,按年组织审计人员对村镇银行开展全面内控审计评价,对村镇银行内控及风险管理情况进行稽核监督,持续跟踪管理变化,并对发现问题下发审计整改意见书并进行后续审计监督。
六是开展以内控及风险管理为核心的绩效考核。通过设置贷款五级分类准确性、不良贷款率、成本收入比、人均工资总额、贷款拨备比率、发起行内控评级、监管评级等指标,引导村镇银行全力构建符合村镇银行特色和监管要求的风险管理机制,达到稳增长、控风险的可持续经营目标。
派驻首席风险官对村镇银行的垂直风险管理
派驻村镇银行首席风险官应按照《指引》规定,负责村镇银行内部垂直、独立的风险管理机制和组织体系建设,并对风险进行统一、垂直、全面管理。具体工作如下:一是牵头组织拟订村镇银行所需各项风险管理制度、流程,并推动实施。二是组织推动村镇银行内部控制体系建设,督促建立健全内部控制体系并组织监督检查。三是组织开展村镇银行各项风险识别、评估、监测、检查及控制工作;指导风险管理部制订各项风险管理计划。四是组织开展村镇银行授权管理,并对授权工作执行情况进行监督检查。五是组织实施村镇银行授信客户信用评级、信贷资产分类及不良贷款的管理,组织授信业务审批、管理,负责村镇银行授信审批委员会工作。六是负责指导村镇银行风险管理部配合财务管理部门开展全行流动性风险管理。
同时还负有以下职责:一是组织落实发起行对村镇银行的风险管理政策、制度及相关要求,推进村镇银行按照发起行要求和自身市场定位开展业务及风险管理工作,并实时监督、检查执行情况。二是负责定期、不定期向发起行进行独立风险报告和预警。三是配合发起行对村镇银行开展风险排查、审计稽核工作。
为确保有效履行上述职责,派驻首席风险官应赋予超出一般高级管理人员的更广泛地知情权、审贷一票否决权、检查监督权、独立报告权、处罚权等权力。
村镇银行内部的垂直风险管理
村镇银行内部的风险管理应设置“三道防线”,《指引》规定“各业务部门是第一道防线,负责本部门和本业务条线风险管理的日常工作,对本部门和本业务条线的风险管理负第一责任”,第二道防线是首席风险官领导下的风险管理部门(在村镇银行规模较小时与合规部门合并设立),第三道防线是审计部门(见上图)。同时,按照《指引》规定,风险管理部可通过向业务部门或分支机构委派风险管理人员实施垂直、独立的风险管理。委派的风险管理人员独立实施风险审查,直接对风险管理部门负责。村镇银行垂直、独立、集中的风险管理架构如下图:
发起行对派驻村镇银行首席风险官的垂直管理
一是为了确保发起行对村镇银行风险管理的独立性、有效性,派驻村镇银行首席风险官人事关系应隶属发起行,由发起行村镇银行管理部门秉承“统一管理、统一调配、统一考核、统一薪酬”的原则对其进行人力资源管理工作。
二是派驻村镇银行首席风险官应推行定期“轮岗制”。从增强首席风险官的风险管理能力及防范单体风险的角度出发,应进行定期岗位交流,在同一村镇银行连续任职时间不应超过两届。
三是绩效考核。发起行应负责对其进行绩效考核并发放薪酬,基本薪酬应参照村镇银行高管设定,绩效薪酬考核应遵循“注重实绩,结果考核与过程考核相结合,定量考核与定性考核相结合,发起行考核与所在村镇银行考核相结合”的原则确定。考核内容可以围绕村镇银行风险管理机制建设的核心指标设置,同时参考村镇银行监管评级确定,以有力促进村镇银行风险管理能力提升。指标设计时至少应包括以下内容:内控体系建设(以发起行内控评价为准)、监管评级、风险报告、贷款资产风险分类偏离度、不良贷款率、不良资产处置率、重大事项报告及时有效性、案件及责任事故等。
实施派驻首席风险官制的成效分析
通过石嘴山银行对发起设立村镇银行派驻首席风险官与派驻前的实践对比,派驻村镇银行首席风险官机制在促进村镇银行风险管理机制建设方面取得了以下成效:
一是由于村镇银行更多地考虑所在地政府及股东的影响,在市场定位及信贷投向方面有可能发生不同程度地偏离,通过派驻首席风险官的统一控制,能够更好地坚持村镇银行的市场定位和信贷政策。
二是由于受股东回报率的影响,村镇银行可能会追逐短期利益,通过派驻首席风险官制度,能够更好地执行审慎经营原则,严格按照监管要求和发起行风险管理政策合规开展相关业务工作,更好地选择忠实稳定的客户,促进村镇银行稳健发展。
三是当前村镇银行大多实行总行风险管理部统一风险审查、集中管理的模式,在风险管理的独立性、及时性上存在一定缺陷。通过派驻首席风险官制度,一方面推进了总行授信审批委员会的独立性与有效性,另一方面通过在支行派驻风险经理模式,提高了支行授信审批效率,统一了全行合规与风险管理理念。
四是通过派驻首席风险官制度,推进了发起行风险管理政策的有效执行,促进了村镇银行独立、垂直、集中的风险管理体系建设,促进了村镇银行有效实施全面风险管理。
【关键词】 银行 操作风险 合规机制建设
合规经营是银行的生命,也是银行持续发展的保证。管控好操作风险则是银行合规建设的关键。与国外的银行业相比,我国银行由于长期以来对合规、操作以及声誉等风险的认识程度不够,导致银行操作风险管理不能够真正落实到实际工作中,有些银行甚至出现了许多违规操作和违规经营的问题,根源就在于银行内部的合规风险管理机制不完善。所以,我国银行业应当高度重视操作风险的管控,构建有效的合规风险管理机制,抓住银行合规机制建设的关键,从而促进银行健康稳定的发展。
一、银行操作风险管理的现状及分析
由于我国银行体制、机制、理念等各种因素的影响,现阶段银行的操作风险管理依然存在许多的薄弱环节,导致银行操作风险管理体制存在漏洞。
1、操作风险管理体系不健全
有些银行对操作风险的普遍性、长期性以及顽固性缺乏一定的认识,非常容易把一些操作风险情况当做是偶然、局部发生的,存在一定的侥幸心理,致使银行管理人员对操作风险的重视程度不够,银行内部缺乏一些重要的操作风险管理机制,没有严格遵循银行内部控制准则,对于风险管理职能没有专门的部门监管,仅仅由各个业务管理部门负责,存在管理职能上的交叉、管理目标的冲突以及管理流程紊乱等情况,折旧导致银行缺乏统一的操作风险管理战略和政策,银行的管理者也不能清楚地了解到银行面临的操作风险整体状况,操作风险管理机制形同虚设根本落实不到工作中。
2、银行内部管理人员对操作风险认识不够
首先银行管理者在银行内部管理与未来的发展关系上存在一定的认识误区,没有将风险管理与加快发展联系起来。其次由于受传统的东方文化沉淀影响,银行在风险管理制度的执行时操作人员,从上不从制,从师不从制,从习惯不从制,使一些风险管理制度无法得到有效的落实。最后是对操作风险认识太片面。有的银行管理者将操作风险仅仅理解为“操作中”的风险和“操作性”的风险,有的则将操作风险等同于金融犯罪等情况,在对操作风险认识上的不同及局限就导致管理者对操作风险管理的不全面、不系统。
3、操作风险的责任配置错位
近年来,在我国银行实施绩效分配机制改革的过程中,大多数都突出了对银行内部中高级管理人员的正向激励,但对银行基层机构以及一线员工确实激励不足。这种“收入分配上移、风险责任下移”的分配激励机制不但导致银行基层员工的严重不满,同时也挫伤了基层员工积极工作、规范操作的自觉性。另外,银行内部不合理的人力资源配置也严重影响到基层员工合规操作的积极性。近几年的减员增效改革中,各级管理银行作为政策的实际执行者,只是进行各个网点的撤并以及对基层人员进行减员分流,但对于本部的改革却没有见到成效。这种错位的风险责任配置不仅造成基层机构不能按风险控制制度定岗定员,还导致了银行学习培训以及轮岗休假制度顺利进行,再一点程度上提高了操作风险发生的概率。
4、金融创新和电子化建设带来的风险
一方面,许多银行为了抢占并扩大市场的份额,不断地推出许多新的金融产品、新的业务以及新的服务举措,但是在现阶段产品、业务和服务复杂程度不断提高的情况下,如果没有相应配套的内控制度的及时跟进,就非常容易引发新的操作风险;另一方面,在银行业务电子化、自动化程度不断提高的情况下,使银行在各个银行地区的经营以及各项产品的经营越来越紧密地联系在一起,但是,如果银行现代化系统建设滞后就会导致总行不能对各个分支行进行准确到位的内部监控,如果银行的电子化处理系统出现了问题,就会导致严重的、甚至是灾难性的后果。
二、加强合规机制建设,防控银行操作风险
银行是一种具有特殊经营风险的行业,银行在一定程度上是因为承担风险而生存和发展,可以说,银行是处理风险的机器,风险也是银行永恒的主题。现阶段,随着市场经济的快速发展以及银行内部体制的深化改革,银行面临的同业间的竞争压力越来越大,要想加强银行内控体制的完善以及银行合规机制的建设,实现银行快速稳定发展,就必须加大对银行操作风险的防控力度,切实推进银行合规文化的建设。
1、切实增强操作风险防范以及合规机制建设意识
一方面,要想保证银行操作风险管理系统的完善,首先就必须正确认识操作风险,加强银行管理者对操作风险的重视,只有正确认识到操作风险管理对银行的重要性,才能保证操作风险管理系统的建立与完善,使操作风险管理系统真正得到落实,发挥出应有的作用。另一方面,也要提升对银行合规建设的认识,持续开展银行合规学习培训。通过银行内部中层管理人员合规机制认识的提高、合规建设意识的树立以及合规执行水平的提高,来不断培养银行内部员工的合规优先、主动合规、全员合规的合规建设文化,使合规建设机制的核心价值观成为银行全体员工的行为准则。
2、建立严密的内部控制环境
任何操作风险可以说都是人的行为造成的,而人的行为主要就是受到制度道德约束以及文化熏陶。所以,要从根本上控制和避免操作风险的发生,形成操作风险防范的长效管理机制,就必须抓好银行风险管理制度、文化以及人三个关键要素,加强银行对操作风险管理的文化认同,建立起系统化、制度化的内部控制环境。首先要建立严密的内控环境,并对银行的内部控制进行全面的检测评价,按照制度化、规范化、精细化的要求,加强银行的内控建设,构建全面、规范、有效的风险管理以及内控体系,对银行各业务层面的关键风险点实施有效过程监督控制。从内部控制的建设入手,对银行现有的内控制度进行一定的清理整合,对银行业务和风险管理流程进行梳理、整合、规范,以及对岗位职责体系进行细化。
3、进行信息化管理,完善操作风险预警机制
银行的法人在推进银行内部机构管理的同时,还应该全面加强管理信息系统的建设,借助各类现代化实时监控系统加强对银行潜在风险、可疑交易以及违规行为的揭示、控制功能,并加强对各类监测信息共享和过滤的分析评价,对可疑行为以及潜在的风险进行现场检查、监管,从而及时排除操作风险隐患,保证银行业务的安全进行。当前,银行必须要加快将操作风险点细化、量化,将操作的风险点逐一分解落实到银行各个岗位、各个员工,建立完善操作风险数据的识别、登记、报告制度,对各级机构以及业务部门严格按风险控制指标进行监测和控制。同时,还要成立专门的操作风险管理机构,规范操作风险业务流程,形成一套科学、规范、完整的操作风险监控体系。
4、全面提高风险管理人员综合素质
银行风险管理人员的素质对操作风险的控制也会产生重要的作用,高素质管理人员是银行防范操作风险最主要的力量。所以,银行要定期组织管理人员进行学习和培训,不断提高管理人员的职业专业技能、风险管理能力、计算机操作及运用的能力,及时对专业知识进行更新,不断提高管理对对操作风险的认识以及控制能力,保证管理人员能够从容应对银行面临的各种操作风险;另外,银行还要对管理人员进行分阶段的考核,实施管理人员竞争上岗,优胜劣汰的制度,从而提高风险操控管理人员的综合素质,加强对银行操作风险的有效控制。
5、推进银行人性化管理,完善人员的激励约束机制
首先,银行要坚持“以人为本”的基本管理理念,将银行风险管理员工的个人价值利益与银行企业的发展目标相结合,使银行的风险管理人员对未来工作的发展前景充满信心,从而不断提高风险管理工作员工的工作主动性和积极性,有效提高银行操作风险管理工作的完成。其次,银行管理者还要制定一定的奖惩制度,对那些严格遵守银行内部规章制度以及及时消除银行操作风险隐患的工作人员给予一定的奖励;同样,对于操作风险管理人员中疏于管理、监督不到位、执行力度不够等现象,也要追究其相应的责任,给予一定的批评教育或者惩处,从而端正风险管理人员的工作态度,不断引导风险管理员工自觉遵守银行的的规章制度。最后,银行管理者还要根据银行的实际情况,相应地减少银行内部的行政管理人员,不断充实银行内部的基层员工队伍,使银行内部的基层岗位轮换制度和强制休假制度得到切实有效的落实,从而在银行内部建立起一套适合银行自身的科学有效的人员配置体系。
三、结语
总而言之,银行操作风险管理机制的建立完善,对于弥补银行法人治理结构中合规风险控制缺陷、增强银行经营规章制度的可执行性都具有极为重要的意义,并且还有利于银行真正落实全面的风险管理,提高银行内部控制体系的有效性,加强银行合规机制的有效建设。所以银行管理者应当立足于银行自身实际情况,采取必要的措施,尽可能的避免银行操作风险的发生,从而保证银行在新的经济环境下能够健康而稳定地发展。
【参考文献】
[1] 万杰、苗文龙:国内外商业银行操作风险现状比较及成因分析[J].国际金融研究,2005(7).
[2] 曾宪彬:加强商业银行合规文化建设的思考[J].现代金融,2009(7).
[3] 程普:浅谈基层商业银行操作风险的成因及防范[J].青海金融,2008(9).
关键词:合规文化;内控制度;管理机制
中图分类号:F832.2
文献标识码:A
文章编号:1006-1428(2007)04-0069-03
一、我国商业银行合规文化与内控制度建设的现状
目前,就我国而言合规文化及内控制度建设都处于起步阶段,还存在着许多不足:
(一)合规制度有待完善,特别是内控制度不够健全
商业银行虽然已经建立了单独或合署的合规部门,但多未制定和完善与合规风险管理相关的规章制度、职业操守与行为准则。特别是作为合规制度中不可或缺的内控制度还不够健全,严重制约了商业银行内部控制和合规风险管理的有效运行。
1.内控制度制约范围不够全面。我国银行的内控制度设置不合理,往往是“控下不控上”,针对银行业务经办人员的内控制度比较多,而对各级管理者特别是对基层管理者的内控制度约束相对缺乏,有不少控制盲点。近年来发生的许多金融案件表明,对部分基层银行负责人制约不严、监督失控是案发的主要原因。
2.内控制度滞后于业务发展,缺乏前瞻性。当前我国经济正处于高速成长期,银行经营的内外环境亦快速变化。如果不能及时、前瞻性地提供制度保障,就必然会导致不规范操作,使新兴业务的风险无法得到控制,新兴业务往往成为新的风险源。同时,由于缺乏制度的适时调整功能,一些不适宜的制度仍然需要执行,导致经营者在指标的压力下,不得不逾越制度,形成了普遍的有令不行、有禁不止的现象。另外,由于缺乏对业务经营的连续、系统的监督,往往寄希望于事后监督与补救,而在事前防范、事中控制等方面缺乏必要的规章。
3.内控制度分散制定,缺乏系统性。目前中国的银行仍然是“部门银行”,而不是“流程银行”。商业银行内部各管理机构基本都是横向的,每一层分支机构都设有各自的管理机构,由于内部缺乏一个统一的内控制度建设规划,各个部门自行制定规章。从而形成各自为政、分头管理的局面,部分内控制度在部门和部门之间不仅是相互割裂的,有些甚至相互抵触,造成了现行银行内控制度数量庞大,制度目标难以统一,使基层机构在内控制度执行时因多头管理而不知所措。
4.内控制度程式化严重,缺乏可操作性。一方面,制度设计者片面追求制度本身的“完美”,往往偏离实际,导致一些内控制度在实际工作中很难操作,逼迫制度执行者采取越轨的作法,并给不良动机者创造作案机会。另一方面,不少制度规定又存在模糊化的概念,在涉及操作层面的各个业务环节时往往采取原则性的提法,导致制度执行者理解和执行上的差异性较大。
5.内控制度执行不到位,流于形式的现象普遍存在。内控制度只限于定规章、发文件而不注重制度的落实。银行员工执行内控制度的意识淡漠,遇到具体问题,灵活性讲得多,原则性讲得少,以种种“理由”加以变通和回避。更有甚者对某些内控制度视而不见,使内控制度形同虚设。究其根源,原因在于内控制度缺乏科学的量化评价体系,好与坏的区分标准模糊,奖惩制度无法建立。激励机制跟不上,内控制度执行自然无法到位。
(二)合规文化普遍缺失
1.银行员工合规意识与观念淡薄。银行有的管理层或领导者本身合规意识淡薄,示范作用没有发挥,导致上行下效,员工“规”的观念淡化,执“规”的自觉性不强,形成违规也见怪不怪的“怪圈”。同时上下级机构之间以及管理层与员工之间存在“相互博弈”的文化,制约了银行政策和程序的制定及其执行的效力。
2.合规激励约束机制扭曲。银行没有建立关于合规奖惩的制度,对违规行为的处罚,往往以“是否造成损失”作为评判标准,当违规没有造成经济损失,甚至产生经济效益时,往往对存在的违规行为既往不咎,致使员工合规得不到奖励,违规受不到惩罚,甚至反而会获益。这样扭曲的合规激励约束机制使得员工觉得合规“吃力不讨好”,对规章制度置若罔闻,为求业绩甚至刻意违规操作,导致银行合规文化氛围难以形成。
二、建设合规文化与健全内控制度的构想
(一)以建设合规文化为契机,健全内控制度,为合规文化建设奠定制度基础
1、在内控制度设计上要确立分层定位的思想。商业银行要对内部的各层次、岗位进行合理有效的分工,这是实施内部控制制度的基础。商业银行的内部控制体系要从决策层、管理层、操作层来分别设计。加强对决策层与管理层的内控制度建设,改变“控下不控上”的现状,避免管理人员游离控制系统之外,将所有的人都纳入到内控体系中来,在内控制度面前人人平等,不搞特殊化。同时要充分考虑操作层面制度设计的可执行性,不能再笼统地规定业务经营的相关操作标准,要按照金融企业的稳健做法,制定可供各个岗位人员使用的业务政策、行为手册和操作程序,确保制度执行的可操作性。
2.内控制度的制定必须系统、科学化。形成统一的内控制度制订规划,按照业务流程来制定内控制度,不能将涉及多个部门的同一业务的内控制度分散到各个部门去制定,要形成一个业务一个流程、一个流程一个制度,避免业务操作人员面对多头的制度而无所适从。要根据业务的发展、风险点的转移以及环境的改变及时修订内控制度,同时转变过去以事后惩罚为主的内控制度思路,切实加强风险的事前识别和事中评估的内控制度设计,使内控制度真正成为风险的防御线。
(二)以人为本,创建科学的合规风险管理机制
1.要设立合规部门或专职合规岗位,界定其功能和职责,独立于银行的经营活动。合规部门为履行其职责应有权获取必要的信息,银行其他部门和员工有给予密切合作的义务。合规部门有权独立调查银行内部可能违反合规政策的事件,对于调查所发现的任何异常情况或违规行为,合规部门可随时向上一级合规部门和所属机构管理层报告。银行高层应确保合规部门报告路线的畅通,并采取切实保障措施使合规部门不用担心来自管理层或其他员工的报复或冷遇;应给予合规部门足够的资源支持,重视并依赖合规部门协助其有效管理银行的合规风险。
2.要通过一定方式对所有员工和负责人进行上任前的合规培训,通过培训使其充分系统地了解和掌握各项主要规章制度和其所在部门的全部规章制度,达到对工作中可能涉及到的“规”了如指掌。
3.合规的“规”要在实践中得以贯彻执行,必须建立有效的激励机制,切实有效地落实问责制,确保奖惩分明、违规必究。银行不仅要奖励好的道德行为和良好合规做法,还要惩罚不道德的行为和违规行为,并且将资源应用于好的控制系统、优质的客户服务和尽职员工激励上,而不只是表面上的业绩激励。纠正“重经营业绩、轻内控管理”的绩效考核理念,确立内部控制优于业务拓展的理念,平衡业务拓展与风险管理的关
系。对合规工作做得好或对举报、抵制违规有贡献者给予保护、表扬或奖励;对存在或隐瞒违规问题、造成不良后果者,要按照规定给予处罚,追究责任,使整个团队形成合规光荣、违规可耻的工作氛围。
(三)建设合规文化应该从高层做起,领导率先垂范
巴塞尔银行监管委员会明确提出:“合规应从高层做起,应成为银行文化的一部分。当企业文化强调诚信与正直的道德行为准则,并由董事会和高级管理层作出表率时,合规才最为有效……”。领导者所做的事情不只是代表其个人,而是代表一个群体,能让下属和自己一起发挥集体效应,起到耳濡目染的效果。银行管理层应该充分承担合规责任,在全行积极倡导合规文化和合规理念,包括诚信、尽职等。同时要率先垂范,躬身实践,以身作则做合规的“楷模”,带动和影响员工自觉遵守各项制度和准则。只有自上而下地强调诚信与正直的行为准则,并由银行高层作出表率,良好的合规文化才能蔚成风气,合规才最为有效。可以说,领导合规是构成银行合规文化基因、实现人人合规的首要前提。
(四)推行合规人人有责、主动合规、合规创造价值等合规理念
1.树立“合规人人有责”的观念。合规并不仅仅是合规部门或合规员的职责,更是银行所有员工的责任。只有合规成为每一个银行员工的行为准则,成为各级各岗位员工每日的自觉行动,才能共同保证有关法律、规则和标准及其精神得到遵循和贯彻落实。由于合规文化体现在每一个银行职员对合规理念的认知及其日常的行为规范和准则之中,这不但需要管理层在全行推行诚实与正直的价值观念,还需要制定和执行清晰的员工行为准则和规范。只有当银行的员工恪守高标准的职业道德规范,人人都能有效履行自身合规职责,银行合规风险管理才会有效。
2.培养员工的合规意识。合规意识是合规文化的一个核心要素,是银行合规风险管理机制得以有效运转的重要基础。银行管理层应确保:(1)各业务部门或业务条线的员工能够欣然接受全面的合规培训,主动寻求合规部门或合规员的建议;(2)各业务部门或业务条线的管理者能够准确识别关键合规问题,及时向合规部门或合规人员报告和咨询,主动地进行动态合规回顾;(3)合规部门或合规人员则应积极主动地识别、评估和监测潜在的合规风险或问题,乐于为各业务部门或业务条线人员提供合规建议,并主动向上级报告,持续跟踪其发展。
