內控與操作風險管理
1. 如何建立有效的內控制約,防範操作風險
1.打造先進的內部控制文化,要以科學發展為指引,樹立健康經營理念。正確認識內控機制的重要性,加強員工職業道德培養和警示教育,提高內控與員工的價值關聯度,切實防範員工因道德風險引發的違規、違法行為。
通過培育金融企業合規文化,營造良好的內控文化氛圍,並通過教育與管理、激勵與約束相結合,這不僅有助於提高員工的綜合素質,還使人的自覺行為與制度對人的約束有機結合,也有助於防範道德風險。
同時正確處理業務發展與風險管理、眼前利益與長遠利益的關系,牢固樹立先規范、後發展的經營理念,嚴禁違規辦理業務。
2.嚴格崗位職責管理,要以風險防範為前提,培育風險管理文化。崗位職責要明確各部門、各崗位和下屬分支機構的內控職責,一級對一級負責。
實行任務到崗、責任到人,做到定人、定事、定責,做到工作崗位、工作范圍、職責許可權清晰,使內控覆蓋所有風險點,包括決策、執行、監督的全過程,重要崗位、主要風險環節做到相互制約、相互制衡。
3.加強風險管理基本制度建設,要以規范管理為目的,夯實持續發展的基礎。嚴格崗位分離制度,加強事前防範;嚴格授權管理制度,加強風險事中控制;加強對高管和重要崗位人員的控制,離崗審計。
如從目前農業銀行基層行的管理現狀來看,仍然存在較多的薄弱環節,強化管理應從以下幾個方面著手:
首先要加強制度建設,進一步建立建全制度,清理制度盲點,彌補制度空白點,堅持內控在前,制度先行,使各種經營行為都置於制度約束之下,加強制度執行力度,特別是要切實落實業務營運制度、管理制度、處罰制度,把管理工作和控制融入到每個崗位、每個環節。
其次要加強崗位控制,按照縱向有監督、橫向有制約,從優化業務流程著手,形成機控和人控的聯控機制,切實解決業務操作崗位的失控問題。
2. 內部控制與風險管理的區別和聯系
內部控制主要指的是財務風險。而風險管理范圍廣的多。
按照風險的來源不同,可以分為外部風險和內部風險。
(1)企業外部風險包括:顧客風險、競爭對手風險、政治環境風險、法律環境風險、經濟環境風險等;
(2)企業內部風險包括:產品風險、營銷風險、財務風險、人事風險、組織與管理風險等。
內部控制,是指一個單位為了實現其經營目標,保護資產的安全完整,保證會計信息資料的正確可靠,確保經營方針的貫徹執行,保證經營活動的經濟性、效率性和效果性而在單位內部採取的自我調整、約束、規劃、評價和控制的一系列方法、手段與措施的總稱。應用於會計領域最廣泛的制度。
風險管理是指如何在項目或者企業一個肯定有風險的環境里把風險減至最低的管理過程。風險管理[1] 當中包括了對風險的量度、評估和應變策略。
3. 銀行出的一道題,談談你對操作風險和內部控制的認識
引致商業銀行操作風險的內部控制機制存在的不足之處:商業銀行內控體系不完備,操作風險管理機制失衡;內控機制執行力弱,操作風險管理未能實現全面覆蓋;操作風險信息披露制度未能有效貫徹
商業銀行內控機制不健全,操
4. 銀行內控管理、合規風險管理、操作風險管理
操作風來險是銀行需面對的主自要風險類型之一,也是銀監會根據巴塞爾協議確認的銀行三大風險之一,即信用風險、市場風險和操作風險。操作風險指:由不完善或又問題的內部程序、員工和信息科技系統以及外部事件所造成的風險。
內控和合規關系較為密切,內控的概念較大,風險管理的合規管理以及稽核評價都可稱為內部控制,也就是內控管理;合規管理可分為對內合規與對外合規,對內主要是對銀行體系內部執行規章制度情況的管理,對外合規主要是符合監管部門和其他上級部門的管理。合規風險也就是出現不合規事件給銀行帶來潛在損失,如監管處罰等的風險。
5. 如何建立風險與內控管理體系
僅供參考
一、基礎概念篇
在這里,你將熟悉,內控體系具體是什麼,建立內控體系需要解決的誤區以及流程體系建立的作業流程。
1、內控體系建設涵蓋哪些東西,主要內容是什麼?
國家要求上市企業建立的內控體系是保證財務報告真實性而要求建立的體系,所以他的具體內容與外資企業的sox404體系差不多。一般整個內控體系涵蓋的內容含如下幾個內控手冊,風險資料庫,內控評價手冊。
內控手冊為每個作業流程的描述,內容含流程描述、流程圖、授權說明、崗位職責分離說明。
風險資料庫可能導致風險的現象描述的匯總。風險指導致公司資產不安全,作業不合規合法,運營效率效益低下,財務報表數據不真實等。
內控評價手冊具體含三部分,第一部分檢查制度設計合理或者文檔的齊全性,第二部分檢查控制過程,第三部分檢查會計帳務處理控制。
2、內控體系與ISO質量體系有什麼區別和聯系?
目的不同:內控體系是以會計報告為主要目的,而ISO質量體系是以產品質量為主。
控制活動不同:在現階段18個指引來看,內控體系缺少對生產過程式控制制;而ISO質量體系則以產品質量為主,涵蓋產供銷價值鏈,但是缺少會計系統控制。
涉及部門不同:在ISO體系內不存在財務部門,以研發、生產、采購、銷售部門為主;內控體系幾乎涵蓋公司各部門,因為有句話說得好,只要是企業在運作的,其最後的運作成果就是財務數值。
3、內控體系的控制活動的業務流程如何劃分,如何做到將各業務流程進行涵蓋?
最簡單的第一步就是拿到組織架構圖,之後看到是否是以事業部為編制的,則是事業部的名稱作為一級流程,事業部下屬的部門分為二級流程,如果下屬的部門涵蓋多個職能則劃分為三級流程。如銷售事業部,則銷售循環作為一級流程,下屬的商務部負責訂單處理的則作為訂單處理作為二級流程。如商務部有兩個功能除了訂單處理還涉及到銷售貨品的備貨計劃制定。則訂單處理作為二級流程,訂單處理和備貨計劃制定作為三級流程。
4、 單個作業流程具體怎麼描述,怎麼將業務流程所涵蓋的信息進行歸納處理?
作業流程就是描述一個為達到特定的價值目標而由不同的人分別共同完成的一系列活動。一個完整的作業流程應該包含6項內容,具體如下:
流程式控制制人:參與到作業流程中的人,具體描述的時候應注意該控制人所涉及的部門及崗位具體名稱。
控制頻率:作業的時間間隔控制。
控制活動:流程是如何作業的。
控制痕跡:作業完成後形成的書面痕跡
控制方式:系統控制還是人工控制。
異常控制:授權體系外的作業流程是如何控制的。
舉例如下:描述超市客服處對會員積點兌換控制流程,之前描述了一個出納盤點流程,大家都熟悉,這次描述復雜點的。
流程式控制制人:售後服務部的客服專員,客服主官
控制頻率: 客戶不定期來兌換會員積分。
控制活動: 客服專員根據會員要求兌換相應的贈品,同時在xxx系統內扣除積分,並在XX贈品台帳內要求客戶簽字。
控制痕跡: 形成扣完積分的積分表和留有客戶簽字的贈品台帳。
控制方式: 兌換的系統積分由XX系統內扣除。
異常控制: 積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。
總的一句話:客戶不定期對積分進行兌換,提出兌換的物品,售後服務部的客服專員在XXX系統內扣除積分,同時手工登記贈品台帳,在客戶簽字的情況下,將贈品進行贈送。如積分不夠,如客戶要求加錢補足積分,則客戶專員需得到客服主管的口頭授權,在收取錢款後並在贈品台帳做書面說明。當天營業結束前,客服主管需要對贈品台帳和積分兌換系統進行核對。
5、內控體系建立的流程是怎麼樣的?
大致的作業流程是這樣的:
(1)
組織架構:先建立內控小組,為了使內控體系得到有效落實和貫徹,所以內控小組的組長最好是總經理或者董事長。主要的作業人員最好是公司的內審部門或者新建的內控部或者風險管理部,如果沒有此類部門則最好選一名懂財務的,如財務主管,另外加一名懂業務的作為內控小組的主要作業成員,最好另外輔助2-3名人員。
(2)
業務運作:總經理或者董事長開內控項目啟動會,同時主要成員講述內控系統的作業和具體要求。會議結束後,內控小組給各部門提交部門的制度,內控小組完成制度的對標和梳理工作。各職能部門限期內提交流程。內控小組根據內控指引對現有的作業流程的描述進行評價,同時開展小組會議對各職能部門未設置的流程及有缺欠的流程進行優化重組。內控小組根據談論完畢的各流程進行內控手冊的編制和流程圖的繪制,最後形成內控手冊。由總經理授權下發。
(3)
內控小組等類似部門不定期進行內控評價,並根據各職能部門的變化對內控手冊進行優化等。
6、如果業務部比較忙,無法繪製作業流程,那訪談怎麼做?
首先編制訪談計劃,需要提供給部門接收訪談的人員一個訪談提綱。
訪談一般安排2個人,1人訪談,1人記錄。記錄人不要求將每句話記下來,只要將討論的主題,以及討論的結果記錄下來即可。
訪談的時候,先講明不是來指責部門的作業流程的缺失,而是主要是完善和建立內控體系。訪談的問題主要圍繞作業流程進行,而不是扯淡的問,風險在哪裡,自己說。
7、流程圖怎麼繪制,採用什麼軟體?
一般選擇微軟的visio繪圖軟體或者smart draw 繪圖軟體,這兩者的區別是visio看上去比較正規,而smart draw 比較好看。
8、作業現場是否需要繪制流程圖?
最好繪制流程圖,因為在描述整個流程的時候,如果不繪制流程圖,可能看不到什麼遺漏。最好訪談完畢,直接將流程圖繪制,之後與業務部門進行核對。
9、如何完成制度對表的工作?
制度對表的工作一般可以在進場後的或者訪談結束後,當場完成對制度的評價。制度的評價主要的風險點為:流程描述不清楚或者缺失,崗位職責人或者控制部門不明確,崗位職責未分離,異常流程未描述,控制痕跡或者流程的表單未明確,控制頻率未明確,未體現控制方式。(即未描述存在手工或者系統控制。)
10、如何完成風險點的匯總
現場的風險點的匯總,不是訪談人說什麼風險就是風險點。而是根據訪談人提供的風險點提示,內控人員通過系統或者會計憑證等書面資料核實完畢之後再歸納匯總至風險點。而且在完成風險點之後最好與被訪談人員再次作風險點確認。
11、如何完成風險點的報告?
風險報告主要是對現有的流程的分析,所以可以按照事業部,之後將事業部涉及的流程綜述,之後對各流程進行評價。而不是一堆風險點的堆砌。看上去100-200張ppt但是看得頭暈。而且匯報結束老闆對你不爽。
12、內控檢查與內審的區別和聯系在哪裡?
內控檢查的主要目的是建立和明確完整的作業流程、流程中的崗位職責、授權審批、保留書面控制痕跡。所以內控主要是流程稽核,主要的作業模式就是控制點有沒有建立。
內審的主要目的是保證業務事項的真實合理和提高運營的效率效益。所以內審的作業模式可以通過分析復核、重復計算、訪談等多種手段,核實業務事項是否真實合理。
簡單的說,就是。內控是檢查你吃飯的順序,如先吃菜再吃飯或者先吃飯再吃菜。內審就是檢查吃法好不好,對於胖人吃大量的肥肉,可以建議減少攝入量。
二、體系建立篇
在這里,你將熟悉每個控制活動所涉及的每個流程應該做的內控要點以及關鍵控制點的描述。由於涉及的內容較多,我這里簡單的作一個銷售模塊的內控體系建立,其他模塊的建立可在模仿的情況下,分別建立。
1、銷售模式的確認
一般銷售的模式分如下幾種,正常銷售、國際貿易、團購,涉及到酒類或者其他製造業會涉及到品牌銷售模式。
這里解釋一下品牌銷售模式,即允許被授權商生產與自己相同的產品,貼自己的商標和品牌,收取品牌或者商標費的一種作業模式。
2、正常銷售的流程劃分
由於正常銷售可劃分為單次銷售或者通過訂貨會或者其他模式先簽訂框架合同這種銷售模式進行作業。其實這提到的可以將其作為一場流程進行控制。
一級流程:為銷售流程。
二級流程:可以劃分為銷售定價、信用管理、合同簽訂、訂單處理、備貨處理、發貨簽收、收款入賬處理、開票管理、應收款管理等。
三級流程:
其中銷售定價流程可以劃分為年度銷售定價流程、中期價格變更或者臨時價格變更流程。其中如果是系統控制,則需要明確哪個部門的什麼崗位在系統中進行價格的錄入和變更,最後由誰來審核。
信用管理流程可以劃分為客戶准入評價流程,不定期評價流程及信用變更流程。由於這一塊基本上很少有客戶在進行作業或者處理,所以在調研流程的時候,可能客戶不會提供該流程,所以在編制內控手冊的時候,需要做好與客戶的隨時溝通。
合同簽訂流程可以劃分為合同起草、審核、蓋章和保管作業流程。
訂單處理流程可以劃分為正常訂單處理流程,訂單取消流程和逾期未處理訂單流程等。
備貨處理流程可以劃分為下發貨通知單、物品調配流程和物品調配不足流程。
發貨簽收流程可以劃分為發貨單制定流程、物流選擇流程、出庫審核流程和客戶收貨簽收流程。
收款入賬流程。
發票開具流程含客戶提交增值稅資質流程和開票流程。
應收款流程含應收款催收流程、逾期壞賬准備計提流程、壞賬沖銷流程。
如果調研或者訪談的時候將上述流程調研清楚,同時在內控手冊中描述清楚,那麼銷售模塊基本上就完成了
6. 內部控制和風險管理的區別與聯系是什麼
區別:(1)兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事後和過程的控制來實現其自身的目標;而全面風險管理則貫穿於管理過程的各個方面,控制的手段不僅體現在事中和事後的控制,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多於內部控制。
(2)兩者的活動不一致。全面風險管理的一系列具體活動並不都是內部控制要做的。兩者最明顯的差異在於內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,特別是對目標和戰略計劃制定當中的風險進行評估。
(3)兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中,把風險明確定義為「對企業的目標產生負面影響的事件發生的可能性」(將產生正面影響的事件視為機會),將風險與機會區分開來;而在,COSO委員會的內部控制框架中,沒有區分風險和機會。
(4)兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利於企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前台決策流程。這些內容都是內部控制框架中沒有的,也是其所不能做到的。
聯系:1)全面風險管理涵蓋了內部控制。COSO2003年7月公布了全面風險管理框架的徵求意見稿中明確地指出全面風險管理體系框架包括內控作為一個子系統。從時間先後和內容上來看,全面風險管理是對內部控制的拓展和延伸。
(2)內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理,對於企業所面臨的大部分運營風險,或者說對於在企業的所有業務流程之中的風險,內控系統是必要的、高效的和有效的風險管理方法。
從國際國內發展趨勢來看,隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
內部控制
國外較為經典的是 ASB 對內部控制的定義。1972 年,美國審計准則委員會(ASB)所做的《審計准則公告》,該公告循著《證券交易法》的路線進行研究和討論,對內部控制提出了如下定義:"內部控制是在一定的環境下,單位為了提高經營效率、充分有效地獲得和使用各種資源,達到既定管理目標,而在單位內部實施的各種制約和調節的組織、計劃、程序和方法。
7. 內部控制和風險管理的區別與聯系
現代理論界對內部控制的定義各不相同,但被普遍接受的定義是國際權威機構美國的COSO委員會對內部控制的定義。該組織認為:企業內部控制是由企業董事會、經理層以及其他員工共同實施的,為財務報告的准確性、經營活動的效率與效果、相關法律法規的遵循等目標的實現而提供合理保證的過程。
依據COSO委員會 2003年7月完成的《全面風險管理框架》定義:企業風險管理是一個過程,是由企業的董事會、管理層以及其他人員共同實施的,應用於戰略制定及企業各個層次的活動,旨在識別可能影響企業的各種潛在事件,並按照企業的風險偏好管理風險,為企業目標的實現提供合理的保證。
聯系:1)全面風險管理涵蓋了內部控制。COSO2003年7月公布了全面風險管理框架的徵求意見稿中明確地指出全面風險管理體系框架包括內控作為一個子系統。從時間先後和內容上來看,全面風險管理是對內部控制的拓展和延伸。
(2)內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理,對於企業所面臨的大部分運營風險,或者說對於在企業的所有業務流程之中的風險,內控系統是必要的、高效的和有效的風險管理方法。
從國際國內發展趨勢來看,隨著內部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統一。
區別:(1)兩者的范疇不一致。內部控制僅是管理的一項職能,主要是通過事後和過程的控制來實現其自身的目標;而全面風險管理則貫穿於管理過程的各個方面,控制的手段不僅體現在事中和事後的控制,更重要的是在事前制訂目標時就充分考慮了風險的存在。而且,在兩者所要達到的目標上,全面風險管理多於內部控制。
(2)兩者的活動不一致。全面風險管理的一系列具體活動並不都是內部控制要做的。兩者最明顯的差異在於內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,特別是對目標和戰略計劃制定當中的風險進行評估。
(3)兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中,把風險明確定義為「對企業的目標產生負面影響的事件發生的可能性」(將產生正面影響的事件視為機會),將風險與機會區分開來;而在,COSO委員會的內部控制框架中,沒有區分風險和機會。
(4)兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,因此,該框架在風險度量的基礎上,有利於企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前台決策流程。這些內容都是內部控制框架中沒有的,也是其所不能做到的。
8. 如何加強商業銀行的內部控制與風險管理
一、強化內部控制和操作風險管理理念,建立良好的風險控制企業文化氛圍
對於城市商業銀行來說,引進國際銀行業先進的操作風險管理理念,形成良好的風險控制企業文化氛圍是迫在眉睫的任務。建立良好的操作風險控制文化氛圍首先要明確操作風險的科學含義和風險控制手段及方法。
現代銀行風險管理理論對操作風險給出了明確的定義,即操作風險是指由於內部流程、人員行為和系統失當或失敗,以及由於外部事件而導致直接和間接損失的危險。操作風險主要來自內部控制和外部事件兩個層面,主要包括:人員風險、制度和流程風險、技術風險以及操作策略風險。
銀行操作風險的防範主要依賴完善的內部控制,完善的內部控制是有效實施銀行操作風險管理的主要手段。巴塞爾銀行監管委員會1997年在《有效銀行監管的核心原則》中提出:「最重大的操作風險在於內部控制及公司治理機制的失效」。根據2002年9月人民銀行頒布的《商業銀行內部控制指引》對商業銀行內部控制的定義:商業銀行內部控制是商業銀行為實現經營目標,通過制定和實施一系列制度、程序和方法,對風險進行事前防範、事中控制、事後監督和糾正的動態過程和機制。
與國內其他商業銀行相似,錦州市商業銀行成立初期注重資產規模的擴張和市場佔有率的提高,以期在區域銀行市場獲得一席之地,完成最初的生存和發展需要。在這一發展階段,銀行的風險意識還處於萌芽狀態,雖然從管理層到員工都能夠意識到風險的重要性,但是在制度上缺乏風險控制的有效手段和科學方法。隨著競爭的日益激烈以及銀行風險監管要求的不斷深入,管理層深刻地意識到必須形成風險控制企業文化,建立科學的風險管理和內部控制體系,將先進的風險控制手段和方法與銀行自身經營特點相結合,做到「實用、管用和會用」,從而全面提升銀行的風險管理水平。
通過風險管理和內部控制項目的實施,錦州市商業銀行引入了科學的銀行操作風險管理理念,加強了對管理層和員工的內部控制和操作風險管理理念和方法的培訓。在銀行內部,將風險管理由高深的理論變為所有銀行員工的自覺意識和行為,使從銀行高層管理者到基層員工的所有銀行員工對內控和操作風險的內容和含義有了准確的理解,清楚地認識到銀行內控與操作風險和每名員工的相關程度。通過培訓,員工們進一步明確了不同崗位風險的控制方法和手段,做到合理有效地控制風險。
在強化對內控和操作風險理念的宣傳與培訓工作的同時,項目小組對原有績效考核和薪酬體系進行了重新設計,將包括操作風險管理在內的全面風險管理內容融入其中,使得內部控制和風險管理不僅是對員工日常工作的要求,並且成為衡量部門績效的成本因素,直接影響部門的經營效益考核結果,進而形成管理者和員工風險管理的激勵機制。通過事前培訓,事中監督和事後考核,已經將銀行內部控制和風險管理理念深入貫徹到每名員工,相信通過一段時間的實施將形成良好的內部控制和風險管理企業文化氛圍。
二、進一步完善風險控制的組織結構和崗責體系
完善的組織架構是保證內部控制和風險管理的組織保障,而科學的崗位職責設計能夠確保每名員工在內控和風險管理工作中權、責、利上的明確分工,進而通過合理的績效考核和激勵機制設計保證分工的有力執行。項目小組結合內控和風險管理的科學理念和最佳實踐對自身的組織架構進行了改造,對崗位職責進行了重新設計。
良好的公司治理結構是商業銀行建立有效風險管理制度的基礎和前提。錦州市商業銀行注重通過加強銀行治理,強化股東會、董事會職能,從源頭上提高內部控制和風險管理意識。在項目中,進一步強化了董事會和各委員會的職能,確保董事會能夠真正在銀行重大決策中發揮作用。在完善原有職能的同時,將成立資產負債管理委員會、審計稽核管理委員會、提名管理委員會、信息管理委員會和戰略發展委員會,進一步加強對銀行的內部控制。
在風險管理和內控項目中,錦州市商業銀行著重強化了風險管理部和稽核部門的工作職能。垂直獨立權威的風險管理組織機制是加強風險管理的組織保障;健全配套的風險管理機制是風險管理的必要手段和配套措施。為全面有效地進行風險管理,成立了由銀行董事會及高級管理層直接領導的,以獨立風險管理部門為中心,與各個業務部門緊密聯系的獨立的風險管理體系。風險管理部負責對包括信用風險、市場風險和操作風險在內的銀行風險進行全面管理。風險管理部通過運用各種管理手段包括政策約束,流程規范以及有效量化支持工具實施風險管理,將各類風險損失控制在可接受范圍內。
錦州市商業銀行注重通過內部稽核部門發揮監督和控制職能。通過建立全行具有高度權威性與獨立性的稽核部門,進一步增強其作為內控重要監督部門在內控評價與監督方面的職能。稽核部是全行最高的稽核管理部門,負責全行下屬各經營機構以及各業務管理部門的監督與稽核,同時直接向董事會及稽核審計委員會負責。目前總部正著手對下屬機構進行風險分類,根據不同機構風險等級的採用差別化的稽核方式,強化對存在較大風險機構的稽核審計工作。調整後稽核部大大提高了在監督審計方面的稽核檢查力度及檢查有效性。
三、建立科學的內部控制、風險管理制度與流程體系
科學有效的管理制度和流程體系是確保內部控制和風險管理質量的基本保證。錦州市商業銀行通過完善各部門與業務的內部控制制度以及優化風險控制流程來降低和防範操作風險,將系統、標準的管理方法運用到各類業務的操作風險管理當中,全面梳理各項業務流程,建立有利於全面風險管理的內部控制體系。
為更好的體現風險管理的獨立性,錦州市商業銀行在原有單一的業務線基礎上分離出風險管理線,建立了風險經理制度,對每家支行派駐風險經理,負責對支行風險的全面審查工作。風險經理由風險管理部管理,不隸屬於每家支行,從而避免由於經濟利益的驅動而導致的對風險的忽視。通過實施稽核專員制度,稽核專員負責對支行經營過程中的內部控制、操作風險問題進行現場和非現場檢查,並按照各支行內部控制管理水平的不同確定現場稽核頻率。
項目小組設計了風險信息報告和評估反饋機制。建立覆蓋全行的風險信息報告機制的目的在於及時、全面、完整地向決策層和管理層提供銀行經營管理中涉及的各類風險與內控狀況,及時發現、防範和化解經營風險,確保穩健經營。風險報告路線採取縱向報送與橫向報送相結合的矩陣式結構,即部門或者支行向總部對口管理部門報送風險報告的同時,必須向風險管理部門報送。建立制度評估反饋制度的目的在於及時發現、報告和糾正內部控制的缺陷,不斷地提高規章制度的適應性和操作性,從而增加對基層機構的控制能力。
在制度設計的同時,錦州市商業銀行對原有的風險管理流程體系進行了進一步優化。設計中減少了包括貸款審批流程的審批環節,進一步明確了從客戶經理、風險經理和最終審批人的風險責任。得益於先進風險控制方法的引入,雖然監控環節減少,但是信息傳達的透明度提高,加之激勵約束機制與風險責任的直接聯系,因此提高了風險管理的質量並且降低了管理成本。
四、建立涵蓋風險管理內容的績效和薪酬考評體系
實施對員工的有效激勵、對風險管理的科學性和效率性具有根本性影響。人們行為的動機在於與之相關的效用激勵,忽視風險控制的激勵機制只能將員工的行為動機轉向單純的規模和簡單的利潤導向。為提高對員工的風險約束,項目小組在建立涵蓋風險內容的部門績效考核的基礎上重新設計了員工薪酬考評體系,將風險考核納入了員工激勵機制。
在對部門績效考核體系的設計中,項目小組設計了科學的關鍵績效指標體系(KPI),運用平衡記分卡實現了績效考核要素的全面性要求,引入了包括風險調整的資本收益率(RAROC)在內的綜合性銀行績效指標,避免了原有考核體系由於指標間相關性造成的激勵沖突,將風險成本和風險資本作為重要因素明確地納入考核,體現了考核標準的科學性。在績效考核體系的基礎上,項目小組設計了包含風險管理激勵機制的員工薪酬體系,通過採用不同的薪酬結構和支付期限避免了風險偏好不同員工之間的激勵沖突。
五、錦州市商業銀行內控和操作風險管理的未來規劃
良好的內控和風險管理體系要通過充分有效地實施才能實現,錦州市商業銀行將在未來一段時間內繼續完善新體系的實施工作,確保項目設計目標的最終實現,並將繼續推動銀行信息系統的風險控制工作以及加強風險量化管理精確化的准備工作。
銀行內部控制和操作風險管理無論是文化氛圍的形成,管理體系的搭建,還是管理手段和方法的實施都不是一朝一夕就能完成的,風險和內控項目實施的目的並不是畢其功於一役,而是為持續的內控和風險管理工作奠定堅實的基礎。錦州市商業銀行將時刻關注國內外銀行內部控制和操作風險的最新動態,學習和借鑒先進的管理方法,形成符合自身發展和經營需要的風險管理體系,持續提高自身的風險管理能力和水平,向國際化銀行管理水平的發展目標不斷邁進。