銀行董事長在內控與風險管理會上的講話
A. 內控風險和風險管理有何區別
《企業內部控制基本規范》及其配套指引,充分吸收了全面風險管理的理念和方法,強調了內部控制與風險管理的統一。內部控制的目標就是防範和控制風險,促進企業實現發展戰略,風險管理的目標也是促進企業實現發展戰略,二者都要求將風險控制在可承受范圍之內。因此,內部控制與風險管理二者不是對立的,而是協調統一的整體。
B. 全面風險管理與內部控制要做哪些工作
內部控制與企業全面風險管理的區別和聯系
區別在於:
1. 兩者目標不同。風險管理的目標相較於內部控制增加了一個戰略目標,戰略目標的制定是企業治理層面需要參與解決的問題,這表明風險管理屬於治理層次,而內部控制屬於企業管理層次;此外,風險管理把財務目標擴展為報告目標,不僅包括了財務報告目標,還包括了非財務類報告,彌補了內控目標體系重財務信息輕其他信息的缺陷;
2. 兩者組成要素不同。相比起內控的五大要素,風險管理增加了「目標設定、事件識別和風險應對」三個因素,豐富了風險管理內容,體現了風險組合觀;
3. 兩者的范疇不一致。內控僅僅是管理的一項職能,主要是通過事後和過程的控制來實現其自身的目標,而全面風險管理則貫穿於管理過程的各個方面,尤其是在事前制定目標時就充分考慮了風險的存在;
4. 兩者的活動不一致。內部控制不負責企業經營目標的具體設立,而只是對目標的制定過程進行評價,而風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇等一系列活動;
5. 兩者對風險的定義不同。全面風險管理框架將風險明確定義為「對企業財務目標產生的負面影響事件發生的可能性」,將正面影響視作機會,將風險和機會區分開來,而內部控制框架中,尚未區分風險和機會;
6. 兩者對風險對策不一致,全面風險框架引入風險偏好和風險容忍度。在風險度量的基礎上,有利於企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,進行經濟資本分配及利用風險信息支持業務前台決策流程等,從而幫助董事會和高級管理層實現全面風險管理的4項目標。這些內容都是內部控制框架中沒有提出的。
它們之間的聯系有:
1. 內控或風險管理的根本作用都是維護投資者利益、保全企業資產,並創造新的價值。從理論上說,企業的內部控制是企業制度的組成部分,風險管理則是在新的技術與市場條件下對內控的自然擴展,在內控的基礎上增加了一個目標即戰略目標和三個要素:目標設定、事件識別、風險應對;
2. 內控是企業風險管理的必要環節,在全面風險管理中扮演關鍵角色,內控應被管理者看作是范圍更廣的風險管理的必要組成部分,對於企業所面臨的運營風險,內控是必要的。
內部控制是由主體的董事會、管理層和其他員工實施的,旨在為經營的效率和有效性、財務報告的可靠性、遵循適用的法律法規等目標的實現提供合理保證的過程。
全面風險管理是一個過程,它由一個主體的董事會、管理層和其他人員實施,應用於戰略制定並貫穿於企業之中,旨在識別可能影響主體的潛在事項、管理風險,以使其在該主體的風險容量之內,並為主體目標的實現提供合理保證。
內部控制與風險管理關系十分密切,內部控制和企業全面風險管理既有橫向交叉又有縱向融合,風險管理是企業為了適應時代的變化,以內部控制為架構演變成另一種以達到某種目標的過程和方法。二者在要素、目標、含義等方面有很多聯系和相同的地方,既是獨立又有關聯的體系,是針對企業所不同的需求而演變成的兩種過程與目標。
C. 如何做好企業內部控制和風險管理
制度、落實、檢查、評估,糾正、完善
D. 如何發揮內控評價在企業風險管理
對企業內部控制的評價是對內部控制制度流程和設計進行的評價,首先回要看企業對內部控制制度是答否重視。內部控制制度要根據相關的法律法規進行制定,不能與國家頒布的法律法規相沖突。目前國際上對內部控制有效性評價有詳細評價法和風險基礎評價法。詳細評價就是對企業會計制度是否符合權威機構的條款,根據與條款的差距來完善本企業的會計制度,但是這種方法會造成與企業的實際情況背離。風險基礎評價法是對企業要進行的項目的風險進行評價,與本企業制定的內控制度比較看是否對此項目適用,對存在的缺陷進行評估,這樣的評價更加切合公司實際情況,提高了評價效益。通過內部控制理論和實踐的進一步完善,內部控制有效性將在企業風險管理上發揮越來越大的作用。
E. 企業為什麼需要內部控制與風險管理
親,您知道嗎,企業需要內部控制與風險管理有四點原因:
一、企業的內部控制是保證企業正常經營的基礎,內部控制的好壞直接關繫到一個企業的經營成敗。
為了提高企業效益,加強管理,減少工作失誤,合理的調配各種有一資源,需要我們建立現代科學合理的企業內部控制制度,企業內部控制制度的建立完善與否是現代企業管理水平的標志之一。
二、是為了防範風險與樹立投資者信心。
實施企業內部控制評價符合國際慣例,有助於揭示企業內控重大缺陷,維護投資者利益和資本市場秩序。投資者對投資行為的選擇,不僅僅基於財務數據和相關信息,還要基於對公司內部控制系統設計與運行質量的分析,以判斷企業的抗風險能力。
企業的風險來自於兩大類:一是來自於違背外部強制性規定,包括合規性、財務報告及相關信息的真實可靠、資產的安全;二是來自於內部管理系統的適應性,包括戰略定位與實施手段、管理的效率與經營的效果。第一類風險的發生將使企業承擔違規成本,導致企業價值下降,第二類風險的發生將直接影響企業獲取現金流的能力,增加投資回報的不確定性。企業建立內部控制系統就是為了防範上述風險。
三、推行內部控制是企業加強交流溝通,促進信息對稱的根本途徑。
可強化單位內外對內部控制制度的理解,促進各相關單位或部門之間信息的對稱和透明,加強部門之間在授權、不相容職務相分離、獨立業務審核、資產和記錄的接近限制等具體控制環節的協作和配合,按照成本效益原則優化內部控制結構,並根據各部門溝通反饋的因管理環境或業務性質的改變情況,適時調整、完善內部控制系統,從而保證內部控制的健全有效。
四、推行內部控制是企業改善內部控制,加強內部監督制約的有效手段。
內部控制的有效執行,僅靠各部門和相關人員的自主執行是不夠的,常常會因為相關部門和相關人員的串通作弊或不作為而失效,因此還需要建立健全監督機制,對內部控制運行質量不斷進行評估,即對內部控制設計、運行及修整活動進行評價。通過審查和評價內部控制的健全性和有效性,評價相關部門和人員執行內部控制制度的情況,監督其充分、有效地執行內部控制制度。
F. 內部控制與風險管理的內容
對內抄部控制相關理論的全面介紹
內部控制整合框架包括哪些內容?
企業發展的基石,內部控制的核心觀念
內部控制的局限性-成本效益原則及其它 內部控制的基礎
如何建立良好的控制環境 風險管理,使企業獲得競爭優勢的法寶
危機管理的金科玉律 內部審計的含義
內部審計在組織架構中的位置
內部審計與內部控制的關系 什麼樣的人才會舞弊
職業舞弊對企業造成的危害是什麼?
如何看待職業舞弊與內部控制? 內控體系建立和執行的五個階段
確定和分解目標、識別風險
如何建立控制政策:二維表、流程圖、文字描述
如何有效執行內控
如何監督內控的執行狀況:執行過程中的監督和獨立的評估 薩奧法案的含義及其內容框架
審計人員的獨立性應如何理解
G. 如何加強商業銀行的內部控制與風險管理
一、強化內部控制和操作風險管理理念,建立良好的風險控制企業文化氛圍
對於城市商業銀行來說,引進國際銀行業先進的操作風險管理理念,形成良好的風險控制企業文化氛圍是迫在眉睫的任務。建立良好的操作風險控制文化氛圍首先要明確操作風險的科學含義和風險控制手段及方法。
現代銀行風險管理理論對操作風險給出了明確的定義,即操作風險是指由於內部流程、人員行為和系統失當或失敗,以及由於外部事件而導致直接和間接損失的危險。操作風險主要來自內部控制和外部事件兩個層面,主要包括:人員風險、制度和流程風險、技術風險以及操作策略風險。
銀行操作風險的防範主要依賴完善的內部控制,完善的內部控制是有效實施銀行操作風險管理的主要手段。巴塞爾銀行監管委員會1997年在《有效銀行監管的核心原則》中提出:「最重大的操作風險在於內部控制及公司治理機制的失效」。根據2002年9月人民銀行頒布的《商業銀行內部控制指引》對商業銀行內部控制的定義:商業銀行內部控制是商業銀行為實現經營目標,通過制定和實施一系列制度、程序和方法,對風險進行事前防範、事中控制、事後監督和糾正的動態過程和機制。
與國內其他商業銀行相似,錦州市商業銀行成立初期注重資產規模的擴張和市場佔有率的提高,以期在區域銀行市場獲得一席之地,完成最初的生存和發展需要。在這一發展階段,銀行的風險意識還處於萌芽狀態,雖然從管理層到員工都能夠意識到風險的重要性,但是在制度上缺乏風險控制的有效手段和科學方法。隨著競爭的日益激烈以及銀行風險監管要求的不斷深入,管理層深刻地意識到必須形成風險控制企業文化,建立科學的風險管理和內部控制體系,將先進的風險控制手段和方法與銀行自身經營特點相結合,做到「實用、管用和會用」,從而全面提升銀行的風險管理水平。
通過風險管理和內部控制項目的實施,錦州市商業銀行引入了科學的銀行操作風險管理理念,加強了對管理層和員工的內部控制和操作風險管理理念和方法的培訓。在銀行內部,將風險管理由高深的理論變為所有銀行員工的自覺意識和行為,使從銀行高層管理者到基層員工的所有銀行員工對內控和操作風險的內容和含義有了准確的理解,清楚地認識到銀行內控與操作風險和每名員工的相關程度。通過培訓,員工們進一步明確了不同崗位風險的控制方法和手段,做到合理有效地控制風險。
在強化對內控和操作風險理念的宣傳與培訓工作的同時,項目小組對原有績效考核和薪酬體系進行了重新設計,將包括操作風險管理在內的全面風險管理內容融入其中,使得內部控制和風險管理不僅是對員工日常工作的要求,並且成為衡量部門績效的成本因素,直接影響部門的經營效益考核結果,進而形成管理者和員工風險管理的激勵機制。通過事前培訓,事中監督和事後考核,已經將銀行內部控制和風險管理理念深入貫徹到每名員工,相信通過一段時間的實施將形成良好的內部控制和風險管理企業文化氛圍。
二、進一步完善風險控制的組織結構和崗責體系
完善的組織架構是保證內部控制和風險管理的組織保障,而科學的崗位職責設計能夠確保每名員工在內控和風險管理工作中權、責、利上的明確分工,進而通過合理的績效考核和激勵機制設計保證分工的有力執行。項目小組結合內控和風險管理的科學理念和最佳實踐對自身的組織架構進行了改造,對崗位職責進行了重新設計。
良好的公司治理結構是商業銀行建立有效風險管理制度的基礎和前提。錦州市商業銀行注重通過加強銀行治理,強化股東會、董事會職能,從源頭上提高內部控制和風險管理意識。在項目中,進一步強化了董事會和各委員會的職能,確保董事會能夠真正在銀行重大決策中發揮作用。在完善原有職能的同時,將成立資產負債管理委員會、審計稽核管理委員會、提名管理委員會、信息管理委員會和戰略發展委員會,進一步加強對銀行的內部控制。
在風險管理和內控項目中,錦州市商業銀行著重強化了風險管理部和稽核部門的工作職能。垂直獨立權威的風險管理組織機制是加強風險管理的組織保障;健全配套的風險管理機制是風險管理的必要手段和配套措施。為全面有效地進行風險管理,成立了由銀行董事會及高級管理層直接領導的,以獨立風險管理部門為中心,與各個業務部門緊密聯系的獨立的風險管理體系。風險管理部負責對包括信用風險、市場風險和操作風險在內的銀行風險進行全面管理。風險管理部通過運用各種管理手段包括政策約束,流程規范以及有效量化支持工具實施風險管理,將各類風險損失控制在可接受范圍內。
錦州市商業銀行注重通過內部稽核部門發揮監督和控制職能。通過建立全行具有高度權威性與獨立性的稽核部門,進一步增強其作為內控重要監督部門在內控評價與監督方面的職能。稽核部是全行最高的稽核管理部門,負責全行下屬各經營機構以及各業務管理部門的監督與稽核,同時直接向董事會及稽核審計委員會負責。目前總部正著手對下屬機構進行風險分類,根據不同機構風險等級的採用差別化的稽核方式,強化對存在較大風險機構的稽核審計工作。調整後稽核部大大提高了在監督審計方面的稽核檢查力度及檢查有效性。
三、建立科學的內部控制、風險管理制度與流程體系
科學有效的管理制度和流程體系是確保內部控制和風險管理質量的基本保證。錦州市商業銀行通過完善各部門與業務的內部控制制度以及優化風險控制流程來降低和防範操作風險,將系統、標準的管理方法運用到各類業務的操作風險管理當中,全面梳理各項業務流程,建立有利於全面風險管理的內部控制體系。
為更好的體現風險管理的獨立性,錦州市商業銀行在原有單一的業務線基礎上分離出風險管理線,建立了風險經理制度,對每家支行派駐風險經理,負責對支行風險的全面審查工作。風險經理由風險管理部管理,不隸屬於每家支行,從而避免由於經濟利益的驅動而導致的對風險的忽視。通過實施稽核專員制度,稽核專員負責對支行經營過程中的內部控制、操作風險問題進行現場和非現場檢查,並按照各支行內部控制管理水平的不同確定現場稽核頻率。
項目小組設計了風險信息報告和評估反饋機制。建立覆蓋全行的風險信息報告機制的目的在於及時、全面、完整地向決策層和管理層提供銀行經營管理中涉及的各類風險與內控狀況,及時發現、防範和化解經營風險,確保穩健經營。風險報告路線採取縱向報送與橫向報送相結合的矩陣式結構,即部門或者支行向總部對口管理部門報送風險報告的同時,必須向風險管理部門報送。建立制度評估反饋制度的目的在於及時發現、報告和糾正內部控制的缺陷,不斷地提高規章制度的適應性和操作性,從而增加對基層機構的控制能力。
在制度設計的同時,錦州市商業銀行對原有的風險管理流程體系進行了進一步優化。設計中減少了包括貸款審批流程的審批環節,進一步明確了從客戶經理、風險經理和最終審批人的風險責任。得益於先進風險控制方法的引入,雖然監控環節減少,但是信息傳達的透明度提高,加之激勵約束機制與風險責任的直接聯系,因此提高了風險管理的質量並且降低了管理成本。
四、建立涵蓋風險管理內容的績效和薪酬考評體系
實施對員工的有效激勵、對風險管理的科學性和效率性具有根本性影響。人們行為的動機在於與之相關的效用激勵,忽視風險控制的激勵機制只能將員工的行為動機轉向單純的規模和簡單的利潤導向。為提高對員工的風險約束,項目小組在建立涵蓋風險內容的部門績效考核的基礎上重新設計了員工薪酬考評體系,將風險考核納入了員工激勵機制。
在對部門績效考核體系的設計中,項目小組設計了科學的關鍵績效指標體系(KPI),運用平衡記分卡實現了績效考核要素的全面性要求,引入了包括風險調整的資本收益率(RAROC)在內的綜合性銀行績效指標,避免了原有考核體系由於指標間相關性造成的激勵沖突,將風險成本和風險資本作為重要因素明確地納入考核,體現了考核標準的科學性。在績效考核體系的基礎上,項目小組設計了包含風險管理激勵機制的員工薪酬體系,通過採用不同的薪酬結構和支付期限避免了風險偏好不同員工之間的激勵沖突。
五、錦州市商業銀行內控和操作風險管理的未來規劃
良好的內控和風險管理體系要通過充分有效地實施才能實現,錦州市商業銀行將在未來一段時間內繼續完善新體系的實施工作,確保項目設計目標的最終實現,並將繼續推動銀行信息系統的風險控制工作以及加強風險量化管理精確化的准備工作。
銀行內部控制和操作風險管理無論是文化氛圍的形成,管理體系的搭建,還是管理手段和方法的實施都不是一朝一夕就能完成的,風險和內控項目實施的目的並不是畢其功於一役,而是為持續的內控和風險管理工作奠定堅實的基礎。錦州市商業銀行將時刻關注國內外銀行內部控制和操作風險的最新動態,學習和借鑒先進的管理方法,形成符合自身發展和經營需要的風險管理體系,持續提高自身的風險管理能力和水平,向國際化銀行管理水平的發展目標不斷邁進。