银行分行内控体系构建的探索与实践.doc

银行分行内控体系构建的探索与实践经济是有周期的。银行风险管控的真正考验来自经济全周期，特别是逆转期的各种波动与风险当前，在一个完全开放的复杂变化的市场环境下，国内银行业正在面临着激烈的商业竞争，承受着巨大的市场压力。但与此同时，由于内部控制基础薄弱，以及体制和经营管理机制等诸多原因，国内银行业的整体竞争能力表现偏弱，特别是一些恶性金融案件的发生，不仅给银行造成严重损失，制约了银行业务的发展，而且在社会上也产生了恶劣的影响，甚至威胁到国家的金融安全。国内银行经营管理中深层次问题的集中暴露，使我们清醒认识到，在商业银行转型的改革发展过程中，对风险的识别、控制、计量、化解和管理，比任何时候都更为重要和迫切。事实上，近年来国内商业银行为改善管理做了大量繁杂的工作，但是从结果上看，与国际先进商业银行相比还有相当大的差距。对此，银行分行行长刘鹰分析认为：造成这种差距的主要原因在于，这些年对我们对管理的改进基本上还是属于“头痛医头、脚痛医脚”的简单重复和“补丁”式建设，缺乏对基础管理系统性、根本性的认识。可以说，当前最紧缺的还不是先进的管理方法和科技手段，而是坚实的基础管理的支持，基础管理薄弱已经成为制约商业银行进一步发展的重要因素。由于受益于良好的宏观经济环境，国内各商业银行连续多年处于经济上行期，而对银行经营管理的真正考验来自经济全周期，特别是逆转期的各种波动与风险。我们应当注重商业银行的可持续发展能力，而这一能力有赖于完善的内部控制体系和科学的风险管理手段。本期最佳实践栏目通过记者对中国银行分行内控体系建设的调研，从一个侧面展示了我国商业银行内部控制由理论到实践再到理论的认识和再认识的持续演进过程。我们希望能与读者共同分享商业银行内控体系建设和操作风险管理的新实践、新经验，以利于进一步提高国内银行业整体的全面风险管理能力，共同实现安全、稳健、持续、健康发展的根本经营目标。一、以梳理和整合各项业务和管理流程为主线，编写体系化的制度文件，建立内部控制体系(一)理论依据内控管理是商业银行风险管理系统的重要组成部分。内部控制是银行的一种自律行为，是银行为完成既定的工作目标和防范风险，对内部各职能部门及其工作人员从事的业务活动进行风险控制、制度管理和相互制约的方法、措施和程序的总称。通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内部控制的核心是防范风险，主要是为了防范和控制操作风险;有效的内部控制是银行科学管理的基本组成部分，也是安全稳健经营的基础。新巴塞尔协议将操作风险和信用风险、市场风险并列为三大风险。过去我国金融界不少人认为，金融机构面临的风险主要是信用风险和市场风险，得到高度关注，管理理论和方法较为成熟，而操作风险未得到应有的重视。如果对引发信用风险和市场风险、导致不良资产的众多案例进一步分析，可以发现实际上相当比率案件是因为违规操作等操作风险因素引起。近年来银行大案要案频发主要有四大因素：人、流程、系统、外部事件，其中前三项都与操作风险密切相关。而且，操作风险在一定情况下亦可转化为信用风险和市场风险，著名的巴林银行破产案，就是典型的由操作风险转化为市场风险。另据德国银行家的相关统计，约80%的信用风险主要由操作风险引起，操作风险造成的间接损失是直接财务损失的635倍。因此，随着信用风险和市场风险管理的工具和手段不断完善，银行业风险管理的重心正逐步向操作风险转移。(二)实践操作银行分行内部控制体系框架设计思路是：导入先进的内部控制理念与方法，结合并运用管理体系方法和原理，在分行现有内部控制制度的基础上，依据银监会商业银行内部控制评价试行办法和中国银行总行操作风险管理政策、合规风险管理政策等要求，对中国银行分行现有内部控制体系进行系统梳理、整合和完善，进而建立适应银行需求的文件化、系统化、透明清晰的内部控制体系，有效提升分行内部控制管理能力。这主要包括：其一，学习掌握操作风险管理基本方法。按照巴塞尔委员会银行组织内部控制体系框架、操作风险管理与监管的稳健做法、银行合规与合规部门、商业银行内部控制评价试行办法等要求，对分行现有流程进行系统梳理和整合。遵循“分工合理、职责明确、报告关系清晰”的原则，对流程进行优化和改进。在此基础上，对流程中的操作风险与合规风险进行全面排查和风险控制自我评估(rcsa)，对风险进行分级分类，采用“悲观原则”对风险可能造成的后果和程度进行风险分析与判断，将风险发生的可能性分为几乎肯定、很可能、可能、不太可能、罕见五类;风险后果的严重程度分为无关紧要、较小、中等、较大、灾难五类;将风险等级分极度风险、高风险、中等风险、低风险、极小风险五个等级;根据风险级别确定风险可接受程度，极度风险、高风险、中等风险为不可接受风险，低风险为有条件接受的风险，极小风险为可接受风险。并制订控制目标和控制措施，有效防范操作风险与合规风险。其二，全面清理分行各类规章、制度等文件1027份，在系统整合业务规章的基础上，优化业务制度的运作方式，根据业务流程建立系统化、层次化的制度文件框架，为实现经营管理过程的程序化、规范化和系统化奠定基础。针对一些业务和管理空白点或薄弱点，补充完善相应的业务和管理制度。最终建立内控体系文件。分行所有业务活动、管理活动，直观表现为一套四层结构：内控管理手册、业务管理大纲、管理程序/管理规定及作业指导书/应急预案，共计325份。其三，推进内控体系文件的持续改进、及时更新，保证体系文件唯一性，即唯一有效版本、同一工作内容、同一要求。其四，经过2007年的运行，全行共清理文件525份，新增内控体系文件15份，更新内控体系文件256份，停用体系文件3份。(三)效果分析内控体系的建立，为分行提供了一套行之有效的方法，解决以前规章制度分散于各类文件中，规章之间没有很好地衔接、制度没有定期进行维护和修订而出现相互之间存在重复甚至矛盾的现象，某些规章已经落后于实践与实际操作脱节等基础管理问题。通过包括“内部控制环境”、“风险识别与评估”、“内部控制措施”、“监督评价与纠正”、“信息交流与反馈”五大功能模块的内部控制体系的运行，形成对风险进行事前预防、事中控制、事后监督纠正的动态过程和机制。其一，分行层面所有业务、管理活动和支持保障活动，都有章可循、有法可依。体系文件覆盖所有要素、按统一方法编制成册，接口明确、结构合理、协调有序、每个文件逻辑上独立，体现系统整体性。其二，借助it网络技术，便于各岗位、各层次员工快速、准确查找、学习、使用文件。通过电子内控体系信息管理平台建设，利用电子化手段，建立符合商业银行内部控制评价试行办法的文件管理系统。建立体系文件、网页、法规制度三位一体的内控文件信息查阅和管理平台，提高内控管理工作的效率效能。首次实现了快速实时查阅整个业务种类和操作细则，清晰地看到了各项业务流程和业务间的关系和主要风险点，出现风险的后果和预防措施，保障了整个风险管理系统的完善、持续改进、有效和高效。查寻文件时间由平均35天缩短为10秒，效率大大提高。二、以风险代表派驻为突破口，探索分行操作风险与合规风险管理新模式(一)理论依据实施有效的操作风险管理，需要以系统整体性为特征的组织管理架构，服务于银行风险管理战略目标，按照以客户为中心、市场为导向、效益为目标、风险管理为核心的原则，进行前中后台分离、业务条线纵横管理相结合，机构扁平化的组织机构再造，逐渐趋向前台侧重市场营销、中台强化风险管理与财务集中，后台专业化处理与综合保障的管理新模式，提高风险管理组织的有效性和信息传递的有效性，保证银行对风险的及时反应。为实现风险管理的独立性，应建立独立的操作风险管理体系。上级风险管理部门对下级风险管理部门或岗位负责人的任职资格和任职期限及任职绩效进行直接管理和考核。下级风险管理人员在所管辖的区域和领域内全面执行风险管理政策，包括制订细化的风险管理操作规程，量化评估与分析报告等。减少分支行管理层等利益相关者对风险管理的不正当干预，建立风险管理的评价和持续改进机制，风险是不断变化的，要实现对风险的动态防范，内部控制体系必须具有动态性和自我改进机制。内部控制体系不是一个静态系统，而是一个可以进行持续改进的动态系统，能随内部环境的变化和国家法律法规、政策制度等外部环境的改变及时进行相应的修改和完善。(二)实践操作银行分行向各业务条线部门和各经营单位派驻风险代表。通过对管理评审程序、检查管理程序、内部控制评价管理程序的建立，形成持续改进的机制，将内部控制管理真正落实到实处。在现有的组织架构下，将风险管理部门和法律合规的职责扩展到操作风险管理，分行各部室派驻风险代表，是风险防范全程化和风险管理派驻的探索，根据业务和产品不同的流程按年、月、日不同的时间频度进行内控管理检查，并将考核结果纳入到绩效考核中。明确风险代表职责。建立风险代表报告制度。操作风险管理组织体系下一级单位对上一级单位负责，遇紧急情况可跨级汇报，甚至直接向高层提出报告，以确保信息的畅通。风险管理委员会负责监督银行整体的操作风险管理情况，包括操作风险暴露、管理政策、政策执行情况及评估操作风险管理效果等;风险管理部和法律合规部作为直接对高级管理层负责的部门，负责操作风险评估及管理政策的制定和执行监督;风险代表负责根据操作风险管理政策，对本业务、部门的操作风险暴露进行识别和评估，提出操作意见和建议，并履行监督职能。把风险管理纳入到绩效管理，通过绩效考核激励内控制度建设和执行。突出风险提示，列出业务流程环节操作风险点、风险级别、控制目标、控制措施、控制岗位。便于业务和管理人员清楚地知道各项工作所面临的风险和岗位控制职责，有利于有针对性地对风险进行控制;形成操作风险损失与流程的映射关系，为操作风险管理提供较好的基础;进行案件分析时能够很快找出原因，及时采取措施;优化业务流程时可迅速识别出关键控制环节，有针对性地加强流程中的控制措施。(三)效果分析其一，风险管理职责下伸一级，操作风险与合规风险层次化管理要求得到全面落实。商业银行扁平化管理、业务的集中处理和专业分工等，客观上在分行有部门、岗位保证落实，但到支行层面是一个断层。而派驻风险代表解决了操作风险与合规风险管理从分行到支行断层问题，风险管理相关工作有岗位人员落实，支行层面操作风险与合规风险管理工作岗位落实率由0达到100%。其二，操作风险与合规风险管理第一责任落实到业务一线。按照巴塞尔关于操作风险的定义和七种分类，通过项目建设，银行分行采取专家定性评估法及悲观性原则，对行内的所有业务、管理和支持保障活动流程中的操作风险进行了排查和识别，共查出风险点864个。全面系统地显现了风险防范，需重点控制及管理的重点。从业务条线看，会计业务、国际业务、公司业务是风险防范的重点业务，三者占比是53.3%;从操作风险类型看，实施、交付和流程管理，内部欺诈、外部欺诈是我们要重点防范的风险类型，三者占比88.1%;从风险产生影响看，首先影响资产安全，其次银行声誉，合计高达85%;从风险来源看，人员行为是银行的主要风险来源46.4%，其次为管理活动控制34.7%。其三，风险报告内容更加明确、渠道更加顺畅。分行要求各条线、各经营单位操作风险与合规风险报告完成率由36%达到100%。三、以内控体系建设为契机，推动分行队伍建设和风险文化培育(一)理论依据人既是商业银行内部控制体系的主体，也是客体，人的控制是商业银行内部控制的根本措施，只有确保与内控和风险管理相关员工具备相应的内控意识和能力的政策和措施得到完善和实施，才能保证商业银行内部控制体系的运行、维护和持续改进。企业文化是商业银行在长期经营管理实践中倡导并被广大员工普遍认可、接受和遵循的价值标准、经营理念和行为规范的总称，包括精神、制度和物质三个层面。精神层面文化指企业中所有员工共同信守的基本信念、价值标准、职业道德及精神风貌，是物质层和制度层的思想基础;制度层面文化指对企业员工的行为产生约束性、规范性影响的规章制度，约束和规范了物质文化和精神文化的建设。物质层面文化指行容、产品、标识、文化传播网络等内容，是企业文化的外在表现和载体，是形成精神文化和制度文化的条件。商业银行的内控文化是企业文化重要组成部分，内控文化建设是包括建立和完善内控奖惩制度、内控责任追究制度、教育培训、管理哲学和经营风格等方面在内的一项系统工程。健康的企业内控文化应为内部控制提供适宜的环境，使员工树立良好的风险价值观，把内控原则、风险知识、风险意识、风险控制和防范的责任观、应对险情事故或损失的对策作为日常教育内容。要制定并实施员工内控工作行为准则或类似规范、建立对员工违规违纪行为的补救和处罚应急机制。(二)实践操作银行分行建立和完善日常人力资源的人事管理制度，包括员工的招聘与辞退、奖励与提升的绩效考核、违规和处罚的处理、激励和薪酬福利的配套、专业技术职务的管理等系列制度，作出与内控和风险管理相匹配的详细规定。推行员工招聘录用的评估和管理制度，减少了重要岗位人员的道德风险和操作风险，保证与内控及风险管理相关人员的合格的业务素质和能力资格，能胜任相应的内控岗位要求。完善的内控培训制度和关键岗位培训计划，包括培训对象、内容、人员、时间、风险防范与控制的知识和技能等。根据银行业务流程、管理流程和支持流程的部门与岗位职责、风险控制图的风险控制点的岗