内控合规管理工作的建议
开篇:润墨网以专业的文秘视角,为您筛选了八篇内控合规管理工作的建议范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
内控合规管理工作的建议范文第1篇
关键词:农村信用社 自主经营 管理
农村信用社以服务“三农”为宗旨,以“三性”为经营原则。因此,必须立足农村、扎根农业,一心一意地做好做强“农”字文章,不断增强对“三农”的服务功能和实力,进一步提高金融服务水平和效率,大胆创新与农相宜的服务品牌,积极推进农业和农村经济结构的战略性调整,促进农民增产增收。切实转变工作作风,了解农民最想要的是什么,最盼望的是什么,最急需的是什么,真正把农业科技、农业信息、农业知识、农业贷款送到农户家中,引导农民转变观念,主动适应市场需要。
一、完善内控制度,确保依法合规经营
建立科学完善的内部控制制度是农村信用社有效防范金融风险和安全稳健运行的重要保障。近年来,基层社案件频发,且作案手段复杂,金额较大,对内控机制提出了严峻的挑战。加强内控文化建设,从源头上对风险点实施控制,积极推行谨慎的经营原则,建立健全内控机制,规范操作流程,不断增强风险防范意识。坚持以业务为中心,以内控为保证。一手抓业务拓展,一手抓内控监督。建立内控管理责任追究制度,进一步整章建制,明确划分岗位职责,将制度覆盖到每一个风险点,降低发案率。在搞好序时稽核的同时,防患于未然,将稽核关口前移,对业务经营中有苗头性、倾向性的问题及时作出分析判断,提出切实可行的整改措施和建议。
一要加大规章制度建设力度,锻造制度执行力。第一,要加大制度的回检力度,对新业务中存在的风险点,要及时制定或修改相关制度,强化风险防范长效机制建设,以制度约束风险隐患;第二,要抓整改问责,要自查自纠,自我暴露和自我整改,对整改台账中反映的风险隐患、整改落实、责任人处理、后续审计等情况必须持续检查,在检查中一但发现整改不力,或出现新问题,对整改不力负有领导和管理责任的人员进行从严问责;第三,严格执行开办新业务的有关规定,特别是对产品和理财产品,风险提示要充分,警惕那种只注重效益而忽视风险的业务品种。
二要强化内审职责,排查内部风险。要做到内部审计不走过场,严防 “猫鼠”一家,切实落实九种人排查措施;严格执行重岗人员轮换和强制休假制度,要加大稽核内审职责,强化自我发现,对强制休假人员,要及时对其所经办的业务进行审计,发现问题及时处理,不断增强稽核审计的独立性。
二、树立一个理念。即要树立合规经营理念
目前,合规经营意识不足仍是农信社的短板,主要表现在:合规的观念、意识、文化还没有完全深入到各级管理人员和全体员工思想中,部分农信社对合规、合规风险和合规经营的认识比较模糊,思想上重视不够,行动上存在偏差,如领导批示凌驾于规章制度之上,“人治”代替“规治”。再如少数领导干部理想信念动摇,作风不正,甚至腐败堕落,致使近年来农信社大案要案不断,严重影响农信社的形象。因此,要实现合规经营,首先要从认识入手,把农信社干部员工的思想认识统一到合规经营上,将合规经营理念融入到农信社每位员工的思想中,体现在每一项管理制度内,落实到每一笔业务交易中,内化为每个员工的日常行为。在此基础上,根据风险理念制定明晰的风险管理战略,引导风险管理工作的有序开展。
三、构建一个合规管理架构
农信社应借鉴商业银行经验,建立独立的合规管理架构,成立合规管理部门,履行合规管理职责。在建立农信社合规管理架构上,要注意三点,一是合规职能的独立性是必要前提,合规部门必须独立于业务部门、财务部门、内部审计和纪检监察部门,要明确合规部门与其他内部控制部门之间的职责分工,其承担的其他职责均不得与合规管理职责相冲突,降低因利益冲突而令合规管理形同虚设的风险。二是合规管理部门与风险管理部门在合规管理方面应建立协作机制,合规部门更侧重事前、全面的合规风险管理,而风险控制部门主要职责则是在业务过程中进行事中的风险管理,合规管理部门与风险管理部门应为既相互独立又有效协作的关系。三是选派具有高度敬业精神、相应的技术资格和业务能力的人员充实到合规经营管理队伍中,培养和造就一支高素质的专业化队伍。
制定一套好的合规管理制度。长期以来,农信社内部缺乏一套统一完整、全面科学的合规风险管理法规制度及操作规则,不少制度规定存在粗略化、大致化、模糊化问题,缺乏可操作性,且执行力差等现象。因此,农信社要在银监会《商业银行合规风险管理指引》和“三法一指引”的基础上,对原有的制度进行梳理,制定《合规风险管理流程》,切实将合规管理落到实处。新的《合规风险管理流程》要具备“三性”,一是实用性。在制定规章制度时,一定要针对性强,要具体化,对贷款审批、发放、管理、监督等岗位进行分设,建立健全前台、、后台相互分离、相互制衡的管理机制,推动信贷管理从粗放型向精细化迈进。二是全面性。新的合规制度一定要覆盖到所有客户、产品和服务,要涵盖所有从业人员的行为操守和道德规范,使合规管控覆盖工作的各个环节,建立起一套层次分明、衔接有序、约束有力的合规制度保障体系。三是操作性。合规制度要紧密结合工作实际,实践上更易于操作,拒绝对其他商业银行的照搬照抄和“假大空”。
引进和创新一套合规风险管理工具。农信社在合规管理中,应借鉴商业银行经验,引进和创新一套合规风险管理的核心工具,规避操作风险。在引进和创新合规风险管理的核心工具时应注意三点,一是规范业务创新的流程,在新产品、新业务推出前进行合规审核与风险评估,做到有产品先有制度、有操作先有流程,有效避免合规风险。二是加强内控管理创新,不断推出加强合规管理的新制度、新方法。如积极探索建立适合农户贷款、微小企业贷款企业类项目贷款、公司类大额贷款等客户不同特点的信用评级制度,逐步建立覆盖所有业务和全面、准确、及时反映风险动态变化的内部评级系统,提高对信用风险和市场风险的鉴别分析能力,提高贷款质量。三是引进先进的风险管理工具如风险评级,风险预控,以及资产组合分析和各类风险缓释技术等,形成对合规管理的有效支撑。
四、建设一套风险防控体系
合规经营的一个有效途径就是做好事前预防。而要做到事前预防,关键要建立四个体系,一是建立合规经营教育体系。农信社要根据“合规执行年”的要求,开展多种多样的学习和教育活动,尤其要对发生在身边的违规操作案例分析解剖,从而使广大信合员工思想境界得到锤炼,风险意识得到提高,业务水平得到提升,真正将合规经营意识理念转化为合规经营的实际行动。二是建立合规文化体系。在具体工作中,应坚持以人为本,倡导柔性管理。注重人文关怀,不断激发员工的工作积极性、创造性和团结协作精神,营造合规经营氛围。强化感恩教育,增加员工的归属感,增强员工合规行为的主动性。三是健全稽核监督体系。稽核监督不但要对业务经营真实性进行监督,也要对员工的合规性进行有效监督,把稽核监督覆盖农信社业务的各个层面,不留死角。同时建立相应的处罚措施,把合规经营纳入考核,调动员工合规经营的积极性。四是建立社会监督体系。利用设置意见箱、监督岗、举报投诉电话和网站等形式,让社会各界参与评价信用社员工的职业道德和合规经营情况,从而促进和推动整个经营管理工作的合规、有效、顺利、可持续开展。
总之,我们必须实施稳健的经营方略,重管理见实效,走可持续发展道路,打造“三农”服务品牌,使农村信用社真正成为当地人民自己的银行,建设社会主义新农村的生力军。
参考文献:
内控合规管理工作的建议范文第2篇
关键词:合规风险 法律服务 银行
中图分类号:F850.4
文献标识码:D
文章编号:1 006-1770(2006)11-025-02
本刊记者:首先,请您介绍一下法律合规部的主要职责和功能定位。
李永祥:交行法律合规部是主管全行法律事务和合规管理的职能部门。负责为总行领导、各部门和分支行提供日常法律咨询、出具法律意见书、对规章制度实行合规审查,为全行业务发展提供法律技术支援和法律保障,接受法定代表人委托、代表交行处理对内、对外法律事务,建立和管理全行反洗钱监控体系、建设全行合规管理体制,并对分支行法律事务和反洗钱合规管理工作实行归口管理。
随着交行的改革和发展,交行的法律合规工作也在蓬勃开展。从原来办公室下设的一个处发展为一个独立的部门,再到2004年底更名为法律合规部,目前共有非诉讼业务处、诉讼业务处、反洗钱处和合规管理处四个处室。行领导对我们部门的定位是不仅仅要做好合同审查和法律咨询,同时也要承担的管理职能,管好分支机构和业务板块,面向前中后台做好牵头协调工作。
本刊记者:您对我行法律合规工作的总体评价如何,今后应当如何加强和改进工作?
李永祥:我想,概括地说就是压力很大、发展很快、成效显著。所谓压力大,是因为随着外部监管法律环境的变化和我行自身改革发展的推进,我们面临着内外部、多层次、全方位的外部监管和内部合规的要求。
所谓发展快,是机构和队伍建设发展较快。总行的法律合规部成立以来,全行法律合规条线的机构建设和队伍建设有了很大的发展,目前全行35家省直分行中挂牌成立法律合规部门的已有33家,法律合规工作人员也已有150人左右。但是,我们也必须承认,真正独立工作的省直分行仅有16家,很多行还是两块牌子、一套人马,从事法律合规工作的人员中兼职情况还比较普遍。
所谓成效显著,近年来法律合规工作条线成绩突出。不仅合规、反洗钱等新的工作全面展开,发挥了积极的作用,原有的法律事务也在广度和深度方面有了进一步的拓展。仅从非诉讼业务来看,2003、2004年每年出具的书面法律意见就有200多件,而到了2005年,随着交行重组上市、公司治理和一些重大项目的推进,全年出具的书面法律意见达到了800多件,而从今年1月至6月,我们也已经出具了400多件书面法律意见。
对今后的法律合规工作,根据行领导的有关指示,从观念上要落实四个转变。第一,是要从单纯的法律事务工作向基于全面风险管理体系的法律合规工作转变;第二,要从审查咨询职能向管理职能转变;第三,要从单纯的诉讼清收向有效识别、化解和降低风险成本转变;第四,要从被动地服务于业务活动向参与业务活动并且创造价值转变。
本刊记者:您能否分析一些典型案例以说明我行在法律事务上尚存在哪些薄弱和不足,今后应该如何避免和化解这些问题?
李永祥:根据我个人的理解和所经手的一些案例,法律风险可以概括归纳为三类。一是有法不依、有章不循;二是法律规定不明确,把握上出现偏差;三是行为时无法可依,其后的立法不支持该行为。无论出现哪一种情况,都可能带来财务损失甚至声誉损失。我觉得只有依法合规发展才能促进业务的良性健康发展。就拿反洗钱来说,有的人担心报告大额和可疑交易会影响银企关系,实践证明这是没有必要的。相反,不依法合规发展给银行带来的声誉上的损失是无法用财务标准来计量的。
对于一线业务和经营管理人员,我的建议是“有所为、有所不为”。风险从某种角度来说就是机遇,但我们必须区分“正常成本”和“非正常损失”之间的差异。“成本”是正常的、有规律可循的,而“非正常损失”大多数是“有法不依、有章不循”的结果。很多损失其实在事前我们就可以完全控制,从而避免业务、保全、监控和审计部门在事后补救方面付出大量工作和精力。
本刊记者:根据您多年来从事我行法律工作的经验,您认为总行各部门、总分行之间应如何配合,以防范经营管理中的法律风险?
李永祥:我认为,除了我提到的观念上的转变,在加强队伍建设、强化法律合规基础管理工作方面,我们还有很多事情要做。
首先要继续推进法律合规机构建设、落实队伍建设工作。机构建设的重点还是理顺职责,各行要做好归并整合工作,尽快单设法律合规部门。在队伍建设方面,一是要在合规管理方面多培养充实人员、重视培养、管理好法律合规兼职人员队伍,三是要加强自身的学习。
在强化法律合规基础管理工作方面,强调以下四个方面一是加强条线自身的内部建设、二是面向全行的制度管理和制度建设、三是切实协调推进合规管理各项工作、四是尽早实现法律合规工作信息化和电子化。
本刊记者:我行在反洗钱工作方面的进展如何?有何具体措施?
李永祥:目前,反洗钱在我国日益受到关注。《反洗钱法》已于近日颁布,我国在成为金融行动特别工作组(FATF)观察员后,正在努力成为该组织的正式成员,各监管机构对金融机构反洗钱工作的检查力度也在不断加大。我行作为国际公众持股银行,如果在反洗钱这项受到国际关注的工作中出现问题,除可能遭受外部监管的严厉处罚外,声誉也将受到严重损害,并将对我行的改革发展产生不利影响。我部反洗钱处成立以来,始终将反洗钱工作作为全行风险管理、特别是合规风险管理的重要组成部分,逐步健全机构、完善内控制度,开发反洗钱系统,开展反洗钱培训和宣传。经过两年多的时间,我行的反洗钱工作取得了较为明显的进展。从具体措施来说,主要包括以下几个方面
一是健全反洗钱机构,包括设立各级反洗钱工作领导小组及常设机构、设置反洗钱专职岗位、配备人民银行要求的报告员(分行级别)和信息员(营业机构)、配置反洗钱系统管理员和操作员等;
二是完善内控制度,包括制定《反洗钱管理暂行办法》、《人民币对公业务反洗钱操作规程》、《人民币对私业务反洗钱操作规程》和《外汇业务反洗钱操作规程》等规章制度,编写《反洗钱工作手册》等。从制度上明确了各业务条线的反洗钱工作职责,并将反洗钱工作融入到各项业务流程中;
三是开发反洗钱大额交易系统,实现大额数据采集和报送自动化,同时在大额交易系统中增加部分可量化可疑交易筛选功能,提高可疑交易系统识别能力;
四是认真做好客户尽职调查。在反洗钱领域.对客户尽职调查的制度称为“认识你的客户”,认识你的客户是反洗钱规则和管理的重要原则,因此我们要求分行必须充分了解客户信息,严格执行帐户管理各项规定,严禁开立匿名帐户和假名帐户;
五是认真识别和报送可疑交易。可疑交易是发现洗钱行为的一个重要途径,及时识别和上报可疑交易将有助于监管机构和公安部门发现犯罪线索,同时,这也是金融机构应当履行的法定义务。因此,我们要求分行必须认真执行可疑交易识别和报送的各项规定;
六是积极开展反洗钱培训和宣传。通过培训和宣传,不断增强员工的反洗钱意识,提高员工的反洗钱技能。
本刊记者:作为法律合规部的负责人,您能否谈谈个人的工作感受,例如,银行的法律工作和您以前所从事的工作有何区别?您是如何带领好这样的团队的?
内控合规管理工作的建议范文第3篇
关键词:内部控制体系建设合规文化教育培训检查监督
Abstract:In recent years,because the domestic and foreign banking industry violated regulations,the contrary operation cause the case which the significant fund lost to be very many,alarmed,was threatening the bank and the customer fund security seriously,Bahraini Bank goes out of business the document,the Hebei Handan agriculture line of especially big national treasury burglary all has sounded the alarm bell to commercial banks steady operation,gathered the gauge management to the commercial bank to pose the serious threat legally.This article through controls from the inside the management existence to the commercial bank the question to carry on the analysis,refers to the crux which had problems to be at,and proposed on the enhancement internal control work the practical and feasible operating procedure,to the consummation commercial bank internal control,enhances the economic efficiency,has very strong pointed and the guidance.
Keywords:The internal control System construction Gathers the gauge culture Education training Inspection surveillance
完善商业银行内控监管机制的重要性是由金融业在国民经济中的地位所决定的。金融行业是现代经济的核心,商业银行作为经营货币和信用的特殊企业,具有高负债、高风险、社会效益强等主要特征。加强内控监管机制对商业银行各项业务的健康发展具有重要的现实作用,巴林银行倒闭案、河北邯郸农行特大金库盗窃案的事实证明,商业银行要实现利润的最大化的目标,就必须加强内控监管机制,必须关注的整体性、系统性和重大风险,立足于规范操作,以风险为导向,促进各机构(部门)健全内部控制体系,夯实内控管理基础工作,保障各项业务合规、稳健经营和持续发展。
1.商业银行内控管理存在的主要问题
1.1管理层和操作层对内控制度缺乏必要的认识,存在模糊现象。个别管理者和操作者简单地认为银行的内控管理就是各项规章制度和政策法规的汇总,做了建章立制方面的工作,就等于建立了内控机制,从而忽视了内控制度实质上是一种机制的特性,也有人认为内部控制不过是内审、检查部门的事,跟自己没有太大关系,还有的把加强内部控制与发展业务对立起来,片面认为内部控制阻碍或制约了业务发展,应该管的没有管,应该检查的没有检查,重业务、轻管理的现象还比较突出。目前,各商业银行都实行了考核指标体系,这些考核指标的设置偏重于业务发展,使基层行只注重业务开拓而忽视或淡化内控管理。
1.2贯彻执行财务会计制度不严,统计信息失真现象屡有发生。强化财务会计核算是银行内部控制的重要职能之一,但是部分商业银行的操作人员不遵守会计核算审慎性、真实性原则,任意调账、调表,使会计资料及报表很难真实地反映银行经营的实际情况。如银行利息表内、表外科目的设立和运用,商业银行部分会计科目的归属和使用等等,不同程度地存在着一些不真实或不准确的情况。
1.3某些内控制度不够完善,执行中难以适从。主要表现:一是随着业务操作手段、业务操作流程的日益改进、科技含量的进一步提高和业务品种的不断创新,个别内控制度未得到及时修订,从而出现制度空档;二是现有工作条件难以满足、具有超前性的内控制度;三是存在控制太繁琐或无控制必要的制度;四是存在员工权利与职责不相匹配的制度,或权利缺少控制与制衡,或权利有限难以顺利实现工作目标等。
1.4检查监督人员的职责与权利不相匹配。检查监督人员履行职责是以事实为依据、以制度为准绳、以规范操作纠偏堵漏为目的。检查监督人员的业务素质、知识结构与其职责存在差距。表现在:一是年龄老化,知识得不到及时更新,二是专业素质参差不齐,三是复合型人才偏少等,在进行综合性检查时往往难以组成合适的检查组,在一定程度上影响了检查质量,对某些执行制度有偏差的业务不能及时予以纠正。部分监督检查缺乏力度,检查仅仅是走过场。同时检查监督手段滞后,工作效率不高。
1.5业务操作流程、规章制度方面的培训偏少,有时出现培训滞后的现象。近几年来,业务操作流程频繁升级、新的业务品种不断推出,这就要求员工及时掌握新的制度、流程,了解新流程、新产品的特点和风险点。从近几年的检查情况看,系统升级后的一段时间内出现问题较多,一段时间后出现问题较少;传统业务出现的问题少,而新兴业务出现的问题多。这就充分说明对员工的业务培训一定程度上存在不及时、不到位的现象。
2.发挥内控合规职能保障商业银行稳健经营的对策
对策之一:明确职责狠抓落实,全力推进内控体系建设。一要以精细化管理为前提,以价值创造为核心,以风险控制为主线,以严密的评价体系为保障,以强大的信息沟通渠道为依托的内部控制体系的高效运行,制定并实施相应的内控措施,切实提升商业银行风险防控能力。二要增强各级有决策审批权限的委员会、领导的履职能力,充分发挥集体决策、权力制衡、风险防控作用,加强每个营业机构、每名员工积极参与内控执行力活动,培育内控人人有责的理念,使商业银行形成各级行长、各级委员会、各机构业务部门负责人、全体员工分工负责、全方位覆盖、全过程控制的“大内控”工作格局。
对策之二:培养合规文化的核心价值观,夯实合规文化建设基础。一要弘扬“内控建设、人人有责”、“合规管理、创造价值”的内控理念,倡导“规范操作,制度至上”、“严格业务流程,杜绝违规违章”的行为准则,树立“珍惜职业生涯,享受美好生活”“违章是风险之源”的观念,增强“让被监督者乐于接受监督”的意识,形成决策依程序、管理靠制度、业务讲流程的良好内控氛围。二要开展合规政策宣传工作,培育合规文化,倡导和培育良好的合规文化,明确各级管理者是本级合规文化的倡导者和管理者,培育员工树立积极向上的理想信念和职业操守,形成人人自觉合规工作,以合规为荣的局面,达到一种遵章守纪的操作理念,营造一种从严治行的管理氛围,树立一种科学的发展观,最终形成一种健康向上的合规文化。
对策之三:完善财务会计制度并规范其操作。一要保证各项会计数据的真实性和帐务处理的准确性,通过完整的帐务体系发现问题,监控各项业务操作,构建完善的财务分析和预测机制,建立定期实物盘点、各种帐证、帐表、账款、帐帐的对帐制度,规范各项业务活动的事前、事中和事后监督制度。二要强化各级会计主管人员责任制,财会会计机构要有充分的独立性,会计主管同时对主管行长和上级会计主管负责,实行重要岗位离岗审计和岗位轮换制度,定期对重要岗位进行审计和轮换,以便发现问题隐患,及时解决,同时,财务信息管理系统的设计人员与操作人员及相关的业务管理人员应实行岗位分离、相互监督和制约,消除人为的随意性而导致的业务风险。
对策之四:建立健全灵敏有效的合规风险管理分析评价机制,确保合规风险管理目标的实现。一要强化规章制度建设,加强对新产品、新业务流程、新制度开展法律法规遵从性审核,充分发挥事前环节的合规管理作用,增强各级经营管理人员的合规意识,使商业银行更有效地规避合规风险,梳理规章制度和操作规程,制定具有较强操作性和执行力的合规手册,及时制定、修改、清理和完善各项规章制度和配套措施,认真履行合规性审查职能,在依法合规方面提出意见和建议。二要量化评估合规风险,设计合规风险评价指标,运用计量方法加强合规风险的评估,借助技术工具,通过收集或筛选可能预示潜在合规问题的数据来进行量化测算,提出评估意见,定期不定期地对合规事项进行监测分析和报告,包括合规风险状况的变化情况,概述所有已识别的违规问题或缺陷,采取的各项纠正措施,同时要加强合规管理信息化建设,在信息采集、信息共享、风险控制方面实现全面优化管理。
对策之五:强化教育与培训,以全面提高员工素质为支撑。一要正面典型教育与反面警示教育相结合。组织员工观看警示案例专题片、宣讲案例,加大业务培训的力度,对商业银行的新业务、新知识进行全方位、多层次的教育和培训,及时总结先进经验,树立正面典型,对自觉规避风险、挽回经济损失的典型事例大张旗鼓地给予宣传和表彰,使员工在执行制度中学有榜样、赶有目标。二要?业务培训与风险防范教育相结合。提高内控制度执行力,首先要提高员工(包括检查监督人员)的业务素质,而提高员工业务素质的最好方法就是定期对员工进行业务能力考试和考核。不仅让员工知道怎么做,还要向员工讲明白每一环节的风险点和每一控制的含义,将风险防范教育寓于其中,使员工不仅知其然,更知其所以然,增强员工的风险防范意识,促使员工自觉地按规定操作、规避操作风险。
对策之六:从精细化入手,强化商业银行业务的检查监督。一要根据商业银行经营管理的实际情况,分析各类风险的高低及发生的可能性,在分析的基础上,确定监控重点,加大对案件高发领域及屡查屡犯问题的监控力度。将控制关口前移,变传统的事后检查,向事前控制、事中检测、事后监督转变,将人力控制向科技手段控制转变,随着科技的进步,控制手段要随着业务的发展不断更新和变化,加大机器控制流程的覆盖面,达到对各项业务进行持续不断的连续监督检查,使控制活动贯穿于业务操作流程的全过程。二要加强对商业银行重要空白凭证、权限卡、金库与现金管理的重点关注,并严格财务及其他业务授权的合规性管理。重点分析风险发生的原因、特征以及解决问题的方法,完善对关键人员、重点岗位、重点环节、重点交易的制度约束,及时发现经营管理工作中的风险隐患,提出改进经营活动、加强管理的建议。
内控合规管理工作的建议范文第4篇
1. 巴塞尔银行监管委员会(以下简称为“委员会”)一直致力于解决银行监管问题和提升银行的管理水平,为此,委员会现发表这份咨询性文件,探讨有关银行合规部门(compliance function )的相关问题。银行合规部门的作用主要是辅助管理银行的合规风险(Compliance Risks)。这里所称的合规风险是指:因违反法律或监管要求而受到制裁的风险、遭受金融损失的风险以及因银行未能遵守所有适用法律、法规、行为准则以及相关惯例标准(统称为“法律”、“规则”和“标准”)而给银行信誉带来的损失等方面的风险。有时,合规风险也指诚信风险(integrity risk),因为银行的商誉有时与其一贯遵循的诚实廉正原则和公平交易原则密切相关。为了满足监管当局的监管要求,银行必须采取有效的合规政策和流程规定,以确保在违反法律、规则和标准的情形发生时,银行管理人员能够采取适当措施予以纠正。
2. 遵守法律、规则和标准有助于维护银行的商誉,符合银行客户、市场及整个社会对银行的要求。尽管遵守法律、规则及标准一直以来都是非常重要的,在过去几年里,合规风险的管理还是变得越来越正式化,并已经成为一项独特的风险管理准则(risk management discipline)。
3. 作为银行的基本指引,本文件从银行监管部门的角度,对合规部门在银行组织体系中的地位和作用进行说明。本文件规定的原则具有普遍适用性,但是它们必须在特定的法律和规章框架内适用。关于银行合规部门的组织结构及其职责范围,各银行之间存在重大差异。有些银行的合规部门采取集中管理模式,所有合规部门的工作人员都集中在一个合规部门工作;但有些银行的合规部门则采取分散管理模式,其工作人员分布在不同的业务部门。许多银行已经设立了一位负责整体合规的负责人(a group compliance officer)。而在一些银行中,法律部门可能单独承担咨询职责。在不同的法律制度下,合规部门的组织架构和职责范围同样存在许多差别。在有些法律体系中,合规部门须承担一些法律规定的职责和义务;而在其他一些国家的法律体系中,合规部门则无类似责任和义务。
4. 委员会认识到,就某个具体的国家而言,银行采用何种模式设立其合规部门须取决于多种因素,如银行的规模、经营的混合程度、银行业务的性质及其地理分布等。但是,不管银行的合规部门如何组织,银行均应遵循下列两大原则:(1)银行合规部门的职责应当明确界定;(2)银行合规部门及其人员应当独立于银行的经营活动。
5. 如果银行全行上下都严格遵守高标准的道德行为准则,那么该银行合规风险的管理是最为有效的。董事会和高级管理层应采取一系列措施,推进银行的组织文化建设,促使所有员工(包括高层管理人员)在开展银行业务时都能遵守法律、规则和标准。银行在组建内部的合规部门时,应遵循本文件所规定的原则,而合规部门则应支持管理部门推进以职业操守为基础,建设蓬勃向上富有活力的合规文化,从而促进形成高效的公司治理环境。
6. 在理解本文件时,应联系委员会制订的其他相关文件。这些文件主要包括:
《银行组织中内控体系框架规定》(1988年9月制订)
《提升银行组织中的公司治理结构》(1999年9月制订)
《银行内部审计及监管部门与审计人员关系》(2001年8月制订)
《银行客户尽职调查》(2001年10月制订)
《健全银行经营风险的管理及监督机制》(2003年2月制订)
7. 在说明有关原则时,本文件假设银行的公司治理结构主要由董事会和高级管理人员组成。关于董事会和高级管理人员的职责,不同的国家、不同的经济组织都有不同的立法和监管结构框架。因此,在适用本文件所规定的原则时,应考虑具体国家及经济组织中不同的公司治理结构。
8. 本文件首先开门见山地提出“合规部门”(compliance function)的定义,之后提出银行董事会及高级管理人员在合规方面应履行的职责。接下来的章节标题为“合规部门的几项原则”(compliance function principles),该部分主要说明银行内部合规部门的组织、结构、职责及其他相关内容。
9. 本文件所规定的原则适用于银行、银行集团以及子公司主要为银行的控股公司等。
合规部门的定义
10. 银行合规部门可作如下定义:
“银行合规部门是识别、评估、通报、监控并报告银行合规风险的一个独立的职能部门。银行合规风险(compliance risks)则是指因违反法律或监管要求而受到制裁的风险、遭受金融损失的风险以及因银行未能遵守所有适用法律、法规、行为准则以及相关惯例标准(统称为”法律“、”规则“和”标准“)而给银行信誉带来的损失等方面的风险。”
11. 本文件所称之法律、规则及标准主要是指与银行经营业务相关的法律、规则及标准,主要包括反洗钱、防止恐怖分子进行融资活动的相关规定,以及涉及银行经营的准则(conduct of business)(包括避免或减少利益冲突等问题),隐私及数据保护以及消费者信信贷(如果银行从事消费者信贷业务)等方面的规定;此外,依据监管部门或银行自身采取的不同监督管理模式,上述法律、规则及标准还可延伸至银行经营范围之外的法律、规则及标准,如劳动就业方面的法律法规及税法等。
12. 本文件所称之法律、规则及标准可能有不同的渊源,包括监管部门制定的法律、规则及标准,市场公约(market convention),行业协会制定的行业守则(codes of practice)以及适用于银行内部员工的内部行为守则(internal codes of conduct)。它们不仅包括那些具有法律约束力的文件,还可能包括更广义上的诚实廉正和公平交易的行为准则(norms of integrity and fair trading)。
董事会在银行合规管理方面的职责
原则1:银行董事会有责任指导(oversee)银行合规风险的管理工作。董事会应当审核银行有关合规方面的制度,如章程或者其他规定设立银行合规部门的正式文件。董事会应当每年至少一次对银行合规方面的制度及其实施情况进行审核,从而对银行有效管理合规风险的程度进行评估。
13. 银行的董事会只有确定目标,在银行组织中不断倡导并提升诚信与正直这种价值观念(values of honesty and integrity),银行合规方面的规章制度才有可能有效实施。遵守有关法律、规则及标准应是实现上述目标的一个重要途径。董事会有责任制定行之有效的规章制度,控制银行的合规风险。董事会还应监控有关规章制度的实施情况,包括合规方面的问题是否能得到及时有效的解决等。
高级管理人员在银行合规管理方面的职责
原则2:银行高级管理人员应负责建立合规方面的规章制度,并确保这些规章制度得以贯彻实施,并将有关实施情况向董事会报告。高级管理人员还应负责对有关合规方面的规章制度进行可行性评估。
14. 银行应当制定有关合规风险管理的成文的规章制度,以便对银行面临的主要合规风险问题进行识别,并就银行如何控制这些风险进行说明。这些规章制度应当包括所有员工(包括高级管理人员)都应遵循的基本准则;根据情况需要,还应根据上述基本原则为员工制订更为详尽的实施细则。银行应当对适用所有员工的一般标准与只适用特定员工群体的规则进行区别,这样才有助于提高有关规则的明确度和透明度。
15. 高级管理人员在确保合规方面的规章制度得以贯彻落实的同时,还有责任保证在发现违反相关规章制度的行为时,能够采取适当的补救措施或进行纪律处罚。
16. 高级管理人员应当:
每年至少对合规方面的规章制度及其实施情况进行一次评估,确保有关规章制度一直具有可行性。
每年至少向董事会或董事委员会报告一次有关合规方面的规章制度相关的事项及其实施情况,包括对有关规章制度的必要修改提出建议等;上述报告应当有助于董事会成员就银行是否有效管理其合规风险问题作出全面正确的判断。
在发生任何重大违反法律、规则及标准的行为时,及时向董事会或董事委员会报告。
原则3:银行高级管理人员应负责在银行内部设立高效的常设性的合规部门,并应作为银行合规管理工作的一项制度予以明确。
17. 高级管理人员应当采取必要措施,为合规部门提供足够的资源,保证银行能够依靠常设性的、高效的合规部门(进行相关决策)。
合规部门应遵循的原则
地位
原则4:银行内设的合规部门应当在银行内部享有正式地位。为此,银行应在经其董事会批准的性文件(章程)或其他正式文件中对合规部门的地位、职权及独立性进行明确规定。
18. 银行性文件(章程)及其他正式文件应解决下列问题:
制定相关措施,保证合规部门独立于银行经营业务;
合规部门的职责;
合规部门与银行内部其他部门或组织的关系问题;
合规部门为履行其职责而获得有关必要信息资料的权利;
合规部门对可能违反合规方面的规章制度的行为进行调查的权利,以及(如合适)指定外聘律师实施上述调查的权利;
合规部门承担向高级管理人员及董事会作正式报告的义务;以及
直接进入董事会或董事委员会的权利。
19. 涉及合规管理方面的(章程)或其他正式文件应当传达给银行所有员工。
独立性
原则5:银行合规部门应当独立于银行经营业务。
20. 合规部门应有能力主动对所有可能存在合规风险的银行部门履行合规风险管理的职责。合规部门还应有权随时就其调查发现的任何违规或可能的违法行为向高级管理人员及董事会(或董事委员会)报告,银行应确保合规部门不因实施上述行为而遭受管理人员或其他任何工作人员的打击报复或冷遇。
21. 合规部门应有权主动与任何员工进行交谈和沟通,并有权为履行职责之需获取任何记录或档案材料。
22. 为确保合规部门的独立性,银行应为合规部门提供足够的资源以保证其高效履行职责。合规部门的预算及合规部门工作人员的补偿机制应与合规部门的宗旨保持一致,而不应依赖于业务部门的经营状况。
23. 银行内部的合规部门可采取集中管理的模式,也可采取分散管理的模式。无论采取何种模式,合规部门都应设一位负责人(head of compliance)具体负责合规部门日常事务的管理工作,合规部门的其他工作人员应向该负责人报告工作。 在合规部门采取分散式管理的情况下,如果要求合规部门工作人员向具体业务部门的管理人员报告工作,而不是向合规部门的负责人报告工作,那么,合规部门工作人员的独立性就有可能被削弱。
24. 合规部门的负责人可以是高级管理人员之一,也可以不是。如果合规部门的负责人为高级管理人员,那么他/她不应直接负责银行业务部门。如果合规部门的负责人不是高级管理人员,那么,他/她应享有直接向不负责具体业务部门的高级管理人员报告的渠道,如情况需要,他/她还应有权绕开通常的通报渠道,直接向董事会或董事委员会报告工作。
25. 在一些小银行,合规部门的工作人员在与其合规管理职责不发生冲突的前提下(例如,合规部门的工作人员不应承担创利(revenue-generating)工作,如交易、市场营销或客户咨询等),可以同时从事非合规部门的工作。
职责
原则6:银行合规部门的作用应作如下界定:识别、评估及监控银行所面临的合规风险,并向高级管理人员及董事会建议或报告上述风险。
26. 合规部门的责任应包括以下各项(或者是下面所列的大多数)。如有关职责未规定由合规部门履行,则应规定由其他独立的部门履行。
合规部门主动识别和评估与银行经营活动相关的合规风险,这些经营活动包括:与新产品和新业务开发相关的银行业务,提议建立新业务或建立新的客户关系或者导致这种关系的性质发生重大变更等活动;
就适用法律、规则及标准等向管理人员提出建议,包括及时掌握有关法律、规则及标准的最新变动情况,并就上述变动情况向管理人员提出相关建议;
为正确实施有关法律、规则及标准,制定相关规章制度、流程(procedures)及有关文件(如合规手册、内部行为守则及行为指引等),并为员工制定书面指引;
在发现银行规章制度及流程存在缺陷时,立即对有关内部流程和方针的可行性(appropriateness)进行评估;在必要时,还应对上述流程和方针提出修改建议或方案;
监督银行遵守有关规章制度的情况,为此,合规部门可实施定期和全面的合规风险的评估及测试,定期向高级管理人员(必要时,向董事会或董事委员会)报告;报告应提及以下几个方面的内容:报告期间开展的关于合规风险的评估和检查工作,已发现的违法行为和/或存在的不足,以及所采取的补救措施;报告还应包括向合规部门人员及其他银行工作人员提供的培训方面的信息;
履行特定的法定职责(例如,履行反洗钱职责等);
就遵守法律、规则及标准等合规要求对员工进行教育,并且在银行员工提出合规方面的问题时(进行解答),充当联络站(contact point)的角色;以及
与银行外部的相关组织保持联系,这些组织包括监管当局、标准制定组织以及外部律师等。
27. 上文已述,并非所有上述列举的职责均须由合规部门履行。例如,有些银行的法律部门(legal function)和合规部门(compliance function)就是两个不同的部门;法律部门负责向管理人员提供法律、规则及标准方面的建议咨询以及为工作人员制订相关工作指引等工作,而合规部门则负责监控有关制度和流程的合规性,并就有关合规问题向管理人员报告。如果不同部门之间有明确的职能划分,那么,每个部门的职能划分必须清晰。如果合适的话,每个部门之间应当建立正式的合作机制和相关信息互通机制。如果合规部门以外的其他部门(如,内部审计部门或自我评估管理控制“management control self assessment”)进行相关检查(testing),并发现存在违规行为,那么,该测试部门应当及时将上述测试结果向合规部门的负责人报告。
28. 合规部门应根据合规管理方案(compliance programme)履行其职责,该方案可规定合规部门的行动方案和计划,如具体制度和流程的实施和复核、合规检查以及就合规问题对银行工作人员进行教育等。
合规部门的工作人员
原则7:合规部门的负责人根据本文件规定的原则负责合规部门的日常管理工作。
29. 该原则要求合规部门的负责人对合规部门工作人员的工作进行适当的监督。
30. 合规部门的负责人调离岗位时,银行应将该情况报告银行监管部门。
原则8:为确保高效地履行合规管理工作,负责合规管理职责的工作人员应具备必要的资质、工作经验、专业素质和个人素质。
31. 工作人员具有较强(appropriate)的专业素质,如能全面理解法律、规则及标准及其对银行经营的影响。为保证合规部门工作人员的专业技能水平,应当对他们进行定期和系统的教育和培训,使工作人员能及时了解掌握法律、规则及标准等方面的最新发展。
32. 工作人员具有较强的个人素质(此要求与其他银行员工是一样的),主要包括:综合素质、思考能力、中立和独立判断的能力、良好的沟通能力、较强的判断力和灵活性,同时在处理合规问题上还应具有勇于挑战组织内其他工作人员的能力。
跨境问题
原则9:如果银行在其他国家或地区开展业务,那么,银行应当通过构建合理的合规部门,确保在银行合规管理的统一框架内圆满解决银行业务经营所在地的合规风险问题。
33. 银行可能通过其当地分行或附属机构,或在其没有实体存在(physical presence)的地区开展全球性的业务。由于各国或地区的法律及监管要求千差万别,跨国银行在建立集团内普遍适用的合规管理组织框架的同时,也应重视协调和解决在特定区域内的合规风险问题。
34. 银行合规部门的组织结构及其职责应与当地的法律及监管要求保持一致。
与银行内部审计的关系
原则10:合规部门的权限和范围应根据内部审计部门的审核而定。
35. 合规风险应被列入内部审计部门的风险评估范围,而审计方案应与风险级别相当。内部审计部门考核合规部门工作时,应检查(test)合规部门为保证银行遵守相关法律、规则及标准而在银行内部实施的控制合规风险的措施。
36. 本原则表明,审计部门只有与合规部门保持独立,才能保证对合规部门的工作进行独立的考核。
与外聘人员的关系
原则11:有些特定的工作可能需要聘请外聘人员办理,合规部门的负责人(该负责人应当为银行职员)应对此外聘行为进行适当的监控。
内控合规管理工作的建议范文第5篇
一要把以“客户为中心”的理念贯穿于我们工作的始终。“基础牢固,稳如泰山;基础不牢,地动山摇”。风险的防范与控制,说到底是人的因素起着重要作用,客户创造市场,客户创造价值,客户是我们的效益之源,是我们的衣食父母,有了客户,我们的业务才有发展,员工的价值才能够体现。如果每个岗位的员工都能严格要求、严格规范、严格标准、严格执行规章制度,业务操作中的风险就会得到有效的遏制。要在全体员工中大力倡导、深入宣传价值最大化、资本约束、全面风险管理、风险与收益平衡、内控优先等先进理念,让全体员工了解资产质量与经济增加值、与薪酬分配的关系,自觉转变观念,将自身工作作为第一道防线纳入到风险控制体系中,引导和带领全行员工形成规范操作,防范风险的良好氛围,真正把为前台、为基层、为客户服务当作提升风险与回报管理水平的出发点和归宿,就能有效提高我行风险管理和内控政策、法规、制度的执行和落实,全面加强风险管理和内控建设具有不可替代的重要作用。
二要更新服务意识。现实看,银行的业务基础是市场,没有市场就没有银行,没有优质市场和优质客户就没有银行的业务发展,加强市场营销是目前提高我行核心竞争能力的当务之急。从我行看,我们的经营服务意识与以前相比已有了很大程度的转变,但这些转变还仅仅停留在表面层次上,缺乏更深程度的挖掘。在当前市场竞争越来越激烈的情况下,要突破原有的局限,创造个性化服务,以全面优质的服务吸引客户才能在竞争中立于不败之地。这就要求我们必须树立强烈的市场意识,善于研究现实的和潜在的市场,善于拓展优质市场,善于竞争优质客户,通过有效的市场营销促进业务的快速发展。特别是要准客户定位,牢固树立为优质客户服务的意识,因为20%的优质客户将会给我们带来80%的经营利润。
三要着实提高风险管理水平与技能。一方面,从我行自身来看,在银行成本上受到诸多限制,包括财务成本、税务成本、拨备成本、资本金成本、风险损失成本等。在计划经济体制下,我们很长一段时间忽略了成本的制约因素,盲目地增人增机构增规模,不计成本造成了相当程度的浪费。此外,我们的内部管理在成本约束上也存在漏洞,缺乏控制节约成本的有效措施,许多领导到员工没有很好地树立节约成本的意识。实践证明,无约束下的经营,就会增加经营风险。因此,我们要改变以往盲目地追求规模和数量的增长,重规模、轻效益,重发展、轻风险,重投入、轻产出,重短期效益、轻长期效益的局面,要把各种成本制约的理解贯彻到各级行管理层,要学会在有成本制约条件下的健康发展,每项业务都要讲成本管理,每项经营活动都要讲成本制约,认真测算评估投入与产出的数额比例,追求效益的最大化。另一方面,国外先进银行强调的“风险管理意识和能力是以客户为重要支撑”的理念是我们缺少的。作为一名员工,特别是作为一名领导,只有风险服务意识还不够,还要有风险服务技能。要采取有效措施,积极培育员工的风险意识,让员工明确那些该做那些不该做,确保在工作中严格执行操作流程、岗位制度、合规守法工作标准及纪律惩处规则,把合规管理、合规经营、合规操作落到实处,使警惕风险、正视风险、管理风险、防范风险的意识深入每个员工的心中,进一步加强内部控制,增强自我约束和自我发展能力,为全面提升银行的核心竞争力提供有效保障。
四要树立全面协调均衡的经营理念。目前,我行利润的主要来源还是依赖客户业务,但仅仅依靠这一传统业务远远无法达到市场的需求。随着资本一级市场的发展,企业的融资渠道逐渐拓宽,一些优质客户已不再需要银行的融资渠道。利率市场化的推进、客户需求的日益多样化,都迫使我们去思考今后的发展问题,真正的优质银行应该在为客户提供资金融通服务的同时,也能够向客户提供资金清算、财务顾问、财富管理服务等中间业务。现在,中间业务的内涵在迅速扩充,提升客户服务价值和对客户价值的最大挖掘,要求银行实现资产、负债与中间业务的均衡发展。同时,由于中间业务的发展不受资本金约束,可以弥补资产负债业务发展受到的限制,因此协调资产、负债和中间业务的发展,既是市场经济法则对银行的要求,也是银行经营规则的内在要求。为上经,我行在发展业务的同时,要全力推进以员工为主体和核心、面向业务、面向管理、面向操作的合规文化建设,通过强化教育培训、组织风险点的成因分析,搭建防控体系、优化流程、规范管理,保证业务发展质量等系列活动的深入开展,让合规人人有责、合规创造价值的观念已深入人心。让依法决策、合规经营与管理,按章办事、合规操作在全行上下蔚然成风。切实整治有章不循、违规操作、屡查屡犯的顽症,及时消除基础管理工作存在的隐患得到,增强防范风险的能力,为业务持续健康地发展创造了良好条件。
五要创建科学的合规管理机制。纵观国内许多金融案件的形成,大多是制约机制失控和监管不严的结果。如何确保一个“规”在建立好后能够被大家无条件地遵守,并且保证这个“规”自身还能够在实践中被及时加以修改和完善,必须有一套完整的机制作保证。要切实建立合规风险管理机制,就必须从涉及银行整体的企业文化、组织机构、流程管理、岗责体系、绩效管理等方面入手,梳理、整合和优化银行的规章制度,建立专业化的合规风险管理队伍,确立清晰的报告路线和问责制、举报制等,真正在银行日常经营管理活动中体现合规风险管理在风险管理乃至整个银行管理工作中的核心地位和作用。
六要将合规文化理念渗透到业务条线和基层岗位员工之中去。要顺利实现银行经营目标就必须在合规价值观念和合规文化的培育上有统一的合规要求和员工行为规范。加强合规文化的教育要求从上至下树立合规意识,“合规从高层做起”,要以高层管理人员的合规理念感染和引导员工的合规行为。针对各层面、各岗位员工的违规行为如何判定及如何处罚,做出详细规定,目的是让员工明白“能做”与“不能做”的界限,明确违规操作对银行、对个人的极大危害性,并在实际工作中做到“不闯红灯”。员工必须熟练掌握合规知识,并能应知、能会、善用。要把合规管理要求结合到各业务条线的操作流程中,实现流程控制、外部检查、员工自律三者有机的结合,尽量减少各类不应有的合规风险和操作风险。要让合规文化的理念真正在全行深入人心,落实到我们每位员工的具体行动中,从点滴做起,从基本业务做起,在思想上重视,在行动上支持,在工作中严格要求自己,全员参与,提高整体合规素质,并长期不懈的坚持下去。
内控合规管理工作的建议范文第6篇
1.1电信企业的特点
近10年来,电信企业经历了高速的发展,网络规模庞大、用户数量众多、业务发展多元化,使得电信企业具有了如下的主要运营特点:(1)电信企业业务种类繁多,流程复杂程度高。当前,随着人们需求的多元化和个性化,单一的话音业务已不能满足用户通信的需求,电信企业根据不同细分市场的用户需求提供多种多样的增值电信业务,业务流程复杂性增大。同时,电信企业的部分业务涉及多方参与,除了最终用户,还有众多第三方公司,甚至还有当地政府部门。在监管方面,电信企业也必须依照国家法律对第三方提供内容监管,防止其提供违法信息。(2)电信业务涉及大量的电子业务数据交互,数据涉及用户的个人敏感信息。电信企业内部运作主要依赖于各种IT系统,大部分业务数据和内部管理运作轨迹数据都是以电子数据的形式存在于各系统的数据库中。海量的业务数据中,包含了用户的个人敏感信息,诸如用户个人身份信息、订购信息、交易信息等;内部管理数据中,包含了企业发展战略、重要规章制度、管理信息等机密内容。不同的业务数据之间要进行交互,如果人为通过系统后台改变用户的账户或交易信息,将会对业务结算或者财务带来风险。(3)业务运营和企业内部运作对支撑系统依赖程度高,平台种类繁多。电信企业所提供的服务都需要后台支撑系统的支持,如业务运营支撑系统就承载着计费、结算、营业账务和客户服务等多项核心业务,这些业务都要求有一个高度稳定、运行顺畅、安全可靠的系统。同时,企业内部工作主要依赖管理信息系统,如现在重要的公文审批都会通过OA系统进行签批,业务系统账号申请与维护也是在内部管理信息系统中完成。电信行业的这些特点,不难得出信息化运营和管理在电信行业发展中的重要地位,一旦信息安全出现问题,必将带来十分严重的后果。因此,从电信行业的运营特点出发,构建全面的信息安全合规管理体系,是电信企业实现业务快速、稳定、健康发展的必由之路。
1.2信息安全管理面临的问题
近年来,各大电信企业针对信息安全建设进行了大量的工作,但是依然面临着很多问题,主要表现在:(1)信息安全管控要求多。存在多个部门、维护信息安全制度的情况,缺乏平台化的制度管理机制,具体的执行人员很难在第一时间了解最新的安全制度要求。此外,针对同样的安全管控内容,不同的信息安全制度常常存在标准不统一的情况,令执行人员无所适从。(2)部分信息安全制度中的规定缺乏实质性管控要求,无法明确有效地转化到执行层面予以落实。同时,往往信息安全管理要求没有落实到具体的部门,更没有落实到具体的岗位,面对大量的安全管控要求,执行起来非常困难。(3)信息安全检查缺乏统一的标准,并且主要采用人工检查,每次检查往往需要进行人工访谈、资料查阅、现场测试等多个环节,耗费大量的时间、人力和物力。检查内容、检查方法、检查工具、检查人员的能力等都成为影响检查效果的因素。(4)针对企业各个层面的信息安全管理情况缺乏统一的评价标准,不能进行量化考核;没有量化数据,无法实现对部门和系统合规水平综合评价的数据支撑。(5)没有统一的信息安全合规管理平台,就无法为信息安全合规管理的体系落地、执行提示、监督检查和水平评价提供统一、全面的系统管理支撑基础。
1.3信息安全管理的解决之道
针对上述信息安全管理面临的问题,本文借鉴国际上的GRC管理理念和SOX内控矩阵的思想,按照PDCA管理模式来构建电信企业的信息安全合规管理体系,从而解决信息安全体系化管理难、落实执行难、监督检查难、量化管理难的问题。通过建立信息安全合规管理系统,形成信息安全合规整体视图,实现安全要求、任务执行、监督检查、整改跟踪、量化评价的管理闭环,支撑信息安全全生命周期的管理,最终达到信息安全水平的持续螺旋式提升。
2信息安全合规管理体系
信息安全合规管理应借鉴国际先进管理理念,明确管理体系的核心要素,从信息安全组织与人员的构建、信息安全矩阵的知识支撑、信息安全合规管理平台建设等方面入手,来构建电信企业的信息安全合规管理体系。
2.1GRC理念
GRC理念是国际先进的现代化企业管理理念。作为企业上层建筑,GRC包含了公司治理、战略绩效管理、风险管理、审计、法律、合规遵从、IT治理、道德和企业社会责任、质量管理、人力资本、企业文化、财务等广泛的领域。GRC理念应用的价值在于,以企业管控、风险和法规遵从为对象,为决策层和管理层提供综合信息和流程控制支持,帮助企业安全、高效地实现预期目标。
2.2管理体系的核心机制
信息安全合规管理体系以制度策略、管控执行、安全检查、整改跟踪为主线,实现信息安全合规的闭环管理,也即管理体系的核心机制:(1)制度策略:信息安全管理体系的建设阶段,针对信息安全制度进行统筹化、体系化管理,掌握制度体系建设全貌,有效警示制度的缺失和盲点。(2)管控执行:信息安全管理体系的实施阶段,将信息安全管控要求明确落实到企业的各个责任部门、岗位和人员,具体执行人员在落实管控要求时,都能得到知识的指导和定期的提醒。(3)安全检查:信息安全管理体系的检查阶段,推动执行标准化、统一化、平台化的安全检查,及时发现安全管控薄弱环节,为潜在风险提供有效的预警和整改过程的跟踪。(4)整改跟踪:信息安全管理体系的评价阶段,收集并分析安全检查的结果数据,跟踪整改效果,评价安全管控水平,通过统计视图展现安全合规整体视图,获取可视化的安全决策信息,支撑今后的信息安全建设方向。制度策略和管控执行,对应的即是GRC中的G,前者作为信息安全治理的依据和执行指导,后者正是治理要求在具体执行层面的事实与落实;安全检查,则对应着GRC中的R,检查信息安全治理要求的落实情况和风险规避的水平;合规评价,对应着GRC中的C,评价信息安全管控措施的内外部合规程度,指导未来的改进方向。
2.3管理体系的实现要素
企业任何业务的有效运行,都离不开人、流程和技术3个层面的有机组合。因而,成熟的电信行业信息安全合规管理体系,人、流程和技术也构成了其实现的要素。针对信息安全合规管理,具体来说,“人”这一要素构成了企业的信息安全组织,“技术”这一要素就是指信息安全矩阵,即支撑信息安全管理执行落实、安全检查以及合规评价的知识基础,“流程”这一要素指的是信息安全合规管理平台,将制度管理、控制落实、安全检查、合规评价以及整改等信息安全管理流程固化到平台中,提供流程化、平台化的高效管理。
2.3.1信息安全组织
电信企业都是大型企业,包含有集团总部和各个省市公司,因而应该建立自上而下、分层分级、涵盖各IT相关部门的信息安全组织。信息安全组织由安全决策层、安全管理层和安全执行层3个层面的人员组成。安全决策层负责制定公司的信息安全目标、掌握整体的信息安全管控与风险水平,部署信息安全改进建设方向。安全管理层负责制定并审查信息安全制度规定,建立信息安全的管控要求、执行标准和检查依据,监督安全问题的整改落实情况。安全执行层主要是按照要求,落实好公司的各项管控要求,保证信息安全工作落实到岗到人,对于存在问题的地方做好彻底的整改工作。
2.3.2信息安全矩阵
信息安全合规管理的核心是建立信息安全矩阵。需要对内外部信息安全合规要求进行体系化梳理,建立信息安全矩阵框架,包括控制矩阵、检查矩阵、对应矩阵以及资产矩阵。控制矩阵,主要提供信息安全的各项管控要求,指导执行人员予以落实,其关键属性主要包含有控制点描述、控制领域、控制类型、控制频率。检查矩阵,主要提供对控制矩阵中的各个控制点执行情况的好坏,提供检查的标准和具体的检查步骤,用以指导检查人员进行安全检查工作,其关键属性主要包含有检查点描述、检查方式、检查步骤、检查点固有严重度、执行建议、控制点编号、资产类型。对应矩阵,主要提供企业内部信息安全制度与信息安全控制矩阵的对应关系,便于相应的查询分析的需要;提供外部信息安全监管规范要求与信息安全控制矩阵的对应关系,便于分析当前的控制矩阵是否能够充分满足外部监管机构的监管要求,其关键属性主要包含有内部制度/外部规范控制要求编号和控制点编号。资产矩阵,主要提供对信息安全资产进行定义、分类、管理和查询等;为控制点执行管理、信息安全检查、信息安全合规与风险评价等,提供统一的资产数据接口,其关键属性主要包含有资产编号、所属部门、资产责任人、资产类型、资产重要性等级。如图1所示,通过信息安全各个矩阵的映射关联关系,可以进行多维度的查询分析。
2.3.3信息安全合规管理平台
在构建了企业级的全面层次化的信息安全组织,建立了信息安全矩阵后,为了能够有效地进行信息安全合规闭环管理,就需要搭建一个信息安全合规管理平台,支撑各个信息安全管理流程的平台化管理和实施。信息安全合规管理平台,从业务角度出发,需要实现以下功能需求:(1)企业各类信息安全管理工作要求能够成体系、易维护。(2)企业任何人员可以通过该平台了解企业针对自己所属组织乃至自身所提出的信息安全工作要求。(3)企业各级部门通过该平台明确自己的安全工作目标,各级信息安全管理部门可以通过该平台对企业各组织、系统进行安全管理工作检查、评价和整改指导。(4)企业各级信息安全管理部门可以通过该平台进行安全风险分析和量化评价。
3信息安全合规管理平台的建设思路
为了有效地解决电信行业当前信息安全合规所面临的问题和挑战,未来的合规平台将通过制度管理、信息安全矩阵管理、执行管理、合规检查、合规风险评价等功能模块,来实现并支撑信息安全合规的全生命周期流程管理。基于上述各功能模块的平台整体业务功能框架视图如图2所示。其中,平台的核心功能主要包含如下。(1)信息安全矩阵管理:该功能模块主要提供信息安全矩阵的导入导出与维护管理、关联查询、版本管理和分级管理等功能,支撑对企业各级公司均适用的信息安全矩阵的统一和管理,作为整个企业的信息安全管控要求的统一标准。(2)执行管理:该功能模块主要是提供执行任务分配、执行人变更管理、控制执行提醒和控制执行查询等功能,保证将控制点和检查点的具体执行要求落实到具体的控制点执行人员;针对那些周期性执行的控制点,通过平台向执行人员定期发送提醒,督促其按时完成控制点的执行要求。(3)合规检查:该功能模块主要是提供检查计划管理、人工检查管理和自动检查管理功能,用来完成信息安全检查计划的制定,对人工检查和自动检查进行过程管理,在线记录或者自动生成相应的安全检查结果。(4)合规风险评价:该功能模块主要是根据安全检查的结果,提供量化的合规评价、风险评价和综合评价功能。合规评价,主要是通过对检查点结果统计,得出满足检查要求的控制点的比例,主要反映控制点管控落实的工作量。风险评价,主要是针对那些不合规的控制点,根据其实际的执行情况,分析并得出该控制点的潜在风险高低和影响大小。综合评价,主要是基于对合规满足度的评价结果和不合规控制点的风险大小,综合给出合规管控工作的完成效果,便于进行横向比较。根据电信企业的特点和信息安全分级管理的需要,可考虑实施集团总部和各个省市公司的两级/多级平台基础架构的部署。其中,集团总部的合规一级平台将主要负责制度管理、信息安全矩阵管理,制定全集团的安全检查计划,分析和评价各省市公司的安全管控水平和风险。省市公司的合规二级平台,则侧重于分配落实好集团控制矩阵的各项控制点和要求的责任人,落实集团或者制定省内的安全检查计划,实施安全检查工作,分析和评价省内的安全管控水平和安全风险,根据检查结果完成后期安全整改工作。
4信息安全合规管理体系的应用与价值
通过搭建信息安全合规管理平台,实施信息安全合规管理体系,能够带来重要的价值。(1)提升信息安全管理的统一性和有效性。将分散的信息安全制度进行集中管理,形成以信息安全合规矩阵为核心,在全公司普遍适用,具有标杆意义的制度框架体系。通过制度体系在平台中的固化,可以随时随地进行信息安全制度的查询、分析和对标,制度体系的更新与维护也变得十分便捷。同时,建立整个企业的标准的信息安全合规管理体系框架,通过平台统一企业总部及子公司的信息安全管控落实与检查评价工作,有效避免实际执行工作中的差异性。(2)实现信息安全合规管控落实的常态化和流程化。通过信息安全合规管理平台固化了信息安全管控执行流程和信息安全矩阵,包括控制执行方式、控制执行频率、控制所属岗位、控制关联资产配置等信息,指导具体的IT人员执行落实安全管控的工作要求。通过执行工作的流程化,将安全管控要求落实到人,确保管理要求能有效执行,或结合安全控制要求的执行频率,定期自动向执行人员发送例行提醒,推动合规管控落实的常态化。(3)提升信息安全合规检查的效率。通过集成标准化检查工具,遵循规范的检查要求和步骤,大大降低了人工检查的成本,避免检查过程中标准不一致和质量参差不齐的问题。针对不同的专项检查需要,可以通过平台方便地定制有针对性的检查计划。针对新的内外部信息安全监管要求,能够及时便捷的更新补充相应的检查内容和要求到平台中,保证与外部监管要求的一致性和实效性。同时,针对检查中发现的问题,通过平台能够提供流程化的整改任务派发工单,发送给安全管理人员予以整改,并限定时间,与提醒机制联动,整改过程可以通过平台进行有效的跟踪,保证信息安全问题得到及时整改。(4)提升信息安全合规的量化评价水平和决策支撑能力。建立统一的信息安全量化的评价体系和标准,固化到平台中,实现安全合规水平的量化管理,结合平台的数据处理分析能力,提供信息安全合规管控情况和风险的多维度、可视化视图。执行层可以获得基于部门、省市公司、IT或者业务流程、资产、外部合规要求等不同维度的统计和分析信息,为信息安全合规工作的持续改进提供充足的信息。管理层可以通过统计的结果,直观地掌握企业整体安全管控水平全貌和当前面临的主要风险,为决策提供有力的数据支撑。
5展望
内控合规管理工作的建议范文第7篇
【关键词】农村信用社;内控制度;风险;重要课题
村信用社的内控制度是指在业务经营管理活动中,为防范风险,保障安全而建立的一种内部制约和控制的制度。加强内控制度建设,完善内部控制制度,规范经营行为,防范化解经营风险,提高经营管理水平已成为农村信用社经营管理工作的主要内容。
1.农村信用社内控制度存在的问题
农村信用社现行的内控制度或多或少都存在着一些问题,具体来说主要表现在以下几个方面。
1.1对内控认识有偏差,风险意识薄弱,思想认识不到位
由于近几年对内控重要性教育缺乏,一部分人对执行内控制度的重要性认识不足,对内控机制的指导思想不明确,对加强内控机制建设的重要性和重要作用认识肤浅,从根本上忽视了内控是一种业务运作过程中环环相扣、监督制约的动态机制。
1.2内控制度建设不到位
许多现行的信用社制度是从传统的计划经济时代演变而来的,有些制度虽经不断修订,但尚未从根本上进行改革。主要表现为:制度不完整。一些新业务和计算机业务的管理制度建设不到位,适应不了新业务的发展。制度本身不完善,与农村信用社的管理实际脱节,影响了内部管理水平的提高。制度不系统,影响了内控制度整体作用的发挥。
1.3内控制度执行监督不力,责任难落实,处罚力度不够
目前大部分农村信用社未执行事后监督制度,无监控设备,一人临柜的现象时有发生,对内控制度执行的监督流于形式。一些检查往往停留在对业务凭证的审查和账务核对上,并且存在着重录入轻审查、重凭证要素轻资金对转关系、重账表核对轻内部科目对应关系,不能进行全面的检查和对风险的评估,造成内控制度执行中的深层次问题难以发现。
1.4缺乏内控激励机制
目前大部分农村信用社的内部规章制度都比较健全,但其中管理监控性、强制性、约束性的多,缺乏激励性的内控机制,特别是对经营管理者。在出资者经营者关系中,要强化激励与约束,就必须对经营者实现责任的货币化和契约化,但现实中信用社主任及经营管理层的报酬非货币化和责任非契约化十分明显,出了事故、风险,可以按规定扣工资奖金和无限赔付,但做出业绩、做大规模却不能随之增加收入,没有引进股份制商业银行的业绩工资制,因而不能调动经营管理者的积极性和创造性。
1.5人员素质低,相互监督能力难保证
一是部分干部职工主人翁意识差,责任心不强,得过且过,怕得罪人,做好好先生。二是文化、业务素质低,不具备与自己工作相适应的工作能力;三是法制意识淡薄。
2.农信社加强内控建设的必要性
2.1加强内控建设是深化农信社改革的需要
近两年,全国各地农信社掀起一股改制农村银行机构的热潮,农信社改革的核心目标就是要实现农村信用社转换经营机制,增强服务功能,通过完善法人治理从而形成自主经营、自我约束、自担风险、自我发展的良性循环机制。加强内控制度建设,能够有效的提高农信社自我约束能力、防范风险能力,改善经营环境,为农信社的改革提供制度上的保障。
2.2加强内控建设是提升农信社核心竞争力的需要
目前,我国农村金融服务体系日益完善,村镇银行、贷款公司等新型农村金融机构的设立、邮储银行全面扩展贷款业务、农业银行回归农村经济建设等,这些都使得农信社面临的市场竞争压力不断增大,农信社底子薄、基础差、历史包袱沉重,要想在激烈的市场竞争中站稳脚跟,除了加大硬件投入、加强基础设施建设外,还必须通过强化内控制度管理,构建风险防范长效机制来扭转竞争劣势、提升核心竞争力。
2.3加强内控建设是金融形势发展的需要
纵观国内外银行业发展趋势,电子化、信息化、自动化是今后银行业金融机构发展的主要方向,自助银行、网上银行、电话银行、手机银行等新型金融服务将成为银行业金融机构的主要服务手段,而这些先进的业务无不需要健全的内控制度、强大的内控体系来保障正常运营,农信社今后要想拓展在新型服务领域的发展空间,就必须完善相应的内控管理制度,铸造铜墙铁壁来抢占市场份额。
3.对农村信用社内控制度建设的建议
3.1建立责任追究制度
对内控制度执行不力的不论是否造成损失都要追究当事人和有关领导的责任;对违规责任人,视其责任大小,结合制度规定,给予必要的经济、行政处罚,必要时要请求司法机关追究其法律责任。责任追究制度是制定和执行其他内控制度的关键和重点,只有建立责任追究制,对不作为行为和失职行为进行责任追究,责任到位,才能使其他规章制度得到有效贯彻落实,从而树立规章制度的严肃性、权威性,坚持用制度管人、用法规管人,做到有法必依、执法必严、违法必究。
3.2建立监管部门对内控制度执行情况的监督、检查制度
首先要建立内控制度的风险评价体系,监测各信用社的内控制度是否能有效地控制和避免风险的发生;其次是加强对重点岗位、重点环节、重要人员的监督:除传统业务中的存贷款、会计外,重点应放在计算机、新兴业务的检查监督,把重点环节与全过程控制结合起来。
加大内部检查力度,建立以市、县联社为内控主体的稽核检查机制,检查财务、信贷业务制度的执行情况,帮助农信社健全和完善各项规章制度,对贷款操作的合规性、手续的合法性、风险程序预测的准确性、资金运用的合理性、信贷资产的安全性、流动性、效益性、贷款担保手续的合法性、真实性等进行监督,并明确规定监督不到位的责任。
3.3完善现有的农村信用社会计制度
制定会计工作业务操作规程和奖惩办法,从制度上规范农村信用社的会计行为,切实防范和化解金融风险;严格坚持会计控制系统规范化制度。会计人员进行账务处理完全按会计制度的要求规范操作。坚持授权分责原则,即对会计账务处理实行分级授权,任何人不得超越权限或范围,坚决杜绝乱用会计科目、乱设账外账、虚增虚减利润和体现领导意志的违规行为;加强会计监督制约能力,规范会计核算程序,完善会计内控制制度。加强岗位培训,提高会计人员业务素质和法律意识,严格坚持会计控制系统规范化原则,会计人员进行账务处理要完全按会计制度的要求规范操作。坚持授权分责原则,即对会计账务处理实行分级授权,任何人不得超越权限或范围。
3.4强化内控制度的落实,谨防内控制度棚架
内部控制制度定得再好、再完善,如果没有严格地执行,那也只是一纸空文,所以内控制度贵在落实。首先要帮助信用社全体员工提高自身素质,加强对员工上岗前和在职员工的多层次多方位的培训,增强法纪观念,提高政治素质和业务素质,使他们懂得法律、精通业务、严格执行制度;其次要加强思想政治工作和廉政教育,引导全体员工敬业爱岗,自觉遵纪守法,经得起改革开放和反腐倡廉的考验;第三,应经常对全体员工进行案例教育,提高员工对违章、违规操作危害性的认识,从而自觉维护和执行规章制度;第四,对全体员工进行定期培训,使大家接受新知识、新技能,跟上时代的步伐;第五,做好重要岗位人员的交流和定期轮换,通过岗位交流和定期轮换,形成人员优化流动机制,达到暴露问题和自我控制的目的;第六,加强对决策和管理人员的控制,转变经营管理的观念,把以业务为中心转向以人为中心的管理模式,是加强内控制度落实的关键。
内部控制制度是金融企业健康发展的内部防线,加强和改善内部控制,对于推动农村信用社防范化解风险、提高综合(下转第344页)(上接第355页)效益、改善运行质量有重要的现实意义。
【参考文献】
[1]赵亚男.完善农村信用社内控制度思考.时代金融,2006,(09).
内控合规管理工作的建议范文第8篇
【关键词】商业银行 内部审计体系转型 研究
一、商业银行内部审计体系转型的理论基础与国际经验
(一)基本定义
商业银行内部审计是指在董事会的领导下,以独立机构和专职人员为基础,以相关法规、制度为依据,运用专业化审计技术和规范化审计流程,针对银行内部控制有效性及风险治理状况所进行的客观的监督、评价和确认、咨询活动,是银行全面风险管理体系的重要组成部分。
商业银行内部审计体系是商业银行为保证内部审计活动顺利开展而提供的相关体制、机制、制度和各种工作要素的整体,包含内部审计的管理体制、工作职能、运行机制、工作标准、工作流程以及审计技术、人员保障等有机组成部分,涵盖了内部审计从管理、思路到执行、运作的各个方面。本文所指的商业银行内部审计体系转型,是商业银行为提高内部审计效能,所采取的一系列改革、创新、调整措施,是一项综合型的系统工程,对保障商业银行内部控制有效性、加强全面风险管理将产生重要影响。
(二)商业银行内部审计体系转型的理论基础
1.转型经济学在关注国家、社会和文明发展转型的同时,也强调微观经济主体在发展中要注重转型和改革。转型经济学是20世纪80年代末90年代初,适应前苏联和东欧各国经济转型需要而发展起来的经济学研究学科,虽然其研究对象主要为体制的转型、国家或社会的转型以及文明的转型,但作为一门综合性学科,其理论涉及经济转型过程中的各种具体经济问题,包括企业的转型与改革,并把企业转型的研究领域涵盖到企业产权改革、绩效改革、组织结构、激励机制等一系列重要问题。当前我国经济正经历着市场化、现代化和国际化的深刻转型。商业银行作为金融企业的一员,要在经济新常态和信息化潮流中生存和发展,同样需要推行自身的市场化、现代化和国际化转型,而一个适应银行新的发展战略和风险控制状况的内部审计体系,对保障商业银行转型目标的实现非常重要。因此,商业银行内部审计体系的主动转型,是商业银行深化改革,实现健康可持续发展的必然选择。
2.全面风险管理理论强调企业有效识别和管理风险应覆盖企业各项活动的全过程。2004年4月,美国执业会计协会下面的柯恩委员会颁布《全面风险管理框架》(ERM框架),提出企业要确定自身的风险偏好,并有效识别和管理可能影响其发展的潜在风险,保证既定战略目标的实现,而对风险的管理应包含从战略制定到各项活动的全过程①。ERM框架适用于各种类型的企业或机构的风险管理,是贯穿整个组织的持续性的过程,用以识别、评估并确定如何应对及报告影响组织实现目标的机遇和威胁。商业银行是经营风险的特殊企业,发展中面临战略风险、信用风险、市场风险、操作风险、国别风险、科技风险、声誉风险等诸多风险,且在社会深化转型的过程中,所面对的风险的复杂化和聚集化程度也大幅上升。商业银行实施内部审计体系转型,促进内部审计与转型发展战略相适应,有助于商业银行构实施有效的全面风险管理,保障战略目标的达成。
3.银行再造理论强调银行要对传统流程进行重新思考和设计,提升银行的整体的竞争力。20世纪90年代,美国管理学家迈克尔・哈默和詹姆斯・钱皮提出企业再造理论,认为企业应以一种再生的思想对自身进行审视以打破原有分工理论的束缚,推崇流程导向。1994年,保罗・阿伦的《银行再造――存活和兴旺的蓝图》一书,将企业流程再造理论引入银行业,认为银行流程再造是“围绕流程核心的再思考和再设计,目的在于实现成本、质量、反应速度等组织绩效方面的巨大改变②”。银行再造的核心是通过对银行传统流程系统的审视和重构,调整经营策略,改变银行绩效,提升银行的整体竞争力。我国商业银行要参与国际、国内金融业竞争,必须将西方银行再造成果与我国实际相结合,通过开展具有自身特色的银行再造,提升整体竞争力。在商业银行流程再造中,风险的表现形式也会发生新的变化,必然要求建立新的内部审计体系,来帮助商业银行实现有效的内部控制,这也是商业银行加强全面风险管理的必然选择。
(三)国外商业银行的内部审计经验
国外先进商业银行的内部审计普遍独立性强,重视审计方法和技术的完善,同时十分重视审计人T的培养和选拔。根据巴塞尔委员会对国外商业银行内部审计经验的调查总结,国际银行内部审计工作正在出现一些新的趋势③:以往对于财务审计工作及财务信息可靠性和完整性的评价职责逐渐转由注册会计师等银行外部审计师来履行,内部审计的作用则是为外部审计师财务报告审计工作提供支持;对法律和监管要求的遵循情况评价职责逐步转向由独立的法律和合规职能部门来履行;首席审计执行官的主要任务在于提高内部审计部门的质量和效率,包括提高审计师的专业性以便更好地跟踪那些被审计活动,强化内部模型的审计和评估,以及更加重视风险为本的审计,以提升内审部门的质量和效率。
国外先进商业银行的以下经验也很重要:
1.必须建立良好的公司治理结构,提升审计独立性。内部审计是公司治理的重要控制和监督力量,而公司治理则为内部审计提供了控制环境和制度基础。先进商业银行的董事会普遍高度重视内部审计工作,设立专门的审计委员会,通过垂直化管理的审计组织体系,实现内部审计机构与被查机构利益的完全分离。内部审计部门直接对董事会负责,确保独立的人、财、物等审计资源配置权。同时,可以参与到商业银行经营管理的各个方面,保证了内部审计工作的独立性。
2.必须调整内部审计导向,改进审计方法和技术。当前,国外先进商业银行的内部审计已经实现向风险导向型审计思路的转型,大多以内部控制评价为基础,针对重点业务或内部控制系统风险开展审计,在审计工作中注重推行风险管理理念,同时也通过有价值的建议,帮助银行提高价值创造。在审计手段上,非常重视电子化建设,通过运用现代化信息技术,提升审计工作的效率。
3.必须重视人员综合素质,打造专业化内部审计队伍。国外商业银行一般会通过强化内部审计人员的培训及后续教育等手段,保证内部审计人员具备专业胜任能力。随着银行业务复杂化程度的提高,全面风险管理的要求越来越高,商业银行应该保证内部审计人员具备宽泛的知识结构和丰富的经验,以保持风险识别的敏锐力。同时,也要想办法增强内部审计人员考核、激励制度的针对性,以维护审计队伍的工作积极性。
二、我国商业银行内部审计体系存在的问题与转型必要性
我国商业银行内部审计工作由最初的合规审计、舞弊审计发展到现在的风险审计、管理审计、信息化审计,经历了漫长的发展阶段④。但国内商业银行开始重视并设立独立的内部审计机构,是在1995年《审计法》颁布之后,时间并不长。2006年,银监会《银行业金融机构内部审计指引》出台,商业银行内部审计的专项法规才真正确立。随着银行公司治理机制的日益健全,内部审计在商业银行全面风险管理中的地位更加重要。当前,在我国经济深化转型的大背景下,各银行纷纷加快改革创新步伐,所面临的各类风险更加复杂,而内部审计体系在运转过程中,也暴露出越来越多的缺陷和问题,影响了风险的防范和控制。
(一)内部审计体制不健全,审计独立性和权威性缺乏
很多商业银行在向现代化商业银行转型的过程中,由于治理结构不合理,对内部审计的职能定位不清晰,内部审计体制不健全,审计独立性和权威性未能得到保障。一方面,部分商业银行管理层对内部审计工作的重要性缺乏正确认识,认为内部审计部门不直接参与利润和价值的创造,没有必要配备充足的审计资源,有的内审人员与被审计单位之间甚至存在利益依附关系,难以保证审计的独立性。另一方面,部分商业银行的内部审计体系还未完全实现董事会垂直、独立管理,缺乏相应的审计资源分配权限,无法获得被审计单位的有效配合,内部审计的权威性无从保障。
(二)内部审计职能履行不充分,审计考核机制不健全
由于我国商业银行内部审计起步较晚,发展进程缓慢,加之外部经济环境因素的影响,当前,仍有很大一部分商业银行内部审计还主要停留在数据真实性审计、合规性审计阶段,以履行监督检查职能为主,而对内部审计的咨询服务职能重视不够,c国际银行业当前盛行的风险导向审计理念差距明显。同时,我国大部分商业银行审计人员参照中后台人员进行考核和发放薪酬,普遍未建立独立的薪酬绩效机制,造成人员考核与日常审计工作脱节,影响了审计队伍的稳定和审计效能的发挥。
(三)内部审计制度体系不完善,审计标准流程不规范
很多商业银行内部审计制度不系统、不完善,未形成健的内部审计制度体系;在日常审计工作中,审计人员主要依赖经验总结来制定下一步审计方案,审计工作底稿不统一、问题词条不规范,未能形成规范化的审计工作流程和审计标准,审计工作的随意性较强。参差不齐的人员素质和审计具体操作中较大程度的随意性直接影响了审计工作的效率和质量。
(四)内部审计技术落后
随着信息化和大数据时代的来临,国内商业银行纷纷加强数据化信息技术的运用,加快建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统,推动实现数据标准统一、信息系统整合,提升经营管理工作的信息化。但这些信息技术并没有深入、有效地运用到内部审计体系。很多商业银行的内部审计部门还没有建立独立的系统数据获取渠道,以实现对运行数据的快速收集和整理分析,还没有建立专门的审计模型和审计系统以实现对风险的准确揭示、预判和对其形成原理、发展趋势的分析,造成信息系统内的数据被大量闲置、浪费,影响了内部审计工作的质量与效率。
(五)内部审计人员力量薄弱
目前我国大多数商业银行内审人员的占比为1%左右,国外商业银行一般为5%,而中国人民银行则曾经发文,要求银行类金融机构内部审计人员达到员工总数2%⑤。同时,由于很多商业银行对内部审计工作不重视,在审计人员的选拔、培养方面没有严格要求,造成审计队伍所需要的复合型人才严重缺乏,员工知识结构单一,专业胜任能力弱,而培训机制的不健全,和独立考核、激励机制的缺失,让这一问题迟迟得不到解决,与银行发展需求形成较大差距。
(六)内部审计的质量控制与成果运用不足
很多商业银行内审部门仍采用传统的手工化审计工作方式,未建立专业化的内部审计计算机平台,在审计预警、审计管理和审计作业分析等时效性上存在明显滞后。审计管理工作没有相应的信息系统进行固化,在对审计资源的统筹配置上较混乱,难以实现对审计项目节奏的实时有效控制,同时,在审计结果、审计建议的跟踪督办等方面也不及时,不利于与被审计机构间加强沟通交流,影响了审计成果的运用,有可能消弱内部审计的价值增值作用。
商业银行的内部审计体系转型,既是在我国经济深化转型大背景下,银行应对整体经济市场化、现代化、国际化转型的客观需要,也是银行克服现有困难和不足,充分发挥内部审计作为银行第三道风险防线的重要作用,积极提升内部控制有效性,加强全面风险管理能力,推动银行再造工程的重要措施,对于提升银行综合竞争力有着非常重要的意义。
三、成都农商银行内部审计体系的转型实践
成都农商银行由原成都市农村信用合作联社改制而成,于2010年挂牌开业,2011年引入战略投资者,注册资本100亿元,2015年末资产规模达6400亿元。作为一家在西部特大中心城市成立的股份制商业银行,该行近年来发展迅速,资本规模和资产规模位居全国农商银行系统前列,以其为样本,研究我国商业银行特别是中小商业银行内部审计的转型问题,有较强的借鉴意义。从2012年以来,该行按照董事会的要求,加快内部审计体系转型步伐,在管理体制、组织架构、管理模式、审计职能、技术手段、考核激励等方面实施了一系列改革和调整,取得了明显的成效。
(一)确立转型目标――建立“集中化、垂直化、标准化、精细化、专业化、信息化”的现代内部审计体系
1.集中化、垂直化。是指依靠内部审计机构的集中、垂直管理对内部审计资源和工作加以统筹,通过规范化的内部审计体制机制实现内部审计资源的集中管理、充分整合,充分挖掘、有效运用内部审计潜力,提升审计效能。
2.标准化、精细化。是指通^构建标准化的内部审计制度体系,规范工作流程,明确审计人员的工作职责、作业标准和管理要求,加强对审计工作的全流程管理,实现各项管理要求的标准化、精细化。
3.专业化、信息化。是指依托银行开放、智能、互联的数据信息平台,通过信息系统和技术工具的使用,实现对银行经营管理信息的全方位获取、整合、应用和共享,提升审计发现能力,扩展审计覆盖范围,实现审计效率与质量的大幅提升。
(二)确定转型思路――以风险为导向的增值型审计
有了转型目标,如何确定转型思路便成为转型的关键。成都农商银行在深入研究国际内部审计的内涵变迁与发展趋势之后,决定推行以风险为导向的增值型审计,即将风险控制和增加价值作为评价内部审计转型成效的终极目标。
1.贯彻风险导向型审计理念。风险导向审计是审计人员以规避、控制和防范审计风险为出发点,对审计风险进行系统分析、研究,确定多样化的审计战略的一种审计思路。内审部门通过风险识别,帮助管理部门规避风险,采取正确的行动来防止高级管理层。该类审计是以对风险的系统分析为出发点,对企业风险管理和内部控制制度的完整性与有效性进行独立的评价⑥。它是较之财务审计和合规审计更为先进、科学和全面的风险审计。
2.实施增值型内部审计。商业银行的目标是价值最大化。内部审计作为商业银行内控管理工作的一部分,虽然不直接参与经营活动,但可以通过提出有价值的审计建议,帮助银行降低风险,规避资产损失,增加获利机会,从而帮助商业银行增加价值创造。增值型内部审计通过大力拓展高增值的审计业务,形成有价值的审计结论和建议,帮助组织增加价值,它以利润中心作为自身定位,既记录耗费的成本,又衡量和记录为组织增加的价值⑦。将增值型审计作为内部审计体系的转型方向,有利于提升内部审计价值,在帮助银行防风险的同时提高盈利水平。
(三)转型实践――持续深入的系统工程
根据确立的转型目标与基本思路,几年来,成都农商银行内部审计体系在转型过程中采取了一系列持续深入的工作举措。
1.组织开展内部审计垂直化改革,建立垂直化的组织体系和报告路径。历时半年,完成职能上收与人员分流,于2012年6月底全面完成内部审计垂直化管理体系建设。内部审计垂直化管理后,取消了郊县支行的稽核审计部,而在总行直属的稽核审计部下设直属室和片区审计中心,统一对总行职能部门和各分支机构开展审计活动,并定期、直接向董事会汇报工作。内部审计体系包括审计制度及流程建设、人事任免、薪酬福利、工作计划以及绩效考核等均由总行统一管理,凸显了内部审计工作的独立性。
2.通过实施确认咨询服务,强化审计监督服务职能。按照“以风险为导向的增值型审计”工作思路,大力拓展内部审计职能。通过经营情况审计,反映各机构和相关业务的经营状况及风险控制情况,为管理层加强管理、优化决策提供参考;配合机构建设需求,开展相关人员经济责任审计,为机构发展与人员任用提供支持;配合内控体系建设需要,开展各领域专项审计,着重从内部控制的健全性和有效性进行评价并提出建议,促使内部控制更加完善。这些审计不仅确认了问题,强化了监督,更提出了改进建议,经过良性沟通与合作,促进了被审计对象的价值创造。
3.通过开展绩效薪酬改革,建立现代化的内部审计机制。在转型的过程中,同步开展了内部审计绩效薪酬改革。一是根据银监对内部审计人员薪酬不低于全行平均薪酬水平的制度规定,将内部审计人员从后台部门人员的360度常规考核改为独立的考核机制,使做出实绩的审计人员薪酬水平得到提升。二是研究制定了审计人员绩效考核标准,从工作过程、质量、成果、执行力和纪律等多个维度对审计人员进行综合考评,同时完善审计人员激励、晋升、评估机制,提升了审计人员的工作积极性。
4.完善内部审计制度体系,梳理规范内部审计工作流程。按照“标准化、精细化”的管理要求,推动内部审计制度建设与流程规范。一是按审计管理制度、案件防控制度、责任追究制度三个维度完善制度体系,建立新的审计工作标准;二是梳理审计工作流程,制定《内部审计实务准则》,统一计划、立项、准备、实施、报告、终结、档案管理等流程规定;同时制定审计人员行为规范,强化对审计人员的行为约束;三是制定项目时限管理、整改跟踪、审计费用管理、员工绩效考核等规范性文件,强化审计效能管理;四是在现场审计中推行“三级复核制”、审计组长负责制等规程,完善了责任机制。
5.改善内部审计方法,提升内部审计技术。一是强化对高风险业务的审计力度,持续关注重点领域、重要业务、重点环节,形成对主观故意、弄虚作假等严重违规行为持续有力的监督效应。二是设立非现场审计室,通过非现场经营数据抽样采集、分析技术的应用,建立非现场审计分析模型,为现场审计提供信息参考,提高现场审计的效率。三是建立风险监测模型并定期对重要业务领域开展监测分析,就发现的风险点和疑点有针对性地开展实地调研及审计,挖掘揭示了大量借名贷款、搭桥贷款、多头授信、抵押物悬空、资产流失、与客户发生资金借贷等隐蔽性较强的问题,有效释放了潜在风险。四是重视对董事会的审计工作汇报,加强与高级管理层和被审计单位的审计沟通,推动问题整改和风控措施的落实,并实时开展后续审计工作。
6.加强审计人才选拔培养,提升审计队伍的整体素质。一是以垂直化建设为契机,在原有内部审计队伍中全面开展考试、考核和岗位竞聘工作,对人员进行优选与岗位调整。二是在行内、行外同步开展招聘工作,补充高素质的专业人才。三是持续抓好人员培训。推行“周培训-季度专题培训-年度集中培训”的递进式培训机制,提高员工审计能力。四是以项目质量控制为基础,通过审前培训、以老带新、审后总结等办法帮助员工积累审计经验。五是鼓励员工考取各种资格证书,通过专门的激励制度对员工自学行为进行奖励。
7.建设推广稽核审计及风险预警系统,搭建现代化的审计工作平台。成都农商银行内部审计部门垂直化管理后,即启动了稽核审计及风险预警系统建设工作,并于2014年推动该系统投产上线。该系统的上线,为内部审计工作搭建了一个具备大数据处理能力的集信息采集、数据处理、风险预警、作业控制和绩效考核等功能为一体的服务平台,大大提升了审计工作的专业化水平。该平台实现了对主要风险的持续监测,能够为现场审计高效挖掘风险信息提供技术支持。同时,该平台也是现代化的审计工作管理平台,通过建立项目管理功能菜单,实现审计作业的流程化管理,还能以图表方式展现全行主要经营管理指标,可以直观地为高级管理层提供动态经营信息。
8.健全审计管理体制机制,加强审计质量控制。一是加强审计管理体制机制建设。成立审计执委会,定期或不定期就重大事项集中审议;建立审计计划管理机制,按年、按月控制审计布局,促进审计资源的有效配置;坚持每周集中汇报项目进度,督导工作进程;建立重点项目督办机制,强化对项目质量的把控。二是重视对审计结果的运用。通过下发审计意见书、建议书,督促被审计对象全面掌握审计结果,彻底整改存在的问题;通过开展整改专题培训、收集责任人整改承诺书、制定整改进度跟踪表和典型性违规问题通报等方式,督促被审计对象务实有效地落实整改措施。良好的沟通、严格的整改,有利于巩固审计成果,确保实现控制风险、增加价值的目的。
四、商业银行内部审计转型经验及启示
总结成都农商银行的经验,商业银行实施内部审计体系转型要注意把握好以下关键环节和要素。
(一)构建权责明晰的内部审计体制
独立性与客观性是内部审计工作的灵魂。构建权责明晰的内部审计体制,以保障审计的独立性和客观性,是商业银行内部审计体系转型成功的基石。当前,商业银行内部审计体系普遍存在缺乏应有的权利和地位、报告路径不明确、职能范围不恰当等问题,必须通过管理体制的重构,确立内部审计的独立地位,通过对审计资源的垂直集中管理等办法,确保内部审计机构独立地行使职能。
(二)界定符合战略的内部审计范围
界定符合战略的内部审计范围是现代化内部审计职能作用得以有效发挥的前提。我国很多商业银行存在内部审计范围过窄的问题,缺乏对资产质量、风险责任、经济效益的持续关注,不能对内部控制状况等做出有效评价和建议,更未对包括政策法规、社会环境等在内的深层次问题进行研究,导致内部审计职能发挥不充分。商业银行内部审计体系在转型中,要厘清与合规管理等内控管理部门和会计师事务所等外部第三方监督者的职能边界,但更要围绕银行的转型发展战略,按照风险导向和价值增值目的,拓展职能范围,通过确认和咨询服务,提高内部审计工作的价值贡献。
(三)建立符合内部审计特点的薪酬绩效机制
建立完善的内部审计绩效考核及薪酬制度是提升内部审计工作效能,激发审计人员内在潜能的重要手段。当前,很多商业银行未建立独立的内部审计人员薪酬绩效制度,内审人员在银行中的地位不高、薪酬不具竞争力。商业银行内部审计体系在转型中,必须组织开展薪酬绩效机制改革,建立符合审计工作特点的人员绩效考核机制,来提高其工作效率和积极性。
(四)规范统一的内部审计标准及流程
建立规范、统一、明确的内部审计标准和流程,是建设现代化内部审计体系的关键。商业银行内部审计体系在转型中,必须不断完善内部审计制度体系,规范审计标准及流程,消除管理工作随意性较强的问题,加强专业化、标准化、规范化管理,以提升审计效率和质量。
(五)提升有助于风险识别的内部审计技术
提升内部审计技术,增强风险识别能力,是建设现代化内部审计体系的重要步骤。当前,很多商业银行内部审计体系存在对现代化信息手段的建设和应用严重滞后的问题,对风险的评估和监测难以脱离数据不足的制约,对审计结果的评估和审计资源的调配也缺乏科学的数据支撑,制约了审计资源的运用和风险问题的发现。商业银行内部审计体系在转型中,必须有现代化的内部审计数据监测及信息化工作平台为支撑,充分运用信息技术,提高审计资源配置效率,确保审计结果的准确性。
(六)培养专业胜任的内部审计人员
人力资源是审计组织最核心的资源。拥有专业胜任的内部审计人员是内部审计工作质量的有效保证,是建设现代化内部审计体系的关键所在。商业银行内部审计体系转型中的关键着力点,是提升风险发现的敏锐度与风险监控防范能力,而做到这一点必须重视审计人员的培养,建立专业的内部审计队伍。
(七)实施持续的内部审计质量控制
加强内部审计质量控制是有效发挥内部审计作用,提升审计效果的必要环节。当前,很多商业银行内部审计体系存在审计资源利用率不高,审计发现的问题查而不纠甚至屡查屡犯等问题,主要原因在于对审计工作质量特别是整改质量缺乏持续控制措施。商业银行内部审计体系在转型中,必须建立内部审计质量控制机制,强化对审计结果的运用,强化对后续整改工作的跟踪,以提升内部审计的价值贡献。
注释
①Casey,Christopher.Corporate valuation,capital structure and riskmanagement: AstochasticDCF approach.European Journal of Operational Research,December 1,2001,135(2):311-325
②PaulH.Allen.ReengineeringtheBank.NewYork,Mcgraw-Hill, 1994.
③周志宇,徐华.《国际银行业内部审计的现状、趋势和启示》.《金融会计》。
④杨国芹.《商业银行内部审计研究》.华中科技大学硕士论文,2012年。
⑤郝成.《从国际比较看我国商业银行内部审计的差距与对策》,生产力研究,2008年。
⑥李冬会.《我国商业银行内部审计研究》.长春理工大学硕士论文,2005年12月。
⑦张洁.《我国农村商业银行内部审计研究》.首都经济贸易大学2008年硕士论文。
参考文献
[1]徐政旦,朱荣恩.现代内部审计实务.北京:中国审计出版社,1997.
[2]劳伦斯.B.索耶.现代内部审计实务.北京:中国商业出版社,1990.
[3]《银行业金融机构内部审计指引》,银监发〔2006〕51号.
[4]Basel committee on Banking supervision: Internal audit in banks and the supervisor’s relationship with auditors,August2001.
[5]周冰.基于中国实践的转型经济学理论构建.学术研究,2008年3月20日.
[6]《企业风险管理――整合框架》,美国COSO委员会,方红星等译,大连:东北财经大学出版社,2005版.