时间:2023-09-22 15:31:51
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇风险全流程管理范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
商业银行开展持续审计包括:商业银行运用内审经验,开发计算机模型:将之嵌入到持续审计流程管理系统中去:内审人员按照持续审计任务开展常态化及时审计;定期进行产品和服务全风险覆盖的内控审计,持续改进计算机模型。
一、商业银行运用内审经验,开发计算机模型
在该步骤主要运用的审计技术是审计重要性水平的测定(可结合PPS抽样)和审计分析程序。运用的计算机技术主要是计算机编程。该步骤依据“持续审计”的定义来确定“相关被审计事项发生”的情况。下面结合实例进行分析。
1.重要性模型。设计该模型主要考虑内审人员对于行内开展的各项业务重要性水平的认定,重要性水平可以设定为必审项和审计项两类。第一类必审项重要性水平,比如内审人员认为单笔超过一千万元的集中采购项目为重要且必须要审计,那么“集中采购子模型”就可以设定一千万元为阈值,对于单笔集中采购项目标的超过一千万元的,就可以自动筛选出来,持续审计流程系统将生成“及时审计任务单”,分配任务后,由内审人员全程跟踪该集中采购项目,最后形成审计报告。第二类抽样审计项重要性水平,可以结合风险控制重要性水平进行设计,设计后由计算机辅助进行PPS抽样,确定具体的审计事项。比如“大额个贷重要性模型”的设计:风险控制要求,同一身份证号的客户发生的所有个人住房贷款、消费贷款、助业贷款等,单笔或累计超过50万元的,都需要两个专职贷款负责人审批,且在设计“大额个贷重要性模型”时可将阈值设定为50万元,该模型可以每周、每旬、每月运行一次,具体运行频次由持续审计计划决定,这样确定的贷款可能有很多笔,因此,在设计“大额个贷重要性模型”编程时,编入计算机辅助PPS抽样相关程序。
2.审计经验模型。设计该类模型的总体思想是:将银行的案件、审计发现以及审计经验,转换为数据信息疑点,或者直接定位差错。例如,疑似假个贷模型——同质子模型的设计主要是运用Match函数。不同的借款人客户信息相同.如同一楼盘或汽车经销商,有多个不同借款客户为同一单位:多个客户的联系电话、个人贷款对账单地址、家庭月收入、本人月收入相同;同一楼盘或汽车经销商,三笔以上贷款连续拖欠期数相同:多名借款人是销售商或员工;多笔贷款(不同客户)还款来源于同一个人账户;多笔贷款(不同客户)发放后转入同一单位(非房地产公司、汽车经销商)或个人账户。上述都是反常情况,有可能是假个贷.而上述情况是内审人员审计出假个贷或者是假个贷案发之后所总结出的假个贷数据特征。该子模型的设计思路是:比对客户贷款信息,找出不同客户的相同信息,从而找出高度同质性贷款,即疑似假个贷。
该类模型是分析程序在内审中通过计算机程序运行实现,分析程序概念不再描述,主要是要找到“反常”数据(疑点)。分析程序还可以实现差错的直接定位,比如“个人信贷资金流向投资市场模型”的设计思路:比对客户发放贷款账号与客户本人及其密切关系人的证券、基金账户,在贷款发放之后两账户的资金变化情况。该模型是信贷资金流向子模型,通过该模型,内审人员可以定位差错,比如发现客户A,发放贷款后10日内,将贷款全部转至客户A名下的证券账户。
二、开发持续审计流程管理系统
笔者认为持续审计流程管理系统应包括以下模块:计算机模型及管理、任务管理模块、电子审计工作底稿及报告模块、质量控制复核模块以及系统管理模块。将持续审计流程管理系统与各业务系统、核心账务处理系统进行对接,审计项目数据每日日结后,持续审计流程管理系统接收各业务系统、核心账务处理系统数据,运行计算机模型,生成审计任务,任务分派后审计人员在电子审计工作底稿及报告模块录入相关审计证据、审计工作及审计报告,完成审计工作后,电子流任务交至质量控制系统复核。系统管理模块主要是复杂系统的维护以及内审人员的权限配置。
以“集中采购子模型”进行说明。计算机模型已开发出持续审计流程管理系统下的“计算机模型及管理模块”已加载了该模型,且持续审计流程管理系统与本行的“集中采购管理系统”已对接,每日接收集中采购管理系统的数据,运行“集中采购子模型”,发现有无单笔超过一千万元的集中采购项目。该项目的流程状态是“立项通过”,如果符合,则将相关信息形成审计任务,内审分派岗位登录该持续审计流程管理系统,在“任务管理模块”下的“待分派审计项目”中可以看到,并进行分派;相应的内审人员登录系统在“任务管理模块”下的“待办审计项目”中看到任务,接受该项任务,就可以在电子审计工作底稿及报告模块录入相关信息,完成之后按程序提交,任务将发送至内审质量控制部:质量控制工作人员登录该系统,在“质量控制复核模块”下的“待复核项目”中看到需复核的任务,并调阅审计工作底稿和审计报告:质量控制复核完成提交后,整个内审流程结束。
开发持续审计流程管理系统运用的主要是流程管理理论,它通过计算机编程来实现审计业务的电子任务流程,其效果不仅使得内审的效率和质量有显著的提高,而且也方便考核内审人员的工作效率。
三、内审人员按照持续审计任务开展常态化及时审计
在这个环节,内审人员登录持续审计流程管理系统,在任务管理模块下的“侍办审计项目”中看到任务及其生成过程。与传统内审不同的是,持续审计可以实现常规化及时跟踪审计。如果商业银行将柜面会计凭证、个人贷款档案、公司类贷款档案等会计凭证及资料电子化,形成电子档案数据库,内审人员就可以做到足不出户进行审计。“待办审计项目”接受任务后,持续审计流程管理系统赋予内审人员临时权限,临时权限用于远程登录电子档案数据库,获取相关的资料。内审人员进行事后审计时,除非认为必须去业务经办所在地实地查证,否则可以不下现场,从而可提高审计效率。纸质资料电子化主要是扫描等影像技术的运用、计算机辅助开发程序支持数据库的建设以及查询等功能的实现。
四、定期进行产品和服务全风险 覆盖的内控审计,持续改进计算机模型
集团管控是指大型企业的总部或者管理高层,对下属企业或部门实施的管理控制及资源的协调分配等。
集团总部通常具有两个职能―
司令部:围绕集团战略目标,总部还肩负培育和巩固竞争优势,为新业务创造新能力的职能,控制各项战略资源,敦促下属单位执行总部决策。必要时,总部还需要亲自推动关键项目;对下属单位的执行情况和单位负责人的尽职情况进行绩效考评;
服务部:这要求总部利用协同效应整合下属单位的价值链,搭建统一的人力资源平台。在信息整合方面充分挖掘信息资源的内在潜力,分享可供借鉴的管理方法、经验和案例;通过品牌组合管理来提升整体的品牌资产、创建品牌优势;
对于大型集团型企业而言,无论是管控的职能还是服务的职能,都需要信息化进行支撑。职能管控信息化建设应该按照GRC(管控、风险、监督)的方法论进行构建。以外部监管要求为参照,以战略为目标,以绩效为导向,以流程为基础,风险驱动、合规遵从。
下面通过两个案例,我们来分析结合GRC体系思路的职能管控的信息化之路。
案例一:多元化经营的集团型企业在战略管控和运营管控上的举措
该集团型企业采用多元化经营,涉足多个行业领域,已建立起雄厚的产业基础,产业地位和发展能力提升很快。集团核心业务涉足十几个多元化业务,并在几个行业中成为行业的领先者。该企业的集团化管控,主要是依托于全集团统一的综合管控平台,从上到下进行贯通,实现了如下目标―
固化企业制度流程,搭建流程体系
实现流程的一体化、标准化,落实业务规范管控
搭建知识分享体系,推动知识分享
宣贯流程管理理念,构建流程管理文化
虽然整体的目标是一致的,但是集团总部,各利润中心/业务中心有着不同管控需求:
集团总部对下属利润中心/业务中心采取战略管控,所以在职能管控上更多地体现为指令的上传下达,包含公文管理、三重一大管理以及核心的管控流程。有的管控要求仅仅落实到利润中心/业务中心,有的管控要求需要落实到业务单元,实现“横到边,纵到底”。
各利润中心/业务中心对下属业务单元采用的是运营管控,除了行政指令的互通,还需要与利润中心/业务中心业务特色相关的流程的管控,例如地产业务板块,其运营管控流程包括采购请款流程,合同评审流程、资金调度流程等。
通过综合管理平台的搭建,在GRC体系架构下实现了如下成果:
战略支撑:通过信息系统形成对集团化管控的洞察能力,实现了战略到执行的关联,通过流程管控落地;
业务合规:通过信息化手段形成完整的行业化管理和业务规范模板,并在流程体系中固化,规则清晰;
风险管理:信息化支持精益管理水平的不断提升,形成风险管理的集团化视图,有效控制风险;
绩效清晰:通过信息化手段贯彻管控体系,业务和管理数据真实、透明;用数据作分析、做决策,无论是过程绩效还是结果绩效都可观、可控;
流程中心:通过建立上下贯穿,横向协同的流程体系信息化落地,真正能将企业的职能管控诉求落到实处;
案例总结:
该企业的集团总部采取的战略管控,聚焦在相关行政指令的上传下达上,流程管控信息化的建设的范围不宜扩大,其重点是需要统一标准、统一模板,控制到位,对于重要的管控点,需要贯穿到底;
对于下属利润中心/业务中心,具有板块和行业属性,管控粒度需要进一步细化,不仅仅是办公职能的管控,还会涉及到项目、投资、采购、销售等运营层面的职能管控,信息化建设范围将覆盖更多的管理职能,同时需要对照企业的战略、制度、风险以及内控要求。
案例二:单一产业的集团型企业在运营管控上的举措
该企业是单一产业的集团化企业,是对主营产品的采购、运输、储存、检测、销售、等为一体供应商。发展目标是:发挥核心业务企业的网络、技术和服务优势,不断巩固、扩大市场份额,继续做优做强核心业务,不断提高集团公司资本运营和抗御风险的能力。
该企业面临的问题是:由于是单一产业,所以每一个职能部门基本都有垂直管控的需求,而且由于下属单位业务类似,所以不存在太多的个性化。
1、面向财务管理职能的全集团资金费用垂直管控
首先以财务管控举例,集团总部的财务管控需要解决的问题是:资金支付的端到端管控。通过集成全面预算管理、资金管理、ERP以及信息平台等应用系统,实现资金支付申请、资金支付审批、费用预算控制、资金支付和财务处理的集团资金支付管理全过程电子化,完成集团资金支付业务流程闭环管理。
第一步:业务梳理。横向梳理相关职能,纵向梳理各层级单位。包含如下内容:
集团审批流程和权限节点分析与规划;
集团支付明细项目分析与规划;
各类支付审批表单分析与初步设计;
费用预算控制策略与预算系统集成分析;
费用预算控制策略与ERP系统集成分析;
财务记账与ERP(财务模块)集成分析;
支付系统与资金系统集成分析;
税金支付、发票校验与税务系统集成分析。
第二步:总体设计和实施。集团从上到下统一思想:全面实现端到端的管控,资金支付从创建到支付整个链条在集团上下都是统一的,不存在其它的系统入口,更不存在线下单据。
2、面向法务管理职能的全集团合同法务垂直管控
在合同签订前,交易对家信息统一梳理和管理,对交易记录和履约评价、黑名单/灰名单、纠纷争议提醒、关联方等进行数据管理和提醒。建立合同范本的上报、维护、使用的管理闭环。对于合同的分类,从集团总部到下属单位进行统一的搜集和梳理,形成了17个一级类别,73个二级类别,170个三级类别,并将一致属性和差异属性进行标注和管理。
在合同签订中,对公司的合同审批流程进行了规范化管理,包括公司内部审批、上报上级单位审批以及上报上级单位审核。并对打印、签字、用印、签署进行关键控制点的管控。
整个全生命周期过程中,对全集团的合同风险管控体现在如下几个方面:
1)交易对家的风险控制:
黑名单:禁止与之签约;例外情况下签约,需经严格的审批;.被确认为黑名单后,管理范围外的其他单位查询和使用时可收到黑名单的提示。
灰名单:;合同管理过程进行风险提示
发生纠纷争议的对家:合同管理过程进行风险提示;
2)前置事项的风险控制:合同订立前置的事项审批控制
3)合同履行的风险控制
计划到期提前提醒
超期提醒
人工提醒:履行异常的合同,有管理权限的部门可做相应的风险提醒
案例总结:
集团型企业的每一个职能管控都可以建立独立的管控体系,按照GRC的体系架构进行搭建:在企业的核心战略指导下,以流程为核心,控制资金、法律等风险,满足企业的内控要求,并将全面预算管理、合同法务管理等绩效指标清晰展示。
对于大型集团型企业,无论是多元化还是单一产业,根据不同的管控模式,都可以通过信息化的手段作为”抓手“,实现方式有两种:
以工程、采购、营销、研发等经营类业务和预算管理、会计核算、合同管理、信息管理等管控类业务为建设突破口,着力抓好资金、采购、基建、销售、产权管理等关键业务流程控制,建立健全各项管理制度,科学优化各专业流程框架,制定专业化标准,逐步建立覆盖企业全业务、全流程的内部控制体系,使内部控制体系真正成为保障企业实现持续健康发展的内生机制。
(二)以标准流程为载体,优化内部控制设计
企业应采用流程管理的思想对整个内部控制体系进行优化安排,以业务流程为中心,设计企业内控管理过程,将一体化运作由理论变为现实。流程梳理是流程管理的基础,流程梳理应从全局出发,注重点面结合。以基建、生产、营销等核心业务和人财物等核心资源为重点,围绕大规划、大建设、大运行、大检修、大营销(“五大”)管理体系建设,各部门协同配合,分层梳理业务流程,充分分析流程细节,通过问卷调研、高层访谈、业务专题研讨会等多种形式开展风险识别与评估活动,分析挖掘内部控制设计缺陷、执行薄弱环节、制约提高工作效率及质量的关键控制点,强化跨专业流程衔接,完善专业衔接间缺失流程,修改不符合业务规律的流程,完善不符合要求的管理制度,建立标准化的业务流程,使工作更加规范化、科学化。业务流程梳理是持续性的工作,是一个不断优化的过程,需要在执行过程中不断完善,业务流程体系完善的过程,也就是内部控制体系建设工作提升的过程。
(三)以风险管控为导向,提升内部控制水平
在流程优化的过程中,企业应当以风险管控为导向,确保风险管理与内部控制有机融合,将风险管理嵌入流程优化,识别风险、分析风险、评估风险并落实控制措施,从而实现内部控制的落地。1.风险识别。结合供电企业管理实际,全面开展经营诊断分析,查找企业各业务单元、各项重要经营活动及其重要业务流程中存在的风险。2.风险评估。采用定性与定量相结合的方式,运用统计学方法对识别出的风险发生可能性、影响程度进行量化测评、划分风险等级,以明确各个风险的严重程度。3.风险预警。在对重大风险进行研究分析的基础上,融合企业绩效指标、同业对标考核体系,建立全面风险预警指标体系。借助一体化信息平台,实时监控风险警示信号,及时发出风险预警信息,实现风险的实时、动态管理。4.持续改进。梳理各部门各业务风险信息,收集整理风险事件案例,研究制定各业务风险管理策略和重大风险解决方案,针对管控缺陷制定应对措施和应急预案,形成企业风险控制库,加以培训、演练和实施,促进风险管控持续改进,见图1。
(四)以授权管理为约束,健全相互制衡机制
企业在完善组织机构的基础上,明确权责划分,将内部控制的各项要求融入各项业务流程、落实到每个员工的岗位职责中,规范授权审批制度,形成有效的制衡机制。梳理整合重大事项特别授权信息,补充完善常规授权事项,细化业务授权规则,规范授权程序,明确授权标准,遵循全面风险管理要求和不相容岗位相分离原则,规范关键业务岗位的权限配置体系,建立更为科学、清晰的授权管理关系,明确组织决策和冲突解决的规则或制度。从源头上防止不合理行为的发生,建立事前控制。企业在办理各项经济业务时,必须按照规定的权限和程序进行授权审批。对于“三重一大”事项(重大决策、重大事项、重要人事任免及大额资金使用),企业应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或擅自改变集体决策。
(五)以内控评价为手段,整合绩效考核管理
企业应充分发挥内部审计职能,将内部控制评价作为开展风险管理监督评价的重要手段,对包括固定资产投资、电力营销、物资采购、工程建设等在内的各个经营环节全面开展内部控制评价活动。通过持续不断地对内控工作进行监督检查,使得内控体系日趋合理有效,实现风险的在控和可控。同时,将内部控制流程与内部控制责任人对接,内控评价与绩效管理整合,深入挖掘员工在内控工作中的潜在能力,充分发挥其才能与智慧,形成相互促进、相互激励的良性循环。一方面,由相关管理单位负责人兼任各业务流程责任人,使每一管理层级工作职责与内控环节趋于一致,并把流程执行结果与责任人的岗位考核、晋升直接挂钩,以此强化管理人员的职责。另一方面,对业务流程中关键控制点的内控执行责任明确纳入每一岗位职责进行考核,以此落实内控责任制,将内控执行责任最终落实到每个责任岗位和责任人,实现全过程控制。
(六)以信息系统为支撑,提高内部控制效率
(一)种类
1.信用风险
即由于债务人违约的影响,使银行资产、债权、收益受到损失的可能性。信用风险不仅仅存在于信贷业务中,广义来看,几乎在商业银行的所有业务中,都存在信用风险。除了风险分布的范围日趋广泛外,对单个或一组相关借款人的大额授信导致信用风险的集中,从而使风险发生的可能性以及潜在的损失增大。
2.保证风险
保证贷款,是由债务人以外的第三人向债权人承诺偿还贷款的条件下,自己承担偿还贷款责任的承诺而发放的贷款。虽然在保证贷款中,贷款的信用风险大部分转嫁给了保证人,但是由于某些技术性的因素,贷款人仍然要承担很多风险。
3.市场风险
市场风险是由于市场价格的波动,使得经济主体蒙受损失的可能性。对银行来讲,不论是股权资本,还是债权资产,以及其他业务经营活动中都广泛存在这市场风险。
4.自然和意外因索风险
这是指因自然和意外因素的影响,使银行的贷款遭受损失的风险。如洪水、台风、地震、海啸、森林火灾、交通意外、安全事故等,造成借款人死亡或企业停产、破产等,往往使银行的贷款无法收回。
(二)农村贷款风险的主要特征
1.综合性
农村贷款风险综合体现了各种金融风险,市场风险、政治风险、技术风险等各种类型的风险最终都会通过农村贷款风险表现出来,表现为金融交易中的违约风险。
2.传递性和扩散性
在金融交易活动中,交易一方的农村贷款风险可能导致另一方的农村贷款风险,而另一方的农村贷款风险可能又导致另一方的农村贷款风险,如此扩散和传递下去,最终形成一个“农村贷款风险链”.
3.累积性。由于农村贷款风险具有传递性,一方的农村贷款风险可能会扩散到各关联方,引起加总起来的农村贷款风险迅速增大。从小的方面来说,如“三角债”;从大的方面来说,如信用危机、金融危机等。
4.隐蔽性和突发性。农村贷款风险可以通过安排新的负债得到缓解,如“借新还旧”,使信用关系暂时得以维持。
5.不确定性。风险本身就是一种不确定性,但它是一种可以计量的不确定性。农村贷款风险由于受交易的道德水平、经营能力、努力程度等主观因素的影响,其不确定性就更大,因而对其进行量化和客观评价都是非常困难的。银行经营中未能及时识别农村贷款风险,造成农村贷款管理的失误往往是导致其周转困难、停业和倒闭的最直接原因。
二、我国农村商业银行贷款风险的成因
(一)风险管理缺乏独立性
目前,普遍实现了股权结构的多元化,各农村商业银行银行也已基本按现代企业制度要求建立起较为完善的公司治理架构和运行机制。大部分农村商业银行实行的是董事会领导下的行长负责制。行长负责全行全面业务发展及管理工作,而贷款风险管理则是作为行长行政管理的内容之一,由行长领导下的某一职能部门承担。对风险管理重视一点的银行,会成立单独的风险管理部门负责全行贷款业务的风险控制;而大多银行则是将风险管理列入贷款管理部门中,由该部门的一名或几名员工兼任,银行风险管理缺乏独立性。
即使是成立有单独风险管理部门对贷款风险进行管理与监控的银行,其风险管理工作实际上也难以确保正常开展。这是因为,风险管理部门负责人一般由行长任命,员工则由风险管理部门的负责人提名,行长任命。换言之,负责风险管理工作的所有人员,其人事关系均由行长决定,从而造成这些人员在履行风险管理职责时只对行长负责,唯行长命令是从,在风险管理方面丧失了独立性,行长负责制与风险管理独立性的要求存在矛盾和偏差。
(二)贷款风险测量方法简单
在贷款市场风险测量方面,由于我国利率和汇率长期以来管制严格,商业银行没有面临较大的利率和汇率风险,因此,贷款市场风险测量水平仍相当落后。对利率风险和汇率风险的监管多采用重新定价缺口和累计头寸法等最为常见和最简单的方法。简便采用的量化的贷款风险管理方法也多是针对单个借款人贷款风险的测量与管理,对于贷款组合风险则缺乏有效的定量测量与分析工具。将过于简单的贷款风险测量方法运用于贷款风险识别与评估,显然在有效性和精度上要大打折扣的,在风险管理的源头就存在失真的问题无疑不利于商业银行贷款风险的防范和管理。
(三)信用评级薄弱
现代银行信用风险的量化管理是建立在信用评级基础之上的。论文格式因为不同的贷款客户存在着种种差异,银行面临的信用风险是有区别的,在计算信用风险加权资产时自然不能等同对待。因此,银行信用风险加权资产乃至资本充足率的计算结果能否准确反映银行真实的经营管理状况,很大程度上取决于信用评级功能的有效发挥。
信用评级的方法有两种,即外部评级和内部评级。外部评级的有赖于专业化信用评级的有力支持,在我国,由于专业化的信用评级体系的缺失,采用此法的可操作性差。而就内部信用评级而言,目前,我国银行大都有自己的信用评估系统,但评级结果主要用于授信管理等少数领域,风险的识别、评估功能无法有效的发挥,并不能满足信用风险管理工作更深层次的要求。
(四)贷款管理方法简单落后,难以防范风险
限于起步较晚,我国农村商业银行贷款管理方法还比较落后:还没有建立自己的客户信用评级体系,对借款客户资信情况的判断往往是凭感觉、靠关系,缺乏统一的标准;在贷款客户的选择方面也只是临时起意,没有一个明确而持续的贷款投放政策,缺乏清晰的指导;对客户的借款申请进行审批时,操作流程不畅,往往评审委员还没有对借款的情况进行详细了解,就要做出自己的决议,缺乏有效的沟通;贷款发放后,借款人的资金流动情况、借款人支付利息的情况、归还贷款的情况、贷款到期情况等,都要由贷款人员自己去柜台找会计人员查询,费时费力,有时还容易遗忘,造成不好的后果。
例如:锡州农村商业银行至2010年期末,该行关联交易余额分别为29584万元、8667万元(其中保证金5867万元)和8802.91万元,全部关联交易余额占本行报告期末资本净额的比例为20.99%.虽然该行披露这些关联交易五级分类形态均为正常,但从关联人身份特征看,关联自然人全部为该本行的内部人及关系人,关联法人全部为该行董事、监事、高级管理人员或内部人及其近亲属控制的关联法人企业,毫无疑问,这会给该行贷款风险管理带来不可预知的风险。
三、完善农村商业银行贷款风险管理的策略
我国农村商业银行首先应借鉴国外先进理念,并结合当前国内银行业面临的外部竞争形势,以全面风险管理理念为指导思想,从从公司治理结构、内部控制制度激励约束机制及风险预警体系等方面着手构建有效的风险管理体系。
要保证贷款风险控制系统的高效运行,遏制不良贷款资产,有效防范贷款资产风险,必须从商业银行内部抓起,转变管理方式以化解贷款风险管理。商业银行内部控制机制是其为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。完善我国商业银行的内控机制,要做好以下几个方面的内容:
(一)推进激励约束机制改革,杜绝“内部人控制”现象近年来,随着商业银行贷款管理体制改革的进一步深入,提出了建立不良贷款责任追究制度,但至今难以落实。究其原因,商业银行在贷款管理上仍未建立起行之有效的激励约束机制。任何激励过分或约束不足都可能诱发贷款员铤而走险,使银行贷款处于高风险状态。要通过适当的利益协调分配机制,强化以风险回报管理为核心的激励约束机制,针对不同的对象设计不同的激励方式,杜绝“内部人控制”现象。逐步完善经济增加值(EVA)考核,将对经济资本的计量逐渐由系数法过渡到直接采用风险资产的非预期损失数据,并综合考虑合规、质量、效率因素,优化KH(企业关键业绩指标)考核,使激励机制充分考虑发展战略的执行效果,以综合引导风险控制与业务发展的统一性与和谐性。
(二)规范贷款操作规程,对贷款进行全流程管理贷款操作规程是商业银行进行贷款投放的基本准则,它的制定本身就是基于控制和防范贷款风险的产生的。农村商业银行通过进一步强化科学的贷款全流程管理,真正实现贷款管理模式由粗放型向精细化的转变,将有助于提高商业银行贷款发放的质量,也有利于商业银行增强贷款风险管理的有效性。
1.实行“贷放分控”、“实贷实付”,注重从源头上控制贷款资金被挪用风险。贷款的获批和发放不同步,借款人只有在向商业银行提出贷款使用申请后,商业银行再根据客户现实的贷款需求,分批分期进行授信、发放贷款,从而有助于减少贷款资金闲置、提高贷款资金使用效率和防止贷款被借款人挪用。
2.实施贷款全流程管理。贷款人应按照要求对贷款流程的尽职调查、风险评价、审批、合同签订、贷款发放和支付、贷后管理、不良贷款处置等各个环节提出管理要求,要严格执行授信审查审批程序,加强放款管理,加大合规性检查力度,防控违规授信。要建立问责机制,对贷款实施全流程管理,提高贷款管理的精细化程度,促进商业银行“流程银行”建设。
3.明确贷款管理的法律责任。为杜绝贷款违法违规发放,要对贷款操作进行责任规范,建立风险责任评议制,自上而下层层分解风险防范责任。对形成的风险贷款要全面清理,划分责任人,责任贷款由责任人负责清收。对造成风险损失的责任人可实行个人赔偿制度,对造成重大风险和损失的责任人应追究其法律责任。
例如:锡州农村商业银行金匮支行曾向无锡市青洲金属材料有限公司发放贷款120万元,贷款由无锡诚又信钢铁贸易有限公司担保。借款单位法定代表为山东籍人士,至该行发现贷款产生风险时,法人代表已不知去向,而企业也由于经营亏损,已停止经营。不得已,为准确反映贷款形态,该行将该企业贷款调整至次级,形成不良贷款新增120万元。从这个案例来看,银行对贷款的管理应该是全流程的,从贷款的申请到发放、再到本息的回收都需要及时全面地进行跟踪管理,否则,只要有一个环节出现纰漏或是处置不及时,就像无锡市青洲金属材料有限公司一样,到企业亏损停止经营、法人代表走逃时还未能发现贷款已出现风险。
4.加强内控管理文化的建设,有效防范经营风险加强内控管理文化的建设,有利于提高银行内部员工的风险意识,在一个以内控优先意识为指导的银行里,严密的内控体系是实现有质量、有效益的全面发展的保障。风险文化的建立是全员参与的过程,是所有员工建立共同价值的结果。加强员工合规文化教育,增强员工合规意识。制度最终靠人来执行,管理的核心是人的管理。为此,必须始终坚持以人为本,加强员工教育管理,规范员工行为,真正从源头上防控风险。
(三)建立科学的贷款风险预警体系
关键词:商业银行 操作风险 治理架构 国际监管
中图分类号:F832 文献标识码:A 文章编号:1006-1770(2011)08-024-04
编者按:巴塞尔委员会新资本协议II将操作风险作为一项单独风险纳入第一支柱,中国银监会相应出台了《商业银行操作风险管理指引》和《商业银行操作风险监管资本计量指引》。根据这些标准与指引,中国的商业银行开始探索集中统一的操作风险管理之路。日前,银监会召集部分准备实施新协议的商业银行在广西南宁举行研讨会,就操作风险管理的最新监管动态、日常管理机制、信息系统研发、业务连续性管理和高级计量法实施等议题进行讨论。现选取部分会议成果予以刊发,以供读者参考。
操作风险是一项有银行业务经营活动以来就存在的风险。但是直到2004年的新资本协议,国际监管组织才正式将其视作一项独立风险进行管理和计量。由此,操作风险被列为与信用风险、市场风险并列的三大风险之一,在第一支柱下单独针对其计提监管资本,并针对操作风险管理提出了专门的要求。
但是由于操作风险管理作为独立风险类型加以管理的时间较短,因此其管理和计量即便在发达国家也仍处于起步阶段,新资本协议的虽为操作风险计量提供了规范,但在操作风险管理方面,长期以来只有巴塞尔委员会2003年的《操作风险管理和监管的稳健做法》(简称03版《稳健做法》)。直到2010年10月,巴塞尔委员会公布了研究文件《保险在操作风险建模中的缓释作用》,2010年12月,巴塞尔委员会又了更新后的《稳健做法》征求意见稿,同时了《操作风险高级计量法监管指引》的征求意见稿。2011年6月,巴塞尔委员会经讨论同意这两份文件;2011年7月,新版的《稳健做法》(简称2011年版《稳健做法》)和《操作风险高级计量法监管指引》正式并生效。我们注意到,上述的动态变化是操作风险管理向专业化、精细化方向发展的必然,而对于我国银行业来说,更为具体和精细化的管理要求将有利于推进操作风险管理和监管水平。本文介绍了2010年以来巴塞尔委员会在操作风险管理及监管方面的最新动态,然后分析这些监管动态对我国银行业推进操作风险管理的启示。
一、操作风险管理的治理架构
完善健全的治理架构是实现有效操作风险管理的基础,2011年版的《稳健做法》最主要的亮点即在于强化了操作风险治理架构方面的具体要求,更加明确了不同层级的操作风险管理职责与问责。
(一)操作风险管理的治理架构
首先,《稳健做法》明确要求董事会应对操作风险管理承担最终责任,并应当确保全行操作风险管理制度及其执行的有效性。董事会亦应定期对全行操作风险状况及其管理情况进行核验。另外,新版《稳健做法》还提出,董事会不仅应负责在全行建立良好的操作风险管理文化,还应该负责确定本行操作风险偏好及容忍度的设置。
与之相对应的是,《稳健做法》也要求银行的高管层将董事会制定的操作风险管理框架加以落实,并强调高管层应确保本行负责操作风险管理的专业人员能有效履职。
此外,对于较大规模及业务复杂的银行来说,《稳健做法》还要求其建立专司操作风险管理的风险委员会。操作风险委员会应包含操作风险管理专职人员、业务条线专业人员等,委员会定期召开会议并向董事会风险委员会进行直接报告。
(二)思考与启示
2010年版《稳健做法》厘清了操作风险治理架构的一些具体问题,但是仍然留存了一些模糊地带和争议。如虽然董事会的职责得到了强化,但是一方面对董事会如何履责仍然失之笼统,而另一方面却又对董事会提出了诸如定期核验操作风险管理制度等执行层面的要求,这显然又同高管层的职责产生了交叉。此外,从当前的国际实践来看,操作风险偏好和容忍度的概念仍然模糊,因为操作风险与信用风险及市场风险在风险来源和本质上差异很大,操作风险不仅包含银行内生的风险(如流程、内部欺诈等),也包含了很多外生性的风险,即便其中的内生性操作风险可以进行估量,外生性操作风险则很难界定其风险暴露。因此,如果操作风险暴露难以确定,则设置操作风险容忍度和风险偏好将变得非常困难。2011年版的《稳健做法》也并未在这方面提出明确的操作方案。
不过从总体上看,2011年版《稳健做法》提出的治理架构方面的要求不仅令操作风险管理职责划分更加明确,也为银行建立操作风险管理体系提供了普遍标准。至于如何将已经用于信用风险和市场风险管理的一些理念和做法(如职责分工、专业委员会机制、风险偏好和容忍度设置等)合理有效地用于操作风险管理,我们认为这些都是开拓性和建设性的命题,而且这些问题本身也并无一致性的解答案,《稳健做法》也给予了商业银行实践的弹性,银行在关注这些要素的基础上,宜制定与自身特点相匹配的落实方案。
二、强化操作风险全流程管理
新资本协议将操作风险纳入第一支柱进行管理和计量后,自然也必须建立相应的操作风险全流程管理框架,《稳健做法》再次确认了操作风险管理所包含的识别、评估、监测、报告、控制及缓释的流程,并对流程的各个环节提出了具体的要求。
(一)全流程管理新要求
2003年版《稳健做法》在全流程管理方面仅包含了风险自我评估(RCSA)、关键风险指标(KRI)、风险计量以及风险映射四项内容,而2011年版《稳健做法》还提出操作风险的识别和评估也应包括内部损失数据以及外部损失数据的收集和分析、情景分析以及对不同工具运行结果的综合分析。此外,新业务和新产品上线前除了应评估其蕴含的操作风险外,还应将相应风险因素纳入其定价机制。而在报告机制方面,2011年版《稳健做法》也提出银行应建立常规报告和压力场景报告两种机制,并且必须包含本行操作风险实际情况与制定的风险偏好和容忍度吻合情况等。
(二)分析及启示
我们不难发现,上述新要求其实也有着丰富的内涵,且隐含了巴塞尔委员会在操作风险管理方面的总体思路。
首先,将内部损失数据和外部损失数据收集及分析列为对所有银行的普遍要求,而不仅仅局限在实施高级计量法的银行,这表明巴塞尔委员会再次强调损失数据收集是操作风险评估的核心,也是全流程管理的起点。我们甚至不难推断,提出更严格的损失数据收集要求,表明巴塞尔委员会认为即便对于实施基本指标法和标准法的银行而言,进行更为精细化的损失数据收集也是必须的,也部分矫正了先前的一种观点,即认为损失数据收集和情景分析的目的主要是为实施高级计量法的银行建模所需。事实上,巴塞尔委员会的2011年版的《稳健做法》给出了明确的信号,损失数据收集的作用不仅是用于建模,更应用于收集全行操作风险状况,并且不仅应包含“收集”,更应把落脚点放在“分析”,且应融合内部数据和外部数据,做到“回顾”和“前瞻”相结合,形成对操作风险管理提供参考依据的合力。
其次,对不同工具运行提出综合比较分析的要求表明,巴塞尔委员会明确要求操作风险管理工具之间应当建立良好的互动关系,而这点正是目前操作风险管理实践中所缺乏的。尤其是在我国,一方面前期已经着手建立操作风险管理框架的银行在开发和推广工具方面尚处于起步阶段,对工具运行结果的分析也很不足,更难以建立不同管理工具之间的互动机制,另一方面由于不同管理工具往往在开发、运行和维护上会由不同团队负责,甚至可能会由不同部门主持,因此建立不同工具之间的互动就面临更大的挑战。
第三,要求把操作风险评估加入定价机制表明,巴塞尔委员会将继续推动把操作风险管理与计量结合的实践。尽管操作风险在定义、边界界定、定量等方面还争议较大,但是银行应当建立评估操作风险暴露的机制,并且将操作风险暴露的概念运用于日常管理,一方面对业务条线的经营运营起到规范制约的作用,另一方面也对提高操作风险管理水平起到促进作用。
第四,提出了在压力场景下的报告机制,可以认为是对报告机制的一种完善。结合我国银行业实践,我们可以认为这是对各行已经执行的重大事件报告的一种规范化。因为操作风险事件往往具有突发性、不可预期性和外生性的特点,因此及时对外部压力场景做出反馈,通过报告体系使高管层或董事会知晓,是十分重要的环节。
当然,如果我们仔细斟酌,也容易发现,2011年版《稳健做法》虽然提出了不少新理念和规范,但是在实际操作上仍然缺少具体方法的指导,如对于操作风险的定价仍然囿于多种不确定性而难以准确执行,而操作风险管理工具之间如何建立互相补充完善的机制也不明确。此外,如何定义压力场景的报告、如何将操作风险偏好和容忍度执行纳入操作风险报告等问题,也都需要各方努力研究具体的执行方法。
三、细化的高级计量法要求
(一)《操作风险高级计量法监管指引》的主要内容
由于巴塞尔委员会在制定新资本协议时就隐含了鼓励银行实施更为高级的计量方法的意向,因此不少计量手段较为成熟的银行即着手开发操作风险高级计量法(AMA)。随着高级计量法的铺开,出台比新资本协议相关内容更为具体的规范性文件也显得非常迫切,而《操作风险高级计量法监管指引》(以下简称《监管指引》)正是在这样的背景下出台的,主要覆盖了高级计量法的治理架构、数据和建模三个部分。
首先,在治理架构方面,《监管指引》区分了对操作风险计量的验证(validation)以及对操作风险管理框架的核验(verification),即验证应当作为操作风险计量体系的一个有机组成部分,对高级计量法的建模进行验证,而对于包括计量和管理在内的完整的操作风险管理框架,则仍需要由独立团队再次对其进行有效性核验(见下图)。另外,《监管指引》还明确指出,实施高级法的银行应当更加注重通过使用测试(use test)将计量结果运用于操作风险管理实践,并起到促进操作风险管理水平的作用。
其次,《监管指引》明确了一些数据方面的要求,大致包括:
1.毛损失与净损失的确认:银行可以选择毛损失或净损失进行数据收集,但是应足够审慎,如损失挽回消耗大量时间,则必须用毛损失作为建模依据,且银行在计算净损失时不得先行使用保险缓释进行扣减,银行如使用合格保险缓释,需要建立单独的模型。
2.损失数据收集门槛:银行应明确其收集数据的门槛值,对于门槛值可以是全行统一的,也可以设置不同的门槛值,但是银行必须足够审慎并确保其设置的门槛值能将实质性风险事件均包括在内。同时,鼓励银行根据操作风险形态进行分类,对于同一分类的事件或条线设置相同的门槛值。
3.损失时间点:明确了可供选择的时间点限于发生日、发现日和会计结算日三项,并认为结算日是比较稳健的做法。
第三,在建模方面,对于建模数据来源、分布假设等提出了要求:
1.数据来源。再次确认了高级计量法建模数据来源必须包括内部数据、外部数据、情景分析以及经营环境和内部控制要素这四项要素,其中内部数据是建模的主体,外部数据则是针对肥尾分布的校准,情景分析作为对可重复损失事件的评估,也构成数据来源的重要部分,而经营环境与内部控制要素由于主观性过强,目前尚难以直接植入模型。
2.精细化程度(granularity)。实施高级法的银行应根据操作风险形态进行归类,并用于情景分析等场合。
3.分布假设。由于建立合适的分布是高级计量法的核心,因此银行应确保选取了合适的损失频度及严重程度的分布假设,并应保证进入内部损失数据库的数据均已包含在建模数据中,同时银行可以针对分布的不同部分采用不同的假设,但是银行应建立完整的数据清洗、模型选取、拟合等环节的文档记录。
(二)分析与启示
我们认为,一方面高级计量法尚处于起步阶段,另一方面高级计量法本身亦允许了较大的操作弹性。《监管指引》虽然在治理、数据和建模三方面提出了一些规范,但是实践中仍然有大量的弹性空间。从一些发达国家银行实施高级计量法的经验看,内部数据、外部数据和情景分析在模型中的比重差异非常大。事实上,某些银行的建模较大依赖了情景分析,而并非如很多人认为来自于内部损失数据,这可能因为各国银行经营和管理模式的差异,也可能因为不同银行数据基础和质量的差异。而《监管指引》在多个部分亦强调,巴塞尔委员会将在持续收集数据和调研的基础上,在合适的范围内对可以确定的良好实践予以明确。
四、第一支柱与第二支柱统筹
除了公开征求意见并提交高层讨论的2011年版《稳健做法》和《监管指引》外,巴塞尔委员会还对操作风险管理和计量实践的一些问题进行了研究,其中比较重要的一项工作是在第二支柱框架下评估操作风险监管资本充足情况。
事实上,虽然新资本协议将操作风险纳入了第一支柱,但是由于操作风险计量的不确定性,新资本协议也指出,监管当局将在第二支柱框架下评估银行操作风险监管资本的充足情况,并且可以对操作风险资本不足的银行提出附加资本要求。本轮金融危机后,各国监管当局和巴塞尔委员会都发现银行实际操作风险暴露可能远远大于实际计提资本的数量,而基本指标法和标准法由于风险敏感度较低,对实际损失覆盖的有效性也需要评估,可是在实践中,一方面监管当局并无明确提出在第二支柱下如何评估未覆盖的操作风险暴露,银行在亦没有在第二支柱下对操作风险暴露的覆盖情况进行评估。但是与之对应的是,由于操作风险与内控和合规管理不可分割的关系,不少监管当局和银行内部都制定过一些对内控及合规执行情况进行评估的规章,但是这些零散的文件却并未纳入操作风险管理和监管体系。正是在这样的背景下,巴塞尔委员会亦打算研究在第二支柱下开展操作风险资本充足情况的良好实践。
反观我国的银行业实践,虽然新资本协议启动时间不长,但是操作风险管理却是一直存在的,尽管其表现形式主要是内控合规管理,而监管当局的注意力也多集中在案件防控等领域。我们认为,我国的一些实践做法在原则上是符合巴塞尔委员会的研究动向的,但是我国监管和管理实践可能存在规章零散、缺乏统筹等问题。例如,我国的商业银行在传统上都非常重视对内部欺诈等重大操作风险损失事件的监控,无论是银行内控部门、风险部门还是监管部门都先后出台过多种规章进行约束,其中也包括将重大损失事件数与损失金额与经济资本计量和分配挂钩的做法,这无疑是一种在第二支柱下探索操作风险管理的积极尝试,也可以对国际监管和管理提供积极的反馈,但是我们在实践中,也有必要梳理整合现有规章,评估实践中的优缺点,思考如何建立较为统一的第二支柱框架。同时我们也应该注意到,就操作风险管理而言,第一支柱确立了原则性的规范体系,第二支柱只是对其的补充和调整,不能将第二支柱的作用无限扩大,更不能给予操作风险资本计量和分配以无限的自由裁量权,同时也必须将第一支柱和第二支柱进行统筹考虑,既要在第二支柱下考量第一支柱未覆盖的风险,也要避免因出现在两大支柱下重复计量而造成银行不合理负担的情况。
1 管理现状及存在问题
随着经济社会的不断发展,电网企业所承担的社会责任愈发重大,当前电网规模不断扩大、智能化程度逐渐增强的同时,也面临着建设任务繁重、设备老化、负荷增长过快、外力破坏、自然气候恶劣等问题,这些都对电网安全可靠运行造成威胁。电网检修计划专业要通过安排合理的停、送电检修计划完成基建项目建设、设备检修处缺、用户报装送电等,达到改善电网结构、提高设备运行健康水平、满足用户可靠用电的目的。
目前检修计划管理更多地依赖人为经验,与相关部门沟通协调不足,没有标准的核心流程,无法满足企业及电网的发展要求,且存在如下三方面管理短板:(1)缺少核心流程固化,出现管理空白。由于检修计划涉及专业多、周期长、节点多,在任何一个环节出现问题都将影响电网检修工作的实施。如果多个部门及专业间业务流程不能很好地对接,管理制度及标准不统一、多头管理、界面不清,就容易出现管理空白点;(2)存在信息壁垒,横向协同不足。信息系统进行数据维护局限在本专业,信息无法实时获取、有效共享,容易出现重复停电。此外,检修申请需要经过可靠性、重要用户、保电任务、设备情况等多专业信息的校验,信息壁垒拉长了审核时间;(3)基础管理松动,风险管控能力不强。在检修计划管理过程中,存在一些较为普遍的基础管理问题,相关资料的及时性、准确性有待提高。部分业扩、基建工作因为“时间”和“现场”两大因素的不确定性,对安全生产埋下隐患,不利于风险管控。如何合理安排综合停电检修计划、融入风控措施、降低电网运行风险,如何在保证计划刚性执行的同时,把握检修节奏,确保相关重点工程按期实施,是检修计划管控及风险防控面临的形势和主要解决的问题。
2 建立协同机制,改善管控措施
针对以往电网输变电设备检修计划工作中的问题,我们通过建立协同机制,梳理优化了检修计划管理核心业务流程,以信息化手段固化流程标准,将人员岗位与流程环节一一对应,选定并监控关键环节,识别对应绩效指标,在实现跨专业的横向协同的同时,推动检修计划专业的纵向贯通。
2.1 流程之间无缝衔接,建立流程管理新模式
通过端到端流程梳理,将检修计划管理全流程与相关业务流程进行衔接,完成与设备大修管理流程、设备缺陷管理业务流程、业扩全过程管理流程、基建工程综合管理流程以及供电可靠性管理流程等其他专业核心业务流程的无缝连接,消除专业管理的交叉点和空白点。
2.2 流程对接信息系统,依托“大数据”打造“多维度”检修计划任务池
在检修计划制定阶段,应用“大数据”工具集成各专业系统建立了多维度“检修计划任务池”,通过实时读取各专业系统信息,第一时间将各类需求纳入池内实时滚动,为调度部门及时了解检修需求,捏合同类申请、优化检修计划安排提供信息支撑。另外,“多维度”体现在各专业间的信息横向协同共享。每一项检修申请都要经过N-1、能否带电、陪停、保电任务、重要用户、重复停电、可靠性等信息校验,即在计划编制阶段通过对跨专业、多维度条件的校核,提前进行电网安全风险评估。
2.3 采取“全、强、重、严”策略,实现风险全面管控
提出“全过程、强管控、重评估、严把关”的管理策略,明确专业管理要求,推行重大工程停送电标准化管理,实现各专业全过程跟踪;有效强化电网运行各环节风险管控,建立“月分析、周预警、日校核”风险管控机制,预警通知,督促风险防控的落实;重点流程引入过程评估;严把资料审核,确保基础资料的及时准确。
2.4 “两纵两横”,加强协同
应用协同机制,纵向加强与主网停电计划安排上的沟通、配合,加强电网运行方式管理,深化细化两级电网安全稳定分析,合理安排运行方式,做严做细检修期间电网运行风险评估。通过风险评估,优化停电计划安排,调整运行方式,制定专项事故预案。横向加强与兄弟单位调控系统的协调工作,超前准备、有效结合,避免重复停电,构建更全面的风险防控体系,提高电网供电可靠性。
3 具体案例分析
为配合某220kV变电站电源线施工,对施工路径上的现有4条110kV线路进行切改迁移及架空入地改造,归属基建工程。工程施工共涉及4座220kV公用变电站、5座110kV公用变电站、3座110kV用户变电站、4条110kV线路;需要4个单位、6个部门、11个专业进行全过程配合完成。
在获取施工信息的第一时间,建设部门即将4条110kV线路检修需求录入本专业系统,“检修计划任务池”同时监测到其他部门有相同设备检修需求,在年度检修计划制定过程中,我们捏合了相关变电站避雷器预试、设备例行试验等工作。在季度停电计划任务池中,营销部提出了相关业扩工程检修需求及用户站内部检修停电需求,涉及线路与该切改工程一致。通过梳理以上信息,为我们在月度检修计划编制过程中提供参考依据,实现了综合线路、变电站、用户站等多方面的停电需求,避免重复停电。
在停电施工方案审核环节,建设部门组织调度、运检、营销、安监等专业对《线路切改停电施工方案》进行审核,各专业部室根据专业管理职责、制度和标准,通过方案审查、安全分析、承载力分析、停送电时序、电网运行方式调整、风险管控等方面的审查,最终形成准确可行的停电施工方案,经调控中心批准停电计划后,正式执行。整个过程实现了多管理体系协同运转,打通了专业、部门壁垒,保证了流程的有效流转。
以电网倒闸操作流程为例,通过检修计划专业流程与上线运行的“两票”系统、风险预警系统进行对接,调控中心日检修计划“两票”编制人员,按照新设备投入申请,检修申请票,方式单、批准书、保护定值等资料,准确编写变电站倒闸操作票。同时《电网风险预警通知书》,由运检部、营销部、安质部、办公室进行会签,并反馈落实措施。所有工作节点达到了上线系统对专业流程的全过程管控,流程对专业工作的指导和助力更显增益。
4 管控成效分析
基于全流程的检修计划过程管控及风险防控全方位提升,从针对日趋复杂的外界环境和提高内部管理水平的角度,统筹考虑,创新探索出的全周期、全覆盖、全集成的停电计划管理理念。深化应用协同机制,建立多专业间的流程无缝对接,依据不同岗位职责,将专业管理制度,标准深度融合,通过前期方案审查、方式安排、安全校核、预案编制,提前组织各部门细致审查施工方案,对施工准备、施工要求、关键节点、停电范围、停电时序、方式安排、负荷转移、事故预案、供电可靠等方面全面进行审查,形成成熟方案落实执行,大大提升了专业管理效能,确保了电网的安全稳定运行,逐渐形成节奏有控、安排有序、工作有效的安全生产新秩序。
虽然合规性通常只是最高管理层考虑的问题——董事会成员从法律上有责任创建一个能够保证企业遵守所有规定的体系。但是违反规定也可能对高管个人产生影响。现在的问题在于,如何对合规风险进行恰当管理?
独立合规部门不多见
对于公司如何进行合规性管理,减少违反规定的风险,一项对全球约40家领先制造商的合规部高管的深入访谈给了我们答案。
大部分公司希望能够扩展他们的合规体系。此外,57%的合规专家称他们很有可能寻求外部帮助,特别是向人事部门寻求反腐败、数据保护和产品安全问题的专家。
基层管理人员对合规体系的认知程度与高管相比明显不尽如人意,这表明公司迫切需要做出管理上的努力,以实现所有管理层级对合规管理的认同,确保合规体系得以有效实施和运作。
大部分公司没有独立的、直接向董事会报告的合规部门。
外部资源对于合规体系的建立非常有益。采用这种方式,管理人员就不会因为花费过多精力在合规体系的日常运作中,而对日常业务有所懈怠,同时该体系被过度设计的风险也会更小。这些外部专家可以提供资源和重要的知识,协助建立一个精益且独立的合规体系,这一体系见效迅速并且保证长期高效。
最有效的合规体系整合了合规以及流程管理。这为成功建立全公司范围的合规体系打下了坚实基础。
据悉,该项调查集中于8个主要的合规领域:安全与环境(HSE)是最广为人知和广泛研究的;反腐败和数据保护是合规讨论中相对新鲜的话题。其他领域还包括产品安全和健康、IT安全和保障、劳动法、公平竞争和出口控制。
值得一提的是,尽管89%的受访者都表示所在公司已建立了合规部门,但是他们之中设立独立合规部门的还不到一半(41%)。近三分之一的人表示由法务部负责合规相关事宜。同时,将合规责任纳入其他部门,而不是组建独立的部门,效果会适得其反。比方说如果法务部负责合规,那么增强透明度和及时控制违规行为之间就会产生矛盾。这样做实际上只是从理论的角度强调了法律合规性,而并没有合规的执行以足够的重视,这通常意味着合规管理并不能完全渗透到业务流程中。
调查还显示,所有合规高管中,47%的人认为北美的监管最严格, 25%的人认为欧盟监管最严格,19%的人觉得地区之间并没有明显差别。总之,向新区域扩张的企业应该做好准备面对合规风险,尤其是在北美地区。
将合规融入商业流程
从技术的角度来说,将合规融入商业流程非常困难,但并非不可能。调研中,有70%的受访者认为这是成功实施合规管理的关键要素。那么,如何将合规融入流程管理?可以分为三个阶段。
流程设计。所有标准化的商业流程都是按照合规管理的要求设计的,包括制定风险缓释措施、分配任务和岗位职责(比如HSE官员)以及设定整个公司的流程。通常,有必要设立审批门槛,系统地检查某些管制物品有没有在禁运地点进行交易,并且明确规定交易资金流的上限。
规章制度与流程挂钩。现有的商业流程中通常涉及诸如处理有害物质等特定职责。这通常需要与律师、特定专家以及质量和流程经理密切合作。较理想的情况是,以最少的行政手段执行所有相关职责,因为生产人员负担过重不利于合规体系的高效运作。为了建设一个透明而精益的合规体系,流程整合应该涵盖三个方面:在流程中贯彻规章制度并且充分依照手册操作;制定并定期更新授权路径和职责;设立能够反应个人职责的自动跟踪确认机制。
建立监控体系,监控违规风险最高的流程。这个体系包括人工或自动执行的定期检查的监控点。监控体系的核心是中央文件,它记录了将所有旨在发现违规行为,重新评估风险以及为持续改善提供基础的监控活动。
需要指出的是,在实施阶段,合规体系对资源的要求是最高的,因为这个时候新的标准和流程必须与现有流程相一致。而一旦体系开始运作,资源需求就会慢慢降低。合规部门若过于庞大,就会因官僚作风过盛而对商业活动造成负面影响——近20%的受访者提到,这一情况曾经在他们公司出现过。
此外,如果运作得当,独立的合规部门可与其他相关部门(法务、质量和内部审计)密切合作,并保持中立,同时确保专家投入和相关知识能在合规领域进行交流。此间,不妨建立一个直接面向执行董事会的汇报制度,以保证资源充足并体现合规的重要性。
建立合规体系最佳方案
进一步的,如果建立起合规体系的最佳方案,这个框架不仅能使高管层和董事会成员免于因违规而承担责任,同时还能在违规造成损失之前进行预防与监测。
治理环节被置于该框架的最上层,凌驾于集中立性、效率和效益于一身的合规部门之上,确保公司上下明确各自职责,避免因整体合规目标与精益流程之间的矛盾而降低效率。框架的基础是资源,这些资源需要配置给(通过风险评估得出的)最薄弱的领域。框架的主体部分,包含整合流程和获得认同,并依照预防、监察和应对的原则进行运作。
在所有的合规领域中,相关法规制度要贯彻在流程中,并且要通过内部控制体系监控流程。这些流程旨在尽可能预防合规问题的产生,从而寻求透明的方式监督合规操作。通过记录的文件,可以不断调险缓释举措,更新流程并且重新界定岗位职责,以便更好地弥补实际存在的合规差距。中央信息库可用于不断改善流程,并且记录公司以及公司管理层为合规做出的努力。
如果公司上下不能达成统一认识,共同合作,那么即使是最高级的合规体系也是没有价值的。改变管理方法(比如增进管理层与合规相关人员之间的私人联系)和开展培训、研讨会以及更新控制体系同样重要。为达到这个目标,执行董事要起带头作用,积极支持合规部门的所有工作。
必须指出的是,对高管来说,斥资建设合规体系的最大动因是出于个人责任。事实上,尽管管理层在其他方面犯的错误常常迫使高管更换公司或者行业,但专家们坚定地认为在合规性方面所犯的任何错误都会终结个人的职业生涯。