【关键词】内部控制,存在问题,风险管理,措施
一、施工企业内部控制管理现状
近年来,随着市场经济的发展和企业改革的不断深入,大部分施工企业在一定程度和范围内建立了内部控制制度,为了加强对管理提升的组织领导,推进内部控制管理的深入开展,一些企业成立了专项小组,加强对日常工作的督导和协调工作,并制定了管理目标,使企业基础管理工作明显加强,管理创新机制得到明显改善,但当前施工企业的内部控制现状并不理想,体现在企业管理运作的方方面面,主要表现为:有内控无制度,自发的控制;有制度无控制,制度不具备操作性;有控制有制度,未形成体系,存在缺陷。
二、施工企业内部控制管理中存在的问题
1、内部控制意识淡薄。目前,施工企业的许多一线人员甚至是管理人员认为内部控制管理是公司领导和部分部门的责任,员工对自己在内部控制管理中所起到的作用模糊不清,一些政策和相关程序的实施没有得到有效的贯彻落实;风险意识没有提高到应有的高度,企业的高层没有经营风险的概念,缺少风险防范机制;甚至某些施工项目的经济部门利用内部控制不严的漏洞贪污受贿、挪用项目建设资金,违规违纪现象时有发生。
2、内部控制制度不健全。有些施工企业对内控制度不够重视,虽然对工程项目的关键过程进行了控制,但缺少完整细化的运作流程,不便于业务人员的学习和执行。部分制度规范滞后、设计不完善,没有对所有的部门和员工进行覆盖。
3、内控制度不能有效执行。有的施工企业有规章制度,但流于形式,或为应付上级检查而制定;有的制度本身制定不合理,过于理想化,或随着新情况的出现,原有制度已不能适应却没有及时修改,从而使制度不具备可操作性;有的施工企业对内部控制执行情况既没有检查监督,也没有奖惩措施,缺乏保证内控制度执行的机制,内控制度成为摆设。
4、内部监督独立性不强。内部监督过于集中在财务领域的内部审计职能,监控上缺乏独立性。在对内部控制实施监督中,虽然有些施工企业设置了审计部门,但是在实际操作中,内部审计部门基本上与其他职能部门平行,且内部审计受制于人,致使监督职能无法履行。
5、信息沟通不畅。大部分施工企业没有一个开放和畅通的信息反馈渠道,企业对反映问题的员工没有相应的保护和激励措施,造成管理层无法真实、全面地了解企业运行的情况。
6、风险体系未建立、评估机制不健全。一些施工企业未建立风险内控体系,没有明确承担相应风险的主体,面临风险时各部门互相推诿责任,错失化解或减小风险的最佳时机。受知识能力的限制,相关人员对潜在的风险缺乏整体性认识和系统性分类,对风险评估方式、方法、程序的缺乏了解,没有对企业的风险承受度进行评估分析,无法应对各类风险的冲击。
三、加强施工企业内部控制管理的措施
1、强化风险意识,培育内部控制理念。内部控制的实质是风险管理,市场竞争日益激烈,企业经营者不仅要有竞争观念,也要有风险意识,不仅企业经营者有风险意识,全体员工也要有。通过召开风险内控专题会,强调风险内控工作的重要性和必要性,充分调动企业建立健全内部控制的主动性,从上到下营造内部控制学习的积极氛围,培育良好的内部控制环境,确保风险内控工作开展的有效性。
2、健全企业内部控制制度。施工企业应该根据自身实际情况,制定满足管理需要的内控制度,明确规定各种业务的职责分工和程序,从市场开发、人力资源、安全质量、物资设备采购、全面预算、信息化运用、法律合规、反腐倡廉等方面进行制度完善;所属项目部在贯彻落实上级规章制度的同时,结合项目实际对相关制度进行细化,协同推进内控制度;根据企业运行情况,弥补内部控制制度缺陷,进一步修改、完善各项管理制度,保证内部控制制度体系的完整性。
3、建立健全风险内控管理体系,提高风险防控能力。在风险理念的作用下,内部控制已扩展为企业风险管理框架,企业必须了解它所面临的风险,并加以控制,建立健全可辨识、分析和管理风险的管理体系,完善风险预警系统和控制预案机制,建立健全以前期防范、中期控制为主,后期救济为辅的法律风险防范机制,及时应对和化解来自各方面的风险和危机,为企业改革发展提供坚强的安全环境保障。
4、加强企业内部控制评价系统的应用,全面总结,落实整改。企业管理者应对风险造成的损失和应对中的教训进行总结,开展自我评价,进行缺陷认定,对诊断发现的短板和瓶颈问题,集中精力全面整改,为下一步的内部控制管理工作奠定基础,以风险为契机,不断完善企业管理的薄弱环节。
5、强化内部监督职能。内部审计应当保持相对的独立性和权威性,强化内部审计的职能优势,以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度,针对资产管理、全面预算、劳务管理等内容进行审查评价,促进企业改善内部控制管理。
6、加强信息管理和沟通。建立信息管理系统和内部共享的沟通平台,推行资金集中管理使用、经营市场统筹开发、物资设备集中采购、劳务队伍合规择优选用、闲置资产集中利用等措施,保证部门之间可以有效地传递信息,使管理层及相关部门能够实时掌握企业的运行情况,便于及时发现问题,调整策略,解决问题。有了畅通的信息系统,也要明确相关的责任,营造良好的工作氛围,提高内部控制执行的质量。
7、建立健全防腐败体系,提升反腐倡廉能力。扎实推进廉政文化建设,使广大干部廉洁从政、拒腐防变的思想基础更巩固,进一步形成以廉为荣、以贪为耻的风尚,为企业改革发展营造环境。
关键词:风险管理;内部控制;结合
内部控制主要通过展开各项控制活动,提高企业的管理效率,推动企业的发展。风险管理实际上包括了内部控制,且当前现代化企业的内部控制正在向以风险管理为主靠拢,因此二者间的关系备受关注[1]。在市场竞争愈发激烈的情况下,企业所要面临的风险属于客观存在,内部控制是其中的薄弱环节,对内部控制健全风险管理体系十分重要。
一、内部控制和风险管理的联系
内部控制指的是在企业实施管理制度的条件下,进行内部控制的有效监管,达到防范内部风险并提高经济效益的控制方式;风险管理指的是企业管理层根据企业在经营和发展的过程中可能会出现的风险做科学的辨识、评估和预防,以有效的防范措施有效地控制可能发生的风险,将风险的影响降到最低的管理行为[2]。二者间的联系为:
(一)加强风险管理能够减少内部控制的成本,并提高内部控制的效率。现阶段大部分的企业没有树立正确的风险管理意识,内控执行力度较差,内部控制体系中存在缺陷。企业应确保内部控制和风险管理有效结合,减少生产经营中的风险,减少内部控制的成本,强化内部控制的能力。(二)加强内部控制能完善风险管理的体系,使企业规范化发展,规避风险,提高效益。且内部控制可对企业可能面临的风险进行分析、评估,给风险管理决策提供依据。
二、内部控制和风险管理的有效结合
(一)将风险管理纳入内部控制考核
要做到内部控制和风险管理的有效结合,风险管理的控制部门应在掌握企业内部控制开展情况的基础之上,以企业风险管理的实际情况为依据,定期对风险管理进行全面、有效的监察,制定具体全面的风险管理评定标准,将评定标准和内控考核机制有效结合,使风险管理有布置、有监察、有评估,确保内部控制和风险管理的有序展开,改善内部控制的环境,有效规避风险。
(二)建设良好的内部控制环境和风险管理文化
良好的内部控制环境能够促进工作人员养成良好的执行习惯;良好的风险管理文化能够使管理人员树立风险意识[3]。以风险事件给生产经营和经济效益带来的不利影响警示工作人员,并以风险管理和控制的成果令管理人员意识到风险管理和内部控制的作用。企业在启动或变更管理程序、涉足新的领域时,也面临着新的风险,企业应转变观念,从“需要内控”转为“想要内控”,并延伸至“如何进行内控”的意识,推动企业的内部控制环境建设。其次,企业需密切观察企业内部和外部的环境,对内控机制进行调整,明确生产经营的目标,结合相关案例,增强全体员工的风险意识,促进内部控制和风险管理有效结合,把风险管理当做内部控制的导向,完善内部控制的体系。
(三)确保内部控制和风险管理主体一致
企业的内部控制和风险管理不可使用两套班子或两张皮的方式,应确保内部控制体系和风险管理体系的一致性,明确企业决策层人员、管理层人员、风险管理人员、内部审计人员等的职责。这样一来,首先,能够让企业的决策层人员和管理层人员达成风险共识,保证内部控制和风险管理部署的统一性,使控制管理顺利进行。其次,能优化企业的风险预警系统,有助于风险防范措施的制定和执行。内部控制和风险管理是同一个管理范畴,而不是独立的,企业应将自身的技术能力和外部的环境、发展状况等因素相结合,选择管理建设的重点。当企业面临的经营风险较大时,风险管理体系需发挥其主导作用,进行有效的内部控制;当企业面临的经营风险较小时,需重视管理,使内部控制机制充分发挥其主导作用,同时做好风险管理的工作。
(四)全面加强企业员工风险意识
企业应组织工作人员进行风险文化知识的教育培训活动,加强工作人员的风险意识,奠定风险识别的基础。此外,还应展开风险评估的知识教育及培训,以企业的具体实际制定相应的风险评估标准和评估方式,并展开专业性、针对性的风险评估活动,与内部控制相结合,明确员工的分工和职责,使员工掌握专业的评估方式和技术,提高内部控制和风险管理的有
效性。
(五)加强企业风险评估
风险管理需明确每一位工作人员的分工和职责,同风险控制有效结合,详细分析、识别企业中各个部门可能发生的风险。经过识别的风险应根据可能性和评级合理地进行分类、汇总,列出风险清单并初步编写风险评估报告,深化企业的内部控制和风险管理。企业在财务管理、发展战略、生产经营、法律法规、市场环境等存在的风险,需分析其风险程度,划分风险等级;根据风险的属性,制定针对性的防范措施;以风险控制对策为依据进行风险控制点的设置,明确风险控制点工作人员的职责,保证风险管理和控制措施的有效执行。企业应制定合理科学的风险评估方法,确保其严谨性,全面加强内部控制和风险管理的效率。
三、结束语
企业应树立正确的内部控制、风险管理意识,并将二者有效结合,才能提高风险防范和抵抗的能力,减少风险给企业发展带来的不良影响。
参考文献:
[1]王艳芹.企业内部控制管理与风险应对的一点思考[J].科技视界,2014(36):304+306.
我国商业银行在内部控制上存在制度不健全,缺乏有效风险评估等问题,只有解决了这些问题才能保障整个银行业的稳健发展。
一、商业银行内部控制的因素
商业银行内部控制由以下五方面因素构成:
(一)内部控制环境
银行应建立完善的公司治理组织架构,分权制衡;银行应制定明确的内部控制政策,规定内部控制的原则和基本要求;应建立分工合理、职责明确、报告关系清晰的组织结构,明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限。
(二)风险识别与评估
银行应建立和保持书面程序,以持续对各类风险进行有效的识别与评估。
(三)内部控制措施
银行应对其业务和管理活动采取控制措施;应考虑计算机系统环境下的业务运行特征,建立信息安全管理体系;应建立并保持预案和程序,以识别可能发生的意外事件或紧急情况。
(四)信息交流与反馈
银行应建立并保持信息交流与沟通的程序,应建立并保持必要的内部控制体系文件。
(五)监督评价与纠正
银行应对内部控制绩效进行持续监测,对内部控制体系实施评价,董事会应采取措施保证定期对内部控制状况进行评审,并根据评价结果进行持续改进。
二、商业银行内部控制建设要点
(一)会计制度建设
根据中国会计相关准则的相关要求,商业银行制定了各类业务会计核算制度,建立了规范的会计工作秩序,保证会计资料真实完整和本公司财务报表编制的真实和公允。
(二)商业银行建立完善的内部审计运作机制
一是建立了由一般准则、作业准则、工作规范等组成的制度体系,以及现场与非现场并重的检查模式。二是设立了独立于业务经营管理之外,独立行使检查、监督、评价职能的审计部门,各一级分行根据机构设置条件和经营管理要求设立分行审计部门。三是建立了总行审计部向董事会的垂直报告路线,审计部负责人由董事会任命,年度审计计划由董事会审计委员会批准,审计结果直接向董事会、监事会报告;日常审计工作由副董事长直接分管,并接受监事会和高管层指导。以战略、风险、价值为导向,从加强对全行内控状况、风险状况的评价,加强区域性、系统性风险的揭示入手,持续加大审计检查力度,进一步转变审计管理流程和模式,有效地发挥了内部审计独立监督、评价的职能,进一步推动了商业银行内控管理水平的提升。
三、内部控制关键要素与措施
报告期内,商业银行结合市场环境,围绕新的发展战略,从内部控制五要素出发,进一步提升经营管理水平和风险防范能力,保证了各项业务持续、平稳、健康发展。
(一)优化内控环境
本行持续优化公司治理结构,根据新的发展战略调整全行组织架构,精简管理层下设委员会,调整内控机构设置;科学界定前中后台、总分支行及附属机构的职能;持续完善人力资源政策,助推业务发展;有效落实各级行、各部门、各级人员在内控体系建设中的作用与职责,夯实内控管理基础;持续开展多层次培训,加强核心人才培养,加大全员岗位培训力度;高度重视企业文化建设工作,在发展战略中明确“人性化的员工管理、标准化的柜面服务、数据化的业务运行和差异化的客户服务”的企业文化建设目标。
(二)提高风险识别与评估水平
本行结合新的发展战略以及风险管理体制改革方案,制定精细化和差异化的内控管理政策与措施,有效提升风险识别与评估水平。信用风险方面,全面量化信用风险管理,启动“信用风险公司客户评级优化项目”,以数据分析和预测模型为依据实现行业信贷风险前瞻性识别与持续性防控;市场风险方面,在年度授权和日常风险审批中对相关产品包含的市场风险因素进行充分识别和评估,积极加强和完善市场风险限额管理、日常监控和报告;流动性风险方面,持续对资产负债的总量和结构、流动性缺口、备付指标的变动进行监测,综合评估全行流动性风险状况,有效应对流动性紧张的市场波动,确保了全行流动性安全;操作风险方面,全面推广操作风险系统及操作风险三大管理工具,为风险识别与评估提供管理运用平台,组织全行对重要业务领域的关键流程进行RCSA评估,分析、优化现有控制措施有效性;声誉风险方面,持续加强舆情监测、处置力度,高度关注微信、微博等新兴媒体的舆情监测,通过舆情提示单、媒体沟通等方式总分联动化解风险;信息科技风险方面,建立问题主动管理的机制,通过系统健康检查、日常巡检、趋势分析、厂商巡检和漏洞扫描,在全行范围开展电子银行信息安全检查、电子银行安全评估、互联网应用系统渗透测试等工作,主动识别潜在风险隐患。
(三)完善内控制度和措施
本行制定《内控梳理管理办法》、《内控台账管理办法》等规章制度,固化了内控实施要求,实现各项内控管理工作的常态化;选取与业务发展和客户端联系密切的流程作为内控梳理及风险与控制自我评估的重点;优化理财业务审批流程、集中采购流程、信息系统开发流程,进一步处理好风险控制与审批效率的问题;完善内部控制措施,信用风险管理方面,严格落实贷款三查;流动性风险管理方面,通过货币市场、公开市场等多种渠道和手段增加流动性资金来源,确保全行流动性安全;操作风险管理方面,针对目前易发、频发操作风险隐患,加强风险提示和流程梳理,针对同业风险事件及时警示全行加强风险管控;市场风险管理方面,持续加强对市场风险的限额管理;信息科技风险方面,深入开展系统和应用监控部署工作,强化性能容量管理,提升生产风险事件预防能力。
(四)加强信息交流与沟通
本行加强重大风险事件报告管理,提升对重大风险事件的反应能力,有效防范和化解风险;加强风险提示与风险信息共享,对个人征信系统应用、克隆银行卡、信用卡套现、银行卡盗刷、贸易融资金融服务等业务中存在的风险隐患进行深入剖析,提示风险要点和应对措施,增强员工依法合规经营的自觉性;全面总结各分行运营状况和先进经验,通报全行共享,推动全行提升风险防范能力。
关键词内部控制风险管理风险管控
一、国有企业风险管控现状
根据国资委等外部监管机构对内控风险管理工作要求,部分国有企业自2007年开始着手建立内控与风险管理体系,编制了内部控制工作手册,建立了风险库和风险评估工作手册,并下发了配套的内控评价和风险管理相关工作办法,形成了定期开展风险评估及内控评价工作的机制。但当前国有企业在内控风险管理工作方面还存在以下问题:
(一)内控风险管理工作水平参差不齐
虽然部分中央企业已建立了内控风险管理体系,建立了定期或不定期风险评估机制,并开展了风险信息化系统建设。但仍有部分企业的风险管理工作刚刚开始,风险评估常态化机制尚未完成,企业内控风险工作建设相对还比较落后,风险管控水平较低,有待进一步加快。
(二)内控风险管理工作实效性不强
虽然已建立了内控风险管理体系,但风险管理工作缺乏完整性和专业性,近年来国有企业在投资、安全环保、人力资源、现金流等方面的重大事件时有发生,不可避免地给企业造成了经济和声誉损失,也凸显了部分企业在重大风险管控方面的薄弱环节。
(三)风控管理信息化建设落后
整体来说国有企业的全面风险信息化建设进度较为缓慢,只有部分国有企业建立起风控管理信息系统。信息技术在企业各项风险管控工作中的应用仍不充分,无法满足企业对信息收集、风险评估、预警测试、沟通报告等工作的信息化要求。已建立起风控信息系统的,其风控系统与企业其他业务系统的融合不足,不能有效量化风险水平,做到实时预警。
(四)风险管理评价与考核机制尚未形成
目前大部分国有企业尚未建立明确的风险管理考核评价办法,对风险管理评价内容、标准的设置以及评价结果的应用等方面缺乏清晰、统一的认识。即使已建立了风险管理考核办法的企业,但实际执行效果不佳,未能真正与企业业绩考核体系有效融合,发挥对风险管控的促进作用。
(五)风险意识薄弱
虽然针对国资委等外部监管机构要求,国有企业建立了内控风险专职部门,并开展了风控体系建设工作,企业领导也对风险有了初步认识,但风险意识仍然比较薄弱。目前,国有金融企业对风险控制比较重视,但仍有不少企业认为风控是可有可无的,工作往往流于形式。相反,不少民营企业家有着很强的风险意识,华为董事长任正非在《华为的冬天》中对华为在迅速发展过程中面临的风险进行全面剖析,他认为,企业从上到下,如果没有真正认识到危机,当危机来临的时候,就会措手不及。
(六)风控管理人才水平参差不齐
由于风险管控对于企业来说仍然属于新生事物,企业风险防范和控制涉及领域广,需要大量高层次的复合型人才,目前国内外对于风险管控方面比较权威的系统性培训和专业认证也较少。因此,企业风险管控人才队伍建设难度较大,风控管理人才水平参差不齐。
二、风险管控能力提升目标和原则
(一)战略导向和风险管控并重的原则
要科学处理业务发展和风险管控之间的关系,既要通过风险管控保证企业的稳健发展,防止颠覆性风险的出现,又要利用经济和市场变局抓住机会风险促进企业可持续发展,积极寻找企业发展与风险管控之间的最佳契合点。
(二)多种风险应对策略并举的原则
风险管控的原则并不是单纯使风险最小化,应该是确保将风险控制在与总体目标相适应并可承受的范围内。要选择适合企业实际情况的风险应对策略,对于重大风险,应做好风险管控措施。
(三)务求实效的原则
应密切关注日常风险控制措施的执行情况,明确风险应对的主责部门及岗位,确保控制措施的有效执行,定期检查管理制度的完整性及适用性,及时对管理制度进行补充、更新和完善,以适应日常管理的需要。
三、提升风险管控能力的具体措施
(一)融入日常管理、注重实效
风险管控工作应有效融入企业的日常经营和业务活动中,避免“两张皮”现象,切实发挥风险管控对企业管理的保障与提升作用。目前部分国有企业的风险管控工作已经与内部控制、内部审计、法律等工作相结合,今后还应加强与企业纪检监察、安全生产、质量管理、全面预算等管理体系的有效融合,提升风险管控的实效性。在企业投资并购、研发技改、采购管理以及工程建设等重大项目或重要业务活动,要嵌入风险识别、评估、监控、报告等功能,行成专项风险评估机制,为企业决策提供依据。对业务部门和分子公司重大风险管控情况要及时跟踪和监控,从源头上控制风险。一线单位要定期上报风险管控情况和风险事件,风险管控职能部门对风险事件进行备案和筛选,针对重大风险管控进展和重大风险事件进行进一步的监控和跟进,并上报企业风险管控领导机构。
(二)开展专项风险管控
要积极探索创新专项风险管控的方式方法,将风险管控的相关理念和方法有效融入专项业务活动中,形成专业性和系统性、切合实际的专项风险管控体系。针对收购兼并、研发技改等投资项目,要明确投资主体和投资审批权限,将风险管控流程融入投资决策制度中,重大投资和兼并收购活动应进行风险识别、风险分析、风险评价、风险应对,提高投资决策的成功概率,避免重大投资失误给企业带来的损失。针对投资对象应充分了解收集各类风险信息,为评估投资并购活动的各类风险打下基础;结合当前市场政策环境和未来发展趋势正确识别和评估各类风险,并与企业的风险承受能力进行比较,对于超出风险承受能力的项目坚决放弃,对于可利用的市场机会要及时把握;制定切实可行的风险应对预案,灵活应变;投资完成后积极推动并购重组的整合,防范各类整合风险,最大程度实现投资目标。
(三)建立风险评估、管控、监督改进的闭环机制
企业风险管控工作应结合内控审计、法律风险检查、纪检监察等工作,形成以风险评估、风险管控、监督改进为核心的风险管控闭环机制。在风险评估方面,要建立定期和日常评估相结合、年度和半年度/季度评估相结合、职能管理与业务层面评估相结合的常态化风险评估机制,确保风险评估的时效性和有效性。企业风险管控牵头部门每年组织开展企业全面风险评估工作,各职能部门、业务单元和分子公司根据业务需要不定期组织开展专项和日常风险评估,重大风险进行季度或半年度动态评估。在风险管控方面,要关注重大和专项风险,建立多层级的风险监控、预警、报告机制,从而提升重大风险及重要业务事项的管控效果。在监督改进方面,积极开展企业内部控制评价、内控或专项审计、法律风险检查、全面风险管理评价与考核等,以评促建,不断提升企业全面风险管理和内部控制体系。
(四)完善风险管控制度、建立风险管理长效机制
完善风险管控相关制度、流程、工作手册,固化风险管控的工作方法和经验,确保风险管控知识的及时有效积累和风险管控工作的规范化开展,也为风险管控工作在企业各层级范围内全面推广和持续开展奠定坚实的基础。要建立集团统一和各分子企业适用的内控手册、内控评价标准、风险评估手册以及内控和风险工作长效机制。各级分支机构每年开展内控评价工作和风险评估工作,并纳入到企业总部的评价报告中,完成集团整体的内控和风险体系建设实施工作。
(五)完善风险信息平台,建立监控预警机制
持续建设完善风险管控信息系统平台,建立风险管理与内控体系、内审体系以及其他办公系统的融合,构建风控一体化信息系统平台,通过信息化手段实现风险管控语言和活动的规范化、标准化。要进一步提升风控系统与其他业务管理信息系统的集成度,提高风险管控信息在集团总部各部门以及分子公司之间的信息集成与共享,解决风险管控的信息不对称问题。按照国资委等监管机构要求建立完善风险管理报告制度,强化风险管理信息沟通机制,确保风险信息传递准确、顺畅、及时、有效。在建立健全风控信息系统的基础上,探索建立多层级的风险监控预警机制,科学设定指标、模型,提升风险预警的准确性和及时性。
(六)建立风险评价与考核机制
探索研究风险管理考核评价机制,通过制度明确风险管理考核评价办法,通过考核评价真正发挥对企业风险管控的促进作用。首先,应明确企业风险管理评价内容、标准的设置以及评价结果的应用,并且统一思想和认识,使风险管理考核评价与企业现有业绩考核体系有效融合。
(七)培育风险管控人才队伍
由于风险管控对于企业来说仍然属于新生事物,企业风险防范和控制涉及领域广,需要大量高层次的复合型人才,目前国内外对于风险管控方面比较权威的系统性培训和专业认证也较少。因此,企业风险管控人才队伍建设难度较大。首先,要通过加强风险管理人员的培训学习,加大对企业各层级人员的风险管控知识的培训,使其理解风险管控工作的理论知识,熟悉工作方法和操作规程。另外要加强企业各部门风控协调员、各分支机构内控工作负责人之间的交流和经验分享,通过日常工作和专项评估检查等工作加大风控人员的相互交流学习,使得发挥其在风险管控工作中的桥梁纽带作用,也要发挥其在风控意识培育、政策宣传中的作用。还可以通过与各方合作,引进、培养、储备相关风控专业人才,为企业长期发展提供人力资源保障。
(八)建立风险管控理念,加强全员风险意识
风险管控绝不是企业一个部门的日常工作,也不仅仅是企业构架和公司运营的一方面,风险管控应该是公司整体运营的一大核心。风险意识是企业进行主动风险管控的关键,风险理念是企业进行有效风险管控的航标。强化公司的风险管控理念,需要树立一种风险信念和风险态度,促进全员风险意识的培养,将风险管控应用到公司战略制定和各个部门的日常经营活动中。要通过广泛的宣传教育、各级各类的培训、检查监督等方式,向员工灌输风险无处不在、无时不有,风险管控的责任重大。在公司内部日常经营管理中形成重制度、重程序、重证据的浓厚氛围。
四、结语
现今国内外经济形势复杂,市场竞争激烈,对于国有企业来说要想继续保持高速稳定增长难度越来越大。目前大多数国有企业正在主动适应经济发展新常态,把加快改革创新放在重要的位置。企业在经营发展、转型升级过程中面临的风险日益复杂,一些潜在风险逐步显现,我们应该更加重视风险管控体系的建设,提升风险管控能力,平衡效益与风险,促进企业更好适应国内外形势的变化,确保企业持续健康稳定发展,提升核心竞争力,保障实现战略目标。
(作者单位为中国民航信息网络股份有限公司)
[作者简介:袁月(1979―),女,北京东城人,硕士。]
参考文献
[1]国资委企业改革局.2013年度部门中央企业全面风险管理汇总分析报告[R].2013.
加强和健全内控机制,建立健全内部监督体系,已成为寿险行业的共识。本文从行业发展的现实需求出发,分析目前寿险行业内部控制管理现状,提出了强化寿险公司内部控制的对策。
作为金融体系的三大支柱之一,保险业的健康成长直接关系到金融业的稳定和发展。自1980年恢复国内经营以来,中国保险业一直保持着强劲的增长势头,保费年均增长率近30%.2010年,全国人身险保费收入10632.33亿元,同比增长28.7%,远高于2009年10.9%的增长率。在寿险行业快速发展、市场空前繁荣的背后,寿险业发展相对粗放、寿险公司内部控制制度及机制尚不完善的问题凸显,成为制约我国寿险行业健康持续发展的难题。风险管理工作是寿险行业健康稳定发展的生命线,而内部控制是企业风险控制的第一道防线,在风险防范中发挥着基础性和关键性的作用。在保险行业面临复杂形势、面对激烈竞争态势的情况下,如何强化寿险公司内部控制、夯实行业发展的根基成为保险业关注的重要课题。笔者试就健全寿险公司内部控制机制的对策进行初步探讨。
(一)强化管理层对内部控制的责任
建立健全内控机制是公司持续健康运营的前提,是公司管理层的应尽职责。实践证明,管理层对于内控建设的态度在很大程度上决定了公司的内控水平。因此,推进寿险公司内控建设,首先要明确管理层在建立、维护公司内控机制方面的责任,提高管理层的重视程度;其次要将内部控制建设的水平纳入考核制度,并将考核状况与机构年度绩效密切挂钩,引导管理者自发提升公司的内部管控水平。
(二)推进内部控制制度体系的建设
一是建立专门机构或指定职能部门专门负责内部控制制度的制定与维护工作,以确保内控制度的统一性、协调性和连贯性。二是对现行的内部控制制度进行全面梳理,制定统一规范的内控制度体系文件。内控制度应覆盖整个公司的所有业务管理行为,指出每项业务行为的关键风险点。三是坚持完善和动态调整的原则,根据工作需要及经营管理中发现的缺陷和薄弱环节,建立制度跟踪反馈、调整评价机制,及时对各项管理制度进行修订、补充和完善。定期对公司的制度进行一次分类梳理和汇总,保持内控制度的合理性、完整性、有效性。
(三)强化执行力建设
能否真正实现通过内控机制建设增强公司管控风险的能力,其关键在于执行,要强化执行力建设,可从以下方面入手:一是要完善内控考核评价体系,统筹业务发展与内控合规的关系,将内控指标纳入到对各级公司、各级领导的绩效考核体系中。二是加大现场和非现场监督力度。按照突出重点、标本兼治”的总体原则,以开展全面风险排查为基础,以规章制度执行、操作风险和员工行为规范情况排查为重点,深入清查风险,以保障制度得到有效的贯彻落实。三是建立严格的责任追究机制。在内控制度逐步健全的前提下,研究建立内部控制建设责任追究制度。对于内部控制建设不重视、存在重大失误并负有责任的人员,要建立和落实责任追究机制,追究直接责任人和相关负责人的内部控制管理责任。
(四)强化内部审计监督约束
寿险公司的内部审计是各项内部控制措施得到有效实施的重要保证,要充分发挥内部审计对公司经营管理的监督促进作用。一是建立独立、权威的内部审计监督系统。各地审计机构由总公司直接领导,对总公司负责并报告工作,以保证内部审计部门的独立性和权威性。同时,建立审计检查制度和审计处罚制度,督促各项内部管理措施和规章制度的贯彻落实。二是增强内部审计的覆盖面,充分发挥内部审计对内部控制的监督和评审功能。审计部门要将审计重心向全面风险管理和综合经营管理转移。三是加强学习培训,培养高素质的内部审计人员队伍。通过强化审计培训、组织内外部交流等方式,提高审计人员的综合素质。四是实行外部复审制度。定期聘请外部会计师事务所对内部审计工作进行抽样复查,以检查内部审计部门的工作质量,并借此监督内部审计部门的工作。
(五)建立良好的内部控制文化
企业文化是寿险公司内部控制的思想灵魂,是影响企业内部控制环境的一个重要因素。建立良好的内部控制管理文化,实现精神上的软约束”,是从根本上防范和控制风险的有效手段。一是培养内控管理理念,增强全员内部控制意识。寿险公司应通过宣传教育、学习培训等各种方式,向全体员工培养内控管理理念,使广大员工意识到内部控制管理是公司经营战略的重要组成部分,关系到公司的生存发展,确保每位员工都能在各自岗位上自觉地履行自身的内部控制职责。二是培育良好的职业道德,规范员工日常行为。制定《员工手册》,将员工行为守则、职业道德标准、违规行为界限等内容与员工日常管理规定结合起来,激发全体员工的内部控制意识,倡导各级员工合力创建优良的内部控制文化。
(六)推进风险管理的预警体系建设
虽然传统上我国商业银行对操作风险的管理十分重视,但由于银行自身治理有效性不足,风险控制文化缺乏,内部组织结构不合理,缺乏现代风险理论和技术支撑,信息化水平不高等原因,商业银行尤其是规模较小的城市商业银行对操作风险的管理能力有明显欠缺,由此产生的案件时有发生。
强化内部控制和操作风险管理理念,建立良好的风险控制企业文化氛围。
对于城市商业银行来说,引进国际银行业先进的操作风险管理理念,形成良好的风险控制企业文化是迫在眉睫的任务。现代银行操作风险主要来自内部控制和外部事件两个层面,主要包括人员风险、制度和流程风险、技术风险以及操作策略风险。
银行操作风险的防范主要依赖完善的内部控制。巴塞尔银行监管委员会1997年在《有效银行监管的核心原则》中提出:银行最重大的操作风险在于内部控制及公司治理机制的失效。根据《商业银行内部控制指引》的定义:内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。
与国内其他商业银行相似,锦州市商业银行成立初期注重资产规模的扩张和市场占有率的提高,希望在区域银行市场获得一席之地,以完成最初的生存和发展需要。在这一发展阶段,银行的风险意识还处于萌芽状态,虽然从管理层到员工都能够意识到风险的重要性,但是在制度上缺乏风险控制的有效手段和科学方法。随着市场竞争日益激烈及银行风险监管要求的不断深化,管理层深刻地意识到必须形成风险控制企业文化,建立科学的风险管理和内部控制体系,将先进的风险控制手段和方法与银行自身经营特点相结合,做到“实用、管用和会用”,从而全面提升银行的风险管理水平。
为在较短时间内使风险管理和内控能力获得实质性提高,锦州市商业银行对风险管理和内部控制体系进行了全面再造。通过风险管理和内部控制项目的实施,引入了科学的银行操作风险管理理念,加强了对管理层和员工的内部控制和操作风险管理理念和方法的培训。在银行内部,将风险管理由高深的理论变为所有银行员工的自觉意识和行为,从银行高层管理者到基层员工对内控和操作风险的内容和含义有了准确的理解,清楚地认识到银行内控和操作风险和每名员工的相关程度。
与此同时,项目小组对原有绩效考核和薪酬体系进行了重新设计,将包括操作风险管理在内的全面风险管理内容融入其中,使内部控制和风险管理不仅是对员工日常工作的要求,并且成为衡量部门绩效的成本因素,直接影响部门的经营效益考核结果,进而形成管理者和员工风险管理的激励机制。通过事前培训、事中监督和事后考核,已形成良好的内部控制和风险管理企业文化氛围。
进一步完善风险控制的组织结构和岗责体系。
完善的组织架构是保证内部控制和风险管理的组织保障,科学的岗位职责设计能够确保每名员工在内控和风险管理工作上权、责、利明确分工,进而通过合理的绩效考核和激励机制保证执行。项目小组结合内控和风险管理的科学理念对自身的组织架构进行了改造,对岗位职责进行了重新设计。
良好的公司治理结构是商业银行进行有效风险管理的制度基础和前提。锦州市商业银行通过加强公司治理,强化股东会、董事会职能,从源头上提高内部控制和风险管理意识。在项目实施中,进一步强化董事会和各委员会的职能,确保董事会能够真正在银行重大决策中发挥作用。在完善原有职能的同时,成立资产负债管理委员会、审计稽核管理委员会、提名管理委员会、信息管理委员会和战略发展委员会,进一步加强对银行的内部控制。
在风险管理和内控项目中,锦州市商业银行着重强化了风险管理部和稽核部门的工作职能。垂直、独立、权威的风险管理组织机制是加强风险管理的组织保障;健全、配套的风险管理机制是风险管理的必要手段和配套措施。为全面有效地进行风险管理,锦州市商业银行成立了由银行董事会和高管层直接领导的以独立风险管理部门为中心,与各个业务部门紧密联系的独立的风险管理体系。风险管理部负责对包括信用风险、市场风险和操作风险在内的风险进行全面管理。风险管理部运用各种管理手段,包括政策约束、流程规范及有效量化支持工具实施风险管理,将各类风险损失控制在可接受的范围内。
锦州市商业银行注重通过内部稽核部门发挥监督和控制职能。通过建立具有高度权威性与独立性的稽核部门,进一步增强其在内控评价与监督方面的职能。稽核部是全行最高的稽核管理部门,负责全行下属各经营机构以及各业务管理部门的监督与稽核,直接向董事会及稽核审计委员会负责。目前总部正着手对下属机构进行风险分类,根据不同机构的风险等级采用差别化的稽核方式,强化对存在较大风险的机构的稽核审计工作。
建立科学的内部控制、风险管理制度与流程体系。
锦州市商业银行通过完善各部门的内部控制制度、优化风险控制流程来降低和防范操作风险,将系统、标准的管理方法运用到各类业务的操作风险管理当中,全面梳理各项业务流程,建立有利于全面风险管理的内部控制体系。
为更好地体现风险管理的独立性,锦州市商业银行在原有单一的业务线基础上分离出风险管理线,建立了风险经理制度,对每家支行派驻风险经理,负责对支行风险的全面审查工作。风险经理由风险管理部管理,不隶属于每家支行,从而避免由于经济利益的驱动而导致的对风险的忽视。通过实施稽核专员制度,稽核专员负责对支行经营过程中的内部控制和操作风险问题进行现场和非现场检查,并按照各支行内部控制管理水平的不同确定现场稽核频率。
项目小组设计了风险信息报告和评估反馈机制。建立覆盖全行的风险信息报告机制的目的在于及时、全面地向决策层和管理层提供经营管理中涉及的各类风险与内控状况,确保稳健经营。风险报告路线采取纵向报送与横向报送相结合的矩阵式结构,即部门或者支行向总部对口管理部门报送风险报告的同时,必须向风险管理部门报送。建立制度评估反馈制度的目的在于及时发现、报告和纠正内部控制的缺陷,不断提高规章制度的适应性和操作性,从而增加对基层机构的控制能力。
在制度设计的同时,锦州市商业银行对原有的风险管理流程体系进行了进一步优化,减少了贷款审批环节,进一步明确了客户经理、风险经理和最终审批人的风险责任。由于引入先进的风险控制方法,虽然监控环节减少,但是信息传达的透明度提高,加之激励约束机制与风险责任的直接联系,提高了风险管理的质量,并且降低了管理成本。
建立涵盖风险管理内容的绩效和薪酬考评体系。
员工的有效激励对风险管理的科学性和效率性具有根本性影响。为提高对员工的风险约束,项目小组在建立涵盖风险内容的部门绩效考核的基础上,重新设计了薪酬考评体系,将风险考核纳入了员工激励机制。
在对部门绩效考核体系的设计中,项目小组设计了关键绩效指标体系(KPI),运用平衡记分卡实现了绩效考核要素的全面性要求,引入了包括风险调整的资本收益率(RAROC)在内的综合性银行绩效指标,避免了原有考核体系由于指标的相关性造成的激励冲突,并将风险成本和风险资本作为重要因素明确地纳入考核,体现了考核标准的科学性。在绩效考核体系的基础上,项目小组设计了包含风险管理激励机制的员工薪酬体系,通过采用不同的薪酬结构和支付期限避免了风险偏好不同的员工之间的激励冲突。
锦州市商业银行内控和操作风险管理的未来规划。
良好的内控和风险管理体系要有效地实施才能实现,锦州市商业银行将继续完善新体系的实施工作,加强风险量化管理精确化的准备工作,确保项目设计目标的最终实现。
