风险内控合规管理工作总结
风险内控合规管理工作总结范文第1篇
2008年6曰28日《企业内部控制基本规范》后,中国平安高度重视、立即行动组织项目组贯彻落实,聘请国际知名咨询公司协助项目实施,遵循“务实整合”的核心原则,秉持“以制度为基础、以风险为导向、以流程为纽带、以内控平台系统为抓手”的思路,将内控体系再次整合升级,具体包括:修订了《内部控制评价管理办法》、《内部控制自评手册》,进一步健全内控制度体系;构建了内控评价系统平台,为管理层提供风险状况及决策支持;并逐步建立完善了内控评价日常化运作机制,实现“内控人人参与、合规人人有责、内控融入业务和流程”等。
建设“三位一体”的管控机制
在内部控制治理架构与体系方面,中国平安董事会对内部控制的有效性负最终责任。中国平安董事会是一个依托本土优势并践行国际化公司治理标准的董事会,现有19名董事中,有3名独立非执行董事及5名非执行董事来自海外,这些海外董事均为金融、保险、财务、法律等专业领域的资深人士,负责内部控制的建立健全和有效实施,董事会下设审计与风险管理委员会,负责监督、审查公司内部控制的有效实施和内部控制评价情况,协调内部控制审计及其他相关事宜。
中国平安集团设立内控管理中心,包括合规部、风险管理部、稽核监察部;各专业公司层面设立相应的合规、风险管理、稽核监察职能部门。公司持续优化内部控制体系,在公司副总经理兼首席稽核执行官叶素兰(其作为首席稽核执行官根据《审计与风险管理委员会工作细则》直接向董事长、董事会审计与风险管理委员会报告工作,以确保独立性)的统筹协调与管理指导下,不断加强“合规管理、风险管理、稽核监察”三个模块职能的分工与协作,强化工作衔接与信息共享以及“事前、事中、事后”的三位一体风险管控机制。叶素兰向《董事会》表示,“三位一体”指三个专业部门在风险管控中分工、配合与协作,强化事前、事中、事后风险管控。其中,合规部门主要履行“风险事前策划应对”,风险管理部门主要履行“风险事中监测控制”,稽核监察部门主要履行“风险事后监督报告”。业务部门是风险管控的第一道防线,中国平安通过建立内控评价与考核问责,将内部控制与日常经营管理融合,嵌入业务和流程,确立内部控制的核心驱动力,将风险管控尽可能前置。合规部门和风险管理部门是第二道防线,稽核监察部门是第三道防线。
针对综合金融可能存在的关联交易、风险转移、资本重复计算等风险,中国平安通过建立完善严格的“法人防火墙”、“财务防火墙”、“交易防火墙”和“信息防火墙”等防火墙制度,将单一/累积风险控制在远低于集团可接受的水平范围内。
值得一提的是,平安一直致力于建立一个以国际领先综合金融服务集团为目标,与自身业务特点相结合的全面风险管理体系。其通过完善的组织架构、规范的管理流程、定量与定性相结合的风险管理技术方法,进行风险的识别、评估和控制,支持业务决策,促进集团有效益可持续健康发展。
中国平安总经理任汇川对《董事会》感慨道:“风控体系非常独立和严格,集团强调法规+1,之所以能放心也是因为有这套体系。”
完善内控评价机制
内控评价机制方面,中国平安确立了以内控评价方法论为基础,覆盖全部业务部门进行内控自我评价,风险管理部门进行内控风险评估,稽核监察部门成立专门的评价小组进行内控独立评价,外部审计师对公司内控状况进行审计的内控评价机制。
中国平安的内部控制评价工作严格遵循相关外部监管规定及公司内部控制评价办法规定的程序执行。由公司合规部牵头,会同各业务及相关管理部门进行管理层内控自评,由公司稽核监察部实施内控稽核独立评价,相关责任部门根据内控缺陷及整改建议制定并执行整改计划。中国平安不断完善管理层内控自评和内控稽核独立评价流程,通过加强项目管理、过程管理、质量复核、固化项目方法和程序、评价结果分类等内容,规范管理层内控自评和内控稽核独立评价工作的开展。公司通过内部控制系统平台,完成内部控制评价的发起、测试、汇总、复核、审批、整改追踪、结果分析等工作。管理层内控自评和内控稽核独立评价过程中,公司通过访谈、资料收集与研讨、专题研讨、与行业最佳实践对比、培训等方式,收集、确认、分析相关信息,确定与实现公司整体控制目标相关的风险,并在此基础上辨识与细化相对应的控制活动,然后针对控制活动进行穿行测试和运行有效性测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并书面记录工作底稿。从定量和定性等方面进行衡量,判断是否构成内部控制缺陷,对发现的内部控制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确认。
中国平安外部审计师安永华明会计师事务所对其财务报告内部控制发表的审计意见认为,于2011年12月31日中国平安按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
打造信赖工程
做好内控和风险管理工作的核心,是发挥治理架构和人的作用——这是马明哲对平安内控和风险管理工作的要求。中国平安对完善内控过程的总结还包括:管理层的高度重视是内控工作实施的必要条件;组建权责清晰、运作高效的内控组织架构是内控工作实施的前提;进行内控考核与问责是内控工作实施的驱动力;外部咨询公司的力量是内控工作实施的专业支持;内控工作需要依托公司现有基础,完善、优化、整合升级,一般情况下不宜推倒重来。
风险内控合规管理工作总结范文第2篇
关键词:税务系统;内控机制;反腐倡廉
国家税务总局局长肖捷同志在2010年全国税系统党风廉政建设工作会议上提出,2010年的党风廉政建设工作:“要突出重点,完善内控机制”。要“把完善内控机制作为惩防体系建设和反腐倡廉制度建设的重要载体,全面推进。”如何建立和完善税务系统内控机制是摆在我们各级税务机关面前的一项全新的重要工作。为了做好这项工作,我们应当对其理论渊源、制度结构内容和构建方式等问题在理论上进行深入分析,并在此基础上,结合税务系统的工作实际,提出具有操作性的政策建议。
一、税务系统内控机制理论渊源
税务系统内控机制是国家税务总局在建立健全税务系统惩治和预防****体系的过程中,认真总结多年来税务系统党风廉政建设工作成功经验的基础上,结合税务系统的工作特点,“将内部控制理论引入税务系统反腐倡廉建设”而创造的一个全新的专有名词,是税务系统各级工作人员对税务行政执法权和行政管理权运行中的执法风险和廉政风险自我发现、自我防范、自我控制的一系列制度、方法、措施的总称,是税务系统反腐倡廉工作理论创新的一个标志:也是税务系统在新形势下开展反腐倡廉工作的具体方向和思路。
1 税务系统内控机制理论是对党中央关于预防行政****理论的继承、创新和具体应用。改革开放以来,我们党的几代领导人都对如何在新形势下开展反腐倡廉工作进行了深入的研究和探讨,提出了一系列理论观点,以指导我们的工作实践。我们党对反腐倡廉战略方针的调整和一系列重大决策的部署和实施,表明党中央对预防****的理论认识越来越深刻,对反****的实际工作越来越重视,对反腐倡廉建设的工作思路越来越清晰,对惩治和预防****体系建设规律的认识和把握越来越明确。当前,国家税务总局在认真总结系统内多年来反腐倡廉工作经验的基础上,结合部门的工作特点,将在企业界行之有效的内部控制理论,作为一种理论方法和技术手段,引入到税务系统的反****倡廉工作之中,形成系统的具有部门特色的反腐倡廉工作思路和方法。应当说,这是我们党关于反腐倡廉理论与税务部门的实际工作相结合的产物,是对反腐倡廉理论的继承应用和发展创新。
2 税务系统内控机制理论,是对税务系统多年来反腐倡廉工作实践经验的总结和升华。多年来,全国各级税务机关在反腐倡廉工作中注意与税收业务相结合,积极探索,创造了一系列与税收工作相匹配的工作思路和方法,并取得了比较好的效果。为了加强对税务干部行使行政权力时的监督制约,有效预防****行为的发生,从上世纪80年代末期开始,全国各级税务机关就改“一人进厂,各税统管”,为“征、管”两分离或“征、管、查”三分离的税收征管新模式,随着形势的发展又经历了以“纳税申报、税务、税务稽查”三位一体的征管模式和“以纳税申报和优化服务为基础,以计算机网络为依托,集中征收,重点稽查”为标志的税收征管模式。在注重对税务行政执法权监督制约的同时,国家税务总局在90年代中期又提出要加强对于部人事管理、大宗物品采购等税务行政管理权进行监督制约,形成了有税务部门特色的“两权监督”理论,在实践中发挥了重要的作用。与此同时,全国各级税务机关按照国务院“建立法制国家、推进依法行政”的总体战略,结合税务工作的特点,建立并实施了以细化税收执法岗责体系,统一规范税收执法行为,明确执法责任为特点的税务行政执法责任制和税务行政执法过错追究制度体系,强化了对税务干部在行使权力过程中的责任意识和对违法、违纪、执法过错行为责任追究的力度。在此过程中,一些税务机关还积极学习、借鉴现代行政管理理论,将流程再造理论、iso9000质量管理体系等理论和方法引入到税收管理之中,通过对税收征管流程的再造,强化各环节的监督制约,使目标管理落实到每一个具体岗位和环节,进而达到规范化、精细化管理的目的。税务机关的这些探索和实践,为建立行为规范、权责明确、运转流畅的内部控制积累了实践经验,奠定了坚实的基础。
3 税务系统内控机制理论是企业内部控制理论在税收管理中的具体应用和进一步拓展。内部控制理论近年来发展迅速,在实践中的应用越来越广泛,对强化企业内部管理、及时发现和防范风险、制止营私舞弊和违法乱纪行为的发生、保证管理权力的顺
畅运行等方面都发挥了重要的作用。内部控制理论的目标、理论方法、技术措施等方面与税务机关加强内部管理的工作机理是一致的,与税务机关依法治税和反廉倡廉的目标要求是一致的。因此,税务系统内控机制的建立和完善,应当认真研究、学习和借鉴内控理论的观点和方法,将内控理论中的风险防范和控制的一系列具体方法应用到税务行政管理工作中,并结合税务部门的工作特点,不断加以丰富和完善。
二、构建税务系统内控机制框架结构的具体思路
国家税务总局肖捷局长指出:“要把内控机制建设作为税收体制机制建设的重要内容,结合税制、征管、内部行政管理等改革,积极完善内部岗责体系,优化流程,健全制度,强化监督,形成权力层层分解、工作环环相扣、相互联系制约的科学严密的管理链条,从源头和机制上防范****风险。”这无疑为各级税务机关建立和完善税务系统内控机制指明了方向。
结合当前税务系统的工作实际和对内控理论的研究、学习和借鉴,当前税务系统内控机制建立和完善的基本思路应当是:坚持依法治税和反腐倡廉的基本原则,以建立健全税务系统惩治和预防****体系为目标;在各级税务机关党组的统一领导下,充分发挥纪检监察、督察内审、巡视、法制等监督部门的组织作用,各有关业务部门积极参与,充分发挥整体合力;根据现有的机构设置和税收征管模式,以建立健全税务机关岗责体系为基础,明确各个工作岗位权力和责任;以优化税务工作流程、科学配置权力为主线,以完善税收工作程序和规范税务工作行为为重点,以风险识别、风险评估和风险控制为主要内容,以信息技术为依托,强化信息传递、沟通;加强税务文化建设,培育、塑造以法治文化、廉政文化为核心的内控环境;建立和完善规章制度,公开办事程序,对税务系统行政权力的行使和运用过程进行全程监督制约。进而构建起工作岗位标准化、权力责任明晰化、办事程序化、监督实时化、追究及时化的体制机制,体现出分权制衡、流程制约、事前预警、事中提醒、事后追究的风险管理功能,实现对税务系统“两权”运行全过程进行监督和制约的内控机制,保证各级税务机关“两权”运行的规范、透明、高效。
1 明确内控目标,把握内控机制的建设方向。依法治税,用法律的手段指导和规范我们的各项工作,是多年来税收工作取得成功的经验总结,是党和国家对税收工作提出的要求,也是各级税务机关的奋斗目标和工作中必须坚持的基本原则。反腐倡廉,加强党风廉政建设,是提高干部队伍素质,保证干部正确履行职责,执法为民的政治保障。因此,将依法治税和反腐倡廉设定为税务系统内控机制的总体目标,将建立健全税务系统惩治预防****体系为内控机制的具体目标,为内控机制的建设指明了方向,为内控机制框架的构建和功能设定提供了理论依据。
2 完善内控机制的领导体制和工作方式。税务系统内控机制的建立和运行,是税务机关的一项全局性的工作,涉及到各个部门和方方面面的工作,必须在党组的统一领导下,由党组书记负总责,纪检组长(或者责成一名分管执法监督工作的副局长)具体抓,纪检监察部门(或者是责成督察内审、巡视、法制等负责执法监督的部门中的一个部门)作为具体牵头部门负责组织协调,各相关部门积极参与配合,共同实施内控。才能有效动员各方面的力量,共同发挥内控机制的作用。牵头部门负责制定内控实施方案,协助党组具体分解和落实内控任务,并对内控机制运行过程进行监督、考核和评价。各相关部门按职责分工,负责制定相关工作制度,梳理工作规范,落实具体内控工作任务。
3 全面梳理权力事项,明确岗责体系。对照有关法律、法规和相关文件精神,结合机构改革,对本级机关各部门的权力事项,特别是税收业务管理权、人财物管理权、税收执法权等进行全面梳理,列出“权力清单”。按照机构设置和征管模式,严格划分不同岗位的权力的使用范围,针对不同类别权力的特征和作用,建立职权清楚、责任明确的岗责体系,同时,将党风廉政建设的要求融入到每一个岗位,实现权力、岗位、责任、义务的有机结合,做到各司其职、各负其责。
4 优化工作流程,科学配置权力。在坚持依法治税和为纳税人提供优质高效服务原则的基础上,针对不同部门的权力事项和用权方式,简化权力运行程序,下放行政权力,提高工作效率,优化权力运行流程,明确具体权力事项的业务操作程序,做到下一道程序对上一道程序进行控制,每道程序之间互相制衡。在“简、放、提、优”的基础上,科学配置权力,编制权力运行流程图,对权力事项的运行程序、行使依据、承办岗位、职责要求、监督制约环节、相对人的权利、投诉举报途径和方式等内容,以图示的方式表达出来,通过流程图将权力行使过程进行固化,使每项权力的行使过程都做到可视可控。
三、构建税务系统内控机制的路径选择
税务系统内控机制的建立和完善,是一个系统工程,涉及税
务机关内部各个部门和方方面面的工作。当前,为了建立和完善税务系统内控机制,应当理清思路,明确工作方向,重点做好如下几项工作:
1 完善制度,规范税务人员行政行为。根据税收法律、法规和税收规范性文件,对税务人员每一项行政行为都要进行梳理、分析和研究,制定出统一的标准规范,使所有的工作行为都有法可依、有据可循。紧紧围绕“两权”运行轨迹,全面清理整合工作规程和内部管理制度,总结实践中的一些行之有效的经验和办法进行规范和固化,并上升为制度。建立起一系列既有实体性内容,又有程序性要求的工作制度,既明确规定应当怎么办,又要规定违反规定后如何处理,形成一整套环环相扣的制度链条,相互监督、相互制约、相互协调和相互促进,保证行政权力的和谐有序运行。”
2 实施科学的风险管理,实现对风险事前预警、事中提醒、事后追究的防范和控制。从分析权力运行风险人手,对税收管理、税收执法和行政管理中可能引发风险的各种信息进行识别,并根据不同风险度和风险成因,采取相应的风险应对策略和措施,实现风险的有效防范、控制和化解。行政执法权力风险查找的重点是一般纳税人认定、优惠政策审批、税款核定、纳税评估、税务稽查、税务行政处罚等环节;行政管理权力风险查找的重点是干部任用、资金分配、项目决定、资产处置,以及许可权、审批权、征收权、处罚权、强制执行权等权力比较集中的重点部位和关键环节。风险点的查找,应当按照“对照岗位职责——梳理岗位职权——找准权力风险点——公示接受建议”的统一流程,由部门和个人结合工作实际主动查找,并将查找出来的结果集中公示。对查找出的风险,要按照权力运行频率高低、人为因素大小、自由裁量幅度的高低、制度机制漏洞的多少、危害损失的严重程度等对风险点进行分级评估,明确各部门在风险管理中的责任,健全防控措施。要把风险排查、风险分析、风险应对等工作落实到具体岗位、具体人员和具体工作环节,使风险管理真正科学、实用。
3 充分利用税收信息管理系统,强化权力运行过程中的信息沟通。将权力行使过程变为信息处理过程,强化程序的严密性,弱化人为因素,遏制随意性,形成机器控权的制约机制。要依托综合税收征管信息系统、税收执法管理信息系统、纪检监察管理信息系统和人事管理信息系统等信息技术手段,逐步将以审批事项为重点的各类权力运行纳入信息化管理,使各类信息互融互通,便于沟通和监控,实现实时监督、控制和综合分析,做到全程留痕,可查可控。要进一步运用好现有的监控决策、执法考核、执法监察等信息系统,切实掌握各类事项的受理、承办、审核、批准、办结等信息,做到实时监控,全程制约。
4 加强税务文化建设,培育、塑造以法治文化、廉政文化为核心的内控环境。税收内部控制机制的顺畅运行,需要有一个与之相适应的包括管理理念、组织机构、岗责体系业务流程等要素构成的内控环境。在内控环境中,人是起决定性作用的,因为所有的制度都需要有与制度要求相适应的人来执行,这其中起重要作用的是人的思想理念和能力素质。因此,必须加强税收文化建设,将依法治税、廉洁行政的观念和实施科学化、专业化、精细化管理的思想内化为税务干部的思想观念,成为全体税务工作人员的共识,并将这种治税思想和管理理念贯穿于税收工作的始终,引导全体税务人员加强对依法治税思想和科学内控管理理念的认知,牢固树立依法行政、防范执法风险和廉政风险的观念,在工作实践中不断调整自己的行为模式,为税务系统内控机制的顺利运行创造良好的实施环境。
5 不断深化政务公开,实行阳光执法。阳光是最好的防腐剂,公开是最好的监督。要认真落实国家有关部门关于政务公开的部署和要求,按照“公开是原则,不公开是例外”的要求,严格执行公开办税制度,对各部门的权力进行汇总统计,审核认定,编制目录,明确公开的要求、时限、范围,实现权力、责任、流程、制度、风险“五个公开”,使权力在阳光下透明、规范地运行,不断提高权力运行的透明度和公信力,拓展监督渠道,促进内部管理制度在运行过程中不断调整完善。
6 加强与外部控制的联系和有效衔接,促进内控机制的不断完善。内部控制与外部控制是各自独立存在的,分别运用不同的方式,从不同的侧面对税务机关“两权”运行进行监督,这两种不同的监督控制机制又可以相互联系,相互补充,共同发挥作用。在税务系统内控机制建设过程中,要注意做好与外部控制的沟通、联系和衔接,更好地发挥两种控制机制的合力作用。税收内控机制是一个系统工程,各级税务机关主要负责人作为内控机制建设的第一责任人,在内控机制建设和运行过程中要注意与公、检、法、纪检监察机关等外部控制部门的沟通、联系,及时发现内控工作中存在的问题,督促各部门把明确权责、规范流程、风险排查、完善制度等要求落实到位,发挥内控的作用。积极学习、借鉴外部控制的一些好的经验和做法为我
风险内控合规管理工作总结范文第3篇
关键词:商业银行 操作风险管理 分行层面 体系建设
中图分类号:F830文献文识码:A文章编号:1006-1770(2011)02-045-03
在“总行―分行―支行”的层级体制下,从总行层面看,操作风险管理项目建设是巴塞尔新资本协议达标的需要。对分行层面而言,操作风险管理体系建设有重要的现实意义。
一、商业银行操作风险管理体系比较分析
目前,国内外多家商业银行已开展或陆续开展操作风险管理体系建设,本文选取两家有代表性的“总行―分行―支行”层级体制的商业银行,介绍其体系构建情况,并做简要评价。其中,A银行(某大型中资商业银行)在组织架构搭建上比较完善,B银行(某外资商业银行)在流程管理、数据分析、损失数据收集方面比较完善。
(一)A银行操作风险管理体系构建
⒈建立不同层级的风险管理委员会,构建集中的风险决策框架
分行成立操作风险管理委员会,负责分行层面操作风险管理工作的组织、制度监视和流程安排等事项。每年召开4次操作风险管理委员会会议,制定分行操作风险管理规划,审议操作风险制度、报告、重大风险事项,并对上年度操作风险管理执行情况进行总结。支行风险管理委员会对支行操作风险进行确认、评价并管理操作风险,每年2次形成全面风险评估报告,报告内容应涵盖操作风险管理状况及评价,包括操作风险指标监测情况、法律风险等。
⒉设立操作风险管理的牵头部门
内控合规部牵头分行操作风险管理,负责对分行操作风险管理的统筹、组织、协调和督导工作;建立分行的操作风险管理体系,对操作风险进行全面、综合管理;组织推动本行各业务部门识别、评估与监测本专业领域的操作风险;建立操作风险监测机制,负责操作风险监测指标的统计、分析与报告;定期形成操作风险管理评估报告,并向上级内控合规部和分行操作风险管理委员会报告。分行法律部主要牵头负责法律风险管理工作。分行风险管理部主要负责牵头操作风险资本计量高级法、推进工作,配合总行做好操作风险管理系统建设工作,主要包括:AMA合规模型原型、内部损失数据收集系统、外部损失数据导入系统、情景分析、风险与控制自我评估、关键风险指标等功能模块。此外,风险管理部还负责对支行操作风险情况进行定量考核。
⒊实际的操作风险管理仍在业务部门
分行业务主管部门主要负责本部门操作风险管理工作,保持相关制度、流程、程序和控制的适度性和有效性;根据全行统一的操作风险管理架构,制定、管理、检查和修订相关的操作风险管理目标、程序、内容及办法;分析、识别、评估、监测、控制/缓释以及报告相关业务的操作风险。
⒋强调业务保障部门在操作风险管理中的重要作用
分行支持保障部门主要负责协助业务管理,并负责某些特定部分的风险政策制定和风险监督;为操作风险管理的有效运作提供人力资源、技术、法律、智力培训、综合信息等多方面的支持和保障;承担本部门相关操作风险的分析、识别、评估、监测、报告和控制/缓释。
⒌内审部门对操作风险管理有效性进行检查
内审部门负责独立监督操作风险管理架构,检查操作风险制度和程序是否有效实施;开展内部审计,检查各项操作风险管理的制度、政策、流程和程序是否有效实施,并出具独立审计报告。此外,A银行在分行层面大力推动内控评价建设,对支行内控执行情况进行分级,内控管理较好的支行被评为“一级行”;内控合规部建立“违规积分”制度,凡内控违规超过一定分值的行员,会被解除合同,以此加强内控管理。
A银行的操作风险管理体系建设有如下特点:
一是操作风险管理开展较早,由内控合规部牵头,形成了比较成熟的操作风险管理体系,管理目标明确,组织架构较完善并有相应配套的政策制度、管理流程、报告路径、管理方法、职责分工等。近两年开展系统建设工作,重视操作风险计量,并逐步将定性管理和定量分析相结合。
二是内审部门相对独立,能对操作风险整体执行情况进行检查。A银行在支行层面建立内控评价制度,以评价考核来进一步规范操作风险管理。
三是根据巴塞尔新资本协议中的操作风险定义,A银行还将法律风险纳入操作风险范畴。
四是A银行操作风险管理体系建设取得较好效果,与其全面风险管理体系建设较完善以及重视内控合规管理密不可分。
(二)B银行操作风险管理体系构架
⒈组织架构搭建
相比A银行,B银行操作风险管理组织架构相对简单。对于分行层面,划分为“业务部门-业务条线部门-风险管理部门-内审部门”,风险管理部牵头操作风险管理并对全行操作风险情况进行评估,业务条线部门负责本条线的操作风险管理,内审部门负责根据风险部门报送的情况有针对性地开展检查,并根据检查结果提出整改意见。
⒉操作风险管理流程
B银行按照业务板块对其操作风险进行识别、评估、监测、控制与缓释,并通过风险与控制自评估(RCSA)问卷加以实现。如对风险管理中的资产分类业务,首先识别出该类业务的风险点,资产五级分类存在不准确的可能;其次,找出产生该类风险的原因,然后将风险进行量化;第三,对目前该类风险的内部控制措施进行评价,确定其是否正常运行以及设计是否合理;第四,根据业务本身存在的风险以及采取的控制措施,评估剩余风险大小;最后,根据存在的问题提出内控改进建议,如改进制度、加强人员安排等。
报告路径上,业务部门负责填写本部门的RCSA问卷后,报业务条线部门,后者可通过RCSA问卷填报情况、开展检查进行操作风险管理,再将本条线操作风险管理情况报告风险管理部。风险管理部汇总后形成有针对性的报告,报送内审部门。内审部门根据风险部报送的情况有针对性地开展检查,并根据检查结果提出整改意见。年末,风险管理部根据业务条线的RCSA、自查情况以及内审部门的检查及整改情况,形成全行操作风险管理评价。
⒊损失数据收集
B银行对操作风险采用AMA法计量,一方面积累内部数据,一方面购买外部数据,增加数据量。损失数据具体的应用范围有:
⑴为AMA法提供计量的数据基础。找出内部、外部损失数据的分布函数,并根据分布函数特征模拟出n组数据(蒙特卡罗模拟),计算模拟数据在某一置信水平(如99%的置信区间)的损失情况。
⑵情景分析依据。情景分析中的损失频率和严重度均参考历史损失数据得到。对于零售银行的内部欺诈事件进行情景分析,可根据历史数据的损失金额以及发生的频率来设定情景分析的指标。
⑶风险指标边界值的依据。对于设定的风险指标,可以根据历史数据观察指标值的分布情况,确定当指标值处于哪个区域时风险较低、当指标值处于哪个区域时风险较高,并确定应采取的措施加强管控。
B银行的操作风险管理体系建设有如下特点:
一是B银行直接采用AMA法。该方法对损失数据积累程度要求较高,因此,B银行更加注重损失数据的收集工作,研究制定了损失数据的收集办法,并充分利用外部数据积累损失数据量。
二是B银行比较注重损失数据运用。对于RCSA、RI等工具的损失频率和严重度设定,均以历史损失数据为参照值,使得上述指标的设定更接近真实情况。
三是B银行更加注重内控和操作风险管理相结合。该行设计的RCSA模板简单易懂,基本上体现了风险识别、评估、监测、控制/缓释的过程,其中的控制项完全为内控执行情况,通过操作风险暴露值反映内控管理情况,把主观的管理变成可以量化的数值。
四是B银行充分强调内审在操作风险管理中的重要作用。以检查为手段对风险与控制自评估的有效性进行约束,业务条线部门负责具体的操作风险管理工作,风险管理部负责牵头和汇总,并对银行操作风险情况进行评估。
五是B银行的不足之处在于操作风险管理系统尚不健全,未能实现风险与控制自评估的电子化,增加了汇总、分析人员的工作量。
二、对分行操作风险管理体系建设的设想
(一)健全的操作风险管理框架
1.明确的组织架构和职责分工。在分支行层面设立不同层级的风险管理委员会,负责根据总行要求制定分行风险管理目标、政策并审议风险评估报告以及重大风险事项等内容,实现分行全面、集中、垂直的风险管理框架。2.明确的政策制度作为支撑。内容包括操作风险管理的目标、风险偏好、组织架构和职责分工、流程管理、报告路径及内容、系统建设、文化建设等。3.通过操作风险管理系统实现风险识别、评估、监测、控制/缓释、报告等流程管理。通过在系统中建立风险与控制自评估模块进行操作风险的识别和评估,关键风险指标模块对风险进行监测,积累损失数据用于操作风险计量和情景分析,通过问题与行动计划模块对操作风险进行控制和缓释,通过建立报告机制使管理层能及时掌握银行操作风险状况以及重大风险事件。4.加强操作风险管理文化建设。通过网络学习、培训、例会学习、案例分析、定期编发操作风险管理简报等形式构建操作风险管理文化。
(二)与内控管理相结合,实现操作风险流程管理全覆盖
操作风险管理体系建设近年来方开始推行,相比银行内控管理尚不成熟。建议分行操作风险管理应与内控管理相结合,充分发挥内控管理在银行中的基础性作用,降低成本,增强操作风险管理效果。⒈建立风险与控制自评估模板,对内控执行情况进行评价,并覆盖分行全部业务。⒉分行业务管理部门负责本部门或本条线业务的操作风险管理,通过分、支行对业务本身内控评价,或对分、支行内控执行情况进行检查,在此基础上确定内控效果,进而测算业务存在的操作风险,并将结果报送风险管理部汇总。风险管理部将其作为操作风险评估报告的一部分,对分行整体操作风险进行评价,也可作为内审部门检查的基础资料。
(三)加强内部审计部门对操作风险管理执行情况的独立评价
分行应加强内审部门的检查职能,不能仅仅增加检查量,而应增强检查的针对性。将分行业务管理部门对本部门或条线的操作风险情况所开展的定期或非定期检查作为操作风险管理的常规手段,在此基础上,充分发挥内审部门作为最终检查部门的作用,结合风险部定期提供的操作风险评估报告,对操作风险管理的执行情况、效果等进行检查,并提出改进建议,进一步提升分行操作风险管理水平。
(四)建立损失数据收集制度
损失数据收集是操作风险管理体系建设的一个重要组成部分。损失数据不仅能为操作风险高级计量法提供数据基础,还可用于情景分析、风险指标等多个管理工具中。目前分行损失数据积累较少,主要由于长期以来,分行没有明确的损失数据收集范围,即便在总行统一指导和监测下,损失数据收集仍有一定困难,漏报、瞒报现象时有发生。分行自身应加强对损失数据收集的调研工作,出台损失数据收集办法。在此基础上,充分利用损失数据进行操作风险分析,如观察其分布情况、集中度、发生频率、损失金额等,对重点业务、环节和支行加强管理。
(五)建立后评价机制
除检查手段外,分行还需建立内控的后评价机制,主要对象是经营单位或员工。可将经营单位分成几个级别,如内控管理情况较好的为“一级行”;分行设定内控评价指标,根据得分情况判断经营单位内控管理情况;此外,还可通过对员工建立“违规积分”的制度,判断其自身内控是否到位。通过推进分行内控管理,提升操作风险管理水平。
作者简介:
风险内控合规管理工作总结范文第4篇
【关键词】 风险管理 内部控制 煤炭企业
一、以风险管理为基础构建煤炭企业内部控制的迫切性
1、提高煤炭企业内部管理能力
创建期、成长期、成熟期、衰退期是企业发展一般要历经的四个阶段。目前我省煤炭企业的发展还都处于成长期,并逐渐走向成熟,存在着诸如职能化管理条块分割明显、多元化产业成熟度低、兼并购行为多但管控又不够适当等“成长综合症”,这主要是由企业职责不清和人才素质差异引起的,迫切需要采取适当的手段提升煤炭企业的管控能力。建立以风险管理为基础的内部控制体系可以使得煤炭企业形成“自我免疫机制”,通过持续不断的优化各层级之间的管理和责任界面、工作流程,从而使得领导层能够“做正确的事”,执行层能够“正确地做事”。通过对煤炭企业内部各个职能部门和人员进行合理地分工控制、协调和考核,促使煤炭企业内部人员能够认真履行各自的职责,从而保证煤炭企业有序、高效地进行生产经营活动。
2、可以实现国有资本的保值增值
煤炭企业注重风险管理可以通过明确企业股东大会、董事会、监事会和经营管理各层次人员的职责权限,形成有效的监督、约束制衡机制;可以通过完善企业法人治理,从而来防范企业“内部人控制”;可以有效地防范和控制供应商、存货管理和产品销售等过程中产生的市场风险;可以分散和规避煤炭企业在经营、投资、债务、经济合同等活动中带来的财务风险、运营风险和法律风险;同时可以化解和转移煤炭企业在改革过程中发生的重组、兼并、整合等因素带来的制约企业发展的战略风险,在确保国有大型煤炭企业应肩负的经济责任、政治责任和社会责任的实现的过程中确保国有资产保值增值。
3、确保煤炭企业的可持续发展
煤炭是我省经济发展的支柱产业,外部竞争激烈的经营环境使得企业不进则退,很多优秀企业都在采取各种手段诸如通过并购延长其产业链,不断加大新技术开发和应用力度,强化风险管理及内部控制等手段来提高自身竞争能力。通过建设全面风险管理为基础的内控体系,既可以保证业务规范有序地进行,又可以激发管理人员和员工的创新性;既可以控制重要风险点,又可以保留一定的弹性空间。同时对于煤炭企业扩大其综合实力、企业资产规模,提高煤炭企业生产能力和销售收入;增强煤炭企业核心竞争力,不断增强煤炭企业自主创新能力;对于做优主营业务,积极抢占行业制高点;对于做久企业生命力,培育企业永续发展的“长寿基因”,都具有重要的现实意义。
二、以风险管理为基础的煤炭企业内部控制体系的框架
结合我省煤炭企业的特点,在深入研究国内外风险管理与内部控制理论及实践经验的基础上构建了我省煤炭企业内部控制框架体系如下图1:
我省煤炭企业构建内部控制体系的目标是在结合本企业实际情况的基础上,引入国际先进的风险分析和识别方法,分析煤炭企业内部和外部的环境、机会和威胁,尽量将企业面临的风险所带来的影响降到最低水平,实现企业的价值最大化。
煤炭企业在建立内部控制体系的时候要注重内控自我评估的建设,并要注重持续完善内部控制体系。在持续完善阶段,应注重以下几个方面的建设。
1、为防范资金管理风险要构建资金集中管理体系
例如:中国神华为了防范资金风险统一了资金管理和资金运作,从资金预算、资金收支、借款融资和闲置资金运用等方面,建立了目标、责任、关键控制、控制工具、控制方法、报告和检查的流程与制度体系。以账户管理为基础,对各分(子)公司的资金收支实行两条线管理,实现收入全部集中,利用资金预算控制支付,对债务融资及担保进行统一管理,对闲置资金进行集中应用,并对管理过程和风险进行有效监督。
2、打造本质安全型矿井,建立安全长效机制
编制《风险管理手册》《风险管理标准与管理措施》《安全文化建设实施手册》等文件,构建本质安全管理体系。其核心内涵是:通过安全风险辨识、评估,制定有针对性的管理措施和岗位标准,做到风险预控:通过流程和制度建设,确保安全管理措施的落实;建立科学的安全管理考核评价体系,做到持续改进:将安全文化建设与企业的安全管理紧密结合,引领企业向文化管理发展。
3、针对关联交易风险,改进关联交易管理
为了提升关联交易风险管控能力,研究关联交易的监管规定和相关法律,深刻理解监管的要求和思路,进一步理顺关联交易披露流程,明确法律部、投资者关系部和其他相关部门的职责分工;以物流和资金流为基础,从合同到付款各环节的实时监控,建立关联交易监控和预警制度及系统。
三、以风险管理为基础的煤炭企业内部控制体系的措施
我省大型煤炭企业应从加强制度建设开始,实现制度管人、管事,全面提高全公司的内部控制管理水平。
1、加强企业文化建设,改善内部控制环境
煤炭企业首先需要建立起与企业发展相协调的风险文化和管理层管理理念和风险偏好协调的风险文化,并把煤炭企业的风险管理目标写入《公司企业文化发展规划》及《企业文化手册》中。在日常管理过程中,要注重保持关键职位人员的岗位队伍稳定,尽可能的使相关措施系统化、程序化、日常化,在发生变动时,要对员工岗位变动的原因进行分析。同时要注重对财务部门、信息处理、财务报告的管理,要以明确的制度来规定财务信息汇报管理的层级和期限,规定上级财务部门应当如何对下级单位财务会计信息的合法性和公允性进行审核;在制度中对财务信息分析的内容做出基础性的规定等。在此过程中,煤炭企业会形成系统、持续的传播机制,有利于员工形成与管理层相协调的风险文化。
煤炭企业要重视人力资源政策,对各个工作职位所需员工进行经验和技术能力的分析,确保岗位任职要求能够与员工能力相匹配。建立高级管理人员的绩效考核与薪酬制度,进行有效的激励。在我省大型煤炭企业中设立和推行员工工作检查和评估的具体办法和制度,及时和准确衡量员工绩效,并予以激励或处罚,在现有的管理制度,设计背离既有政策和程序,应采取的补救措旌和处罚手段。以及规定违规的处罚方式和程序。
煤炭企业还要形成诚信的道德观念,在《企业文化手册》中写入对员工道德与行为规范具体的要求或措施。对诚信和道德的宣传应形成一个制度化、标准化的工作流程,并对于保守公司秘密的具体条款加以规定。
2、构建全面的风险管理体系
从煤炭企业风险管理的现状和未来来看,要形成一个专业化的风险管理体系。在企业战略发展规划中设定风险管理目标;对风险管理流程进行梳理;制定专岗对风险信息进行初始的收集,对己确认的风险制定相应的管理策略,建立风险预警体系。设立综合风险管理控制部门,在公司各部门、各下属单位尚未建立风险管理的工作组织体系。确保我省大型煤炭企业及时、全面、有效地收集风险信息并进行有效地处理,以识别风险、评估风险和应对风险。形成风险信息收集、处理机制,对风险管理进行监督与改进。包括:有关部门和业务单位的定期自查和检验;风险管理职能部门的检查和检验;内部审计部门至少每年一次的监督评价;可聘请外部单位进行监督评价及提出建议。
3、应对重大风险,开展流程管控
(1)确定重大风险。根据风险与公司价值链管理的相关性,总结归纳曾发生的风险事件,参考国资委的风险评价标准,采用定性和定量相结合的方法,针对内外部环境及运营方式发生变化情况下可能出现的各种重要风险,进行初始风险评估和剩余风险评估,确定主要风险,在此基础上,进行优先级排序,进而确定了公司面临的重大风险:战略决策风险、国家政策风险、投资管理风险、关联交易风险、资金管理风险、分/子公司风险、运营安全风险、电力市场风险、煤炭市场风险。
(2)制定管控流程。针对主要风险特别是重大风险,按照重要性和示范性原则,公司确定重要管理与业务流程,涉及公司总部和多个职能部门,流程的主要负责部门、涉及的主要风险和风险类别。重要管理与业务流程包括:定期信息披露流程、持续性关联交易管理流程、项目投资决策流程、年度建设与改造计划流程、投资项目后评价流程、资源选择与获取流程、总体战略规划编制流程、年度生产运营计划制定流程、经营预算编制流程、资金收入入账流程、资金支付流程、借款筹资流程、薪酬管理流程、公司购并业务流程、科技创新项目管理流程、安全监督检查与隐患整治管理、日常调度业务流程、月度调度业务流程、突发事故处理流程、生产装备管理流程、铁路运输组织(运行图)流程、工程项目设计及概算管理流程、采购计划管理流程、煤炭销售年度/月度价格制定流程、煤炭装船销售流程及煤炭销售结算流程。
(3)开展流程管控。公司依据重要管理与业务流程,明确了流程中的主要风险、控制重点、控制活动及其评价方法和责任主体,据此开展流程管控活动,有效控制公司面临的主要风险。管控流程见图2。
4、设立良好的控制活动
控制活动是帮助管理层确保风险对策得到实施的政策和步骤。包括一系列的活动,诸如批准、授权、证明、协调、检查运营绩效、资产安全性以及职责分工,企业在制定控制活动时关键就是要针对关键控制点。
(1)强化预算管理。贯彻预算的刚性原则,预算一经确定,在企业内部必须严格执行。预算控制要以成本控制为基础,以现金流量控制为核心,通过实施重点业务控制和现金流量控制,确保资金运用权力的高度集中,形成资金合力,降低财务风险。消除预算执行的随意性,并将对预算的考核与员工的薪酬直接挂钩,从而保证全面预算的落实和公司经营活动目标的实现。
(2)实行资金集中管理。建立起“集中存、集中管,集中用”为核心的财务集中管理运行模式。减少煤炭企业整体的银行账户,盘活资金存量,提高资金效益,把握资金投向,使我省大型煤炭企业能够从总体上把握资金运作效果、筹资融资情况和自身的财力,为扩大规模、调整产业结构、增强投资等重大决策提供依据。煤炭企业应制定结算风险管理制度和资金流程控制制度,规定各种结算方式的具体操作规程。为规避资金支付风险,坚持资金预算财务部门从计划,合同、单证上进行严格审查把关,对没有列入计划、没有订立合同或单证不全的款项坚决拒付。
(3)加强信息系统控制。建立统一的集中信息系统,及时掌握各企业动态,切实做到总部对各级企业主要经营活动的监控和集中管理。制定具体的信息系统组织结构图和完整的职责分工,对信息系统进行管理架构的构建和人员职责分工,确保管理的可靠性。设置一个适用于整个煤炭企业范围内的信息技术管理的一般性规定。制定信息技术控制方面的应急和危机管理办法,灾难补救计划,有效应对危机突发事件。对各项应用系统的控制上,进行统一的内部控制制度设计。
(4)完善组织人员和业务控制。设置股权管理工作具体的归口管理部门,股权信息管理及价值分析的工作安排具体的岗位职责。规定总部各业务管理部门收集子公司业务相关的信息,及时地更新。加强子公司业务协调避免同质化和同业竞争问题。
5、建立良好的内部控制
(1)增强煤炭企业的风险防范意识,重视控制文化的建设。内部控制的建设不仅要在硬件上下功夫,也要在软文化方面齐头并进,必须大力宣传内部控制和风险管理意识,让控制思想深入人心,成为企业人人自觉的行动。(2)完善煤炭企业领导责任制度,建立煤炭企业内部控制报告制度。我省大型煤炭企业领导对于内部控制的建立和健全有直接领导责任,煤炭企业领导的不重视是企业内部控制完善中一大障碍,必须完善公司治理结构,建立相应的煤炭企业领导对内部控制的责任制度,使煤炭企业内部控制的责任有所落实。(3)健全我省大型煤炭企业治理结构。明确监督主体,解决煤炭企业所有者缺位的现状,同时完善企业治理结构,才能使煤炭企业的内部控制从根本上得以改善。
6、建立畅通的信息沟通机制
建立起内部沟通的机制,信息沟通的工作制度化、系统化,将信息沟通作为各级管理人员工作执掌的一部分。在我省大型煤炭企业内部形成信息共享机制。例如,总部各管理机构的信息做到与被管理单位的信息同步。设立对重大事项信息传递的制度。对重大事项要有区分标准,对财务信息的汇报程序要有制度性规定等。
7、强化内部控制,改善监督控制
(1)建立系统的内部控制评价和风险管理体系。董事会应该建立风险管理政策和监控程序,包括监测和重新评估风险,以对其目标、业务、外部环境的变化作出反应,对重大失败或不足及时报告,有效调整控制,确保采取补救行动。(2)可开展独立第三方内控体系认证评价,可考虑由外部审计部门进行独立第三方内控体系认证验证评价,披露审计意见,明确建立内部控制、保证会计信息真实是企业管理当局的责任。(3)强化审计部门对内部控制的再监督。组织结构的调整,提升内部审计部门在整个集团中的地位,使审计部门与其他职能部门平级(至少平级),增强其独立性,形成审计部门直接对审计委员会汇报工作,审计委员会对董事会汇报工作的体制。(4)提升审计人员的素质,加强人员管理;例如:组织培训,提高业务能力,规定任职期限,设立激励机制。
【参考文献】
[1] 毛新述、杨有红:内部控制与风险管理—中国会计学会2009内部控制专题学术研讨会综述[J].会计研究,2009(5).
[2] 张宜霞:企业内部控制的范围、性质与概念体系—基于系统和整体效率视角的研究[J].会计研究,2007(7).
风险内控合规管理工作总结范文第5篇
一、加拿大证券行业及其合规管理概况
截止到2009年底,加拿大有证券公司200家,管理客户资产规模为8950亿加元,证券行业收入约160亿加元,行业利润约60亿加元。从行业收入构成看,51%的收入来自零售和财富管理业务,24%的收入来自投资银行业务,其他业务收入为25%。加拿大证券公司合规管理工作已有近30年历史,大致经历早期发展、逐步明确和不断完善三个阶段,其内涵和外延不断丰富与扩大,合规部门的职能与职责日渐拓展和强化。在早期发展阶段,合规只是在证券行业的相关法规中有所涉及,相关法规和监管机构对合规部门的职责和具体合规要求并没有予以明确。在逐步明确阶段,加拿大投资经纪协会(IDA)相继了相关法规,明确协会成员的合规职能和合规要求。在不断完善阶段,在明确合规总监和合规部门职责的基础上,IDA陆续修订和补充相关法规,不断完善合规管理,为确保协会成员对覆盖证券或商品期货业务中的所有法规和规章实现合规提出了总的要求。
加拿大投资业监管协会(IIROC)于2009年9月通过立法,规定协会会员必须指定公司CEO为UDP,进一步强化公司最高层的合规责任,提高了合规部门的履职保障。IIROC章程第38条A款要求“证券公司应当建立并维护一整套监督其董事、高管、注册代表,以及其他员工的行为,以使其符合法律、法规和规则要求的机制”。第一,建立政策和流程,保障董事、高管、注册代表、其它员工行为都能符合法律、法规和规则要求。第二,设计流程,确保董事、高管、注册代表、其他员工的职责得以明确和被执行人理解。第三,建立一个合理流程,以确保根据法律、法规和规则的变化后,公司的政策和流程能及时得到变更。第四,配备足够的人力和物力实施合规监督机制,监督人的数量应当与其业务种类和复杂程度相匹配,监督人应该充分了解所需监督的产品和业务。第五,指定具备相应资格和权力的“监督人”实施监督职责,每一证券公司都应当指定监督人,并将其职责范围和任命时间予以完整地记录并保存。第六,建立后续跟踪和审查流程,确保“监督人”履行职责,对于分支机构监督人的跟踪应该根据业务的具体情况对“监督人”进行定期内部审计。第七,保存监督活动记录,尤其是检查所发现的问题和解决问题的情况,评级监督效果。
二、加拿大证券公司合规管理有效性评估经验
在加拿大证券业,一个有效的合规管理体系的基本要素包括:一是识别风险,二是制定政策和程序,三是培训和教育,四是监视和审计,五是逐级上报和报告,六是每年重新审查合规体系的有效性,七是动态跟踪监管政策的变化。可见,合规管理有效性评估既是一个有效的合规管理体系的重要组成部分,又是保障合规管理体系持续健康运行的一个必要而有效的手段。通过对证券公司合规管理有效性进行评估,可以及时发现合规管理的不足并促使其持续改进。由于加拿大证券业采取“原则监管”模式,相应地,其对合规管理有效性的评估也是采用结果导向的评估模式,即通过评估合规管理的结果或目标实现程度来推定合规管理的有效性。这就要求证券公司必须进行充分的作为,因为一旦发生违规,公司就不能简单地说已制定了标准来证实自己已经进行了充分的监督。
(一)加拿大证券公司合规管理有效性评估考虑因素
证券公司合规管理有效性评估一般考虑两方面因素:维度和量化。所谓维度,就是要多角度衡量;所谓量化,就是要尽量以数据说明事实。此外,还应避免两种倾向,一是认为合规评估是对合规总监或合规部门工作的评估,二是指标虚化或追求形式。一般应从财务、声誉、运营、监管四个维度对合规管理有效性进行量化评估,具体如下:
1.财务维度。即评估当“合规”失败时,将短中长期财务成本降至最低的能力。具体包括:(1)直接财务成本包括监管罚金与罚款、客户投诉处理成本、诉讼处理与判决费用、坏账与信贷损失、欺诈与不当行为损失;(2)间接财务成本指管理层处理合规失效事项所花费的时间和分散的精力、相关资源占用;(3)合规管理职能发挥的成本效益在预算范围内。
2.声誉维度。评估证券公司作为金融机构在道德、诚信度与合规性方面的声誉情况,包括客户、公众对公司的道德、公平对待与合规性的评价,导致反面公众形象的合规事件的性质、种类与数量。
3.运营维度。评估证券公司提供高水准的内部与外部服务情况,主要考虑内部监控的质量与记录情况、监管审查和内部审计结果、服务与满意度调查结果等因素。
4.监管维度。评估是否维持高水准的合规管理水平,对于监管有正面理解并将潜在监管处罚降到最低情况,具体包括:(1)是否能及时、有效与系统地实施补救行动以纠正所有发现的缺陷;(2)是否能及时、积极地实施适当的新政策和程序,以反映监管要求的新变化与行业最佳方法;(3)能否作为行业领袖参与监管过程与规则制定等。
(二)加拿大证券公司合规管理有效性评估标准
在运用上述四个维度进行合规管理有效性评估时,一般选用以下标准:一是未解决的客户投诉有多少,公司对投诉的处理是否迅速彻底;二是监管部门对公司的声誉评价如何,公司在合规问题上与监管者是什么关系,是主动咨询还是被动响应,是主动关心或只是事后回应;三是宣称问题已解决的内部报告的可靠性有多大;四是是否有人指控公司有错误行为;五是合规是否是公司培训内容的一部分,所有员工都参加培训还是其中一部分参加;六是对待那些犯了错误的员工是否一视同仁;七是处理争端是否及时果断;八是公司内部管理及业务部门对合规部门的评价如何。
三、对我国证券公司合规管理有效性评估的建议
由于我国是规则监管模式,与加拿大原则监管模式不同,因此可以将加拿大结果导向型的合规管理评估模式与过程导向型的评估模式予以结合,建立我国证券公司合规管理评估体系,对合规管理有效性评估目标、原则、范围、内容、方法及程序等方面进行探讨。
(一)合规管理有效性评估目标和原则
1.评估目标。合规管理目标的实质是帮助企业实现价值最大化目标,减少经营过程中的合规风险。合规管理有效性评估是对合规管理的监督和评价,其最终目的就是为了实现合规管理目标。具体目标:(1)促进公司经营管理遵守法律、法规、规章及规范性文件、行业规范和自律规则的要求;(2)促进公司全体员工的执业行为符合行业公认并普遍遵守的职业道德和行为准则,增强员工的合规意识,树立人人合规、主动合规的合规文化;(3)促进公司提高合规管理水平,通过合规经营实现公司的发展战略和经营目标;(4)促进公司完善、落实合规管理制度及流程,确保合规管理体系有效运行;(5)促进公司在开展新业务、新产品时,能够及时有效地评估、识别和控制可能出现的合规风险。
2.评估原则。评估应当遵循全面性、重要性、独立性、多维度和及时性原则。全面性原则指评估应覆盖公司经营管理活动的全过程,评价指标应系统、全面。重要性原则指应根据合规风险和控制的重要性确定评估重点,关注重要领域和高风险业务,并在评估权重上加以体现。独立性原则指承担评估工作的牵头机构和部门应当独立于业务部门。多维度原则指评估工作应多维度开展,对发现的不合规行为要重点分析、评估。及时性原则指评估频率应在满足监管要求的前提下,根据实际情况适时调整,以及时发现合规风险和隐患。
(二)合规管理有效性评估的范围和内容
合规管理有效性评估是对证券公司合规管理工作的全面评估,范围应包括公司所有业务、部门(含分支机构)和人员,并可根据工作重点对高风险部门和业务环节进行重点关注。评估内容包括合规管理环境、合规风险识别与评估、合规管理控制措施、合规管理信息沟通与反馈、合规管理监督五要素。
1.合规管理环境。包括但不限于合规管理组织架构、合规管理制度体系、合规总监及其履职保证、合规部门、合规文化建设。
2.合规风险识别与评估。包括但不限于对合规风险和违规隐患的识别、度量、控制、动态监测及后续跟踪。
3.合规管理控制措施。包括但不限于合规审查、合规监测、合规检查、新业务及新产品审核、信息隔离及利益冲突管理、反洗钱管理、业务资格及执业资格管理。
4.合规管理信息沟通与反馈。包括但不限于合规培训、合规咨询、合规信息在公司内部的传递、与监管部门之间的沟通与报告。
5.合规管理监督。包括但不限于合规投诉及举报处理、合规风险处置、合规考核、合规问责。
(三)合规管理有效性评估方法和程序
1.评估方法。运用控制自我评估
(CSA)开展合规管理有效性自我评估。CSA作为对内部控制系统评价的一种观念与技术方法,1987年由加拿大海湾公司首次提出后得到不断地使用与推广。国际内部审计师协会(IIA)对CSA的最新正式定义为:CSA是对企业内部控制的效力进行检查和评价的过程,其目标是为企业实现所有经营目标提供合理的保证。CSA方法的独特之处在于其突出过程化、注重互动性、并强调“自我”,使得其能更好地实现合规管理的过程性、全员性及持续自我改进。根据CSA理论,证券公司的各业务及管理部门应明确自身为合规管理第一责任人,风险管理部、合规部、审计部仅是合规管理的指导者、监督者。在合规管理自我评估中,各业务及管理部门应积极向风险管理部提供合规风险信息,在合规部牵头下接受访谈,填写合规管理自我评估检查表,定期确认其持续正确,确认合规管理自我评估的结果,协助编制缺陷汇总整改表并执行改进,配合审计部开展运行有效性测试等。管理部门在风险控制矩阵中更新的信息内容,并及时汇报公司管理层。
2.评估程序。依据合规管理有效
性自我评估的目标、原则、范围、方法,将自我评估工作程序分合规风险自我评估、合规风险控制矩阵评估、关键控制点自我评估、合规执行力评估四步:开展合规风险自我评估阶段由风险管理部主导,该阶段主要步骤及关键事项是:由风险管理部协助各业务与管理部门识别各种合规风险,收集整理相关资料,将合规风险进行评估和排序,组织录入风险列表。开展合规风险控制矩阵评估阶段由合规部/各业务及管理部门主导,该阶段主要步骤及关键事项是:第一,公司合规部确定合规风险控制矩阵评估的范围;以风险评估为基础,选择进行合规风险控制自我评估的板块,下属单位,及相关业务对应的相关流程,然后从流程出发进行具体的合规风险控制矩阵评估和关键控制点自我评估工作。第二,公司业务及管理部门定期确认合规风险控制矩阵的持续正确,并根据最新的业务活动情况提出更新风险控制矩阵的建议报公司审批,包括控制目标和控制活动,编制流程图。第三,公司合规部协助各流程经理汇总公司业务及管理部门在风险控制矩阵中更新的信息内容,并及时汇报公司管理层。第四,公司合规部可以在此过程中牵头公司业务及管理部门就重要的变化进行穿行测试,确保控制活动设计有效性,适时监督及审阅公司业务及管理部门填写的风险控制矩阵及流程图,确保填写内容的质量及准确性。
开展关键控制点自我评估。该阶段主导部门:合规部、各业务及管理部门。部门合规监察员做测试发起,流程职员做测试评估,流程经理审批测试模板和结果跟进,部门负责人审批测试。该阶段主要步骤及关键事项包括:第一,公司合规部统筹、牵头进行合规风险控制矩阵在各业务及管理部门间的分割(分配),由部门合规监察员执行测试发起,由流程经理审批模板;第二,公司各业务及管理部门流程职员对分配到的关键控制点逐一进行确认,并且保存测试证据,声明本部门的关键控制点在给定的期间内执行有效,然后由部门负责人审批测试。公司合规部适时监督公司业务及管理部门确认工作的推进情况;第三,公司各业务及管理部门对于确认需要进一步改进的合规管理缺陷自行提出整改方案和计划;流程经理开展结果跟进,并向合规部汇总、审阅;第四,公司业务及管理部门执行整改方案;管理层和公司合规部需全面掌握整改方案的改进情况;第五,公司合规部将控制点执行结果的确认情况、改进控制点整改情况、运行有效性测试情况及时汇报公司管理层;第六,合规部审阅在合规风险控制矩阵中由公司业务及管理部门确认后的关键控制点,可就其中有需要的部分选择性地开展运行有效性测试,以行使质量确保的职能。
