2.建立健全人力资源管理制度体系。应以人为本,统一制定与全行发展战略相适应的人力资源管理政策,建立健全科学的选人用人机制以及反馈机制,健全员工入岗、培训、教育、使用以及绩效考核体系,完善各级管理人员及员工绩效管理方面的内控制度,创造公平、平等、择优的用人环境。
3.绩效考核要兼顾业务发展与内控建设两个方面。适当加大合规在绩效考核中的比重,以督促分支机构在强化内控执行力基础上,逐步扩大业务规模。
4.人员配置和岗位设置应切实按照内控制度的要求,杜绝关键岗位空缺以及混岗操作、一人多岗等问题,保证关键岗位的人员轮换和强制休假制度执行。
5.创新人力资源培育与培训机制。成立自己的员工队伍培养、实训和再教育学校、基地(或与适合的高等学校联合举办),建立强化新员工业务操作为中心的模拟银行。同时,日常工作中应注重进一步提高员工的控制操作水平,采取多种多样的途径和形式展开培养员工内控意识与提升内控操作水平。
(六)加强内控与风险评估系统的开发、引用与实施
应尽快在内控与风险管理技术层面缩小与国内先进银行的差距,充分借鉴国际先进银行的内控管理理论和最佳实践,积极引进现代信息技术、金融理论、数理统计技术,推进内控与风险管理技术和工具开发,重视对关键风险点的识别和对其的量化,将内控制度渗入到每一个风险点中去,逐步实现内控与风险管理从经验主导的传统模式向信息化、计量化、专业化的现代管理模式的跨越。
1.风险评级预警系统。信用风险评级预警系统运用现代化信息技术,在集中全行数据基础上,整合现有的信贷、财务、统计、国际业务等分散的条状化数据,建立完备的信息预警系统,实现全行业务交易信息、经营管理信息的集成和一体化管理。通过对业务运行风险点的全方位实时监控,实现风险隐患的及时预警。
2.建立操作风险和合规风险评价系统。运用对经营单位管理活动和业务的内控计量手段,对内控绩效进行准确的量化,从而有利于对内控有效性、风险性做出整体评价。鉴于分支行内控建设的重点在于对内控措施的遵守和执行,且操作风险和合规风险属于重点防范对象,建议启动内控合规与操作风险管理IT系统项目建设,把内控评价工作与操作风险和合规风险的日常监控相结合,提高风险控制的有效性和及时性。
(七)构建以经济资本为约束的风险管理体系,推进风险管理水平的提高
构建以经济资本为约束的风险管理体系是提升内控与风险管理水平的一个重要标志。应不断强化经济资本理念,加大资本对风险的覆盖,树立风险与收益相平衡、风险与资本相匹配的理念,建设以资本约束为核心的风险文化。以RAROC(即风险调整后的资本利润率)指标为基础,带动风险管理的根本变革,并推出新的授权管理体系和考核办法,推动科学的产品定价和业务决策。
(八)加强网络金融以及IT内控与风险管理
IT技术的快速发展加快了网络金融平台开发步伐,推动网上银行、手机银行、智能银行、电商平台等的全面发展,为客户打造集产品、资讯、服务一体的金融服务平台已逐渐成为银行业务发展的特色和趋势。但IT技术的发展与运用也势必会带来银行业务中网络与信息科技的安全与系统保障问题,特别是技术风险和信息安全风险。为此,应积极采取网络金融内控建设在内的多种风险控制措施,及时研究、开发和建设IT风险管理模式以保证IT技术对业务发展的支持,其中加强IT内控毫无疑问是控制IT风险的关键一环。
(九)实行全面、有效的内控活动,提升内控措施的实效性
1.管理运行控制。内控活动是体现在日常业务与经营管理工作之中的一项实时与动态管理行为。无论总行还是分支机构,制定和实施内部控制一般均应遵循不相容职务分离、岗位与授权审批、批准与报告、会计系统、财产保护、预算、运营分析、绩效考评、重大风险预警、内控责任与检查控制原则。
2.产品开发控制。设立相应机构和部门,负责制定并实施产品创新的内控管理制度,对新产品开发过程中的各项活动进行规范。新产品开发应以经营合规、管理规范为前提,坚持成本可算、风险可控原则,加强各环节的风险分析与控制。对于新业务、新产品,应该努力减少规章制度滞后的发生,做到先有制度规定再推业务,这样可以避免执行过程中的随意性。
3.安全保卫控制。建立健全安全保卫制度体系,明确规定营业网点安全、人身安全、金库安全、消防安全、安全防范设施等方面的具体要求。加强对所属单位安全保卫工作的检查力度,有效防控各类安全风险,尽职履行各项检查职责。
4.计算机系统控制。制定和修订有关计算机系统管理的规章制度,不断完善信息安全制度流程和内控体系。进一步完善网络安全建设。结合未来战略和业务发展的需要进行系统规划,按重要程度和紧迫性分步实施。
5.应急准备与处置。建立健全突发事件应急制度体系,针对突发事件的报告、处置及关键业务和关键人员引发的突发事件制定相应的内控管理制度。对容易出现风险隐患的操作过程加强管理,严格遵守报告制度、执行调查和应对程序,做好信息收集、分析、网络监控、总结、检查和监督工作,最大限度减少与避免发生突发性金融风险事件。
(十)理顺信息交流与沟通渠道,保障内控政策实施与信息反馈的畅通
1.建立健全信息交流与沟通的相关制度。明确内控相关信息收集、处理和传递程序,确保信息及时沟通,促进内控有效运行。同时,应针对信息披露、案件信息、互联网管理、保密等建立并实施相应的内控制度,保证信息反馈渠道的畅通。
2.健全内部与外部相关信息交流与沟通的方法与渠道。确保在不同层级和职能之间,就内控措施实施的有效性进行沟通,实现相互了解、协调行动、全员参与的目的。应明确对外的信息交流渠道和信息披露与发布权限,确保外部相关方获得所需信息。
3.建立案件(风险)报告程序。明确相关风险信息归集和报告渠道,确保及时、全面、完整地向决策层和管理层提供全行各类风险与内控状况。
4.利用信息技术促进信息集成与共享。加强对IT系统数据输入与输出、文件储存与保管、网络安全等方面的控制,充分发挥信息技术在信息与沟通中的作用。
5.建立有效的反舞弊机制。坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
6.建立好信访、举报投诉和举报人保护制度。设置信访工作举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为有效掌握信息的重要途径。
7.采取多样化的信息交流平台。健全会议制度,建立远程会议系统,即时传达会议精神,形成有效的内部沟通载体。通过行报、行刊以及内部网络、短信等交流平台,及时收集和处理业务发展、经营管理和服务中的各种意见和建议。
(十一)建立内外结合的内控评价、问责与监督体系,促进内控效果的提高
1.建立和完善内控评价与考核机制。内控体系是一个动态过程,需要建立持续的评价与考核机制。通过系统化、规范化的方法评价,对特定业务流程、岗位设置、组织架构进行定性和定量分析,协助改进经营活动、内部控制、风险管理及公司治理,促进组织目标的实现。
(1)按照商业银行内控五个要素和银监会《商业银行内控试评价办法》,制定适当的内控综合评价办法,使内控评价工作标准化、常态化和制度化。
(2)内控评价工作应当包括内控的设计与运行,涵盖各种业务和管理活动。在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(3)充分利用内控评价结果,将内控评价结果纳入到考评体系中,以内控评价促内控发展。
(4)内审部门对各部门、分支机构内控的有效性进行全面评价,并在此基础上出具全行年度内控自我评价报告报董事会。
(5)内控管理部牵头组织内控问题的整改工作,整改效果接受稽核部的再监督。
(6)内控管理部根据稽核部内控评价结果和其他相关信息,对经营单位内控状况统一做出评级。
2.建立和完善内控监督体系。内部审计应更多的对具体业务环节和总体经营管理中的风险点和控制点进行动态预警和分析,督促标准化业务操作风险控制流程的制定和梳理,参与对业务流程管理上的监督与评价。应建立风险导向和持续审计模式,将主要审计资源集中在重要风险领域,特别是要加强对高风险业务、高风险领域(包括重点排查案件易发高发的薄弱环节、重要领域和关键岗位人员)及异地分行的监控和跟踪,进一步提高检查工作效率和质量。
纪检监察部门可以从人事制度、绩效考核、组织管理、党政纪律等方面对管理层和员工行为形成约束,特别是通过道德风险警示制约合规风险的发生。
3.严格内控问责制度。健全和完善内控与经营风险损失问责制度,严厉追究和查处信贷经营和审批中的失德、失职、违法、违规行为,提高违规成本。应强化领导责任制,建立完善分支机构负责人重大经营风险和案件引咎辞职制度和内控奖励机制。
(十二)充分调动广大员工内控积极性,完善全员内控管理体系
1.建立清晰、通畅的员工权益诉求与保障渠道和机制。
2.绩效考核中应有相应的指标以考核员工对于内控和风险管理的突出贡献(包括对员工提出的好建议和好做法的评价和奖励)。
3.建立充分征求员工意见的平台和渠道,对其反映的意见给予及时答复。
4.采取多种多样的方式,鼓励广大员工投入到内控建设之中,形成人人讲内控、事事讲内控、处处讲内控和时时讲内控的氛围,为完善全员内控体系打下坚实的基础。
(兰州银行课题组)