《对湖北银行建立内控体系的思考》由会员分享,可在线阅读,更多相关《对湖北银行建立内控体系的思考(10页珍藏版)》请在金锄头文库上搜索。
1、第 1 页 共 14 页对构建湖北银行内控体系的思考摘要:本文拟在湖北五家城商行重组的背景下,引入 ISO9000 管理理念和银监会商业银行内部控制指引商业银行内控评价办法的管理思路框架,对未来湖北银行建立和维护内控体系进行一些论述。作者结合自己在原黄石银行近四年内控体系建立和维护的一些实践和思考,借鉴全国其他几家城商行内控体系建立过程中的经验和教训,力求从实务和理论层面,探求在湖北银行未来高速发展的预设背景条件下,完善内控体系、防范风险、夯实发展基石之道,进而延伸到对整个城商行如何更好架构内控体系路径进行一些有益的探求。一、论题背景:湖北银行是在对宜昌、襄樊、荆州、黄石、孝感五家商业银行实施
2、改革重组的基础上,按现代金融企业制度建立的区域性股份制商业银行,总部设在湖北武汉市,目前已在湖北省内有 6 家分行, 90 多家营业网点。现有的内控实际状况是:5 家商业银行都各有一套自己的内控体系,并且内控的管理水平各不相同,且无法评估其质量。据了解,目前有三家分行已 经建立了ISO9000 质量内控管理体系,但运行的质量和效果各不相同。从现实的情况看:这必将导致未来的湖北银行成立后,必须同时面临 5 套内控制度体系并行的阶段,并且这 5 套并行的内控制度体系均是架构在 3 套完全不同的核心业务系统上。这一 现实问题使湖北银 行的内控体系建设难度在一定程度上加大,因此作者认为在此背景下研究湖
3、北银行如何建立科学、统一的内控体系,防范化解风险,夯实未来快速发展的基石是必要和及时的。二、正确认识 ISO9000 管理理念与商业银行内部控制管理的关系,有助于我第 2 页 共 14 页们更好的运用 ISO9000 的管理理念与内控管理体系相结合,站在一个新的高度和层面来构建湖北银行的内控体系。ISO9000 质量管理体系与内控管理体系两者共同之处在于:一是要求一致;二是思路一致;三是作用一致。ISO9000 标准主要讲述了质量管理体系的八大原则、十二项基础和十大类 80 个术语和定义;ISO9000 标准分八章、64 条款、128 条目,主要讲述了对管理活动、资 源提供、 产品实现和监视测
4、量四大过程的质量管理要求。 商业银行内部控制指引 分十章 141 条,主要 讲 述了银行内部控制的四大目标、四大原则、五大要素、24 项基本要求和授信、资金业务、存款及柜台业务、中间业务、会计、计算机信息系统六大主要业务的要求及监督与纠正等内容。ISO9000 标准适用于各种类型、不同规模和提供不同产品的组织,而商业银行内部控制指引仅适用于银行。内控建设包含在标准化管理之中。在 ISO9000 标准中,控制过程包括方法、原则、要求和程序等四个层次,强调组织必须重视策划、实施、检查 和改进。 这和作为经营货币为主的高 风险的银行业必须根据内部及外部条件的变化建立严密的内控制度,实现对各项业务经营
5、过程及结果进行严格、有效的控制,防范金融风险的目的相一致。由此可见,银行标准化管理与内控建设具有相同之处,银 行实施 ISO9000 标准化管理是银行提高内控效果的重要保证。银行实施 ISO9000 标准化管理是将银行的管理活动、人力设施资源配置活动、 银行产品和服务提供活动以及监测改进活动都要按照 ISO9000 标准的要求以及适用法律法规的要求,结合各银行的实际制定一套包括质量手册、程序文件、操作规程等作业文件在内的体系文件,并包括大量的标准管理表格。也就是将商业银行内部控制指引中关于授信、资金业务、存款和柜台业务、中 间业务、会计 和计算机信息等 6 类业务的控制要求, 转化 为具体的操
6、作标准,使之具第 3 页 共 14 页体化、标准化。然后要求全行各个部 门、各类人员、各项业务、各个操作环节都要严格执行,并有相关的记录作为证明。可 见,银行实 施 ISO9000 标准化管理能使全行的各类人员、各项业务按照统一的标准在受控条件下进行,实现了防范银行各类风险发生的内控目的,进而确保了内控建设的有效。在实际操作中内控体系文件策划也是按照内控指引和内控评价的框架来组织的(见以下实例)。实例:内控体系文件策划表(节选)银行内控体系文件策划一览表(3)序号ISO9001要素号内部控制评价条目要素内容 程序文件名称 第三层文件名称归口部门编写人员14.1 第二十条(二) 外包过程 外包控
7、制程序 审计外包管理规定稽核监控办 2 保洁外包管理规定 办公室 3宣传品印刷外包管理规定办公室 4户外广告外包管理规定办公室 5 经警外包管理规定 办公室 6软件开发外包管理规定科技发展部 7重空印刷外包管理规定计划财务部 8 4.2.3 第三十条 文件控制 文件控制程序 公文管理规定 办公室 员工借书管理规定 办公室 94.2.4 第三十一条 记录控制 记录控制程序文书档案管理规定(含电子文档管理)办公室 10人事档案管理规定党群人事部 11信贷档案管理规定公司业务部、个私业务部12会计档案管理规定计划财务部 13科技档案管理规定科技发展部 14稽核档案管理规定稽核监控办 第 4 页 共
8、14 页15 5.5.1 第十四条 职责与权限 组织结构设立控 三、运用 ISO9000 的管理理念,结合商业银行内控评价办法来架构湖北银行的内控体系的过程方法。将要建立的内部控制体系特点是:系统、透明、文件化的内部控制体系。是为实现经营管理目标、内控目 标,通 过制定并实施系统 化的内控政策、程序和方案,对风险进行有效识别、评估、控制、监测和改进的动态过 程和机制。内部控制体系涉及银行所有业务及管理活动。内控体系建立的过程模式见下图: 内 部 控 制 体 系 建 立 的 过 程 模 式内 部 控 制 体 系 建 立 的 过 程 模 式与与与与与与与与与与与与与与与与与与与与 与与与与与与与与
9、与与与内控体系建立的步骤:第一阶段:组织动员和培训阶段。 组织及人员到位、明确分工; 根据计划,明确各分行阶段计划; 开展动员,统一认识,明确目标; 开展内控标准和风险管理培训; 第二阶段:清理和调查评估阶段;清理组织与职责;清理产品;清理现行有效第 5 页 共 14 页文件;清理各种检查活动;清理各种考核评价活动;清理案件、损失情况;通过座谈、问卷调查和查看记录等形式评估内控现状;出具调查诊断报告;第三阶段:内控体系策划和风险排查阶段;初步设计体系的框架,明确内控的架构、内控体系文件的层 次、 结构以及接口;评审 并确定内控体系框架策划方案和文件清单;第四阶段:内控体系文件设计与编写阶段;根
10、据体系框架策划结果,定义业务和管理活动业务流程,绘 制流程图;对流程中的所有环节的风险进行识别和评估,针对 已识别的风险,制定风险控制方案或程序;体系文件评审,文件修改,文件审核、批准及发布;编制 场所文件并审批;第五阶段:体系运行阶段;内控体系全面实施运行;组织对员工进行内控体系文件培训;内控体系运行辅导和检查;文件意见反馈及文件修改 ;内控体系评价人员培训;内控体系的评价;内控体系管理评审;第六阶段:内控体系的验收改进; 验收准备,组织评审和验收; 持续改进。以上六个步骤是任何一个股份制商业银行建立内控体系的必经阶段。然而针对湖北银行来说又存在以下的特殊性。一是要解决核心业务操作系统不同的
11、问题。笔者思考可以采取先做内控体系顶部两层文件,明确内控体系大的框架,然后再结 合实际对第三、四 层文件进行部分编写,通过不断 PDCA 持续改进来完成整个内控体系的建设工作。这样做的好处是节省了等待建设统一核心系统时间阶段,缩短过渡期;二是要提前考虑设置内控合规部(或内设在审计稽核部下),尽早切入内控体系建设工作,促使内控建设与规模扩张速度相适应、相配套、相融合,最大限度的防范业务规模快速扩张带来的各类经营风险,确保湖北银行快速、 稳健 发展。第 6 页 共 14 页四、内控体系建立过程中重点环节分析思考1、正确认识公司治理、风险管理、内控管理之 间的关系,有助于科学的进行内控管理的组织架构
12、。内控管理实际上是风险管理的一个重要的组成部分,针对于完善的股份制金融企业来说,风险管理又是公司治理的一个重要组成部分。 (见图例)内部控制风险管理内部控制风险管理公司治理公司治理公 司 治 理 、 风 险 管 理 与 内 部 控 制2、明确董事会、监事会、 经营层在内控管理上的职责 :董事会主要由常务董事和外部独立董事组成,负责内部控制的治理、指导和监督。监事会主要负责评估内部控制系统的有效性,是主要监督工作实施者。 经营管理层最终对内部控制的有效性和充分性负责。董事会在内部控制上的职责:批准和定期审查银行整体经营战略和重大政策;了解银行面临的主要风险, 设立可以接受的风险上限,保证管理高层
13、采取切实的步第 7 页 共 14 页骤,对这些风险进行识别、度量、监测和控制;批准 银行的组织结构,授权明确、职能清晰的组织结构;保证管理高层有能力监控银行内控系统的有效性。董事会在内控方面的具体职责描述为: 保证商业银行建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估;负责和高级管理层培育良好的内部控制文化,提高员工的风险意识和职业道德素质;负责
14、和高级管理层建立通畅的内外部信息沟通渠道;确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。监事会在内部控制上的职责:定期审阅管理层、内审部门和外部审计提交的内控工作评估报告,讨论银 行内控系统的有效性;定期审查管理层是否已经纠正审计机构和监管当局指出的内控缺陷;定期审议银行风险管理政策和风险控制上限是否适当;对银行财务报告的真实性提出意见。监事会在内控方面的具体职责描述为: 负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级 管理层及高级管理人 员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。高级管理层在内部控
15、制上的职责:管理高层应当领导和监督职能部门和分支机构建立具体的内控政策和程序;银行内部各个部门的职能应当界定清晰、授权和责任明确,不应存在功能上的缺位和重叠;应任用具备足够经验和适合能力的管理人员,通 过提供持续培训,更新他们的知识和技能,并以适当的报酬制度和晋升制第 8 页 共 14 页度来激励他们。高级管理层在内控方面的具体职责描述为:负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策; 负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行;负责和董事会培育良好的内部控制文化,提高员工的风险意识和
16、职业道德素质;负责和董事会建立通畅的内外部信息沟通渠道;确保及时获取与内部控制有关的人力、物力、财力、信息以及技 术等资源。 (其详细组织结构见下图)内部控制体系组织机构图董 事 会风险与关联交易委员会员会监 事 会股东大会审计委员会监督评价第 9 页 共 14 页注: 为控制线路 为风险报告线路3、科学的进行业务流程风险识别与评估。建立风险识别与评估的程序文件。组织总行相关部室人员按照程序文件要求认真梳理和优化各项管理和流程,针对每一个业务和管理活动的每一个环节,区别内部和外部两个方面,考 虑常规和非常规的情况,根据银监会确定的信用风险、操作 风险等七种主要风险 ,逐一全面地 识别流程中各类风险点。然后 对这些风险点运用 LEC 法进行风险等级评估。判断出可接受风险和不可接受风险。风险评估过程:(详见下图)行 长 室内控合规部(
