如何加强企业内部控制和风险管理

对于城市商业银行来说，引入国际银行业先进的操作风险管理理念，形成良好的风险控制企业文化氛围是一项紧迫的任务。要建立良好的操作风险控制文化氛围，首先要明确操作风险的科学含义以及风险控制的手段和方法。

现代银行风险管理理论对操作风险给出了明确的定义，即操作风险是指由内部流程、人员行为和系统不当行为或故障，以及外部事件造成直接和间接损失的危险。操作风险主要来源于内部控制和外部事件，包括人员风险、系统和流程风险、技术风险和操作策略风险。

银行操作风险的防范主要依靠完善的内部控制，内部控制是有效实施银行操作风险管理的主要手段。巴塞尔银行监管委员会1997在《有效银行监管的核心原则》中提出:“最重要的操作风险在于内部控制和公司治理机制的失效”。根据中国人民银行2002年9月发布的《商业银行内部控制定义》，商业银行内部控制是商业银行通过制定和实施一系列制度、程序和方法，对风险进行事前预防、控制、事后监督和纠正的动态过程和机制。

与国内其他商业银行类似，锦州商业银行在成立初期注重资产规模的扩张和市场份额的提高，以在区域银行市场中获得一席之地，完成最初的生存和发展需要。在这个发展阶段，银行的风险意识还处于初级阶段。虽然所有的管理者和员工都能意识到风险的重要性，但是在制度上缺乏有效的手段和科学的方法来进行风险控制。随着竞争的日益激烈和银行风险监管要求的不断深化，管理层深刻认识到需要形成风险控制的企业文化，建立科学的风险管理和内部控制体系，将先进的风险控制手段和方法与银行自身的经营特点相结合，做到“实用、有效、实用”，从而全面提升银行的风险管理水平。

锦州商业银行通过实施风险管理和内部控制项目，引入科学的银行操作风险管理理念，加强对管理层和员工的内部控制和操作风险管理理念和方法的培训。在银行内部，将风险管理从高深的理论转变为全体银行员工的自觉意识和行为，使从高层管理人员到基层员工的所有银行员工都准确理解内部控制和操作风险的内容和含义，清楚地认识到银行内部控制和操作风险与每个员工的相关性。通过培训，员工进一步明确了不同岗位风险的控制方法和手段，从而合理有效地控制风险。

项目组在加强内控和操作风险理念宣传和培训的同时，重新设计了原有的绩效考核和薪酬体系，将包括操作风险管理在内的全面风险管理融入其中，使内控和风险管理不仅成为员工日常工作的要求，也成为衡量部门绩效的成本因素，直接影响部门运营效率考核的结果，进而形成对管理者和员工风险管理的激励机制。通过事前培训、事中监管、事后评估，银行内控风险管理的理念已经深入落实到每一位员工身上，相信通过一段时间的落实，会形成良好的内控风险管理企业文化氛围。

二是进一步完善风险控制的组织架构和岗位责任制。

完善的组织架构是保证内部控制和风险管理的组织保障，而科学的岗位职责设计可以保证每个员工在内部控制和风险管理中的权责利划分清晰，进而通过合理的绩效考核和激励机制设计保证分工的有效实施。项目组结合内部控制和风险管理的科学理念和最佳实践，改革了组织结构，重新设计了岗位职责。

良好的公司治理结构是商业银行建立有效风险管理体系的基础和前提。锦州市商业银行注重加强银行治理，强化股东会和董事会职能，从源头上提高内控和风险管理意识。在该项目中，董事会和委员会的职能得到进一步加强，以确保董事会能够真正在银行重大决策中发挥作用。在完善原有职能的同时，将设立资产负债管理委员会、审计管理委员会、提名管理委员会、信息管理委员会和战略发展委员会，进一步加强银行内部控制。

在风险管理和内部控制项目中，锦州商业银行强化了风险管理部门和审计部门的职能。垂直独立、权威的风险管理组织机制是加强风险管理的组织保证；完善配套的风险管理机制是风险管理的必要手段和配套措施。为全面有效地开展风险管理，建立独立的风险管理体系，由本行董事会和高级管理层直接领导，以独立的风险管理部门为核心，与各业务部门紧密联系。风险管理部负责全面管理银行风险，包括信用风险、市场风险和操作风险。风险管理部运用包括政策约束、流程规范和有效的量化支持工具在内的多种管理手段实施风险管理，将各类风险损失控制在可接受的范围内。

锦州市商业银行注重通过内部审计部门发挥监督和控制的作用。通过建立全行高度权威和独立的审计部，进一步提升其作为重要内控监督部门在内控评价和监督方面的职能。审计部是本行最高审计管理部门，负责对本行下属所有经营机构和业务管理部门进行监督和审计，直接向董事会和审计委员会负责。目前，总部正在着手对下属机构进行风险分类，根据不同机构的风险等级采取不同的审计方式，加强对风险较大机构的审计。调整后，审计部在监督审计方面大大提高了审计力度和有效性。

三、建立科学的内部控制、风险管理体系和流程体系

科学有效的管理制度和流程体系是保证内部控制和风险管理质量的基本保证。锦州商业银行通过完善各部门、各业务的内部控制制度，优化风险控制流程，降低和防范操作风险，将系统、规范的管理方法应用于各项业务的操作风险管理，全面梳理各项业务流程，建立有利于全面风险管理的内部控制体系。

为了更好地体现风险管理的独立性，锦州商业银行将风险管理条线从原来单一的业务条线中分离出来，建立了风险经理制度，并为每个分行指派一名风险经理，负责对分行的风险进行全面审查。风险经理由风险管理部门管理，不隶属于各分行，避免因经济利益驱动而忽视风险。通过实施稽核员制度，由稽核员负责对支行经营中的内控和操作风险进行现场和非现场检查，并根据各支行不同的内控管理水平确定现场稽核频率。

项目组设计了风险信息报告和评估反馈机制。建立覆盖全行的风险信息报告机制，目的是及时、全面、完整地向决策层和管理层提供银行经营管理中涉及的各类风险和内控情况，以便及时发现、防范和化解操作风险，确保稳健经营。风险报告的路径采用纵向报送和横向报送相结合的矩阵结构，即部门或支行必须同时向相应的管理部门报送风险报告。建立系统评价反馈系统的目的是及时发现、报告和纠正内部控制的缺陷，不断提高规章制度的适应性和可操作性，从而增加基层机构的控制能力。

在系统设计的同时，锦州商业银行进一步优化了原有的风险管理流程体系。在设计上，减少了包括贷款审批流程在内的审批流程，进一步明确了来自客户经理、风险经理、最终审批人的风险责任。由于引入了先进的风险控制方法，虽然减少了监控环节，但提高了信息传递的透明度，激励约束机制与风险责任直接相关，因此提高了风险管理的质量，降低了管理成本。

第四，建立涵盖风险管理的绩效薪酬评价体系。

对员工实施有效的激励对风险管理的科学性和效率有着根本性的影响。人的行为动机在于与之相关的效用激励。忽视风险控制的激励机制，只能使员工的行为动机转移到单纯的规模和单纯的利润导向上。为了提高对员工的风险约束，项目组在建立覆盖风险内容的部门绩效考核的基础上，重新设计了员工薪酬考核体系，并将风险考核纳入员工激励机制。

在部门绩效考核体系设计中，项目组设计了科学的关键绩效指标体系(KPI ),利用平衡计分卡实现绩效考核要素的综合要求，引入了包括风险调整资本回报率(RAROC)在内的综合银行绩效指标，避免了原考核体系中指标间相关性导致的激励冲突，并明确将风险成本和风险资本作为重要因素纳入，体现了考核标准的科学性。在绩效考核体系的基础上，项目组设计了包含风险管理激励机制的员工薪酬体系，通过采用不同的薪酬结构和支付条款，避免了不同风险偏好员工之间的激励冲突。

动词 （verb的缩写）锦州商业银行内部控制和操作风险管理的未来规划

良好的内部控制和风险管理系统只能通过充分和有效的实施来实现。锦州商业银行将在未来继续完善新系统的实施，以确保项目设计目标的最终实现，并将继续推进银行信息系统的风险控制，加强风险准确量化管理的准备工作。

银行的内部控制和操作风险管理不可能一蹴而就，无论是文化氛围的形成，管理制度的建设，还是管理手段和方法的实施。实施风险和内控项目的目的不是毕其功于一役，而是为持续的内控和风险管理打下坚实的基础。锦州市商业银行将始终关注国内外银行内部控制和操作风险的最新动态，学习和借鉴先进的管理方法，形成符合自身发展和经营需要的风险管理体系，不断提升风险管理能力和水平，朝着国际银行业管理水平的发展目标不断迈进。