商业银行合规风险管理暨IT系统建设
- 来源:银行家
- 关键字:商业,银行,风险,IT
- 发布时间:2010-05-05 15:55
朱海林:合规内控的三点感言
近几年来,财政部一直在推动企业风险管理与内部控制方面的建设。2008年颁布了《企业内部控制基本规范》(以下简称《规范》),近期将接着颁布一系列指引,且《规范》和相关指引将首先在上市银行中执行。关于合规内控方面的相关问题,本人想谈三点意见:
第一,希望银行等金融机构在合规风险管理与内部控制方面能起示范作用,不管是合规、内控,还是整个风险管理,都要用到管理当中去。而管理就要讲究效率,因此,找到一种节省成本、提高效率的方法就显得非常的重要,也值得大家深入地研究。
第二,对于风险管理与内部控制方面的建设,一些规模较小的银行有条件做好。因为规模小、历史不长,反而是一个优势,正所谓“船小好调头”。
第三,财政部与证监会、审计署、保监会、银监会、国资委等,在2008年联合推出了《规范》并马上要颁发相关的指引,预计2011年首先在境内外上市公司中推行。《规范》的推出意味着内控需要审计,而不再是简单的内控。接下来在主版上市的公司要审计,再往后大中型企业、中小型上市公司都要推行审计。纵观国外,美国人在当初的环境下历经曲折终于实现了萨班斯法案,就有很多经验值得我们借鉴。之前,我们与国内几家大银行进行过深入的交谈,一致认为合规建设很难,执行起来更难。这个难体现在多方面,有很多关系需要处理。再比如说与银行的操作风险、信用风险的关系,这些应该怎么结合;在银行之外有千万条线,到了银行当中到底应该是几条线,这也是个非常大的问题。比如监管方面,管理部门出台了很多规定,银行要有一个消化吸收的过程。要建立一个好的机制,到底应该怎么做,这中间有方式方法的问题,也有技术层面的问题,还有人们的观念问题,所以现行的一些做法很值得中小银行借鉴。
(作者系财政部会计司综合处处长)
李劲松:合规工作面临的难点与困惑
这些年来本人也从事过合规方面的工作,所以谈到合规这个话题时心情并不轻松,本人认为主要有两个原因:
一是就合规本身,它是一个入门易深化难的事情。银监会作为第一推动力,将这一事情推出以后,商业银行也紧随其后,从思想上,认识比较到位,但怎么深入却是一个很大的课题。因此,目前无论是银行还是银监会,都处在不断的摸索之中,至今也没有一条完全成形的道路。
二是如何检验合规的成果。由于没有一套现实检验的流程,所有只能依靠在金融危机中各银行的表现来检验合规情况。自2003年以来,我国经历了一个顺周期的增长,虽然2008年遭受金融危机的冲击,但在宽松的货币政策和积极的财政政策的刺激下,对我国银行业的冲击和影响至少在目前还没有完全的显现出来,特别是对我们已有的风险管理体系的有效性的检验。应该讲,自2003年以来整个金融行业都在狂欢中度过,国有商业银行、股份制商业银行、城商行、包括农信社,都制订了一系列的发展目标,但是这些目标并没有经过外部压力的强力冲击。对于今天的讨论会,更多的是谈现实中的问题,本人特别要提供一个观点:合规工作你做得再多也是必须的,你只有在下雨之前把房屋补好,下雨的时候才不会手忙脚乱,任何时候都不能过高的评估我们合规工作的成绩。
还有一个问题就是我们做了很多合规方面的工作,但如何提炼出有价值的东西,也是值得大家的关注与思考。本人的感受是虽然和合规工作接触了很久,但每次谈这个问题都是诚惶诚恐,我想大家也都有这样的感觉。因此,建立反馈机制就显得非常的重要。特别是探索一种在合规管理上有效的机制,商业银行对监管部门有什么要求,监管部门怎么把各项风险管理的措施和指引通过一个很好的渠道反馈给大家,形成有效的合规监管和合规管理的途径。
(作者系银监会政策法规处处长)
史瑞祥:通过信息系统的建设,加强合规风险管理
应该说,宁波银行的合规工作也刚刚起步。本人想就近年来宁波银行采取的关于加强合规风险管理的措施做一个简单的概述以期抛砖引玉之效。
第一,全行的备忘书。宁波银行上市以后,加上异地分行的开设,还有外部最新监管规定的出台,原有的文件已经不适应现有的体系。由于管理半径的增加,风险控制措施和流程也要相应增加,因此2009年系统建设项目的开发把全行内部的制度进行了全面的梳理,并建立了一个包括流程图、每一个环节的风险点和风险控制要求等的综合性体系文件。每位员工在查这个体系文件的时候可以一目了然的看到行业内各种业务的操作流程及每个操作环节的风险点和风险级别。通过这个文件的学习,员工对于风险的把握上会有较强的提高。
第二,由于风险点随着新的业务产品和新的流程变更会动态的变化,因此针对风险点是否发生变化时就需要对合规风险进行评估。评估主要是从风险损失程度和发生频率机动两个维度进行计算。由于这项工作刚刚起步,效果怎么样,目前还不得而知,本人的想法是通过这样的评估手段、评估知识,能够有效的识别一部分合规风险,这样对于完善内部控制制度和业务操作流程有一定的作用。
第三,加强合规风险的报告。以前宁波银行合规风险报告都是以纸张的形式传输,因而报告的效率、内容以及频率等都可能存在一定的问题。系统开发了以后,加强和明确了合规风险报告的内容、途径、频率和时间的要求,而且也将报告分为常规性的合规风险报告和重大的合规风险报告两类,该两类报告的频率、对报告的要求、时效性都不一样。我们对该报告的最低要求就是分支行行长、总行的条线业务部门、总行合规部、总行风险管理部、总行稽核部、总行行长室都能随时看到这些报告。通过加强合规风险报告,使得全行对合规风险能有更深的认识。
第四,加强合规咨询。从目前来看我们主要做的事情有:一是建立一个互动的网络交流的平台,讨论业务活动中所碰到的法律合规问题。二是建立法律合规咨询问题库,定期将讨论的标准答案纳入咨询库。三是在合规风险管理体系中,全行业务人员可以通过多种维度在咨询库内查询与自己咨询问题相同的问题答案。
第五,加强法律合规检查。2007年宁波银行法律合规部刚成立时,大家都比较盲目,不知道合规从何处下手,只知道法律和合规是在一起的。因此,一开始只是做单纯的法律合规检查,但经过深入的摸索,我们有两点体会:第一,总行的合规部门的法律合规审查按条线设置,分为公司业务、个人业务、金融市场业务、结算业务和其他综合业务五个岗位,以突出专业性。第二,加强法律合规检查的落实,通过合规系统和印章管理系统、信贷审批系统等业务系统的对接,在合规风险管理系统内实施法律合规审查,将意见书直接发送给实施部门,防范操作风险和内部道德风险。
第六,实施全行员工的合规评价。对象是全行的业务操作人员和管理人员,员工合规评价的内容是各项业务的操作人员和管理人员在日常操作和管理中内控操作制度的执行情况,以是否违背内控操作行为作为评价的事实依据。员工合规评价方法是有层次的合规检查,一是业务经办人员必须有自我评价和审查,在业务结束三个工作日之后要进行回顾和检查。二是分支行成立合规检查领导小组,定期对全行的所有业务进行检查;总行的各个部门对于全行的业务条线也要进行检查。
(作者系宁波银行合规部总经理)
陈 :合规建设的四大关键问题
民生银行是国内较早进行合规风险管理建设的商业银行之一。应该说,在整个民生银行的发展历程中,合规建设在促进民生银行业务发展的过程中起到了相当大的作用,但以下几个问题应值得大家关注。
第一,商业银行和合规风险管理之间天然存在一些需要协调的地方。商业银行以利润为最高目标,但是在追求利润的过程中也有个基本要求,即合规要求。因为银行毕竟是在一个有法制监管的环境下运行,所以监管环境要求和它自身的利益趋动便引发一个问题:对于商业机构,到底期待其是自觉履行合规职责,还是在一个有管制的或强制的环境下来做好合规风险管理呢?
从某种意义上来说,银行还是希望有一套完整的来自监管机构关于合规的硬性要求,即管理标准的要求。现在监管机构对于合规细节要求很多,也很繁杂,但是没有上升到一个统一管理的层面。因此,各家商业机构在探索合规的道路上只能摸索前进。
第二,合规风险管理的基本定位是什么?具体的内容和技术手段可能会因各家商业银行而有所不同,但是基本的要求应该一致。但现在的问题恰恰在于合规管理的定位不明确,所以在具体实施合规风险管理时千差万别也就不足为奇。就我个人的理解,合规就是所有的来自监管层面的强制要求,或者来自法律强制性的要求,它是必须被各家银行所接受的。如果对此有明确的规定,那么从董事会、经营层,再到具体的管理操作中,针对这一问题就能做出相应的回应。正是由于定位问题没解决,所以限制了很多东西的推行。
第三,管理层重视与否。由于在现阶段合规的定位很盲目、很不清晰,所以我们到底通过怎样的具体实践来赢得管理层对于这个问题的重视便有一定的难度。每当你在行里汇报工作,如果一讲到管理就能讲到合规,这就是合规成功的标志,但如果不是这样,则说明合规被边缘化了。当问题来临的时候或任务来临的时候,合规就得往后靠一靠。我们希望从董事长到行长、经营层都非常重视合规,规规矩矩办银行,以精细化管理来运作整家银行。
第四,合规要融入经营当中,与过程形成统一。我们讲合规风险管理不是讲结果,而是讲过程。我们希望推动合规考核,但合规考核又不能是定性的东西,而必须是定量的东西,所以在这方面我们也做了一些探索。我们提出了几个指标,并将此进行年度对比以此来判断进步或退步的情况。如果有进步,则对其管理绩效相应调高分值;如果下降了,哪怕今年利润再好,也要对其绩效分值进行扣减。大致来说,这些指标主要有以下几点:一是制度的有效覆盖率,所有的业务活动应该有制度的约束。二是风险的揭示和有效控制的地步。民生银行通过对产品和业务操作流程中的风险梳理,共梳理出了3220个风险点。针对每一个风险点都有相应的措施,这是静态的过程。我们还有动态的风险控制的指标,比如各风险项下的年度比较。例如,2009年的风险控制率比2008年进步了多少,比例提升了多少等。三是监管当局对银行处罚的增长比率、具体事件处理的次数、金额的比例等。
(作者系中国民生银行法律与合规事务部副总经理)
黄 斌:招行产品合规管理的做法总结
前面各位与会人士对合规的定义、定位及相关职能等都作了精彩的发言。本人也简单谈谈招商银行合规部管理产品的做法与心得。
第一,法律合规部门在参与全行新产品的论证时,发挥了比较重要的作用,也得到了行领导的重视。一个比较典型的例子,就是每次开会时,第一个发言的是产品开发部门,第二个发言内容基本上是行领导询问法律合规部门的意见,而且法律合规部门的意见会成为行领导一个比较重要的决策依据。所以本人对“做合规”的感觉是,合规尽管是一个空帽子,什么都可以往里装,但是具体一定要落到实处、一定要有专业性。如果没有专业性的话,其他部门不一定会重视。对招行而言,一般来说,每个新产品都要经过合规风险管理部门的审查,尤其是现在的理财产品。只要合规部提出要上产品委员会,这个产品就必须要被提交到新产品委员会进行讨论。
第二,招商银行独特的合规机制:合规官一票否决。招行在总行和支行都设有合规官,总行是分管合规部的副行长;分行也是副行长级别的,分行行长是成员。招行的一票否决权是指任何产品(包括新产品),其他的行领导说可以做,但只要合规官认为这个业务存在不能容忍的合规问题就可以否决。一旦合规官否决此产品,该产品便不能做。当然程序上有一些特别的安排,比如说分行的合规官认为某产品不能做,但是分行一把手认为可以做,就必须把这个问题提交到总行来,由总行的合规委员会来决策;理论上,如果总行的合规官和总行的一把手看法不一致,就要提交董事会讨论。
第三,合规部对新产品审查的具体做法是:涉及到合规方面的,根据条线来设置合规的岗位。招行设有三个合规室,分别负责公司业务、零售业务等条线的新产品审查工作。招行合规室的设置可能与其他银行不一样,其他银行可能是法律团队与合规是完全分开的,但招行合规室里有法律背景的人员,也有业务背景的人员,采用的是融合方式,从不同的角度去看一个业务,从内规和外规多方面去审查。
经过近几年来的摸索,招行对产品合规管理进行了全面的总结,并提炼出“六步法”。其包括:引入和解读外规,合规论证,法律性文本修订,指导监督测试,新规的跟进与提示,有效互动。
第一,引入和解读外规。对于每一类型的新产品,我们要求做这一块的人员对相应的外规要非常熟悉,比如说理财产品,你必须要收集银监会所有的关于理财产品的规定,要对相关的法规非常熟悉。
第二,合规可行性论证。即我们在相关的基础上根据这个产品的特点进行评估,审查的结果会给出几种意见(支持、关注、否决)。如果是否决意见,业务部门就不能擅自办理。如果业务部门有异议,可以提交合规官进行审查,他可以行使一票否决权。事实上在评审过程中,确实存在一些合规的盲区。只要有创新,在多数情况下相关的监管规定都会滞后一些,会产生相应的模糊地带。
第三,法律方面的审查和文本的修订。
第四,指导监督和测试。合规部会对合规的审查工作做一些总结提炼,比如各部门可能会碰到的共同风险点,合规部将对此做一些提炼,然后发给相关的业务部门。另外合规部也做监督工作,查看意见在相关部门的落实情况。如果没落实的话,在合规考核中将对相关部门进行扣分。对于合规检查,各家银行的看法不完全一样,招行目前的看法就是适当的合规检查是必要的,其可以延伸合规管理的半径,而且做检查可以增加一些感性认识,对做好事前事中的工作也有好处。
第五,合规部会及时关注新规及监管出台的情况。以理财为例,这几年监管部门出台新规定非常频繁。首先,你不能漠视原来的规定,因为原来出来的产品是基于当时的背景下做出来的。其次,当新规定出台后,一定要特别注意,否则会形成系统性危险。招行在这方面是非常重视的,新规出台后,合规部会及时解读分析,并从中提出风险调控措施,然后向各部门提示。事实上相关部门对我们这方面的工作是比较认可的。
第六,和监管部门的有效互动。在一些尺度把握不准确的地方,为了保证其合规标准的准确性,有必要跟监管部门继续沟通。而且在有些问题上,合规部也不是被动的遵循,而是要主动的沟通,提出自己的合理化建议,在某种程度上体现出合规部门的合规价值。
(作者系招商银行法律与合规部总经理助理)
宋国峰:合规部门定位有待明确
北京银行合规部成立于2006年,到现在已有四个年头。本人觉得今后讨论合规问题的时候不能脱离内控、法律风险、外部风险等因素,一定要从多角度考虑,所以本人想就这方面问题与大家进行交流。
第一,合规的定义。对于合规定义,本人是比较困惑的。因为这个边界本身,特别是合规跟法律风险、内控、操作风险的关系,它是不可能分清的。所以,我想应该换个角度看,不能仅仅从我们合规部门的角度来看,而是从其他部门的角度出发来看这个问题,可能会对合规问题看得更清楚一些。所以从技术角度讲是否符合外规的问题,法律部门最有能力管,那就让法律部门管;关于制度流程问题,则应该让合规部门管;关于没有这项制度的问题,则需要视情况做些区分。
第二,合规部门的决策定位。由于合规工作内容复杂化、工作职责模糊化,所以要定位合规部门的位置是非常困难的事情。我们合规部也在慢慢的摸索,对于这一问题,合规部形成以下共识:(1)不参与决策,所以合规部不站在第一道防线的位置上。(2)不站到第三道防线去。所以对一些具体的工作和具体的问题,我们有一些初步的想法,想跟各位交流一下。
首先,合规部门是否参加检查、是否进行检查、是否独立检查。从合规风险管理角度来讲,我个人主张全都不参与。第一,合规部不独立检查,我们就是对合规风险事件进行调查,事情发生了,我们才去调查。第二,对于其他部门组织的检查,我们坚持不参与。其他部门制订检查方案时,我们只提出技术支持,或者说只是提供咨询意见,但是我们不参与。总体上说,我们不组织检查。
其次,我们是否参与决策。有些事情合规部是应该管的,比如说某部门的指标考核是否体现了合规优先的价值导向,按道理讲,这是最应该征求合规部意见的。但有些时候,一些业务部门将应该自己做决定的事情都推给合规部。再比如说一些职责的争议,本不属于合规部管的,但还是推给合规部。所以合规部反复强调,业务部门是第一道防线,只有你们先拿出意见后合规部再拿意见,否则你们不表态,我也不理会你们。另外合规部还特别强调一点,即使合规部发表了意见,业务部门还得承担第一责任。
再次,遇到一些不清楚的空白地带,谁来承担责任。北京银行的经验是这样的,一旦发生事件,合规部建议先与事件所在的部门进行沟通,如果该部门能在事件发生后立即采取措施进行修补,那么合规部将在工作报告上如实的反映该部门的行动情况,并予以表扬。如果该部门不管,那么合规部将向上级领导报告。这个时候就有一个风险,就是行领导怎么看该部门的责任心。从这几年来看,事件相关部门都能在很短的时间内承担相应的责任并积极做好应对之策。一开始合规部也觉得不乐意,自己去调查清楚并收集资料,然后还得跟事件的相关部门进行交涉,进而盯着他,等到问题解决了还得进行总结。虽然出了很多力,但是最后成绩跟合规部没有关系,功劳都是那些部门的。但是从另一方面讲,这是对合规部负责的表现。
第三,合规创造价值。如果说合规创造价值,我想所有人都会同意这种说法。但是如果现在有一大单业务,利润很大,同行做了,监管机构也没有表态,但是也有政策风险,这个时候怎么办?第一个选择是先做了试试。第二个说做,做了以后监管机构来的时候好好解释。第三个选项是向合规部门报备再做。第四个是不做。测试结果表明相当一部分选的是前三个选项。这就说明合规中只是体现在口头上、口号上,并没有落实到行动上,所以,要想把合规理念深入骨髓,需要合规部门的长期奋斗。
(作者系北京银行法律合规部总经理)
陈永珍:兴业银行合规管理体系试点始见成效
兴业银行法律合规部自2007年成立以来,便在全行范围内进行全面合规管理体系的推广,应该说全行至上而下对合规有一个非常深刻的认识。
这个体系推广之后,为了建立一个长效的更新维护机制,兴业银行建立了合规监测处试点工作,当时选了深圳、上海、重庆三家分行。
在这三家分行开展试点的主要做了以下几项工作:
第一,收集外规。总行负责收集全国性的外规,收集完后将其放在系统里面,并将法规与业务一一映射起来。因而在从事某项业务时,要遵循什么法规时便清清楚楚,而且也节省业务员学习相关法律的时间,可以提高工作效率。分行要做的就是负责检测地方性的外规,由于地方有一些有别于全国性的规章制度,分行就是要收集这些地方性的外规并录入在系统里,实现全行信息共享,这样便可了解其他地区的地方性监管要求,真正做到知己知彼。另外,通过大量真实案例的讲述,让员工切身体会到相关的风险点及其造成的影响。
第二,对系统中的文件进行动态更新与维护。如果制度体系文件没有随着外规的变化而更新的话,那么说明部门的实际做法可能跟制度已经不相吻合了,甚至会产生一系列的影响,所以必须制订一个制度文件的维护机制。
第三,要求分行做的是合规再分配的工作,就是新入行的员工,都要经过合规部的合规文化、合规理念的培训,老员工也要有定期的培训。
我们这次试点的重点主要是以下三方面。
一是监测事件的录入。即要求分行各个管理部门把自查、备查发现的所有问题录入到数据库中。
二是风险点再评估。当问题出现以后,如果说实际操作没有问题,那么就要回头检查我们行本身的制度、流程,看一下是不是制度和流程有问题。如果真是制度或流程出了问题,那就说明部门内规已经不适应现在的业务发展管理需要。在这种情况下,法律合规部就会提醒管理部门该内规已经不适合目前发展状况,要将该内规修改或取消。
三是完成报告。当所有工作做完后,合规部门会形成最终的合规报告。在这份报告中会告诉管理层每季度风险的发生及变动情况,你做了哪些工作,解决了什么问题,该季度风险隐患在哪里,外规变化以后对全行产生什么影响等等。
以上就是在分行试点的总结。至于所得的成果,我们认为一是文化的沉淀,二是培训了一批经理,因为通过这些方法,他们也学会了合规风险的管理方法。另外,通过这样一个平台,可以及时的把握风险。
总之,本人认为做好合规工作应注意以下四点:一是领导层的重视。二是必要的制度安排和保障,三是合规部门应有准确的定位。四是外部监管机构的推动。
(作者系兴业银行法律与合规部高级经理)
汪健豪:合规风险的管理步骤
现在银行业对于违规事件的容忍度越来越低,在这种环境下,合规风险管理技术理应获得广泛的应用,但现实情况却是我们在这一领域才刚开始起步。
合规风险管理是一种风险管理,所以其应遵循风险管理的基本架构。一般而言,风险管理有三道防线。所有做事情的部门为第一道防线。风险管理是第二道防线。第三道防线是审计。所谓第二道风险,就是它不做具体的事情,只管风险。合规风险就是管合规风险,其他的风险部就管其他风险,它不直接从事具体的经营管理活动,所以关键在于要找到风险管理的切入点。我们现在做合规风险管理时,大家有不同的做法。有些是先做第一道防线,流程立规,建立机制,一道防线建一个机制。对于行长来说最后一道防线是合规或者风险管理,不是审计,审计跟行长没关系,审计是在行长以外的第四道防线,监管则是第五道防线。一般而言,大家都是第一道防线做流程立规,第二防线做风险管理程序,而这两件事都与风险合规有关。
一些银行刚开始做合规时,如果行领导给的资源多,那么可以两道防线一起做。如果给的少,可以只做第一道流程立规。这里牵涉到流程如何分级的问题,我们的观点就是第一道防线中各个业务流程分成五级,一级理念级,二级职责级,三级标准化级,四级监测级,五级是整合级。一般银行都能达到三级和四级,我们首先要把这个流程在三级做起来,如果到了四级就要管IT系统的说明书。把制度变成系统的时候,这个系统往往被业务主管和IT部门工程师左右,有时候系统设计反而游离在合规部门管控之外,合规部的新产品、新流程、新业务,最终都是管内部作业流程,要把它管起来,这是第一道防线。这个整合起来工作量很大,一些银行是从第一道防线开始做第二道,有些银行是从第二道反推至第一道。
经过多年的努力,我们做了两万多个合规映射点,每个点都是立法立规点,所有的风险都有可能转化为合规风险。如果合规解决不了的风险,我们将选择风险计量、对冲、拨备等方式进行解决,这个一个大趋势,所以全面合规风险是走向风险管理的一条道路。
(作者系普信咨询首席管理专家)
关注读览天下微信,
100万篇深度好文,
等你来看……