商業(yè)銀行該如何構筑符合全面風險管理要求的內控體系,建立和完善風險防范成效機制,筆者認為具體應從以下幾個方面抓好落實:第一,要制定風險管理內部控制體系總體思路。一個完整的內控包括五項要素:內部控制環(huán)境、風險識別與評估、內部控制措施、信息交流與反饋、監(jiān)督評價與糾正。按照以上基本要素要求,設計商業(yè)銀行內部控制體系的具體內容,應按如下路徑展開:即內部控制組織體系、內控責任體系、內控業(yè)務流程和管理流程體系、內部控制工具體系、內部控制考評體系。在設計過程中,可以考慮按總行、分支行兩個層次展開,并始終保證與巴塞爾協(xié)議和銀監(jiān)會的要求一致,力求體現(xiàn)績效考核、內部審計和外部監(jiān)管三者的一致性。
第二,細化業(yè)務流程、管理流程和風險點。無論是業(yè)務流程的風險控制平臺,還是管理流程的風險控制平臺,都必須依賴崗位責任的設置來實施銀行內部風險管理的控制。作用在于,提示管理者根據(jù)風險預警信號設計和實施風險攔截的對策。
建立并不斷優(yōu)化流程,目的就是在于建立一個有效控制風險的平臺。按照這一思路,業(yè)務流程的建立應按照產品線來設計,并貫徹以下幾個原則:即品種完全覆蓋;內控操作完整獨立;可計量并有預警功能。目前城市商業(yè)銀行的業(yè)務流程運行體系基本上按照這一思路設計并運行,需要強化的是評價與預警功能。管理流程建立在業(yè)務流程之上。管理流程設計按照管理部門層面特征,按管理級次設計,并結合業(yè)務流程。
在業(yè)務流程和管理流程的設計中,通過文字圖表來明示風險點。內部控制的關鍵就在于管理行為覆蓋全部風險點,從而控制風險。
第三,強化內部控制與責任體系。責任體系存在于一定的組織結構下,責任體系的設計必須服從于內部控制組織結構體系。它是風險管理信息傳遞和全面風險管理具體內容的實現(xiàn)途徑。
一是責任體系設計原則。主要遵循全面風險管理、風險管理與業(yè)務管理平行作業(yè)原則、矩陣式報告制度原則、精簡效率原則、相互牽制原則、協(xié)調配合原則、程式定位原則7條原則。
二是責任體系分層設計。根據(jù)管理級次,分分行和支行兩個級次設置。與常規(guī)設置不同的是,分行層面的風險管理崗位設置,除了設置風險控制管理委員會、風險管理部之外,為了將全面風險管理思想貫徹于全部業(yè)務活動中,必須在所有業(yè)務職能部門設置風險管理崗位,明確負責對部門所負責業(yè)務的風險監(jiān)測、記錄、報告、考核等工作。各分支行的風險管理,主張僅設立風險管理部統(tǒng)一實行風險控制與管理,只有業(yè)務規(guī)模較大支行在各業(yè)務職能部門內設立專職風險經理。
三是風險管理職責必須明確。風險管理職責的明確,主要通過崗位職責描述和授信授權書進行,授權范圍內事項分別由風險管理崗和風險管理部負責,風險控制管理委員會則主要是制定規(guī)則和處理例外事項。風險管理的關鍵是,所有業(yè)務必須進行風險監(jiān)控,絕對不能有游離于管理之外的業(yè)務;符合重要性要求的業(yè)務必須貫徹集體決策的原則,集體決策的規(guī)則必須科學有效。