(四)风险管理水平进一步提升。将内控管理渗透于各分支机构、各项业务和各种产品之中;贯穿于事前监测、事中管理和事后处置的整个过程。内部控制手段从传统的手工方式为主、其他电子手段为辅努力向充分利用科技手段转变,实现业务操作的电子化和智能化控制。
(五)信息交流与沟通渠道进一步畅通。建立了信息收集、处理、交流、沟通、反馈、披露等渠道和方式,较好地体现了安全性和保密性要求。建立了多项风险报告制度,使管理层和监管部门能够及时了解业务的有关信息。及时通过电子化公文传输系统、下发文件和编制制度汇编等形式传达到各岗位工作人员。各级分支机构与客户、监管者和股东等建立了有效的沟通渠道。
(六)内部审计工作进一步加强。内审工作在组织架构、监管模式和人员配置上进行了重大改革,构建了较为完善的内部审计制度体系。加强了对要害部位、重要领域和环节的重点监督检查,不断排查风险隐患和管理漏洞,加大重要业务品种和高风险业务领域监督检查力度,加强对发现问题的整改和纠正,问题久拖不决、屡查屡犯的现象得到了一定程度的遏制。
(七)内规建设的信息等级持续升级。做到了敢于披露、有效披露、良好披露,内规建设、内控评估越来越多地在年报中编制并披露,内部控制的信息更加公开、透明。
二、加强兰州银行内控建设的总体思路
(一)加强兰州银行内控建设应基于兰州银行内控建设现状和发展战略。目前,兰州银行内控建设处在巩固已有成绩和优势的同时进一步提升发展阶段,一些近些年在内控与风险管理实践和探索中的做法和经验应充分加以总结与继承,努力按照上市商业银行目标与水准打造内控体系,全面提升核心竞争力。
(二)加强兰州银行内控建设应紧紧围绕《巴赛尔新资本协议》和银监会有关内控与风险管理有关要求。兰州银行内控建设应基于《巴赛尔新资本协议》以及《商业银行内控指引》等法律法规和监管规章的要求,在统一的法人体制及管理框架下,全面打造具有兰州银行自身特色的内控体系。
(三)加强兰州银行内控建设应结合国内外良好的内控模式。兰州银行内控建设的重点应该集中在内控五要素中的“内控环境”、“监督与评价”等方面,特别是在公司治理、组织架构、人力资源、内控评价、内部监督、问责纠正等方面走出一条适合兰州银行特色的内控体系建设之路。
(四)加强兰州银行内控建设应体现出内控建设发展趋势。中国银监会主席助理阎庆民在全国城市商业银行发展论坛第十二次会议上提出了内控建设进一步发展的工作重点,这些意见既反映出监管部门对商业银行内控建设提出的要求,也是城商行内控建设发展趋势,同样也是进一步加强兰州银行内控建设需要做好的具体工作和任务。
(五)加强兰州银行内控建设应把内控与全面风险管理相结合。内控与风险管理具有高度的糅合性和交叉性。一方面,风险管理过程尤其是风险评估过程可以发现内控制度的薄弱环节,使内控制度更趋完善。另一方面,完善的内控制度为风险管理竖起了一道屏障,在一定程度上防范了由于流程、系统、人员引起的风险。因此,内控建设应按照新资本协议强调的全面风险管理理念,将内控建设与全面风险管理高度融合起来,内控才更加具有针对性和操作性。
三、加强和完善兰州银行内控建设的对策
(一)优化公司治理结构,明确治理层在内控管理中的职责并有效发挥职能作用
1.强化董事会在内控和风险管理中的主导作用。董事会应负有保证建立并实施充分且有效的内控体系的最终责任。
(1)董事会应制定与兰州银行战略目标相一致的内控与风险管理战略和总体政策,通过相应的组织与实施机制及时转化为指导全行内控建设的方针、政策;督促高级管理层和经营单位积极采取措施贯彻落实。
(2)董事会应在充分了解内控执行以及内控评价结果的基础上,及时做出相应的加强内控建设的决策,并应保证高级管理层对内控体系的充分性和有效性进行监测和评估。
(3)内部审计部门在董事会和董事会审计委员会领导下,独立客观地开展审计工作,对内控制度的健全性和有效性实施再监督。
内部审计主要向董事会或审计委员会报告工作,同时也向监事会和高级管理层报告。
2.加强监事会组织建设与监督职能,发挥监事会的积极作用。
(1)监事会下设审计委员会以充分实施内控监督评价职能。
(2)监事会负责监督董事会、高级管理层完善内控体系;监督董事会及董事、高级管理层及高级管理人员履行内控职责,并负责要求董事及高级管理人员纠正其损害利益的行为并监督执行。
(3)监事会应通过审阅风险管理报告、内控评价报告、稽核审计报告、外部审计机构管理建议书,听取相关部门汇报、开展专项审计调查及内控巡视调研等多种方式,了解内控制度实施情况,提出加强内控建设的指导意见。
3.进一步细化高级管理层内控职责,提高内控制度执行的有效性。
(1)负责建立和完善内部组织机构,并负责保证内控的各项职责得到有效履行。
(2)负责制定具体的内控政策,并负责对内控体系的充分性与有效性进行监测和评估。
(3)负责建立识别、计量、监测并控制风险的程序和措施。
(二)建立明确的内控体系,形成全面内控管理基本框架
内控活动是在统一的内控体系之下展开的,兰州银行内控建设的一个重要任务就是把分散、零星的内控活动和内控管理纳入到一个有机的系统之中,从而使内控职能和作用的发挥更加有序、有效。
1.建立和明确统一的内控规范体系。建立以“兰州银行内控大纲”为基础的相互联系、相互制约的内控制度体系。在此基础上构建一系列相互联系、具有可操作性的内控与风险管理制度,可使内控体系中诸多要素之间能够形成一个相互衔接、互为支撑的有机整体,并使全行内控建设建立在逻辑一致、前后贯通、上下联结的行动纲领和要求之上。
2.建立和明确统一的内控管理体系。内控制度的决策、制定、执行、监督评价应在董事会统一主导下,由一系列相互联系、相互制约的部门、单位和岗位承担。
统一内控制度管理体系,核心是形成内控制度制定、执行和监督评价的“三道防线”,以及形成有效的内控反馈、检查、问责、纠正机制。其中,总行各部门负责按职能制定各业务管理范围内的规章制度、操作规程,并通过授权、考核、检查等方式履行管理与检查职责,同时向高级管理层汇报相关工作;分支行负责具体执行各项规章制度与操作规程,保证内控政策的落实,同时按规定反馈执行情况。
(三)建立有机的内控与风险管理组织以及职责体系,构建相互联系、相互制衡的内控运行机制
在治理层统筹之下,按照内控与全面风险管理相结合原则,将内控与风险管理的决策、执行、监督评价等职能分别赋予不同部门;各部门之间在合理分工、职责分明的基础上做到既相对独立又相互制衡,从而保证内控和风险管理的完整性和有效性。
形成纵向条线层级管理和横向前中后台有效分离制约的组织架构和较为完整的规章制度体系与制度后评价机制,基本覆盖了各职能部门、业务单元和管理活动。结合这一架构,内控与风险管理相关职能部门的定位和主要职责是:
1.风险管理部、合规部(按银监会要求单独设立)、内控管理部系总行层面履行内控与风险管理职能的专门部门,主要负责内控与风险管理中的组织、实施与监督职能。
2.内审部门系总行层面负责独立的内控检查与评价部门。重要的分支机构可成立内审派出机构,派出内审机构实施垂直管理,归口总行内审部门管理。派出内审机构主要对分支行日常经营进行合规性检查和现场稽核,对分支机构风险总监职能履行情况进行再监督。
3.业务管理部门系总行层面内控与风险管理决策的执行部门。在其业务管理的具体过程中,落实与执行内控和风险管理政策、制度。这些部门作为内控与风险管理的“第二道防线”,具有很强的组织优势和技术优势,对风险防范起着十分重要的作用。
(四)加强跨区域经营管理,强化各分支机构风险管理能力
1.建立垂直化跨区域经营内控与风险管理体制。全行实施集中、垂直的管理模式,以确保全行范围内内控与风险管理的一致性和有效性;同时提升总行对分行、管理行的管控能力。总行前移管理关口,在分行设置总行风险管理部的派出机构(风险总监),负责对分行经营管理中所涉及的各类风险进行日常监测、评估和管理并向风险管理部门报告。在分行、管理行设立内部审计机构或审计小组,提高非现场稽核与现场稽核的及时性与有效性。
2.加强分支机构管理人员的权力制约。在强化一级法人制度的同时,按照分类管理、适时调整和授权有限的原则,严格推行授权、转授权制度,确定授权范围和责任。根据自身经营环境的变化,不断调整授权管理策略。
3.明确岗位职责。在岗位设置和职责上,严格结合业务分工实际情况制定和实施岗位责任制,岗位职责应充分体现岗位监督的原则。总行对分支行所有岗位应有一个清晰的、全面的、科学的、标准的岗位职责描述。
(五)加强人力资源建设,提高员工内控认识和业务操作水平
1.进一步打造具有兰州银行特色的企业文化。核心是对兰州银行企业文化的内涵及其策划、渗透、评估与改进做出明确的规定和引导。将内控文化、合规文化纳入企业文化中去,促进员工提高自身职业道德水准,规范自身职业行为。