商业银行该如何构筑符合全面风险管理要求的内控体系,建立和完善风险防范成效机制,笔者认为具体应从以下几个方面抓好落实:第一,要制定风险管理内部控制体系总体思路。一个完整的内控包括五项要素:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。按照以上基本要素要求,设计商业银行内部控制体系的具体内容,应按如下路径展开:即内部控制组织体系、内控责任体系、内控业务流程和管理流程体系、内部控制工具体系、内部控制考评体系。在设计过程中,可以考虑按总行、分支行两个层次展开,并始终保证与巴塞尔协议和银监会的要求一致,力求体现绩效考核、内部审计和外部监管三者的一致性。
第二,细化业务流程、管理流程和风险点。无论是业务流程的风险控制平台,还是管理流程的风险控制平台,都必须依赖岗位责任的设置来实施银行内部风险管理的控制。作用在于,提示管理者根据风险预警信号设计和实施风险拦截的对策。
建立并不断优化流程,目的就是在于建立一个有效控制风险的平台。按照这一思路,业务流程的建立应按照产品线来设计,并贯彻以下几个原则:即品种完全覆盖;内控操作完整独立;可计量并有预警功能。目前城市商业银行的业务流程运行体系基本上按照这一思路设计并运行,需要强化的是评价与预警功能。管理流程建立在业务流程之上。管理流程设计按照管理部门层面特征,按管理级次设计,并结合业务流程。
在业务流程和管理流程的设计中,通过文字图表来明示风险点。内部控制的关键就在于管理行为覆盖全部风险点,从而控制风险。
第三,强化内部控制与责任体系。责任体系存在于一定的组织结构下,责任体系的设计必须服从于内部控制组织结构体系。它是风险管理信息传递和全面风险管理具体内容的实现途径。
一是责任体系设计原则。主要遵循全面风险管理、风险管理与业务管理平行作业原则、矩阵式报告制度原则、精简效率原则、相互牵制原则、协调配合原则、程式定位原则7条原则。
二是责任体系分层设计。根据管理级次,分分行和支行两个级次设置。与常规设置不同的是,分行层面的风险管理岗位设置,除了设置风险控制管理委员会、风险管理部之外,为了将全面风险管理思想贯彻于全部业务活动中,必须在所有业务职能部门设置风险管理岗位,明确负责对部门所负责业务的风险监测、记录、报告、考核等工作。各分支行的风险管理,主张仅设立风险管理部统一实行风险控制与管理,只有业务规模较大支行在各业务职能部门内设立专职风险经理。
三是风险管理职责必须明确。风险管理职责的明确,主要通过岗位职责描述和授信授权书进行,授权范围内事项分别由风险管理岗和风险管理部负责,风险控制管理委员会则主要是制定规则和处理例外事项。风险管理的关键是,所有业务必须进行风险监控,绝对不能有游离于管理之外的业务;符合重要性要求的业务必须贯彻集体决策的原则,集体决策的规则必须科学有效。