完善內控體系 強化風險管理

完善的組織架構是保證內部控制和風險管理的組織保障，科學的崗位職責設計能夠確保每名員工在內控和風險管理工作上權、責、利明確分工，進而通過合理的績效考核和激勵機制保證執行。

雖然傳統上我國商業銀行對操作風險的管理十分重視，但由于銀行自身治理有效性不足，風險控制文化缺乏，內部組織結構不合理，缺乏現代風險理論和技術支撐，信息化水平不高等原因，商業銀行尤其是規模較小的城市商業銀行對操作風險的管理能力有明顯欠缺，由此產生的案件時有發生。

強化內部控制和操作風險管理理念，建立良好的風險控制企業文化氛圍。

對于城市商業銀行來說，引進國際銀行業先進的操作風險管理理念，形成良好的風險控制企業文化是迫在眉睫的任務。現代銀行操作風險主要來自內部控制和外部事件兩個層面，主要包括人員風險、制度和流程風險、技術風險以及操作策略風險。

銀行操作風險的防范主要依賴完善的內部控制。巴塞爾銀行監管委員會1997年在《有效銀行監管的核心原則》中提出：銀行最重大的操作風險在于內部控制及公司治理機制的失效。根據《商業銀行內部控制指引》的定義：內部控制是商業銀行為實現經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監督和糾正的動態過程和機制。

與國內其他商業銀行相似，錦州市商業銀行成立初期注重資產規模的擴張和市場占有率的提高，希望在區域銀行市場獲得一席之地，以完成最初的生存和發展需要。在這一發展階段，銀行的風險意識還處于萌芽狀態，雖然從管理層到員工都能夠意識到風險的重要性，但是在制度上缺乏風險控制的有效手段和科學方法。隨著市場競爭日益激烈及銀行風險監管要求的不斷深化，管理層深刻地意識到必須形成風險控制企業文化，建立科學的風險管理和內部控制體系，將先進的風險控制手段和方法與銀行自身經營特點相結合，做到“實用、管用和會用”，從而全面提升銀行的風險管理水平。

為在較短時間內使風險管理和內控能力獲得實質性提高，錦州市商業銀行對風險管理和內部控制體系進行了全面再造。通過風險管理和內部控制項目的實施，引入了科學的銀行操作風險管理理念，加強了對管理層和員工的內部控制和操作風險管理理念和方法的培訓。在銀行內部，將風險管理由高深的理論變為所有銀行員工的自覺意識和行為，從銀行高層管理者到基層員工對內控和操作風險的內容和含義有了準確的理解，清楚地認識到銀行內控和操作風險和每名員工的相關程度。

與此同時，項目小組對原有績效考核和薪酬體系進行了重新設計，將包括操作風險管理在內的全面風險管理內容融入其中，使內部控制和風險管理不僅是對員工日常工作的要求，并且成為衡量部門績效的成本因素，直接影響部門的經營效益考核結果，進而形成管理者和員工風險管理的激勵機制。通過事前培訓、事中監督和事后考核，已形成良好的內部控制和風險管理企業文化氛圍。

進一步完善風險控制的組織結構和崗責體系。

完善的組織架構是保證內部控制和風險管理的組織保障，科學的崗位職責設計能夠確保每名員工在內控和風險管理工作上權、責、利明確分工，進而通過合理的績效考核和激勵機制保證執行。項目小組結合內控和風險管理的科學理念對自身的組織架構進行了改造，對崗位職責進行了重新設計。

良好的公司治理結構是商業銀行進行有效風險管理的制度基礎和前提。錦州市商業銀行通過加強公司治理，強化股東會、董事會職能，從源頭上提高內部控制和風險管理意識。在項目實施中，進一步強化董事會和各委員會的職能，確保董事會能夠真正在銀行重大決策中發揮作用。在完善原有職能的同時，成立資產負債管理委員會、審計稽核管理委員會、提名管理委員會、信息管理委員會和戰略發展委員會，進一步加強對銀行的內部控制。

在風險管理和內控項目中，錦州市商業銀行著重強化了風險管理部和稽核部門的工作職能。垂直、獨立、權威的風險管理組織機制是加強風險管理的組織保障；健全、配套的風險管理機制是風險管理的必要手段和配套措施。為全面有效地進行風險管理，錦州市商業銀行成立了由銀行董事會和高管層直接領導的以獨立風險管理部門為中心，與各個業務部門緊密聯系的獨立的風險管理體系。風險管理部負責對包括信用風險、市場風險和操作風險在內的風險進行全面管理。風險管理部運用各種管理手段，包括政策約束、流程規范及有效量化支持工具實施風險管理，將各類風險損失控制在可接受的范圍內。

錦州市商業銀行注重通過內部稽核部門發揮監督和控制職能。通過建立具有高度權威性與獨立性的稽核部門，進一步增強其在內控評價與監督方面的職能。稽核部是全行最高的稽核管理部門，負責全行下屬各經營機構以及各業務管理部門的監督與稽核，直接向董事會及稽核審計委員會負責。目前總部正著手對下屬機構進行風險分類，根據不同機構的風險等級采用差別化的稽核方式，強化對存在較大風險的機構的稽核審計工作。

建立科學的內部控制、風險管理制度與流程體系。

錦州市商業銀行通過完善各部門的內部控制制度、優化風險控制流程來降低和防范操作風險，將系統、標準的管理方法運用到各類業務的操作風險管理當中，全面梳理各項業務流程，建立有利于全面風險管理的內部控制體系。

為更好地體現風險管理的獨立性，錦州市商業銀行在原有單一的業務線基礎上分離出風險管理線，建立了風險經理制度，對每家支行派駐風險經理，負責對支行風險的全面審查工作。風險經理由風險管理部管理，不隸屬于每家支行，從而避免由于經濟利益的驅動而導致的對風險的忽視。通過實施稽核專員制度，稽核專員負責對支行經營過程中的內部控制和操作風險問題進行現場和非現場檢查，并按照各支行內部控制管理水平的不同確定現場稽核頻率。

項目小組設計了風險信息報告和評估反饋機制。建立覆蓋全行的風險信息報告機制的目的在于及時、全面地向決策層和管理層提供經營管理中涉及的各類風險與內控狀況，確保穩健經營。風險報告路線采取縱向報送與橫向報送相結合的矩陣式結構，即部門或者支行向總部對口管理部門報送風險報告的同時，必須向風險管理部門報送。建立制度評估反饋制度的目的在于及時發現、報告和糾正內部控制的缺陷，不斷提高規章制度的適應性和操作性，從而增加對基層機構的控制能力。

在制度設計的同時，錦州市商業銀行對原有的風險管理流程體系進行了進一步優化，減少了貸款審批環節，進一步明確了客戶經理、風險經理和最終審批人的風險責任。由于引入先進的風險控制方法，雖然監控環節減少，但是信息傳達的透明度提高，加之激勵約束機制與風險責任的直接聯系，提高了風險管理的質量，并且降低了管理成本。

建立涵蓋風險管理內容的績效和薪酬考評體系。

員工的有效激勵對風險管理的科學性和效率性具有根本性影響。為提高對員工的風險約束，項目小組在建立涵蓋風險內容的部門績效考核的基礎上，重新設計了薪酬考評體系，將風險考核納入了員工激勵機制。

在對部門績效考核體系的設計中，項目小組設計了關鍵績效指標體系（KPI），運用平衡記分卡實現了績效考核要素的全面性要求，引入了包括風險調整的資本收益率(RAROC)在內的綜合性銀行績效指標，避免了原有考核體系由于指標的相關性造成的激勵沖突，并將風險成本和風險資本作為重要因素明確地納入考核，體現了考核標準的科學性。在績效考核體系的基礎上，項目小組設計了包含風險管理激勵機制的員工薪酬體系，通過采用不同的薪酬結構和支付期限避免了風險偏好不同的員工之間的激勵沖突。

錦州市商業銀行內控和操作風險管理的未來規劃。

良好的內控和風險管理體系要有效地實施才能實現，錦州市商業銀行將繼續完善新體系的實施工作，加強風險量化管理精確化的準備工作，確保項目設計目標的最終實現。

銀行內部控制和操作風險管理無論是文化氛圍的形成，管理體系的搭建，還是管理手段和方法的實施，都不是一朝一夕就能完成的。風險和內控項目實施的目的并不是畢其功于一役，而是為持續的內控和風險管理工作奠定堅實的基礎。錦州市商業銀行會時刻關注國內外銀行內部控制和操作風險的最新動態，學習和借鑒先進的管理方法，形成符合自身發展和經營需要的風險管理體系，持續提高風險管理水平，向國際化銀行管理水平的發展目標不斷邁進。

（作者系錦州市商業銀行董事長、行長）