分类
外汇交易入门基础知识学习

风险管理及合规审查

公司治理、内控管理、风险管理、合规 管理之间的联系和区别

2011年,安然公司向美国证监会递交文件,承认在1997年到2001年间通过做假账,虚报利润5.86亿美元,并且未将巨额债务入账。15个月后,安然公司的股价从每股90.56美元跌至0.26美元,市值由800亿美元跌至2亿美元。安然公司最终向法院申请破产保护,成为当时美国最大的破产企业。安然事件导致当时世界第五大会计师事务所安达信的解体。安达信被陪审团一致认为阻碍政府调查,被判罚款50万美元并禁止在五年内从事业务。安然事件之后,2002年6月,又爆发了美国世界通信公司会计丑闻。“彻底打击了投资者对资本市场的信心”。在此背景之下,美国参议院银行委员会主席保罗·萨班斯(Paul Sarbanes)和众议院金融服务委员会(Committee onFinancial Services)主席迈克·奥克斯利(Mike Oxley)联合提出了《2002年公众公司会计改革和投资者保护法案》,又称《萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》进行了大幅修订,在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。2002年7月26日,美国国会以绝对多数通过了这一关于会计和公司治理一揽子改革的法案。法案中最重要的条款是404条款,即内部控制的管理评估。该条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。要求上市公司必须在年报中提供内部控制报告和内部控制评价报告。上市公司的管理层和注册会计师要对企业的内部控制系统做出评价,注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见,CEO和CFO需要签署书面声明:“知道建立、实施和维护内部控制制度是本公司管理层的责任。本公司业已建立内部控制制度,并保证制度设计与执行的有效性。若内容有虚假、隐匿等不法情况,愿承担法律及经济责任”。该法案大幅度提高了对会计舞弊的处罚力度,强化了对内部审计与外部审计的监管。2004年9月,美国COSO结合《萨班斯-奥克斯利法案》的具体要求,在内部控制整合框架的基础上,又提出了《企业风险管理——整合框架》(ERM框架),使内控进入了一个新的发展阶段。2013年5月COSO发布新版的《内部控制——整合框架》。新框架延续并保留了内部控制的核心概念、内部控制五大核心要素和内部控制有效性的评价标准。

ISO Guide73:2009 将“风险管理”定义为“针对风险所采取的指挥和控制组织的协调活动。”相较而言,美国COSO 风险管理及合规审查 对 “企业风险管理”的定义更直接和明确,COSO认为“企业风险管理是企业的董事会、管理层和其他员工共同参与的过程, 应用于企业的战略制定、企业的各个部门和各项经营活动, 用于确认可能影响企业的潜在事项, 并在其风险偏好范围内管理风险, 对企业目标的实现提供合理的保证。”中国国务院国资委在其制定的文件中提出过一个 “企业全面风险管理”的定义,该定义指出:“企业全面风险管理是指企业围绕总体经营目标, 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程, 培育良好的风险管理文化, 建立健全全面风险管理体系, 包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统, 从而为实现风险管理的总体目标提供合理保证的过程和方法。”该定义重点强调风险管理要做好三件事情:一是在企业所有活动过程中执行风险管理的基本流程;二是培育良好的风险管理文化;三是建立健全风险管理体系,包括五个部分:即风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。

20世纪80年代以后,“全面风险管理”思想应运而生。通过识别和评价所面临的风险,企业可以避免一些风险损失并从风险管理中获利,从而使得损失的影响最小化。风险管理真正演变成为一门研究风险变化规律,并在此基础上采取优化组合化解风险,从而以最合理的成本和最安全的保障实现企业目标的管理学科。与此同时,一些国际组织和国家不断加大风险防控标准的制定工作,如 ISO Guide73:2009 《风险管理术语》(Risk managementvocabulary);ISO 31000:2009 《风险管理原则与指南》(Risk Management-PrinciplesandGuidelines);ISO /IEC 31010:2009《风险管理技术》 (Risk Management-Riskassessmenttech-niques)。2002年7月,美国国会针对2001年发生的安然公司财务造假案、2002年发生的世界通信公司财务造假案,通过了著名的《萨班斯-奥克斯利法案》。2004年9月,美国COSO结合《萨班斯-奥克斯利法案》的具体要求,在内部控制整合框架概念的基础上,提出了《企业风险管理——整合框架》(ERM框架),使内控进入了一个新的发展阶段。ERM框架将内部控制融入风险管理,形成了一套更为健全的概念体系与管理依据。2013年5月,COSO正式发布了新版的《内部控制——整合框架》。2016年,COSO公布针对2004年ERM框架的修改草案,全称为《企业风险管理——通过策略与绩效调整风险》。新框架由23条原则支撑五要素,分别是风险治理与文化,风险、策略与目标制定,执行中的风险,风险信息、沟通与报告,监测ERM的绩效。对比2004年的旧版,新版改动较大,包括双向性的风险定义,风险管理在战略选择中的决定作用,全面风险管理框架的新结构。新框架旗帜鲜明地提出风险管理与内控的关系,涵盖了比内控更多的内容,内控是全面风险管理的不可分割的子集。

2009年9月30日,中国国家质量监督检验检疫总局、国家标准化管理委员会参考ISO/DIS31000《风险管理原则与实施指南》制定并发布了GB/T24353-2009《风险管理 原则与实施指南》,国家标准化委员会2011年发布了《企业法律风险管理指南》GB/T 27914-2011。中国企业特别是国有企业风险防控工作整体水平明显提升。

金融机构合规风险管理 及合规文化建设之道(二)

\

第二个基本要素是合规管理部门的组织结构和资源。一是合规风险管理组织架构:一般包括高层(董事会、监事会、高管层)、合规部门及其他部门(业务条线、风险管理部门、稽核部门)。职责分工如下:董事会:审议批准合规政策并监督实施;审议批准高管层提交的合规风险管理报告,并对合规风险管理的有效性做出评价,使合规缺陷得到及时有效的解决;授权董事会下设的风险管理委员会、审计委员会对合规风险管理情况进行日常监督。监事会:负责监督董事会、高管层合规管理职责履行情况。高级管理层:负责制定并贯彻执行书面的合规政策、任命合规负责人、明确合规管理部门及组织结构、识别面临的主要合规风险,审核批准合规风险管理计划、每年向董事会提交合规风险管理报告、及时向董事会及其下设委员会、监事会报告任何重大违规事件。合规部门:职责包括合规文化建设、管理制度建设、合规风险识别、合规风险评估和合规风险管理评估、合规风险处置及整改、兼职合规员管理、监管关系管理。

第三个基本要素是合规风险管理计划。合规风险管理计划指合规管理部门制定并执行风险为本的合规管理计划,包括特定政策和程序的实施与评价,合规风险管理计划一般由高级管理层审批,由合规管理部门负责人监督计划的实施。

第四个基本要素是合规风险识别和管理流程。合规风险识别指识别内部机构及员工是否存在已发生合规风险或潜在合规风险。合规风险识别渠道包括事前侦测、事中监测、事后检测;应尽量前移风险监测关口,提早发现潜在风险隐患并采取控制措施。合规风险识别的管理要求包括内控合规部门需建立合规审查相关制度,通过合规性审查进行合规风险识别;业务条线及相关部门应根据合规管理制度要求,主动识别和管理合规风险并及时报告。

第五个基本要素是合规培训与教育制度。合规培训主要包括两类:一类是新员工入职合规培训,主要内容是内部控制、合规风险管理及合规文化建设、文化解读、反洗钱管理等;另一类是定期合规培训,指定期为合规管理人员提供系统的专业技能培训,主要包括能正确把握法律、规则和准则的最新发展及其对经营的影响等方面的技能培训等。

第一项,规章制度建设。规章制度属于合规中“规”的范畴,其作用包括:第一,规章制度是规范化、制度化管理的基础和重要手段,也是预防和解决争议的重要依据。第二,规章制度是员工的行为守则和操作依据。第三,规章制度是对员工工作进行考核评价的依据。合规制度规范体系主要包括《合规风险管理办法》《合规性审查管理办法》《员工行为基本准则》《授权管理办法》《制度管理办法》等,如《制度管理办法》就制度管理基本原则、制度管理的职责、统一的制度体例格式、制度制定、发布的流程等进行明确。

第二项,合规性审查。合规性审查部门主要是各级法律合规部门。合规性审查原则包括:合法合规性原则:法律合规部仅对业务中的合法性及合规性把关,而不对业务的可行性及相关材料的真实性负责;独立性原则:法律合规部依法独立出具审查意见,不受其他任何部门和人员的干预和影响。合规性审查范围包括但不限于:业务范围的合规性、业务产品的合规性、员工管理的合规性、业务操作的合规性、管理行为的合规性、制度规范的合规性、合同文本的合规性。

第三项,合规风险监测与评估。合规风险监测指监测内部机构及员工的经营管理行为是否符合法律法规、规章制度的规定;合规风险评估指在风险识别基础上,通过损失经营、假设分析等定性分析,估计可能损失并采取控制措施。合规风险监测与评估有三个作用:一是有利于做到对合规风险早发现、早控制。二是有利于提高合规风险控制措施的有效性。三是有利于促进合规风险管理文化的转变。

第四项,合规风险检查。合规风险检查的必要性体现在风险管理体系建设的需要、收集风险信息的需要、主动管理合规风险的需要、实施考核及问责的需要等。合规风险检查方式包括日常监控、专项检查等;合规风险检查主体包括各机构,各机构应定期开展合规风险自查、问题自纠。

第五项,合规风险报告。金融机构应实行全面涵盖业务种类和各分支机构的矩阵式合规风险报告制度,主要内容包括:分支机构合规管理部门向上级合规管理部门和本级机构合规负责人双线报告合规风险;各级机构内设部门向本级合规管理部门和本级机构合规负责人双线报告合规风险;对于重大违规行为,任何员工可直接向总部合规管理部门和本级机构负责人报告。

第六项,合规风险预警与整改。合规风险预警指合规部门针对外部法律、法规、监管政策和行业行为准则的变化,给经营管理带来的影响,或内部特定机构、员工或产品所潜在的合规风险,对管理层或相关机构所作的预先警示性的分析、判断和管理建议。合规风险预警应避免:事后提示多,事前预示少;就事论事多,系统提升少;定性分析多,定量分析少。合规风险整改指合规部门牵头组织、督促相关机构,对监管机构、稽核部门、合规部门等机构在检查或审计中发现的各类问题,逐一改正落实,使已发生的问题得到解决,并避免类似事件再次发生。合规风险整改要有据可依,如《合规风险管理指引》,明确合规部门跟踪和评估监管意见和监管要求的落实情况的职责。

第七项,合规风险考核、问责与诚信举报制度。建立合规绩效考核制度、合规问责制度和诚信举报制度三项合规风险管理基本制度,确保合规风险管理有效执行。一是合规绩效考核制度。合规风险考核及结果一般均纳入人事考评和绩效考核评价体系,以确立正向激励机制,充分体现倡导合规和惩处违规的价值观念。二是合规风险问责。合规风险问责主要目的是:贯彻执规必严、违规必究理念,树立规章制度的权威性;落实谁违规、谁负责要求,提高责任心;破除以信任代替管理、以习惯代替制度、以情面代替纪律等不良文化的桎梏。三是诚信举报制度。这一制度旨在鼓励员工举报违法、违反职业操守或可疑行为,采取有效措施充分保护举报人,对据实举报人给予表扬和奖励。