联系我们
如您对参会报名、网站使用、内容发布有任何疑问或改进意见,请随时与我们进行沟通!
客服企业微信
期待您的宝贵意见
刘小平 湘财证券合规管理总部总经理兼风险管理总部总经理
内部控制、合规管理和风险管理是《证券法》中并列的三项内容,规范的公司治理、良好的内部控制、稳健的合规管理和风险管理为证券公司的经营管理保驾护航。从相关的外规来看,内部控制方面有《证券公司内部控制指引》《企业内部控制基本规范》以及《企业内部控制配套指引》。《证券公司内部控制指引》于2001年出台,2003年进行了修订,证券公司之后出台的相关管理规定基本源于此指引,在日常管理、开展创新业务时常会引用内部控制指引的要求作为管理原则。这个指引是纲领性的要求,包括对关键岗位之间及业务之间的隔离、前中后台的关系等方面,各层级及各条线都需要遵守。证券公司基本都按照指引开展工作,很多公司暂时没有专门的部门来落实内部控制,需要多个部门协同完成。
2008年,证券业协会发布《证券公司合规管理试行规定》以后,各家公司成立了专门的合规管理部门。2017年,证券业协会对该规定进行了修订,出台了《证券公司合规管理实施指引》,对合规管理执行层面进行了更具体的要求,包括系统、制度、人员、工作方式、报告等方面。合规管理由合规管理部门牵头,而由于内部控制没有专门的牵头部门,因此在涉及内部控制问题的时候,很多部门可能首先想到合规管理部门。与此类似,2016年《证券公司全面风险管理规范》发布以后,相关的风险管理指引也陆续出台,如操作风险管理指引。随着这一指引的发布,大家对相关的定义、落实主体以及如何推进等,也可能出现和合规管理界限不清晰的问题。
从立法层面来看,内部控制、合规管理以及操作风险管理是三个不同的阶段,有着相应不同层级的制度。应该如何全面看待这三项工作,它们之间有何区别和联系,如何将这三项工作落到实处,这些都是值得思考的问题。如果三项工作之间重叠过多,以合规管理的视角来看,相关工作可能出现落实不到位、无法针对性地满足监管要求的侧重点的情况。
从定义来看,证券公司的内部控制是指为实现经营目标,根据经营环境变化,对证券公司经营与管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施,着重于从整体环境以及整体框架来制定纲领性的要求。合规管理是指证券基金经营机构制定和执行合规管理制度,建立合规管理机制,防范合规风险的行为。合规管理要求对全流程、全业务、全环境进行覆盖,全面风险管理也有此要求。流动性、信用、市场等风险的管理可以通过风险管理系统进行,运用风险关键指标量化风险点,采取对应的风险控制措施。与此不同,操作风险的管理分布在各个细节,涉及所有的操作层面,可能来自内部的系统和人员,也可能来自外部的客观因素,不一定能够全部量化,而且操作风险面对的常是一些需要及时解决的问题,可能系统的更新迭代也达不到较好的效果。
从共性的要求来看,不论是决策执行监督,还是各个条线各个板块的所有人员,内部控制、合规管理、全面风险管理均要求全面覆盖。
合规风险和操作风险之间存在一定的区别和联系。两者的不同包括但不限于发生原因、发生方式、风险后果以及管理重心等。一是发生原因,操作风险主要是由于不完善的程序、人员、系统或者外部事件等导致的,而合规风险主要是由于证券公司或者工作人员违反相关规定而引发的。合规风险和操作风险的发生原因有重叠的地方,但侧重点不一样。二是发生方式,操作风险更多是渗透在各个操作环节中,受到实际操作的人或者工具的影响。合规风险可能发生在制度决策层面,从各个决策机制或制度的缺陷中体现出来,也可能存在于各个环节中,因此这部分有不同也有重叠。三是风险后果,操作风险可能会导致财产损失、资产安全等问题,进而影响经营效率。合规风险可能会导致通报批评、纪律处分等监管处罚,实际上操作风险也可能会引发同样的后果。四是管理重心,日常的操作风险管理更多侧重于评估制度流程、分析风险点所存在的环节、研判应对措施有无漏洞等。比如目前洗钱风险自评估的工作思路,通过对洗钱固有风险和控制措施有效性进行分析评估,得出尚未得到有效管理和缓释的剩余风险。相对而言,合规风险管理侧重于跟踪法律法规的变化,及时修订相关制度,对相关人员进行培训,但同样也需要关注制度的执行情况。两者也存在共同点。一是部分诱因与核心要素相同,如前所述,合规风险和操作风险都有人员违反规章制度的诱因,虽然还有其他内外因素,但最多的还是由人员行为引发的操作风险事件。二是风险都无法完全消除,对于操作风险和合规风险,不论采取何种控制措施,都无法确保控制人的道德风险或者避免具体操作时的失误,两类风险均只能控制在一定范围之内,无法做到完全避免风险事件的发生。
内部控制和操作风险管理之间也存在一定的区别和联系。从区别来看,一是侧重点不同,操作风险侧重于在损失事件发生之前对潜在风险点进行事前的风险识别、评估、控制与报告,而内部控制侧重于对程序的规范性执行与遵守,确保业务在安全、有效、受控的状态下开展,不具有风险策略上的意义。二是管理思路不同,操作风险管理是一个动态、持续的管理过程。相对而言,内部控制更多是定期的事前安排或者事后评估。从联系来看,内部控制是操作风险管理的基础,内部控制做得不好,操作风险的损失就会增加,进而影响资本占用;操作风险管理又可以为评估、量化内部控制提供工具和方法。此外,加强内部控制是防范操作风险的重要手段,严格的内部控制是第一道防线,内部因素导致的操作风险可以通过加强内控制度建设和人员管理、完善业务流程和信息、完善财务系统等方式进行防范。
虽然内部控制、合规管理以及风险管理的侧重点不一样、所做的具体工作和具体角度不一样,但三项工作的管理逻辑和工作思路是一致的。比如内部控制指引中指出内部控制逻辑包含控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价等五个方面。当进行合规管理或风险管理时,首先需要建立一个良好的控制环境,构建整体的管理体系或架构,培育风险管理的理念和文化。其次,当开展新的业务、任免新的关键岗位人员、设定新的关键岗位、评估新的业务模式以及建立新的对手方等工作时,都需要事前的风险识别与评估。再次,需要设定控制活动和应对措施,在日常监测和事后检查时,分析控制措施的效果。然后,出现风险事件时,需要进行及时的沟通与反馈。最后还有监督和评价,对于内控、合规管理以及全面风险管理,每年都有相应的效果评估。总体而言,从管理的思路和逻辑来看,三部分工作的思路是一致的。
从目标来看,三部分工作的目标也是相通的。比如内部控制的目标有五个,第一是保证经营的合法合规及证券公司内部规章制度的贯彻执行,第二是防范经营风险和道德风险,第三是保障客户及证券公司资产的安全、完整,第四是保证证券公司业务记录、财务信息和其他信息的可靠、完整、及时,第五是提高证券公司经营效率和效果。实际上,合规管理和风险管理的工作也是保证上述这些目标。因此,日常管理中这三部分工作其实是可以相互打通的。
首先,在三道防线上各有侧重。第一道防线是各个业务条线以及一线的职能部门,需要对各自工作的合规性和风险进行控制。第二道防线是所有的中后台部门,包括财务、办公室、托管结算、IT、合规以及风险管理等部门,需要达到事前、事中、事后全过程的覆盖,进行持续的监测与监督。第三道防线是稽核、审计部门,由它们独立地评估各项工作的完成情况和内控、合规以及风险管理的效果。
其次,在组织架构和职责分工方面也各有侧重。合规管理由合规管理总部负责,按照公司相关管理办法制定、修订公司合规管理制度,组织合规培训、培育合规文化,实施合规风险监测、识别、评估和报告,组织合规检查,落实信息隔离墙管理等。操作风险管理由风险管理总部负责,主要工作包括制定、修订相关的制度,组织梳理、评估公司操作风险管理状况,督导各业务部门建立完善风控制度与操作流程,有效识别、评估、监测、计量和报告操作风险,收集内外部操作风险事件,构建公司损失数据库等。收集风险事件是相对较难的工作,需要研判何种层级的风险事件需要放入数据库中,何种层级的风险事件可以放入行业的数据库中,还需要考虑行业数据库中有哪些可以并入公司的大体系中。如果基础数据较少,前面所做的工作很多都会与合规管理工作相重叠,这是一个难点。稽核管理总部独立开展审计检查,检查公司制度流程的落实效果,调查问题成因,评估管理有效性。内部控制由专门部门集中牵头,主要工作包括制定统一规范的工作制度、流程及标准,对公司治理、经营活动、风险管理、内部控制和治理程序的适当性和有效性进行独立评价等。
虽然三部分工作的目标和思路是相通的,但是监管对于三部分工作的侧重点有所区别。合规是不能突破的底线,风险管理要求可测、可控、可接受,内部控制是整体关键框架的搭建和原则的定义,因此将三者放到一起是存在弊端的,但也不能为了分开而分开。三部分工作应分别执行,并通过合理的方式将工作成果协同交互。
一方面,对风险管理流程进行分工。比如在风险识别与评估方面,合规管理部门和风险管理部门都会介入,对制度流程的设计以及方案的合法合规性等方面进行提前的评估与审查。同时,也会提前对这些业务流程中涉及的操作风险点进行识别,梳理分析在操作层面上这些业务流程的剩余风险等级。在风险监测方面,合规监测的主要工作是对利益冲突、反洗钱、异常交易、员工执业行为等方面进行监测。操作风险监测主要是针对前期梳理出来的剩余风险情况,进行定期、重点的监测,及时完善应对方案,将可以量化的部分放入系统中,不能量化的部分则需定期报送重点监控点的指标数据。在风险控制与应急处理方面,风险事件发生以后,业务风险的处置由风险管理部门牵头,对于需要诉讼解决的问题和合规管理制度的问题,由合规管理部门牵头,相关部门联合开展工作。
另一方面,对工作成果进行协同交互。合规管理总部在日常的工作过程中,如果发现问题属于操作层面,会将相关问题提交到风险管理总部,由风险管理总部操作风险组检查具体情况,督促相关部门自查问题出现的原因并进行整改,自查及整改情况再反馈到合规管理总部,由其根据相关情况分析制度流程的完善性、有效性和合规管理人员的履职情况。同样地,稽核管理总部发现问题后,将相关情况反馈风险管理总部,由其根据合规和稽核部门检查的情况,评估其风险点数据库中相关措施及评估方法是否需要修订完善,如评估后发现薄弱点,也反馈至合规和稽核管理总部。如果薄弱点是需要通过制度流程、合规管理、人员配备等才能解决的问题,则合规和稽核管理总部在日常和事后检查中会关注和督促相关工作,经办部门汇报完善情况后,再反馈到风险管理总部。如此一来,在工作的过程中,三个部门慢慢形成一种各有侧重点而工作成果协同交互的状况。
图1 三部门工作成果协同交互
总结而言,内部控制、合规风险管理以及操作风险管理在管理目标和逻辑上是相通的,这是形成合力的基础。
具体来看,一是良好的内部控制是管理操作风险和合规风险的重要基础和有效手段。三者之间是相辅相成的关系,一方面的管理不当都会引发其他方的失灵。
二是三道防线有机结合,建立内部信息的共享机制。将操作风险管理、合规管理渗透到各业务条线和各层级机构的各业务环节中,不能依赖于牵头部门或专业管理人员单独管控,需要建立权责分明、相互制约的组织架构体系,落实三道防线设置要求。各内部控制部门之间需协同开展各类检查与评价工作,根据各部门工作内容确定检查重点,建立内部信息共享机制,避免对同一项目进行重复检查。
三是重视操作风险、内部控制和合规管理之间的耦合性和一致性,达到高效协同管理。内部控制可以对操作风险管理、合规管理流程独立评价并提供建议,以完善内部控制环境,促进公司内部控制得以有效执行。各内控管理部门通过运用数据和问题分析,梳理内控机制存在的漏洞,及时发出预警,提前采取相应的防范措施,并将各种信息及风险可能性进行上下沟通,形成快速、一致的处理对策,确保在第一时间化解风险。
撰稿人:冉鑫
责任编辑:傅泽天
来源:TGES2021(第十七届)中国金融风险经理年度总论坛:内控、合规、审计与操作风险管理(一)(12月)
