文章
【金融控股公司监督管理试行办法(征求意见稿)】解读
第七期:金控集团内控合规管理体系建设
金控公司新规解读系列已在第五期金融控股公司全风体系建设构思文章中,整体介绍了金融控股公司内控合规管理体系建设框架,本篇将详细介绍金融控股公司及所控股金融机构内控合规管理体系,除了重点关注金融控股公司自身内控合规体系建设外,还需要差异化对待其所控股子公司的内控合规管理。 |
一、金融控股公司内控合规管理体系概述
金融控股公司的内部控制及合规管理作为全面风险管理的重要组成部分,是维护公司正常经营、缓释及规避风险、实现公司战略目标的重要保障。同时,《办法》中强调有效的内部控制制度是金融控股公司设立的重要条件之一,这对金融控股公司的内部控制及合规管理提出了明确的要求。
作为金融控股公司,旗下涉及多个监管主体下的多种业务形态子公司,所面临的内控及合规管理要求不尽相同,因此金融控股公司在集团层面建立“理念统一、工具统一、评价统一”的内控合规管理体系尤为重要。“理念统一”即统一全员的内控合规管理理念,提升内控合规文化;“工具统一”即建立统一的内控合规管理工具,支持管理工具间的相互支持;“评价统一”即统一内控合规检查和评价手段,提升管理效率。通过功能上的相互强化、信息上的有效整合、机制上的协同共享,促进金融控股公司资源整合、提高工作效率、实现信息交互与共享、增强价值传递。
德勤建议金融控股公司可以从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面搭建内控合规管理体系,以发展战略为指导方针,以国际内部控制基本框架、企业内部控制指引及法律法规要求为依据,以同业领先实践为参照,构建层级化的内控合规管理架构。
- 内部环境:公司实施内部控制与合规管理的基础,包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等;
- 风险评估:公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略;
- 控制活动:公司根据风险评估结果,采取相应的控制措施,将风险控制在可承受的范围之内;
- 信息与沟通:公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通;
- 内部监督:公司对内部控制及合规管理的建立与实施情况进行监督检查,评价内部控制及合规管理的有效性,识别内部控制缺陷,并及时加以改进。
金融控股公司内控合规管理体系
在金融控股公司内控合规体系的框架下,对其所控股金融机构的内控合规管理可以采取差异化的管控方式:(一)金融控股公司通过设计统一的评估标准、采取定性加定量的方式来评估所控股金融机构的内控及风险管理情况;(二)金融控股公司与其所控股金融机构共同搭建内控及风险管理体系,实现自上而下穿透式管理。
二、金融控股公司内控合规管理体系建设内容
金融控股公司需要统一内控合规管理理念、明确内控合规管理思路、构建内控合规管理工具、强化内控合规管理标准。
完善的公司治理架构是保证内控合规管理体系在集团内真正实现落地实施的基础,公司治理架构设计应符合公司整体战略方向,以分工制衡为关键、以职能为核心,通过富有弹性的设计,平衡规模和范围、明确管控范围、实现专业化分工,达到决策和运营支持的目标。
金融控股公司治理架构设计原则
针对内控及合规管理,金融控股公司应符合公司文化并遵循人力资源政策设立内控合规管理岗位,明确内控合规管控职责,优化内控合规治理架构。不同于一般金融机构,金融控股公司在设计其治理架构的过程中,除了需明确各层级关于内控合规管理的职责以外,还应通过差异化管控手段、审查评价工具等对集团内所控股金融机构进行管控。
- 明确内控合规职责:建议金融控股公司明确董事会、监事会、经营管理层关于内控合规的职责。同时,加强内部审计监督,对内部控制及合规管理的有效性进行监督检查;
- 加强内控合规文化建设:建议金融控股公司加强关于内控合规的企业文化建设,培育积极向上的价值观和社会责任感,树立现代管理理念,强化风险意识;
- 实现差异化管控手段:建议金融控股公司综合其所控股金融机构的股权情况、公司规模及盈利水平、业务复杂程度、战略定位差异、外部监管要求、内部风险管理成熟度以及风险管理评价情况等对其进行差异化管控;
- 建立审查评价机制:建议金融控股公司定期对其所控股金融机构进行内控评价和合规审查,并考虑将审查评价结果纳入对其所控股金融机构的考核。
内部控制管理
金融控股公司需要遵循COSO中内部控制的核心理念及《企业内部控制基本规范》相关要求,加强金融控股公司内部环境建设,建立三道防线、完善内部控制体系。
金融控股公司较少直接参与业务经营活动,因此其较为关注公司治理、管理流程等内部控制建设,包括关联交易管理、统一风险敞口及授信协调管理、信息沟通与报告管理等。同时,金融控股公司亦需要强化其控股子公司在集团层面的内部控制体系建设,形成自上而下统一的管理机制。
此外,金融控股公司需定期对内部控制的有效性进行监控评价,包括:
- 内部控制评价计划制定:制定内控评价计划,明确评价的主体范围、时间及人员安排、工作方法、评价程序等,并经过适当的内部审批;
- 内部控制评价工作实施:组织开展内控评价工作方案的实施,金融控股公司启动内评工作,通过自我评价和内部控制独立测试相结合的方式,评估内部控制活动的设计有效性和执行有效性情况;
- 内部控制评价报告编制:基于内控自评结果和内控独立测试结果,编制内控评价报告,并对内控评价过程中发现的缺陷进行重点分析,提出改进建议,内控评价报告经过适当的内部审批;
- 内部控制缺陷整改落实:根据内控自评所发现的问题,制定整改计划,并追踪整改方案的落实情况进行定期报告;
- 内部控制评价结果应用:基于内控评价方法基础上设定指标与评分标准,纳入部门的绩效考核范围,并对发现的内控缺陷进行责任追究等。
金融控股公司内部控制评价框架
同时,金融控股公司对其所控股金融机构的内部控制管理可分为两种模式:
- 模式一:金融控股公司采取自评价的方式,通过统一评估标准及定性定量相结合的方式来评价所控股金融机构的内部控制及风险管理的设计与运行情况。评价工作通过下发和收集各子公司的内部控制及风险管理检查表及相关支持性材料的方式开展,记录执行评价的相关内容并进行审阅、核查与分析。
结合各子公司的业务特点及监管要求,按照“内部环境”、“风险评估”、“控制活动”、“信息与沟通”、“监督活动”五个模块设计对应的评估要素展开评价工作,评价要素包括且不限于“政策制度与流程建设”、“组织架构与人员配备”、“风险识别评估与计量”、“信息沟通与上报”以及“持续监控与缓释”等,同时对评价要素设置不同的评分等级及匹配的分值,在此基础上实现对其控股子公司综合评价结果的量化。
通过上述评价方式,金融控股公司可了解各子公司的内部控制及风险管理情况,并就评价期间所发现的薄弱环节及风险事件进行跟踪处理,同时将其与子公司的考核问责挂钩。
- 模式二:金融控股公司采取垂直化管控方式,要求其所控股金融机构基于其所属外部监管机构要求及自身业务特点,搭建内控及风险管理体系,并由集团统一开展内控及风险管理评估工作。
金融控股公司旗下所控股金融机构涉及多种业态,且对应的监管机构所适用的监管要求也不尽相同,因此金融控股公司在要求其所控股子公司搭建内控管理体系时需要充分考量自身特点,例如商业银行在搭建体系过程中实现内部控制与操作风险管理的整合、证券公司在搭建体系过程中需要重点关注外部监管对证券业务的特殊要求,例如投行内控指引等。
此外,金融控股公司还应考虑其所控股金融机构自身内部管理的成熟度,对于内部管控相对成熟的控股金融机构可沿用其自身的管理体系,对于内部管控相对薄弱的控股金融机构,金融控股公司需要求子公司在原有基础上进行优化或重新搭建管理体系。
合规管理
合规管理是金融控股公司全面风险管理的一项重要内容,也是实施有效内部控制的一项基础工作,满足合规要求是公司持续经营及风险管理的底线要求。
金融控股公司的合规管理建议从集团层面出发,建立统一的合规管理语言和合规管理方法,自上而下强化合规管理文化的建设,在构建统一方法论过程中考虑所控股金融机构的合规管理差异性:(1)金融控股公司旗下所控股金融机构业态众多,对于合规管理要求的程度和广度差异化较大;(2)金融控股公司旗下所控股金融机构所处的行业及公司性质不同,所面临的监管机构不同,因此对应的监管要求也存在差异性。
合规管理,应以有效防控合规风险为目的,以公司和员工经营管理行为为对象,开展包括合规管理架构建设、合规审核、合规检查、合规风险监测、合规考核及问责、合规培训、合规报告等工作,预防、识别、评估、报告和应对合规风险。
合规管理工具
- 合规审核:金融控股公司应定期对公司的相关事项进行合规审核,包括重要的内部规章制度和规程、财务行为、资金运用行为和子公司管理行为等,及时对不合规的内容提出修改建议;
- 合规检查:金融控股公司应根据内外规要求,定期开展内部合规专项检查,对合规管理的有效性进行评估,及时发现并解决合规管理中存在的问题;完善对接监管机构的管理流程,配合监管机构的不定期合规检查,针对发现的合规问题采取有效措施,及时应对处置;
- 合规风险监测:金融控股公司设计合规风险监测指标,从合规经营要求、业务合规要求及人员合规要求等方面出发,设计合规检查与分析预警指标,涵盖关键管理领域,实现对于监管合规风险的提前预知。
金融控股公司合规管理工具
合规管理机制
- 合规考核及问责:建立合规考核和问责机制,将合规管理情况作为公司年度考核的重要指标,对各级机构和人员的合规履职情况进行考核评价;
- 合规培训:建立制度化、常态化的合规培训机制,制定合规培训计划,确保员工理解、遵循公司合规目标和要求;
- 合规报告:建立年度合规报告机制,就公司的合规管理整体情况进行汇报;发生较大合规风险事件,应当及时向合规管理负责人、分管领导报告,重大合规风险事件应按照监管要求向有关监管部门报告。
同时,金融控股公司应当考虑应用信息化工具进行一体化管理,通过逐步建立有效的内控及合规管理信息系统,通过信息化手段优化管理流程,并运用大数据等工具,完成内外规的线上同步管理、加强对经营管理行为依法合规情况的实时在线监控和风险分析,实现合规检查、内控评价、问题整改与追踪等的平台化管理,促进信息集成与共享,为合规内控的数据积累及统一的信息化管控奠定坚实的基础,实现内控合规一体化联动管理。
三、金融控股公司与其所控股金融机构内控合规联动管理
金融控股公司在确保满足其所控股金融机构所面临不同监管机构要求前提下,关注各子公司的业务特征,在考虑各子公司实际内部管控成熟度基础上,对子公司实行差异化的管控。
金融控股公司通过自评价方式实现对其控股子公司的管理,其优势在于可快速的了解子公司的内部控制及风险管理情况,节约管理资源、降低管理成本,提升管控效率,但是其弊端在于自评价方式容易流于形式,无法真正了解控股子公司的内控及风险管理具体情况,同时无法实现从集团到子公司的穿透式管理。
金融控股公司通过垂直化方式实现对其控股子公司的管理,其优势在于集团能够切实掌握各子公司的内控及风险具体管理情况,实现自上而下贯穿到业务层面的穿透式管理,但是其弊端在于集团需要投入较大资源,且对集团管理人员能力要求较高,同时可能会影响管控效率。
因此,德勤建议金融控股公司应当充分考虑所控股子公司内部管控的成熟度,实现同一框架下差异化的管控方式,高效地建立金融控股集团的内控合规管理体系,提升内控及风险管理水平。
德勤建议/总结语
建立健全金融控股公司及所控股金融机构的内控合规管理体系,将作为全面风险管理体系建设的重要组成部分。金融控股公司在搭建内控合规管理体系时需要充分考量集团与子公司之间管理定位,建立合适的联动管理体系,并实现差异化管理。金融控股公司通过整体内部协作,优化资源配置,确保集团及子公司的稳健经营和可持续发展。
推荐阅读
2019年金融市场监管展望
金融危机十周年