商业银行内控体制优化与评价

商业银行内控体制优化与评价2011年6月郁洪良,11银行内部控制的涵义,控制的一般涵义控制是指受控制对象按人们的预定要求行事。“控制论” “cybernetics”最初来源希腊文“mberuhhtz”，原意为“操舵术”，就是掌舵的方法和技术的意思。在控制论中，“控制”的定义是：为了“改善”某个或某些受控对象的功能或发展，需要获得并使用信息，以这种信息为基础而选出的、于该对象上的作用，就叫作控制。,输入：执行标准的信息，如数量、定额、指标、规章制度、政策等；输出：执行结果的信息，如报表、简报、原始记录、口头汇报等；控制：纠正偏差信息反馈：就是指由控制系统把信输送出去，又把其作用结果返送回来，并对信息的再输出发生影响，起到制约的作用，以达到预定的目的。,按偏差进行补偿的控制系统结构,“控制”的管理学概念的解读,内部控制的涵义普遍接受的定义是国际权威机构美国的 COSO委员会(即美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机构委员会)1992年对内部控制的定义： 内部控制是一个组织设计并实施的一个程序，以便为达到该组织的经营目标提供合理保障。其中经济组织的经营目标包括：经营的效果和效率；真实可靠的财务报告；合规性经营。,银行内部控制的定义内部控制是“由董事会、高级管理人员以及其他人员实施的一个过程，其目的是为了实现经营的效果与效率（营业目标）、会计与管理信息的可靠、完整与及时（信息目标）以及经营活动符合现行法律、法规的要求（符合性目标）”（巴塞尔银行监督委员会，1998，银行组织内部控制系统框架）；内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。（银监发20076号，商业银行内部控制指引 ）。,第三条 商业银行内部控制体系是商业银行为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。（银监发20049号，商业银行内部控制评价试行办法）,12内部控制和内部审计,IIA（1999）内部审计的定义所说，内部审计的一个主要内容或对象是内部控制，因此，内部控制是内部审计的主要职责。内部审计是是银行业金融机构内部控制的重要组成部分（银监发200651号，银行业金融机构内部审计指引 ）。两者关系：内部控制是内部审计的主要内容和职责； 内部审计其是内部控制的重要组成部分。,两者之间的差别,案例：美国银行为什么向“三无人员发放个人住房抵押贷款,美国次级（Subprime）按揭市场：向信用分数较低、收入证明缺失、负债较重的人提供住房贷款。在次级抵押市场，其中有近半数的人没有固定的收入的凭证，这些人的总贷款额在5000-6000亿美元之间。次级市场的贷款利率通常比优惠级抵押贷款高23。从2004年6月30日开始，美联储货币政策紧缩，同时，油价不断上涨，國際原油價格（WTI）由2004年平均油價為每桶41.24美元，上漲2007年年初的平均油價為58.92美元。因此，美国经济复苏放缓和居民收入增速下降，消费者还贷压力不断加大，违约风险开始集中暴露，房价也开始下跌。抵押银行协会公布美国上一季房贷户逾缴率出现逾20年来最高峰。,次级按揭客户的偿付保障不是建立在客户本身的还款能力基础上，而是建立在房价不断上涨的假设之上。因此房价下跌和居民收入下降直接触发了次贷危机。内部控制的角度：监测抵押住房的价值比监测借款人信用变化更为有效和更为合理。内部审计角度：没有能够揭示这样的内控系统无法抵御房地产市场价格全面下降这样的系统风险；以及这个过程中的舞弊风险。,内部审计通过对具体业务进行详细审计直接发现舞弊的难度较大。相关研究表明，审计人员直接查出舞弊比例为29%，内部相关人员核对发现舞弊为11%，管理当局发现为16%，他人告密发现为36%（Lawrence B.Sawyer，1988）；Loebbecke，Eining，Willingham（1989)也认为舞弊被审计师发现的概率非常低。由于银行业务量极其庞大，内审部门直接查处舞弊更是不现实，以挪用盗取客户资金为例，一家分行往往管理数万个账户，即使将重点集中于百余个账户的检查，进行上门对帐，所花费的人力、时间也是相当惊人的，不具有操作性。,企业风险管理与内部控制的变动,1997,2001,2002,2003,12月30日，中国人民银行印发加强金融机构内部控制的指导原则,财政部在2001年起提出了在新形势下加强单位内部会计监督的要求，逐步发展了一系列的内部会计控制规范,中国注册会计师协会呼应财政部的工作，为规范注册会计师执行内部控制审核业务，明确工作要求，保证执业质量，在2月9日发布了内部控制审核指导意见,9月27日，中国人民银行发布商业银行内部控制指引,12月29日，中国证券监督委员会出台证券公司内部控制指引,1月8日，中国银行业监督委员会出台商业银行内部控制评价试行办法,2004,2005,2006,为推动上海证券交易所上市公司建立健全内部控制制度，提升公司风险管理水平，保护投资者的合法权益，上海证券交易所于4月1日制定了上海证券交易所上市公司内部控制制度指引（征求意见稿）,证监会10月出台关于提高上市公司质量意见，国务院10月19日就进行了批转【国发（2005）34号】，这是国务院首次就上市公司工作批转发文,2006年5月17日，中国证券监督管理委员会令第32号首次公开发行股票并上市管理办法，其中第29条规定“发行人的内部控制在所有重大方面是有效的，并有注册会计师出具了无保留结论的内部控制鉴证报告”,6月5日，上海证券交易所出台上海证券交易所上市公司内部控制指引,6月6日，国务院国有资产监督管理委员会“关于印发中央企业全面风险管理指引的通知”,9月28日，深圳证券交易所出台关于发布上市公司内部控制指引的通知,7月15日，财政部发起成立企业内部控制标准委员会；中国注册会计师协会发起成立会计师事务所内部治理指导委员会,2007,2009,2010,6月28日，财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会、发布了企业内部控制基本规范以及配套规范的征求意见稿,6月5日，中共中央办公厅、国务院办公厅印发了关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见,4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，标志着我国企业内部控制规范体系基本建成,3月3日，财政部发布关于印发企业内部控制规范基本规范和17项具体规范（征求意见稿）的通知,2008,2009年1月，陆续发布了企业内部控制应用指引的数个更新稿,五部委内控体系的整体框架,企业内部控制基本规范,企业内部控制应用指引,组织架构发展战略人力资源社会责任企业文化,资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告,全面预算合同管理内部信息传递信息系统,企业内部控制评价指引,企业内部控制审计指引,内部环境类,控制活动类,控制手段类,农村商业银行内部控制存在的主要问题对内部控制工作没有引起高度重视。在把握内部控制与业务管理、内部控制与经营风险、内部控制与自我发展的关系上，认识有偏差，管理不规范，有的甚至把内部控制与发展、内部控制与经济效益对立起来。人员素质低，相互监督能力难保证。如责任心不强；文化、业务素质低，不具备与自己工作相适应的工作能力；法制意识淡薄。内部控制制度缺乏约束效力。主要表现为对会计、信贷等基层工作人员监督的多，而对领导干部管理监督制约的少；对具体业务经办人员违规处理的多，而对领导干部违规或管理决策失误追究责任的少。,2商业银行内部控制系统的架构和设计,21内部控制系统的思维基础：系统性思维美国花旗集团首席执行官查尔斯普林斯（Charles Prince）2004年1月8日在钓鱼台国宾馆举办的“商业银行风险管理与内部控制论坛”上指出：“银行风险管理在复杂程度上甚至大于航天工程。”因此，作为银行风险管理重要组成部分之一的内部控制，也是一个复杂的系统工程。内部控制就像一辆车，是具有很多零部件的复杂系统。为车辆的各个零部件必须一起协同工作，其中一个零部件有问题或发生变化就会影响许多其他零部件的运作，所以后者也必须根据车辆整体优化运作的要求而作出调整。,系统思维的基本特征 就是把每一个分解开来都是浅显易懂的常识协调一致地结合起来，以集中地解决在复杂环境中所面临的复杂问题。强调各部分之间的关联性；强调用简单行迎战复杂性。复杂问题简明化；简明问题框架化；框架问题流程化；流程问题定量化;定量问题动态化。,2 2内部控制的一个简要系统架构,2 2 1内部控制目标,由目标确定的内部控制原则全面：控制覆盖的层级、部门、业务、人员、环节，无遗漏。审慎：假设“坏人坏事”；事前、并预设最坏的情境。有效：科学客观，符合实际情况，动态地进行调整。独立：内控的检查和评价必须独立于内控的管理和执行部门，并有直接向董事会和高层报告的渠道。,由原则导出有效控制的要求：控制系统应与控制者的个体情况相一致；控制工作应确定客观标准；控制工作应具有灵活性；控制工作应讲究经济效益；控制工作应有纠正措施；控制工作应具有全局观念；控制工作应面向未来。,2 2 2内部控制体系框架：要素结构,内部控制体系框架,监督评价与纠正,信息处理与传导,内部控制制度与措施,风险评估与监测预警,内部控制环境,控制环境（Control Environment）。包括管理组织结构、管理理念、人事政策和员工素质、外部环境等。这是内部控制的基础，直接影响其他四个要素的功能发挥，是内控的关键。建立内部控制环境的原则原则一：董事会对建立和维护充分有效的内控系统承担最后的责任。原则二：高管人员在实施内控系统中承担关键性的责任。原则三：管理层要推进道德和诚信标准的形成，各级员工要知道自己在内控过程中扮演的角色,风险评估（Risk Assessment）。包括对风险点进行选择、识别、分析和评估的全过程。这是内部控制的前提。风险识别与评估的原则原则四：重要的风险必须得到识别和持续性评估。评估应包含银行面临的各种风险。内控要依变化的需要进行修正。,控制活动（Control Activities）。是确保管理方针得以实现的一系列制度程序和措施。这是实施内部控制的具体过程，构成内部控制系统的核心和中枢。内部控制活动与措施的原则原则五：内控活动应是银行日常经营活动的内在组成部分。有效的内控要求建立适当的控制结构并明确每一业务层级的控制活动。控制活动包括：高层复核；对不同部门或分支机构适当的控制活动；实物控制；定期检查是否遵循披露限制及违反的频率；批准和授权制度；验证和协调制度。原则六：保持适当的岗位分离和分派员工的职责不冲突，识别并将潜在利益冲突最小化。,信息和沟通（Information and Communication），指对会计信息和管理信息的收集、处理、存储、传递和反馈的过程。这是内部控制的媒体或中介，如血液。信息交流与反馈的原则原则七：有效的内部控制要求拥有全面、充分的内部财务、经营、符合性数据以及与决策相关的外部市场信息。信息必须可靠、及时、易采集，并以统一格式提供。原则八：建立可靠并覆盖银行所有重要活动的信息系统。原则九：要求建立有效的沟通渠道，确保所有职员都充分理解和遵守影响职责的政策和程序，并将其他信息能够传达给适当的职员。,监督与审查（Monitoring）。是为保证内部控制的有效性、充分性、可行性而对内部控制制度进行的持续性的评价和单向制度的分别评价。这是对内控的再控制，由内部审计来承担。监督评价与纠正的原则原则十：内控的整体有效性应持续地得到监控，对关键风险的监控应成为日常经营活动的一部分。原则十一：应由独立的、经过适当培训、有胜任能力的员工全面、有效地展开对内控系统的内部审计，并直接向董事会或高管人员报告。原则十二：无论是业务部门还是内部审计、其他控制人员确认的内部控制缺陷，都应及时向适当的管理层报告并得到处理。原则十三：监管当局应要求所有银行，无论规模大小，都应具备适当的有效的内控系统。,商业银行的“过程要素”究竟有多少（充分性？）,2 2 3组织内部控制体系的总体思路 按照以上基本要素和原则，组织商业银行内部控制体系应按如下路径展开：一般按总行、分支行两个层次展开，并始终保证与巴塞尔协议和银监会的要求一致，力求体现绩效考核、内部审计和外部监管三者的一致性。,内控业务流程和管理流程体系,内控的组织体系 三个层面：总行、分行和基层行。总行：董事会、风险管理委员会、风险管理部（信用风险、市场风险、操作风险等部门）、相关的业务部门等。分行：风险管理处、相关的业务部门等。基层行：风险管理部门、相关的业务部门等。,内控的岗责体系 这由内部控制组织体系结构直接派生，并与其他经营管理的岗责体系一致。关键是如何解决人岗之间的合理配置（如一人多岗、混岗操作）和责权的合理边界问题。 岗责体系设计原则。根据商业银行岗责体系现状，结合银行业发展趋势，主要遵循全面风险管理、风险管理与业务管理平行作业原则、矩阵式报告制度原则、精简效率原则、相互牵制原则、协调配合原则、程式定位原则等7条原则。 岗责体系分层设计。即根据管理级次设置。 风险管理职责必须明确。主要通过岗位职责描述和授信授权书进行，授权范围内事项分别由风险管理岗和风险管理部负责。,总行的岗责风险管理委员会：全行风险和内控管理的组织、决策和协调。风险管理部门：全行风险和内控管理、信贷风险判别监控及信贷基础的综合管理。相关部门的风险管理处，如资产负债管理部、公司业务部、个人金融业务部等，负责相关的风险管理。 分行的岗责风险管理部：对应总行风险管理委员会和风险管理部，主管分行全行的风险和内控管理工作，领导全行各业务部门风险管理的工作，制定信贷制度、判别监控信贷风险、主管全行授信审批业务、统一组织和管理信贷后台业务。各业务部门的风险管理部门：负责相关的风险管理。,基层行的岗责风险管理部：对应分行风险管理部，主管支行全行的风险和内控管理工作，领导全行各业务部门风险管理的工作，制定信贷制度、判别监控信贷风险、主管全行授信审批业务、统一组织和管理信贷后台业务。各业务部门的风险管理岗：负责相关的风险管理。,内控的业务流程和管理流程的体系 -无论是业务流程的风险控制平台，还是管理流程的风险控制平台，都必须依赖岗位责任的设置来实施银行内部风险管理的控制。 -业务流程应按照产品线来设计，并贯彻以下原则：品种完全覆盖；内控操作完整独立；可计量并有预警功能。 -管理流程建立在业务流程之上。管理流程设计按照管理部门层面特征，按管理级次（两级或三级）设计。 -在业务流程和管理流程的设计中，通过文字图表来明示风险点。内部控制的关键就在于管理行为覆盖全部风险点，从而控制风险。,业务流程包括7类： -资产业务类； -负债业务类； -资产负债同类（结算、票据清算、同存同兑等）： -权益类（资本供给、利润及其分配等）； -收入类（利息、投资、中间业务收入等）； -支出类（利息支出、折旧、税金等）； -表外业务类（信用证、进出口托收等）,管理类流程： -总行管理流程风险内控体系（描述各管理的主要过程、找出风险环节、提出风险控制的措施和想法）； -分行管理流程风险内控体系（领导班子内部控制、各管理部门、各业务部门的内部控制）； -基层行管理流程风险内控体系（领导班子内部控制、各管理部门、各业务部门的内部控制）。,内控的工具体系 包括信用、市场和操作风险的度量和信用风险管理工具。 信用风险度量的工具 -信用风险度量的传统方法 专家方法 评级方法 信用评分方法 -作为期权的贷款和KMV模型：计算预期违约频率 -在险价值方法：J。P。摩根公司的“信用度量术”（Credit metrics）：分析信用品质的变迁。,信用风险管理工具 -授信限额； -银团贷款； -贷款转让； -证券化，如抵押担保债务证券（CMO）； -信用衍生工具，如信用违约产品等；,市场风险度量和管理工具 度量工具：VAR法：在给定时段，以概率x%我们可能的损失是多少？ 利率风险管理工具：如缺口管理、资产负债管理等。 汇率风险的管理工具：掉期、期权等。,操作风险度量和管理工具 度量工具 -基本指标法（BIA）：以单一指标作为衡量银行整体操作风险的尺度，并以此为尺度配置风险资本； -标准化方法（SA）：将业务活动分为标准业务单位和业务类别，分析特定操作风险。 管理工具 -保险；,内控的考核体系 考核点 -道德环境：如管理层有否高尚的道德和行为举止等； -风险识别与管理； -内部控制效力； -审计委员会的效力； -内部审计效力。,方法：内部控制评分表 五级 四级 三级 二级 一级总分 100 500控制环境任务与风险评价控制监控结果,指标分类 -安全性：如资本充足率、不良贷款率等； -流动性：流动比、拆出（入）资金率等； -效益性：资产利润率、费用利润率等。 对风险内控的考评要与经营管理目标的完成结合起来，将全面风险管理思想贯彻与经营目标责任制中。换言之，绩效考核评价是个指挥棒，经营目标考核项目内容设计就是风向标。,23内部控制系统的设计,3 商业银行内部控制的重点领域,3 1经营业务领域授信和贷款的内部控制内控目标 实行统一授信管理，健全客户信用风险识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联企业客户和集团客户风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，防止信贷资金违规投向高风险领域和用于违法活动。主要内控措施 -设立独立的授信风险管理部门，对不同币种、不同客户对象、不同 种类的授信进行统一管理，避免信用失控； -设立审贷委员会，负责审批权限内的授信；行长不得担任审贷委员 会的成员；,-各级机构明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务； -按照信贷原则审查对关系人的授信,确保对关系人的授信条不得优于其他贷款人同类授信的条件； -审贷分离、业务经办与会计账务处理分离； -建立完善的授信管理信息系统，对授信全过程进行持续监控，确保提供真实的授信经营状况和资产质量状况信息，对授信风险进行综合评价。,贷款基本流程,信贷审批过程,贷款内控架构,案例：贷款借款人的真实性控制,在有贷款发放权限的某基层信用社信贷数据中，出现多笔同日放款且同日到期的贷款数据，贷款金额达到或接近贷款的最高限额，贷款额度基本都是整数，累计的贷款金额都超过20万元以上。这些贷款数据表明在贷款中可能存在违规问题： 一是借款人为了获取高额贷款，规避最高限额的限制，通常在某一特定时间，以顶名、冒名的方式，采取多人承贷，贷款到手后归一人使用的方式骗取高额贷款，即俗称的“垒大户”行为; 二是为降低不良贷款金额，向虚构借款人发放贷款，用于偿还其他借款人的逾期贷款，以正常贷款掩盖其不良贷款; 三是以职工授信贷款的名义发放贷款，所贷资金归他人使用; 四是存在由农户承贷，企业或村、镇使用贷款的可能性; 五是存在一人承贷，另一人使用贷款的可能。,资金业务的内部控制内控目标 对资金业务对象和产品实行统一授信，实行严格的前后台职责分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。主要内控措施 -前台交易与后台结算分离、自营业务与代客业务分离、业务操作与风险监控分离。 -根据分支机构的经营管理水平，核定各个分支机构的资金业务经营权限。未经上级机构批准，下级机构不得开展任何未设权限的资金交易。,内部资金市场框架,存款及柜台业务的内部控制内控目标 对基层营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保商业银行和客户资金的安全。主要内控措施 -严格执行账户管理的有关规定，认真审核存款人身份和账户资料的真实性、完整性和合法性，对账户开立、变更和撤销的情况定期进行检查，防止存款人出租、出借账户或利用其存款账户从事违法活动。 -严格管理预留签章和存款支付凭据，提高对签章、票据真伪的甄别能力，并利用计算机技术，加大预留签章管理的科技含量，防止诈骗活动。,柜台组织结构,案例：某股份制银行上海分行内部控制失误,2009年3月9日，某股份制银行上海分行客户经理与犯罪嫌疑人A指派社会人员B陪同企业财务人员到银行办理开户手续。当时因缺少法人授权书而无法办理开户，柜面人员对营业执照、法人代码证等原件进行了复印，其复印件留存银行。此时，客户经理将企业财务人员调离柜面，开户柜员就将整套开户材料交给了该名银行客户经理。随后客户经理就将整套资料交给了犯罪嫌疑人B，而B某利用企业预留印鉴卡刻制了企业公章、法人章等印鉴，重新制作了印鉴卡并将其与企业原印鉴卡进行了调换。次日，B某冒充企业财务人员，伙同客户经理来补交法人委托书，办理开户。因B某第一次陪同企业财务人员来办理过开户，柜员确信其为企业人员，虽核实其身份证件后发现与授权委托书不符，仍然为其办理了开户。3月11日银行完成开户处理，同时犯罪嫌疑人购买了支票、本票等空白凭证。之后犯罪嫌疑人A某再指派B某利用偷换的印鉴骗划企业资金。在短短三日之内盗走企业资金2，751万元。,案例分析。显而易见，犯罪分子的手段其实并不高明。银行在整个操作过程中存在明显的内部控制失误，开户相关制度执行不严导致了犯罪分子的轻易得手。柜员办理业务未遵循“面对面，一对一，不间断，交本人”的基本要求。在企业财务人员离柜之后，开户资料不能离开柜台，更不能交给客户经理。银行审核开户资料时，授权书是授权给该财务人员。假印鉴一路绿灯，犯罪分子轻易购买到了重要的空白凭证。大额划款时，银行未与企业财务人员或主管人员进行核实，也未建立完善的核对制度。,中间业务的内部控制内控目标 开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权，建立并落实相关的规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。主要内控措施 -办理支付结算业务，应当根据有关法律规定的要求，对持票人提交的票据或结算凭证进行审查，确认委托人收、付款指令的正确性和有效性，按指定的方式、时间和帐户办理资金划转手续。 -办理结汇、收汇和付汇业务，对业务的审批、操作和会计记录实行恰当的职责分离，并严格执行内部管理和检查制度，确保结汇、售汇和收付汇业务的合规性 -办理代理业务，设立专户核算代理资金，完善代理资金的拨付、回收、核对等手续，防止代理资金被挤占挪用，按照代理协议的约定办理资金划转手续，遵循银行不垫款的原则，不介入委托人与其他人的交易纠纷。,-从事基金托管业务，在人事、行政和财务上独立于基金管理人，确保基金托管业务与基金代销业务相分离，基金托管的系统、业务资料与基金代销的系统、业务资料有效分离；基金资产与自营资产相分离；不同基金资产相互独立。-开展咨询顾问业务，坚持诚实信用原则，确保客户对象、业务内容的合法性和合规性，对提供给客户的信息的真实性、准确性负责，并承担为客户保密的责任。-开办保管箱业务，在场地、设备和处理软件等方面符合国家安全标准，对用户身份进行核验确认。,32信息领域会计的内部控制 内控目标 实行会计工作统一管理，严格执行会计制度和会计操作规程，运用计算机技术实施会计内部控制，确保会计信息的真实、完整和合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。内控主要措施 -依据企业会计准则和国家统一的会计制度，制订并实施本行的会计规范和管理制度。下级机构应当严格执行上级机构制定的会计规范和管理制度，确保统一的会计规范和管理制度在本行得到实施。 -确保会计工作的独立性。 -岗位设置应当实行责任分离、相互制约的原则，严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作。,-对会计帐务处理的全过程实行监督，建立有效的核对、监控制度，对各种帐证、报表定期进行核对，对现金、有价证券等有形资产及时进行盘点，对柜台办理的业务实行复核或事后监督把关，对重要业务实行双签有效的制度，对授权、授信的执行情况进行监控，做到账账、账据、账款、账实、账表和内外账的六相符。凡账务核对部一致的，应当按照权限进行纠正或报上级据处理。 -按照规定进行会计核算和业务记录，建立完整的会计、统计和业务档案，妥善保管，确保原始记录、合同契约和各种报表资料的真实、完整。,会计核算框架,计算机信息系统的内部控制 内控目标 严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。主要内控措施 -明确计算机信息系统开发人员、管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任。各级机构应当配备计算机安全管理人员，明确计算机安全管理人员的职责。 -对计算机信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理，开发环境应当与运营环境严格分离。,银行信息系统,计算机系统安全平台,33人事领域内控目标 恪尽职守不舞弊，尽其所能不偷懒主要内控措施注意、关心员工的思想动态和生活状况胡萝卜加大棒职务轮换，防止串通带薪休假组织控制：授权的不执行、执行的不审核；执行和记录分开、记录和保管分开。,案例：浦发银行客户经理挪用1800万元赌博再现银行内控不足,张琦佳是个“80后”，大学学历，原是浦发银行长宁支行的客户经理，因赌博欠款20余万元。2010年初，张琦佳以帮助企业贴现名义从上海彤程公司骗取了580万元，这笔钱不久就被他赌博输掉了。因害怕事情败露，他又以同样方式，从上海旺烨金属材料有限公司骗取1870万元。张琦佳在庭上称，他用旺烨金属公司的钱补上了彤程公司的“窟窿”，剩余的1000多万元，则又赌博输了。截至到案发前，张琦佳的银行卡上只剩余近10万元。当被问及骗取钱款的细节时，张琦佳还记得很清楚，两次骗取欠款的地点都在银行的会议室，而他的这些行为，领导和同事都不知情。为使事情能顺利进行，张琦佳还私刻了两家公司的6枚公章。,张琦佳认为，自己的“浦发银行客户经理”的身份不会被人识破。直到企业数次因贴现款事宜向银行询问，银行才发现事情不对，将张送至上海市经侦总队，张这才交待了自己挪用公款的事实。今年1月，上海市人民检察院第一分院以张琦佳涉嫌票据诈骗罪向上海市第一中级人民法院提起公诉。法院将择日宣判此案。张琦佳私刻两家公司的6枚公章，骗取银行贴现资金，根源在于银行没有严格执行内控制度。而是对内控制度的执行流于形式，因对银行内部职工的信任代替了原则，导致张琦佳频频得手。关注员工八小时以外的行为作为“管人”的一项不可或缺内容，包括交友的圈子等。加强谈话制度，及时发现员工的反常行为，并采取必要的措施，对有赌博倾向、大额资金炒股、家人开公司或办企业、开高档名车着高档名牌服装、消费奇高、与社会上不良人员交往频繁等社会、经济背景较为复杂的人员，应加大关注度。,4优化内控制度建设的重点,41树立一个全面风险管理理念国资委全面风险管理指引第四条对全面风险管理的定义：“本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。COSO-ERM企业风险管理框架对企业风险管理的定义,内控和全面风险管理,全面风险管理（ERM）在内控领域的体现纵向：分层管理、层层相通横向：分过程管理时间上：分阶段管理内部控制体系的标准应达到：风险内控有标准、部门有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核。在这样的标准下设计的风险内控体系，要做到覆盖事前、事中、事后各个风险管理关键环节。这也是监管部门对农村商业银行及信用社风险内控体系建设的基本要求。,必须考虑的要点第一、不同的风险如何控制，特别是战略风险如何控制？ -把握住“看得见的未来”； -看别人看不见的地方； -做尽可能少的决策。 第二、资本节约将成为银行经营转型的一个重要指标 2010年巴塞尔协议III：根据这项协议，商业银行的核心资本充足率将由目前的4%上调到6%，同时计提2.5%的防护缓冲资本和不高于2.5%的反周期准备资本（超额资本要求），这样核心资本充足率的要求可达到8.5%-11%。总资本充足率要求仍维持8%不变。此外，还将引入杠杆比率、流动杠杆比率和净稳定资金来源比率的要求，以降低银行系统的流动性风险，加强抵御金融风险的能力。 两大趋势：中小企业业务和中间业务。,案例：渣打为何在金融危机中幸存,渣打银行是欧美大型银行中唯一能够在金融危机中独善其身者。2008年，欧美大型银行纷纷出现巨额亏损，而渣打营业收入增长了26%，达到140亿美元，经营利润增长13%，达到45.7亿美元，使其一跃成为英国市值第二大的金融机构，超越了苏格兰皇家银行、巴克莱银行等许多规模比它大得多的金融机构。渣打一度将零售金融业务作为业务拓展的重中之重，甚至曾因此怠慢了对公业务的发展。尽管零售金融业务在最初的7-8年中贡献了高增长，但当新兴市场的信用卡泡沫、抵押贷款泡沫逐个破灭后，渣打不仅承受了信用危机的损失，还面临更多全球化大银行的竞争，加上规模劣势，渣打遭遇了零售金融业务增长的天花板，甚至被迫退出了一些市场。但在几次金融风暴中，核心对公业务担当了抵抗危机的中流砥柱，不仅在次贷危机中免遭灭顶之灾，还获得了新的成长机会。,42抓住两项核心制度建设42 1银行治理结构完善银行治理结构的特殊性 - 债权主要由小储蓄者与其他金融机构持有。 - 风险的审核与控制对于商业银行的治理意义重大。 -商业银行具有更加复杂的委托代理关系网。 -对商业银行实施的一些外部治理可能导致巨大的治理成本(主要是社会震荡)：“大而不倒”。法人治理结构的关键点是“控制权” 控制权的核心冲突是：名义所有权和实际控制权的对立。关键是如何界定控制权边界，防止实际控制权转移（通过资格股和投资股的结构安排）导致“内部人控制”，进而导致大量的道德风险。,内部人控制经理人内部控制。农商行的股东大会、董事会和监事会在实践中不能有效发挥作用，对经营管理层不能形成有效制约。农村商业银行的股东一般包括本地较大的国有或集体企业、本地较大的民营企业、国有或外资银行、本地中小企业、个体工商户、当地居民和银行员工。本地较大的民营企业注重的是农商行的分红, 是能否得到贷款支持，并不真正关心农村商业银行的经营管理。本地中小企业、个体工商户和当地居民股东数量众多，虽然整体在农商行的占股比例较大，但是，具体到每一户占股比例很小，同时对银行经营管理不熟悉，在股东大会上发言权很小。内部员工股东在部分农商行中占有一定比例，但在董事会和监事会中，银行员工对银行经营管理层的牵制作用很小。由于没有来自股东的压力，董事会和监事会在工作中也难免懈怠，对经营管理层不能形成有效制约。,基层行内部人控制。农村商业银行由农村信用社改制而来，虽然完成了分级法人体制向一级法人体制的转变，但是农商行总行对基层分支机构的管理和控制程度有限。农商行基层分支机构大多是原有的基层信用社，员工大部分是原信用社工作人员。由于信用社长期独立法人操作的影响，基层分支机构容易出现内部管理“一言堂”，用人制度“一家军”。一旦出现这种情况，基层管理人员受到的制约减小，违规操作不能被有效抵制，违规问题常常被压住盖住不易发现。基层分支机构的内部人控制问题对农商行的内部控制也是一个很大的挑战。,-“搅混水”：信贷失败的经营失误和行政干预相互掩盖，责任追究自然成为一句空话。 -“共谋”：在银行损失可以通过拨备覆盖、呆帐核销甚至央行援助的情况下，信贷人员、借款人和行政当局甚至执法机构形成共谋，不良贷款就转化为借款人或其利益相关体的收入。 -“拖延”：对历史包袱，挂帐不动显然优于捅马蜂窝，直到等来注资或剥离。通过不断的“拖延”和“最后（明天）的免费午餐”，造成不良贷款前清后欠式的滚雪球效应。,完善治理结构的主要措施要重点规范社员（股东）大会、理（董）事会、监事会和经营班子各自的职责，充分发挥社员（股东）大会的作用，强化理（董）事会的集体议事功能，突出监事会的监督职能，形成“三会”和经营管理层之间既相互独立运作又相互制衡的科学机制。同时应充分发挥董事会下设各专门委员会的决策职能，提高民主科学决策能力，防止经营班子取代理（董）事会决策而形成“内部人”控制，实现法人治理结构从形似到神似的真正转变。加强信息披露制度建设。,42 2抓好“三重一大”制度,包括银行贯彻执行党和国家的路线方针政策、法律法规的重大措施，银行发展战略、重组、资本资产调整、产权转让、利益调配、机构调整等方面的重大决策，银行党的建设和安全稳定的重大决策，以及其他重大决策事项。,包括企业中层以上经营管理人员和下属企业、单位领导班子成员的任免、聘用、解除聘用和后备人选的确定，推荐董事会、监事会成员和经理、财务负责人，以及其他重要人事任免事项。,对银行资产规模、资本结构、盈利能力以及生产装备、技术状况等产生重要影响的项目的设立和安排。如年度经营计划，新业务开发、重要设备和技术引进，采购大宗物资和购买服务，经营网点建设项目，以及其他重大项目安排事项。,超过由银行股东大会批准的所规定的银行领导人员有权调动、使用的资金限额的资金调动和使用。如年度预算内大额度资金调动和使用，超预算的资金调动和使用，对外大额捐赠、赞助，以及其他大额度资金运作事项。,重大决策,重要人事任免,重大项目安排,大额度资金运作,决策前应当进行调查和研究论证 决策必须由领导班子集体作出决定 决策过程及参与人意见应完整、详细记录并存档备查 建立回避、考核评价、后评估、纠错机制和责任追究等制度,43运用好提升银行内控有效性的三大基本工具三大基本工具之一：技术 内控的基础是信息，和任何控制系统一样，内部控制系统实际是信息反馈系统。信息化或者IT体现出了加强企业内控中的作用，所以银行控制风险管理，迅速落脚点还是要在我们信息系统当中。信息化建设现在应该越来越多体现内控风险管理要求。,基于全面风险管理的信息系统架构,重点健全会计信息质量保证机制，确保会计信息的真实性；建立管理信息系统，满足各级管理层对信息的需求，而且要注意不能以会计信息系统来代替管理信息系统；充分运用信息技术，提高信息传递效率；加强银行内控电子化管理，保障银行业务的正常运行。加强内控应用软件开发，形成一套有效的内部电子监督系统和电子网络系统。,商业银行风险管理信息系统的建立数据收集（风险信息的收集） （1）风险信息的种类：内部数据和外部数据 （2）风险信息的特性及系统结构方面的问题 精确性 及时性 系统结构方面的问题：尽量保持最少数量的数据源、注意区分交易系统中真伪信息数据处理 （1）处理输入数据/信息，主要分为两个步骤 中间计量数据（采用三维存储方式时间、情景、金融工具） 组合结果数据,B/S结构（Browser/Server，浏览器/服务器模式的网络结构模式。这种模式统一了客户端，将系统功能实现的核心部分集中到服务器上，简化了系统的开发、维护和使用。,（2）信息储存操作信息传递 （1）一般采用B/S结构 （2）发布风险分析报告（预览内部看，发布一起看）信息系统安全管理 （1）设置权限 （2）定期更换用户密码 （3）登陆信息记录 （4）防止外部侵入 （5）定期备份 （6）设置灾难恢复和应急程序 （7）建立错误承受程序，以便在发生技术困难的时候，能够在一定时间内保持系统的完整性,三大基本工具之二：制度 制度是优化内控系统的关键。 一个银行管理者的能力，不是销售，也不是创新，而是创造制度的能力，因为只有制度才能让一家银行得到长久地发展，取得持续创造财富的能力。同样，优化银行的内控能力，关键的就是银行的制度优化。,重点制定内控基本制度或称为管理办法，明确内部控制框架体系的构成、各环节和相关部门的职责以及责任追究等事项，尤其是尽快明确承担内部控制建设和运行职能的部门。在各业务条线管理办法的基础上，编制覆盖各业务条线、各类产品和服务、各环节、各岗位的内部控制手册建立制度制定协调机制，确保各部门出台的有关制度和管理办法与全行的基本内控制度保持一致，并保证各制度之间实现有效衔接。要强化制度的执行。依托良好的监督机制保证制度的执行。银行管理者一定要把自己放进制度里。,三大基本工具之三：文化 文化是关于价值判断和行为模式的一套选择，是内部控制的“引领者”。文化引领是商业银行内部控制力的至高境界。有什么样的文化就必然会有在该种文化指导下的思维和行为，强化内部控制力的文化一旦形成，商业银行内部就会形成自觉遵循商业银行运行规律和管理要求的习惯。新股东文化 保障中小投资者权益的意识。 ,商业银行风险文化 在经营过程中逐步形成的风险管理理念、哲学和价值。 先进的文化理念：风险管理是商业银行的核心竞争力，是创造资本增值和股东回报的重要手段。制度文化 对待制度的态度。 牧羊人悖论，讲述的是一块草地所有人都在这里养羊，养多了就会把草地破坏。这时就要做一个规矩，每户只许养一百只羊。如果有一家多养一只羊，其它人可能看不出来，而养羊户也可以多增加效益，但所有的人如果都要往这草地多养一只羊，那么这块草地就会荒了，怎么办？“必须有人去管理这件事情、必须有一个组织管理，要监督对于不守规矩的人”,很重要的区别： 社会规范文化：是社会本性和共同需要，特征的友好的、界限不明的、不要求及时报偿； 市场规范文化：不存在友情，而且界限分明，交换是黑白分明的，如工资、价格、利息等。 如何拿捏这两者之间的微妙平衡，是银行内控能力的一个重大考验。 领导要学习亮剑李云龙和楚云飞。,4 4关注四大焦点,44 1新会计准则的实施2006年2月新企业会计准则由财政部颁布时，为数众多的农村合作金融机构，并没有完全意识到这部新的准则将给它们带来的历史性变革。但如今，在中国银监会的推动下，所有的农村合作金融机构要在未来两年内（2010-2011）采用新会计准则编制财务报告。全面执行新会计准则不仅意味着会计信息质量的提高，更标志着会计核算体制的根本变革。那么，新会计准则在农村合作金融机构中的实施质量如何？,总体来说，将有利于提高会计信息质量，增强会计信息披露的透明度，更重要的是能促进农村合作金融机构转变经营观念，改善管理水平，提高风险意识。例如，按照金融工具列报准则规定，金融企业必须披露每类金融资产和金融负债的利率风险、汇率风险、公允价值、流动性风险等业务管理信息。因此，管理层必须理解准则阐述的关于公允价值、摊余成本、实际利率等概念的含义，将这些管理理念运用到银行的日常运营、流程改革和系统改造中，并利用先进的风险管理技术设计合理的业务流程，提高银行的管理水平，增强银行防御风险的能力。更关注银行运营过程中风险的变化，及时识别各种风险并采取有效措施化解风险。,难题之一：现行会计制度与新准则差距较大，业务系统难以适应新准则要求，金融工具确认计量较难把握，会计人员整体素质无法匹配，实施新准则的外部环境尚不具备等等。难题之二：新会计准则部分会计核算方法对于农村合作金融机构而言过于复杂，实现新会计准则转轨将面临较大的技术挑战，需要有充分的思想准备和相应的对策措施。 难题之三：实施新会计准则，没有相应的科技手段支持是行不通的。新旧会计准则差异巨大，农村合作金融机构现有的会计核算系统若直接改造，改造范围非常大甚至将涉及到计算机基础架构的更新，如何在确保生产系统平稳过渡前提下实现新准则要求的计算机系统建设。,及时调整业务流程，完善内部控制制度。新会计准则对多项业务的会计操作做了较大改动，目前农村合作金融机构的业务流程已普遍不符合新准则的规定和要求，应及时进行调整。此外，准则的可靠执行离不开严格的财务内部制度的保障，农村合作金融机构在完成报表转换、系统升级的同时也要不断完善内部控制，建立起与新会计准则实施相适应的财务会计及主要业务的内部控制制度，有效权衡长期利益和短期利益关系，保证贷款拨备计提的充足性和审慎性。同时，通过完善的内部控制制度，有效杜绝会计造假等舞弊行为的发生，保证会计信息的真实、完整和可靠。,44 2金融业务创新二一年五月十九日，中国人民银行 中国银行业监督管理委员会 中国证券监督管理委员会 中国保险监督管理委员会共同发布了“关于全面推进农村金融产品和服务方式创新的指导意见”（银发2010198号）2008年10月，人民银行和银监会在中部六省和东北三省组织开展了加快推进农村金融产品和服务方式创新试点。试点实践证明，加快推进农村金融产品和服务方式创新，是全面改进和提升农村金融服务、加强信贷结构调整的重要抓手，是新形势下缓解农村和农民贷款难、促进城乡公共金融服务均等化和支持社会主义新农村建设的有效手段。 “一行三会”在认真系统总结一年多来加快推进农村金融产品和服务方式创新试点实践经验的基础上，决定从2010年下半年起，在全国范围内全面推进农村金融产品和服务方式创新。,核心目的 就是紧紧抓住创新农村金融产品和服务方式这个突破口，通过金融系统积极不懈的共同努力，在全国努力创新和普及、推广一些真正契合农村与农民实际需求特点的金融产品和服务方式，大力创新和完善涉农金融服务新机制，与时俱进地满足农村多元化金融服务需求，在着力缓解农村和农民融资困难的基础上，让农村和农民得到更多、更实惠、更便捷的金融服务，让更多的农村中低收入人群享受到现代化金融服务，在更大范围和更高层次上全面提升农村金融综合服务水平。,重点内容大力推广普及在实践中已经被证明是行之有效的金融产品。比如，大力推广农户小额信