商业银行内部控制构建与评价

1、安徽省银行业金融机构安徽省银行业金融机构高级管理人员培训高级管理人员培训商业银行内部控制商业银行内部控制构建与评价构建与评价l问题：问题：l什么是内部控制？什么是内部控制？l为什么要进行内部控制？为什么要进行内部控制？l如何进行内部控制？如何进行内部控制？l内部控制有效性如何？内部控制有效性如何？l一、商业银行内部控制的历史演变和一、商业银行内部控制的历史演变和内涵内涵l二、商业银行内部控制构建的必要性、二、商业银行内部控制构建的必要性、目标和原则目标和原则l三、商业银行内部控制的基本要素、三、商业银行内部控制的基本要素、缺陷及构建思路缺陷及构建思路l四、商业银行内部控制评价四、商业银行内部控

2、制评价l（一）商业银行内部控制的历史（一）商业银行内部控制的历史演变演变l（二）商业银行内部控制的内涵（二）商业银行内部控制的内涵l（三）对商业银行内部控制的认（三）对商业银行内部控制的认识误区识误区l1 1、内部控制理论的发展、内部控制理论的发展l2 2、我国商业银行内部控制的发展、我国商业银行内部控制的发展（三个重要文件和四个阶段）（三个重要文件和四个阶段）l内部控制理论的发展经历了以下几个阶段内部控制理论的发展经历了以下几个阶段l（1 1）2020世纪世纪4040年代之前的内部牵制年代之前的内部牵制l（2 2）2020世纪世纪40-7040-70年代的内部控制制度年代的内部控制制度l（3

3、 3）2020世纪世纪70-9070-90年代的内部控制结构年代的内部控制结构 l（4 4）2020世纪世纪9090年代以来的内部控制整体年代以来的内部控制整体框架框架l最新和最具里程碑意义的是最新和最具里程碑意义的是2020世纪世纪9090年代年代的的内部控制的整体框架内部控制的整体框架（COSOCOSO报告）。报告）。l报告认为，内部控制是由企业董事会、经报告认为，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法律的遵效果、财务报告的可靠性、相关法律的遵循等目标的达成而提供合理保证的过程。循等目标的达成而提供合

4、理保证的过程。l具体内容包括：控制环境、风险评估、控具体内容包括：控制环境、风险评估、控制活动、信息和沟通、监督与审查等要素。制活动、信息和沟通、监督与审查等要素。l（1）明确组织中的每一个人对内部控制负有责任）明确组织中的每一个人对内部控制负有责任l（2）强调内部控制应该与企业的经营管理过程相结合）强调内部控制应该与企业的经营管理过程相结合l（3）强调内部控制是一个）强调内部控制是一个“动态过程动态过程”l（4）强调）强调“人人”的重要性的重要性l（5）强调）强调“软控制软控制”的作用的作用l（6）强调风险意识）强调风险意识l（7）糅合了管理与控制的界限）糅合了管理与控制的界限l（8）强调了

5、内部控制的分类及目标）强调了内部控制的分类及目标l（9）内部控制只能做到）内部控制只能做到“合理合理”保证保证l（10）坚持成本与效益原则）坚持成本与效益原则l1997年年5月月16日，中国人民银行颁布的日，中国人民银行颁布的加强金融机构内部控制指导原则加强金融机构内部控制指导原则l2002年年9月月7日，中国人民银行公布的日，中国人民银行公布的商商业银行内部控制指引业银行内部控制指引l2004年年12月月25日，中国银监会公布的日，中国银监会公布的商商业银行内部控制评价试行办法业银行内部控制评价试行办法l（1 1）1984-19971984-1997年，探索起步阶段年，探索起步阶段l（2 2

6、）1998-20011998-2001年，初步构建阶段年，初步构建阶段l（3 3）2002-20042002-2004年，快速发展阶段年，快速发展阶段l（4 4）20052005年以来，巩固完善阶段年以来，巩固完善阶段l1 1、内部控制是金融机构的一种自律行为，是金融、内部控制是金融机构的一种自律行为，是金融机构为完成既定的工作目标和防范风险，对内部机构为完成既定的工作目标和防范风险，对内部各职能部门及其工作人员从事的业务活动进行风各职能部门及其工作人员从事的业务活动进行风险控制、制度管理和相互制约的方法、措施和程险控制、制度管理和相互制约的方法、措施和程序的总称。序的总称。l2 2、内部控制

7、是商业银行为实现经营目标，通过制、内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过事前防范、事中控制、事后监督和纠正的动态过程和机制。程和机制。 l3、商业银行内部控制体系是商业、商业银行内部控制体系是商业银行为实现经营管理目标，通过银行为实现经营管理目标，通过制定并实施系统化的政策、程序制定并实施系统化的政策、程序和方案，对风险进行有效识别、和方案，对风险进行有效识别、评估、控制、监测和改进的动态评估、控制、监测和改进的动态过程和机制。过程和机制。 l内部控制与公司治理内部控

8、制与公司治理l内部控制与内控制度内部控制与内控制度l内部控制与内部审计内部控制与内部审计l内部控制与全面风险管理内部控制与全面风险管理l（一）商业银行内部控制构建的（一）商业银行内部控制构建的必要性必要性l（二）商业银行内部控制的目标（二）商业银行内部控制的目标l（三）商业银行内部控制的原则（三）商业银行内部控制的原则l1、是商业银行合规性经营、提高风险管、是商业银行合规性经营、提高风险管理水平、提升竞争力、全面实施和充分实理水平、提升竞争力、全面实施和充分实现发展战略和经营目标的需要；现发展战略和经营目标的需要；l2、是商业银行满足股东财富最大化的需、是商业银行满足股东财富最大化的需要；要；

9、l3、是提高金融监管有效性的需要；、是提高金融监管有效性的需要；l4、是保护金融消费者权益、更好地满足、是保护金融消费者权益、更好地满足金融消费者需求的需要。金融消费者需求的需要。l1 1、确保国家法律规定和商业银行内部规章制、确保国家法律规定和商业银行内部规章制度的贯彻执行；（合规性目标）度的贯彻执行；（合规性目标） l2 2、确保风险管理体系的有效性；确保商业银、确保风险管理体系的有效性；确保商业银行发展战略和经营目标的全面实施和充分实现；行发展战略和经营目标的全面实施和充分实现；（运作性目标或业绩性目标）（运作性目标或业绩性目标） l3 3、确保业务记录、财务信息和其他管理信息、确保业务

10、记录、财务信息和其他管理信息的及时、真实和完整。（信息性目标）的及时、真实和完整。（信息性目标） l1 1、全面性。内部控制应当渗透到商业银行的各项业务过、全面性。内部控制应当渗透到商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。员参与，任何决策或操作均应当有案可查。 l2 2、审慎性：内部控制应当以防范风险、审慎经营为出发、审慎性：内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体

11、现的业务，均应当体现“内控优先内控优先”的要求。的要求。 l3 3、有效性：内部控制应当具有高度的权威性，任何人不、有效性：内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。当能够得到及时反馈和纠正。 l4 4、独立性。内部控制的监督、评价部门应当独立于内部、独立性。内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。级管理层报告的渠道。 l（一）商业银行内部控制的基本要素商业

12、银行内部控制的基本要素l（二）有问题银行内部控制存在的缺陷（二）有问题银行内部控制存在的缺陷l（三）商业银行内部控制失效案例分析（三）商业银行内部控制失效案例分析l（四）商业银行内部控制构建思路（四）商业银行内部控制构建思路l1、内部控制环境、内部控制环境 l2、风险识别与评估、风险识别与评估 l3、内部控制措施、内部控制措施 l4、信息交流与反馈、信息交流与反馈 l5、监督评价与纠正、监督评价与纠正 l内部控制环境为基础内部控制环境为基础 l风险识别与评估为前提风险识别与评估为前提 l内部控制措施为核心内部控制措施为核心l信息交流与反馈为支撑信息交流与反馈为支撑l监督评价与纠正为保障监督评价

13、与纠正为保障l1 1、管理层监督力度不够，责任不清，内控文、管理层监督力度不够，责任不清，内控文化缺乏或松弛化缺乏或松弛l2 2、风险识别和评估体系不健全，对有些银行、风险识别和评估体系不健全，对有些银行业务风险未能充分认定和评估业务风险未能充分认定和评估l3 3、关键性的控制结构与措施不落实或未能建、关键性的控制结构与措施不落实或未能建立立l4 4、银行的各级管理层次之间信息交流不充分，、银行的各级管理层次之间信息交流不充分，尤其是问题上报不充分尤其是问题上报不充分l5 5、内部控制监督不充分甚至无效、内部控制监督不充分甚至无效l1 1、自、自20032003年年3 3月至月至2006200

14、6年年1 1月，中国银行黑龙月，中国银行黑龙江分行双鸭山四马路支行银行前行长胡伟东等江分行双鸭山四马路支行银行前行长胡伟东等人伙同集贤县富强粮油贸易有限公司董事长兼人伙同集贤县富强粮油贸易有限公司董事长兼总经理朱德全先后以各种名义，从中行黑龙江总经理朱德全先后以各种名义，从中行黑龙江双鸭山分行四马路支行开出承兑汇票双鸭山分行四马路支行开出承兑汇票9696张，滚张，滚动金额达动金额达9.1469.146亿元，其中亿元，其中5656张贴现后、兑付张贴现后、兑付期之前以现金偿还；案发之际，未偿金额达期之前以现金偿还；案发之际，未偿金额达4.3254.325亿元。亿元。 l（1）内部控制规章制度执行不

15、力，有章不循，重）内部控制规章制度执行不力，有章不循，重要空白凭证管理制度失控，上级行对作废的汇票处要空白凭证管理制度失控，上级行对作废的汇票处理监督不力；理监督不力；l（2）内控文化缺乏或松弛，从业人员法律意识和）内控文化缺乏或松弛，从业人员法律意识和风险意识淡薄，监督约束乏力，尤其是缺乏对基层风险意识淡薄，监督约束乏力，尤其是缺乏对基层行负责人的有效监督制约；行负责人的有效监督制约；l（3）内部业务控制系统整体瘫痪；）内部业务控制系统整体瘫痪；l（4）贴现行在风险控制和业务操作流程等方面存）贴现行在风险控制和业务操作流程等方面存在疏漏，失去警觉。在疏漏，失去警觉。 l2 2、常州某银行两名

16、银行职员利用自己在银、常州某银行两名银行职员利用自己在银行工作的身份和经验，盗取客户身份证、收行工作的身份和经验，盗取客户身份证、收入证明等申办信用卡的全套资料后，将网撒入证明等申办信用卡的全套资料后，将网撒向了中行、建行、交行等多家银行，骗取向了中行、建行、交行等多家银行，骗取8 8张信用卡。他们利用信用卡购买了液晶电视、张信用卡。他们利用信用卡购买了液晶电视、数码相机等高档消费品，恶意透支总额达数码相机等高档消费品，恶意透支总额达1717万余元。万余元。l1、完善内控体系建设规划，明确内部控制体系的、完善内控体系建设规划，明确内部控制体系的总体要求和目标总体要求和目标l2、营造良好的内控环

17、境，着力培育和普及内控文、营造良好的内控环境，着力培育和普及内控文化化l3、健全内部控制措施，形成内控长效机制、健全内部控制措施，形成内控长效机制l4、完善风险管理体系，切实提高风险管理能力、完善风险管理体系，切实提高风险管理能力l5、建立有效的信息交流与沟通系统，提高内部控、建立有效的信息交流与沟通系统，提高内部控制的效率制的效率l6、建立独立的、权威的内控监督评价与纠正体系，、建立独立的、权威的内控监督评价与纠正体系，提高内控管理水平提高内控管理水平l难点：（难点：（1）缺乏有影响力的内控文化，员工内控）缺乏有影响力的内控文化，员工内控意识难以增强；（意识难以增强；（2）感情代替制度，有章

18、不循、）感情代替制度，有章不循、违规操作现象难以遏止；（违规操作现象难以遏止；（3）人员少，岗位交流）人员少，岗位交流轮换难以大范围持续进行；（轮换难以大范围持续进行；（4）惧怕处罚，发生）惧怕处罚，发生的问题难以及时上报或知情不报。的问题难以及时上报或知情不报。l重点是：（重点是：（1）营造良好的内控环境，着力培育和）营造良好的内控环境，着力培育和普及内控文化，树立普及内控文化，树立“内控优先内控优先”的风险意识；的风险意识；（2）健全内部控制措施，加大内控制度执行及岗）健全内部控制措施，加大内控制度执行及岗位交流轮换的力度，形成内控长效机制；（位交流轮换的力度，形成内控长效机制；（3）建）

19、建立有效的信息交流与沟通系统，及时报告和改进内立有效的信息交流与沟通系统，及时报告和改进内部控制存在的问题，以提高内部控制的有效性。部控制存在的问题，以提高内部控制的有效性。l问问 题：题：l什么是内部控制评价？什么是内部控制评价？l为什么进行评价？为什么进行评价？l谁来进行评价？谁来进行评价？l评价什么？评价什么？l如何评价？如何评价？l（一）内部控制评价的内涵内部控制评价的内涵l（二）内部控制评价的目标和原则（二）内部控制评价的目标和原则l（三）内部控制评价的内容（三）内部控制评价的内容l（四）内部控制评价的程序和方法（四）内部控制评价的程序和方法l（五）内部控制评价的评分标准和等（五）内

20、部控制评价的评分标准和等级评定级评定l（六）银监会根据被评价机构的内部（六）银监会根据被评价机构的内部控制体系状况采取的监管措施控制体系状况采取的监管措施l 商业银行内部控制评价是指对商商业银行内部控制评价是指对商业银行内部控制体系建设、实施业银行内部控制体系建设、实施和运行结果独立开展的调查、测和运行结果独立开展的调查、测试、分析和评估等系统性活动。试、分析和评估等系统性活动。 l商业银行风险评级是针对商业银行经营要商业银行风险评级是针对商业银行经营要素的综合评价，包括资本充足、资产安全、素的综合评价，包括资本充足、资产安全、管理、盈利、流动性和市场风险敏感性等管理、盈利、流动性和市场风险敏

21、感性等状况评价以及在此基础上加权汇总后的总状况评价以及在此基础上加权汇总后的总体评价，而内部控制评价是针对管理活动、体评价，而内部控制评价是针对管理活动、业务活动等的单项评价。业务活动等的单项评价。 l目标：五个促进目标：五个促进l1 1、促进商业银行严格遵守国家法律法、促进商业银行严格遵守国家法律法规、银监会的监管要求和审慎经营原规、银监会的监管要求和审慎经营原则。则。l2 2、促进商业银行提高风险管理水平，、促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现。保证其发展战略和经营目标的实现。l3 3、促进商业银行增强业务、财务和管、促进商业银行增强业务、财务和管理信息的真实性、完

22、整性和及时性。理信息的真实性、完整性和及时性。l4 4、促进商业银行各级管理者和员工强、促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有控制措施，确保内部控制体系得到有效运行。效运行。l5 5、促进商业银行在出现业务创新、机、促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。效地评估和控制可能出现的风险。 l原则：六性原则原则：六性原则l1 1、全面性原则、全面性原则l2 2、统一性原则、统一性原则l3 3、独立性原则、独立性原则l4 4、公正

23、性原则、公正性原则l5 5、重要性原则、重要性原则l6 6、及时性原则、及时性原则l1 1、内部控制环境评价、内部控制环境评价l2 2、风险识别与评估评价、风险识别与评估评价l3 3、内部控制措施评价、内部控制措施评价l4 4、监督与纠正评价、监督与纠正评价l5 5、信息交流与反馈评价、信息交流与反馈评价l商业银行公司治理商业银行公司治理 l董事会、监事会和高级管理层责任董事会、监事会和高级管理层责任 l内部控制政策内部控制政策 l内部控制目标内部控制目标 l组织结构组织结构 l企业文化企业文化 l人力资源人力资源 l经营管理活动风险识别与评估经营管理活动风险识别与评估 l法律法规、监管要求和

24、其他要法律法规、监管要求和其他要求的识别求的识别l内部控制方案内部控制方案 l运行控制运行控制l计算机系统环境下的控制计算机系统环境下的控制 l应急准备与处置应急准备与处置l内部控制绩效监测内部控制绩效监测 l违规、险情、事故处置和纠正及预防违规、险情、事故处置和纠正及预防措施措施 l 内部控制体系评价内部控制体系评价 l 管理评审管理评审 l持续改进持续改进 l商业银行首先应有持续改进的意识，其次可利商业银行首先应有持续改进的意识，其次可利用内部控制政策、内部控制目标、评价结果、用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管绩效监测和数据分析、纠正和预防措施

25、以及管理评审等多种活动提供的信息来识别和确定需理评审等多种活动提供的信息来识别和确定需改进的项目，并通过计划改进的项目，并通过计划-执行执行-检查检查-改进改进等循环以持续改进提高内部控制体系的有效性。等循环以持续改进提高内部控制体系的有效性。 l信息交流与沟通信息交流与沟通l内部控制体系对文件的要求内部控制体系对文件的要求l文件控制文件控制l记录控制记录控制l1 1、评价准备、评价准备l组成评价组组成评价组 、 制订评价实施方案制订评价实施方案 、准备必要的、准备必要的工作文件工作文件 、与被评价机构建立初步联系、与被评价机构建立初步联系 l2 2、评价实施、评价实施l了解内部控制体系了解内部控制体系 （通过询问、查阅、观察、流通过询问、查阅、观察、流程图等方法程图等方法 ）、实施测试和分析）、实施测试和分析 （采取符合性测采取符合性测试和指标分析等方法试和指标分析等方法）l3 3、评价报告形成、评价报告形成l4 4、评价反馈、评价反馈 l1 1、询问法