商业银行内部控制管理知识分析概述

1、1 1内蒙古银监局国有处 云坤宇2012年年9月月 12日日 呼和浩特市呼和浩特市2 23 3大大 纲纲银监会监管文化银监会监管文化与银行合规文化与银行合规文化商业银行内部控制概述商业银行内部控制概述商业银行内部控制商业银行内部控制的难点的难点建立内部控制体系及评价的作用与意义建立内部控制体系及评价的作用与意义4 4本次研讨的相关文件银监会7个文件商业银行内部控制评价试行办法， 商业银行内部控制指引， 商业银行合规风险管理指引， 商业银行操作风险管理指引， 商业银行市场风险管理指引， 商业银行金融创新指引， 商业银行授信工作尽职指引；巴塞尔委员会 银行合规和合规部门， 增强银行的公司治理。财政

2、部 企业内部控制规范（征求意见稿）国资委 中央企业全面风险管理指引5 5没有规矩不成方圆没有规矩不成方圆规矩 一定的准则或习惯 行为端正老实规 画圆形的仪器 ；法则，成例矩 画直角或方形的工具；法度，规则6 6一、一、 银监会监管文化与银行合规文化监管理念监管目标与标准战略规划与远景核心价值观与职业道德规范7 7（一）（一）“三管一提高三管一提高”的监管理念的监管理念银行内控制度及其执行效果取决于法人，各类风险最终银行内控制度及其执行效果取决于法人，各类风险最终由法人承担由法人承担主要是围绕信用、市场和操作风险的识别、计量、监测主要是围绕信用、市场和操作风险的识别、计量、监测和控制，不断改进监

3、管的方法和手段，努力管控银行业和控制，不断改进监管的方法和手段，努力管控银行业风险，促使银行体系稳健经营风险，促使银行体系稳健经营促进金融机构不断完善风险内控制度，改进内控水平和促进金融机构不断完善风险内控制度，改进内控水平和效果，提高风险管控能力效果，提高风险管控能力必须按照国际准则和要求，逐步提高信息披露质量，加必须按照国际准则和要求，逐步提高信息披露质量，加强市场约束力度强市场约束力度8 8银监法法定的监管目标促进银行业的合法、稳健运行，维护公众对银行业的信心保护银行业公平竞争，提高银行业竞争能力l通过审慎有效的监管通过审慎有效的监管, ,保护广大存款人和消费者的利益保护广大存款人和消费

4、者的利益l通过审慎有效的监管通过审慎有效的监管, ,增进市场信心增进市场信心l通过宣传教育工作和相关信息披露通过宣传教育工作和相关信息披露, ,增进公众对现代金融的了解增进公众对现代金融的了解l努力减少金融犯罪努力减少金融犯罪 ，维护金融稳定，维护金融稳定 （二）（二）银监会的监管目标9 9（三）银监会六大良好监管标准1 1、促进金融稳定和金融创、促进金融稳定和金融创新共同发展新共同发展2 2、努力提升我国银行业在国际金融业服务中的竞争力、努力提升我国银行业在国际金融业服务中的竞争力3 3、对各类监管设限要科学、合理、对各类监管设限要科学、合理, ,有所为有所为, ,有所不为有所不为, ,减少

5、减少一切不必要的限制一切不必要的限制4 4、鼓励公平竞争、反对无序竞争、鼓励公平竞争、反对无序竞争5 5、对监管者和被监管者都要实施严格、明确的问责制、对监管者和被监管者都要实施严格、明确的问责制6 6、要高效、节约地使用一切监管资源、要高效、节约地使用一切监管资源1010贷款分类贷款分类充足拨备充足拨备做实利润做实利润资本充足率资本充足率达标达标监监 管管 四四 部部 曲曲财政部2001年金融企业会计制度2001贷款风险分类指导原则2004年商业银行资本充足率管理办法2002年出台银行贷款损失准备计提指引（四）（四）银监会监管实践银监会监管实践1111 是指银行的信贷分析和管理人员，或金融监

6、管当局的检查人员，通过调阅信贷档案和相关文件材料等方式，获得与贷款相关的信息，在此基础上对影响贷款质量的财务和非财务信息进行分析判断，进而根据一定的标准和原则揭示贷款的风险程度，据此对贷款质量做出评价，并将贷款分为多个档次。贷款五级分类贷款五级分类1212参考参考：五级贷款损失程度示意图：五级贷款损失程度示意图 V V 贷款价值量( 现值） P 风险类别（损失程度）0%20%40%60%80%100%关注类次级类可疑类损失类10%损失区损失区间间（0,20%0,20%准备金的准备金的拨备比例拨备比例 100%50%25%2% 次级类 关注类 可疑类 损失区间损失区间（20,90%20,90%损

7、失区间损失区间（90,100%90,100%80%正常类1313（五）商业银行合规文化（五）商业银行合规文化商业银行合规风险管理指引第六条 商业银行应加强合规文化建设，并将合规文化建设融入企业文化建设全过程。 合规是商业银行所有员工的共同责任，并应从商业银行高层做起。 董事会和高级管理层应确定合规的基调，确立全员主动合规、合规创造价值等合规理念，在全行推行诚信与正直的职业操守和价值观念，提高全体员工的合规意识，促进商业银行自身合规与外部监管的有效互动。 1414合规是指使商业银行的经营活动与法律、规则和准则相一致。合规风险是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财

8、务损失和声誉损失的风险。合规管理部门是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序的一致性。1515工行合规文化建设工行合规文化建设在去年末工行发展战略研讨会上，姜董事长提出了“要把制度约束、技术控制、员工职业道德教育有机结合起来”的工作要求。 员工行为禁止规定、员工违规行为处理规定、员工行为守则、员工违规积分管理办法共同构成了一套“正面有规范、反面有禁止、违反有处罚”的“三位一体”的员工行为规范管理体系，对员工的行为和操作进行了明确的

9、规范，并通过计算机系统加强刚性硬约束和监测跟踪，确保员工不能、也不敢做违法违规的事。 1616二、二、 商业银行内部控制概述商业银行内部控制概述商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。 1717（一）内部控制发展与评述第一阶段：内部牵制阶段 时间：上世纪40年代前内容：以账目间的相互核对为主要内容并实施岗位分离思想：“安全是制衡的结果”第二阶段：内部控制制度阶段时间：上世纪40年代末至70年代内容：内部控制分为内部会计控制和内部管理控制（或称内部业务控制）两个部分思想：“安全是管理出来的”第三

10、阶段：内部控制结构阶段时间：上世纪80年代至90年代早期内容：内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序，包括：控制环境、会计制度、控制程序思想：安全是设计出来的第四阶段：内部控制整体框架阶段时间：上世纪90年代后至今内容：内部控制是受组织决策层、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程，包括三大目标、五大要素。思想：安全是系统管理的结果1818（二）商业银行内部控制的主要原则（二）商业银行内部控制的主要原则必须贯彻全面、审慎、有效、独立的原则内部控制应当渗透到商业银行的各项业务过程和各个操作环节，覆盖所

11、有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查；内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正；内部控制的监督、评价部门应当独立内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。1919（三）（三）“控制控制”的管理学概念的解的管理学概念的解读读“管理”：指导和控制组织的协调的活动。指导和控制的活动，通常包括建立方针和目标以及策划、控制、保证和改进。（摘自国际标准化

12、组织对“管理”的定义） “控制”：使对象的水平处于一个可接收的状态。 具备条件的企业可建立风险管理三道防线，即： （）各有关职能部门和业务单位为第一道防线； （）风险管理职能部门和董事会下设的风险管理委员会为第二道防线； （）内部审计部门和董事会下设的审计委员会为第三道防线。（摘自中央企业全面风险管理指引第十条） .有关“控制”的管理学概念的变化：由“委托方对代理方的监测”为主的“控制”转变为以下方面： （）明确要求； （）自我控制/评估； （）报告（路线）；（）监测与改进；（）问责与激励。 2020（四）（四） 内控评价办法内控评价办法的核心条款的核心条款内控评价办法第二条：商业银行内部控制

13、评价 是指对商业银行 内部控制体系 建设、实施和运行结果独立开 展的调查、测试、分析和评估等系统性活动。 商业银行内部控制评价包括过程评价和结果评价。 1、过程评价是对内部控制环境、风险识别与评估、内部控制措施 、监督评价与纠正、信息交流与反馈等体系要素的评价。 2、结果评价 是对内部控制主要 目标实现程度 的评价。 内控评价办法第三条：商业银行内部控制体系是商业银行为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。 内控评价办法第四条：商业银行应建立并保持系统、透明、文件化的内部控制体系，定期或当有关法律法规和其他经营环境

14、发生重大变化时，对内部控制体系进行评审和改进。 2121（四）（四） 内控评价办法内控评价办法的核心条款的核心条款内控评价办法第七条：商业银行内部控制评价的目标主要包括：1、促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。（合规性）2、促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现。（盈利性）3、促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。（信息披露）4、促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。（有效性）5、促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评

15、估和控制可能出现的风险。内控评价办法第八条：内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行：1、过程和风险是否已被充分识别。 （充分性）2、过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。（合规性）3、控制措施是否有效。（有效性）4、控制措施是否适宜。（适宜性）2222（五）巴塞尔银行合规和合规职能的十大原则解读原则一：银行董事会负责监督银行的合规风险管理。董事会应该核准银行的合规政策，包括一份组建常设和有效的合规部门的正式文件。董事会或董事会下设的委员会应该每年至少一次评估银行有效管理合规风险的程度。原则二：银行高级管理层负责银行合规风险的有效管理。原则三：

16、银行高级管理层负责制定和传达合规政策，确保该合规政策得以遵守，并就银行合规风险管理向董事会报告。原则四：作为银行合规政策的组成部分，高级管理层负责组建一个常设和有效的银行内部合规部门。原则五：独立性。银行的合规部门应该是独立的。原则六：资源。银行合规部门应该配备能有效履行职责的资源。原则七：合规部门职责。银行合规部门的职责应该是协助高级管理层有效管理银行面临的合规风险。银行合规部门的具体职责如下所述。如果其中的某些职责是由不同部门的职员履行，那么每个部门的职责应该界定清楚。原则八：与内部审计的关系。合规部门的工作范围和广度应受到内部审计部门的定期复查。原则九：跨境问题。银行应该遵守所有开展业务

17、所在国家或地区的适用法律和监管规定，合规部门的组织方式和结构以及合规部门的职责应符合当地的法律和监管要求。原则十:外包。合规应被视为银行内部的一项核心风险管理活动。合规部门的具体工作可能被外包，但外包仍必须受到合规负责人的适当监督。2323（六）有关风险管理体系的基本要素合规风险管理体系应包括的基本要素： （一）合规政策； （二）合规管理部门的组织结构和资源； （三）合规风险管理计划； （四）合规风险识别和管理流程； （五）合规培训与教育制度。 摘自商业银行合规风险管理指引第八条操作风险管理体系至少应包括以下基本要素： （一）董事会的监督控制； （二）高级管理层的职责； （三）适当的组织架构；

18、 （四）操作风险管理政策、方法和程序； （五）计提操作风险所需资本的规定。 摘自商业银行操作风险管理指引第五条市场风险管理体系包括如下基本要素： （一）董事会和高级管理层的有效监控； （二）完善的市场风险管理政策和程序； （三）完善的市场风险识别、计量、监测和控制程序； （四）完善的内部控制和独立的外部审计； （五）适当的市场风险资本分配机制。摘自商业银行市场风险管理指引第六条2424（七）金融创新与风险管理、内部控制第四条金融创新金融创新是商业银行以客户为中心，以市场为导向是商业银行以客户为中心，以市场为导向, , 不断提高自主创新能力和风不断提高自主创新能力和风险管理能力险管理能力, ,

19、有效提升核心竞争力，更好地满足金融消费者和投资者日益增长的需有效提升核心竞争力，更好地满足金融消费者和投资者日益增长的需求，实现可持续发展战略的重要组成部分。求，实现可持续发展战略的重要组成部分。第五条商业银行应充分认识到金融创新与风险管理密不可分，商业银行应充分认识到金融创新与风险管理密不可分，风险管理是金融创新的内风险管理是金融创新的内在要求，商业银行应采取有效措施及时识别、计量、监测、控制金融创新带来的新在要求，商业银行应采取有效措施及时识别、计量、监测、控制金融创新带来的新风险。第十条商业银行开展金融创新活动，应坚持合法合规的原则，遵守法律、行政法规和规商业银行开展金融创新活动，应坚持

20、合法合规的原则，遵守法律、行政法规和规章的规定。章的规定。商业银行不得以金融创新为名，违反法律规定或变相逃避监管。商业银行不得以金融创新为名，违反法律规定或变相逃避监管。第二十二条商业银行推出金融创新产品和服务，应做到商业银行推出金融创新产品和服务，应做到制度先行制度先行，制定与每一类业务相，制定与每一类业务相适应的操作规程、内部管理制度和客户风险提示内容，条件成熟的应制定产品手册。适应的操作规程、内部管理制度和客户风险提示内容，条件成熟的应制定产品手册。第三十五条商业银行董事会和高级管理层应将金融创新活动的风险管理纳入全行统一的商业银行董事会和高级管理层应将金融创新活动的风险管理纳入全行统一

21、的风险管理体系。 摘自商业银行金融创新指引商业银行金融创新指引2525（八）内部控制无法做到什么（八）内部控制无法做到什么无法将已有的不良管理者转变成优秀的人；由于某些事件是超出管理控制范围的，因此无法对所有外部事件所产生的影响进行控制。如政府政策或规划的转变，竞争者的行为或经济条件的转变，等；对组织目标的实现无法提供绝对的保障。它能够提供对可预见的操作问题提供合理的保障，但无法保证一个企业实现其目标；无法阻止两个或更多的人围绕现有的控制进行勾结（但是可以发现类似的事件）；由于存在控制和成本之间的权衡，因此无法阻止所有可能的损失事件。2626三、三、商业银行内部控制的难点“一百次监管不如银行一

22、次把事情做对”制造业的名言：产品是设计和生产出来的， 不是检验出来的！主动合规：相当于 “被动合规” 而言， “主动 合规” 就是将关注的重点由“关注 结果”、“关注问题的处理” 转为转为“预防为主预防为主”、 “关注过程关注过程”！272728282929（一）合规部门的独立性和权威性不够（一）合规部门的独立性和权威性不够 分支机构的合规部门通常主要向本级的行长汇报，而不是垂直向总行的合规部门汇报。分支机构合规经理主要由本级行长考核，总行合规部门没有或少有考核权。合规工作经常受到业务部门的掣肘，与业务拓展相比，很多银行的合规管理往往处于较为弱势的地位，当合规管理与业务拓展发生冲突时，许多银行

23、毫不犹豫地选择了发展业务。在日常业务的合规审查中，很多银行的合规部门和人员几乎未使用过一票否决权。有些银行的合规部门并未在业务的发起环节参与合规审查，而是到最后审批时才象征性介入。 3030（二）合规部门的职责边界有待明确（二）合规部门的职责边界有待明确 合规部门与内审部门在合规风险管理方面的职责划分较为模糊。合规部门对业务条线的合规风险程度评价如何与内审部门的评价相协调？内审发现的很多问题是不合规问题，是否应该统一由合规部门牵头整改？目前尚无统一的认识。如何实现合规风险管理与操作风险管理的有效分工，尚有待探索。合规风险与操作风险联系密切，合规风险是操作风险的重要诱因，而操作风险的存在又使得合

24、规风险更加复杂和难以监控。很多银行同时设立了合规部门和操作风险管理部门，但两个部门的职责分工不好界定。但也有些银行已经探索出合规风险与操作风险管理相对明确的分工机制，对于政策的审核，以合规部为主，操作风险部为辅，对于流程的审核，以操作风险部为主，合规部为辅。在日常检查方面，合规部侧重于对外部法律、规则和准则执行情况的检查，操作风险部则侧重于检查内部流程的遵守情况。 3131(三三) 合规检查无从下手、普遍不到位合规检查无从下手、普遍不到位 国内商业银行的合规部门启动合规检查工作的不多，少数开展合规检查的，又以自查为主，这直接制约了合规检查的有效性。在合规检查的方法、程序、频率、合规检查的常态化

25、实施机制等方面，商业银行合规部门的理解和执行都远不到位。部分银行甚至不知道如何开展合规检查。如何将合规检查与风险管理部门开展的业务检查相区分，以及将合规检查与内控自我评估相区分，是商业银行实践中面临的突出难题。 3232（四）合规制度建设方面尚存在不足（四）合规制度建设方面尚存在不足 合规绩效考核的评分标准较粗。在没有违规的情况下，考核评分普遍高达9至10分；有违规行为则得0分，2至8分之间几乎空白。导致评分分布两头大中间小，使评分的区分度低，同时，没有把能否识别并采取措施缓释本部门（分支机构）的合规风险状况列入主要考核内容，客观上导致业务部门和分支机构不重视合规考核，失去了绩效考核评分的意义

26、。如何细化、优化合规管理考核是国内银行亟待解决的问题之一。合规问责的机制不健全，违规责任追究缓慢。诚信举报本应属于合规部门的职责，但在国内银行通常是由纪检监察部门负责，影响了合规工作的有效开展。举报机制（道德热线）使用较少，很多银行几乎为零，导致国内银行诚信举报机制的有效性大打折扣。这其中有整个社会文化的因素，也有客观上对举报人保护不到位的原因。 3333(五五)商业银行的战略转型、自身发展和内部管理商业银行的战略转型、自身发展和内部管理给合规管理工作提出了新的更高的要求给合规管理工作提出了新的更高的要求 银行业务战略转型客观上需要合规管理随之不断优化，管理技术要更精细，流程要更精简，制度要更精确，才能更有效地服务与支持转型。对于设立海外分行的银行，合规管理时常遭遇外国司法管辖，境外机构合规管理正面临多个属地国家同时施加监管的局面。如何确立有效的总行与各境外机构合规管理信息联络报告机制，有效应对各类境外监管风险，成为目前境外机构合规管理工作的当务之急。金融创新日新月异，使各种跨市场业务、跨境业务和交叉销售的复杂产品层出不穷，合规管理能否覆盖业务创新的范围，合规管理的效率能否跟上业务创新的步伐，如何最大限度地促成风险可控基础上的业务创新、防范风险传递、强化风险隔离，正成为合规管理的新任务。 3434（六）分支机构合规管理难度大、效果差（六）分支机构合规管理难度大、效果差 实施