商业银行内部控制简介

IntroductiontoInternalControls

内部控制简介FederalReserveSystem第1页，共37页。1InternalControl-DiscussionOutline

内部控制—研讨提纲DefinitionofInternalControl

内部控制的定义ExplanationofInternalControlConcepts

内部控制概念的解释DiscussionofInternalControlBreakdowns

内部控制的缺陷第2页，共37页。2DefinitionofInternalControl

内部控制的定义CurrentdefinitionintheU.S.-adoptedforworld-wideuse

美国现行定义—已为世界各国采用COSO-Internalcontrolisaprocesseffectedbyanentity’sBoardofDirectorsandSeniorManagementandotherpersonneldesignedtoprovidereasonableassuranceregardingthreeobjectivesandfivecomponents

内部控制是为确保三项目标和五项元素而设计并由公司董事会和高级管理层以及有关人员执行的一种程序第3页，共37页。3ThreeObjectivesofInternalControl

内部控制的三项目标Effectivenessandefficiencyofoperations(includingsafeguardingofassets)

运作有效（包括资产保护）Reliabilityoffinancialreporting

财务报表可靠Compliancewithapplicablelawsandregulations合法合规第4页，共37页。4FiveComponents-InternalControl

内部控制的五项元素ControlEnvironment-“toneatthetop”

控制环境—“至关重要”RiskAssessment-management’sidentificationofkeyrisks

风险评估—管理层对主要风险的认知ControlActivities-entitylevelandactivitylevel

控制手段—面向公司层面和具体经营活动的控制手段InformationandCommunication-internalandexternal

内部之间以及对外的信息交流与沟通Monitoring-adequacyofcontrolsovertime

监控—持续充分的管理第5页，共37页。5Component1-ControlEnvironment

元素一—控制环境Integrity&EthicalValues品行与道德价值CommitmenttoCompetence竞争力Management’sPhilosophy/OperatingStyle

管理哲学/经营风格OrganizationalStructure

组织结构AssignmentofAuthority&Responsibility

权力与责任的分配BoardofDirector’sorAuditCommitteeParticipation

董事会或审计委员会的参与HumanResourcesPolicies&Procedures

人事政策与程序第6页，共37页。6IntegrityandEthicalValues

品行与道德价值Essentialelement关键要素Impactsdesignofinternalcontrols

影响内部控制的设计Prerequisiteforethicalbehavior

正当行为的先决条件Difficulttoachieve-balancebetweenemployees,shareholdersandpublic

难点—在员工、股东与公众间寻求平衡Disincentives-pressuretomeettargets,high-performancerewards

阻力—实现目标的压力，表现优秀的回报第7页，共37页。7CommitmenttoCompetence

竞争力Appropriatelevelsofmanagementandmanagementreview

恰当的管理与管理评价Jobcriteriaandjobspecificskills

工作守则与能力要求Appropriatepaylevelsforworkperformed

按劳分配Natureanddegreeofjudgmentrequired

评价的性质与程度第8页，共37页。8Management’sPhilosophy/OperatingStyle

管理哲学/经营风格Formalversusinformalmanagementstyles

正式与非正式的管理风格Impactstheinstitution’soperationsincludingtheriskprofile

影响公司的经营，包括风险预测Majorimpactoncontrolissues

是控制问题的主要影响因素Attitudestowardfinancialreporting:

对财务报告的态度：conservativeoraggressive保守还是激进第9页，共37页。9OrganizationalStructure

组织结构Frameworkforachievingentity-wideobjectives

实现总体目标的框架Definekeyareasofauthorityandresponsibility

划分权责部门Establishappropriatereportinglines

建立恰当的报告体系Centralizedversusdecentralized集权与分权Dependsonsizeandnatureofactivities

取决于业务的规模与性质第10页，共37页。10AssignmentofAuthorityandResponsibility

权力与责任的分配Responsibilityforoperatingactivities

各种经营活动的职责Establishmentofreportingrelationships

建立报告关系Authorizationprotocols授权协议Limitsonauthority对权力的限制Policiesonbusinesspractices经营政策Pushingdownofresponsibility职责的下放第11页，共37页。11BoardofDirectorandAuditCommitteeParticipation

董事会与审计委员会的参与IndependenceofBoardand/orAuditCommitteefrommanagement

董事会与/或审计委员会独立于管理层ExperienceandstatureofBoardmembers-newrulesintheU.S.forSECregistrants

董事的资历与品行—证券交易委员会对于注册人的新规定InvolvementoftheBoard-criticaltoanappropriatecontrolenvironment

董事会的参与—对良好控制环境十分关键Appropriateinformationflowsandscrutinyofmanagementactions

良好的信息流动和对管理行为的审查第12页，共37页。12HumanResourcesPoliciesandProcedures

人事政策与程序Criticalmessagetoemployees对员工非常重要的信息Globalwrittencodeofconduct国际通行的书面行为准则Additionalrequirementsfortraders对交易员的附加要求Practicesonhiring,orientation,training,evaluating,counseling,promoting,compensatingandremedialactions录用、定岗、培训、考核、咨询、晋升、薪酬与福利的操作Ongoinginvolvement–critical持续参与—十分重要第13页，共37页。13

Component2-RiskAssessmentObjectives

元素之二—风险评估的目标Identificationandanalysisofobjectives

目标的确定与分析operationsobjectives营运目标financialreportingobjectives财务报告目标complianceobjectives合规目标Overlappingofobjectives-complimentaryandlink

目标重叠—补充与联系第14页，共37页。14RiskAssessmentObjectives

风险评估的目标Activitiestoachieveobjectives实现目标的行动clearforeachbusinessline对每项业务界定清晰multipleobjectivesforeachactivity

每项活动的多重目标Riskidentification风险识别entitylevel公司层面activitylevel经营层面productlevel产品层面第15页，共37页。15RiskIdentification

风险识别Entitylevel公司层面External:technology,changingcustomerneeds,competition,legislation,economicchanges

外部风险：技术风险，消费者需求变化的风险，竞争风险，法律风险，经济变化的风险Internal:systemsdisruption,qualityofpersonnel,managementchanges

内部风险：系统崩溃，人员素质，管理层变更Activitylevel-Volume,automationlevels

经营层面—经营规模，自动化程度Productlevel-Inherentrisk,adequacyofcontrols

产品层面—内在风险，控制的充分性Analysisandmanagementofriskexposure

风险敞口的分析与管理第16页，共37页。16Component3-ControlActivities

元素之三—控制手段Widevarietyandrange非常广泛Canincludepreventative,investigative,manualorcomputercontrols

包括预防性手段和调查性手段，人工手段和计算机手段Twoessentialelements两个重要因素Policies方针Procedures程序第17页，共37页。17Preventativevs.DetectiveControls

预防性手段与调查性手段Preventative-preventsundesirableevents

预防性手段—防止不利事件的发生Detective-revealserrors&irregularitiesthathavealreadyoccurred

调查性手段—揭示已经发生的错误和反常情形第18页，共37页。18ExamplesofTypesofControlActivities

控制手段例举Authorizationorapproval

授权或批准Verification确认Reconciliation协调Segregationofduties

职责分工Operatingperformancereviews

绩效考评Physicalsecurityofassets

资产的实际安全Physical/logicalsecurityreviews

实际安全评估/理论安全评估Supervisoryreviews

监管评估Twoweekvacationpolicy

两周休假政策Systemchecks

系统检查Limits限制ReviewofMISdata

管理信息系统数据评价第19页，共37页。19Component4-InformationandCommunications

元素之四—信息交流与沟通Identification-performedatalllevelswithintheorganization

识别—在公司内部各级进行Capture-criticalcomputersystemsandMISreports

获取—重要的计算机系统和管理信息系统报告Exchange-appropriatestaffobtaintheinformation

交换—由专人获取信息第20页，共37页。20Component5–Monitoring

元素之五—监控OngoingActivities-performedbymanagement

持续进行的活动—由管理层进行reviewofdataandreportswithintheorganization

评估机构内的数据和报告discussionswithexternalparties与外部有关各方商讨trainingseminars培训研讨SeparateEvaluations-performedbyanindependentfunction

独立评估—由独立方进行internalaudit,externalaudit,consulting,andpeerreview(smallbank)

内部审计，外部审计，咨询，同行意见（小银行）第21页，共37页。21ContextofControls

控制内容Entity’s公司层面:Size,organization,andownership

规模、组织结构与所有权Natureofbusiness业务性质Diversityandcomplexity多样性与复杂性Methodsoftransmitting,processingandretaininginformation

信息的传递、处理与留存方式Applicablelawsandregulations有关法规第22页，共37页。22Limitations

限制SmallOffices小型办公室Collusion共谋Ignorance忽视Paceofbusiness业务效率Judgment判断Cost成本Management’soverride管理层越权第23页，共37页。23InternationalEmphasisonInternalControls各国对内部控制的关注BasleCommitteeonBankingSupervision

巴塞尔银行监管委员会FrameworkfortheEvaluationofInternalControls

内部控制评估体系PolicyStatement-FinalizedSeptember,1998

政策声明—1998年9月定稿IdentifiesCausesofRecentBankingProblems

银行业新问题的产生原因第24页，共37页。24InternalControlBreakdowns-BasleReport

内部控制的缺陷—巴塞尔委员会报告Lackofadequatemanagementoversightandaccountability;failuretodevelopastronginternalcontrolculture

管理层监控不够充分，没有形成稳健的内部控制文化Inadequateassessmentoftherisksofcertainbankingactivitiesorproducts

对部分银行业务、产品的风险的评估不够充分Absenceorfailureofkeycontrolstructuresandactivities

关键的控制环节和手段缺乏或者失效第25页，共37页。25InternalControlBreakdowns-BasleReport(Cont.)

内部控制的缺陷—巴塞尔委员会报告（续）Inadequatecommunicationofinformationbetweenlevelsofmanagement

不同层级的管理人员之间的信息交流不充分Inadequateorineffectiveauditprogramsandothermonitoringactivities

审计程序和监控活动不充分或无效第26页，共37页。26Examples-InternalControlBreakdowns

内部控制缺陷举例Barings巴林银行:Hands-offmanagementstyle放任不管的管理风格Lackofsegregationofduties缺乏职责分工制度backoffice后台frontoffice前台NoBoardofDirector’sinvolvement

董事会没有参与内部控制Lackofresponsetoauditissues

对审计发现的问题没有相应的整改措施Useoffictitiousaccount做假帐第27页，共37页。27Recentexamples-notinBaslereport

新案例—巴塞尔报告中没有提到AlliedIrish联合爱尔兰Remotelocation地点偏远Traderwithincompatibleduties交易员责权不匹配Lackofinternalcontrols内部控制缺乏Lackofmanagementunderstandingofrisks

管理层对风险缺乏了解Examples-InternalControlBreakdowns

内部控制缺陷举例第28页，共37页。28Otherentities其它公司Inadequateevaluationofnewbusinessrisks

对新业务的风险评估不充分Insufficientsegregationofduties职责分工不充分Ineffectivemanagementoversight管理层监控无效Absenceofaseparatemonitoringmechanism

没有独立的监控机制Examples-InternalControlBreakdowns

内部控制缺陷举例第29页，共37页。29Internalauditdeficiencies-内部审计不足Untimelyorpiecemealaudits审计不及时、不全面Ineffectivefollow-upofsignificantauditissues

对重大审计问题缺乏有效的跟踪机制Unfamiliaritywithbusinessprocedures

不熟悉业务程序Notraininginsophisticatedareas

缺乏对复杂领域的培训Examples-InternalControlBreakdowns

内部控制缺陷举例第30页，共37页。30FrameworkfortheEvaluationofInternalControls

内部控制评估框架Purpose:Usebybankregulatorsinevaluatinginternalcontrolsystems

目的：供监管者在评估银行内部控制体系时使用Consistsofthirteengeneralprinciplesapplicabletoallbankinginstitutions

包括13条总则，适用于所有银行机构第31页，共37页。31ThirteenPrinciples

13条原则ManagementOversight管理层监控1-Board-Approvesstrategies,policiesandriskappetite

董事会批准公司的经营战略、方针和风险偏好2-Seniormanagement-Implementsboardstrategiesandpolicies

高级管理层—执行董事会的战略决策和方针3-BoardandSeniorManagement-Promotehighethicalstandards

董事会和高级管理层—推动公司道德水平的提高第32页，共37页。32RiskRecognitionAssessment风险识别评估4-SeniorManagement-Identifiesandevaluatesriskfactors

高级管理层—识别并评估风险因素

ControlActivitiesandSegregationofDuties

控制措施与职责分工5-ControlActivities-Integralpartofdailyactivitiesofinstitution

控制措施—公司日常经营中不可或缺6-SeniorManagement-Ensuresappropriatesegregationofduties

高级管理层—确保合理的职责分工ThirteenPrinciples

13条原则第33页，共37页。33InformationandCommunications信息交流与沟通7-SeniorManagement-Evaluatesadequateandcomprehensivedata

高级管理层—对公司情况进行全面评估8-SeniorManagement-Provideseffectivechannelsofcommunicationforrelevantinformationconcerningsignificantactivities

高级管理层—为重要信息提供有效