合规文化与内部控制(定稿)

内蒙古银监局国有处云坤宇2012年9月12日呼和浩特市合规文化与内部控制23大纲银监会监管文化与银行合规文化商业银行内部控制概述商业银行内部控制的难点建立内部控制体系及评价的作用与意义4本次研讨的相关文件银监会7个文件《商业银行内部控制评价试行办法》，《商业银行内部控制指引》，《商业银行合规风险管理指引》，《商业银行操作风险管理指引》，《商业银行市场风险管理指引》，《商业银行金融创新指引》，《商业银行授信工作尽职指引》；巴塞尔委员会《银行合规和合规部门》，《增强银行的公司治理》。财政部《企业内部控制规范》（征求意见稿）国资委《中央企业全面风险管理指引》5没有规矩不成方圆规矩一定的准则或习惯行为端正老实规画圆形的仪器；法则，成例矩画直角或方形的工具；法度，规则6一、银监会监管文化与银行合规文化监管理念监管目标与标准战略规划与远景核心价值观与职业道德规范7（一）“三管一提高”的监管理念管法人银行内控制度及其执行效果取决于法人，各类风险最终由法人承担管风险主要是围绕信用、市场和操作风险的识别、计量、监测和控制，不断改进监管的方法和手段，努力管控银行业风险，促使银行体系稳健经营管内控促进金融机构不断完善风险内控制度，改进内控水平和效果，提高风险管控能力提高透明度必须按照国际准则和要求，逐步提高信息披露质量，加强市场约束力度8《银监法》法定的监管目标促进银行业的合法、稳健运行，维护公众对银行业的信心保护银行业公平竞争，提高银行业竞争能力通过审慎有效的监管,保护广大存款人和消费者的利益通过审慎有效的监管,增进市场信心通过宣传教育工作和相关信息披露,增进公众对现代金融的了解努力减少金融犯罪，维护金融稳定（二）银监会的监管目标9（三）银监会六大良好监管标准1、促进金融稳定和金融创新共同发展2、努力提升我国银行业在国际金融业服务中的竞争力3、对各类监管设限要科学、合理,有所为,有所不为,减少一切不必要的限制4、鼓励公平竞争、反对无序竞争5、对监管者和被监管者都要实施严格、明确的问责制6、要高效、节约地使用一切监管资源10贷款分类充足拨备做实利润资本充足率达标监管四部曲财政部2001年《金融企业会计制度》2001《贷款风险分类指导原则》2004年《商业银行资本充足率管理办法》2002年出台《银行贷款损失准备计提指引》（四）银监会监管实践11是指银行的信贷分析和管理人员，或金融监管当局的检查人员，通过调阅信贷档案和相关文件材料等方式，获得与贷款相关的信息，在此基础上对影响贷款质量的财务和非财务信息进行分析判断，进而根据一定的标准和原则揭示贷款的风险程度，据此对贷款质量做出评价，并将贷款分为多个档次。贷款五级分类12参考：五级贷款损失程度示意图V贷款价值量(现值）P风险类别（损失程度）0%20%40%60%80%100%关注类次级类可疑类损失类10%损失区间（0,20%]准备金的拨备比例100%50%25%2%次级类关注类可疑类损失区间（20,90%]损失区间（90,100%]80%正常类13（五）商业银行合规文化《商业银行合规风险管理指引》第六条商业银行应加强合规文化建设，并将合规文化建设融入企业文化建设全过程。合规是商业银行所有员工的共同责任，并应从商业银行高层做起。董事会和高级管理层应确定合规的基调，确立全员主动合规、合规创造价值等合规理念，在全行推行诚信与正直的职业操守和价值观念，提高全体员工的合规意识，促进商业银行自身合规与外部监管的有效互动。14合规是指使商业银行的经营活动与法律、规则和准则相一致。合规风险是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。合规管理部门是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序的一致性。15工行合规文化建设在去年末工行发展战略研讨会上，姜董事长提出了“要把制度约束、技术控制、员工职业道德教育有机结合起来”的工作要求。《员工行为禁止规定》、《员工违规行为处理规定》、《员工行为守则》、《员工违规积分管理办法》共同构成了一套“正面有规范、反面有禁止、违反有处罚”的“三位一体”的员工行为规范管理体系，对员工的行为和操作进行了明确的规范，并通过计算机系统加强刚性硬约束和监测跟踪，确保员工不能、也不敢做违法违规的事。16二、商业银行内部控制概述商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。17（一）内部控制发展与评述第一阶段：内部牵制阶段时间：上世纪40年代前􀂄内容：以账目间的相互核对为主要内容并实施岗位分离􀂄思想：“安全是制衡的结果”第二阶段：内部控制制度阶段􀂄时间：上世纪40年代末至70年代􀂄内容：内部控制分为内部会计控制和内部管理控制（或称内部业务控制）两个部分􀂄思想：“安全是管理出来的”第三阶段：内部控制结构阶段􀂄时间：上世纪80年代至90年代早期􀂄内容：内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序，包括：控制环境、会计制度、控制程序􀂄思想：安全是设计出来的第四阶段：内部控制整体框架阶段􀂄时间：上世纪90年代后至今􀂄内容：内部控制是受组织决策层、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程，包括三大目标、五大要素。􀂄思想：安全是系统管理的结果18（二）商业银行内部控制的主要原则必须贯彻全面、审慎、有效、独立的原则内部控制应当渗透到商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查；内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正；内部控制的监督、评价部门应当独立内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。19（三）“控制”的管理学概念的解读“管理”：指导和控制组织的协调的活动。指导和控制的活动，通常包括建立方针和目标以及策划、控制、保证和改进。（摘自国际标准化组织对“管理”的定义）“控制”：使对象的水平处于一个可接收的状态。具备条件的企业可建立风险管理三道防线，即：（１）各有关职能部门和业务单位为第一道防线；（２）风险管理职能部门和董事会下设的风险管理委员会为第二道防线；（３）内部审计部门和董事会下设的审计委员会为第三道防线。（摘自《中央企业全面风险管理指引》第十条）４.有关“控制”的管理学概念的变化：由“委托方对代理方的监测”为主的“控制”转变为以下方面：（１）明确要求；（２）自我控制/评估；（３）报告（路线）；（４）监测与改进；（５）问责与激励。20（四）《内控评价办法》的核心条款内控评价办法第二条：商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。商业银行内部控制评价包括过程评价和结果评价。1、过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。2、结果评价是对内部控制主要目标实现程度的评价。内控评价办法第三条：商业银行内部控制体系是商业银行为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。内控评价办法第四条：商业银行应建立并保持系统、透明、文件化的内部控制体系，定期或当有关法律法规和其他经营环境发生重大变化时，对内部控制体系进行评审和改进。21（四）《内控评价办法》的核心条款内控评价办法第七条：商业银行内部控制评价的目标主要包括：1、促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。（合规性）2、促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现。（盈利性）3、促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。（信息披露）4、促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。（有效性）5、促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。内控评价办法第八条：内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行：1、过程和风险是否已被充分识别。（充分性）2、过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。（合规性）3、控制措施是否有效。（有效性）4、控制措施是否适宜。（适宜性）22（五）巴塞尔《银行合规和合规职能》的十大原则解读原则一：银行董事会负责监督银行的合规风险管理。董事会应该核准银行的合规政策，包括一份组建常设和有效的合规部门的正式文件。董事会或董事会下设的委员会应该每年至少一次评估银行有效管理合规风险的程度。原则二：银行高级管理层负责银行合规风险的有效管理。原则三：银行高级管理层负责制定和传达合规政策，确保该合规政策得以遵守，并就银行合规风险管理向董事会报告。原则四：作为银行合规政策的组成部分，高级管理层负责组建一个常设和有效的银行内部合规部门。原则五：独立性。银行的合规部门应该是独立的。原则六：资源。银行合规部门应该配备能有效履行职责的资源。原则七：合规部门职责。银行合规部门的职责应该是协助高级管理层有效管理银行面临的合规风险。银行合规部门的具体职责如下所述。如果其中的某些职责是由不同部门的职员履行，那么每个部门的职责应该界定清楚。原则八：与内部审计的关系。合规部门的工作范围和广度应受到内部审计部门的定期复查。原则九：跨境问题。银行应该遵守所有开展业务所在国家或地区的适用法律和监管规定，合规部门的组织方式和结构以及合规部门的职责应符合当地的法律和监管要求。原则十::外包。合规应被视为银行内部的一项核心风险管理活动。合规部门的具体工作可能被外包，但外包仍必须受到合规负责人的适当监督。23（六）有关风险管理体系的基本要素合规风险管理体系应包括的基本要素：（一）合规政策；（二）合规管理部门的组织结构和资源；（三）合规风险管理计划；（四）合规风险识别和管理流程；（五）合规培训与教育制度。摘自《商业银行合规风险管理指引》第八条操作风险管理体系至少应包括以下基本要素：（一）董事会的监督控制；（二）高级管理层的职责；（三）适当的组织架构；（四）操作风险管理政策、方法和程序；（五）计提操作风险所需资本的规定。摘自《商业银行操作风险管理指引》第五条市场风险管理体系包括如下基本要素：（一）董事会和高级管理层的有效监控；（二）完善的市场风险管理政策和程序；（三）完善的市场风险识别、计量、监测和控制程序；（四）完善的内部控制和独立的外部审计；（五）适当的市场风险资本分配机制。摘自《商业银行市场风险管理指引》第六条24（七）金融创新与风险管理、内部控制第四条金融创新金融创新是商业银行以客户为中心，以市场为导向是商业银行以客户为中心，以市场为导向,,不断提高自主创新能力和风不断提高自主创新能力和风险管理能力险管理能力,,有效提升核心竞争力，更好地满足金融消费者和投资者日益增长的需有效提升核心竞争力，更好地满足金融消费者和投资者日益增长的需求，实现可持续发展战略的重要组成部分。求，实现可持续发展战略的重要组成部分。第五条商业银行应充分认识到金融创新与风险管理密不可分，商业银行应充分认识到金融创新与风险管理密不可分，风险管理是金融创新的内风险管理是金融创新的内在要求，商业银行应采取有效措施及时识别、计量、监测、控制金融创新带来的新在要求，商业银行应采取有效措施及时识别、计量、监测、控制金融创新带来的新风险。第十条商业银行开展金融创新活动，应坚持合法合规的原则，遵守法律、行政法规和