讲义安徽省银行业金融机构高级管理人员培训邓道才安徽大学经济学院金融系商业银行内部控制构建与评价商业银行内部控制构建与评价问题:什么是内部控制?为什么要进行内部控制?如何进行内部控制?内部控制有效性如何?商业银行内部控制构建与评价一、商业银行内部控制的历史演变和内涵二、商业银行内部控制构建的必要性、目标和原则三、商业银行内部控制的基本要素、缺陷及构建思路四、商业银行内部控制评价一、商业银行内部控制的历史演变和内涵(一)商业银行内部控制的历史演变(二)商业银行内部控制的内涵(三)对商业银行内部控制的认识误区(一)商业银行内部控制的历史演变1、内部控制理论的发展2、我国商业银行内部控制的发展(三个重要文件和四个阶段)1、内部控制理论的发展内部控制理论的发展经历了以下几个阶段(1)20世纪40年代之前的内部牵制(2)20世纪40-70年代的内部控制制度(3)20世纪70-90年代的内部控制结构(4)20世纪90年代以来的内部控制整体框架《内部控制的整体框架》(COSO报告)最新和最具里程碑意义的是20世纪90年代的《内部控制的整体框架》(COSO报告)。报告认为,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法律的遵循等目标的达成而提供合理保证的过程。具体内容包括:控制环境、风险评估、控制活动、信息和沟通、监督与审查等要素。COSO报告赋予内部控制新的内涵(1)明确组织中的每一个人对内部控制负有责任(2)强调内部控制应该与企业的经营管理过程相结合(3)强调内部控制是一个“动态过程”(4)强调“人”的重要性(5)强调“软控制”的作用(6)强调风险意识(7)糅合了管理与控制的界限(8)强调了内部控制的分类及目标(9)内部控制只能做到“合理”保证(10)坚持成本与效益原则2、我国商业银行内部控制的发展(三个重要文件)1997年5月16日,中国人民银行颁布的《加强金融机构内部控制指导原则》2002年9月7日,中国人民银行公布的《商业银行内部控制指引》2004年12月25日,中国银监会公布的《商业银行内部控制评价试行办法》2、我国商业银行内部控制的发展(四个阶段)(1)1984-1997年,探索起步阶段(2)1998-2001年,初步构建阶段(3)2002-2004年,快速发展阶段(4)2005年以来,巩固完善阶段(二)商业银行内部控制的内涵1、内部控制是金融机构的一种自律行为,是金融机构为完成既定的工作目标和防范风险,对内部各职能部门及其工作人员从事的业务活动进行风险控制、制度管理和相互制约的方法、措施和程序的总称。2、内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。(二)商业银行内部控制的内涵3、商业银行内部控制体系是商业银行为实现经营管理目标,通过制定并实施系统化的政策、程序和方案,对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。(三)对商业银行内部控制的认识误区内部控制与公司治理内部控制与内控制度内部控制与内部审计内部控制与全面风险管理二、商业银行内部控制构建的必要性、目标和原则(一)商业银行内部控制构建的必要性(二)商业银行内部控制的目标(三)商业银行内部控制的原则(一)商业银行内部控制构建的必要性1、是商业银行合规性经营、提高风险管理水平、提升竞争力、全面实施和充分实现发展战略和经营目标的需要;2、是商业银行满足股东财富最大化的需要;3、是提高金融监管有效性的需要;4、是保护金融消费者权益、更好地满足金融消费者需求的需要。(二)商业银行内部控制的目标1、确保国家法律规定和商业银行内部规章制度的贯彻执行;(合规性目标)2、确保风险管理体系的有效性;确保商业银行发展战略和经营目标的全面实施和充分实现;(运作性目标或业绩性目标)3、确保业务记录、财务信息和其他管理信息的及时、真实和完整。(信息性目标)(三)商业银行内部控制的原则1、全面性。内部控制应当渗透到商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查。2、审慎性:内部控制应当以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求。3、有效性:内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够得到及时反馈和纠正。4、独立性。内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。三、商业银行内部控制的基本要素、缺陷及构建思路(一)商业银行内部控制的基本要素(二)有问题银行内部控制存在的缺陷(三)商业银行内部控制失效案例分析(四)商业银行内部控制构建思路(一)商业银行内部控制的基本要素1、内部控制环境2、风险识别与评估3、内部控制措施4、信息交流与反馈5、监督评价与纠正商业银行内部控制基本要素之间的关系内部控制环境为基础风险识别与评估为前提内部控制措施为核心信息交流与反馈为支撑监督评价与纠正为保障(二)有问题银行内部控制存在的缺陷1、管理层监督力度不够,责任不清,内控文化缺乏或松弛2、风险识别和评估体系不健全,对有些银行业务风险未能充分认定和评估3、关键性的控制结构与措施不落实或未能建立4、银行的各级管理层次之间信息交流不充分,尤其是问题上报不充分5、内部控制监督不充分甚至无效(三)商业银行内部控制失效案例分析1、自2003年3月至2006年1月,中国银行黑龙江分行双鸭山四马路支行银行前行长胡伟东等人伙同集贤县富强粮油贸易有限公司董事长兼总经理朱德全先后以各种名义,从中行黑龙江双鸭山分行四马路支行开出承兑汇票96张,滚动金额达9.146亿元,其中56张贴现后、兑付期之前以现金偿还;案发之际,未偿金额达4.325亿元。中行四马路支行内部控制主要存在的缺陷(1)内部控制规章制度执行不力,有章不循,重要空白凭证管理制度失控,上级行对作废的汇票处理监督不力;(2)内控文化缺乏或松弛,从业人员法律意识和风险意识淡薄,监督约束乏力,尤其是缺乏对基层行负责人的有效监督制约;(3)内部业务控制系统整体瘫痪;(4)贴现行在风险控制和业务操作流程等方面存在疏漏,失去警觉。(三)商业银行内部控制失效案例分析2、常州某银行两名银行职员利用自己在银行工作的身份和经验,盗取客户身份证、收入证明等申办信用卡的全套资料后,将网撒向了中行、建行、交行等多家银行,骗取8张信用卡。他们利用信用卡购买了液晶电视、数码相机等高档消费品,恶意透支总额达17万余元。(四)商业银行内部控制构建思路1、完善内控体系建设规划,明确内部控制体系的总体要求和目标2、营造良好的内控环境,着力培育和普及内控文化3、健全内部控制措施,形成内控长效机制4、完善风险管理体系,切实提高风险管理能力5、建立有效的信息交流与沟通系统,提高内部控制的效率6、建立独立的、权威的内控监督评价与纠正体系,提高内控管理水平基层商业银行内部控制的难点和重点难点:(1)缺乏有影响力的内控文化,员工内控意识难以增强;(2)感情代替制度,有章不循、违规操作现象难以遏止;(3)人员少,岗位交流轮换难以大范围持续进行;(4)惧怕处罚,发生的问题难以及时上报或知情不报。重点是:(1)营造良好的内控环境,着力培育和普及内控文化,树立“内控优先”的风险意识;(2)健全内部控制措施,加大内控制度执行及岗位交流轮换的力度,形成内控长效机制;(3)建立有效的信息交流与沟通系统,及时报告和改进内部控制存在的问题,以提高内部控制的有效性。四、商业银行内部控制评价问题:什么是内部控制评价?为什么进行评价?谁来进行评价?评价什么?如何评价?四、商业银行内部控制评价(一)内部控制评价的内涵(二)内部控制评价的目标和原则(三)内部控制评价的内容(四)内部控制评价的程序和方法(五)内部控制评价的评分标准和等级评定(六)银监会根据被评价机构的内部控制体系状况采取的监管措施(一)商业银行内部控制评价的内涵商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。内部控制评价与风险评级区别商业银行风险评级是针对商业银行经营要素的综合评价,包括资本充足、资产安全、管理、盈利、流动性和市场风险敏感性等状况评价以及在此基础上加权汇总后的总体评价,而内部控制评价是针对管理活动、业务活动等的单项评价。(二)商业银行内部控制评价的目标和原则目标:五个促进1、促进商业银行严格遵守国家法律法规、银监会的监管要求和审慎经营原则。2、促进商业银行提高风险管理水平,保证其发展战略和经营目标的实现。3、促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。(二)商业银行内部控制评价的目标和原则4、促进商业银行各级管理者和员工强化内部控制意识,严格贯彻落实各项控制措施,确保内部控制体系得到有效运行。5、促进商业银行在出现业务创新、机构重组及新设等重大变化时,及时有效地评估和控制可能出现的风险。(二)商业银行内部控制评价的目标和原则原则:六性原则1、全面性原则2、统一性原则3、独立性原则4、公正性原则5、重要性原则6、及时性原则(三)商业银行内部控制评价的内容1、内部控制环境评价2、风险识别与评估评价3、内部控制措施评价4、监督与纠正评价5、信息交流与反馈评价1、内部控制环境评价商业银行公司治理董事会、监事会和高级管理层责任内部控制政策内部控制目标组织结构企业文化人力资源2、风险识别与评估评价经营管理活动风险识别与评估法律法规、监管要求和其他要求的识别内部控制方案3、内部控制措施评价运行控制计算机系统环境下的控制应急准备与处置4、监督与纠正评价内部控制绩效监测违规、险情、事故处置和纠正及预防措施内部控制体系评价管理评审持续改进商业银行持续提高内部控制体系有效性的措施商业银行首先应有持续改进的意识,其次可利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等多种活动提供的信息来识别和确定需改进的项目,并通过计划---执行---检查---改进等循环以持续改进提高内部控制体系的有效性。5、信息交流与反馈评价信息交流与沟通内部控制体系对文件的要求文件控制记录控制(四)商业银行内部控制评价程序和方法1、评价准备组成评价组、制订评价实施方案、准备必要的工作文件、与被评价机构建立初步联系2、评价实施了解内部控制体系(通过询问、查阅、观察、流程图等方法)、实施测试和分析(采取符合性测试和指标分析等方法)3、评价报告形成4、评价反馈商业银行内部控制评价的常用方法和技术1、询问法(1)调查问卷(2)现场访谈2、书面文档检查3、观察4、流程图法5、抽样方法6、穿行测试法7、证据检查法8、压力测试法9、分析性复核(五)商业银行内部控制评价的评分标准和等级评定1、评分标准过程评价、结果评价、综合评价2、评级标准在综合评价总分的基础上确定被评价机构的内部控制体系评价等级(五级)结果评价(1)资本利润率(2)资产利润率(3)收入成本比(4)大额风险集中度指标(5)关联方交易指标(6)资产质量指标(7)不良贷款拨备覆盖率(8)资本充足指标(9)流动性指标(10)案件损失指标(六)银监会根据被评价机构的内部控制体系状况采取的监管措施1、约见被评价机构第一负责人或董事长。2、就评价对象内部控制体系存在问题可能引发的风险,向被评价机构进行提示和警告。3、要求被评价机构对内部控制体系存在的问题限期整改。4、加大现场检查力度及频率。5、建议调整管理层。6、取消有关