国内银行内控与合规对5100万元银行金库失窃案的思考•2007年4月14日,邯郸农行发现金库资金被盗,总额高达5129万元,涉案主犯马向景、任晓峰均为该行金库管理员。•此案中的盗窃方式可谓没有任何“技术含量”。据公安部门称,监控录像显示,4月14日中午12时许,任晓峰驾驶一辆银灰色面包车停靠在银行一楼楼梯入口处,先后5次进入金库手提现金保管箱出来,共提出5个箱子放在面包车上。期间,马向景也进入金库一次,出来时身背一现金包裹。•案发后,邯郸农行并没有立即报案,邯郸市公安局接到报案的时间赶到现场进行调查已经是45小时后。而发现金库被盗的导火索竟是两人第二天没有上班。•两个犯罪人竟然用4300万元购买了体育彩票。此二人案发前就有买彩票的习惯,而且数目不小。•据称,农业银行有严格的金库管理制度,银行金库的帐目需每周一查,此外还有不定期抽查,抽查时间间隔最多不超过10天,抽查时需行长或副行长、会计、出纳、保安四方在场,且抽查是在不通知金库管理员的情况下进行的。银行的监控录像必须每周调出来查看,要查看银行重点位置每天的情况。但实际上,从4月1日任晓峰与马向景就开始作案起,至4月14日潜逃,整整14天的时间银行竟没有发现任何异常。•此案的发生让人们不禁拷问银行内部控制是否规范,如何在进行。Contents商业银行内部控制与经营安全1商业银行内部控制体系的主要内容基层行风险表现和内部控制管理重点基层行柜面业务风险控制234一、商业银行内部控制与经营安全•一般释义:内部控制是一个管理范畴的概念,是一个机构内部为达到一定的经营目的,通过有效的制度、方法和程序,对各部门、各类人员、各种业务进行的动态管理活动。•国外释义:内部控制结构是为确保机构目标得以实现所建立的一套政策和程序。其内容包括控制环境(controlenvironment)、会计(accountingsystem)、控制程序(controlprocedures)——美国注册会计师协会•我国释义:商业银行内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。——银监会2007年施行的《商业银行内部控制指引》1.什么是商业银行内部控制2.商业银行内部控制的基本理论内部牵制理论(InternalCheck)基本思想是两个人或两个以上行为主体同时犯错的可能性小于单一主体;两个人或两个人以上共同舞弊的难度远大于一个人。内部控制制度理论(InternalControlSystem)是企业所制定的旨在保护资产、保证会计资料可靠性和准确性,提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。内部控制结构理论(InternalControlStructure)企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。内部控制基本理论¤控制环境¤原则l:董事会应当负责批准并定期审查整体经营战略和银行的重大政策;理解银行经营的主要风险,确定这些风险的可接受水平,保证高级管理层采取必要步骤,识别、衡量、评审和控制风险,并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面,董事会负有最终的责任。¤原则2:高级管理层负责执行由董事会批准的策略和政策,维护一种组织结构,能够明确责任、授权和报告的关系;确保所委派的责任能有效地执行;确定适当的内控政策:并监督评审内控系统的充分性和有效性。¤原则3:董事会和高级管理层负责促进在道德和完整性方面的高标准,在机构中建立一种文化,在各级人员中强调和说明内控的重要性。银行机构中的所有人员都需要理解他们在内控程序中的作用、并在程序中充分发挥他们的作用。巴塞尔委员会关于商业银行内部控制评估理论(1)1998年1月,巴塞尔委员会在吸收各成员国家经验及其以前出版物所确定的原则的基础上,参照内部控制理论,针对银行失败的教训,颁布了一份旨在适用于银行一切表内表外业务的《内部控制系统评估框架》(征求意见稿),它描述了一个健全的内部控制系统及其基本构成要素,提出了13条原则。巴塞尔委员会关于商业银行内部控制评估理论(2)¤风险评估¤原则4:有效的内控系统需要识别和不断地评估有可能对达到银行目的起负影响的有关风险。这种评估应包括银行和银行组织集团所面对的全部风险(即信贷风险、国家和转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险),需要不时调整内控,以便恰当地处理任何风险。¤控制活动¤原则5:控制活动应当是银行日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构,明确规定各经营级别的控制活动,这些活动应当包括高层审查;对不同部门或处室的活动的适当控制;检查对敞口限额的遵从情况;对违规经营的跟踪及处理情况;批准和授权制度;查证核实与对账制度。¤原则6:有效的内控系统需要适当分离职责;人员的安排不能发生责任冲突。要识别和尽力缩小有潜在利益冲突的地方,并遵从谨慎和独立的监督评审。巴塞尔委员会关于商业银行内部控制评估理论(3)¤信息与交流¤原则7:一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据,以及关于外部市场中与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获,并能以前后一致的形式规范地提供使用。¤原则8:有效的内控需要建立可靠的信息系统,涵盖银行的全部重要活动。这些系统,包括那些以某种电子形式存储和使用数据的系统,都必须受到安全保护和独立的监督评审,并通过对突发事件的充分安排加以支持。¤原则9:有效的内控系统需要有效的交流渠道,确保所有员工充分理解和坚持各项政策和程序,行使他们的职责,并确保其它的相关信息传达到应被传达到的人员。巴塞尔委员会关于商业银行内部控制评估理论(4)¤监督评审纠正¤原则10:应当不断地在日常工作中监督评审银行内控的总体效果。对主要风险的监督评审应当是银行日常活动的一部分,并且各级经营层和内部审计人员应当定期予以评价。¤原则11:内控系统应当进行有效和全面的内部审计。内部审计要独立地进行,应有通过适合的培训和得力的人员进行。内审作为内控系统监督评审的一部分,应当向董事会或其审计委员会直接报告工作,并向高级管理层直接报告。¤原则12:不论是经营层或是其它控制人员发现了内控的缺点都应当及时地向适当的管理层报告,并使其得到果断处理。应当把有关内控的缺陷报告给高级管理层和董事会。¤原则13:监管人员应当要求所有的银行,不论其规模如何,都具有有效的内控系统,而且其内控系统符合他们的表内外活动的性质、复杂性和内在的风险;内控制度应当随着银行所处环境和条件的改变而得到调整。我国商业银行内部控制理论为了促进我国商业银行建立和健全内部控制的体系,防范金融风险,保障银行体系安全稳健运行,中国人民银行制定了《商业银行内部控制指引》,中国人民银行公告(2002第19号)于2002年9月7日公布施行。2006年底,银监会又进一步重申了这一控制指引。内控指引内部控制的目标商业银行内部控制的含义内部控制的原则内部控制应包含的要素内部控制机制和系统内部控制的内容3.商业银行内部控制的目标与原则(1)内部控制的目标商业银行的内部控制应当与商业银行的经营规模、业务范围和风险特点相适应,以合理的成本实现内部控制的目标。1.确保国家法律规定和商业银行内部规章制度的贯彻执行。2.确保商业银行发展战略和经营目标的全面实施和充分实现。3.确保风险管理体系的有效性。4.确保业务记录、财务信息和其他管理信息的及时、真实和完整。(2)商业银行内部控制的基本原则•商业银行内部控制应当贯彻全面、审慎、有效、独立的原则,包括:•1.全面性。内部控制应当渗透商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查。•2.审慎性。内部控制应当以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求。•3.有效性。内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够得到及时反馈和纠正。•4.独立性。内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。4.银行内部控制缺陷与银行危机的发生•根据国际货币基金组织的统计,自1980年以来,几乎占国际货币基金组织3/4的成员国,大约130多个国家,都经历了银行业的严重问题。•国际商业信贷银行(BCCI)倒闭案——1991年7月,巴基斯坦银行家阿贝迪创于1972年的国际商业信贷银行(BCCI),由于长期隐瞒巨额借贷及金融交易亏损,并故意贷出无收回之望的贷款,英格兰银行宣布停止其在英国的2家银行的营业并冻结其资产。随后,美国、日本、德国、西班牙等国相继关闭了其在本国的机构,冻结资产200亿美元,导致其世界性清盘。•巴林银行倒闭案——1995年2月,具有233年悠久历史、业务遍布5大洲、因管理着英国皇家巨额财产与投资,而被称为“女皇的银行”——巴林银行,因其新加坡分行日经指数期货投资失败,损失14亿美元,超过巴林银行8.6亿美元的资产及储备规模而宣告倒闭。•东南亚金融(银行)危机——1997年爆发了以泰国为首的东南亚国家以货币危机为主要特征的金融动荡。股市、信贷、投资以及整个经济全面的衰退,并继而波波及到日本、韩国、中国香港和台湾以及欧美等国家,造成国际金融市场剧烈动荡。•2008年1月20日法国兴业银行宣布:因交易员凯维埃尔违规操作损失49亿元,远远超过1995年巴林银行的损失。国内近年来多起银行大案触目惊心•2001年10月高达40亿元资金被中国银行广东开平分行前后三任行长——许超凡、余爱东、许国俊盗用,涉案金额巨大,为建国以来所未有;•2003年7月,原华夏银行总行营业部月坛北京办事处主任李慧鸣,从1995年到1997年非法吸收储户3.4亿元存款不入银行账,而后又转手贷给他人,致使华夏银行遭受2亿多元的损失;•2005年初,中国银行哈尔滨河松街支行行长高山利用帐外经营并通过地下钱庄而把超过10亿元的资金席卷出境,不是因为车祸在加拿大被人发现,高山几乎成功地人间蒸发;•2005年2月,建设银行吉林省分行原营业部所辖的朝阳支行、铁路支行的金融诈骗案告破,涉案金额为3.2亿元;•2006年3月14日,中国银行双鸭山四马路支行原行长胡伟东、原副行长王林五人,未经任何审批程序,先后开具空白银行承兑汇票45张,在没有足够保证金的情况下,在山东四家银行陆续将汇票贴现,票面金额合计4.325亿元;•2007年4月14日,邯郸农行金库管理员马向景、任晓峰监守自盗,窃取金库资金总额高达5129万元,用于福利彩票德购买;•先后落马的四位副部级金融高官:金德琴、朱小华、王雪冰、张恩照等。银行内部控制缺陷与银行危机的发生5.内部控制与银行风险管理的内在关系进入21世纪,安然、世通和施乐等世界知名大公司的一系列财务丑闻,给广大投资者带来了严重的打击,同时也暴露了企业内部控制存在的问题。各国理论界和实务界认为当前的内部控制框架有一定的局限性,如对风险的强调不够,使得内部控制无法与企业的风险管理相结合。一时间,企业的风险管理成为人们关注的焦点,也作为企业战略管理中的核心登上了公司治理的舞台。2004年10月份COSO(CommitteeOfSponsoringOrganizationsOfTheTread-wayCommission)发布的《企业风险管理——整合框架》是在1992年报告的基础上,结合《萨班斯——奥克斯法案》的相关要求进行扩展研究得到的。该框架强化了风险管理,涵盖了原有内部控制的合理内容。•内部控制是社会经济发展到一定阶段的产物,其内容随着企业对外满足社会需要、对内强化管理而不断丰富和发展。不断完善内部控制制度,对于防范舞弊,减少损失,提高资本的获利能力,保障各项资产安全、完整具有积极的意义。•COSO认为,内部控制是风险管理的一部分,企业风险管理框架是在内部控制整体架构基