商业银行内部控制、合规风险管理

1自我介绍2商业银行内部控制、合规风险管理庄海2011年6月3一、商业银行内部控制概述内部控制的产生与发展1内部控制的定义内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。－－引自中国人民银行2002年9月7日公布施行的《商业银行内部控制指引》定义内部控制的产生与发展（国外）◆1985美国会计舞弊遏制成立反财务舞弊委员会（Treadway委员会）提出解决方案，强调了内部控制的重要性◆Treadway委员会的五个发起组织：AICPA（美国公共注册会计师协会）、AAA（美国会计协会）、FEI国际财务管理人员协会、IIA（内部审计师协会）、NAA（国际会计协会）联合成立COSO委员会；◆1992COSO发布了内部控制纲领性文件《内部控制—整体框架》、94年出修订版，得到US联邦储备委员会、证券交易委员会、巴塞尔委员会等的认可，在世界范围内产生广泛影响；◆2001美国世通、安然等公司财务舞弊，导致《萨班斯》法通过，其中SOX404条款采用COSO内部控制框架，明确CEO\CFO对内部控制承担经济与刑事责任；◆2004COSO公布了《企业全面风险管理框架》，将内部控制体系发展为全面风险管理体系。内部控制的产生与发展（国内）◆1997.5央行颁布《加强金融机构内部控制的指导原则》◆2002.9央行以巴塞尔委员会《银行业组织内部控制体系框架》为架构，制定了《商业银行内部控制指引》◆2004.11银监会发布了《商业银行内控评价试行办法》◆2007.7银监会发布了修订的《商业银行内部控制指引》对银行的内部控制提出了明确的要求。【商业银行内部控制评价办法】（以下简称办法）2004年中国银行业监督管理委员会发布的九号令－－－是商业银行建立和评价内部控制体系的导向和指挥棒。该《办法》与此前人民银行颁布的《指引》为商业银行构建内部控制体系搭建了框架2007年7月，中国银监会正式发布《商业银行内部控制指引》，并将其和2005年2月同是银监会发布的《商业银行内部控制评价试行办法》作为中国银监会及其派出机构对商业银行内部控制评价的依据标准，由此得出的内部控制评价结果是商业银行风险评估的重要内容，也是市场准入管理的重要依据。从整体上看，《指引》共有十章，具体内容可以分为四部分：◆总则和内部控制的基本要求，从宏观层面把握内控；◆授信的内部控制到中间业务的内部控制，从业务层面较为详细的介绍内控；◆会计的内部控制到内部控制的监督与纠正，从执行和监督的角度说明内控；◆附则，说明了《指引》的适用范围和重要作用。《商业银行内部控制指引》的解读《指引》的解读1、内部控制的系统和整体观•《指引》从系统和整体的角度对内部控制进行定义：内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。在该定义中，动态过程和机制是强调的重点。为了保证对内控进行事后的监督和纠正，不断强化大众对内控动态过程的理解。•2006年,中海集团发生将近25亿人民币的银行短期贷款违规进行股市投资的事件,2007年4月，在公司董事长牵头成立风险管理委员会。不久后，再次发生中海韩国公司财务负责人李克江抽逃资金4000万美元(约合人民币3亿元)的特大舞弊案件。•这说明在用短期贷款违规投资事件后,中海依旧没真正清查和重视内控制度的执行，监督以及反馈机制，仅仅是在事后补救相关缺陷。这种把内部控制等同于各项规章制度的认识，并没有真正理解内部控制的内在含义，忽视了内部控制是一种机制，是一种业务运作过程中的动态控制。《指引》的解读2、务实的内部控制目标•“确保商业银行发展战略和经营目标的全面实施和充分实现”是内部控制的宏观目标，商业银行的发展战略和经营目标是根据自身的实际和现实经济状况而制定的在一定时期内能够达到的目标，它必须切实可行，有针对性，内部控制则是实现这一目标的基础，为这一目标服务。“确保风险管理体系的有效性”强调了内控的执行有效性。将其放入商业银行内部控制的目标，体现了《指引》对该问题的重视。•银行等金融行业的业务流程是先向公众借款，其后将募集的资金投资于高风险领域以获得回报。由于金额之大，涉及人群之多，一旦发生巨额亏损，不仅会给金融机构本身带来毁灭性的打击，也会影响社会稳定，危及国家的金融安全。行业的特性决定了内部控制的相关措施必须得到有力执行，利用内部控制降低风险在该《指引》中得到了有力的体现。《指引》的解读3、三道防线，四项原则，五个要素。•三道防线具体指内部控制定义中：事前防范、事中控制、事后监督和纠正。•四项原则分别是：全面、审慎、有效、独立。•五个要素为：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。•内部控制五要素主要参照巴塞尔银行监管委员会发布的《商业银行内部控制制度框架》。其中，内部控制环境还强调了“商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任”，以及“培育良好的企业精神和内部控制文化”的必要性。4．对信息系统内部控制的强调•《指引》特别强调计算机信息系统的内部控制。最终目的之一就是确保业务记录、财务信息和其他管理信息的及时、真实和完整。这是内部控制的微观目标。达到这一目标，可以有效地防止差错，减少错误和失误，从而为实现宏观目标提供保障。•总的来说，《指引》从宏观到微观，从理论概念到操作规则全面说明了内部控制对商业银行的重要作用，以及结合商业银行特点强调内部控制的具体要求。但在现阶段，内部控制理解的偏差等原因常常导致了《指引》执行的困难。内部控制的目标与经济价值2•1995年，运营了100多年，号称“皇家银行”的英国巴林银行因交易员里森导致14亿美元的巨亏而宣告破产；•2008年1月，发生的法国兴业银行71亿美元舞弊巨亏案中，正是因为一名精通电脑名叫JeromeKerviel(热罗姆·凯维埃尔)的交易员冲破银行信息系统内部层层监控进行非法交易造成的。•秦山核电一颗螺帽的故事内部控制的目标“确保商业银行发展战略和经营目标的全面实施和充分实现”是内部控制的宏观目标。三大微观目标：1、经营的效率与效果（经营目标）2、财务报告的可靠、完整与及时性（信息目标）3、经营活动符合现行法律、法规的要求（遵循性目标）内部控制的经济价值•前面几个案例可以得出从维护与促进价值创造这一根本功能来看，内部控制与风险管理的目标是一致的；•作为经营货币的企业，商业银行高负债运营的特性注定了商业银行所具有的操作风险本质，因此具备较强的操作风险防范和控制能力就成为商业银行长期持续健康发展的前提；•而“操作风险控制和防范”正是内部控制要解决的问题。二、商业银行内部控制要素商业银行内部控制系统1商业银行内部控制是一个系统它具有系统的基本特征：由若干部分组成；各部分之间，部分和整体、整体和更大的整体或环境之间，存在着相互联系和相互作用；有明确的目标，具有特定的功能。内部控制的五大要素2内部控制五大要素一、内部控制环境：◆员工品格与价值观◆公司经营风格◆员工素质与能力◆组织结构◆企业文化◆董事会与审计委员会◆授权体系◆人力资源政策内部控制五大要素二、风险识别与评估◆风险管理部门◆风险管理系统◆制度和程序先行◆内部控制评价内部控制五大要素三、内部控制措施◆岗位设置控制◆授权批准控制◆操作程序控制◆会计系统控制◆实物控制◆内部审计控制◆风险防范控制内部控制五大要素四、监督评价与纠正◆内部控制作为一个完整的系统，是一个“动态的过程”；◆再好的系统，也要通过“过程”的检验；◆任何一项制度，如果得不到有效的执行，还不如没有制度；◆情况是不断变化的，内部控制也要随不断变化的对象修正、完善，以保证有效的控制。内部控制五大要素五、信息交流与反馈◆报告制度◆信息反馈足够的信息与有效的交流和沟通是内部控制系统正常运行的关键，一个良好的信息系统有助于提高内部控制的效率和效果。如：情感沟通、操作性业务信息沟通、责任权利利益沟通、风险文化沟通、制度沟通、外部沟通等26三、商业银行合规管理■合规“合”:遵从、依从、遵守的意思“规”：法律、规章、制度、规定银监2006年的《商业银行合规风险管理指引》，将合规定义为：是商业银行的经营活动与法律、规则和准则相一致。☆国家颁布的法律法规如人民银行法、商业银行法、票据法、担保法、公司法、合同法、物权法、银行业监督管理法、劳动法、证券法等☆外部监管机构的规章制度如贷款通则、储蓄管理条例、三办法一指引、外汇管理规定、授信工作指引、内部控制评价试行办法、风险监管核心指标、市场风险管理指引、操作风险管理指引、反洗钱管理办法等☆行内的产品、业务流程规定，管理规定如个人存款、贷款、信用卡、电子银行产品、票据、等产品的规定，会计核算业务流程和劳动纪律等管理规定合规概念☆广义上还包括：企业的社会责任、伦理道德、职业操守等道德规范■合规风险是指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的行为准则（“合规法律、规则和准则”）而可能遭受监管处罚、重大财务损失、声誉损失或面临法律制裁的风险，更有甚者，会导致商业银行面临破产的风险。合规风险概念1、商业银行合规的特性：☆强制性☆劝诫性☆内部约束性2、合规风险的种类：按管理流程分☆非流程风险☆流程环节风险☆控制流程派生风险按是否知情分☆主动违规☆无知违规3、合规风险产生的原因：☆业绩压力☆监督滞后☆考核缺位☆问责乏力4、合规风险产生的后果☆法律制裁☆监管处罚☆财务损失☆声誉风险合规风险特性、种类及产生原因、后果合规风险管理目标与政策制定合规风险监测与识别合规风险评估合规风险应对合规风险信息处理报告内部控制管理合规风险管理合规风险管理合规风险管理环境后评价和持续改进合规风险管理体系结构图◆建设合规风险管理体系合规风险控制措施合规风险控制措施◆设置独立的合规组织架构1、董事会在合规方面的主要职责包括：☆负责监督银行的合规风险；☆批准银行的合规政策；☆审阅并评价合规政策及其执行情况；☆评估银行有效管理合规风险的情况。2、高级管理层的具体职责包括：☆制订合规政策、定期评价合规政策的执行状况，并将结果向董事会报告；☆如发现重大合规问题，管理层必须立即向董事会汇报。一、商业银行合规风险管理职责体系建设合规风险控制措施◆在董事会或有关委员会领导下设立独立的合规管理部门，同时直接向高级管理层如首席执行官负责。3、合规部门的主要职责包括：☆制定并执行风险为本的合规管理计划；☆持续关注法规的变化并及时向各有关同事传达，提供相关培训，确保各同事能准确理解并执行；☆对新产品、新业务和各项制度进行审查；☆对员工进行合规培训，并解答合规问题的咨询；☆建立合规风险预警制度；☆事后对银行各项已完成的业务进行抽样合规检查，以确保所做业务均按照监管机构的要求，严格执行。•合规部门的设立。如何设？•合规部门的组织结构模式。模式？•合规部门的层级管理。人员？合规风险控制措施二、商业银行合规风险管理组织体系建设•规章制度的建设•合规风险监测、识别与评估•合规风险检查、报告•合规风险的预警、整改•合规风险的考核、问责合规风险控制措施三、商业银行合规风险管理机制建设规章制度的建设•合规培训制度；•合规审核制度；•合规风险识别与评估制度；•合规检查制度；•员工基本合规要求制度；•合规人员管理制度等；合规风险控制措施三、商业银行合规风险管理机制建设合规风险监测、识别与评估（方法包括：流程分析法、情景模拟法、引导会议法、专家预测法、调查问卷法、符合性测试法）•负责监测、识别各机构、业务条线、客户、产品、员工中存在或潜在的合规风险以及风险的变化；•负责掌握收集内外部审计、稽核、监控等部门及监管部门发现的合规风险隐患和合规风险事件；•负责收集和整理本行所有的合规风险点并绘制合规风险列表；•负责评估违规风险发生后可能导致法律制裁、监管处罚、重大财务损失和声誉损失等损失的概率和损失的大小，以及对本行整体运营产生的影响程度；•负责评估各机构、各业务条线合规风险管理的状况和改进情况。