商业银行内部控制机制建设与实施

1、软件 咨询 培训 数据库 Copyright DIB 2015Internal ControlRisk Management企业 金融 行政事业单位 中国领先的内部控制与风险管理解决方案提供商商业银行内部控制机制建设与实施商业银行内部控制机制建设与实施中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库第一部分第一部分 从大数据看商业银行内部控制现状从大数据看商业银行内部控制现状第二第二部分部

2、分 商业银行内部控制指引商业银行内部控制指引的理解的理解第三部分第三部分 商业银行内部控制建设规划商业银行内部控制建设规划第四部分第四部分 商业银行内部控制建设方法商业银行内部控制建设方法中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库第一部分第一部分 从从大数据看商业银行内部控制大数据看商业银行内部控制现状现状（一）案件数据统计分析（一）案件数据统计分析（二）披露数据统计分析（二）披露数据统计分析（三）专项数据统计分析（三）专项数据统计分析（四）商业银行内控痛点（四）商业银行内控痛点中国领先的内部控制与风险管理解

3、决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库（一）（一） 从案件数据从案件数据看商业银行内部控制现状看商业银行内部控制现状中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库案件数据采集和分析的背景案件数据采集和分析的背景迪博武汉风控研究院持续跟踪和研究近年来银行业案件从监管机构、公开渠道披露、金融机构以及金融案件信息采集专业机构等渠道收集、整理了银行的各类案件信息库。按照评估案件风险的“案件数量、涉案金额、被媒体披露情况”三项指标，通过建立案件分析框架和矩阵，对近

4、三年约500起在库案件从11个角度148个方面进行量化分析，再运用帕累托分析工具对采集到的2459个基础数据进行分类加工和排序，分析案件在地域、层级、渠道、涉案人岗位、业务部位（产品）、业务环节和监督环节等七个方面的分布状况。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库案件数据统计和分析案件数据统计和分析按案件发生地域进行聚类分析，发现： 案件在地域分布上比较分散；呈现出与区域金融生态环境息息相关的明显特征。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015

5、软件 咨询 培训 数据库案件数据统计和分析（续）案件数据统计和分析（续）按案件发生层级进行聚类分析，发现： 县级支行及营业网点（含城区科级支行及营业网点）是银行案件的主要区域，三年来发生案件占案件总数的84%；涉案金额占涉案总金额的80.16%。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库案件数据统计和分析（续）案件数据统计和分析（续）按案件在渠道上分布进行聚类分析，发现： 服务客户的主要渠道中，柜面服务渠道案件最为突出、其次为对公、对私营销服务渠道。等自助银行渠道和网上银行等电子银行渠道次之，但增长比率明显。

6、中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库案件数据统计和分析（续）案件数据统计和分析（续）按案件涉案人员岗位进行聚类分析，发现： 经办柜面业务的前台柜员、基层机构和营业网点负责人、客户经理、会计主管、二级分行负责人等是内控失效的高风险岗位。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库案件数据统计和分析（续）案件数据统计和分析（续）按案件涉及业务部位（产品线）进行聚类分析，发现： 涉案的200多个可售产品中，个人存款、单位存款、

7、单位贷款、支付结算、个人贷款等核心产品是内控失效的集中区域。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库案件数据统计和分析（续）案件数据统计和分析（续）按案件相关的控制流程进行聚类分析，发现： 柜员卡保管使用、开销户、内部账户管理、柜面现金收付、会计凭证管理、代客服务、重要单证管理、会计专用章管理等内控失效的高发流程。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库案件数据统计和分析（续）案件数据统计和分析（续）按案件相关监控检查失

8、效方式进行聚类分析，发现： 业务检查、岗位分离与制衡、实时监控与预警、稽核、对账、员工行为排查、录像监控、岗位轮换和交流等是案发时失效的监控检查方式。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库案件统计结论暴露出问题分析案件统计结论暴露出问题分析有章不循、违规操作，制度执行不力有章不循、违规操作，制度执行不力 样本案例中95%以上的案件均不同程度地存在有章不循、违章操作的问题。其中超过60%的案件是多个部位、岗位、环节连续或同时不严格执行制度。突出存在的共性问题包括：u“惯性疲劳”：长期在相同环境下程式化操作形

9、成管理疲劳和操作疲劳，自觉或不自觉地简化程序、放松标准，让违规行为通行；u“侥幸心理”：嫌麻烦图省事，抱着侥幸心理随意简化操作；u“盲从领导”：无原则地按照领导要求办理业务，既不抵制也不报告；u“自我安慰”：面对繁重的工作压力，过多强调客观原因，将违章操作视为“不得已而为之”；u“技能不足”：业务知识掌握不够，随意操作；u“资源紧张”：人员配备不到位或客观条件不具备，制度难以执行；u“贪欲失德”：少数人贪欲失德，以牺牲规章制度的严肃性换取个人私利；u“意识淡薄”：合规和风控意识淡薄，过度轻信他人。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2

10、015软件 咨询 培训 数据库案件统计结论暴露出问题分析（续案件统计结论暴露出问题分析（续) )监管管理效能不高监管管理效能不高 样本案例中涉案机构都设置了很多“关卡”，既有业务流程过程中的岗位分离与制衡、授权控制，又有后台的实时监控、录像监控、对账、稽核、多层次的业务检查、审计，还有起到综合监督效果的岗位轮换、强制休假、顶岗检查、行为排查等。但这些门槛存在不同程度的失效。具体表现为：案件发现途径分布案件发现途径分布作案时间分布作案时间分布中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库案件统计结论暴露出问题分析（

11、续案件统计结论暴露出问题分析（续) )“技防技防”能力有待提高，自动化控制比例较低能力有待提高，自动化控制比例较低-风险预警和实时监控能力较弱：业务系统和管理系统对可疑、异常交易活动的风险预警和实时监控能力比较有限，还无法从技术上阻止违规操作通过。专门的风控系统的功能应用不成熟。-业务系统的集中度需进一步提升：部分涉案机构业务系统还没有完全集中。分支机构维护部分中间业务、特色业务系统。-自动化控制水平较低：科技支持业务运行和服务的能力还比较有限，不少风险集中的业务环节还主要依赖手工操作。如，开户资料审核、客户身份识别、印鉴审核、账户核对乃至业务监测、监督检查等业务的自动化程度都还不高，这不仅影

12、响了业务处理的效率，还增加了风险环节。-存在信息“孤岛”：IT系统体系还很分散，以部门或条线为单位分割系统，业务需求缺乏有效整合，导致系统重复开发、功能重复、流程不衔接，数据重复采集，共享能力差，基层数据维护压力大，系统之间自动勾对能力有限。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库（二）（二） 从信息披露数据从信息披露数据看商业银行内部控制现状看商业银行内部控制现状中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库中国银行业上市公

13、司内部控制评价和审计情况中国银行业上市公司内部控制评价和审计情况u银行业16家上市公司的内部控制自我评价结论都是整体有效的；u会计师事务所为银行业16家上市公司出具的内部控制审计意见都是标准无保留的；u银行业16家上市公司未披露内部控制重大缺陷和重要缺陷。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库中国银行业上市公司内部控制水平中国银行业上市公司内部控制水平2013年中国上市公司内控评级2013年中国银行业上市公司内控评级中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright D

14、IB 2015软件 咨询 培训 数据库中美银行业上市公司内部控制水平对比中美银行业上市公司内部控制水平对比10年来中美上市公司内控无效数据对比10年来中美银行类上市公司内控无效数据对比中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库（三三） 从专项数据从专项数据看商业银行内部控制现状看商业银行内部控制现状中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库3. 您认为内部控制失效导致的经营失败可能会发生在贵行吗？【单选】1. 不会2. 会1

15、5-3国内银行样本12家，分别为：工行、中行、交行、招行、北京银行、兴业、民生、宁波银行、华夏、中信、浦发、南京银行3.1 3.1 关于中国银行业上市公司风险意识的调查数据关于中国银行业上市公司风险意识的调查数据中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库4. 您认为内部控制失效导致的经营失败可能会发生在其他银行吗？【单选】1. 不会2. 会15-43.1 3.1 关于中国银行业上市公司风险意识的调查数据（续）关于中国银行业上市公司风险意识的调查数据（续）中国领先的内部控制与风险管理解决方案提供商企业 金融 行

16、政事业单位 Copyright DIB 2015软件 咨询 培训 数据库3.2 3.2 内部审计发现问题统计数据内部审计发现问题统计数据以银行信贷业务的审计发现为例：按照缺陷的属性看，授信业务存在的问题多为遵循性缺陷，占全部问题的99%。属性属性个数个数占比占比遵循性1034399.47%合理性350.34%健全性140.13%有效性60.06%示例示例中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库3.2 3.2 内部审计发现问题统计数据（续）内部审计发现问题统计数据（续）以银行信贷业务的审计发现为例： 公司贷款

17、在贷前受理评价环节、审批环节、贷中发放环节、贷后管理环节均存在控制缺陷，贷后贷后管理管理环节尤为突出。 按照业务环节，授信业务分为贷前环节、贷中环节、贷后环节和其他环节。从业务环节看出，贷后管理环节的问题占比高达45%45%。示例示例中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库3.3 3.3 内部控制评价发现统计数据内部控制评价发现统计数据以银行存款业务的内控评价发现为例： 按照业务环节，存款业务的问题主要集中在存款账户开立、账户使用、存款账户开立、账户使用、存款核算及资金安全管理存款核算及资金安全管理、预留印

18、鉴及支付密码管理、账户变更和撤销等问题。 按照缺陷的属性看，评价发现的存款业务问题和缺陷中，遵循性缺陷占到了97%97%。示例示例中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库（四）（四） 总结商业银行总结商业银行内部内部控制存在的痛点控制存在的痛点中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库总结：商业银行内部控制的总结：商业银行内部控制的“痛点痛点”在哪里？在哪里？治理结构与组织机构治理结构与组织机构治理结构：在现有体制和股本结

19、构下，股东、董事长、董事会、行长、行长办公会、党委会等高管层之间的激励约束机制亟待优化。组织机构：部门银行特征明显，以任务为中心设立部门，关注各自活动，上司感觉，局部效率。“各自为政、流程重叠、制度不统一”。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库总结：商业银行内部控制的总结：商业银行内部控制的“痛点痛点”在哪里？在哪里？绩效考核与银行文化绩效考核与银行文化绩效考核：过分注重业绩指标和短期目标，忽视了管理的重要性和银行长治久安目标。银行文化：风险、内控天天讲，人人讲，但是没有成为银行文化的基因，停留在表面。

20、中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库总结：商业银行内部控制的总结：商业银行内部控制的“痛点痛点”在哪里？在哪里？制度程序与胜任能力制度程序与胜任能力制度程序：注重形式，缺乏系统性，可操作性。忽视实质性的战略、业务和管理模式的匹配性；忽视系统结构层面的问题，即流程/活动之间的跨机构、部门的界面/接口。胜任能力：注重制定制度，却不注重宣贯制度。能力和期望的不匹配。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库总结：商业银行内部

21、控制的总结：商业银行内部控制的“痛点痛点”在哪里？在哪里？控制设计与落地执行控制设计与落地执行控制设计：缺乏规范的风险评估，导致控制过度与控制不足并存。已有业务和管理系统中自动化控制比率过低。部分业务和管理活动仍然是线下作业，人为影响较大。落地执行：执行难！较多问题屡查屡犯、此查彼犯。“十案九违规”。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库总结：商业银行内部控制的总结：商业银行内部控制的“痛点痛点”在哪里？在哪里？日常监督与持续改进日常监督与持续改进日常监督：多种监督手段，各就各位，缺乏监督的整合机制。各类

22、监督专注与发现问题，而对问题的根本原因分析较少。形成了猫捉老鼠的现象。持续改进：未能将各类内、外部问题进行统一管理，缺乏避免类似问题发生的纠正措施和预防措施设计，导致重复检查、问题重复发生。管理层不断忙于救火。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库第第二二部分部分商业银行内部控制商业银行内部控制指引指引的理解的理解中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库银监会银监会20142014年年商业银行内部控制指引商业银行内部控

23、制指引内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。全文共七章五十一条。核心是4461：“确保四个目标”、“遵循四个原则”、“抓好六项落实”和“培育一种文化”。第二条第二条中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库银监会银监会20142014年年商业银行内部控制指引商业银行内部控制指引主要特点主要特点从银行内控“应该有什么”向“应该做怎么”的转变；推动商业银行从构建静态的控制制度、流程、手册向建立动态的内部控制管理机制转变；

24、减少对银行内控的事前的、规则层面监管，强化对商业银行内控的事中和事后监管。20142014年年1 1月月6 6日，银监会召开日，银监会召开20142014年全国银行业监管工作电视电话会议。会议明确了年全国银行业监管工作电视电话会议。会议明确了2014 2014 年银行年银行业监管工作重点第一项深入推进银行业改革开放，其第五点是大力推动监管改革，简政放权，还业监管工作重点第一项深入推进银行业改革开放，其第五点是大力推动监管改革，简政放权，还权于市场，让权于社会，放权于基层。权于市场，让权于社会，放权于基层。银行业金融机构能够管好的事项，监管就不要再管，把权银行业金融机构能够管好的事项，监管就不要

25、再管，把权力交给市场主体。力交给市场主体。新版指引的主要特点：新版指引的主要特点：体现原则导向体现原则导向, ,不涉及具体业务不涉及具体业务增加内控评价要求，促进持续改进增加内控评价要求，促进持续改进强化内部控制监督，推动落实强化内部控制监督，推动落实 增加监管处罚措施，强化监管约束增加监管处罚措施，强化监管约束 中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库商业银行内部控制指引商业银行内部控制指引与与企业内部控制基本规范企业内部控制基本规范的关系的关系对于已经在A股上市或计划上市的商业银行，在内控相关法规遵循时

26、，需要兼顾银监会新版内控指引与财政部、银监会等五部委发布的基本规范之间的不同要求。目标目标 保证合法合规 保证报告真实完整 保证资产安全资产安全 提高提高经营效率和效果 促进促进战略实现 保证合法合规 保证报告真实完整 保证保证风险管理风险管理有效性 保证保证战略和经营目标实现构成构成 内部环境内部环境 风险评估风险评估 控制活动控制活动 信息与沟通信息与沟通 内部监督内部监督 内控职责内控职责 控制措施控制措施 内控保障内控保障 内控评价内控评价 内控监督内控监督原则原则 全面性 重要性重要性 制衡性 适应性 成本效益成本效益 全覆盖全覆盖 制衡性 审慎性审慎性 相匹配相匹配定义定义 企业董

27、事会、监事会、经理层及全体员工实施的，旨在实现控制目标的过程 商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程系统化的制度、流程和方法和方法，实现控制目标的动态过程和机制动态过程和机制。第一、四、第一、四、五条五条中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库商业银行内部控制指引商业银行内部控制指引与与企业内部控制基本规范企业内部控制基本规范的关系的关系内控指引从内控过程和机制建设出发，但内控过程机制建设的结果仍可以归到基本规范所定义的五要素中。这两个文件的要求并不是对立的，而

28、是从不同的角度提出要求。内部控制保障内部控制保障1.1.信息系统信息系统建设建设3.3.信息沟通信息沟通机制机制4.4.业务连续业务连续性管理性管理5.5.人力资源人力资源政策政策2.2.信息安全信息安全6.6.绩效考评绩效考评7. 7. 内控文化内控文化内部控制评价内部控制评价1.1.内控评内控评价制度价制度3.3.内控评内控评价范围价范围4.4.内控评内控评价频率价频率5.5.内控缺内控缺陷管理陷管理2.2.内控评内控评价组织价组织6.6.评价质评价质量控制量控制7.7.评价结评价结果运用果运用8.8.内控评内控评价报告价报告内部控制监督内部控制监督1.1.内控监督职责内控监督职责3.3.

29、内控整改机制内控整改机制4.4.内控责任追究内控责任追究5.5.外部监管方式外部监管方式2.2.内控监督报告内控监督报告6.6.内控处罚机制内控处罚机制内部控制职责内部控制职责1.1.内控治理内控治理组织组织3.3.监事会内监事会内控职责控职责4. 4. 高管内控高管内控职责职责5.5.内控管理内控管理部门职责部门职责2.2.董事会内董事会内控职责控职责6.6.内审部内内审部内控职责控职责7.7.业务部门业务部门内控职责内控职责1.1.制度管理制度管理2.2.流程管理流程管理3.3.信息系统控制信息系统控制制度程序制度程序4.4.风险管理技术和方法风险管理技术和方法5.5.三新的风险评估三新的

30、风险评估风险评估风险评估6.6.组织机构组织机构8.8.不相容职务分离不相容职务分离9.9.重要岗位管理重要岗位管理10.10.员工行为监督和员工行为监督和排查排查7.7.授权体系授权体系组织、权组织、权限、人限、人11.11.会计准则制度会计准则制度12.12.核对、监控制度核对、监控制度13.13.外包管理制度外包管理制度14.14.客户投诉处理机制客户投诉处理机制方法方法内内部部控控制制措措施施内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨

31、询 培训 数据库商业银行内部控制体系建设总体思路商业银行内部控制体系建设总体思路依据企业内部控制基本规范、商业银行内部控制指引以及银监会发布的其他关于商业银行的法律法规和指引文件，大型商业银行可以选择基于外部合规和内部管理相结合的商业银行内部控制体系建设方案。3.13.1明确内部控明确内部控制定位制定位3.23.2制定内部控制定内部控制规划制规划3.33.3明确内部控明确内部控制组织制组织3.43.4搭建内部控搭建内部控制平台制平台3.53.5完善内部控完善内部控制措施制措施3.73.7开展内部控开展内部控制评价和监制评价和监督督3.63.6强化内部控制保障强化内部控制保障中国领先的内部控制与

32、风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库第三部分第三部分 商业银行内部控制建设规划商业银行内部控制建设规划中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库目目 录录3.1 明确内部控制定位-明确银行的发展阶段，确定内部控制定位和目标-基于内控成熟度模型，评估机构及业务层面内控现状3.13.1明确内部明确内部控制定位控制定位3.23.2制定内部制定内部控制规划控制规划3.33.3明确内部明确内部控制组织控制组织3.43.4搭建内部搭建内部控制平台控制

33、平台3.53.5完善内部完善内部控制措施控制措施3.73.7开展内部开展内部控制评价控制评价和监督和监督3.63.6强化内部控制保障强化内部控制保障中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库明确银行的发展阶段，确定内部控制定位和目标明确银行的发展阶段，确定内部控制定位和目标迪博“基于生命周期理论的企业内部控制发展模型” 在商业银行领域的使用：在原则监管的导向下，商业银行董事会及管理层需要根据自身发展阶段设计并运行合适的内控。41对各类监管法规、规范等高对各类监管法规、规范等高度敏感。内控的重点是建立度敏感。内

34、控的重点是建立外规内化的机制，并持续开外规内化的机制，并持续开展对标及合规检查。以合规、展对标及合规检查。以合规、报告和案防为内控工作重心。报告和案防为内控工作重心。合规型内控合规型内控建立期建立期聚焦合规，重视案件防聚焦合规，重视案件防控控对竞争加剧化、产品同质化对竞争加剧化、产品同质化及需求个性化等高度敏感。及需求个性化等高度敏感。内控的重点是评估产品、流内控的重点是评估产品、流程和岗位活动过程中风险，程和岗位活动过程中风险，建立适当的控制并持续执行。建立适当的控制并持续执行。以风险评估、监控预警、嵌以风险评估、监控预警、嵌入流程为内控工作重心。入流程为内控工作重心。管理型内控管理型内控发

35、展期发展期聚焦风险，重视风险管聚焦风险，重视风险管理理对核心资本覆盖、持续性盈对核心资本覆盖、持续性盈利能力及战略落地等高度敏利能力及战略落地等高度敏感。内控的重点是以数据分感。内控的重点是以数据分析、构建模型、资本规划等。析、构建模型、资本规划等。以风险计量、战略和经营效以风险计量、战略和经营效率和效果为内控工作重心。率和效果为内控工作重心。价值型内控价值型内控成熟期成熟期聚焦资本，重视价值创聚焦资本，重视价值创造造中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库基于内控成熟度模型，评估机构及业务层面内控现状基于

36、内控成熟度模型，评估机构及业务层面内控现状通过将各种风险以及各业务条线的风险整合起来进行控制，实现银行层面的风险组合管理和系统化控制。内控管理涵盖整个银行，包括战略和经营方面的所有类型的风险控制。内控管理职能部门独立在业务部门之外。被管理的风险仅局限在报告风险和合规风险等方面。大部分应对措施仅通过少数专家在某些主要风险领域实施 内控管理活动是无准备的，没有对管理方法和管理目标进行明确定义。内控管理融于决策制定的过程中。公司可以发挥其特殊的风险应用能力，有选择性的抓住机会。特点特点风险控制效果的计算可以被汇总将风险控制措施整合起来，成本最低化将风险控制与战略目标相连接详细的说明和记录；一定的可靠

37、性具有前瞻性各条线和部门的风险控制能力不一缺乏部门间的合作局限于报告、合规、案件等类别的风险控制成功与否取决于个人企业员工对风险无意识；被动的合规管理注重价值维持和创造制度化管理 能够根据管理记录精确的控制风险说明说明第4阶段整合级第3阶段全面级第2阶段专家级第1阶段个人级第5阶段战略级成熟度成熟度不存在内控管理能力，缺少任何清晰的流程。适用于新成立的银行濒临倒闭第0阶段原始级对银行与行业平均、国内外领先银行内控成熟度进行评估和分析，为下一步银行整体内控体系建立起到充分的准备作用。国际领先国际领先行业平均行业平均现有现有中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Cop

38、yright DIB 2015软件 咨询 培训 数据库基于内控成熟度模型，评估机构及业务层面内控现状基于内控成熟度模型，评估机构及业务层面内控现状对单位及对单位及业务的内控能力进行业务的内控能力进行评估评估对条线对条线/ /部门内控能力进行评估部门内控能力进行评估C直属支行D直属支行 E村镇银行A分行B分行个人业务公司存款公司贷款信用卡个人贷款业务条线与管理条线票据债券网上银行信息科技个人存款支付结算合约管理公司业务风险管理理财人力资源财务公司存款公司贷款信用卡个人贷款票据债券网上银行个人存款支付结算信息科技合约管理风险管理理财人力资源财务企业文化财务顾问个人业务公司业务贷款信息科技合约管理风

39、险管理理财人力资源财务示例示例I级II级III级IV级V级中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库基于内控成熟度模型，确定内控管理的现状能力和发展目标基于内控成熟度模型，确定内控管理的现状能力和发展目标按照内控管理的组织、政策、流程、数据和技术等角度，对标自身发展阶段，并设定发展目标价值型内控价值型内控内控政策内控政策内控流程内控流程内控数据内控数据内控技术内控技术内控组织内控组织管理型内控管理型内控 合规型内控合规型内控国内中小行平均国内大行平均国内领先国际领先资料来源：迪博武汉风控研究院中国领先的内部控

40、制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库目目 录录3.2 制定内部控制规划-商业银行内部控制体系规划-商业银行内部控制业务规划-商业银行内部控制系统规划3.13.1明确内部明确内部控制定位控制定位3.23.2制定内部制定内部控制规划控制规划3.33.3明确内部明确内部控制组织控制组织3.43.4搭建内部搭建内部控制平台控制平台3.53.5完善内部完善内部控制措施控制措施3.73.7开展内部开展内部控制评价控制评价和监督和监督3.63.6强化内部控制保障强化内部控制保障中国领先的内部控制与风险管理解决方案提供商企业 金融 行

41、政事业单位 Copyright DIB 2015软件 咨询 培训 数据库商业银行内部控制总体规划商业银行内部控制总体规划根据银行整体层面、机构层面及业务层面的内控定位与能力的评估，制定银行整体内部控制三至五年的发展规划。体系/机制规划业务规划系统规划 整体框架 业务范围 管控模式 管控重点 管控程度 风险技术 组织机构 团队能力 效果评估 控制技术 监督手段 文件策划 部署模式 功能架构 运维模式 整体蓝图 需求调研 基础平台银行内部控制2015-2018发展规划中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库商业

42、银行内部控制体系规划商业银行内部控制体系规划确立风险管控基准，构建内控体系架构，包括责任体系、制度体确立风险管控基准，构建内控体系架构，包括责任体系、制度体系和监督评价体系，满足本行内控合规的要求监管和审计要求。系和监督评价体系，满足本行内控合规的要求监管和审计要求。推行内控标准化，完善标准、统一的流程制度体系，建立推行内控标准化，完善标准、统一的流程制度体系，建立健全内控监控预警系统，非现场测试和现场验证相结合的健全内控监控预警系统，非现场测试和现场验证相结合的评价监督体系评价监督体系 建立持续改进的评估机制，整合各类基础管建立持续改进的评估机制，整合各类基础管理体系，实现动态量化监控，提供

43、决策支持理体系，实现动态量化监控，提供决策支持1 12 23 3总总体体思思路路以提升可持续发展的银行竞争力为根本，以内部控制五要素为框架，以指引五步骤为基本流程，以梳理为切入点，以“梳理流程、建立标准、整改缺陷、健全机制、提升能力”为核心内容，以管理型内控为基础，从银行的组织、政策、流程、数据、技术几方面做好顶层设计，编制体系建设的发展规划和解决方案，整体规划、重点突出、分步实施、全面推进、逐年完善，并最终实现银行价值型内控。构建一个与本行战略相一致的、标准化、系统化、可持续改进的内控体系。建设目标建设目标示例示例中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyr

44、ight DIB 2015软件 咨询 培训 数据库商业银行内部控制体系规划商业银行内部控制体系规划从银行内部控制的组织队伍、业务覆盖度、报告、系统等角度规划银行内控业务的计划48内部控制规划和工作大纲建立总行、分行及直属支行内部控制体系框架、管理组织架构基于条线/职能的内部控制如：公司授信、存款、信用卡、支付结算、网上银行、理财等方案、程序、政策、组织及工具方法内部控制管理现状调研和评估1月11月12月2具体的风险监控和预警指标设计13建立风险评估和定期报告机制6月12月持续开展风险评估，定期报告内部控制评价机制建设持续开展内控评价，定期报告547内控信息系统平台建设内控系统的持续运维内控队伍

45、的建设和内控文化的导入岗位认证、持续内训、外部培训等8912月5月201420152016示例示例风险监控和预警机制建设6内控信息系统功能模块实施内控系统与业务系统集成中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库商业银行内部控制机制规划商业银行内部控制机制规划规划内控管理流程框架，设计内控管理流程，建立内控管理机制。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库商业银行内部控制技术规划商业银行内部控制技术规划对于具体机构、业务条线

46、的内控建设，需根据资源、能力和期望，确定不同机构或业务内控业务开展方式。确保内控体系设计与实际需求相匹配。控制对象控制对象4.0-4.0- 公司层面风险公司层面风险控制对象控制对象3.0-3.0- 项目层面风险项目层面风险控制对象控制对象2.0-2.0- 流程层面风险流程层面风险控制对象控制对象1.0-1.0- 活动层面风险活动层面风险控制对象控制对象5.0-5.0- 战略层面风险战略层面风险控制技术控制技术4.0-4.0- 控制自动化控制自动化控制技术控制技术3.0-3.0- 控制规则化控制规则化 控制技术控制技术2.0-2.0- 控制活动化控制活动化 控制技术控制技术1.0-1.0- 控制

47、职能化控制职能化控制技术控制技术5.0-5.0- 控制智能化控制智能化风险技术风险技术4.0-4.0- 组合分析组合分析风险技术风险技术3.0-3.0- 指标监测指标监测风险技术风险技术2.0-2.0- 半定量评估半定量评估 风险技术风险技术1.0-1.0- 定性判断定性判断风险技术风险技术5.0-5.0- 模型预测模型预测监督技术监督技术4.0-4.0- 非现场监测非现场监测监督技术监督技术3.0-3.0- 视频监控视频监控监督技术监督技术2.0-2.0- 业务检查业务检查监督技术监督技术1.0-1.0- 不相容牵制不相容牵制监督技术监督技术5.0-5.0- 智能阻断智能阻断银行整体银行整体

48、面临的风面临的风险险1 1年年项目项目/ /产品产品/ /交易交易/ /客户客户包含的风包含的风险险业务流程业务流程包含的风包含的风险险岗位活动岗位活动包含的风包含的风险点险点银行战略银行战略面临的风面临的风险险3-53-5年年系统替代系统替代人完成规人完成规则执行则执行控制成功控制成功的判断规的判断规则和技术则和技术关键控制关键控制细化到岗细化到岗位活动位活动关键控制关键控制落到机构落到机构职能职能基于数据基于数据分析形成分析形成新的规则新的规则多个风险多个风险相关性组相关性组合分析判合分析判断断运用量化运用量化的指标显的指标显示示用统计学用统计学方式量化方式量化统计主观统计主观意见意见用描

49、述的用描述的方式显示方式显示主观的判主观的判断断构建预测构建预测模型进行模型进行判断判断问题模型问题模型进行在线进行在线迹象发现迹象发现独立、全独立、全纪录化监纪录化监控和追溯控和追溯独立、非独立、非规则化检规则化检查查业务过程业务过程中自我监中自我监督督系统根据系统根据监督规则监督规则阻断业务阻断业务内部控制工作重点内部控制工作重点控制的精细化程度控制的精细化程度风险评估方法先进性风险评估方法先进性内控监督复杂性内控监督复杂性中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库商业银行内部控制系统规划商业银行内部控制

50、系统规划基于银行整体内控体系规划、业务规划，设计并规划银行内控信息系统整体系统架构、功能架构、部署模式，以及与现有操作风险、合规、审计、OA等系统的关系。中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库第四部分第四部分 商业银行内部控制建设方法商业银行内部控制建设方法中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库目目 录录3.3 明确内部控制组织-商业银行内部控制职责和组织机构-国外银行内部控制机构和职责实践3.13.1明确内部明确内

51、部控制定位控制定位3.23.2制定内部制定内部控制规划控制规划3.33.3明确内部明确内部控制组织控制组织3.43.4搭建内部搭建内部控制平台控制平台3.53.5完善内部完善内部控制措施控制措施3.73.7开展内部开展内部控制评价控制评价和监督和监督3.63.6强化内部控制保障强化内部控制保障中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库明确商业银行内部控制职责明确商业银行内部控制职责商业银行内部控制组织和职责，需融入到银行治理和运营组织机构中，正式的职责授权文件中。第二道防线第二道防线l内控管理部门和风险管理部

52、门内控管理部门和风险管理部门： 内控合规/ 风险管理；职责：职责：独立检查、评价业务线并向业务线提供反馈意见，同时提供指导业务发展和内控建设的建议。与业务线合作确定、评估所有风险和机会，合作降低所有风险。董事会董事会/ /审计委员会等审计委员会等对内部控制负有最终责任。负责内部控制的建立健全和有效实施第一道防线第一道防线l直接接触银行客户的业务部门的业务部门 / /机构机构/ /网点等以及后台管理部门网点等以及后台管理部门；l职责职责：负责作出风险/回报决策，管理本单位业务中现有和新出现的风险；l负责遵守和执行政策、程序和限额等监事会监事会对董事会实施内控进行监督对董事会实施内控进行监督第三道

53、防线第三道防线l审计部门审计部门l职责：职责： 内部独立审计，包括： 内部控制有效性评价； 干部离任审计； 经济责任审计等高管理层高管理层负责日常风险管理和内部控制工作负责日常风险管理和内部控制工作 外外部部审审计计/ /外外部部监监管管董事会董事会/ /审计委员会等审计委员会等对内部控制负有最终责任。负责内部控制的建立健全和有效实施负责保证商业银行建立并实施充分而有效的内部控制体系，保证商业银行在法律和政策的框架内审慎经营；负责明确设定可接受的风险水平，保证高级管理层采取必要的风险控制措施；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。监事会监事会对董事会实施内控进行监督对

54、董事会实施内控进行监督负责监督董事会、高级管理层完善内部控制体系；负责监督董事会、高级管理层及其成员履行内部控制职责。高管理层高管理层负责日常风险管理和内部控制工作负责日常风险管理和内部控制工作 负责执行董事会决策；负责根据董事会确定的可接受的风险水平，制定系统化的制度、流程和方法，采取相应的风险控制措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行；负责组织对内部控制体系的充分性与有效性进行监测和评估。第一道防线第一道防线l直接接触银行客户的业务部门的业务部门 / /机构机构/ /网点，以及后台管理部门网点，以及后台管理部门等；等；l职责职责：负责作出风险/回报决策，管理本

55、单位业务中现有和新出现的风险；l负责遵守和执行政策、程序和限额等负责参与制定与其职责相关的业务制度和操作流程；负责严格执行相关制度规定；负责组织开展监督检查；负责按照规定时限和路径报告内部控制存在的缺陷，并组织落实整改。第二道防线第二道防线l内控管理部门和风险管理部门内控管理部门和风险管理部门： 内控合规/ 风险管理等；职责：职责：独立检查、评价业务线并向业务线提供反馈意见，同时提供指导业务发展和内控建设的建议。与业务线合作确定、评估所有风险和机会，合作降低所有风险。商业银行应当指定专门部门作为内控管理职能部门，牵头内部控制体系的统筹规划、组织落实和检查评估。第三道防线第三道防线l审计部门审计

56、部门l职责：职责： 内部独立审计，包括： 内部控制有效性评价； 干部离任审计； 经济责任审计等履行内部控制的监督职能，负责对商业银行内部控制的健全性、合理性和有效性进行审计，及时报告审计发现问题，并监督整改。1.章程2.董事会议事规则及董事XX专业委员会议事规则3.监事会议事规则4.行长办公会议事规则5.内部控制基本规定（办法）/内部控制框架手册6.1.部门职责2.岗位说明书3.内部控制基本规定（办法）/内部控制框架手册4.xx业务管理办法/xxz业务作业指导书5.xx业务系统权限配置手册6.第七条第七条- -第第十三条十三条中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位

57、Copyright DIB 2015软件 咨询 培训 数据库建立商业银行内部控制组织机构建立商业银行内部控制组织机构明确职责后，需要建立起纵向到底和横向到边的立体网状的内部控制组织机构。分管内控行长内控主责部门职能部门内控管理岗业务岗1业务岗2业务岗3内控合规岗分行行长办公会业务岗1业务岗2业务岗3分管内控行长内控主责部门职能部门内控管理岗业务岗1业务岗2业务岗3内控合规岗直属支行行长业务岗1业务岗2业务岗3董事会审计委员会分管内控副总内控主责部门XX事业部/中心职能部门内控管理岗业务岗1业务岗2业务岗3业务一处业务二处业务三处内控合规岗业务岗1业务岗2业务岗3内控合规岗监事会专门委员会总经理

58、办公会审计部董事会审计委员会分管内控行长内控管理部门XX事业部/中心职能部门内控体系处合规处内控评价处整改处业务一处业务二处业务三处内控合规处业务岗1业务岗2业务岗3内控合规岗监事会专门委员会行长办公会审计部建立纵向到底（分支机构和并表单位）内控组织机构建立横向到边（业务条线和部门）内控组织机构内控相关职能的整合与归并内控机构设置是刚性的内控岗位人员可以专职和兼职并举派驻式和内设式中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库资源约束条件下，商业银行内控职责和机构的选择资源约束条件下，商业银行内控职责和机构的选择

59、商业银行在“原则导向”监管要求下，根据自身发展需要，逐步地探索将除了内控以外，其他已经开展或将要开展的业务逻辑、工作目标类似的管理职责进行整合。合规管合规管理理案防管案防管理理业务连业务连续性管续性管理理内控内控管理管理内控目标之一损失事件管理重大风险应急控制措施及其载体反舞弊反舞弊/ /欺诈欺诈目标之一流程银行流程银行/ /制度管制度管理理操作操作风险风险管理管理整合整合管理管理中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库资源约束条件下，商业银行内控职责和机构的选择资源约束条件下，商业银行内控职责和机构的选择

60、内部控制与合规、操作风险的管理方法、工具有很多重叠之处，可以将部分管理进行整合。关注点内控的关注点：内控缺陷。包括设计缺陷和运营缺陷。合规的关注点：违规事件。包括“立规”、对违规事件的监控、员工违规积分管理等。操作风险的关注点：风险事件。包括风险分类、事件分类、损失分类等，以及相应的资本管理。整合管理整合管理中国领先的内部控制与风险管理解决方案提供商企业 金融 行政事业单位 Copyright DIB 2015软件 咨询 培训 数据库资源约束条件下，商业银行内控职责和机构的选择资源约束条件下，商业银行内控职责和机构的选择内部控制与合规、操作风险的管理方法、工具有很多重叠之处，可以将部分管理进行