中国民生银行内部控制评价体系介绍(79张)课件

1、中国民生银行内部控制评价体系介绍第1页，共79页。 第2页，共79页。 目 录一、民生银行内部控制管理的现状二、内部控制评价体系主要内容介绍三、内部控制评价的创新实践与思考 第3页，共79页。一、民生银行内部控制管理的现状（一）内部控制的组织管理架构 公司治理结构 股东大会、董事会、监事会、高级管理层组成现代公司治理架构，形成了权利机构、决策机构、监督机构、执行机构之间权责分明、各司其职、相互协调的组织架构和运行机制。 内控组织架构 董事会负责建立并实施有效的内部控制体系 法律合规部负责全行内部控制建设的统筹工作 审计部负责实施内部控制评价监督事宜第4页，共79页。（二）内部控制管理体系建设状

2、况 1、营造良好内部控制环境 授信业务制约机制 独立评审体制：将分行授信审批权限全部上收总行。 独立审计体系：由总行垂直领导，独立于经营机构。 集中放款制度：分行成立放款中心，从流程和职责上与经营单位脱钩。 第5页，共79页。（二）内部控制管理体系建设状况 1、营造良好内部控制环境 启动流程银行建设 公司业务事业部改革：一级经营、一级管理模式 推动分行业务转型：两链金融 进行支行零售改革：两小金融 稳步实施中后台改革：组织机构、岗位体系、绩效管理、业务流程进行全方位整合第6页，共79页。 （二）内部控制管理体系建设状况 1、营造良好内部控制环境 激励机制 两率考核、千分制考核、平衡计分卡考核

3、企业文化建设 诚信、人本、创新理念 民生家园，关爱你我活动 内控理念 内控优先、程序至上、审慎经营、依法合规第7页，共79页。 （二）内部控制管理体系建设状况 2、全面风险管理体系建设 信用风险管理 对公业务：建立全行法人客户评级和债项评级体系 零售业务：建立了涵盖小微贷款、一般零售、信用卡等全部零售业务的申请、行为、催收评分模型 初步实现了在客户准入、经济资本、风险调整后的资本收益（RAROC）与经济增加值（EVA）等方面的应用 第8页，共79页。（二）内部控制管理体系建设状况 2、全面风险管理体系建设 操作风险管理 设计推出了操作风险与控制自我评估、关键风险指标和损失数据收集三大管理工具；

4、历史损失数据收集工作基本完成。 市场风险和流动性风险管理 完善制订了相关管理办法；初步搭建了管理平台；规范压力测试程序；建立应急处理措施等。第9页，共79页。（二）内部控制管理体系建设状况 3、加强流程控制 规章制度建设：建立“流程立规”规章制度管理机制 业务集中管理：实现“数据大集中”；2013年新核心系统上线，从人防到技防的飞跃 管理工具：应用平衡计分卡、六西格玛、客户之声三大战略管理工具第10页，共79页。（二）内部控制管理体系建设状况 4、创新监督管理模式 一线业务经营：践行合规文化，规范营销客户，落实审批要求，主动自查自纠 二线业务管理：建立正向激励制度，明确合规经营导向，发挥专业优

5、势，主动开展检查和督导 三线监督纠正：内审以风险为导向，纪检部门构建和完善问责体系第11页，共79页。（二）内部控制管理体系建设状况 5、加快信息化建设步伐 信息管理：推进企业级数据仓库建设，实施数据质量治理工程。 信息传导机制：形成了横向覆盖各业务领域、纵向贯穿各级机构、业务条线和工作岗位的信息报告传递机制。 信息披露：规范了信息披露工作流程和权限，确保信息披露的真实性、准确性和完整性。第12页，共79页。 2012年，我行提出内控管理体系三年建设规划 内部控制框架：内控环境、风险识别与评估、规章制度与措施、合规性检查监督、独立的内部审计、信息沟通交流 内部控制目标：培育有利于持续发展的内控

6、环境，强化全面风险管理，完善过程控制机制，健全检查监督制度，完善风险导向内审体系，建设信息交流与沟通机制 内控控制任务：健全完善内控机制和内控技术，加强制度管理与流程优化建设，增强风险管理和经营能力，提高检查监督效能，提升数据管理能力，培育优秀企业文化 第13页，共79页。 具体实施措施： 内控环境建设 制度建设 机制建设 风险防控 内控文化建设 基础平台建设 第14页，共79页。二、内部控制评价体系主要内容介绍 民生银行的内部控制评价分为全行年度内部控制有效性自我评价及经营机构内部控制有效性评价两个层级来开展。 根据监管要求，民生银行从2008年开始针对法人层面进行内部控制自我评估，在上交所

7、披露评估报告。 经营机构的内部控制评价工作2008年开始实施对所有一级经营机构全覆盖的内控评价，并逐步对评价办法和评价体系进行重新设计和完善。第15页，共79页。（一）经营机构内部控制有效性评价的内容及范围 经营机构内部控制评价是紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素。 1、评价内容 对内部控制五要素中的评价内容，我行以企业内部控制基本规范的有关规范要求和各项应用指引为依据，结合本行的内部控制制度来确定。 内部控制五要素包含的内容：第16页，共79页。 内部控制环境评价内容：组织结构、管理政策及流程、岗位职责及授权管理体系的建立和人力资源管理等方面。 风险评估评价内

8、容：日常经营管理过程中的风险识别、风险分析、应对策略的设计及运行情况等。 控制活动评价内容：分行各项业务的实际操作控制活动的有效性。 信息与沟通评价内容：信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性等方面。 内部监督评价内容：着重于评价内部监督机制的有效性。第17页，共79页。（一）经营机构内部控制有效性评价的内容及范围 2、评价范围 十个主要的管理控制和业务流程，即公司层面、综合管理、对公授信、零售授信、零售非授信、私人银行、同业业务、运营管理、财务管理、电子银行。 我们对分行的评价内容不是一成不变的，评价内容随着不同时期经营管理模式、战略重点的转变而

9、有所调整。如，私人银行业务、小微业务、资金业务、信息科技。第18页，共79页。（一）经营机构内部控制有效性评价的内容及范围 3、评价工具 内部控制评价手册是我行内部控制评价时所运用的基本技术工具，评价手册是量化评分的基础依据。 分行级内部控制评价手册：包括公司层面、综合管理、公司授信、零售授信、零售非授信、私人银行、资金与票据、运营管理、计划财务、电子银行等十张评价表。 每张评价表有约50个左右的控制点，共470个控制点。 第19页，共79页。例：分行级内部控制评价手册评价表样第20页，共79页。01 公司层面 业务内部控制评价表第21页，共79页。02 综合管理 业务内部控制评价表第22页，

10、共79页。03 对公授信业务 内部控制评价表第23页，共79页。03 对公授信业务 内部控制评价表第24页，共79页。03 对公授信业务 内部控制评价表第25页，共79页。04 零售授信 业务内部控制评价表第26页，共79页。04 零售授信 业务内部控制评价表第27页，共79页。05 零售非授信业务 内部控制评价表第28页，共79页。05 零售非授信业务 内部控制评价表第29页，共79页。05 零售非授信业务 内部控制评价表第30页，共79页。06 私人银行 业务内部控制评价表第31页，共79页。06 私人银行 业务内部控制评价表第32页，共79页。07 同业业务 内部控制评价表第33页，共7

11、9页。07 同业业务 内部控制评价表第34页，共79页。07 同业业务 内部控制评价表第35页，共79页。08 运营管理 业务内部控制评价表第36页，共79页。08 运营管理 业务内部控制评价表第37页，共79页。08 运营管理 业务内部控制评价表第38页，共79页。 09 财务管理 业务内部控制评价表第39页，共79页。 09 财务管理 业务内部控制评价表第40页，共79页。10 电子银行 业务内部控制评价表第41页，共79页。10 电子银行 业务内部控制评价表第42页，共79页。（一）经营机构内部控制有效性评价的内容及范围 4、评分方法和程序 建立数量化的评价指标体系，设定千分制的评分、评

12、级体系。内部控制整体评价和单项流程评价均实行千分制评分。设置内控要素和单项业务流程两个权重指标。 单项业务流程评价按内部控制要素分配权重，对评价发现问题按内部控制要素进行归类，按风险等级确定得分，然后加权汇总形成单项业务流程得分。 各单项业务流程得分按业务流程风险权重加权汇总后，形成整体内部控制评价得分。 第43页，共79页。经营机构内控要素汇总表表样第44页，共79页。（1）风险等级认定 在对问题发现的性质判断上引入风险等级概念，即每个审计发现按照问题发现的损失影响和发生的可能性进行综合判断，赋予风险等级不同的分值，根据最终确定的风险等级进行扣分。 风险等级矩阵模型 风险等级=发现的损失影响

13、发生的可能性 三个因素均分为高中低三档，最终确定的风险等级分别对应相应的扣分区间。第45页，共79页。风险等级矩阵风险等级对应扣分区间表第46页，共79页。三个需明确的定义或标准A 风险等级定义第47页，共79页。B、发生可能性等级划分表第48页，共79页。C、问题发生损失影响等级划分表第49页，共79页。各业务条线控制要素评分表第50页，共79页。例：XX分行综合业务条线控制要素归类汇总计分表第51页，共79页。例:XX分行内控要素汇总表第52页，共79页。01 公司层面 业务内部控制评价表第53页，共79页。评价战略执行参考指标第54页，共79页。（2）评分程序 a.区域审计中心组织各专业

14、评价小组进行初评；如果存在重大内部控制风险事项，则按照重大控制风险事项校正评价表中的标准分值进行内部控制评价的分数调整。 b.审计部组织内控评价专家组对各评价工作组的评分结果进行复审。第55页，共79页。重大控制风险事项校正评价表第56页，共79页。（3）缺陷认定 a.缺陷分类 重大缺陷：一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形； 重要缺陷：一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形； 一般缺陷：除重大缺陷、重要缺陷之外的其他控制缺陷。例：重大缺陷-XX行金库被盗案 重要缺陷-信托受益权转让违规 一般缺陷-信贷操作中的不

15、规范第57页，共79页。 b.内部控制缺陷认定的原则和程序 在内部控制评价中的所有问题发现都应进行内部控制缺陷认定。 内部控制缺陷初步的认定由区域审计中心评价组负责，如有重大或重要缺陷的判断，与被评价单位高级管理人员沟通和确认。 对内部控制评价中发现的重要缺陷，审计部与高级管理层（行领导）进行沟通和确认。就重大的审计发现向董事会审计委员会汇报，并由其最终认定重大控制缺陷。第58页，共79页。5、内部控制有效性结论 （1）内部控制有效性结论的确定 内部控制有效性结论的确定受两个因素的影响，一是控制缺陷的认定结果，二是评价分数的区间。内部控制缺陷和有效性之间存在相互对应关系第59页，共79页。（2

16、）内部控制评价有效性的认定标准 有效认定标准：设计适当且得到贯彻执行，不存在控制过度和控制不足，无重大缺陷和重要缺陷。对应（920-1000）分。 基本有效认定标准：设计适当但个别执行效果不佳，存在控制过度可能，不存在控制不足，无重大缺陷和重要缺陷。对应（850-920）分。 关注认定标准：存在少量设计缺陷，存在控制过度和控制不足，存在控制过度和控制不足，无重大缺陷和重要缺陷。对应（800-850）分。 特别关注认定标准：存在较多设计缺陷且涉及范围较广，控制不足情况较为严重，违反行内规章制度疏导总行处罚，存在重要缺陷。对应（ 700-800）分。 无效认定标准：存在无控制或控制失效的情况，违反

17、监管机构规定并受到处罚，存在重大缺陷。对应（0-700）分。 第60页，共79页。6、评价报告 第一部分 内部控制评价基本情况 第二部分 总体评价 第三部分 主要审计发现 第四部分 改进建议第61页，共79页。7、评价程序 评价程序包括：方案培训、非现场准备、现场审计、评价结果认定、报告撰写等阶段。 （1）方案培训：培训内容主要是评价要求、审计方法，审计记录说明，沟通与反馈要求，缺陷认定方法等。 （2）非现场审计：入场前组织非现场检查，对被评价单位进行调查摸底，利用非现场模型进行预设条件的筛查，确定初步的抽样样本。 （3）现场审计：按照职责分工和进度安排进驻现场,对评价方案确定的评价内容实施现

18、场评价。 第62页，共79页。 （4）评价结果认定： a.由业务条线评价小组进行初评；按最终确定的风险等级扣分。 b.主审人组织评审组对初评分结果进行复核确认；形成经营机构内控要素评分汇总表，经组长审阅后上报总部。 c.总部内控评价专家组对各审计中心评分结果进行复审。 （5）报告撰写：形成内控评价意见书正式发文，报送行内高级管理层，检查发现的问题统一纳入问题库进行后续整改跟进。第63页，共79页。非现场系统应用说明 实现审计手段的全面科技化。目前除信用卡业务外，基本涵盖了民生银行所有资产和负债业务和流程。 非现场专项审计采用的业务流程为：数据抽取建模计算专业人员分析确认归纳演绎回归分析处理报告

19、。 非现场审计先进性： 一是海量数据依据规则筛选，精确制导； 二是数据建模，利用数值量化业务特征和风险特征； 三是形成数据挖掘专业工作链条； 四是业务逻辑通过测试逐步形成，减少实施失败几率； 五是节约项目成本，不影响一线的正常经营活动。第64页，共79页。例：内部控制评价非现场预警模型 对X分行票据转贴现业务的内控检查中，“买入返售交易的票源必须为他行票据，禁止以我行卖断票据为质押物的买入返售业务”控制内容。预警逻辑-根据监管规范，先搭建预警模型，预警逻辑是分行买入返售和卖断交易的批次内具体登记的票据编号均相同，预警显示规则是按分行和批次为单位显示出分行买入返售+卖断的不合规台帐，预警跑批频率

20、是每日日终跑批。预警处理-审计人员对预警结果进行查询，一般按照管辖的分行进行结果筛选，对出现的预警信息，将预警结果导出，在评价中进行现场确认。在某分行上半年内部控制评价中，非现场预警的信息，均证实为非现场预警结果正确，分行业务存在不合规之处。第65页，共79页。例：非现场审计系统的日常预警方式 对于日常经营与操作业务，采取在系统中预设预警规则的方式，进行日常监控。如，会计运营中经常发生的高风险特殊交易进行监控。预警逻辑-对日常会计结算中频繁发生的特殊交易，如冲补账、修改密码、转授权等，如单一柜员单日特殊交易超5笔，则作为系统预警列示。预警跑批频率是每日日终跑批。预警处理-审计人员对预警结果进行

21、非现场排查，调取影像信息，对于不能确认的，由现场审计人员进行现场核实。第66页，共79页。（二）年度内部控制有效性自我评估 1、作为境内外同时上市的公司，12月份启动法人年度内部控制有效性评价工作。 2、在总行层面采取自查和抽查相结合的方法。 3、在经营机构层面直接采用年中两次评价及全年后续审计的结果。 4、所有问题进行内部控制缺陷认定，填写内部控制缺陷及整改情况汇总表。 5、对内控缺陷汇总表进行分析。 6、全年内部控制有效性自我评价的结论以是否存在重大缺陷来确定。第67页，共79页。三、内部控制评价的创新实践与思考（一）民生银行在内控评价工作中的创新思路1、以风险导向为核心 抽样方面：采用了

22、随机抽样和重点抽样相结合的方式。 实质性检查：对业务条线的检查内容也不仅仅局限于评价表中的内容，针对对经营机构的薄弱环节从重点风险入手。 结果利用：对内控存在较大缺陷的机构加大检查频率。第68页，共79页。2、内控评价常态化 评价形式上不局限于集中式的全面普查，可以采用多种灵活的方式，结合日常审计、后续审计和审计监督工作进行。全年审计中的风险发现都作为内部控制评价的内容。3、丰富了内控评价的内容 在评价内容上增加了对战略执行力、特色业务拓展、经营管理能力等几方面的分析评价，提升了内控报告的高度和水平。第69页，共79页。（二）内控评价取得的主要成绩及存在的问题 主要成绩 一是内容覆盖面广，涉及

23、到经营机构经营管理和业务活动的全过程。 二是便于经营机构间相同业务模块的比较，也更容易发现自身经营管理中的短板。 三是近年来一级分行监管一级评级由无到有，比例逐年提高，监管二级评级也由同一级别的较低档位提高到较高档位，监管三级评级已基本消除。 四是评价工具作为标准化模板为制定专项检查方案提供支持。第70页，共79页。 主要问题： 一是审计覆盖面宽，但对审计发现的深度不够。 二是不能在一个时点上反映全部经营机构的内控状况，评价结果缺乏可比性。 三是内控评价与风险管理的关系还不完全清晰。 四是非现场审计系统的应用不够深入。第71页，共79页。（三）我们对内部控制评价工作的思考 外部挑战：利率市场化

24、；互联网、手机等新兴金融渠道；新资本协议主要内容的落实。 内部挑战：事业部准公司化改革，小微、小区金融的全面推开、中后台的持续变革。 我行的内部控制评价工作紧紧依托全行内部审计项目，创新性开展审计工作。第72页，共79页。1、在战略审计方面 我行审计部把对经营机构和管理部门执行董事会战略情况审计纳入了审计的重点内容之一。 如：对小微战略执行进行检查 对事业部改革进行全面评估第73页，共79页。2、在管理审计方面 我们以促进精细化管理水平提升为目标，开展了资本管理审计，通过对资本计量、资本使用效率、分配机制审计，评价资本管理的合理性和有效性，发挥审计增值功能。 如：资本充足率专项审计 库存现金限

25、额管理专项审计第74页，共79页。3、在风险审计方面 关注重点区域风险：长三角、珠三角等风险暴露集中和突出的地区。 关注受经济下行影响较大的行业：光伏行业、港口行业、能源行业等重点行业。 如：华东区域钢贸商融资风险集中爆发 煤炭行业风险凸显引发资金链断裂第75页，共79页。4、加大创新业务审计 在开发新产品和开办新业务时，充分发挥内审管理咨询作用，从源头上把握掌控风险。 在新业务开展过程中，做好新业务及时跟进审计。 如，票据买返的期限滚动套利 违规办理资产转让业务 第76页，共79页。5、审计成果利用方面 建立了 “审计问题库”，进行动态维护。 对机构进行内部控制考核打分。 对人员分别采取多种

26、形式的问责。第77页，共79页。谢谢！第78页，共79页。1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。2、孤单一人的时间使自己变得优秀，给来的人一个惊喜，也给自己一个好的交代。3、命运给你一个比别人低的起点是想告诉你，让你用你的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力!4、心中没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，岂不自在，哪里来的尘埃!5、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。6、无论你正遭遇着什么，你都要从落魄中站起来重振旗鼓，要继续保持热忱，要继续保持微笑，就像从未受伤过一样。7、生命的美丽，永