银行业内控管理和执行力建设的良好实践介绍与案例分析课件

银行业内控管理和执行力建设的良好实践介绍

与案例分析香港金融管理局冯敦孝高级经理日期:2011年9月27日银行业内控管理和执行力建设的良好实践介绍

与案例分析讲座重点

监管机构对银行的内控与风险管理要求 介绍 银行内控管理和执行力建设的良好实践 介绍讲座重点

主要內容什么是内部监控系统?银行公司治理的主要原则监管机构对银行的内控与风险管理要求「职能分离」的重要原则某国际性银行的内控机制介绍某些国际先进银行的合规工作方式介绍对本地与海外分支机构的监控国际案例讨论风险的识别与评估风险的监测与汇报《新资本协议》框架的基本要点关于操作风险方面的资本计提方法内控与风险管理的关系总结主要內容什么是内部监控系统?什么是内部监控系统?(1)定义一家机构内建立的一整套控制系统，其范围函盖财务管理及其它方面。该系统可使机构有规律及有效地进行业务活动，确保遵守管理政策，保护机构拥有的资产，及尽可能地维持帐目记录的详尽性及准确性。(节录自英国会计师公会的审计指引)什么是内部监控系统?(1)定义什么是内部监控系统?(2)内控机制:

主要分作2大类：(1)「主要」

primary的内控机制及(2)「次要」

secondary的内控机制.「主要」的内控机制:主要是预防性的控制-为了防止风险事件的发生，以及侦察性的控制-为了测定有否风险事件的存在。「次要」的内控机制：主要是指日常的监控手段，例如：日常管理层对预算的检讨、对内部管理报表的检讨、利用财务分析手段检讨各部门的业务表现等等。什么是内部监控系统?(2)内控机制:银行的倒闭可能对整个银行体系造成系统性的影响，损害金融及社会经济的稳定性。银行的资金主要来自存款人，股东的资金只占小部份。银行应以本身的稳健性及存款人的利益为先，做好公司治理、内部控制及风险管理。前言银行的倒闭可能对整个银行体系造成系统性的影响，损害金融及社会银行的拥有权与管理权应分开，聘用专业管理人员。明确分配决策权和责任。清楚列明决策的规则和程序。制订银行的业务目标，以审慎的方式经营业务，及保障存款人的利益。银行公司管治的主要原则银行的拥有权与管理权应分开，聘用专业管理人员。银行公司管治的银行组织架构董事会执行委员会信贷委员会资产负债管理委员会薪酬委员会提名委员会审计委员会行政总裁及高级管理层信贷部市场部零售业务部资金部风险管理部信息系统部财务部操作部内部审计股东大会外部审计人事部合規部银行组织架构董事会执行委员会信贷委员会资产负债薪酬委员会提名银行公司管治主要组成部份董事会监管机构管理层审计委员会内部审计外聘审计师监控路线报告路线股东大会各专责委员会银行公司管治主要组成部份董事会监管机构管理层审计委员会内部审大纲第一部份: 内部监控及风险管理系统的一般架构第二部份: 内部监控系统(内控)第三部份: 审计功能第四部份: 风险管理系统(风管)大纲第一部份: 内部监控及风险管理系统的一般架构第一部份内部监控及风险管理系统的一般架构银行业内控管理和执行力建设的良好实践介绍与案例分析內控及風管一般架構(1)專責委員會:負責內控及風險管理工作董事局對內部監控及風險管理負有最終責任執行委員會

/風險管理委員會資產及負債委員會審計委員會信貸委員會業務操作風險管理委員會其他風險管理委員會高級管理層:負責監察日常風險管理工作個別業務部門負責遵守政策、程序及限額(前線部門)法規遵行部門負責遵行法律規定及監管要求風險管理部門負責日常風險管理(中間部門)內部審計部門負責進行獨立審計內控及風管一般架構(1)專責委員會:負責內控及風險管理工银行内控及风险管理组织架构图

（请参阅附件1）

银行内控及风险管理组织架构图

（请参阅附件1一般架构(2)有效之内控及风管架构建基于:(1)

有效的公司管治董事局及高级管理层的监察政策及程序守则权限分配(2)

适当的内控及风管环境公司文化确认了内控及风管的重要性(3)

分工适当的公司组织架构独立的内控及风管功能(4)

足够的及准确的帐目及记录以便查核及确定风险的性质、量度、监控及汇报一般架构(2)有效之内控及风管架构建基于:第二部份內部監控系統(內控)银行业内控管理和执行力建设的良好实践介绍与案例分析内部监控系统(1)良好的内控系统有助一家机构达到以下目标:

有助提高运作效率 提供可靠的财务数据 确保资产的安全性及有效运用 减少因失误、欺诈等不当行为所引起的损失 确保有效的风险管理系统 确保能遵守法律及监管规定内部监控系统(1)良好的内控系统有助一家机构达到以下目标:内部监控系统(2)对银行而言，内控系统应包括以下主要范围:(1)高层次的监控(2)对各主要业务范围的监控(3)对财务会计系统的监控(4)对信息科技系统的监控(5)对外包业务的监控(6)对遵守法规的监控 对防止清洗黑钱活动的监控（巴塞尔委员会的定义）内部监控系统(2)对银行而言，内控系统应包括以下主要范围:内部监控系统(3)(1)高层次的监控有效的公司管治制度明确合理的权限清晰的政策及规章制度各主要功能的分割，确保互相约束及制衡 (例：业务发展、风险管理、会计、结算、审计、法规等功能应各自分开及互相制衡)内部监控系统(3)(1)高层次的监控内部监控系统(4)(2)对各主要业务范围的监控银行可概括地分为以下主要业务：

零售银行、批发银行、企业银行、私人银行及财资业务等。对每项主要业务，应建立清晰的业务目标、功能及责任、权力分配、审批制度、额度控制及敏感工作地点之出入管制等。内部监控系统(4)(2)对各主要业务范围的监控内部监控系统(5)(3)对财务会计系统的监控 目的：確保管理信息系统的准确性及效率確保定期进行的财务预算順利確保能定期向管理层提交足够的财务报告確保能准确地與及时地向监管机构呈交所需的报表内部监控系统(5)(3)对财务会计系统的监控内部监控系统(6)(4)對資訊科技系統的監控 目的：确保信息科技系统能应付业务所需确保拥有足够资源及人材确保系统的运作、保养及提升确保具备有效的应变计划以应付突发事件内部监控系统(6)(4)對資訊科技系統的監控内部监控系统(7)(5)对外包业务的监控 目的：确保具備一套清晰的外包策略确保清楚了解外包合作伙伴的专业能力及可靠性确保能有效监察合作伙伴，并定期审查外包业务的运作应建立有效的应变计划应清楚了解及遵守监管机构对外包方面的监管要求内部监控系统(7)(5)对外包业务的监控内部监控系统(8)(6)对遵守法规方面的监控职能：监控银行的日常商业活动，确保严格遵守法律的规定、监管的规定以及银行既定的政策与程序。

具備有效的合規功能的先決條件:

独立的合规部门，能直接向董事局、专责委员会、或最高管理层报告拥有足够的资源及称职的员工内部监控系统(8)(6)对遵守法规方面的监控内部监控系统(9)(7)对防止洗黑钱活动的监控清晰的“认识您的客户”(“KnowYourCustomer”Policy)的政策及程序有效的识别可疑交易的系统及汇报程序遵守法律规定,与执法机构保持合作足够的员工培训定期的审计及合规检查委任专责的反洗钱合规主任反恐怖融资内部监控系统(9)(7)对防止洗黑钱活动的监控第三部份審計功能银行业内控管理和执行力建设的良好实践介绍与案例分析审计功能(1)审计功能是内控系统的重要组成部份审计功能由三方共同承担:(a) 审计委员会(b) 内部审计(c) 外聘审计审计功能(1)审计功能是内控系统的重要组成部份审计功能(2)(a)审计委员会由非执行董事组成，大部份应为独立非执行董事主要职能：对于内控及风管方面事宜向董事局提供独立的意见监察内部及外聘审计师的工作表现维持董事局与内部审计师及外聘审计师之间的沟通渠道通监察会计及财务报告的政策及实施情况协助董事局监控公司的合规情况协助董事局履行作为受托管理人的责任审计功能(2)(a)审计委员会審計功能(3)(b)内部审计有效内部审计功能的先决条件：拥有独立的自主权以决定内部审计之范围及方法明确规定业务部门管理层必須对内部审计的建议作出适当的回应采用有效的方法以识别银行内部存在的主要风险具备足够的资源及称职的审计人员能随时直接向董事会及审计委员会汇报具备取得任何资料或向银行任何员工提出訊问作審計用途的权力内审部主管的委任与撤职必须通过董事会及审计委员会的审批。審計功能(3)(b)内部审计审计功能(4)(b)内部审计(续)主要职能审查及评估内控及风管系统的有效性对各操作范围进行内部审核在审计委员会指令下参与个别的调查项目评估业务部门是否遵守既定的业务策略,政策及程序审计功能(4)(b)内部审计(续)审计功能(5)(c)外聘审计师按照会计准则履行专业的审核由董事局委任(非受聘于管理层)主要职能：对银行的财务报表提供具法律责任的意见，并签署银行的年报对银行的财务会计及内控系统向董事局提供独立的意见履行相关的法律及监管规定

(金管局规定外聘审计师必须按照“银行条例”的框架定期进行审核。外聘审计师若发现重要事项，必须主动报告金管局，并须出席「三方会议」。)审计功能(5)(c)外聘审计师审计功能(6)(c)外聘审计师(续) 其它重点外聘审计师的部份工作可倚靠内部审计师之审计结果。但外聘审计师需尽其所能履行其审计工作责任及按照专业守则在其审计范围內作出独立的意见。外聘审计师应避免利益冲突之可能性。(例：不应同时出任银行的审计师及财务顾问)审计功能(6)(c)外聘审计师(续)第四部份风险管理系统(风管)银行业内控管理和执行力建设的良好实践介绍与案例分析风险组织架构(1)風險管理委員會董事局及管理层之监控公司管治政策及程序风险管理风险的识别风险的量度风险的监察风险的控制风险的汇报

重点:独立风管功能分工策略风险法律风险业务操作风险市场风险利率风险流动资金风险信誉风险信贷风险公司风险管理文化内部审计风险组织架构(1)風險管理委員會董事局及管理层之监控公司管风险管理系统(2)风管主要组成部份:

(a)风险的识别(b)风险的量度(c)风险的监察(d)风险的控制(e)风险的汇报风险管理系统(2)风管主要组成部份:风险管理系统(3)(a)风险的识别

识别在业务活动中潜在的各种风险八类主要风险：信贷、市场、利率、流动性、操作、策略、法律及声誉风险管理系统(3)(a)风险的识别风险管理系统(4)例子：银行拟购入一种由境外公司发行之定息外币债券信贷风险-发债者能否履行合约及它的償还能力？市场风险-债券价格及汇率的波动？利率风险-利率基点风险、孳息曲线风险、期权风险(若附 带提早或延迟赎回条款)流动资金风险–相關债券在市场的買賣活跃程度？业务操作风险–審批过程、對财资部门操作的监控、结算风险等 ？法律风险- 法律文件的完备性、发债者及投资者(银行)是否 已遵守一切有关的法律规定？策略风险- 银行买入该债券是否符合既定的业务策略？声誉风险- 此项投资是否影响公众人士(如小股东及存款人)的信 心？风险管理系统(4)例子：银行拟购入一种由境外公司发行之定息风险管理系统(5)(b)风险的量度量度必须详尽及准确分别计算每种不同的风险，并综合评估整体的风险程度计算风险与回报的关系量度不同风险的方法介紹：

(1)市埸风险市价估值mark-to-market(应由独立部门专责定期进行)压力测试(应考虑各种可能出现的不利情况)「估计亏损风险值」(Value-at-Risk“VAR”)风险管理系统(5)(b)风险的量度风险管理系统(6)(b)风险的量度(续)量度不同风险的方法介紹

(续)： (2)利率风险计算当利率水平发生变化时，对银行的：(1)短期利息收入的影响；及(2)“经济价值”（EconomicValueofEquity“EVE”)的影响。(例:「缺口表」GapAnalysis或「久期」Duration方法)。压力测试(例:利率水平发生不同的变化时对银行利息收入及支出的影响)。 (3)信贷风险建立完善的资产评级分类系统(巴塞尔新资本协议的[标准方式]容许银行参考国际信贷评级进行资产评级分类，该新协议的[内部评级方式]亦容许较大型及先进的银行根据其业务特性建立内部资产评级分类系统)计算「违约概率」ProbabilityofDefault(“PD”)计算不良贷款的金额及坏账拨备额等压力测试(例:不良贷款额发生不同的变化时对银行财务状况的影响)风险管理系统(6)(b)风险的量度(续)风险管理系统(7)(c)风险的监察

独立部门负责监察：各业务部门是否在既定的内部限额额度内进行业务？有否超额？有否不按既定的风险管理政策办事？风险管理系统(7)(c)风险的监察风险管理系统(8)(d)风险的控制建立完善的风管政策及操作守则，并须经董事局或其下委员会(例:资产负债管理委员会、信贷委员会)审议及批核适当的分工，独立部门负责风险监控的功能，不应由业务部门负责其它的后台部门(例:结算部、信贷管理部、资料统计部等)应向风险监控部门提供适当支持建立风险控制额度，监控超额情况，向管理层报告一切超额及违规事件风险管理系统(8)(d)风险的控制风险管理系统(9)(d)风险的控制(续)在订立额度时，管理层应考虑以下因素:交易对手的信誉及还款能力产品及市埸之特性公司的经营策略及风险承担能力公司的资本充足水平收入来源的分配内控及风管系统的建全性业务人员的专业知识及经验未来的经济展望风险管理系统(9)(d)风险的控制(续)风险管理系统(10)(d)风险的控制(续)不同的风险控制额度例子:(1)市埸及利率风险:整体限额、合约总额、停止亏损额、到期日的限额、利率基点损失额、「估计亏损风险值」限额(VARlimit)、触发行政干预的限额(2)信贷风险:对个别授信户、行业、国家的授信限额抵押及非抵押的授信限额(应审慎评估抵押品的价值及定期作重估)与银行有关连的授信户限额风险管理系统(10)(d)风险的控制(续)风险管理系统(11)(e)风险的汇报

必須能提供及时及准确的信息給管理层及有关人员，以便能及时控制风险。保持信息系统的详尽性及可靠性。建立预警机制。管理层必须定期評估銀行的风险程度，了解銀行的财务状况在不同的情况下可能出现的不利变化，从而作出相应的决策及措施。风险管理系统(11)(e)风险的汇报「持续业务运作计划」

各银行应按照其业务的性质、规模及复杂程度

，制定应变计划及业务复原计划；确保在重大

事故发生后，银行能持续进行业务（从911事件

中吸取教训）。2. 金管局要求银行制定正式、书面的应变计划，

并且定期修订及测试应变计划的有效性。「持续业务运作计划」「持续业务运作计划」(2)[灾难应变计劃]与[业务复原计劃]：各银行应按照其业务的性质、规模及复杂程度，制定应变计划及业务复原计划。应制定相关的计划，确保银行发生严重事故的时候，能继续操作及减少损失。高管人员应定期检讨计划的有效性，以配合银行目前的业务策略及规模。应定期测试相关的计划，确保严重事故发生时能真正可行及发挥作用。「持续业务运作计划」(2)[灾难应变计劃]与[业务复原计劃]「职能分离」SegregationofDuties

重要原则:

「职能分离」是有效内控制度的重要先决条件。一项交易不应让 同一员工完成所有工序，应确保让各自独立的人员完成整个过程。

例:

贷款活动：

评估贷款申请

贷款审批

记录

发放资金

扺押品的控制

贷款后的监控与覆检

财资活动： 估价工作应让独立于前线业务部门的人员进行（例：后台或中间 部门）。「职能分离」SegregationofDuties「职能分离」SegregationofDuties银行业务内控重点一项交易不应由同一员工完成所有的工序。工作流程内必須設有良好的分工，使一名员工的操作受另外一位员工的监察及制衡。必须培养员工整体的内控意识及合规经营的公司文化。「职能分离」SegregationofDuties银行某国际性银行的内控机制介绍银行业内控管理和执行力建设的良好实践介绍与案例分析汇丰的主要内部监控措施董事会董事会按照英国监管当局的标准，制定主要的内控程序，目的在汇丰集团内进行有效的内部监控工作。汇丰的主要内部监控措施董事会汇丰的主要内部监控措施董事会的职责负责集团内一切内控工作事宜负责检讨内控工作的有效性。汇丰控股已制定一系列的内部程序：

以防止资产遭到未经授权的挪用或出售

确保财务记录受到妥善的保存；及

确保集团的内部财务数据及向外公布的 财务数据均属正确可靠。汇丰的主要内部监控措施董事会的职责汇丰的主要内部监控措施主要的內部監控措施汇丰控股董事会或「集团管理委员会」授权于各附属公司的行政总裁各类不同的权限。各附属公司的行政总裁：

在权限内全权管理附属公司，包括按照高层订下的 业务计划及预算，达到指标及控制开支。

对附属公司的内控系统的足够性及有效性负上责任。委任集团内部最高层的行政人员必须先通过控股公司董事会的审批。汇丰的主要内部监控措施主要的內部監控措施汇丰的主要内部监控措施「集团总管理处」负责制定关于操作、财务报告及管理报告方面的标准，并适用于整个集团。此外，各附属公司、地区的管理层亦按照本身业务和当地的监管规定情况制订其它营运守则作为补充。汇丰的主要内部监控措施「集团总管理处」汇丰的主要内部监控措施「集团总管理处」汇丰已制订各种制度和程序，以识别、控制和汇报各种主要风险，包括：信贷、金融工具市价之变动、流动资金、经营失误、违反法规、未经许可活动及诈骗行为等方面的风险。各附属公司的「风险管理委员会」、「资产负债委员会」及「执行委员会」负责监控这些风险，并由「集团管理委员会」负责为集团作整体的监控。集团的财务董事主持每月召开一次的风险管理会议。风险管理会议负责处理资产与负债的管理事宜。风险管理会议的会议记录必须上呈「集团管理委员会」及「集团审计委员会」。汇丰的主要内部监控措施「集团总管理处」汇丰的主要内部监控措施「披露委员会」负责審核集团所有对外重大披露的文件，确保内容并不存在任何错误的声明或遗漏。成員包括：

集团公司秘书（兼任主席）

财务、法律、风险、企业传讯、投资者关系 、内审等部门的主管，以及来自主要地区、 客户群及环球业务部门的代表。汇丰的主要内部监控措施「披露委员会」汇丰的主要内部监控措施策略方案集团对各主要客户群、产品类别、后勤部门及业务地区定期制定策略方案，并纳入集团的总策略框架内。集团旗下的所有主要营运公司负责制定：

具体的营运计划

各项主要业务计划，以及評估计划可能产生的 财务影响。汇丰的主要内部监控措施策略方案汇丰的主要内部监控措施计算机信息系统中央部门负责控制与管理集团内一切关于计算机系统的发展与操作事宜。在可行的情况下，集团内业务相同的部门必须共同使用同一的计算机系统。各附属公司负责每天量度及上报信贷风险与市场风险的情况。中央系统合并各附属公司的风险数据后，用作评估集团整体的风险状况。汇丰的主要内部监控措施计算机信息系统汇丰的主要内部监控措施附属公司附属公司的业务管理层获授权各种业务的权限在权限的框架内，附属公司的业务管理层可自由进行业务，并负责确保公司的财务表现及支出符合高层既定的预算此外，集团总管理处负责对就下列各类风险制定有关的政策、程序及标准： 信贷风险、市场风险、流动资金风险、营运风险、信息科技风险、保险风险、会计风险、税务风险、法律及合规风险、人力资源风险、声誉风险及购买风险。汇丰的主要内部监控措施附属公司汇丰的主要内部监控措施声誉风险的控制控股公司的董事会及「集团管理委员会」、各附属公司的董事会、董事会下设的委员会或高层管理人员： 负责制定政策，指导各附属公司及集团内各层管理人员，在经营业务过程中保障集团的声誉。汇丰的主要内部监控措施声誉风险的控制汇丰的主要内部监控措施内部审计部门由中央部门管理。职责：监控集团内部控制结构整体的有效性。内部审计部门的工作，是以风险为本的方法识别集团各方面的风险，然后集中处理风险最高的领域。内部审计部门的主管向集团主席及「集团审计委员会」负责。各部门的管理层必须确保由内部审计部门所提出的改善措施建议，必須在双方协议的时间表内落实。关于外聘核数师及监管机构在审查后对银行所作出的各项改善措施建议，各部门的管理层必须向内部审计部门作出汇报，并确认其所属的部门已经采取或正在采取适当的程序去落实有关的建议。汇丰的主要内部监控措施内部审计部门汇丰的主要内部监控措施「集团审计委员会」「集团审计委员会」经常检讨内部监控系统的成效，并定期向董事会汇报。委员会进行检讨时采用的主要程序包括：

定期评估业务和营运风险： 定期收取主要风险部门（包括内部审计及审核）主管的汇报；

每年对「集团总管理处」及各主要附属公司的内部监控机制作检 讨并撰写检讨结果报告；

每半年收取各主要附属公司行政总裁的书面汇报，确定有关公司 的业务有否因内部监控不足而出现重大损失、意外事故或不明朗 的状况；

审阅内部审计报告

审阅外聘核数师报告

审阅「审慎检讨內部業務运作情況报告」

审阅监管机构的报告汇丰的主要内部监控措施「集团审计委员会」汇丰的主要内部监控措施「集团审计委员会」董事会通过「集团审计委员会」，每年定期检讨集团内部主要领域方面的内控制度的有效性。主要领域包括：财务、营运、合规及风险管理制度等方面的内控。「集团审计委员会」负责从管理层方面取得书面的确认，确保管理层已经采取措施去纠正在日常操作过程中识别出來的内控缺陷。汇丰的主要内部监控措施「集团审计委员会」某些国际先进银行的合规工作方式介绍在银行的境外分支机构或附属机构委任某些工作人员执行合规管理职能。业务部门、境外分支机构或附属机构进行自我评估(SelfAssessment)。合规管理部门负责人参与重大信贷申请个案的审批过程。产品管理委员会(ProductCommittee)风险管理委员会合规管理部门负责人参与三方会议、审慎会议。某些国际先进银行的合规工作方式介绍在银行的境外分支机构或附属对本地与海外分支机构的监控内控机制:

在总行設立专责部门管理分支机构 分支机构的高管人员必須定期轮岗 对分支机构的高管人员制定权限 汇报制度、汇报路線 制定分支机构的内控机制(请参阅下一页)

制定分支机构的预算，并对分支机构的实际表 现作出监控对本地与海外分支机构的监控对本地与海外分支机构的监控(2)制定分支机构的内控机制：

职能分离segregationofduties

員工定期轮岗 对分支机构內不同的高管人员制定权限 「四眼原则」“Foureyesprinciple”:制衡作用 内部管理报告与「异常报告」exceptionreports

严格控制不活跃的或不活动的、「休眠的」存款户口 inactiveordormantdepositaccounts

严格控制现金及有价值的文件 确保内审及合规工作的有效性 有效的风险管理制度riskmanagementsystem对本地与海外分支机构的监控(2)风险限额的设置A1单位VAR限额:3000万美元A2单位VAR限额:2500万美元A3单位VAR限额:2000万美元B1单位VAR限额:4500万美元B2单位VAR限额:4000万美元业务区VAR限额:1亿美元A业务组VAR限额:6000万美元B业务组VAR限额:6500万美元风险限额的设置A1单位A2单位A3单位B1单位B2单位业务区银行业内控管理和执行力建设的良好实践介绍与案例分析银行主要业务貸款證券投資及買賣活動工商融資接受存款衍生工具活動外匯買賣電子銀行業務資產管理银行主要业务貸款證券投資及買賣活動工商融資接受存款衍生工具活风险为本的监管制度

银行监管方式的演进

硬性互动规例主导资本为本的监管风险为本的监管?将来过去现在风险为本的监管制度银行监风险为本的监管制度(2)由于银行业务日趋复杂，银行必须确立全面的风险管理程序，以识别(identify)、量度(measure)、监察(monitor)及控制(manage)本身所承受的各类风险。银行应确保能识别新产品及业务的风险，并且先行确立足够的风险管理程序及管控措施，才推出这些新产品及业务。

监管者必须认识各类业务的不同风险。风险为本的监管制度(2)由于银行业务日趋复杂，银行必须确立全风险为本的监管制度(3)

为达到这个目的，金管局定出八项主要风险类别：信贷(creditrisk)利率(interestraterisk)市场(marketrisk)流动性(liquidity)操作(operationalrisk)声誉(reputationalrisk)法律(legalrisk)策略(strategicrisk)风险为本的监管制度(3)为达到这个目的，金管局定出什么是管理风险？量度(measure)

控制(manage)

风险主动，积极(proactive)前瞻性(forwardlooking)监察(monitor)

识别(identify)什么是管理风险？量度(measure)控制(manag

为什么需要管理风险？个体经理

企业家

投资者风险的承受者故此，必须是风险管理者您愿意承受多少程度的风险？高，中，低？银行必须是审慎的风险管理者因为资金属于公众人士倒闭导致银行系统性的风险为什么需要管理风险？个体风险的承受者故此，必须是风银行应该怎样处理其风险监管机构期望银行能制定适当的政策、程序及管控措施，以管理这些风险(以及银行认为本身要承受的任何其它风险)。董事局应负责审批有关的风险管理政策，但这些政策不应徒具只为满足监管当局要求的形式，而是能确实厘定机构日常运作的管理方法。银行应该怎样处理其风险监管机构期望银行能制定适当的政策、程序简介操作风险银行业内控管理和执行力建设的良好实践介绍与案例分析什么是操作风险(operationalrisk)这是由于信息系统不足、操作／交易问题(涉及提供服务或产品运送)、违反内部管控程序、欺诈行为或不可预见的灾难而可能引致意外损失的风险。可能面对操作风险的例子：计算机信息系统经常发生重大故障，缺乏健全 的应变计划(contingencyplan)缺乏清晰的内部工作指引(internalguidelines)大量提供股票融资贷款(sharemarginfinance)，但缺乏健全的信息系统去控制有关风险什么是操作风险(operationalrisk)案例讨论银行业内控管理和执行力建设的良好实践介绍与案例分析欺诈的手段澳洲国民银行

NationalAustraliaBank

（2004年1月初）案例一：亏损2.5亿美元欺诈的手段澳洲国民银行

NationalAustralia风险管理业务管理财务监控罗兵咸永度会计师事务所(PWC)及APRA的调查报告管理不足：自营业务收益比重过高；缺乏纪律:漠视交易额度限制；产品批核:绕过批核程序推出新产品。不准确的“风险值”(Value-at-Risk)计算；容许新产品在推出后才批核；未能将有关问题提升至最高管理层及董事会。缺乏适当程序去审阅被取消或更改的交易；没有对市场价格作足够之测试或覆验；缺乏有效的程序去分析交易损差之成因及跟进/调查异常之市场价格浮动。澳洲国民银行

NationalAustraliaBank案例一：主要风险点：风险管理业务管理财务监控罗兵咸永度会计师事公司管治操作监控罗兵咸永度会计师事务所(PWC)及APRA的调查报告缺乏对内部交易之监控；操作程序出常严重漏洞。未能在业务发展与风险管理之间取得平衡；忽视监管机构及市场人仕的警告后台支持部门资源不足。澳洲国民银行

NationalAustraliaBank案例一：公司管治操作监控罗兵咸永度会计师事务所(PWC)结果董事局主席、行长辞退四名交易员和他们的上司被开除，另三名高层被辞退其信用评级降至AA-罗兵咸永度会计师事务所(PWC)的调查报告APRA就此事对澳洲国民银行作出以下决定:受APRA密切监管，直至完成所有改善的措施；资本充足比率被提高至10%，直至内部缺陷得以改善为止；撤回允許银行以「内部模型」去计算资本充足比率(市场风险)的批准；暂停外汇期权业务的运作，直至新的内部监控框架成立为止。澳洲国民银行

案例一：澳洲国民银行

案例一：防范措施建立明确的职权分工制度，前台跟后台必须严格分开。提高员工的专业素质和专业技能，增强员工对市场风险管理的识别能力，能识别内部盈亏模型可能存在的缺陷。业务部门人员的工资，不应直接跟员工的“盈利”挂勾，避免鼓励员工参与高风险的活动。加强银行的内部公司治理结构：董事会内必须有足够的独立董事；审计委员会必须让非执行及独立董事组成；内审部必须向董事会或审计委员会负责。建立公司治理问责制：董事会必须对银行的内部风险管理及高管人员的素质负上最终的法律责任。防范措施建立明确的职权分工制度，前台跟后台必须严格分开。防范措施（续）加强合规管理工作的重要性，并与内审人员互相配合。必须维持对后台部门提供足够的资源。严格执行纪律:对于违反内部交易额度限制的人员必须严肃处理。用作估值的市场价格必须来自独立的来源，并且让后台人员负责计算，以及内审部门人员作抽查。合规部门人员必须定期跟董事会会面，商讨合规工作的情况。必须重视合规部门与内审部门的意见，并跟进高管人员有否落实合规部门与内审部门的建议。建立积极的合规风险管理文化。防范措施（续）加强合规管理工作的重要性，并与内审人员互相配合NickLeeson未获授权之期货期

权交易亏损15亿美元案例二：霸菱证券霸菱银行NickLeeson未获授权之期货期权交主要风险点：前台与后台缺乏明确的工作 职权分工内部盈亏模型不完善轻视内部审计意见存在大量未平仓合约LackofSegregationofDuties!!!案例二：霸菱银行缺乏「职责分离」!!！主要风险点：案例二：霸菱银行缺乏「职责分离」!!！防范措施建立明确的职权分工制度，前台跟后台必须严格分开。提高员工的专业素质和专业技能，增强员工对市场风险管理的识别能力，能识别内部盈亏模型可能存在的缺陷。对于银行存在大量的未平仓合约（敞口），绝对不可以掉以轻心。原则上不应允许，除非有强烈的理据。业务部门人员的工资，不应直接跟员工的“盈利”挂勾，避免鼓励员工参与高风险的活动。加强银行的内部公司治理结构：董事会内必须有足够的独立董事；审计委员会必须让非执行及独立董事组成；内审部必须向董事会或审计委员会负责。建立公司治理问责制：董事会必须对银行的内部风险管理及高管人员的素质负上最终的法律责任。防范措施建立明确的职权分工制度，前台跟后台必须严格分开。防范措施（续）建立合规部门，进行合规管理工作，并与内审人员互相配合。合规部门人员必须定期跟董事会会面，商讨合规工作的情况。必须重视合规部门与内审部门的意见，并跟进高管人员有否落实合规部门与内审部门的建议。建立积极的合规风险管理文化。合规部门人员必须能定期跟监管机构会面（例：审慎会议、三方会议等）。外聘审计师必须是具备公信力。防范措施（续）建立合规部门，进行合规管理工作，并与内审人员互阿布扎比政府AbuDhabiGovernment 77%

国商控股(BCCHoldingsSA)卢森堡国商国商海外 香港国商其它附属机构(BCCISA) (BCCIOverseas)

各分行 各分行 国商财务(卢森堡注册) (开曼群岛注册)(香港注册)案例三：国际商业信贷银行BankofCreditandCommerce阿布扎比政府AbuDhabiGovernment案例银行业内控管理和执行力建设的良好实践介绍与案例分析

案例三：国际商业信贷银行

背景资料一个由英国、卢森堡、西班牙和瑞士的银行监管当局于1988年组成的「监管团」。香港银行监理处于1989年7月加入成为成员之一。1991年7月3日：英伦银行接获国商集团外聘审计师提交的报告，指出卢森堡国商和国商海外涉嫌欺诈及洗黑錢活動。因此，无可能为国商集团拟备年度的财务帐目。1991年7月6日：英伦银行及国际监管团对国商集团開展全球性清盤行動

案例三：国际商业信贷银行

背景资料

案例四：花旗银行

背景资料2004年9月中，日本银行监管当局公开指摘花旗银行日本分行的私人银行业务部门涉及洗黑钱活动。日本证券业监管当局在日常审查中，发现大量“严重违规”的之交易（协助客户清洗黑钱）。花旗银行日本分行的私人银行业务被立刻终止，牌照在2005年9月中被正式撤走。此外，花旗银行日本分行还被禁止向新客户吸取外币存款。事发前长期忽视监管当局的监管规定与建议。操作风险方面的内部管控不足，法人治理不健全。

案例四：花旗银行

背景资料

案例五：澳门汇业银行

背景资料2005年9月中，美国财政部公开声明指摘澳门汇业银行涉及洗黑钱与贩卖军火的活动。大量存户提走存款。香港金融管理局对澳门汇业银行设在香港的附属接受存款公司实施“隔离政策”(ring-fencing)的措施，并委任独立会计师事务所为经理人，专责管理香港的附属公司。香港及美国监管当局提出警告，警戒其它银行将来必须终止与澳门汇业银行来往的可能性。澳门监管当局现正进行对澳门汇业银行的调查。

案例五：澳门汇业银行

背景资料主要风险点案例3,4,5均涉及洗黑钱活动，反映银行内部反洗钱工作不力。目前打击洗黑钱活动已是国际上极重视的课题。洗黑钱的定义现已覆盖「恐怖活动融资」。私人银行业务：高风险业务！接照历史经验，在西方国家内银行如涉及洗黑钱活动，后果可以很严重。国内的标准应跟国际标准接轨。主要风险点案例3,4,5均涉及洗黑钱活动，反映银行内部反洗防范措施建立严格的反洗钱制度（在各分支机构委任專責旳反洗钱合规主任）。主要包括以下要点： 反洗钱活动的基本政策和程序 “认识您的客户”（”KnowYourCustomer”） 查证业务申请人的身分 保存记录 识别及举报可疑交易 提高对员工的教育及训练合规部门日常的主要工作应包括防止洗黑钱工作。内审工作应包括审查内部的反洗钱制度的有效性。防范措施建立严格的反洗钱制度（在各分支机构委任專責旳反洗钱合「打击清洗黑钱财务行动特别组织」（FATF）于2003年发出经更新的40+9项建议：《补充文件》的要点(1)风险为本的模式（risk-basedapproach）： 对高风险客户应采用更全面及详尽的客户查证程序 对于低风险客户可使用简化的客户查证程序「打击清洗黑钱财务行动特别组织」（FATF）于2003年发出「打击清洗黑钱财务行动特别组织」（FATF）于2003年发出经更新的40+9项建议：《补充文件》的要点(2)「风险为本」应考虑的因素：

客户居住地／业务所在地／资金来源地

客户的背景（例如政界及其有关人士）

客户业务性质（例：赌场或货币兑换商）

银行服务种类（例：私人银行业务客户）

如属公司客户，其所有权结构是否过度复 杂，而且客户没法提供合理的理据？「打击清洗黑钱财务行动特别组织」（FATF）于2003年发出风险的识别与评估应经常对现行或新的主要产品、商业活动、日常工作程序以及内部管控系统进行操作风险方面的检讨2. 应考虑可能影响银行的内部及外部因素，例如：

银行本身的管理架构，人事管理政策，员工流动率，机构内部结构 的改变

客户的背景，产品及业务的性质，交易的容量及复杂性

工作程序的设计及执行

执行商业活动的内部系统

外部的营商环境以及银行业内的趋势，包括政 治，法律，科技，同业竞争等因素3. 评估操作风险的手段：

自我评估的程序

风险指标（统计数据：例：员工流动率，内部工作或内部系统失误 的频率及严重性）风险的识别与评估应经常对现行或新的主要产品、商业活动、日常工操作风险识别表面临的风险状况风险高程中度低业务公司金融个人金融...部门个人金融部信用卡部分支行...操作风险识别表面临的风险状况风险程度业务公司金风险的监测与汇报1.

应制定程序定期向高管人员及董事局汇报操作风险方面的情况2. 应制定程序经常检讨银行内部可能面对操作风险影响的地方。检讨应包括：

定量与定性的评估

评估目前银行内部已制定的纠正/纾缓措施是否恰当

确保银行现行已具备足够的内部管控措施以识别及应付 问题，避免日后发展为主要的忧虑应发展适当的“主要风险指标”（keyriskindicators)提供预警报告给高管人员董事局及高管人员应定期收到银行内部的监控报告、内审部门及风险部门的合规报告、以及监管机构的报告；有助银行高层能全面理解操作风险方面的情况。风险的监测与汇报1.应制定程序定期向高管人员及董事局汇报操风险的监测与汇报（续）5.

高管人员应确保各级的管理人员能及时收到相关的风险报告（报告来源：业务部门、后勤部门、操作风险管理部及内审部门）报告应包括适当的分析。目的：改善管理人员的表现以及发展新的风险管理政策与程序高管人员应经常检讨报告的时间性及准确性高管人员应经常跟踪报告中的信息、数据及趋势（尤其涉及“损失”的数据），以建立一套有效的系统去跟踪发生损失的事件风险的监测与汇报（续）5.高管人员应确保各级的管理人员能及《新资本协议》框架的基本要点

《新资本协议》是以3大“支柱”作为基础:最低资本要求(MinimumCapitalRequirements)监管部门的监督检查(SupervisoryReviewProcess)市场纪律(MarketDiscipline)3大支柱各自互相补充《新资本协议》框架的基本要点

《新资本协议》是以3大“支柱”风险管理的基本理念

不管日常的风险管理工作做得多好，没有一套完美的方法可以保证防止风险的发生。 防患于未然的措施：必須经常维持足够的资本充足率去应对不可预见的风险。风险管理的基本理念

不管日常的风险管理工作做得多好，

关于操作风险方面

的资本计提方法

关于操作风险方面

的资本计提方法操作风险的资本計提方法

(1)《新资本协定》建议3种方法：a)

基本指标法BasicIndicatorApproach(BIA)b)标准法StandardisedApproach(STA)/AlternativeStandardisedApproach(ASA)c)高级计量法AdvancedMeasurementApproach(AMA，金管局暂不采用)操作风险的资本計提方法(1)操作风险的资本計提方法

(2)基本指标法BIA每年“提取准备金前毛利”（grossincome）的15%采取过去3年计算的平均值，作为操作风险资本金的最低要求水平某年出现亏损，则该年不用作计算操作风险的资本計提方法(2)基本指标法BIA操作风险的资本計提方法

(3)a.基本指标法

BIA(续）KBIA=[(GI1…nx)]/nK=capitalchargeunderBIA計提資本G=annualgrossincome,where+ve,overtheprevious3yrs過去3年總收入15%n=no.oftheprevious3yrsforwhichGis+ve過去3年中银行的收入为正數的年份數目操作风险的资本計提方法(3)a.基本指标法BIA(续）操作风险的资本計提方法

(4)b.(i)标准法STA/(ii)另类标准法ASAb.(i)标准法STA将银行业务划分为８大操作范围：企业财务 (CorporateFinance)贸易及销售 (Trading&Sales)

零售银行业务 (RetailBanking)

商业银行业务 (CommercialBanking) 支付及清算操作

(Payment&Settlement)代理服务 (Agentservices)资产管理 (AssetManagement)零售性中间业务 (Retailbrokerage)各类操作过去３年的平均毛利x各自的资本提取率，得出各自的操作资本最低要求，加起来就是银行整体的操作资本最低要求操作风险的资本計提方法(4)b.(i)标准法STA操作风险的资本計提方法

(5)b.(i)标准法STA/(ii)另类标准法ASA(续）b.(i)标准法STA(续）KSTA={years1-3max[(GI1-8x1-8),0]}/3capitalchargeunderSTA計提資本annualgrossincomeforeachofthe8businesslines八類業務中各業務的總收入afixedpercentageassignedeachofthe8businesslines各業務乘以指定的因子操作风险的资本計提方法(5)b.(i)标准法STA操作风险的资本計提方法

(6)

b.(i)标准法STA/(ii)另类标准法

ASA(续）b.(ii)另类标准法

ASA针对零售银行及商业银行业务该两项业务各自的贷款额x调整因子(m)x资本提取率（与STA的资本提取率一样）＝操作风险资本最低要求其它６项业务计算方法与STA一样操作风险的资本計提方法(6)b.(i)标准法STA/操作风险的资本計提方法

(7)

b.标准法

STA/另类标准法

ASA(续）b.(ii)另类标准法

ASA（续）

以零售银行业务为例的公式（商业银行业务的公式类同） KRB=RBxmxLARB*總貸款=最近4季尾的貸款平均數(Totalloans&advancesequalstheaverageofloans&advancesatthelast4quarterends)capitalchargeforRBline計提資本betaforRBline零售業務的規定beta因子0.035totaloutstandingRBloansandadvances*,averagedoverpast3yrs過去3年的平均零售性貸款操作风险的资本計提方法(7)b.标准法STA/另类标举例示范举例示范举例示范(续)举例示范(续)a.基本指标法BIAa.基本指标法BIAb.(i)标准法

STAb.(i)标准法STAb.(i)标准法

STA(续)(200x15%)=30b.(i)标准法STA(续)(200x15%)=30b.(ii)另类标准法ASAb.(ii)另类标准法ASAb.(ii)另类标准法ASA

(续)总收入xBeta(120x18%=21.60.035x12%x800=3.4b.(ii)另类标准法ASA(续)总收入xBeta内控与风险管理的关系内控与风险管理的关系内控与风险管理的关系良好的公司治理职能分离segregationofduties巴塞尔内控14重大原则內審功能Internalauditactivities风险管理RiskManagement：信贷风险管理、利率风险管理、操作风险管理、合规风险管理……、其它的风险管理等等。罒眼原則Four-eyeprinciple高層管理人員的監控ManagementOversight报制机Reportingsystems內控文化controlculture其它內控的元素内控与风险管理的关系良好的公司治理职能分离segregati总结亚洲金融风暴及近年的金融海啸显示银行有需要改进其风险管理。新资本协议强调银行风险管理的重要性。总结亚洲金融风暴及近年的金融海啸显示银行有需要改进其风险管理答问与讨论答问与讨论谢谢

！

谢谢！附件附件1: 银行内控及风险管理组织架构图附件2: 某国际性银行披露操作风险管理制 度的情况附件3: 金管局关于操作风险方面的指引附件4: 金管局关于监控衍生工具业务操作 风险方面的指引附件银行业内控管理和执行力建设的良好实践介绍

与案例分析香港金融管理局冯敦孝高级经理日期:2011年9月27日银行业内控管理和执行力建设的良好实践介绍

与案例分析讲座重点

监管机构对银行的内控与风险管理要求 介绍 银行内控管理和执行力建设的良好实践 介绍讲座重点

主要內容什么是内部监控系统?银行公司治理的主要原则监管机构对银行的内控与风险管理要求「职能分离」的重要原则某国际性银行的内控机制介绍某些国际先进银行的合规工作方式介绍对本地与海外分支机构的监控国际案例讨论风险的识别与评估风险的监测与汇报《新资本协议》框架的基本要点关于操作风险方面的资本计提方法内控与风险管理的关系总结主要內容什么是内部监控系统?什么是内部监控系统?(1)定义一家机构内建立的一整套控制系统，其范围函盖财务管理及其它方面。该系统可使机构有规律及有效地进行业务活动，确保遵守管理政策，保护机构拥有的资产，及尽可能地维持帐目记录的详尽性及准确性。(节录自英国会计师公会的审计指引)什么是内部监控系统?(1)定义什么是内部监控系统?(2)内控机制:

主要分作2大类：(1)「主要」

primary的内控机制及(2)「次要」

secondary的内控机制.「主要」的内控机制:主要是预防性的控制-为了防止风险事件的发生，以及侦察性的控制-为了测定有否风险事件的存在。「次要」的内控机制：主要是指日常的监控手段，例如：日常管理层对预算的检讨、对内部管理报表的检讨、利用财务分析手段检讨各部门的业务表现等等。什么是内部监控系统?(2)内控机制:银行的倒闭可能对整个银行体系造成系统性的影响，损害金融及社会经济的稳定性。银行的资金主要来自存款人，股东的资金只占小部份。银行应以本身的稳健性及存款人的利益为先，做好公司治理、内部控制及风险管理。前言银行的倒闭可能对整个银行体系造成系统性的影响，损害金融及社会银行的拥有权与管理权应分开，聘用专业管理人员。明确分配决策权和责任。清楚列明决策的规则和程序。制订银行的业务目标，以审慎的方式经营业务，及保障存款人的利益。银行公司管治的主要原则银行的拥有权与管理权应分开，聘用专业管理人员。银行公司管治的银行组织架构董事会执行委员会信贷委员会资产负债管理委员会薪酬委员会提名委员会审计委员会行政总裁及高级管理层信贷部市场部零售业务部资金部风险管理部信息系统部财务部操作部内部审计股东大会外部审计人事部合規部银行组织架构董事会执行委员会信贷委员会资产负债薪酬委员会提名银行公司管治主要组成部份董事会监管机构管理层审计委员会内部审计外聘审计师监控路线报告路线股东大会各专责委员会银行公司管治主要组成部份董事会监管机构管理层审计委员会内部审大纲第一部份: 内部监控及风险管理系统的一般架构第二部份: 内部监控系统(内控)第三部份: 审计功能第四部份: 风险管理系统(风管)大纲第一部份: 内部监控及风险管理系统的一般架构第一部份内部监控及风险管理系统的一般架构银行业内控管理和执行力建设的良好实践介绍与案例分析內控及風管一般架構(1)專責委員會:負責內控及風險管理工作董事局對內部監控及風險管理負有最終責任執行委員會

/風險管理委員會資產及負債委員會審計委員會信貸委員會業務操作風險管理委員會其他風險管理委員會高級管理層:負責監察日常風險管理工作個別業務部門負責遵守政策、程序及限額(前線部門)法規遵行部門負責遵行法律規定及監管要求風險管理部門負責日常風險管理(中間部門)內部審計部門負責進行獨立審計內控及風管一般架構(1)專責委員會:負責內控及風險管理工银行内控及风险管理组织架构图

（请参阅附件1）

银行内控及风险管理组织架构图

（请参阅附件1一般架构(2)有效之内控及风管架构建基于:(1)

有效的公司管治董事局及高级管理层的监察政策及程序守则权限分配(2)

适当的内控及风管环境公司文化确认了内控及风管的重要性(3)

分工适当的公司组织架构独立的内控及风管功能(4)

足够的及准确的帐目及记录以便查核及确定风险的性质、量度、监控及汇报一般架构(2)有效之内控及风管架构建基于:第二部份內部監控系統(內控)银行业内控管理和执行力建设的良好实践介绍与案例分析内部监控系统(1)良好的内控系统有助一家机构达到以下目标:

有助提高运作效率 提供可靠的财务数据 确保资产的安全性及有效运用 减少因失误、欺诈等不当行为所引起的损失 确保有效的风险管理系统 确保能遵守法律及监管规定内部监控系统(1)良好的内控系统有助一家机构达到以下目标:内部监控系统(2)对银行而言，内控系统应包括以下主要范围:(1)高层次的监控(2)对各主要业务范围的监控(3)对财务会计系统的监控(4)对信息科技系统的监控(5)对外包业务的监控(6)对遵守法规的监控 对防止清洗黑钱活动的监控（巴塞尔委员会的定义）内部监控系统(2)对银行而言，内控系统应包括以下主要范围:内部监控系统(3)(1)高层次的监控有效的公司管治制度明确合理的权限清晰的政策及规章制度各主要功能的分割，确保互相约束及制衡 (例：业务发展、风险管理、会计、结算、审计、法规等功能应各自分开及互相制衡)内部监控系统(3)(1)高层次的监控内部监控系统(4)(2)对各主要业务范围的监控银行可概括地分为以下主要业务：

零售银行、批发银行、企业银行、私人银行及财资业务等。对每项主要业务，应建立清晰的业务目标、功能及责任、权力分配、审批制度、额度控制及敏感工作地点之出入管制等。内部监控系统(4)(2)对各主要业务范围的监控内部监控系统(5)(3)对财务会计系统的监控 目的：確保管理信息系统的准确性及效率確保定期进行的财务预算順利確保能定期向管理层提交足够的财务报告確保能准确地與及时地向监管机构呈交所需的报表内部监控系统(5)(3)对财务会计系统的监控内部监控系统(6)(4)對資訊科技系統的監控 目的：确保信息科技系统能应付业务所需确保拥有足够资源及人材确保系统的运作、保养及提升确保具备有效的应变计划以应付突发事件内部监控系统(6)(4)對資訊科技系統的監控内部监控系统(7)(5)对外包业务的监控 目的：确保具備一套清晰的外包策略确保清楚了解外包合作伙伴的专业能力及可靠性确保能有效监察合作伙伴，并定期审查外包业务的运作应建立有效的应变计划应清楚了解及遵守监管机构对外包方面的监管要求内部监控系统(7)(5)对外包业务的监控内部监控系统(8)(6)对遵守法规方面的监控职能：监控银行的日常商业活动，确保严格遵守法律的规定、监管的规定以及银行既定的政策与程序。

具備有效的合規功能的先決條件:

独立的合规部门，能直接向董事局、专责委员会、或最高管理层报告拥有足够的资源及称职的员工内部监控系统(8)(6)对遵守法规方面的监控内部监控系统(9)(7)对防止洗黑钱活动的监控清晰的“认识您的客户”(“KnowYourCustomer”Policy)的政策及程序有效的识别可疑交易的系统及汇报程序遵守法律规定,与执法机构保持合作足够的员工培训定期的审计及合规检查委任专责的反洗钱合规主任反恐怖融资内部监控系统(9)(7)对防止洗黑钱活动的监控第三部份審計功能银行业内控管理和执行力建设的良好实践介绍与案例分析审计功能(1)审计功能是内控系统的重要组成部份审计功能由三方共同承担:(a) 审计委员会(b) 内部审计(c) 外聘审计审计功能(1)审计功能是内控系统的重要组成部份审计功能(2)(a)审计委员会由非执行董事组成，大部份应为独立非执行董事主要职能：对于内控及风管方面事宜向董事局提供独立的意见监察内部及外聘审计师的工作表现维持董事局与内部审计师及外聘审计师之间的沟通渠道通监察会计及财务报告的政策及实施情况协助董事局监控公司的合规情况协助董事局履行作为受托管理人的责任审计功能(2)(a)审计委员会審計功能(3)(b)内部审计有效内部审计功能的先决条件：拥有独立的自主权以决定内部审计之范围及方法明确规定业务部门管理层必須对内部审计的建议作出适当的回应采用有效的方法以识别银行内部存在的主要风险具备足够的资源及称职的审计人员能随时直接向董事会及审计委员会汇报具备取得任何资料或向银行任何员工提出訊问作審計用途的权力内审部主管的委任与撤职必须通过董事会及审计委员会的审批。審計功能(3)(b)内部审计审计功能(4)(b)内部审计(续)主要职能审查及评估内控及风管系统的有效性对各操作范围进行内部审核在审计委员会指令下参与个别的调查项目评估业务部门是否遵守既定的业务策略,政策及程序审计功能(4)(b)内部审计(续)审计功能(5)(c)外聘审计师按照会计准则履行专业的审核由董事局委任(非受聘于管理层)主要职能：对银行的财务报表提供具法律责任的意见，并签署银行的年报对银行的财务会计及内控系统向董事局提供独立的意见履行相关的法律及监管规定

(金管局规定外聘审计师必须按照“银行条例”的框架定期进行审核。外聘审计师若发现重要事项，必须主动报告金管局，并须出席「三方会议」。)审计功能(5)(c)外聘审计师审计功能(6)(c)外聘审计师(续) 其它重点外聘审计师的部份工作可倚靠内部审计师之审计结果。但外聘审计师需尽其所能履行其审计工作责任及按照专业守则在其审计范围內作出独立的意见。外聘审计师应避免利益冲突之可能性。(例：不应同时出任银行的审计师及财务顾问)审计功能(6)(c)外聘审计师(续)第四部份风险管理系统(风管)银行业内控管理和执行力建设的良好实践介绍与案例分析风险组织架构(1)風險管理委員會董事局及管理层之监控公司管治政策及程序风险管理风险的识别风险的量度风险的监察风险的控制风险的汇报

重点:独立风管功能分工策略风险法律风险业务操作风险市场风险利率风险流动资金风险信誉风险信贷风险公司风险管理文化内部审计风险组织架构(1)風險管理委員會董事局及管理层之监控公司管风险管理系统(2)风管主要组成部份:

(a)风险的识别(b)风险的量度(c)风险的监察(d)风险的控制(e)风险的汇报风险管理系统(2)风管主要组成部份:风险管理系统(3)(a)风险的识别

识别在业务活动中潜在的各种风险八类主要风险：信贷、市场、利率、流动性、操作、策略、法律及声誉风险管理系统(3)(a)风险的识别风险管理系统(4)例子：银行拟购入一种由境外公司发行之定息外币债券信贷风险-发债者能否履行合约及它的償还能力？市场风险-债券价格及汇率的波动？利率风险-利率基点风险、孳息曲线风险、期权风险(若附 带提早或延迟赎回条款)流动资金风险–相關债券在市场的買賣活跃程度？业务操作风险–審批过程、對财资部门操作的监控、结算风险等 ？法律风险- 法律文件的完备性、发债者及投资者(银行)是否 已遵守一切有关的法律规定？策略风险- 银行买入该债券是否符合既定的业务策略？声誉风险- 此项投资是否影响公众人士(如小股东及存款人)的信 心？风险管理系统(4)例子：银行拟购入一种由境外公司发行之定息风险管理系统(5)(b)风险的量度量度必须详尽及准确分别计算每种不同的风险，并综合评估整体的风险程度计算风险与回报的关系量度不同风险的方法介紹：

(1)市埸风险市价估值mark-to-market(应由独立部门专责定期进行)压力测试(应考虑各种可能出现的不利情况)「估计亏损风险值」(Value-at-Risk“VAR”)风险管理系统(5)(b)风险的量度风险管理系统(6)(b)风险的量度(续)量度不同风险的方法介紹

(续)： (2)利率风险计算当利率水平发生变化时，对银行的：(1)短期利息收入的影响；及(2)“经济价值”（EconomicValueofEquity“EVE”)的影响。(例:「缺口表」GapAnalysis或「久期」Duration方法)。压力测试(例:利率水平发生不同的变化时对银行利息收入及支出的影响)。 (3)信贷风险建立完善的资产评级分类系统(巴塞尔新资本协议的[标准方式]容许银行参考国际信贷评级进行资产评级分类，该新协议的[内部评级方式]亦容许较大型及先进的银行根据其业务特性建立内部资产评级分类系统)计算「违约概率」ProbabilityofDefault(“PD”)计算不良贷款的金额及坏账拨备额等压力测试(例:不良贷款额发生不同的变化时对银行财务状况的影响)风险管理系统(6)(b)风险的量度(续)风险管理系统(7)(c)风险的监察

独立部门负责监察：各业务部门是否在既定的内部限额额度内进行业务？有否超额？有否不按既定的风险管理政策办事？风险管理系统(7)(c)风险的监察风险管理系统(8)(d)风险的控制建立完善的风管政策及操作守则，并须经董事