《商业银行经营管理》第九章

《商业银行经营管理》第九章商业银行合规管理与内部控制本章内容第九章商业银行合规管理与内部控制第一节商业银行合规管理

第二节商业银行内部控制第三节商业银行内部稽核

第一节商业银行合规管理合规与合规管理银行业合规管理的发展合规管理体系一、合规与合规管理合规合规的英文为“compliance”，意指“遵从、依从、遵守”。中文“合规”一词，顾名思义，就是指合乎规范。根据中国银监会2006年颁布的《商业银行合规风险管理指引》定义，合规是指使商业银行的经营活动与法律、规则和准则相一致。合规的核心含义就是指符合一定的规则或准则。一、合规与合规管理合规风险合规风险也就是指行为违反法律、规则和准则而招致的风险。巴塞尔银行监管委员会对合规风险给出了明确的定义：“银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。”一、合规与合规管理合规管理商业银行的合规管理是指对商业银行各面的行动进行有意识的组织和协调，确保组织各个机构和人员的各项业务行为符合外部法律法规、监管规则以及内部各项规章制度目标的过程。我国《商业银行合规风险管理指引》明确指出，商业银行合规风险管理的目标是通过建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营。二、银行业合规管理的发展（一）国际银行业合规管理的发展1992年，COSO委员会建立了内部控制整体框架；1998年，提出了银行业机构内部控制体系架构；2002年，美国通过的《2002上市公司会计改革与投资者保护案》，即著名的萨班斯法案；2003年，COSO委员会提出全面风险管理框架；2003年10月，巴塞尔委员会发布的《银行内部合规部门》的咨询文件；2005年4月，巴塞尔委员会发布了《合规与银行内部合规部门》的高级文件。二、银行业合规管理的发展（二）中国银行业合规管理的发展2002年，中国银行总行法律事务部更名为法律与合规部；2003年，中国建设银行总行法律事务部设立合规处，2005年单设合规部；2004年中国工商银行设立内控合规部，后又分设法律事务部和合规事务部；2005年，中国民生银行设立法律合规部，中国农业银行进行合规岗、合规经理制试点，上海银行业公会发布了《上海行业金融机构合规风险管理机制建设的指导意见》；2006年10月25日，银监会发布了《商业银行合规风险管理指引》，标志着我国商业银行进入了合规风险管理全面实施的阶段。三、合规管理体系有效的合规风险管理体系应包括以下基本要素：合规政策；合规管理部门的组织结构和资源；合规风险管理计划；合规风险识别和管理流程；合规培训与教育制度。三、合规管理体系合规政策商业银行的合规政策，是规定银行合规风险管理的基本方针和指导思想，以及合规风险管理体系的总体框架等有关银行合规经营基本理念的纲领性文件，是商业银行构建合规风险管理体系以及制定合规管理程序、合规管理流程、合规手册、员工行为准则等合规指南的重要依据。合规政策时是合规风险管理体系的基础。三、合规管理体系合规管理部门综观国际银行业合规管理体系建设的实践及经验，尽管不同银行合规部门的组织结构因银行规模、经营的复杂程度、银行业务的性质及其区域分布的不同而有所不同，但就整体而言，主要存在两种组织结构一是集中化的组织结构；另一种则是分散化的组织结构。

三、合规管理体系合规管理部门——集中化的组织结构该组织结构采取了垂直化的合规管理组织架构，即所有的合规管理工作的人员都放在一个独立的合规管理条线。对于权限主要集中于总行、未实行事业部制的商业银行来说，合规部门组织结构一般倾向于采用集中化结构。该结构的主要特点是在银行内部形成一个独立的合规部门体系，即在总行设立正式的合规部门，直接领导银行各分支机构（或地区总部）的合规部门。该模式又分为两类：一类是成立单一、完全独立的合规部。三、合规管理体系合规管理部门——分散化的组织结构该组织结构采取分权形式的合规管理组织架构，即负责合规管理工作的人员分布在不同业务部门或业务条线。该组织结构的主要特点是：在总行设立合规部门，但在分支机构或者业务条线上建立业务部门的合规员体系，即在各分支机构以及业务条线上设立合规员的岗位，各部门（或机构）负责人或资深员工担任合规员，承担所属部门的合规职责。同时，还会根据不同国家或区域化管理的需要设立合规部门，。在报告路线上，分散化的组织结构也存在矩阵式和条线式两类报告路线。三、合规管理体系合规管理计划商业银行合规管理计划主要包括以下内容：董事会和高级管理层的监督；政策和程序；内部控制措施；监测与报告；培训与教育；应对消费者投诉。三、合规管理体系合规风险识别和流程商业银行的合规风险管理流程一般包括：合规风险识别

；合规风险评估和测试

；合规风险应对

；合规风险监控

；合规培训与教育制度

；第二节商业银行内部控制商业银行内部控制的概述商业银行内部控制的要素商业银行内部控制的内容商业银行内部控制的流程一、商业银行内部控制的概述内部控制的概念根据中国银监会2007年7月颁布的《商业银行内部控制指引》的定义，内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。一、商业银行内部控制的概述内部控制的目标巴塞尔监督委员会把商业银行内部控制目标分解为操作性目标、信息性目标和合规性目标。操作目标不只针对经营活动，而且包括其他各种活动，强调各种活动的效果和效率。信息性目标包括管理信息，明确要求实现财务和管理信息的可靠性、完整性和及时性。合规性目标也即遵从性目标，要求商业银行遵从现行法律和规章制度。一、商业银行内部控制的概述内部控制的目标——遵循目标

遵循目标：确保国家法律法规和商业银行内部规章制度的贯彻执行。这是商业银行内部控制的第一目标。银行业是高风险行业，对风险的有效防止与控制要求其必须合规合法经营，而合规合法经营则应严格贯彻执行各项规章制度，这是商业银行安全运行的前提和基础。一、商业银行内部控制的概述内部控制的目标——运作目标

运作目标：确保商业银行发展战略和经营目标的全面实施和充分实现。注重长期稳定发展的商业银行都会根据自身情况和市场条件制定相应的发展战略和经营目标，内部控制的目标之一就要保证它们的全面实施和充分实现，内控机制必须能够保证商业银行发展战略和经营目标的实现。一、商业银行内部控制的概述内部控制的目标——安全目标

安全目标：确保风险管理体系的有效性。对商业银行来说，风险既预示着机遇，也影响其竞争能力，并影响其维持融资的能力及保持和提高其服务水平的能力。商业银行的风险管理体系越健全、有效，在同业竞争中就越处于有利的地位，因此内部控制应当确保风险管理体系的有效建立和正常运行。一、商业银行内部控制的概述内部控制的目标——信息目标信息目标：确保业务记录、财务信息和其他管理信息的及时、真实和完整。及时、真实和完整的信息资源是商业银行经营和管理的决策依据，是商业银行正确掌握和评价其经营管理效果的前提，也是按照有关法律规定进行有效信息披露的基础，因此也是内部控制的重要目标，要通过内部控制保证商业银行信息系统所产信息的及时性、可靠性和完整性。一、商业银行内部控制的概述内部控制的原则全面性原则审慎性原则有效性原则独立性原则二、商业银行内部控制的要素控制环境：包括管理组织结构、管理理念、人事政策和员工素质、外部环境等。风险评估：包括风险点进行选择、识别、分析和评估的全过程。控制活动：是确保管理方针得以实现的一些列制度程序和措施。信息和沟通：包括内外部、上下层和各部门间的信息的获取和交流，以便采取必要的控制活动，及时解决存在的问题。监督与审查：是为保证内部控制的有效性、充分性、可行性而对内部控制制度进行的持续性的评价和单向制度的分别评价。二、商业银行内部控制的要素控制环境商业银行应当建立良好的公司治理以及分工合理、职责明确、相互制衡、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。董事会、监事会和高级管理层责任。企业文化。

风险识别与评估

商业银行应当设立履行风险管理职能的专门部门，负责具体制定并实施识别、计量、监测和控制风险的制度、程序和方法，以确保风险管理和经营目标的实现。商业银行应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。商业银行设立新的机构或开办新的业务，应当事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施。商业银行应建立并保持识别和获取使用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。商业银行应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。二、商业银行内部控制的要素内部控制措施

运行控制。商业银行应确定需要采取控制措施的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。计算机系统环境下的控制。商业银行应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。应急准备与处置。商业银行应当建立并保持预案和程序，以识别可能发生的意外事件或紧急情况。意外事件和紧急情况发生时，应及时做出应急处置，以预防或减少可能造成的损失，确保业务持续开展。二、商业银行内部控制的要素信息交流与反馈商业银行应建立并保持信息交流与沟通的程序，明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。商业银行应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈。商业银行应当实现经营管理的信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向中国银监会及其派出机构报送监管报表资料和对外披露信息。

二、商业银行内部控制的要素监督评价与纠正机制商业银行应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。商业银行的业务部门应当对各项业务经营状况进行经常性检查，及时发现内部控制存在的问题，并迅速予以纠正。商业银行应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。商业银行的内部审计部门应当有权获得商业银行的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监督和评价。商业银行应当建立有效的内部控制报告和纠正机制，业务部门、内部审计部门和其他人员发现的内部控制的问题，均应当有畅通的报告渠道和有效的纠正措施。二、商业银行内部控制的要素三、商业银行内部控制的内容根据《内控指引》规定，商业银行内部控制应包括6个方面的内容：授信的内部控制资金业务的内部控制存款和柜台业务的内部控制中间业务的内部控制会计的内部控制计算机信息系统的内部控制四、商业银行内部控制的流程内部控制是一个连续的过程，在这个过程中主要包括内部控制的设计内部控制的执行内部控制的评价四、商业银行内部控制的流程内部控制的设计内部控制设计主要是指内部控制制度的制定。内部控制设计主要包括：确定设计方式进行调查研究进行具体设计试运行与修订四、商业银行内部控制的流程内部控制的执行——内部控制的措施高层检查行为控制实物控制风险暴露限制的审查审批与授权验证与核实不兼容岗位的适当分离四、商业银行内部控制的流程内部控制的执行——内部控制的要点增强执行制度意识明确执行制度内容

落实执行制度措施注重执行制度检查与调节

四、商业银行内部控制的流程内部控制的执行——内部控制的评价商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。四、商业银行内部控制的流程内部控制的执行——内部控制的评价根据《内控评价办法》第八条规定，内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行：过程和风险是否已被充分识别；过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持；控制措施是否有效；控制措施是否适宜。

四、商业银行内部控制的流程内部控制的执行——内部控制的评价内部控制评价程序一般包括：评价准备评价实施评价报告形成评价反馈四、商业银行内部控制的流程内部控制的执行——内部控制的评价内部控制评价程序一般包括：评价准备评价实施评价报告形成评价反馈第三节商业银行内部稽核商业银行内部稽核的基本内涵商业银行内部稽核的内容商业银行内部稽核的流程一、商业银行内部稽核的基本内涵稽核是审计在银行中的传统称谓，商业银行的内部稽核是指商业银行对自身的稽核检查，是商业银行内部为银行服务的、对控制系统和经营质量进行独立评估的一项功能。它客观地检查、评估和报告内部控制是否足够，以确保银行的资源得到有效、适当、经济和高效的使用。商业银行内部稽核包括银行所有的经营活动，即技术、商业、财务、安全、会计和管理六个方面。二、商业银行内部稽核的内容内部稽核的范围包括商业银行所有的业务和管理活动，主要包括以下几个方面：资产负债稽核

会计财务稽核

金融服务