商业银行内控

来自实战的话题第一页，共四十二页。

来自实战的话题讲座内容是基于2011－2012年全国多家城商行的实地调研：北京银行南京银行宁波银行杭州银行广州银行哈尔滨银行富滇银行宁夏银行长安银行兰州银行等第二页，共四十二页。来自实战的话题来自实战的话题第三页，共四十二页。来自实战的话题第四页，共四十二页。内控的含义究竟是什么——从两个内控定义说起之一：商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内部控制的目标包括：确保国家法律规定和商业银行内部规章制度的贯彻执行；确保商业银行发展战略和经营目标的全面实施和充分实现；

确保风险管理体系的有效性；

确保业务记录、财务信息和其他管理信息的及时、真实和完整。（中国银监会2007年制定并颁布《商业银行内部控制指引》）之二：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

（财政部、证监会、审计署、银监会、保监会2008年颁布的《企业内部控制基本规范》）。第五页，共四十二页。主体客体目标属性——银监会：无——五部委：企业董事会、监事会、经理层和全体员工建议：突出治理层第六页，共四十二页。客体——银监会：风险——五部委：经营管理活动、资产、财务报告及相关信息建议：突出风险第七页，共四十二页。目标——银监会：确保国家法律规定和商业银行内部规章制度的贯彻执行；确保商业银行发展战略和经营目标的全面实施和充分实现；确保风险管理体系的有效性；确保业务记录、财务信息和其他管理信息的及时、真实和完整。——五部委：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。建议：突出风险控制第八页，共四十二页。属性——银监会：商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。——五部委：实现控制目标的过程。建议：突出过程和机制第九页，共四十二页。来自实战的话题第十页，共四十二页。内控的架构如何形成——从“五要素”说起五要素内容信息与沟通内部环境内部监督风险评估控制活动第十一页，共四十二页。——内部环境：实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。——风险评估：及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。——控制活动：根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。——信息与沟通：及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。——内部监督：对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第十二页，共四十二页。五要素整合第十三页，共四十二页。覆盖：

业务活动——包括公司业务、小微企业、个人业务、金融业务、国际业务、投资银行、银行卡、电子银行、消费金融与信用卡管理活动——计划财务管理、会计结算管理、信贷管理、风险管理、法律事务管理、应急管理支持保障——包括资金营运及现金管理、信息技术、人力资源、办公行政后勤、安全保卫监督评价——包括内部审计、监察监督第十四页，共四十二页。来自实战的话题第十五页，共四十二页。内控的关键何在——从一次内控评价说起一）评价的假设二）评价过程（以L银行为例）三）结论、关键与建议1．结论2．关键3．建议第十六页，共四十二页。一）评价的假设——是外部还是内部（评级主体）——是能够履行符合性测试还是不能履行的——是能够充分履行的还是不能充分履行的——是全面的“五要素”还是选择性内容（评价内容）——是“大纲式”还是“指标化”——是定性还是定量——是自己寻证借用判断，还是借助于相关材料加以总结（评价手段和方法）第十七页，共四十二页。一）评价的假设——是主动问卷还是被动问卷——是客观填制还是主观判断——是总体判断还是差异分析——是一级指标还是多层指标——是定性总论还是定量细化——是简单汇总还是层次分析——是简单平均还是复合权重第十八页，共四十二页。一）评价的假设——是自建还是借用（评价标准）——是稳定型还是动态型（评价标准）——是内部还是外部（评价报告）——是评价型还是建设型（评价报告）第十九页，共四十二页。二）评价过程（以L银行为例）——调查对象：L银行分支行管理者和员工——调查内容与指标：“了解某些与内控相关的事实是否存在的指标”（本部分共有40个指标）“了解对内控原理理解方面的指标”（本部分有35个指标）“了解内控制度执行情况的指标”（本部分有70个指标）调查问卷第二十页，共四十二页。三）结论、关键与建议1．结论——对内控问题的认识上，不存在工作年限上的明显差

异——问卷结果在各个岗位之间不存在较为明显的差异性，

但在分支行行长与员工之间却存在较为明显的差异——分支行在内控管理职责履行和能动性方面尚存在较

大不足——员工对具体业务流程和管理方面的规章制度都有相

当的认识和掌握——答卷者对内控五要素执行情况具有不同的看法。

相对而言，“内控环境”指标分值较低，而“控制活动”、“信息与交流”等方面的指标分值较高。第二十一页，共四十二页。三）结论、关键与建议解释：

这种分布在各商业银行之间具有一定的普遍性。各商业银行在内控建设上的区别、特性或者差异，主要就体现在“内控环境”方面。

内控环境，既是内控体系的组成部分，又是决定或制约分支行内控制度执行效果的基础。

如果说，分支行内控建设尚存在不足和缺陷的话，其根源在很大程度上是总行没有创造出分支行内控执行的良好环境和基础。

第二十二页，共四十二页。三）结论、关键与建议解释：同样，作为商业银行，长期以来在业务营销、营业网点、柜台运营、日常管理等方面上一直比较重视以防范操作风险、合规风险为主的管理工作；

而且各家商业银行在业务流程和管理上的复制性或同质性也主要体现在这个方面，所以在这些方面和环节上的指标分值相对较高就不难理解。第二十三页，共四十二页。三）结论、关键与建议2．关键

城商行内控建设上的重点不是流程再造或提出具体的业务管理制度，再健全的制度都是要在一定制度环境下由特定的组织和人员来实施和执行的。

所以如何围绕“内控环境”以及“监督与纠正”进行体制与制度创新，应该是城商行未来内控建设的重点，即城商行应该在公司治理、组织架构、人力资源、内控评价、内部监督、问责纠正等方面走出一条适合自身特色的内控体系建设之路。第二十四页，共四十二页。三）结论、关键与建议3．建议

——内控建设中的难点在于对制度的执行与遵守，加大对员工进行系统的内控教育、宣传，并实施有效的激励与约束机制，促进员工维护和遵守制度的自觉性，充分发挥广大员工在内控管理中的积极性和能动性。第二十五页，共四十二页。三）结论、关键与建议3．建议

——建议把分支行内控管理有效的纳入到整体内控体系之中，注重分支行对内控信息交流、基层员工的内控积极性调动、分支行行长内控职责的细化与落实等问题，特别是应明确赋予分支行行长的内控管理职责，并加大对其的考核与问责。第二十六页，共四十二页。三）结论、关键与建议3．建议——城商行内控建设过程中，董事会既始终是关键的推动者，也是内控建设成败的主要责任人。建议以董事会名义成立内控建设领导小组和工作小组，着力研究、起草、组织、指导和督促内控建设规划和行动，并从组织架构设置、人员配备、制度建设等方面予以强化，以使内控建设和实施工作有条不紊、落实有力、发展有序。第二十七页，共四十二页。来自实战的话题第二十八页，共四十二页。内控体系如何构建——从“金字塔”结构说起一）规范体系建立以“内控管理大纲”为基础的相互联系、相互制约的内控制度体系。内控管理大纲政策/基本制度管理类内控制度操作类内控制度第二十九页，共四十二页。一）规范体系

——内控大纲，为制定内控文件、出台内控措施以及对内控有效性进行绩效评价提供系统的指导意见，同时也是分支机构内控建设的指引（宪法）。

第三十页，共四十二页。一）规范体系——政策/基本制度，在内控大纲基础上构建一系列相互联系的具有可操作性的具体内控与风险管理制度（部门法）。

如《重要空白凭证管理办法》、《风险事项报告及重大案件应急处置制度》、《案件防控工作会议制度》、《内控检查管理办法》、《问责管理办法》、《信息科技风险管理办法》《风险事项报告及重大案件应急处置制度》、《案件防控工作会议制度》等。第三十一页，共四十二页。一）规范体系——管理类内控制度，各个管理部门、经营机构和岗位内控规范体系。

——操作类内控制度，结合业务、操作和管理活动的主要环节和要求制定《内控手册》、指南等（实施条例、规程等），含括授信业务、资金业务、国际业务、柜台业务、中间业务、电子银行及银行卡业务等等。第三十二页，共四十二页。二）管理体系内控制度的决策、制定、执行、监督评价应在董事会统一主导下，由一系列相互联系、相互制约的部门、单位和岗位承担；

核心就是形成内控制度制定、执行和监督评价的“三道防线”，以及形成有效的内控反馈、检查、问责、纠正机制。

见下图：第三十三页，共四十二页。二）管理体系制度制定主体制度执行主体制度评价主体董事会高级管理层职能部门、经营单位内控管理大纲政策/基本制度管理类内控制度操作类内控制度高级管理层业务管理部门经营单位董事会监督评价内部审计监督评价监督部门、职工等监督评价日常管理内控管理部门第三十四页，共四十二页。二）管理体系其中，总行各部门负责按职能制订各业务管理范围内的规章制度、操作规程，并通过授权、考核、检查等方式履行管理与检查职责，同时向高级管理层汇报相关工作；分支行负责具体执行各项规章制度与操作规程，保证内控政策的落实，同时按规定反馈执行情况。

在此需要强调的是，为保障制度的贯彻执行，同时还应制定内控规范实施方案，并从组织架构设置、人员配备、制度建设等方面着力强化制度的执行，为此在内控管理体系中应设立专门、专职的内控管理部门。第三十五页，共四十二页。三）内控与风险管理部门

——风险管理部、合规部（按银监会要求单独设立）、内控管理部系总行层面履行内控与风险管理职能的专门部门，主要负责内控和风险管理中的组织、实施与监督职能。第三十六页，共四十二页。——内控管理部作为负责内控制度建设的专门、专职部门，负责全行内控建设规划、政策、制度的起草、指导与制定；制度梳理与日常化管理轨道；督促和检查；协调各部门之间内控管理要求；实施内控评级、考核、整改、问责等；内控档案管理、内控制度报批、内控文件备案工作；统一受理或办理内控制度的反馈、答复和解释。三）内控与风险管理部门第三十七页，共四十二页。——审计部系总行层面负责独立的内控检查与评价部门。

按照监督权力适当分离原则，内控管理部负责内控整改工作，属于第二道风险防线，负责对整改情况进行再监督。

稽核部不再既管内控检查又负责内控整改，始终是第三道防线的角色。三）内控与风险管理部门第三十八页，共四十二页。——业务管理部门系总行层面内控与风险管理决策的执行部门。

在其业务管理的具体过程中，落实与执行内控和风险管理政策、制度。这些部门作为内控与风险管理的“第二道防线”，具有很强的组织优势和技术优势，把内控、风险管理与业务监督紧密结合，有利于提高内控管理效率并及时揭示风险并控制风险。