《商业银行内部控制指引》新版解读

《商业银行内部控制指引》2014修订版解读2014年12月

一、商业银行内部控制概述三、新指引的主要内容及与旧版本的区别二、新指引修订的背景四、新指引对商业银行内控管理的引导要求商业银行内部控制的概念

内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。内部控制是商业银行为保证经营目标的充分实现和各项业务的正常开展，防范和化解金融风险而制定并组织实施的，对内部各部门和人员进行相互制约和相互协调的一系列制度、措施、程序和方法。一、商业银行内部控制概述商业银行内部控制的目标◆◆◆◆保证国家有关法律法规及规章的贯彻执行。保证商业银行发展战略和经营目标的实现。保证商业银行风险管理的有效性。保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。商业银行内部控制体系商业银行内部控制体系是商业银行为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。商业银行应当建立健全内部控制体系，明确内部控制职责，完善内部控制措施，强化内部控制保障，持续开展内部控制评价和监督。

二、新指引修订的背景

《商业银行内部控制指引》出台实施十余年来（2002年印发，2007年修订），对促进商业银行规范内部管理、完善内部控制发挥了积极作用。但随着商业银行业务发展和其他监管法规制度的出台，原《指引》部分规定和要求在一些方面已难以适应银行业改革发展与监管工作实际，有必要进行调整完善。部分条款在银行业务发展后难以执行1

如原《指引》规定商业银行应当对大额存单签发、大额存款支取实行分级授权和双签制度，而目前在银行业务中，对于大额存款的存取已基本嵌入系统进行控制。

如原《指引》规定的呆账责任认定和追究制度与《金融企业呆账核销管理办法》（2013年修订版）内容不一致。2部分条款与新的监管要求不一致。

部分条款在银行业务发展后难以执行3

近年来，我国商业银行的组织结构和业务经营复杂程度发生了较大变化，面临的风险日益多元化，内部控制重要性也日益突出，需要修订《指引》更好地引领商业银行完善内部控制体系建设。（二）新指引较旧版本的主要区别三、新指引的主要内容及与旧版本的区别（一）新指引的结构及主要内容

二内部控制职责一总则七附则三内部控制措施四内部控制保障五内部控制评价六内部控制监督（一）新指引的结构及主要内容

第一章总则

明确了内部控制的定义、目标和原则，强调内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。

第二章内部控制职责

规范了内部控制的治理和组织架构，明确了董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门等各主体关于内部控制的职责分工。

第三章内部控制措施

从制度、流程、系统、职责、岗位、授权等多维度提出控制要求，也涵盖了强制休假、员工行为排查等常用的重要控制手段。第四章内部控制保障

旨在督促商业银行构建包括信息管理、人员管理、考评管理和内控文化等在内的有效内部控制保障体系，其中也着重强调了与商业银行经营密切相关的业务连续性管理等。第五章内部控制评价

明确了内控评价的工作要求，包括评价组织和实施、范围和频率、评价结果的运用等。第六章内部控制监督

规定了内部监督责任、

外部监管措施及处罚

规定。第七章附则

明确了指引解释权、实施时间。

（二）新指引较旧版本的主要区别1.新版本内容更为全面性2.新版本要求更为原则性3.新版本监管约束更为强化责任追究

1.新版本内容更为全面性此次《指引》主要修订增加了两个方面的内容：

一是内部控制评价。修订后的《指引》补充完善了内控评价的工作要求。要求商业银行建立内部控制评价制度，明确内部控制评价的实施主体、频率、内容、程序、方法和标准，强化内部控制评价结果运用，推动内控评价工作制度化、规范化，以利于促进商业银行不断改进其内控设计与运行。

二是监管约束。修订后的《指引》增加了有关违反规定的处罚措施。要求银监会及其派出机构对内部控制存在缺陷的商业银行，责成其限期整改，对逾期未整改的商业银行，根据有关规定采取监管处罚措施。

2.新版本要求更为原则性原《指引》对银行的一些业务或环节做了详细的操作性规定，修订后《指引》只对商业银行风险管理、信息系统控制、岗位设置、会计核算、员工管理、新机构设立和业务创新等提出原则性要求，没有针对具体业务的章节和条款。

2.1.新版本要求更为原则性的原因：

一是从我国银行业务实践看，近年来，我国银行提供的金融产品和服务不断丰富，涉及金融市场、财富管理、投资银行、电子银行等多个条线，《指引》无法覆盖所有业务，若从具体业务角度进行规范难以跟上业务的发展变化。

二是从我国银行监管制度体系看，自2002年原《指引》发布以来，银监会已对授信、资金业务、理财业务、银行卡业务、信息科技等商业银行各主要业务条线制定了一系列监管指引或办法，《指引》再行规定容易引起重复。

三是从立法导向看，商业银行作为市场经营的主体，承担着防范风险的首要责任，有效的内部控制是开展经营的前提，控制过程应体现商业银行的自发性和主动性，内部控制的监管文件更应体现导向性、原则性要求。3.新版本监管约束更为强化责任追究

新《指引》在监管约束方面更为强化责任追究，要求商业银行建立内部控制管理责任制。其中，董事会、高级管理层应对内部控制的有效性分级负责，并对内部控制失效造成的重大损失承担管理责任；内部审计部门、内控管理部门应当对未适当履行监督检查和内部控制评价承担直接责任，而业务部门应当对未执行相关制度、流程，未履行检查职责，未及时落实整改承担直接责任。四、新指引对商业银行内控管理的引导要求新指引对商业银行内控管理的引导要求（一）（二）（四）（三）案例分析导向指引原则要求实施措施（一）案例分析

健全内部控制有利于促进商业银行合规经营管理，有效防范风险，保障银行体系安全稳健运行。银行风险的发生多是因为内部控制不健全或者内部控制失效。下面以两个案列分析内部控制缺失的严重后果：案例一：巴林银行倒闭案案件情况：英国最老的商业银行，1995年2月，因内部控制失败和交易员里森在金融衍生市场上的私自投机行为造成590亿日元的损失而宣告破产，被德意志银行以1英镑的象征性价格收购。案例分析：

1.缺乏合理的职责分工和制约机制（一人控制交易和后台，使其能够顺利地从事私自交易并隐瞒1年多时间）。

2.缺乏有效的高层监督和审批制度（未获得交易资格认证，对其交易行为无人进行监督和审批）。

3.没有对风险的持续监控和整改机制（1994年8月才成立资产负债管理部对风险集中管理，95年初，有关部门仍错误地认为里森仍在盈利）。

4.缺乏明确的报告路径（存在两条报告路径，自营业务向伦敦总部汇报，代客交易向在东京的机构汇报）。案例二：贪污、挪用资金、挪用公款案案件情况：2013年初，某市银行开展员工行为排查时，了解到某网点曾经发生客户持定期存款取款时，受理业务的柜员在系统内查找不到信息，而网点负责人兼综合柜员苏某却称能办理，向客户支付资金的异常情况。该银行连夜召开会议应对，决定找苏某谈话，并对其经办业务进行全面排查，查明苏某利用职务便利及客户的盲目信任与疏忽，通过私自篡改代发工资数据和挂失客户定期存款等方式，先后挪用客户资金70余万元。该行遂将苏某移交当地检察机关，后经检察机关公诉和法院审理，苏某被判处5年以上有期徒刑。案例分析：

1.内部控制不力提供作案条件。一方面发案网点人员配备不足，不相容岗位未有效分离。苏某作为网点负责人，还兼任综合柜员，并经办普通柜员业务，负责网点授权的人员由其他网点人员兼任，权限制约机制形同虚设，给苏某“一手清”实施不法行为提供了极大的便利。另一方面案发机构对员工个人代客户保管银行卡、存折、证件及为客户代办业务未严格禁止，此类行为司空见惯，致使苏某利用客户代办业务之名，轻松开设大量受其实际控制的账户用于作案的行为未引起其他的警觉。此外，苏某自2008年担任该网点负责人后长期未轮岗、事后监督不力、上级机构业务检查频率较低，均是案发的重要原因。

案例分析：

2.管理体制不顺弱化风控力度。本案中，此案发网点系该银行改革不彻底保留的代理营业机构，非银行自营。该银行主要依据代理协议行使对此类网点的业务检查、监督、指导职能，其人员、薪酬和日常管理并不受银行实际控制。这种“二元化”的体制结构导致此类网点风控体系存在天然缺陷。如，该银行基于约束机制建设，多次提出增加此类网点从业人员，加强“三级”权限管理的要求，却被上级行长期无视未进行有效整改，直至发案。

上述两个案例的发生均是由于银行内部控制缺失或者执行不到位，给银行带来较大的损失甚至破产。商业银行应当认真吸取教训，完善内部控制建设，加强对基础内控制度的监督检查，强化对制度的敬畏心理，形成合规文化建设，通过文化引导人，形成人人守规，不愿作案、不能作案的合规氛围。

四、新指引对商业银行内控管理的引导要求

新指引是在总结近年来商业银行内部控制发展实践经验，并充分征求商业银行及社会各界意见建议的基础上修订完善的。其将从四个方面引导商业银行强化内控管理并遵循相应的原则：四、新指引对商业银行内控管理的引导要求导向指引和原则要求四个导向四个原则内控评价方面内控监督方面监管约束方面监管引领方面全覆盖原则制衡性原则审慎性原则相匹配原则

细化要求持续改进

《指引》补充完善了内控评价的工作要求，要求商业银行建立内部控制评价制度，明确内部控制评价的实施主体、频率、内容、程序、方法和标准，强化内部控制评价结果运用，推动内控评价工作制度化、规范化，以利于促进商业银行不断改进其内控设计与运行。内控评价方面1.新《指引》主要从以下四个方面引导商业银行强化内控管理：内控监督方面建立健全长效机制

《指引》单设章节，从内、外部两方面提出内控监督的相关要求。商业银行应构建覆盖各级机构、各个产品、各个业务流程的监督检查体系，银监会及其派出机构通过非现场监管和现场检查等方式实施对商业银行内部控制的持续监管，强调发挥内外部监督合力。

监管约束方面加大违规处罚力度

《指引》增加了有关违反规定的处罚措施。银监会及其派出机构对内部控制存在缺陷的商业银行，责成其限期整改，对逾期未整改的商业银行，根据有关规定采取监管处罚措施。监管引领方面充分体现原则导向

《指引》对商业银行风险管理、信息系统控制、岗位设置、会计核算、员工管理、新机构设立和业务创新等提出了提出内部控制的原则性要求，没有针对具体业务的章节和条款。

全覆盖原则

商业银行内部控制应当贯穿决策、执行和监督全过程，覆盖各项业务流程和管理活动，覆盖所有的部门、岗位和人员。2.新《指引》要求商业银行内部控制应当遵循以下四个原则：

制衡性原则

商业银行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制。

审慎性原则

商业银行内部控制应当坚持风险为本、审慎经营的理念，设立机构或开办业务均应坚持内控优先。

相匹配原则

商业银行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应，并根据情况变化及时进