国内银行内控与合规

国内银行内控与合规对5100万元银行金库失窃案的思考2007年4月14日，邯郸农行发现金库资金被盗，总额高达5129万元，涉案主犯马向景、任晓峰均为该行金库管理员。此案中的盗窃方式可谓没有任何“技术含量”。据公安部门称，监控录像显示，4月14日中午12时许，任晓峰驾驶一辆银灰色面包车停靠在银行一楼楼梯入口处，先后5次进入金库手提现金保管箱出来，共提出5个箱子放在面包车上。期间，马向景也进入金库一次，出来时身背一现金包裹。案发后，邯郸农行并没有立即报案，邯郸市公安局接到报案的时间赶到现场进行调查已经是45小时后。而发现金库被盗的导火索竟是两人第二天没有上班。两个犯罪人竟然用4300万元购买了体育彩票。此二人案发前就有买彩票的习惯，而且数目不小。据称，农业银行有严格的金库管理制度，银行金库的帐目需每周一查，此外还有不定期抽查，抽查时间间隔最多不超过10天，抽查时需行长或副行长、会计、出纳、保安四方在场，且抽查是在不通知金库管理员的情况下进行的。银行的监控录像必须每周调出来查看，要查看银行重点位置每天的情况。但实际上，从4月1日任晓峰与马向景就开始作案起，至4月14日潜逃，整整14天的时间银行竟没有发现任何异常。此案的发生让人们不禁拷问银行内部控制是否规范，如何在进行。

Contents商业银行内部控制与经营安全1商业银行内部控制体系的主要内容基层行风险表现和内部控制管理重点基层行柜面业务风险控制234一、商业银行内部控制与经营安全

一般释义：内部控制是一个管理范畴的概念，是一个机构内部为达到一定的经营目的，通过有效的制度、方法和程序，对各部门、各类人员、各种业务进行的动态管理活动。国外释义：内部控制结构是为确保机构目标得以实现所建立的一套政策和程序。其内容包括控制环境（controlenvironment）、会计（accountingsystem）、控制程序（controlprocedures）——美国注册会计师协会我国释义：商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

——银监会2007年施行的《商业银行内部控制指引》

1．什么是商业银行内部控制2.商业银行内部控制的基本理论

内部牵制理论(InternalCheck)基本思想是两个人或两个以上行为主体同时犯错的可能性小于单一主体;两个人或两个人以上共同舞弊的难度远大于一个人。内部控制制度理论(InternalControlSystem)是企业所制定的旨在保护资产、保证会计资料可靠性和准确性，提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。内部控制结构理论(InternalControlStructure)企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。内部控制基本理论控制环境原则l:董事会应当负责批准并定期审查整体经营战略和银行的重大政策;理解银行经营的主要风险，确定这些风险的可接受水平，保证高级管理层采取必要步骤，识别、衡量、评审和控制风险，并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面，董事会负有最终的责任。原则2:高级管理层负责执行由董事会批准的策略和政策，维护一种组织结构，能够明确责任、授权和报告的关系;确保所委派的责任能有效地执行;确定适当的内控政策:并监督评审内控系统的充分性和有效性。原则3:董事会和高级管理层负责促进在道德和完整性方面的高标准，在机构中建立一种文化，在各级人员中强调和说明内控的重要性。银行机构中的所有人员都需要理解他们在内控程序中的作用、并在程序中充分发挥他们的作用。巴塞尔委员会关于商业银行内部控制评估理论（1）1998年1月，巴塞尔委员会在吸收各成员国家经验及其以前出版物所确定的原则的基础上，参照内部控制理论，针对银行失败的教训，颁布了一份旨在适用于银行一切表内表外业务的《内部控制系统评估框架》(征求意见稿)，它描述了一个健全的内部控制系统及其基本构成要素，提出了13条原则。巴塞尔委员会关于商业银行内部控制评估理论（2）风险评估原则4:有效的内控系统需要识别和不断地评估有可能对达到银行目的起负影响的有关风险。这种评估应包括银行和银行组织集团所面对的全部风险(即信贷风险、国家和转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险)，需要不时调整内控，以便恰当地处理任何风险。控制活动原则5:控制活动应当是银行日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构，明确规定各经营级别的控制活动，这些活动应当包括高层审查;对不同部门或处室的活动的适当控制;检查对敞口限额的遵从情况;对违规经营的跟踪及处理情况;批准和授权制度;查证核实与对账制度。原则6:有效的内控系统需要适当分离职责;人员的安排不能发生责任冲突。要识别和尽力缩小有潜在利益冲突的地方，并遵从谨慎和独立的监督评审。巴塞尔委员会关于商业银行内部控制评估理论（3）信息与交流原则7:一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据，以及关于外部市场中与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获，并能以前后一致的形式规范地提供使用。原则8:有效的内控需要建立可靠的信息系统，涵盖银行的全部重要活动。这些系统，包括那些以某种电子形式存储和使用数据的系统，都必须受到安全保护和独立的监督评审，并通过对突发事件的充分安排加以支持。原则9:有效的内控系统需要有效的交流渠道，确保所有员工充分理解和坚持各项政策和程序，行使他们的职责，并确保其它的相关信息传达到应被传达到的人员。巴塞尔委员会关于商业银行内部控制评估理论（4）监督评审纠正原则10:应当不断地在日常工作中监督评审银行内控的总体效果。对主要风险的监督评审应当是银行日常活动的一部分，并且各级经营层和内部审计人员应当定期予以评价。原则11:内控系统应当进行有效和全面的内部审计。内部审计要独立地进行，应有通过适合的培训和得力的人员进行。内审作为内控系统监督评审的一部分，应当向董事会或其审计委员会直接报告工作，并向高级管理层直接报告。原则12:不论是经营层或是其它控制人员发现了内控的缺点都应当及时地向适当的管理层报告，并使其得到果断处理。应当把有关内控的缺陷报告给高级管理层和董事会。原则13:监管人员应当要求所有的银行，不论其规模如何，都具有有效的内控系统，而且其内控系统符合他们的表内外活动的性质、复杂性和内在的风险;内控制度应当随着银行所处环境和条件的改变而得到调整。我国商业银行内部控制理论

为了促进我国商业银行建立和健全内部控制的体系，防范金融风险，保障银行体系安全稳健运行，中国人民银行制定了《商业银行内部控制指引》，中国人民银行公告(2002第19号)于2002年9月7日公布施行。2006年底，银监会又进一步重申了这一控制指引。内控指引内部控制的目标

商业银行内部控制的含义

内部控制的原则内部控制应包含的要素

内部控制机制和系统

内部控制的内容

3.商业银行内部控制的目标与原则（1）内部控制的目标商业银行的内部控制应当与商业银行的经营规模、业务范围和风险特点相适应，以合理的成本实现内部控制的目标。1.确保国家法律规定和商业银行内部规章制度的贯彻执行。2.确保商业银行发展战略和经营目标的全面实施和充分实现。3.确保风险管理体系的有效性。4.确保业务记录、财务信息和其他管理信息的及时、真实和完整。（2）商业银行内部控制的基本原则商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：1.全面性。内部控制应当渗透商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。2.审慎性。内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。3.有效性。内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。4.独立性。内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。

4.银行内部控制缺陷与银行危机的发生根据国际货币基金组织的统计，自1980年以来，几乎占国际货币基金组织3/4的成员国，大约130多个国家，都经历了银行业的严重问题。国际商业信贷银行(BCCI)倒闭案——1991年7月，巴基斯坦银行家阿贝迪创于1972年的国际商业信贷银行(BCCI)，由于长期隐瞒巨额借贷及金融交易亏损，并故意贷出无收回之望的贷款，英格兰银行宣布停止其在英国的2家银行的营业并冻结其资产。随后，美国、日本、德国、西班牙等国相继关闭了其在本国的机构，冻结资产200亿美元，导致其世界性清盘。巴林银行倒闭案——1995年2月，具有233年悠久历史、业务遍布5大洲、因管理着英国皇家巨额财产与投资，而被称为“女皇的银行”——巴林银行，因其新加坡分行日经指数期货投资失败，损失14亿美元，超过巴林银行8.6亿美元的资产及储备规模而宣告倒闭。东南亚金融(银行)危机——1997年爆发了以泰国为首的东南亚国家以货币危机为主要特征的金融动荡。股市、信贷、投资以及整个经济全面的衰退，并继而波波及到日本、韩国、中国香港和台湾以及欧美等国家，造成国际金融市场剧烈动荡。2008年1月20日法国兴业银行宣布：因交易员凯维埃尔违规操作损失49亿元，远远超过1995年巴林银行的损失。国内近年来多起银行大案触目惊心2001年10月高达40亿元资金被中国银行广东开平分行前后三任行长——许超凡、余爱东、许国俊盗用，涉案金额巨大，为建国以来所未有；2003年7月，原华夏银行总行营业部月坛北京办事处主任李慧鸣，从1995年到1997年非法吸收储户3.4亿元存款不入银行账，而后又转手贷给他人，致使华夏银行遭受2亿多元的损失；2005年初，中国银行哈尔滨河松街支行行长高山利用帐外经营并通过地下钱庄而把超过10亿元的资金席卷出境，不是因为车祸在加拿大被人发现，高山几乎成功地人间蒸发；2005年2月，建设银行吉林省分行原营业部所辖的朝阳支行、铁路支行的金融诈骗案告破，涉案金额为3.2亿元；2006年3月14日，中国银行双鸭山四马路支行原行长胡伟东、原副行长王林五人，未经任何审批程序，先后开具空白银行承兑汇票45张，在没有足够保证金的情况下，在山东四家银行陆续将汇票贴现，票面金额合计4.325亿元；2007年4月14日，邯郸农行金库管理员马向景、任晓峰监守自盗，窃取金库资金总额高达5129万元，用于福利彩票德购买；先后落马的四位副部级金融高官：金德琴、朱小华、王雪冰、张恩照等。银行内部控制缺陷与银行危机的发生5.内部控制与银行风险管理的内在关系进入21世纪，安然、世通和施乐等世界知名大公司的一系列财务丑闻，给广大投资者带来了严重的打击，同时也暴露了企业内部控制存在的问题。各国理论界和实务界认为当前的内部控制框架有一定的局限性，如对风险的强调不够，使得内部控制无法与企业的风险管理相结合。一时间，企业的风险管理成为人们关注的焦点，也作为企业战略管理中的核心登上了公司治理的舞台。2004年10月份COSO(CommitteeOfSponsoringOrganizationsOfTheTread-wayCommission)发布的《企业风险管理——整合框架》是在1992年报告的基础上，结合《萨班斯——奥克斯法案》的相关要求进行扩展研究得到的。该框架强化了风险管理，涵盖了原有内部控制的合理内容。内部控制是社会经济发展到一定阶段的产物，其内容随着企业对外满足社会需要、对内强化管理而不断丰富和发展。不断完善内部控制制度，对于防范舞弊，减少损失，提高资本的获利能力,保障各项资产安全、完整具有积极的意义。COSO认为，内部控制是风险管理的一部分，企业风险管理框架是在内部控制整体架构基础上发展而来的，内部控制与风险管理有着密切的联系。全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。ERM框架对内部控制的定义明确了以下内容：1.是一个过程；2.被人影响；3.应用于战略制定；4.贯穿整个企业的所有层级和单位；5.旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；6.合理保证；7.为了实现各类目标。对比COSO1992年的定义，ERM概念要细化得多。由于新COSO报告提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体。二、商业银行内部控制的主要内容13内部控制的主要内容授信资金业务存款及柜台业务中间业务会计计算机信息系统2内部控制系统

目标设定事项识别风险评估风险反应内控措施信息系统对内控的监督内部控制要素：

内部控制环境

风险识别与评估

内部控制措施信息交流与反馈监督评价与纠正

商业银行内部控制环境分析对商业银行来说，产权制度、治理结构、内部控制制度、经营制度等构成了商业银行制度框架而商业银行在经营发展中形成的价值观、企业精神和职业道德等企业文化构成了商业银行的文化环境。因此，商业银行的制度环境、文化环境，人力资源环境等共同构成了商业银行控制环境的基本要素。制度环境：主要包含了产权制度、公司治理和组织结构这三个方面的内容。商业银行文化环境为商业银行的运行提供文化氛围，它作为一种非正式规则，通常包括企业价值观、企业精神和职业道德等。商业银行的文化环境影响着商业银行的价值取向、行为规范和道德水准，从而影响着商业银行的经营理念、经营行为和银行职员的行为规范，进而影响着商业银行内部控制的实施。商业银行内部控制系统对内控的监督内部控制措施风险评估立项识别目标设定风险反应信息反馈商业银行的风险评估商业银行风险的种类：信用风险、国家和转移风险、市场风险、利率风险、流动性风险、操作性风险、法律风险、声誉风险等商业银行对风险的识别：主要可以运用专家意见法（又称德尔菲法DelphiMethod）和财务报表分析法。商业银行对风险的评估：商业银行风险评估技术方法主要有客观概率法、主观概率法、统计估计值法、假设检验法、回归分析法、敏感度分析法、VaR方法等。商业银行对风险评估结果的描述：国外现代商业银行普遍建立了风险评估系统。风险评估的内容采取“CAMEL”分类检查制度，即对商业银行检查的范围分为五大类资本、资产、管理、收益和流动性，并按稳健、满意、中等、勉强和不及格等五个等级进行评价。商业银行的风险反应风险识别策略确定有无风险、多大程度。风险规避策略对风险大的业务尽量避免。风险分散策略分散非系统风险。借款人分散（贷款资产组合）；贷款人分散（银团贷款等）风险转嫁策略保险转嫁（借款人办理保险）和非保险转嫁（担保、抵押、质押）等风险控制策略利用建立、健全贷款管理责任制度，将风险控制在可接受的范围内。如不良贷款率的控制等。风险补偿策略及时、足额提取贷款风险损失准备金，建立健全风险拨备制度及损失贷款及时核销管理制度。商业银行内部控制措施岗位设置控制：是对商业银行岗位设置、职务分工的合理性和有效性所进行的控制。授权批准控制：是指商业银行在处理经济业务时，必须经过授权批准才能进行。文件记录控制：健全、正确的文件记录既是组织规划控制、授权批准控制的手段，又是商业银行保持工作效率，贯彻商业银行经营管理方针的基础。程序控制：是指针对一些重复出现的常规银行业务，制定标准化的处理程序，以减少业务操作的失误和差错，提高工作效率。预算控制：是为达到商业银行既定目标编制的经营、资本、财务等年度收支总体计划。实物控制：是指对实物资产的直接保护，包括现金、外币、有价证券、重要空白凭证、合同契约和各种固定资产等。职工素质控制：控制的目的在于保证职工忠诚、正直、勤奋、有效的工作能力，从而保证其他内部控制有效实施。内部审计控制：是内部控制的一种特殊形式。它既是对商业银行内部控制活动和管理制度是否合规、合理和有效的独立评价，同时也是对其他内部控制活动的一项监督。对内控的监督对内部控制系统的运行进行评估1.主要包括对控制环境、风险评估、控制活动、信息与沟通、监督检查的评价。2.参与监督与评价的不仅包括内部审计部门，还应该包括董事会、高级管理层以及各级业务部门商业银行的控制监督

对内部控制系统的运行进行审查1.内部审计组织2.内部审计方法3.内部审计程序商业银行对授信业务的内部控制商业银行授信内部控制的重点是：实行统一授信管理，健全客户信用风险识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联企业客户和集团客户授信风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，防止信贷资金违规使用。授信决策机制法人授信制度同一客户的授信制度规范授信操作标准授信的独立性授信的审查监控资产质量控制授信风险责任制商业银行对资金业务的内部控制商业银行资金业务内部控制的重点是：对资金业务对象和产品实行统一授信，实行严格的前后台职责分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。

定期检查制度资金营运控制资金交易的风险评估机制资金交易的监督机制资金风险责任制商业银行对存款及柜台业务的内部控制商业银行存款及柜台业务内部控制的重点是：对基层营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保商业银行和客户资金的安全。账户管理控制跟踪监控报告制度“印、押、证”三分管制度复核制度重要资产、凭证管理制度事后监督制度商业银行对中间业务的内部控制商业银行中间业务内部控制的重点是：开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权，建立并落实相关的规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。

结售汇业务的控制代理业务的控制银行卡的控制