商业银行内部控制相关法规介绍

商业银行内部控制相关法规介绍主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）3内控相关法规的发展演变过程1992COSO《内部控制—综合框架》1997中国人民银行《加强金融机构内部控制的指导原则》1998巴塞尔委员会《银行组织内部控制系统框架》2002中国人民银行《商业银行内部控制指引》2004200720082010中国银监会《商业银行内部控制评价试行办法》中国银监会《商业银行操作风险管理指引》及《商业银行内部控制指引》五部委（财政部、审计署、银监会、证监会、保监会）《企业内部控制基本规范》五部委《企业内部控制配套指引》中国银监会《商业银行业务连续性监管指引》20112006中国银监会《商业银行合规风险管理指引》2013新COSO报告中国银监会《商业银行内部控制指引》2014财政部、证监会《关于内部控制评价的一般规定》20034COSO报告《内部控制—整体框架》（1992年）制定方：美国Treadway委员会发起组织委员会（CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO）框架定义控制环境风险评估控制活动信息与沟通监控内部控制的局限职能与责任内容摘要对外部各方的报告评价工具五大构成要素对内部控制框架的高度概括为准备公开报告其内部控制的主体提供指南对内部控制体系进行评估内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：•经营的有效性和效率；•财务报告的可靠性；•符合适用的法律和法规。局限性如：判断失误；发生故障；管理层凌驾；串通；成本与效益等。组织中的每个人都对内部控制负有责任：董事会、管理层、内部审计师、其他人员。5新COSO报告《内部控制—整体框架》（2013年）1992年2013年21年基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化。五大亮点•在原有五要素基础上提出了17个基本原则，并提炼出82个代表相关原则的主要特征和关注点。每一项原则都代表着与内部控制五大要素相关联的基本概念。更加具体•新框架提出的报告目标包括外部财务报告和非财务报告目标，以及内部财务报告和非财务报告目标。更加全面•新框架强调董事会、管理层和内审人员要拥有“判断力”，给予董事会、管理层和内审人员适度的自由裁量权。内控如何实施、如何评价、如何认定有效性，企业可以有自己的判断。更加自主•新框架把管理层评估舞弊风险归在风险评估阶段。要求“识别欺诈产生的各种途径，如非法所得、非法使用或处理资产、篡改企业报表记录等”，并“对欺诈风险产生的因素进行评估”。更加严格•新框架提出要建立技术获取、开发和维护机制，相应的技术控制手段以及相关技术安全管理机制。更加先进新COSO报告十七条原则（1）要素原则内容分析具体操作控制环境1组织明确承诺将遵从职业操守及道德规范。作为控制环境的基础要件，恰当的职责操守及道德规范水平将对组织整体内控的设计/运行水平产生重大影响，因此组织应向其全体成员提出清晰/积极的职业操守及道德规范期望。组织在公司政策中明确组织成员遵从职业操守及道德规范并进行恰当的宣贯；设立专门部门/岗位负责组织职业操守及道德规范的相关管理工作。2董事会相对于管理层保持独立性并对管理层建立/执行内控情况进行监督。明确了组织治理范畴下的董事会基本独立性要求，以及管理层建立内控体系的责任及董事会监督职能。对治理层和管理层的间的权限进行明确划分；在治理层建立专门组织，对管理层的内控相关工作进行持续监督。3在董事会的监督下，管理层建立相应的组织结构、汇报路径、恰当的授权/职责体系，以实现组织目标。在明确内控体系的目标导向特征的前提下，2013COSO框架要求明确管理层的内控职责，并明确了构成内控体系的关键要素：恰当的组织结构；汇报路径；职责分配；授权体系。由管理层建立公司层面及业务层面控制目标；将建立内控体系作为管理层工作事项并纳入考核。4组织致力于吸引、发展和保留具有职业胜任能力且与组织整体目标匹配的人才。2013COSO框架强调“人”的因素对控制环境的影响。高素质的执行团队将有效推动内控体系的设计有效性及执行效率，进而优化内控环境。建立清晰的人力资源政策，明确对组织成员的素质要求；设置专门部门/岗位用于组织落实人力资源政策。5组织明确个人的内控职责，以实现组织目标。此原则同样在强调内控体系中“人”的因素。职责不清会对整个内控体系的运行产生不利影响，而清晰的内控责任体系将提升内控体系整体执行力，进而优化内控环境。将各个控制点的具体责任明确分配至具体岗位；针对前一点，设定对应的奖惩考核标准并落实。新COSO报告十七条原则（2）要素原则内容分析具体操作风险评估6组织制定清晰的目标，进而能够有效识别和评价威胁目标实现的风险。内部控制的“目标导向”特征使得组织必须首先明确其目标，然后才能在此基础上识别可能威胁目标实现的各类风险，为后续控制措施的提出/实施奠定基础。在公司层面及业务层面提出清晰的管理目标。7组织在整个实体层面识别可能威胁组织目标实现的风险，以便判断如何对这些风险进行管理。组织在明确其目标之后，应该采取主动积极的管理措施对各类风险进行有效搜集、确认、分类和评价，才能有针对性的设计/执行各种控制措施。构建专业的内部/外部风险分析团队；建立风险搜集渠道；建立涵盖组织主要方面的风险识别/评估/记录机制（如风险数据库相关管理机制）。8组织在评价威胁组织目标实现的风险时，考虑潜在的舞弊。舞弊风险因其存在主观故意性、隐蔽性、串谋性、危害严重性等特征，而区别于一般风险。2013COSO框架提出应在风险评估阶段，对舞弊风险进行考虑。结合业务特征及资产暴露水平，在内控体系设计时充分考虑各类舞弊风险；设置包括舞弊举报、举报人保护在内的反舞弊机制。9组织对可能对内控体系产生重大影响的变化事项进行识别与评价。组织内部变化因素（组织结构调整、兼并收购、业务转型等）及外部环境变化因素（法规变化、市场条件变化等）可能导致原有内控体系无法涵盖/适应组织的各类业务活动。在风险评估阶段，组织需对这些变化因素进行识别与评估。通过组织内部控制自我评价/内控审计等手段，对各类变化及其影响进行识别和评价；基于对变化因素的识别和评价，及时对内控体系进行调整。新COSO报告十七条原则（3）要素原则内容分析具体操作控制活动10组织选择并且设置控制活动，以将威胁组织目标实现的风险降低到可接受的水平。针对已识别的各类风险，组织应有针对性的设置相应的控制活动（财产保护、不相容职责分离、会计记录、授权审批等），以降低风险水平。具体的措施选择及执行程度，受到组织治理层/管理层风险偏好的影响。在公司整体及具体业务流程层面，设置相应的控制措施；与前述原则4、5相联系，控制措施对应职责清晰分配至具体具有专业胜任能力的人员。11组织针对技术选择并且设置一般控制活动，以支持组织目标实现。相对于具体业务层面风险，技术风险具有自身特征。2013COSO框架对与技术相关的风险进行了强调。加强技术开发（如ERP开发）过程中的风险控制；加强对处于运行状态的技术系统进行监控及风险预警/处置；加强针对技术的专项评价/审计。12组织通过制定政策（以明确控制期望）和具体流程（以将控制期望转换为具体行为）来贯彻控制活动。2013COSO框架将控制活动的贯彻化分为一般控制政策（控制要求）及业务流程两个层面，后者作为前者的具体实现方式。即政策制定应当具备明确目标，具备实践指导性，当情况变化时/出现特例（常规业务流程不能支持/覆盖）时，如何处理，如何调整具体流程，应以政策为依据。在公司层面及具体业务层面，明确各工作事项的控制政策，并且在具体流程设计中体现这些政策；例如：采购内控制度可明确“所有采购应经过恰当的比价程序来确定恰当价格”作为政策，然后在流程设置相应的比价程序。新COSO报告十七条原则（4）要素原则内容分析具体操作信息与沟通13组织获取或者产生符合使用者需求的、高质量的信息，以支持内控体系发挥功能。任何主体在实施特定控制措施时，往往都需要获得一定的信息支持。信息质量（包括及时性、完整性和准确性）的高低对控制措施的实施效果会产生巨大影响。企业应当建立完善信息获取的渠道和信息产生的方法、工具，进一步地，明确信息输入、输出的标准、口径以及控制措施。分析各控制点执行岗位的信息需求；建立上述信息的归集/产生、分类、传递、反馈渠道；对信息质量进行持续跟踪评价。14组织在内部沟通相关信息（包括控制目标、控制职责），以支持内控体系发挥功能。控制职责等信息只有有效转达至各执行主体，各执行主体才可能有效的实施控制措施。同时，组织成员对在业务管理活动中其它组织成员的控制目标和责任有清晰的了解，有助于整体团队沟通合作，实现组织整体目标。将控制相关要求在岗位职责说明（或发挥同等功能的文件）中加以明确；进行控制要求培训宣贯；最核心控制要求经责任人亲自确认（签字等形式）。15组织与外部相关各方沟通可能对内控功能发挥产生影响的事项。任何组织都非孤立存在，其内部活动必然与外部产生各种联系。在必要时，组织需要就内控事项与外部主体进行沟通，以满足外部主体合理利益诉求。建立对外沟通内控信息搜集/评价机制；建立内控信息对外沟通/反馈机制。新COSO报告十七条原则（5）要素原则内容分析具体操作监督活动16组织选择、设计和执行持续和/或者单独的评价，以确认内控各关键要素存在且在持续发挥功能。为确保组织内控体系在正常运转，必须建立有效的监督机制。监督机制可以与业务执行保持一致而实现持续监督（如持续的对一类管理活动予以动态监控），也可以采取单独评价方式（如按照一定时间间隔执行经营审计）。从组织层次上可划分为业务层面的监督（如财务部门的内部监督）或者组织层面的独立监督（如内部审计）。建立针对业务流程中控制点执行情况的检查机制；建立针对整体内控运行状况的内控审计机制；建立主要由各职能部门实施内控自我评价机制。17组织对内部控制进行评价，并及时的将发现的内控缺陷报给负责执行纠正措施的主体，这些主体包括高级管理层、董事会，具体视缺陷具体情况而定。通过原则16监督所识别的内控缺陷，应有效传达至负责主体（根据缺陷所处层级及影响程度，通常由董事会或者高级管理层负责），并由后者实施相应的整改，以及时弥补内控缺陷。建立内控体系缺陷认定机制；建立内控体系缺陷弥补方案讨论/评估/确认机制；建立内控体系缺陷整改责任落实机制；建立内控体系更新机制。巴塞尔《银行组织内部控制系统框架》（1998年）内控三大目标操作性目标：各种活动的效果和效率信息性目标：财务和管理信息的可靠性、完整性和及时性合规性目标：遵从现行法律和规章制度六大组成部分管理层的督促与控制文化风险的识别与评估控制活动与职责分离信息与交流监督评审活动与缺陷的纠正监管当局对内控系统的评价内控定义由董事会、高级管理人员以及其他人员实施的一个过程，其目的是为了实现经营的效果与效率、会计与管理信息的可靠、完整与及时以及经营活动符合现行法律、法规的要求。原则1-3原则4原则5-6原则7-9原则10-12原则13其他国际上的有关标准英国Turnbull指南•Cadbury报告于1994年发布，正式名称为《内部控制