商业银行的内部控制与企业风险管理

商业银行内部控制与企业风险管理宁波巨才培训中心本次报告的主要内容•内部控制理念的演变•企业内部控制的基本规范•商业银行风险的涵义及种类•商业银行的风险管理•巴塞尔协定•案例讨论内部控制理念的演变（一）第一阶段：内部牵制（InternalCheck，20世纪30年代-40年代初）。柯勒会计辞典（Kohler’sDictionaryforAccountant）指出，内部牵制制度，是指以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计，包括实物牵制、机械牵制、体制牵制，以及簿记牵制等。内部控制理念的演变（二）第二阶段：内部控制制度（InternalControlSystem，20世纪40年代-70年代）。1972年,美国审计准则委员会(ASB)在SASNo.1中，提出了内部控制制度的概念，其要素包括会计控制和管理控制。内部控制理念的演变（二）•1.内部会计控制（InternalAccountingControl)•（1）授权与批准制度；•（2）从事财务记录和审核或财产保管职务分离的•控制；•（3）财产的实物控制；•（4）内部审计。内部控制理念的演变（二）•2.内部管理控制(InternalManagementControl)•（1）统计分析；•（2）时动研究（或工作节奏研究）；•（3）业绩报告；•（4）员工培训计划；•（5）质量控制。内部控制理念的演变（三）第三阶段：内部控制结构（InternalControlStruction，20世纪80年代-90年代）。1988年4月，美国注册会计师协会（AICPA）在SASNo.55中，提出了内部控制结构概念，其要素包括控制环境、会计系统，以及控制程序。内部控制理念的演变（三）•1.控制环境（ControlEnvironment）•（1）管理者的思想和经营作风；•（2）企业组织结构；•（3）董事会及审计委员会的职能；•（4）人事政策与程序；•（5）确定职权和责任的方法；•（6）管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计等。内部控制理念的演变（三）•2.会计系统（AccountingSystem）•（1）鉴定和登记一切合法的经济业务；•（2）对各项经济业务适当地进行分类，作为编制•财务报表的依据；•（3）计量经济业务的价值以使其货币价值能在财•务报表中记录；•（4）确定经济业务发生的时间，以确保它记录在•适当的会计期间；•（5）在财务报表中恰当地表述经济业务及有关的•揭示内容。内部控制理念的演变（三）•3.控制程序（ControlProcedure）•（1）经济业务和活动的批准权；•（2）明确各员工的职责分工；•（3）充分的凭证、账单设置和记录；•（4）资产和记录的接触控制；•（5）业务的独立审核等。内部控制理念的演变（四）第四阶段：内部控制—整体框架（InternalControl-IntegratedFramework，1992）。1992年，美国反舞弊性财务报告全国委员会（NationalCommissiononFraudulentFinancialReport），即TreadwayCommittee下属的发起机构委员会（CommitteeofSponsoringOrganization，简称COSO）发布了“内部控制-整体框架”，并于1994年对其进行了修订，其要素包括控制环境、风险评估、控制活动、信息与沟通，以及监控。内部控制理念的演变（四）COSO的构成：•AAA（美国会计学会）•AICPA（美国注册会计师协会）•IIA（内部审计师协会）•FEI（财务经理协会）•IMA（管理会计师协会）内部控制理念的演变（四）•1996年，美国的SAS78对内部控制的定义为：内部控制是指由企业董事会、管理层和其他员工实施的，旨在为达成以下目标而提供合理保证的过程：•（1）财务报告的可靠性；•（2）经营的效果和效率；•（3）遵循法律和法规。内部控制理念的演变（四）•1.控制环境（ControlEnvironment）•（1）诚信和职业道德观（刺激和诱惑、提供和沟通道德•指南）；•（2）对胜任力的要求；•（3）董事会或审计委员会；•（4）管理层的理念和经营风格；•（5）组织结构；•（6）权力和责任的分配；•（7）人力资源政策和实务。内部控制理念的演变（四）•2.风险评估（RiskAppraisal）•（1）目标（目标的类别，如经营目标、财务报告目标、•合规目标、目标的交叉、目标的实现）；•（2）风险（风险识别、风险分析）；•（3）管理变化（需要特别关注的情形、机制、前瞻•性）；•（4）中小企业的应用。内部控制理念的演变（四）•3.控制活动（ControlActivity）•（1）控制活动的类型（预防性控制、发现性控制、人工•控制、计算机控制和管理控制，其对象包括高层审•核、直接的职能或活动管理、信息处理、实物控制、•业绩指标、职责分离等）；•（2）与风险评估相结合；•（3）对信息系统的控制（包括一般控制、应用控制•等）；•（4）主体特殊性；•（5）中小企业的应用。内部控制理念的演变（四）•4.信息与沟通（InformationandCommunication）•（1）信息（战略系统和整合系统、信息质量）；•（2）沟通（内部与外部、沟通的方式）；•（3）中小企业的应用。内部控制理念的演变（四）•5.监控（Monitoring）•（1）持续监控活动（范围与频率、由谁评价、评价过程、•方法、记录、行动计划）；•（2）报告缺陷（信息的来源渠道、应该报告什么、向谁•报告、报告指引）；•（3）中小企业的应用。内部控制理念的演变（四）•内部控制的局限性：•（1）判断失误；•（2）故障；•（3）管理层凌驾；•（4）串通；•（5）成本与效益。内部控制理念的演变（五）•第五阶段：企业风险管理—整合框架（EnterpriseRiskManagement-IntegratedFramework,2004）。2003年7月，COSO发布了企业风险管理—整合框架，2004年9月发布了最终的文本，并指出，企业风险管理是一个过程，由企业董事、管理层和其他人员实施的．应用于战略制定，贯穿整个企业所有层级和单位，旨在识别可能影响主体的潜在事项，在其风险偏好范围内管理风险，并针对主体目标的实现提供合理保证（COSO，2004）。企业风险管理整合框架的要素包括内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息和沟通、监控。内部控制理念的演变（五）•1.企业的内部环境（InternalEnvironment)是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。董事会是内部环境的重要组成部分，对其他内部环境要素有重要的影响。企业的管理者也是内部环境的一部分，其职责是建立企业风险管理理念，确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行动结合起来。内部控制理念的演变（五）•2.目标设定(ObjectiveSetting)。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。内部控制理念的演变（五）•3.事项识别(EventIdentification)。企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业的各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。内部控制理念的演变（五）•4.风险评估（RiskEstimation)包括定性分析和定量分析，其中定性分析法主要包括风险评级，定量分析方法包括VAR法，历史模拟法、MonteCarlo模拟法、情景分析法、RiskMetrics法、GARCH模型法等。内部控制理念的演变（五）•5.风险反应(RiskResponse)。企业风险管理框架提出对风险的四种反应方案：规避、减少、共担和接受风险。•（1）风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略；•（2）风险减少是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略；•（3）风险共担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略；•（4）风险接受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。内部控制理念的演变（五）•6.控制活动(ControlActivities)是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门，通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。内部控制理念的演变（五）•7.信息和沟通(InformationandCommunication)。企业风险管理框架扩大了企业信息和沟通的构成内容，认为企业的信息应包括来自过去、现在和未来潜在事项的数据。企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据，其收集数据的详细程度则视企业风险识别、评估和反应的需要而定，并保证将风险维持在风险偏好的范围内。内部控制理念的演变（五）•8.监控(Monitoring)指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控-持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行。监控还包括对企业风险管理的记录。企业内部控制的基本规范•制订依据：公司法、证券法、会计法、其他有关法律法规•适用范围：①中国境内设立的大中型企业；②小企业和其他单位可以参照本规范建立与实施内部控制•施行时间：2009年7月1日企业内部控制的基本规范•内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现以下控制目标的过程：•（1）企业经营管理合法合规；•（2）资产安全；•（3）财务报告及相关信息真实完整；•（4）提高经营效率、效果；•（5）促进企业实现发展战略。企业内部控制的基本规范•对企业的要求：•（1）应当根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施；•（2）应当运用信息技术加强内部控制；建立与经营管理相适应的信息系统；促进内部控制流程与信息系统的有机结合；实现对业务和事项的自动控制；减少或消除人为操纵因素；•（3）应当建立内部控制的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。企业内部控制的基本规范•对国务院有关部门的要求：国务院有关部门可以根据法律法规、本规范及配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。企业内部控制的基本规范•对会计师事务所的要求：•（1）接受企业委托从事内部控制审计的会计师事务所，应根据本规范及其配套办法和相关执业准则，对企业内部控制有效性进行审计，并出具审计报告；•（2）会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责；•（3）对企业内部控制提供咨询的会计师事务所，不得同时提供内部控制审计服务。企业内部控制的基本规范•1.内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。•（1）股东（大）会。享有法律法规和企业章程规定的合法权利，依法行使企业的经营方针、筹资、投资、利润分配等重大事项的表决权；•（2）董事会。对股东（大）会负责，依法形式企业的经营决策权•（3）监事会。对股东（大）会负责，监督企业董事、经理和其