《商业银行内部控制试行评价办法》和《商业银行内部控制指引》培训讲义

《商业银行内部控制试行评价办法》和《商业银行内部控制指引》学习目录1.理解内控2.内控体系评价目录1.如何理解内控体系？第十条商业银行公司治理。商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作，分权制衡。（一）完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序。（二）明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任。（三）建立独立董事制度，对董事会讨论事项发表客观、公正的独立意见。（四）建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。1.1内部控制环境－公司治理第十一条董事会、监事会和高级管理层责任董事会负责保证商业银行建立并实施充分而有效的内部控制体系；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保商业银行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。董事会和高级管理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。1.1内部控制环境－三会一层责任第十二条内部控制政策商业银行应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。内部控制政策应：（一）与商业银行的经营宗旨和发展战略相一致；（二）体现持续改进内部控制的要求；（三）符合现行法律法规和监管要求；（四）体现出侧重控制的风险类型；（五）体现出对不同地区、行业、产品的风险控制要求；（六）传达给适用岗位的员工，指导员工实施风险控制措施；（七）可为风险相关方所获取，并寻求互利合作；（八）定期进行评审，确保其持续的适宜性和有效性。1.1内部控制环境－内部控制政策第十三条内部控制目标商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监管部门的内部控制指标要求。内部控制目标应可测量。有条件时，目标应用指标予以量化。1.1内部控制环境－内部控制目标第十四条组织结构商业银行应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有部门、岗位、人员的职责和权限，并形成文件予以传达。特别应考虑：（一）建立相应的授权体系，实行统一法人管理和法人授权。（二）必要的职责分离，以及横向与纵向相互监督制约关系。（三）涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。（四）明确关键岗位、特殊岗位、不相容岗位及其控制要求。（五）建立关键岗位定期或不定期的人员轮换和强制休假制度商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。1.1内部控制环境－组织结构第十四条组织结构（续）商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员；应有权获得商业银行的所有经营、管理信息；应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价；应及时向董事会或董事会审计委员会提交审计报告；董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改；总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。1.1内部控制环境－组织结构（续）第十五条企业文化。商业银行应培育健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。1.1内部控制环境－企业文化第十六条人力资源商业银行应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。商业银行应明确与风险和内部控制有关人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。高级管理人员必须满足监管机构对高级管理人员资质的要求。商业银行应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。1.1内部控制环境－人力资源1.1内部控制环境-条款小结季节春冬夏秋属种关系年春冬夏秋从属关系阳光关联关系夏天属种关系：在层次结构中，下层概念继承了上层概念的所有特征从属关系：在层次结构中，下层概念形成了上层概念的组成部分关联关系：在概念体系中，概念与概念之间具有某种内在联系。概念关系及图示1.1内部控制环境-条款小结第一节内部控制环境第十一条董事会、监事会和高级管理层责任第十二条内部控制政策第十六条人力资源第十三条内部控制目标第十四条组织结构第十条商业银行公司治理第十五条企业文化1.1内部控制环境-条款小结COSO报告巴塞尔十三条有关管理监督和控制原则内部控制评价办法诚信、道德价值观和企业员工的竞争力；管理哲学和经营风格；管理层如何进行授权和职责分配，如何组织和发展它的员工；董事会提供的关注和指导。原则1：董事会负责审批银行的整体经营战略和重大政策，并定期检查；董事会应当了解银行的主要风险，确定可以接受的风险水平并保证高管层采取必要措施认定、计量、监督并控制风险；董事会负责审批组织结构；确保高管层对内部控制体系的有效性进行监督。董事会最终负责保证银行已建立并维持了一个充分、有效的内控体系。原则2：高级管理层负责执行董事会批准的各项战略与政策；负责建立认定、计量、监督及控制银行风险的程序；负责建立有明确责任分配、授权和清除报告关系的组织结构；确保分配的各项职责都得到有效执行；负责制定适当的内部控制政策，并监督内部控制体系的充分性和有效性。原则3：董事会与高级管理层有责任推进高水准的职业道德和诚信标准，并在组织内部建立一种文化，向各层次员工强调并说明内部控制的重要性。银行机构的所有员工都必须了解自身在内部控制过程中的作用，并充分参与这个过程。第十条商业银行公司治理第十一条董事会、监事会和高级管理层责任第十二条内部控制政策第十三条内部控制目标第十四条组织结构第十五条企业文化第十六条人力资源1.2风险识别与评估－风评第十七条经营管理活动风险识别与评估商业银行应建立和保持书面程序，以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、操作风险、市场风险、国家和转移风险、利率风险、流动性风险、法律风险以及声誉风险等。应识别并确定常规和非常规的业务和管理活动，并识别这些活动中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围，特别应考虑计算机系统的运用可能带来的风险。应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评审，以确保其持续可接受；风险不可接受时，应制定控制措施。1.2风险识别与评估－风评（2）第十七条经营管理活动风险识别与评估（续）商业银行对各类风险进行有效的识别与评估时应充分考虑内部和外部因素。其中，内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等；外部因素包括经济形势的波动、行业变动趋势等。当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。风险识别与评估应：（一）依据业务范围、性质和时限主动进行。（二）评估风险的后果、概率和风险级别。（三）必要时开发并运用风险量化评估的方法和模型。风险的定义（1）信用风险（creditrisk）：是指由于借款人或交易对手不能履约或履约意愿变化所带来的风险。市场风险（marketrisk）：是指由于市场价格的不利变动使银行的表内和表外头寸遭受损失的风险。操作风险（operationalrisk）：是指由于不完善的或失效的内部程序、人员、系统或外部事件导致损失的风险。流动性风险（liquidityrisk）：是指银行无力为负债的减少或资产的增加提供融资，即当银行流动性不足时，它无法以合理的成本迅速增加负债或变现资产获得足够的资金，从而带来损失的可能。利率风险（interestraterisk）：是指银行的财务状况在利率波动时出现损失的可能。利率风险不仅影响银行的盈利水平，也影响银行资产、负债和表外金融工具的经济价值。法律风险（legalrisk）：是指因现行法律不完善、不明确以及法律修改，不完善、不正确的法律意见、文件，交易行为违反法律和监管规定等原因导致银行损失的可能。国家和转移风险（countryandtransferrisk）：是指由于非正常的、对所有贷款或交易头寸都产生风险的原因，一国的主权借款人可能无力或不愿意、而其他借款人或交易对手可能无力履行其对外义务所产生的风险。声誉风险（reputationalrisk）：是指由于银行操作失误、违反法规、经营不善及其他问题而带来的银行市场形象上的不利影响。风险的定义（2）操作风险识别评估流程介绍（1）流程梳理和分析（2）风险识别（3）确定风险（4）确定风险是否可承受（5）制定风险控制措施计划（如有必要）（6）评审措施计划的充分性等级描述词详细描述1灾难性超出可承受的能力，巨大的财务损失。如：系统数据全部丢失；财务损失超过经济资本等。2较大较大的财务损失或人员伤害，极其不良的影响。如：较大的贷款损失。3中等中等财务损失，有一定不良影响。4较小较小的财务损失。如：如金额较小的短款。5无关紧要极小的财务损失，几乎没什么影响。如：普通凭证遗失。风险后果等级风险可能性等级等级描述词详细描述A几乎肯定预期大多数情况下发生（可能性大于95％）B很可能在大多数情况下很可能会发生（可能性在60％－95％）C可能在某种情况下可能发生（可能性在10％－60％）D不太可能在某种情况下能够发生，但可能性较小（可能性在10％以下）E罕见仅在例外的情况下会发生（可能性在1％以下）风险等级矩阵LMMHH3中等LLMMH4较小ILLMM5无关紧要HME罕见EHD不太可能EHC可能EEB很可能EEA几乎肯定1灾难2较大后果可能性风险等级含义风险水平详细描述E－Extreme极度风险，要求立即采取措施H－High高风险，需要高层关注M－Medium中等风险，必须规定控制程序和责任L－Low低风险，用日常程序处理I－Ignoring极小风险,基本不用处理风险等级与控制措施风险水平等级措施不可接受风险E直至风险降低后才能开始工作。为降低风险有时必须配给大量资源。当风险涉及正在进行中的工作时，就应采取应急措施。HM有条件接受风险L通过评审决定是否需要另外的控制措施可接受风险I毋须采取措施且不必保留文件记录。1.2风险识别与评估－法规识别第十八条法律法规、监管要求和其他要求的识别商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。商业银行应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。1.2风险识别与评估－内部控