商业银行内部控制管理体系整合

商业银行内部控制管理体系整合信永中和集团普信咨询汪健豪©版权所有2015Page2信永中和集团普信咨询汪健豪©版权所有2015商业银行公司治理的核心内容商业银行良好公司治理应当包括但不限于以下内容：（一）健全的组织架构；（二）清晰的职责边界；（三）科学的发展战略、价值准则与良好的社会责任；（四）有效的风险管理与内部控制；（五）合理的激励约束机制；（六）完善的信息披露制度。--------摘自《商业银行公司治理》第七条Page3信永中和集团普信咨询汪健豪©版权所有2015Page4内部控制的核心定义依照ISO/IEC导则73《风险管理—术语》：内部控制是一类控制风险的措施，是一种风险治理的解决方案，旨在最小化风险。内部控制包括所有相关的政策、手段措施、实践和其他策划好的行动等。《企业内部控制基本规范》：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。信永中和集团普信咨询汪健豪©版权所有2015内控的多视角困惑：横看成岭侧成峰内控的多视角困惑：横看成岭侧成峰Page5注：本课题成果由北京普信管理咨询有限公司2011年提出。信永中和集团普信咨询汪健豪©版权所有2015Page6内部控制的核心定义（2）银监会《商业银行内部控制指引》：内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。商业银行内部控制的目标：（一）保证国家有关法律法规及规章的贯彻执行。（二）保证商业银行发展战略和经营目标的实现。（三）保证商业银行风险管理的有效性。（四）保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。信永中和集团普信咨询汪健豪©版权所有2015内控体系建设、评价与改进Page7日常专项监测内控缺陷管理风险识别评估业务流程梳理内部制度管理内控规范要求内控基础信息内控设计评价内控运营评价内控评价报告内控体系建设和运维内控体系评价和改进信永中和集团普信咨询汪健豪©版权所有2015Page8普信“内部控制四维度结构模型”摘自由北京普信管理咨询有限公司主要承担的、2010年财政部《企业内部控制评价操作流程与方法研究课题》成果Page8信永中和集团普信咨询汪健豪©版权所有2015Page9内部控制的管理整合Page91.企业存在的价值在于持续满足顾客、监管当局、投资者、员工、社会等各相关方需求和要求；2.有需求/要求就有目标，而目标是通过流程实现的。内部控制应确定以流程为本的原则和基本方法。3.目标的实现是由确定性和不确定性两部分构成，稳定的流程形成确定性、而风险构成不确定性。4.内部控制是以“目标为导向”、“流程为基础”、“风控为抓手”的管理整合。信永中和集团普信咨询汪健豪©版权所有2015Page10中小银行内控管理的困境与挑战Page10近十年以来，无论从国际趋势还是国内监管实务看，外部监管对银行内部公司治理与管理的要求日趋严格与精细化，已逐步形成了对包括“公司治理、内控建设、合规管理、操作风险管理、案防管理、反洗钱管理等”与商业银行内控相关的管理职能（以下统称为“内控相关职能”，但不包含信用风险、市场风险、流动性风险等风险管理职能）的“体系化、标准化、职能化、系统化”的管理要求；中小商业银行的总部机构设置有限，通常将其内控相关职能集中在“合规与风险管理部”等一、二个管理职能部门；内控相关管理职能之间既无不兼容性要求、更在一定程度上具有重叠性，急需在中小商业银行实现内控相关职能的管理整合。信永中和集团普信咨询汪健豪©版权所有2015Page11•合规是指使商业银行的经营活动与法律、规则和准则相一致。•合规风险是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。注2：合规风险是产生银行其他风险的一个重要诱因，特别是导致银行操作风险产生的主要和直接的诱因之一。合规与合规风险信永中和集团普信咨询汪健豪©版权所有2015合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序的一致性。合规管理的基础是制度、流程与系统建设，对内体现即是制度执行力，合规风险管理巴塞尔委员会对合规管理提出的要求-《合规与银行合规管理部门》1、合规管理部门与管理职能的建立；2、合规风险管理有效性：•管委会对合规风险状况的评估及相应管理计划的制定•合规管理部门对合规风险的及时报告•内审部门对合规管理部门适当性和有效性的审计银监会对合规管理提出的要求-《商业银行合规风险管理指引》等规范要求明确提出了合规管理要素：（一）合规政策；（二）合规管理部门的组织结构和资源；（三）合规风险管理计划；（四）合规风险识别和管理流程；（五）合规培训与教育制度。合规风险管理信永中和集团普信咨询汪健豪©版权所有2015Page13合规风险管理的核心技术“规”是外部、内部的监管当局和管理机构针对各类已识别的风险，通过立法/立规的方式，以减小相关风险发生的可能性与危害为途径、直至最终降低风险的管控政策与措施的体现。合规风险管理的核心：减少/降低损失事件发生的概率（PE/PD）；减少/降低损失事件发生的预期损失（LGE/LGD）。信永中和集团普信咨询汪健豪©版权所有2015Page14海恩法则：每一起严重事故的背后，必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。海恩法则强调：（1）事故的发生时量的积累的结果；（2）再先进的技术和完美的规章都无法替代人自身的素质和责任心。案防失效与海恩法则信永中和集团普信咨询汪健豪©版权所有2015Page15银行风险事件侦测/控制渠道分析事前侦测（T—０）：新产品、新制度、新机构、新系统，……事中侦测（T＋０）：事中（流程中）复核、审核、监测，……事后侦测（T＋n）：后督（T＋１）、上级条线检查（如T＋３０）季度专项检查（T＋９０）强制轮岗/休假（针对特定岗位的T＋365）……内部（诚信）举报、合规检查内部审计（T＋365）、外部审计外部监管检查媒体曝光、案件爆发注：侦测渠道指数设置原则：（１）事前指数为１；事中指数为２；（２）案件爆发指数为１０；（３）其他的渠道指数按“防区”设定。案防与风控管理信永中和集团普信咨询汪健豪©版权所有2015Page16某银行内控评价的关键风险指标的思考风险事件发生－发现时间间隔天数平均值：４１天风险事件侦测渠道指数平均值：６．３案件/风险事件防控的基本理念：一百个控制不如一次将事情做对！最好的控制是自我控制风险识别、评估、报告机制建设风险识别报告机制建设的核心要点：基于理性、自私的人性设计有关案件、险情、违规的关系（海恩法则）有关合规内控检查/监测体系的建立监测对象视图监测活动视图监测结果视图案防与风险管理、内部控制信永中和集团普信咨询汪健豪©版权所有2015操作风险管理与资本计量巴塞尔新资本协议1、操作风险定义：为由于不完善或失灵的内部程序、人员和系统或外部事件导致损失的风险，包括法律风险，但不包括战略和声誉风险；2、操作风险特点：内生性、广泛性、风险收益无关性；3、操作风险损失事件分类4、操作风险八大业务条线商业银行资本管理办法操作风险管理与资本计量信永中和集团普信咨询汪健豪©版权所有2015内控合规与操作风险管理体系中都存在大量的管理数据，这些数据的收集与分析能够为三大体系的运转提供重要的基础，因此有必要建立统一的数据字典库，以保证数据的标准化，为数据的后续使用建立标准。其中包括但不限于：•统一的风险定义与分类；•统一的风险因子、损失事件类型与损失形态分类；•统一的控制措施的标准化分类；•统一的风险控制与评估标准；•统一的风险指标分类与分类标准；•统一的控制措施字典库等。数据结构（字典）的整合基于内控合规与操作风险的管理工具与管理职能的互补性与关联性，三大体系的整合管理体系建立的具有实施基础的。因此在建立一系列管理机制与工具的同时，项目组应遵循“整合原则”，充分利用各部门职能的资源，有效整合内控、合规与操作风险三者的:•管理机制;•管理工具;•管理职能;•管理制度。管理机制与工具的整合内控、合规、操作风险的管理整合信永中和集团普信咨询汪健豪©版权所有2015内控、合规、操风的数据整合示例信永中和集团普信咨询汪健豪©版权所有2015“合规、内控、操风管理”整合管理信永中和集团普信咨询汪健豪©版权所有2015Page21内控、合规、操风的关注点Page21内控的关注点：内控缺陷。包括设计缺陷和运营缺陷。合规的关注点：违规事件。包括“立规”、对违规事件的监控、员工违规积分管理等。操风的关注点：风险事件。包括风险分类、事件分类、损失分类等，以及相应的资本管理。注：就管理的工具、系统以及定量管理要求而言，操作风险管理有着目前的监管要求（包括三大工具的应用、管理信息系统要求、以及操作风险监管资本计量要求等）。信永中和集团普信咨询汪健豪©版权所有2015合规内部控制操作风险流程●●●风险识别评估●●●关键风险指标◐●●事件数据●●●计量◐◐●监测（测试、检查、评价等）●●●组织●●◐岗责●●◐外部法规●●◐制度●●●●：强相关；◐：弱相关工具方法基础管理整合矩阵表内部控制与合规、操作风险的管理方法、工具有很多重叠之处，普信整合方法有助于将操作风险管理与内控、合规等管理职能实现有机整合——基础管理的整合，如：流程管理整合、RCSA整合、指标管理整合、事件管理整合等，从而帮助银行将操作风险管理真正变成常态化运行和持续改进的机制。内部控制与合规、操作风险管理整合思路信永中和集团普信咨询汪健豪©版权所有2015内部控制与合规、操作风险的管理方法、工具有很多重叠之处，普信整合方法有助于将操作风险管理与内控、合规等管理职能实现有机整合——基础管理的整合，如：流程管理整合、RCSA整合、指标管理整合、事件管理整合等，从而帮助银行将操作风险管理真正变成常态化运行和持续改进的机制。内部控制与合规、操作风险管理整合思路信永中和集团普信咨询汪健豪©版权所有2015目前业务部门的自查、二道防线的检查、三道防线的审计等工作的规划、资源的安排、发现问题的处理、整改追踪等，分散在各个部门分别管理，资源未能充分整合利用、问题也未归集分析。建议：1、建议设定全行一、二道防线合规性检查工作的牵头部门。2、制定全行合规性检查的管理办法。统一规划业务自查、二道防线检查和问题跟踪，建立统一合规性问题库，进行全面管理。3、合规系统需建立与稽核问题跟踪系统的衔接，需要三道防线的支持与配合。统一问题管理1.2.3.明确统一管理全行业务流程的职能部门和建立统一流程管理的机制是整合管理实施的必要条件；而流程梳理和分析、流程图绘制、流程与岗位岗责匹配，这些工作的成果是在系统中应用“一图两表”的基础。建议：1、建立设定全行流程管理的牵头部门。2、制定全行流程管理办法。明确流程分类标准、流程日常管理机制、流程属主，相关职责。3、开展全行业务流程盘点、梳理和分析的工作，完成“一图两表”。由流程管理牵头部门负责组织，总行各条线成立项目小组，在咨询公司的协助下，完成各自职责范围内的流程梳理工作。流程管理“一图三表”实施过程中一个重要工作是将操作要求与岗位关联，生成岗位操作指引文件，作为该岗位人员日常工作的指导，实现岗责匹配。建议：1、合规系统建设过程中，需要人力资源部的支持和配合，与相关系统数据建立衔接，保持岗位的及时更新。岗责匹配整合管理实施关键要点信永中和集团普信咨询汪健豪©版权所有2015系统功能图某银行内部控制与合规、操作风险整合管理系统系统功能模块合同管理基础数据内控管理操作风险管理合规管理内部控制与合规、操作风险整合管理系统（示例）信永中和集团普信咨询汪健豪©版权所有2015内部控制与合规、操作风险整合管理系统（示例）P