,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,内部控制,内部控制,1,内部控制,第一部分:内部控制简介,第二部分:商业银行内部控制指引,第三部分:内部控制的检查与评价,第四部分:金融机构的内部控制现状,内部控制第一部分:内部控制简介,2,第一部分:内部控制概述,内部控制的概念,内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。(商业银行内部控制指引),内部控制是金融机构的一种自律行为,是金融机构为完成既定的工作目标和防范风险,对内部各职能部门及其工作人员从事的业务活动进行风险控制、制度管理和相互制约的方法、措施和程序的总称。(加强金融机构内部控制的指导原则),第一部分:内部控制概述内部控制的概念,3,内部控制的概念,引自西方管理学,强调动态过程,机制不等同于管理制度,强调事前防范,应具备常规性、可预期性和灵活性,内部控制的概念引自西方管理学,4,目标和作用,管理和经营的有效性(业绩目标);,资产安全、经营效益、防止资源损失,信息的可靠性(信息目标);,对现行法规的遵循性(合规性目标),目标和作用管理和经营的有效性(业绩目标);,5,谁对内部控制,负责,?,董事会,主要由常务董事和外部独立董事组成,负责内部控制的治理、指导和监督。,经营管理层,最终对内部控制的有效性和充分性负责。,审计委员会,负责评估内部控制系统的有效性,是监督工作的实施者。,谁对内部控制负责?,6,谁对内部控制,负责,?,董事会在内部控制上的职责,批准和定期审查银行整体经营战略和重大政策;,了解银行面临的主要风险,设立适当的风险限额,保证管理高层采取切实的步骤,对这些风险进行识别、度量、监测和控制;,批准银行的组织结构,授权明确、职能清晰的组织结构是整个内部控制的基础;,保证管理高层有能力监控银行内控系统的有效性。,谁对内部控制负责?董事会在内部控制上的职责,7,谁对内部控制,负责,?,经营管理层在内部控制上的职责,管理高层应当领导和监督在经营单位层次建立具体的内控政策和程序;,银行内部各个单位的职能应当界定清晰、授权和责任明确,不应存在功能上的缺位和重叠;,应任用具备足够经验和适合能力的管理人员,通过提供持续培训,更新他们的知识和技能,并以适当的报酬制度和晋升制度来激励他们。,谁对内部控制负责?经营管理层在内部控制上的职责,8,谁对内部控制负责?,审计委员会在内部控制上的职责,定期审阅管理层、内审部门和外部审计提交的内控工作评估报告,讨论银行内控系统的有效性;,定期审查管理层是否已经纠正审计机构和监管当局指出的内控缺陷;,定期审议银行风险管理政策和风险控制上限是否适当;,对银行财务报告的真实性提出意见。,谁对内部控制负责?审计委员会在内部控制上的职责,9,内部控制的种类,预防性控制,是为了防止错误和舞弊的发生而采取的控制。例如:,职责分离;,监督性检查;,正确性校验(复核);,设置权限。,内部控制的种类预防性控制 是为了防止错误和舞弊的发生而采,10,内部控制的种类(续),检查性控制,把已经发生和存在的错误检查出来的控制。例如:,例外(异常)情况报告;,周期性的内部审计;,盘点。,内部控制的种类(续)检查性控制 把已经发生和存在的错误检,11,内部控制的种类(续),纠正性控制,对那些由检查性控制查出的问题所采取的控制。例如:,错误更正流程;,例外(异常)情况跟踪报告。,指导性控制,为了实现有利的结果而采取的控制。例如:,指导政策和流程手册;,招聘有资质的员工;,银行内部的通知或函件。,内部控制的种类(续)纠正性控制 对那些由检查性控制查出的,12,内部控制的种类(续),补偿性控制,针对某些环节的不足或缺陷而采取的控制措施。,例如:数据发生错误时,生成例外(异常)情况报告。,计算机控制,计算机控制包括系统控制和应用控制:,系统控制,包括:,系统性的软件控制;,系统准入控制。,应用控制,包括:,确保通过系统进行的交易的准确性和完整性的控制。,内部控制的种类(续)补偿性控制 针对某些环节的不足或缺,13,检查控制,员工业绩检查,经营和项目的内部检查,外部检查,监管检查,组织控制,明确的组织目标、授权和责任,组织机构的设计,决策授权,工作说明,内部控制的方法,经营控制,制定经营计划,编制预算,建立会计和信息系统,授权体制和程序,制定、记录和分享主要政策和程序,人事控制,招聘和选择适当的员工,培训和发展,监督员工的工作,设施设备控制,主要指对于银行在经营活动中大量使用的设施(包括房屋建筑物、停车场等)和设备(计算机软、硬件)等实物资产的控制。,内部控制的方法,检查控制组织控制内部控制的方法经营控制人事控制设施设备控制内,14,内部控制的要素,管理层的监控和内部控制文化,风险识别与评估,控制措施和职责分工,信息交流与沟通,监督与纠正,内部控制的要素,15,管理层的监控和内控文化,良好的公司治理;,分工合理、职责明确、报告关系清晰的组织结构;,董事会、监事会和高级管理层对于银行内部控制应履行的职责;,科学、有效的激励约束机制;,企业精神和内部控制文化;,员工职业操守和诚信意识;,管理层的监控和内控文化,16,风险识别与评估,识别、计量、监测和管理风险的制度、程 序和方法;,涵盖各项业务和全行范围的风险管理系统,包括风险量化评估方法和模型;,风险评估应当包括所有影响银行业绩和目标的内部因素和外部因素;,风险评估应当在每一项业务、所有分支机构和整个银行系统来进行。,风险识别与评估,17,控制措施和职责分工,全面、系统、成文的各项业务政策、制度和程序,包括统一的业务标准和操作要求;,对于设立的新机构、开办的新业务的内部控制措施,各部门、各岗位、各级机构之间的职责分离、相互制约措施;,授权管理体系,包括利用计算机程序监控等手段,锁定分支机构的业务权限;,核对、监控制度,各种会计账表、统计信息真实完整的控制措施;,各种应急制度;,法律风险控制措施。,控制措施和职责分工全面、系统、成文的各项业务政策、制度和程序,18,控制措施和职责分工,业务层次上的控制措施,高层检查:应当关注内控工作,要求下属提交实现银行业绩目标状况的,报告;,职能部门的检查:部门的负责人应当定期(每天、每周、或者每月)研,究业务进展报告,其频率和仔细程度应当高于银行高,层管理人员;,实物控制:指对有形资产,包括现金和证券的控制。具体的控制方式包,括:具体的限制措施,双重控制,周期性库存,资金调动双,签制等;,对遵循风险限额情况以及不合规情况的跟踪检查,审批和授权制度,验证与核查,控制措施和职责分工业务层次上的控制措施,19,控制措施和职责分工,适当的职责分工,有效的内部控制要求,对利害相关的职责应当进行分离,不应对同一人员授权负责利益相互冲突的岗位。具有潜在利益冲突的岗位应当进行识别和减少,并对其状况由独立的第三方进行监督。,控制措施和职责分工适当的职责分工,20,信息交流与沟通,业务数据的电子集中处理系统;,贯穿各级机构、覆盖各个业务领域的数据仓库和管理信息系统;,信息交流、共享和反馈机制;,信息交流与沟通业务数据的电子集中处理系统;,21,信息交流与沟通,信息的真实性,一个有效的内控系统要求,银行决策层应当能够得到有关财务、经营状况的综合性信息,以及与决策有关的外部市场信息。这种信息应当是有意义的、可靠的、随时可得的,并且可以前后对比。,信息系统的安全和可靠,金融机构应当建立一个涉及全部业务活动的、可靠的管理信息系统。这些系统必须是安全的,并被独立地监测,具有应急备用系统。,有效的沟通渠道,银行的组织结构应当保证信息能够顺畅的被传递。向上的信息保证管理高层了解经营风险和当前的经营状况。向下的信息可以保障银行的目标、战略和预期,以及已有的政策和程序,能够传达到下层管理人员和员工。最后,银行内部的信息沟通应当保证一个部门或经营单位的信息可以由其他单位分享。,信息交流与沟通信息的真实性,22,监督与纠正,对风险控制的监测,银行内控工作的整体效果应当能够持续地被监测。管理高层应当明确授权,由谁来监测内控系统的有效性。对主要风险的监测应是金融机构日常工作的一个组成部分,并应当由银行一线经营管理人员和内部审计人员定期评估这种监测的有效性。,对内控系统的实时监测可以及时发现和纠正内控系统的缺陷。尽管对内控系统的定期评估只能在事后发现问题,但却可以对内控系统的有效性做出一个整体性的评估。参与定期评估的人员可以来自业务部门、财务部门、内审部门。评估结果应有书面报告上报管理高层。,监督与纠正对风险控制的监测,23,监督与纠正,内部审计,建立独立的、训练有素的内部审计部门,对内控系统进行综合性审计。内审部门应当由有能力、有专业知识和经验的人员组成,他们应当清楚自己的作用和职责,并直接对董事会(或审计委员会)或管理高层负责。,内部审计负责对银行内控系统进行实时监测。内审部门的工作应当独立于银行的日常业务,但有权接触银行所有部门和分支机构的业务活动。,监督与纠正内部审计,24,监督与纠正,对内部控制缺陷的处理,经营管理人员、内部审计人员或其他管理人员发现的内控缺陷(或未能加以有效控制的风险)应当及时向适当的管理层报告。重大的内控缺陷应当及时向管理高层和董事会报告。,监督与纠正对内部控制缺陷的处理,25,内部控制的要素,Compliance,Financial,Reporting,营运,监督,信息与沟通,控制活动,风险评估,控制环境,银行层面,集团整体层面,财务报告,合规,内部控制的要素Compliance营运监督信息与沟通控制活,26,vi.基本内控措施,ix.信息系统的安全与可靠,x.有效的沟通渠道,i.董事会,ii.审计委员会,iii.管理层,v.风险评估,iv.普及内控意识,vii.职责分离,viii.信息的真实性,xi.风险监测,xii.内部审计,xiii.缺陷处理,内部控制指引,内控机制,vi.基本内控措施ix.信息系统的安全与可靠x.有效的,27,第二部分商业银行内部控制指引,背景和起草原则,框架安排,有关商业银行内部控制指引的几个问 题,第二部分商业银行内部控制指引,28,有问题银行的内部控制缺陷,管理层的监督力度不够,责任不清,未能在银行内部创造一种强有力的内控文化。,未能充分识别和评估银行表内外某些业务风险。,缺乏或未能建立关键性的控制结构或控制措施,如职责分工、审批、业务复核和业绩考核制度。,银行内部信息交流不充分,尤其是问题上报不充分。,内部稽核的监督不够甚至无效。,有问题银行的内部控制缺陷管理层的监督力度不够,责任不清,未能,29,框架安排,第一部分:总则,第二部分:内部控制的基本要求,第三部分:对银行具体业务的内控规定,对授信业务、存款及柜台业务、资金业务、中间业务、会计、计算机系统等六个业务领域的内部控制提出要求,将内控原则具体化。,第四部分:从银行内部控制的主体出发,对内部审计部门、监管当局和外部审计机构的职责作出规定。,框架安排 第一部分:总则,30,有关商业银行内部控制指引的几个问题,指引在监管法规体系中的地位,商业银行是内部控制的主体,内部控制与公司治理、风险管理的关系,有关商业银行内部控制指引的几个问题 指引在监管法规,31,商业银行内部控制的主体,监管机构的责任,要求金融机构(内审部门)提交审计报告;,确定内容与范围,要求金融机构定期提交相关内容的外审报告;,直接对金融机构的内控工作进行现场检查,包括对业务流程的检查也包括对交易过程的测试。,商业银行内部控制的主体监管机构的责任,32,内部控制,风险管理,内部控制,风险管理,公司治理,公司治理,公司治理、风险管理与内部控制,内部控制风险管理内部控制风险管理公司治理公司治理公司治理、风,33,董事会事务,薪酬事宜,问责性及审计,信息的披露,薪酬阶级与组合,薪酬资料的披露,内部控制,内部审计,董事会管理活动,资料及信息使用权,董事会成员,主席及首席执行官,董事会的构成与平衡,制定薪酬政策的程序,问责性,审计