1、商業銀行內控體制優化與評價2021年6月郁洪良 1 11 1銀行內部控制的涵義銀行內部控制的涵義控制的一般涵義控制的一般涵義控制是指受控制對象按人們的預定要求行事。控制是指受控制對象按人們的預定要求行事。“控制論控制論 “cybernetics “cybernetics最初來源希臘文最初來源希臘文“mberuhhtz“mberuhhtz，原意，原意為為“操舵術，就是掌舵的方法和技術的意思。操舵術，就是掌舵的方法和技術的意思。在控制論中，在控制論中，“控制的定義是：為了控制的定義是：為了“改善某個或某些受控對象改善某個或某些受控對象的功能或開展，需要獲得并使用信息，以這種信息為根底而選出的、的功

2、能或開展，需要獲得并使用信息，以這種信息為根底而選出的、于該對象上的作用，就叫作控制。于該對象上的作用，就叫作控制。輸入：執行標準的信息，如數量、定額、指標、規章制度、政策等；輸入：執行標準的信息，如數量、定額、指標、規章制度、政策等；輸出：執行結果的信息，如報表、簡報、原始記錄、口頭匯報等；輸出：執行結果的信息，如報表、簡報、原始記錄、口頭匯報等；控制：糾正偏差控制：糾正偏差信息反響：就是指由控制系統把信輸送出去，又把其作用結果返送回信息反響：就是指由控制系統把信輸送出去，又把其作用結果返送回來，并對信息的再輸出發生影響，起到制約的作用，以到達預定的目的。來，并對信息的再輸出發生影響，起到制

3、約的作用，以到達預定的目的。 按偏差進行補償的控制系統結構按偏差進行補償的控制系統結構“控制的管理學概念的解讀控制的管理學概念的解讀 內部控制的涵義 普遍接受的定義是國際權威機構美國的 COSO委員會(即美國“反對虛假財務報告委員會所屬的內部控制專門研究委員會發起機構委員會)1992年對內部控制的定義： 內部控制是一個組織設計并實施的一個程序，以便為到達該組織的經營目標提供合理保障。其中經濟組織的經營目標包括：經營的效果和效率；真實可靠的財務報告；合規性經營。銀行內部控制的定義銀行內部控制的定義內部控制是內部控制是“由董事會、高級管理人員以及其他人員實施的一個過程，由董事會、高級管理人員以及其

4、他人員實施的一個過程，其目的是為了實現經營的效果與效率營業目標、會計與管理信息其目的是為了實現經營的效果與效率營業目標、會計與管理信息的可靠、完整與及時信息目標以及經營活動符合現行法律、法規的可靠、完整與及時信息目標以及經營活動符合現行法律、法規的要求符合性目標巴塞爾銀行監督委員會，的要求符合性目標巴塞爾銀行監督委員會，19981998，? ?銀行組銀行組織內部控制系統框架；織內部控制系統框架；內部控制是商業銀行為實現經營目標，通過制定和實施一系列制度、內部控制是商業銀行為實現經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監督和糾正的動程序和方法，對風險進行

5、事前防范、事中控制、事后監督和糾正的動態過程和機制。銀監發態過程和機制。銀監發2007620076號，商業銀行內部控制指引號，商業銀行內部控制指引 。第三條 商業銀行內部控制體系是商業銀行為實現經營管理目標，通過制定并實施系統化的政策、程序和方案，對風險進行有效識別、評估、控制、監測和改進的動態過程和機制。銀監發20049號，商業銀行內部控制評價試行方法1 12 2內部控制和內部審計內部控制和內部審計IIA1999內部審計的定義所說，內部審計的一個主要內容或對象是內部控制，因此，內部控制是內部審計的主要職責。內部審計是是銀行業金融機構內部控制的重要組成局部銀監發200651號，銀行業金融機構內

6、部審計指引 。兩者關系：內部控制是內部審計的主要內容和職責； 內部審計其是內部控制的重要組成局部。兩者之間的差異兩者之間的差異內審內控主體內審人員董事會、經理階層及員工目標增加價值、改善運營、促進成員履責推進銀行有效合規經營職能監督、評價、咨詢執行和保證特征獨立性、客觀性科學性、合規性視角是否進行了控制如何進行控制案例：美國銀行為什么向案例：美國銀行為什么向“三無人員發三無人員發放個人住房抵押貸款放個人住房抵押貸款美國次級Subprime按揭市場：向信用分數較低、收入證明缺失、負債較重的人提供住房貸款。在次級抵押市場，其中有近半數的人沒有固定的收入的憑證，這些人的總貸款額在5000-6000億

7、美元之間。次級市場的貸款利率通常比優惠級抵押貸款高23。從2004年6月30日開始，美聯儲貨幣政策緊縮，同時，油價不斷上漲，國際原油價格WTI由2004年平均油價為每桶41.24美元，上漲2007年年初的平均油價為58.92美元。因此，美國經濟復蘇放緩和居民收入增速下降，消費者還貸壓力不斷加大，違約風險開始集中暴露，房價也開始下跌。抵押銀行協會公布美國上一季房貸戶逾繳率出現逾20年來最頂峰。次級按揭客戶的償付保障不是建立在客戶本身的還款能力根底上，而是建立在房價不斷上漲的假設之上。因此房價下跌和居民收入下降直接觸發了次貸危機。內部控制的角度：監測抵押住房的價值比監測借款人信用變化更為有效和更為

8、合理。內部審計角度：沒有能夠揭示這樣的內控系統無法抵御房地產市場價格全面下降這樣的系統風險；以及這個過程中的舞弊風險。 內部審計通過對具體業務進行詳細審計直接發現舞弊的難度較大。相關研究說明，審計人員直接查出舞弊比例為29%，內部相關人員核對發現舞弊為11%，管理當局發現為16%，他人告密發現為36%Lawrence B.Sawyer，1988；Loebbecke，Eining，Willingham1989)也認為舞弊被審計師發現的概率非常低。由于銀行業務量極其龐大，內審部門直接查處舞弊更是不現實，以挪用盜取客戶資金為例，一家分行往往管理數萬個賬戶，即使將重點集中于百余個賬戶的檢查，進行上門對

9、帳，所花費的人力、時間也是相當驚人的，不具有操作性。企業風險管理與內部控制的變動企業風險管理與內部控制的變動199720012002200312月30日，中國人民銀行印發?加強金融機構內部控制的指導原那么?財政部在2001年起提出了在新形勢下加強單位內部會計監督的要求，逐步開展了一系列的?內部會計控制標準?中國注冊會計師協會照應財政部的工作，為標準注冊會計師執行內部控制審核業務，明確工作要求，保證執業質量，在2月9日發布了?內部控制審核指導意見? 9月27日，中國人民銀行發布?商業銀行內部控制指引? 12月29日，中國證券監督委員會出臺?證券公司內部控制指引? 1月8日，中國銀行業監督委員會出

10、臺?商業銀行內部控制評價試行方法?200420052006為推動上海證券交易所上市公司建立健全內部控制制度，提升公司風險管理水平，保護投資者的合法權益，上海證券交易所于4月1日制定了?上海證券交易所上市公司內部控制制度指引?征求意見稿證監會10月出臺?關于提高上市公司質量意見?，國務院10月19日就進行了批轉【國發200534號】，這是國務院首次就上市公司工作批轉發文2006年5月17日，中國證券監督管理委員會令第32號?首次公開發行股票并上市管理方法?，其中第29條規定“發行人的內部控制在所有重大方面是有效的，并有注冊會計師出具了無保存結論的內部控制鑒證報告6月5日，上海證券交易所出臺?上海

11、證券交易所上市公司內部控制指引?6月6日，國務院國有資產監督管理委員會“關于印發?中央企業全面風險管理指引?的通知9月28日，深圳證券交易所出臺關于發布?上市公司內部控制指引?的通知7月15日，財政部發起成立企業內部控制標準委員會；中國注冊會計師協會發起成立會計師事務所內部治理指導委員會200720212021 6月28日，財政部、證監會、審計署、銀監會、保監會聯合召開企業內部控制根本標準發布會、發布了?企業內部控制根本標準?以及配套標準的征求意見稿6月5日，中共中央辦公廳、國務院辦公廳印發了?關于進一步推進國有企業貫徹落實“三重一大決策制度的意見? 4月月26日，財政部、證監會、審計日，財政

12、部、證監會、審計署、銀監會、保監會聯合發布了署、銀監會、保監會聯合發布了?企業內部控制配套指引企業內部控制配套指引?。該配套。該配套指引包括指引包括18項項?企業內部控制應用企業內部控制應用指引指引?、?企業內部控制評價指引企業內部控制評價指引?和和?企業內部控制審計指引企業內部控制審計指引?，標志著，標志著我國企業內部控制標準體系根本建我國企業內部控制標準體系根本建成成3月3日，財政部發布關于印發?企業內部控制標準根本標準?和17項具體標準征求意見稿的通知2021 2021年1月，陸續發布了?企業內部控制應用指引?的數個更新稿五部委內控體系的整體框架五部委內控體系的整體框架企業內部控制根本標

13、準 企業內部控制應用指引企業內部控制應用指引組織架構組織架構開展戰略開展戰略人力資源人力資源社會責任社會責任企業文化企業文化資金活動資金活動采購業務采購業務資產管理資產管理銷售業務銷售業務研究與開發研究與開發工程工程工程工程擔保業務擔保業務業務外包業務外包財務報告財務報告全面預算全面預算合同管理合同管理內部信息傳遞內部信息傳遞信息系統信息系統 企業內部控制評價指引企業內部控制評價指引 企業內部控制審計指引企業內部控制審計指引內部環境類控制活動類控制手段類農村商業銀行內部控制存在的主要問題農村商業銀行內部控制存在的主要問題對內部控制工作沒有引起高度重視。在把握內部控制與業務管理、內部對內部控制工

14、作沒有引起高度重視。在把握內部控制與業務管理、內部控制與經營風險、內部控制與自我開展的關系上，認識有偏差，管理控制與經營風險、內部控制與自我開展的關系上，認識有偏差，管理不標準，有的甚至把內部控制與開展、內部控制與經濟效益對立起來不標準，有的甚至把內部控制與開展、內部控制與經濟效益對立起來。人員素質低，相互監督能力難保證。如責任心不強；文化、業務素質低人員素質低，相互監督能力難保證。如責任心不強；文化、業務素質低，不具備與自己工作相適應的工作能力；法制意識淡薄。，不具備與自己工作相適應的工作能力；法制意識淡薄。內部控制制度缺乏約束效力。主要表現為對會計、信貸等基層工作人員內部控制制度缺乏約束效

15、力。主要表現為對會計、信貸等基層工作人員監督的多，而對領導干部管理監督制約的少；對具體業務經辦人員違監督的多，而對領導干部管理監督制約的少；對具體業務經辦人員違規處理的多，而對領導干部違規或管理決策失誤追究責任的少。規處理的多，而對領導干部違規或管理決策失誤追究責任的少。2 2商業銀行內部控制系統的架構和設計商業銀行內部控制系統的架構和設計2 21 1內部控制系統的思維根底：系統性思維內部控制系統的思維根底：系統性思維美國花旗集團首席執行官查爾斯美國花旗集團首席執行官查爾斯普林斯普林斯Charles PrinceCharles Prince20042004年年1 1月月8 8日在釣魚臺國賓館舉

16、辦的日在釣魚臺國賓館舉辦的“商業銀行風險管理與內部控制論壇商業銀行風險管理與內部控制論壇上指出：上指出：“銀行風險管理在復雜程度上甚至大于航天工程。因此，銀行風險管理在復雜程度上甚至大于航天工程。因此，作為銀行風險管理重要組成局部之一的內部控制，也是一個復雜的系作為銀行風險管理重要組成局部之一的內部控制，也是一個復雜的系統工程。統工程。內部控制就像一輛車，是具有很多零部件的復雜系統。為車輛的各個零內部控制就像一輛車，是具有很多零部件的復雜系統。為車輛的各個零部件必須一起協同工作，其中一個零部件有問題或發生變化就會影響部件必須一起協同工作，其中一個零部件有問題或發生變化就會影響許多其他零部件的運

17、作，所以后者也必須根據車輛整體優化運作的要許多其他零部件的運作，所以后者也必須根據車輛整體優化運作的要求而作出調整。求而作出調整。系統思維的根本特征系統思維的根本特征 就是把每一個分解開來都是淺顯易懂的常識協調一致地結合起來，以就是把每一個分解開來都是淺顯易懂的常識協調一致地結合起來，以集中地解決在復雜環境中所面臨的復雜問題。集中地解決在復雜環境中所面臨的復雜問題。強調各局部之間的關聯性；強調各局部之間的關聯性；強調用簡單行迎戰復雜性。強調用簡單行迎戰復雜性。復雜問題簡明化；復雜問題簡明化；簡明問題框架化；簡明問題框架化；框架問題流程化；框架問題流程化；流程問題定量化流程問題定量化; ;定量問

18、題動態化。定量問題動態化。2 2 2 2內部控制的一個簡要系統架構內部控制的一個簡要系統架構2 2 2 2 1 1內部控制目標內部控制目標由目標確定的內部控制原那么由目標確定的內部控制原那么全面：控制覆蓋的層級、部門、業務、人員、環節，無遺漏。全面：控制覆蓋的層級、部門、業務、人員、環節，無遺漏。審慎：假設審慎：假設“壞人壞事；事前、并預設最壞的情境。壞人壞事；事前、并預設最壞的情境。有效：科學客觀，符合實際情況，動態地進行調整。有效：科學客觀，符合實際情況，動態地進行調整。獨立：內控的檢查和評價必須獨立于內控的管理和執行部門，并有直接獨立：內控的檢查和評價必須獨立于內控的管理和執行部門，并有

19、直接向董事會和高層報告的渠道。向董事會和高層報告的渠道。由原那么導出有效控制的要求：由原那么導出有效控制的要求：控制系統應與控制者的個體情況相一致；控制系統應與控制者的個體情況相一致；控制工作應確定客觀標準；控制工作應確定客觀標準；控制工作應具有靈活性；控制工作應具有靈活性；控制工作應講究經濟效益；控制工作應講究經濟效益；控制工作應有糾正措施；控制工作應有糾正措施；控制工作應具有全局觀念；控制工作應具有全局觀念；控制工作應面向未來。控制工作應面向未來。 2 2 2 2 2 2內部控制體系框架：要素結構內部控制體系框架：要素結構內部控制內部控制體系框架體系框架監督評價與糾正監督評價與糾正信息處理

20、與傳導信息處理與傳導內部控制制度與措施內部控制制度與措施風險評估與監測預警風險評估與監測預警內部控制環境內部控制環境 控制環境控制環境Control EnvironmentControl Environment。包括管理組織結構、管理理念。包括管理組織結構、管理理念、人事政策和員工素質、外部環境等。這是內部控制的根底，直接影、人事政策和員工素質、外部環境等。這是內部控制的根底，直接影響其他四個要素的功能發揮，是內控的關鍵。響其他四個要素的功能發揮，是內控的關鍵。 建立內部控制環境的原那么建立內部控制環境的原那么 原那么一：董事會對建立和維護充分有效的內控系統承擔最后的責任原那么一：董事會對建立

21、和維護充分有效的內控系統承擔最后的責任。 原那么二：高管人員在實施內控系統中承擔關鍵性的責任。原那么二：高管人員在實施內控系統中承擔關鍵性的責任。 原那么三：管理層要推進道德和誠信標準的形成，各級員工要知道自原那么三：管理層要推進道德和誠信標準的形成，各級員工要知道自己在內控過程中扮演的角色己在內控過程中扮演的角色 風險評估風險評估Risk AssessmentRisk Assessment。包括對風險點進行選擇、識別、分。包括對風險點進行選擇、識別、分析和評估的全過程。這是內部控制的前提。析和評估的全過程。這是內部控制的前提。 風險識別與評估的原那么風險識別與評估的原那么 原那么四：重要的風

22、險必須得到識別和持續性評估。評估應包含銀行原那么四：重要的風險必須得到識別和持續性評估。評估應包含銀行面臨的各種風險。內控要依變化的需要進行修正。面臨的各種風險。內控要依變化的需要進行修正。 控制活動控制活動Control ActivitiesControl Activities。是確保管理方針得以實現的一系。是確保管理方針得以實現的一系列制度程序和措施。這是實施內部控制的具體過程，構成內部控制系列制度程序和措施。這是實施內部控制的具體過程，構成內部控制系統的核心和中樞。統的核心和中樞。 內部控制活動與措施的原那么內部控制活動與措施的原那么 原那么五：內控活動應是銀行日常經營活動的內在組成局部

23、。有效的原那么五：內控活動應是銀行日常經營活動的內在組成局部。有效的內控要求建立適當的控制結構并明確每一業務層級的控制活動。控制內控要求建立適當的控制結構并明確每一業務層級的控制活動。控制活動包括：高層復核；對不同部門或分支機構適當的控制活動；實物活動包括：高層復核；對不同部門或分支機構適當的控制活動；實物控制；定期檢查是否遵循披露限制及違反的頻率；批準和授權制度；控制；定期檢查是否遵循披露限制及違反的頻率；批準和授權制度；驗證和協調制度。驗證和協調制度。 原那么六：保持適當的崗位別離和分派員工的職責不沖突，識別并將原那么六：保持適當的崗位別離和分派員工的職責不沖突，識別并將潛在利益沖突最小化

24、。潛在利益沖突最小化。 信息和溝通信息和溝通Information and CommunicationInformation and Communication，指對會計信息和，指對會計信息和管理信息的收集、處理、存儲、傳遞和反響的過程。這是內部控制的管理信息的收集、處理、存儲、傳遞和反響的過程。這是內部控制的媒體或中介，如血液。媒體或中介，如血液。 信息交流與反響的原那么信息交流與反響的原那么 原那么七：有效的內部控制要求擁有全面、充分的內部財務、經營、原那么七：有效的內部控制要求擁有全面、充分的內部財務、經營、符合性數據以及與決策相關的外部市場信息。信息必須可靠、及時、符合性數據以及與決策

25、相關的外部市場信息。信息必須可靠、及時、易采集，并以統一格式提供。易采集，并以統一格式提供。 原那么八：建立可靠并覆蓋銀行所有重要活動的信息系統。原那么八：建立可靠并覆蓋銀行所有重要活動的信息系統。 原那么九：要求建立有效的溝通渠道，確保所有職員都充分理解和遵原那么九：要求建立有效的溝通渠道，確保所有職員都充分理解和遵守影響職責的政策和程序，并將其他信息能夠傳達給適當的職員。守影響職責的政策和程序，并將其他信息能夠傳達給適當的職員。 監督與審查監督與審查MonitoringMonitoring。是為保證內部控制的有效性、充分性、。是為保證內部控制的有效性、充分性、可行性而對內部控制制度進行的持

26、續性的評價和單向制度的分別評價可行性而對內部控制制度進行的持續性的評價和單向制度的分別評價。這是對內控的再控制，由內部審計來承擔。這是對內控的再控制，由內部審計來承擔。 監督評價與糾正的原那么監督評價與糾正的原那么 原那么十：內控的整體有效性應持續地得到監控，對關鍵風險的監控原那么十：內控的整體有效性應持續地得到監控，對關鍵風險的監控應成為日常經營活動的一局部。應成為日常經營活動的一局部。 原那么十一：應由獨立的、經過適當培訓、有勝任能力的員工全面、原那么十一：應由獨立的、經過適當培訓、有勝任能力的員工全面、有效地展開對內控系統的內部審計，并直接向董事會或高管人員報告有效地展開對內控系統的內部

27、審計，并直接向董事會或高管人員報告。 原那么十二：無論是業務部門還是內部審計、其他控制人員確認的內原那么十二：無論是業務部門還是內部審計、其他控制人員確認的內部控制缺陷，都應及時向適當的管理層報告并得到處理。部控制缺陷，都應及時向適當的管理層報告并得到處理。 原那么十三：監管當局應要求所有銀行，無論規模大小，都應具備適原那么十三：監管當局應要求所有銀行，無論規模大小，都應具備適當的有效的內控系統。當的有效的內控系統。商業銀行的商業銀行的“過程要素究竟有多少充分性？過程要素究竟有多少充分性？ 2 2 2 2 3 3組織內部控制體系的總體思路組織內部控制體系的總體思路 按照以上根本要素和原那么，組

28、織商業銀行內部控制體系應按照以上根本要素和原那么，組織商業銀行內部控制體系應按如下路徑展開：按如下路徑展開：一般按總行、分支行兩個層次展開，并始終保證與巴塞爾協一般按總行、分支行兩個層次展開，并始終保證與巴塞爾協議和銀監會的要求一致，力求表達績效考核、內部審計和議和銀監會的要求一致，力求表達績效考核、內部審計和外部監管三者的一致性。外部監管三者的一致性。n內部控制內部控制組織體系組織體系n內控崗內控崗責體系責體系n內控業務內控業務流程和管流程和管理流程體理流程體系系n內部控內部控制工具制工具體系體系n內部控內部控制考評制考評體系體系 內控的組織體系內控的組織體系 三個層面：總行、分行和基層行。

29、三個層面：總行、分行和基層行。 總行：董事會、風險管理委員會、風險管理部信用風險、市場風險總行：董事會、風險管理委員會、風險管理部信用風險、市場風險、操作風險等部門、相關的業務部門等。、操作風險等部門、相關的業務部門等。 分行：風險管理處、相關的業務部門等。分行：風險管理處、相關的業務部門等。 基層行：風險管理部門、相關的業務部門等。基層行：風險管理部門、相關的業務部門等。 內控的崗責體系內控的崗責體系 這由內部控制組織體系結構直接派生，并與其他經營管理的崗責這由內部控制組織體系結構直接派生，并與其他經營管理的崗責體系一致。關鍵是如何解決人崗之間的合理配置如一人多崗、混崗體系一致。關鍵是如何解

30、決人崗之間的合理配置如一人多崗、混崗操作和責權的合理邊界問題。操作和責權的合理邊界問題。 崗責體系設計原那么。根據商業銀行崗責體系現狀，結合銀行業開崗責體系設計原那么。根據商業銀行崗責體系現狀，結合銀行業開展趨勢，主要遵循全面風險管理、風險管理與業務管理平行作業原那展趨勢，主要遵循全面風險管理、風險管理與業務管理平行作業原那么、矩陣式報告制度原那么、精簡效率原那么、相互牽制原那么、協么、矩陣式報告制度原那么、精簡效率原那么、相互牽制原那么、協調配合原那么、程式定位原那么等調配合原那么、程式定位原那么等7 7條原那么。條原那么。 崗責體系分層設計。即根據管理級次設置。崗責體系分層設計。即根據管理

31、級次設置。 風險管理職責必須明確。主要通過崗位職責描述和授信授權書進風險管理職責必須明確。主要通過崗位職責描述和授信授權書進行，授權范圍內事項分別由風險管理崗和風險管理部負責。行，授權范圍內事項分別由風險管理崗和風險管理部負責。 總行的崗責總行的崗責風險管理委員會：全行風險和內控管理的組織、決策和協調風險管理委員會：全行風險和內控管理的組織、決策和協調。風險管理部門：全行風險和內控管理、信貸風險判別監控及風險管理部門：全行風險和內控管理、信貸風險判別監控及信貸根底的綜合管理。信貸根底的綜合管理。相關部門的風險管理處，如資產負債管理部、公司業務部、相關部門的風險管理處，如資產負債管理部、公司業務

32、部、個人金融業務部等，負責相關的風險管理。個人金融業務部等，負責相關的風險管理。 分行的崗責分行的崗責風險管理部：對應總行風險管理委員會和風險管理部，主管風險管理部：對應總行風險管理委員會和風險管理部，主管分行全行的風險和內控管理工作，領導全行各業務部門風分行全行的風險和內控管理工作，領導全行各業務部門風險管理的工作，制定信貸制度、判別監控信貸風險、主管險管理的工作，制定信貸制度、判別監控信貸風險、主管全行授信審批業務、統一組織和管理信貸后臺業務。全行授信審批業務、統一組織和管理信貸后臺業務。各業務部門的風險管理部門：負責相關的風險管理。各業務部門的風險管理部門：負責相關的風險管理。基層行的崗

33、責基層行的崗責風險管理部：對應分行風險管理部，主管支行全行的風險和內控管理工作，領導全行各業務部門風險管理的工作，制定信貸制度、判別監控信貸風險、主管全行授信審批業務、統一組織和管理信貸后臺業務。各業務部門的風險管理崗：負責相關的風險管理。 內控的業務流程和管理流程的體系內控的業務流程和管理流程的體系 - -無論是業務流程的風險控制平臺，還是管理流程的風險控制平臺無論是業務流程的風險控制平臺，還是管理流程的風險控制平臺，都必須依賴崗位責任的設置來實施銀行內部風險管理的控制。，都必須依賴崗位責任的設置來實施銀行內部風險管理的控制。 - -業務流程應按照產品線來設計，并貫徹以下原那么：品種完全覆業

34、務流程應按照產品線來設計，并貫徹以下原那么：品種完全覆蓋；內控操作完整獨立；可計量并有預警功能。蓋；內控操作完整獨立；可計量并有預警功能。 - -管理流程建立在業務流程之上。管理流程設計按照管理部門層面管理流程建立在業務流程之上。管理流程設計按照管理部門層面特征，按管理級次兩級或三級設計。特征，按管理級次兩級或三級設計。 - -在業務流程和管理流程的設計中，通過文字圖表來明示風險點。在業務流程和管理流程的設計中，通過文字圖表來明示風險點。內部控制的關鍵就在于管理行為覆蓋全部風險點，從而控制風險。內部控制的關鍵就在于管理行為覆蓋全部風險點，從而控制風險。業務流程包括業務流程包括7 7類：類： -

35、 -資產業務類；資產業務類； - -負債業務類；負債業務類； - -資產負債同類結算、票據清算、同存同兌等：資產負債同類結算、票據清算、同存同兌等： - -權益類資本供給、利潤及其分配等；權益類資本供給、利潤及其分配等； - -收入類利息、投資、中間業務收入等；收入類利息、投資、中間業務收入等； - -支出類利息支出、折舊、稅金等；支出類利息支出、折舊、稅金等； - -表外業務類信用證、進出口托收等表外業務類信用證、進出口托收等 管理類流程：管理類流程： - -總行管理流程風險內控體系描述各管理的主要過程、總行管理流程風險內控體系描述各管理的主要過程、找出風險環節、提出風險控制的措施和想法；找

36、出風險環節、提出風險控制的措施和想法； - -分行管理流程風險內控體系領導班子內部控制、各管分行管理流程風險內控體系領導班子內部控制、各管理部門、各業務部門的內部控制；理部門、各業務部門的內部控制； - -基層行管理流程風險內控體系領導班子內部控制、各基層行管理流程風險內控體系領導班子內部控制、各管理部門、各業務部門的內部控制。管理部門、各業務部門的內部控制。 內控的工具體系內控的工具體系 包括信用、市場和操作風險的度量和信用風險管理工具。包括信用、市場和操作風險的度量和信用風險管理工具。 信用風險度量的工具信用風險度量的工具 - -信用風險度量的傳統方法信用風險度量的傳統方法 專家方法專家方

37、法 評級方法評級方法 信用評分方法信用評分方法 - -作為期權的貸款和作為期權的貸款和KMVKMV模型：計算預期違約頻率模型：計算預期違約頻率 - -在險價值方法：在險價值方法：J J。P P。摩根公司的。摩根公司的“信用度量術信用度量術Credit Credit metricsmetrics：分析信用品質的變遷。：分析信用品質的變遷。 信用風險管理工具信用風險管理工具 - -授信限額；授信限額； - -銀團貸款；銀團貸款； - -貸款轉讓；貸款轉讓； - -證券化，如抵押擔保債務證券證券化，如抵押擔保債務證券CMOCMO； - -信用衍生工具，如信用違約產品等；信用衍生工具，如信用違約產品等

38、； 市場風險度量和管理工具市場風險度量和管理工具 度量工具：VAR法：在給定時段，以概率x%我們可能的損失是多少？ 利率風險管理工具：如缺口管理、資產負債管理等。 匯率風險的管理工具：掉期、期權等。 操作風險度量和管理工具操作風險度量和管理工具 度量工具度量工具 - -根本指標法根本指標法BIABIA：以單一指標作為衡量銀行整體操：以單一指標作為衡量銀行整體操作風險的尺度，并以此為尺度配置風險資本；作風險的尺度，并以此為尺度配置風險資本； - -標準化方法標準化方法SASA：將業務活動分為標準業務單位和業：將業務活動分為標準業務單位和業務類別，分析特定操作風險。務類別，分析特定操作風險。 管理

39、工具管理工具 - -保險；保險； 內控的考核體系內控的考核體系 考核點考核點 -道德環境：如管理層有否高尚的道德和行為舉止等； -風險識別與管理； -內部控制效力； -審計委員會的效力； -內部審計效力。方法：內部控制評分表方法：內部控制評分表 五級 四級 三級 二級 一級總分 100 500控制環境任務與風險評價控制監控結果指標分類指標分類 - -平安性：如資本充足率、不良貸款率等；平安性：如資本充足率、不良貸款率等； - -流動性：流動比、拆出入資金率等；流動性：流動比、拆出入資金率等； - -效益性：資產利潤率、費用利潤率等。效益性：資產利潤率、費用利潤率等。 對風險內控的考評要與經營管

40、理目標的完成結合起來，將全面風險管對風險內控的考評要與經營管理目標的完成結合起來，將全面風險管理思想貫徹與經營目標責任制中。換言之，績效考核評價是個指揮棒理思想貫徹與經營目標責任制中。換言之，績效考核評價是個指揮棒，經營目標考核工程內容設計就是風向標。，經營目標考核工程內容設計就是風向標。2 23 3內部控制系統的設計內部控制系統的設計3 3 商業銀行內部控制的重點領域商業銀行內部控制的重點領域3 3 1 1經營業務領域經營業務領域授信和貸款的內部控制授信和貸款的內部控制內控目標內控目標 實行統一授信管理，健全客戶信用風險識別與監測體系，完善授信決實行統一授信管理，健全客戶信用風險識別與監測體

41、系，完善授信決策與審批機制，防止對單一客戶、關聯企業客戶和集團客戶風險的高策與審批機制，防止對單一客戶、關聯企業客戶和集團客戶風險的高度集中，防止違反信貸原那么發放關系人貸款和人情貸款，防止信貸度集中，防止違反信貸原那么發放關系人貸款和人情貸款，防止信貸資金違規投向高風險領域和用于違法活動。資金違規投向高風險領域和用于違法活動。主要內控措施主要內控措施 - -設立獨立的授信風險管理部門，對不同幣種、不同客戶對象、不同設立獨立的授信風險管理部門，對不同幣種、不同客戶對象、不同 種類的授信進行統一管理，防止信用失控；種類的授信進行統一管理，防止信用失控； - -設立審貸委員會，負責審批權限內的授信

42、；行長不得擔任審貸委員設立審貸委員會，負責審批權限內的授信；行長不得擔任審貸委員 會的成員；會的成員； -各級機構明確規定授信審查人、審批人之間的權限和工作程序，嚴格按照權限和程序審查、審批業務； -按照信貸原那么審查對關系人的授信,確保對關系人的授信條不得優于其他貸款人同類授信的條件； -審貸別離、業務經辦與會計賬務處理別離； -建立完善的授信管理信息系統，對授信全過程進行持續監控，確保提供真實的授信經營狀況和資產質量狀況信息，對授信風險進行綜合評價。貸款根本流程貸款根本流程貸款基本程序借款人申請借款人取得借款會計部門發放貸款會計部門負責按規定計算利息計劃財務部門核準貸款規模計劃財務部門負責

43、匯率、利率的管理，并負責計算機綜合業務系統輸機工作信貸部門簽訂貸款協議，保證貸款簽訂貸款合同，抵質押貸款應當辦理登記手續，有關權力證明交銀行代保管信貸人員進行貸后管理，進行五級分類，到期通知收回不良貸款進入資產保全部門清收，必要時進入法律程序。有權審批機構人員審查批準經審批機構人員批準重組或核銷。會計部門收回貸款本金及利息或進行債務重組、核銷借款人歸還貸款和利息貸款審查機構進行獨立審貸，客觀公正，充分、準確的揭示業務風險，提出降低風險的對策，審查評級提出授信意見，報有權審批人員。對已授信企業申請貸款逐筆信貸員進行實地貸前調查，如實報告授信調查掌握的情況，（對保證貸款進行核保）。并承擔調查失誤和

44、評估失準的責任。信貸審批過程信貸審批過程償還能力貸款動機風險回報率是否可接受？初期審察企業發展計劃, 管理能力管理能力審查資產負債平衡表審查資金流檢驗競爭力審查定量檢驗定量分析準則定價分析信用評級法律審評等等貸款定價審批通過支付資金貸款組合審批通過后期管理貸款內控架構貸款內控架構資 產 負 債委 員 會對 下 級 行 下 達 總 體 控 制指 標信 用 審 查 委 員 會對 下 級 行授權 （ 審 查 單 項 貸 款 審 批 權 ）對大 額 單 項 貸 款 進行審 批計劃 財 務 部經 營 計劃 的 制定 、 統 計和 考 核進 行 利 率 、 匯 率 管 理會 計管 理 部對 每 種貸 款

45、制定 會 計操 作 程 序資 產 負 債委 員 會在 權 利 內 進 行 總 體 控 制信 用 審 查 委 員 會在權 利 內 對 單 項 貸 款 進 行審 批計劃 財 務 部貸 款 的 總 體 控 制貸 款 利 率 匯 率 的 管 理營 業 部 門貸 款 的 記賬貸 款 計息公 司業 務 部貸 款 貸 前 調 查貸 款 貸 中檢 查貸 款 貸 后 收回信 用 審 查 部貸 款 的 授權 審 查貸 款 的 逐 筆 審 查資 產 保 全 部不 良貸 款 的 管 理不 良貸 款 的 收 回抵 債資 產 的 管 理分 行公 司業務 管 理 部職 制 定 每 種 貸 款 操 作 方 法 稱對 超 過

46、權 限 的 貸 款 進 行 調 查信 用 審 查 部對超 過 權 限 的 貸 款 進行審 查資 產 保 全 部全 行 不 良 資 產 收 回 的 協 調全 行不 良資 產 的 管 理法 律 咨 詢資 產 負 債比 例全 行 進 行 總 量 控 制案例：貸款借款人的真實性控制案例：貸款借款人的真實性控制在有貸款發放權限的某基層信用社信貸數據中，出現多筆同日放款且同日到期的貸款數據，貸款金額到達或接近貸款的最高限額，貸款額度根本都是整數，累計的貸款金額都超過20萬元以上。這些貸款數據說明在貸款中可能存在違規問題： 一是借款人為了獲取高額貸款，躲避最高限額的限制，通常在某一特定時間，以頂名、冒名的方

47、式，采取多人承貸，貸款到手后歸一人使用的方式騙取高額貸款，即俗稱的“壘大戶行為; 二是為降低不良貸款金額，向虛構借款人發放貸款，用于歸還其他借款人的逾期貸款，以正常貸款掩蓋其不良貸款; 三是以職工授信貸款的名義發放貸款，所貸資金歸他人使用; 四是存在由農戶承貸，企業或村、鎮使用貸款的可能性; 五是存在一人承貸，另一人使用貸款的可能。 資金業務的內部控制資金業務的內部控制 內控目標內控目標 對資金業務對象和產品實行統一授信，實行嚴格的前后臺職責別離對資金業務對象和產品實行統一授信，實行嚴格的前后臺職責別離，建立中臺風險監控和管理制度，防止資金交易員從事越權交易，防，建立中臺風險監控和管理制度，防

48、止資金交易員從事越權交易，防止欺詐行為，防止因違規操作和風險識別缺乏導致的重大損失。止欺詐行為，防止因違規操作和風險識別缺乏導致的重大損失。 主要內控措施主要內控措施 - -前臺交易與后臺結算別離、自營業務與代客業務別離、業務操作前臺交易與后臺結算別離、自營業務與代客業務別離、業務操作與風險監控別離。與風險監控別離。 - -根據分支機構的經營管理水平，核定各個分支機構的資金業務經根據分支機構的經營管理水平，核定各個分支機構的資金業務經營權限。未經上級機構批準，下級機構不得開展任何未設權限的資金營權限。未經上級機構批準，下級機構不得開展任何未設權限的資金交易。交易。 內部資金市場框架內部資金市場

49、框架交易部總行營 業部分 支機 構 資金調 度部 門分支機構 營業部分 支機 構 資金調 度部 門分支機構 營業部分 行計劃財務 部內部 資金市場營業部計算 內部 利 息 收支分 支機 構 資金調 度部 門分支機構 營業部分 支機 構 資金調 度部 門分支機構 營業部分 行計劃財務 部內部 資金市場營業部計算 內部 利 息 收支資金部內部 資金市場計算 內部 利 息 收支總行資 金計劃 部 存款及柜臺業務的內部控制存款及柜臺業務的內部控制 內控目標內控目標 對基層營業網點、要害部位和重點崗位實施有效監控，嚴格執行賬對基層營業網點、要害部位和重點崗位實施有效監控，嚴格執行賬戶管理、會計核算制度和

50、各項操作規程，防止內部操作風險和違規經戶管理、會計核算制度和各項操作規程，防止內部操作風險和違規經營行為，防止內部挪用、貪污以及洗錢、金融詐騙、逃匯、騙匯等非營行為，防止內部挪用、貪污以及洗錢、金融詐騙、逃匯、騙匯等非法活動，確保商業銀行和客戶資金的平安。法活動，確保商業銀行和客戶資金的平安。 主要內控措施主要內控措施 - -嚴格執行賬戶管理的有關規定，認真審核存款人身份和賬戶資料嚴格執行賬戶管理的有關規定，認真審核存款人身份和賬戶資料的真實性、完整性和合法性，對賬戶開立、變更和撤銷的情況定期進的真實性、完整性和合法性，對賬戶開立、變更和撤銷的情況定期進行檢查，防止存款人出租、出借賬戶或利用其

51、存款賬戶從事違法活動行檢查，防止存款人出租、出借賬戶或利用其存款賬戶從事違法活動。 - -嚴格管理預留簽章和存款支付憑據，提高對簽章、票據真偽的甄嚴格管理預留簽章和存款支付憑據，提高對簽章、票據真偽的甄別能力，并利用計算機技術，加大預留簽章管理的科技含量，防止詐別能力，并利用計算機技術，加大預留簽章管理的科技含量，防止詐騙活動。騙活動。 柜臺組織結構柜臺組織結構現 金 庫 名記 賬內部 帳務記 賬清 算聯 行柜 臺 交易員審 核記 賬收付現 金柜 臺 交易員審 核記 賬收付現 金柜 臺 交易員審 核記 賬收付現 金綜 合 會 計會 計 統 計 報 表會 計 檔 案 管 理會 計 對 帳事 后監

52、 督營 業部 主任案例：某股份制銀行上海分行內部控制失誤案例：某股份制銀行上海分行內部控制失誤2021年3月9日，某股份制銀行上海分行客戶經理與犯罪嫌疑人A指派社會人員B陪同企業財務人員到銀行辦理開戶手續。當時因缺少法人授權書而無法辦理開戶，柜面人員對營業執照、法人代碼證等原件進行了復印，其復印件留存銀行。此時，客戶經理將企業財務人員調離柜面，開戶柜員就將整套開戶材料交給了該名銀行客戶經理。隨后客戶經理就將整套資料交給了犯罪嫌疑人B，而B某利用企業預留印鑒卡刻制了企業公章、法人章等印鑒，重新制作了印鑒卡并將其與企業原印鑒卡進行了調換。次日，B某冒充企業財務人員，伙同客戶經理來補交法人委托書，辦

53、理開戶。因B某第一次陪同企業財務人員來辦理過開戶，柜員確信其為企業人員，雖核實其身份證件后發現與授權委托書不符，仍然為其辦理了開戶。3月11日銀行完成開戶處理，同時犯罪嫌疑人購置了支票、本票等空白憑證。之后犯罪嫌疑人A某再指派B某利用偷換的印鑒騙劃企業資金。在短短三日之內盜走企業資金2，751萬元。案例分析。顯而易見，犯罪分子的手段其實并不高明。銀行在整個操作過程中存在明顯的內部控制失誤，開戶相關制度執行不嚴導致了犯罪分子的輕易得手。柜員辦理業務未遵循“面對面，一對一，不間斷，交本人的根本要求。在企業財務人員離柜之后，開戶資料不能離開柜臺，更不能交給客戶經理。銀行審核開戶資料時，授權書是授權給

54、該財務人員。假印鑒一路綠燈，犯罪分子輕易購置到了重要的空白憑證。大額劃款時，銀行未與企業財務人員或主管人員進行核實，也未建立完善的核對制度。 中間業務的內部控制中間業務的內部控制 內控目標內控目標 開展中間業務應當取得有關主管部門核準的機構資質、人員從業開展中間業務應當取得有關主管部門核準的機構資質、人員從業資格和內部的業務授權，建立并落實相關的規章制度和操作規程，按資格和內部的業務授權，建立并落實相關的規章制度和操作規程，按委托人指令辦理業務，防范或有負債風險。委托人指令辦理業務，防范或有負債風險。 主要內控措施主要內控措施 - -辦理支付結算業務，應當根據有關法律規定的要求，對持票人提辦理

55、支付結算業務，應當根據有關法律規定的要求，對持票人提交的票據或結算憑證進行審查，確認委托人收、付款指令的正確性和交的票據或結算憑證進行審查，確認委托人收、付款指令的正確性和有效性，按指定的方式、時間和帳戶辦理資金劃轉手續。有效性，按指定的方式、時間和帳戶辦理資金劃轉手續。 - -辦理結匯、收匯和付匯業務，對業務的審批、操作和會計記錄辦理結匯、收匯和付匯業務，對業務的審批、操作和會計記錄實行恰當的職責別離，并嚴格執行內部管理和檢查制度，確保結匯、實行恰當的職責別離，并嚴格執行內部管理和檢查制度，確保結匯、售匯和收付匯業務的合規性售匯和收付匯業務的合規性 - -辦理代理業務，設立專戶核算代理資金，

56、完善代理資金的撥付辦理代理業務，設立專戶核算代理資金，完善代理資金的撥付、回收、核對等手續，防止代理資金被擠占挪用，按照代理協議的約、回收、核對等手續，防止代理資金被擠占挪用，按照代理協議的約定辦理資金劃轉手續，遵循銀行不墊款的原那么，不介入委托人與其定辦理資金劃轉手續，遵循銀行不墊款的原那么，不介入委托人與其他人的交易糾紛。他人的交易糾紛。 -從事基金托管業務，在人事、行政和財務上獨立于基金管理人，確保基金托管業務與基金代銷業務相別離，基金托管的系統、業務資料與基金代銷的系統、業務資料有效別離；基金資產與自營資產相別離；不同基金資產相互獨立。-開展咨詢參謀業務，堅持老實信用原那么，確保客戶對

57、象、業務內容的合法性和合規性，對提供給客戶的信息的真實性、準確性負責，并承擔為客戶保密的責任。-開辦保管箱業務，在場地、設備和處理軟件等方面符合國家平安標準，對用戶身份進行核驗確認。3 32 2信息領域信息領域會計的內部控制會計的內部控制 內控目標內控目標 實行會計工作統一管理，嚴格執行會計制度和會計操作規程，運用計實行會計工作統一管理，嚴格執行會計制度和會計操作規程，運用計算機技術實施會計內部控制，確保會計信息的真實、完整和合法，嚴算機技術實施會計內部控制，確保會計信息的真實、完整和合法，嚴禁設置賬外賬，嚴禁亂用會計科目，嚴禁編制和報送虛假會計信息。禁設置賬外賬，嚴禁亂用會計科目，嚴禁編制和

58、報送虛假會計信息。內控主要措施內控主要措施 - -依據企業會計準那么和國家統一的會計制度，制訂并實施本行的會依據企業會計準那么和國家統一的會計制度，制訂并實施本行的會計標準和管理制度。下級機構應當嚴格執行上級機構制定的會計標準計標準和管理制度。下級機構應當嚴格執行上級機構制定的會計標準和管理制度，確保統一的會計標準和管理制度在本行得到實施。和管理制度，確保統一的會計標準和管理制度在本行得到實施。 - -確保會計工作的獨立性。確保會計工作的獨立性。 - -崗位設置應當實行責任別離、相互制約的原那么，嚴禁一人兼任非崗位設置應當實行責任別離、相互制約的原那么，嚴禁一人兼任非相容的崗位或單獨完成會計全

59、過程的業務操作。相容的崗位或單獨完成會計全過程的業務操作。 -對會計帳務處理的全過程實行監督，建立有效的核對、監控制度，對各種帳證、報表定期進行核對，對現金、有價證券等有形資產及時進行盤點，對柜臺辦理的業務實行復核或事后監督把關，對重要業務實行雙簽有效的制度，對授權、授信的執行情況進行監控，做到賬賬、賬據、賬款、賬實、賬表和內外賬的六相符。凡賬務核對部一致的，應當按照權限進行糾正或報上級據處理。 -按照規定進行會計核算和業務記錄，建立完整的會計、統計和業務檔案，妥善保管，確保原始記錄、合同契約和各種報表資料的真實、完整。會計核算框架會計核算框架清算聯行 系 統行政財務總行會 計 部匯總內 部報

60、 表會 計 部根據分支機構編制的報表編制報表對 外報表總行計 劃財務 部匯總的全科 目報 表生成對 外 報表計劃財務部根 據全科 目表 編制 統 計 會計 報 表綜合業務系統基建財務信用卡 業務國 際 業務 計算機信息系統的內部控制計算機信息系統的內部控制 內控目標內控目標 嚴格劃分計算機信息系統開發部門、管理部門與應用部門的職責嚴格劃分計算機信息系統開發部門、管理部門與應用部門的職責，建立和健全計算機信息系統風險防范的制度，確保計算機信息系統，建立和健全計算機信息系統風險防范的制度，確保計算機信息系統設備、數據、系統運行和系統環境的平安。設備、數據、系統運行和系統環境的平安。 主要內控措施主