銀行業內控管理和執行力建設的良好實踐介紹

與案例分析香港金融管理局馮敦孝高級經理日期:2011年9月27日銀行業內控管理和執行力建設的良好實踐介紹

與案例分析講座重點

監管機構對銀行的內控與風險管理要求 介紹 銀行內控管理和執行力建設的良好實踐 介紹講座重點

主要內容什么是內部監控系統?銀行公司治理的主要原則監管機構對銀行的內控與風險管理要求「職能分離」的重要原則某國際性銀行的內控機制介紹某些國際先進銀行的合規工作方式介紹對本地與海外分支機構的監控國際案例討論風險的識別與評估風險的監測與匯報《新資本協議》框架的基本要點關于操作風險方面的資本計提方法內控與風險管理的關系總結主要內容什么是內部監控系統?什么是內部監控系統?(1)定義一家機構內建立的一整套控制系統，其范圍函蓋財務管理及其它方面。該系統可使機構有規律及有效地進行業務活動，確保遵守管理政策，保護機構擁有的資產，及盡可能地維持帳目記錄的詳盡性及準確性。(節錄自英國會計師公會的審計指引)什么是內部監控系統?(1)定義什么是內部監控系統?(2)內控機制:

主要分作2大類：(1)「主要」

primary的內控機制及(2)「次要」

secondary的內控機制.「主要」的內控機制:主要是預防性的控制-為了防止風險事件的發生，以及偵察性的控制-為了測定有否風險事件的存在?！复我沟膬瓤貦C制：主要是指日常的監控手段，例如：日常管理層對預算的檢討、對內部管理報表的檢討、利用財務分析手段檢討各部門的業務表現等等。什么是內部監控系統?(2)內控機制:銀行的倒閉可能對整個銀行體系造成系統性的影響，損害金融及社會經濟的穩定性。銀行的資金主要來自存款人，股東的資金只占小部份。銀行應以本身的穩健性及存款人的利益為先，做好公司治理、內部控制及風險管理。前言銀行的倒閉可能對整個銀行體系造成系統性的影響，損害金融及社會銀行的擁有權與管理權應分開，聘用專業管理人員。明確分配決策權和責任。清楚列明決策的規則和程序。制訂銀行的業務目標，以審慎的方式經營業務，及保障存款人的利益。銀行公司管治的主要原則銀行的擁有權與管理權應分開，聘用專業管理人員。銀行公司管治的銀行組織架構董事會執行委員會信貸委員會資產負債管理委員會薪酬委員會提名委員會審計委員會行政總裁及高級管理層信貸部市場部零售業務部資金部風險管理部信息系統部財務部操作部內部審計股東大會外部審計人事部合規部銀行組織架構董事會執行委員會信貸委員會資產負債薪酬委員會提名銀行公司管治主要組成部份董事會監管機構管理層審計委員會內部審計外聘審計師監控路線報告路線股東大會各專責委員會銀行公司管治主要組成部份董事會監管機構管理層審計委員會內部審大綱第一部份: 內部監控及風險管理系統的一般架構第二部份: 內部監控系統(內控)第三部份: 審計功能第四部份: 風險管理系統(風管)大綱第一部份: 內部監控及風險管理系統的一般架構第一部份內部監控及風險管理系統的一般架構銀行業內控管理和執行力建設的良好實踐介紹與案例分析內控及風管一般架構(1)專責委員會:負責內控及風險管理工作董事局對內部監控及風險管理負有最終責任執行委員會

/風險管理委員會資產及負債委員會審計委員會信貸委員會業務操作風險管理委員會其他風險管理委員會高級管理層:負責監察日常風險管理工作個別業務部門負責遵守政策、程序及限額(前線部門)法規遵行部門負責遵行法律規定及監管要求風險管理部門負責日常風險管理(中間部門)內部審計部門負責進行獨立審計內控及風管一般架構(1)專責委員會:負責內控及風險管理工銀行內控及風險管理組織架構圖

（請參閱附件1）

銀行內控及風險管理組織架構圖

（請參閱附件1一般架構(2)有效之內控及風管架構建基于:(1)

有效的公司管治董事局及高級管理層的監察政策及程序守則權限分配(2)

適當的內控及風管環境公司文化確認了內控及風管的重要性(3)

分工適當的公司組織架構獨立的內控及風管功能(4)

足夠的及準確的帳目及記錄以便查核及確定風險的性質、量度、監控及匯報一般架構(2)有效之內控及風管架構建基于:第二部份內部監控系統(內控)銀行業內控管理和執行力建設的良好實踐介紹與案例分析內部監控系統(1)良好的內控系統有助一家機構達到以下目標:

有助提高運作效率 提供可靠的財務數據 確保資產的安全性及有效運用 減少因失誤、欺詐等不當行為所引起的損失 確保有效的風險管理系統 確保能遵守法律及監管規定內部監控系統(1)良好的內控系統有助一家機構達到以下目標:內部監控系統(2)對銀行而言，內控系統應包括以下主要范圍:(1)高層次的監控(2)對各主要業務范圍的監控(3)對財務會計系統的監控(4)對信息科技系統的監控(5)對外包業務的監控(6)對遵守法規的監控 對防止清洗黑錢活動的監控（巴塞爾委員會的定義）內部監控系統(2)對銀行而言，內控系統應包括以下主要范圍:內部監控系統(3)(1)高層次的監控有效的公司管治制度明確合理的權限清晰的政策及規章制度各主要功能的分割，確?；ハ嗉s束及制衡 (例：業務發展、風險管理、會計、結算、審計、法規等功能應各自分開及互相制衡)內部監控系統(3)(1)高層次的監控內部監控系統(4)(2)對各主要業務范圍的監控銀行可概括地分為以下主要業務：

零售銀行、批發銀行、企業銀行、私人銀行及財資業務等。對每項主要業務，應建立清晰的業務目標、功能及責任、權力分配、審批制度、額度控制及敏感工作地點之出入管制等。內部監控系統(4)(2)對各主要業務范圍的監控內部監控系統(5)(3)對財務會計系統的監控 目的：確保管理信息系統的準確性及效率確保定期進行的財務預算順利確保能定期向管理層提交足夠的財務報告確保能準確地與及時地向監管機構呈交所需的報表內部監控系統(5)(3)對財務會計系統的監控內部監控系統(6)(4)對資訊科技系統的監控 目的：確保信息科技系統能應付業務所需確保擁有足夠資源及人材確保系統的運作、保養及提升確保具備有效的應變計劃以應付突發事件內部監控系統(6)(4)對資訊科技系統的監控內部監控系統(7)(5)對外包業務的監控 目的：確保具備一套清晰的外包策略確保清楚了解外包合作伙伴的專業能力及可靠性確保能有效監察合作伙伴，并定期審查外包業務的運作應建立有效的應變計劃應清楚了解及遵守監管機構對外包方面的監管要求內部監控系統(7)(5)對外包業務的監控內部監控系統(8)(6)對遵守法規方面的監控職能：監控銀行的日常商業活動，確保嚴格遵守法律的規定、監管的規定以及銀行既定的政策與程序。

具備有效的合規功能的先決條件:

獨立的合規部門，能直接向董事局、專責委員會、或最高管理層報告擁有足夠的資源及稱職的員工內部監控系統(8)(6)對遵守法規方面的監控內部監控系統(9)(7)對防止洗黑錢活動的監控清晰的“認識您的客戶”(“KnowYourCustomer”Policy)的政策及程序有效的識別可疑交易的系統及匯報程序遵守法律規定,與執法機構保持合作足夠的員工培訓定期的審計及合規檢查委任專責的反洗錢合規主任反恐怖融資內部監控系統(9)(7)對防止洗黑錢活動的監控第三部份審計功能銀行業內控管理和執行力建設的良好實踐介紹與案例分析審計功能(1)審計功能是內控系統的重要組成部份審計功能由三方共同承擔:(a) 審計委員會(b) 內部審計(c) 外聘審計審計功能(1)審計功能是內控系統的重要組成部份審計功能(2)(a)審計委員會由非執行董事組成，大部份應為獨立非執行董事主要職能：對于內控及風管方面事宜向董事局提供獨立的意見監察內部及外聘審計師的工作表現維持董事局與內部審計師及外聘審計師之間的溝通渠道通監察會計及財務報告的政策及實施情況協助董事局監控公司的合規情況協助董事局履行作為受托管理人的責任審計功能(2)(a)審計委員會審計功能(3)(b)內部審計有效內部審計功能的先決條件：擁有獨立的自主權以決定內部審計之范圍及方法明確規定業務部門管理層必須對內部審計的建議作出適當的回應采用有效的方法以識別銀行內部存在的主要風險具備足夠的資源及稱職的審計人員能隨時直接向董事會及審計委員會匯報具備取得任何資料或向銀行任何員工提出訊問作審計用途的權力內審部主管的委任與撤職必須通過董事會及審計委員會的審批。審計功能(3)(b)內部審計審計功能(4)(b)內部審計(續)主要職能審查及評估內控及風管系統的有效性對各操作范圍進行內部審核在審計委員會指令下參與個別的調查項目評估業務部門是否遵守既定的業務策略,政策及程序審計功能(4)(b)內部審計(續)審計功能(5)(c)外聘審計師按照會計準則履行專業的審核由董事局委任(非受聘于管理層)主要職能：對銀行的財務報表提供具法律責任的意見，并簽署銀行的年報對銀行的財務會計及內控系統向董事局提供獨立的意見履行相關的法律及監管規定

(金管局規定外聘審計師必須按照“銀行條例”的框架定期進行審核。外聘審計師若發現重要事項，必須主動報告金管局，并須出席「三方會議」。)審計功能(5)(c)外聘審計師審計功能(6)(c)外聘審計師(續) 其它重點外聘審計師的部份工作可倚靠內部審計師之審計結果。但外聘審計師需盡其所能履行其審計工作責任及按照專業守則在其審計范圍內作出獨立的意見。外聘審計師應避免利益沖突之可能性。(例：不應同時出任銀行的審計師及財務顧問)審計功能(6)(c)外聘審計師(續)第四部份風險管理系統(風管)銀行業內控管理和執行力建設的良好實踐介紹與案例分析風險組織架構(1)風險管理委員會董事局及管理層之監控公司管治政策及程序風險管理風險的識別風險的量度風險的監察風險的控制風險的匯報

重點:獨立風管功能分工策略風險法律風險業務操作風險市場風險利率風險流動資金風險信譽風險信貸風險公司風險管理文化內部審計風險組織架構(1)風險管理委員會董事局及管理層之監控公司管風險管理系統(2)風管主要組成部份:

(a)風險的識別(b)風險的量度(c)風險的監察(d)風險的控制(e)風險的匯報風險管理系統(2)風管主要組成部份:風險管理系統(3)(a)風險的識別

識別在業務活動中潛在的各種風險八類主要風險：信貸、市場、利率、流動性、操作、策略、法律及聲譽風險管理系統(3)(a)風險的識別風險管理系統(4)例子：銀行擬購入一種由境外公司發行之定息外幣債券信貸風險-發債者能否履行合約及它的償還能力？市場風險-債券價格及匯率的波動？利率風險-利率基點風險、孳息曲線風險、期權風險(若附 帶提早或延遲贖回條款)流動資金風險–相關債券在市場的買賣活躍程度？業務操作風險–審批過程、對財資部門操作的監控、結算風險等 ？法律風險- 法律文件的完備性、發債者及投資者(銀行)是否 已遵守一切有關的法律規定？策略風險- 銀行買入該債券是否符合既定的業務策略？聲譽風險- 此項投資是否影響公眾人士(如小股東及存款人)的信 心？風險管理系統(4)例子：銀行擬購入一種由境外公司發行之定息風險管理系統(5)(b)風險的量度量度必須詳盡及準確分別計算每種不同的風險，并綜合評估整體的風險程度計算風險與回報的關系量度不同風險的方法介紹：

(1)市埸風險市價估值mark-to-market(應由獨立部門專責定期進行)壓力測試(應考慮各種可能出現的不利情況)「估計虧損風險值」(Value-at-Risk“VAR”)風險管理系統(5)(b)風險的量度風險管理系統(6)(b)風險的量度(續)量度不同風險的方法介紹

(續)： (2)利率風險計算當利率水平發生變化時，對銀行的：(1)短期利息收入的影響；及(2)“經濟價值”（EconomicValueofEquity“EVE”)的影響。(例:「缺口表」GapAnalysis或「久期」Duration方法)。壓力測試(例:利率水平發生不同的變化時對銀行利息收入及支出的影響)。 (3)信貸風險建立完善的資產評級分類系統(巴塞爾新資本協議的[標準方式]容許銀行參考國際信貸評級進行資產評級分類，該新協議的[內部評級方式]亦容許較大型及先進的銀行根據其業務特性建立內部資產評級分類系統)計算「違約概率」ProbabilityofDefault(“PD”)計算不良貸款的金額及壞賬撥備額等壓力測試(例:不良貸款額發生不同的變化時對銀行財務狀況的影響)風險管理系統(6)(b)風險的量度(續)風險管理系統(7)(c)風險的監察

獨立部門負責監察：各業務部門是否在既定的內部限額額度內進行業務？有否超額？有否不按既定的風險管理政策辦事？風險管理系統(7)(c)風險的監察風險管理系統(8)(d)風險的控制建立完善的風管政策及操作守則，并須經董事局或其下委員會(例:資產負債管理委員會、信貸委員會)審議及批核適當的分工，獨立部門負責風險監控的功能，不應由業務部門負責其它的后臺部門(例:結算部、信貸管理部、資料統計部等)應向風險監控部門提供適當支持建立風險控制額度，監控超額情況，向管理層報告一切超額及違規事件風險管理系統(8)(d)風險的控制風險管理系統(9)(d)風險的控制(續)在訂立額度時，管理層應考慮以下因素:交易對手的信譽及還款能力產品及市埸之特性公司的經營策略及風險承擔能力公司的資本充足水平收入來源的分配內控及風管系統的建全性業務人員的專業知識及經驗未來的經濟展望風險管理系統(9)(d)風險的控制(續)風險管理系統(10)(d)風險的控制(續)不同的風險控制額度例子:(1)市埸及利率風險:整體限額、合約總額、停止虧損額、到期日的限額、利率基點損失額、「估計虧損風險值」限額(VARlimit)、觸發行政干預的限額(2)信貸風險:對個別授信戶、行業、國家的授信限額抵押及非抵押的授信限額(應審慎評估抵押品的價值及定期作重估)與銀行有關連的授信戶限額風險管理系統(10)(d)風險的控制(續)風險管理系統(11)(e)風險的匯報

必須能提供及時及準確的信息給管理層及有關人員，以便能及時控制風險。保持信息系統的詳盡性及可靠性。建立預警機制。管理層必須定期評估銀行的風險程度，了解銀行的財務狀況在不同的情況下可能出現的不利變化，從而作出相應的決策及措施。風險管理系統(11)(e)風險的匯報「持續業務運作計劃」

各銀行應按照其業務的性質、規模及復雜程度

，制定應變計劃及業務復原計劃；確保在重大

事故發生后，銀行能持續進行業務（從911事件

中吸取教訓）。2. 金管局要求銀行制定正式、書面的應變計劃，

并且定期修訂及測試應變計劃的有效性。「持續業務運作計劃」「持續業務運作計劃」(2)[災難應變計劃]與[業務復原計劃]：各銀行應按照其業務的性質、規模及復雜程度，制定應變計劃及業務復原計劃。應制定相關的計劃，確保銀行發生嚴重事故的時候，能繼續操作及減少損失。高管人員應定期檢討計劃的有效性，以配合銀行目前的業務策略及規模。應定期測試相關的計劃，確保嚴重事故發生時能真正可行及發揮作用?！赋掷m業務運作計劃」(2)[災難應變計劃]與[業務復原計劃]「職能分離」SegregationofDuties

重要原則:

「職能分離」是有效內控制度的重要先決條件。一項交易不應讓 同一員工完成所有工序，應確保讓各自獨立的人員完成整個過程。

例:

貸款活動：

評估貸款申請

貸款審批

記錄

發放資金

扺押品的控制

貸款后的監控與覆檢

財資活動： 估價工作應讓獨立于前線業務部門的人員進行（例：后臺或中間 部門）?！嘎毮芊蛛x」SegregationofDuties「職能分離」SegregationofDuties銀行業務內控重點一項交易不應由同一員工完成所有的工序。工作流程內必須設有良好的分工，使一名員工的操作受另外一位員工的監察及制衡。必須培養員工整體的內控意識及合規經營的公司文化?！嘎毮芊蛛x」SegregationofDuties銀行某國際性銀行的內控機制介紹銀行業內控管理和執行力建設的良好實踐介紹與案例分析匯豐的主要內部監控措施董事會董事會按照英國監管當局的標準，制定主要的內控程序，目的在匯豐集團內進行有效的內部監控工作。匯豐的主要內部監控措施董事會匯豐的主要內部監控措施董事會的職責負責集團內一切內控工作事宜負責檢討內控工作的有效性。匯豐控股已制定一系列的內部程序：

以防止資產遭到未經授權的挪用或出售

確保財務記錄受到妥善的保存；及

確保集團的內部財務數據及向外公布的 財務數據均屬正確可靠。匯豐的主要內部監控措施董事會的職責匯豐的主要內部監控措施主要的內部監控措施匯豐控股董事會或「集團管理委員會」授權于各附屬公司的行政總裁各類不同的權限。各附屬公司的行政總裁：

在權限內全權管理附屬公司，包括按照高層訂下的 業務計劃及預算，達到指標及控制開支。

對附屬公司的內控系統的足夠性及有效性負上責任。委任集團內部最高層的行政人員必須先通過控股公司董事會的審批。匯豐的主要內部監控措施主要的內部監控措施匯豐的主要內部監控措施「集團總管理處」負責制定關于操作、財務報告及管理報告方面的標準，并適用于整個集團。此外，各附屬公司、地區的管理層亦按照本身業務和當地的監管規定情況制訂其它營運守則作為補充。匯豐的主要內部監控措施「集團總管理處」匯豐的主要內部監控措施「集團總管理處」匯豐已制訂各種制度和程序，以識別、控制和匯報各種主要風險，包括：信貸、金融工具市價之變動、流動資金、經營失誤、違反法規、未經許可活動及詐騙行為等方面的風險。各附屬公司的「風險管理委員會」、「資產負債委員會」及「執行委員會」負責監控這些風險，并由「集團管理委員會」負責為集團作整體的監控。集團的財務董事主持每月召開一次的風險管理會議。風險管理會議負責處理資產與負債的管理事宜。風險管理會議的會議記錄必須上呈「集團管理委員會」及「集團審計委員會」。匯豐的主要內部監控措施「集團總管理處」匯豐的主要內部監控措施「披露委員會」負責審核集團所有對外重大披露的文件，確保內容并不存在任何錯誤的聲明或遺漏。成員包括：

集團公司秘書（兼任主席）

財務、法律、風險、企業傳訊、投資者關系 、內審等部門的主管，以及來自主要地區、 客戶群及環球業務部門的代表。匯豐的主要內部監控措施「披露委員會」匯豐的主要內部監控措施策略方案集團對各主要客戶群、產品類別、后勤部門及業務地區定期制定策略方案，并納入集團的總策略框架內。集團旗下的所有主要營運公司負責制定：

具體的營運計劃

各項主要業務計劃，以及評估計劃可能產生的 財務影響。匯豐的主要內部監控措施策略方案匯豐的主要內部監控措施計算機信息系統中央部門負責控制與管理集團內一切關于計算機系統的發展與操作事宜。在可行的情況下，集團內業務相同的部門必須共同使用同一的計算機系統。各附屬公司負責每天量度及上報信貸風險與市場風險的情況。中央系統合并各附屬公司的風險數據后，用作評估集團整體的風險狀況。匯豐的主要內部監控措施計算機信息系統匯豐的主要內部監控措施附屬公司附屬公司的業務管理層獲授權各種業務的權限在權限的框架內，附屬公司的業務管理層可自由進行業務，并負責確保公司的財務表現及支出符合高層既定的預算此外，集團總管理處負責對就下列各類風險制定有關的政策、程序及標準： 信貸風險、市場風險、流動資金風險、營運風險、信息科技風險、保險風險、會計風險、稅務風險、法律及合規風險、人力資源風險、聲譽風險及購買風險。匯豐的主要內部監控措施附屬公司匯豐的主要內部監控措施聲譽風險的控制控股公司的董事會及「集團管理委員會」、各附屬公司的董事會、董事會下設的委員會或高層管理人員： 負責制定政策，指導各附屬公司及集團內各層管理人員，在經營業務過程中保障集團的聲譽。匯豐的主要內部監控措施聲譽風險的控制匯豐的主要內部監控措施內部審計部門由中央部門管理。職責：監控集團內部控制結構整體的有效性。內部審計部門的工作，是以風險為本的方法識別集團各方面的風險，然后集中處理風險最高的領域。內部審計部門的主管向集團主席及「集團審計委員會」負責。各部門的管理層必須確保由內部審計部門所提出的改善措施建議，必須在雙方協議的時間表內落實。關于外聘核數師及監管機構在審查后對銀行所作出的各項改善措施建議，各部門的管理層必須向內部審計部門作出匯報，并確認其所屬的部門已經采取或正在采取適當的程序去落實有關的建議。匯豐的主要內部監控措施內部審計部門匯豐的主要內部監控措施「集團審計委員會」「集團審計委員會」經常檢討內部監控系統的成效，并定期向董事會匯報。委員會進行檢討時采用的主要程序包括：

定期評估業務和營運風險： 定期收取主要風險部門（包括內部審計及審核）主管的匯報；

每年對「集團總管理處」及各主要附屬公司的內部監控機制作檢 討并撰寫檢討結果報告；

每半年收取各主要附屬公司行政總裁的書面匯報，確定有關公司 的業務有否因內部監控不足而出現重大損失、意外事故或不明朗 的狀況；

審閱內部審計報告

審閱外聘核數師報告

審閱「審慎檢討內部業務運作情況報告」

審閱監管機構的報告匯豐的主要內部監控措施「集團審計委員會」匯豐的主要內部監控措施「集團審計委員會」董事會通過「集團審計委員會」，每年定期檢討集團內部主要領域方面的內控制度的有效性。主要領域包括：財務、營運、合規及風險管理制度等方面的內控?！讣瘓F審計委員會」負責從管理層方面取得書面的確認，確保管理層已經采取措施去糾正在日常操作過程中識別出來的內控缺陷。匯豐的主要內部監控措施「集團審計委員會」某些國際先進銀行的合規工作方式介紹在銀行的境外分支機構或附屬機構委任某些工作人員執行合規管理職能。業務部門、境外分支機構或附屬機構進行自我評估(SelfAssessment)。合規管理部門負責人參與重大信貸申請個案的審批過程。產品管理委員會(ProductCommittee)風險管理委員會合規管理部門負責人參與三方會議、審慎會議。某些國際先進銀行的合規工作方式介紹在銀行的境外分支機構或附屬對本地與海外分支機構的監控內控機制:

在總行設立專責部門管理分支機構 分支機構的高管人員必須定期輪崗 對分支機構的高管人員制定權限 匯報制度、匯報路線 制定分支機構的內控機制(請參閱下一頁)

制定分支機構的預算，并對分支機構的實際表 現作出監控對本地與海外分支機構的監控對本地與海外分支機構的監控(2)制定分支機構的內控機制：

職能分離segregationofduties

員工定期輪崗 對分支機構內不同的高管人員制定權限 「四眼原則」“Foureyesprinciple”:制衡作用 內部管理報告與「異常報告」exceptionreports

嚴格控制不活躍的或不活動的、「休眠的」存款戶口 inactiveordormantdepositaccounts

嚴格控制現金及有價值的文件 確保內審及合規工作的有效性 有效的風險管理制度riskmanagementsystem對本地與海外分支機構的監控(2)風險限額的設置A1單位VAR限額:3000萬美元A2單位VAR限額:2500萬美元A3單位VAR限額:2000萬美元B1單位VAR限額:4500萬美元B2單位VAR限額:4000萬美元業務區VAR限額:1億美元A業務組VAR限額:6000萬美元B業務組VAR限額:6500萬美元風險限額的設置A1單位A2單位A3單位B1單位B2單位業務區銀行業內控管理和執行力建設的良好實踐介紹與案例分析銀行主要業務貸款證券投資及買賣活動工商融資接受存款衍生工具活動外匯買賣電子銀行業務資產管理銀行主要業務貸款證券投資及買賣活動工商融資接受存款衍生工具活風險為本的監管制度

銀行監管方式的演進

硬性互動規例主導資本為本的監管風險為本的監管?將來過去現在風險為本的監管制度銀行監風險為本的監管制度(2)由于銀行業務日趨復雜，銀行必須確立全面的風險管理程序，以識別(identify)、量度(measure)、監察(monitor)及控制(manage)本身所承受的各類風險。銀行應確保能識別新產品及業務的風險，并且先行確立足夠的風險管理程序及管控措施，才推出這些新產品及業務。

監管者必須認識各類業務的不同風險。風險為本的監管制度(2)由于銀行業務日趨復雜，銀行必須確立全風險為本的監管制度(3)

為達到這個目的，金管局定出八項主要風險類別：信貸(creditrisk)利率(interestraterisk)市場(marketrisk)流動性(liquidity)操作(operationalrisk)聲譽(reputationalrisk)法律(legalrisk)策略(strategicrisk)風險為本的監管制度(3)為達到這個目的，金管局定出什么是管理風險？量度(measure)

控制(manage)

風險主動，積極(proactive)前瞻性(forwardlooking)監察(monitor)

識別(identify)什么是管理風險？量度(measure)控制(manag

為什么需要管理風險？個體經理

企業家

投資者風險的承受者故此，必須是風險管理者您愿意承受多少程度的風險？高，中，低？銀行必須是審慎的風險管理者因為資金屬于公眾人士倒閉導致銀行系統性的風險為什么需要管理風險？個體風險的承受者故此，必須是風銀行應該怎樣處理其風險監管機構期望銀行能制定適當的政策、程序及管控措施，以管理這些風險(以及銀行認為本身要承受的任何其它風險)。董事局應負責審批有關的風險管理政策，但這些政策不應徒具只為滿足監管當局要求的形式，而是能確實厘定機構日常運作的管理方法。銀行應該怎樣處理其風險監管機構期望銀行能制定適當的政策、程序簡介操作風險銀行業內控管理和執行力建設的良好實踐介紹與案例分析什么是操作風險(operationalrisk)這是由于信息系統不足、操作／交易問題(涉及提供服務或產品運送)、違反內部管控程序、欺詐行為或不可預見的災難而可能引致意外損失的風險?？赡苊鎸Σ僮黠L險的例子：計算機信息系統經常發生重大故障，缺乏健全 的應變計劃(contingencyplan)缺乏清晰的內部工作指引(internalguidelines)大量提供股票融資貸款(sharemarginfinance)，但缺乏健全的信息系統去控制有關風險什么是操作風險(operationalrisk)案例討論銀行業內控管理和執行力建設的良好實踐介紹與案例分析欺詐的手段澳洲國民銀行

NationalAustraliaBank

（2004年1月初）案例一：虧損2.5億美元欺詐的手段澳洲國民銀行

NationalAustralia風險管理業務管理財務監控羅兵咸永度會計師事務所(PWC)及APRA的調查報告管理不足：自營業務收益比重過高；缺乏紀律:漠視交易額度限制；產品批核:繞過批核程序推出新產品。不準確的“風險值”(Value-at-Risk)計算；容許新產品在推出后才批核；未能將有關問題提升至最高管理層及董事會。缺乏適當程序去審閱被取消或更改的交易；沒有對市場價格作足夠之測試或覆驗；缺乏有效的程序去分析交易損差之成因及跟進/調查異常之市場價格浮動。澳洲國民銀行

NationalAustraliaBank案例一：主要風險點：風險管理業務管理財務監控羅兵咸永度會計師事公司管治操作監控羅兵咸永度會計師事務所(PWC)及APRA的調查報告缺乏對內部交易之監控；操作程序出常嚴重漏洞。未能在業務發展與風險管理之間取得平衡；忽視監管機構及市場人仕的警告后臺支持部門資源不足。澳洲國民銀行

NationalAustraliaBank案例一：公司管治操作監控羅兵咸永度會計師事務所(PWC)結果董事局主席、行長辭退四名交易員和他們的上司被開除，另三名高層被辭退其信用評級降至AA-羅兵咸永度會計師事務所(PWC)的調查報告APRA就此事對澳洲國民銀行作出以下決定:受APRA密切監管，直至完成所有改善的措施；資本充足比率被提高至10%，直至內部缺陷得以改善為止；撤回允許銀行以「內部模型」去計算資本充足比率(市場風險)的批準；暫停外匯期權業務的運作，直至新的內部監控框架成立為止。澳洲國民銀行

案例一：澳洲國民銀行

案例一：防范措施建立明確的職權分工制度，前臺跟后臺必須嚴格分開。提高員工的專業素質和專業技能，增強員工對市場風險管理的識別能力，能識別內部盈虧模型可能存在的缺陷。業務部門人員的工資，不應直接跟員工的“盈利”掛勾，避免鼓勵員工參與高風險的活動。加強銀行的內部公司治理結構：董事會內必須有足夠的獨立董事；審計委員會必須讓非執行及獨立董事組成；內審部必須向董事會或審計委員會負責。建立公司治理問責制：董事會必須對銀行的內部風險管理及高管人員的素質負上最終的法律責任。防范措施建立明確的職權分工制度，前臺跟后臺必須嚴格分開。防范措施（續）加強合規管理工作的重要性，并與內審人員互相配合。必須維持對后臺部門提供足夠的資源。嚴格執行紀律:對于違反內部交易額度限制的人員必須嚴肅處理。用作估值的市場價格必須來自獨立的來源，并且讓后臺人員負責計算，以及內審部門人員作抽查。合規部門人員必須定期跟董事會會面，商討合規工作的情況。必須重視合規部門與內審部門的意見，并跟進高管人員有否落實合規部門與內審部門的建議。建立積極的合規風險管理文化。防范措施（續）加強合規管理工作的重要性，并與內審人員互相配合NickLeeson未獲授權之期貨期

權交易虧損15億美元案例二：霸菱證券霸菱銀行NickLeeson未獲授權之期貨期權交主要風險點：前臺與后臺缺乏明確的工作 職權分工內部盈虧模型不完善輕視內部審計意見存在大量未平倉合約LackofSegregationofDuties!!!案例二：霸菱銀行缺乏「職責分離」!!！主要風險點：案例二：霸菱銀行缺乏「職責分離」!!！防范措施建立明確的職權分工制度，前臺跟后臺必須嚴格分開。提高員工的專業素質和專業技能，增強員工對市場風險管理的識別能力，能識別內部盈虧模型可能存在的缺陷。對于銀行存在大量的未平倉合約（敞口），絕對不可以掉以輕心。原則上不應允許，除非有強烈的理據。業務部門人員的工資，不應直接跟員工的“盈利”掛勾，避免鼓勵員工參與高風險的活動。加強銀行的內部公司治理結構：董事會內必須有足夠的獨立董事；審計委員會必須讓非執行及獨立董事組成；內審部必須向董事會或審計委員會負責。建立公司治理問責制：董事會必須對銀行的內部風險管理及高管人員的素質負上最終的法律責任。防范措施建立明確的職權分工制度，前臺跟后臺必須嚴格分開。防范措施（續）建立合規部門，進行合規管理工作，并與內審人員互相配合。合規部門人員必須定期跟董事會會面，商討合規工作的情況。必須重視合規部門與內審部門的意見，并跟進高管人員有否落實合規部門與內審部門的建議。建立積極的合規風險管理文化。合規部門人員必須能定期跟監管機構會面（例：審慎會議、三方會議等）。外聘審計師必須是具備公信力。防范措施（續）建立合規部門，進行合規管理工作，并與內審人員互阿布扎比政府AbuDhabiGovernment 77%

國商控股(BCCHoldingsSA)盧森堡國商國商海外 香港國商其它附屬機構(BCCISA) (BCCIOverseas)

各分行 各分行 國商財務(盧森堡注冊) (開曼群島注冊)(香港注冊)案例三：國際商業信貸銀行BankofCreditandCommerce阿布扎比政府AbuDhabiGovernment案例銀行業內控管理和執行力建設的良好實踐介紹與案例分析

案例三：國際商業信貸銀行

背景資料一個由英國、盧森堡、西班牙和瑞士的銀行監管當局于1988年組成的「監管團」。香港銀行監理處于1989年7月加入成為成員之一。1991年7月3日：英倫銀行接獲國商集團外聘審計師提交的報告，指出盧森堡國商和國商海外涉嫌欺詐及洗黑錢活動。因此，無可能為國商集團擬備年度的財務帳目。1991年7月6日：英倫銀行及國際監管團對國商集團開展全球性清盤行動

案例三：國際商業信貸銀行

背景資料

案例四：花旗銀行

背景資料2004年9月中，日本銀行監管當局公開指摘花旗銀行日本分行的私人銀行業務部門涉及洗黑錢活動。日本證券業監管當局在日常審查中，發現大量“嚴重違規”的之交易（協助客戶清洗黑錢）?；ㄆ煦y行日本分行的私人銀行業務被立刻終止，牌照在2005年9月中被正式撤走。此外，花旗銀行日本分行還被禁止向新客戶吸取外幣存款。事發前長期忽視監管當局的監管規定與建議。操作風險方面的內部管控不足，法人治理不健全。

案例四：花旗銀行

背景資料

案例五：澳門匯業銀行

背景資料2005年9月中，美國財政部公開聲明指摘澳門匯業銀行涉及洗黑錢與販賣軍火的活動。大量存戶提走存款。香港金融管理局對澳門匯業銀行設在香港的附屬接受存款公司實施“隔離政策”(ring-fencing)的措施，并委任獨立會計師事務所為經理人，專責管理香港的附屬公司。香港及美國監管當局提出警告，警戒其它銀行將來必須終止與澳門匯業銀行來往的可能性。澳門監管當局現正進行對澳門匯業銀行的調查。

案例五：澳門匯業銀行

背景資料主要風險點案例3,4,5均涉及洗黑錢活動，反映銀行內部反洗錢工作不力。目前打擊洗黑錢活動已是國際上極重視的課題。洗黑錢的定義現已覆蓋「恐怖活動融資」。私人銀行業務：高風險業務！接照歷史經驗，在西方國家內銀行如涉及洗黑錢活動，后果可以很嚴重。國內的標準應跟國際標準接軌。主要風險點案例3,4,5均涉及洗黑錢活動，反映銀行內部反洗防范措施建立嚴格的反洗錢制度（在各分支機構委任專責旳反洗錢合規主任）。主要包括以下要點： 反洗錢活動的基本政策和程序 “認識您的客戶”（”KnowYourCustomer”） 查證業務申請人的身分 保存記錄 識別及舉報可疑交易 提高對員工的教育及訓練合規部門日常的主要工作應包括防止洗黑錢工作。內審工作應包括審查內部的反洗錢制度的有效性。防范措施建立嚴格的反洗錢制度（在各分支機構委任專責旳反洗錢合「打擊清洗黑錢財務行動特別組織」（FATF）于2003年發出經更新的40+9項建議：《補充文件》的要點(1)風險為本的模式（risk-basedapproach）： 對高風險客戶應采用更全面及詳盡的客戶查證程序 對于低風險客戶可使用簡化的客戶查證程序「打擊清洗黑錢財務行動特別組織」（FATF）于2003年發出「打擊清洗黑錢財務行動特別組織」（FATF）于2003年發出經更新的40+9項建議：《補充文件》的要點(2)「風險為本」應考慮的因素：

客戶居住地／業務所在地／資金來源地

客戶的背景（例如政界及其有關人士）

客戶業務性質（例：賭場或貨幣兌換商）

銀行服務種類（例：私人銀行業務客戶）

如屬公司客戶，其所有權結構是否過度復 雜，而且客戶沒法提供合理的理據？「打擊清洗黑錢財務行動特別組織」（FATF）于2003年發出風險的識別與評估應經常對現行或新的主要產品、商業活動、日常工作程序以及內部管控系統進行操作風險方面的檢討2. 應考慮可能影響銀行的內部及外部因素，例如：

銀行本身的管理架構，人事管理政策，員工流動率，機構內部結構 的改變

客戶的背景，產品及業務的性質，交易的容量及復雜性

工作程序的設計及執行

執行商業活動的內部系統

外部的營商環境以及銀行業內的趨勢，包括政 治，法律，科技，同業競爭等因素3. 評估操作風險的手段：

自我評估的程序

風險指標（統計數據：例：員工流動率，內部工作或內部系統失誤 的頻率及嚴重性）風險的識別與評估應經常對現行或新的主要產品、商業活動、日常工操作風險識別表面臨的風險狀況風險高程中度低業務公司金融個人金融...部門個人金融部信用卡部分支行...操作風險識別表面臨的風險狀況風險程度業務公司金風險的監測與匯報1.

應制定程序定期向高管人員及董事局匯報操作風險方面的情況2. 應制定程序經常檢討銀行內部可能面對操作風險影響的地方。檢討應包括：

定量與定性的評估

評估目前銀行內部已制定的糾正/紓緩措施是否恰當

確保銀行現行已具備足夠的內部管控措施以識別及應付 問題，避免日后發展為主要的憂慮應發展適當的“主要風險指標”（keyriskindicators)提供預警報告給高管人員董事局及高管人員應定期收到銀行內部的監控報告、內審部門及風險部門的合規報告、以及監管機構的報告；有助銀行高層能全面理解操作風險方面的情況。風險的監測與匯報1.應制定程序定期向高管人員及董事局匯報操風險的監測與匯報（續）5.

高管人員應確保各級的管理人員能及時收到相關的風險報告（報告來源：業務部門、后勤部門、操作風險管理部及內審部門）報告應包括適當的分析。目的：改善管理人員的表現以及發展新的風險管理政策與程序高管人員應經常檢討報告的時間性及準確性高管人員應經常跟蹤報告中的信息、數據及趨勢（尤其涉及“損失”的數據），以建立一套有效的系統去跟蹤發生損失的事件風險的監測與匯報（續）5.高管人員應確保各級的管理人員能及《新資本協議》框架的基本要點

《新資本協議》是以3大“支柱”作為基礎:最低資本要求(MinimumCapitalRequirements)監管部門的監督檢查(SupervisoryReviewProcess)市場紀律(MarketDiscipline)3大支柱各自互相補充《新資本協議》框架的基本要點

《新資本協議》是以3大“支柱”風險管理的基本理念

不管日常的風險管理工作做得多好，沒有一套完美的方法可以保證防止風險的發生。 防患于未然的措施：必須經常維持足夠的資本充足率去應對不可預見的風險。風險管理的基本理念

不管日常的風險管理工作做得多好，

關于操作風險方面

的資本計提方法

關于操作風險方面

的資本計提方法操作風險的資本計提方法

(1)《新資本協定》建議3種方法：a)

基本指標法BasicIndicatorApproach(BIA)b)標準法StandardisedApproach(STA)/AlternativeStandardisedApproach(ASA)c)高級計量法AdvancedMeasurementApproach(AMA，金管局暫不采用)操作風險的資本計提方法(1)操作風險的資本計提方法

(2)基本指標法BIA每年“提取準備金前毛利”（grossincome）的15%采取過去3年計算的平均值，作為操作風險資本金的最低要求水平某年出現虧損，則該年不用作計算操作風險的資本計提方法(2)基本指標法BIA操作風險的資本計提方法

(3)a.基本指標法

BIA(續）KBIA=[(GI1…nx)]/nK=capitalchargeunderBIA計提資本G=annualgrossincome,where+ve,overtheprevious3yrs過去3年總收入15%n=no.oftheprevious3yrsforwhichGis+ve過去3年中銀行的收入為正數的年份數目操作風險的資本計提方法(3)a.基本指標法BIA(續）操作風險的資本計提方法

(4)b.(i)標準法STA/(ii)另類標準法ASAb.(i)標準法STA將銀行業務劃分為８大操作范圍：企業財務 (CorporateFinance)貿易及銷售 (Trading&Sales)

零售銀行業務 (RetailBanking)

商業銀行業務 (CommercialBanking) 支付及清算操作

(Payment&Settlement)代理服務 (Agentservices)資產管理 (AssetManagement)零售性中間業務 (Retailbrokerage)各類操作過去３年的平均毛利x各自的資本提取率，得出各自的操作資本最低要求，加起來就是銀行整體的操作資本最低要求操作風險的資本計提方法(4)b.(i)標準法STA操作風險的資本計提方法

(5)b.(i)標準法STA/(ii)另類標準法ASA(續）b.(i)標準法STA(續）KSTA={years1-3max[(GI1-8x1-8),0]}/3capitalchargeunderSTA計提資本annualgrossincomeforeachofthe8businesslines八類業務中各業務的總收入afixedpercentageassignedeachofthe8businesslines各業務乘以指定的因子操作風險的資本計提方法(5)b.(i)標準法STA操作風險的資本計提方法

(6)

b.(i)標準法STA/(ii)另類標準法

ASA(續）b.(ii)另類標準法

ASA針對零售銀行及商業銀行業務該兩項業務各自的貸款額x調整因子(m)x資本提取率（與STA的資本提取率一樣）＝操作風險資本最低要求其它６項業務計算方法與STA一樣操作風險的資本計提方法(6)b.(i)標準法STA/操作風險的資本計提方法

(7)

b.標準法

STA/另類標準法

ASA(續）b.(ii)另類標準法

ASA（續）

以零售銀行業務為例的公式（商業銀行業務的公式類同） KRB=RBxmxLARB*總貸款=最近4季尾的貸款平均數(Totalloans&advancesequalstheaverageofloans&advancesatthelast4quarterends)capitalchargeforRBline計提資本betaforRBline零售業務的規定beta因子0.035totaloutstandingRBloansandadvances*,averagedoverpast3yrs過去3年的平均零售性貸款操作風險的資本計提方法(7)b.標準法STA/另類標舉例示范舉例示范舉例示范(續)舉例示范(續)a.基本指標法BIAa.基本指標法BIAb.(i)標準法

STAb.(i)標準法STAb.(i)標準法

STA(續)(200x15%)=30b.(i)標準法STA(續)(200x15%)=30b.(ii)另類標準法ASAb.(ii)另類標準法ASAb.(ii)另類標準法ASA

(續)總收入xBeta(120x18%=21.60.035x12%x800=3.4b.(ii)另類標準法ASA(續)總收入xBeta內控與風險管理的關系內控與風險管理的關系內控與風險管理的關系良好的公司治理職能分離segregationofduties巴塞爾內控14重大原則內審功能Internalauditactivities風險管理RiskManagement：信貸風險管理、利率風險管理、操作風險管理、合規風險管理……、其它的風險管理等等。罒眼原則Four-eyeprinciple高層管理人員的監控ManagementOversight報制機Reportingsystems內控文化controlculture其它內控的元素內控與風險管理的關系良好的公司治理職能分離segregati總結亞洲金融風暴及近年的金融海嘯顯示銀行有需要改進其風險管理。新資本協議強調銀行風險管理的重要性?？偨Y亞洲金融風暴及近年的金融海嘯顯示銀行有需要改進其風險管理答問與討論答問與討論謝謝

！

謝謝！附件附件1: 銀行內控及風險管理組織架構圖附件2: 某國際性銀行披露操作風險管理制 度的情況附件3: 金管局關于操作風險方面的指引附件4: 金管局關于監控衍生工具業務操作 風險方面的指引附件銀行業內控管理和執行力建設的良好實踐介紹

與案例分析香港金融管理局馮敦孝高級經理日期:2011年9月27日銀行業內控管理和執行力建設的良好實踐介紹

與案例分析講座重點

監管機構對銀行的內控與風險管理要求 介紹 銀行內控管理和執行力建設的良好實踐 介紹講座重點

主要內容什么是內部監控系統?銀行公司治理的主要原則監管機構對銀行的內控與風險管理要求「職能分離」的重要原則某國際性銀行的內控機制介紹某些國際先進銀行的合規工作方式介紹對本地與海外分支機構的監控國際案例討論風險的識別與評估風險的監測與匯報《新資本協議》框架的基本要點關于操作風險方面的資本計提方法內控與風險管理的關系總結主要內容什么是內部監控系統?什么是內部監控系統?(1)定義一家機構內建立的一整套控制系統，其范圍函蓋財務管理及其它方面。該系統可使機構有規律及有效地進行業務活動，確保遵守管理政策，保護機構擁有的資產，及盡可能地維持帳目記錄的詳盡性及準確性。(節錄自英國會計師公會的審計指引)什么是內部監控系統?(1)定義什么是內部監控系統?(2)內控機制:

主要分作2大類：(1)「主要」

primary的內控機制及(2)「次要」

secondary的內控機制.「主要」的內控機制:主要是預防性的控制-為了防止風險事件的發生，以及偵察性的控制-為了測定有否風險事件的存在?！复我沟膬瓤貦C制：主要是指日常的監控手段，例如：日常管理層對預算的檢討、對內部管理報表的檢討、利用財務分析手段檢討各部門的業務表現等等。什么是內部監控系統?(2)內控機制:銀行的倒閉可能對整個銀行體系造成系統性的影響，損害金融及社會經濟的穩定性。銀行的資金主要來自存款人，股東的資金只占小部份。銀行應以本身的穩健性及存款人的利益為先，做好公司治理、內部控制及風險管理。前言銀行的倒閉可能對整個銀行體系造成系統性的影響，損害金融及社會銀行的擁有權與管理權應分開，聘用專業管理人員。明確分配決策權和責任。清楚列明決策的規則和程序。制訂銀行的業務目標，以審慎的方式經營業務，及保障存款人的利益。銀行公司管治的主要原則銀行的擁有權與管理權應分開，聘用專業管理人員。銀行公司管治的銀行組織架構董事會執行委員會信貸委員會資產負債管理委員會薪酬委員會提名委員會審計委員會行政總裁及高級管理層信貸部市場部零售業務部資金部風險管理部信息系統部財務部操作部內部審計股東大會外部審計人事部合規部銀行組織架構董事會執行委員會信貸委員會資產負債薪酬委員會提名銀行公司管治主要組成部份董事會監管機構管理層審計委員會內部審計外聘審計師監控路線報告路線股東大會各專責委員會銀行公司管治主要組成部份董事會監管機構管理層審計委員會內部審大綱第一部份: 內部監控及風險管理系統的一般架構第二部份: 內部監控系統(內控)第三部份: 審計功能第四部份: 風險管理系統(風管)大綱第一部份: 內部監控及風險管理系統的一般架構第一部份內部監控及風險管理系統的一般架構銀行業內控管理和執行力建設的良好實踐介紹與案例分析內控及風管一般架構(1)專責委員會:負責內控及風險管理工作董事局對內部監控及風險管理負有最終責任執行委員會

/風險管理委員會資產及負債委員會審計委員會信貸委員會業務操作風險管理委員會其他風險管理委員會高級管理層:負責監察日常風險管理工作個別業務部門負責遵守政策、程序及限額(前線部門)法規遵行部門負責遵行法律規定及監管要求風險管理部門負責日常風險管理(中間部門)內部審計部門負責進行獨立審計內控及風管一般架構(1)專責委員會:負責內控及風險管理工銀行內控及風險管理組織架構圖

（請參閱附件1）

銀行內控及風險管理組織架構圖

（請參閱附件1一般架構(2)有效之內控及風管架構建基于:(1)

有效的公司管治董事局及高級管理層的監察政策及程序守則權限分配(2)

適當的內控及風管環境公司文化確認了內控及風管的重要性(3)

分工適當的公司組織架構獨立的內控及風管功能(4)

足夠的及準確的帳目及記錄以便查核及確定風險的性質、量度、監控及匯報一般架構(2)有效之內控及風管架構建基于:第二部份內部監控系統(內控)銀行業內控管理和執行力建設的良好實踐介紹與案例分析內部監控系統(1)良好的內控系統有助一家機構達到以下目標:

有助提高運作效率 提供可靠的財務數據 確保資產的安全性及有效運用 減少因失誤、欺詐等不當行為所引起的損失 確保有效的風險管理系統 確保能遵守法律及監管規定內部監控系統(1)良好的內控系統有助一家機構達到以下目標:內部監控系統(2)對銀行而言，內控系統應包括以下主要范圍:(1)高層次的監控(2)對各主要業務范圍的監控(3)對財務會計系統的監控(4)對信息科技系統的監控(5)對外包業務的監控(6)對遵守法規的監控 對防止清洗黑錢活動的監控（巴塞爾委員會的定義）內部監控系統(2)對銀行而言，內控系統應包括以下主要范圍:內部監控系統(3)(1)高層次的監控有效的公司管治制度明確合理的權限清晰的政策及規章制度各主要功能的分割，確?；ハ嗉s束及制衡 (例：業務發展、風險管理、會計、結算、審計、法規等功能應各自分開及互相制衡)內部監控系統(3)(1)高層次的監控內部監控系統(4)(2)對各主要業務范圍的監控銀行可概括地分為以下主要業務：

零售銀行、批發銀行、企業銀行、私人銀行及財資業務等。對每項主要業務，應建立清晰的業務目標、功能及責任、權力分配、審批制度、額度控制及敏感工作地點之出入管制等。內部監控系統(4)(2)對各主要業務范圍的監控內部監控系統(5)(3)對財務會計系統的監控 目的：確保管理信息系統的準確性及效率確保定期進行的財務預算順利確保能定期向管理層提交足夠的財務報告確保能準確地與及時地向監管機構呈交所需的報表內部監控系統(5)(3)對財務會計系統的監控內部監控系統(6)(4)對資訊科技系統的監控 目的：確保信息科技系統能應付業務所需確保擁有足夠資源及人材確保系統的運作、保養及提升確保具備有效的應變計劃以應付突發事件內部監控系統(6)(4)對資訊科技系統的監控內部監控系統(7)(5)對外包業務的監控 目的：確保具備一套清晰的外包策略確保清楚了解外包合作伙伴的專業能力及可靠性確保能有效監察合作伙伴，并定期審查外包業務的運作應建立有效的應變計劃應清楚了解及遵守監管機構對外包方面的監管要求內部監控系統(7)(5)對外包業務的監控內部監控系統(8)(6)對遵守法規方面的監控職能：監控銀行的日常商業活動，確保嚴格遵守法律的規定、監管的規定以及銀行既定的政策與程序。

具備有效的合規功能的先決條件:

獨立的合規部門，能直接向董事局、專責委員會、或最高管理層報告擁有足夠的資源及稱職的員工內部監控系統(8)(6)對遵守法規方面的監控內部監控系統(9)(7)對防止洗黑錢活動的監控清晰的“認識您的客戶”(“KnowYourCustomer”Policy)的政策及程序有效的識別可疑交易的系統及匯報程序遵守法律規定,與執法機構保持合作足夠的員工培訓定期的審計及合規檢查委任專責的反洗錢合規主任反恐怖融資內部監控系統(9)(7)對防止洗黑錢活動的監控第三部份審計功能銀行業內控管理和執行力建設的良好實踐介紹與案例分析審計功能(1)審計功能是內控系統的重要組成部份審計功能由三方共同承擔:(a) 審計委員會(b) 內部審計(c) 外聘審計審計功能(1)審計功能是內控系統的重要組成部份審計功能(2)(a)審計委員會由非執行董事組成，大部份應為獨立非執行董事主要職能：對于內控及風管方面事宜向董事局提供獨立的意見監察內部及外聘審計師的工作表現維持董事局與內部審計師及外聘審計師之間的溝通渠道通監察會計及財務報告的政策及實施情況協助董事局監控公司的合規情況協助董事局履行作為受托管理人的責任審計功能(2)(a)審計委員會審計功能(3)(b)內部審計有效內部審計功能的先決條件：擁有獨立的自主權以決定內部審計之范圍及方法明確規定業務部門管理層必須對內部審計的建議作出適當的回應采用有效的方法以識別銀行內部存在的主要風險具備足夠的資源及稱職的審計人員能隨時直接向董事會及審計委員會匯報具備取得任何資料或向銀行任何員工提出訊問作審計用途的權力內審部主管的委任與撤職必須通過董事會及審計委員會的審批。審計功能(3)(b)內部審計審計功能(4)(b)內部審計(續)主要職能審查及評估內控及風管系統的有效性對各操作范圍進行內部審核在審計委員會指令下參與個別的調查項目評估業務部門是否遵守既定的業務策略,政策及程序審計功能(4)(b)內部審計(續)審計功能(5)(c)外聘審計師按照會計準則履行專業的審核由董事局委任(非受聘于管理層)主要職能：對銀行的財務報表提供具法律責任的意見，并簽署銀行的年報對銀行的財務會計及內控系統向董事局提供獨立的意見履行相關的法律及監管規定

(金管局規定外聘審計師必須按照“銀行條例”的框架定期進行審核。外聘審計師若發現重要事項，必須主動報告金管局，并須出席「三方會議」。)審計功能(5)(c)外聘審計師審計功能(6)(c)外聘審計師(續) 其它重點外聘審計師的部份工作可倚靠內部審計師之審計結果。但外聘審計師需盡其所能履行其審計工作責任及按照專業守則在其審計范圍內作出獨立的意見。外聘審計師應避免利益沖突之可能性。(例：不應同時出任銀行的審計師及財務顧問)審計功能(6)(c)外聘審計師(續)第四部份風險管理系統(風管)銀行業內控管理和執行力建設的良好實踐介紹與案例分析風險組織架構(1)風險管理委員會董事局及管理層之監控公司管治政策及程序風險管理風險的識別風險的量度風險的監察風險的控制風險的匯報

重點:獨立風管功能分工策略風險法律風險業務操作風險市場風險利率風險流動資金風險信譽風險信貸風險公司風險管理文化內部審計風險組織架構(1)風險管理委員會董事局及管理層之監控公司管風險管理系統(2)風管主要組成部份:

(a)風險的識別(b)風險的量度(c)風險的監察(d)風險的控制(e)風險的匯報風險管理系統(2)風管主要組成部份:風險管理系統(3)(a)風險的識別

識別在業務活動中潛在的各種風險八類主要風險：信貸、市場、利率、流動性、操作、策略、法律及聲譽風險管理系統(3)(a)風險的識別風險管理系統(4)例子：銀行擬購入一種由境外公司發行之定息外幣債券信貸風險-發債者能否履行合約及它的償還能力？市場風險-債券價格及匯率的波動？利率風險-利率基點風險、孳息曲線風險、期權風險(若附 帶提早或延遲贖回條款)流動資金風險–相關債券在市場的買賣活躍程度？業務操作風險–審批過程、對財資部門操作的監控、結算風險等 ？法律風險- 法律文件的完備性、發債者及投資者(銀行)是否 已遵守一切有關的法律規定？策略風險- 銀行買入該債券是否符合既定的業務策略？聲譽風險- 此項投資是否影響公眾人士(如小股東及存款人)的信 心？風險管理系統(4)例子：銀行擬購入一種由境外公司發行之定息風險管理系統(5)(b)風險的量度量度必須詳盡及準確分別計算每種不同的風險，并綜合評估整體的風險程度計算風險與回報的關系量度不同風險的方法介紹：

(1)市埸風險市價估值mark-to-market(應由獨立部門專責定期進行)壓力測試(應考慮各種可能出現的不利情況)「估計虧損風險值」(Value-at-Risk“VAR”)風險管理系統(5)(b)風險的量度風險管理系統(6)(b)風險的量度(續)量度不同風險的方法介紹

(續)： (2)利率風險計算當利率水平發生變化時，對銀行的：(1)短期利息收入的影響；及(2)“經濟價值”（EconomicValueofEquity“EVE”)的影響。(例:「缺口表」GapAnalysis或「久期」Duration方法)。壓力測試(例:利率水平發生不同的變化時對銀行利息收入及支出的影響)。 (3)信貸風險建立完善的資產評級分類系統(巴塞爾新資本協議的[標準方式]容許銀行參考國際信貸評級進行資產評級分類，該新協議的[內部評級方式]亦容許較大型及先進的銀行根據其業務特性建立內部資產評級分類系統)計算「違約概率」ProbabilityofDefault(“PD”)計算不良貸款的金額及壞賬撥備額等壓力測試(例:不良貸款額發生不同的變化時對銀行財務狀況的影響)風險管理系統(6)(b)風險的量度(續)風險管理系統(7)(c)風險的監察

獨立部門負責監察：各業務部門是否在既定的內部限額額度內進行業務？有否超額？有否不按既定的風險管理政策辦事？風險管理系統(7)(c)風險的監察風險管理系統(8)(d)風險的控制建立完善的風管政策及操作守則，并須經董事