商业银行内部控制相关法规介绍..ppt
,商业银行内部控制相关法规介绍,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),3,内控相关法规的发展演变过程,1992,COSO内部控制综合框架,1997,中国人民银行加强金融机构内部控制的指导原则,1998,巴塞尔委员会银行组织内部控制系统框架,2002,中国人民银行商业银行内部控制指引,2004,2007,2008,2010,中国银监会商业银行内部控制评价试行办法,中国银监会商业银行操作风险管理指引及商业银行内部控制指引,五部委(财政部、审计署、银监会、证监会、保监会)企业内部控制基本规范,五部委企业内部控制配套指引,中国银监会商业银行业务连续性监管指引,2011,2006,中国银监会商业银行合规风险管理指引,2013,新COSO报告,中国银监会商业银行内部控制指引,2014,财政部、证监会关于内部控制评价的一般规定,2003,4,COSO报告内部控制整体框架(1992年),制定方:美国Treadway委员会发起组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,COSO),框架,定义,控制环境,风险评估,控制活动,信息与沟通,监控,内部控制的局限,职能与责任,内容摘要,对外部各方的报告,评价工具,五大构成要素,对内部控制框架的高度概括,为准备公开报告其内部控制的主体提供指南,对内部控制体系进行评估,内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程:经营的有效性和效率;财务报告的可靠性;符合适用的法律和法规。,局限性如:判断失误;发生故障;管理层凌驾;串通;成本与效益等。,组织中的每个人都对内部控制负有责任:董事会、管理层、内部审计师、其他人员。,5,新COSO报告内部控制整体框架(2013年),1992年,2013年,21年,基本概念、内容和结构,以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化。,五大亮点,在原有五要素基础上提出了17个基本原则,并提炼出82个代表相关原则的主要特征和关注点。每一项原则都代表着与内部控制五大要素相关联的基本概念。,更加具体,新框架提出的报告目标包括外部财务报告和非财务报告目标,以及内部财务报告和非财务报告目标。,更加全面,新框架强调董事会、管理层和内审人员要拥有“判断力”,给予董事会、管理层和内审人员适度的自由裁量权。内控如何实施、如何评价、如何认定有效性,企业可以有自己的判断。,更加自主,新框架把管理层评估舞弊风险归在风险评估阶段。要求“识别欺诈产生的各种途径,如非法所得、非法使用或处理资产、篡改企业报表记录等”,并“对欺诈风险产生的因素进行评估”。,更加严格,新框架提出要建立技术获取、开发和维护机制,相应的技术控制手段以及相关技术安全管理机制。,更加先进,新COSO报告十七条原则(1),新COSO报告十七条原则(2),新COSO报告十七条原则(3),新COSO报告十七条原则(4),新COSO报告十七条原则(5),巴塞尔银行组织内部控制系统框架(1998年),内控定义,由董事会、高级管理人员以及其他人员实施的一个过程,其目的是为了实现经营的效果与效率、会计与管理信息的可靠、完整与及时以及经营活动符合现行法律、法规的要求。,原则1-3,原则4,原则5-6,原则7-9,原则10-12,原则13,其他国际上的有关标准,我国内部控制法律制度,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),15,加强金融机构内部控制的指导原则,内控的要素、内容和基本要求,17,内控制度的管理与监督,内控制度的管理与监督,金融机构稽核(审计)部门,中央银行,对各项业务提出内部控制建议。检查和评价有关内部控制制度。对有关内部控制的问题进行专题检查。对违反内部控制的单位和人员给予纪律处分。,对金融机构实施业务稽核。对金融机构内控状况做出评价。委托外审部门对金融机构的内控状况做出评价。提出整改建议,情节严重的给予处罚。取消金融机构高管一定期限内甚至终身的任职资格。,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),19,商业银行内部控制指引的演变过程,废止,内容基本相同发文主体不同,不同之处:1、董监高职责等内容根据新的业务和环境进行修订。2、本指引第三章至第八章未作具体规定的商业银行其他业务或环节,应当按照本指引的要求建立和完善内部控制。3、商业银行内部控制评价试行办法(2004年)对商业银行做出的内部控制评价结果是商业银行风险评估的重要内容。,商业银行内部控制指引,内控的基本要求,内控的基本要求(1)内部控制环境,内控的基本要求(2)风险识别与评估,内控的基本要求(3)内部控制措施,内控的基本要求(4)信息交流与反馈,内控的基本要求(5)监督评价与纠正,根据业务条线的分类,内部控制的监督与纠正(1),内控制度的监督与纠正,建设、执行部门,监督、评价部门,负责设计内部控制体系,组织、督促各业务部门、分支机构建立和健全内部控制。,负责组织检查、评价内部控制的健全性和有效性,督促管理层纠正内部控制存在的问题。对内部控制的制度建设和执行情况定期进行检查评价,提出改进建议,对违反规定的机构和人员提出处理意见。,应当根据自身掌握的内部控制信息,对下级机构的内部控制状况定期做出评价,并将评价结果作为经营绩效考核的重要依据。,上级机构,下级机构,内部控制的监督与纠正(2),报告和信息反馈制度:发现内部控制的隐患和缺陷,应当及时向董事会、管理层或相关部门报告。,根据内部控制的检查情况和评价结果,提出整改意见和纠正措施,并督促业务部门和分支机构落实。,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),31,商业银行内部控制评价试行办法,已废止:中国银监会关于发布银行业规章和规范性文件清理结果的公告(银监发20111号),评价的目标和原则,内部控制评价,目标,方法,原则,(一)促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。(二)促进商业银行提高风险管理水平,保证其发展战略和经营目标的实现。(三)促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。(四)促进商业银行各级管理者和员工强化内部控制意识,严格贯彻落实各项控制措施,确保内部控制体系得到有效运行。(五)促进商业银行在出现业务创新、机构重组及新设等重大变化时,及时有效地评估和控制可能出现的风险。,(一)充分性:过程和风险是否已被充分识别。(二)合规性:过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。(三)有效性:控制措施是否有效。(四)适宜性:控制措施是否适宜。,(一)全面性原则(二)统一性原则(三)独立性原则(四)公正性原则(五)重要性原则(六)及时性原则,评价内容,评价程序,评分标准,具体评分标准如下:(一)被评价对象的过程和风险已被充分识别的,可得该项分值的百分之二十。(二)在满足前项的基础上,被评价项目的过程和对风险的控制措施被规定并遵循要求的,可得该项分值的百分之三十。(三)在满足前两项的基础上,被评价项目的规定得到实施和保持,可再得该项分值的百分之三十。(四)在满足前三项的基础上,被评价项目在实现风险控制的结果方面,控制措施有效且适宜的,可再得该项分值的百分之二十。,公式:调整后评价项目总得分=所有适用项目得分/(评价项目总分-不适用项目总分)100%单项分值小计和总分分值有小数时四舍五入。,标准分值为500分,转化为百分制后得出实际得分。,结果评价主要包括十项指标:资本利润率、资产利润率、成本收入比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件指标等。,过程评价的权重为70,结果评价的权重为30,两项得分加总得出综合评价总分。,评价等级,上述等级也适用于单项评级,单项评级结果主要用于对比分析。内部控制体系连续在三个评价期内得不到改善的机构,其内部控制评价等级应适当下调。,重大责任事故,重大责任事故,(一)因安全防范措施不当,发生金融诈骗、盗窃、抢劫、爆炸等案件,造成重大影响或损失。(二)因经营管理不善发生挤提事件。(三)业务系统故障,造成重大影响或损失。(四)经查实的重大信访事件。,若被评价机构在评价期内发生重大责任事故,应在上述评级的基础上下调一级。,组织和实施,统一领导,分级管理,罚则,银监会根据评级结果及评价报告所反映的情况,针对被评价机构内部控制体系存在问题的性质及严重程度,可分别采取以下一项或多项监管措施:(一)约见被评价机构第一负责人或董事长。(二)就评价对象内部控制体系存在问题可能引发的风险,向被评价机构进行提示和警告。(三)要求被评价机构对内部控制体系存在的问题限期整改。(四)加大现场检查力度及频率。(五)建议调整管理层。(六)取消有关人员一定期限或终身银行业从业资格。(七)责令整顿或暂停办理相关业务。(八)延缓批准或拒绝受理增设分支机构、开办新业务的申请。未经批准或许可,任何单位和个人不得对外公布对被评价机构的内部控制体系等级评定结果。,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),41,商业银行合规风险管理指引,董监高的合规管理职责,合规风险管理体系,合规政策,合规管理部门职责,商业银行,配备资源 提供系统的专业技能培训 建立合规管理部门与风险管理部门的协作机制 分离合规管理职能与内部审计职能 各业务条线和分支机构的负责人应对本条线和本机构经营活动的合规性负首要责任。,合规风险监管,合规政策、合规管理程序和合规指南等内部制度,商业银行,合规风险管理计划和合规风险评估报告,发现重大违规事件,合规负责人任命或离任,中国银监会,检查的主要内容包括:(一)商业银行合规风险管理体系的适当性和有效性;(二)商业银行董事会和高级管理层在合规风险管理中的作用;(三)商业银行绩效考核制度、问责制度和诚信举报制度的适当性和有效性;(四)商业银行合规管理职能的适当性和有效性。,报告,评估和检查,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),48,商业银行操作风险管理指引,操作风险管理的基本要素,操作风险监管,重大操作风险事件,(一)抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件,诈骗商业银行或其他涉案金额1000万元以上的案件;(二)造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失,造成在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件;(三)盗窃、出卖、泄漏或丢失涉密资料,可能影响金融稳定,造成经济秩序混乱的事件;(四)高管人员严重违规;(五)发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害;(六)其他涉及损失金额可能超过商业银行资本净额1的操作风险事件;(七)银监会规定其他需要报告的重大事件。,定期检查评估主要内容,(一)商业银行操作风险管理程序的有效性;(二)商业银行监测和报告操作风险的方法,包括关键操作风险指标和操作风险损失数据;(三)商业银行及时有效处理操作风险事件和薄弱环节的措施;(四)商业银行操作风险管理程序中的内控、检查和内审程序;(五)商业银行灾难恢复和业务连续方案的质量和全面性;(六)计提的抵御操作风险所需资本的充足水平;(七)操作风险管理的其他情况。,关键风险指标,代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标(高级管理层可据此迅速采取措施)。,具体指标例如:每亿元资产损失率 每万人案件发生率 百万元以上案件发生比率 超过一定期限尚未确认的交易数量 失败交易占总交易数量的比例 员工流动率 客户投诉次数 错误和遗漏的频率以及严重程度,关键风险指标,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),53,企业内部控制基本规范,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行;小企业和其他单位可以参照本规范建立与实施内部控制。,内部控制,内部控制,目标,原则,要素,合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。,(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。,(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。,机制,建立信息系统,实现对业务和事项的自动控制,减少或消除人为操纵因素。建立激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。国务院有关部门对企业建立与实施内部控制的情况进行监督检查。接受企业委托从事内部控制审计的会计师事务所要对企业内部控制的有效性进行审计,出具审计报告。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。,企业内部控制配套指引(2010年),基本规范及配套指引的实施,企业从基本规范规定的五大要素出发,参照应用指引的具体要求,建立和实施完善的内部控制体系,企业按照评价指引的相关要求,对内部控制的有效性进行自我评价评价对象包括企业建立和实施的财务和非财务内部控制,需对这些内部控制的设计和执行有效性进行评价,审计师:按照审计指引的要求,对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露评价对象为企业建立和实施的财务报告内部控制,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),58,商业银行业务连续性监管指引,指引目录,第一章 总则第二章业务连续性组织架构第一节日常管理组织架构第二节应急处置组织架构第三章业务影响分析第四章业务连续性计划与资源建设第一节业务连续性计划第二节业务连续性资源建设第五章业务连续性演练与持续改进第一节业务连续性计划演练第二节业务连续性管理评估与改进第六章运营中断事件应急处置第一节监测、预警与报告第二节运营中断事件处置第三节灾难恢复第四节危机处理第七章监管和处置第一节监管处置第二节持续监管第八章 附则,建立组织架构,业务影响分析,计划与资源建设,演练与持续改进,应急处置,监管和处置,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),61,关于内部控制评价的一般规定,公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定发文单位:财政部和证监会主要内容:规范上市公司年度内部控制评价报告,附参考格式;强调内部控制体系从财务报告内部控制向全面内部控制体系的转变;强化内部控制缺陷的信息披露的深度和广度;强化内部控制持续改进机制的建立。,主要内容,相关国际标准COSO报告内部控制整体框架(1992年,2013年)巴塞尔委员会银行组织内部控制系统框架(1998年)其他国际标准我国相关法规中国人民银行加强金融机构内部控制的指导原则(1997年)中国人民银行商业银行内部控制指引(2002年)中国银监会商业银行内部控制评价试行办法(2004年)中国银监会商业银行合规风险管理指引(2006年)中国银监会商业银行操作风险管理指引(2007年)中国银监会商业银行内部控制指引(2007年)五部委企业内部控制基本规范(2008年)及企业内部控制配套指引(2010年)中国银监会商业银行业务连续性监管指引(2011年)财政部、证监会关于内部控制评价的一般规定(2014年)中国银监会商业银行内部控制指引(2014年),总结:现行有效的法规,2007,2008,2010,中国银监会商业银行操作风险管理指引,五部委(财政部、审计署、银监会、证监会、保监会)企业内部控制基本规范,五部委企业内部控制配套指引,中国银监会商业银行业务连续性监管指引,2011,2006,中国银监会商业银行合规风险管理指引,中国银监会商业银行内部控制指引,财政部、证监会关于内部控制评价的一般规定,2014,总结:不同文件关于内控定义的比较,总结:四性目标、四全原则、六项落实以及一种文化,合规性目标,安全性目标,有效性目标,真实性目标,健全体系,明确职责,完善措施,强化保障,规范评价,严格监督,“内控创造价值”的文化,谢谢!,