中小金融机构案件风险防控实务高管人员复习大纲.doc

《中小金融机构案件风险防控实务高管人员复习大纲.doc》由会员分享，可在线阅读，更多相关《中小金融机构案件风险防控实务高管人员复习大纲.doc（40页珍藏版）》请在三一办公上搜索。

1、中小金融机构案件风险防控实务高管人员 复习大纲 陕西省农村信用社联合社2011年7月一、 主要掌握知识点 银行风险的主要特征包括: 客观性、隐蔽性、扩散性、加速性、可控性。 银行风险的种类：信用风险、市场风险、操作风险、流动性风险、国家风险、声誉风险、法律风险、战略风险。 全面风险管理过程主要包括：风险识别、风险评估、风险评价与决策、风险处理、风险学习。 全面风险管理体系 银行应着力建设支持全面风险管理的“五大体系”：一是风险管理组织体系；二是风险管理岗位职责体系；三是业务和管理流程体系；四是风险管理工具体系；五是风险考评奖罚体系。 操作风险的主要特征包括：内生性、具体性、多样性、不对称性、分

2、散性。 操作风险管理的步骤主要包括：风险识别、风险计量、风险评估、风险控制/缓释、风险监测与报告。银行案件风险防控措施 公司治理与风险管理的关系 我国银行公司治理的实践 中小金融机构公司治理的问题 银行内部控制的目标 银行内部控制原则 银行内部控是应当贯彻全面、审慎、有效、独立的原则。 良好内部控制的一般特征 有效性；审慎性；全面性；及时性；独立性 内部控制的要素 内部控制环境；风险识别与评估；内部控制措施；信息交流与反馈；监督评价与纠正 内部控制的执行与保障 企业文化与合规文化的关系 中小金融机构合规文化建设的必要性 中小金融机构合规文化建设的内容 培育合规文化的方法与渠道银行从业人员的良好

3、职业操守的要求 诚实信用、守法合规、专业胜任、勤勉尽职、保守秘密、公平竞争、抵制违规 中小金融机构案件风险状况 案件责任追究原则 教育惩罚相结合、依据要充分、处理要公平、处理轻重要适度 突发事件的特征 突发性、公共性、危害的延展性、变化发展的不确定性、处置的紧迫性 突发事件处置的基本原则 案件防控长效机制建设具有三个特点 规范性、稳定性、长期性 案件防控长效机制建设的主要内容 案件在责任追究的有关要求二、 复习内容三、第一章 风险概论第一节 银行风险(一)风险1风险 从经济学的角度讲，风险一般是指未来的消极结果或损失的潜在可能，包括两层含义：一是未来结果的不确定性，二是损失的可能性。2风险与损

4、失 风险与损失有着密切的关联关系，风险是损失的条件，损失是风险的结果，但风险并不必然有损失。风险通常采用损失的可能性及潜在的损失规模来计量，但绝不等同于损失本身。损失是一个事后概念，反映的是风险事件发生后所造成的实际结果；风险是一个事前概念，反映的是损失发生前的事物发展状况。风险既是损失的来源，也是盈利的机会，盈利来自对风险的有效管理和控制。（二）银行风险1银行风险 银行风险指银行在经营活动中，由于各种不确定因素而导致其损失或盈利能力下降的可能性。2银行风险管理 银行风险管理指银行通过风险识别、计量（评估）、监测、控制或缓释等方法，预防、回避、分散、转移或承受经营中的风险，在追逐利益的同时，维

5、护银行安全的行为。3银行风险的主要特征 与一般企业相比，银行风险的主要特征包括：（1）客观性 由于市场信息的不对称性和主体对客观世界认识的局限性，市场经济主体做出的决策往往是不及时、不全面和不可靠的，有时甚至是错误的，客观上导致经济金融运行中的风险产生；即使作为“理性经济人”，人也有道德上的冒险精神和趋利避害的动机，其投机、冒险和各种钻营性的客观存在导致银行风险不可避免；银行作为信用中介，客观上面临着期限、数量、信息不对称等风险，加之信用对象的复杂性，决定了风险存在的必然性。（2）隐蔽性 银行对信用的传导放大作用，导致许多损失或风险隐患被信用循环所掩盖；银行具有信用货币发行和创造信用的功能，使

6、得本来属于即期银行风险的后果，可能被通货膨胀、借新还旧、以贷收息所掩盖；银行垄断、行政干预或政府特权，使一些本来已显现的银行风险被认为的行政压抑所掩盖。（3）扩散性 银行机构的风险损失或失败，不仅影响自身的生存和发展，更突出的是导致众多储蓄者和投资者的损失或失败。一方面，银行作为储蓄和投资的信用中介组织，一边联结或聚集着成千上万的众多储蓄者，使存款的集中池；另一边联结或聚集着众多的投资者，是投资者的总代表。银行经营管理的失败，必然连锁造成众多储蓄者和投资者蒙受损失。另一方面，银行也不仅向社会提供信用中介服务，而且在很大程度上能够创造信用、放大信用。因而，银行风险不仅对原生存款和初始投资产生广泛

7、的影响，而且还具有数量倍数扩散的效应。（4）加速性 银行风险一旦爆发，不同于经济领域其他风险爆发时只在既定范围内匀速变动，而是因风险失去信用基础，从而加速变动。一旦银行风险爆发，往往都呈现突发性、加速性，如不及时有效控制，极易导致大范围的金融危机，甚至引起社会动荡。（5）可控性 随着银行风险管理理论的发展、金融市场的规范、历史经验的积累和科学技术的进步，银行可以通过一定的制度、方法和技术手段等，对风险在事前进行识别、分析、预测、防范，在风险发生时进行化解、补救。预测风险并不等同于彻底消除风险，而是把风险尽可能降到最低限度，控制在可承受范围之内。此外，宏观金融监管的加强，特别是金融监管法规、条例

8、、制度、办法的建立健全及监管方式的创新发展，使金融行为主体受到有效约束，从而把银行风险纳入可控的组织保障之中。正是因为银行风险是可控的，才能使银行案件防控工作具有现实意义。（三）银行风险的种类 根据巴萨尔委员会有效银行监管的核心原则和巴塞尔新资本协议，通常将银行面临的风险划分为八大类风险，即信用风险、市场风险、操作风险、流动性风险、国家风险、声誉风险、法律风险、战略风险。（1）信用风险 信用风险是指银行借款人或交易对手无法按照协议条款偿还债务的可能性。它是威胁银行机构乃至整个金融系统稳健性的最大因素。只要存在银行资金的发放、承诺、投资或其他的风险敞口，无论是反映在资产负债表内还是表外，都会产生

9、信用风险。对大多数银行来说，贷款（授信业务）是银行最大、最明显的信用风险来源。信用风险不仅包括借款人违约的可能性，还包括借款人信用状况或评价下降（信用评级下调）的风险，如贷款到期不能偿还本息等。此违约风险是交易对手因经济或经营状况不佳或恶意逃债而产生的违约风险；结算风险是交易双方在结算过程中，一方支付了合同资金但另一方不能履约的风险。(2)市场风险 市场风险是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使银行表内和表外业务发生损失的风险。交易类业务是市场风险的主要风险来源。市场风险可以分为利率风险、汇率风险（包括黄金）、股票价格风险和商品价格风险。（3）操作风险 操作风险是由不完

10、善或有问题的内部程序、员工、信息科技系统及外部事件导致损失的风险。操作风险包括下列事件带来的损失：内部欺诈；外部欺诈；就业政策和工作场所安全性风险；客户、产品和业务操作风险；实体资产的损坏；业务中断和系统失败；执行、交割和流程管理风险等。（4）流动性风险 流动性风险是指银行无力为增加资产和偿还到期债务提供融资或变现资产而造成损失或资不抵债的风险。（5）国家风险 国家风险又称国家信用风险，是指经济主体与非本国居民进行国际经贸往来时，由于别国经济、政治和社会等方面的变化而遭受损失的风险。（6）声誉风险 声誉风险是指由银行经营、管理及其它行为或外部事件导致利益相关方对银行的负面评价，从而导致其客户群

11、缩小、发生昂贵的诉讼或使其收益下降、形象声誉受损的风险。银行通常把声誉风险看作是对其企业价值的最大威胁。（7）法律风险 法律风险是指银行因违反法律或法律不完善、不明确情况下发生交易行为，导致银行不能履行合同、发生诉讼或其他法律纠纷，对银行造成不利影响和损失的可能性。（8）战略风险 战略风险是指不适当的未来发展战略，或与该战略有关的假设条件、参数、目标以及其他特征发生了负面改变，导致银行损失的可能性。 上述风险分类并不是绝对的、孤立的，各种风险之间有着内在的联系。如操作风险中内控水平的提高可以有效防范信用风险的发生。所以，风险管理中必须注意各种风险的关联性，这也从一个侧面对银行提出了全面风险管理

12、的要求。（四）全面风险管理1 银行全面风险管理 银行全面风险管理是银行从战略定位、组织架构、管理机构和风险管理文化等全方位入手，以资本为基础，对整个机构内所有层级和部门的全部经营管理活动、各种风险进行的统一度量和控制。2 全面风险管理概述 全面风险管理是将信用风险、市场风险、操作风险等各种风险以及包含这些风险的各种金融资产和资产组合，由管理这些风险的各个层级纳入统一的风险管理体系中，按照统一的标准进行测量并加总，然后依据全部业务的相关性对风险进行控制和管理。 全面风险管理过程主要包括： 风险识别：指银行对宏观、微观环境中潜伏的各种可能给银行带来损失的因素进行系统归类分析，从而识别出风险因素的操

13、作过程。目前，普遍采取的风险识别方法主要有：财务报表分析法、德尔斐法、故障树和筛选监测诊断方法等。 风险评估：风险评估包括两个方面的内容。第一是分析风险发生的可能性，第二是分析风险发生后所导致的损失程度。风险评估是风险管理和经营决策的基础。风险评估方法主要有：缺口分析法、久期分析法、外汇敞口分析法、敏感性分析法、情景分析法、风险价值法。 风险评价与决策：是指在取得风险评估结果的基础上，研究该风险的性质、分析该风险的影响、寻求风险对策的行为。常见的风险评价方法有：概率统计法、概率分步法、概率树和损失模拟法。 风险处理：又称风险处置、风险化解，是指针对不同类型、不同概率和规模的风险，采取相应的措施

14、或方法，使风险损失对银行经营的影响降到最低程度。风险处理的方法主要有：规避风险、预防风险、分散风险、转移风险和承担与补救措施。风险学习：对风险进行总结，使每一次风险识别、评估、控制技术等形成相应规范案例和可运用的技术方法，并在银行内部对风险案例进行学习培训，熟悉处置过程，掌握具体处理技术、方法，从容应对可能再度发生的同类风险。 3 全面风险管理体系 银行应着力建设支持全面风险管理的“五大体系”：一是风险管理组织体系。按照精简高效原则，建立法人治理、内部控制、行业监督和外部监督全方位的风险管理组织体系，最大限度的发挥各个层面和各个部门管理风险的综合优势。二是风险管理岗位职责体系。对各个层级、各个

15、部门和各个岗位风险的责任进行明确，并通过完善管理制度，推进流程化操作，实施有效监督和奖惩使之落到实处。三是业务和管理流程体系。完善并落实覆盖每项业务活动和管理行为的操作管理流程，使每项业务和管理行为都按流程操作，并保持业务的灵活性，从而在有效管理风险的同时最大限度的拓展业务。四是风险管理工具体系。针对经营管理中存在的各种信用风险、市场风险、操作风险，建议一套完整的风险管理的指标与监测体系、方法与策略体系、行为与规范体系、监督与奖惩体系。五是风险考评奖罚体系。完善与员工薪酬、职位晋升密切相关的风险管理考核评价和奖励机制，严格考核各级经营管理者管理风险的绩效，视风险管理成效兑现奖惩，使有效控制风险

16、者得到激励，制造风险者付出相应的成本和代价。第二节操作风险（一）操作风险概述操作风险的定义 年月，巴塞尔委员会颁布的统一资本计量和资本标准的国际协议：修正框架将操作风险定义为：由于不完善或有问题的内部程序、人员以及系统或外部事件所造成损失的风险，包括法律风险，但不包括战略风险和声誉风险。 年月中国银监会正式颁布了商业银行操作风险管理指引，将将操作风险定义为：由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险。 操作风险通常以不经意发生的离散事件或偶然事件等形式出现，其成因简单，事件发生概率一般较小。2操作风险的主要特征（1）内

17、生性 操作风险源于银行业务操作，主要由内部因素引起，大多是在银行可控范围内的内生风险。（2）具体性 不同类型的操作风险具有各自的具体特性，难以用一种方法对各类操作风险进行准确的识别和计量。（3）多样性 操作风险主要来源于内部秩序、人员、系统和外部事件。由于引发操作风险的因素十分复杂，通常可以监测和识别的操作风险与由此可能导致的损失规模、频率之间不存在直接的关系，常常带有鲜明的多样化特征。（4）不对称性 操作风险是一种纯粹的风险，承担这种风险不能带来任何收入，只会造成损失，而且操作风险损失在大多是情况下与收益的产生没有必然的联系。（5）分散性 操作风险与各类风险相互交叠、涉及面广，试图用一种方法

18、来管理控制所有领域的操作风险，几乎是不可能的。对于操作风险的管理，不可能由一个部门完成，银行应将更多日常性操作风险管理职责分散于各相关业务部门。（二）操作风险的分类 按照巴塞尔新资本协议，根据风险发生的原因将操作风险分为七类：内部欺诈、外部欺诈、就业政策和工作场所安全性风险、客户、产品和业务操作风险、实体资产的损坏、业务中断和系统失败、执行、交割和流程管理风险。 在我国银行管理实践中，这七种类型大体可以归纳为人员风险、流程风险、IT系统及技术风险、外部事件风险。（三）操作风险管理的原则 2003年2月，巴塞尔委员会提出关于操作风险管理与监管的十项原则。（1）应在适宜的风险管理环境 原则一：董事

19、会应了解本行的主要操作风险所在，把它作为一种必须管理的主要风险类型，核准并定期审核本行的操作风险管理系统。 原则二：董事会要确保本行的操作风险管理系统收到内审部门全面、有效的监督。 原则三：高级管理层应负责执行经董事会批准的操作风险管理系统。（2）风险管理：识别、评估、监测和控制/缓释。 原则四：银行应识别和评估说有重要产品、活动、程序和系统中固有的操作风险，并确保在引进或采取新产品、活动、程序和系统之前，对其中固有的操作风险已经经过了足够的评估步骤。 原则五：银行应制定一套预警程序定期监测操作风险状况和重大损失风险。 原则六：银行应制定控制/缓释重大操作风险的政策、程序和步骤，定期检查其风险

20、限度和控制战略，并根据其全面的风险偏好和状况，通过使用合适的战略，相应的调整其操作风险状况 原则七：银行应制定应急和连续营业方案，以确保在严重的业务中断事件中连续经营并控制住损失。（3）监管者的作用 原则八：银行监管者应要求所有的银行，不管其大小，制定有效的制度来识别、评估、监测和控制/缓释重大操作风险，并且作为全面风险管理体系的一部分。 原则九：监管者应直接或间接的对银行有关操作风险的政策、程序和做法进行定期的独立评估，并确保有适当的机制保证他们知悉银行的相关情况。（4）信息披露的作用 原则十：银行应进行足够的信息披露，允许市场参与者评估银行的操作风险管理方法。（四）操作风险管理 在建立清晰

21、完善的组织架构基础上,银行要合理运用量化工具,识别和评估所有产品、活动、流程和系统中的操作风险，计量应对这些操作风险所需提取的资本准备，在风险事件发生前进行充分识别、计量、监测、预警，事情发生后以资本准备结合各种手段及时控制，处理风险，避免更大损失。（1）风险识别 风险识别是操作风险的起点，也是后续各环节顺利开展的基础。风险识别的主要任务是识别出银行的操作风险暴露情况，重点解决以下几个问题：不同的银行业务将会分别面临哪些操作风险，什么因素会导致这些风险的发生，这些风险发生的频率如何，可能产生何种影响或多大损失。（2）风险计量 巴塞尔新资本协议中为商业银行提供了三种可供选择的风险经济资本计量方法

22、，即基本指标法、标准法和高级计量法。基本指标法是指以单一的指标作为衡量商业银行整体操作风险的尺度，并以此为基础配置操作风险资本的方法。标准法是将商业银行的所有业务划分为8类产品线，对每一类产品线规定不同的操作风险资本要求系数，并分别求出对应的资本，然后加总8类产品线的资本，即可得到商业银行总体操作风险资本要求。高级计量法是指商业银行在满足巴塞尔新资本协议提出的资本要求以及定性和定量标准的前提下，通过内部操作风险计量系统计算监管资本要求。 由于操作风险的特殊性，它的风险计量需要大量的孤立事件的历史损失数据，因此银行对操作风险的管理主要根据经验进行判断、推测和进行硬性手段准备。（3）风险评估 是指

23、银行根据内外部损失经验分析、情景分析得等方法，综合银行业务环境和内部控制因素，对所有被识别的银行所面临的操作风险因素进行评价，以决定哪些风险克接受，哪些风险不可接受，需要加以控制或转移。评估的要素主要包括：内部操作风险损失数据、外部数据，以及银行业务环境和内部控制因素等方面。评估的主要方法包括自我评估法、损失事件数据法和流程图等。（4）风险控制/缓释 是指银行针对不同性质的操作风险采取不同的处理方法。在具体实践中，中小金融机构应当制定与外包业务有关的风险管理政策，确保业务外包有严谨的合同和服务协议，明确各方的责任义务。中小金融机构还可购买保险或与第三方签订合同，并将其作为缓释操作风险的一种方法

24、，但不应因此忽视控制措施的重要作用。以购买保险等方式缓释操作风险的中小金融机构，应当制定相关的书面政策和程序。同时，要按照监管部门关于商业银行资本充足率管理的要求，为所承担的操作风险提取充足的资本。（5）风险监测与报告 是指银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情况。第三节 银行案件风险（一）案件与操作风险的关系 操作风险是产生银行案件的主要根源,案件是操作风险的重要表现形式。在操作风险七种类型中，有两大类可直接导致银行案件，即内部欺诈和外部欺诈。主要表现形式是违法违规操作，直接后果是犯罪和案件。 1金融犯罪 我国刑法界定的金融犯罪，是指发生在银行、证券、保险等领域中的刑

25、事犯罪，主要是指发生在金融业务活动领域中，违反金融管理法律法规，危害国家有关货币、银行、信贷、票据、外汇、保险、证券等管理制度，破坏金融管理秩序，情节严重，依照刑法应受刑罚处罚的行为。金融犯罪不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。 目前，我国金融犯罪共明确具体罪名37个，其中常见的银行领域犯罪主要有： （1）破坏金融管理秩序的犯罪，如骗取贷款、票据承兑、金融票证罪，非法吸收公众存款罪，伪造、变造金融票证罪，妨害信用卡管理罪，吸收客户资金不入账罪，违规出具金融票证罪，对违法票据承兑、付款、保证罪等。、 （2）金融诈骗的犯罪，如贷款诈骗罪，票据诈骗罪，金融凭

26、证诈骗罪，信用卡诈骗罪，信用证诈骗罪，有价证券诈骗罪等。（二）银行案件风险成因 银行案件风险遍布所有银行机构，对案防思想认识不充分、公司（法人）治理不完善、制度流程不健全、监督检查不深入、责任追究不到位、教育培训不重视、经营思想不端正、选人机制不科学等是引发案件的主要原因。（1）思想认识不充分，对案防重视不够 部分中小金融机构特别是县城农村中小金融机构，主要负责人对案件形势的严峻性、案件风险的危害性、案件治理的重要性认识不足，对监管机构、上级行业管理部门部署的案件治理、风险排查的工作要求没有引起足够的重视。（2）公司（法人）治理不完善，监管约束缺失 中小金融机构与其他机构相比，在公司（法人）治

27、理上十分薄弱，特别是农村中小金融机构现仍处于改革过渡期，法人治理结构不完善、科学决策机制缺失、监督制衡不到位等问题突出，社员（股东）代表大会、理（董）事会、监事会和管理层治理机制不健全，职责不清，缺乏有效制约。（3）制度流程不健全，执行力不足 a.制度流程存在缺陷 b.规制流程执行不力 c.重要案防制度落实不力（4）监督检查不深入，不能有效揭示风险 a.缺乏风险管理机构，没有设立与业务发展相适应的风险、合规部门，未配备风险、合规管理人员，风险、合规管理存在“真空”。 b.业务管理部门未能有效履行业务辅导、风险揭示和本业务条线的风险防控职责。 c.业务管理与稽查监督工作缺乏针对性和有效性，没有完

28、善、协调的业务和稽核条线检查规划，缺乏对风险的研究分析，不能准确把握风险点。检查方式单一、手段落后，一些重大违法违规问题久犯不察，长期潜藏，放大了风险和损失。 d.缺乏尽职免责、尽职奖励和渎职惩罚等相关制度安排。（5）责任追究不到位，惩戒警示作用不足 在处理违法违规案件中，案件责任落实不到位，特别是在处理尺度上宽严不一。（6）教育培训不重视，部分员工行为失范 部分中小银行机构不能正确认识员工政治、文化和业务素质状况，忽视对员工相关规章制度、业务知识、操作技能和风险防范等应知应会的培训，偏重于请大学教授、金融理论专家教授国际金融理论、国外银行经验、公式模型等，严重脱离实际需要。（7）经营思想不端

29、正，弱化了内部管理 部分中小金融机构没有坚持科学发展观，脱离自身基础和发展实际，在经营管理上，缺乏自我约束意识、风险意识。部分管理部门考核机制不科学、不合理，简单的以存款、贷款、利润等规模性指标考核经营业绩，且每年都累进式增长，由于对宏观经济形势、客观情况、风险考虑不够，部分指标严重超出基层机构实际承受能力和当地经济发展水平，以致部分机构为了完成任务而弄虚作假、违法违规。（8）选人机制不科学，重要岗位用人失察 在选人用人上，没有形成客观、公正的高管人员和重要岗位人员使用、考核、评价、监督和处罚管理机制。 a.在人员选用上，重关系轻品行，重“社会能力”轻专业水平。 b.缺乏对各级高管人员和重要岗

30、位人员日常考核和履职效果评价。 c.对用人失察缺乏问责惩戒机制，明显任人唯亲、用人不当酿成案件和风险损失，很少追究有关领导用人失察的责任。 （三）银行案件风险防控措施 要有效防控银行案件风险,必须坚持标本兼治,重点是从源头抓起,立足完善公司治理结构,健全企业内控制度,培育合规企业文化,建立查、防、堵并举，教育与惩戒相结合，内外部有效监督的全方位案件治理防控体系。（1）完善公司（法人）治理机制（2）建立健全案件防控责任制度（3）加强内部控制体系建设（4）下大力狠抓执行力建设（5）增强稽核和业务检查的有效性（6）建立案件责任追究制度（7）强化科技系统技防功能（8）建立科学的激励约束机制（9）培育良

31、好的企业文化、风险文化、合规文化（10）加强对案防工作的监督第二章 公司治理与内部控制第一节 公司治理（一）公司治理的定义 公司治理又称公司管理企业管制和企业管理。经济合作与发展组织在公司治理结构原则中给出了一个有代表性的定义：“公司治理结构是一种据以对工商公司进行管理和控制的体系”。 银行公司治理是指控制、管理银行的一种机制或制度安排，是银行内部组织结构和权力分配体系的具体表现形式。其核心是在所有权、经营权分离的情况下，为妥善解决委托代理关系，实现银行各利益相关者价值最大化目标，为建立的董（理）事会、高级管理层组织体系和监督制衡机制。良好的公司治理结构，能激励银行的董（理）事会和管理层努力实

32、现银行、股东（社员）、客户等各利益相关者价值目标的最大化，并便于实施有效的监督。（二）公司治理与风险管理的关系 公司治理是风险管理的一个基础平台，公司治理机制是风险管理最基本的机制，风险管理是公司治理的重要内容和目标。完善的公司治理是提升风险管理水平的制度性保证。银行很多案件的发生，既反映出其所在公司治理方面的缺陷，也说明其在风险管理方面存在问题。公司治理和风险管理之间存在着密切的内在联系，具体体现在： （1）风险管理的组织架构、运行机制、管理政策、激励问责机制、监督评价机制等，都是公司治理中必须解决的核心问题。 （2）风险管理的最基本要求与公司治理的核心内容是一致的。风险管理的最基本要求是制

33、衡和效率，而公司治理的核心内容之一也是制衡和效率。合理把握制衡与效率之间的关系，既是公司治理中需要解决的问题，也是风险管理需要把握的基点。 （3）风险管理与公司治理面临的一个共同问题是建立有效的激励约束机制。只有建立有效的激励约束机制，才能使风险管理机制高效运行，才能建立良好的风险管理文化和科学的问责机制。（三）银行公司治理的原则和做法 （1）经济合作与发展组织的原则 a.保护股东权利 b.确保公平对待所有股东 c.依法保护利益相关者的权利，加强他们的参与机制 d.确保及时和准确的通告和披露与公司财务状况、经营管理、所有权和公司治理结构有关的所有信息资料 e.确保董事会对公司进行战略指导和有效

34、监督，确保董事会对公司和股东所承担的责任（2）巴塞尔委员会的银行公司治理原则 a.董事会成员应称职，清楚理解其在公司治理中的角色，有能力对银行的各项事务做出正确的判断。 b.董事会应核准银行的战略目标和价值准则并监督其在全行的传达贯彻。 c.董事会应制定并在全行贯彻执行条线清晰的责任制和问责制。 d.董事会应确保高级管理层按照董事会政策实施适当的监督。 e.董事会和高级管理层应有效发挥内部审计部门、外部审计师及各内部控制部门的作用。 f.董事会应确保薪酬政策及其做法与银行的公司文化、长期目标和战略、控制环境相一致。 g.银行应保持公司治理的透明度。 h.董事会和高级管理层应了解银行的运营架构，

35、包括在低透明度国家或在透明度不高的架构下开展业务。（四）我国银行公司治理的实践 我国银行业监管机构，借鉴国际先进经验并结合我国银行公司治理的特殊性，分别颁布实施了股份制商业银行公司治理指引、股份制商业银行独立董事、外部监事制度指引，对完善我国商业银行公司治理提出如下要求。 （1）规范股东（社员）行为，防止股东（社员）操纵经营管理损害存款人利益。 （2）强化董（理）事会的独立性。主要是完善董（理）事会组织结构、人员结构、建立独立董事制度，提高董（理）事会决策的科学性，确立董（理）事会在管理和控制风险中的权威性。 （3）明确行长（主任）职责，董（理）事会与高级管理层、董（理）事会与行长（主任）之间

36、分清职权、各司其职，相互尊重，反对权力集中。其中包括：职位分设；明确职权；集体决策。 （4）强化监事会的监督功能，防止银行“内部人控制”。缺乏有效的内部监督制约是形成银行“内部人控制”及违规行为屡有发生的重要原因。其中包括：强化监事会职权；建立外部监视制度；完善监事会组织结构；强化监事会的监督职能；规定监事会的意见应定期向监管部门报送。（5）完善激励约束机制，增强银行活力。 建立充满生机活力的现代银行制度，离不开有效的激励约束机制。为此， 指引要求银行建立薪酬与银行效益和个人业绩相联系的激励机制，以提高员工的工作积极性；商业银行应当建立公正、公开的董（理）事、监事、高级管理层成员绩效评价标准，

37、通过对董（理）事、监事、高级管理层成员进行评价，促使董（理）事、监事、高级管理层成员勤勉尽责。在约束机制方面，指引主要重申了公司法关于董（理）事、监事、高级管理人员承担法律责任的原则，规定董（理）事、监事、高级管理人员违反法律、法规、规定及银行章程并给股东（社员）造成损失的，应当承担赔偿责任。（五）中小金融机构公司治理的问题 中小金融机构在公司治理方面存在的主要问题有： （1）股权结构不合理扭曲经营行为 部分中小金融机构由于历史原因以及政府对地方金融机构控制的需要，建立了股权高度集中、大股东控制的公司治理结构。地方政府或是国有大企业法人对中小金融机构参与过度，股权往往集中于一个或几个大股东之手

38、，地方政府作为银行实际控制人，难免会以推动地方经济发展为出发点，扭曲银行经营行为，形成金融机构的政策性不良资产。部分农村中小金融机构则建立股权分散为特征的公司治理结构，股权过于分散，股金构成平均化、分散化，导致内部人控制，监督机构确实，经营效果不佳。 （2）产权主体缺位造成内部人控制 部分农村中小金融机构虽经历多次改革，但产权不明晰问题始终没有得到解决。大多数中小金融机构产权虚化，实际控制人并不拥有相应份额的所有权。没有一个人格化的产权主体像真正的财产所有者那样，既有巨大的内在动力，又有巨大的内在压力来关心财产的所有者收益。而经营管理层必然获得事实上的资源支配权，即形成所谓的内部人控制。在内部

39、人控制的条件下，董（理）事会、监事会、经营班子职责不清，决策权与经营权难以分离，外部约束机制不健全，监督问责机制缺位。（3）缺乏可持续发展的经营战略 由于没有形成有效的公司治理结构，很难找到真正的、责权利对等的银行经营主体。在这样的条件下，经营者的短期化行为非常突出，往往为了任期内的业绩表现，不顾银行可持续发展的需要，产生变相高价吸收存款、违规发放贷款、风险准备金提取不足等现象，危害银行核心竞争能力，造成操作风险和案件风险的扩大。第二节 内部控制（一）内部控制的含义 内部控制源于内部牵制，指组织内部各个岗位、各项职能之间或流程中相互制约、相互监督的制度和机制，是管理层为实现预期目标而采用的管理

40、方法、措施。 银行内部控制是指银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。具体来说，银行内部控制包括以下几个方面： （1）明确划分股东（社员）、董（理）事会和高级管理层、经理人员各自的权利、责任和利益而形成的相互制衡关系。 （2）为遵守既定政策和预定目标所采取的方法和手段。 （3）为保证各项业务和管理活动有效进行，保护资产的安全和完整，保证资料的真实、合法和完整，而制定和实施的政策、制度与程序。 （4）及时防范、发现和动态调整管理风险的机制。（二）银行内部控制的目标 （1）确保国家法律规定和银行内部规章制度的贯彻执行。

41、 （2）确保银行发展战略和经营目标的全面实施和充分实现。 （3）确保风险管理体系的有效性。 （4）确保业务记录、财务信息和其它管理信息的及时、真实和完整。（三）银行内部控制原则 银行内部控是应当贯彻全面、审慎、有效、独立的原则，包括： （1）内部控制应当渗透银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应有案可查。 （2）内部控制应当以防范风险、审慎经营为出发点，银行的经营管理，尤其是设立新的机构或开办新的业务，均应体现“内控优先”的要求。 （3）内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反

42、馈和纠正。 （4）内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董（理）事会、监事会和高级管理层报告的渠道。（四）良好内部控制的一般特征 （1）有效性 内部控制机制必须具有有效性，即各种内部控制制度包括最高决策层所制定的业务规章和发布的指令，必须符合国家各监管部门的法律法规，必须具有高度的权威性，必须能够真正落到实处，成为所有员工严格遵守的行动指南。 （2）审慎性 内部控制的核心是有效防范各种风险。为了使各种风险控制在可承受范围之内，建立内控控制度必须以审慎经营为出发点，要充分考虑到业务过程中各个环节可能存在的风险和容易发生的问题，并据此设立适当的操作程序、控制步骤、补

43、救措施来避免和减少风险。（3）全面性 内部控制必须渗透到银行机构的各项业务过程和各个操作环节，覆盖所有的部门和岗位，不能留有任何死角和空白，力求做到无所不控。（4）及时性 内部控制的建立和完善，要跟上业务和形势发展的需要。开设新的业务机构或开办新的业务种类，必须树立“内控先行”的思想。（5）独立性 内部控制的检查、评价部门必须独立于内部控制的建立和执行部门，直接的操作人员和直接的控制人员必须适当分开，并向不同的管理人员报告工作；在存在管理人员职责交叉的情况下，要位负责控制的人员提供可以直接向最高管理层报告的渠道。（五）内部控制的要素 （1）内部控制环境 内部控制环境提供企业纪律与架构，塑造企业

44、文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础。 （2）风险识别与评估 风险识别与评估是指管理层对可能影响内部控制目标实现的各项风险因素、性质进行准确辨认和及时判断，并通过合理的制度安排和风险计量方法，对风险的程度、等级和可能产生的后果以及承受风险的能力进行评估。（3）内部控制措施 内部控制措施是指银行内部控制体系具体实施控制的方式、方法和过程，即对所确认的风险采取的防范、控制和化解的必要手段，以及保证银行发展战略和经营目标得以实现而制定的政策、程序。（4）信息交流与反馈 信息交流与反馈是指银行对内部信息和外部信息进行识别、捕捉、传通、交流和反馈的活动，以保证管理层和全体员工

45、能够执行其相关职责。（5）监督评价与纠正 监督评价与纠正是对上述内部控制环境、风险识别和评估、内部控制措施、信息交流与反馈四要素的有效性、充分性和合规性进行检查和评价，发现内部控制设计或运行的缺陷并及时改进，是内部审计部门完成风险防范的最后一道屏障。（六）内部控制的执行与保障 （1）建立健全各项内控制度流程 中小金融机构应在经营管理中制定完善的内部控制制度与流程，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。按照“内控优先、制度先行”和“开办一项业务、出台一项制度、建立一项流程”的原则，建立起覆盖所有机构、全部业务的规章制度、业务流程。根据业务发展变化和制度执行的实际效果，

46、从完整性、合规性、有效性等方面对现有规章制度进行不间断的清理、再评价和完善、补充。同时，建立岗位职责和监督制约机制，按照制度流程要求，科学定岗定员，每个岗位都建立岗位职责、操作规范和监督制约机制，保证各岗位职责明确，工作相互衔接，相互监督，相互制约。 内部控制制度与流程应满足以下要求：a. 与机构的经营宗旨和发展战略相一致；b. 体现持续改进内部控制的要求；c. 符合现行法律法规和监管的要求；d. 体现出侧重控制的风险类型;e. 体现出对不同地区、行业、产品的风险控制要求；f. 传达给适用岗位的员工，指导员工实施风险控制措施；g. 可为风险相关方所获取，并寻求互利合作；h. 定期进行评审，并确保其持续的适宜性和有效性。（2）加强稽核监督