1、合合 规规 内内 控控 管管 理理 二一七年度 新员工培训主要内容主要内容合规管理基础知识一二我行合规管理工作实践四合规从我做起五一二三四内控管理基础知识首先,让我们来了解,规包括哪些内容?首先,让我们来了解,规包括哪些内容?主要包括:适用于银行业经营活动的主要包括:适用于银行业经营活动的法律、行政法规、部门规章及法律、行政法规、部门规章及其他规范性文件其他规范性文件、经营规则、自律性组织的、经营规则、自律性组织的行业准则和职业操行业准则和职业操守守。银监会银监会商业银行合规风险管理指引商业银行合规风险管理指引我们要遵守的我们要遵守的“规规”包括外规和内规。包括外规和内规。5外规外规6我行合规
2、制度体系合规管理基本政策合规管理具体制度法律合规指引操作与合规手册符规措施合规绩效考核制度合规问责制度诚信举报制度合规教育和培训制度合规预警制度反洗钱管理制度合规报告制度 内规内规是指使商业银行的经营活动与相关的法律、行政法规、是指使商业银行的经营活动与相关的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守相一致行业准则、行为守则和职业操守相一致巴塞尔银行监管委员会巴塞尔银行监管委员会2005年年4月月29日发布日发布合规与银合规与银行内部合规部门行内部合规部门,规定了银行各层级在合规方面的职,规定了银
3、行各层级在合规方面的职责,界定了合规概念责,界定了合规概念合规与银行内部合规部门合规与银行内部合规部门的发布的发布标志着银行业标志着银行业合规管理新模式在国际社会的基本确立合规管理新模式在国际社会的基本确立为什么在数十年的商海沉浮中,有的企业在危机面前脆弱无力,为什么在数十年的商海沉浮中,有的企业在危机面前脆弱无力,成为一击即倒的失败者,而有的企业却持续度过经济周期,成为成为一击即倒的失败者,而有的企业却持续度过经济周期,成为屹立不倒的成功者屹立不倒的成功者摩根、高盛10合规风险引发的后果合规风险引发的后果l法律制裁和监管处罚l经济损失l声誉损失11不合规不合规对企业造成对企业造成的后果的后果
4、股价降低股价降低惩罚,限制业务惩罚,限制业务开展开展更少投资,更高更少投资,更高利息利息更苛刻条件,更苛刻条件,质量变差质量变差忠诚度减弱,或忠诚度减弱,或服务态度变差服务态度变差减少和我们减少和我们做生意的意做生意的意愿愿不合规不合规12不合规不合规对个人造成对个人造成的后果的后果不合规不合规行内违规问责:行政处分(降级、撤职、开除)、罚款监管机构处罚:取消任职资格、禁止其从事有关金融行业工作情节严重,构成犯罪的,由有关部门依法追究刑事责任l邯郸农行任晓峰、马向景盗窃案邯郸农行任晓峰、马向景盗窃案 2006年2007年,邯郸分行金库工作人员的任晓峰、金库管库员马向景盗取金库5100万元。处理
5、结果:处理结果:主犯任晓峰、马向景被判死刑主犯任晓峰、马向景被判死刑,其他几名与有关的犯罪嫌疑人也被判处有期刑期。省分行行长引咎辞职,省分行主管会计工作、保卫工作的副行长,邯郸分行行长、主管会计以及主管保卫工作的副行长等被免职,邯郸分行现金管理中心在岗员工全部下岗接受审查。l法国第二大银行法国兴业银行法国兴业银行于2008年1月24日声明称,其遭遇了法国史上最大的金融欺诈案。l 该行一名期货交易员31岁的杰罗姆科维尔在未经授权在未经授权情况下,大量购买欧洲股指期货,最终给银行造成了4949亿欧元(约合亿欧元(约合71.471.4亿美元)亿美元)的损失。对于这家创建于拿破仑时代、经历了两次世界大
6、战并最终成为法国商界支柱之一的机构而言,这次银行在内部管理上存在的疏漏所导致的风险在内部管理上存在的疏漏所导致的风险仍可能是致命性的仍可能是致命性的。l国内某城商行陷高额骗贷案导致法律制裁、监管处罚和财务损失l法律制裁法律制裁纪检监察机关先后对涉案的20名党政机关领导干部和国有企业负责人立案调查,其中涉及厅级干部9人、处级干部6人、企业管理人员5人。l监管处罚监管处罚相关业务被叫停。2011年3月,董事长、行长、监事长三高管均被免职。l财务损失财务损失预计涉案金额10-15亿,财务损失巨大l声誉损失声誉损失案发后,该银行发布业绩,试图挽回形象,提振市场对该行的信心:截至2010年末,该行各项经
7、营指标均达到监管要求,但难改同业审慎态度,部分银行表示不接受来自该银行的票据贴现。大公国际将该银行列入信用评级观察名单。16 职业银行家的工作不是躲避风险,而在于积极地经营职业银行家的工作不是躲避风险,而在于积极地经营风险和管理风险,并通过风险管理创造价值风险和管理风险,并通过风险管理创造价值预测、承担和管理风险预测、承担和管理风险银行的基本职能银行的基本职能合规是银行安身立命之本。合规经营不一定没有风险,合规是银行安身立命之本。合规经营不一定没有风险,但不合规一定有风险。但不合规一定有风险。l 合规管理,是银行一项核心的风险管理活动,是银行有效识别合规风险,主动避免违规事件发生,主动采取各项
8、纠正措施和适当的惩戒措施,持续修订相关制度及详尽描述具体做法的岗位手册,有效管理合规风险的周而复始的循环过程周而复始的周而复始的循环过程循环过程18 有效的合规风险管理机制l 是银行构建全面风险管理体系的基础l 是构建有效内部控制机制的基础和核心l 是银行安全稳健运行的重要基础商业银行合规风险管理的目标是19商业银行合规商业银行合规风险管理指引风险管理指引商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性,确保确保各项风险管理政策和程序的一致性各项风险管理政策和程序的一致性合规风险与其它风险合规风险与其它风险相伴相生相伴相生合规风险合规风险市场风险市场风险操作风险操作风
9、险信用风险信用风险20 就是由于市场价格波动而导致资产负债表内或表外头寸损失的风险。由于内部程序、人员、系统不完善或失效,以及由于外部事件造成损失的风险。不能履行偿债义务的风险。市场风险操作风险信用风险21 合规管理失控是三大风险产生的主要诱因之一,有效的合规管理可以极大减少各种风险给银行带来的损失。1、容忍度不同:合规是零容忍度,三大风险根据其特殊性分别给予4-8%的 容忍度,原因在于合规管理具有可控性,结果只有合规与违规两种情况;而三大风险的可控性较弱,其发生原因多种多样,因此结果具有一定的不确定性。2、管理的依据不同:三大风险的管理工具较多,涉及更多的数理模型,而合规管理的依据较为单一,
10、即只有“规”。联系区别22银监会前任主席刘明康关于如何防止银行业案件的论述:银监会前任主席刘明康关于如何防止银行业案件的论述:“综合分析银行业案件特征,不难得出这样的结论,即好银行之所以综合分析银行业案件特征,不难得出这样的结论,即好银行之所以好关键是两条:好关键是两条:第一,有第一,有严密的内控制度严密的内控制度;第二,第二,严格执行了严格执行了这些制度。这些制度。如何防范合规风险?如何防范合规风险?23合规的实质合规的实质规的规的执行执行很多银行风险事件的发生,除了制度不健全外,主要是不能严格执行很多银行风险事件的发生,除了制度不健全外,主要是不能严格执行制度,或者发生问题后整改不及时、不
11、到位造成的。制度,或者发生问题后整改不及时、不到位造成的。十案九违规!十案九违规!合规的前提合规的前提规的规的制定制定一二合规管理基础知识四合规从我做起五一二三我行合规管理工作实践四内控管理基础知识u 总行、分行设立内控合规管理委员会和反洗钱领导工作小组,负责全行内控、合规、案件防控、操作风险管理以及反洗钱事务的统一管理、组织、协调工作。u 分行内控合规管理委员会每季召开例会u 反洗钱领导工作小组每季度召开例会u 也可根据需要随时召集以银行合规治理结构为基础,三道防线:业务单位日常风险控制业务单位日常风险控制、合规合规部门的管理与监督部门的管理与监督、稽核部门事后监督改进稽核部门事后监督改进风
12、险管理评估风险管理评估风险管控标准风险管控标准第第三三道防线道防线第第二二道防线道防线稽核监察部稽核监察部合规部合规部业务单位业务单位业务单位业务单位风险管理及内控专风险管理及内控专业部门业部门董事会董事会业务单位业务单位高管层高管层l内控组织者对全行各条线的内控工作进行规划与组织l监督者通过检查、监测等手段对业务经营的合法合规性进行监督,及时拾缺补漏l信息提供者提供监管动态,监管信息等,提供法律法规对相应业务部门的影响l咨询者提供法律合规咨询与审查服务,满足业务需要l顾问对没有明确法律规定的业务经营问题,法律合规部门提出合法合规的趋向性判断合规报告体系合规绩效考核体系合规问责体系诚信举报体系
13、合规培训和教育体系合规风险识别和评估体系反洗钱管理体系由各级行的其它部门按月向本级行合规管理部门提交本部门合规情况报告分(支)行的合规管理部门汇总各部门的情况后,撰写合规工作整体情况报告报告的内容应当包括但不局限于以下内容:报告期合规风险状况的变化情况、已经识别的违规事件和合规缺陷、已经采取或者建议采取的纠正措施等等。该报告应当采取双线报告制,即按季度直接向总行法律合规部报告的同时,向所在分(支)行行长和主管行长报告 如发现任何异常情况,各分(支)行合规管理部门应当立即通过电话或其他方式迅速向总行合规管理部门及本行主管领导报告全行的任何一名员工如认为有必要均可以越级直接向总行合规管理部门或者高
14、级管理层报告合规方面的异常情况常规报告专项报告分行合规报告l 综合绩效考核l 平衡计分卡l 合规审查(新制度、新产品、新流程)l 合规咨询l 预警l 许可证照、知识产权、关联交易管理l 对于违规、违法事件,应当按照职责分工由内审部门或者监察保卫部启动处理程序,按照中国光大银行问责管理办法进行问责处理。l 对于违规、违法事件处理过程中涉及性质论证、责任界定等需要合规管理部门协助的工作,合规管理部门应当积极介入。35包包括括36团队行为部门行为“商业银行应加强合规文化建设,并将合规文化建设融入企业文化建设商业银行应加强合规文化建设,并将合规文化建设融入企业文化建设”。-商业银行合规风险管理指引商业
15、银行合规风险管理指引银行品牌银行品牌/形象形象/声誉声誉/业绩业绩一二合规管理基础知识四五一二三合规从我做起我行合规管理工作实践四内控管理基础知识l 合规的义务在谁?u 员工(直接义务人)u 各前后台业务部门(直接义务人)u 管理层(最终义务人及合规文化建设的重要参与者)l 业务条线部门及业务部门员工的合规职责l 严格遵守内外部法律法规和规章制度l 具体识别、监测、量化合规风险l 向合规部门及时地反馈潜在的合规性风险,报送合规预警信号l 协助合规部门评估合规风险,并对已经存在的合规风险进行整改l 对所辖员工进行合规性培训和教育l 银行的每一个部门、每一名员工在日常工作中都应当积极收集银行合规风
16、险点,并及时将合规风险点反馈到合规管理部门。在收集合规风险点时,应该重点关注但不限于以下:我行或其他银行曾经发生过的合规事故或案件业务条线和职能部门已经发现的合规风险隐患合规管理部门在合规风险识别、评估、监测、测试和咨询的日常工作中,所发现的需引起足够重视的合规风险或问题各单位开办新业务、设立新机构、适用新技术是否存在新的合规风险点本单位重大经营活动可能涉及到的合规风险点反洗钱业务管理中遇到的合规风险点内外部审计检查中所发现的合规风险事件等信息监管部门发现的合规风险点和合规风险提示等l合规风险预警各部门均有责任及时发现并报告合规风险预警信号总行、各分(支)行的合规风险管理委员会负责合规风险预警
17、工作委员会根据预警信号的影响范围和可能对我行造成的损害程度,分别采取不同的应对措施。预警信号相关部门应根据委员会的要求,积极采取应对措施消除有关预警信号,有效防范合规风险l 中资银行合规文化缺失的主要表现中资银行合规文化缺失的主要表现 l银行员工诚信与正直的道德行为观念不强道德行为观念不强,银行内部缺乏有效的自律和他律机制。l合规管理力度从总分行到基层网点层层衰减,分支机构普遍存在分支机构普遍存在“重业务、轻合规重业务、轻合规”问问题,题,分支机构和基层网点合规管理难度大、效果差。l银行上下级机构之间以及管理层与员工之间存在存在“相互博弈相互博弈”的文化的文化,制约了银行政策和程序的制定及其执
18、行的效力。l银行不同部门间沟通交流和协调配合不够,缺乏配合默契的合作文化缺乏配合默契的合作文化。l合规的激励约束机制扭曲,合规的没有奖励,违规的没惩罚,合规的没有奖励,违规的没惩罚,“问责制”难以有效落实。l存在“以信任代替管理、以习惯代替制度、以情面代替纪律以信任代替管理、以习惯代替制度、以情面代替纪律”等不良文化。l一是一是“破窗效应破窗效应”理论。理论。该理论认为,如果有人打坏了一幢建筑物的窗户玻璃,而这扇窗户又得不到及时的维修,别人就可能受到某些示范性的纵容去打烂更多的窗户。l二是二是“火炉效应火炉效应”。合规管理有效的执行机制必须具有“火炉效应”,即建立合规风险管理约束机制后,如果有
19、人违反这种约束机制,必须要受到严厉的惩罚,这就像用手触碰滚烫的火炉,会烫得立即将手缩回一样。l三是有效的执行力有赖于良好合规文化的形成三是有效的执行力有赖于良好合规文化的形成。p做好合规管理关键在于执行做好合规管理关键在于执行实现三个转变实现三个转变.无无 知知 无无 畏畏 无无 心心 学学 规规 用用 规规 守守 规规一二合规管理基础知识四五一二三合规从我做起我行合规管理工作实践四内控管理基础知识.内部控制的定义内部控制的定义:广义上讲,内部控制可定义为一个由企业董事会、管理层和其他人员实施的、为实现经营的效果和效率、财务报告的可靠性、遵守适用的法律法规等目标提供合理保证的过程。内部控制的有
20、效性:内部控制的有效性:如果董事会和管理层能够合理地保证以下三方面,则对三类目标中任何一类的内部控制都可分别判断为有效:他们了解企业经营目标正在实现的程度 正在可靠地编制要公布的财务报表 正在遵循适用的法律法规评价某一内部控制系统是否有效是一种主观判断,判断来自对五项要素是否存在及有效发挥功用的评价。COSO (美国反虚假财务报告委员会)(美国反虚假财务报告委员会)控制理论框架控制理论框架监督检查监督检查企业层面企业层面业务单元业务单元子公司子公司合合规规经经营营战战略略财财务务业务分部业务分部内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督功能单位功能单位业务单位
21、业务单位合合规规经经营营性性报报财财务务控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通告告.控制环境控制环境 风险评估风险评估控制活动控制活动信息与沟通信息与沟通 监督监督实施实施内部控制内部控制的总体的总体环境环境控制环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。控制环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。组织结构和公司氛围有助于有效的风险管理。风险识别与接受的过风险识别与接受的过程程风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的
22、过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。风险评估:是风险识别、评估、匡算和优先级考虑中使用的参数、目标与程序。针对已识别的风险做了针对已识别的风险做了些什么些什么控制工作控制工作控制活动是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动主要包括:职责分工控制、授权控制、审核批准控制、预算控制、绩效考评控制、经济活动分析控制等。控制活动:是决策并采取行动,协调和执行应对风险的方法。业务内部业务内部和外部和外部的沟的沟通通信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信
23、息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。沟通与信息的交流有助于风险的管理和企业整体内部控制。检查检查内部控制内部控制框架框架被正确地运用被正确地运用监督是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督:董事会协调、评价和监督风险管理活动所使用的方法。COSO内部控制五要素内部控制五要素风风 险险控控 制制流流 程程缺缺 陷陷在内控管理中,风险是最为关键的概念。而内部控制的框架、要素均会涉及在内控管理中,风险是最为关键的概念。而内部控制的框架、要素
24、均会涉及控制和流程。因此,我们首先需要掌握以下概念:控制和流程。因此,我们首先需要掌握以下概念:风险是一种事件、行动或者非行动对企业达到自身经营目标和执风险是一种事件、行动或者非行动对企业达到自身经营目标和执行战略产生不利影响的威胁。行战略产生不利影响的威胁。l“什么会出错什么会出错?”l 风险的两个要素:可能性和影响程度风险的两个要素:可能性和影响程度.l 即使拥有了控制,风险仍是持续存在的即使拥有了控制,风险仍是持续存在的.l 风险应着重在管理层对于公司战略和目标风险应着重在管理层对于公司战略和目标的考虑的考虑流程中会出现什么样的错误?流程中会出现什么样的错误?可以从以下几个方面来考虑可以
25、从以下几个方面来考虑:操作操作战略战略财务财务合规合规ITIT舞弊等舞弊等1、风险2 2、控制、控制关注于风险而非控制控制 1控制 2控制 3控制 4什么会出错?设计执行在控制中?控制是一种可以减轻和管理风险的行动,并增加企业达到自身经营控制是一种可以减轻和管理风险的行动,并增加企业达到自身经营目标和战略的可能性。目标和战略的可能性。预防型控制是防止错误或损失的第一条防线,通常是在每一笔交易上进行。预防型控制可以是人工执行的,也可以是IT系统执行的。为了预防那些主要影响企业目标实现的错误或非常规事件的发生而设计的控制活动。预防性控制用于发现或及时纠正那些主要影响企业目标实现的错误和非常规事件而
26、设计的控制活动。检查性控制举例:职责分离,权限的设置交易前的授权与审批举例:银行对账,编制银行余额调节表交易经处理后,系统自动产生的错误或异常报告管理层对业绩分析报告进行审阅通常检查型控制不是应用在每笔交易中,而是在正常流程外,应用于某一组已经全部或部分处理的交易中。检查型控制可以是人工执行的,也可以是IT系统执行的。2 2、控制、控制 对控制我们需要了解什么?对控制我们需要了解什么?控制类型 人工控制 系统控制 人工依赖系统控制人工系统人工依赖IT依赖IT系统的人工控制是人通过运用电脑生成的信息来进行控制。举例:定期对系统产生的异常报告进行分析和审阅2 2、控制、控制 对控制我们需要了解什么
27、?对控制我们需要了解什么?控制性质持续的:防火墙每日/一日多次:采购单、接收单、发票三方核对每月:总账调节审核每季度:IT 系统访问用户审核每年:会计政策审阅特殊的/专门要求的:雇员解聘费用的授权2、控制控制 对控制我们需要了解什么?对控制我们需要了解什么?控制执行的频率控制执行的频率流程是一组逻辑相关的活动将投入转化为产出的过程。流程是一组逻辑相关的活动将投入转化为产出的过程。3 3、流程、流程控制是在流程中为了减轻风险而设计的活动开始活动 1Y/N活动 2活动 3活动 4活动 5结束流程示例这些作业构成控制活动控制与流程记记 录录报报 告告初初 始始授授 权权处处 理理包括包括设计缺陷设计
28、缺陷或者或者运行缺陷运行缺陷设计缺陷设计缺陷是指必要的控制或者控制的必要成分缺失,或者某个现存是指必要的控制或者控制的必要成分缺失,或者某个现存的控制不是经过适当的设计,以至于即使这个控制如设计般运行也的控制不是经过适当的设计,以至于即使这个控制如设计般运行也不一定能达到控制目的。不一定能达到控制目的。运行缺陷运行缺陷是指一个完好设计的控制没有如设计那样实际运作,或执是指一个完好设计的控制没有如设计那样实际运作,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。行者没有获得必要授权或缺乏胜任能力以有效地实施控制。4 4、内部控制缺陷、内部控制缺陷某个控制的设计或运行,使管理层或公司员工在
29、正常执行分派给某个控制的设计或运行,使管理层或公司员工在正常执行分派给他们的职责过程中,不能及时预防或者发现错误。他们的职责过程中,不能及时预防或者发现错误。.内控规范基于COSO内部控制整体框架,并考虑了COSO企业风险管理框架的内容,为企业加强和规范内部控制,提高经营管理水平和风险防范能力提供了完整和公认的框架。是被业内人士誉为中国版“COSO(内部控制框架)与萨班斯-奥克斯利法案合体”的内部控制规范。企业内部控制规范整体体系企业内部控制规范整体体系企业内部控制基本规范企业内部控制基本规范规范企业内控评价工作:由企业董事会和管理层实施为企业对内部控制有效性进行全面评价,形成评价结论,出具评
30、价报告提供指引应用指引应用指引包括18个方面具体规定各领域内部控制的具体要求为企业以及外部审计人员 建立与评价内控体系提供了参考性标准指导注册会计师执行企业内部控制审计业务(侧重点为与财务报告相关的部分)为会计师事务所对特定基准日与财务报告相关内部控制的设计与执行有效性进行审计提供指引财政部会同证监会、审计署、银监会、保监会,于2008年6月28日正式发布企业内部控制基本规范(以下简称内控规范)。财政部、证监会、审计署、银监会、保监会联合发布企业内部控制配套指引,包括企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引。2009年年7月月1日日强制在上市公司范围内实施。2011年年
31、1月月1日日要求在境内外同时上市的公司披露年度自我评价报告,会计师事务所出具内控审计报告。评价指引评价指引审计指引审计指引2010年年4月月26日日2008年年6月月28日日.中国银监会中国银监会商业银行内部控制指引商业银行内部控制指引n2002年颁布,2007年、2014年两次修订n是对商业银行内控目标、原则、内部控制职责与组织方式的原则性的规范,并不对银行具体控制措施加以详细规定,是商业银行搭建内部控制框架的基本出发点。.健全的制度健全的制度 标准的流程标准的流程 信息系统控制信息系统控制 清晰的岗位分工及制约清晰的岗位分工及制约 重要岗位轮岗与强制休假重要岗位轮岗与强制休假授权授权 核对、监控核对、监控 健全的外包管理健全的外包管理 客户投诉的处理客户投诉的处理全覆盖的管理信息系统和业务操作系统全覆盖的管理信息系统和业务操作系统信息安全信息安全信息沟通信息沟通业务连续性管理业务连续性管理可持续发展的人力资源政策可持续发展的人力资源政策科学的绩效考核体系科学的绩效考核体系内控文化内控文化内控的措施内控的措施内控的保障内控的保障谢谢大家!谢谢大家!