1、Page 2商业银行公司治理的核心内容商业银行公司治理的核心内容 商业银行良好公司治理应当包括但不限于以下内容:商业银行良好公司治理应当包括但不限于以下内容:(一)健全的组织架构;(一)健全的组织架构;(二)清晰的职责边界;(二)清晰的职责边界;(三)科学的发展战略、价值准则与良好的社会责任;(三)科学的发展战略、价值准则与良好的社会责任;(四)有效的风险管理与内部控制;(四)有效的风险管理与内部控制;(五)合理的激励约束机制;(五)合理的激励约束机制;(六)完善的信息披露制度。(六)完善的信息披露制度。-摘自摘自商业银行公司治理商业银行公司治理第七条第七条Page 3Page 4内部控制的核
2、心定义内部控制的核心定义n依照依照ISO/IEC 导则导则73风险管理风险管理术语术语:内部控制是一类控制风险的措施,是一种风险治理的解决方案,旨在最小化风内部控制是一类控制风险的措施,是一种风险治理的解决方案,旨在最小化风险。内部控制包括所有相关的政策、手段措施、实践和其他策划好的行动等。险。内部控制包括所有相关的政策、手段措施、实践和其他策划好的行动等。n企业内部控制基本规范企业内部控制基本规范:内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。目标的过程。内部控制的目标内部控制的目标 是是
3、合理保证企业经营管理合法合规、资产安全、财务报告及相合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内控的多视角困惑:横看成岭侧成峰内控的多视角困惑:横看成岭侧成峰n内控的多视角困惑:横看成岭侧成峰内控的多视角困惑:横看成岭侧成峰Page 5注:本课题成果由北京普信管理咨询有限公司注:本课题成果由北京普信管理咨询有限公司2011年提出。年提出。Page 6内部控制的核心定义(内部控制的核心定义(2)n银监会银监会商业银行内部控制指引商业银行内部控制指引:内部控制是商业银行董事
4、会、监事会、高级管理层和全体员工参与的,通内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。n商业银行内部控制的目标:商业银行内部控制的目标:(一)保证国家有关法律法规及规章的贯彻执行。(一)保证国家有关法律法规及规章的贯彻执行。(二)保证商业银行发展战略和经营目标的实现。(二)保证商业银行发展战略和经营目标的实现。(三)保证商业银行风险管理的有效性。(三)保证商业银行风险管理的有效性。(四)保证商业银行业务记录、会计信息、财务信息和其他管理信息
5、的真实、准(四)保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。确、完整和及时。内控体系建设、评价与改进内控体系建设、评价与改进Page 7日常专项监测日常专项监测内控缺陷管内控缺陷管理理风风 险险 识识 别别 评评 估估业务流程梳业务流程梳理理内部制度管内部制度管理理内控内控规范要求规范要求内控内控基础信息基础信息内控内控设计评价设计评价内控内控运营评价运营评价内控评价报内控评价报告告内控体系建设和运维内控体系建设和运维内控体系评价和改进内控体系评价和改进Page 8普信普信“内部控制四维度结构模型内部控制四维度结构模型”摘自摘自 由北京普信管理咨询有限公司主
6、要承担的、由北京普信管理咨询有限公司主要承担的、2010年财政部年财政部 企业内部控制评企业内部控制评价操作流程与方法研究课题价操作流程与方法研究课题成果成果Page 8Page 9内部控制的管理整合内部控制的管理整合Page 9企业存在的价值在于持续满足顾客、监管当局、投资者、企业存在的价值在于持续满足顾客、监管当局、投资者、员工、社会等各相关方需求和要求;员工、社会等各相关方需求和要求;有需求有需求/要求就有目标,而目标是通过流程实现的。内部控要求就有目标,而目标是通过流程实现的。内部控制应确定以流程为本的原则和基本方法。制应确定以流程为本的原则和基本方法。目标的实现是由确定性和不确定性两
7、部分构成,稳定的流目标的实现是由确定性和不确定性两部分构成,稳定的流程形成确定性、而风险构成不确定性。程形成确定性、而风险构成不确定性。内部控制是以内部控制是以“目标为导向目标为导向”、“流程为基础流程为基础”、“风控风控为抓手为抓手”的管理整合。的管理整合。Page 10中小银行内控管理的困境与挑战中小银行内控管理的困境与挑战Page 10u近十年以来,无论从国际趋势还是国内监管实务看,外部监管近十年以来,无论从国际趋势还是国内监管实务看,外部监管对银行内部公司治理与管理的要求日趋严格与精细化,已逐步形对银行内部公司治理与管理的要求日趋严格与精细化,已逐步形成了对包括成了对包括“公司治理、内
8、控建设、合规管理、操作风险管理、公司治理、内控建设、合规管理、操作风险管理、案防管理、反洗钱管理等案防管理、反洗钱管理等”与商业银行内控相关的管理职能(以与商业银行内控相关的管理职能(以下统称为下统称为“内控相关职能内控相关职能”,但不包含信用风险、市场风险、流但不包含信用风险、市场风险、流动性风险等风险管理职能动性风险等风险管理职能)的)的“体系化、标准化、职能化、系统体系化、标准化、职能化、系统化化”的管理要求;的管理要求;u 中小商业银行的总部机构设置有限,通常将其内控相关职能中小商业银行的总部机构设置有限,通常将其内控相关职能集中在集中在“合规与风险管理部合规与风险管理部”等一、二个管
9、理职能部门;等一、二个管理职能部门;u 内控相关管理职能之间既无不兼容性要求、更在一定程度上内控相关管理职能之间既无不兼容性要求、更在一定程度上具有重叠性,急需在中小商业银行实现内控相关职能的管理整合具有重叠性,急需在中小商业银行实现内控相关职能的管理整合。Page 11 合规与合规风险合规与合规风险合规管理是商业银行一项核心的合规管理是商业银行一项核心的风险管理活动。商业银行应综合风险管理活动。商业银行应综合考虑合规风险与信用风险、市场考虑合规风险与信用风险、市场风险、操作风险和其他风险的关风险、操作风险和其他风险的关联性,确保各项风险管理政策和联性,确保各项风险管理政策和程序的一致性。程序
10、的一致性。合规管理的基础是制度、流程与合规管理的基础是制度、流程与系统建设,系统建设,对内体现即是制对内体现即是制度执行力,度执行力,合规风险管理合规风险管理巴塞尔委员会对合规管理提出的要求巴塞尔委员会对合规管理提出的要求-合规与银行合规管理部门合规与银行合规管理部门1 1、合规管理部门与管理职能的建立;、合规管理部门与管理职能的建立;2 2、合规风险管理有效性:、合规风险管理有效性:管委会对合规风险状况的评估及相应管理计划的制定管委会对合规风险状况的评估及相应管理计划的制定合规管理部门对合规风险的及时报告合规管理部门对合规风险的及时报告内审部门对合规管理部门适当性和有效性的审计内审部门对合规
11、管理部门适当性和有效性的审计银监会对合规管理提出的要求银监会对合规管理提出的要求-商业银行合规风险管理指引商业银行合规风险管理指引等规范要求等规范要求明确提出了合规管理要素:明确提出了合规管理要素:(一)合规政策;(一)合规政策;(二)合规管理部门的组织结构和资源;(二)合规管理部门的组织结构和资源;(三)合规风险管理计划;(三)合规风险管理计划;(四)合规风险识别和管理流程;(四)合规风险识别和管理流程;(五)合规培训与教育制度。(五)合规培训与教育制度。合规风险管理合规风险管理Page 13合规风险管理的核心技术合规风险管理的核心技术n“规规”是外部、内部的监管当局和管理机构针对各类已是外
12、部、内部的监管当局和管理机构针对各类已识别的风险,通过立法识别的风险,通过立法/立规的方式,以减小相关风险发立规的方式,以减小相关风险发生的可能性与危害为途径、直至最终降低风险的管控政生的可能性与危害为途径、直至最终降低风险的管控政策与措施的体现。策与措施的体现。n合规风险管理的核心:合规风险管理的核心:减少/降低损失事件发生的概率(PE/PD);减少/降低损失事件发生的预期损失(LGE/LGD)。Page 14海恩法则:海恩法则:每一起严重事故的背后,必然有每一起严重事故的背后,必然有2929次轻微事故和次轻微事故和300300起未遂起未遂先兆以及先兆以及10001000起事故隐患。起事故隐
13、患。海恩法则强调:海恩法则强调:(1 1)事故的发生时量的积累的结果;)事故的发生时量的积累的结果;(2 2)再先进的技术和完美的规章都无法替代人自身的素质和)再先进的技术和完美的规章都无法替代人自身的素质和责任心。责任心。案防失效与海恩法则案防失效与海恩法则Page 15银行风险事件侦测银行风险事件侦测/控制渠道分析控制渠道分析n事前侦测(事前侦测(T):新产品、新制度、新机构、新系统,):新产品、新制度、新机构、新系统,n事中侦测(事中侦测(T):事中(流程中)复核、审核、监测,):事中(流程中)复核、审核、监测,n事后侦测(事后侦测(Tn):后督():后督(T)、)、上级条线检查(如上级
14、条线检查(如T)季度专项检查(季度专项检查(T)强制轮岗强制轮岗/休假(针对特定岗位的休假(针对特定岗位的T365)内部(诚信)举报、合规检查内部(诚信)举报、合规检查 内部审计(内部审计(T365)、外部审计)、外部审计 外部监管检查外部监管检查 媒体曝光、案件爆发媒体曝光、案件爆发注:侦测渠道指数设置原则:(注:侦测渠道指数设置原则:()事前指数为;事中指数为;事前指数为;事中指数为;()案件爆发指数为;()案件爆发指数为;()其他的渠道指数按()其他的渠道指数按“防区防区”设定。设定。案防与风控管理案防与风控管理Page 16n某银行内控评价的关键风险指标的思考某银行内控评价的关键风险指
15、标的思考风险事件发生发现时间间隔天数平均值:天风险事件侦测渠道指数平均值:n案件案件/风险事件防控的基本理念:风险事件防控的基本理念:一百个控制不如一次将事情做对!最好的控制是自我控制n风险识别、评估、报告机制建设风险识别、评估、报告机制建设风险识别报告机制建设的核心要点:基于理性、自私的人性设计有关案件、险情、违规的关系(海恩法则)n有关合规内控检查有关合规内控检查/监测体系的建立监测体系的建立监测对象视图监测活动视图监测结果视图案防与风险管理、内部控制案防与风险管理、内部控制操作风险管理与资本计量操作风险管理与资本计量巴塞尔新资本协议巴塞尔新资本协议1 1、操作风险定义:为由于不完善或失灵
16、的内部程序、人、操作风险定义:为由于不完善或失灵的内部程序、人员和系统或外部事件导致损失的风险,包括法律风险,员和系统或外部事件导致损失的风险,包括法律风险,但不包括战略和声誉风险;但不包括战略和声誉风险;2 2、操作风险特点:内生性、广泛性、风险收益无关性;、操作风险特点:内生性、广泛性、风险收益无关性;3 3、操作风险损失事件分类、操作风险损失事件分类4 4、操作风险八大业务条线、操作风险八大业务条线商业银行资本管理办法商业银行资本管理办法操作风险管理与资本计量操作风险管理与资本计量内控合规与操作风险管理体系中都存在大量的管理数内控合规与操作风险管理体系中都存在大量的管理数据,这些数据的收
17、集与分析能够为三大体系的运转提据,这些数据的收集与分析能够为三大体系的运转提供重要的基础,因此有必要建立统一的数据字典库,供重要的基础,因此有必要建立统一的数据字典库,以保证数据的标准化,为数据的后续使用建立标准。以保证数据的标准化,为数据的后续使用建立标准。其中包括但不限于:其中包括但不限于:统一的风险定义与分类;统一的风险定义与分类;统一的风险因子、损失事件类型与损失形态分类;统一的风险因子、损失事件类型与损失形态分类;统一的控制措施的标准化分类;统一的控制措施的标准化分类;统一的风险控制与评估标准;统一的风险控制与评估标准;统一的风险指标分类与分类标准;统一的风险指标分类与分类标准;统一
18、的控制措施字典库等。统一的控制措施字典库等。数据结构(字典)的整合数据结构(字典)的整合基于内控合规与操作风险的管理工具与管理职能的基于内控合规与操作风险的管理工具与管理职能的互补性与关联性,三大体系的整合管理体系建立的互补性与关联性,三大体系的整合管理体系建立的具有实施基础的。具有实施基础的。因此在建立一系列管理机制与工具的同时,项目组因此在建立一系列管理机制与工具的同时,项目组应遵循应遵循“整合原则整合原则”,充分利用各部门职能的资源,充分利用各部门职能的资源,有效整合内控、合规与操作风险三者的,有效整合内控、合规与操作风险三者的:管理机制管理机制;管理工具管理工具;管理职能管理职能;管理
19、制度。管理制度。管理机制与工具的整合管理机制与工具的整合内控、合规、操作风险的管理整合内控、合规、操作风险的管理整合内控、合规、操风的数据整合示例内控、合规、操风的数据整合示例“合规、内控、操风管理合规、内控、操风管理”整合管理整合管理Page 21内控、合规、操风的关注点内控、合规、操风的关注点Page 21u内控的关注点:内控缺陷。包括设计缺陷和运营缺陷。内控的关注点:内控缺陷。包括设计缺陷和运营缺陷。u合规的关注点:违规事件。包括合规的关注点:违规事件。包括“立规立规”、对违规事件的监、对违规事件的监 控、员工违规积分管理等。控、员工违规积分管理等。u操风的关注点:风险事件。包括风险分类
20、、事件分类、损失操风的关注点:风险事件。包括风险分类、事件分类、损失 分类等,以及相应的资本管理。分类等,以及相应的资本管理。注:就管理的工具、系统以及定量管理要求而言,操作风险管理有着注:就管理的工具、系统以及定量管理要求而言,操作风险管理有着目前的监管要求(包括三大工具的应用、管理信息系统要求、以及操目前的监管要求(包括三大工具的应用、管理信息系统要求、以及操作风险监管资本计量要求等)。作风险监管资本计量要求等)。内部控制与合规、操作风险的管理方法、工具有很多重叠之处,普信整合方法有助内部控制与合规、操作风险的管理方法、工具有很多重叠之处,普信整合方法有助于将操作风险管理与内控、合规等管理
21、职能实现有机整合于将操作风险管理与内控、合规等管理职能实现有机整合基础管理的整合,如:流基础管理的整合,如:流程管理整合、程管理整合、RCSARCSA整合、指标管理整合、事件管理整合等,从而帮助银行将操作风险整合、指标管理整合、事件管理整合等,从而帮助银行将操作风险管理真正变成常态化运行和持续改进的机制。管理真正变成常态化运行和持续改进的机制。内部控制与合规、操作风险管理整合思路内部控制与合规、操作风险管理整合思路 内部控制与合规、操作风险的管理方法、工具有很多重叠之处,普信整合方法有助内部控制与合规、操作风险的管理方法、工具有很多重叠之处,普信整合方法有助于将操作风险管理与内控、合规等管理职
22、能实现有机整合于将操作风险管理与内控、合规等管理职能实现有机整合基础管理的整合,如:流基础管理的整合,如:流程管理整合、程管理整合、RCSARCSA整合、指标管理整合、事件管理整合等,从而帮助银行将操作风险整合、指标管理整合、事件管理整合等,从而帮助银行将操作风险管理真正变成常态化运行和持续改进的机制。管理真正变成常态化运行和持续改进的机制。内部控制与合规、操作风险管理整合思路内部控制与合规、操作风险管理整合思路目前业务部门的自查、二道防线的检查、三道防线的审计等工作的规划、资源的安排、发现问题的处理、整改追踪等,分散在各个部门分别管理,资源未能充分整合利用、问题也未归集分析。建议:1、建议设
23、定全行一、二道防线合规性检查工作的牵头部门。2、制定全行合规性检查的管理办法。统一规划业务自查、二道防线检查和问题跟踪,建立统一合规性问题库,进行全面管理。3、合规系统需建立与稽核问题跟踪系统的衔接,需要三道防线的支持与配合。统一问题管理1.2.3.明确统一管理全行业务流程的职能部门和建立统一流程管理的机制是整合管理实施的必要条件;而流程梳理和分析、流程图绘制、流程与岗位岗责匹配,这些工作的成果是在系统中应用“一图两表”的基础。建议:1、建立设定全行流程管理的牵头部门。2、制定全行流程管理办法。明确流程分类标准、流程日常管理机制、流程属主,相关职责。3、开展全行业务流程盘点、梳理和分析的工作,
24、完成“一图两表”。由流程管理牵头部门负责组织,总行各条线成立项目小组,在咨询公司的协助下,完成各自职责范围内的流程梳理工作。流程管理“一图三表”实施过程中一个重要工作是将操作要求与岗位关联,生成岗位操作指引文件,作为该岗位人员日常工作的指导,实现岗责匹配。建议:1、合规系统建设过程中,需要人力资源部的支持和配合,与相关系统数据建立衔接,保持岗位的及时更新。岗责匹配整合管理实施关键要点整合管理实施关键要点系统功能图某银行内部控制与合规、操作风险整合管理系统系统功能模块合同管理基础数据内控管理操作风险管理合规管理内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例
25、)内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)Page 26内控管理功能问题库管理内控首层整改行动计划内控检查管理整改跟踪与验证内部控制内部控制 与合规、操作风险整合管理系统(示例)与合规、操作风险整合管理系统(示例)合规管理功能合规咨询积分管理合规审查内外规管理案件管理综合报告管理内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)操作风险管理功能关键风险指标资本计量风险控制自我评估流程梳理损失数据收集内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)Page 30内部控制与
26、合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)Page 31内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)Page 32内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)Page 33内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)Page 34内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)Page 35内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)操作风险监管资本计量-标准法计量未并表资本计量并表资本计量内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)Page 37内部控制与合规、操作风险整合管理系统(示例)内部控制与合规、操作风险整合管理系统(示例)Page 38