银行风险的识别、评估与内部控制
银行风险的识别、评估与内部控制
Bank Risks'Identification,
Assessment And Internal Control
杨海群
按语
本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因为网络格式转换而未加。希望读者进一步阅读作者的专著《公司治理与银行控制》下卷中“加强选配评审,防止领导风险”这一章。
“银行风险的识别、评估与内部控制”这个题目涉及两方面:一方面涉及的是风险管理,另一方面涉及内部控制。不管是法律工作者还是银行的管理者,都会遇到下面要提出来的问题,就是怎么来处理业务发展和管理控制的关系,怎么在实现战略目标的过程中,一方面把握住我们自己,另一方面也把握住我们所领导的团队?另外,怎么防止银行的工作人员或者业务活动失去控制?搞法律的人员不如搞经营管理的涉入那么多的具体业务,但是由于你们是银行的法律工作者,所以就不能够站在一般律师的服务角度去服务于银行。因为你们已经加入了银行的管理队伍。今年银监会和党中央提出银行管理要满足四个条件:第一个叫资本充足,就是银行要保证有足够的资本金;第二个内控要严密,还不是一般的内部管理,而是内部控制要严密;第三个运营要安全,实际上运营安全也是要在前两者的基础之上才能实现;第四个服务和效益要好,没有安全,也不可能服务好或者说令客户满意,服务差也不可能把效益搞上去。这是银监会《关于中国银行、中国建设银行公司治理改革与监管指引》文件很明确地提出来的要求。中行和建行要重组上市,就要实现银监会提出的四个要求。恐怕农行和工行下一步也要遇到这个问题,也准备在中行和建行上市成功之后,经历这个过程。我们这两家银行先试一试,估计在上市过程中会有更多的难题。
我们研究一个问题总是要抓住一些本质性的东西。有一个美国的企业家写了一本书叫《基业常青》,他把一个一般的企业发展成比较大的企业,积累了一些经验,他的书里面有这么一句话:“伟大的公司要想生存,必须拥有一个持久的观念,这个观念必须从属于整个公司。即使有远见的领导人与世长辞以后,这种所谓的观念也会永存。这种观念并不是围绕某个人或者一个整体,而是围绕一个决定公司发展目标的思想体系建立起来。有远见的公司,之所以能够成功,原因就在于无论发生什么变化,它们的核心观念毫不动摇。”他说得很深刻,他说:“只有从过眼烟云的变革中看到背后永恒的管理法则,人们才能真正了解到伟大公司的伟大之处。”我也在想这个问题,中国银行伟大不伟大?90多年的历史,应该是一个伟大的公司,但是这个伟大公司的伟大之处怎么体现呢?那就看我们能不能建立和遵循我们的公司治理法则。所以我认为内部控制很重要,实际上内控原理是一种管理法则,我们通过研究内部控制的理论来转变我们的经营观念,来增强控制意识,提高管理水平,这恰恰就是我国的国有银行向商业银行转变和上市的基本前提。我把它识为一种基本前提,那就是说我不认为只要一个银行能够跑到股票市场上去,在那里销售我们的股票,来套股民的钱,我们就是
一个公司治理机制良好的银行。因为它上市成功的前提首先要具备较多的控制意识,有较好的管理水平。其实巴塞尔委员会对这个问题也是提出了很高的要求,把它强调到一个很重要的地位。一个有效的内部控制系统是银行管理的关键内容,是银行组织机构安全和良好运营的关键,这是巴塞尔委员会提出的要求。一个强有力的内控系统,能够帮助确保银行机构的目标和目的的实现,使得银行取得长期的利润目标,维护财务报告和管理报告的可靠性,并且确保银行遵循法律和规章制度,以及一系列政策、计划、内部规定和程序,减少始料不及的损失和有损银行声誉的风险。为了强调内控,我重点介绍下面四个方面的问题:
第一,是介绍内部控制理论已经解决的问题。第二,从我在中行的新体验来看看我们国家银行内部控制的发展。第三,我们对银行当前内部的控制问题进行初步的研究。第四,提出一些政策建议仅供大家参考。
一、内控理论已经说明的问题
我们在提到银行的管理、银行的控制这样一个题目的时候,我觉得搞法律的人员不是那么熟悉,因为我在中国银行,法律工作人员大都很年轻,在管理学上、在银行的控制理论上,还是缺乏知识的,这里有知识的结构问题。所以很有必要来探讨一下内部控制的理论。
首先内部控制的理论已经明确了内控在银行中间的地位。任何一个组织要维护它良好的职能机构都必须认真对待四个问题:第一个就是治理问题,包括银监会经常说的公司治理机制;第二个就是风险管理;第三个叫内部控制;第四个叫保障措施。首先明确一下概念。中央领导、国务院领导经常说公司治理,到底公司治理是干什么的?是研究什么的?我有一次到德国开国际会议,与美国的一个高级审计官员探讨过这个问题。公司治理的核心问题是如何委托资源以便于实施某项任务。再说得明白一点,就是找什么人来做这个银行行长和各级经管人员,以便于把商业银行的各项业务做好。找谁?是找王雪冰还是找其他人?为什么找王雪冰?他出了问题,怎么才能找到另一个人不出问题或者少出问题?公司治理就是找谁当行长,找什么人当总经理和各级经管人员。像中国银行大约有200位总行高管干部,包括行长,
找谁担任这样的职务,要明确谁来干,明确谁承担这个责任,看看他们怎么承担这个责任。这叫公司治理。
风险管理是什么呢?风险管理是一种程序,它要识别风险,评估风险,并针对风险来制定相应对策。商业银行里都有一个部叫做风险管理部,在银行,风险管理部是很重要的部,这个部干什么呢?它要分析银行运用资产有什么样的风险,这些风险究竟有多大,银行可接受的风险的水平有多高,然后银行既然有这么多的风险,采取什么政策对付这些风险,这叫风险管理。
内控是干什么的?内部控制是公司的核心管理内容,它是公司通过治理来实现公司目标的有力手段。银行通过风险管理发现了风险,认定了风险,评价了风险,并且制定了风险应对的对策,之后怎么办?要采取一系列措施和经营管理程序加强内部控制,防范风险。
另外,还有一个确保反馈的系统,这是一个通过交流反馈和咨询来促进上面三项内容能够顺利开展的程序。就是保证上面能够开展这些活动。我在我的《公司治理与银行控制》这本书上就描绘了一张图说明上述四种治理机制的相互关系,现在银行领导也好,中央领导也好,经常讲这几个概念,但是我们需要把它们界定清楚。
如果你要经营一个企业,开一个银行,首先得有一个目标,这个目标确定了之后,靠什么来管风险?一个靠公司治理,找一些人——可靠的人、能干的人,把他们叫来,安排他们工作。然后组织其中一部分人来分析,我要实现这些目标,有哪些风险,怎么对付这些风险,制定风险政策。然后要有大量的人在操作的层面和管理的层面实行内部控制。把这些活动通过一个确认反馈系统,最终实现公司目标,就是资本充足、内控严密、运营安全、服务和良好效益。
国际上对内部控制也有大量的研究,美国有个权威机构叫COSO,提出了一个比较完整的内控理论和操作方法,后来又提出完整的风险管理的理论。实际上各国都在探索,英国也有一
个CADBURY模式,后来它发展或TURBULL。加拿大叫COCO理论。一些发展中国家,例如南非也有一套理论,叫KING,都在研究内控。为什么这样重视内控?就是前面讲的伟大公司的背后的管理法则。1998年9月份巴塞尔委员会又提出了一个关于银行体系内部控制框架,这个在网上能够搜索出来。2003年美国COSO又进一步提出更加完整的理论,不完全是内控,把内控放在风险管理的框架里。所以内部控制的发展一步一步最后形成了巴塞尔委员会内控的指导原则,一共有13项原则。而且内部控制在概念上也从部分控制论发展到全控制论。部分控制论讲的控制是会计控制、财物管理控制,后来又发展到稽核,各个银行都有稽核队伍,然后又超越财务范畴,把内控渗透到经营和管理各个方面。控制渗透在各个微观经营管理活动的毛孔里。而且内部控制也由过去只强调财务会计和财务信息的管理到更加强调提高经营管理的效果和效率,更加强调管理政策。这是一个发展。
我们研究一下到底什么叫内控?现在的内控理论已经把内控设定为比较科学的定义:“内控是一种为合理保证实现下述四大目标的动态过程,动态的程序。”它的每一个词都是有道理的,是合理保证实现四大目标的动态过程,原来提的是三大目标,现在有所发展,又提出第四大目标。它补充的那个目标就是战略性的目标。
什么叫战略性的目标?就是内部控制要符合和支持银行机构的总任务的完成,要有相当高度的视野,这是一种高层次的目标。上面提到的资本充足,这就是战略性目标,中央确定我们要实现国有商业银行资本充足,这是战略决策,不是具体到结算业务,还是零售业务,还是公司业务这种微观层面的目标。过去的国有商业银行不讲究要资本充足,国家不给我们补助资本金,中国银行一开始是财政部划拨的那点钱,后来核销呆账没有拨过资本,有利润全部上交国家、上交财政,现在提出来要满足8%资本金充足率,要实现这个,国家给我们中国银行225亿美元让我们来充实银行的资本,另一个也允许我们在盈利中间拿出一块,使我们的资产达到充足的标准,今后就要靠自己的努力了。这就是战略。
第二种目标叫操作性目标。银行不能不讲效果,不能不讲效率,在我们贷款的时候,在我们融资的时候,在我们做业务的时候,要保证银行避免损失。执行各种内控操作的程序,确保组织当中所有人都来有效率的工作,甚至还要注意道德的完整性,而不发生不应有的过高成
本。特别要强调,不能把任何其他的利益置于银行的利益之上,比如为自己雇员的利益发奖金,为了让大家得到奖金,宁肯使银行冒操作性的风险。或者给关系人贷款,为了某些客户的利益,而不顾银行的利益。或者为了个人的权利,拉拉打打、玩权术、市宗派。
还有第三个目标,叫做信息性目标。这里包括财务和管理的信息,过去只是强调财务的信息,现在巴塞尔委员会强调还有管理的信息,都要可靠、完整,并且能及时地提供。我们在写各种报告的时候,都要做到这点,而且要定期发布可靠的年度财务报告,披露真实的信息。将来我们上市了,也要给股东写报告,给银监会、人民银行写报告,对外公布的财务报告要经过监管当局认可的会计师事务所审定。而且董事会、管理者在做决策的时候,要有信息基础,这个信息必须充分、有质量和完整。我们的财务报表要有明确定义的会计原则。这次中国银行上市,其中一个内容就是要搞尽职调查,我们要聘请外部律师事务所给我们帮忙,我们要向他们如实地报一系列的材料,最后这个材料要交到律师事务所审查。中国银行干了这么多年,出了多少年报,年报后面的会计报表不仅前没有会计师事务所签字。国外的会计报表和年报最后除了银行行长签字、银行总会计师或者财务总监签字以外,还有中央银行认可的外部审计师要签字,而我们过去没有。要真实披露,我们的工农中建可能存在倒闭的问题,如果严格按照巴塞尔委员会的要求有可能会摘牌了。所以我们上市以后,压力很大。但我们需要披露,我们有责任向股民说清。
还有第四大目标叫遵从性目标。符合法律和规章制度。巴塞尔委员会特别强调,要确保银行所有的经营都遵从适当的法律和规章,遵从监管的要求,遵从本组织——银行的政策和程序,其中一个特别重要的就是业务流程。如果业务流程不熟悉、不遵从,违规经营的话,就没有实现这个目标。为什么要这么做?要保护银行的“特权”。实际上银行是有特权的,不是所有的企业都能干银行,也不是所有的金融机构都能干银行的事,银行是被经济社会选拔出来的能够胜任这项工作的金融机构。为什么银行要有声誉?别的公司也强调信誉,但都没有银行的信誉强调得更高。有不少人也抱怨,别的国营单位盖大楼,中央要批评,但是银行为什么可以?我们中国银行的楼,我走过了几十个国家,我还真没见过这么好的银行大厦,法兰克福的金融中心建设得够高级了,英国的City够气派了,你到那里看看,有没有比中国银行的楼更高级的,我觉得还没有。这里也确有太奢华的问题,但为什么中行这么盖大楼,建行、
工行都盖了不小的大楼,中央没批评,因为它有个形象和声誉问题。因为银行很需要体现它的权威和不可动摇性。我在河北挂职的时候,河北中央银行门前的狮子是铜做的,斜对面有一个纺织品进出口公司,狮子也不小,但央行的比公司的还大一倍。银行的职业特征决定了它需要一定的声誉和权威。当然,这种声望和权威应该是内在的,不能只靠表面的豪华去装饰。
工农建都设有法律部门,都起名叫法律部,我们中国银行为什么出了一个法律与合规部?直接的原因是纽约分行的事件,给我们很大的教训。有人说你把你们的行长都赔进去了,那都不是最重要的教训,最重要的教训是纽约分行使我们认识到过去我们搞银行的时候,对合规重视得很不够,而一些大型的国际化的银行在行内设有很大的部叫合规部,来抓合规工作。我们总结了在纽约的沉痛教训,感到有必要把合规工作提上日程。银行一定要依法合规经营。而内部控制的理论实际上把“合规”作为一个目标。中国的银行考核底下的员工都把效益作为考核的重点,利润是考核的重点,但是内控理论中明确指出要把依法合规作为考核的四大目标之一,如果不考核当然各级单位就不朝这个方面努力,不在这个地方扣分,凭什么在这个地方花费资源?
内部控制的定义说明了几个问题:
第一,内部控制是一种程序,这个程序意味着它朝着某个方向去努力,但是它永远达不到那个终点,因为这个终点是它不断要达到的目标。
第二,银行要搞内部控制,离不开人的影响,不是说搞内部控制就是去念几条规章制度,而要有人在这里起作用。
第三,内部控制是为公司管理层提供合理的保障,但不是绝对的。万事都不能绝对化,绝对化就是形而上学。内控是提供合理的保障,是对解决银行问题有利。不是说一抓内控就什么问题都不会出来。
第四,内控是有多重目标的,内控有四个目标,第一个目标是战略设定,第二个目标是经营的效果和效益,第三个目标是信息性目标,第四个目标是遵从性目标。内部控制为的是目标的实现,通过一些活动,一个有机结合的整体,去实现公司的目标。这是很值得我们学习内部控制的方面。
内部控制可分解为五大组成部分的内容:第一个强调控制环境,第二个强调风险评估,第三个要开展控制活动,第四个要进行信息的交流,第五个要进行监督评审。这是内部控制的五大组成部分。为什么从理论上强调这些内容,不是我们要讲一些花哨的名词,而是这五大组成部分比较充分和完整地说明了内控的主要内容,使我们明白了应该怎么执行内控,又怎么进行评价。怎么评价内控?我建议就从这五个方面。
另外COSO又提出八大组成部分,这是从风险管理角度讲的。下面是风险管理的八大内容:内控环境、战略目标设定,事件的认识或者是了解,另外风险评估、风险对策、控制活动、信息与交流、监督评审。这是八个组成部分的内容。首先要确定目标,开展经营活动必须有目标,我银行要搞好,我的目标是什么?支行有支行的目标,二级分行有二级分行的目标,一级分行和总行都有目标。风险管理也是一个有机结合的整体,也要强调内部的环境,就是前面说的控制环境。目标设定以后,要有些事要做,一件事叫“事件识别”,就是要看这些事有什么风险,要开展公司业务、零售业务、结算业务、信用卡业务,银行所有的业务,这些业务有什么风险要评估,评估完了以后要有风险对策。既然你都评估了,怎么处理这些风险,要有政策、有策略。然后,就进入了内部控制。这里我解释风险管理是希望说明它与内控的关系。
概括起来,内控分为五大组成部分的内容。内控五大组成部分最基础的地方是在控制环境上,然后进行风险评估,还要开展控制活动,在控制活动开展的过程中间,又要不断交流信息,宝塔尖上强调监督、评审。从风险管理的角度来分析,这个模式或框架还包含四大目标。战略性、操作性、信息性、遵从性、合规性,这是五个目标,这是一个层面的东西。从内控的角度来分,目标是四个,但内容可以比风险管理少三大内容。就是以上概括的五大组成部分
的内容。这还仅仅是两维的空间,第三维空间就是不同的部门,各个级别的部门。第三维空间,比如法律事务部或者是公司业务部、零售业务部,这些部门组成第三维空间,这三维空间组成立体的模型。实际上我们在讲一种思维方式,我们是在这样一个立体空间里搞银行。把任何一个部门抽出来,比如把公司业务部抽出来,都有四大目标,都有五大组成部分的内容在里面。这说明一个什么问题?说明我们可能利用思维方式,利用模型,利用这个理论,探讨出管理银行,评价银行的方式。为什么巴塞尔委员会这个国际银行监管的机构,要支持这么一种理论?是因为这个理论有用,是因为这个理论发展到今天,能涵盖我们银行的主要业务、主要工作。
从“控制环境”的角度怎么理解呢?实际上控制环境是所有各个方面的基础,是一个带动银行开展工作的“发动机”。这里包括银行的行风、组织风纪,它还涉及银行活动的核心——人(员工),而且要通过影响人们的控制觉悟来形成银行的“文化”,就是银行究竟提倡什么,特别是注意人们对内控的认识和态度,你有没有控制理论,有没有高度的内部控制觉悟,也就是重视内部控制,特别是由于这个环境不同,你的战略目标的实现就受到影响。我们国家如果没有长期稳定搞建设的环境,中央不会提出国民经济翻翻这样的战略。这里还涉及风险管理的一些哲学,开展风险管理是避险为主还是冒险为主呢?风险管理是什么文化?这些东西都是控制环境里的。我们理解控制环境也是希望大家在评价某个部门的时候,比如上级让你去公司业务部检查一下他们的内部控制怎么样,首先建议你评价控制管理的环境如何。我后面还会强调环境方面的建设。
第二大组成部分是“风险评估”。风险评估是什么?就是你要去识别和分析那些妨碍实现经营管理目标的风险,这是风险管理决策的基础。我们搞内部控制,必须要认识风险,这和风险的定义有关系。什么叫作风险?有人说就是损失,或者有人从概念角度说是造成损失的可能性,这些都对,但是更精确、更科学、更接近本质的风险定义是什么?就是妨碍实现目标的所有因素。为什么这么说?就是我们干什么事都是要有目标,什么叫我干这件事的风险呢?就是我有哪些东西干扰我实现这个目标。我曾经举了一个很生动的例子,比如说有一个武士,他在射箭,要打中一只鸟,什么是他的风险呢?打不中是他可能的结果,怎么会影响他打不中呢?一个显然是他自己的本事,他有没有力气拉开这个弓,拉到足够满的程度。他的视力
是不是好?他是不是能够正确地判别目标所存在的位置以及他自己的经验?说到这儿,是不是风险就没了,不对。当他拉弓的时候,虽然拉的很满,但是他是顶风拉的,风力很大,影响他。天要是突然刮起了大风,乌云遮盖了整个天空,太阳没有了,看不见了,这也是风险。如果一切都非常好,但是拉弓的英雄喜爱美人,旁边过来一个美女,他分心了,也射不中。要想实现目标,各种因素都可能是风险,只要它们妨碍你达到你的目标。所以我们在讲银行风险的时候,有人总是想设定一下是信贷风险、利率风险、市场风险,其实这都是一些业务上的风险,很少有人提到人的风险,而且很少有人涉及更广泛的,凡是能够形成对银行目标实现造成影响的其他一些风险,例如员工有没有参与赌博、炒股,甚至包“二奶”等,很少有人更广泛去考虑,就是因为在风险的定义上不够准确,没有明确风险更本质的定义。在风险管理的体系框架中,COSO把目标的设定加进来,然后有一个事件的识别,有风险的评估,然后要制定风险对策。这四个方面恰恰是风险管理的主要内容,也是搞银行风险管理四个最本质的工作。
第三大组成部分是“控制活动”。你既然是搞内控,不可能不参加控制活动,使目标的实现有合理的保证。经营目标的实现需要发布一些管理指令,要采取一些防范化解风险的措施、政策、程序,像高层的检查,直接地参与管理,对信息进行加工、对实物进行控制,比如确定指标、究竟今年要完成多少利润等。特别是职责的分离,职责不分是现在银行发生重大案件的一个很普遍的原因。如果交易、记账和尾箱管理都由“一手清”,就难保不出事。内控还要针对目标相关的风险发布控制指令,各种各样的指令。
第四大组成部分存在于所有的经营管理活动中,“信息与交流”应使员工能够搜集和交换为开展经营从事管理和进行控制等活动所需要的信息。管理者应该经常评价员工的工作业绩,注意以评价监督的方式来开展工作,根据一些会计数据分析并发出一些预警信号,确保有关经营目标的实现。这个信息与交流在总行层面是最大的问题,我们各个部门分管很细,都有各自的职责,一件事现在离开哪个部门干都不行,需要协调配合。可是在咱们一些银行体系当中,协调配合能力特别差,其中的一个症结就在信息与交流上。我想法律部的人员也会有同感,说叫你去审查一个合同,把合同拿来了,以为很容易发现合同中存在的问题。有的时候送审的人员都不知道给你这个合同让你审什么。后来我们制定了合同审查表,叫“合同审查
意见申请表”,这个表让你说明送审合同的目的,你究竟让我审什么?这个合同产生的背景是什么?这里有哪些法律疑难问题需要我们法律部审查?过去有没有审过?有的人拿过来第二次审了,但没有告诉,我重审一遍。说我们法律部门解决的问题,合规方面要不要解决,是不是合规?我觉得一项法律合同首先要合规,业务不合规,谈不上跟人家签合同。这些问题都是一个配合的问题,都是一个信息交流的问题。
还有一个内容是“监督评审”,现在咱们国家已经开始重视这个问题,就是干什么事都注意监督,但是这里我所说的监督评审是评价内部控制持续操作质量的一个过程。要评价内部控制到底在你们这个部门是有效的,还是无效的?这个监督评审是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制再监督、再评价的总称。也就是说监督不仅仅是稽核、监察部门的职责,更重要的是经营管理部门自身的职责。这个概念不是一下子能认识到。过去一提到监督,肯定是监察部、稽核部它们的事,为什么我们法律与合规部要成立一个合规处?从管理的角度制定了许许多多的制度和规定执行了没有?执行的情况怎么样?我们不能不管。我相信工、农、中、建都有法律部,都有这个职责,就是管规章制度的制定和监督。我们管到这个层面是不是就够了?实践证明不够,咱们银行为什么出一大堆问题?为什么出那么多案子?哪一个流程没有规章制度?我们现在凡是发行一个新的业务,新的产品,首先是规章制度,规章制度不出台,流程不出台,不明确,这项业务就不能开展。问题就出在新的业务上。一方面规章制度跟不上需要,一方面有章不循,不执行规章制度,让稽核监察去查查,必须有人时常监督规章制度是否执行,执行有力还是不力,全面不全面,不执行、违规经营,造成的损失和问题谁来负责,如何追究责任,如何进行处罚,这一点非常重要,没有这项工作,规章制度就是形同虚设。为什么现在出现大量问题?因为你不去监督管理它,总是想着要实现利润目标,为了“短、平、快”,经常把一些规矩打破,打破这些规矩的结果产生风险。可是不注意这些风险的管理,出了问题以后,就让整个银行蒙受巨大的损失。
所以,四大目标是纵向的列,五组成部分是横向的排,和内部控制相关的工作单元或活动是第三维空间。我们随意抽出任何一个单位,我把某一列抽出来都有五大组成部分,我把横排抽出来,都和四大目标密切联系。这是一种思维方式,是我们抓内控的一种原理性的认识。
当然,巴塞尔委员会还讲要监管当局对内部控制系统进行评价。2002年央行到我们行全面检查内部控制,我们的被查部门手忙脚乱,要报这么多材料,好多东西不知道,内部控制搞什么,怎么报告,做了各种准备,迎接人民银行来检查内控。过去不够重视内部控制,非要人民银行来查才进一步重视。为什么监管当局要着重对内控进行检查和评价?不要以为商业银行都有内控的自觉性,它再有自觉性,也没有高到足够的程度。人民银行要定期不定期地查。我说的是一个挺重要的理论问题。我有一个导师是伦敦经济学院经济系的主任,他写过一篇文章叫《为什么银行需要一个中央银行》,他从信息论的角度提出商业银行有必要接受监督这个问题。巴塞尔委员会关于内部控制的第13条原则就是讲商业银行需要中央银行监督,不仅监督表内业务,甚至监督表外业务,还有新业务。凡是监管者确定某银行的内部控制系统不能充分或有效地针对银行的具体风险,监管者应当采取适当的行动。巴塞尔委员会说话是有分量的,“适当的行动”,什么行动?我们纽约分行曾经险些被停牌,让你注意你已经降到多少级,使你提高交融资成本。再不小心,我停止你经营。现在外国银行到中国来,最怕的就是中央银行,银监会也好,中央银行也好,国外有深刻体会,汇丰银行这些大银行对当地中央银行非常畏惧,中国的商业银行对人民银行的畏惧程度远远不如外国银行对人家的中央银行的畏惧性,为什么?这里反映了双方的问题,一方面商业银行自律性不强,另一方面银监会和人民银行对商业银行的监督不够得力,商业银行被罚款不够多。我们在美国一项罚数达二千万美元,这算少的。看看安然公司倒闭了以后,一些大审计公司被罚到最后倒闭。安德信是国际上最大的审计公司,就为安然事件倒闭了。人民银行实际上也对内部控制提出很多要求。我记得当时人民银行对每项业务都提出了要求,我看了看银监会对商业银行内部控制的检查评价体系基本上采纳了COSO和巴塞尔委员会提出的要求,特别强调一种内部控制的文化,这是巴塞尔委员会和COSO提出来的,这种文化体现在银行的评价制度、职责分离的要求、横向与纵向相互监督制约的机制、报告关系、轮换制和强制休假制度、授权体系,还有对分支机构的管理和控制、账目核对、监控制度、会计制度、应急制度、独立的法律合规的要求,等等。
有个问题值得探讨:合规部门如何要具备它的独立性?我在稽核部门也干过,稽核部门也存在独立性和垂直性,稽核部门比较难做,我不知道其他银行是不是这样,我在稽核部门深有体会。银行系统那些一线部门的同事总认为自己是创造利润的主要部门,在行长面前汇报工
作的时候都是一派理直气壮的样子,要是轮到监督部门和管理部门说话的时候,似乎底气不那么足。外国大银行稽核部门说到哪个部门去查你就去查。而我们还要发个通知,告诉你我两个星期或者一个月之后,要到你那里去检查什么。人家那儿有时根本不告诉你,来了把你抽屉打开,你乖乖地站在那儿看着在那儿查。我在中国银行法规部管合规,我问过人家汇丰银行、渣打银行的同行,我问他们合规权威如何,他们说都很怕合规官。因为很多重大的问题要合规官审批,批不批就在他一个签字而这些审批都是独立进行的。我经常遇到这种情况,现在强调法律与合规的重要性,动不动把你叫去开会,什么文来了让你签字。他找你签,像是尊重你又像不是尊重你,有的时候实际上想让你认可,说是还是不是,你要说是,我做了以后别找我碴儿。在我们部门工作的同志大都年轻,工作忙了,哪审得了这么多,一看既然他们都定了,我无异议,回复给人家。我心里打鼓,我最怕看到哪个经办或处长拿给我看三个字“无异议”,现在有什么事能让你一点异议没有?现在没有那么干净的事,拿到你这个法律部门审查的时候,可能是想绕一绕、拐一拐,你说无异议,那就干吧,因为无异议说明什么问题都不该有。我跟协议处说不要轻言无异议,一提无异议,就说明我这个部门对这个问题没意见,万一出个问题,吃不了兜着走。我感觉应该使银行的经营部门尊重管理部门,也要让银行的经营管理部门尊重监督人员,这是非常重要的。如果不尊重,说明这个银行内部控制有问题,起码在控制文化上有问题,他反感控制,不让你控制,想让你变着法不控制,但是他又让你签字。银行今后应该采取措施,使这些管理具有权威性、监督有权威性、稽核有权威性、法律与合规部门有权威性。现在不是都讲钱吗?考核要有正确的考核体系。
强调内控的时候也应该注意:内部控制不是万能的,内控不可能把一个本质上很坏的经营管理者变好,不可能左右政府的一些政策和计划的改变,不可能对外部竞争对手的行为和客观经济条件的变化都把握好,它有局限性。再有财务报表可靠不可靠,不是说你内控绝对能够保证的,假如支行的行长指挥着支行的会计去假造财务报表,会是什么问题?新会计法有一大修改,就是会计报表第一责任人是企业负责人,我觉得这条非常好,过去一说某个企业造了假账是会计造的,其实回过头来一检查,能有几个会计自己造假,是他的领导,他们那些厂长、党委书记让他造假,他是被迫的。
我们应该提倡依法合规经营,千万不要违规,或者明知道这个不合法,也不向法律部门说明
需要针对它进行审查,想蒙混过关,想得到法律部门的认可,得到银行老总的签字,求得一时的解脱,这要不得。
国际上内部控制的发展的趋势给了我们一些启示。
一是强调高级管理层的控制责任。首先董事会要充分理解银行的主要风险。党委,高级管理层的内控基调是不是对?看交响乐团,在准备演出的时候先请钢琴师定一下音?这就是让全团有一个基调,控制也要有一个基调。这个基调要由多级管理层确定。
二是要大力提倡和营造一种控制文化。上述的一些现象实际上就是控制文化上的问题。一方面,董事会和高级管理层要负责明确各级员工在道德上和完整性方面的高标准,人格要完整,要讲职业道德,并且在机构中要建立一种文化,向各级的人员强调和说明内部控制的重要性、合规的重要性、法律的重要性。我在工作中深感在国有商业银行的员工中,特别是在高级管理人员中,很有必要提倡道德修养,加强职业道德建设。在国有银行商业化的过程中,这方面有待改进。有的高级管理者不是把银行的利益放在第一位,而是带头把个人的权利和利益放在第一位。而银行里用人的时候不够重视他(她)们这方面的表现,不够关注群众这方面的反映,结果是在基层,甚至在总行高管人员中,不断发生重大案件。另一方面,银行所有的员工都应在内控的程序中间发挥作用,控制不只是高管人员的事,而是人人有份。上至总行,下至分理处、储蓄所,每个岗位上的人都承担特定的控制责任。有效的内部控制系统的一项实质性内容就是建立强有力的控制文化,没有这种控制文化,法律工作也不好搞,合规工作也不好搞,监督机构会形同虚设。
还有四点我要强调指出:
第一是正确理解内控和管理的关系,进一步认识内控在管理活动中的重要意义,要尽快地由领导决策层带动,动员各级员工营造良好的控制文化,按照内控的四大目标和五大组成部分,实行对经营管理中间各种风险的逐级控制,以内控为有力武器,提高经营管理水平。
第二是正确理解内控和风险管理的关系,进一步确立内控在风险管理体系中的重要地位,防止以风险评估代替内部控制。要按照上面介绍的内控原则和系统框架尽快建立起适合中国国情的内控组织结构,例如建立内部控制委员会和内部审计委员会,来加强对风险的整体研究、评估和管理控制。
第三是正确理解内控和内部审计的关系,我曾经专门发表了一篇论文,叫“正确处理内控与稽核的关系”。内控首先不是稽核监督部门的责任,而是业务的经营管理部门的工作;内控主要不是稽核监督部门的工作,而主要是经营管理部门的工作;内控的检查评价主要不是稽核监督部门的责任,而主要是经营管理部门的责任;不过,稽核监督部门对内控负有再监督、再评价的重要的职责。明确上面说的四个要点,并且在监督评审当中注意保持稽核与合规系统的独立性,加强对各种风险的识别和评估,建立和督促对控制缺陷的纠正。不要发现了一些问题,稽核报告写了,合规的报告指出了,让他纠正,下回还是出现那些问题,还是没纠正。这就表明内控失效。
第四就是内部控制应该有一套有效方法,要搞内部控制,要控制风险,必须有一套完整的系统性的操作方法。现在多数银行在做这项工作的时候,都做得比较传统,一些行领导忙于业务发展,满足于“头痛医头,脚痛医脚”,怕内控影响发展。实际上已经有一套先进的方法提了出来,我在我的那本书《公司治理与银行控制》(中国金融出版社2001年版)里介绍了一整套的方法,而且对信贷、项目评审、信贷资产的五级分类和银行行长选配等一些方面都做了一些理论联系实际的探讨。我希望总行带头规范地运用这套好方法。
(待续)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。银行风险的识别、评估与内部控制
杨海群
(接I)
二、银行内部控制的足迹
下面我把我们在中国银行抓内部控制的工作体会粗略介绍一下。我认为我们行大概经过了这么几个阶段。第一个阶段是在20世纪90年代中期以前,只有少数的领导人员和少数的稽核人员知道内部控制的概念,概念也不准确,全行控制的意识是比较薄弱的,案件不断发生。资产质量也是越来越差。在那个阶段里,银行的问题比改革以前要多。计划经济的时候,银行并没有多少案件,不像今天这样,动不动出现一个非常大的案件,每一次都要刷新记录,过去没有。就是改革之后,市场的约束没上来,计划的约束又丢了、失控了,所以资产质量就下降。
第二个阶段是推进内部控制的阶段。那是1997年5月份人民银行发布了“商业银行内部控制的指导原则”。我们总行要求制定中国银行的内部控制原则,我们抓了一个授权管理的制度规定,在人民银行的授权管理规定基础上做的。我们在1998年正式公布了内部控制原则,而且我们在那个时候就已经在中国银行正式文件中间明确了稽核要以COSO理论框架来检查和评价内控工作。对监察报送有关材料进行分析发现,我们行发生的案件绝大部分在基层。涉案人员绝大部分是基层的领导干部,大部分涉案人员又都是20多岁至30多岁的年轻人。后来我们总稽核室对总行零售业务首次进行了内控稽核检查。
第三个阶段,2000年前后我们进入一个理论探索的阶段。2000年我们组织总行两个业务部门和两个管理部门编写出版了一本书叫《中国银行信贷内控指引(贷款分册)》。这里讲一件小事,1998年的时候总行有个部门报告说内控到底由谁抓,前行长王雪冰在报告上大笔一挥:“内控只是稽核部门的工作。”我们一看不对了,我在人民银行的《稽核监督研究》上发表一篇文章《正确认识内控与稽核的关系》,实际上没点名地针对这个批示,纠正错误观点。后来我们按照人民银行的部署成立了一个信贷清分办公室,当时总行调我去同一些同事领导贷款的五级分类,我运用了COSO的内部控制理论,组织清分办公室的同志们共同编写了一套《中国银行贷款资产分类指南》,后来金融出版社出版了。
2001年中国金融出版社出版了我写的专著《公司治理与内部控制》,我首次在内部控制原理基础上提出了一套内控的比较完整的操作体系,提出了内控、风险管理和公司治理三者之间到底是什么关系。王雪冰任职期间,行里的案子特别多,也使后来的领导感觉到加强内部控制的重要性。中行的总行各个部门和分行逐步完善制度,加强内控,提了很多很好的建议,其中一个就是将法律事务部改为法律与合规部。
第四个阶段,我们进入了内控强化阶段。因为2002年5月,人民银行发布了《商业银行的内部控制指引》,进一步将内控提到一个新的高度,人民银行开展对中行各个部门的内部控制全面检查。总行法律与合规部根据行领导要求要研究内部控制,解决坏人做坏事想干干不成的问题。由于内部控制不好,到基层检查工作的时候,会感到震惊。干得成坏事很自然,
而干不成才奇怪?只要想干肯定干的成,干不成不奇怪,为什么呢?因为在一些环节上几乎没控制。你说钱箱的钥匙他拿着,库的钥匙他拿着,库里有登记簿由他登记,这样的情况他能不贪污?给他条件让他去偷,最后案子出来一检查,保卫工作的那些规定不落实。后来行领导组织了总经理级以上的干部,召开了研究会,研讨我们行强化内控建设的问题,党委中心组2004年专门组织扩大会议,叫外部律师事务所讲内控,怎么加强内部控制,让我来宣讲内部控制,又制定“中国银行进一步完善总行部门和一级机构以上领导干部教育监督的若干措施”,从高层去解决这个问题。
我们深深体会到合规工作是非常重要的。可是合规工作不是纯法律问题,实际上是银行业务的经营管理方面的问题,是一个要熟悉银行业务管理规定的问题,这就给法律部门在职能上增加了新的内容,就是不能只是从法律上审查问题。另外,合规工作人员不能只是学法律的人,银行建立了一个规矩,新员工进了银行以后,先到业务部门实习一年。合同审查的一个大问题就是应知道某个地方该不该这么做,但是如果没经验,不懂业务,就无法建议这个合同应该怎么改。这项业务这么做不行,但是怎么做更好,他会很为难。搞合规的人,应该具备什么条件呢?起码要有三五年以上银行业务工作经验。就是说搞合规的人要懂得银行业务,而且今后大量的工作涉及合规性质的问题,法律性质的工作需要把关,也很重要,但是诉讼的案件随着银行业的规范应当逐步减少下降,我们做了那么多年公司治理,做了那么多银行改革,这么强调监管,案件不应该不断上升,肯定今后的诉讼案会越来越少,非诉讼这块工作会越来越重要。当然不可能在短时间内不搞诉讼,也可以说长久下去法律方面的审查工作都是需要的、都是重要的、都是不能削弱的,但是合规会成为重点性的工作。我们是通过自己的教训意识到这点的。
在这个阶段里,由于认识上的存在问题,中国银行在抓内控工作中还存在时紧时松的现象,在忙于股份制改革时,内部控制有所松滞,产生许多漏洞,以致在以后发生了一系列大案(例如我们黑龙江分行辖内发生的震惊世界的高山事件),沉痛的教训是值得铭记的!
(待续)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。银行风险的识别、评估与内部控制
杨海群
(上接III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息
银行内部控制自我评估报告
银行内部控制自我评估报告 改进内部控制提供建设性意见,并不断促进内部控制机制的健全完善是中支管理层的责任。为了达到这个目标,中支对于国家法律法规,及内部规章制度的执行贯彻到底,对内部职能部门和人员从事的业务活动进行风险控制、制度管理和相互制约,全面促进中支的发展战略和经营目标得到实施。 目前,中支的内部控制体系对于管理监督及约束机制有着积极作用,在防范金融风险、业务及保障管理体系的稳步运行方面也有着有效性。为全面提升风险防范能力、管理运行效率、完善运作规范,自7月中下旬开始,中支根据《内部控制自我评估制度》有关要求,结合中支实际,积极开展内部控制自我评估。现对内部控制体系建设下的货币信贷、外汇管理、人员管理情况进行阐述与评价:内部控制自我评估是监督和评估内部控制的主要工具,是有效实施人民银行内部控制的重要手段。通过内部控制自我评估在人民银行的运用情况,在总结研究人民银行开展内部控制自我评估实践的基础上,内部控制自我评估在经济活动中能更恰当的进行人员管理,对员工的经济活动进行组织、制约、考核和调节起到重要作用。从风险管理的角度来说,内部控制自我评估体系可以及时发现并防范内部控制中存在的问题和执行中发现的漏洞,确保内部控制机制的良好运行,有效降低控制风险。另外,通过督促使其建立健全内部控制制度,可以严格落实岗位
责任制,规范业务操作,防范各类资金风险,有效地促进基层央行内部控制机制的建设。 不过基于内部控制存在着固有局限性,因此仅能对上述目标提供合理保证。 对于已建立的内部控制制度有以下几个方面的考虑: 一.控制目标 做为被国家赋予制定及执行货币政策,并能对国民经济进行宏观调控且对金融机构乃至金融业进行监督管理的特殊的金融机构,中央银行担负着控制国家货币供给、监管金融体系(特别是商业银行和其他储蓄机构)、为政府筹集资金、代表政府参加国际金融组织和各种国际金融活动的重要责任。中央银行所从事的业务与其他金融机构所从事的业务的根本区别在于,中央银行所从事的业务不是为了营利,而是为实现国家宏观经济目标服务,这是由中央银行所处的地位和性质决定的。 为确保上述目标的实现,按照监管要求和内部控制的需要,中支确立了构建以先进的内部控制文化为基础,以准确的风险识别和完备的监测评估体系为前提,以健全的内部控制制度和严密的控制措施为核心,以严格的审计监督和客观的评价体系为保障,以强大的信息系统和通畅的沟通交流渠道为依托的内部控制体系。
内部控制风险评估报告
内部控制风险评估报告 下文是关于内部控制风险评估报告的相关内容,希望对 你有一定的帮助,欢迎阅读参考学习! 内部控制风险评估报告:摘要:由于市场结构逐渐趋于复杂化,竞争逐渐提高,使得目前事业单位的内部控制以 及风险持续加强,甚至会出现危机。内部控制属于强化风险 管理,是用于规范管理行为的主要保护措施。事业单位因其 性质较为特殊,使得完善内部控制以及强化风险管理更加具 有意义。关键词:事业单位内部控制风险管理 事业单位内部控制是为了更好的保护、防范以及控制财 务风险,提升资金的使用率,以此更好的对事业单位内部控 制进行编排。由于事业单位的快速发展,筹资渠道逐渐丰富,出现了内部控制的需求,可是其内部依旧具有资产管理紊乱、 预算管理随意、对外投资盲从、财务监管不当等内部不完善 的现象,使得需要面对较大的财务风险。在这样的状况下, 财政部颁布了《行政事业单位内部控制规范(试行)》,并在XX年1月1日开始实施,如何可以让事业单位能够有意识的 进行实施,成为了事业单位急需处理的问题。 一、事业单位内部控制内涵 (一)事业单位内部控制定义和特点 事业单位内部控制就是指为了实现事业单位的管理目 标,将财政部门预算管理当做主线,透过制定并进行科学合
理的控制程序以及方法,面对事业单位财务会计管理风险采 取有效识别、监督和控制的机制。 从理论角度来讲,内部控制属于一个持续发展并完善的 过程,而且处在组织经营管理活动的整体过程当中,而事业 单位的内部控制体系就是在这样的管理活动当中创建起来 的,是通过内部管理人员一步一步总结和完善才构成的自行 调整以及自我监督的体系,主要包含了四个方面: 首先,控制环境。控制环境指的是组织实施内部控制的 基础,通常包含了治理结构、机构设置以及权责分配、人力 资源政策、内部审计等等。 其次,风险评估。风险评估值的是组织和识别以及系统 分析经营活动里同实现内部控制目标有关的风险,积极制定 有效的风险应对措施。 再次,信息沟通。信息和沟通属于组织正确、及时的采纳、传递同内部控制有关的信息,保障信息在组织内部以及 外部之间获得有效的沟通。 内部控制风险评估报告(二):第一节行政事业单位的风险 风险是指组织在未来经营中面临的、可能影响其经营目 标实现的所有不确定性。 风险又分为固有风险和剩余风险。固有风险是指在管理 当局未采取任何措施的情况下组织所面临的风险;而剩余风
商业银行内部控制指引
商业银行内部控制指引 第一章总则 第一条为促进商业银行建立和健全内部控制,有效防范风险,保障银行体系安全稳健运行,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。 第二条中华人民共和国境内依法设立的商业银行适用本指引。 第三条内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。 第四条商业银行内部控制的目标: (一)保证国家有关法律法规及规章的贯彻执行。 (二)保证商业银行发展战略和经营目标的实现。 (三)保证商业银行风险管理的有效性。 (四)保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。 第五条商业银行内部控制应当遵循以下基本原则: (一)全覆盖原则。商业银行内部控制应当贯穿决策、执行和监督全过程,覆盖各项业务流程和管理活动,覆盖所有的部门、岗位和人员。 (二)制衡性原则。商业银行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制。 (三)审慎性原则。商业银行内部控制应当坚持风险为本、审慎经营的理念,设立机构或开办业务均应坚持内控优先。 (四)相匹配原则。商业银行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应,并根据情况变化及时进行调整。 第六条商业银行应当建立健全内部控制体系,明确内部控制职责,完善内部控制措施, 强化内部控制保障,持续开展内部控制评价和监督。[1-2] 第二章内部控制职责 第七条商业银行应当建立由董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门组成的分工合理、职责明确、报告关系清晰的内部控制治理和组织架构。 第八条董事会负责保证商业银行建立并实施充分有效的内部控制体系,保证商业银行在法律和政策框架内审慎经营;负责明确设定可接受的风险水平,保证高级管理层采取必要 的风险控制措施;负责监督高级管理层对内部控制体系的充分性与有效性进行监测和评估。 第九条监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会、高级管理层及其成员履行内部控制职责。 第十条高级管理层负责执行董事会决策;负责根据董事会确定的可接受的风险水平,制定系统化的制
最新商业银行操作风险评估
商业银行操作风险评 估
商业银行操作风险评估 ——基于EVT理论的CVaR模型* 摘要:近年来,操作风险的衡量呈现出模型化的趋势,本文通过极值理论(EVT)来构建操作风险的条件风险价值(CVaR)模型,以此来度量商业银行小概率,大损失特点的操作风险。并认为操作风险模型化的趋势应与加强操作风险管理有机结合起来。 关键词:操作风险;风险价值(VaR);条件风险价值(CVaR);极值理论(EVT) 中图分类号:F830.33 文献标识码:A 一、引言 随着金融衍生产品的不断创新,金融业电子化潮流和金融业的全球化竞争,各金融机构面临的操作风险呈不断上升的趋势。巴塞尔委员会(巴塞尔,2001)给出的一个关于操作风险的定义认为操作风险是“源于内部程序不完善、人为失误、系统故障或是外部事件所引发的直接或间接损失的风险”。目前,风险管理者们相信金融机构面临的风险中大约有30%来自操作风险。尽管如此,人们在数量方法度量这类风险方面所作的工作仍显得不足。 在操作风险的度量上,新巴塞尔资本协议给出了从简单到复杂的三种方法,即基本指标法、标准法和内部度量法。并提出银行最终可通过估计操作风险的 *本文得到了江苏省教育厅高校哲学社会科学基金(06SJB790025)和江苏省科技厅软科学项目 (BR2006505)的资助。
损失分布,采用方法估计和确定资本要求,使对监管资本的计算更加精确。尽管 VaR 和 CVaR 提出以后,有不少的计算方法出现,但它们都有各自的缺陷。因为几乎所有的传统方法采用的观测值都集中在分布中部,实际上,分布尾部才是VaR 和 CVaR 计算所最关心的。分布在尾部的点都是一些极少发生又具有显著影响的观测值,或者称为极值,而极值理论正是对这些极值提供统计分析的模型。 二、VaR 与CVaR 概述 2.1 VaR 的定义 VaR 是一种用规范的统计技术来全面综合地衡量风险的方法, 较其它主观 性、艺术性较强的传统风险管理方法能够更加准确地反映金融机构面临的风险状况,大大增加了风险管理系统的科学性。VaR 方法是用概率统计原理估计金融风险的方法,其英文全称是 Value-at-risk ,一般译为“风险价值”。其含义是指在未来一定时期内,在给定的概率置信水平α(通常比较大,一般在0.95~1之间)下,任何一种金融工具或投资组合所面临的潜在的最大损失。其数学定义为: ()()t P X VaR αα≤= 其中X 为某项金融资产在时刻 t 的负对数回报,当为正代表损失,为负时代表收益。置信水平为α(>0.9)。这样当我们已知损失的分布时, ()1 x VaR F αα-=- 1 x F -是x F 的反函数。VaR 关心市场风险,它是金融头寸风险的一种度量, 此度量用来评估或被管理委员会用来设置资本保证金,VaR 保证金融机构在一次灾难性的事件后不致于破产。 2.2 CVaR 的定义
银行股份有限公司年度内部控制评价报告
ⅩⅩ银行股份有限公司年度内部控制评价报告 ⅩⅩ银行股份有限公司全体股东: 根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称企业内部控制规范体系),结合本公司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司ⅩⅩ年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。 一.重要声明 按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。 公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。 二.内部控制评价结论 公司于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷 □是V否 财务报告内部控制评价结论 V有效□无效 根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内 持了有效的财务报告内部控制。 是否发现非财务报告内部控制重大缺陷 □是V否 根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告
内部控制及控制风险评价
内部控制及控制风险评价 一、大纲 (-)内部操纵目标与要素 (二)了解与记录内部操纵 (三)内部操纵测试 (四)内部操纵评判 (五)治理建议书 二、本章重点、难点 注册会计师编制审计打算时,应当研究与评判被审计单位的内部操纵。对拟信任的内部操纵进行符合性测试,据以确定对实质性测试的性质、时刻和范畴的阻碍。 (-)内部操纵目标与要素 1.内部操纵定义 被审计单位为了保证业务活动的有效进行,爱护资产的安全和完整,防止、发觉、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。 2.内部操纵的目标。 (1)保证业务活动按照進肖白?勺投权进行;
(2)保证所有交易和事项以正确的金额,在恰当的会 计期间及时记录于适当的账户,使会计报表的编制符合会 ? ? ? ? 计准则的相关要求; (3)保证对资产却垃录旳援触、处理均通过适当的授 权; (4)保证飓两资产与实存资产定期核对相符。 3?有关内部操纵的一样考虑。 ①治理当局的责任 建立、修正和爱护公司的各项操纵,并监督操纵政策和程序得到连续有效的执行是治理当局的责任。 ②合理的保证 A公司治理当局应在综合考虑操纵的成本效益的基础 ? ? ? ? 上,建立能为公司会计报表的公允表达提供合理保证的内 ? ? 部操纵。 B操纵程序不应对工作效率或获利能力有不利阻碍。 ③固有的限制 由于②和③,会计报表审计总存在一定的操纵风险, 操纵风险始终应大于零。因此不管内控如何,都要进行实质性测试。 4?了解内部操纵与审计的关系
(1)不论被审计单位规模大小,都要充分了解相关的内控; (2)依照了解,确定是否进行符合性测试及符合性测 试的时刻、性质和范畴; (3)内控良好,绝不能完全取消实质性测试程序。 5.内部操纵要素 (1)操纵环境 ①指对企业内部操纵的建立和实施有重大阻碍的因素的总称。 ②其好坏直截了当决定着企业其他操纵能否实施或实施的成效;可增强也可削弱特定操纵的有效性。 ③反映了治理当局和董事会关于操纵对公司重要性的态度。 ④内容包括: A经营治理的观念、方式和风格 B组织结构 C董事会 D授权和分配责任的方法 E治理操纵方法 F内部审计
对“银行内控监管”的几点认识
对“银行内控监管”的几点认识 所谓“银行内控监管”,是指国家银行监管部门对商业银行等机构的内部控制建设情况进行的监管活动,包括检查、评估、劝告、处罚等。 一、实施内控监管,是提高监管效率的现实需要 效率是指以资源的合理配置实现产品和社会福利的最大化。在银行监管领域,监管效率的提高表现为在一定的成本投入条件下,创造出较大的监管效益(即银行风险的不断降低)。在一定时期内,作为监管资源的人是有限的,因此,提高监管效率的根本途径是改进监管手段。以往,对银行风险的监管多采用“人海”战术,就事论事,虽然解决了一些问题,但很少触及问题之根本,以致问题层出不穷、监管部门应接不暇。实践表明,目前我国银行机构的风险多为操作风险,因此,降低风险的关键在于规范操作。银行内部控制的目标之一是确保风险管理体系的有效性,从一定意义上讲,抓住了“内控”,就是抓住了风险管理的根本,监管效率由此可以大为提高。 二、实施内控监管,是督促银行建立现代企业制度的重要手段 我国《商业银行法》第二条规定,商业银行是依照《公司法》设立的企业法人。建立现代企业制度是银行作为企业法人的内在要求,
而“管理科学”是现代企业制度的标志之一,故商业银行必须是管理科学的企业法人。管理科学表现为多个方面,如科学的决策机制、科学的监督机制等,由于以下原因,科学的管理理念与机制仅靠银行的“内生”存在一定困难:一是制度安排不配套。例如,有效的监督是以产权明晰为基础的,只有产权明晰,监督才有动力,而目前有些领域仍存在产权不清的现象;二是社会环境不具备。从本质上讲,管理科学是法治社会环境的产物,而我国确立“依法治国”的历史较短,法治观念远未深入人心。因此,要使商业银行尽快确立现代企业制度,必须依靠外部力量,其中包括银行监管部门实施的“内控监管”。 三、实施内控监管,必须更新具体的监管方式 对商业银行的“内控监管”虽然已进行了几年,但其效果值得探讨。为提高“内控监管”的有效性,必须更新现行的监管方式。 第一,变软约束为硬约束。按照《商业银行内部控制指引》的规定,中国人民银行对商业银行内部控制的评价结果仅是风险评估的重要内容和市场准入管理的重要依据。笔者认为,这不足以引起商业银行对“内控监管”的重视,不利于监管效能的发挥。应当建立“内控监管”的硬约束机制,对于检查中发现的内控方面的问题,监管机构应要求商业银行在一定期限内予以整改(劝告),并反馈整改情况;如不整改,可视情节轻重,给予行政处罚。规定行政处罚手段,可以确
商业银行信用风险评估
商业银行信用风险评估 结合本文分析了商业银行内部信用风险评估体系在银行风险管理的地位和作用,内容摘要:对如何完善和发展内蒙古商业银行,我国商业银行在信用风险评估方法上存在的问题和现状的内部信用风险评估体系提出了几点建议。国内银行业面临着参与国际随着我国金融体制改革步伐的加快和金融业开放程度的提高, 我国商业银行必须借鉴国际上先进的信用风险管理在金融全球化的新形势下,竞争的挑战。经验,强化信用风险管理,开发适用的信用风险管理模型,适应《巴赛尔协议》新框架的需银行融资仍将是企业筹措资金的在今后很长一段时期,要。我国处于经济发展的初期阶段,深入研究我国商业银行银行体系面临的风险将是我国金融风险的主要构成因素。主要方式,从全局不仅是商业银行作为微观金融主体进行内部管理的自主行为,的信用风险管理问题,股市引发货币危机、上看也是防范商业银行的信用风险导致银行信用体系和支付体系崩溃,下面仅就如何构建商行内部信用风险管理评估体系谈谈自己的一点暴跌和金融危机的需要。浅见,仅供交流和探讨。风险管理信用风险关键字:内蒙古商业银行 一、引言次系统性银行危机。个国家先后爆发了112世纪初,全球有70年代末到2193自20 世纪年美国利率风暴年美国股市崩盘、1994尤其90年代以来频频爆发的金融危机——如198720071998年俄罗斯政府违约事件,特别是及中南美洲比索风暴、1997年亚洲金融危机、影响程度之大,年的全球金融风暴,波及范围之广,年春季开始的次贷危机最终演变为2008对全它们不仅使一国多年的经济发展成果毁于一旦,还危机到一国的经济稳定,史无前例。近年随着巴林银行和雷曼兄弟的倒闭让人们愈加的认识到银行球经济也产生了强大的冲击。信用风险管理的重要性。二、我国商业银行业信用风险评估方法现状分析 目前我国的信用分析和评估技术仍处于传统的比率分析阶段。银行机构主要使用计算贷款风险度的方法进行信用风险评估。信用风险的分析仍然是以单一投资项目、贷款和证券为主,衍生工具、表外资产的信用风险以及信用集中风险的评估尚属空白,更没有集多种技术于一体的动态量化的信用风险管理技术。其主要表现在以下几个方面: (一)信用风险衡量采用专家制度。我国商业银行信用风险衡量大多采用专家制度。但专家制度存在一定的缺陷和不足,在实际运用中没有引起重视。如专门信用分析人员不足、实施效果很不稳定、银行应对市场变化的能力较低、银行在贷款组合方面过度集中的问题进一步加剧等。 (二)信用风险评估中定量分析不够。从信用风险的识别、衡量方面看,我国商业银行信用风险管理定性分析多,定量分析少(尽管已经使用了一些定量分析方法,但仍存在着不完善的地方);静态分析多,动态分析少;局部分析多,全局分析少。以企业信用评级为例,从评级要素的设计看,多侧重财务指标分析(总分值达三十分以上),而忽略了财务信息的质量问题。众所周知我国企业财务信息质量不高已是不争的事实;忽视了企业发展前景在信用评级中的作用,如企业所在行业发展状况、市场预期状况仅占1分,这样得出的评级结果更多反映的是企业过去和现在的信用状况,而未能反映企业未来的资信质量。从评级时间看,对企业的信用评级每年进行一次,不利于银行及时了解企业的信用等级变化,不能为风险管理提供动态的信息。再从国内银行对贷款的风险度测量方法看,一个最主要的问题就是贷款风险度涉及因素的选择和风险系数的确定很大程度上受到主观因素的影响。贷款风险度是否受到或仅受到企业信用等级、贷款方式的影响,有实证研究结果表明,中国的商业银行资产质量与抵押、担保贷款风险系数确定的依据是这意味着贷款方式与贷款风险度并无直接关系。, 率无直接线性关系 什么?这些问题由于未得到解决,导致了贷款风险度的测量并不能真正反映贷款信用风险水平。此外,我国商业银行贷款风险度的测量关注的是某一笔贷款的信用风险,并没有从组合管理的角度对信用风险进行测定。一笔贷款对贷款组合的信用风险贡献度,即边际信用风险为多少?各笔贷款之间的风险度相关性如何?这些问题在贷款风险度的测量方法中都没有加以解决。
银行分行内部控制评价
XX银行分行内部控制评价 第一章总则 第一条内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制,是公司治理机制的重要组成部分,是控制风险、杜绝违规、防范案件的重要手段,为进一步健全内部控制机制,加强内控评价工作,建立一个以风险为导向、以控制为目的的内控评价体系,科学、有效、全面、客观的对被审计对象内部控制状况进行评估,保证银行安全稳健运行、健康有序发展,根据银监会《商业银行内部控制评价试行办法》、《内部控制指引》,特制定本内部控制评价办法。 第二条商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。包括对控制环境、风险评估、控制活动、信息与交流、监督与评审等体系要素的评价。 第三条XX分行及其辖属机构的内部控制评价工作由XX分行监察稽核部具体组织实施。 第四条本评价办法主要适用于XX分行监察稽核部开展的常规稽核项目中的内部控制评价环节。其他机构、部门自行开展的内控评价工作亦可参考本办法施行。
第五条由于监察稽核部开展的稽核检查工作规定了检查所覆盖的时间范围且仅局限于业务抽查,因此使用本评价办法得出的内部控制评价等级仅代表被评价机构在表明的稽核检查范围内的内部控制状况,除监察稽核部稽核检查范围之外所发生的案件或重大违规问题,监察稽核部不负责任。 第六条内部控制评价人员应接受有关内部控制评价知识和技能的培训,具备相应的资质和能力,原则上由实施该常规稽核项目的组长组织,由该常规稽核组成员具体执行。评价结果经稽核项目评审委员会审查后记入常规稽核报告。 第二章评价目标和原则 第七条内部控制评价的目标主要包括: (一)促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。 (二)促进商业银行提高风险管理水平,保证其发展战略和经营目标的实现。 (三)促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。 (四)促进商业银行各级管理者和员工强化内部控制意识,严格贯彻落实各项控制措施,确保内部控制体系得到有效运行。 (五)促进商业银行在出现业务创新、机构重组及新设等重大变化时,及时有效地评估和控制可能出现的风险。
某银行内控自评价报告
某银行内控自评价报告 某银行年度内部控制 自我评价情况的报告 根据*****要求,我行组织开展了年度内部控制自我评价工作,现将有关情况报告如下: 一、本年度内部控制评价工作的总体情况 (一)内部控制管理的主要措施及成效 我行各项工作紧密围绕构建“大风险、大内控”管理体系目标开展,积极培育“内控促发展,合规创价值”理念,内部控制各道防线职责更加明晰,制度体系和业务流程持续优化,信息系统管控能力日益提升,全面风险管理治理架构日趋完善,内部审计监督力度显著增强,内部控制水平进一步提高。 1.完善内控管理架构和责任机制 通过全行业务流程和管理模式优化调整,实现了“管办分离”,进一步完善了内控管理架构。各级机构与部门主要负责人为内部控制“第一责任人”,同时,在分支机构设立风险总监,协助推动风险管理工作,促进风险防范与业务经营的紧密结合;在营业部设立风险合规处,在总行各部门、各分支机构、销售中心设立内控合规岗,确保风险管理和内部控制不留死角。
通过“定岗定员定编”,将内控责任与管理权限、岗位责任有机结合,切实传导落实至各机构、各部门和各岗位,打造尽职履责、共同协作的内控责任机制。 2.加强内控制度体系建设 下发了内控体系建设三年规划和内控框架手册,组织起草了个人业务标准化流程手册,推动内控制度框架体系建设和标准化建设;制定了《全面风险管理办法》、《操作风险管理办法》、《流动性风险管理办法》、《信息科技风险管理办法》、《业务连续性管理办法》、《重大风险和突发事件报告管理办法》、《员工从业禁止规定》、《员工行为排查办法》等15项基础制度,搭建了内部控制管理制度框架。 3.大力倡导内控合规文化 围绕“内控促发展,合规创价值”的基本理念,在全行范围内组织开展了“内控合规文化宣传活动”;围绕行领导“树立和深化全面风险管理理念”、“倡导风险防控文化、将业务做优做强”等要求,制定了全面落实方案,努力营造“全行讲风险、全员懂风险、全面管风险、全流程控制风险”的文化氛围。 4.加强数据质量管理 我行董事会及高管层高度重视数据质量管理和监管统计工 2
我国商业银行内部控制
我国商业银行内部控制 摘要:现代社会商业银行的发展相当迅速,并且商业银行的发展直接关系到一个国家的经济发展水平。目前我国商业银行的发展存在许多薄弱环节,文章在对商业银行内部控制的现状和不足进行了简要分析,提出了商业银行提升内部控制有效性的对策建议。 关键词: 商业银行会计内控制度 一、商业银行内部控制的含义 内部控制是一个机构内部为达到一定的经营目的,通过有效的制度、方法和程序,对各个部门、各类人员、各种业务进行的动态管理活动。商业银行内部控制的定义是指商业银行为实现经营目标,通过制定和实施一系列的制度、程序和方法,对风险进行事前防范、事中控制和事后监督和纠正的动态过程和机制。 二、我国商业银行内部控制的现状 (一)商业银行内部控制的现状 当前,在国家深化金融体制改革的大背景下,商业银行也正进行着自己的改革,研究发现,当前我国商业银行内部控制的现状有以下几个方面的缺陷: 1、外部的竞争压力导致经营风险增大 随着金融市场的不断对外开放,我国商业银行面临的竞争越来越激烈,风险也就相应的越来越复杂多样。一些地方性商业银行受利益的驱动,重业务发展,轻内部控制,从而导致内部控制制度执行不力。 2、业务操作层面的事故难以杜绝 操作性风险是指商业银行内部业务处理人员在办理业务时,因业务数量、强度及对业务的熟练程度等因素而导致的在内部控制环节所产生的风险。诸如金额输入错误、存取颠倒、卡或者存折的跳号使用等,均属于业务操作方面的风险。一般来说,以上这种错误在日常工作中难免出现,但是,倘若经常性的出现,就应该是银行内部员工风险防范意识方面的问题了,就应该从内部控制环节寻找原因。 3、内部控制制度的建设滞后于业务发展 银行正常运作的内部控制制度,同样应该引起我们重视。在现实情况中,倘若银行准备开发一项新业务,银行高层人员往往先想到的是这项业务能够给银行带来多少利润,而不是这项业务背后存在着那样的风险点,从而减缓了内部控制制度建设的步伐。 (二)内部控制制度建设存在缺陷 1.制度建设不健全。 当前,商业银行新的金融产品和服务层出不穷,但制度制定未跟上业务发
商业银行理财客户风险评估问卷基本模版.doc
《商业银行理财客户风险评估问卷基本模版》编写说明 本次编制的《商业银行理财客户风险评估问卷基本模版》遵照 银监会的相关规定,结合各行实际情况,并综合考虑了客户使用的 易读性与便利性等因素,涵盖了客户财务状况、投资经验、投资风 格、投资目标和风险承受能力五大模块,对应 10 道问题; 10 道问题最高为 100 分,五个模块权重各占 20%;分值越高表示客户可承受的风险越高,依照客户风险承受能力由低到高(对应得分由低到高),客户依次被划分为保守型、稳健型、平衡型、成长型和进取型 五个类型,《商业银行理财客户风险评估问卷基本模版》依次列出了每一等级客户适合的产品类型。 根据各行实际,考虑操作可行性与客户便利性,建议评估有效 期限为一年,即每年重新对客户进行一次风险评估。 一、客户财务状况 该模块主要测试客户的财务状况:包含客户年龄、家庭年收入、 可用于投资的收入比例等内容。年龄位于 31-50 岁之间,家庭年收入较高、可用于投资的收入比例越高的客户,财务状况较为理想。 对应题目为: 1、2、3 对应分值合计为:20 二、客户投资经验 本部分主要测试客户的投资经验:通过客户从事风险投资(股 票、基金、外汇、金融衍生品等)的年限以及此前所投资产品的类
别和比例来判断客户的投资经验。客户从事风险投资的年限越长, 投资产品的种类越广,风险投资品所占比例越高的,投资经验越丰富。 对应题目为: 4.5 对应分值合计为:20 三、客户投资风格 本部分主要反映客户的的风险偏好:通过测试客户对产品可能出现亏损的容忍度、对投资收益的预期以及对不同收益方式的选择,反映出客户的风险偏好。 对应题目为: 6.7 对应分值合计为:20 四、投资目标 本部分主要测评客户的投资目标:包括客户对产品流动性的要 求以及预计投资周期等内容。 对应题目为: 8、9 对应分值合计为:20 五、客户风险承受能力 本部分通过测评客户可接受的投资亏损上限来直接测评客户的 风险承受能力。 对应题目为: 10 对应分值合计为:20 此次编订的《商业银行理财客户风险评估问卷基本模版》是中
银行内部控制评价办法
银行内部控制评价办法 第一章总则 第一条为规范和加强对银行内部控制的评价,督促其进一步建立内部控制体系,健全内部控制机制,保证本行安全稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本办法。 第二条本行内部控制评价是指对本行内部控制体系建设、实施和运行结果独立开展的调查、评估、测试和分析的系统性活动。内部控制评价包括过程评价与结果评价。过程评价侧重对内部控制过程的充分性、合规性、有效性、适宜性的评价,结果评价是对内部控制主要目标实现程度的评价。 第三条本行内部控制体系是本行为实现经营管理目标,通过制定和实施系统化的政策、程序和方案,对风险进行识别、评估、控制、监测和改进的动态过程和机制,由内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五个相互关联、相互作用的过程构成。 第四条本行建立并保持系统的、透明的、文件化的内部控制体系,将内部控制活动与业务经营管理活动紧密地结合起来;定期或在有关法律法规和其他经营环境发生重大变化时,对内部控制体系进行评审和改进。 第五条本行内部控制评价由内审部门与合规部门组织实施。 第六条本行内部控制评价人员应经过有关内部控制评价知识和技能的培训,具备相应的资质和能力。 第二章内部控制评价目标和原则 第七条本行内部控制评价的目标是通过评价本行内部控制体系的充分性、合规性、有效性和适宜性,促使本行切实加强内部控制体系的建设并认真执行。具体评价目标如下: 促进本行严格遵守国家法律法规、银监会的监管要求和本行审慎经营原则; (二)促进本行提高风险管理水平,保证其发展战略和经营目标的 1
内部控制风险评估报告
风险评估报告 内部控制建设领导小组: 根据财政部《行政事业单位内部控制规范(试行)》和我局《内部控制手册》和《内部控制管理制度实测》的有关规定,我们组织开展了对我局各科室的风险评估工作,现将结果报告如下: 一、风险评估活动组织情况 (一)工作机制 本次风险评估活动,是在我局内部控制工作领导小组的领导下,由风险评估小组具体组织实施。为顺利完成风险评估工作,经局领导同意,财务科从各科室抽调相关工作人员组成内风险评估小组,专门从事此次风险评估活动。 (二)风险评估范围 1、单位层面风险 单位层面风险主要包括组织架构风险、经济决策风险及关键岗位人员风险、会计体系风险、信息系统风险等。 (1)组织架构风险:内部机构设置不合理、部门职责不清晰、内部控制管理机制不健全等情况导致的风险。 (2)经济决策风险:经济活动决策机制不科学,决策程序不合理或未执行等情况导致的风险。 (3)关键岗位人员风险:岗位职责不明确、关键岗位胜任能力不足等情况导致的风险。
(4)会计体系风险:会计机构和岗位设置不健全、会计制度不完善、会计业务处理不合规等情况导致的风险。 (5)信息系统风险。信息系统的选型不科学、日常维护不及时、输入系统数据不准确和不完整等情况导致的风险。 2、业务层面风险 经济活动业务层面的风险主要包括预算管理风险、收支管理风险、政府采购管理风险、资产管理风险、建设项目管理风险、合同管理风险以及其他风险。 (三)风险评估的程序和方法 1、风险评估程序 (1)风险评估工作由财务科牵头组织,风险评估小组根据经内部控制建设领导小组、局长办公会审批通过的本年度风险评估工作计划具体实施风险评估工作。 (2)各科室按负责风险信息收集、风险识别和科室内部评估并提出相应的风险应对策略建议。 (3)风险评估小组负责对风险评估过程中出现的各类问题进行解释与指导,确保各科室及时完成本科室的风险评估工作。风险评估小组完成对科室风险评估结果的汇总整理并形成单位年度风险评估工作报告草案。 (4)风险评估小组各成员应对风险评估工作报告草案认真分析研究,并以召开会议的形式对报告草案提出正式审议意见,审议不通过的由责任部门重新修订后再次报审,审议通过的应当出具会议决议,提请内部控制建
银行内控与案件防控工作自评报告
银行内控与案件防控工作自评报告 银监局: 根据银监会(ⅩⅩ)207号关于银行业金融机构案件防控工作考核评价办法的通知精神,我行党委高度重视,为了认真落实好此项工作,即时召开了党委会、行务会认真学习考评办法,研究制定我行考评方案,布置我行考评工作。现将我行内控与案件防控自评情况报告如下: 一、制度建立健全情况评价:为了认真落实银监会、上级行案件防控的指示精神,近年来,我行党委高度重视案件防控工作。一是成立了案件防控工作领导小组,行长任组长、副行长任副组长,相关部室主要负责人为成员。为了将此项工作落实好,市分行还制定了“风险防范五个机制”、“条线管理办法”、“首问问责制”、“违规积分实施意见”等相关制度,并以此制度加强了对行内各项管理及监督。 一年来,为了实现我行安全经营,行党委始终把案件防控工作视作经营管理战略的重要组成部分和全行的重点工作进行规划、安排;在履行农发行职能上始终将风险控制、规范操作和案件防控作为重要抓手,蓬会必讲。一是行长和各支行、部主要负麦人签订案件防控责任状,并层层落实,市分行行长与各行、部,以及与市分行机关主要负责人共签订责任状21份,将案件防控的责任以及激励、问责纳入制
度管理。各行、部也对照制度要求,并结合各地实际制定和完善了科学、实际、和目标明确、可操作性强的规章制度7件。我行的案件防控工作不仅做到了年初规划,而且还重点落实在平时,市、县两级行每月都会在业务分析会上把风险控制和案件防控作为重点进行强调和排查,强化了案件防控一票否决,真正做到了将案防工作和业务工作同研究、同布署、同检查、同考核。由于我行党委高度重视风险防范和案件防控,近年来我行的各项业务得到了又好又快的发展,实现了“四无”工作目标,全市农发行连续三年没出现不良贷款和金融案件。从以上工作内容和案件防控实际效果看,我行案件防控的自评结果为满意。 二、案件防控工作质量评价。 近年来,由于我行党委在风险防范和案件防控上高度重视,全体员工在业务操作上能做到严格规范履职,所以我行没有出现一件案件。仅管如此,但是为了保证案防工作质量,我行在案件防控基础工作上能够主动工作,因此有效地从主观上加大了案件防控力度。一是开展了全员法纪警示教育,通过视频学习、案件警示片的方式,全行189人均受到了教育,案件防控意识普遍增强。二是开展了廉洁从业承诺制,全行189人分财会和信贷两个口径的廉洁内容,向社会和开户企签定了廉承诺,承诺率达到了应签尽签,公开欢迎社会各界对我行工作人员的工作加强监督,有力的增强了行内员
银行内控合规管理指引(试行) 模版
银行内控合规管理指引(试行) 根据《商业银行内部控制指引》、《商业银行合规风险管理指引》和总行内控合规工作要求,制定本指引。 第一章总则 第一条省营业部、二级和省所有部门适用本指引。 第二条本指引所称法律、规则、准则和制度,是指适用于银行经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守,以及银行内部各级行制定的各类业务制度。 第三条本指引所称合规,是指全省各级银行的经营活动与法律、规则、准则和制度相一致。 本指引所称合规管理包括全省各级银行的内控合规管理和合规监督管理,统筹管理全行合规风险、操作风险和其他风险。内控合规管理,是指通过制定和实施系统化的制度、流程和方法,实现全行经营活动与法律、规则、准则和制度相一致的动态过程和机制;合规监督管理,是指监督管理全行经营活动与法律、规则、准则和制度相一致的动态过程和管理活动。
第四条本指引所称合规部,是省、省营业部和二级内部设立的专门负责合规监督管理职能的部门;内控合规管理部门(以下称合规主体部门),是省、省营业部和二级内部设立的除合规部之外的各业务、管理和保障部门,各部门和全体员工都是参与内控合规管理的主体。 第五条全行合规管理目标:建立确保全行经营合规的合规管理体系。近期目标:全面遏制违规问题屡查屡犯的普遍现象,尽快提高全合规经营的能力和员工的合规素养。第六条全行合规管理工作重点,是建立三大工作体系:(1)建立以经营理念为基础的合规文化体系; (2)建立以经营活动合规为中心的内控合规体系; (3)建立以合规监督全覆盖为重点的合规风险防控体系。 第七条全行合规管理工作任务,是探索完善四方面工作机制: (1)内容丰富、形式多样、多渠道的合规文化机 制; (2)内控有效的经营活动内控工作机制; (3)合理介入的有效合规监督工作机制;
内控风险评估报告
【经典资料,WORD文档,可编辑修改】 【经典考试资料,答案附后,看后必过,WORD文档,可修改】 兴业银行股份有限公司董事会 关于2011年度内部控制的自我评估报告 兴业银行股份有限公司(以下简称“公司”或“本公司”)董事会及全体董 事保证本报告内容没有任何虚假记载、误导性陈述或者重大遗漏,并对报告内容 的真实性、准确性和完整性承担个别及连带责任。 建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立与 实施内部控制进行监督;高级管理层负责组织领导公司内部控制的日常运行。 公司内部控制的目标是:确保国家法律法规和公司内部规章制度的贯彻执 行;确保公司发展战略和经营目标的全面实施和充分实现;确保公司风险管理体 系的有效性;确保公司业务记录、财务信息和其他管理信息的及时、真实和完整;确保公司资产安全。 由于内部控制存在固有局限性,故仅能对实现上述目标提供合理保证。 一、内部控制评估工作基本情况 (一)内部控制评估依据 报告期内,本公司遵照财政部等五部委出台的《企业内部控制基本规范》及配套指引,按照《商业银行内部控制指引》、《上海证券交易所上市公司 内部控制指引》等有关规定,组织本公司所有职能部门、分支机构进行了内部控 制自我评估。在此基础上,本公司内部审计部门按照《兴业银行内部控制评级管 理办法》和《兴业银行内部控制评级实施细则》,对本公司所有分支机构实施了 内部控制评价工作。
专题调研和专项检查,充分有效履行监事会基本职责。 (2)制度建设方面 本公司不断健全制度建设,持续提高全行管理水平。公司通过制度的规划立 项、起草会商、法律合规性审核、审批发布等流程控制,引导总分行逐步推进日 常制度管理工作的标准化和规范化,并加强新出台制度的合规性、操作性、规范 性与统一性审查,实现从源头上规范内规的生成质量。同时,积极开展存量制度 的清理与整合,厘清了全行各类规范性文件的数量及其分布状况。目前,公司已 建立了较为完善的制度体系,制订出台的规章制度覆盖了公司主要业务经营管理领域。 (3)人力资源管理方面 报告期内,本公司进一步完善人力资源管理。一是为实现各项业务健康快速发展,本公司根据实际需要积极吸纳优秀经营管理人才,修订了《兴业银行员工 招聘实施细则(2011年5月修订)》,进一步规范员工招聘工作。公司员工聘用、培训、辞退、辞职、薪酬、考核、晋升与奖惩等有关人力资源的政策体现了本公司可持续发展的要求,对于关键岗位的员工执行强制休假和定期岗位轮换制度。 二是建立健全内部激励约束机制,将各责任单位和员工实施内部控制的情况纳入 绩效考核体系,进一步改进绩效考核工作,加强考核结果的运用,强化绩效考核对于全员的激励约束作用。同时,本公司以市场为导向,建立了科学的薪酬管理 4 和福利保障体系,充分发挥薪酬在公司治理和风险管控中的导向作用,促进公司 稳健经营和可持续发展。三是通过编制各项业务培训教材、组织多层次多形式的员工培训、鼓励员工积极开展在职及继续教育等措施,不断提升员工专业素质、 职业操守及合规意识,确保员工的岗位胜任能力。
《商业银行内部控制指引》 2007年7月3日
商业银行内部控制指引 中国银行业监督管理委员会令 2007第6号 2007年7月3日 第一章总则 第一条为促进商业银行建立和健全内部控制,防范金融风险,保障银行体系安全稳健运行,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律规定和银行审慎监管要求,制定本指引。 第二条内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。 第三条商业银行内部控制的目标: (一)确保国家法律规定和商业银行内部规章制度的贯彻执行。 (二)确保商业银行发展战略和经营目标的全面实施和充分实现。 (三)确保风险管理体系的有效性。 (四)确保业务记录、财务信息和其他管理信息的及时、真实和完整。 第四条商业银行内部控制应当贯彻全面、审慎、有效、独立的原则,包括: (一)内部控制应当渗透商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查。 (二)内部控制应当以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求。 (三)内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够得到及时反馈和纠正。 (四)内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。 第五条内部控制应当与商业银行的经营规模、业务范围和风险特点相适应,以合理的成本实现内部控制的目标。 第二章内部控制的基本要求
第六条内部控制应当包括以下要素: (一)内部控制环境。 (二)风险识别与评估。 (三)内部控制措施。 (四)信息交流与反馈。 (五)监督评价与纠正。 第七条商业银行应当建立良好的公司治理以及分工合理、职责明确、相互制衡、报告关系清晰的组织结构,为内部控制的有效性提供必要的前提条件。 第八条商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。 董事会负责保证商业银行建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。 监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。 高级管理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。 第九条商业银行应当建立科学、有效的激励约束机制,培育良好的企业精神和内部控制文化,从而创造全体员工均充分了解且能履行职责的环境。 第十条商业银行应当设立履行风险管理职能的专门部门,负责具体制定并实施识别、计量、监测和控制风险的制度、程序和方法,以确保风险管理和经营目标的实现。 第十一条商业银行应当建立涵盖各项业务、全行范围的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。 第十二条商业银行应当对各项业务制定全面、系统、成文的政策、制度和程序,在全行范围内保持统一的业务标准和操作要求,并保证其连续性和稳定性。 第十三条商业银行设立新的机构或开办新的业务,应当事先制定有关的政策、制度和程序,对潜在的风险进行计量和评估,并提出风险防范措施。