商业银行合规及内部控制与操作风险.ppt

《商业银行合规及内部控制与操作风险.ppt》由会员分享，可在线阅读，更多相关《商业银行合规及内部控制与操作风险.ppt（89页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、商业银行合规管理及商业银行合规管理及内部控制与操作风险内部控制与操作风险管理管理http:/中管网通用业频道中管网通用业频道n案件回顾n合规管理n内控原理n三道防线n内控实践n应对挑战n操作风险n工具流程提纲2http:/中管网通用业频道中管网通用业频道从治理类案件到管理类案件第一部分：案件回顾3http:/中管网通用业频道中管网通用业频道巴林银行里森案（1995）1995年2月，英国历史最悠久的巴林银行派驻新加坡的交易员尼克利森“未经授权”大量购买走势看好的日本日经股票指数的期货，但没想到一场阪神大地震使日经指数不升反跌，导致巴林银行亏损14亿美元，一下陷入破产境地。当时整个巴林银行的资本和

2、储备金只有8.6亿美元。荷兰国际集团最终以1英镑价格收购巴林银行。4http:/中管网通用业频道中管网通用业频道2001年10月中行广东开平支行许超凡、许国俊、余振东等3任行长，9年里监守自盗483亿美元。2004年4月16日17时10分许，中国银行开平案主犯之一、原中行广东省开平支行行长余振东被美国警方押送回北京首都国际机场。中国警方在机场对其实施逮捕。广东开平案（2001）5http:/中管网通用业频道中管网通用业频道苏格兰皇家银行MacKenzie案（2004）苏格兰皇家银行（RBS）2004年暴露英国历史上最大的银行欺诈案，Donald MacKenzie是爱丁堡人，为RBS员工，19

3、99年至2004年期间通过开立大量虚假账户的方式骗取银行资金，涉案金额达2100万磅（约合3亿元人民币），其中有1000万磅的损失不知去向。Donald MacKenzie也是RBS业务骨干，一个正在上升的新星（a rising star of RBS），曾三次因拓展业务而受到奖励，也因此掩盖了其欺诈行为。此案是因RBS改造IT系统导致案发，同国内发生的一些银行欺诈案件的特点非常类似，如出一辙。此人2004年事败，2006年6月底被判15年徒刑。6http:/中管网通用业频道中管网通用业频道哈尔滨松江街支行高山案（2005）2005年1月3日，中国银行黑龙江分行哈尔滨河松街支行行长高山全家离境

4、去了加拿大，并且卷走了6亿多元储蓄资金。高山卷走的这些资金中，一笔是东北高速的存款3.23亿元，另一笔是黑龙江辰能投资有限公司的3.06亿元。高山的作案方式主要是开具假存单。在最后的作案时间里，他在中行其他支行提现1亿多元。被卷走资金的辰能投资的一位相关负责人，在知道这件事的当天晚上和几个好友吃完晚饭后，回到家里跳楼自杀了。7http:/中管网通用业频道中管网通用业频道农行邯郸分行金库被盗案（2006）2006年10月至2007年4月，中国农业银行河北省邯郸分行金库管库员任晓峰、马向景等人，利用担任金库管库员的职务便利，共同窃取金库现金5095.605万元，用于购买彩票。2007年8月9日邯郸

5、市中级人民法院一审认为对任晓峰、马向景行为已构成贪污罪，且数额特别巨大，情节特别严重，对两人做出死刑、剥夺政治权利终身的判决。2007年9月19日河北省高级人民法院做出终审裁定，驳回任晓峰、马向景、赵学楠的上诉，对邯郸银行盗窃案全案维持一审原判。对任晓峰、马向景维持死刑判决的裁定，河北省高级人民法院将依法报请最高人民法院核准。邯郸银行金库特大盗窃案嫌犯任晓峰落网邯郸银行金库特大盗窃案嫌犯任晓峰落网资料图片：马向景接受审讯资料图片：马向景接受审讯8http:/中管网通用业频道中管网通用业频道法国兴业银行科维尔股指期货欺诈交易案（2008）2008年1月，法国兴业银行发生交易员杰洛米科维尔从事欺诈

6、性股指期货交易，造成法国兴业银行49亿欧元(71.6亿美元)损失。这名交易员从2007年上半年便开始在上级不知情的情况下从事违规交易，交易类型为衍生品市场中最基本的股指期货。这次欺诈事件是银行史上造成损失数额最大的一次。9http:/中管网通用业频道中管网通用业频道代价！代价！“毁誉”声誉风险“破财”财务损失“分心”整改成本10http:/中管网通用业频道中管网通用业频道财务损失财务损失金融监管部门的罚款；各种诉讼赔偿；律师费用、独立的第三方调查费用、公关费用；失去准入资格，丧失巨大的业务机会；股价下跌，融资成本增加；其他的间接财务损失。在监管者面前失去信誉引起监管的连锁反应在公众面前失去信誉

7、媒体的放大效应在市场投资者面前失去信誉投资评级的下降各种声誉风险相互关联造成的放大效应从监管处罚的公开到媒体的反应，到市场反应、诉讼导致的声誉风险具有持续性声誉损失声誉损失机会损失机会损失正常的战略实施步骤将被打乱与监管者的沟通和修复关系避免连锁监管反应回复客户信心监督实施整改计划应对媒体负面报道合规风险的影响合规风险的影响11http:/中管网通用业频道中管网通用业频道2004年10月25日花旗集团CEO普林斯本人亲赴日本以个人身份向日本金融厅专员五味广文道歉。日本金融厅长官五味广文花旗集团花旗集团CEO Charles CEO Charles PrincePrince毁誉！12http:/

8、中管网通用业频道中管网通用业频道“Say sorry,Japan styleSay sorry,Japan style”2004年10月25日花旗集团CEO Charles Prince和日本花旗CEO Douglas Peterson因违规和洗钱行为在东京举行新闻发布会表示谢罪：“我为花旗未能在日本守法合规经营，真诚地向客户和公众致歉。”右：花旗集团右：花旗集团CEO Charles CEO Charles PrincePrince左：日本花旗左：日本花旗CEO Douglas PetersonCEO Douglas Peterson毁誉！13http:/中管网通用业频道中管网通用业频道nC

9、SFB由于违反合规导致其在日本被吊销执照nCitigroup因贷款违规被罚7000万美元n投资银行业巨头Morgan Stanley、Deutsche Bank 和 Bear Stearns 因上市欺诈被重罚1500万美元n作为调解方案的一部分，UBS Warburg同意支付2500万美元作为罚款，25美元作为“退脏费”，2500万美元用来支持独立调查，500万美元作为未来的投资者教育款项。n在股东投票决定拟议中的并购之前，Bank of America 和 FleetBoston Financial 与监管当局就其相互之间的基金不当交易问题达成一项6.75亿美元的调解方案，监管当局要求 Ba

10、nk of America在一年内替换其大部分基金董事。n英国金融监管当局即金融服务管理局（FSA）以违反英国洗钱规则为由对奥地利银行Raiffeisen Zentralbank sterreich 处以15万英镑(27.2万美元)的罚款。n印度国家银行因违反银行保密法及未能完整保存账簿和记录而被联邦储备银行及其它美国监管当局处以750万美元的罚款。n五家投资银行因在监管当局调查其是否向投资银行客户签发误导或错误调查报告期间未能向监管当局发送电子邮件而集体被罚825万美元。商业银行因违规受处罚案例14http:/中管网通用业频道中管网通用业频道法国兴业银行因科维尔案受处罚 2008年7月，法国

11、银行监管机构“法国银行委员会”对兴业银行开出400万欧元罚单，原因是兴业银行内部监控机制“严重缺失”，导致巨额欺诈案的发生。银行委员会指出，兴业银行内部监控机制严重缺失，使得金融交易在各个级别缺乏监控的情况下，在较长时期内难以被察觉并得到纠正，因而存在较大可能发生欺诈案并带来严重后果。为此对兴业银行罚款400万欧元。这一罚款金额接近银行委员会的罚款上限（最高上限为500万欧元）。15http:/中管网通用业频道中管网通用业频道合规风险管理原理与实践第二部分：合规风险16http:/中管网通用业频道中管网通用业频道BASELBASEL“合规风险合规风险”定义定义 合规风险指银行因未能遵循法律、监

12、管规定、规则、自律性组织制定的有关准则，以及适用于银行业务活动的行为准则（“合规法律、规则和准则”）而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。合规与银行内部合规部门（2005年4月）“Compliance risk is defined as the risk of legal or regulatory sanctions，material financial loss，or loss to reputation a bank may suffer as a result of its failure to comply with laws，regulations，rule

13、s，related self-regulatory organisation standards，and codes of conduct applicable to its banking activities.”17http:/中管网通用业频道中管网通用业频道“合规法律、规则和准则”主要包括：遵守市场行为的适当准则管理利益冲突公平对待消费者确保客户咨询的适当性特定领域：反洗钱和反恐怖融资、税收“合规法律、规则和准则”渊源包括：遵守市场行为的适当准则立法机构和监管机构发布的基本的法律、规则和准则市场惯例行业协会制定的行业规则适用于银行职员的行为准则等。合规法律、规则和准则不仅包括那些具有法律

14、约束力的文件，还包括更广义的诚实守信和道德行为的准则“合规法律、规则和准则合规法律、规则和准则”理解理解18http:/中管网通用业频道中管网通用业频道银监会银监会“合规合规”定义定义“本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。”“本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。”“本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。”银监会商业银行合规风险管理指引（2006年）19http:/中管网通用业频

15、道中管网通用业频道其它其它“合规合规”定义定义 合规是指，使一家银行的活动与所适用的法律法规、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的规章制度和行为准则（统称“合规法律、规则和准则”）相一致。合规是银行内部一项核心的风险管理活动。上海银监局上海银行业金融机构合规风险管理机制建设的指导意见（2005年9月）“本规定所称合规，是指证券公司及其工作人员的经营管理和执业行为符合法律、法规、规章及其他规范性文件、行业规范和自律规则、公司内部规章制度，以及行业公认并普遍遵守的职业道德和行为准则。”证监会证券公司合规管理试行规定（2008年7月）？20http:/中管网通用业频

16、道中管网通用业频道思考：思考：“内法内法”还是还是“外法外法”？n“规”是指“外部的法律、规则和准则”还是还包括“银行内部规章制度”？n如果“合规”包括“银行内部规章制度”，那么“合规管理”和“内部控制管理”还有分别吗？n监管当局往往对银行“内部控制”也提出合规要求，这是否意味着“银行的内部控制建设就是为了满足监管当局的合规要求”？，是否进而可以说“银行的内控工作即是合规工作”？n银行”合规管理“和”内部控制“之间的关系如何？n合规风险管理能否完全杜绝违规事件的发生？21http:/中管网通用业频道中管网通用业频道“外法外法”内化流程内化流程 法规变化法规变化 分析处理分析处理 分解到各部门分

17、解到各部门 各部门内化各部门内化重点关注人民银行、重点关注人民银行、银监会银监会、外管局及其它外管局及其它境内外监管法规变化境内外监管法规变化分析对我行经营分析对我行经营管理的影响管理的影响关注与各部门工作的相关性；关注与各部门工作的相关性；对于有重大影响的法规，对于有重大影响的法规，发布合规风险提示发布合规风险提示制定、修改制定、修改规章制度规章制度和操作流程和操作流程22http:/中管网通用业频道中管网通用业频道专项合规管理流程实例：反洗钱专项合规管理流程实例：反洗钱设置反洗钱工作委员会设置反洗钱工作委员会制度建设：反洗钱政策；制度建设：反洗钱政策；“了解客户了解客户”制度；大额交易报告

18、制制度；大额交易报告制度；可疑交易报告制度；记录保存制度（账户和交易资料的保存）度；可疑交易报告制度；记录保存制度（账户和交易资料的保存）系统建设：大额和可疑交易报告系统系统建设：大额和可疑交易报告系统反洗钱检查反洗钱检查开展多层次、有针对性的测试和培训：管理部门、一线员工开展多层次、有针对性的测试和培训：管理部门、一线员工围绕监管关注的焦点确定重点合规工作！围绕监管关注的焦点确定重点合规工作！23http:/中管网通用业频道中管网通用业频道三类合规风险管理检查三类合规风险管理检查三类合规风险管理检查三类合规风险管理检查“仪表盘仪表盘仪表盘仪表盘”示例示例示例示例监管问题监管问题全球金融市场英

19、国全球金融市场英国全球金融市全球金融市场亚洲场亚洲全球金融市场全球金融市场美洲美洲产生监管影响的重大内部事件产生监管影响的重大内部事件例例如如：系系统统失失灵灵可可能能导导致致违违背背监管要求监管要求客户投诉（及公众评论）客户投诉（及公众评论）例例如如：银银行行卡卡被被公公众众给给予予负负面面评价评价稽核结果稽核结果业务变化业务变化新产品开发新产品开发业务架构业务架构重大业务重组，例如：并购等重大业务重组，例如：并购等监管变化负担监管变化负担评评估估监监管管变变化化给给业业务务单单元元带带来来的负担的负担监管者关注焦点监管者关注焦点公告公告监监管管机机构构发发表表的的演演讲讲、媒媒体体讨讨论的

20、行业热点问题论的行业热点问题检查活动检查活动监管检查或会谈的结果监管检查或会谈的结果24http:/中管网通用业频道中管网通用业频道合规风险管理流程框架合规风险管理流程框架识别识别评估评估监控报告监控报告缓释缓释规避转移控制关键风险指标损失数据概率影响度外部事件（如法规变化）新产品收购业务流程改变25http:/中管网通用业频道中管网通用业频道合规风险识别、评估、监控流程合规风险识别、评估、监控流程外部法规变化的监控外部法规变化的监控规章制度合规性审查规章制度合规性审查新产品合规管理（新产品开发的合规性论证；新产品投入市场前，新产品合规管理（新产品开发的合规性论证；新产品投入市场前，对相关法律

21、文件及宣传品进行合规审查）对相关法律文件及宣传品进行合规审查）重大合规信息的报告重大合规信息的报告合规培训管理合规培训管理重大合规项目的管理：反洗钱；关联交易重大合规项目的管理：反洗钱；关联交易问责制度问责制度绩效考核指标绩效考核指标26http:/中管网通用业频道中管网通用业频道合规、内控、操作风险定义合规、内控、操作风险定义n合规风险合规风险 银银行行因因未未能能遵遵循循法法律律、监监管管规规定定、规规则则、自自律律性性组组织织制制定定的的有有关关准准则则，以以及及适适用用于于银银行行业业务务活活动动的的行行为为准准则则而而可可能能遭遭受受法法律律制制裁裁或或监监管管处处罚罚、重大财务损失

22、或声誉损失的风险。重大财务损失或声誉损失的风险。（BASEL）n内部控制内部控制 由由企企业业董董事事会会、经经理理层层以以及及其其他他员员工工共共同同实实施施的的,为为财财务务报报告告的的准准确确性性、经经营营活活动动的的效效率率与与效效果果、相相关关法法律律法法规规的的遵遵循循等等目目标标的的实实现现而而提提供供合合理理保保证证的的过过程程。它它包包括括五五个个方方面面的的组组成成要要素素:控控制制环环境境、风风险险评评估估、控制活动、信息与沟通、监督。控制活动、信息与沟通、监督。（COSO）n操作风险操作风险 由由不不完完善善或或有有问问题题的的内内部部程程序序、人人员员及及系系统统或或

23、外外部部事事件件所所造造成成损损失失的的风风险险。该该定定义义不不包包括括策策略略风风险险和和声声誉誉风风险险，但但包包括括法法律律风风险险。（BASEL II）27http:/中管网通用业频道中管网通用业频道COSO 2003COSO 2003全面风险管理框架（全面风险管理框架（ERMERM）“EnterpriseEnterpriseRisk ManagementRisk ManagementFrameworkFramework”（ERMERM）COSO 2003COSO 2003年年7 7月公布月公布内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动

24、信息与沟通监 控运营财务报告合规子公司业业务务单单位位分分支支机机构构企企业业主主体体层层次次28http:/中管网通用业频道中管网通用业频道合规同内控及操作风险间比较合规同内控及操作风险间比较内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控运营财务报告合规子公司业业务务单单位位分分支支机机构构企企业业主主体体层层次次识别识别评估评估监控报监控报告告缓释缓释规避转移控制关键风险指标损失数据概率影响度外部事件（如法规变化）新产品收购业务流程改变n合规是内控多重目标之一，但不是唯一目标；n合规管理流程是内控管理流程的一部分重要内容，但不是全

25、部内控流程；n合规风险引起的原因包括人员、流程、系统，因此合规风险是操作风险的一部分；n合规风险是一种特别的操作风险，因此需要专门的管理！29http:/中管网通用业频道中管网通用业频道内控三道防线理念适用于合规管理内控三道防线理念适用于合规管理董事会及执行委员会董事会及执行委员会第一道防线第一道防线第二道防线第二道防线第三道防线第三道防线业务部门业务部门和分支机和分支机构从事业构从事业务操作的务操作的人员人员日常风险管理日常风险管理集团总部、集团总部、分支机构、分支机构、业务条线业务条线合规风险合规风险管理人员管理人员专家职能专家职能负责政策制定、工具开发负责政策制定、工具开发专业咨询、风险

26、管理监控专业咨询、风险管理监控独立检查独立检查稽核部门稽核部门30http:/中管网通用业频道中管网通用业频道内部控制基本原理从“控制”到“风险”！第三部分：内控原理31http:/中管网通用业频道中管网通用业频道COSO 1992COSO 1992内部控制框架（内部控制框架（ICF ICF）运营目标运营目标财务报告真实性目标财务报告真实性目标合规目标合规目标控制环境；控制环境；风险评估；风险评估；控制活动；控制活动；信息和沟通；信息和沟通；监控。监控。各业务单位各业务单位各业务活动各业务活动第二维第二维第二维第二维:5:5:5:5个要素个要素个要素个要素第一维：第一维：第一维：第一维：3 3

27、 3 3个目标个目标个目标个目标第三维：第三维：第三维：第三维：2 2 2 2个方面个方面个方面个方面监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1COSO：CommitteeofSponsoringOrganizationsoftheTreadwayCommission32http:/中管网通用业频道中管网通用业频道COSO 2003COSO 2003全面风险管理框架（全面风险管理框架（ERMERM）“EnterpriseEnterpriseRisk ManagementRisk ManagementFrame

28、workFramework”（ERMERM）COSO 2003COSO 2003年年7 7月公布月公布内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控运营财务报告合规子公司业业务务单单位位分分支支机机构构企企业业主主体体层层次次33http:/中管网通用业频道中管网通用业频道ERM2003ICF1992监控信息和沟通控制活动风险评估控制环境运营财务报告合规业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1要要素素维维度度组织组织维度维度内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控

29、制 活 动信息与沟通监 控运营财务报告合规子公司业业务务单单位位分分支支机机构构企企业业主主体体层层次次COSO ICOSO I与与COSO IICOSO II之框架比较之框架比较企业风险管理贯穿于企业各个企业风险管理贯穿于企业各个层级，包括分之机构、子公司层级，包括分之机构、子公司和业务单位，并根据和业务单位，并根据“风险组风险组合观合观”，站在企业主体层次的，站在企业主体层次的高度来整体把握风险；高度来整体把握风险；COSOIICOSOII将将COSOICOSOI中的中的“风险评估风险评估”要素拓展为要素拓展为“目标设定目标设定”、“事项识别事项识别”、“风险评估风险评估”和和“风险应对风

30、险应对”四个要素四个要素目标维度目标维度企业风险管理与战略制企业风险管理与战略制订紧密联系，使得企业订紧密联系，使得企业的战略目标与其对风险的战略目标与其对风险的态度、风险偏好相协的态度、风险偏好相协调。调。34http:/中管网通用业频道中管网通用业频道风险是一个事件将会发生并给目标实现带来负面影风险是一个事件将会发生并给目标实现带来负面影响的可能性。响的可能性。ERMERM对对“风险风险”的定义的定义ERM严格区分“风险”和“机会”（将产生正面影响的事件视为“机会”，ICF没有区分风险和机会；ERM可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；站在现在这个时

31、点预测和评判未来的事情。将会发生将会发生目标实现目标实现为评判未来结果是好是坏的标准负面负面影响有好的也有坏的，好的影响是机会，会给企业带来利润；坏的影响是风险，会给企业带来损失可能性可能性强调了不确定性，有可能发生也有可能不发生。35http:/中管网通用业频道中管网通用业频道ERMERM框架八要素之间的关系框架八要素之间的关系目标设定目标设定事件识别事件识别风险评估风险评估风险应对风险应对控制活动控制活动信信息息与与沟沟通通监监控控内部内部环境环境内部内部环境环境36http:/中管网通用业频道中管网通用业频道复杂多维的监管环境带来的挑战复杂多维的监管环境带来的挑战财政部企业内部控制基本规

32、范（2008）内部控制评价指引 内部控制实施指引 内部控制鉴证指引银监会商业银行内部控制指引（2007）银监会商业银行内部控制评价办法（2005）上交所上海证券交易所上市公司内部控制指引（2006）银监会商业银行操作风险管理指引(2007)银监会商业银行操作风险资本计量指引(2008)37http:/中管网通用业频道中管网通用业频道企业内部控制基本规范企业内部控制基本规范出台背景出台背景2005年6月，国务院就财政部、国资委和证监会联合上报的关于借鉴完善我国上市公司内部控制制度的报告做出批示，同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引”。2006年7月1

33、5日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，就研究、制定一套具有统一性、公认性和科学性的企业内部控制规范达成了共识”。2007年3月，财政部发布“关于印发企业内部控制规范-基本规范和17项具体规范（征求意见稿）的通知”，面向全社会开始征求意见。经过一年多的修改和调整，财政部最终于2008年6月28日正式发布了企业内部控制基本规范，作为企业内控的政策性框架文件，用以规范所有企业的内部控制。38http:/中管网通用业频道中管网通用业频道基本规范实施要求2005年6月，国务院就财政部、国资委和证监会联合上报的关于借鉴完善我国上市公司内部控制制度的报告做出

34、批示，同意“由财政部牵头、联合证监会及国资委、积极研究制定一套完整公认的企业内部控制指引”。为加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会制定了企业内部控制基本规范，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应对内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。39http:/中管网通用业频道中管网通用业频道基本规范实施主要问题实施基

35、本规范商业银行同一般企业实施有何不同？-新资本协议操作风险管理的实施能够解决商业银行内控的绝大部分问题！基本思路：以实施BASEL操作风险管理框架为主，兼顾COSO!基本规范是中国的SOX吗？-如何履行披露义务是一个博弈过程;披露范围广泛；披露方法的选择。如何建立系统的内控评价方法：合理实现全面评价和重点评价的结合；统一的评价和测试标准；评价方法论能支持内控是否整体有效的结论；如何建立统一的内控缺陷评价标准？如何加强内控文档的系统整理和维护？40http:/中管网通用业频道中管网通用业频道基本规范是中国的SOX吗？SOX针对上市公司，基本规范针对“大中型企业”，不必然是上市公司；SOX只针对财

36、务报告的内控；基本规范一共有5个目标（运营；财报；合规；战略；资产）SOX要求必须有审计报告；基本规范的提法是“可以”，即无强制要求；SOX不提供内控方法论；基本规范提供方法论框架；SOX的立法重点在于披露责任；基本规范未明确披露要求结论：基本规范因SOX而起，确非”C-SOX”!”C-SOX”是严重的误解！41http:/中管网通用业频道中管网通用业频道内部控制三道防线体系第四部分：内控治理42http:/中管网通用业频道中管网通用业频道内部控制三道防线基本架构和含义董事会和管理层董事会和管理层董事会和管理层董事会和管理层各业务单位各业务单位各业务单位各业务单位各业务单位各业务单位各业务单位

37、各业务单位内部审计内部审计内部审计内部审计专业性部门或功能专业性部门或功能专业性部门或功能专业性部门或功能(法律、人力资源、反洗钱、保卫、法律、人力资源、反洗钱、保卫、法律、人力资源、反洗钱、保卫、法律、人力资源、反洗钱、保卫、信息科技、信息安全、反金融犯罪等职能信息科技、信息安全、反金融犯罪等职能信息科技、信息安全、反金融犯罪等职能信息科技、信息安全、反金融犯罪等职能内部控制内部控制内部控制内部控制牵头职能牵头职能牵头职能牵头职能日常内部控制和操作风日常内部控制和操作风日常内部控制和操作风日常内部控制和操作风险管理险管理险管理险管理业务一线业务一线业务一线业务一线内控第一道防线内控第一道防线

38、内控第二道防线内控第二道防线内控第三道防线内控第三道防线提供独立的保证提供独立的保证提供独立的保证提供独立的保证维护内部控制框架，设定内部控制和维护内部控制框架，设定内部控制和维护内部控制框架，设定内部控制和维护内部控制框架，设定内部控制和操作风险管理政策，制定和开发相关操作风险管理政策，制定和开发相关操作风险管理政策，制定和开发相关操作风险管理政策，制定和开发相关的工具和流程，实施风险监控的工具和流程，实施风险监控的工具和流程，实施风险监控的工具和流程，实施风险监控业务条线部门业务条线部门业务条线部门业务条线部门内部的内控内部的内控内部的内控内部的内控或操作风险或操作风险或操作风险或操作风险

39、管理职能管理职能管理职能管理职能43http:/中管网通用业频道中管网通用业频道内部控制三道防线的一般原理n内控三道防线是指业务一线、操作风险管理和专业功能、内部审计构成的三道内控防线，以确保适当和有效的内部控制结构。n三道防线是一个理念或概念，但并不是一套规定的规则或者组织架构，不能简单把三道防线对应为组织架构甚至部门。n三道防线的理念强调实现有效的内部控制不可能在脱离业务一线的情况下实现，是业务一线来最终拥有和管理自己的风险，即业务一线是风险的所有人，因此是内控的第一责任人。n内控三道防线理念的最大优势在于，第一次鲜明地提出各级机构、部门、每个管理者和员工都是第一道防线！一道防线的核心是强

40、调“内控人人有责”。n第二道防线（内控牵头部门或者操作风险管理牵头部门）和第三道防线（内部审计）的任务是支持业务一线（第一道防线）识别、评估、监控、缓释和报告其内控控制中存在的问题（也就是操作风险），使业务一线内部嵌入有效的操作风险和内部控制机制，并且在对风险有充分考虑和管理的情况下的开展业务经营活动。44http:/中管网通用业频道中管网通用业频道中国银行内部控制建设探索实践第五部分：内控实践45http:/中管网通用业频道中管网通用业频道中国银行公司治理架构一览中国银行公司治理架构一览中国银行公司治理架构一览中国银行公司治理架构一览法律与合规部为关联交易控制委员会、内部控制委员会、反洗钱工

41、作委员会的秘书机构。法律与合规部为关联交易控制委员会、内部控制委员会、反洗钱工作委员会的秘书机构。46http:/中管网通用业频道中管网通用业频道建立内部控制委员会平台内控委主席内控委主席李礼辉行长李礼辉行长总行内控委总行内控委分行内控委分行内控委季度会议制季度会议制总分行内控委实施季度例会制度，就各业务条线和分行内控工作做出部署，总分行内控委实施季度例会制度，就各业务条线和分行内控工作做出部署，研究并出台了一系列有关内控的重大措施和规章制度，监控和督促全行内控研究并出台了一系列有关内控的重大措施和规章制度，监控和督促全行内控整改进展，研究范防大要案的具体措施，同苏格兰皇家银行（整改进展，研究

42、范防大要案的具体措施，同苏格兰皇家银行（RBSRBS）开展战）开展战略合作着手建立识别、评估、监控、缓释、报告操作风险的管理框架。略合作着手建立识别、评估、监控、缓释、报告操作风险的管理框架。内控委员会建立了分行内部控制数据监测制度，每季度收集包括人力资源、内控委员会建立了分行内部控制数据监测制度，每季度收集包括人力资源、系统失灵、欺诈越权、业务重大差错、反洗钱、监管处罚、内控整改、违规系统失灵、欺诈越权、业务重大差错、反洗钱、监管处罚、内控整改、违规事件、法律风险、关联交易等十大类共事件、法律风险、关联交易等十大类共6161项内控数据，分析比对分行内控数项内控数据，分析比对分行内控数据及其变

43、化情况。据及其变化情况。分行内控委员会会议纪要报备制度；分行内控委员会会议纪要报备制度；季度会议制季度会议制分行内部控制数据监测制度分行内部控制数据监测制度管理层及各一级分行成立内控委员会，统筹领导全行内控体系的总体运行，定期研究讨论重要内控工作，为及时推出有效控制措施提供了议事平台。47http:/中管网通用业频道中管网通用业频道将内部控制建设纳入整体战略布局将内部控制建设纳入整体战略布局 2005年6月召开全行内部控制体系建设工作会议，第一次将内控工作纳入全行总体战略布局当中，提出：以完善的内部控制组织体系为保障，以体现制衡原则、健全有效的制度为基础，以精细化的过程控制为着眼点，以激励约束

44、机制和问责制为引导，以信息科技手段为依托，大力培育合规文化，努力构建我行全面系统、动态、主动和可证实的内部控制体系。”这次会议提出六个入手:n从明确职责入手，完善内部控制组织体系建设；n从制度建设入手，夯实内部控制基础；n从细节入手，实现精细化的过程控制；n从完善激励约束机制和问责制入手，引导内部控制目标的实现；n从加强信息技术手段入手，提高内部控制水平和质量；n从加强教育培训入手，促进合规文化的形成。48http:/中管网通用业频道中管网通用业频道总分法律与合规部组织架构总分法律与合规部组织架构业务业务运营运营一一业业务务运运营营二二业务业务运营运营三三知识知识产权产权合合规规管管理理内控内

45、控评估评估监控监控内控内控政策政策规划规划内控内控检查检查副总副总首席合规官首席合规官副总副总副总副总总经理总经理海外机构海外机构与反洗钱与反洗钱关联关联交易交易资深法律专家资深法律专家行政行政团队团队法务法务秘书秘书 法律风险管理法律风险管理法律风险管理法律风险管理 合规风险管理合规风险管理合规风险管理合规风险管理内部控制与操作风险管理内部控制与操作风险管理 各省行均设法律与合规部，牵头本分行内控工作；二级行设相关内控部门负责其内控工作。49http:/中管网通用业频道中管网通用业频道规章制度机构间差异带来的挑战规章制度机构间差异带来的挑战n问题：不同分行和网点同一业务流程不标准、不统一的现

46、象较为严重。n原因：n制度缺乏统一操作标准和技术细节，下级行不得不自创流程和标准；n规章制度信息在自上而下的传导中产生的误差逐级放大！n“上面千条线，下面一根针”，分散的规章制度事实上难以被掌握；n上级管理部门对基层负担不敏感；对基层是否掌握规章制度不敏感；n“要不要做麦当劳？”标准化思想尚未深入人心；n“规章制度是否都要结合本行实际？”什么是“本行实际情况”？对规章制度的特别化处理缺乏管理。n危害：n“说不清楚”降低了管理透明度n“考核总是不公平”降低了行与行之间的可比性n“我总是坐在火山口上”降低了内控系统的可靠性n“为什么总是管不好下级机构的内控工作？”总行和一级分行对下级机构的管控难度

47、加大。n解决：n能明确具体操作标准的要尽量明确；n制定规章制度流程要科学，倾听基层意见不能走形式；n大力倡导操作流程的标准化和一致化n个别机构因实际情况确有必要调整流程，应及时报备。n上级对下级机构的流程差异要心中有数。50http:/中管网通用业频道中管网通用业频道第六部分：应对挑战如何应对COSO和BASEL两方面挑战？51http:/中管网通用业频道中管网通用业频道BASELBASEL和和COSOCOSO两方面挑战两方面挑战n一方面我们面临来自BASEL的挑战：要按照银监会要求，实施巴塞尔新资本协议，完善操作风险管理框架，主动识别、评估、缓释、监控、报告操作风险。n我们同时还面临来自CO

48、SO的挑战：要根据财政部等五部委联合发布的企业内部控制基本规范要求，按照COSO全面风险管理框架，完善内部控制体系。52http:/中管网通用业频道中管网通用业频道COSOCOSO与与BASELBASEL对比分析对比分析n巴塞尔新资本协议操作风险管理框架主要突出银行特色nCOSO全面风险管理框架则是对一般企业的共性要求n两者角度虽有不同，但在精神实质上是一致的。n银行业要统筹考虑自身内控和操作风险管理体系建设问题53http:/中管网通用业频道中管网通用业频道内部控制与操作风险管理的关系（一）操作风险管理文化操作风险管理文化 识别识别 评估评估 控制或缓释控制或缓释 监控报告监控报告 内部环境

49、内部环境 风险评估风险评估控制活动控制活动 信息与沟通信息与沟通 监控监控 目标识别目标识别 事件识别事件识别 风险评估风险评估 风险应对风险应对 内部控制内部控制 操作风险管理操作风险管理 两两个个术术语语表表达达的的含含义义略略有有不不同同 但在精神实质上是一致的但在精神实质上是一致的 54http:/中管网通用业频道中管网通用业频道内部控制与操作风险管理的关系（二）内部控制与操作风险管理的关系（二）n本行不严格区分“内部控制”与“操作风险管理”，对“内部控制”与“操作风险管理”两者关系的表述是：n“内部控制”和“操作风险管理”两个术语的内涵和侧重点虽有不同，但两者涉及的问题和领域在相当大

50、的范围内是共同的，在方法论上是相近或一致的。n内部控制中的“内部环境”要素与“操作风险管理文化”在内涵上基本一致；n内部控制框架中“目标设定”、“事件识别”、“风险评估”三个要素大致可体现为操作风险管理循环的“识别”与“评估”环节；“风险应对”和“控制活动”两要素实际上与操作风险管理循环中的“控制或缓释”环节相当；n“信息与沟通”要素的内容在操作风险管理循环的“报告”环节有所涉及。55http:/中管网通用业频道中管网通用业频道应对思路应对思路“一心二用一心二用”n以巴塞尔新资本协议实施为主；n同时借鉴COSO等国际内控标准；n逐步搭建具有银行自身特色的内部控制与操作风险管理框架；n一个框架满