《商业银行内控评价体系建设实践介绍讲诉》由会员分享,可在线阅读,更多相关《商业银行内控评价体系建设实践介绍讲诉(78页珍藏版)》请在金锄头文库上搜索。
1、中国民生银行 内部控制评价体系介绍,目 录 一、民生银行内部控制管理的现状 二、内部控制评价体系主要内容介绍 三、内部控制评价的创新实践与思考,一、民生银行内部控制管理的现状 (一)内部控制的组织管理架构 公司治理结构 股东大会、董事会、监事会、高级管理层组成现代公司治理架构,形成了权利机构、决策机构、监督机构、执行机构之间权责分明、各司其职、相互协调的组织架构和运行机制。 内控组织架构 董事会负责建立并实施有效的内部控制体系 法律合规部负责全行内部控制建设的统筹工作 审计部负责实施内部控制评价监督事宜,(二)内部控制管理体系建设状况 1、营造良好内部控制环境 授信业务制约机制 独立评审体制:
2、将分行授信审批权限全部上收总行。 独立审计体系:由总行垂直领导,独立于经营机构。 集中放款制度:分行成立放款中心,从流程和职责上与经营单位脱钩。,(二)内部控制管理体系建设状况 1、营造良好内部控制环境 启动流程银行建设 公司业务事业部改革:一级经营、一级管理模式 推动分行业务转型:两链金融 进行支行零售改革:两小金融 稳步实施中后台改革:组织机构、岗位体系、绩效管理、业务流程进行全方位整合,(二)内部控制管理体系建设状况 1、营造良好内部控制环境 激励机制 两率考核、千分制考核、平衡计分卡考核 企业文化建设 诚信、人本、创新理念 民生家园,关爱你我活动 内控理念 内控优先、程序至上、审慎经营
3、、依法合规,(二)内部控制管理体系建设状况 2、全面风险管理体系建设 信用风险管理 对公业务:建立全行法人客户评级和债项评级体系 零售业务:建立了涵盖小微贷款、一般零售、信用卡等全部零售业务的申请、行为、催收评分模型 初步实现了在客户准入、经济资本、风险调整后的资本收益(RAROC)与经济增加值(EVA)等方面的应用,(二)内部控制管理体系建设状况 2、全面风险管理体系建设 操作风险管理 设计推出了操作风险与控制自我评估、关键风险指标和损失数据收集三大管理工具;历史损失数据收集工作基本完成。 市场风险和流动性风险管理 完善制订了相关管理办法;初步搭建了管理平台;规范压力测试程序;建立应急处理措
4、施等。,(二)内部控制管理体系建设状况 3、加强流程控制 规章制度建设:建立“流程立规”规章制度管理机制 业务集中管理:实现“数据大集中”;2013年新核心系统上线,从人防到技防的飞跃 管理工具:应用平衡计分卡、六西格玛、客户之声三大战略管理工具,(二)内部控制管理体系建设状况 4、创新监督管理模式 一线业务经营:践行合规文化,规范营销客户,落实审批要求,主动自查自纠 二线业务管理:建立正向激励制度,明确合规经营导向,发挥专业优势,主动开展检查和督导 三线监督纠正:内审以风险为导向,纪检部门构建和完善问责体系,(二)内部控制管理体系建设状况 5、加快信息化建设步伐 信息管理:推进企业级数据仓库
5、建设,实施数据质量治理工程。 信息传导机制:形成了横向覆盖各业务领域、纵向贯穿各级机构、业务条线和工作岗位的信息报告传递机制。 信息披露:规范了信息披露工作流程和权限,确保信息披露的真实性、准确性和完整性。,2012年,我行提出内控管理体系三年建设规划 内部控制框架:内控环境、风险识别与评估、规章制度与措施、合规性检查监督、独立的内部审计、信息沟通交流 内部控制目标:培育有利于持续发展的内控环境,强化 全面风险管理,完善过程控制机制,健全检查监督制度,完善风险导向内审体系,建设信息交流与沟通机制 内控控制任务:健全完善内控机制和内控技术,加强制度管理与流程优化建设,增强风险管理和经营能力,提高
6、检查监督效能,提升数据管理能力,培育优秀企业文化, 具体实施措施: 内控环境建设 制度建设 机制建设 风险防控 内控文化建设 基础平台建设,二、内部控制评价体系主要内容介绍 民生银行的内部控制评价分为全行年度内部控制有效性自我评价及经营机构内部控制有效性评价两个层级来开展。 根据监管要求,民生银行从2008年开始针对法人层面进行内部控制自我评估,在上交所披露评估报告。 经营机构的内部控制评价工作2008年开始实施对所有一级经营机构全覆盖的内控评价,并逐步对评价办法和评价体系进行重新设计和完善。,(一)经营机构内部控制有效性评价的内容及范围 经营机构内部控制评价是紧紧围绕内部环境、风险评估、控制
7、活动、信息与沟通、内部监督等五要素。 1、评价内容 对内部控制五要素中的评价内容,我行以企业内部控制基本规范的有关规范要求和各项应用指引为依据,结合本行的内部控制制度来确定。 内部控制五要素包含的内容:, 内部控制环境评价内容:组织结构、管理政策及流程、岗位职责及授权管理体系的建立和人力资源管理等方面。 风险评估评价内容:日常经营管理过程中的风险识别、风险分析、应对策略的设计及运行情况等。 控制活动评价内容:分行各项业务的实际操作控制活动的有效性。 信息与沟通评价内容:信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性等方面。 内部监督评价内容:着重于评价内部
8、监督机制的有效性。,(一)经营机构内部控制有效性评价的内容及范围 2、评价范围 十个主要的管理控制和业务流程,即公司层面、综合管理、对公授信、零售授信、零售非授信、私人银行、同业业务、运营管理、财务管理、电子银行。 我们对分行的评价内容不是一成不变的,评价内容随着不同时期经营管理模式、战略重点的转变而有所调整。如,私人银行业务、小微业务、资金业务、信息科技。,(一)经营机构内部控制有效性评价的内容及范围 3、评价工具 内部控制评价手册是我行内部控制评价时所运用的基本技术工具,评价手册是量化评分的基础依据。 分行级内部控制评价手册:包括公司层面、综合管理、公司授信、零售授信、零售非授信、私人银行
9、、资金与票据、运营管理、计划财务、电子银行等十张评价表。 每张评价表有约50个左右的控制点,共470个控制点。,例:分行级内部控制评价手册评价表样,01 公司层面 业务内部控制评价表,02 综合管理 业务内部控制评价表,03 对公授信业务 内部控制评价表,03 对公授信业务 内部控制评价表,03 对公授信业务 内部控制评价表,04 零售授信 业务内部控制评价表,04 零售授信 业务内部控制评价表,05 零售非授信业务 内部控制评价表,05 零售非授信业务 内部控制评价表,05 零售非授信业务 内部控制评价表,06 私人银行 业务内部控制评价表,06 私人银行 业务内部控制评价表,07 同业业务
10、 内部控制评价表,07 同业业务 内部控制评价表,07 同业业务 内部控制评价表,08 运营管理 业务内部控制评价表,08 运营管理 业务内部控制评价表,08 运营管理 业务内部控制评价表,09 财务管理 业务内部控制评价表,09 财务管理 业务内部控制评价表,10 电子银行 业务内部控制评价表,10 电子银行 业务内部控制评价表,(一)经营机构内部控制有效性评价的内容及范围 4、评分方法和程序 建立数量化的评价指标体系,设定千分制的评分、评级体系。内部控制整体评价和单项流程评价均实行千分制评分。设置内控要素和单项业务流程两个权重指标。 单项业务流程评价按内部控制要素分配权重,对评价发现问题按
11、内部控制要素进行归类,按风险等级确定得分,然后加权汇总形成单项业务流程得分。 各单项业务流程得分按业务流程风险权重加权汇总后,形成整体内部控制评价得分。,经营机构内控要素汇总表表样,(1)风险等级认定 在对问题发现的性质判断上引入风险等级概念,即每个审计发现按照问题发现的损失影响和发生的可能性进行综合判断,赋予风险等级不同的分值,根据最终确定的风险等级进行扣分。 风险等级矩阵模型 风险等级=发现的损失影响发生的可能性 三个因素均分为高中低三档,最终确定的风险等级分别对应相应的扣分区间。,风险等级矩阵 风险等级对应扣分区间表,三个需明确的定义或标准,A 风险等级定义,B、发生可能性等级划分表,C
12、、问题发生损失影响等级划分表,各业务条线控制要素评分表,例:XX分行综合业务条线控制要素归类汇总计分表,例:XX分行内控要素汇总表,01 公司层面 业务内部控制评价表,评价战略执行参考指标,(2)评分程序 a.区域审计中心组织各专业评价小组进行初评;如果存在重大内部控制风险事项,则按照重大控制风险事项校正评价表中的标准分值进行内部控制评价的分数调整。 b.审计部组织内控评价专家组对各评价工作组的评分结果进行复审。,重大控制风险事项校正评价表,(3)缺陷认定 a.缺陷分类 重大缺陷:一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形; 重要缺陷:一个或多个控制缺陷的组合,其严重程度和经
13、济后果低于重大缺陷,但仍有可能导致企业偏离控制目标的情形; 一般缺陷:除重大缺陷、重要缺陷之外的其他控制缺陷。 例:重大缺陷-XX行金库被盗案 重要缺陷-信托受益权转让违规 一般缺陷-信贷操作中的不规范,b.内部控制缺陷认定的原则和程序 在内部控制评价中的所有问题发现都应进行内部控制缺陷认定。 内部控制缺陷初步的认定由区域审计中心评价组负责,如有重大或重要缺陷的判断,与被评价单位高级管理人员沟通和确认。 对内部控制评价中发现的重要缺陷,审计部与高级管理层(行领导)进行沟通和确认。就重大的审计发现向董事会审计委员会汇报,并由其最终认定重大控制缺陷。,5、内部控制有效性结论 (1)内部控制有效性结
14、论的确定 内部控制有效性结论的确定受两个因素的影响,一是控制缺陷的认定结果,二是评价分数的区间。,内部控制缺陷和有效性之间存在相互对应关系,(2)内部控制评价有效性的认定标准 有效认定标准:设计适当且得到贯彻执行,不存在控制过度和控制不足,无重大缺陷和重要缺陷。对应(920-1000)分。 基本有效认定标准:设计适当但个别执行效果不佳,存在控制过度可能,不存在控制不足,无重大缺陷和重要缺陷。对应(850-920)分。 关注认定标准:存在少量设计缺陷,存在控制过度和控制不足,存在控制过度和控制不足,无重大缺陷和重要缺陷。对应(800-850)分。 特别关注认定标准:存在较多设计缺陷且涉及范围较广
15、,控制不足情况较为严重,违反行内规章制度疏导总行处罚,存在重要缺陷。对应( 700-800)分。 无效认定标准:存在无控制或控制失效的情况,违反监管机构规定并受到处罚,存在重大缺陷。对应(0-700)分。,6、评价报告 第一部分 内部控制评价基本情况 第二部分 总体评价 第三部分 主要审计发现 第四部分 改进建议,7、评价程序 评价程序包括:方案培训、非现场准备、现场审计、评价结果认定、报告撰写等阶段。 (1)方案培训:培训内容主要是评价要求、审计方法,审计记录说明,沟通与反馈要求,缺陷认定方法等。 (2)非现场审计:入场前组织非现场检查,对被评价单位进行调查摸底,利用非现场模型进行预设条件的
16、筛查,确定初步的抽样样本。 (3)现场审计:按照职责分工和进度安排进驻现场,对评价方案确定的评价内容实施现场评价。,(4)评价结果认定: a.由业务条线评价小组进行初评;按最终确定的风险等级扣分。 b.主审人组织评审组对初评分结果进行复核确认;形成经营机构内控要素评分汇总表,经组长审阅后上报总部。 c.总部内控评价专家组对各审计中心评分结果进行复审。 (5)报告撰写:形成内控评价意见书正式发文,报送行内高级管理层,检查发现的问题统一纳入问题库进行后续整改跟进。,非现场系统应用说明 实现审计手段的全面科技化。目前除信用卡业务外,基本涵盖了民生银行所有资产和负债业务和流程。 非现场专项审计采用的业务流程为:数据抽取建模计算专业人员分析确认归纳演绎回归分析处理报告。 非现场审计先进性: 一是海量数据依据规则筛选,精确制导; 二是数据建模,利用数值量化业务特征和风险特征;
