《中国银行《企业内部控制基本规范》及配套指引实施(》由会员分享,可在线阅读,更多相关《中国银行《企业内部控制基本规范》及配套指引实施((23页珍藏版)》请在金锄头文库上搜索。
1、中国银行股份有限公司企业内部控制基本规范及配套指引实施方案(2011 年版)12011 年是企业内控基本规范(下称“内控规范”)实施的元年,我行作为首批实施试点企业,将以此为契机,进一步完善内控治理结构、运行机制、政策制度、技术手段和专业队伍,建设与大型跨国银行集团相适应的内部控制体系。为此,特制订本方案。一、一、 总体实施目标。我行的总体目标是逐步建立起“全面、全部、全过程,可靠、可控、可持续”的集团内部控制与操作风险管理体系,实现内控规范提出的“报告准确、依法合规、资产安全、保障效率、战略发展”五大控制目标。具体讲就是“全面风险管理、全部业务流程、全过程控制,体系可靠、风险可控、运行可持续
2、”。2011 年底前,我行应确保涉及财务报告的内部控制设计和执行有效,非财务报告内部控制不存在重大缺陷,这是达到总体目标的必要步骤。二、二、 实施任务。控制环境、风险评估、控制活动、信息与沟通、内部监督内控规范的五项核心要素,我行的内控规范实施工作按照五要素,对现有内控体系进行完善。实施任务共 61 项(详见附件1中国银行实施任务分解表),其中 33 项与财务报告相关的内控任务,应于 2011 年底前得到实质性解决或改善,确保不影响财务报告完整准确。28 项非财务报告内控任务,应确保 2011 年底前不存在重大缺陷。重点实施任务如下:(一)控制环境1、 完善内控与操作风险管理运行机制和制度体系
3、。根据内控规范的全面性要求“内部控制应当覆盖各种业务和事项”,内部控制将进一步覆盖人力资源、集中采购、电子银行、信息科技等条线。公司金融、个人金融、金融市场、运营服务四业务总部委员会讨论内控与操作风险问题的会议,风险管理总部操作风险模块应当参加。重检和评估现行内控制度。对照监管要求、新线运行模式,补充完善缺失的制度,修订或废止不适宜的制度,优先补充制定业务2持续经营、反欺诈舞弊、风险隔离机制和新线下亟待完善的制度等。结合新协议操作风险项目的落地实施,重检和修订现行的操作风险与控制评估、关键风险指标、损失数据收集、新产品风险评估等制度规定。2、 推进海外分行和附属公司内控建设。海外分行和附属公司
4、应结合自身特点,按照三道防线的理念,建立完善自身内控与操作风险管理体系,覆盖本机构各业务条线和人员、系统、流程、外部事件等操作风险事项。根据集团统一政策制度,完善内控制度体系。应用集团统一的操作风险管理工具,建立运行操作风险与内部控制的识别、评估、缓释、监控和报告机制。使用集团统一报告模板,按季度向总行风险管理总部报告本机构风险控制状况(包括当地监管、外审、稽核发现的主要问题和整改情况)。3、 进一步推进建设企业内控文化。当前,国内外环境变化和我行业务发展速度较快,为保证持续健康发展,全行要从健全机制和流程、强调一把手的重视、弘扬诚实守信的价值观和职业道德等方面入手,推进建设企业内控文化。下半
5、年,举办全行“内部控制建设”征文和论坛活动,讨论银行业内控实践的有益经验、突出问题和挑战,鼓励内控与操作风险管理创新,组织开展内控管理创新和优秀评选,引导和激励全行对内控工作提出创新思路和建议。4、 建设专业队伍和培养专业能力。建立起全面、动态、专业的内控培训机制,将重要岗位、重要人员的内控培训与业务权限、考核评价、职业发展相挂钩。对风险总监进行专业化培训,境内一级分行CRO 要尽快适应新的工作要求,完成 CCO 向 CRO 的转型,重点强化内控与操作风险管理领域的专业能力和胜任度。建立内控与操作风险管理的分析师队伍,建立专业序列、任职资格标准、人员交流机制。配合网点转型,培养适应基层内控管理
6、需要的内控骨干力量,力争在三年内培养 1 万名基层网点内控人才。3(二)风险评估5、 提高内部控制与风险管理的前瞻性。在内控管理过程中,做到“主动管理、主动评估、主动预判”。运用情景分析等方法预测风险,模拟在外部环境变化、极端事件发生等情景下风险发生的可能性和影响度。运用“触发式”操作风险评估机制,对新产品、新系统、流程再造、内外部发生的重大损失事件,主动分析预判潜在风险敞口,采取防控措施。密切关注和防控平台贷款、房地产信贷、贷后管理、理财产品、民间非法集资、对公账户开户、票据业务、服务价格、网银、电信诈骗、ATM 机和银行卡、系统安全等潜在风险。6、 提高内控与操作风险的量化管理能力。重检和
7、完善关键风险指标(KRI)及阀值。关键风险指标是为控制关键风险,设置早期预警指标和阀值,并持续监控可能造成重大损失事件的风险及控制状况。2011 年底前全集团将按照以下三个原则,更新和增设现行 KRI指标:补充国内外监管重点关注的风险监测指标;覆盖当前发生的新风险和潜在重大风险;合理调整长期不预警、不敏感的 KRI 阀值。附属公司要按照行业标准设计和完善 KRI。指标设置和更新过程中,要注重提高指标数据获取的自动化和可操作性。应用操作风险内部损失数据(LDC)、外部损失数据等量化风险信息,研究开发操作风险计量模型,测量操作风险暴露水平,计量监管资本和经济资本需求,并用于对各分行、各条线进行动态
8、资本拨备管理。各境内外机构要高度重视操作风险损失数据的收集和验证工作,提高数据的完整性和准确性。7、 立足新线梳理优化全行业务流程。风险总部牵头各条线对照新线,以河北、江苏、四川等上线行已取得的流程梳理成果为基础,对原有 117 个业务流程进行调整和优化。流程调整优化应遵循“3S”原则(Simplification 简单化、Specialization 专业化、Standardization 标4准化), “简单化”即要识别和消除流程中的非增值活动,使流程易于理解、操作和管理。 “专业化”即要将业务运营和风险防控的基本法律、原理和制度,嵌入具体操作环节,使专业要求能够被执行、被感知和被应用。
9、“标准化”即要将流程操作过程中共同和反复使用的规则固化下来,对操作需要达到的程度、所需时间和资源进行量化定义。通过梳理优化全行业务流程,要实现新线流程的“岗位职责、业务权限、操作规范、考核标准”四个清晰和统一,规范业务流程实际运作过程。(三)控制活动8、 建立和规范 EUC(终端用户计算工具)的管理控制。梳理对财务报告披露有重大影响的终端用户计算工具(包括 Excel 计算表格、数据库等),规范 EUC 开发、使用、维护机制,针对 EUC 的变更、版本管理、计算公式验证以及存取访问安全等,建立并实施规范的控制、管理和监督制度。9、 加强资本充足率、资产负债管理基础数据手工填报、汇总过程的内部控
10、制,严格复核和审批手工汇集信息,确保数据完整性和准确性。10、 加强应用系统访问安全控制制度。加大对应用系统柜员管理、密码安全设置、系统安全日志方面的管控和监督力度,防范系统非法操作和非法访问风险。进一步完善系统安全、用户管理的审批及例外处理机制,制定相关实施细则和管理流程。11、 加强集团非商业银行附属机构与总行保持会计政策的一致性。持续跟踪和分析国内监管机构出台的会计政策规定,与相关的境外附属公司进行沟通,适当调整并表会计政策和处理程序;对未予调整的内容,保留记录文档。12、 在授信业务方面,强化对地方政府风险敞口的管理及平台5贷款现金流分析。加强海外机构信贷信息的收集分析,完善贷款组合监
11、控管理。加强授信承诺业务数据的完整性和准确性、表外业务五级分类支持信息的完整准确性。加强对金融资产终止确认的管理。13、 在资金业务方面,完善资金业务对金融机构及工商企业的交易对手方信用风险的管理和监控,基于交易头寸的公允价值评估信用额度占用情况,加强对信用额度的监控。14、 在中间业务方面,加强对公财务顾问业务合同签订规范和收入确认管理,确保严格按照权责发生制原则确认财务顾问费。(四)信息与沟通15、 提高财务报告披露信息的自动化处理能力。继续推进新线下财务报告信息披露项目开发和海外信息在总行的集中工作。 16、 完善集团内部交易信息报告机制。完善和统一集团内部交易的管理和统计报告制度,加强
12、附属公司向集团的沟通,定期报送内部交易信息和数据,确保集团内部交易信息和数据的准确完整。(五)内部监督17、 建设集团操作风险一体化监控平台。按照集中化、专业化、信息化原则,建立“流程控制+系统控制+现场控制”的基层管控模式,最大化的实现机控代替人控,最大化的实现集中监督和控制,提高网点内控效能。集团一体化监控平台的基本路径是,有机整合总分行现有的事后监督、视频监控、预警监控、辅助检查、反洗钱监测等非现场监控系统,集中分散的监控资源,建立专业化的分析监控队伍,甄别筛查异常交易,进行集中化、专业化分析,侦测和预警欺诈舞弊风险。平台建设工作于 2011 年底前制定完成系统需求,2012 年完成平台
13、开发并投产。618、 研究完善内控评价体系。在现有的评价方案基础上,进一步研究完善内部控制评价体系,建立起适用于各业务条线、境内分行、海外分行、附属机构的整体框架,从“环境”、 “过程”和“结果”等维度,对内控运行情况以及内控工作质量成效进行综合评价,并将评价结果应用于绩效考核和经济资本配置。三、三、 实施组织安排。实施工作由总行风险管理与内部控制委员会全面领导。风险管理总部负责牵头组织推进,定期向稽核委员会报告实施进展。总行各条线部门、境内分行、海外分行和附属机构,负责具体落实内控规范的实施任务和要求。各行风险管理与内部控制委员会充分发挥领导和推动作用,组织、协调、督导、评价实施工作。1、年
14、内组织开展专题培训。9 月份,在风险总监培训班中进行内控规范培训专题。10 月份,总行召集境内外机构内控与操作风险牵头部门负责人,专门组织内控规范培训班。2、建立密切的实施进展监控机制,风险管理总部按月跟踪和评价各分行、各条线的实施工作完成情况。3、建立风险、财管、公司、个金、金融市场、运营、信科、稽核等内控规范实施核心部门的紧密沟通机制,确定 2011 年 10 月、11 月、12 月中旬召开沟通会,邀请普华参加,共同推动重要内控问题的整改工作。4、各行在组织内控规范实施过程中,将应用操作风险管理工具、定期报告操作风险管理进展、 “深化内控和案防制度执行年”活动等工作统筹结合在一起,建立一套
15、体系来规范制度、机制、流程,解决实践中突出的内控问题。5、总行和 21 家境内分行接受普华现场内控测试。普华境内测试的范围是,总行,广东、江苏、浙江、山东、北京、深圳、上海的全7部流程,以及河北、辽宁、天津、福建、安徽、湖南、宁波、湖北、内蒙古、云南、江西、广西、甘肃、贵州的部分流程。6、10 家海外分行、附属公司接受普华现场内控测试。普华海外测试的范围是,中银香港重要会计科目的关键控制,中银投股权投资管理及财务报表合并流程,中银航空租赁飞行设备和无形资产的减值评估等流程,中银国际代客股票交易以及财务顾问业务流程,中银集团保险的保险业务收入、理赔及准备金流程,伦敦分行衍生金融工具、贵金属及资金
16、拆放流程,纽约分行衍生金融工具,悉尼、新加坡和东京分行资金拆放流程。7、组织整改和验收。总行各条线部门、境内分行、海外分行和附属机构,按照内控规范实施工作任务分解表落实整改任务。对于7-9 月普华现场内控测试发现的问题,要及时细化整改计划,于 2011年底前,迅速采取整改措施,如短期内无法实现根本性整改,要采取补偿性控制措施,并向集团风险总部报告。上述整改工作的总体要求是,2011 年底前,确保财务报告和非财务报告内部控制不存在重大缺陷。2011 年 11 月到 2012 年 1 月,普华测试补偿性控制及整改结果,风险管理总部和普华负责共同组织验收。 (实施工作安排见附件 2内控规范实施工作时间表)附件:附件:1、内控规范实施工作任务分解表2、内控规范实施工作时间表8附件 1:中国银行企业内部控制基本规范实施任务分解表一、 内控环境(6 项)编号编号任务任务任务描述任务描述责任部门责任部门/ /机构机构是否影是否影 响财务响财务时间安排时间安排1进一步落实操作风险与 内部控制组织架构和管 理职责,完善内控运行 机制 内部控制体系全面覆盖公司金融、个人金
