1傳閱文件傳閱文件傳閱文件傳閱文件 169169169169/ / / /B/2002B/2002B/2002B/2002- - - -DSB/AMCMDSB/AMCMDSB/AMCMDSB/AMCM ( ( ( (日期日期日期日期: : : : 二零零二年十一月廿一日二零零二年十一月廿一日二零零二年十一月廿一日二零零二年十一月廿一日) ) ) ) 信用機構內部控制指引信用機構內部控制指引信用機構內部控制指引信用機構內部控制指引 《澳門金融管理局》(AMCM)按照三月十一曰第 14/96/M 號法令核准之《通則》 第九條,以及七月五日第 32/93/M 法令核准之【澳門金融體系法律制度】第六 條所賦予的權限,制定本指引 1.1.1.1. 引言引言引言引言 1.1 有效的內部控制體系是銀行管理的重要組成部分,也是銀行安全穩健 運行的基石薄弱或低效的內部控制造成了許多銀行的損失,也是世界一些銀 行倒閉的原因之一如果具備有效的內部控制機制,許多情況在實際損失出現 之前是可以避免或發現的考慮到有效內部控制體系在確保銀行安全穩健經營 中的日益重要性,金融管理局爲此發佈本指引。
1.2 本指引適用於所有在澳門註冊的信用機構和外國銀行分行(爲方便起 見,以下簡稱“銀行”)本局認識到並不是所有機構都能採用本指引的所有 方面,但每一個銀行都應建立、維持和運行一套有效的內部控制體系,該體系 應與其規模、業務的性質、範圍和風險相適應雖然大銀行與小銀行規模有 別,但同樣要建立嚴謹及有效的內部控制體系本局將以本指引爲基礎,對銀 行的內部控制體系進行密切的監測,並對其質量和有效性加以評價 2.2.2.2. 內部控制目標內部控制目標內部控制目標內部控制目標 雖然銀行業發生了巨大變化,但有效內部控制的基本概念則是一樣的內部控 制是爲確保銀行以安全,審慎和可控制的方式營運實現其目的及長期盈利目 標具體來說,有效的內部控制體系可以確保銀行達到下述目標: · 業務經營是高效的; · 交易記錄是精確的; · 財務報表及管理報告是可信及全面的; · 風險管理是有效的; · 銀行切實遵守有關法規、內部政策和程序 23.3.3.3. 內部控制的原則內部控制的原則內部控制的原則內部控制的原則 銀行在建立內部控制系統時,應遵循下列原則: 3.1 有效性內部控制必須是持續的,被所有職員所理解,以保證董事會 和管理層的政策能有效地執行。
同時,內部控制必須體現對董事會和管理層的 失職予以嚴懲的精神 3.2 審慎性內部控制的核心是有效地消減銀行風險,因此,在建立內部 控制系統時,應對審慎性原則予以優先考慮 3.3 全面性內部控制政策與程式應涵蓋銀行業務及運作的各個方面 3.4 及時性內部控制在銀行業務開始經營時就應建立起來,並能及時發 出預警資訊,以便管理層能儘早採取糾正措施以消減和避免潛在的風險 3.5 獨立性評價內部控制系统的職能應與制定和執行職能分開內部控 制的質量恰當性應予以獨立評估 4.4.4.4. 內部控制的要素內部控制的要素內部控制的要素內部控制的要素 內部控制由以下五個關鍵要素組成: · 控制環境; · 風險識別與評估; · 控制活動; · 會計、資訊和交流系統; · 監測與糾正 4.14.14.14.1 控制環境控制環境控制環境控制環境 控制環境反映了董事會與管理層對內部控制的承諾,並構成控制體系的結構與 規則控制環境主要包括: · 銀行的組織結構; · 管理哲學與經營風格; · 人員的誠信、道德與競爭力; · 影響銀行經營與風險管理的外部因素,如獨立的審計; 3· 董事會或其委員會所提供的方向與重點; · 人力資源政策與程式的有效性。
4.1.1 董事會有責任制定、批准和定期評估銀行的整體業務戰略及重大政 策;瞭解銀行的主要風險,設立風險上限並確保高級管理層有相應手段來識 別、衡量、監測和控制這些風險;批准公司結構;明確權責;有效地利用內外 部審計的工作成果,並認識到控制職能的重要性 董事會應與管理層定期討論有關內部控制的效率;及時檢查內部控制的評估程 式和結果;確保管理層對有關各方如法規制定者、股東與客戶對內部控制缺陷 的建議進行跟進;對銀行的戰略和風險上限是否恰當與合理進行評價 4.1.2 高級管理層有責任執行董事會的指令,包括推行銀行的戰略和政策 高級管理層應維持一個權責分明、報告關係明晰的組織結構責任的分配應確 保報告體系不存在溝壑,確保管理控制的有效性覆蓋到銀行各個部門和各項業 務活動實行授權制是管理的必要組成部分,但各級管理層應對其相應授權部 門進行監督,保證其恰當地履行職責 高級管理層應負責建立一個識別、衡量、監測和控制風險的程式,以及招聘、 獎勵有能力職員的程式,以吸引優秀人才進入銀行 4.1.3 強大的控制文化是內部控制系統有效性的一個重要要素董事會與高 層管理人員應負責維持一個高道德與誠信標準,在銀行內部形成一個強調內部 控制重要性的文化。
銀行內所有人員都需清楚其在內部控制過程中的作用,並 完全參與這一過程 另外,銀行應避免採取一些鼓勵不恰當行動的政策與做法業務指標的取得決 不可以隱藏長期風險爲代價 4.24.24.24.2 風險識別與評估風險識別與評估風險識別與評估風險識別與評估 風險識別與評估是董事會和管理層用來發現和分析有礙於銀行取得其既定目標 的風險的過程,這一過程應有助於識別風險,以及應採取何種控制措施等下 列因素的變化可引起風險的出現或變化: · 銀行經營環境的變化; · 出現新的人員; · 新的資訊系統; 4· 快速的增長; · 新技術的出現與應用; · 新産品或新的業務; · 合併或重組; · 會計制度的改變 4.2.1 風險評估應能發現和評估可能逆向影響銀行經營業績和合規性目標的 內外部因素,並應包含銀行面臨的所有風險,如信貸風險、國家及轉移風險、 市場風險、利率風險、流動性風險、操作風險、法律風險以及信譽風險等 4.2.2 每一項業務活動都應進行風險評估,並應涵蓋業務領域的各個方面 有效的風險評估包括可測量和不可測量兩個方面,並切實權衡控制的成本與收 益 4.2.3 通過風險評估應決定哪些風險是銀行自己可以控制的,哪些是銀行自 己不能控制的。
對於銀行自己可以控制的風險,銀行必須決定是否接受它,以 及通過控制程式希望將風險消減到何種程度對於不能控制的風險,銀行應決 定是接受這些風險,還是退出該業務或減少業務活動範圍等 4.2.4 內部控制體系應不斷修改以反映新的或過去未曾覆蓋的不可控制的風 險例如,隨著金融創新的出現,銀行就需要評估新的金融工具和市場交易, 並考慮與這些活動相關的風險 4.34.34.34.3 控制活動控制活動控制活動控制活動 4.3.1 控制活動包括確保董事會和管理層決策得以執行的政策、程式和實際 做法它有助於董事會和管理層來有效地管理和控制那些影響銀行經營或造成 其損失的風險另外,有關控制活動的政策應確保對銀行內部控制人員履行職 責的好壞進行獨立的評價,例如,由非內部控制人員來評價等 控制活動的步驟主要有兩個:(1)制定控制政策和程式;(2)核證這些政策 和程式之遵守 4.3.2 控制活動應運用到銀行內的各級組織和職能部門,包括: · 經營活動與業績評估例如,對銀行實際經營活動及業績與預計或要求 的、或上一期的進行比較和評估通過比較,銀行可以發現變化的原 因,並決定如何調整銀行的目標和業務重點等。
5· 資訊加工資訊系統控制活動大致可歸納成兩組:一般控制和應用控 制一般控制通常包括對資料中心的運行、軟體獲取與維護等的控制 這類控制適應於主機、伺服器、終端平臺和內外網路等應用控制適應 於規範交易活動的程序,以確保這些交易是有效、精確和有相應授權 的 · 執行風險限制的規定銀行風險管理的一個重要方面就是對有關業務活 動實施審慎性的風險限制例如,對借款人和交易對手的授信限額就可 有效地減少銀行的信貸集中,分散銀行的風險內部控制的一個重要方 面就是監控遵守風險限額的情況以及對不遵守行爲的跟進措施 · 審批與核准適當的授權並不影響必要的核准程序,不同限額或條件的 交易或活動都必須有與之相應的批核程序只有這樣,才能確保管理階 層對業務經營情況的了解,並提高管理過程中的問責性 · 驗證與核對對業務活動、交易記錄以及各種内部處理或管理系統所產 生的資料等進行查驗,可以幫助銀行確保營運、財務以及管理信息的真 實、準確、可靠同時,定期的資料核對也有助於銀行發現錯誤甚至問 題,從而可以迅速採取行動予以補救在驗證及核對的過程中,如發現 任何不尋常的情況,必須及時上報管理層 · 實物控制一般地,這些活動可以確保銀行資産的安全。
包括保護資産 及其記錄,對進入電腦系統及檔案資料的限制,以及對這些實際資産或 負債與控制記錄上所顯示的加以比較等 · 職責分離銀行可通過把交易授權、交易記錄和資産託管等業務授予不 同的人進行,以達到職責分離的目的職責分離是爲防止任何人可以通 過其所從事的業務來隱瞞錯誤或從事違規活動通過職責分離,應能及 時發現、減少和即時監控具有潛在利害衝突的領域 4.3.3 控制活動應視爲銀行日常活動的一個組成部分,而不僅僅是一個補 充若高級管理人員只停留在建立相應的政策和程式上是遠遠不夠的他們必 須確保銀行的各個部門和各項業務活動都遵循了這些政策與程式,並應決定現 行政策與程式是否適當 4.44.44.44.4 會計、資訊和交流系統會計、資訊和交流系統會計、資訊和交流系統會計、資訊和交流系統 會計、資訊和交流系統是使銀行職工在履行其職責時能收集和交換相應的資 訊會計系統包括收集、分析、分類和報告銀行交易的方法與記錄資訊系統6整理出關於銀行經營、財務、風險管理與合規性等報告,以幫助董事會和管理 層進行決策交流系統是將資訊在銀行內部各個層次傳遞,並應傳遞到外部相 關機構和人員,如法規制定者、監管者、股東與客戶等。
4.4.1 有效的內部控制系統需要有完整且適當的內部帳戶、財務、經營和合 規性的資料,以及與決策有關的外部市場信息等這些資訊必須是可靠、及 時、一致的 4.4.2 有效的內部控制系統也需要建立管理資訊系統,該系統應涵蓋銀行業 務的所有方面,包括以電子資訊存在的資訊,並應是安全、獨立監控和由相應 應急安排所支援的 4.4.3 有效的內部控制系統需要有有效的溝通渠道,以確保所有職員完全瞭 解並執行相關政策與程式,有關資訊能及時送達相關人員 高級管理人員應建立一個資訊交流渠道,以保證資訊的暢通和準確,並在銀行 內部建立一個有助於資訊上下縱橫流通的公司結構 4.54.54.54.5 監控與糾正監控與糾正監控與糾正監控與糾正 最少包括五個方面: · 應即時監控內部控制系統的有效性即時監控的優勢在於能及時快速地 甄別與糾正系統中的缺陷,並有助於管理層及早採取行動一些關鍵性 風險更應成爲銀行日常監控的一個組成部分外部審計在監控銀行內部 控制政策和程式方面具有重要作用,本局認爲,對外部審計質量的評估 應包含這一部分 · 內部審計應具有高度的獨立性按個別銀行認為合適之方式,內部審計 人員應直接或透過審計委員會向董事會報告。
董事會負責設立和監控審 計職責的發揮,並決定內部審計的頻率,以確保銀行財務報表和報告的 準確性一個明晰而有重點的審計體系應獨立評價內部控制的質量和效 率,並應成爲防止內部控制失靈的一個主要防火牆鑒於其重要性,內 部審計人員應該經過專業培訓、精幹且對其職責暸如指掌 · 對內部控制有效性監控的人員應來自不同的領域,包括各業務部門、財 務部門以及內部控制部門本身等 7· 內部控制的缺陷,不論是哪一個部門發現的,都應及時報告相應的管理 層,嚴重的則應。