商业银行内控评价体系建设实践介绍

中国民生银行内部控制评价体系介绍目录一、民生银行内部控制管理的现状二、内部控制评价体系主要内容介绍三、内部控制评价的创新实践与思考一、民生银行内部控制管理的现状（一）内部控制的组织管理架构◆公司治理结构股东大会、董事会、监事会、高级管理层组成现代公司治理架构，形成了权利机构、决策机构、监督机构、执行机构之间权责分明、各司其职、相互协调的组织架构和运行机制。◆内控组织架构董事会负责建立并实施有效的内部控制体系法律合规部负责全行内部控制建设的统筹工作审计部负责实施内部控制评价监督事宜（二）内部控制管理体系建设状况1、营造良好内部控制环境◆授信业务制约机制独立评审体制：将分行授信审批权限全部上收总行。独立审计体系：由总行垂直领导，独立于经营机构。集中放款制度：分行成立放款中心，从流程和职责上与经营单位脱钩。（二）内部控制管理体系建设状况1、营造良好内部控制环境◆启动流程银行建设公司业务事业部改革：一级经营、一级管理模式推动分行业务转型：两链金融进行支行零售改革：两小金融稳步实施中后台改革：组织机构、岗位体系、绩效管理、业务流程进行全方位整合（二）内部控制管理体系建设状况1、营造良好内部控制环境◆激励机制两率考核、千分制考核、平衡计分卡考核◆企业文化建设诚信、人本、创新理念民生家园，关爱你我活动◆内控理念内控优先、程序至上、审慎经营、依法合规（二）内部控制管理体系建设状况2、全面风险管理体系建设◆信用风险管理对公业务：建立全行法人客户评级和债项评级体系零售业务：建立了涵盖小微贷款、一般零售、信用卡等全部零售业务的申请、行为、催收评分模型初步实现了在客户准入、经济资本、风险调整后的资本收益（RAROC）与经济增加值（EVA）等方面的应用（二）内部控制管理体系建设状况2、全面风险管理体系建设◆操作风险管理设计推出了操作风险与控制自我评估、关键风险指标和损失数据收集三大管理工具；历史损失数据收集工作基本完成。◆市场风险和流动性风险管理完善制订了相关管理办法；初步搭建了管理平台；规范压力测试程序；建立应急处理措施等。（二）内部控制管理体系建设状况3、加强流程控制◆ 规章制度 食品安全规章制度下载关于安全生产规章制度关于行政管理规章制度保证食品安全的规章制度范本关于公司规章制度 建设：建立“流程立规”规章制度管理机制◆业务集中管理：实现“数据大集中”；2013年新核心系统上线，从人防到技防的飞跃◆管理工具：应用平衡计分卡、六西格玛、客户之声三大战略管理工具（二）内部控制管理体系建设状况4、创新监督管理模式◆一线业务经营：践行合规文化，规范营销客户，落实审批要求，主动自查自纠◆二线业务管理：建立正向激励制度，明确合规经营导向，发挥专业优势，主动开展检查和督导◆三线监督纠正：内审以风险为导向，纪检部门构建和完善问责体系（二）内部控制管理体系建设状况5、加快信息化建设步伐◆信息管理：推进企业级数据仓库建设，实施数据质量治理工程。◆信息传导机制：形成了横向覆盖各业务领域、纵向贯穿各级机构、业务条线和工作岗位的信息报告传递机制。◆信息披露：规范了信息披露工作流程和权限，确保信息披露的真实性、准确性和完整性。2012年，我行提出内控管理体系《三年建设规划》◆内部控制框架：内控环境、风险识别与评估、规章制度与措施、合规性检查监督、独立的内部审计、信息沟通交流◆内部控制目标：培育有利于持续发展的内控环境，强化全面风险管理，完善过程控制机制，健全检查监督制度，完善风险导向内审体系，建设信息交流与沟通机制◆内控控制任务：健全完善内控机制和内控技术，加强制度管理与流程优化建设，增强风险管理和经营能力，提高检查监督效能，提升数据管理能力，培育优秀企业文化◆具体实施措施：内控环境建设制度建设机制建设风险防控内控文化建设基础平台建设二、内部控制评价体系主要内容介绍民生银行的内部控制评价分为全行年度内部控制有效性自我评价及经营机构内部控制有效性评价两个层级来开展。根据监管要求，民生银行从2008年开始针对法人层面进行内部控制自我评估，在上交所披露评估报告。经营机构的内部控制评价工作2008年开始实施对所有一级经营机构全覆盖的内控评价，并逐步对评价办法和评价体系进行重新设计和完善。（一）经营机构内部控制有效性评价的内容及范围经营机构内部控制评价是紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素。1、评价内容对内部控制五要素中的评价内容，我行以《企业内部控制基本规范》的有关规范要求和各项应用指引为依据，结合本行的内部控制制度来确定。内部控制五要素包含的内容：◆内部控制环境评价内容：组织结构、管理政策及流程、 岗位职责 总经理岗位职责总经理安全岗位职责工厂保安人员的岗位职责工厂财务部岗位职责工程测量员岗位职责 及授权管理体系的建立和人力资源管理等方面。◆风险评估评价内容：日常经营管理过程中的风险识别、风险分析、应对策略的设计及运行情况等。◆控制活动评价内容：分行各项业务的实际操作控制活动的有效性。◆信息与沟通评价内容：信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性等方面。◆内部监督评价内容：着重于评价内部监督机制的有效性。（一）经营机构内部控制有效性评价的内容及范围2、评价范围十个主要的管理控制和业务流程，即公司层面、综合管理、对公授信、零售授信、零售非授信、私人银行、同业业务、运营管理、财务管理、电子银行。我们对分行的评价内容不是一成不变的，评价内容随着不同时期经营管理模式、战略重点的转变而有所调整。如，私人银行业务、小微业务、资金业务、信息科技。（一）经营机构内部控制有效性评价的内容及范围3、评价工具《内部控制评价手册》是我行内部控制评价时所运用的基本技术工具，评价手册是量化评分的基础依据。分行级内部控制评价手册：包括公司层面、综合管理、公司授信、零售授信、零售非授信、私人银行、资金与票据、运营管理、计划财务、电子银行等十张评价表。每张评价表有约50个左右的控制点，共470个控制点。例：分行级内部控制评价手册评价表样01公司层面业务内部控制评价表02综合管理业务内部控制评价表03对公授信业务内部控制评价表03对公授信业务内部控制评价表03对公授信业务内部控制评价表04零售授信业务内部控制评价表04零售授信业务内部控制评价表05零售非授信业务内部控制评价表05零售非授信业务内部控制评价表05零售非授信业务内部控制评价表06私人银行业务内部控制评价表06私人银行业务内部控制评价表07同业业务内部控制评价表07同业业务内部控制评价表07同业业务内部控制评价表08运营管理业务内部控制评价表08运营管理业务内部控制评价表08运营管理业务内部控制评价表09财务管理业务内部控制评价表09财务管理业务内部控制评价表10电子银行业务内部控制评价表10电子银行业务内部控制评价表（一）经营机构内部控制有效性评价的内容及范围4、评分方法和程序建立数量化的评价指标体系，设定千分制的评分、评级体系。内部控制整体评价和单项流程评价均实行千分制评分。设置内控要素和单项业务流程两个权重指标。◆单项业务流程评价按内部控制要素分配权重，对评价发现问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 按内部控制要素进行归类，按风险等级确定得分，然后加权汇总形成单项业务流程得分。◆各单项业务流程得分按业务流程风险权重加权汇总后，形成整体内部控制评价得分。经营机构内控要素汇总表表样（1）风险等级认定在对问题发现的性质判断上引入风险等级概念，即每个审计发现按照问题发现的损失影响和发生的可能性进行综合判断，赋予风险等级不同的分值，根据最终确定的风险等级进行扣分。◆风险等级矩阵模型风险等级=发现的损失影响×发生的可能性三个因素均分为高中低三档，最终确定的风险等级分别对应相应的扣分区间。风险等级矩阵风险等级对应扣分区间表三个需明确的定义或 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 A风险等级定义B、发生可能性等级划分表C、问题发生损失影响等级划分表各业务条线控制要素评分表例：XX分行综合业务条线控制要素归类汇总计分表例:XX分行内控要素汇总表01公司层面业务内部控制评价表评价战略执行参考指标（2）评分程序a.区域审计中心组织各专业评价小组进行初评；如果存在重大内部控制风险事项，则按照《重大控制风险事项校正评价表》中的标准分值进行内部控制评价的分数调整。b.审计部组织内控评价专家组对各评价工作组的评分结果进行复审。重大控制风险事项校正评价表（3）缺陷认定a.缺陷分类◆重大缺陷：一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形；◆重要缺陷：一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形；◆一般缺陷：除重大缺陷、重要缺陷之外的其他控制缺陷。例：重大缺陷-XX行金库被盗案重要缺陷-信托受益权转让违规一般缺陷-信贷操作中的不规范b.内部控制缺陷认定的原则和程序在内部控制评价中的所有问题发现都应进行内部控制缺陷认定。内部控制缺陷初步的认定由区域审计中心评价组负责，如有重大或重要缺陷的判断，与被评价单位高级管理人员沟通和确认。对内部控制评价中发现的重要缺陷，审计部与高级管理层（行领导）进行沟通和确认。就重大的审计发现向董事会审计委员会汇报，并由其最终认定重大控制缺陷。5、内部控制有效性结论（1）内部控制有效性结论的确定内部控制有效性结论的确定受两个因素的影响，一是控制缺陷的认定结果，二是评价分数的区间。内部控制缺陷和有效性之间存在相互对应关系（2）内部控制评价有效性的认定标准◆有效认定标准：设计适当且得到贯彻执行，不存在控制过度和控制不足，无重大缺陷和重要缺陷。对应（920-1000）分。◆基本有效认定标准：设计适当但个别执行效果不佳，存在控制过度可能，不存在控制不足，无重大缺陷和重要缺陷。对应（850-920）分。◆关注认定标准：存在少量设计缺陷，存在控制过度和控制不足，存在控制过度和控制不足，无重大缺陷和重要缺陷。对应（800-850）分。◆特别关注认定标准：存在较多设计缺陷且涉及范围较广，控制不足情况较为严重，违反行内规章制度疏导总行处罚，存在重要缺陷。对应（700-800）分。◆无效认定标准：存在无控制或控制失效的情况，违反监管机构规定并受到处罚，存在重大缺陷。对应（0-700）分。6、评价报告第一部分内部控制评价基本情况第二部分总体评价第三部分主要审计发现第四部分改进建议7、评价程序评价程序包括：方案培训、非现场准备、现场审计、评价结果认定、报告撰写等阶段。（1）方案培训：培训内容主要是评价要求、审计方法，审计记录说明，沟通与反馈要求，缺陷认定方法等。（2）非现场审计：入场前组织非现场检查，对被评价单位进行调查摸底，利用非现场模型进行预设条件的筛查，确定初步的抽样样本。（3）现场审计：按照职责分工和进度安排进驻现场,对评价方案确定的评价内容实施现场评价。（4）评价结果认定：a.由业务条线评价小组进行初评；按最终确定的风险等级扣分。b.主审人组织评审组对初评分结果进行复核确认；形成经营机构内控要素评分汇总表，经组长审阅后上报总部。c.总部内控评价专家组对各审计中心评分结果进行复审。（5）报告撰写：形成《内控评价意见书》正式发文，报送行内高级管理层，检查发现的问题统一纳入问题库进行后续整改跟进。非现场系统应用说明◆实现审计手段的全面科技化。目前除信用卡业务外，基本涵盖了民生银行所有资产和负债业务和流程。◆非现场专项审计采用的业务流程为：数据抽取→建模→计算→专业人员分析确认→归纳演绎→回归分析处理→报告。◆非现场审计先进性：一是海量数据依据规则筛选，精确制导；二是数据建模，利用数值量化业务特征和风险特征；三是形成数据挖掘专业工作链条；四是业务逻辑通过测试逐步形成，减少实施失败几率；五是节约项目成本，不影响一线的正常经营活动。例：内部控制评价非现场预警模型对X分行票据转贴现业务的内控检查中，“买入返售交易的票源必须为他行票据，禁止以我行卖断票据为质押物的买入返售业务”控制内容。[预警逻辑]--根据监管规范，先搭建预警模型，预警逻辑是分行买入返售和卖断交易的批次内具体登记的票据编号均相同，预警显示规则是按分行和批次为单位显示出分行买入返售+卖断的不合规台帐，预警跑批频率是每日日终跑批。[预警处理]--审计人员对预警结果进行查询，一般按照管辖的分行进行结果筛选，对出现的预警信息，将预警结果导出，在评价中进行现场确认。在某分行上半年内部控制评价中，非现场预警的信息，均证实为非现场预警结果正确，分行业务存在不合规之处。例：非现场审计系统的日常预警方式对于日常经营与操作业务，采取在系统中预设预警规则的方式，进行日常监控。如，会计运营中经常发生的高风险特殊交易进行监控。[预警逻辑]--对日常会计结算中频繁发生的特殊交易，如冲补账、修改密码、转授权等，如单一柜员单日特殊交易超5笔，则作为系统预警列示。预警跑批频率是每日日终跑批。[预警处理]--审计人员对预警结果进行非现场排查，调取影像信息，对于不能确认的，由现场审计人员进行现场核实。（二）年度内部控制有效性自我评估1、作为境内外同时上市的公司，12月份启动法人年度内部控制有效性评价工作。2、在总行层面采取自查和抽查相结合的方法。3、在经营机构层面直接采用年中两次评价及全年后续审计的结果。4、所有问题进行内部控制缺陷认定，填写《内部控制缺陷及整改情况汇总表》。5、对内控缺陷汇总表进行分析。6、全年内部控制有效性自我评价的结论以是否存在重大缺陷来确定。三、内部控制评价的创新实践与思考（一）民生银行在内控评价工作中的创新思路1、以风险导向为核心◆抽样方面：采用了随机抽样和重点抽样相结合的方式。◆实质性检查：对业务条线的检查内容也不仅仅局限于评价表中的内容，针对对经营机构的薄弱环节从重点风险入手。◆结果利用：对内控存在较大缺陷的机构加大检查频率。2、内控评价常态化评价形式上不局限于集中式的全面普查，可以采用多种灵活的方式，结合日常审计、后续审计和审计监督工作进行。全年审计中的风险发现都作为内部控制评价的内容。3、丰富了内控评价的内容在评价内容上增加了对战略执行力、特色业务拓展、经营管理能力等几方面的分析评价，提升了内控报告的高度和水平。（二）内控评价取得的主要成绩及存在的问题◆主要成绩一是内容覆盖面广，涉及到经营机构经营管理和业务活动的全过程。二是便于经营机构间相同业务模块的比较，也更容易发现自身经营管理中的短板。三是近年来一级分行监管一级评级由无到有，比例逐年提高，监管二级评级也由同一级别的较低档位提高到较高档位，监管三级评级已基本消除。四是评价工具作为标准化模板为制定专项检查方案提供支持。◆主要问题：一是审计覆盖面宽，但对审计发现的深度不够。二是不能在一个时点上反映全部经营机构的内控状况，评价结果缺乏可比性。三是内控评价与风险管理的关系还不完全清晰。四是非现场审计系统的应用不够深入。（三）我们对内部控制评价工作的思考◆外部挑战：利率市场化；互联网、手机等新兴金融渠道；新资本 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 主要内容的落实。◆内部挑战：事业部准公司化改革，小微、小区金融的全面推开、中后台的持续变革。我行的内部控制评价工作紧紧依托全行内部审计项目，创新性开展审计工作。1、在战略审计方面我行审计部把对经营机构和管理部门执行董事会战略情况审计纳入了审计的重点内容之一。如：对小微战略执行进行检查对事业部改革进行全面评估2、在管理审计方面我们以促进精细化管理水平提升为目标，开展了资本管理审计，通过对资本计量、资本使用效率、分配机制审计，评价资本管理的合理性和有效性，发挥审计增值功能。如：资本充足率专项审计库存现金限额管理专项审计3、在风险审计方面关注重点区域风险：长三角、珠三角等风险暴露集中和突出的地区。关注受经济下行影响较大的行业：光伏行业、港口行业、能源行业等重点行业。如：华东区域钢贸商融资风险集中爆发煤炭行业风险凸显引发资金链断裂4、加大创新业务审计在开发新产品和开办新业务时，充分发挥内审管理咨询作用，从源头上把握掌控风险。在新业务开展过程中，做好新业务及时跟进审计。如，票据买返的期限滚动套利违规办理资产转让业务5、审计成果利用方面建立了“审计问题库”，进行动态维护。对机构进行内部控制考核打分。对人员分别采取多种形式的问责。谢谢！