中国银行《企业内部控制基本规范》及配套指引实施方案版.docx
《中国银行《企业内部控制基本规范》及配套指引实施方案版.docx》由会员分享,可在线阅读,更多相关《中国银行《企业内部控制基本规范》及配套指引实施方案版.docx(45页珍藏版)》请在冰豆网上搜索。
中国银行《企业内部控制基本规范》及配套指引实施方案版
中国银行股份有限公司
《企业内部控制基本规范》及配套指引实施方案
(2011年版)
2011年是《企业内控基本规范》(下称“内控规范”)实施的元年,我行作为首批实施试点企业,将以此为契机,进一步完善内控治理结构、运行机制、政策制度、技术手段和专业队伍,建设与大型跨国银行集团相适应的内部控制体系。
为此,特制订本方案。
一、总体实施目标。
我行的总体目标是逐步建立起“全面、全部、全过程,可靠、可控、可持续”的集团内部控制与操作风险管理体系,实现内控规范提出的“报告准确、依法合规、资产安全、保障效率、战略发展”五大控制目标。
具体讲就是“全面风险管理、全部业务流程、全过程控制,体系可靠、风险可控、运行可持续”。
2011年底前,我行应确保涉及财务报告的内部控制设计和执行有效,非财务报告内部控制不存在重大缺陷,这是达到总体目标的必要步骤。
二、实施任务。
控制环境、风险评估、控制活动、信息与沟通、内部监督内控规范的五项核心要素,我行的内控规范实施工作按照五要素,对现有内控体系进行完善。
实施任务共61项(详见附件1《中国银行<企业内部控制基本规范>实施任务分解表》),其中33项与财务报告相关的内控任务,应于2011年底前得到实质性解决或改善,确保不影响财务报告完整准确。
28项非财务报告内控任务,应确保2011年底前不存在重大缺陷。
重点实施任务如下:
(一)控制环境
1、完善内控与操作风险管理运行机制和制度体系。
根据内控规范的全面性要求“内部控制应当覆盖各种业务和事项”,内部控制将进一步覆盖人力资源、集中采购、电子银行、信息科技等条线。
公司金融、个人金融、金融市场、运营服务四业务总部委员会讨论内控与操作风险问题的会议,风险管理总部操作风险模块应当参加。
重检和评估现行内控制度。
对照监管要求、新线运行模式,补充完善缺失的制度,修订或废止不适宜的制度,优先补充制定业务持续经营、反欺诈舞弊、风险隔离机制和新线下亟待完善的制度等。
结合新协议操作风险项目的落地实施,重检和修订现行的操作风险与控制评估、关键风险指标、损失数据收集、新产品风险评估等制度规定。
2、推进海外分行和附属公司内控建设。
海外分行和附属公司应结合自身特点,按照三道防线的理念,建立完善自身内控与操作风险管理体系,覆盖本机构各业务条线和人员、系统、流程、外部事件等操作风险事项。
根据集团统一政策制度,完善内控制度体系。
应用集团统一的操作风险管理工具,建立运行操作风险与内部控制的识别、评估、缓释、监控和报告机制。
使用集团统一报告模板,按季度向总行风险管理总部报告本机构风险控制状况(包括当地监管、外审、稽核发现的主要问题和整改情况)。
3、进一步推进建设企业内控文化。
当前,国内外环境变化和我行业务发展速度较快,为保证持续健康发展,全行要从健全机制和流程、强调一把手的重视、弘扬诚实守信的价值观和职业道德等方面入手,推进建设企业内控文化。
下半年,举办全行“内部控制建设”征文和论坛活动,讨论银行业内控实践的有益经验、突出问题和挑战,鼓励内控与操作风险管理创新,组织开展内控管理创新和优秀评选,引导和激励全行对内控工作提出创新思路和建议。
4、建设专业队伍和培养专业能力。
建立起全面、动态、专业的内控培训机制,将重要岗位、重要人员的内控培训与业务权限、考核评价、职业发展相挂钩。
对风险总监进行专业化培训,境内一级分行CRO要尽快适应新的工作要求,完成CCO向CRO的转型,重点强化内控与操作风险管理领域的专业能力和胜任度。
建立内控与操作风险管理的分析师队伍,建立专业序列、任职资格标准、人员交流机制。
配合网点转型,培养适应基层内控管理需要的内控骨干力量,力争在三年内培养1万名基层网点内控人才。
(二)风险评估
5、提高内部控制与风险管理的前瞻性。
在内控管理过程中,做到“主动管理、主动评估、主动预判”。
运用情景分析等方法预测风险,模拟在外部环境变化、极端事件发生等情景下风险发生的可能性和影响度。
运用“触发式”操作风险评估机制,对新产品、新系统、流程再造、内外部发生的重大损失事件,主动分析预判潜在风险敞口,采取防控措施。
密切关注和防控平台贷款、房地产信贷、贷后管理、理财产品、民间非法集资、对公账户开户、票据业务、服务价格、网银、电信诈骗、ATM机和银行卡、系统安全等潜在风险。
6、提高内控与操作风险的量化管理能力。
重检和完善关键风险指标(KRI)及阀值。
关键风险指标是为控制关键风险,设置早期预警指标和阀值,并持续监控可能造成重大损失事件的风险及控制状况。
2011年底前全集团将按照以下三个原则,更新和增设现行KRI指标:
补充国内外监管重点关注的风险监测指标;覆盖当前发生的新风险和潜在重大风险;合理调整长期不预警、不敏感的KRI阀值。
附属公司要按照行业标准设计和完善KRI。
指标设置和更新过程中,要注重提高指标数据获取的自动化和可操作性。
应用操作风险内部损失数据(LDC)、外部损失数据等量化风险信息,研究开发操作风险计量模型,测量操作风险暴露水平,计量监管资本和经济资本需求,并用于对各分行、各条线进行动态资本拨备管理。
各境内外机构要高度重视操作风险损失数据的收集和验证工作,提高数据的完整性和准确性。
7、立足新线梳理优化全行业务流程。
风险总部牵头各条线对照新线,以河北、江苏、四川等上线行已取得的流程梳理成果为基础,对原有117个业务流程进行调整和优化。
流程调整优化应遵循“3S”原则(Simplification简单化、Specialization专业化、Standardization标准化),“简单化”即要识别和消除流程中的非增值活动,使流程易于理解、操作和管理。
“专业化”即要将业务运营和风险防控的基本法律、原理和制度,嵌入具体操作环节,使专业要求能够被执行、被感知和被应用。
“标准化”即要将流程操作过程中共同和反复使用的规则固化下来,对操作需要达到的程度、所需时间和资源进行量化定义。
通过梳理优化全行业务流程,要实现新线流程的“岗位职责、业务权限、操作规范、考核标准”四个清晰和统一,规范业务流程实际运作过程。
(三)控制活动
8、建立和规范EUC(终端用户计算工具)的管理控制。
梳理对财务报告披露有重大影响的终端用户计算工具(包括Excel计算表格、数据库等),规范EUC开发、使用、维护机制,针对EUC的变更、版本管理、计算公式验证以及存取访问安全等,建立并实施规范的控制、管理和监督制度。
9、加强资本充足率、资产负债管理基础数据手工填报、汇总过程的内部控制,严格复核和审批手工汇集信息,确保数据完整性和准确性。
10、加强应用系统访问安全控制制度。
加大对应用系统柜员管理、密码安全设置、系统安全日志方面的管控和监督力度,防范系统非法操作和非法访问风险。
进一步完善系统安全、用户管理的审批及例外处理机制,制定相关实施细则和管理流程。
11、加强集团非商业银行附属机构与总行保持会计政策的一致性。
持续跟踪和分析国内监管机构出台的会计政策规定,与相关的境外附属公司进行沟通,适当调整并表会计政策和处理程序;对未予调整的内容,保留记录文档。
12、在授信业务方面,强化对地方政府风险敞口的管理及平台贷款现金流分析。
加强海外机构信贷信息的收集分析,完善贷款组合监控管理。
加强授信承诺业务数据的完整性和准确性、表外业务五级分类支持信息的完整准确性。
加强对金融资产终止确认的管理。
13、在资金业务方面,完善资金业务对金融机构及工商企业的交易对手方信用风险的管理和监控,基于交易头寸的公允价值评估信用额度占用情况,加强对信用额度的监控。
14、在中间业务方面,加强对公财务顾问业务合同签订规范和收入确认管理,确保严格按照权责发生制原则确认财务顾问费。
(四)信息与沟通
15、提高财务报告披露信息的自动化处理能力。
继续推进新线下财务报告信息披露项目开发和海外信息在总行的集中工作。
16、完善集团内部交易信息报告机制。
完善和统一集团内部交易的管理和统计报告制度,加强附属公司向集团的沟通,定期报送内部交易信息和数据,确保集团内部交易信息和数据的准确完整。
(五)内部监督
17、建设集团操作风险一体化监控平台。
按照集中化、专业化、信息化原则,建立“流程控制+系统控制+现场控制”的基层管控模式,最大化的实现机控代替人控,最大化的实现集中监督和控制,提高网点内控效能。
集团一体化监控平台的基本路径是,有机整合总分行现有的事后监督、视频监控、预警监控、辅助检查、反洗钱监测等非现场监控系统,集中分散的监控资源,建立专业化的分析监控队伍,甄别筛查异常交易,进行集中化、专业化分析,侦测和预警欺诈舞弊风险。
平台建设工作于2011年底前制定完成系统需求,2012年完成平台开发并投产。
18、研究完善内控评价体系。
在现有的评价方案基础上,进一步研究完善内部控制评价体系,建立起适用于各业务条线、境内分行、海外分行、附属机构的整体框架,从“环境”、“过程”和“结果”等维度,对内控运行情况以及内控工作质量成效进行综合评价,并将评价结果应用于绩效考核和经济资本配置。
三、实施组织安排。
实施工作由总行风险管理与内部控制委员会全面领导。
风险管理总部负责牵头组织推进,定期向稽核委员会报告实施进展。
总行各条线部门、境内分行、海外分行和附属机构,负责具体落实内控规范的实施任务和要求。
各行风险管理与内部控制委员会充分发挥领导和推动作用,组织、协调、督导、评价实施工作。
1、年内组织开展专题培训。
9月份,在风险总监培训班中进行内控规范培训专题。
10月份,总行召集境内外机构内控与操作风险牵头部门负责人,专门组织内控规范培训班。
2、建立密切的实施进展监控机制,风险管理总部按月跟踪和评价各分行、各条线的实施工作完成情况。
3、建立风险、财管、公司、个金、金融市场、运营、信科、稽核等内控规范实施核心部门的紧密沟通机制,确定2011年10月、11月、12月中旬召开沟通会,邀请普华参加,共同推动重要内控问题的整改工作。
4、各行在组织内控规范实施过程中,将应用操作风险管理工具、定期报告操作风险管理进展、“深化内控和案防制度执行年”活动等工作统筹结合在一起,建立一套体系来规范制度、机制、流程,解决实践中突出的内控问题。
5、总行和21家境内分行接受普华现场内控测试。
普华境内测试的范围是,总行,广东、江苏、浙江、山东、北京、深圳、上海的全部流程,以及河北、辽宁、天津、福建、安徽、湖南、宁波、湖北、内蒙古、云南、江西、广西、甘肃、贵州的部分流程。
6、10家海外分行、附属公司接受普华现场内控测试。
普华海外测试的范围是,中银香港重要会计科目的关键控制,中银投股权投资管理及财务报表合并流程,中银航空租赁飞行设备和无形资产的减值评估等流程,中银国际代客股票交易以及财务顾问业务流程,中银集团保险的保险业务收入、理赔及准备金流程,伦敦分行衍生金融工具、贵金属及资金拆放流程,纽约分行衍生金融工具,悉尼、新加坡和东京分行资金拆放流程。
7、组织整改和验收。
总行各条线部门、境内分行、海外分行和附属机构,按照《内控规范实施工作任务分解表》落实整改任务。
对于7-9月普华现场内控测试发现的问题,要及时细化整改计划,于2011年底前,迅速采取整改措施,如短期内无法实现根本性整改,要采取补偿性控制措施,并向集团风险总部报告。
上述整改工作的总体要求是,2011年底前,确保财务报告和非财务报告内部控制不存在重大缺陷。
2011年11月到2012年1月,普华测试补偿性控制及整改结果,风险管理总部和普华负责共同组织验收。
(实施工作安排见附件2《内控规范实施工作时间表》)
附件:
1、《内控规范实施工作任务分解表》
2、《内控规范实施工作时间表》
附件1:
中国银行《企业内部控制基本规范》实施任务分解表
一、内控环境(6项)
编号
任务
任务描述
责任部门/机构
是否影响财务
时间安排
1
进一步落实操作风险与内部控制组织架构和管理职责,完善内控运行机制
Ø内部控制体系全面覆盖公司金融、个人金融、金融市场、运营服务、人力资源、财务管理、集中采购、电子银行、信息科技等条线。
总分行各业务条线,要将操作风险与内部控制嵌入业务决策、执行和监督的全过程,执行财务报告相关的重要控制,控制住重大风险敞口。
Ø公司金融、个人金融、金融市场、运营服务四业务总部委员会讨论内控与操作风险问题的会议,风险管理总部操作风险模块应当参加。
总行风险管理总部、公司金融、个人金融、金融市场、运营服务四总部、人力资源部、财务管理部、集中采购中心、电子银行部、信息科技部、信息中心、软件中心、测试中心、管理信息中心。
一级分行比照上述总行部门范围
N
2011年底完成
2
推动海外分行和附属公司内控建设
Ø海外分行和附属公司应结合自身特点,按照三道防线的理念,建立完善自身内控与操作风险管理体系,管理体系要覆盖本机构各种业务和事项。
Ø参照集团统一政策制度,建立运行操作风险与内部控制的识别、评估、监控和报告机制。
使用集团统一报告模板要求,按季度向总行风险管理总部报告本机构风险控制状况(包括当地监管、审计师、总行稽核发现的主要问题和整改情况)。
风险管理总部牵头、海外分行及附属公司
N
2012年底前完成
3
完善内控制度、优化内控制度制定与传导。
研究建立内控制度体系,解决内控制度缺失和不完善的问题
Ø对照监管要求、新线运行模式,重检和评估现行内控制度,补充完善缺失的制度,修订或废止不适宜的制度,优先补充制定业务持续经营、反欺诈舞弊、风险隔离机制和新线下亟待完善的制度等。
风险管理总部、办公室及相关部门
N
2012年底前完成
Ø结合新协议操作风险项目的落地实施,重检和修订现行的操作风险与控制评估、关键风险指标、损失数据收集、新产品风险评估等制度规定。
风险管理总部牵头相关部门
2012年底前完成
4
加强风险与内控管理领域培训,建设专业队伍和培养专业能力
Ø建立起全面、动态、专业的内控培训机制,将重要岗位、重要人员的内控培训与业务权限、考核评价、职业发展相挂钩。
风险管理总部、人力资源部
N
2012年底前完成
Ø对总行业务条线风险总监、海外和境内一级分行风险总监进行专业化培训,境内一级分行CRO要尽快适应新的工作要求,完成CCO向CRO的转型,重点强化内控与操作风险管理领域的专业能力和胜任度。
风险管理总部、各总部与境内外机构
2011年底前完成
Ø建立内控与操作风险管理的分析师队伍,建立专业序列、任职资格标准、人员交流机制。
配合网点转型,培养适应基层内控管理需要的内控骨干力量,力争在三年内培养1万名基层网点内控人才。
风险管理总部、各总部、各部门
2012年底前完成
5
加强企业文化建设、履行社会责任。
传导低碳、节能、环保理念
Ø举办全行“内部控制建设”征文和论坛活动,讨论银行业内控实践的有益经验、突出问题和挑战,鼓励和推进内控与操作风险管理创新,引导和激励全行对内控工作提出创新思路和建议。
风险管理总部牵头
N
2011年底前完成
6
优化网点职位设置与人员配置,确保基层机构不相容岗位有效分离
配合网点转型,优化网点内控模式。
个人金融总部牵头
N
2012年底前完成
二、风险识别与评估(7项)
编号
任务
任务描述
责任部门/机构
是否影响财务
时间安排
7
提高内部控制与风险管理的前瞻性
Ø运用情景分析等方法预测风险,模拟在外部环境变化、极端事件发生等情景下风险发生的可能性和影响度。
运用“触发式”操作风险评估机制,对新产品、新系统、流程再造、内外部发生的重大损失事件,主动分析预判潜在风险敞口,采取防控措施。
总分行内控牵头部门及各业务条线部门
N
2012年底前完成
Ø2011年下半年,密切关注和防控平台贷款、房地产信贷、贷后管理、理财产品、民间非法集资、对公账户开户、票据业务、服务价格、网银、电信诈骗、ATM机和银行卡、系统安全等潜在风险。
总分行各业务条线部门
2011年底前完成
8
提高内控与操作风险的量化管理能力。
重检和完善关键风险指标(KRI)及阀值
Ø补充国内外监管重点关注的风险监测指标
Ø覆盖当前出现的新风险,开发新指标
Ø调整优化关键风险指标(KRI)和阀值。
Ø指标设置和更新过程中,注重提高指标数据获取的自动化和可操作性。
风险管理总部牵头各总部、部门,境内外机构
N
2011年底前完成
应用操作风险内部损失数据(LDC)、外部损失数据等量化风险信息,研究开发操作风险计量模型,测量操作风险暴露水平,计量监管资本和经济资本需求,并用于对各分行、各条线进行动态资本拨备管理。
各境内外机构要高度重视操作风险损失数据的收集和验证工作,提高数据的完整性和准确性。
风险管理总部牵头境内外机构
2012年底前
9
立足新线梳理优化全行流程
Ø以河北、江苏、四川等上线行已取得的流程梳理成果为基础,对原有117个业务流程进行梳理,实现新线下业务流程“岗位职责、业务权限、操作规范、考核标准”四个清晰和统一,规范业务流程实际运作过程。
风险管理总部牵头各总部、各部门和上线分行
N
2012年底前完成
Ø按照简单化、专业化、标准化原则,优化业务流程。
各总部、各部门
2012年底前完成
10
信用风险管理领域:
Ø短期,需进一步完善行业监控指标管理方案、风险集中度资本影响计量模型以及巴塞尔协议II项目的实施。
Ø长期,加强相关风险信息系统整改,通过BANCS系统及IT蓝图外围系统实现授信资产从行业、地区等组合层面的集中度风险监控。
风险管理总部(信用风险)牵头、信息科技部配合落实
Y
2012年底前完成
10.1加强行业集中度风险的监控
10.2加强海外机构贷款信息收集和分析
Ø加强国别风险管理及海外信贷资产历史数据收集和分析,从制度层面督促海外机构着手收集海外贷款组合评估所需要的历史数据,完善海外贷款组合监控管理,改进海外贷款组合减值准备评估方法。
风险管理总部(信用风险),公司金融总部(公司业务)共同落实,境外机构配合落实
2011年底前完成
10.3完善资金业务对金融机构及工商企业的交易对手方信用风险的管理和监控
Ø完善资金业务交易对手信用风险管理办法。
Ø梳理金融产品,识别高风险产品并按照公允价值进行管理;对于交易对手信用风险的财务报告影响进行定期评估。
风险管理总部(信用风险),公司金融总部(金融机构)、金融市场总部(交易模块)、财务管理部共同落实
2011年底前完成
11
通过新协议实施,完善全面风险管理和资本管理制度及技术手段,满足新协议的合规达标要求
Ø落实银监会发布的相关监管政策文件,通过银监会合规达标评估。
风险管理总部(新协议办公室)牵头
N
2011年底前完成
12
加强对信贷资产风险分类的动态调整
Ø向IT部门提出需求,改善信贷相关系统,推进风险预警和风险事件发现及提示功能的实现,及时发现风险变化,进行分类动态调整。
风险管理总部(信用风险)、公司金融总部(公司业务)共同落实
Y
2011年底前完成
13
持续完善集团资产负债、流动性和银行账户利率风险的管理
Ø在资产负债和流动性管理方面,完善活期存款沉淀率的计算模型,扩展相关情景分析和压力测试的覆盖范围和相应的管理举措。
同时重新评估投资结构,使金融资产分类更加符合当前通过活跃买卖管理投资的需要,以便更有效满足不断变化的流动性需求。
Ø在利率风险管理方面,通过推进ILMS(利率与流动性管理系统)二期的实施,逐步实现对境内行银行账户利率风险管理动态管理。
财务管理部、风险管理总部(市场风险)共同落实
N
2011年底前完成
三、控制活动(41项)
编号
任务
任务描述
责任部门/机构
是否影响财务
时间安排
14
加快IT蓝图的实施进程以完善银行对公授信风险管理
Ø按计划推进IT蓝图及外围系统的建设及试点工作,及时有效地监控与风险相关的资产质量。
风险管理总部(新协议办公室)
Y
2011年底前完成
15
加强对单一客户或集团客户总体授信额度和风险敞口的控制
Ø通过IT蓝图实施,实现汇总单一客户和集团的授信总额及其使用情况,实现对客户风险敞口的有效监控。
Ø针对海外贷款,短期内继续采取手工方式对部分重要集团客户的授信情况进行汇总;长期加快建立针对海外集团客户管理的系统,完善海外集团客户授信管理。
风险管理总部(信用风险、新协议办公室)、公司金融总部(公司业务)共同落实,境外机构配合落实
Y
2011年底前完成
16
强化对政府平台贷款的贷后管理与监控
Ø近期,强化对地方政府风险敞口管理,进一步加强平台贷款现金流分析。
Ø中长期,强化监控抵质押物的变现,持续监控地方政府债务和偿债能力,监控现金流与还款期限的匹配,对平台贷款进行量化评估。
风险管理总部(信用风险)、公司业务模块共同落实
Y
2011年底前完成
17
加强对押品的变现比率分析,利用分析结果修改贷款的抵押条件
Ø定期搜集抵押物变现的数据,为分析积累数据基础;完成对分行典型押品处置案例的报告,及对押品变现的持续性分析。
Ø长期,进一步加强CCMS系统CVS(押品估值系统)模块的完善,建立集中、统一的押品信息平台,以对全行的押品信息进行管理。
Ø风险管理总部(授信执行)
Y
2011年底前完成
18
将重要贷款抵押物保险政策正式化
Ø在全辖范围尽快完成风险缓释系统(CRMS)的预警模块升级,确保通过IT系统实现保险效期的自动提示及更新。
Ø风险管理总部(授信执行)
N
2012年底前完成
19
加强对借新还旧贷款和展期贷款的有效分析
Ø短期,加强对借新还旧贷款和展期贷款在新一代信贷系统中的信息录入和统计,对此类贷款进行有效分析。
Ø长期,目前已将借新还旧贷款和展期贷款纳入日常信贷组合分析,并考虑对迁移模型的影响,还需进一步加强对全行借新还旧贷款和展期贷款的管理和分析。
风险管理总部(新协议办公室、信用风险)、公司金融总部(公司业务)
Y
2011年底前完成
20
完善授信承诺业务的账务处理及对账机制,确保授信承诺数据的完整性和准确性
提高业务人员在系统中录入信息的准确性,尽快在蓝图升级的过程中修改已发现的逻辑缺陷,在过渡期内,要有替代解决方案,保证贷款承诺数据的准确性。
公司金融总部(公司业务)、IT蓝图实施办公室、财务管理部共同落实
Y
2011年底前完成
21
促进业务部门提供完整准确的支持性材料,以有力支持风险管理部门对表外项目的五级分类结果进行独立检查
推动分行使用总行审批模板的进程,实现表外资产五级分类流程标准化。
总行指导分行人员加强审批表的填写质量和内容。
加快分类系统上线的进程,实现表内外资产五级分类信息共享,同一借款人下存、贷、表外业务信息共享。
公司金融总部(公司业务)、风险管理部(信用风险)共同实施
Y
2011年底前完成
22
加强全行范围内资金流动的监控
进一步完善系统,实现全行范围的资金监控,实现信息共享和对资金流向的及时跟踪。
公司金融总部(公司业务)、信息科技部共同落实
N
2012年底前完成
23
加强“问题贷款化解团队”流程
Ø短期,切实有效执行“公司业务条线实施专业化贷后管理方案若干要求的通知”,同时进一步加强问题贷款清收处置的培训工作,充实不良贷款管理人员。
Ø长期,进一步加强公司业务、授信执行等各部门的沟通和配合,不断提升专业化管理团队人员技术水平,确保专业化贷后管理方案的有效实行。
公司金融总部(公司业务、中小企业)、风险管理总部(授信执行)、人力资源部共同落实
N
2012年底前完成
24
加强与贷款终止确认及确认的相关内部控制。
继续对已经签署的已转让贷款的回购协议安排进行梳理,评估对终止确认的影响,并重点关注
升级会员 