银行从业资格考试中级法律法规讲义：第十一章第二节

　　第二节　内部控制

　　内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。

　　一、内部控制目标与基本原则

　　(一)内部控制目标

　　商业银行内部控制的目标包括四个方面，即保证国家有关法律法规及规章的贯彻执行;保证商业银行发展战略和经营目标的实现;保证商业银行风险管理的有效性;保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。

　　(二)内部控制基本原则

　　商业银行内部控制应当遵循以下基本原则：

　　1.全覆盖原则。内部控制应当贯穿决策、执行和监督全过程，覆盖各项业务流程和管理活动，覆盖所有的部门、岗位和人员。

　　2.制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制。

　　3.审慎性原则。内部控制应当坚持风险为本、审慎经营的理念，设立机构或开办业务均应坚持内控优先。

　　4.相匹配原则。内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应，并根据情况变化及时进行调整。

　　二、内部控制治理

　　良好的治理结构是内部控制得以有效实施的前提。银行应当建立良好的公司治理以及分工合理、职责明确、相互制衡、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。

　　董事会负责保证银行建立并实施充分有效的内部控制体系。监事会负责监督董事会、高级管理层及其成员履行内部控制职责。高级管理层负责建立和完善内部组织机构，采取相应的风险控制措施，对内部控制体系的充分性与有效性进行监测和评估。银行应当指定专门部门作为内控管理职能部门，牵头内部控制体系的统筹规划、组织落实和检查评估。内部审计部门履行内部控制的监督职能。各业务部门负责严格执行相关制度规定，发现内部控制存在的缺陷并组织落实整改。

　　三、内部控制措施

　　内部控制措施是银行根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。商业银行的内部控制措施主要包括：

　　(一)内控制度

　　建立健全内部控制制度体系，对各项业务活动和管理活动制定全面、系统、规范的业务制度和管理制度，并定期进行评估。其中，对设立新机构、开办新业务、提供新产品和服务，也应制定相应的管理制度和业务流程，对潜在的风险进行评估。

　　(二)风险识别

　　合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。应采用科学的风险管理技术和方法，充分识别和评估经营中面临的风险，对各类主要风险进行持续监控。

　　(三)信息系统

　　建立健全信息系统控制，通过内部控制流程与业务操作系统和管理信息系统的有效结合，加强对业务和管理活动的系统自动控制。

　　(四)岗位设置

　　根据经营管理需要，合理确定部门、岗位的职责及权限，形成规范的部门、岗位职责说明，明确相应的报告路线。对业务流程和管理活动中所涉及的不相容岗位，实施相应的分离措施，形成相互制约的岗位安排。此外，还需要明确哪些是重要岗位，并制定相应的内部控制要求;对重要岗位人员实行轮岗或强制休假制度，原则上不相容岗位人员之间不得轮岗。

　　(五)员工管理

　　制定规范员工行为的相关制度，明确对员工的禁止性规定，加强对员工行为的监督和排查，建立员工异常行为举报、查处机制。

　　(六)授权管理

　　根据各分支机构和各部门的经营能力、管理水平、风险状况和业务发展需要，建立相应的授权体系，明确各级机构、部门、岗位、人员办理业务和事项的权限，并实施动态调整。

　　(七)会计核算

　　严格执行会计准则与制度，及时准确地反映各项业务交易，确保财务会计信息真实、可靠、完整。

　　(八)监控对账

　　商业银行应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产和重要凭证及时进行盘点。

　　(九)外包管理

　　建立健全外包管理制度，明确外包管理组织架构和管理职责，并至少每年开展一次全面的外包业务风险评估。涉及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包。

　　(十)投诉处理

　　建立健全客户投诉处理机制，制定投诉处理工作流程，定期汇总分析投诉反映事项，查找问题，有效改进服务和管理。

　　四、内部控制保障

　　商业银行应当建立有效内部控制保障体系，确保银行内部控制措施得到有效实施，实现内部控制目标。健全的内部控制保障体系主要包括以下要素：

　　(一)信息系统控制

　　建立贯穿各级机构、覆盖所有业务和全部流程的管理信息系统和业务操作系统，及时、准确记录经营管理信息，确保信息的完整、连续、准确和可追溯。

　　(二)报告机制

　　建立有效的信息沟通机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保相关部门和员工及时了解与其职责相关的制度和信息。

　　(三)业务连续性管理

　　建立与其战略目标相一致的业务连续性管理体系，明确组织结构和管理职能，制订业务连续性计划，组织开展演练和定期的业务连续性管理评估，有效应对运营中断事件，保证业务持续运营。

　　(四)人员管理

　　制定有利于可持续发展的人力资源政策，将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，保证从业人员具备必要的专业资格和从业经验，加强员工培训。

　　(五)考评管理

　　建立科学的绩效考评体系、合理设定内部控制考评标准，对考评对象在特定期间的内部控制管理活动进行评价，并根据考评结果改进内部控制管理。

　　(六)内控文化

　　培育良好的企业内控文化，引导员工树立合规意识、风险意识，提高员工的职业道德水准，规范员工行为。

　　第三节　合规管理

　　随着银行业金融机构的经营活动日益综合化和国际化，业务和产品越来越复杂，合规失效的事件不断暴露，银行业金融机构经营活动的合规性面临巨大挑战。当前，银行业金融机构普遍实施风险为本的合规管理做法，并把合规管理作为银行业金融机构一项核心的风险管理活动。

　　一、合规管理的相关概念

　　合规，是指使商业银行的经营活动与法律、规则和准则相一致。

　　合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。这里所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。

　　合规管理，合规风险管理的简称，是指银行有效识别和监控合规风险，主动预防违规行为发生的动态过程。合规管理的目标是通过建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营。

　　二、合规管理的重点内容

　　为提高合规风险管理的有效性，实行安全稳健运行，合规管理需要重点做好以下工作：

　　(一)建设强有力的合规文化

　　(二)建立有效的合规风险管理体系

　　董事会应监督合规政策的有效实施，以使合规缺陷得到及时有效的解决。高级管理层应贯彻执行合规政策，建立合规管理部门的组织结构，并配备充分和适当的资源，确保发现违规事件时及时采取适当的纠正措施。合规管理部门应在合规负责人的管理下，协助高级管理层有效管理合规风险，制订并执行风险为本的合规管理计划，实施合规风险识别和管理流程，开展员工的合规培训与教育。

　　(三)建立有利于合规风险管理的基本制度

　　有利于合规风险管理的基本制度主要包括三项：一是建立对管理人员合规绩效的考核制度，体现倡导合规和惩处违规的价值观念。二是建立有效的合规问责制度，严格对违规行为的责任认定与追究，并采取有效的纠正措施，及时改进经营管理流程，适时修订相关政策、程序和操作指南。三是建立诚信举报制度，鼓励员工举报违法、违反职业操守或可疑的行为，并充分保护举报人。

　　三、合规风险管理体系

商业银行应建立与其经营范围、组织结构和业务规模相适应的合规风险管理体系，包括以下基本要素：

　　(一)合规政策

　　合规政策应明确所有员工和业务条线需要遵守的基本原则，以及识别和管理合规风险的主要程序，并对合规管理职能的有关事项做出规定，至少应包括：合规管理部门的功能和职责;合规管理部门的权限;合规负责人的合规管理职责;保证合规负责人和合规管理部门独立性的各项措施;合规管理部门与风险管理部门、内部审计部门等其他部门之间的协作关系;设立业务条线和分支机构合规管理部门的原则。

　　(二)合规管理部门的组织结构和资源

　　银行内部应设立专门负责合规管理职能的部门、团队或岗位，并为其配备有效履行合规管理职能的资源。合规管理人员应具备与履行职责相匹配的资质、经验、专业技能和个人素质。

　　(三)合规风险管理计划

　　应制订并执行以风险为本的合规管理计划，包括特定政策和程序的实施与评价、合规风险评估、合规性测试、合规培训与教育等。

　　(四)合规风险识别和管理流程

　　(五)合规培训与教育制度

　　既包括对合规管理人员提供系统的专业技能培训，尤其是在正确把握法律、规则和准则的最新发展及其对商业银行经营的影响等方面的技能培训;也包括对员工进行合规培训，包括新员工的合规培训，以及所有员工的定期合规培训。