10.中国民生银行内部控制评价体系介绍.doc

1、中国民生银行内部控制评价体系介绍作为中国银行业改革的试验田，民生银行锐意改革、积极进取，自成立以来，规模不断地扩大，效益逐年递增，保持了快速健康的发展势头，为推动中国银行业的改革创新做出了积极贡献。在成立的第一个十年，民生银行实现了快速增长，资产规模年复合增长率达到100%，利润的增长率保持在40%-50%；近三年，资产规模年复合增速放缓至27%-28%，利润的增长则保持了平均50%的增速，总资产收益率增幅和净利润增幅在股份制商业银行中排名第一，为投资者和客户创造了更高的价值和回报；到2013年上半年，民生银行集团资产总额达到3.4万亿元，实现净利润229.45亿元，同比增长20.43%，处于

2、股份制银行前列；不良贷款率为0.78%，长期保持较低的增长。一、民生银行内部控制管理体系建设发展的状况自1996年建行，特别是2007年五年发展刚要正式实施以来，民生银行持续完善现代金融企业公司治理机制，推进经营模式和增长方式转变，提高全行经营管理水平和内控风险防范能力，在全行初步建立起了对各项经营管理活动全方位覆盖、全过程控制和全员参与的内部控制体系，内部控制机制日趋完善，风险防范能力得到提升，内控管理水平明显改善。（一）营造良好的内控环境，奠定经营管理与内部控制的基石民生银行作为首家主要由非公有制企业入股的全国性股份制商业银行，在独特的股权结构基础上，建立和完善了现代公司治理架构，形成了权

3、力机构、决策机构、监督机构和执行机构之间权责分明、各司其职、相互协调、有效制衡的组织架构和运作机制。民生银行根据业务发展情况，不断完善组织架构和业务流程、健全激励机制，并通过集中化管理提高内部运行和风险防控效率。在业务线，推行公司业务集中经营改革，建立行业事业部管理机制，推进分行业务转型，支行进行零售化改革；在风控线，推出独立评审制度，独立稽核体制，分行集中放款制度，健全了信贷前中后台分离的制约机制；通过中后台改革，对组织机构、岗位体系、绩效管理、业务流程和经营模式等进行全方位整合，搭建适合我行较长时期发展战略需要的基础性平台。相继实施的“两率”考核、千分制考核、贡献积分、平衡计分卡等激励考核

4、机制，优化绩效管理体系，推进岗位标准化建设，构建新的岗位职级体系，建立了基于业绩贡献和岗位价值的激励约束机制。（二）初步建成了成本和风险横贯型约束机制，管理和经营风险能力得到增强民生银行持续加强全面风险管理体系建设，不断完善全面风险管理框架，风险识别、评估与管理水平明显提高，实现了从关注单一客户风险转向关注组合风险、控制行业集中度风险，从简单定性判断风险转向定性与定量判断相结合，管理和经营风险能力大大增强。在信用风险管理方面，建立了全行法人客户评级和债项评级体系，完成了零售资产风险评分模型和风险分池量化参数的设定，初步实现了每笔债项和客户所对应的风险拨备、经济资本、风险调整后的资本收益（RAR

5、OC）与经济增加值（EVA）的自动计算，为内部评级法的推广应用和信用风险的数目化管理奠定了坚实的基础。在市场风险管理方面，完善了市场风险识别、市值评估、风险计量、限额管理、风险报告及应急管理等制度办法，初步搭建起集中的市场风险计量、监测、控制和管理平台，对金融市场部、上海交易中心和香港的各类投资交易组合均实现了市值、损益、敏感性等风险指标的每日计量和监控，市场风险计量与管理水平大幅提升。在操作风险管理方面，建立了政策制定、工具开发、资本计量与日常管理相分离的管理架构，制定了操作风险管理制度，设计并推出了操作风险与控制自我评估、关键风险指标和损失数据收集三大管理工具，明确了操作风险日常监督和检查

6、管理机制，制定了操作风险监管资本计量管理办法和计算模版，操作风险管理能力明显提高。在流动性风险管理方面，制订了流动性风险管理办法、流动性应急计划与流动性压力测试方案，明确了流动性风险管理职责、管理流程、管理策略、管理方法与手段，清晰了流动性应急触发条件和预警信号、应急处理措施，规范了流动性风险压力测试的方法、程序与报告要求，构建了有效应对流动性风险的管理体系。在合规风险管理方面，相继开发了合规风险管理系统、管理标准和数据模型，合规性检查和合规风险整改逐步规范化，持续开展“主动合规”主题活动，“规规矩矩办银行、人人尽职合规”的合规文化有效树立，合规评价不断成熟，监管评价和监管环境大为改善。战略风

7、险、国别风险、声誉风险、IT风险管理架构已基本构建。此外，建立了经营机构风险评价制度，对各经营机构的风险管理工作进行定期评价，并将其结果纳入平衡计分卡体系，推动各经营机构风险管理持续提升。 （三）加强了流程控制，内控机制和内控技术不断成熟。在规章制度建设方面，2007年建立规章制度合规审查制度，2008年组织全行制度大清理并实行“制度有效覆盖率”管理指标，2010年建立“流程立规”规章制度管理机制，着力构建直观清晰、简明扼要、体系和谐的规章制度体系，有效克服了制度间不衔接甚至相互冲突、制度繁杂不便于掌握等问题，大大提高了制度执行力。在业务集中管理方面，2001年在业界率先实现“数据大集中”，随

8、后在信贷审批、单证处理、授信发放、会计运营、财务管理、资金管理和稽核审计等领域加快集中化改革，减少管理层级，提高管理效能，增强风险控制能力。2013年新核心系统全面上线运行，为以客户为中心的业务流程及组织管理提供强大的技术支持。在业务流程方面，坚持“以客户为中心”的指导思想，自上而下持续推进公司业务、零售业务、私人银行业务、金融市场业务、中后台管理等主要业务流程优化，梳理并完善相关业务流程，建立起市场反应灵敏、风险控制有力、运行协调高效、前中后台分离的业务流程。在管理工具方面，引进和实施平衡计分卡指标体系，启动了平衡计分卡信息平台开发；推进六西格玛流程优化项目，部分机构顺利试点并取得阶段性成果

9、；根据客户之声管理要求，启动了客户满意度体系构建。在系统控制方面，在公司金融、零售金融、信用卡、网上银行、金融交易、风险管理、运营管理、人力资源管理、财务管理等专业系统中广泛应用IT硬控制技术，减少了人工干预因素，进一步提高了系统控制能力。（四）创新监督管理模式，三道防线管理效能明显提高。各一线业务机构自觉践行合规文化，规范营销客户，全面落实业务审批要求，密切监控信贷资金流向，主动自查自纠。业务管理部门建立正向激励制度，明确合规经营导向，充分发挥专业优势，主动实施对自身业务领域的检查和督导。运营管理部门不断健全事权划分、事中控制、业务监督、检查督导等管理机制，业务运营风险得到较好控制；放款部门

10、积极开展授信作业监督，使授信业务风险防范关口前移；法律合规部门作为直接对各级管理层负责的合规性检查部门，着力加强对各类合规性检查的统筹管理，不断完善内控合规评价指标体系和方式方法，独立或联合组织合规性检查，组织并督促合规性整改，有效提高了全行合规性检查监督的效率和效能；独立的内部审计部门以风险为导向，将监督评价全行风险管理、内部控制和公司治理的充分性与有效性作为审计活动的重要内容，审计活动深入到公司治理过程中，审计职能得到深化，审计价值不断提升。从成立之初，即聘请四大会计师事务所负责年度、季度审计以及内控审计，促进内控建设持续完善，提高内控审计公信力。纪检监察部门作为执纪部门和案件统筹管理部门

11、，不断完善组织架构和制度流程，加强宣传教育，强化员工监督，完善案件（风险）信息报告和处置工作，构建和完善问责体系，严格责任追究，整肃内部纪律和风气。（五）加快了信息化建设步伐，内外部信息得到有效沟通。在信息管理方面，推进企业级数据仓库建设，实施数据质量治理工程，提高了基础信息的真实性和可靠性，为各级管理者的经营决策和内控管理提供了有力支持。在信息传导机制方面，制定内部控制信息报告管理办法等制度，全行形成了横向覆盖各业务领域、纵向贯穿各级机构、业务条线和工作岗位的信息报告传递机制，保证了各类经营管理信息在各级行、各部门之间的通畅传导。在信息披露方面，持续修订完善信息披露事务管理制度等相关规定，规

12、范了信息披露工作流程和权限，确保信息披露的真实性、准确性和完整性，有效地满足了监管部门、投资者及社会公众对我行的信息披露需求。与此同时，我行还积极建立外部信息收集机制，多渠道、有重点地获取、筛选、分析监管信息、社会信息和客户信息，以便及时跟进管理措施，强化内部控制，有效防范和化解风险。近年来，加速演化的经济全球化、金融自由化和金融危机给商业银行带来了全面竞争与经营风险，随着外部经营环境、国际、国内监管环境变化，加之成为中国最佳商业银行的发展愿景都对内控体系建设提出了更高的要求。对内部控制体系进行重新梳理，规划和改进是今后一段时期的重点任务。二、内部控制评价体系主要内容介绍一些国有商业银行在九十

13、年代末，即启动了对分支机构的内部控制评价，但在相当长的时间内未形成明确的、系统的工作要求，内控评价内容仍以查弊纠错为主，未摆脱传统业务审计的模式。2004年后，在银监会评价办法的指导下，各商业银行开始探索符合自己特点的内部控制审计评价准则和审计评价方法，基本建立了以COSO要素为核心、完善的内控评价制度和体系文件。经过多年实践，形成了各具特色的评价体系和方法。中国民生银行的内部控制评价是依据企业内部控制基本规范的总体要求和商业银行内部控制指引的具体要求，在银监会的指导下进行的。我行内部控制评价遵循五部委的企业内部控制基本规范的体系框架和商业银行内部控制指引的具体要求，结合本行实际，在2008年

14、制定了中国民生银行内部控制评价办法，并于2012、2013年两次修订，对整体内部控制评价体系进行了全面的发展和完善。经营机构是全行各项业务的落脚点，我们将对经营机构的内部控制评价作为全行内部控制有效性评估的最重要和最基础的工作，对经营机构的内部控制评价内容是年度内控报告的核心。（一） 经营机构内部控制有效性评价的内容及范围1、评价内容依据有关指导文件的框架要求，内部控制评价是围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制设计与运行情况进行的全面评价。内部环境评价，以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本行内部控制制度，对内部环境的设计

15、及运行情况进行认定和评价。风险评估评价，以企业内部控制基本规范有关风险评估的要求，以及各项应用指引中所列的主要风险为依据，结合本行内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略的设计及运行情况等进行认定和评价。控制活动评价，以企业内部控制基本规范等相关法规和各项应用指引中的控制措施为依据，结合本行各项业务的管理办法、操作规程、内控手册，对相关内部控制措施的设计和运行情况进行认定和评价。信息与沟通评价，以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本行内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息

16、系统实施内部控制的有效性等进行认定和评价。内部监督评价，以企业内部控制基本规范有关内部监督的要求，以及各项应用指引和相关法规与监管要求中有关日常管控的规定为依据，结合本行内部控制制度，对内部监督机制的有效性进行认定和评价。2、评价范围在多年的内部审计过程中，我们对全行各项业务经营情况有较为全面的了解，通过不断对业务制度和流程进行梳理，来确定主要的经营管理活动领域和关键控制流程。目前，对分行的评价主要集中在以下十个管理控制和业务流程，即公司层面、综合管理、对公授信、零售授信、零售非授信、私人银行、同业业务、运营管理、财务管理、电子银行。2012年以前，我行对经营机构内部控制评价是围绕内部控制五要

17、素进行，对具体的控制活动投入了较大的力量，但经过评估，我们发现以往的评价往往忽略了对经营机构战略执行能力的评价，评价没有抓住经营机构自身的特点和亮点，多局限于对内部控制活动环节的合规性检查，内容偏窄，限制了内控评价作用的发挥。在董事会战略转型的关键时期，我们确定对内控评价的内容进行调整，增加了对经营机构战略执行、特色业务、经营管理等方面的分析评价内容。经过实践检验，对这几方面的分析评价提升了内控报告的高度和水平，对从深层次揭示内部控制中存在的问题实质起到重要的作用。（二）评价工具内部控制评价手册是对我行内部控制评价时所运用的基本技术工具，是在我行基本规章制度的基础上形成的，是各项业务的流程化体

18、现，我们通过对业务各流程中的关键节点，即控制点的抽样检查，判断经营机构的内部控制是否发挥作用。评价手册根据对象不同，分总行级、分行（事业部）级，由各类评价表组成，是量化评分的基础依据。以分行级内部控制评价手册为例说明：包括公司层面、综合管理、公司授信、零售授信、零售非授信、私人银行、资金与票据、运营管理、计划财务、电子银行等十张评价表。每张评价表有50个左右的控制点。评价表共10列，包括业务管理与流程、控制点描述、制度依据、测试方法建议、替代控制措施描述、样本量、样本区间、问题描述等内容。仅公司层面表采用固定分值，定性判断的方式，其余9张表均采用定量扣分的方式。我们在对经营机构的公司层面中，将

19、经营指标完成情况和战略执行效果均给予了分值，在定性判断的基础上，引入量化参考指标，如经营指标中选取资本收益率、经济资本收益率等资本节约指标，净非利息收入额等中间业务指标，不良贷款率等资产质量指标；在战略执行方面，选取民营企业中的客户开发和结构指标，小微企业的综合化开发、户均贷款额及批量化指标，高端客户管理金融资产年均复合增长率、特色业务开发模式和效果指标。通过指标完成情况，作为对公司层面定性判断的辅助。（三）评分方法和程序为增强评价的科学性、可对比性，我们在最初设计评价办法时，就建立了量化的评价指标体系，以实际得分的方式来确定不同的评价结果，按照标准分数确定评价等级。千分制的内控评价的评分方法

20、仅限于对经营机构内部控制评价。内部控制整体评价和单项流程评价均实行千分制评分，整体评价得分由各单项流程评价得分加权汇总形成。评分设置内部控制要素权重和单项业务流程风险权重两个权重指标。单项业务流程评价按内部控制要素分配权重，对评价发现问题按内部控制要素进行归类，按风险等级确定得分，然后加权汇总形成单项业务流程得分；再将各单项业务流程得分按业务流程风险权重加权汇总后，形成整体内部控制评价得分。例：经营机构内控要素汇总表业务条线 控制要素标准分值 汇总分值 公司层面综合管理对公授信零售授信零售非授信电子银行内控环境150风险识别与评估150控制活动450信息交流与反馈100监督评价与纠正150汇总

21、权重100%1001052520105总计 1000 1、两个权重划分原则：A.内部控制要素权重划分应考虑各要素在经营机构中的重要程度，结合经营机构的运作特点和管理层次来确定。如：内部控制环境15%，风险识别与评估15%，控制活动45%，信息交流与反馈10%，监督评价与纠正15%。B.单项业务流程的权重划分原则贯彻风险导向原则，对业务占比较高、风险发生概率较高以及影响程度较大的单项业务分配较大的权重。如：公司治理10%，综合管理5%，对公授信25%，零售授信20%，零售非授信10%，私人银行5%，运营管理10%，同业业务5%，财务管理5%，电子银行5%。2、风险等级认定在对问题发现的性质判断上

22、，我们引入了风险管理中的风险等级概念，即每个审计发现按照问题发现的损失影响和发生的可能性进行综合判断，赋予风险等级不同的分值，根据最终确定的风险等级进行扣分；所有审计发现按照五要素进行归类汇总，进行整体评分。这个评分体系采用的是扣分制，和以前得分制有明显不同。例：各业务条线控制要素评分表管理环节 标准分数 汇总分数 扣分 风险等级 发生可能性影响程度问题 内控环境150风险识别与评估150控制活动450信息交流与反馈100监督评价与纠正1503、确认风险等级的方法在审计发现的性质判定上，我们采用了风险等级矩阵模型。风险等级=发现的损失影响发生的可能性 三个因素均分为高中低三档，最终确定的风险等

23、级分别对应相应的扣分区间。例：风险等级矩阵 问题发生的可能性 问题发现损失影响低中高高中中高中低中中低低低中风险等级对应扣分区间表等级扣分区间等级扣分区间等级扣分区间低1扣分6中7扣分12高13扣分18三个需明确的定义或标准：A、风险等级定义缺陷等级描述高问题发现处于关键领域且存在重大的风险隐患，管理层须立即引起注意解决相关问题。中问题发现处于一般领域且存在重要的风险隐患，管理层须尽快引起注意避免问题向更严重方向发展。低问题发现处于一般领域且产生的风险隐患影响有限，管理层应考虑这些领域整体控制的有效性。B、发生可能性等级划分表业务发生频率问题占抽样比率每年一次每季一次每月一次每周一次每天一次每

24、天多次差错率5%中低低低低低5%差错率10%高中中中中低10%差错率15%高高高高中中 15差错率20%高高高高高中20%差错率高高高高高高C、问题发生损失影响等级划分表问题发现损失影响 描述高受到较严重的行政处罚；形成重大财产和资源损失；极大地违反、损害或阻挠业务、名誉和利益；发生重大差错或严重的控制缺陷。中造成明确的财产和资源损失；违反、损害或阻挠业务、名誉和利益；行为产生不良影响或后果，损失程度不大；发生重要差错或重要的控制缺陷。低造成财产和资源的较少损失；可能会影响组织的业务、名誉和利益；内部控制执行中的不规范问题。4、评分程序A、由评价工作组组织各专业评价小组进行初评，首先按内控要素

25、分类标准将问题发现进行业务流程归类；其次按照问题发现的差错率和发生频率确定问题发生的可能性等级，与问题发现损失影响程度相结合，按风险等级矩阵确定不同程度的风险等级；然后按不同风险等级对应的扣分区间进行扣分；最后对单项业务流程评价表按权重进行加权，汇总成为经营机构整体内控评价得分。B、评价组主审人组织评审组对初评分结果进行复核确认，经评价组长审阅后上报审计部。C、审计部组织内控评价专家组对各评价工作组的评分结果进行复审。在对经营机构内部控制进行评价的基础上，检查是否存在重大内部控制风险事项，如果存在重大内部控制风险事项，则按照重大缺陷校正评价表中的标准分值进行内部控制评价的分数调整。5、缺陷认定

26、内部控制缺陷是指内部控制体系在设计上或运行中，存在的无法让管理层和员工在正常执行所分配工作时，及时地预防或发现错报的控制程序缺失。内部控制缺陷认定遵从统一的判断标准。（1）缺陷分类按严重程度的分为：重大缺陷：一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形；重要缺陷：一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形；一般缺陷：除重大缺陷、重要缺陷之外的其他控制缺陷。（2）内部控制缺陷认定根据问题发生可能性及问题影响程度，依据相应的定量、定性标准进行确定。内部控制评价要对所有的审计发现进行缺陷认定，初步的认定由评价组负责，要按照统一的缺

27、陷认定标准和程序进行，如有重大或重要缺陷的判断，则应在退出内部控制评价现场前，与被评价单位高级管理人员沟通和确认内部控制评价发现和结论；对内部控制评价中发现的重要缺陷，与高级管理层（行领导）进行沟通和确认，并提出改进措施；审计部将就重大的审计发现和高级管理层拟采取或不采取改进措施的决定，向董事会审计委员会汇报，并由其最终认定重大控制缺陷。6、评价有效性结论有效性评价结论分为有效、基本有效、关注、特别关注、无效等五级，确定以定量与定性相结合的形式，对评价结果进行判定，将是否出现重要和重大的内控缺陷作为评级浮动的重要因素。经营机构内部控制评价的认定标准如下：有效的认定标准：内部控制设计适当且得要素

28、到贯彻执行，不存在控制过度和控制不足的情况，无重大缺陷和重要缺陷。基本有效的认定标准：内部控制设计适当但个别执行效果不佳，存在控制过度可能，不存在控制不足的情况，无重大缺陷和重要缺陷。关注的认定标准：内部控制存在少量设计缺陷，存在控制过度和控制不足的情况，存在控制过度和控制不足的情况，无重大缺陷和重要缺陷。特别关注的认定标准：内部控制存在较多设计缺陷且涉及范围较广，控制不足情况较为严重，违反行内规章制度疏导总行处罚，存在重要缺陷。无效的认定标准：内部控制存在无控制或控制失效的情况，违反监管机构规定并受到处罚，存在重大缺陷。按照审慎性原则，如果被评价对象存在重大内部控制风险事项，将按照扣分标准给

29、予分数调整。7、评价报告经营机构内部控制评价意见是基于对经营机构内部控制专项审计和日常监督检查结果编制而成。经营机构内部控制评价意见包括内部控制评价开展基本情况及评价结论，被评价单位的战略执行、经营特色、内部控制分析评价，主要审计发现，改进建议等内容。评价意见根据经营机构内部控制实际得分，得出内部控制有效性结论，以反映经营机构内部控制设计和运行的效果。8、评价程序评价程序包括：方案培训、非现场准备、现场审计、评价结果认定、报告撰写等阶段。（1）方案培训。由各审计中心组织全体评价人员进行集中培训，培训内容包括对被评价对象基本经营管理情况的介绍，主要经营指标的分析，重要风险预警信息的排查，业务流程

30、的审计方法，审计记录的说明，沟通与反馈要求，缺陷认定的基本方法，评价表的汇总方法等。（2）非现场审计。入场前现场审计组组织非现场检查，对分行/事业部的组织管理、经营情况进行调查摸底，对业务进行预警排查和数据挖掘，利用非现场模型进行预设条件的筛查，并确定初步的抽样样本。正式进场评价前应组织召开项目分析会，对非现场排查结果进行通报，对抽样问题初步排查结果进行分析，确定重点检查的方向。（3）现场审计。评价组按照职责分工和时间进度安排进驻现场,对评价方案确定的评价内容实施现场评价。具体工作评价步骤按中国民生银行现场审计管理办法中有关规定实施。现场评价工作要求有完整、客观评价记录，按照评价底稿的统一要求填写，针对审计发现的偏差填写情况确认书和备查记录。（4）评价结果认定。 A、由业务条线评价小组进行初评，先按COSO五要素分类标准将问题归类到业务条线内控要素评分表，按照风险认定标准，进行风险评估，形成问题的风险等级；按最终确定的风险等级扣分。 B、主审人组织评审组对初评分结果进行复核确认；业务条线内控要素评分表加权汇总形成经营机构内控要素评分汇总表，经组长审阅后上报总部。 C、总部内控评价专家组对各审计中心的评分结果进行复审，复审的目的是平衡各中心问题判定标准和评分的差异，保证评价结果的公平性。（5）报告撰写 经营机构内部控制评价形成内控评价意见书，该意见书正式发文，