文档介绍：中国银行股份有限公司
《企业内部控制基本规范》及配套指引实施方案
(2011年版)
2011年是《企业内控基本规范》(下称“内控规范”)实施的元年,我行作为首批实施试点企业,将以此为契机,进一步完善内控治理结构、运行机制、政策制度、技术手段和专业队伍,建设与大型跨国银行集团相适应的内部控制体系。为此,特制订本方案。
总体实施目标。我行的总体目标是逐步建立起“全面、全部、全过程,可靠、可控、可持续”的集团内部控制与操作风险管理体系,实现内控规范提出的“报告准确、依法合规、资产安全、保障效率、战略发展”五大控制目标。具体讲就是“全面风险管理、全部业务流程、全过程控制,体系可靠、风险可控、运行可持续”。2011年底前,我行应确保涉及财务报告的内部控制设计和执行有效,非财务报告内部控制不存在重大缺陷,这是达到总体目标的必要步骤。
实施任务。控制环境、风险评估、控制活动、信息与沟通、内部监督内控规范的五项核心要素,我行的内控规范实施工作按照五要素,对现有内控体系进行完善。实施任务共61项(详见附件1《中国银行<企业内部控制基本规范>实施任务分解表》),其中33项与财务报告相关的内控任务,应于2011年底前得到实质性解决或改善,确保不影响财务报告完整准确。28项非财务报告内控任务,应确保2011年底前不存在重大缺陷。重点实施任务如下:
(一)控制环境
完善内控与操作风险管理运行机制和制度体系。根据内控规范的全面性要求“内部控制应当覆盖各种业务和事项”,内部控制将进一步覆盖人力资源、集中采购、电子银行、信息科技等条线。公司金融、个人金融、金融市场、运营服务四业务总部委员会讨论内控与操作风险问题的会议,风险管理总部操作风险模块应当参加。
重检和评估现行内控制度。对照监管要求、新线运行模式,补充完善缺失的制度,修订或废止不适宜的制度,优先补充制定业务持续经营、反欺诈舞弊、风险隔离机制和新线下亟待完善的制度等。结合新协议操作风险项目的落地实施,重检和修订现行的操作风险与控制评估、关键风险指标、损失数据收集、新产品风险评估等制度规定。
推进海外分行和附属公司内控建设。海外分行和附属公司应结合自身特点,按照三道防线的理念,建立完善自身内控与操作风险管理体系,覆盖本机构各业务条线和人员、系统、流程、外部事件等操作风险事项。根据集团统一政策制度,完善内控制度体系。应用集团统一的操作风险管理工具,建立运行操作风险与内部控制的识别、评估、缓释、监控和报告机制。使用集团统一报告模板,按季度向总行风险管理总部报告本机构风险控制状况(包括当地监管、外审、稽核发现的主要问题和整改情况)。
进一步推进建设企业内控文化。当前,国内外环境变化和我行业务发展速度较快,为保证持续健康发展,全行要从健全机制和流程、强调一把手的重视、弘扬诚实守信的价值观和职业道德等方面入手,推进建设企业内控文化。下半年,举办全行“内部控制建设”征文和论坛活动,讨论银行业内控实践的有益经验、突出问题和挑战,鼓励内控与操作风险管理创新,组织开展内控管理创新和优秀评选,引导和激励全行对内控工作提出创新思路和建议。
建设专业队伍和培养专业能力。建立起全面、动态、专业的内控培训机制,将重要岗位、重要人员的内控培训与业务权限、考核评价、职业发展相挂钩。对风险总监进行专业化培训,境内一级分行CRO要尽快适应新的工作要求,O向CRO的转型,重点强化内控与操作风险管理领域的专业能力和胜任度。建立内控与操作风险管理的分析师队伍,建立专业序列、任职资格标准、人员交流机制。配合网点转型,培养适应基层内控管理需要的内控骨干力量,力争在三年内培养1万名基层网点内控人才。
(二)风险评估
提高内部控制与风险管理的前瞻性。在内控管理过程中,做到“主动管理、主动评估、主动预判”。运用情景分析等方法预测风险,模拟在外部环境变化、极端事件发生等情景下风险发生的可能性和影响度。运用“触发式”操作风险评估机制,对新产品、新系统、流程再造、内外部发生的重大损失事件,主动分析预判潜在风险敞口,采取防控措施。密切关注和防控平台贷款、房地产信贷、贷后管理、理财产品、民间非法集资、对公账户开户、票据业务、服务价格、网银、电信诈骗、ATM机和银行卡、系统安全等潜在风险。
提高内控与操作风险的量化管理能力。重检和完善关键风险指标(KRI)及阀值。关键风险指标是为控制关键风险,设置早期预警指标和阀值,并持续监控可能造成重大损失事件的风险及控制状况。2011年底前全集团将按照以下三个原则,更新和增设现行KRI指标:补充国内外监管重点关注的风险监测指标;覆盖当前发生的新风险和潜在重大风险;合理调整长期不预警、不敏感的KRI阀值。附属公司要按照行业标准设计和完善KRI。指标设置和更新过程中,要注重提高指标数据获取的自动化和可操作性