商業(yè)銀行的內部控制與企業(yè)風險管理

商業(yè)銀行內部控制與企業(yè)風險管理寧波巨才培訓中心本次報告的主要內容內部控制理念的演變企業(yè)內部控制的基本規(guī)范商業(yè)銀行風險的涵義及種類商業(yè)銀行的風險管理巴塞爾協定案例討論內部控制理念的演變（一）

第一階段：內部牽制（InternalCheck，20世紀30年代-40年代初）?？吕諘嬣o典（Kohler’sDictionaryforAccountant）指出，內部牽制制度，是指以提供有效的組織和經營，并防止錯誤和其他非法業(yè)務發(fā)生的業(yè)務流程設計，包括實物牽制、機械牽制、體制牽制，以及簿記牽制等。內部控制理念的演變（二）

第二階段：內部控制制度（InternalControlSystem，20世紀40年代-70年代）。1972年,美國審計準則委員會(ASB)在SASNo.1中，提出了內部控制制度的概念，其要素包括會計控制和管理控制。內部控制理念的演變（二）1.內部會計控制（InternalAccountingControl)（1）授權與批準制度；（2）從事財務記錄和審核或財產保管職務分離的控制；（3）財產的實物控制；（4）內部審計。內部控制理念的演變（二）2.內部管理控制(InternalManagementControl)（1）統(tǒng)計分析；（2）時動研究（或工作節(jié)奏研究）；（3）業(yè)績報告；（4）員工培訓計劃；（5）質量控制。內部控制理念的演變（三）

第三階段：內部控制結構（InternalControlStruction，20世紀80年代-90年代）。1988年4月，美國注冊會計師協會（AICPA）在SASNo.55中，提出了內部控制結構概念，其要素包括控制環(huán)境、會計系統(tǒng)，以及控制程序。內部控制理念的演變（三）1.控制環(huán)境（ControlEnvironment）（1）管理者的思想和經營作風；（2）企業(yè)組織結構；（3）董事會及審計委員會的職能；（4）人事政策與程序；（5）確定職權和責任的方法；（6）管理者監(jiān)控和檢查工作時所用的控制方法，包括經營計劃、預算、預測、利潤計劃、責任會計和內部審計等。內部控制理念的演變（三）2.會計系統(tǒng)（AccountingSystem）（1）鑒定和登記一切合法的經濟業(yè)務；（2）對各項經濟業(yè)務適當地進行分類，作為編制財務報表的依據；（3）計量經濟業(yè)務的價值以使其貨幣價值能在財務報表中記錄；（4）確定經濟業(yè)務發(fā)生的時間，以確保它記錄在適當的會計期間；（5）在財務報表中恰當地表述經濟業(yè)務及有關的揭示內容。內部控制理念的演變（三）3.控制程序（ControlProcedure）（1）經濟業(yè)務和活動的批準權；（2）明確各員工的職責分工；（3）充分的憑證、賬單設置和記錄；（4）資產和記錄的接觸控制；（5）業(yè)務的獨立審核等。內部控制理念的演變（四）

第四階段：內部控制—整體框架（InternalControl-IntegratedFramework，1992）。1992年，美國反舞弊性財務報告全國委員會（NationalCommissiononFraudulentFinancialReport），即TreadwayCommittee下屬的發(fā)起機構委員會（CommitteeofSponsoringOrganization，簡稱COSO）發(fā)布了“內部控制-整體框架”，并于1994年對其進行了修訂，其要素包括控制環(huán)境、風險評估、控制活動、信息與溝通，以及監(jiān)控。內部控制理念的演變（四）COSO的構成：AAA（美國會計學會）AICPA（美國注冊會計師協會）IIA（內部審計師協會）FEI（財務經理協會）IMA（管理會計師協會）內部控制理念的演變（四）

1996年，美國的SAS78對內部控制的定義為：內部控制是指由企業(yè)董事會、管理層和其他員工實施的，旨在為達成以下目標而提供合理保證的過程：（1）財務報告的可靠性；（2）經營的效果和效率；（3）遵循法律和法規(guī)。內部控制理念的演變（四）

1.控制環(huán)境（ControlEnvironment）（1）誠信和職業(yè)道德觀（刺激和誘惑、提供和溝通道德指南）；（2）對勝任力的要求；（3）董事會或審計委員會；（4）管理層的理念和經營風格；（5）組織結構；（6）權力和責任的分配；（7）人力資源政策和實務。內部控制理念的演變（四）2.風險評估（RiskAppraisal）（1）目標（目標的類別，如經營目標、財務報告目標、合規(guī)目標、目標的交叉、目標的實現）；（2）風險（風險識別、風險分析）；（3）管理變化（需要特別關注的情形、機制、前瞻性）；（4）中小企業(yè)的應用。內部控制理念的演變（四）3.控制活動（ControlActivity）（1）控制活動的類型（預防性控制、發(fā)現性控制、人工控制、計算機控制和管理控制，其對象包括高層審核、直接的職能或活動管理、信息處理、實物控制、業(yè)績指標、職責分離等）；（2）與風險評估相結合；（3）對信息系統(tǒng)的控制（包括一般控制、應用控制等）；（4）主體特殊性；（5）中小企業(yè)的應用。內部控制理念的演變（四）4.信息與溝通（InformationandCommunication）（1）信息（戰(zhàn)略系統(tǒng)和整合系統(tǒng)、信息質量）；（2）溝通（內部與外部、溝通的方式）；（3）中小企業(yè)的應用。內部控制理念的演變（四）5.監(jiān)控（Monitoring）（1）持續(xù)監(jiān)控活動（范圍與頻率、由誰評價、評價過程、方法、記錄、行動計劃）；（2）報告缺陷（信息的來源渠道、應該報告什么、向誰報告、報告指引）；（3）中小企業(yè)的應用。內部控制理念的演變（四）內部控制的局限性：（1）判斷失誤；（2）故障；（3）管理層凌駕；（4）串通；（5）成本與效益。內部控制理念的演變（五）

第五階段：企業(yè)風險管理—整合框架（EnterpriseRiskManagement-IntegratedFramework,2004）。2003年7月，COSO發(fā)布了企業(yè)風險管理—整合框架，2004年9月發(fā)布了最終的文本，并指出，企業(yè)風險管理是一個過程，由企業(yè)董事、管理層和其他人員實施的．應用于戰(zhàn)略制定，貫穿整個企業(yè)所有層級和單位，旨在識別可能影響主體的潛在事項，在其風險偏好范圍內管理風險，并針對主體目標的實現提供合理保證（COSO，2004）。企業(yè)風險管理整合框架的要素包括內部環(huán)境、目標設定、事件識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控。內部控制理念的演變（五）1.企業(yè)的內部環(huán)境（InternalEnvironment)是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結構。企業(yè)的內部環(huán)境不僅影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務活動的組織和對風險的識別、評估和反應，還影響企業(yè)控制活動、信息和溝通系統(tǒng)以及監(jiān)控活動的設計和執(zhí)行。董事會是內部環(huán)境的重要組成部分，對其他內部環(huán)境要素有重要的影響。企業(yè)的管理者也是內部環(huán)境的一部分，其職責是建立企業(yè)風險管理理念，確定企業(yè)的風險偏好，營造企業(yè)的風險文化，并將企業(yè)的風險管理和相關的初步行動結合起來。內部控制理念的演變（五）2.目標設定(ObjectiveSetting)。根據企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關的目標并在企業(yè)內層層分解和落實。管理者必須首先確定企業(yè)的目標，才能夠確定對目標的實現有潛在影響的事項。內部控制理念的演變（五）3.事項識別(EventIdentification)。企業(yè)風險管理和內部控制框架都承認風險來自于企業(yè)內、外部各種因素，而且可能在企業(yè)的各個層面上出現，并且應根據對實現企業(yè)目標的潛在影響來確認風險。內部控制理念的演變（五）4.風險評估（RiskEstimation)包括定性分析和定量分析，其中定性分析法主要包括風險評級，定量分析方法包括VAR法，歷史模擬法、MonteCarlo模擬法、情景分析法、RiskMetrics法、GARCH模型法等。內部控制理念的演變（五）

5.風險反應(RiskResponse)。企業(yè)風險管理框架提出對風險的四種反應方案：規(guī)避、減少、共擔和接受風險。（1）風險規(guī)避是企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略；（2）風險減少是企業(yè)在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略；（3）風險共擔是企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略；（4）風險接受是企業(yè)對風險承受度之內的風險，在權衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略。內部控制理念的演變（五）6.控制活動(ControlActivities)是幫助保證風險反應方案得到正確執(zhí)行的相關政策和程序。控制活動存在于企業(yè)的各部分、各個層面和各個部門，通常包括兩個要素：確定應該做什么的政策和影響該政策的一系列程序。內部控制理念的演變（五）7.信息和溝通(InformationandCommunication)。企業(yè)風險管理框架擴大了企業(yè)信息和溝通的構成內容，認為企業(yè)的信息應包括來自過去、現在和未來潛在事項的數據。企業(yè)的信息系統(tǒng)的基本職能應以時間序列的形式收集、捕捉數據，其收集數據的詳細程度則視企業(yè)風險識別、評估和反應的需要而定，并保證將風險維持在風險偏好的范圍內。內部控制理念的演變（五）8.監(jiān)控(Monitoring)指評估風險管理要素的內容和運行以及一段時期的執(zhí)行質量的一個過程。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控-持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內各管理層面和各部門持續(xù)得到執(zhí)行。監(jiān)控還包括對企業(yè)風險管理的記錄。企業(yè)內部控制的基本規(guī)范制訂依據：公司法、證券法、會計法、其他有關法律法規(guī)適用范圍：①中國境內設立的大中型企業(yè)；②小企業(yè)和其他單位可以參照本規(guī)范建立與實施內部控制施行時間：2009年7月1日企業(yè)內部控制的基本規(guī)范

內部控制是由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的，旨在實現以下控制目標的過程：（1）企業(yè)經營管理合法合規(guī)；（2）資產安全；（3）財務報告及相關信息真實完整；（4）提高經營效率、效果；（5）促進企業(yè)實現發(fā)展戰(zhàn)略。企業(yè)內部控制的基本規(guī)范

對企業(yè)的要求：（1）應當根據有關法律法規(guī)、本規(guī)范及其配套辦法，制定本企業(yè)的內部控制制度并組織實施；（2）應當運用信息技術加強內部控制；建立與經營管理相適應的信息系統(tǒng)；促進內部控制流程與信息系統(tǒng)的有機結合；實現對業(yè)務和事項的自動控制；減少或消除人為操縱因素；（3）應當建立內部控制的激勵約束機制，將各責任單位和全體員工實施內部控制的情況納入績效考評體系，促進內部控制的有效實施。企業(yè)內部控制的基本規(guī)范

對國務院有關部門的要求：國務院有關部門可以根據法律法規(guī)、本規(guī)范及配套辦法，明確貫徹實施本規(guī)范的具體要求，對企業(yè)建立與實施內部控制的情況進行監(jiān)督檢查。企業(yè)內部控制的基本規(guī)范

對會計師事務所的要求：（1）接受企業(yè)委托從事內部控制審計的會計師事務所，應根據本規(guī)范及其配套辦法和相關執(zhí)業(yè)準則，對企業(yè)內部控制有效性進行審計，并出具審計報告；（2）會計師事務所及其簽字的從業(yè)人員應當對發(fā)表的內部控制審計意見負責；（3）對企業(yè)內部控制提供咨詢的會計師事務所，不得同時提供內部控制審計服務。企業(yè)內部控制的基本規(guī)范1.內部環(huán)境。內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等。企業(yè)應當根據國家有關法律法規(guī)和企業(yè)章程，建立規(guī)范的公司治理結構和議事規(guī)則，明確決策、執(zhí)行、監(jiān)督等方面的職責權限，形成科學有效的職責分工和制衡機制。（1）股東（大）會。享有法律法規(guī)和企業(yè)章程規(guī)定的合法權利，依法行使企業(yè)的經營方針、籌資、投資、利潤分配等重大事項的表決權；（2）董事會。對股東（大）會負責，依法形式企業(yè)的經營決策權（3）監(jiān)事會。對股東（大）會負責，監(jiān)督企業(yè)董事、經理和其他高級管理人員依法履行職責；（4）經理層。負責組織實施股東（大）會、董事會決議事項，主持企業(yè)的生產經營活動。企業(yè)內部控制的基本規(guī)范2.風險評估。風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。企業(yè)應當根據設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結合實際情況，及時進行風險評估企業(yè)應當根據不同的發(fā)展階段和業(yè)務發(fā)展情況，及時調整風險應對策略。企業(yè)內部控制的基本規(guī)范3.控制活動。控制活動是企業(yè)根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。企業(yè)內部控制的基本規(guī)范4.信息與溝通。信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。（1）建立信息與溝通制度；（2）明確內部控制相關信息的收集；（3）處理和傳遞程序；（4）信息及時溝通、內部控制有效運行。企業(yè)內部控制的基本規(guī)范5.內部監(jiān)督。內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現內部控制缺陷，應當及時加以改進。（1）制訂內部控制的監(jiān)督制度；（2）明確內部審計機構內部監(jiān)督中的職責權限；（3）規(guī)范內部監(jiān)督的程序、方法和要求。商業(yè)銀行風險的涵義及種類（一）戰(zhàn)略風險經營風險財務風險

戰(zhàn)略風險

商業(yè)銀行的戰(zhàn)略風險是指戰(zhàn)略目標不能實現的可能性，主要包括：（1）由于對有關影響因素的分析不夠充分或對未來的變化沒能合理預計而帶來的商業(yè)銀行在總體戰(zhàn)略選擇環(huán)節(jié)的失誤風險；（2）由于商業(yè)銀行的具體戰(zhàn)略選擇失誤而帶來的風險，包括企業(yè)經營領域的選擇風險、企業(yè)并購風險等。經營風險

商業(yè)銀行的經營風險是指商業(yè)銀行具體經營目標不能實現的可能性，可劃分為：（1）企業(yè)經營環(huán)節(jié)的作業(yè)鏈風險；（2）人事風險，如由于人員任用、授權、業(yè)績評價等方面的缺陷帶來的風險；（3）企業(yè)的信息風險，如企業(yè)信息系統(tǒng)風險等。財務風險

狹義財務風險是指由于企業(yè)籌措資金而形成的風險，并主要是指企業(yè)由于舉債而形成的風險，也可稱之為籌資風險；廣義財務風險是指企業(yè)財務活動目標不能得以實現的可能性，包括籌資風險、資金投放的風險及企業(yè)其他財務活動風險。商業(yè)銀行風險的涵義及種類（二）系統(tǒng)風險（市場風險，不可分散風險）非系統(tǒng)風險（非市場風險，可分散風險）系統(tǒng)風險（市場風險，不可分散風險）

商業(yè)銀行的系統(tǒng)風險是指由于各種政治、經濟等因素的不利影響可能在整個金融體系引發(fā)“多米諾骨牌”效應，包括：（1）匯率風險，是指外匯銀行在一種外匯的即期交易或遠期交易處于未補進狀態(tài)時，由于匯率變動而引起收益惡化的可能性。匯率風險包括結算風險、轉換風險和經濟風險三種；利率風險，是指金融機構資產負債的構成和期限之對應不吻合，由于利率變動而引起收益惡化的可能性。利率風險的監(jiān)測主要通過計算機模擬模型系統(tǒng)來進行，包括凈現值分析、利率風險動態(tài)分析、資產負債凈持有期分析、規(guī)劃模型、模擬或幕景分析等；（2）政策風險，是指一國宏觀經濟政策的調整可能給金融機構造成資產損失。非系統(tǒng)風險（非市場風險，可分散風險）

商業(yè)銀行的非系統(tǒng)性風險是指單個銀行或存款機構由于客戶爽約或自身管理不善可能發(fā)生資產損失的危險。包括：（1）流動性風險，是指商業(yè)銀行由于缺乏將其資產迅速變現的能力而可能引起自身信用的不穩(wěn)定；資本風險，是指商業(yè)銀行由于資本金過少而不能抵補虧損，進而不能保證其正常經營的可能性；信用風險，存在兩種可能性，一是借款人到期不能還本付息可能引起商業(yè)銀行信貸資產的損失；二是商業(yè)銀行可能因存款人擠提存款而沒有足夠的準備金來支付；（2）經營風險，是指商業(yè)銀行由于各種內外部因素可能導致其資金和財產的損失；（3）衍生金融工具風險，包括期貨交易、期權交易、互換交易和回購交易，是為了適應人們保值、投機和規(guī)避現貨市場風險的需要而產生的。由于衍生金融工具具有在虛擬資本之上再度虛擬的雙重虛擬的特征，沒有內在價值，沒有交易數量的限制，杠桿作用很大，所以存在著巨大的風險?；ㄆ阢y行信用風險（消費者信用風險、公司信用風險）市場風險（非交易組合風險和交易組合風險）德意志銀行操作風險國家風險衍生工具風險大通銀行流動性風險信用風險市場風險法律風險

商業(yè)銀行的風險管理

關于風險管理的概念，是美國賓夕法尼亞大學的所羅門·許布納博士于1930年在美國管理協會召開的一次保險問題會議上提出的。隨后受到各國政府以及經濟學家、企業(yè)家的重視，并迅速發(fā)展成為一門新興的管理學科（李天庚，2004）。商業(yè)銀行的風險管理

傳統(tǒng)的觀點認為，風險管理是企業(yè)六大管理功能之一。這種觀點來自著名的法國管理理論學家亨利·費堯(HenriFayo1)。費堯在其l949年所發(fā)表的著作《一般與工業(yè)革命中認為，風險管理活動(也就是他書中所指的“安全活動”)是企業(yè)的基本活動之一。只不過，費堯書中的“安全活動”所指的范圍遠比現在“風險管理活動”所指的范圍要小。從風險管理發(fā)展的過程來看，企業(yè)在經濟活動中出現風險和不確定性的動機，導致了風險管理的產生（李天庚，2004）。商業(yè)銀行的風險管理

企業(yè)風險管理過程可以被看作是一種信息系統(tǒng)，在這樣一個系統(tǒng)中，企業(yè)風險管理者處于一個復雜的信息系統(tǒng)的中心位置，該系統(tǒng)不斷地向風險管理者發(fā)送有關企業(yè)風險和不確定的信息。反過來，風險管理者也連續(xù)不斷地把關于對風險和不確定性的反饋信息傳遞給組織的有關職能部門和有關人員（費利克斯·

克洛曼和約維·海門斯，1971）。商業(yè)銀行的風險管理

企業(yè)風險管理要素包括：①企業(yè)風險任務的確定；②企業(yè)風險和不確定性的評價；③企業(yè)風險控制；④企業(yè)風險融資(如企業(yè)商品套期保值、保險等)；⑤企業(yè)風險管理信息反饋（威廉斯及史密斯，2000）。商業(yè)銀行的風險管理

企業(yè)風險管理是一個過程，由企業(yè)董事、管理層和其他人員實施的．應用于戰(zhàn)略制定，貫穿整個企業(yè)所有層級和單位，旨在識別可能影響主體的潛在事項，在其風險偏好范圍內管理風險，并針對主體目標的實現提供合理保證（COSO，2004）。商業(yè)銀行的風險管理

企業(yè)風險管理是一種全面的管理職能，用以評價和處理企業(yè)的不確定性和風險的影響及原因。風險管理的目的，是對企業(yè)風險與不確定性進行主動積極的管理，從而使企業(yè)以最有效率、最富有成效的方式，實現其目標和使命。企業(yè)風險管理過程，是由風險管理計劃、風險管理組織、風險管理實施、風險管理控制等四個過程構成，并形成一個完整的循環(huán)體系（李天庚，2004）。商業(yè)銀行的風險管理

企業(yè)風險管理是指企業(yè)為了長遠發(fā)展，達到經營管理的預期目標以及為此而擬定的制度或程序能夠得以實現，在企業(yè)內部實施的各種制約和調節(jié)的組織、計劃、方法和程序．其目的在于防止目標的偏離或降低風險管理成本。巴塞爾協議

完整意義上的巴塞爾協議，包括以下文件：1983年《巴塞爾協定》、1988年《巴塞爾資本協定》、1992年《巴塞爾最低標準》、1996年《資本協議關于市場風險的補充規(guī)定》、1997年制定并于2006年修訂的《有效銀行監(jiān)管核心原則》以及2004年《新巴塞爾資本協議》。其中，專門規(guī)范跨國銀行風險監(jiān)管的法律文件是《有效銀行監(jiān)管核心原則》?；凇队行сy行監(jiān)管核心原則》的國際慣例性質，任何國家或地區(qū)，都必須考慮依據巴塞爾協議，綜合本國國情，建立起自己的跨國銀行風險監(jiān)管法制。巴塞爾協議

信用風險管理方面根據新資本協議規(guī)定．內部評級所用的數據既要有足夠的樣本容鼉，又必須達到一定的質量標準。對于使用初級IRB的銀行．《巴塞爾新資