【文章內(nèi)容簡介】 為 “ 機會 ” ， ICF沒有區(qū)分風險和機會； ERM可以涵蓋信用風險、市場風險、操作風險、戰(zhàn)略風險、聲譽風險及業(yè)務(wù)風險等各種風險； 站在現(xiàn)在這個時點預(yù)測和評判未來的事情。 將會發(fā)生 目標實現(xiàn) 為評判未來結(jié)果是好是壞的標準 負面 影響有好的也有壞的，好的影響是機會，會給企業(yè)帶來利潤；壞的影響是風險，會給企業(yè)帶來損失 可能性 強調(diào)了不確定性，有可能發(fā)生也有可能不發(fā)生。 36 ERM框架八要素之間的關(guān)系 目標設(shè)定 事件識別 風險評估 風險應(yīng)對 控制活動 信息與溝通 監(jiān)控 內(nèi)部 環(huán)境 內(nèi)部 環(huán)境 37 復(fù)雜多維的監(jiān)管環(huán)境帶來的挑戰(zhàn) 財政部 《 企業(yè)內(nèi)部控制基本規(guī)范 》 （ 2023） 《 內(nèi)部控制評價指引 》 《 內(nèi)部控制實施指引 》 《 內(nèi)部控制鑒證指引 》 銀監(jiān)會 《 商業(yè)銀行內(nèi)部控制指引 》 （ 2023） 銀監(jiān)會 《 商業(yè)銀行內(nèi)部控制評價辦法 》 （ 2023） 上交所 《 上海證券交易所上市公司內(nèi)部控制指引 》（ 2023） 銀監(jiān)會 《 商業(yè)銀行操作風險管理指引 》 (2023) 銀監(jiān)會 《 商業(yè)銀行操作風險資本計量指引 》 (2023) 38 《 企業(yè)內(nèi)部控制基本規(guī)范 》 出臺背景 ?2023年 6月，國務(wù)院就財政部、國資委和證監(jiān)會聯(lián)合上報的 《 關(guān)于借鑒 薩班斯法案 完善我國上市公司內(nèi)部控制制度的報告 》 做出批示，同意 “ 由財政部牽頭、聯(lián)合證監(jiān)會及國資委、積極研究制定一套完整公認的企業(yè)內(nèi)部控制指引 ” 。 ?2023年 7月 15日，財政部、國資委、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)起成立企業(yè)內(nèi)部控制標準委員會，就研究、制定一套具有統(tǒng)一性、公認性和科學性的企業(yè)內(nèi)部控制規(guī)范達成了共識 ” 。 ?2023年 3月，財政部發(fā)布 “ 關(guān)于印發(fā) 《 企業(yè)內(nèi)部控制規(guī)范 基本規(guī)范 》和 17項具體規(guī)范（征求意見稿）的通知 ” ，面向全社會開始征求意見。 ?經(jīng)過一年多的修改和調(diào)整，財政部最終于 2023年 6月 28日正式發(fā)布了《 企業(yè)內(nèi)部控制基本規(guī)范 》 ，作為企業(yè)內(nèi)控的政策性框架文件，用以規(guī)范所有企業(yè)的內(nèi)部控制。 39 《 基本規(guī)范 》 實施要求 ?2023年 6月，國務(wù)院就財政部、國資委和證監(jiān)會聯(lián)合上報的 《 關(guān)于借鑒 薩班斯法案 完善我國上市公司內(nèi)部控制制度的報告 》 做出批示，同意 “ 由財政部牽頭、聯(lián)合證監(jiān)會及國資委、積極研究制定一套完整公認的企業(yè)內(nèi)部控制指引 ” 。 ? 為加強和規(guī)范企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經(jīng)濟秩序和社會公眾利益，根據(jù)國家有關(guān)法律法規(guī)，財政部會同證監(jiān)會、審計署、銀監(jiān)會制定了《企業(yè)內(nèi)部控制基本規(guī)范》，現(xiàn)予印發(fā)，自 2023年 7月 1日起在上市公司范圍內(nèi)施行，鼓勵非上市的大中型企業(yè)執(zhí)行。執(zhí)行本規(guī)范的上市公司，應(yīng)對內(nèi)部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請有證券、期貨業(yè)務(wù)資格的會計師事務(wù)所對內(nèi)部控制的有效性進行審計。 。 40 《 基本規(guī)范 》 實施主要問題 ?實施 《 基本規(guī)范 》 商業(yè)銀行同一般企業(yè)實施有何不同？ 新資本協(xié)議操作風險管理的實施能夠解決商業(yè)銀行內(nèi)控的絕大部分問題！ ?基本思路：以實施 BASEL操作風險管理框架為主，兼顧 COSO! ?《 基本規(guī)范 》 是中國的 SOX嗎？ 如何履行披露義務(wù)是一個博弈過程 。披露范圍廣泛；披露方法的選擇。 ?如何建立系統(tǒng)的內(nèi)控評價方法：合理實現(xiàn)全面評價和重點評價的結(jié)合；統(tǒng)一的評價和測試標準；評價方法論能支持內(nèi)控是否整體有效的結(jié)論； ?如何建立統(tǒng)一的內(nèi)控缺陷評價標準？ ?如何加強內(nèi)控文檔的系統(tǒng)整理和維護？ 41 《 基本規(guī)范 》 是中國的 SOX嗎？ ?SOX針對上市公司， 《 基本規(guī)范 》 針對 “ 大中型企業(yè) ” ，不必然是上市公司； ?SOX只針對財務(wù)報告的內(nèi)控； 《 基本規(guī)范 》 一共有 5個目標（運營；財報；合規(guī)；戰(zhàn)略；資產(chǎn)） ?SOX要求必須有審計報告； 《 基本規(guī)范 》 的提法是 “ 可以 ” ，即無強制要求； ?SOX不提供內(nèi)控方法論； 《 基本規(guī)范 》 提供方法論框架； ?SOX的立法重點在于披露責任； 《 基本規(guī)范 》 未明確披露要求 ?結(jié)論： 《 基本規(guī)范 》 因 SOX而起，確非 ” CSOX‖! ? ‖CSOX‖是嚴重的誤解！ 42 內(nèi)部控制三道防線體系 第四部分：內(nèi)控治理 43 內(nèi)部控制三道防線基本架構(gòu)和含義 董事會和管理層 各業(yè)務(wù)單位 各業(yè)務(wù)單位 內(nèi)部審計 專業(yè)性部門或功能 (法律、人力資源、反洗錢、保衛(wèi)、 信息科技、信息安全、反金融犯罪等職能 內(nèi)部控制 牽頭職能 日常內(nèi)部控制和操作風險管理 業(yè)務(wù)一線 內(nèi)控第一道防線 內(nèi)控第二道防線 內(nèi)控第三道防線 提供獨立的保證 維護內(nèi)部控制框架，設(shè)定內(nèi)部控制和操作風險管理政策，制定和開發(fā)相關(guān)的工具和流程，實施風險監(jiān)控 業(yè)務(wù)條線部門 內(nèi)部的內(nèi)控 或操作風險 管理職能 44 內(nèi)部控制三道防線的一般原理 ? 內(nèi)控三道防線是指業(yè)務(wù)一線 、 操作風險管理和專業(yè)功能 、 內(nèi)部審計構(gòu)成的三道內(nèi)控防線 ， 以確保適當和有效的內(nèi)部控制結(jié)構(gòu) 。 ? 三道防線是一個理念或概念 ， 但并不是一套規(guī)定的規(guī)則或者組織架構(gòu) ， 不能簡單把三道防線對應(yīng)為組織架構(gòu)甚至部門 。 ? 三道防線的理念強調(diào)實現(xiàn)有效的內(nèi)部控制不可能在脫離業(yè)務(wù)一線的情況下實現(xiàn) ，是業(yè)務(wù)一線來最終擁有和管理自己的風險 ， 即業(yè)務(wù)一線是風險的所有人 ， 因此是內(nèi)控的第一責任人 。 ? 內(nèi)控三道防線理念的最大優(yōu)勢在于 ， 第一次鮮明地提出各級機構(gòu) 、 部門 、 每個管理者和員工都是第一道防線 ！ 一道防線的核心是強調(diào) “ 內(nèi)控人人有責 ” 。 ? 第二道防線 （ 內(nèi)控牽頭部門或者操作風險管理牽頭部門 ） 和第三道防線 （ 內(nèi)部審計 ） 的任務(wù)是支持業(yè)務(wù)一線 （ 第一道防線 ） 識別 、 評估 、 監(jiān)控 、 緩釋和報告其內(nèi)控控制中存在的問題 （ 也就是操作風險 ） ， 使業(yè)務(wù)一線內(nèi)部嵌入有效的操作風險和內(nèi)部控制機制 ， 并且在對風險有充分考慮和管理的情況下的開展業(yè)務(wù)經(jīng)營活動 。 45 中國銀行內(nèi)部控制建設(shè) 探索實踐 第五部分：內(nèi)控實踐 46 中國銀行公司治理架構(gòu)一覽 法律與合規(guī)部為關(guān)聯(lián)交易控制委員會、內(nèi)部控制委員會、反洗錢工作委員會的秘書機構(gòu)。 47 建立內(nèi)部控制委員會平臺 內(nèi)控委主席 李禮輝行長 總行內(nèi)控委 分行內(nèi)控委 季度會議制 總分行內(nèi)控委實施季度例會制度，就各業(yè)務(wù)條線和分行內(nèi)控工作做出部署，研究并出臺了一系列有關(guān)內(nèi)控的重大措施和規(guī)章制度，監(jiān)控和督促全行內(nèi)控整改進展，研究范防大要案的具體措施，同蘇格蘭皇家銀行（ RBS）開展戰(zhàn)略合作著手建立識別、評估、監(jiān)控、緩釋、報告操作風險的管理框架。 內(nèi)控委員會建立了分行內(nèi)部控制數(shù)據(jù)監(jiān)測制度，每季度收集包括人力資源、系統(tǒng)失靈、欺詐越權(quán)、業(yè)務(wù)重大差錯、反洗錢、監(jiān)管處罰、內(nèi)控整改、違規(guī)事件、法律風險、關(guān)聯(lián)交易等十大類共 61項內(nèi)控數(shù)據(jù)，分析比對分行內(nèi)控數(shù)據(jù)及其變化情況。 分行內(nèi)控委員會會議紀要報備制度； 季度會議制 分行內(nèi)部控制數(shù)據(jù)監(jiān)測制度 管理層及各一級分行成立內(nèi)控委員會，統(tǒng)籌領(lǐng)導(dǎo)全行內(nèi)控體系的總體運行，定期研究討論重要內(nèi)控工作，為及時推出有效控制措施提供了議事平臺。 48 將內(nèi)部控制建設(shè)納入整體戰(zhàn)略布局 2023年 6月召開全行內(nèi)部控制體系建設(shè)工作會議 ， 第一次將內(nèi)控工作納入全行總體戰(zhàn)略布局當中 ， 提出：以完善的內(nèi)部控制組織體系為保障 ，以體現(xiàn)制衡原則 、 健全有效的制度為基礎(chǔ) ， 以精細化的過程控制為著眼點 ，以激勵約束機制和問責制為引導(dǎo) ， 以信息科技手段為依托 ， 大力培育合規(guī)文化 ， 努力構(gòu)建我行全面系統(tǒng) 、 動態(tài) 、 主動和可證實的內(nèi)部控制體系 。 ”這次會議提出六個入手 : ? 從明確職責入手 ， 完善內(nèi)部控制組織體系建設(shè)； ? 從制度建設(shè)入手 ， 夯實內(nèi)部控制基礎(chǔ) ； ? 從細節(jié)入手 ， 實現(xiàn)精細化的過程控制 ； ? 從完善激勵約束機制和問責制入手 ， 引導(dǎo)內(nèi)部控制目標的實現(xiàn) ； ? 從加強信息技術(shù)手段入手 ， 提高內(nèi)部控制水平和質(zhì)量 ； ? 從加強教育培訓入手 ， 促進合規(guī)文化的形成 。 49 總分法律與合規(guī)部組織架構(gòu) 業(yè)務(wù)運營一 業(yè)務(wù)運營二 業(yè)務(wù)運營三 知識產(chǎn)權(quán) 合規(guī)管理 內(nèi)控評估監(jiān)控 內(nèi)控政策規(guī)劃 內(nèi)控檢查 副總 首席合規(guī)官 副總 副總 總經(jīng)理 海外機構(gòu)與反洗錢 關(guān)聯(lián)交易 資深法律專家 行政團隊 法務(wù)秘書 法律風險管理 合規(guī)風險管理 內(nèi)部控制與操作風險管理 各省行均設(shè)法律與合規(guī)部，牽頭本分行內(nèi)控工作；二級行設(shè)相關(guān)內(nèi)控部門負責其內(nèi)控工作。 50 規(guī)章制度機構(gòu)間差異帶來的挑戰(zhàn) ? 問題： 不同分行和網(wǎng)點同一業(yè)務(wù)流程不標準 、 不統(tǒng)一的現(xiàn)象較為嚴重 。 ? 原因： ? 制度缺乏統(tǒng)一操作標準和技術(shù)細節(jié) ， 下級行不得不自創(chuàng)流程和標準； ? 規(guī)章制度信息在自上而下的傳導(dǎo)中產(chǎn)生的誤差逐級放大 ！ ? “ 上面千條線 ， 下面一根針 ” ， 分散的規(guī)章制度事實上難以被掌握； ? 上級管理部門對基層負擔不敏感；對基層是否掌握規(guī)章制度不敏感； ? “ 要不要做麥當勞 ？ －－ ” 標準化思想尚未