2006年2月，新加坡金融管理局发布了风险管理做法指引修订稿。指引中的内部控制文件，旨在通过提供稳健和审慎的内控措施，以供金融机构结合自身的风险和业务状况加以采用。内部控制文件分为两部分，第一部分为内控环境，概述了内控环境的关键性要素；第二部分是关于金融机构在特定领域或从事特定经营活动时的具体内控措施。内控指引还附录了内部控制良好做法对照表。上海银监局翻译了该文件，现予编发，供参阅。

　　新加坡金管局风险管理做法指引——内部控制

　　2006年2月

　　1 引言

　　1.1 概述

　　1.1.1 有效的内部控制体系是安全稳健地管理金融机构的基础。有效的内部控制有助于金融机构保护和增加股东价值，降低未预期损失和声誉受损的可能性。

　　1.1.2 内部控制措施是指由董事会和高级管理层为金融机构运营的安全性、有效性和效益性，为财务和管理报告的可靠性，为遵循监管要求提供合理保障而制定的政策、程序和流程。

　　1.2 指引的适用

　　1.2.1 本章提供有关稳健和审慎的内控措施指引。本指引无意面面俱到或规定一套适用于所有金融机构的对内控措施的统一要求。一家金融机构采用本指引做法的范围和程度应与该机构的风险和业务状况相匹配。

　　1.2.2 本章分为两部分：内控环境和业务流程控制措施。第一部分概述了内控环境的关键要素，这些要素决定了一家机构内控文化的基调，并影响到员工的内控意识。第二部分是关于金融机构在特定领域或从事特定经营活动时的内部控制措施。

　　2 内控环境

　　2.1 政策和程序

　　2.1.1 金融机构应具备经其董事会批准的全面和良好的政策，来对其业务活动和经营过程中出现的重要风险进行审慎管理。经批准的政策应与机构经营活动的性质、综合化程度及重要性相匹配。为在机构内统一地实施政策，应当对每一岗位的作用、职责和问责机制都作清晰地描述。

　　2.1.2 金融机构应建立用以实施其政策的适当程序和流程，并将其写入程序手册。手册应定期受到审查以确保其能反映现行的做法。应有充分的系统来监测对于确立的政策和程序的遵循情况。违背政策和程序的情形应由有关方面进行独立的调查、报告和处理。

　　2.2 行为准则

　　2.2.1 金融机构以审慎和正直的方式开展经营活动符合其自身的利益。在此方面，金融机构应建立与其结构及营运综合化程度相匹配的行为准则。

　　2.2.2 行为准则应声明金融机构的道德价值观，并规定员工在履行职责时应遵循的指引。行为准则应涵盖诸如接受礼品和招待、利益冲突、信息保密、个人投资的披露及限制等方面。

　　2.2.3 除一般指引之外，金融机构应规定指导各职能部门营运的特定指引，比如针对投资银行、个人银行和资金业务部门的指引。例如，在资金交易和金融衍生品经营活动方面，应对交易员及其与经纪人的关系进行独立和严密的监督。金融机构应监督使用特定经纪人的理由，并确保只与经核准的经纪人交易。对于接受经纪人的招待和礼品应有清晰的指引。关于经纪人的声明应受到独立于交易部门的职员的审查，对于从经纪人处获得的利益应有适当记录。有关从经纪人处获取利益或报酬的不寻常趋势应予以特别关注。指引应同样适用于同那些与金融机构有频繁大额交易的客户进行的交易。

　　2.2.4 金融机构应有充分的政策、程序和控制措施来应对存在利益冲突的情形。金融机构应要求员工及时披露利益冲突。这些情况应逐级报告至董事会或高级管理层，并向相关客户披露。交易员不应为他们个人的账户进行交易。

　　2.2.5 金融机构应确保所有员工理解并遵循行为准则。该准则应由一名高级职员或一个恰当部门负责监督实施。应要求员工书面确认他们已阅读、理解并将遵守行为准则。违反准则要求的员工应受到处罚。

　　2.2.6 董事会或高级管理层应考虑内外部环境的变化，定期审查行为准则。

　　2.3 授权

　　2.3.1 金融机构应清晰界定各类经营活动和风险暴露所要求的授权责任和级别。比如，核准分配给职员的限额应与其资历及责任相匹配。

　　2.3.2 任何授权应有清晰的书面规定，并应具体明确被授予的权力，授权人再度授权的权力，以及对于行使授权的限制。金融机构还应有充分的监测系统，以确保经营活动受到恰当的授权。违背核准的限额结构的情况应立即报告给董事会和高级管理层。

　　2.4 职责分离

　　2.4.1 金融机构应确保充分地职责分离，以防范未授权交易、欺诈行为、为个人获利、为隐瞒异常情况或财务损失而操纵数据等的风险。 应有流程防止任何一名职员处理整个交易过程。

　　2.4.2 金融机构应定期审查关键岗位人员的责任，以最大程度地减少潜在利益冲突，并确保对职责分离的适当性进行独立的检查。当个人负责下列情形，但不仅限于下列情形时，职责分离不充分就可能出现：

　　l 前台和风险管理部门(例如信用营销和信用管理)；

　　l 交易执行和操作部门(例如交易确认、交易结算、前后台交易数据核对、对帐和会计)；

　　l 批准资金支付和实际支付；

　　l 发起和发布付款指示

　　2.5 审计

　　2.5.1 董事会通常授权审计委员会监督审计部门的工作。董事会应确保审计委员会成员具备合适的资历履行其职责。审计委员会的职权范围、人员构成、最低会议人数及会议召集频率应由正式文件规定。

　　2.5.2 审计委员会应以客观和公正的方式履行其职责。审计委员会应被赋予权利深化内部审计计划，评价审计人员的绩效，决定审计人员的报酬，并评估高级管理层是否迅速地纠正审计所发现的问题。审计委员会应确保审计人员具备必要的经验和专业技能，胜任其工作，并独立于受审查的领域。审计人员应被赋予与任何员工沟通，获取正常审计工作所必需的所有记录、文档或数据的权利。

　　2.5.3 审计人员应定期审计风险管理流程和内部控制措施。他们应根据风险水平相应变化审计频率。如果发现重大缺陷或风险勘查程序、产品流程、模型原理、内部控制或风险组合发生了重大变动，则应增加内部审计的范围和频率。为了促进良好控制的发展，应当允许审计人员在前期就对产品和系统开发程序出具意见。不过，审计人员的参与程度不应折损随后他们客观回顾新产品或系统的独立能力。

　　2.5.4 审计人员应评价机构审批程序、风险管理程序和内控系统的独立性及有效性。他们还应评估会计、运营以及包括风险限额合规情况和提交给董事会及高级管理层的报告的可靠度和时效性在内的法务和风险控制。除此之外，对于资金和衍生产品业务，审计人员应核实市场操作人员和风险管理人员的职责和报告路线是妥善和充分相隔离的；核实不负责日常交易的责任经理是否充分监察。

　　2.5.5 审计报告应当应及时分送至授权负责执行正确计量的高级管理层。总行位于海外的机构的审计人员应将其发现直接报告给总行。审计人员应进行后续跟踪以保证审计发现得到了妥善的处理。审计委员会应收到审计发现物证的报告。审计委员会应监管和跟踪针对审计发现所采取的行动并保证高级管理层有效和及时地反馈。

　　2.6 合规

　　2.6.1 金融机构应明确合规职能的重要性，任命高级人员或一个适宜的部门来总揽合规事宜。合规管理人员应具备足够的技能和专业知识，其水平应与金融机构产品和业务的复杂程度相称。

　　2.6.2 合规人员应当，但不仅限于，向员工提供法规要求和专业操作标准方面的建议和培训；应当定期回顾评估政策、流程和法规要求的合规性。发现异常情况或规则、指引方面的不合规情况应立即逐级上报高级管理层以便采取进一步措施。

　　2.7 强制休假

　　2.7.1 金融机构应建立要求风险承担部门、风险管理部门和风险控制岗位的职员每年至少强制休假五个连续工作日的人事制度。仅当在例外环境下并得到正式批准，才能不执行该项制度。

　　2.7.2 强制休假期间的职员在离职期间不允许进行交易，处理指令或从事其分内的工作。强制休假的管理人员在离职期间不得向其下属职员发布操作指示。该职员的工作、责任和相关授权在其离职期间应当完整移交给接替人员。

　　2.8 投诉处理

　　2.8.1 投诉频率高可以被视为内控不充分或现行流程不合规的症候。因此，金融机构应建立适当的，对客户投诉的记录、调查和监管流程。应采取步骤保证投诉处理的公平性、前后一致性和及时性。负责处理投诉的职员应当独立于投诉部门。金融机构还应立即采取行动来纠正系统和控制投诉反映出来的薄弱环节。

　　2.8.2 高级管理层应保证客户投诉得到妥当处理。有鉴于此，关于投诉的定期报告应提交给高级管理层。报告可以包括以下信息：投诉来源、投诉量和类型、投诉处理情况以及对违反内部指引或未能在履行职责时保持应有的专业水准的职员的惩戒。

　　2.8.3 董事会或适宜的董事委员会应定期收到关于投诉和投诉处理的概要报告。

　　2.9 员工薪酬

　　2.9.1 金融机构应保证其薪酬政策能够吸引和留用有经验、有能力的职员但不会不慎引发不当操作动机。风险管理、控制和评价职能部门的薪酬政策应与交易业务或代客业务的绩效以及收入目标无关。这是为了避免产生对这些员工放松机构风险承担控制的诱因。即便是在决定创造收益和实行管理的职位的薪酬时，金融机构也应考虑员工个人一贯的表现、对操作规定、内部指引和法规要求的遵从情况以及对其长远表现的评估，而不是只注重短期结果。金融机构应妥为保留员工的考核评价文档以供未来参考。

　　2.10 聘用

　　2.10.1 金融机构应确保拟雇用的人员在经验、专业能力及诚实正直方面经过了充分地筛选。筛选应当包括用于评估个性、诚实度和既往记录的工作背景审查。

　　2.11 员工培训和教育

　　2.11.1 金融机构应确保其员工了解新产品知识以及法律、法规方面的变化，且经过了充分的培训以提高他们工作的效率和效果。机构应定期甄别技能差距，评估培训需求，同时保留培训记录。应妥善组织培训以使员工理解和掌握其负责的综合性职能领域。

　　2.11.2 如适宜并可性的话，金融机构应实行定期工作轮岗来帮助员工拓展技能。这可能有助于为受员工流动影响的领域提供持续性。金融机构还应当考虑到员工的高流动性会降低内控系统的有效性。而保证职能部门的每一个员工都熟悉政策、流程和操作可以将此负面影响降低到一定程度。

　　3 业务流程控制

　　3.1 客户交易

　　3.1.1 机构应当有经过董事会或者高级管理层批准的，有关客户交易和风险披露的清晰的成文政策。这些政策旨在减少与客户之间的误解风险和合同争议。

　　3.1.2 和客户的交易应当基于良好的信用和能提升公众对整体市场的信任度的方式进行。出于这方面的考虑，机构应当提供合适/足够的培训并且很好地监管与客户进行诸如结构性投资产品、金融衍生产品、资金交易工具等更复杂产品交易的员工。机构还应当定期审查上述交易的书面协议和其他文档，以适应市场操作和法律的变化。

　　3.1.3 机构应当执行一些程序来评估客户的金融经验值，风险承受能力和需求。可行的话，机构应当提供考虑了客户的金融经验值和交易复杂度风险的风险披露信息。这将使客户能够更好地理解风险以及交易自身及资料性的条款和状况。

　　3.1.4 当机构根据客户的指令进行的交易与其建议相违背时，这个决策应当和机构提供给客户的建议和风险披露信息一并存档。如果客户因此招致损失，向机构要求权益，这将保障机构的利益。不仅如此，这样的交易应当交由相对独立和足够经验的部门或个人审查，并且提交机构高级管理层关注。

　　3.1.5 机构应当向客户澄清机构与客户间关系的本质。将客户不正确地假设机构在交易中扮演了顾问或类似角色的可能性降到最低。

　　3.1.6 机构应当从速解决和客户的争议交易。应当保留客户做交易和讨论计划进行的交易的电话记录以便迅速解决分歧和争议。机构应当禁止使用移动电话或交易室以外的电话进行交易，除非出现异常情况或者有适当的，足够的风险缓解控制手段。

　　3.1.7 和客户的争议应当独立调查。这种调查应当妥善存档。对争议的报告应当提交给管理层审查。在试图解决争议的同时，机构应当考虑采取适宜措施以减轻争议交易可能产生的进一步损失。和客户的严重争议还应当逐级上报给董事会和高级管理层。

　　3.2 账户政策的实施

　　3.2.1 良好的客户尽职调查政策和程序可以减少机构被用作洗钱及其他非法活动中介的风险。因此，客户尽职调查政策和程序须定期审查和更新。客户身份甄别是CDD流程的内在组成部分。因此，机构在和客户建立业务关系之前应当得到关于潜在客户身份和法律地位的满意的证明。机构不应当给坚持匿名或使用虚假名字的客户开户或办理业务。对于高风险客户应予强化尽职调查。

　　3.2.2 机构应当通过对护照、身份证或其他官方文件的调查来核实客户身份。还要保证机构有最新的客户状况资料。

　　3.2.3 机构应当建立针对不同类型账户(比如，私人账户、公司账户、收益账户、受托账户、指定账户和中间账户)持有人的最少信息要求的有关政策，以便于在开户流程中指导员工。未到期账户的开户档案应当交由不承担前台职责的员工监管。长期余额账户开户档案的例外报告应当定期汇总以供管理层审查。

　　3.2.4 机构应当意识到和不活跃账户和休眠账户联系在一起的风险，保证对此有适宜的控制手。这其中应当包括非活跃账户和休眠账户定义政策，定期审查此类账户及状况，在此基础上休眠账户可以重新被恢复。除此以外，机构应当有适宜的程序来重新激活账户，包括鉴别重新激活账户的客户的身份。

　　3.2.5 机构应当限制来保证开户和销户都经过有效授权。

　　3.3 法律文档

　　3.3.1 机构应当与客户和交易对手签订可行的话，遵循市场惯例的协议以界定各方的权利义务。机构应当有清晰的指引和政策保证在进行交易之前确认交易对手有真实的交易授权。机构应当核实控制交易的合同和协议在法律上有效并且在各种权限上都可操作。机构还应当制定合适的控制手段来保证法律文档被妥善地执行、确认、保管和维护。

　　3.4 会计核算和记录保存

　　3.4.1 机构应当有足够的控制手段，来控制其表内、表外资产负债的会计核算和其他记录保存流程。还应当保证负责会计核算和记录保存职能的员工独立于前台活动。一个有效的会计核算系统应当，但不限于，能够定义和记录各种有效交易，充分记录交易的细节以便于允许一定的交易分类，方便进行财务和监管报告。还应该有足够的交易文档和记录以备审计需要。

　　3.4.2 机构还应当考虑相关法律、法规和规定来规定电话对话录音和文档的最少保存期限。金融交易文档会保存原件及微缩胶片或电子文档形式的复印件，要考虑此类形式是否为庭审接受或是否符合监管要求。这些记录应当妥善保留并以一可有效再现的方式储藏。

　　3.5 管理信息系统

　　3.5.1 一个机构应当有完整的管理信息系统(MIS)以支持高效管理和对运营各方面的控制。管理信息系统的成熟度应与机构运营的复杂程度和多样性程度相当。机构在开发管理信息系统时应考虑诸如及时性、精确性、连续性、完整性和相关性等关键要素。管理信息系统还应当足够灵活以应对各种偶发因素，应当可以监管对机构规定的政策、程序和限额的合规执行。

　　3.5.2 一个精确、信息量大并且及时的管理信息系统是机构风险管理流程的根本。机构的风险敞口应通过计量和控制风险的一般框架来报告给董事会和高级管理层。交易头寸的风险敞口和盈亏情况至少应该每天一次报告给管理但不亲自参与持仓交易的经理和向董事会及高级管理层独立报告机构的风险交易情况的风险管理经理。当市场情况需要时，应当向机构董事会和高级管理层提交更多的有关机构风险组合变动情况的报告。即使限额没有突破，也必须让董事会和高级管理层及时知晓预期外变化、逐步恶化的头寸或者机构头寸引发的其他重大事项。此外，管理报告应当由非头寸持有部门准备。

　　3.5.3 对客户录入的不同类型交易使用不同的信息系统的机构应当保证单一客户的所有交易都被收集和合并在管理信息系统报告中。要设置一些流程来保证数据的完整性，特别是如果形成的报告是根植于从不同源系统而来的信息。

　　3.5.4 机构应当保证系统支持和运营能力能与机构涉及的各种资金及金融衍生产品交易相适应。这种能力应当使机构能够高效处理和清算交易；及时准确监管风险以及简要反映所有表内表外业务的内生风险。如果机构涉及保证金式资金或金融衍生产品交易，其系统应当还能可靠地跟踪抵押价值。

　　3.5.5 机构应当为支持自身业务的运营和系统的发展和维护配置必需的资源。运营人员应当有机构涉及的业务方面的知识、能力和经验。支持系统和运营能力的老到程度应当与运营活动的规模和复杂度相匹配。

　　3.5.6 一个有效的管理信息系统应当能促进对机构监管内部控制和监管要求的遵守情况的监管并且一定程度上保证这些控制和要求得到遵守。比如，机构可以使用管理信息系统来建立客户预期交易类型和总量状况。与客户状况不一致的交易应当被调查。

　　3.5.7 交易报告应当提交给负责业务和运营的管理层。这些报告的频度和细节量应当根据审查报告的高级管理层的层次有所不同。后续处理应当妥善存档并报告给高级管理层。可疑交易报告给相关权威人士。

　　3.6 人员控制

　　3.6.1 机构应当保证在业务及现金运送中有足够的人员保卫。进入敏感区域，比如交易室、电脑机房和资金转运区域也应当按需要严格控制以使非授权交易、欺诈或破坏运营的风险降到最低。

　　3.6.2 测试键、MEPS智能卡、SWIFT管理员用户名、现金和证券等物品应当双人控制。取得上述物品应当严格控制在授权人范围内，并登记应有的责任。防火的保险箱和地下保险库应当应用于现金和证券等资产的储藏和安全保管。

　　3.7 非营业场所和非营业时段交易

　　3.7.1 机构应当在政策和程序中明确是否允许非营业场所交易和非营业时段交易。如果此类交易是获准进行的，必须有足够的控制措施来保证交易都是由经授权人员操作的，并且在允许的限额范围内。这些交易的记录必须在成交后尽快录入机构的记录系统。这些交易应当记入操作系统和报告系统，同时在合理的时间内将确认书发送至客户。

　　3.8 新的产品、业务条线和业务活动

　　3.8.1 机构应当有一个新产品政策来保证新的业务条线或活动的内在风险活动的计划，可行的话，应当伴之以产品项目文档，文档包括：

　　法律、法规要求分析以及该业务活动是否可获准开展；

　　对相关金融产品和市场的描述以及交易的潜在目标(比如，客户服务，风险管理或交易)；

　　对业务活动会引发的风险的分析以及任何已有的风险管理程序和系统的细节，包括风险定义、量化、监管和控制的程序；

　　可行的话，一份对计划进行的业务活动对机构整体财务状况和资本水平的影响程度的评估；

　　相关会计核算指引和税收处理的描述，以及对适宜的交易组织架构和人员构成乃至关键风险控制职能的建议

　　3.8.2 新产品政策应当包括对“新产品”的定义，同时提供对新产品与既有产品间不同点的合适的审查和批准。政策会要求这些不同点经过董事会或高级管理层的批准。当市场情况要求，或当主要假设条件发生了变化，或当法规发生变化，新产品政策就应当更新。

　　3.8.3 由于新产品常常要求不同的定价、业务处理、会计核算和风险管理系统，机构应当确认其有足够的资源来支持这些活动。新产品批准流程应当包括该领域所有相关授权人/权力人，比如风险控制、运营、会计核算、法律和合规以及高级管理层的签字认可。

　　3.8.4 有鉴于新产品的本质和复杂性，在推出一段合理时间后，对新产品还应进行事后再审查，并伴之以一定的发生的问题的文档。此审查会使各方考虑讨论执行过程中遭遇的问题并确保没有仍未被定义的风险。

　　3.9 资产估值

　　3.9.1 应当有清晰的政策和程序来独立、公正、合理地进行资产估值。用于资金和金融衍生产品交易财务会计核算再估值的价格、利率、汇率和波动性因子应当从独立来源获取或被独立验证，不能由机构的交易员来决定。如果使用第三方出售的现成的数据源，机构应当很好地关注及控制，确保数据的可用性、质量和完整性。

　　3.9.2 机构应当有政策和控制手段来管理无流动性头寸引发的风险。这些政策和控制应当明确用于无流动性头寸估值的方法；无流动性头寸的定义及上报董事会和高级管理层；以及审计频度。

　　3.9.3 使用的定价和估值方法应当形成文档以备审计跟踪。资产估值的定期报告应当提交给董事会和高级管理层审查。

　　3.10 查证和再核实

　　3.10.1 机构应当有查证和再核实的程序来确认交易细节和活动的准确性。负责查证的员工应当不承担原始交易职能或者准备数据职能。比如，负责前后台数据再核实的员工应该是不承担交易职能的。对于交易活跃的机构来说，再核实应当经常进行，甚至每天进行。再核实要查证机构的敞口、盈亏头寸和交易细节。对差异应当立即予以调查和纠正，同时通过既有适宜程序来报告给董事会和高级管理层。举例来说，应进行的再核实包括：

　　分支机构分户账和机构整体分户账；

　　从交易对手处收到的确认书显示的交易细节；

　　实际资产记录和核心档案；

　　托管债券；以及往来户的再核对。

　　3.10.2 机构应当尽可能要求客户对因接受口头、传真或电子邮件指令产生的损失提供保证。可行的话，所有与交易相关指令有关的电话对话都应当录音保存记录。

　　3.10.3 机构应当设立控制总部和分支机构分户账开户的政策，以使虚开账户的风险降到最低。机构还应当保证所有客户交易都是通过客户在本机构的自身账户处理，而不是未经授权就通过其他账户，比如可疑账户或其他账户进行处理。

　　3.10.4 通过可疑账户和其他账户登录应当经过有效授权并监管以甄别非常规交易。出于这方面考虑，机构应当为诸如可疑账户开设目的、登录控制、项目持续时间长度、再核对频度以及所需后续行动等领域建立政策和程序。还应当保证可疑项目及时被清除。关于未到期可疑项目的报告也应当定期由高级管理层审查。

　　3.11 确认

　　3.11.1 机构应当有适宜的流程和程序来保证立即确认交易来达成交易和及时查出交易差错或未经授权的交易。

　　3.11.2 客户的委托应当立即按客户给的指令和可得的最优条件处理。机构应当有适宜的控制来保证匹配交易和确认都能在受理后尽快完成。这将能更早发现交易记录中的差错和未经授权的交易。此二者都可能导致风险和成本的增加。

　　3.11.3 如果交易达成后要求书面确认，机构应当立即将之发送给客户。应该鼓励机构采用双向确认的流程。应采取有效控制来防止未经授权修改确认文档。如果可行的话，确认流程应当自动化。如果存在自动处理流程，手工制备确认文档就仅当例外情况下才被允许。所有手工确认流程都应受严格控制手段控制。

　　3.11.4 与客户间进行的交易的确认应当由非交易部门处理。收到的确认书应当由非交易部门接收并立即调查有争议或未确认的交易。如果客户不是个人，发出的确认书应当发送到适宜的非交易部门。客户要求的中间更新或特别申明在发送给客户前也应当检查和妥善授权批准。

　　3.11.5 如果机构用妥善保管或保留邮件的方式来保存客户持仓和交易的状况及记录，应当建立独立查证客户行为的程序。机构还应当保证只有客户或者经过授权的个人才能收集上述状况和记录。应当妥善保存上述状况和记录的收据。

　　3.11.6 机构在向客户传输信息过程中，应当尽可能避免把客户的状况和记录传送至承担一线职责的员工，比如客户关系经理处。如果不可行，要采取控制措施以减少员工的不当操作风险。

　　3.12 清算

　　3.12.1 机构应当在系统中建立标准清算途径说明。要审查这些清算途径说明的变更以保证它们是经客户或交易对手核准的。应建立适当程序来完成资金转移要求，包括，但不仅限于，电传测试、电话回叫和签字确认。应避免第三方付款。如果允许，应置于更严格的控制措施下。