某银行内部控制审计典型案例研究.docx

1、某银行内部控制审计典型案例研究某银行内部控制审计典型案例研究一、成立时间：二、内部控制概况该行引入COSO内部控制五要素理念，实施商业银行内部控制指引、上海证券交易所上市公司内部控制指引和企业内部控制基本规范，制定内部控制建设规划和内部控制制度，由董事会、各级管理层、监事会和全体员工实施，决策、执行、监督相互制衡。分别由业务部门-第一道内部控制防线风险管理部门-第二道内部控制防线内部监督部门-第三道内部控制防线2004年7月起建设全面风险管理体系2006年改革内部组织架构内部审计部门直接向董事会负责并报告工作，并垂直下设十个内部审计分部，负责涵盖内部控制的独立审计；内控合规部门，在总行和各级分

2、行设立的对高级管理层和管理层负责的负责牵头内部控制建设、操作风险管理和合规风险管理。三、内部控制审计概况1、上市当年，上交所上市公司内部控制指引发布实施，该行内部审计部门开始尝试内部控制专项审计。2、2007年起具体组织实施年度内部控制评价，经过三年的探索、借鉴、创新，逐步形成较为完善的内部控制审计体系。3、内部控制专项审计和年度审计项目纳入年度审计计划，经董事会审计委员会审议、董事会审议批准后实施。三年来，该行内部审计部门采取非现场监测和现场测试相结合、审计检查和审计调研相结合的方式，共实施了140多项审计活动，基本覆盖了该行公司治理、风险管理、内部控制全过程。四、内部控制年度审计1、公司层

3、面2、流程层面3、信息技术控制层面4、并表管理审计-母银行及附属公司的内部控制 公司层面控制的审计内容主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领域，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素展开，分为17个领域和82个子领域（如表所示）。每个领域下再细分为若干个关键风险点和控制点。 公司层面控制审计序号索引号控制要素控制领域子领域1A内部环境A.公司治理A1.治理结构A2.职责分工、职责边界及制衡机制A3.决策机制和议事规则A4.监督与问责机制2BB.管理层基调与态度B1.管理层对内部控制的态度B2.管理层对风险的接受态度B3.管理层对企业文化建

4、设的态度 B4.管理层对履行社会责任的态度3CC.内部审计C1.内部审计部门的组织结构与独立性C2.内部审计工作规则C3.内部审计活动C4.内部审计计划C5.就审计发现的沟通C6.内部审计人员的胜任能力C7.内部审计部门的评估4DD.人力资源D1.组织架构及岗位职责D2.人力资源计划与招聘D3.培训与离职D4.薪酬与考核激励5EE.员工行为守则E1.员工行为守则的内容要求E2.员工行为守则的拟定、修改及审批E3.员工行为守则的获得渠道E4.员工行为守则的沟通与培训E5.员工对行为守则的定期声明6FF.内部控制实施的激励约束机制F1.内部控制实施的激励约束机制的建立7GG.法律遵从G1.董事会的

5、责任G2.法律部门的设立及其职责G3.监督机制G4.宣传教育8H风险评估H.风险评估与管理H1.风险管理架构体系H2.风险识别 H3.风险评估H4.风险控制与监督9I控制活动I.公司政策与流程I1.政策与流程的制定I2.政策与流程的修改及审批I3.政策与流程的沟通与传递I4.政策与流程执行情况的监督10JJ.投资策略与管理J1.投资管理委员会的设立J2.投资管理委员会章程J3.投资项目专责团队J4.投资风险管理政策和程序J5.股权投资 11KK.关联方交易K1.政策制度的建立K2.机构设置与权责分配K3.控制和监督12LL.财务报告与信息披露L1.会计政策和财务报告制度L2.岗位分工与职责、权

6、限安排L3.财务人员的技能和专业知识L4.非常规、复杂或特殊交易的账务处理的控制L5.财务报告和信息披露L6.监督和控制13MN.控制活动N1.不相容职务分离控制N2.授权审批控制N3.会计系统控制N4.财产保护控制N5.预算控制N6.运营分析控制N7.绩效考评控制N8.重大风险预警机制N9.反洗钱控制14NO.并表管理O1.职能分工 02.并表管理制度体系O3.资本充足率管理 O4.大额风险暴露管理O5.内部交易管理O6.其它风险管理O7.并表管理信息系统15O信息与沟通P.信息与沟通P1.信息的收集、处理与传递P2.沟通、交流与反馈16PQ.反舞弊Q1.反舞弊工作机制的建立Q2.举报投诉制

7、度和举报人保护制度的建立Q3.舞弊举报的接收、调查、处理Q4.就舞弊与管理层的沟通报告Q5.反舞弊、投诉举报制度的制定、修改Q6.董事会对反舞弊工作的监督与管理17Q内部监督R.监督与纠正R1.监督与纠正的体系架构和职责权限R2.监督和纠正的制度建设情况R3.监督执行情况R4.纠正执行情况R5.内部控制评价执行情况R6.内部控制自我评估R7.内部控制信息的披露流程层面控制的审计内容包括银行类和非银行类业务的28个流程和144个子流程 流程层面控制审计内容业务类别业务线流程子流程银行类一.公司业务01.信贷01.01贷款01.02贷款风险拨备01.03抵债资产01.04核销贷款02.存款02.0

8、1存款03.票据融资03.01贴现03.02协议付息贴现03.03赎回式贴现03.04委托代理贴现03.05银行汇票转贴现买入03.06异地持票转贴现买入03.07银行汇票转贴现卖出03.08部分放弃追索权贴现03.09买入返售03.10卖出回购03.11系统内票据存管买入03.12集中账务处理03.13银行承兑汇票04.贸易融资与国际结算04.01进口信用证04.02出口信用证04.03进口代收04.04出口托收04.05国际担保04.06进口信用证与进口代收押汇04.07进口TT融资04.08提货担保/提单背书04.09进口信用证代付04.10进口代收项下代付04.11进口TT项下代付04

9、.12出口信用证项下打包贷款04.13出口信用证项下押汇与贴现04.14出口托收项下押汇与贴现04.15出口发票融资04.16信用证保兑04.17进口保理04.18出口双保理04.19非买断型出口单保理04.20福费廷04.21国内单保理04.22国内双保理04.23国内发票融资04.24国内信用证项下打包贷款04.25国内信用证下卖方发票融资04.26国内信用证下买方发票融资04.27国内商品融资二.投行业务05.投资银行05.01常年顾问及其他05.02投融资顾问05.03资信证明05.04银团贷款三.零售业务06.个人存款06.01个人存款07.个人贷款07.01个人住房贷款07.02个

10、人消费贷款07.03个人经营贷款08.信用卡08.01信用卡09.私人银行09.01私人银行四.资产管理10.资产托管10.01资产托管11.企业年金11.01企业年金12.贵金属12.01个人账户黄金买卖12.02代理实物黄金交易12.03代理黄金清算13.理财13.01固定收益理财业务13.02国际市场理财业务13.03资本市场理财业务13.04区域理财五.交易与销售（资金）14.债券投资与交易14.01人民币债券14.02外币债券15.外汇资金交易15.01人民币外汇资金交易15.02外汇资金交易16.货币市场业务16.01本币同业拆借16.02公开市场业务16.03外币同业拆借17.衍

11、生产品交易17.01代客衍生产品交易17.02自营衍生产品交易18.承销发行18.01承销发行18.02信贷资产证券化六.支付与结算19.运行管理19.01会计要素管理19.02参数管理19.03权限卡管理19.04子系统的系统及辖内往来清算与对账19.05外汇汇款19.06大额跨行清算19.07大额取现管理19.08现金管理19.09金库管理19.10自助银行及自助机具管理19.11后台监督19.12本外币结算19.13客户账户服务19.14保管箱19.15支票19.16结算与现金管理19.17上门收款服务19.18向人行领缴现金19.19假币、代保管及其他七.中间业务20.电子银行20.0

12、1网上银行20.02电话银行20.03手机银行21.代理21.01代理收付21.02代理同业结算21.03代理地方财政收付21.04代理保险（对公）21.05代理基金（对公）21.06代理非税收21.07代理保险（个人）21.08代理个人收付21.09代理国债21.10代理基金（个人）21.11银期21.12银关通21.13银财通21.14银税通21.15第三方存管（对公）21.16第三方存管（个人）21.17个人信息服务八.其他22.财务会计管理22.01财务报表编制22.02固定资产管理22.03税收22.04其他资产减值准备22.05财务集中管理及费用报销22.06集中采购22.07财务

13、审查委员会22.08成本与预算管理：成本管理22.09预算管理23.资产负债管理23.01国债23.02人民币资金集中管理23.03存放同业23.04拆放同业23.05经济资本管理23.06外汇资金营运23.07准备金调缴23.08人民币资金营运23.09外汇资金的管理24.产品创新24.01产品创新管理25.其他管理25.01绩效考核25.02员工薪酬25.03档案管理25.04安全保卫非银行类26.租赁26.01租赁及售后回租26.02转让应收租赁款27.基金27.01产品管理27.02销售管理27.03投资管理27.04核算管理28.投资咨询28.01投资咨询信息技术层面控制的审计内容分

14、为信息技术公司层面、一般控制、应用控制三个方面，包括14个领域和61个子领域序号类别领域子领域1公司层面CE 控制环境CE1.0 信息科技组织和关系CE2.0 人力资源管理CE3.0 对用户教育和培训2RA 风险评估RA1.0 风险评估3CA 控制活动CA1.0 直接的职能或活动管理CA2.0 信息处理CA3.0 物理控制CA4.0 职责分离4IC 信息与沟通IC1.0 信息构架IC2.0 管理层目标和方向的传达5IM 监控IM1.0 性能及容量管理IM2.0 监督IM3.0 内部控制的足够程度6一般控制PD 程序开发PD1.0 开发管理PD2.0 项目需求与立项PD3.0 项目定义与计划PD

15、4.0 项目执行与监控PD5.0 项目关闭7TM 测试管理TM1.0 测试环境TM2.0 测试前移TM3.0 版本交付与测试申请TM4.0 测试启动与准备TM5.0 测试执行TM6.0 测试问题管理TM7.0 测试变更管理TM8.0 测试总结与投产TM9.0 评价及报告8PM 运行维护PM1.0 物理环境安全PM2.0 生产运行管理PM3.0 性能与容量管理PM4.0 备份管理PM5.0 服务水平协议9ITC IT系统连续性ITC1.0 IT系统连续性风险分析ITC2.0 IT系统连续性计划的建立ITC3.0 IT系统连续性计划的测试和演练10IS 信息安全IS1.0 信息安全组织和信息安全管

16、理制度IS2.0 操作系统访问控制管理IS3.0 业务数据的访问控制管理IS4.0 应用系统访问控制管理IS5.0 网络安全管理IS6.0 物理安全管理11应用控制AIX. AIX操作系统AIX1.0 用户管理AIX2.0 UNIX服务器安全AIX3.0 UNIX系统网络通讯AIX4.0 UNIX系统资源环境AIX5.0 UNIX文件系统及目录保护AIX6.0 UNIX日志及监控审计12ORA Oracle数据库ORA1.0 Oracle用户管理ORA2.0 系统网络通讯ORA3.0 Oracle文件系统及目录保护ORA4.0 Oracle日志及监控审计13CIS CISCO路由器、交换机CI

17、S1.0 路由器、交换机远程访问安全要求CIS2.0 路由器、交换机设备的认证、授权安全要求CIS3.0 路由器、交换机设备密码加密设置和网络服务安全要求CIS4.0 路由器、交换机路由协议和SNMP安全配置要求CIS5.0 路由器、交换机、刀片机日志审计安全配置和特有要求14FIW 防火墙FIW1.0 防火墙设备远程访问安全配置要求FIW2.0 防火墙设备的认证、授权安全配置要求FIW3.0 防火墙策略管理安全配置要求FIW4.0 防火墙日志服务安全配置和特有要求FIW5.0 防火墙SNMP安全配置要求五、内部控制审计标准 1、内部控制审计实务标准。是该行内部控制体系各经营管理层级和各业务环

18、节正常运行应当遵循的控制标准或要求，主要依据国内外监管法规、行业最佳控制实践以及本行实际情况设定，涵盖经营管理、业务操作、产品和信息系统等各个领域，细化到每个领域中的关键控制点。2、内部控制审计认定标准。包括对风险点的量级标准和对控制点的量级标准及在此基础上对内部控制缺陷的认定标准、内部控制有效性认定标准。该行将内部控制缺陷分为设计缺陷和运行缺陷，符合企业内部控制规范及其配套指引的规定，缺陷按影响控制目标的严重程度分为重大、重要和一般三个等级。 内部控制缺陷认定标准缺陷等级定义认定标准定量标准定性标准重大指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。财务报表的错报金额落在如下区间：

19、1、错报利润总额的5%；2、错报资产总额的3%；3、错报经营收入总额的1%；4、错报所有者权益总额的1%。1、缺乏民主决策程序；2、决策程序导致重大失误；3、违犯国家法律法规并受到处罚；4、中高级管理人员和高级技术人员流失严重；5、媒体频现负面新闻，波及面广；6、重要业务缺乏制度控制或制度系统失效；7、内部控制重大或重要缺陷未得到整改重要指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。财务报表的错报金额落在如下区间：1、利润总额的3%错报利润总额的5%；2、资产总额的0.5%错报资产总额的3%；3、经营收入总额的0.5%错报经营收入总额的1%；4、

20、所有者权益总额的0.5%错报所有者权益总额的1%。1、民主决策程序存在但不够完善；2、决策程序导致出现一般失误；3、违反企业内部规章，形成损失；4、关键岗位业务人员流失严重；5、媒体出现负面新闻，波及局部区域；6、重要业务制度或系统存在缺陷；7、内部控制重要或一般缺陷未得到整改一般除重大缺陷、重要缺陷之外的其他控制缺陷。财务报表的错报金额落在如下区间：1、错报利润总额的3%；2、错报资产总额的0.5%；3、错报经营收入总额的0.5%；4、错报所有者权益总额的0.5%。1、决策程序效率不高；2、违反企业内部规章，但未形成损失；3、一般岗位业务人员流失严重；4、媒体出现负面新闻，但影响不大；5、一

21、般业务制度或系统存在缺陷；6、一般缺陷未得到整改。7、存在的其他缺陷有效性审计结论分为有效、基本有效、关注、特别关注、无效五级。其定义及认定标准如表所示内部控制有效性认定标准等级数控制有效性等级定义认定标准1有效被评价对象的内部控制系统运行有效被评价对象没有重大缺陷和重要缺陷；内部控制设计适当且得到贯彻执行，不存在控制过度和控制不足的情况2基本有效被评价对象的内部控制系统运行基本有效被评价对象没有重大缺陷和重要缺陷；内部控制设计适当但个别执行效果不佳，存在控制过度可能，不存在控制不足的情况3关注被评价对象的内部控制系统运行结果可以接受，不会对我行战略目标的实现产生实质性影响。被评价对象没有重大

22、缺陷和重要缺陷；存在少量内部控制设计缺陷，存在控制过度和控制不足的情况。4特别关注被评价对象的内部控制系统运行水平需要改进和予以关注被评价对象存在重要缺陷；内部控制存在较多设计缺陷且涉及范围较广，控制不足情况较为严重；违反行内规章制度并受到总行处罚5无效被评价对象的内部控制系统运行无效被评价对象存在重大缺陷；存在无控制或控制失效的情况；违反监管机构规定并受到处罚。内部控制缺陷和有效性之间存在的对应关系如表所示：有效性标准与缺陷标准的对应关系表缺陷标准有效性标准对应说明重大无效当存在一个或多个内部控制重大缺陷时，应当作出内部控制无效的结论重要特别关注重要缺陷应当引起董事会、经理层关注，或特别关注

23、关注一般基本有效当存在一般缺陷时，且缺陷数量超过管理层可容忍范围时，可以作出内部控制基本有效的结论有效当存在一般缺陷，且缺陷数量在管理层可容忍范围内时，可以作出内部控制有效的结论风险等级划分为低、较低、中等、较高、高五级(如表所示)： 风险点分级标准风险点分级认定标准A+（高） 影响力高，可能性较大的事件；或影响力高，几乎肯定发生的事件。A（较高） 影响力高，有可能或可能性很小发生的事件；影响力较高，有可能或可能性较大的事件；影响力中等，可能性较大或几乎肯定发生的事件。A-（中等） 影响力高，不太可能发生的事件；或影响力较高，发生的可能性很小的事件；影响力中等，有可能发生的事件；影响力较低，发

24、生的可能性较大的事件；影响力较低但几乎肯定发生的事件。B+（较低） 影响力较高，不太可能发生的事件；影响力中等或较低，有可能性发生的事件；影响力很低，发生的可能性较大的事件。B（低） 影响力低或较低，不太可能或发生的可能性很小的事件。控制等级划分为一般控制二级、一般控制一级、重要控制二级、重要控制一级、关键控制五级（如表所示）。 控制点分级标准控制点分级认定标准Aa+（关键）对可能引起重大的业务失误、为公司带来重大的财务损失，并可能导致财务报告中的重大的实质性错报等重大缺陷进行有效控制Aa（重要一级）对可能引起较大的业务失误、为公司带来较大的财务损失等重大缺陷进行有效控制Aa-（重要二级）对日

25、常运营造成一定程度的影响、为公司带来一定程度的财务损失等重要缺陷进行有效控制Bb+（一般一级）对日常运营带来轻微损害、可能导致轻微的财务损失的一般缺陷进行有效控制Bb（一般二级）对日常运营带来非常轻微的损害、可能导致非常轻微的财务损失的一般缺陷进行有效控制六、内部控制审计步骤（一）梳理风险点和控制点以公司层面为例，该行在梳理风险点和控制点的过程采用了以下步骤：一是查阅和分析公司治理文件。二是查阅和分析公司管理制度。三是查阅和分析反映公司治理过程和管理制度执行情况的记录文件或报告等。四是问卷调查和审计访谈。（二）构建价值链风险控制矩阵该行采用风险控制矩阵的构建方法，按价值形成过程，排列不同控制领

26、域、部门、流程、业务单元、产品/服务等在前中后台的位置，以此明确各部门的职责关系。以价值链矩阵为联系纽带，将银行的具体业务环节、控制活动和风险联系起来，形成各项业务和管理活动的视图。以该行公司层面控制内部环境审计为例：该行根据企业内部控制基本规范，以公司治理等一级控制领域和二级控制领域为列，以风险点描述、控制点描述、审计标准、审计依据、测试步骤（审计流程）、测试结果等为行，构建内部环境的风险控制矩阵（如下表所示）开展内部环境审计内部环境风险控制矩控制领域风险点描述风险等级控制点描述控制级别审计标准主要依据测试步骤测试结果审计结论审计师审核1.公司治理治理结构形同虚设 审计小组根据公司章程、履职

27、情况，会议纪要等实际情况进行了描述依法制定对公司股东、董事、监事和高级管理人员具有约束力的公司章程；设立股东大会、董事会、监事会和高级管理层并履行职责，其成员应具备相应的任职专业知识和业务工作经验公司法上市公司治理准则企业内部控制基本规范；公司章程查阅公司章程，公司治理制度，确认公司治理结构的健全性；商请董事会办公室提供董事会及其专门委员会提供汇总的履职记录，商请监事会办公室提供监事会汇总的监督记录，进行控制测试未发现缺陷公司治理有效“三会一层”未确定职责分工，未建立职责边界及制衡机制审计小组根据股东大会、公司董事会、高级管理层的逐级授权及执行情况等实际情况进行了描述公司决策、执行、监督分离，

28、形成制衡机制；股东大会是公司的权力机构，董事会对股东（大）会负责，依法行使企业的经营决策权；监事会对股东大会负责，对董事、高级管理人员进行监督；高级管理层对董事会负责，依法实施经营管理权 企业内部控制基本规范；股东大会、董事会、监事会授权管理办法查阅“三会一层”即股东大会、董事会、高级管理层授权管理办法，确认制度建设的健全性；根据授权执行情况进行控制测试，确认制度的执行情况未发现缺陷“三会一层”控制有效缺乏决策机制和议事规则审计小组根据董事会、监事会、高级管理层议事规则，部门职责与权限、分公司职责与权限及其报告路径等文件，按实际控制设计和运行状况描述根据国家有关法律法规和企业章程制定详细的股东大会、董事会、监事会的议事、决策规则，以及高级管理层的工作细则和规程；重大决策实行集体审批制企业内部控制基本规范；公司董事会对高级管理层授权、高级管理层工作规则、部门职责与权限、分公司职责与权限及其报告路径等文件调阅公司章程，股东大会、董事会、监事会议事规则，授权管理办法，内部控制管理办法，风险管理办法等，检查制