某银行内部控制审计典型案例研究.docx

某银行内部控制审计典型案例研究.docx

《某银行内部控制审计典型案例研究.docx》由会员分享，可在线阅读，更多相关《某银行内部控制审计典型案例研究.docx（34页珍藏版）》请在冰点文库上搜索。

某银行内部控制审计典型案例研究

某银行内部控制审计典型案例研究

一、成立时刻：

二、内部控制概况

该行引入COSO内部控制五要素理念，实施《商业银行内部控制指引》、《上海证券交易所上市公司内部控制指引》和《企业内部控制大体规范》，制定内部控制建设计划和内部控制制度，由董事会、各级管理层、监事会和全部员工实施，决策、执行、监督彼此制衡。

别离由业务部门-----第一道内部控制防线

风险管理部门-------第二道内部控制防线

内部监督部门-------第三道内部控制防线

2004年7月起建设全面风险管理体系

2006年改革内部组织架构

内部审计部门直接向董事会负责并报告工作，并垂直下设十个内部审计分部，负责涵盖内部控制的独立审计；

内控合规部门，在总行和各级分行设立的对高级管理层和管理层负责的负责牵头内部控制建设、操作风险管理和合规风险管理。

三、内部控制审计概况

一、上市昔时，上交所《上市公司内部控制指引》发布实施，该行内部审计部门开始尝试内部控制专项审计。

二、2007年起具体组织实施年度内部控制评价，通过三年的探索、借鉴、创新，慢慢形成较为完善的内部控制审计体系。

3、内部控制专项审计和年度审计项目纳入年度审计计划，经董事会审计委员会审议、董事会审议批准后实施。

三年来，该行内部审计部门采取非现场监测和现场测试相结合、审计检查和审计调研相结合的方式，共实施了140多项审计活动，大体覆盖了该行公司治理、风险管理、内部控制全进程。

四、内部控制年度审计

1、公司层面

2、流程层面

3、信息技术控制层面

4、并表管理审计-------母银行及附属公司的内部控制

公司层面控制的审计内容

主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领域，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素展开，分为17个领域和82个子领域（如表所示）。

每一个领域下再细分为若干个关键风险点和控制点。

公司层面控制审计

序号

索引号

控制要素

控制领域

子领域

1

A

内部环境

A.公司治理

A1.治理结构

A2.职责分工、职责边界及制衡机制

A3.决策机制和议事规则

A4.监督与问责机制

2

B

B.管理层基调与态度

B1.管理层对内部控制的态度

B2.管理层对风险的接受态度

B3.管理层对企业文化建设的态度

B4.管理层对履行社会责任的态度

3

C

C.内部审计

C1.内部审计部门的组织结构与独立性

C2.内部审计工作规则

C3.内部审计活动

C4.内部审计计划

C5.就审计发现的沟通

C6.内部审计人员的胜任能力

C7.内部审计部门的评估

4

D

D.人力资源

D1.组织架构及岗位职责

D2.人力资源计划与招聘

D3.培训与离职

D4.薪酬与考核激励

5

E

E.员工行为守则

E1.员工行为守则的内容要求

E2.员工行为守则的拟定、修改及审批

E3.员工行为守则的获得渠道

E4.员工行为守则的沟通与培训

E5.员工对行为守则的定期声明

6

F

F.内部控制实施的激励约束机制

F1.内部控制实施的激励约束机制的建立

7

G

G.法律遵从

G1.董事会的责任

G2.法律部门的设立及其职责

G3.监督机制

G4.宣传教育

8

H

风险评估

H.风险评估与管理

H1.风险管理架构体系

H2.风险识别

H3.风险评估

H4.风险控制与监督

9

I

控制活动

I.公司政策与流程

I1.政策与流程的制定

I2.政策与流程的修改及审批

I3.政策与流程的沟通与传递

I4.政策与流程执行情况的监督

10

J

J.投资策略与管理

J1.投资管理委员会的设立

J2.投资管理委员会章程

J3.投资项目专责团队

J4.投资风险管理政策和程序

J5.股权投资   

11

K

K.关联方交易

K1.政策制度的建立

K2.机构设置与权责分配

K3.控制和监督

12

L

L.财务报告与信息披露

L1.会计政策和财务报告制度

L2.岗位分工与职责、权限安排

L3.财务人员的技能和专业知识

L4.非常规、复杂或特殊交易的账务处理的控制

L5.财务报告和信息披露

L6.监督和控制

13

M

N.控制活动

N1.不相容职务分离控制

N2.授权审批控制

N3.会计系统控制

N4.财产保护控制

N5.预算控制

N6.运营分析控制

N7.绩效考评控制

N8.重大风险预警机制

N9.反洗钱控制

14

N

O.并表管理

O1.职能分工

02.并表管理制度体系

O3.资本充足率管理

O4.大额风险暴露管理

O5.内部交易管理

O6.其它风险管理

O7.并表管理信息系统

15

O

信息与沟通

P.信息与沟通

P1.信息的收集、处理与传递

P2.沟通、交流与反馈

16

P

Q.反舞弊

Q1.反舞弊工作机制的建立

Q2.举报投诉制度和举报人保护制度的建立

Q3.舞弊举报的接收、调查、处理

Q4.就舞弊与管理层的沟通报告

Q5.反舞弊、投诉举报制度的制定、修改

Q6.董事会对反舞弊工作的监督与管理

17

Q

内部监督

R.监督与纠正

R1.监督与纠正的体系架构和职责权限

R2.监督和纠正的制度建设情况

R3.监督执行情况

R4.纠正执行情况

R5.内部控制评价执行情况

R6.内部控制自我评估

R7.内部控制信息的披露

流程层面控制的审计内容

包括银行类和非银行类业务的28个流程和144个子流程

流程层面控制审计内容

业务类别

业务线

流程

子流程

银行类

一.公司业务

01.信贷

贷款

贷款风险拨备

抵债资产

核销贷款

02.存款

存款

03.票据融资

贴现

协议付息贴现

赎回式贴现

委托代理贴现

银行汇票转贴现买入

异地持票转贴现买入

银行汇票转贴现卖出

部分放弃追索权贴现

买入返售

卖出回购

系统内票据存管买入

集中账务处理

银行承兑汇票

04.贸易融资与国际结算

进口信用证

出口信用证

进口代收

出口托收

国际担保

进口信用证与进口代收押汇

进口TT融资

提货担保/提单背书

进口信用证代付

进口代收项下代付

进口TT项下代付

出口信用证项下打包贷款

出口信用证项下押汇与贴现

出口托收项下押汇与贴现

出口发票融资

信用证保兑

进口保理

出口双保理

非买断型出口单保理

福费廷

国内单保理

国内双保理

国内发票融资

国内信用证项下打包贷款

国内信用证下卖方发票融资

国内信用证下买方发票融资

国内商品融资

二.投行业务

05.投资银行

常年顾问及其他

投融资顾问

资信证明

银团贷款

三.零售业务

06.个人存款

个人存款

07.个人贷款

个人住房贷款

个人消费贷款

个人经营贷款

08.信用卡

信用卡

09.私人银行

私人银行

四.资产管理

10.资产托管

资产托管

11.企业年金

企业年金

12.贵金属

个人账户黄金买卖

代理实物黄金交易

代理黄金清算

13.理财

固定收益理财业务

国际市场理财业务

资本市场理财业务

区域理财

五.交易与销售（资金）

14.债券投资与交易

人民币债券

外币债券

15.外汇资金交易

人民币外汇资金交易

外汇资金交易

16.货币市场业务

本币同业拆借

公开市场业务

外币同业拆借

17.衍生产品交易

代客衍生产品交易

自营衍生产品交易

18.承销发行

承销发行

信贷资产证券化

六.支付与结算

19.运行管理

会计要素管理

参数管理

权限卡管理

子系统的系统及辖内往来清算与对账

外汇汇款

大额跨行清算

大额取现管理

现金管理

金库管理

自助银行及自助机具管理

后台监督

本外币结算

客户账户服务

保管箱

支票

结算与现金管理

上门收款服务

向人行领缴现金

假币、代保管及其他

七.中间业务

20.电子银行

网上银行

电话银行

手机银行

21.代理

代理收付

代理同业结算

代理地方财政收付

代理保险（对公）

代理基金（对公）

代理非税收

代理保险（个人）

代理个人收付

代理国债

代理基金（个人）

银期

银关通

银财通

银税通

第三方存管（对公）

第三方存管（个人）

个人信息服务

八.其他

22.财务会计管理

财务报表编制

固定资产管理

税收

其他资产减值准备

财务集中管理及费用报销

集中采购

财务审查委员会

成本与预算管理：

成本管理

预算管理

23.资产负债管理

国债

人民币资金集中管理

存放同业

拆放同业

经济资本管理

外汇资金营运

准备金调缴

人民币资金营运

外汇资金的管理

24.产品创新

产品创新管理

25.其他管理

绩效考核

员工薪酬

档案管理

安全保卫

非银行类

26.租赁

租赁及售后回租

转让应收租赁款

27.基金

产品管理

销售管理

投资管理

核算管理

28.投资咨询

投资咨询

信息技术层面控制的审计内容

分为信息技术公司层面、一般控制、应用控制三个方面，包括14个领域和61个子领域

序号

类别

领域

子领域

1

公司层面

CE控制环境

信息科技组织和关系

人力资源管理

对用户教育和培训

2

RA风险评估

风险评估

3

CA控制活动

直接的职能或活动管理

信息处理

物理控制

职责分离

4

IC信息与沟通

信息构架

管理层目标和方向的传达

5

IM监控

性能及容量管理

监督

内部控制的足够程度

6

一般控制

PD程序开发

开发管理

项目需求与立项

项目定义与计划

项目执行与监控

项目关闭

7

TM测试管理

测试环境

测试前移

版本交付与测试申请

测试启动与准备

测试执行

测试问题管理

测试变更管理

测试总结与投产

评价及报告

8

PM运行维护

物理环境安全

生产运行管理

性能与容量管理

备份管理

服务水平协议

9

ITCIT系统连续性

IT系统连续性风险分析

IT系统连续性计划的建立

IT系统连续性计划的测试和演练

10

IS信息安全

信息安全组织和信息安全管理制度

操作系统访问控制管理

业务数据的访问控制管理

应用系统访问控制管理

网络安全管理

物理安全管理

11

应用控制

AIX.AIX操作系统

用户管理

UNIX服务器安全

UNIX系统网络通讯

UNIX系统资源环境

UNIX文件系统及目录保护

UNIX日志及监控审计

12

ORAOracle数据库

Oracle用户管理

系统网络通讯

Oracle文件系统及目录保护

Oracle日志及监控审计

13

CISCISCO路由器、交换机

路由器、交换机远程访问安全要求

路由器、交换机设备的认证、授权安全要求

路由器、交换机设备密码加密设置和网络服务安全要求

路由器、交换机路由协议和SNMP安全配置要求

路由器、交换机、刀片机日志审计安全配置和特有要求

14

FIW防火墙

防火墙设备远程访问安全配置要求

防火墙设备的认证、授权安全配置要求

防火墙策略管理安全配置要求

防火墙日志服务安全配置和特有要求

防火墙SNMP安全配置要求

五、内部控制审计标准

一、内部控制审计实务标准。

是该行内部控制体系各经营管理层级和各业务环节正常运行应当遵循的控制标准或要求，主要依据国内外监管法规、行业最佳控制实践和本行实际情形设定，涵盖经营管理、业务操作、产品和信息系统等各个领域，细化到每一个领域中的关键控制点。

二、内部控制审计认定标准。

包括对风险点的量级标准和对控制点的量级标准及在此基础上对内部控制缺点的认定标准、内部控制有效性认定标准。

该行将内部控制缺点分为设计缺点和运行缺点，符合《企业内部控制规范》及其配套指引的规定，缺点按影响控制目标的严峻程度分为重大、重要和一般三个品级。

内部控制缺点认定标准

缺陷等级

定义

认定标准

定量标准

定性标准

重大

指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

财务报表的错报金额落在如下区间：

1、错报≥利润总额的5%；

2、错报≥资产总额的3%；

3、错报≥经营收入总额的1%；

4、错报≥所有者权益总额的1%。

1、缺乏民主决策程序；

2、决策程序导致重大失误；

3、违犯国家法律法规并受到处罚；

4、中高级管理人员和高级技术人员流失严重；

5、媒体频现负面新闻，波及面广；

6、重要业务缺乏制度控制或制度系统失效；

7、内部控制重大或重要缺陷未得到整改

重要

指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

财务报表的错报金额落在如下区间：

1、利润总额的3%≤错报＜利润总额的5%；

2、资产总额的%≤错报＜资产总额的3%；

3、经营收入总额的%≤错报＜经营收入总额的1%；

4、所有者权益总额的%≤错报＜所有者权益总额的1%。

1、民主决策程序存在但不够完善；

2、决策程序导致出现一般失误；

3、违反企业内部规章，形成损失；

4、关键岗位业务人员流失严重；

5、媒体出现负面新闻，波及局部区域；

6、重要业务制度或系统存在缺陷；

7、内部控制重要或一般缺陷未得到整改

一般

除重大缺陷、重要缺陷之外的其他控制缺陷。

财务报表的错报金额落在如下区间：

1、错报＜利润总额的3%；

2、错报＜资产总额的%；

3、错报＜经营收入总额的%；

4、错报＜所有者权益总额的%。

1、决策程序效率不高；

2、违反企业内部规章，但未形成损失；

3、一般岗位业务人员流失严重；

4、媒体出现负面新闻，但影响不大；

5、一般业务制度或系统存在缺陷；

6、一般缺陷未得到整改。

7、存在的其他缺陷

有效性审计结论分为有效、大体有效、关注、特别关注、无效五级。

其概念及认定标准如表所示

内部控制有效性认定标准

等级数

控制有效性等级

定义

认定标准

1

有效

被评价对象的内部控制系统运行有效

被评价对象没有重大缺陷和重要缺陷；内部控制设计适当且得到贯彻执行，不存在控制过度和控制不足的情况

2

基本有效

被评价对象的内部控制系统运行基本有效

被评价对象没有重大缺陷和重要缺陷；内部控制设计适当但个别执行效果不佳，存在控制过度可能，不存在控制不足的情况

3

关注

被评价对象的内部控制系统运行结果可以接受，不会对我行战略目标的实现产生实质性影响。

被评价对象没有重大缺陷和重要缺陷；存在少量内部控制设计缺陷，存在控制过度和控制不足的情况。

4

特别关注

被评价对象的内部控制系统运行水平需要改进和予以关注

被评价对象存在重要缺陷；内部控制存在较多设计缺陷且涉及范围较广，控制不足情况较为严重；违反行内规章制度并受到总行处罚

5

无效

被评价对象的内部控制系统运行无效

被评价对象存在重大缺陷；存在无控制或控制失效的情况；违反监管机构规定并受到处罚。

内部控制缺点和有效性之间存在的对应关系如表所示：

有效性标准与缺点标准的对应关系表

缺陷标准

有效性标准

对应说明

重大

无效

当存在一个或多个内部控制重大缺陷时，应当作出内部控制无效的结论

重要

特别关注

重要缺陷应当引起董事会、经理层关注，或特别关注

关注

一般

基本有效

当存在一般缺陷时，且缺陷数量超过管理层可容忍范围时，可以作出内部控制基本有效的结论

有效

当存在一般缺陷，且缺陷数量在管理层可容忍范围内时，可以作出内部控制有效的结论

风险品级划分为低、较低、中等、较高、高五级（如表所示）：

风险点分级标准

风险点分级

认定标准

A+（高）

影响力高，可能性较大的事件；或影响力高，几乎肯定发生的事件。

A（较高）

影响力高，有可能或可能性很小发生的事件；影响力较高，有可能或可能性较大的事件；影响力中等，可能性较大或几乎肯定发生的事件。

A-（中等）

影响力高，不太可能发生的事件；或影响力较高，发生的可能性很小的事件；影响力中等，有可能发生的事件；影响力较低，发生的可能性较大的事件；影响力较低但几乎肯定发生的事件。

B+（较低）

影响力较高，不太可能发生的事件；影响力中等或较低，有可能性发生的事件；影响力很低，发生的可能性较大的事件。

B（低）

影响力低或较低，不太可能或发生的可能性很小的事件。

控制品级划分为一般控制二级、一般控制一级、重要控制二级、重要控制一级、关键控制五级（如表所示）。

控制点分级标准

控制点分级

认定标准

Aa+（关键）

对可能引起重大的业务失误、为公司带来重大的财务损失，并可能导致财务报告中的重大的实质性错报等重大缺陷进行有效控制

Aa（重要一级）

对可能引起较大的业务失误、为公司带来较大的财务损失等重大缺陷进行有效控制

Aa-（重要二级）

对日常运营造成一定程度的影响、为公司带来一定程度的财务损失等重要缺陷进行有效控制

Bb+（一般一级）

对日常运营带来轻微损害、可能导致轻微的财务损失的一般缺陷进行有效控制

Bb（一般二级）

对日常运营带来非常轻微的损害、可能导致非常轻微的财务损失的一般缺陷进行有效控制

六、内部控制审计步骤

（一）梳理风险点和控制点

以公司层面为例，该行在梳理风险点和控制点的进程采用了以下步骤：

一是查阅和分析公司治理文件。

二是查阅和分析公司管理制度。

三是查阅和分析反映公司治理进程和管理制度执行情形的记录文件或报告等。

四是问卷调查和审计访谈。

（二）构建价值链风险控制矩阵

该行采用风险控制矩阵的构建方式，按价值形成进程，排列不同控制领域、部门、流程、业务单元、产品/服务等在前中后台的位置，以此明确各部门的职责关系。

以价值链矩阵为联系纽带，将银行的具体业务环节、控制活动和风险联系起来，形成各项业务和管理活动的视图。

以该行公司层面控制内部环境审计为例：

该行按照《企业内部控制大体规范》，以公司治理等一级控制领域和二级控制领域为列，以风险点描述、控制点描述、审计标准、审计依据、测试步骤（审计流程）、测试结果等为行，构建内部环境的风险控制矩阵（如下表所示）开展内部环境审计

内部环境风险控制矩

控制领域

风险点描述

风险

等级

控制点描述

控制

级别

审计标准

主要依据

测试步骤

测试结果

审计

结论

审计师

审核

1.公司治理

治理结构形同虚设

审计小组根据公司章程、履职情况，会议纪要等实际情况进行了描述

依法制定对公司股东、董事、监事和高级管理人员具有约束力的公司章程；设立股东大会、董事会、监事会和高级管理层并履行职责，其成员应具备相应的任职专业知识和业务工作经验

《公司法》《上市公司治理准则》《企业内部控制基本规范》；公司章程

①查阅公司章程，公司治理制度，确认公司治理结构的健全性；②商请董事会办公室提供董事会及其专门委员会提供汇总的履职记录，商请监事会办公室提供监事会汇总的监督记录，进行控制测试

未发现缺陷

　公司治理有效

“三会一层”未确定职责分工，未建立职责边界及制衡机制

审计小组根据股东大会、公司董事会、高级管理层的逐级授权及执行情况等实际情况进行了描述

公司决策、执行、监督分离，形成制衡机制；股东大会是公司的权力机构，董事会对股东（大）会负责，依法行使企业的经营决策权；监事会对股东大会负责，对董事、高级管理人员进行监督；高级管理层对董事会负责，依法实施经营管理权

《企业内部控制基本规范》；股东大会、董事会、监事会授权管理办法

①查阅“三会一层”即股东大会、董事会、高级管理层授权管理办法，确认制度建设的健全性；②根据授权执行情况进行控制测试，确认制度的执行情况

未发现缺陷

“三会一层”控制有效

缺乏决策机制和议事规则

审计小组根据董事会、监事会、高级管理层议事规则，部门职责与权限、分公司职责与权限及其报告路径等文件，按实际控制设计和运行状况描述

根据国家有关法律法规和企业章程制定详细的股东大会、董事会、监事会的议事、决策规则，以及高级管理层的工作细则和规程；重大决策实行集体审批制

《企业内部控制基本规范》；公司董事会对高级管理层授权、高级管理层工作规则、部门职责与权限、分公司职责与权限及其报告路径等文件

①调阅公司章程，股东大会、董事会、监事会议事规则，授权管理办法，内部控制管理办法，风险管理办法等，检查制度建设的健全性；②调阅会议纪要、管理报告等，确认相关制度的执行效果

未发现缺陷

　控制机制健全有效

…

……

……

……

……

……

……

……

（三）现场测试及缺点汇总

审计人员采用观察、查对、从头执行等审计方式在公司、流程和信息系统三个层面同步开展穿行测试、控制测试，对控制的有效性进行评价、对缺点进行汇总。

以该行流程层面业务为例，其穿行测试、控制测试步骤如表40-41所示。

如穿行测试结果为无效，则表明该流程设计无效，无需再对其进行控制测试，可直接认定缺点；如穿行测试有效，则需对该流程进行控制测试，以验证该流程的运行是不是有效。

该行自行开发的内部控制评估系统（ICAS）能够对审计活动实施全程管理和监控，实时反映工作功效，并对缺点进行自动汇总并统计。

（四）报告编写

审计部门负责撰写内部控制审计报告并提交审计委员会审议，在此基础上，依照其上市证券交易所的要求撰写年度内部控制自我评估报告，并提交董事会审议。

审计报告提交前，内部审计部门需要与相关分支机构、业务部门的负责人进行充分沟通；内部控制自我评估报告提交董事会审计委员会审议，同意监事会监督，由董事会审议通过。

七、效果

一、提升了内部控制和治理水平

三年来，该行通过揭露缺点和催促整改，持续完善内部监督机制，改良内部控制有效性，增加了公司价值。

该行税后利润由2003年引入外部审计时的226亿增加到2009年的1293亿（2010年我行上半年净利润达到850亿，同比增加%）；不良贷款率从2005年财务重组后的%下降到2009年的%（2010年6月30日下降到%），拨备覆盖率从%（2010年6月30日达到%）；平均总资产回报率（ROA）和加权平均净资产收益率（ROE）别离从上市之初的%和%稳步增加到2009年%和%。

2008年荣获“亚洲最佳银行”、“中国最佳本地银行”“中国50家最受尊重上市公司”等诸多奖项。

2009年荣获“最佳公司治理”、“2009年最佳企业管治资料披露大奖H股上市公司板块白金奖”等境内外共26项公司治理奖项。

二、推动了内部审计标准化和技术创新

通过三年的积累，该行内部控制审计已形成了较为成熟的审计标准和审计技术方式体系，这些成功经验的推行和普及带动了全行内部审计技术创新。

3、增强了内部审计团队的专业能力

在内部控制审计实践中，锻炼和培育了一支熟练掌握内部控制和风险管理技术的审计队伍，为内部审计