工行内控案例分析

vi.o可编辑可修改某银行内部控制审计典型案例研究一、成立时间：1984年，2006年上市。二、内部控制概况该行引入8s（内部控制五要素理念，实施商业银行内部控制指引、上海证券交易所上市公司内部控制指引和企业内部控制基本规范，制定内部控制建设规划和内部控制制度，由董事会、各级管理层、监事会和全体员工实施，决策、执行、监督相互制衡。分别由业务部门第一道内部控制防线风险管理部门一一第二道内部控制防线内部监督部门一一第三道内部控制防线2004年7月起建设全面风险管理体系2006年改革内部组织架构内部审计部门直接向董事会负责并报告工作，并垂直下设十个内部审计分部，负责涵盖内部控制的独立审计；内控合规部门，在总行和各级分行设立的对高级管理层和管理层负责的负责牵头内部控制建设、操作风险管理和合规风险管理。三、内部控制审计概况1 上市当年，上交所上市公司内部控制指引发布实施，该行内部审计部门开始尝试内部控制专项审计。2 2007年起具体组织实施年度内部控制评价，经过三年的探索、借鉴、创新，逐步形成较为完善的内部控制审计体系。11V1.033、内部控制专项审计和年度审计项目纳入年度审计计划，经董事会审计委员会审议、董事会审议批准后实施。三年来，该行内部审计部门采取非现场监测和现场测试相结合、审计检查和审计调研相结合的方式，共实施了140多项审计活动，基本覆盖了该行公司治理、风险管理、内部控制全过程。四、内部控制年度审计1、 公司层面2、 流程层面3、 信息技术控制层面4、 并表管理审计一一母银行及附属公司的内部控制公司层面控制的审计内容主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领域，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素展开，分为17个领域和82个子领域（如表所示）。每个领域下再细分为若干个关键风险点和控制点。公司层面控制审计序号索引号控制要素控制领域子领域1A内部环境A.公司治理A1.治理结构A2.职责分工、职责边界及制衡机制A3.决策机制和议事规则A4.监督与问责机制23V1.032BB.管理层基调与态度B1.管理层对内部控制的态度B2.管理层对风险的接受态度B3.管理层对企业文化建设的态度B4.管理层对履行社会责任的态度3CC.内部审计C1.内部审计部门的组织结构与独立性C2.内部审计工作规则C3.内部审计活动C4.内部审计计划C5.就审计发现的沟通C6.内部审计人员的胜任能力C7.内部审计部门的评估4DD.人力资源D1.组织架构及岗位职责D2.人力资源计划与招聘D3.培训与离职D4.薪酬与考核激励5EE.员工行为守则E1.员工行为守则的内容要求E2.员工行为守则的拟定、修改及审批E3.员工行为守则的获得渠道E4.员工行为守则的沟通与培训E5.员工对行为守则的定期声明6FF.内部控制F1.内部控制实施的激励约束机制的建33V1.0可编辑可修改实施的激励约束机制立7GG.法律遵从G1.董事会的责任G2.法律部门的设立及其职责G3.监督机制G4.宣传教育8H风险评估H.风险评估与管理H1.风险管理架构体系H2.风险识别H3.风险评估H4.风险控制与监督9I控制活动I.公司政策与流程11.政策与流程的制定2政策与流程的修改及审批I3.政策与流程的沟通与传递I4.政策与流程执行情况的监督10JJ.投资策略与管理J1.投资管理委员会的设立J2.投资管理委员会章程J3.投资项目专责团队J4.投资风险管理政策和程序J5.股权投资11KK.关联方交易K1.政策制度的建立K2.机构设置与权责分配45V1.0可编辑可修改K3.控制和监督12LL.财务报告与信息披露L1.会计政策和财务报告制度L2.岗位分工与职责、权限安排L3.财务人员的技能和专业知识L4.非常规、复杂或特殊交易的账务处理的控制L5.财务报告和信息披露L6.监督和控制13MN.控制活动N1.不相容职务分离控制N2.授权审批控制N3.会计系统控制N4.财产保护控制N5.预算控制N6.运营分析控制N7.绩效考评控制N8.重大风险预警机制N9.反洗钱控制14N。.并表管理01.职能分工02.并表管理制度体系03.资本充足率管理04.大额风险暴露管理55V1.0可编辑可修改05.内部交易管理06.其它风险管理07.并表管理信息系统15O信息与沟通P.信息与沟通P1.信息的收集、处理与传递P2.沟通、交流与反馈16PQ.反舞弊Q1.反舞弊工作机制的建立Q2.举报投诉制度和举报人保护制度的建立Q3.舞弊举报的接收、调查、处理Q4.就舞弊与管理层的沟通报告Q5.反舞弊、投诉举报制度的制定、修改Q6.董事会对反舞弊工作的监督与管理17Q内部监督R.监督与纠正R1.监督与纠正的体系架构和职责权限R2.监督和纠正的制度建设情况R3,监督执行情况R4.纠正执行情况R5.内部控制评价执行情况R6.内部控制自我评估R7.内部控制信息的披露流程层面控制的审计内容67V1.0可编辑可修改包括银行类和非银行类业务的28个流程和144个子流程流程层面控制审计内容业务类别业务线流程子流程银行类一公司业务01信贷贷款贷款风险拨备抵债资产核销贷款02.存款存款03.票据融资贴现协议付息贴现赎回式贴现委托代理贴现银行汇票转贴现买入异地持票转贴现买入银行汇票转贴现卖出部分放弃追索权贴现买入返售卖出回购系统内票据存管买入77V1.0可编辑可修改集中账务处理银行承兑汇票04.贸易融资与国际结算进口信用证出口信用证进口代收出口托收国际担保进口信用证与进口代收押汇进口TT融资提货担保/提单背书进口信用证代付进口代收项下代付进口TT坝卜代付出口信用证项下打包贷款出口信用证项下押汇与贴现出口托收项下押汇与贴现出口发票融资信用证保兑进口保理出口双保理非买断型出口单保理福费廷89V1.0可编辑可修改国内单保理国内双保理国内发票融资国内信用证项下打包贷款国内信用证下卖方发票融资国内信用证下买方发票融资国内商品融资二.投行业务05.投资银行常年顾问及其他投融资顾问资信证明银团贷款三.零售业务06.个人存款个人存款07.个人贷款个人住房贷款个人消费贷款个人经营贷款08.信用卡信用卡09.私人银行私人银行四.资产管理10.资产托管资产托管99V1.0可编辑可修改H.企业年金企业年金12.贵金属个人账户黄金买卖代理实物黄金父易代理黄金清算13.理财固定收益理财业务国际市场理财业务资本市场理财业务区域理财五.交易与销售（资金）14.债券投资与交易人民币债券外币债券15.夕卜汇资金交易人民币外汇资金交易外汇资金交易16.货币市场业务本币同业拆借公开市场业务外币同业拆借17.衍生产品交易代客衍生产品交易自营衍生产品交易18.承销发行承销发行信贷资产证券化六.支付与19.运行会计要素管理1011V1.0可编辑可修改结算管埋参数管埋权限卡管埋子系统的系统及辖内往来清算与对账外汇汇款大额跨行清算大额取现管埋现金管埋金库管理自助银行及自助机具管埋后台监督本外币结算客户账户服务保管箱支票结算与现金管埋上门收款服务向人行领缴现金假币、代保管及其他七.中间业务20.电子银行网上银行电话银行手机银行1111V1.0可编辑可修改21.代理代理收付代理同业结算代理地方财政收付代理保险（对公）代理基金（对公）代理非税收代理保险（个人）代理个人收付代理国债代理基金（个人）银期银关通银财通银税通第一方存管（对公）第一方存管（个人）个人信息服务八.其他22.财务会计管理财务报表编制固定资产管理税收其他资产减值准备财务集中管理及费用报销1213V1.0可编辑可修改集中采购财务审查委员会成本与预算管理：成本管理预算管理23.资产负债管埋国债人民币资金集中管埋存放同业拆放同业经济资本管埋外汇资金营运准备金调缴人民币资金营运外汇资金的管理24.产品创新产品创新管理25.其他管埋绩效考核员工薪酬档案管埋安全保卫非银行类26.租赁租赁及售后回租转让应收租赁款27.基金产品管理1313V1.0可编辑可修改销售管理投资管理核算管理28.投资咨询投资咨询信息技术层面控制的审计内容分为信息技术公司层面、一般控制、应用控制三个方面，包括14个领域和61个子领域序号类别领域子领域1公司层面CE控制环境信息科技组织和关系人力资源管理对用户教育和培训2RA风险评估风险评估3CA控制活动直接的职能或活动管理信息处理物理控制职责分离4IC信息与信息构架1415V1.0可编辑可修改沟通管理层目标和方向的传达5IM监控性能及容量管理监督内部控制的足够程度6般控制PD程J予开发开发管埋项目需求与立项项目定义与计划项目执行与监控项目关闭7TM测试管理测试环境测试前移版本交付与测试申请测试启动与准备测试执行测试问题管埋测试变更管埋测试总结与投产评价及报告8PM运行维护物理环境安全生产运行管埋性能与容量管埋备份营埋1515V1.0可编辑可修改服务水平协议9ITCIT系统连续性IT系统连续性风险分析IT系统连续性计划的建立IT系统连续性计划的测试和演练10IS信息安全信息安全组织和信息安全管理制度操作系统访问控制管理业务数据的访问控制管理应用系统访问控制管理网络安全管理物理安全管理11应用控制AIX.AIX操作系统用户管埋UNIX服务器安全UNIX系统网络通讯UNIX系统资源坏境UNIX文件系统及目录保护UNIX日志及监控审计12ORAOracle数据库Oracle用户管埋系统网络通讯Oracle文件系统及目录保护Oracle日志及监控审计13CISCISCO路由器、交路由器、交换机远程访问安全要求路由器、交换机设备的认证、授权安全要求1617V1.0可编辑可修改14换机路由器、父换机设备密码加密设置和网络服务安全要求路由器、交换机路由协议和SNMP安全配置要求路由器、交换机、刀片机日志审计安全配置和特有要求FIW防火墙防火墙设备远程访问安全配置要求防火墙设备的认证、授权安全配置要求防火墙策略管理安全配置要求防火墙日志服务安全配置和特有要求防火墙SNM安全配置要求五、内部控制审计标准1、内部控制审计实务标准。是该行内部控制体系各经营管理层级和各业务环节正常运行应当遵循的控制标准或要求，主要依据国内外监管法规、行业最佳控制实践以及本行实际情况设定，涵盖经营管理、业务操作、产品和信息系统等各个领域，细化到每个领域中的关键控制点。2、内部控制审计认定标准。包括对风险点的量级标准和对控制点的量级标准及在此基础上对内部控制缺陷的认定标准、内部控制有效性认定标准。该行将内部控制缺陷分为设计缺陷和运行缺陷，符合企业内部控制规范及其配套指引的规定，缺陷按影响控制目标的严重程度分为重大、重要和一般三个等1717V1.0可编辑可修改内部控制缺陷认定标准缺陷等级定义认定标准定量标准定性标准指一个或多个控制财务报表的错报金额落在如下区间：1错报利润总额的5%1缺乏民主决策程序；2决策程序导致重大失误；3、违犯国家法律法规并受到处罚；重缺陷的组合，可能2、错报资产总额4、中局级管埋人员和大导致企的3%局级技术人员流失严业严重偏离控制目3、错报经营收入重；标。总额的1%5、媒体频现负面新4、错报所有者权益总额的1%闻，波及面广；6重要业务缺乏制度控制或制度系统失效；7内部控制重大或1818重要缺陷未得到整改重要指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。财务报表的错报金额落在如卜区间：1利润总额的3%c错报v利润总额的5%2资产总额的错报v资产总额的3%3、经营收入总额的W错报V经营收入总额的1%4、所有者权益总额的错报v所有者权益总额的1%1民主决策程序存在但不够完善；2、决策程序导致出现一般失误；3、违反企业内部规章，形成损失；4、关键岗位业务人员流失严重；5、媒体出现负面新闻，波及局部区域；6重要业务制度或系统存在缺陷；7内部控制重要或一般缺陷未得到整改般除重大缺陷、重要缺陷之外的其他控制缺陷。财务报表的错报金额落在如下区间：1错报V利润总额的3%1决策程序效率不高；2、违反企业内部规早，但未形成损失；19192、错报v资产总额的3、错报v经营收入总额的4、错报v所有者权益总额的3、 般岗位业务人员流失严重；4、媒体出现负面新闻，但影响不大；5、一般业务制度或系统存在缺陷；6 一般缺陷未得到整改。7、存在的其他缺陷有效性审计结论分为有效、基本有效、关注、特别关注、无效五级。其定义及认定标准如表所示内部控制有效性认定标准等级数控制有效性等级定义认定标准1有效被评价对象的内部控制系统运行有效被评价对象没有重大缺陷和重要缺陷；内部控制设计适当且得到贯彻执行，不存在控制过度和控制不足的情况2020V1.0可编舞可修改2基本有效被评价对象的内部控制系统运行基本有效被评价对象没有重大缺陷和重要缺陷；内部控制设计适当但个别执行效果不佳，存在控制过度可能，不存在控制不足的情况3关注被评价对象的内部控制系统运行结果可以接受，不会对我行战略目标的实现产生实质性影响。被评价对象没有重大缺陷和重要缺陷；存在少量内部控制设计缺陷，存在控制过度和控制不足的情况。4特别关注被评价对象的内部控制系统运行水平需要改进和予以关注被评价对象存在重要缺陷；内部控制存在较多设计缺陷且涉及范围较广，控制不足情况较为严重；违反行内规章制度并受到总行处罚5无效被评价对象的内部控制系统运行无效被评价对象存在重大缺陷；存在无控制或控制失效的情况；违反监管机构规定并受到处罚。2121V1.0可编辑可修改内部控制缺陷和有效性之间存在的对应关系如表所示:有效性标准与缺陷标准的对应关系表缺陷标准1准对应说明重大无效当存在一个或多个内部控制重大缺陷时，应当作出内部控制无效的结论重要特别关注重要缺陷应当引起董事会、经理层关注，或特别关注关注一般基本有效当存在般缺陷时，且缺陷数量超过官理层可容忍范围时，可以作出内部控制基本有效的结论有效当存在般缺陷，且缺陷数量在官埋层可容忍范围内时，可以作出内部控制有效的结论风险等级划分为低、较低、中等、较高、高五级（如表所示）：风险点分级标准风险点分级认定标准A+（高）影响力高，可能性较大的事件；或影响力高，几乎肯2222定发生的事件。A（较图）影响力图，有可能或可能性很小发生的事件；影响力较高，有可能或可能性较大的事件；影响力中等，可能性较大或几乎肯定发生的事件。A-（中等）影响力局，不太可能发生的事件；或影响力较周，发生的可能性很小的事件；影响力中等，有可能发生的事件；影响力较低，发生的可能性较大的事件；影响力较低但几乎肯定发生的事件。B4-（较低）影响力较周，不太可能发生的事件；影响力中等或较低，有可能性发生的事件；影响力很低，发生的可能性较大的事件。B（低）影响力低或较低，不太可能或发生的可能性很小的事件。控制等级划分为一般控制二级、一般控制一级、重要控制二级、重要控制一级、关键控制五级（如表所示）。控制点分级标准控制点分级认定标准Aa+（关键）对可能引起重大的业务失误、为公司带来重大的财务损失，并可能导致财务报告中的重大的实质性错报等重大缺陷进行有效控制2323V1.0可编辑可修改Aa（重要一级）对可能引起较大的业务失误、为公司带来较大的财务损失等重大缺陷进行有效控制Aa-（重要二级）对日常运营造成一7E程度的影响、为公司带来一7E程度的财务损失等重要缺陷进行有效控制Bb+（一般一级）对日常运营带来轻微损害、可能导致轻微的财务损失的般缺陷进行有效控制Bb（一般二级）对日常运营带来非常轻微的损害、可能导致非常轻微的财务损失的般缺陷进行有效控制六、内部控制审计步骤（一）梳理风险点和控制点以公司层面为例，该行在梳理风险点和控制点的过程采用了以下步骤：一是查阅和分析公司治理文件。二是查阅和分析公司管理制度。三是查阅和分析反映公司治理过程和管理制度执行情况的记录文件或报告等。四是问卷调查和审计访谈。（二）构建价值链风险控制矩阵该行采用风险控制矩阵的构建方法，按价值形成过程，排列不同控制领域、部门、流程、业务单兀、产品/服务等在前中后台的位置，以此明确各部门的职责关系。以价值链矩阵为联系纽带，将银行的具体业务环节、控制活动和风险联系起来，形成各项业务和管理活动的视图。以该行公司层面控制内部环境审计为例：该行根据企业内部控制基本规范，以公司治理等一级控制领域和二级控制领域为列，以风险点描述、控制点描述、审计标准、审计依据、测试步骤（审计流程）、测试结果等为行，构建内部环境的风险控制矩阵（如下表所示）开展内部环境审计内部环境风险控制矩控制领域风险占J、于田述风险等级控制点描述控制级别审计标准主要测试步骤测试结果审计结论审计师审核依法制定对公查阅公司审计小公司股东、司法章程，公司治公1.治理组根据董事、监事上市理制度，确认未司公结构公司章和局级管理公司治公司治理结构发治司形同程、人员具有约理准的健全性；现理治虚设履职情束力的公司则商清董事缺有理况，会章程；设立企业会办公室提供陷效议纪要股东大会、内董事会及具专董事会、监门委员2525V1.0可编辑可修改等实际情况进事会和高级管埋层并履行职责，其成员应具备相应的任职专业知识和业务工作经验部控制基本规范；公司章程会提供汇总的履职记录，商请监事会办公室提供监事会汇总的监督记录，进行控制测试行了述Tffl公司决策、a执行、监督企业查阅“三会a审计小分离，形成内部控一层”即股东会组根据制衡机制；会股东大股东大会是制基本大会、董事会、规高级管理层授未层”会、公司公司的权力层范；权管埋办法，发未确董事会、机构，董事股东大确认制度建设现/E职高级管会对股东会、董的健全性；缺控责分理层的（大）会负事会、根据授权执行陷制丁,逐级授责，依法行有监事会情况进行控制未建权及执使企业的经授权管测试，确认制效行营决策权；理办法度的执行情况监事会对股东大会负2626.立职责边界及制衡机制情况等实际情况进行了描述责，对董事、高级管埋人员进行监督；高级管理层对董事会负责，依法实施经营管埋权根据国家有调阅公司章审计小关法律法规企程，股东大组根据和企业章程业内会、重事会、控缺乏董事制定详细的部控监事会议事规制未决策会、监股东大会、制基本则，授权管理机发机制事会、董事会、监规办法，内部控制现和议高级管事会的议范；制管埋办法，健缺事规理层议事、决策规公司董风险管理办法全陷则事规贝以及高级事会对等，检查制度有则,部管埋层的工高级管建设的健全效门职作细则和规理层授性；调阅会程；重大议纪要、2727V1.O“J编责与决策实行集权、高管理报告等，权限、体审批制级管确认相关制分公理层度的执行效司职工作果责与规则、权限部门及其职责报告与权路径限、分等文公司件，按职责实际与权控制限及设计其报和运告路行状径等、口士什况于田文件述（三）现场测试及缺陷汇总审计人员采用观察、核对、重新执行等审计方法在公司、信息系统三个层流程和面同步开展穿行测试、控制测试，对控制的有效性进行评价、对缺陷进2828V1.0可编辑可修改行汇总。以该行流程层面业务为例，其穿行测试、控制测试步骤如表40-41所示。如穿行测试结果为无效，则表明该流程设计无效，无需再对其进行控制测试，可直接认定缺陷；如穿行测试有效，则需对该流程进行控制测试，以验证该流程的运行是否有效。该行自行开发的内部控制评估系统（ICAS）可以对审计活动实施全程管理和监控，实时反映工作成果，并对缺陷进行自动汇总并统计。（四）报告编写审计部门负责撰写内部控制审计报告并提交审计委员会审议，在此基础上，按照其上市证券交易所的要求撰写年度内部控制自我评估报告，并提交董事会审议。审计报告提交前，内部审计部门需要与相关分支机构、业务部门的负责人进行充分沟通；内部控制自我评估报告提交董事会审计委员会审议，接受监事会监督，由董事会审议通过。七、效果1提升了内部控制和治理水平三年来，该行通过揭示缺陷和督促整改，持续完善内部监督机制，改进内部控制有效性，增加了公司价值。该行税后利润由2003年引入外部审计时的226亿增长到2009年的1293亿（2010年我行上半年净利润达到850亿，同比增长%不良贷款率从2005年财务重组后的%F降到2009年的%（2010年6月30日下降到拨备覆盖率从（2010年6月30日达到咧；平均总资产回报率（加4和加权平均净资产收益率（ROE分别从上市之初的唏口稳步增长到2009年和2008年荣获“亚洲最佳银行”、“中国最佳本地银行”“中国50家最受尊敬上市公司”等诸多奖项。2009年荣获“最佳公司治理”、“2009年最佳企业管治资料披露大奖H股上市公司板块白金奖”等境内外共26项公司治理奖项。2、推进了内部审计标准化和技术创新经过三年的积累，该行内部控制审计已形成了较为成熟的审计标准和审计技术方法体系，这些成功经验的推广和普及带动了全行内部审计技术创新。3、增强了内部审计团队的专业能力在内部控制审计实践中，锻炼和培养了一支熟练掌握内部控制和风险管理技术的审计队伍，为内部审计事业的发展储备了一批理念先进、视野开阔的新型专业人才。至2010年8月，该行的内部审计团队拥有国际注册内部审计师、金融风险管理师、特许公认会计师、注册信息系统审计师、项目管理专家等各类专业资质证书的人数占比达4、形成了积极的内部控制文化该行通过持续开展内部控制审计，倡导诚信尽责的道德价值观，增强全行员工的内部控制意识，在全行形成一种健康、积极的内部控制文化。2929