工行内控案例分析

1、某银行内部控制审计典型案例研究一、成立时间：1984年，2006年上市。二、内部控制概况该行引入C0S0内部控制五要素理念，实施商业银行内部控制 指引、上海证券交易所上市公司内部控制指引和企业内部控制 基本规范，制定内部控制建设规划和内部控制制度，由董事会、各 级管理层、监事会和全体员工实施，决策、执行、监督相互制衡。分别由业务部门第一道内部控制防线风险管理部门第二道内部控制防线内部监督部门第三道内部控制防线2004年7月起建设全面风险管理体系2006年改革内部组织架构内部审计部门直接向董事会负责并报告工作，并垂直下设十个内 部审计分部，负责涵盖内部控制的独立审计；内控合规部门，在总行和各级分

2、行设立的对高级管理层和管理层 负责的负责牵头内部控制建设、操作风险管理和合规风险管理。三、内部控制审计概况仁 上市当年，上交所上市公司内部控制指引发布实施，该 行内部审计部门开始尝试内部控制专项审计。2、2007年起具体组织实施年度内部控制评价，经过三年的探索、 借鉴、创新，逐步形成较为完善的内部控制审计体系。3、内部控制专项审计和年度审计项目纳入年度审计计划，经董 事会审计委员会审议、董事会审议批准后实施。三年来，该行内部审计部门采取非现场监测和现场测试相结合、 审计检查和审计调研相结合的方式，共实施了 140多项审计活动，基 本覆盖了该行公司治理、风险管理、内部控制全过程。四、内部控制年度

3、审计1、公司层面2、流程层面3、信息技术控制层面4、并表管理审计母银行及附属公司的内部控制公司层面控制的审计内容主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领 域，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制 要素展开，分为17个领域和82个子领域（如表所示）。每个领域下再细分为若 干个关键风险点和控制点。公司层面控制审计序号索引号控制要素控制领域子领域1A内部环境A 公司治理A1.治理结构A2职责分工、职责边界及制衡机制A3决策机制和议事规则A4.监督与问责机制2BB.管理层基 调与态度B1.管理层对内部控制的态度B2.管理层对风险的接受态度B3.管理层

4、对企业文化建设的态度B4.管理层对屐行社会责任的态度3CC.內部审计C1.内部审计部门的组织结构与独立性C2.内部审计工作规則C3.内部审计活动C4.内部审计计划C5 就审计发现的沟通C6.内部审计人员的胜任能力C7.内部审计部门的评估4DD.人力资源D1.组织架构及岗位职责D2 人力资源计划与招聘D3培训与离职D4 薪酬与考核激励5EE.员工行为E1.员工行为守则的内容要求守则E2.员工行为守则的拟定、修改及审批E3.员工行为守则的获得渠道E4.员工行为守则的沟通与培训E5.员工对行为守則的定期声明6FF.内部控制 实施的激励 约束机制F1.内部控制实施的激励约束机制的建 立7GG.法律遵从

5、G1.董事会的责任G2.法律部门的设立及其职责G3.监督机制G4.宣传教育8H风险评估H.风险评估 与管理H1 风险管理架构体系H2.风险识别H3.风险评估H4.风险控制与监督9I控制活动1.公司政策 与流程11政策与流程的制定I2.政策与流程的修改及审批I3.政策与流程的沟通与传递I4.政罠与流程执行情况的监督10JJ.投资策略 与管理J1.投资管理委员会的设立J2.投资管理委员会章程J3.投资项目专责团队J4.投资风险管理政策和程序J5.股权投资11KK.关联方交 易K1.政罠制度的建立K2.机构设JL与权责分配K3.控制和监督12LL.财务报告 与信息披露L1.会计政策和财务报告制度L2

6、.岗位分工与职责、权限安排L3.财务人员的技能和专业知识L4.非常规、复杂或特殊交易的账务处 理的控制L5.财务报告和信息披露L6.监督和控制13MN.控制活动N1.不相容职务分离控制N2.授权审批控制N3.会计系统控制N4.财产保护控制N5.预算控制N6.运营分析控制N7.绩效考评控制N&重大风险预警机制N9.反洗钱控制14N0.并表管理01 职能分工02.并裘管理制度体系03.资本充足率管理04.大额风险暴露管理05.内部交易管理06 其它风险管理07.并表管理信息系统150信息与沟通P.信息与沟 通P1.信息的收集、处理与传逼P2.沟通、交流与反馈16PQ.反舞弊Q1反舞弊工作机制的建立

7、02.举报投诉制度和举报人保护制度的 建立Q3.舞弊举报的接收、调查、处理04.就舞弊与管理层的沟通报告05.反舞弊、投诉举报制度的制定、修 改06.董事会对反舞弊工作的监督与管理17Q内部监督R.监骨与糾 正R1监督与纠正的体系架构和职责权限R2.监督和纠正的制度建设情况R3.监督执行情况R4.纠正执行情况R5.内部控制评价执行情况R6.内部控制自我评估R7.内部控制信息的披露流程层面控制的审计内容包括银行类和非银行类业务的28个流程和144个子流程流程层面控制审计内容业务类别业务线流程子流程银行类一.公司业务01.信贷贷款贷款风险拨备抵债资产核销贷款02.存款存款03.票据融资贴现协议付息

8、贴现赎回式贴现委托代理贴现银行汇票转贴现买入异地持票转贴现买入银行汇票转贴现卖出部分放弃追索权贴现买入返售卖出回购系统内票据存管买入集中账务处理银行承兑汇票04.贸易 融资与国 际结算进口信用证出口信用证进口代收出口托收国际担保进口信用证与进口代收押汇进口 TT融资提货担保/提单背书进口信用证代付进口代收项下代付进口 TT项下代付出口信用证项下打包贷款出口信用证项下押汇与贴现出口托收项下押汇与贴现出口发票融资信用证保兑进口保理出口双保理非买断型出口单保理福费廷国内单保理国内双保理国内发票融资国内信用证项下打包贷款国内信用证下卖方发票融资国内信用证下买方发票融资国内商品融资二.投行业务05.投资

9、银行常年顾问及其他投融资顾问资信证明银团贷款三.零售业务06.个人存款个人存款07.个人贷款个人住房贷款个人消费贷款个人经营贷款08.信用卡信用卡09.私人银行私人银行四资产管理10.资产托管资产托管11.企业年金企业年金12.贵金属个人账户黄金买卖代理实物黄金交易代理黄金清算13.理财固定收益理财业务国际市场理财业务资本市场理财业务区域理财五交易与 销售（资 金）14.债券投资与交易人民币债券外币债券15.外汇 资金交易人民币外汇资金交易外汇资金交易16.货币市场业务本币同业拆借公开市场业务外币同业拆借17.衍生代客衍生产品交易产品交易自营衍生产品交易18.承销发行承销发行信贷资产证券化六.

10、支付与结算19.运行管理会计要素管理参数管理权限卡管理子系统的系统及辖内往来清算与对账外汇汇款大额跨行清算大额取现管理现金管理金库管理自助银行及自助机具管理后台监督本外币结算客户账户服务保管箱支票结算与现金管理上门收款服务向人行领墩现金假币、代保管及其他七.中间业务20.电子银行网上银行电话银行手机银行21 代理代理收付代理同业结算代理地方财政收付代理保险（对公）代理基金（对公）代理非税收代理保险（个人）代理个人收付代理国债代理基金（个人）银期银关通银财通银税通第三方存管（对公）第三方存管（个人）个人信息服务八.其他22.财务财务报表编制会计管理固定资产管理税收其他资产减值准备财务集中管理及费

11、用报销集中采购财务审查委员会成本与预算管理：成本管理预算管理23.资产负债管理国债人民币资金集中管理存放同业拆放同业经济资本管理外汇资金营运准备金调缴人民币资金营运外汇资金的管理24.产品创新产品创新管理25.其他管理绩效考核员工薪酬档案管理安全保卫非银行类26.租赁租赁及售后回租转让应收租赁款27.基金产品管理销售管理投资管理核算管理28.投资咨询投资咨询信息技术层面控制的审计内容分为信息技术公司层面、一般控制、应用控制三个方面，包括 14个领域和61个子领域序号类别领域子领域CE控制环境信息科技组织和关系1人力资源管理公司层面对用户教育和培训2RA风险评估风险评估3CA控制活直接的职能或活

12、动管理动信息处理物理控制职责分离4IC信息与信息构架沟通管理层目标和方向的传达性能及容量管理5IM监控监督内部控制的足够程度开发管理PD程序开发项目需求与立项6项目定义与计划项目执行与监控项目关闭测试环境一般控制测试前移版本交付与测试申请TM测试管理测试启动与准备7测试执行测试问题管理测试变更管理测试总结与投产评价及报告8PM运行维物理环境安全护生产运行管理性能与容量管理备份管理服务水平协议ITC IT 系统连续性IT系统连续性风险分析9IT系统连续性计划的建立IT系统连续性计划的測试和演练信息安全组织和信息安全管理制度操作系统访问控制管理10IS信息安业务数据的访问控制管理全应用系统访问控制

13、管理网络安全管理物理安全管理用户管理UNIX服务器安全11AIX. AIXUNIX系统网络通讯应用控制操作系统UNIX系统资源环境UNIX文件系统及目录保护UNIX日志及监控审计0RAOracle用户管理12Oracle 数系统网络通讯据库Orac I e文件系统及目录保护1314Oracle日志及监控审计CIS CISCO路由器、交换机路由器、交换机远程访问安全要求路由器、交换机设备的认证、授权安全要求路由器、交换机设备密码加密设置和网络服务安全要求路由器、交换机路由协议和SNMP安全配置要求路由器、交换机、刀片机日志审计安全配置和特有要求FIW防火墙防火墙设备远程访问安全配置要求防火墙设备

14、的认证、授权安全配置要求防火墙策略管理安全配置要求防火墙日志服务安全配置和特有要求防火墙SNMP安全配置要求五、内部控制审计标准1、内部控制审计实务标准。是该行内部控制体系各经营管理层 级和各业务环节正常运行应当遵循的控制标准或要求，主要依据国内 外监管法规、行业最佳控制实践以及本行实际情况设定，涵盖经营管 理、业务操作、产品和信息系统等各个领域，细化到每个领域中的关 键控制点。2、内部控制审计认定标准。包括对风险点的量级标准和对控制点的量级标 准及在此基础上对内部控制缺陷的认定标准、内部控制有效性认定标准。该行 将内部控制缺陷分为设计缺陷和运行缺陷，符合企业内部控制规范及其配套指引的规定，缺

15、陷按影响控制目标的严重程度分为重大.重要和一般三个等 级。内部控制缺陷认定标准缺陷 等 级定义认定标准定量标准定性标准重大指一个或多个 控制缺陷的组 合，可能导致企 业严重偏离控 制目标。财务报表的错报金额落在如下区间：1、错报M利润总额的5%;2、错报工资产总额的3%;3、错报M经营收入总额的1%;4、错报M所有者权 益总额的1*o1、缺乏民主决策程 序；2、决策程序导致重 大失误；3、违犯国家法律法规并受到处罚；4、中高级管理人员 和高级技术人员流 失严重；5、媒体频现负面新 闻，波及面广；6、重要业务缺乏制 度控制或制度系统 失效；7、内部控制重大或重要缺陷未得到整改重 要指一个或多个

16、控制缺陷的组 合，其严重程度 和经济后果低 于重大缺陷，但 仍有可能导致 企业偏离控制 目标。财务报表的错报金 额落在如下区间：1、利润总额的3%W 错报V利润总额的 5%;2、资产总额的0错 报V资产总额的3%;3、经营收入总额的 W错报V经营收入 总额的1%;4、所有者权益总额 的0错报V所有者 权益总额的1%仁民主决策程序存在但不够完善；2、决策程序导致出 现一般失误；3、违反企业内部规 章，形成损失；4、关键岗位业务人 员流失严重；5、媒体出现负面新 闻，波及局部区域；6、重要业务制度或 系统存在缺陷；7、内部控制重要或 一般缺陷未得到整 改般除重大缺陷、重 要缺陷之外的 其他控制缺陷

17、。财务报表的错报金额落在如下区间：1错报V利润总额的3%;决策程序效率不 高；2、违反企业内部规 章，但未形成损失；2、错报V资产总额 的;3、错报V经营收入 总额的;4、错报V所有者权 益总额的。3、一般岗位业务人员流失严重；4、媒体出现负面新 闻，但影响不大；5、一般业务制度或 系统存在缺陷；6、一般缺陷未得到整改。7、存在的其他缺陷有效性审计结论分为有效、基本有效、关注、特别关注、无效五级。其定义及认定标准如表所示内部控制有效性认定标准等级数控制有效性等级定义认定标准1有效被评价对象的内 部控制系统运行 有效被评价对象没有重大缺陷和重 要缺陷；内部控制设计适当且得 到贯彻执行，不存在控制

18、过度和 控制不足的情况2基本有效被评价对象的内部控制系统运行基本有效被评价对象没有重大缺陷和重 要缺陷；内部控制设计适当但个 别执行效果不佳，存在控制过度 可能，不存在控制不足的情况3关注被评价对象的内 部控制系统运行 结果可以接受，不 会对我行战略目 标的实现产生实 质性影响。被评价对象没有重大缺陷和重 要缺陷；存在少量内部控制设计 缺陷，存在控制过度和控制不足 的情况。4特别关注被评价对象的内 部控制系统运行 水平需要改进和 予以关注被评价对象存在重要缺陷；内部 控制存在较多设计缺陷且涉及 范围较广，控制不足情况较为严 重；违反行内规章制度并受到总 行处罚5无效被评价对象的内部控制系统运行

19、无效被评价对象存在重大缺陷；存在 无控制或控制失效的情况；违反 监管机构规定并受到处罚。内部控制缺陷和有效性之间存在的对应关系如表所示:有效性标准与缺陷标准的对应关系表缺陷标准有效性标准对应说明重大无效当存在一个或多个内部控制重大缺陷时，应当作出内部控制无效的结论重要特别关注重要缺陷应当引起董事会、经理层关注，或特别关注关注一般基本有效当存在一般缺陷时，且缺陷数量超过管理层可容忍范围时，可以作出内部控制基本有效的结论有效当存在一般缺陷，且缺陷数量在管理层可 容忍范围内时，可以作出内部控制有效的 结论风险等级划分为低、较低、中等、较高、高五级（如表所示）:风险点分级标准风险点分级认定标准A+ （

20、高）影响力高，可能性较大的事件；或影响力高，几乎青 定发生的事件。A （较高）影响力高，有可能或可能性很小发生的事件；影响力 较高，有可能或可能性较大的事件；影响力中等，可 能性较大或几乎肯定发生的事件。A-（中等）影响力高，不太可能发生的事件；或影响力较高，发 生的可能性很小的事件；影响力中等，有可能发生的 事件；彩响力较低，发生的可能性较大的事件；彩响 力较低但几乎肯定发生的事件。B+ （较低）影响力较高，不太可能发生的事件；影响力中等或较 低，有可能性发生的事件；影响力很低，发生的可能 性较大的事件。B （低）影响力低或较低，不太可能或发生的可能性很小的事 件。控制等级划分为一般控制二级

21、、一般控制一级、重要控制二级、 重要控制一级、关键控制五级（如表所示）。控制点分级标准控制点分级认定标准Aa+ （关键）对可能引起重大的业务失误、为公司带来重大的财务 损失，并可能导致财务报告中的重大的实质性错报等 重大缺陷进行有效控制Aa （重要一级）对可能引起较大的业务失误、为公司带来较大的财务损失等重大缺陷进行有效控制Aa-（重要二 级）对日常运营造成一定程度的影响、为公司带来一定程度的财务损失等重要缺陷进行有效控制Bb+ （一般一级）对日常运营带来轻微损害、可能导致轻微的财务损失 的一般缺陷进行有效控制Bb （一般二级）对日常运营带来非常轻微的损害、可能导致非常轻微 的财务损失的一般缺

22、陷进行有效控制六、内部控制审计步骤（一）梳理风险点和控制点以公司层面为例，该行在梳理风险点和控制点的过程釆用了以下 步骤：一是查阅和分析公司治理文件。二是查阅和分析公司管理制度。三是查阅和分析反映公司治理过程和管理制度执行情况的记录 文件或报告等。四是问卷调查和审计访谈。（二）构建价值链风险控制矩阵该行釆用风险控制矩阵的构建方法，按价值形成过程，排列不同 控制领域、部门、流程、业务单元、产品/服务等在前中后台的位置, 以此明确各部门的职责关系。以价值链矩阵为联系纽带，将银行的具 体业务环节、控制活动和风险联系起来，形成各项业务和管理活动的 视图。以该行公司层面控制内部环境审计为例：该行根据企业

23、内部控 制基本规范，以公司治理等一级控制领域和二级控制领域为列，以 风险点描述、控制点描述、审计标准、审计依据、测试步骤（审计流 程）、测试结果等为行，构建内部环境的风险控制矩阵（如下表所示） 开展内部环境审计内部环境风险控制矩控制 领 域风 险 点描述风险等 级控制点描述控制 级 别审计标准主要依据测试步骤测试 结 果审计结 论审计师审核1.公司治 理治 理 结 构 形 同 虚 设审计 小组 根据 公司 章程、 履职 情况， 会议 纪要 等实 际情 况进 行了 描述依法制定对 公司股东、 董事、监事 和高级管理 人员具有约 束力的公司 章程；设立 股东大会、 董事会、监 事会和高级 管理层并

24、履 行职责，其 成员应具备 相应的任职 专业知识和 业务工作经公 司法 上 申公 司治 理准 则企 业內 部控 制基 本规 范； 公司 章程 查阅公司 章程,公司治 理制度，确认 公司治理结 构的健全性； 商请董事 会办公室提 供董事会及 其专门委员 会提供汇总 的履职记录， 商请监事会 办公室提供 监事会汇总 的监督记录， 进行控制测未 发 现 缺 陷公司 治 理 有 效验试“会 层”未 确 定 职 责 分 工， 未 建 立 职 责 边 界审计 小组 根据 股东 大会、 公司 董事 会、高 级管 理层 的逐 级授 权及 执行 情况 等实 际情 况进 行了公司决策、 执行、监督 分离，形成 制

25、衡机制； 股东大会是 公司的权力 机构，董事 会对股东（大）会负 责，依法行 使企业的经 营决策权； 监事会对股 东大会负 责，对董事、 高级管理人 员进行监 督；高级管 理层对董事企 业内 部控 制基 本规 范;股东 大会、 董事 会、监 事会 授权 管理 办法查阅“三会 一层”即股东 大会、董事 会、高级管理 层授权管理 办法,确认制 度建设的健 全性;根据 授权执行情 况进行控制 测试,确认制 度的执行情 况未 发 现 缺 陷会层”控 制 有 效及描述会负责，依制法实施经营衡管理权机制缺乏 决 策机制 和 议事规则审计 小组 根据 董事 会、监 事会、 高级 管理 层议 事规 则，部 门

26、职 责与 权限、 分公 司职 责与根据国家有 关法律法规 剂企业章程 制定详细的 股东大会、 董事会、监 事会的议 事、决策规 则，以及高 级管理层的 工作细则和 规程；重大 决策实行集 体审批制 业 部 制 本 范 公 董 会 高 管 层 权、 级 理 工 规则企内控基规9司 事 对 级 理 授 高 管 层 作 1、调阅公司 章程,股东大 会、董事会、 监事会议事 规则，授权管 理办法，内部 控制管理办 法，风险管理 办法等，检查 制度建设的 健全性；调 阅会议纪要、 管理报告等， 确认相关制 度的执行效 果未 发 现 缺 陷控 制 机 制 健 全 有 效权限 及其 报告 路径 等文 件，按 实际 控制 设计 和运 行状 况描 述部门 职责 与权 限、分 公司 职责 与权 限及 其报 告路 径等 文件 (三)现场测试及缺陷汇总审计人员采用观察、核对、重新执行等审计方法在公司、流程和 信息系统三个层面同步开展穿行測试、控制测试，对控制的有效性进 行评价、对缺陷进行汇总。以该行流程层面业务为例，其穿行测试、 控制測试步骤如表40-41所示。如穿行测试结果为无效，则表明该流 程设计无效，无需再对其进行控制測试，可直接认定缺陷；如穿行测 试有效，则需对该流程进行控制测试，以验证该流程的运行是否有效。该行自行开发的内部控制评估系统(ICAS)可以对