中国民生银行内部控制评价体系说明

1、中国民生银行内部操纵评价体系介绍作为中国银行业改革的试验田，民生银行锐意改革、积极进取，自成立以来，规模不断地扩大，效益逐年递增，保持了快速健康的进展势头，为推动中国银行业的改革创新做出了积极贡献。在成立的第一个十年，民生银行实现了快速增长，资产规模年复合增长率达到100%，利润的增长率保持在40%-50%；近三年，资产规模年复合增速放缓至27%-28%，利润的增长则保持了平均50%的增速，总资产收益率增幅和净利润增幅在股份制商业银行中排名第一，为投资者和客户制造了更高的价值和回报；到2013年上半年，民生银行集团资产总额达到3.4万亿元，实现净利润229.45亿元，同比增长20.43%，处于

2、股份制银行前列；不良贷款率为0.78%，长期保持较低的增长。一、民生银行内部操纵治理体系建设进展的状况自1996年建行，特不是2007年五年进展刚要正式实施以来，民生银行持续完善现代金融企业公司治理机制，推进经营模式和增长方式转变，提高全行经营治理水平和内控风险防范能力，在全行初步建立起了对各项经营治理活动全方位覆盖、全过程操纵和全员参与的内部操纵体系，内部操纵机制日趋完善，风险防范能力得到提升，内控治理水平明显改善。（一）营造良好的内控环境，奠定经营治理与内部操纵的基石民生银行作为首家要紧由非公有制企业入股的全国性股份制商业银行，在独特的股权结构基础上，建立和完善了现代公司治理架构，形成了权

3、力机构、决策机构、监督机构和执行机构之间权责分明、各司其职、相互协调、有效制衡的组织架构和运作机制。民生银行依照业务进展情况，不断完善组织架构和业务流程、健全激励机制，并通过集中化治理提高内部运行和风险防控效率。在业务线，推行公司业务集中经营改革，建立行业事业部治理机制，推进分行业务转型，支行进行零售化改革；在风控线，推出独立评审制度，独立稽核体制，分行集中放款制度，健全了信贷前中后台分离的制约机制；通过中后台改革，对组织机构、岗位体系、绩效治理、业务流程和经营模式等进行全方位整合，搭建适合我行较长时期进展战略需要的基础性平台。相继实施的“两率”考核、千分制考核、贡献积分、平衡计分卡等激励考核

4、机制，优化绩效治理体系，推进岗位标准化建设，构建新的岗位职级体系，建立了基于业绩贡献和岗位价值的激励约束机制。（二）初步建成了成本和风险横贯型约束机制，治理和经营风险能力得到增强民生银行持续加强全面风险治理体系建设，不断完善全面风险治理框架，风险识不、评估与治理水平明显提高，实现了从关注单一客户风险转向关注组合风险、操纵行业集中度风险，从简单定性推断风险转向定性与定量推断相结合，治理和经营风险能力大大增强。在信用风险治理方面，建立了全行法人客户评级和债项评级体系，完成了零售资产风险评分模型和风险分池量化参数的设定，初步实现了每笔债项和客户所对应的风险拨备、经济资本、风险调整后的资本收益（RAR

5、OC）与经济增加值（EVA）的自动计算，为内部评级法的推广应用和信用风险的数目化治理奠定了坚实的基础。在市场风险治理方面，完善了市场风险识不、市值评估、风险计量、限额治理、风险报告及应急治理等制度方法，初步搭建起集中的市场风险计量、监测、操纵和治理平台，对金融市场部、上海交易中心和香港的各类投资交易组合均实现了市值、损益、敏感性等风险指标的每日计量和监控，市场风险计量与治理水平大幅提升。在操作风险治理方面，建立了政策制定、工具开发、资本计量与日常治理相分离的治理架构，制定了操作风险治理制度，设计并推出了操作风险与操纵自我评估、关键风险指标和损失数据收集三大治理工具，明确了操作风险日常监督和检查

6、治理机制，制定了操作风险监管资本计量治理方法和计算模版，操作风险治理能力明显提高。在流淌性风险治理方面，制订了流淌性风险治理方法、流淌性应急打算与流淌性压力测试方案，明确了流淌性风险治理职责、治理流程、治理策略、治理方法与手段，清晰了流淌性应急触发条件和预警信号、应急处理措施，规范了流淌性风险压力测试的方法、程序与报告要求，构建了有效应对流淌性风险的治理体系。在合规风险治理方面，相继开发了合规风险治理系统、治理标准和数据模型，合规性检查和合规风险整改逐步规范化，持续开展“主动合规”主题活动，“规规矩矩办银行、人人尽职合规”的合规文化有效树立，合规评价不断成熟，监管评价和监管环境大为改善。战略风

7、险、国不风险、声誉风险、IT风险治理架构已差不多构建。此外，建立了经营机构风险评价制度，对各经营机构的风险治理工作进行定期评价，并将其结果纳入平衡计分卡体系，推动各经营机构风险治理持续提升。 （三）加强了流程操纵，内控机制和内控技术不断成熟。在规章制度建设方面，2007年建立规章制度合规审查制度，2008年组织全行制度大清理并实行“制度有效覆盖率”治理指标，2010年建立“流程立规”规章制度治理机制，着力构建直观清晰、简明扼要、体系和谐的规章制度体系，有效克服了制度间不衔接甚至相互冲突、制度繁杂不便于掌握等问题，大大提高了制度执行力。在业务集中治理方面，2001年在业界领先实现“数据大集中”，

8、随后在信贷审批、单证处理、授信发放、会计运营、财务治理、资金治理和稽核审计等领域加快集中化改革，减少治理层级，提高治理效能，增强风险操纵能力。2013年新核心系统全面上线运行，为以客户为中心的业务流程及组织治理提供强大的技术支持。在业务流程方面，坚持“以客户为中心”的指导思想，自上而下持续推进公司业务、零售业务、私人银行业务、金融市场业务、中后台治理等要紧业务流程优化，梳理并完善相关业务流程，建立起市场反应灵敏、风险操纵有力、运行协调高效、前中后台分离的业务流程。在治理工具方面，引进和实施平衡计分卡指标体系，启动了平衡计分卡信息平台开发；推进六西格玛流程优化项目，部分机构顺利试点并取得时期性成

9、果；依照客户之声治理要求，启动了客户中意度体系构建。在系统操纵方面，在公司金融、零售金融、信用卡、网上银行、金融交易、风险治理、运营治理、人力资源治理、财务治理等专业系统中广泛应用IT硬操纵技术，减少了人工干预因素，进一步提高了系统操纵能力。（四）创新监督治理模式，三道防线治理效能明显提高。各一线业务机构自觉践行合规文化，规范营销客户，全面落实业务审批要求，紧密监控信贷资金流向，主动自查自纠。业务治理部门建立正向激励制度，明确合规经营导向，充分发挥专业优势，主动实施对自身业务领域的检查和督导。运营治理部门不断健全事权划分、事中操纵、业务监督、检查督导等治理机制，业务运营风险得到较好操纵；放款部

10、门积极开展授信作业监督，使授信业务风险防范关口前移；法律合规部门作为直接对各级治理层负责的合规性检查部门，着力加强对各类合规性检查的统筹治理，不断完善内控合规评价指标体系和方式方法，独立或联合组织合规性检查，组织并督促合规性整改，有效提高了全行合规性检查监督的效率和效能；独立的内部审计部门以风险为导向，将监督评价全行风险治理、内部操纵和公司治理的充分性与有效性作为审计活动的重要内容，审计活动深入到公司治理过程中，审计职能得到深化，审计价值不断提升。从成立之初，即聘请四大会计师事务所负责年度、季度审计以及内控审计，促进内控建设持续完善，提高内控审计公信力。纪检监察部门作为执纪部门和案件统筹治理部

11、门，不断完善组织架构和制度流程，加强宣传教育，强化职员监督，完善案件（风险）信息报告和处置工作，构建和完善问责体系，严格责任追究，整肃内部纪律和风气。（五）加快了信息化建设步伐，内外部信息得到有效沟通。在信息治理方面，推进企业级数据仓库建设，实施数据质量治理工程，提高了基础信息的真实性和可靠性，为各级治理者的经营决策和内控治理提供了有力支持。在信息传导机制方面，制定内部操纵信息报告治理方法等制度，全行形成了横向覆盖各业务领域、纵向贯穿各级机构、业务条线和工作岗位的信息报告传递机制，保证了各类经营治理信息在各级行、各部门之间的通畅传导。在信息披露方面，持续修订完善信息披露事务治理制度等相关规定，

12、规范了信息披露工作流程和权限，确保信息披露的真实性、准确性和完整性，有效地满足了监管部门、投资者及社会公众对我行的信息披露需求。与此同时，我行还积极建立外部信息收集机制，多渠道、有重点地猎取、筛选、分析监管信息、社会信息和客户信息，以便及时跟进治理措施，强化内部操纵，有效防范和化解风险。近年来，加速演化的经济全球化、金融自由化和金融危机给商业银行带来了全面竞争与经营风险，随着外部经营环境、国际、国内监管环境变化，加之成为中国最佳商业银行的进展愿景都对内控体系建设提出了更高的要求。对内部操纵体系进行重新梳理，规划和改进是今后一段时期的重点任务。二、内部操纵评价体系要紧内容介绍一些国有商业银行在九

13、十年代末，即启动了对分支机构的内部操纵评价，但在相当长的时刻内未形成明确的、系统的工作要求，内控评价内容仍以查弊纠错为主，未摆脱传统业务审计的模式。2004年后，在银监会评价方法的指导下，各商业银行开始探究符合自己特点的内部操纵审计评价准则和审计评价方法，差不多建立了以COSO要素为核心、完善的内控评价制度和体系文件。通过多年实践，形成了各具特色的评价体系和方法。中国民生银行的内部操纵评价是依据企业内部操纵差不多规范的总体要求和商业银行内部操纵指引的具体要求，在银监会的指导下进行的。我行内部操纵评价遵循五部委的企业内部操纵差不多规范的体系框架和商业银行内部操纵指引的具体要求，结合本行实际，在2

14、008年制定了中国民生银行内部操纵评价方法，并于2012、2013年两次修订，对整体内部操纵评价体系进行了全面的进展和完善。经营机构是全行各项业务的落脚点，我们将对经营机构的内部操纵评价作为全行内部操纵有效性评估的最重要和最基础的工作，对经营机构的内部操纵评价内容是年度内控报告的核心。经营机构内部操纵有效性评价的内容及范围1、评价内容依据有关指导文件的框架要求，内部操纵评价是围绕内部环境、风险评估、操纵活动、信息与沟通、内部监督等要素，对内部操纵设计与运行情况进行的全面评价。内部环境评价，以组织架构、进展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本行内部操纵制度，对内部环境的设计

15、及运行情况进行认定和评价。风险评估评价，以企业内部操纵差不多规范有关风险评估的要求，以及各项应用指引中所列的要紧风险为依据，结合本行内部操纵制度，对日常经营治理过程中的风险识不、风险分析、应对策略的设计及运行情况等进行认定和评价。操纵活动评价，以企业内部操纵差不多规范等相关法规和各项应用指引中的操纵措施为依据，结合本行各项业务的治理方法、操作规程、内控手册，对相关内部操纵措施的设计和运行情况进行认定和评价。信息与沟通评价，以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本行内部操纵制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用

16、信息系统实施内部操纵的有效性等进行认定和评价。内部监督评价，以企业内部操纵差不多规范有关内部监督的要求，以及各项应用指引和相关法规与监管要求中有关日常管控的规定为依据，结合本行内部操纵制度，对内部监督机制的有效性进行认定和评价。2、评价范围在多年的内部审计过程中，我们对全行各项业务经营情况有较为全面的了解，通过不断对业务制度和流程进行梳理，来确定要紧的经营治理活动领域和关键操纵流程。目前，对分行的评价要紧集中在以下十个治理操纵和业务流程，即公司层面、综合治理、对公授信、零售授信、零售非授信、私人银行、同业业务、运营治理、财务治理、电子银行。2012年往常，我行对经营机构内部操纵评价是围绕内部操

17、纵五要素进行，对具体的操纵活动投入了较大的力量，但通过评估，我们发觉以往的评价往往忽略了对经营机构战略执行能力的评价，评价没有抓住经营机构自身的特点和亮点，多局限于对内部操纵活动环节的合规性检查，内容偏窄，限制了内控评价作用的发挥。在董事会战略转型的关键时期，我们确定对内控评价的内容进行调整，增加了对经营机构战略执行、特色业务、经营治理等方面的分析评价内容。通过实践检验，对这几方面的分析评价提升了内控报告的高度和水平，对从深层次揭示内部操纵中存在的问题实质起到重要的作用。（二）评价工具内部操纵评价手册是对我行内部操纵评价时所运用的差不多技术工具，是在我行差不多规章制度的基础上形成的，是各项业务

18、的流程化体现，我们通过对业务各流程中的关键节点，即操纵点的抽样检查，推断经营机构的内部操纵是否发挥作用。评价手册依照对象不同，分总行级、分行（事业部）级，由各类评价表组成，是量化评分的基础依据。以分行级内部操纵评价手册为例讲明：包括公司层面、综合治理、公司授信、零售授信、零售非授信、私人银行、资金与票据、运营治理、打算财务、电子银行等十张评价表。每张评价表有50个左右的操纵点。评价表共10列，包括业务治理与流程、操纵点描述、制度依据、测试方法建议、替代操纵措施描述、样本量、样本区间、问题描述等内容。仅公司层面表采纳固定分值，定性推断的方式，其余9张表均采纳定量扣分的方式。我们在对经营机构的公司

19、层面中，将经营指标完成情况和战略执行效果均给予了分值，在定性推断的基础上，引入量化参考指标，如经营指标中选取资本收益率、经济资本收益率等资本节约指标，净非利息收入额等中间业务指标，不良贷款率等资产质量指标；在战略执行方面，选取民营企业中的客户开发和结构指标，小微企业的综合化开发、户均贷款额及批量化指标，高端客户治理金融资产年均复合增长率、特色业务开发模式和效果指标。通过指标完成情况，作为对公司层面定性推断的辅助。（三）评分方法和程序为增强评价的科学性、可对比性，我们在最初设计评价方法时，就建立了量化的评价指标体系，以实际得分的方式来确定不同的评价结果，按照标准分数确定评价等级。千分制的内控评价

20、的评分方法仅限于对经营机构内部操纵评价。内部操纵整体评价和单项流程评价均实行千分制评分，整体评价得分由各单项流程评价得分加权汇总形成。评分设置内部操纵要素权重和单项业务流程风险权重两个权重指标。单项业务流程评价按内部操纵要素分配权重，对评价发觉问题按内部操纵要素进行归类，按风险等级确定得分，然后加权汇总形成单项业务流程得分；再将各单项业务流程得分按业务流程风险权重加权汇总后，形成整体内部操纵评价得分。例：经营机构内控要素汇总表业务条线 操纵要素标准分值 汇总分值 公司层面综合治理对公授信零售授信零售非授信电子银行内控环境150风险识不与评估150操纵活动450信息交流与反馈100监督评价与纠正

21、150汇总权重100%1001052520105总计 1000 1、两个权重划分原则：A.内部操纵要素权重划分应考虑各要素在经营机构中的重要程度，结合经营机构的运作特点和治理层次来确定。如：内部操纵环境15%，风险识不与评估15%，操纵活动45%，信息交流与反馈10%，监督评价与纠正15%。B.单项业务流程的权重划分原则贯彻风险导向原则，对业务占比较高、风险发生概率较高以及阻碍程度较大的单项业务分配较大的权重。如：公司治理10%，综合治理5%，对公授信25%，零售授信20%，零售非授信10%，私人银行5%，运营治理10%，同业业务5%，财务治理5%，电子银行5%。2、风险等级认定在对问题发觉的

22、性质推断上，我们引入了风险治理中的风险等级概念，即每个审计发觉按照问题发觉的损失阻碍和发生的可能性进行综合推断，给予风险等级不同的分值，依照最终确定的风险等级进行扣分；所有审计发觉按照五要素进行归类汇总，进行整体评分。那个评分体系采纳的是扣分制，和往常得分制有明显不同。例：各业务条线操纵要素评分表治理环节 标准分数 汇总分数 扣分 风险等级 发生可能性阻碍程度问题 内控环境150风险识不与评估150操纵活动450信息交流与反馈100监督评价与纠正1503、确认风险等级的方法在审计发觉的性质判定上，我们采纳了风险等级矩阵模型。风险等级=发觉的损失阻碍发生的可能性 三个因素均分为高中低三档，最终确

23、定的风险等级分不对应相应的扣分区间。例：风险等级矩阵 问题发生的可能性 问题发觉损失阻碍低中高高中中高中低中中低低低中风险等级对应扣分区间表等级扣分区间等级扣分区间等级扣分区间低1扣分6中7扣分12高13扣分18三个需明确的定义或标准：A、风险等级定义缺陷等级描述高问题发觉处于关键领域且存在重大的风险隐患，治理层须立即引起注意解决相关问题。中问题发觉处于一般领域且存在重要的风险隐患，治理层须尽快引起注意幸免问题向更严峻方向进展。低问题发觉处于一般领域且产生的风险隐患阻碍有限，治理层应考虑这些领域整体操纵的有效性。B、发生可能性等级划分表业务发生频率问题占抽样比率每年一次每季一次每月一次每周一次

24、每天一次每天多次差错率5%中低低低低低5%差错率10%高中中中中低10%差错率15%高高高高中中 15差错率20%高高高高高中20%差错率高高高高高高C、问题发生损失阻碍等级划分表问题发觉损失阻碍 描述高受到较严峻的行政处罚；形成重大财产和资源损失；极大地违反、损害或阻止业务、名誉和利益；发生重大差错或严峻的操纵缺陷。中造成明确的财产和资源损失；违反、损害或阻止业务、名誉和利益；行为产生不良阻碍或后果，损失程度不大；发生重要差错或重要的操纵缺陷。低造成财产和资源的较少损失；可能会阻碍组织的业务、名誉和利益；内部操纵执行中的不规范问题。4、评分程序A、由评价工作组组织各专业评价小组进行初评，首先

25、按内控要素分类标准将问题发觉进行业务流程归类；其次按照问题发觉的差错率和发生频率确定问题发生的可能性等级，与问题发觉损失阻碍程度相结合，按风险等级矩阵确定不同程度的风险等级；然后按不同风险等级对应的扣分区间进行扣分；最后对单项业务流程评价表按权重进行加权，汇总成为经营机构整体内控评价得分。B、评价组主审人组织评审组对初评分结果进行复核确认，经评价组长批阅后上报审计部。C、审计部组织内控评价专家组对各评价工作组的评分结果进行复审。在对经营机构内部操纵进行评价的基础上，检查是否存在重大内部操纵风险事项，假如存在重大内部操纵风险事项，则按照重大缺陷校正评价表中的标准分值进行内部操纵评价的分数调整。5

26、、缺陷认定内部操纵缺陷是指内部操纵体系在设计上或运行中，存在的无法让治理层和职员在正常执行所分配工作时，及时地预防或发觉错报的操纵程序缺失。内部操纵缺陷认定遵从统一的推断标准。（1）缺陷分类按严峻程度的分为：重大缺陷：一个或多个操纵缺陷的组合，可能导致企业严峻偏离操纵目标的情形；重要缺陷：一个或多个操纵缺陷的组合，其严峻程度和经济后果低于重大缺陷，但仍有可能导致企业偏离操纵目标的情形；一般缺陷：除重大缺陷、重要缺陷之外的其他操纵缺陷。（2）内部操纵缺陷认定依照问题发生可能性及问题阻碍程度，依据相应的定量、定性标准进行确定。内部操纵评价要对所有的审计发觉进行缺陷认定，初步的认定由评价组负责，要按

27、照统一的缺陷认定标准和程序进行，如有重大或重要缺陷的推断，则应在退出内部操纵评价现场前，与被评价单位高级治理人员沟通和确认内部操纵评价发觉和结论；对内部操纵评价中发觉的重要缺陷，与高级治理层（行领导）进行沟通和确认，并提出改进措施；审计部将就重大的审计发觉和高级治理层拟采取或不采取改进措施的决定，向董事会审计委员会汇报，并由其最终认定重大操纵缺陷。6、评价有效性结论有效性评价结论分为有效、差不多有效、关注、特不关注、无效等五级，确定以定量与定性相结合的形式，对评价结果进行判定，将是否出现重要和重大的内控缺陷作为评级浮动的重要因素。经营机构内部操纵评价的认定标准如下：有效的认定标准：内部操纵设计

28、适当且得要素到贯彻执行，不存在操纵过度和操纵不足的情况，无重大缺陷和重要缺陷。差不多有效的认定标准：内部操纵设计适当但个不执行效果不佳，存在操纵过度可能，不存在操纵不足的情况，无重大缺陷和重要缺陷。关注的认定标准：内部操纵存在少量设计缺陷，存在操纵过度和操纵不足的情况，存在操纵过度和操纵不足的情况，无重大缺陷和重要缺陷。特不关注的认定标准：内部操纵存在较多设计缺陷且涉及范围较广，操纵不足情况较为严峻，违反行内规章制度疏导总行处罚，存在重要缺陷。无效的认定标准：内部操纵存在无操纵或操纵失效的情况，违反监管机构规定并受到处罚，存在重大缺陷。按照审慎性原则，假如被评价对象存在重大内部操纵风险事项，将

29、按照扣分标准给予分数调整。7、评价报告经营机构内部操纵评价意见是基于对经营机构内部操纵专项审计和日常监督检查结果编制而成。经营机构内部操纵评价意见包括内部操纵评价开展差不多情况及评价结论，被评价单位的战略执行、经营特色、内部操纵分析评价，要紧审计发觉，改进建议等内容。评价意见依照经营机构内部操纵实际得分，得出内部操纵有效性结论，以反映经营机构内部操纵设计和运行的效果。8、评价程序评价程序包括：方案培训、非现场预备、现场审计、评价结果认定、报告撰写等时期。（1）方案培训。由各审计中心组织全体评价人员进行集中培训，培训内容包括对被评价对象差不多经营治理情况的介绍，要紧经营指标的分析，重要风险预警信

30、息的排查，业务流程的审计方法，审计记录的讲明，沟通与反馈要求，缺陷认定的差不多方法，评价表的汇总方法等。（2）非现场审计。入场前现场审计组组织非现场检查，对分行/事业部的组织治理、经营情况进行调查摸底，对业务进行预警排查和数据挖掘，利用非现场模型进行预设条件的筛查，并确定初步的抽样样本。正式进场评价前应组织召开项目分析会，对非现场排查结果进行通报，对抽样问题初步排查结果进行分析，确定重点检查的方向。（3）现场审计。评价组按照职责分工和时刻进度安排进驻现场,对评价方案确定的评价内容实施现场评价。具体工作评价步骤按中国民生银行现场审计治理方法中有关规定实施。现场评价工作要求有完整、客观评价记录，按

31、照评价底稿的统一要求填写，针对审计发觉的偏差填写情况确认书和备查记录。（4）评价结果认定。 A、由业务条线评价小组进行初评，先按COSO五要素分类标准将问题归类到业务条线内控要素评分表，按照风险认定标准，进行风险评估，形成问题的风险等级；按最终确定的风险等级扣分。 B、主审人组织评审组对初评分结果进行复核确认；业务条线内控要素评分表加权汇总形成经营机构内控要素评分汇总表，经组长批阅后上报总部。 C、总部内控评价专家组对各审计中心的评分结果进行复审，复审的目的是平衡各中心问题判定标准和评分的差异，保证评价结果的公平性。（5）报告撰写 经营机构内部操纵评价形成内控评价意见书，该意见书正式发文，报送

32、行内高级治理层。对检查发觉的问题，统一纳入问题库，整改要求以问题库的形式下发被评价机构进行限期整改。 在那个评价过程中，特不对非现场系统的应用进行讲明。民生银行是在国内股份制商业银行中较早应用非现场审计技术的金融机构，在近十年的摸索中，非现场系统通过数次更新和升级，具有较为强大的数据筛选和预警的功能，差不多成了为差不多信息查询与风险预警相结合的有力审计工具，特不是最新的非现场系统开发出自主化的模型探究功能，对满足审计人员个性化的审计需求，起到较大的支撑作用。在内控评价工作中，非现场系统亦发挥了较大的作用，在正式进场审计前，审计组都要应用非现场审计审计系统进行1-2周的预备工作，包括抽样和初步风

33、险排查，非现场信息为重点领域，有风险疑点的业务进行补充抽样等提供重要的参考依据，差不多成为内控评价过程的重要组成部分。在内控评价非现场审计系统应用中，我们也在不断加强二者的结合。由于非现场系统中尚无与内控评价职能相匹配的应用模块，内控评价所依据的非现场信息比较零散，专门难形成系统的预警和风险评估结果。我们正在研究建立针对关键操纵点的审计风险模型，将之内嵌到非现场审计系统中，对风险预警信息进行实时排查，评估风险状况，为现场审计提供抽样依据和参考，这将极大提高内控现场审计的效率和效果。持续提高内控评价中非现场审计因素的比重，强化非现场系统的应用，是内部操纵评价建设的内在革命，成型的、模块化的内控和

34、风险审计预警排查功能和模型从要紧业务数据的监测，对高风险审计疑点和重点审计领域风险特征的预警，对资金流、业务流的全程操纵是实现内控评价效能发挥的重要途径，将有利于对全行整体操纵状况的把握，有利于全行内部操纵水平的提高。（四）年度内部操纵有效性自我评估从2008年开始，民生银行的内部操纵评价即分为全行年度内部操纵有效性自我评价及经营机构内部操纵有效性评价两个层级来开展。作为境内外同时上市的公司，编制内部操纵评价有效性自我评估报告，并随年报对外披露是监管的制度性要求。我行在2012年往常，年度内控评价是集中进行的，方法是由审计部组织力量按照评价要求对总行本级及5-10个分行（事业部）进行评估，并表

35、附属机构自查，合并出具全行自我评估报告。同时我行也开展了针对经营机构的内部操纵评价，是对分行级（事业部）进行的，全部经营治理业务的全面评价，但内部操纵有效性评价的结果没有纳入年度法人机构自我评估的范围。2012年以后，在对以往内部操纵评价工作进行总结的基础上，我行改变了内部操纵评价的差不多形式，在做年度内部操纵有效性自我评估时，不再单独抽取经营机构，而是充分利用年中两次经营机构内部操纵有效性评价及全年后续审计的结果。由审计部在每年初对总行本级有关治理和业务部室进行重点检查，其他部门进行内控自查，对并表附属机构采取自查和抽查相结合的形式。对评价组织形式的调整缘故要紧考虑到减轻年末经营机构的负担、

36、增强对审计结果的利用，更加强调的是内控的全过程操纵，通过将全年审计发觉全部纳入年度法人机构自我评估的范围来提高内控评价的广度和深度。按照监管要求，年度报告内容包括董事会对内部操纵报告真实性的声明、内部操纵评价工作的总体情况、内部操纵评价的范围、内部操纵评价的程序和方法、内部操纵缺陷及其认定、内部操纵缺陷的整改情况、内部操纵有效性的结论等几部分内容。年度内部操纵评价报告针对不存在重大缺陷的情形，出具内部操纵有效的结论；针对存在重大缺陷的情形，则描述该重大缺陷的成因、表现形式及其对实现相关操纵目标的重要程度。全行年度内部操纵评价报告是依照年度针对总行本级、各经营机构和投资控股公司等内部操纵评价自查

37、和检查结果，结合其他审计活动中发觉的问题，进行内部操纵缺陷认定，形成内部操纵缺陷汇总表，并在此基础之上进行编制。三、民生银行内部操纵评价的创新实践与考虑（一）民生银行在内控评价工作中的创新思路1、以风险导向为核心 我行最初进行内部操纵评价的理论和工具差不多上在外部审计咨询机构的指导下进行的，差不多确实是在随机抽样基础上，采取符合性测试为主导的方式进行。然而实践发觉，这种单纯的就评价而评价的方法并不完全符合处于高速进展中我行的风险状况。内部操纵相对成熟的国外商业银行多采取在内部操纵评价的基础上，对重要业务或内控系统存在较大缺陷的机构进行实质性审计的方法。我行借鉴国外商业银行的审计理论和方法，在内

38、部操纵评价中贯彻风险导向审计的理念，通过对被审计单位全面风险评估为基础的，从重要风险点入手，结合审计人员的风险职业推断，评价被审计单位的风险操纵，确定剩余风险，执行追加审计程序，以将剩余风险降低到可同意水平的过程。例如我们在内控评价的样本抽样方面采纳了随机抽样和重点抽样相结合的方式，审计人员利用非现场系统对被审计对象进行数据分析和预警排查，在满足随机抽样样本的基础上，增加重点检查的业务数量，增加抽样比例。基于风险审计的要求，我们对业务条线的检查内容也不仅仅局限于评价表中的内容，通过多年来对经营机构的检查情况，差不多对各经营机构的薄弱环节均有较深的了解，在此基础上的评价，往往能够切中时弊，起到事

39、半功倍的效果。我们的内控评价的抽样比重较大，资产业务平均都超过20-30%的比重，评价结果差不多能够符合被评价单位的实际状况。我们认为风险导向审计遵从的是由风险到操纵的逻辑，符合风险治理的要求，有利于发觉内部操纵中的薄弱环节，有利于发觉真正的风险隐患，是对内控评价的深化，能有效解决内控评价全面而不深入的顽疾。实践证明风险导向的理念和方法为内控评价技术提供了专门好的借鉴，而那个理念和方法正是以后内控评价方法由“查弊纠错”式的符合性测试向以风险导向为核心的风险审计过渡的必定选择。2、内控评价常态化从国内商业银行实践看，内控评价始终作为一个单独的项目集中进行的，有的是对全部机构每年一次的评价，有的是

40、选取重点机构进行的分批判价。不论是采取何种形式，内控评价依旧与其他的审计项目区分出来，按自己的逻辑和方法进行，评价的结果、发觉的内控缺陷与风险识不、审计重点立项等没有有效结合起来，还未作为各项审计工作的基础，在重点机构、重要领域的项目安排上发挥指导性作用。我行以内控评价为基础的审计，是“制度基础审计”，通过对内部操纵的系统评价来确定审计重点、范围、方法和程序，能够有效解决审计资源紧张和保证重点审计的矛盾问题，在科学、合理抽样基础上所得到了评价结论，关于推断风险操纵和风险治理的薄弱环节，加强治理操纵会起到基础性作用。我们把内控评价应该作为一项基础性、常规的工作，以科学抽样为前提，确定一段时期内的

41、重要审计风险领域，以评价中发觉的线索、问题特征，作为风险审计立项的依据。对日常风险排查和专项审计的结果进行深入的分析，确定在问题表象后隐藏的内部操纵设计和执行方面的缺陷，作为对内部操纵评价的补充。形式上不局限于集中式的全面普查，能够采纳多种灵活的方式，结合日常审计、后续审计和审计监督工作进行。全年审计中的风险发觉都作为内部操纵评价的内容。（二）内控评价取得的要紧成绩及存在的问题受董事会的托付，审计部负责全行内部操纵评价的组织和实施。目前，对经营机构的内部操纵评价上下半年各做一次，每次选择5家分行，1家事业部，约三年一个循环，能够做到对所有经营机构的全覆盖。依照经验对经营机构内部操纵评价项目平均

42、时刻、人力资源投入、工作量综合测算，内控评价工作约占全年审计部工作量的15-20%，审计项目发觉问题的数量约占全年问题总量的30%，差不多成为审计范围最广，阻碍力最大的审计项目。我行所做的内部操纵评价内容覆盖面广，是对经营机构全面的、客观的和综合的评价，受到被评价单位高度重视，各部门积极配合，审计问题沟通顺畅，整改措施到位，效果明显。内控评价报告采纳统一的标准和评分方式，便于经营机构间相同业务模块的比较，也更容易发觉自身经营治理中的短板，有助于加强对薄弱环节的治理和推动。 同时内控评价方法在实践中不断得到进展和完善，评价工具差不多成为审计人员业务检查的有力工具，为建立和完善标准化的审计方法打下

43、了基础。 几年来，内部操纵评价从制度上、流程上对经营机构的治理和操作进行了细致的检查和评价，为经营治理层强化治理手段、加强针对性治理都起到积极的推进作用。一些人长期存在的错误意识得到纠正，一些屡查屡犯问题的发生率逐年下降，经营机构的组织建设、制度建设得以加强，全员合规性意识增强，机构整体风险治理水平提升。审计结果与责任追究紧密结合，从全然上夯实了规范经营的基础。伴随着全行合规风险治理体系建设的逐步完善，制度建设和对制度的执行力都有专门大的提高，传统的以合规性审计为主导的方式已初步显示出不适应，表现在内部操纵评价上确实是审计覆盖面宽，但对审计发觉的深度不够，层次不高，对被审计单位的经营治理实质性

44、问题触动较少，对深层次问题揭示还不够。在方案设计和执行中尚有缺陷，对缺陷认定受人为因素阻碍较大，经营机构评级分值接近，未体现出差异化，客观性还有欠缺。另外，内控评价与风险治理的关系还不完全清晰，内控评价部分操纵点依旧过细，做了一些操作性的合规检查，对二线风险治理的审计评价还未开展。内控评价的非现场审计系统应用还不深入，对问题线索的预警不足，现场评价缺乏更有力的技术支持。不能专门好解决和协调好“全面”和“深入”的关系是困扰内控评价接着推进的要紧问题。（三）外部环境及监管政策对内控评价工作的要求随着经济全球化、金融自由化和金融危机，商业银行面临着全面竞争与经营风险。在国家经济进展方式转变和经济结构调整中，金融业监管政策和信贷政策不断出台，对商业银行的信贷投向与结构、贷款存量和质量产生深远的阻碍。对金融机构准入的放松，使国内银行业面临兼并收购、规模扩