第三章-金融内部控制及其评审

第三章金融内部控制及其评审第一节金融内部控制概述第二节金融内部控制评审第一节金融内部控制概述一、金融内部控制的含义二、内部控制的目标和原则三、内部控制的要素四、内部控制的内容五、内部控制评审与审计一、金融内部控制的含义内部控制：是指单位为实现经营目标而制定并实施的一系列相互联系、相互制约的程序、措施、手续和方法的总称。金融内部控制：金融机构内部为完成既定的工作目标和防范风险，对各职能部门及其工作人员从事的业务活动进行风险控制，而制定的管理方法、措施和程序。其含义：①内部控制是一个管理过程，这个过程主要由控制环境、风险评估、控制活动、信息交流、质量监督等环节构成。②内部控制不仅仅是银行的各种规章制度，其机制的运作要依靠银行的管理层和全体员工来完成，所以必须贯彻“以人为本”的管理思想。③内部控制制度无论设计得多么完整，机制无论运作得多么顺畅，它给银行提供的只能是基本的保证，而非绝对保障。④内部控制用于实现银行的战略目标，即经营管理的有效性、财务报告的可靠性和现行法律的遵循性。“内部控制”与“内部控制制度”。“内部控制”与内部牵制。二、内部控制的目标和原则（一）内部控制的基本目标（二）内部控制的基本原则（一）内部控制的基本目标1.监督实施目标，即确保国家法律规定和金融机构内部规章制度的贯彻执行2.自身发展目标，即确保金融机构发展战略和经营目标的全面实施和充分实现3.风险控制目标，即确保风险管理体系的有效性4.稳健经营目标，即确保业务记录、财务信息和其他管理信息的及时、真实和完整商业银行内部控制的目标战略控制目标一般控制目标业务控制目标操作执行层视角行长经理层视角董事会视角（二）内部控制的基本原则1．全面性原则2．审慎性原则3．有效性原则4．相对独立性原则5．及时性原则三、内部控制的要素（一）内部控制环境（二）风险识别与评估体系（三）内部控制措施（四）信息交流与反馈（五）监督评价与纠正商业银行内部控制系统内部控制环境信息交流与反馈信息交流与反馈内部控制措施风险识别与评估监督评价与纠正（一）内部控制环境内部控制环境是指对内部控制的建立和执行过程有重大影响的各种因素的总称。1.应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。2.董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。3.应当建立科学、有效的激励约束机制，培育良好的企业精神和内部控制文化，从而创造全体员工均充分了解且能履行职责的环境。（二）风险识别与评估体系风险的识别与评估是提高内控效率和效果的关键。1.应当设立履行风险管理职能的专门部门，制定并实施识别、计量、监测和管理风险的制度、程序和方法，以确保风险管理和经营目标的实现。2.应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。3.应当对各项业务制定全面、系统、成文的政策、制度和程序，并在全行范围内保持统一的业务标准和操作要求，避免因管理层的变更而影响其连续性和稳定性。4.设立新的机构或开办新的业务，应当事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施。5.应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。（三）内部控制措施内部控制措施是内部控制建设的核心内容。1.应当明确划分相关部门之间、岗位之间、上下级机构之间的职责，建立职责分离、横向与纵向相互监督制约的机制。2.应当根据不同的工作岗位及其性质，赋予其相应的职责和权限，各个岗位应当有正式、成文的岗位职责说明和清晰的报告关系。3.应当根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济环境和业务发展需要，建立相应的授权体系，实行统一法人管理和法人授权。4.应当利用计算机程序监控等现代化手段，锁定分支机构的业务权限，对分支机构实施有效的管理和控制。5.应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产及时进行盘点，对柜台办理的业务实行复核或事后监督把关，对重要业务实行双签有效的制度，对授权、授信的执行情况进行监控。6.应当按照规定进行会计核算和业务记录，建立完整的会计、统计和业务档案，妥善保管，确保原始记录、合同契约和各种报表资料的真实、完整。7.应当建立有效的应急制度，在各个重要部位、营业网点等发生供电中断、火灾、抢劫等紧急情况时，应急措施应当及时、有效，确保各类数据信息的安全和完整。8.应当设立独立的法律事务部门或岗位，统一管理各类授权、授信的法律事务，制定和审查法律文本，对新业务的推出进行法律论证，确保每笔业务的合法和有效，维护银行的合法权益。（四）信息交流与反馈1.应当实现业务操作和管理的电子化，促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理。2.应当实现经营管理的信息化，建立贯穿各级机构，覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向中国人民银行报送监管报表资料和对外披露信息。3.应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈。（五）监督评价与纠正1.业务部门应当对各项业务的经营状况和例外情况进行经常性检查，及时发现内部控制存在的问题，并迅速予以纠正。2.内部审计部门应当有权获得商业银行的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监控和评价。3.内部审计应当具有充分的独立性，实行全行系统的垂直管理。4.应当配备充足的、业务素质高的、工作能力强的内部审计人员，并建立专业培训制度，每人每年确保一定的离岗或脱产培训时间。5.应当建立有效的内部控制报告和纠正机制，业务部门、内部审计部门和其他人员发现的内部控制的问题，均应当有畅通的报告渠道和有效的纠正措施。四、内部控制的内容（一）授信内部控制（二）资金业务的内部控制（三）存款及柜台业务的内部控制（四）中间业务的内部控制（五）会计的内部控制（六）计算机信息系统的内部控制（一）授信内部控制授信内部控制的重点是：实行统一授信管理，健全客户信用风险识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联企业客户和集团客户风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，防止信贷资金违规投向高风险领域和用于违法活动。（二）资金业务的内部控制资金业务内部控制的重点是：对资金业务对象和产品实行统一授信，实行严格前后台职责分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。（三）存款及柜台业务的内部控制对基层营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保商业银行和客户资金的安全。（四）中间业务的内部控制开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权，建立并落实相关的规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。（五）会计的内部控制实行会计工作的统一管理，严格执行会计制度和会计操作规程，运用计算机技术实施会计内部控制，确保会计信息的真实、完整和合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。（六）计算机信息系统的内部控制严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。五、内部控制评审与审计首先，对内部控制的审计评审是现代审计工作的基础。内部控制的“质”与审计工作的“量”密切相关。内控“质”高→抽样少→审计工作“量”小。反之，内控“质”低→抽样多→审计工作“量”大。其次，审计工作可以促进内部控制不断完善。人们对待内部控制审计存在两种不同的看法：一种观点是把内部控制审计仅仅看成是整个审计过程中实施阶段的一种审计方法，或一个重要的环节和步骤；另一种观点则认为，内部控制审计不仅是一种审计方法，而且有其本身的审计目的、内容和程序，因而，它也是一个独立的审计类别。从当前我国金融内部控制的实际情况来看，把内部控制审计作为一个独立的审计类别，开展专门的内部控制审计，对金融机构现行的内部控制作出客观公正的科学评价，从而督促其建立健全有效的内部控制，确实具有十分重大的现实意义。第二节金融内部控制评审一、内部控制的调查二、内部控制的测试三、内部控制的评价四、确定内部控制的信赖度一、内部控制的调查调查的方法主要包括：①收集并审阅制度。②询问单位职工。③进行实地查看。④调阅以往的审计档案等。记录内部控制的方法主要有三种：(1)文字描述法。即审计人员将内部控制的健全和执行情况用文字进行书面叙述的一种方法。(2)调查问卷法。也称调查表法，是指审计人员事先将内部控制的有关问题制成“内部控制调查问卷”或“内部控制调查表”，通过向有关人员询问并填表的方式来描述内部控制的一种方法。(3)流程图法。即审计人员采用特定的符号，辅之以简要的文字或数字，根据业务处理流程等加以联结，将内部控制用图示的形式，直观地进行描述的一种方法。二、内部控制的测试（一）符合性测试：是针对被审计单位的内部控制设计和执行是否有效所进行的检查和验证。（二）实质性测试：是对被审计单位内部控制发挥作用的结果，或者说是对内部控制的实际效能所进行的检查和验证。1.业务测试：是指采用顺查或逆查的方法对某一经济业务的整个流程或程序所采取的一切控制措施进行审查，其目的在于揭示这些控制措施是否都在发挥控制功能，其发挥的程度和效能如何。2.功能测试：是指对某项控制措施是否一贯地被有效执行所进行的测试，以明确该控制措施是否有效执行。1.细节测试具体包括为交易的细节测试和余额的细节测试。2.分析性复核主要是通过分析复核各种财务会计数据和非财务会计数据之间的关系所进行的测试。三、内部控制的评价（一）内部控制评价的标准（理想的内部控制模式）（二）内部控制评价的内容1．评价金融内部控制的健全性（是否制定）2．评价金融内部控制的遵循性（是否执行）3.评价金融内部控制的合理性（是否可行）4．评价金融内部控制的有效性（是否有效）四、确定内部控制的信赖度1.高信赖度（低控制风险）是指被审计单位具有健全、完善的内部控制，并能有效地发挥控制作用。在这种情况下，被审计单位存在错弊的可能性很小，对此，审计人员可以较多地信赖其内部控制，相应地减少抽样审计的规模和数量。2.中信赖度（中等控制风险）是指被审计单位的内部控制较为良好，但不够健全和科学，存在一定的缺陷和薄弱环节；或内部控制设计完好，但实际执行不力。因而，被审计单位存在错弊的可能性就较大。对此，审计人员就不能过分地信赖其内部控制，相应地要扩大抽样审计的规模和数量。3.低信赖度（高控制风险）是指被审计单位的内部控制设计不健全、不科学，或重要的内部控制明显无效，或在实际工作中没有执行等等，造成大部分经济业务失控，错弊频出，从而导致审计人员无法信赖其内部控制。内部控制的