工行内控案例分析.docx

工行内控案例分析.docx

《工行内控案例分析.docx》由会员分享，可在线阅读，更多相关《工行内控案例分析.docx（38页珍藏版）》请在冰豆网上搜索。

工行内控案例分析

某银行部控制审计典型案例研究

一、成立时间：

1984年，2006年上市。

二、部控制概况

该行引入COS（部控制五要素理念，实施《商业银行部控制指引》、《证券交易所上市公司部控制指引》和《企业部控制基本规》，制定部控制建设规划和部控制制度，由董事会、各级管理层、监事会和全体员工实施，决策、执行、监督相互制衡。

分别由业务部门第一道部控制防线

风险管理部门第二道部控制防线

部监督部门第三道部控制防线

2004年7月起建设全面风险管理体系

2006年改革部组织架构部审计部门直接向董事会负责并报告工作，并垂直下设十个部审计分部，负责涵盖部控制的独立审计；

控合规部门，在总行和各级分行设立的对高级管理层和管理层负责的负责牵头部控制建设、操作风险管理和合规风险管理。

三、部控制审计概况

1、上市当年，上交所《上市公司部控制指引》发布实施，该行部审计部门开始尝试部控制专项审计。

2、2007年起具体组织实施年度部控制评价，经过三年的探索、借鉴、创新，逐步形成较为完善的部控制审计体系。

3、部控制专项审计和年度审计项目纳入年度审计计划，经董事会审计委员会审议、董事会审议批准后实施。

三年来，该行部审计部门采取非现场监测和现场测试相结合、审计检查和审计调研相结合的方式，共实施了140多项审计活动，基本覆盖了该行公司治理、风险管理、部控制全过程。

四、部控制年度审计

1、公司层面

2、流程层面

公司层面控制的审计容

主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领域，围绕部环境、风险评估、控制活动、信息与沟通、部监督等五大控制要素展开，分为17个领域和82个子领域（如表所示）。

每个领域下再细分为若干个关键风险点和控制点。

公司层面控制审计

序号

索引号

控制要素

控制领域

子领域

1

A

部环境

A.公司治理

A1.治理结构

A2.职责分工、职责边界及制衡机制

A3.决策机制和议事规则

A4.监督与问责机制

2

B

B.管理层基调与态度

B1.管理层对部控制的态度

B2.管理层对风险的接受态度

B3.管理层对企业文化建设的态度

B4.管理层对履行社会责任的态度

3

C

C.部审计

C1.部审计部门的组织结构与独立性

C2.部审计工作规则

C3.部审计活动

C4.部审计计划

C5.就审计发现的沟通

C6.部审计人员的胜任能力

C7.部审计部门的评估

4

D

D.人力资源

D1.组织架构及岗位职责

D2.人力资源计划与招聘

D3.培训与离职

D4.薪酬与考核激励

5

E

E.员工行为

E1.员工行为守则的容要求

守则

E2.员工行为守则的拟定、修改及审批

E3.员工行为守则的获得渠道

E4.员工行为守则的沟通与培训

E5.员工对行为守则的定期声明

6

F

F.部控制实施的激励约束机制

F1.部控制实施的激励约束机制的建立

7

G

G.法律遵从

G1.董事会的责任

G2.法律部门的设立及其职责

G3.监督机制

G4.宣传教育

8

H

风险评估

H.风险评估

H1.风险管理架构体系

H2.风险识别

与管理

H3.风险评估

H4.风险控制与监督

9

I

控制活动

I.公司政策与流程

11.政策与流程的制定

2政策与流程的修改及审批

I3.政策与流程的沟通与传递

I4.政策与流程执行情况的监督

10

J

J.投资策略与管理

J1.投资管理委员会的设立

J2.投资管理委员会章程

J3.投资项目专责团队

J4.投资风险管理政策和程序

J5.股权投资

11

K

K.关联方交易

K1.政策制度的建立

K2.机构设置与权责分配

K3.控制和监督

12

L

L.财务报告与信息披露

L1.会计政策和财务报告制度

L2.岗位分工与职责、权限安排

L3.财务人员的技能和专业知识

L4.非常规、复杂或特殊交易的账务处理的控制

L5.财务报告和信息披露

L6.监督和控制

13

M

N.控制活动

N1.不相容职务分离控制

N2.授权审批控制

N3.会计系统控制

N4.财产保护控制

N5.预算控制

N6.运营分析控制

N7.绩效考评控制

N8.重大风险预警机制

N9.反洗钱控制

14

N

O.并表管理

O1.职能分工

02.并表管理制度体系

03.资本充足率管理

04.大额风险暴露管理

05.部交易管理

06.其它风险管理

07.并表管理信息系统

15

O

信息与沟通

P.信息与沟通

P1.信息的收集、处理与传递

P2.沟通、交流与反馈

16

P

Q.反舞弊

Q1.反舞弊工作机制的建立

Q2.举报投诉制度和举报人保护制度的建立

Q3.舞弊举报的接收、调查、处理

Q4.就舞弊与管理层的沟通报告

Q5.反舞弊、投诉举报制度的制定、修改

Q6.董事会对反舞弊工作的监督与管理

17

Q

部监督

R.监督与纠正

R1.监督与纠正的体系架构和职责权限

R2.监督和纠正的制度建设情况

R3.监督执行情况

R4.纠正执行情况

R5.部控制评价执行情况

R6.部控制自我评估

R7.部控制信息的披露

流程层面控制的审计容

包括银行类和非银行类业务的28个流程和144个子流程

流程层面控制审计容

业务类

别

业务线

流程

子流程

银行类

一.公司业

务

01•信贷

01.01贷款

01.02贷款风险拨备

01.03抵债资产

01.04核销贷款

02.存款

02.01存款

03.票据

融资

03.01贴现

03.02协议付息贴现

03.03赎回式贴现

03.04委托代理贴现

03.05银行汇票转贴现买入

03.06异地持票转贴现买入

03.07银行汇票转贴现卖出

03.08部分放弃追索权贴现

03.09买入返售

03.10卖出回购

03.11系统票据存管买入

03.12集中账务处理

03.13银行承兑汇票

04.贝勿

融资与国

际结算

04.01进口信用证

04.02出口信用证

04.03进口代收

04.04出口托收

04.05国际担保

04.06进口信用证与进口代收押汇

04.07进口TT融资

04.08提货担保/提单背书

04.09进口信用证代付

04.10进口代收项下代付

04.11进口TT项下代付

04.12出口信用证项下打包贷款

04.13出口信用证项下押汇与贴现

04.14出口托收项下押汇与贴现

04.15出口发票融资

04.16信用证保兑

04.17进口保理

04.18出口双保理

04.19非买断型出口单保理

04.20福费廷

04.21国单保理

04.22国双保理

04.23国发票融资

04.24国信用证项下打包贷款

04.25国信用证下卖方发票融资

04.26国信用证下买方发票融资

04.27国商品融资

二.投行业

务

05.投资

银行

05.01常年顾问及其他

05.02投融资顾问

05.03资信证明

05.04银团贷款

三.零售业

务

06.个人

存款

06.01个人存款

07.个人

贷款

07.01个人住房贷款

07.02个人消费贷款

07.03个人经营贷款

08•信用

卡

08.01信用卡

09.私人

银行

09.01私人银行

四.资产管

理

10.资产

托管

10.01资产托管

11.企业

年金

11.01企业年金

12.贵金

属

12.01个人账户黄金买卖

12.02代理实物黄金交易

12.03代理黄金清算

13.理财

13.01固定收益理财业务

13.02国际市场理财业务

13.03资本市场理财业务

13.04区域理财

五.交易与销售（资金）

14.债券

投资与交

易

14.01人民币债券

14.02外币债券

15.夕卜汇

资金交易

15.01人民币外汇资金交易

15.02外汇资金交易

16.货币

市场业务

16.01本币同业拆借

16.02公开市场业务

16.03外币同业拆借

17•衍生

产品交易

17.01代客衍生产品交易

17.02自营衍生产品交易

18.承销

发行

18.01承销发行

18.02信贷资产证券化

六.支付与

结算

19.运行

管理

19.01会计要素管理

19.02参数管理

19.03权限卡管理

19.04子系统的系统及辖往来清

算与对账

19.05外汇汇款

19.06大额跨行清算

19.07大额取现管理

19.08现金管理

19.09金库管理

19.10自助银行及自助机具管理

19.11后台监督

19.12本外币结算

19.13客户账户服务

19.14保管箱

19.15支票

19.16结算与现金管理

19.17上门收款服务

19.18向人行领缴现金

19.19假币、代保管及其他

七.中间业

务

20.电子

银行

20.01网上银行

20.02银行

20.03手机银行

21.代理

21.01代理收付

21.02代理同业结算

21.03代理地方财政收付

21.04代理保险（对公）

21.05代理基金（对公）

21.06代理非税收

21.07代理保险（个人）

21.08代理个人收付

21.09代理国债

21.10代理基金（个人）

21.11银期

21.12银关通

21.13银财通

21.14银税通

21.15第二方存管（对公）

21.16第三方存管（个人）

21.17个人信息服务

八.其他

22.财务

会计管理

22.01财务报表编制

22.02固定资产管理

22.03税收

22.04其他资产减值准备

22.05财务集中管理及费用报销

22.06集中采购

22.07财务审查委员会

22.08成本与预算管理：

成本管理

22.09预算管理

23.资产

负债管理

23.01国债

23.02人民币资金集中管理

23.03存放同业

23.04拆放同业

23.05经济资本管理

23.06外汇资金营运

23.07准备金调缴

23.08人民币资金营运

23.09外汇资金的管理

24.产品

创新

24.01产品创新管理

25.其他

25.01绩效考核

管理

25.02员工薪酬

25.03档案管理

25.04安全保卫

非银行

类

26.租赁

26.01租赁及售后回租

26.02转让应收租赁款

27.基金

27.01产品管理

27.02销售管理

27.03投资管理

27.04核算管理

28.投资

咨询

28.01投资咨询

信息技术层面控制的审计容

分为信息技术公司层面、一般控制、应用控制三个方面，包括14个领域和61个子领域

序

号

类别

领域

子领域

CE控制环

境

CE1.0信息科技组织和关系

1

公司

层面

CE2.0人力资源管理

CE3.0对用户教育和培训

2

RA风险评

估

RA1.0风险评估

CA1.0直接的职能或活动管理

3

CA控制活

CA2.0信息处理

动

CA3.0物理控制

CA4.0职责分离

4

IC信息与

IC1.0信息构架

沟通

IC2.0管理层目标和方向的传达

IM1.0性能及容量管理

5

IM监控

IM2.0监督

IM3.0部控制的足够程度

PD1.0开发管理

PD程序开

发

PD2.0项目需求与立项

6

PD3.0项目定义与计划

PD4.0项目执行与监控

PD5.0项目关闭

■Ift/L

TM1.0测试环境

般

控制

TM2.0测试前移

TM3.0版本交付与测试申请

7

TM测试管

TM4.0测试启动与准备

理

TM5.0测试执行

TM6.0测试问题管理

TM7.0测试变更管理

TM8.0测试总结与投产

TM9.0评价及报告

PM1.0物理环境安全

PM运行维

护

PM2.0生产运行管理

8

PM3.0性能与容量管理

PM4.0备份管理

PM5.0服务水平协议

ITCIT系

统连续性

ITC1.0IT系统连续性风险分析

9

ITC2.0IT系统连续性计划的建立

ITC3.0IT系统连续性计划的测试和演练

IS1.0信息安全组织和信息安全管理制度

IS2.0操作系统访问控制管理

10

IS信息安

IS3.0业务数据的访问控制管理

全

IS4.0应用系统访问控制管理

IS5.0网络安全管理

IS6.0物理安全管理

AIX1.0用户管理

AIX2.0UNIX服务器安全

11

应用

控制

AIX.AIX

AIX3.0UNIX系统网络通讯

操作系统

AIX4.0UNIX系统资源环境

AIX5.0UNIX文件系统及目录保护

AIX6.0UNIX日志及监控审计

12

ORA

ORA1.0Oracle用户管理

13

14

Oracle数

据库

ORA2.0系统网络通讯

ORA3.0Oracle文件系统及目录保护

ORA4.0Oracle日志及监控审计

CISCISCO

路由器、交

换机

CIS1.0路由器、交换机远程访问安全要求

CIS2.0路由器、交换机设备的认证、授权安

全要求

CIS3.0路由器、交换机设备密码加密设置和

网络服务安全要求

CIS4.0路由器、交换机路由协议和SNM安

全配置要求

CIS5.0路由器、交换机、刀片机日志审计安

全配置和特有要求

FIW防火

墙

FIW1.0防火墙设备远程访问安全配置要求

FIW2.0防火墙设备的认证、授权安全配置要

求

FIW3.0防火墙策略管理安全配置要求

FIW4.0防火墙日志服务安全配置和特有要求

FIW5.0防火墙SNM安全配置要求

五、部控制审计标准

1、部控制审计实务标准。

是该行部控制体系各经营管理层级和

各业务环节正常运行应当遵循的控制标准或要求，主要依据国外监管法规、行业最佳控制实践以及本行实际情况设定，涵盖经营管理、业

务操作、产品和信息系统等各个领域，细化到每个领域中的关键控制点。

2、部控制审计认定标准。

包括对风险点的量级标准和对控制点的量级标准及在此基础上对部控制缺陷的认定标准、部控制有效性认定标准。

该行将部控制缺陷分为设计缺陷和运行缺陷，符合《企业部控制规》及其配套指引的规定，缺陷按影响控制目标的严重程度分为重大、重要和一般三个等级。

部控制缺陷认定标准

缺陷等级

定义

认定标准

定量标准

定性标准

重

大

指一个或多个控制缺陷的组合，可能导致企

业严重偏离控制目标。

财务报表的错报金

额落在如下区间：

1、错报》利润总额

的5%

2、错报》资产总额

的3%

3、错报》经营收入

总额的1%

4、错报》所有者权

益总额的1%

1、缺乏决策程序；

2、决策程序导致重大失误；

3、违犯国家法律法规并受到处罚；

4、中高级管理人员和咼级技术人员流失严重；

5、媒体频现负面新闻，波及面广；

6、重要业务缺乏制

度控制或制度系统

失效；

7、部控制重大或重要缺陷未得到整改

重

要

指一个或多个控制缺陷的组合，其严重程度

和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

财务报表的错报金

额落在如下区间：

1利润总额的3%c

错报V利润总额的

5%

2、资产总额的0.5%

W错报V资产总额

的3%

3、经营收入总额的

0.5%w错报V经营

收入总额的1%

4、所有者权益总额

的0.5%w错报V所

有者权益总额的1%

1、决策程序存在但不够完善；

2、决策程序导致出现一般失误；

3、违反企业部规章，形成损失；

4、关键岗位业务人员流失严重；

5、媒体出现负面新闻，波及局部区域；

6、重要业务制度或

系统存在缺陷；

7、部控制重要或一般缺陷未得到整改

般

除重大缺陷、重要缺陷之外的其他控制缺陷。

财务报表的错报金

额落在如下区间：

1、错报V利润总额

1、决策程序效率不

高；

2、违反企业部规章，

的3%

2、错报V资产总额

的0.5%;

3、错报V经营收入

总额的0.5%;

4、错报V所有者权益总额的0.5%。

但未形成损失；

3、一般岗位业务人

员流失严重；

4、媒体出现负面新闻，但影响不大；

5、一般业务制度或

系统存在缺陷；

6、一般缺陷未得到整改。

7、存在的其他缺陷

有效性审计结论分为有效、基本有效、关注、特别关注、无效五级。

其定义及认定标准如表所示

部控制有效性认定标准

等级数

控制有

效性等

级

定义

认定标准

1

有效

被评价对象的部

控制系统运行有

效

被评价对象没有重大缺陷和重要缺陷；部控制设计适当且得到贯彻执行，不存在控制过度和控制不足的情况

2

基本有

效

被评价对象的部

控制系统运行基

本有效

被评价对象没有重大缺陷和重

要缺陷；部控制设计适当但个别执行效果不佳，存在控制过度可能，不存在控制不足的情况

3

关注

被评价对象的部

控制系统运行结果可以接受，不会

对我行战略目标

的实现产生实质

性影响。

被评价对象没有重大缺陷和重要缺陷；存在少量部控制设计缺陷，存在控制过度和控制不足的情况。

4

特别关

注

被评价对象的部控制系统运行水平需要改进和予以关注

被评价对象存在重要缺陷；部控制存在较多设计缺陷且涉及围较广，控制不足情况较为严重；违反行规章制度并受到总行处罚

5

无效

被评价对象的部

控制系统运行无

效

被评价对象存在重大缺陷；存在无控制或控制失效的情况；违反监管机构规定并受到处罚。

部控制缺陷和有效性之间存在的对应关系如表所示:

有效性标准与缺陷标准的对应关系表

缺陷标准

有效性标

准

对应说明

重大

无效

当存在一个或多个部控制重大缺陷时，应当作出部控制无效的结论

重要

特别关注

重要缺陷应当引起董事会、经理层关注，

或特别关注

关注

一般

基本有效

当存在般缺陷时，且缺陷数量超过官理

层可容忍围时，可以作出部控制基本有效

的结论

有效

当存在般缺陷，且缺陷数量在官理层可

容忍围时，可以作出部控制有效的结论

风险等级划分为低、较低、中等、较高、高五级（如表所示）:

风险点分级标准

风险点分级

认定标准

A+（高）

影响力高，可能性较大的事件；或影响力高，几乎肯定发生的事件。

A（较咼）

影响力咼，有可能或可能性很小发生的事件；影响力较高，有可能或可能性较大的事件；影响力中等，可能性较大或几乎肯定发生的事件。

A-（中等）

影响力咼，不太可能发生的事件；或影响力较咼，发生的可能性很小的事件；影响力中等，有可能发生的事件；影响力较低，发生的可能性较大的事件；影响力较低但几乎肯定发生的事件。

B+（较低）

影响力较咼，不太可能发生的事件；影响力中等或较低，有可能性发生的事件；影响力很低，发生的可能性较大的事件。

B（低）

影响力低或较低，不太可能或发生的可能性很小的事件。

控制等级划分为一般控制二级、一般控制一级、重要控制二级、重要控制一级、关键控制五级（如表所示）。

控制点分级标准

控制点分级

认定标准

Aa+（关键）

对可能引起重大的业务失误、为公司带来重大的财务损失，并可能导致财务报告中的重大的实质性错报等重大缺陷进行有效控制

Aa（重要一级）

对可能引起较大的业务失误、为公司带来较大的财务

损失等重大缺陷进行有效控制

Aa-（重要二

级）

对日常运营造成一疋程度的影响、为公司带来一疋程

度的财务损失等重要缺陷进行有效控制

Bb+（—般一级）

对日常运营带来轻微损害、可能导致轻微的财务损失的般缺陷进行有效控制

Bb（一般二级）

对日常运营带来非常轻微的损害、可能导致非常轻微

的财务损失的般缺陷进行有效控制

六、部控制审计步骤

（一）梳理风险点和控制点

以公司层面为例，该行在梳理风险点和控制点的过程采用了以下步骤：

一是查阅和分析公司治理文件。

二是查阅和分析公司管理制度。

三是查阅和分析反映公司治理过程和管理制度执行情况的记录文件或报告等。

四是问卷调查和审计访谈。

（二）构建价值链风险控制矩阵

该行采用风险控制矩阵的构建方法，按价值形成过程，排列不同控制领域、部门、流程、业务单兀、产品/服务等在前中后台的位置，以此明确各部门的职责关系。

以价值链矩阵为联系纽带，将银行的具体业务环节、控制活动和风险联系起来，形成各项业务和管理活动的视图。

以该行公司层面控制部环境审计为例：

该行根据《企业部控制基本规》以公司治理等一级控制领域和二级控制领域为列，以风险点描述、控制点描述、审计标准、审计依据、测试步骤（审计流程）、

测试结果等为行，构建部环境的风险控制矩阵（如下表所示）开展部环境审计

部环境风险控制矩

控

制领域

风

险

点J、、、

描

述

风

险

等级

控制

点描

述

控

制级别

审计标准

主要

依据

测试步骤

测

试

结

果

审计结论

审

计

师

审核

依法制定对

①查阅公司

审计

公司股东、

《公

章程，公司治

小组

董事、监事

司法》

理制度，确认

根据

和高级管理

《上

公司治理结

治

公司

人员具有约

市公

构的健全性；

理

章程、

束力的公司

司治

②商请董事

1.