工行内控案例分析.docx

1、工行内控案例分析某银行部控制审计典型案例研究一、 成立时间： 1984 年， 2006 年上市。二、 部控制概况该行引入COS（部控制五要素理念，实施商业银行部控制指引、 证券交易所上市公司部控制指引和企业部控制基本规 ，制定 部控制建设规划和部控制制度， 由董事会、 各级管理层、 监事会和全 体员工实施，决策、执行、监督相互制衡。分别由业务部门 第一道部控制防线风险管理部门 第二道部控制防线部监督部门 第三道部控制防线2004 年 7 月起建设全面风险管理体系2006 年改革部组织架构 部审计部门直接向董事会负责并报告工作， 并垂直下设十个部审 计分部，负责涵盖部控制的独立审计；控合规部门，

2、在总行和各级分行设立的对高级管理层和管理层负 责的负责牵头部控制建设、操作风险管理和合规风险管理。三、 部控制审计概况1、 上市当年，上交所上市公司部控制指引发布实施，该行 部审计部门开始尝试部控制专项审计。2、 2007 年起具体组织实施年度部控制评价，经过三年的探索、 借鉴、创新，逐步形成较为完善的部控制审计体系。3、 部控制专项审计和年度审计项目纳入年度审计计划，经董事 会审计委员会审议、董事会审议批准后实施。三年来，该行部审计部门采取非现场监测和现场测试相结合、 审 计检查和审计调研相结合的方式， 共实施了 140 多项审计活动， 基本 覆盖了该行公司治理、风险管理、部控制全过程。四、

3、 部控制年度审计1、 公司层面2、 流程层面公司层面控制的审计容主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领 域，围绕部环境、风险评估、控制活动、信息与沟通、部监督等五大控制要素 展开，分为17个领域和82个子领域（如表所示）。每个领域下再细分为若干个 关键风险点和控制点。公司层面控制审计序号索引号控制要素控制领域子领域1A部环境A.公司治理A1.治理结构A2.职责分工、职责边界及制衡机制A3.决策机制和议事规则A4.监督与问责机制2BB.管理层基 调与态度B1.管理层对部控制的态度B2.管理层对风险的接受态度B3.管理层对企业文化建设的态度B4.管理层对履行社会责任的态度

4、3CC.部审计C1.部审计部门的组织结构与独立性C2.部审计工作规则C3.部审计活动C4.部审计计划C5.就审计发现的沟通C6.部审计人员的胜任能力C7.部审计部门的评估4DD.人力资源D1.组织架构及岗位职责D2.人力资源计划与招聘D3.培训与离职D4.薪酬与考核激励5EE.员工行为E1.员工行为守则的容要求守则E2.员工行为守则的拟定、修改及审批E3.员工行为守则的获得渠道E4.员工行为守则的沟通与培训E5.员工对行为守则的定期声明6FF.部控制实 施的激励约 束机制F1.部控制实施的激励约束机制的建立7GG.法律遵从G1.董事会的责任G2.法律部门的设立及其职责G3.监督机制G4.宣传教

5、育8H风险评估H.风险评估H1.风险管理架构体系H2.风险识别与管理H3.风险评估H4.风险控制与监督9I控制活动I.公司政策 与流程11.政策与流程的制定2政策与流程的修改及审批I3.政策与流程的沟通与传递I4.政策与流程执行情况的监督10JJ.投资策略 与管理J1.投资管理委员会的设立J2.投资管理委员会章程J3.投资项目专责团队J4.投资风险管理政策和程序J5.股权投资11KK.关联方交 易K1.政策制度的建立K2.机构设置与权责分配K3.控制和监督12LL.财务报告 与信息披露L1.会计政策和财务报告制度L2.岗位分工与职责、权限安排L3.财务人员的技能和专业知识L4.非常规、复杂或特

6、殊交易的账务处 理的控制L5.财务报告和信息披露L6.监督和控制13MN.控制活动N1.不相容职务分离控制N2.授权审批控制N3.会计系统控制N4.财产保护控制N5.预算控制N6.运营分析控制N7.绩效考评控制N8.重大风险预警机制N9.反洗钱控制14NO.并表管理O1.职能分工02.并表管理制度体系03.资本充足率管理04.大额风险暴露管理05.部交易管理06.其它风险管理07.并表管理信息系统15O信息与沟通P.信息与沟 通P1.信息的收集、处理与传递P2.沟通、交流与反馈16PQ.反舞弊Q1.反舞弊工作机制的建立Q2.举报投诉制度和举报人保护制度的 建立Q3.舞弊举报的接收、调查、处理Q

7、4.就舞弊与管理层的沟通报告Q5.反舞弊、投诉举报制度的制定、修 改Q6.董事会对反舞弊工作的监督与管理17Q部监督R.监督与纠 正R1.监督与纠正的体系架构和职责权限R2.监督和纠正的制度建设情况R3.监督执行情况R4.纠正执行情况R5.部控制评价执行情况R6.部控制自我评估R7.部控制信息的披露流程层面控制的审计容包括银行类和非银行类业务的28个流程和144个子流程流程层面控制审计容业务类别业务线流程子流程银行类一.公司业务01 信贷01.01贷款01.02贷款风险拨备01.03抵债资产01.04核销贷款02.存款02.01存款03.票据融资03.01贴现03.02协议付息贴现03.03赎

8、回式贴现03.04委托代理贴现03.05银行汇票转贴现买入03.06异地持票转贴现买入03.07银行汇票转贴现卖出03.08部分放弃追索权贴现03.09买入返售03.10卖出回购03.11系统票据存管买入03.12集中账务处理03.13银行承兑汇票04.贝勿融资与国际结算04.01进口信用证04.02出口信用证04.03进口代收04.04出口托收04.05国际担保04.06进口信用证与进口代收押 汇04.07进口 TT融资04.08提货担保/提单背书04.09进口信用证代付04.10进口代收项下代付04.11进口 TT项下代付04.12出口信用证项下打包贷款04.13出口信用证项下押汇与贴 现

9、04.14出口托收项下押汇与贴现04.15出口发票融资04.16信用证保兑04.17进口保理04.18出口双保理04.19非买断型出口单保理04.20福费廷04.21国单保理04.22国双保理04.23国发票融资04.24国信用证项下打包贷款04.25国信用证下卖方发票融资04.26国信用证下买方发票融资04.27国商品融资二.投行业务05.投资银行05.01常年顾问及其他05.02投融资顾问05.03资信证明05.04银团贷款三.零售业务06.个人存款06.01个人存款07.个人贷款07.01个人住房贷款07.02个人消费贷款07.03个人经营贷款08 信用卡08.01信用卡09.私人银行0

10、9.01私人银行四.资产管理10.资产托管10.01资产托管11.企业年金11.01企业年金12.贵金属12.01个人账户黄金买卖12.02代理实物黄金交易12.03代理黄金清算13.理财13.01固定收益理财业务13.02国际市场理财业务13.03资本市场理财业务13.04区域理财五.交易与 销售（资 金）14.债券投资与交易14.01人民币债券14.02外币债券15.夕卜汇资金交易15.01人民币外汇资金交易15.02外汇资金交易16.货币市场业务16.01本币同业拆借16.02公开市场业务16.03外币同业拆借17衍生产品交易17.01代客衍生产品交易17.02自营衍生产品交易18.承销

11、发行18.01承销发行18.02信贷资产证券化六.支付与结算19.运行管理19.01会计要素管理19.02参数管理19.03权限卡管理19.04子系统的系统及辖往来清算与对账19.05外汇汇款19.06大额跨行清算19.07大额取现管理19.08现金管理19.09金库管理19.10自助银行及自助机具管理19.11后台监督19.12本外币结算19.13客户账户服务19.14保管箱19.15支票19.16结算与现金管理19.17上门收款服务19.18向人行领缴现金19.19假币、代保管及其他七.中间业务20.电子银行20.01网上银行20.02银行20.03手机银行21 .代理21.01代理收付2

12、1.02代理同业结算21.03代理地方财政收付21.04代理保险（对公）21.05代理基金（对公）21.06代理非税收21.07代理保险（个人）21.08代理个人收付21.09代理国债21.10代理基金（个人）21.11银期21.12银关通21.13银财通21.14银税通21.15第二方存管（对公）21.16第三方存管（个人）21.17个人信息服务八.其他22.财务会计管理22.01财务报表编制22.02固定资产管理22.03税收22.04其他资产减值准备22.05财务集中管理及费用报销22.06集中采购22.07财务审查委员会22.08成本与预算管理：成本管理22.09预算管理23.资产负债

13、管理23.01国债23.02人民币资金集中管理23.03存放同业23.04拆放同业23.05经济资本管理23.06外汇资金营运23.07准备金调缴23.08人民币资金营运23.09外汇资金的管理24.产品创新24.01产品创新管理25.其他25.01绩效考核管理25.02员工薪酬25.03档案管理25.04安全保卫非银行类26.租赁26.01租赁及售后回租26.02转让应收租赁款27.基金27.01产品管理27.02销售管理27.03投资管理27.04核算管理28.投资咨询28.01投资咨询信息技术层面控制的审计容分为信息技术公司层面、一般控制、应用控制三个方面，包括 14个领域和61个子领域

14、序号类别领域子领域CE控制环境CE1.0信息科技组织和关系1公司层面CE2.0人力资源管理CE3.0对用户教育和培训2RA风险评估RA1.0风险评估CA1.0直接的职能或活动管理3CA控制活CA2.0信息处理动CA3.0物理控制CA4.0职责分离4IC信息与IC1.0信息构架沟通IC2.0管理层目标和方向的传达IM1.0性能及容量管理5IM监控IM2.0监督IM3.0部控制的足够程度PD1.0开发管理PD程序开发PD2.0项目需求与立项6PD3.0项目定义与计划PD4.0项目执行与监控PD5.0项目关闭 Ift/LTM1.0测试环境般控制TM2.0测试前移TM3.0版本交付与测试申请7TM测试

15、管TM4.0测试启动与准备理TM5.0测试执行TM6.0测试问题管理TM7.0测试变更管理TM8.0测试总结与投产TM9.0评价及报告PM1.0物理环境安全PM运行维护PM2.0生产运行管理8PM3.0性能与容量管理PM4.0备份管理PM5.0服务水平协议ITC IT 系统连续性ITC1.0 IT系统连续性风险分析9ITC2.0 IT系统连续性计划的建立ITC3.0 IT系统连续性计划的测试和演练IS1.0信息安全组织和信息安全管理制度IS2.0操作系统访问控制管理10IS信息安IS3.0业务数据的访问控制管理全IS4.0应用系统访问控制管理IS5.0网络安全管理IS6.0 物理安全管理AIX

16、1.0用户管理AIX2.0 UNIX服务器安全11应用控制AIX. AIXAIX3.0 UNIX系统网络通讯操作系统AIX4.0 UNIX系统资源环境AIX5.0 UNIX文件系统及目录保护AIX6.0 UNIX日志及监控审计12ORAORA1.0 Oracle用户管理1314Oracle 数据库ORA2.0系统网络通讯ORA3.0 Oracle文件系统及目录保护ORA4.0 Oracle日志及监控审计CIS CISCO路由器、交换机CIS1.0路由器、交换机远程访问安全要求CIS2.0路由器、交换机设备的认证、授权安全要求CIS3.0路由器、交换机设备密码加密设置和网络服务安全要求CIS4.

17、0路由器、交换机路由协议和 SNM安全配置要求CIS5.0路由器、交换机、刀片机日志审计安全配置和特有要求FIW防火墙FIW1.0防火墙设备远程访问安全配置要求FIW2.0防火墙设备的认证、授权安全配置要求FIW3.0防火墙策略管理安全配置要求FIW4.0防火墙日志服务安全配置和特有要 求FIW5.0防火墙SNM安全配置要求五、部控制审计标准1、部控制审计实务标准。是该行部控制体系各经营管理层级和各业务环节正常运行应当遵循的控制标准或要求， 主要依据国外监管 法规、行业最佳控制实践以及本行实际情况设定， 涵盖经营管理、业务操作、产品和信息系统等各个领域，细化到每个领域中的关键控制 点。2、部控

18、制审计认定标准。包括对风险点的量级标准和对控制点的量级标准 及在此基础上对部控制缺陷的认定标准、部控制有效性认定标准。该行将部控 制缺陷分为设计缺陷和运行缺陷，符合企业部控制规及其配套指引的规定， 缺陷按影响控制目标的严重程度分为重大、重要和一般三个等级。部控制缺陷认定标准缺 陷 等 级定义认定标准定量标准定性标准重大指一个或多个 控制缺陷的组 合，可能导致企业严重偏离控 制目标。财务报表的错报金额落在如下区间：1、 错报利润总额的5%2、 错报资产总额的3%3、 错报经营收入总额的1%4、 错报所有者权益总额的1%1、 缺乏决策程序；2、 决策程序导致重 大失误；3、 违犯国家法律法 规并受

19、到处罚；4、 中高级管理人员 和咼级技术人员流 失严重；5、 媒体频现负面新 闻，波及面广；6、 重要业务缺乏制度控制或制度系统失效；7、部控制重大或重 要缺陷未得到整改重要指一个或多个 控制缺陷的组 合，其严重程度和经济后果低 于重大缺陷，但 仍有可能导致 企业偏离控制 目标。财务报表的错报金额落在如下区间：1利润总额的3%c错报V利润总额的5%2、 资产总额的0.5%W错报V资产总额的3%3、 经营收入总额的0.5%w错报V经营收入总额的1%4、 所有者权益总额的0.5%w错报V所有者权益总额的1%1、 决策程序存在但 不够完善；2、 决策程序导致出 现一般失误；3、 违反企业部规章， 形

20、成损失；4、 关键岗位业务人 员流失严重；5、 媒体出现负面新 闻，波及局部区域；6、 重要业务制度或系统存在缺陷；7、 部控制重要或一 般缺陷未得到整改般除重大缺陷、重 要缺陷之外的 其他控制缺陷。财务报表的错报金额落在如下区间：1、错报V利润总额1、 决策程序效率不高；2、 违反企业部规章，的3%2、 错报V资产总额的 0.5%;3、 错报V经营收入总额的0.5%;4、 错报V所有者权 益总额的0.5%。但未形成损失；3、 一般岗位业务人员流失严重；4、 媒体出现负面新 闻，但影响不大；5、 一般业务制度或系统存在缺陷；6、 一般缺陷未得到 整改。7、 存在的其他缺陷有效性审计结论分为有效

21、、基本有效、关注、特别关注、无效五级。其定义及认定标准如表所示部控制有效性认定标准等级数控制有效性等级定义认定标准1有效被评价对象的部控制系统运行有效被评价对象没有重大缺陷和重 要缺陷；部控制设计适当且得到 贯彻执行，不存在控制过度和控 制不足的情况2基本有效被评价对象的部控制系统运行基本有效被评价对象没有重大缺陷和重要缺陷；部控制设计适当但个别 执行效果不佳，存在控制过度可 能，不存在控制不足的情况3关注被评价对象的部控制系统运行结 果可以接受，不会对我行战略目标的实现产生实质性影响。被评价对象没有重大缺陷和重 要缺陷；存在少量部控制设计缺 陷，存在控制过度和控制不足的 情况。4特别关注被评

22、价对象的部 控制系统运行水 平需要改进和予 以关注被评价对象存在重要缺陷；部控 制存在较多设计缺陷且涉及围 较广，控制不足情况较为严重； 违反行规章制度并受到总行处 罚5无效被评价对象的部控制系统运行无效被评价对象存在重大缺陷；存在 无控制或控制失效的情况；违反 监管机构规定并受到处罚。部控制缺陷和有效性之间存在的对应关系如表所示:有效性标准与缺陷标准的对应关系表缺陷标准有效性标准对应说明重大无效当存在一个或多个部控制重大缺陷时，应 当作出部控制无效的结论重要特别关注重要缺陷应当引起董事会、经理层关注，或特别关注关注一般基本有效当存在般缺陷时，且缺陷数量超过官理层可容忍围时，可以作出部控制基本

23、有效的结论有效当存在般缺陷，且缺陷数量在官理层可容忍围时，可以作出部控制有效的结论风险等级划分为低、较低、中等、较高、高五级 （如表所示）:风险点分级标准风险点分级认定标准A+ （高）影响力高，可能性较大的事件；或影响力高，几乎肯 定发生的事件。A （较咼）影响力咼，有可能或可能性很小发生的事件；影响力 较高，有可能或可能性较大的事件；影响力中等，可 能性较大或几乎肯定发生的事件。A-（中等）影响力咼，不太可能发生的事件；或影响力较咼，发 生的可能性很小的事件；影响力中等，有可能发生的 事件；影响力较低，发生的可能性较大的事件；影响 力较低但几乎肯定发生的事件。B+ （较低）影响力较咼，不太可

24、能发生的事件；影响力中等或较 低，有可能性发生的事件；影响力很低，发生的可能 性较大的事件。B （低）影响力低或较低，不太可能或发生的可能性很小的事 件。控制等级划分为一般控制二级、一般控制一级、重要控制二级、 重要控制一级、关键控制五级（如表所示）。控制点分级标准控制点分级认定标准Aa+ （关键）对可能引起重大的业务失误、为公司带来重大的财务 损失，并可能导致财务报告中的重大的实质性错报等 重大缺陷进行有效控制Aa （重要一级）对可能引起较大的业务失误、为公司带来较大的财务损失等重大缺陷进行有效控制Aa-（重要二级）对日常运营造成一疋程度的影响、 为公司带来一疋程度的财务损失等重要缺陷进行有

25、效控制Bb+ （ 般一 级）对日常运营带来轻微损害、可能导致轻微的财务损失 的 般缺陷进行有效控制Bb （一般二级）对日常运营带来非常轻微的损害、 可能导致非常轻微的财务损失的般缺陷进行有效控制六、部控制审计步骤（一） 梳理风险点和控制点以公司层面为例，该行在梳理风险点和控制点的过程采用了以下 步骤：一是查阅和分析公司治理文件。二是查阅和分析公司管理制度。三是查阅和分析反映公司治理过程和管理制度执行情况的记录 文件或报告等。四是问卷调查和审计访谈。（二） 构建价值链风险控制矩阵该行采用风险控制矩阵的构建方法， 按价值形成过程，排列不同 控制领域、部门、流程、业务单兀、产品/服务等在前中后台的位

26、置， 以此明确各部门的职责关系。以价值链矩阵为联系纽带，将银行的具 体业务环节、控制活动和风险联系起来，形成各项业务和管理活动的 视图。以该行公司层面控制部环境审计为例：该行根据企业部控制基 本规以公司治理等一级控制领域和二级控制领域为列，以风险点 描述、控制点描述、审计标准、审计依据、测试步骤（审计流程） 、测试结果等为行，构建部环境的风险控制矩阵（如下表所示）开展部 环境审计部环境风险控制矩控制 领 域风险点 J、描述风险等 级控制点描述控制 级 别审计标准主要依据测试步骤测试结果审 计 结 论审计师审 核依法制定对查阅公司审计公司股东、公章程，公司治小组董事、监事司法理制度，确认根据和高级管理上公司治理结治公司人员具有约市公构的健全性；理章程、束力的公司司治商请董事1.