工行内控案例分析.docx

1、工行内控案例分析某银行内部控制审计典型案例研究一、成立时间：1984年，2006年上市。二、内部控制概况该行引入COSO内部控制五要素理念，实施商业银行内部控制指引、上海证券交易所上市公司内部控制指引和企业内部控制基本规范，制定内部控制建设规划和内部控制制度，由董事会、各级管理层、监事会和全体员工实施，决策、执行、监督相互制衡。分别由业务部门-第一道内部控制防线风险管理部门-第二道内部控制防线内部监督部门-第三道内部控制防线2004年7月起建设全面风险管理体系2006年改革内部组织架构内部审计部门直接向董事会负责并报告工作，并垂直下设十个内部审计分部，负责涵盖内部控制的独立审计；内控合规部门，

2、在总行和各级分行设立的对高级管理层和管理层负责的负责牵头内部控制建设、操作风险管理和合规风险管理。三、内部控制审计概况1、上市当年，上交所上市公司内部控制指引发布实施，该行内部审计部门开始尝试内部控制专项审计。2、2007年起具体组织实施年度内部控制评价，经过三年的探索、借鉴、创新，逐步形成较为完善的内部控制审计体系。3、内部控制专项审计和年度审计项目纳入年度审计计划，经董事会审计委员会审议、董事会审议批准后实施。三年来，该行内部审计部门采取非现场监测和现场测试相结合、审计检查和审计调研相结合的方式，共实施了140多项审计活动，基本覆盖了该行公司治理、风险管理、内部控制全过程。四、内部控制年度

3、审计1、公司层面2、流程层面3、信息技术控制层面4、并表管理审计-母银行及附属公司的内部控制 公司层面控制的审计内容主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领域，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素展开，分为17个领域和82个子领域（如表所示）。每个领域下再细分为若干个关键风险点和控制点。 公司层面控制审计序号索引号控制要素控制领域子领域1A内部环境A.公司治理A1.治理结构A2.职责分工、职责边界及制衡机制A3.决策机制和议事规则A4.监督与问责机制2BB.管理层基调与态度B1.管理层对内部控制的态度B2.管理层对风险的接受态度B3.管理

4、层对企业文化建设的态度 B4.管理层对履行社会责任的态度3CC.内部审计C1.内部审计部门的组织结构与独立性C2.内部审计工作规则C3.内部审计活动C4.内部审计计划C5.就审计发现的沟通C6.内部审计人员的胜任能力C7.内部审计部门的评估4DD.人力资源D1.组织架构及岗位职责D2.人力资源计划与招聘D3.培训与离职D4.薪酬与考核激励5EE.员工行为守则E1.员工行为守则的内容要求E2.员工行为守则的拟定、修改及审批E3.员工行为守则的获得渠道E4.员工行为守则的沟通与培训E5.员工对行为守则的定期声明6FF.内部控制实施的激励约束机制F1.内部控制实施的激励约束机制的建立7GG.法律遵从

5、G1.董事会的责任G2.法律部门的设立及其职责G3.监督机制G4.宣传教育8H风险评估H.风险评估与管理H1.风险管理架构体系H2.风险识别 H3.风险评估H4.风险控制与监督9I控制活动I.公司政策与流程I1.政策与流程的制定I2.政策与流程的修改及审批I3.政策与流程的沟通与传递I4.政策与流程执行情况的监督10JJ.投资策略与管理J1.投资管理委员会的设立J2.投资管理委员会章程J3.投资项目专责团队J4.投资风险管理政策和程序J5.股权投资 11KK.关联方交易K1.政策制度的建立K2.机构设置与权责分配K3.控制和监督12LL.财务报告与信息披露L1.会计政策和财务报告制度L2.岗位

6、分工与职责、权限安排L3.财务人员的技能和专业知识L4.非常规、复杂或特殊交易的账务处理的控制L5.财务报告和信息披露L6.监督和控制13MN.控制活动N1.不相容职务分离控制N2.授权审批控制N3.会计系统控制N4.财产保护控制N5.预算控制N6.运营分析控制N7.绩效考评控制N8.重大风险预警机制N9.反洗钱控制14NO.并表管理O1.职能分工 02.并表管理制度体系O3.资本充足率管理 O4.大额风险暴露管理O5.内部交易管理O6.其它风险管理O7.并表管理信息系统15O信息与沟通P.信息与沟通P1.信息的收集、处理与传递P2.沟通、交流与反馈16PQ.反舞弊Q1.反舞弊工作机制的建立Q

7、2.举报投诉制度和举报人保护制度的建立Q3.舞弊举报的接收、调查、处理Q4.就舞弊与管理层的沟通报告Q5.反舞弊、投诉举报制度的制定、修改Q6.董事会对反舞弊工作的监督与管理17Q内部监督R.监督与纠正R1.监督与纠正的体系架构和职责权限R2.监督和纠正的制度建设情况R3.监督执行情况R4.纠正执行情况R5.内部控制评价执行情况R6.内部控制自我评估R7.内部控制信息的披露流程层面控制的审计内容包括银行类和非银行类业务的28个流程和144个子流程 流程层面控制审计内容业务类别业务线流程子流程银行类一.公司业务01.信贷贷款贷款风险拨备抵债资产核销贷款02.存款存款03.票据融资贴现协议付息贴现

8、赎回式贴现委托代理贴现银行汇票转贴现买入异地持票转贴现买入银行汇票转贴现卖出部分放弃追索权贴现买入返售卖出回购系统内票据存管买入集中账务处理银行承兑汇票04.贸易融资与国际结算进口信用证出口信用证进口代收出口托收国际担保进口信用证与进口代收押汇进口TT融资提货担保/提单背书进口信用证代付进口代收项下代付进口TT项下代付出口信用证项下打包贷款出口信用证项下押汇与贴现出口托收项下押汇与贴现出口发票融资信用证保兑进口保理出口双保理非买断型出口单保理福费廷国内单保理国内双保理国内发票融资国内信用证项下打包贷款国内信用证下卖方发票融资国内信用证下买方发票融资国内商品融资二.投行业务05.投资银行常年顾问

9、及其他投融资顾问资信证明银团贷款三.零售业务06.个人存款个人存款07.个人贷款个人住房贷款个人消费贷款个人经营贷款08.信用卡信用卡09.私人银行私人银行四.资产管理10.资产托管资产托管11.企业年金企业年金12.贵金属个人账户黄金买卖代理实物黄金交易代理黄金清算13.理财固定收益理财业务国际市场理财业务资本市场理财业务区域理财五.交易与销售（资金）14.债券投资与交易人民币债券外币债券15.外汇资金交易人民币外汇资金交易外汇资金交易16.货币市场业务本币同业拆借公开市场业务外币同业拆借17.衍生产品交易代客衍生产品交易自营衍生产品交易18.承销发行承销发行信贷资产证券化六.支付与结算19

10、.运行管理会计要素管理参数管理权限卡管理子系统的系统及辖内往来清算与对账外汇汇款大额跨行清算大额取现管理现金管理金库管理自助银行及自助机具管理后台监督本外币结算客户账户服务保管箱支票结算与现金管理上门收款服务向人行领缴现金假币、代保管及其他七.中间业务20.电子银行网上银行电话银行手机银行21.代理代理收付代理同业结算代理地方财政收付代理保险（对公）代理基金（对公）代理非税收代理保险（个人）代理个人收付代理国债代理基金（个人）银期银关通银财通银税通第三方存管（对公）第三方存管（个人）个人信息服务八.其他22.财务会计管理财务报表编制固定资产管理税收其他资产减值准备财务集中管理及费用报销集中采购

11、财务审查委员会成本与预算管理：成本管理预算管理23.资产负债管理国债人民币资金集中管理存放同业拆放同业经济资本管理外汇资金营运准备金调缴人民币资金营运外汇资金的管理24.产品创新产品创新管理25.其他管理绩效考核员工薪酬档案管理安全保卫非银行类26.租赁租赁及售后回租转让应收租赁款27.基金产品管理销售管理投资管理核算管理28.投资咨询投资咨询信息技术层面控制的审计内容分为信息技术公司层面、一般控制、应用控制三个方面，包括14个领域和61个子领域序号类别领域子领域1公司层面CE 控制环境 信息科技组织和关系 人力资源管理 对用户教育和培训2RA 风险评估 风险评估3CA 控制活动 直接的职能或

12、活动管理 信息处理 物理控制 职责分离4IC 信息与沟通 信息构架 管理层目标和方向的传达5IM 监控 性能及容量管理 监督 内部控制的足够程度6一般控制PD 程序开发 开发管理 项目需求与立项 项目定义与计划 项目执行与监控 项目关闭7TM 测试管理 测试环境 测试前移 版本交付与测试申请 测试启动与准备 测试执行 测试问题管理 测试变更管理 测试总结与投产 评价及报告8PM 运行维护 物理环境安全 生产运行管理 性能与容量管理 备份管理 服务水平协议9ITC IT系统连续性 IT系统连续性风险分析 IT系统连续性计划的建立 IT系统连续性计划的测试和演练10IS 信息安全 信息安全组织和信

13、息安全管理制度 操作系统访问控制管理 业务数据的访问控制管理 应用系统访问控制管理 网络安全管理 物理安全管理11应用控制AIX. AIX操作系统 用户管理 UNIX服务器安全 UNIX系统网络通讯 UNIX系统资源环境 UNIX文件系统及目录保护 UNIX日志及监控审计12ORA Oracle数据库 Oracle用户管理 系统网络通讯 Oracle文件系统及目录保护 Oracle日志及监控审计13CIS CISCO路由器、交换机 路由器、交换机远程访问安全要求 路由器、交换机设备的认证、授权安全要求 路由器、交换机设备密码加密设置和网络服务安全要求 路由器、交换机路由协议和SNMP安全配置要

14、求 路由器、交换机、刀片机日志审计安全配置和特有要求14FIW 防火墙 防火墙设备远程访问安全配置要求 防火墙设备的认证、授权安全配置要求 防火墙策略管理安全配置要求 防火墙日志服务安全配置和特有要求 防火墙SNMP安全配置要求五、内部控制审计标准 1、内部控制审计实务标准。是该行内部控制体系各经营管理层级和各业务环节正常运行应当遵循的控制标准或要求，主要依据国内外监管法规、行业最佳控制实践以及本行实际情况设定，涵盖经营管理、业务操作、产品和信息系统等各个领域，细化到每个领域中的关键控制点。2、内部控制审计认定标准。包括对风险点的量级标准和对控制点的量级标准及在此基础上对内部控制缺陷的认定标准

15、、内部控制有效性认定标准。该行将内部控制缺陷分为设计缺陷和运行缺陷，符合企业内部控制规范及其配套指引的规定，缺陷按影响控制目标的严重程度分为重大、重要和一般三个等级。 内部控制缺陷认定标准缺陷等级定义认定标准定量标准定性标准重大指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。财务报表的错报金额落在如下区间：1、错报利润总额的5%；2、错报资产总额的3%；3、错报经营收入总额的1%；4、错报所有者权益总额的1%。1、缺乏民主决策程序；2、决策程序导致重大失误；3、违犯国家法律法规并受到处罚；4、中高级管理人员和高级技术人员流失严重；5、媒体频现负面新闻，波及面广；6、重要业务缺乏制度控

16、制或制度系统失效；7、内部控制重大或重要缺陷未得到整改重要指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。财务报表的错报金额落在如下区间：1、利润总额的3%错报利润总额的5%；2、资产总额的%错报资产总额的3%；3、经营收入总额的%错报经营收入总额的1%；4、所有者权益总额的%错报所有者权益总额的1%。1、民主决策程序存在但不够完善；2、决策程序导致出现一般失误；3、违反企业内部规章，形成损失；4、关键岗位业务人员流失严重；5、媒体出现负面新闻，波及局部区域；6、重要业务制度或系统存在缺陷；7、内部控制重要或一般缺陷未得到整改一般除重大缺陷、重要缺

17、陷之外的其他控制缺陷。财务报表的错报金额落在如下区间：1、错报利润总额的3%；2、错报资产总额的%；3、错报经营收入总额的%；4、错报所有者权益总额的%。1、决策程序效率不高；2、违反企业内部规章，但未形成损失；3、一般岗位业务人员流失严重；4、媒体出现负面新闻，但影响不大；5、一般业务制度或系统存在缺陷；6、一般缺陷未得到整改。7、存在的其他缺陷有效性审计结论分为有效、基本有效、关注、特别关注、无效五级。其定义及认定标准如表所示内部控制有效性认定标准等级数控制有效性等级定义认定标准1有效被评价对象的内部控制系统运行有效被评价对象没有重大缺陷和重要缺陷；内部控制设计适当且得到贯彻执行，不存在控

18、制过度和控制不足的情况2基本有效被评价对象的内部控制系统运行基本有效被评价对象没有重大缺陷和重要缺陷；内部控制设计适当但个别执行效果不佳，存在控制过度可能，不存在控制不足的情况3关注被评价对象的内部控制系统运行结果可以接受，不会对我行战略目标的实现产生实质性影响。被评价对象没有重大缺陷和重要缺陷；存在少量内部控制设计缺陷，存在控制过度和控制不足的情况。4特别关注被评价对象的内部控制系统运行水平需要改进和予以关注被评价对象存在重要缺陷；内部控制存在较多设计缺陷且涉及范围较广，控制不足情况较为严重；违反行内规章制度并受到总行处罚5无效被评价对象的内部控制系统运行无效被评价对象存在重大缺陷；存在无控

19、制或控制失效的情况；违反监管机构规定并受到处罚。内部控制缺陷和有效性之间存在的对应关系如表所示：有效性标准与缺陷标准的对应关系表缺陷标准有效性标准对应说明重大无效当存在一个或多个内部控制重大缺陷时，应当作出内部控制无效的结论重要特别关注重要缺陷应当引起董事会、经理层关注，或特别关注关注一般基本有效当存在一般缺陷时，且缺陷数量超过管理层可容忍范围时，可以作出内部控制基本有效的结论有效当存在一般缺陷，且缺陷数量在管理层可容忍范围内时，可以作出内部控制有效的结论风险等级划分为低、较低、中等、较高、高五级(如表所示)： 风险点分级标准风险点分级认定标准A+（高） 影响力高，可能性较大的事件；或影响力高

20、，几乎肯定发生的事件。A（较高） 影响力高，有可能或可能性很小发生的事件；影响力较高，有可能或可能性较大的事件；影响力中等，可能性较大或几乎肯定发生的事件。A-（中等） 影响力高，不太可能发生的事件；或影响力较高，发生的可能性很小的事件；影响力中等，有可能发生的事件；影响力较低，发生的可能性较大的事件；影响力较低但几乎肯定发生的事件。B+（较低） 影响力较高，不太可能发生的事件；影响力中等或较低，有可能性发生的事件；影响力很低，发生的可能性较大的事件。B（低） 影响力低或较低，不太可能或发生的可能性很小的事件。控制等级划分为一般控制二级、一般控制一级、重要控制二级、重要控制一级、关键控制五级（

21、如表所示）。 控制点分级标准控制点分级认定标准Aa+（关键）对可能引起重大的业务失误、为公司带来重大的财务损失，并可能导致财务报告中的重大的实质性错报等重大缺陷进行有效控制Aa（重要一级）对可能引起较大的业务失误、为公司带来较大的财务损失等重大缺陷进行有效控制Aa-（重要二级）对日常运营造成一定程度的影响、为公司带来一定程度的财务损失等重要缺陷进行有效控制Bb+（一般一级）对日常运营带来轻微损害、可能导致轻微的财务损失的一般缺陷进行有效控制Bb（一般二级）对日常运营带来非常轻微的损害、可能导致非常轻微的财务损失的一般缺陷进行有效控制六、内部控制审计步骤（一）梳理风险点和控制点以公司层面为例，该

22、行在梳理风险点和控制点的过程采用了以下步骤：一是查阅和分析公司治理文件。二是查阅和分析公司管理制度。三是查阅和分析反映公司治理过程和管理制度执行情况的记录文件或报告等。四是问卷调查和审计访谈。（二）构建价值链风险控制矩阵该行采用风险控制矩阵的构建方法，按价值形成过程，排列不同控制领域、部门、流程、业务单元、产品/服务等在前中后台的位置，以此明确各部门的职责关系。以价值链矩阵为联系纽带，将银行的具体业务环节、控制活动和风险联系起来，形成各项业务和管理活动的视图。以该行公司层面控制内部环境审计为例：该行根据企业内部控制基本规范，以公司治理等一级控制领域和二级控制领域为列，以风险点描述、控制点描述、

23、审计标准、审计依据、测试步骤（审计流程）、测试结果等为行，构建内部环境的风险控制矩阵（如下表所示）开展内部环境审计内部环境风险控制矩控制领域风险点描述风险等级控制点描述控制级别审计标准主要依据测试步骤测试结果审计结论审计师审核1.公司治理治理结构形同虚设 审计小组根据公司章程、履职情况，会议纪要等实际情况进行了描述依法制定对公司股东、董事、监事和高级管理人员具有约束力的公司章程；设立股东大会、董事会、监事会和高级管理层并履行职责，其成员应具备相应的任职专业知识和业务工作经验公司法上市公司治理准则企业内部控制基本规范；公司章程查阅公司章程，公司治理制度，确认公司治理结构的健全性；商请董事会办公室

24、提供董事会及其专门委员会提供汇总的履职记录，商请监事会办公室提供监事会汇总的监督记录，进行控制测试未发现缺陷公司治理有效“三会一层”未确定职责分工，未建立职责边界及制衡机制审计小组根据股东大会、公司董事会、高级管理层的逐级授权及执行情况等实际情况进行了描述公司决策、执行、监督分离，形成制衡机制；股东大会是公司的权力机构，董事会对股东（大）会负责，依法行使企业的经营决策权；监事会对股东大会负责，对董事、高级管理人员进行监督；高级管理层对董事会负责，依法实施经营管理权 企业内部控制基本规范；股东大会、董事会、监事会授权管理办法查阅“三会一层”即股东大会、董事会、高级管理层授权管理办法，确认制度建设

25、的健全性；根据授权执行情况进行控制测试，确认制度的执行情况未发现缺陷“三会一层”控制有效缺乏决策机制和议事规则审计小组根据董事会、监事会、高级管理层议事规则，部门职责与权限、分公司职责与权限及其报告路径等文件，按实际控制设计和运行状况描述根据国家有关法律法规和企业章程制定详细的股东大会、董事会、监事会的议事、决策规则，以及高级管理层的工作细则和规程；重大决策实行集体审批制企业内部控制基本规范；公司董事会对高级管理层授权、高级管理层工作规则、部门职责与权限、分公司职责与权限及其报告路径等文件调阅公司章程，股东大会、董事会、监事会议事规则，授权管理办法，内部控制管理办法，风险管理办法等，检查制度建

26、设的健全性；调阅会议纪要、管理报告等，确认相关制度的执行效果未发现缺陷控制机制健全有效（三）现场测试及缺陷汇总审计人员采用观察、核对、重新执行等审计方法在公司、流程和信息系统三个层面同步开展穿行测试、控制测试，对控制的有效性进行评价、对缺陷进行汇总。以该行流程层面业务为例，其穿行测试、控制测试步骤如表40-41所示。如穿行测试结果为无效，则表明该流程设计无效，无需再对其进行控制测试，可直接认定缺陷；如穿行测试有效，则需对该流程进行控制测试，以验证该流程的运行是否有效。该行自行开发的内部控制评估系统（ICAS）可以对审计活动实施全程管理和监控，实时反映工作成果，并对缺陷进行自动汇总并统计。（四）

27、报告编写审计部门负责撰写内部控制审计报告并提交审计委员会审议，在此基础上，按照其上市证券交易所的要求撰写年度内部控制自我评估报告，并提交董事会审议。审计报告提交前，内部审计部门需要与相关分支机构、业务部门的负责人进行充分沟通；内部控制自我评估报告提交董事会审计委员会审议，接受监事会监督，由董事会审议通过。七、效果1、提升了内部控制和治理水平三年来，该行通过揭示缺陷和督促整改，持续完善内部监督机制，改进内部控制有效性，增加了公司价值。该行税后利润由2003年引入外部审计时的226亿增长到2009年的1293亿（2010年我行上半年净利润达到850亿，同比增长%）；不良贷款率从2005年财务重组后

28、的%下降到2009年的%（2010年6月30日下降到%），拨备覆盖率从%（2010年6月30日达到%）；平均总资产回报率（ROA）和加权平均净资产收益率（ROE）分别从上市之初的%和%稳步增长到2009年%和%。2008年荣获“亚洲最佳银行”、“中国最佳本地银行” “中国50 家最受尊敬上市公司”等诸多奖项。2009年荣获 “最佳公司治理”、“2009 年最佳企业管治资料披露大奖H 股上市公司板块白金奖”等境内外共26 项公司治理奖项。2、推进了内部审计标准化和技术创新经过三年的积累，该行内部控制审计已形成了较为成熟的审计标准和审计技术方法体系，这些成功经验的推广和普及带动了全行内部审计技术创新。3、增强了内部审计团队的专业能力在内部控制审计实践中，锻炼和培养了一支熟练掌握内部控制和风险管理技术的审计队伍，为