工行內(nèi)控案例分析

1、某銀行內(nèi)部控制審計(jì)典型案例研究一、成立時(shí)間：1984年，2006年上市。二、內(nèi)部控制概況該行引入C0S0內(nèi)部控制五要素理念，實(shí)施商業(yè)銀行內(nèi)部控制 指引、上海證券交易所上市公司內(nèi)部控制指引和企業(yè)內(nèi)部控制 基本規(guī)范，制定內(nèi)部控制建設(shè)規(guī)劃和內(nèi)部控制制度，由董事會(huì)、各 級(jí)管理層、監(jiān)事會(huì)和全體員工實(shí)施，決策、執(zhí)行、監(jiān)督相互制衡。分別由業(yè)務(wù)部門第一道內(nèi)部控制防線風(fēng)險(xiǎn)管理部門第二道內(nèi)部控制防線內(nèi)部監(jiān)督部門第三道內(nèi)部控制防線2004年7月起建設(shè)全面風(fēng)險(xiǎn)管理體系2006年改革內(nèi)部組織架構(gòu)內(nèi)部審計(jì)部門直接向董事會(huì)負(fù)責(zé)并報(bào)告工作，并垂直下設(shè)十個(gè)內(nèi) 部審計(jì)分部，負(fù)責(zé)涵蓋內(nèi)部控制的獨(dú)立審計(jì)；內(nèi)控合規(guī)部門，在總行和各級(jí)分

2、行設(shè)立的對(duì)高級(jí)管理層和管理層 負(fù)責(zé)的負(fù)責(zé)牽頭內(nèi)部控制建設(shè)、操作風(fēng)險(xiǎn)管理和合規(guī)風(fēng)險(xiǎn)管理。三、內(nèi)部控制審計(jì)概況仁 上市當(dāng)年，上交所上市公司內(nèi)部控制指引發(fā)布實(shí)施，該 行內(nèi)部審計(jì)部門開始嘗試內(nèi)部控制專項(xiàng)審計(jì)。2、2007年起具體組織實(shí)施年度內(nèi)部控制評(píng)價(jià)，經(jīng)過三年的探索、 借鑒、創(chuàng)新，逐步形成較為完善的內(nèi)部控制審計(jì)體系。3、內(nèi)部控制專項(xiàng)審計(jì)和年度審計(jì)項(xiàng)目納入年度審計(jì)計(jì)劃，經(jīng)董 事會(huì)審計(jì)委員會(huì)審議、董事會(huì)審議批準(zhǔn)后實(shí)施。三年來，該行內(nèi)部審計(jì)部門采取非現(xiàn)場(chǎng)監(jiān)測(cè)和現(xiàn)場(chǎng)測(cè)試相結(jié)合、 審計(jì)檢查和審計(jì)調(diào)研相結(jié)合的方式，共實(shí)施了 140多項(xiàng)審計(jì)活動(dòng)，基 本覆蓋了該行公司治理、風(fēng)險(xiǎn)管理、內(nèi)部控制全過程。四、內(nèi)部控制年度

3、審計(jì)1、公司層面2、流程層面3、信息技術(shù)控制層面4、并表管理審計(jì)母銀行及附屬公司的內(nèi)部控制公司層面控制的審計(jì)內(nèi)容主要關(guān)注公司治理、人力資源、企業(yè)文化、社會(huì)責(zé)任等管理層面的控制領(lǐng) 域，圍繞內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、內(nèi)部監(jiān)督等五大控制 要素展開，分為17個(gè)領(lǐng)域和82個(gè)子領(lǐng)域（如表所示）。每個(gè)領(lǐng)域下再細(xì)分為若 干個(gè)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)和控制點(diǎn)。公司層面控制審計(jì)序號(hào)索引號(hào)控制要素控制領(lǐng)域子領(lǐng)域1A內(nèi)部環(huán)境A 公司治理A1.治理結(jié)構(gòu)A2職責(zé)分工、職責(zé)邊界及制衡機(jī)制A3決策機(jī)制和議事規(guī)則A4.監(jiān)督與問責(zé)機(jī)制2BB.管理層基 調(diào)與態(tài)度B1.管理層對(duì)內(nèi)部控制的態(tài)度B2.管理層對(duì)風(fēng)險(xiǎn)的接受態(tài)度B3.管理層

4、對(duì)企業(yè)文化建設(shè)的態(tài)度B4.管理層對(duì)屐行社會(huì)責(zé)任的態(tài)度3CC.內(nèi)部審計(jì)C1.內(nèi)部審計(jì)部門的組織結(jié)構(gòu)與獨(dú)立性C2.內(nèi)部審計(jì)工作規(guī)則C3.內(nèi)部審計(jì)活動(dòng)C4.內(nèi)部審計(jì)計(jì)劃C5 就審計(jì)發(fā)現(xiàn)的溝通C6.內(nèi)部審計(jì)人員的勝任能力C7.內(nèi)部審計(jì)部門的評(píng)估4DD.人力資源D1.組織架構(gòu)及崗位職責(zé)D2 人力資源計(jì)劃與招聘D3培訓(xùn)與離職D4 薪酬與考核激勵(lì)5EE.員工行為E1.員工行為守則的內(nèi)容要求守則E2.員工行為守則的擬定、修改及審批E3.員工行為守則的獲得渠道E4.員工行為守則的溝通與培訓(xùn)E5.員工對(duì)行為守則的定期聲明6FF.內(nèi)部控制 實(shí)施的激勵(lì) 約束機(jī)制F1.內(nèi)部控制實(shí)施的激勵(lì)約束機(jī)制的建 立7GG.法律遵從

5、G1.董事會(huì)的責(zé)任G2.法律部門的設(shè)立及其職責(zé)G3.監(jiān)督機(jī)制G4.宣傳教育8H風(fēng)險(xiǎn)評(píng)估H.風(fēng)險(xiǎn)評(píng)估 與管理H1 風(fēng)險(xiǎn)管理架構(gòu)體系H2.風(fēng)險(xiǎn)識(shí)別H3.風(fēng)險(xiǎn)評(píng)估H4.風(fēng)險(xiǎn)控制與監(jiān)督9I控制活動(dòng)1.公司政策 與流程11政策與流程的制定I2.政策與流程的修改及審批I3.政策與流程的溝通與傳遞I4.政罠與流程執(zhí)行情況的監(jiān)督10JJ.投資策略 與管理J1.投資管理委員會(huì)的設(shè)立J2.投資管理委員會(huì)章程J3.投資項(xiàng)目專責(zé)團(tuán)隊(duì)J4.投資風(fēng)險(xiǎn)管理政策和程序J5.股權(quán)投資11KK.關(guān)聯(lián)方交 易K1.政罠制度的建立K2.機(jī)構(gòu)設(shè)JL與權(quán)責(zé)分配K3.控制和監(jiān)督12LL.財(cái)務(wù)報(bào)告 與信息披露L1.會(huì)計(jì)政策和財(cái)務(wù)報(bào)告制度L2

6、.崗位分工與職責(zé)、權(quán)限安排L3.財(cái)務(wù)人員的技能和專業(yè)知識(shí)L4.非常規(guī)、復(fù)雜或特殊交易的賬務(wù)處 理的控制L5.財(cái)務(wù)報(bào)告和信息披露L6.監(jiān)督和控制13MN.控制活動(dòng)N1.不相容職務(wù)分離控制N2.授權(quán)審批控制N3.會(huì)計(jì)系統(tǒng)控制N4.財(cái)產(chǎn)保護(hù)控制N5.預(yù)算控制N6.運(yùn)營(yíng)分析控制N7.績(jī)效考評(píng)控制N&重大風(fēng)險(xiǎn)預(yù)警機(jī)制N9.反洗錢控制14N0.并表管理01 職能分工02.并裘管理制度體系03.資本充足率管理04.大額風(fēng)險(xiǎn)暴露管理05.內(nèi)部交易管理06 其它風(fēng)險(xiǎn)管理07.并表管理信息系統(tǒng)150信息與溝通P.信息與溝 通P1.信息的收集、處理與傳逼P2.溝通、交流與反饋16PQ.反舞弊Q1反舞弊工作機(jī)制的建立

7、02.舉報(bào)投訴制度和舉報(bào)人保護(hù)制度的 建立Q3.舞弊舉報(bào)的接收、調(diào)查、處理04.就舞弊與管理層的溝通報(bào)告05.反舞弊、投訴舉報(bào)制度的制定、修 改06.董事會(huì)對(duì)反舞弊工作的監(jiān)督與管理17Q內(nèi)部監(jiān)督R.監(jiān)骨與糾 正R1監(jiān)督與糾正的體系架構(gòu)和職責(zé)權(quán)限R2.監(jiān)督和糾正的制度建設(shè)情況R3.監(jiān)督執(zhí)行情況R4.糾正執(zhí)行情況R5.內(nèi)部控制評(píng)價(jià)執(zhí)行情況R6.內(nèi)部控制自我評(píng)估R7.內(nèi)部控制信息的披露流程層面控制的審計(jì)內(nèi)容包括銀行類和非銀行類業(yè)務(wù)的28個(gè)流程和144個(gè)子流程流程層面控制審計(jì)內(nèi)容業(yè)務(wù)類別業(yè)務(wù)線流程子流程銀行類一.公司業(yè)務(wù)01.信貸貸款貸款風(fēng)險(xiǎn)撥備抵債資產(chǎn)核銷貸款02.存款存款03.票據(jù)融資貼現(xiàn)協(xié)議付息

8、貼現(xiàn)贖回式貼現(xiàn)委托代理貼現(xiàn)銀行匯票轉(zhuǎn)貼現(xiàn)買入異地持票轉(zhuǎn)貼現(xiàn)買入銀行匯票轉(zhuǎn)貼現(xiàn)賣出部分放棄追索權(quán)貼現(xiàn)買入返售賣出回購(gòu)系統(tǒng)內(nèi)票據(jù)存管買入集中賬務(wù)處理銀行承兌匯票04.貿(mào)易 融資與國(guó) 際結(jié)算進(jìn)口信用證出口信用證進(jìn)口代收出口托收國(guó)際擔(dān)保進(jìn)口信用證與進(jìn)口代收押匯進(jìn)口 TT融資提貨擔(dān)保/提單背書進(jìn)口信用證代付進(jìn)口代收項(xiàng)下代付進(jìn)口 TT項(xiàng)下代付出口信用證項(xiàng)下打包貸款出口信用證項(xiàng)下押匯與貼現(xiàn)出口托收項(xiàng)下押匯與貼現(xiàn)出口發(fā)票融資信用證保兌進(jìn)口保理出口雙保理非買斷型出口單保理福費(fèi)廷國(guó)內(nèi)單保理國(guó)內(nèi)雙保理國(guó)內(nèi)發(fā)票融資國(guó)內(nèi)信用證項(xiàng)下打包貸款國(guó)內(nèi)信用證下賣方發(fā)票融資國(guó)內(nèi)信用證下買方發(fā)票融資國(guó)內(nèi)商品融資二.投行業(yè)務(wù)05.投資

9、銀行常年顧問及其他投融資顧問資信證明銀團(tuán)貸款三.零售業(yè)務(wù)06.個(gè)人存款個(gè)人存款07.個(gè)人貸款個(gè)人住房貸款個(gè)人消費(fèi)貸款個(gè)人經(jīng)營(yíng)貸款08.信用卡信用卡09.私人銀行私人銀行四資產(chǎn)管理10.資產(chǎn)托管資產(chǎn)托管11.企業(yè)年金企業(yè)年金12.貴金屬個(gè)人賬戶黃金買賣代理實(shí)物黃金交易代理黃金清算13.理財(cái)固定收益理財(cái)業(yè)務(wù)國(guó)際市場(chǎng)理財(cái)業(yè)務(wù)資本市場(chǎng)理財(cái)業(yè)務(wù)區(qū)域理財(cái)五交易與 銷售（資 金）14.債券投資與交易人民幣債券外幣債券15.外匯 資金交易人民幣外匯資金交易外匯資金交易16.貨幣市場(chǎng)業(yè)務(wù)本幣同業(yè)拆借公開市場(chǎng)業(yè)務(wù)外幣同業(yè)拆借17.衍生代客衍生產(chǎn)品交易產(chǎn)品交易自營(yíng)衍生產(chǎn)品交易18.承銷發(fā)行承銷發(fā)行信貸資產(chǎn)證券化六.

10、支付與結(jié)算19.運(yùn)行管理會(huì)計(jì)要素管理參數(shù)管理權(quán)限卡管理子系統(tǒng)的系統(tǒng)及轄內(nèi)往來清算與對(duì)賬外匯匯款大額跨行清算大額取現(xiàn)管理現(xiàn)金管理金庫(kù)管理自助銀行及自助機(jī)具管理后臺(tái)監(jiān)督本外幣結(jié)算客戶賬戶服務(wù)保管箱支票結(jié)算與現(xiàn)金管理上門收款服務(wù)向人行領(lǐng)墩現(xiàn)金假幣、代保管及其他七.中間業(yè)務(wù)20.電子銀行網(wǎng)上銀行電話銀行手機(jī)銀行21 代理代理收付代理同業(yè)結(jié)算代理地方財(cái)政收付代理保險(xiǎn)（對(duì)公）代理基金（對(duì)公）代理非稅收代理保險(xiǎn)（個(gè)人）代理個(gè)人收付代理國(guó)債代理基金（個(gè)人）銀期銀關(guān)通銀財(cái)通銀稅通第三方存管（對(duì)公）第三方存管（個(gè)人）個(gè)人信息服務(wù)八.其他22.財(cái)務(wù)財(cái)務(wù)報(bào)表編制會(huì)計(jì)管理固定資產(chǎn)管理稅收其他資產(chǎn)減值準(zhǔn)備財(cái)務(wù)集中管理及費(fèi)

11、用報(bào)銷集中采購(gòu)財(cái)務(wù)審查委員會(huì)成本與預(yù)算管理：成本管理預(yù)算管理23.資產(chǎn)負(fù)債管理國(guó)債人民幣資金集中管理存放同業(yè)拆放同業(yè)經(jīng)濟(jì)資本管理外匯資金營(yíng)運(yùn)準(zhǔn)備金調(diào)繳人民幣資金營(yíng)運(yùn)外匯資金的管理24.產(chǎn)品創(chuàng)新產(chǎn)品創(chuàng)新管理25.其他管理績(jī)效考核員工薪酬檔案管理安全保衛(wèi)非銀行類26.租賃租賃及售后回租轉(zhuǎn)讓應(yīng)收租賃款27.基金產(chǎn)品管理銷售管理投資管理核算管理28.投資咨詢投資咨詢信息技術(shù)層面控制的審計(jì)內(nèi)容分為信息技術(shù)公司層面、一般控制、應(yīng)用控制三個(gè)方面，包括 14個(gè)領(lǐng)域和61個(gè)子領(lǐng)域序號(hào)類別領(lǐng)域子領(lǐng)域CE控制環(huán)境信息科技組織和關(guān)系1人力資源管理公司層面對(duì)用戶教育和培訓(xùn)2RA風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估3CA控制活直接的職能或活

12、動(dòng)管理動(dòng)信息處理物理控制職責(zé)分離4IC信息與信息構(gòu)架溝通管理層目標(biāo)和方向的傳達(dá)性能及容量管理5IM監(jiān)控監(jiān)督內(nèi)部控制的足夠程度開發(fā)管理PD程序開發(fā)項(xiàng)目需求與立項(xiàng)6項(xiàng)目定義與計(jì)劃項(xiàng)目執(zhí)行與監(jiān)控項(xiàng)目關(guān)閉測(cè)試環(huán)境一般控制測(cè)試前移版本交付與測(cè)試申請(qǐng)TM測(cè)試管理測(cè)試啟動(dòng)與準(zhǔn)備7測(cè)試執(zhí)行測(cè)試問題管理測(cè)試變更管理測(cè)試總結(jié)與投產(chǎn)評(píng)價(jià)及報(bào)告8PM運(yùn)行維物理環(huán)境安全護(hù)生產(chǎn)運(yùn)行管理性能與容量管理備份管理服務(wù)水平協(xié)議ITC IT 系統(tǒng)連續(xù)性IT系統(tǒng)連續(xù)性風(fēng)險(xiǎn)分析9IT系統(tǒng)連續(xù)性計(jì)劃的建立IT系統(tǒng)連續(xù)性計(jì)劃的測(cè)試和演練信息安全組織和信息安全管理制度操作系統(tǒng)訪問控制管理10IS信息安業(yè)務(wù)數(shù)據(jù)的訪問控制管理全應(yīng)用系統(tǒng)訪問控制

13、管理網(wǎng)絡(luò)安全管理物理安全管理用戶管理UNIX服務(wù)器安全11AIX. AIXUNIX系統(tǒng)網(wǎng)絡(luò)通訊應(yīng)用控制操作系統(tǒng)UNIX系統(tǒng)資源環(huán)境UNIX文件系統(tǒng)及目錄保護(hù)UNIX日志及監(jiān)控審計(jì)0RAOracle用戶管理12Oracle 數(shù)系統(tǒng)網(wǎng)絡(luò)通訊據(jù)庫(kù)Orac I e文件系統(tǒng)及目錄保護(hù)1314Oracle日志及監(jiān)控審計(jì)CIS CISCO路由器、交換機(jī)路由器、交換機(jī)遠(yuǎn)程訪問安全要求路由器、交換機(jī)設(shè)備的認(rèn)證、授權(quán)安全要求路由器、交換機(jī)設(shè)備密碼加密設(shè)置和網(wǎng)絡(luò)服務(wù)安全要求路由器、交換機(jī)路由協(xié)議和SNMP安全配置要求路由器、交換機(jī)、刀片機(jī)日志審計(jì)安全配置和特有要求FIW防火墻防火墻設(shè)備遠(yuǎn)程訪問安全配置要求防火墻設(shè)備

14、的認(rèn)證、授權(quán)安全配置要求防火墻策略管理安全配置要求防火墻日志服務(wù)安全配置和特有要求防火墻SNMP安全配置要求五、內(nèi)部控制審計(jì)標(biāo)準(zhǔn)1、內(nèi)部控制審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)。是該行內(nèi)部控制體系各經(jīng)營(yíng)管理層 級(jí)和各業(yè)務(wù)環(huán)節(jié)正常運(yùn)行應(yīng)當(dāng)遵循的控制標(biāo)準(zhǔn)或要求，主要依據(jù)國(guó)內(nèi) 外監(jiān)管法規(guī)、行業(yè)最佳控制實(shí)踐以及本行實(shí)際情況設(shè)定，涵蓋經(jīng)營(yíng)管 理、業(yè)務(wù)操作、產(chǎn)品和信息系統(tǒng)等各個(gè)領(lǐng)域，細(xì)化到每個(gè)領(lǐng)域中的關(guān) 鍵控制點(diǎn)。2、內(nèi)部控制審計(jì)認(rèn)定標(biāo)準(zhǔn)。包括對(duì)風(fēng)險(xiǎn)點(diǎn)的量級(jí)標(biāo)準(zhǔn)和對(duì)控制點(diǎn)的量級(jí)標(biāo) 準(zhǔn)及在此基礎(chǔ)上對(duì)內(nèi)部控制缺陷的認(rèn)定標(biāo)準(zhǔn)、內(nèi)部控制有效性認(rèn)定標(biāo)準(zhǔn)。該行 將內(nèi)部控制缺陷分為設(shè)計(jì)缺陷和運(yùn)行缺陷，符合企業(yè)內(nèi)部控制規(guī)范及其配套指引的規(guī)定，缺

15、陷按影響控制目標(biāo)的嚴(yán)重程度分為重大.重要和一般三個(gè)等 級(jí)。內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)缺陷 等 級(jí)定義認(rèn)定標(biāo)準(zhǔn)定量標(biāo)準(zhǔn)定性標(biāo)準(zhǔn)重大指一個(gè)或多個(gè) 控制缺陷的組 合，可能導(dǎo)致企 業(yè)嚴(yán)重偏離控 制目標(biāo)。財(cái)務(wù)報(bào)表的錯(cuò)報(bào)金額落在如下區(qū)間：1、錯(cuò)報(bào)M利潤(rùn)總額的5%;2、錯(cuò)報(bào)工資產(chǎn)總額的3%;3、錯(cuò)報(bào)M經(jīng)營(yíng)收入總額的1%;4、錯(cuò)報(bào)M所有者權(quán) 益總額的1*o1、缺乏民主決策程 序；2、決策程序?qū)е轮?大失誤；3、違犯國(guó)家法律法規(guī)并受到處罰；4、中高級(jí)管理人員 和高級(jí)技術(shù)人員流 失嚴(yán)重；5、媒體頻現(xiàn)負(fù)面新 聞，波及面廣；6、重要業(yè)務(wù)缺乏制 度控制或制度系統(tǒng) 失效；7、內(nèi)部控制重大或重要缺陷未得到整改重 要指一個(gè)或多個(gè)

16、控制缺陷的組 合，其嚴(yán)重程度 和經(jīng)濟(jì)后果低 于重大缺陷，但 仍有可能導(dǎo)致 企業(yè)偏離控制 目標(biāo)。財(cái)務(wù)報(bào)表的錯(cuò)報(bào)金 額落在如下區(qū)間：1、利潤(rùn)總額的3%W 錯(cuò)報(bào)V利潤(rùn)總額的 5%;2、資產(chǎn)總額的0錯(cuò) 報(bào)V資產(chǎn)總額的3%;3、經(jīng)營(yíng)收入總額的 W錯(cuò)報(bào)V經(jīng)營(yíng)收入 總額的1%;4、所有者權(quán)益總額 的0錯(cuò)報(bào)V所有者 權(quán)益總額的1%仁民主決策程序存在但不夠完善；2、決策程序?qū)е鲁?現(xiàn)一般失誤；3、違反企業(yè)內(nèi)部規(guī) 章，形成損失；4、關(guān)鍵崗位業(yè)務(wù)人 員流失嚴(yán)重；5、媒體出現(xiàn)負(fù)面新 聞，波及局部區(qū)域；6、重要業(yè)務(wù)制度或 系統(tǒng)存在缺陷；7、內(nèi)部控制重要或 一般缺陷未得到整 改般除重大缺陷、重 要缺陷之外的 其他控制缺陷

17、。財(cái)務(wù)報(bào)表的錯(cuò)報(bào)金額落在如下區(qū)間：1錯(cuò)報(bào)V利潤(rùn)總額的3%;決策程序效率不 高；2、違反企業(yè)內(nèi)部規(guī) 章，但未形成損失；2、錯(cuò)報(bào)V資產(chǎn)總額 的;3、錯(cuò)報(bào)V經(jīng)營(yíng)收入 總額的;4、錯(cuò)報(bào)V所有者權(quán) 益總額的。3、一般崗位業(yè)務(wù)人員流失嚴(yán)重；4、媒體出現(xiàn)負(fù)面新 聞，但影響不大；5、一般業(yè)務(wù)制度或 系統(tǒng)存在缺陷；6、一般缺陷未得到整改。7、存在的其他缺陷有效性審計(jì)結(jié)論分為有效、基本有效、關(guān)注、特別關(guān)注、無效五級(jí)。其定義及認(rèn)定標(biāo)準(zhǔn)如表所示內(nèi)部控制有效性認(rèn)定標(biāo)準(zhǔn)等級(jí)數(shù)控制有效性等級(jí)定義認(rèn)定標(biāo)準(zhǔn)1有效被評(píng)價(jià)對(duì)象的內(nèi) 部控制系統(tǒng)運(yùn)行 有效被評(píng)價(jià)對(duì)象沒有重大缺陷和重 要缺陷；內(nèi)部控制設(shè)計(jì)適當(dāng)且得 到貫徹執(zhí)行，不存在控制

18、過度和 控制不足的情況2基本有效被評(píng)價(jià)對(duì)象的內(nèi)部控制系統(tǒng)運(yùn)行基本有效被評(píng)價(jià)對(duì)象沒有重大缺陷和重 要缺陷；內(nèi)部控制設(shè)計(jì)適當(dāng)?shù)珎€(gè) 別執(zhí)行效果不佳，存在控制過度 可能，不存在控制不足的情況3關(guān)注被評(píng)價(jià)對(duì)象的內(nèi) 部控制系統(tǒng)運(yùn)行 結(jié)果可以接受，不 會(huì)對(duì)我行戰(zhàn)略目 標(biāo)的實(shí)現(xiàn)產(chǎn)生實(shí) 質(zhì)性影響。被評(píng)價(jià)對(duì)象沒有重大缺陷和重 要缺陷；存在少量?jī)?nèi)部控制設(shè)計(jì) 缺陷，存在控制過度和控制不足 的情況。4特別關(guān)注被評(píng)價(jià)對(duì)象的內(nèi) 部控制系統(tǒng)運(yùn)行 水平需要改進(jìn)和 予以關(guān)注被評(píng)價(jià)對(duì)象存在重要缺陷；內(nèi)部 控制存在較多設(shè)計(jì)缺陷且涉及 范圍較廣，控制不足情況較為嚴(yán) 重；違反行內(nèi)規(guī)章制度并受到總 行處罰5無效被評(píng)價(jià)對(duì)象的內(nèi)部控制系統(tǒng)運(yùn)行

19、無效被評(píng)價(jià)對(duì)象存在重大缺陷；存在 無控制或控制失效的情況；違反 監(jiān)管機(jī)構(gòu)規(guī)定并受到處罰。內(nèi)部控制缺陷和有效性之間存在的對(duì)應(yīng)關(guān)系如表所示:有效性標(biāo)準(zhǔn)與缺陷標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系表缺陷標(biāo)準(zhǔn)有效性標(biāo)準(zhǔn)對(duì)應(yīng)說明重大無效當(dāng)存在一個(gè)或多個(gè)內(nèi)部控制重大缺陷時(shí)，應(yīng)當(dāng)作出內(nèi)部控制無效的結(jié)論重要特別關(guān)注重要缺陷應(yīng)當(dāng)引起董事會(huì)、經(jīng)理層關(guān)注，或特別關(guān)注關(guān)注一般基本有效當(dāng)存在一般缺陷時(shí)，且缺陷數(shù)量超過管理層可容忍范圍時(shí)，可以作出內(nèi)部控制基本有效的結(jié)論有效當(dāng)存在一般缺陷，且缺陷數(shù)量在管理層可 容忍范圍內(nèi)時(shí)，可以作出內(nèi)部控制有效的 結(jié)論風(fēng)險(xiǎn)等級(jí)劃分為低、較低、中等、較高、高五級(jí)（如表所示）:風(fēng)險(xiǎn)點(diǎn)分級(jí)標(biāo)準(zhǔn)風(fēng)險(xiǎn)點(diǎn)分級(jí)認(rèn)定標(biāo)準(zhǔn)A+ （

20、高）影響力高，可能性較大的事件；或影響力高，幾乎青 定發(fā)生的事件。A （較高）影響力高，有可能或可能性很小發(fā)生的事件；影響力 較高，有可能或可能性較大的事件；影響力中等，可 能性較大或幾乎肯定發(fā)生的事件。A-（中等）影響力高，不太可能發(fā)生的事件；或影響力較高，發(fā) 生的可能性很小的事件；影響力中等，有可能發(fā)生的 事件；彩響力較低，發(fā)生的可能性較大的事件；彩響 力較低但幾乎肯定發(fā)生的事件。B+ （較低）影響力較高，不太可能發(fā)生的事件；影響力中等或較 低，有可能性發(fā)生的事件；影響力很低，發(fā)生的可能 性較大的事件。B （低）影響力低或較低，不太可能或發(fā)生的可能性很小的事 件?？刂频燃?jí)劃分為一般控制二級(jí)

21、、一般控制一級(jí)、重要控制二級(jí)、 重要控制一級(jí)、關(guān)鍵控制五級(jí)（如表所示）。控制點(diǎn)分級(jí)標(biāo)準(zhǔn)控制點(diǎn)分級(jí)認(rèn)定標(biāo)準(zhǔn)Aa+ （關(guān)鍵）對(duì)可能引起重大的業(yè)務(wù)失誤、為公司帶來重大的財(cái)務(wù) 損失，并可能導(dǎo)致財(cái)務(wù)報(bào)告中的重大的實(shí)質(zhì)性錯(cuò)報(bào)等 重大缺陷進(jìn)行有效控制Aa （重要一級(jí)）對(duì)可能引起較大的業(yè)務(wù)失誤、為公司帶來較大的財(cái)務(wù)損失等重大缺陷進(jìn)行有效控制Aa-（重要二 級(jí)）對(duì)日常運(yùn)營(yíng)造成一定程度的影響、為公司帶來一定程度的財(cái)務(wù)損失等重要缺陷進(jìn)行有效控制Bb+ （一般一級(jí)）對(duì)日常運(yùn)營(yíng)帶來輕微損害、可能導(dǎo)致輕微的財(cái)務(wù)損失 的一般缺陷進(jìn)行有效控制Bb （一般二級(jí)）對(duì)日常運(yùn)營(yíng)帶來非常輕微的損害、可能導(dǎo)致非常輕微 的財(cái)務(wù)損失的一般缺

22、陷進(jìn)行有效控制六、內(nèi)部控制審計(jì)步驟（一）梳理風(fēng)險(xiǎn)點(diǎn)和控制點(diǎn)以公司層面為例，該行在梳理風(fēng)險(xiǎn)點(diǎn)和控制點(diǎn)的過程釆用了以下 步驟：一是查閱和分析公司治理文件。二是查閱和分析公司管理制度。三是查閱和分析反映公司治理過程和管理制度執(zhí)行情況的記錄 文件或報(bào)告等。四是問卷調(diào)查和審計(jì)訪談。（二）構(gòu)建價(jià)值鏈風(fēng)險(xiǎn)控制矩陣該行釆用風(fēng)險(xiǎn)控制矩陣的構(gòu)建方法，按價(jià)值形成過程，排列不同 控制領(lǐng)域、部門、流程、業(yè)務(wù)單元、產(chǎn)品/服務(wù)等在前中后臺(tái)的位置, 以此明確各部門的職責(zé)關(guān)系。以價(jià)值鏈矩陣為聯(lián)系紐帶，將銀行的具 體業(yè)務(wù)環(huán)節(jié)、控制活動(dòng)和風(fēng)險(xiǎn)聯(lián)系起來，形成各項(xiàng)業(yè)務(wù)和管理活動(dòng)的 視圖。以該行公司層面控制內(nèi)部環(huán)境審計(jì)為例：該行根據(jù)企業(yè)

23、內(nèi)部控 制基本規(guī)范，以公司治理等一級(jí)控制領(lǐng)域和二級(jí)控制領(lǐng)域?yàn)榱校?風(fēng)險(xiǎn)點(diǎn)描述、控制點(diǎn)描述、審計(jì)標(biāo)準(zhǔn)、審計(jì)依據(jù)、測(cè)試步驟（審計(jì)流 程）、測(cè)試結(jié)果等為行，構(gòu)建內(nèi)部環(huán)境的風(fēng)險(xiǎn)控制矩陣（如下表所示） 開展內(nèi)部環(huán)境審計(jì)內(nèi)部環(huán)境風(fēng)險(xiǎn)控制矩控制 領(lǐng) 域風(fēng) 險(xiǎn) 點(diǎn)描述風(fēng)險(xiǎn)等 級(jí)控制點(diǎn)描述控制 級(jí) 別審計(jì)標(biāo)準(zhǔn)主要依據(jù)測(cè)試步驟測(cè)試 結(jié) 果審計(jì)結(jié) 論審計(jì)師審核1.公司治 理治 理 結(jié) 構(gòu) 形 同 虛 設(shè)審計(jì) 小組 根據(jù) 公司 章程、 履職 情況， 會(huì)議 紀(jì)要 等實(shí) 際情 況進(jìn) 行了 描述依法制定對(duì) 公司股東、 董事、監(jiān)事 和高級(jí)管理 人員具有約 束力的公司 章程；設(shè)立 股東大會(huì)、 董事會(huì)、監(jiān) 事會(huì)和高級(jí) 管理層并

24、履 行職責(zé)，其 成員應(yīng)具備 相應(yīng)的任職 專業(yè)知識(shí)和 業(yè)務(wù)工作經(jīng)公 司法 上 申公 司治 理準(zhǔn) 則企 業(yè)內(nèi) 部控 制基 本規(guī) 范； 公司 章程 查閱公司 章程,公司治 理制度，確認(rèn) 公司治理結(jié) 構(gòu)的健全性； 商請(qǐng)董事 會(huì)辦公室提 供董事會(huì)及 其專門委員 會(huì)提供匯總 的履職記錄， 商請(qǐng)監(jiān)事會(huì) 辦公室提供 監(jiān)事會(huì)匯總 的監(jiān)督記錄， 進(jìn)行控制測(cè)未 發(fā) 現(xiàn) 缺 陷公司 治 理 有 效驗(yàn)試“會(huì) 層”未 確 定 職 責(zé) 分 工， 未 建 立 職 責(zé) 邊 界審計(jì) 小組 根據(jù) 股東 大會(huì)、 公司 董事 會(huì)、高 級(jí)管 理層 的逐 級(jí)授 權(quán)及 執(zhí)行 情況 等實(shí) 際情 況進(jìn) 行了公司決策、 執(zhí)行、監(jiān)督 分離，形成 制

25、衡機(jī)制； 股東大會(huì)是 公司的權(quán)力 機(jī)構(gòu)，董事 會(huì)對(duì)股東（大）會(huì)負(fù) 責(zé)，依法行 使企業(yè)的經(jīng) 營(yíng)決策權(quán)； 監(jiān)事會(huì)對(duì)股 東大會(huì)負(fù) 責(zé)，對(duì)董事、 高級(jí)管理人 員進(jìn)行監(jiān) 督；高級(jí)管 理層對(duì)董事企 業(yè)內(nèi) 部控 制基 本規(guī) 范;股東 大會(huì)、 董事 會(huì)、監(jiān) 事會(huì) 授權(quán) 管理 辦法查閱“三會(huì) 一層”即股東 大會(huì)、董事 會(huì)、高級(jí)管理 層授權(quán)管理 辦法,確認(rèn)制 度建設(shè)的健 全性;根據(jù) 授權(quán)執(zhí)行情 況進(jìn)行控制 測(cè)試,確認(rèn)制 度的執(zhí)行情 況未 發(fā) 現(xiàn) 缺 陷會(huì)層”控 制 有 效及描述會(huì)負(fù)責(zé)，依制法實(shí)施經(jīng)營(yíng)衡管理權(quán)機(jī)制缺乏 決 策機(jī)制 和 議事規(guī)則審計(jì) 小組 根據(jù) 董事 會(huì)、監(jiān) 事會(huì)、 高級(jí) 管理 層議 事規(guī) 則，部 門

26、職 責(zé)與 權(quán)限、 分公 司職 責(zé)與根據(jù)國(guó)家有 關(guān)法律法規(guī) 劑企業(yè)章程 制定詳細(xì)的 股東大會(huì)、 董事會(huì)、監(jiān) 事會(huì)的議 事、決策規(guī) 則，以及高 級(jí)管理層的 工作細(xì)則和 規(guī)程；重大 決策實(shí)行集 體審批制 業(yè) 部 制 本 范 公 董 會(huì) 高 管 層 權(quán)、 級(jí) 理 工 規(guī)則企內(nèi)控基規(guī)9司 事 對(duì) 級(jí) 理 授 高 管 層 作 1、調(diào)閱公司 章程,股東大 會(huì)、董事會(huì)、 監(jiān)事會(huì)議事 規(guī)則，授權(quán)管 理辦法，內(nèi)部 控制管理辦 法，風(fēng)險(xiǎn)管理 辦法等，檢查 制度建設(shè)的 健全性；調(diào) 閱會(huì)議紀(jì)要、 管理報(bào)告等， 確認(rèn)相關(guān)制 度的執(zhí)行效 果未 發(fā) 現(xiàn) 缺 陷控 制 機(jī) 制 健 全 有 效權(quán)限 及其 報(bào)告 路徑 等文 件，按 實(shí)際 控制 設(shè)計(jì) 和運(yùn) 行狀 況描 述部門 職責(zé) 與權(quán) 限、分 公司 職責(zé) 與權(quán) 限及 其報(bào) 告路 徑等 文件 (三)現(xiàn)場(chǎng)測(cè)試及缺陷匯總審計(jì)人員采用觀察、核對(duì)、重新執(zhí)行等審計(jì)方法在公司、流程和 信息系統(tǒng)三個(gè)層面同步開展穿行測(cè)試、控制測(cè)試，對(duì)控制的有效性進(jìn) 行評(píng)價(jià)、對(duì)缺陷進(jìn)行匯總。以該行流程層面業(yè)務(wù)為例，其穿行測(cè)試、 控制測(cè)試步驟如表40-41所示。如穿行測(cè)試結(jié)果為無效，則表明該流 程設(shè)計(jì)無效，無需再對(duì)其進(jìn)行控制測(cè)試，可直接認(rèn)定缺陷；如穿行測(cè) 試有效，則需對(duì)該流程進(jìn)行控制測(cè)試，以驗(yàn)證該流程的運(yùn)行是否有效。該行自行開發(fā)的內(nèi)部控制評(píng)估系統(tǒng)(ICAS)可以對(duì)