商业银行内部审计技术与方法培训课件(ppt49页)

1、年度计划范例
某集团公司审计部200×年度审计计划
为了做好200×年度内部审计工作，更好地发挥内 部审计在公司经营管理活动中的作用，根据《内部 审计具体准则第1号——审计计划》规定，制定本计 划。
一、年度审计目标
200×年度内部审计工作将以科学发展观为指导， 认真贯彻200×年度公司经营管理方针，在公司董事 会及其审计委员会的领导下，……突出审计重点， 积极探索经营审计和管理审计，进一步完善内部控 制评审，积极稳妥地开展部门和分公司经理的经济 责任审计，继续规范财务报表审计，……以促进健 全内部控制、强化公司治理、实现价值增值。
第一级、第二级：两年一审； 第三级：一年一审；第四级：半年一审
选择审计对象应遵循的原则之二
关键性因素： 风险导向原则
凡是公司经营存在风险或风险大的地方都是公 司必须重点关注的对象。
风险导向原则在很多方面与重要性原则是一致 的。总资产超过500万的部门，其所面临的风险，比 总资产在500万以下的部门要大。
审计人员开始审计准备 工作，制订审计计划。
《内部审计具体准则第1号——审计计划》
审计计划，是指内部审计机构和人员为完成审计 业务，达到预期的审计目的，对一段时期的审计 工作任务或具体审计项目作出的事先规划。
审计计划的组成层次
审计计划一般包括三个层次： 年度审计计划：对年度的审计任务所作的事先规划， 是组织年度工作计划的重要组成部分；
第2节 审计准备阶段
1.制定审计计划 2.年度审计计划 3.项目审计计划 4.审计方案 5.审计通知书
一、制定审计计划
内部审计计划 年度审计计划 项目审计计划 审计方案
审计谁？ 审计客体
难到不是公司吗？

商业银行IT审计内部培训
I目T审录计规划
1 IT审计概述 1.1 导言 1.2 IT审计概念 1.3 IT审计方法
2 以风险控制为导向的IT审计 2.1 风险分析 2.2 风险管理
3. IT审计与合规 3.1 法律法规 3.2 合规审计
4. IT审计规范与流程
2
1.1 导 言
事实
作为当前信息安全业界一个逐渐得到公认的事实：在安全事件造成的损失 中，有75％以上来自内部，其中包括内部人员的越权访问、滥用、以及误操作 等。一个针对大型运营商高级IT经理进行的调查问卷显示，66％的经理认为内 部滥用和误用、经营数据泄漏，以及病毒是最严重的安全威胁，作为对比，认 为黑客入侵是最严重威胁的只有13%。
21
2.1 风险分析
一个现场演示风险产生的实例---帐号和口令获取
攻击者
用户账号
成功获取
22
2.1 风险分析
威胁代理
Threat agent
直接影响 Give Rise To
威胁 Threat
分析实例： ① 风险的产生原因 ② 风险产生的过程 ③ 解决问题的办法
直接影响Directly Effects
5
1.1 导 言
为什么需要需要审计
• 符合政府和行业的法规要求
• 通过实时或者非实时的IT审
计，为系统管理员提供有效 的系统健康度测量依据
合规性
• 妥善保存的日志为司法公
正提供有效证据
法律取证
• 对IT系统进行审计和复核
有助于发现或防止IT风险 的发生
测量IT系统健康度
WHY
风险控制
6
1.2 IT审计概念
SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管,

一、银行业务流程介绍
2、具体业务流程介绍
（1）信贷业务 通常按照业务申请人可以分为公司信贷业务（或称批
发业务）和个人信贷业务（或称零售业务），按财务核 算方式可以分为表内核算的贷款（含公司贷款、个人贷 款 等）和表外核算的银行承兑汇票、保函、信用证等业 务。
信贷业务中占比较大的贷款业务亦有多种分类。其中， 按担保方式可以分为信用贷款、保证贷款、抵押贷款、 质押贷款，按期限可以分类短期贷款、中长期贷款等， 按产品类别又可以分为流动资金贷款、项目贷款、房地 产贷款、贸易融资 贷款、个人住房抵押贷款、个人经营 贷款、个人消费贷款等
债券市场交易按照风险承担主体可以分为自营交易和代客 交易；按照 流通情况可以分为一级市场和二级市场交易；按 照币种可以分为人民币债券投资和外币债券投资。
贵金属业务主要包括品牌金销售、品牌金积存、账户贵金 属、代理实物黄金和代理实物黄金递延等。
一、银行业务流程介绍
（2）资金业务 衍生金融工具是指同时具备下列特征，并形成一个
二、信贷业务流程审计
（一）公司贷款业务流程的主要步骤 2、关键业务贷款循环
2.2贷款发放
2.2.1客户经理落实信贷审批意见中的放款条件（如补 充担保等其他前提条件），并经有权部门审查确认放 款条件已全部落实。 2.2.2客户经理在信贷管理系统中更新贷款信息并经复 核后发起放款流 程，同时收集借款合同、担保合同、 借据等信贷资料，经部门负责人审核 后，提交有权人 （如具有审批权限的行长）签批。 2.2.3放款审查人员核（一）公司贷款业务流程的主要步骤 2、关键业务贷款循环 2.7担保抵押
2.7.1.贷款审批前，专人（或聘请专业机构）对抵质押 品出具评估意见。 2.7.2. 抵质押物等出入库，分别经簿记和实物保管的复 核，并经有权人签批。 2.7.3.定期盘点并检查残损情况，以便及时追加担保物。 2.7.4贷款到期归还后，会计结算部门将本息归还凭证 交客户经理，并经有权部门审核后，提示相关部门释

13
可编辑课件
与外部审计的差异
1、两者的审计目标不同。 2、业务范围不同。 3、审计标准不同。 4、专业胜任能力要求不同。
外审解决的是：是什么? 内审解决的是：是什么?+为什么?+怎么办?
14可编Βιβλιοθήκη 课件内审部-培养管理人才的地方
公司的内审人员一般都：
——了解公司整体架构和业务 ——对内控和管理方面有一定的认识 ——从独立的角度了解公司的问题和情况
很不透明，让人多少有些畏惧感。内部审计部门应要多向其他部门宣传自己的部门定 位和工作，这种宣传可以是多种方法和多种层次的。阳光，透明，专业，务实，内审 人不是黑衣人
5
可编辑课件
未能建立有效的人际网络
1、内审部的成员与公司其它同事以及公司以外其它人士之间的交流和联 系都非常匮乏。
2、对公司的新政策以及业务方向把握不准确。
30
可编辑课件
请帮忙我们解读机会成本？
如果一笔已经付出的开支无论做出何种选择都不能收回，具有理性的人只能忽略它，这种成本就称为沉没成本.。假如你花七美元 买了一张电影票，你怀疑这个电影是否值七美元。看了半小时后，你最担心的事被证实了：影片糟透了。你应该离开影院吗？在 做这个决定时，你应该忽视那七美元。它是沉没成本，无论你离开影院与否，钱都不会再收回.
由于我们审计人员的精力有限，我们不可 能对所有的报告都实施证实。
只能去证实那些重要的报告
27
可编辑课件
哪些报告是重要的呢？
一是总裁要求证实的报告， 二是数据变化较大的报告， 三是公司管理层争议较大的报告，按
此标准判断，一般不会出差错。
28
可编辑课件
案例：绩效考核的分数是如何打出来的？

商业银行内部审计技术与方法
目
录
内部审计一般方法介绍
非现场审计方法
现场审计方法与案例
内部审计一般方法介绍
内部审计定义(内审协会)
• 内部审计，是一种独立、客观的确认和咨询活动，它通过 运用系统、规范的方法，审查和评价组织的业务活动、内 部控制和风险管理的适当性和有效性，以促进组织完善治
理、增加价值和实现目标。
2）在审计后不重视后续的监督与评价。
1）所有的报告都以“如果要符合法律规定……”开始
实用内部审计方法
1.报表分析：复核性分析的简化 2.资料分析：工作计划，工作总结，经营分析，各类会议纪 要和记录，内外部检查、审计报告和整改报告等 3.投诉与群众来信 4.审计问卷调查
实用内部审计方法
5.人员访谈 6.业务征询 7.符合性测试 8.业务资料检查 9.现场观察 10.业务数据分析
直接作为问题 确定审计重点 发现疑点
因果分析法或果因分析法
• 果因分析法目标明确，提高效率 • 意在发现业务背后的违规行为和控制漏洞，并非“鞭尸” • 实质性测试和穿行测试并无问题，用果因分析法，可以发 现重要控制缺陷
谢谢！
51
欢迎批评指导！！
THANK YOU FOR WATCHING!
放映结束
3.对实际控制人及担保人XX夫妇的资产情况与事实不符。
数据分析、实质性测试与实地观察相结合
1.多个小企业借款人系同一市场的经营户，且贷款超出借款人正常经营 需求 2.贷款资金真实用途不明，大部分直接流向郑氏兄妹关联公司。部分借 款户日常与郑氏兄妹资金往来量大。 3.部分借款人的贷款利息直接由郑氏公司偿还。
个人信贷—分析性复核和风险评估
• 分析性复核和风险评估 1.产品种类：住房、汽车、消费、经营 2.流程维度：借款人评级，担保品 3.业务增长： 4.资产质量趋势 5.地域特点：预售，抵押登记

与展望
内部审计信息化
01
内部审计信息化
随着信息技术的发展，商业银行内部审计正在向信息化方向发展。通过
运用信息技术，内部审计可以实现自动化、智能化，提高审计效率和准
确性。
02
信息技术应用
信息技术在内部审计中的应用越来越广泛，例如审计软件、数据分析工
具等。这些工具可以帮助审计人员快速、准确地处理数据，发现潜在的
审计报告撰写
根据审计工作底稿和审计结果，撰写审计报告，对审计发现问题 进行客观、准确、清晰地描述，并提出改进建议。
审计结果沟通
与被审计单位进行沟通，就审计发现问题进行确认，并就改进措施 达成共识。
审计结果运用
将审计结果运用到银行的业务经营、风险管理和内部控制等方面， 促进银行持续改进和健康发展。
05
04
商业银行内部审计程序
审计准备阶段
审计计划制定
根据银行的风险状况、业务规模 和复杂程度，制定审计计划，明 确审计目标、范围和资源分配。
审计项目立项
对审计项目进行立项，明确审计 对象、审计重点和审计方法。
审计方案制定
根据审计计划和项目立项，制定 详细的审计方案，包括审计步骤、
时间安排和人员分工等。
分析性复核审计技术
总结词
分析性复核审计技术是一种通过对财务和非财务数据进行比较和分析，发现异常波动和趋势，进而识 别潜在问题和风险的审计方法。
详细描述
分析性复核审计技术包括对财务报表的分析、比率分析、趋势分析和回归分析等。通过这些分析方法 ，审计人员能够发现数据中的异常和不一致之处，进而发现可能存在的错报、舞弊或不合规行为。分 析性复核审计技术有助于提高审计的准确性和可靠性。
随着银行业务的复杂化和风险管理的 重要性不断提高，内部审计逐渐发展 成为一项重要的管理工具。

进一步了解被审计单位的相关经济信息资料、 内部控制制度、内部控制测试与评估相关工 作底稿、内部控制问卷调查表、相关审计证 据、审计工作底稿、审计报告、审计报告征 求意见书、被审计单位反馈意见、沟通记录 等
审计终结阶段 整理审计资料、建立审计档案等
审计过程中形成的所有审计文书
后续审计阶段
检查被审计单位对审计发现的问题 后续审计方案、后续审计报告等 所采取的纠正措施及其效果
准备阶段
审计计划 初步调查 审计通知书
内部审计具体准则(流程)
一.具体准则第2101号——审计计划
(二)一般原则
1.计划层次
年度计划：审计机构负责人 项目审计方案：项目负责人
2.编制与批准
年度计划批准：董事会或高管层 项目计划批准：审计机构负责人
3.检查执行：机构负责人定期检查执行情况
电信服务商 Globe Telecom:(审计项目风险评 估考虑因素)
财务、客户满意度、声誉、运营过程和业务变 动程度、法规和政策要求、舞弊的存在、审计 领域的技术难度、以前年度的审计成果八个维 度进行风险评估
应考虑的因素
项目
A B
审计间 隔时间
9
项目受 管理层 关注程
度Байду номын сангаас
8
项目的 金额
6
•
被检查活动的目标、资源和运营等存在的重大风险，
以及将风险的潜在影响控制在可接受水平的方式；
•
与相关框架或模式相比，被检查活动的治理、风险管
理和控制过程的适当性和有效性；
•
对被检查活动的治理、风险管理和控制过程作出重大
改进的可能性。
以风险为导向制定项目审计方案时，审计人 员通过风险评估的手段较为系统地确定：

• 条款/过程审核
– 目标明确，易与标准及 体系文件对照；
– 审核路线复杂、费时 。
• 部门审核
– 审核效率高，但易疏漏 要求；
– 要求审核员思路清楚； –审核组内沟通要求高。
22
文件审阅
[ISO 19011]
• 管理体系文件，包括记录
– 上一次的审核报告
• 需要考虑：
– 组织的规模、性质和复杂性 – 审核的目的和范围
– 此COP是否与顾客满意有关？ – 对此过程的控制
» 过程的关键控制点在哪里？其效果如何？ » 管理层对此状况有没有作出改进?
• 是否由具备能力的人员执行此项工作？
9
过程图析法
人力规划 目标管理 财务规划
设计 采购 服务
生产计划
生产
交付
品保
设备维护 资讯管理
10
审核开始
审核范围
[ISO 19011]
13
成立审核组
[ISO 19011]
• 由管理审核方案的负责人员/审核组组长负责 组建
• 规模大小和成员组合 • 考虑事项
– 审核目的、范围、准则、地址和预计持续时间 – 所需要的整体能力资格 – 审核员的公正独立性 – 与受审核方相互影响的能力，1. 过程分析：
When You Do Your Best, Failure Is Great, So Don'T Give Up, Stick To The End
感谢聆听
不足之处请大家批评指导
Please Criticize And Guide The Shortcomings
演讲人：XXXXXX 时 间：XX年XX月XX日
和复杂性 • 具有适当的灵活性以允许更改

总之，内部审计包括评价整个管理过程，不仅包含会计控制和财务 报告的审计，还涵盖了企业的其他问题如资源保护、经营效率和效果、 遵循法律、规章和组织的政策也很重要。这些因素都会对财务报告产 生影响，从而影响企业的发展。现代企业需要加强内部审计，加强内 部审计会促进企业管理走上健康、繁荣，使其为企业的发展保驾扩航。
7. 有必要执行联合审计时，审监部有权要求相关部门配合， 相关部门不得推诿；在特殊审计事项中，审监部有权根 据审计情况临时抽调公司内部或者外聘相关领域专 家。
五、公司目前内部审计的现状
内部审计机构地位不明确，职责职能受到限制 公司对内部审计的重要性认识和支持不够 信息沟通不畅，内部审计目标不能适时调整，以致与公司经营总体目
实施萨班斯法案，既是美国法律的强 制性规定，也是企业加强内部控制体系 建设，提升自身免疫能力，增强国际竞 争力的内在需求。既是一次严厉的挑战， 更是一次机遇。利用资本市场对企业的 高标准、严要求，提升公司自己的管理 能力与竞争实力。
公司内部控制体系建设方案
目标:
内控体系建设的总目标是建立起制度制定、 执行、监督“三位一体”的管理架构，形 成运营、控制、信息系统有机的统一，保 障公司顺利通过2007年度内控审计。
在美国上市的公司，不论规模，均需遵守萨班斯－奥克斯 利法案的有关规定。
即使上一年注册会计师出具的是无保留意见的审计报告， 也不表示公司现有的内控系统已经符合法案的规定。根据 法案的规定，独立审计人员还需另外证明客户公司的内部 控制系统是有效的。
美国国会清楚地规定，公司对其财务报告和信息披露的公 允性、充分性和正确性负有责任。法案规定独立审计人员 的主要职责为：证明管理层对公司财务报告系统的内部控 制程序是否有效的评估是合理的。换句话说，管理层必须 独立地评估，执行和监控内部控制程序（但是可以聘请独 立审计人员以外的咨询人员协助就绪及评估工作）。独立 审计人员则可以在一个限定的范围内对公司已有的内部控 制程序提出优化建议和协助。

• 首先，要在银行的组织环境中明确内部审 计的职能与定位，这是加强内部审计沟通 有效性的思想基础。
33
• 银行内部审计的功能与定位体现的是企业 机体的“免疫功能”，是银行抵御风险的重要 参与者。内部审计是企业风险管理的组成 部分，与企业的根本利益，甚至从某种层 面说与经营者的利益是一致的。
34
• 商业银行已经要求内部审计作为风险管理 和抵御的重要参与者，内部审计部门要明 确自己的职能是帮助企业管理抵御风险， 保护企业的健康正常运作。将这样的理念 植入日常员工及管理层的思维当中，让被 审计单位从思想上接受内部审计是来提供 经营上的“免疫功能”的，这样沟通的效果将 会大大不同。
16
• （3）内部审计人员的素质尚不能完全适应 新形势下审计发展的需要。
17
• 一是审计人员的专业结构尚不合理。审计 人员以财会、信贷审计专业人员为主，缺 乏综合经济理论、金融专业知识。近几年 来，银行业的审计目标已从过去查处财务 收支违规问题开始转向金融经营风险的问 题，审计重点转向管理审计、绩效审计以 及风险审计的要求，但由于人员素质的限 制，不能很好地贯彻落实。
35
• 其次，要特别注意岗位内部审计的沟通方 式的选择，这是加强内部审计沟通有效性 的技术基础。
36
• 北京时代新威信息技术有限公司审计专家在IIA 的《内部审计实务标准》指出：“内部审计师 应具有进行口头和书面交流的技能，以便能清 楚地和有效地传达诸如审计目的、评价、结论 和建议等事项。”
• 口头沟通，包括询问、会谈、调查、讨论、会 议、征求意见等。书面沟通，包括审计通知书、 问卷调查、审计工作底稿、审计报告和管理建 议书等。
18
• 二是审计技术方法创新能力不强，特别是 计算机审计水平尚待提高。由于缺乏有效 的计算机审计技术和非现场审计人员，计 算机审计还停留在财务核算系统的分析性 和核查资金流向，在其他金融业务审计上 还不能有效的运用，更不能对计算机系统 进行有效的审计，无力评价产生数据的计 算机系统的安全性、真实性。

号〕登记混乱，共用、交叉、重叠等张冠李戴现象严重。 5. 借款户经营收入未我行，第一还款源不在掌控之中。
现场查证弄虚作假
1.数据分析：某企业自2021年贷款，每年续贷，均为同一抵押物，至 2021年仍未办妥土地使用权抵押登记。
2.现场检查：历次续贷，企业均称未办妥土地使用权证，仅提供将来抵 押的承诺函。
目录
内部审计一般方法介绍 非现场审计方法
现场审计方法与案例
内部审计一般方法介绍
内部审计定义(内审协会)
• 内部审计，是一种独立、客观确实认和咨询活动，它通过 运用系统、标准的方法，审查和评价组织的业务活动、内 部控制和风险管理的适当性和有效性，以促进组织完善治 理、增加价值和实现目标。
• 内部审计准那么体系，包括审计方法
审计文书
工作底稿 事实确认书 审计结论〔征求意见书〕 被审计单位反响意见 反响意见处理 审计结论 上报董监事会、行领导、监管部门
审计工具
非现场审计方法
对内审部门数据分析能力的认识
数据分析的实际应用
文章来源：?Internal Auditor?(?内部审计师?杂志)
非现场数据分析的作用
• 日常监测 • 现场审计工程的审前准备 • 跟踪审计及持续审计
多种信息源和资料佐证
信托受益权业务—实质丙方或假乙方 1.财务参谋费收入异常，收益率高于真乙方 2.融资人在本行有授信且未使用。 3.档案中无丙方银行对借款人的授信批复意见和贷款卡记录 4.印章使用登记簿。可能向丙方出具承诺函 5.出差记录和报销凭证。是否赴对方银行核查。 6.法律合规部法律文本审查记录
利用本行以外的数据
• 客户征信信息〔人行，第三方〕 • 税务信息、海关信息 • 客户用水用电量 • 特定信息：如工程车辆、运输车辆的GPS信息，所在位置

督其实施。
跟踪改进效果
对改进措施的实施情况进行跟踪和 评估，以确保其效果和可持续性。
总结与反馈
对整个审计过程进行总结和反馈， 以提高内部审计的质量和效率。
03
审计技术和方法
审计证据收集
审计证据收集是审计 工作的基础，是证明 审计事项真相的关键 。
审计人员应确保所收 集的证据充分、相关 、可靠，能够支持审 计结论。
监控五个要素，各要素相互关联、相互支持。
内部控制目标
03
内部控制的目标是合理保证组织目标的实现，包括运营效率、
财务报告的可靠性和法律法规的遵循。
风险评估和内部控制审查
风险评估方法
风险评估的方法包括定性和定量方法，如风险矩阵、蒙特卡洛模 拟等，用于评估风险的概率和影响程度。
内部控制审查流程
内部控制审查包括制定审查计划、实施审查、编制审查报告和跟踪 整改等步骤，以确保内部控制的有效性。
《内部审计入门培训》
• 内部审计简介 • 内部审计流程 • 审计技术和方法 • 内部审计标准和最佳实践 • 风险管理和内部控制 • 案例研究和实践练习
01
内部审计简介
内部审计的定义
01
内部审计是一种独立、客观的保 证和咨询活动，旨在增加价值和 改善组织的运营。
02
内部审计通过应用系统化、规范 化的方法，评估和改进风险管理 、控制和治理过程的效果，帮助 组织实现其目标。
进行评估和分析，确定审计重点和优先级，以提高审计工作的针对性和
效率。
02
信息技术审计
随着信息技术在组织中的广泛应用，信息技术审计已成为内部审计的重
要内容。通过评估信息系统的安全性、可靠性和合规性，可以降低组织
面临的信息技术风险。

行分析与管理。
3
可编辑课件
未能有效进行内审宣传
1、之所以设置这个部门是上市需求，无法引起领导的关注。 2、被审计部门认为是刁难，影响部门运行，不配合审计工作
4
可编辑课件
审计建议
1、首先要是宣传给总裁及高级管理团队，引起其兴趣和重视。 2、其次，更多的审计部有着弱势思维，往往很低调，很神秘。外人看来更多的是你的部门
2、往往陷入了一个角色的“陷阱”，成了“财务二部”“统计部”，能够做出 大量统计分析工作却不能利用其去挖掘事情的原因和本来状态。领导层或总 裁看到的东西，往往是经营部门说一遍，审计再说一遍。
8
可编辑课件
审计建议
转变审计思路以及审计方向。将内部审计定位为咨询 部门，不参与到业务的实际运作中。
9
可编辑课件
（3）审计建议需要有实际可操作性：（责任界定需明确：定义清楚业务责任主管部门及具体操作要求） “对内部管理制度进行梳理，结合公司实际情况进行修订完善”，至少明确是哪个部门来牵头执行，连个 主语都没。需要修订完善哪些制度。
（4）审计建议需要是正确的：也就是说，不能胡编乱造。
42
可编辑课件
心态问题
这时，我们的角色也不是钦差大臣，尤 其是在协助中层部门领导管理时，更是 这样。这时，我们的角色是个协助者， 是朋友。
由于我们审计人员的精力有限，我们不可 能对所有的报告都实施证实。
只能去证实那些重要的报告
27
可编辑课件
哪些报告是重要的呢？
一是总裁要求证实的报告， 二是数据变化较大的报告， 三是公司管理层争议较大的报告，按
此标准判断，一般不会出差错。
28
可编辑课件
案例：绩效考核的分数是如何打出来的？
应当指出的是，加权和赋值打分过程十分关键，对某一因素的加权、打分不 同，会导致考核结果的完全不同。同时，它具有政策导向的作用，还会引导被考 核者的行为。