工行内控案例分析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
某银行内部控制审计典型案例研究
一、成立时间:1984年,2006年上市。
二、内部控制概况
该行引入COSO内部控制五要素理念,实施《商业银行内部控制指引》、《上海证券交易所上市公司内部控制指引》和《企业内部控制基本规范》,制定内部控制建设规划和内部控制制度,由董事会、各级管理层、监事会和全体员工实施,决策、执行、监督相互制衡。
分别由业务部门-----第一道内部控制防线
风险管理部门-------第二道内部控制防线
内部监督部门-------第三道内部控制防线
2004年7月起建设全面风险管理体系
2006年改革内部组织架构
内部审计部门直接向董事会负责并报告工作,并垂直下设十个内部审计分部,负责涵盖内部控制的独立审计;
内控合规部门,在总行和各级分行设立的对高级管理层和管理层负责的负责牵头内部控制建设、操作风险管理和合规风险管理。
三、内部控制审计概况
1、上市当年,上交所《上市公司内部控制指引》发布实施,该行内部审计部门开始尝试内部控制专项审计。
2、2007年起具体组织实施年度内部控制评价,经过三年的探索、借鉴、创新,逐步形成较为完善的内部控制审计体系。
3、内部控制专项审计和年度审计项目纳入年度审计计划,经董事会审计委员会审议、董事会审议批准后实施。
三年来,该行内部审计部门采取非现场监测和现场测试相结合、审计检查和审计调研相结合的方式,共实施了140多项审计活动,基本覆盖了该行公司治理、风险管理、内部控制全过程。
四、内部控制年度审计
1、公司层面
2、流程层面
3、信息技术控制层面
4、并表管理审计-------母银行及附属公司的内部控制
公司层面控制的审计内容
主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领域,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素展开,分为17个领域和82个子领域(如表所示)。每个领域下再细分为若干个关键风险点和控制点。
公司层面控制审计
流程层面控制的审计内容
包括银行类和非银行类业务的28个流程和144个子流程
流程层面控制审计内容
信息技术层面控制的审计内容
分为信息技术公司层面、一般控制、应用控制三个方面,包括14个领域和61个子领域
五、内部控制审计标准
1、内部控制审计实务标准。是该行内部控制体系各经营管理层级和各业务环节正常运行应当遵循的控制标准或要求,主要依据国内外监管法规、行业最佳控制实践以及本行实际情况设定,涵盖经营管理、业务操作、产品和信息系统等各个领域,细化到每个领域中的关键控制点。
2、内部控制审计认定标准。包括对风险点的量级标准和对控制点的量级标准及在此基础上对内部控制缺陷的认定标准、内部控制有效性认定标准。该行将内部控制缺陷分为设计缺陷和运行缺陷,符合《企业内部控制规范》及其配套指引的规定,缺陷按影响控制目标的严重程度分为重大、重要和一般三个等级。
内部控制缺陷认定标准
有效性审计结论分为有效、基本有效、关注、特别关注、无效五级。其定义及认定标准如表所示
内部控制有效性认定标准
内部控制缺陷和有效性之间存在的对应关系如表所示:有效性标准与缺陷标准的对应关系表
风险等级划分为低、较低、中等、较高、高五级(如表所示):
风险点分级标准
控制等级划分为一般控制二级、一般控制一级、重要控制二级、重要控制一级、关键控制五级(如表所示)。
控制点分级标准
六、内部控制审计步骤
(一)梳理风险点和控制点
以公司层面为例,该行在梳理风险点和控制点的过程采用了以下步骤:
一是查阅和分析公司治理文件。
二是查阅和分析公司管理制度。
三是查阅和分析反映公司治理过程和管理制度执行情况的记录文件或报告等。
四是问卷调查和审计访谈。
(二)构建价值链风险控制矩阵
该行采用风险控制矩阵的构建方法,按价值形成过程,排列不同
控制领域、部门、流程、业务单元、产品/服务等在前中后台的位置,以此明确各部门的职责关系。以价值链矩阵为联系纽带,将银行的具体业务环节、控制活动和风险联系起来,形成各项业务和管理活动的视图。
以该行公司层面控制内部环境审计为例:该行根据《企业内部控制基本规范》,以公司治理等一级控制领域和二级控制领域为列,以风险点描述、控制点描述、审计标准、审计依据、测试步骤(审计流程)、测试结果等为行,构建内部环境的风险控制矩阵(如下表所示)开展内部环境审计
内部环境风险控制矩
(三)现场测试及缺陷汇总
审计人员采用观察、核对、重新执行等审计方法在公司、流程和
信息系统三个层面同步开展穿行测试、控制测试,对控制的有效性进行评价、对缺陷进行汇总。以该行流程层面业务为例,其穿行测试、控制测试步骤如表40-41所示。如穿行测试结果为无效,则表明该流程设计无效,无需再对其进行控制测试,可直接认定缺陷;如穿行测试有效,则需对该流程进行控制测试,以验证该流程的运行是否有效。
该行自行开发的内部控制评估系统(ICAS)可以对审计活动实施全程管理和监控,实时反映工作成果,并对缺陷进行自动汇总并统计。
(四)报告编写
审计部门负责撰写内部控制审计报告并提交审计委员会审议,在此基础上,按照其上市证券交易所的要求撰写年度内部控制自我评估报告,并提交董事会审议。审计报告提交前,内部审计部门需要与相关分支机构、业务部门的负责人进行充分沟通;内部控制自我评估报告提交董事会审计委员会审议,接受监事会监督,由董事会审议通过。
七、效果
1、提升了内部控制和治理水平
三年来,该行通过揭示缺陷和督促整改,持续完善内部监督机制,改进内部控制有效性,增加了公司价值。该行税后利润由2003年引入外部审计时的226亿增长到2009年的1293亿(2010年我行上半年净利润达到850亿,同比增长27.3%);不良贷款率从2005年财务重组后的4.69%下降到2009年的1.54%(2010年6月30日下降到1.26%),拨备覆盖率从164.41%(2010年6月30日达到189.81%);平均总资产回报率(ROA)和加权平均净资产收益率(ROE)分别从上市之初的0.79%和15.37%稳步增长到2009年1.2%和21.14%。2008年荣获“亚洲最佳银行”、“中国最佳本地银行”“中国50 家最受尊敬上市公司”等诸多奖项。2009年荣获“最佳公司治理”、“2009 年最佳企业管治资料披露大奖H 股上市公司板块白金奖”等境内外共26 项公司治理奖项。
2、推进了内部审计标准化和技术创新
经过三年的积累,该行内部控制审计已形成了较为成熟的审计标准和审计技术方法体系,这些成功经验的推广和普及带动了全行内部