工行内控案例分析

某银行部控制审计典型案例研究

一、成立时间：1984年，2006年上市。

二、部控制概况

该行引入COSO部控制五要素理念，实施《商业银行部控制指引》、《证券交易所上市公司部控制指引》和《企业部控制基本规》，制定部控制建设规划和部控制制度，由董事会、各级管理层、监事会和全体员工实施，决策、执行、监督相互制衡。

分别由业务部门-----第一道部控制防线

风险管理部门-------第二道部控制防线

部监督部门-------第三道部控制防线

2004年7月起建设全面风险管理体系

2006年改革部组织架构

部审计部门直接向董事会负责并报告工作，并垂直下设十个部审计分部，负责涵盖部控制的独立审计；

控合规部门，在总行和各级分行设立的对高级管理层和管理层负责的负责牵头部控制建设、操作风险管理和合规风险管理。

三、部控制审计概况

1、上市当年，上交所《上市公司部控制指引》发布实施，该行部审计部门开始尝试部控制专项审计。

2、2007年起具体组织实施年度部控制评价，经过三年的探索、借鉴、创新，逐步形成较为完善的部控制审计体系。

3、部控制专项审计和年度审计项目纳入年度审计计划，经董事会审计委员会审议、董事会审议批准后实施。

三年来，该行部审计部门采取非现场监测和现场测试相结合、审计检查和审计调研相结合的方式，共实施了140多项审计活动，基本覆盖了该行公司治理、风险管理、部控制全过程。

四、部控制年度审计

1、公司层面

2、流程层面

3、信息技术控制层面

4、并表管理审计-------母银行及附属公司的部控制

公司层面控制的审计容

主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领域，围绕部环境、风险评估、控制活动、信息与沟通、部监督等五大控制要素展开，分为17个领域和82个子领域（如表所示）。每个领域下再细分为若干个关键风险点和控制点。

公司层面控制审计

流程层面控制的审计容

包括银行类和非银行类业务的28个流程和144个子流程

流程层面控制审计容

信息技术层面控制的审计容

分为信息技术公司层面、一般控制、应用控制三个方面，包括14个领域和61个子领域

五、部控制审计标准

1、部控制审计实务标准。是该行部控制体系各经营管理层级和各业务环节正常运行应当遵循的控制标准或要求，主要依据国外监管法规、行业最佳控制实践以及本行实际情况设定，涵盖经营管理、业务操作、产品和信息系统等各个领域，细化到每个领域中的关键控制点。

2、部控制审计认定标准。包括对风险点的量级标准和对控制点的量级标准及在此基础上对部控制缺陷的认定标准、部控制有效性认定标准。该行将部控制缺陷分为设计缺陷和运行缺陷，符合《企业部控制规》及其配套指引的规定，缺陷按影响控制目标的严重程度分为重大、重要和一般三个等级。

部控制缺陷认定标准

有效性审计结论分为有效、基本有效、关注、特别关注、无效五级。其定义及认定标准如表所示

部控制有效性认定标准

部控制缺陷和有效性之间存在的对应关系如表所示：

有效性标准与缺陷标准的对应关系表

风险等级划分为低、较低、中等、较高、高五级(如表所示)：

风险点分级标准

控制等级划分为一般控制二级、一般控制一级、重要控制二级、重要控制一级、关键控制五级（如表所示）。

控制点分级标准

六、部控制审计步骤

（一）梳理风险点和控制点

以公司层面为例，该行在梳理风险点和控制点的过程采用了以下步骤：

一是查阅和分析公司治理文件。

二是查阅和分析公司管理制度。

三是查阅和分析反映公司治理过程和管理制度执行情况的记录文件或报告等。

四是问卷调查和审计访谈。

（二）构建价值链风险控制矩阵

该行采用风险控制矩阵的构建方法，按价值形成过程，排列不同控制领域、部门、流程、业务单元、产品/服务等在前中后台的位置，以此明确各部门的职责关系。以价值链矩阵为联系纽带，将银行的具体业务环节、控制活动和风险联系起来，形成各项业务和管理活动的视图。

以该行公司层面控制部环境审计为例：该行根据《企业部控制基本规》，以公司治理等一级控制领域和二级控制领域为列，以风险点描述、控制点描述、审计标准、审计依据、测试步骤（审计流程）、测试结果等为行，构建部环境的风险控制矩阵（如下表所示）开展部环境审计

部环境风险控制矩

（三）现场测试及缺陷汇总

审计人员采用观察、核对、重新执行等审计方法在公司、流程和信息系统三个层面同步开展穿行测试、控制测试，对控制的有效性进行评价、对缺陷进行汇总。以该行流程层面业务为例，其穿行测试、控制测试步骤如表40-41所示。如穿行测试结果为无效，则表明该流程设计无效，无需再对其进行控制测试，可直接认定缺陷；如穿行测试有效，则需对该流程进行控制测试，以验证该流程的运行是否有效。

该行自行开发的部控制评估系统（ICAS）可以对审计活动实施全程管理和监控，实时反映工作成果，并对缺陷进行自动汇总并统计。

（四）报告编写

审计部门负责撰写部控制审计报告并提交审计委员会审议，在此基础上，按照其上市证券交易所的要求撰写年度部控制自我评估报告，并提交董事会审议。审计报告提交前，部审计部门需要与相关分支机构、业务部门的负责人进行充分沟通；部控制自我评估报告提交董事会审计委员会审议，接受监事会监督，由董事会审议通过。

七、效果

1、提升了部控制和治理水平

三年来，该行通过揭示缺陷和督促整改，持续完善部监督机制，改进部控制有效性，增加了公司价值。该行税后利润由2003年引入外部审计时的226亿增长到2009年的1293亿（2010年我行上半年净利润达到850亿，同比增长27.3%）；不良贷款率从2005年财务重组后的4.69%下降到2009年的1.54%（2010年6月30日下降到1.26%），拨备覆盖率从164.41%（2010年6月30日达到189.81%）；平均总资产回报率（ROA）和加权平均净资产收益率（ROE）分别从上市之初的0.79%和15.37%稳步增长到2009年1.2%和21.14%。2008年荣获“亚洲最佳银行”、“中国最佳本地银行”“中国50 家最受尊敬上市公司”等诸多奖项。2009年荣获“最佳公司治理”、“2009 年最佳企业管治资料披露大奖H 股上市公司板块白金奖”等境外共26 项公司治理奖项。

2、推进了部审计标准化和技术创新

经过三年的积累，该行部控制审计已形成了较为成熟的审计标准和审计技术方法体系，这些成功经验的推广和普及带动了全行部审计技术创新。

3、增强了部审计团队的专业能力

在部控制审计实践中，锻炼和培养了一支熟练掌握部控制和风险管理技术的审计队伍，为部审计事业的发展储备了一批理念先进、视野开阔的新型专业人才。至2010年8月，该行的部审计团队拥有国际注册部审计师、金融风险管理师、特许公认会计师、注册信息系统审计师、项目管理专家等各类专业资质证书的人数占比达58.6%。