某银行内部控制审计典型案例研究
一、成立时间:
二、内部控制概况
该行引入COSO内部控制五要素理念,实施《商业银行内部控制指引》、《上海证券交易所上市公司内部控制指引》和《企业内部控制基本规范》,制定内部控制建设规划和内部控制制度,由董事会、各级管理层、监事会和全体员工实施,决策、执行、监督相互制衡。
分别由业务部门-----第一道内部控制防线
风险管理部门-------第二道内部控制防线
内部监督部门-------第三道内部控制防线
2004年7月起建设全面风险管理体系
2006年改革内部组织架构
内部审计部门直接向董事会负责并报告工作,并垂直下设十个内部审计分部,负责涵盖内部控制的独立审计;
内控合规部门,在总行和各级分行设立的对高级管理层和管理层负责的负责牵头内部控制建设、操作风险管理和合规风险管理。
三、内部控制审计概况
1、上市当年,上交所《上市公司内部控制指引》发布实施,该行内部审计部门开始尝试内部控制专项审计。
2、2007年起具体组织实施年度内部控制评价,经过三年的探索、借鉴、创新,逐步形成较为完善的内部控制审计体系。
3、内部控制专项审计和年度审计项目纳入年度审计计划,经董事会审计委员会审议、董事会审议批准后实施。
三年来,该行内部审计部门采取非现场监测和现场测试相结合、审计检查和审计调研相结合的方式,共实施了140多项审计活动,基本覆盖了该行公司治理、风险管理、内部控制全过程。
四、内部控制年度审计
1、公司层面
2、流程层面
3、信息技术控制层面
4、并表管理审计-------母银行及附属公司的内部控制
公司层面控制的审计内容
主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领域,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素展开,分为17个领域和82个子领域(如表所示)。每个领域下再细分为若干个关键风险点和控制点。
公司层面控制审计
流程层面控制的审计内容
包括银行类和非银行类业务的28个流程和144个子流程
流程层面控制审计内容
信息技术层面控制的审计内容
分为信息技术公司层面、一般控制、应用控制三个方面,包括14个领域和61个子领域
五、内部控制审计标准
1、内部控制审计实务标准。是该行内部控制体系各经营管理层级和各业务环节正常运行应当遵循的控制标准或要求,主要依据国内外监管法规、行业最佳控制实践以及本行实际情况设定,涵盖经营管理、业务操作、产品和信息系统等各个领域,细化到每个领域中的关键控制点。
2、内部控制审计认定标准。包括对风险点的量级标准和对控制点的量级标准及在此基础上对内部控制缺陷的认定标准、内部控制有效性认定标准。该行将内部控制缺陷分为设计缺陷和运行缺陷,符合《企业内部控制规范》及其配套指引的规定,缺陷按影响控制目标的严重程度分为重大、重要和一般三个等级。
内部控制缺陷认定标准
有效性审计结论分为有效、基本有效、关注、特别关注、无效五级。其定义及认定标准如表所示
内部控制有效性认定标准
内部控制缺陷和有效性之间存在的对应关系如表所示:有效性标准与缺陷标准的对应关系表
风险等级划分为低、较低、中等、较高、高五级(如表所示):
风险点分级标准
控制等级划分为一般控制二级、一般控制一级、重要控制二级、重要控制一级、关键控制五级(如表所示)。
控制点分级标准
六、内部控制审计步骤
(一)梳理风险点和控制点
以公司层面为例,该行在梳理风险点和控制点的过程采用了以下步骤:
一是查阅和分析公司治理文件。
二是查阅和分析公司管理制度。
三是查阅和分析反映公司治理过程和管理制度执行情况的记录文件或报告等。
四是问卷调查和审计访谈。
(二)构建价值链风险控制矩阵
该行采用风险控制矩阵的构建方法,按价值形成过程,排列不同
控制领域、部门、流程、业务单元、产品/服务等在前中后台的位置,以此明确各部门的职责关系。以价值链矩阵为联系纽带,将银行的具体业务环节、控制活动和风险联系起来,形成各项业务和管理活动的视图。
以该行公司层面控制内部环境审计为例:该行根据《企业内部控制基本规范》,以公司治理等一级控制领域和二级控制领域为列,以风险点描述、控制点描述、审计标准、审计依据、测试步骤(审计流程)、测试结果等为行,构建内部环境的风险控制矩阵(如下表所示)开展内部环境审计
内部环境风险控制矩
审计人员采用观察、核对、重新执行等审计方法在公司、流程和
