工行內(nèi)控案例分析

1、某銀行內(nèi)部控制審計(jì)典型案例研究一、 成立時(shí)間：1984年，2006年上市。二、 內(nèi)部控制概況該行引入COSO內(nèi)部控制五要素理念，實(shí)施商業(yè)銀行內(nèi)部控制指引、上海證券交易所上市公司內(nèi)部控制指引和企業(yè)內(nèi)部控制基本規(guī)范，制定內(nèi)部控制建設(shè)規(guī)劃和內(nèi)部控制制度，由董事會(huì)、各級(jí)管理層、監(jiān)事會(huì)和全體員工實(shí)施，決策、執(zhí)行、監(jiān)督相互制衡。分別由業(yè)務(wù)部門(mén)-第一道內(nèi)部控制防線(xiàn)風(fēng)險(xiǎn)管理部門(mén)-第二道內(nèi)部控制防線(xiàn)內(nèi)部監(jiān)督部門(mén)-第三道內(nèi)部控制防線(xiàn)2004年7月起建設(shè)全面風(fēng)險(xiǎn)管理體系2006年改革內(nèi)部組織架構(gòu)內(nèi)部審計(jì)部門(mén)直接向董事會(huì)負(fù)責(zé)并報(bào)告工作，并垂直下設(shè)十個(gè)內(nèi)部審計(jì)分部，負(fù)責(zé)涵蓋內(nèi)部控制的獨(dú)立審計(jì)；內(nèi)控合規(guī)部門(mén)，在總行和各級(jí)

2、分行設(shè)立的對(duì)高級(jí)管理層和管理層負(fù)責(zé)的負(fù)責(zé)牽頭內(nèi)部控制建設(shè)、操作風(fēng)險(xiǎn)管理和合規(guī)風(fēng)險(xiǎn)管理。三、 內(nèi)部控制審計(jì)概況1、上市當(dāng)年，上交所上市公司內(nèi)部控制指引發(fā)布實(shí)施，該行內(nèi)部審計(jì)部門(mén)開(kāi)始嘗試內(nèi)部控制專(zhuān)項(xiàng)審計(jì)。2、2007年起具體組織實(shí)施年度內(nèi)部控制評(píng)價(jià)，經(jīng)過(guò)三年的探索、借鑒、創(chuàng)新，逐步形成較為完善的內(nèi)部控制審計(jì)體系。3、內(nèi)部控制專(zhuān)項(xiàng)審計(jì)和年度審計(jì)項(xiàng)目納入年度審計(jì)計(jì)劃，經(jīng)董事會(huì)審計(jì)委員會(huì)審議、董事會(huì)審議批準(zhǔn)后實(shí)施。三年來(lái)，該行內(nèi)部審計(jì)部門(mén)采取非現(xiàn)場(chǎng)監(jiān)測(cè)和現(xiàn)場(chǎng)測(cè)試相結(jié)合、審計(jì)檢查和審計(jì)調(diào)研相結(jié)合的方式，共實(shí)施了140多項(xiàng)審計(jì)活動(dòng)，基本覆蓋了該行公司治理、風(fēng)險(xiǎn)管理、內(nèi)部控制全過(guò)程。四、 內(nèi)部控制年度審計(jì)1、

3、 公司層面2、 流程層面3、 信息技術(shù)控制層面4、 并表管理審計(jì)-母銀行及附屬公司的內(nèi)部控制 公司層面控制的審計(jì)內(nèi)容主要關(guān)注公司治理、人力資源、企業(yè)文化、社會(huì)責(zé)任等管理層面的控制領(lǐng)域，圍繞內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、內(nèi)部監(jiān)督等五大控制要素展開(kāi)，分為17個(gè)領(lǐng)域和82個(gè)子領(lǐng)域（如表所示）。每個(gè)領(lǐng)域下再細(xì)分為若干個(gè)關(guān)鍵風(fēng)險(xiǎn)點(diǎn)和控制點(diǎn)。 公司層面控制審計(jì)序號(hào)索引號(hào)控制要素控制領(lǐng)域子領(lǐng)域1A內(nèi)部環(huán)境A.公司治理A1.治理結(jié)構(gòu)A2.職責(zé)分工、職責(zé)邊界及制衡機(jī)制A3.決策機(jī)制和議事規(guī)則A4.監(jiān)督與問(wèn)責(zé)機(jī)制2BB.管理層基調(diào)與態(tài)度B1.管理層對(duì)內(nèi)部控制的態(tài)度B2.管理層對(duì)風(fēng)險(xiǎn)的接受態(tài)度B3.管理

4、層對(duì)企業(yè)文化建設(shè)的態(tài)度 B4.管理層對(duì)履行社會(huì)責(zé)任的態(tài)度3CC.內(nèi)部審計(jì)C1.內(nèi)部審計(jì)部門(mén)的組織結(jié)構(gòu)與獨(dú)立性C2.內(nèi)部審計(jì)工作規(guī)則C3.內(nèi)部審計(jì)活動(dòng)C4.內(nèi)部審計(jì)計(jì)劃C5.就審計(jì)發(fā)現(xiàn)的溝通C6.內(nèi)部審計(jì)人員的勝任能力C7.內(nèi)部審計(jì)部門(mén)的評(píng)估4DD.人力資源D1.組織架構(gòu)及崗位職責(zé)D2.人力資源計(jì)劃與招聘D3.培訓(xùn)與離職D4.薪酬與考核激勵(lì)5EE.員工行為守則E1.員工行為守則的內(nèi)容要求E2.員工行為守則的擬定、修改及審批E3.員工行為守則的獲得渠道E4.員工行為守則的溝通與培訓(xùn)E5.員工對(duì)行為守則的定期聲明6FF.內(nèi)部控制實(shí)施的激勵(lì)約束機(jī)制F1.內(nèi)部控制實(shí)施的激勵(lì)約束機(jī)制的建立7GG.法律遵從

5、G1.董事會(huì)的責(zé)任G2.法律部門(mén)的設(shè)立及其職責(zé)G3.監(jiān)督機(jī)制G4.宣傳教育8H風(fēng)險(xiǎn)評(píng)估H.風(fēng)險(xiǎn)評(píng)估與管理H1.風(fēng)險(xiǎn)管理架構(gòu)體系H2.風(fēng)險(xiǎn)識(shí)別 H3.風(fēng)險(xiǎn)評(píng)估H4.風(fēng)險(xiǎn)控制與監(jiān)督9I控制活動(dòng)I.公司政策與流程I1.政策與流程的制定I2.政策與流程的修改及審批I3.政策與流程的溝通與傳遞I4.政策與流程執(zhí)行情況的監(jiān)督10JJ.投資策略與管理J1.投資管理委員會(huì)的設(shè)立J2.投資管理委員會(huì)章程J3.投資項(xiàng)目專(zhuān)責(zé)團(tuán)隊(duì)J4.投資風(fēng)險(xiǎn)管理政策和程序J5.股權(quán)投資    11KK.關(guān)聯(lián)方交易K1.政策制度的建立K2.機(jī)構(gòu)設(shè)置與權(quán)責(zé)分配K3.控制和監(jiān)督12LL.財(cái)務(wù)報(bào)告與信息披露L

6、1.會(huì)計(jì)政策和財(cái)務(wù)報(bào)告制度L2.崗位分工與職責(zé)、權(quán)限安排L3.財(cái)務(wù)人員的技能和專(zhuān)業(yè)知識(shí)L4.非常規(guī)、復(fù)雜或特殊交易的賬務(wù)處理的控制L5.財(cái)務(wù)報(bào)告和信息披露L6.監(jiān)督和控制13MN.控制活動(dòng)N1.不相容職務(wù)分離控制N2.授權(quán)審批控制N3.會(huì)計(jì)系統(tǒng)控制N4.財(cái)產(chǎn)保護(hù)控制N5.預(yù)算控制N6.運(yùn)營(yíng)分析控制N7.績(jī)效考評(píng)控制N8.重大風(fēng)險(xiǎn)預(yù)警機(jī)制N9.反洗錢(qián)控制14NO.并表管理O1.職能分工 02.并表管理制度體系O3.資本充足率管理 O4.大額風(fēng)險(xiǎn)暴露管理O5.內(nèi)部交易管理O6.其它風(fēng)險(xiǎn)管理O7.并表管理信息系統(tǒng)15O信息與溝通P.信息與溝通P1.信息的收集、處理與傳遞P2.溝通、交流與反饋16PQ

7、.反舞弊Q1.反舞弊工作機(jī)制的建立Q2.舉報(bào)投訴制度和舉報(bào)人保護(hù)制度的建立Q3.舞弊舉報(bào)的接收、調(diào)查、處理Q4.就舞弊與管理層的溝通報(bào)告Q5.反舞弊、投訴舉報(bào)制度的制定、修改Q6.董事會(huì)對(duì)反舞弊工作的監(jiān)督與管理17Q內(nèi)部監(jiān)督R.監(jiān)督與糾正R1.監(jiān)督與糾正的體系架構(gòu)和職責(zé)權(quán)限R2.監(jiān)督和糾正的制度建設(shè)情況R3.監(jiān)督執(zhí)行情況R4.糾正執(zhí)行情況R5.內(nèi)部控制評(píng)價(jià)執(zhí)行情況R6.內(nèi)部控制自我評(píng)估R7.內(nèi)部控制信息的披露流程層面控制的審計(jì)內(nèi)容包括銀行類(lèi)和非銀行類(lèi)業(yè)務(wù)的28個(gè)流程和144個(gè)子流程流程層面控制審計(jì)內(nèi)容業(yè)務(wù)類(lèi)別業(yè)務(wù)線(xiàn)流程子流程銀行類(lèi)一.公司業(yè)務(wù)01.信貸01.01貸款01.02貸款風(fēng)險(xiǎn)撥備01.

8、03抵債資產(chǎn)01.04核銷(xiāo)貸款02.存款02.01存款03.票據(jù)融資03.01貼現(xiàn)03.02協(xié)議付息貼現(xiàn)03.03贖回式貼現(xiàn)03.04委托代理貼現(xiàn)03.05銀行匯票轉(zhuǎn)貼現(xiàn)買(mǎi)入03.06異地持票轉(zhuǎn)貼現(xiàn)買(mǎi)入03.07銀行匯票轉(zhuǎn)貼現(xiàn)賣(mài)出03.08部分放棄追索權(quán)貼現(xiàn)03.09買(mǎi)入返售03.10賣(mài)出回購(gòu)03.11系統(tǒng)內(nèi)票據(jù)存管買(mǎi)入03.12集中賬務(wù)處理03.13銀行承兌匯票04.貿(mào)易融資與國(guó)際結(jié)算04.01進(jìn)口信用證04.02出口信用證04.03進(jìn)口代收04.04出口托收04.05國(guó)際擔(dān)保04.06進(jìn)口信用證與進(jìn)口代收押匯04.07進(jìn)口TT融資04.08提貨擔(dān)保/提單背書(shū)04.09進(jìn)口信用證代付04.1

9、0進(jìn)口代收項(xiàng)下代付04.11進(jìn)口TT項(xiàng)下代付04.12出口信用證項(xiàng)下打包貸款04.13出口信用證項(xiàng)下押匯與貼現(xiàn)04.14出口托收項(xiàng)下押匯與貼現(xiàn)04.15出口發(fā)票融資04.16信用證保兌04.17進(jìn)口保理04.18出口雙保理04.19非買(mǎi)斷型出口單保理04.20福費(fèi)廷04.21國(guó)內(nèi)單保理04.22國(guó)內(nèi)雙保理04.23國(guó)內(nèi)發(fā)票融資04.24國(guó)內(nèi)信用證項(xiàng)下打包貸款04.25國(guó)內(nèi)信用證下賣(mài)方發(fā)票融資04.26國(guó)內(nèi)信用證下買(mǎi)方發(fā)票融資04.27國(guó)內(nèi)商品融資二.投行業(yè)務(wù)05.投資銀行05.01常年顧問(wèn)及其他05.02投融資顧問(wèn)05.03資信證明05.04銀團(tuán)貸款三.零售業(yè)務(wù)06.個(gè)人存款06.01個(gè)人存款

10、07.個(gè)人貸款07.01個(gè)人住房貸款07.02個(gè)人消費(fèi)貸款07.03個(gè)人經(jīng)營(yíng)貸款08.信用卡08.01信用卡09.私人銀行09.01私人銀行四.資產(chǎn)管理10.資產(chǎn)托管10.01資產(chǎn)托管11.企業(yè)年金11.01企業(yè)年金12.貴金屬12.01個(gè)人賬戶(hù)黃金買(mǎi)賣(mài)12.02代理實(shí)物黃金交易12.03代理黃金清算13.理財(cái)13.01固定收益理財(cái)業(yè)務(wù)13.02國(guó)際市場(chǎng)理財(cái)業(yè)務(wù)13.03資本市場(chǎng)理財(cái)業(yè)務(wù)13.04區(qū)域理財(cái)五.交易與銷(xiāo)售（資金）14.債券投資與交易14.01人民幣債券14.02外幣債券15.外匯資金交易15.01人民幣外匯資金交易15.02外匯資金交易16.貨幣市場(chǎng)業(yè)務(wù)16.01本幣同業(yè)拆借16

11、.02公開(kāi)市場(chǎng)業(yè)務(wù)16.03外幣同業(yè)拆借17.衍生產(chǎn)品交易17.01代客衍生產(chǎn)品交易17.02自營(yíng)衍生產(chǎn)品交易18.承銷(xiāo)發(fā)行18.01承銷(xiāo)發(fā)行18.02信貸資產(chǎn)證券化六.支付與結(jié)算19.運(yùn)行管理19.01會(huì)計(jì)要素管理19.02參數(shù)管理19.03權(quán)限卡管理19.04子系統(tǒng)的系統(tǒng)及轄內(nèi)往來(lái)清算與對(duì)賬19.05外匯匯款19.06大額跨行清算19.07大額取現(xiàn)管理19.08現(xiàn)金管理19.09金庫(kù)管理19.10自助銀行及自助機(jī)具管理19.11后臺(tái)監(jiān)督19.12本外幣結(jié)算19.13客戶(hù)賬戶(hù)服務(wù)19.14保管箱19.15支票19.16結(jié)算與現(xiàn)金管理19.17上門(mén)收款服務(wù)19.18向人行領(lǐng)繳現(xiàn)金19.19假幣

12、、代保管及其他七.中間業(yè)務(wù)20.電子銀行20.01網(wǎng)上銀行20.02電話(huà)銀行20.03手機(jī)銀行21.代理21.01代理收付21.02代理同業(yè)結(jié)算21.03代理地方財(cái)政收付21.04代理保險(xiǎn)（對(duì)公）21.05代理基金（對(duì)公）21.06代理非稅收21.07代理保險(xiǎn)（個(gè)人）21.08代理個(gè)人收付21.09代理國(guó)債21.10代理基金（個(gè)人）21.11銀期21.12銀關(guān)通21.13銀財(cái)通21.14銀稅通21.15第三方存管（對(duì)公）21.16第三方存管（個(gè)人）21.17個(gè)人信息服務(wù)八.其他22.財(cái)務(wù)會(huì)計(jì)管理22.01財(cái)務(wù)報(bào)表編制22.02固定資產(chǎn)管理22.03稅收22.04其他資產(chǎn)減值準(zhǔn)備22.05財(cái)務(wù)集

13、中管理及費(fèi)用報(bào)銷(xiāo)22.06集中采購(gòu)22.07財(cái)務(wù)審查委員會(huì)22.08成本與預(yù)算管理：成本管理22.09預(yù)算管理23.資產(chǎn)負(fù)債管理23.01國(guó)債23.02人民幣資金集中管理23.03存放同業(yè)23.04拆放同業(yè)23.05經(jīng)濟(jì)資本管理23.06外匯資金營(yíng)運(yùn)23.07準(zhǔn)備金調(diào)繳23.08人民幣資金營(yíng)運(yùn)23.09外匯資金的管理24.產(chǎn)品創(chuàng)新24.01產(chǎn)品創(chuàng)新管理25.其他管理25.01績(jī)效考核25.02員工薪酬25.03檔案管理25.04安全保衛(wèi)非銀行類(lèi)26.租賃26.01租賃及售后回租26.02轉(zhuǎn)讓?xiě)?yīng)收租賃款27.基金27.01產(chǎn)品管理27.02銷(xiāo)售管理27.03投資管理27.04核算管理28.投資咨

14、詢(xún)28.01投資咨詢(xún)信息技術(shù)層面控制的審計(jì)內(nèi)容分為信息技術(shù)公司層面、一般控制、應(yīng)用控制三個(gè)方面，包括14個(gè)領(lǐng)域和61個(gè)子領(lǐng)域序號(hào)類(lèi)別領(lǐng)域子領(lǐng)域1公司層面CE 控制環(huán)境CE1.0 信息科技組織和關(guān)系CE2.0 人力資源管理CE3.0 對(duì)用戶(hù)教育和培訓(xùn)2RA 風(fēng)險(xiǎn)評(píng)估RA1.0 風(fēng)險(xiǎn)評(píng)估3CA 控制活動(dòng)CA1.0 直接的職能或活動(dòng)管理CA2.0 信息處理CA3.0 物理控制CA4.0 職責(zé)分離4IC 信息與溝通IC1.0 信息構(gòu)架IC2.0 管理層目標(biāo)和方向的傳達(dá)5IM 監(jiān)控IM1.0 性能及容量管理IM2.0 監(jiān)督IM3.0 內(nèi)部控制的足夠程度6一般控制PD 程序開(kāi)發(fā)PD1.0 開(kāi)發(fā)管理PD2.

15、0 項(xiàng)目需求與立項(xiàng)PD3.0 項(xiàng)目定義與計(jì)劃PD4.0 項(xiàng)目執(zhí)行與監(jiān)控PD5.0 項(xiàng)目關(guān)閉7TM 測(cè)試管理TM1.0 測(cè)試環(huán)境TM2.0 測(cè)試前移TM3.0 版本交付與測(cè)試申請(qǐng)TM4.0 測(cè)試啟動(dòng)與準(zhǔn)備TM5.0 測(cè)試執(zhí)行TM6.0 測(cè)試問(wèn)題管理TM7.0 測(cè)試變更管理TM8.0 測(cè)試總結(jié)與投產(chǎn)TM9.0 評(píng)價(jià)及報(bào)告8PM 運(yùn)行維護(hù)PM1.0 物理環(huán)境安全PM2.0 生產(chǎn)運(yùn)行管理PM3.0 性能與容量管理PM4.0 備份管理PM5.0 服務(wù)水平協(xié)議9ITC IT系統(tǒng)連續(xù)性ITC1.0 IT系統(tǒng)連續(xù)性風(fēng)險(xiǎn)分析ITC2.0 IT系統(tǒng)連續(xù)性計(jì)劃的建立ITC3.0 IT系統(tǒng)連續(xù)性計(jì)劃的測(cè)試和演練10I

16、S 信息安全I(xiàn)S1.0 信息安全組織和信息安全管理制度IS2.0 操作系統(tǒng)訪(fǎng)問(wèn)控制管理IS3.0 業(yè)務(wù)數(shù)據(jù)的訪(fǎng)問(wèn)控制管理IS4.0 應(yīng)用系統(tǒng)訪(fǎng)問(wèn)控制管理IS5.0 網(wǎng)絡(luò)安全管理IS6.0 物理安全管理11應(yīng)用控制AIX. AIX操作系統(tǒng)AIX1.0 用戶(hù)管理AIX2.0 UNIX服務(wù)器安全AIX3.0 UNIX系統(tǒng)網(wǎng)絡(luò)通訊AIX4.0 UNIX系統(tǒng)資源環(huán)境AIX5.0 UNIX文件系統(tǒng)及目錄保護(hù)AIX6.0 UNIX日志及監(jiān)控審計(jì)12ORA Oracle數(shù)據(jù)庫(kù)ORA1.0 Oracle用戶(hù)管理ORA2.0 系統(tǒng)網(wǎng)絡(luò)通訊ORA3.0 Oracle文件系統(tǒng)及目錄保護(hù)ORA4.0 Oracle日志及

17、監(jiān)控審計(jì)13CIS CISCO路由器、交換機(jī)CIS1.0 路由器、交換機(jī)遠(yuǎn)程訪(fǎng)問(wèn)安全要求CIS2.0 路由器、交換機(jī)設(shè)備的認(rèn)證、授權(quán)安全要求CIS3.0 路由器、交換機(jī)設(shè)備密碼加密設(shè)置和網(wǎng)絡(luò)服務(wù)安全要求CIS4.0 路由器、交換機(jī)路由協(xié)議和SNMP安全配置要求CIS5.0 路由器、交換機(jī)、刀片機(jī)日志審計(jì)安全配置和特有要求14FIW 防火墻FIW1.0 防火墻設(shè)備遠(yuǎn)程訪(fǎng)問(wèn)安全配置要求FIW2.0 防火墻設(shè)備的認(rèn)證、授權(quán)安全配置要求FIW3.0 防火墻策略管理安全配置要求FIW4.0 防火墻日志服務(wù)安全配置和特有要求FIW5.0 防火墻SNMP安全配置要求五、內(nèi)部控制審計(jì)標(biāo)準(zhǔn)1、內(nèi)部控制審計(jì)實(shí)務(wù)標(biāo)

18、準(zhǔn)。是該行內(nèi)部控制體系各經(jīng)營(yíng)管理層級(jí)和各業(yè)務(wù)環(huán)節(jié)正常運(yùn)行應(yīng)當(dāng)遵循的控制標(biāo)準(zhǔn)或要求，主要依據(jù)國(guó)內(nèi)外監(jiān)管法規(guī)、行業(yè)最佳控制實(shí)踐以及本行實(shí)際情況設(shè)定，涵蓋經(jīng)營(yíng)管理、業(yè)務(wù)操作、產(chǎn)品和信息系統(tǒng)等各個(gè)領(lǐng)域，細(xì)化到每個(gè)領(lǐng)域中的關(guān)鍵控制點(diǎn)。2、內(nèi)部控制審計(jì)認(rèn)定標(biāo)準(zhǔn)。包括對(duì)風(fēng)險(xiǎn)點(diǎn)的量級(jí)標(biāo)準(zhǔn)和對(duì)控制點(diǎn)的量級(jí)標(biāo)準(zhǔn)及在此基礎(chǔ)上對(duì)內(nèi)部控制缺陷的認(rèn)定標(biāo)準(zhǔn)、內(nèi)部控制有效性認(rèn)定標(biāo)準(zhǔn)。該行將內(nèi)部控制缺陷分為設(shè)計(jì)缺陷和運(yùn)行缺陷，符合企業(yè)內(nèi)部控制規(guī)范及其配套指引的規(guī)定，缺陷按影響控制目標(biāo)的嚴(yán)重程度分為重大、重要和一般三個(gè)等級(jí)。 內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)缺陷等級(jí)定義認(rèn)定標(biāo)準(zhǔn)定量標(biāo)準(zhǔn)定性標(biāo)準(zhǔn)重大指一個(gè)或多個(gè)控制缺陷的組合，可能導(dǎo)致企業(yè)嚴(yán)重

19、偏離控制目標(biāo)。財(cái)務(wù)報(bào)表的錯(cuò)報(bào)金額落在如下區(qū)間：1、錯(cuò)報(bào)利潤(rùn)總額的5%；2、錯(cuò)報(bào)資產(chǎn)總額的3%；3、錯(cuò)報(bào)經(jīng)營(yíng)收入總額的1%；4、錯(cuò)報(bào)所有者權(quán)益總額的1%。1、缺乏民主決策程序；2、決策程序?qū)е轮卮笫д`；3、違犯國(guó)家法律法規(guī)并受到處罰；4、中高級(jí)管理人員和高級(jí)技術(shù)人員流失嚴(yán)重；5、媒體頻現(xiàn)負(fù)面新聞，波及面廣；6、重要業(yè)務(wù)缺乏制度控制或制度系統(tǒng)失效；7、內(nèi)部控制重大或重要缺陷未得到整改重要指一個(gè)或多個(gè)控制缺陷的組合，其嚴(yán)重程度和經(jīng)濟(jì)后果低于重大缺陷，但仍有可能導(dǎo)致企業(yè)偏離控制目標(biāo)。財(cái)務(wù)報(bào)表的錯(cuò)報(bào)金額落在如下區(qū)間：1、利潤(rùn)總額的3%錯(cuò)報(bào)利潤(rùn)總額的5%；2、資產(chǎn)總額的0.5%錯(cuò)報(bào)資產(chǎn)總額的3%；3、經(jīng)營(yíng)

20、收入總額的0.5%錯(cuò)報(bào)經(jīng)營(yíng)收入總額的1%；4、所有者權(quán)益總額的0.5%錯(cuò)報(bào)所有者權(quán)益總額的1%。1、民主決策程序存在但不夠完善；2、決策程序?qū)е鲁霈F(xiàn)一般失誤；3、違反企業(yè)內(nèi)部規(guī)章，形成損失；4、關(guān)鍵崗位業(yè)務(wù)人員流失嚴(yán)重；5、媒體出現(xiàn)負(fù)面新聞，波及局部區(qū)域；6、重要業(yè)務(wù)制度或系統(tǒng)存在缺陷；7、內(nèi)部控制重要或一般缺陷未得到整改一般除重大缺陷、重要缺陷之外的其他控制缺陷。財(cái)務(wù)報(bào)表的錯(cuò)報(bào)金額落在如下區(qū)間：1、錯(cuò)報(bào)利潤(rùn)總額的3%；2、錯(cuò)報(bào)資產(chǎn)總額的0.5%；3、錯(cuò)報(bào)經(jīng)營(yíng)收入總額的0.5%；4、錯(cuò)報(bào)所有者權(quán)益總額的0.5%。1、決策程序效率不高；2、違反企業(yè)內(nèi)部規(guī)章，但未形成損失；3、一般崗位業(yè)務(wù)人員流失

21、嚴(yán)重；4、媒體出現(xiàn)負(fù)面新聞，但影響不大；5、一般業(yè)務(wù)制度或系統(tǒng)存在缺陷；6、一般缺陷未得到整改。7、存在的其他缺陷有效性審計(jì)結(jié)論分為有效、基本有效、關(guān)注、特別關(guān)注、無(wú)效五級(jí)。其定義及認(rèn)定標(biāo)準(zhǔn)如表所示內(nèi)部控制有效性認(rèn)定標(biāo)準(zhǔn)等級(jí)數(shù)控制有效性等級(jí)定義認(rèn)定標(biāo)準(zhǔn)1有效被評(píng)價(jià)對(duì)象的內(nèi)部控制系統(tǒng)運(yùn)行有效被評(píng)價(jià)對(duì)象沒(méi)有重大缺陷和重要缺陷；內(nèi)部控制設(shè)計(jì)適當(dāng)且得到貫徹執(zhí)行，不存在控制過(guò)度和控制不足的情況2基本有效被評(píng)價(jià)對(duì)象的內(nèi)部控制系統(tǒng)運(yùn)行基本有效被評(píng)價(jià)對(duì)象沒(méi)有重大缺陷和重要缺陷；內(nèi)部控制設(shè)計(jì)適當(dāng)?shù)珎€(gè)別執(zhí)行效果不佳，存在控制過(guò)度可能，不存在控制不足的情況3關(guān)注被評(píng)價(jià)對(duì)象的內(nèi)部控制系統(tǒng)運(yùn)行結(jié)果可以接受，不會(huì)對(duì)我行戰(zhàn)

22、略目標(biāo)的實(shí)現(xiàn)產(chǎn)生實(shí)質(zhì)性影響。被評(píng)價(jià)對(duì)象沒(méi)有重大缺陷和重要缺陷；存在少量?jī)?nèi)部控制設(shè)計(jì)缺陷，存在控制過(guò)度和控制不足的情況。4特別關(guān)注被評(píng)價(jià)對(duì)象的內(nèi)部控制系統(tǒng)運(yùn)行水平需要改進(jìn)和予以關(guān)注被評(píng)價(jià)對(duì)象存在重要缺陷；內(nèi)部控制存在較多設(shè)計(jì)缺陷且涉及范圍較廣，控制不足情況較為嚴(yán)重；違反行內(nèi)規(guī)章制度并受到總行處罰5無(wú)效被評(píng)價(jià)對(duì)象的內(nèi)部控制系統(tǒng)運(yùn)行無(wú)效被評(píng)價(jià)對(duì)象存在重大缺陷；存在無(wú)控制或控制失效的情況；違反監(jiān)管機(jī)構(gòu)規(guī)定并受到處罰。內(nèi)部控制缺陷和有效性之間存在的對(duì)應(yīng)關(guān)系如表所示：有效性標(biāo)準(zhǔn)與缺陷標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系表缺陷標(biāo)準(zhǔn)有效性標(biāo)準(zhǔn)對(duì)應(yīng)說(shuō)明重大無(wú)效當(dāng)存在一個(gè)或多個(gè)內(nèi)部控制重大缺陷時(shí)，應(yīng)當(dāng)作出內(nèi)部控制無(wú)效的結(jié)論重要特別關(guān)注

23、重要缺陷應(yīng)當(dāng)引起董事會(huì)、經(jīng)理層關(guān)注，或特別關(guān)注關(guān)注一般基本有效當(dāng)存在一般缺陷時(shí)，且缺陷數(shù)量超過(guò)管理層可容忍范圍時(shí)，可以作出內(nèi)部控制基本有效的結(jié)論有效當(dāng)存在一般缺陷，且缺陷數(shù)量在管理層可容忍范圍內(nèi)時(shí)，可以作出內(nèi)部控制有效的結(jié)論風(fēng)險(xiǎn)等級(jí)劃分為低、較低、中等、較高、高五級(jí)(如表所示)： 風(fēng)險(xiǎn)點(diǎn)分級(jí)標(biāo)準(zhǔn)風(fēng)險(xiǎn)點(diǎn)分級(jí)認(rèn)定標(biāo)準(zhǔn)A+（高） 影響力高，可能性較大的事件；或影響力高，幾乎肯定發(fā)生的事件。A（較高） 影響力高，有可能或可能性很小發(fā)生的事件；影響力較高，有可能或可能性較大的事件；影響力中等，可能性較大或幾乎肯定發(fā)生的事件。A-（中等） 影響力高，不太可能發(fā)生的事件；或影響力較高，發(fā)生的可能性很小的事件

24、；影響力中等，有可能發(fā)生的事件；影響力較低，發(fā)生的可能性較大的事件；影響力較低但幾乎肯定發(fā)生的事件。B+（較低） 影響力較高，不太可能發(fā)生的事件；影響力中等或較低，有可能性發(fā)生的事件；影響力很低，發(fā)生的可能性較大的事件。B（低） 影響力低或較低，不太可能或發(fā)生的可能性很小的事件?？刂频燃?jí)劃分為一般控制二級(jí)、一般控制一級(jí)、重要控制二級(jí)、重要控制一級(jí)、關(guān)鍵控制五級(jí)（如表所示）。 控制點(diǎn)分級(jí)標(biāo)準(zhǔn)控制點(diǎn)分級(jí)認(rèn)定標(biāo)準(zhǔn)Aa+（關(guān)鍵）對(duì)可能引起重大的業(yè)務(wù)失誤、為公司帶來(lái)重大的財(cái)務(wù)損失，并可能導(dǎo)致財(cái)務(wù)報(bào)告中的重大的實(shí)質(zhì)性錯(cuò)報(bào)等重大缺陷進(jìn)行有效控制Aa（重要一級(jí)）對(duì)可能引起較大的業(yè)務(wù)失誤、為公司帶來(lái)較大的財(cái)務(wù)損

25、失等重大缺陷進(jìn)行有效控制Aa-（重要二級(jí)）對(duì)日常運(yùn)營(yíng)造成一定程度的影響、為公司帶來(lái)一定程度的財(cái)務(wù)損失等重要缺陷進(jìn)行有效控制Bb+（一般一級(jí)）對(duì)日常運(yùn)營(yíng)帶來(lái)輕微損害、可能導(dǎo)致輕微的財(cái)務(wù)損失的一般缺陷進(jìn)行有效控制Bb（一般二級(jí)）對(duì)日常運(yùn)營(yíng)帶來(lái)非常輕微的損害、可能導(dǎo)致非常輕微的財(cái)務(wù)損失的一般缺陷進(jìn)行有效控制六、內(nèi)部控制審計(jì)步驟（一）梳理風(fēng)險(xiǎn)點(diǎn)和控制點(diǎn)以公司層面為例，該行在梳理風(fēng)險(xiǎn)點(diǎn)和控制點(diǎn)的過(guò)程采用了以下步驟：一是查閱和分析公司治理文件。二是查閱和分析公司管理制度。三是查閱和分析反映公司治理過(guò)程和管理制度執(zhí)行情況的記錄文件或報(bào)告等。四是問(wèn)卷調(diào)查和審計(jì)訪(fǎng)談。（二）構(gòu)建價(jià)值鏈風(fēng)險(xiǎn)控制矩陣該行采用風(fēng)險(xiǎn)控制

26、矩陣的構(gòu)建方法，按價(jià)值形成過(guò)程，排列不同控制領(lǐng)域、部門(mén)、流程、業(yè)務(wù)單元、產(chǎn)品/服務(wù)等在前中后臺(tái)的位置，以此明確各部門(mén)的職責(zé)關(guān)系。以?xún)r(jià)值鏈矩陣為聯(lián)系紐帶，將銀行的具體業(yè)務(wù)環(huán)節(jié)、控制活動(dòng)和風(fēng)險(xiǎn)聯(lián)系起來(lái)，形成各項(xiàng)業(yè)務(wù)和管理活動(dòng)的視圖。以該行公司層面控制內(nèi)部環(huán)境審計(jì)為例：該行根據(jù)企業(yè)內(nèi)部控制基本規(guī)范，以公司治理等一級(jí)控制領(lǐng)域和二級(jí)控制領(lǐng)域?yàn)榱?，以風(fēng)險(xiǎn)點(diǎn)描述、控制點(diǎn)描述、審計(jì)標(biāo)準(zhǔn)、審計(jì)依據(jù)、測(cè)試步驟（審計(jì)流程）、測(cè)試結(jié)果等為行，構(gòu)建內(nèi)部環(huán)境的風(fēng)險(xiǎn)控制矩陣（如下表所示）開(kāi)展內(nèi)部環(huán)境審計(jì)內(nèi)部環(huán)境風(fēng)險(xiǎn)控制矩控制領(lǐng)域風(fēng)險(xiǎn)點(diǎn)描述風(fēng)險(xiǎn)等級(jí)控制點(diǎn)描述控制級(jí)別審計(jì)標(biāo)準(zhǔn)主要依據(jù)測(cè)試步驟測(cè)試結(jié)果審計(jì)結(jié)論審計(jì)師審核1.公司治

27、理治理結(jié)構(gòu)形同虛設(shè) 審計(jì)小組根據(jù)公司章程、履職情況，會(huì)議紀(jì)要等實(shí)際情況進(jìn)行了描述依法制定對(duì)公司股東、董事、監(jiān)事和高級(jí)管理人員具有約束力的公司章程；設(shè)立股東大會(huì)、董事會(huì)、監(jiān)事會(huì)和高級(jí)管理層并履行職責(zé)，其成員應(yīng)具備相應(yīng)的任職專(zhuān)業(yè)知識(shí)和業(yè)務(wù)工作經(jīng)驗(yàn)公司法上市公司治理準(zhǔn)則企業(yè)內(nèi)部控制基本規(guī)范；公司章程查閱公司章程，公司治理制度，確認(rèn)公司治理結(jié)構(gòu)的健全性；商請(qǐng)董事會(huì)辦公室提供董事會(huì)及其專(zhuān)門(mén)委員會(huì)提供匯總的履職記錄，商請(qǐng)監(jiān)事會(huì)辦公室提供監(jiān)事會(huì)匯總的監(jiān)督記錄，進(jìn)行控制測(cè)試未發(fā)現(xiàn)缺陷公司治理有效“三會(huì)一層”未確定職責(zé)分工，未建立職責(zé)邊界及制衡機(jī)制審計(jì)小組根據(jù)股東大會(huì)、公司董事會(huì)、高級(jí)管理層的逐級(jí)授權(quán)及執(zhí)行情況

28、等實(shí)際情況進(jìn)行了描述公司決策、執(zhí)行、監(jiān)督分離，形成制衡機(jī)制；股東大會(huì)是公司的權(quán)力機(jī)構(gòu)，董事會(huì)對(duì)股東（大）會(huì)負(fù)責(zé)，依法行使企業(yè)的經(jīng)營(yíng)決策權(quán)；監(jiān)事會(huì)對(duì)股東大會(huì)負(fù)責(zé)，對(duì)董事、高級(jí)管理人員進(jìn)行監(jiān)督；高級(jí)管理層對(duì)董事會(huì)負(fù)責(zé)，依法實(shí)施經(jīng)營(yíng)管理權(quán) 企業(yè)內(nèi)部控制基本規(guī)范；股東大會(huì)、董事會(huì)、監(jiān)事會(huì)授權(quán)管理辦法查閱“三會(huì)一層”即股東大會(huì)、董事會(huì)、高級(jí)管理層授權(quán)管理辦法，確認(rèn)制度建設(shè)的健全性；根據(jù)授權(quán)執(zhí)行情況進(jìn)行控制測(cè)試，確認(rèn)制度的執(zhí)行情況未發(fā)現(xiàn)缺陷“三會(huì)一層”控制有效缺乏決策機(jī)制和議事規(guī)則審計(jì)小組根據(jù)董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層議事規(guī)則，部門(mén)職責(zé)與權(quán)限、分公司職責(zé)與權(quán)限及其報(bào)告路徑等文件，按實(shí)際控制設(shè)計(jì)和運(yùn)行狀況描

29、述根據(jù)國(guó)家有關(guān)法律法規(guī)和企業(yè)章程制定詳細(xì)的股東大會(huì)、董事會(huì)、監(jiān)事會(huì)的議事、決策規(guī)則，以及高級(jí)管理層的工作細(xì)則和規(guī)程；重大決策實(shí)行集體審批制企業(yè)內(nèi)部控制基本規(guī)范；公司董事會(huì)對(duì)高級(jí)管理層授權(quán)、高級(jí)管理層工作規(guī)則、部門(mén)職責(zé)與權(quán)限、分公司職責(zé)與權(quán)限及其報(bào)告路徑等文件調(diào)閱公司章程，股東大會(huì)、董事會(huì)、監(jiān)事會(huì)議事規(guī)則，授權(quán)管理辦法，內(nèi)部控制管理辦法，風(fēng)險(xiǎn)管理辦法等，檢查制度建設(shè)的健全性；調(diào)閱會(huì)議紀(jì)要、管理報(bào)告等，確認(rèn)相關(guān)制度的執(zhí)行效果未發(fā)現(xiàn)缺陷控制機(jī)制健全有效（三）現(xiàn)場(chǎng)測(cè)試及缺陷匯總審計(jì)人員采用觀(guān)察、核對(duì)、重新執(zhí)行等審計(jì)方法在公司、流程和信息系統(tǒng)三個(gè)層面同步開(kāi)展穿行測(cè)試、控制測(cè)試，對(duì)控制的有效性進(jìn)行評(píng)價(jià)、對(duì)缺陷進(jìn)行匯總。以該行流程層面業(yè)務(wù)為例，其穿行測(cè)試、控制測(cè)試步驟如表40-41所示。如穿行測(cè)試結(jié)果為無(wú)效，則表明該流程設(shè)計(jì)無(wú)效，無(wú)需再對(duì)其進(jìn)行控制測(cè)試，可直接認(rèn)定缺陷；如穿行測(cè)試有效，則需對(duì)該流程進(jìn)行