首頁
排行
完本
足跡

正文 第一章商業銀行內部控製概述(3 / 3)

商業銀行內部控製評價 蔣建華

(15)在製定電子銀行業務的準入標準、管理辦法和操作規程中,如何考慮風險因素及相應措施?

(16)如何控製網上銀行交易的風險,確保交易安全?

(17)係統安全運行中的不安全因素是否全麵分析和控製?對分中心運行如何監視?

(18)對計算機係統數據的管理。是否建立接入授權程序並對接入後的操作進行安全控製?是否核對輸入數據,對數據的修改進行批準並建立日誌?

(19)計算機係統運行過程中是否配備計算機安全管理人員且明確其職責?是否建立技術部門和業務部門的溝通渠道?

(20)如何明確用戶的創建、變更、刪除、用戶口令等控製要求;是否明確員工計算機信息係統的用戶名或權限卡的使用要求?

3.應急準備和處置

(1)是否已建立並保持應急預案和程序,已識別可能發生意外或緊急事件?

應急預案是說明特定緊急情況發生時必須采取的措施,應包括以下方麵:

Ⅰ.識別潛在的事故(風險)和緊急情況。

Ⅱ.確定緊急情況發生時的負責人。

Ⅲ.確定緊急情況發生時各類人員的行動計劃,包括發生緊急情況的區域內所有外來人員的行動計劃。

Ⅳ.確定緊急情況發生時具有特定作用人員的職責、權限和義務,如櫃員、保安、保衛人員等。

Ⅴ.明確與外部應急機構的接口。

Ⅵ.與執法部門進行交流。

Ⅶ.重要記錄資料和重要設備的保護。

Ⅷ.緊急情況發生時可利用的必要資料,如報警設備和聯絡電話號碼等。

(2)在應急計劃中是否對外部機構的參與有明確的規定,是否向其說明他們需參與和可能遇到的情況,並提供相關信息以便其參與?

(3)如何規定意外或緊急事件發生時,應采取應急響應的措施?措施是否及時、有效?

(4)是否規定並實施對應急的設施、設備和係統定期檢查和維護?是否保證充足提供?

(5)在可行情況下,是否對應急預案定期進行演習和測試?是否按計劃進行應急演練?

(6)是否對製定的應急預案進行評審?應急準備是否與可能發生的意外或緊急事件的性質(如事故、險情)相適應?

(7)近年來,是否發生過意外或緊急事件(如擠兌、信息係統崩潰、火災、地震等)?如發生過,如何按應急預案及時、有效采取相應措施,並確保業務持續開展?

四、監督評價與糾正

內部控製係統需要監督,監督可確保內部控製能有效運作。它是一個不斷評估係統的質量的過程。監督評審是經營管理部門對內部控製的管理監督和審計部門對內部控製的再監督和再評價活動的總稱。它通常由管理層自測和由董事會委派內部審計員或外部審計單位審計來完成。審計部門一般在下列方麵為機構提供監督服務:評估管理控製的效率和效果;評估資產和風險;針對檢查出的問題向管理層提出改進意見。

1.內部控製績效監測

(1)是否建立了內部控製績效監測程序?

(2)績效監測的對象有哪些?

(3)內控績效監測的方法有哪些?

(4)何時進行內控績效監測(頻次)?

(5)監測結果評價的準則是什麼?

(6)監測結果的信息如何傳遞和利用?

(7)對下一級分行的經營、管理是否進行經常性檢查?並及時糾正問題?

(8)如何對全行的經營、內控和風險狀況的審計、監督和評價做出安排?審計的頻次是怎樣決定的?

(9)如何對全行審計工作執行有關審計政策、審計準則和規章製度情況進行監管和檢查?

(10)是否對審計監督中發現的重大問題和事件的處理結果進行跟蹤,以防止問題或事件的再次發生?近年來發現的重大問題和事件是否已采取有效措施?

(11)如何確保全行的審計部門和審計人員的獨立性?

(12)高級管理人員離職時是否進行離任審計?

(13)如何對審計效果進行評價?

(14)如何對高層人員進行監督?是否有監管檔案?

2.事故、險情、違規和糾正與預防措施

(1)是否已建立和保持了書麵程序文件,規定事故、險情、違規發現、報告、處置、原因分析及糾正和預防措施等內容?

(2)發現事故、險情、違規時,是否及時報告?

(3)如何處置事故、險情、違規事項?從發現到處置的時效如何?

(4)針對發現的事故、險情、違規的原因,所采取的措施(糾正或預防措施)是否考慮了問題大小和風險危害程度?

(5)糾正或預防措施在付諸實施前是否做過風險評估?

(6)被批準執行的糾正或預防措施是否實施?這些措施的效果是否能防止發生或再發生事故、險情、違規?

(7)發生事故、險情和重要違規事項時是否追究相關人員責任?

(8)在內控評價、業務檢查和審計中,對發現的問題,如何作責任認定?

(9)信訪、舉報、投訴、控告、處分的程序和記錄的管理方式如何?

3.內部控製體係評價

(1)商業銀行是否建立和維持書麵的內部控製體係評價程序?

(2)是否規定了內控體係評價的準則、範圍、頻次、評價的方法和評價組(或人員)職責和權限?

(3)實施內控體係評價的評價人員是否充分考慮獨立性?

(4)安排評價活動前是否進行過周密策劃,形成評價方案(包括日程安排)?

(5)評價方案是否考慮了被評價機構風險管理的重要性或風險評估的結果,以及所進行活動的過程和以前評價的結果?

(6)是否按程序實施過評價?如果是,則重點調查:受評價機構的負責人對內控體係評價中發現的問題是否積極地參與消除違規原因,並決定所采取的措施,跟蹤檢查措施的執行及效果驗證。

(7)內控體係評價後,其評價結果報告中,是否就內部控製的有效性做出評價?通過評價,可否評估內部控製體係水平的等級?

(8)通過內控評價是否針對發現的問題進一步完善了內控體係?

4.管理評審

(1)是否建立和保持了管理評審的程序文件?

(2)是否實施過管理評審?

(3)管理評審輸入信息是否充分?

(4)如果進行過管理評審,則評估管理評審的輸出是否符合要求?

5.持續改進

(1)是否識別改進的機會,從而持續地自我改進內部控製體係?

(2)持續改進的過程如何實施?

五、信息交流與反饋

信息與交流存在於所有經營管理活動中。企業必須按某種形式在一定時期內取得適當的信息,並及時溝通,以便員工能夠更好地履行其職責。企業獲得的信息包括營運、財務與法規等。企業憑借這些信息使業務得以進行,並對其加以控製。信息不僅來自企業內部,還來自企業外部的事件、活動和外部環境。這些信息作為企業製定決策的依據。同時,信息必須進行有效的溝通。有效的溝通是指組織內部向上、向下以及橫向溝通。所有員工必須從管理層清楚地獲得自己應承擔的義務的信息,了解自己在企業內部控製中所扮演的角色以及自己的工作如何影響他人的工作,他們必須有向上溝通傳遞重要信息的渠道,也必須和企業外界如顧客、供應商、政府主管部門和股東等做有效的溝通。

1.交流與溝通

(1)是否規定交流與溝通的內容及溝通方式?

(2)風險的相關方(內、外部)進行信息交流的政策是什麼?

(3)是否有程序文件規定相關信息的識別、搜集、處理、交流和溝通過程?

(4)信息傳輸的流程如何?

(5)董事會和高級管理層能否獲得內部控製狀況信息?

(6)是否及時向監管機構報告、披露相關信息(必要時向外界披露)?

(7)信息溝通記錄如何保持?

(8)信息保密、安全所需的授權如何?

(9)是否建立信息披露製度?

2.內控體係的文件化要求

(1)怎樣理解內控體係文件化的?

(2)內控體係的文件類別、構成及其關係怎樣?

(3)內控體係文件是否充分?

3.文件控製

(1)文件是否經批準才能實現?

(2)需要文件指導的部門或崗位是否能得到或查到?

(3)文件的適宜性是否定期評審,需要時修訂文件?

(4)文件的版本如何識別和控製?

(5)廢止文件(某頁或某份)采取什麼措施防止設用以及標識?

(6)外來文件(如相應法律、法規、外部監管部門的相關規定等)如何控製(識別、分發、使用、廢止以及轉為內部文件的情況)?

4.記錄控製

(1)是否已建立和保持了內控體係相關記錄的控製程序文件?

(2)該文件是否包括了記錄的標識、生成、保管、保護、檢索(查找、調用),保存期限及到期處理的方法等?

(3)記錄是否清晰,是否便於工作人員查找?

(4)會計、統計、業務檔案(必要時,調查記錄記載事項的溯源性)是否完整?

上一頁 書頁/目錄 下一章