首頁
排行
完本
足跡

正文 第十四章商業銀行內部控製審計案例(1 / 3)

商業銀行內部控製評價 蔣建華

第一節商業銀行內部控製現場檢查與評估方案

下列是某銀監局對某商業銀行內部控製現場評估的方案。

××商業銀行內部控製現場

檢查與評價方案

根據省局《關於開展城市商業銀行內部控製現場檢查與試評價工作的通知》(蘇銀監辦[××××年]××號)有關要求,定於××××年××月××日至××月××日對××市商業銀行進行內部控製現場檢查與評價。

一、檢查目的

促進××商業銀行內部控製建設,提高風險管理水平,做好操作風險防範和案件專項治理工作,加快建立風險管理長效機製。以進一步促進該行提高經營管理水平,強化風險意識,推動其持續穩健發展。

二、檢查對象

××市商業銀行總部及相關職能部門。

三、檢查期限

內部控製過程檢查評價截止日期為實際檢查評價執行日,結果檢查評價中各類統計和經營指標截止日期為××××年××月××日。

四、參加檢查人員

檢查組組長:

副組長:

主查人:

其他成員:

五、檢查內容

(1)過程檢查評價內容。(見附件1,即本章第二節)

(2)主要業務和管理活動內部控製檢查評價內容。(見附件2,即本章第三節)

六、檢查評價程序和方法

檢查評價程序按《商業銀行內部控製指引》、《商業銀行內部控製評價試行辦法》和《商業銀行內部控製評價試行辦法操作說明》有關要求實施和操作。在各階段應重點關注以下問題:

(一)評價準備階段

(1)評價組的組成應考慮組成人員的工作經驗和能力。

(2)了解××商行近期內控狀況,收集整理評價期內外審、內查的有關結論及發案情況,采集非現場評價(結果評價)所用有關數據。

(3)向××商行發出內控綜合評價(過程評價)調查問卷,並在此基礎上收集有關被評價機構的內部控製體係文件及相關記錄等。

(二)評價實施階段

(1)開展非現場評價。采取非現場方式采集的有關數據,經確認無誤後,對相應內控評價指標進行打分(結果評價,需結合現場檢查進行)。

(2)掌握、了解××商行的經營及內部控製狀況。結合調查問卷的答複及收集到的相關資料,對該行的基本經營狀況、內控中存在的缺陷和問題等內容進行分析、研究,在此基礎上確定現場檢查重點。

(3)因近期已對××商行進行了全麵現場檢查,內控過程檢查評價適當從簡,結合全麵檢查的後續檢查同時進行,檢查時應各有側重。結果評價可結合非現場監管工作進行。

(4)開展現場檢查評價。主要通過詢問、查閱、觀察、流程圖等方法進行,以初步檢查評價××商行內部控製體係的充分性和合規性,包括但不限於:

①查閱各類資料。包括製度規定、辦法、會議記錄、工作日誌、報表賬冊憑證等,查看內控機製是否健全、有效。

②現場檢查、詢問。對相關部門、機構及有關人員進行現場檢查、詢問,了解掌握內控執行情況,驗證××商行內部控製製度的遵循性,對內控效果進行評價。

③符合性測試。通過符合性測試證實內部控製在實際中的合規性、有效性和適宜性,檢驗相關規定在實際中是否被一貫執行,控製措施能否達到控製目的,控製措施是否恰當。

④指標分析。對收集××商行內部控製結果指標的相關信息,進行核實、對比分析和趨勢分析,從而對內控目標實現情況做出評價。

(三)檢查評價結論階段

(1)對內部控製的過程和結果評定分值時,在測試過程中遇有業務缺項或問題“不適用”時,應按照《辦法》第四十九條規定,將涉及的分值在評價項目總分中扣減,並在得出其餘適用項的總分後,將該評價項目的總得分進行調整。

(2)對被評價機構在抽樣測試中出現違規行為以及在評價期內發生重大責任事故等,應嚴格按照《辦法》第五十條、五十四條、五十五條的規定進行評分和評定等級。

(四)形成評價報告階段

根據檢查評價實施情況,撰寫評價報告,報告內容應至少包括:××商行內部控製體係現狀、存在問題及趨勢分析、同類銀行比較和監管建議等內容。

七、檢查要求

(1)檢查組由××銀監分局的監管人員組成,分為兩個檢查評價小組。第一小組負責公司治理、董事會監事會高級管理層責任、計劃財務、會計管理、中間業務、安全保衛的檢查評價。

第二小組負責授信業務、資金業務、存款和櫃台業務、計算機係統、產品開發的檢查評價。

(2)各檢查評價小組在進入現場檢查前,要根據檢查評價方案進行內部分工,熟悉該行填報的調查問卷,製定檢查工作標準。

(3)檢查期間,各個小組要定期碰頭開會,及時研究和解決檢查中出現的問題,主查人做好各個小組之間的協調工作,保證檢查工作順利進行和工作質量。

(4)現場檢查結束後,各檢查小組要完成檢查評價報告和現場檢查意見書,其中檢查報告的內容必須包括檢查組的具體工作情況(工作量統計、工作成果等),檢查報告必須將《會談紀要》、《工作底稿》、《事實確認書》附後。現場檢查意見書應包括該行內控體係存在的問題及嚴重程度,整改意見和監管措施。

(5)檢查評價工作結束後,各檢查小組須整理出齊全、完備和規範的檢查檔案,裝訂要整齊、統一,檔案必須包括檢查小組內部分工、檢查評價日程安排、會談人員名單、調閱資料清單、檢查前問卷、被檢查單位彙報報告、檢查評價工作底稿、事實確認書、會談紀要、檢查報告、過程評價操作表及其他相關資料。

(6)檢查組組長和主查人要對上述所有檢查工作的完成負責。

八、主要檢查依據

(1)《中華人民共和國銀行業監督管理法》;

(2)《中華人民共和國商業銀行法》;

(3)《商業銀行內部控製指引》;

(4)《股份製商業銀行公司治理指引》;

(5)《商業銀行內部控製評價試行辦法》;

(6)《商業銀行內部控製評價試行辦法操作說明》。

附件1.過程檢查評價內容,即本章第二節。

附件2.主要業務和管理活動內部控製檢查評價內容,即本章第二節。

第二節商業銀行內部控製過程檢查評價內容(兼調查問卷)

一、內部控製環境

(一)商業銀行公司治理

(1)是否建立以股東大會、董事會、監事會、高級管理層等為主體的公司治理組織架構?

(2)是否設立了提名委員會、風險管理委員會、人事和薪酬委員會、審計委員會、關聯交易控製委員會等其他專門委員會?

(3)是否定期或不定期召開股東大會年會和臨時會議向全體股東彙報?股東大會是否實行律師見證製度?是否製定內容完備的股東大會議事規則並由股東大會審議通過,包括通知、文件準備、召開方式、表決形式、會議記錄及簽署、關聯股東的回避製度等?

(4)董事會是否建立了議事規則和決策程序?議事規則是否完備,包括通知、文件準備、召開方式、表決形式、會議記錄及簽署、董事會的授權規則等?董事會是否定期(每季一次)或不定期召開例會和臨時會議?

(5)監事會是否建立了議事規則和決策程序?議事規則是否完備,包括通知、文件準備、召開方式、表決形式、會議記錄及其簽署等?是否定期(每季一次)或不定期召開例會和臨時會議?

(6)是否建立了獨立董事和外部監事製度並設立了2名(含)以上獨立董事和2名(含)以上外部監事?

(7)董事會審計委員會負責人是否由獨立董事擔任?是否要求銀行報送內部審計報告並進行評價?獨立董事是否對董事會討論的有關商業銀行內部控製事項發表客觀、公正的獨立意見?是否對董事會決議中違反法律、法規或商業銀行章程的條款提出反對意見?

(8)審計委員會負責人是否由外部監事擔任?外部監事是否根據監事會決議組織開展商業銀行內部控製相關審計工作?是否及時向外部監管部門報告監督檢查中發現的問題?

(9)采取何種措施確保商業銀行根據內部審計、外部審計和外部監管部門改進內部控製的意見和建議實施有效的整改?

(二)董事會、監事會和高級管理層責任

(1)董事會是否審批了商業銀行整體經營戰略和重大政策並定期檢查、評價執行情況?

(2)董事會是否設定了商業銀行可接受的風險程度,並審批管理層所製定的風險防範措施及額度設置?是否確保商業銀行充分了解資本充足、風險集中度、關聯交易、不良資產管控和處置的有關規定,並指導和監督具體政策、程序的產生和實施?

(3)董事會是否及時審查銀行內部審計機構和外部監管部門對銀行內部控製的評價報告,並督促管理層落實整改措施?

(4)監事會是否通過適當的方式對銀行內部控製進行監督?

(5)監事會是否組織對銀行內部控製的相關檢查?是否對董事會及董事、管理層及高級管理人員履行內部控製職責情況進行檢查?

(6)監事會是否在發現董事、董事長及高級管理人員有損害商業銀行利益的行為時要求其糾正?

(7)高級管理人員是否明確其在內控體係方麵的職責?在各項業務和管理活動中是否製定了明確的內部控製政策?

(8)是否定期評審內部控製狀況的充分性和有效性?是否及時審查外部監管部門、內部和外部審計部門對內部控製體係的評價報告?是否及時聽取了審計部門和外部監管部門有關內部控製體係缺失的建議與意見,並部署采取糾正整改措施?

(9)董事會、高級管理層是否能及時了解銀行的業務風險和操作業績?銀行內部的信息流動是否通暢,包括信息上報、信息下達及機構內部信息的橫向流動?內部控製政策相關每一項信息是否都傳達到每一相關人員?

(10)是否建立了授權和責任明確、報告關係清晰的組織結構?是否采取措施引導管理人員和全體員工參與到內部控製活動中,以保證內部控製的各項職責得到有效履行?

(三)內控政策

(1)是否已建立文件化的政策(包括人力資源政策、財務管理政策、信貸總量和信貸結構政策、流動性風險和市場風險政策、信息交流政策等)?

(2)政策的內容是否:①為製定和評審目標提供框架;②與商業銀行的宗旨和發展戰略相一致;③符合適用法律法規和監管要求;④指導員工實施風險控製;⑤體現持續改進內控體係的要求。

(3)政策是否已為員工所理解?

(4)政策是否可以並已向相關方公開,同時尋求互利合作?

(5)各級各類政策是否定期評審,需要時及時更新?

(四)內部控製目標

(1)商業銀行已建立了哪些內部控製目標?是否形成文件?

(2)各個目標是否可測量並分解為指標?是否已展開到相關職能和層次?通過哪些方式傳達到相關員工?

(3)內控體係的目標是否能確保與法律法規、監管要求相一致並使之滿足?能否確保商業銀行的發展戰略和經營目標的全麵實施與實現?確保風險控製的有效性?確保業務記錄、財務信息和其他相關信息的及時、真實和完整?

(4)在建立和評審內控目標時,是否考慮了可供選擇的技術方案、財務、運作和經營要求、風險相關方的要求等?

(5)內控目標是否符合內控政策?如何體現對持續改進的承諾?

(五)組織結構

(1)商業銀行的組織結構狀況如何?包括部門分工合理性、職責明確程度和報告關係清晰程度。

(2)是否考慮職責分離、相互監督製約?

(3)涉及資產、負債、財務和重要人事變動的事項如何決定?

(4)是否建立關鍵崗位輪換和強製休假製度?

(5)是否建立統一授權體係?

(6)是否設立了全行係統垂直管理、具有充分獨立性的內部審計部門?

(7)內部審計部門是否配備了具有相應資質和能力的審計人員?

(8)是否建立了內部審計風險評級體係?每年是否根據審計風險評級結果確定審計頻率,以及對機構和業務的審計覆蓋率?

(9)內部審計部門是否有權獲得商業銀行的所有經營信息和管理信息?

(10)內部審計報告是否及時報董事會或董事會審計委員會?

(11)董事會及高級管理層是否采取有效措施保證審計報告中指出的內部控製的缺失得到及時糾正整改?

(12)總行內部審計負責人的聘任和解聘是否經董事會或監事會同意?

(六)企業文化

(1)商業銀行是否培育了健康的企業文化?現有企業文化怎樣為內部控製提供適宜的環境?

(2)如何創立和完善企業文化的環境使全行員工樹立預期要求的企業價值觀、企業精神及經營理念?

(3)是否把企業核心價值觀、內部控製原則、風險意識、風險控製、風險防範,以及出現險情或損失的對策等作為對員工的教育內容?

(4)是否製定了員工行為準則或類似規範,並傳達到員工?

(5)員工是否熟悉銀行關於職業道德的規範並確知職業道德標準和違規行為界限及後果?

(6)員工是否明白其職權範圍違規違紀行為的表現形式?

(7)是否建立針對員工違規行為的補救和處罰應急機製?

(8)管理層對員工違規的行為是否進行嚴厲的批評和處理?

(9)管理人員道德水平是否保持高尚,是否以身作則?

(七)人力資源

(1)是否確定與風險和內控有關的人員所必要的能力要求,含滿足法律法規要求及監管機構對人員資質要求?

(2)是否建立及健全激勵約束機製、員工績效考評體係,是否充分體現風險管理和內控體係要求?

(3)是否對高管人員及影響風險和內控人員等重要崗位的招聘、聘用、培訓、考核、調整、出國、離崗和離行進行控製?

(4)是否明確了員工招聘、培訓、考核、獎勵、處罰、晉升等方麵合理的政策和程序?並得到有效執行?

(5)是否搜集了員工工作業績、工作效率及勝任程序等相關信息?

(6)是否采取適當的措施來降低更換員工或員工缺席所帶來的負麵影響,如交叉培訓,工作輪換等?

(7)是否確保員工得到了充分的非技術性能力的培訓,包括人際關係、口頭表達和文字表達能力,客戶服務等?

(8)是否確保每個員工明確所在行及其所在部門的工作目標?

二、風險識別與評估

(一)經營與管理活動的風險識別與評估

(1)是否識別和確定了常規和非常規的業務和管理活動?並識別這些活動上的風險?

(2)對新識別的風險是否已考慮到其產生根源、路徑及對商業銀行的影響範圍?是否已考慮並識別了本部門的運作過程和活動中因運用計算機係統而帶來的風險?

(3)本部門已識別並確定的主要風險有哪些?是否有風險點的清單?是否確定風險點的風險級別及風險可接受程度?

(4)是否對風險的後果及發生的可能性等進行了評估?評估的結果是否形成文件?文件中所包含的信息是否充分,包括可作為建立內控體係中各項決策的基礎?並為改進內控績效提供衡量的基準?

(5)是否對可接受風險進行定期監測?對不可接受的風險是否製定了相應的控製方案?

(6)當內外部環境和條件發生變化時,是否對風險進行再識別和再評估?並及時更新風險評估文件及傳達到相關人員?再識別和再評估的結果能否確保新的風險及以前未加控製的風險得到識別和控製?

(7)在設立新的分支機構或開辦新的業務時,是否事先製定有關的政策、製度和程序,是否對潛在的風險進行識別和評估,並提出風險防範措施?

(8)能否及時發現由於員工的思想道德及業務素質問題所產生的風險,並重視對員工的法製教育和職業道德教育?

(二)法律法規、監管要求和其他要求

(1)是否已建立了相應的程序,以確保商業銀行能及時識別和獲取適用的法律法規、監管要求和其他要求?包括明確信息獲取的渠道、職責等。

(2)是否及時更新法律法規、監管要求和其他要求的信息,並將這些信息傳達給相關員工和其他風險相關方?

(3)是否在已製定的商業銀行規章體係中充分體現應遵循的所有法律法規要求?

(4)是否采取有效措施管理全行反洗錢工作?

(三)內部控製方案

(1)是否為實現內控目標製定了內控方案?內控方案如何運用風險識別與評估結果的信息?確定了哪些控製要點和控製措施?

(2)內控方案是否包括了各項任務的職責權限和相應的控製策略、方法、資源和時限要求?並形成了文件?

(3)內控方案是否考慮了由方案自身帶來的新的風險?方案是否涉及業務流程、管理活動等重大變化?

三、內部控製措施

(一)運行控製

(1)董事會與高級管理層是否及時檢查商業銀行在實現內部控製目標方麵的進展?高級管理層是否根據檢查情況提出內部控製缺失,督促職能管理部門改進?

(2)各級職能管理部門是否審查收到的經營管理情況和特別情況專項報表或報告?是否提出問題,要求采取糾正整改措施?

(3)對實物控製是否實行實物限製、雙重保管和定期盤存?

(4)是否審查遵循風險限製方麵的合規性,並在不合規的情況下繼續跟蹤檢查?

(5)是否根據若幹限製條件對各項業務、管理活動進行審批與授權,明確各級管理責任?

(6)是否驗證各項業務、管理活動,以及所采用的風險管理模型結果,並定期核實相關情況?是否及時將發現的問題向職能管理部門報告?

(7)是否實行不兼容崗位的適當分離?

(8)是否針對已識別的風險和需采取的控製措施,確定其運作過程和活動?

(9)對已確定的過程和活動如何實施控製?

(10)對缺乏程序可能導致偏離內控政策和目標運行的情況,建立並保持了哪些程序文件,在程序中是否規定了操作方法和標準?

(11)在實施和運行中按照程序規定如何實施持續記錄和監督檢查?

(12)運用計算機係統采取了哪些內控措施?

(13)對購置和使用的設施、設備、係統和服務中已識別的風險是否建立並保持控製程序實施有效控製,並以什麼方式將有關程序和要求通報供方,使其符合控製要求?

(14)為從根本上消除或降低風險,針對產品和業務、運行程序和工作組織設計及對人員適任能力要求建立了哪些控製程序?

(15)是否建立有效的核對、監控製度?對重要業務是否實行雙簽製度及監控授權、授信執行情況?

(16)是否建立完整的會計、統計和業務檔案?

(二)計算機係統環境下的控製

(1)是否建立信息安全管理體係?

(2)是否對計算機信息係統從立項、開發、驗收、運行和維護實施全過程管理?如項目立項時技術部門是否與業務部門進行了充分論證和良好溝通;程序開發環境是否與程序生產環境嚴格分離?計算機軟件和網絡係統從開發環境轉入生產環境之前是否進行充分的壓力測試?

(3)對外購計算機軟、硬件設備是否嚴格審查供應商的資格和資信狀況?是否明確其產品在使用期間應當承擔的使用、維護和其他責任,在使用前是否嚴格進行安全性測試確保產品正常使用和有效維護?

(4)計算機機房建設是否符合國家有關標準?是否加強計算機機房管理,出入按規定審批並保留記錄,確保硬件、各種存貯介質的安全?

(5)是否建立和健全網絡管理係統,有效地管理網絡的安全、故障、性能、配置等,並對接入國際互聯網實施有效的安全管理?

(6)采取哪些措施確保計算機信息係統的安全,如更新係統、認證、加密、內容過濾、入侵監測、安全設置、防止病毒、黑客攻擊、軟件補丁程序等,以確保計算機信息係統安全?有關程序和要求是否及時更新?

(7)網絡設備操作係統、數據庫係統、應用程序是否設置必要日誌,滿足內外審計需要?

(8)對各類數據信息、數據操作、數據備份介質的存放、轉移、銷毀是否有嚴格的管理製度?

(9)計算機處理業務如何確保可複核性和可追溯性?應用程序是否為有關的審計和檢查預留接口?

(10)電於銀行服務是否具備確保識別客戶身份,安全認證等功能,保證交易安全,防範操作風險?

(11)計算機操作係統的變更是否有明確的規章製度(對內和外包係統),可靠的技術手段,滿足合法性、正確性、安全性、可複核性和可追溯性的係統變更控製要求,並對軟件版本進行管理?

(12)是否建立設備管理係統,對設備驗收、入庫、配發、維護、變更、損益、報廢等環節進行管理?

(13)是否建立遠程備份?

(14)是否提供對電子銀行客戶的培訓、客戶服務和相關支持工作?如何與風險控製方案相結合?

(15)在製定電子銀行業務的準入標準、管理辦法和操作規程中如何考慮風險因素及相應措施?

(16)如何控製網上銀行交易的風險,確保交易安全?

(17)係統安全運行中的不安全因素是否全麵分析和控製?對分中心運行如何監視?

(18)對計算機係統數據的管理是否建立接入授權程序並對接入後的操作進行安全控製?是否核對輸入數據,對數據的修改進行批準並建立日誌?

(19)計算機係統運行過程中是否配備計算機安全管理人員,明確其職責?是否建立技術部門和業務部門的溝通渠道?

(20)如何明確用戶的創建、變更、刪除、用戶口令等控製要求?是否明確員工計算機信息係統的用戶名或權限卡的使用要求?

(三)應急準備和處置

(1)是否已建立並保持應急預案和程序,已識別可能發生意外或緊急事件?應急預案是說明特定緊急情況發生時須采取的措施,應包括以下方麵。

①識別潛在的事故(風險)和緊急情況。

②確定緊急情況發生時的負責人。

③確定緊急情況發生時各類人員的行動計劃,包括發生緊急情況的區域內所有外來人員的行動計劃。

④確定緊急情況發生時具有特定作用人員的職責、權限和義務,如櫃員、保安、保衛人員等。

⑤明確與外部應急機構的接口。

⑥與執法部門進行交流。

⑦重要記錄資料和重要設備的保護。

⑧緊急情況發生時可利用的必要資料,如報警設備和聯絡電話號碼等。

(2)在應急計劃中是否對外部機構的參與有明確的規定,是否向其說明他們需參與和可能遇到的情況,並提供相關信息,以便其參與?

(3)如何規定意外或緊急事件發生時,應采取應急響應的措施?措施是否及時、有效?

(4)是否規定並實施對應急的設施、設備和係統定期檢查和維護?是否保證充足提供?

(5)在可行情況下,是否對應急預案定期進行演習和測試?是否按計劃進行應急演練?

(6)是否對製定的應急預案進行評審?應急準備是否與可能發生的意外或緊急事件的性質(如事故、險情)相適應?

(7)近年來,是否發生過意外或緊急事件(如擠兌、信息係統崩潰、火災、地震等)?如發生過,如何按應急預案及時、有效采取相應措施,並確保業務持續開展?

四、監督評價與糾正

(一)內部控製績效監測

(1)是否建立了內部控製績效監測程序?

(2)績效監測的對象有哪些?

(3)內控績效監測的方法有哪些?

上一章 書頁/目錄 下一頁