首頁
排行
完本
足跡

正文 第十四章商業銀行內部控製審計案例(3 / 3)

商業銀行內部控製評價 蔣建華

(5)是否按規定對全行執行國家外彙管理政策有效管理?

(6)是否對全行外彙業務有權簽字人簽字樣本製作、使用中存在潛在風險實施有效控製?

(7)是否對海外代表處的工作實施有效監控和考核?

六、會計管理

(一)政策和程序

(1)是否建立會計和儲蓄的事後監督製度?

(2)對營業機構是否執行重要崗位的請假、輪崗製度進行監督?

(3)是否確定並實施本行的會計規範和管理製度,並確保會計工作獨立性?

(4)會計崗位設置是否貫徹“責任分離、相互製約”原則?

(5)如何實行全行會計工作的統一管理?如何確保會計信息,包括全行係統財務會計報表的真實、完整和合法?

(6)如何檢查會計規範和管理製度的執行情況?現有製度是否能有效防止發生設置賬外賬、亂用會計科目、編製和報送虛假會計信息?

(7)會計部門是否能夠準確、及時地對下級機構會計工作進行管理和指導?

(8)是否明確會計部門、會計人員的權限?超越權限時的授權方式是什麼?

(9)如何對會計主管、會計負責人實行資格管理?會計人員是否具備必要上崗資格?

(10)是否建立和實施會計差錯責任人追究製度?

(11)如何進行會計檔案管理?是否對資料的交接、整理、借閱、保管、銷毀等環節作出規定,並遵照執行?

(12)是否按重要崗位分離原則配備足夠的會計人員?

(13)重要會計崗位人員是否進行定期或不定期輪換?

(14)會計人員離崗是否進行交接手續和監督程序?

(二)崗位製約

(1)是否有嚴格的安全監控係統?各級櫃員是否實施嚴格的分級授權?

(2)是否嚴格執行雙人經辦製度,如雙人臨櫃;錢賬分離;雙人驗印;雙人對賬。是否嚴格執行崗位分離製度:印壓(押)證三分管;庫房鑰匙分管;會計崗和事後檢查崗分離;會計前台和後台業務人員分離;記賬崗與實物崗分離;係統管理崗與操作員分離?

(三)特別事項授權

(1)是否執行重要會計業務授權:錯賬衝正授權;賬務調整授權;大額支付授權;自製、補製憑證授權查詢、查複業務授權;掛賬及臨時過渡業務核算授權;特別轉存授權;班外業務授權;拒絕付款業務授權?

(2)是否執行會計電算化操作授權:操作人員按照權限級別進入係統和功能模塊,操作人員不能越權掌握不相容崗位口令?

(四)對賬製度

(1)會計部門是否組織實施對賬,業務部門是否配合會計部門進行賬務核對,相互之間職責明確?

(2)賬務核對程序是否符合規定,是否在規定時間核對賬務,對賬頻率是否符合規定?

(3)銀行彙票卡與彙出彙款登記簿、彙出彙款賬、銀行承兌彙票底卡是否與表外銀行承兌彙票賬、單位定期存款證實書底卡是否與單位定期存款每天核對並登記備案?

(4)應收、應付掛賬款是否逐月對賬,並在年底徹底清理並編製分戶餘額表,並對跨年度掛賬做出逐筆說明?

(5)表外科目是否在每月末與表內有關科目、實物、登記簿進行核對?

(6)對“重要空白憑證”、“有價單證”是否定期核對?

(7)外彙會計業務對賬是否做到:

①隨單核對存放國外同業賬(查看報單與明細賬的餘額是否相符);

②隨單核對存放國內同業賬;

③每天核對本幣外彙買賣科目與外幣結售彙科目的餘額相符。

(8)係統內往來業務對賬。係統內往來的業務核對,包括往來雙方的發生額和餘額的核對,發生額必須逐筆勾對,對賬中的各種查詢、查複要有書麵記錄;以及計算機對賬和人工對賬符合有關規定。

(五)重要物品管理

重要物品領取和交回是否執行嚴格的審批和登記,重要物品包括會計印章、密押器、壓書機、重要單證、密碼口令及有關操作手冊。

七、產品開發

(1)是否建立產品開發控製程序?

(2)現行的產品開發過程的風險控製是如何實施的?

八、計劃與財務

(1)是否製定全行業務經營計劃?

(2)是否製定財務預算?

(3)財務審批是否符合授權要求?

(4)如何管理固定資產?

(5)如何進行固定資產的采購?如何規避采購風險?

九、安全保衛

(1)是否識別過安保範圍(如物防、人防、技防)的風險,以及所需風險控製措施?

(2)涉及金庫、現金押運、運鈔車輛等安保人員是否委托外包?如有,如何管理並控製風險?

(3)如何控製與其他商業銀行合作進行現金押運的過程?

(4)如何進行全行安全檢查?

(5)現有各項安保設施是否滿足需要?

第四節商業銀行內部控製評價報告示例

×××商業銀行內部控製評價報告

根據《關於開展城市商業銀行內部控製現場檢查與試評價工作的通知》(蘇銀監辦〔2005〕131號,以下簡稱《通知》)要求,我分局派出檢查評價組,於20××年×月×日至×月×日,用××個工作日,對該行進行了內部控製審計。現將有關情況報告如下:

一、檢查評價工作開展情況

根據《通知》精神,我分局領導高度重視本次內控檢查評價工作,組織有關人員學習了《商業銀行內部控製評價試行辦法》(銀監會令2004年第9號)及其《操作說明》,成立了以分管局長為組長的檢查評價組,根據本次檢查評價的目的、範圍、準則和時間安排製定了檢查評價實施方案,向×××商業銀行發送了內部控製檢查評價問卷,結合問卷回複和收集掌握的非現場監管和全麵現場檢查有關情況,確定了現場檢查評價重點。檢查評價組通過詢問、查閱、觀察、流程圖和符合性測試等方法,對該行授信、資金、存款和櫃台、中間業務、計劃財務、會計管理、計算機係統、產品開發、安全保衛等業務的內控狀況進行了過程檢查評價,並對內控主要目標的實現程度進行了內控結果檢查評價。經審定後,確定了評價結果。

二、基本評價

1.內部控製環境方麵

(1)公司治理。該行建立了以股東大會、董事會、監事會、高級管理層為主體的治理架構,三會一層及其下設各專業委員會建立了較為完善的議事規則和決策程序。董事會和董事、監事會和監事、高管層和高級管理人員在內控管理的決策、監督和執行相互獨立和製衡的機製在逐步建立,並得到一定程度完善。

(2)董事會、監事會和高級管理層責任。該行董事會對整體經營戰略和重大政策均進行了審議,並定期檢查、評價執行情況。董事會考慮了銀行可接受的風險程度,要求高管層製定完善風險防範措施,並定期或不定期對經營情況進行調度和指導;能夠確保銀行了解資本充足、風險集中度、關聯交易、不良資產管控和處置的有關規定;能夠按照監管部門對該行內部控製的檢查評價意見督促高管層落實整改。監事會在日常工作中能夠對內部控製狀況予以關注。高管層能夠明確自身在內部控製方麵的職責,在各項業務和管理活動中製定較為明確的內部控製政策。

該行對我分局於年初進行的全麵檢查中發現的內控問題與缺陷正在進行整改;2004年度信息披露工作中,該行委托外部中介機構對內控機製進行了評價。董事會、高管層能夠了解業務風險和操作業績,信息流動基本通暢。

(3)內部控製政策。該行已建立文件化的人力資源、財務管理、信貸總量和信貸結構等內部控製政策。內控政策的內容與商業銀行的宗旨和發展戰略相一致,基本符合適用法律法規和監管要求,一定程度上能夠指導員工實施風險控製。政策為大部分員工所理解。

(4)內部控製目標。該行業務、管理和支持保障活動的內部控製目標基本建立,大部分目標可測量並分解為指標。內控目標基本能與法律法規、監管要求相一致,並符合該行的內控政策。

(5)組織結構。該行明確規定了與風險和內部控製有關的部門、崗位、人員的職責和權限,並彙編成冊予以傳達。成立了抵債資產管理委員會和財務審查委員對有關資產、財務等重要業務事項進行決策審批。建立了關鍵崗位定期或不定期人員輪換和強製休假製度。

(6)企業文化。能夠結合經營發展方向,不斷整合商行企業文化,通過學習培訓等方式,力求使全行員工樹立“商行興我榮、商行衰我恥”的企業價值觀。製定了《櫃麵服務管理》、《×××商業銀行櫃麵服務標準》等員工行為準則與規範,並傳達到員工。製定的《×××商業銀行違規操作行為處罰處理辦法》明確了違規行為的界限及後果,通過對違規行為責任人的處理,員工遵章守紀的自覺性得到增強。

(7)人力資源。該行人力資源政策和程序基本完善,製定了全行所有崗位的《崗位說明書》,明確了各崗位的任職標準,對信貸、會計等崗位員工實行上崗資格考試認定。高級管理人員滿足監管部門對其資質的要求。製定了員工培訓計劃,並按計劃進行了業務培訓。製定的《×××商業銀行勞動人事管理暫行規定》和《×××商業銀行招聘、錄用人員暫行辦法》對員工引進、退出、選拔、績效考核、薪酬、福利、專業技術職務管理處罰等日常人事管理做出了規定。激勵約束機製、員工績效考評體係基本建立健全,實行了年度經營目標績效考核,績效工資的考核指標一定程度上體現了風險管理和內控體係要求。

2.風險識別與評估方麵

(1)經營管理活動風險識別與評估。該行對授信業務、存款與櫃台業務、主要中間業務等的風險進行了一定程度的識別。如製定的《授信管理製度》、《信貸業務實施細則》等管理製度,規定了識別、計量和評估授信風險的程序和方法;《貸款質量五級分類管理辦法》和《貸後管理辦法》對監測和管理授信風險、程序和方法作了規定。製定的《×××商業銀行會計管理與操作》,對存款與櫃台業務操作及風險控製提出了要求,明確了相關程序和方法。中間業務方麵,20××年上半年開辦××借記卡業務時,事先製定了借記卡業務的政策、製度和程序,並將有關程序和流程傳達到相關人員。同時,通過成本與收益測算、市場分析、風險控製分析等手段對產品開發流程各環節是否符合效益性和安全性原則進行了監控。編製的《風險點內部控製綱要》對各業務、各部門的風險點進行了確定。

(2)法律法規、監管要求和其他要求的識別。該行能夠對授信業務有關的法律法規、監管要求和其他要求進行識別和控製,基本能夠及時更新法律法規、監管要求和其他要求的信息,並將信息通過文件、會議、培訓、組織學習等方式傳達給相關員工。製定的規章體係中體現了遵循有關法律法規的要求。

(3)內部控製方案。該行製定的各項內部控製方案基本確定了風險控製要點,規定了相應的控製措施。方案基本包括了各項任務和各控製部門的職責權限和相應的控製方法。控製方案基本能得到實施。

3.內部控製措施方麵

(1)運行控製。高管層能夠要求各業務管理部門和支行報告經營管理情況。會計管理部定期收集各支行存款櫃台業務的管理情況報告,對存在問題及時要求整改。不兼容崗位能夠適當分離。實行了全行票據集中管理、銀行承兌彙票集中簽發、質押存單、權利憑證集中管理。運行控製基本有效。如計劃財務管理方麵建立健全了業務部門檢查製度,對總行和支行財務管理工作進行定期或不定期檢查,就檢查中發現的問題限期整改並對有關責任人員進行處理。同時,財務管理內部控製得到不斷改進,實行了全行固定資產由總行統一購置、統一賬務核算;內部賬務的掛賬與核算由總行按照權限進行處理,營銷費用及專項費用的撥付,由行長辦公會研究決定。

(2)計算機係統環境下的控製。目前,該行的計算機係統有綜合業務操作係統、內部風險實時監控係統和用友ERT-U8財務管理係統。計算機係統風險防範措施包括密碼、密鑰、客戶身份識別、安全鏈接、內外網物理隔離等。綜合業務操作係統製定了明確成文的準入標準和操作規程。科技信息部有專職計算機安全管理人員,各支行配備了兼職計算機安全員,職責分工明確。

(3)應急準備與處置。該行製定了《計算機係統安全應急方案》、《綜合業務係統應急方案》、《支付清算係統危機處置實施預案》、《防暴預案》和《防火預案》等應急預案,以防範可能發生的意外或緊急事件情況。如計算機係統采用雙機設備,設有災難備機,相關數據均有備份,出現嚴重故障時具有恢複啟動能力。同時,還根據需要對應急方案進行修訂,不定期舉行故障排除和災難恢複演練。

4.監督評價與糾正方麵

(1)內部控製績效監測。該行基本建立了內部控製績效的監測程序、業務部門檢查製度和審計部門審計監督製度。如信貸管理部建立了授信資產質量監測體係,監測資產質量的變化;建立了貸款風險分類製度,規範貸款質量的認定標準和程序;設立了授信盡職調查崗,對授信業務流程的各項活動進行盡職調查;對授信業務各環節出現的問題經過適當程序確認,並責成相關人員進行糾正;基本上能夠做到對違規造成的授信風險和損失逐筆進行責任認定,並按規定對有關責任人進行處理。

(2)違規、險情、事故處置與糾正預防措施。該行按照《×××商業銀行違規操作行為處罰處理辦法》的規定,由業務管理部門上報並核實出現的各類問題,審計部門進行責任認定,監察部門提出處理意見,行長辦公會研究處理結果,並責成相關人員進行糾正。基本能夠按規定對有關責任人進行處理,並進行記錄。

(3)內部控製體係評價。該行對內部控製體係評價按《×××商業銀行內控製度考核評價試行辦法》進行,該辦法規定了評價的準則、範圍、頻次、評價的方法。20××年進行了檢查評價和督促整改。

(4)持續改進。該行能夠利用內控檢查評價結果、績效監測等,對內部控製體係進行改進,以提高內部控製的有效性。

5.信息交流與反饋方麵

(1)交流與溝通。董事會和高級管理層能夠及時了解業務信息、管理信息和其他重要風險信息。基本建立並保持了信息交流與溝通程序,製定了《急重大情況報告製度》、《信貸風險預警製度》和《客戶重大經營事項報告製度》等報告製度。險情、事故發生時,相關信息能得到及時報告和有效溝通。

(2)內部控製體係對文件的要求。該行的內部控製文件基本充分,不存在無章可循情況。

(3)文件控製。該行對有關文件指定專人進行管理,基本能得到有效控製。20××年進行了全行性的文件清理,基本保證了文件的適宜性。

(4)記錄控製。該行製定了統一的檔案管理辦法,符合管理規定的要求。

三、存在的主要問題和缺陷

1.內部控製環境有待進一步優化

(1)商業銀行公司治理不夠完善。董事會與監事會均未設立提名委員會。股東大會沒有實行律師見證製度,股東大會議事規則中無關聯股東的回避製度。監事會議事規則不夠完備,個別條款違反《章程》有關規定。未建立獨立董事和外部監事製度。審計委員會沒有要求銀行報送內部審計報告並進行評價。

(2)董事會、監事會和高管層對內控管理的責任需進一步加強。董事會定期檢查、評價商業銀行整體經營戰略和重大政策執行情況不夠全麵,沒有審批高管層製定的風險防範措施及額度設置,未審查內部審計部門對銀行內部控製的評價報告,對銀行業務風險了解也不夠深入和全麵。監事會沒有組織對內部控製進行檢查,也未對董事會及董事、高管層及高管人員履行內部控製職責情況進行檢查。同時,該行對內部控製體係缺失所采取的整改措施存在有效性不足的情況。

(3)內部控製政策不夠全麵。沒有製定具體的、可操作的產品開發政策文件。沒有建立會計事後監督製度、會計管理定期評審製度和財務政策定期評審製度。《關於對票據業務發展及規範業務操作流程的通知》規定“麵向特定客戶可以適當簡化票據查詢手續,實行邊查詢,邊貼現”違反現行監管規定。同時,存在個別管理製度製定不夠及時,個別員工對規章製度的熟悉和掌握程度還不高現象。

(4)內部控製目標不夠明確和細化。沒有製定可量化並分解為指標的會計管理、產品開發和中間業務內部控製目標,計算機係統內控具體目標不夠細化和完善。

(5)組織結構有待完善。內部審計部門的獨立性不夠充分,不能獲得銀行的所有經營信息和管理信息,審計人員配備不足。沒有建立內部審計風險評級體係,未根據審計風險評級結果確定審計頻率,以及對機構和業務的審計覆蓋率。內部審計報告沒有及時報董事會或董事會審計委員會。沒有設立履行風險管理職能的專門部門。沒有成立專職部門對產品開發進行統一管理和規劃。關鍵崗位強製休假製度也未得到執行。

(6)需進一步營造良好的企業文化。未建立針對資金業務、產品開發和中間業務員工違規行為的補救和處罰應急機製。未製定專門針對產品開發和資金業務員工的行為準則。

(7)人力資源管理不夠完善。未建立資金業務和產品開發人員的管理政策和程序。沒有根據資金交易的風險程度和管理能力,就交易品種、交易金額及止損額等對交易員進行授權,也未建立資金業務人員的盡職要求和工作盡職問責製。沒有對產品開發人員的職責、權限和任職條件進行書麵規定。對計劃財務的人員管理沒有製定專門的政策和程序。會計人員沒有全部做到持國家認可的從業資格證上崗,持證比例僅為63%。員工整體綜合素質還有待提高。

2.風險識別與評估體係有待健全

(1)經營管理活動風險識別與評估。對資金業務交易風險沒有形成書麵的識別、評估和控製報告。未對存款和櫃台業務、中間業務、會計管理、安全保衛等風險的後果及發生的可能性等進行評估或者評估後未形成評估報告。沒有製定評估、監測財務風險的程序和辦法。也未對財務風險和計算機係統部分非技術風險進行持續識別和評估。

(2)內部控製方案不夠全麵。沒有製定資金業務和中間業務風險控製方案。未製定當資金市場出現極端異常風險時的控製與應對措施。計劃財務與會計管理的風險控製要點和控製措施不夠明確。

3.內部控製措施有待進一步提高

(1)運行控製能力有待提高。

一是對集團客戶和關聯企業授信風險的控製措施不夠有效,雖製定了集團客戶授信管理辦法,但尚未將同一集團內各個企業的授信業務納入統一授信限額內,核定集團的總授信限額。對關聯交易尚未製定控製措施與實施細則,對關聯方授信超比嚴重問題的控製效果不夠明顯。同時,對貸款客戶集中度的壓降措施有待進一步加強。

二是計劃財務管理控製存在缺陷。資產負債比例管理委員會和財務審查委員會均未製定工作規劃,且財務審查委員會工作職責中對重大財務事項的審查審批規定不夠明確具體;資產減值事項未納入財務管理與核算;編製的財務計劃內容不夠完整,缺少資產質量情況和機構人員狀況統計,對計劃完成情況中存在的問題未提出書麵建議;存在不按規定的財務管理權限審批費用和財務收支不夠真實現象。此外,對固定資產管理與核算不到位問題,沒有按監管部門要求進行及時整改。

三是會計管理不到位。銀企對賬頻率不足、對賬單收回率低。未製定特別轉存授權和拒絕付款業務授權等分責授權製度。存在會計交接不規範現象。

四是部分計算機軟件開發測試方案沒有根據實際情況進行調整與完善,設備購置控製有待加強,部分非日終數據備份管理不到位。

五是未製訂產品開發相關程序。

(2)計算機係統環境下的控製不夠健全。授信業務、資金業務、中間業務、產品開發、安全保衛沒有建立管理信息係統,不利於相關業務的控製與管理。授信、資金業務沒有建立客戶管理信息係統,不能全麵和集中掌握客戶的資信水平、經營財務狀況、償債能力等信息。內部風險實時監控係統尚未建立配套的管理製度和操作規程。

(3)應急準備與處置製度不夠完善。資金業務、計劃財務、產品開發、中間業務沒有製訂應急預案。同時,資金業務未對異常資金交易及資金變動建立預警和處理機製。《綜合業務係統應急方案》沒有根據業務情況的變化及時進行補充完善。對《支付清算係統危機處置實施預案》尚未製定定期評審製度。

4.監督評價與糾正需進一步加強

(1)內部控製績效監測不全麵。資金業務、中間業務、計劃財務、會計管理、計算機係統、產品開發沒有建立內部控製績效監測製度。未建立主管行長、財務部門負責人對財務管理工作及財務人員的檢查製度。產品開發和資金業務沒有設立盡職調查崗位,計算機係統也未建立自律監管責任製並設置監督崗位。對安全保衛沒有建立審計部門審計監督製度。沒有對全行審計工作執行有關審計政策、審計準則和規章製度情況進行監管和檢查,也未對審計效果進行評價。

(2)違規、險情、事故處置與糾正預防措施存在執行不到位現象。20××年,會計結算部對各支行(營業部)會計業務核算共進行了3次專項檢查,對檢查出的問題沒有按規定進行處理。對產品開發各環節出現的問題沒有進行責任認定,並責成相關人員進行糾正。

(3)內部控製體係評價流於形式。該行按《×××商業銀行內控製度考核評價試行辦法》進行的內部控製體係評價,其實際內容為對各業務管理部門和支行的內控考核評價,不是對整個銀行的內控體係進行綜合評價。同時,辦法製定後該行僅在20××年進行了1次評價,遠未達到規定的“每半年1次”的頻率。

(4)未開展管理評審工作。該行沒有建立管理評審的程序文件,也未實施管理評審。

5.信息交流與反饋存在個別不完善現象

該行沒有建立足夠清晰明確的報告製度。如未製定資金交易風險和市值的內部報告製度、中間業務重大事項報告製度、財務管理風險報告製度、新產品創意報告製度、產品開發後評價情況報告製度,會計管理報告製度和計算機風險報告製度也不夠完善。沒有建立充分的產品開發內部控製文件和檔案管理規定。存在個別檔案資料更新不及時現象。

四、評價結果

通過對該行內部控製環境、風險識別與評估、內部控製措施、監督評價與糾正、信息交流與反饋等體係要素的評價,該行過程評價得分為49.31分,對內部控製主要目標實現程度的評價,該行結果評價得分為14.35分。

綜合得分為63.66分。

評價等級為四級。

五、整改意見

1.營造良好的內部控製環境

以本次內部控製檢查與試評價為契機,明確董事會、監事會和高管層對內控管理的責任,真正把銀行內控管理作為一項重要工作來抓。要製定明確的內控管理政策與目標,建立分工合理、職責明確、報告關係清晰的組織結構。積極培養員工內部控製意識,倡導健康的企業文化,要加強對員工業務行為的約束,經常開展思想教育和業務培訓,提高員工綜合素質,增強識別和防範風險的意識和能力。

2.建立健全風險識別和評估機製

根據業務經營管理活動特點,應盡快建立一套符合法律法規和監管要求的風險識別與評估體係,加強對各類風險的識別和量化測評。應根據需要及時調整經營戰略,控製可能出現的風險。

3.完善內控製度建設

製定明確的業務目標和方案,製定有效的業務管理政策和程序,建立健全激勵機製。在原有內控製度基礎上,該建立的建立,該補充的補充,該修正的修正,該廢止的廢止,建立一套行之有效的內部控製製度。對操作風險防範,要重點解決好支行管理缺位、權限管理流於形式、銀企對賬覆蓋率低、業務操作有章不循等問題。

4.切實有效實施內部控製的監督評價與糾正

建立並保持書麵程序,通過適宜的監測活動,對內部控製績效進行持續監測。規範開展內部控製體係評價工作,有效進行管理評審,董事會應采取措施保證定期對內部控製狀況進行評審,確保體係得到持續有效改進。

5.製定內部控製實施細則

對照《商業銀行內部控製評價試行辦法》和《商業銀行內部控製指引》,製定相應的內部控製實施細則。

上一頁 書頁/目錄 下一章