银行内控评价现状及发展趋势农发1512

银行内部控制评价及趋势主要内容内控基本规范的内容内部审计新理念内部控制评价及趋势审计新理念及审计范围的拓展•白岩松评审计报告：•年年做体检从来不治病•央视《新闻1+1》2012年6月28日播出•《审计：还是老面孔，还是老问题！》一、内部审计新理念•内部审计（IIA）•是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。他通过应用系统地、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。•真实、合法、效益增值型内部审计传统审计与现代审计二、审计范围的拓展对比•历史对比•行业一般情况对比•预期目标对比•研究对比唐代”比部“三、内部审计的作用•卫士•医师•谋士•防火墙•看门狗•免疫系统•国家治理•信息提供者李克强强调：•审计对经济的“体检诊断”功能•公共资金的“守护者”•权力运行的“紧箍咒”•反腐利剑内部审计的战略转型财务审计管理审计•查错纠弊•事后审计•检查系统•财务审计•审计范围狭窄•确认•发现问题•风险导向•事前事中审计•控制系统•管理审计•审计范围拓展•确认与咨询•改进建议企业内部控制基本规范案例1巴林银行案例3中航油事件2004年12月，中国航油集团唯一的海外公司——中国航油（新加波）股份有限公司发布了一个令人震惊的消息：因石油衍生产品交易，总计亏损5.5亿美金。案例2大和银行1、什么是企业内部控制：A.内部牵制B.内部控制制度C.系统性的框架D.风险管理系统2、企业为什么要加强内部控制A.保证国家有关法律法规及规章的贯彻执行B.保证商业银行发展战略和经营目标的实现C.提高企业风险防范能力D.保证业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时问题与思考一、什么是内部控制•曲突徙薪无恩泽•焦头烂额为上客一、什么是内部控制最早定义内部控制的是1936年美国注册会计师协会发布的《独立公共会计师对财务报表的审查》，该文件将内部控制定义为：保护现金和其它资产，检查簿计事务的准确性，而在公司内部采用的各种手段和方法。R·H·蒙哥马利在《审计——理论与实践》一书中指出，所谓内部控制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度，即某位职员的业务与另一位职员的业务必须是相互弥补、相互牵制的关系。一、什么是内部控制•内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。商业银行内部控制指引中国银监会2014年9月12日一、什么是内部控制内部控制流程图内部控制内部牵制不相容职务分离职责分配程序分段评估自我评估内审评估改善控制被神化的内部控制与被冷落的内部牵制•李心合•内部控制在其演进中功能逐渐被放大，如今已经被全能化和神化，内部控制使得世人难以理解和驾驭。•内部控制需要走下神坛，需要缩小其内涵和边界，同时还需要重启长期被冷落的内部牵制，并需要创新内部牵制的内涵和机制。二、企业内部控制相关法规发展历程199720012002200320042005中国“银广厦件”美国“安然事件”中国人民银行《商业银行内部控制指引》证监会《证券公司内部控制指引》上交所《上海证券交易所上市公司内部指引（征求意见稿）》中国人民银行《加强金融机构内部控制的指导原则》财政部《内部会计控制规范》中注协《内部控制审核指导意见》银监会《商业银行内部控制评价试行办法》二、企业内控相关法规发展历程财政部成立企业内部控制标准委员会银监会《商业银行内部控制指引》五部委正式颁布《企业内部控制基本规范》证监会《关于提高上市公司质量的意见国务院转批》上交所《上海证券交易所上市公司内部控制指引》深交所《上市公司内部控制指引》证监会《上市公司监督管理条例》（征求意见稿）2005200620072008200920102014财政部《企业内部控制规范—基本规范》和17项具体规范（征求意见稿）五部委三个配套指引（征求意见稿）五部委修订应用指引（征求意见稿）五部委正式颁布：《内部控制应用指引》《内部控制评价指引》《内部控制审计指引》证监会《首次公开发行股票并上市管理办法》第29条银监会修订《商业银行内部控制指引三、企业内部控制基本框架风险评估控制活动信息和传递监督1992COSO报告《内部控制——整体框架》2002《萨班斯—奥克斯法案》，内部控制有效性2004《企业风险管理—整合框架》(EＲM)2013年《内部控制—整合框架(2013)》，防止欺诈、舞弊行为的发生银监会2014.9.12修订《商业银行内部控制指引》控制环境ERM框架内部环境目标设定风险识别风险评估风险应对控制活动信息与沟通监控子公司业务单位分支机构企业整体层次要素维组织维目标维银行内部控制原则全覆盖审慎性制衡性相匹配（成本效益原则）三、内部控制评价及趋势第2201号内部审计具体准则--内部控制审计•第二条内审机构对组织内部控制设计和运行的有效性进行审查和评价的活动。1、内部控制审计？2、内部控制评价？企业内控基本规范及配套指引—框架2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委联合发布经过两轮的意见征求过程，五部委于2010年4月26日联合发布了《企业内部控制配套指引》企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引适用于企业管理层、监管机构咨询方适用于注册会计师如何开展内部控制审计评价创新理念管理入手理论指导内控审计项目选择审计目标项目内容审计方法审计评价审计报告一、项目选择•2008年9月至11月底，国家审计署对中国银行股份有限公司总行及所属15家分行改革成效等情况进行了专项审计调查。•问题建议原因国有商业银行内部控制有效性的专项审计调查项目的选择1专项资金审计项目（固定资产购建、粮食收购贷款、地方储备和调控粮贷款等）财务预算和费用开支是否合规3风险管理内部控制人力资源信息系统政策评估......2专项资金经济效益审计财务收支经济效益（预算和费用开支是否符合节约原则）二、内控评价的主要内容要素1要素2要素3要素4控制环境信息与沟通控制措施风险评估要素5监督（一）控制环境•治理结构、组织结构及责权体系•董事会、审计委员会、内部审计•正直和道德观念•管理者的品行及管理哲学•人力资源政策和措施•企业文化风险评估控制活动信息与沟通内部监督内部环境•至诚服务有效发展以人为本构建和谐•内部审计处专业理念：•无情检查真情服务于无情处见真情（二）风险评估暴露的问题发生的可能性风险的大小内部控制降低法兴银行案例•法兴银行期货交易员杰罗姆.凯维埃尔，•2006年6月至2008年1月，法兴银行的运营部门、股权衍生品部门、柜台交易、中央系统管理部门等28个部门的11中风险控制系统自动针对凯维埃尔的各种交易发出了75次报警。（二）风险评估2a风险评估：风险识别2b风险评估：风险分析3.风险管理方法选择4a没有必要管理风险4b实施风险管理避免风险减少风险转嫁风险自留风险1.制定风险管理计划5.检查和评价风险管理程序风险评估控制活动信息与沟通内部监督内部环境案例五高等院校的风险评估某高校以本科生教育为主，发展研究生教育，经、管、法、文、理、工等六大门类学科结构合理、相互支撑，建成优势突出、特色鲜明、质量优良的财经类院校。作业目标学科建设-六大学科师资队伍-100，300，400。校园建设-2200亩学生培养-2.0万人风险评估目标设定事项识别监控分析事项识别风险应对•该学校对7项风险进行定量评估，其中：风险（1）国家政策风险的可能性为23%，发生后对造成的损失为8100万元（2）竞争对手风险为40%，可能发生后造成的损失为13800万元；…….（7）就业风险发生的可能性在20%到25%之间，发生后造成的损失在4500万元到5100万元之间.在风险坐标图上用一个区域来表示，则绘制风险坐标图如下：可能性重要性风险评估目标设定事项识别风险应对1国家政策风险2竞争者风险3教育评估风险4硕点博点风险5新校区建设风险6还本付息风险7就业风险（三）控制活动•不相容职务分离：职责分工•授权审批控制（一般、特殊）•会计系统控制•凭证与记录控制•财产保护控制•预算控制•各项业务的控制•绩效考评控制业绩评价；风险评估控制活动信息与沟通内部监督内部环境（“双线核算、双线控制”）100登记簿余额表经分户帐济106业凭证凭证整理单总帐日计表务现金收付现金库存库存日记簿簿现金一般账务组织100登记簿余额表经分户帐济100业凭证科目日结单总帐日计表务现金收付现金库存库存日记簿簿现金电算化条件下账务处理程序（四）信息与沟通内部环境信息控制的三个要点：正确的信息适当的时候正确的人员沟通是信息流通的渠道，也是信息的来源外部沟通有多种来源：利益相关者沟通的方式多种风险估评控制活动信息与沟通内部监督德国队7比1“血洗”东道主巴西•10分钟创造700万个数据点•德国队使用了SAP(77.79,0.00,0.00%)MatchInsights(比赛洞察力)系统。协助教练从中发现规律，优化球队的训练方法和战术。“足球运动中产生的数据量，远远超出了外界的想象，比如10个球员用3个球进行训练，10分钟就能产生出700万个可供分析的数据点。”10分钟的悲剧•2008.9.15.上午10点，雷曼兄弟公司（158年历史）破产•10：10，德国国家发展银行通过计算机自动付款系统，向其转入3亿欧元•德国销量最大的《图片报》：德国最愚蠢的银行董事长保卢斯：我们还没有得到风险评估报告，无法及时做出正确的决策。•董事会秘书史里芬：我打电话给国际业务部催要风险评估报告，可那里总是占线，我想还是隔一会儿再打吧。文员施特鲁克：10点03分，我在网上看到了雷曼兄弟公司向法院申请破产保护的新闻，马上就跑到希特霍芬的办公室，可是他不在，我就写了张便条放在办公桌上，他回来后会看到的。结算部经理德尔布吕克：今天是协议规定的交易日子，我没有接到停止交易的指令，那就按照原计划转账吧。（五）内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时改进的过程，包括以下三方面：日常监督专项监督缺陷报告内部环境风险评估控制活动信息与沟通内部监督•第四十三条商业银行内部审计部门、内控管理职能部门和业务部门均承担内部控制监督检查的职责，应根据分工协调配合，构建覆盖各级机构、各个产品、各个业务流程的监督检查体系。商业银行内部控制指引中国银监会2014年9月12日齐鲁银行骗贷案例•普华永道中天会计师事务所•2009年财务报表及审计报告•齐鲁银行的第三方存款质押业务存在借款人营业收入与贷款规模不匹配等诸多问题•《报告》注明了“保留意见”2010年齐鲁银行撤换了该会计师事务所。高管层，内部控制制度？三、内控评价的重点从来制度就是少不了的，少了的是制度的执行。难100-1≠99100-1=01%的错误会导致100%的失败。三、内控评价重点治理结构层面（整体单位）业务操作层面制度设计方面制度执行方面内控审计评价有效性健全性《企业内部控制评价指引》指出对“内部控制设计与运行的有效性”进行综合评估。四、内部控制评价的方法•访谈问卷调查专题讨论穿行测试控制点测试实地查验抽样比较分析等方法••充分收集内控设计和运行是否有效的证据•（第2201号内部审计具体准则——内部控制审计第19条）审计证据与审计方法•内控评价（拓展）•穿行测试•调查问卷•控制点测试•专家意见法•访谈•观察法•论证法•综合评价法•......（一）审核；（二）观察；（三）监盘；（四）访谈；（询问）（五）调查；（新增）（六）函证；（七）计算；（八）分析程序《2103号-审计证据》存货内部控制调查表调查内容是否不适用符合性测试1．仓储部门收到材料、产品、商品时，是否对其数量进行了清点，并同收货报告单进行了核对？2．所有入库材料、产品、商品，是否填写了入库通知单？3．存货实物记录同账户记录的职员是否分离？4．永续盘存制下，仓储部门实物账是否与会计部门账务定期核对？5．存货实地盘点时，是否有独立于保管、使用、记账职能的职员参加？（略