商业银行内部控制评价

商业银行内部控制评价*主要内容一、商业银行内部控制概述二、商业银行内部控制评价三、商业银行内部控制审计案例四、国有商业银行内部控制评价及信息披露分析*一、商业银行内部控制概述---内部控制定义商业银行内控评价指引内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 、流程和方法，实现控制目标的动态过程和机制。企业内控基本规范内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。COSO报告内部控制是公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：经营的效率和效果，财务报告的可靠性和法律法规的遵守。一、商业银行内部控制概述---内部控制目标企业内控基本规范合理保证企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略。COSO报告合理保证经营的效率和效果财务报告的可靠性法律法规的遵守。商业银行内控评价指引保证国家有关法律法规及规章的贯彻执行。保证商业银行发展战略和经营目标的实现。保证商业银行风险管理的有效性。保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。一、商业银行内部控制概述---内部控制原则商业银行内控评价指引全面性原则制衡性原则审慎性原则相匹配原则企业内控基本规范全面性原则重要性原则制衡性原则适应性原则成本效益原则一、商业银行内部控制概述---内部控制要素企业内控基本规范内部环境风险评估控制活动信息与沟通内部监督商业银行内部控制内部控制环境风险识别与评估内部控制措施信息交流与反馈监督评价与纠正COSO报告控制环境风险评估控制活动信息与沟通监控一、商业银行内部控制概述---内部控制要素关系一、商业银行内部控制概述---内部控制规范主体内部控制制度规范发布单位发布时间企业企业内部控制基本规范企业内部控制基本规范配套指引财政部等财政部等20082010商业银行商业银行内部控制评价试行办法商业银行内部控制指引商业银行内部控制指引商业银行内部控制评价指南银监会中国人民银行银监会中国人民银行200420022007、20142015行政事业单位行政事业单位内部控制规范（试行）财政部2012二、商业银行内部控制评价什么是商业银行内控评价？为什么要进行商业银行内控评价？谁来评价商业银行内部控制？什么时候进行评价？怎样进行内控评价？What?Why?Who?When?How?二、商业银行内部控制评价---内部控制评价定义商业银行内控评价指引商业银行内部控制评价是对商业银行内部控制体系建设、实施和运行结果开展的调查、测试、分析和评估等系统性活动。企业内控评价指引内部控制评价是指企业董事会或类似权利机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制审计准则内部控制审计是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。（《第2201号内部审计具体准则——内部控制审计》）二、商业银行内部控制评价评价目的评价主体评价思路评价方法评价程序评价内容评价工作底稿评价报告评价后续活动评价依据二、商业银行内部控制评价---评价目标企业内控评价指引内部控制的有效性设计的有效性：内部控制设计的有效性，是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；运行的有效性：内部控制运行的有效性，是指现有内部控制按照规定程序得到了正确执行。商业银行内控评价指引内部控制过程的充分性、合规性、有效性、适宜性充分性：过程和风险是否已被充分识别？合规性：过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持？有效性：控制措施是否有效？适宜性：控制措施是否适宜？注：对不适用的过程要素要标注“不适用”二、商业银行内部控制评价---评价主体董事会是内部控制评价的责任主体，对内部控制评价承担最终的责任，对内部控制评价报告的真实性负责。商业银行内部控制评价应当由董事会指定的部门组织实施。（商业银行内控指引36条）可授权内审机构或专门机构，也可委托事务所等中介机构实施评价。设置条件：具备独立行使监督权力；具备评价内部控制的专业胜任能力和职业道德素养；与企业其他职能机构在监督与评价内部控制系统方面保持协调一致；具有权威性，得到企业董事会和经理层支持。二、商业银行内部控制评价---评价思路：自上而下风险导向企业商业银行企业层面企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。……控制环境、风险识别与评估、内部控制措施、监督评价与纠正……业务流程层面根据管理需求和业务活动的特点，针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、财务报告、全面预算、 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 管理、信息系统等业务层面内部控制的设计和运行情况进行评价。……授信业务、资金业务、存款与柜台业务、支付结算业务、中间业务、联行清算业务、会计管理活动、产品开发、 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 与财务活动、安全保卫……二、商业银行内部控制评价---评价内容---控制环境评价COSO报告企业内部控制基本规范商业内部控制评价办法控制环境是一个公司的基调，它影响着公司内部员工的控制意识，主要包括•诚信、道德价值观和企业员工的竞争力；•管理哲学和经营风格；•管理层如何进行授权和职责分配，如何组织和发展它的员工；•董事会提供的关注和指导。内部环境是企业实施内部控制的基础，主要包括•治理结构•机构设置与权责分配、•内部审计•人力资源政策•企业文化。•商业银行公司治理•董事会、监事会和高级管理层责任•内部控制政策•内部控制目标•组织结构•企业文化•人力资源二、商业银行内部控制评价---评价内容---风险识别与评估评价COSO报告企业内控基本规范商业银行内控评价办法风险评估是发现和分析对达到目标有影响的风险的过程，是确定如何管理和控制风险的基础，包括•目标设定•风险识别•风险评估•风险应对风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。包括：•风险识别•风险评估•风险应对•经营管理活动风险识别与评估•法律法规、监管和要求和其他识别要求的识别•内部控制 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 风险识别与评估评价---风险定义（1）信用风险：是指由于借款人或交易对手不能履约或履约意愿变化所带来的风险。市场风险：是指由于市场价格的不利变动使银行的表内和表外头寸遭受损失的风险。操作风险：是指由于不完善的或失效的内部程序、人员、系统或外部事件导致损失的风险。流动性风险：是指银行无力为负债的减少或资产的增加提供融资，即当银行流动性不足时，它无法以合理的成本迅速增加负债或变现资产获得足够的资金，从而带来损失的可能。利率风险：是指银行的财务状况在利率波动时出现损失的可能。利率风险不仅影响银行的盈利水平，也影响银行资产、负债和表外金融工具的经济价值。法律风险：是指因现行法律不完善、不明确以及法律修改，不完善、不正确的法律意见、文件，交易行为违反法律和监管规定等原因导致银行损失的可能。国家和转移风险：是指由于非正常的、对所有贷款或交易头寸都产生风险的原因，一国的主权借款人可能无力或不愿意、而其他借款人或交易对手可能无力履行其对外义务所产生的风险。声誉风险：是指由于银行操作失误、违反法规、经营不善及其他问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 而带来的银行市场形象上的不利影响。风险识别与评估评价---风险定义（2）风险识别与评估评价---操作风险识别评估流程（1）流程梳理和分析（2）风险识别（3）确定风险（4）确定风险是否可承受（5）制定风险控制措施计划（如有必要）（6）评审措施计划的充分性风险识别与评估评价---风险后果等级等级描述词详细描述1灾难性超出可承受的能力，巨大的财务损失。如：系统数据全部丢失；财务损失超过经济资本等。2较大较大的财务损失或人员伤害，极其不良的影响。如：较大的贷款损失。3中等中等财务损失，有一定不良影响。4较小较小的财务损失。如：如金额较小的短款。5无关紧要极小的财务损失，几乎没什么影响。如：普通凭证遗失。风险识别与评估评价---风险可能性等级等级描述词详细描述A几乎肯定预期大多数情况下发生（可能性大于95％）B很可能在大多数情况下很可能会发生（可能性在60％－95％）C可能在某种情况下可能发生（可能性在10％－60％）D不太可能在某种情况下能够发生，但可能性较小（可能性在10％以下）E罕见仅在例外的情况下会发生（可能性在1％以下）风险识别与评估评价---风险等级矩阵LMMHH3中等LLMMH4较小ILLMM5无关紧要HME罕见EHD不太可能EHC可能EEB很可能EEA几乎肯定1灾难2较大后果可能性不可接受风险有条件接受风险可接受风险风险识别与评估评价---风险等级含义风险水平详细描述E－Extreme极度风险，要求立即采取措施H－High高风险，需要高层关注M－Medium中等风险，必须规定控制程序和责任L－Low低风险，用日常程序处理I－Ignoring极小风险,基本不用处理风险识别与评估评价---风险等级与控制措施风险水平等级措施不可接受风险E直至风险降低后才能开始工作。为降低风险有时必须配给大量资源。当风险涉及正在进行中的工作时，就应采取应急措施。HM有条件接受风险L通过评审决定是否需要另外的控制措施可接受风险I毋须采取措施且不必保留文件记录。二、商业银行内部控制评价---评价内容---控制措施评价COSO报告企业内控基本规范商业银行内控评价办法控制活动是确保管理层指令得到执行的各项政策及程序。它确保企业针对相关的风险采取了必要的措施，以实现企业的目标。控制活动贯穿于公司的各个阶层和职能部门，包括•对经营活动的审批、授权、确认、核对、审核•对资产的保护•职权分离等。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。主要控制措措施包括•不相容职务分离控制•授权审批控制•会计系统控制•财产保护控制•预算控制•运营分析控制•绩效考评控制控制措施包括：•运行控制•计算机环境下的控制•应急准备与处置二、商业银行内部控制评价---评价内容---监督评价与纠正评价COSO报告企业内控基本规范商业银行内控评价办法监督内部控制系统需要监督－一套随时评价内部控制系统运行状况的流程。通过持续的监督活动、单独的评价或两者的结合来完成这种控制。•持续的监督•单独评价内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。包括：•日常监督•专项监督监督评价与纠正•内部控制绩效监测•违规、险情、事故处置和纠正与预防措施•内部控制评价•管理评审•持续改进二、商业银行内部控制评价---评价内容---信息交流与反馈COSO报告企业内控基本规范商业银行内控评价办法信息与沟通必须以适当的方式在一定的时间范围内识别、获取和沟通有关的信息，以便员工能够履行其职责。信息必须在组织内自上而下、平行、自下而上，以及与外部各方有效传递。包括：•信息系统•沟通信息与沟通企业及时、准确地收集、传递与内部控制相关的信息，确保信息在单位内部、以及与外部组织之间进行有效沟通。包括：•信息系统•沟通•舞弊机制、举报人投诉制度和举报人保护制度信息交流与反馈•交流与沟通•内部控制体系对文件的要求•文件控制•记录控制二、商业银行内部控制评价---评价依据法律法规及监管要求商业银行内部控制评价办法商业银行内部控制评价指引企业内部控制基本规范企业内部控制评价指引第2201号内部审计具体准则——内部控制审计银行内部控制体系文件二、商业银行内部控制评价---评价时间商业银行应当根据业务经营情况和风险状况确定内部控制评价的频率，至少每年开展一次。当商业银行发生重大的并购或处置事项、营运模式发生重大改变、外部经营环境发生重大变化，或其他有重大实质影响的事项发生时，应当及时组织开展内部控制评价。二、商业银行内部控制评价---评价程序准备阶段实施阶段评价汇总结果、编制评价报告阶段报告反馈和跟踪阶段制定评价工作方案组成评价工作组二、商业银行内部控制评价---评价程序准备阶段实施阶段评价汇总结果、编制评价报告阶段报告反馈和跟踪阶段确定评价范围和重点充分了解评价单位情况开展现场检查测试二、商业银行内部控制评价---评价程序准备阶段实施阶段评价汇总结果、编制评价报告阶段报告反馈和跟踪阶段汇总评价人员工作底稿初步认定控制缺陷形成现场评价报告二、商业银行内部控制评价---评价程序准备阶段实施阶段评价汇总结果、编制评价报告阶段报告反馈和跟踪阶段提出整改建议跟踪其整改落实情况追究相关人员责任否明确企业内部控制目标制定内部控制审计/评价方案报董事会审批方案是否通过审批否组成审计/评价工作组是实施内部控制现场检查与测试是否存在缺陷是内部控制缺陷具体类型编制现场报告，并向被评价单位通报编制企业内部控制审计/评价报告汇总跟踪缺陷的整改落实情况二、商业银行内部控制评价---评价程序---审计/评价流程二、商业银行内部控制评价---常用方法压力测试询问法检查法流程图法观察法评价常用方法穿行测试法抽样法二、商业银行内部控制评价---计分方法---过程评价（70%）标准分值业务活动管理活动支持保障活动备注授信业务资金业务存款和柜台业务中间业务……计划财务会计管理……计算机系统产品开发安全保卫标准分值500一、内部控制环境1001.商业银行公司治理102.董事会、监事会和高级管理层责任103.内部控制政策204.内部控制目标205.组织结构206.企业文化107.人力资源10二、风险识别与评估1001.经营管理活动风险识别与评估502.法律法规、监管要求和其他要求的识别203.内部控制方案30标准分值业务活动管理活动支持保障活动备注授信业务资金业务存款和柜台业务中间业务……计划财务会计管理……计算机系统产品开发安全保卫标准分值三、内部控制措施1001.运行控制602.计算机系统下的控制203.应急准备与处置20四、监督评价与纠正1001.内部控制绩效监测302.违规、险情、事故处置和纠正预防措施203.内部控制体系评价204.管理评审205.持续改进10五、信息交流与反馈1001.交流与沟通252.内部控制体系对文件的要求253.文件控制254.记录控制25二、商业银行内部控制评价---计分方法---过程评价（70%）每项评价问题的评分标准（商业银行内部控制评价办法48条）1.被评价对象的过程和风险已被充分识别的，可得该项分值的百分之20%。2.在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要求的，可得该项分值的30%。3.在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的30%。4.在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的20%。过程评价得分=所有适用的具体评价对象在该过程的实际得分之和/具体适用对象的数量注意：不适用项目以及合规、违规、险情和事故的处理二、商业银行内部控制评价---计分方法---结果评价（30%）评价指标控制比例最高得分评分标准实际得分备注一、资本利润率≥13%50每减少1%减少4分二、资产利润率≥0.6%50每减少0.1%减少10分三、成本收入比≤35%50每增加1%减少2分四、大额风险集中度指标501.单一客户授信余额比例≤10%20每增加一个超控比例客户减2分2.十大客户授信余额比例≤30%10每超过1%减0.5分3.计入客户授信余额比例≤15%20每增加一个超控比例的集团客户减2分五、关联方交易指标501.单个关联方授信余额比例≤10%20每增加一个关联方减2分2.单个关联法人或其他组织所在集团客户的授信余额比例≤15%20每增加一个超控比例关联方减2分3.全部关联方授信余额比例≤50%10每超过1%减2分六、资产质量指标501.新发生不良贷款率≤0.1%15每增加0.1%扣5分2.不良贷款衡量指标35评价指标控制比例最高得分评分标准实际得分备注（1）不良贷款率≤3%10每高1%减1分（2）不良贷款额降低率≥10%10没少降低1%减1分（3）五级分类偏离度≤2%5偏差率每增加1%减1分（4）正常及关注类贷款迁徙率≤3%5偏差率每高于1%减1分（5）次级及可疑贷款迁徙率≤8%5次级及可疑贷款迁徙率每增1%减1分七、不良贷款拨备覆盖率≥80%50每少1%减1分八、资本充足率501.资本充足率≥8%25每少1%减5分2.核心资本充足率≥4%25每少1%减10分九、流动性指标501.准备金比率≥10%20每少1%减5分2.存贷比≤75%10每超出1%扣2分3.中长期贷款比例指标≤120%10每超出10%扣1分4.资产流动性指标≥25%10每少1%扣1分十、案件指标501.案件损失率≤0.1‰25每增加0.01‰扣2分2.发案率≤1%25每增加0.1%扣2分合计500二、商业银行内部控制评价---内部控制体系评价等级二、商业银行内部控制评价---内部控制缺陷的认定---概念一、内部控制缺陷的定义和种类内部控制缺陷是内部控制在设计和运行中存在的漏洞，这些漏洞将不同程度地影响内部控制的有效性，影响控制目标的实现。内部控制缺陷的认定通常被视作判断内部控制有效性的一个负向维度。衡量内部控制有效性的关键步骤就是查找内部控制在设计或运行环节中是否存在重大缺陷。二、商业银行内部控制评价---缺陷的认定---指引要求企业内控评价指引内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定。（企业内控评价指引17条）商业银行内控指引商业银行应当制定内部控制缺陷认定标准，根据内部控制缺陷的影响程度和发生的可能性划分内部控制缺陷等级，并明确相应的纠正措施和方案。（商业银行内控指引39条）二、商业银行内部控制评价---内部控制缺陷的认定---缺陷分类按缺陷的成因设计缺陷按缺陷的表现形式按缺陷的严重性运行缺陷重大缺陷重要缺陷非财务报告内部控制缺陷财务报告内部控制缺陷一般缺陷二、商业银行内部控制评价---内部控制缺陷认定---认定标准设计缺陷与运行缺陷(1)设计缺陷指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。(2)运行缺陷指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。二、商业银行内部控制评价---内部控制缺陷认定---认定标准重大缺陷、重要缺陷与一般缺陷重大缺陷，指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷，指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。一般缺陷，重大缺陷和重要缺陷之外的缺陷。中国银行财务报告内部控制缺陷认定标准中国银行非财务报告内部控制缺陷认定标准中国银行非财务报告内部控制缺陷认定标准二、商业银行内部控制评价---内部控制缺陷认定技巧----内部控制十大缺陷1、出纳管钱又对账，资金挪用不设防2、休假出差人手忙，临时安排祸要闯3、流水不腐是古训，轮换交接为良方4、招人考试加面相，背景不查要遭殃5、单位资源个人化，明星法师来当家6、控制全靠一支笔，“两院院士”不稀奇7、救火制度频频出，东一榔头西一棒8、文本制度不可少，流程图表更重要9、效率成本挂嘴上，风险存亡放两旁10、说一套来做一套，制度如同放空炮*一、内部控制评价底稿内部控制评价工作底稿是内部控制评价工作的载体，也是内部控制评价报告形成的基础。*二、商业银行内部控制评价---工作底稿与报告一般来说，评价底稿包括业务流程评价表、控制要素评价表、内部控制评价汇总表三个层次。控制缺陷举例*二、商业银行内部控制评价---内部控制报告的分类对外报告是为了满足外部信息使用者的需求，需要对外披露，在时间上具有强制性，披露内容和格式强调符合披露要求。对内报告主要是为了满足管理层或治理层改善管控水平的需要，不具有强制性，内容、格式和披露时间由企业自行决定。内部控制评价报告是内部控制评价的最终体现，可分为对外报告和对内报告。二、商业银行内部控制评价---内部控制评价报告的格式企业内部控制评价报告引言一、董事会声明二、内部控制评价的总体情况三、内部控制评价的依据四、内部控制评价的范围五、内部控制评价的程序和方法六、内部控制缺陷及认定七、内部控制缺陷的整改情况八、内部控制有效性的结论国有商业银行内部控制评价报告引言一、董事会声明二、内部控制评价结论三、内部控制评价工作情况四、其他内部控制相关重大事项说明二、商业银行内部控制评价---报告内容企业内部控制评价报告1.内部控制评价的目的和责任主体；2.内部控制评价的内容和所依据的标准。3.内部控制评价的程序和所采用的方法。4.衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法。5.被评估的内部控制整体目标是否有效的结论。6.被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响。7.造成重大缺陷的原因及相关责任人。8.所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等。国有商业银行1.内部控制评价的目的和责任主体；2.内部控制评价的内容和所依据的标准。3.内部控制评价的程序和所采用的方法。4.内部控制缺陷认定标准、缺陷认定及整改情况。5.内部控制评价结论。二、商业银行内部控制评价---报告内容商业银行内控评价报告检查评价工作开展情况被评价机构内控体系状况存在问题及原因评价结果整改意见二、商业银行内部控制评价---报告的报送企业内控评价报告《企业内部控制评价指引》规定，企业编制的内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业应以每年的12月31日为年度内部控制评价报告的基准日，于基准日后4个月内报出内部控制评价报告。商业银行内控评价报告商业银行年度内部控制评价报告经董事会审议批准后，于每年4月30日前报送银监会或对其履行法人监管职责的属地银行业监督管理机构。商业银行分支机构应将其内部控制评价情况，按上述时限要求，报送属地银行业监督管理机构。（商业银行内部控制指引第四十二条）三、商业银行内部控制审计案例商业银行内部控制现场检查与评估方案商业银行内部控制过程检查评价内容商业银行主要业务和管理活动内部控制评价要点商业银行内部控制报告示例四、国有商业银行内部控制评价及信息披露分析五大国有商业银行内部控制评价数据分析商业银行内部控制评价初步成效商业银行内部控制评价工作存在问题完善商业银行内部控制评价体系的建议*谢谢！请批评指正！