1、商业银行内部控制测评的程序和方法部控制测试程序和一般性部控制测评本章分三节介绍商业银行的部控制测试程序和一般性部控制测评。第一节简要介绍商业银行的部控制,包括部控制的目标、原则和部控制要素;第二节介绍商业银行部控制测评的程序和方法;第三节介绍商业银行一般性部控制及其测评,主要介绍部控制要素、会计系统、授信和资金业务系统、计算机系统、部控制的监督与风险评价五个方面的部控制测评。第一节 商业银行部控制简介一、商业银行部控制的含义从广义上说,部控制是组织机构在经营管理过程中,为保证管理有效、资产安全、会计数据准确真实及为鼓励遵守既定管理政策而采取的所有相应的方法和手段。而对商业银行来说,部控制是商业
2、银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防、事中控制、事后监督和纠正的动态过程和机制。真正的部控制机构,应是贯穿于商业银行各项业务活动全过程的控制系统,包括完善的规章制度、可行的操作规程、严密的控制程序和预警预报系统。各商业银行应充分认识到控制度建设的重要性,自发地而不是被动地加强控制度的建设,并作为其生存和发展的首要任务来抓,达到认识和实践的统一。从理论上讲,部控制的含义本身包括以下评价容和标准:一是部控制制度的客观存在性;二是部控制制度的可操作性和有效性;三是职责履行与部监督的独立性。二、商业银行部控制的目标和原则(一)商业银行部控制的目标1确保国家法律规定
3、和商业银行部规章制度的贯彻执行。2确保商业银行发展战略和经营目标的全面实施和充分实现。3确保风险管理体系的有效性。4确保业务记录、财务信息和其他管理信息的及时、真实和完整。部控制应当与商业银行的经营规模、业务围和风险特点相适应,以合理的成本实现部控制的目标。(二)商业银行部控制的原则商业银行部控制应当贯彻全面、审慎、有效、独立的原则,包括:1部控制应当渗透到商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查。2部控制应当以防风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“控优先”的要求。3部控制应
4、当具有高度的权威性,任何人不得拥有不受部控制约束的权力,部控制存在的问题应当能够及时反馈和纠正。4部控制的监督、评价部门应当独立于部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。三、商业银行部控制的要素部控制要素是指构成部控制的必要因素。只有部控制的各构成因素有机结合在一起,才能形成完整的部控制机制。商业银行部控制应当包括以下要素:部控制环境、风险识别与评估、部控制措施、信息交流与反馈、监督评价与纠正。(一)部控制环境商业银行部控制环境是指对部控制的建立和执行过程有重大影响的各种因素的总称。它是推动工作的发动机,是所有其他部控制组成部分的基础。商业银行应当建立良好的公司
5、治理以及分工合理、职责明确、报告关系清晰的组织结构,为部控制的有效性提供必要的前提条件。具体讲,控制环境又包括以下五方面的容。1管理理念管理理念是指管理人员在思想理念及实际行动上对部控制的重视程度。如,管理人员对业务风险的识别、重视程度,对风险采取的分析、评估和控制方法;管理人员为实现经营管理目标,对部控制的重视程度;全行是否围绕一个明确的管理理念经营管理等。2管理层一个商业银行如果有一个好的管理层,就为该行创造了一个良好的控制环境。好的管理层包括两方面含义,一是领导者自身要有正确的道德观和价值观,有一定的责任心和敬业精神,要带头认真执行行的各项规章制度;二是要有正确的管理方式,以科学的管理方
6、法使商业银行的运作规化、科学化,并在稳健经营的基础上发展壮大。3组织结构商业银行的组织结构是否合理至关重要,组织结构合理能够使各部门职责分明,既相互联系、又相互制约,有完善的授权授信机制,能够保证部门和分支行之间方便、快捷、准确地沟通信息,能够在商业银行部建立有效的监督机制。4人事政策和员工素质一个商业银行要有合理的人员招聘、录用、使用、晋职、解聘政策,能够充分调动员工的积极性,注重提高员工业务素质和政治素质。有明确的员工培训计划,使员工有较强的敬业精神和职业道德,在良好的氛围中充分发挥主观能动性,努力工作。科学的人事政策能合理利用人力资源,在降低人力资源成本的同时提高工作效率。5外部环境现代
7、商业银行是一个开放的系统,会受到外界有关部门和各项因素的干扰和影响。其中,有关部门主要是指如政府部门、中央银行、社会监督部门;各项因素是指国外经济形势、法律环境、社会公众要求、甚至自然灾害等。这些部门和因素对商业银行部控制制度的制定、执行都会产生影响。如为了降低商业银行的经营风险,国家规定必须进行分业经营,所有与存放款等传统银行业务无关的业务都不能经办,则商业银行部控制的外延就比可以进行多种经营时要小得多。(二)风险识别与评估为达到一定的经营目标而识别和分析风险,是风险管理决策的基础。风险评估时,评估人员要重视设立目标、分析风险和管理变化等方面的管理程序。风险评估包括对风险点进行选择、识别、分
8、析和评估的全过程。一是列出重要风险要素和风险控制点。商业银行首先要清楚在其经营管理过程中会出现的风险,风险要素和风险点的罗列要细致、全面,既要考虑部风险,又要考虑外部因素引起的风险;既要考虑静态风险,又要考虑动态风险;既要考虑操作风险,又要考虑体制和政策风险。二是对风险进行分析和评估。要事先对风险点进行评估,识别风险产生的原因及表现形式;识别每一重要业务活动目标所面临的风险;估计风险的概率、频率、重要性、可能性;风险所造成的危害。其目的是能够在业务开展前,测定出风险指标,并能够在业务发生后对风险进行跟踪监测。(三)部控制措施部控制措施就是确保管理方针得以实现的一系列制度、程序和措施。包括高层检
9、查、直接管理、信息加工、实物控制、工作指标和职责分离等。管理人员要为每一重大活动设立目标,并针对与这些目标相关的风险,列出所要采取的活动和措施,如完善制度、加强相互制约、健全奖惩机制、加强员工培训等。部控制措施要与风险评估过程联系起来,要恰当实际,要针对每一项重要业务活动,要保证管理指令的执行。(四)信息交流与反馈要使控制活动和措施有力地开展下去,一个商业银行必须及时获取外部信息,包括反映经营管理状况、法律法规执行情况、财务报表资料等部信息,以及其他外部信息,并使这些信息充分交流,如部部门之间、总行与分支行之间、分支行之间的相互交流,银行与客户、政府部门、中央银行之间的交流等。通过信息的获取和
10、交流,来完善和实现自身的目标,采取必要的控制活动和措施,及时解决存在的问题。如通过分支行之间、与中央银行之间的信息交流,获取主要客户在本系统其他分支行及其他银行的贷款和授信情况,以便本行确定适当的授信额度和测定信用风险。(五)监督评价与纠正为了保证部控制的有效性、充分性和可行性,必须考虑对部控制制度进行持续性评价和单项制度的分别评价。主要容包括:组织体系是否健全,决策系统、执行系统、监督系统和支持保障系统作用发挥如何;领导层对部控制的认识如何;是否有相应的管理制度和操作规程,这些制度和规程是否完善;是否具有明确的岗位责任制;授权、分工协作和相互制约机制是否健全;指标制定是否合理、完成情况如何,
11、是否具有完善的奖惩机制;员工对制度精神是否充分理解,执行情况如何;岗位轮换和员工培训情况如何;计算机、人事管理、信息管理、安全保卫等支持保障系统是否有效;部稽核体系是否健全,独立性和权威性如何,稽核力度和覆盖面是否足够等。第二节 部控制测评的程序和方法对部控制测评的过程也就是对控制风险进行评估的过程。需要注意的是,与固有风险评估一样,控制风险的评估需要大量运用审计人员的专业判断。在对固有风险和控制风险进行评估以后,审计人员就可确定检查风险,从而决定进行实质性测试的工作量。部控制测评包括初步了解部控制、确定审计策略,执行部控制测试、评估控制风险两部分。本章第三节将介绍部控制要素、会计系统、主要业
12、务系统、计算机系统以及部控制监督与风险评价等一般性部控制系统的测评,第四章至第十二章将详细介绍各业务系统的部控制测评,以更好地与各业务系统的实质性测试相衔接。一、初步了解部控制,确定审计策略(一)调查和了解部控制本指南采用调查表的方法进行。审计人员可以通过调查和了解,辨别出商业银行的具体控制环节和控制程序。审计人员没有必要对每项控制都进行深入分析,应关注那些可能对控制目标的实现有重大影响的控制环节,即关键控制点。(二)确定审计策略在调查的基础上,审计人员应确定审计策略,确定是否依赖被审计银行相关部控制进行审计。如果出现以下两种情况之一,审计人员不得采取依赖部控制审计策略: (1)相关部控制不健
13、全,存在重大风险失控点。 (2)部控制测试的工作量可能大于进行部控制测试所减少的实质性测试的工作量。二、执行部控制测试,评估控制风险审计人员根据部控制调查结果,在采取依赖相关部控制审计策略的情况下,对拟信赖的部控制采取适当和有效的方法进行测试,评价部控制风险和获取部控制保证程度。审计人员对第一次审计的商业银行和连续审计的商业银行本期发生变化的部控制环节,应按以下提供的程序和方法实施测试和评价。审计人员对连续审计商业银行的部控制测试和评价,可以参考上期审计成果,或采取按年轮流测试办法。(一)制定部控制测试计划1确定测试对象。2明确证据要求。3确定测试围。4明确可接受的控制风险或要求达到的控制保证
14、程度。(二)采取适当的部控制测试方法1询问并检查相关的部控制管理报告。即采用相互印证式的询问,查明相关部控制是否存在和有效运行,然后再根据询问的结果检查有关部控制管理报告,获取部控制有效运行的证据。这是在控制风险较低时比较常用的测试程序。2询问并实地观察未留下审计轨迹的部控制运行情况。在这种情况下,审计人员可通过询问并实地观察,以判断相关部控制规定是否得到遵守。3询问并检查交易和业务凭证等书面文档。即根据询问的情况、检查交易和事项的有关凭证,以获取部控制有效运行的证据。4重新实施相关部控制程序(即重做)。在实际测试工作中,应根据实际情况灵活采用各种测试方法。在上述四种方法中,以相互印证式的询问
15、为首选,通过询问法和辅以观察、审查书面文档和重做的方法,可以有效地获取审计所需证据,节约审计资源。具体运用中,对于通过询问不同的人员,同样的问题能够得到相互印证的,则不再扩大测试;对于同一问题出现相互矛盾的回答时,再辅以其他测试方法。在测试过程中,需要抽取一定的样本,以验证相关部控制是否有效。抽样时可以使用统计抽样的方法,也可以根据审计人员专业判断使用非统计抽样方法。本指南建议在部控制测试过程中使用非统计抽样技术。(三)获取部控制测试证据测试中,应获得如下审计证据,来证明控制活动和措施是否有效:1部控制如预期那样运转。2部控制在所审计期间一贯地、及时地发挥作用。3部控制涵盖所有交易。4部控制能
16、发现和修正错误。(四)记录部控制测试结果实施部控制测试后,应记录如下容:1测试的对象,包括测试的控制系统或业务循环、控制目标、控制活动和措施。2采取的测试程序和方法,包括检查的文件、程序、调查的人员。3测试结果,包括评定控制风险、指出失控的环节及对风险的影响。4测试结论,包括是否信赖相关部控制,下一步准备采取的审计策略,是否测试补偿控制,是否修改审计方案。5审计建议、测试时间、测试人。6测试过程中,审计人员通过询问有关当事人发现部控制在执行中存在任何例外(如越权)、非正常项目(如未按正常控制程序审批的项目)和相关制度的任何修改(如审批权限发生变化),均应作相应记录和检查。(五)评价控制风险部控
17、制的风险评价可分为高、较高、中、低三个层次。风险低的标志是:部控制健全、合理,且在测试检查有关业务活动时,未发现任何差错或仅发现极少的差错。风险中的标志是:部控制比较健全、合理,还存在一定缺陷,且在测试检查有关业务活动时,发现有一定程度的差错。风险较高的标志是:部控制设计不够完善或虽然设计了良好的部控制,但实际运行中差错发生率较高。风险高的标志是:部控制设计不完善或虽然设计了良好的部控制,但实际运行中差错发生率很高。在评价控制风险时需要考虑的因素有:1失控的性质和原因。例如,某种失控是孤立的还是与其他控制相关、失控的程度如何等。2补偿控制的可能性。在评价中,一些关键控制本应在较低层次建立和执行
18、,但却没有得到执行,要注意在较高层次是否存在补偿控制。例如,检查大额支付款项的授权情况,在业务处理过程中没有授权,但上一级管理层对此有严格的审核制度和手续,则证明有补偿控制。评价控制风险的结果,可以利用风险基础审计策略模型,转换为部控制保证程度系数,为实质性测试实施统计抽样服务,调整或确认进一步实质性测试的程序、围和重点:1审计人员采用非统计抽样技术实施审计时,可以利用已知的可接受审计风险、商业银行固有风险和商业银行部控制风险的高低,调整或确认审计方案中规划的实质性测试可接受检查风险水平,明确实质性测试的程序、围和方法。2审计人员采用货币单位抽样等统计抽样技术实施审计时,可以利用已知的总体审计
19、保证程度系数、商业银行固有保证程度系数和商业银行部控制保证程度系数,调整或确认审计计划中规划的实质性测试应达到的检查保证程度系数,明确实质性测试的程序、围和方法,并帮助审计人员测算出理论抽样规模。第三节 商业银行一般性部控制测评商业银行一般性部控制的测评容包括部控制要素、会计系统、业务系统、计算机系统、部控制的监督与风险评价五个方面的部控制建设及其运行情况的测试评价。本节只对一般性部控制进行调查和测试,并结合以后各章业务循环的部控制测评结果来确定审计策略。一、部控制要素的测评对商业银行部控制要素的调查测试表如下:表31 索引号:(审计机关名称)审计工作底稿部控制要素调查测试表(审计期间)被审计
20、商业银行:控制活动是否执行情况好一般差(一)部控制环境1商业银行的董事会是否履行以下职责:负责审批商业银行的总体经营战略和重大政策,确定商业银行可以接受的风险水平,批准各项业务的政策、制度和程序,任命高级管理层,对部控制的有效性进行监督;就部控制的有效性定期与管理层进行讨论,及时审查管理层、审计机构和监管部门提供的部控制评估报告,督促管理层落实整改措施?2商业银行的高级管理层是否履行以下职责:负责执行董事会批准的各项战略、政策、制度和程序,负责建立授权和责任明确、报告关系清晰的组织结构,建立识别、计量和管理风险的程序,并建立和实施健全、有效的部控制,采取措施纠正部控制存在的问题?3商业银行的监
21、事会是否履行以下职责:在实施财务监督的同时,负责对商业银行遵守法律规定的情况以及董事会、管理层履行职责的情况进行监督,要求董事会、管理层纠正损害银行利益的行为?4商业银行是否建立科学、有效的激励约束机制,培育良好的企业精神和部控制文化,从而创造全体员工均充分了解且能履行职责的环境?(二)风险识别与评估1商业银行是否设立有履行风险管理职能的专门部门,是否制定并实施识别、计量、监测和管理风险的制度、程序和方法,以确保风险管理和经营目标的实现?2商业银行是否有建立涵盖各项业务、全行围的风险管理系统,是否开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的
22、监控?3商业银行是否对各项业务制定全面、系统、成文的政策、制度和程序,是否在全行围保持统一的业务标准和操作要求,避免因管理层的变更而影响其连续性和稳定性?4商业银行是否在设立新的机构或开办新的业务时,事先制定有关的政策、制度和程序,对潜在的风险进行计量和评估,并提出风险防措施?5商业银行是否建立有部控制的评价制度,对部控制的制度建设、执行情况定期进行回顾和检讨,是否根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善?(三)部控制措施1商业银行是否明确划分相关部门之间、岗位之间、上下级机构之间的职责,是否建立职责分离、横向与纵向相互监督制约的机制,涉及资产、负债、财务和人员等
23、重要事项变动均不得由一个人独自决定?2商业银行是否根据不同的工作岗位及其性质,赋予其相应的职责和权限,各个岗位是否有正式、成文的岗位职责说明和清晰的报告关系?3商业银行是否对关键岗位实行定期或不定期的人员轮换和强制休假制度?4商业银行是否根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济环境和业务发展需要,建立相应的授权体系,实行统一法人管理和法人授权?是否授权适当、明确,并采取书面形式?5商业银行是否利用计算机程序监控等现代化手段,锁定分支机构的业务权限,对分支机构实施有效的管理和控制?下级机构是否严格执行上级机构的决策,在自身职责和权限围开展工作?6商业银行是否建立有效的核对、
24、监控制度,对各种账证、报表定期进行核对,对现金、有价证券等有形资产及时进行盘点,对柜台办理的业务实行复核或事后监督把关,对重要业务实行双签有效的制度,对授权、授信的执行情况进行监控?7商业银行是否按照规定进行会计核算和业务记录,建立完整的会计、统计和业务档案,妥善保管,确保原始记录、合同契约和各种报表资料的真实、完整?8商业银行是否建立有效的应急制度,在各个重要部位、营业网点等发生供电中断、火灾、抢劫等紧急情况时,应急措施是否及时、有效,以确保各类数据信息的安全和完整?9商业银行是否设立独立的法律事务部门或岗位,统一管理各类授权、授信的法律事务,制定和审查法律文本,对新业务的推出进行法律论证,
25、确保每笔业务的合法和有效,维护银行的合法权益?10商业银行是否实现业务操作和管理的电子化,促进各项业务的电子数据处理系统的整合,做到业务数据的集中处理?11商业银行是否实现经营管理的信息化,建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统,做到及时、准确提供经营管理所需要的各种数据,并及时、真实、准确地向中国人民银行报送监管报表资料和对外披露信息?(四)信息交流与反馈商业银行应当建立有效的信息交流和反馈机制,确保董事会、监事会、高级管理层及时了解本行的经营和风险状况,确保每一项信息均能够传递给相关的员工,各个部门和员工的有关信息均能够顺畅反馈?(五)监督评价与纠正1商业银行的业务部门是
26、否对各项业务的经营状况和例外情况进行经常性检查,及时发现部控制存在的问题,并迅速予以纠正?2商业银行的部审计部门是否有权获得商业银行的所有经营信息和管理信息,并对各个部门、岗位和各项业务实施全面的监控和评价?3商业银行的部审计是否具有充分的独立性,实行全行系统的垂直管理?下级机构部审计负责人的聘任和解聘是否经上级机构部审计部门同意,总行部审计负责人的聘任和解聘是否经董事会或监事会同意?4商业银行是否配备充足的、业务素质高、工作能力强的部审计人员,并建立专业培训制度,每人每年确保一定的离岗或脱产培训时间?部审计力量不足的,是否将审计任务委托社会中介机构进行?5商业银行是否建立有效的部控制报告和纠
27、正机制,业务部门、部审计部门和其他人员发现的部控制的问题,是否均有畅通的报告渠道和有效的纠正措施?审计人员: 审计日期: 复核人员: 复核日期:二、会计系统部控制的测评商业银行建立会计控制系统应遵循的基本原则是规化原则、授权分责原则、监督制约原则、财务核对原则、安全谨慎原则。会计系统测评包括会计核算、结算管理、现金管理、财务管理诸方面的检查评价。在进行检查评价时,要以上述原则为基础,测评要点为:一是测评其设立岗位、制定操作程序以及建立会计档案保管和密押、业务用章、重要空白凭证保管、领用、登记、销废等会计管理制度的健全完善和执行情况如何。二是测评会计业务是否真实、有效。三是测评会计报表及相关说明
28、是否真实反映其业务状况和经营成果。商业银行会计系统部控制的重点是:实行会计工作的统一管理,严格执行会计制度和会计操作规程,运用计算机技术实施会计部控制,确保会计信息的真实、完整和合法,严禁设置账外账,严禁乱用会计科目,严禁编制和报送虚假会计信息。对商业银行会计系统部控制的调查测试表如下:表32 索引号:(审计机关名称)审计工作底稿会计系统部控制调查测试表(审计期间)被审计商业银行:控制活动是否执行情况好一般差1商业银行是否依据企业会计准则和国家统一的会计制度,制订并实施本行的会计规和管理制度?下级机构是否严格执行上级机构制定的会计规和管理制度,确保统一的会计规和管理制度在本行得到实施?2商业银
29、行是否确保会计工作的独立性,确保会计部门和会计人员能够依据国家统一的会计制度和本行的会计规独立地办理会计业务?3商业银行会计岗位设置是否实行责任分离、相互制约的原则,严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作?4商业银行是否明确会计部门、会计人员的权限,各级会计部门、会计人员是否在各自的权限行事,凡超越权限的,须经授权后,方可办理?5商业银行是否对会计账务处理的全过程实行监督,会计账务是否做到账账、账据、账款、账实、账表和外账的六相符?凡账务核对不一致的,是否按照权限进行纠正或报上级机构处理?6商业银行是否对会计主管、会计负责人实行从业资格管理,建立会计人员档案?会计主管、会计负责
30、人和会计人员是否具有与其岗位、职位相适应的专业资格或技能?7商业银行下级机构会计主管的变动是否经上级机构会计部门同意?会计人员调动工作或离职,是否与接管人员办清交接手续,严格执行交接程序?8商业银行是否对会计人员实行强制休假制度,联行、同城票据交换、出纳等重要会计岗位人员和会计主管是否定期轮换,逐步推行离岗(任)审计制度?9商业银行是否实行会计差错责任人追究制度,发生重大会计差错、舞弊或案件,除对直接责任人员追究责任外,机构负责人和分管会计的负责人是否也承担相应的责任?10商业银行是否做到会计记录、账务处理的合法、真实、完整和准确?11商业银行是否建立规的信息披露制度,按照规定及时、真实、完整
31、地披露会计、财务信息?12商业银行是否完善会计档案管理,严格执行会计档案查阅手续,防止会计档案被替换、更改、毁损、散失和泄密?审计人员: 审计日期: 复核人员: 复核日期:三、业务系统部控制的测评业务系统的部控制主要包括授信业务、资金业务、存款及柜台业务、中间业务的部控制。下面主要介绍授信业务和资金业务的部控制测评,对存款及柜台业务、中间业务的部控制测评将在后面各章中介绍。业务系统测评要点为:一是测试评价业务管理、监督办法与处理规程的一致性、规性,如看授信管理是否制定授信管理办法及操作规程,并按有关规程执行业务;有关风险识别与监测体系是否健全有效等。二是测试评价业务控制程序是否明确、相互制衡,如看是否形成了相关岗位职责由不同人员担任的规章制度(审贷分离制度、“印、押、证”三分管制度等)。三是测试评价业务经营指标的完成情况。商业银行授信业务部控制的重点是:实行统一授信管理,健全客户信用风险识别与监测体系,完善授信决策与审批机制,防止对单一客户、关联企业客户和集团客户风险的高度集中,防止违反信贷原则发放关系人贷款和人情贷款,防止信贷资金违规投向高风险领域和用于活动。商业银行资金业务部控制的重点是:对资金业务对象和产品实行统一
