1、某銀行部控制審計典型案例研究1、 成立時間：1984年， 2006年上市。2、 部控制概況該行引入COS(fB控制五要素理念，實施商業銀行部控制指引、證券交易所上市公司部控制指引和企業部控制基本規，制定部控制建設規劃和部控制制度，由董事會、各級管理層、監事會和全體員工實施，決策、執行、監督相互制衡。分別由業務部門 第一道部控制防線風險管理部門 第二道部控制防線部監督部門 第三道部控制防線2004 年 7 月起建設全面風險管理體系2006 年改革部組織架構部審計部門直接向董事會負責并報告工作，并垂直下設十個部審計分部，負責涵蓋部控制的獨立審計；控合規部門，在總行和各級分行設立的對高級管理層和管理

2、層負責的負責牽頭部控制建設、操作風險管理和合規風險管理。3、 部控制審計概況1、上市當年，上交所上市公司部控制指引發布實施，該行部審計部門開始嘗試部控制專項審計。2、 2007年起具體組織實施年度部控制評價，經過三年的探索、借鑒、創新，逐步形成較為完善的部控制審計體系。3、部控制專項審計和年度審計項目納入年度審計計劃，經董事會審計委員會審議、董事會審議批準后實施。三年來， 該行部審計部門采取非現場監測和現場測試相結合、審計檢查和審計調研相結合的方式，共實施了140 多項審計活動，基本覆蓋了該行公司治理、風險管理、部控制全過程。4、 部控制年度審計1、 公司層面2、 流程層面3、信息技術控制層面

3、4、并表管理審計母銀行及附屬公司的部控制公司層面控制的審計容主要關注公司治理、人力資源、企業文化、社會責任等管理層面的控制領 域，圍繞部環境、風險評估、控制活動、信息與溝通、部監督等五大控制要素 展開，分為17個領域和82個子領域（如表所示）。每個領域下再細分為若干個 關鍵風險點和控制點。公司層面控制審計序號索引號控制要素控制領域子領域1A部環境A.公司治理A1.治理結構A2.職責分工、職責邊界及制衡機制A3.決策機制和議事規則A4.監督與問責機制2BB.管理層基 調與態度B1.管理層對部控制的態度B2.管理層對風險的接受態度B3.管理層對企業文化建設的態度B4.管理層對履行社會責任的態度3C

4、C.部審計C1.部審計部門的組織結構與獨立性C2.部審計工作規則C3.部審計活動C4.部審計計劃C5.就審計發現的溝通C6.部審計人員的勝任能力C7.部審計部門的評估4DD.人力資源D1.組織架構及崗位職責D2.人力資源計劃與招聘D3.培訓與離職D4.薪酬與考核激勵5EE.員工行為E1.員工行為守則的容要求守則E2.員工行為守則的擬定、修改及審批E3.員工行為守則的獲得渠道E4.員工行為守則的溝通與培訓E5.員工對行為守則的定期聲明6FF.部控制實 施的激勵約 束機制F1.部控制實施的激勵約束機制的建立7GG.法律遵從G1.董事會的責任G2.法律部門的設立及其職責G3.監督機制G4.宣傳教育8

5、H風險評估H.風險評估 與管理H1.風險管理架構體系H2.風險識別H3.風險評估H4.風險控制與監督9I控制活動I.公司政策 與流程I1.政策與流程的制定I2.政策與流程的修改及審批I3.政策與流程的溝通與傳遞I4.政策與流程執行情況的監督10JJ.投資策略 與管理J1.投資管理委員會的設立J2.投資管理委員會章程J3.投資項目專責團隊J4.投資風險管理政策和程序J5.股權投資11KK.關聯方交 易K1.政策制度的建立K2.機構設置與權責分配K3.控制和監督12LL.財務報告 與信息披露L1.會計政策和財務報告制度L2.崗位分工與職責、權限安排L3.財務人員的技能和專業知識L4.非常規、復雜或

6、特殊交易的賬務處 理的控制L5.財務報告和信息披露L6.監督和控制13MN.控制活動N1.不相容職務分離控制N2.授權審批控制N3.會計系統控制N4.財產保護控制N5.預算控制N6.運營分析控制N7.績效考評控制N8.重大風險預警機制N9.反洗錢控制14N。.并表管理01.職能分工02.并表管理制度體系03.資本充足率管理04.大額風險暴露管理05.部交易管理06.其它風險管理07.并表管理信息系統15O信息與溝通P.信息與溝 通P1.信息的收集、處理與傳遞P2.溝通、交流與反饋16PQ.反舞弊Q1.反舞弊工作機制的建立Q2.舉報投訴制度和舉報人保護制度的 建立Q3.舞弊舉報的接收、調查、處理

7、Q4.就舞弊與管理層的溝通報告Q5.反舞弊、投訴舉報制度的制定、修 改Q6.董事會對反舞弊工作的監督與管理17Q部監督R.監督與糾 正R1.監督與糾正的體系架構和職責權限R2.監督和糾正的制度建設情況R3.監督執行情況R4.糾正執行情況R5.部控制評價執行情況R6.部控制自我評估R7.部控制信息的披露流程層面控制的審計容包括銀行類和非銀行類業務的 28個流程和144個子流程流程層面控制審計容業務類別業務線流程子流程銀行類一.公司業務01.信貸01.01貸款01.02貸款風險撥備01.03抵債資產01.04核銷貸款02.存款02.01存款03.票據融資03.01貝占現03.02協議付息貼現03.

8、03贖回式貼現03.04委托代理貼現03.05銀行匯票轉貼現買入03.06異地持票轉貼現買入03.07銀行匯票轉貼現賣出03.08部分放棄追索權貼現03.09買入返售03.10賣出回購03.11系統票據存管買入03.12集中賬務處理03.13銀行承兌匯票04.貿易融資與國際結算04.01進口信用證04.02出口信用證04.03進口代收04.04出口托收04.05國際擔保04.06進口信用證與進口代收押匯04.07進口 TT融資04.08提貨擔保/提單背書04.09進口信用證代付04.10進口代收項卜代付04.11進口 TT項卜代付04.12出口信用證項卜打包貸款04.13出口信用證項卜押匯與貼

9、現04.14出口托收項卜押匯與貼現04.15出口發票融資04.16信用證保兌04.17進口保理04.18出口雙保理04.19非買斷型出口單保理04.20福費廷04.21國單保理04.22國雙保理04.23國發票融資04.24國信用證項卜打包貸款04.25國信用證下賣方發票融資04.26國信用證下買方發票融資04.27國商品融資二.投行業務05.投資銀行05.01常年顧問及其他05.02投融資顧問05.03資信證明05.04銀團貸款三.零售業務06.個人存款06.01個人存款07.個人貸款07.01個人住房貸款07.02個人消費貸款07.03個人經營貸款08.信用卡08.01信用卡09.私人銀行

10、09.01私人銀行四.資產管理10.資產托管10.01資產托管11.企業年金11.01企業年金12.貴金屬12.01個人賬戶黃金買賣12.02代理實物黃金交易12.03代理黃金清算13.理財13.01固定收益理財業務13.02國際市場理財業務13.03資本市場理財業務13.04區域理財五.交易與銷售（資金）14.債券投資與交易14.01人民幣債券14.02外幣債券15.外匯資金交易15.01人民幣外匯資金交易15.02外匯資金交易16.貨幣市場業務16.01本幣同業拆借16.02公開市場業務16.03外幣同業拆借17.衍生產品交易17.01代客衍生產品交易17.02自營衍生產品交易18.承銷發

11、行18.01承銷發行18.02信貸資產證券化六.支付與結算19.運行管理19.01會計要素管理19.02參數管理19.03權限卡管理19.04子系統的系統及轄往來清算與對賬19.05外匯匯款19.06大額跨行清算19.07大額取現管理19.08現金管理19.09金庫管理19.10自助銀行及自助機具管理19.11后臺監督19.12本外幣結算19.13客戶賬戶服務19.14保管箱19.15支票19.16結算與現金管理19.17上門收款服務19.18向人行領繳現金19.19假幣、代保管及其他七.中間業務20.電子銀行20.01網上銀行20.02銀行20.03手機銀行21.代理21.01代理收付21.

12、02代理同業結算21.03代理地方財政收付21.04代理保險（對公）21.05代埋基金（對公）21.06代理非稅收21.07代理保險（個人）21.08代理個人收付21.09代理國債21.10代埋基金（個人）21.11銀期21.12銀關通21.13銀財通21.14銀稅通21.15第二方存管（對公）21.16第二方存管（個人）21.17個人信息服務八.其他22.財務會計管理22.01財務報表編制22.02固定資產管理22.03稅收22.04其他資產減值準備22.05財務集中管理及費用報銷22.06集中采購22.07財務審查委員會22.08成本與預算管理：成本管理22.09預算管理23.資產負債管理

13、23.01國債23.02人民幣資金集中管理23.03存放同業23.04拆放同業23.05經濟資本管理23.06外匯資金營運23.07準備金調繳23.08人民幣資金營運23.09外匯資金的管理24.產品創新24.01產品創新管理25.其他25.01績效考核管理25.02員工薪酬25.03檔案管理25.04安全保衛非銀行類26.租賃26.01租賃及售后回租26.02轉讓應收租賃款27.基金27.01產品管理27.02銷售管理27.03投資管理27.04核算管理28.投資咨詢28.01投資咨詢信息技術層面控制的審計容分為信息技術公司層面、一般控制、應用控制三個方面，包括 14個領域和61個子領域序號

14、類別領域子領域1公司層卸CE控制環境CE1.0信息科技組織和關系CE2.0人力資源管理CE3.0對用戶教育和培訓2RA風險評估RA1.0風險評估3CA控制活動CA1.0直接的職能或活動管理CA2.0信息處理CA3.0物理控制CA4.0職責分離4IC信息與溝通IC1.0信息構架IC2.0管理層目標和方向的傳達5IM監控IM1.0性能及容量管理IM2.0監督IM3.0部控制的足夠程度6控制PD程序升發PD1.0開發管理PD2.0項目需求與立項PD3.0項目定義與計劃PD4.0項目執行與監控PD5.0項目關閉7TM測試管理TM1.0測試環境TM2.0測試前移TM3.0版本交付與測試申請TM4.0測試

15、啟動與準備TM5.0測試執行TM6.0測試問題管理TM7.0測試變更管理TM8.0測試總結與投產TM9.0評價及報告8PM運行維護PM1.0物理環境安全PM2.0生產運行管理PM3.0性能與容量管理PM4.0備份管理PM5.0服務水平協議9ITC IT 系統連續性ITC1.0 IT系統連續性風險分析ITC2.0 IT系統連續性計劃的建立ITC3.0 IT系統連續性計劃的測試和演練10IS信息安全IS1.0信息安全組織和信息安全管理制度IS2.0操作系統訪問控制管理IS3.0業務數據的訪問控制管理IS4.0應用系統訪問控制管理IS5.0網絡安全管理IS6.0 物理安全管理11應用控制AIX. A

16、IX操作系統AIX1.0用戶管理AIX2.0 UNIX服務器安全AIX3.0 UNIX系統網絡通訊AIX4.0 UNIX系統資源環境AIX5.0 UNIX文件系統及目錄保護AIX6.0 UNIX日志及監控審計12ORAORA1.0 Oracle用戶管理Oracle 數據庫ORA2.0系統網絡通訊ORA3.0 Oracle文件系統及目錄保護ORA4.0 Oracle日志及監控審計13CIS CISCO路由器、交換機CIS1.0路由器、交換機遠程訪問安全要求CIS2.0路由器、交換機設備的認證、授權安全要求CIS3.0路由器、交換機設備密碼加密設置和網絡服務安全要求CIS4.0路由器、交換機路由協

17、議和 SNM改 全配置要求CIS5.0路由器、交換機、刀片機日志審計安全配置和特有要求14FIW防火堵FIW1.0防火墻設備遠程訪問安全配置要求FIW2.0防火墻設備的認證、授權安全配置要求FIW3.0防火墻策略管理安全配置要求FIW4.0防火墻日志服務安全配置和特有要求FIW5.0防火墻SNM安全配置要求五、部控制審計標準1、部控制審計實務標準。是該行部控制體系各經營管理層級和各業務環節正常運行應當遵循的控制標準或要求，主要依據國外監管法規、行業最佳控制實踐以及本行實際情況設定， 涵蓋經營管理、業 務操作、產品和信息系統等各個領域，細化到每個領域中的關鍵控制 點。2、部控制審計認定標準。包括

18、對風險點的量級標準和對控制點的量級標準 及在此基礎上對部控制缺陷的認定標準、部控制有效性認定標準。該行將部控 制缺陷分為設計缺陷和運行缺陷，符合企業部控制規及其配套指引的規定， 缺陷按影響控制目標的嚴重程度分為重大、重要和一般三個等級。部控制缺陷認定標準缺 陷 等 級定義認定標準定量標準定性標準重大指一個或多個 控制缺陷的組 合，可能導致企 業嚴重偏離控 制目標。財務報表的錯報金額落在如下區間：1、錯報A利潤總額的5%2、錯報n資產總額的3%3、錯報A經營收入總額的1%4、錯報n所有者權益總額的1%1、缺乏決策程序；2、決策程序導致重 大失誤；3、違犯國家法律法 規并受到處罰；4、中高級管理人

19、員 和局級技術人貝流失嚴重；5、媒體頻現負面新 聞，波及面廣；6、重要業務缺乏制度控制或制度系統失效；7、部控制重大或重要缺陷未得到整改重要指一個或多個 控制缺陷的組 合，其嚴重程度 和經濟后果低 于重大缺陷，但 仍有可能導致 企業偏離控制 目標。財務報表的錯報金額落在如下區間：1、利潤總額的3%c錯報 利潤總額的5%2、資產總額的0.5%w錯報資產總額的3%3、經營收入總額的0.5%w錯報經營收入總額的1%4、所有者權益總額的0.5%w錯報所有者權益總額的1%1、決策程序存在但 不夠完善；2、決策程序導致出 現一般失誤；3、違反企業部規章， 形成損失；4、關鍵崗位業務人 員流失嚴重；5、媒體

20、出現負面新 聞，波及局部區域；6、重要業務制度或 系統存在缺陷；7、部控制重要或一 般缺陷未得到整改一般除重大缺陷、重 要缺陷之外的 其他控制缺陷。財務報表的錯報金額落在如下區間：1、錯報利潤總額1、決策程呼效率不高；2、違反企業部規章，的3%2、錯報資產總額的 0.5%;3、錯報經營收入 總額的0.5%;4、錯報所有者權 益總額的0.5%。但未形成損失；3、一般崗位業務人 員流失嚴重；4、媒體出現負面新 聞，但影響不大；5、一般業務制度或系統存在缺陷；6、一般缺陷未得到 整改。7、存在的其他缺陷有效性審計結論分為有效、基本有效、關注、特別關注、無效五級。其定義及認定標準如表所示部控制有效性認

21、定標準等級數控制有效性等級定義認定標準1啟效被評價對象的部控制系統運行有效被評價對象沒有重大缺陷和重要缺陷；部控制設計適當且得到 貫徹執行，不存在控制過度和控 制不足的情況2基本有效被評價對象的部控制系統運行基本后效被評價對象沒有重大缺陷和重要缺陷；部控制設計適當但個別執行效果不佳，存在控制過度口 能，不存在控制不足的情況3關注被評價對象的部 控制系統運行結 果可以接受，不會 對我行戰略目標 的實現產生實質 性影響。被評價對象沒有重大缺陷和重 要缺陷；存在少量部控制設計缺 陷，存在控制過度和控制不足的 情況。4特別關注被評價對象的部 控制系統運行水 平需要改進和予 以關注被評價對象存在重要缺陷

22、；部控 制存在較多設計缺陷且涉及圍 較廣，控制不足情況較為嚴重； 違反行規章制度并受到總行處 罰5無效被評價對象的部控制系統運行無效被評價對象存在重大缺陷；存在 無控制或控制失效的情況；違反 監管機構規定并受到處罰。部控制缺陷和有效性之間存在的對應關系如表所示:有效性標準與缺陷標準的對應關系表缺陷標準啟效性標準對應說明重大無效當存在一個或多個部控制重大缺陷時，應當作出部控制無效的結論重要特別關注重要缺陷應當引起董事會、經理層關注，或特別關注關注基本后效當存在一般缺陷時，且缺陷數用超過管理 層可容忍圍時，可以作出部控制基本有效 的結論啟效當存在一般缺陷，且缺陷數量在管理層可容忍圍時，可以作出部控

23、制有效的結論風險等級劃分為低、較低、中等、較高、高五級 （如表所示）:風險點分級標準風險點分級認定標準影響力高，可能性較大的事件；或影響力高，幾乎肯A+ （高）定發生的事件。A （較圖）影響力高，后可能或可能性很小發生的事件；影響力 較高，后可能或可能性較大的事件；影響力中等，可 能性較大或幾乎肯定發生的事件。A-（中等）影響力局，不太可能發生的事件；或影響力較局，發 生的可能性很小的事件；影響力中等，后可能發生的 事件；影響力較低，發生的可能性較大的事件；影響 力較低但幾乎肯定發生的事件。B+ （較低）影響力較高，不太可能發生的事件；影響力中等或較 低，后可能性發生的事件；影響力很低，發生的

24、可能 性較大的事件。B （低）影響力低或較低，不太可能或發生的可能性很小的事件。控制等級劃分為一般控制二級、一般控制一級、重要控制二級、 重要控制一級、關鍵控制五級（如表所示）。控制點分級標準控制點分級認定標準Aa+ （關鍵）對可能引起重大的業務失誤、為公司帶來重大的財務 損失，并可能導致財務艮告中的重大的實質性錯報等 重大缺陷進行有效控制Aa （重要一級）對可能引起較大的業務失誤、為公司帶來較大的財務損失等重大缺陷進行有效控制Aa-（重要二級）對日常運營造成一定程度的影響、 為公司帶來一定程度的財務損失等重要缺陷進行有效控制Bb+ （ 一 般一級）對日常運營帶來輕微損害、可能導致輕微的財務損

25、失的一般缺陷進行有效控制Bb （一二級）對日常運營帶來非常輕微的損害、 可能導致非常輕微的財務損失的一般缺陷進行有效控制六、部控制審計步驟（一）梳理風險點和控制點以公司層面為例，該行在梳理風險點和控制點的過程采用了以下 步驟：一是查閱和分析公司治理文件。二是查閱和分析公司管理制度。三是查閱和分析反映公司治理過程和管理制度執行情況的記錄 文件或報告等。四是問卷調查和審計訪談。（二）構建價值鏈風險控制矩陣該行采用風險控制矩陣的構建方法， 按價值形成過程，排列不同 控制領域、部門、流程、業務單元、產品/服務等在前中后臺的位置， 以此明確各部門的職責關系。以價值鏈矩陣為聯系紐帶，將銀行的具 體業務環節

26、、控制活動和風險聯系起來，形成各項業務和管理活動的 視圖。以該行公司層面控制部環境審計為例：該行根據企業部控制基本規，以公司治理等一級控制領域和二級控制領域為列，以風險點描述、控制點描述、審計標準、審計依據、測試步驟（審計流程）、測試結果等為行，構建部環境的風險控制矩陣（如下表所示）開展部 環境審計部環境風險控制矩控制領域風 險點 描 述風 險等 級控制點描述控制級別審計標準主要依據測試步驟測試結果審計結論審計師依法制定對查閱公司審計公司股東、«公章程，公司治小組董事、監事司法理制度，確認根據和高級管理« 上公司治理結治公司人員具有約市公構的健全性；理可、束力的公司司治商請

27、董事1.未公結履職章程；設立理準會辦公室提公發司構情況，股東大會、則 »供董事會及司現治形會議董事會、監«企其專門委員治缺理同紀要事會和高級業部會提供匯總理陷有虛等實管理層并履控制的履職記錄，效設際情行職責，其基本商請監事會況進成員應具備規；辦公室提供行了相應的任職公司監事會匯總描述專業知識和的監督記錄，業務工作經進行控制測驗試審計公司決策、三小組執行、監督會根據分離，形成一股東制衡機制；«企查閱“三會層”大會、股東大會是業部一層”即股東未公司公司的權力控制大會、董事三確董事機構，董事基本會、高級管理會定會、高會對股東規；層授權管理未一職級管（大）會負股東辦法，確

28、認制發層責理層責，依法行大會、度建設的健現分的逐使企業的經董事全性；根據缺控工，級授營決策權；會、監授權執行情陷制未權及監事會對股事會況進行控制有建執行東大會負授權測試，確認制效立情況責，對董事、管理度的執行情職等實高級管理人辦法況責際情員進行監邊況進督；高級管界行了理層對董事及 制 衡 機 制描述會負責，依 法實施經營 管理權缺乏決審計 小組 根據 董事 會、監 事會、根據國家有 關法律法規 和企業早程 制定詳細的«業控基規公企 部 制 本司調閱公司 章程，股東大 會、董事會、 監事會議事 規則，授權管控策高級股東大會、董事理辦法，部控未制機管理董事會、監會對制管理辦法，發機制層議

29、事會的議高級風險管理辦現制和事規事、決策規管理法等，檢查制缺健議貝L部則，以及高層授度建設的健陷全事門職級管理層的權、高全性；調閱有規責與工作細則和級管會議紀要、管效則權限、分公司職責與規程；重大決策實行集體審批制理層工作規則、部門理報告等，確認相關制度的執行效果權限職責及其與權報告限、分路徑公司等文職責件，按與權實際限及控制其報設計告路和運徑等行狀文件況描述 （三）現場測試及缺陷匯總審計人員采用觀察、核對、重新執行等審計方法在公司、流程和 信息系統三個層面同步開展穿行測試、 控制測試，對控制的有效性進 行評價、對缺陷進行匯總。以該行流程層面業務為例，其穿行測試、 控制測試步驟如表40-41所示。如穿行測試結果為無效，則表明該流 程設計無效，無需再對其進行控制測試，可直接認定缺陷；如穿行測 試有效，則需對該流程進行控制測試，以驗證該流程的運行