1、某銀行內(nèi)部控制審計(jì)典型案例研究一、 成立時間：1984年，2006年上市。二、 內(nèi)部控制概況該行引入COSO內(nèi)部控制五要素理念，實(shí)施商業(yè)銀行內(nèi)部控制指引、上海證券交易所上市公司內(nèi)部控制指引和企業(yè)內(nèi)部控制基本規(guī)范，制定內(nèi)部控制建設(shè)規(guī)劃和內(nèi)部控制制度，由董事會、各級管理層、監(jiān)事會和全體員工實(shí)施，決策、執(zhí)行、監(jiān)督相互制衡。分別由業(yè)務(wù)部門-第一道內(nèi)部控制防線風(fēng)險管理部門-第二道內(nèi)部控制防線內(nèi)部監(jiān)督部門-第三道內(nèi)部控制防線2004年7月起建設(shè)全面風(fēng)險管理體系2006年改革內(nèi)部組織架構(gòu)內(nèi)部審計(jì)部門直接向董事會負(fù)責(zé)并報告工作，并垂直下設(shè)十個內(nèi)部審計(jì)分部，負(fù)責(zé)涵蓋內(nèi)部控制的獨(dú)立審計(jì)；內(nèi)控合規(guī)部門，在總行和各級

2、分行設(shè)立的對高級管理層和管理層負(fù)責(zé)的負(fù)責(zé)牽頭內(nèi)部控制建設(shè)、操作風(fēng)險管理和合規(guī)風(fēng)險管理。三、 內(nèi)部控制審計(jì)概況1、上市當(dāng)年，上交所上市公司內(nèi)部控制指引發(fā)布實(shí)施，該行內(nèi)部審計(jì)部門開始嘗試內(nèi)部控制專項(xiàng)審計(jì)。2、2007年起具體組織實(shí)施年度內(nèi)部控制評價，經(jīng)過三年的探索、借鑒、創(chuàng)新，逐步形成較為完善的內(nèi)部控制審計(jì)體系。3、內(nèi)部控制專項(xiàng)審計(jì)和年度審計(jì)項(xiàng)目納入年度審計(jì)計(jì)劃，經(jīng)董事會審計(jì)委員會審議、董事會審議批準(zhǔn)后實(shí)施。三年來，該行內(nèi)部審計(jì)部門采取非現(xiàn)場監(jiān)測和現(xiàn)場測試相結(jié)合、審計(jì)檢查和審計(jì)調(diào)研相結(jié)合的方式，共實(shí)施了140多項(xiàng)審計(jì)活動，基本覆蓋了該行公司治理、風(fēng)險管理、內(nèi)部控制全過程。四、 內(nèi)部控制年度審計(jì)1、

3、 公司層面2、 流程層面3、 信息技術(shù)控制層面4、 并表管理審計(jì)-母銀行及附屬公司的內(nèi)部控制 公司層面控制的審計(jì)內(nèi)容主要關(guān)注公司治理、人力資源、企業(yè)文化、社會責(zé)任等管理層面的控制領(lǐng)域，圍繞內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等五大控制要素展開，分為17個領(lǐng)域和82個子領(lǐng)域（如表所示）。每個領(lǐng)域下再細(xì)分為若干個關(guān)鍵風(fēng)險點(diǎn)和控制點(diǎn)。 公司層面控制審計(jì)序號索引號控制要素控制領(lǐng)域子領(lǐng)域1A內(nèi)部環(huán)境A.公司治理A1.治理結(jié)構(gòu)A2.職責(zé)分工、職責(zé)邊界及制衡機(jī)制A3.決策機(jī)制和議事規(guī)則A4.監(jiān)督與問責(zé)機(jī)制2BB.管理層基調(diào)與態(tài)度B1.管理層對內(nèi)部控制的態(tài)度B2.管理層對風(fēng)險的接受態(tài)度B3.管理

4、層對企業(yè)文化建設(shè)的態(tài)度 B4.管理層對履行社會責(zé)任的態(tài)度3CC.內(nèi)部審計(jì)C1.內(nèi)部審計(jì)部門的組織結(jié)構(gòu)與獨(dú)立性C2.內(nèi)部審計(jì)工作規(guī)則C3.內(nèi)部審計(jì)活動C4.內(nèi)部審計(jì)計(jì)劃C5.就審計(jì)發(fā)現(xiàn)的溝通C6.內(nèi)部審計(jì)人員的勝任能力C7.內(nèi)部審計(jì)部門的評估4DD.人力資源D1.組織架構(gòu)及崗位職責(zé)D2.人力資源計(jì)劃與招聘D3.培訓(xùn)與離職D4.薪酬與考核激勵5EE.員工行為守則E1.員工行為守則的內(nèi)容要求E2.員工行為守則的擬定、修改及審批E3.員工行為守則的獲得渠道E4.員工行為守則的溝通與培訓(xùn)E5.員工對行為守則的定期聲明6FF.內(nèi)部控制實(shí)施的激勵約束機(jī)制F1.內(nèi)部控制實(shí)施的激勵約束機(jī)制的建立7GG.法律遵從

5、G1.董事會的責(zé)任G2.法律部門的設(shè)立及其職責(zé)G3.監(jiān)督機(jī)制G4.宣傳教育8H風(fēng)險評估H.風(fēng)險評估與管理H1.風(fēng)險管理架構(gòu)體系H2.風(fēng)險識別 H3.風(fēng)險評估H4.風(fēng)險控制與監(jiān)督9I控制活動I.公司政策與流程I1.政策與流程的制定I2.政策與流程的修改及審批I3.政策與流程的溝通與傳遞I4.政策與流程執(zhí)行情況的監(jiān)督10JJ.投資策略與管理J1.投資管理委員會的設(shè)立J2.投資管理委員會章程J3.投資項(xiàng)目專責(zé)團(tuán)隊(duì)J4.投資風(fēng)險管理政策和程序J5.股權(quán)投資    11KK.關(guān)聯(lián)方交易K1.政策制度的建立K2.機(jī)構(gòu)設(shè)置與權(quán)責(zé)分配K3.控制和監(jiān)督12LL.財(cái)務(wù)報告與信息披露L

6、1.會計(jì)政策和財(cái)務(wù)報告制度L2.崗位分工與職責(zé)、權(quán)限安排L3.財(cái)務(wù)人員的技能和專業(yè)知識L4.非常規(guī)、復(fù)雜或特殊交易的賬務(wù)處理的控制L5.財(cái)務(wù)報告和信息披露L6.監(jiān)督和控制13MN.控制活動N1.不相容職務(wù)分離控制N2.授權(quán)審批控制N3.會計(jì)系統(tǒng)控制N4.財(cái)產(chǎn)保護(hù)控制N5.預(yù)算控制N6.運(yùn)營分析控制N7.績效考評控制N8.重大風(fēng)險預(yù)警機(jī)制N9.反洗錢控制14NO.并表管理O1.職能分工 02.并表管理制度體系O3.資本充足率管理 O4.大額風(fēng)險暴露管理O5.內(nèi)部交易管理O6.其它風(fēng)險管理O7.并表管理信息系統(tǒng)15O信息與溝通P.信息與溝通P1.信息的收集、處理與傳遞P2.溝通、交流與反饋16PQ

7、.反舞弊Q1.反舞弊工作機(jī)制的建立Q2.舉報投訴制度和舉報人保護(hù)制度的建立Q3.舞弊舉報的接收、調(diào)查、處理Q4.就舞弊與管理層的溝通報告Q5.反舞弊、投訴舉報制度的制定、修改Q6.董事會對反舞弊工作的監(jiān)督與管理17Q內(nèi)部監(jiān)督R.監(jiān)督與糾正R1.監(jiān)督與糾正的體系架構(gòu)和職責(zé)權(quán)限R2.監(jiān)督和糾正的制度建設(shè)情況R3.監(jiān)督執(zhí)行情況R4.糾正執(zhí)行情況R5.內(nèi)部控制評價執(zhí)行情況R6.內(nèi)部控制自我評估R7.內(nèi)部控制信息的披露流程層面控制的審計(jì)內(nèi)容包括銀行類和非銀行類業(yè)務(wù)的28個流程和144個子流程流程層面控制審計(jì)內(nèi)容業(yè)務(wù)類別業(yè)務(wù)線流程子流程銀行類一.公司業(yè)務(wù)01.信貸01.01貸款01.02貸款風(fēng)險撥備01.

8、03抵債資產(chǎn)01.04核銷貸款02.存款02.01存款03.票據(jù)融資03.01貼現(xiàn)03.02協(xié)議付息貼現(xiàn)03.03贖回式貼現(xiàn)03.04委托代理貼現(xiàn)03.05銀行匯票轉(zhuǎn)貼現(xiàn)買入03.06異地持票轉(zhuǎn)貼現(xiàn)買入03.07銀行匯票轉(zhuǎn)貼現(xiàn)賣出03.08部分放棄追索權(quán)貼現(xiàn)03.09買入返售03.10賣出回購03.11系統(tǒng)內(nèi)票據(jù)存管買入03.12集中賬務(wù)處理03.13銀行承兌匯票04.貿(mào)易融資與國際結(jié)算04.01進(jìn)口信用證04.02出口信用證04.03進(jìn)口代收04.04出口托收04.05國際擔(dān)保04.06進(jìn)口信用證與進(jìn)口代收押匯04.07進(jìn)口TT融資04.08提貨擔(dān)保/提單背書04.09進(jìn)口信用證代付04.1

9、0進(jìn)口代收項(xiàng)下代付04.11進(jìn)口TT項(xiàng)下代付04.12出口信用證項(xiàng)下打包貸款04.13出口信用證項(xiàng)下押匯與貼現(xiàn)04.14出口托收項(xiàng)下押匯與貼現(xiàn)04.15出口發(fā)票融資04.16信用證保兌04.17進(jìn)口保理04.18出口雙保理04.19非買斷型出口單保理04.20福費(fèi)廷04.21國內(nèi)單保理04.22國內(nèi)雙保理04.23國內(nèi)發(fā)票融資04.24國內(nèi)信用證項(xiàng)下打包貸款04.25國內(nèi)信用證下賣方發(fā)票融資04.26國內(nèi)信用證下買方發(fā)票融資04.27國內(nèi)商品融資二.投行業(yè)務(wù)05.投資銀行05.01常年顧問及其他05.02投融資顧問05.03資信證明05.04銀團(tuán)貸款三.零售業(yè)務(wù)06.個人存款06.01個人存款

10、07.個人貸款07.01個人住房貸款07.02個人消費(fèi)貸款07.03個人經(jīng)營貸款08.信用卡08.01信用卡09.私人銀行09.01私人銀行四.資產(chǎn)管理10.資產(chǎn)托管10.01資產(chǎn)托管11.企業(yè)年金11.01企業(yè)年金12.貴金屬12.01個人賬戶黃金買賣12.02代理實(shí)物黃金交易12.03代理黃金清算13.理財(cái)13.01固定收益理財(cái)業(yè)務(wù)13.02國際市場理財(cái)業(yè)務(wù)13.03資本市場理財(cái)業(yè)務(wù)13.04區(qū)域理財(cái)五.交易與銷售（資金）14.債券投資與交易14.01人民幣債券14.02外幣債券15.外匯資金交易15.01人民幣外匯資金交易15.02外匯資金交易16.貨幣市場業(yè)務(wù)16.01本幣同業(yè)拆借16

11、.02公開市場業(yè)務(wù)16.03外幣同業(yè)拆借17.衍生產(chǎn)品交易17.01代客衍生產(chǎn)品交易17.02自營衍生產(chǎn)品交易18.承銷發(fā)行18.01承銷發(fā)行18.02信貸資產(chǎn)證券化六.支付與結(jié)算19.運(yùn)行管理19.01會計(jì)要素管理19.02參數(shù)管理19.03權(quán)限卡管理19.04子系統(tǒng)的系統(tǒng)及轄內(nèi)往來清算與對賬19.05外匯匯款19.06大額跨行清算19.07大額取現(xiàn)管理19.08現(xiàn)金管理19.09金庫管理19.10自助銀行及自助機(jī)具管理19.11后臺監(jiān)督19.12本外幣結(jié)算19.13客戶賬戶服務(wù)19.14保管箱19.15支票19.16結(jié)算與現(xiàn)金管理19.17上門收款服務(wù)19.18向人行領(lǐng)繳現(xiàn)金19.19假幣

12、、代保管及其他七.中間業(yè)務(wù)20.電子銀行20.01網(wǎng)上銀行20.02電話銀行20.03手機(jī)銀行21.代理21.01代理收付21.02代理同業(yè)結(jié)算21.03代理地方財(cái)政收付21.04代理保險（對公）21.05代理基金（對公）21.06代理非稅收21.07代理保險（個人）21.08代理個人收付21.09代理國債21.10代理基金（個人）21.11銀期21.12銀關(guān)通21.13銀財(cái)通21.14銀稅通21.15第三方存管（對公）21.16第三方存管（個人）21.17個人信息服務(wù)八.其他22.財(cái)務(wù)會計(jì)管理22.01財(cái)務(wù)報表編制22.02固定資產(chǎn)管理22.03稅收22.04其他資產(chǎn)減值準(zhǔn)備22.05財(cái)務(wù)集

13、中管理及費(fèi)用報銷22.06集中采購22.07財(cái)務(wù)審查委員會22.08成本與預(yù)算管理：成本管理22.09預(yù)算管理23.資產(chǎn)負(fù)債管理23.01國債23.02人民幣資金集中管理23.03存放同業(yè)23.04拆放同業(yè)23.05經(jīng)濟(jì)資本管理23.06外匯資金營運(yùn)23.07準(zhǔn)備金調(diào)繳23.08人民幣資金營運(yùn)23.09外匯資金的管理24.產(chǎn)品創(chuàng)新24.01產(chǎn)品創(chuàng)新管理25.其他管理25.01績效考核25.02員工薪酬25.03檔案管理25.04安全保衛(wèi)非銀行類26.租賃26.01租賃及售后回租26.02轉(zhuǎn)讓應(yīng)收租賃款27.基金27.01產(chǎn)品管理27.02銷售管理27.03投資管理27.04核算管理28.投資咨

14、詢28.01投資咨詢信息技術(shù)層面控制的審計(jì)內(nèi)容分為信息技術(shù)公司層面、一般控制、應(yīng)用控制三個方面，包括14個領(lǐng)域和61個子領(lǐng)域序號類別領(lǐng)域子領(lǐng)域1公司層面CE 控制環(huán)境CE1.0 信息科技組織和關(guān)系CE2.0 人力資源管理CE3.0 對用戶教育和培訓(xùn)2RA 風(fēng)險評估RA1.0 風(fēng)險評估3CA 控制活動CA1.0 直接的職能或活動管理CA2.0 信息處理CA3.0 物理控制CA4.0 職責(zé)分離4IC 信息與溝通IC1.0 信息構(gòu)架IC2.0 管理層目標(biāo)和方向的傳達(dá)5IM 監(jiān)控IM1.0 性能及容量管理IM2.0 監(jiān)督IM3.0 內(nèi)部控制的足夠程度6一般控制PD 程序開發(fā)PD1.0 開發(fā)管理PD2.

15、0 項(xiàng)目需求與立項(xiàng)PD3.0 項(xiàng)目定義與計(jì)劃PD4.0 項(xiàng)目執(zhí)行與監(jiān)控PD5.0 項(xiàng)目關(guān)閉7TM 測試管理TM1.0 測試環(huán)境TM2.0 測試前移TM3.0 版本交付與測試申請TM4.0 測試啟動與準(zhǔn)備TM5.0 測試執(zhí)行TM6.0 測試問題管理TM7.0 測試變更管理TM8.0 測試總結(jié)與投產(chǎn)TM9.0 評價及報告8PM 運(yùn)行維護(hù)PM1.0 物理環(huán)境安全PM2.0 生產(chǎn)運(yùn)行管理PM3.0 性能與容量管理PM4.0 備份管理PM5.0 服務(wù)水平協(xié)議9ITC IT系統(tǒng)連續(xù)性ITC1.0 IT系統(tǒng)連續(xù)性風(fēng)險分析ITC2.0 IT系統(tǒng)連續(xù)性計(jì)劃的建立ITC3.0 IT系統(tǒng)連續(xù)性計(jì)劃的測試和演練10I

16、S 信息安全I(xiàn)S1.0 信息安全組織和信息安全管理制度IS2.0 操作系統(tǒng)訪問控制管理IS3.0 業(yè)務(wù)數(shù)據(jù)的訪問控制管理IS4.0 應(yīng)用系統(tǒng)訪問控制管理IS5.0 網(wǎng)絡(luò)安全管理IS6.0 物理安全管理11應(yīng)用控制AIX. AIX操作系統(tǒng)AIX1.0 用戶管理AIX2.0 UNIX服務(wù)器安全AIX3.0 UNIX系統(tǒng)網(wǎng)絡(luò)通訊AIX4.0 UNIX系統(tǒng)資源環(huán)境AIX5.0 UNIX文件系統(tǒng)及目錄保護(hù)AIX6.0 UNIX日志及監(jiān)控審計(jì)12ORA Oracle數(shù)據(jù)庫ORA1.0 Oracle用戶管理ORA2.0 系統(tǒng)網(wǎng)絡(luò)通訊ORA3.0 Oracle文件系統(tǒng)及目錄保護(hù)ORA4.0 Oracle日志及

17、監(jiān)控審計(jì)13CIS CISCO路由器、交換機(jī)CIS1.0 路由器、交換機(jī)遠(yuǎn)程訪問安全要求CIS2.0 路由器、交換機(jī)設(shè)備的認(rèn)證、授權(quán)安全要求CIS3.0 路由器、交換機(jī)設(shè)備密碼加密設(shè)置和網(wǎng)絡(luò)服務(wù)安全要求CIS4.0 路由器、交換機(jī)路由協(xié)議和SNMP安全配置要求CIS5.0 路由器、交換機(jī)、刀片機(jī)日志審計(jì)安全配置和特有要求14FIW 防火墻FIW1.0 防火墻設(shè)備遠(yuǎn)程訪問安全配置要求FIW2.0 防火墻設(shè)備的認(rèn)證、授權(quán)安全配置要求FIW3.0 防火墻策略管理安全配置要求FIW4.0 防火墻日志服務(wù)安全配置和特有要求FIW5.0 防火墻SNMP安全配置要求五、內(nèi)部控制審計(jì)標(biāo)準(zhǔn)1、內(nèi)部控制審計(jì)實(shí)務(wù)標(biāo)

18、準(zhǔn)。是該行內(nèi)部控制體系各經(jīng)營管理層級和各業(yè)務(wù)環(huán)節(jié)正常運(yùn)行應(yīng)當(dāng)遵循的控制標(biāo)準(zhǔn)或要求，主要依據(jù)國內(nèi)外監(jiān)管法規(guī)、行業(yè)最佳控制實(shí)踐以及本行實(shí)際情況設(shè)定，涵蓋經(jīng)營管理、業(yè)務(wù)操作、產(chǎn)品和信息系統(tǒng)等各個領(lǐng)域，細(xì)化到每個領(lǐng)域中的關(guān)鍵控制點(diǎn)。2、內(nèi)部控制審計(jì)認(rèn)定標(biāo)準(zhǔn)。包括對風(fēng)險點(diǎn)的量級標(biāo)準(zhǔn)和對控制點(diǎn)的量級標(biāo)準(zhǔn)及在此基礎(chǔ)上對內(nèi)部控制缺陷的認(rèn)定標(biāo)準(zhǔn)、內(nèi)部控制有效性認(rèn)定標(biāo)準(zhǔn)。該行將內(nèi)部控制缺陷分為設(shè)計(jì)缺陷和運(yùn)行缺陷，符合企業(yè)內(nèi)部控制規(guī)范及其配套指引的規(guī)定，缺陷按影響控制目標(biāo)的嚴(yán)重程度分為重大、重要和一般三個等級。 內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)缺陷等級定義認(rèn)定標(biāo)準(zhǔn)定量標(biāo)準(zhǔn)定性標(biāo)準(zhǔn)重大指一個或多個控制缺陷的組合，可能導(dǎo)致企業(yè)嚴(yán)重

19、偏離控制目標(biāo)。財(cái)務(wù)報表的錯報金額落在如下區(qū)間：1、錯報利潤總額的5%；2、錯報資產(chǎn)總額的3%；3、錯報經(jīng)營收入總額的1%；4、錯報所有者權(quán)益總額的1%。1、缺乏民主決策程序；2、決策程序?qū)е轮卮笫д`；3、違犯國家法律法規(guī)并受到處罰；4、中高級管理人員和高級技術(shù)人員流失嚴(yán)重；5、媒體頻現(xiàn)負(fù)面新聞，波及面廣；6、重要業(yè)務(wù)缺乏制度控制或制度系統(tǒng)失效；7、內(nèi)部控制重大或重要缺陷未得到整改重要指一個或多個控制缺陷的組合，其嚴(yán)重程度和經(jīng)濟(jì)后果低于重大缺陷，但仍有可能導(dǎo)致企業(yè)偏離控制目標(biāo)。財(cái)務(wù)報表的錯報金額落在如下區(qū)間：1、利潤總額的3%錯報利潤總額的5%；2、資產(chǎn)總額的0.5%錯報資產(chǎn)總額的3%；3、經(jīng)營

20、收入總額的0.5%錯報經(jīng)營收入總額的1%；4、所有者權(quán)益總額的0.5%錯報所有者權(quán)益總額的1%。1、民主決策程序存在但不夠完善；2、決策程序?qū)е鲁霈F(xiàn)一般失誤；3、違反企業(yè)內(nèi)部規(guī)章，形成損失；4、關(guān)鍵崗位業(yè)務(wù)人員流失嚴(yán)重；5、媒體出現(xiàn)負(fù)面新聞，波及局部區(qū)域；6、重要業(yè)務(wù)制度或系統(tǒng)存在缺陷；7、內(nèi)部控制重要或一般缺陷未得到整改一般除重大缺陷、重要缺陷之外的其他控制缺陷。財(cái)務(wù)報表的錯報金額落在如下區(qū)間：1、錯報利潤總額的3%；2、錯報資產(chǎn)總額的0.5%；3、錯報經(jīng)營收入總額的0.5%；4、錯報所有者權(quán)益總額的0.5%。1、決策程序效率不高；2、違反企業(yè)內(nèi)部規(guī)章，但未形成損失；3、一般崗位業(yè)務(wù)人員流失

21、嚴(yán)重；4、媒體出現(xiàn)負(fù)面新聞，但影響不大；5、一般業(yè)務(wù)制度或系統(tǒng)存在缺陷；6、一般缺陷未得到整改。7、存在的其他缺陷有效性審計(jì)結(jié)論分為有效、基本有效、關(guān)注、特別關(guān)注、無效五級。其定義及認(rèn)定標(biāo)準(zhǔn)如表所示內(nèi)部控制有效性認(rèn)定標(biāo)準(zhǔn)等級數(shù)控制有效性等級定義認(rèn)定標(biāo)準(zhǔn)1有效被評價對象的內(nèi)部控制系統(tǒng)運(yùn)行有效被評價對象沒有重大缺陷和重要缺陷；內(nèi)部控制設(shè)計(jì)適當(dāng)且得到貫徹執(zhí)行，不存在控制過度和控制不足的情況2基本有效被評價對象的內(nèi)部控制系統(tǒng)運(yùn)行基本有效被評價對象沒有重大缺陷和重要缺陷；內(nèi)部控制設(shè)計(jì)適當(dāng)?shù)珎€別執(zhí)行效果不佳，存在控制過度可能，不存在控制不足的情況3關(guān)注被評價對象的內(nèi)部控制系統(tǒng)運(yùn)行結(jié)果可以接受，不會對我行戰(zhàn)

22、略目標(biāo)的實(shí)現(xiàn)產(chǎn)生實(shí)質(zhì)性影響。被評價對象沒有重大缺陷和重要缺陷；存在少量內(nèi)部控制設(shè)計(jì)缺陷，存在控制過度和控制不足的情況。4特別關(guān)注被評價對象的內(nèi)部控制系統(tǒng)運(yùn)行水平需要改進(jìn)和予以關(guān)注被評價對象存在重要缺陷；內(nèi)部控制存在較多設(shè)計(jì)缺陷且涉及范圍較廣，控制不足情況較為嚴(yán)重；違反行內(nèi)規(guī)章制度并受到總行處罰5無效被評價對象的內(nèi)部控制系統(tǒng)運(yùn)行無效被評價對象存在重大缺陷；存在無控制或控制失效的情況；違反監(jiān)管機(jī)構(gòu)規(guī)定并受到處罰。內(nèi)部控制缺陷和有效性之間存在的對應(yīng)關(guān)系如表所示：有效性標(biāo)準(zhǔn)與缺陷標(biāo)準(zhǔn)的對應(yīng)關(guān)系表缺陷標(biāo)準(zhǔn)有效性標(biāo)準(zhǔn)對應(yīng)說明重大無效當(dāng)存在一個或多個內(nèi)部控制重大缺陷時，應(yīng)當(dāng)作出內(nèi)部控制無效的結(jié)論重要特別關(guān)注

23、重要缺陷應(yīng)當(dāng)引起董事會、經(jīng)理層關(guān)注，或特別關(guān)注關(guān)注一般基本有效當(dāng)存在一般缺陷時，且缺陷數(shù)量超過管理層可容忍范圍時，可以作出內(nèi)部控制基本有效的結(jié)論有效當(dāng)存在一般缺陷，且缺陷數(shù)量在管理層可容忍范圍內(nèi)時，可以作出內(nèi)部控制有效的結(jié)論風(fēng)險等級劃分為低、較低、中等、較高、高五級(如表所示)： 風(fēng)險點(diǎn)分級標(biāo)準(zhǔn)風(fēng)險點(diǎn)分級認(rèn)定標(biāo)準(zhǔn)A+（高） 影響力高，可能性較大的事件；或影響力高，幾乎肯定發(fā)生的事件。A（較高） 影響力高，有可能或可能性很小發(fā)生的事件；影響力較高，有可能或可能性較大的事件；影響力中等，可能性較大或幾乎肯定發(fā)生的事件。A-（中等） 影響力高，不太可能發(fā)生的事件；或影響力較高，發(fā)生的可能性很小的事件

24、；影響力中等，有可能發(fā)生的事件；影響力較低，發(fā)生的可能性較大的事件；影響力較低但幾乎肯定發(fā)生的事件。B+（較低） 影響力較高，不太可能發(fā)生的事件；影響力中等或較低，有可能性發(fā)生的事件；影響力很低，發(fā)生的可能性較大的事件。B（低） 影響力低或較低，不太可能或發(fā)生的可能性很小的事件。控制等級劃分為一般控制二級、一般控制一級、重要控制二級、重要控制一級、關(guān)鍵控制五級（如表所示）。 控制點(diǎn)分級標(biāo)準(zhǔn)控制點(diǎn)分級認(rèn)定標(biāo)準(zhǔn)Aa+（關(guān)鍵）對可能引起重大的業(yè)務(wù)失誤、為公司帶來重大的財(cái)務(wù)損失，并可能導(dǎo)致財(cái)務(wù)報告中的重大的實(shí)質(zhì)性錯報等重大缺陷進(jìn)行有效控制Aa（重要一級）對可能引起較大的業(yè)務(wù)失誤、為公司帶來較大的財(cái)務(wù)損

25、失等重大缺陷進(jìn)行有效控制Aa-（重要二級）對日常運(yùn)營造成一定程度的影響、為公司帶來一定程度的財(cái)務(wù)損失等重要缺陷進(jìn)行有效控制Bb+（一般一級）對日常運(yùn)營帶來輕微損害、可能導(dǎo)致輕微的財(cái)務(wù)損失的一般缺陷進(jìn)行有效控制Bb（一般二級）對日常運(yùn)營帶來非常輕微的損害、可能導(dǎo)致非常輕微的財(cái)務(wù)損失的一般缺陷進(jìn)行有效控制六、內(nèi)部控制審計(jì)步驟（一）梳理風(fēng)險點(diǎn)和控制點(diǎn)以公司層面為例，該行在梳理風(fēng)險點(diǎn)和控制點(diǎn)的過程采用了以下步驟：一是查閱和分析公司治理文件。二是查閱和分析公司管理制度。三是查閱和分析反映公司治理過程和管理制度執(zhí)行情況的記錄文件或報告等。四是問卷調(diào)查和審計(jì)訪談。（二）構(gòu)建價值鏈風(fēng)險控制矩陣該行采用風(fēng)險控制

26、矩陣的構(gòu)建方法，按價值形成過程，排列不同控制領(lǐng)域、部門、流程、業(yè)務(wù)單元、產(chǎn)品/服務(wù)等在前中后臺的位置，以此明確各部門的職責(zé)關(guān)系。以價值鏈矩陣為聯(lián)系紐帶，將銀行的具體業(yè)務(wù)環(huán)節(jié)、控制活動和風(fēng)險聯(lián)系起來，形成各項(xiàng)業(yè)務(wù)和管理活動的視圖。以該行公司層面控制內(nèi)部環(huán)境審計(jì)為例：該行根據(jù)企業(yè)內(nèi)部控制基本規(guī)范，以公司治理等一級控制領(lǐng)域和二級控制領(lǐng)域?yàn)榱校燥L(fēng)險點(diǎn)描述、控制點(diǎn)描述、審計(jì)標(biāo)準(zhǔn)、審計(jì)依據(jù)、測試步驟（審計(jì)流程）、測試結(jié)果等為行，構(gòu)建內(nèi)部環(huán)境的風(fēng)險控制矩陣（如下表所示）開展內(nèi)部環(huán)境審計(jì)內(nèi)部環(huán)境風(fēng)險控制矩控制領(lǐng)域風(fēng)險點(diǎn)描述風(fēng)險等級控制點(diǎn)描述控制級別審計(jì)標(biāo)準(zhǔn)主要依據(jù)測試步驟測試結(jié)果審計(jì)結(jié)論審計(jì)師審核1.公司治

27、理治理結(jié)構(gòu)形同虛設(shè) 審計(jì)小組根據(jù)公司章程、履職情況，會議紀(jì)要等實(shí)際情況進(jìn)行了描述依法制定對公司股東、董事、監(jiān)事和高級管理人員具有約束力的公司章程；設(shè)立股東大會、董事會、監(jiān)事會和高級管理層并履行職責(zé)，其成員應(yīng)具備相應(yīng)的任職專業(yè)知識和業(yè)務(wù)工作經(jīng)驗(yàn)公司法上市公司治理準(zhǔn)則企業(yè)內(nèi)部控制基本規(guī)范；公司章程查閱公司章程，公司治理制度，確認(rèn)公司治理結(jié)構(gòu)的健全性；商請董事會辦公室提供董事會及其專門委員會提供匯總的履職記錄，商請監(jiān)事會辦公室提供監(jiān)事會匯總的監(jiān)督記錄，進(jìn)行控制測試未發(fā)現(xiàn)缺陷公司治理有效“三會一層”未確定職責(zé)分工，未建立職責(zé)邊界及制衡機(jī)制審計(jì)小組根據(jù)股東大會、公司董事會、高級管理層的逐級授權(quán)及執(zhí)行情況

28、等實(shí)際情況進(jìn)行了描述公司決策、執(zhí)行、監(jiān)督分離，形成制衡機(jī)制；股東大會是公司的權(quán)力機(jī)構(gòu)，董事會對股東（大）會負(fù)責(zé)，依法行使企業(yè)的經(jīng)營決策權(quán)；監(jiān)事會對股東大會負(fù)責(zé)，對董事、高級管理人員進(jìn)行監(jiān)督；高級管理層對董事會負(fù)責(zé)，依法實(shí)施經(jīng)營管理權(quán) 企業(yè)內(nèi)部控制基本規(guī)范；股東大會、董事會、監(jiān)事會授權(quán)管理辦法查閱“三會一層”即股東大會、董事會、高級管理層授權(quán)管理辦法，確認(rèn)制度建設(shè)的健全性；根據(jù)授權(quán)執(zhí)行情況進(jìn)行控制測試，確認(rèn)制度的執(zhí)行情況未發(fā)現(xiàn)缺陷“三會一層”控制有效缺乏決策機(jī)制和議事規(guī)則審計(jì)小組根據(jù)董事會、監(jiān)事會、高級管理層議事規(guī)則，部門職責(zé)與權(quán)限、分公司職責(zé)與權(quán)限及其報告路徑等文件，按實(shí)際控制設(shè)計(jì)和運(yùn)行狀況描

29、述根據(jù)國家有關(guān)法律法規(guī)和企業(yè)章程制定詳細(xì)的股東大會、董事會、監(jiān)事會的議事、決策規(guī)則，以及高級管理層的工作細(xì)則和規(guī)程；重大決策實(shí)行集體審批制企業(yè)內(nèi)部控制基本規(guī)范；公司董事會對高級管理層授權(quán)、高級管理層工作規(guī)則、部門職責(zé)與權(quán)限、分公司職責(zé)與權(quán)限及其報告路徑等文件調(diào)閱公司章程，股東大會、董事會、監(jiān)事會議事規(guī)則，授權(quán)管理辦法，內(nèi)部控制管理辦法，風(fēng)險管理辦法等，檢查制度建設(shè)的健全性；調(diào)閱會議紀(jì)要、管理報告等，確認(rèn)相關(guān)制度的執(zhí)行效果未發(fā)現(xiàn)缺陷控制機(jī)制健全有效（三）現(xiàn)場測試及缺陷匯總審計(jì)人員采用觀察、核對、重新執(zhí)行等審計(jì)方法在公司、流程和信息系統(tǒng)三個層面同步開展穿行測試、控制測試，對控制的有效性進(jìn)行評價、對缺陷進(jìn)行匯總。以該行流程層面業(yè)務(wù)為例，其穿行測試、控制測試步驟如表40-41所示。如穿行測試結(jié)果為無效，則表明該流程設(shè)計(jì)無效，無需再對其進(jìn)行控制測試，可直接認(rèn)定缺陷；如穿行測試有效，則需對該流程進(jìn)行