第三章金融內部控制及其評審第一節金融內部控制概述第二節金融內部控制評審第一節金融內部控制概述一、金融內部控制的含義二、內部控制的目標和原則三、內部控制的要素四、內部控制的內容五、內部控制評審與審計一、金融內部控制的含義內部控制：是指單位為實現經營目標而制定并實施的一系列相互聯系、相互制約的程序、措施、手續和方法的總稱。金融內部控制：金融機構內部為完成既定的工作目標和防范風險，對各職能部門及其工作人員從事的業務活動進行風險控制，而制定的管理方法、措施和程序。其含義：①內部控制是一個管理過程，這個過程主要由控制環境、風險評估、控制活動、信息交流、質量監督等環節構成。②內部控制不僅僅是銀行的各種規章制度，其機制的運作要依靠銀行的管理層和全體員工來完成，所以必須貫徹“以人為本”的管理思想。③內部控制制度無論設計得多么完整，機制無論運作得多么順暢，它給銀行提供的只能是基本的保證，而非絕對保障。④內部控制用于實現銀行的戰略目標，即經營管理的有效性、財務報告的可靠性和現行法律的遵循性?！皟炔靠刂啤迸c“內部控制制度”?！皟炔靠刂啤迸c內部牽制。二、內部控制的目標和原則（一）內部控制的基本目標（二）內部控制的基本原則（一）內部控制的基本目標1.監督實施目標，即確保國家法律規定和金融機構內部規章制度的貫徹執行2.自身發展目標，即確保金融機構發展戰略和經營目標的全面實施和充分實現3.風險控制目標，即確保風險管理體系的有效性4.穩健經營目標，即確保業務記錄、財務信息和其他管理信息的及時、真實和完整商業銀行內部控制的目標戰略控制目標一般控制目標業務控制目標操作執行層視角行長經理層視角董事會視角（二）內部控制的基本原則1．全面性原則2．審慎性原則3．有效性原則4．相對獨立性原則5．及時性原則三、內部控制的要素（一）內部控制環境（二）風險識別與評估體系（三）內部控制措施（四）信息交流與反饋（五）監督評價與糾正商業銀行內部控制系統內部控制環境信息交流與反饋信息交流與反饋內部控制措施風險識別與評估監督評價與糾正（一）內部控制環境內部控制環境是指對內部控制的建立和執行過程有重大影響的各種因素的總稱。1.應當建立良好的公司治理以及分工合理、職責明確、報告關系清晰的組織結構，為內部控制的有效性提供必要的前提條件。2.董事會、監事會和高級管理層應當充分認識自身對內部控制所承擔的責任。3.應當建立科學、有效的激勵約束機制，培育良好的企業精神和內部控制文化，從而創造全體員工均充分了解且能履行職責的環境。（二）風險識別與評估體系風險的識別與評估是提高內控效率和效果的關鍵。1.應當設立履行風險管理職能的專門部門，制定并實施識別、計量、監測和管理風險的制度、程序和方法，以確保風險管理和經營目標的實現。2.應當建立涵蓋各項業務、全行范圍的風險管理系統，開發和運用風險量化評估的方法和模型，對信用風險、市場風險、流動性風險、操作風險等各類風險進行持續的監控。3.應當對各項業務制定全面、系統、成文的政策、制度和程序，并在全行范圍內保持統一的業務標準和操作要求，避免因管理層的變更而影響其連續性和穩定性。4.設立新的機構或開辦新的業務，應當事先制定有關的政策、制度和程序，對潛在的風險進行計量和評估，并提出風險防范措施。5.應當建立內部控制的評價制度，對內部控制的制度建設、執行情況定期進行回顧和檢討，并根據國家法律規定、銀行組織結構、經營狀況、市場環境的變化進行修訂和完善。（三）內部控制措施內部控制措施是內部控制建設的核心內容。1.應當明確劃分相關部門之間、崗位之間、上下級機構之間的職責，建立職責分離、橫向與縱向相互監督制約的機制。2.應當根據不同的工作崗位及其性質，賦予其相應的職責和權限，各個崗位應當有正式、成文的崗位職責說明和清晰的報告關系。3.應當根據各分支機構和業務部門的經營管理水平、風險管理能力、地區經濟環境和業務發展需要，建立相應的授權體系，實行統一法人管理和法人授權。4.應當利用計算機程序監控等現代化手段，鎖定分支機構的業務權限，對分支機構實施有效的管理和控制。5.應當建立有效的核對、監控制度，對各種賬證、報表定期進行核對，對現金、有價證券等有形資產及時進行盤點，對柜臺辦理的業務實行復核或事后監督把關，對重要業務實行雙簽有效的制度，對授權、授信的執行情況進行監控。6.應當按照規定進行會計核算和業務記錄，建立完整的會計、統計和業務檔案，妥善保管，確保原始記錄、合同契約和各種報表資料的真實、完整。7.應當建立有效的應急制度，在各個重要部位、營業網點等發生供電中斷、火災、搶劫等緊急情況時，應急措施應當及時、有效，確保各類數據信息的安全和完整。8.應當設立獨立的法律事務部門或崗位，統一管理各類授權、授信的法律事務，制定和審查法律文本，對新業務的推出進行法律論證，確保每筆業務的合法和有效，維護銀行的合法權益。（四）信息交流與反饋1.應當實現業務操作和管理的電子化，促進各項業務的電子數據處理系統的整合，做到業務數據的集中處理。2.應當實現經營管理的信息化，建立貫穿各級機構，覆蓋各個業務領域的數據庫和管理信息系統，做到及時、準確提供經營管理所需要的各種數據，并及時、真實、準確地向中國人民銀行報送監管報表資料和對外披露信息。3.應當建立有效的信息交流和反饋機制，確保董事會、監事會、高級管理層及時了解本行的經營和風險狀況，確保每一項信息均能夠傳遞給相關的員工，各個部門和員工的有關信息均能夠順暢反饋。（五）監督評價與糾正1.業務部門應當對各項業務的經營狀況和例外情況進行經常性檢查，及時發現內部控制存在的問題，并迅速予以糾正。2.內部審計部門應當有權獲得商業銀行的所有經營信息和管理信息，并對各個部門、崗位和各項業務實施全面的監控和評價。3.內部審計應當具有充分的獨立性，實行全行系統的垂直管理。4.應當配備充足的、業務素質高的、工作能力強的內部審計人員，并建立專業培訓制度，每人每年確保一定的離崗或脫產培訓時間。5.應當建立有效的內部控制報告和糾正機制，業務部門、內部審計部門和其他人員發現的內部控制的問題，均應當有暢通的報告渠道和有效的糾正措施。四、內部控制的內容（一）授信內部控制（二）資金業務的內部控制（三）存款及柜臺業務的內部控制（四）中間業務的內部控制（五）會計的內部控制（六）計算機信息系統的內部控制（一）授信內部控制授信內部控制的重點是：實行統一授信管理，健全客戶信用風險識別與監測體系，完善授信決策與審批機制，防止對單一客戶、關聯企業客戶和集團客戶風險的高度集中，防止違反信貸原則發放關系人貸款和人情貸款，防止信貸資金違規投向高風險領域和用于違法活動。（二）資金業務的內部控制資金業務內部控制的重點是：對資金業務對象和產品實行統一授信，實行嚴格前后臺職責分離，建立中臺風險監控和管理制度，防止資金交易員從事越權交易，防止欺詐行為，防止因違規操作和風險識別不足導致的重大損失。（三）存款及柜臺業務的內部控制對基層營業網點、要害部位和重點崗位實施有效監控，嚴格執行賬戶管理、會計核算制度和各項操作規程，防止內部操作風險和違規經營行為，防止內部挪用、貪污以及洗錢、金融詐騙、逃匯、騙匯等非法活動，確保商業銀行和客戶資金的安全。（四）中間業務的內部控制開展中間業務應當取得有關主管部門核準的機構資質、人員從業資格和內部的業務授權，建立并落實相關的規章制度和操作規程，按委托人指令辦理業務，防范或有負債風險。（五）會計的內部控制實行會計工作的統一管理，嚴格執行會計制度和會計操作規程，運用計算機技術實施會計內部控制，確保會計信息的真實、完整和合法，嚴禁設置賬外賬，嚴禁亂用會計科目，嚴禁編制和報送虛假會計信息。（六）計算機信息系統的內部控制嚴格劃分計算機信息系統開發部門、管理部門與應用部門的職責，建立和健全計算機信息系統風險防范的制度，確保計算機信息系統設備、數據、系統運行和系統環境的安全。五、內部控制評審與審計首先，對內部控制的審計評審是現代審計工作的基礎。內部控制的“質”與審計工作的“量”密切相關。內控“質”高→抽樣少→審計工作“量”小。反之，內控“質”低→抽樣多→審計工作“量”大。其次，審計工作可以促進內部控制不斷完善。人們對待內部控制審計存在兩種不同的看法：一種觀點是把內部控制審計僅僅看成是整個審計過程中實施階段的一種審計方法，或一個重要的環節和步驟；另一種觀點則認為，內部控制審計不僅是一種審計方法，而且有其本身的審計目的、內容和程序，因而，它也是一個獨立的審計類別。從當前我國金融內部控制的實際情況來看，把內部控制審計作為一個獨立的審計類別，開展專門的內部控制審計，對金融機構現行的內部控制作出客觀公正的科學評價，從而督促其建立健全有效的內部控制，確實具有十分重大的現實意義。第二節金融內部控制評審一、內部控制的調查二、內部控制的測試三、內部控制的評價四、確定內部控制的信賴度一、內部控制的調查調查的方法主要包括：①收集并審閱制度。②詢問單位職工。③進行實地查看。④調閱以往的審計檔案等。記錄內部控制的方法主要有三種：(1)文字描述法。即審計人員將內部控制的健全和執行情況用文字進行書面敘述的一種方法。(2)調查問卷法。也稱調查表法，是指審計人員事先將內部控制的有關問題制成“內部控制調查問卷”或“內部控制調查表”，通過向有關人員詢問并填表的方式來描述內部控制的一種方法。(3)流程圖法。即審計人員采用特定的符號，輔之以簡要的文字或數字，根據業務處理流程等加以聯結，將內部控制用圖示的形式，直觀地進行描述的一種方法。二、內部控制的測試（一）符合性測試：是針對被審計單位的內部控制設計和執行是否有效所進行的檢查和驗證。（二）實質性測試：是對被審計單位內部控制發揮作用的結果，或者說是對內部控制的實際效能所進行的檢查和驗證。1.業務測試：是指采用順查或逆查的方法對某一經濟業務的整個流程或程序所采取的一切控制措施進行審查，其目的在于揭示這些控制措施是否都在發揮控制功能，其發揮的程度和效能如何。2.功能測試：是指對某項控制措施是否一貫地被有效執行所進行的測試，以明確該控制措施是否有效執行。1.細節測試具體包括為交易的細節測試和余額的細節測試。2.分析性復核主要是通過分析復核各種財務會計數據和非財務會計數據之間的關系所進行的測試。三、內部控制的評價（一）內部控制評價的標準（理想的內部控制模式）（二）內部控制評價的內容1．評價金融內部控制的健全性（是否制定）2．評價金融內部控制的遵循性（是否執行）3.評價金融內部控制的合理性（是否可行）4．評價金融內部控制的有效性（是否有效）四、確定內部控制的信賴度1.高信賴度（低控制風險）是指被審計單位具有健全、完善的內部控制，并能有效地發揮控制作用。在這種情況下，被審計單位存在錯弊的可能性很小，對此，審計人員可以較多地信賴其內部控制，相應地減少抽樣審計的規模和數量。2.中信賴度（中等控制風險）是指被審計單位的內部控制較為良好，但不夠健全和科學，存在一定的缺陷和薄弱環節；或內部控制設計完好，但實際執行不力。因而，被審計單位存在錯弊的可能性就較大。對此，審計人員就不能過分地信賴其內部控制，相應地要擴大抽樣審計的規模和數量。3.低信賴度（高控制風險）是指被審計單位的內部控制設計不健全、不科學，或重要的內部控制明顯無效，或在實際工作中沒有執行等等，造成大部分經濟業務失控，錯弊頻出，從而導致審計人員無法信賴其內部控制。內部控制的