内部控制测试程序与测评

内部控制测试程序和一般性内部控制测评第一节 公司内部控制简介一、公司内部控制的含义从广义上说，内部控制是组织机构在经营管理过程中，为保证管理有效、资产安全、会计数据准确真实及为鼓励遵守既定管理政策而采取的所有相应的方法和手段。而对公司来说，内部控制是公司为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。真正的内部控制机构，应是贯穿于公司各项业务活动全过程的控制系统，包括完善的规章制度、可行的操作规程、严密的控制程序和预警预报系统。各公司应充分认识到内控制度建设的重要性，自发地而不是被动地加强内控制度的建设，并作为其生存和发展的首要任务来抓，达到认识和实践的统一。从理论上讲，内部控制的含义本身包括以下评价内容和标准：一是内部控制制度的客观存在性；二是内部控制制度的可操作性和有效性；三是职责履行与内部监督的独立性。二、公司内部控制的目标和原则（一）公司内部控制的目标1确保国家法律规定和公司内部规章制度的贯彻执行。2确保公司发展战略和经营目标的全面实施和充分实现。3确保风险管理体系的有效性。4确保业务记录、财务信息和其他管理信息的及时、真实和完整。内部控制应当与公司的经营规模、业务范围和风险特点相适应，以合理的成本实现内部控制的目标。（二）公司内部控制的原则公司内部控制应当贯彻全面、审慎、有效、独立的原则，包括：1内部控制应当渗透到公司的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。2内部控制应当以防范风险、审慎经营为出发点，公司的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。3内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够及时反馈和纠正。4内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。三、公司内部控制的要素内部控制要素是指构成内部控制的必要因素。只有内部控制的各构成因素有机结合在一起，才能形成完整的内部控制机制。公司内部控制应当包括以下要素：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。（一）内部控制环境公司内部控制环境是指对内部控制的建立和执行过程有重大影响的各种因素的总称。它是推动工作的发动机，是所有其他内部控制组成部分的基础。公司应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。具体讲，控制环境又包括以下五方面的内容。1管理理念管理理念是指管理人员在思想理念及实际行动上对内部控制的重视程度。如，管理人员对业务风险的识别、重视程度，对风险采取的分析、评估和控制方法；管理人员为实现经营管理目标，对内部控制的重视程度；全行是否围绕一个明确的管理理念经营管理等。2管理层一个公司如果有一个好的管理层，就为该行创造了一个良好的控制环境。好的管理层包括两方面含义，一是领导者自身要有正确的道德观和价值观，有一定的责任心和敬业精神，要带头认真执行行内的各项规章制度；二是要有正确的管理方式，以科学的管理方法使公司的运作规范化、科学化，并在稳健经营的基础上发展壮大。3组织结构公司的组织结构是否合理至关重要，组织结构合理能够使各部门职责分明，既相互联系、又相互制约，有完善的授权授信机制，能够保证部门和分支行之间方便、快捷、准确地沟通信息，能够在公司内部建立有效的监督机制。4人事政策和员工素质一个公司要有合理的人员招聘、录用、使用、晋职、解聘政策，能够充分调动员工的积极性，注重提高员工业务素质和政治素质。有明确的员工培训计划，使员工有较强的敬业精神和职业道德，在良好的氛围中充分发挥主观能动性，努力工作。科学的人事政策能合理利用人力资源，在降低人力资源成本的同时提高工作效率。5外部环境现代公司是一个开放的系统，会受到外界有关部门和各项因素的干扰和影响。其中，有关部门主要是指如政府部门、中央银行、社会监督部门；各项因素是指国内外经济形势、法律环境、社会公众要求、甚至自然灾害等。这些部门和因素对公司内部控制制度的制定、执行都会产生影响。如为了降低公司的经营风险，国家规定必须进行分业经营，所有与存放款等传统银行业务无关的业务都不能经办，则公司内部控制的外延就比可以进行多种经营时要小得多。（二）风险识别与评估为达到一定的经营目标而识别和分析风险，是风险管理决策的基础。风险评估时，评估人员要重视设立目标、分析风险和管理变化等方面的管理程序。风险评估包括对风险点进行选择、识别、分析和评估的全过程。一是列出重要风险要素和风险控制点。公司首先要清楚在其经营管理过程中会出现的风险，风险要素和风险点的罗列要细致、全面，既要考虑内部风险，又要考虑外部因素引起的风险；既要考虑静态风险，又要考虑动态风险；既要考虑操作风险，又要考虑体制和政策风险。二是对风险进行分析和评估。要事先对风险点进行评估，识别风险产生的原因及表现形式；识别每一重要业务活动目标所面临的风险；估计风险的概率、频率、重要性、可能性；风险所造成的危害。其目的是能够在业务开展前，测定出风险指标，并能够在业务发生后对风险进行跟踪监测。（三）内部控制措施内部控制措施就是确保管理方针得以实现的一系列制度、程序和措施。包括高层检查、直接管理、信息加工、实物控制、工作指标和职责分离等。管理人员要为每一重大活动设立目标，并针对与这些目标相关的风险，列出所要采取的活动和措施，如完善制度、加强相互制约、健全奖惩机制、加强员工培训等。内部控制措施要与风险评估过程联系起来，要恰当实际，要针对每一项重要业务活动，要保证管理指令的执行。（四）信息交流与反馈要使控制活动和措施有力地开展下去，一个公司必须及时获取内外部信息，包括反映经营管理状况、法律法规执行情况、财务报表资料等内部信息，以及其他外部信息，并使这些信息充分交流，如内部部门之间、总行与分支行之间、分支行之间的相互交流，银行与客户、政府部门、中央银行之间的交流等。通过信息的获取和交流，来完善和实现自身的目标，采取必要的控制活动和措施，及时解决存在的问题。如通过分支行之间、与中央银行之间的信息交流，获取主要客户在本系统其他分支行及其他银行的贷款和授信情况，以便本行确定适当的授信额度和测定信用风险。（五）监督评价与纠正为了保证内部控制的有效性、充分性和可行性，必须考虑对内部控制制度进行持续性评价和单项制度的分别评价。主要内容包括：组织体系是否健全，决策系统、执行系统、监督系统和支持保障系统作用发挥如何；领导层对内部控制的认识如何；是否有相应的管理制度和操作规程，这些制度和规程是否完善；是否具有明确的岗位责任制；授权、分工协作和相互制约机制是否健全；指标制定是否合理、完成情况如何，是否具有完善的奖惩机制；员工对制度精神是否充分理解，执行情况如何；岗位轮换和员工培训情况如何；计算机、人事管理、信息管理、安全保卫等支持保障系统是否有效；内部稽核体系是否健全，独立性和权威性如何，稽核力度和覆盖面是否足够等。第二节 内部控制测评的程序和方法对内部控制测评的过程也就是对控制风险进行评估的过程。需要注意的是，与固有风险评估一样，控制风险的评估需要大量运用审计人员的专业判断。在对固有风险和控制风险进行评估以后，审计人员就可确定检查风险，从而决定进行实质性测试的工作量。内部控制测评包括初步了解内部控制、确定审计策略，执行内部控制测试、评估控制风险两部分。本章第三节将介绍内部控制要素、会计系统、主要业务系统、计算机系统以及内部控制监督与风险评价等一般性内部控制系统的测评，第四章至第十二章将详细介绍各业务系统的内部控制测评，以更好地与各业务系统的实质性测试相衔接。一、初步了解内部控制，确定审计策略（一）调查和了解内部控制本指南采用调查表的方法进行。审计人员可以通过调查和了解，辨别出公司的具体控制环节和控制程序。审计人员没有必要对每项控制都进行深入分析，应关注那些可能对控制目标的实现有重大影响的控制环节，即关键控制点。（二）确定审计策略在调查的基础上，审计人员应确定审计策略，确定是否依赖被审计银行相关内部控制进行审计。如果出现以下两种情况之一，审计人员不得采取依赖内部控制审计策略： （1）相关内部控制不健全，存在重大风险失控点。 （2）内部控制测试的工作量可能大于进行内部控制测试所减少的实质性测试的工作量。二、执行内部控制测试，评估控制风险审计人员根据内部控制调查结果，在采取依赖相关内部控制审计策略的情况下，对拟信赖的内部控制采取适当和有效的方法进行测试，评价内部控制风险和获取内部控制保证程度。审计人员对第一次审计的公司和连续审计的公司本期发生变化的内部控制环节，应按以下提供的程序和方法实施测试和评价。审计人员对连续审计公司的内部控制测试和评价，可以参考上期审计成果，或采取按年轮流测试办法。（一）制定内部控制测试计划1确定测试对象。2明确证据要求。3确定测试范围。4明确可接受的控制风险或要求达到的控制保证程度。（二）采取适当的内部控制测试方法1询问并检查相关的内部控制管理报告。即采用相互印证式的询问，查明相关内部控制是否存在和有效运行，然后再根据询问的结果检查有关内部控制管理报告，获取内部控制有效运行的证据。这是在控制风险较低时比较常用的测试程序。2询问并实地观察未留下审计轨迹的内部控制运行情况。在这种情况下，审计人员可通过询问并实地观察，以判断相关内部控制规定是否得到遵守。3询问并检查交易和业务凭证等书面文档。即根据询问的情况、检查交易和事项的有关凭证，以获取内部控制有效运行的证据。4重新实施相关内部控制程序（即重做）。在实际测试工作中，应根据实际情况灵活采用各种测试方法。在上述四种方法中，以相互印证式的询问为首选，通过询问法和辅以观察、审查书面文档和重做的方法，可以有效地获取审计所需证据，节约审计资源。具体运用中，对于通过询问不同的人员，同样的问题能够得到相互印证的，则不再扩大测试；对于同一问题出现相互矛盾的回答时，再辅以其他测试方法。在测试过程中，需要抽取一定的样本，以验证相关内部控制是否有效。抽样时可以使用统计抽样的方法，也可以根据审计人员专业判断使用非统计抽样方法。本指南建议在内部控制测试过程中使用非统计抽样技术。（三）获取内部控制测试证据测试中，应获得如下审计证据，来证明控制活动和措施是否有效：1内部控制如预期那样运转。2内部控制在所审计期间一贯地、及时地发挥作用。3内部控制涵盖所有交易。4内部控制能发现和修正错误。（四）记录内部控制测试结果实施内部控制测试后，应记录如下内容：1测试的对象，包括测试的控制系统或业务循环、控制目标、控制活动和措施。2采取的测试程序和方法，包括检查的文件、程序、调查的人员。3测试结果，包括评定控制风险、指出失控的环节及对风险的影响。4测试结论，包括是否信赖相关内部控制，下一步准备采取的审计策略，是否测试补偿控制，是否修改审计方案。5审计建议、测试时间、测试人。6测试过程中，审计人员通过询问有关当事人发现内部控制在执行中存在任何例外（如越权）、非正常项目（如未按正常控制程序审批的项目）和相关制度的任何修改（如审批权限发生变化），均应作相应记录和检查。（五）评价控制风险内部控制的风险评价可分为高、较高、中、低三个层次。风险低的标志是：内部控制健全、合理，且在测试检查有关业务活动时，未发现任何差错或仅发现极少的差错。风险中的标志是：内部控制比较健全、合理，还存在一定缺陷，且在测试检查有关业务活动时，发现有一定程度的差错。风险较高的标志是：内部控制设计不够完善或虽然设计了良好的内部控制，但实际运行中差错发生率较高。风险高的标志是：内部控制设计不完善或虽然设计了良好的内部控制，但实际运行中差错发生率很高。在评价控制风险时需要考虑的因素有：1失控的性质和原因。例如，某种失控是孤立的还是与其他控制相关、失控的程度如何等。2补偿控制的可能性。在评价中，一些关键控制本应在较低层次建立和执行，但却没有得到执行，要注意在较高层次是否存在补偿控制。例如，检查大额支付款项的授权情况，在业务处理过程中没有授权，但上一级管理层对此有严格的审核制度和手续，则证明有补偿控制。评价控制风险的结果，可以利用风险基础审计策略模型，转换为内部控制保证程度系数，为实质性测试实施统计抽样服务，调整或确认进一步实质性测试的程序、范围和重点：1审计人员采用非统计抽样技术实施审计时，可以利用已知的可接受审计风险、公司固有风险和公司内部控制风险的高低，调整或确认审计方案中规划的实质性测试可接受检查风险水平，明确实质性测试的程序、范围和方法。2审计人员采用货币单位抽样等统计抽样技术实施审计时，可以利用已知的总体审计保证程度系数、公司固有保证程度系数和公司内部控制保证程度系数，调整或确认审计计划中规划的实质性测试应达到的检查保证程度系数，明确实质性测试的程序、范围和方法，并帮助审计人员测算出理论抽样规模。第三节 公司一般性内部控制测评公司一般性内部控制的测评内容包括内部控制要素、会计系统、业务系统、计算机系统、内部控制的监督与风险评价五个方面的内部控制建设及其运行情况的测试评价。本节只对一般性内部控制进行调查和测试，并结合以后各章业务循环的内部控制测评结果来确定审计策略。一、内部控制要素的测评对公司内部控制要素的调查测试表如下：表31 索引号：(审计机关名称)审计工作底稿内部控制要素调查测试表（审计期间）被审计公司：控制活动是否执行情况好一般差（一）内部控制环境1公司的董事会是否履行以下职责：负责审批公司的总体经营战略和重大政策，确定公司可以接受的风险水平，批准各项业务的政策、制度和程序，任命高级管理层，对内部控制的有效性进行监督；就内部控制的有效性定期与管理层进行讨论，及时审查管理层、审计机构和监管部门提供的内部控制评估报告，督促管理层落实整改措施？2公司的高级管理层是否履行以下职责：负责执行董事会批准的各项战略、政策、制度和程序，负责建立授权和责任明确、报告关系清晰的组织结构，建立识别、计量和管理风险的程序，并建立和实施健全、有效的内部控制，采取措施纠正内部控制存在的问题？3公司的监事会是否履行以下职责：在实施财务监督的同时，负责对公司遵守法律规定的情况以及董事会、管理层履行职责的情况进行监督，要求董事会、管理层纠正损害银行利益的行为？4公司是否建立科学、有效的激励约束机制，培育良好的企业精神和内部控制文化，从而创造全体员工均充分了解且能履行职责的环境？（二）风险识别与评估1公司是否设立有履行风险管理职能的专门部门，是否制定并实施识别、计量、监测和管理风险的制度、程序和方法，以确保风险管理和经营目标的实现？2公司是否有建立涵盖各项业务、全行范围的风险管理系统，是否开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控？3公司是否对各项业务制定全面、系统、成文的政策、制度和程序，是否在全行范围内保持统一的业务标准和操作要求，避免因管理层的变更而影响其连续性和稳定性？4公司是否在设立新的机构或开办新的业务时，事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施？5公司是否建立有内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，是否根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善？（三）内部控制措施1公司是否明确划分相关部门之间、岗位之间、上下级机构之间的职责，是否建立职责分离、横向与纵向相互监督制约的机制，涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定？2公司是否根据不同的工作岗位及其性质，赋予其相应的职责和权限，各个岗位是否有正式、成文的岗位职责说明和清晰的报告关系？3公司是否对关键岗位实行定期或不定期的人员轮换和强制休假制度？4公司是否根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济环境和业务发展需要，建立相应的授权体系，实行统一法人管理和法人授权？是否授权适当、明确，并采取书面形式？5公司是否利用计算机程序监控等现代化手段，锁定分支机构的业务权限，对分支机构实施有效的管理和控制？下级机构是否严格执行上级机构的决策，在自身职责和权限范围内开展工作？6公司是否建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产及时进行盘点，对柜台办理的业务实行复核或事后监督把关，对重要业务实行双签有效的制度，对授权、授信的执行情况进行监控？7公司是否按照规定进行会计核算和业务记录，建立完整的会计、统计和业务档案，妥善保管，确保原始记录、合同契约和各种报表资料的真实、完整？8公司是否建立有效的应急制度，在各个重要部位、营业网点等发生供电中断、火灾、抢劫等紧急情况时，应急措施是否及时、有效，以确保各类数据信息的安全和完整？9公司是否设立独立的法律事务部门或岗位，统一管理各类授权、授信的法律事务，制定和审查法律文本，对新业务的推出进行法律论证，确保每笔业务的合法和有效，维护银行的合法权益？10公司是否实现业务操作和管理的电子化，促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理？11公司是否实现经营管理的信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向中国人民银行报送监管报表资料和对外披露信息？（四）信息交流与反馈公司应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈？（五）监督评价与纠正1公司的业务部门是否对各项业务的经营状况和例外情况进行经常性检查，及时发现内部控制存在的问题，并迅速予以纠正？2公司的内部审计部门是否有权获得公司的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监控和评价？3公司的内部审计是否具有充分的独立性，实行全行系统的垂直管理？下级机构内部审计负责人的聘任和解聘是否经上级机构内部审计部门同意，总行内部审计负责人的聘任和解聘是否经董事会或监事会同意？4公司是否配备充足的、业务素质高、工作能力强的内部审计人员，并建立专业培训制度，每人每年确保一定的离岗或脱产培训时间？内部审计力量不足的，是否将审计任务委托社会中介机构进行？5公司是否建立有效的内部控制报告和纠正机制，业务部门、内部审计部门和其他人员发现的内部控制的问题，是否均有畅通的报告渠道和有效的纠正措施？审计人员： 审计日期： 复核人员： 复核日期：二、会计系统内部控制的测评公司建立会计控制系统应遵循的基本原则是规范化原则、授权分责原则、监督制约原则、财务核对原则、安全谨慎原则。会计系统测评包括会计核算、结算管理、现金管理、财务管理诸方面的检查评价。在进行检查评价时，要以上述原则为基础，测评要点为：一是测评其设立岗位、制定操作程序以及建立会计档案保管和密押、业务用章、重要空白凭证保管、领用、登记、销废等会计管理制度的健全完善和执行情况如何。二是测评会计业务是否真实、有效。三是测评会计报表及相关说明是否真实反映其业务状况和经营成果。公司会计系统内部控制的重点是：实行会计工作的统一管理，严格执行会计制度和会计操作规程，运用计算机技术实施会计内部控制，确保会计信息的真实、完整和合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。对公司会计系统内部控制的调查测试表如下：表32 索引号：（审计机关名称）审计工作底稿会计系统内部控制调查测试表（审计期间）被审计公司：控制活动是否执行情况好一般差1公司是否依据企业会计准则和国家统一的会计制度，制订并实施本行的会计规范和管理制度？下级机构是否严格执行上级机构制定的会计规范和管理制度，确保统一的会计规范和管理制度在本行得到实施？2公司是否确保会计工作的独立性，确保会计部门和会计人员能够依据国家统一的会计制度和本行的会计规范独立地办理会计业务？3公司会计岗位设置是否实行责任分离、相互制约的原则，严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作？4公司是否明确会计部门、会计人员的权限，各级会计部门、会计人员是否在各自的权限内行事，凡超越权限的，须经授权后，方可办理？5公司是否对会计账务处理的全过程实行监督，会计账务是否做到账账、账据、账款、账实、账表和内外账的六相符？凡账务核对不一致的，是否按照权限进行纠正或报上级机构处理？6公司是否对会计主管、会计负责人实行从业资格管理，建立会计人员档案？会计主管、会计负责人和会计人员是否具有与其岗位、职位相适应的专业资格或技能？7公司下级机构会计主管的变动是否经上级机构会计部门同意？会计人员调动工作或离职，是否与接管人员办清交接手续，严格执行交接程序？8公司是否对会计人员实行强制休假制度，联行、同城票据交换、出纳等重要会计岗位人员和会计主管是否定期轮换，逐步推行离岗（任）审计制度？9公司是否实行会计差错责任人追究制度，发生重大会计差错、舞弊或案件，除对直接责任人员追究责任外，机构负责人和分管会计的负责人是否也承担相应的责任？10公司是否做到会计记录、账务处理的合法、真实、完整和准确？11公司是否建立规范的信息披露制度，按照规定及时、真实、完整地披露会计、财务信息？12公司是否完善会计档案管理，严格执行会计档案查阅手续，防止会计档案被替换、更改、毁损、散失和泄密？审计人员： 审计日期： 复核人员： 复核日期：三、业务系统内部控制的测评业务系统的内部控制主要包括授信业务、资金业务、存款及柜台业务、中间业务的内部控制。下面主要介绍授信业务和资金业务的内部控制测评，对存款及柜台业务、中间业务的内部控制测评将在后面各章中介绍。业务系统测评要点为：一是测试评价业务管理、监督办法与处理规程的一致性、规范性，如看授信管理是否制定授信管理办法及操作规程，并按有关规程执行业务；有关风险识别与监测体系是否健全有效等。二是测试评价业务控制程序是否明确、相互制衡，如看是否形成了相关岗位职责由不同人员担任的规章制度（审贷分离制度、“印、押、证”三分管制度等）。三是测试评价业务经营指标的完成情况。公司授信业务内部控制的重点是：实行统一授信管理，健全客户信用风险识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联企业客户和集团客户风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，防止信贷资金违规投向高风险领域和用于违法活动。公司资金业务内部控制的重点是：对资金业务对象和产品实行统一授信，实行严格的前后台职责分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。对公司业务系统内部控制的调查测试表如下：表33 索引号：（审计机关名称）审计工作底稿业务系统内部控制调查测试表（审计期间）被审计公司：控制活动是否执行情况好一般差（一）授信业务的内部控制1公司是否设立独立的授信风险管理部门，对不同币种、不同客户对象、不同种类的授信进行统一管理，避免信用失控？2公司授信岗位设置是否做到分工合理、职责明确，岗位之间是否相互配合、相互制约，做到审贷分离、业务经办与会计账务处理分离？3公司是否建立有效的授信决策机制，包括设立审贷委员会，负责审批权限内的授信？行长不得担任审贷委员会的成员？审贷委员会审议表决是否遵循集体审议、明确发表意见、多数同意通过的原则，全部意见是否记录存档？被审贷委员会两次否决的贷款申请半年内不得提交审贷委员会审议？4公司是否建立严格的授信风险垂直管理体制，下级机构是否服从上级机构风险管理部门的管理，严格执行各项授信风险管理政策和制度？5公司是否对授信实行统一的法人授权制度，上级机构是否根据下级机构的风险管理水平、资产质量、所处地区经济环境等因素，合理确定授信审批权限？6公司是否根据风险大小，对不同种类、期限、担保条件的授信确定不同的审批权限，审批权限是否逐步采用量化风险指标？7公司各级机构是否明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务，不得故意绕开审查、审批人？8公司是否防止授信风险的过度集中，通过实行授信组合管理，制定在不同期限、不同行业、不同地区的授信分散化目标，及时监测和控制授信组合风险，确保总体授信风险控制在合理的范围内？9公司是否对同一客户的贷款、贸易融资、票据承兑和贴现、透支、保理、担保、贷款承诺、开立信用证等各类表内外授信实行一揽子管理，确定总体授信额度？10公司是否以风险量化评估方法和模型为基础，开发和运用统一的客户信用评级体系，作为授信客户选择和项目审批的依据，并为客户信用风险识别、监测以及制定差别化的授信政策提供基础？11公司是否对集团客户实行统一授信管理，将同一集团内各个企业的授信纳入统一的授信额度内，核定集团总的授信额度，防止借款人通过多头开户、多头贷款、多头互保套取银行资金，防止对关联企业授信的失控？12公司是否建立统一的授信操作规范，规定贷前调查、贷时审查、贷后检查各个环节的工作标准和操作要求：（1）贷前调查是否做到实地查看，如实报告授信调查掌握的情况，不回避风险点，不因任何人的主观意志而改变调查结论；（2）贷时审查是否做到独立审贷，客观公正，充分、准确地揭示业务风险，提出降低风险的对策；（3）贷后检查是否做到实地查看，如实记录，及时将检查中发现的问题报告有关人员，不得隐瞒或掩饰问题？（4）公司是否制定统一的各类授信品种的管理办法，明确规定各项业务的办理条件，包括选项标准、期限、利率、收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容？（5）公司在批准各类授信时，是否逐笔载明办理业务的各项条件，经办部门只能在符合条件的前提下办理业务？13公司是否对借款人实施独立的尽职调查，严格执行授信审批程序，防止逆程序操作和放宽授信标准，防止发放任何形式的外部行政干预贷款和人情贷款？14公司是否严格按照信贷原则审查对关系人的授信，确保对关系人的授信条件不得优于其他借款人同类授信的条件？在对关系人的授信调查和审批过程中，公司内部相关人员是否回避？15公司是否严格审查和监控借款用途，防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金，改变借款用途？16公司是否严格审查借款人资格合法性、融资背景以及申请材料的真实性和借款合同的完备性，防止借款人通过编造虚假理由、使用虚假经济合同或虚假证明文件等方式，从事金融诈骗活动？17公司是否建立资产质量监测报告体系，严密监测资产质量的变化，分析不良资产形成的原因，及时制定防范和化解风险的对策？18公司是否建立贷款风险分类制度，规范贷款质量的认定标准和程序，严禁掩盖不良贷款的真实状况，确保贷款质量的真实性？19公司是否建立授信风险责任制，明确规定各个部门、岗位的风险责任？（1）调查人员是否承担调查失误和评估失准的责任；（2）审查和审批人员是否承担审查、审批失误的责任，并对本人签署的意见负责；（3）贷后管理人员是否承担检查失误、清收不力的责任；（4）放款操作人员是否对操作性风险负责；（5）高级管理层是否对重大贷款损失承担相应的责任。20公司是否对违法、违规造成的授信风险和损失逐笔进行责任认定，并按规定对有关责任人进行处理？21公司是否建立完善的授信管理信息系统，对授信全过程进行持续监控，并确保提供真实的授信经营状况和资产质量状况信息，对授信风险与收益情况进行综合评价？22公司是否建立完善的客户管理信息系统，全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息，对客户进行分类管理，对已列入“黑名单”、有逃废债等行为的资信不良的借款人实施授信禁入？（二）资金业务的内部控制1公司资金业务的组织结构是否体现权限等级和职责分离的原则，做到前台交易与后台结算分离、自营业务与代客业务分离、业务操作与风险监控分离，建立岗位之间的监督制约机制？2公司是否根据分支机构的经营管理水平，核定各个分支机构的资金业务经营权限？对分支机构的资金业务是否定期进行检查，对异常资金交易和资金变动是否建立有效的预警和处理机制？未经上级机构批准，下级机构不得开展任何未设权限的资金交易？3公司是否完善资金营运的内部控制，资金的调出、调入是否有真实的业务背景，严格按照授权进行操作，并及时划拨资金，登记台账？4公司是否根据授信原则和资金交易对手的财务状况，确定交易对手、投资对象的授信额度和期限，并根据交易产品的特点对授信额度进行动态监控，确保所有交易控制在授信额度范围之内？5公司是否充分了解所从事资金业务的性质、风险、相关的法规和惯例，明确规定允许交易的业务品种，确定资金业务单笔、累计最大交易限额以及相应承担的单笔、累计最大交易损失限额和交易止损点？高级管理层是否充分认识金融衍生产品的性质和风险，根据本行的风险承受水平，合理确定金融衍生产品的风险限额和相关交易参数？6公司是否建立完备的资金交易风险评估和控制系统，制定符合本行特点的风险控制政策、措施和定量指标，开发和运用量化的风险管理模型，对资金交易的收益与风险进行适时、审慎评价，确保资金业务各项风险指标控制在规定的范围内？7公司是否根据资金交易的风险程度和管理能力，就交易品种、交易金额和止损点等对资金交易员进行授权？资金交易员上岗前是否取得相应资格？8公司是否按照市场价格计算交易头寸的市值和浮动盈亏情况，对资金交易产品的市场风险、头寸市值变动进行实时监控？9公司是否建立资金交易风险和市值的内部报告制度？资金交易员是否向高级管理层如实汇报金融衍生产品中的或有资产、隐含风险和对冲策略等交易细节？10公司是否充分考虑到极端的市场价格变动、市场流动性降低以及主要交易对手倒闭等问题，确定市场出现大幅异常波动和可能出现最坏情况时的应对措施？11公司是否建立对资金交易员的适当的约束机制，对资金交易员实施有效管理？资金交易员是否严格遵守交易员行为准则，在职责权限、授信额度、各项交易限额和止损点内以真实的市场价格进行交易，并严守交易信息秘密？12公司是否建立资金交易中台和后台部门对前台交易的反映和监督机制？中台监控部门是否核对前台交易的授权交易限额、交易对手的授信额度和交易价格等，对超出授权范围内的交易是否及时向有关部门报告？后台结算部门是否独立地进行交易结算和付款，并根据资金交易员的交易记录，在规定的时间内向交易对手逐笔确认交易事实？13公司在办理代客资金业务时，是否了解客户从事资金交易的权限和能力，向客户充分揭示有关风险，获取必要的履约保证，明确在市场变化情况下客户违约的处理办法和措施？14公司资金业务新产品的开发和经营是否经过高级管理层授权批准，在风险控制制度和操作规程完备、人员合格和设备齐全的情况下，交易部门才能全面开展新产品的交易？15公司是否建立资金业务的风险责任制，明确规定各个部门、岗位的风险责任？（1）前台资金交易员是否承担越权交易和虚假交易的责任，并对未执行止损规定形成的损失负责；（2）中台监控人员是否承担对资金交易员越权交易报告的责任，并对风险报告失准和监控不力负责；（3）后台结算人员是否对结算的操作性风险负责；（4）高级管理层是否对资金交易出现的重大损失承担相应的责任。审计人员： 审计日期： 复核人员： 复核日期：四、计算机系统内部控制的测评随着金融业务日趋多样化，以计算机为中心的金融信息网络系统在整个金融业的使用越来越广泛，金融业对计算机系统的依赖程度与日俱增，计算机系统风险的控制显得十分必要和紧迫。对计算机系统的内部控制评价可依据该机构计算机系统应用程度来确定其评价内容，并设定计算机系统在整个内部控制评价系统中所占的权重。一般来说，计算机系统应用程度可分为下列三种模式：第一种模式：所有业务完全应用计算机系统，彻底摆脱手工操作或者以手工操作为辅助手段。第二种模式：部分业务应用计算机系统，尚未完全摆脱手工操作或者是处于手工操作与计算机并运的状况。第三种模式：计算机系统主要用于部分文档操作，尚未深入到业务层次。在第一种模式中，计算机业务处理集中化程度最高、检查评价内容要具体、细化、深入，所占权重相对最高；在第二种模式中，计算机业务处理集中化程度居中，检查评价内容要比较具体、细化，所占权重相对较高；在第三种模式中，计算机涉及业务处理内容最少，检查评价内容不必面面俱到，可重点检查评价一些相关环节，所占权重相对较低。在我国现阶段，公司的计算机系统基本上已经达到或接近第一种模式，因此对计算机系统的内部控制进行审计与评价就显得尤为重要。对计算机系统的评价要点为：一是检查评价控制制度的健全性。二是检查评价软件系统的安全性、完善性及维护情况。三是检查评价硬件配置管理、运行环境的可靠性。四是检查评价应用操作人员的职务分离性。公司计算机信息系统内部控制的重点是：严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。对公司计算机系统内部控制的调查测试表如下：表34 索引号：（审计机关名称）审计工作底稿计算机系统内部控制调查测试表（审计期间）被审计公司：控制活动是否执行情况好一般差1公司是否明确计算机信息系统开发人员、管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任？2各级机构是否配备计算机安全管理人员，明确计算机安全管理人员的职责？3公司是否对计算机信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理，开发环境是否与生产环境严格分离？3技术部门与业务部门之间是否进行沟通协调，确保系统的整体安全？4公司购买计算机软、硬件设备，是否对供应商的资格条件进行严格审查，在使用前进行试用性安全测试，明确产品供应商对产品在使用期间承担的责任，确保产品的正常使用和有效维护？5公司计算机机房建设是否符合国家的有关标准，出入计算机机房是否有严格的审批程序和出入记录，确保计算机硬件、各种存储介质的物理安全？计算机机房和营业网点是否有完备的计算机监控系统，确保计算机终端的正常使