中国银行内部稽核体系简介

1、中国银行内部稽核体系介绍,1,稽核在内部控制中的角色和地位 稽核的职能、职责与职权 稽核工作报告路线 稽核组织架构 稽核管理模式 稽核制度框架 稽核主要工作流程 稽核报告及产品序列 稽核使用的it系统 稽核与外部审计师的合作 稽核绩效管理 稽核面临的挑战与机遇 稽核工作战略规划,概 览,2,稽核在公司治理中的角色和地位,股东大会,董事会,监事会,战略发展委员会,稽核委员会,风险政策委员会,人事和薪酬 委员会,关联交易控制 委员会,公司金融委员会,个人金融委员会,金融市场委员会,运营服务委员会,内部控制委员会,证券投资管理委员会,采购评审委员会,资产处置委员会,反洗钱工作委员会,高级管理层 （集

2、团执行委员会）,稽核部,监事会办公室,董事会秘书部,3,职能管理 functional management,合规控制 compliance control,内部稽核 internal audit,第一道防线 first line of defense,第二道防线 second line of defense,第三道防线 third line of defense,中国银行内部控制体系构成 structure of bocs internal control system,5,总行高级管理层 senior management at h.o.,职能部门 business dept.,内控团队/

3、职位 compliance group/post,总行 h.o.,一级分行 tier-1 branches,三道防线框架图 framework of the three lines of defense,法律与合规部 dept. of law compliance,稽核委员会 audit committee,总行总稽核 cao at h.o.,稽核部 internal audit dept.,稽核部 internal audit dept.,注:1、二级及以下分行略；2、,一道防线 first line of defense,二道防线 second line of defense,三道防线 t

4、hird line of defense,操作团队 operational group,法律与合规部 dept. of law compliance,职能部门 business dept.,内控团队/职位 compliance group/post,操作团队 operational group,分行管理层 management of branches,隶属关系 management,报告关系 reporting,沟通关系 communication,6,董 事 会,事后控制为主逐渐向事中、事前控制发展 覆盖高风险领域,管 理 层,经营管理活动,营 销,交 易,中后台业务处理,战略及目标设定,预

5、算及财务管理,人力资源配置,流程控制,复核,授权,审批,独立控制,独立对账,事后监督,录像监控,代职检查,合规检查,内部稽核,一道防线,实时控制 覆盖所有业务、每笔交易,事后控制 覆盖部分业务、部分交易,管理控制,监察,.,raca,自查自纠,确认 （内控评价）,二道防线,三道防线,举报,案件查办,it控制,对账,业 务 流 程 设 计,内 控 总 体 设 计,内控执行,内控设计,业 务 流 程 审 核,.,.,.,稽核在内部控制中的角色和地位（续）,咨询 （内控改进建议）,第二、三道防线检查的区别 difference between inspections of the second li

6、ne of defense and audits of the third line of defense,第二、三道防线之间的联系 cooperation between the second and third line of defense,9,稽核的职能、职责与职权,内部稽核主要工作范围包括评价由管理层设计并负责执行的风险管理、内部控制和治理程序的充足性和有效性，确认其是否能够保证： 1）恰当地识别和管理风险； 2) 准确完整、及时可靠地生成和提供重要财务、管理和经营信息； 3) 遵守适用的法律法规、监管规定以及本行的规章制度、政策标准； 4) 组织内部建立恰当的行为规范和职业道德；

7、5) 有效地进行绩效管理和落实责任制。 在不承担管理职责的前提下，内部稽核可以提供以增加价值、改进业务流程、内部控制、风险管理和公司治理为目的的建议、协调、培训等咨询服务。,10,稽核的职能、职责与职权（续）,根据董事会和管理层的风险指向和内部稽核风险评估的结果，结合全行稽核资源情况，安排年度内部稽核事项 按照coso的内部控制框架，对全行内部控制系统的适当性和有效性进行评价 根据全行主要风险分布及各职能条线的关注需求，开展以协助内控一、二道防线提升自我评估能力为目的的增值咨询服务 协助业务部门和管理层开展反舞弊欺诈活动,不受限制地接触所有职能、记录、资产和人员 独立、及时地向稽核委员会进行报

8、告 调配资源、确定频率、选择对象、决定工作范围、使用相关技术手段，以完成稽核目标 在实施稽核时获得必要的相关部门人员支持，或内、外部专业服务,职 责,职 权,内部稽核人员不能承担以下职权： 履行本行或附属公司的经营职能； 发起或批准稽核部门之外的会计事项； 指挥稽核部门之外的本行员工，被指定参与稽核组或提供协助的人员除外。,11,总 行,分 行,稽核工作报告路线,分行稽核部,总行稽核部,总行总稽核,稽核委员会,董事会,总行行长,驻在机构管理层,内部稽核在职能上向董事会稽核委员会报告。职能性报告关系主要包括：董事会对稽核章程的批准和集团总稽核的任免拥有最终权力；稽核委员会对年度稽核工作计划及重大

9、调整、稽核财务预算的批准拥有最终权力，并负责提名集团总稽核的任免并考核其绩效，接收稽核工作结果和其他重大事项的报告，接收稽核关于管理层可能接受了不恰当的剩余风险水平的报告，协调稽核职能可能面对的工作范围和资源上的限制。 内部稽核在行政上向行长报告。行政性报告关系主要包括：稽核计划和预算在报稽核委员会批准之前应与总行行长进行充分沟通，总行行长负责稽核人员的配备、稽核部门的行政管理，并能够随时、直接听取总稽核关于稽核结果的报告和沟通，集团总稽核和稽核部门能够获得有关经营管理、决策规划和新业务等方面的信息。,分行总稽核,12,总 行,董事会稽核委员会,总行行长,总行总稽核,稽核部总经理,副总经理,条

10、线总稽核,高级稽核专员,稽核管理团队,稽核组织架构,行政与秘书团队,服务推广团队,内控评价/反舞弊欺诈团队,公司金融稽核一团队,公司金融稽核二团队,公司金融稽核三团队,个人金融稽核一团队,个人金融稽核二团队,金融市场稽核团队,非商业银行稽核团队,运营服务稽核团队,集团职能稽核团队,助理总经理,非现场稽核团队,it稽核团队,13,在国内一级分行所在地设置稽核部门,稽核组织架构（续）,总稽核,稽核部总经理,副总经理（1-2名）,稽核团队 （按专业设置）,在海外分行和附属机构所在地设置稽核部门或稽核专、兼职岗位,海外分行总经理,稽核部,稽核 专职岗位,稽核 兼职岗位,海外分行 分管副总经理,附属机构

11、 稽核委员会,或,或,或,或,14,垂直 管理,参与 管理,监督指导,稽核管理模式,稽核管理政策统一制定 稽核人员垂直管理 费用预算垂直管理 稽核计划统一制定 稽核资源统一调配 统一开发稽核产品与服务规范 统一稽核作业标准 统一进行稽核质量控制 搭建统一的稽核信息管理平台,稽核委员会,总行稽核部,统一 指导,境内分行稽核部,海外分行及附属机构稽核部/岗位,中银香港稽核部,15,稽核制度框架,16,报告,持续改进,稽核主要工作流程,沟通,监管要求,发展战略,董事会/稽核委员会 管理层需求,外部审计意见,监管机构,董事会/稽核委员会,管理层,职能部门,外部审计,稽核管理系统 数据分析系统,计划制定

12、,审 计 循 环,风险评估,稽核检查,内控评价,17,稽核主要工作流程计划制定,基于风险的稽核计划,确定工作重点,统一编制计划,内外部沟通,报批稽核计划,执行稽核计划,调整稽核计划,稽核计划考核,全行发展战略、经营方针和工作重点 国际、国内经济金融环境变化 对集团整体风险的评估结果,监管机构、董事会稽核委员会和总行管理层对稽核工作的要求 外部审计师、总行条线部门对风险的判断和对稽核工作的建议,根据经批准的年度稽核检查工作重点 在统筹考虑全辖稽核资源状况和成本约束的基础上,充分考虑各级管理层对风险的判断和对稽核工作的建议 注重与二道防线和外部审计师的沟通协调,年度稽核检查计划提交总行管理层审核后

13、报董事会稽核委员会批准 经批准的全辖稽核检查计划发送分行稽核部门，并按照有关要求报送监管机构,境内外稽核部门按计划实施年度稽核检查工作 按季度向总行稽核部上报计划内和计划外任务的完成情况,20%比例的分行级项目可作为分行稽核部门的备选项目，并按重要性进行排序 遇突发事件、临时任务或因风险情况变动等产生新的稽核项目需求，可按重要性排序从最后一个项目起依次替代,总行稽核部对分行稽核负责人和稽核部进行年度绩效考核 稽核检查计划的编制质量、执行结果以及上报的及时性是考核指标中工作进程维度的重要内容,以风险为导向确定年度检查计划编制的总体原则,尽量避免不必要的重复检查和可能存在的检查空白点,18,后续跟

14、进,稽核主要工作流程稽核检查,稽核检查项目管理,进行稽核项目总结 整理移交项目档案,启动后续跟进程序 与被稽核单位沟通 确定后续稽核安排 制定后续跟进方案 实施后续稽核项目 建立后续跟进档案,撰写稽核报告 审核稽核报告 签发稽核报告,召开进点会议 收集研究信息 进行风险重估 内控初步评估 记录稽核信息 项目质量控制 与被稽核单位交换意见 召开离场会议,收集数据资料 运用数据分析工具对收集的数据进行筛选、分析 撰写非现场分析报告,确定稽核项目 成立稽核组 与被稽核单位初步沟通 收集、研究、分析背景资料 制定稽核方案 报批稽核方案 发送稽核通知书,项目总结,稽核报告,稽核实施,数据分析,稽核准备,

15、19,稽核报告及产品序列,xxx稽核报告,总行稽核部,报告概要 一、基本情况 （一）稽核项目基本情况 （二）稽核对象基本情况 二、稽核结论 （包括经营目标、控制措施、取得效果、内控评级等内容 ） 三、主要稽核发现 （一）存在问题 （二）关注事项 四、稽核建议 五、稽核对象反馈 六、整改情况 （一）上次稽核的后续跟进 （二）此次发现被稽核单位已采取的整改措施,20,稽核报告,条线报告,稽核 产品,调查报告,风险提示,风险评估,内控评价,稽核报告及产品序列（续）,稽核组对被稽核单位就某项业务、某个问题，经过深入细致的调查后，将调查中收集到的材料加以系统整理，分析研究出具的书面文件，是稽核项目工作成

16、果和稽核咨询服务职能的重要体现形式。,稽核人员在定期或不定期分析汇总外部审计、监管机构、业务条线、合规部门和稽核发现的问题的基础上，归纳整理一段时间内的重大问题和风险，剖析问题的成因和潜在风险，向管理层和董事会提出解决建议。,稽核组对被稽核单位实施必要的稽核程序后，就被稽核单位经营活动、风险管理、内部控制和公司治理的适当性、有效性出具的书面文件，稽核报告是稽核项目工作成果的重要体现形式。,各稽核部门在完成辖属机构稽核检查后，汇总、分析辖区各业务条线稽核发现问题后，按业务条线分别出具的书面文件，其属于专项稽核报告范畴。,稽核部门对辖属机构实施风险评估程序，就被稽核单位的风险状况进行量化评估、并确

17、定风险等级后出具的书面文件。,对全行内部控制状况的总体评价。报告每年提交至稽核委员会和高级管理层。,稽核主要工作流程内控评价,22,稽核主要工作流程内控评价（续）,一二道防线自我评估（a） 内控评价系统 第三道防线稽核评价（b） 内控评价标准系统工具（稽核检查） 三道防线汇总结果（c） a + b 内控评价系统 有效性综合评价结果（d） 稽核后调整（独立验证） 内控评价系统,检查计划 检查执行 问题整改,一二道防线自我评估（a） 调查问卷 第三道防线稽核评价（b） 内控评价标准系统工具（稽核检查） 三道防线汇总结果（c） a + b 内控评价系统 有效性综合评价结果（d） 稽核后调整（独立验证

18、） 内控评价系统,内控设置适当性综合评价方法论,内控执行有效性综合评价方法论,内控体系综合评价 设置适当性评价 执行有效性评价,23,稽核使用的it系统,稽核知识管理平台,稽核管理 系统,数据分析 系统,内部稽核使用的it系统,24,稽核使用的it系统数据分析系统,打造统一基础数据平台、开发通用稽核辅助工具、分析系统间数据流关系及核对方法、定期扫描数据。,25,稽核使用的it系统稽核管理系统,涵盖稽核计划管理、项目管理、知识管理、资源管理等功能，在全行范围内实现稽核管理的科学化、信息统计的自动化、流程处理的规范化、系统资源的共享化。,26,稽核与外部审计师的合作,积极主动 节约资源 相互学习,

19、培训交流,聘任与管理,成果分享,让外部审计师在更大范围内利用稽核成果，减少其实质性测试的范围及工作量，减轻下属机构的负担，适当降低外部审计费用,鼓励外部审计师为稽核提供全方位的培训及增值服务，相互学习，共同提高,加强对外部审计师在独立性、审计范围及审计质量等方面的管理与监控，提升我行在外部审计师管理方面的主动地位,27,稽核绩效管理,动态管理,考核标准,组织方式,评分要求,建立日常绩效动态 管理机制,动态 管理,组织 方式,评分 要求,考核 标准,建立充分反映核心稽核职能、体现稽核价值的指标体系,细化对各级考核主体 的评分要求,创新考核工作 的组织方式,绩效考核,28,稽核绩效管理（续）,财 务,客 户,工作进程,员工学习与成长,平衡记分卡,内部客户满意度,费用预算管理与执行 稽核费用使用效率 项目人力成本投入,稽核计划完