基于八要素的银行内控评价培训讲义

1、基于八要素的银行内控评价基于八要素的银行内控评价 2 今天交流的内容 n（五部委） 企业内部控制 基本规范及配 套指引 n（coso) 内部控制框架和 全面风险管理框 架的比较 n（本项目） 全面风险管理导 向的内部控制评 价的思路 企业内部控 制基本规范 解读 1.五要素和 八要素比较？ 2.银行与企 业内控比较？ 1.提出八要 素评价思路 2.讨论完善 这个思路 1 1 2 2 3 3 3 解读： 企业内部控制基本规范及配套指引 企业内部控制基本规范企业内部控制基本规范 企业内部控制配套指引企业内部控制配套指引 企业内部控制评价指引企业内部控制评价指引 企业内部控制审计指引企业内部控制审计

2、指引 企业内部控制基本规 范及配套指引解读 企业内部控制审计企业内部控制审计 指引实施意见指引实施意见 相关背景介绍 4 今天交流的内容 n（五部委） 企业内部控制 基本规范及配 套指引 n（coso) 内部控制框架和 全面风险管理框 架的比较 n（本项目） 全面风险管理导 向的内部控制评 价的思路 企业内部控 制基本规范 解读 1.五要素和 八要素比较？ 2.银行与企 业内控比较？ 1.提出八要 素评价思路 2.讨论完善 这个思路 1 1 2 2 3 3 5 银行与企业内部控制比较定义 n银监会内控指引 n定义：内部控制是商业 银行为实现经营目标， 通过制定和实施一系列 制度、程序和方法，对

3、 风险进行事前防范、事 中控制、事后监督和纠 正的动态过程和机制。 n五部委基本规范 n定义：本规范所称内部 控制，是由企业董事会、 监事会、经理层和全体 员工实施的、旨在实现 控制目标的过程 6 银行与企业内部控制比较目标 n银监会内控指引目 标： q确保国家法律规定和商业 银行内部规章制度的贯彻 执行。 q确保商业银行发展战略和 经营目标的全面实施和充 分实现。 q确保风险管理体系的有效 性。 q确保业务记录、财务信息 和其他管理信息的及时、 真实和完整。 n五部委基本规范目 标： q合理保证企业经营管理合 法合规 q资产安全 q财务报告及相关信息真实 完整 q提高经营效率和效果 q促进企

4、业实现发展战略。 7 银行与企业内部控制比较原则 n银监会内控指引原则： q全面内部控制应当渗透商业银行 的各项业务过程和各个操作环节，覆 盖所有的部门和岗位，并由全体人员 参与，任何决策或操作均应当有案可 查。 q审慎内部控制应当以防范风险、 审慎经营为出发点，商业银行的经营 管理，尤其是设立新的机构或开办新 的业务，均应当体现“内控优先”的 要求。 q有效内部控制应当具有高度的权 威性，任何人不得拥有不受内部控制 约束的权力，内部控制存在的问题应 当能够得到及时反馈和纠正。 q独立内部控制的监督、评价部门 应当独立于内部控制的建设、执行部 门，并有直接向董事会、监事会和高 级管理层报告的渠

5、道。 n五部委基本规范原则： q全面性原则。内部控制应当贯穿决 策、执行和监督全过程，覆盖企业 及其所属单位的各种业务和事项。 q重要性原则。内部控制应当在全面 控制的基础上，关注重要业务事项 和高风险领域。 q制衡性原则。内部控制应当在治理 结构、机构设置及权责分配、业务 流程等方面形成相互制约、相互监 督，同时兼顾运营效率。 q适应性原则。内部控制应当与企业 经营规模、业务范围、竞争状况和 风险水平等相适应，并随着情况的 变化及时加以调整。 q成本效益原则。内部控制应当权衡 实施成本与预期效益，以适当的成 本实现有效控制。 8 银行与企业内部控制比较要素 n银监会内控指引五要 素： q内部

6、控制环境 q风险识别与评估 q内部控制措施 q信息交流与反馈 q监督评价与纠正 n五部委基本规范五 要素 q内部环境 q风险评估 q控制活动 q信息与沟通 q内部监督 9 银行与企业内部控制比较内容 n银监会内控指引包 含银行业务 q授信业务 q资金业务 q存款和柜台 q中间（含银行卡） q财务会计 q计算机信息系统 n五部委内控规范只 包含五要素 q内部环境 q风险评估 q控制活动 q信息与沟通 q内部监督 10 普华永道 商业银行内控审计课件 授信业务授信业务 资金业务资金业务 存款业务存款业务 中间业务中间业务 财务报告财务报告 信息系统信息系统 银行内控指引银行内控指引 审计计划审计计

7、划企业层面企业层面缺陷评价缺陷评价计划完成计划完成 银行内控审计银行内控审计 总体介绍总体介绍 11 今天交流的内容 n（五部委） 企业内部控制 基本规范及配 套指引 n（coso) 内部控制框架和 全面风险管理框 架的比较 n（本项目） 全面风险管理导 向的内部控制评 价的思路 企业内部控 制基本规范 解读 1.五要素和 八要素比较？ 2.银行与企 业内控比较？ 1.提出八要 素评价思路 2.讨论完善 这个思路 1 1 2 2 3 3 12 内控定义 和要素？ 13 coso全面风险管理框架 n这个模型包含着“八个要素”、“二个层面”1、 “八个节点”2和“二个机制”3。 n1二个层面二个层

8、面：内部控制自上而下有企业层面和业务层 面，对应的流程是管理流程和业务流程。 n2 八个节点八个节点：内部控制运行过程中的八个节点包括： 识别、评估、应对、措施、设计、执行、评价和改进。 n3 二个机制二个机制：内控两大机制包括：“识别评估 应对措施”的风险管理机制；“设计执行评价 改进”的自我完善机制。 14 为内控审计实战提供以下支持 n内控五要素在企业实现目标过程中所处的位置和作用； n五要素之间的内在联系； n内控审计的整体思路和切入点； n内控各组节点及其内在的逻辑关系； n为对内控做出有效或无效判断提供证据； n寻找内控无效的原因； n缺陷发生的节点及产生缺陷的原因； n更好地为企

9、业提供内控审计增值服务； n合理利用审计资源提高审计效率。 15 风险管理机制：识别评估应对措施 n识别识别既要“识别”风险，还要发现机会； n评估评估“评估”风险大小，事件对目标实现的影 响程度； n应对应对根据风险大小做出适当的“反应”，包 括：包括：回避、预防、接受、转移等应对策 略。； n措施措施有针对性地设计并执行适当的“控制活 动”去对冲风险。 16 风险管理的思路 回避回避 接受接受 转移转移 预防预防 设计设计 运行运行 评价评价 改进改进 假想敌人？危害多大？ 风险偏好？ 战略目标 剩余风险 权衡成本效益 容忍度？ 风险管理工具？ 抵质押、保证、衍生工具、保险 风险识别风险识

10、别风险评估风险评估应对策略应对策略控制活动控制活动 用正确的方法 做正确的事情 17 最大的风险是不能发现风险 最大的风险是不 能识别风险 风险管理是什么？ 谁能预知未来？ 银行业当前 最大的风险 是什么？ 巴塞尔协议 简介 商业银行资 本管理办法 附件 18 自我完善机制：设计运行评价改进 n设计设计在对实现目标过程中存在的不确定性进 行评估的基础上，制定行动“计划”； n运行运行按照计划开始“行动”，内部控制设计 后，执行就成为关键环节； n评价评价在执行中还应对设计和执行本身进行不 断地“评价”，及时发现存在的不足，见微知著， 总结经验教训； n改进改进根据测试的结果，对系统进行持续“改

11、 进”，不断自我完善 q过程方法应当是“设计运行评价改进”的持续循 环，系统在不断循环中得到自我完善。 19 内部控制系统的自我完善机制 自我完善机制比完善的自我更重要自我完善机制比完善的自我更重要 执行执行 改进改进 设计设计 评价评价 审计师 人谁无过？ 过而能改， 善莫大焉。 持续改进持续改进 戴明循环 20 内控有效性过程有效 n有效的企业内控系统不仅仅是“设计和运行有效”，而 应当是“全过程”的有效。 n所谓全过程有效包括识别、评估、应对、措施、设计、 运行、评价和改进等八个节点全部有效，内控的“设计 和运行”只是其中的两个节点。 n在“设计”的前面有“风险识别”、“风险评估”和 “

12、应对策略”等节点，有效的内控措施设计是建立在风 险评估基础上的。在“运行”的后面有“评价”、“改 进”环节。 n所有这些环节组成内控系统的一个自然逻辑过程，表现 于企业的管理流程和业务流程之中，其中的任何一个节 点无效都会影响到内控系统的有效性。 n如果内控系统无效，那一定是在某个或多个节点上存在 着重大缺陷。 21 内控有效性要素有效 n要素是过程中的要素，过程是要素作用的过程。企业内部 控制包括企业目标、内部环境、风险识别、风险评估、风 险应对、控制活动、信息与沟通、内部监督等八个要素。 内控有效应当是指这八个要素在同一时空中全部有效。 n反之，如果一个内控系统无效，那一定是某个或多个要素

13、 存在着重大缺陷。系统是一定环境中的系统，系统实现目 标的过程总在一定环境中进行。系统实现目标的过程就是 与环境相适应的过程。 n企业内部环境对内部控制建设起到至关重要的作用。内控 环境包括法人治理结构、用人和绩效政策、合规和执行文 化等。在法人治理不健全的企业，核心人物的内控理念决 定着内控系统的有效性。 22 内控有效性机制有效 n系统中各要素和节点不是孤立地存在着，每个 要素和节点在系统中都处于一定的位置上，起 着特定的作用。企业内部控制系统是一种机制， 内控的八大要素、各个节点是一个有机的整体。 n企业内控机制有： q“识别评估应对措施”的风险控制机制； q“设计运行评价改进”的自我完善机制。 q有效的内控系统应当是指这两个机制全部有效。 23 评价思路：二层面+八要素+二模块 内控评价流程图 24 内控评价的样本量和缺陷认定 如何认定内部如何认定内部 控制缺陷？控制缺陷？ 如何确定内控如何确定内控 测试的样本量？测试的样本量？ 解读：企业内控基本 规范及配套指引 企业内控基本规范 企业内控配套指引 25 自上而下的系统思维方法 审计师的核心 是职业判断 自上而上的系 统思维 王国维的 三重境界 老三论和 新三论 不能盲人 摸象 信息、感悟 和工具方法 26 过程方法对人过程方法对人 生的启示？生的启示？ 过程方法过程方法 用于制定用于制定 内控审