第三章金融内部控制及其评审

1、第三章第三章 金融内部控制及其评审金融内部控制及其评审o第一节第一节 金融内部控制概述金融内部控制概述o第二节第二节 金融内部控制评审金融内部控制评审第一节第一节 金融内部控制概述金融内部控制概述o 一、金融内部控制的含义一、金融内部控制的含义o 二、内部控制的目标和原则二、内部控制的目标和原则o 三、内部控制的要素三、内部控制的要素o 四、内部控制的内容四、内部控制的内容o 五、内部控制评审与审计五、内部控制评审与审计一、金融内部控制的含义一、金融内部控制的含义o内部控制：内部控制：是指单位为实现经营目标而制定并实施的一系列相是指单位为实现经营目标而制定并实施的一系列相互联系、相互制约的程序

2、、措施、手续和方法的总称。互联系、相互制约的程序、措施、手续和方法的总称。o金融内部控制：金融内部控制：金融机构内部为完成既定的工作目标和防范风金融机构内部为完成既定的工作目标和防范风险，对各职能部门及其工作人员从事的业务活动进行风险控制，险，对各职能部门及其工作人员从事的业务活动进行风险控制，而制定的管理方法、措施和程序。而制定的管理方法、措施和程序。o其含义：其含义：内部控制是一个管理过程，这个过程主要由控制环内部控制是一个管理过程，这个过程主要由控制环境、风险评估、控制活动、信息交流、质量监督等环节构成。境、风险评估、控制活动、信息交流、质量监督等环节构成。内部控制不仅仅是银行的各种规章

3、制度，其机制的运作要依内部控制不仅仅是银行的各种规章制度，其机制的运作要依靠银行的管理层和全体员工来完成，所以必须贯彻靠银行的管理层和全体员工来完成，所以必须贯彻“以人为本以人为本”的管理思想。的管理思想。内部控制制度无论设计得多么完整，机制无论内部控制制度无论设计得多么完整，机制无论运作得多么顺畅，它给银行提供的只能是基本的保证，而非绝运作得多么顺畅，它给银行提供的只能是基本的保证，而非绝对保障。对保障。内部控制用于实现银行的战略目标，即经营管理的内部控制用于实现银行的战略目标，即经营管理的有效性、财务报告的可靠性和现行法律的遵循性。有效性、财务报告的可靠性和现行法律的遵循性。o“内部控制内

4、部控制”与与“内部控制制度内部控制制度”。o“内部控制内部控制”与内部牵制。与内部牵制。二、内部控制的目标和原则二、内部控制的目标和原则o （一）内部控制的基本目标（一）内部控制的基本目标o （二）内部控制的基本原则（二）内部控制的基本原则（一）内部控制的基本目标（一）内部控制的基本目标o 1.监督实施目标，监督实施目标，即确保国家法律规定和金融即确保国家法律规定和金融机构内部规章制度的贯彻执行机构内部规章制度的贯彻执行o 2.自身发展目标，自身发展目标，即确保金融机构发展战略和即确保金融机构发展战略和经营目标的全面实施和充分实现经营目标的全面实施和充分实现o 3.风险控制目标风险控制目标，即

5、确保风险管理体系的有效，即确保风险管理体系的有效性性o 4.稳健经营目标稳健经营目标，即确保业务记录、财务信息，即确保业务记录、财务信息和其他管理信息的及时、真实和完整和其他管理信息的及时、真实和完整商业银行内部控制的目标商业银行内部控制的目标战略控制目标战略控制目标一般控制目标一般控制目标业务控制目标业务控制目标操作执行层视角操作执行层视角行长经理层视角行长经理层视角董事会视角董事会视角（二）内部控制的基本原则（二）内部控制的基本原则o 1全面性原则全面性原则o 2审慎性原则审慎性原则o 3有效性原则有效性原则o 4相对独立性原则相对独立性原则o 5及时性原则及时性原则三、内部控制的要素三、

6、内部控制的要素o （一）内部控制环境（一）内部控制环境o （二）风险识别与评估体系（二）风险识别与评估体系o （三）内部控制措施（三）内部控制措施o （四）信息交流与反馈（四）信息交流与反馈o （五）监督评价与纠正（五）监督评价与纠正商业银行内部控制系统商业银行内部控制系统内部控制环境内部控制环境信息交流信息交流与与反馈反馈信息交流信息交流与与反馈反馈内部控制措施内部控制措施风险识别与评估风险识别与评估监督评价与纠正监督评价与纠正（一）内部控制环境（一）内部控制环境o 内部控制环境是指对内部控制的建立和执行过程有内部控制环境是指对内部控制的建立和执行过程有重大影响的各种因素的总称。重大影响的各

7、种因素的总称。o 1.应当建立良好的公司治理以及分工合理、职责明应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构，为内部控制的有效确、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。性提供必要的前提条件。o 2.董事会、监事会和高级管理层应当充分认识自身董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。对内部控制所承担的责任。o 3.应当建立科学、有效的激励约束机制，培育良好应当建立科学、有效的激励约束机制，培育良好的企业精神和内部控制文化，从而创造全体员工均的企业精神和内部控制文化，从而创造全体员工均充分了解且能履行职责的环境。充分了解且能履

8、行职责的环境。（二）风险识别与评估体系（二）风险识别与评估体系o风险的识别与评估是提高内控效率和效果的关键。风险的识别与评估是提高内控效率和效果的关键。o1.1.应当设立履行风险管理职能的专门部门，制定并实施识别、计量、应当设立履行风险管理职能的专门部门，制定并实施识别、计量、监测和管理风险的制度、程序和方法，以确保风险管理和经营目标监测和管理风险的制度、程序和方法，以确保风险管理和经营目标的实现。的实现。o2.2.应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、风险量化

9、评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。操作风险等各类风险进行持续的监控。o3.3.应当对各项业务制定全面、系统、成文的政策、制度和程序，并应当对各项业务制定全面、系统、成文的政策、制度和程序，并在全行范围内保持统一的业务标准和操作要求，避免因管理层的变在全行范围内保持统一的业务标准和操作要求，避免因管理层的变更而影响其连续性和稳定性。更而影响其连续性和稳定性。o4.4.设立新的机构或开办新的业务，应当事先制定有关的政策、制度设立新的机构或开办新的业务，应当事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施。和程序，对潜

10、在的风险进行计量和评估，并提出风险防范措施。o5.5.应当建立内部控制的评价制度，对内部控制的制度建设、执行情应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。营状况、市场环境的变化进行修订和完善。（三）内部控制措施（三）内部控制措施o内部控制措施是内部控制建设的核心内容。内部控制措施是内部控制建设的核心内容。o1.应当明确划分相关部门之间、岗位之间、上下级机构之间的职责，建立职责分离、应当明确划分相关部门之间、岗位之间、上下级机构之间

11、的职责，建立职责分离、横向与纵向相互监督制约的机制。横向与纵向相互监督制约的机制。o2.应当根据不同的工作岗位及其性质，赋予其相应的职责和权限，各个岗位应当有应当根据不同的工作岗位及其性质，赋予其相应的职责和权限，各个岗位应当有正式、成文的岗位职责说明和清晰的报告关系。正式、成文的岗位职责说明和清晰的报告关系。o3.应当根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济环境应当根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济环境和业务发展需要，建立相应的授权体系，实行统一法人管理和法人授权。和业务发展需要，建立相应的授权体系，实行统一法人管理和法人授权。o4.应当利用

12、计算机程序监控等现代化手段，锁定分支机构的业务权限，对分支机构应当利用计算机程序监控等现代化手段，锁定分支机构的业务权限，对分支机构实施有效的管理和控制。实施有效的管理和控制。o5.应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产及时进行盘点，对柜台办理的业务实行复核或事后监督把关，对价证券等有形资产及时进行盘点，对柜台办理的业务实行复核或事后监督把关，对重要业务实行双签有效的制度，对授权、授信的执行情况进行监控。重要业务实行双签有效的制度，对授权、授信的执行情况进行监控。o6.应当按照

13、规定进行会计核算和业务记录，建立完整的会计、统计和业务档案，妥应当按照规定进行会计核算和业务记录，建立完整的会计、统计和业务档案，妥善保管，确保原始记录、合同契约和各种报表资料的真实、完整。善保管，确保原始记录、合同契约和各种报表资料的真实、完整。o7.应当建立有效的应急制度，在各个重要部位、营业网点等发生供电中断、火灾、应当建立有效的应急制度，在各个重要部位、营业网点等发生供电中断、火灾、抢劫等紧急情况时，应急措施应当及时、有效，确保各类数据信息的安全和完整。抢劫等紧急情况时，应急措施应当及时、有效，确保各类数据信息的安全和完整。o8.应当设立独立的法律事务部门或岗位，统一管理各类授权、授信

14、的法律事务，制应当设立独立的法律事务部门或岗位，统一管理各类授权、授信的法律事务，制定和审查法律文本，对新业务的推出进行法律论证，确保每笔业务的合法和有效，定和审查法律文本，对新业务的推出进行法律论证，确保每笔业务的合法和有效，维护银行的合法权益。维护银行的合法权益。（四）信息交流与反馈（四）信息交流与反馈o 1.应当实现业务操作和管理的电子化，促进各项业务应当实现业务操作和管理的电子化，促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理。的电子数据处理系统的整合，做到业务数据的集中处理。o 2.应当实现经营管理的信息化，建立贯穿各级机构，应当实现经营管理的信息化，建立贯穿各级机构，

15、覆盖各个业务领域的数据库和管理信息系统，做到及时、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确提供经营管理所需要的各种数据，并及时、真实、准确地向中国人民银行报送监管报表资料和对外披露信准确地向中国人民银行报送监管报表资料和对外披露信息。息。o 3.应当建立有效的信息交流和反馈机制，确保董事会、应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和确保每一项信息均能够传递给相关的员工，各个部门和员工的有

16、关信息均能够顺畅反馈。员工的有关信息均能够顺畅反馈。（五）监督评价与纠正（五）监督评价与纠正o 1.业务部门应当对各项业务的经营状况和例外情况进行经常业务部门应当对各项业务的经营状况和例外情况进行经常性检查，及时发现内部控制存在的问题，并迅速予以纠正。性检查，及时发现内部控制存在的问题，并迅速予以纠正。o 2.内部审计部门应当有权获得商业银行的所有经营信息和管内部审计部门应当有权获得商业银行的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监控和理信息，并对各个部门、岗位和各项业务实施全面的监控和评价。评价。o 3.内部审计应当具有充分的独立性，实行全行系统的垂直管内部审计应当具

17、有充分的独立性，实行全行系统的垂直管理。理。o 4.应当配备充足的、业务素质高的、工作能力强的内部审计应当配备充足的、业务素质高的、工作能力强的内部审计人员，并建立专业培训制度，每人每年确保一定的离岗或脱人员，并建立专业培训制度，每人每年确保一定的离岗或脱产培训时间。产培训时间。o 5.应当建立有效的内部控制报告和纠正机制，业务部门、内应当建立有效的内部控制报告和纠正机制，业务部门、内部审计部门和其他人员发现的内部控制的问题，均应当有畅部审计部门和其他人员发现的内部控制的问题，均应当有畅通的报告渠道和有效的纠正措施。通的报告渠道和有效的纠正措施。四、内部控制的内容四、内部控制的内容o （一）授

18、信内部控制（一）授信内部控制o （二）资金业务的内部控制（二）资金业务的内部控制o （三）存款及柜台业务的内部控制（三）存款及柜台业务的内部控制o （四）中间业务的内部控制（四）中间业务的内部控制o （五）会计的内部控制（五）会计的内部控制o （六）计算机信息系统的内部控制（六）计算机信息系统的内部控制（一）授信内部控制（一）授信内部控制o 授信内部控制的重点是授信内部控制的重点是：实行统一授信管理，：实行统一授信管理，健全客户信用风险识别与监测体系，完善授健全客户信用风险识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联信决策与审批机制，防止对单一客户、关联企业客户和集团客户风险的

19、高度集中，防止企业客户和集团客户风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，违反信贷原则发放关系人贷款和人情贷款，防止信贷资金违规投向高风险领域和用于违防止信贷资金违规投向高风险领域和用于违法活动。法活动。（二）资金业务的内部控制（二）资金业务的内部控制o 资金业务内部控制的重点是：资金业务内部控制的重点是：对资金业务对对资金业务对象和产品实行统一授信，实行严格前后台职象和产品实行统一授信，实行严格前后台职责分离，建立中台风险监控和管理制度，防责分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险

20、识别不足导致的重大防止因违规操作和风险识别不足导致的重大损失。损失。（三）存款及柜台业务的内部控制（三）存款及柜台业务的内部控制o 对基层营业网点、要害部位和重点岗位实施对基层营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保商金融诈骗、逃汇、骗汇等非法活动，确保商业银行和客户资金的安全。业银行和客户资金的安全。（四）中间业务的内部控制（四）中间业

21、务的内部控制o 开展中间业务应当取得有关主管部门核准的开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权，机构资质、人员从业资格和内部的业务授权，建立并落实相关的规章制度和操作规程，按建立并落实相关的规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。委托人指令办理业务，防范或有负债风险。（五）会计的内部控制（五）会计的内部控制o 实行会计工作的统一管理，严格执行会计制实行会计工作的统一管理，严格执行会计制度和会计操作规程，运用计算机技术实施会度和会计操作规程，运用计算机技术实施会计内部控制，确保会计信息的真实、完整和计内部控制，确保会计信息的真实、完整和合法

22、，严禁设置账外账，严禁乱用会计科目，合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。严禁编制和报送虚假会计信息。（六）计算机信息系统的内部控制（六）计算机信息系统的内部控制o 严格划分计算机信息系统开发部门、管理部严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。统设备、数据、系统运行和系统环境的安全。五、内部控制评审与审计五、内部控制评审与审计o首先，对内部控制的审计评审是现代审计工作的基础。首

23、先，对内部控制的审计评审是现代审计工作的基础。o内部控制的内部控制的“质质”与审计工作的与审计工作的“量量”密切相关。内控密切相关。内控“质质”高高抽样少抽样少审计工作审计工作“量量”小。反之，内控小。反之，内控“质质”低低抽样多抽样多审计工作审计工作“量量”大。大。o其次，审计工作可以促进内部控制不断完善。其次，审计工作可以促进内部控制不断完善。o人们对待内部控制审计存在两种不同的看法：一种观点是把内部控制审计仅人们对待内部控制审计存在两种不同的看法：一种观点是把内部控制审计仅仅看成是整个审计过程中实施阶段的一种审计方法，或一个重要的环节和步仅看成是整个审计过程中实施阶段的一种审计方法，或一

24、个重要的环节和步骤；另一种观点则认为，内部控制审计不仅是一种审计方法，而且有其本身骤；另一种观点则认为，内部控制审计不仅是一种审计方法，而且有其本身的审计目的、内容和程序，因而，它也是一个独立的审计类别。从当前我国的审计目的、内容和程序，因而，它也是一个独立的审计类别。从当前我国金融内部控制的实际情况来看，把内部控制审计作为一个独立的审计类别，金融内部控制的实际情况来看，把内部控制审计作为一个独立的审计类别，开展专门的内部控制审计，对金融机构现行的内部控制作出客观公正的科学开展专门的内部控制审计，对金融机构现行的内部控制作出客观公正的科学评价，从而督促其建立健全有效的内部控制，确实具有十分重大

25、的现实意义。评价，从而督促其建立健全有效的内部控制，确实具有十分重大的现实意义。第二节第二节 金融内部控制评审金融内部控制评审o 一、内部控制的调查一、内部控制的调查o 二、内部控制的测试二、内部控制的测试o 三、内部控制的评价三、内部控制的评价o 四、确定内部控制的信赖度四、确定内部控制的信赖度一、内部控制的调查一、内部控制的调查o调查的方法主要包括：调查的方法主要包括：收集并审阅制度。收集并审阅制度。询问单位职工。询问单位职工。进行实地查看。进行实地查看。调阅以往的审计档案等。调阅以往的审计档案等。o记录内部控制的方法主要有三种：记录内部控制的方法主要有三种：o(1)文字描述法。即审计人员

26、将内部控制的健全和执行情况用文字描述法。即审计人员将内部控制的健全和执行情况用文字进行书面叙述的一种方法。文字进行书面叙述的一种方法。o(2)调查问卷法。也称调查表法，是指审计人员事先将内部控调查问卷法。也称调查表法，是指审计人员事先将内部控制的有关问题制成制的有关问题制成“内部控制调查问卷内部控制调查问卷”或或“内部控制调查内部控制调查表表”，通过向有关人员询问并填表的方式来描述内部控制的一，通过向有关人员询问并填表的方式来描述内部控制的一种方法。种方法。o(3)流程图法。即审计人员采用特定的符号，辅之以简要的文流程图法。即审计人员采用特定的符号，辅之以简要的文字或数字，根据业务处理流程等加

27、以联结，将内部控制用图示字或数字，根据业务处理流程等加以联结，将内部控制用图示的形式，直观地进行描述的一种方法。的形式，直观地进行描述的一种方法。二、内部控制的测试二、内部控制的测试o（一）符合性测试：是（一）符合性测试：是针对被审计单位的内部针对被审计单位的内部控制设计和执行是否有控制设计和执行是否有效所进行的检查和验证。效所进行的检查和验证。o（二）实质性测试：是（二）实质性测试：是对被审计单位内部控制对被审计单位内部控制发挥作用的结果，或者发挥作用的结果，或者说是对内部控制的实际说是对内部控制的实际效能所进行的检查和验效能所进行的检查和验证。证。1.业务测试：是指采用顺查或逆查的方法业务

28、测试：是指采用顺查或逆查的方法对某一经济业务的整个流程或程序所采对某一经济业务的整个流程或程序所采取的一切控制措施进行审查，其目的在取的一切控制措施进行审查，其目的在于揭示这些控制措施是否都在发挥控制于揭示这些控制措施是否都在发挥控制功能，其发挥的程度和效能如何。功能，其发挥的程度和效能如何。2.功能测试：是指对某项控制措施是否一功能测试：是指对某项控制措施是否一贯地被有效执行所进行的测试，以明确贯地被有效执行所进行的测试，以明确该控制措施是否有效执行。该控制措施是否有效执行。1.细节测试具体包括为交易的细节测试和细节测试具体包括为交易的细节测试和余额的细节测试。余额的细节测试。2.分析性复核

29、主要是通过分析复核各种财分析性复核主要是通过分析复核各种财务会计数据和非财务会计数据之间的关务会计数据和非财务会计数据之间的关系所进行的测试。系所进行的测试。三、内部控制的评价三、内部控制的评价o （一）内部控制评价的标准（理想的内部控（一）内部控制评价的标准（理想的内部控制模式）制模式）o （二）内部控制评价的内容（二）内部控制评价的内容o 1评价金融内部控制的健全性（是否制定）评价金融内部控制的健全性（是否制定）o 2评价金融内部控制的遵循性（是否执行）评价金融内部控制的遵循性（是否执行）o 3. 评价金融内部控制的合理性（是否可行）评价金融内部控制的合理性（是否可行）o 4评价金融内部控制的有效性（是否有效）评价金融内部控制的有效性（是否有效）四、确定内部控制的信赖度四、确定内部控制的信赖度o1.高信赖度（低控制风险）高信赖度（低控制风险）是指被审计单位具有健全、完善的是指被审计单位具有健全、完善的内部控制，并能有效地发挥控制作用。在这种情况下，被审计内部控制，并能有效地发挥控制作用。在这种情况下，被审计单位存在错弊的可能性很小，对此，审计人员可以较多地信赖单位存在错弊的可能性很小，对此，审计人