1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,1,商业银行内部控制自我评价模式优化研究,基于两家商业银行内部控制自我评价项目实践,审计监察部,2,前 言,本文通过比较两家商业银行内部控制自我评价项目模式,研究以分支机构为主体的,“,块状,”,模式和以业务线条为主体的,“,线性,”,模式的优势与不足,进一步提出体现内部控制自我评价本质要求、满足内部控制管理需要的自我评价
2、模式。,3,目 录,一、内部控制自我评价的定义,二、内部控制自我评价模式的介绍,三、内部控制自我评价模式的比较,四、内部控制自我评价模式的优化,4,一、内部控制自我评价的定义,内部控制自我评价(简称,CSA,)是指企业对其自身内部控制体系建设和实施情况开展的调查、测试、分析和评估等系统性活动。,国际内部审计师协会对,CSA,的最新定义为:,CSA,是一种过程,它是检查和评估内部控制有效性的过程,实施,CSA,的目的是对商业目标的可实现性提供合理的保证。,5,二、内部控制自我评价模式的介绍,(一)两家银行内控控制自我评价情况,A,银行是一家,A,股上市商业银行,,2008,年已开始独立实施内部控
3、制自我评价,,,项目初期主要由内部审计部门人员根据年度开展的内部审计项目情况,确定需重点评估的关键控制点,进一步实施实质性测试。随着项目经验积累及自我评价工作需要,,A,银行聘请咨询公司建立了内部控制评价信息系统,以此为基础,逐步扩展为分行自我评价与总行对分行进行评价相结合的内部控制自我评价模式。,B,银行于,2010,年开始实施内部控制自我评价项目,聘请会计师事务所在,2,家试点分行基础上建立全行内部控制评价风险矩阵,涵盖授信融资、资金业务、信用卡业务、中间业务、结算、存款、人力资源管理、会计及财务管理等条线,77,个业务及管理流程。还进一步依托操作风险管理项目工具,即:风险与控制自查(,R
4、CSA,),组织总行条线部门及重点分行实施条线自查,由总行内部控制管理人员对自查结果进行监督检查。,6,(二)两种模式的主要特点,7,A,银行,1.,“,块状,”,自我评价,A,银行内部控制自我评价分为两个阶段,分行自我评价阶段和总行评价阶段。,具体实施中,先由分行按照总行制度要求,根据内部控制五要素逐一对分行各项经营管理活动进行评价。,评价实施主体,分行内部审计人员组成的项目组。,8,评价方式,主观和客观相结合,对关,键控制和重点业务实施实质性测试检查,以尽量真实反映分行内部控制整体情况。,最后,总行内部审计部门对分行自我评价情况进行跟进评价,对分行自我评价结果进行验证,对自我评价存在的不足
5、和问题提出改进措施。,小结:该模式是以分支机构为自我评价的一个,“,模块,”,各业务经营管理条线全部纳入该模块同时开展评价,直接产生该机构自评结果。,9,2.,风险矩阵结构清晰,A,银行风险矩阵结构分为两部分,过程评价和效果评价。,首先根据内部控制五要素设计了过程评价分值结构,该部分占总分比例为,80%,;其次,对于内部控制运行效果的评价,占比为,20%,,总分为百分制,并按不同的分数划分为五个等级,对每一级别进一步进行内控水平定义。,小结:该评价模式结构清晰,可以根据业务发展及时调整原有评价因素比重或增加新的评价因素。,10,3.,风险点更新及时,A,银行内部控制评价人员根据业务管理制度的变
6、化和评价发现,适时对原有风险点进行调整,提高内部控制评价的效果和效率。,制度发生变化,根据制度修订情况,对原风险点进行删减或补充;,开展新业务,考虑增加新的评价模块,,调整各业务比重设置,从而在评价矩阵中纳入新业务评价内容。,11,4.,系统支持,A,银行分别构建了内部控制和操作风险管理系统、审计信息管理系统,将内部控制评价模块植入系统中,实现了分支机构自我评价和总行跟进评价的,CSA,模式。,小结:,内部控制评价系统模块具有易操作、易维护的特点,内控评价人员根据抽样规则要求进行抽样,对于自我评价中发现的控制缺陷直接在相应风险点勾选,实现自动打分。评价完成后,得到最终的整体评估量化结果,评价得
7、分,还可以汇总存在的风险因素,据此制定有针对性的整改措施,并进行跟进和落实。,12,B,银行,1.,“,线性,”,自我评价,B,银行内控自我评价采取以经营管理条线自查为基础、,RCSA,(风险与控制自查)自我评价为依托的方式。,自查条线初步分为公司银行部、金融市场部等,15,个部门牵头的条线,分支机构按照总行条线部门梳理的自查风险点、自查覆盖面和频率要求开展自查。,13,总行内控管理部门根据各条线自查、抽,查情况,择机对分行相应部门进行督查,对自查中存在的问题进行督促整改,并对存在的不足进行完善,总行内部审计部门对条线自查实施审计。,14,2.,自我评价责任定位明确,B,银行将内控自我评价定位
8、为业务一线员工的职责,强调业务人员、业务部门通过自查增强内部控制和风险防范意识,在此基础上对内部控制水平开展自我评价。,小结:此种定位一方面增强了风险责任意识;另一方面可以达到在业务一线强化内控合规的目的,业务人员清楚了解业务中内控风险,提升自觉遵守内控合规要求的主动性。,15,3.,风险信息传递及时,B,银行,BRCC,会议机制(风险防范联席会议)是高级管理层就重大内控漏洞和业务风险听取相关条线和分行的报告、明确职责分工和管理举措的工作机制。,通过各业务条线定期对风险与控制落实情况开展自查,向内控与风险防范联席会议(,BRCC,)汇报,使高级管理层及时了解相关风险信息,建立快速协调处置机制,
9、落实问题整改,充分发挥自查作用。,16,三、内部控制自我评价模式的比较,通过比较,A,银行与,B,银行内控自我评价模式,可以发现:,A,银行采用,“,块状,”,的各分支机构整体自我评价;,B,银行采用,“,线性,”,的各业务条线自查、自我评价。,两种模式之间各有优势和不足,主要表现在以下方面:,17,“,块状,”,模式,“,线性,”,模式,自我评价主体,优势,评价主体为分支机构二道防线人员或审计人员,客观性强,业务经办人员实施自查、自我评价,评价人员获得有价值的内部控制信息更多。,劣势,内部审计部门对分行开展内控检查,业务一线人员 主要是配合、协助,几乎不具体参与评价项目,自查人员客观性不足,
10、如果抽查监督、考核激励机制跟不上,难免流于形式。,18,“,块状,”,模式,“,线性,”,模式,自我评价形式,优势,结构清晰、易于量化、操作简单且自我评价结果客观性强。,无论从内控自我评价本质要求、还是全面内控风险信息获取方面考虑,该模式都是值得推动完善的。,劣势,内部控制自我评价更类似于内部控制检查或审计项目,难以发挥内控自我评价应有的效果。,客观性不足、未实现量化评估和系统支持,19,“,块状,”,模式,“,线性,”,模式,自我评价成果,内控评价成果包括揭示的内控缺陷、风险要素及各分支机构内控水平量化结果;,这些成果一方面作为对外披露的内控自我评价报告的一部分,一方面经过加工,形成提交高管
11、层的管理建议书,推动公司治理。,内控评价成果除了揭示的内控缺陷、风险要素功能外,还具有推动业务条线流程优化、提高一线业务人员内控合规水平和责任意识的作用,而这正是内控自我评价的本质要求。,20,四、内部控制自我评价模式优化,通过比较,A,、,B,两家银行内部控制自我评价模式的特点,融合二者优势并规避各自缺陷,提出优化后的内部控制自我评价模式,如下表所示:,21,模式要素,要素特点,工作要求,自我评价主体,以各分支机构为单位;,以业务条线岗位人员为实施主体。,明确考核标准,增强客观性,如自我评价发现尽职免责,甚至可以奖励;,细化条线岗位职责分工和对应控制点,使自我评价有针对性。,22,模式要素,
12、要素特点,工作要求,实施方式,业务条线自查;,条线人员自我评价,抽查、督导;,风险信息交流;,内部控制缺陷整改。,按条线、岗位制定细化的控制风险点,明确自我评价要点归属岗位;,明确自我评价要求,如自我评价频率、覆盖范围、抽样标准等;,系统建设,以机构、流程、岗位为自我评价单位逐级划分,实现系统支持;,加强条线抽查、内部控制督导、稽核督查;,及时汇报交流重大控制风险信息。,23,模式要素,要素特点,工作要求,自我评价成果,内部控制自我评价报告;,推动流程优化;,内部控制管理建议;,一线内部控制合规化建设。,加强内部控制自我评价信息汇总、归新分析;,总结条线管理内部控制不足,提出优化建议;,提供内
13、部控制风险分部状况报告;,加强合规文化宣导。,24,公司内部控制自我评价概况:,公司根据,企业内部控制基本规范,、,企业内部控制评价指引,、,上海证券交易所上市公司内部控制指引,及,株洲旗滨集团股份有限公司内部控制制度,等相关规定,制定了,内部控制自我评价制度,25,审计监察部于每年,12,月份编制下一年度内部控制自我评价工作方案,包含内控日常评价测试以及内控年度测评,明确评价范围、工作任务、人员组织、进度安排和费用预算等,并经董事会审计委员会批准后执行。,26,内控日常评价测试,审计监察部根据公司运营实际情况及内部审计情况,自行拟定计划,由各区域内控组成员对本区域纳入评价范围的重要业务活动进
14、行抽样测试、穿行测试,测试完毕后,根据各区域的测试情况总结测评结果,罗列例外事项,根据重要性原则出具测试报告,报董事长签核后下发到各业务部门进行整改。,2013,年完成了销售、采购、人事、资产、项目、资金、生产、信息等,8,个业务的内控日常测试。,27,内部控制年度评价,审计监察部,11,月底编制评价细化方案,经董事长批准后下发工作通知书;,12,月组织集团各部门及各子公司进行自评,填写部门自评底稿,并于当月回收已填列的自评底稿;,次年,1,月,由评价工作组(目前是内审组和内控组所有成员共同参与)对各部门及子公司自评情况进行审核确认和再评价,也就是开展年度测评工作;,28,次年,1,月底审计监察部对测评结果进行汇总分析,编写内控缺陷汇总表及内部控制自我评价报告,上报公司董事会审议与决议;,对于在检查中发现的内部控制缺陷及实施中存在的问题,在向公司董事会报告后进行跟踪,以确定相关单位已及时采取适当的改进措施。,29,谢谢!,






