商业银行与内部控制自我评价模式优化研究.ppt
1,商业银行内部控制自我评价模式优化研究,基于两家商业银行内部控制 自我评价项目实践 审计监察部:周婧,2,前 言,本文通过比较两家商业银行内部控制自我评价项目模式,研究以分支机构为主体的“块状”模式和以业务线条为主体的“线性”模式的优势与不足,进一步提出体现内部控制自我评价本质要求、满足内部控制管理需要的自我评价模式。,3,目 录,一、内部控制自我评价的定义二、内部控制自我评价模式的介绍三、内部控制自我评价模式的比较四、内部控制自我评价模式的优化,4,一、内部控制自我评价的定义,内部控制自我评价(简称CSA)是指企业对其自身内部控制体系建设和实施情况开展的调查、测试、分析和评估等系统性活动。国际内部审计师协会对CSA的最新定义为:CSA是一种过程,它是检查和评估内部控制有效性的过程,实施CSA的目的是对商业目标的可实现性提供合理的保证。,5,二、内部控制自我评价模式的介绍,(一)两家银行内控控制自我评价情况,A银行是一家A股上市商业银行,2008年已开始独立实施内部控制自我评价,项目初期主要由内部审计部门人员根据年度开展的内部审计项目情况,确定需重点评估的关键控制点,进一步实施实质性测试。随着项目经验积累及自我评价工作需要,A银行聘请咨询公司建立了内部控制评价信息系统,以此为基础,逐步扩展为分行自我评价与总行对分行进行评价相结合的内部控制自我评价模式。,B银行于2010年开始实施内部控制自我评价项目,聘请会计师事务所在2家试点分行基础上建立全行内部控制评价风险矩阵,涵盖授信融资、资金业务、信用卡业务、中间业务、结算、存款、人力资源管理、会计及财务管理等条线77个业务及管理流程。还进一步依托操作风险管理项目工具,即:风险与控制自查(RCSA),组织总行条线部门及重点分行实施条线自查,由总行内部控制管理人员对自查结果进行监督检查。,6,(二)两种模式的主要特点,7,A银行,1.“块状”自我评价A银行内部控制自我评价分为两个阶段分行自我评价阶段和总行评价阶段。具体实施中,先由分行按照总行制度要求,根据内部控制五要素逐一对分行各项经营管理活动进行评价。评价实施主体分行内部审计人员组成的项目组。,8,评价方式主观和客观相结合,对关 键控制和重点业务实施实质性测试检查,以尽量真实反映分行内部控制整体情况。最后,总行内部审计部门对分行自我评价情况进行跟进评价,对分行自我评价结果进行验证,对自我评价存在的不足和问题提出改进措施。小结:该模式是以分支机构为自我评价的一个“模块”,各业务经营管理条线全部纳入该模块同时开展评价,直接产生该机构自评结果。,9,2.风险矩阵结构清晰,A银行风险矩阵结构分为两部分过程评价和效果评价。首先根据内部控制五要素设计了过程评价分值结构,该部分占总分比例为80%;其次,对于内部控制运行效果的评价,占比为20%,总分为百分制,并按不同的分数划分为五个等级,对每一级别进一步进行内控水平定义。小结:该评价模式结构清晰,可以根据业务发展及时调整原有评价因素比重或增加新的评价因素。,10,3.风险点更新及时,A银行内部控制评价人员根据业务管理制度的变化和评价发现,适时对原有风险点进行调整,提高内部控制评价的效果和效率。制度发生变化根据制度修订情况,对原风险点进行删减或补充;开展新业务考虑增加新的评价模块,调整各业务比重设置,从而在评价矩阵中纳入新业务评价内容。,11,4.系统支持,A银行分别构建了内部控制和操作风险管理系统、审计信息管理系统,将内部控制评价模块植入系统中,实现了分支机构自我评价和总行跟进评价的CSA模式。小结:内部控制评价系统模块具有易操作、易维护的特点,内控评价人员根据抽样规则要求进行抽样,对于自我评价中发现的控制缺陷直接在相应风险点勾选,实现自动打分。评价完成后,得到最终的整体评估量化结果评价得分,还可以汇总存在的风险因素,据此制定有针对性的整改措施,并进行跟进和落实。,12,B银行,1.“线性”自我评价B银行内控自我评价采取以经营管理条线自查为基础、RCSA(风险与控制自查)自我评价为依托的方式。自查条线初步分为公司银行部、金融市场部等15个部门牵头的条线,分支机构按照总行条线部门梳理的自查风险点、自查覆盖面和频率要求开展自查。,13,总行内控管理部门根据各条线自查、抽 查情况,择机对分行相应部门进行督查,对自查中存在的问题进行督促整改,并对存在的不足进行完善,总行内部审计部门对条线自查实施审计。,14,2.自我评价责任定位明确,B银行将内控自我评价定位为业务一线员工的职责,强调业务人员、业务部门通过自查增强内部控制和风险防范意识,在此基础上对内部控制水平开展自我评价。小结:此种定位一方面增强了风险责任意识;另一方面可以达到在业务一线强化内控合规的目的,业务人员清楚了解业务中内控风险,提升自觉遵守内控合规要求的主动性。,15,3.风险信息传递及时,B银行BRCC会议机制(风险防范联席会议)是高级管理层就重大内控漏洞和业务风险听取相关条线和分行的报告、明确职责分工和管理举措的工作机制。通过各业务条线定期对风险与控制落实情况开展自查,向内控与风险防范联席会议(BRCC)汇报,使高级管理层及时了解相关风险信息,建立快速协调处置机制,落实问题整改,充分发挥自查作用。,16,三、内部控制自我评价模式的比较,通过比较A银行与B银行内控自我评价模式,可以发现:A银行采用“块状”的各分支机构整体自我评价;B银行采用“线性”的各业务条线自查、自我评价。两种模式之间各有优势和不足,主要表现在以下方面:,17,18,19,20,四、内部控制自我评价模式优化,通过比较A、B两家银行内部控制自我评价模式的特点,融合二者优势并规避各自缺陷,提出优化后的内部控制自我评价模式,如下表所示:,21,22,23,24,公司内部控制自我评价概况:,公司根据企业内部控制基本规范、企业内部控制评价指引、上海证券交易所上市公司内部控制指引及株洲旗滨集团股份有限公司内部控制制度等相关规定,制定了内部控制自我评价制度,25,审计监察部于每年12月份编制下一年度内部控制自我评价工作方案,包含内控日常评价测试以及内控年度测评,明确评价范围、工作任务、人员组织、进度安排和费用预算等,并经董事会审计委员会批准后执行。,26,内控日常评价测试,审计监察部根据公司运营实际情况及内部审计情况,自行拟定计划,由各区域内控组成员对本区域纳入评价范围的重要业务活动进行抽样测试、穿行测试,测试完毕后,根据各区域的测试情况总结测评结果,罗列例外事项,根据重要性原则出具测试报告,报董事长签核后下发到各业务部门进行整改。2013年完成了销售、采购、人事、资产、项目、资金、生产、信息等8个业务的内控日常测试。,27,内部控制年度评价,审计监察部11月底编制评价细化方案,经董事长批准后下发工作通知书;12月组织集团各部门及各子公司进行自评,填写部门自评底稿,并于当月回收已填列的自评底稿;次年1月,由评价工作组(目前是内审组和内控组所有成员共同参与)对各部门及子公司自评情况进行审核确认和再评价,也就是开展年度测评工作;,28,次年1月底审计监察部对测评结果进行汇总分析,编写内控缺陷汇总表及内部控制自我评价报告,上报公司董事会审议与决议;对于在检查中发现的内部控制缺陷及实施中存在的问题,在向公司董事会报告后进行跟踪,以确定相关单位已及时采取适当的改进措施。,29,谢谢!,