基于八要素的银行内控评价

基于八要素的银行内控评价2今天交流的内容（五部委）企业内部控制基本规范及配套指引（COSO)内部控制框架和全面风险管理框架的比较（本项目）全面风险管理导向的内部控制评价的思路企业内部控制基本规范解读1.五要素和八要素比较？2.银行与企业内控比较？1.提出八要素评价思路2.讨论完善这个思路123☞3解读：企业内部控制基本规范及配套指引企业内部控制基本规范企业内部控制配套指引企业内部控制评价指引企业内部控制审计指引企业内部控制基本规范及配套指引解读企业内部控制审计指引实施意见相关背景介绍☞☞☞☞☜☜4今天交流的内容（五部委）企业内部控制基本规范及配套指引（COSO)内部控制框架和全面风险管理框架的比较（本项目）全面风险管理导向的内部控制评价的思路企业内部控制基本规范解读1.五要素和八要素比较？2.银行与企业内控比较？1.提出八要素评价思路2.讨论完善这个思路1235银行与企业内部控制比较——定义银监会《内控指引》定义：内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。五部委《基本规范》定义：本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程6银行与企业内部控制比较——目标银监会《内控指引》目标：确保国家法律规定和商业银行内部规章制度的贯彻执行。确保商业银行发展战略和经营目标的全面实施和充分实现。确保风险管理体系的有效性。确保业务记录、财务信息和其他管理信息的及时、真实和完整。五部委《基本规范》目标：合理保证企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略。7银行与企业内部控制比较——原则银监会《内控指引》原则：全面——内部控制应当渗透商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。审慎——内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。有效——内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。独立——内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。五部委《基本规范》原则：全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。8银行与企业内部控制比较——要素银监会《内控指引》五要素：内部控制环境风险识别与评估内部控制措施信息交流与反馈监督评价与纠正五部委《基本规范》五要素内部环境风险评估控制活动信息与沟通内部监督9银行与企业内部控制比较——内容银监会《内控指引》包含银行业务授信业务资金业务存款和柜台中间（含银行卡）财务会计计算机信息系统五部委《内控规范》只包含五要素内部环境风险评估控制活动信息与沟通内部监督10普华永道商业银行内控审计课件授信业务资金业务存款业务中间业务财务报告信息系统银行内控指引审计计划企业层面缺陷评价计划完成银行内控审计总体介绍☞11今天交流的内容（五部委）企业内部控制基本规范及配套指引（COSO)内部控制框架和全面风险管理框架的比较（本项目）全面风险管理导向的内部控制评价的思路企业内部控制基本规范解读1.五要素和八要素比较？2.银行与企业内控比较？1.提出八要素评价思路2.讨论完善这个思路12312企业目标执行企业层面：管理流程设计评价改进业务层面：业务流程信息环境内部控制过程分析模型内控战略持续改进过程自我完善机制发现机会控制风险与时俱化适应环境获取加工反馈控制评估识别应对措施内控定义和要素？审计方法13COSO－全面风险管理框架这个模型包含着“八个要素”、“二个层面”[1]、“八个节点”[2]和“二个机制”[3]。[1]二个层面：内部控制自上而下有企业层面和业务层面，对应的流程是管理流程和业务流程。[2]八个节点：内部控制运行过程中的八个节点包括：识别、评估、应对、措施、设计、执行、评价和改进。[3]二个机制：内控两大机制包括：“识别→评估→应对→措施”的风险管理机制；“设计→执行→评价→改进”的自我完善机制。14为内控审计实战提供以下支持内控五要素在企业实现目标过程中所处的位置和作用；五要素之间的内在联系；内控审计的整体思路和切入点；内控各组节点及其内在的逻辑关系；为对内控做出有效或无效判断提供证据；寻找内控无效的原因；缺陷发生的节点及产生缺陷的原因；更好地为企业提供内控审计增值服务；合理利用审计资源提高审计效率。15风险管理机制：识别→评估→应对→措施识别——既要“识别”风险，还要发现机会；评估——“评估”风险大小，事件对目标实现的影响程度；应对——根据风险大小做出适当的“反应”，包括：包括：回避、预防、接受、转移等应对策略。；措施——有针对性地设计并执行适当的“控制活动”去对冲风险。16风险管理的思路回避接受转移预防设计↓运行↓评价↓改进假想敌人？危害多大？风险偏好？战略目标剩余风险权衡成本效益容忍度？风险管理工具？抵质押、保证、衍生工具、保险风险识别风险评估应对策略控制活动用正确的方法做正确的事情17最大的风险是不能发现风险最大的风险是不能识别风险风险管理是什么？谁能预知未来？银行业当前最大的风险是什么？巴塞尔协议Ⅲ简介商业银行资本管理办法附件18自我完善机制：设计→运行→评价→改进设计——在对实现目标过程中存在的不确定性进行评估的基础上，制定行动“计划”；运行——按照计划开始“行动”，内部控制设计后，执行就成为关键环节；评价——在执行中还应对设计和执行本身进行不断地“评价”，及时发现存在的不足，见微知著，总结经验教训；改进——根据测试的结果，对系统进行持续“改进”，不断自我完善过程方法应当是“设计→运行→评价→改进”的持续循环，系统在不断循环中得到自我完善。19内部控制系统的自我完善机制——自我完善机制比完善的自我更重要执行改进设计评价审计师人谁无过？过而能改，善莫大焉。持续改进戴明循环20内控有效性——过程有效有效的企业内控系统不仅仅是“设计和运行有效”，而应当是“全过程”的有效。所谓全过程有效包括识别、评估、应对、措施、设计、运行、评价和改进等八个节点全部有效，内控的“设计和运行”只是其中的两个节点。在“设计”的前面有“风险识别”、“风险评估”和“应对策略”等节点，有效的内控措施设计是建立在风险评估基础上的。在“运行”的后面有“评价”、“改进”环节。所有这些环节组成内控系统的一个自然逻辑过程，表现于企业的管理流程和业务流程之中，其中的任何一个节点无效都会影响到内控系统的有效性。如果内控系统无效，那一定是在某个或多个节点上存在着重大缺陷。21内控有效性——要素有效要素是过程中的要素，过程是要素作用的过程。企业内部控制包括企业目标、内部环境、风险识别、风险评估、风险应对、控制活动、信息与沟通、内部监督等八个要素。内控有效应当是指这八个要素在同一时空中全部有效。反之，如果一个内控系统无效，那一定是某个或多个要素存在着重大缺陷。系统是一定环境中的系统，系统实现目标的过程总在一定环境中进行。系统实现目标的过程就是与环境相适应的过程。企业内部环境对内部控制建设起到至关重要的作用。内控环境包括法人治理结构、用人和绩效政策、合规和执行文化等。在法人治理不健全的企业，核心人物的内控理念决定着内控系统的有效性。22内控有效性——机制有效系统中各要素和节点不是孤立地存在着，每个要素和节点在系统中都处于一定的位置上，起着特定的作用。企业内部控制系统是一种机制，内控的八大要素、各个节点是一个有机的整体。企业内控机制有：“识别→评估→应对→措施”的风险控制机制；“设计→运行→评价→改进”的自我完善机制。有效的内控系统应当是指这两个机制全部有效。23评价思路：二层面+八要素+二模块企业层面业务层面授信资金存款会计科技管理和业务流程风险点风险管理模块风险点风险点控制点控制点控制点自我完善模块自上而下内控八要素管理流程二个层面目标前台中台后台内控评价流程图24内控评价的样本量和缺陷认定如何认定内部控制缺陷？如何确定内控测试的样本量？解读：企业内控基本规范及配套指引企业内控基本规范企业内控配套指引25自上而下的系统思维方法审计师的核心是职业判断自上而上的系统思维王国维的三重境界老三论和新三论不能盲人摸象信息、感悟和工具方法26过程方法对人生的启示？过程方法用于制定内控审计计划方法得当目标明确思路清晰胸有成竹过程方法运用于风险导向审计过程方法：系统→过程→目标启示思维工具27企业内部控制评价资料库国内企业内部控制汇编银行内部控制原理与评价商业银行审计指南文件汇编汪叶斌编著审计署编著☞☞☞天道自衡系列平衡方舟系列☞28谢谢各位！汪叶斌地址：杭州市体育场路508号电话：057185215015手机：13396715957QQ：1215980850电邮：wyebin@126.comwangyb@zww-cpa.com专著：《商业银行审计》《银行内部控制原理与评价》新著：《一般平衡论》《江湖》《天道》《人生》