商业银行内部控制

第三章 内部控制测试程序和一般性内部控制测评 本章分三节介绍商业银行的内部控制测试程序和一般性内部控制测评。第一节 简要介绍商业银行的内部控制，包括内部控制的目标、原则和内部控制要素；第二 节介绍商业银行内部控制测评的程序和方法；第三节介绍商业银行一般性内部控制 及其测评，主要介绍内部控制要素、会计系统、授信和资金业务系统、计算机系统、 内部控制的监督与风险评价五个方面的内部控制测评。 第一节 商业银行内部控制简介 一、商业银行内部控制的含义 从广义上说，内部控制是组织机构在经营管理过程中，为保证管理有效、资产 安全、会计数据准确真实及为鼓励遵守既定管理政策而采取的所有相应的方法和手 段。而对商业银行来说，内部控制是商业银行为实现经营目标，通过制定和实施一 系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态 过程和机制。真正的内部控制机构，应是贯穿于商业银行各项业务活动全过程的控 制系统，包括完善的规章制度、可行的操作规程、严密的控制程序和预警预报系统。 各商业银行应充分认识到内控制度建设的重要性，自发地而不是被动地加强内控制 度的建设，并作为其生存和发展的首要任务来抓，达到认识和实践的统一。 从理论上讲，内部控制的含义本身包括以下评价内容和标准：一是内部控制制 度的客观存在性；二是内部控制制度的可操作性和有效性；三是职责履行与内部监 督的独立性。 二、商业银行内部控制的目标和原则 （一）商业银行内部控制的目标 1确保国家法律规定和商业银行内部规章制度的贯彻执行。 2确保商业银行发展战略和经营目标的全面实施和充分实现。 3确保风险管理体系的有效性。 4确保业务记录、财务信息和其他管理信息的及时、真实和完整。 内部控制应当与商业银行的经营规模、业务范围和风险特点相适应，以合理的 成本实现内部控制的目标。 （二）商业银行内部控制的原则 商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括： 1内部控制应当渗透到商业银行的各项业务过程和各个操作环节，覆盖所有 的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。 2内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤 其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。 3内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权 力，内部控制存在的问题应当能够及时反馈和纠正。 4内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有 直接向董事会、监事会和高级管理层报告的渠道。 三、商业银行内部控制的要素 内部控制要素是指构成内部控制的必要因素。只有内部控制的各构成因素有机 结合在一起，才能形成完整的内部控制机制。商业银行内部控制应当包括以下要素： 45 内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠 正。 （一）内部控制环境 商业银行内部控制环境是指对内部控制的建立和执行过程有重大影响的各种因 素的总称。它是推动工作的发动机，是所有其他内部控制组成部分的基础。商业银 行应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构， 为内部控制的有效性提供必要的前提条件。具体讲，控制环境又包括以下五方面的 内容。 1管理理念 管理理念是指管理人员在思想理念及实际行动上对内部控制的重视程度。如， 管理人员对业务风险的识别、重视程度，对风险采取的分析、评估和控制方法；管 理人员为实现经营管理目标，对内部控制的重视程度；全行是否围绕一个明确的管 理理念经营管理等。 2管理层 一个商业银行如果有一个好的管理层，就为该行创造了一个良好的控制环境。 好的管理层包括两方面含义，一是领导者自身要有正确的道德观和价值观，有一定 的责任心和敬业精神，要带头认真执行行内的各项规章制度；二是要有正确的管理 方式，以科学的管理方法使商业银行的运作规范化、科学化，并在稳健经营的基础 上发展壮大。 3组织结构 商业银行的组织结构是否合理至关重要，组织结构合理能够使各部门职责分明， 既相互联系、又相互制约，有完善的授权授信机制，能够保证部门和分支行之间方 便、快捷、准确地沟通信息，能够在商业银行内部建立有效的监督机制。 4人事政策和员工素质 一个商业银行要有合理的人员招聘、录用、使用、晋职、解聘政策，能够充分 调动员工的积极性，注重提高员工业务素质和政治素质。有明确的员工培训计划， 使员工有较强的敬业精神和职业道德，在良好的氛围中充分发挥主观能动性，努力 工作。科学的人事政策能合理利用人力资源，在降低人力资源成本的同时提高工作 效率。 5外部环境 现代商业银行是一个开放的系统，会受到外界有关部门和各项因素的干扰和影 响。其中，有关部门主要是指如政府部门、中央银行、社会监督部门；各项因素是 指国内外经济形势、法律环境、社会公众要求、甚至自然灾害等。这些部门和因素 对商业银行内部控制制度的制定、执行都会产生影响。如为了降低商业银行的经营 风险，国家规定必须进行分业经营，所有与存放款等传统银行业务无关的业务都不 能经办，则商业银行内部控制的外延就比可以进行多种经营时要小得多。 （二）风险识别与评估 为达到一定的经营目标而识别和分析风险，是风险管理决策的基础。风险评估 时，评估人员要重视设立目标、分析风险和管理变化等方面的管理程序。风险评估 包括对风险点进行选择、识别、分析和评估的全过程。一是列出重要风险要素和风 险控制点。商业银行首先要清楚在其经营管理过程中会出现的风险，风险要素和风 险点的罗列要细致、全面，既要考虑内部风险，又要考虑外部因素引起的风险；既 要考虑静态风险，又要考虑动态风险；既要考虑操作风险，又要考虑体制和政策风 险。二是对风险进行分析和评估。要事先对风险点进行评估，识别风险产生的原因 及表现形式；识别每一重要业务活动目标所面临的风险；估计风险的概率、频率、 46 重要性、可能性；风险所造成的危害。其目的是能够在业务开展前，测定出风险指 标，并能够在业务发生后对风险进行跟踪监测。 （三）内部控制措施 内部控制措施就是确保管理方针得以实现的一系列制度、程序和措施。包括高 层检查、直接管理、信息加工、实物控制、工作指标和职责分离等。管理人员要为 每一重大活动设立目标，并针对与这些目标相关的风险，列出所要采取的活动和措 施，如完善制度、加强相互制约、健全奖惩机制、加强员工培训等。内部控制措施 要与风险评估过程联系起来，要恰当实际，要针对每一项重要业务活动，要保证管 理指令的执行。 （四）信息交流与反馈 要使控制活动和措施有力地开展下去，一个商业银行必须及时获取内外部信息， 包括反映经营管理状况、法律法规执行情况、财务报表资料等内部信息，以及其他 外部信息，并使这些信息充分交流，如内部部门之间、总行与分支行之间、分支行 之间的相互交流，银行与客户、政府部门、中央银行之间的交流等。通过信息的获 取和交流，来完善和实现自身的目标，采取必要的控制活动和措施，及时解决存在 的问题。如通过分支行之间、与中央银行之间的信息交流，获取主要客户在本系统 其他分支行及其他银行的贷款和授信情况，以便本行确定适当的授信额度和测定信 用风险。 （五）监督评价与纠正 为了保证内部控制的有效性、充分性和可行性，必须考虑对内部控制制度进行 持续性评价和单项制度的分别评价。主要内容包括：组织体系是否健全，决策系统、 执行系统、监督系统和支持保障系统作用发挥如何；领导层对内部控制的认识如何； 是否有相应的管理制度和操作规程，这些制度和规程是否完善；是否具有明确的岗 位责任制；授权、分工协作和相互制约机制是否健全；指标制定是否合理、完成情 况如何，是否具有完善的奖惩机制；员工对制度精神是否充分理解，执行情况如何； 岗位轮换和员工培训情况如何；计算机、人事管理、信息管理、安全保卫等支持保 障系统是否有效；内部稽核体系是否健全，独立性和权威性如何，稽核力度和覆盖 面是否足够等。 第二节 内部控制测评的程序和方法 对内部控制测评的过程也就是对控制风险进行评估的过程。需要注意的是， 与固有风险评估一样，控制风险的评估需要大量运用审计人员的专业判断。在对 固有风险和控制风险进行评估以后，审计人员就可确定检查风险，从而决定进行 实质性测试的工作量。内部控制测评包括初步了解内部控制、确定审计策略，执 行内部控制测试、评估控制风险两部分。本章第三节将介绍内部控制要素、会计 系统、主要业务系统、计算机系统以及内部控制监督与风险评价等一般性内部控 制系统的测评，第四章至第十二章将详细介绍各业务系统的内部控制测评，以更 好地与各业务系统的实质性测试相衔接。 一、初步了解内部控制，确定审计策略 （一）调查和了解内部控制 本指南采用调查表的方法进行。审计人员可以通过调查和了解，辨别出商业银 行的具体控制环节和控制程序。审计人员没有必要对每项控制都进行深入分析，应 关注那些可能对控制目标的实现有重大影响的控制环节，即关键控制点。 （二）确定审计策略 47 在调查的基础上，审计人员应确定审计策略，确定是否依赖被审计银行相关 内部控制进行审计。如果出现以下两种情况之一，审计人员不得采取依赖内部控 制审计策略： （1）相关内部控制不健全，存在重大风险失控点。 （2）内部控制测试的工作量可能大于进行内部控制测试所减少的实质性测试 的工作量。 二、执行内部控制测试，评估控制风险 审计人员根据内部控制调查结果，在采取依赖相关内部控制审计策略的情况下， 对拟信赖的内部控制采取适当和有效的方法进行测试，评价内部控制风险和获取内 部控制保证程度。 审计人员对第一次审计的商业银行和连续审计的商业银行本期发生变化的内部 控制环节，应按以下提供的程序和方法实施测试和评价。审计人员对连续审计商业 银行的内部控制测试和评价，可以参考上期审计成果，或采取按年轮流测试办法。 （一）制定内部控制测试计划 1确定测试对象。 2明确证据要求。 3确定测试范围。 4明确可接受的控制风险或要求达到的控制保证程度。 （二）采取适当的内部控制测试方法 1询问并检查相关的内部控制管理报告。即采用相互印证式的询问，查明相 关内部控制是否存在和有效运行，然后再根据询问的结果检查有关内部控制管理报 告，获取内部控制有效运行的证据。这是在控制风险较低时比较常用的测试程序。 2询问并实地观察未留下审计轨迹的内部控制运行情况。在这种情况下，审 计人员可通过询问并实地观察，以判断相关内部控制规定是否得到遵守。 3询问并检查交易和业务凭证等书面文档。即根据询问的情况、检查交易和 事项的有关凭证，以获取内部控制有效运行的证据。 4重新实施相关内部控制程序（即重做） 。 在实际测试工作中，应根据实际情况灵活采用各种测试方法。在上述四种方法 中，以相互印证式的询问为首选，通过询问法和辅以观察、审查书面文档和重做的 方法，可以有效地获取审计所需证据，节约审计资源。具体运用中，对于通过询问 不同的人员，同样的问题能够得到相互印证的，则不再扩大测试；对于同一问题出 现相互矛盾的回答时，再辅以其他测试方法。 在测试过程中，需要抽取一定的样本，以验证相关内部控制是否有效。抽样时 可以使用统计抽样的方法，也可以根据审计人员专业判断使用非统计抽样方法。本 指南建议在内部控制测试过程中使用非统计抽样技术。 （三）获取内部控制测试证据 测试中，应获得如下审计证据，来证明控制活动和措施是否有效： 1内部控制如预期那样运转。 2内部控制在所审计期间一贯地、及时地发挥作用。 3内部控制涵盖所有交易。 4内部控制能发现和修正错误。 （四）记录内部控制测试结果 实施内部控制测试后，应记录如下内容： 1测试的对象，包括测试的控制系统或业务循环、控制目标、控制活动和措 施。 48 2采取的测试程序和方法，包括检查的文件、程序、调查的人员。 3测试结果，包括评定控制风险、指出失控的环节及对风险的影响。 4测试结论，包括是否信赖相关内部控制，下一步准备采取的审计策略，是 否测试补偿控制，是否修改审计方案。 5审计建议、测试时间、测试人。 6测试过程中，审计人员通过询问有关当事人发现内部控制在执行中存在任 何例外（如越权） 、非正常项目（如未按正常控制程序审批的项目）和相关制度的 任何修改（如审批权限发生变化） ，均应作相应记录和检查。 （五）评价控制风险 内部控制的风险评价可分为高、较高、中、低三个层次。风险低的标志是：内 部控制健全、合理，且在测试检查有关业务活动时，未发现任何差错或仅发现极少 的差错。风险中的标志是：内部控制比较健全、合理，还存在一定缺陷，且在测试 检查有关业务活动时，发现有一定程度的差错。风险较高的标志是：内部控制设计 不够完善或虽然设计了良好的内部控制，但实际运行中差错发生率较高。风险高的 标志是：内部控制设计不完善或虽然设计了良好的内部控制，但实际运行中差错发 生率很高。 在评价控制风险时需要考虑的因素有： 1失控的性质和原因。例如，某种失控是孤立的还是与其他控制相关、失控 的程度如何等。 2补偿控制的可能性。在评价中，一些关键控制本应在较低层次建立和执行， 但却没有得到执行，要注意在较高层次是否存在补偿控制。例如，检查大额支付款 项的授权情况，在业务处理过程中没有授权，但上一级管理层对此有严格的审核制 度和手续，则证明有补偿控制。 评价控制风险的结果，可以利用风险基础审计策略模型，转换为内部控制保证 程度系数，为实质性测试实施统计抽样服务，调整或确认进一步实质性测试的程序、 范围和重点： 1审计人员采用非统计抽样技术实施审计时，可以利用已知的可接受审计风 险、商业银行固有风险和商业银行内部控制风险的高低，调整或确认审计方案中规 划的实质性测试可接受检查风险水平，明确实质性测试的程序、范围和方法。 2审计人员采用货币单位抽样等统计抽样技术实施审计时，可以利用已知的 总体审计保证程度系数、商业银行固有保证程度系数和商业银行内部控制保证程度 系数，调整或确认审计计划中规划的实质性测试应达到的检查保证程度系数，明确 实质性测试的程序、范围和方法，并帮助审计人员测算出理论抽样规模。 第三节 商业银行一般性内部控制测评 商业银行一般性内部控制的测评内容包括内部控制要素、会计系统、业务系统、 计算机系统、内部控制的监督与风险评价五个方面的内部控制建设及其运行情况的 测试评价。本节只对一般性内部控制进行调查和测试，并结合以后各章业务循环的 内部控制测评结果来确定审计策略。 一、内部控制要素的测评 对商业银行内部控制要素的调查测试表如下： 49 表 31 索引号： (审计机关名称)审计工作底稿 内部控制要素调查测试表 （审计期间） 被审计商业银行： 执行情况 控制活动 是 否 好 一 般 差 （一）内部控制环境 1商业银行的董事会是否履行以下职责：负责审批商 业银行的总体经营战略和重大政策，确定商业银行可以接受 的风险水平，批准各项业务的政策、制度和程序，任命高级 管理层，对内部控制的有效性进行监督；就内部控制的有效 性定期与管理层进行讨论，及时审查管理层、审计机构和监 管部门提供的内部控制评估报告，督促管理层落实整改措施？ 2商业银行的高级管理层是否履行以下职责：负责执 行董事会批准的各项战略、政策、制度和程序，负责建立授 权和责任明确、报告关系清晰的组织结构，建立识别、计量 和管理风险的程序，并建立和实施健全、有效的内部控制， 采取措施纠正内部控制存在的问题？ 3商业银行的监事会是否履行以下职责：在实施财务 监督的同时，负责对商业银行遵守法律规定的情况以及董事 会、管理层履行职责的情况进行监督，要求董事会、管理层 纠正损害银行利益的行为？ 4商业银行是否建立科学、有效的激励约束机制，培 育良好的企业精神和内部控制文化，从而创造全体员工均充 分了解且能履行职责的环境？ （二）风险识别与评估 1商业银行是否设立有履行风险管理职能的专门部门， 是否制定并实施识别、计量、监测和管理风险的制度、程序 和方法，以确保风险管理和经营目标的实现？ 2商业银行是否有建立涵盖各项业务、全行范围的风 险管理系统，是否开发和运用风险量化评估的方法和模型， 对信用风险、市场风险、流动性风险、操作风险等各类风险 进行持续的监控？ 3商业银行是否对各项业务制定全面、系统、成文的 政策、制度和程序，是否在全行范围内保持统一的业务标准 和操作要求，避免因管理层的变更而影响其连续性和稳定性？ 4商业银行是否在设立新的机构或开办新的业务时， 事先制定有关的政策、制度和程序，对潜在的风险进行计量 和评估，并提出风险防范措施？ 5商业银行是否建立有内部控制的评价制度，对内部 控制的制度建设、执行情况定期进行回顾和检讨，是否根据 50 控制活动 是 否 执行情况 好 一般 差 国家法律规定、银行组织结构、经营状况、市场环境的变化 进行修订和完善？ （三）内部控制措施 1商业银行是否明确划分相关部门之间、岗位之间、 上下级机构之间的职责，是否建立职责分离、横向与纵向相 互监督制约的机制，涉及资产、负债、财务和人员等重要事 项变动均不得由一个人独自决定？ 2商业银行是否根据不同的工作岗位及其性质，赋予 其相应的职责和权限，各个岗位是否有正式、成文的岗位职 责说明和清晰的报告关系？ 3商业银行是否对关键岗位实行定期或不定期的人员 轮换和强制休假制度？ 4商业银行是否根据各分支机构和业务部门的经营管 理水平、风险管理能力、地区经济环境和业务发展需要，建 立相应的授权体系，实行统一法人管理和法人授权？是否授 权适当、明确，并采取书面形式？ 5商业银行是否利用计算机程序监控等现代化手段， 锁定分支机构的业务权限，对分支机构实施有效的管理和控 制？下级机构是否严格执行上级机构的决策，在自身职责和 权限范围内开展工作？ 6商业银行是否建立有效的核对、监控制度，对各种 账证、报表定期进行核对，对现金、有价证券等有形资产及 时进行盘点，对柜台办理的业务实行复核或事后监督把关， 对重要业务实行双签有效的制度，对授权、授信的执行情况 进行监控？ 7商业银行是否按照规定进行会计核算和业务记录， 建立完整的会计、统计和业务档案，妥善保管，确保原始记 录、合同契约和各种报表资料的真实、完整？ 8商业银行是否建立有效的应急制度，在各个重要部 位、营业网点等发生供电中断、火灾、抢劫等紧急情况时， 应急措施是否及时、有效，以确保各类数据信息的安全和完 整？ 9商业银行是否设立独立的法律事务部门或岗位，统 一管理各类授权、授信的法律事务，制定和审查法律文本， 对新业务的推出进行法律论证，确保每笔业务的合法和有效， 维护银行的合法权益？ 10商业银行是否实现业务操作和管理的电子化，促进 各项业务的电子数据处理系统的整合，做到业务数据的集中 处理？ 11商业银行是否实现经营管理的信息化，建立贯穿各 级机构、覆盖各个业务领域的数据库和管理信息系统，做到 及时、准确提供经营管理所需要的各种数据，并及时、真实、 51 控制活动 是 否 执行情况 好 一般 差 准确地向中国人民银行报送监管报表资料和对外披露信息？ （四）信息交流与反馈 商业银行应当建立有效的信息交流和反馈机制，确保董 事会、监事会、高级管理层及时了解本行的经营和风险状况， 确保每一项信息均能够传递给相关的员工，各个部门和员工 的有关信息均能够顺畅反馈？ （五）监督评价与纠正 1商业银行的业务部门是否对各项业务的经营状况和 例外情况进行经常性检查，及时发现内部控制存在的问题， 并迅速予以纠正？ 2商业银行的内部审计部门是否有权获得商业银行的 所有经营信息和管理信息，并对各个部门、岗位和各项业务 实施全面的监控和评价？ 3商业银行的内部审计是否具有充分的独立性，实行 全行系统的垂直管理？下级机构内部审计负责人的聘任和解 聘是否经上级机构内部审计部门同意，总行内部审计负责人 的聘任和解聘是否经董事会或监事会同意？ 4商业银行是否配备充足的、业务素质高、工作能力 强的内部审计人员，并建立专业培训制度，每人每年确保一 定的离岗或脱产培训时间？内部审计力量不足的，是否将审 计任务委托社会中介机构进行？ 5商业银行是否建立有效的内部控制报告和纠正机制， 业务部门、内部审计部门和其他人员发现的内部控制的问题， 是否均有畅通的报告渠道和有效的纠正措施？ 审计人员： 审计日期： 复核人员： 复核日期： 二、会计系统内部控制的测评 商业银行建立会计控制系统应遵循的基本原则是规范化原则、授权分责原则、 监督制约原则、财务核对原则、安全谨慎原则。 会计系统测评包括会计核算、结算管理、现金管理、财务管理诸方面的检查评 价。在进行检查评价时，要以上述原则为基础，测评要点为： 一是测评其设立岗位、制定操作程序以及建立会计档案保管和密押、业务用章、 重要空白凭证保管、领用、登记、销废等会计管理制度的健全完善和执行情况如何。 二是测评会计业务是否真实、有效。 三是测评会计报表及相关说明是否真实反映其业务状况和经营成果。 商业银行会计系统内部控制的重点是：实行会计工作的统一管理，严格执行会 计制度和会计操作规程，运用计算机技术实施会计内部控制，确保会计信息的真实、 完整和合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。 对商业银行会计系统内部控制的调查测试表如下： 52 表 32 索引号： （审计机关名称）审计工作底稿 会计系统内部控制调查测试表 （审计期间） 被审计商业银行： 执行情况 控制活动 是 否 好 一 般 差 1商业银行是否依据企业会计准则和国家统一的会计 制度，制订并实施本行的会计规范和管理制度？下级机构是 否严格执行上级机构制定的会计规范和管理制度，确保统一 的会计规范和管理制度在本行得到实施？ 2商业银行是否确保会计工作的独立性，确保会计部 门和会计人员能够依据国家统一的会计制度和本行的会计规 范独立地办理会计业务？ 3商业银行会计岗位设置是否实行责任分离、相互制 约的原则，严禁一人兼任非相容的岗位或独自完成会计全过 程的业务操作？ 4商业银行是否明确会计部门、会计人员的权限，各 级会计部门、会计人员是否在各自的权限内行事，凡超越权 限的，须经授权后，方可办理？ 5商业银行是否对会计账务处理的全过程实行监督， 会计账务是否做到账账、账据、账款、账实、账表和内外账 的六相符？凡账务核对不一致的，是否按照权限进行纠正或 报上级机构处理？ 6商业银行是否对会计主管、会计负责人实行从业资 格管理，建立会计人员档案？会计主管、会计负责人和会计 人员是否具有与其岗位、职位相适应的专业资格或技能？ 7商业银行下级机构会计主管的变动是否经上级机构 会计部门同意？会计人员调动工作或离职，是否与接管人员 办清交接手续，严格执行交接程序？ 8商业银行是否对会计人员实行强制休假制度，联行、 同城票据交换、出纳等重要会计岗位人员和会计主管是否定 期轮换，逐步推行离岗（任）审计制度？ 9商业银行是否实行会计差错责任人追究制度，发生 重大会计差错、舞弊或案件，除对直接责任人员追究责任外， 机构负责人和分管会计的负责人是否也承担相应的责任？ 10商业银行是否做到会计记录、账务处理的合法、真 实、完整和准确？ 11商业银行是否建立规范的信息披露制度，按照规定 及时、真实、完整地披露会计、财务信息？ 12商业银行是否完善会计档案管理，严格执行会计档 案查阅手续，防止会计档案被替换、更改、毁损、散失和泄 密？ 审计人员： 审计日期： 复核人员： 复核日期： 53 三、业务系统内部控制的测评 业务系统的内部控制主要包括授信业务、资金业务、存款及柜台业务、中间业 务的内部控制。下面主要介绍授信业务和资金业务的内部控制测评，对存款及柜台 业务、中间业务的内部控制测评将在后面各章中介绍。 业务系统测评要点为： 一是测试评价业务管理、监督办法与处理规程的一致性、规范性，如看授信管 理是否制定授信管理办法及操作规程，并按有关规程执行业务；有关风险识别与监 测体系是否健全有效等。 二是测试评价业务控制程序是否明确、相互制衡，如看是否形成了相关岗位职 责由不同人员担任的规章制度（审贷分离制度、 “印、押、证”三分管制度等） 。 三是测试评价业务经营指标的完成情况。 商业银行授信业务内部控制的重点是：实行统一授信管理，健全客户信用风险 识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联企业客户和集 团客户风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，防止信贷 资金违规投向高风险领域和用于违法活动。 商业银行资金业务内部控制的重点是：对资金业务对象和产品实行统一授信， 实行严格的前后台职责分离，建立中台风险监控和管理制度，防止资金交易员从事 越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。 对商业银行业务系统内部控制的调查测试表如下： 表 33 索引号： （审计机关名称）审计工作底稿 业务系统内部控制调查测试表 （审计期间） 被审计商业银行： 执行情况 控制活动 是 否 好 一 般 差 （一）授信业务的内部控制 1商业银行是否设立独立的授信风险管理部门，对不 同币种、不同客户对象、不同种类的授信进行统一管理，避 免信用失控？ 2商业银行授信岗位设置是否做到分工合理、职责明 确，岗位之间是否相互配合、相互制约，做到审贷分离、业 务经办与会计账务处理分离？ 3商业银行是否建立有效的授信决策机制，包括设立 审贷委员会，负责审批权限内的授信？行长不得担任审贷委 员会的成员？审贷委员会审议表决是否遵循集体审议、明确 发表意见、多数同意通过的原则，全部意见是否记录存档？ 被审贷委员会两次否决的贷款申请半年内不得提交审贷委员 会审议？ 4商业银行是否建立严格的授信风险垂直管理体制， 下级机构是否服从上级机构风险管理部门的管理，严格执行 各项授信风险管理政策和制度？ 5商业银行是否对授信实行统一的法人授权制度，上 级机构是否根据下级机构的风险管理水平、资产质量、所处 54 控制活动 是 否 执行情况 好 一般 差 地区经济环境等因素，合理确定授信审批权限？ 6商业银行是否根据风险大小，对不同种类、期限、 担保条件的授信确定不同的审批权限，审批权限是否逐步采 用量化风险指标？ 7商业银行各级机构是否明确规定授信审查人、审批 人之间的权限和工作程序，严格按照权限和程序审查、审批 业务，不得故意绕开审查、审批人？ 8商业银行是否防止授信风险的过度集中，通过实行 授信组合管理，制定在不同期限、不同行业、不同地区的授 信分散化目标，及时监测和控制授信组合风险，确保总体授 信风险控制在合理的范围内？ 9商业银行是否对同一客户的贷款、贸易融资、票据 承兑和贴现、透支、保理、担保、贷款承诺、开立信用证等 各类表内外授信实行一揽子管理，确定总体授信额度？ 10商业银行是否以风险量化评估方法和模型为基础， 开发和运用统一的客户信用评级体系，作为授信客户选择和 项目审批的依据，并为客户信用风险识别、监测以及制定差 别化的授信政策提供基础？ 11商业银行是否对集团客户实行统一授信管理，将同 一集团内各个企业的授信纳入统一的授信额度内，核定集团 总的授信额度，防止借款人通过多头开户、多头贷款、多头 互保套取银行资金，防止对关联企业授信的失控？ 12商业银行是否建立统一的授信操作规范，规定贷前 调查、贷时审查、贷后检查各个环节的工作标准和操作要求： （1）贷前调查是否做到实地查看，如实报告授信调查 掌握的情况，不回避风险点，不因任何人的主观意志而改变 调查结论； （2）贷时审查是否做到独立审贷，客观公正，充分、 准确地揭示业务风险，提出降低风险的对策； （3）贷后检查是否做到实地查看，如实记录，及时将 检查中发现的问题报告有关人员，不得隐瞒或掩饰问题？ （4）商业银行是否制定统一的各类授信品种的管理办 法，明确规定各项业务的办理条件，包括选项标准、期限、 利率、收费、担保、审批权限、申报资料、贷后管理、内部 处理程序等具体内容？ （5）商业银行在批准各类授信时，是否逐笔载明办理 业务的各项条件，经办部门只能在符合条件的前提下办理业 务？ 13商业银行是否对借款人实施独立的尽职调查，严格 执行授信审批程序，防止逆程序操作和放宽授信标准，防止 发放任何形式的外部行政干预贷款和人情贷款？ 55 控制活动 是 否 执行情况 好 一般 差 14商业银行是否严格按照信贷原则审查对关系人的授 信，确保对关系人的授信条件不得优于其他借款人同类授信 的条件？在对关系人的授信调查和审批过程中，商业银行内 部相关人员是否回避？ 15商业银行是否严格审查和监控借款用途，防止借款 人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金， 改变借款用途？ 16商业银行是否严格审查借款人资格合法性、融资背 景以及申请材料的真实性和借款合同的完备性，防止借款人 通过编造虚假理由、使用虚假经济合同或虚假证明文件等方 式，从事金融诈骗活动？ 17商业银行是否建立资产质量监测报告体系，严密监 测资产质量的变化，分析不良资产形成的原因，及时制定防 范和化解风险的对策？ 18商业银行是否建立贷款风险分类制度，规范贷款质 量的认定标准和程序，严禁掩盖不良贷款的真实状况，确保 贷款质量的真实性？ 19商业银行是否建立授信风险责任制，明确规定各个 部门、岗位的风险责任？ （1）调查人员是否承担调查失误和评估失准的责任； （2）审查和审批人员是否承担审查、审批失误的责任， 并对本人签署的意见负责； （3）贷后管理人员是否承担检查失误、清收不力的责 任； （4）放款操作人员是否对操作性风险负责； （5）高级管理层是否对重大贷款损失承担相应的责任。 20商业银行是否对违法、违规造成的授信风险和损失 逐笔进行责任认定，并按规定对有关责任人进行处理？ 21商业银行是否建立完善的授信管理信息系统，对授 信全过程进行持续监控，并确保提供真实的授信经营状况和 资产质量状况信息，对授信风险与收益情况进行综合评价？ 22商业银行是否建立完善的客户管理信息系统，全面 和集中掌握客户的资信水平、经营财务状况、偿债能力等信 息，对客户进行分类管理，对已列入“黑名单” 、有逃废债 等行为的资信不良的借款人实施授信禁入？ （二）资金业务的内部控制 1商业银行资金业务的组织结构是否体现权限等级和 职责分离的原则，做到前台交易与后台结算分离、自营业务 与代客业务分离、业务操作与风险监控分离，建立岗位之间 的监督制约机制？ 2商业银行是否根据分支机构的经营管理水平，核定 56 控制活动 是 否 执行情况 好 一般 差 各个分支机构的资金业务经营权限？对分支机构的资金业务 是否定期进行检查，对异常资金交易和资金变动是否建立有 效的预警和处理机制？未经上级机构批准，下级机构不得开 展任何未设权限的资金交易？ 3商业银行是否完善资金营运的内部控制，资金的调 出、调入是否有真实的业务背景，严格按照授权进行操作， 并及时划拨资金，登记台账？ 4商业银行是否根据授信原则和资金交易对手的财务 状况，确定交易对手、投资对象的授信额度和期限，并根据 交易产品的特点对授信额度进行动态监控，确保所有交易控 制在授信额度范围之内？ 5商业银行是否充分了解所从事资金业务的性质、风 险、相关的法规和惯例，明确规定允许交易的业务品种，确 定资金业务单笔、累计最大交易限额以及相应承担的单笔、 累计最大交易损失限额和交易止损点？高级管理层是否充分 认识金融衍生产品的性质和风险，根据本行的风险承受水平， 合理确定金融衍生产品的风险限额和相关交易参数？ 6商业银行是否建立完备的资金交易风险评估和控制 系统，制定符合本行特点的风险控制政策、措施和定量指标， 开发和运用量化的风险管理模型，对资金交易的收益与风险 进行适时、审慎评价，确保资金业务各项风险指标控制在规 定的范围内？ 7商业银行是否根据资金交易的风险程度和管理能力， 就交易品种、交易金额和止损点等对资金交易员进行授权？ 资金交易员上岗前是否取得相应资格？ 8商业银行是否按照市场价格计算交易头寸的市值和 浮动盈亏情况，对资金交易产品的市场风险、头寸市值变动 进行实时监控？ 9商业银行是否建立资金交易风险和市值的内部报告 制度？资金交易员是否向高级管理层如实汇报金融衍生产品 中的或有资产、隐含风险和对冲策略等交易细节？ 10商业银行是否充分考虑到极端的市场价格变动、市 场流动性降低以及主要交易对手倒闭等问题，确定市场出现 大幅异常波动和可能出现最坏情况时的应对措施？ 11商业银行是否建立对资金交易员的适当的约束机制， 对资金交易员实施有效管理？资金交易员是否严格遵守交易 员行为准则，在职责权限、授信额度、各项交易限额和止损 点内以真实的市场价格进行交易，并严守交易信息秘密？ 12商业银行是否建立资金交易中台和后台部门对前台 交易的反映和监督机制？中台监控部门是否核对前台交易的 授权交易限额、交易对手的授信额度和交易价格等，对超出 授权范围内的交易是否及时向有关部门报告？后台结算部门 57 控制活动 是 否 执行情况 好 一般 差 是否独立地进行交易结算和付款，并根据资金交易员的交易 记录，在规定的时间内向交易对手逐笔确认交易事实？ 13商业银行在办理代客资金业务时，是否了解客户从 事资金交易的权限和能力，向客户充分揭示有关风险，获取 必要的履约保证，明确在市场变化情况下客户违约的处理办 法和措施？ 14商业银行资金业务新产品的开发和经营是否经过高 级管理层授权批准，在风险控制制度和操作规程完备、人员 合格和设备齐全的情况下，交易部门才能全面开展新产品的 交易？ 15商业银行是否建立资金业务的风险责任制，明确规 定各个部门、岗位的风险责任？ （1）前台资金交易员是否承担越权交易和虚假交易的 责任，并对未执行止损规定形成的损失负责； （2）中台监控人员是否承担对资金交易员越权交易报 告的责任，并对风险报告失准和监控不力负责； （3）后台结算人员是否对结算的操作性风险负责； （4）高级管理层是否对资金交易出现的重大损失承担 相应的责任。 审计人员： 审计日期： 复核人员： 复核日期： 四、计算机系统内部控制的测评 随着金融业务日趋多样化，以计算机为中心的金融信息网络系统在整个金融业 的使用越来越广泛，金融业对计算机系统的依赖程度与日俱增，计算机系统风险的 控制显得十分必要和紧迫。 对计算机系统的内部控制评价可依据该机构计算机系统应用程度来确定其评价 内容，并设定计算机系统在整个内部控制评价系统中所占的权重。一般来说，计算 机系统应用程度可分为下列三种模式： 第一种模式：所有业务完全应用计算机系统，彻底摆脱手工操作或者以手工操 作为辅助手段。 第二种模式：部分业务应用计算机系统，尚未完全摆脱手工操作或者是处于手 工操作与计算机并运的状况。 第三种模式：计算机系统主要用于部分文档操作，尚未深入到业务层次。 在第一种模式中，计算机业务处理集中化程度最高、检查评价内容要具体、细 化、深入，所占权重相对最高；在第二种模式中，计算机业务处理集中化程度居中， 检查评价内容要比较具体、细化，所占权重相对较高；在第三种模式中，计算机涉 及业务处理内容最少，检查评价内容不必面面俱到，可重点检查评价一些相关环节， 所占权重相对较低。在我国现阶段，商业银行的计算机系统基本上已经达到或接近 第一种模式，因此对计算机系统的内部控制进行审计与评价就显得尤为重要。对计 算机系统的评价要点为： 一是检查评价控制制度的健全性。 58 二是检查评价软件系统的安全性、完善性及维护情况。 三是检查评价硬件配置管理、运行环境的可靠性。 四是检查评价应用操作人员的职务分离性。 商业银行计算机信息系统内部控制的重点是：严格划分计算机信息系统开发部 门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确 保计算机信息系统设备、数据、系统运行和系统环境的安全。 对商业银行计算机系统内部控制的调查测试表如下： 表 34 索引号： （审计机关名称）审计工作底稿 计算机系统内部控制调查测试表 （审计期间） 被审计商业银行： 执行情况 控制活动 是 否 好 一 般 差 1商业银行是否明确计算机信息系统开发人员、管理 人员与操作人员的岗位职责，做到岗位之间的相互制约，各 岗位之间不得相互兼任？ 2各级机构是否配备计算机安全管理人员，明确计算 机安全管理人员的职责？ 3商业银行是否对计算机信息系统的项目立项、开发、 验收、运行和维护整个过程实施有效管理，开发环境是否与 生产环境严格分离？ 3技术部门与业务部门之间是否进行沟通协调，确保 系统的整体安全？ 4商业银行购买计算机软、硬件设备，是否对供应商 的资格条件进行严格审查，在使用前进行试用性安全测试， 明确产品供应商对产品在使用期间承担的责任，确保产品的 正常使用和有效维护？ 5商业银行计算机机房建设是否符合国家的有关标准， 出入计算机机房是否有严格的审批程序和出入记录，确保计 算机硬件、各种存储介质的物理安全？计算机机房和营业网 点是否有完备的计算机