內部控制測試程序與測評(20210211102911)

1、內部控制測試程序和一般性內部控制測評第一節(jié)公司內部控制簡介一、公司內部控制的含義從廣義上說，內部控制是組織機構在經(jīng)營管理過程中，為保證管理有效、資產(chǎn)安全、會計 數(shù)據(jù)準確真實及為鼓勵遵守既定管理政策而采取的所有相應的方法和手段。而對公司來說，內 部控制是公司為實現(xiàn)經(jīng)營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防 范、事中控制、事后監(jiān)督和糾正的動態(tài)過程和機制。真正的內部控制機構，應是貫穿于公司各 項業(yè)務活動全過程的控制系統(tǒng)，包括完善的規(guī)章制度、可行的操作規(guī)程、嚴密的控制程序和預 警預報系統(tǒng)。各公司應充分認識到內控制度建設的重要性，自發(fā)地而不是被動地加強內控制度 的建設，并作為其生存

2、和發(fā)展的首要任務來抓，達到認識和實踐的統(tǒng)一。從理論上講，內部控制的含義本身包括以下評價內容和標準：一是內部控制制度的客觀存 在性；二是內部控制制度的可操作性和有效性；三是職責履行與內部監(jiān)督的獨立性。二、公司內部控制的目標和原則（一）公司內部控制的目標它是1 1確保國家法律規(guī)定和公司內部規(guī)章制度的貫徹執(zhí)行。2 2確保公司發(fā)展戰(zhàn)略和經(jīng)營目標的全面實施和充分實現(xiàn)。3 3確保風險管理體系的有效性。4 4確保業(yè)務記錄、財務信息和其他管理信息的及時、真實和完整。 內部控制應當與公司的經(jīng)營規(guī)模、業(yè)務范圍和風險特點相適應，以合理的成本實現(xiàn)內部控 制的目標。（二）公司內部控制的原則 公司內部控制應當貫徹全面、審

3、慎、有效、獨立的原則，包括： 1 1內部控制應當滲透到公司的各項業(yè)務過程和各個操作環(huán)節(jié)，覆蓋所有的部門和崗位， 并由全體人員參與，任何決策或操作均應當有案可查。2 2內部控制應當以防范風險、審慎經(jīng)營為出發(fā)點，公司的經(jīng)營管理，尤其是設立新的機 構或開辦新的業(yè)務，均應當體現(xiàn)“內控優(yōu)先”的要求。3 3內部控制應當具有高度的權威性，任何人不得擁有不受內部控制約束的權力，內部控 制存在的問題應當能夠及時反饋和糾正。4 4內部控制的監(jiān)督、評價部門應當獨立于內部控制的建設、執(zhí)行部門，并有直接向董事 會、監(jiān)事會和高級管理層報告的渠道。三、公司內部控制的要素 內部控制要素是指構成內部控制的必要因素。只有內部控制

4、的各構成因素有機結合在一 起，才能形成完整的內部控制機制。公司內部控制應當包括以下要素：內部控制環(huán)境、風險識 別與評估、內部控制措施、信息交流與反饋、監(jiān)督評價與糾正。（一）內部控制環(huán)境 公司內部控制環(huán)境是指對內部控制的建立和執(zhí)行過程有重大影響的各種因素的總稱。 推動工作的發(fā)動機，是所有其他內部控制組成部分的基礎。公司應當建立良好的公司治理以及 分工合理、職責明確、報告關系清晰的組織結構，為內部控制的有效性提供必要的前提條件。 具體講，控制環(huán)境又包括以下五方面的內容。1 1管理理念 管理理念是指管理人員在思想理念及實際行動上對內部控制的重視程度。如，管理人員對 業(yè)務風險的識別、重視程度，對風險采

5、取的分析、評估和控制方法；管理人員為實現(xiàn)經(jīng)營管理 目標，對內部控制的重視程度；全行是否圍繞一個明確的管理理念經(jīng)營管理等。2 2管理層一個公司如果有一個好的管理層，就為該行創(chuàng)造了一個良好的控制環(huán)境。好的管理層包括 兩方面含義，一是領導者自身要有正確的道德觀和價值觀，有一定的責任心和敬業(yè)精神，要帶 頭認真執(zhí)行行內的各項規(guī)章制度；二是要有正確的管理方式，以科學的管理方法使公司的運作 規(guī)范化、科學化，并在穩(wěn)健經(jīng)營的基礎上發(fā)展壯大。3 3組織結構 公司的組織結構是否合理至關重要，組織結構合理能夠使各部門職責分明，既相互聯(lián)系、 又相互制約，有完善的授權授信機制，能夠保證部門和分支行之間方便、快捷、準確地溝

6、通信 息，能夠在公司內部建立有效的監(jiān)督機制。4 4人事政策和員工素質 一個公司要有合理的人員招聘、錄用、使用、晉職、解聘政策，能夠充分調動員工的積極 性，注重提高員工業(yè)務素質和政治素質。有明確的員工培訓計劃，使員工有較強的敬業(yè)精神和 職業(yè)道德，在良好的氛圍中充分發(fā)揮主觀能動性，努力工作?？茖W的人事政策能合理利用人力 資源，在降低人力資源成本的同時提高工作效率。5 5外部環(huán)境 現(xiàn)代公司是一個開放的系統(tǒng)，會受到外界有關部門和各項因素的干擾和影響。其中，有關 部門主要是指如政府部門、中央銀行、社會監(jiān)督部門；各項因素是指國內外經(jīng)濟形勢、法律環(huán) 境、社會公眾要求、甚至自然災害等。這些部門和因素對公司內部

7、控制制度的制定、執(zhí)行都會 產(chǎn)生影響。如為了降低公司的經(jīng)營風險，國家規(guī)定必須進行分業(yè)經(jīng)營，所有與存放款等傳統(tǒng)銀 行業(yè)務無關的業(yè)務都不能經(jīng)辦，則公司內部控制的外延就比可以進行多種經(jīng)營時要小得多。（二）風險識別與評估 為達到一定的經(jīng)營目標而識別和分析風險，是風險管理決策的基礎。風險評估時，評估人 員要重視設立目標、 分析風險和管理變化等方面的管理程序。 風險評估包括對風險點進行選擇、 識別、分析和評估的全過程。一是列出重要風險要素和風險控制點。公司首先要清楚在其經(jīng)營 管理過程中會出現(xiàn)的風險，風險要素和風險點的羅列要細致、全面，既要考慮內部風險，又要 考慮外部因素引起的風險；既要考慮靜態(tài)風險，又要考慮

8、動態(tài)風險；既要考慮操作風險，又要 考慮體制和政策風險。二是對風險進行分析和評估。要事先對風險點進行評估，識別風險產(chǎn)生 的原因及表現(xiàn)形式；識別每一重要業(yè)務活動目標所面臨的風險；估計風險的概率、頻率、重要 性、可能性；風險所造成的危害。其目的是能夠在業(yè)務開展前，測定出風險指標，并能夠在業(yè) 務發(fā)生后對風險進行跟蹤監(jiān)測。（三）內部控制措施內部控制措施就是確保管理方針得以實現(xiàn)的一系列制度、程序和措施。包括高層檢查、直 接管理、信息加工、實物控制、工作指標和職責分離等。管理人員要為每一重大活動設立目標， 并針對與這些目標相關的風險，列出所要采取的活動和措施，如完善制度、加強相互制約、健 全獎懲機制、加強員

9、工培訓等。內部控制措施要與風險評估過程聯(lián)系起來，要恰當實際，要針 對每一項重要業(yè)務活動，要保證管理指令的執(zhí)行。（四） 信息交流與反饋要使控制活動和措施有力地開展下去，一個公司必須及時獲取內外部信息，包括反映經(jīng)營 管理狀況、法律法規(guī)執(zhí)行情況、財務報表資料等內部信息，以及其他外部信息，并使這些信息 充分交流，如內部部門之間、總行與分支行之間、分支行之間的相互交流，銀行與客戶、政府 部門、中央銀行之間的交流等。通過信息的獲取和交流，來完善和實現(xiàn)自身的目標，采取必要 的控制活動和措施，及時解決存在的問題。如通過分支行之間、與中央銀行之間的信息交流， 獲取主要客戶在本系統(tǒng)其他分支行及其他銀行的貸款和授信

10、情況，以便本行確定適當?shù)氖谛蓬~度和測定信用風險。（五） 監(jiān)督評價與糾正為了保證內部控制的有效性、充分性和可行性，必須考慮對內部控制制度進行持續(xù)性評價 和單項制度的分別評價。主要內容包括：組織體系是否健全，決策系統(tǒng)、執(zhí)行系統(tǒng)、監(jiān)督系統(tǒng) 和支持保障系統(tǒng)作用發(fā)揮如何；領導層對內部控制的認識如何；是否有相應的管理制度和操作 規(guī)程，這些制度和規(guī)程是否完善；是否具有明確的崗位責任制；授權、分工協(xié)作和相互制約機 制是否健全；指標制定是否合理、完成情況如何，是否具有完善的獎懲機制；員工對制度精神 是否充分理解，執(zhí)行情況如何；崗位輪換和員工培訓情況如何； 計算機、人事管理、信息管理、 安全保衛(wèi)等支持保障系統(tǒng)是否

11、有效；內部稽核體系是否健全，獨立性和權威性如何，稽核力度 和覆蓋面是否足夠等。第二節(jié)內部控制測評的程序和方法對內部控制測評的過程也就是對控制風險進行評估的過程。需要注意的是，與固有風險 評估一樣，控制風險的評估需要大量運用審計人員的專業(yè)判斷。在對固有風險和控制風險進 行評估以后，審計人員就可確定檢查風險，從而決定進行實質性測試的工作量。內部控制測 評包括初步了解內部控制、確定審計策略，執(zhí)行內部控制測試、評估控制風險兩部分。本章 第三節(jié)將介紹內部控制要素、會計系統(tǒng)、主要業(yè)務系統(tǒng)、計算機系統(tǒng)以及內部控制監(jiān)督與風 險評價等一般性內部控制系統(tǒng)的測評，第四章至第十二章將詳細介紹各業(yè)務系統(tǒng)的內部控制 測評

12、，以更好地與各業(yè)務系統(tǒng)的實質性測試相銜接。一、初步了解內部控制，確定審計策略（一）調查和了解內部控制本指南采用調查表的方法進行。審計人員可以通過調查和了解，辨別出公司的具體控制環(huán) 節(jié)和控制程序。審計人員沒有必要對每項控制都進行深入分析，應關注那些可能對控制目標的 實現(xiàn)有重大影響的控制環(huán)節(jié)，即關鍵控制點。（二）確定審計策略 在調查的基礎上，審計人員應確定審計策略，確定是否依賴被審計銀行相關內部控制進 行審計。如果出現(xiàn)以下兩種情況之一，審計人員不得采取依賴內部控制審計策略：（1 1）相關內部控制不健全，存在重大風險失控點。（2 2）內部控制測試的工作量可能大于進行內部控制測試所減少的實質性測試的工

13、作量。 二、執(zhí)行內部控制測試，評估控制風險審計人員根據(jù)內部控制調查結果，在采取依賴相關內部控制審計策略的情況下，對擬信賴 的內部控制采取適當和有效的方法進行測試，評價內部控制風險和獲取內部控制保證程度。審計人員對第一次審計的公司和連續(xù)審計的公司本期發(fā)生變化的內部控制環(huán)節(jié)， 應按以下 提供的程序和方法實施測試和評價。審計人員對連續(xù)審計公司的內部控制測試和評價，可以參 考上期審計成果，或采取按年輪流測試辦法。（一）制定內部控制測試計劃1 1確定測試對象。2 2明確證據(jù)要求。3 3確定測試范圍。4 4明確可接受的控制風險或要求達到的控制保證程度。（二）采取適當?shù)膬炔靠刂茰y試方法 1 1詢問并檢查相關

14、的內部控制管理報告。即采用相互印證式的詢問，查明相關內部控制 是否存在和有效運行，然后再根據(jù)詢問的結果檢查有關內部控制管理報告，獲取內部控制有效 運行的證據(jù)。這是在控制風險較低時比較常用的測試程序。2 2詢問并實地觀察未留下審計軌跡的內部控制運行情況。在這種情況下，審計人員可通 過詢問并實地觀察，以判斷相關內部控制規(guī)定是否得到遵守。3 3詢問并檢查交易和業(yè)務憑證等書面文檔。即根據(jù)詢問的情況、檢查交易和事項的有關憑證，以獲取內部控制有效運行的證據(jù)4 4重新實施相關內部控制程序（即重做） 。 在實際測試工作中，應根據(jù)實際情況靈活采用各種測試方法。在上述四種方法中，以相互 印證式的詢問為首選，通過詢

15、問法和輔以觀察、審查書面文檔和重做的方法，可以有效地獲取 審計所需證據(jù)，節(jié)約審計資源。具體運用中，對于通過詢問不同的人員，同樣的問題能夠得到 相互印證的，則不再擴大測試；對于同一問題出現(xiàn)相互矛盾的回答時，再輔以其他測試方法。在測試過程中，需要抽取一定的樣本，以驗證相關內部控制是否有效。抽樣時可以使用統(tǒng) 計抽樣的方法，也可以根據(jù)審計人員專業(yè)判斷使用非統(tǒng)計抽樣方法。本指南建議在內部控制測 試過程中使用非統(tǒng)計抽樣技術。（三）獲取內部控制測試證據(jù) 測試中，應獲得如下審計證據(jù)，來證明控制活動和措施是否有效： 1 1內部控制如預期那樣運轉。2 2內部控制在所審計期間一貫地、及時地發(fā)揮作用。3 3內部控制涵

16、蓋所有交易。 4 4內部控制能發(fā)現(xiàn)和修正錯誤。（四）記錄內部控制測試結果 實施內部控制測試后，應記錄如下內容： 1 1測試的對象，包括測試的控制系統(tǒng)或業(yè)務循環(huán)、控制目標、控制活動和措施。 2 2采取的測試程序和方法，包括檢查的文件、程序、調查的人員。 3 3測試結果，包括評定控制風險、指出失控的環(huán)節(jié)及對風險的影響。4 4測試結論，包括是否信賴相關內部控制，下一步準備采取的審計策略，是否測試補償 控制，是否修改審計方案。5 5審計建議、測試時間、測試人。6 6測試過程中，審計人員通過詢問有關當事人發(fā)現(xiàn)內部控制在執(zhí)行中存在任何例外（如 越權）、非正常項目（如未按正?？刂瞥绦驅徟捻椖浚┖拖嚓P制度的

17、任何修改（如審批權限 發(fā)生變化），均應作相應記錄和檢查。（五）評價控制風險內部控制的風險評價可分為高、 較高、中、低三個層次。風險低的標志是： 內部控制健全、 合理，且在測試檢查有關業(yè)務活動時， 未發(fā)現(xiàn)任何差錯或僅發(fā)現(xiàn)極少的差錯。 風險中的標志是： 內部控制比較健全、合理，還存在一定缺陷，且在測試檢查有關業(yè)務活動時，發(fā)現(xiàn)有一定程度 的差錯。風險較高的標志是：內部控制設計不夠完善或雖然設計了良好的內部控制，但實際運 行中差錯發(fā)生率較高。風險高的標志是：內部控制設計不完善或雖然設計了良好的內部控制， 但實際運行中差錯發(fā)生率很高。在評價控制風險時需要考慮的因素有：1 1失控的性質和原因。例如，某種失

18、控是孤立的還是與其他控制相關、失控的程度如何 等。2 2補償控制的可能性。在評價中，一些關鍵控制本應在較低層次建立和執(zhí)行，但卻沒有 得到執(zhí)行，要注意在較高層次是否存在補償控制。例如，檢查大額支付款項的授權情況，在業(yè) 務處理過程中沒有授權，但上一級管理層對此有嚴格的審核制度和手續(xù)，則證明有補償控制。評價控制風險的結果，可以利用風險基礎審計策略模型，轉換為內部控制保證程度系數(shù)， 為實質性測試實施統(tǒng)計抽樣服務，調整或確認進一步實質性測試的程序、范圍和重點：1 1審計人員采用非統(tǒng)計抽樣技術實施審計時，可以利用已知的可接受審計風險、公司固 有風險和公司內部控制風險的高低， 調整或確認審計方案中規(guī)劃的實質

19、性測試可接受檢查風險 水平，明確實質性測試的程序、范圍和方法。2 2審計人員采用貨幣單位抽樣等統(tǒng)計抽樣技術實施審計時，可以利用已知的總體審計保 證程度系數(shù)、公司固有保證程度系數(shù)和公司內部控制保證程度系數(shù)，調整或確認審計計劃中規(guī) 劃的實質性測試應達到的檢查保證程度系數(shù)，明確實質性測試的程序、范圍和方法，并幫助審 計人員測算出理論抽樣規(guī)模。第三節(jié) 公司一般性內部控制測評公司一般性內部控制的測評內容包括內部控制要素、會計系統(tǒng)、業(yè)務系統(tǒng)、計算機系統(tǒng)、 內部控制的監(jiān)督與風險評價五個方面的內部控制建設及其運行情況的測試評價。 本節(jié)只對一般 性內部控制進行調查和測試，并結合以后各章業(yè)務循環(huán)的內部控制測評結果

20、來確定審計策略。一、內部控制要素的測評對公司內部控制要素的調查測試表如下：索引號:（審計機關名稱）審計工作底稿內部控制要素調查測試表（審計期間）被審計公司：執(zhí)行情況控制活動是 否好般差（一）內部控制環(huán)境1.1.公司的董事會是否履行以下職責：負責審批公司的總 體經(jīng)營戰(zhàn)略和重大政策，確定公司可以接受的風險水平，批 準各項業(yè)務的政策、制度和程序，任命高級管理層，對內部 控制的有效性進行監(jiān)督；就內部控制的有效性定期與管理層 進行討論，及時審查管理層、審計機構和監(jiān)管部門提供的內 部控制評估報告，督促管理層落實整改措施？2.2.公司的高級管理層是否履行以下職責： 負責執(zhí)行董事 會批準的各項戰(zhàn)略、政策、制度

21、和程序，負責建立授權和責 任明確、報告關系清晰的組織結構，建立識別、計量和管理 風險的程序，并建立和實施健全、有效的內部控制，采取措施糾正內部控制存在的冋題？3.3.公司的監(jiān)事會是否履行以下職責： 在實施財務監(jiān)督的 同時，負責對公司遵守法律規(guī)定的情況以及董事會、管理層 履行職責的情況進行監(jiān)督，要求董事會、管理層糾正損害銀 行利益的行為？4.4.公司是否建立科學、有效的激勵約束機制，培育良好 的企業(yè)精神和內部控制文化，從而創(chuàng)造全體員工均充分了解且能履行職責的環(huán)境？（二）風險識別與評估1 1.公司是否設立有履行風險管理職能的專門部門，是否制定并實施識別、計量、監(jiān)測和管理風險的制度、程序和方執(zhí)行情況

22、控制活動是 否好般差法，以確保風險管理和經(jīng)營目標的實現(xiàn)？2 2.公司是否有建立涵蓋各項業(yè)務、全行范圍的風險管理 系統(tǒng)，是否開發(fā)和運用風險量化評估的方法和模型，對信用 風險、市場風險、流動性風險、操作風險等各類風險進行持 續(xù)的監(jiān)控？3 3公司是否對各項業(yè)務制定全面、系統(tǒng)、成文的政策、 制度和程序，是否在全行范圍內保持統(tǒng)一的業(yè)務標準和操作 要求，避免因管理層的變更而影響其連續(xù)性和穩(wěn)定性？4.4. 公司是否在設立新的機構或開辦新的業(yè)務時，事先制定有關的政策、制度和程序，對潛在的風險進行計量和評估， 并提出風險防范措施？5.5. 公司是否建立有內部控制的評價制度， 對內部控制的 制度建設、執(zhí)行情況定期

23、進行回顧和檢討，是否根據(jù)國家法 律規(guī)定、銀行組織結構、經(jīng)營狀況、市場環(huán)境的變化進行修 訂和完善？（三）內部控制措施1.1.公司是否明確劃分相關部門之間、 崗位之間、上下級 機構之間的職責，是否建立職責分離、橫向與縱向相互監(jiān)督 制約的機制，涉及資產(chǎn)、負債、財務和人員等重要事項變動 均不得由一個人獨自決定？2.2. 公司是否根據(jù)不同的工作崗位及其性質， 賦予其相應 的職責和權限，各個岡位是否有正式、成文的岡位職責說明 和清晰的報告關系？3.3. 公司是否對關鍵崗位實行定期或不定期的人員輪換和 強制休假制度？4 4.公司是否根據(jù)各分支機構和業(yè)務部門的經(jīng)營管理水 平、風險管理能力、地區(qū)經(jīng)濟環(huán)境和業(yè)務發(fā)

24、展需要，建立相執(zhí)行情況控制活動是 否好般差應的授權體系，實行統(tǒng)一法人管理和法人授權？是否授權適 當、明確，并米取書面形式？5 5.公司是否利用計算機程序監(jiān)控等現(xiàn)代化手段，鎖定分 支機構的業(yè)務權限，對分支機構實施有效的管理和控制？下 級機構是否嚴格執(zhí)行上級機構的決策，在自身職責和權限范 圍內開展工作？6 6公司是否建立有效的核對、監(jiān)控制度，對各種賬證、 報表疋期進仃核對，對現(xiàn)金、有價證券等有形資產(chǎn)及時進仃 盤點，對柜臺辦理的業(yè)務實行復核或事后監(jiān)督把關，對重要 業(yè)務實行雙簽有效的制度，對授權、授信的執(zhí)行情況進行監(jiān) 控？7.7.公司是否按照規(guī)定進行會計核算和業(yè)務記錄，建立完 整的會計、統(tǒng)計和業(yè)務檔案

25、，妥善保管，確保原始記錄、合 同契約和各種報表資料的真實、完整？8.8.公司是否建立有效的應急制度，在各個重要部位、營 業(yè)網(wǎng)點等發(fā)生供電中斷、火災、搶劫等緊急情況時，應急措 施是否及時、有效，以確保各類數(shù)據(jù)信息的安全和完整？9.9.公司是否設立獨立的法律事務部門或崗位， 統(tǒng)一管理 各類授權、授信的法律事務，制定和審查法律文本，對新業(yè) 務的推出進行法律論證，確保每筆業(yè)務的合法和有效，維護 銀行的合法權益？10.10. 公司是否實現(xiàn)業(yè)務操作和管理的電子化，促進各項 業(yè)務的電子數(shù)據(jù)處理系統(tǒng)的整合，做到業(yè)務數(shù)據(jù)的集中處 理？1111 公司是否實現(xiàn)經(jīng)營管理的信息化，建立貫穿各級機 構、覆蓋各個業(yè)務領域的

26、數(shù)據(jù)庫和管理信息系統(tǒng)， 做到及時、 準確提供經(jīng)營管理所需要的各種數(shù)據(jù)，并及時、真實、準確、會計系統(tǒng)內部控制的測評公司建立會計控制系統(tǒng)應遵循的基本原則是規(guī)范化原則、授權分責原則、監(jiān)督制約原則、 財務核對原則、安全謹慎原則。執(zhí)行情況控制活動是 否好般差地向中國人民銀行報送監(jiān)管報表資料和對外披露信息？（四）信息交流與反饋公司應當建立有效的信息交流和反饋機制，確保重事會、 監(jiān)事會、高級管理層及時了解本行的經(jīng)營和風險狀況，確保 每一項信息均能夠傳遞給相關的員工，各個部門和員工的有 關信息均能夠順暢反饋？（五）監(jiān)督評價與糾正1 1 公司的業(yè)務部門是否對各項業(yè)務的經(jīng)營狀況和例外情 況進行經(jīng)常性檢查，及時發(fā)現(xiàn)

27、內部控制存在的問題，并迅速 予以糾正？2.2. 公司的內部審計部門是否有權獲得公司的所有經(jīng)營信 息和管理信息，并對各個部門、崗位和各項業(yè)務實施全面的 監(jiān)控和評價？3.3. 公司的內部審計是否具有充分的獨立性， 實行全行系 統(tǒng)的垂直管理？下級機構內部審計負責人的聘任和解聘是否 經(jīng)上級機構內部審計部門同意，總行內部審計負責人的聘任和解聘是否經(jīng)董事會或監(jiān)事會同意？4.4.公司是否配備充足的、業(yè)務素質高、工作能力強的內 部審計人員，并建立專業(yè)培訓制度，母人母年確保 疋的離 崗或脫產(chǎn)培訓時間？內部審計力量不足的，是否將審計任務 委托社會中介機構進行？5.5. 公司是否建立有效的內部控制報告和糾正機制，業(yè)

28、務部門、內部審計部門和其他人員發(fā)現(xiàn)的內部控制的問題，是否均有暢通的報告渠道和有效的糾正措施？審計人員:審計日期：復核人員:復核日期:會計系統(tǒng)測評包括會計核算、結算管理、現(xiàn)金管理、財務管理諸方面的檢查評價。在進行 檢查評價時，要以上述原則為基礎，測評要點為：一是測評其設立崗位、制定操作程序以及建立會計檔案保管和密押、業(yè)務用章、重要空白 憑證保管、領用、登記、銷廢等會計管理制度的健全完善和執(zhí)行情況如何。二是測評會計業(yè)務是否真實、有效。三是測評會計報表及相關說明是否真實反映其業(yè)務狀況和經(jīng)營成果。公司會計系統(tǒng)內部控制的重點是：實行會計工作的統(tǒng)一管理，嚴格執(zhí)行會計制度和會計操 作規(guī)程，運用計算機技術實施

29、會計內部控制，確保會計信息的真實、完整和合法，嚴禁設置賬 外賬，嚴禁亂用會計科目，嚴禁編制和報送虛假會計信息。對公司會計系統(tǒng)內部控制的調查測試表如下：索引號:（審計機關名稱）審計工作底稿 會計系統(tǒng)內部控制調查測試表（審計期間）被審計公司:執(zhí)行情況控制活動是 否好般 差1 1 公司是否依據(jù)企業(yè)會計準則和國家統(tǒng)一的會計制度， 制訂并實施本行的會計規(guī)范和管理制度？下級機構是否嚴格 執(zhí)行上級機構制定的會計規(guī)范和管理制度，確保統(tǒng)一的會計 規(guī)范和管理制度在本行得到實施？2.2. 公司是否確保會計工作的獨立性， 確保會計部門和會 計人員能夠依據(jù)國家統(tǒng)一的會計制度和本行的會計規(guī)范獨立 地辦理會計業(yè)務？3.3.

30、 公司會計崗位設置是否實行責任分離、 相互制約的原 貝嚴禁一人兼任非相容的崗位或獨自完成會計全過程的業(yè)務操作？4.4.公司是否明確會計部門、會計人員的權限，各級會計 部門、會計人員是否在各自的權限內行事，凡超越權限的， 須經(jīng)授權后，方可辦理？5.5. 公司是否對會計賬務處理的全過程實行監(jiān)督，會計賬 務是否做到賬賬、賬據(jù)、賬款、賬實、賬表和內外賬的六相 符？凡賬務核對不一致的，是否按照權限進行糾正或報上級 機構處理？6 6公司是否對會計主管、會計負責人實行從業(yè)資格管理， 建立會計人員檔案？會計主管、會計負責人和會計人員是否 具有與其岡位、職位相適應的專業(yè)資格或技能？7 7.公司下級機構會計主管的

31、變動是否經(jīng)上級機構會計部 門同意？會計人員調動工作或離職，是否與接管人員辦清交執(zhí)行情況控制活動是 否好般差接手續(xù)，嚴格執(zhí)行交接程序？8.8.公司是否對會計人員實行強制休假制度， 聯(lián)行、同城 票據(jù)交換、出納等重要會計崗位人員和會計主管是否定期輪 換，逐步推行離崗（任）審計制度？9.9. 公司是否實行會計差錯責任人追究制度，發(fā)生重大會 計差錯、舞弊或案件，除對直接責任人員追究責任外，機構 負責人和分管會計的負責人是否也承擔相應的責任？10.10.公司是否做到會計記錄、賬務處理的合法、真實、 完整和準確？11.11.公司是否建立規(guī)范的信息披露制度，按照規(guī)定及時、 真實、完整地披露會計、財務信息？12

32、.12.公司是否完善會計檔案管理，嚴格執(zhí)行會計檔案查 閱手續(xù)，防止會計檔案被替換、更改、毀損、散失和泄密？審計人員：審計日期：復核人員：復核日期：三、業(yè)務系統(tǒng)內部控制的測評業(yè)務系統(tǒng)的內部控制主要包括授信業(yè)務、資金業(yè)務、存款及柜臺業(yè)務、中間業(yè)務的內部控 制。下面主要介紹授信業(yè)務和資金業(yè)務的內部控制測評，對存款及柜臺業(yè)務、中間業(yè)務的內部 控制測評將在后面各章中介紹。業(yè)務系統(tǒng)測評要點為：一是測試評價業(yè)務管理、監(jiān)督辦法與處理規(guī)程的一致性、規(guī)范性，如看授信管理是否制定 授信管理辦法及操作規(guī)程，并按有關規(guī)程執(zhí)行業(yè)務；有關風險識別與監(jiān)測體系是否健全有效等。二是測試評價業(yè)務控制程序是否明確、相互制衡，如看是否

33、形成了相關崗位職責由不同人 員擔任的規(guī)章制度（審貸分離制度、“印、押、證”三分管制度等）。三是測試評價業(yè)務經(jīng)營指標的完成情況。公司授信業(yè)務內部控制的重點是：實行統(tǒng)一授信管理，健全客戶信用風險識別與監(jiān)測體系, 完善授信決策與審批機制，防止對單一客戶、關聯(lián)企業(yè)客戶和集團客戶風險的高度集中，防止 違反信貸原則發(fā)放關系人貸款和人情貸款，防止信貸資金違規(guī)投向高風險領域和用于違法活動。公司資金業(yè)務內部控制的重點是：對資金業(yè)務對象和產(chǎn)品實行統(tǒng)一授信，實行嚴格的前后 臺職責分離，建立中臺風險監(jiān)控和管理制度，防止資金交易員從事越權交易，防止欺詐行為， 防止因違規(guī)操作和風險識別不足導致的重大損失。對公司業(yè)務系統(tǒng)內

34、部控制的調查測試表如下：表3 3- 3 3索引號：（審計機關名稱）審計工作底稿業(yè)務系統(tǒng)內部控制調查測試表（審計期間）被審計公司:執(zhí)行情況控制活動是 否好般差（一）授信業(yè)務的內部控制1 1 公司是否設立獨立的授信風險管理部門，對不同幣種、 不同客戶對象、不同種類的授信進行統(tǒng)一管理，避免信用失 控？2.2.公司授信崗位設置是否做到分工合理、 職責明確，崗 位之間是否相互配合、相互制約，做到審貸分離、業(yè)務經(jīng)辦與會計賬務處理分離？3.3. 公司是否建立有效的授信決策機制， 包括設立審貸委 員會，負責審批權限內的授信？行長不得擔任審貸委員會的 成員？審貸委員會審議表決是否遵循集體審議、明確發(fā)表意 見、多

35、數(shù)同意通過的原則，全部意見是否記錄存檔？被審貸委員會兩次否決的貸款申請半年內不得提交審貸委員會審 議？4.4. 公司是否建立嚴格的授信風險垂直管理體制，下級機構是否服從上級機構風險管理部門的管理，嚴格執(zhí)行各項授 信風險管理政策和制度？5.5. 公司是否對授信實行統(tǒng)一的法人授權制度， 上級機構執(zhí)行情況控制活動是 否好般差是否根據(jù)下級機構的風險管理水平、資產(chǎn)質量、所處地區(qū)經(jīng) 濟環(huán)境等因素，合理確定授信審批權限？6 6公司是否根據(jù)風險大小，對不同種類、期限、擔保條 件的授信確定不同的審批權限，審批權限是否逐步采用量化 風險指標？7.7.公司各級機構是否明確規(guī)定授信審查人、 審批人之間 的權限和工作程

36、序，嚴格按照權限和程序審查、審批業(yè)務， 不得故意繞開審查、審批人？8.8.公司是否防止授信風險的過度集中，通過實行授信組 合管理，制定在不同期限、不同行業(yè)、不同地區(qū)的授信分散 化目標，及時監(jiān)測和控制授信組合風險，確保總體授信風險控制在合理的范圍內？9.9.公司是否對同一客戶的貸款、貿易融資、票據(jù)承兌和 貼現(xiàn)、透支、保理、擔保、貸款承諾、開立信用證等各類表 內外授信實行一攬子管理，確定總體授信額度？10.10. 公司是否以風險量化評估方法和模型為基礎，開發(fā) 和運用統(tǒng)一的客戶信用評級體系，作為授信客戶選擇和項目 審批的依據(jù)，并為客戶信用風險識別、監(jiān)測以及制定差別化 的授信政策提供基礎？1111 公

37、司是否對集團客戶實行統(tǒng)一授信管理，將同一集 團內各個企業(yè)的授信納入統(tǒng)一的授信額度內，核定集團總的 授信額度，防止借款人通過多頭開戶、多頭貸款、多頭互保 套取銀行資金，防止對關聯(lián)企業(yè)授信的失控？1212.公司是否建立統(tǒng)一的授信操作規(guī)范， 規(guī)定貸前調查、 貸時審查、貸后檢查各個環(huán)節(jié)的工作標準和操作要求：(1 1)貸前調查是否做到實地查看，如實報告授信調查掌 握的情況，不回避風險點，不因任何人的主觀意志而改變調執(zhí)行情況控制活動是 否好般差查結論；（2 2） 貸時審查是否做到獨立審貸，客觀公正，充分、準 確地揭示業(yè)務風險，提出降低風險的對策；（3 3） 貸后檢查是否做到實地查看，如實記錄，及時將檢 查

38、中發(fā)現(xiàn)的問題報告有關人員，不得隱瞞或掩飾問題？（4 4） 公司是否制定統(tǒng)一的各類授信品種的管理辦法， 明 確規(guī)定各項業(yè)務的辦理條件，包括選項標準、期限、利率、 收費、擔保、審批權限、申報資料、貸后管理、內部處理程序等具體內容？（5 5） 公司在批準各類授信時，是否逐筆載明辦理業(yè)務的 各項條件，經(jīng)辦部門只能在符合條件的前提下辦理業(yè)務？13.13.公司是否對借款人實施獨立的盡職調查，嚴格執(zhí)行 授信審批程序，防止逆程序操作和放寬授信標準，防止發(fā)放 任何形式的外部仃政干預貸款和人情貸款？14.14.公司是否嚴格按照信貸原則審查對關系人的授信， 確保對關系人的授信條件不得優(yōu)于其他借款人同類授信的條 件？

39、在對關系人的授信調查和審批過程中，公司內部相關人 員是否回避？15.15.公司是否嚴格審查和監(jiān)控借款用途，防止借款人通 過貸款、貼現(xiàn)、辦理銀行承兌匯票等方式套取信貸資金，改 變借款用途？16.16.公司是否嚴格審查借款人資格合法性、融資背景以 及申請材料的真實性和借款合同的完備性，防止借款人通過 編造虛假理由、使用虛假經(jīng)濟合同或虛假證明文件等方式， 從事金融詐騙活動？17.17.公司是否建立資產(chǎn)質量監(jiān)測報告體系，嚴密監(jiān)測資 產(chǎn)質量的變化，分析不良資產(chǎn)形成的原因，及時制定防范和執(zhí)行情況控制活動是 否好般差化解風險的對策？18.18. 公司是否建立貸款風險分類制度，規(guī)范貸款質量的 認定標準和程序，

40、嚴禁掩蓋不良貸款的真實狀況，確保貸款 質量的真實性？19.19.公司是否建立授信風險責任制，明確規(guī)定各個部門、 崗位的風險責任？(1) 調查人員是否承擔調查失誤和評估失準的責任；(2) 審查和審批人員是否承擔審查、審批失誤的責任， 并對本人簽署的意見負責；(3)貸后管理人員是否承擔檢查失誤、清收不力的責任；(4) 放款操作人員是否對操作性風險負責；(5) 高級管理層是否對重大貸款損失承擔相應的責任。20.20. 公司是否對違法、違規(guī)造成的授信風險和損失逐筆 進行責任認定，并按規(guī)定對有關責任人進行處理？2121 公司是否建立完善的授信管理信息系統(tǒng)，對授信全 過程進行持續(xù)監(jiān)控，并確保提供真實的授信

41、經(jīng)營狀況和資產(chǎn) 質量狀況信息，對授信風險與收益情況進行綜合評價？2222.公司是否建立完善的客戶管理信息系統(tǒng)，全面和集 中掌握客戶的資信水平、經(jīng)營財務狀況、償債能力等信息， 對客戶進行分類管理，對已列入“黑名單”、有逃廢債等行 為的資信不良的借款人實施授信禁入？(二)資金業(yè)務的內部控制1.1. 公司資金業(yè)務的組織結構是否體現(xiàn)權限等級和職責分 離的原則，做到前臺交易與后臺結算分離、自營業(yè)務與代客 業(yè)務分離、業(yè)務操作與風險監(jiān)控分離，建立崗位之間的監(jiān)督 制約機制？2.2. 公司是否根據(jù)分支機構的經(jīng)營管理水平， 核定各個分執(zhí)行情況控制活動是 否好般差支機構的資金業(yè)務經(jīng)營權限？對分支機構的資金業(yè)務是否疋

42、 期進行檢查，對異常資金交易和資金變動是否建立有效的預 警和處理機制？未經(jīng)上級機構批準，下級機構不得開展任何 未設權限的資金交易？3 3.公司是否完善資金營運的內部控制， 資金的調出、調 入是否有真實的業(yè)務背景，嚴格按照授權進行操作，并及時 劃撥資金，登記臺賬？4 4 公司是否根據(jù)授信原則和資金交易對手的財務狀況， 確定父易對手、投資對象的授信額度和期限，并根據(jù)父易產(chǎn) 品的特點對授信額度進行動態(tài)監(jiān)控，確保所有交易控制在授 信額度范圍之內？5 5.公司是否充分了解所從事資金業(yè)務的性質、風險、相關的法規(guī)和慣例，明確規(guī)定允許交易的業(yè)務品種，確定資金 業(yè)務單筆、累計最大交易限額以及相應承擔的單筆、累計

43、最 大交易損失限額和交易止損點？高級管理層是否充分認識金 融衍生產(chǎn)品的性質和風險，根據(jù)本行的風險承受水平，合理 確定金融衍生產(chǎn)品的風險限額和相關交易參數(shù)？6 6 公司是否建立完備的資金交易風險評估和控制系統(tǒng)， 制疋符合本行特點的風險控制政策、措施和疋量指標，開發(fā) 和運用量化的風險管理模型，對資金交易的收益與風險進行 適時、審慎評價，確保資金業(yè)務各項風險指標控制在規(guī)定的 范圍內？7 7.公司是否根據(jù)資金交易的風險程度和管理能力，就交易品種、交易金額和止損點等對資金交易員進行授權？資金 交易員上崗前是否取得相應資格？8 8 公司是否按照市場價格計算交易頭寸的市值和浮動盈 虧情況，對資金交易產(chǎn)品的市

44、場風險、頭寸市值變動進行實執(zhí)行情況控制活動是 否好般差時監(jiān)控？9.9. 公司是否建立資金交易風險和市值的內部報告制度？ 資金交易員是否向高級管理層如實匯報金融衍生產(chǎn)品中的或 有資產(chǎn)、隱含風險和對沖策略等交易細節(jié)？10.10.公司是否充分考慮到極端的市場價格變動、市場流 動性降低以及主要交易對手倒閉等問題，確定市場出現(xiàn)大幅 異常波動和可能出現(xiàn)最壞情況時的應對措施？1111 公司是否建立對資金交易員的適當?shù)募s束機制，對 資金交易員實施有效管理？資金交易員是否嚴格遵守交易員 行為準則，在職責權限、授信額度、各項交易限額和止損點 內以真實的市場價格進行交易，并嚴守交易信息秘密？12.12.公司是否建立

45、資金交易中臺和后臺部門對前臺交易 的反映和監(jiān)督機制？中臺監(jiān)控部門是否核對前臺交易的授權 交易限額、交易對手的授信額度和交易價格等，對超出授權 范圍內的交易是否及時向有關部門報告？后臺結算部門是否 獨立地進行交易結算和付款，并根據(jù)資金交易員的交易記錄， 在規(guī)定的時間內向交易對手逐筆確認交易事實？13.13.公司在辦理代客資金業(yè)務時，是否了解客戶從事資 金交易的權限和能力，向客戶充分揭示有關風險，獲取必要 的履約保證，明確在市場變化情況下客戶違約的處理辦法和 措施？14.14.公司資金業(yè)務新產(chǎn)品的開發(fā)和經(jīng)營是否經(jīng)過高級管 理層授權批準，在風險控制制度和操作規(guī)程完備、人員合格 和設備齊全的情況下，交

46、易部門才能全面開展新產(chǎn)品的交 易？15.15.公司是否建立資金業(yè)務的風險責任制，明確規(guī)定各 個部門、崗位的風險責任？執(zhí)行情況控制活動是 否好般差（1 1） 前臺資金交易員是否承擔越權交易和虛假交易的責 任，并對未執(zhí)行止損規(guī)定形成的損失負責；（2 2） 中臺監(jiān)控人員是否承擔對資金交易員越權交易報告 的責任，并對風險報告失準和監(jiān)控不力負責；（3 3） 后臺結算人員是否對結算的操作性風險負責；（4 4） 高級管理層是否對資金交易出現(xiàn)的重大損失承擔相 應的責任。審計人員：審計日期：復核人員：復核日期:四、計算機系統(tǒng)內部控制的測評隨著金融業(yè)務日趨多樣化，以計算機為中心的金融信息網(wǎng)絡系統(tǒng)在整個金融業(yè)的使用

47、越來 越廣泛，金融業(yè)對計算機系統(tǒng)的依賴程度與日俱增，計算機系統(tǒng)風險的控制顯得十分必要和緊 迫。對計算機系統(tǒng)的內部控制評價可依據(jù)該機構計算機系統(tǒng)應用程度來確定其評價內容，并設定計算機系統(tǒng)在整個內部控制評價系統(tǒng)中所占的權重。一般來說，計算機系統(tǒng)應用程度可分為 下列三種模式：第一種模式：所有業(yè)務完全應用計算機系統(tǒng)，徹底擺脫手工操作或者以手工操作為輔助手 段。第二種模式：部分業(yè)務應用計算機系統(tǒng)，尚未完全擺脫手工操作或者是處于手工操作與計 算機并運的狀況。第三種模式：計算機系統(tǒng)主要用于部分文檔操作，尚未深入到業(yè)務層次。在第一種模式中，計算機業(yè)務處理集中化程度最高、檢查評價內容要具體、細化、深入， 所占權

48、重相對最高；在第二種模式中，計算機業(yè)務處理集中化程度居中，檢查評價內容要比較 具體、細化，所占權重相對較高；在第三種模式中，計算機涉及業(yè)務處理內容最少，檢查評價 內容不必面面俱到，可重點檢查評價一些相關環(huán)節(jié)，所占權重相對較低。在我國現(xiàn)階段，公司 的計算機系統(tǒng)基本上已經(jīng)達到或接近第一種模式，因此對計算機系統(tǒng)的內部控制進行審計與評價就顯得尤為重要。對計算機系統(tǒng)的評價要點為:一是檢查評價控制制度的健全性。二是檢查評價軟件系統(tǒng)的安全性、完善性及維護情況。三是檢查評價硬件配置管理、運行環(huán)境的可靠性。四是檢查評價應用操作人員的職務分離性。公司計算機信息系統(tǒng)內部控制的重點是：嚴格劃分計算機信息系統(tǒng)開發(fā)部門、

49、管理部門與 應用部門的職責，建立和健全計算機信息系統(tǒng)風險防范的制度，確保計算機信息系統(tǒng)設備、數(shù) 據(jù)、系統(tǒng)運行和系統(tǒng)環(huán)境的安全。對公司計算機系統(tǒng)內部控制的調查測試表如下： 表3 3 4 4索引號：（審計機關名稱）審計工作底稿計算機系統(tǒng)內部控制調查測試表（審計期間）被審計公司:執(zhí)行情況控制活動是 否好般差1.1.公司是否明確計算機信息系統(tǒng)開發(fā)人員、管理人員與 操作人員的崗位職責，做到崗位之間的相互制約，各崗位之 間不得相互兼任？2.2.各級機構是否配備計算機安全管理人員， 明確計算機 安全管理人員的職責？3.3. 公司是否對計算機信息系統(tǒng)的項目立項、開發(fā)、驗收、 運行和維護整個過程實施有效管理，開發(fā)環(huán)境是否與生產(chǎn)環(huán) 境嚴格分離？3.3.技術部門與業(yè)務部門之間是否進行溝通協(xié)調， 確保系 統(tǒng)的整體安全？4.4.公司購買計算機軟、硬件設備，是否對供應商的資格 條件進行嚴格審查，在使用前進行試用性安全測試，明確產(chǎn) 品供應商對產(chǎn)品在使用期間承擔的責任，確保產(chǎn)品的正常使執(zhí)行情況控制活動是 否好般差用和有效維護？5.5. 公司計算機機房建設是否符合國家的有關標準，出入計算機機房是否有嚴格的審批程序和出入記錄，確保計算機 硬件、各種存儲介質的物理安全？計算機機房和營業(yè)網(wǎng)點是 否有完備