宁波银行内部审计手册
内部审计操作手册
内部审计操作手册第一章:内部审计概述 (2)1.1 内部审计的定义与作用 (2)1.1.1 内部审计的定义 (2)1.1.2 内部审计的作用 (2)1.2 内部审计的发展历程 (3)1.2.1 起源阶段 (3)1.2.2 发展阶段 (3)1.2.3 成熟阶段 (3)1.2.4 创新阶段 (3)第二章:内部审计理论基础 (3)2.1 内部审计的基本原则 (3)2.2 内部审计的目标与范围 (4)2.3 内部审计的方法论 (4)第三章:内部审计组织结构 (5)3.1 内部审计部门的设立与职责 (5)3.1.1 内部审计部门的设立 (5)3.1.2 内部审计部门的职责 (5)3.2 内部审计人员的素质要求 (6)3.2.1 专业知识 (6)3.2.2 个人品质 (6)3.3 内部审计人员的培训与发展 (6)3.3.1 培训内容 (6)3.3.2 培训形式 (6)3.3.3 发展规划 (6)第四章:内部审计作业流程 (7)4.1 内部审计计划与准备 (7)4.2 内部审计实施与记录 (7)4.3 内部审计报告与反馈 (8)第五章:内部审计技术与方法 (8)5.1 文件审查与实地调查 (8)5.2 分析性程序与内部控制测试 (8)5.3 抽样审计与非抽样审计 (9)第六章:企业业务循环内部审计 (9)6.1 销售与收款循环审计 (9)6.2 采购与付款循环审计 (10)6.3 生产与存货循环审计 (10)第七章:建设项目内部审计 (11)7.1 建设项目审计的目标与内容 (11)7.1.1 建设项目审计的目标 (11)7.1.2 建设项目审计的内容 (11)7.2 建设项目审计的程序与方法 (11)7.2.1 建设项目审计的程序 (11)7.2.2 建设项目审计的方法 (12)7.3 建设项目审计的案例分析 (12)第八章:合规性审计 (13)8.1 合规性审计的概念与范围 (13)8.2 合规性审计的程序与方法 (13)8.3 合规性审计的案例分析 (14)第九章:保证性审计 (14)9.1 保证性审计的定义与目标 (15)9.1.1 保证性审计的定义 (15)9.1.2 保证性审计的目标 (15)9.2 保证性审计的程序与方法 (15)9.2.1 保证性审计的程序 (15)9.2.2 保证性审计的方法 (15)9.3 保证性审计的案例分析 (16)第十章:绩效达标/提高审计 (16)10.1 绩效达标/提高审计的概述 (16)10.2 绩效达标/提高审计的程序与方法 (17)10.2.1 审计程序 (17)10.2.2 审计方法 (17)10.3 绩效达标/提高审计的案例分析 (17)第十一章:内部审计管理 (18)11.1 内部审计质量控制 (18)11.2 内部审计风险与应对 (19)11.3 内部审计绩效评价与改进 (19)第十二章:内部审计与外部审计的协同 (19)12.1 内部审计与外部审计的关系 (20)12.2 内部审计与外部审计的协同流程 (20)12.3 内部审计与外部审计的案例分析 (20)第一章:内部审计概述1.1 内部审计的定义与作用1.1.1 内部审计的定义内部审计是一种独立、客观的确认和咨询活动,旨在增加组织的价值和改善其运营。
宁波银行细节审计报告
宁波银行细节审计报告一、引言本报告为宁波银行细节审计报告,根据公司委托和相关法规要求,审计团队对宁波银行的业务、管理、内部控制以及风险管理等方面进行了细致调查和审计,并对发现的问题进行了分析和评价。
本报告旨在向公司提供审计结果和建议,帮助公司进一步优化经营管理,加强内部风险控制。
二、背景介绍宁波银行是一家具有多年历史的全国性银行,在宁波地区拥有广泛的业务和客户群体。
拥有强大的资本实力和专业的管理团队,宁波银行一直致力于提供高质量的金融服务,满足客户的多元化需求。
三、审计结果1. 业务审计结果初步审计结果显示,宁波银行的主要业务表现稳定,业务量和盈利能力均呈现良好的增长趋势。
但同时也存在一些问题,如贷款违约率的上升趋势、不良资产的增加等。
建议宁波银行加强风险管理,提高贷款审批的严格程度,防范和控制不良资产的风险。
2. 管理审计结果管理方面,宁波银行在组织架构、内部流程和人力资源管理方面表现出色。
然而,核心管理层的决策过程存在一定的欠缺,缺乏对风险的综合考虑和及时响应能力。
建议宁波银行加强决策机制和风险管理体系的建设,提高管理者对市场变化和风险的敏感性和应变能力。
3. 内部控制审计结果内部控制是保障宁波银行正常运营的关键环节。
本次审计发现,宁波银行在内部控制方面存在一些问题,如制度执行不严格、数据处理不规范等。
建议宁波银行加强内部控制的培训和监督,建立完善的风险控制机制,确保内部流程的规范运行和敏感信息的安全。
四、建议综合审计结果,我们对宁波银行提出以下建议:1. 加强风险管理:完善贷款审批流程,提高贷款审批的严格程度,防范和控制不良资产的风险。
2. 提高管理者的决策能力:加强决策机制和风险管理体系的建设,提高管理者对市场变化和风险的敏感性和应变能力。
3. 加强内部控制:加强内部控制的培训和监督,建立完善的风险控制机制,确保内部流程的规范运行和敏感信息的安全。
五、结论本次细节审计发现了宁波银行在业务、管理和内部控制方面存在的问题,并给出了相应的建议。
城市商业银行宁波分行内部审计质量评价标准
宁波银监局关于印发《城市商业银行宁波分行内部审计质量评价标准(试行)》的通知甬银监发〔2013〕88号各城市商业银行宁波分行:为规范和加强辖区城商行宁波分行内部审计工作,更加科学客观的评价各分行内审质量,现将《城市商业银行宁波分行内部审计质量评价标准(试行)》(以下简称《评价标准》)印发给你们。
我局将从2013年开始试评价,2014年正式将《评价标准》纳入监管工作流程,按年度对各分行内部审计质量进行评价,并将评价结果运用于监管评级、市场准入等监管工作。
各分行应认真学习《评价标准》,并及时将《评价标准》告知总行和上一级内部审计部门。
同时,各分行应积极配合我局开展内部审计质量评价工作,协调各级内部审计部门与我局对口监管处加强沟通交流、及时报送内部审计工作相关资料等,以便我局准确评价各分行内部审计质量。
试行中有何问题,请及时向我局反馈。
特此通知。
宁波银监局2013年5月17日城市商业银行宁波分行内部审计质量评价标准(试行)宁波银监局对城市商业银行分行内部审计的评价侧重于审计工作的充分性和有效性,同时参考组织架构齐全性、独立性和审计资源充足性。
内部审计质量评价按年度开展,评价结果运用于监管评级、市场准入等监管工作。
一、内部审计的充分性重点从审计频率、审计投入、审计覆盖面等三个方面进行评价。
宁波银监局将结合被评价分行的成立时间、资产规模、业务特点和风险状况,综合分析判断内部审计的充分性。
评价结论分为好、较好、中和差四档。
(一)审计频率总行内审部门(包括区域审计部门,下同)、分行内审部门对分行实施内部审计的次数。
其中,至少符合以下要求,审计频率的评价结论方能达到“较好”:1.内审部门对信用风险、操作风险等重要风险领域的审计应至少每年一次。
对营业机构的风险评估每年至少一次。
2.总行内审部门对分行的全面审计应每两年至少一次,且两次审计期间有相应的后续审计对整改情况进行跟踪。
如银行两年内高级管理人员离任审计、各专项审计等审计项目确能够起到全面审计的替代效果,经监管员认可后,可认定为被评价分行已进行全面审计。
内部审计业务手册(全)
内部审计工作业务手册****(集团)******有限公司内部审计工作业务手册2007** ** 集团审计部**审计部第0 页内部审计工作业务手册目录序言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(2-5)第一部分内部审计办法⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(6-11)第二部分内部审计具体规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(12-35)内部审计具体规范第1 号──审计方案编制规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(12-14)内部审计具体规范第2 号──审计通知书规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(15-16)内部审计具体规范第3 号──审计证据规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(17-19)内部审计具体规范第4 号──审计工作底稿规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(20-22)内部审计具体规范第5 号──审计事项评价规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(23-25)内部审计具体规范第6 号──审计报告编审规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(26-28)内部审计具体规范第7 号──审计复核工作规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(29-30)内部审计具体规范第8 号──审计文书处理规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(31-32)内部审计具体规范第9 号──审计档案工作规范⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(33-35)第三部分内部审计实务指南⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(36-62)内部审计实务指南第1 号──货币资金⋯⋯⋯⋯⋯⋯⋯(36-38)内部审计实务指南第2 号──存货⋯⋯⋯⋯⋯⋯⋯⋯(39-41)内部审计实务指南第3 号──固定资产及折旧⋯⋯⋯⋯⋯⋯⋯⋯(42-45)内部审计实务指南第4 号──生产与费用循环⋯⋯⋯⋯⋯⋯(46-49)内部审计实务指南第5 号──应付款项⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(50-51)内部审计实务指南第6 号──损益类项目⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(52-54)06年审计问题年度总结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯(55-62)**审计部第1 页内部审计工作业务手册内部审计工作业务手册序言本序言旨在说明审计部独立审计工作手册(以下简称“审计手册”)的目标、体系、制定与发布程序,并对其规范内容、约束力及适用范围进行解释。
银行业金融机构内部审计指引
中国银行业监督管理委员会关于印发《银行业金融机构内部审计指引》的通知(银监发〔2006〕51号 2006年6月27日)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,国家邮政局邮政储汇局,银监会直接监管的信托公司、财务公司、金融租赁公司:现将《银行业金融机构内部审计指引》印发给你们,请认真贯彻落实。
请各银监局将本通知转发至辖内各银行业金融机构。
二○○六年六月二十七日银行业金融机构内部审计指引第一章总则第一条为促进银行业金融机构完善公司治理,加强内部控制,健全内部审计体系,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国公司法》、《中华人民共和国审计法》和《中华人民共和国审计法实施条例》等法律法规,制定本指引。
第二条本指引所称银行业金融机构是指在中华人民共和国境内设立的政策性银行和商业银行。
经中国银行业监督管理委员会(以下简称中国银监会)批准设立的其他金融机构可参照执行本指引。
第三条本指引所称内部审计是一种独立、客观的监督、评价和咨询活动,是银行业金融机构内部控制的重要组成部分。
通过系统化和规范化的方法,审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果,促进银行业金融机构稳健发展。
第四条银行业金融机构内部审计的目标是,保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行;在银行业金融机构风险框架内,促使风险控制在可接受水平;改善银行业金融机构的运营,增加价值。
第五条银行业金融机构内部审计工作应当独立于经营管理,以风险为导向,确保客观公正。
第六条中国银监会依据本指引检查评价银行业金融机构内部审计工作。
第二章机构和人员第七条银行业金融机构的董事会负责建立和维护健全有效的内部审计体系。
没有设立董事会的,由高级管理层负责履行有关职责。
董事会应下设审计委员会。
审计委员会成员不少于3人,多数成员应是非执行董事。
审计委员会主席应由独立董事担任。
内部审计操作手册
公司内部审计操作手册内部审计是公司内部经济监督的一种形式,是公司审计室在董事会审计委员会的领导下,依照国家有关法规和公司有关规章制度,独立、客观地监督、评价公司及其下属单位的财务收支及其经济活动的真实性、合法性和效益性,检查、评价内部控制制度的完善性,评估企业经营风险,以达到查错防弊、防范和降低经营风险、改善经营管理、提高经济效益的目的.所谓真实性,是指企业的财务会计、统计等记录必须如实反映企业的实际经营管理成果,必须按照国家相关的经济法规、政策和公司董事会的有关规定,记录和反映企业的经营管理活动。
所谓合法性,是指企业的一切经营管理活动必须符合国家相应的法规、政策条例,必须符合公司董事会决议及公司的有关规章制度。
所谓效益性,是指企业的一切经营管理活动都必须围绕如何产生更大的经济效益和劳动效率而进行。
【审计工作的基本原则】《内审条例》所称的基本原则为:“依法”是指依据国家颁布的审计、财经、税务等方面的法律、法规、政策,在此还包括公司董事会决议、公司的有关规章制度等进行审计。
“独立”是指内部审计机构、内部审计工作、内部审计人员方面的独立性.在组织上的地位,必须使它能圆满地履行其审计职责,即内部审计机构隶属于公司董事会审计委员会,独立于公司内所有经营管理活动;内部审计独立开展审计工作,不受其它部门的干涉,审计工作的范围和深度不应受到影响和限制;独立地发表审计意见和建议;内部审计负责人的任免须经董事会审计委员会批准,审计委员会应赋予审计人员一定的职责权限。
“客观”是指审计工作中所收集的审计证据以及对“审计发现”的表述必须实事求是,客观如实。
审计工作重调查研究,重审计证据,即审计过程中必须以客观事实为基础,实事求是,注重证据,不夸大或缩小事实.“公正"是指审计报告中的审计意见、审计结论应恰如其分,不偏不倚,保证充分的公允性。
坚持证据确凿,结论公正,评价合理,建议中肯。
【审计机构及人员】公司董事会审计委员会是公司内部审计的权力机构。
内部审计工作规范手册-精品完整版
审计手册前言审计人员应确定是否正确地遵循了法律、合同、政策和程序;企业的所有业务是否符合所确定的政策,并取得成功。
就此而论,审计人员应提出建议,以改进现存设备和程序,并以改进管理的建议方式,对合同加以批评。
1、设置独立的内部审计机构,并配备一定数量具有执业资格的内部审计人员。
内部审计管理控制岗位职责一览表孙国章、冬素秋岗位工作职责一览表各科长岗位工作职责一览表审计人员工作规范组织架构图审计部经理职位说明书1审计经理岗位职责考核 说 明结果应用2审计主管岗位职责基本要求相关说明考核说明结果应用3财务审计员岗位职责基 本 要 求相关说明考 核 说 明结果应用4管理审计员岗位职责基 本 要 求相关说明考 核 说 明结果应用5合同审计员岗位职责基 本 要 求相关说明考 核 说 明结果应用6风险管理审计员岗位职责基本要求相关说明考核说明结果应用7经济责任与绩效审计员岗位职责考核 说 明 结果应用8项目(工程)审计专员岗位职责考 核 说 明 结果应用审计工作职责。
1.认真贯彻执行有关审计管理制度。
2.监督企业财务计划的执行、预算外资金收支以及与财务收支有关的各项经济活动及其经济效益。
3.详细核对企业的各项与财务有关的数字、金额、期限、手续等是否准确无误。
4.审阅企业的计划资料、合同和其他有关经济资料,以便掌握情况、发现问题、积累证据。
5.纠正财务工作中的差错弊端,规范企业的经济行为。
6.针对企业财务工作中出现的问题,找出原因并提出改进建议和措施。
7.完成企业领导交办的其他相关工作。
审计工作第40条主要审计任务。
1.对企业进行常规审计,包括财产物资的完整性和使用是否合理;长、短期投资的效益,固定资产使用情况;流动资产中的货币资金使用的合理性,存货的多少、积压情况、超储及报废情况等。
2.对企业进行专项审计,主要指对企业资产、负债、利润有重大影响的项目进行审计。
3.对企业负责人进行离任审计。
离任审计主要对企业负责人上任至离任期间所取得的经营成果以及存在的问题进行审计,并出具审计报告。
宁波银行内部审计手册
宁波银行内部审计手册一、引言内部审计作为银行内部控制体系的重要组成部分,对于保障银行的稳健运营、防范风险、提高经营效益具有至关重要的作用。
本手册旨在为宁波银行的内部审计工作提供全面、系统的指导,确保审计工作的规范、高效开展。
二、内部审计的目标与范围(一)目标1、评估内部控制的有效性,发现潜在的风险和漏洞。
2、确保银行的运营符合法律法规、监管要求和内部政策。
3、提供独立、客观的保证,促进银行治理结构的完善。
(二)范围1、涵盖银行的各项业务活动,包括但不限于存款、贷款、中间业务、资金业务等。
2、涉及银行的各个部门和分支机构。
三、内部审计的原则与方法(一)原则1、独立性原则:内部审计部门应独立于被审计部门,不受其他部门的干扰。
2、客观性原则:审计人员应以客观的态度进行审计,不受个人偏见和利益影响。
3、保密性原则:对审计过程中获取的信息严格保密。
(二)方法1、风险导向审计:根据风险评估结果确定审计重点和范围。
2、抽样审计:合理运用抽样技术,提高审计效率。
3、数据分析:利用大数据技术对业务数据进行分析,发现异常情况。
四、内部审计的流程(一)审计计划1、根据银行的战略目标、风险状况和管理层的要求,制定年度审计计划。
2、对审计项目进行风险评估,确定审计的优先级。
(二)审计准备1、成立审计小组,明确成员职责。
2、收集被审计部门的相关资料,包括规章制度、业务流程、财务报表等。
3、制定审计方案,明确审计的目标、范围、方法和步骤。
(三)审计实施1、进行现场审计,通过访谈、查阅文件、实地观察等方式获取审计证据。
2、对审计证据进行整理、分析和评价,形成审计发现。
(四)审计报告1、撰写审计报告,客观、准确地反映审计结果。
2、审计报告应包括审计的基本情况、发现的问题、风险评估、审计建议等内容。
3、审计报告应经过审核和审批,确保质量。
(五)审计跟踪1、对审计发现的问题进行跟踪,督促被审计部门及时整改。
2、对整改情况进行复查,确保整改措施的有效落实。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
宁波银行内部审计手册宁波银行审计部二○一○年十月目录第一章审计方法论 6第一节审计类型 6一、常规审计 6(一) 业务审计 6(二) 信息系统审计 6二、特殊审计项目 6第二节审计宇宙与可审计单元 7一、审计宇宙 7二、可审计单元 9第三节风险评估 9一、风险评估前期准备 9(一) 了解本行的战略目标与发展预期 9(二) 风险评估标准 9二、开展风险评估 11(一) 全面理解本行的业务 12(二) 识别风险 13(三) 评估风险 13第四节制定审计计划 16一、制定审计计划的目标 16二、审计计划的制定 16(一) 对重大流程进行分类 16(二) 对重大流程内的主要流程进行排序 16(三) 确定审计项目 16(四) 确定审计工作时间 17三、审计计划的调整 17第二章审计操作流程 18第一节审计准备阶段 18一、确定审计项目 18二、确定项目主审人 18三、确定审计人员及分工 19四、下发审计通知书 19五、收集审计相关资料 19六、审计前会议 20第二节审计实施阶段 20一、入场会谈 20二、实施审计 20(一) 人员访谈 20(二) 识别业务的重大风险和控制 21(三) 穿行测试 22(四) 控制测试 23(五) 审计工作底稿编制 25三、审计发现、沟通与总结 25(一) 审计发现汇总 25(二) 审计发现沟通与总结 26第三节审计报告阶段 27一、起草审计报告初稿 27(一) 审计报告要求 27(二) 报告发送 28二、审计报告审核、审批 28三、审计报告声明 28第四节项目总结阶段 29一、审计项目总结 29二、审计项目管理 29第五节后续跟踪阶段 29一、整改计划审核、确认 29二、整改进程监控 30三、后续审计 30第三章质量监控 31一、持续评估 31二、自我评估 31三、外部评估 32第四章审计档案管理 33 一、立卷建档 33二、编写档案目录 33三、制作档案封面和档案管理 33第五章审计知识管理与共享 34第六章信息系统审计 35一、企业层面信息科技控制 35二、信息系统的一般控制 35三、信息系统的应用控制 37四、计算机辅助审计 39第一章审计方法论第一节审计类型一、常规审计常规审计是审计部实施最频繁的审计工作类型,也是审计部开展年度审计工作的主要内容。
若干常规审计项目构成了年度审计计划,这些项目可被归纳为两类:(一) 业务审计业务审计主要为1) 对业务单元、业务条线、职能部门或模块以及业务功能实施审计,2) 对某一个或一类特定的业务产品与服务实施审计,3) 对业务部门或产品服务提供支持的应用系统实施审计,该应用系统的审计通常作为业务流程审计中的一部分,并不单独立项实施审计工作。
业务审计的实施主要以流程为基础,运用一定审计方法,执行相关审计步骤,从而得出有效的审计结论并向管理层就业务功能和运作的提升提出改进建议。
执行业务审计的具体程序参见“第二章审计操作流程”。
(二) 信息系统审计信息系统审计是指对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。
具体而言,信息系统审计就是以信息系统为审计对象,通过现代的审计理论和信息科技管理理论,从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,以确定其是否能够有效可靠地达到组织的战略目标,并为改善和健全组织对信息系统的控制提出建议的过程。
二、特殊审计项目特殊审计项目是由于某一特殊事件或环境引发的要求审计部必须实施的审计项目,该审计项目未包含在基于风险评估结果而制定的年度审计计划内。
特殊审计项目可应本行高级管理层或监管当局要求发起。
审计部应向适当的管理层级汇报特殊审计项目的工作结果,并针对每个项目的性质确定是否出具正式的审计报告。
第二节审计宇宙与可审计单元一、审计宇宙审计宇宙,又称为审计工作范围框架,是一家银行内所有可以被审计的领域的集合。
建立审计宇宙是根据以风险为导向的审计方法论开展内部审计工作的首要基础。
审计部首次开展风险评估时,应与各业务/职能部门以会议或研讨的形式讨论并制定审计宇宙。
审计委员会和高级管理层审阅并批准审计部提交的经讨论达成一致的审计宇宙。
在确定银行的审计宇宙时,需要考虑的因素包括:(1) 内部审计的职能定位;(2) 银行的经营范围和业务领域;(3) 银行的组织架构和业务流程体系;(4) 外部监管机构的要求等。
审计部结合本行的经营管理特点建立了适于本行的审计宇宙,包括:(1) 主要业务条线,如公司银行业务条线,零售银行业务条线,个人银行业务条线,信用卡业务条线,资金业务条线,风险管理条线等;(2) 重大流程,如信贷服务,客户结算服务及风险管理等;重大流程又被划分为若干主要流程,如重大流程“信贷服务”分为申请处理,担保管理,贷后管理等主要流程。
审计宇宙的具体构成详见下页图示。
宁波银行审计宇宙示例审计部定期(至少每年)审阅审计宇宙并根据本行实际经营状况进行更新,与各业务/职能部门确认后提交高级管理层和审计委员会审批确定。
审计部根据更新后的审计宇宙开展风险评估活动。
由于定期更新,最新版本的审计宇宙以【审计管理信息系统】中显示的框架图为准。
二、可审计单元可审计单元根据不同的定义方法,可分为以下类别:(1) 一项业务或管理职能;(2) 一类业务或管理活动;(3) 一个业务职能部门;(4) 一条业务条线;(5) 一家分/支行;及(6) 一个具体项目或业务程序等。
审计部定期对可审计单元实施风险评估,根据风险评估结果制定项目审计计划,对可审计单元开展具体审计工作。
第三节风险评估一、风险评估前期准备(一) 了解本行的战略目标与发展预期审计部在实施风险评估前,与董事会、审计委员会以及高级管理层以会议或其他形式进行充分沟通,理解本行整体的战略目标与未来的业务发展预期,以及他们对内部审计的预期,继而确定内部审计工作重心,合理分配内部审计资源。
(二) 风险评估标准审计部会同风险管理部、各业务条线人员(及涉及的分支机构),共同制定《风险评估标准》,提交高级管理层审阅并最终确定。
该标准从风险因素可能导致的不利影响的程度和风险因素发生的可能性两方面综合考虑,为评估本行面临的所有重大业务风险的高低程度提供统一的判定标准。
在考虑风险因素可能导致的不利影响的程度时,审计部应首先决定从哪些风险因素方面评估本行面临的主要风险(如财务风险,操作风险,声誉风险等),且这些风险因素须与内部审计工作重心一致。
通常可通过制定定性和定量的标准来确定风险高低程度,如下图所示:风险评估标准示例影响程度:【风险评估标准】可能性:形成的风险程度:审计部定期(至少每年)审阅和重新评估《风险评估标准》,检查其列示的具体标准是否符合当前业务发展状况和管理要求。
如需更新该标准,审计部应于开展具体风险评估前提交高级管理层审阅并确定修改内容。
二、开展风险评估实施风险评估的目的是通过利用一种合理的方式对经选择的具体风险有效配置现有审计资源。
风险评估时,审计部识别、评估并记录本行流程和组织要素内的风险以及与风险相关的管理活动。
风险评估主要分为三个阶段:(一) 全面理解本行的业务熟悉并理解本行业务经营的范围和程度是实施风险评估的第一阶段。
于本阶段,审计部应评估本行整体的控制环境,确认对业务流程的理解,识别并与业务部门确认影响业务目标完成的最重大的固有风险,了解信息科技控制环境。
1.评估本行整体的控制环境此处的控制环境主要指管理层的控制意识和态度。
从以下四方面评估控制环境:(1) 管理层的控制意识和经营风格;(2) 银行诚信与道德标准;(3) 公司治理措施;(4) 组织架构和职责划分;及(5) 人力资源政策,人员素质和能力审计部如在以上方面发现重大事项或差异,应及时向审计委员会和高级管理层报告。
2.确认对业务流程的理解审计部与各业务条线部门以及职能部门沟通确认相关业务流程事项,并向其解释风险评估事项,包括以下方面:(1) 简要介绍审计宇宙和风险评估过程;(2) 简要介绍风险评估时如何运用风险评估标准;(3) 根据高级管理层设定的总体业务目标,将目标与审计宇宙中列示的重大流程相匹配;确认各业务部门的具体业务目标,确认每个重大流程以及相关重要流程的关键成功因素;(4) 确认重大流程的结构,识别流程负责人,了解流程主要内容;(5) 识别对重大流程存在影响的利益相关人和其他任何外部因素,发现影响流程且使其不能达到业务目标的风险;(6) 识别用于衡量关键成功因素的关键业绩指标,与管理层确认其是否使用关键业绩指标以监控流程的有效性;(7) 识别任何存在的总体风险;及(8) 讨论相关的信息科技事项,如,信息科技如何运用于各重大流程。
3.识别并确认重大固有风险审计部与各流程负责人以电话沟通、会议或其他形式讨论并确定重大流程中存在的最重大的固有风险。
这些风险可归类为:(1) 与利益相关者和/或外部因素相关;(2) 直接存在于本行的控制活动中;及(3) 存在于本行的控制活动之外。
4.了解信息科技控制环境审计部应了解应用于各重大流程的信息科技内容,在识别与评估其他银行风险时连同信息科技风险一同进行。
(二) 识别风险审计部利用在“(一)全面理解本行的业务”步骤中收集到的重大流程信息,为重大风险的识别工作提供充分指导,特别是识别那些存在于主要流程中且与内部审计工作重心相关的重要风险。
审计部针对主要流程具体开展以下工作:1.与主要流程的负责人讨论,清楚了解这些流程的目的与目标,相关的关键成功因素和关键业绩指标,以及高度概括的流程特点和流程中存在的重大风险;2.在上述1中涉及的具体信息的基础上,识别那些与流程相关的重大风险,了解:(1) 为确保流程运作达到业务目标,必须正确实施的工作及可能阻止这些工作发生的情况;(2) 流程中可能出错的地方,且其可能阻止业务目标的实现;(3) 信息科技和人力资源如何应用于流程且会产生哪些重大风险;(4) 设计的流程是否符合市场发展和环境变迁,如利益相关者的影响或外部因素;及(5) 流程是否存在任何可能导致财务损失或其他损失的固有因素。
3.与管理层讨论并确定识别的每一个风险。
(三) 评估风险通过评估与汇总每一个主要流程存在的风险从而形成一份总体的流程评估结果:1.按业务条线评估各主要流程存在的风险:审计部与各业务条线通过使用风险评估标准中列示的评估标准,决定本条线涉及的各主要流程存在风险的程度。
需注意的是风险评估标准仅作为衡量风险的一个标尺,审计人员在实际评估时仍需要依赖自身的专业判断。
因此审计人员必须记录得出评估结果的根本原因。
2.在不同业务条线中平衡同一个主要流程存在的风险:审计部审阅同一个主要流程在不同业务条线中得出的风险评估结果,不同业务条线下的风险程度可能不同。