当前位置:文档之家› 宁波银行内部审计手册

宁波银行内部审计手册

宁波银行内部审计手册宁波银行内部审计手册宁波银行审计部二○一○年十月目录第一章审计方法论 (6)第一节审计类型 (6)一、常规审计 (6)(一)....................... 业务审计 (6)(二)..................... 信息系统审计 (6)二、特殊审计项目 (6)第二节审计宇宙与可审计单元 (7)一、审计宇宙 (7)二、可审计单元 (9)第三节风险评估 (9)一、风险评估前期准备 (9)(一) ............ 了解本行的战略目标与发展预期 (9)(二) ..................... 风险评估标准 (9)二、开展风险评估 (11)(一).................. 全面理解本行的业务 (12)(二)....................... 识别风险 (13)第2页,共42页(三)....................... 评估风险 (13)第四节制定审计计划 (16)一、制定审计计划的目标 (16)二、审计计划的制定 (16)(一).................. 对重大流程进行分类 (16)(二)........... 对重大流程内的主要流程进行排序 (16)(三)..................... 确定审计项目 (16)(四)................... 确定审计工作时间 (17)三、审计计划的调整 (17)第二章审计操作流程 (18)第一节审计准备阶段 (18)一、确定审计项目 (18)二、确定项目主审人 (18)三、确定审计人员及分工 (19)四、下发审计通知书 (19)五、收集审计相关资料 (19)六、审计前会议 (20)第二节审计实施阶段 (20)一、入场会谈 (20)二、实施审计 (20)第3页,共42页(一)....................... 人员访谈 (20)(二)............... 识别业务的重大风险和控制 (21)(三)....................... 穿行测试 (22)(四)....................... 控制测试 (23)(五)................... 审计工作底稿编制 (25)三、审计发现、沟通与总结 (25)(一)..................... 审计发现汇总 (25)(二).................. 审计发现沟通与总结 (26)第三节审计报告阶段 (27)一、起草审计报告初稿 (27)(一)..................... 审计报告要求 (27)(二)....................... 报告发送 (28)二、审计报告审核、审批 (28)三、审计报告声明 (28)第四节项目总结阶段 (29)一、审计项目总结 (29)二、审计项目管理 (29)第五节后续跟踪阶段 (30)第4页,共42页一、整改计划审核、确认 (30)二、整改进程监控 (30)三、后续审计 (30)第三章质量监控 (32)一、持续评估 (32)二、自我评估 (32)三、外部评估 (33)第四章审计档案管理 (34)一、立卷建档 (34)二、编写档案目录 (34)三、制作档案封面和档案管理 (34)第五章审计知识管理与共享 (35)第六章信息系统审计 (36)一、企业层面信息科技控制 (36)二、信息系统的一般控制 (36)三、信息系统的应用控制 (38)四、计算机辅助审计 (40)第5页,共42页第一章审计方法论第一节审计类型一、常规审计常规审计是审计部实施最频繁的审计工作类型,也是审计部开展年度审计工作的主要内容。

若干常规审计项目构成了年度审计计划,这些项目可被归纳为两类:(一) 业务审计业务审计主要为1) 对业务单元、业务条线、职能部门或模块以及业务功能实施审计,2) 对某一个或一类特定的业务产品与服务实施审计,3) 对业务部门或产品服务提供支持的应用系统实施审计,该应用系统的审计通常作为业务流程审计中的一部分,并不单独立项实施审计工作。

业务审计的实施主要以流程为基础,运用一定审计方法,执行相关审计步骤,从而得出有效的审计结论并向管理层就业务功能和运作的提升提出改进建议。

执行业务审计的具体程序参见“第二章审计操作流程”。

(二) 信息系统审计信息系统审计是指对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。

具体而言,信息系统审计就是以信息系统为审计对象,通过现代的审计理论和信息科技管理理论,从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,以确定其是否能够有效可靠地达到组织的战略目标,并为改善和健全组织对信息系统的控制提出建议的过程。

二、特殊审计项目特殊审计项目是由于某一特殊事件或环境引发的要求审计部必须实施的审计项目,该审计项目未包含在基于风险评估结果而制定的年度审计计划内。

特殊审计项目可应本行高级管理层或监管当局要求发起。

审计部应向适当的管理层级汇报特殊审计项目的工作结果,并针对每个项目的性质确定是否出具正式的审计报告。

第6页,共42页第二节审计宇宙与可审计单元一、审计宇宙审计宇宙,又称为审计工作范围框架,是一家银行内所有可以被审计的领域的集合。

建立审计宇宙是根据以风险为导向的审计方法论开展内部审计工作的首要基础。

审计部首次开展风险评估时,应与各业务/职能部门以会议或研讨的形式讨论并制定审计宇宙。

审计委员会和高级管理层审阅并批准审计部提交的经讨论达成一致的审计宇宙。

在确定银行的审计宇宙时,需要考虑的因素包括:(1) 内部审计的职能定位;(2) 银行的经营范围和业务领域;(3) 银行的组织架构和业务流程体系;(4) 外部监管机构的要求等。

审计部结合本行的经营管理特点建立了适于本行的审计宇宙,包括:(1) 主要业务条线,如公司银行业务条线,零售银行业务条线,个人银行业务条线,信用卡业务条线,资金业务条线,风险管理条线等;(2) 重大流程,如信贷服务,客户结算服务及风险管理等;重大流程又被划分为若干主要流程,如重大流程“信贷服务”分为申请处理,担保管理,贷后管理等主要流程。

审计宇宙的具体构成详见下页图示。

第7页,共42页宁波银行审计宇宙示例宁波银行主要流程2010年度评估综合公司银行零售银行个人银行信用卡资金运营风险管理人力资源其他管理职能信息科技获取新业务掌握竞争者/市场状况开发新产品与新服务项目……服务客户开销户客户关系管理……信贷服务(如透支、固定贷款、循环贷款、抵押、信用卡、贸易融资、担保、风险投资)申请处理(含审查审批)担保管理……客户结算服务存款处理取款处理……资金业务服务制定投资策略管理自营业务……维护交易渠道营业网点布局管理管理自动存取款机……战略与变革管理战略管理同盟管理……维护政策与程序维护政策与程序(制度、政策制定)风险管理管理信用风险管理市场风险……绩效管理(针对预算、业务战略和关键成功因素)经营业绩过程化管理绩效考核管理质量控制(以确保控制程序充分)提供质量控制程序(评价、检查、督导等)提供支持服务清算处理会计核算与财务报告……信息科技支持信息科技治理信息系统开发……审计部定期(至少每年)审阅审计宇宙并根据本行实际经营状况进行更新,与各业务/职能部门确认后提交高级管理层和审计委员会审批确定。

审计部根据更新后的审计宇宙开展风险评估活动。

由于定期更新,最新版本的审计宇宙以【审计管理信息系统】中显示的框架图为准。

第8页,共42页二、可审计单元可审计单元根据不同的定义方法,可分为以下类别:(1) 一项业务或管理职能;(2) 一类业务或管理活动;(3) 一个业务职能部门;(4) 一条业务条线;(5) 一家分/支行;及(6) 一个具体项目或业务程序等。

审计部定期对可审计单元实施风险评估,根据风险评估结果制定项目审计计划,对可审计单元开展具体审计工作。

第三节风险评估一、风险评估前期准备(一) 了解本行的战略目标与发展预期审计部在实施风险评估前,与董事会、审计委员会以及高级管理层以会议或其他形式进行充分沟通,理解本行整体的战略目标与未来的业务发展预期,以及他们对内部审计的预期,继而确定内部审计工作重心,合理分配内部审计资源。

(二) 风险评估标准审计部会同风险管理部、各业务条线人员(及涉及的分支机构),共同制定《风险评估标准》,提交高级管理层审阅并最终确定。

该标准从风险因素可能导致的不利影响的程度和风险因素发生的可能性两方面综合考虑,为评估本行面临的所有重大业务风险的高低程度提供统一的判定标准。

在考虑风险因素可能导致的不利影响的程度时,审计部应首先决定从哪些风险因素方面评估本行面临的主要风险(如财务风险,操作风险,声誉风险等),且这些风险因素须与内部审计工作重心一致。

通常可通过制定定性和定量的标准来确定风险高低程度,如下图所示:第9页,共42页风险评估标准示例影响程度:风险因素影响高中低财务•达到以下三类状况之一,且对年收入或成本产生负面影响:➢ >5千万元的损益影响,或➢ > 1亿元的资产/负债影响,或 ➢ > 20%的预算偏差 •保留意见的外部审计报告•达到以下三类状况之一,且对年收入或成本产生负面影响:➢ 1千5百万到5千万元之间的损益影响,或 ➢ 2千万到1亿元之间的资产/负债影响,或 ➢ < 20%且>=10%的预算偏差 • 外部审计出具的管理建议书包含了与损益/财务状况相关的重大事项•达到以下三类状况之一,且对年收入或成本产生负面影响:➢ < 1千5百万元的损益影响,或 ➢ > 2千万元的资产/负债影响,或 ➢ < 10%的预算偏差•外部审计中个别非重要的发现或无审计发现营运• 失去多于5% 的现有客户 • 错误影响超过5%的客户•客户投诉个案的增加取以下较高者: ➢ 比去年增加5% , 或 ➢ 每月多于15例 •需要向超过10%的客户进行沟通的事故 •客户服务质量降低到以下三者中之最低: ➢ 延期3天 ,➢ 减少超过20%的营销渠道例如营业点,互联网;或➢ 处理时间增加,超出预期标准的30% •基本控制的失败/违反• 失去1%-5% 的现有客户 • 错误影响1%-5%的客户•客户投诉个案的增加取以下较高者: ➢ 比去年增加2-5% , 或 ➢ 每月5-15例• 需要向小于10%的客户进行沟通的事故 •客户服务质量降低到以下三者中之最低: ➢ 延期2天 ,➢ 减少 10%-20%的营销渠道例如营业点,互联网;或➢ 处理时间增加,超出预期标准的10-30% • 违反主要的控制但有补偿控制• 失去少于1%的现有客户 • 错误影响少于1%的客户• 客户投诉个案的增加取以下较高者: ➢ 比去年增加少于2%, 或 ➢ 每月少于5例• 向客户沟通前已将事件纠正• 客户服务质量降低到以下三者中之最低: ➢ 延期1天 ,➢ 减少少于10%的营销渠道例如营业点,互联网;或➢ 处理时间增加,未超出预期标准的10%•增强控制无效但核心控制有效运作【风险评估标准】声誉 /法规/法律• 严重的违法违规导致罚款和/或交易的中止 • 对专业操守或行业执业规则的严重违反 •广泛程度的负面形象和声誉受损• 在某些事件中违法违规而受到警告 • 违反专业操守或行业执业规则 •有限程度的负面形象和声誉受损• 未遵循法律法规要求但只造成很小影响甚至无影响 • 基本没有违背专业操守或行业执业规则 •轻微程度的负面形象和声誉受损 技术• 系统升级/新系统上线实施时,没有包含主要的必需功能•严重推迟了新系统/ 系统升级的实施,取以下的较高者:➢ 比预计运行日推迟30天 , 或 ➢ 项目进行期比计划时间多20%• 系统故障导致业务中断超过1天 •用于做出重大决策的管理信息: ➢ 具有误导性或数量过多, 或 ➢ 超过3周都无法获取• 严重违反信息系统安全或计算机程序在处理过程中出现的错误影响超过10%的客户• 系统升级/新系统上线实施时未包含部分必需的功能•推迟新系统/系统升级的实施,取以下的较高者:➢ 比预计运行日推迟20天 , 或 ➢ 项目进行期比计划时间多10%-20%• 系统故障导致业务中断超过半天 •用于做出重大决策的管理信息: ➢ 具有误导性或数量过多, 或 ➢ 3周以内都无法获取信息• 违反信息系统安全或计算机程序在处理过程中出现的错误影响5% - 10%的客户•系统升级/新系统上线实施要求少量的矫正工作 •新系统/系统升级实施的轻微推迟,取以下的较高者:➢ 比预计运行日推迟10天 , 或 ➢ 项目进行期未超出计划时间的10% • 系统故障导致交易中断超过1小时 •用于做出重大决策的管理信息: ➢ 表述不够清晰, 或 ➢ 1周以内都无法获取信息 •违反信息系统安全或计算机程序在处理过程中出现的错误影响了5%以内的客户可能性:风险因素可能性程度非常可能可能不太可能/ 个别事件•发生频率:每天- 每月•过去经常发生•存在持续现象•非常规且复杂的处理过程,涉及重要的判断和/或知识/经验•每年发生超过20%的人员流动/增加/减少•比计划/预算低10%以上的严重缺乏员工•每年有多于3个的主要系统进行转换,每个系统转换需要超过100天的软件开发资源•大量使用尖端技术,例如电子商务,互联网,WAP;并且把它们应用到产品和系统中•每年有多于10%的新产品/服务投入市场•客户群和交易的增长每年多于20% •发生频率:每月•过去偶然发生•存在间歇现象•常规(如每天,每月)且复杂的处理过程,涉及重要的判断和/或知识/经验•每年发生10% - 20%的人员流动/增加/减少•低于计划/预算5% - 10%的缺乏员工•每年有少于3个的主要系统进行转换,每个系统变化需要超过100天的软件开发资源•使用一些尖端技术,例如电子商务,互联网,WAP;并且把它们应用到产品和系统中•每年有5% - 10%的新产品/服务投入市场•客户群和交易的增长每年达到10% - 20%•发生频率:每月- 每年•过去表现可接受•非预期现象•常规且复杂的处理过程,但主要基于系统的处理流程很少进行人为评估•每年发生少于10%的人员流动/增加/减少•低于计划/预算5%的少量缺乏员工•只有轻微的系统修改,每个系统只需要少于100天的的软件开发资源•尖端技术,例如电子商务, 互联网,WAP;被少许甚至未运用于产品和系统中•每年有少于5%的新产品/服务投入市场•客户群和交易的增长每年少于10%形成的风险程度:可能性很可能中高高可能低中高不太可能/ 无关低低中低中高影响程度审计部定期(至少每年)审阅和重新评估《风险评估标准》,检查其列示的具体标准是否符合当前业务发展状况和管理要求。

相关主题