宁波银行内部审计手册宁波银行审计部二○一○年十月目录第一章审计方法论 6第一节审计类型 6一、常规审计 6(一) 业务审计 6(二) 信息系统审计 6二、特殊审计项目 6第二节审计宇宙与可审计单元 7一、审计宇宙 7二、可审计单元 9第三节风险评估 9一、风险评估前期准备 9(一) 了解本行的战略目标与发展预期 9(二) 风险评估标准 9二、开展风险评估 11(一) 全面理解本行的业务 12(二) 识别风险 13(三) 评估风险 13第四节制定审计计划 16一、制定审计计划的目标 16二、审计计划的制定 16(一) 对重大流程进行分类 16(二) 对重大流程内的主要流程进行排序 16(三) 确定审计项目 16(四) 确定审计工作时间 17三、审计计划的调整 17第二章审计操作流程 18第一节审计准备阶段 18一、确定审计项目 18二、确定项目主审人 18三、确定审计人员及分工 19四、下发审计通知书 19五、收集审计相关资料 19六、审计前会议 20第二节审计实施阶段 20一、入场会谈 20二、实施审计 20(一) 人员访谈 20(二) 识别业务的重大风险和控制 21(三) 穿行测试 22(四) 控制测试 23(五) 审计工作底稿编制 25三、审计发现、沟通与总结 25(一) 审计发现汇总 25(二) 审计发现沟通与总结 26第三节审计报告阶段 27一、起草审计报告初稿 27(一) 审计报告要求 27(二) 报告发送 28二、审计报告审核、审批 28三、审计报告声明 28第四节项目总结阶段 29一、审计项目总结 29二、审计项目管理 29第五节后续跟踪阶段 29一、整改计划审核、确认 29二、整改进程监控 30三、后续审计 30第三章质量监控 31一、持续评估 31二、自我评估 31三、外部评估 32第四章审计档案管理 33 一、立卷建档 33二、编写档案目录 33三、制作档案封面和档案管理 33第五章审计知识管理与共享 34第六章信息系统审计 35一、企业层面信息科技控制 35二、信息系统的一般控制 35三、信息系统的应用控制 37四、计算机辅助审计 39第一章审计方法论第一节审计类型一、常规审计常规审计是审计部实施最频繁的审计工作类型,也是审计部开展年度审计工作的主要内容。
若干常规审计项目构成了年度审计计划,这些项目可被归纳为两类:(一) 业务审计业务审计主要为1) 对业务单元、业务条线、职能部门或模块以及业务功能实施审计,2) 对某一个或一类特定的业务产品与服务实施审计,3) 对业务部门或产品服务提供支持的应用系统实施审计,该应用系统的审计通常作为业务流程审计中的一部分,并不单独立项实施审计工作。
业务审计的实施主要以流程为基础,运用一定审计方法,执行相关审计步骤,从而得出有效的审计结论并向管理层就业务功能和运作的提升提出改进建议。
执行业务审计的具体程序参见“第二章审计操作流程”。
(二) 信息系统审计信息系统审计是指对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。
具体而言,信息系统审计就是以信息系统为审计对象,通过现代的审计理论和信息科技管理理论,从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,以确定其是否能够有效可靠地达到组织的战略目标,并为改善和健全组织对信息系统的控制提出建议的过程。
二、特殊审计项目特殊审计项目是由于某一特殊事件或环境引发的要求审计部必须实施的审计项目,该审计项目未包含在基于风险评估结果而制定的年度审计计划内。
特殊审计项目可应本行高级管理层或监管当局要求发起。
审计部应向适当的管理层级汇报特殊审计项目的工作结果,并针对每个项目的性质确定是否出具正式的审计报告。
第二节审计宇宙与可审计单元一、审计宇宙审计宇宙,又称为审计工作范围框架,是一家银行内所有可以被审计的领域的集合。
建立审计宇宙是根据以风险为导向的审计方法论开展内部审计工作的首要基础。
审计部首次开展风险评估时,应与各业务/职能部门以会议或研讨的形式讨论并制定审计宇宙。
审计委员会和高级管理层审阅并批准审计部提交的经讨论达成一致的审计宇宙。
在确定银行的审计宇宙时,需要考虑的因素包括:(1) 内部审计的职能定位;(2) 银行的经营范围和业务领域;(3) 银行的组织架构和业务流程体系;(4) 外部监管机构的要求等。
审计部结合本行的经营管理特点建立了适于本行的审计宇宙,包括:(1) 主要业务条线,如公司银行业务条线,零售银行业务条线,个人银行业务条线,信用卡业务条线,资金业务条线,风险管理条线等;(2) 重大流程,如信贷服务,客户结算服务及风险管理等;重大流程又被划分为若干主要流程,如重大流程“信贷服务”分为申请处理,担保管理,贷后管理等主要流程。
审计宇宙的具体构成详见下页图示。
宁波银行审计宇宙示例审计部定期(至少每年)审阅审计宇宙并根据本行实际经营状况进行更新,与各业务/职能部门确认后提交高级管理层和审计委员会审批确定。
审计部根据更新后的审计宇宙开展风险评估活动。
由于定期更新,最新版本的审计宇宙以【审计管理信息系统】中显示的框架图为准。
二、可审计单元可审计单元根据不同的定义方法,可分为以下类别:(1) 一项业务或管理职能;(2) 一类业务或管理活动;(3) 一个业务职能部门;(4) 一条业务条线;(5) 一家分/支行;及(6) 一个具体项目或业务程序等。
审计部定期对可审计单元实施风险评估,根据风险评估结果制定项目审计计划,对可审计单元开展具体审计工作。
第三节风险评估一、风险评估前期准备(一) 了解本行的战略目标与发展预期审计部在实施风险评估前,与董事会、审计委员会以及高级管理层以会议或其他形式进行充分沟通,理解本行整体的战略目标与未来的业务发展预期,以及他们对内部审计的预期,继而确定内部审计工作重心,合理分配内部审计资源。
(二) 风险评估标准审计部会同风险管理部、各业务条线人员(及涉及的分支机构),共同制定《风险评估标准》,提交高级管理层审阅并最终确定。
该标准从风险因素可能导致的不利影响的程度和风险因素发生的可能性两方面综合考虑,为评估本行面临的所有重大业务风险的高低程度提供统一的判定标准。
在考虑风险因素可能导致的不利影响的程度时,审计部应首先决定从哪些风险因素方面评估本行面临的主要风险(如财务风险,操作风险,声誉风险等),且这些风险因素须与内部审计工作重心一致。
通常可通过制定定性和定量的标准来确定风险高低程度,如下图所示:风险评估标准示例影响程度:【风险评估标准】可能性:形成的风险程度:审计部定期(至少每年)审阅和重新评估《风险评估标准》,检查其列示的具体标准是否符合当前业务发展状况和管理要求。
如需更新该标准,审计部应于开展具体风险评估前提交高级管理层审阅并确定修改内容。
二、开展风险评估实施风险评估的目的是通过利用一种合理的方式对经选择的具体风险有效配置现有审计资源。
风险评估时,审计部识别、评估并记录本行流程和组织要素内的风险以及与风险相关的管理活动。
风险评估主要分为三个阶段:(一) 全面理解本行的业务熟悉并理解本行业务经营的范围和程度是实施风险评估的第一阶段。
于本阶段,审计部应评估本行整体的控制环境,确认对业务流程的理解,识别并与业务部门确认影响业务目标完成的最重大的固有风险,了解信息科技控制环境。
1.评估本行整体的控制环境此处的控制环境主要指管理层的控制意识和态度。
从以下四方面评估控制环境:(1) 管理层的控制意识和经营风格;(2) 银行诚信与道德标准;(3) 公司治理措施;(4) 组织架构和职责划分;及(5) 人力资源政策,人员素质和能力审计部如在以上方面发现重大事项或差异,应及时向审计委员会和高级管理层报告。
2.确认对业务流程的理解审计部与各业务条线部门以及职能部门沟通确认相关业务流程事项,并向其解释风险评估事项,包括以下方面:(1) 简要介绍审计宇宙和风险评估过程;(2) 简要介绍风险评估时如何运用风险评估标准;(3) 根据高级管理层设定的总体业务目标,将目标与审计宇宙中列示的重大流程相匹配;确认各业务部门的具体业务目标,确认每个重大流程以及相关重要流程的关键成功因素;(4) 确认重大流程的结构,识别流程负责人,了解流程主要内容;(5) 识别对重大流程存在影响的利益相关人和其他任何外部因素,发现影响流程且使其不能达到业务目标的风险;(6) 识别用于衡量关键成功因素的关键业绩指标,与管理层确认其是否使用关键业绩指标以监控流程的有效性;(7) 识别任何存在的总体风险;及(8) 讨论相关的信息科技事项,如,信息科技如何运用于各重大流程。
3.识别并确认重大固有风险审计部与各流程负责人以电话沟通、会议或其他形式讨论并确定重大流程中存在的最重大的固有风险。
这些风险可归类为:(1) 与利益相关者和/或外部因素相关;(2) 直接存在于本行的控制活动中;及(3) 存在于本行的控制活动之外。
4.了解信息科技控制环境审计部应了解应用于各重大流程的信息科技内容,在识别与评估其他银行风险时连同信息科技风险一同进行。
(二) 识别风险审计部利用在“(一)全面理解本行的业务”步骤中收集到的重大流程信息,为重大风险的识别工作提供充分指导,特别是识别那些存在于主要流程中且与内部审计工作重心相关的重要风险。
审计部针对主要流程具体开展以下工作:1.与主要流程的负责人讨论,清楚了解这些流程的目的与目标,相关的关键成功因素和关键业绩指标,以及高度概括的流程特点和流程中存在的重大风险;2.在上述1中涉及的具体信息的基础上,识别那些与流程相关的重大风险,了解:(1) 为确保流程运作达到业务目标,必须正确实施的工作及可能阻止这些工作发生的情况;(2) 流程中可能出错的地方,且其可能阻止业务目标的实现;(3) 信息科技和人力资源如何应用于流程且会产生哪些重大风险;(4) 设计的流程是否符合市场发展和环境变迁,如利益相关者的影响或外部因素;及(5) 流程是否存在任何可能导致财务损失或其他损失的固有因素。
3.与管理层讨论并确定识别的每一个风险。
(三) 评估风险通过评估与汇总每一个主要流程存在的风险从而形成一份总体的流程评估结果:1.按业务条线评估各主要流程存在的风险:审计部与各业务条线通过使用风险评估标准中列示的评估标准,决定本条线涉及的各主要流程存在风险的程度。
需注意的是风险评估标准仅作为衡量风险的一个标尺,审计人员在实际评估时仍需要依赖自身的专业判断。
因此审计人员必须记录得出评估结果的根本原因。
2.在不同业务条线中平衡同一个主要流程存在的风险:审计部审阅同一个主要流程在不同业务条线中得出的风险评估结果,不同业务条线下的风险程度可能不同。