内部控制课件——第六章内部控制的监督.pptVIP

* 中信银行网银系统现重大漏洞 银行客户资金被盗并不稀奇，但如果是由于银行的技术原因导致客户资金被盗，那么这个问题就变得严重起来。中信银行就出现了这样的问题。 1.有漏洞的网银系统 信息系统对银行来说就是遍布全身的神经和血管,如果这个系统存在重大的漏洞,对银行的威胁将是致命的。 近年来,中信银行网上银行发展迅猛。据统计,2009年上半年,中信银行个人网银证书用户达到了146.26万,比上年末增长35.89%;个人网银交易量达774.82亿元人民币,为去年同期的3.12倍。 * 银监会此前还一直要求各商业银行要从保护广大储户利益出发,在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,对业务连续性管理也加以规范,保障客户数据安全和服务连续。 知情人士透露,中信银行9名客户的网上银行账户被盗,而且是在短短一两天内发生,这说明中信银行确实没有足够重视网银的安全性问题,对系统的漏洞没有及时发现,致使犯罪分子作案得逞,客户资金遭受损失。 * 2.信贷管理系统存在功能缺陷 不仅仅是个人网上银行存在重大漏洞,中信银行的信贷管理系统也存在缺陷。 据有关人士透露,监管部门已经认定,中信银行的信贷管理系统存在缺陷,没有将集团客户认定环节设定在授信流程中,无法对集团客户授信进行有效的控制。 * 此外,该信贷管理系统还存在基础信息缺失、重要功能缺失、模块功能没有得到有效使用的情形,影响了系统功能的发挥。 对于银行而言,信贷管理系统控制着银行几乎所有的信贷资产,每一笔贷款都在信贷管理系统平台上审核、批准。中信银行信贷管理系统存在缺陷,这种影响将是系统性的,该行近万亿元贷款安全受到考验。 * 二、评估控制结果 对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形，企业应当认定针对这些整体控制目标的内部控制是有效的。 对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形，企业应当认定针对该项整体控制目标的内部控制是无效的。 对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效性的情形，内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性，确定其对整体控制目标有效性评价的影响。 * 三、记录与报告 企业应组织对内部控制体系进行设计和记录，形成一系列文件，包括：业务流程描述、风险控制文档、控制程序文件、风险数据库、自评表等。 评估人员将评估过程及结果（包括存在的问题和已有的改正措施）进行记录，报负责人复核。被评估单位对评估结果签字确认。 企业应制定相关的管理规定，明确缺陷报告的职责、报告的内容，对缺陷报告程序及跟进措施等方面进行规范。 * 第三节 内部控制评价 * 一、内部控制评价的定义 内部控制评价一般是指由专门的机构或人员，通过对单位会计控制系统的了解、测试和评价，对其完整性、合理性及有效性提出意见，并进行报告，以利于单位进一步健全和完善内部控制体系。 * 二、内部控制评价的标准和内容 （一）内部控制评价的标准 内部控制评价的标准是指进行内部控制评价时遵循的范本。 完整性 合理性 有效性 一般标准 要素标准 作业标准 具体标准 内部控制评价标准 * 一般标准 （1）完整性 内部控制的完整性是指企业应根据生产经营的需要制定全面的内部控制制度，同时企业应对生产经营活动的全过程自始至终进行控制。 （2）合理性 内部控制的合理性是指内部控制设计和执行的适用性和经济性。 （3）有效性 内部控制的有效性是指企业的内部控制政策和措施应符合国家法律、法规的相关规定，不能有与法律、法规相抵触的地方；同时内部控制制度也要设计完整、合理，在企业生产过程中能够得到有效贯彻执行，并实现内部控制的目标。 * 具体标准 （1）内部控制要素评价标准按照COSO报告分为控制环境、风险评估、控制活动、信息与沟通、监督五个方面来制定。 （2）内部控制作业层次评价标准主要是控制活动要素的细化，控制活动是确保管理层的指令得以实现的政策和程序，旨在帮助企业针对风险采取必要的行动。 * 案例7-7 销售管理内控项目评价标准表 某公司销售管理部门拟对部门内部控制的有效性进行评价，针对这一目标，对销售与收款项目首先按照内部控制的五要素进行分解，然后再将每一个要素分解为具体的评分内容，采用具体的内控评价方法对其进行评价，明确其风险等级评价方法以及权重。H代表高风险，M代表中等风险，L代表低风险。 * 销售管理内控项目评价标准表 内控要素 内控评价项目 风险 等级 评价方法 权重 控制环境 部门是否建立了与公司内控管理秩序相一致的销售管理程序？ M 询问检查 3 是否对全体销售人员