《商业银行内部控制试行评价办法》和《商业银行内部控制指引》培训讲义.ppt

* * 1）什么是运行控制？实施与运行， 2）特别情况：重大事项 3）实物限制： 3）双重保管：内部牵制是基于以下两个基本设想：①两个或以上的人或部门无意识地犯同样错误的机会是很小的；②两个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。实践证明这些设想是合理的，内部牵制机制确实有效地减少了错误和舞弊行为， 4）遵循风险暴露限制的情况： 5）所采用的风险管理模型结果： * 1）控制要点： 2）文件化程序、文件化： 3）连续记录和监督检查 4）外包/采购的风险控制，举例说明 5）设计过程，举例说明 * 1）为什么需要信息安全？ 信息及支持过程，系统和网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。?? 组织及其信息系统和网络面临着越来越多、大范围来源的安全威胁，包括计算机辅助欺诈、商业间谍、怠工、阴谋破坏行为、火灾和水灾等。由诸如计算机病毒、电脑黑客和服务器入侵否认等行为而引起的资源破坏已变得越来越普遍、损失越来越大、轻型越来越错综复杂。2）信息安全的三大特性： 保密性/安全性：确保信息仅可让经授权的人士访问；?? 完整性：确保信息和处理方法的准确性和完善性；?? 可用性：确保经授权的用户在需要时可获取信息和相应的资产。 * 1）意外事件：可能造成损失，也可能不造成损失 2）什么叫应急预案？ 3）适用状态的定义： 4）应急预案的评审：定义、解释、评审的时间 * * * * 1）符合性：满足监管机构、法律法规要求 2）有效性：内控目标得到实现的程度 3）评价结论：有效、基本有效、失效/严重失效。 4）内部评价、外部评价 * 1）符合性：满足监管机构、法律法规要求 2）有效性：内控目标得到实现的程度 3）评价结论：有效、基本有效、失效/严重失效。 4）内部评价、外部评价 * 1）持续改进，PDCA循环，一种机制，ISO定义：增强满足要求的能力的循环活动。 * * 1）信息交流的重要性：分析所有风险产生的原因、发生的违规、案件，都与信息交流有关系 2） * 2）文件化的特点： 举例： （斜坡理论），小球无外力，就会下滑，加一挡板，小球就不会下滑，保持这个高度，并且如有外力，小球会提高一个高度。 小球管理；挡板文件化、制度约束；高度管理水平。 3）文件在满足充分性和有效性的前提下，应做到最小化。 * 1）文件化程序？还是文件化程序？ 2）批准的目的是什么？确保文件的内容是适宜的、充分的 3）评审、修订、确认：是对文件内容的要求 4）有效版本：对文件自身的要求 5）失效、标识：对文件自身的要求 6）“留存的档案性文件和资料应予以适当标识”：与内控标准相比，是新增加的内容 7）外来文件：。。。。 对于一级分行来说，总行的文件是外来文件 * 1）记录：活动的证据，生成、标识。。。。。 注意：记录，作为证据，客观、真实，没有批准和修改的要求。 2）记录与附录的区别 * * * 应当对照评价准则来评价收集到的评价证据，以形成评价发现。评价发现能表明符合或不符合评价准则。当评价目的有规定时，评价发现能识别改进的机会。 评价组应当根据需要在评价的适当阶段共同评审评价发现。 应当汇总与评价准则的符合情况，指明所评价的场所、职能或过程。如果评价计划有规定，还应当记录具体的符合的评价发现及其支持的评价证据。 应当记录不合规项及其支持的评价证据。可以对不合规项进行分级。应当与受评价方一起评审不符合，以确认评价证据的准确性，并使受评价方理解不符合。应当努力解决对评价证据和（或）评价发现有分歧的问题，并记录尚未解决的问题。 * 从单纯的业务监管向体系监管与业务监管相结合转变 从被动查问题到督促商业银行主动建设内控体系转变 从要求商业银行建立具体业务规章到引导其建立持续改进的机制转变 从间断、零散的检查向连续、系统、正面的评价转变。 正面的评价（证明内部控制符合要求，而不是证明不符合要求 * * 监管机构及法律法规要求 商业银行内部控制评价办法 内部控制体系文件 * ，如评价组的办公场所、食宿交通的安排等；评价计划发布后原则上不作更改，如协商一致可调整审核时间、次序等 * 看审核计划(对象/时间/主要条款/支持性条款) 看该区域的职能分配(主办/协办) 看依据文件,了解活动过程及其本部门在其活动过程中的职能,确定审核重点 设计审核思路,包括该场所的主体思路(侧重于体系过程)与各活动过程的审核思路(从总体到具体,具体到总体,顺向,逆向),风险识别评估、制定方案、实施、监测、改进的思路。 依据体系文件编制检查表,明确审核内容与审核方法;关注体系文件的问题(不符合/不衔接/自相矛盾/不具体等) 对照审核计