中国城市商业银行内控 调查研究报告 清华大学继续教育学院金融培训中心 甫瀚咨询公司 2006年10月 1
简述 在中国银行业监督管理委员会实施《商业银行内部控制评价试行办法》(以下简称“9号令”)近2年以后,清华大学和甫瀚(Protiviti)共同组织了本次调查,以了解城市商业银行在公司治理与内部控制方面所面临的挑战, 同时为完善现有内部控制运作标准及为未来作深入的分析提供相应的基础。 对于9号令中未具体明确的内容,本次调查分析结论同时参考了中国银行业监督管理委员会于2006年6月27日发布的《银行业金融机构内部审计指引》(以下简称“指引”)。 调查发现,目前大部分城市商业银行已根据9号令要求开展内部控制的工作。其中虽然大部分机构对自身内部控制的评价介乎70分到90分之间(100分为满分),调查结果仍反映出国内城市商业银行在内控方面存在以下普遍现象: • 大部分银行虽然已建立了现代公司治理结构,但在具体职责划分上还不明晰,可能不能很好地发挥出董事会、监事会和管理层在公司治理中的作用; • 银行的信息系统建设普遍薄弱,内控活动在较大程度上还依赖人工控制,这有可能存在人工控制的固有隐患,并增加风险管理工作的难度; • 大部份内控工作的实施、评估、监测、沟通及培训皆以内部人员为主导,然而大部份受访者同时表示银行缺乏经验丰富的人员及有效工具或方法来进行自我评估及识别企业的风险,这可能不利于银行提升自身的内控能力;从反馈来看,银行迫切需要银监会提供更详细的工作指引,并希望得到外部专业机构的帮助,并由此得到从系统建设到具体操作方法更多的指导以及经验分享。 2
随着中国金融市场的开放以及随之而来的国际金融机构的进入,国内金融机构,特别是城市商业银行面临的竞争将日益激烈。如果没有完善的内控体系,国内的城市商业银行在与国际一流的金融机构展开竞争的时候,将很难取得优势。建立一流的内控体系除了是监管机构的要求外,也是银行股东的需求,更是满足广大储户利益保证的诉求,这对于银行的长远发展具有重大的意义。在完善内控体系的基础上,国内的城市商业银行也需要建立一个完善和畅通的沟通渠道,使所有法规和政策的变动都能够准确并及时地传达到机构里的每一位相关人员。 本次调研得到了国内各城市商业银行的大力支持和配合。我们籍此向他们表示衷心的感谢! 张陶伟博士 清华大学经济管理学院副教授 一、概述 1、您当前的职位? 参与者当中,62%是银行的高层管理者,其中有4名为监事长;5%来自内审部门,其中有2名在担任内部审计负责人或代表时,也兼任监事长。 根据9号令,监事会负责监督董事会和高级管理层完善内部控制体系;负责监督董事会及董事和高级管理人员履行内部控制职责。以上6名监事长,其身兼相互制约职位的非独立状态,可能会影响其在履行监督董事会和管理层职能时的有效性。 3
您当前的职位19%总经理和高级执行官内部审计负责人/内部2%审计代表合规部负责人/合规部代表12%财务部负责人/财务部62%代表5%其它 2、以下哪项能最好地描述您在内部控制中的参与程度?(可以多选) 所有的被调研者都不同层次地参与了公司的内部控制,部份还参与不止一个层面的内控工作。 在63%参与决策制定的受访者当中,有78% 为总经理或高层管理人员。而其他未参与决策的高层管理人员,基本上都参与了实施、讨论、评估或监督等活动。 其中,有2名兼任总经理或高层管理人员的监事长表示:他们参与了制定政策的工作。根据9号令,监事的责任本应是对管理层进行监督。如果监事自己同时是政策制定者,监督者和被监督者,其自主性、客观性和独立性会受到影响,不能真正发挥其对管理层应有的监督功能。 4
以下哪项能最好地描述您在内部控制中的参与程度?63%70%60%47%50%32%40%22%30%20%8%7%10%0%别别别讨知控级级级商告监策施询与被和决实咨参估定和问评制行顾责执负 3、贵机构对银监会2004年关于内部控制第9号令的实施进度如何? 超过80%的受访者表示已经启动了9号令的实施工作,其中20%的受访者表示其所属银行实施9号令的工作已经完成,64%的受访者表示实施工作还在进行中。这说明大多数银行对9号令给予了充分的重视。 贵机构对银监会2004年关于内部控制第9号令的实施进度如何?2%14%尚未启动进行中20%已经完成不清楚64% 5
4、贵机构是否有专门的团队负责实施该法规? 超过90% 的受访者表示,银行在实施9号令的工作方面都有内部团队的参与。约26%的受访者表示银行邀请了外部专业机构共同合作实施。银行在实施过程中面临缺乏经验丰富的员工等困难(结合第15项问题反馈所揭示),说明银行方面如需在短时期内达到内控建设的目标,需要得到更多外部的(包括来自监管部门、其他专业机构)的支持。 贵机构是否有专门的团队负责实施该法规?7%2%是,由内部团队负责24%是,由内部和外部团队合作完成是, 全部由外部团队负责不清楚67% 二、内部控制环境 5、贵机构由谁来负责审阅、批准内部控制方案以及确认此政策?(可以多选) 全部反馈中,近65%的受访者选择了由董事会或者董事会下设的审计委员会负责内控政策的批准及确认,有15%的受访者选择了监事会。根据9号令,监事会应当担任监督的角色,而不是批准和确认内部政策。说明,在实际操作中,由于对监事会的职能和权责的理解不够清晰,造成实际分工的不合理。 6
贵机构由谁来负责审阅、批准内部控制方案以及确认此政策?53%60%50%40%30%15%14%20%12%7%7%5%10%2%0%会会会师层它求楚事员事计理其要清董委监审管有不计部层没审内中 6、贵机构由谁来负责审阅、批准内部审计方案以及确认此政策?(可以多选) 只有43%的受访者表示是由董事会/审计委员会来批准及确认内部审计方案和政策,而大部分银行是由其他部门或通过其他方式来批准及确认的。根据指引,银行业金融机构的董事会负责建立和维护内部控制体系。没有设立董事会的,由高级管理层负责履行相关职责。我们不排除在24%的“其它”当中包括了高级管理层。由监事会审批内审方案的29%的受访者当中,76%是认为完全由监事会审批内审方案,董事会或审计委员会完全没有参与。这与9号令关于监事会是“负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责”,和“高级管理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估”的要求存在一定的矛盾。 7
贵机构由谁来负责审阅、批准内部审计方案以及确认此政策?35%29%29%30%24%25%20%14%15%10%5%5%3%2%5%0%会会会师层它求楚事员事计理其要清董委监审管有不计部层没审内中 7、内部审计部门负责向谁汇报情况?(可以多选) 58人回答了这个问题。其中,48%的受访者表示是向董事会/审计委员会汇报工作,62%表示是向管理层汇报。我们发现,大部分参与调研的内控部门、信贷部门、风险部门的人员认为是向董事会或审计委员会提交审计报告。9号令规定内部审计部门应该向董事会或审计委员会提交审计报告。根据指引,没有设立董事会的,由高级管理层负责履行相关职责。反馈的信息可能反映出几方面的可能原因:一是确实很多银行的内审部门仅仅向管理层汇报,而未向董事会/审计委员会汇报;二是有可能因为高管层大都是董事会成员,所以实际工作中有交叉,造成反馈信息的出入; 三是有可能有些银行未建立董事会或审计委员会。 8
内部审计部门负责向谁汇报情况?70%62%60%48%50%40%30%20%10%3%0%董事会/审计委员会管理层其它 8、贵机构内部审计师的资历(可以多选) 57人回答了这个问题。各银行配备的内部审计师中超过61%的人员具有特定领域的专业知识,而具有银行各领域一般知识的占到23%。这说明大部分内审人员已具备从事银行业审计的相关知识,但是银行还是有必要按照9号令以及指引的要求来复核和提升内部审计机构人员的素质,以使他们能更好的履行银行对内控管理的要求。 贵机构内部审计师的资历?61%70%60%50%40%23%30%18%20%10%0% 9、在贵机构,内部审计师占全体员工的比例是多少(不包括第三方工作人员的数量, 比如咨询师等等)? 9具备银行各领域的一般知识具备某些特定领域的专业知识两者都是
58人回答了这个问题。其中,大约43%的人表示商业银行的审计人员比例不足1%。这与指引中要求的1%的最低比例有差距,与内部审计人员通常占人力资源总数2%至5%的国际商业银行水平相比,差距更大,说明国内银行需要在内部审计机构的建设上投入更多的资源。 在贵机构,内部审计师占全体员工的比例是多少(不包括第三方工作人员的数量, 比如咨询师等等)?2%5%多于5%1%到5%之间少于1%50%43%不清楚 10、贵机构的内部审计师如何提高其能力?(可以多选) 57人回答了这个问题。关于自身机构的内部审计师能力的提高,受访者中68%认为是通过实战经验来自我培训;46%认为是通过内部培训;认为由外部培训师定期培训的占到54%。但是,约80%的监事机构的高管、内审及合规部门的人员认为一般都是综合实战经验自我培训和内部培训来实现。这说明银行机构的内部审计师在提高能力的方式中,工作实践和有计划有组织的培训都是并重的。 10
贵机构的内部审计师如何提高其能力?80%68%70%54%60%46%50%40%30%20%4%4%10%0% 11、是否提交关于内部风险和控制的(由内部审计师,外部审计师或银监会提出的缺陷)正式或非正式报告给董事会? 58人回答了这个问题。有超过50%的受访者认为只是偶尔提交报告给董事会;5%的人认为从来没有;40%的人认为经常提交报告给董事会。根据指引,首席审计官和内部审计部门应按季向董事会报告审计工作情况,每年至少一次向董事会提交包括履职情况,审计发现和建议等内容的审计工作报告。前述结果表示,今后商业银行的董事会需要更加积极主动地参与内部控制的监督工作。 是否提交关于内部风险和控制的(由内部审计师,外部审计师或银监会提出的缺陷)正式或非正式报告给董事会?2%5%经常40%偶尔从没有不清楚53% 11由内部培训师定期培训由外部培训师定期培训通过实战经验自我培训他们无需培训,因为他们具有丰富的经验不清楚
12、总体而言,您认为贵机构在内部控制方面能取得几分(5=最好, 1=最差) ? 只有8%的受访者表示本机构的内部控制只能取得2分,这反映了大部分银行对本机构的内控比较有信心。当然,超过一半的机构自我评分为3分,又说明很多银行人员也意识到在经营和内控管理方面还有很多需要改进的领域。 总体而言,您认为贵机构在内部控制方面能取得几分(5=最好, 1=最差) ?5%8%2334%4553% 三、风险识别和评估 13、贵机构是否已经进行风险评估(定期的执行标准化的风险分析方法使其能覆盖所有的活动和银行机构)? 根据反馈,80%的银行对机构面临的风险进行了部分或完整的评估:22%表示进行了整个机构及所有风险的评估,58%的受访者表示进行了部分评估(不是对整个机构的评估);还有10%表示没有进行风险评估。在受访者中,风险控制部门和信贷部门的人员,包括绝大多数的监事长,都表示只进行了部分评估。这反映了国内商业银行的全面风险管理工作才刚刚起步,仍有很多进展的空间。 12
贵机构是否已经进行风险评估是,整个机构范围(定期的执行标准化的风险分析方法的评估(包括整个使其能覆盖所有的活动和银行机构)?机构和所有风险)10%22%是,但仅进行部分10%评估(不是整个机构的评估)没有不清楚58% 14、贵机构采用或打算采用哪种风险评估方法? 超过51%的受访者表示,其银行采用或打算采用以业务流程为基础的风险评估方法;采用以公司整体为基础的风险评估方法的有17%;两者都有的占到20%。 这说明大部分银行着重于业务流程为起点来进行风险评估。然而,以公司整体为基础的高层面风险评估,自上而下的风险管理模式以及以公司整体为基础的控制环境评估往往是决定流程控制有效性的基础。这反映了国内商业银行在风险评估方法这方面还未成熟。 贵机构采用或打算采用哪种风险评估方法?基于各个业务流程的方法(不包括信贷审批和7%监控流程)5%基于公司整体的方法(不包括基于具体地理位置的评估方法)两者都有20%51%其它不清楚17% 13
15、您认为在风险评估过程中可能遇到的主要困难是什么?(可以多选) 超过60%的受访者认为其银行缺乏协助评估风险的IT系统及经验丰富的员工,将近70%的受访者反馈其银行难以识别机构中的全部风险。这反映了银行缺乏充分的内部资源及有效的评估工具或方法来进行评估工作,也同时说明了有需要引入外部专业指导和培训。 您认为在风险评估过程中可能遇到的主要困难是什么?71%80%68%68%70%60%50%40%30%20%5%2%10%0% 16、如果贵机构已经实施了风险评估活动,那么如何处理高风险的领域?(可以多选) 78% 的受访者表示主要通过人工控制的方法处理高风险领域,69%表示通过审计方案及后续的改善方案来处理,19%表示通过自动控制来处理。这一方面反映了大部分银行都积极采取措施来处理高风险领域以控制风险。另一方面也反映出银行在很大程度上是依赖具有专业技能的员工进行人工控制来处理高风险领域。而结合我们之前的分析,目前银行内控人员的专业能力还有待提升,因此高度依赖人工控制会增加发生错误的可能,同时也表明银行以IT为基础的系统控制能力有待建设与加强。 14难以识别机构中的全部风险缺乏经验丰富的员工来完成评估活动缺乏协助评估的系统其它不清楚
如果贵机构已经实施了风险评估活动,那么如何处理高风险的领域?100%78%69%80%60%40%19%7%7%20%3%0% 17、贵机构如何确保外部环境和监管的变化体现在政策,程序和指南上?(可以多选) 51%的受访者表示由内审部门牵头完成,41%表示由专门的管理委员会牵头完成,36%表示由合规部牵头完成。这反映了在确保外部环境和监管的变化及时体现在银行政策,程序和指南方面,内部审计部门发挥了重要的作用。 贵机构如何确保外部环境和监管的变化体现在政策,程序和指南上?60%51%50%41%36%40%30%14%20%12%3%10%0% 15由合规部牵头制定并完成主要通过自动控制由内部审计部门来牵头制定并完成主要通过人工由外部顾问协助牵控制头制定并完成由专门的管理委员通过审计方案会牵头制定并完成(如新产品委员会及后续的改善…)方案其它通过风险共担不清楚尚未发现高风险领域其它
四、控制活动 18、贵机构如何确保所使用的数据的可靠性?(可以多选) 57人回答了这个问题。58%的受访者表示是通过自动的核对流程,19%表示通过自动检查和抽样检查,14%表示通过系统之间的核对配比,有65%是通过人工检查和抽样检查的情况。这一结果表明,城市商业银行在信息可靠性上采用了多重的方式来保证,其中高比例借助于系统帮助的选择说明国内城市商业银行已经在系统建设方面有了一定程度的进展。但是,我们注意到只有不到60%的机构在操作中采用了系统自动核对的方法,说明国内城市商业银行还需积极推进信息系统建设来提高检查的效率,及时性和覆盖率,以避免人工操作可能导致的错误、主观性误差、舞弊等问题,从而保证数据的可靠性。 贵机构如何确保所使用的数据的可靠性?65%70%58%60%50%40%30%19%14%20%7%4%4%10%0% 19、贵机构如何确保重大决定经过适当的审批?(可以多选) 54%表示是通过政策和流程审批重大决定;37%的反馈是由董事会/审计委员会审批;51%是由风险管理委员会审批;由董事会代表管理的占5%。由此可以看出,政策和流程的建设还需加强,以保证机构内控体系的规范,降低人为因素的干扰;同时,董事会/审计委员会、风险管理委员会的参与也还需要加强。 16通过自动的核对流程通过抽样和人工检查通过抽样和自动检查通过系统之间核对配比无法确保其它不清楚
贵机构如何确保重大决定经过适当的审批?54%60%51%50%37%40%30%20%7%5%10%0% 20、贵机构是否已建立监管程序以减少违规行为并及时向管理层报告异常活动? 86%的受访者反馈已经建立监管程序以减少违规行为并及时向管理层报告异常活动,只有7%表示还没有建立。这反映了银行对减少违规行为的重视,已采取了积极的措施来对该问题进行监管。 贵机构是否已建立监管程序以减少违规行为并及时向管理层报告异常活动?7%7%是否不清楚86% 21、贵机构是否建立了信息系统安全管理政策(正式的书面流程)? 58人回答了这个问题。近70%的受访者表示其银行已建立了信息系统安全管理政策,另外有22%表示没有建立,9%表示不清楚。这反映了有超过30%的机构在信息系统安全管理政策建设方面还存在差距。 17通过政策和流程由董事会/审计委员会审阅董事会代表的管理风险管理委员会其它
贵机构是否建立了信息系统安全管理政策(正式的书面流程)?9%22%是否不清楚69% 22、贵机构是否使用安全管理系统(如权限管理和使用者资料维护和监控)? 这个问题的反馈与21题具有很大相关性,从大概的比例上看也基本趋同:大部分已经建立信息安全管理系统的机构正在使用这套系统,但也有不少机构虽然建立了安全管理系统,却并没有有效地使用。所以,这方面的工作还有待进一步加强。 贵机构是否使用安全管理系统(如权限管理和使用者资料维护和监控)?12%17%是否不清楚71% 18
23、贵机构是否建立了系统应急和恢复预案(以防系统崩溃…)? 这个结论的比例分布与21、22题也基本相同。但是,其中从来自内审部门的反馈来看,大部分人选择的是不清楚,说明内审部门参与系统审计的工作不多或者是企业正在建立。由于这方面的调研资料较少,所以相关结论还需作进一步调查。但是由于系统应急和恢复预案机制对银行数据的重要性,我们认为无论上述哪种可能性,这方面的工作都有重视的需要。 贵机构是否建立了系统应急和恢复预案(以防系统崩溃…)?17%是15%否不清楚68% 24、万一发生运营损失,贵机构是否有规章制度对之进行处理? 89%的受访者表示其银行建立了处理运营损失方面的规章制度,说明国内商业银行在这方面的制度建设相对虽然完善,但仍部分银行缺少相关政策,反应机制的缺失将可能直接造成银行以及储户更大的损失。 19
万一发生运营损失,贵机构是否有规章制度对之进行处理?8%3%是否不清楚89% 五、信息交流和沟通系统 25、贵机构如何管理内部控制文档?(可以多选) 66%的受访者表示是通过对建立所有内控文档的格式化标准(如政策、流程、和审计报告)来管理;8%的是依赖内控政策及其补充材料的数据库来管理内控文档。 对文档进行标准化的格式管理有助于统一文档的记录形式与内容,避免发生必需项目的遗漏或缺失。商业银行应在此基础上,考虑是否已在标准中提出了确保内控文档的变化管理和接近限制等要求。 贵机构如何管理内部控制文档?66%70%60%50%40%30%15%14%20%8%10%0% 20通过拥有所有内控政策及其补充材料的数据库通过所有内控文件的标准格式(政策、流程、审计报告…)都不是不清楚
26、贵机构是否有行为准则或道德规范并且进行定期更新? 57人回答了这个问题。大部分受访者表示(86%)其银行有行为准则,并能够定期更新。5%的受访者的回答是没有,9%的受访者的回答是不清楚。反馈反映出大部分银行对行为准则和道德规范給予了相当的重视,并积极推动,但是在有14%人回答没有或不清楚的前提下,我们可以了解到还是有一部分银行没有建立规范或者建立了并没有推动。由于银行业的性质以及发生舞弊后果的严重性,我们认为从员工的执业操守和道德着手去教育和规范,是相当必要的,也是银行整体控制环境中重要的环节,全面启动刻不容缓。 贵机构是否有行为准则或道德规范并且进行定期更新?9%5%是否不清楚86% 27、贵机构最近一次提高员工内控意识的方法是?(可以多选) 58人回答了这个问题。关于最近一次提高员工的内控意识,76%的受访者表示,其银行是通过组织研讨会和定期培训来实现;47%的受访者是通过定期与员工交流新政策或口头交流;33%是通过有主题的邮件/电子邮件/内部宣传物。这说明各银行对提高员工的内控意识均非常重视,而且方式多样,研讨会和定期培训是城市商业银行提高内控意识的最常用的方式。 21
贵机构最近一次提高员工内控意识的方法是?76%80%70%60%47%50%33%40%30%16%20%10%0% 六、监督评价与纠正 28、贵机构如何持续地评估内部控制绩效?(可以多选) 86%的受访者表示是采用制定绩效指标的方法评估内控绩效;69%是通过内部审计部门抽样审查的方法;19%是通过员工的自我风险评估。制定绩效指标的方法广泛为各银行所用,这种方法从结果入手,简单有效。同时,流程管理和评估也很重要,因而很多银行采用由内部审计部门抽样审查的方式来检查内控体系,以发现内控中存在的问题。在调查中我们发现,自我风险评估方法使用较少。如果在使用上述两种方法的同时加强员工的自我风险评估,这将有利于员工风险意识的提高及对风险控制活动的参与度。 22组织研讨会和定期培训有主题的邮件/电子邮件/内部宣传物定期与员工交流新政策或口头交流其它
贵机构如何持续地评估内部控制绩效?86%100%69%80%60%40%19%7%20%0% 29、贵机构是否定期(至少年度)对内部控制的有效性进行评估?(可以多选) 85%的受访者表示其银行定期对内控的有效性进行评估:认为由管理层负责的占到44%,由内部审计师完成的占到27%,认为是由独立的外部机构完成的占到14%。约24%的人表示没有定期进行评估。从反馈中我们可以发现大部分银行已开始定期进行评估,但主要通过利用内部资源来完成评估。 贵机构是否定期(至少年度)对内部控制的有效性进行评估?44%50%40%27%30%14%14%20%10%10%0% 30、贵机构如何进行违规行为以及后续整改措施的跟踪?(可以多选) 23是,由内部审计师完成员工风险的自我评估是,由管理层负责是,由独立的内部审计部门外部机构完成抽样审查没有, 只是在特殊情况下进行制定绩效指标目前为止还没有其它
12%的受访者表示是由董事会/审计委员会参与,75%表示是由管理层负责,68%由内审负责跟踪。我们由此可以看出管理层积极参与违规行为及整改的跟踪,但同时也反映出国内商业银行的董事会/审计委员会在这方面的参与程度有待提升。 贵机构如何进行违规行为以及后续整改措施的跟踪?75%80%68%70%60%50%40%30%12%20%3%10%0% 31、总体而言,您认为贵机构的风险管理和内部控制是否有效? 83%的受访者认为自己银行的风险管理和内控还有待提高;认为有效的占17%,其中,所有来自内控和风险部门的人员反馈都是有待提高。因此,国内城市商业银行需继续加强在内控方面的努力是得到各受访者共识的结论。 总体而言,您认为贵机构的风险管理和内部控制是否有效?17%有效的有待提高83% 24由董事会/审计委员会参与由管理层负责由内审负责跟踪由专用管理软件负责跟踪
七、结论 32、银监会或其派出机构是否已经审核了贵机构的内控体系? 58人回答了这个问题。大部分受访者(接近70%)表示银监会已完成其所属银行内控体系的审核,只有12%的受访者表示监管机构的审核还未完成,这表明银监会也正在积极推进国内城市商业银行内控体系的建设,按照9号令的要求在履行其监督职能。 银监会或其派出机构是否已经审核了贵机构的内控体系?19%是否12%不清楚69% 33、如果问题31的回答是肯定的,贵机构的自我综合评分是多少? 54人回答了这个问题,其中90分以上的占到9%;67%认为得分在70分到90分之间;17%认为在70分以下。总体上,大部分受访者对自己银行的自我评价在70—90分之间,这说明大部分银行认为虽然其在实施及加强内控建设方面已达到一定水准,但仍有进一步完善的空间和领域。 25
如果问题31回答是,贵机构的自我综合评分是多少?7%9%17%90分以上70分到90分之间70分以下不清楚67% 34、您认为贵机构是否需要更多有关如何实施银监会内控要求的指导? 57人回答了这个问题,86%的受访者表示需要更多有关如何实施银监会内控要求的指导,其中,被调研的高层管理者几乎全部都表示需要这种指导。这表明,大部分受访者都希望能够在银监会的指导下,以进一步提升银行的内控水准,从而加强对风险的管理。 您认为贵机构是否需要更多有关如何实施银监会内控要求的指导?12%2%是否不清楚86% 35、您认为贵机构有待提高的主要领域是什么?(可以多选) 50人回答了这个问题,其中,50%的人希望在管理层监督和控制环境方面得到改善;68%希望在风险类型和识别过程方法方面提高水平;20%希望在控制活动 26
方面得到加强;30%希望在信息交流和沟通系统控制要求方面得到加强;40%希望在自我评估和监测流程方面得到提高。因此可以推断,商业银行人员已经意识到其在风险评估、高层监督、控制环境等领域的能力上需要得到更多的提升和加强,才能满足内部控制目标的需要。 如果问题34的回答是肯定的,您认为贵机构有待提高的主要领域是什么?80%68%70%50%60%50%40%30%40%20%30%20%2%10%0% 调查方法 • 调查概述:这次内控调查于2006年5月27日至7月31日期间进行。调查问卷由35条问题组成,划分为以下7个主要部分: 一、 概述 二、 内部控制环境 三、 风险识别和评估 四、 控制活动 五、 信息交流和沟通系统 六、 监督评价与纠正 七、 结论 27管理层监督和控制环境风险类型和识别过程方法控制活动 信息和交流系统控制要求自我评估和监控流程不清楚
这次调查的目的是就国内城市商业行根据银监会于2004年12月颁布的9号令对内控进行自我评估的情况广泛地收集信息,以及对调查结果作出分析,以便为内控框架的改善提供指引并为日后的进一步分析奠定基础。 • 受访者来源:由清华大学继续教育学院金融培训中心分发调查问卷,情况如下: o 2006年5月27日,若干城市商业银行及其农村合作社在清华大学的演讲厅举行讲座,调查机构向17位出席者发出了调查问卷,并于会后查刻并收回17份填妥的问卷。 o 于2006年6月1日至7月20日期间,调查机构的代表分为两组,致电其余的城市商业银行并向同意参与调查的银行发出问卷。截至2006年7月31日,我们已收到42份由不同城市商业银行完成的问卷,剩余的有些是无意参与,有些则是于运送途中遗失问卷。 o 总结这次调查,共有48间城市商业银行参与,收回59位受访者的完成问卷。 28
关于甫瀚 甫瀚是一家提供独立内部审计以及业务与技术风险咨询服务的专业公司,在业内处于领先地位。我们帮助客户确定、评估和管理他们在其行业内所遇到的经营及技术方面的风险,并协助客户执行有关程序及控制,以确保他们能够进行持续监督。甫瀚协助公司进行萨班斯法案的合规工作,帮助他们记录对财务报告的内部控制,以及披露控制与程序,就流程及控制提供设计和改进建议,并负责组织和管理萨班斯法案的各种合规项目。 甫瀚是Robert Half国际有限公司(纽约证券交易所:RHI)的全资附属公司。Robert Half在北美、欧洲、亚洲及澳洲设有40多家分支机构。 内部审计服务 甫瀚为管理层、董事及内部审计人员提供全面的服务、技术和技能。我们提供世界一流的方法和工具。通过我们广泛的网络,我们能够在适当的时间、地点提供适当的资源,从而满足贵公司的需求。我们还就质量保证审核工作提供富有创意且灵活的方法,其中包括发表标准的合规报告到协助贵公司全面提升并改善现有的能力。此外,我们更能为贵公司的内部审计人员及系统提供持续的帮助。 甫瀚在内部审计领域提供的服务包括(但不限于): 29
审计委员会的咨询 项目分包及专业的资源增值服务 完全外包 内部审计技术及工具的实施 内部审计质量评估及对准备度的审核 内部审计改革 信息技术审计服务 就内审的建立及发展提供建议 信息技术内部审计分包业务及萨班斯法案合规工作中与信息技术有关的解决方案 甫瀚就信息技术内部审计提供广泛的分包及外包方案。我们的信息技术内部审计人员拥有丰富的经验,可以提供各种信息技术审计服务,从确定审计范围、进行风险评估、制定年度工作计划到执行与技术有关的各类型内部审计,我们都能胜任。我们也就萨班斯法案合规工作的技术风险及各种控制提供咨询服务。此外,我们还提供各种专业技能,包括记录关键的业务流程、确定风险及建议有效的控制、分析绩效差距,并协助实施可以加强控制的行动计划等。 我们帮助公司理解并评估以下技术风险: 技术审计的筹划及风险评估 应用的控制审核及内部审计 30
安全性的评估及内部审计 业务的持续性 技术流程的控制审核及内部审计 对变更的控制和管理 安全性管理 数据中心的运作及对问题的管理 资产管理 31
北美 美国 + 加拿大 + 欧洲 法国 + 德国 + 荷兰 + 32
意大利 + 英国 + 拉丁美洲 巴西 + 墨西哥 + @ 秘鲁 + @ 委内瑞拉 33
+ @ 亚太 澳洲 + 中国 + 日本 ++ 韩国 + 新西兰 34
@ 新加坡 + 印度 + 甫瀚是一家提供独立内部审计及风险咨询服务的专业公司,在业内处于领先地位。我们帮助客户确定、评估和管理他们在其行业内所遇到的经营及技术方面的风险,并协助客户执行有关程序及控制,以确保他们能够进行持续监督。此外,我们还提供全面的内部审计服务,利用专业的技能与技术专长来实现业务风险管理及内部审计职能的持续转变。 甫瀚并非一间公众会计师事务所,因此并不就财务报表发表任何意见或提供任何鉴证服务。 本文所含信息仅供一般性参考,并不针对个别人士或企业的特殊情况。尽管我们力求能够提供准确及时的信息,但我们不能确保这些信息在获取时仍是准确的或者在未来也可以继续使用。在未对具体情况进行彻底的检查并寻求专业意见之前,任何人均不得根据这些信息采取任何行动。 35