工行內(nèi)控案例

1、某銀行內(nèi)部控制審計典型案例研究一、 成立時間：1984年，2006年上市。二、 內(nèi)部控制概況該行引入COSO內(nèi)部控制五要素理念，實施商業(yè)銀行內(nèi)部控制指引、上海證券交易所上市公司內(nèi)部控制指引和企業(yè)內(nèi)部控制基本規(guī)范，制定內(nèi)部控制建設規(guī)劃和內(nèi)部控制制度，由董事會、各級管理層、監(jiān)事會和全體員工實施，決策、執(zhí)行、監(jiān)督相互制衡。分別由業(yè)務部門-第一道內(nèi)部控制防線風險管理部門-第二道內(nèi)部控制防線內(nèi)部監(jiān)督部門-第三道內(nèi)部控制防線2004年7月起建設全面風險管理體系2006年改革內(nèi)部組織架構(gòu)內(nèi)部審計部門直接向董事會負責并報告工作，并垂直下設十個內(nèi)部審計分部，負責涵蓋內(nèi)部控制的獨立審計；內(nèi)控合規(guī)部門，在總行和各級

2、分行設立的對高級管理層和管理層負責的負責牽頭內(nèi)部控制建設、操作風險管理和合規(guī)風險管理。三、 內(nèi)部控制審計概況1、上市當年，上交所上市公司內(nèi)部控制指引發(fā)布實施，該行內(nèi)部審計部門開始嘗試內(nèi)部控制專項審計。2、2007年起具體組織實施年度內(nèi)部控制評價，經(jīng)過三年的探索、借鑒、創(chuàng)新，逐步形成較為完善的內(nèi)部控制審計體系。3、內(nèi)部控制專項審計和年度審計項目納入年度審計計劃，經(jīng)董事會審計委員會審議、董事會審議批準后實施。三年來，該行內(nèi)部審計部門采取非現(xiàn)場監(jiān)測和現(xiàn)場測試相結(jié)合、審計檢查和審計調(diào)研相結(jié)合的方式，共實施了140多項審計活動，基本覆蓋了該行公司治理、風險管理、內(nèi)部控制全過程。四、 內(nèi)部控制年度審計1、

3、 公司層面2、 流程層面3、 信息技術(shù)控制層面4、 并表管理審計-母銀行及附屬公司的內(nèi)部控制 公司層面控制的審計內(nèi)容主要關(guān)注公司治理、人力資源、企業(yè)文化、社會責任等管理層面的控制領(lǐng)域，圍繞內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等五大控制要素展開，分為17個領(lǐng)域和82個子領(lǐng)域（如表所示）。每個領(lǐng)域下再細分為若干個關(guān)鍵風險點和控制點。 公司層面控制審計序號索引號控制要素控制領(lǐng)域子領(lǐng)域1A內(nèi)部環(huán)境A.公司治理A1.治理結(jié)構(gòu)A2.職責分工、職責邊界及制衡機制A3.決策機制和議事規(guī)則A4.監(jiān)督與問責機制2BB.管理層基調(diào)與態(tài)度B1.管理層對內(nèi)部控制的態(tài)度B2.管理層對風險的接受態(tài)度B3.管理

4、層對企業(yè)文化建設的態(tài)度 B4.管理層對履行社會責任的態(tài)度3CC.內(nèi)部審計C1.內(nèi)部審計部門的組織結(jié)構(gòu)與獨立性C2.內(nèi)部審計工作規(guī)則C3.內(nèi)部審計活動C4.內(nèi)部審計計劃C5.就審計發(fā)現(xiàn)的溝通C6.內(nèi)部審計人員的勝任能力C7.內(nèi)部審計部門的評估4DD.人力資源D1.組織架構(gòu)及崗位職責D2.人力資源計劃與招聘D3.培訓與離職D4.薪酬與考核激勵5EE.員工行為守則E1.員工行為守則的內(nèi)容要求E2.員工行為守則的擬定、修改及審批E3.員工行為守則的獲得渠道E4.員工行為守則的溝通與培訓E5.員工對行為守則的定期聲明6FF.內(nèi)部控制實施的激勵約束機制F1.內(nèi)部控制實施的激勵約束機制的建立7GG.法律遵從

5、G1.董事會的責任G2.法律部門的設立及其職責G3.監(jiān)督機制G4.宣傳教育8H風險評估H.風險評估與管理H1.風險管理架構(gòu)體系H2.風險識別 H3.風險評估H4.風險控制與監(jiān)督9I控制活動I.公司政策與流程I1.政策與流程的制定I2.政策與流程的修改及審批I3.政策與流程的溝通與傳遞I4.政策與流程執(zhí)行情況的監(jiān)督10JJ.投資策略與管理J1.投資管理委員會的設立J2.投資管理委員會章程J3.投資項目專責團隊J4.投資風險管理政策和程序J5.股權(quán)投資    11KK.關(guān)聯(lián)方交易K1.政策制度的建立K2.機構(gòu)設置與權(quán)責分配K3.控制和監(jiān)督12LL.財務報告與信息披露L

6、1.會計政策和財務報告制度L2.崗位分工與職責、權(quán)限安排L3.財務人員的技能和專業(yè)知識L4.非常規(guī)、復雜或特殊交易的賬務處理的控制L5.財務報告和信息披露L6.監(jiān)督和控制13MN.控制活動N1.不相容職務分離控制N2.授權(quán)審批控制N3.會計系統(tǒng)控制N4.財產(chǎn)保護控制N5.預算控制N6.運營分析控制N7.績效考評控制N8.重大風險預警機制N9.反洗錢控制14NO.并表管理O1.職能分工 02.并表管理制度體系O3.資本充足率管理 O4.大額風險暴露管理O5.內(nèi)部交易管理O6.其它風險管理O7.并表管理信息系統(tǒng)15O信息與溝通P.信息與溝通P1.信息的收集、處理與傳遞P2.溝通、交流與反饋16PQ

7、.反舞弊Q1.反舞弊工作機制的建立Q2.舉報投訴制度和舉報人保護制度的建立Q3.舞弊舉報的接收、調(diào)查、處理Q4.就舞弊與管理層的溝通報告Q5.反舞弊、投訴舉報制度的制定、修改Q6.董事會對反舞弊工作的監(jiān)督與管理17Q內(nèi)部監(jiān)督R.監(jiān)督與糾正R1.監(jiān)督與糾正的體系架構(gòu)和職責權(quán)限R2.監(jiān)督和糾正的制度建設情況R3.監(jiān)督執(zhí)行情況R4.糾正執(zhí)行情況R5.內(nèi)部控制評價執(zhí)行情況R6.內(nèi)部控制自我評估R7.內(nèi)部控制信息的披露流程層面控制的審計內(nèi)容包括銀行類和非銀行類業(yè)務的28個流程和144個子流程流程層面控制審計內(nèi)容業(yè)務類別業(yè)務線流程子流程銀行類一.公司業(yè)務01.信貸01.01貸款01.02貸款風險撥備01.

8、03抵債資產(chǎn)01.04核銷貸款02.存款02.01存款03.票據(jù)融資03.01貼現(xiàn)03.02協(xié)議付息貼現(xiàn)03.03贖回式貼現(xiàn)03.04委托代理貼現(xiàn)03.05銀行匯票轉(zhuǎn)貼現(xiàn)買入03.06異地持票轉(zhuǎn)貼現(xiàn)買入03.07銀行匯票轉(zhuǎn)貼現(xiàn)賣出03.08部分放棄追索權(quán)貼現(xiàn)03.09買入返售03.10賣出回購03.11系統(tǒng)內(nèi)票據(jù)存管買入03.12集中賬務處理03.13銀行承兌匯票04.貿(mào)易融資與國際結(jié)算04.01進口信用證04.02出口信用證04.03進口代收04.04出口托收04.05國際擔保04.06進口信用證與進口代收押匯04.07進口TT融資04.08提貨擔保/提單背書04.09進口信用證代付04.1

9、0進口代收項下代付04.11進口TT項下代付04.12出口信用證項下打包貸款04.13出口信用證項下押匯與貼現(xiàn)04.14出口托收項下押匯與貼現(xiàn)04.15出口發(fā)票融資04.16信用證保兌04.17進口保理04.18出口雙保理04.19非買斷型出口單保理04.20福費廷04.21國內(nèi)單保理04.22國內(nèi)雙保理04.23國內(nèi)發(fā)票融資04.24國內(nèi)信用證項下打包貸款04.25國內(nèi)信用證下賣方發(fā)票融資04.26國內(nèi)信用證下買方發(fā)票融資04.27國內(nèi)商品融資二.投行業(yè)務05.投資銀行05.01常年顧問及其他05.02投融資顧問05.03資信證明05.04銀團貸款三.零售業(yè)務06.個人存款06.01個人存款

10、07.個人貸款07.01個人住房貸款07.02個人消費貸款07.03個人經(jīng)營貸款08.信用卡08.01信用卡09.私人銀行09.01私人銀行四.資產(chǎn)管理10.資產(chǎn)托管10.01資產(chǎn)托管11.企業(yè)年金11.01企業(yè)年金12.貴金屬12.01個人賬戶黃金買賣12.02代理實物黃金交易12.03代理黃金清算13.理財13.01固定收益理財業(yè)務13.02國際市場理財業(yè)務13.03資本市場理財業(yè)務13.04區(qū)域理財五.交易與銷售（資金）14.債券投資與交易14.01人民幣債券14.02外幣債券15.外匯資金交易15.01人民幣外匯資金交易15.02外匯資金交易16.貨幣市場業(yè)務16.01本幣同業(yè)拆借16

11、.02公開市場業(yè)務16.03外幣同業(yè)拆借17.衍生產(chǎn)品交易17.01代客衍生產(chǎn)品交易17.02自營衍生產(chǎn)品交易18.承銷發(fā)行18.01承銷發(fā)行18.02信貸資產(chǎn)證券化六.支付與結(jié)算19.運行管理19.01會計要素管理19.02參數(shù)管理19.03權(quán)限卡管理19.04子系統(tǒng)的系統(tǒng)及轄內(nèi)往來清算與對賬19.05外匯匯款19.06大額跨行清算19.07大額取現(xiàn)管理19.08現(xiàn)金管理19.09金庫管理19.10自助銀行及自助機具管理19.11后臺監(jiān)督19.12本外幣結(jié)算19.13客戶賬戶服務19.14保管箱19.15支票19.16結(jié)算與現(xiàn)金管理19.17上門收款服務19.18向人行領(lǐng)繳現(xiàn)金19.19假幣

12、、代保管及其他七.中間業(yè)務20.電子銀行20.01網(wǎng)上銀行20.02電話銀行20.03手機銀行21.代理21.01代理收付21.02代理同業(yè)結(jié)算21.03代理地方財政收付21.04代理保險（對公）21.05代理基金（對公）21.06代理非稅收21.07代理保險（個人）21.08代理個人收付21.09代理國債21.10代理基金（個人）21.11銀期21.12銀關(guān)通21.13銀財通21.14銀稅通21.15第三方存管（對公）21.16第三方存管（個人）21.17個人信息服務八.其他22.財務會計管理22.01財務報表編制22.02固定資產(chǎn)管理22.03稅收22.04其他資產(chǎn)減值準備22.05財務集

13、中管理及費用報銷22.06集中采購22.07財務審查委員會22.08成本與預算管理：成本管理22.09預算管理23.資產(chǎn)負債管理23.01國債23.02人民幣資金集中管理23.03存放同業(yè)23.04拆放同業(yè)23.05經(jīng)濟資本管理23.06外匯資金營運23.07準備金調(diào)繳23.08人民幣資金營運23.09外匯資金的管理24.產(chǎn)品創(chuàng)新24.01產(chǎn)品創(chuàng)新管理25.其他管理25.01績效考核25.02員工薪酬25.03檔案管理25.04安全保衛(wèi)非銀行類26.租賃26.01租賃及售后回租26.02轉(zhuǎn)讓應收租賃款27.基金27.01產(chǎn)品管理27.02銷售管理27.03投資管理27.04核算管理28.投資咨

14、詢28.01投資咨詢信息技術(shù)層面控制的審計內(nèi)容分為信息技術(shù)公司層面、一般控制、應用控制三個方面，包括14個領(lǐng)域和61個子領(lǐng)域序號類別領(lǐng)域子領(lǐng)域1公司層面CE 控制環(huán)境CE1.0 信息科技組織和關(guān)系CE2.0 人力資源管理CE3.0 對用戶教育和培訓2RA 風險評估RA1.0 風險評估3CA 控制活動CA1.0 直接的職能或活動管理CA2.0 信息處理CA3.0 物理控制CA4.0 職責分離4IC 信息與溝通IC1.0 信息構(gòu)架IC2.0 管理層目標和方向的傳達5IM 監(jiān)控IM1.0 性能及容量管理IM2.0 監(jiān)督IM3.0 內(nèi)部控制的足夠程度6一般控制PD 程序開發(fā)PD1.0 開發(fā)管理PD2.

15、0 項目需求與立項PD3.0 項目定義與計劃PD4.0 項目執(zhí)行與監(jiān)控PD5.0 項目關(guān)閉7TM 測試管理TM1.0 測試環(huán)境TM2.0 測試前移TM3.0 版本交付與測試申請TM4.0 測試啟動與準備TM5.0 測試執(zhí)行TM6.0 測試問題管理TM7.0 測試變更管理TM8.0 測試總結(jié)與投產(chǎn)TM9.0 評價及報告8PM 運行維護PM1.0 物理環(huán)境安全PM2.0 生產(chǎn)運行管理PM3.0 性能與容量管理PM4.0 備份管理PM5.0 服務水平協(xié)議9ITC IT系統(tǒng)連續(xù)性ITC1.0 IT系統(tǒng)連續(xù)性風險分析ITC2.0 IT系統(tǒng)連續(xù)性計劃的建立ITC3.0 IT系統(tǒng)連續(xù)性計劃的測試和演練10I

16、S 信息安全IS1.0 信息安全組織和信息安全管理制度IS2.0 操作系統(tǒng)訪問控制管理IS3.0 業(yè)務數(shù)據(jù)的訪問控制管理IS4.0 應用系統(tǒng)訪問控制管理IS5.0 網(wǎng)絡安全管理IS6.0 物理安全管理11應用控制AIX. AIX操作系統(tǒng)AIX1.0 用戶管理AIX2.0 UNIX服務器安全AIX3.0 UNIX系統(tǒng)網(wǎng)絡通訊AIX4.0 UNIX系統(tǒng)資源環(huán)境AIX5.0 UNIX文件系統(tǒng)及目錄保護AIX6.0 UNIX日志及監(jiān)控審計12ORA Oracle數(shù)據(jù)庫ORA1.0 Oracle用戶管理ORA2.0 系統(tǒng)網(wǎng)絡通訊ORA3.0 Oracle文件系統(tǒng)及目錄保護ORA4.0 Oracle日志及

17、監(jiān)控審計13CIS CISCO路由器、交換機CIS1.0 路由器、交換機遠程訪問安全要求CIS2.0 路由器、交換機設備的認證、授權(quán)安全要求CIS3.0 路由器、交換機設備密碼加密設置和網(wǎng)絡服務安全要求CIS4.0 路由器、交換機路由協(xié)議和SNMP安全配置要求CIS5.0 路由器、交換機、刀片機日志審計安全配置和特有要求14FIW 防火墻FIW1.0 防火墻設備遠程訪問安全配置要求FIW2.0 防火墻設備的認證、授權(quán)安全配置要求FIW3.0 防火墻策略管理安全配置要求FIW4.0 防火墻日志服務安全配置和特有要求FIW5.0 防火墻SNMP安全配置要求五、內(nèi)部控制審計標準1、內(nèi)部控制審計實務標

18、準。是該行內(nèi)部控制體系各經(jīng)營管理層級和各業(yè)務環(huán)節(jié)正常運行應當遵循的控制標準或要求，主要依據(jù)國內(nèi)外監(jiān)管法規(guī)、行業(yè)最佳控制實踐以及本行實際情況設定，涵蓋經(jīng)營管理、業(yè)務操作、產(chǎn)品和信息系統(tǒng)等各個領(lǐng)域，細化到每個領(lǐng)域中的關(guān)鍵控制點。2、內(nèi)部控制審計認定標準。包括對風險點的量級標準和對控制點的量級標準及在此基礎上對內(nèi)部控制缺陷的認定標準、內(nèi)部控制有效性認定標準。該行將內(nèi)部控制缺陷分為設計缺陷和運行缺陷，符合企業(yè)內(nèi)部控制規(guī)范及其配套指引的規(guī)定，缺陷按影響控制目標的嚴重程度分為重大、重要和一般三個等級。 內(nèi)部控制缺陷認定標準缺陷等級定義認定標準定量標準定性標準重大指一個或多個控制缺陷的組合，可能導致企業(yè)嚴重

19、偏離控制目標。財務報表的錯報金額落在如下區(qū)間：1、錯報利潤總額的5%；2、錯報資產(chǎn)總額的3%；3、錯報經(jīng)營收入總額的1%；4、錯報所有者權(quán)益總額的1%。1、缺乏民主決策程序；2、決策程序?qū)е轮卮笫д`；3、違犯國家法律法規(guī)并受到處罰；4、中高級管理人員和高級技術(shù)人員流失嚴重；5、媒體頻現(xiàn)負面新聞，波及面廣；6、重要業(yè)務缺乏制度控制或制度系統(tǒng)失效；7、內(nèi)部控制重大或重要缺陷未得到整改重要指一個或多個控制缺陷的組合，其嚴重程度和經(jīng)濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標。財務報表的錯報金額落在如下區(qū)間：1、利潤總額的3%錯報利潤總額的5%；2、資產(chǎn)總額的0.5%錯報資產(chǎn)總額的3%；3、經(jīng)營

20、收入總額的0.5%錯報經(jīng)營收入總額的1%；4、所有者權(quán)益總額的0.5%錯報所有者權(quán)益總額的1%。1、民主決策程序存在但不夠完善；2、決策程序?qū)е鲁霈F(xiàn)一般失誤；3、違反企業(yè)內(nèi)部規(guī)章，形成損失；4、關(guān)鍵崗位業(yè)務人員流失嚴重；5、媒體出現(xiàn)負面新聞，波及局部區(qū)域；6、重要業(yè)務制度或系統(tǒng)存在缺陷；7、內(nèi)部控制重要或一般缺陷未得到整改一般除重大缺陷、重要缺陷之外的其他控制缺陷。財務報表的錯報金額落在如下區(qū)間：1、錯報利潤總額的3%；2、錯報資產(chǎn)總額的0.5%；3、錯報經(jīng)營收入總額的0.5%；4、錯報所有者權(quán)益總額的0.5%。1、決策程序效率不高；2、違反企業(yè)內(nèi)部規(guī)章，但未形成損失；3、一般崗位業(yè)務人員流失

21、嚴重；4、媒體出現(xiàn)負面新聞，但影響不大；5、一般業(yè)務制度或系統(tǒng)存在缺陷；6、一般缺陷未得到整改。7、存在的其他缺陷有效性審計結(jié)論分為有效、基本有效、關(guān)注、特別關(guān)注、無效五級。其定義及認定標準如表所示內(nèi)部控制有效性認定標準等級數(shù)控制有效性等級定義認定標準1有效被評價對象的內(nèi)部控制系統(tǒng)運行有效被評價對象沒有重大缺陷和重要缺陷；內(nèi)部控制設計適當且得到貫徹執(zhí)行，不存在控制過度和控制不足的情況2基本有效被評價對象的內(nèi)部控制系統(tǒng)運行基本有效被評價對象沒有重大缺陷和重要缺陷；內(nèi)部控制設計適當?shù)珎€別執(zhí)行效果不佳，存在控制過度可能，不存在控制不足的情況3關(guān)注被評價對象的內(nèi)部控制系統(tǒng)運行結(jié)果可以接受，不會對我行戰(zhàn)

22、略目標的實現(xiàn)產(chǎn)生實質(zhì)性影響。被評價對象沒有重大缺陷和重要缺陷；存在少量內(nèi)部控制設計缺陷，存在控制過度和控制不足的情況。4特別關(guān)注被評價對象的內(nèi)部控制系統(tǒng)運行水平需要改進和予以關(guān)注被評價對象存在重要缺陷；內(nèi)部控制存在較多設計缺陷且涉及范圍較廣，控制不足情況較為嚴重；違反行內(nèi)規(guī)章制度并受到總行處罰5無效被評價對象的內(nèi)部控制系統(tǒng)運行無效被評價對象存在重大缺陷；存在無控制或控制失效的情況；違反監(jiān)管機構(gòu)規(guī)定并受到處罰。內(nèi)部控制缺陷和有效性之間存在的對應關(guān)系如表所示：有效性標準與缺陷標準的對應關(guān)系表缺陷標準有效性標準對應說明重大無效當存在一個或多個內(nèi)部控制重大缺陷時，應當作出內(nèi)部控制無效的結(jié)論重要特別關(guān)注

23、重要缺陷應當引起董事會、經(jīng)理層關(guān)注，或特別關(guān)注關(guān)注一般基本有效當存在一般缺陷時，且缺陷數(shù)量超過管理層可容忍范圍時，可以作出內(nèi)部控制基本有效的結(jié)論有效當存在一般缺陷，且缺陷數(shù)量在管理層可容忍范圍內(nèi)時，可以作出內(nèi)部控制有效的結(jié)論風險等級劃分為低、較低、中等、較高、高五級(如表所示)： 風險點分級標準風險點分級認定標準A+（高） 影響力高，可能性較大的事件；或影響力高，幾乎肯定發(fā)生的事件。A（較高） 影響力高，有可能或可能性很小發(fā)生的事件；影響力較高，有可能或可能性較大的事件；影響力中等，可能性較大或幾乎肯定發(fā)生的事件。A-（中等） 影響力高，不太可能發(fā)生的事件；或影響力較高，發(fā)生的可能性很小的事件

24、；影響力中等，有可能發(fā)生的事件；影響力較低，發(fā)生的可能性較大的事件；影響力較低但幾乎肯定發(fā)生的事件。B+（較低） 影響力較高，不太可能發(fā)生的事件；影響力中等或較低，有可能性發(fā)生的事件；影響力很低，發(fā)生的可能性較大的事件。B（低） 影響力低或較低，不太可能或發(fā)生的可能性很小的事件。控制等級劃分為一般控制二級、一般控制一級、重要控制二級、重要控制一級、關(guān)鍵控制五級（如表所示）。 控制點分級標準控制點分級認定標準Aa+（關(guān)鍵）對可能引起重大的業(yè)務失誤、為公司帶來重大的財務損失，并可能導致財務報告中的重大的實質(zhì)性錯報等重大缺陷進行有效控制Aa（重要一級）對可能引起較大的業(yè)務失誤、為公司帶來較大的財務損

25、失等重大缺陷進行有效控制Aa-（重要二級）對日常運營造成一定程度的影響、為公司帶來一定程度的財務損失等重要缺陷進行有效控制Bb+（一般一級）對日常運營帶來輕微損害、可能導致輕微的財務損失的一般缺陷進行有效控制Bb（一般二級）對日常運營帶來非常輕微的損害、可能導致非常輕微的財務損失的一般缺陷進行有效控制六、內(nèi)部控制審計步驟（一）梳理風險點和控制點以公司層面為例，該行在梳理風險點和控制點的過程采用了以下步驟：一是查閱和分析公司治理文件。二是查閱和分析公司管理制度。三是查閱和分析反映公司治理過程和管理制度執(zhí)行情況的記錄文件或報告等。四是問卷調(diào)查和審計訪談。（二）構(gòu)建價值鏈風險控制矩陣該行采用風險控制

26、矩陣的構(gòu)建方法，按價值形成過程，排列不同控制領(lǐng)域、部門、流程、業(yè)務單元、產(chǎn)品/服務等在前中后臺的位置，以此明確各部門的職責關(guān)系。以價值鏈矩陣為聯(lián)系紐帶，將銀行的具體業(yè)務環(huán)節(jié)、控制活動和風險聯(lián)系起來，形成各項業(yè)務和管理活動的視圖。以該行公司層面控制內(nèi)部環(huán)境審計為例：該行根據(jù)企業(yè)內(nèi)部控制基本規(guī)范，以公司治理等一級控制領(lǐng)域和二級控制領(lǐng)域為列，以風險點描述、控制點描述、審計標準、審計依據(jù)、測試步驟（審計流程）、測試結(jié)果等為行，構(gòu)建內(nèi)部環(huán)境的風險控制矩陣（如下表所示）開展內(nèi)部環(huán)境審計內(nèi)部環(huán)境風險控制矩控制領(lǐng)域風險點描述風險等級控制點描述控制級別審計標準主要依據(jù)測試步驟測試結(jié)果審計結(jié)論審計師審核1.公司治

27、理治理結(jié)構(gòu)形同虛設 審計小組根據(jù)公司章程、履職情況，會議紀要等實際情況進行了描述依法制定對公司股東、董事、監(jiān)事和高級管理人員具有約束力的公司章程；設立股東大會、董事會、監(jiān)事會和高級管理層并履行職責，其成員應具備相應的任職專業(yè)知識和業(yè)務工作經(jīng)驗公司法上市公司治理準則企業(yè)內(nèi)部控制基本規(guī)范；公司章程查閱公司章程，公司治理制度，確認公司治理結(jié)構(gòu)的健全性；商請董事會辦公室提供董事會及其專門委員會提供匯總的履職記錄，商請監(jiān)事會辦公室提供監(jiān)事會匯總的監(jiān)督記錄，進行控制測試未發(fā)現(xiàn)缺陷公司治理有效“三會一層”未確定職責分工，未建立職責邊界及制衡機制審計小組根據(jù)股東大會、公司董事會、高級管理層的逐級授權(quán)及執(zhí)行情況

28、等實際情況進行了描述公司決策、執(zhí)行、監(jiān)督分離，形成制衡機制；股東大會是公司的權(quán)力機構(gòu)，董事會對股東（大）會負責，依法行使企業(yè)的經(jīng)營決策權(quán)；監(jiān)事會對股東大會負責，對董事、高級管理人員進行監(jiān)督；高級管理層對董事會負責，依法實施經(jīng)營管理權(quán) 企業(yè)內(nèi)部控制基本規(guī)范；股東大會、董事會、監(jiān)事會授權(quán)管理辦法查閱“三會一層”即股東大會、董事會、高級管理層授權(quán)管理辦法，確認制度建設的健全性；根據(jù)授權(quán)執(zhí)行情況進行控制測試，確認制度的執(zhí)行情況未發(fā)現(xiàn)缺陷“三會一層”控制有效缺乏決策機制和議事規(guī)則審計小組根據(jù)董事會、監(jiān)事會、高級管理層議事規(guī)則，部門職責與權(quán)限、分公司職責與權(quán)限及其報告路徑等文件，按實際控制設計和運行狀況描

29、述根據(jù)國家有關(guān)法律法規(guī)和企業(yè)章程制定詳細的股東大會、董事會、監(jiān)事會的議事、決策規(guī)則，以及高級管理層的工作細則和規(guī)程；重大決策實行集體審批制企業(yè)內(nèi)部控制基本規(guī)范；公司董事會對高級管理層授權(quán)、高級管理層工作規(guī)則、部門職責與權(quán)限、分公司職責與權(quán)限及其報告路徑等文件調(diào)閱公司章程，股東大會、董事會、監(jiān)事會議事規(guī)則，授權(quán)管理辦法，內(nèi)部控制管理辦法，風險管理辦法等，檢查制度建設的健全性；調(diào)閱會議紀要、管理報告等，確認相關(guān)制度的執(zhí)行效果未發(fā)現(xiàn)缺陷控制機制健全有效（三）現(xiàn)場測試及缺陷匯總審計人員采用觀察、核對、重新執(zhí)行等審計方法在公司、流程和信息系統(tǒng)三個層面同步開展穿行測試、控制測試，對控制的有效性進行評價、對缺陷進行匯總。以該行流程層面業(yè)務為例，其穿行測試、控制測試步驟如表40-41所示。如穿行測試結(jié)果為無效，則表明該流程設計無效，無需再對其進行控制測試，可直接認定缺陷；如穿行測試有效，則需對該流程進行