第一篇:商业银行内部控制自我评估工作的探索与实践-工商银行内审
商业银行内部控制自我评估工作的探索与实践
中国工商银行内审上海分局 内控自我评估课题研究组
内容摘要2008年上海证券交易所和深圳证券交易所分别提出纳入公司治理板块的上市公司必须在年报披露的同时公布企业内部控制自我评报告,自此内部控制自我评估成为上市公司完善公司治理、加强内部控制的一项重要工作内容和研究课题。本文通过解析内部控制自我评估的基本理论及其在国内外商业银行的运用情况,在总结研究工商银行内部控制自我评估主要实践的基础上,就如何进一步完善我国商业银行的内部控制自我评估工作,从健全内部控制评估治理结构、共享检查监督信息资源、倡导内控评估氛围、提高内控评估质量和打造专家团队等方面进行了探索与思考。
[关键词]内部控制自我评估
工商银行2007年起在业内率先开展内部控制自我评估工作。二年来,秉承“国际标准本土化、本土做法标准化”的理念,工商银行认真研究CSA的理论知识和方法,积极借鉴国外商业银行的成功经验,逐步建立起自己的内部控制评估标准体系,规范了内部控制评估的范围和方法,取得了重
银行内部审计
性。它是对一段时期内组织内部控制的有效性进行检查和评估,而非企业财务报表那样只对某一时点的状况进行展示与评估。
其次CSA注重互动,所谓的“互动”是指被评估方与评估方都积极地加入这一检查-评估-改进的过程。通过CSA,内部审计人员帮助公司各部门参与作业的人员熟悉到内部控制不只是内部审计工作的责任,也不仅仅是高级治理层应关心的问题,相反,应该把它看作是组织中所有成员的事。
再次CSA强调“自我”,更注重于风险参与者、责任人对控制的评估。具体来说是要求管理层和/或工作团队(非内部审计师)评估内部控制。既从事具体工作的人员参与到对风险和内部控制的评估工作中。不仅仅是形式上的参与评估,而且将评估控制的具体工作交给他们来做。
3、CSA的方法。
CSA运用的主要方法和手段是专题讨论会、调查问卷法和管理层分析法。这些方法都强调了一线员工和管理层的参与作用,转变了内部审计师作为主导者的地位。
专题讨论会:CSA引导者把管理者和相关人员召集起来引导大家就控制、程序、风险、目标等特定问题或过程进行面对面的交流与讨论;通过识别风险点和控制措施,进而评估控制程序的完整性、严密性和有效性,并提出完善和创新意见。
风险报告、后续改进的五步工作法,由下至上地逐级讨论评估。同时银行通过强调CSA的重要性和专门的公司培训,成功地推行电子化解决方案并确定了不同管理层的报告、图表和评估工作种类。
(三)国内主要商业银行实施CSA的情况
近年来,我国许多商业银行先后实施了内控自我评估。随着我国一系列的内控监管指引的出台和制度的不断完善,上市商业银行的内控自我评估工作得到了进一步的发展和完善。
1、法规推动CSA运用。2008年5月,财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》,规定自2009年7月1日起要对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,同时鼓励非上市的其他大中型企业执行。该制度的实施将极大地推动我国企业内部控制自我评估工作的开展。
2、上交所规范内控披露报告格式。2009年1月,上海证券交易所发布《2008年年度报告工作备忘录第一号》,鼓励部分上市公司1在披露2008年度年报的同时披露公司内部控制的自我评估报告,并规范和统一了内控报告的编制格式。截至4月底,已有多家上市商业银行按披露格式要求正式对外披露了内控自我评估报告。
指在上交所上市的“上证公司治理板块”样本公司、发行境外上市外资股的公司及金融类公司。
适应性、成本效益原则。
1、全面性原则
商业银行内部控制贯穿银行经营管理决策、执行和监督全过程,覆盖银行及其所属单位的各种业务和事项。工商银行的内控自我评估着重引领评估人员从控制环境、风险评估、控制活动、信息与沟通、内部监督等五个方面对银行境内外各级机构、全部产品和服务实施评估。
2、重要性原则
内控自我评估在全面控制的基础上,将关注重点放在对工商银行经营目标和战略目标有影响的高风险领域和重要业务事项上。对境内机构,重点关注其经营转型能力、市场竞争能力和发展创新能力的变化情况;对境外机构,关注老机构的经营转型和新机构的经营定位,关注各机构的风险控制和可持续发展。
3、制衡性原则
内控自我评估关注公司治理结构、机构设置、权责分配等方面的制衡因素,如控制点和控制环节的设置是否合理,控制职能的划分是否清楚,员工分工和牵制是否恰当等,在兼顾运营效率的同时评估其制衡效果。
4、适应性原则
内控自我评估将工商银行内部控制与其经营规模、业务范围、竞争状况和风险水平等相联系,对各级机构、全部产
计缺陷和运行缺陷二类;按等级3可分为一般缺陷、重要缺陷、重大缺陷、实质性漏洞四类。结论评价标准4是对根据评估缺陷对一个机构的内部控制进行最终确认的标准,分为有效、须改进和无效三类。对于各类标准的分类如图所示:
缺陷 结 认定标准 果评价 结论评价标准 缺陷类 缺陷性质 设计缺陷 运行缺陷 一般缺陷 重要缺陷 重大缺陷 实质性 漏洞 有效 需改进 无效 内控评估师应综合发现的不同内部控制缺陷形成内控自我评估结论。如果出现实质性漏洞,管理层就不能在年度报告中声称与财务报告有关的内部控制是有效的。同时,工商银行对内部控制缺陷整改情况开展持续跟踪,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。
2、业务标准
一般缺陷:指内控设计或者运行无法使管理层或员工在执行指定任务的正常过程中及时防止或发现错报重要缺陷:是一种具有较大影响的缺陷,由一个或者多个一般缺陷组成。重大缺陷:是一种具有严重影响的缺陷,它由一个或者多个重要缺陷组成。
实质性漏洞:指很可能导致财务报告中的重大的实质性错报未被防止或发现的可能性大于“微小”的控的情况。
制缺陷。
4控制有效:指被评估单位的控制存在并能够有效运行,为其经营目标的实现提供了合理的保证。控制需改进:指被评估单位存在一些控制缺陷,这些缺陷虽没有引致重大风险,但是仍需对现有控制进行改进以合理保证各项目标的实现。
控制失效:指被评估单位存在大量的控制缺陷,以致控制低于可接受的水平;控制无法对各项目标的实现提供合理的保证。
1、采用价值导向评估方法
工商银行的内控自我评估采用价值导向评估方法,此方法汲取了COSO《内部控制整体框架》和《企业风险管理框架》的内涵,结合了国内外监管机构的要求和领先实务,在评估过程中遵循价值创造理念,以价值链为主要脉络,将商业银行的所有业务、管理活动与企业的经营和战略目标联系起来,以此来评估内部控制活动的有效性。以价值链为核心的评估方法可以通过分析银行各项管理活动及业务环节固有风险和剩余风险的变化情况,评估内部控制活动在其中发挥的作用和有效程度,进而分析整个银行的风险状况和内部控制状况。这种基于“价值创造”理念的分析方法也能将不同的评估对象(部门、产品、业务环节、管理、风险)围绕一个核心统一起来,同时也提供了将不同层级不同专业的内部控制评估结果融合的渠道。
2、运用多种自我评估工具
评估工作采用了穿行测试和控制测试的方法来检验全行业务制度的设计完善程度和制度执行力。同时,工商银行还自行开发并采用了风险控制矩阵(RCM)、内部控制评估系统(ICAS)和风险评估系统(RAS)等不同的评估工具,为持续开展评估工作创造了条件。RCM是国际上普遍使用的风险管理工具之一,为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。它清晰的说明了各
1管理活动展开,划分为三个层面,即公司治理层面、业务流程层面、信息科技层面。每一个层面均有相对统一的工作底稿、操作标准和工作指南,在方便评估人员开展评估的同时保证评估工作的标准化和规范化。
1、公司治理层面
公司治理层面的内控自我评估可分为公司治理结构、管理层基调与态度、公司政策与流程、投资策略与管理、财务报告与信息披露、反舞弊程序等多个关键控制领域,这些内容主要根据COSO、PCAOB和SOX404产生,同时吸收了国内各项监管要求6和国际领先实务7。在公司治理层面内部控制的评估过程中识别的控制缺陷往往会对公司的内部控制有效性和财务报告可靠性的整体评估产生普遍和重大影响。开展公司治理层面评估时,可以以总行部室、一级分行(境内、境外)的业务经营和管理部门为主要切入点,通过调阅资料、访谈和内部调查问卷的方式开展评估,同时,参考引用流程评估过程中发现的制度设计缺陷和制度执行缺陷问题。
2、业务流程层面
流程层面内控自我评估主要针对银行各类具体的业务线和产品展开,包括信贷、存款、票据融资、银行卡、电子 6 2008.5.22五部委《企业内部控制基本规范》、2007.1.1.《中华人民共和国反洗钱法》、《金融机构反洗钱规定》、2006.6.5上海证券交易所《上市公司内部控制指引》、2004.12.25银监会《商业银行内控评估试行办法》、2002.1.7证监会《上市公司治理准则》等 7 公司层面内部控制相关的国际领先实务、PCAOB Standard 2中对公司层面内控评估的要求、SOX404对于公司层面评估的要求
3行内控自我评估工作分七个步骤实施:
1、梳理和评估风险
根据内控自我评估目标和对象,梳理主要的业务流程,明确相关的风险点和控制点,确定评估的重要领域并开展风险评估工作。这个过程中需要评估人员和被评估行的业务人员和管理人员的共同参与,评估人员根据业务人员识别和提供的业务风险信息对业务流程进行梳理和补充,经审核后对业务流程进行及时调整。
2、测试和记录相应的控制
开展现场测试工作,识别和记录相应的控制测试结果。评估人员根据规范化的测试底稿模板,对不同的评估对象采用相同的评估方法,同时对三个层面的业务开展评估工作,测试工作需要被评估行的业务人员配合,此项测试工作采取的方法可为调查问卷、访谈、穿行测试和控制测试等。
3、评估制度设计的有效性
在对制度设计的有效性进行评估时,评估人员应具体对制度及IT系统设计、管理流程等有效性做出评估。如果发现由于制度设计本身不完善而导致控制失效,则将此类问题归结为“制度设计无效”,可以直接作为审计结论写入评估报告。
4、评估制度执行的有效性
在制度设计有效的前提下,评估人员可以对制度执行的有效性做出评估。在这个制度执行评估环节,通常采用抽样
5的整改建议。被评估行对缺陷可以采取二种整改方式,一是在评估现场,被评估行可以对评估例外进行查实和说明,在充分沟通的基础上,对确属缺陷且能当场整改的进行实时整改;二是如果在资源配置和管理上存在一定难度,可以采用制定整改计划、确定整改步骤和时间的方式。评估人员在结束现场评估工作后,要对内控缺陷的整改情况和建议的实施情况进行持续的跟踪分析。
(七)实践效果
工商银行内部控制自我评估工作开展时间不长,但实施过程中,坚持“借鉴-实践-完善-再实践”、分层次推进的原则,经过不懈努力,形成了较为完整的内部控制自我评估体系并付诸工作实践,取得了较好的成果,得到本行高管层充分肯定。工商银行经过不断摸索确立的内部控制自我评估方法及其科学实用的工作系统和模板,已经引起业界同行的广泛兴趣和借鉴,也受到国际知名咨询公司的关注和好评。
作为先行者,工商银行内部控制自我评估的工作实践,为商业银行内部控制自我评估工作的深化和完善作出了有益的探索。
三、完善商业银行内部控制自我评估工作的思考 商业银行内部控制自我评估工作是一项长期性、持续性的工作,需要不断的完善和提高。根据国家五部委联合制定的《企业内部控制基本规范》要求,结合当前国外先进的内
7作的实施架构
完善商业银行内部控制自我评估实施架构,首先,应明确在内部控制评估中管理层、评估部门、员工等不同参与者的角色定位和职责分工;其次,各参与者之间要分块、分内容、分层次整合信息资源,明确前后台的工作职责,完善内控治理过程,提高内控评估质量;再次,要充分利用全行各专业部门、内控部门已有的检查成果和审计资源,形成合力,持续完善、整合现有的内控评价全套标准、风险指标、评估方法、评估系统和模型,真正发挥全行内部控制过程中专业部门、内控、内审这三道防线的作用;最后,内部控制自我评估成果应及时与管理层充分沟通和交流,使管理层能充分利用审计部门的评估成果来不断优化全行的内部控制,实现成果的最大利用。
(三)以风险防范和增加价值为导向,适时确定评估工作重点
商业银行内部控制自我评估工作应该从传统审计的查错纠弊的模式转向关注公司治理、内部控制、风险管理和信息披露等关键领域重大方面的增值型审计。内部控制自我评估应以风险为导向,通过评估本行的业务、机构、产品的风险可能性和影响力,展现出全行内部控制体系与机制的运行状况,建立起集团的风险视图和相应的风险控制视图。根据风险的类别、程度、等级、影响范围等综合评估结果,确认每9及时更新。三是规范抽样方法。根据不同业务的内部控制、风险管理要求,以风险评估为基础,制定统一、合理的抽样标准和抽样方法,使评估抽样本能基本反映被审计单位的风险状况的特征。四是优化评估流程。在追踪内部控制最新理论研究成果,关注未来监管发展趋势的同时,全面应用价值链理论,不断完善基于价值链流程为主体脉络的全面过程评估流程,并建立汇集所有审计实践成果的知识库。
(六)注重内部控制过程管理,形成全员参与的内部控制自我评估氛围
商业银行治理层面和各级管理层应注重内部控制自我评估的环境建设和理念传导。管理层要身体力行,积极参与到内部控制过程中去,并引导全行员工采取“现场测试”“专题讨论会”“调查问卷法”等形式多样的内部控制自我评估方法,从中收集到有效且丰富的信息来不断改善全行的内部控制工作。同时强化内部控制的过程管理,形成业务人员自查、自评、自纠、自我完善的良性循环。以内控自我评估工作为契机,推动商业银行的风险管理和内部控制管理工作,提升全行的风险意识和内部控制意识,促进商业银行实现发展战略。
(七)打造专家型工作团队,适应内部控制自我评估工作不断深化的需要
内部控制自我评估是检验内部控制有效性的过程评估,11、Lawrence B.Sawyer,2005:《索耶内部审计》(第五版),中国财政经济出版社
2、北京兆泰投资顾问有限公司编译,《控制自我评估CSA》,中国内部审计协会
3、财政部、证监会、审计署、银监会、保监会五部委,2008:《企业内部控制基本规范》
4、上海证券交易所,《上市公司2008年年度报告工作备忘录第一号 内控报告和社会责任报告的编制和审议》,2009年1月8日-
第二篇:工商银行2007内部控制自我评估报告(国泰君安)
工商银行2007内部控制自我评估报告
中国工商银行股份有限公司
2007 内部控制自我评估报告
中国工商银行股份有限公司(以下简称“本行”)按照《中华人民共和国公司法》、《中华人民共和国证券法》等法律法规的规定,以及中国证券监督管理委员会(以下简称“证监会”)、中国银行业监督管理委员会(以下简称“银监会”)和上海、香港两地证券交易所的要求,以建设国际一流金融企业为目标,全面引入COSO 内部控制框架,依据
《商业银行内部控制指引》,建立了对本行各项经营管理活动全方位覆盖、全过程控制,能够有效实施风险识别、计量、评估、监测和缓释的内部控制体系,并确保其持续、高效地发挥作用,促进了本行的稳健经营和可持续发展。
2007 年,本行根据《上海证券交易所上市公司内部控制指引》的要求,参照 COSO内部控制框架,借鉴国际大型商业银行的领先实践,结合本行发展特点开发建立了内部控制自我评估体系和评估标准,以运营的效果与效率,财务报告的可靠性和法律法规的遵循性为目标,全面梳理了内部控制制度及相关管理办法,查找、分析了影响和阻碍内部控制目标实现的风险点及其对应的控制点,在此基础上,对本行的内部控制开展了全面的自我评估,并采用适当的抽样方法,选择总行本部及部分分支机构进行了现场测试。本次评估的范围基本覆盖了本行公司层面、流程层面及IT 层面的关键控制领域。
评估结果表明,2007 年,本行内部控制体系不断健全,内部控制制度执行的有效性不断提高,未发现实质性漏洞和重大缺陷,一般缺陷可能导致的风险均在可控范围之内,对本行经营活动的质量和财务报告目标的实现尚不构成实质性影响。
一、控制环境
1.控制目标
本行致力于把工商银行建设成为全球最具盈利能力、最优秀、最受尊敬的国际一流现代金融企业,把可持续的公司价值增长和卓越的股东回报作为核心经营目标。
为确保上述目标的实现,本行按照监管要求和内部控制的需要,确立了“构建以完善的公司治理结构和先进的内部控制文化为基础,以准确的风险识别和完备的监测评估体系为前提,以健全的内部控制制度和严密的控制措施为核心,以严格的审计监督和客观的评价体系为保障,以强大的信息系统和通畅的沟通交流渠道为依托的内部控制体系,保证依法合规经营和内部控制制度的贯彻落实,业务记录、财务信息和其他管理信息及时、真实和完整,经营管理安全、高效,全行发展战略和经营目标得以全面实施和充分实现”的内部控制体系建设总体目标。
2.公司治理
本行将公司治理作为增强核心竞争力的基础工程,严格遵守上市地监管机构及交易所的监管规定,不断完善现代公司治理结构,进一步健全了决策科学、执行有力、监督有效的运行机制,以及分工合理、职责明确、相互制衡、报告关系清晰的组织架构。
修订并审议通过了新的《中国工商银行股份有限公司章程》及《中国工商银行股份有限公司“三会”议事规则》,修订了五个专门委员会工作规则和《中国工商银行股份有限公司独立董事工作制度》,制订了
《中国工商银行股份有限公司董事、监事及高级管理人员持有及变动本行股份管理办法》、《中国工商银行股份有限公司监事会对董事会、高级管理层及其成员监督办法》、《中国工商银行股份有限公司监事会监督委员会工作规则》和《中国工商银行股份有限公司外部监事工作制度》。
董事会严格遵循法律法规、公司章程及授权方案的规定,勤勉履行职责,科学谨慎决策,规范行使职权,决策和监督职能得到强化。
监事会认真加强制度建设,积极探索实施监督检查的思路和方法,依法履行监督职责和义务,切实发挥了监督职能作用。
高级管理层严格按照董事会的授权主持全行的经营管理工作,认真组织实施董事会各项决议,并向董事会提出建议,有效履行了经营管理职责。
3.内部控制体系
本行认为加强内部控制是现代商业银行一个永恒的主题,为此,本行持续推进内部控制体系建设。
2005年以来,本行制定了《中国工商银行内控体系建设三年规划》,明确了内部控制体系建设的重点和具体任务;制定了《中国工商银行内部控制规定》和信贷、资金、财务、会计、IT、中间业务及反洗钱等方面的制度,制定了 《中国工商银行内部控制评价办法》,从总体制度、具体制度和监督评价制度三个层面构建起了内部控制制度体系。
2007 年,本行进一步健全了以董事会为决策层,各级机构的管理层为建设执行层,各级内控合规部门和垂直独立的内部审计部门为监督评价层的内部控制体系。各级内控合规部门在内部控制的组织、推动和协调,操作风险管理、合规管理和常规检查方面发挥了重要作用。内部审计部门有效履行了监督评价全行风险管理、内部控制和公司治理有效性的职责。
为适应风险管理的要求,本行以风险控制为主线,本着横向按职责分离和相互制衡的原则,进一步合理划分各经营管理部门的职责分工;纵向按扁平化管理模式,加强各业务线的内部管理、监督检查及信息传递,并明晰内控合规、内部审计、法律和监察等部门的职责边界,形成了业务管理、合规检查和内部审计有序分工的内部控制三道防线及全流程、全方位覆盖各层级的内部控制监督体系。
本行的内部控制体系适应了内部控制的需要,也体现了监管机构的要求。
4.内部控制文化
本行视内部控制文化为企业的软实力和内部控制体系建设的先导,董事会、高级管理层积极主导和推进内部控制文化建设的各项工作,在全行努力培育“依法合规、审慎稳健、诚信尽责、创造价值”的内部控制核心价值观,倡导“管理靠制度、办事讲规矩、决策依程序”和“内控优先、制度先行”、“合规创造价值”的内部控制理念,全行员工的“内控人人有责意识、制度至上意识和执行意识”逐渐得到强化,统一的行为标准得到了广泛认同。全行员工主动参与各项内部控制活动,并坚持用内部控制制度约束自己的经营管理和操作行为,促进了全行内部控制体系的建设和内部控制制度的落实。
5.人力资源政策
本行认真贯彻落实《劳动合同法》,以拓展员工晋升通道、构建岗位职级体系、完善绩效管理制度、革新薪酬管理机制为重点,成功实施了人力资源提升项目,初步构建了以岗位为基础的符合现代金融企业要求的人力资源管理体系。
本行引入经济增加值(EVA)和收益分享比例(GSR)理念,建立起以市场价值、岗位价值、知识能力和绩效贡献为基础的差异化薪酬分配机制;引入个人绩效合约、目标考核管理、行为能力评价工具与理念,建立起相对完善的绩效评价机制和绩效管理流程,建立了“纵向可进退、横向可交流”的多通道职业发展新机制,实现了由单一的评优方式向以目标为导向、以绩效为依据的整体式绩效考核机制的转变。
本行重视人才培养和员工职业发展,坚持人才兴行战略,把职业培训作为提高员工素质、拓宽职业发展通道的有效途径,引入注册金融分析师、金融风险管理师、注册内部审计师、特许公认会计师等领域的国际权威资质认证培训,开展了重要专业岗位资格培训、一般岗位适应性培训和新入行员工岗前培训。2007 年,全行共举办各级各类培训班 3.8 万余期,累计受训员工达到 212 万人次,人均受训 10.36
天。
二、风险识别与评估
1.全面风险管理(ERM)框架
本行重新修订《中国工商银行全面风险管理框架》,明确了风险管理组织架构、风险管理相关业务构成和各专业风险管理业务流程。在信用风险、市场风险、操作风险和流动性风险管理等方面制定和实施一系列新的制度和办法,健全了全面风险管理的制度体系。进一步完善市场风险管理的组织架构,使负责市场风险管理的部门与承担风险的业务经营部门保持了相对独立。
2.风险报告制度
本行建立了规范的风险报告制度。制定《中国工商银行风险报告制度》,从提交部门、审议机构和报告频率等方面,系统地规范了全行的风险报告行为,完成了《2006 新增公司客户风险报告》、《房地产信贷风险报告》等多项专题报告,基本实现了全面风险管理状况定期报告、重大风险及时报告的目标。投产全面风险管理信息平台——风险状况报告子系统,实现了全行各类风险信息的集中存储、展现、分析、挖掘和重要风险指标的集中监测。
3.信用风险评估
本行的信用风险评估体系适应了风险防范的需要。
——投产 BaselⅡ内部评级法(IRB)—非零售内部评级工程,达到了巴塞尔新资本协议内部评级法初级法的要求,并已广泛应用于风险限额设定、贷款定价、经济资本计量和配置、风险拨备、绩效考核等风险管理的全过程。
——完成了 BaselⅡ内部评级法(IRB)—零售内部评级项目建设主体任务。
——投产押品价值评估系统,实现了押品价值全过程、全方位、全功能的评估信息化。
——启动国别风险评价工作,制定主权评级办法,开展了对 110
个国家的主权评级。
本行行业信贷政策覆盖了国家公布的“两高一剩”行业,使得本行能够结合环保和产业政策,对各行业的信贷政策进行深入分析,适时调整、完善客户和项目的准入与退出标准,及时发布预警提示,提升了本行对行业信贷风险的识别能力。
4.市场风险评估
本行的市场风险评估体系与本行目前的交易品种、交易规模和复杂程度相适应。
本行制定实施《中国工商银行银行账户和交易账户划分管理办法》、《中国工商银行债券资产分类管理办法》,对银行账户和交易账户的划分管理进行制度上的规定。
通过建立交易账户市场风险限额管理指标,对资金交易业务市场风险进行控制。
完善优化 BIFT 系统、Kondor+系统、Summit 系统、BTS 系统和交易账户风险管理核心系统,实现了交易账户本外币债券市值每日评估和对发行人授信额度的刚性控制。
根据理财业务风险特点,运用久期、市值、VAR 值、PV01 值、杠杆比率、资产配置比例等风险指标及时评估和揭示了理财产品的风险。
5.操作风险评估
本行遵循巴塞尔新资本协议的有关规定,制定了操作风险分类方法和指标体系,确立了八大类操作风险类型和34个操作风险监测指标,编制了《中国工商银行操作风险管理手册》、《中国工商银行电子银行安全评估管理规定》和《中国工商银行操作风险损失事件统计管理试行办法》,建立了操作风险报告制度和监测分析制度。
通过跟踪操作风险发生的频率、影响程度,分析操作风险损失和监测指标变动情况,发现操作风险管理薄弱环节和风险隐患,进行风险提示,并提出管理建议,有效地促进了全行操作风险识别分析水平的提高。
6.关联交易风险评估
本行制定实施《中国工商银行股份有限公司关联交易管理基本规范(试行)》,对关联方单位实行了名单制管理。董事会关联交易控制委员会已按照有关规定对本行的关联法人和关联自然人进行了确认,并确保对关联交易方的授信等业务具备风险识别能力。本未发现损害股东或公司利益的行为。
三、内部控制活动
本行依托较为科学、严密的内部控制体系,综合运用先进的技术手段和控制方式,确保控制活动逐步实现对本行各项经营管理活动的全方位覆盖和全过程控制,对有效防范各类风险提供了安全屏障。
1.加强内部控制制度建设
在信贷管理方面,加强对客户融资风险总量的统一控制,规范公司信贷业务审查审批程序,完善了《中国工商银行公司法人客户统一授信管理办法》、《中国工商银行法人客户信贷资产质量十二级分类标准》等规章制度。
在财务会计方面,制定了新的《中国工商银行财务会计基本制度》、《中国工商银行资本管理办法》和《中国工商银行债券资产分类管理办法》;建立了以风险调整后的资本回报率(RAROC)为核心的经营绩效考评体系;实施了分产品、分部门、分机构的预算管理。
在个人金融方面,制定了《中国工商银行个人金融业务操作规程》、《中国工商银行个人外汇业务管理暂行办法》和《中国工商银行个人理财业务管理暂行办法》。
在运行管理方面,制定了《中国工商银行业务核算事权划分管理办法》、《中国工商银行会计核算专用印章管理办法》和《中国工商银行客户对账管理办法》等制度。
为避免制度重叠、疏漏和执行偏差,本行对各项规章制度进行全面梳理,开展符合性、有效性和健全性测试,及时清理了过时和作废的制度,对分散在多个文件中的制度加以整合,对存在缺陷的制度进行了补充修订和完善。
本行组织编写了个人金融、电子银行、银行卡、会计结算、资产负债、国际业务、金融市场和票据等业务的《业务操作指南》和《中国工商银行违规积分管理规定(试行)》,基本涵盖了前台临柜业务的主要品种,形成了标准化的业务操作和执行监督规范。
根据各分行经营管理水平、风险控制能力、业务发展需要和当地经济金融市场条件,实行了差别化授权,并通过计算机系统的授权功能模块,对用户权限进行分级授权控制,实现了对授权权限的主动管理、事前防范和刚性约束。
在二级分行实行了运行督导员集中制,在支行和营业网点实施了总会计和营业经理委派制,促进了各项内部控制制度在支行和营业网点的有效执行。
明确划分了各级机构之间、部门之间和岗位之间的职责,在不相容的岗位和部门之间建立了职责分离、横向与纵向相互监督制约的机制,并对关键岗位制定实施了定期轮岗和强制休假制度。
2.创新发展全面风险管理体系
本行倡导和树立“绿色信贷”理念,积极推进“绿色信贷”建设,致力于打造“绿色信贷”模范银行,出台了《关于推进“绿色信贷”建设的意见》,明确了建设“绿色信贷银行”的战略任务及目标,并就建立绿色信贷长效机制作出了具体规定,严格落实责任制和问责制,环保“一票否决”成为信贷营销、调查、审查和贷后管理的一条必须严格执行的纪律,全行员工的绿色信贷意识得到明显增强。
在“绿色信贷”建设过程中,本行认真贯彻落实国家宏观调控政策和环保政策及“节能减排”措施,控制和压缩“两高一剩”高风险行业融资,建立客户环保信息数据库,按环保风险轻重程度对客户进行分级分类管理,对不符合国家产业政策、达不到国家能耗和排放等指标相关标准和可能对环境造成重大不利影响的项目均实行了“一票否决”。
本行及时修订涵盖公路、电力等 25个行业的信贷政策,扩大行业风险管理覆盖领域,探索行业限额管理方法,构建了动态管理的行业风险管理体系;改进和细化对房地产、集团关联客户和贷款大户的信贷管理,提高了风险控制的针对性和有效性。
本行积极开展压力测试工作,对房地产、铁路、公路、电力、制造业和汽车等行业在经济周期波动时的贷款质量变化情况进行测算,并根据计算结果制定了应对措施,提高了风险预警能力。
2007 年末,本行不良贷款余额下降至 1117.74 亿元,同比下降
259.71 亿元;不良贷款率降至 2.74%,同比下降 1.05个百分点。
本行修订交易账户市场风险管理制度,强化了对交易账户市场风险管理的政策指导。
加强授权管理,实施了对金融市场业务的授权控制。
定期开展市值评估和准备金提取工作,按照审慎原则及时、足额提取了次级债风险准备,有效控制了市场风险总量。
采取多种措施积极规避汇率风险,对 IPO 募集的外汇资金,及时完成了结汇交易;对于自营或代客外汇交易业务风险,则根据自身风险承受能力和交易水平,努力把外汇敞口控制在既定限额之内。
由于货币政策累积效应逐渐显现和资本市场发展速度较快,本行流动性波幅加大。为提高全行流动性管理水平,切实防范流动性风险,本行制定了《中国工商银行股份有限公司流动性风险管理办法(试行)》,并适时调整内部资金转移价格,引导资产负债业务的流动性结构调整。加强对资金流量、流向及频率的监测,密切跟踪新股发行节奏,及时调整全行流动性安排和同业融资策略,提高了资金使用效率。
本行遵循“集中控制、分工管理、专线报告、统一监测、严格问责、落实奖惩”的原则,加强了操作风险管理。建立操作风险报告制度,及时分析评估风险变化趋势,研究防控和缓释风险的措施,最大限度减少风险损失。
推行集中管理模式,加强风险集中控制:
——投产财务管理综合系统,实现了一级分行财务的集中管理,并提高了集中采购的审批与采购层次。
——实施资金集中配置,将一级(直属)分行下属机构的资金集中到一级(直属)分行统一管理。
——完善垂直集中的授信审批体系,在一级(直属)分行层面基本实现了授信业务的集中审查审批。
——增加信贷作业控制环节,实现了新办理信贷业务的实时集中监督。
——按照“集约高效运营、内控服务并重”原则建立统一的客户对账体系,对单位、个人和信用卡对账实行了统一管理。
——组建总行国际结算单证处理中心,逐步实现国际结算单据的集中审查处理。
——投产信用卡实时交易监控系统,实现了对各卡种交易的集中监控。
强化计算机系统控制,运用IT 技术,对信贷管理、票据交易等各类业务操作风险易发部位实行技术层面的硬性控制。
针对不同种类理财产品的特性,分别制定了一系列操作指引,严格规范业务操作流程。
完善操作风险分级监测预警体系,在总行监督中心、所有二级分行和网点推广风险监控系统,对包括对公业务、个人金融、银行卡等业务,涵盖网点、柜员操作、账户、账务核算、账务核对、特殊和重要交易等7 大类、40 个细类、70个明细点的风险进行监控,并可生成预警信息、检查结果等多种报表,实现了对操作风险的持续监测和及时揭示。
2007年,本行操作风险损失率为 0.09%,比上年降低了0.04个百分点。千人发案率为 0.06,比上年下降 0.01。
2007 年11 月 22 日,标准普尔将本行长期信用评级由“BBB+”上调到“A-”,评级展望保持“正面”,原因在于本行保持了较为谨慎和稳健的经营战略,对非信贷业务的专注以及由强大 IT 系统支持下的良好操作风险管理水平和内部控制。3.加强信息科技体系建设
本行完成生产中心主机同城备份工程建设,实现了同城加异地的完整灾备,达到了国际灾难备份标准SHARE 92定义的六级水平。
制定了信息系统的连续可用性计划(ITCP),形成了比较完整的信息系统应急和灾备管理机制。
投产了海外机构综合业务处理(NOVA)系统。
实现了 8家海外机构核心信息系统的集中管理。
制定《中国工商银行数据有效期管理技术规范(试行)》等 5项规范,提高了全行信息科技管理的标准化、规范化水平。
编制下发《中国工商银行信息科技专业检查指引(2007 版)(试行)》,组织开展了自查和评估工作。
4.着力提高应急管理能力
为提高突发事件应急处理能力,减少和降低突发事件带来的损失及负面影响,本行制定了《中国工商银行突发事件总体应急预案》及内控管理事件、流动性事件、新闻危机事件、刑事治安事件等多个应急预案,并指导各级行制定辖内应急预案,形成了全行性突发事件应急处理机制。
针对目前本行经营管理、业务决策和数据处理对信息技术的依赖程度越来越高,系统风险日益加大的现状,本行对计算机系统安全性的评估程序、方法进行了检讨,完善了系统软件产品评估方法,改进了应用版本投产前的测试程序,并制定了《中国工商银行核心应用系统单分区宕机业务应急方案》,梳理了应急管理流程,提高了科技应急能力。
5.积极履行反洗钱义务
本行认真履行金融机构反洗钱义务,制定了《中国工商银行反洗钱规定》和《中国工商银行大额交易和可疑交易报告管理办法》,各级分行也制定了相应的规定,形成了较为完善的反洗钱制度体系。
依照监管要求对全行反洗钱监控系统进行了优化升级,实现了全行大额和可疑交易数据由总行数据中心统一报送中国人民银行反洗钱监测分析中心,提高了数据报送的及时性和准确性。
本行内控合规部门负责全行的反洗钱工作,设立了针对公司业务、个人金融业务、国际业务与海外机构、电子银行业务和银行卡业务等五个专业反洗钱工作小组,在二级分行以上机构也相应设立了反洗钱工作领导小组和若干专业工作小组。
截至 2007 年底,二级分行(含)以上机构共配备反洗钱专职管理人员 53 人,兼职管理和确认人员 1272 人,基层网点共配备 40114 名兼职人员参与反洗钱工作。
四、监督评价与纠正
本行构建和完善了以监测预警机制为手段,多层级、多维度、多渠道共同监督内部控制有效性的检查与监督工作体系,实现了对全行业务的事前预警、事中控制、事后监督,全面完成了本内部控制检查监督计划,符合监管规定和本行完善公司治理结构、强化内部控制体系建设的总体要求。
1.决策监督层有效履行检查监督职责
董事会及其下设的各专门委员会定期召开各项会议,责成有关部门提交书面报告或以实地调研方式检查监督内部控制体系的运行情况;董事会按季听取管理层的经营分析汇报;董事会及其审计委员会定期听取内部审计部门的审计报告和工作汇报,从总体上推动了全行内部控制体系的良性运行。
监事会及其专门委员会依法履行监督职责,听取本行定期报告的审核情况,听取财务收支、风险管理和内部控制等方面的监督检查报告,并就监督过程中发现的公司治理及经营管理中需要关注的问题,及时与董事会和高级管理层沟通。同时,开展了部分一级分行财务收支、信贷管理和风险控制情况的检查,及本行重要风险管理领域的非现场监测工作。
本行按照证监会及北京证监局的要求,对公司治理情况进行了自查与评估。监管部门复查后,对本行的公司治理工作给予了充分肯定。
2.开展合规检查
本行不断加强对内部控制薄弱环节和风险易发部位开展合规检查,先后组织开展了信贷授权授信业务合规性检查、个人贷款业务重点检查及假按揭贷款排查、资产负债业务专项检查、操作风险专项检查和反洗钱工作专项检查等五项重点合规性检查。同时,对部分分行的案件防范工作和开展不正当交易行为自查自纠工作进行了全面检查。
2007 年,本行立案查处的案件数量和涉案金额分别比上年下降了
23%和70%,发案率继续保持在国内外同行业中的较低水平。
3.开展重要经营管理事项全面检查
本行按照上市公司管理标准和要求,开展了重要经营管理事项全面检查。本项检查涵盖全行主要业务和境内外所有分支机构,内容包含主要经营领域的关键岗位、关键环节和重要人员的制度建设与执行情况,共15 个大类 52 个专项,涉及总行 19 个专业部门,历经了分行自查、总行复查和重点抽查三个阶段。通过全方位检查和有效落实问题整改,消除风险隐患,弥补管理漏洞,促进了全行经营管理水平的提高。
4.开展内部控制评价工作
本行修订一级(直属)分行内部控制评价指标体系和评价办法,在全行范围开展了内部控制评价工作。评价范围覆盖一级(直属)分行(含本级)下属所有机构,评价结果纳入当年经营绩效考评体系,并作为授权管理、经济资本配置等的重要依据,有效激发了各分支机构自觉加强内部控制的主动性。
5.内部审计独立开展内部控制监督检查
本行内部审计部门严格执行董事会批准的审计计划,有序完成了财务、信贷、信息科技、新产品、境外机构和高级管理人员离任审计等审计项目。审计发现和审计建议的层面逐步提升,对全行内部控制的健全性和有效性给予了系统全面的支持。此外,本行还配合银监会开展了 4 项专项检查,落实了各项整改要求。
五、信息交流与反馈
1.健全信息交流与沟通机制
本行制定《中国工商银行重大信息内部报告管理办法(试行)》,对全行定性类重大信息、定量性重大信息进行科学界定,明确了报告的责任部门和报告路径。
依托全功能银行系统,发挥统计在线、CS2002 系统作用,通过管理信息共享平台,将各类经营数据、财务数据等以 T+1 报告模式传递到公司不同管理层级,信息沟通时效性和准确性得到了保证。
2.搭建信息交流与沟通平台
本行搭建了电子公文系统、电子邮件系统、“网讯”、业务园地和行长信箱等多个行内信息交流平台,确保总行各部门和各层级机构能够将决策层的战略、政策、制度及相关规定等信息及时传达给员工,同时也支持员工将业务经营、内部控制、风险管理中存在的问题及时向各级管理层报告。
3.不断完善信息披露工作
本行严格执行监管要求,诚实尽职履行信息披露义务,修订了《中国工商银行股份有限公司信息披露制度》,实现了信息披露工作的规范化,提高了公司治理的透明度。
六、内部控制缺陷及整改
通过对本行内部控制的自我评估,本行认真总结分析了评估过程中发现的内部控制制度建设及各项控制活动中存在的不足和缺陷(见图例)。虽然这些缺陷对经营管理活动的质量和与会计报表编制有关的内部控制流程的健全性、有效性尚不构成实质性影响,但本行仍需对这些缺陷及其整改给予足够的重视。
1.信用风险预警功能还需加强。目前本行信贷管理系统风险预警模块中虽然有风险预警功能,但需进一步整合完善,才能充分发挥作用。本行已于前不久进行了信用风险压力测试,在信用风险预警方面进行了改进。本行将在 2008 年继续整合、完善信贷管理系统中的信用风险预警功能,实现对客户信用风险的实时监测和预警,提高对信用风险的防范能力。
2.交易账户衍生产品的市值评估频率尚未达到逐日评估的要求。本行将加强系统建设,并随着系统升级项目的实施,进一步提高市值评估能力。3.本行财务报表的编制已实现了 T+1 自动生成,但采集财务报表附注基础信息仍采取手工方式,不仅影响完整的财务报告的编制效率,也容易导致数据出现差错。本行已立项开发财务报告管理系统,以进一步提升报表附注数据源的提取、核对功能,以提高财务报告编制的效率和质量。
4.全行的合规性检查工作尚未建立规范统一的规则,易影响合规检查工作的质量。本行将加快制定标准化、规范化的合规性检查操作流程,确定合规检查的执行标准、程序以及样本抽取原则等,以满足合规检查工作的需要。
5.《员工行为守则》尚未更新,可能影响内部控制环境的完整性。
《员工行为守则》的制定和修改均在本行股份制改造和上市之前,因此未涉及禁止内幕交易、处理利益冲突和惩罚措施等内容。这种缺失可能影响对员工行为引导和规范的全面性,不利于防范道德风险。因而需要定义银行可接受的商业行为、利益冲突和其他期望的道德标准,以便更符合上市地监管规定。对此,本行正在按照监管要求,抓紧修订《员工行为守则》,征求本行各级工会的意见,依法履行民主程序,并将建立适时更新和正式沟通机制。
七、2008 内部控制工作计划
2008 年,本行将围绕既定的发展战略和经营目标,在内部控制建设方面抓好以下五项工作:
1.改进和完善与现代金融企业要求相适应的内部控制体系,提升风险管理水平 按照公司章程,组织好董事会、监事会及相关专业委员会换届工作,健全“三会”和高管层工作机制。
统筹推进个人金融业务流程改造第三阶段的工作,建立流程持续优化机制。
启动对公业务流程改造工作,对营销、评级、评估、授信、审批、贷后管理等信贷业务流程进行全面整合。
继续深化资金管理体制改革,逐步实现本外币资金的总行全额集中配置与管理。
强化内控合规部门在经营管理活动事前与事中的过程控制,理顺内控合规部门与各相关部门之间的关系,建立规范统一的合规性检查工作规则,提高各类检查效率和效果。
建立内部控制问题监督与纠正机制,建立违规行为台账及违规机构、个人违章记录查询系统,制定业务违规操作问责制,建立检查监督结果的集体审议制度,规范对重大违规违纪行为责任人的处理程序。
2.健全全面风险管理体系与机制,提升对各类风险的识别、评估和预警能力
继续积极探索风险集中管理模式,建立一体化、规范化的风险管理流程,整合监控不同领域的风险信息。
完善信用风险监测预警机制、重大信用风险应急处理机制和操作风险损失事件统计制度,修订操作风险监测指标体系。
推动非零售业务内部评级法量化成果在风险管理全流程的应用,尽快实现零售业务内部评级法项目的投产。
启动操作风险高级计量法项目,研发异常交易监控系统,加快解决信用风险预警功能不强的问题。
3.增强科技引领和保障能力,健全计算机信息系统风险防范制度
继续推进硬件设施和软件系统升级,加快新一代综合业务系统的研究和开发,完成核心系统架构设计,启动核心系统改造优化、客户信息整合和应用集成平台建设等项工作,加强对计算机系统运行的严密控制,根据业务部门需求对已经投产运行的计算机系统的控制功能进行扩大、整合、改造,最大程度地将内部控制的手段编入系统程序,实现计算机程序系统的刚性控制。
4.开展全方位和分层次审计活动,促进全行风险管理水平的提升
在内部控制有效性方面,继续开展内部控制自我评估工作,有针对性地解决和纠正内部控制体系中存在的问题,建立内部控制自我评估体系框架和评估标准的自我更新与完善机制,研发内部控制自我评估信息系统,保证今后全行内部控制评估的长期需要。
在风险管理有效性方面,深入开展信贷管理、资金业务和新产品的创新审计,重点分析行业政策影响下不良贷款的形成问题,评估大额贷款的风险状况,审查资金业务的交易控制、产品定价和风险敞口管理情况,跟踪部分风险表现复杂、技术含量高、收入回报高的新产品风险控制状况。
在信息系统运营安全方面,继续加强对总行和四大中心的运营安全、软件开发与测试及信息安全等方面的风险控制审计,特别要关注个别事件和突发事件的影响,全面评估信息科技发展战略、治理架构、系统整体性能等。
在公司战略执行效率与效果方面,开展经营效益审计和财务管理审计,重点评价总行相关部门制定政策的合理性、有效性,评价总、分行经营绩效与财务资源配置的匹配性和有效性,促进全行改善管理、提高效益。
关注国际化发展战略的推进效率,开展境外机构审计,重点分析评估总行对境外机构的业务支持和境内外机构建立协作发展有效机制的情况。
5.汲取国际上一些银行违规交易事件教训,提高风险防控能力
随着本行金融市场业务不断扩大,规模持续增加和产品的日益复杂,本行的风险管理面临着更加严峻的挑战。本行将认真汲取国际上一些银行违规交易事件的教训,不断完善金融市场风险管理的制度和办法,加强对市场交易业务中操作风险的防范研究,在利用计算机系统进行风险控制的同时,加强交易流程、授权和限额控制的管理,重视交易员的职业道德和操守教育,防止违规行为的发生。
二〇〇八年三月二十五日
第三篇:内部控制自我评估报告
××电气公司
内部控制自我评估报告
××电气股份有限公司(以下简称“公司”或“本公司”)按照《中华人民共和国公司法》、《中华人民共和国证券法》等法律法规的规定,以及中国证券监督管理委员会和上海、香港两地证券交易所的要求,依据《上海证券交易所上市公司内部控制指引》和财政部、审计署、证监会、银监会、保监会联合发布的《企业内部控制基本规范》及《企业内部控制配套指引》,本公司对公司目前的内部控制及运行情况进行了全面的检查,对本公司内部控制的有效性进行了审议评估。自本公司成立至今,内部控制得到了不断的发展与完善,现将××年××月××日止内部控制有效性进行自我评价。
一、公司内部控制目标
建立健全并有效实施内部控制是本公司董事会及管理层的责任。本公司的控制目标是:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
内部控制存在固有局限性,故仅能对达到上述目标提供合理保证;而且,内部控制的有效性亦可能随公司内、外部环境及经营情况的改变而改变。本公司内部控制设有检查监督机制,内控缺陷一经识别,本公司将立即采取整改措施。
二、公司内部控制建立与实施遵循的原则
(一)全面性原则。将内部控制贯穿决策、执行和监督全过程,覆盖公司及控股子公司的各种业务和事项。
(二)重要性原则。在全面控制的基础上,关注重要业务和高风险领域。
(三)制衡性原则。在治理机构、机构设置及权责分配、业务流程等方面相互制约、相互监督,并同时兼顾运营效率。(四)适应性原则。内部控制与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。在内部控制设计和实施过程中权衡实施成本与预期效益,以适当的成本实现有效控制。
三、公司内部控制制度框架与执行情况
根据财政部《企业内部控制基本规范》规定,本公司建立和实施内部控制制度时,考虑了以下基本要素:内部环境、风险管理、控制活动、信息系统与信息沟通、监督检查等五项要素。现分述如下:
(一)内部环境
1、公司治理结构及议事规则
本公司是严格按照《公司法》、《证券法》、《上市公司治理准则》等有关法律法规、中国证监会规范性文件的要求在上海证券交易所与香港联合交易所挂牌交易的上市公司。公司积极完善公司法人治理结构,建立现代企业制度,规范公司运作。为规范内幕信息管理行为,加强内幕信息保密工作,公司颁发了《内幕信息知情人登记及外部使用人管理制度》,进一步维护了公司信息披露的公开、公平和公证。公司进一步建立完善了决策、监督机制,并及时、准确、完整地披露重大信息,确保了中小股东的知情权。
公司建立了独立董事制度,对公司董事会的相关决策予以有效监督,且独立董事已超过董事人数的三分之一。董事会下设四个专门委员会:战略发展委员会、审计与审核委员会、薪酬及提名委员会、风险管理委员会为董事会决策提供专业意见。公司根据《公司章程》制定了《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、《董事会审计与审核委员会工作条例》、《董事会薪酬与提名委员会工作条例》、《独立董事工作条例》、《募集资金使用管理办法》、《重大事项内部报告制度》等一系列管理制度,公司股东大会、董事会、监事会和经理层各负其责、运转协调有效。
2、机构设置情况 公司已按照相关法律、法规及监管部门的要求,在主业资产整体上市后,已与××集团在业务、人员、资产、机构、财务等方面进行了分离。设立了符合公司业务规模及经营管理需要的组织机构,贯彻不相容职务相分离的原则,并随着公司业务发展需要,对个别部门内设机构进行调整,科学地划分了每个组织单位内部的责任权限,形成了相互制衡机制。组织机构图如下:
3、内部审计基本情况
本公司内部审计由公司总裁直接领导,实行“统一领导,分级负责”的管理模式,全公司共设置五个内部审计机构,专职审计人员四十三人,其中公司总部审计部负责本级及所属企业的内部审计业务工作,在公司财务、预决算、基建、领导干部经济责任、专项调查等方面开展大量工作,同时对所属二级单位内部审计工作进行管理和指导。公司内部审计管理层次完整,管控健全有力。
4、人力资源政策
本公司人力资源管理政策以完善法人治理结构要求、满足企业实际需要制定,现已制定并实施《薪酬与提名委员会工作条例》、《高级管理人员薪金管理办法》、《劳动合同管理办法》、《工资总额管理暂行办法》等20余项人力资源管理规范的规章制度,涵盖职工招聘、劳动关系管理、职工培训、职工考勤、假期管理、业绩考核、薪酬福利管理、人工成本管控、高管人员薪酬、干部任用与考核等业务内容,各项制度均履行民主协商、依法决策程序。
(二)风险管理
1、风险评估
××年,公司正式启动全面风险管理工作,用了为期近一年的时间,通过前期调研和充分研讨,聘请了中介机构与公司相关部门组成联合工作组,对公司全面风险管理体系及相关内部控制环节进行优化,为进一步提升公司风险管理及内部控制水平,建立自我完善长效机制,健全风险管理及内部控制建设工作打下良好的基础。
2、风险分析及对策(1)国际国内经济形势变化带来的风险与对策
受国际金融危机影响,国际经济形势依然动荡,预计未来五年世界经济增长乏力。由于欧元的持续贬值,人民币升值压力剧增,以及贸易保护主义的抬头,将加剧我国企业,特别是装备制造企业出口的难度。与此同时,发达国家希望通过发展低碳经济及智能电网来调整能源结构,以获得振兴经济的新动力,且提出“再工业化”的战略要求,在给中国装备制造业的出口带来新的机遇的同时也带来更大的挑战。从国内来看,未来五年我国将实现经济与社会的双重转型。十七届五中全会强调“调结构,抓创新,培育新的增长点,使短期的恢复性增长成为长期的持续发展”;中央经济工作会议提出明年宏观经济政策基本取向要积极稳健审慎灵活。
面对复杂多变的国际国内形势和有喜有忧的发电设备市场形势,本公司将高度关注世界经济发展新动向和宏观经济政策走势,把握机遇防范风险;本公司将在“十二五”开始,逐步走上质量效益优先、创新驱动、高技术产品占主导的发展道路,不断提升竞争能力,在更加激烈的市场竞争中立于不败之地。
(2)行业形势变化带来的风险与对策
2010年国家出台的《关于加快培育和发展战略性新兴产业的决定》中提出,国家决定重点培育和发展节能环保、高端装备制造、新能源、新能源汽车等等七大战略性新兴产业,此项政策必将给本公司带来新的发展机遇与挑战。同时,水电市场参与者众多,市场开拓压力仍然较大;而国内火电市场新建项目总量在逐渐减少;在风电市场方面,风电产业仍然处在快速发展期,用户需求已逐步转向性价比更高的2兆瓦级以上风机产品,海上风电也将成为市场追捧的亮点;而在核电市场,核电安全性等日渐成为全人类关注焦点。
本公司将以国家产业政策和国家中长期科技产业发展规划为指引,以市场为导向,继续做精做强发电设备产业,确保发电设备产业的领先地位。在“十二五”期间,推进产业结构调整、扩大产品市场份额、全力拓展市场、增强市场竞争力。继续努力稳定产品质量和性能,大力拓展新用户,争取拿到更多的新能源产业市场订单,发挥公司合力,积极做大燃机、环保产品和电站服务市场。
(3)海外业务拓展带来的风险及对策 本公司在巩固巴基斯坦、越南、印度、土耳其等传统市场基础上,在非洲市场取得突破,并成功重返孟加拉市场。但由于海外国家和地区政治、经济环境差异较大,对本公司项目管理、风险控制提出更高的要求。
公司一方面完善海外风险管理制度,提高海外风险管理能力,激励创新,强化知识产权保护制度;另一方面积极加强与当地政府的信息交流,利用多种渠道,加强信息收集与预警以控制可能发生的风险。通过加强与国际大公司的合作,共同开发第三国市场。积极探索开拓海外电站成套改造这一潜力巨大的服务市场,采取有效措施增加海外机组备品备件订单量。
(4)汇率、利率变化带来的风险及对策
本公司主营业务以人民币为主计价结算,但目前人民币并非自由兑换的货币。人民币对美元、欧元及其它外币的汇率波动可能会对本公司的经营成本及经营业绩产生影响。2010年,受国际金融市场尤其外汇市场剧烈波动影响,股份公司在手和在执行的国际工程项目面临汇率波动的不确定性风险。
面对目前金融市场的各种风险,本公司积极研究和分析外汇汇率、利率变化趋势,为有效防范和化解汇率风险,公司积极研究并密切关注外汇市场走势,继续审慎、规范地开展远期结汇业务。
(5)法律纠纷风险及对策
企业之间参与市场竞争并取得优势的关键是自有知识产权,作为公司品牌象征的商标、代表核心竞争力的专利和专有技术以及商业秘密、相关著作权,在快速发展及面临竞争时都会遇到相应风险。
本公司将逐步建立知识产权信息资源共享平台,加大项目合同中知识产权条款法律审查,归纳整理专有技术和商业秘密,运用行政、司法手段,在知识产权专家及中介机构监测和协助下,做好侵权预警、保护好自身知识产权;同时,本公司将继续推进普法工作,全面提高员工法律意识,依法行使权利。
(三)控制活动
1、关联交易控制
本公司根据《上海证券交易所股票上市规则》和《香港联合交易所证券上市规则》的规定来界定和确认公司的关联方,本公司关联方主要有控股股东××集团及其他关联法人。
本公司与控股股东××集团及其他关联法人之间的关联交易均为生产经营所需的日常持续性关联交易。主要涉及采购、销售、财务服务等方面。关联购销业务有利于利用公司内部优势资源、稳定产品质量、降低产品成本与物流成本、扩大产品客户群,对公司未来财务状况、经营成果具有积极影响,存在交易的必要性。财务服务有利于公司进一步加强资金管理、控制风险、提高资金使用效益。
为了规范本公司及本公司控股子公司与控股股东××电气集团及其他关联法人之间的持续关联交易,经公司于2009年5月5 日召开的第五届董事会第三十五次会议审议通过,公司于2009年5月5 日与××集团及其他关联法人签署了2009-2011的持续关联交易框架协议,包括《采购及生产服务框架协议》、《销售及生产服务框架协议》、《综合配套服务框架协议》、《财务服务框架协议》、《物业及设备承租人框架协议》及《物业及设备出租人框架协议》。其中,《采购及生产服务框架协议》、《销售及生产服务框架协议》、《综合配套服务框架协议》、《财务服务框架协议》、《物业及设备承租人框架协议》经公司于 2009 年6月25日召开的2009年第二次临时股东大会审议通过,关联股东××集团回避了对相关议案的表决。此外,《物业及设备出租人框架协议》相应的建议交易上限未达到需要提交股东大会审批的金额。
该等关联交易协议是本公司与控股股东在平等自愿的基础上经协商一致达成,其内容及决策程序均合法有效,所约定的条款公允,不存在损害公司及中小股东利益的情况。该批协议已经独立财务顾问审核,独立董事会委员会、董事会和股东大会审议批准生效,同时履行了严格的公告披露义务。
本公司关联交易主要遵循市场价格的定价原则,若无相关市场价格,则按成本加成定价,若既无相关市场价格,也不适合采用成本加成定价的,则按协议定价;若有国家政府定价的,则按国家政府定价执行。对于关联交易的日常管理,公司制定了母子公司两个层面统一监管的关联交易管理体系,并发布了《关联交易管理办法》,定期召开关联交易工作会议,落实关联交易责任部门,使关联交易运行与管理规范明确。通过定期报告制度、每季度关联交易运行简报,及时把握关联交易的运行情况,分析解决关联交易具体问题,对本框架协议内的关联交易进行动态管理,使公司关联交易严格按照董事会和股东会批准的协议条款运行。
此外,本公司的《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、《独立董事工作条例》、《关联交易管理办法》等均规定了关联交易规范措施,明确了关联交易的归口管理单位、报批及审议流程,公司建立了关联股东和关联董事的回避制度和独立董事工作制度并严格执行,明确了关联交易公允决策的程序,保证关联交易按照公开、公平、公正的原则进行,为保护中小股东的权益和避免不正当交易提供了保障。
2、授权控制
本公司在交易授权上区分交易的不同性质采用了不同的授权审批方式。对于一般性交易如购销业务、支付工程进度款、费用报销业务采用了各职能部门审核、分管领导审批、财务部与总会计师、总裁及董事长审批制度;对于非常规性交易,如收购、投资、发行股票等重大交易经公司相关职能部门审核后报经股东大会或董事会批准。
现就本公司的实际情况,将有关的交易授权情况加以评价。
一般授权:在采购与固定资产购置及基建工程业务中,本公司一直采用招标与审批相结合的制度。大额的原材料采购及大型设备的购置、基建工程的工程勘测、设计、施工及监理单位的选择均采用招标方式;小额的原材料采购采用部门评审和领导批准方式,同时坚持多家供应商报价制;在销售业务中,市场部根据相关业务部门的指令发出商品;在资金支出与费用开支方面,由公司规定不同金额起点的审批权限,具体由部门经理、公司总裁、董事长执行,从内部审核的情况看,费用的审批程序达到了有效遵循。
特别授权:对于重大经营活动,需由股东大会或董事会做出批准,保证交易具有合法依据。
3、销售与收款循环控制
本公司制订了相关管理制度,对销售及收款过程中各部门职责分工,营销策划,合同的签订,客户信用管理、运送货物、开出销售发票、确认收入及应收账款、收到现款及记录等各个环节进行了严格的规定,以最大程度地控制销售风险。同时,本公司于2010年开展全面风险管理工作,按《企业内部控制应用指引第16号——合同管理》的要求,重点对公司合同管理关键点流程控制进行梳理和优化,进一步明确各部门合同管理职责,对防范经营风险、提高管理效率起到良好的促进作用。
公司对应收账款实行分类管理,针对不同性质的应收款项,采取不同方法和程序,建立应收账款账龄分析制度和逾期应收账款催收制度。严格区分并明确收款责任,建立科学、合理的清收奖励制度以及责任追究和处罚制度,以有利于及时清理催收欠款,保证公司营运资产的周转效率。
4、采购与付款循环控制
本公司制定了《物资采购管理办法》、《公司招标管理办法》、《成本核算办法》、《在建工程管理办法》、《物资采购合同审计管理办法》、《基建工程预决算审计办法》等内部制度,就相关部门职责分工、项目投资决策、重要原材料战略采购程序、合同订立等有关内容做出了规定,使公司在项目立项、成本控制等方面有章可循,有效地保证了项目投资决策的科学性、成本的真实可信和公司资产的安全。
本公司采购与付款业务由供应、采购、收货、财务各部门共同协助完成。将采购业务中的预算、采购、验收、付款等部门工作的授权审批分离开来。对请购、审批、签约、采购、验收、审核、付款等环节建立标准化业务处理程序,健全以采购申请、经济合同、结算凭证、入库单据为载体的控制系统,增强请购、采购、验收、付款关键点的控制。
5、生产管理循环控制
通过制定《出入厂区管理办法》《外购物资入库、储存、发放的管理》等管理办法,确保对存货的有效管理。另外,制定了产品工地工序及经费承包管理办法及其补充规定、工作号管理办法等管理办法,对从拟定生产计划到产品质量控制的全部生产环节进行规范控制。
6、固定资产控制
为进一步完善和加强固定资产管理工作,提高股份公司投资决策水平和投资效益,本公司对原《固定资产投资管理办法》进行了修订并予以颁布,同时制订了《固定资产投资项目后评价实施办法》。通过制定和实施科学适用的管理制度,将固定资产管理工作贯穿于固定资产的整个使用周期,从建设或购置,到使用、维护,保管,直至报废和处置,各环节管理原则、管理程序、管理权限、管理责任和管理要求均非常明确,进一步统一了固定资产管理思路,有利于发挥各自的主观能动性,有利于统筹控制,最大限度地规避固定资产管理过程中存在的风险。
7、财务控制
(1)资金管理
本公司继续通过不断规范和完善资金计划管理工作、提高资金计划的及时性和准确性,严格执行资金支付管理制度,有力保障了公司经营活动资金的平稳和高效运转;同时,充分发挥公司资金集中管理功效,大幅度降低了公司财务费用,提高了资金使用效益。
(2)预算管理
预算管理是企业管理的重要手段,对企业的各项经济活动具有重要的指导和控制作用。为切实加强预算管理,公司及时制定并颁发了《财务预算管理办法》,明确了预算管理体制和组织架构、预算管理工作流程、预算评价考核机制等。初步实现了财务预算与业务预算及经营业绩考核目标的有机衔接,预算编制的时效性、预算执行的刚性都有较大提高。通过交流和推广降本增效方面的成功经验,强化了降本增效意识,各企业成本控制工作卓有成效。积极研究资本市场,配合公司发展战略,稳健开展了资本运作。
(3)汇率风险管理 本公司坚定不移地实施“走出去”战略,通过不懈努力,在国际市场上取得了骄人的业绩,与此同时,世界经济和金融风险也对公司的经营构成了巨大的威胁。为切实加强涉外工程项目的风险管控、努力降低外汇汇率波动风险,公司积极研究和分析外汇汇率趋势,充分利用现有金融避险工具,结合涉外工程项目进度,采用开展适当金融业务,从一定程度上降低了外汇汇率波动风险。
(4)税收管理
本公司严格遵守和执行国家各项税收法规,积极研究和争取相关税收优惠政策。通过落实财税优惠政策,为公司降本增效、提升自主创新能力和核心竞争力、加快推动公司产业结构的调整和升级提供了强有力的支持。
8、人事管理控制
本公司已建立社会招聘、校园招聘、公司内部招聘、组织调动等多种人才引进流动机制,各项招录措施均有管理制度或具体实施方案,通过用人单位结合工作需要、岗位缺员及岗位职责要求提出补员申请,通过招聘、公告、筛选、考核、审议、决策等程序,最终确定录用人选。
本公司对员工劳动关系管理严格按照国家《劳动合同法》、《劳动合同实施条例》及有关规定制定的《劳动合同管理办法》进行规范管理。本公司严格按照国家有关规定建立假期管理制度,对职工探亲假、事假、病假、产假、保育假、带薪休假等建立管理台帐,进行规范管理。其中,带薪年休假按“集中安排与自行安排”相结合办法实施。
本公司对职工进行分层分类考核,对干部实行季度考核与考核相结合方式,从德、能、勤、绩、廉五个方面进行考核;公司对职能管理职工实行月度考核与考核相结合方式,主要从工作态度、工作能力、工作业绩等方面进行考核,评定考核结果;对项目管理人员,主要考核项目进度、成本控制等;对市场营销人员,主要考核签约项目数量及额度等;考核结果综合评定,作为职工本人奖惩、升降依据之一。同时本公司建立与工作业绩挂钩的工资分配办法。公司依法按时足额为职工发放薪金、缴交各项社会保险和住房公积金;依法为职工代扣代缴个人所得税;按法定要求确定职工工作时间,按规定计发加班费。本公司按规范法人治理要求,对企业由工资总额管理改为人工成本全口径预算管理。通过“企业年初申报、公司汇总审核、公司与企业沟通澄清形成方案建议、公司决策后下达执行、企业定期报统计报表、年内据实调增调减”等程序,加强人工成本管理过程控制,不断改进完善公司对企业“控制总量、控制水平、控制结构”管理模式。
本公司制定《薪酬与提名委员会工作条例》、《高级管理人员薪金管理办法》、《高级管理人员职务消费管理办法》等规章制度,对董事、监事、高管人员选择、确定、考核、薪酬和职务消费等进行规范管理。
9、担保与投融资控制
本公司依据中国证券监督管理委员会、中国银行业监督管理委员会证监发[2005]120 号文《关于规范上市公司对外担保行为的通知》的规定制定了贷款及担保程序,迄今为止,公司未发生违规对外担保、委托理财、拆借等行为。
结合公司全面风险管理工作,本公司修订了《对外投资管理办法》,对投资主体、投资方向与范围、资金来源、投资决策权限、投资管理程序、投资计划和统一管理、财务管理、审计监督、投资后评估及项目退出等有关内容做出了规定,保证了公司对外投资的资金安全,确保了投资回报效果。
本公司继续强化固定资产投资管理工作,严格要求所属企业及股份公司本部按照公司《固定资产管理办法》开展固定资产投资工作。本公司严格履行项目报批手续,审批程序严格,决策审慎。在建投资项目监管进一步加强,对重点投资项目建立了“重点项目月报制度”,既能及时掌握项目情况,同时也能促进企业建设进度。
根据中国证监会《关于进一步规范上市公司募集资金使用的通知》、上海证券交易所《上市公司募集资金管理规定》等有关规定,本公司制定了《募集资金管理办法》,对通过公开发行证券以及非公开发行证券向投资者募集的资金,已建立募集资金存储、使用和管理的内部控制制度,并对募集资金存储、使用、变更、监督和责任追究等内容进行明确规定。
10、母子公司管控相关制度建设情况 本公司进一步加强与子公司董事会之间协调管理力度,制定了《子公司董事会运行管理办法》,逐步完善对子公司外派董、监事管理制度,按照科学发展观的要求,统筹兼顾,对业务管理流程进行梳理和设计,优化管理模式,通过建立财务会计控制制度和投资授权体系及决策程序,加强人力资源配置等方式,保证母子公司之间及时、准确、真实和完整地互通信息,促进各子公司工作成果、经验的交流、共享和应用,既保障子公司重大事项得到有效监控,又要确保管理效率得到有效提高。
(四)信息系统与信息沟通
公司对信息系统公用基础设施和具体信息系统制定了内控制度,以确保信息系统安全、稳定运行。公司已建成的信息系统有邮件系统(MAIL)、外网网站系统(WWW)、办公系统(KOA)、企业资源计划管理系统(ERP);在建的有综合管理信息系统、工程数据管理系统(EDM)和三维设计系统(3D)等,并在建综合管理信息系统、总部一卡通系统等。制定并颁布了《ERP程序开发暂行管理办法》、《ERP系统暂行管理办法》等制度。公司ERP、KOA系统数据按相应的管理办法实行实时存储、定期备份,备份介质保管在安全的场所由专人管理等方式,在网络系统维护、安全防护、页面布局方面的管理进一步加强。
(五)反舞弊机制与举报投拆制度建立情况
本公司坚持把预防腐败、反舞弊工作融入到生产经营管理各项制度的制定和落实之中,把制度建设贯穿于反腐倡廉建设的全过程,不断建立健全公司反腐倡廉教育制度、监督制度、预防制度、惩治制度,加强反商业贿赂督导,积极构建具有××特色的反腐倡廉制度体系,提高从源头上预防腐败的能力和水平。
(六)监督与检查
1、公司内部控制制度建立情况
本公司为规范管理,继续修订完善各项内部控制制度,对公司印章使用、票据领用、保函管理、资产管理等方面制定了相关管理办法,并根据财会【2008】第7号文《企业内部控制基本规范》、《上海证券交易所内部控制指引》及《企业内部控制配套指引》,通过规范制度审核与发布程序、内部审计、开展风险辨识与评估等形式,对公司内部控制管理进行监督和检查。本公司已建立所属企业管理制度备案制,进一步加大了对子公司的内部控制监督力度。
公司董事会对内部控制检查监督工作进行指导,并审阅检查监督部门提交的内部控制监督工作报告,作为评价内部控制运行情况的依据,并由监督检查部门在结束后向董事会提交内部控制检查监督工作报告。公司管理层高度重视各职能部门和监管机构的报告及建议,并采取各种措施及时纠正控制运行中出现的偏差。
2、内部控制制度检查情况
2010年本公司围绕公司工作重点,开展内部控制专项审计30项,针对审计中发现的问题,提出了完善管理制度、规范招评标、加强资产管理和合同管理等方面建议。
从审计结果看,公司及所属主要单位均建立了覆盖公司所有业务环节、关键控制点和风险领域的内部控制制度,未发现重大内部控制缺陷;公司及所属企业按照国家颁布的法律法规不断完善内部控制制度,对企业投资管理、合同管理和招议标管理等重要事项进行了严格规定和控制,管理较为规范,未出现重大违规违纪事项及由此造成的重大经济损失。
四、内部控制中存在的问题及整改
(一)存在的问题
通过对本公司内部控制的自我评估,本公司认真分析总结了评估过程中发现的内部控制制度建设及各项控制活动中存在的不足和缺陷,主要表现在:随着公司在新的业务领域不断拓展,在公司树立风险管理意识,构建内部控制及风险管理文化方面应进一步加强。
(二)整改措施
随着外部环境变化和公司发展规划要求,以及公司经营发展和管理要求的提高,本公司将结合国家相关法律和行政法规的具体要求,将内部控制知识有效传递到各个业务环节,切实提高公司内部控制执行能力。不断修订和完善内控制度,强化风险管理,确保研发投入,提升自主创新能力,保障公司持续、稳定、健康发展。根据公司“十二五”规划,开展业务环节风险辨识与评估,完善内部控制体系,做好财务报告内部控制的建设、自我评价和审计工作,培育公司风险管理文化,做好内部控制披露工作。
五、内部控制自我评估结论
本公司董事会认为,自本1月1 日起至本报告期末止,本公司现有内部控制制度基本健全,已覆盖了公司运营的各层面和各环节,形成了较为规范的管理体系。执行有效,能够预防和及时发现、纠正公司运营过程中可能出现的重要错误和舞弊,保护公司资产的安全和完整,保证会计记录和会计信息的真实性、准确性和及时性,在完整性、合理性及有效性方面不存在重大缺陷。随着本公司发展及相关业务职能的调整、外部环境的变化和管理要求的提高,内部控制还需不断修订和完善。
本公司对2010年的内部控制进行了评估。根据评估结果,本公司2010年按照财政部颁发的财政部发布的《企业内部控制基本规范》和上海证券交易所发布的《上海证券交易所上市公司内部控制指引》的要求建立了与相关的内部控制,这些内部控制的设计是合理的,执行是有效的。本报告已于2011年3月30日经公司六届十六次董事会审议通过,本公司董事会及其全体成员对其内容的真实性、准确性和完整性承担个别及连带责任。
××电气股份有限公司董事会
二0一一年三月十七日
第四篇:CCSA(内部控制自我评估)
内部控制自我评估
1992年,COSO委员会发布《内部控制整合框架》。
2002年,美国国会出台的《萨班斯法案》,其404条款要求上市公司在报告中必须包含内部控制自我评估报告。
2008年,财政部联合证监会、审计署、银监会、保监会等五大部委共同出台《企业内部控制基本规范》,要求上市公司在公司年报披露的同时,披露内部控制自我评估报告,同时鼓励非上市的大中型企业对照执行。
2010年,上述五部委再次联合并发布了《企业内部控制配套指引》。
2011年,试点年,首批企业被选为样板开始执行。
2012年,内控年,所有上市公司要求强制对照执行。
我国成为继美国和日本之后第三个要求对本国企业实施全面内控审计的国家。
具体的实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
相信在随着中国对内部控制的日益重视,CCSA证书必将成为上市公司、外部审计以及管理咨询公司的新宠!!
CCSA考试特点
CCSA与CIA同属国际注册内部审计协会(IIA)提供的专业资格认证。目前的状况类似2002年以前的CIA考试,认知度还不高。特别是受到考试语种为英语的限制。相信这一状况会随着考试进程的推进而改善,目前不断增长的报名人数也证实了这一点。
CCSA考试的难度要略高于CIA,通过率约为24%(国内高于国际平均)。但如果掌握好的方法,则可以大大提供通过率。
推荐CCSA参考用书:
《Certification In Control Self-Assessment Examination Study Guide》《Control Self-Assessment: A Practical Guide》
《国际注册内部控制自我评估师CCSA应试指南》
国际注册内部控制自我评估师CCSA概述
CCSA(Certification in control self-assessment)是指国际内部控制自我评估专业资格,是为内部控制自我评估的从业人员而设置的,它是由国际内部审计师协会(IIA)提供的第一项专业证书。CCSA
考试能够提供内部控制自我评估所需要的技巧及内部控制自我评估的方法,并为内部控制自我评估的初始从业人员提供指南。
IIA是世界范围的内部审计师组织。该协会1941年成立于美国纽约,在联合国经济和社会开发署享有顾问地位,是最高审计机关国际组织的常任观察员,是国际政府财政管理委员会、国际会计师联合会的团体会员。协会现有196个分会,分布在100多个国家和地区。中国内部审计学会1987年加入该协会,成为国家分会。协会现有全球会员7万多人。
CCSA考试是国际内部审计师协会(IIA)举办的国际考试,在国内由中国内部审计协会负责考试的组织和安排。设考点的省、自治区和直辖市内部审计(师)协会负责本考点的国际注册内部自我评估资格考试的组织领导和协调工作。CCSA主要考察内部控制自我评估的基本原理、综合方案、程序的原理,企业的目标和机构的执行情况,风险的确认和评估,控制理论和实施状况。
如果您是内部控制自我评估方面的初始从业人员,此项专业考试将为您奠定从事内部控制自我评估实务的基础。如果您是经验丰富的从业人员,此项专业考试将进一步证实您的能力。内部控制自我评估专业资格证书通过证明您在内部控制自我评估方面的经验和能力,增强客户、高级管理层和未来雇主对您的信任。
CCSA考试形式
CCSA考试的方式为闭卷考试,每科试题为125道选择题,时间为210分钟。在中国大陆地区目前仍沿用传统的纸质试卷笔答涂答题卡的方式进行考试。
CCSA考试试题可能会有两个甚至多个正确的答案,在考试中考生只要选中其中一个(只能选一个)您认为最优的答案就可以了。
每部分考试如果答案正确率达75%以上时即为合格,成绩显示为“通过”(如果是显示具体分数即是表示该科目考试不合格),考生通过该科目的考试即可申领CCSA证书。
中审网校提醒您:CCSA考试是国际性的考试,与国内传统考试有明显不同,没有所谓的教材,其考试试题在很多辅导书中找不出答案。根据中审网校分析:CCSA考试前三科由位于美国的IIA协会命题,每年根据大纲比率从试题库中抽题形成试卷,熟练掌握试题库是通过考试的关键。这是中审网校CCSA学习卡最大价值所在,也是CCSA考试最大的特点。CCSA学习卡在当年考试前一周左右推出的每科各一套的冲刺试题是务必要做的,近几年模拟考场的效果非常明显,可以事半功倍!
提示:注意东西方思维的差异,在做题的过程中要注意别拿传统的做法来做为判断,CCSA的标准以全球实务为准。
CCSA考试科目
CCSA是单科考试,主要内容涵盖以下几个方面:
1. 内部控制自我评估的基本原理(5-10%);
2. 内部控制自我评估的综合方案(15-25%);
3. 内部控制自我评估程序的原理(15-25%);
4. 企业的目标和机构的执行情况(10-15%);
5. 风险的确认和评估(15-20%);
6. 控制理论和实施状况(20-25%)。
第五篇:内部控制自我评估 CSA
内部控制自我评价管理办法
第一章 总则
第一条 为了合理保证公司内部控制体系的建立健全及其持续有效的执行,促进公司内部控制目标的实现,达到监管机构对公司内部控制的要求,公司需要定期全面评价内部控制的设计和运行情况,揭示和防范风险。根据财政部《企业内部控制基本规范》及其指引的有关规定,制定本办法。本办法中所称的公司包括下设全资子公司。
第二条 本办法所称内部控制自我评价,是对公司内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。第三条 公司实施内部控制自我评价应遵循的原则:
(一)全面统一原则。评价范围应覆盖公司内部控制活动的全过程,涉及所有部门和岗位;评价的准则、程序和方法应保持一致。
(二)独立性原则。评价应由公司及各控股、参股公司内部审计机构、内部审计人员独立进行。
(三)公正性原则。评价应以事实为依据,以法律法规为准则,客观公正,实事求是的揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。(四)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(五)及时性原则。评价应按照规定的时间间隔持续进行,当经营管理环境发生重大变化时,应及时重新评价。第二章 内部控制自我评价组织体系
第四条 董事会认定内部控制重大缺陷,并审定重大缺陷和重要缺陷的整改意见,对在督促整改中遇到的困难进行协调,并对内部控制自我评价报告的真实性负责。第五条 总经理是内部控制自我评价工作的负责人,审定内部控制自我评价方案,听取内部控制自我评价报告。
第六条 审计部负责内部控制评价的具体组织实施工作,评价实施时可以从各部门抽调具有相应胜任能力人员组建评价检查组,也可以委托中介机构实施内部控制评价。
第七条 各单位部门结合日常掌握的业务情况,开展本部门的内控自查、测试和评价工作,提出本部门自评重点关注的业务或事项。
对于内部控制自我评价中发现的问题或报告的缺陷,积极采取有效措施,予以整改。
第三章 内部控制自我评价内容
第八条 公司内部控制自我评价贯穿于重要的营运环节及经营活动,围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素,对内部控制设计与运行情况进行全面评价。
第九条 内部控制自我评价工作应当形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第四章 内部控制自我评价程序和方法
第十条 内部控制评价的程序
一、准备阶段:
(一)审计部制订内部控制自我评价工作方案,根据公司内部监督和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作方案,报总经理批准后执行。评价工作方案应当明确评价范围、工作任务、人员组织、进度安排和费用预算等。评价工作既可以采用全面评价,也可以根据需要采用重点评价的方式。
(二)组成评价工作组,审计部根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的人员或中介机构组成评价工作组。
二、实施阶段:
(一)开展各单位部门自评工作,按内部控制自我评价工作方案组织部门内部自查、测试和评价工作,形成自查评价工作汇总上报评价工作组;
(二)确定检查评价范围和重点,评价工作组根据各单位部门评价汇总及结合评价要素、主要风险点确定具体实施评价的范围、检查重点;
(三)开展现场检查测试,对被评价单位部门进行现场测试,运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位部门内部控制设计和运行是否有效的证据,如实填写评价工作底稿,研究分析内部控制缺陷。通过实施现场检查,对各单位部门自查评价结果进行审核确认和再评价。
三、汇总评价结果、编制评价报告
(一)评价工作组对评价结果进行汇总分析,编写公司内部控制自我评价报告;
(二)评价工作组将评价结果及现场评价报告向被评价单位部门进行汇报,由被评价主体相关责任人签字确认。工作组对初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的原因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级;
(三)评价工作组以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送经理层、总经理、董事会,由董事会最终审定。
四、报告反馈和跟踪阶段
各单位部门根据董事会最终认定的内部控制缺陷,提出整改办法及期限。由审计部跟踪其整改落实情况,因整改不及时造成损失或负面影响追究相关人员责任。第五章 内部控制缺陷分类
第十一条 按照内部控制缺陷的成因或来源,内部控制缺陷分为设计缺陷和运行缺陷。
(一)设计缺陷是缺少为实现控制目标所必需的控制,或控制设计不适当,即使正常运行也难以实现控制目标;
(二)执行缺陷是控制设计适当没有按设计意图运行,或者执行人员缺乏必要授权或专业胜任能力,无法有效实施的控制。
第十二条 内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
(一)重大缺陷,是一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标;
(二)重要缺陷,是一个或多个控制缺陷的组合,其严重程度或经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标;
(三)一般缺陷是除重大缺陷、重要缺陷之外的其他缺陷。
第十三条 按照具体影响内部控制目标的表现形式,将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
财务报告缺陷,是不能及时防止或纠正财务报告错报的内部控制缺陷。非财务报告缺陷,是虽不直接影响财务报告的真实性和完整性,但对企业经营管理的合法合规、资产安全、经营效率和效果以及发展战略等控制目标的实现,存在不利影响的其他控制缺陷。
第六章 内部控制缺陷认定标准
第十四条 财务报告内部控制缺陷认定标准根据缺陷可能导致的财务报告错报的重要程度,将财务报告内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于:
1)控制不能防止或发现并纠正账户或列报发生错报的可能性的大小; 2)因一项或多项控制缺陷导致的潜在错报的金额大小。
控制缺陷的重要程度与错报是否发生无关,而取决于控制不能防止或发现并纠正错报的可能性的大小。
在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时,应当考虑的风险因素包括:
1)所涉及的账户、列报及其相关认定的性质; 2)相关资产或负债易于发生损失或舞弊的可能性; 3)确定相关金额时所需判断的主观程度、复杂程度和范围; 4)该项控制与其他控制的相互作用或关系; 5)控制缺陷之间的相互作用; 6)控制缺陷在未来可能产生的影响。
在存在多项控制缺陷时,即使这些缺陷从单项看不重要,但组合起来也可能构成重大缺陷。在评价因一项或多项控制缺陷导致的潜在错报的金额大小时,应当考虑的因素包括:
1)受控制缺陷影响的财务报表金额或交易总额;
2)在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。
以下迹象通常表明财务报告内部控制可能存在重大缺陷: 1)董事、监事和高级管理人员舞弊; 2)企业更正已公布的财务报告;
3)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报; 4)企业总经理和内部审计机构对内部控制的监督无效。
在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时,考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。第十五条 非财务报告内部控制缺陷认定标准
非财务报告内部控制缺陷根据其对内部控制目标实现的影响程度分为重大缺陷、重要缺陷和一般缺陷。非财务报告内部控制缺陷的认定标准可以分为定性标准和定量标准。
定性标准,即涉及业务性质的严重程度,可根据其直接或潜在负面影响的性质、影响的范围等因素确定。以下迹象通常表明非财务报告内部控制可能存在重大缺陷:
1)企业缺乏民主决策程序,如缺乏“三重一大”决策程序; 2)企业决策程序不科学,如决策失误,导致并购不成功; 3)违犯国家法律、法规,如环境污染; 4)管理人员或技术人员纷纷流失; 5)媒体负面新闻频现;
6)内部控制评价的结果特别是重大或重要缺陷未得到整改; 7)重要业务缺乏制度控制或制度系统性失效。
定量标准,即涉及金额大小,既可以根据造成直接财产损失绝对金额确定,也可以根据其直接损失占公司资产、销售收入及利润等的比率确定。
第七章 内部控制自我评价报告
第十六条 内部控制自我评价报告包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制自我评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等做出披露。第十七条 内部控制自我评价报告包括下列内容:
(一)内部控制自我评价工作的总体情况;
(二)内部控制自我评价的依据;
(三)内部控制自我评价的范围;
(四)内部控制自我评价的程序和方法;
(五)内部控制缺陷及其认定情况;
(六)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
第十八条 公司对外报送的内部控制自我评价报告包括公司董事会对内部控制报告真实性的声明。
第十九条 根据内部控制评价结果,结合内部控制自我评价工作底稿和内部控制缺陷汇总表等资料,及时编制内部控制自我评价报告。
第二十条 内部控制自我评价报告应当报经公司董事会批准后对外披露或报送相关部门。
第二十一条审计部应关注内部控制自我评价报告基准日至报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第八章 内部控制缺陷认定程序
第二十二条 审计部编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。第九章 内部控制文档记录与保管
第二十三条 公司各部门应当以纸质或电子等适当的形式,妥善保存内部控制建立与实施过程中的相关文档记录或资料,确保内部控制建立与实施过程的可验证性。
(一)内部控制文档按内部控制要素分为以下五类:
1、控制环境文档,如组织结构图、权限指引表、部门及岗位职责说明、员工守则、董事会和监事会成员履历及议事规则、公司发展战略规划、企业文化等;
2、风险评估文档,如风险评估制度、风险评估过程记录、风险评估报告等;
3、控制活动文档,包括财务报告、经营分析报告、董事会及专业委员会会议纪要、股东会决议、总经理办公会议纪要、经营例会等重要会议纪要等;
4、内部监督文档,包括审计计划、内部审计工作总结、审计报告、审计意见书、整改情况说明材料、内部控制自我评价报告及相关资料等。
(二)内控文档按形成过程分为三类:
1、制度设计文档。
2、实际执行文档。
3、测试过程文档,测试文档负责测试的部门保留,包括抽样记录、穿行测试底稿记录、访谈记录等。
第十章 附则
第二十四条 本办法由审计部负责解释和修订。第二十五条 本办法自公布之日起执行。
点击咨询 