第一章 内部控制理论与外部监管要求概述 1
第一节 COSO和Basel操作风险理论框架 2
一、COSO理论框架 2
二、Basel操作风险理论框架 7
第二节 外部监管要求 12
一、香港监管要求 12
二、内地监管要求 14
三、巴塞尔委员会监管要求 19
四、美国监管要求 22
第三节 金融机构面对诸多监管要求的困惑 24
一、COSO与Basel风险管理理念的差异给具体实施带来不便 24
二、内部控制标准的缺失制约我国内部控制理论与实践的发展 25
三、分业监管下监管要求的差异性导致金融机构实施成本上升 25
四、多头监管的软肋导致金融机构的监管套利行为 26
第二章 以流程梳理为基础开展内控评价工作 28
第一节 理论依据和方法论 29
一、流程梳理是COSO和Basel的契合点 29
二、国际发达商业银行操作风险管理与内部控制的先进经验 36
三、适应我国商业银行建设流程银行的内在需求 37
四、流程梳理的作用和意义 39
第二节 流程梳理操作实务 41
一、流程划分与流程梳理的基本概念 41
二、流程梳理的方法和程序 48
三、流程梳理的注意事项 57
四、流程梳理对内部控制评价的作用 61
第三章 商业银行内部控制评价的基本理念 63
第一节 基本概念的定义与相互关系 64
一、操作风险的定义与性质 64
二、内部控制的定义 70
三、操作风险管理与内部控制的关系 71
四、全面风险管理与操作风险管理暨内部控制的关系 72
第二节 商业银行内部控制三道防线的建设 76
第三节 内部审计职能的实现 82
一、内部审计的职能 82
二、内部审计的任务 83
三、内部审计在第一阶段的工作内容 85
第四节 操作风险管理暨内部控制的抓手 89
一、框架、机制、办法、制度等基础建设 90
二、企业风险管理文化建设 92
三、有针对性地防控欺诈舞弊案件 95
第五节 内部控制评价要解决的问题 96
一、股改上市后第一阶段任务中要解决的问题 97
二、在第二阶段任务中要解决的问题 97
第四章 商业银行内部控制评价方法 99
第一节 内部控制评价的整体框架 100
第二节 第一道、第二道防线自我评估 103
一、调查问卷库 103
二、调查问卷的编制方法及展示 106
三、自我评估信息采集模板 108
第三节 评价流程的设计 110
一、风险评估与内部控制评价全年工作安排 111
二、第三道防线独立评价 112
第四节 前提条件与前期准备 117
一、统一流程划分与流程梳理 117
二、统一固化操作风险事件表述 121
三、建立统一的标准问题数据库 123
四、统一抽样原则、方法 124
五、统一风险评估和审计计划制订 126
第五节 评价原理 127
一、正面评价 128
二、问题检查 129
三、评价结论 131
第六节 统计抽样的作用和要求 135
一、内部审计统计抽样理论简述 135
二、内部审计统计抽样工作流程 141
三、统计抽样方法的组织实施原则 145
第五章 商业银行内部控制评价体系 147
第一节 内控评价体系的设计 148
一、评价目标、原则与评价主体 148
二、评价内容、范围及标准 150
第二节 内部控制评价框架 153
一、第一道、第二道防线自我评估 153
二、第三道防线审计评价 154
第三节 内部控制评价的组织及流程 156
一、评价的组织 156
二、评价工作的一般性流程 156
三、年度内控评价及流程 157
四、常规内控评价及流程 158
第四节 常规内控评价工作各相关方职责及要求 162
一、总行内部审计部门各条线职能团队 162
二、总行审计管理团队 163
三、总行内部控制评价团队 163
四、分行审计部 163
第五节 内控评价结论与报告 164
一、报告内容 165
二、报告的编制和审批 165
第六节 内部控制审计 166
一、内部控制评价与内部控制审计在工作范围上的差异 167
二、内部审计与外部审计的沟通 167
第七节 监督考核与档案管理 168
一、内部控制评价的监督和考核 168
二、内部控制评价的档案管理 169
第六章 商业银行内部控制评价标准 170
第一节 制定评价标准的意义及原则 171
一、意义和目的 171
二、制定原则 171
第二节 评价标准框架结构及评价等级 173
一、评价标准的框架结构 173
二、评价标准的等级划分 177
第三节 评价标准设计原理与评价程序设计 181
一、方法论基础 181
二、评价对象和评价维度 182
三、设计原理 184
四、评价原理 193
五、评价程序设计 202
第四节 内部控制评价标准制定程序和方法 204
一、评价标准制定程序 204
二、评价标准制定方法 206
第五节 内部控制评价标准的测试和验证 226
一、测试目的和原则 226
二、测试对象的选择 227
三、主要测试内容 228
四、测试方式 229
第七章 商业银行经营机构内部控制评价 232
第一节 对评价方法的要求 233
一、对评价方法的要求 233
二、评价模板的设计方法 235
第二节 经营机构内部控制正面评价 242
一、指标选取标准 242
二、数据采集方式 242
三、评价内容与指标 243
四、评价工具格式 253
第三节 经营机构内部控制缺陷检查 272
一、统计抽样方法运用范围的统一 272
二、统计抽样方法的工作流程统一 272
三、标准问题表述的统一 273
四、统计抽样检查结果必须统一运用 273
第四节 经营机构内部控制评价结论 276
一、综合评价 276
二、经营机构内控评价结果分析 277
三、评价结果的运用 277
第八章 商业银行管理机构内部控制评价 278
第一节 评价的组织与准备 280
一、前期准备工作 280
二、管理机构内部控制评价切入点 280
三、组织形式 281
第二节 评价内容 284
第三节 评价程序 293
一、非现场程序 293
二、现场检查核实程序 295
第四节 评价结论的形成 302
一、管理机构管理职能评价结论 302
二、委员会评价结论 303
三、业务经营评价结论 303
四、管理机构评价结论的结果运用 303
第五节 系统性分析 305
一、评价结论的数据源和基本定义 305
二、审计检查信息的数据意义 310
第九章 风险评估与内控评价 319
第一节 风险评估与内控评价关系的由来 320
一、风险导向审计是国际内部审计实务的发展趋势 320
二、监管指引是银行业内部控制评价的规范标准 320
三、风险管理审计是新资本协议框架下的监管要求 321
第二节 风险评估的基本概念与监管环境 321
一、风险评估及风险导向审计方法 321
二、风险评估的监管环境 323
第三节 风险评估理论与方法 329
一、风险评估分类与作用 330
二、风险评估的方法 333
第四节 内部审计风险评估的实务操作 338
一、审计风险评估工作的目标 338
二、审计风险评估工作覆盖的范围和频率 338
三、确定审计风险评估的对象 339
四、审计风险评估体系的结构层次及其关系 340
五、审计风险评估的具体实施方法 341
六、审计风险评估覆盖率及具体应用 346
第五节 风险导向审计方法对内控评价的影响 349
第十章 以COSO理论为基础的内控评价的局限性 351
第一节 Basel与COSO风险管理理念之同异 352
一、两大组织在风险管理理念及管理模式上的差异 352
二、产生差异的原因 367
三、差异对商业银行风险管理的影响 368
四、明确问题及解决问题的思路 369
第二节 以COSO理论为基础实施内控评价的局限性 370
一、需要进一步明确的问题 370
二、COSO现有理论无法诠释解决的问题 377
第三节 与内控评价操作实务相关的若干事项 379
一、不断适应监管要求的差异性及逐步趋于理性的变化 380
二、内部审计职能与内控三道防线的建设 385
三、商业银行操作风险管理的切入点及管理平台 386
四、缺乏对商业银行内部不同业务领域、多部门、深层级的统一规范的评价标准 388
五、内控并不能彻底解决风险,只有在发展中壮大实力才能真正化解风险 389
六、另辟蹊径积极探索化解操作风险损失数据收集的难题 390
第十一章 内控评价工作中需要注意的若干关系 392
第一节 理论层面 393
一、商业银行第三道防线内部审计职能与内控评价的关系 393
二、COSO Ⅱ八要素与内控设置的适当性和执行的有效性之间的关系 398
三、COSO Ⅱ八要素与企业战略、运营、财务报告、合规及资产安全的关系 400
四、如何处理Basel与COSO的关系 401
五、企业风险评估与内部控制评价的关系 405
六、过程评价与结果评价的关系 405
七、内部控制体系的适当性与缺陷间的关系 406
第二节 实务层面 407
一、三道防线内控评价与管理层自我评估 407
二、内控评价与企业内部控制自我评估(对外披露) 408
三、对管理机构和经营机构的评价与对企业层面和流程层面的评价 408
四、内审独立性与客观性 409
五、内部控制评价与内部审计检查 409
六、对单一机构或业务条线评价与对上级行整体评价 411
七、内部审计检查覆盖面与对所有层级机构评价排队 412
八、发现问题与抽样数量 413
九、同样的问题与不同表述 414
十、同一问题与在不同环境下产生的不同结果 414
十一、单一问题与被审计单位整体评价 415
十二、内部审计的内控评价与外部审计的内控审计 415
第十二章 内控评价系统及标准信息数据 416
第一节 内控评价系统架构与信息数据库概述 417
一、信息数据与IT系统对银行内控评价的意义和作用 417
二、内控评价三个有机部分的整体架构 420
第二节 评价信息数据综述 425
一、操作风险事件信息 425
二、标准信息数据的定义结构与系统应用 431
第三节 标准信息数据的收集和分析 436
一、标准信息数据的收集 436
二、标准信息数据的分析 437
第四节 信息系统的整合和信息数据的运用前景 438
一、信息系统间的整合 438
二、标准信息数据在银行操作风险管理中的运用前景 440
附录一 德尔菲法和层次分析法 442
附录二 商业银行管理机构内部控制评价指标设计说明书 444
附录三 审计检查评价标准化工作流程 523
附录四× ×银行内部控制评价指引 529
附录五× ×银行内部控制评价管理办法 538
附录六 商业银行流程梳理项目验收标准 550
附录七 试论统计测量法在商业银行操作风险管理中的运用 552
附录八 商业银行操作风险损失计量路径与方法探讨 567
后记 577
参考文献 582