工商银行：富有特色的工商银行内部审计.doc

《工商银行：富有特色的工商银行内部审计.doc》由会员分享，可在线阅读，更多相关《工商银行：富有特色的工商银行内部审计.doc（28页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、精品文档 仅供参考 学习与交流工商银行论文：富有特色的工商银行内部审计【精品文档】第 28 页工商银行论文（工商银行 论文）：富有特色的工商银行内部审计一、富有特色的内部审计体制可以说，工商银行内部审计体系的发展始终与工商银行的发展相伴相生，与国家的改革开放及公司治理机制的发展如影随形。1984年至今，工商银行走过了从国有专业银行到股份制商业银行，最终发展成国际公众持股公司的辉煌历程，内部审计也同样经历了不断改革、持续发展的演变过程。1984年至2004年，内部审计体制由逐级负责的四级稽核逐步发展到三级、二级稽核。2004年，工商银行党委决定进一步改革稽核管理体系，成立内部审计局，为股份制改革

2、做好充分的组织准备。2005年10月，随着中国工商银行股份有限公司的正式成立，向董事会负责的内部审计体系应运而生；2006年10月，工商银行公开上市，公司治理架构得到进一步完善，开始实行垂直的、独立的内部审计体制。工商银行内部审计体制的鲜明特点主要表现在：1、垂直、独立的内部审计体制基础框架。工商银行总行设内部审计局，内部审计局向董事会负责并报告工作，接受监事会的指导，接受审计委员会的监督检查和评价；在全国十个重点城市设立内部审计分局，向内部审计局负责并报告工作；在人员、薪酬、经费、考核、激励、培训等方面实行统一集中管理。几年来，这一垂直、独立的内部审计体制的基础框架，得到工商银行董事会、监事

3、会、高管层、审计委员会的重视和支持。这种垂直、独立的体制，体现了现代公司治理的要求，为内部审计客观、独立地履行监督评价职责提供了组织保障。2、全新的内部审计价值理念。工商银行内部审计的核心价值观将国际主流的内部审计理念和工商银行的特色文化结合起来，包括多个方面的内容。比如，强调执业理念和遵章意识，倡导国际内部审计准则中强调的客观、审慎、保密与胜任的从业原则，并且把各种审计活动都建立在公司章程之下，强调服务与增值的审计理念。工作的定位是为董事会和管理层提供增值服务，内部审计与管理层不仅仅是“面对面”，更要“肩并肩”，在坚持内部审计应有职业操守的前提下，能指出问题所在、给出有价值的建议，实现内部审

4、计发展与经营管理同步提升的“双赢”效果。强调服务“客户”观念，把审计的相关方作为自己的“客户”，把审计服务作为自己的“产品”，在坚持审计客观性的前提下，与“客户”保持坦诚沟通，与监管机构、外部审计师以及同业建立协调与合作机制，形成一种良好的“客户”管理机制。倡导在审计者和被审计者之间建立一种信任、友善的和谐关系，倡导与管理层一路同行，促进被审计者乐于接受审计的心理认同。3、内部审计在风险管控中的独特地位。在工商银行现行的风险管控体系中，相关部门各司其职，管理层的业务经营部门和内部控制合规部门主要履行对风险的管理、自查自纠职责，分别构成了风险防控的第一、二道防线。内部审计则是相对独立的监督系统，

5、主要职责是对全行公司治理、风险管理和内部控制的有效性进行再监督和再评价，构成风险管控体系的第三道防线。这种体系的结构，非常符合工商银行机构规模庞大，管理层级多，业务种类复杂的特点，同时也和国际先进的商业银行的主流做法相吻合。内部审计在风险管控中的独特地位，一方面，提升审计分析的层次，由原先的合规检查、查错纠弊为主的账项基础审计转向以风险为导向、以增值为目的风险管理审计，通过发现风险、管理和发展等方面存在的问题，深入分析体制、机制和流程上存在的缺陷及薄弱环节；通过发现个案和局部问题，认真研究系统性和整体性的问题。另一方面，强化了审计建议的价值，内部审计作用不仅在于能够发现问题，更重要的还在于能够

6、提出解决问题的建议，审计确认与审计建议的关系是49与51的关系。4、完整的规划及有序实施。工商银行制定了20062008年内部审计工作发展规划，明确提出了“建设国内领先，与国际接轨，具有工商银行特色的内部审计体系”这个中长期发展目标，并从职能转型、制度架构、管理机制、报告路径、技术方法、团队建设等方面进行了全方位的规划。这个发展规划成为内部审计的行动指南。规划的实施采取循序渐进、逐步升级的方式，并提出了“三年三步走”的升级发展思路。第一年通过制度建设、人员培训及观念转变等基础性工作，使全行开始“听到”内部审计的声音；第二年通过开展一系列较为专业的审计项目，使全行开始“看到”内部审计的作为；第三

7、年通过提供更多有价值的增值服务，使全行开始“用到”内部审计的成果。5、标准化的内部审计管理和作业体系。围绕“国际标准本土化、本土做法标准化”的目标，坚持“借鉴、整合、补缺、优化”的原则，结合国际内部审计理论和最佳实务与工商银行的实际，不断探索、不断创新，逐步形成包括管理模式、业务流程、实务框架以及技术方法等方面的、具有工商银行特色的标准体系。一是管理模式。针对审计对象分布广、要聚焦董事会关注重点的情况，提出“一体化管理”的思路，统一调动全系统的力量和资源，保证最重要工作的完成。“一体化管理”主要包括计划统一管理、项目统一运作、资源统一配置、流程统一规范、过程统一控制与结果统一报告“六个统一”和

8、对审计项目分级、方案审批、团队实施、专家支持、质量控制与报告评定等关键环节进行“六个环节”重点控制的管理模式。管理思路循序渐进、逐年深入，较好地体现了逐步精细化的过程。同时，实行全流程质量控制、统一实务标准和方法等内部审计质量管理措施。二是技术方法。已经初步建立风险监测、内部控制评估的指标体系，开发了审计业务和审计管理信息系统，在非现场审计、项目管理、问题统计分析等方面发挥了重要的作用。二、职业化的内部审计团队工商银行的内部审计人员由三个方面组成：一是原先稽核系统的人员；二是从各级管理层交流过来的中高级管理人员；三是从系统内外招聘的年轻人。工商银行内部审计立足于队伍的现状，始终把提升内部审计团

9、队和个人的履职能力作为推进内部审计发展的一项重要任务，先后出台内部审计员工培训规划、加强内部审计履职能力建设的意见等重要文件，把整个团队作为培训目标，持续开展了大规模、分层次的专业培训和职业资格培训，实现了100%的内部审计人员全年接受100个课时培训的“双百”目标。为塑造一支职业化的审计团队，工商银行一方面，遵循国际内部审计协会对内部审计职业能力框架的要求，通过业务培训和职业道德建设，努力提高审计人员的“硬技能”和“软能力”，并采取一些积极有效的办法，着重于培养审计人员的转型适应能力、专业胜任能力、风险识别能力、学习创新能力和构建和谐内部审计文化能力等核心履职能力。一是从转变思想观念入手，根

10、据新的形势和任务，重点开展多种形式的内部审计职能转型培训和职业道德教育，通过重塑理念和统一思想，增强队伍的职业认同感和使命感，解决内部审计“做什么”的问题，为科学履职奠定思想基础。二是从加快提高队伍的专业水平入手，重点开展内部审计理论实务和方法技术培训，保证内部审计人员精通内部审计主要原理与实务标准，熟练运用先进的审计方法与技术，掌握相关政策、制度、流程的核心内容，解决内部审计“怎么做”的问题，为规范履职夯实专业基础。三是从适应职能转型发展需要入手，重点开展关于全行战略、公司治理改革以及风险防控体系等方面的培训，解决内部审计“视野、层次与效率”的问题，为高效履职提供智力支持。四是从落实总行高端

11、人才培训计划入手，积极开展审计职业资质认证培训，鼓励审计人员取得国际权威的内部审计和其他相关资质认证，全面强化内部审计人员的职业素养，促进内部审计队伍职业化水平的整体提升。另一方面，在保持内部审计独立性的基础上，尝试建立一套审计人员的使用和交流机制，通过与全行各管理层面双向交流优秀的管理与业务人才，拓展行政职务与审计专业职级的“双轨”晋升通道，为审计员工的职业成长提供更大的发展空间。目前，持续的职业化建设取得了很大成效，队伍的整体素质以及人员结构都发生了一些可喜的变化。一是内部审计团队的职业资质水平快速提升。审计人员中，取得国际注册内部审计师(CIA)等11种国际国内职业资质的有149人，占审

12、计人员的43%，比2005年初建时增加了121人。这个职业水平，不仅在工商银行各专业条线中是最高的，而且在国际内部审计业界也是比较高的。二是形成日益浓厚的学习氛围。审计人员从工作实践中真切感受到，丰富的学识与能力的提高对于适应工作需要、团队健康成长和个人职业发展都非常重要和紧迫。创建学习型组织、争做学习型高素质员工已成为审计人员的共识；知识经验共享的氛围也日益浓厚。三是核心业务团队和专家团队正在逐步形成。通过培养和锻炼，培养了一批懂得经营管理、熟悉风险和内部控制、掌握先进技术及审计业务专长的人才，并正在成为提高审计活动质量与效率的骨干力量。同时，审计队伍年轻化、专业化、职业化的特征日趋明显，核

13、心业务团队和专家团队逐步形成，在内部审计职能转型时期发挥着积极的作用。三、信息化的内部审计业务和管理系统近年来，工商银行内部审计顺势而为、苦练内功，依托工商银行强大的信息科技系统，着力加快内部审计信息化建设的步伐，初步构建了内部审计信息化的总体框架。即：依托工商银行信息化基础设施和技术应用，充分利用全行业务和管理系统的数据及功能，建立以审计业务信息系统、审计管理信息系统为主要内容的审计信息化系统平台(见图1)，同时，有机结合其他辅助工具和办公自动化手段，为内部审计工作提供全方位支持。(一)审计业务信息系统平台1、风险评估体系。风险评估是识别、计量风险的重要手段，是工商银行制定审计规划、年度计划

14、和开展审计活动的重要依据。通过对总体或局部的风险进行评估，了解各个机构和产品的风险水平，并根据风险等级排序情况确定应该重点关注的风险，为制订审计计划、审计方案提供参考，为开展内部控制评估、风险监测提供方向。风险评估主要侧重于两个层面：一是面向全行总体的风险评估，目的在于确定应重点关注的机构、业务或产品，以科学地制订审计计划、合理地配置审计资源和确定审计频率。二是针对审计项目的风险评估，目的在于确定应重点关注的流程、部位或环节，以指导审计方案的制订。风险评估过程大致分为五个步骤：第一步，梳理业务流程，确定审计单元。根据全行业务经营情况并结合内部审计工作实际，从机构和产品两个维度划分审计单元。产品

15、维度方面，对应纳入审计范围的业务活动和管理职能进行梳理和归类，划分为产品线（即对外提供的产品或服务）和管理线（即内部管理职能衍生出来的、无法与对外产品线进行明确对应的内部管理流程，也可以理解为对内的产品）。机构维度方面，根据分支机构设置情况和业务特征，划分为境内机构、境外机构和直属机构。审计单元是开展审计活动的基本单位，通过审计单元划分，明晰内部审计应覆盖的范围。虽然审计单元相对稳定，风险评估体系具有开放性，应随着业务的发展变化和机构的增设与撤并，对审计单元作相应的调整和补充。第二步，构建风险宇宙。风险宇宙是用于描述企业风险分布和类别的一种国际通用的方法，是各类机构、各类业务的风险集合。工商银

16、行的风险宇宙是在参考BASEL、国外大型银行风险分类实践和国内监管机构的监管体系的基础上建立的，包含信用风险、市场风险、流动性风险、经营风险（包含操作风险、合规风险）、战略风险和声誉风险等六大类风险；每类风险又含有多种不同层次的风险因素，每一风险因素用若干风险指标反映。风险宇宙的建立，有利于统一审计和业务部门对风险的认识和理解，有利于统一衡量风险的方法和标准。风险宇宙是动态的，每年都应当根据当期经济环境、监管要求、公司流程、产品创新等因素的变化进行调整。第三步，固有风险评估。主要是通过对固有风险和控制有效性的评估，推算剩余风险并对剩余风险进行排序，其中，固有风险可分解为风险发生可能性和影响程度

17、。用公式表示为：剩余风险固有风险（1控制有效性），固有风险风险发生可能性风险影响程度。风险发生可能性评估，主要是基于已建立的风险宇宙，采用指标打分法，根据评估指标及评分标准进行打分及加权，得出各风险因素的分值，再进一步计算，推算风险发生的可能性。为确保评估结果的客观性，可针对每个二级风险因素制定具体的评估指标和评分标准。同一风险因素可以用一个或多个评估指标进行衡量，评估指标分定量和定性两种。风险影响程度评估，主要是根据评估对象对全行战略的影响程度，确定与战略目标实现相关的指标，如盈利水平、资产/负债规模、市场份额、收入结构、发展速度等，并针对不同性质的评估对象（产品线/管理线/境内机构/境外机

18、构）设置不同的指标权重，通过对各大类指标（全部为定量指标）的计算与评分，得出评估对象的风险影响程度分值。在实践中，发现工商银行风险影响程度的分值对固有风险的分值影响较大，而从风险评估和制订审计计划的需要来看，风险发生可能性应是风险评估关注的重点。由于风险评估是对所有产品和机构风险状况的大体把握和风险高低的排序，不需要精确计量，可以将风险影响程度对固有风险的影响相对弱化，因此，对风险影响程度进行了降幂处理。即：（其中：x代表风险发生可能性，y代表风险影响程度，z代表固有风险。）第四步，控制有效性评估。充分利用内部控制评估（后面进行介绍）的成果，综合考虑内部控制评估所发现缺陷的性质、数量以及覆盖范

19、围。第五步，剩余风险评估。在固有风险评估和控制有效性评估的基础上，计算评估对象的剩余风险。鉴于剩余风险不应高于固有风险，实际评估计算公式为：剩余风险=固有风险（控制有效性+n）5。其中，n可以根据管理层的风险偏好以及审计资源等情况得出，若管理层认为，随着全行管理水平的提高，控制可以更加有效地防范风险的发生或降低风险的影响，则n可以逐渐减小，反之亦然。最后，根据剩余风险得分，生成剩余风险热点图，直观反映评估对象的风险状况。2、内部控制评估体系。工商银行根据上海证券交易所制定的上市公司内部控制指引和财政部等五部门联合下发的企业内部控制基本规范的要求，参照COSO内部控制框架，借鉴国际大型商业银行的

20、经验，结合自身发展特点，建立了内部控制评估体系及评估标准。目前，基于价值链的全流程内部控制评估体系覆盖公司、流程和IT三个层面的关键控制领域。在公司层面，按照COSO五要素进行划分，共涉及公司治理等18个重要控制领域，84个子领域；在流程层面，按照巴塞尔协议业务分类原则，涉及银行和非银行2个类别，银行类分为8条业务线，24个一级流程，138个二级子流程；非银行类3个一级流程，7个二级子流程。在IT层面，涉及公司层面控制、一般控制及应用控制3个层面，27个重要控制领域。内部控制评估标准分为一般标准和具体标准两部分，二者相辅相成，共同构成完整的评估标准体系。内部控制评估的实施步骤大致分为七步：第一

21、步，梳理和评估风险。根据内部控制评价目标和评价对象，梳理工商银行主要的业务流程，明确相关的风险点和控制点，确定需评估的重要领域。第二步，测试和记录相应的控制。测试工作可在公司治理、流程控制、IT控制层面分别展开，测试方法为调查问卷、访谈、穿行测试和控制测试等。第三步，评价制度设计的有效性。目前，制度设计导致的控制问题主要体现在各个基层部门的业务操作环节，并且问题出现的频率高、覆盖面广，表现为屡查屡犯。第四步，评价制度执行的有效性。通常采用抽样技术作为评价的辅助手段，同时采用定性指标和定量指标，结合问题所属的性质、风险的高中低程度和问题出现频率进行归类和定性。第五步，归纳与汇总内部控制缺陷。根据

22、影响控制目标实现的严重程度，将评估过程发现的内部控制缺陷按照实质性漏洞、重大缺陷、重要缺陷、一般缺陷进行等级评估。第六步，形成总体内部控制评价。对所有主流程中每一类业务的风险按重要程度进行分级，对每一风险的控制设计和实施有效性进行评价并分级，具体分为有效、基本有效、关注、特别关注和无效五级。第七步，提出整改方案。通过出具评估报告，向董事会和管理层反映评估结果和提出整改方案，并按照相关规定对外进行披露。3、风险监测体系。内部审计风险监测体系所涵盖的指标包括风险监测指标集和风险分析指标库，从质量、效益、发展三个维度，以及信用、市场、流动性、经营、声誉、战略六大风险出发，建立起风险监测体系，实现监测

23、信息的自动处理和监测流程的自动控制。风险监测指标集归集了能够反映全行产品和机构风险状况的核心指标，风险分析指标库归集了可用于对风险发生的部位、原因、影响等进行辅助分析的分析指标。所有指标分别从风险类别、指标性质（质量/盈利/发展）、机构产品三个维度进行分类归集，可针对多种监测目的，实现从风险和经营视角出发的多角度监测以及对不同级别机构和不同产品的多对象监测。监测分析人员可根据监测目的和需要，从中选择相关指标进行定期风险监测，通过与标杆值的比对，进行监测指标的预警与告警，并结合分析指标进行深入分析。风险监测分析包括3个层面：一是定期风险监测。以指标为起点，通过采集所选监测指标的原始数据，计算指标

24、值并与标杆值相比，把握整体风险状况，即对“面”的监测。二是预警/告警分析。通过设定标杆值，发现预警/告警指标，通过指标的纵向分析、横向对比以及指标之间的相互对比及相互解释，对预警/告警指标进行简要分析，即对高风险点的浅层次分析。三是深入分析。通过对监测过程中发现的高风险点，结合风险分析模型进行“由表到因”的分析，找出风险分布及其影响和造成风险的潜在原因。对重要风险问题或特别关注问题，可根据需要，直接列入对银行经营管理具有重大影响且不能仅以单一监测指标衡量的关键风险点，开展专项问题分析，从多方面、多角度进行深入分析。工商银行开发的风险评估系统、风险监测系统、内部控制评估系统等，相互联系、互为补充

25、，有机组成综合性的审计业务信息化系统平台，不仅实现了对审计项目所需数据的非现场采集、排查、分析与挖掘等功能，解决了非现场监测、分析与评估以及现场审计检查所需数据问题，而且已逐渐成为内部审计管理信息化系统平台基础。(二)审计管理信息系统平台审计管理信息系统平台通过计划管理、项目管理、问题管理与综合管理等几个主要模块，初步实现了对前、中、后台的审计业务全程控制和实时管理。1、计划管理模块。风险评估是制订年度审计计划的重要基础。根据风险评估结果确定风险等级，从而初步确定审计对象及审计频率；然后根据以前年度的审计发现审计深度和广度以及审计资源状况等因素，对审计频率进行适当调整；最后根据初步确定的审计对

26、象和审计频率，安排年度审计项目的数量与审计资源的分配，初步制订出滚动审计计划。此外，还要根据董事会、管理层关注的审计范围、监管机构和外部机构的要求以及某些产品或机构在短期内发生的异常变化等因素，对滚动审计计划进行调整。2、项目管理模块。一是提供覆盖全行主要业务的审计数据平台，审计人员可以准确、方便地获取所需数据；二是提供多样的审计分析模型和审计分析工具，审计人员可以根据需要选择适用的模型和工具；三是为审计项目的管理和控制提供一个统一的信息平台，实现对项目流程的管理（包括项目立项、方案制订、资源分配、工作进度、问题汇总、整改情况的管理），对审计质量的控制以及对审计底稿审计报告等文档资料的管理。审

27、计人员可以利用系统提供的数据、模型和工具开展审计分析，利用系统对审计项目进行管理和控制。3、综合管理模块。综合管理包括计划管理、工作支持综合管理和信息沟通四个方面。计划管理包括对计划制订过程的管理和对计划实施情况的跟踪以及对计划完成情况的汇总和评价；工作支持主要是为审计人员提供审计依据库、知识库、方案库、问题库、案例库和经验库等多方面的信息支持；综合管理包括对审计机构、审计人员、培训、档案和预算等方面的管理以及绩效考核、综合统计等功能；信息沟通主要是为审计组提供前、中、后台相互联系的平台为审计部门与被审计机构提供沟通的平台，为内部审计局与高层和各分局提供交流的平台。四、基于价值创造导向的内部控

28、制评估体系价值创造导向是工商银行构建内部控制评估体系的核心和灵魂。为此，内部审计在组织实施内部控制评估工作的过程中，不仅仅关注制衡，而且更加关注效率与价值创造。工商银行从业务、产品和机构三个维度对有关管理办法和内部控制制度进行全面梳理，识别出主要业务流程中的关键风险环节和系统控制点，建立起相关业务环节的风险控制矩阵，初步形成特色鲜明、标准规范、体系完整、方法科学的评估体系，实现了评估标准化、规范化、信息化的工作目标。1、评估体系的构建目标。评估体系以风险为导向，以促进提高工商银行风险控制能力和为组织增加价值为目的，以董事会提出的战略目标和经营目标为核心，关注国内外行业监管政策的变化趋势，关注全

29、行内部控制体系建设、实施和运行状况，从公司、流程和IT三个层面对内部控制的有效性进行持续、独立的测试和评估，编制内部控制自我评估报告，并向董事会和高级管理层报告全行的固有风险布局变化和各业务领域的风险控制状况，推动全行内部控制程序持续优化。同时，工商银行内部控制相关情况按资本市场的要求披露信息。2、评估体系的理论框架。工商银行密切跟踪国际最新研究成果，广泛借鉴全球最佳评估实践，吸收国际成熟监管理念与技术，专门成立项目组细致解读企业内部控制基本规范和COSO内部控制整体框架的内涵，遵循巴塞尔银行监管委员会银行组织内部控制系统整体框架、中国银监会商业银行内部控制指引和中国证监会上市公司治理准则等国

30、内外监管要求，按照沪港两地证券交易所对上市公司信息披露的规定，构建内部控制评估体系的理论框架。3、评估体系的构建原则。(1)全面性原则。评估体系覆盖工商银行经营管理活动的全部内容与环节，能够实现对全行各级机构、业务和产品所面临的风险环节和控制措施的全面评估。(2)重要性原则。评估体系对不同的评估事项按照不同的内容和标准实施评估。对境内机构，重点关注其经营转型能力、市场竞争能力与发展创新能力的变化情况；对境外机构，重点关注老机构的经营转型与新机构的经营定位以及各机构的风险控制和可持续发展。(3)实用性原则。评估体系立足于规范工商银行内部控制评估活动的内容、方法、标准和步骤，引导评估人员能够及时、

31、准确地对评估事项作出专业判断，为董事会和高级管理层科学决策提供参考依据。(4)先进性原则。评估体系对内部控制的关注应实现从审计视角向管理视角、从审计方法向管理方法，从财务报告导向向价值创造导向转变；评估技术与方法应能够满足评估事项多维度、多层级、多风险、多控制、多变化的需要。(5)开放性原则。评估体系应随着工商银行产品/服务创新能力的不断提升、业务活动范围的不断扩展，不断完善和修正，不断增强评估队伍履职能力。4、评估标准体系。工商银行内部控制评估的标准分为一般标准和具体标准，二者相辅相成，共同构成一个完整的体系。一般标准是指工商银行内部控制系统整体运行应遵循和达到的目标，具体包括完整性、合理性

32、、有效性三个方面的内容；具体标准是内部控制系统在具体运行中应遵循和达到的目标。具体标准是一般标准的基础。具体标准将COSO五要素完全融入了相关的控制程序设计和评估中，细分为两个层次:一是内部控制要素层级评估标准；二是内部控制作业层级评估标准。5、评估方法与工具。(1)编制评估清单。在梳理公司层面、流程层面和IT层面各领域、流程、产品以及服务所存在的风险及其相应的控制的基础上，分别编制覆盖价值链战略管理、前中后台各个环节的风险点、控制点、产品与服务、控制流程和控制领域清单。评估清单将随着风险变化情况作出动态调整。(2)建立价值链矩阵。在评估矩阵的构建过程中引入价值增值理念，以价值链条为纽带将不同

33、评估对象的价值创造与其相应的控制水平、控制成本、控制效益联系起来，以此评估各风险点所对应的控制措施的适当性与有效性。按照价值形成过程排列各部门、控制领域、控制流程、业务单元、产品/服务等在前中后台的位置，清晰地界定组织层次，明确各部门在控制领域、控制流程、业务单元、产品/服务等风险控制方面的职责关系。(3)绘制风险宇宙。根据国内外政治、经济、金融、信用和监管环境的变化情况，查找当前所面临的重要风险领域，建立全行的一级风险宇宙和二级风险宇宙，绘制全行风险热图,以明确各年度评估的重点，据此做持续的评估和改进，保证合理的审计评估覆盖。(4)建立量化评估模型。内部控制评估属于多目标决策。通过搭建多级评

34、估体系，从固有风险、控制等级和控制有效性三个方面对全行不同产品、流程、领域、层面和机构开展量化评估，在构建因素集、评估集和权重集的基础上，运用模糊综合评估模型，得到基于产品、流程、领域、层面和机构的量化评估结果。(5)自主开发评估工具。先后开发风险控制矩阵（R C M）、内部控制评估系统（ICAS）和风险评估系统（RAS）等评估工具，实现对评估模板的统一管理、自动链接和自动校验，为建立前台现场测试、中台项目管理和后台技术保障的评估组织模式提供了平台支持。(6)实施标准化的评估作业流程。为确保评估工作的质量和效率，编制详尽的操作手册，设计菜单式的评估作业流程，对风险点、控制要求、实际操作描述、穿

35、行测试、控制测试、缺陷判断、评估结果、质量控制等各个环节实现了标准化、规范化的评估操作，实现对评估准备、评估行为、评估过程和评估质量的系统硬控制。6、评估内容。(1)公司层面。具体包括总行本部18个重要控制领域，境内分行6个重要控制领域和境外机构12个重要控制领域。(2)流程层面。具体包括银行类与非银行类两大类别，涉及8条业务线，27个一级流程和145个二级子流程。(3)信息科技层面。具体包括IT公司层面、IT一般控制及IT应用控制3个控制领域，27个控制子领域。7、评估报告。评估报告着力于内部控制的健全性、适当性和有效性，关注控制设计的适当与缺失，关注控制执行的充分与不足。在认定内部控制缺陷

36、、绘制风险热图(见图7)的基础上，按年度分别形成用于内部管理的内部控制自我评估工作情况报告、内部控制自我评估测试报告、内部控制量化评估报告和用于资本市场信息披露的年度内部控制自我评估报告。这些报告揭示全行固有风险、控制缺陷及其迁徙变化情况，为董事会和高级管理层有针对性地完善内部控制体系提供了重要的决策参考。目前，瞬息万变的国内外经营环境无时不在深刻地影响着工商银行的风险布局，挑战着控制格局，如何在工商银行综合化、国际化前进的道路上，实现稳健经营与创新发展、价值创造与风险控制的平衡，是内部控制评估工作面临的最大挑战。工商银行的内部控制评估体系必须加强以下3方面工作：(1)深化评估体系标准化建设，

37、加快信息系统优化和评估技术创新，推进内部控制视图的绘制工作。一是加快完善评估测试抽样规则；加快制定评估实施标准，为有序绘制全行控制视图做好技术准备。二是加快信息系统优化，实现评估流程的统一控制和评估模板的统一管理；为量化评估模型的研发与推广和控制视图的展现提供足够的技术平台。三是在业务流程再造中持续梳理价值链条，以价值创造为主线继续开展评估技术创新，建立内部控制评估信息库，深化和拓展量化评估工具，将Var值引入评估模型，提高控制视图的精准度。(2)加快内部控制评估职业化队伍建设，提高非现场分析与测试占比，着力提升评估工作效率。内部控制评估工作对评估人员宽广的职业素质要求与银行集团多维复杂的治理

38、架构，决定了建设职业化评估队伍的重要性与紧迫性。因此，应将加快内部控制评估职业化队伍建设，依托现有强大的信息系统逐步实现非现场测试分析二级子流程的内部控制状况，实现非现场完成对全行控制过度与控制不足、控制成本与控制收益、控制格局与风险转移情况的整体评估工作，显著提升内部控制评估的工作效率。(3)建立评估体系修正机制，促进评估功能以事后评估为主向事前评估与事后评估并重转变，满足工商银行跨国并购的战略需求。作为跨国银行集团，工商银行将根据不同国家和地区政治、经济、社会和监管环境的变化，加快建立评估体系的动态修正机制，满足适时准确评估海外机构内部控制状况的工作需求；在评估体系标准化建设的基础上，推进

39、内部控制事后评估功能向事前评估功能延伸，满足跨国并购的战略需求。五、品牌化的审计产品工商银行内部审计在风险管理和内部控制领域，形成了一些富有特色的审计项目，比如信贷风险审计、新产品风险审计、内部控制自我评估等；近年，根据董事会的要求，借鉴国际上先进的内部审计实践经验，提升审计层次，逐步开展了一些具有公司治理效果评价性质的项目，如境外机构审计咨询、经营效益审计、国际化战略执行情况评价等，形成了品牌化的审计产品。同时，工商银行内部审计履行职责的主要方式：全行上下集中力量，统一配置资源，从治理、管理、流程、IT、操作等角度切入，开展全行性审计项目，并基本覆盖董事会关注的重大风险和重要领域；十家分局在各自辖区行范围内，通过延伸审计、后续审计、实施监测等手段，有效覆盖了全行性项目之外的剩余风险，同时为全行审计计划的制订提供依据和参考。同时，按照需要开展一些临时性的专项审计，通过深入分析特殊事件产生的原因，为董事会决策提供及时、准确的信息。此外，履行协调外审的职责，服务国家审计、社会审计、监管部门检查等，并在协调工作中充分发挥“窗口”作用，推动内部审计与外部审计的良好互动。