2023年工商银行内控管理工作总结（精选多篇）.docx

2023年工商银行内控管理工作总结（精选多篇） 推荐第1篇：工商银行内控五要素分析 中国联通内控五要素分析 一、控制环境 （1）内部控制体系 工行一董事会为决策层，各级机构的管理层为建设执行层，各级内控合规部门和垂直独立的内部控制部门为监督评价层的内部控制体系。工行以风险控制为主线，合理划分格经营管理部门的职责分工；纵向按扁平化管理模式，加强各业务线的内部管理、监督检查及信息传递，并明晰内控合规、内部控制、法律和监察等部门的职责边界，形成了业务管理、合规检查和内部控制有序分工的内部控制三道防线及全流程、全方位覆盖各层级的内部控制监督体系。 （2）内部控制文化 董事会、高级管理层积极主导和推进内部控制文化建设的各项工作，将“依法合规、审慎稳健、诚信尽责、创造价值”作为内部控制核心价值观，倡导“管理靠制度、办事讲规矩、决策依程序”和“内控优先、制度先行”、“合规创造价值”的内部控制理念。 （3）人力资源政策 工行引入经济增加值和收益分享比例理念，建立起以市场价值、岗位价值、知识能力和绩效共享为基础的差异化薪酬分配机制；引入个人绩效合约、目标考核管理、行为能力评价工具与理念，建立起相对完善的绩效评价机制和绩效管理流程，建立了“纵向可进退、横向可交流”的多通道职业发展新机制，实现了以目标为导向、以绩效为依据的整体式绩效考核机制。 二、风险评估 工行通过提前制度了多个具体的风险评估准则，做到了提前识别风险并有效控制风险。 （1）信用风险评估 工行的信用风险评估体系适应了风险防范的需要。第一，投产Basell II评级法非零售内部评级工程，达到了巴塞尔新资本协议内部平均法初级法的要求，并已广泛应用于风险限额设定、贷款定价、经济资本计量和配置等风险管理的全过程。第二，完成Basell II内部评级法，承担零食内部评级项目建设主体任务。第三，投产押品价值评估系统，实现了押品价值全过程、全方位、全功能的评估信息化。第四，启动国别风险评价工作，制定主权评级办法，开展了对110个国家的主权评级。 （2）市场风险评估 工行制定了与自身业务和规模相适应的市场风险评估体系，通过中国工商银行银行账户和交易账户划分管理办法、中国工商银行债券资产分类管理办法，对银行账户和交易账户的划分管理进行制度上的规定。交易账户市场风险限额管理指标对资金交易业务市场风险进行控制，BIFT系统、Kondor+系统、Summif系统、BTS系统和交易账户风险管理核心系统的进化和完善，实现了交易账户本外币债券市值每日评估和对发行人授信额度的刚性控制。 （3）操作风险评估 工行通过跟踪操作风险发生的频率、影响程度，分析操作风险损失和检测指标变动情况，发行操作风险管理薄弱环节和风险隐患，进行风险提示，并提出管理建议，有效地促进了全行操作风险识别分析水平的提高。 （4）关联交易风险评估 工行制定实施的中国工商银行股份有限公司关联交易管理基本规范（试行），对关联方单位实现了名单制管理。董事会关联交易控制委员会在按照有关规定对关联法人和关联自然人进行了确认的基础上，确保对关联交易方的授信等业务具备风险识别能力。 三、控制活动 工行结合自身的实际，按照COBIT、BS779 9、ITIL等国际标准或规范建立了自己的IT审计体系。将自己的IT审计的技术角色划分为应用、系统、网络及硬件三个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同技术领域的控制、分析和评价，以此提高工行IT审计的专业化水平。在实务中，工行的IT审计采用了ACL、SAS等灵活的、可配置的审计模型及数据分析探测工具，有效推动了工商银行的审计信息化建设。工行在信息系统的内部控制上在系统生命周期中的每个阶段不但有所侧重，兼顾了连续性、一致性和均衡性，形成了上游产品开发与下游运作实施的有机结合。 四、信息和沟通 （1）健全信息交流与沟通机制 工行制定的中国工商银行重大信息内部报告管理办法（试行），明确了报告的责任部门和报告路径。工行依托全功能银行系统，发挥了统计在线、CS2023系统作用，通过管理信息共享平台，将各类经营数据、财务数据等以T+1报告模式传递到公司不同管理层级，信息沟通时效性和准确性得到了保证。 （2）搭建信息交流与沟通平台 工行搭建了电子公文系统、电子邮件系统、“网讯”、业务园地和行长信箱等多个行内信息角落里平台，确保总行各部门和各层级机构能够将决策层的战略、政策、制度及相关规定等信息及时传达给员工，同时也支持员工将内部控制中存在的问题及时向各级管理层报告。 五、监督与审查 工行构建和完善了以监测预警机制为手段，多层级、多维度、多渠道共同监督内部控制有效性的检查与督查工作体系，实现了对全行业务的事前预警、事中控制、事后监督。 工行按照上市公司管理标准和要求，开展了重要经营管理事项全面检查:检查涵盖全行主要业务和境内外所有分支机构，包含主要经营领域的关键岗位、关键环节和重要人员的制度建设与执行情况，共15个大类52个专项，涉及总行19个专业部门，历经了分行自查、总行复查和重点抽查三个阶段。全方位检查和有效落实问题整改促进了全行经营管理水平的提高。 推荐第2篇：银行内控管理 存款及柜台业务 账户管理。开立各类结算账户是否按规定审批或报备；开立一般存款账户、专用存款账户和临时存款账户，是否自开户之日起3个工作日内书面通知基本存款账户开户银行。开立一般存款账户、专用存款账户和临时存款账户，是否符合人民币银行结算账户管理办法的规定，是否存在超范围开立和使用账户现象，是否存在多头开户现象。是否存在为一般存款账户提取现金现象。注册验资的临时存款账户在验资期间是否只收不付；注册验资资金的汇激人应与出资人的名称是否一致；临时存款账户的使用是否存在超过2年的现象。银行对一年未发生收付活动且未欠开户银行债务的单位银行结算账户，是否通知单位办理销户；自发出通知之日起30日后未到银行办理销户手续的视同自愿销户，未划转款项是否列入久悬未取专户管理。银行结算账户的开立和使用应当遵守法律、行政法规，是否存在利用银行结算账户进行偷逃税款、逃废债务、套取现金及其他违法犯罪活动。银行是否明确专人负责银行结算账户的开立、使用和撤销的审查和管理，是否专人负责对存款人开户申请资料的审查，并按照人民币银行结算账户管理办法的规定及时报送存款人开销户信息资料，建立健全开销户登记制度，建立银行结算账户管理档案，按会计档案进行管理。销户管理是否合规，销户时是否收回未使用的空白凭证，存款人未按规定交回各种重要空白票据及结算凭证的，是否出具有关证明。银行是否定期对账户开立、变更和撤销的情况定期进行检查，是否存在存款人出租、出借银行结算账户的行为。对账户资料变更、密码更改、挂失、解挂等特殊柜台业务，是否建立了并严格执行了授权审批或复核制度，并进行了完整记录。 大额资金汇划业务。大额资金出账、走账联系查证制度是否完善；大额汇划前是否与汇款单位核实，核实是否留有记录；是否建立了大额资金汇划分级审批制度并实现了计算机控制；大额存单签发、大额存款支取是否执行分级授权与双签；是否有效控制大额可疑资金交易；是否对频繁办理大额存款业务的企业及其经办人员进行行为排查；对大额现金支取是否按规定进行记录，并报人民银行审批或备案；单位结算账户转入个人银行结算账户的款项用途是否符合规定。 单位存款业务。检查大额活期存款情况。分析存款资金来源合法性、合理性，检查存款办理手续的合法性、合规性。检查单位定期存款情况。开户证实书及单位定期存单业务：重点检查单位定期存款是否实行账户管理（大额可转让定期存款除外），分析存款资金来源是否合法、合理，单位定期存款办理手续是否合规，换开单位定期存单手续办理是否合规、严密，经办行（存款行）是否按有关规定审查申请人提交的证实书、承诺函和委托书，是否对预留印鉴或提供的密码的一致性进行确认，针对辖区单位定期存单质押贷款存在的风险，是否进一步完善了有关手续，加强了防范能力，如开立存款证实书在客户提交印鉴的基础上追加密码等防范措施。 对账管理。重点检查银企对账制度及执行情况是否符合规定，对重点客户是否加强对账；对账与记账岗位是否分离，是否明确岗位职责，对账单上是否有存款状态、是否及时收回，手续是否合规，是否进行印鉴核对。是否加强了未达账项和差错处理的环节控制，是否严格做到了对未达账和账款差错的查核工作不返原岗处理。是否坚持双人上门对账、交叉、换人对账。对开户后短期内有大额资金入账又很快划出的可疑账户，银行是否主动与客户对账或上门对账。 现金（含有价单证）、库房管理：重点检查库房钥匙、密码管理是否符合规定；现金调拨管理制度执行是否到位；营业前及营业终了现金出库、入库交接手续是否齐全；查库制度执行是否到位。 重要空白凭证管理。重点检查重要空白凭证的领取、使用、保管、销毁、登记等环节管理是否到位；从上级行领用重要空白凭证入库是否填制记账凭证及时入账，入库单数额与入库的重要空白凭证实物是否一致，是否按要求设立表外科目进行核算；柜员领用的重要空白凭证是否及时作相关交易处理；营业终了，柜员使用的重要空白凭证是否入箱上锁入库保管，是否对实物按规定盘点核对，做到账实相符；是否指定专人管理库存凭证；是否存在预先盖好印章备用问题，是否存在携带空白凭证外出办理业务问题；凭证的作废与销毁是否符合规定，凭证作废时是否按要求加盖“作废”戳记并剪角后作凭证的附件，对大批量作废凭证是否按规定审批后集中销毁，是否存在擅自批量作废空白凭证问题；系统不能自动销号的，是否建立了登记簿手工控制销号；业务主管部门是否按规定的检查频率和范围对库房和柜员尾箱进行检查，账实是否相符，检查记录是否齐全。 业务印章保管、使用和交接登记制度执行情况。重点检查是否严格执行“印、押、证”三分管制度和岗位分离、相互牵制制度；专用印章、电子印章的管理、使用是否规范；实地查看是否有停用、作废印章，查看停用、作废印章登记簿，看其是否按程序上缴、清理和销毁。 会计岗位设置情况。重点检查会计岗位设置是否符合可控、相互制约的原则，是否按照重要岗位分离原则配备会计人员，是否存在一人兼任非相容的岗位或业务一手清等问题；是否实行会计主管上级行派驻制度，前台会计主管是否实行坐班制度，是否按规定履行岗位职责，监督检查范围是否全面，是否按规定执行轮岗制度，请休假或临时离岗期间，是否由上级行书面指定专人并经派驻行行长确认后代其行使职责。 抵、质押品的管理。重点检查抵（质）押品保管情况和出入库情况，会计部门是否按规定与信贷管理部门和出纳部门进行定期或不定期核对，检查质押物核查制度的建立和执行情况；内控检查自查对于封袋保管的质押物是否按规定开封检查。 重要岗位轮换及休假制度执行情况。重点检查重要岗位人员设置、业务处理是否符合有关规定，是否建立和实施基层主管轮岗、轮调和强制性休假制度，并纳入各级分支机构的人事管理制度中。查看系统内规定是否符合银监会的规定；是否制定了明确具体的操作程序和规定，并由人事部门按照规定就拟轮岗轮调和休假主管的顶替人员预先做好相应安排。内审部门是否对相关的制度安排和执行情况进行有效审计跟踪。会计人员是否实行强制休假制度；联行、同城票据交换、出纳等重要会计岗位人员和会计主管是否定期进行轮岗、轮换。 推荐第3篇：工商银行内部组织结构 1、工商银行内部组织结构？ 答：（1）由上述两图可知，工行董事会下设高级管理层，且在高级管理层下设境外分支机构，而建行在董事会下设行长室且无境外分支机构，由此可知，工行业务网点比其他国有商业银行更广。 （2）工行内部设立了内部审计局，由高级管理层和监事会共同监管，而建行没有。并且工行内部设立了更多的细节部门，有利于银行内部分工和监管。提高业务效率。 推荐第4篇：工商银行论文：的富有特色的工商银行内部审计 工商银行论文（工商银行 论文）： 富有特色的工商银行内部审计 一、富有特色的内部审计体制 可以说，工商银行内部审计体系的发展始终与工商银行的发展相伴相生，与国家的改革开放及公司治理机制的发展如影随形。1984年至今，工商银行走过了从国有专业银行到股份制商业银行，最终发展成国际公众持股公司的辉煌历程，内部审计也同样经历了不断改革、持续发展的演变过程。1984年至2023年，内部审计体制由逐级负责的四级稽核逐步发展到三级、二级稽核。2023年，工商银行党委决定进一步改革稽核管理体系，成立内部审计局，为股份制改革做好充分的组织准备。2023年10月，随着中国工商银行股份有限公司的正式成立，向董事会负责的内部审计体系应运而生；2023年10月，工商银行公开上市，公司治理架构得到进一步完善，开始实行垂直的、独立的内部审计体制。 工商银行内部审计体制的鲜明特点主要表现在： 1、垂直、独立的内部审计体制基础框架。工商银行总行设内部审计局，内部审计局向董事会负责并报告工作，接受监事会的指导，接受审计委员会的监督检查和评价；在全国十个重点城市设立内部审计分局，向内部审计局负责并报告工作；在人员、薪酬、经费、考核、激励、培训等方面实行统一集中管理。几年来，这一垂直、独立的内部审计体制的基础框架，得到工商银行董事会、监事会、高管层、审计委员会的重视和支持。这种垂直、独立的体制，体现了现代公司治理的要求，为内部审计客观、独立地履行监督评价职责提供了组织保 障。 2、全新的内部审计价值理念。工商银行内部审计的核心价值观将国际主流的内部审计理念和工商银行的特色文化结合起来，包括多个方面的内容。比如，强调执业理念和遵章意识，倡导国际内部审计准则中强调的客观、审慎、保密与胜任的从业原则，并且把各种审计活动都建立在公司章程之下，强调服务与增值的审计理念。工作的定位是为董事会和管理层提供增值服务，内部审计与管理层不仅仅是“面对面”，更要“肩并肩”，在坚持内部审计应有职业操守的前提下，能指出问题所在、给出有价值的建议，实现内部审计发展与经营管理同步提升的“双赢”效果。强调服务“客户”观念，把审计的相关方作为自己的“客户”，把审计服务作为自己的“产品”，在坚持审计客观性的前提下，与“客户”保持坦诚沟通，与监管机构、外部审计师以及同业建立协调与合作机制，形成一种良好的“客户”管理机制。倡导在审计者和被审计者之间建立一种信任、友善的和谐关系，倡导与管理层一路同行，促进被审计者乐于接受审计的心理认同。 3、内部审计在风险管控中的独特地位。在工商银行现行的风险管控体系中，相关部门各司其职，管理层的业务经营部门和内部控制合规部门主要履行对风险的管理、自查自纠职责，分别构成了风险防控的第 一、二道防线。内部审计则是相对独立的监督系统，主要职责是对全行公司治理、风险管理和内部控制的有效性进行再监督和再评价，构成风险管控体系的第三道防线。这种体系的结构，非常符合工商银行机构规模庞大，管理层级多，业务种类复杂的特点，同时也和 国际先进的商业银行的主流做法相吻合。内部审计在风险管控中的独特地位，一方面，提升审计分析的层次，由原先的合规检查、查错纠弊为主的账项基础审计转向以风险为导向、以增值为目的风险管理审计，通过发现风险、管理和发展等方面存在的问题，深入分析体制、机制和流程上存在的缺陷及薄弱环节；通过发现个案和局部问题，认真研究系统性和整体性的问题。另一方面，强化了审计建议的价值，内部审计作用不仅在于能够发现问题，更重要的还在于能够提出解决问题的建议，审计确认与审计建议的关系是49与51的关系。 4、完整的规划及有序实施。工商银行制定了20232023年内部审计工作发展规划，明确提出了“建设国内领先，与国际接轨，具有工商银行特色的内部审计体系”这个中长期发展目标，并从职能转型、制度架构、管理机制、报告路径、技术方法、团队建设等方面进行了全方位的规划。这个发展规划成为内部审计的行动指南。规划的实施采取循序渐进、逐步升级的方式，并提出了“三年三步走”的升级发展思路。第一年通过制度建设、人员培训及观念转变等基础性工作，使全行开始“听到”内部审计的声音；第二年通过开展一系列较为专业的审计项目，使全行开始“看到”内部审计的作为；第三年通过提供更多有价值的增值服务，使全行开始“用到”内部审计的成果。 5、标准化的内部审计管理和作业体系。围绕“国际标准本土化、本土做法标准化”的目标，坚持“借鉴、整合、补缺、优化”的原则，结合国际内部审计理论和最佳实务与工商银行的实际，不断探索、不 断创新，逐步形成包括管理模式、业务流程、实务框架以及技术方法等方面的、具有工商银行特色的标准体系。一是管理模式。针对审计对象分布广、要聚焦董事会关注重点的情况，提出“一体化管理”的思路，统一调动全系统的力量和资源，保证最重要工作的完成。“一体化管理”主要包括计划统一管理、项目统一运作、资源统一配置、流程统一规范、过程统一控制与结果统一报告“六个统一”和对审计项目分级、方案审批、团队实施、专家支持、质量控制与报告评定等关键环节进行“六个环节”重点控制的管理模式。管理思路循序渐进、逐年深入，较好地体现了逐步精细化的过程。同时，实行全流程质量控制、统一实务标准和方法等内部审计质量管理措施。二是技术方法。已经初步建立风险监测、内部控制评估的指标体系，开发了审计业务和审计管理信息系统，在非现场审计、项目管理、问题统计分析等方面发挥了重要的作用。 二、职业化的内部审计团队 工商银行的内部审计人员由三个方面组成：一是原先稽核系统的人员；二是从各级管理层交流过来的中高级管理人员；三是从系统内外招聘的年轻人。工商银行内部审计立足于队伍的现状，始终把提升内部审计团队和个人的履职能力作为推进内部审计发展的一项重要任务，先后出台内部审计员工培训规划、加强内部审计履职能力建设的意见等重要文件，把整个团队作为培训目标，持续开展了大规模、分层次的专业培训和职业资格培训，实现了100%的内部审计人员全年接受100个课时培训的“双百”目标。 为塑造一支职业化的审计团队，工商银行一方面，遵循国际内部审计协会对内部审计职业能力框架的要求，通过业务培训和职业道德建设，努力提高审计人员的“硬技能”和“软能力”，并采取一些积极有效的办法，着重于培养审计人员的转型适应能力、专业胜任能力、风险识别能力、学习创新能力和构建和谐内部审计文化能力等核心履职能力。一是从转变思想观念入手，根据新的形势和任务，重点开展多种形式的内部审计职能转型培训和职业道德教育，通过重塑理念和统一思想，增强队伍的职业认同感和使命感，解决内部审计“做什么”的问题，为科学履职奠定思想基础。二是从加快提高队伍的专业水平入手，重点开展内部审计理论实务和方法技术培训，保证内部审计人员精通内部审计主要原理与实务标准，熟练运用先进的审计方法与技术，掌握相关政策、制度、流程的核心内容，解决内部审计“怎么做”的问题，为规范履职夯实专业基础。三是从适应职能转型发展需要入手，重点开展关于全行战略、公司治理改革以及风险防控体系等方面的培训，解决内部审计“视野、层次与效率”的问题，为高效履职提供智力支持。四是从落实总行高端人才培训计划入手，积极开展审计职业资质认证培训，鼓励审计人员取得国际权威的内部审计和其他相关资质认证，全面强化内部审计人员的职业素养，促进内部审计队伍职业化水平的整体提升。另一方面，在保持内部审计独立性的基础上，尝试建立一套审计人员的使用和交流机制，通过与全行各管理层面双向交流优秀的管理与业务人才，拓展行政职务与审计专业职级的“双轨”晋升通道，为审计员工的职业成长提供更大的发展空间。 目前，持续的职业化建设取得了很大成效，队伍的整体素质以及人员结构都发生了一些可喜的变化。一是内部审计团队的职业资质水平快速提升。审计人员中，取得国际注册内部审计师(CIA)等11种国际国内职业资质的有149人，占审计人员的43%，比2023年初建时增加了121人。这个职业水平，不仅在工商银行各专业条线中是最高的，而且在国际内部审计业界也是比较高的。二是形成日益浓厚的学习氛围。审计人员从工作实践中真切感受到，丰富的学识与能力的提高对于适应工作需要、团队健康成长和个人职业发展都非常重要和紧迫。创建学习型组织、争做学习型高素质员工已成为审计人员的共识；知识经验共享的氛围也日益浓厚。三是核心业务团队和专家团队正在逐步形成。通过培养和锻炼，培养了一批懂得经营管理、熟悉风险和内部控制、掌握先进技术及审计业务专长的人才，并正在成为提高审计活动质量与效率的骨干力量。同时，审计队伍年轻化、专业化、职业化的特征日趋明显，核心业务团队和专家团队逐步形成，在内部审计职能转型时期发挥着积极的作用。 三、信息化的内部审计业务和管理系统 近年来，工商银行内部审计顺势而为、苦练内功，依托工商银行强大的信息科技系统，着力加快内部审计信息化建设的步伐，初步构建了内部审计信息化的总体框架。即：依托工商银行信息化基础设施和技术应用，充分利用全行业务和管理系统的数据及功能，建立以审计业务信息系统、审计管理信息系统为主要内容的审计信息化系统平台(见图1)，同时，有机结合其他辅助工具和办公自动化手段，为内 部审计工作提供全方位支持。 (一)审计业务信息系统平台 1、风险评估体系。风险评估是识别、计量风险的重要手段，是工商银行制定审计规划、年度计划和开展审计活动的重要依据。通过对总体或局部的风险进行评估，了解各个机构和产品的风险水平，并根据风险等级排序情况确定应该重点关注的风险，为制订审计计划、审计方案提供参考，为开展内部控制评估、风险监测提供方向。风险评估主要侧重于两个层面：一是面向全行总体的风险评估，目的在于确定应重点关注的机构、业务或产品，以科学地制订审计计划、合理地配置审计资源和确定审计频率。二是针对审计项目的风险评估，目的在于确定应重点关注的流程、部位或环节，以指导审计方案的制订。风险评估过程大致分为五个步骤：第一步，梳理业务流程，确定审计单元。根据全行业务经营情况并结合内部审计工作实际，从机构和产品两个维度划分审计单元。产品维度方面，对应纳入审计范围的业务活动和管理职能进行梳理和归类，划分为产品线（即对外提供的产品或服务）和管理线（即内部管理职能衍生出来的、无法与对外产品线进行明确对应的内部管理流程，也可以理解为对内的产品）。机构维度方面，根据分支机构设置情况和业务特征，划分为境内机构、境外机构和直属机构。审计单元是开展审计活动的基本单位，通过审计单元划分，明晰内部审计应覆盖的范围。虽然审计单元相对稳定，风险评估体系具有开放性，应随着业务的发展变化和机构的增设与撤并，对审计单元作相应的调整和补充。第二步，构建风险宇宙。风险宇宙 是用于描述企业风险分布和类别的一种国际通用的方法，是各类机构、各类业务的风险集合。工商银行的风险宇宙是在参考BASEL、国外大型银行风险分类实践和国内监管机构的监管体系的基础上建立的，包含信用风险、市场风险、流动性风险、经营风险（包含操作风险、合规风险）、战略风险和声誉风险等六大类风险；每类风险又含有多种不同层次的风险因素，每一风险因素用若干风险指标反映。风险宇宙的建立，有利于统一审计和业务部门对风险的认识和理解，有利于统一衡量风险的方法和标准。风险宇宙是动态的，每年都应当根据当期经济环境、监管要求、公司流程、产品创新等因素的变化进行调整。第三步，固有风险评估。主要是通过对固有风险和控制有效性的评估，推算剩余风险并对剩余风险进行排序，其中，固有风险可分解为风险发生可能性和影响程度。用公式表示为：剩余风险固有风险×（1控制有效性），固有风险风险发生可能性×风险影响程度。风险发生可能性评估，主要是基于已建立的风险宇宙，采用指标打分法，根据评估指标及评分标准进行打分及加权，得出各风险因素的分值，再进一步计算，推算风险发生的可能性。为确保评估结果的客观性，可针对每个二级风险因素制定具体的评估指标和评分标准。同一风险因素可以用一个或多个评估指标进行衡量，评估指标分定量和定性两种。风险影响程度评估，主要是根据评估对象对全行战略的影响程度，确定与战略目标实现相关的指标，如盈利水平、资产/负债规模、市场份额、收入结构、发展速度等，并针对不同性质的评估对象（产品线/管理线/境内机构/境外机构）设置不同的指标权重，通 过对各大类指标（全部为定量指标）的计算与评分，得出评估对象的风险影响程度分值。在实践中，发现工商银行风险影响程度的分值对固有风险的分值影响较大，而从风险评估和制订审计计划的需要来看，风险发生可能性应是风险评估关注的重点。由于风险评估是对所有产品和机构风险状况的大体把握和风险高低的排序，不需要精确计量，可以将风险影响程度对固有风险的影响相对弱化，因此，对风险影响程度进行了降幂处理。即：（其中：x代表风险发生可能性，y代表风险影响程度，z代表固有风险。）第四步，控制有效性评估。充分利用内部控制评估（后面进行介绍）的成果，综合考虑内部控制评估所发现缺陷的性质、数量以及覆盖范围。第五步，剩余风险评估。在固有风险评估和控制有效性评估的基础上，计算评估对象的剩余风险。鉴于剩余风险不应高于固有风险，实际评估计算公式为：剩余风险=固有风险×（控制有效性+n）÷5。其中，n可以根据管理层的风险偏好以及审计资源等情况得出，若管理层认为，随着全行管理水平的提高，控制可以更加有效地防范风险的发生或降低风险的影响，则n可以逐渐减小，反之亦然。最后，根据剩余风险得分，生成剩余风险热点图，直观反映评估对象的风险状况。 2、内部控制评估体系。工商银行根据上海证券交易所制定的上市公司内部控制指引和财政部等五部门联合下发的企业内部控制基本规范的要求，参照COSO内部控制框架，借鉴国际大型商业银行的经验，结合自身发展特点，建立了内部控制评估体系及评估标准。目前，基于价值链的全流程内部控制评估体系覆盖公司、流程和 IT三个层面的关键控制领域。在公司层面，按照COSO五要素进行划分，共涉及公司治理等18个重要控制领域，84个子领域；在流程层面，按照巴塞尔协议业务分类原则，涉及银行和非银行2个类别，银行类分为8条业务线，24个一级流程，138个二级子流程；非银行类3个一级流程，7个二级子流程。在IT层面，涉及公司层面控制、一般控制及应用控制3个层面，27个重要控制领域。内部控制评估标准分为一般标准和具体标准两部分，二者相辅相成，共同构成完整的评估标准体系。内部控制评估的实施步骤大致分为七步：第一步，梳理和评估风险。根据内部控制评价目标和评价对象，梳理工商银行主要的业务流程，明确相关的风险点和控制点，确定需评估的重要领域。第二步，测试和记录相应的控制。测试工作可在公司治理、流程控制、IT控制层面分别展开，测试方法为调查问卷、访谈、穿行测试和控制测试等。第三步，评价制度设计的有效性。目前，制度设计导致的控制问题主要体现在各个基层部门的业务操作环节，并且问题出现的频率高、覆盖面广，表现为屡查屡犯。第四步，评价制度执行的有效性。通常采用抽样技术作为评价的辅助手段，同时采用定性指标和定量指标，结合问题所属的性质、风险的高中低程度和问题出现频率进行归类和定性。第五步，归纳与汇总内部控制缺陷。根据影响控制目标实现的严重程度，将评估过程发现的内部控制缺陷按照实质性漏洞、重大缺陷、重要缺陷、一般缺陷进行等级评估。第六步，形成总体内部控制评价。对所有主流程中每一类业务的风险按重要程度进行分级，对每一风险的控制设计和实施有效性进行评价并分级，具 体分为有效、基本有效、关注、特别关注和无效五级。第七步，提出整改方案。通过出具评估报告，向董事会和管理层反映评估结果和提出整改方案，并按照相关规定对外进行披露。 3、风险监测体系。内部审计风险监测体系所涵盖的指标包括风险监测指标集和风险分析指标库，从质量、效益、发展三个维度，以及信用、市场、流动性、经营、声誉、战略六大风险出发，建立起风险监测体系，实现监测信息的自动处理和监测流程的自动控制。风险监测指标集归集了能够反映全行产品和机构风险状况的核心指标，风险分析指标库归集了可用于对风险发生的部位、原因、影响等进行辅助分析的分析指标。所有指标分别从风险类别、指标性质（质量/盈利/发展）、机构产品三个维度进行分类归集，可针对多种监测目的，实现从风险和经营视角出发的多角度监测以及对不同级别机构和不同产品的多对象监测。监测分析人员可根据监测目的和需要，从中选择相关指标进行定期风险监测，通过与标杆值的比对，进行监测指标的预警与告警，并结合分析指标进行深入分析。风险监测分析包括3个层面：一是定期风险监测。以指标为起点，通过采集所选监测指标的原始数据，计算指标值并与标杆值相比，把握整体风险状况，即对“面”的监测。二是预警/告警分析。通过设定标杆值，发现预警/告警指标，通过指标的纵向分析、横向对比以及指标之间的相互对比及相互解释，对预警/告警指标进行简要分析，即对高风险点的浅层次分析。三是深入分析。通过对监测过程中发现的高风险点，结合风险分析模型进行“由表到因”的分析，找出风险分布及其影响和造成风 险的潜在原因。对重要风险问题或特别关注问题，可根据需要，直接列入对银行经营管理具有重大影响且不能仅以单一监测指标衡量的关键风险点，开展专项问题分析，从多方面、多角度进行深入分析。 工商银行开发的风险评估系统、风险监测系统、内部控制评估系统等，相互联系、互为补充，有机组成综合性的审计业务信息化系统平台，不仅实现了对审计项目所需数据的非现场采集、排查、分析与挖掘等功能，解决了非现场监测、分析与评估以及现场审计检查所需数据问题，而且已逐渐成为内部审计管理信息化系统平台基础。 (二)审计管理信息系统 平台审计管理信息系统平台通过计划管理、项目管理、问题管理与综合管理等几个主要模块，初步实现了对前、中、后台的审计业务全程控制和实时管理。 1、计划管理模块。风险评估是制订年度审计计划的重要基础。根据风险评估结果确定风险等级，从而初步确定审计对象及审计频率；然后根据以前年度的审计发现审计深度和广度以及审计资源状况等因素，对审计频率进行适当调整；最后根据初步确定的审计对象和审计频率，安排年度审计项目的数量与审计资源的分配，初步制订出滚动审计计划。此外，还要根据董事会、管理层关注的审计范围、监管机构和外部机构的要求以及某些产品或机构在短期内发生的异常变化等因素，对滚动审计计划进行调整。 2、项目管理模块。一是提供覆盖全行主要业务的审计数据平台，审计人员可以准确、方便地获取所需数据；二是提供多样的审计分析 模型和审计分析工具，审计人员可以根据需要选择适用的模型和工具；三是为审计项目的管理和控制提供一个统一的信息平台，实现对项目流程的管理（包括项目立项、方案制订、资源分配、工作进度、问题汇总、整改情况的管理），对审计质量的控制以及对审计底稿审计报告等文档资料的管理。审计人员可以利用系统提供的数据、模型和工具开展审计分析，利用系统对审计项目进行管理和控制。 3、综合管理模块。综合管理包括计划管理、工作支持综合管理和信息沟通四个方面。计划管理包括对计划制订过程的管理和对计划实施情况的跟踪以及对计划完成情况的汇总和评价；工作支持主要是为审计人员提供审计依据库、知识库、方案库、问题库、案例库和经验库等多方面的信息支持；综合管理包括对审计机构、审计人员、培训、档案和预算等方面的管理以及绩效考核、综合统计等功能；信息沟通主要是为审计组提供前、中、后台相互联系的平台为审计部门与被审计机构提供沟通的平台，为内部审计局与高层和各分局提供交流的平台。 四、基于价值创造导向的内部控制评估体系 价值创造导向是工商银行构建内部控制评估体系的核心和灵魂。为此，内部审计在组织实施内部控制评估工作的过程中，不仅仅关注制衡，而且更加关注效率与价值创造。工商银行从业务、产品和机构三个维度对有关管理办法和内部控制制度进行全面梳理，识别出主要业务流程中的关键风险环节和系统控制点，建立起相关业务环节的风险控制矩阵，初步形成特色鲜明、标准规范、体系完整、方法科学的 评估体系，实现了评估标准化、规范化、信息化的工作目标。 1、评估体系的构建目标。评估体系以风险为导向，以促进提高工商银行风险控制能力和为组织增加价值为目的，以董事会提出的战略目标和经营目标为核心，关注国内外行业监管政策的变化趋势，关注全行内部控制体系建设、实施和运行状况，从公司、流程和IT三个层面对内部控制的有效性进行持续、独立的测试和评估，编制内部控制自我评估报告，并向董事会和高级管理层报告全行的固有风险布局变化和各业务领域的风险控制状况，推动全行内部控制程序持续优化。同时，工商银行内部控制相关情况按资本市场的要求披露信息。 2、评估体系的理论框架。工商银行密切跟踪国际最新研究成果，广泛借鉴全球最佳评估实践，吸收国际成熟监管理念与技术，专门成立项目组细致解读企业内部控制基本规范和COSO内部控制整体框架的内涵，遵循巴塞尔银行监管委员会银行组织内部控制系统整体框架、中国银监会商业银行内部控制指引和中国证监会上市公司治理准则等国内外监管要求，按照沪港两地证券交易所对上市公司信息披露的规定，构建内部控制评估体系的理论框架。 3、评估体系的构建原则。(1)全面性原则。评估体系覆盖工商银行经营管理活动的全部内容与环节，能够实现对全行各级机构、业务和产品所面临的风险环节和控制措施的全面评估。(2)重要性原则。评估体系对不同的评估事项按照不同的内容和标准实施评估。对境内机构，重点关注其经营转型能力、市场竞争能力与发展创新能力的变化情况；对境外机构，重点关注老机构的经营转型与新机构的经营定 位以及各机构的风险控制和可持续发展。(3)实用性原则。评估体系立足于规范工商银行内部控制评估活动的内容、方法、标准和步骤，引导评估人员能够及时、准确地对评估事项作出专业判断，为董事会和高级管理层科学决策提供参考依据。(4)先进性原则。评估体系对内部控制的关注应实现从审计视角向管理视角、从审计方法向管理方法，从财务报告导向向价值创造导向转变；评估技术与方法应能够满足评估事项多维度、多层级、多风险、多控制、多变化的需要。(5)开放性原则。评估体系应随着工商银行产品/服务创新能力的不断提升、业务活动范围的不断扩展，不断完善和修正，不断增强评估队伍履职能力。 4、评估标准体系。工商银行内部控制评估的标准分为一般标准和具体标准，二者相辅相成，共同构成一个完整的体系。一般标准是指工商银行内部控制系统整体运行应遵循和达到的目标，具体包括完整性、合理性、有效性三个方面的内容；具体标准是内部控制系统在具体运行中应遵循和达到的目标。具体标准是一般标准的基础。具体标准将COSO五要素完全融入了相关的控制程序设计和评估中，细分为两个层次:一是内部控制要素层级评估标准；二是内部控制作业层级评估标准。 5、评估方法与工具。(1)编制评估清单。在梳理公司层面、流程层面和IT层面各领域、流程、产品以及服务所存在的风险及其相应的控制的基础上，分别编制覆盖价值链战略管理、前中后台各个环节的风险点、控制点、产品与服务、控制流程和控制领域清单。评估清 单将随着风险变化情况