• 【發(fā)布單位】中國銀行業(yè)監(jiān)督管理委員會
• 【發(fā)布文號】中國銀行業(yè)監(jiān)督管理委員會令2004年第9號
• 【發(fā)布日期】2004-12-25
• 【生效日期】2005-02-01
• 【失效日期】--
• 【文件來源】法律圖書館新法規(guī)速遞
• 【所屬類別】國家法律法規(guī)

商業(yè)銀行內(nèi)部控制評價試行辦法

商業(yè)銀行內(nèi)部控制評價試行辦法

（中國銀行業(yè)監(jiān)督管理委員會令2004年第9號）





 《商業(yè)銀行內(nèi)部控制評價試行辦法》已經(jīng)2004年8月20日中國銀行業(yè)監(jiān)督管理委員會第25次主席會議通過,，現(xiàn)予公布，自2005年2月1日起施行,。



主席 劉明康

二○○四年十二月二十五日





商業(yè)銀行內(nèi)部控制評價試行辦法




第一章 總 則




第一條 為規(guī)范和加強對商業(yè)銀行內(nèi)部控制的評價,，督促其進一步建立內(nèi)部控制體系，健全內(nèi)部控制機制,，為全面風險管理體系的建立奠定基礎(chǔ),，保證商業(yè)銀行安全穩(wěn)健運行，根據(jù)《
中華人民共和國銀行業(yè)監(jiān)督管理法》,、《
中華人民共和國商業(yè)銀行法》等法律法規(guī),，制定本辦法。




第二條 商業(yè)銀行內(nèi)部控制評價是指對商業(yè)銀行內(nèi)部控制體系建設(shè),、實施和運行結(jié)果獨立開展的調(diào)查,、測試、分析和評估等系統(tǒng)性活動,。



 內(nèi)部控制評價包括過程評價和結(jié)果評價,。過程評價是對內(nèi)部控制環(huán)境、風險識別與評估,、內(nèi)部控制措施,、監(jiān)督評價與糾正、信息交流與反饋等體系要素的評價,。結(jié)果評價是對內(nèi)部控制主要目標實現(xiàn)程度的評價,。




第三條 商業(yè)銀行內(nèi)部控制體系是商業(yè)銀行為實現(xiàn)經(jīng)營管理目標，通過制定并實施系統(tǒng)化的政策,、程序和方案,，對風險進行有效識別、評估,、控制,、監(jiān)測和改進的動態(tài)過程和機制。




第四條 商業(yè)銀行應建立并保持系統(tǒng),、透明,、文件化的內(nèi)部控制體系，定期或當有關(guān)法律法規(guī)和其他經(jīng)營環(huán)境發(fā)生重大變化時,，對內(nèi)部控制體系進行評審和改進,。




第五條 商業(yè)銀行內(nèi)部控制評價由中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）及其派出機構(gòu)組織實施。




第六條 內(nèi)部控制評價人員應接受有關(guān)內(nèi)部控制評價知識和技能的培訓,，具備相應的資質(zhì)和能力,。




第二章 評價目標和原則




第七條 商業(yè)銀行內(nèi)部控制評價的目標主要包括：



 （一）促進商業(yè)銀行嚴格遵守國家法律法規(guī),、銀監(jiān)會的監(jiān)管要求和商業(yè)銀行審慎經(jīng)營原則。



 （二）促進商業(yè)銀行提高風險管理水平,，保證其發(fā)展戰(zhàn)略和經(jīng)營目標的實現(xiàn),。



 （三）促進商業(yè)銀行增強業(yè)務、財務和管理信息的真實性,、完整性和及時性,。



 （四）促進商業(yè)銀行各級管理者和員工強化內(nèi)部控制意識，嚴格貫徹落實各項控制措施,，確保內(nèi)部控制體系得到有效運行。



 （五）促進商業(yè)銀行在出現(xiàn)業(yè)務創(chuàng)新,、機構(gòu)重組及新設(shè)等重大變化時,，及時有效地評估和控制可能出現(xiàn)的風險。




第八條 內(nèi)部控制評價應從充分性,、合規(guī)性,、有效性和適宜性等四個方面進行：



 （一）過程和風險是否已被充分識別。



 （二）過程和風險的控制措施是否遵循相關(guān)要求,、得到明確規(guī)定并得以實施和保持,。



 （三）控制措施是否有效。



 （四）控制措施是否適宜,。




第九條 內(nèi)部控制評價應遵循以下原則：



 （一）全面性原則,。評價范圍應覆蓋商業(yè)銀行內(nèi)部控制活動的全過程及所有的系統(tǒng)、部門和崗位,。



 （二）統(tǒng)一性原則,。評價的準則、范圍,、程序和方法等應保持一致,，以確保評價過程的準確及評價結(jié)果的客觀和可比。



 （三）獨立性原則,。評價應由銀監(jiān)會或受委托評價機構(gòu)獨立進行,。



 （四）公正性原則。評價應以事實為基礎(chǔ),，以法律法規(guī),、監(jiān)管要求為準則，客觀公正,，實事求是,。



 （五）重要性原則。評價應依據(jù)風險和控制的重要性確定重點,，關(guān)注重點區(qū)域和重點業(yè)務,。



 （六）及時性原則,。評價應按照規(guī)定的時間間隔持續(xù)進行，當經(jīng)營管理環(huán)境發(fā)生重大變化時,，應及時重新評價,。




第三章 評價內(nèi)容



 第一節(jié) 內(nèi)部控制環(huán)境




第十條 商業(yè)銀行公司治理。



 商業(yè)銀行應建立以股東大會,、董事會,、監(jiān)事會、高級管理層等為主體的公司治理組織架構(gòu),，保證各機構(gòu)規(guī)范運作,，分權(quán)制衡。



 （一）完善股東大會,、董事會,、監(jiān)事會及下設(shè)的議事和決策機構(gòu)，建立議事規(guī)則和決策程序,。



 （二）明確董事會和董事,、監(jiān)事會和監(jiān)事、高級管理層和高級管理人員在內(nèi)部控制中的責任,。



 （三）建立獨立董事制度,，對董事會討論事項發(fā)表客觀、公正的意見,。



 （四）建立外部監(jiān)事制度,，對董事會、董事,、高級管理層及其成員進行監(jiān)督,。




第十一條 董事會、監(jiān)事會和高級管理層責任,。



 董事會負責保證商業(yè)銀行建立并實施充分而有效的內(nèi)部控制體系,；負責審批整體經(jīng)營戰(zhàn)略和重大政策并定期檢查、評價執(zhí)行情況,；負責確保商業(yè)銀行在法律和政策的框架內(nèi)審慎經(jīng)營,，明確設(shè)定可接受的風險程度，確保高級管理層采取必要措施識別,、計量,、監(jiān)測并控制風險；負責審批組織機構(gòu),；負責保證高級管理層對內(nèi)部控制體系的充分性與有效性進行監(jiān)測和評估,。



 監(jiān)事會負責監(jiān)督董事會、高級管理層完善內(nèi)部控制體系,；負責監(jiān)督董事會及董事,、高級管理層及高級管理人員履行內(nèi)部控制職責,；負責要求董事、董事長及高級管理人員糾正其損害商業(yè)銀行利益的行為并監(jiān)督執(zhí)行,。



 高級管理層負責制定內(nèi)部控制政策,，對內(nèi)部控制體系的充分性與有效性進行監(jiān)測和評估；負責執(zhí)行董事會決策,；負責建立識別,、計量、監(jiān)測并控制風險的程序和措施,；負責建立和完善內(nèi)部組織機構(gòu),，保證內(nèi)部控制的各項職責得到有效履行。



 董事會和高級管理層還應培育良好的內(nèi)部控制文化,，提高員工的風險意識和職業(yè)道德素質(zhì),，建立通暢的內(nèi)外部信息溝通渠道，確保及時獲取與內(nèi)部控制有關(guān)的人力,、物力、財力,、信息以及技術(shù)等資源,。




第十二條 內(nèi)部控制政策。



 商業(yè)銀行應在各項業(yè)務和管理活動中制定明確的內(nèi)部控制政策,，規(guī)定內(nèi)部控制的原則和基本要求,，并為制定和評審內(nèi)部控制目標提供指導。內(nèi)部控制政策應：



 （一）與商業(yè)銀行的經(jīng)營宗旨和發(fā)展戰(zhàn)略相一致,；



 （二）體現(xiàn)持續(xù)改進內(nèi)部控制的要求,；



 （三）符合現(xiàn)行法律法規(guī)和監(jiān)管要求；



 （四）體現(xiàn)出側(cè)重控制的風險類型,；



 （五）體現(xiàn)出對不同地區(qū),、行業(yè)、產(chǎn)品的風險控制要求,；



 （六）傳達給適用崗位的員工,，指導員工實施風險控制措施；



 （七）可為風險相關(guān)方所獲取,，并尋求互利合作,；



 （八）定期進行評審，確保其持續(xù)的適宜性和有效性,。




第十三條 內(nèi)部控制目標,。



 商業(yè)銀行應在相關(guān)職能和層次上建立并保持內(nèi)部控制目標。內(nèi)部控制目標應符合內(nèi)部控制政策,，并體現(xiàn)對持續(xù)改進的要求,。



 在建立和評審內(nèi)部控制目標時,，應考慮法律法規(guī)、監(jiān)管要求和其他要求,，以及技術(shù),、財務、經(jīng)營和風險相關(guān)方等因素,，尤其應考慮監(jiān)管部門的內(nèi)部控制指標要求,。



 內(nèi)部控制目標應可測量。有條件時,，目標應用指標予以量化,。




第十四條 組織結(jié)構(gòu)。



 商業(yè)銀行應建立分工合理,、職責明確,、報告關(guān)系清晰的組織結(jié)構(gòu)，明確所有與風險和內(nèi)部控制有關(guān)的部門,、崗位,、人員的職責和權(quán)限，并形成文件予以傳達,。特別應考慮：



 （一）建立相應的授權(quán)體系,，實行統(tǒng)一法人管理和法人授權(quán)。



 （二）必要的職責分離,，以及橫向與縱向相互監(jiān)督制約關(guān)系,。



 （三）涉及資產(chǎn)、負債,、財務和人員等重要事項變動均不得由一個人獨自決定,。



 （四）明確關(guān)鍵崗位、特殊崗位,、不相容崗位及其控制要求,。



 （五）建立關(guān)鍵崗位定期或不定期的人員輪換和強制休假制度。



 商業(yè)銀行應設(shè)立負有內(nèi)部控制體系建立,、實施特殊責任的專門委員會或部門,，明確其責任、權(quán)限和報告路線,。



 商業(yè)銀行應設(shè)立全行系統(tǒng)垂直管理,、具有充分獨立性的內(nèi)部審計部門。內(nèi)部審計部門應配備具有相應資質(zhì)和能力的審計人員,；應有權(quán)獲得商業(yè)銀行的所有經(jīng)營,、管理信息；應根據(jù)對轄屬機構(gòu)的風險評級結(jié)果確定審計頻率,，以及對機構(gòu)和業(yè)務的審計覆蓋率,，定期或不定期對內(nèi)部控制的健全性和有效性實施檢查,、評價；應及時向董事會或董事會審計委員會提交審計報告,；董事會及高級管理層應保證審計報告中指出的內(nèi)部控制的缺失得到及時糾正整改；總行內(nèi)部審計負責人的聘任和解聘應當經(jīng)董事會或監(jiān)事會同意,。




第十五條 企業(yè)文化,。



 商業(yè)銀行應培育健康的企業(yè)文化，對企業(yè)文化的內(nèi)涵及其策劃,、滲透,、評估與改進做出明確的規(guī)定。特別應向員工傳達遵守法律法規(guī)和實施內(nèi)部控制的重要性,，引導員工樹立合規(guī)意識和風險意識,，提高員工職業(yè)道德水準，規(guī)范員工職業(yè)行為,。




第十六條 人力資源,。



 商業(yè)銀行應完善人力資源政策和程序，確保與風險和內(nèi)部控制有關(guān)人員具備相應的能力和意識,。



 商業(yè)銀行應明確與風險和內(nèi)部控制有關(guān)人員的適任條件,，明確有關(guān)教育、工作經(jīng)歷,、培訓和技能等方面的要求，以確保相關(guān)人員的勝任,。



 高級管理人員必須滿足監(jiān)管機構(gòu)對高級管理人員資質(zhì)的要求。



 商業(yè)銀行應制定并保持培訓計劃,，以確保高級管理層和全體員工能夠完成其承擔的內(nèi)部控制方面的任務和職責,。培訓計劃應定期評審,，并應考慮不同層次員工的職責,、能力和文化程度以及所面臨的風險,。



 商業(yè)銀行應對員工引進,、退出、選拔,、績效考核,、薪酬、福利,、專業(yè)技術(shù)職務管理處罰等日常人事管理做出詳細規(guī)定,，并充分考慮人力資源管理過程中的風險。



 第二節(jié) 風險識別與評估




第十七條 經(jīng)營管理活動風險識別與評估,。



 商業(yè)銀行應建立和保持書面程序,，以持續(xù)對各類風險進行有效的識別與評估,。商業(yè)銀行的主要風險包括信用風險,、市場風險（含利率風險）、操作風險,、國家和轉(zhuǎn)移風險,、流動性風險、法律風險以及聲譽風險等,。



 應識別并確定常規(guī)和非常規(guī)的業(yè)務和管理活動,，并識別這些活動中的風險（無論是否由內(nèi)部產(chǎn)生），考慮其類型,、來源及其影響范圍,，特別應考慮計算機系統(tǒng)的運用可能帶來的風險。



 應依據(jù)法律法規(guī),、監(jiān)管要求以及內(nèi)部控制政策確定風險是否可接受，以確定是否進一步采取措施,。風險可接受時,，應監(jiān)測并定期評審，以確保其持續(xù)可接受,；風險不可接受時,，應制定控制措施。



 商業(yè)銀行對各類風險進行識別與評估時應充分考慮內(nèi)部和外部因素,。其中,，內(nèi)部因素包括組織結(jié)構(gòu)的復雜程度、銀行業(yè)務性質(zhì),、機構(gòu)變革以及員工的流動等,；外部因素包括經(jīng)濟形勢的波動、行業(yè)變動趨勢等,。



 當環(huán)境和條件發(fā)生變化時,，應及時對風險進行再識別和再評估，以確保任何新的和以前未曾予以控制的風險得到識別和控制,。



 風險識別與評估應：



 （一）依據(jù)業(yè)務范圍,、性質(zhì)和時限主動進行。



 （二）評估風險的后果、概率和風險級別,。



 （三）必要時開發(fā)并運用風險量化評估的方法和模型,。




第十八條 法律法規(guī)、監(jiān)管要求和其他要求的識別,。



 商業(yè)銀行應建立并保持識別和獲取適用法律法規(guī),、監(jiān)管要求和其他要求的程序，作為風險識別與評估,、制訂控制目標和控制方案的依據(jù),。



 商業(yè)銀行應及時更新法律法規(guī)、監(jiān)管要求和其他要求的信息,，并將這些信息傳達給相關(guān)員工和其他風險相關(guān)方,。




第十九條 內(nèi)部控制方案。



 商業(yè)銀行應制定內(nèi)部控制方案,，以控制已識別的不可接受風險,。內(nèi)部控制措施方案應包括以下內(nèi)容：



 （一）為實現(xiàn)對風險的控制而規(guī)定的相關(guān)職責與權(quán)限。



 （二）控制的策略,、方法,、資源需求和時限要求。



 若涉及到組織結(jié)構(gòu),、流程,、計算機系統(tǒng)等方面的重大變更，應考慮可能產(chǎn)生的新風險,。



 第三節(jié) 內(nèi)部控制措施




第二十條 運行控制,。



 商業(yè)銀行應確定需要采取控制措施的業(yè)務和管理活動，依據(jù)所策劃的控制措施或已有的控制程序?qū)@些活動加以控制,。



 （一）控制措施包括：



 1.高層檢查,。董事會與高級管理層應要求下級部門及時報告經(jīng)營管理情況和特別情況，以檢查內(nèi)部控制的實施狀況以及在實現(xiàn)內(nèi)部控制目標方面的進展,。高級管理層應根據(jù)檢查情況提出內(nèi)部控制缺失情況，督促職能管理部門改進,。



 2.行為控制,。各級職能管理部門審查每天、每周或每月收到的經(jīng)營管理情況和特別情況專項報表或報告,，提出問題,，要求采取糾正整改措施。



 3.實物控制,。主要的控制措施包括實物限制,、雙重保管和定期盤存等。



 4.風險暴露限制的審查,。審查遵循風險暴露限制方面的合規(guī)性,，違規(guī)時繼續(xù)跟蹤檢查,。



 5.審批與授權(quán)。根據(jù)若干限制條件對各項業(yè)務,、管理活動進行審批與授權(quán),，明確各級的管理責任。



 6.驗證與核實,。驗證各項業(yè)務,、管理活動以及所采用的風險管理模型結(jié)果，并定期核實相關(guān)情況,，及時發(fā)現(xiàn)需要修正的問題,，并向職能管理部門報告。



 7.不兼容崗位的適當分離,。實行適當?shù)穆氊煼止?，認定潛在的利益沖突并使之最小化。



 （二）控制要點包括：



 1.對于可能導致偏離內(nèi)部控制政策,、目標的運行情況,，應建立并保持書面程序和要求，并在程序中規(guī)定操作和控制標準,。



 2.對于重要活動應實施連續(xù)記錄和監(jiān)督檢查,。



 3.在可能的情況下，應考慮運用計算機系統(tǒng)進行控制,。



 4.對于采購或外包的設(shè)施,、設(shè)備、系統(tǒng)和服務中已識別的風險,，應建立并保持控制程序,，并將有關(guān)程序和要求通報供方，確保其遵守商業(yè)銀行相關(guān)的控制要求,。



 5.對于產(chǎn)品,、組織結(jié)構(gòu)、流程,、計算機系統(tǒng)的設(shè)計過程,，應建立有效的控制程序。




第二十一條 計算機系統(tǒng)環(huán)境下的控制,。



 商業(yè)銀行應考慮計算機系統(tǒng)環(huán)境下的業(yè)務運行特征,，建立信息安全管理體系，對硬件,、操作系統(tǒng)和應用程序,、數(shù)據(jù)和操作環(huán)境，以及設(shè)計、采購,、安全和使用實施控制,，確保信息的完整性、安全性和可用性,。明確計算機信息系統(tǒng)開發(fā)部門,、管理部門與應用部門的職責，建立和健全計算機信息系統(tǒng)風險防范的制度,，確保計算機信息系統(tǒng)設(shè)備,、數(shù)據(jù)、系統(tǒng)運行和系統(tǒng)環(huán)境的安全,。




第二十二條 應急準備與處置,。



 商業(yè)銀行應建立并保持預案和程序，以識別可能發(fā)生的意外事件或緊急情況（包括計算機系統(tǒng)）,。意外事件和緊急情況發(fā)生時,，應及時做出應急處置，以預防或減少可能造成的損失,，確保業(yè)務持續(xù)開展,。



 商業(yè)銀行應定期檢查、維護應急的設(shè)施,、設(shè)備和系統(tǒng),，確保其處于適用狀態(tài)。如可行,，應定期測試應急預案,。



 商業(yè)銀行應評審其應急預案，特別是意外事件或緊急情況發(fā)生之后,。應急準備應與可能發(fā)生的意外事件或緊急情況（包括事故,、險情）的性質(zhì)相適應。



 第四節(jié) 監(jiān)督評價與糾正




第二十三條 內(nèi)部控制績效監(jiān)測,。



 商業(yè)銀行應建立并保持書面程序,，通過適宜的監(jiān)測活動,，對內(nèi)部控制績效進行持續(xù)監(jiān)測,。



 監(jiān)測內(nèi)容包括：



 （一）內(nèi)部控制目標實現(xiàn)程度,。



 （二）法律、法規(guī)及監(jiān)管要求的遵循程度,。



 （三）事故、險情和其他不良的內(nèi)部控制績效的歷史情況,。




第二十四條 違規(guī),、險情、事故處置和糾正及預防措施。



 商業(yè)銀行應建立并保持書面程序,，對違規(guī),、險情、事故的發(fā)現(xiàn),、報告,、處置和糾正及預防措施做出規(guī)定，包括：



 （一）發(fā)現(xiàn)違規(guī),、險情,、事故并及時報告，必要時,，可越級報告,。



 （二）及時處置違規(guī)、險情,、事故,。



 （三）制定糾正與預防措施，防止違規(guī),、險情,、事故的發(fā)生和再發(fā)生，并與問題的大小和風險危害程度相一致,。



 （四）糾正與預防措施在實施之前應進行風險評估,。



 （五）實施并跟蹤、驗證糾正與預防措施,。



 （六）險情和事故的責任追究,。




第二十五條 內(nèi)部控制體系評價。



 商業(yè)銀行應建立并保持書面程序,，對內(nèi)部控制體系實施評價,，確保內(nèi)部控制體系的充分性、合規(guī)性,、有效性和適宜性,。程序應包括評價的目的、準則,、范圍,、頻率、方法以及職責與要求,。



 評價應考慮活動的風險評估結(jié)果,、業(yè)務和管理流程和以前的評價結(jié)果等，覆蓋體系范圍內(nèi)的所有活動,。



 可根據(jù)評價結(jié)果確定內(nèi)部控制水平的等級,。被評價機構(gòu)的管理者應采取措施消除違規(guī)原因,，并驗證所采取措施的效果。



 評價應由與評價的活動無直接責任的人員進行,，評價人員應具備相應的知識,，能夠勝任評價工作。




第二十六條 管理評審,。



 董事會應采取措施保證定期對內(nèi)部控制狀況進行評審,，確保體系得到持續(xù)、有效的改進,。



 （一）管理評審應包括以下方面的內(nèi)容：



 1.內(nèi)部控制體系評價的結(jié)果,。



 2.內(nèi)部控制政策執(zhí)行情況和內(nèi)部控制目標實現(xiàn)情況。



 3.對內(nèi)部控制體系有重要影響的外部信息,，如法律,、法規(guī)的重大變化。



 4.組織結(jié)構(gòu)的重大調(diào)整,。



 5.事故和險情以及重大糾正和預防措施的狀況,。



 6.以往管理評審的跟蹤情況。



 7.內(nèi)部控制體系改進的建議,。



 （二）管理評審應就以下方面提出改進措施并落實：



 1.內(nèi)部控制體系及其過程的改進,。



 2.內(nèi)部控制政策、目標的變更,。



 3.與內(nèi)部控制有關(guān)資源的需求,。




第二十七條 持續(xù)改進。



 商業(yè)銀行應利用內(nèi)部控制政策,、內(nèi)部控制目標,、評價結(jié)果、績效監(jiān)測和數(shù)據(jù)分析,、糾正和預防措施以及管理評審等,，持續(xù)提高內(nèi)部控制體系有效性。



 第五節(jié) 信息交流與反饋




第二十八條 交流與溝通,。



 商業(yè)銀行應建立并保持信息交流與溝通的程序,，明確對財務、管理,、業(yè)務,、重大事件和市場信息等相關(guān)信息識別、收集,、處理,、交流、溝通,、反饋,、披露的渠道和方式,。



 商業(yè)銀行應識別其內(nèi)部和外部的風險相關(guān)方，考慮他們的要求和目標,，建立與這些相關(guān)方進行信息交流的機制，確保：



 （一）董事會和高級管理層能夠及時了解業(yè)務信息,、管理信息以及其他重要風險信息,。



 （二）所有員工充分了解相關(guān)信息、遵守涉及其責任和義務的政策和程序,。



 （三）險情,、事故發(fā)生時，相關(guān)信息能得到及時報告和有效溝通,。



 （四）及時,、真實、完整地向監(jiān)管機構(gòu)和外界報告,、披露相關(guān)信息,。



 （五）國內(nèi)外經(jīng)濟、金融動態(tài)信息的取得和處理,，并及時把與企業(yè)既定經(jīng)營目標有關(guān)的信息提供給各級管理層,。



 信息交流與溝通應考慮信息的安全性和保密性要求。相關(guān)信息報告,、發(fā)布,、披露應經(jīng)過授權(quán)。



 為保持信息交流溝通的可追溯性,，必要時,，應保持相關(guān)信息交流與溝通的記錄。




第二十九條 內(nèi)部控制體系對文件的要求,。



 建立和保持文件化體系是實現(xiàn)信息交流與反饋的重要途徑,。商業(yè)銀行應建立并保持必要的內(nèi)部控制體系文件，包括：



 （一）對內(nèi)部控制體系要素及其相互作用的描述,。



 （二）內(nèi)部控制政策和目標,。



 （三）關(guān)鍵崗位及其職責與權(quán)限。



 （四）不可接受的風險及其預防和控制措施,。



 （五）控制程序,、作業(yè)指導、方案和其他內(nèi)部文件,。




第三十條 文件控制,。



 商業(yè)銀行應建立并保持書面程序，以確保內(nèi)部控制體系所要求的文件滿足下列要求：



 （一）易于查詢,。



 （二）實施前得到授權(quán)人的批準,。



 （三）定期評審,，必要時予以修訂并由授權(quán)人員確認其適宜性。



 （四）所有相關(guān)崗位都能得到有效版本,。



 （五）失效時,，及時從所有發(fā)放處和使用處收回，或采取其他措施防止誤用,。



 （六）及時識別,、處置外來文件并進行標識，必要時轉(zhuǎn)化為內(nèi)部文件,。



 （七）留存的檔案性文件和資料應予以適當標識,。




第三十一條 記錄控制。



 商業(yè)銀行應建立并保持書面程序,，以規(guī)定內(nèi)部控制相關(guān)活動中所涉及記錄的標識,、生成、貯存,、保護,、檢索、保存期限和處置,。



 記錄應保持清晰,、易于識別和檢索，以提供符合要求和內(nèi)部控制體系有效運行的證據(jù),，并可追溯到相關(guān)的活動,。




第四章 評價程序和方法




第三十二條 內(nèi)部控制評價程序一般包括評價準備、評價實施,、評價報告形成和反饋等步驟,。




第三十三條 評價準備。



 組成評價組,。評價組應考慮組成人員的背景和能力,。必要時，可聘請業(yè)務或管理方面的專家,。



 制訂評價實施方案,。實施方案應明確本次評價的目的、范圍,、準則,、時間安排和相應的資源配置。



 準備必要的工作文件,。主要包括評價問卷,、抽樣計劃、被評價機構(gòu)的內(nèi)部控制體系文件及相關(guān)記錄等,。



 在現(xiàn)場評價前應先與被評價機構(gòu)建立初步聯(lián)系,，以便確認有關(guān)評價事項和安排,。




第三十四條 評價實施。



 評價組應按照既定的評價方案實施評價,。在評價實施中應就評價組內(nèi)部以及評價組與被評價機構(gòu)之間的溝通做出正式安排,，通過適當?shù)姆椒ㄊ占c評價目的、范圍和準則有關(guān)的信息,，根據(jù)評價方案對被評價項目進行測試,，對有關(guān)數(shù)據(jù)進行確認和分析，并予以記錄,。



 評價實施的具體方法見第三十九條至四十三條。




第三十五條 評價報告形成,。



 評價組根據(jù)評價實施情況,，撰寫評價報告，應重點分析以下方面：



 （一）被評價機構(gòu)內(nèi)部控制體系現(xiàn)狀,、存在問題及趨勢分析,。



 （二）同類銀行比較。



 （三）監(jiān)管建議,。



 （四）可能的諒解因素,。




第三十六條 評價反饋。



 對被評價機構(gòu)內(nèi)部控制體系進行綜合評價后,，應與被評價機構(gòu)管理層溝通,，以核對數(shù)據(jù)，確認事實,，并就評價中的問題征求意見,。




第三十七條 銀監(jiān)會及其派出機構(gòu)根據(jù)評價報告，依據(jù)有關(guān)法律和規(guī)定,，做出評價結(jié)論和處理決定,，并以書面形式正式發(fā)送被評價機構(gòu)，限期整改,。同時,，評價結(jié)論應報上級機構(gòu)。




第三十八條 內(nèi)部控制評價方法是為實現(xiàn)評價目的,，對被評價機構(gòu)內(nèi)部控制體系進行分析和評價而采取的技術(shù)和手段的總稱,。




第三十九條 內(nèi)部控制評價實施包括：



 了解內(nèi)部控制體系。應了解被評價機構(gòu)內(nèi)部控制體系的基本情況,，確認評價范圍,，確定被評價機構(gòu)的內(nèi)部控制體系的健全程度，然后決定實施測試所采取的方法,。



 實施測試和分析,。實施測試和分析是在了解內(nèi)部控制體系的基礎(chǔ)上,，評價內(nèi)部控制體系的運行與績效。具體可以采取符合性測試和指標分析等,，其中,，對內(nèi)部控制過程評價主要采取符合性測試法；對內(nèi)部控制結(jié)果評價,，主要采取指標分析法,。




第四十條 了解內(nèi)部控制體系。



 了解被評價機構(gòu)內(nèi)部控制體系主要通過詢問,、查閱,、觀察、流程圖等方法進行,，以初步評價被評價機構(gòu)內(nèi)部控制體系的充分性和合規(guī)性,。




第四十一條 符合性測試。



 符合性測試是獲得評價證據(jù)以證實內(nèi)部控制在實際中的合規(guī)性,、有效性和適宜性,，即相關(guān)規(guī)定在實際中是否被一貫執(zhí)行，控制措施能否達到控制目的,，控制措施是否恰當,。符合性測試分為兩種形式：



 （一）業(yè)務測試，即對重要業(yè)務或典型業(yè)務進行測試,，按照規(guī)定的業(yè)務處理程序進行檢查,，確認有關(guān)控制點是否符合規(guī)定并得到認真執(zhí)行，以判斷內(nèi)部控制的遵循情況,。



 （二）功能測試,，即對某項控制的特定環(huán)節(jié)，選擇若干時期的同類業(yè)務進行檢查,，確認該環(huán)節(jié)的控制措施是否一貫或持續(xù)發(fā)揮作用,。



 符合性測試的具體方法包括抽樣法、穿行測試法,、證據(jù)檢查法和壓力測試法等,。




第四十二條 測試抽樣。



 抽樣樣本取決于被評價機構(gòu)或被評價項目的風險,、業(yè)務頻次,、重要性等?？稍诟鶕?jù)業(yè)務頻次抽樣的基礎(chǔ)上,，結(jié)合被評價項目的風險和重要性進行調(diào)整。



 根據(jù)業(yè)務頻次確定的抽樣量參考標準如下：



 （一）每月執(zhí)行一次的業(yè)務或事項，抽樣量應保持在2-6個之間,。



 （二）每周執(zhí)行一次的業(yè)務或事項,，抽樣量應保持在4-10個之間。



 （三）每日執(zhí)行一次的業(yè)務或事項,，抽樣量應保持在10-25個之間,。



 （四）每日執(zhí)行多次的業(yè)務或事項，全年10000次以下的,，抽樣量應保持在25-50個之間,；全年10000次以上的，抽樣量應保持在50個以上,。




第四十三條 指標分析,。



 應收集被評價機構(gòu)內(nèi)部控制結(jié)果指標的相關(guān)信息，進行核實,、對比分析和趨勢分析,，從而對內(nèi)控目標實現(xiàn)情況做出評價。




第五章 評分標準和評價等級




第四十四條 內(nèi)部控制評價采取評分制,。對內(nèi)部控制的過程和結(jié)果分別設(shè)置一定的標準分值，并根據(jù)評價得分確定被評價機構(gòu)的內(nèi)部控制等級,。




第四十五條 內(nèi)部控制過程評價的標準分為500分,，其中：內(nèi)部控制環(huán)境100分、風險識別與評估100分,、內(nèi)部控制措施100分,、信息交流與反饋100分、監(jiān)督評價與糾正100分,。上述五部分評價得分加總除以5,，得到過程評價的實際得分。




第四十六條 在對內(nèi)部控制過程評價時,，應按照第三章評價內(nèi)容的要求,，結(jié)合本辦法第八條的四個方面展開，轉(zhuǎn)換為具體評價問題,，并根據(jù)測試情況對被評價項目進行評分,。




第四十七條 初次實施內(nèi)部控制評價時，須對所有業(yè)務活動,、管理活動和支持保障活動進行評價,。再次評價時，至少應包括：授信業(yè)務,、資金業(yè)務,、存款及柜臺業(yè)務、主要中間業(yè)務、計劃財務,、會計管理,、計算機信息系統(tǒng)等。其他活動在每三次再次評價周期內(nèi)應至少覆蓋一次,。




第四十八條 內(nèi)部控制過程評價的具體評分標準如下：



 （一）被評價對象的過程和風險已被充分識別的,，可得該項分值的百分之二十。



 （二）在滿足前項的基礎(chǔ)上,，被評價項目的過程和對風險的控制措施被規(guī)定并遵循要求的,，可得該項分值的百分之三十。



 （三）在滿足前兩項的基礎(chǔ)上,，被評價項目的規(guī)定得到實施和保持,，可再得該項分值的百分之三十。



 （四）在滿足前三項的基礎(chǔ)上,，被評價項目在實現(xiàn)風險控制的結(jié)果方面,，控制措施有效且適宜的，可再得該項分值的百分之二十,。




第四十九條 在測試過程中遇有業(yè)務缺項或問題"不適用"時,，應將涉及到的分值在評價項目總分中扣減。為了保持可比性,，在得出其余適用項的總分后,，還應將該評價項目的總得分進行調(diào)整。



 調(diào)整后評價項目總得分= 所有適用項目得分/(評價項目總分-不適用項目總分) ×100%



 單項分值小計和總分分值有小數(shù)時四舍五入,。




第五十條 若涉及到需要采取抽樣測試確定評價結(jié)論的,，應根據(jù)以下情況確定：



 （一）如果在抽樣范圍內(nèi)未發(fā)現(xiàn)違規(guī)，該項評價得滿分,；在抽樣范圍內(nèi),，發(fā)現(xiàn)兩項以上違規(guī)（含兩項），該項評價不得分,；僅發(fā)現(xiàn)一項違規(guī)的,，應擴大一倍抽樣，在擴大抽樣范圍內(nèi)未發(fā)現(xiàn)新的違規(guī)的,，可得該評價項目分值的50%,，在擴大抽樣范圍內(nèi)又發(fā)現(xiàn)新的違規(guī)的，該評價項目不得分,。



 （二）發(fā)現(xiàn)險情或事故的,，直接扣除該評價項目的分值。




第五十一條 內(nèi)部控制的結(jié)果評價,。結(jié)果評價主要評價內(nèi)部控制目標的實現(xiàn)情況,，對這些指標的量化評價可以通過非現(xiàn)場的方式進行。結(jié)果評價主要包括十項指標：資本利潤率、資產(chǎn)利潤率,、成本收入比,、大額風險集中度指標、關(guān)聯(lián)方交易指標,、資產(chǎn)質(zhì)量指標,、不良貸款撥備覆蓋率、資本充足指標,、流動性指標,、案件指標等，指標說明及控制比例見附錄,。內(nèi)控結(jié)果評價指標的標準分值為500分,，轉(zhuǎn)化為百分制后得出實際得分。



 銀監(jiān)會可以根據(jù)商業(yè)銀行整體風險情況,、經(jīng)濟金融情況和銀監(jiān)會工作的重點,，補充、修訂或調(diào)整有關(guān)評價指標及其標準分值,。




第五十二條 根據(jù)過程評價和結(jié)果評價綜合確定內(nèi)部控制體系的總分,。其中，過程評價的權(quán)重為70％,，結(jié)果評價的權(quán)重為30％,，兩項得分加總得出綜合評價總分。




第五十三條 根據(jù)綜合評價總分確定被評價機構(gòu)的內(nèi)部控制體系評價等級,，應按評分標準對被評價機構(gòu)內(nèi)部控制項目逐項計算得分，確定評價等級,。定級標準為：



 一級：綜合評分90分 以上（含90分）,。指被評價機構(gòu)有健全的內(nèi)部控制體系，在各個環(huán)節(jié)均能有效執(zhí)行內(nèi)部控制措施,，能對所有風險進行有效識別和控制,，無任何風險控制盲點，控制措施適宜,，經(jīng)營效果顯著,。



 二級：綜合評分80－89分。指被評價機構(gòu)內(nèi)部控制體系比較健全,，在各個環(huán)節(jié)能夠較好執(zhí)行內(nèi)部控制措施,，能對主要風險進行識別和控制，控制措施基本適宜,，經(jīng)營效果較好



 三級：綜合評分70-79 分,。指被評價機構(gòu)內(nèi)部控制體系一般，雖建立了大部分內(nèi)部控制，但缺乏系統(tǒng)性和連續(xù)性,，在內(nèi)部控制措施執(zhí)行方面缺乏一貫的合規(guī)性,，存在少量重大風險，經(jīng)營效果一般,。



 四級：綜合評分60 －69 分,。被評價機構(gòu)內(nèi)部控制體系較差，內(nèi)部控制體系不健全或重要的內(nèi)部控制措施沒有貫徹執(zhí)行或無效,，管理方面存在重大問題,，業(yè)務經(jīng)營安全性差。



 五級：綜合評分60分以下（不含60分）,。被評價機構(gòu)內(nèi)部控制體系很差,，內(nèi)部控制體系存在嚴重缺失或內(nèi)部控制措施明顯無效，存在明顯的管理漏洞,，經(jīng)營業(yè)務失控,，存在重大金融風險隱患。



 上述等級也適用于單項評級,，單項評級結(jié)果主要用于對比分析,。




第五十四條 若被評價機構(gòu)在評價期內(nèi)發(fā)生重大責任事故，應在上述評級的基礎(chǔ)上下調(diào)一級,。



 重大責任事故包括：



 （一）因安全防范措施不當,，發(fā)生金融詐騙、盜竊,、搶劫,、爆炸等案件，造成重大影響或損失,。



 （二）因經(jīng)營管理不善發(fā)生擠提事件,。



 （三）業(yè)務系統(tǒng)故障，造成重大影響或損失,。



 （四）經(jīng)查實的重大信訪事件,。




第五十五條 內(nèi)部控制體系連續(xù)在三個評價期內(nèi)得不到改善的機構(gòu)，其內(nèi)部控制評價等級應適當下調(diào),。




第六章 組織和實施




第五十六條 內(nèi)部控制評價按照"統(tǒng)一領(lǐng)導,，分級管理"的原則進行。




第五十七條 根據(jù)評價的范圍,，內(nèi)部控制評價可分為以下層次：



 （一）銀監(jiān)會及其派出機構(gòu)對商業(yè)銀行法人機構(gòu)的整體評價,，原則上每兩年一次。



 （二）銀監(jiān)會及其派出機構(gòu)對商業(yè)銀行總部的評價,，原則上每兩年一次,。



 （三）銀監(jiān)會及其派出機構(gòu)對商業(yè)銀行不同層次分支機構(gòu)的評價,，每三年一個評價周期，每年至少覆蓋三分之一以上的分支機構(gòu),，三年內(nèi)必須覆蓋全部分支機構(gòu),。




第五十八條 應當根據(jù)風險大小和重要性確定對商業(yè)銀行及其分支機構(gòu)內(nèi)部控制評價的頻率和范圍，當商業(yè)銀行發(fā)生管理層重大變動,、重大的并購或處置,、重大的營運方法改變或財務信息處理方式改變等情況，或銀監(jiān)會認為必要時,，應對商業(yè)銀行內(nèi)部控制進行整體評價,。




第五十九條 銀監(jiān)會對商業(yè)銀行法人機構(gòu)整體評價時，總部占整體評價得分的60%,分支機構(gòu)平均得分占整體評價得分的40%,，形成最終評級結(jié)果,。其中，初次整體評價時,，應覆蓋總行和所有分支機構(gòu),；再次進行整體評價時，應抽取不少于三分之一的分支機構(gòu),。



 銀監(jiān)會各派出機構(gòu)對轄內(nèi)商業(yè)銀行分支機構(gòu)的內(nèi)部控制評價可比照進行,。




第六十條 銀監(jiān)會及其派出機構(gòu)應及時整理、分析和掌握被評價機構(gòu)報送的非現(xiàn)場監(jiān)管數(shù)據(jù),、國家審計部門的審計結(jié)果和被評價機構(gòu)的內(nèi)部審計信息,，充分利用監(jiān)管部門對被評價機構(gòu)的各種現(xiàn)場檢查結(jié)果。




第六十一條 銀監(jiān)會或其派出機構(gòu)應對被降價機構(gòu)內(nèi)部控制體系的改進情況進行后續(xù)跟蹤,，責令被評價機構(gòu)針對發(fā)現(xiàn)的違規(guī)或風險隱患制定糾正措施,，并對糾正情況及其有效性進行驗證。




第六十二條 內(nèi)部控制評價各階段涉及的有關(guān)記錄,、表格,、評價報告以及跟蹤驗證的相關(guān)資料均應作為監(jiān)管檔案妥善保管。




第六十三條 銀監(jiān)會可根據(jù)需要委托外部中介機構(gòu)對商業(yè)銀行內(nèi)部控制體系進行評價,。受托中介機構(gòu)和人員必須熟悉商業(yè)銀行業(yè)務和運作,，具備商業(yè)銀行內(nèi)部控制體系建立或評價方面的經(jīng)驗,。各派出機構(gòu)選聘中介機構(gòu)時,，必須報銀監(jiān)會批準。



 受托中介機構(gòu)對商業(yè)銀行的內(nèi)部控制評價須按照本辦法執(zhí)行,。




第七章 罰 則




第六十四條 銀監(jiān)會根據(jù)評級結(jié)果及評價報告所反映的情況,，針對被評價機構(gòu)內(nèi)部控制體系存在問題的性質(zhì)及嚴重程度，可分別采取以下一項或多項監(jiān)管措施：



 （一）約見被評價機構(gòu)第一負責人或董事長,。



 （二）就評價對象內(nèi)部控制體系存在問題可能引發(fā)的風險,，向被評價機構(gòu)進行提示和警告,。



 （三）要求被評價機構(gòu)對內(nèi)部控制體系存在的問題限期整改。



 （四）加大現(xiàn)場檢查力度及頻率,。



 （五）建議調(diào)整管理層,。



 （六）取消有關(guān)人員一定期限或終身銀行業(yè)從業(yè)資格。



 （七）責令整頓或暫停辦理相關(guān)業(yè)務,。



 （八）延緩批準或拒絕受理增設(shè)分支機構(gòu),、開辦新業(yè)務的申請。




第六十五條 對內(nèi)部控制評價中發(fā)現(xiàn)的違規(guī),、違法行為,，應根據(jù)有關(guān)規(guī)定，采取相應處罰措施,。




第六十六條 未經(jīng)批準或許可,，任何單位和個人不得對外公布對被評價機構(gòu)的內(nèi)部控制體系等級評定結(jié)果。凡擅自公布等級評定結(jié)果,，應追究有關(guān)人員的責任,。




第八章 附 則




第六十七條 本辦法涉及的重要名詞術(shù)語解釋如下：



 （一）體系：相互關(guān)聯(lián)或相互作用的一組要素。



 （二）文件：信息及其承載媒體,。媒體可以是紙張,，計算機磁盤、光盤或其他電子媒體,，或其組合,。



 （三）程序：為進行某項活動或過程所規(guī)定的途徑。程序可以形成文件,，也可以不形成文件,；當程序形成文件時，通常稱為書面程序,。



 （四）風險相關(guān)方：與商業(yè)銀行在風險及其控制方面有利益關(guān)系的個人或團體,。風險相關(guān)方包括風險直接承擔者和間接利害關(guān)系者，前者如商業(yè)銀行投資者,、顧客或員工,，后者如監(jiān)管機構(gòu)。



 （五）內(nèi)部控制績效：根據(jù)內(nèi)部控制政策和目標,，在控制風險方面所取得的可測量的結(jié)果（績效測量包括內(nèi)部控制活動和結(jié)果的測量）,。



 （六）事故：造成損失的非預期事件。



 （七）險情：可能造成損失的事件,。



 （八）違規(guī)：未滿足規(guī)定的要求,，既可能是人員主觀造成的，也可能是其他客觀原因?qū)е碌摹?


 （九）預防措施：為消除潛在違規(guī),、險情或事故的原因所采取的措施,。



 （十）糾正措施：為消除己發(fā)現(xiàn)的違規(guī),、險情和事故的原因所采取的措施。




第六十八條 商業(yè)銀行應根據(jù)本辦法制定相應的實施細則并報銀監(jiān)會或其派出機構(gòu)備案,。




第六十九條 本辦法適用于在中華人民共和國境內(nèi)依法設(shè)立的國有商業(yè)銀行,、股份制商業(yè)銀行、外資商業(yè)銀行,、城市商業(yè)銀行,、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行和郵政儲蓄機構(gòu),。對政策性銀行,、城鄉(xiāng)信用社和非銀行金融機構(gòu)的評價可參照本辦法執(zhí)行。




第七十條 未進行股份制改造的商業(yè)銀行,、農(nóng)村合作銀行和郵政儲蓄機構(gòu),、政策性銀行、城鄉(xiāng)信用社和非銀行金融機構(gòu),，應由高級管理層負責內(nèi)部控制體系的建立,、維護和改進，并明確相對獨立的決策,、監(jiān)督和執(zhí)行的職責和權(quán)限,。




第七十一條 本辦法由銀監(jiān)會負責解釋與修訂。




第七十二條 本辦法自2005年2月1日起施行,。