第一章 总 则
第一条 为规范和加强对商业银行内部控制的评价,督促其进一步建立内部控制体系,健全内部控制机制,保证商业银行安全稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本办法。
第二条 商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、评估、测试和分析的系统性活动。
内部控制评价包括过程评价与结果评价。过程评价侧重对内部控制过程的充分性、合规性、有效性、适宜性的评价,结果评价是对内部控制主要目标实现程度的评价。
第三条 商业银行内部控制体系是商业银行为实现经营管理目标,通过制定和实施系统化的政策、程序和方案,对风险进行识别、评估、控制、监测和改进的动态过程和机制,由内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五个相互关联、相互作用的过程构成。
第四条 商业银行应建立并保持系统的、透明的、文件化的内部控制体系,将内部控制活动与业务经营管理活动紧密地结合起来;定期或在有关法律法规和其他经营环境发生重大变化时,对内部控制体系进行评审和改进。
第五条 商业银行内部控制评价由中国银行业监督管理委员会(以下简称银监会)及其各级派出机构组织实施。
第六条 商业银行内部控制评价人员应经过有关内部控制评价知识和技能的培训,具备相应的资质和能力。
第二章 内部控制评价目标和原则
第七条 商业银行内部控制评价的目标是通过评价商业银行内部控制体系的充分性、合规性、有效性和适宜性,促使商业银行切实加强内部控制体系的建设并认真执行。具体评价目标如下:
(一)促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则;
(二)促进商业银行提高风险管理水平,保证其发展战略和经营目标的实现;
(三)促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性;
(四)促进商业银行各级管理者和员工强化内部控制意识,严格贯彻落实各项控制措施,确保内部控制体系得到有效运行;
(五)促进商业银行在出现业务创新、机构重组及新设等重大变化时,及时有效地评估和控制可能出现的风险。
第八条 为实现上述内部控制评价目标,应从以下四个方面对内部控制体系进行评价:
(一)过程和风险是否已被充分识别;
(二)过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持;
(三)控制措施是否有效;
(四)控制措施是否适宜。
第九条 内部控制评价应遵循以下原则:
(一)系统性原则。评价范围应渗透覆盖商业银行内部控制活动的全过程,覆盖所有的系统、部门和岗位。
(二)统一性原则。评价应保持目标、范围和准则的一致,以确保评价过程的准确,以及评价结果的客观、可比。
(三)独立性原则。评价应由银监会及其派出机构或受委托评价机构独立进行,不受任何单位和个人干扰。
(四)公正性原则。评价应以事实为基础,以法律法规、监管要求为准则,客观公正,实事求是。
(五)重要性原则。评价应依据风险和控制的重要性确定重点。
(六)及时性原则。应按照规定的时间间隔持续进行评价。当经营管理环境发生重大变化时,应及时进行评价。
第三章 内部控制评价内容
第一节 内部控制环境
第十条 商业银行公司治理
商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构,保证各机构规范运作、分权制衡。
(一)完善股东大会、董事会、监事会及下设的议事和决策机构,建立议事规则和决策程序;
(二)明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任;
(三)建立独立董事制度,对董事会讨论事项发表客观、公正的独立意见;建立外部监事制度,对董事会、董事、高级管理层及其成员进行监督。
第十一条 董事会、监事会和高级管理层责任
董事会负责保证商业银行建立并实施充分而有效的内部控制;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施认定、计量、监督并控制风险;负责审批组织机构;负责保证高级管理层对内部控制制度的充分性与有效性进行监测和评估。
监事会负责监督董事会、高级管理层完善内部控制;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。
高级管理层负责制定内部控制政策,对内部控制的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立认定、计量、监督并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
董事会和高级管理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。
第十二条 内部控制政策
商业银行应在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的方向和原则,并为制定和评审内部控制目标提供指导。内部控制政策应:
(一)与商业银行的经营宗旨和发展战略相一致;
(二)体现持续改进内部控制的要求;
(三)符合现行法律法规和监管要求;
(四)体现出侧重控制的风险类型;
(五)体现出对不同地区、行业、产品的风险控制要求;
(六)传达给适用岗位的员工,指导员工实施风险控制措施;
(七)可为风险相关方所获取,并寻求互利合作;
(八)定期进行评审,确保其持续的适宜性和有效性。
第十三条 内部控制目标
商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现对持续改进的要求。
在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素。
内部控制目标应可测量。有条件时,目标应予以量化。
第十四条 组织结构
商业银行应建立分工合理、职责明确、报告关系清晰的组织结构,明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限,并形成文件予以传达。特别应考虑:
(一)必要的职责分离,以及横向与纵向相互监督制约关系;
(二)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定;
(三)建立关键岗位定期或不定期的人员轮换和强制休假制度;
(四)建立相应的授权体系,实行统一法人管理和法人授权。
商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门,明确其责任、权限和报告路线。
商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员;应有权获得商业银行的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率,以及对机构和业务的审计覆盖率,定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。
第十五条 企业文化
商业银行应培育健康的企业文化,对企业文化的内涵、组织机制、传播机制、评估机制以及活动机制做出明确的规定,向员工传达遵守法律法规和实施内部控制的重要性,引导员工树立良好的合规意识和较强的风险意识,促进员工职业道德水平的提高,规范员工行为,营造良好的内部控制环境。所有员工都应了解自己在内部控制中的作用,全面参与内部控制体系建设。
第十六条 人力资源
商业银行应完善人事制度和程序,确保与风险和内部控制有关人员具备相应的能力和风险意识。
商业银行应规定所有岗位的职责、权限和人员适任条件,明确关键岗位、特殊岗位、不相容岗位及其控制要求。
商业银行应明确与风险和内部控制有关人员的必要的能力要求。应根据其教育水平、工作经验、考核和接受过的培训对能力进行鉴定。尤其应满足监管机构对高级管理人员资质的要求,不满足任职资格的不得担任高级管理职务。
商业银行应制定并保持培训计划,以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审,并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。
商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定,并充分考虑人力资源管理过程中的风险。
第二节 风险识别与评估
第十七条 经营管理活动风险识别与评估
商业银行应建立和保持书面程序,以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、操作风险、市场风险、国家和转移风险、利率风险、流动性风险、法律风险以及声誉风险等。
应识别并确定常规和非常规的业务和管理活动,并识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围,特别应考虑计算机系统的运用可能带来的风险。
应依据法律法规、监管要求以及内部控制政策确定风险是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评审,以确保其持续可接受;风险不可接受时,应制定控制措施。
商业银行对各类风险进行有效的识别与评估时应充分考虑内部和外部因素,内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。
环境和条件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。
风险识别与评估应:
(一)依据业务范围、性质和时限主动进行;
(二)评估风险的后果、可能性和风险级别;
(三)必要时开发并运用风险量化评估的方法和模型。
第十八条 法律法规、监管要求和其他要求识别
商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序,作为风险识别与评估、制订控制目标和控制方案的依据。
商业银行应及时更新法律法规、监管要求和其他要求的信息,并将这些信息传达给相关员工和其他风险相关方。
第十九条 内部控制方案
商业银行应制定内部控制方案,以控制所识别的不可接受风险。内部控制措施策划方案应包括以下内容:
(一)为实现对风险的控制而规定的相关层次的职责与权限;
(二)控制的策略、方法、资源需求和时限要求。
内部控制措施若涉及到组织结构、流程、计算机系统等方面的重大变更,应考虑采取此种措施后可能产生的新风险。
第三节 内部控制措施
第二十条 运行控制
商业银行应确定需要采取控制的业务和管理活动,依据所策划的控制措施或已有的控制程序对这些活动加以控制。
控制措施包括:
(一)高层检查。董事会与高级管理层要求下级部门及时报告经营管理情况和特别情况,以检查银行在实现内部控制目标方面的进展。高级管理层根据检查情况提出内部控制缺失,督促职能管理部门改进。
(二)行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告,提出问题,要求采取纠正整改措施。
(三)实物控制。主要的控制措施包括实物限制、双重保管和定期盘存。
(四)遵循风险暴露限制的情况。审查遵循风险限制方面的合规性,在不合规的情况下继续跟踪检查。如遵循对借款人的信用额度限制,减少风险集中程度,有助于分散风险。
(五)审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权,明确各级管理责任。
(六)验证与核实。验证各项业务、管理活动,以及所采用的风险管理模型结果,并定期核实相关情况,及时发现需要修正的问题,向职能管理部门报告。
(七)不兼容岗位的适当分离。实行适当的职责分工,认定潜在的利益冲突并使之最小化。
控制要点包括:
(一)对于可能导致偏离内部控制政策、目标的运行情况,应建立并保持书面程序和要求,并在程序中规定操作和控制标准;
(二)对于重要活动应实施连续记录和监督检查;
(三)在可能的情况下,应考虑运用计算机系统进行控制;
(四)对于采购或外包的设施、设备、系统和服务中已识别的风险,应建立并保持控制程序,并将有关程序和要求通报供方,确保其遵守商业银行相关的控制要求;
(五)对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序。
第二十一条 计算机系统环境下的控制
商业银行应考虑计算机系统环境下的业务运行特征,建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制,确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。
第二十二条 应急准备与响应
商业银行应建立并保持预案和程序,以识别可能发生的意外事件或紧急情况(包括计算机系统)。意外事件和紧急情况发生时,应及时做出应急响应,以预防或减少可能造成的损失,确保业务持续开展。
商业银行应定期检查、维护应急的设施、设备和系统,确保其处于适用状态。如可行,应定期测试应急预案。
商业银行应评审其应急预案,特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括损失、险情)的性质相适应。
第四节 监督评价与纠正
第二十三条 内部控制绩效的监测
商业银行应建立并保持书面程序,通过适宜的监测活动,对内部控制绩效进行持续监测。
监测内容包括:
(一)内部控制目标实现程度的监测;
(二)法律、法规及监管要求的遵循程度;
(三)适用的法律法规、监管要求及其他要求的符合情况;
(四)损失、险情和其他不良的内部控制绩效的历史情况;
第二十四条 违规、险情、事故处置和纠正与预防措施
商业银行应对违规、险情、事故的发现、报告、处置和纠正与预防措施做出规定,包括:
(一)发现违规、险情、事故并及时报告,必要时,可越级报告;
(二)及时处置违规、险情、事故;
(三)制定纠正与预防措施,防止违规、险情、事故的发生和再发生,并与问题的大小和风险危害程度相一致;
(四)纠正与预防措施在实施之前应进行风险评估;
(五)实施并跟踪、验证纠正与预防措施;
(六)险情和事故的责任追究。
第二十五条 内部控制体系评价
商业银行应按策划的方案对内部控制体系实施评价,确保内部控制体系的符合性和有效性。
评价方案的制定,应以活动的风险评估结果、业务和管理流程及相关区域的状况和以前的评价结果为依据。评价方案应包括评价的目的、准则、范围、频率和方法,以及执行评价和结果报告的职责与要求。评价应覆盖体系范围内的所有活动,被评价机构的管理者应采取措施消除违规原因,并验证所采取措施的效果。应根据评价的结果对内部控制体系做出评价,必要时可根据评价结果确定内部控制水平的等级。评价结果的信息提供给管理层参考和决策。
评价应由所评价的活动无直接责任的人员进行,评价人员应能够胜任评价工作。
第二十六条 管理评审
董事会应采取措施保证商业银行定期组织对内部控制状况进行评审,确保体系得到持续、有效的改进。
管理评审应包括以下方面的内容:
(一)内部控制体系评价的结果;
(二)内部控制政策执行情况和内部控制目标实现情况;
(三)对内部控制体系有重要影响的外部信息,如法律、法规的重大变化;
(四)组织结构的重大调整;
(五)事故和险情以及重大纠正和预防措施的状况;
(六)以往管理评审的跟踪情况;
(七)内部控制体系改进的建议。
管理评审应就以下方面提出建议:
(一)内部控制体系及其过程的改进;
(二)内部控制政策、目标的变更;
(三)与内部控制有关资源的需求。
第二十七条 持续改进。
商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审,持续提高内部控制体系有效性。
第五节 信息交流与反馈
第二十八条 交流与沟通
商业银行应建立和保持信息交流与反馈的程序,对财务、管理、业务、重大事件和市场信息等相关信息,明确其识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。
商业银行应识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保:
(一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息;
(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策、程序;
(三)险情、事故发生时,相关信息能得到及时报告和有效沟通;
(四)及时、真实、完整地向监管机构和外界报告、披露相关信息;
(五)国内外经济、金融动态信息的取得和处理,并及时把与企业既定经营目标有关的信息提供给各级管理层。
信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。
为保持信息交流沟通可追溯性,必要时,应保持相关信息交流与沟通的记录。
第二十九条 内部控制体系对文件的要求
建立和保持文件化体系是实现信息交流与反馈的重要途径。商业银行应建立并保持必要的内部控制体系文件,包括:
(一)对内部控制体系核心过程要素及其相互作用的描述;
(二)内部控制政策和目标;
(三)关键岗位及其职责与权限;
(四)不可接受的风险及其预防和控制措施;
(五)控制程序、作业指导、方案和其他内部文件。
第三十条 文件控制
商业银行应建立并保持书面程序,以确保内部控制体系所要求的文件满足下列要求:
(一)文件和资料易于查询;
(二)实施前得到授权人的批准;
(三)定期进行评审,必要时予以修订并由授权人员确认其适宜性;
(四)所有相关岗位都能得到有效版本;
(五)失效时,及时从所有发放处和使用处收回,或采取其他措施防止误用;
(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。
(七)留存的档案性文件和资料应予以适当标识。
第三十一条 记录控制
商业银行应建立并保持书面程序,以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。
记录应保持清晰、易于识别和检索,以提供符合要求和内部控制体系有效运行的证据,并可追溯到相关的活动。
第四章 内部控制评价程序和方法
第三十二条 内部控制评价程序一般包括评价准备、评价实施、形成评价报告和反馈等步骤。
第三十三条 评价准备。
在评价实施前应组成评价组。评价组的成员构成应考虑到相关人员的背景和能力构成。必要时,可聘请相应的业务或管理专家。
评价组应根据内部控制评价的安排制订评价方案,评价方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。
评价组应准备必要的工作文件,用于评价实施过程的参考和记录。这些工作文件可以包括评价问卷、抽样计划、被评价机构的内部控制体系文件等。
在现场评价前应先与被评价机构建立初步联系,以便确认有关评价事项和安排。
第三十四条 评价实施
评价组应按照确定的评价方案实施评价。在评价实施中有必要对评价组内部以及评价组与被评价机构之间的沟通做出正式安排。在评价实施过程中,应当通过适当的方法进行收集与评价目的、范围和准则有关的信息,根据抽样计划对被评价项目进行测试,评价证据应当予以记录。收集信息和测试的方法见本办法附件的相关内容。
第三十五条 形成评价报告
评价组根据评价及测试情况,在综合评价的基础上,出具被评价机构的内部控制评价报告。报告内容主要包括概述、评价组工作开展情况、被评价机构内部控制体系状况、综合评价、存在问题及原因、整改意见等。
报告还应包括以下方面的内容:
(一)对被评价机构的内部控制体系现状,存在问题与上次评价结果和连续多次评价结果进行趋势比较分析。找出本期新出现的薄弱环节,分析判断商业银行内控的薄弱环节是否已得到改进和加强。
(二)将被评价机构存在的主要问题、缺失与同类银行进行比较,对于普遍存在且受外围环境制约的问题,在评价结论中作为可谅解因素列出。
(三)对被评价对象内部控制体系有效性进行分析评价后,监管部门应根据分析评价结果和已采取措施的有效程度,提出今后的监管建议。
(四)评价报告应根据内部控制评价对象的层次,突出重点和关键点。例如,对商业银行总部的评价应突出管理方面的问题和薄弱点以及制度规定方面的缺失,而对分支机构的评价应侧重执行方面的问题。
第三十六条 评价结论反馈
评价组对被评价银行内部控制体系做出综合评价后,应召集被评价机构管理层和部门负责人会议,核对数据和事实,征求意见,在现行法律和政策规定基础上统一认识。评价组应将本次评价的评审报告和结论报送授权的监管机构。
第三十七条 监管机构根据评价组的结论,依据有关法律和规定,对被评价机构做出评价结论和处理决定,以书面形式正式发送被评价机构并限期改正反馈。
第三十八条 内部控制评价方法是为实现评价目的,运用基本的评价技术对商业银行的内部控制体系进行分析和评价而采取的技术和手段的总称。
第三十九条 内部控制评价的实施分为了解内部控制体系阶段和实施测试阶段。
评价人员首先应了解被评价机构内部控制体系的基本情况,确定评价范围,确定被评价机构的内部控制体系的健全程度,然后决定实施测试所采取的方法。
实施测试是在了解内部控制体系的基础上对被评价机构的内部控制体系开展的进一步评价活动。实施测试侧重于评价内部控制体系的运行与绩效,具体可以采取符合性测试和实质性测试。当初步评价被评价机构的内部控制体系为基本可信赖时,可以采用符合性测试;被评价机构内部控制体系有重大缺失或许多规定在实际工作中无法执行时,应对其内部控制进行实质性测试。
第四十条 了解内部控制体系
主要通过询问法、查阅法、观察法、流程图法等方法了解被评价机构内部控制体系的设计和执行情况,初步评价被评价机构内部控制体系的充分性和制度的合规性,即评价主要活动和重要的风险是否被充分识别,相关制度是否符合法律法规和监管要求,各部门、各岗位是否严格执行了有关规定,内部控制体系能否达到控制目的和要求。
第四十一条 符合性测试
符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性,即相关规定在实际中是否被一贯执行,控制措施能否达到控制目的,控制措施是否恰当。符合性测试分为两种形式:
(一)业务测试,即对重要业务或典型业务进行测试,按照规定的业务处理程序进行检查,确认有关控制点是否符合规定并得到认真执行,以判断内部控制的遵循情况。
(二)功能测试,即对某项控制的特定环节,选择若干时期的同类业务进行检查,确认该环节的控制措施是否一贯或持续发挥作用。
符合性测试的具体方法包括抽样法、穿行测试法、证据检查法、压力测试法、否定验证法等(具体描述见附录一)。
第四十二条 符合性测试抽样。符合性测试需要通过抽样测试被评价商业银行内部控制体系的建立、执行和监督情况。
抽取样本的多少取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次确定抽样量的基础上,再根据被评价项目的风险和重要性进行调整。
根据业务频次确定的各年度抽样量参考标准如下:
(一)每月执行一次的业务或事项,抽样量应保持在2-6个之间;
(二)每周执行一次的业务或事项,抽样量应保持在4-10个之间;
(三)每日执行一次的业务或事项,抽样量应保持在10-25个之间;
(四)每日执行多次的业务或事项,全年10000次以下的,抽样量应保持在25-50个之间;全年10000次以上的,抽样量应保持在50个以上。
第四十三条 实质性测试
评价人员为了获取对被评价机构各项评价认定真实、公允的证据,可采取实质性测试全面评价商业银行内部控制体系。实质性测试主要包括详细检查和分析性复核两种(具体描述见附录一)。
第五章 内部控制评价的评分标准和等级评定
第四十四条 为确保评价结果的可比性,对内部控制的过程或结果评价的项目,均分别设置一定的标准分值,根据评价的实际得分确定被评价机构的评价等级。
第四十五条 对内部控制过程的过程评价共设置标准分500分,各过程的标准分值分别是:内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。五个过程评得总分加总后除以5后换算成对过程评价的得分(对内部控制体系各过程主要项目设置的分值见附录二)。
内部控制评价的具体对象可以根据评价范围的需要确定,但必须覆盖被评价机构开展的所有业务和管理活动。
第四十六条 在对内部控制过程评价时,应按照第三章评价内容的要求,结合本办法第八条的四个方面展开,转换为具体评价问题(评价要点见附录三),并根据调查测试情况对被评价项目进行综合评分。
第四十七条 初次实施内部控制评价时,须对附录二“内部控制过程评价分值表”中所有业务活动、管理活动和支持保障活动进行评价;再次评价时,至少应包括:授信业务、资金业务、存款及柜台业务、主要中间业务、计划财务、会计管理、计算机信息系统等。
第四十八条 内部控制过程评价的具体评分标准如下:
(一)被评价对象的过程和风险已被充分识别的,可得该项分值的百分之二十。
(二)在满足前项的基础上,被评价项目的过程和对风险的控制措施被规定并遵循要求的,可得该项分值的百分之三十。
(三)在满足前两项的基础上,被评价项目的规定得到实施和保持,可再得该项分值的百分之三十。
(四)在满足前三项的基础上,被评价项目在实现风险控制的结果方面,控制措施有效且适宜的,可再得该项分值的百分之二十。
第四十九条 在调查和测试过程中遇有业务缺项或问题“不适用”时,评价人员应将涉及到的分值在评价项目总分中扣减。为了保持可比性,在得出其余适用项的总分后,还应将该评价项目的总得分进行调整。
调整后的评价项目总得分=(项目所有适用问题得分)/(评价项目总分-不适用问题总分)?100
单项分值小计和总分分值不设小数,有小数时四舍五入。
第五十条 若涉及到需要采取抽样测试确定评价结论的,应根据以下情况确定:
(一)如果在抽样范围内发现违规率在10%(含)以下的,该项评价得满分;在10-30%(含)之间的,可得该评价项目分值的50%;在30%以上的,该项评价不得分。
(二)发现险情或事故的,直接扣除该评价项目的分值。
第五十一条 内部控制的结果评价。结果评价主要评价内部控制目标的实现情况,对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括十项指标:资本利润率、资产利润率、收入成本比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件损失指标。内控结果评价指标的分值为500分(具体指标和计分方式详见附录二)。
银监会可以根据商业银行整体风险情况、宏观经济金融情况和银监会工作的重点,补充、修订或调整有关评价指标及其标准分值。
第五十二条 根据过程评价和结果评价综合确定内部控制体系的总分。其中,过程评价占比分权重为70%,结果评价占比分权重为30%,两项得分相加得出综合评价总分(过程评价计分表、结果评价计分表和汇总计分表见附录二)。
第五十三条 根据综合评价总分对被评价银行的内部控制体系进行定级,定级评价应按评分标准对被评价银行内部控制项目逐项计算得分,确定评价等级。定级标准为:
一级:综合评分90 分(含)以上;指被评价机构有健全的内部控制体系,在各个环节均能有效执行内部控制措施,能对所有风险进行有效识别和控制,无任何风险控制盲点,控制措施适宜,经营效果显著。
二级:综合评分80-89分;指被评价机构内部控制体系比较健全,在各个环节能够较好执行内部控制措施,能对主要风险进行识别和控制,控制措施基本适宜,经营效果较好。
三级:综合评分70-79 分;指被评价机构内部控制体系一般,虽建立了大部分内部控制,但缺乏系统性和连续性,在内部控制措施执行方面缺乏一贯的合规性,存在少量重大风险,经营效果一般。
四级:综合评分60 -69 分;被评价机构内部控制体系较差,内部控制体系不健全或重要的内部控制措施没有贯彻执行或无效,管理方面存在重大问题,会计记录失真,业务经营安全性差。
五级:综合评分60 分以下;被评价机构内部控制体系很差,内部控制体系存在严重缺失或内部控制措施明显无效,存在明显的管理漏洞,经营业务失控,会计记录不可信,存在重大金融风险隐患。
上述评分等级适用于对单项评价的定级,对单项评价定级时,应将单项评价的总分换算成百分制。单项评价定级仅用于对比分析,不作为最终结论。
若评级结果对外公布,可能会对上市公司造成较大的影响,则可以内部掌握,不对外公布。
第五十四条 若被评价机构在评价期内发生重大责任事故,应在内部控制初步评价等级的基础上降低一级。
重大责任事故包括:
(一)因安全防范措施不当,发生金融诈骗、盗窃、抢劫、爆炸等案件,造成重大影响和损失;
(二)因经营管理不善发生挤提事件;
(三)业务系统故障,造成重大影响和损失;
(四)经查实的重大信访事件。
第五十五条 内部控制体系连续在三个评价期内得不到改善的机构,其内部控制评价等级应适当降低;内部控制体系状况不断好转的,应酌情予以适当的加分,但不得提升评价等级。
第六章 内部控制评价组织和实施
第五十六条 内部控制评价按照“统一领导,分级管理”的原则进行。
第五十七条 根据评价的范围,内部控制评价可分为以下层次:
(一)银监会及其派出机构对商业银行法人机构的整体评价;
(二)银监会对商业银行总部的评价;
(三)银监会及其派出机构对商业银行不同层次分支机构的评价。
第五十八条 银监会对商业银行法人机构整体的综合评价,取对总部评价得分的70%和抽取部分分支机构评价平均得分的30%,形成最终评级结果。
银监会各派出机构对辖内商业银行分支机构的内部控制评价可比照进行。
第五十九条 银监会可根据需要委托外部中介机构对商业银行内部控制体系进行评价。受托中介机构和人员必须熟悉商业银行业务和运作,具备内部控制体系建立或评价方面的相关经验。各派出机构选聘中介机构进行内部控制评价时,必须报银监会批准。
受托中介机构对商业银行的内部控制评价按照本办法执行。
第六十条 银监会及其派出机构应及时整理、分析和掌握被监管机构报送的非现场监管数据、国家审计部门的审计结果和被监管机构的内部审计信息,充分利用监管部门对被监管机构的各种现场检查结果。
第六十一条 应当根据风险大小和重要性确定对商业银行及其分支机构内部控制评价的频率和范围,对内部控制整体情况评价的间隔期,一般不超过二年。当商业银行发生重大策略改变、管理层变动、重大的并购或处置、重大的营运方法改变或财务信息处理方式改变等情况,或银监会有监管需要时,应对内部控制整体情况进行评价。
第六十二条 对内部控制体系存在缺失的评价对象,银监会或其派出机构应对其内部控制体系的改进情况进行后续跟踪,责令其针对评价发现的违规或风险隐患制定纠正措施,并对纠正情况及有效性进行检查测试。
第六十三条 内部控制评价各阶段涉及的有关记录、表格、内部控制评价报告、银监会或其派出机构的监管措施及跟踪监管情况均应作为监管档案妥善保管,评价结果应上报上级机构。
第七章 罚 则
第六十四条 根据评级结果及评价报告所反映情况,监管机构可针对被评价机构内部控制体系所存在问题的性质及严重程度分别采取以下一项或多项监管措施:
(一)约见被评价机构第一负责人或董事长;
(二)就评价对象内部控制体系的薄弱环节和存在问题所可能引发的风险,向被评价机构进行提示和警告;
(三)要求被评价机构对内部控制体系中存在的问题进行限期整改;
(四)加大对内部控制体系存在薄弱环节的机构或业务的现场检查力度及频率;
(五)建议更换有关管理层人员;
(六)取消有关管理层人员一定期限或终身银行业从业资格;
(七)责令对内部控制体系存在严重缺失的业务进行整顿或暂停办理该项业务;
(八)延缓或拒绝受理增设分支机构、开办新业务的申请。
第六十五条 对内部控制评价中发现的评价对象的违规、违法行为,应根据有关规定,按照其违规、违法行为类型及性质,采取相应处罚措施。
第六十六条 未经批准或许可,任何单位和个人不得对外公布对被评价机构的内部控制体系等级评定结果。凡擅自公布等级评定结果,造成重大不良影响的,要追究有关人员的责任。
第八章 附 则
第六十七条 商业银行应根据本指引制定相应的实施细则并报银监会或其派出机构备案。
第六十八条 本办法涉及的重要名词术语解释如下:
(一)体系:相互关联或相互作用的一组要素。内部控制体系的要素是内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五个过程。
(二)文件:信息及其承载媒体。媒体可以是纸张,计算机磁盘、光盘或其他电子媒体,或其组合;
(三)程序:为进行某项活动或过程所规定的途径。程序可以形成文件,也可以不形成文件;当程序形成文件时,通常称为书面程序。
(四)风险相关方:与商业银行在风险及其控制方面有利益关系的个人或团体。风险相关方包括风险直接承担者和间接利害关系者,前者如商业银行投资者、顾客或员工,后者如监管机构。
(五)内部控制绩效:根据内部控制政策和目标,在控制风险方面所取得的可测量的结果(绩效测量包括内部控制活动和结果的测量)。
(六)事故:造成损失的非预期事件。
(七)险情:可能造成损失的事件。
(八)违规:未满足规定的要求,既可能是人员违规或疏忽造成的,也可能是其他客观原因导致的。
(九)预防措施:为消除潜在违规或其他潜在不期望情况的原因所采取的措施。
(十)纠正措施:为消除己发现的违规或其他不期望情况的原因所采取的措施。
(十一)审核:确定活动及其结果是否符合计划的安排,以及计划安排是否实施并适合于达到内部控制政策和目标的系统检查。
第六十九条 本办法适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、外资商业银行、城市商业银行、农村商业银行、农村合作银行和邮政储蓄机构。对政策性银行、城乡信用社和非银行金融机构的评价可参照本办法执行。
第七十条 没有进行股份制改造的商业银行、农村合作银行和邮政储蓄机构、政策性银行、城乡信用社和非银行金融机构,应由高级管理层负责内部控制体系的建立、维护和改进,并明确相对独立的决策、监督和执行职责和权限。
第七十一条 本办法由中国银行业监督管理委员会负责解释与修订。
第七十二条 本办法自发布之日起施行。
附录一:内部控制评价的常用方法和技术
一、询问法
为掌握评价对象的控制环境、控制程序等方面的状况可以对商业银行的内部控制状况进行询问了解,具体包括调查问卷和现场访谈等。
(一)调查问卷
调查问卷是设计一套问卷,同时对于问卷不能解释清楚的部分在附注中用文字加以说明。对于问卷中的各个问题,评价人员可以根据需要,灵活采用多种方法如询问、观察、抽样验证等做出回答。
(二)现场访谈
现场访谈是指评价人员到现场向内部控制体系的有关各方了解被评价商业银行内部控制体系建立、执行和监督实际情况。现场访谈是收集信息的一个重要手段,应当在条件许可并以适合于被访谈人的方式进行。但评价人员应当考虑:
1、访谈人员应当来自被评价范围内实施活动或任务的适当的层次和职能;
2、访谈应当在被访谈人正常工作时间和(可行时)正常工作地点进行;
3、在访谈前和访谈过程中应当努力使被访谈人放松;
4、应当解释访谈和作记录的原因;
5、访谈可通过请被访谈人描述其工作开始;
6、应当避免提出有倾向性答案的问题(即引导性提问);
7、应当与被访谈人沟通评审访谈的结果;应当感谢被访谈人的参与和合作。
二、书面文档检查。
即评价人员查阅被评价机构的政策和规章制度,如行为守则、业务政策、业务程序、财务会计制度、组织结构图等,审查执行内部控制体系生成的文件,如账本、报表、凭证、记录、合同、报告等,检查其是否存在控制痕迹,以判断内部控制措施是否得到有效执行。
三、观察。
即评价人员在被评价单位的工作现场,或观看操作过程录像,观察有关人员的实际工作情况,以确定其规定的内部控制措施是否得到严格执行,该方法适用于那些不留书面痕迹的内部控制体系,以及测试执行控制的到位程度。
四、流程图法
即利用符号和图形来表示被评价机构组织结构,职责分工,权限,经营业务的性质及种类,各种业务处理规程、各种会计记录等内部控制状况的示意图。可以使评价人员清晰地看出被评价机构内部控制体系如何运行,业务的风险控制点和控制措施,有助于发现各内部控制体系的缺失和审计重点。
五、抽样方法
通过抽取一定有代表性的样本进行调查和测试,根据样本来推断总体状况的一种评价方法。
六、穿行测试法
即评价人员在每一类交易循环中选择一笔或若干笔业务,从头到尾检查其实际处理过程,以验证所描述的内部控制的客观性和真实性。
七、证据检查法
即评价人员抽查一定数量的凭证、账簿、报表、借据、协议合同等有关资料,以验证各项控制措施在实际操作中是否被真正运用。
八、压力测试法
即测试被评价机构关键业务处理程序和控制措施能够承受的压力程度和在承受相应压力时所发挥的作用。
九、分析性复核
就是通过对被评价机构内部控制体系中的重要情况和趋势的分析,分析研究被评价机构内部控制体系的异常变动和差异。分析性复核主要包括比较分析、因素分析和趋势分析。
比较分析就是针对同一内部控制内容和指标,在不同的时间和空间进行对比,来说明实际情况与参照系的差异。
因素分析是分析影响内部控制体系变化的若干因素,分析研究内部控制的变动原因,从中发现被评价机构内部控制体系的异常变动和差异。
趋势分析就是对连续若干期内部控制体系情况进行比较与分析,如此可以了解内部控制体系变动的幅度和趋势。
附录二:内部控制评价计分方法表
一、内部控制过程评价分值表
| 评价对象
评价内容 | 标准分值 | 业务活动 | 管理活动 | 支持保障 | 备注 | ||||||||||
| 授信业务 | 资金业务 | 存款和柜台业务 | 主要中间业务 | … | 计划财务 | 会计管理 | … | 计算机系统 | 产品开发 | 安全保卫 | … | ||||
| 标准分值 | |||||||||||||||
| 一、内部控制环境 | 100 | ||||||||||||||
| 公司治理 | 三会一层责任 | 10 | |||||||||||||
| 高级管理层责任 | 10 | ||||||||||||||
| 2、组织结构 | 20 | ||||||||||||||
| 3、内部控制政策 | 20 | ||||||||||||||
| 4、内部控制目标 | 20 | ||||||||||||||
| 5、企业文化 | 10 | ||||||||||||||
| 6、人力资源 | 10 | ||||||||||||||
| 二、风险识别与评估 | 100 | ||||||||||||||
| 1、风险识别与评估 | 50 | ||||||||||||||
| 2、法律法规、监管要求和其他要求 | 20 | ||||||||||||||
| 3、内部控制措施策划 | 30 | ||||||||||||||
| 三、内部控制措施 | 100 | ||||||||||||||
| 1、运行控制 | 60 | ||||||||||||||
| 2、计算机系统环境下的控制 | 20 | ||||||||||||||
| 3、应急准备和响应 | 20 | ||||||||||||||
| 四、监督评价与纠正 | 100 | ||||||||||||||
| 1.内部控制绩效监测 | 30 | ||||||||||||||
| 2.事故、险情、违规和纠正预防措施 | 20 | ||||||||||||||
| 3.内部控制体系评价 | 20 | ||||||||||||||
| 4.管理评审 | 20 | ||||||||||||||
| 5.持续改进 | 10 | ||||||||||||||
| 五、信息交流与沟通 | 100 | ||||||||||||||
| 1.形成文件要求 | 25 | ||||||||||||||
| 2.文件控制 | 25 | ||||||||||||||
| 3.记录控制 | 25 | ||||||||||||||
| 4.信息交流与反馈 | 25 | ||||||||||||||
二、结果评价指标及分值表
| 评价指标 | 控制比例 | 实际情况
(A银行) | 标准分值 | 实际得分 | 备注 | |
| 法人 | 分支机构 | |||||
| 一、资本利润率 | ≥13% | 8% | 50 | - | 30 | |
| 二、资产利润率 | ≥0.6% | 0.4% | 50 | 50 | 30 | |
| 三、收入成本比 | ≤35% | 50% | 50 | 50 | 20 | |
| 四、大额风险集中度指标 | - | - | 50 | - | ||
| (一)单一客户授信余额比例 | ≤10% | 2家 | 20 | - | 16 | |
| (二)十大客户授信余额比例 | ≤30% | 35% | 10 | - | 7.5 | |
| (三)集团客户授信余额比例 | ≤15% | 1家 | 20 | - | 18 | |
| 五、关联方交易指标 | - | - | 50 | - | ||
| (一)单个关联方授信余额比例 | ≤10% | 1家 | 20 | - | 18 | |
| (二)单个关联法人或其他组织所在集团客户的授信余额比例 | ≤15% | 1家 | 20 | - | 18 | |
| (三)全部关联方授信余额比例 | ≤50% | 20% | 10 | - | 10 | |
| 六、资产质量指标 | - | - | 50 | 50 | ||
| (一)新发生不良贷款率 | ≤0.1% | 0.2% | 20 | 20 | 15 | |
| (二)不良贷款衡量指标 | - | - | 30 | 30 | ||
| 1、不良贷款率 | ≤3% | 10% | 15 | 15 | 8 | |
| 2、不良贷款额降低率 | ≥10% | 12% | 15 | 15 | 15 | |
| 七、不良贷款拨备覆盖率 | ≥80% | 70% | 50 | 50 | 40 | |
| 八、资本充足指标 | - | - | 50 | - | ||
| (一)资本充足率 | ≥8% | 5% | 25 | - | 10 | |
| (二)核心资本充足率 | ≥4% | 2% | 25 | - | 5 | |
| 九、流动性指标 | - | - | 50 | 20 | ||
| (一)准备金比例 | ≥10% | 12% | 20 | 20 | 20 | |
| (二)存贷比 | ≤75% | 70% | 10 | - | 10 | |
| (三)中长期贷款比例指标 | ≤120% | 90% | 10 | - | 10 | |
| (四)资产流动性指标 | ≥25% | 40% | 10 | - | 10 | |
| 十、案件损失指标 | - | - | 50 | 50 | ||
| (一)案件损失率 | ≤0.1‰ | 1‰ | 25 | 25 | 0 | |
| (二)发案率 | ≤1% | 1.5% | 25 | 25 | 15 | |
| 合 计 | - | - | 500 | 270 | 325.5 | |
分支机构总分计算方法:
方案一:分支机构总分=分支机构实际得分×500/270
方案二:将分支机构资产利润率得分放大为100分,资产质量指标得分放大为200分,流动性指标得分放大为50分。
说明:
1、资本利润率:该指标最高得分50分,大于等于13%得满分,每减少1个百分点减少4分。假定A银行资本利润率为8%,则该项指标得30分。
2、资产利润率:该指标最高得分50分,大于等于0.6%得满分,每减少0.1个百分点减少10分。假定A银行资产利润率为0.4%,则该项指标得30分。
3、收入成本比:该指标最高得分50分,小于等于35%得满分,每增加1个百分点减少2分。假定A银行收入成本比为50%,则该项指标得20分。
4、大额风险集中度指标
(1)单一客户授信余额比例:该指标最高得分20分,未超控制比例客户该项指标得满分,每增加一个超控制比例客户减2分。假定A银行有2家客户的授信余额分别超出该银行资本净额的10%,则该项指标得16分。
(2)十大客户授信余额比例:该指标最高得分10分,小于等于30%得满分,每超过1个百分点减0.5分。假定A银行最大十家客户的授信余额占该银行资本净额的35%,则该项指标得7.5分。
(3)集团客户授信余额比例:该指标最高得分20分,未超控制比例客户该项指标得满分,每增加一个超控制比例客户减2分。假定A银行有1家集团客户的授信余额超出该银行资本净额的15%,则该项指标得18分。
5、关联方交易指标
(1)单个关联方授信余额比例:该指标最高得分20分,无超控制比例关联方该项指标得满分,每增加一个关联方减2分。假定A银行对某1家关联方的授信余额超出该银行资本净额的10%,则该项指标得18分
(2)单个关联法人或其他组织所在集团客户的授信余额比例:该指标最高得分20分,无超控制比例关联客户该项指标得满分,每增加一个超控制比例关联方减2分。假定A银行有1家关联法人所在集团的授信余额超出该银行资本净额的15%,则该项指标得18分。
(3)全部关联方授信余额比例:该指标最高得分10分,小于等于50%得满分,每超过1个百分点减2分。假定A银行全部关联方授信余额占该银行资本净额的20%,则该项指标得10分。
6、资产质量指标
评价期新发生不良贷款额
(1)新发生不良贷款率=————————————
评价期新发生贷款总额
该指标最高得分20分,新发生不良贷款率小于等于0.1%得满分,每增加0.1个百分点扣5分。假定A银行评价期内新发生不良贷款率为0.2%,则该项指标得15分。
(2)不良贷款衡量指标
①不良贷款率:该指标最高得分15分,不良贷款率低于等于3%的得满分,每高1个百分点减1分。假定A银行不良贷款率为10%,则该项指标得8分。
②不良贷款额降低率:该指标最高得分15分,不良贷款率低于3%(含)的商业银行得满分,评价期内不良贷款额降低10%以上的得满分,每少降低1%减1分。假定A银行评价期内不良贷款额降低了12%,则该项指标得15分。
7、不良贷款拨备覆盖率:
一般准备+专项准备+特种准备
拨备覆盖率=————————————————
次级类贷款+可疑类贷款+损失类贷款
该指标最高得分50分,拨备覆盖率高于80%得满分,每少1个百分点减1分。假定A银行不良贷款拨备覆盖率为70%,则该项指标得40分。
8、资本充足指标
(1)资本充足率:该指标最高得分25分,充足率高于等于8%得满分,每少1个百分点减5分。假定A银行资本充足率为5%,则该项指标得10分。
(2)核心资本充足率:该指标最高得分25分,充足率高于等于4%得满分,每少1个百分点减10分。假定A银行核心资本充足率为2%,则该项指标得5分。
9、流动性指标
(1)准备金比例:该指标最高得分20分,高于等于10%得满分,每减少1个百分点减5分。假定A银行准备金比例为12%,则该项指标得20分。
(2)存贷比:该指标最高得分10分,存贷比控制在75%以内得满分,每超出1个百分点扣2分。假定A银行存贷比为70%,则该项指标得10分。
(3)中长期贷款比例指标:
余期一年期以上(不含一年期)中长期
贷款期末余额
中长期贷款比例指标=——————————————————
余期一年期以上(不含一年期)存款
期末余额
该指标最高得分10分,小于等于120%得满分,每超出10%扣1分。假定A银行中长期贷款比例为90%,则该项指标得10分。
(4)资产流动性指标:
流动性资产期末余额
资产流动性指标=———————————
流动性负债期末余额
该指标最高得分10分,大于等于25%得满分,每少1个百分点扣1分。假定A银行资产流动性指标为40%,则该项指标得10分。
10、案件损失指标
(1)案件损失率:指评价期内商业银行违法、违纪案件损失金额与总资产额之比,即
案件损失金额
案件损失率=————————
总资产额
该指标最高得分25分,小于等于0.1‰得满分,每增加0.01‰扣2分。假定A银行案件损失率为1‰,则该项指标得零分。
(2)发案率:
发案个数
发案率=——————
分支机构数
发案个数指评价机构监察(保卫)部门管理的所有内部案件(不论金额大小),分支机构数按被评价机构辖属支行级以上机构统计。该指标最高得分25分,小于等于1%的得满分,每增加0.1个百分点,扣2分。假定A银行发案率为1.5%,则该项指标得15分。
三、过程和结果汇总分值表和计分方法
| 评价对象
评价内容 | 标准
分值 |
实际 得分 | 业务活动 | 管理活动 | 支持保障活动 | |||||||||||
| 法人 | 分支机构 | 授信业务 | 资金业务 | 存款和柜台业务 | 主要中间业务 | … | 计划财务 | 会计管理 | … | 计算机系统 | 产品开发 | 安全保卫 | … | |||
| 总分值 | 总分=过程评价得分*70%+结果评价得分*30% | |||||||||||||||
| 一、过程评价(70%权重) | 500 | 500 | 100 | 100 | 100 | 100 | 100 | 100 | 100 | 100 | 100 | 100 | 100 | 100 | ||
| (一)内部控制环境 | 100 | 100 | ||||||||||||||
| (二)风险识别与评估 | 100 | 100 | ||||||||||||||
| (三)内部控制措施 | 100 | 100 | ||||||||||||||
| (四)监督评价与纠正 | 100 | 100 | ||||||||||||||
| (五)信息交流与沟通 | 100 | 100 | ||||||||||||||
| 实际得分 | 500 | |||||||||||||||
| 二、结果评价(30%权重) | 500 | 270 | ||||||||||||||
| (一)资本利润率 | 50 | |||||||||||||||
| (二)资产利润率 | 50 | 50 | ||||||||||||||
| (三)收入成本比 | 50 | 50 | ||||||||||||||
| (四)大额风险集中度指标 | 50 | |||||||||||||||
| (五)关联方交易指标 | 50 | |||||||||||||||
| (六)资产质量指标 | 50 | 50 | ||||||||||||||
| (七) 不良贷款拨备覆盖率 | 50 | 50 | ||||||||||||||
| (八) 资本充足指标 | 50 | |||||||||||||||
| (九) 流动性指标 | 50 | 20 | ||||||||||||||
| (十)案件损失指标 | 50 | 50 | ||||||||||||||
四、内部控制评价步骤和计分方法说明
第一步:确定要评价的具体对象,包括各类业务活动、管理活动和支持保障活动(见附录二中的表)。此处以授信业务为例说明。
第二步:根据授信业务活动的特点,根据内部控制体系五大过程的要求,结合第八条的四个层次,形成系统的评价问题,其中对不适用的过程要素标注“不适用”。在评价过程中,对不同评价问题可采用不同的评价方法,如询问、查阅书面材料、抽样、穿行测试等(对授信业务的过程评价示例详见附录三)。
第三步:根据办法第四十八条确定每项评价问题的计分标准。
第四步:根据现场评价情况,得到符合、违规、险情、事故四种评价结果,依据第四十八条和第五十条的规定确定各评价内容的实际得分,计入附表。
第五步:确定具体评价对象的得分。由于存在不适用项目,应将上边计算获得的分值转化成标准分。对于授信业务的全部评分也应转化为标准分,假定五大过程要素在转化为标准分后的实际总分为300分,适用项目实际得到的总分为395分,则最后得分为300/395×100%=76分(计算公式和原则见第四十九条)。
第六步:确定过程评价得分。完成对各具体对象的评价后,综合各具体对象所涉及的评价结果,对内部控制体系做出综合评价。综合评价的得分可以依据各具体对象评价的加总后调整,可以将所有适用的内部控制政策实际得分加总,最后除以适用对象在这个要素上的总分,即可得出这个要素的标准分值。例如,对授信业务的“内部控制政策”进行综合评分,假定有10项评价问题(见附件三),10项评价问题设定总分200分,实际得分160分,则授信业务内控政策的总得分为160/10=16分。
附录三:过程评价问题要点
一、内部控制环境
(一)商业银行公司治理
1、是否建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构?是否实行了决策权与经营权的分离?
2、董事会是否设立了风险管理委员会、人事和薪酬委员会、审计委员会、关联交易控制委员会和其他专门委员会?
3、监事会是否设立了提名委员会、审计委员会和其他专门委员会?
4、董事会是否定期或不定期召开股东大会年会和临时会议,向全体股东汇报?股东大会是否实行律师见证制度?董事会是否制定内容完备的股东大会议事规则并由股东大会审议通过,包括通知、文件准备、召开方式、表决形式、会议记录及其签署、关联股东的回避制度等?
5、董事会是否建立了议事规则和决策程序?董事会是否定期(每季一次)或不定期召开例会和临时会议?是否制定内容完备的议事规则,包括通知、文件准备、召开方式、表决形式、会议记录及其签署、董事会的授权规则等?
6、监事会是否建立了议事规则和决策程序?是否定期(每季一次)或不定期召开例会和临时会议?是否制定内容完备的议事规则,包括通知、文件准备、召开方式、表决形式、会议记录及其签署等?
7、是否建立了独立董事和外部监事制度并设立了2名(含)以上独立董事和2名(含)以上外部监事?
8、董事会审计委员会负责人是否由独立董事担任?是否要求银行报送内部审计报告并进行审核?独立董事是否对董事会讨论的有关商业银行内部控制事项发表客观、公正的独立意见?是否对董事会决议中违反法律、法规或商业银行章程的条款提出反对意见?
9、监事会审计委员会负责人是否由外部监事担任?外部监事是否根据监事会决议组织开展商业银行内部控制相关审计工作?是否及时向外部监管部门报告监督检查中发现的问题?
10、能否确保商业银行根据内部审计、外部审计和外部监管部门改进内部控制的意见和建议实施有效的整改?
(二)董事会、监事会和高级管理层责任
1、董事会是否审批了商业银行整体经营战略和重大政策并定期检查、评价执行情况?
2、董事会是否设定了商业银行可接受的风险程度,并审批管理层所制订的风险防范措施及额度设置?是否确保商业银行充分了解资本充足、风险集中度、关联交易、不良资产管控和处置的有关规定,并指导和监督具体政策、办法的产生和实施?
3、董事会是否及时审查银行内部审计机构和外部监管部门的对银行内部控制评价报告?并督促管理层落实整改措施?
4、监事会是否通过适当的方式对银行内部控制进行监督?
5、监事会是否确保商业银行充分了解资本充足、风险集中度、关联交易、不良资产管控和处置的有关规定,并指导和监督具体政策、办法的产生和实施?
6、监事会是否组织对银行内部控制相关检查?是否对董事会及董事、管理层及高级管理人员履行内部控制职责情况进行检查?
7、监事会是否在发现董事、董事长及高级管理人员有损害商业银行利益的行为时要求其纠正?
8、管理人员是否明确其在内控体系方面的职责?在各项业务和管理活动中是否制定了明确的内部控制政策?
9、定期评审内部控制状况的充分性和有效性?是否及时审查外部监管部门、内部和外部审计部门对内部控制体系的评价报告?是否及时听取了审计部门和外部监管部门有关内部控制体系缺失的建议与意见,并部署采取纠正整改措施?
10、高级管理层是否建立了认定、计量、监督并控制风险的程序,并制定了风险防范措施及额度设置?在中长期发展战略规划中,是否考虑了各种可能的风险?是否定期检查银行经营战略与风险控制的适宜程度?
11、董事会、高级管理层是否能及时了解银行的业务风险和操作业绩?银行内部的信息流动是否通畅(包括信息上报、信息下达及机构内部信息的横向流动)?内部控制政策相关每一项信息是否都传达到每一相关人员?
12、高级管理层是否建立了授权和责任明确、报告关系清晰的组织结构?是否采取措施引导管理人员和全体员工参与到内部控制活动中,以保证内部控制的各项职责得到有效履行?
(三)内控政策
1、是否已建立文件化的政策(包括人力资源政策、财务管理政策、信贷总量和信贷结构政策、流动性风险和市场风险政策、信息交流政策,等等)?
2、政策的内容是否:(1)为制定和评审目标提供框架;(2)与商业银行的宗旨和发展战略相一致;(3)符合适用法律法规和监管要求;(4)指导员工实施风险控制;(5)体现持续改进内控体系。
3、政策是否已为员工所理解?
4、政策是否可以并已向相关方公开,同时寻求互利合作?
5、各级各类政策是否定期评审,需要时更新?
(四)内部控制目标
1、商业银行已建立了哪些内部控制目标?是否形成文件?
2、各个目标是否可测量并分解为指标?是否已展开到相关职能和层次?通过哪些方式传达到相关员工?
3、内控体系的目标是否能确保与法律法规、监管要求和商业银行内部规章相一致并使之满足? 能确保商业银行的发展战略和经营目标的全面实施与实现?确保风险控制的有效性?确保业务记录、财务信息和其他相关信息的及时、真实和完整?
4、在建立和评审内控目标时,是否还考虑了可供选择的技术方案、财务、运作和经营要求、风险相关方的观点等?
5、内控目标是否符合内控政策?如何体现对持续改进的承诺?
(五)组织结构
1、商业银行的组织结构状况如何?包括:部门分工合理性、职责明确程度和报告关系清晰程度。
2、是否考虑职责分离、相互监督制约?
3、涉及资产、负债、财务和重要人事变动的事项如何决定?
4、是否建立关键岗位轮换和强制休假制度?
5、是否建立统一授权体系?
6、是否设立了全行系统垂直管理、具有充分独立性的内部审计部门?
7、内部审计部门是否配备了具有相应资质和能力的审计人员?
8、是否建立了内部审计风险评级体系?每年是否根据审计风险评级结果确定审计频率,以及对机构和业务的审计覆盖率?
9、内部审计部门是否有权获得商业银行的所有经营信息和管理信息?
10、内部审计报告是否及时报董事会或董事会审计委员会?
11、董事会及高级管理层是否采取有效措施保证审计报告中指出的内部控制的缺失得到及时纠正整改?
12、总行内部审计负责人的聘任和解聘是否经董事会或监事会同意?
(六)企业文化
1、商业银行是否培育了健康的企业文化?现有企业文化怎样为内部控制提供适宜的环境?
2、如何创立和完善企业文化的环境使全行员工树立预期要求的企业价值观、企业精神及经营理念?
3、是否把企业核心价值观、内部控制原则、风险知识、风险意识、风险控制、风险防范,以及出现险情或损失的对策等作为对员工的教育内容?
4、是否制定了员工行为准则或类似规范,并传达到员工?
5、员工是否熟悉银行关于职业道德的规范并确知职业道德标准和违例行为界限及后果?
6、员工是否明白其职权范围违规违纪行为的表现形式?
7、是否建立针对员工违规行为的补救和处罚应急机制?
8、管理层对员工违规的行为是否进行严厉的批评和处理?
9、管理人员道德水平是否保持高尚,是否以身作则?
(七)人力资源
1、是否确定与风险和内控有关的人员所必要的能力要求(含满足法律法规要求及监管机构对人员资质要求)?
2、是否建立及健全激励约束机制、员工绩效考评体系,是否充分体现风险管理和内控体系要求?
3、是否对高管人员及影响风险和内控人员等重要岗位的招聘、聘用、培训、考核、调整、出国、离岗和离行进行控制?
4、是否明确了员工招聘、培训、考核、奖励、处罚、晋升等方面合理的政策和程序?并得到有效执行?
5、是否搜集了员工工作业绩、工作效率及胜任程序等相关信息?
6、是否采取适当的措施来降低更换雇员或雇员缺席所带来的负面影响(交叉培训,工作轮换等)?
7、是否确保员工得到了充分的非技术性能力的培训(包括人际关系、口头表达和文字表达能力,客户服务等)?
8、是否确保每个员工明确所在行及其所在部门的工作目标?
二、风险识别与评估
(一)风险识别与评估
1、是否识别和确定了常规和非常规的业务和管理活动?并识别这些活动上的风险?
2、对新识别的风险是否已考虑到其产生根源、路径及对商业银行的影响范围?是否已考虑并识别了本部门的运作过程和活动中因运用计算机系统而带来的风险?
3、本部门已识别并确定的主要风险有哪些?是否有风险点的清单?是否确定风险点的风险级别及风险可接受程度?
4、是否对风险的后果及发生的可能性等进行了评估?评估的结果是否形成文件?文件中所包含的信息是否充分,包括可作为建立内控体系中各项决策的基础?并为改进内控绩效提供衡量的基准?
5、是否对可接受风险进行定期监测,以确保其持续性?对不可接受的风险是否制定了相应的控制方案?
6、当内外部环境和条件发生变化时,是否对风险进行再识别和再评估?并及时更新风险评估文件及传达到相关人员?再识别和再评估的结果能否确保新的风险及以前未加控制的风险得到识别和控制?
7、在设立新的分支机构或开办新的业务时,是否事先制定有关的政策、制度和程序,是否对潜在的风险进行计量和评估,并提出风险防范措施?
8、能否及时发现由于员工的思想道德及业务素质问题所产生的风险,并重视对员工的法制教育和职业道德教育?
(二)法律法规、监管要求和其他要求
1、是否已建立了相应的程序,以确保商业银行能及时识别和获取适用的法律法规、监管要求和其他要求?包括明确信息获取的渠道、职责等。
2、是否成立了专门的部门负责及时更新法律法规、监管要求和其他要求的信息,并将这些信息传达给相关员工和其他风险相关方?
3、是否在已制定的商业银行规章体系中充分体现应遵循的所有法律法规要求?
4、是否采取有效措施管理全行反洗钱工作?
(三)内部控制措施策划
1、是否为实现内控目标制定了内控方案?内控方案如何运用风险识别与评估结果的信息?确定了哪些控制要点和控制措施?
2、内控方案是否包括了各项任务的职责权限和相应的控制策略、方法、资源和时限要求?并形成了文件?
3、内控方案是否考虑了由方案自身带来新的风险?方案是否涉及到业务流程、管理活动等重大变化?
三、内部控制措施
(一)运行控制
1、董事会与高级管理层是否及时检查商业银行在实现内部控制目标方面的进展?高级管理层是否根据检查情况提出内部控制缺失,督促职能管理部门改进?
2、各级职能管理部门是否审查收到的经营管理情况和特别情况专项报表或报告?是否提出问题,要求采取纠正整改措施?
3、对实物控制是否实行实物限制、双重保管和定期盘存?
4、是否审查遵循风险限制方面的合规性,并在不合规的情况下继续跟踪检查?
5、是否根据若干限制条件对各项业务、管理活动进行审批与授权,明确各级管理责任?
6、是否验证各项业务、管理活动,以及所采用的风险管理模型结果,并定期核实相关情况?是否及时将发现的问题向职能管理部门报告?
7、是否实行不兼容岗位的适当分离?
8、是否针对已识别的风险和需采取的控制措施,确定其运作过程和活动?
9、对已确定的过程和活动如何实施控制?
10、对缺乏程序可能导致偏离内控政策和目标运行的情况,建立并保持了哪些程序文件,在程序中是否规定了操作方法和标准?
11、在实施和运行中按照程序规定如何实施持续记录和监督检查?
12、运用计算机系统采取了哪些内控措施?
13、对购置和使用的设施、设备、系统和服务中已识别的风险是否建立并保持控制程序实施有效控制,并以什么方式将有关程序和要求通报供方,使其符合控制要求?
14、为从根本上消除或降低风险,针对产品和业务、运行程序和工作组织设计及对人员适任能力要求建立了哪些控制程序?
15、是否建立有效的核对、监控制度?对重要业务是否实行双签制度及监控授权、授信执行情况?
16、是否建立完整的会计、统计和业务档案?
(二)计算机系统环境下的控制
1、是否建立信息安全管理体系?
2、是否对计算机信息系统从立项、开发、验收、运行和维护实施全过程管理?如:项目立项时技术部门是否与业务部门进行了充分论证和良好沟通;程序开发环境是否与程序生产环境严格分离;计算机软件和网络系统从开发环境转入生产环境之前是否进行充分的压力测试?
3、对外购计算机软、硬件设备是否严格审查供应商的资格和资信状况?是否明确其产品在使用期间应当承担的使用、维护和其他责任,在使用前是否严格进行安全性测试确保产品正常使用和有效维护?
4、计算机房建设是否符合国家有关标准?是否加强计算机房管理,出入按规定审批并保留记录,确保硬件、各种存贮介质的安全?
5、是否建立和健全网络管理系统,有效地管理网络的安全、故障、性能、配置等,并对接入国际互联网实施有效的安全管理?
6、采取哪些措施确保计算机信息系统的安全(如更新系统、认证、加密、内容过滤、入侵监测、安全设置、防止病毒、黑客攻击、软件补丁程序等以确保计算机信息系统安全)?有关程序和要求是否及时更新?
7、网络设备操作系统、数据库系统、应用程序是否设置必要日志,满足内外审计需要?
8、对各类数据信息、数据操作、数据备份介质的存放、转移、销毁是否有严格的管理制度?
9、计算机处理业务如何确保可复核性和可追溯性?应用程序是否为有关的审计和检查预留接口?
10、电子银行服务是否具备确保识别客户身份,安全认证等功能,保证交易安全,防范操作风险?
11、计算机操作系统的变更是否有明确的规章制度(对内和外包系统),可靠的技术手段,满足合法性、正确性、安全性、可复核性和可追溯性的系统变更控制要求,并对软件版本进行管理?
12、是否建立设备管理系统,对设备验收、入库、配发、维护、变更、损益、报废等环节进行管理?
13、是否建立远程备份?
14、是否提供对电子银行客户的培训、客户服务和相关支持工作?如何与风险控制方案相结合?
15、在制定电子银行业务的准入标准、管理办法和操作规程中如何考虑风险因素及相应措施?
16、如何控制网上银行交易的风险,确保交易安全?
17、系统安全运行中的不安全的因素是否全面分析和控制?对分中心运行如何监视?
18、对计算机系统数据的管理时应:是否建立接入授权程序并对接入后的操作进行安全控制?是否核对输入数据,对数据的修改进行批准并建立日志?
19、计算机系统运行过程中是否配备计算机安全管理人员,明确其职责?是否建立技术部门和业务部门的沟通渠道?
20、如何明确用户的创建、变更、删除、用户口令等控制要求;是否明确员工计算机信息系统的用户名或权限卡的使用要求?
(三)应急准备和响应
1、是否已建立并保持应急预案和程序,已识别可能发生的意外事件或紧急事件?
应急预案是说明特定紧急情况发生时须采取的措施,应包括:
- 识别潜在的事故(风险)和紧急情况;
- 确定紧急情况发生时的负责人;
(3)确定紧急情况发生时各类人员的行动计划,包括发生紧急情况的区域内所有外来人员的行动计划;
(4)确定紧急情况发生时具有特定作用的人员的职责、权限和义务,如柜员、保安、保卫人员等;
(5)明确与外部应急机构的接口;
(6)与执法部门进行交流;
(7)重要记录资料和重要设备的保护;
(8)紧急情况发生时可利用的必要资料,如报警设备和联络电话号码等。
2、在应急计划中是否对外部机构的参与有明确的规定,是否向其提供相关信息和可能遇到的情况,以便其参与?
3、如何规定意外或紧急事件发生时,应采取应急响应的措施?措施是否及时、有效?
4、是否规定并实施对应急的设施、设备和系统定期检查和维护?是否保证充足提供?
5、是否并如何对应急预案定期进行演习和测试?是否按计划进行应急演练?
6、是否制订应急预案?意外事件发生之后是否进行评审?应急准备是否与可能发生的意外或紧急事件的性质(如损失、险情)相适应?
7、近年来,是否发生过意外或紧急事件(如挤兑、信息系统崩溃、火灾、地震等)?如发生过如何按应急预案及时、有效采取相应措施,并确保业务持续?
四、监督评价与纠正
(一)内部控制绩效的监测
是否建立了内部风险控制绩效监测程序?
2、绩效监测的对象有哪些?
3、内控绩效监测的方法有哪些?
4、何时进行内控绩效监测(频次)?
5、监测结果评价的准则是什么?
6、监测结果的信息如何传递和利用?
7、对下一级分行的经营、管理是否进行经常性检查?并及时纠正问题?
8、绩效考评是否包括内部风险控制的绩效?现有考评体系还需要改进吗?
9、如何对全行的经营、内控和风险状况的审计、监督和评价做出安排?审计的频次是怎样决定的?
10、如何对全行审计工作执行有关审计政策、审计准则和规章制度情况进行监管和检查?
11、是否对审计监督中发现的重大问题和事件的处理结果进行跟踪,以防止问题或事件的再次发生?近年来发现的重大问题和事件是否已采取有效措施?
12、如何确保全行的审计部门和审计人员的独立性?
13、高级管理人员离职时是否进行离任审计?
14、如何对审计效果进行评价?
15、如何对高层人员进行监督?是否有监管档案?
(二)损失、险情、违规和纠正与预防措施
1、是否已建立和保持了书面程序文件,规定损失、险情、违规发现、报告、处置、原因分析及纠正和预防措施等内容?
2、发现损失、险情、违规时,是否及时报告,甚至迅速越级报告?
3、如何处置损失、险情、违规事项?从发现到处置的时效如何?
4、针对发现的损失、险情、违规的原因,所采取的措施(纠正或预防措施)是否考虑了问题大小和风险危害程度?必要时,调查实例。
5、纠正或预防措施在付诸实施前,是否作过风险评估?
6、被批准执行的纠正或预防措施是否实施?有记录否?这些措施的效果能防止发生或再发生损失、险情、违规?
7、发生损失、险情和重要违规事项时是否追究相关责任者责任?需要时,调查实例。
8、在内控评价、业务检查、审计中,对发现的问题,如何作责任认定?
9、信访、举报、投诉、控告、处分的程序和记录的管理方式如何?
10、损失或高风险险情出现时,是否作为?有何作为?
(三)内部控制体系审核
1、商业银行是否建立和维持有书面的内部控制体系审核程序?
2、是否规定了内控体系审核的准则、范围、频次、审核的方法和审核组(或人员)、受审核机构的职责和权限?
3、实施内控体系审核的审核人员是否充分考虑独立性?
4、安排审核活动前是否进行过周密策划,形成审核方案(包括日程安排)?
5、审核方案是否考虑了受审核机构风险管理的重要性、风险评估的结果、所进行活动的过程以及以前审核的结果?
6、是否按程序文件实施过审核?如果是,则重点调查:受审核机构的负责人对内控体系审核中发现的问题是否积极地参与消除违规原因,并决定所采取的措施,跟踪检查措施的执行及效果验证。
7、内控体系审核后,其审核结果报告中,是否就内部风险管理(控制)的有效性做出评价?通过审核,可否评估内部控制体系水平的等级?
8、通过内部审核是否针对发现的问题进一步完善了内控制度?
(四)管理评审
1、是否建立和保持了一份就内部风险管理体系适宜性、充分性、有效性,进行评审的程序文件?
2、是否实施过管理评审?
3、如果进行过管理评审,则进一步调查评审输入的信息是否包括:
(1)内控体系评价和监测的结果;
(2)内控方案实施情况的报告(或证据);
(3)事故或险情报告;
(4)重要的外部信息(如国际、国内重要金融损失或风险事件、国家方针、政策的调整等);
(5)损失、险情、不合格及其后的纠正和预防措施;
(6)上一次管理评审时做出决定或措施的执行情况;
(7)任何内控体系的改进(或改善)的建议或意见。
4、如果进行过管理评审,则评估管理评审的输出是否符合要求:
(1)内部风险控制体系有效性的评价及改进决定(或措施);
(2)内控目标达成及内控方案是否要调整或变更;
(3)为使内控体系得以有效运行,在人、财、物、信息等资源方面需要的调整或配置;
(4)对下属行、部门或岗位监控评价的结论。
(五)持续改进
1、就下列信息,调查商业银行是否识别改进的机会,从而持续地自我改进内部风险控制的管理体系:
(1)内控政策执行及内控目标达成的报告;
(2)审计和内控体系评价的结果;
(3)内控绩效监测的结果及其分析;
(4)纠正和预防措施跟踪及效果验证报告;
(5)管理评审输出,特别是管理者做出决定,指令内控体系改进。
2、请介绍持续改进的过程(如何实施改进)。
五、信息交流与反馈
(一)交流与沟通
1、商业银行对风险控制的每一过程的是否规定过交流与沟通的内容及沟通方式?
2、风险的相关方(内、外部)进行信息交流的政策是什么?
3、是否有程序文件规定风险管理相关信息的识别、收集、处理、交流和沟通过程?
4、信息传输的流程如何(输入——处理——输出)?
5、董事会和高级管理层能否获得内部控制状况信息?
6、一旦发生损失、险情时,信息能否及时报告,相关部门可否及时沟通?
7、是否及时向监管机构报告、披露相关信息(必要时向外界披露)?
8、信息沟通记录如何保持?
9、信息保密、安全所需的授权如何?
10、是否建立信息披露制度?
(二)内控体系的文件化要求
1、商业银行是怎样理解内控体系文件化的?
2、商业银行内控体系的文件类别、构成及其关系怎样?
3、下列与内控体系至关重要事项是否都有文件:
(1)用于描述内控体系核心要素和过程及相应关系的手册;
(2)确立的内控政策及目标;
(3)风险内控的重要部门、关键岗位的职责、权限;
(4)风险分析分级以及不可接受风险的防范和控制措施;
(5)风险内控方案、控制程序及作业指导文件。
4、是否就新机构、新业务事先建立政策、制度、程序,以防范风险?
(三)文件控制
1、内控体系所要求的文件有哪些类别?有几种媒体?
2、文件是否经批准才能实现?
3、需要文件指导的部门或岗位是否能得到,或查到?
4、文件的适宜性是否定期评审,需要时修订文件?
5、文件的版本如何识别和控制?
6、废止文件(某页或某份)采取什么措施防止误用?
7、外来文件(如相应法律、法规、外部监管部门的相关规定等)如何控制(识别、分发、使用、废止以及转为内部文件的情况)?
(四)记录控制
1、是否所有决策、业务活动、所有人员都作了记录?以何种介质保存?
2、是否已建立和保持了内控体系相关记录的控制程序文件?
3、该文件是否包括了记录的标识、生成、保管、保护、检索(查找、调用),保存期限及到期处理的方法等?
4、在调查现场观察记录是否清晰,是否便于工作人员查找?
5、会计、统计、业务档案(必要时,调查记录记载事项的溯源性)是否完整?
附录四:商业银行主要业务和管理活动内部控制评价要点提示
一、授信业务
(一)授信管理
1、授信制度和政策是否符合国家法律和外部监管部门的规定?是否制定了信贷战略目标?
2、各级审贷委员会的组成是否符合审贷分离原则?一把手是否出任审贷委员会成员?
3、审贷委员会是否实行集体审议、充分发表意见、多数同意通过的原则?审贷委员会的全部意见是否记录存档?
4、是否设立独立的授信风险管理部门?是否设立独立的法律岗位,统一管理各类授信业务的法律事务,制定法律文本,保证每笔业务的合法性?
5、是否制订了内部授权转授权制度?是否实行逐级有限授权?是否实行统一的法人授权和负责人转授权制度?
6、授信岗位设置是否分工合理、职责明确?授信各部门、各岗位是否都建立岗位责任制?
7、是否制定各类授信业务品种的统一管理办法,明确规定各项业务的条件,包括选项标准、期限、利息和收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容?
8、是否建立客户准入退出机制?是否建立完善的客户信息管理系统,对客户进行分类管理,全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息?对已列入“黑名单”、逃废债等资信不良的企业和个人是否实施授信禁入?
9、是否对同一客户的贷款、贸易融资、票据承兑贴现、透支、保理、担保、贷款承诺、开立信用证等各类表内外授信实行一揽子管理,确定总体授信额度?
10、是否对同一集团客户进行总量控制和统一授信管理?是否对关联交易采取了风险控制措施?
11、是否建立了客户信用评级体系?如有,请表述其风险量化评估的方法。
12、是否建立了资产质量监测制度和报告体系以及信贷风险预警机制?
13、是否建立贷款风险分类制度,规范贷款质量的认定标准和程序,确保贷款质量的真实性?是否制定对重组贷款、借新还旧、展期贷款的制度规定?
14、是否采取有效措施加强对不良贷款的管理,是否建立不良贷款责任认定和清收的激励机制?是否对违法、违规造成的授信风险和呆账损失进行责任认定,并对有关责任人进行处理?
(二)商业贷款
1、是否收集了完整的借款人资料?
2、受理客户贷款申请时是否进行了严格的借款人资格及担保人资格审查,并对借款人是否符合贷款条件作出审查结论?
3、是否对借款人进行信用等级评价?
4、是否实地对借款单位、担保单位进行全面调查,并进行详细具体的综合分析?
5、是否对保证人资信状况和抵押物、质押物进行全面调查,对其合法性、有效性和充分性进行分析?
6、是否对客户进行授信量分析?
7、是否撰写客户评价报告,并经审查部门核实?
8、是否签订了规范的借款合同和贷款担保合同?
9、是否落实、办理了保证、抵押、质押等有关手续?
10、是否存在不按贷款程序发放贷款或违背客观情况的项目?
11、是否进行信贷登记?
12、贷款投向是否符合相关规定和国家产业政策?
13、贷款利率、期限和方式是否符合规定?
14、是否定期对借款人执行合同情况及经营状况跟踪调查和贷后检查?
15、对次级以下贷款每季发书面催收通知,落实专人管理催收,定期走访次级以下贷款的借款和担保单位?
16、是否按规定办理贷款销户手续?
17、是否对不良贷款进行分类、登记、考核、催收?
18、是否采取有效措施加强对不良贷款的管理,是否建立不良贷款责任认定和清收的激励机制?
19、是否有完整的贷款质量、信贷比例指标定期报表和有关的分析报告?
(三)消费贷款
1、是否收集了完整的借款人资料?
2、是否严格审查借款人资信条件,是否对风险客户发放贷款?
3、是否对贷款客户进行申请额度审查(如申请额度与抵、质押物额度的匹配度;贷款期限与质押物到期期限的匹配度)?
4、是否超越额度发放贷款?
5、是否严格落实抵、质押物的真实性以及与借款人的所属关系?
6、是否严格审查委托扣款账户的真实性?
7、个人贷款是否进行严格的贷后管理?
8、在借款人发生意外事故或抵质押物情况发生变化时及时保全银行资产?
9、是否建立抵押物保险制度?
(四)贸易融资
1、是否在授权、转授权权限内开展业务?
2、贸易融资是否纳入统一的授信管理额度?
3、企业是否具备基本融资条件?贸易融资的有关材料是否完备?
4、办理信托收据贷款、信用证议付是否按规定提供特定材料?
5、信托收据贷款、打包放款期限确定是否合理?
6、是否审查申请信托授权贷款企业开出信用证的真实贸易背景?
7、提货担保是否在正本单据到达后及时换回提货担保函,办理提货担保是否扣收手续费?
8、远期信用证是否在收到开证行的承兑电文后才办理押汇?
9、收取的保证金是否按规定存入保证金专户?
10、垫款是否纳入不良贷款核算并及时催收?
(五)承兑汇票和贴现
1、是否在规定的权限内签发银行承兑汇票?
2、承兑申请人是否符合条件?
3、承兑汇票和贴现是否纳入统一的授信管理额度?
4、办理承兑的程序、协议和期限是否合规?
5、逾期银行承兑汇票垫款是否及时转入有关科目进行监控?
6、是否存在同一企业通过旧票换新票方式“滚动承兑”,是否有关联交易、伪造汇票、异地担保等异常情况?
7、办理贴现的票据是否符合规定?
8、办理贴现的程序、期限、利率是否符合规定?
9、是否对汇票所附合同、增值税发票、交易背景的真实性进行核对?
10、开具承兑汇票的银行是否有完备的保证金管理办法,并遵照执行?
(六)其他业务
对出口押汇、福费廷、买入票据、进口押汇、海外代付等业务是否制定相应的操作规程并遵照执行?
(七)资产保全
1、个人不良贷款如何管理?有什么纠正/预防措施?
2、是否按照规定程序和权限申报、审核和核销贷款损失?
3、是否对已核销贷款继续追讨?
4、是否对抵债资产进行管理?
二、资金业务
1、资金业务组织结构是否体现权限等级和职责分离的原则,建立岗位之间监督制约机制?是否做到前台交易和后台结算分离、自营业务和代理业务分离,业务操作和风险监控分离?
2、是否根据资金交易的风险程度和管理能力,就交易品种、交易金额及止损额等对交易员进行授权?是否根据分支机构经营管理水平,核定各分支机构资金、业务经营权限?
3、是否完善资金、营运内部控制,严格按照授权操作?
4、是否建立资金交易风险评估和控制系统,确保资金业务各项风险指标控制在规定范围内?
5、是否建立资金交易风险和币值的内部报告制度,并进行实时监控?
6、对市场出现大幅度异常波动和可能出现最坏情况是否确定应对措施?对异常资金交易及资金变动的是否建立预警和处理机制?
7、对资金交易员如何实施有效管理,是否建立对资金交易中台和后台部门对前台交易的反映和监督机制?
8、是否建立资金业务风险责任制,明确规定各个部门、岗位的风险责任和相应的处罚措施?
9、如何控制资金转移定价风险?
三、存款和柜面业务
(一)程序和政策
1、是否制订存款与柜台业务政策并定期检讨更新?
2、是否制订存款与柜台业务程序并定期检讨更新?
3、是否及时将总行、分行的规章制度贯彻到部门各业务人员?是否结合本单位实际,制定岗位责任制度与岗位管理措施?
4、业务人员是否了解掌握本部门、本岗位的业务管理制度与操作规程?
5、是否直接或变相抬高利率吸收存款?
(二)账户管理
1、是否建立账户管理规定,明确存款账户的开立、变更和撤消条件,制订账户存入、支取和结算的操作程序?
2、开销户及变更是否遵守双人经办并竟主管会计签字制度,建立开销户登记簿并及时登记,是否按规定使用账户,账户查询、冻结、划扣是否符合规定?
3、是否建立管理预留签章和存款支付凭证,新账户的启用是否经授权人批准,是否对存款账户实施有效管理的制度,并监督检查?
4、是否建立对大额存单签发、大额存款支取实行分级授权和双签制度?是否对每日营业终了账户实施有效监督管理?
5、是否对休眠账户、户主死亡的账户、存折丢失的账户、用以抵押担保贷款的账户、法院传令要求冻结的账户进行特别控制?
6、是否制定账户档案保管程序,并遵守执行?
7、是否按“了解你的客户”的原则审查客户资金来源真实性和合法性?
8、如何管理客户账户、客户印鉴、客户签字?如何监督下级行对压数机、密押器、点钞机的使用和管理?
9、外汇账户的开立是否要件齐全,并经外管局审批;资本金账户或结算账户余额是否不超过外汇登记证核定限额;资本金账户的撤消有外管局的核准件,余额结汇?
(三)重要空白凭证管理
1、是否建立“印、押、证”三分管制度?对柜台业务是否建立复核制度?
2、是否建立对现金、贵金属、重要空白凭证和有价单证实行严格核算和管理的制度?
3、重要空白凭证是否按规定定期盘点?是否账实相符?
4、重要空白凭证的领取、使用是否记录完备?是否做到证印分管、证押分管;是否有跳号使用现象?
5、重要空白凭证的领取、销毁、上缴是否执行规定的程序严格登记?
(四)内部往来管理
1、是否建立和执行内部往来定期勾对制度,往来账务是否相符?
2、往来报单的签发、接收记账是否严格执行相应管理制度?
3、通存通兑是否严格按规定办理?
(五)银行卡业务
1、是否对借记卡、贷记卡建立和健全管理机制?
2、如何确保定期与贷记卡持卡人对账?如何有效防范恶意透支等风险?
3、是否建立对申请人和担保人的资信调查、发卡审批制度,并严格执行。是否建立了客户使用评价标准和方法?如何对申请人进行严格审查?是否确定客户的使用等级并按授权进行审批?
4、是否严格执行信用卡授权管理。如:授权权限、授权密码、授权记录管理是否合规?
5、空白卡、成品卡、废卡管理是否严格按规定执行?
6、是否严格执行风险管理制度,透支是否实行限额管理;是否建立授权止付、债务追讨制度,如何对贷记卡持卡人的逾期还款进行监控?如何确保业务处理系统具有实时监督、超额控制和异常交易止付等功能?
7、是否每日接收黑名单并及时送达网点及商户;是否建立风险预警机制;是否及时向新透支户发送通知书?
8、信用卡挂失、止付手续是否合规?
9、实施应急措施:存款不成功时,是否将持卡人的存款收存,并开给持卡人“储蓄存款收据”;营业柜台受理大额异地存取款是否进行余额查询并核对?
10、商户管理是否规范:是否建立商户档案,是否定期培训商户?
(六)现金管理
1、是否配备了负责现金出纳业务的专职(兼职)管理人员,岗位设置是否坚持了不相容岗位分离的原则?
2、如何开展本外币反假防假的管理工作?
3、营业机构向金库请领、上解现金是否经授权人批准?
4、金库向人行(上级行)请领、上解现金是否经行长(或行长授权的部门)批准?
5、金库是否设置各种登记簿,并真实、准确、完整、及时记载?
6、发生出纳错款事故是否按制度规定及时上报,认真查找,分析性质、准确处理?
7、是否能够严格管理计算机出纳核算系统,作好系统口令和有关资料的保管、保密工作?
8、金库主钥匙使用中是否做到:登记完备、双线配备、固定替补、单纯交接、严禁交叉?是否杜绝代管、代开、代收现象?
9、金库与营业机构的库存现金是否保持在规定的限额之内?
10、金库内保管的现金、有价证券是否保持在规定的限额之内?
11、是否严格禁止非当班金库工作人员进入金库,接受本行、上级和公安部门对金库的检查是否办理严格的手续?
12、是否坚持当日对账,核对库存现金,做到账款相符?
13、是否已识别金库设立、金库建筑及金库管理的有关风险?
14、库款的出库、入库,备用金的领用和交存,收取现金的抵付和移交整点等,是否有严密手续?
(七)对下辖机构管理
1、经营机构和业务活动是否经过批准,符合规定?
2、是否配备专职、足额的储蓄事后监督人员?
3、事后监督自身核算是否健全、账表簿设置是否齐全?
(八)操作系统
1、是否制订了操作系统的管理制度?
2、是否对无关人员进入操作系统和操作室有专门措施?
3、操作人员反映的系统缺失或系统故障是否在系统维护中得到及时解决?
4、系统中数据的修改是否经过批准并记录于日志,每日营业数据是否及时备份?
5、操作人员的口令是否定期更换?
四、主要中间业务
(一)政策和程序
1、是否制订各类中间业务政策并定期检讨更新?
2、是否制订各类中间业务程序并定期检讨更新?
3、是否及时将总行、分行的规章制度贯彻到部门各业务人员?是否结合本单位实际,制定岗位责任制度与岗位管理措施?
4、是否结合本单位实际,制定岗位责任制度与岗位管理措施?
5、业务人员是否了解掌握本部门、本岗位的业务管理制度与操作规程?
(二)支付结算类
1、本外币结算是否执行规定的收费标准?
2、是否将收入及时入账?
3、业务收费是否真实、合理?
4、是否建立健全的业务档案?
(三)代理类(代客理财类)
1、是否建立代理业务的制度?
2、是否严格执行发行和代理发行银行债、国债业务管理规定?
3、凭证式国债收款凭证领取数量、号码与入库数量、号码是否相符?
4、购买国债交款但与对应签开的国债收据份数、金额是否相符?
5、已兑付的实物券是否按规定及时入库、上缴以及按规定核算?
6、是否超规模发行国债?
7、是否签订代理合同?
8、是否按收费标准定价?
9、减免收费是否经过批准?
10、收入是否及时入账?是否利用减免收费将收入账外处理?
11、归集的重点委托住房金融资金,如何对发放、使用控制?
12、同业代理行是否会伴随连带风险或出现风险转移?如何防范?
13、是否严格履行基金托管人职责,确保基金资产安全?
14、对托管客户的资信分析、风险评级和风险控制的现行方法如何?
(四)担保类
1、是否存在超授权对外办理担保业务?
2、担保条款内容是否由法规部门审定,担保文本是否经上级行备案?
3、是否建立保证业务台账,全面及时登记?
4、所有担保业务是否按规定落实保证金或其他担保措施?
5、是否按担保协议比例收取保证金?
6、担保发生垫款时,是否及时转入有关科目核算并特别管理?
7、保函有效期过后,是否收回注销或由申请人提交注销保函的公函?
8、申请办理履约保函是否提供项目批准文件、是否报外管局备案?
9、开立跟单信用证是否审核以下内容:
(1)贸易背景是否真实,信用证是否要求提供运输单据(对未要求提供运输单据的信用证,是否对客户的资信和贸易背景进行核查)?
(2)申请人是否在外管局的对外付汇名录?
(3)运输单据到货港是否在中国境内(不含香港、澳门),外管局备案的转口贸易除外?
(4)开证申请人正反面是否都加盖申请人公章?
10、减免保证金是否经授权审批,是否落实审批意见?
(1)保证金账户是否专户管理?
(2)是否有挪用保证金情况,保证金账户总额是否与档案记录相符 ?
- 非授信企业远期信用证保证金是否低于规定?
(4)非授信企业远期信用证减免保证金部分是否落实抵押或保证?
11、开证提供的材料是否齐全,涉及信用证增额及延长转船期和有效期的信用证修改是否提供外管局进口付汇备案表?
12、进口跟单信用证单到后是否将银行面函的单据份数与所附单据核对,并做签收及保留快递详情单?
13、进口跟单信用证单到后有不符点,银行是否保留全套原始单据,并在规定的工作日内提示不符点?
14、进口跟单信用证单到后是否待客户将盖章确认的付款委托书交银行后再提交正本单据?
15、对备用信用证的管理是否有相应的规章制度?
(五)咨询类
1、是否有健全的咨询、评估业务记录档案?
2、咨询费、评估费收入是否符合上级行规定的标准,及时入账?
3、减免咨询费、评估费是否经严格的审批手续?
4、咨询和评估业务费用支出是否合理,是否列支其他费用?
5、咨询和评估人员是否具备咨询资质,结果是否真实合理?
五、国际业务
1、是否建立结汇、售汇和批汇的制度?
2、在全行外汇业务综合管理中及国际结算、贸易融资等外汇业务产品管理中存在哪些风险点,是否有效防范?
3、管理外资金融机构间代理行关系和账户行关系中存在哪些风险点,是否有效控制?
4、通过对外资金融机构客户的资信分析、风险评级及对国家风险评价拟定客户额度授信方案中存在哪些风险点,是否有效控制?
5、是否按规定对全行国家外汇管理政策实施有效管理?
6、是否对全行外汇业务有权签字人签字样本制作、使用中存在潜在风险实施有效控制?
7、是否对海外代表处工作实施有效监控和考核?
六、会计管理
(一)政策和程序
1、是否建立会计、储蓄事后监督制度?
2、对营业机构是否执行重要岗位的请假、轮岗制度进行监督?
3、是否确定并实施本行的会计规范和管理制度,并确保会计工作独立性?
4、会计岗位设置是否贯彻“责任分离、相互制约”原则对会计账户处理实施全过程监督做到“六相符”?
5、如何实行全行会计工作的统一管理?如何确保会计信息(包括全行系统财务会计报表)的真实、完整和合法?
6、如何检查会计规范和管理制度的执行情况?现有制度是否能有效防止发生设置账外账、乱用会计科目、编制和报送虚假会计信息等问题?
7、会计部门是否能够准确、及时地对下级机构会计工作进行管理、指导?
8、是否明确会计部门、会计人员的权限?超越权限时的授权方式是什么?
9、如何对会计主管、会计负责人实行资格管理?会计人员是否具备必要上岗资格?
10、是否建立和实施会计差错责任人追究制度?是否与风险等级相联系?
11、如何进行会计档案管理?是否对资料的交接、整理、借阅、保管、销毁等环节做出规定,并遵照执行?
12、是否按重要岗位分离原则配备足够的会计人员?
13、重要会计岗位人员是否进行定期或不定期轮换?
14、会计人员离岗是否进行交接手续和监交程序?
(二)岗位制约
1、是否有严格的安全监控系统;各级柜员是否实施严格的分级授权?
2、是否严格执行双人经办制度:双人临柜;钱账分离;双人验印;双人对账。是否严格执行岗位分离制度:印、压(押)证三分管;库房钥匙分管;会计岗和事后稽核岗分离;会计前台和后台业务人员分离;记账岗与实物岗分离;系统管理岗与操作员分离?
(三)特别事项授权
1、是否执行重要会计业务授权:错账冲正授权;账务调整授权;大额支付授权;自制、补制凭证授权;查询、查复业务授权;挂账及临时过渡业务核算授权;特别转存授权;班外业务授权;拒绝付款业务授权?
2、是否执行会计电算化操作授权:操作人员按照权限级别进入系统和功能模块,操作人员不能越权掌握不相容岗位口令?
(四)对账制度
1、会计部门是否组织实施对账,业务部门是否配合会计部门进行账务核对,相互之间职责明确?
2、账务核对程序是否符合规定,是否在规定时间核对账务,对账频率是否符合规定?
3、银行汇票卡与汇出汇款登记簿、汇出汇款账、银行承兑汇票底卡是否与表外银行承兑汇票账、单位定期存款证实书底卡是否与单位定期存款每天核对并登记备案?
4、应收、应付挂账款是否逐月对账,并在年底彻底清理并编制分户余额表,并对跨年度挂账作出逐笔说明?
5、表外科目是否在每月末与表内有关科目、实物、登记簿进行核对?
6、对“重要空白凭证”“有价单证”是否定期核对?
7、外汇会计业务对账是否做到?
(1)随单核对存放国外同业账(查看报单与明细账的余额是否相符) ;
(2)随单核对存放国内同业账;
(3)每天核对本币外汇买卖科目与外币结售汇科目的余额相符。
8、系统内往来业务对账:系统内往来的业务核对包括往来双方的发生额和余额的核对,发生额必须逐笔勾对,对账中的各种查询、查复要有书面记录;计算机对账和人工对账符合有关规定。
(五)重要物品管理
重要物品(重要物品:会计印章、密押器、压书机、重要单证、密码口令及有关操作手册)领取和交回是否执行严格的审批和登记?
七、产品开发
1、是否建立产品开发控制程序?
2、现行的产品开发过程的风险控制是如何实施的?
八、计划与财务
1、是否制订全行业务经营计划?
2、是否制定财务预算?
3、财务审批是否符合授权要求?
4、如何管理固定资产?
5、如何进行固定资产的采购?如何规避采购风险?
九、安全保卫
1、是否识别过安保业务范围(物防、人防、技防)的风险,以及所需风险控制措施?
2、涉及金库、现金押运、运钞车辆等安保人员是否委托给外部?如有,如何管理并控制风险?
3、如何控制与其他商业银行合作进行现金押运的过程?
4、如何进行全行安全检查?其后措施如何?
5、现有各项安保设施是否满足需要?
附录五:授信业务内部控制过程评价示例
| 评价内容
(对应办法第10至31条) | 评价要点和评价方法(不限于此) | 评价结果 | 分值 | 计分标准 | 得分 |
| 合计 | |||||
| 内部控制环境 | 100 | ||||
| 第十条 公司治理
商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构,保证各机构规范运作、分权制衡。 (一)完善股东大会、董事会、监事会及下设的议事和决策机构,建立议事规则和决策程序; (二)明确董事和董事会、监事和监事会、高级管理层和高级管理人员在内部控制中的责任; (三)建立独立董事制度,对董事会讨论事项发表客观、公正的独立意见;建立外部监事制度,对董事会、董事、高级管理层及其成员进行监督。
| 本条是对商业银行公司治理的综合评价,不作为单项评价的内容 | ||||
| 第十一条董事会、监事会、高级管理层责任
董事会负责保证商业银行建立并实施充分而有效的内部控制;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律及政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施认定、计量、监督并控制风险;负责审批组织结构;负责保证高级管理层对内部控制制度的充分性与有效性进行监测和评估。 监事会负责监督董事会、高级管理层完善内部控制;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。 高级管理层负责制定内部控制政策,对内部控制的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立认定、计量、监督并控制风险的程序和措施;负责建立和完善内部组织结构,保证内部控制的各项职责得到有效履行。 董事会和高级管理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保与内部控制有关的人力、物力、财力、信息以及技术资源的获得。
| 本条是对商业银行董事会、监事会、高级管理层责任的综合评价,不作为单项评价的内容 | ||||
| 第十二条 内部控制政策
商业银行应在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的方向和原则,并为制定和评审内部控制目标提供指导。内部控制政策应: (一)与商业银行的经营宗旨和发展战略相一致; (二)体现持续改进内部控制的要求; (三)符合现行法律法规和监管要求; (四)体现出侧重控制的风险类型; (五)体现出对不同地区、行业、产品的风险控制要求; (六)传达给适用岗位的员工,指导员工实施风险控制措施; (七)可为风险相关方所获取,并寻求互利合作; (八)定期进行评审,确保其持续的适宜性和有效性。
|
1.授信业务政策是否符合商业银行的经营宗旨和发展战略?(询问并查阅书面资料) 2、信业务政策是否符合法律法规和监管要求?(查阅书面资料) 3、授信业务政策是否体现出侧重控制的风险类型,并体现出对不同地区、行业、产品的风险控制要求?(查阅书面资料) 4、授信业务政策是否传达至授信工作人员并为其所熟悉?(询问和查阅) 5、授信业务政策实际执行情况如何?(抽样,可结合后面的抽样同时进行) 6、是否发挥作用?(抽样,可结合后面的抽样同时进行) 7、授信业务政策是否定期进行评审,并根据经营环境、监管要求等进行调整?(询问并查阅书面资料) | 20
3
3
3
2
3
3
3
| |||
| 第十三条 内部控制目标
商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现对持续改进的要求。 在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素。 内部控制目标应可测量。可行时,目标应予以量化 |
1. 授信业务是否建立内部控制目标? 2. 目标考虑了哪些要求?是否体现了内控政策的要求?(询问并查阅书面资料) 3. 授信内控目标是否分解?如何进行监测和考核?(询问并查阅书面资料) 4. 授信内控目标(如不良资产率等)实现情况如何?(询问并查阅书面资料) 5. 如何通过授信内控目标提高授信工作和资产质量?(询问) | 20
4
4
4
4
4
| |||
| 第十四条 组织结构
商业银行应建立分工合理、职责明确、报告关系清晰的组织结构,明确与风险和内部控制有关的部门、岗位、人员的职责和权限,并形成文件予以传达。 特别应考虑: (一)必要的职责分离,以及横向与纵向相互监督制约关系; (二)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定; (三)建立关键岗位定期或不定期的人员轮换和强制休假制度; (四)建立相应的授权体系,实行统一法人管理和法人授权。 商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门,界定其角色、责任和权限,向高级管理层报告内部控制的绩效。 商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员;应有权获得商业银行的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率,以及对机构和业务的审计覆盖率,定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。
|
1. 是否设立清晰的授信业务组织体系?(询问并查阅书面材料) 2. 是否建立严格的授信风险垂直管理体制,对授信进行统一管理? (询问并查阅书面材料) 3. 是否设立独立的授信风险管理部门,对不同币种、不同客户对象、不同种类的授信进行统一管理,避免信用失控? (询问并查阅书面材料) 4. 授信岗位设置是否做到分工合理、职责明确?岗位之间是否相互配合、相互制约?是否做到审贷分离、业务经办与会计账务处理分离? (询问并查阅书面材料) 5. 是否对授信实行统一的法人授权制度,上级机构是否根据下级机构的风险管理水平、资产质量、所处地区经济环境等因素,合理确定授信审批权限? (询问并查阅书面材料) 6. 是否设立审贷委员会,负责审批权限内的授信?行长是否担任审贷委员会的成员?(查阅书面材料) 7. 审贷委员会审议表决是否遵循集体审议、明确发表意见、多数同意通过的原则?全部意见是否记录存档?是否存在被审贷委员会两次否决的贷款申请在半年内不得又提交审贷委员会审议情况? (查阅书面材料,并进行抽样验证,结合后面的抽样同时进行) 8. 授信业务组织体系的有关规定如授权、职责分离等是否得到遵循?(抽样,结合第二十条的业务抽样) 9. 授信业务组织结构是否适宜并发挥作用?(结合内控目标和实际抽样结果进行评价) | 20
2
2
3
2
3
2
2
2
2
| |||
| 第十五条 企业文化
商业银行应培育健康的企业文化,对企业文化的内涵、组织机制、传播机制、评估机制以及活动机制作出明确的规定,向员工传达遵守法律法规和实施内部控制的重要性,引导员工形成良好的合规意识和较强的风险意识,促进员工职业道德水平的提高,规范员工行为,营造良好的内部控制环境。所有员工都应了解自己在内部控制中的作用,全面参与内部控制体系建设。
|
1. 是否有明确的授信文化? (询问并查阅书面材料) 2. 授信文化是否体现风险控制的理念?(询问并查阅书面材料) 3. 授信文化是如何向员工贯彻?(询问) 4. 授信文化在引导授信人员形成风险意识、规范行为方面是否发挥作用?(询问和观察,评价员工风险意识) | 10
3
3
2
2
| |||
| 第十六条 人力资源
商业银行应完善人力资源政策和程序,确保与风险和内部控制有关人员具备相应的能力和风险意识。 商业银行应规定所有岗位的职责、权限和人员适任条件,明确关键岗位、特殊岗位、不相容岗位及其控制要求。 商业银行应确定与风险和内部控制有关人员的必要的能力要求。应根据其教育水平、工作经验、考核和接受过的培训对能力进行鉴定。尤其应满足监管机构对高级管理人员资质的要求,不满足任职资格的不得担任高级管理职务。 商业银行应制定并保持培训计划,以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审,并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。 商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理等日常人事管理做出详细规定,充分考虑人力资源管理过程中的风险。 |
1. 有关授信人员(尤其是客户经理、授信审批人员)的职责、权限和人员适任条件是否得到明确的书面规定?(询问并查阅书面材料,可结合对人力资源部门的评价进行) 2. 现有授信人员是否能够达到适任要求?若达不到,如何解决?(询问并查阅书面材料,可结合对人力资源部门的评价进行) 3. 对授信人员的培训如何开展?对新业务是否及时进行培训?(询问并查阅书面材料,可结合对人力资源部门的评价进行) 4. 对授信人员如何进行考核、激励?(询问并查阅书面材料,可结合对人力资源部门的评价进行) 5. 是否建立授信人员的尽职要求?是否建立授信工作尽职问责制,明确规定各个授信岗位的职责(询问并查阅书面材料) 6. 上述授信人员有关的政策和程序是否得到遵循?(询问、抽样) 7. 有关的政策和程序是否发挥作用?(根据询问和抽样结果综合判断) | 20
2
3
3
3
3
3
3
| |||
| 风险识别与评估 | 100 | ||||
| 第十七条经营管理活动 风险识别与评估
商业银行应建立和保持书面程序,以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、操作风险、市场风险、国家和转移风险、利率风险、流动性风险、法律风险以及声誉风险等。 商业银行对各类风险进行有效的识别与评估时应充分考虑内部和外部因素,内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。 应识别并确定常规和非常规的业务和管理活动,并识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围,特别应考虑计算机系统的运用可能带来的风险。 风险识别与评估应: (一)依据业务范围、性质和时限主动进行; (二)评估风险的后果、可能性和风险级别; (三)必要时开发和运用风险量化评估的方法和模型。 应依据法律法规、监管要求以及内部控制政策确定风险是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评审,以确保其持续可接受;风险不可接受时,应制定控制方案。 环境和条件发生变化时,应对风险进行再识别和再评估,以确保任何新的和以前未予控制的风险得到识别和控制。
|
1. 是否制订识别、计量、评估、监测和管理授信风险的程序和方法? 2. 是否及时更新风险评估文件及传达到相关人员?有关员工是否理解和熟悉这些程序和方法? 3. 信用风险如何进行识别和评估?是否以风险量化评估的方法和模型为基础,开发和运用统一的客户信用评级体系? 4. 是否将信用评级作为授信客户选择和项目审批的依据,并为客户信用风险识别、监测以及制定差别化的授信政策提供基础? 5. 是否依据风险识别与评估的程序和方法充分识别了授信业务过程中的各类风险? 6. 风险识别和评估的程序和方法是否有效并具有可操作性? 7. 是否对授信业务风险进行持续识别和评估? | 50
8
7
7
7
7
7
7
| |||
| 第十八条 法律法规、监管要求和其他要求识别
商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序,作为风险识别与评估、制订控制目标和控制方案的依据。 商业银行应及时更新法律法规、监管要求和其他要求的信息,并将这些信息传达给相关员工和其他风险相关方。 |
1. 是否对授信有关的法律法规、监管要求和其他要求进行识别和控制?(询问并查阅书面材料) 2. 对授信有关的法律法规、监管要求和其他要求是否传达给授信人员?授信人员是否熟悉?(询问) | 20
10
10
| |||
| 第十九条 内部控制措施策划
商业银行应制定内部控制措施策划方案,以控制所识别的不可接受风险。内部控制措施策划方案应包括以下内容: (一)为实现对风险的控制而规定的相关层次的职责与权限; (二)控制的策略、方法、资源需求和时限要求。 内部控制措施若涉及到组织结构、流程、计算机系统等方面的重大变更,应考虑采取此种措施后可能产生的新风险。 |
1. 是否针对不可接受风险制定控制方案?制订了哪些控制方案? 2. 授信过度集中的风险如何控制? 3. 对集团客户和关联企业授信风险如何控制? | 30
10
10
10
| |||
| 内部控制措施 | |||||
| 第二十条 运行控制
商业银行应确定需要采取控制的业务和管理活动,依据所策划的控制措施或已有的控制程序对这些活动加以控制。 控制措施包括: (一)高层检查。董事会与高级管理层要求下级部门及时报告经营管理情况和特别情况,以检查银行在实现内部控制目标方面的进展。高级管理层根据检查情况提出内部控制缺失,督促职能管理部门改进。 (二)行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告,提出问题,要求采取纠正整改措施。 (三)实物控制。主要的控制措施包括实物限制、双重保管和定期盘存。 (四)遵循风险暴露限制的情况。审查遵循风险限制方面的合规性,在不合规的情况下继续跟踪检查。如遵循对借款人的信用额度限制,减少风险集中程度,有助于分散风险。 (五)审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权,明确各级管理责任。 (六)验证与核实。验证各项业务、管理活动,以及所采用的风险管理模型结果,并定期核实相关情况,及时发现需要修正的问题,向职能管理部门报告。 (七)不兼容岗位的适当分离。实行适当的职责分工,认定潜在的利益冲突并使之最小化。
控制要点包括: (一)对于可能导致偏离内部控制政策、目标的运行情况,应建立并保持书面程序和要求,并在程序中规定操作和控制标准; (二)对于重要活动应实施连续记录和监督检查; (三)在可能的情况下,应考虑运用计算机系统进行控制; (四)对于采购或外包的设施、设备、系统和服务中已识别的风险,应建立并保持控制程序,并将有关程序和要求通报供方,确保他们遵守商业银行相关的控制要求; (五)对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序。 |
1. 是否制订授信业务程序并定期检讨更新?(询问并查阅书面材料) 2. 授信业务程序是否覆盖授信所有业务和全过程并符合法律法规和监管要求?(如《贷款通则》、《商业银行授信工作尽职指引》)(询问并查阅书面材料) 3. 对授信业务中的采购或外包活动(如外聘行业专家、会计师事务所、评估事务所等)是否进行控制? 4. 授信业务的产品开发如何进行控制? 5. 是否严格执行授信业务程序? 6. 授信业务的运行过程是否有效?(结合内控绩效监测结果进行评价) | 60
10
10
10
10
10
10
| |||
| 第二十一条 计算机系统环境下的控制
商业银行应考虑计算机系统环境下的业务运行特征,建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制,确保信息资产的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。 |
1. 是否建立授信管理信息系统,持续监控授信全过程?(询问并查阅书面材料) 2. 是否建立完善的客户管理信息系统,全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息,以对客户进行分类管理,对已列入“黑名单”、有逃废债等行为的资信不良的借款人实施授信禁入?(询问并查阅书面材料) 3. 授信业务有关的信息系统是得到真正运用? 4. 信息系统在授信业务风险控制方面是否发挥作用? | 20
5
5
5
5 |
| ||
| 第二十二条 应急准备与响应
商业银行应建立并保持预案和程序,以识别可能发生的意外事件或紧急情况(包括计算机系统)。意外事件和紧急情况发生时,应及时做出应急响应,以预防或减少可能造成的损失,确保业务持续开展。 商业银行应定期检查、维护应急的设施、设备和系统,确保其处于适用状态。如可行,应定期测试应急预案。 商业银行应评审其应急预案,特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括损失、险情)的性质相适应。 |
1. 是否能够识别授信业务中可能存在导致发生重大损失的紧急情况? 2. 针对可能存在的紧急情况是否制订应急预案? 3. 在发生紧急情况时是否启动应急预案? 4. 是否对应急预案进行定期评审? | 20
5
5
5
5
| |||
| 监督评价与纠正 | 100 | ||||
| 第二十三条 内部控制绩效的监测
商业银行应建立并保持书面程序,通过适宜的监测活动,对内部控制绩效进行持续监测。 书面程序包括: (一)对内部控制目标实现程度的监测; (二)适用的法律、法规及监管要求的遵循程度; (三)对适用的法律法规及监管要求及其他要求的符合情况的主动监测; (四)对损失、险情和其他不良的内部控制绩效的历史证据的被动监测; (五)必要的监测数据和结果的记录,以便于随后的纠正和预防措施分析。 监测活动至少应包括: (一)业务或管理活动专项检查; (二)内部审计; (三)内部控制评价; (四)管理评审。
|
1. 是否建立授信资产质量监测体系,严密监测资产质量的变化?(询问并查阅书面材料) 2. 是否建立贷款风险分类制度,规范贷款质量的认定标准和程序?(询问并查阅书面材料) 3. 是否建立业务部门检查制度、风险管理部门监控制度、审计部门审计监督制度?(询问并查阅书面材料) 4. 是否建立授信尽职调查岗,以对授信业务流程的各项活动进行尽职调查,评价授信工作人员是否勤勉尽责,确定授信工作人员是否免责?(询问并查阅书面材料) 5. 是否按照监测的要求实施监测或尽职调查?(询问并查阅书面材料) | 30
6
6
6
6
6
| |||
| 第二十四条 违规、险情、事故处置和纠正与预防措施
商业银行应对违规、险情、事故的发现、报告、处置和纠正与预防措施做出规定,包括: (一)发现违规、险情、事故并及时报告,必要时,可越级报告; (二)及时处置违规、险情、事故; (三)制定纠正与预防措施,防止违规、险情、事故的发生和再发生,并与问题的大小和风险危害程度相一致; (四)纠正与预防措施在实施之前应进行风险评估; (五)实施并跟踪、验证纠正与预防措施; (六)险情和事故的责任追究。 |
1. 对授信业务各环节出现的问题(违规、险情和事故)是否经过适当程序确认,并责成相关授信工作人员及时进行纠正? 2. 是否对违规造成的授信风险和损失逐笔进行责任认定,并按规定对有关责任人进行处理?
| 20
10
10
|
| ||
| 第二十五条 内部控制体系评价
商业银行应按策划的方案对内部控制体系实施评价,确保内部控制体系的符合性和有效性。 评价程序应包括评价的目的、准则、范围、频率和方法,以及执行评价和结果报告的职责与要求。评价应由与所评价的活动无直接责任的人员进行,评价人员应能够胜任评价工作。 评价方案的制定,应以活动的风险评估结果、业务和管理流程及相关区域的状况和以前的评价结果为依据。评价应覆盖体系范围内的所有活动,被评价区域的管理者应跟踪、参与违规原因的消除,并验证所采取措施的效果。必要时可根据评价结果确定内部控制水平的等级。 应将评价结果的信息提供给管理层参考和决策。 | 1. 在内审中是否对授信业务进行评价? | 20 | |||
| 第二十六条 管理评审
董事会应采取措施保证商业银行定期组织对内部控制状况进行评审,确保体系得到持续、有效的改进。 管理评审的输入应包括以下方面的信息: (一)内部控制体系评价的结果; (二)内部控制政策执行情况和内部控制目标实现情况; (三)对内部控制体系有重要影响的外部信息,如法律、法规的重大变化; (四)组织结构的重大调整; (五)事故和险情以及重大纠正和预防措施的状况; (六)以往管理评审的跟踪情况; (七)内部控制体系改进的建议。 管理评审的输出应包括与以下方面有关的决定和措施: (一)内部控制体系及其过程的改进; (二)内部控制政策、目标的变更; (三)与内部控制有关资源的需求。 |
1. 是否对授信业务的风险和内部控制情况进行评审? 2. 评审的依据是否充分? 3. 评审的结论是否明确? 4. 评审决议是否得到充分贯彻? | 20
5
5
5
5
| |||
| 第二十七条 持续改进
商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审,持续改进内部控制,不断提高其有效性。 | 1. 是否能够提供证据证明授信业务的内部控制进行过改进? | 10 | |||
| 信息交流与反馈 | 100 | ||||
| 第二十八条 交流与沟通
商业银行应建立和保持信息交流与反馈的程序,对财务、管理、业务、重大事件和市场信息等相关信息,明确其识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。 商业银行应识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保: (一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息; (二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策、程序; (三)险情、事故发生时,相关信息能得到及时报告和有效沟通; (四)及时、真实、完整地向监管机构和外界报告、披露相关信息; (五)国内外经济、金融动态信息的取得和处理,并及时把与企业既定经营目标有关的信息提供给各级管理层。 信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。 为保持信息交流沟通可追溯性,必要时,应保持相关信息交流与沟通的记录。
|
1. 是否制订授信风险报告制度?(查阅书面材料) 2. 对重大授信风险是否及时报告?(查阅书面材料) 3. 授信风险的报告制度是否得到遵循?(查阅书面材料)
| 25
9
8
8
| |||
| 第二十九条 内部控制体系对文件的要求
建立和保持文件化体系是实现信息交流与反馈的重要途径。商业银行应建立并保持必要的内部控制体系文件,包括: (一)对内部控制体系核心过程要素及其相互作用的描述; (二)内部控制政策和目标; (三)关键岗位及其职责与权限; (四)不可接受的风险及其预防和控制措施; (五)控制程序、作业指导、方案和其他内部文件。 |
1. 涉及授信业务的内部控制的文件是否充分? 2. 是否存在无章可循情况? | 25
15
10 | |||
| 第三十条 文件控制
商业银行应建立并保持书面程序,以确保内部控制体系所要求的文件满足下列要求: (一)文件和资料易于查询; (二)实施前得到授权人的批准; (三)定期进行评审,必要时予以修订并由授权人员确认其适宜性; (四)所有相关岗位都能得到有效版本; (五)失效时,及时从所有发放处和使用处收回,或采取其他措施防止误用; (六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。 (七)留存的档案性文件和资料应予以适当标识。 | 1. 授信有关的文件是否得到有效控制?(在查阅授信政策、程序等书面材料时验证) | 25 | |||
| 第三十一条 记录控制
商业银行应建立并保持书面程序,以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。 记录应保持清晰、易于识别和检索,以提供符合要求和内部控制有效运行的证据,并可追溯到相关的活动。 |
1. 是否建立授信业务档案管理规定? 2. 授信业务档案管理规定是否符合要求? 3. 是否遵循档案管理规定?(在业务抽样时进行验证即可) | 25
9
8
8
|
|
版权声明及安全提醒:本文转自网络平台银监会,文章仅代表作者观点,不代表「金融文库」立场。相关版权归原作者所有,「金融文库」仅提供免费交流与学习,相关内容与材料请勿用于商业。我们感谢每一位原创作者的辛苦付出与创作,如本转载内容涉及版权及侵权问题,请及时联系我们客服处理(微信号:JRwenku8),谢谢!
