商業(yè)銀行內(nèi)部控制評價試行辦法
商業(yè)銀行內(nèi)部控制評價試行辦法 中國銀行業(yè)監(jiān)督管理委員會令（2004年第9號） 《商業(yè)銀行內(nèi)部控制評價試行辦法》已經(jīng)2004年8月20日中國銀行業(yè)監(jiān)督管理委員會第25次 主席會議通過，現(xiàn)予公布，自2005年2月1日起施行。 主席 劉明康 二○○四年十二月二十五日 商業(yè)銀行內(nèi)部控制評價試行辦法 第一章 總 則 第一條 為規(guī)范和加強對商業(yè)銀行內(nèi)部控制的評價，督促其進一步建立內(nèi)部控制體系，健全內(nèi)部 控制機制，為全面風險管理體系的建立奠定基礎(chǔ)，保證商業(yè)銀行安全穩(wěn)健運行，根據(jù)《中 華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)，制定本辦 法。 第二條 商業(yè)銀行內(nèi)部控制評價是指對商業(yè)銀行內(nèi)部控制體系建設(shè)、實施和運行結(jié)果獨立開展的 調(diào)查、測試、分析和評估等系統(tǒng)性活動。 內(nèi)部控制評價包括過程評價和結(jié)果評價。過程評價是對內(nèi)部控制環(huán)境、風險識別與評估 、內(nèi)部控制措施、監(jiān)督評價與糾正、信息交流與反饋等體系要素的評價。結(jié)果評價是對 內(nèi)部控制主要目標實現(xiàn)程度的評價。 第三條 商業(yè)銀行內(nèi)部控制體系是商業(yè)銀行為實現(xiàn)經(jīng)營管理目標，通過制定并實施系統(tǒng)化的政策 、程序和方案，對風險進行有效識別、評估、控制、監(jiān)測和改進的動態(tài)過程和機制。 第四條 商業(yè)銀行應(yīng)建立并保持系統(tǒng)、透明、文件化的內(nèi)部控制體系，定期或當有關(guān)法律法規(guī)和 其他經(jīng)營環(huán)境發(fā)生重大變化時，對內(nèi)部控制體系進行評審和改進。 第五條 商業(yè)銀行內(nèi)部控制評價由中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）及其派出機構(gòu) 組織實施。 第六條 內(nèi)部控制評價人員應(yīng)接受有關(guān)內(nèi)部控制評價知識和技能的培訓，具備相應(yīng)的資質(zhì)和能力 。 第二章 評價目標和原則 第七條 商業(yè)銀行內(nèi)部控制評價的目標主要包括： （一）促進商業(yè)銀行嚴格遵守國家法律法規(guī)、銀監(jiān)會的監(jiān)管要求和商業(yè)銀行審慎經(jīng)營原 則。 （二）促進商業(yè)銀行提高風險管理水平，保證其發(fā)展戰(zhàn)略和經(jīng)營目標的實現(xiàn)。 （三）促進商業(yè)銀行增強業(yè)務(wù)、財務(wù)和管理信息的真實性、完整性和及時性。 （四）促進商業(yè)銀行各級管理者和員工強化內(nèi)部控制意識，嚴格貫徹落實各項控制措施 ，確保內(nèi)部控制體系得到有效運行。 （五）促進商業(yè)銀行在出現(xiàn)業(yè)務(wù)創(chuàng)新、機構(gòu)重組及新設(shè)等重大變化時，及時有效地評估 和控制可能出現(xiàn)的風險。 第八條 內(nèi)部控制評價應(yīng)從充分性、合規(guī)性、有效性和適宜性等四個方面進行： （一）過程和風險是否已被充分識別。 （二）過程和風險的控制措施是否遵循相關(guān)要求、得到明確規(guī)定并得以實施和保持。 （三）控制措施是否有效。 （四）控制措施是否適宜。 第九條 內(nèi)部控制評價應(yīng)遵循以下原則： （一）全面性原則。評價范圍應(yīng)覆蓋商業(yè)銀行內(nèi)部控制活動的全過程及所有的系統(tǒng)、部 門和崗位。 （二）統(tǒng)一性原則。評價的準則、范圍、程序和方法等應(yīng)保持一致，以確保評價過程的 準確及評價結(jié)果的客觀和可比。 （三）獨立性原則。評價應(yīng)由銀監(jiān)會或受委托評價機構(gòu)獨立進行。 （四）公正性原則。評價應(yīng)以事實為基礎(chǔ)，以法律法規(guī)、監(jiān)管要求為準則，客觀公正， 實事求是。 （五）重要性原則。評價應(yīng)依據(jù)風險和控制的重要性確定重點，關(guān)注重點區(qū)域和重點業(yè) 務(wù)。 （六）及時性原則。評價應(yīng)按照規(guī)定的時間間隔持續(xù)進行，當經(jīng)營管理環(huán)境發(fā)生重大變 化時，應(yīng)及時重新評價。 第三章 評價內(nèi)容 第一節(jié) 內(nèi)部控制環(huán)境 第十條 商業(yè)銀行公司治理。 商業(yè)銀行應(yīng)建立以股東大會、董事會、監(jiān)事會、高級管理層等為主體的公司治理組織架 構(gòu)，保證各機構(gòu)規(guī)范運作，分權(quán)制衡。 （一）完善股東大會、董事會、監(jiān)事會及下設(shè)的議事和決策機構(gòu)，建立議事規(guī)則和決策 程序。 （二）明確董事會和董事、監(jiān)事會和監(jiān)事、高級管理層和高級管理人員在內(nèi)部控制中的 責任。 （三）建立獨立董事制度，對董事會討論事項發(fā)表客觀、公正的意見。 （四）建立外部監(jiān)事制度，對董事會、董事、高級管理層及其成員進行監(jiān)督。 第十一條 董事會、監(jiān)事會和高級管理層責任。 董事會負責保證商業(yè)銀行建立并實施充分而有效的內(nèi)部控制體系；負責審批整體經(jīng)營戰(zhàn) 略和重大政策并定期檢查、評價執(zhí)行情況；負責確保商業(yè)銀行在法律和政策的框架內(nèi)審 慎經(jīng)營，明確設(shè)定可接受的風險程度，確保高級管理層采取必要措施識別、計量、監(jiān)測 并控制風險；負責審批組織機構(gòu)；負責保證高級管理層對內(nèi)部控制體系的充分性與有效 性進行監(jiān)測和評估。 監(jiān)事會負責監(jiān)督董事會、高級管理層完善內(nèi)部控制體系；負責監(jiān)督董事會及董事、高級 管理層及高級管理人員履行內(nèi)部控制職責；負責要求董事、董事長及高級管理人員糾正 其損害商業(yè)銀行利益的行為并監(jiān)督執(zhí)行。 高級管理層負責制定內(nèi)部控制政策，對內(nèi)部控制體系的充分性與有效性進行監(jiān)測和評估 ；負責執(zhí)行董事會決策；負責建立識別、計量、監(jiān)測并控制風險的程序和措施；負責建 立和完善內(nèi)部組織機構(gòu)，保證內(nèi)部控制的各項職責得到有效履行。 董事會和高級管理層還應(yīng)培育良好的內(nèi)部控制文化，提高員工的風險意識和職業(yè)道德素 質(zhì)，建立通暢的內(nèi)外部信息溝通渠道，確保及時獲取與內(nèi)部控制有關(guān)的人力、物力、財 力、信息以及技術(shù)等資源。 第十二條 內(nèi)部控制政策。 商業(yè)銀行應(yīng)在各項業(yè)務(wù)和管理活動中制定明確的內(nèi)部控制政策，規(guī)定內(nèi)部控制的原則和 基本要求，并為制定和評審內(nèi)部控制目標提供指導。內(nèi)部控制政策應(yīng)： （一）與商業(yè)銀行的經(jīng)營宗旨和發(fā)展戰(zhàn)略相一致； （二）體現(xiàn)持續(xù)改進內(nèi)部控制的要求； （三）符合現(xiàn)行法律法規(guī)和監(jiān)管要求； （四）體現(xiàn)出側(cè)重控制的風險類型； （五）體現(xiàn)出對不同地區(qū)、行業(yè)、產(chǎn)品的風險控制要求； （六）傳達給適用崗位的員工，指導員工實施風險控制措施； （七）可為風險相關(guān)方所獲取，并尋求互利合作； （八）定期進行評審，確保其持續(xù)的適宜性和有效性。 第十三條 內(nèi)部控制目標。 商業(yè)銀行應(yīng)在相關(guān)職能和層次上建立并保持內(nèi)部控制目標。內(nèi)部控制目標應(yīng)符合內(nèi)部控 制政策，并體現(xiàn)對持續(xù)改進的要求。 在建立和評審內(nèi)部控制目標時，應(yīng)考慮法律法規(guī)、監(jiān)管要求和其他要求，以及技術(shù)、財 務(wù)、經(jīng)營和風險相關(guān)方等因素，尤其應(yīng)考慮監(jiān)管部門的內(nèi)部控制指標要求。 內(nèi)部控制目標應(yīng)可測量。有條件時，目標應(yīng)用指標予以量化。 第十四條 組織結(jié)構(gòu)。 商業(yè)銀行應(yīng)建立分工合理、職責明確、報告關(guān)系清晰的組織結(jié)構(gòu)，明確所有與風險和內(nèi) 部控制有關(guān)的部門、崗位、人員的職責和權(quán)限，并形成文件予以傳達。特別應(yīng)考慮： （一）建立相應(yīng)的授權(quán)體系，實行統(tǒng)一法人管理和法人授權(quán)。 （二）必要的職責分離，以及橫向與縱向相互監(jiān)督制約關(guān)系。 （三）涉及資產(chǎn)、負債、財務(wù)和人員等重要事項變動均不得由一個人獨自決定。 （四）明確關(guān)鍵崗位、特殊崗位、不相容崗位及其控制要求。 （五）建立關(guān)鍵崗位定期或不定期的人員輪換和強制休假制度。 商業(yè)銀行應(yīng)設(shè)立負有內(nèi)部控制體系建立、實施特殊責任的專門委員會或部門，明確其責 任、權(quán)限和報告路線。 商業(yè)銀行應(yīng)設(shè)立全行系統(tǒng)垂直管理、具有充分獨立性的內(nèi)部審計部門。內(nèi)部審計部門應(yīng) 配備具有相應(yīng)資質(zhì)和能力的審計人員；應(yīng)有權(quán)獲得商業(yè)銀行的所有經(jīng)營、管理信息；應(yīng) 根據(jù)對轄屬機構(gòu)的風險評級結(jié)果確定審計頻率，以及對機構(gòu)和業(yè)務(wù)的審計覆蓋率，定期 或不定期對內(nèi)部控制的健全性和有效性實施檢查、評價；應(yīng)及時向董事會或董事會審計 委員會提交審計報告；董事會及高級管理層應(yīng)保證審計報告中指出的內(nèi)部控制的缺失得 到及時糾正整改；總行內(nèi)部審計負責人的聘任和解聘應(yīng)當經(jīng)董事會或監(jiān)事會同意。 第十五條 企業(yè)文化。 商業(yè)銀行應(yīng)培育健康的企業(yè)文化，對企業(yè)文化的內(nèi)涵及其策劃、滲透、評估與改進做出 明確的規(guī)定。特別應(yīng)向員工傳達遵守法律法規(guī)和實施內(nèi)部控制的重要性，引導員工樹立 合規(guī)意識和風險意識，提高員工職業(yè)道德水準，規(guī)范員工職業(yè)行為。 第十六條 人力資源。 商業(yè)銀行應(yīng)完善人力資源政策和程序，確保與風險和內(nèi)部控制有關(guān)人員具備相應(yīng)的能力 和意識。 商業(yè)銀行應(yīng)明確與風險和內(nèi)部控制有關(guān)人員的適任條件，明確有關(guān)教育、工作經(jīng)歷、培 訓和技能等方面的要求，以確保相關(guān)人員的勝任。 高級管理人員必須滿足監(jiān)管機構(gòu)對高級管理人員資質(zhì)的要求。 商業(yè)銀行應(yīng)制定并保持培訓計劃，以確保高級管理層和全體員工能夠完成其承擔的內(nèi)部 控制方面的任務(wù)和職責。培訓計劃應(yīng)定期評審，并應(yīng)考慮不同層次員工的職責、能力和 文化程度以及所面臨的風險。 商業(yè)銀行應(yīng)對員工引進、退出、選拔、績效考核、薪酬、福利、專業(yè)技術(shù)職務(wù)管理處罰 等日常人事管理做出詳細規(guī)定，并充分考慮人力資源管理過程中的風險。 第二節(jié) 風險識別與評估 第十七條 經(jīng)營管理活動風險識別與評估。 商業(yè)銀行應(yīng)建立和保持書面程序，以持續(xù)對各類風險進行有效的識別與評估。商業(yè)銀行 的主要風險包括信用風險、市場風險（含利率風險）、操作風險、國家和轉(zhuǎn)移風險、流 動性風險、法律風險以及聲譽風險等。 應(yīng)識別并確定常規(guī)和非常規(guī)的業(yè)務(wù)和管理活動，并識別這些活動中的風險（無論是否由 內(nèi)部產(chǎn)生），考慮其類型、來源及其影響范圍，特別應(yīng)考慮計算機系統(tǒng)的運用可能帶來 的風險。 應(yīng)依據(jù)法律法規(guī)、監(jiān)管要求以及內(nèi)部控制政策確定風險是否可接受，以確定是否進一步 采取措施。風險可接受時，應(yīng)監(jiān)測并定期評審，以確保其持續(xù)可接受；風險不可接受時 ，應(yīng)制定控制措施。 商業(yè)銀行對各類風險進行識別與評估時應(yīng)充分考慮內(nèi)部和外部因素。其中，內(nèi)部因素包 括組織結(jié)構(gòu)的復雜程度、銀行業(yè)務(wù)性質(zhì)、機構(gòu)變革以及員工的流動等；外部因素包括經(jīng) 濟形勢的波動、行業(yè)變動趨勢等。 當環(huán)境和條件發(fā)生變化時，應(yīng)及時對風險進行再識別和再評估，以確保任何新的和以前 未曾予以控制的風險得到識別和控制。 風險識別與評估應(yīng)： （一）依據(jù)業(yè)務(wù)范圍、性質(zhì)和時限主動進行。 （二）評估風險的后果、概率和風險級別。 （三）必要時開發(fā)并運用風險量化評估的方法和模型。 第十八條 法律法規(guī)、監(jiān)管要求和其他要求的識別。 商業(yè)銀行應(yīng)建立并保持識別和獲取適用法律法規(guī)、監(jiān)管要求和其他要求的程序，作為風 險識別與評估、制訂控制目標和控制方案的依據(jù)。 商業(yè)銀行應(yīng)及時更新法律法規(guī)、監(jiān)管要求和其他要求的信息，并將這些信息傳達給相關(guān) 員工和其他風險相關(guān)方。 第十九條 內(nèi)部控制方案。 商業(yè)銀行應(yīng)制定內(nèi)部控制方案，以控制已識別的不可接受風險。內(nèi)部控制措施方案應(yīng)包 括以下內(nèi)容： （一）為實現(xiàn)對風險的控制而規(guī)定的相關(guān)職責與權(quán)限。 （二）控制的策略、方法、資源需求和時限要求。 若涉及到組織結(jié)構(gòu)、流程、計算機系統(tǒng)等方面的重大變更，應(yīng)考慮可能產(chǎn)生的新風險。 第三節(jié) 內(nèi)部控制措施 第二十條 運行控制。 商業(yè)銀行應(yīng)確定需要采取控制措施的業(yè)務(wù)和管理活動，依據(jù)所策劃的控制措施或已有的 控制程序?qū)@些活動加以控制。 （一）控制措施包括： 1.高層檢查。董事會與高級管理層應(yīng)要求下級部門及時報告經(jīng)營管理情況和特別情況， 以檢查內(nèi)部控制的實施狀況以及在實現(xiàn)內(nèi)部控制目標方面的進展。高級管理層應(yīng)根據(jù)檢 查情況提出內(nèi)部控制缺失情況，督促職能管理部門改進。 2.行為控制。各級職能管理部門審查每天、每周或每月收到的經(jīng)營管理情況和特別情況 專項報表或報告，提出問題，要求采取糾正整改措施。 3.實物控制。主要的控制措施包括實物限制、雙重保管和定期盤存等。 4.風險暴露限制的審查。審查遵循風險暴露限制方面的合規(guī)性，違規(guī)時繼續(xù)跟蹤檢查。 5.審批與授權(quán)。根據(jù)若干限制條件對各項業(yè)務(wù)、管理活動進行審批與授權(quán)，明確各級的 管理責任。 6.驗證與核實。驗證各項業(yè)務(wù)、管理活動以及所采用的風險管理模型結(jié)果，并定期核實 相關(guān)情況，及時發(fā)現(xiàn)需要修正的問題，并向職能管理部門報告。 7.不兼容崗位的適當分離。實行適當?shù)穆氊煼止?，認定潛在的利益沖突并使之最小化。 （二）控制要點包括： 1.對于可能導致偏離內(nèi)部控制政策、目標的運行情況，應(yīng)建立并保持書面程序和要求， 并在程序中規(guī)定操作和控制標準。 2.對于重要活動應(yīng)實施連續(xù)記錄和監(jiān)督檢查。 3.在可能的情況下，應(yīng)考慮運用計算機系統(tǒng)進行控制。 4.對于采購或外包的設(shè)施、設(shè)備、系統(tǒng)和服務(wù)中已識別的風險，應(yīng)建立并保持控制程序 ，并將有關(guān)程序和要求通報供方，確保其遵守商業(yè)銀行相關(guān)的控制要求。 5.對于產(chǎn)品、組織結(jié)構(gòu)、流程、計算機系統(tǒng)的設(shè)計過程，應(yīng)建立有效的控制程序。 第二十一條 計算機系統(tǒng)環(huán)境下的控制。 商業(yè)銀行應(yīng)考慮計算機系統(tǒng)環(huán)境下的業(yè)務(wù)運行特征，建立信息安全管理體系，對硬件、 操作系統(tǒng)和應(yīng)用程序、數(shù)據(jù)和操作環(huán)境，以及設(shè)計、采購、安全和使用實施控制，確保 信息的完整性、安全性和可用性。明確計算機信息系統(tǒng)開發(fā)部門、管理部門與應(yīng)用部門 的職責，建立和健全計算機信息系統(tǒng)風險防范...
商業(yè)銀行內(nèi)部控制評價試行辦法