1、银行内部控制评价办法第一章总则第一条为规范和加强对某银行内部控制的评价,督促其进一步建立内部控制体系,健全内部控制机制,保证本行安全稳健运行,根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律法规,制定本办法。第二条本行内部控制评价是指对本行内部控制体系建设、实施和运行结果独立开展的调查、评估、测试和分析的系统性活动。内部控制评价包括过程评价与结果评价。过程评价侧重对内部控制过程的充分性、合规性、有效性、适宜性的评价,结果评价是对内部控制主要目标实现程度的评价。第三条本行内部控制体系是本行为实现经营管理目标,通过制定和实施系统化的政策、程序和方案,对风险进行识别、评估、控制、监
2、测和改进的动态过程和机制,由内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五个相互关联、相互作用的过程构成。第四条本行建立并保持系统的、透明的、文件化的内部控制体系,将内部控制活动与业务经营管理活动紧密地结合起来;定期或在有关法律法规和其他经营环境发生重大变化时,对内部控制体系进行评审和改进。第五条本行内部控制评价由内审部门与合规部门组织实施。第六条本行内部控制评价人员应经过有关内部控制评价知识和技能的培训,具备相应的资质和能力。第二章内部控制评价目标和原则第七条本行内部控制评价的目标是通过评价本行内部控制体系的充分性、合规性、有效性和适宜性,促使本行切实加强内部控
3、制体系的建设并认真执行。具体评价目标如下:促进本行严格遵守国家法律法规、银监会的监管要求和本行审慎经营原则;(二)促进本行提高风险管理水平,保证其发展战略和经营目标的实现;(三)促进本行增强业务、财务和管理信息的真实性、完整性和及时性;(四)促进本行各级管理者和员工强化内部控制意识,严格贯彻落实各项控制措施,确保内部控制体系得到有效运行;(五)促进本行在出现业务创新、机构重组及新设等重大变化时,及时有效地评估和控制可能出现的风险。第八条为实现上述内部控制评价目标,应从以下四个方面对内部控制体系进行评价:(一)过程和风险是否已被充分识别;(二)过程和风险的控制措施是否遵循相关要求、得到明确规定并
4、得以实施和保持;(三)控制措施是否有效;(四)控制措施是否适宜。第九条内部控制评价应遵循以下原则:(一)系统性原则。评价范围应渗透覆盖本行内部控制活动的全过程,覆盖所有的系统、部门和岗位。(二)统一性原则。评价应保持目标、范围和准则的一致,以确保评价过程的准确,以及评价结果的客观。(三)独立性原则。评价应由审计部与合规部组织实施,不受任何单位和个人干扰。(四)公正性原则。评价应以事实为基础,以法律法规、监管要求为准则,客观公正,实事求是。(五)重要性原则。评价应依据风险和控制的重要性确定重点。(六)及时性原则。应按照规定的时间间隔持续进行评价。当经营管理环境发生重大变化时,应及时进行评价。第三
5、章内部控制评价内容第一节内部控制环境第十条本行建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构,保证各机构规范运作、分权制衡。(一)完善股东大会、董事会、监事会及下设的议事和决策机构,建立议事规则和决策程序;(二)明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任;(三)建立独立董事制度,对董事会讨论事项发表客观、公正的独立意见;建立外部监事制度,对董事会、董事、高级管理层及其成员进行监督。第十一条董事会、监事会和高级管理层责任。董事会负责保证本行建立并实施充分而有效的内部控制;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保本行在法
6、律和政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施认定、计量、监督并控制风险;负责审批组织机构;负责保证高级管理层对内部控制制度的充分性与有效性进行监测和评估。监事会负责监督董事会、高级管理层完善内部控制;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害本行利益的行为并监督执行。高级管理层负责制定内部控制政策,对内部控制的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立认定、计量、监督并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。董事会和高级管理层还应培育
7、良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。第十二条本行在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的方向和原则,并为制定和评审内部控制目标提供指导。内部控制政策包含:(一)与本行的经营宗旨和发展战略相一致;(二)体现持续改进内部控制的要求;(三)符合现行法律法规和监管要求;(四)体现出侧重控制的风险类型;(五)体现出对不同地区、行业、产品的风险控制要求;(六)传达给适用岗位的员工,指导员工实施风险控制措施;(七)可为风险相关方所获取,并寻求互利合作;(八)定期进行评审,确保
8、其持续的适宜性和有效性。第十三条内部控制目标。本行在相关职能和层次上建立并保持内部控制目标。内部控制目标符合内部控制政策,并体现对持续改进的要求。在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素。内部控制目标应可测量。有条件时,目标应予以量化。第十四条组织结构。本行建立分工合理、职责明确、报告关系清晰的组织结构,明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限,并形成文件予以传达。特别应考虑:(一)必要的职责分离,以及横向与纵向相互监督制约关系;(二)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定;(三)建立关键岗
9、位定期或不定期的人员轮换和强制休假制度;(四)建立相应的授权体系,实行统一法人管理和法人授权。本行设立负有内部控制体系建立、实施特殊责任的专门委员会或部门,明确其责任、权限和报告路线。本行设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员;应有权获得本行的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率,以及对机构和业务的审计覆盖率,定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总行内部审计负责人的聘任和解聘
10、应当经董事会或监事会同意。第十五条企业文化。本行应培育健康的企业文化,对企业文化的内涵、组织机制、传播机制、评估机制以及活动机制做出明确的规定,向员工传达遵守法律法规和实施内部控制的重要性,引导员工树立良好的合规意识和较强的风险意识,促进员工职业道德水平的提高,规范员工行为,营造良好的内部控制环境。所有员工都应了解自己在内部控制中的作用,全面参与内部控制体系建设。第十六条人力资源部门完善人事制度和程序,确保与风险和内部控制有关人员具备相应的能力和风险意识。本行规定所有岗位的职责、权限和人员适任条件,明确关键岗位、特殊岗位、不相容岗位及其控制要求。本行应明确与风险和内部控制有关人员的必要的能力要
11、求。应根据其教育水平、工作经验、考核和接受过的培训对能力进行鉴定。尤其应满足监管机构对高级管理人员资质的要求,不满足任职资格的不得担任高级管理职务。本行制定并保持培训计划,以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审,并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。本行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定,并充分考虑人力资源管理过程中的风险。第二节风险识别与评估第十七条经营管理活动风险识别与评估。本行建立和保持书面程序,以持续对各类风险进行有效的识别与评估。本行的主要风险包括信用风险
12、、操作风险、市场风险、国家和转移风险、利率风险、流动性风险、法律风险以及声誉风险等。应识别并确定常规和非常规的业务和管理活动,并识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围,特别应考虑计算机系统的运用可能带来的风险。应依据法律法规、监管要求以及内部控制政策确定风险是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评审,以确保其持续可接受;风险不可接受时,应制定控制措施。本行对各类风险进行有效的识别与评估时应充分考虑内部和外部因素,内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。环境和条
13、件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。风险识别与评估应:(一)依据业务范围、性质和时限主动进行;(二)评估风险的后果、可能性和风险级别;(三)必要时开发并运用风险量化评估的方法和模型。第十八条法律法规、监管要求和其他要求识别。本行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序,作为风险识别与评估、制订控制目标和控制方案的依据。本行应及时更新法律法规、监管要求和其他要求的信息,并将这些信息传达给相关员工和其他风险相关方。第十九条内部控制方案。本行制定内部控制方案,以控制所识别的不可接受风险。内部控制措施策划方案应包括以下
14、内容:(一)为实现对风险的控制而规定的相关层次的职责与权限;(二)控制的策略、方法、资源需求和时限要求。内部控制措施若涉及到组织结构、流程、计算机系统等方面的重大变更,应考虑采取此种措施后可能产生的新风险。第三节内部控制措施第二十条运行控制。本行应确定需要采取控制的业务和管理活动,依据所策划的控制措施或已有的控制程序对这些活动加以控制。控制措施包括:(一)高层检查。董事会与高级管理层要求下级部门及时报告经营管理情况和特别情况,以检查银行在实现内部控制目标方面的进展。高级管理层根据检查情况提出内部控制缺失,督促职能管理部门改进。(二)行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情
15、况和特别情况专项报表或报告,提出问题,要求采取纠正整改措施。(三)实物控制。主要的控制措施包括实物限制、双重保管和定期盘存。(四)遵循风险暴露限制的情况。审查遵循风险限制方面的合规性,在不合规的情况下继续跟踪检查。如遵循对借款人的信用额度限制,减少风险集中程度,有助于分散风险。(五)审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权,明确各级管理责任。(六)验证与核实。验证各项业务、管理活动,以及所采用的风险管理模型结果,并定期核实相关情况,及时发现需要修正的问题,向职能管理部门报告。(七)不兼容岗位的适当分离。实行适当的职责分工,认定潜在的利益冲突并使之最小化。控制要点包括:1、
16、对于可能导致偏离内部控制政策、目标的运行情况,应建立并保持书面程序和要求,并在程序中规定操作和控制标准;2、对于重要活动应实施连续记录和监督检查;3、在可能的情况下,应考虑运用计算机系统进行控制;4、对于采购或外包的设施、设备、系统和服务中已识别的风险,应建立并保持控制程序,并将有关程序和要求通报供方,确保其遵守本行相关的控制要求;5、对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序。第二十一条计算机系统环境下的控制。本行考虑计算机系统环境下的业务运行特征,建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制,确保信息的完整性
17、、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。第二十二条应急准备与响应。本行建立并保持预案和程序,以识别可能发生的意外事件或紧急情况(包括计算机系统)。意外事件和紧急情况发生时,应及时做出应急响应,以预防或减少可能造成的损失,确保业务持续开展。本行应定期检查、维护应急的设施、设备和系统,确保其处于适用状态。如可行,应定期测试应急预案。本行应评审其应急预案,特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括损失、险情)的性质相适应。第四节监督评价
18、与纠正第二十三条内部控制绩效的监测。本行建立并保持书面程序,通过适宜的监测活动,对内部控制绩效进行持续监测。监测内容包括:(一)内部控制目标实现程度的监测;(二)法律、法规及监管要求的遵循程度;(三)适用的法律法规、监管要求及其他要求的符合情况;(四)损失、险情和其他不良的内部控制绩效的历史情况;第二十四条违规、险情、事故处置和纠正与预防措施。本行应对违规、险情、事故的发现、报告、处置和纠正与预防措施做出规定,包括:(一)发现违规、险情、事故并及时报告,必要时,可越级报告;(二)及时处置违规、险情、事故;(三)制定纠正与预防措施,防止违规、险情、事故的发生和再发生,并与问题的大小和风险危害程度
19、相一致;(四)纠正与预防措施在实施之前应进行风险评估;(五)实施并跟踪、验证纠正与预防措施;(六)险情和事故的责任追究。第二十五条内部控制体系评价。本行应按策划的方案对内部控制体系实施评价,确保内部控制体系的符合性和有效性。评价方案的制定,应以活动的风险评估结果、业务和管理流程及相关区域的状况和以前的评价结果为依据。评价方案应包括评价的目的、准则、范围、频率和方法,以及执行评价和结果报告的职责与要求。评价应覆盖体系范围内的所有活动,被评价机构的管理者应采取措施消除违规原因,并验证所采取措施的效果。应根据评价的结果对内部控制体系做出评价,必要时可根据评价结果确定内部控制水平的等级。评价结果的信息
20、提供给管理层参考和决策。评价应由所评价的活动无直接责任的人员进行,评价人员应能够胜任评价工作。第二十六条管理评审董事会应采取措施保证。本行定期组织对内部控制状况进行评审,确保体系得到持续、有效的改进。管理评审应包括以下方面的内容:(一)内部控制体系评价的结果;(二)内部控制政策执行情况和内部控制目标实现情况;(三)对内部控制体系有重要影响的外部信息,如法律、法规的重大变化;(四)组织结构的重大调整;(五)事故和险情以及重大纠正和预防措施的状况;(六)以往管理评审的跟踪情况;(七)内部控制体系改进的建议。管理评审应就以下方面提出建议:1、内部控制体系及其过程的改进;2、内部控制政策、目标的变更;
21、3、与内部控制有关资源的需求。第二十七条持续改进。本行利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审,持续提高内部控制体系有效性。第五节信息交流与反馈第二十八条交流与沟通。本行应建立和保持信息交流与反馈的程序,对财务、管理、业务、重大事件和市场信息等相关信息,明确其识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。本行识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保:(一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息;(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策、程序
22、;(三)险情、事故发生时,相关信息能得到及时报告和有效沟通;(四)及时、真实、完整地向监管机构和外界报告、披露相关信息;(五)国内外经济、金融动态信息的取得和处理,并及时把与企业既定经营目标有关的信息提供给各级管理层。信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。为保持信息交流沟通可追溯性,必要时,应保持相关信息交流与沟通的记录。第二十九条内部控制体系对文件的要求。建立和保持文件化体系是实现信息交流与反馈的重要途径。本行建立并保持必要的内部控制体系文件,包括:(一)对内部控制体系核心过程要素及其相互作用的描述;(二)内部控制政策和目标;(三)关键岗位及其职责
23、与权限;(四)不可接受的风险及其预防和控制措施;(五)控制程序、作业指导、方案和其他内部文件。第三十条文件控制。本行应建立并保持书面程序,以确保内部控制体系所要求的文件满足下列要求:(一)文件和资料易于查询;(二)实施前得到授权人的批准;(三)定期进行评审,必要时予以修订并由授权人员确认其适宜性;(四)所有相关岗位都能得到有效版本;(五)失效时,及时从所有发放处和使用处收回,或采取其他措施防止误用;(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。(七)留存的档案性文件和资料应予以适当标识。第三十一条记录控制。本行应建立并保持书面程序,以规定内部控制相关活动中所涉及记录的标识、生成
24、、贮存、保护、检索、保存期限和处置。记录应保持清晰、易于识别和检索,以提供符合要求和内部控制体系有效运行的证据,并可追溯到相关的活动。第四章内部控制评价程序和方法第三十二条内部控制评价程序一般包括评价准备、评价实施、形成评价报告和反馈等步骤。第三十三条评价准备。在评价实施前应组成评价组。评价组的成员构成应考虑到相关人员的背景和能力构成。必要时,可聘请相应的业务或管理专家。评价组应根据内部控制评价的安排制订评价方案,评价方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。评价组应准备必要的工作文件,用于评价实施过程的参考和记录。这些工作文件可以包括评价问卷、抽样计划等。在现场评价前应
25、先与被评价机构建立初步联系,以便确认有关评价事项和安排。第三十四条评价实施。评价组应按照确定的评价方案实施评价。在评价实施中有必要对评价组内部以及评价组与被评价机构之间的沟通做出正式安排。在评价实施过程中,应当通过适当的方法进行收集与评价目的、范围和准则有关的信息,根据抽样计划对被评价项目进行测试,评价证据应当予以记录。第三十五条形成评价报告。评价组根据评价及测试情况,在综合评价的基础上,出具被评价机构的内部控制评价报告。报告内容主要包括概述、评价组工作开展情况、被评价机构内部控制体系状况、综合评价、存在问题及原因、整改意见等。第三十六条评价结论反馈。评价组对被评价单位内部控制体系做出综合评价后,应召集被评价单位负责人会议,核对数据和事实,征求意见,在现行法律和政策规定基础上统一认识。评价组应将本次评价的评审报告和结论报送行长办公室。第三十七条行长办公室根据评价组的结论,依据有关法律和规定,对被评价机构做出评价结论和处理决定,以书面形式正式发送被评价单位并限期改正反馈。第五章附则第三十八条本办法由某银行负责制定并解释。第三十九条本办法自印发之日起施行。
浙ICP备2021020529号-1 | 浙B2-20240490 
