1、xxxccxx村镇银行内部控制自我评价管理办法第一章 总 则第一条为确保本行内部控制体系的有效运行,提高内部控制与经营管理水平,促进本行健康可持续发展,依据财政部、证监会、审计署、银监会、保监会颁布的企业内部控制基本规范、企业内部控制评价指引、商业银行内部控制指引等法规规定,结合本行实际,制定本办法。第二条本办法所称内部控制自我评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。第二章 内部控制自我评价工作的组织与责任第三条内部控制评价工作的参与主体及其各自的职责:(一)董事会、监事会及审计委员会的责任:董事会负责内部控制的建立健全和有效实施,监
2、事会负责对董事会建立与实施内部控制进行监督,审计委员会负责审查银行内部控制,监督内部控制的有效实施和内部控制自我评价情况及其他相关事宜等。(二)高级管理层的责任:管理层负责组织领导本行内部控制的日常运行。本行应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。(三)业务与管理部门的责任:总行及分支机构业务与管理部门,应当按照法律法规的要求建立和不断完善各自的内部控制体系。总行及分支机构业务与管理部门作为内控的第一责任部门,应在总行及支行内部控制评价小组的组织协调下,定期确认风险控制矩阵的持续正确,并对过时的内容进行更新,对发现的控制缺陷进行整改。(四)风险合规部门的
3、责任:作为内部控制评价工作的扎口管理部门,监督总行及支行内部控制评价小组与管理部门是否定期确认控制矩阵的持续正确,牵头内部控制评价小组进行设计有效性测试及运行有效性测试,对评价小组的工作进行汇总,并对发现的控制缺陷进行追踪、监督。(五)总行及支行内部控制评价小组的责任:总行及分支机构业务与管理部门须选拔熟悉业务的骨干人员,组成总行及支行内部控制评价小组,指定内部控制评价小组组长。总行及支行内部控制评价小组在风险合规部的牵头下进行穿行测试以验证控制设计的有效性,并开展运行有效性测试,充分搜集被评价部门或机构内部控制设计和运行是否有效的证据。(六)内审职能部门的责任:作为内审独立评估负责部门,负责
4、对管理层内部控制自我评估工作进行监督,合理保证内部控制自我评价工作质量,进行必要的验证,提出改进意见。内审职能部门基于审阅风险合规部及内部控制评价小组已经进行的工作,有选择性地进行独立评价,即执行运行有效性测试或对已完成的工作进行复核,审阅缺陷汇总及整改情况,并对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。第三章 内部控制自我评价流程管理第四条内部控制自我评价流程概述内部控制自我评价流程一般包括控制矩阵评估、控制自我评估及内审独立评估三项具体的工作。第五条控制矩阵评估发起与管理部门:总行风险合规部实施部门:总行及支行内部控制评价小组主要步骤及关键事项:(一)制
5、定内部控制自我评价工作方案总行风险合规部牵头制定内控自我评价工作方案,并启动内控自我评价工作。总行风险合规部须拟定评价工作方案,明确评价范围、工作任务、评价小组人员、时间进度安排、费用预算等信息,并召开正式的项目启动会议,与总行及支行业务和管理部门就上述信息进行充分沟通。内控自我评价工作方案须报董事会或其授权机构审批后实施。内部控制自我评价工作方案模板参见附件一。1.评价范围: 总行风险合规部负责牵头盘点全行主要业务、产品与管理支持流程,建立全行的流程盘点表(见附件二),并动态更新流程盘点表。在此基础上,根据财务报表和业务情况,选择进行内部控制自我评价的总行部门及下属分支机构、相关业务,及相关
6、业务对应的相关流程,然后从流程出发部署具体的控制矩阵评估。在确定内部控制自我评价范围时,应该本着业务导向和自上而下原则。内部控制评价应当以业务分类为基础,综合考虑业务规模、业务性质特点、本年新增业务等因素,自上而下地来确定需要评价的重要业务领域或流程环节。在分支机构的选择方面,主要参考以下原则:(1) 选择的分支机构资产总额占到全行资产总额较大的或是分支机构收入总额占全行收入总额较大的;(2)选择一些风险相对较高的分支机构,例如在内部审计、合规检查、监管检查过程中发现问题较多或发现重大问题的分支机构;(3)在综合考虑人力、物力等条件可支持的基础上,可对所有分支机构实现全面覆盖。确定的评价范围应
7、当与各级管理层进行恰当的沟通,并交董事会或其授权机构审阅,以便董事会或其授权机构从工作伊始就对其将要做出内控有效性申明的范围有着完整的把握。2.工作任务:主要包括综合运用个别访谈、专题讨论、穿行测试、实地查验和抽样等多种方法,充分搜集被评价机构及部门内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写内部评价工作底稿,研究分析内部控制缺陷等。3.时间进度安排:时间进度安排具体可参见第十六条内控自我评价时间表。期间如总行及评价小组对此作出调整的,按照其统一部署进行。(二)新增或更新控制矩阵总行内部控制评价小组负责牵头各部门确认本部门控制矩阵的持续正确,根据本部门、本机构业务更新情况、新
8、产品上线情况以及管理层日常观察发现等对现有控制矩阵进行新增或更新,并递交总行风险合规部审核。分支机构特色业务可由该业务的支行评价小组牵头进行控制矩阵的新增或更新,经总行对口业务条线管理部门审批同意后,递交总行风险合规部审核。(三)新增或更新绘制流程图总行内部控制评价小组须牵头各业务及管理部门按照新增或更新的控制矩阵进行流程图的更新绘制工作。分支机构特色业务可由该业务的支行内部控制评价小组牵头进行流程图的绘制及更新工作,并递交总行对口业务条线管理部门审批。(四)汇总控制矩阵:总行风险合规部及时整理汇总并审核批准总行及分支机构业务及管理部门新增或更新的控制矩阵,为下一步开展控制自我评估做好准备。第
9、六条 控制自我评估发起与管理部门:风险合规部实施部门:总行及各分支机构业务与管理部门;总行及分行、直属支行内部控制评价小组主要步骤及关键事项:(一)执行设计有效性评估:总行内部控制评价小组对内部控制自评范围内的所有控制措施进行穿行测试以验证控制设计有效性。分支机构特色业务则由支行内部控制评价小组对内部控制的有效性进行测试。(二)执行控制落实度评估:总行内部控制评价小组对于总行层面设计有效的控制开展运行有效性测试。各支行内部控制评价小组对分支行层面设计有效的控制开展运行有效性测试。评价小组成员对本部门或机构的测试工作应当实行回避制度。评价小组负责人须对内部控制评估工作底稿进行复核,以确保工作的质
10、量。复核的具体内容包括:(1)项目计划是否得到恰当执行?(2)所有的测试程序是否得到适当执行?样本量是否足够?(3)测试结果是否得到了恰当的记录,与测试的支持文档保持一致?得出的结论是否恰当?(三) 汇总评估结果:总行内部控制评价小组和支行内部控制评价小组负责汇总本层级的机构控制设计有效性和控制落实度的自评结果,形成内控自评档案。总行风险合规部负责汇总全行的内控自我评估结果,向高级管理层汇报。(四) 对内控缺陷进行整改:总行及分支机构业务与管理部门须确认内部控制评价小组在内控自评中发现的控制缺陷,并制定整改措施,明确整改责任人及整改计划完成时间,交总行风险合规部门汇总。总行风险合规部汇总上交的
11、内控缺陷及整改方案后向高级管理层汇报。 (五) (五)对缺陷整改情况进行跟踪监督:风险合规部须对总行及分支机构业务与管理部门缺陷的整改情况进行定期的跟踪、监督。第七条 内审独立评估发起与管理部门:内审职能部门主要实施部门:内审职能部门主要步骤及关键事项:(一)审阅控制自评结果:内审职能部门审阅前期风险合规部牵头总行及支行内部控制评价小组开展控制矩阵评估和控制自我评估的过程文件和自评结果,包括控制矩阵、控制测试底稿、缺陷汇总整改表等。(二)开展独立评价测试:内审职能部门根据审阅的结果以及审计计划,按照实际情况选择一定比例的控制进行“独立”运行有效性测试并记录运行有效性测试结果,同时也可以抽检风险
12、合规部、总行及支行内部控制评价小组穿行测试记录及支持文档,运行有效性测试记录及支持文档,利用管理层的工作进行复核,通过检查和必要的抽样测试等手段确认各级管理层是否如实作答;上述“一定比例”的确定,是由内审职能部门基于对被测试业务情况的了解,根据内部审计准则和内部控制审计指引等相关法规和行业准则做出的内部审计职业判断,一般不低于20。(三)追踪整改方案的实施:内审职能部门须跟踪整改方案的实施情况,确认整改是否有效落实。(四)汇总评价结果:内审职能部门须汇总整理内部控制自我评价的结果,为下一阶段编写内控自评报告做好准备。 (五)内控自评报告:基于上述的工作,内审职能部门须结合日常审计监督、合规检查
13、等工作成果,编制内控自评报告,并向高级管理层和董事会报告。第四章 内控自我评价方法第八条开展内部控制自我评价可综合运用个别访谈、穿行测试、实地查验和抽样等多种方法,并需在控制矩阵(附件三)中对使用的评价方法进行体现。第九条流程梳理内容的填写介绍表格编号1、子流程、流程步骤、步骤说明编号、步骤说明子流程、流程步骤是对业务及管理流程的进一步划分,将业务及管理流程按照操作环节或管理需要切分为更细致流程,并将其主要步骤进行概括和列示。步骤说明编号、步骤说明是对流程步骤的简要说明,对于流程步骤所涉及的主要操作环节进行描述,体现各项控制措施在步骤中的顺序和关系。表格编号2、控制类型编号、控制类型、控制措施
14、编号、控制措施、控制目的控制类型编号、控制类型可参照控制字典库(见附件四)。通过预先设定的标准分类对流程梳理所得控制措施进行归类。控制措施编号、控制措施指寻找出满足控制目标的关键控制点,对控制措施进行描述,并对控制措施进行编号索引。控制目的指根据企业内部控制基本规范、商业银行内部控制指引与业务流程相关的内控要求,结合行业对标经验,设计出适用于本行的控制目的。表格编号3、控制的性质分别表述控制活动的各类性质:控制范围、控制频率、事前/事后控制、手工/系统控制。其中,控制范围指控制措施的适用范围,用于界定控制措施适用于哪些产品。控制频率指对控制频率进行描述:按需不定期发生、每日、每周、每月等。控制
15、活动根据其发生时点,分为事前控制和事后控制:(1)事前控制,是指事前采取措施以预防控制目标未能实现的情况。(2)事后控制,是指事后采取措施以发现和纠正控制目标未能实现的情况。控制活动根据其操作方式,分为手工控制和系统控制:(1)手工控制是通过人工操作(包括人工对系统的操作)执行的控制活动。手工控制的有效性依赖于执行控制活动的执行人的胜任能力和尽责程度。培训和专业经验的培养对于手工控制的执行人非常重要,因为手工控制可能因执行人缺乏培训和专业经验而导致控制活动未得到持续、有效地执行。(2)系统控制是完全基于系统的操作和运行、不介入任何人工干预来执行的控制活动。系统控制的有效性依赖于有效的计算机控制
16、环境。表格编号4、负责部门与执行岗位填写设计和实施控制活动的责任部门,以及负责执行控制活动的岗位。控制矩阵须由熟悉业务或实际操作业务的主管级人员进行评估和填写,由部门经理进行确认。主管级人员可以进一步将本人的控制矩阵表分解给下属进行细项填写;但是根据“工作可以分解交办,责任不会随之转移”的原则,由主管级人员、部门经理逐级对不正确的填写负责。表格编号5、对应的财政部企业内部控制基本规范所列内部控制目标将控制活动与企业内部控制基本规范中列示的控制目标做对应。也包括银行业监督管理部门有关内部控制的规范性要求。第十条 内部控制设计执行有效性评估设计有效性的评估方法通常包括访谈和穿行测试。(一)访谈 访
17、谈的主要目的是通过与相关人员进行访谈,了解各业务流程风险相关的控制措施的更新状况,主要步骤包括:1、了解业务及管理部门的背景资料,例如部门设置,职责分工,业务说明,业务政策和历史审计信息;按业务的流程顺序,列出访谈人员名单和访谈问题清单; 2、在每次访谈前,向访谈人简要描述本次访谈的内容和目的; 3、根据访谈问题清单开展访谈,根据4W+1H原则注1初步了解业务流程和控制措施; 4、对于访谈问题清单以外的一些发现点,可以当场与受访人员深入研究; 5、访谈完毕后,可以根据访谈内容做简要汇总,将访谈中获得的控制措施与控制目标联系起来,填入工作底稿; 6、列出所需资料清单,并向被访人员索取资料和代表性
18、业务样本;7、根据控制矩阵中识别的控制,将整个流程从流程开始到结束以流程图的形式进行描述。流程图可以帮助业务及管理部门了解每一个流程的流转情况,在流转过程中涉及的部门,涉及的控制点,进而了解流程的整体内部控制状况。 (二)穿行测试对每一类交易选择一笔代表性业务,取得从业务的发起到结束的相关资料和单据,验证相关控制活动是否投入实施。控制活动的描述是否正确,是否能充分实现控制目标。评估控制活动有效性必须先进行穿行测试,穿行测试一般有以下四种方法:1、询问:是指为了解银行内部控制设计是否合理,执行是否符合要求,而向有关人员询问情况的方法,包括口头询问和书面询问。测评人员应对询问的结果进行分析、判断。
19、2、观察:是指在进行测评时,测评人员亲临工作现场,实地观察有关人员的工作情况,观察完毕后详细纪录观察的内容,以拍照、录像等方式留存证据,以确定既定控制措施是否有效的方法。3、文件检查:指抽取内部控制生成的记录和文件,检查内部控制是否有效实施的方法。例如,通过检查贷款授信审批单上的有关有权人签字,核实贷款是否经过恰当的授权审批。4、重新履行:是指重新履行某项内部控制程序,验证既定的控制措施是否正确执行的方法。如果仅通过询问不能充分满足测试要求,则应结合其他的穿行测试方法来获得充足的穿行测试证据。一般来说,应尽量采用综合方法进行穿行测试。 (三)穿行测试表格填写介绍:表格编号6、穿行测试文件编号及
20、名称、设计有效性测试程序、设计有效性测试结果穿行测试文件编号及名称指填写获取穿行测试文件的编号及文件名。设计有效性测试程序是针对控制活动描述编写的如何审阅流程控制是否有效完整、如何进行设计有效性测试来验证控制活动描述的具体程序和步骤。设计执行有效性测试结果指根据测试结果填写:“有效”、“无效”或“不适用”。当控制活动中所有的控制点均按照设计执行时,填入有效;当控制点未按照设计执行或控制缺乏有效设计时,填入无效。如在测试期间内,该控制活动没有发生,填入不适用。表格编号7、改进点描述及编号若设计执行有效测试结果填写“无效”,则在改进点编号及描述栏填写相应的控制缺陷编号及描述。第十一条内部控制运行有
21、效性测试控制活动的运行有效性主要通过抽样测试的方法来获取相关结论。若控制活动设计有效,则进一步根据控制活动发生的频率确定样本量,从确定的抽样总体中抽取样本,对控制活动的执行情况进行测试,进而对控制活动的运行有效性作出评价。(一)运行有效性测试样本量1、手工控制手工控制的运行有效性测试样本量根据控制活动发生的频率确定。控制活动频率包括突发的、每日多次、每天、每周、每月、每季度、每年等。根据控制活动的类型和发生频率,可参考以下最低标准样本量,对不同的控制活动进行内部控制运行有效性测试。(1)频率确定的控制活动的最低标准样本量控制类型控制活动发生频率样本量手工控制每日多次25手工控制每日20手工控制
22、每周 5手工控制每月2手工控制每季2手工控制每年 1(2)频率不确定的控制活动的最低标准样本量控制类型年发生次数样本量手工控制25025手工控制50-25020手工控制15-505手工控制4-152手工控制412、系统控制系统控制的运行有效性选取一个样本进行测试。(二)样本选择标准样本的有效性是对样本质量的衡量,所抽取的样本需要有代表性,能够反映控制活动的运行效率和效果。样本选取过程中尽量选取有以下特点的样本:(1)金额相对较大的样本。(2)发生频率比较高的样本。发生频率高的样本更具有普遍性和代表性,但发生频率较低的样本,若具有特殊性,如金额较大、业务性质特殊等,也需要抽取部分进行测试。(3)
23、需要特殊审批的业务。(4)占业务类型绝大多数的样本。此类样本更能反映控制活动是否普遍有效,但对于具有性质特殊的业务类型、新业务类型或管理层牵涉较多的业务类型,即使占比很小,也应予以关注。(5)关键要素与其他样本存在明显差异的样本。(6)新客户或新业务产生的样本,且样本金额较大。(7)正常工作时间之外的关键业务操作产生的样本。在年度自我评价中,由于要求各填表人员需要切实抽样检查交易单据作为回答的证据,被抽的样本交易单据应当具有较好的代表性、分散性,尽可能地分布在全年各个业务时段,但允许有倾向性地偏重第三和第四季度的交易样本。样本抽取应当尽量避免下列情况,除非受样本来源的客观限制:(1)全行性、高
24、频率业务样本量全部或绝大多数集中在同一基层支行、甚至同一岗位。(2)全年度、高频率业务样本量全部或绝大多数集中在同一季、同一月甚至同一日。(3)故意放弃已被披露或发现的内部控制问题高发时段、高发单位的样本量。 (三)运行有效性测试表格填写:表格编号8运行有效性测试底稿编号、运行有效性测试程序、运行有效性测试样本量、运行有效性测试结果填写带有单位缩写,流程缩写的运行有效性测试底稿编号及具体的运行有效性测试程序内容。运行有效性测试样本量可以参见上述的“运行有效性测试样本量”部分。运行有效性测试结果指根据测试结果填写:“有效”、“无效”或“不适用”。表格编号9、改进点描述、改进点编号改进点编号指若运
25、行有效性测试结果填写“无效”,则在改进点编号栏填写相应的控制缺陷编号及描述第十二条内部控制缺陷1、控制缺陷编号、流程、控制活动编号、控制缺陷简述/描述控制缺陷编号为控制缺陷的唯一序列号,用于索引和汇总控制缺陷,便于后续追踪。流程和控制活动编号指控制缺陷所属的业务管理流程,以及所对应的控制措施编号。控制缺陷简述为缺陷的概述,控制缺陷描述为控制缺陷的具体说明,基于发现的问题,清楚地、详细地进行描述。2、控制缺陷属性按照缺陷所涉及的不同角度,将缺陷分为架构层面、制度层面、系统层面、流程层面四个维度。架构层面的缺陷是指在部门设置、条线分工、职能划分、人员配备以及部门间沟通等方面存在的缺陷。制度层面的缺
26、陷是指在制度体系、制度编制和修订以及制度的完整性、详细程度等方面存在的缺陷。系统层面的缺陷则是指本行业务和管理系统本身存在的缺陷,如系统功能不完善、部分业务缺乏系统支持等。流程层面的缺陷是指具体流程梳理过程中发现单个的、独立的缺陷,如缺漏控制环节、执行过程中出现的问题等。3、控制缺陷种类设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。4、控制缺陷评级控制缺陷评级指该缺陷引发的风险所相对应的程度,分三档,为重大、重要、一般。5、风险分析缺陷导
27、致的风险指该缺陷引发哪些风险。6、相关部门填写该缺陷与哪些部门相关联,由哪些部门进行参与。7、改进建议改进建议指针对现有的发现,提出的改进建议。8、整改措施及安排、预计整改完成时间整改措施指相关部门针对缺陷而提出的改进计划及详细的实施步骤,包括短期整改方案(三个月内完成)和长期整改方案(需三个月以上完成)。预计整改完成时间是整改方案预期的完成时间,需具体到某年某月。9、整改牵头部门、部门整改负责人、部门负责人对于涉及多个部门的缺陷,需由总行风险合规部主导确定整改牵头部门,该部门负责组织其他相关部门针对缺陷提出整改方案并组织方案的落实。对于仅涉及单个部门的缺陷,整改牵头部门即为该部门。整改牵头部
28、门应指定专人负责整改控制缺陷,部门负责人应对整改方案进行确认。10、整改配合部门对于涉及多个部门的缺陷,整改配合部门指除牵头部门外的其他相关部门,配合部门需积极配合牵头部门进行整改方案的编写与落实。对于仅涉及单个部门的缺陷,无需填写整改配合部门。内部控制缺陷汇总整改表模板参见附件五。第五章 内部控制缺陷的认定第十三条内部控制缺陷的认定对内部控制缺陷的认定,应当以日常监督和专项监督为基础,包括但不限于条线日常检查、外部监管检查、审计独立检查结果等,结合年度内部控制评价,由内审职能部门进行综合汇总分析后提出认定意见,按照规定的权限和程序进行审核后予以认定。第十四条内部控制缺陷的类别内部控制缺陷按照
29、内部控制的设计有效性和运行有效性的不同分类相应分为设计缺陷和运行缺陷。(一)设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。(二)运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。内部控制缺陷按其严重程度的评级为一般缺陷、重要缺陷和重大缺陷。(一)重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形;它可能导致财务报表重大错报的一项控制缺陷或多项控制缺陷的组合。(二)重要缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形;它的严重程度不如重大缺陷、
30、但足以引起企业相关人员关注的一项控制缺陷或多项控制缺陷的组合。(三)一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准,请参见下表: 评级违规成本,造成损失或者财报错报系统/数据/信息系统/安全影响对运营的影响程度重大缺陷年化损失大于本行的重要性水平。关系到所有主要的系统性能,可靠性和有效性方面的问题;影响大部分数据/模块的安全风险;过时且无效的技术,对大量的客户/供应商或雇员产生影响可能对本行的营运和/或声誉方面产生显著的影响,它对于本行目标的实现是很大地阻碍并且可能会严重地损害银行持续经营的能力。总行及分支机构业务与管理部门和/或高级管理层需要
31、对缺陷立即整改。重要缺陷年化损失在本行的重要性水平的60%到100%之间。关系到局部主要的系统性能,可靠性和有效性方面的问题;影响部分数据/模块的安全风险;过时且无效的技术,对部分的客户/供应商或雇员产生影响可能不会对本行营运和/或声誉方面产生显著的影响,但它使本行面临增加的风险或营运能力的下降。总行及分支机构业务与管理部门和/或高级管理层需要加强关注并对缺陷进行改进。一般缺陷年华损失小于本行重要性水平的60%。关系到非主要的系统性能,对可靠性和有效性影响较小对本行整体而言影响可能是个别和/或轻微的。对本行运营不会产生实质性的影响,但仍需要采取改进措施。 重要性水平通常按照银行税前利润的5%计
32、算;在利润不稳定的情况下,可以按照总收入的1%计算。第六章 内部控制自我评价报告第十五条内部控制自我评价报告的编制在完成控制自我评估及内审独立评价后,内审职能部门应结合内部控制评价工作底稿、内部控制缺陷汇总表,以及日常审计监督发现,形成书面的内部控制评价报告,每年呈交高级管理层、董事会审阅。内部控制评价报告具体格式可参见附件六。另外,本行还可以以附件的形式披露格式指引规定以外的银行内部控制的相关情况,包括但不限于实施内部控制评价的总体情况、所采用的程序和方法等(评价小组的组成,评价所采用的程序和所花费的时间,借助中介机构或外部专家的情况,工作底稿的编制,收集被评价单位内部控制设计和有效运行证据
33、的方法,重大缺陷、重要缺陷和一般缺陷认定的标准等)。内审职能部门还应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。第十六条内控自我评价时间表 内部控制自我评估报告的基准日是12月31日。本行内部控制自我评价拟根据各阶段的工作事先计划时间安排,以下时间表模板仅反映为符合监管要求的最低时间要求。管理层可以在此基础之上根据管理需要及本行资源配置调整自我评价时间。序号各阶段工作开始时间结束时间时间跨度(周)1总行风险合规部进行流程盘点,确定内控自我评价的范围。8月初8月中两周2总行及分支行业务及管理部门在内控评价
34、小组的牵头下确认及更新各自的控制矩阵,并更新流程图。8月中8月末两周3风险合规部牵头内部控制评价小组开展控制评估,完成穿行测试和运行有效性测试,评价小组组长对评估结果进行审核;并由风险合规部汇总自评文档。9月初9月末四周4内审职能部门进行内审独立评价,“独立”或结合利用管理层测试的结果执行内控有效性测试10月初10月末四周5评估的缺陷汇总及提出整改方案9月末10月末四周6业务及管理部门执行整改方案,并根据有效的整改更新控制活动11月初12月底八周7风险控制部牵头内控评价小组进行第二轮控制测试,完成穿行测试和运行有效性测试 (仅就从上次控制测试之后有变化,以及未通过的部分) 次年1月初次年1月中
35、两周8内审职能部门进行内审独立评价,“独立”或结合利用管理层测试的结果执行内控有效性测试 (可以偏向于从上次控制测试之后有变化,以及未通过的部分)次年1月中次年2月初三周9评估的缺陷汇总及提出整改方案次年2月初次年2月中两周10内部控制自我评价报告配合年报时间表要求 基于上述的计划时间表,内部控制自我评价具体的工作主要集中于九、十月。其中,由风险合规部牵头从自评角度进行穿行测试和运行有效性测试,内审职能部门进行“独立”或结合利用管理层测试的结果执行内审独立评价,内审职能部门须保持与风险合规部的沟通,确保内审独立评价顺利完成。在编制内部控制自评报告的过程中,除参考内控自评工作底稿和发现缺陷外,也
36、应考虑日常审计监督的结果,包括常规审计、专项审计发现等。内审职能部门在报告编制中,应充分结合日常审计监督结果信息,确保自评报告的完整性。第七章 内部控制自我评价的考核与奖惩第十七条考核对内部控制自我评价工作的考核结果纳入全行绩效考核管理体系,最终体现在被考核单位年度绩效内。第十八条奖惩未能尽职完成内部控制自我评价工作的,对责任人进行问责。包括但不限于下列情形:(一)未按规定时间及要求完成内部控制自我评价工作的。(二)对于发现的内控缺陷,漏报或是隐瞒不报的。(三)对于发现的内控缺陷,未制定并落实切实的整改计划的。第八章 附则第二十条本办法有关内部控制自我评价的工具和方法、配套模板、表单等,由风险合规部组织维护和更新。风险合规部应根据本行业务变化、组织结构调整、实际风险水平等多种因素,并结合年度内部控制评估情况等确定是否需要适时更新。第二十一条本办法由风险合规部负责解释、修订。第二十二条本办法自公布之日起施行 。附件一:内部控制自我评价工作方案附件二:流程盘点表附件三:控制矩阵附件四:控制字典库附件五:缺陷汇总整改表附件六:格式指引