商业银行内部控制评价试行办法操作说明.pdf

资源描述

1、商业银行内部控制评价试行办法操作说明（银监办发2004240号）第一部分内部控制评价的常用方法和技术一、询问法主要包括调查问卷和现场访谈两种方式。（-）调查问卷评价人员针对评价目的，结合评价对象的具体特点，设计一套调查问卷明确查什么，如何查。对于问卷中的各个问题，评价人员可以根据需要，灵活采用多种方法如询问、观察、抽样验证等做出回答。（二）现场访谈评价人员到现场向相关人员了解内部控制体系建立、执行和监督情况是收集信息的一个重要手段，应当在条件许可并以适合被访谈人的方式进行。但评价人员应当考虑:1、被访谈人员应与被评价的内容相关，并承担相应职责;2、应当尽可能在被访谈人正常工作时间和正

2、常工作地点进行；3、在访谈前和访谈过程中应当努力使被访谈人放松；4、应当解释访谈和作记录的原因；5、访谈可通过请被访谈人描述其工作开始；6、应当避免提出有倾向性答案的问题（即引导性提问）；7、应当与被访谈人沟通评审访谈的结果；应当感谢被访谈人的参与和合作二、书面文档检查评价人员查阅被评价机构的政策和程序，如业务政策、业务程序、财务会计制度、组织结构图、行为守则等，评价被评价机构是否建立符合要求的内部控制体系文件。评价人员查阅内部控制体系的相关记录，如账本、报表、凭证、合同、报告等，判断内部控制措施是否得到有效执行。三、观察评价人员在被评价单位的工作现场，通过现场观察或观看操作过程录

3、像等方式，查验现场工作状态或有关人员的实际工作情况，以确定其规定的内部控制措施是否得到严格执行。该方法适用于那些不留书面记录的评价内容。四、流程图法评价人员利用流程图来表示被评价机构各种业务处理程序、职责分工、各种记录等，了解被评价机构内部控制体系的运行状况、业务的风险控制和控制措施，从而有助于发现内部控制体系的缺失，确定评价重点。五、抽样方法评价人员通过抽取一定数量有代表性的样本进行调查和测试，并据此推断总体状况。六、穿行测试法评价人员在相关业务中选择一笔或若干笔业务，从头到尾检查其实际处理过程，以验证所描述业务流程内部控制的合规性和有效性。七、压力测试法评价人员测试被评价机构

4、关键业务处理程序和控制措施能够承受的压力程度，以及在承受相应压力时内部控制措施发挥的作用。第二部分内部控制评价计分方法表一、过程评价（一）过程评价分值表评价对象标准业务活动管理活动支持保障备注评价内容分值授信业务资金业务存款和柜台业务要中间业务计划财务会计管理计算机系统产口口开发安全保卫标准分值500一、内部控制环境1001、商业银行公司治理102、董事会、监事会和高级管理层责任103、内部控制政策204、内部控制目标205、组织结构206、企业文化107、人力资源10二、风险识别与评估1001、经营管理活动风险识别与评估502、法律法规、监管要求和其他要求203、内部

5、控制措施方案30三、内部控制措施1001、运行控制60评价对象评价内容标准分值业务活动管理活动支持保障备注授信业务资金业务存款和柜台业务要中间业务计划财务会计管理计算机系统产口口开发安全保卫2、计算机系统环境下的控制203、应急准备与处置20四、监督评价与纠正1001.内部控制绩效监测302.事故、险情、事故处置和纠正与预防措施203.内部控制体系评价204.管理评审205.持续改进10五、信息交流与沟通1001.交流与沟通252、内部控制体系对文件的要求253.文件控制254.记录控制25（二）内部控制评价步骤和计分方法说明第一步：确定评价的具体对象，包括各类业务活动、管理

6、活动和支持保障活动第二步：根据具体评价对象的特点，按办法第三章评价内容中的要求，并结合其他的评价准则，依据第八条的四个评价方面（充分性、合规性、有效性、适宜性），形成系统的评价问题。即：过程和风险是否已被充分识别（充分性评价）?过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持（合规性评价）？控制措施是否有效（有效性评价）？控制措施是否适宜（适宜性评价）？其中对不适用的过程要素要标注“不适用”。在评价过程中，对不同评价问题可采用不同的评价方法，如询问、查阅书面材料、抽样、穿行测试等。第三步：根据办法第四十八条，确定每项评价问题的计分标准。即：满足充分性要求的，可得该项分值

7、的20%;在此基础上，满足制度合规性要求的，可再得该项分值的 30%;在此基础上，满足执行合规性要求的，可再得该项分值的30%;在此基础上，满足有效性和适宜性要求的，可再得该项分值的 20%;第四步：根据现场评价情况，得到合规、违规、险情、事故四种评价结果，依据第四十八条和第五十条的规定确定各评价内容的实际得分。第五步：确定具体评价对象的得分。由于存在不适用项目，应将上边计算获得的分值转化成标准分。例如某评价对象适用项目的实际总分为450分，而实际得分为400分，则最后得分为 400/450 x100%=89分（计算公式和原则见第四十九条）。第六步：确定过程评价得分。完成对各具体对象的

8、评价后，综合各具体对象所涉及的评价结果，对内部控制体系做出综合评价。综合评价的得分可以依据各具体对象评价的加总后调整，可以将所有适用的内部控制政策实际得分加总，最后除以适用对象在这个要素上的总分，即可得出这个要素的标准分值。例如，对“内部控制政策”过程进行综合评分，假定有10项具体对象涉及到内控政策，10项具体评价对象标准总分为10*20=200分，10 项具体评价对象内控政策实际得分加总后160分则内控政策过程要素的总得分为160/10=16分。二、结果评价（一）结果评价指标及分值表评价指标控制比例假设实际情况标准分值实际得分备注法人分支机构一、资本利润率13%8%50-30二、资产

9、利润率N0.6%0.4%505030三、收入成本比35%50%505020四、大额风险集中度指标-50-（一）单一客户授信余额比例10%2家20-16（二）十大客户授信余额比例30%35%10-7.5（三）集团客户授信余额比例15%1家20-18五、关联方交易指标-50-（一）单个关联方授信余额比例10%1家20-18（二）单个关联法人或其他组织所在集团客户的授信余额比例15%1家20-18（三）全部关联方授信余额比例50%20%10-10六、资产质量指标-5050（一）新发生不良贷款率0.1%0.2%151510（二）不良贷款衡量指标-35351、不良贷款率10%8%101083、五级分类

10、偏离度2%5%5524、正常及关注类贷款迁徙率3%5%5535、次级及可疑类贷款迁徙率8%5%25-10（二）核心资本充足率4%2%25-5九、流动性指标-5020（一）准备金比例10%12%202020（二）存贷比75%70%10-10（三）中长期贷款比例指标25%40%10-10十、案件损失指标-5050（一）案件损失率0.1%01%025250（二）发案率1%1.5%252515合计-500270316.5（二）计算方法说明指标计算方式见办法附录二1、资本利润率：该指标最高得分50分，大于等于13%得满分，每减少1个百分点减少4分。假定A银行资本利润率为 8%，则该项指标得30分。2

11、、资产利润率：该指标最高得分50分，大于等于0.6%得满分，每减少0.1个百分点减少10分。假定A银行资产利润率为0.4%，则该项指标得30分。3、收入成本比：该指标最高得分50分，小于等于35%得满分，每增加1个百分点减少2分。假定A银行收入成本比为 50%，则该项指标得20分。4、大额风险集中度指标(1)单一客户授信余额比例：该指标最高得分20分，未超控制比例客户该项指标得满分，每增加一个超控制比例客户减2 分。假定A银行有2家客户的授信余额分别超出该银行资本净额的10%,则该项指标得16分。(2)十大客户授信余额比例：该指标最高得分10分，小于等于30%得满分，每超过1个百分点

12、减0.5分。假定A银行最大十家客户的授信余额占该银行资本净额的35%,则该项指标得7.5分。(3)集团客户授信余额比例：该指标最高得分20分，未超控制比例客户该项指标得满分，每增加一个超控制比例客户减2 分。假定A银行有1家集团客户的授信余额超出该银行资本净额的15%，则该项指标得18分。5、关联方交易指标(1)单个关联方授信余额比例：该指标最高得分20分，无超控制比例关联方该项指标得满分，每增加一个关联方减2分。假定A银行对某1家关联方的授信余额超出该银行资本净额的 10%,则该项指标得18分(2)单个关联法人或其他组织所在集团客户的授信余额比例：该指标最高得分20分，无超控制比例

13、关联客户该项指标得满分，每增加一个超控制比例关联方减2分。假定A银行有1 家关联法人所在集团的授信余额超出该银行资本净额的15%,则该项指标得18分。(3)全部关联方授信余额比例：该指标最高得分10分，小于等于50%得满分，每超过1个百分点减2分。假定A银行全部关联方授信余额占该银行资本净额的20%,则该项指标得10 分。6、资产质量指标(1)新发生不良贷款率该指标最高得分15分，新发生不良贷款率小于等于0.1%得满分，每增加0.1个百分点扣5分。假定A银行评价期内新发生不良贷款率为0.2%,则该项指标得10分。(2)不良贷款衡量指标不良贷款率：该指标最高得分10分，不良贷款率低于等

14、于3%的得满分，每高1个百分点减1分。假定A银行不良贷款率为10%,则该项指标得3分。不良贷款额降低率：该指标最高得分10分，不良贷款率低于3%(含)的商业银行得满分，评价期内不良贷款额降低10%以上的得满分，每少降低1%减1分。假定A银行评价期内不良贷款额降低了 8%，则该项指标得8分。五级分类偏差率：该指标最高得分5分，五级分类正负相对偏差率低于2%（含）的商业银行得满分，偏差率每增加1%减1 分。假定某银行评价期五级分类偏差率5%,则该指标得2分。正常及关注类贷款迁徙率：该指标最高得分5分，迁徙率低于3%（含）的商业银行得满分，偏差率每高于1%减1分。假定某银行评价期迁徙率5%

15、,则该指标得3分。次级及可疑类贷款迁徙率：该指标最高得分5分，次级及可疑类贷款迁徙率低于8%（含）的商业银行得满分，次级及可疑类贷款迁徙率每增加1%减1分。假定某银行评价期迁徙率10%,则该指标得3分。7、不良贷款拨备覆盖率：该指标最高得分50分，拨备覆盖率高于80%得满分，每少 1个百分点减1分。假定A银行不良贷款拨备覆盖率为70%,则该项指标得40分。8、资本充足指标(1)资本充足率：该指标最高得分25分，充足率高于等于8%得满分，每少1个百分点减5分。假定A银行资本充足率为 5%，则该项指标得10分。(2)核心资本充足率：该指标最高得分25分，充足率高于等于4%得满分，每少1个百分

16、点减10分。假定A银行核心资本充足率为2%,则该项指标得5分。9、流动性指标(1)准备金比例：该指标最高得分20分，高于等于10%得满分，每减少1个百分点减5分。假定A银行准备金比例为 12%，则该项指标得20分。(2)存贷比：该指标最高得分10分，存贷比控制在75%以内得满分，每超出1个百分点扣2分。假定A银行存贷比为 70%，则该项指标得10分。(3)中长期贷款比例指标：该指标最高得分10分，小于等于120%得满分，每超出10%扣1分。假定A银行中长期贷款比例为90%,则该项指标得10 分。(4)资产流动性指标：该指标最高得分10分，大于等于25%得满分，每少1个百分点扣1分。假定A银

17、行资产流动性指标为40%,则该项指标得10分。10、案件损失指标(1)案件损失率：指评价期内商业银行违法、违纪案件损失金额与总资产额之比该指标最高得分25分，小于等于0.1%。得满分，每增加0.01%。扣2分。假定A银行案件损失率为1%。，则该项指标得零分。(2)发案率：发案个数发案率二-分支机构数发案个数指评价机构监察(保卫)部门管理的所有内部案件(不论金额大小)，分支机构数按被评价机构辖属支行级以上机构统计。该指标最高得分25分，小于等于1%的得满分，每增加0.1个百分点，扣2分。假定A银行发案率为1.5%,则该项指标得15分。（三）分支机构总分计算方法：分支机构总分二分支机构实际

18、得分X500/270三、过程和结果汇总分值表和计分方法评价对象评价内容标准分值实际得分业务活动管理活动支持保障活动法人分支机构授信业务资金业务存款和柜台业务主要中间业务计财务会计管理计算机系统产品开发安全保卫总分值总分二过程评价得分*70%+结果评价得分*30%一、过程评价（70%权重）500500100100 100100100100 100100100100 100100（）内部控制环境100100（二）风险识别与评估100100（三）内部控制措施100100（四）监督评价与纠正10100评价对象评价内容标准分值实际得分业务活动管理活动支持保障活动法人分支机构授信业务

19、资金业务存款和柜台业务要中间业务计财务会计管理计算机系统产品开发安全保卫0（五）信息交流与沟通100100实际得分500二、结果评价（30%权重）500270（-）资本利润率50（二）资产利润率50 50（三）收入成本比5050（四）大额风险集中度指标50（五）关联方交易指标50评价对象评价内容标准分值实际得分业务活动管理活动支持保障活动法人分支机构授信业务资金业务存款和柜台业务主要中间业务计财务会计管理计算机系统产品开发安全保卫（六）资产质量指标5050（七）不良贷款拨备覆盖率5050（八）资本充足指标50（九）流动性指标5020（十）案件损失指标5

20、050第三部分过程评价问题要点一、内部控制环境(-)商业银行公司治理1、是否建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构？2、是否设立了提名委员会、风险管理委员会、人事和薪酬委员会、审计委员会、关联交易控制委员会和其他专门委员会？3、是否定期或不定期召开股东大会年会和临时会议，向全体股东汇报？股东大会是否实行律师见证制度？是否制定内容完备的股东大会议事规则并由股东大会审议通过，包括通知、文件准备、召开方式、表决形式、会议记录及其签署、关联股东的回避制度等？4、董事会是否建立了议事规则和决策程序？议事规则是否完备，包括通知、文件准备、召开方式、表决形式、会议记

21、录及签署、董事会的授权规则等？董事会是否定期（每季一次）或不定期召开例会和临时会议？5、监事会是否建立了议事规则和决策程序？议事规则是否完备，包括通知、文件准备、召开方式、表决形式、会议记录及签署等？是否定期（每季一次）或不定期召开例会和临时会议？6、是否建立了独立董事和外部监事制度并设立了 2名（含）以上独立董事和2名（含）以上外部监事？7、董事会审计委员会负责人是否由独立董事担任？是否要求银行报送内部审计报告并进行评价？独立董事是否对董事会讨论的有关商业银行内部控制事项发表客观、公正的独立意见？是否对董事会决议中违反法律、法规或商业银行章程的条款提出反对意见？8、审计委员会负

22、责人是否由外部监事担任？外部监事是否根据监事会决议组织开展商业银行内部控制相关审计工作？是否及时向外部监管部门报告监督检查中发现的问题？9、采取何种措施确保商业银行根据内部审计、外部审计和外部监管部门改进内部控制的意见和建议实施有效的整改？（二）董事会、监事会和高级管理层责任1、董事会是否审批了商业银行整体经营战略和重大政策并定期检查、评价执行情况？2、董事会是否设定了商业银行可接受的风险程度，并审批管理层所制订的风险防范措施及额度设置？是否确保商业银行充分了解资本充足、风险集中度、关联交易、不良资产管控和处置的有关规定，并指导和监督具体政策、办法的产生和实施？3、董事会是否及时

23、审查银行内部审计机构和外部监管部门的对银行内部控制评价报告？并督促管理层落实整改措施？4、监事会是否通过适当的方式对银行内部控制进行监督？5、监事会是否组织对银行内部控制相关检查？是否对董事会及董事、管理层及高级管理人员履行内部控制职责情况进行检查？6、监事会是否组织对银行内部控制相关检查？是否对董事会及董事、管理层及高级管理人员履行内部控制职责情况进行检查？7、高级管理人员是否明确其在内控体系方面的职责？在各项业务和管理活动中是否制定了明确的内部控制政策？8、是否定期评审内部控制状况的充分性和有效性？是否及时审查外部监管部门、内部和外部审计部门对内部控制体系的评价报告？是否及时听

24、取了审计部门和外部监管部门有关内部控制体系缺失的建议与意见，并部署采取纠正整改措施？9、董事会、高级管理层是否能及时了解银行的业务风险和操作业绩？银行内部的信息流动是否通畅（包括信息上报、信息下达及机构内部信息的横向流动）？内部控制政策相关每一项信息是否都能传达到每一相关人员？10、是否建立了授权和责任明确、报告关系清晰的组织结构？是否采取措施引导管理人员和全体员工参与到内部控制活动中，以保证内部控制的各项职责得到有效履行？（三）内控政策1、是否已建立文件化的政策（包括人力资源政策、财务管理政策、信贷总量和信贷结构政策、流动性风险和市场风险政策、信息交流政策，等等）？2、政策的内

25、容是否:（1）为制定和评审目标提供框架;（2）与商业银行的宗旨和发展战略相一致；（3）符合适用法律法规和监管要求；（4）指导员工实施风险控制；（5）体现持续改进内控体系。3、政策是否已为员工所理解？4、政策是否可以并已向相关方公开，同时寻求互利合作？5、各级各类政策是否定期评审，需要时更新？（四）内部控制目标1、商业银行已建立了哪些内部控制目标？是否形成文件？2、各个目标是否可测量并分解为指标？是否已展开到相关职能和层次？通过哪些方式传达到相关员工？3、内控体系的目标是否能确保与法律法规、监管要求相一致并使之满足？能否确保商业银行的发展战略和经营目标的全面实施与实现？确保风险控制的有效

26、性？确保业务记录、财务信息和其他相关信息的及时、真实和完整？4、在建立和评审内控目标时，是否还考虑了可供选择的技术方案、财务、运作和经营要求、风险相关方的观点等？5、内控目标是否符合内控政策？如何体现对持续改进的承诺？（五）组织结构1、商业银行的组织结构状况如何？包括：部门分工合理性、职责明确程度和报告关系清晰程度。2、是否考虑职责分离、相互监督制约？3、涉及资产、负债、财务和重要人事变动的事项如何决定？4、是否建立关键岗位轮换和强制休假制度？5、是否建立统一授权体系？6、是否设立了全行系统垂直管理、具有充分独立性的内部审计部门？7、内部审计部门是否配备了具有相应资质和能力的审计人员？

27、8、是否建立了内部审计风险评级体系？每年是否根据审计风险评级结果确定审计频率，以及对机构和业务的审计覆盖率？9、内部审计部门是否有权获得商业银行的所有经营信息和管理信息？10、内部审计报告是否及时报董事会或董事会审计委员会？11、董事会及高级管理层是否采取有效措施保证审计报告中指出的内部控制的缺失得到及时纠正整改？12、总行内部审计负责人的聘任和解聘是否经董事会或监事会同意？（六）企业文化1、商业银行是否培育了健康的企业文化？现有企业文化怎样为内部控制提供适宜的环境？2、如何创立和完善企业文化的环境使全行员工树立预期要求的企业价值观、企业精神及经营理念？3、是否把企业核心价值观、内

28、部控制原则、风险意识、风险控制、风险防范，以及出现险情或损失的对策等作为对员工的教育内容？4、是否制定了员工行为准则或类似规范，并传达到员工？5、员工是否熟悉银行关于职业道德的规范并确知职业道德标准和违例行为界限及后果？6、员工是否明白其职权范围违规违纪行为的表现形式？7、是否建立针对员工违规行为的补救和处罚应急机制？8、管理层对员工违规的行为是否进行严厉的批评和处理？9、管理人员道德水平是否保持高尚，是否以身作则？（七）人力资源1、是否确定与风险和内控有关的人员所必要的能力要求（含满足法律法规要求及监管机构对人员资质要求）?2、是否建立及健全激励约束机制、员工绩效考评体系，是否充分

29、体现风险管理和内控体系要求？3、是否对高管人员及影响风险和内控人员等重要岗位的招聘、聘用、培训、考核、调整、出国、离岗和离行进行控制？4、是否明确了员工招聘、培训、考核、奖励、处罚、晋升等方面合理的政策和程序？并得到有效执行？5、是否搜集了员工工作业绩、工作效率及胜任程序等相关信息？6、是否采取适当的措施来降低更换员工或员工缺席所带来的负面影响（交叉培训，工作轮换等）？7、是否确保员工得到了充分的非技术性能力的培训（包括人际关系、口头表达和文字表达能力，客户服务等）？8、是否确保每个员工明确所在行及其所在部门的工作目标？二、风险识别与评估(-)风险识别与评估1、是否识别和确定了常规和非

30、常规的业务和管理活动？并识别这些活动上的风险？2、对新识别的风险是否已考虑到其产生根源、路径及对商业银行的影响范围？是否已考虑并识别了本部门的运作过程和活动中因运用计算机系统而带来的风险？3、本部门已识别并确定的主要风险有哪些？是否有风险点的清单？是否确定风险点的风险级别及风险可接受程度？4、是否对风险的后果及发生的可能性等进行了评估？评估的结果是否形成文件？文件中所包含的信息是否充分，包括可作为建立内控体系中各项决策的基础？并为改进内控绩效提供衡量的基准？5、是否对可接受风险进行定期监测？对不可接受的风险是否制定了相应的控制方案？6、当内外部环境和条件发生变化时，是否对风险进行

31、再识别和再评估？并及时更新风险评估文件及传达到相关人员？再识别和再评估的结果能否确保新的风险及以前未加控制的风险得到识别和控制？7、在设立新的分支机构或开办新的业务时，是否事先制定有关的政策、制度和程序，是否对潜在的风险进行计量和评估，并提出风险防范措施？8、能否及时发现由于员工的思想道德及业务素质问题所产生的风险，并重视对员工的法制教育和职业道德教育？（二）法律法规、监管要求和其他要求1、是否已建立了相应的程序，以确保商业银行能及时识别和获取适用的法律法规、监管要求和其他要求？包括明确信息获取的渠道、职责等。2、是否及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给

32、相关员工和其他风险相关方？3、是否在已制定的商业银行规章体系中充分体现应遵循的所有法律法规要求？4、是否采取有效措施管理全行反洗钱工作？(三)内部控制措施策划1、是否为实现内控目标制定了内控方案？内控方案如何运用风险识别与评估结果的信息？确定了哪些控制要点和控制措施？2、内控方案是否包括了各项任务的职责权限和相应的控制策略、方法、资源和时限要求？并形成了文件？3、内控方案是否考虑了由方案自身带来新的风险？方案是否涉及到业务流程、管理活动等重大变化？三、内部控制措施(-)运行控制1、董事会与高级管理层是否及时检查商业银行在实现内部控制目标方面的进展？高级管理层是否根据检查情况提出内部

33、控制缺失，督促职能管理部门改进？2、各级职能管理部门是否审查收到的经营管理情况和特别情况专项报表或报告？是否提出问题，要求采取纠正整改措施？3、对实物控制是否实行实物限制、双重保管和定期盘存？4、是否审查遵循风险限制方面的合规性，并在不合规的情况下继续跟踪检查？5、是否根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级管理责任？6、是否验证各项业务、管理活动，以及所采用的风险管理模型结果，并定期核实相关情况？是否及时将发现的问题向职能管理部门报告？7、是否实行不兼容岗位的适当分离？8、是否针对已识别的风险和需采取的控制措施，确定其运作过程和活动？9、对已确定的过程和活动如

34、何实施控制？10、对缺乏程序可能导致偏离内控政策和目标运行的情况，建立并保持了哪些程序文件，在程序中是否规定了操作方法和标准？11、在实施和运行中按照程序规定如何实施持续记录和监督检查？12、运用计算机系统采取了哪些内控措施？13、对购置和使用的设施、设备、系统和服务中已识别的风险是否建立并保持控制程序实施有效控制，并以什么方式将有关程序和要求通报供方，使其符合控制要求？14、为从根本上消除或降低风险，针对产品和业务、运行程序和工作组织设计及对人员适任能力要求建立了哪些控制程序？15、是否建立有效的核对、监控制度？对重要业务是否实行双签制度及监控授权、授信执行情况？16、是否建立完

35、整的会计、统计和业务档案？（二）计算机系统环境下的控制1、是否建立信息安全管理体系？2、是否对计算机信息系统从立项、开发、验收、运行和维护实施全过程管理？如：项目立项时技术部门是否与业务部门进行了充分论证和良好沟通；程序开发环境是否与程序生产环境严格分离；计算机软件和网络系统从开发环境转入生产环境之前是否进行充分的压力测试？3、对外购计算机软、硬件设备是否严格审查供应商的资格和资信状况？是否明确其产品在使用期间应当承担的使用、维护和其他责任，在使用前是否严格进行安全性测试确保产品正常使用和有效维护？4、计算机房建设是否符合国家有关标准？是否加强计算机房管理，出入按规定审批并保留

36、记录，确保硬件、各种存贮介质的安全？5、是否建立和健全网络管理系统，有效地管理网络的安全、故障、性能、配置等，并对接入国际互联网实施有效的安全管理？6、采取哪些措施确保计算机信息系统的安全（如更新系统、认证、加密、内容过滤、入侵监测、安全设置、防止病毒、黑客攻击、软件补丁程序等以确保计算机信息系统安全）？有关程序和要求是否及时更新？7、网络设备操作系统、数据库系统、应用程序是否设置必要日志，满足内外审计需要？8、对各类数据信息、数据操作、数据备份介质的存放、转移、销毁是否有严格的管理制度？9、计算机处理业务如何确保可复核性和可追溯性？应用程序是否为有关的审计和检查预留接口？10、电子

37、银行服务是否具备确保识别客户身份，安全认证等功能，保证交易安全，防范操作风险？11、计算机操作系统的变更是否有明确的规章制度（对内和外包系统），可靠的技术手段，满足合法性、正确性、安全性、可复核性和可追溯性的系统变更控制要求，并对软件版本进行管理？12、是否建立设备管理系统，对设备验收、入库、配发、维护、变更、损益、报废等环节进行管理？13、是否建立远程备份？14、是否提供对电子银行客户的培训、客户服务和相关支持工作？如何与风险控制方案相结合？15、在制定电子银行业务的准入标准、管理办法和操作规程中如何考虑风险因素及相应措施？16、如何控制网上银行交易的风险，确保交易安全？17、系

38、统安全运行中的不安全的因素是否全面分析和控制？对分中心运行如何监视？18、对计算机系统数据的管理时应：是否建立接入授权程序并对接入后的操作进行安全控制？是否核对输入数据，对数据的修改进行批准并建立日志？19、计算机系统运行过程中是否配备计算机安全管理人员，明确其职责？是否建立技术部门和业务部门的沟通渠道？20、如何明确用户的创建、变更、删除、用户口令等控制要求；是否明确员工计算机信息系统的用户名或权限卡的使用要求？（三）应急准备和响应1、是否已建立并保持应急预案和程序，已识别可能发生的意外事件或紧急事件？应急预案是说明特定紧急情况发生时须采取的措施，应包括：(1)识别潜在的事故(风险

39、)和紧急情况;(2)确定紧急情况发生时的负责人；(3)确定紧急情况发生时各类人员的行动计划，包括发生紧急情况的区域内所有外来人员的行动计划；(4)确定紧急情况发生时具有特定作用的人员的职责、权限和义务，如柜员、保安、保卫人员等；(5)明确与外部应急机构的接口；(6)与执法部门进行交流；(7)重要记录资料和重要设备的保护；(8)紧急情况发生时可利用的必要资料，如报警设备和联络电话号码等。2、在应急计划中是否对外部机构的参与有明确的规定，是否向其提供相关信息和可能遇到的情况，以便其参与？3、如何规定意外或紧急事件发生时，应采取应急响应的措施？措施是否及时、有效？4、是否规定并实施对应急的设施

40、、设备和系统定期检查和维护？是否保证充足提供？5、是否并如何对应急预案定期进行演习和测试？是否按计划进行应急演练？6、是否对制订的应急预案进行评审？应急准备是否与可能发生的意外或紧急事件的性质（如损失、险情）相适应？7、近年来，是否发生过意外或紧急事件（如挤兑、信息系统崩溃、火灾、地震等）？如发生过，如何按应急预案及时、有效采取相应措施，并确保业务持续开展？四、监督评价与纠正（一）内部控制绩效的监测1、是否建立了内部风险控制绩效监测程序？2、绩效监测的对象有哪些？3、内控绩效监测的方法有哪些？4、何时进行内控绩效监测（频次）？5、监测结果评价的准则是什么？6、监测结果的信息如何传递和

41、利用？7、对下一级分行的经营、管理是否进行经常性检查？并及时纠正问题？8、如何对全行的经营、内控和风险状况的审计、监督和评价做出安排？审计的频次是怎样决定的？9、如何对全行审计工作执行有关审计政策、审计准则和规章制度情况进行监管和检查？10、是否对审计监督中发现的重大问题和事件的处理结果进行跟踪，以防止问题或事件的再次发生？近年来发现的重大问题和事件是否已采取有效措施？11、如何确保全行的审计部门和审计人员的独立性？12、高级管理人员离职时是否进行离任审计？13、如何对审计效果进行评价？14、如何对高层人员进行监督？是否有监管档案？（二）事故、险情、违规和纠正与预防措施1、是否已建立

42、和保持了书面程序文件，规定事故、险情、违规发现、报告、处置、原因分析及纠正和预防措施等内容？2、发现事故、险情、违规时，是否及时报告？3、如何处置事故、险情、违规事项？从发现到处置的时效如何？4、针对发现的事故、险情、违规的原因，所采取的措施（纠正或预防措施）是否考虑了问题大小和风险危害程度？5、纠正或预防措施在付诸实施前，是否作过风险评估？6、被批准执行的纠正或预防措施是否实施？这些措施的效果能防止发生或再发生事故、险情、违规？7、发生事故、险情和重要违规事项时是否追究相关责任人员责任？8、在内控评价、业务检查、审计中，对发现的问题，如何作责任认定？9、信访、举报、投诉、控告、处分的

43、程序和记录的管理方式如何？（三）内部控制体系审核1、商业银行是否建立和维持书面的内部控制体系评价程序？2、是否规定了内控体系评价的准则、范围、频次、评价的方法和评价组（或人员）职责和权限？3、实施内控体系审核的审核人员是否充分考虑独立性？4、安排审核活动前是否进行过周密策划，形成审核方案（包括日程安排）？5、评价方案是否考虑了受评价机构风险管理的重要性、风险评估的结果、所进行活动的过程以及以前评价的结果？6、是否按程序文件实施过评价？如果是，则重点调查：受评价机构的负责人对内控体系评价中发现的问题是否积极地参与消除违规原因，并决定所采取的措施，跟踪检查措施的执行及效果验证。7、内

44、控体系评价后，其评价结果报告中，是否就内部风险管理（控制）的有效性做出评价？通过评价，可否评估内部控制体系水平的等级？8、通过内部评价是否针对发现的问题进一步完善了内控制度？（四）管理评审1、是否建立和保持了管理评审的程序文件？2、是否实施过管理评审？3、管理评审录入信息是否充分？4、如果进行过管理评审，则评估管理评审的输出是否符合要求？（五）持续改进1、是否识别改进的机会，从而持续地自我改进内部风险控制的管理体系？2、持续改进的过程如何实施？五、信息交流与反馈（-）交流与沟通1、是否规定交流与沟通的内容及沟通方式？2、风险的相关方（内、外部）进行信息交流的政策是什么？3、是否有程序

45、文件规定风险管理相关信息的识别、收集、处理、交流和沟通过程？4、信息传输的流程如何？5、董事会和高级管理层能否获得内部控制状况信息？6、是否及时向监管机构报告、披露相关信息（必要时向外界披露）？7、信息沟通记录如何保持？8、信息保密、安全所需的授权如何？9、是否建立信息披露制度？（二）内控体系的文件化要求1、怎样理解内控体系文件化的？2、内控体系的文件类别、构成及其关系怎样？3、内控体系文件是否充分？（三）文件控制1、文件是否经批准才能实现？2、需要文件指导的部门或岗位是否能得到，或查到？3、文件的适宜性是否定期评审，需要时修订文件？4、文件的版本如何识别和控制？5、废止文件（某页或某份）采

46、取什么措施防止误用以及标识？6、外来文件（如相应法律、法规、外部监管部门的相关规定等）如何控制（识别、分发、使用、废止以及转为内部文件的情况）？（四）记录控制1、是否已建立和保持了内控体系相关记录的控制程序文件？2、该文件是否包括了记录的标识、生成、保管、保护、检索（查找、调用），保存期限及到期处理的方法等？3、记录是否清晰，是否便于工作人员查找？4、会计、统计、业务档案（必要时，调查记录记载事项的溯源性）是否完整？第四部分商业银行主要业务和管理活动内部控制评价要点一、授信业务(-)授信管理1、授信制度和政策是否符合国家法律和外部监管部门的规定？是否制定了信贷战略目标？2、各级审

47、贷委员会的组成是否符合审贷分离原则？一把手是否出任审贷委员会成员？3、审贷委员会是否实行集体审议、充分发表意见、多数同意通过的原则？审贷委员会的全部意见是否记录存档？4、是否设立独立的授信风险管理部门？5、授信岗位设置是否分工合理、职责明确？授信各部门、各岗位是否都建立岗位责任制？6、是否制定各类授信业务品种的统一管理办法，明确规定各项业务的条件，包括选项标准、期限、利息和收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容？7、是否建立客户准入退出机制？是否建立完善的客户信息管理系统，对客户进行分类管理，全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息？对已

48、列入“黑名单”、逃废债等资信不良的企业和个人是否实施授信禁入？8、是否对同一客户的贷款、贸易融资、票据承兑贴现、透支、保理、担保、贷款承诺、开立信用证等各类表内外授信实行一揽子管理，确定总体授信额度？9、是否对同一集团客户进行总量控制和统一授信管理？是否对关联交易采取了风险控制措施？10、是否建立了客户信用评级体系？如有，请表述其风险量化评估的方法。11、是否建立了资产质量监测制度和报告体系以及信贷风险预警机制？12、是否建立贷款风险分类制度，规范贷款质量的认定标准和程序，确保贷款质量的真实性？13、是否采取有效措施加强对不良贷款的管理，是否建立不良贷款责任认定和清收的激励机制？

49、是否对违法、违规造成的授信风险和呆账损失进行责任认定，并对有关责任人进行处理？（二）商业贷款1、是否收集了完整的借款人资料？2、受理客户贷款申请时是否进行了严格的借款人资格及担保人资格审查，对借款人是否符合贷款条件有审查结论？3、是否对借款人进行信用等级评价？4、是否实地对借款单位、担保单位进行全面调查，并进行详细具体的综合分析？5、是否对保证人资信状况和抵押物、质押物进行全面调查，对其合法性、有效性和充分性进行分析？6、是否对客户进行授信量分析？7、是否撰写客户评价报告，并经审查部门核实？8、是否签订了规范的借款合同和贷款担保合同？9、是否落实、办理了保证、抵押、质押等有关手续？10、

50、是否存在不按贷款程序发放贷款或违背客观情况的项目？11、是否进行信贷登记？12、贷款投向是否符合相关规定和国家产业政策？13、贷款利率、期限和方式是否符合规定？14、是否定期对借款人执行合同情况及经营状况跟踪调查和贷后检查？15、对次级以下贷款每季发书面催收通知，落实专人管理催收，定期走访次级以下贷款的借款和担保单位？16、是否按规定办理贷款销户手续？17、是否对不良贷款进行分类、登记、考核、催收？18、是否采取有效措施加强对不良贷款的管理，是否建立不良贷款责任认定和清收的激励机制？19、是否有完整的贷款质量、信贷比例指标定期报表和有关的分析报告？（三）消费贷款1、是否收集了完整的借

展开阅读全文