银行内部控制评价管理办法模版.doc

1、内部控制评价管理办法文件编号： 编制部门： 版 次 号： 生效日期：xx年02月12日目 录修改与审批记录3第一章 总则4第二章 组织职责4第三章 内部控制评价目标、原则和内容5第一节 内部控制评价目标5第二节 内部控制评价应遵循原则5第三节 评价内容5第四章 评价程序和方法6第五章 评价标准和评价等级7第六章 组织和实施8第七章 罚则9第八章 附则9附件：10附件1.内部控制综合评价表11附件2.分支行内部控制评价表28附件3.信贷业务内部控制评价表38附件4.财会业务内部控制评价表45附件5.信息管理内部控制评价表52附件6.总行部室内部控制问卷调查表56附件7.分支行内部控制问卷调查表5

2、7第一章 总则第一条 为健全内部控制机制，加强内部管理，防范风险，促进银行（以下简称“本行”）依法合规、稳健经营，根据中华人民共和国商业银行法、商业银行内部控制指引、企业内部控制基本规范及企业内部控制应用指引等法律法规，特制定本办法。第二条 本办法适用于本行及下设职能部室和经营机构的内部控制评价的管理。第三条 内部控制评价是对本行内部控制体系建设、实施和运行结果而开展的调查、测试、分析和评估等系统性活动。具体包括对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等内控体系要素的评价。第四条 内部控制体系是银行为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，

3、对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。第二章 组织职责第五条 行级领导负责对评价结果进行审定。第六条 各分支行、总行各部室负责建立并保持系统、透明、文件化的内部控制体系，定期或当有关法律法规和其他经营环境发生重大变化时，对内部控制体系进行评审和改进。第七条 内审办公室将定期或不定期的对各分支行、总行各部室（或各业务条线）的内控建设和执行情况进行监督、评价，并根据需要修订完善评价内容。第三章 内部控制评价目标、原则和内容第一节 内部控制评价目标第八条 促进本行严格遵守国家法律法规、监管要求和本行审慎经营原则。第九条 促进本行提高风险管理水平，保证发展战略规划和经营目标的实现

4、。第十条 促进本行增强业务、财务和管理信息的真实性、完整性和及时性。第十一条 促进本行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系的有效运行。第十二条 促进本行开办新业务、设立新机构时做到“内控先行”，并及时有效地评估和控制可能出现的风险。第二节 内部控制评价应遵循原则第十三条 全面性原则。评价范围应覆盖本行内部控制活动的全过程及所有的系统、部室和岗位。第十四条 统一性原则。评价的准则、范围、程序和方法等应保持一致，以确保评价过程的准确及评价结果的客观和可比。第十五条 独立性原则。评价应由内审办公室实施。第十六条 公正性原则。评价应以事实为基础，以法律法规、监管

5、要求和本行规章制度为依据，客观公正、实事求是。第十七条 重要性原则。评价应依据风险和控制的重要性确定重点，关注重点区域和重点业务。第十八条 及时性原则。评价应按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，应及时重新评价。第三节 评价内容第十九条 内部控制环境。包括明确高级管理层责任，建立内部控制政策和目标，建立合理的组织结构，定期轮换和强制休假制度，完善人力资源管理等多个方面。第二十条 风险识别与评估。包括对信用风险、操作风险、信息科技风险和新业务风险的识别与评估等方面。第二十一条 内部控制措施。包括授信业务、资金业务、存款及柜面业务、中间业务、财务会计业务和计算机业务的内部控制措

6、施等方面。第二十二条 监督评价与纠正。包括职能管理部门的监督检查，违规、险情、事故处置和纠正及预防措施等方面。第二十三条 信息交流与反馈。包括建立交流与沟通的途径，及时上报和下传信息等方面。 第四章 评价程序和方法第二十四条 内部控制评价程序一般包括评价准备、评价实施、评价报告和归档整理等步骤。第二十五条 评价准备包括：组成评价组，准备必要的工作文件，与被评价单位建立初步联系，确认有关评价事项和安排等。第二十六条 评价实施包括：了解内部控制体系的基本情况。主要通过询问、查阅、观察、流程图等方法进行，以初步评价机构内部控制体系的充分性和合规性，确认评价范围，确定被评价单位的内部控制体系的健全程度

7、，然后决定实施测试所采取的方法。对内部控制过程评价主要采取符合性测试法，对内部控制结果评价，主要采取指标分析法。第二十七条 评价报告形成：撰写评价报告，编制内部控制评价表。重点分析被评价单位内部控制体系现状、存在问题及趋势分析、整改要求等。对被评价单位内部控制体系进行综合评价后，应与被评价单位管理层沟通，以核对数据，确认事实，并就评价中的问题交换意见。第二十八条 内审办公室根据评价报告，做出评价结论和处理决定，报行领导审定，以书面形式发送被评价单位，限期整改。第五章 评价标准和评价等级第二十九条 内部控制评价采取评分制，对内部控制的评价结果分别设置一定的标准分值，并根据评价得分确定被评价单位的

8、内部控制等级,评价标准不设加分项，并根据评价内容的检查情况调整评价标准。若被评价单位在评价期内发生下列情况之一，应在内控评价综合评分的基础上直接扣减10分：（一）任何形式和内容的账外经营；（二）未经批准，擅自扩大经营范围；（三）因安全防范措施不当，发生负有责任的金融诈骗、盗窃、抢劫、爆炸、重（特）大火灾等事故、案件，造成重大影响或损失；（四）隐瞒案件或新发生重大金融职务犯罪案件的；（五）按照五级分类口径，新发生不良贷款率3的；新发生不良贷款率新发生不良贷款余额/（上年正常、关注类贷款余额+本年新增贷款余额）100（六）因存在问题或违规行为，被外部监管部门处以单次罚款10万元（含）以上的；（七）

9、评价过程中，被评价单位对评价小组有意隐瞒内控中存在的重大问题或提供虚假资料，影响评价结果的。第三十条 内部控制评价结果分为五个等级，具体标准为：一级：内控评价综合评分90分 以上（含90分）。被评价单位内部控制体系健全，在各个环节均能有效执行内部控制措施，能对大部分风险进行有效识别和控制，无风险控制盲点，控制措施适宜。二级：内控评价综合评分在80分（含80分）至90分之间。被评价单位内部控制体系较健全，在各个环节能够较好执行内部控制措施，能对主要风险进行识别和控制，控制措施基本适宜。三级：内控评价综合评分在70分（含70分）至80分之间。被评价单位内部控制体系一般，基本能执行各个环节的内部控制

10、措施，存在少量风险。四级：内控评价综合评分在60分（含60分）至70分之间。被评价单位内部控制体系较差，重要的内部控制措施没有被全部贯彻执行，管理方面存在较大问题。五级：内控评价综合评分60分以下（不含60分）。被评价单位内部控制体系差，内部控制体系存在较大缺失或内部控制措施无效，存在较明显的管理漏洞和较大的风险隐患。第六章 组织和实施第三十一条 内审办公室对各分支行、总行各部室进行内部控制评价，根据风险程度和重要性确定评价范围，既可单独进行，也可结合检查项目进行。第三十二条 内审办公室利用被评价单位的外部检查结果和各种内部检查信息以及各种检查结果对被评价单位的内部控制情况进行打分。第七章 罚

11、则第三十三条 内审办公室根据评级结果及评价报告所反映的情况，针对被评价单位内部控制体系存在问题的性质及严重程度，可分别采取以下一项或多项措施：（一）就评价对象内部控制体系存在问题可能引发的风险，向被评价单位进行提示和警告；（二）要求被评价单位对存在的问题限期整改；（三）作为确定下一年度对被评价单位开展现场检查的重点、力度及频率的依据；（四）建议调整被评价单位的有关业务授权；（五）建议调整被评价单位相关责任人的星级或岗位。第三十四条 本评价结果仅供行内使用，任何单位和个人不得对外公布对被评机构的内部控制体系等级评定结果。凡擅自公布等级评定结果的，应追究有关人员的责任。 第八章 附则第三十五条 本

12、办法所设定的各项评价指标、标准，将根据监管政策变化、业务发展需要、内控重点转移等因素定期进行修订。第三十六条 本办法由银行总行负责制定、解释和修改。第三十七条 本办法自发布之日起施行。附件：1.内部控制综合评价表2.分支行内部控制评价表3.信贷业务内部控制评价表4.财会业务内部控制评价表5.信息管理内部控制评价表6.总行部室内部控制问卷调查表7.分支行内部控制问卷调查表附件1.内部控制综合评价表内部控制综合评价表序号评 价 内 容评价标准标准分得分一、内部控制环境51建立和保持内控体系，明确高级管理层的责任：一项不符合要求的，扣该项分值的50%，扣完为止。1a.是否按规定设立包括风险管理委员会

13、、审贷委员会、财务管理委员会、招投标委员会等在内的各专业委员会，书面明确其责任、权限、开会频次、报告路线等并严格执行。b.是否根据管理部门提交的各项检查和内审报告，对全行内部控制体系的充分性与有效性进行评估，高级管理层须保证所有存在问题能得到及时纠正和责任追究。2制定明确的内部控制政策和内控目标：制定的政策和目标的制定违反有关法规、监管意见和总行指导意见的，该项不得分；每发现一项不符合评价内容要求的，扣该项分值的50%，扣完为止。1a.是否制定包括信贷业务政策和目标、年度经营计划和财务预算等有关内控政策和内控目标并定期检查更新？b.制定的政策和目标是否符合现行法规、监管要求及总行指导意见并得到

14、落实，并根据监管要求和形势变化及时进行调整？c.政策在执行过程中原则上是否未调整，如调整是否有完整的程序。是否对政策和目标执行情况进行有效的考核，并根据结果进行奖惩。3完善组织结构，保证分权制衡：重要事项由一人独自决定或未建立岗位责任制的，该项不得分；每发现一项混岗或不符合评价内容要求的，扣该项分值的50%，扣完为止。1a.是否建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，形成文件予以传达;b.组织架构是否符合以下要求：必要的职责分离，以及横向与纵向相互监督制约关系；涉及资产、负债、财务和人员等重要事项的变动均不得由一个人独自决定；

15、明确关键岗位、特殊岗位、不相容岗位及其控制要求。c.当出现制度变化、业务创新或调整、机构重组或新设等重大变动时，能及时有效地评估和控制可能出现的财会、资金业务风险，修订相关的职责、权限和控制要求，并形成文件予以传达。4对关键岗位人员实施定期轮换和强制休假制度：每发现一个岗位未按要求轮岗的扣该项分值的50%，扣完为止。1a.是否建立对分（支）行行长，总行重要职能管理部门（信贷、计财、资金营运、会计结算、零售、科技等）的负责人的定期轮换和强制休假制度，并纳入人事管理安排和书面明确有关程序，轮换时间不得超过三年，确因特殊原因需超过三年的，须实施强制休假和离岗审计。b.是否建立对分（支）行营业部主任、

16、市场部经理等关键岗位人员的定期轮换制度，并纳入人事管理安排和书面明确有关程序，轮换时间不得超过三年。5建立完善的人力资源政策和程序:未建立日常人事管理规定的或未制定员工培训计划的，该项不得分；每发现一项不符合评价内容的，扣该项分值的50%，扣完为止。1a.是否对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理、处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险，明确与风险和内部控制有关人员（如信贷、财会等）的适任条件，明确有关教育、工作经历、培训和技能等方面的要求;b.高级管理人员是否满足监管机构对高级管理人员的资质要求;c.是否每年制定和落实适合不同层次员工的培训

17、计划。二、风险识别与评估56信用风险的识别与评估：相关部门是否定期对本单位潜在的信用风险予以排查和分析，评估风险程度，及时采取有效措施加以防范并形成书面报告?未按要求的频率进行排查的，该项不得分；排查内容有缺漏的、未对排查发现的潜在风险进行评估并及时采取措施纠正的，每发现一项扣该项分值的50%，扣完为止。1.57会计操作风险的识别与评估：未按要求的频率进行排查的，该项不得分；排查内容有缺漏的、未对排查发现的潜在风险进行评估并及时采取措施纠正的，每发现一项扣该项分值的50%，扣完为止。1.5相关部门是否定期对本单位潜在的会计操作风险（前、中、后台操作流程）予以排查和分析，评估风险程度，及时采取有

18、效措施加以防范并形成书面报告？8IT风险的识别与评估：未按要求的频率进行排查的，该项不得分；排查内容有缺漏的、未对排查发现的潜在风险进行评估并及时采取措施纠正的，每发现一项扣该项分值的50%，扣完为止。1科技部每季对IT系统生产环节和运行环境的故障和潜在风险予以排查和分析，并联合各相关部门对各自使用的计算机业务操作系统进行每年一次全面的风险排查，评估风险程度，及时采取有效措施加以防范并形成书面报告？9新业务风险的识别与评估：发现任何一项新业务存在开办业务在前、建立制度在后的或未经总行审批擅自开办的，该项不得分；每发现一项不符合评价要求的，扣该项分值的50%，扣完为止。1每项新业务的推出是否事先

19、评估该业务的潜在风险，先制定新业务的具体操作流程，并经总行有关职能管理部门审批后再开展业务。是否有业务存在无章可循的情况？三、风险控制措施70（一）信贷业务的内部控制措施2510授信业务权限和范围：发现一项超授权、逆程序办理业务的，该项不得分；每发现一项扣该项分值的50%，扣完为止。2a.是否在监管部门规定的权限范围内开展各项授信业务？b.是否在的总行权限范围内进行转授权和开展各项授信业务？ c.是否按规定程序办理授信业务？11授信对象（含担保）主体资格：a.授信对象和担保人的基本资料及其他资料是否真实、准确、完整？b.资料更新是否及时？c.授信对象与其授信业务品种规定的主体资格是否相匹配？按

20、照分散原则，考虑不同品种，抽查至少6户信贷档案。全部符合要求的，得满分；发现一户存在严重影响对授信对象资格的真实性判断的资料缺失或失去时效的，该项不得分；一般性的资料缺失或未及时更新的，每发现一项扣该项分值的50%，扣完为止。212贷前调查形式：发现1户存在严重影响对授信审查判断的信息描述（含隐瞒、误导等），该项不得分；一般性的信息错误或缺失，每发现一项扣该项分值的50%，扣完为止。2a.是否遵循双人实地调查为主、间接调查为辅的原则对授信客户进行调查？b.是否及时、客观地按有关规定撰写报告和收集整理资料？ c.是否严格执行双人实地核保并留存书面核保结论制度？ 13贷前调查内容：发现1户存在严重

21、影响对授信审查判断的信息描述（含隐瞒、误导等），该项不得分；一般性的信息错误或缺失，每发现一项扣该项分值的50%，扣完为止。2a.是否客观、全面、真实反映调查对象？b.是否在反映调查情况的基础上重点说明客户经营情况和授信的必要性？c.调查人员是否独立、客观提出明确调查意见？d.对存在疑义、错误、遗漏的资料信息是否采取措施补救，无法补救的是否进行风险评估并说明？e.对其他突发事件等可能影响授信风险的因素在出账前是否及时如实反映？14客户评级：评级结果明显有失客观、合理的，每发现一个扣该项分值的50%，扣完为止；一般性的信息错误或缺失，每发现一项扣该项分值的25%，扣完为止。1a.资料是否完整、准

22、确、真实？b.评级报告的分析和核对是否认真、客观？c.评级意见是否客观、公正、合理？15授信担保：发现1户存在严重影响对授信审查判断的信息描述，该项不得分；一般性的信息错误或缺失，每发现一项扣该项分值的50%，扣完为止。1.5a.保证担保中的客户是否按第12和13条内容调查并对担保能力提出准确客观的意见?b.抵押担保是否按我行规定调查、确保抵押物真实、价值合理、权属明确、相应资料完整真实？c.质押担保中除按第12和13条内容调查外，权利质押是否按照相关业务规定严格核查票据、存单、仓单、国库券、应收账款或有价证券等权利凭证的真实性？ 16统一授信：未纳入统一授信范围的，每发现一户扣该项分值的50

23、%，扣完为止；一般性的信息错误或缺失，每发现一项扣该项分值25%，扣完为止。1a.统一授信范围是否合规？b.是否符合统一授信的原则？c.是否合理界定授信对象金额？17授信审查：存在审查程序不合规的，每发现一项扣该项分值的50%，扣完为止；一般性的信息错误或缺失，每发现一项扣该项分值的25%，扣完为止。1.5a.贷款审查部门是否独立、集中？b.审查程序是否合规，是否双人审查？c.审查资料是否齐全、合规？d.审查报告有否分析客户授信的必要性、风险性、收益性、合法性和合规性？e.审查意见是否客观、合理？18授信审批：存在审批程序不合规的，该项不得分；一般性的信息错误或缺失，每发现一项扣该项分值的50

24、%，扣完为止。1.5a.审批程序和形式是否合规，是否集体审批等？b.审贷会记录和表决表等审批资料是否完整、合规？c.是否客观、独立地评议授信项目和审查报告的相关信息？d.委员是否表决明确意见并提出风险控制要求？e.审批结论是否客观、合理？审贷会批复是否具有可操作性？19贷后检查：贷款被挪用、逾期的，该项不得分；未对贷款用途进行有效监控，存在明显信息错误或严重影响贷款回收的风险因素，每发现一项扣该项分值的50%；一般性的信息错误或缺失，扣该项分值的25%，扣完为止。3a.是否按规定进行贷后检查？b.贷后检查程序是否合规，是否双人实地检查？c.贷后检查是否充分反映企业状况和揭示风险？d.是否有效监

25、控授信资金用途？ e.贷款调查人员是否提前30天向借款人发送还本付息通知书，并取得回执?20贷款风险分类：发现一笔未分类的，该项不得分；存在分类结果明显不准确的，每发现一项不符扣该项分值的50%，扣完为止；一般性的信息错误或缺失，扣该项分值的25%，扣完为止。1a.是否按制度对每笔信贷业务进行五级分类？b.是否按风险分类的核心定义、分类标准对各类贷款进行风险分类，分类结果是否真实、完整？c.贷款风险分类认定表和汇总表填报是否及时、准确？21信贷业务档案的管理：档案未集中保管的，或存在档案严重缺失的，该项不得分；一般性的错误或缺失，扣该项分值的25%，扣完为止。1a.是否对信贷业务档案实行集中保

26、存、统一管理？b.是否及时完整上收有关信贷业务资料，进行立卷、保管、整理装订和归档？c.是否按规定对有关信贷业务资料进行借阅、移交？ d.是否按规定管理和登记信贷业务台账，是否正确填写合同、文本？22风险预警机制：未建立风险预警机制的，或存在严重风险隐患未预警的，该项不得分；一般性的错误或缺失，扣该项分值的25%，扣完为止。1a.是否建立风险预警机制，并进行风险预警，采取相应措施？b.是否按期召开风险分析的专题会议，并形成会议纪要？23信贷和征信系统管理:每发现一项不符扣该项分值的30%，扣完为止。1a.信贷业务相关数据录入是否及时、完整?b.征信系统的查询是否及时、完整?24不良贷款的管理：

27、发现1笔因管理不善而丧失诉讼时效的，或因管理不力而导致严重影响贷款清收效果的，该项不得分；一般性的错误或缺失，扣该项分值的25%，扣完为止。1.5a.是否对不良贷款进行至少每月一次的现场检查,适时提出催收方案和措施?b.是否按规定对不良贷款的抵、质押物进行管理、检查?25保证金（含本外币业务）管理：发现一笔被挪用或保证金不足的，该项不得分；其他不符合要求的，每发现一项扣该项分值的50%，扣完为止。1a.保证金来源是否合规？ b.保证金账户是否专户管理,及时足额存入、冻结？ c.是否存在挪用、提前支用保证金的现象？26是否存在其他违规行为或潜在风险？除上述问题外，未发现存在其他违反各项规章制度的

28、行为或潜在风险的，得满分；每发现一项扣该项分值的50%，扣完为止。1（二）柜面业务的内部控制措施2527会计岗位分离的控制：发现一项不符合要求的，该项不得分。2是否严格执行会计不相容岗位相分离的制度？（包括但不限于联行业务印、押、证三分管；章证分管；同城票据交换前后台相分离等。）28现金尾箱的管理：发现挪用库存现金、白条抵库的，该项不得分，其他发现一项不符合要求的，扣该项分值的50%，扣完为止。1.5a.营业柜员现金尾箱是否每日日终轮流清点？b.是否双人封箱、双人开箱、人离箱锁？c.是否存在账实不符、挪用库存现金或“票据、白条抵库“的现象？29金库的管理：发现一项不符合要求的，该项不得分。1a

29、.是否实行“双人管库”，管库是否坚持“五同”原则（同开库、同进库、同在库、同出库和同锁库）？b.金库是否配备正副钥匙各一套，正副钥匙的管理是否符合规定？c.金库是否设置各种登记簿，并真实、准确、完整、及时记载？d.是否严格禁止非当班金库工作人员进入金库？30ATM和其他自助银行机具等的管理：a.是否设立设备专管员并实行钥匙和密码分管？b.是否严格执行双人加钞且相关操作符合规定？发现一项不符合要求的，该项不得分。131重要空白凭证和有价单证的管理：发现一项不符合要求的，该项不得分。1.5a.重空是否按规定管理，领用、保管、出售、作废是否及时进行账务处理？ b.是否做到账实相符？32查库的管理：发

30、现一项不符合要求的，该项不得分。1a.各级管理人员对金库、现金尾箱、重要空白凭证有无按规定的频率和要求查库？b.查库时，是否有不清点实物数量、甚至虚假填写查库记录的现象？33业务印章的管理：发现一项不符合要求的，该项不得分。1a.业务印章是否严格遵循“谁使用、谁保管”的原则？b.是否执行“人在章在、人离章锁、严禁委托他人代管”的制度？c.营业终了印章是否入库保管？d.业务印章保管登记簿是否能与业务印章实际保管情况核对一致？34实物保管的管理：发现一项不符合要求的，扣该项分值的50%，扣完为止。1是否严格控制和保管各类重要实物？（包括但不限于抵质押物权证、票据实物、印鉴卡等实物。）密钥？35对账

31、工作的管理：每发现一项不符合要求的，扣该项分值的50%，扣完为止。1a.对账的频率是否达到规定？银企对账单回收率是否达到规定？b.对账工作是否存在敷衍了事或流于形式的现象？如出现明显账务核对不符而结果填写“相符”的情况。36账户管理：a.内、外部账户的开立、变更与撤销是否符合账户管理规定，手续是否完善、资料是否齐备？b.内、外部账户的使用管理是否合规？ c.是否及时在验印系统中录入、变更、修改和删除印鉴信息,是否按规定核对印鉴,保存验印信息?每发现一类不符合要求的，扣该项分值的50%，扣完为止。137会计授权的管理：每发现一项不符合要求的，该项不得分。1a.是否实行综合业务系统的事权控制,按权

32、限办理业务,柜台人员的名章、操作密码、身份识别等实行个人负责制? b.是否执行重要会计事项授权？（包括但不限于错账冲正、账务调整、大额支付、自制凭证、查询查复业务、挂账和临时过渡业务等授权。）38挂账业务的管理：每发现一笔不符合要求的，扣该项分值的50%，扣完为止。1a.挂账业务是否合理、合规？b.挂账业务是否及时清理？39会计核算的管理：每发现一类不符合要求的，扣该项分值的50%，扣完为止。1a.会计核算是否严格按会计制度办理？b.会计信息反映是否及时、真实、合法？40会计监督：发现一项不相符的，该项不得分。1a.是否对会计账务处理的全过程实行监督（事前、事中、事后）？b.会计账务是否做到账

33、账、账据、账款、账实、账表和内外账的六相符？41会计档案的管理：每发现一类不符合要求的，扣该项分值的50%，扣完为止。1a.会计凭证、账簿、报表是否及时装订？b.是否及时登记会计档案登记簿并专人保管？c.是否就有关交接、整理、借阅、保管、销毁等环节作出规定并遵照执行？ d.是否按规定打印、设置、登记和管理各类登记簿？42财务控制:存在违反总行授权的，该项不得分；发现其他任何一项不符的，扣除该项分值的50%，扣完为止。1a.是否符合总行规定的权限范围?b.是否遵循财务计划管理规定制定本行财务预算并落实执行?c.是否按照内部财务审批程序和审批权限切实执行?d.业务管理费及重要财务事项是否严格按照相

34、关财税法规和总行的相关规定办理?43财务审查和集中采购的控制：发现任何一项不符的，扣除该项分值的50%，扣完为止。1a.是否建立健全财务审查、集中采购及相关制度并严格执行?b.财委会运作是否符合申请、受理和审批的标准和程序?c.集中采购是否遵循招投标委员会相关规定，严格落实审批、采购和使用三分离?44固定资产的管理:发现任何一项不符的，扣除该项分值的50%，扣完为止。1a.是否明确固定资产等采购、保管使用、报废等程序？b.库存固定资产日常管理是否坚持账、物分管的原则，做到账实相符、账卡相符、账账相符?c.是否建立调拨制度、维修保养制度并严格执行?d.固定资产实物管理部门是否制定规程定期或不定期

35、地对固定资产进行盘点、清查？45资产负债管理：发现一项不符的，扣除该项分值的50%，扣完为止。1a.是否严格按照总行有关制度实行资产负债管理，有效维持资产负债总量和结构均衡？b.是否严格执行利率管理规定?46资金业务的管理：存在违反总行授权的，该项不得分；发现一项不符的，扣除该项分值的50%，扣完为止。1a.是否在权限范围内，严格按照本行制度开展资金业务?b.是否制定资金业务程序并严格执行?c.有关岗位备案制度和岗位制约措施是否落实，并实行严格的前后台职责分离?d.是否建立资金、债券等管理台账，并定期与会计账核对相符？47中间业务的管理: a.是否签订合法、规范、有效的代理协议,设立专户核算代

36、理基金,完善资金划转、拨付、回收、核对等手续?是否遵循不垫款原则?发现任何一项不符的，扣除该项分值的50%，扣完为止。2 b.是否按照制度规定办理资金证明、保管箱和咨询顾问等中间业务?48是否存在其他违规行为或潜在风险？除上述问题外，未发现存在其他违反各项规章制度的行为或潜在风险的，得满分；每发现一项扣该项分值的50%，扣完为止。1（三）IT系统的内部控制措施1549业务系统计算机用户管理结果:发现一项不符，该项不得分。1是否在人员调离、离岗或休假时，及时删除或暂禁业务系统计算机用户?50业务系统计算机用户管理手续:未设立登记簿或用户清查次数不足的，该项不得分；手续不完整的，每发现一项扣该项分

37、值的50%，扣完为止。1a.办理计算机用户申请、新增、删除、初始密码传递的手续是否规范?措施是否有效？b.是否设立登记簿记录重要的交接信息?c.计算机用户检查是否核心系统每季一次、各开放平台每年一次？51中心机房建设：每发现一项不符扣该项分值的50%，扣完为止。0.5a.是否按相关质量控制标准选材和施工？b.是否严格按规定布设录像监控、电脑门禁、消防、防水、防爆、温湿度调控、防雷、防磁、接地等设施，是否配备功率适当的UPS、发电机和双路供电？ 52中心机房管理：每发现一项不符扣该项分值的50%，扣完为止。0.5a.是否巡检、维护和记录机房设施运行状态？状态如何？b.机房是否干净、整洁？c.外部

38、人员出入机房是否审批登记？53生产运行值班制度：每发现一项不符和要求的，扣该项分值的50%，扣完为止。1a.是否对所有业务系统运行情况设立巡检登记簿进行巡检和记录运行状态？b.是否及时处理和记录系统故障并记录排除故障措施和处理结果？54核心网络系统的监控：没有进行监控或巡检和风险评估的，该项不得分；每发现一项不符合要求的，扣该项分值的50%，扣完为止。1a.是否严格按制度每天两次对核心网络进行监控并记录监控结果、每半年一次对网络运行风险进行评估？b.是否严格按制度每季至少一次检验备用设备的可用性，并组织服务商对网络设备进行巡检?55网络系统变更的管理：发现一项不符，该项不得分。1a.是否对系统

39、和网络参数进行归档？b.网络变更和维护是否经过审批，是否有实施方案和应急方案，实施时是否有双人复核和实施结果的检查？c.参数变更是否及时更新档案，参数档案的保存期限、存放方式和负责人是否明确？56防范网络病毒和外部入侵的管理：每发现一项不符，扣该项分值的50%，扣完为止。1a.是否严格执行总行有关防范网络病毒和外部入侵的各项规定?b.是否按规定全面安装授权防病毒程序，及时更新病毒代码，及时安装系统补丁？c.是否严禁营业终端接入互联网？经允许的互联网接入是否采取物理或逻辑隔离措施？57密钥管理：每发现一项不符，扣该项分值50%，扣完为止。1a.是否严格按制度规定对全行密钥进行明细登记?b.密钥是

40、否分量分人专管、在保险柜存放?c.密钥的使用和出入库是否履行审批登记手续？d.是否对密钥保管和使用情况定期自查并形成检查记录？58数据备份的管理：未进行数据备份的，该项不得分；存在不符合评价内容的，每发现一项扣该项分值的50%，扣完为止。1a.是否按总行有关数据备份制度对所有业务系统参数及其生产数据进行数据备份？b.是否以书面形式记录数据备份策略？是否设立数据备份和异地存放交接登记簿？c.是否对数据备份实施情况、备份数据有效性、介质完整性进行检查并形成检查记录？59业务数据差错维护的管理：每发现一项不符，扣该项分值的50%，扣完为止。1a.网点、业务管理部门和科技部门是否严格审批并及时受理纠错

41、申请，监控纠错申请及操作真实性？b.是否妥善管理纠错业务档案？60电子数据提取的管理：每发现一项不符，扣该项分值的50%，扣完为止。1a.是否按制度要求提取电子数据，明确提取电子数据的范围、交接方式、审批手续、保密责任人？b.提取的电子数据的保存期限和销毁工作是否符合有关要求？61数据移植的管理：每发现一项不符，扣该项分值的50%，扣完为止。1a.是否建立数据移植管理制度？b.网点上线、业务上线、网点撤并等移行操作是否规范？62应急响应预案的管理：未建立应急响应预案的，该项不得分；每发现一项不符合要求，扣该项分值的50%，扣完为止。1a.主要的信息系统是否建立应急响应预案？b.是否建立覆盖主要

42、信息系统、主要业务环节、关键外包运营商和监管机构的通讯录？c.是否明确主要信息系统、主要业务环节责任人，其是否清楚在应急响应链中的本职职责、业务流程、报告路线及应急联络对象？d.是否制定区分短、长期的应急恢复计划?e.是否督促跟踪供应商的业务连续性规划?63应急响应预案的培训和演练：未建立培训或演练制度的，该项不得分；存在不符合要求的，每发现一项扣该项分值的50%，扣完为止。1a.是否建立应急响应应对能力的培训制度,对主要的信息系统维护人员、主要的业务人员乃至新员工持续进行应急响应培训，以保证所有应急岗位人员明晰其应急职责?b.是否建立信息系统应急演练制度，是否定期实施应急演练，演练项目是否覆

43、盖主要信息系统和主要业务环节，演练是否履行审批、记录、分析、更新演练方案手续?64是否存在其他违规行为或潜在风险？除上述问题外，未发现存在其他违反各项规章制度的行为或潜在风险的，得满分；每发现一项扣该项分值的50%，扣完为止。1（四）保卫工作的内部控制措施565监控录像管理：每发现一项不符合要求的，扣该项分值的50%，扣完为止。1.5a.是否在ATM、自助银行、营业场所、金库等重要场所全部安装了监控录像设施？b.录像监控范围能否覆盖所有重要营业场所，如ATM加钞操作、柜员出纳尾箱、现金区全景等？c.监控时间能否覆盖被监控业务整个工作时间？d.录像画面是否清晰、记录完整？e.录像保存期限是否符合要求？f.是否制定了监控录像安装、监测、定期检查维护等方面的控制制度并得以严格执行？66安全设施管理：每发现一项不符合要求的，扣该项分值的50%，扣完为止。0.5a.是否在规定场所安装了110联网报警系统、防爆设施、消防设施？b.是否设置巡检登记簿记录安全设施运行状态和有效性？67武装守库押运管理：每发现一项不符合要求的，扣该项分值的50%，扣完为止。1a.是否严格遵守枪械、守库和押运钞制度？b.保卫人员是否不