内控评价办法.docx

XX分行内部控制评价第一章 总则第一条 内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制，是公司治理机制的重要组成部分，是控制风险、杜绝违规、防范案件的重要手段，为进一步健全内部控制机制，加强内控评价工作，建立一个以风险为导向、以控制为目的的内控评价体系，科学、有效、全面、客观的对被审计对象内部控制状况进行评估，保证银行安全稳健运行、健康有序发展，根据银监会商业银行内部控制评价试行办法、内部控制指引，特制定本内部控制评价办法。 第二条 商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。包括对控制环境、风险评估、控制活动、信息与交流、监督与评审等体系要素的评价。第三条 XX分行及其辖属机构的内部控制评价工作由XX分行监察稽核部具体组织实施。第四条 本评价办法主要适用于XX分行监察稽核部开展的常规稽核项目中的内部控制评价环节。其他机构、部门自行开展的内控评价工作亦可参考本办法施行。第五条 由于监察稽核部开展的稽核检查工作规定了检查所覆盖的时间范围且仅局限于业务抽查，因此使用本评价办法得出的内部控制评价等级仅代表被评价机构在表明的稽核检查范围内的内部控制状况，除监察稽核部稽核检查范围之外所发生的案件或重大违规问题，监察稽核部不负责任。第六条 内部控制评价人员应接受有关内部控制评价知识和技能的培训，具备相应的资质和能力，原则上由实施该常规稽核项目的组长组织，由该常规稽核组成员具体执行。评价结果经稽核项目评审委员会审查后记入常规稽核报告。第二章 评价目标和原则第七条 内部控制评价的目标主要包括：（一）促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。（二）促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现。（三）促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。（四）促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。（五）促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。第八条 内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行：（一）过程和风险是否已被充分识别。 （二）过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。（三）控制措施是否有效。 （四）控制措施是否适宜。第九条 内部控制评价应遵循以下原则：（一）全面性原则。评价范围应覆盖辖属各二级分行、城区支行、县支行内部控制活动的全过程及所有的系统、部门和岗位。（二）统一性原则。评价的准则、范围、程序和方法等应保持一致，以确保评价过程的准确性及评价结果的客观性和可比性。（三）独立性原则。评价应由与被评价的活动无直接责任的人员独立进行。（四）公正性原则。评价应以事实为基础，以法律法规、监管要求、规章制度等为准则，客观公正，实事求是。（五）重要性原则。评价应关注重点业务，依据风险和控制的重要性程度确定重点。（六）及时性原则。评价应按照规定的时间间隔持续进行，如无特殊情况应结合常规稽核检查每年进行一次。第三章 评价内容第十条 控制环境控制环境是推动控制工作的发动机，使所有其它内部控制组成部分的基础。（一）内控政策 1、内部控制规章制度的建设情况。包括制定的各项规章制度是否与全行的经营宗旨和发展战略相一致，符合现行法律法规和监管要求；是否体现了持续改进内控状况的要求；是否能够体现出控制侧重的风险类型；是否能够体现出对当地实际情况的风险控制要求。 2、各项制度执行的有效性。包括各项规章制度是否传达到适用岗位的各级员工，指导员工实施风险控制措施；是否对各项制度进行了定期评审，确保其持续的适用性和有效性。（二）激励机制1、激励措施的建设情况。包括是否制定了适用的奖惩措施、福利制度以及人员的引进、退出、选拔机制；是否从精神、物质等各个层面对员工进行了适当的激励。2、激励措施的执行情况。包括管理层是否坚持以人为本的理念，经常组织各种业务竞赛或文体活动，效果如何；能否指导各级员工正确开展工作；是否经常与员工谈心；是否做到了及时关心员工的工作和生活状况。（三）工作能力1、管理层的工作能力。包括能否根据各岗位情况科学的划分工作任务，做到人尽其责；能否在劳动组织及制度办法变化时，督促相关部门建立并及时修订部门及岗位的责任制；能否为员工提供适当的培训使其达到熟悉岗位的要求。2、基层人员的工作能力。包括基层各级人员是否具备足以完成工作所需要的知识和技能；各岗位人员的能力是否与其责任相匹配。（四）组织结构1、组织结构建立的情况。包括是否成立了相关组织或管理委员会（如：内部控制委员会、风险评审委员会、大额采购委员会等）；是否建立了分工合理、职责明确、报告关系清晰的组织结构；是否明确了所有与风险和内部控制有关的部门、岗位、人员的职责和权限；是否建立了相应的授权体系，实行统一法人管理和授权；是否明确了关键岗位、特殊岗位、不相容岗位及其控制要求；是否建立了关键岗位定期或不定期的人员轮换和强制休假制度。 2、组织结构运作的有效性。包括各组织或委员能否民主发表意见，按程序操作照章办事；是否做到了必要的职责分离，以及相互监督制约关系；是否做到了不得由一个人独自决定涉及资产、负债、财务和人员等重要事项的变动；是否做到了关键岗位定期或不定期的人员轮换和强制休假。（五）企业合规文化1、是否向员工传达了遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为；管理层是否起到遵章守纪的表率作用。2、管理人员及业务人员是否严格遵守会计原则，对财务报告采取积极的行动，及时完整准确的披露重要财务信息。（六）人力资源1、人力资源相关政策制定的合理性。包括制定的人力资源管理办法是否做到了公平、公正、公开，确实能够实现各级人员价值；是否完善了人力资源政策和程序，确保风险和内控有关人员具备相应的能力和意识；是否制定了各级人员的培训计划；对于员工的绩效考核等日常人事管理是否做出了详细规定。2、人力资源相关政策执行的有效性。包括是否确实保证执行了各级人员的培训计划；是否按政策执行了员工的绩效考核等日常人事管理。第十一条 风险评估风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动，对风险的分析评估构成风险管理决策的基础。（一）风险评估目标。包括制定的各项业务活动的具体目标、实施计划和预算与上级行下达的整体任务指标能否做到协调一致并达到控制风险的目标；各项业务活动目标是否明确和有针对性；设定目标时，所有管理层是否全部参与并积极提出合理化建议和意见。（二）风险识别能力。包括是否建立了完善的风险预警、分析及报告制度；各级人员是否能够及时、准确的识别整体经营状况、各项业务活动中所潜在的风险及影响风险形成的内、外部因素。（三）风险分析能力。包括各级管理人员及业务人员对风险重要级别及发生的可能性能否正确估量；分析风险的各个环节能否做到相互关联及延续；对于由于内、外部因素变化导致出现的风险是否做到了及时分析并报告，检查分析是否做到透彻与恰当。（四）风险管理能力。包括各部门能否根据实际情况对潜在的风险隐患及时做出反应并采取相应措施，达到较好的转移或消化风险隐患的目的。第十二条 控制活动控制活动是为了合理的保证经营管理目标的实现指导员工实施管理指令，管理和化解风险而采取的政策和程序。（一）管理控制。包括管理层是否要求辖属机构和人员提供定期或不定期业绩报告；每项经营和管理活动是否得到了适当的控制；对内审、外审机构查出的问题，是否要求其采取相应的改进和防范措施。（二）业务控制。包括各级机构、部门是否对日常业务活动采取了有效的内控措施及执行情况。（三）实物控制。包括是否对现金、固定资产、低值易耗品、抵押物权证和抵、质押品等进行了有效的管理；是否限制了接触这些实物的人员；对上述实物是否实行了限额管理；是否设置双人保管、定期检查等项制度以及上述措施的执行情况。（四）授权审批控制。包括在各项业务经营、管理活动中是否有明确的授权和审批制度及其执行情况。（五）核实监督控制。包括是否对各类业务交易和操作的详细情况以及风险管理的结果进行核实监督，及时发现问题并向管理层报告。（六）不相容岗位分离控制。包括是否实行了适当的职责分工，切实使兼容岗位潜在的利益冲突最小化。第十三条 信息与交流信息与交流存在于所有经营管理活动中，使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息，包括管理者对员工工作业绩的经常性评价。（一）信息系统的有效性。包括各类信息系统能否有效运作，信息系统是否能够把诸如内部财务（各类会计账表）、经营、管理、业务、重大事件和市场信息等相关的信息进行识别、采集、处理并及时、准确地提供给管理层。 （二）信息系统的真实性。包括启用的各类信息系统涵盖的信息是否真实可靠；是否提供了银行的全部重要活动信息（以电子形式、纸质形式存储和使用的数据）；信息系统是否严格按照系统相关规定进行了运作；是否建立了严格的保密措施；是否做到了必要的数据备份；在意外事件发生时，是否有完善的措施备用并及时解决问题。 （三）信息渠道的畅通性。包括各种信息（尤其是会计数据信息及规章制度）能否及时、有效的在各个机构、部门之间进行传达、沟通、交流；银行所有员工能否及时、准确、充分的了解和遵守涉及其责任和义务的所有政策和程序，并且做到各负其责，互相配合。 第十四条 监督与评审监督与评审是经营管理部门对内部控制的管理监督和检查人员对内部控制的再监督与再评价活动的总称。（一）内控制度执行能力。包括各级管理部门或检查人员对被检查机构、部门建立的内部控制执行程序是否完善且与业务发展同步，并定期或不定期对各部门、各岗位、各项业务实施全面、连续的监控和评价。 （二）报告和信息反馈制度。包括当检查人员发现问题和缺陷后，是否及时向相关职能部门或管理层报告，遇重大或紧急问题是否采取双线汇报的方式。（三）问题的处理和纠正机制。包括是否建立了内部控制问题和缺陷的处理和纠正机制；各级人员根据内部控制的检查情况和评价结果，是否及时提出了整改意见和纠正措施，并采取后续跟进等方式督促有关部门或分支机构落实整改。（四）信贷资产监督管理制度。包括是否建立了完善的信贷资产监督管理制度；是否采取了多种方式深入、渗透到各业务和管理环节，对各环节的风险状况作出准确、如实的反映和判断；是否对贷款业务的全过程实施了有效的监督。（五）相关检查人员的履职情况。包括相关检查人员在履行职责时，是否独立行使了检查权、监督权、报告权以及行使的情况如何。 第四章 评分标准和评价等级第十五条 内部控制评价采取评分制。为确保评价结果的可比性，对内部控制评价的项目，均分别设置一定的标准分值，根据评价的实际得分确定被评价机构的评价等级。第十六条 内部控制评价设置标准分1000分，各环节的标准分值分别是：控制环境180分、风险评估200分、控制活动420分、信息与交流100分、监督与评审100分。五个环节得分加总后再除以10，换算成对内部控制评价的最终得分。 第十七条 初次实施内部控制评价时，须对所有业务活动、管理活动和支持保障活动进行评价。再次评价时，至少应包括授信业务。其他活动在每三次再次评价周期内应至少覆盖一次。第十八条 内部控制评价的具体评分标准如下： （一）被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。 （二）在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要求的，可得该项分值的百分之三十。 （三）在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。 （四）在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。 第十九条 若涉及到需要采取抽样测试确定评价结论的，应根据以下情况确定： （一）如果在抽样范围内发现违规率在10%（含10%）以下的，该项评价得满分；在10%-30%（含30%）之间的，得该评价项目分值的50%；在30%以上的，该评价项目不得分。 （二）抽样中发现险情或事故的，直接扣除该评价项目的分值。第二十条 根据评价人员所评价业务种类不同赋予不同的权重，将实施评价的小组成员评价得分加权平均后即得被评价机构的内控评价总分。各项业务种类的权重为：授信业务占比40%（其中：公司授信业务占比20%；零售贷款业务占比20%）；财会清算业务占比30%；存汇业务占比20%；中间业务占比10%。第二十一条 根据内控评价总分确定被评价机构的内部控制体系评价等级，应按评分标准对被评价机构内部控制项目逐项计算得分，确定评价等级。定级标准为： 一级：综合评分90分（含90分）以上。指被评价机构有健全的内部控制体系，在各个环节均能有效执行内部控制措施，能对所有风险进行有效识别和控制，无任何风险控制盲点，控制措施适宜，经营效果显著。 二级：综合评分80（含80分）90分。指被评价机构内部控制体系比较健全，在各个环节能够较好执行内部控制措施，能对主要风险进行识别和控制，控制措施基本适宜，经营效果较好。 三级：综合评分70（含70分）-80 分。指被评价机构内部控制体系一般，虽建立了大部分内部控制，但缺乏系统性和连续性，在内部控制措施执行方面缺乏一贯的合规性，存在少量重大风险，经营效果一般。 四级：综合评分60（含60分）70 分。被评价机构内部控制体系较差，内部控制体系不健全或重要的内部控制措施没有贯彻执行或无效，管理方面存在重大问题，业务经营安全性差。 五级：综