商业银行内部控制评价试行办法

商业银行内部控制评价指标中国银行监督委员会命令2004第9号制定时间：2004-12-25发行单位：中国银行监督管理委员会商业银行内部控制评价试行办法已经在2004年8月20日中国银行监督管理委员会第25届主席会议上通过，目前宣布从2005年2月1日开始实施。刘明康会长2004年12月25日商业银行内部控制评价指标第一章一般第一，为了规范和加强对商业银行内部控制的评价，敦促建立内部控制系统，完善内部控制机制，为建立综合风险管理系统奠定基础，确保商业银行的安全稳定运行，根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律规定制定本办法。第二条商业银行内部控制评价是指对商业银行内部控制系统的构建、实施和运行结果独立进行的调查、测试、分析和评价等系统活动。内部控制评估包括流程评估和结果评估。流程评估是对内部控制环境、风险识别和评估、内部控制措施、监督评估和修正、信息交换和反馈等系统因素的评估。结果评价是对内部控制主要目标实现程度的评价。第三条商业银行内部控制系统是商业银行为实现经营目标而制定和执行系统的政策、程序和程序，从而有效识别、评价、控制、监控和改善风险的动态过程和机制。第四条商业银行应当建立和维护系统透明和有文档记录的内部控制系统，如果相关法规和其他经营环境发生重大变化，应定期审查和完善内部控制系统。第五条商业银行内部控制评价由中国银行监督管理委员会(以下简称银监会)及其派出机构实施。第六条内部控制评价者应当接受具有适当资格和能力的内部控制评价知识和技能的培训。第二章评价目标和原则第七条商业银行内部控制评价的目标主要包括：(a)鼓励商业银行严格遵守国家法律规定、银监会的监管要求和商业银行审慎经营的原则；(b)提高商业银行的风险管理水平，确保实现发展战略和业务目标。(c)加强商业银行业务、财务和管理信息的可靠性、完整性和及时性。(四)加强商业银行各级管理者和员工的内部控制意识，严格贯彻各种控制措施，确保内部控制系统有效运行。(e)在发生业务创新、机构结构调整和新建等重大变化时，促进商业银行及时有效地评估和控制可能发生的风险。第八条内部控制评价应从适当性、遵守性、有效性和适合性四个方面进行。(a)过程和风险是否得到充分识别。(b)流程和风险管理措施是否符合相关要求、明确定义、实施和维护。(c)控制措施是否有效。(d)控制措施是否适当。第九条内部控制评价应遵循以下原则：(a)综合原则。评价范围应包括商业银行内部控制活动的全过程和所有系统、部门、职务。(b)统一原则。评价过程的准确性和为了确保评价结果的客观性和可比性，评价标准、范围、程序和方法等必须一致。(c)独立原则。评估必须由银监会或委托评估机构独立进行。(d)公平原则。评价要以事实为基础，以法律法规、法规要求为指导，客观、公正、实事求是。(e)重要性原则。评价要根据风险和控制的重要性，重点放在重点地区和重点工作上。(6)时效性原则。评价要按规定的时间间隔进行，如果经营管理环境发生重大变化，要及时重新评价。第三章评价内容第一节内部控制环境第十条商业银行的公司治理结构。商业银行要建立以股东大会、董事会、监事会、高级管理人员等为主体的公司治理结构，确保各机关的规范运行和分权制衡。(一)完善股东大会、董事会、监事会、下属程序和决策机关，建立程序规则和决策程序；(b)在内部控制中明确董事会和董事、监事会、监事、高级管理人员和高级管理人员的责任。(三)建立独立董事制度，对董事会讨论事项提出客观公正的意见。(四)建立监督董事会、董事、高级管理人员及其成员的外部监督制度；第11条董事会、监事会和高级管理人员的责任。董事会负责确保商业银行建立和实施完整有效的内部控制系统。负责对整体经营战略和重大政策进行审查、实施的情况进行定期检查和评价。必须确保商业银行在法律和政策框架内谨慎运营，明确设定可接受的风险水平，并允许高级管理人员采取识别、衡量、监控和控制风险的必要措施。负责组织机构的批准。高级管理人员负责监控和评估内部控制系统的适当性和效果。监事会监督董事会，高级管理人员负责完善内部控制制度。监督履行内部控制责任的董事会和董事、高级管理人员和高级管理人员。有责任要求董事、董事长及高级管理人员纠正损害商业银行利益的行为，并进行执行监督。高级管理人员负责制定内部控制政策，监控和评估内部控制系统的适当性和效果。负责执行董事会的决策。负责识别、测量、监视和控制风险的程序和措施。负责建立和完善内部组织，有效履行内部控制的各种责任。董事会和高级管理人员还必须培养良好的内部控制文化，提高员工的风险意识和职业道德素质，建立无缝的内部和外部信息通信渠道，并确保及时访问与内部控制相关的人员、物力、财务、信息和技术等资源。第12条内部控制政策。商业银行必须在各种业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为内部控制目标的制定和审查提供指导。内部控制政策应：(a)与商业银行的业务目的和发展战略相一致；(2)反映内部控制的持续改进要求。(三)遵守现行法律、法规、规章要求。(4)反映了注重控制的风险类型。(e)反映各种区域、行业和产品的风险管理要求。(6)传达给该职位的员工，指导员工风险管理措施。(七)寻求风险各方可以利用、互利的合作。(八)定期审查，确保持续的适合性和有效性。第13条内部控制目标。商业银行必须在相关功能和级别设定和维护内部控制目标。内部控制目标必须遵守内部控制政策，反映持续改进的要求。制定和审查内部控制目标时，必须考虑法律法规、法规要求和其他要求，以及技术、财务、运营和风险相关者，尤其是监管部门的内部控制指标要求。内部控制目标必须是可测量的。如果有条件，量化目标应用指标。第14条组织结构。商业银行要建立分工合理、责任明确、报告关系明确的组织结构，明确风险和内部控制相关的所有部门、职务、负责人的责任和权限，形成传达这些内容的文件。特别是，必须考虑：(一)建立相应的许可体系，实行统一法人管理和法人授权；(b)必要责任的分离，水平和垂直相互监督和制约关系。(c)与资产、负债、财务和人力资源相关的重要事项的变更不能单独决定。(d)明确主要职位、特殊职位、不兼容工作和控制要求。(e)建立重要职务的定期或非定期人员轮换和强制休假制度。商业银行应当建立对内部控制系统的建立、实施具有特殊责任的专门委员会或部门，明确其责任、权限和报告渠道。商业银行要建立具有整个线路系统垂直管理、完全独立的内部审计部门。内部审计部门必须具有相应资格和能力的审计人员。必须有权访问商业银行的所有运营和管理信息。审计频率以及对机关和业务的审计范围根据主管机关的风险等级结果确定，检查、评估必须定期或不定期地对内部控制的健全性和效果实施。应向董事会或董事会审计委员会及时提交审计报告。董事会和高级管理人员必须保证及时纠正审计报告中指出的内部控制的缺失。本公司内部审计负责人的任用及罢免应得到董事会或监事会的同意。第15条企业文化。商业银行要培养健全的企业文化，对企业文化的内涵及其计划、渗透、评价和改善制定明确的规定。特别是要向员工传达遵守法律法规和实施内部控制的重要性，指导员工提高合规意识和风险意识，提高员工的职业道德水平，规范员工职业行为等。第16条人力资源。商业银行必须改善人力资源政策和程序，确保与风险和内部控制相关人员的适当能力和认识。商业银行必须明确相关人员的适任条件，明确有关教育、工作经验、教育及技能等的要求，确保相关人员的能力。高级管理人员必须满足管理机构对高级管理人员素质的要求。商业银行必须开发和维护培训项目，以便高级管理人员和全体员工完成其负责的内部控制的任务和责任。培训计划必须定期审查，并考虑不同级别的员工责任、能力、文化水平和风险。商业银行要对员工的引进、退出、选拔、绩效评价、薪酬、福利、专业技术职务管理处罚等日常人事管理作出详细规定，充分考虑人力资源管理过程中的风险。第二节风险识别和评估第17条经营活动的风险识别和评价。商业银行必须建立和保持书面程序，以继续对各种风险进行有效的识别和评估。商业银行的主要风险包括信用风险、市场风险(包括利率风险)、运营风险、国家和转移风险、流动性风险、法律风险和声誉风险。必须确定和确定日常和非常规业务和管理活动，确定这些活动中发生的风险(无论是否发生在内部)，并考虑类型、来源和影响范围，尤其是使用计算机系统可能产生的风险。根据法律法规、法规要求和内部控制政策，您必须确定风险是否可接受，以确定是否需要采取进一步措施。如果风险可以接受，则应监视并定期检查，以确保持续可接受。如果危险不允许，必须制定控制措施。商业银行在识别和评估各种风险时，必须充分考虑内部和外部因素。这包括组织结构的复杂性、银行业务的性质、制度变迁、员工的流动等。外部因素包括经济状况的变动，行业的变动趋势等。环境和条件发生变化时，必须及时重新识别和重新评估风险，以便识别和控制新的或以前未控制的风险。风险识别和评估应：(a)根据业务范围、性质和时间限制积极。(b)评估风险的结果、概率和风险水平。(c)必要时开发和应用量化风险的评估方法和模型。第18条确定法律法规、监管要求和其他要求。商业银行必须建立和保持确定和获取相应法律、监管要求和其他要求的程序，作为风险识别和评估、控制目标和控制计划制定的标准。商业银行必须及时更新有关法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关人员。第19条内部控制方案。商业银行应制定控制已确定的不允许风险的内部控制方案。内部控制措施方案应包括：(a)为控制风险而规定的相关责任和权限。(b)受控战略、方法、资源要求和时间限制要求。如果对组织结构、流程、计算机系统等进行了重大更改，则应考虑可能出现的新风险因素。第三节内部控制措施第20条运营控制。商业银行必须确定需要按照计划的控制措施或现有控制程序控制的控制措施的业务和管理活动。(a)控制措施包括：1.高层检查。董事会和高级管理人员应向下级部门及时报告经营管理情况和特殊情况，检查内部控制的实施情况和内部控制目标实现的进展情况。高层管理人员应根据检查情况提出内部控制不足，敦促改善功能管理。2.行为控制。各级职能管理部门每天、每周或每月审查收到的经营情况和特殊情况报告或报告，提出要求纠正措施的问题。3.物理控制。主要控制措施包括物理限制、双重保管和定期库存等。4.审查风险暴露限制。审查遵循风险暴露限制的法规遵从性，并在违反时继续跟踪检查。5.批准和批准。根据各种限制条件批准和批准各项工作、管理活动，明确各级管理责任。6.验证和验证。验证各种业务、管理活动和采用的风险管理模型结果，定期验证相关情况，及时发现需要纠正的问题，并向功能管理部门报告。适当分离不兼容的帖子。实行适当的职务分工，掌握和最小化潜在的利益冲突。(b)控制要点如下：1.为了能够偏离内部控制政策和目标的运营，必须建立和维护书面程序和要求，并在程序中明确操作和控制标准。2.对重要活动要进行持续的记录和监督检查。3.如果可能，应考虑使用计算机系统进行控制。4.对于购买或外包的设施、设备、系统和服务中确定的风险，必须建立和维护控制程序，并将相关程序和要求通知提供者，确保符合商业银行的相关控制要求。5.必须对产品、组织结构、过程、计算机系统的设计过程建立有效的控制程序。第21条计算机系统环境下的控制。商业银行必须考虑计算机系统环境下的业务运营特性，构建信息安全管理系统，设计和购买硬件、操作系统和应用程序、数据和操作环境，并通过安全和使用实施控制确保信息的完整性、安全性和可用性。明确计算机信息系