商业银行内部控制相关法规介绍课件

商业银行内部控制相关法规介绍

商业银行内部控制相关法规介绍1主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）

主要内容相关国际标准2内控相关法规的发展演变过程1992COSO

《内部控制—综合框架》1997中国人民银行

《加强金融机构内部控制的指导原则》1998巴塞尔委员会

《银行组织内部控制系统框架》2002中国人民银行《商业银行内部控制指引》2004200720082010中国银监会

《商业银行内部控制评价试行办法》中国银监会

《商业银行操作风险管理指引》及《商业银行内部控制指引》五部委（财政部、审计署、银监会、证监会、保监会）

《企业内部控制基本规范》五部委

《企业内部控制配套指引》中国银监会《商业银行业务连续性监管指引》20112006中国银监会《商业银行合规风险管理指引》2013新COSO报告中国银监会《商业银行内部控制指引》2014财政部、证监会《关于内部控制评价的一般规定》20033内控相关法规的发展演变过程1992COSO

《内部控制—综合COSO报告《内部控制—整体框架》（1992年）制定方：美国Treadway委员会发起组织委员会

（CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO）框架定义控制环境风险评估控制活动信息与沟通监控内部控制的局限职能与责任内容摘要对外部各方的报告评价工具五大构成要素对内部控制框架的高度概括为准备公开报告其内部控制的主体提供指南对内部控制体系进行

评估内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率；财务报告的可靠性；符合适用的法律和法规。局限性如：判断失误；发生故障；管理层凌驾；串通；成本与效益等。组织中的每个人都对内部控制负有责任：董事会、管理层、内部审计师、其他人员。4COSO报告《内部控制—整体框架》（1992年）制定方：美国新COSO报告《内部控制—整体框架》（2013年）1992年2013年21年基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化。五大亮点在原有五要素基础上提出了17个基本原则，并提炼出82个代表相关原则的主要特征和关注点。每一项原则都代表着与内部控制五大要素相关联的基本概念。更加具体新框架提出的报告目标包括外部财务报告和非财务报告目标，以及内部财务报告和非财务报告目标。更加全面新框架强调董事会、管理层和内审人员要拥有“判断力”，给予董事会、管理层和内审人员适度的自由裁量权。内控如何实施、如何评价、如何认定有效性，企业可以有自己的判断。更加自主新框架把管理层评估舞弊风险归在风险评估阶段。要求“识别欺诈产生的各种途径，如非法所得、非法使用或处理资产、篡改企业报表记录等”，并“对欺诈风险产生的因素进行评估”。更加严格新框架提出要建立技术获取、开发和维护机制，相应的技术控制手段以及相关技术安全管理机制。更加先进5新COSO报告《内部控制—整体框架》（2013年）1992年新COSO报告十七条原则（1）新COSO报告十七条原则（1）6新COSO报告十七条原则（2）新COSO报告十七条原则（2）7新COSO报告十七条原则（3）新COSO报告十七条原则（3）8新COSO报告十七条原则（4）新COSO报告十七条原则（4）9新COSO报告十七条原则（5）新COSO报告十七条原则（5）10巴塞尔《银行组织内部控制系统框架》（1998年）内控三大目标操作性目标：各种活动的效果和效率信息性目标：财务和管理信息的可靠性、完整性和及时性合规性目标：遵从现行法律和规章制度六大组成部分管理层的督促与控制文化风险的识别与评估控制活动与职责分离信息与交流监督评审活动与缺陷的纠正监管当局对内控系统的评价内控定义由董事会、高级管理人员以及其他人员实施的一个过程，其目的是为了实现经营的效果与效率、会计与管理信息的可靠、完整与及时以及经营活动符合现行法律、法规的要求。原则1-3原则4原则5-6原则7-9原则10-12原则13巴塞尔《银行组织内部控制系统框架》（1998年）内控操作性目11其他国际上的有关标准其他国际上的有关标准12我国内部控制法律制度《商业银行法》第五十九条：商业银行应当按照有关规定,制定本行的业务规则,建立、健全本行的风险管理和内部控制制度。第六十条：商业银行应当建立、健全本行对存款、贷款、结算、呆账等各项情况的稽核、检查制度。原则性

法律规定《银行业监督管理法》第二十一条：银行业金融机构的审慎经营规则，包括风险管理、内部控制、资本充足率、资产质量、损失准备金、风险集中、关联交易、资产流动性等内容。银行业金融机构应当严格遵守审慎经营规则。我国内部控制法律制度《商业银行法》原则性

法律规定《银行业监13主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）

主要内容相关国际标准14《加强金融机构内部控制的指导原则》15《加强金融机构内部控制的指导原则》15内控的要素、内容和基本要求内控的要素、内容和基本要求16内控制度的管理与监督内控制度的

管理与监督金融机构

稽核（审计）部门中央银行

对各项业务提出内部控制建议。

检查和评价有关内部控制制度。

对有关内部控制的问题进行专题检查。

对违反内部控制的单位和人员给予纪律处分。

对金融机构实施业务稽核。

对金融机构内控状况做出评价。

委托外审部门对金融机构的内控状况做出评价。

提出整改建议，情节严重的给予处罚。

取消金融机构高管一定期限内甚至终身的任职资格。17内控制度的管理与监督内控制度的

管理与监督金融机构

稽核（审主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准18《商业银行内部控制指引》的演变过程1997年中国人民银行

《加强金融机构内部

控制的指导原则》2002年中国人民银行

《商业银行

内部控制指引》2007年中国银监会

《商业银行内部

控制指引》废止内容基本相同发文主体不同2003年中国银监会

成立不同之处：1、董监高职责等内容根据新的业务和环境进行修订。2、本指引第三章至第八章未作具体规定的商业银行其他业务或环节，应当按照本指引的要求建立和完善内部控制。3、《商业银行内部控制评价试行办法》（2004年）对商业银行做出的内部控制评价结果是商业银行风险评估的重要内容。19《商业银行内部控制指引》的演变过程1997年中国人民银行

《《商业银行内部控制指引》《商业银行内部控制指引》20内控的基本要求内控五大要素内部控制环境风险识别与评估内部控制措施信息交流与反馈监督评价与纠正内控的基本要求内控内部控制环境风险识别与评估内部控制措施信息21内控的基本要求（1）内部控制环境内控的基本要求（1）内部控制环境22内控的基本要求（2）风险识别与评估内控的基本要求（2）风险识别与评估23内控的基本要求（3）内部控制措施内控的基本要求（3）内部控制措施24内控的基本要求（4）信息交流与反馈内控的基本要求（4）信息交流与反馈25内控的基本要求（5）监督评价与纠正内控的基本要求（5）监督评价与纠正26根据业务条线的分类内部控制授信的内部控制资金业务的内部控制存款和柜台业务的内部控制中间业务的内部控制会计的内部控制计算机信息系统的内部控制根据业务条线的分类内部控制授信的内部控制资金业务的内部控制存27内部控制的监督与纠正（1）内控制度的

监督与纠正建设、执行部门监督、评价部门负责设计内部控制体系，组织、督促各业务部门、分支机构建立和健全内部控制。

负责组织检查、评价内部控制的健全性和有效性，督促管理层纠正内部控制存在的问题。对内部控制的制度建设和执行情况定期进行检查评价，提出改进建议，对违反规定的机构和人员提出处理意见。应当根据自身掌握的内部控制信息，对下级机构的内部控制状况定期做出评价，并将评价结果作为经营绩效考核的重要依据。上级机构下级机构内部控制的监督与纠正（1）内控制度的

监督与纠正建设、执行部28内部控制的监督与纠正（2）对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任。董事会对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任。对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。高级管理层对未执行审计方案、程序和方法导致重大问题未能被发现，对审计发现隐瞒不报或者未如实反映，审计结论与事实严重不符，对审计发现问题查处整改工作跟踪不力等行为，承担相应的责任。内部审计部门及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任。业务部门和分支机构报告和信息反馈制度：发现内部控制的隐患和缺陷，应当及时向董事会、管理层或相关部门报告。根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，并督促业务部门和分支机构落实。内部控制的监督与纠正（2）对内部控制的有效性负责，并对内部控29主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准30《商业银行内部控制评价试行办法》已废止：

中国银监会《关于发布银行业规章和规范性文件清理结果的公告》

（银监发〔2011〕1号

）31《商业银行内部控制评价试行办法》已废止：

中国银监会《关于发评价的目标和原则内部控制

评价目标方法原则（一）促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。（二）促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现。（三）促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。（四）促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。（五）促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。（一）充分性：过程和风险是否已被充分识别。（二）合规性：过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。（三）有效性：控制措施是否有效。（四）适宜性：控制措施是否适宜。（一）全面性原则（二）统一性原则（三）独立性原则（四）公正性原则（五）重要性原则（六）及时性原则评价的目标和原则内部控制

评价目标方法原则（一）促进商业银行32评价内容评价

内容内部控制环境风险识别与评估内部控制措施监督评价与纠正信息交流与反馈评价内容评价

内容内部控制环境风险识别与评估内部控制措施监督33评价程序评价准备：组成评价组；制订评价实施方案；准备必要的工作文件；在现场评价前应先与被评价机构建立初步联系，以便确认有关评价事项和安排。评价实施：评价组应按照既定的评价方案实施评价。通过适当的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以记录。评价报告形成：（一）被评价机构内部控制体系现状、存在问题及趋势分析。（二）同类银行比较。（三）监管建议。（四）可能的谅解因素。评价反馈：对被评价机构内部控制体系进行综合评价后，应与被评价机构管理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。评价程序评价准备：评价实施：评价报告形成：评价反馈：34评分标准过程评价

总分500分内部控制环境

100分风险识别与评估

100分内部控制措施

100分监督评价与纠正

100分信息交流与反馈

100分具体评分标准如下：

（一）被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。

（二）在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要求的，可得该项分值的百分之三十。

（三）在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。

（四）在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。公式：

调整后评价项目总得分=所有适用项目得分/(评价项目总分-不适用项目总分)×100%

单项分值小计和总分分值有小数时四舍五入。标准分值为500分，转化为百分制后得出实际得分。结果评价主要包括十项指标：：资本利润率、资产利润率、成本收入比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件指标等。过程评价的权重为70％，结果评价的权重为30％，两项得分加总得出综合评价总分。评分标准过程评价

总分500分内部控制环境

100分风险识别35评价等级

上述等级也适用于单项评级，单项评级结果主要用于对比分析。

内部控制体系连续在三个评价期内得不到改善的机构，其内部控制评价等级应适当下调。评价等级上述等级也适用于单项评级，单项评级结果主要用于对比36重大责任事故重大责任事故（一）因安全防范措施不当，发生金融诈骗、盗窃、抢劫、爆炸等案件，造成重大影响或损失。（二）因经营管理不善发生挤提事件。（三）业务系统故障，造成重大影响或损失。（四）经查实的重大信访事件。若被评价机构在评价期内发生重大责任事故，应在上述评级的基础上下调一级。重大责任事故（一）因安全防范措施不当，发生金融诈骗、盗窃、抢37组织和实施"统一领导，分级管理"组织和实施"统一领导，分级管理"38罚则银监会根据评级结果及评价报告所反映的情况，针对被评价机构内部控制体系存在问题的性质及严重程度，可分别采取以下一项或多项监管措施：（一）约见被评价机构第一负责人或董事长。（二）就评价对象内部控制体系存在问题可能引发的风险，向被评价机构进行提示和警告。（三）要求被评价机构对内部控制体系存在的问题限期整改。（四）加大现场检查力度及频率。（五）建议调整管理层。（六）取消有关人员一定期限或终身银行业从业资格。（七）责令整顿或暂停办理相关业务。（八）延缓批准或拒绝受理增设分支机构、开办新业务的申请。未经批准或许可，任何单位和个人不得对外公布对被评价机构的内部控制体系等级评定结果。罚则银监会根据评级结果及评价报告所反映的情况，针对被评价机构39主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准40《商业银行合规风险管理指引》41《商业银行合规风险管理指引》41董监高的合规管理职责董监高的合规管理职责42合规风险管理体系合规风险管理体系合规政策合规管理部门的组织结构和资源合规风险管理计划合规风险识别和管理流程合规培训与教育制度合规风险管理体系合规风险管理体系合规政策合规管理部门的组织结43合规政策合规政策合规管理部门的功能和职责合规管理部门的权限合规负责人的合规管理职责保证合规负责人和合规管理部门独立性部门之间的协作关系合规政策合规政策合规管理部门的功能和职责合规管理部门的权限合44合规管理部门职责商业银行配备资源

提供系统的专业技能培训建立合规管理部门与风险管理部门的协作机制分离合规管理职能与内部审计职能

各业务条线和分支机构的负责人应对本条线和本机构经营活动的合规性负首要责任。合规管理部门职责商业银行配备资源45合规风险监管合规政策、合规管理程序和合规指南等内部制度商业银行合规风险管理计划和合规风险评估报告发现重大违规事件合规负责人任命或离任中国银监会

检查的主要内容包括：

（一）商业银行合规风险管理体系的适当性和有效性；

（二）商业银行董事会和高级管理层在合规风险管理中的作用；

（三）商业银行绩效考核制度、问责制度和诚信举报制度的适当性和有效性；

（四）商业银行合规管理职能的适当性和有效性。报告评估和检查合规风险监管合规政策、合规管理程序和合规指南等内部制度商业银46主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准47《商业银行操作风险管理指引》48《商业银行操作风险管理指引》48操作风险管理的基本要素操作风险管理的基本要素董事会的监督控制高级管理层的职责适当的组织架构操作风险管理政策、方法和程序计提操作风险所需资本的规定操作风险管理的基本要素操作风险管理的基本要素董事会的监督控制49操作风险监管重大操作风险事件（一）抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的案件；（二）造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；（四）高管人员严重违规；（五）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；（六）其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件；（七）银监会规定其他需要报告的重大事件。定期检查评估

主要内容（一）商业银行操作风险管理程序的有效性；（二）商业银行监测和报告操作风险的方法，包括关键操作风险指标和操作风险损失数据；（三）商业银行及时有效处理操作风险事件和薄弱环节的措施；（四）商业银行操作风险管理程序中的内控、检查和内审程序；（五）商业银行灾难恢复和业务连续方案的质量和全面性；（六）计提的抵御操作风险所需资本的充足水平；（七）操作风险管理的其他情况。操作风险监管（一）抢劫商业银行或运钞车、盗窃银行业金融机构现50关键风险指标代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施）。具体指标例如：

每亿元资产损失率

每万人案件发生率

百万元以上案件发生比率

超过一定期限尚未确认的交易数量

失败交易占总交易数量的比例

员工流动率

客户投诉次数

错误和遗漏的频率以及严重程度关键风险指标关键风险指标代表某一风险领域变化情况并可定期监控的统计指标。51主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准52《企业内部控制基本规范》《企业内部控制基本规范》财政部审计署银监会证监会保监会自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行；小企业和其他单位可以参照本规范建立与实施内部控制。53《企业内部控制基本规范》《企业内部控制基本规范》财政部审计署内部控制内部控制目标原则要素合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。机制

建立信息系统，实现对业务和事项的自动控制，减少或消除人为操纵因素。

建立激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。

国务院有关部门对企业建立与实施内部控制的情况进行监督检查。

接受企业委托从事内部控制审计的会计师事务所要对企业内部控制的有效性进行审计，出具审计报告。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。内部控制内部控制目标原则要素合理保证企业经营管理合法合规、资54《企业内部控制配套指引》（2010年）《企业内部控制配套指引》（2010年）55基本规范及配套指引的实施财务报告

内部控制有效性

的外部审计内部控制有效性的自我评价内控体系的

建设与实施企业从《基本规范》规定的五大要素出发，参照《应用指引》的具体要求，建立和实施完善的内部控制体系企业按照《评价指引》的相关要求，对内部控制的有效性进行自我评价评价对象包括企业建立和实施的财务和非财务内部控制，需对这些内部控制的设计和执行有效性进行评价审计师：按照《审计指引》的要求，对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露评价对象为企业建立和实施的财务报告内部控制基本规范及配套指引的实施内部控制有效性的自我评价内控体系的

56主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准57《商业银行业务连续性监管指引》58《商业银行业务连续性监管指引》58《指引》目录第一章总则第二章业务连续性组织架构第一节日常管理组织架构第二节应急处置组织架构第三章业务影响分析第四章业务连续性计划与资源建设第一节业务连续性计划第二节业务连续性资源建设第五章业务连续性演练与持续改进第一节业务连续性计划演练第二节业务连续性管理评估与改进第六章运营中断事件应急处置第一节监测、预警与报告第二节运营中断事件处置第三节灾难恢复第四节危机处理第七章监管和处置第一节监管处置第二节持续监管第八章附则建立组织架构业务影响分析计划与资源建设演练与持续改进应急处置监管和处置《指引》目录第一章总则建立组织架构业务影响分析计划与59主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准60《关于内部控制评价的一般规定》《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》发文单位：财政部和证监会主要内容：规范上市公司年度内部控制评价报告，附参考格式；强调内部控制体系从财务报告内部控制向全面内部控制体系的转变；强化内部控制缺陷的信息披露的深度和广度；强化内部控制持续改进机制的建立。61《关于内部控制评价的一般规定》《公开发行证券的公司信息披露编主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准62总结：现行有效的法规200720082010中国银监会

《商业银行操作风险管理指引》五部委（财政部、审计署、银监会、证监会、保监会）

《企业内部控制基本规范》五部委

《企业内部控制配套指引》中国银监会《商业银行业务连续性监管指引》20112006中国银监会《商业银行合规风险管理指引》中国银监会《商业银行内部控制指引》财政部、证监会《关于内部控制评价的一般规定》2014总结：现行有效的法规200720082010中国银监会

《商63总结：不同文件关于内控定义的比较总结：不同文件关于内控定义的比较64总结：四性目标、四全原则、六项落实以及一种文化合规性目标安全性目标有效性目标真实性目标健全体系明确职责完善措施强化保障规范评价严格监督全覆盖原则全制衡原则全审慎原则全匹配原则“内控创造价值”的文化总结：四性目标、四全原则、六项落实以及一种文化合规性目标安全65谢谢！谢谢！66商业银行内部控制相关法规介绍

商业银行内部控制相关法规介绍67主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）

主要内容相关国际标准68内控相关法规的发展演变过程1992COSO

《内部控制—综合框架》1997中国人民银行

《加强金融机构内部控制的指导原则》1998巴塞尔委员会

《银行组织内部控制系统框架》2002中国人民银行《商业银行内部控制指引》2004200720082010中国银监会

《商业银行内部控制评价试行办法》中国银监会

《商业银行操作风险管理指引》及《商业银行内部控制指引》五部委（财政部、审计署、银监会、证监会、保监会）

《企业内部控制基本规范》五部委

《企业内部控制配套指引》中国银监会《商业银行业务连续性监管指引》20112006中国银监会《商业银行合规风险管理指引》2013新COSO报告中国银监会《商业银行内部控制指引》2014财政部、证监会《关于内部控制评价的一般规定》200369内控相关法规的发展演变过程1992COSO

《内部控制—综合COSO报告《内部控制—整体框架》（1992年）制定方：美国Treadway委员会发起组织委员会

（CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO）框架定义控制环境风险评估控制活动信息与沟通监控内部控制的局限职能与责任内容摘要对外部各方的报告评价工具五大构成要素对内部控制框架的高度概括为准备公开报告其内部控制的主体提供指南对内部控制体系进行

评估内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率；财务报告的可靠性；符合适用的法律和法规。局限性如：判断失误；发生故障；管理层凌驾；串通；成本与效益等。组织中的每个人都对内部控制负有责任：董事会、管理层、内部审计师、其他人员。70COSO报告《内部控制—整体框架》（1992年）制定方：美国新COSO报告《内部控制—整体框架》（2013年）1992年2013年21年基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化。五大亮点在原有五要素基础上提出了17个基本原则，并提炼出82个代表相关原则的主要特征和关注点。每一项原则都代表着与内部控制五大要素相关联的基本概念。更加具体新框架提出的报告目标包括外部财务报告和非财务报告目标，以及内部财务报告和非财务报告目标。更加全面新框架强调董事会、管理层和内审人员要拥有“判断力”，给予董事会、管理层和内审人员适度的自由裁量权。内控如何实施、如何评价、如何认定有效性，企业可以有自己的判断。更加自主新框架把管理层评估舞弊风险归在风险评估阶段。要求“识别欺诈产生的各种途径，如非法所得、非法使用或处理资产、篡改企业报表记录等”，并“对欺诈风险产生的因素进行评估”。更加严格新框架提出要建立技术获取、开发和维护机制，相应的技术控制手段以及相关技术安全管理机制。更加先进71新COSO报告《内部控制—整体框架》（2013年）1992年新COSO报告十七条原则（1）新COSO报告十七条原则（1）72新COSO报告十七条原则（2）新COSO报告十七条原则（2）73新COSO报告十七条原则（3）新COSO报告十七条原则（3）74新COSO报告十七条原则（4）新COSO报告十七条原则（4）75新COSO报告十七条原则（5）新COSO报告十七条原则（5）76巴塞尔《银行组织内部控制系统框架》（1998年）内控三大目标操作性目标：各种活动的效果和效率信息性目标：财务和管理信息的可靠性、完整性和及时性合规性目标：遵从现行法律和规章制度六大组成部分管理层的督促与控制文化风险的识别与评估控制活动与职责分离信息与交流监督评审活动与缺陷的纠正监管当局对内控系统的评价内控定义由董事会、高级管理人员以及其他人员实施的一个过程，其目的是为了实现经营的效果与效率、会计与管理信息的可靠、完整与及时以及经营活动符合现行法律、法规的要求。原则1-3原则4原则5-6原则7-9原则10-12原则13巴塞尔《银行组织内部控制系统框架》（1998年）内控操作性目77其他国际上的有关标准其他国际上的有关标准78我国内部控制法律制度《商业银行法》第五十九条：商业银行应当按照有关规定,制定本行的业务规则,建立、健全本行的风险管理和内部控制制度。第六十条：商业银行应当建立、健全本行对存款、贷款、结算、呆账等各项情况的稽核、检查制度。原则性

法律规定《银行业监督管理法》第二十一条：银行业金融机构的审慎经营规则，包括风险管理、内部控制、资本充足率、资产质量、损失准备金、风险集中、关联交易、资产流动性等内容。银行业金融机构应当严格遵守审慎经营规则。我国内部控制法律制度《商业银行法》原则性

法律规定《银行业监79主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）

主要内容相关国际标准80《加强金融机构内部控制的指导原则》81《加强金融机构内部控制的指导原则》15内控的要素、内容和基本要求内控的要素、内容和基本要求82内控制度的管理与监督内控制度的

管理与监督金融机构

稽核（审计）部门中央银行

对各项业务提出内部控制建议。

检查和评价有关内部控制制度。

对有关内部控制的问题进行专题检查。

对违反内部控制的单位和人员给予纪律处分。

对金融机构实施业务稽核。

对金融机构内控状况做出评价。

委托外审部门对金融机构的内控状况做出评价。

提出整改建议，情节严重的给予处罚。

取消金融机构高管一定期限内甚至终身的任职资格。83内控制度的管理与监督内控制度的

管理与监督金融机构

稽核（审主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准84《商业银行内部控制指引》的演变过程1997年中国人民银行

《加强金融机构内部

控制的指导原则》2002年中国人民银行

《商业银行

内部控制指引》2007年中国银监会

《商业银行内部

控制指引》废止内容基本相同发文主体不同2003年中国银监会

成立不同之处：1、董监高职责等内容根据新的业务和环境进行修订。2、本指引第三章至第八章未作具体规定的商业银行其他业务或环节，应当按照本指引的要求建立和完善内部控制。3、《商业银行内部控制评价试行办法》（2004年）对商业银行做出的内部控制评价结果是商业银行风险评估的重要内容。85《商业银行内部控制指引》的演变过程1997年中国人民银行

《《商业银行内部控制指引》《商业银行内部控制指引》86内控的基本要求内控五大要素内部控制环境风险识别与评估内部控制措施信息交流与反馈监督评价与纠正内控的基本要求内控内部控制环境风险识别与评估内部控制措施信息87内控的基本要求（1）内部控制环境内控的基本要求（1）内部控制环境88内控的基本要求（2）风险识别与评估内控的基本要求（2）风险识别与评估89内控的基本要求（3）内部控制措施内控的基本要求（3）内部控制措施90内控的基本要求（4）信息交流与反馈内控的基本要求（4）信息交流与反馈91内控的基本要求（5）监督评价与纠正内控的基本要求（5）监督评价与纠正92根据业务条线的分类内部控制授信的内部控制资金业务的内部控制存款和柜台业务的内部控制中间业务的内部控制会计的内部控制计算机信息系统的内部控制根据业务条线的分类内部控制授信的内部控制资金业务的内部控制存93内部控制的监督与纠正（1）内控制度的

监督与纠正建设、执行部门监督、评价部门负责设计内部控制体系，组织、督促各业务部门、分支机构建立和健全内部控制。

负责组织检查、评价内部控制的健全性和有效性，督促管理层纠正内部控制存在的问题。对内部控制的制度建设和执行情况定期进行检查评价，提出改进建议，对违反规定的机构和人员提出处理意见。应当根据自身掌握的内部控制信息，对下级机构的内部控制状况定期做出评价，并将评价结果作为经营绩效考核的重要依据。上级机构下级机构内部控制的监督与纠正（1）内控制度的

监督与纠正建设、执行部94内部控制的监督与纠正（2）对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任。董事会对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任。对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。高级管理层对未执行审计方案、程序和方法导致重大问题未能被发现，对审计发现隐瞒不报或者未如实反映，审计结论与事实严重不符，对审计发现问题查处整改工作跟踪不力等行为，承担相应的责任。内部审计部门及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任。业务部门和分支机构报告和信息反馈制度：发现内部控制的隐患和缺陷，应当及时向董事会、管理层或相关部门报告。根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，并督促业务部门和分支机构落实。内部控制的监督与纠正（2）对内部控制的有效性负责，并对内部控95主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准96《商业银行内部控制评价试行办法》已废止：

中国银监会《关于发布银行业规章和规范性文件清理结果的公告》

（银监发〔2011〕1号

）97《商业银行内部控制评价试行办法》已废止：

中国银监会《关于发评价的目标和原则内部控制

评价目标方法原则（一）促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。（二）促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现。（三）促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。（四）促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。（五）促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。（一）充分性：过程和风险是否已被充分识别。（二）合规性：过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。（三）有效性：控制措施是否有效。（四）适宜性：控制措施是否适宜。（一）全面性原则（二）统一性原则（三）独立性原则（四）公正性原则（五）重要性原则（六）及时性原则评价的目标和原则内部控制

评价目标方法原则（一）促进商业银行98评价内容评价

内容内部控制环境风险识别与评估内部控制措施监督评价与纠正信息交流与反馈评价内容评价

内容内部控制环境风险识别与评估内部控制措施监督99评价程序评价准备：组成评价组；制订评价实施方案；准备必要的工作文件；在现场评价前应先与被评价机构建立初步联系，以便确认有关评价事项和安排。评价实施：评价组应按照既定的评价方案实施评价。通过适当的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以记录。评价报告形成：（一）被评价机构内部控制体系现状、存在问题及趋势分析。（二）同类银行比较。（三）监管建议。（四）可能的谅解因素。评价反馈：对被评价机构内部控制体系进行综合评价后，应与被评价机构管理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。评价程序评价准备：评价实施：评价报告形成：评价反馈：100评分标准过程评价

总分500分内部控制环境

100分风险识别与评估

100分内部控制措施

100分监督评价与纠正

100分信息交流与反馈

100分具体评分标准如下：

（一）被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。

（二）在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要求的，可得该项分值的百分之三十。

（三）在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。

（四）在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。公式：

调整后评价项目总得分=所有适用项目得分/(评价项目总分-不适用项目总分)×100%

单项分值小计和总分分值有小数时四舍五入。标准分值为500分，转化为百分制后得出实际得分。结果评价主要包括十项指标：：资本利润率、资产利润率、成本收入比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件指标等。过程评价的权重为70％，结果评价的权重为30％，两项得分加总得出综合评价总分。评分标准过程评价

总分500分内部控制环境

100分风险识别101评价等级

上述等级也适用于单项评级，单项评级结果主要用于对比分析。

内部控制体系连续在三个评价期内得不到改善的机构，其内部控制评价等级应适当下调。评价等级上述等级也适用于单项评级，单项评级结果主要用于对比102重大责任事故重大责任事故（一）因安全防范措施不当，发生金融诈骗、盗窃、抢劫、爆炸等案件，造成重大影响或损失。（二）因经营管理不善发生挤提事件。（三）业务系统故障，造成重大影响或损失。（四）经查实的重大信访事件。若被评价机构在评价期内发生重大责任事故，应在上述评级的基础上下调一级。重大责任事故（一）因安全防范措施不当，发生金融诈骗、盗窃、抢103组织和实施"统一领导，分级管理"组织和实施"统一领导，分级管理"104罚则银监会根据评级结果及评价报告所反映的情况，针对被评价机构内部控制体系存在问题的性质及严重程度，可分别采取以下一项或多项监管措施：（一）约见被评价机构第一负责人或董事长。（二）就评价对象内部控制体系存在问题可能引发的风险，向被评价机构进行提示和警告。（三）要求被评价机构对内部控制体系存在的问题限期整改。（四）加大现场检查力度及频率。（五）建议调整管理层。（六）取消有关人员一定期限或终身银行业从业资格。（七）责令整顿或暂停办理相关业务。（八）延缓批准或拒绝受理增设分支机构、开办新业务的申请。未经批准或许可，任何单位和个人不得对外公布对被评价机构的内部控制体系等级评定结果。罚则银监会根据评级结果及评价报告所反映的情况，针对被评价机构105主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准106《商业银行合规风险管理指引》107《商业银行合规风险管理指引》41董监高的合规管理职责董监高的合规管理职责108合规风险管理体系合规风险管理体系合规政策合规管理部门的组织结构和资源合规风险管理计划合规风险识别和管理流程合规培训与教育制度合规风险管理体系合规风险管理体系合规政策合规管理部门的组织结109合规政策合规政策合规管理部门的功能和职责合规管理部门的权限合规负责人的合规管理职责保证合规负责人和合规管理部门独立性部门之间的协作关系合规政策合规政策合规管理部门的功能和职责合规管理部门的权限合110合规管理部门职责商业银行配备资源

提供系统的专业技能培训建立合规管理部门与风险管理部门的协作机制分离合规管理职能与内部审计职能

各业务条线和分支机构的负责人应对本条线和本机构经营活动的合规性负首要责任。合规管理部门职责商业银行配备资源111合规风险监管合规政策、合规管理程序和合规指南等内部制度商业银行合规风险管理计划和合规风险评估报告发现重大违规事件合规负责人任命或离任中国银监会

检查的主要内容包括：

（一）商业银行合规风险管理体系的适当性和有效性；

（二）商业银行董事会和高级管理层在合规风险管理中的作用；

（三）商业银行绩效考核制度、问责制度和诚信举报制度的适当性和有效性；

（四）商业银行合规管理职能的适当性和有效性。报告评估和检查合规风险监管合规政策、合规管理程序和合规指南等内部制度商业银112主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准113《商业银行操作风险管理指引》114《商业银行操作风险管理指引》48操作风险管理的基本要素操作风险管理的基本要素董事会的监督控制高级管理层的职责适当的组织架构操作风险管理政策、方法和程序计提操作风险所需资本的规定操作风险管理的基本要素操作风险管理的基本要素董事会的监督控制115操作风险监管重大操作风险事件（一）抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的案件；（二）造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；（四）高管人员严重违规；（五）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；（六）其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件；（七）银监会规定其他需要报告的重大事件。定期检查评估

主要内容（一）商业银行操作风险管理程序的有效性；（二）商业银行监测和报告操作风险的方法，包括关键操作风险指标和操作风险损失数据；（三）商业银行及时有效处理操作风险事件和薄弱环节的措施；（四）商业银行操作风险管理程序中的内控、检查和内审程序；（五）商业银行灾难恢复和业务连续方案的质量和全面性；（六）计提的抵御操作风险所需资本的充足水平；（七）操作风险管理的其他情况。操作风险监管（一）抢劫商业银行或运钞车、盗窃银行业金融机构现116关键风险指标代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施）。具体指标例如：

每亿元资产损失率

每万人案件发生率

百万元以上案件发生比率

超过一定期限尚未确认的交易数量

失败交易占总交易数量的比例

员工流动率

客户投诉次数

错误和遗漏的频率以及严重程度关键风险指标关键风险指标代表某一风险领域变化情况并可定期监控的统计指标。117主要内容相关国际标准COSO报告《内部控制——整体框架》(1992年，2013年）巴塞尔委员会《银行组织内部控制系统框架》（1998年）其他国际标准我国相关法规中国人民银行《加强金融机构内部控制的指导原则》（1997年）中国人民银行《商业银行内部控制指引》（2002年）中国银监会《商业银行内部控制评价试行办法》（2004年）中国银监会《商业银行合规风险管理指引》（2006年）中国银监会《商业银行操作风险管理指引》（2007年）中国银监会《商业银行内部控制指引》（2007年）五部委《企业内部控制基本规范》（2008年）及《企业内部控制配套指引》（2010年）中国银监会《商业银行业务连续性监管指引》（2011年）财政部、证监会《关于内部控制评价的一般规定》（2014年）中国银监会《商业银行内部控制指引》（2014年）主要内容相关国际标准118《企业内部控制基本规范》《企业内部控制基本规范》财政部审计署银监会证监会保监会自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行；小企业和其他单位可以参照本规范建立与实施内部控制。119《企业内部控制基本规范》《企业内部控制基本规范》财政部审计署内部控制内部控制目标原则要素合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部