内部控制评价的内容

二、内部控制评价的内容

（一）内部控制环境

●《商业银行内部控制评价试行办法》

◣商业银行公司治理——商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作，分权制衡。

①完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序。

②明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任。

③建立独立董事制度，对董事会讨论事项发表客观、公正的意见。

④建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。（第10条）

◣董事会、监事会和高级管理层责任。董事会负责保证商业银行建立并实施充分而有效的内部控制体系；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保商业银行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。

监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。

高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

董事会和高级管理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。（第11条）

◣内部控制政策。商业银行应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。内部控制政策应：①与商业银行的经营宗旨和发展战略相一致；②体现持续改进内部控制的要求；③符合现行法律法规和监管要求；④体现出侧重控制的风险类型；⑤体现出对不同地区、行业、产品的风险控制要求；⑥传达给适用岗位的员工，指导员工实施风险控制措施；⑦可为风险相关方所获取，并寻求互利合作；⑧定期进行评审，确保其持续的适宜性和有效性。（第12条）

◣内部控制目标。商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监管部门的内部控制指标要求。内部控制目标应可测量。有条件时，目标应用指标予以量化。（第13条）

◣组织结构。商业银行应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并形成文件予以传达。特别应考虑：①建立相应的授权体系，实行统一法人管理和法人授权。②必要的职责分离，以及横向与纵向相互监督制约关系。③涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。④明确关键岗位、特殊岗位、不相容岗位及其控制要求。⑤建立关键岗位定期或不定期的人员轮换和强制休假制度。

商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。

商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员；应有权获得商业银行的所有经营、管理信息；应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价；应及时向董事会或董事会审计委员会提交审计报告；董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改；总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。（第14条）

◣企业文化。商业银行应培育健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。（第15条）

◣人力资源。商业银行应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。

商业银行应明确与风险和内部控制有关人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。

高级管理人员必须满足监管机构对高级管理人员资质的要求。

商业银行应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。

商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。（第16条）

（二）风险识别与评估

●《商业银行内部控制评价试行办法》

◣经营管理活动风险识别与评估。商业银行应建立和保持书面程序，以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、市场风险（含利率风险）、操作风险、国家和转移风险、流动性风险、法律风险以及声誉风险等。

应识别并确定常规和非常规的业务和管理活动，并识别这些活动中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围，特别应考虑计算机系统的运用可能带来的风险。

应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评审，以确保其持续可接受；风险不可接受时，应制定控制措施。

商业银行对各类风险进行识别与评估时应充分考虑内部和外部因素。其中，内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等；外部因素包括经济形势的波动、行业变动趋势等。当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

风险识别与评估应：①依据业务范围、性质和时限主动进行。②评估风险的后果、概率和风险级别。③必要时开发并运用风险量化评估的方法和模型。（第17条）

◣法律法规、监管要求和其他要求的识别。商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。商业银行应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。（第18条）

◣内部控制方案。商业银行应制定内部控制方案，以控制已识别的不可接受风险。内部控制措施方案应包括以下内容：①为实现对风险的控制而规定的相关职责与权限。②控制的策略、方法、资源需求和时限要求。若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑可能产生的新风险。（第19条）

（三）内部控制措施

●《商业银行内部控制评价试行办法》

◣运行控制。商业银行应确定需要采取控制措施的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。

①控制措施包括：a．高层检查。董事会与高级管理层应要求下级部门及时报告经营管理情况和特别情况，以检查内部控制的实施状况以及在实现内部控制目标方面的进展。高级管理层应根据检查情况提出内部控制缺失情况，督促职能管理部门改进。b．行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。c．实物控制。主要的控制措施包括实物限制、双重保管和定期盘存等。d．风险暴露限制的审查。审查遵循风险暴露限制方面的合规性，违规时继续跟踪检查。e．审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级的管理责任。f．验证与核实。验证各项业务、管理活动以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，并向职能管理部门报告。g．不兼容岗位的适当分离。实行适当的职责分工，认定潜在的利益冲突并使之最小化。

②控制要点包括：a．对于可能导致偏离内部控制政策、目标的运行情况，应建立并保持书面程序和要求，并在程序中规定操作和控制标准。b．对于重要活动应实施连续记录和监督检查。c．在可能的情况下，应考虑运用计算机系统进行控制。d．对于采购或外包的设施、设备、系统和服务中已识别的风险，应建立并保持控制程序，并将有关程序和要求通报供方，确保其遵守商业银行相关的控制要求。e．对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序。（第20条）

◣应急准备与处置。商业银行应建立并保持预案和程序，以识别可能发生的意外事件或紧急情况（包括计算机系统）。意外事件和紧急情况发生时，应及时做出应急处置，以预防或减少可能造成的损失，确保业务持续开展。

商业银行应定期检查、维护应急的设施、设备和系统，确保其处于适用状态。如可行，应定期测试应急预案。

商业银行应评审其应急预案，特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况（包括事故、险情）的性质相适应。（第22条）

（四）监督评价与纠正

●《商业银行内部控制指引》

◣商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。

内部控制的建设、执行部门负责设计内部控制体系，组织、督促各业务部门、分支机构建立和健全内部控制。

内部控制的监督、评价部门负责组织检查、评价内部控制的健全性和有效性，督促管理层纠正内部控制存在的问题。（第132条）

◣商业银行应当建立内部控制的报告和信息反馈制度，业务部门、内部审计部门和其他控制人员发现内部控制的隐患和缺陷，应当及时向管理层或相关部门报告。（第133条）

◣商业银行内部控制的监督、评价部门应当对内部控制的制度建设和执行情况定期进行检查评价，提出改进建议，对违反规定的机构和人员提出处理意见。（第134条）

◣商业银行上级机构应当根据自身掌握的内部控制信息，对下级机构的内部控制状况定期作出评价，并将评价结果作为经营绩效考核的重要依据。（第135条）

◣商业银行应当建立内部控制问题和缺陷的处理纠正机制，管理层应当根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，并督促业务部门和分支机构落实。（第136条）

◣商业银行应当建立内部控制的风险责任制：①董事会、高级管理层应当对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任；②内部审计部门应当对检查发现问题隐瞒不报、上报虚假情况或检查监督不力，承担相应的责任；③业务部门和分支机构应当及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任；④高级管理层应当对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。（第137条）

●《商业银行内部控制评价试行办法》

◣内部控制绩效监测。商业银行应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。

监测内容包括：①内部控制目标实现程度。②法律、法规及监管要求的遵循程度。③事故、险情和其他不良的内部控制绩效的历史情况。（第23条）

◣违规、险情、事故处置和纠正及预防措施。商业银行应建立并保持书面程序，对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定，包括：①发现违规、险情、事故并及时报告，必要时，可越级报告。②及时处置违规、险情、事故。③制定纠正与预防措施，防止违规、险情、事故的发生和再发生，并与问题的大小和风险危害程度相一致。④纠正与预防措施在实施之前应进行风险评估。⑤实施并跟踪、验证纠正与预防措施。⑥险情和事故的责任追究。（第24条）

◣内部控制体系评价。商业银行应建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。

评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等，覆盖体系范围内的所有活动。

可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因，并验证所采取措施的效果。

评价应由与评价的活动无直接责任的人员进行，评价人员应具备相应的知识，能够胜任评价工作。（第25条）

◣管理评审。董事会应采取措施保证定期对内部控制状况进行评审，确保体系得到持续、有效的改进。

①管理评审应包括以下方面的内容：a．内部控制体系评价的结果。b．内部控制政策执行情况和内部控制目标实现情况。c．对内部控制体系有重要影响的外部信息，如法律、法规的重大变化。d．组织结构的重大调整。e．事故和险情以及重大纠正和预防措施的状况。f．以往管理评审的跟踪情况。g．内部控制体系改进的建议。

②管理评审应就以下方面提出改进措施并落实：a．内部控制体系及其过程的改进。b．内部控制政策、目标的变更。c．与内部控制有关资源的需求。（第26条）

◣持续改进。商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等，持续提高内部控制体系有效性。（第27条）

（五）信息交流与反馈

●《商业银行内部控制评价试行办法》

◣交流与沟通。商业银行应建立并保持信息交流与沟通的程序，明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。

商业银行应识别其内部和外部的风险相关方，考虑他们的要求和目标，建立与这些相关方进行信息交流的机制，确保：①董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。②所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。③险情、事故发生时，相关信息能得到及时报告和有效沟通。④及时、真实、完整地向监管机构和外界报告、披露相关信息。⑤国内外经济、金融动态信息的取得和处理，并及时把与企业既定经营目标有关的信息提供给各级管理层。

信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。为保持信息交流沟通的可追溯性，必要时，应保持相关信息交流与沟通的记录。（第28条）

◣内部控制体系对文件的要求。建立和保持文件化体系是实现信息交流与反馈的重要途径。商业银行应建立并保持必要的内部控制体系文件，包括：①对内部控制体系要素及其相互作用的描述。②内部控制政策和目标。③关键岗位及其职责与权限。④不可接受的风险及其预防和控制措施。⑤控制程序、作业指导、方案和其他内部文件。（第29条）

◣文件控制。商业银行应建立并保持书面程序，以确保内部控制体系所要求的文件满足下列要求：①易于查询。②实施前得到授权人的批准。③定期评审，必要时予以修订并由授权人员确认其适宜性。④所有相关岗位都能得到有效版本。⑤失效时，及时从所有发放处和使用处收回，或采取其他措施防止误用。⑥及时识别、处置外来文件并进行标识，必要时转化为内部文件。⑦留存的档案性文件和资料应予以适当标识。（第30条）

◣记录控制。商业银行应建立并保持书面程序，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。（第31条）