商业银行内部控制评价方案分析7930.docx

商业银行内部控控制评价试行行办法中国银行业监督督管理委员会会令（20004年第9号号） 商业银银行内部控制制评价试行办办法已经22004年88月20日中中国银行业监监督管理委员员会第25次次主席会议通通过，现予公公布，自20005年2月月1日起施行行。 主席 刘明明康 二四年十二月月二十五日 商业业银行内部控控制评价试行行办法第一章 总 则则第一条 为规范范和加强对商商业银行内部部控制的评价价，督促其进进一步建立内内部控制体系系，健全内部部控制机制，为为全面风险管管理体系的建建立奠定基础础，保证商业业银行安全稳稳健运行，根根据中华人人民共和国银银行业监督管管理法、中中华人民共和和国商业银行行法等法律律法规，制定定本办法。第二条 商业银银行内部控制制评价是指对对商业银行内内部控制体系系建设、实施施和运行结果果独立开展的的调查、测试试、分析和评评估等系统性性活动。内部控制评价包包括过程评价价和结果评价价。过程评价价是对内部控控制环境、风风险识别与评评估、内部控控制措施、监监督评价与纠纠正、信息交交流与反馈等等体系要素的的评价。结果果评价是对内内部控制主要要目标实现程程度的评价。第三条 商业银银行内部控制制体系是商业业银行为实现现经营管理目目标，通过制制定并实施系系统化的政策策、程序和方方案，对风险险进行有效识识别、评估、控控制、监测和和改进的动态态过程和机制制。第四条 商业银银行应建立并并保持系统、透透明、文件化化的内部控制制体系，定期期或当有关法法律法规和其其他经营环境境发生重大变变化时，对内内部控制体系系进行评审和和改进。第五条 商业银银行内部控制制评价由中国国银行业监督督管理委员会会（以下简称称银监会）及及其派出机构构组织实施。第六条 内部控控制评价人员员应接受有关关内部控制评评价知识和技技能的培训，具具备相应的资资质和能力。第二章 评价目目标和原则第七条 商业银银行内部控制制评价的目标标主要包括：（一）促进商业业银行严格遵遵守国家法律律法规、银监监会的监管要要求和商业银银行审慎经营营原则。（二）促进商业业银行提高风风险管理水平平，保证其发发展战略和经经营目标的实实现。（三）促进商业业银行增强业业务、财务和和管理信息的的真实性、完完整性和及时时性。（四）促进商业业银行各级管管理者和员工工强化内部控控制意识，严严格贯彻落实实各项控制措措施，确保内内部控制体系系得到有效运运行。（五）促进商业业银行在出现现业务创新、机机构重组及新新设等重大变变化时，及时时有效地评估估和控制可能能出现的风险险。第八条 内部控控制评价应从从充分性、合合规性、有效效性和适宜性性等四个方面面进行：（一）过程和风风险是否已被被充分识别。 （二）过程和风风险的控制措措施是否遵循循相关要求、得得到明确规定定并得以实施施和保持。（三）控制措施施是否有效。 （四）控制措施施是否适宜。第九条 内部控控制评价应遵遵循以下原则则：（一）全面性原原则。评价范范围应覆盖商商业银行内部部控制活动的的全过程及所所有的系统、部部门和岗位。（二）统一性原原则。评价的的准则、范围围、程序和方方法等应保持持一致，以确确保评价过程程的准确及评评价结果的客客观和可比。（三）独立性原原则。评价应应由银监会或或受委托评价价机构独立进进行。（四）公正性原原则。评价应应以事实为基基础，以法律律法规、监管管要求为准则则，客观公正正，实事求是是。（五）重要性原原则。评价应应依据风险和和控制的重要要性确定重点点，关注重点点区域和重点点业务。（六）及时性原原则。评价应应按照规定的的时间间隔持持续进行，当当经营管理环环境发生重大大变化时，应应及时重新评评价。第三章 评价内内容第一节 内部控控制环境第十条 商业银银行公司治理理。商业银行应建立立以股东大会会、董事会、监监事会、高级级管理层等为为主体的公司司治理组织架架构，保证各各机构规范运运作，分权制制衡。（一）完善股东东大会、董事事会、监事会会及下设的议议事和决策机机构，建立议议事规则和决决策程序。 （二）明确董事事会和董事、监监事会和监事事、高级管理理层和高级管管理人员在内内部控制中的的责任。（三）建立独立立董事制度，对对董事会讨论论事项发表客客观、公正的的意见。（四）建立外部部监事制度，对对董事会、董董事、高级管管理层及其成成员进行监督督。第十一条 董事事会、监事会会和高级管理理层责任。董事会负责保证证商业银行建建立并实施充充分而有效的的内部控制体体系；负责审审批整体经营营战略和重大大政策并定期期检查、评价价执行情况；负责确保商商业银行在法法律和政策的的框架内审慎慎经营，明确确设定可接受受的风险程度度，确保高级级管理层采取取必要措施识识别、计量、监监测并控制风风险；负责审审批组织机构构；负责保证证高级管理层层对内部控制制体系的充分分性与有效性性进行监测和和评估。监事会负责监督督董事会、高高级管理层完完善内部控制制体系；负责责监督董事会会及董事、高高级管理层及及高级管理人人员履行内部部控制职责；负责要求董董事、董事长长及高级管理理人员纠正其其损害商业银银行利益的行行为并监督执执行。高级管理层负责责制定内部控控制政策，对对内部控制体体系的充分性性与有效性进进行监测和评评估；负责执执行董事会决决策；负责建建立识别、计计量、监测并并控制风险的的程序和措施施；负责建立立和完善内部部组织机构，保保证内部控制制的各项职责责得到有效履履行。董事会和高级管管理层还应培培育良好的内内部控制文化化，提高员工工的风险意识识和职业道德德素质，建立立通畅的内外外部信息沟通通渠道，确保保及时获取与与内部控制有有关的人力、物物力、财力、信信息以及技术术等资源。第十二条 内部部控制政策。商业银行应在各各项业务和管管理活动中制制定明确的内内部控制政策策，规定内部部控制的原则则和基本要求求，并为制定定和评审内部部控制目标提提供指导。内内部控制政策策应：（一）与商业银银行的经营宗宗旨和发展战战略相一致；（二）体现持续续改进内部控控制的要求；（三）符合现行行法律法规和和监管要求；（四）体现出侧侧重控制的风风险类型；（五）体现出对对不同地区、行行业、产品的的风险控制要要求；（六）传达给适适用岗位的员员工，指导员员工实施风险险控制措施；（七）可为风险险相关方所获获取，并寻求求互利合作；（八）定期进行行评审，确保保其持续的适适宜性和有效效性。第十三条 内部部控制目标。商业银行应在相相关职能和层层次上建立并并保持内部控控制目标。内内部控制目标标应符合内部部控制政策，并并体现对持续续改进的要求求。在建立和评审内内部控制目标标时，应考虑虑法律法规、监监管要求和其其他要求，以以及技术、财财务、经营和和风险相关方方等因素，尤尤其应考虑监监管部门的内内部控制指标标要求。内部控制目标应应可测量。有有条件时，目目标应用指标标予以量化。第十四条 组织织结构。商业银行应建立立分工合理、职职责明确、报报告关系清晰晰的组织结构构，明确所有有与风险和内内部控制有关关的部门、岗岗位、人员的的职责和权限限，并形成文文件予以传达达。特别应考考虑：（一）建立相应应的授权体系系，实行统一一法人管理和和法人授权。（二）必要的职职责分离，以以及横向与纵纵向相互监督督制约关系。（三）涉及资产产、负债、财财务和人员等等重要事项变变动均不得由由一个人独自自决定。 （四）明确关键键岗位、特殊殊岗位、不相相容岗位及其其控制要求。（五）建立关键键岗位定期或或不定期的人人员轮换和强强制休假制度度。 商业银行应设立立负有内部控控制体系建立立、实施特殊殊责任的专门门委员会或部部门，明确其其责任、权限限和报告路线线。商业银行应设立立全行系统垂垂直管理、具具有充分独立立性的内部审审计部门。内内部审计部门门应配备具有有相应资质和和能力的审计计人员；应有有权获得商业业银行的所有有经营、管理理信息；应根根据对辖属机机构的风险评评级结果确定定审计频率，以以及对机构和和业务的审计计覆盖率，定定期或不定期期对内部控制制的健全性和和有效性实施施检查、评价价；应及时向向董事会或董董事会审计委委员会提交审审计报告；董董事会及高级级管理层应保保证审计报告告中指出的内内部控制的缺缺失得到及时时纠正整改；总行内部审审计负责人的的聘任和解聘聘应当经董事事会或监事会会同意。 第十五条 企业业文化。商业银行应培育育健康的企业业文化，对企企业文化的内内涵及其策划划、渗透、评评估与改进做做出明确的规规定。特别应应向员工传达达遵守法律法法规和实施内内部控制的重重要性，引导导员工树立合合规意识和风风险意识，提提高员工职业业道德水准，规规范员工职业业行为。第十六条 人力力资源。商业银行应完善善人力资源政政策和程序，确确保与风险和和内部控制有有关人员具备备相应的能力力和意识。商业银行应明确确与风险和内内部控制有关关人员的适任任条件，明确确有关教育、工工作经历、培培训和技能等等方面的要求求，以确保相相关人员的胜胜任。高级管理人员必必须满足监管管机构对高级级管理人员资资质的要求。商业银行应制定定并保持培训训计划，以确确保高级管理理层和全体员员工能够完成成其承担的内内部控制方面面的任务和职职责。培训计计划应定期评评审，并应考考虑不同层次次员工的职责责、能力和文文化程度以及及所面临的风风险。商业银行应对员员工引进、退退出、选拔、绩绩效考核、薪薪酬、福利、专专业技术职务务管理处罚等等日常人事管管理做出详细细规定，并充充分考虑人力力资源管理过过程中的风险险。第二节 风险识识别与评估第十七条 经营营管理活动风风险识别与评评估。商业银行应建立立和保持书面面程序，以持持续对各类风风险进行有效效的识别与评评估。商业银银行的主要风风险包括信用用风险、市场场风险（含利利率风险）、操操作风险、国国家和转移风风险、流动性性风险、法律律风险以及声声誉风险等。应识别并确定常常规和非常规规的业务和管管理活动，并并识别这些活活动中的风险险（无论是否否由内部产生生），考虑其其类型、来源源及其影响范范围，特别应应考虑计算机机系统的运用用可能带来的的风险。应依据法律法规规、监管要求求以及内部控控制政策确定定风险是否可可接受，以确确定是否进一一步采取措施施。风险可接接受时，应监监测并定期评评审，以确保保其持续可接接受；风险不不可接受时，应应制定控制措措施。商业银行对各类类风险进行识识别与评估时时应充分考虑虑内部和外部部因素。其中中，内部因素素包括组织结结构的复杂程程度、银行业业务性质、机机构变革以及及员工的流动动等；外部因因素包括经济济形势的波动动、行业变动动趋势等。当环境和条件发发生变化时，应应及时对风险险进行再识别别和再评估，以以确保任何新新的和以前未未曾予以控制制的风险得到到识别和控制制。风险识别与评估估应：（一）依据业务务范围、性质质和时限主动动进行。（二）评估风险险的后果、概概率和风险级级别。（三）必要时开开发并运用风风险量化评估估的方法和模模型。第十八条 法律律法规、监管管要求和其他他要求的识别别。商业银行应建立立并保持识别别和获取适用用法律法规、监监管要求和其其他要求的程程序，作为风风险识别与评评估、制订控控制目标和控控制方案的依依据。商业银行应及时时更新法律法法规、监管要要求和其他要要求的信息，并并将这些信息息传达给相关关员工和其他他风险相关方方。第十九条 内部部控制方案。商业银行应制定定内部控制方方案，以控制制已识别的不不可接受风险险。内部控制制措施方案应应包括以下内内容：（一）为实现对对风险的控制制而规定的相相关职责与权权限。（二）控制的策策略、方法、资资源需求和时时限要求。若涉及到组织结结构、流程、计计算机系统等等方面的重大大变更，应考考虑可能产生生的新风险。第三节 内部控控制措施第二十条 运行行控制。商业银行应确定定需要采取控控制措施的业业务和管理活活动，依据所所策划的控制制措施或已有有的控制程序序对这些活动动加以控制。（一）控制措施施包括： 1.高层检查。董董事会与高级级管理层应要要求下级部门门及时报告经经营管理情况况和特别情况况，以检查内内部控制的实实施状况以及及在实现内部部控制目标方方面的进展。高高级管理层应应根据检查情情况提出内部部控制缺失情情况，督促职职能管理部门门改进。2.行为控制。各各级职能管理理部门审查每每天、每周或或每月收到的的经营管理情情况和特别情情况专项报表表或报告，提提出问题，要要求采取纠正正整改措施。3.实物控制。主主要的控制措措施包括实物物限制、双重重保管和定期期盘存等。4.风险暴露限限制的审查。审审查遵循风险险暴露限制方方面的合规性性，违规时继继续跟踪检查查。5.审批与授权权。根据若干干限制条件对对各项业务、管管理活动进行行审批与授权权，明确各级级的管理责任任。6.验证与核实实。验证各项项业务、管理理活动以及所所采用的风险险管理模型结结果，并定期期核实相关情情况，及时发发现需要修正正的问题，并并向职能管理理部门报告。7.不兼容岗位位的适当分离离。实行适当当的职责分工工，认定潜在在的利益冲突突并使之最小小化。（二）控制要点点包括：1.对于可能导导致偏离内部部控制政策、目目标的运行情情况，应建立立并保持书面面程序和要求求，并在程序序中规定操作作和控制标准准。2.对于重要活活动应实施连连续记录和监监督检查。3.在可能的情情况下，应考考虑运用计算算机系统进行行控制。4.对于采购或或外包的设施施、设备、系系统和服务中中已识别的风风险，应建立立并保持控制制程序，并将将有关程序和和要求通报供供方，确保其其遵守商业银银行相关的控控制要求。5.对于产品、组组织结构、流流程、计算机机系统的设计计过程，应建建立有效的控控制程序。第二十一条 计计算机系统环环境下的控制制。商业银行应考虑虑计算机系统统环境下的业业务运行特征征，建立信息息安全管理体体系，对硬件件、操作系统统和应用程序序、数据和操操作环境，以以及设计、采采购、安全和和使用实施控控制，确保信信息的完整性性、安全性和和可用性。明明确计算机信信息系统开发发部门、管理理部门与应用用部门的职责责，建立和健健全计算机信信息系统风险险防范的制度度，确保计算算机信息系统统设备、数据据、系统运行行和系统环境境的安全。第二十二条 应应急准备与处处置。商业银行应建立立并保持预案案和程序，以以识别可能发发生的意外事事件或紧急情情况（包括计计算机系统）。意意外事件和紧紧急情况发生生时，应及时时做出应急处处置，以预防防或减少可能能造成的损失失，确保业务务持续开展。 商业银行应定期期检查、维护护应急的设施施、设备和系系统，确保其其处于适用状状态。如可行行，应定期测测试应急预案案。商业银行应评审审其应急预案案，特别是意意外事件或紧紧急情况发生生之后。应急急准备应与可可能发生的意意外事件或紧紧急情况（包包括事故、险险情）的性质质相适应。 第四节 监督评评价与纠正第二十三条 内内部控制绩效效监测。商业银行应建立立并保持书面面程序，通过过适宜的监测测活动，对内内部控制绩效效进行持续监监测。监测内容包括：（一）内部控制制目标实现程程度。（二）法律、法法规及监管要要求的遵循程程度。（三）事故、险险情和其他不不良的内部控控制绩效的历历史情况。 第二十四条 违违规、险情、事事故处置和纠纠正及预防措措施。商业银行应建立立并保持书面面程序，对违违规、险情、事事故的发现、报报告、处置和和纠正及预防防措施做出规规定，包括：（一）发现违规规、险情、事事故并及时报报告，必要时时，可越级报报告。（二）及时处置置违规、险情情、事故。（三）制定纠正正与预防措施施，防止违规规、险情、事事故的发生和和再发生，并并与问题的大大小和风险危危害程度相一一致。（四）纠正与预预防措施在实实施之前应进进行风险评估估。（五）实施并跟跟踪、验证纠纠正与预防措措施。（六）险情和事事故的责任追追究。第二十五条 内内部控制体系系评价。商业银行应建立立并保持书面面程序，对内内部控制体系系实施评价，确确保内部控制制体系的充分分性、合规性性、有效性和和适宜性。程程序应包括评评价的目的、准准则、范围、频频率、方法以以及职责与要要求。评价应考虑活动动的风险评估估结果、业务务和管理流程程和以前的评评价结果等，覆覆盖体系范围围内的所有活活动。 可根据评价结果果确定内部控控制水平的等等级。被评价价机构的管理理者应采取措措施消除违规规原因，并验验证所采取措措施的效果。评价应由与评价价的活动无直直接责任的人人员进行，评评价人员应具具备相应的知知识，能够胜胜任评价工作作。第二十六条 管管理评审。董事会应采取措措施保证定期期对内部控制制状况进行评评审，确保体体系得到持续续、有效的改改进。（一）管理评审审应包括以下下方面的内容容：1.内部控制体体系评价的结结果。2.内部控制政政策执行情况况和内部控制制目标实现情情况。3.对内部控制制体系有重要要影响的外部部信息，如法法律、法规的的重大变化。4.组织结构的的重大调整。5.事故和险情情以及重大纠纠正和预防措措施的状况。6.以往管理评评审的跟踪情情况。7.内部控制体体系改进的建建议。（二）管理评审审应就以下方方面提出改进进措施并落实实：1.内部控制体体系及其过程程的改进。2.内部控制政政策、目标的的变更。3.与内部控制制有关资源的的需求。第二十七条 持持续改进。商业银行应利用用内部控制政政策、内部控控制目标、评评价结果、绩绩效监测和数数据分析、纠纠正和预防措措施以及管理理评审等，持持续提高内部部控制体系有有效性。第五节 信息交交流与反馈第二十八条 交交流与沟通。商业银行应建立立并保持信息息交流与沟通通的程序，明明确对财务、管管理、业务、重重大事件和市市场信息等相相关信息识别别、收集、处处理、交流、沟沟通、反馈、披披露的渠道和和方式。商业银行应识别别其内部和外外部的风险相相关方，考虑虑他们的要求求和目标，建建立与这些相相关方进行信信息交流的机机制，确保：（一）董事会和和高级管理层层能够及时了了解业务信息息、管理信息息以及其他重重要风险信息息。（二）所有员工工充分了解相相关信息、遵遵守涉及其责责任和义务的的政策和程序序。（三）险情、事事故发生时，相相关信息能得得到及时报告告和有效沟通通。（四）及时、真真实、完整地地向监管机构构和外界报告告、披露相关关信息。（五）国内外经经济、金融动动态信息的取取得和处理，并并及时把与企企业既定经营营目标有关的的信息提供给给各级管理层层。信息交流与沟通通应考虑信息息的安全性和和保密性要求求。相关信息息报告、发布布、披露应经经过授权。为保持信息交流流沟通的可追追溯性，必要要时，应保持持相关信息交交流与沟通的的记录。第二十九条 内内部控制体系系对文件的要要求。建立和保持文件件化体系是实实现信息交流流与反馈的重重要途径。商商业银行应建建立并保持必必要的内部控控制体系文件件，包括：（一）对内部控控制体系要素素及其相互作作用的描述。（二）内部控制制政策和目标标。（三）关键岗位位及其职责与与权限。（四）不可接受受的风险及其其预防和控制制措施。（五）控制程序序、作业指导导、方案和其其他内部文件件。第三十条 文件件控制。商业银行应建立立并保持书面面程序，以确确保内部控制制体系所要求求的文件满足足下列要求：（一）易于查询询。（二）实施前得得到授权人的的批准。（三）定期评审审，必要时予予以修订并由由授权人员确确认其适宜性性。（四）所有相关关岗位都能得得到有效版本本。（五）失效时，及及时从所有发发放处和使用用处收回，或或采取其他措措施防止误用用。（六）及时识别别、处置外来来文件并进行行标识，必要要时转化为内内部文件。（七）留存的档档案性文件和和资料应予以以适当标识。第三十一条 记记录控制。商业银行应建立立并保持书面面程序，以规规定内部控制制相关活动中中所涉及记录录的标识、生生成、贮存、保保护、检索、保保存期限和处处置。记录应保持清晰晰、易于识别别和检索，以以提供符合要要求和内部控控制体系有效效运行的证据据，并可追溯溯到相关的活活动。第四章 评价程程序和方法第三十二条 内内部控制评价价程序一般包包括评价准备备、评价实施施、评价报告告形成和反馈馈等步骤。第三十三条 评评价准备。组成评价组。评评价组应考虑虑组成人员的的背景和能力力。必要时，可可聘请业务或或管理方面的的专家。制订评价实施方方案。实施方方案应明确本本次评价的目目的、范围、准准则、时间安安排和相应的的资源配置。准备必要的工作作文件。主要要包括评价问问卷、抽样计计划、被评价价机构的内部部控制体系文文件及相关记记录等。在现场评价前应应先与被评价价机构建立初初步联系，以以便确认有关关评价事项和和安排。第三十四条 评评价实施。评价组应按照既既定的评价方方案实施评价价。在评价实实施中应就评评价组内部以以及评价组与与被评价机构构之间的沟通通做出正式安安排，通过适适当的方法收收集与评价目目的、范围和和准则有关的的信息，根据据评价方案对对被评价项目目进行测试，对对有关数据进进行确认和分分析，并予以以记录。评价实施的具体体方法见第三三十九条至四四十三条。第三十五条 评评价报告形成成。评价组根据评价价实施情况，撰撰写评价报告告，应重点分分析以下方面面：（一）被评价机机构内部控制制体系现状、存存在问题及趋趋势分析。（二）同类银行行比较。（三）监管建议议。（四）可能的谅谅解因素。第三十六条 评评价反馈。对被评价机构内内部控制体系系进行综合评评价后，应与与被评价机构构管理层沟通通，以核对数数据，确认事事实，并就评评价中的问题题征求意见。第三十七条 银银监会及其派派出机构根据据评价报告，依依据有关法律律和规定，做做出评价结论论和处理决定定，并以书面面形式正式发发送被评价机机构，限期整整改。同时，评评价结论应报报上级机构。第三十八条 内内部控制评价价方法是为实实现评价目的的，对被评价价机构内部控控制体系进行行分析和评价价而采取的技技术和手段的的总称。第三十九条 内内部控制评价价实施包括：了解内部控制体体系。应了解解被评价机构构内部控制体体系的基本情情况，确认评评价范围，确确定被评价机机构的内部控控制体系的健健全程度，然然后决定实施施测试所采取取的方法。实施测试和分析析。实施测试试和分析是在在了解内部控控制体系的基基础上，评价价内部控制体体系的运行与与绩效。具体体可以采取符符合性测试和和指标分析等等，其中，对对内部控制过过程评价主要要采取符合性性测试法；对对内部控制结结果评价，主主要采取指标标分析法。第四十条 了解解内部控制体体系。了解被评价机构构内部控制体体系主要通过过询问、查阅阅、观察、流流程图等方法法进行，以初初步评价被评评价机构内部部控制体系的的充分性和合合规性。第四十一条 符符合性测试。符合性测试是获获得评价证据据以证实内部部控制在实际际中的合规性性、有效性和和适宜性，即即相关规定在在实际中是否否被一贯执行行，控制措施施能否达到控控制目的，控控制措施是否否恰当。符合合性测试分为为两种形式：（一）业务测试试，即对重要要业务或典型型业务进行测测试，按照规规定的业务处处理程序进行行检查，确认认有关控制点点是否符合规规定并得到认认真执行，以以判断内部控控制的遵循情情况。（二）功能测试试，即对某项项控制的特定定环节，选择择若干时期的的同类业务进进行检查，确确认该环节的的控制措施是是否一贯或持持续发挥作用用。符合性测试的具具体方法包括括抽样法、穿穿行测试法、证证据检查法和和压力测试法法等。第四十二条 测测试抽样。抽样样本取决于于被评价机构构或被评价项项目的风险、业业务频次、重重要性等。可可在根据业务务频次抽样的的基础上，结结合被评价项项目的风险和和重要性进行行调整。根据业务频次确确定的抽样量量参考标准如如下：（一）每月执行行一次的业务务或事项，抽抽样量应保持持在2-6个个之间。（二）每周执行行一次的业务务或事项，抽抽样量应保持持在4-100个之间。（三）每日执行行一次的业务务或事项，抽抽样量应保持持在10-225个之间。（四）每日执行行多次的业务务或事项，全全年100000次以下的的，抽样量应应保持在255-50个之之间；全年110000次次以上的，抽抽样量应保持持在50个以以上。第四十三条 指指标分析。应收集被评价机机构内部控制制结果指标的的相关信息，进进行核实、对对比分析和趋趋势分析，从从而对内控目目标实现情况况做出评价。第五章 评分标标准和评价等等级第四十四条 内内部控制评价价采取评分制制。对内部控控制的过程和和结果分别设设置一定的标标准分值，并并根据评价得得分确定被评评价机构的内内部控制等级级。第四十五条 内内部控制过程程评价的标准准分为5000分，其中：内部控制环环境100分分、风险识别别与评估1000分、内部部控制措施1100分、信信息交流与反反馈100分分、监督评价价与纠正1000分。上述述五部分评价价得分加总除除以5，得到到过程评价的的实际得分。第四十六条 在在对内部控制制过程评价时时，应按照第第三章评价内内容的要求，结结合本办法第第八条的四个个方面展开，转转换为具体评评价问题，并并根据测试情情况对被评价价项目进行评评分。第四十七条 初初次实施内部部控制评价时时，须对所有有业务活动、管管理活动和支支持保障活动动进行评价。再再次评价时，至至少应包括：授信业务、资资金业务、存存款及柜台业业务、主要中中间业务、计计划财务、会会计管理、计计算机信息系系统等。其他他活动在每三三次再次评价价周期内应至至少覆盖一次次。第四十八条 内内部控制过程程评价的具体体评分标准如如下：（一）被评价对对象的过程和和风险已被充充分识别的，可可得该项分值值的百分之二二十。（二）在满足前前项的基础上上，被评价项项目的过程和和对风险的控控制措施被规规定并遵循要要求的，可得得该项分值的的百分之三十十。（三）在满足前前两项的基础础上，被评价价项目的规定定得到实施和和保持，可再再得该项分值值的百分之三三十。（四）在满足前前三项的基础础上，被评价价项目在实现现风险控制的的结果方面，控控制措施有效效且适宜的，可可再得该项分分值的百分之之二十。第四十九条 在在测试过程中中遇有业务缺缺项或问题""不适用"时时，应将涉及及到的分值在在评价项目总总分中扣减。为为了保持可比比性，在得出出其余适用项项的总分后，还还应将该评价价项目的总得得分进行调整整。调整后评价项目目总得分= 所有适用项项目得分/(评价项目总总分-不适用用项目总分) ×1000%单项分值小计和和总分分值有有小数时四舍舍五入。第五十条 若涉涉及到需要采采取抽样测试试确定评价结结论的，应根根据以下情况况确定：（一）如果在抽抽样范围内未未发现违规，该该项评价得满满分；在抽样样范围内，发发现两项以上上违规（含两两项），该项项评价不得分分；仅发现一一项违规的，应应扩大一倍抽抽样，在扩大大抽样范围内内未发现新的的违规的，可可得该评价项项目分值的550%，在扩扩大抽样范围围内又发现新新的违规的，该该评价项目不不得分。（二）发现险情情或事故的，直直接扣除该评评价项目的分分值。第五十一条 内内部控制的结结果评价。结结果评价主要要评价内部控控制目标的实实现情况，对对这些指标的的量化评价可可以通过非现现场的方式进进行。结果评评价主要包括括十项指标：资本利润率率、资产利润润率、成本收收入比、大额额风险集中度度指标、关联联方交易指标标、资产质量量指标、不良良贷款拨备覆覆盖率、资本本充足指标、流流动性指标、案案件指标等，指指标说明及控控制比例见附附录。内控结结果评价指标标的标准分值值为500分分，转化为百百分制后得出出实际得分。银监会可以根据据商业银行整整体风险情况况、经济金融融情况和银监监会工作的重重点，补充、修修订或调整有有关评价指标标及其标准分分值。第五十二条 根根据过程评价价和结果评价价综合确定内内部控制体系系的总分。其其中，过程评评价的权重为为70，结结果评价的权权重为30，两项得分分加总得出综综合评价总分分。第五十三条 根根据综合评价价总分确定被被评价机构的的内部控制体体系评价等级级，应按评分分标准对被评评价机构内部部控制项目逐逐项计算得分分，确定评价价等级。定级级标准为：一级：综合评分分90分 以以上（含900分）。指被被评价机构有有健全的内部部控制体系，在在各个环节均均能有效执行行内部控制措措施，能对所所有风险进行行有效识别和和控制，无任任何风险控制制盲点，控制制措施适宜，经经营效果显著著。二级：综合评分分80899分。指被评评价机构内部部控制体系比比较健全，在在各个环节能能够较好执行行内部控制措措施，能对主主要风险进行行识别和控制制，控制措施施基本适宜，经经营效果较好好三级：综合评分分70-799 分。指被被评价机构内内部控制体系系一般，虽建建立了大部分分内部控制，但但缺乏系统性性和连续性，在在内部控制措措施执行方面面缺乏一贯的的合规性，存存在少量重大大风险，经营营效果一般。四级：综合评分分60 669 分。被被评价机构内内部控制体系系较差，内部部控制体系不不健全或重要要的内部控制制措施没有贯贯彻执行或无无效，管理方方面存在重大大问题，业务务经营安全性性差。五级：综合评分分60分以下下（不含600分）。被评评价机构内部部控制体系很很差，内部控控制体系存在在严重缺失或或内部控制措措施明显无效效，存在明显显的管理漏洞洞，经营业务务失控，存在在重大金融风风险隐患。上述等级也适用用于单项评级级，单项评级级结果主要用用于对比分析析。第五十四条 若若被评价机构构在评价期内内发生重大责责任事故，应应在上述评级级的基础上下下调一级。重大责任事故包包括：（一）因安全防防范措施不当当，发生金融融诈骗、盗窃窃、抢劫、爆爆炸等案件，造造成重大影响响或损失。（二）因经营管管理不善发生生挤提事件。（三）业务系统统故障，造成成重大影响或或损失。（四）经查实的的重大信访事事件。第五十五条 内内部控制体系系连续在三个个评价期内得得不到改善的的机构，其内内部控制评价价等级应适当当下调。第六章 组织和和实施第五十六条 内内部控制评价价按照"统一一领导，分级级管理"的原原则进行。第五十七条 根根据评价的范范围，内部控控制评价可分分为以下层次次：（一）银监会及及其派出机构构对商业银行行法人机构的的整体评价，原原则上每两年年一次。（二）银监会及及其派出机构构对商业银行行总部的评价价，原则上每每两年一次。（三）银监会及及其派出机构构对商业银行行不同层次分分支机构的评评价，每三年年一个评价周周期，每年至至少覆盖三分分之一以上的的分支机构，三三年内必须覆覆盖全部分支支机构。第五十八条 应应当根据风险险大小和重要要性确定对商商业银行及其其分支机构内内部控制评价价的频率和范范围，当商业业银行发生管管理层重大变变动、重大的的并购或处置置、重大的营营运方法改变变或财务信息息处理方式改改变等情况，或或银监会认为为必要时，应应对商业银行行内部控制进进行整体评价价。第五十九条 银银监会对商业业银行法人机机构整体评价价时，总部占占整体评价得得分的60%,分支机构构平均得分占占整体评价得得分的40%，形成最终终评级结果。其其中，初次整整体评价时，应应覆盖总行和和所有分支机机构；再次进进行整体评价价时，应抽取取不少于三分分之一的分支支机构。银监会各派出机机构对辖内商商业银行分支支机构的内部部控制评价可可比照进行。第六十条 银监监会及其派出出机构应及时时整理、分析析和掌握被评评价机构报送送的非现场监监管数据、国国家审计部门门的审计结果果和被评价机机构的内部审审计信息，充充分利用监管管部门对被评评价机构的各各种现场检查查结果。第六十一条 银银监会或其派派出机构应对对被降价机构构内部控制体体系的改进情情况进行后续续跟踪，责令令被评价机构构针对发现的的违规或风险险隐患制定纠纠正措施，并并对纠正情况况及其有效性性进行验证。第六十二条 内内部控制评价价各阶段涉及及的有关记录录、表格、评评价报告以及及跟踪验证的的相关资料均均应作为监管管档案妥善保保管。第六十三条 银银监会可根据据需要委托外外部中介机构构对商业银行行内部控制体体系进行评价价。受托中介介机构和人员员必须熟悉商商业银行业务务和运作，具具备商业银行行内部控制体体系建立或评评价方面的经经验。各派出出机构选聘中中介机构时，必必须报银监会会批准。受托中介机构对对商业银行的的内部控制评评价须按照本本办法执行。第七章 罚 则则第六十四条 银银监会根据评评级结果及评评价报告所反反映的情况，针针对被评价机机构内部控制制体系存在问问题的性质及及严重程度，可可分别采取以以下一项或多多项监管措施施：（一）约见被评评价机构第一一负责人或董董事长。（二）就评价对对象内部控制制体系存在问问题可能引发发的风险，向向被评价机构构进行提示和和警告。（三）要求被评评价机构对内内部控制体系系存在的问题题限期整改。（四）加大现场场检查力度及及频率。（五）建议调整整管理层。（六）取消有关关人员一定期期限或终身银银行业从业资资格。（七）责令整顿顿或暂停办理理相关业务。（八）延缓批准准或拒绝受理理增设分支机机构、开办新新业务的申请请。第六十五条 对对内部控制评评价中发现的的违规、违法法行为，应根根据有关规定定，采取相应应处罚措施。第六十六条 未未经批准或许许可，任何单单位和个人不不