《商業(yè)銀行內(nèi)部控制試行評價辦法》和《商業(yè)銀行內(nèi)部控制指引》培訓(xùn)講義

1、?商業(yè)銀行內(nèi)部控制試行評價方法?和?商業(yè)銀行內(nèi)部控制指引?學(xué)習目錄理解內(nèi)控內(nèi)控體系評價目錄如何理解內(nèi)控體系？第十條 商業(yè)銀行公司治理。 商業(yè)銀行應(yīng)建立以股東大會、董事會、監(jiān)事會、高級管理層等為主體的公司治理組織架構(gòu)，保證各機構(gòu)標準運作，分權(quán)制衡。 一完善股東大會、董事會、監(jiān)事會及下設(shè)的議事和決策機構(gòu)，建立議事規(guī)那么和決策程序。 二明確董事會和董事、監(jiān)事會和監(jiān)事、高級管理層和高級管理人員在內(nèi)部控制中的責任。 三建立獨立董事制度，對董事會討論事項發(fā)表客觀、公正的獨立意見。 四建立外部監(jiān)事制度，對董事會、董事、高級管理層及其成員進行監(jiān)督。1.1內(nèi)部控制環(huán)境公司治理第十一條 董事會、監(jiān)事會和高級管理層

2、責任 董事會負責保證商業(yè)銀行建立并實施充分而有效的內(nèi)部控制體系；負責審批整體經(jīng)營戰(zhàn)略和重大政策并定期檢查、評價執(zhí)行情況；負責確保商業(yè)銀行在法律和政策的框架內(nèi)審慎經(jīng)營，明確設(shè)定可接受的風險程度，確保高級管理層采取必要措施識別、計量、監(jiān)測并控制風險；負責審批組織機構(gòu)；負責保證高級管理層對內(nèi)部控制體系的充分性與有效性進行監(jiān)測和評估。 監(jiān)事會負責監(jiān)督董事會、高級管理層完善內(nèi)部控制體系；負責監(jiān)督董事會及董事、高級管理層及高級管理人員履行內(nèi)部控制職責；負責要求董事、董事長及高級管理人員糾正其損害商業(yè)銀行利益的行為并監(jiān)督執(zhí)行。 高級管理層負責制定內(nèi)部控制政策，對內(nèi)部控制體系的充分性與有效性進行監(jiān)測和評估；負

3、責執(zhí)行董事會決策；負責建立識別、計量、監(jiān)測并控制風險的程序和措施；負責建立和完善內(nèi)部組織機構(gòu)，保證內(nèi)部控制的各項職責得到有效履行。 董事會和高級管理層還應(yīng)培育良好的內(nèi)部控制文化，提高員工的風險意識和職業(yè)道德素質(zhì)，建立通暢的內(nèi)外部信息溝通渠道，確保及時獲取與內(nèi)部控制有關(guān)的人力、物力、財力、信息以及技術(shù)等資源。 1.1內(nèi)部控制環(huán)境三會一層責任第十二條 內(nèi)部控制政策 商業(yè)銀行應(yīng)在各項業(yè)務(wù)和管理活動中制定明確的內(nèi)部控制政策，規(guī)定內(nèi)部控制的原那么和根本要求，并為制定和評審內(nèi)部控制目標提供指導(dǎo)。內(nèi)部控制政策應(yīng)： 一與商業(yè)銀行的經(jīng)營宗旨和開展戰(zhàn)略相一致； 二表達持續(xù)改進內(nèi)部控制的要求； 三符合現(xiàn)行法律法規(guī)和

4、監(jiān)管要求； 四表達出側(cè)重控制的風險類型； 五表達出對不同地區(qū)、行業(yè)、產(chǎn)品的風險控制要求； 六傳達給適用崗位的員工，指導(dǎo)員工實施風險控制措施； 七可為風險相關(guān)方所獲取，并尋求互利合作； 八定期進行評審，確保其持續(xù)的適宜性和有效性。1.1內(nèi)部控制環(huán)境內(nèi)部控制政策第十三條 內(nèi)部控制目標 商業(yè)銀行應(yīng)在相關(guān)職能和層次上建立并保持內(nèi)部控制目標。內(nèi)部控制目標應(yīng)符合內(nèi)部控制政策，并表達對持續(xù)改進的要求。 在建立和評審內(nèi)部控制目標時，應(yīng)考慮法律法規(guī)、監(jiān)管要求和其他要求，以及技術(shù)、財務(wù)、經(jīng)營和風險相關(guān)方等因素，尤其應(yīng)考慮監(jiān)管部門的內(nèi)部控制指標要求。 內(nèi)部控制目標應(yīng)可測量。有條件時，目標應(yīng)用指標予以量化。 1.1內(nèi)

5、部控制環(huán)境內(nèi)部控制目標第十四條 組織結(jié)構(gòu) 商業(yè)銀行應(yīng)建立分工合理、職責明確、報告關(guān)系清晰的組織結(jié)構(gòu)，明確所有部門、崗位、人員的職責和權(quán)限，并形成文件予以傳達。特別應(yīng)考慮：一建立相應(yīng)的授權(quán)體系，實行統(tǒng)一法人管理和法人授權(quán)。二必要的職責別離，以及橫向與縱向相互監(jiān)督制約關(guān)系。 三涉及資產(chǎn)、負債、財務(wù)和人員等重要事項變動均不得由一個人單獨決定。 四明確關(guān)鍵崗位、特殊崗位、不相容崗位及其控制要求。五建立關(guān)鍵崗位定期或不定期的人員輪換和強制休假制度 商業(yè)銀行應(yīng)設(shè)立負有內(nèi)部控制體系建立、實施特殊責任的專門委員會或部門，明確其責任、權(quán)限和報告路線。 1.1內(nèi)部控制環(huán)境組織結(jié)構(gòu)第十四條 組織結(jié)構(gòu)續(xù) 商業(yè)銀行應(yīng)設(shè)

6、立全行系統(tǒng)垂直管理、具有充分獨立性的內(nèi)部審計部門。內(nèi)部審計部門應(yīng)配備具有相應(yīng)資質(zhì)和能力的審計人員；應(yīng)有權(quán)獲得商業(yè)銀行的所有經(jīng)營、管理信息；應(yīng)根據(jù)對轄屬機構(gòu)的風險評級結(jié)果確定審計頻率，以及對機構(gòu)和業(yè)務(wù)的審計覆蓋率，定期或不定期對內(nèi)部控制的健全性和有效性實施檢查、評價；應(yīng)及時向董事會或董事會審計委員會提交審計報告；董事會及高級管理層應(yīng)保證審計報告中指出的內(nèi)部控制的缺失得到及時糾正整改；總行內(nèi)部審計負責人的聘任和解聘應(yīng)當經(jīng)董事會或監(jiān)事會同意。 1.1內(nèi)部控制環(huán)境組織結(jié)構(gòu)續(xù)第十五條 企業(yè)文化。 商業(yè)銀行應(yīng)培育健康的企業(yè)文化，對企業(yè)文化的內(nèi)涵及其籌劃、滲透、評估與改進做出明確的規(guī)定。特別應(yīng)向員工傳達遵守

7、法律法規(guī)和實施內(nèi)部控制的重要性，引導(dǎo)員工樹立合規(guī)意識和風險意識，提高員工職業(yè)道德水準，標準員工職業(yè)行為。1.1內(nèi)部控制環(huán)境企業(yè)文化第十六條 人力資源 商業(yè)銀行應(yīng)完善人力資源政策和程序，確保與風險和內(nèi)部控制有關(guān)人員具備相應(yīng)的能力和意識。 商業(yè)銀行應(yīng)明確與風險和內(nèi)部控制有關(guān)人員的適任條件，明確有關(guān)教育、工作經(jīng)歷、培訓(xùn)和技能等方面的要求，以確保相關(guān)人員的勝任。 高級管理人員必須滿足監(jiān)管機構(gòu)對高級管理人員資質(zhì)的要求。 商業(yè)銀行應(yīng)制定并保持培訓(xùn)方案，以確保高級管理層和全體員工能夠完成其承擔的內(nèi)部控制方面的任務(wù)和職責。培訓(xùn)方案應(yīng)定期評審，并應(yīng)考慮不同層次員工的職責、能力和文化程度以及所面臨的風險。 商業(yè)銀

8、行應(yīng)對員工引進、退出、選拔、績效考核、薪酬、福利、專業(yè)技術(shù)職務(wù)管理處分等日常人事管理做出詳細規(guī)定，并充分考慮人力資源管理過程中的風險。1.1內(nèi)部控制環(huán)境人力資源1.1內(nèi)部控制環(huán)境-條款小結(jié)季節(jié)春冬夏秋屬種關(guān)系年春冬夏秋從屬關(guān)系陽光關(guān)聯(lián)關(guān)系夏天屬種關(guān)系：在層次結(jié)構(gòu)中，下層概念繼承了上層概念的所有特征附屬關(guān)系：在層次結(jié)構(gòu)中，下層概念形成了上層概念的組成局部關(guān)聯(lián)關(guān)系：在概念體系中，概念與概念之間具有某種內(nèi)在聯(lián)系。概念關(guān)系及圖示1.1內(nèi)部控制環(huán)境-條款小結(jié)第一節(jié)內(nèi)部控制環(huán)境 第十一條董事會、監(jiān)事會和高級管理層責任第十二條內(nèi)部控制政策第十六條人力資源第十三條內(nèi)部控制目標第十四條組織結(jié)構(gòu)第十條商業(yè)銀行公司

9、治理第十五條企業(yè)文化1.1內(nèi)部控制環(huán)境-條款小結(jié)COSO報告巴塞爾十三條有關(guān)管理監(jiān)督和控制原則內(nèi)部控制評價辦法誠信、道德價值觀和企業(yè)員工的競爭力；管理哲學(xué)和經(jīng)營風格；管理層如何進行授權(quán)和職責分配，如何組織和發(fā)展它的員工；董事會提供的關(guān)注和指導(dǎo)。原則1：董事會負責審批銀行的整體經(jīng)營戰(zhàn)略和重大政策，并定期檢查；董事會應(yīng)當了解銀行的主要風險，確定可以接受的風險水平并保證高管層采取必要措施認定、計量、監(jiān)督并控制風險；董事會負責審批組織結(jié)構(gòu)；確保高管層對內(nèi)部控制體系的有效性進行監(jiān)督。董事會最終負責保證銀行已建立并維持了一個充分、有效的內(nèi)控體系。原則2：高級管理層負責執(zhí)行董事會批準的各項戰(zhàn)略與政策；負責建

10、立認定、計量、監(jiān)督及控制銀行風險的程序；負責建立有明確責任分配、授權(quán)和清除報告關(guān)系的組織結(jié)構(gòu)；確保分配的各項職責都得到有效執(zhí)行；負責制定適當?shù)膬?nèi)部控制政策，并監(jiān)督內(nèi)部控制體系的充分性和有效性。原則3：董事會與高級管理層有責任推進高水準的職業(yè)道德和誠信標準，并在組織內(nèi)部建立一種文化，向各層次員工強調(diào)并說明內(nèi)部控制的重要性。銀行機構(gòu)的所有員工都必須了解自身在內(nèi)部控制過程中的作用，并充分參與這個過程。第十條 商業(yè)銀行公司治理第十一條 董事會、監(jiān)事會和高級管理層責任第十二條 內(nèi)部控制政策第十三條 內(nèi)部控制目標第十四條 組織結(jié)構(gòu)第十五條 企業(yè)文化第十六條 人力資源1.2風險識別與評估風評第十七條 經(jīng)營管

11、理活動風險識別與評估商業(yè)銀行應(yīng)建立和保持書面程序，以持續(xù)對各類風險進行有效的識別與評估。商業(yè)銀行的主要風險包括信用風險、操作風險、市場風險、國家和轉(zhuǎn)移風險、利率風險、流動性風險、法律風險以及聲譽風險等。應(yīng)識別并確定常規(guī)和非常規(guī)的業(yè)務(wù)和管理活動，并識別這些活動中的風險無論是否由內(nèi)部產(chǎn)生，考慮其類型、來源及其影響范圍，特別應(yīng)考慮計算機系統(tǒng)的運用可能帶來的風險。應(yīng)依據(jù)法律法規(guī)、監(jiān)管要求以及內(nèi)部控制政策確定風險是否可接受，以確定是否進一步采取措施。風險可接受時，應(yīng)監(jiān)測并定期評審，以確保其持續(xù)可接受；風險不可接受時，應(yīng)制定控制措施。1.2風險識別與評估風評2第十七條 經(jīng)營管理活動風險識別與評估續(xù) 商業(yè)銀

12、行對各類風險進行有效的識別與評估時應(yīng)充分考慮內(nèi)部和外部因素。其中，內(nèi)部因素包括組織結(jié)構(gòu)的復(fù)雜程度、銀行業(yè)務(wù)性質(zhì)、機構(gòu)變革以及員工的流動等；外部因素包括經(jīng)濟形勢的波動、行業(yè)變動趨勢等。當環(huán)境和條件發(fā)生變化時，應(yīng)及時對風險進行再識別和再評估，以確保任何新的和以前未曾予以控制的風險得到識別和控制。 風險識別與評估應(yīng)： 一依據(jù)業(yè)務(wù)范圍、性質(zhì)和時限主動進行。 二評估風險的后果、概率和風險級別。 三必要時開發(fā)并運用風險量化評估的方法和模型。風險的定義1信用風險credit risk：是指由于借款人或交易對手不能履約或履約意愿變化所帶來的風險。市場風險market risk：是指由于市場價格的不利變動使銀行

13、的表內(nèi)和表外頭寸遭受損失的風險。操作風險operational risk：是指由于不完善的或失效的內(nèi)部程序、人員、系統(tǒng)或外部事件導(dǎo)致?lián)p失的風險。流動性風險liquidity risk：是指銀行無力為負債的減少或資產(chǎn)的增加提供融資，即當銀行流動性缺乏時，它無法以合理的本錢迅速增加負債或變現(xiàn)資產(chǎn)獲得足夠的資金，從而帶來損失的可能。利率風險interest rate risk：是指銀行的財務(wù)狀況在利率波動時出現(xiàn)損失的可能。利率風險不僅影響銀行的盈利水平，也影響銀行資產(chǎn)、負債和表外金融工具的經(jīng)濟價值。法律風險legal risk：是指因現(xiàn)行法律不完善、不明確以及法律修改，不完善、不正確的法律意見、文件

14、，交易行為違反法律和監(jiān)管規(guī)定等原因?qū)е裸y行損失的可能。國家和轉(zhuǎn)移風險country and transfer risk：是指由于非正常的、對所有貸款或交易頭寸都產(chǎn)生風險的原因，一國的主權(quán)借款人可能無力或不愿意、而其他借款人或交易對手可能無力履行其對外義務(wù)所產(chǎn)生的風險。聲譽風險reputational risk：是指由于銀行操作失誤、違反法規(guī)、經(jīng)營不善及其他問題而帶來的銀行市場形象上的不利影響。風險的定義2操作風險識別評估流程介紹1流程梳理和分析2風險識別3確定風險4確定風險是否可承受5制定風險控制措施方案如有必要6評審措施方案的充分性等級描述詞詳細描述 1災(zāi)難性超出可承受的能力，巨大的財務(wù)損失

15、。如：系統(tǒng)數(shù)據(jù)全部丟失；財務(wù)損失超過經(jīng)濟資本等。 2較大較大的財務(wù)損失或人員傷害，極其不良的影響。如：較大的貸款損失。3中等中等財務(wù)損失，有一定不良影響。4較小較小的財務(wù)損失。如：如金額較小的短款。5無關(guān)緊要極小的財務(wù)損失，幾乎沒什么影響。如：普通憑證遺失。風險后果等級風險可能性等級 等級 描述詞 詳細描述 A幾乎肯定 預(yù)期大多數(shù)情況下發(fā)生（可能性大于95） B很可能在大多數(shù)情況下很可能會發(fā)生（可能性在6095） C可能 在某種情況下可能發(fā)生（可能性在1060） D不太可能 在某種情況下能夠發(fā)生，但可能性較?。赡苄栽?0以下） E罕見僅在例外的情況下會發(fā)生（可能性在1以下） 風險等級矩陣LM

16、MHH3中等LLMMH4較小ILLMM5無關(guān)緊要HME罕見EHD不太可能 EHC可能 EEB很可能EEA幾乎肯定 1災(zāi)難2較大后果可能性不可接受風險有條件接受風險可接受風險風險等級含義風險水平 詳細描述 EExtreme極度風險，要求立即采取措施HHigh高風險，需要高層關(guān)注MMedium中等風險，必須規(guī)定控制程序和責任LLow低風險，用日常程序處理IIgnoring極小風險,基本不用處理風險等級與控制措施風險水平 等級措 施 不可接受風險E直至風險降低后才能開始工作。為降低風險有時必須配給大量資源。當風險涉及正在進行中的工作時，就應(yīng)采取應(yīng)急措施。 HM有條件接受風險L通過評審決定是否需要另外

17、的控制措施 可接受風險I毋須采取措施且不必保留文件記錄。 1.2風險識別與評估法規(guī)識別第十八條 法律法規(guī)、監(jiān)管要求和其他要求的識別 商業(yè)銀行應(yīng)建立并保持識別和獲取適用法律法規(guī)、監(jiān)管要求和其他要求的程序，作為風險識別與評估、制訂控制目標和控制方案的依據(jù)。 商業(yè)銀行應(yīng)及時更新法律法規(guī)、監(jiān)管要求和其他要求的信息，并將這些信息傳達給相關(guān)員工和其他風險相關(guān)方。1.2風險識別與評估內(nèi)部控制方案第十九條 內(nèi)部控制方案 商業(yè)銀行應(yīng)制定內(nèi)部控制方案，以控制已識別的不可接受風險。內(nèi)部控制措施方案應(yīng)包括以下內(nèi)容： 一為實現(xiàn)對風險的控制而規(guī)定的相關(guān)職責與權(quán)限。 二控制的策略、方法、資源需求和時限要求。 假設(shè)涉及到組織

18、結(jié)構(gòu)、流程、計算機系統(tǒng)等方面的重大變更，應(yīng)考慮可能產(chǎn)生的新風險。 1.2風險識別與評估-條款小結(jié)第二節(jié)風險識別與評估第十七條經(jīng)營管理活動風險識別與評估第十八條法律法規(guī)、監(jiān)管要求與其他要求的識別 第十九條內(nèi)部控制方案1.2風險識別與評估-條款小結(jié)COSO報告巴塞爾十三條有關(guān)管理監(jiān)督和控制原則內(nèi)部控制評價辦法風險評估：每個公司都面臨著內(nèi)外部風險，這些風險必須被評估。風險評估的前提是建立不同層次但具有內(nèi)部一致性的目標。風險評估是發(fā)現(xiàn)和分析對達到目標有影響的風險的過程，是確定如何管理和控制風險的基礎(chǔ)。因為經(jīng)濟狀況、行業(yè)狀況、法規(guī)和經(jīng)營狀況會不斷發(fā)生變化，風險評估要發(fā)現(xiàn)并處理這些變化對有關(guān)風險的影響。原

19、則4：一個有效的內(nèi)部控制體系要能夠認定和持續(xù)評估影響銀行目標實現(xiàn)的重大風險。這種評估必須覆蓋銀行及銀行集團面臨的所有風險（包括信用風險、國家和轉(zhuǎn)移風險、市場風險、利率風險、流動性風險、操作風險、法律風險和聲譽風險）。有時也可能需要修改內(nèi)部控制以適當處理新的或以前未能控制的風險。第十七條 經(jīng)營管理活動風險識別與評估第十八條 法律法規(guī)、監(jiān)管和要求和其他識別要求的識別第十九條 內(nèi)部控制方案1.3內(nèi)部控制措施運行控制第二十條 運行控制商業(yè)銀行應(yīng)確定需要采取控制措施的業(yè)務(wù)和管理活動，依據(jù)所籌劃的控制措施或已有的控制程序?qū)@些活動加以控制。 一控制措施包括： 1.高層檢查。董事會與高級管理層要求下級部門及

20、時報告經(jīng)營管理情況和特別情況，以檢查內(nèi)部控制的實施狀況以及在實現(xiàn)內(nèi)部控制目標方面的進展。高級管理層應(yīng)根據(jù)檢查情況提出內(nèi)部控制缺失，催促職能管理部門改進。 2.行為控制。各級職能管理部門審查每天、每周或每月收到的經(jīng)營管理情況和特別情況專項報表或報告，提出問題，要求采取糾正整改措施。 3.實物控制。主要的控制措施包括實物限制、雙重保管和定期盤存。 4.風險暴露限制的審查。審查遵循風險暴露限制方面的合規(guī)性，違規(guī)時繼續(xù)跟蹤檢查。 5.審批與授權(quán)。根據(jù)假設(shè)干限制條件對各項業(yè)務(wù)、管理活動進行審批與授權(quán)，明確各級管理責任。1.3內(nèi)部控制措施運行控制2第二十條 運行控制續(xù)6.驗證與核實。驗證各項業(yè)務(wù)、管理活動

21、，以及所采用的風險管理模型結(jié)果，并定期核實相關(guān)情況，及時發(fā)現(xiàn)需要修正的問題，向職能管理部門報告。 7.不兼容崗位的適當別離。實行適當?shù)穆氊煼止?，認定潛在的利益沖突并使之最小化。 二控制要點包括： 1.對于可能導(dǎo)致偏離內(nèi)部控制政策、目標的運行情況，應(yīng)建立并保持書面程序和要求，并在程序中規(guī)定操作和控制標準。 2.對于重要活動應(yīng)實施連續(xù)記錄和監(jiān)督檢查。 3.在可能的情況下，應(yīng)考慮運用計算機系統(tǒng)進行控制。 4.對于采購或外包的設(shè)施、設(shè)備、系統(tǒng)和效勞中已識別的風險，應(yīng)建立并保持控制程序，并將有關(guān)程序和要求通報供方，確保其遵守商業(yè)銀行相關(guān)的控制要求。 5.對于產(chǎn)品、組織結(jié)構(gòu)、流程、計算機系統(tǒng)的設(shè)計過程，應(yīng)

22、建立有效的控制程序。1.3內(nèi)部控制措施計算機環(huán)境控制第二十一條 計算機系統(tǒng)環(huán)境下的控制 商業(yè)銀行應(yīng)考慮計算機系統(tǒng)環(huán)境下的業(yè)務(wù)運行特征，建立信息平安管理體系，對硬件、操作系統(tǒng)和應(yīng)用程序、數(shù)據(jù)和操作環(huán)境，以及設(shè)計、采購、平安和使用實施控制，確保信息的完整性、平安性和可用性。明確計算機信息系統(tǒng)開發(fā)部門、管理部門與應(yīng)用部門的職責，建立和健全計算機信息系統(tǒng)風險防范的制度，確保計算機信息系統(tǒng)設(shè)備、數(shù)據(jù)、系統(tǒng)運行和系統(tǒng)環(huán)境的平安。1.3內(nèi)部控制措施應(yīng)急準備與處置第二十二條 應(yīng)急準備與處置商業(yè)銀行應(yīng)建立并保持預(yù)案和程序，以識別可能發(fā)生的意外事件或緊急情況包括計算機系統(tǒng)。意外事件和緊急情況發(fā)生時，應(yīng)及時做出應(yīng)急

23、處置，以預(yù)防或減少可能造成的損失，確保業(yè)務(wù)持續(xù)開展。 商業(yè)銀行應(yīng)定期檢查、維護應(yīng)急的設(shè)施、設(shè)備和系統(tǒng)，確保其處于適用狀態(tài)。如可行，應(yīng)定期測試應(yīng)急預(yù)案。 商業(yè)銀行應(yīng)評審其應(yīng)急預(yù)案，特別是意外事件或緊急情況發(fā)生之后。應(yīng)急準備應(yīng)與可能發(fā)生的意外事件或緊急情況包括事故、險情的性質(zhì)相適應(yīng)。 1.3內(nèi)部控制措施-條款小結(jié)第三節(jié)內(nèi)部控制措施第二十條運行控制第二十一條計算機系統(tǒng)環(huán)境下的控制第二十二條應(yīng)急準備與處置1.3內(nèi)部控制措施-條款小結(jié)COSO報告巴塞爾十三條有關(guān)管理監(jiān)督和控制原則內(nèi)部控制評價辦法控制活動控制活動是確保管理層指令得到執(zhí)行的公司政策和流程。它確保企業(yè)針對相關(guān)的風險采取了必要的措施，以實現(xiàn)企業(yè)

24、的目標?？刂苹顒哟嬖谟谡麄€組織的所有層次和所有職能部門中?？刂苹顒影ㄒ幌盗胁煌幕顒?，例如對經(jīng)營活動的審批、授權(quán)、確認、核對、審核，對資產(chǎn)的保護，職權(quán)分離等。原則5：控制活動是銀行日?；顒又胁豢苫蛉钡牟糠?。一個有效的內(nèi)部控制體系要求建立適當?shù)目刂平Y(jié)構(gòu)，明確定義每一層次的控制活動，包括：高層評審；對不同部門或處室適當?shù)幕顒涌刂疲粰z查是否遵循風險敞口限額，并對不符合的情況進行跟蹤調(diào)查；審批和授權(quán)制度，以及檢驗與核查制度。原則6：有效的內(nèi)部控制體系要求適當?shù)穆氊煼蛛x，員工不應(yīng)被賦予相矛盾的責任。應(yīng)當識別潛在的利益沖突并使之最小化，同時這種潛在的利益沖突應(yīng)當受到認真而獨立的監(jiān)督。第二十條 運行控制第

25、二十一條 計算機環(huán)境下的控制第二十二條 應(yīng)急準備與處置1.4監(jiān)督評價與糾正績效監(jiān)測第二十三條 內(nèi)部控制績效監(jiān)測 商業(yè)銀行應(yīng)建立并保持書面程序，通過適宜的監(jiān)測活動，對內(nèi)部控制績效進行持續(xù)監(jiān)測。 監(jiān)測內(nèi)容包括： 一內(nèi)部控制目標實現(xiàn)程度。 二法律、法規(guī)及監(jiān)管要求的遵循程度。 三事故、險情和其他不良的內(nèi)部控制績效的歷史情況。 1.4監(jiān)督評價與糾正違規(guī)處理第二十四條 違規(guī)、險情、事故處置和糾正與預(yù)防措施。 商業(yè)銀行應(yīng)建立并保持書面程序，對違規(guī)、險情、事故的發(fā)現(xiàn)、報告、處置和糾正與預(yù)防措施做出規(guī)定，包括： 一發(fā)現(xiàn)違規(guī)、險情、事故并及時報告，必要時，可越級報告。 二及時處置違規(guī)、險情、事故。 三制定糾正與預(yù)

26、防措施，防止違規(guī)、險情、事故的發(fā)生和再發(fā)生，并與問題的大小和風險危害程度相一致。 四糾正與預(yù)防措施在實施之前應(yīng)進行風險評估。 五實施并跟蹤、驗證糾正與預(yù)防措施。 六險情和事故的責任追究。1.4監(jiān)督評價與糾正體系評價第二十五條 內(nèi)部控制體系評價 商業(yè)銀行應(yīng)建立并保持書面程序，對內(nèi)部控制體系實施評價，確保內(nèi)部控制體系的充分性、合規(guī)性、有效性和適宜性。程序應(yīng)包括評價的目的、準那么、范圍、頻率、方法以及職責與要求。 評價應(yīng)考慮活動的風險評估結(jié)果、業(yè)務(wù)和管理流程及相關(guān)區(qū)域的狀況和以前的評價結(jié)果等，覆蓋體系范圍內(nèi)的所有活動。 可根據(jù)評價結(jié)果確定內(nèi)部控制水平的等級。被評價機構(gòu)的管理者應(yīng)采取措施消除違規(guī)原因，

27、并驗證所采取措施的效果。 評價應(yīng)由與評價的活動無直接責任的人員進行，評價人員應(yīng)具備相應(yīng)的知識，能夠勝任評價工作。1.4監(jiān)督評價與糾正管理評審第二十六條 管理評審董事會應(yīng)采取措施保證定期對內(nèi)部控制狀況進行評審，確保體系得到持續(xù)、有效的改進。 一管理評審應(yīng)包括以下方面的內(nèi)容： 1.內(nèi)部控制體系評價的結(jié)果。 2.內(nèi)部控制政策執(zhí)行情況和內(nèi)部控制目標實現(xiàn)情況。 3.對內(nèi)部控制體系有重要影響的外部信息，如法律、法規(guī)的重大變化。 4.組織結(jié)構(gòu)的重大調(diào)整。 5.事故和險情以及重大糾正和預(yù)防措施的狀況。 6.以往管理評審的跟蹤情況。 7.內(nèi)部控制體系改進的建議。 二管理評審應(yīng)就以下方面提出改進措施并落實： 1.

28、內(nèi)部控制體系及其過程的改進。 2.內(nèi)部控制政策、目標的變更。 3.與內(nèi)部控制有關(guān)資源的需求。1.4監(jiān)督評價與糾正持續(xù)改進第二十七條 持續(xù)改進。商業(yè)銀行應(yīng)利用內(nèi)部控制政策、內(nèi)部控制目標、評價結(jié)果、績效監(jiān)測和數(shù)據(jù)分析、糾正和預(yù)防措施以及管理評審等，持續(xù)提高內(nèi)部控制體系有效性。1.4監(jiān)督評價與糾正小結(jié)第四節(jié)監(jiān)督評價與糾正第二十七條持續(xù)改進第二十三條內(nèi)部控制績效監(jiān)測第二十六條管理評審第二十四條違規(guī)、險情、事故處置和糾正與預(yù)防措施第二十五條內(nèi)部控制體系評價1.4監(jiān)督評價與糾正小結(jié)COSO報告巴塞爾十三條有關(guān)管理監(jiān)督和控制原則內(nèi)部控制評價辦法監(jiān)督內(nèi)部控制系統(tǒng)需要監(jiān)督一套隨時評價內(nèi)部控制系統(tǒng)運行狀況的流程。

29、通過持續(xù)的監(jiān)督活動、單獨的評價或兩者的結(jié)合來完成這種控制。持續(xù)的監(jiān)督是在經(jīng)營活動中進行的。它包括日常的管理活動和監(jiān)督活動，以及員工履行他們的職責時進行的活動。單獨評價的范圍和頻率基本上取決于風險評估的結(jié)果和持續(xù)監(jiān)督程序的有效性。內(nèi)部控制的缺點應(yīng)報告給上級部門，重大事項應(yīng)報告給管理層和董事會。原則10：應(yīng)當對銀行內(nèi)部控制的總體有效性進行持續(xù)的監(jiān)督。對關(guān)鍵風險的監(jiān)督應(yīng)當是銀行日?；顒拥囊徊糠郑彩莾?nèi)部審計和根據(jù)業(yè)務(wù)活動進行定期評估的一部分。原則11：對內(nèi)部控制體系全面、有效的內(nèi)部審計應(yīng)當由獨立操作的、受過良好訓(xùn)練的、稱職的員工來執(zhí)行。內(nèi)部審計職能作為內(nèi)部控制體系監(jiān)控的一部分，應(yīng)直接向董事會或它的審

30、核委員會和高管層報告。原則12：內(nèi)部控制的缺陷，無論是業(yè)務(wù)活動、內(nèi)部審計發(fā)現(xiàn)還是其他控制人員發(fā)現(xiàn)的，都必須向適當?shù)墓芾韺訄蟾娌⒀杆俳鉀Q。內(nèi)部控制的重大缺陷必須向個高管層和董事會報告。第二十三條 內(nèi)部控制績效監(jiān)測第二十四條 違規(guī)、險情、事故處置和糾正與預(yù)防措施第二十五條 內(nèi)部控制評價第二十六條 管理評審第二十七條 持續(xù)改進1.5信息交流與反響交流與溝通第二十八條 交流與溝通商業(yè)銀行應(yīng)建立并保持信息交流與溝通的程序，對財務(wù)、管理、業(yè)務(wù)、重大事件和市場信息等相關(guān)信息，明確其識別、收集、處理、交流、溝通、反響、披露的渠道和方式。 商業(yè)銀行應(yīng)識別其內(nèi)部和外部的風險相關(guān)方，考慮他們的要求和目標，建立與這些

31、相關(guān)方進行信息交流的機制，確保： 一董事會和高級管理層能夠及時了解業(yè)務(wù)信息、管理信息以及其他重要風險信息。 二所有員工充分了解相關(guān)信息、遵守涉及其責任和義務(wù)的政策、程序。 三險情、事故發(fā)生時，相關(guān)信息能得到及時報告和有效溝通。 四及時、真實、完整地向監(jiān)管機構(gòu)和外界報告、披露相關(guān)信息。 五國內(nèi)外經(jīng)濟、金融動態(tài)信息的取得和處理，并及時把與企業(yè)既定經(jīng)營目標有關(guān)的信息提供給各級管理層。 信息交流與溝通應(yīng)考慮信息的平安性和保密性要求。相關(guān)信息報告、發(fā)布、披露應(yīng)經(jīng)過授權(quán)。 為保持信息交流溝通可追溯性，必要時，應(yīng)保持相關(guān)信息交流與溝通的記錄。1.5信息交流與反響文件化第二十九條 內(nèi)部控制體系對文件的要求建立

32、和保持文件化體系是實現(xiàn)信息交流與反響的重要途徑。商業(yè)銀行應(yīng)建立并保持必要的內(nèi)部控制體系文件，包括： 一對內(nèi)部控制體系核心過程要素及其相互作用的描述。 二內(nèi)部控制政策和目標。 三關(guān)鍵崗位及其職責與權(quán)限。 四不可接受的風險及其預(yù)防和控制措施。 五控制程序、作業(yè)指導(dǎo)、方案和其他內(nèi)部文件。1.5信息交流與反響文件控制第三十條 文件控制商業(yè)銀行應(yīng)建立并保持書面程序，以確保內(nèi)部控制體系所要求的文件滿足以下要求： 一文件和資料易于查詢。 二實施前得到授權(quán)人的批準。 三定期進行評審，必要時予以修訂并由授權(quán)人員確認其適宜性。 四所有相關(guān)崗位都能得到有效版本。 五失效時，及時從所有發(fā)放處和使用處收回，或采取其他措

33、施防止誤用。 六及時識別、處置外來文件并進行標識，必要時轉(zhuǎn)化為內(nèi)部文件。 七留存的檔案性文件和資料應(yīng)予以適當標識。1.5信息交流與反響記錄控制第三十一條 記錄控制商業(yè)銀行應(yīng)建立并保持書面程序，以規(guī)定內(nèi)部控制相關(guān)活動中所涉及記錄的標識、生成、貯存、保護、檢索、保存期限和處置。 記錄應(yīng)保持清晰、易于識別和檢索，以提供符合要求和內(nèi)部控制體系有效運行的證據(jù)，并可追溯到相關(guān)的活動。1.5信息交流與反響-條款小結(jié)第五節(jié)信息交流與反饋第二十八條交流與溝通建立控制第二十九條內(nèi)部控制體系對文件的要求第三十條文件控制第三十一條記錄控制1.5信息交流與反響-條款小結(jié)COSO報告巴塞爾十三條有關(guān)管理監(jiān)督和控制原則內(nèi)部

34、控制評價辦法信息和溝通相關(guān)的信息必須以某種形式并在某個時段被識別、獲得和溝通，以促使履行職責。信息系統(tǒng)生成報告，內(nèi)容包括經(jīng)營、財務(wù)和合規(guī)性方面的信息，以使得管理層能夠運作和控制業(yè)務(wù)活動。信息系統(tǒng)不只是處理內(nèi)部生成的數(shù)據(jù)，而且還處理業(yè)務(wù)決策和外部報告所必須的關(guān)于外部事件、活動和狀況的信息。有效的溝通應(yīng)當基于更為廣泛的理解，自上而下、自下而上地貫穿整個組織。所有的人員應(yīng)當獲得來自最高管理層的明確的信息并認識到他們所承擔的控制責任重要性。他們必須明白自己在內(nèi)部控制系統(tǒng)中扮演的角色以及自己的行為與他人的工作如何聯(lián)系。他們必須擁有向上溝通重要信息的途徑。同時，也必須和外部單位進行有效溝通，例如客戶、供應(yīng)

35、商、監(jiān)管部門和股東。原則7：有效的內(nèi)部控制體系要求充分而全面的內(nèi)部財務(wù)、運營與合規(guī)性數(shù)據(jù)，以及與決策有關(guān)的外部市場信息。信息應(yīng)可靠、及時、可獲得并且以一致的格式提供。原則8：有效的內(nèi)部控制體系要求具備可靠的信息系統(tǒng)，以覆蓋銀行所有的重大業(yè)務(wù)活動。這些系統(tǒng)，包括以電子格式持有和使用數(shù)據(jù)的系統(tǒng)，必須是安全的、受到獨立的監(jiān)控，并充分的應(yīng)急安排的支持。原則9：有效的內(nèi)部控制體系要求有效的溝通渠道，以確保所有員工都充分理解并堅持執(zhí)行影響其職責和責任的政策和程序，并保證其他相關(guān)信息能傳遞給適當人員。第二十八條 交流與溝通第二十九條 內(nèi)部控制體系對文件的要求第三十條 文件控制第三十一條 記錄控制內(nèi)部控制體系

36、內(nèi)容總結(jié)目錄2 如何進行評價？2.1體系評價根底根本概念內(nèi)部控制評價:是指對商業(yè)銀行內(nèi)部控制體系建設(shè)、實施和運行結(jié)果獨立開展的調(diào)查、測試、分析和評估等系統(tǒng)性活動。 評價證據(jù)：與評價準那么有關(guān)的并且能夠證實的記錄、事實陳述或其他信息。評價發(fā)現(xiàn)：將收集到的評價證據(jù)對照評價準那么進行評價的結(jié)果。評價結(jié)論：評價小組考慮了評價目的和所有評價發(fā)現(xiàn)后得出的評價結(jié)果。2.1體系評價根底體系評價特點體系評價過程評價正面評價持續(xù)評價2.1體系評價根底評價過程評價準備整改評價結(jié)論與反饋評價實施總體籌劃指根據(jù)政策、目標要求及內(nèi)控體系運行的狀況，應(yīng)識別并確定以下內(nèi)容： 評價目的評價準那么評價范圍評價方式評價時機評價頻次

37、評價資源 2.1 評價準備 總體籌劃根據(jù)政策、目標要求及評價資源，應(yīng)識別并確定：1 5 4 3 2 評價目的評價準那么評價范圍評價組構(gòu)成及分工評價日程安排及要求具體籌劃的輸出為?評價方案?。1 2 3 4 5 2.2 評價準備具體實施籌劃具體實施籌劃評價目的內(nèi)部控制過程的充分性、合規(guī)性、有效性、適宜性充分性評價：過程和風險是否已被充分識別？合規(guī)性評價：過程和風險的控制措施是否遵循相關(guān)要求、得到明確規(guī)定并得以實施和保持？有效性評價：控制措施是否有效？適宜性評價：控制措施是否適宜？對不適用的過程要素標注“不適用。 具體實施籌劃評價準那么 商業(yè)銀行內(nèi)部控制評價辦法內(nèi)部控制體系文件法律法規(guī)及監(jiān)管要求具

38、體實施籌劃評價范圍 管理層次和職能，原那么上應(yīng)覆蓋商業(yè)銀行上至最高管理層、下至基層營業(yè)網(wǎng)點的所有層次，基層網(wǎng)點可以抽樣評價。 內(nèi)部控制體系的過程和風險 涉及的場所具體實施籌劃評價組構(gòu)成及分工評價人員不能評價自己的部門和工作評價人員的專業(yè)知識和經(jīng)歷能夠支持完成評價任務(wù)，具備風險管理、體系管理、業(yè)務(wù)知識、評價技能四個方面的知識和技能，應(yīng)該參加過內(nèi)部控制體系評價培訓(xùn)并考試合格。評價組中管理人員、業(yè)務(wù)人員應(yīng)合理搭配具體實施籌劃評價日程安排及要求 管理活動，考慮管理順序，自上而下或自下而上 業(yè)務(wù)活動，考慮業(yè)務(wù)流程，順向跟蹤或逆向追溯 保證評價時間：針對受評價部門承擔的職責，涉及的過程，安排足夠的評價時間

39、。 評價日程安排：應(yīng)明確首末次會議時間、評價組內(nèi)部溝通的時間與內(nèi)容要求、最高管理層的座談時間、評價重點場所的時間安排。 具體實施籌劃還應(yīng)明確相關(guān)資源的配備要求。 2.2 評價準備收集信息了解被評價部門和活動的管理或操作要求管理或操作的過程、目標、要求依據(jù)管理或操作的記錄收集有關(guān)資料內(nèi)控體系文件 監(jiān)管當局及管理行與受評價活動相關(guān)的管理規(guī)定以往發(fā)生的事故案件事件 銀行同業(yè)發(fā)生的相關(guān)事故事件的背景資料 2.2 評價準備編制調(diào)查問卷評價表是評價人員自用的工作文件提示、備忘，表達評價的思路、內(nèi)容和方法，即明確評價什么明確評價的內(nèi)容怎么評價明確評價的方法設(shè)計的問題應(yīng)圍繞過程的充分性、合規(guī)性、適宜性、有效性

40、，表達內(nèi)控體系運作過程、產(chǎn)品實現(xiàn)過程或管理活動周期與風險管理過程三個主線。問題設(shè)計舉例：授信業(yè)務(wù)政策1、充分性評價是否識別并制定授信業(yè)務(wù)政策？查閱書面資料2、合規(guī)性評價授信業(yè)務(wù)政策是否符合商業(yè)銀行的經(jīng)營宗旨和開展戰(zhàn)略？詢問并查閱書面資料授信業(yè)務(wù)政策是否符合法律法規(guī)和監(jiān)管要求？查閱資料授信業(yè)務(wù)政策是否表達出側(cè)重控制的風險類型，并表達出對不同地區(qū)、行業(yè)、產(chǎn)品的風險控制要求？查閱書面資料授信業(yè)務(wù)政策是否傳達至授信工作人員并為其所熟悉？詢問和查閱資料授信業(yè)務(wù)政策是否一貫得到執(zhí)行？抽樣檢查3、有效性評價控制措施是否發(fā)揮作用？抽樣檢查4、適宜性評價授信業(yè)務(wù)政策是否認期進行評審，并根據(jù)經(jīng)營環(huán)境、監(jiān)管要求等進

41、行調(diào)整？詢問并查閱書面資料2.3 評價實施會議準備會議-明確分工，專業(yè)引導(dǎo)。首次會議-確認評價日程安排，明確本卷須知。收集評價證據(jù)-收集可證實的信息方作為評價證據(jù)，并記錄評價證據(jù)。評價組內(nèi)部會議-評價信息交流。評價組交流、匯報會-評價結(jié)果匯報，確認評價結(jié)論。末次會議-報告評價結(jié)果，說明整改要求。 2.3 評價實施收集評價證據(jù)面談抽樣查閱察驗與受審核方員工及其他責任人員查看文件、記錄、其他方面的報告，查看計算機數(shù)據(jù)庫和網(wǎng)站，查看數(shù)據(jù)的匯總、分析和績效指標。觀察、驗證受評價方的活動、周圍工作環(huán)境和條件根據(jù)受評價方抽樣方案，抽樣測量過程控制程序的信息，抽取體系運行歷史和現(xiàn)在的局部客觀證據(jù)。收集評價證

42、據(jù) 面 談面談人員應(yīng)當來自評價范圍內(nèi)實施活動或任務(wù)的適當?shù)膶哟魏吐毮?；在被面談人正常工作時間和可行時正常工作地點進行；在面談前和面談過程中應(yīng)當努力使被面談人放松；解釋面談和作記錄的原因；面談可通過請對方描述其工作開始；防止提出有傾向性答案的問題即引導(dǎo)性提問；應(yīng)當與對方總結(jié)和評審面談的結(jié)果；應(yīng)當感謝對方的參與和合作。 收集評價證據(jù) 查 閱收集評價證據(jù) 察 驗 觀察管理和操作現(xiàn)場的環(huán)境 觀察管理和操作過程的狀態(tài)管理現(xiàn)場通常采用追溯的方式操作現(xiàn)場通常采用演示、測試的方式收集評價證據(jù) 抽 樣1收集評價證據(jù) 抽 樣2 合理分層，使樣本具有代表性保證抽樣數(shù)量，使樣本具有客觀性 獨立抽樣，使樣本具有真實性抽

43、樣對象考慮因素其本身的風險大小發(fā)生的頻次重要性涉及的金額大小流程的差異性原那么：收集評價證據(jù) 抽 樣3符合性測試介紹符合性測試抽樣參考每月執(zhí)行一次的業(yè)務(wù)或事項，抽樣量應(yīng)在2-6個；每周執(zhí)行一次的業(yè)務(wù)或事項，抽樣量在4-10個；每日執(zhí)行一次的業(yè)務(wù)或事項，抽樣量在10-25個；每日執(zhí)行屢次的業(yè)務(wù)或事項，全年10000次以下的，抽樣量在25-50個之間；全年10000次以上的，抽樣量應(yīng)在50個以上。評價證據(jù)的局限性評價證據(jù)基于可獲得的評價證據(jù)樣本。因此，在評價中存在不確定因素，依據(jù)評價結(jié)論采取措施的人員應(yīng)當意識到這種不確定性。2.3評價實施評價記錄準確記錄收集到的事實詳細記錄事實的載體切忌只記錄結(jié)論！評價記錄舉例查財會部,現(xiàn)場提供的2003年6月16日的?密押器發(fā)放紀錄?，其中#支行領(lǐng)用的密押器無領(lǐng)用人簽字。查財會部，發(fā)放密押器，沒有領(lǐng)用人簽字。2.3評價實施不合規(guī)項的判定不合規(guī)事實描述不合規(guī)判定 不合規(guī)的判定原那么以?方法?要求和文件規(guī)定為準繩，防止強加于人。以收集到的評價證據(jù)為依據(jù)，防止個人推斷。發(fā)現(xiàn)事實而不是發(fā)現(xiàn)錯誤。不合規(guī)項和建議項嚴重不合規(guī)：?商業(yè)銀行內(nèi)部控制評價方法?第三章