银行内部控制评价办法第一章总则第一条为规范和加强对银行内部控制的评价，督促其进一步建立内部控制体系，健全内部控制机制，保证本行安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本办法。

第二条本行内部控制评价是指对本行内部控制体系建设、实施和运行结果独立开展的调查、评估、测试和分析的系统性活动。

内部控制评价包括过程评价与结果评价。

过程评价侧重对内部控制过程的充分性、合规性、有效性、适宜性的评价，结果评价是对内部控制主要目标实现程度的评价。

第三条本行内部控制体系是本行为实现经营管理目标，通过制定和实施系统化的政策、程序和方案，对风险进行识别、评估、控制、监测和改进的动态过程和机制,由内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五个相互关联、相互作用的过程构成。

第四条本行建立并保持系统的、透明的、文件化的内部控制体系，将内部控制活动与业务经营管理活动紧密地结合起来；定期或在有关法律法规和其他经营环境发生重大变化时，对内部控制体系进行评审和改进。

第五条本行内部控制评价由内审部门与合规部门组织实施。

第六条本行内部控制评价人员应经过有关内部控制评价知识和技能的培训，具备相应的资质和能力。

第二章内部控制评价目标和原则第七条本行内部控制评价的目标是通过评价本行内部控制体系的充分性、合规性、有效性和适宜性，促使本行切实加强内部控制体系的建设并认真执行。

具体评价目标如下：促进本行严格遵守国家法律法规、银监会的监管要求和本行审慎经营原则；（二）促进本行提高风险管理水平，保证其发展战略和经营目标的实现；（三）促进本行增强业务、财务和管理信息的真实性、完整性和及时性；（四）促进本行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行；（五）促进本行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。

第八条为实现上述内部控制评价目标，应从以下四个方面对内部控制体系进行评价：（一）过程和风险是否已被充分识别；（二）过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持；（三）控制措施是否有效；（四）控制措施是否适宜。

第九条内部控制评价应遵循以下原则：（一）系统性原则。

评价范围应渗透覆盖本行内部控制活动的全过程，覆盖所有的系统、部门和岗位。

（二）统一性原则。

评价应保持目标、范围和准则的一致，以确保评价过程的准确，以及评价结果的客观。

（三）独立性原则。

评价应由审计部与合规部组织实施，不受任何单位和个人干扰。

（四）公正性原则。

评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。

（五）重要性原则。

评价应依据风险和控制的重要性确定重点。

（六）及时性原则。

应按照规定的时间间隔持续进行评价。

当经营管理环境发生重大变化时，应及时进行评价。

第三章内部控制评价内容第一节内部控制环境第十条本行建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作、分权制衡。

（一）完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序；（二）明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任；（三）建立独立董事制度，对董事会讨论事项发表客观、公正的独立意见；建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。

第十一条董事会、监事会和高级管理层责任。

董事会负责保证本行建立并实施充分而有效的内部控制；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保本行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施认定、计量、监督并控制风险；负责审批组织机构；负责保证高级管理层对内部控制制度的充分性与有效性进行监测和评估。

监事会负责监督董事会、高级管理层完善内部控制；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害本行利益的行为并监督执行。

高级管理层负责制定内部控制政策，对内部控制的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立认定、计量、监督并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

董事会和高级管理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。

第十二条本行在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的方向和原则，并为制定和评审内部控制目标提供指导。

内部控制政策包含：（一）与本行的经营宗旨和发展战略相一致；（二）体现持续改进内部控制的要求；（三）符合现行法律法规和监管要求；（四）体现出侧重控制的风险类型；（五）体现出对不同地区、行业、产品的风险控制要求；（六）传达给适用岗位的员工，指导员工实施风险控制措施；（七）可为风险相关方所获取，并寻求互利合作；（八）定期进行评审，确保其持续的适宜性和有效性。

第十三条内部控制目标。

本行在相关职能和层次上建立并保持内部控制目标。

内部控制目标符合内部控制政策，并体现对持续改进的要求。

在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素。

内部控制目标应可测量。

有条件时，目标应予以量化。

第十四条组织结构。

本行建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并形成文件予以传达。

特别应考虑：（一）必要的职责分离，以及横向与纵向相互监督制约关系；（二）涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定；（三）建立关键岗位定期或不定期的人员轮换和强制休假制度；（四）建立相应的授权体系，实行统一法人管理和法人授权。

本行设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。

本行设立全行系统垂直管理、具有充分独立性的内部审计部门。

内部审计部门应配备具有相应资质和能力的审计人员；应有权获得本行的所有经营、管理信息；应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价；应及时向董事会或董事会审计委员会提交审计报告；董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改；总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。

第十五条企业文化。

本行应培育健康的企业文化，对企业文化的内涵、组织机制、传播机制、评估机制以及活动机制做出明确的规定，向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立良好的合规意识和较强的风险意识，促进员工职业道德水平的提高，规范员工行为，营造良好的内部控制环境。

所有员工都应了解自己在内部控制中的作用，全面参与内部控制体系建设。

第十六条人力资源部门完善人事制度和程序，确保与风险和内部控制有关人员具备相应的能力和风险意识。

本行规定所有岗位的职责、权限和人员适任条件，明确关键岗位、特殊岗位、不相容岗位及其控制要求。

本行应明确与风险和内部控制有关人员的必要的能力要求。

应根据其教育水平、工作经验、考核和接受过的培训对能力进行鉴定。

尤其应满足监管机构对高级管理人员资质的要求，不满足任职资格的不得担任高级管理职务。

本行制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。

培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。

本行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。

第二节风险识别与评估第十七条经营管理活动风险识别与评估。

本行建立和保持书面程序，以持续对各类风险进行有效的识别与评估。

本行的主要风险包括信用风险、操作风险、市场风险、国家和转移风险、利率风险、流动性风险、法律风险以及声誉风险等。

应识别并确定常规和非常规的业务和管理活动，并识别这些活动中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围，特别应考虑计算机系统的运用可能带来的风险。

应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。

风险可接受时，应监测并定期评审，以确保其持续可接受；风险不可接受时，应制定控制措施。

本行对各类风险进行有效的识别与评估时应充分考虑内部和外部因素，内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等；外部因素包括经济形势的波动、行业变动趋势等。

环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

风险识别与评估应：（一）依据业务范围、性质和时限主动进行；（二）评估风险的后果、可能性和风险级别；（三）必要时开发并运用风险量化评估的方法和模型。

第十八条法律法规、监管要求和其他要求识别。

本行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。

本行应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。

第十九条内部控制方案。

本行制定内部控制方案，以控制所识别的不可接受风险。

内部控制措施策划方案应包括以下内容：（一）为实现对风险的控制而规定的相关层次的职责与权限；（二）控制的策略、方法、资源需求和时限要求。

内部控制措施若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑采取此种措施后可能产生的新风险。

第三节内部控制措施第二十条运行控制。

本行应确定需要采取控制的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。

控制措施包括：（一）高层检查。

董事会与高级管理层要求下级部门及时报告经营管理情况和特别情况，以检查银行在实现内部控制目标方面的进展。

高级管理层根据检查情况提出内部控制缺失，督促职能管理部门改进。

（二）行为控制。

各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。

（三）实物控制。

主要的控制措施包括实物限制、双重保管和定期盘存。

（四）遵循风险暴露限制的情况。

审查遵循风险限制方面的合规性，在不合规的情况下继续跟踪检查。

如遵循对借款人的信用额度限制，减少风险集中程度，有助于分散风险。

（五）审批与授权。

根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级管理责任。

（六）验证与核实。

验证各项业务、管理活动，以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，向职能管理部门报告。