《商業(yè)銀行內部控制試行評價辦法》和《商業(yè)銀行內部控制指引》培訓講義

1、?商業(yè)銀行內部控制試行評價方法?和?商業(yè)銀行內部控制指引?學習目錄理解內控內控體系評價目錄如何理解內控體系？第十條 商業(yè)銀行公司治理。 商業(yè)銀行應建立以股東大會、董事會、監(jiān)事會、高級管理層等為主體的公司治理組織架構，保證各機構標準運作，分權制衡。 一完善股東大會、董事會、監(jiān)事會及下設的議事和決策機構，建立議事規(guī)那么和決策程序。 二明確董事會和董事、監(jiān)事會和監(jiān)事、高級管理層和高級管理人員在內部控制中的責任。 三建立獨立董事制度，對董事會討論事項發(fā)表客觀、公正的獨立意見。 四建立外部監(jiān)事制度，對董事會、董事、高級管理層及其成員進行監(jiān)督。1.1內部控制環(huán)境公司治理第十一條 董事會、監(jiān)事會和高級管理層

2、責任 董事會負責保證商業(yè)銀行建立并實施充分而有效的內部控制體系；負責審批整體經營戰(zhàn)略和重大政策并定期檢查、評價執(zhí)行情況；負責確保商業(yè)銀行在法律和政策的框架內審慎經營，明確設定可接受的風險程度，確保高級管理層采取必要措施識別、計量、監(jiān)測并控制風險；負責審批組織機構；負責保證高級管理層對內部控制體系的充分性與有效性進行監(jiān)測和評估。 監(jiān)事會負責監(jiān)督董事會、高級管理層完善內部控制體系；負責監(jiān)督董事會及董事、高級管理層及高級管理人員履行內部控制職責；負責要求董事、董事長及高級管理人員糾正其損害商業(yè)銀行利益的行為并監(jiān)督執(zhí)行。 高級管理層負責制定內部控制政策，對內部控制體系的充分性與有效性進行監(jiān)測和評估；負

3、責執(zhí)行董事會決策；負責建立識別、計量、監(jiān)測并控制風險的程序和措施；負責建立和完善內部組織機構，保證內部控制的各項職責得到有效履行。 董事會和高級管理層還應培育良好的內部控制文化，提高員工的風險意識和職業(yè)道德素質，建立通暢的內外部信息溝通渠道，確保及時獲取與內部控制有關的人力、物力、財力、信息以及技術等資源。 1.1內部控制環(huán)境三會一層責任第十二條 內部控制政策 商業(yè)銀行應在各項業(yè)務和管理活動中制定明確的內部控制政策，規(guī)定內部控制的原那么和根本要求，并為制定和評審內部控制目標提供指導。內部控制政策應： 一與商業(yè)銀行的經營宗旨和開展戰(zhàn)略相一致； 二表達持續(xù)改進內部控制的要求； 三符合現行法律法規(guī)和

4、監(jiān)管要求； 四表達出側重控制的風險類型； 五表達出對不同地區(qū)、行業(yè)、產品的風險控制要求； 六傳達給適用崗位的員工，指導員工實施風險控制措施； 七可為風險相關方所獲取，并尋求互利合作； 八定期進行評審，確保其持續(xù)的適宜性和有效性。1.1內部控制環(huán)境內部控制政策第十三條 內部控制目標 商業(yè)銀行應在相關職能和層次上建立并保持內部控制目標。內部控制目標應符合內部控制政策，并表達對持續(xù)改進的要求。 在建立和評審內部控制目標時，應考慮法律法規(guī)、監(jiān)管要求和其他要求，以及技術、財務、經營和風險相關方等因素，尤其應考慮監(jiān)管部門的內部控制指標要求。 內部控制目標應可測量。有條件時，目標應用指標予以量化。 1.1內

5、部控制環(huán)境內部控制目標第十四條 組織結構 商業(yè)銀行應建立分工合理、職責明確、報告關系清晰的組織結構，明確所有部門、崗位、人員的職責和權限，并形成文件予以傳達。特別應考慮：一建立相應的授權體系，實行統(tǒng)一法人管理和法人授權。二必要的職責別離，以及橫向與縱向相互監(jiān)督制約關系。 三涉及資產、負債、財務和人員等重要事項變動均不得由一個人單獨決定。 四明確關鍵崗位、特殊崗位、不相容崗位及其控制要求。五建立關鍵崗位定期或不定期的人員輪換和強制休假制度 商業(yè)銀行應設立負有內部控制體系建立、實施特殊責任的專門委員會或部門，明確其責任、權限和報告路線。 1.1內部控制環(huán)境組織結構第十四條 組織結構續(xù) 商業(yè)銀行應設

6、立全行系統(tǒng)垂直管理、具有充分獨立性的內部審計部門。內部審計部門應配備具有相應資質和能力的審計人員；應有權獲得商業(yè)銀行的所有經營、管理信息；應根據對轄屬機構的風險評級結果確定審計頻率，以及對機構和業(yè)務的審計覆蓋率，定期或不定期對內部控制的健全性和有效性實施檢查、評價；應及時向董事會或董事會審計委員會提交審計報告；董事會及高級管理層應保證審計報告中指出的內部控制的缺失得到及時糾正整改；總行內部審計負責人的聘任和解聘應當經董事會或監(jiān)事會同意。 1.1內部控制環(huán)境組織結構續(xù)第十五條 企業(yè)文化。 商業(yè)銀行應培育健康的企業(yè)文化，對企業(yè)文化的內涵及其籌劃、滲透、評估與改進做出明確的規(guī)定。特別應向員工傳達遵守

7、法律法規(guī)和實施內部控制的重要性，引導員工樹立合規(guī)意識和風險意識，提高員工職業(yè)道德水準，標準員工職業(yè)行為。1.1內部控制環(huán)境企業(yè)文化第十六條 人力資源 商業(yè)銀行應完善人力資源政策和程序，確保與風險和內部控制有關人員具備相應的能力和意識。 商業(yè)銀行應明確與風險和內部控制有關人員的適任條件，明確有關教育、工作經歷、培訓和技能等方面的要求，以確保相關人員的勝任。 高級管理人員必須滿足監(jiān)管機構對高級管理人員資質的要求。 商業(yè)銀行應制定并保持培訓方案，以確保高級管理層和全體員工能夠完成其承擔的內部控制方面的任務和職責。培訓方案應定期評審，并應考慮不同層次員工的職責、能力和文化程度以及所面臨的風險。 商業(yè)銀

8、行應對員工引進、退出、選拔、績效考核、薪酬、福利、專業(yè)技術職務管理處分等日常人事管理做出詳細規(guī)定，并充分考慮人力資源管理過程中的風險。1.1內部控制環(huán)境人力資源1.1內部控制環(huán)境-條款小結季節(jié)春冬夏秋屬種關系年春冬夏秋從屬關系陽光關聯關系夏天屬種關系：在層次結構中，下層概念繼承了上層概念的所有特征附屬關系：在層次結構中，下層概念形成了上層概念的組成局部關聯關系：在概念體系中，概念與概念之間具有某種內在聯系。概念關系及圖示1.1內部控制環(huán)境-條款小結第一節(jié)內部控制環(huán)境 第十一條董事會、監(jiān)事會和高級管理層責任第十二條內部控制政策第十六條人力資源第十三條內部控制目標第十四條組織結構第十條商業(yè)銀行公司

9、治理第十五條企業(yè)文化1.1內部控制環(huán)境-條款小結COSO報告巴塞爾十三條有關管理監(jiān)督和控制原則內部控制評價辦法誠信、道德價值觀和企業(yè)員工的競爭力；管理哲學和經營風格；管理層如何進行授權和職責分配，如何組織和發(fā)展它的員工；董事會提供的關注和指導。原則1：董事會負責審批銀行的整體經營戰(zhàn)略和重大政策，并定期檢查；董事會應當了解銀行的主要風險，確定可以接受的風險水平并保證高管層采取必要措施認定、計量、監(jiān)督并控制風險；董事會負責審批組織結構；確保高管層對內部控制體系的有效性進行監(jiān)督。董事會最終負責保證銀行已建立并維持了一個充分、有效的內控體系。原則2：高級管理層負責執(zhí)行董事會批準的各項戰(zhàn)略與政策；負責建

10、立認定、計量、監(jiān)督及控制銀行風險的程序；負責建立有明確責任分配、授權和清除報告關系的組織結構；確保分配的各項職責都得到有效執(zhí)行；負責制定適當的內部控制政策，并監(jiān)督內部控制體系的充分性和有效性。原則3：董事會與高級管理層有責任推進高水準的職業(yè)道德和誠信標準，并在組織內部建立一種文化，向各層次員工強調并說明內部控制的重要性。銀行機構的所有員工都必須了解自身在內部控制過程中的作用，并充分參與這個過程。第十條 商業(yè)銀行公司治理第十一條 董事會、監(jiān)事會和高級管理層責任第十二條 內部控制政策第十三條 內部控制目標第十四條 組織結構第十五條 企業(yè)文化第十六條 人力資源1.2風險識別與評估風評第十七條 經營管

11、理活動風險識別與評估商業(yè)銀行應建立和保持書面程序，以持續(xù)對各類風險進行有效的識別與評估。商業(yè)銀行的主要風險包括信用風險、操作風險、市場風險、國家和轉移風險、利率風險、流動性風險、法律風險以及聲譽風險等。應識別并確定常規(guī)和非常規(guī)的業(yè)務和管理活動，并識別這些活動中的風險無論是否由內部產生，考慮其類型、來源及其影響范圍，特別應考慮計算機系統(tǒng)的運用可能帶來的風險。應依據法律法規(guī)、監(jiān)管要求以及內部控制政策確定風險是否可接受，以確定是否進一步采取措施。風險可接受時，應監(jiān)測并定期評審，以確保其持續(xù)可接受；風險不可接受時，應制定控制措施。1.2風險識別與評估風評2第十七條 經營管理活動風險識別與評估續(xù) 商業(yè)銀

12、行對各類風險進行有效的識別與評估時應充分考慮內部和外部因素。其中，內部因素包括組織結構的復雜程度、銀行業(yè)務性質、機構變革以及員工的流動等；外部因素包括經濟形勢的波動、行業(yè)變動趨勢等。當環(huán)境和條件發(fā)生變化時，應及時對風險進行再識別和再評估，以確保任何新的和以前未曾予以控制的風險得到識別和控制。 風險識別與評估應： 一依據業(yè)務范圍、性質和時限主動進行。 二評估風險的后果、概率和風險級別。 三必要時開發(fā)并運用風險量化評估的方法和模型。風險的定義1信用風險credit risk：是指由于借款人或交易對手不能履約或履約意愿變化所帶來的風險。市場風險market risk：是指由于市場價格的不利變動使銀行

13、的表內和表外頭寸遭受損失的風險。操作風險operational risk：是指由于不完善的或失效的內部程序、人員、系統(tǒng)或外部事件導致損失的風險。流動性風險liquidity risk：是指銀行無力為負債的減少或資產的增加提供融資，即當銀行流動性缺乏時，它無法以合理的本錢迅速增加負債或變現資產獲得足夠的資金，從而帶來損失的可能。利率風險interest rate risk：是指銀行的財務狀況在利率波動時出現損失的可能。利率風險不僅影響銀行的盈利水平，也影響銀行資產、負債和表外金融工具的經濟價值。法律風險legal risk：是指因現行法律不完善、不明確以及法律修改，不完善、不正確的法律意見、文件

14、，交易行為違反法律和監(jiān)管規(guī)定等原因導致銀行損失的可能。國家和轉移風險country and transfer risk：是指由于非正常的、對所有貸款或交易頭寸都產生風險的原因，一國的主權借款人可能無力或不愿意、而其他借款人或交易對手可能無力履行其對外義務所產生的風險。聲譽風險reputational risk：是指由于銀行操作失誤、違反法規(guī)、經營不善及其他問題而帶來的銀行市場形象上的不利影響。風險的定義2操作風險識別評估流程介紹1流程梳理和分析2風險識別3確定風險4確定風險是否可承受5制定風險控制措施方案如有必要6評審措施方案的充分性等級描述詞詳細描述 1災難性超出可承受的能力，巨大的財務損失

15、。如：系統(tǒng)數據全部丟失；財務損失超過經濟資本等。 2較大較大的財務損失或人員傷害，極其不良的影響。如：較大的貸款損失。3中等中等財務損失，有一定不良影響。4較小較小的財務損失。如：如金額較小的短款。5無關緊要極小的財務損失，幾乎沒什么影響。如：普通憑證遺失。風險后果等級風險可能性等級 等級 描述詞 詳細描述 A幾乎肯定 預期大多數情況下發(fā)生（可能性大于95） B很可能在大多數情況下很可能會發(fā)生（可能性在6095） C可能 在某種情況下可能發(fā)生（可能性在1060） D不太可能 在某種情況下能夠發(fā)生，但可能性較小（可能性在10以下） E罕見僅在例外的情況下會發(fā)生（可能性在1以下） 風險等級矩陣LM

16、MHH3中等LLMMH4較小ILLMM5無關緊要HME罕見EHD不太可能 EHC可能 EEB很可能EEA幾乎肯定 1災難2較大后果可能性不可接受風險有條件接受風險可接受風險風險等級含義風險水平 詳細描述 EExtreme極度風險，要求立即采取措施HHigh高風險，需要高層關注MMedium中等風險，必須規(guī)定控制程序和責任LLow低風險，用日常程序處理IIgnoring極小風險,基本不用處理風險等級與控制措施風險水平 等級措 施 不可接受風險E直至風險降低后才能開始工作。為降低風險有時必須配給大量資源。當風險涉及正在進行中的工作時，就應采取應急措施。 HM有條件接受風險L通過評審決定是否需要另外

17、的控制措施 可接受風險I毋須采取措施且不必保留文件記錄。 1.2風險識別與評估法規(guī)識別第十八條 法律法規(guī)、監(jiān)管要求和其他要求的識別 商業(yè)銀行應建立并保持識別和獲取適用法律法規(guī)、監(jiān)管要求和其他要求的程序，作為風險識別與評估、制訂控制目標和控制方案的依據。 商業(yè)銀行應及時更新法律法規(guī)、監(jiān)管要求和其他要求的信息，并將這些信息傳達給相關員工和其他風險相關方。1.2風險識別與評估內部控制方案第十九條 內部控制方案 商業(yè)銀行應制定內部控制方案，以控制已識別的不可接受風險。內部控制措施方案應包括以下內容： 一為實現對風險的控制而規(guī)定的相關職責與權限。 二控制的策略、方法、資源需求和時限要求。 假設涉及到組織

18、結構、流程、計算機系統(tǒng)等方面的重大變更，應考慮可能產生的新風險。 1.2風險識別與評估-條款小結第二節(jié)風險識別與評估第十七條經營管理活動風險識別與評估第十八條法律法規(guī)、監(jiān)管要求與其他要求的識別 第十九條內部控制方案1.2風險識別與評估-條款小結COSO報告巴塞爾十三條有關管理監(jiān)督和控制原則內部控制評價辦法風險評估：每個公司都面臨著內外部風險，這些風險必須被評估。風險評估的前提是建立不同層次但具有內部一致性的目標。風險評估是發(fā)現和分析對達到目標有影響的風險的過程，是確定如何管理和控制風險的基礎。因為經濟狀況、行業(yè)狀況、法規(guī)和經營狀況會不斷發(fā)生變化，風險評估要發(fā)現并處理這些變化對有關風險的影響。原

19、則4：一個有效的內部控制體系要能夠認定和持續(xù)評估影響銀行目標實現的重大風險。這種評估必須覆蓋銀行及銀行集團面臨的所有風險（包括信用風險、國家和轉移風險、市場風險、利率風險、流動性風險、操作風險、法律風險和聲譽風險）。有時也可能需要修改內部控制以適當處理新的或以前未能控制的風險。第十七條 經營管理活動風險識別與評估第十八條 法律法規(guī)、監(jiān)管和要求和其他識別要求的識別第十九條 內部控制方案1.3內部控制措施運行控制第二十條 運行控制商業(yè)銀行應確定需要采取控制措施的業(yè)務和管理活動，依據所籌劃的控制措施或已有的控制程序對這些活動加以控制。 一控制措施包括： 1.高層檢查。董事會與高級管理層要求下級部門及

20、時報告經營管理情況和特別情況，以檢查內部控制的實施狀況以及在實現內部控制目標方面的進展。高級管理層應根據檢查情況提出內部控制缺失，催促職能管理部門改進。 2.行為控制。各級職能管理部門審查每天、每周或每月收到的經營管理情況和特別情況專項報表或報告，提出問題，要求采取糾正整改措施。 3.實物控制。主要的控制措施包括實物限制、雙重保管和定期盤存。 4.風險暴露限制的審查。審查遵循風險暴露限制方面的合規(guī)性，違規(guī)時繼續(xù)跟蹤檢查。 5.審批與授權。根據假設干限制條件對各項業(yè)務、管理活動進行審批與授權，明確各級管理責任。1.3內部控制措施運行控制2第二十條 運行控制續(xù)6.驗證與核實。驗證各項業(yè)務、管理活動

21、，以及所采用的風險管理模型結果，并定期核實相關情況，及時發(fā)現需要修正的問題，向職能管理部門報告。 7.不兼容崗位的適當別離。實行適當的職責分工，認定潛在的利益沖突并使之最小化。 二控制要點包括： 1.對于可能導致偏離內部控制政策、目標的運行情況，應建立并保持書面程序和要求，并在程序中規(guī)定操作和控制標準。 2.對于重要活動應實施連續(xù)記錄和監(jiān)督檢查。 3.在可能的情況下，應考慮運用計算機系統(tǒng)進行控制。 4.對于采購或外包的設施、設備、系統(tǒng)和效勞中已識別的風險，應建立并保持控制程序，并將有關程序和要求通報供方，確保其遵守商業(yè)銀行相關的控制要求。 5.對于產品、組織結構、流程、計算機系統(tǒng)的設計過程，應

22、建立有效的控制程序。1.3內部控制措施計算機環(huán)境控制第二十一條 計算機系統(tǒng)環(huán)境下的控制 商業(yè)銀行應考慮計算機系統(tǒng)環(huán)境下的業(yè)務運行特征，建立信息平安管理體系，對硬件、操作系統(tǒng)和應用程序、數據和操作環(huán)境，以及設計、采購、平安和使用實施控制，確保信息的完整性、平安性和可用性。明確計算機信息系統(tǒng)開發(fā)部門、管理部門與應用部門的職責，建立和健全計算機信息系統(tǒng)風險防范的制度，確保計算機信息系統(tǒng)設備、數據、系統(tǒng)運行和系統(tǒng)環(huán)境的平安。1.3內部控制措施應急準備與處置第二十二條 應急準備與處置商業(yè)銀行應建立并保持預案和程序，以識別可能發(fā)生的意外事件或緊急情況包括計算機系統(tǒng)。意外事件和緊急情況發(fā)生時，應及時做出應急

23、處置，以預防或減少可能造成的損失，確保業(yè)務持續(xù)開展。 商業(yè)銀行應定期檢查、維護應急的設施、設備和系統(tǒng)，確保其處于適用狀態(tài)。如可行，應定期測試應急預案。 商業(yè)銀行應評審其應急預案，特別是意外事件或緊急情況發(fā)生之后。應急準備應與可能發(fā)生的意外事件或緊急情況包括事故、險情的性質相適應。 1.3內部控制措施-條款小結第三節(jié)內部控制措施第二十條運行控制第二十一條計算機系統(tǒng)環(huán)境下的控制第二十二條應急準備與處置1.3內部控制措施-條款小結COSO報告巴塞爾十三條有關管理監(jiān)督和控制原則內部控制評價辦法控制活動控制活動是確保管理層指令得到執(zhí)行的公司政策和流程。它確保企業(yè)針對相關的風險采取了必要的措施，以實現企業(yè)

24、的目標?？刂苹顒哟嬖谟谡麄€組織的所有層次和所有職能部門中?？刂苹顒影ㄒ幌盗胁煌幕顒樱鐚洜I活動的審批、授權、確認、核對、審核，對資產的保護，職權分離等。原則5：控制活動是銀行日?；顒又胁豢苫蛉钡牟糠帧Ｒ粋€有效的內部控制體系要求建立適當的控制結構，明確定義每一層次的控制活動，包括：高層評審；對不同部門或處室適當的活動控制；檢查是否遵循風險敞口限額，并對不符合的情況進行跟蹤調查；審批和授權制度，以及檢驗與核查制度。原則6：有效的內部控制體系要求適當的職責分離，員工不應被賦予相矛盾的責任。應當識別潛在的利益沖突并使之最小化，同時這種潛在的利益沖突應當受到認真而獨立的監(jiān)督。第二十條 運行控制第

25、二十一條 計算機環(huán)境下的控制第二十二條 應急準備與處置1.4監(jiān)督評價與糾正績效監(jiān)測第二十三條 內部控制績效監(jiān)測 商業(yè)銀行應建立并保持書面程序，通過適宜的監(jiān)測活動，對內部控制績效進行持續(xù)監(jiān)測。 監(jiān)測內容包括： 一內部控制目標實現程度。 二法律、法規(guī)及監(jiān)管要求的遵循程度。 三事故、險情和其他不良的內部控制績效的歷史情況。 1.4監(jiān)督評價與糾正違規(guī)處理第二十四條 違規(guī)、險情、事故處置和糾正與預防措施。 商業(yè)銀行應建立并保持書面程序，對違規(guī)、險情、事故的發(fā)現、報告、處置和糾正與預防措施做出規(guī)定，包括： 一發(fā)現違規(guī)、險情、事故并及時報告，必要時，可越級報告。 二及時處置違規(guī)、險情、事故。 三制定糾正與預

26、防措施，防止違規(guī)、險情、事故的發(fā)生和再發(fā)生，并與問題的大小和風險危害程度相一致。 四糾正與預防措施在實施之前應進行風險評估。 五實施并跟蹤、驗證糾正與預防措施。 六險情和事故的責任追究。1.4監(jiān)督評價與糾正體系評價第二十五條 內部控制體系評價 商業(yè)銀行應建立并保持書面程序，對內部控制體系實施評價，確保內部控制體系的充分性、合規(guī)性、有效性和適宜性。程序應包括評價的目的、準那么、范圍、頻率、方法以及職責與要求。 評價應考慮活動的風險評估結果、業(yè)務和管理流程及相關區(qū)域的狀況和以前的評價結果等，覆蓋體系范圍內的所有活動。 可根據評價結果確定內部控制水平的等級。被評價機構的管理者應采取措施消除違規(guī)原因，

27、并驗證所采取措施的效果。 評價應由與評價的活動無直接責任的人員進行，評價人員應具備相應的知識，能夠勝任評價工作。1.4監(jiān)督評價與糾正管理評審第二十六條 管理評審董事會應采取措施保證定期對內部控制狀況進行評審，確保體系得到持續(xù)、有效的改進。 一管理評審應包括以下方面的內容： 1.內部控制體系評價的結果。 2.內部控制政策執(zhí)行情況和內部控制目標實現情況。 3.對內部控制體系有重要影響的外部信息，如法律、法規(guī)的重大變化。 4.組織結構的重大調整。 5.事故和險情以及重大糾正和預防措施的狀況。 6.以往管理評審的跟蹤情況。 7.內部控制體系改進的建議。 二管理評審應就以下方面提出改進措施并落實： 1.

28、內部控制體系及其過程的改進。 2.內部控制政策、目標的變更。 3.與內部控制有關資源的需求。1.4監(jiān)督評價與糾正持續(xù)改進第二十七條 持續(xù)改進。商業(yè)銀行應利用內部控制政策、內部控制目標、評價結果、績效監(jiān)測和數據分析、糾正和預防措施以及管理評審等，持續(xù)提高內部控制體系有效性。1.4監(jiān)督評價與糾正小結第四節(jié)監(jiān)督評價與糾正第二十七條持續(xù)改進第二十三條內部控制績效監(jiān)測第二十六條管理評審第二十四條違規(guī)、險情、事故處置和糾正與預防措施第二十五條內部控制體系評價1.4監(jiān)督評價與糾正小結COSO報告巴塞爾十三條有關管理監(jiān)督和控制原則內部控制評價辦法監(jiān)督內部控制系統(tǒng)需要監(jiān)督一套隨時評價內部控制系統(tǒng)運行狀況的流程。

29、通過持續(xù)的監(jiān)督活動、單獨的評價或兩者的結合來完成這種控制。持續(xù)的監(jiān)督是在經營活動中進行的。它包括日常的管理活動和監(jiān)督活動，以及員工履行他們的職責時進行的活動。單獨評價的范圍和頻率基本上取決于風險評估的結果和持續(xù)監(jiān)督程序的有效性。內部控制的缺點應報告給上級部門，重大事項應報告給管理層和董事會。原則10：應當對銀行內部控制的總體有效性進行持續(xù)的監(jiān)督。對關鍵風險的監(jiān)督應當是銀行日?；顒拥囊徊糠?，也是內部審計和根據業(yè)務活動進行定期評估的一部分。原則11：對內部控制體系全面、有效的內部審計應當由獨立操作的、受過良好訓練的、稱職的員工來執(zhí)行。內部審計職能作為內部控制體系監(jiān)控的一部分，應直接向董事會或它的審

30、核委員會和高管層報告。原則12：內部控制的缺陷，無論是業(yè)務活動、內部審計發(fā)現還是其他控制人員發(fā)現的，都必須向適當的管理層報告并迅速解決。內部控制的重大缺陷必須向個高管層和董事會報告。第二十三條 內部控制績效監(jiān)測第二十四條 違規(guī)、險情、事故處置和糾正與預防措施第二十五條 內部控制評價第二十六條 管理評審第二十七條 持續(xù)改進1.5信息交流與反響交流與溝通第二十八條 交流與溝通商業(yè)銀行應建立并保持信息交流與溝通的程序，對財務、管理、業(yè)務、重大事件和市場信息等相關信息，明確其識別、收集、處理、交流、溝通、反響、披露的渠道和方式。 商業(yè)銀行應識別其內部和外部的風險相關方，考慮他們的要求和目標，建立與這些

31、相關方進行信息交流的機制，確保： 一董事會和高級管理層能夠及時了解業(yè)務信息、管理信息以及其他重要風險信息。 二所有員工充分了解相關信息、遵守涉及其責任和義務的政策、程序。 三險情、事故發(fā)生時，相關信息能得到及時報告和有效溝通。 四及時、真實、完整地向監(jiān)管機構和外界報告、披露相關信息。 五國內外經濟、金融動態(tài)信息的取得和處理，并及時把與企業(yè)既定經營目標有關的信息提供給各級管理層。 信息交流與溝通應考慮信息的平安性和保密性要求。相關信息報告、發(fā)布、披露應經過授權。 為保持信息交流溝通可追溯性，必要時，應保持相關信息交流與溝通的記錄。1.5信息交流與反響文件化第二十九條 內部控制體系對文件的要求建立

32、和保持文件化體系是實現信息交流與反響的重要途徑。商業(yè)銀行應建立并保持必要的內部控制體系文件，包括： 一對內部控制體系核心過程要素及其相互作用的描述。 二內部控制政策和目標。 三關鍵崗位及其職責與權限。 四不可接受的風險及其預防和控制措施。 五控制程序、作業(yè)指導、方案和其他內部文件。1.5信息交流與反響文件控制第三十條 文件控制商業(yè)銀行應建立并保持書面程序，以確保內部控制體系所要求的文件滿足以下要求： 一文件和資料易于查詢。 二實施前得到授權人的批準。 三定期進行評審，必要時予以修訂并由授權人員確認其適宜性。 四所有相關崗位都能得到有效版本。 五失效時，及時從所有發(fā)放處和使用處收回，或采取其他措

33、施防止誤用。 六及時識別、處置外來文件并進行標識，必要時轉化為內部文件。 七留存的檔案性文件和資料應予以適當標識。1.5信息交流與反響記錄控制第三十一條 記錄控制商業(yè)銀行應建立并保持書面程序，以規(guī)定內部控制相關活動中所涉及記錄的標識、生成、貯存、保護、檢索、保存期限和處置。 記錄應保持清晰、易于識別和檢索，以提供符合要求和內部控制體系有效運行的證據，并可追溯到相關的活動。1.5信息交流與反響-條款小結第五節(jié)信息交流與反饋第二十八條交流與溝通建立控制第二十九條內部控制體系對文件的要求第三十條文件控制第三十一條記錄控制1.5信息交流與反響-條款小結COSO報告巴塞爾十三條有關管理監(jiān)督和控制原則內部

34、控制評價辦法信息和溝通相關的信息必須以某種形式并在某個時段被識別、獲得和溝通，以促使履行職責。信息系統(tǒng)生成報告，內容包括經營、財務和合規(guī)性方面的信息，以使得管理層能夠運作和控制業(yè)務活動。信息系統(tǒng)不只是處理內部生成的數據，而且還處理業(yè)務決策和外部報告所必須的關于外部事件、活動和狀況的信息。有效的溝通應當基于更為廣泛的理解，自上而下、自下而上地貫穿整個組織。所有的人員應當獲得來自最高管理層的明確的信息并認識到他們所承擔的控制責任重要性。他們必須明白自己在內部控制系統(tǒng)中扮演的角色以及自己的行為與他人的工作如何聯系。他們必須擁有向上溝通重要信息的途徑。同時，也必須和外部單位進行有效溝通，例如客戶、供應

35、商、監(jiān)管部門和股東。原則7：有效的內部控制體系要求充分而全面的內部財務、運營與合規(guī)性數據，以及與決策有關的外部市場信息。信息應可靠、及時、可獲得并且以一致的格式提供。原則8：有效的內部控制體系要求具備可靠的信息系統(tǒng)，以覆蓋銀行所有的重大業(yè)務活動。這些系統(tǒng)，包括以電子格式持有和使用數據的系統(tǒng)，必須是安全的、受到獨立的監(jiān)控，并充分的應急安排的支持。原則9：有效的內部控制體系要求有效的溝通渠道，以確保所有員工都充分理解并堅持執(zhí)行影響其職責和責任的政策和程序，并保證其他相關信息能傳遞給適當人員。第二十八條 交流與溝通第二十九條 內部控制體系對文件的要求第三十條 文件控制第三十一條 記錄控制內部控制體系

36、內容總結目錄2 如何進行評價？2.1體系評價根底根本概念內部控制評價:是指對商業(yè)銀行內部控制體系建設、實施和運行結果獨立開展的調查、測試、分析和評估等系統(tǒng)性活動。 評價證據：與評價準那么有關的并且能夠證實的記錄、事實陳述或其他信息。評價發(fā)現：將收集到的評價證據對照評價準那么進行評價的結果。評價結論：評價小組考慮了評價目的和所有評價發(fā)現后得出的評價結果。2.1體系評價根底體系評價特點體系評價過程評價正面評價持續(xù)評價2.1體系評價根底評價過程評價準備整改評價結論與反饋評價實施總體籌劃指根據政策、目標要求及內控體系運行的狀況，應識別并確定以下內容： 評價目的評價準那么評價范圍評價方式評價時機評價頻次

37、評價資源 2.1 評價準備 總體籌劃根據政策、目標要求及評價資源，應識別并確定：1 5 4 3 2 評價目的評價準那么評價范圍評價組構成及分工評價日程安排及要求具體籌劃的輸出為?評價方案?。1 2 3 4 5 2.2 評價準備具體實施籌劃具體實施籌劃評價目的內部控制過程的充分性、合規(guī)性、有效性、適宜性充分性評價：過程和風險是否已被充分識別？合規(guī)性評價：過程和風險的控制措施是否遵循相關要求、得到明確規(guī)定并得以實施和保持？有效性評價：控制措施是否有效？適宜性評價：控制措施是否適宜？對不適用的過程要素標注“不適用。 具體實施籌劃評價準那么 商業(yè)銀行內部控制評價辦法內部控制體系文件法律法規(guī)及監(jiān)管要求具

38、體實施籌劃評價范圍 管理層次和職能，原那么上應覆蓋商業(yè)銀行上至最高管理層、下至基層營業(yè)網點的所有層次，基層網點可以抽樣評價。 內部控制體系的過程和風險 涉及的場所具體實施籌劃評價組構成及分工評價人員不能評價自己的部門和工作評價人員的專業(yè)知識和經歷能夠支持完成評價任務，具備風險管理、體系管理、業(yè)務知識、評價技能四個方面的知識和技能，應該參加過內部控制體系評價培訓并考試合格。評價組中管理人員、業(yè)務人員應合理搭配具體實施籌劃評價日程安排及要求 管理活動，考慮管理順序，自上而下或自下而上 業(yè)務活動，考慮業(yè)務流程，順向跟蹤或逆向追溯 保證評價時間：針對受評價部門承擔的職責，涉及的過程，安排足夠的評價時間

39、。 評價日程安排：應明確首末次會議時間、評價組內部溝通的時間與內容要求、最高管理層的座談時間、評價重點場所的時間安排。 具體實施籌劃還應明確相關資源的配備要求。 2.2 評價準備收集信息了解被評價部門和活動的管理或操作要求管理或操作的過程、目標、要求依據管理或操作的記錄收集有關資料內控體系文件 監(jiān)管當局及管理行與受評價活動相關的管理規(guī)定以往發(fā)生的事故案件事件 銀行同業(yè)發(fā)生的相關事故事件的背景資料 2.2 評價準備編制調查問卷評價表是評價人員自用的工作文件提示、備忘，表達評價的思路、內容和方法，即明確評價什么明確評價的內容怎么評價明確評價的方法設計的問題應圍繞過程的充分性、合規(guī)性、適宜性、有效性

40、，表達內控體系運作過程、產品實現過程或管理活動周期與風險管理過程三個主線。問題設計舉例：授信業(yè)務政策1、充分性評價是否識別并制定授信業(yè)務政策？查閱書面資料2、合規(guī)性評價授信業(yè)務政策是否符合商業(yè)銀行的經營宗旨和開展戰(zhàn)略？詢問并查閱書面資料授信業(yè)務政策是否符合法律法規(guī)和監(jiān)管要求？查閱資料授信業(yè)務政策是否表達出側重控制的風險類型，并表達出對不同地區(qū)、行業(yè)、產品的風險控制要求？查閱書面資料授信業(yè)務政策是否傳達至授信工作人員并為其所熟悉？詢問和查閱資料授信業(yè)務政策是否一貫得到執(zhí)行？抽樣檢查3、有效性評價控制措施是否發(fā)揮作用？抽樣檢查4、適宜性評價授信業(yè)務政策是否認期進行評審，并根據經營環(huán)境、監(jiān)管要求等進

41、行調整？詢問并查閱書面資料2.3 評價實施會議準備會議-明確分工，專業(yè)引導。首次會議-確認評價日程安排，明確本卷須知。收集評價證據-收集可證實的信息方作為評價證據，并記錄評價證據。評價組內部會議-評價信息交流。評價組交流、匯報會-評價結果匯報，確認評價結論。末次會議-報告評價結果，說明整改要求。 2.3 評價實施收集評價證據面談抽樣查閱察驗與受審核方員工及其他責任人員查看文件、記錄、其他方面的報告，查看計算機數據庫和網站，查看數據的匯總、分析和績效指標。觀察、驗證受評價方的活動、周圍工作環(huán)境和條件根據受評價方抽樣方案，抽樣測量過程控制程序的信息，抽取體系運行歷史和現在的局部客觀證據。收集評價證

42、據 面 談面談人員應當來自評價范圍內實施活動或任務的適當的層次和職能；在被面談人正常工作時間和可行時正常工作地點進行；在面談前和面談過程中應當努力使被面談人放松；解釋面談和作記錄的原因；面談可通過請對方描述其工作開始；防止提出有傾向性答案的問題即引導性提問；應當與對方總結和評審面談的結果；應當感謝對方的參與和合作。 收集評價證據 查 閱收集評價證據 察 驗 觀察管理和操作現場的環(huán)境 觀察管理和操作過程的狀態(tài)管理現場通常采用追溯的方式操作現場通常采用演示、測試的方式收集評價證據 抽 樣1收集評價證據 抽 樣2 合理分層，使樣本具有代表性保證抽樣數量，使樣本具有客觀性 獨立抽樣，使樣本具有真實性抽

43、樣對象考慮因素其本身的風險大小發(fā)生的頻次重要性涉及的金額大小流程的差異性原那么：收集評價證據 抽 樣3符合性測試介紹符合性測試抽樣參考每月執(zhí)行一次的業(yè)務或事項，抽樣量應在2-6個；每周執(zhí)行一次的業(yè)務或事項，抽樣量在4-10個；每日執(zhí)行一次的業(yè)務或事項，抽樣量在10-25個；每日執(zhí)行屢次的業(yè)務或事項，全年10000次以下的，抽樣量在25-50個之間；全年10000次以上的，抽樣量應在50個以上。評價證據的局限性評價證據基于可獲得的評價證據樣本。因此，在評價中存在不確定因素，依據評價結論采取措施的人員應當意識到這種不確定性。2.3評價實施評價記錄準確記錄收集到的事實詳細記錄事實的載體切忌只記錄結論！評價記錄舉例查財會部,現場提供的2003年6月16日的?密押器發(fā)放紀錄?，其中#支行領用的密押器無領用人簽字。查財會部，發(fā)放密押器，沒有領用人簽字。2.3評價實施不合規(guī)項的判定不合規(guī)事實描述不合規(guī)判定 不合規(guī)的判定原那么以?方法?要求和文件規(guī)定為準繩，防止強加于人。以收集到的評價證據為依據，防止個人推斷。發(fā)現事實而不是發(fā)現錯誤。不合規(guī)項和建議項嚴重不合規(guī)：?商業(yè)銀行內部控制評價方法?第三章