*注:本篇法规已被:中国银监会关于发布银行业规章和规范性文件清理结果的公告(发布日期:2011年1月5日,实施日期:2011年1月5日)废止中国银行业监督管理委员会办公厅关于印发《商业银行内部控制评价试行办法操作说明》的通知
(银监办发[2004]370号 2004年12月30日)
各银监局:
为便于理解和运用《
商业银行内部控制评价试行办法》(中国银行业监督管理委员会令[2004]第9号),指导和规范各地对商业银行内部控制的评价活动,现将《商业银行内部控制试行办法操作说明》印发给你们,请参照执行。
附件
《商业银行内部控制评价试行办法》操作说明
第一部分 内部控制评价的常用方法
第二部分 内部控制评价计分方法表
第三部分 过程评价问题要点
第四部分 商业银行主要业务和管理活动内部控制评价要点
第五部分 过程评价示例(授信业务)
第一部分 内部控制评价的常用方法
一、询问法
询问法主要包括调查问卷和现场访谈两种方式。
(一)调查问卷
评价人员针对评价目的,结合评价对象的具体特点,设计一套调查问卷,明确查什么,如何查。对于问卷中的各个问题,评价人员可以根据需要,灵活采用多种方法如访谈、观察、抽样验证等作出结论。
(二)现场访谈
评价人员到现场向相关人员了解内部控制体系建立、执行和监督情况是收集信息的一个重要手段,应当在条件许可并以适合被访谈人的方式进行。为此,评价人员应当考虑:
1.被访谈人员应与被评价的内容相关,并承担相应职责;
2.应当尽可能在被访谈人正常工作时间和正常工作地点进行;
3.在访谈前和访谈过程中应当努力使被访谈人放松;
4.应当解释访谈和作记录的原因;
5.可通过请被访谈人描述其工作开始;
6.应当避免提出有倾向性答案的问题(即引导性提问);
7.应当与被访谈人沟通评审访谈的结果,应当感谢被访谈人的参与和合作。
二、书面文档检查
评价人员查阅被评价机构的政策和程序,如业务政策、业务程序、财务会计制度、组织结构图、行为守则等,评价被评价机构是否建立符合要求的内部控制体系文件。
评价人员查阅内部控制体系的相关记录,如账本、报表、凭证、合同、报告等,判断内部控制措施是否得到有效执行。
三、观察
评价人员在被评价机构的工作现场,通过现场观察或观看操作过程录像等方式,查验现场工作状态或有关人员的实际工作情况,以确定内部控制措施是否得到严格执行。该方法适用于那些不留书面记录的评价内容。
四、流程图法
评价人员利用流程图来表示被评价机构各种业务处理程序、职责分工、各种记录等,了解被评价机构内部控制体系的运行状况、业务的风险控制点和控制措施,从而有助于发现内部控制体系的缺失,确定评价重点。
五、抽样法
评价人员通过抽取一定数量代表性样本进行调查和测试,并据此推断总体状况。
六、穿行测试法
评价人员在相关业务流程中选择一笔或若干笔业务,从头到尾检查其实际处理过程,以验证所描述业务流程内部控制的合规性和有效性。
七、压力测试法
评价人员测试被评价机构关键业务处理程序和控制措施能够承受的压力程度,以及在承受相应压力时相关内部控制措施发挥的作用。
第二部分 内部控制评价计分方法表
一、过程评价
(一)过程评价分值表
┏━━━━━━━━━━━━━┳━━━━┳━━━━━━━━━━━━━┳━━━━━━━┳━━━━━━━━━━┳━━━┓
┃\ ┃ ┃ 业务活动 ┃ 管理活动 ┃ 支持保障活动 ┃ ┃
┃ \ ┃ ┣━━┳━━┳━━┳━━┳━╋━━┳━━┳━╋━━┳━━┳━━┳━┫ ┃
┃ \ 评价对象 ┃ 标 ┃ ┃ ┃存 ┃主 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ 备 ┃
┃ \ ┃ 准 ┃授 ┃资 ┃款 ┃ ┃ ┃ ┃ ┃ ┃计 ┃产 ┃安 ┃ ┃ ┃
┃ \ ┃ 分 ┃信 ┃金 ┃和 ┃要 ┃ ┃计 ┃会 ┃ ┃算 ┃品 ┃全 ┃ ┃ ┃
┃评价内容 \ ┃ 值 ┃业 ┃业 ┃柜 ┃由 ┃…┃划 ┃计 ┃…┃机 ┃ ┃保 ┃…┃ ┃
┃ \ ┃ ┃ ┃ ┃台 ┃间 ┃ ┃财 ┃管 ┃ ┃ ┃开 ┃卫 ┃ ┃ 注 ┃
┃ \ ┃ ┃务 ┃务 ┃业 ┃业 ┃ ┃务 ┃理 ┃ ┃系 ┃发 ┃ ┃ ┃ ┃
┃ \ ┃ ┃ ┃ ┃务 ┃务 ┃ ┃ ┃ ┃ ┃统 ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 标准分值 ┃ 500 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 一、内部控制环境 ┃ 100 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 1.商业银行公司治理 ┃ 10 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 2.董事会、监事会和高 ┃ 10 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┃ 级管理层责任 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 3.内部控制政策 ┃ 20 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 4.内部控制目标 ┃ 20 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 5.组织结构 ┃ 20 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 6.企业文化 ┃ 10 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 7.人力资源 ┃ 10 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃二、风险识别与评估 ┃ 100 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 1.经营管理活动风险 ┃ 50 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┃ 识别与评估 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 2.法律法规、监管要求 ┃ 20 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┃ 和其他要求的识别 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 3.内部控制方案 ┃ 30 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃三、内部控制措施 ┃ 100 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 1.运行控制 ┃ 60 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 2.计算机系统环境下 ┃ 20 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┃ 的控制 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 3.应急准备与处置 ┃ 20 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃四、监督评价与纠正 ┃ 100 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 1.内部控制绩效监测 ┃ 30 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 2.违规、险情、事故处置 ┃ 20 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┃ 和纠正与预防措施 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 3.内部控制体系评价 ┃ 20 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┗━━━━━━━━━━━━━┻━━━━┻━━┻━━┻━━┻━━┻━┻━━┻━━┻━┻━━┻━━┻━━┻━┻━━━┛
(续表)
┏━━━━━━━━━━━┳━━━━┳━━━━━━━━━━━━━┳━━━━━━━┳━━━━━━━━━━┳━━━┓
┃\ ┃ ┃ 业务活动 ┃ 管理活动 ┃ 支持保障活动 ┃ ┃
┃ \ ┃ ┣━━┳━━┳━━┳━━┳━╋━━┳━━┳━╋━━┳━━┳━━┳━┫ ┃
┃ \ 评价对象 ┃ 标 ┃ ┃ ┃存 ┃主 ┃ ┃ ┃ ┃ ┃计 ┃产 ┃安 ┃ ┃ 备 ┃
┃ \ ┃ 准 ┃授 ┃资 ┃款 ┃要 ┃ ┃计 ┃会 ┃ ┃算 ┃品 ┃全 ┃ ┃ ┃
┃ \ ┃ 分 ┃信 ┃金 ┃和 ┃中 ┃ ┃划 ┃计 ┃ ┃机 ┃ ┃保 ┃ ┃ 注 ┃
┃ \ ┃ ┃ ┃ ┃ ┃ ┃…┃ ┃管 ┃…┃系 ┃开 ┃卫 ┃…┃ ┃
┃评价内容 \ ┃ 值 ┃业 ┃业 ┃柜 ┃ ┃ ┃ ┃理 ┃ ┃统 ┃发 ┃ ┃ ┃ ┃
┃ \ ┃ ┃务 ┃务 ┃台 ┃间 ┃ ┃财 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┃ \ ┃ ┃ ┃ ┃业 ┃业 ┃ ┃务 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┃ ┃ ┃ ┃ ┃务 ┃务 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃4.管理评审 ┃ 20 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 5.持续改进 ┃ 10 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃五、信息交流与反馈 ┃ 100 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 1.交流与沟通 ┃ 25 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 2.内部控制体系对文 ┃ 25 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┃ 件的要求 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 3.文件控制 ┃ 25 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┣━━━━━━━━━━━╋━━━━╋━━╋━━╋━━╋━━╋━╋━━╋━━╋━╋━━╋━━╋━━╋━╋━━━┫
┃ 4.记录控制 ┃ 25 ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┗━━━━━━━━━━━┻━━━━┻━━┻━━┻━━┻━━┻━┻━━┻━━┻━┻━━┻━━┻━━┻━┻━━━┛
