5.监事会是否建立了议事规则和决策程序?议事规则是否完备,包括通知、文件准备、召开方式、表决形式、会议记录及其签署等?是否定期(每季一次)或不定期召开例会和临时会议?
6.是否建立了独立董事和外部监事制度,并设立了2名(含)以上独立董事和2名(含)以上外部监事?
7.董事会审计委员会负责人是否由独立董事担任?是否要求银行报送内部审计报告并进行评价?独立董事是否对董事会讨论的有关商业银行内部控制事项发表客观、公正的独立意见?是否对董事会决议中违反法律、法规或商业银行章程的条款提出反对意见?
8.审计委员会负责人是否由外部监事担任?外部监事是否根据监事会决议组织开展商业银行内部控制相关审计工作?是否及时向外部监管部门报告监督检查中发现的问题?
9.采取何种措施确保商业银行根据内部审计、外部审计和外部监管部门改进内部控制的意见和建议,实施有效的整改?
(二)董事会、监事会和高级管理层责任
1.董事会是否审批了商业银行整体经营战略和重大政策,并定期检查、评价执行情况?
2.董事会是否设定了商业银行可接受的风险程度,并审批管理层所制订的风险防范措施及额度设置?是否确保商业银行充分了解资本充足、风险集中度、关联交易、不良资产管控和处置的有关规定,并指导和监督具体政策、程序的产生和实施?
3.董事会是否及时审查银行内部审计机构和外部监管部门对银行内部控制的评价报告,并督促管理层落实整改措施?
4.监事会是否通过适当的方式对银行内部控制进行监督?
5.监事会是否组织对银行内部控制相关检查?是否对董事会及董事、管理层及高级管理人员履行内部控制职责情况进行检查?
6.监事会是否在发现董事、董事长及高级管理人员有损害商业银行利益的行为时要求其纠正?
7.高级管理人员是否明确其在内控体系方面的职责?在各项业务和管理活动中是否制定了明确的内部控制政策?
8.是否定期评审内部控制状况的充分性和有效性?是否及时审查外部监管部门、内部和外部审计部门对内部控制体系的评价报告?是否及时听取了审计部门和外部监管部门有关内部控制体系缺失的建议与意见,并部署采取纠正整改措施?
9.董事会、高级管理层是否能及时了解银行的业务风险和操作业绩?银行内部的信息流动是否通畅(包括信息上报、信息下达及机构内部信息的横向流动)?内部控制政策相关每一项信息是否都传达到每一相关人员?
10.是否建立了授权和责任明确、报告关系清晰的组织结构?是否采取措施引导管理人员和全体员工参与到内部控制活动中,以保证内部控制的各项职责得到有效履行?
(三)内控政策
1.是否已建立文件化的政策(包括人力资源政策、财务管理政策、信贷总量和信贷结构政策、流动性风险和市场风险政策、信息交流政策,等等)?
2.政策的内容是否:(1)为制定和评审目标提供框架;(2)与商业银行的宗旨和发展战略相一致;(3)符合适用法律、法规和监管要求;(4)指导员工实施风险控制;(5)体现持续改进内控体系的要求。
3.政策是否已为员工所理解?
4.政策是否可以并已向相关方公开,同时寻求互利合作?
5.各级、各类政策是否定期评审,需要时及时更新?
(四)内部控制目标
1.商业银行已建立了哪些内部控制目标?是否形成文件?
2.各个目标是否可测量并分解为指标?是否已展开到相关职能和层次?通过哪些方式传达到相关员工?
3.内控体系的目标是否能确保与法律法规、监管要求相一致,并使之满足?能否确保商业银行的发展战略和经营目标的全面实施与实现?确保风险控制的有效性?确保业务记录、财务信息和其他相关信息的及时、真实和完整?
4.在建立和评审内控目标时,是否考虑了可供选择的技术方案、财务、运作和经营要求、风险相关方的要求等?
5.内控目标是否符合内控政策?如何体现对持续改进的承诺?
(五)组织结构
1.商业银行的组织结构状况如何?包括:部门分工合理性、职责明确程度和报告关系清晰程度。
2.是否考虑职责分离、相互监督制约?
3.涉及资产、负债、财务和重要人事变动的事项如何决定?
4.是否建立关键岗位轮换和强制休假制度?
5.是否建立统一授权体系?
6.是否设立了全行系统垂直管理、具有充分独立性的内部审计部门?
7.内部审计部门是否配备了具有相应资质和能力的审计人员?
8.是否建立了内部审计风险评级体系?每年是否根据审计风险评级结果确定审计频率,以及对机构和业务的审计覆盖率?
9.内部审计部门是否有权获得商业银行的所有经营信息和管理信息?
10.内部审计报告是否及时报董事会或董事会审计委员会?
11.董事会及高级管理层是否采取有效措施保证审计报告中指出的内部控制的缺失得到及时纠正整改?
12.总行内部审计负责人的聘任和解聘是否经董事会或监事会同意?
(六)企业文化
1.商业银行是否培育了健康的企业文化?现有企业文化怎样为内部控制提供适宜的环境?
2.如何创立和完善企业文化的环境,使全行员工树立预期要求的企业价值观、企业精神及经营理念?
3.是否把企业核心价值观、内部控制原则、风险意识、风险控制、风险防范,以及出现险情或损失的对策等作为对员工的教育内容?
4.是否制定了员工行为准则或类似规范,并传达到员工?
5.员工是否熟悉银行关于职业道德的规范,并确知职业道德标准和违规行为界限及后果?
6.员工是否明白其职权范围违规、违纪行为的表现形式?
7.是否建立针对员工违规行为的补救和处罚应急机制?
8.管理层对员工违规的行为是否进行严厉的批评和处理?
9.管理人员道德水平是否保持高尚,是否以身作则?
(七)人力资源
1.是否确定与风险和内控有关的人员所必要的能力要求(含满足法律、法规要求及监管机构对人员资质要求)?
2.是否建立及健全激励约束机制、员工绩效考评体系,是否充分体现风险管理和内控体系要求?
3.是否对高管人员及影响风险和内控人员等重要岗位的招聘、聘用、培训、考核、调整、出国、离岗和离行进行控制?
4.是否明确了员工招聘、培训、考核、奖励、处罚、晋升等方面合理的政策和程序?并得到有效执行?
5.是否搜集了员工工作业绩、工作效率及胜任程序等相关信息?
6.是否采取适当的措施来降低更换员工或员工缺席所带来的负面影响(交叉培训,工作轮换等)?
7.是否确保员工得到了充分的非技术性能力的培训(包括人际关系、口头表达和文字表达能力,客户服务等)?
8.是否确保每个员工明确所在行及其所在部门的工作目标?
二、风险识别与评估
(一)经营与管理活动的风险识别与评估
1.是否识别和确定了常规和非常规的业务和管理活动?并识别这些活动中的风险?
2.对新识别的风险是否已考虑到其产生根源、路径及对商业银行的影响范围?是否已考虑并识别了本部门的运作过程和活动中因运用计算机系统而带来的风险?
3.本部门已识别并确定的主要风险有哪些?是否有风险点的清单?是否确定风险点的风险级别及风险可接受程度?
4.是否对风险的后果及发生的可能性等进行了评估?评估的结果是否形成文件?文件中所包含的信息是否充分,包括可作为建立内控体系中各项决策的基础?并为改进内控绩效提供衡量的基准?
5.是否对可接受风险进行定期监测?对不可接受的风险是否制定了相应的控制方案?
6.当内外部环境和条件发生变化时,是否对风险进行再识别和再评估?并及时更新风险评估文件及传达到相关人员?再识别和再评估的结果能否确保新的风险及以前未加控制的风险得到识别和控制?
7.在设立新的分支机构或开办新的业务时,是否事先制定有关的政策、制度和程序,是否对潜在的风险进行识别和评估,并提出风险防范措施?
8.能否及时发现由于员工的思想道德及业务素质问题所产生的风险,并重视对员工的法制教育和职业道德教育?
(二)法律法规、监管要求和其他要求
1.是否已建立了相应的程序,以确保商业银行能及时识别和获取适用的法律法规、监管要求和其他要求?包括明确信息获取的渠道、职责等。
2.是否及时更新法律法规、监管要求和其他要求的信息,并将这些信息传达给相关员工和其他风险相关方?
3.是否在已制定的商业银行规章体系中充分体现应遵循的所有法律、法规要求?
4.是否采取有效措施管理全行反洗钱工作?
(三)内部控制方案
1.是否为实现内控目标制定了内控方案?内控方案如何运用风险识别与评估结果的信息?确定了哪些控制要点和控制措施?
2.内控方案是否包括了各项任务的职责权限和相应的控制策略、方法、资源和时限要求?并形成了文件?
3.内控方案是否考虑了由方案自身带来的新的风险?方案是否涉及到业务流程、管理活动等重大变化?
三、内部控制措施
(一)运行控制
1.董事会与高级管理层是否及时检查商业银行在实现内部控制目标方面的进展?高级管理层是否根据检查情况提出内部控制缺失,督促职能管理部门改进?
2.各级职能管理部门是否审查收到的经营管理情况和特别情况专项报表或报告?是否提出问题,要求采取纠正整改措施?
3.对实物控制是否实行实物限制、双重保管和定期盘存?
4.是否审查遵循风险限制方面的合规性,并在不合规的情况下继续跟踪检查?
5.是否根据若干限制条件对各项业务、管理活动进行审批与授权,明确各级管理责任?
6.是否验证各项业务、管理活动,以及所采用的风险管理模型结果,并定期核实相关情况?是否及时将发现的问题向职能管理部门报告?
7.是否实行不兼容岗位的适当分离?
8.是否针对已识别的风险和需采取的控制措施,确定其运作过程和活动?
9.对已确定的过程和活动如何实施控制?
10.对缺乏程序可能导致偏离内控政策和目标运行的情况建立并保持了哪些程序文件,在程序中是否规定了操作方法和标准?
11.在实施和运行中按照程序规定如何实施持续记录和监督检查?
12.运用计算机系统采取了哪些内控措施?
13.对购置和使用的设施、设备、系统和服务中已识别的风险,是否建立并保持控制程序实施有效控制,并以什么方式将有关程序和要求通报供方,使其符合控制要求?
14.为从根本上消除或降低风险,针对产品和业务、运行程序和工作组织设计及对人员适任能力要求建立了哪些控制程序?
15.是否建立有效的核对、监控制度?对重要业务是否实行双签制度及监控授权、授信执行情况?
16.是否建立完整的会计、统计和业务档案?
(二)计算机系统环境下的控制
1.是否建立信息安全管理体系?
2.是否对计算机信息系统从立项、开发、验收、运行和维护实施全过程管理?如:项目立项时技术部门是否与业务部门进行了充分论证和良好沟通;程序开发环境是否与程序生产环境严格分离;计算机软件和网络系统从开发环境转入生产环境之前是否进行充分的压力测试?
3.对外购计算机软、硬件设备是否严格审查供应商的资格和资信状况?是否明确其产品在使用期间应当承担的使用、维护和其他责任,在使用前是否严格进行安全性测试,确保产品正常使用和有效维护?
4.计算机机房建设是否符合国家有关标准?是否加强计算机机房管理,出入按规定审批并保留记录,确保硬件、各种存贮介质的安全?
5.是否建立和健全网络管理系统,有效地管理网络的安全、故障、性能、配置等,并对接入国际互联网实施有效的安全管理?
6.采取哪些措施确保计算机信息系统的安全(如更新系统、认证、加密、内容过滤、入侵监测、安全设置、防止病毒、黑客攻击、软件补丁程序等,以确保计算机信息系统安全)?有关程序和要求是否及时更新?
7.网络设备操作系统、数据库系统、应用程序是否设置必要日志,满足内外审计需要?
8.对各类数据信息、数据操作、数据备份介质的存放、转移、销毁是否有严格的管理制度?
9.计算机处理业务如何确保可复核性和可追溯性?应用程序是否为有关的审计和检查预留接口?
10.电子银行服务是否具备确保识别客户身份、安全认证等功能,保证交易安全,防范操作风险?
11.计算机操作系统的变更是否有明确的规章制度(对内和外包系统)、可靠的技术手段,满足合法性、正确性、安全性、可复核性和可追溯性的系统变更控制要求,并对软件版本进行管理?
12.是否建立设备管理系统,对设备验收、入库、配发、维护、变更、损益、报废等环节进行管理?
