1、XX分行內部控制評價  第一章      總則 第一條 內部控制是商業銀行為實現經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監督和糾正的動態過程和機制，是公司治理機制的重要組成部分，是控制風險、杜絕違規、防范案件的重要手段，為進一步健全內部控制機制，加強內控評價工作，建立一個以風險為導向、以控制為目的的內控評價體系，科學、有效、全面、客觀的對被審計對象內部控制狀況進行評估，保證銀行安全穩健運行、健康有序發展，根據銀監會商業銀行內部控制評價試行辦法、內部控制指引，特制定本內部控制

2、評價辦法。 第二條 商業銀行內部控制評價是指對商業銀行內部控制體系建設、實施和運行結果獨立開展的調查、測試、分析和評估等系統性活動。包括對控制環境、風險評估、控制活動、信息與交流、監督與評審等體系要素的評價。第三條 XX分行及其轄屬機構的內部控制評價工作由XX分行監察稽核部具體組織實施。第四條 本評價辦法主要適用于XX分行監察稽核部開展的常規稽核項目中的內部控制評價環節。其他機構、部門自行開展的內控評價工作亦可參考本辦法施行。第五條      由于監察稽核部開展的稽核檢查工作規定了檢查所覆蓋的時間范圍且僅局限于業務抽查，因此使用本評價辦法得出的

3、內部控制評價等級僅代表被評價機構在表明的稽核檢查范圍內的內部控制狀況，除監察稽核部稽核檢查范圍之外所發生的案件或重大違規問題，監察稽核部不負責任。第六條 內部控制評價人員應接受有關內部控制評價知識和技能的培訓，具備相應的資質和能力，原則上由實施該常規稽核項目的組長組織，由該常規稽核組成員具體執行。評價結果經稽核項目評審委員會審查后記入常規稽核報告。 第二章      評價目標和原則 第七條 內部控制評價的目標主要包括：（一）促進商業銀行嚴格遵守國家法律法規、銀監會的監管要求和商業銀行審慎經營原則。（二）促進商業銀行提高風險管

4、理水平，保證其發展戰略和經營目標的實現。（三）促進商業銀行增強業務、財務和管理信息的真實性、完整性和及時性。（四）促進商業銀行各級管理者和員工強化內部控制意識，嚴格貫徹落實各項控制措施，確保內部控制體系得到有效運行。（五）促進商業銀行在出現業務創新、機構重組及新設等重大變化時，及時有效地評估和控制可能出現的風險。第八條 內部控制評價應從充分性、合規性、有效性和適宜性等四個方面進行：（一）過程和風險是否已被充分識別。 （二）過程和風險的控制措施是否遵循相關要求、得到明確規定并得以實施和保持。（三）控制措施是否有效。 （四）控制措施是否適宜。第九條 內部控制評價應遵循以下原則：（一）全面性原則。評

5、價范圍應覆蓋轄屬各二級分行、城區支行、縣支行內部控制活動的全過程及所有的系統、部門和崗位。（二）統一性原則。評價的準則、范圍、程序和方法等應保持一致，以確保評價過程的準確性及評價結果的客觀性和可比性。（三）獨立性原則。評價應由與被評價的活動無直接責任的人員獨立進行。（四）公正性原則。評價應以事實為基礎，以法律法規、監管要求、規章制度等為準則，客觀公正，實事求是。（五）重要性原則。評價應關注重點業務，依據風險和控制的重要性程度確定重點。（六）及時性原則。評價應按照規定的時間間隔持續進行，如無特殊情況應結合常規稽核檢查每年進行一次。 第三章    

6、  評價內容 第十條 控制環境控制環境是推動控制工作的發動機，使所有其它內部控制組成部分的基礎。（一）內控政策 1、內部控制規章制度的建設情況。包括制定的各項規章制度是否與全行的經營宗旨和發展戰略相一致，符合現行法律法規和監管要求；是否體現了持續改進內控狀況的要求；是否能夠體現出控制側重的風險類型；是否能夠體現出對當地實際情況的風險控制要求。 2、各項制度執行的有效性。包括各項規章制度是否傳達到適用崗位的各級員工，指導員工實施風險控制措施；是否對各項制度進行了定期評審，確保其持續的適用性和有效性。（二）激勵機制1、激勵措施的建設情況。包括是否制定了適用的獎懲措施、福利制度以

7、及人員的引進、退出、選拔機制；是否從精神、物質等各個層面對員工進行了適當的激勵。2、激勵措施的執行情況。包括管理層是否堅持以人為本的理念，經常組織各種業務競賽或文體活動，效果如何；能否指導各級員工正確開展工作；是否經常與員工談心；是否做到了及時關心員工的工作和生活狀況。（三）工作能力1、管理層的工作能力。包括能否根據各崗位情況科學的劃分工作任務，做到人盡其責；能否在勞動組織及制度辦法變化時，督促相關部門建立并及時修訂部門及崗位的責任制；能否為員工提供適當的培訓使其達到熟悉崗位的要求。2、基層人員的工作能力。包括基層各級人員是否具備足以完成工作所需要的知識和技能；各崗位人員的能力是否與其責任相匹

8、配。（四）組織結構1、組織結構建立的情況。包括是否成立了相關組織或管理委員會（如：內部控制委員會、風險評審委員會、大額采購委員會等）；是否建立了分工合理、職責明確、報告關系清晰的組織結構；是否明確了所有與風險和內部控制有關的部門、崗位、人員的職責和權限；是否建立了相應的授權體系，實行統一法人管理和授權；是否明確了關鍵崗位、特殊崗位、不相容崗位及其控制要求；是否建立了關鍵崗位定期或不定期的人員輪換和強制休假制度。 2、組織結構運作的有效性。包括各組織或委員能否民主發表意見，按程序操作照章辦事；是否做到了必要的職責分離，以及相互監督制約關系；是否做到了不得由一個人獨自決定涉及資產、負債、財務和人員

9、等重要事項的變動；是否做到了關鍵崗位定期或不定期的人員輪換和強制休假。（五）企業合規文化1、是否向員工傳達了遵守法律法規和實施內部控制的重要性，引導員工樹立合規意識和風險意識，提高員工職業道德水準，規范員工職業行為；管理層是否起到遵章守紀的表率作用。2、管理人員及業務人員是否嚴格遵守會計原則，對財務報告采取積極的行動，及時完整準確的披露重要財務信息。（六）人力資源1、人力資源相關政策制定的合理性。包括制定的人力資源管理辦法是否做到了公平、公正、公開，確實能夠實現各級人員價值；是否完善了人力資源政策和程序，確保風險和內控有關人員具備相應的能力和意識；是否制定了各級人員的培訓計劃；對于員工的績效考

10、核等日常人事管理是否做出了詳細規定。2、人力資源相關政策執行的有效性。包括是否確實保證執行了各級人員的培訓計劃；是否按政策執行了員工的績效考核等日常人事管理。第十一條 風險評估風險評估是識別和分析那些妨礙實現經營管理目標的困難因素的活動，對風險的分析評估構成風險管理決策的基礎。（一）風險評估目標。包括制定的各項業務活動的具體目標、實施計劃和預算與上級行下達的整體任務指標能否做到協調一致并達到控制風險的目標；各項業務活動目標是否明確和有針對性；設定目標時，所有管理層是否全部參與并積極提出合理化建議和意見。（二）風險識別能力。包括是否建立了完善的風險預警、分析及報告制度；各級人員是否能夠及時、準確

11、的識別整體經營狀況、各項業務活動中所潛在的風險及影響風險形成的內、外部因素。（三）風險分析能力。包括各級管理人員及業務人員對風險重要級別及發生的可能性能否正確估量；分析風險的各個環節能否做到相互關聯及延續；對于由于內、外部因素變化導致出現的風險是否做到了及時分析并報告，檢查分析是否做到透徹與恰當。（四）風險管理能力。包括各部門能否根據實際情況對潛在的風險隱患及時做出反應并采取相應措施，達到較好的轉移或消化風險隱患的目的。第十二條 控制活動控制活動是為了合理的保證經營管理目標的實現指導員工實施管理指令，管理和化解風險而采取的政策和程序。（一）管理控制。包括管理層是否要求轄屬機構和人員提供定期或不

12、定期業績報告；每項經營和管理活動是否得到了適當的控制；對內審、外審機構查出的問題，是否要求其采取相應的改進和防范措施。（二）業務控制。包括各級機構、部門是否對日常業務活動采取了有效的內控措施及執行情況。（三）實物控制。包括是否對現金、固定資產、低值易耗品、抵押物權證和抵、質押品等進行了有效的管理；是否限制了接觸這些實物的人員；對上述實物是否實行了限額管理；是否設置雙人保管、定期檢查等項制度以及上述措施的執行情況。（四）授權審批控制。包括在各項業務經營、管理活動中是否有明確的授權和審批制度及其執行情況。（五）核實監督控制。包括是否對各類業務交易和操作的詳細情況以及風險管理的結果進行核實監督，及時

13、發現問題并向管理層報告。（六）不相容崗位分離控制。包括是否實行了適當的職責分工，切實使兼容崗位潛在的利益沖突最小化。第十三條 信息與交流信息與交流存在于所有經營管理活動中，使員工得以搜集和交換為開展經營、從事管理和進行控制等活動所需要的信息，包括管理者對員工工作業績的經常性評價。（一）信息系統的有效性。包括各類信息系統能否有效運作，信息系統是否能夠把諸如內部財務（各類會計賬表）、經營、管理、業務、重大事件和市場信息等相關的信息進行識別、采集、處理并及時、準確地提供給管理層。 （二）信息系統的真實性。包括啟用的各類信息系統涵蓋的信息是否真實可靠；是否提供了銀行的全部重要活動信息（以電子形式、紙質

14、形式存儲和使用的數據）；信息系統是否嚴格按照系統相關規定進行了運作；是否建立了嚴格的保密措施；是否做到了必要的數據備份；在意外事件發生時，是否有完善的措施備用并及時解決問題。 （三）信息渠道的暢通性。包括各種信息（尤其是會計數據信息及規章制度）能否及時、有效的在各個機構、部門之間進行傳達、溝通、交流；銀行所有員工能否及時、準確、充分的了解和遵守涉及其責任和義務的所有政策和程序，并且做到各負其責，互相配合。 第十四條 監督與評審監督與評審是經營管理部門對內部控制的管理監督和檢查人員對內部控制的再監督與再評價活動的總稱。（一）內控制度執行能力。包括各級管理部門或檢查人員對被檢查機構、部門建立的內部

15、控制執行程序是否完善且與業務發展同步，并定期或不定期對各部門、各崗位、各項業務實施全面、連續的監控和評價。 （二）報告和信息反饋制度。包括當檢查人員發現問題和缺陷后，是否及時向相關職能部門或管理層報告，遇重大或緊急問題是否采取雙線匯報的方式。（三）問題的處理和糾正機制。包括是否建立了內部控制問題和缺陷的處理和糾正機制；各級人員根據內部控制的檢查情況和評價結果，是否及時提出了整改意見和糾正措施，并采取后續跟進等方式督促有關部門或分支機構落實整改。（四）信貸資產監督管理制度。包括是否建立了完善的信貸資產監督管理制度；是否采取了多種方式深入、滲透到各業務和管理環節，對各環節的風險狀況作出準確、如實的

16、反映和判斷；是否對貸款業務的全過程實施了有效的監督。（五）相關檢查人員的履職情況。包括相關檢查人員在履行職責時，是否獨立行使了檢查權、監督權、報告權以及行使的情況如何。 第四章      評分標準和評價等級 第十五條 內部控制評價采取評分制。為確保評價結果的可比性，對內部控制評價的項目，均分別設置一定的標準分值，根據評價的實際得分確定被評價機構的評價等級。第十六條 內部控制評價設置標準分1000分，各環節的標準分值分別是：控制環境180分、風險評估200分、控制活動420分、信息與交流100分、監督與評審100分。五個環節得分加總后再

17、除以10，換算成對內部控制評價的最終得分。 第十七條 初次實施內部控制評價時，須對所有業務活動、管理活動和支持保障活動進行評價。再次評價時，至少應包括授信業務。其他活動在每三次再次評價周期內應至少覆蓋一次。第十八條 內部控制評價的具體評分標準如下： （一）被評價對象的過程和風險已被充分識別的，可得該項分值的百分之二十。 （二）在滿足前項的基礎上，被評價項目的過程和對風險的控制措施被規定并遵循要求的，可得該項分值的百分之三十。 （三）在滿足前兩項的基礎上，被評價項目的規定得到實施和保持，可再得該項分值的百分之三十。 （四）在滿足前三項的基礎上，被評價項目在實現風險控制的結果方面，控制措施有效且適

18、宜的，可再得該項分值的百分之二十。 第十九條 若涉及到需要采取抽樣測試確定評價結論的，應根據以下情況確定： （一）如果在抽樣范圍內發現違規率在10%（含10%）以下的，該項評價得滿分；在10%-30%（含30%）之間的，得該評價項目分值的50%；在30%以上的，該評價項目不得分。 （二）抽樣中發現險情或事故的，直接扣除該評價項目的分值。第二十條 根據評價人員所評價業務種類不同賦予不同的權重，將實施評價的小組成員評價得分加權平均后即得被評價機構的內控評價總分。各項業務種類的權重為：授信業務占比40%（其中：公司授信業務占比20%；零售貸款業務占比20%）；財會清算業務占比30%；存匯業務占比20%；中間業務占比10%。第二十一條 根據內控評價總分確定被評價機構的內部控制體系評價等級，應按評分標準對被評價機構內部控制項目逐項計算得分，確定評價等級。定級標準為： 一級：綜合評分90分（含90分）以上。指被評價機構有健全的內部控制體系，在各個環節均能有效執行內部控制措施，能對所有風險進行有效識別和控制，無任何風險控制盲點，控制措施適宜，經營效