商业银行内部控制评价试行办法

　　第十三条　内部控制目标。

　　商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。

　　在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监管部门的内部控制指标要求。

　　内部控制目标应可测量。有条件时，目标应用指标予以量化。

　　第十四条　组织结构。

　　商业银行应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并形成文件予以传达。特别应考虑：

　　（一）建立相应的授权体系，实行统一法人管理和法人授权。

　　（二）必要的职责分离，以及横向与纵向相互监督制约关系。

　　（三）涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。

　　（四）明确关键岗位、特殊岗位、不相容岗位及其控制要求。

　　（五）建立关键岗位定期或不定期的人员轮换和强制休假制度。

　　商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。

　　商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员；应有权获得商业银行的所有经营、管理信息；应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价；应及时向董事会或董事会审计委员会提交审计报告；董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改；总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。

　　第十五条　企业文化。

　　商业银行应培育健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。

　　第十六条　人力资源。

　　商业银行应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。

　　商业银行应明确与风险和内部控制有关人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。

　　高级管理人员必须满足监管机构对高级管理人员资质的要求。

　　商业银行应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。

　　商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。

第二节　风险识别与评估

　　第十七条　经营管理活动风险识别与评估。

　　商业银行应建立和保持书面程序，以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、市场风险（含利率风险）、操作风险、国家和转移风险、流动性风险、法律风险以及声誉风险等。

　　应识别并确定常规和非常规的业务和管理活动，并识别这些活动中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围，特别应考虑计算机系统的运用可能带来的风险。

　　应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评审，以确保其持续可接受；风险不可接受时，应制定控制措施。

　　商业银行对各类风险进行识别与评估时应充分考虑内部和外部因素。其中，内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等；外部因素包括经济形势的波动、行业变动趋势等。

　　当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

　　风险识别与评估应：

　　（一）依据业务范围、性质和时限主动进行。

　　（二）评估风险的后果、概率和风险级别。

　　（三）必要时开发并运用风险量化评估的方法和模型。

　　第十八条　法律法规、监管要求和其他要求的识别。

　　商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。

　　商业银行应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。

　　第十九条　内部控制方案。

　　商业银行应制定内部控制方案，以控制已识别的不可接受风险。内部控制措施方案应包括以下内容：

　　（一）为实现对风险的控制而规定的相关职责与权限。

　　（二）控制的策略、方法、资源需求和时限要求。

　　若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑可能产生的新风险。