商业银行内部控制评价试行办法

第三节　内部控制措施

　　第二十条　运行控制。

　　商业银行应确定需要采取控制措施的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。

　　（一）控制措施包括：

　　1.高层检查。董事会与高级管理层应要求下级部门及时报告经营管理情况和特别情况，以检查内部控制的实施状况以及在实现内部控制目标方面的进展。高级管理层应根据检查情况提出内部控制缺失情况，督促职能管理部门改进。

　　2.行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。

　　3.实物控制。主要的控制措施包括实物限制、双重保管和定期盘存等。

　　4.风险暴露限制的审查。审查遵循风险暴露限制方面的合规性，违规时继续跟踪检查。

　　5.审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级的管理责任。

　　6.验证与核实。验证各项业务、管理活动以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，并向职能管理部门报告。

　　7.不兼容岗位的适当分离。实行适当的职责分工，认定潜在的利益冲突并使之最小化。

　　（二）控制要点包括：

　　1.对于可能导致偏离内部控制政策、目标的运行情况，应建立并保持书面程序和要求，并在程序中规定操作和控制标准。

　　2.对于重要活动应实施连续记录和监督检查。

　　3.在可能的情况下，应考虑运用计算机系统进行控制。

　　4.对于采购或外包的设施、设备、系统和服务中已识别的风险，应建立并保持控制程序，并将有关程序和要求通报供方，确保其遵守商业银行相关的控制要求。

　　5.对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序。

　　第二十一条　计算机系统环境下的控制。

　　商业银行应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

　　第二十二条　应急准备与处置。

　　商业银行应建立并保持预案和程序，以识别可能发生的意外事件或紧急情况（包括计算机系统）。意外事件和紧急情况发生时，应及时做出应急处置，以预防或减少可能造成的损失，确保业务持续开展。

　　商业银行应定期检查、维护应急的设施、设备和系统，确保其处于适用状态。如可行，应定期测试应急预案。

　　商业银行应评审其应急预案，特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况（包括事故、险情）的性质相适应。

第四节　监督评价与纠正

　　第二十三条　内部控制绩效监测。

　　商业银行应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。

　　监测内容包括：

　　（一）内部控制目标实现程度。

　　（二）法律、法规及监管要求的遵循程度。

　　（三）事故、险情和其他不良的内部控制绩效的历史情况。

　　第二十四条　违规、险情、事故处置和纠正及预防措施。

　　商业银行应建立并保持书面程序，对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定，包括：

　　（一）发现违规、险情、事故并及时报告，必要时，可越级报告。

　　（二）及时处置违规、险情、事故。

　　（三）制定纠正与预防措施，防止违规、险情、事故的发生和再发生，并与问题的大小和风险危害程度相一致。

　　（四）纠正与预防措施在实施之前应进行风险评估。

　　（五）实施并跟踪、验证纠正与预防措施。

　　（六）险情和事故的责任追究。

　　第二十五条　内部控制体系评价。

　　商业银行应建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。

　　评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等，覆盖体系范围内的所有活动。

　　可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因，并验证所采取措施的效果。

　　评价应由与评价的活动无直接责任的人员进行，评价人员应具备相应的知识，能够胜任评价工作。