商业银行内部控制评价试行办法

　　第三十六条　评价反馈。

　　对被评价机构内部控制体系进行综合评价后，应与被评价机构管理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。

　　第三十七条　银监会及其派出机构根据评价报告，依据有关法律和规定，做出评价结论和处理决定，并以书面形式正式发送被评价机构，限期整改。同时，评价结论应报上级机构。

　　第三十八条　内部控制评价方法是为实现评价目的，对被评价机构内部控制体系进行分析和评价而采取的技术和手段的总称。

　　第三十九条　内部控制评价实施包括：

　　了解内部控制体系。应了解被评价机构内部控制体系的基本情况，确认评价范围，确定被评价机构的内部控制体系的健全程度，然后决定实施测试所采取的方法。

　　实施测试和分析。实施测试和分析是在了解内部控制体系的基础上，评价内部控制体系的运行与绩效。具体可以采取符合性测试和指标分析等，其中，对内部控制过程评价主要采取符合性测试法；对内部控制结果评价，主要采取指标分析法。

　　第四十条　了解内部控制体系。

　　了解被评价机构内部控制体系主要通过询问、查阅、观察、流程图等方法进行，以初步评价被评价机构内部控制体系的充分性和合规性。

　　第四十一条　符合性测试。

　　符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性，即相关规定在实际中是否被一贯执行，控制措施能否达到控制目的，控制措施是否恰当。符合性测试分为两种形式：

　　（一）业务测试，即对重要业务或典型业务进行测试，按照规定的业务处理程序进行检查，确认有关控制点是否符合规定并得到认真执行，以判断内部控制的遵循情况。

　　（二）功能测试，即对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。

　　符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。

　　第四十二条　测试抽样。

　　抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上，结合被评价项目的风险和重要性进行调整。

　　根据业务频次确定的抽样量参考标准如下：

　　（一）每月执行一次的业务或事项，抽样量应保持在2-6个之间。

　　（二）每周执行一次的业务或事项，抽样量应保持在4-10个之间。

　　（三）每日执行一次的业务或事项，抽样量应保持在10-25个之间。

　　（四）每日执行多次的业务或事项，全年10000次以下的，抽样量应保持在25-50个之间；全年10000次以上的，抽样量应保持在50个以上。

　　第四十三条　指标分析。

　　应收集被评价机构内部控制结果指标的相关信息，进行核实、对比分析和趋势分析，从而对内控目标实现情况做出评价。

第五章　评分标准和评价等级

　　第四十四条　内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值，并根据评价得分确定被评价机构的内部控制等级。

　　第四十五条　内部控制过程评价的标准分为500分，其中：内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。上述五部分评价得分加总除以5，得到过程评价的实际得分。

　　第四十六条　在对内部控制过程评价时，应按照第三章评价内容的要求，结合本办法第八条的四个方面展开，转换为具体评价问题，并根据测试情况对被评价项目进行评分。

　　第四十七条　初次实施内部控制评价时，须对所有业务活动、管理活动和支持保障活动进行评价。再次评价时，至少应包括：授信业务、资金业务、存款及柜台业务、主要中间业务、计划财务、会计管理、计算机信息系统等。其他活动在每三次再次评价周期内应至少覆盖一次。

　　第四十八条　内部控制过程评价的具体评分标准如下：

　　（一）被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。

　　（二）在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要求的，可得该项分值的百分之三十。

　　（三）在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。

　　（四）在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。

　　第四十九条　在测试过程中遇有业务缺项或问题“不适用”时，应将涉及到的分值在评价项目总分中扣减。为了保持可比性，在得出其余适用项的总分后，还应将该评价项目的总得分进行调整。

　　调整后评价项目总得分＝所有适用项目得分/（评价项目总分－不适用项目总分）×100%

　　单项分值小计和总分分值有小数时四舍五入。

　　第五十条　若涉及到需要采取抽样测试确定评价结论的，应根据以下情况确定：

　　（一）如果在抽样范围内未发现违规，该项评价得满分；在抽样范围内，发现两项以上违规（含两项），该项评价不得分；仅发现一项违规的，应扩大一倍抽样，在扩大抽样范围内未发现新的违规的，可得该评价项目分值的50%，在扩大抽样范围内又发现新的违规的，该评价项目不得分。

　　（二）发现险情或事故的，直接扣除该评价项目的分值。

　　第五十一条　内部控制的结果评价。结果评价主要评价内部控制目标的实现情况，对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括十项指标：资本利润率、资产利润率、成本收入比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件指标等，指标说明及控制比例见附录。内控结果评价指标的标准分值为500分，转化为百分制后得出实际得分。

　　银监会可以根据商业银行整体风险情况、经济金融情况和银监会工作的重点，补充、修订或调整有关评价指标及其标准分值。

　　第五十二条　根据过程评价和结果评价综合确定内部控制体系的总分。其中，过程评价的权重为70％，结果评价的权重为30％，两项得分加总得出综合评价总分。

　　第五十三条　根据综合评价总分确定被评价机构的内部控制体系评价等级，应按评分标准对被评价机构内部控制项目逐项计算得分，确定评价等级。定级标准为：

　　一级：综合评分90分以上（含90分）。指被评价机构有健全的内部控制体系，在各个环节均能有效执行内部控制措施，能对所有风险进行有效识别和控制，无任何风险控制盲点，控制措施适宜，经营效果显著。

　　二级：综合评分80－89分。指被评价机构内部控制体系比较健全，在各个环节能够较好执行内部控制措施，能对主要风险进行识别和控制，控制措施基本适宜，经营效果较好

　　三级：综合评分70-79分。指被评价机构内部控制体系一般，虽建立了大部分内部控制，但缺乏系统性和连续性，在内部控制措施执行方面缺乏一贯的合规性，存在少量重大风险，经营效果一般。

　　四级：综合评分60－69分。被评价机构内部控制体系较差，内部控制体系不健全或重要的内部控制措施没有贯彻执行或无效，管理方面存在重大问题，业务经营安全性差。

　　五级：综合评分60分以下（不含60分）。被评价机构内部控制体系很差，内部控制体系存在严重缺失或内部控制措施明显无效，存在明显的管理漏洞，经营业务失控，存在重大金融风险隐患。

　　上述等级也适用于单项评级，单项评级结果主要用于对比分析。