中新网9月30日电 中国银行业监督管理委员会今日发布公告称，为规范和加强对商业银行内部控制评价，督促商业银行建立内部控制体系，健全内部控制机制，保证商业银行稳健运行，银监会起草了《商业银行内部控制评价试行办法(征求意见稿)》。即日起上网公示征求社会各界意见，公示期为一个月。

　　商业银行内部控制评价试行办法(征求意见稿)

　　第一章 总 则

　　第一条 为规范和加强对商业银行内部控制的评价，督促其进一步建立内部控制体系，健全内部控制机制，保证商业银行安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本办法。

　　第二条 商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、评估、测试和分析的系统性活动。

　　内部控制评价包括过程评价与结果评价。过程评价侧重对内部控制过程的充分性、合规性、有效性、适宜性的评价，结果评价是对内部控制主要目标实现程度的评价。

　　第三条 商业银行内部控制体系是商业银行为实现经营管理目标，通过制定和实施系统化的政策、程序和方案，对风险进行识别、评估、控制、监测和改进的动态过程和机制,由内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五个相互关联、相互作用的过程构成。

　　第四条 商业银行应建立并保持系统的、透明的、文件化的内部控制体系，将内部控制活动与业务经营管理活动紧密地结合起来；定期或在有关法律法规和其他经营环境发生重大变化时，对内部控制体系进行评审和改进。

　　第五条 商业银行内部控制评价由中国银行业监督管理委员会(以下简称银监会)及其各级派出机构组织实施。

　　第六条 商业银行内部控制评价人员应经过有关内部控制评价知识和技能的培训，具备相应的资质和能力。

　　第二章 内部控制评价目标和原则

　　第七条 商业银行内部控制评价的目标是通过评价商业银行内部控制体系的充分性、合规性、有效性和适宜性，促使商业银行切实加强内部控制体系的建设并认真执行。具体评价目标如下：

　　(一)促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则；

　　(二)促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现；

　　(三)促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性；

　　(四)促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行；

　　(五)促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。

　　第八条 为实现上述内部控制评价目标，应从以下四个方面对内部控制体系进行评价：

　　(一)过程和风险是否已被充分识别；

　　(二)过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持；

　　(三)控制措施是否有效；

　　(四)控制措施是否适宜。

　　第九条 内部控制评价应遵循以下原则：

　　(一)系统性原则。评价范围应渗透覆盖商业银行内部控制活动的全过程，覆盖所有的系统、部门和岗位。

　　(二)统一性原则。评价应保持目标、范围和准则的一致，以确保评价过程的准确，以及评价结果的客观、可比。

　　(三)独立性原则。评价应由银监会及其派出机构或受委托评价机构独立进行，不受任何单位和个人干扰。

　　(四)公正性原则。评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。

　　(五)重要性原则。评价应依据风险和控制的重要性确定重点。

　　(六)及时性原则。应按照规定的时间间隔持续进行评价。当经营管理环境发生重大变化时，应及时进行评价。

　　第三章 内部控制评价内容

　　第一节内部控制环境

　　第十条 商业银行公司治理

　　商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作、分权制衡。

　　(一)完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序；

　　(二)明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任；

　　(三)建立独立董事制度，对董事会讨论事项发表客观、公正的独立意见；建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。

　　第十一条 董事会、监事会和高级管理层责任

　　董事会负责保证商业银行建立并实施充分而有效的内部控制；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保商业银行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施认定、计量、监督并控制风险；负责审批组织机构；负责保证高级管理层对内部控制制度的充分性与有效性进行监测和评估。

　　监事会负责监督董事会、高级管理层完善内部控制；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。

　　高级管理层负责制定内部控制政策，对内部控制的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立认定、计量、监督并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

　　董事会和高级管理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。

　　第十二条 内部控制政策

　　商业银行应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的方向和原则，并为制定和评审内部控制目标提供指导。内部控制政策应：

　　(一)与商业银行的经营宗旨和发展战略相一致；

　　(二)体现持续改进内部控制的要求；

　　(三)符合现行法律法规和监管要求；

　　(四)体现出侧重控制的风险类型；

　　(五)体现出对不同地区、行业、产品的风险控制要求；

　　(六)传达给适用岗位的员工，指导员工实施风险控制措施；

　　(七)可为风险相关方所获取，并寻求互利合作；

　　(八)定期进行评审，确保其持续的适宜性和有效性。

　　第十三条 内部控制目标

　　商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。

　　在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素。

　　内部控制目标应可测量。有条件时，目标应予以量化。

　　第十四条 组织结构

　　商业银行应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并形成文件予以传达。特别应考虑：

　　(一)必要的职责分离，以及横向与纵向相互监督制约关系；

　　(二)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定；

　　(三)建立关键岗位定期或不定期的人员轮换和强制休假制度；

　　(四)建立相应的授权体系，实行统一法人管理和法人授权。

　　商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。

　　商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员；应有权获得商业银行的所有经营、管理信息；应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价；应及时向董事会或董事会审计委员会提交审计报告；董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改；总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。

　　第十五条 企业文化

　　商业银行应培育健康的企业文化，对企业文化的内涵、组织机制、传播机制、评估机制以及活动机制做出明确的规定，向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立良好的合规意识和较强的风险意识，促进员工职业道德水平的提高，规范员工行为，营造良好的内部控制环境。所有员工都应了解自己在内部控制中的作用，全面参与内部控制体系建设。

　　第十六条人力资源

　　商业银行应完善人事制度和程序，确保与风险和内部控制有关人员具备相应的能力和风险意识。

　　商业银行应规定所有岗位的职责、权限和人员适任条件，明确关键岗位、特殊岗位、不相容岗位及其控制要求。

　　商业银行应明确与风险和内部控制有关人员的必要的能力要求。应根据其教育水平、工作经验、考核和接受过的培训对能力进行鉴定。尤其应满足监管机构对高级管理人员资质的要求，不满足任职资格的不得担任高级管理职务。

　　商业银行应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。

　　商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。

　　第二节风险识别与评估

　　第十七条 经营管理活动风险识别与评估

　　商业银行应建立和保持书面程序，以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、操作风险、市场风险、国家和转移风险、利率风险、流动性风险、法律风险以及声誉风险等。

　　应识别并确定常规和非常规的业务和管理活动，并识别这些活动中的风险(无论是否由内部产生)，考虑其类型、来源及其影响范围，特别应考虑计算机系统的运用可能带来的风险。

　　应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评审，以确保其持续可接受；风险不可接受时，应制定控制措施。

　　商业银行对各类风险进行有效的识别与评估时应充分考虑内部和外部因素，内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等；外部因素包括经济形势的波动、行业变动趋势等。

　　环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

　　风险识别与评估应：

　　(一)依据业务范围、性质和时限主动进行；

　　(二)评估风险的后果、可能性和风险级别；

　　(三)必要时开发并运用风险量化评估的方法和模型。

　　第十八条 法律法规、监管要求和其他要求识别

　　商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。

　　商业银行应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。

　　第十九条 内部控制方案

　　商业银行应制定内部控制方案，以控制所识别的不可接受风险。内部控制措施策划方案应包括以下内容：

　　(一)为实现对风险的控制而规定的相关层次的职责与权限；

　　(二)控制的策略、方法、资源需求和时限要求。

　　内部控制措施若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑采取此种措施后可能产生的新风险。

　　第三节内部控制措施

　　第二十条 运行控制

　　商业银行应确定需要采取控制的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。

　　控制措施包括：

　　(一)高层检查。董事会与高级管理层要求下级部门及时报告经营管理情况和特别情况，以检查银行在实现内部控制目标方面的进展。高级管理层根据检查情况提出内部控制缺失，督促职能管理部门改进。

　　(二)行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。

　　(三)实物控制。主要的控制措施包括实物限制、双重保管和定期盘存。

　　(四)遵循风险暴露限制的情况。审查遵循风险限制方面的合规性，在不合规的情况下继续跟踪检查。如遵循对借款人的信用额度限制，减少风险集中程度，有助于分散风险。

　　(五)审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级管理责任。

　　(六)验证与核实。验证各项业务、管理活动，以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，向职能管理部门报告。

　　(七)不兼容岗位的适当分离。实行适当的职责分工，认定潜在的利益冲突并使之最小化。

　　控制要点包括：

　　(一)对于可能导致偏离内部控制政策、目标的运行情况，应建立并保持书面程序和要求，并在程序中规定操作和控制标准；

　　(二)对于重要活动应实施连续记录和监督检查；

　　(三)在可能的情况下，应考虑运用计算机系统进行控制；

　　(四)对于采购或外包的设施、设备、系统和服务中已识别的风险，应建立并保持控制程序，并将有关程序和要求通报供方，确保其遵守商业银行相关的控制要求；

　　(五)对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序。

　　第二十一条 计算机系统环境下的控制

　　商业银行应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

　　第二十二条 应急准备与响应

　　商业银行应建立并保持预案和程序，以识别可能发生的意外事件或紧急情况(包括计算机系统)。意外事件和紧急情况发生时，应及时做出应急响应，以预防或减少可能造成的损失，确保业务持续开展。

　　商业银行应定期检查、维护应急的设施、设备和系统，确保其处于适用状态。如可行，应定期测试应急预案。

　　商业银行应评审其应急预案，特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括损失、险情)的性质相适应。

　　第四节监督评价与纠正

　　第二十三条 内部控制绩效的监测

　　商业银行应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。监测内容包括：

　　(一)内部控制目标实现程度的监测；

　　(二)法律、法规及监管要求的遵循程度；

　　(三)适用的法律法规、监管要求及其他要求的符合情况；

　　(四)损失、险情和其他不良的内部控制绩效的历史情况；

　　第二十四条 违规、险情、事故处置和纠正与预防措施

　　商业银行应对违规、险情、事故的发现、报告、处置和纠正与预防措施做出规定，包括：

　　(一)发现违规、险情、事故并及时报告，必要时，可越级报告；

　　(二)及时处置违规、险情、事故；

　　(三)制定纠正与预防措施，防止违规、险情、事故的发生和再发生，并与问题的大小和风险危害程度相一致；

　　(四)纠正与预防措施在实施之前应进行风险评估；

　　(五)实施并跟踪、验证纠正与预防措施；

　　(六)险情和事故的责任追究。

　　第二十五条 内部控制体系评价

　　商业银行应按策划的方案对内部控制体系实施评价，确保内部控制体系的符合性和有效性。

　　评价方案的制定，应以活动的风险评估结果、业务和管理流程及相关区域的状况和以前的评价结果为依据。评价方案应包括评价的目的、准则、范围、频率和方法，以及执行评价和结果报告的职责与要求。评价应覆盖体系范围内的所有活动，被评价机构的管理者应采取措施消除违规原因，并验证所采取措施的效果。应根据评价的结果对内部控制体系做出评价，必要时可根据评价结果确定内部控制水平的等级。评价结果的信息提供给管理层参考和决策。

　　评价应由所评价的活动无直接责任的人员进行，评价人员应能够胜任评价工作。

　　第二十六条 管理评审

　　董事会应采取措施保证商业银行定期组织对内部控制状况进行评审，确保体系得到持续、有效的改进。

　　管理评审应包括以下方面的内容：

　　(一)内部控制体系评价的结果；

　　(二)内部控制政策执行情况和内部控制目标实现情况；

　　(三)对内部控制体系有重要影响的外部信息，如法律、法规的重大变化；

　　(四)组织结构的重大调整；

　　(五)事故和险情以及重大纠正和预防措施的状况；

　　(六)以往管理评审的跟踪情况；

　　(七)内部控制体系改进的建议。

　　管理评审应就以下方面提出建议：

　　(一)内部控制体系及其过程的改进；

　　(二)内部控制政策、目标的变更；

　　(三)与内部控制有关资源的需求。

　　第二十七条 持续改进。

　　商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审，持续提高内部控制体系有效性。

　　第五节信息交流与反馈

　　第二十八条 交流与沟通

　　商业银行应建立和保持信息交流与反馈的程序，对财务、管理、业务、重大事件和市场信息等相关信息，明确其识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。

　　商业银行应识别其内部和外部的风险相关方，考虑他们的要求和目标，建立与这些相关方进行信息交流的机制，确保：

　　(一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息；

　　(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策、程序；

　　(三)险情、事故发生时，相关信息能得到及时报告和有效沟通；

　　(四)及时、真实、完整地向监管机构和外界报告、披露相关信息；

　　(五)国内外经济、金融动态信息的取得和处理，并及时把与企业既定经营目标有关的信息提供给各级管理层。

　　信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。

　　为保持信息交流沟通可追溯性，必要时，应保持相关信息交流与沟通的记录。

　　第二十九条 内部控制体系对文件的要求

　　建立和保持文件化体系是实现信息交流与反馈的重要途径。商业银行应建立并保持必要的内部控制体系文件，包括：

　　(一)对内部控制体系核心过程要素及其相互作用的描述；

　　(二)内部控制政策和目标；

　　(三)关键岗位及其职责与权限；

　　(四)不可接受的风险及其预防和控制措施；

　　(五)控制程序、作业指导、方案和其他内部文件。

　　第三十条 文件控制

　　商业银行应建立并保持书面程序，以确保内部控制体系所要求的文件满足下列要求：

　　(一)文件和资料易于查询；

　　(二)实施前得到授权人的批准；

　　(三)定期进行评审，必要时予以修订并由授权人员确认其适宜性；

　　(四)所有相关岗位都能得到有效版本；

　　(五)失效时，及时从所有发放处和使用处收回，或采取其他措施防止误用；

　　(六)及时识别、处置外来文件并进行标识，必要时转化为内部文件。

　　(七)留存的档案性文件和资料应予以适当标识。

　　第三十一条 记录控制

　　商业银行应建立并保持书面程序，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、�；�、检索、保存期限和处置。

　　记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。

　　第四章 内部控制评价程序和方法

　　第三十二条 内部控制评价程序一般包括评价准备、评价实施、形成评价报告和反馈等步骤。

　　第三十三条 评价准备。

　　在评价实施前应组成评价组。评价组的成员构成应考虑到相关人员的背景和能力构成。必要时，可聘请相应的业务或管理专家。

　　评价组应根据内部控制评价的安排制订评价方案，评价方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。

　　评价组应准备必要的工作文件，用于评价实施过程的参考和记录。这些工作文件可以包括评价问卷、抽样计划、被评价机构的内部控制体系文件等。

　　在现场评价前应先与被评价机构建立初步联系，以便确认有关评价事项和安排。

　　第三十四条 评价实施

　　评价组应按照确定的评价方案实施评价。在评价实施中有必要对评价组内部以及评价组与被评价机构之间的沟通做出正式安排。在评价实施过程中，应当通过适当的方法进行收集与评价目的、范围和准则有关的信息，根据抽样计划对被评价项目进行测试，评价证据应当予以记录。收集信息和测试的方法见本办法附件的相关内容。

　　第三十五条 形成评价报告

　　评价组根据评价及测试情况，在综合评价的基础上，出具被评价机构的内部控制评价报告。报告内容主要包括概述、评价组工作开展情况、被评价机构内部控制体系状况、综合评价、存在问题及原因、整改意见等。

　　报告还应包括以下方面的内容：

　　(一)对被评价机构的内部控制体系现状，存在问题与上次评价结果和连续多次评价结果进行趋势比较分析。找出本期新出现的薄弱环节，分析判断商业银行内控的薄弱环节是否已得到改进和加强。

　　(二)将被评价机构存在的主要问题、缺失与同类银行进行比较，对于普遍存在且受外围环境制约的问题，在评价结论中作为可谅解因素列出。

　　(三)对被评价对象内部控制体系有效性进行分析评价后，监管部门应根据分析评价结果和已采取措施的有效程度，提出今后的监管建议。

　　(四)评价报告应根据内部控制评价对象的层次，突出重点和关键点。例如，对商业银行总部的评价应突出管理方面的问题和薄弱点以及制度规定方面的缺失，而对分支机构的评价应侧重执行方面的问题。

　　第三十六条 评价结论反馈

　　评价组对被评价银行内部控制体系做出综合评价后，应召集被评价机构管理层和部门负责人会议，核对数据和事实，征求意见，在现行法律和政策规定基础上统一认识。评价组应将本次评价的评审报告和结论报送授权的监管机构。

　　第三十七条 监管机构根据评价组的结论，依据有关法律和规定，对被评价机构做出评价结论和处理决定，以书面形式正式发送被评价机构并限期改正反馈。

　　第三十八条 内部控制评价方法是为实现评价目的，运用基本的评价技术对商业银行的内部控制体系进行分析和评价而采取的技术和手段的总称。

　　第三十九条 内部控制评价的实施分为了解内部控制体系阶段和实施测试阶段。

　　评价人员首先应了解被评价机构内部控制体系的基本情况，确定评价范围，确定被评价机构的内部控制体系的健全程度，然后决定实施测试所采取的方法。

　　实施测试是在了解内部控制体系的基础上对被评价机构的内部控制体系开展的进一步评价活动。实施测试侧重于评价内部控制体系的运行与绩效，具体可以采取符合性测试和实质性测试。当初步评价被评价机构的内部控制体系为基本可信赖时，可以采用符合性测试；被评价机构内部控制体系有重大缺失或许多规定在实际工作中无法执行时，应对其内部控制进行实质性测试。

　　第四十条 了解内部控制体系

　　主要通过询问法、查阅法、观察法、流程图法等方法了解被评价机构内部控制体系的设计和执行情况，初步评价被评价机构内部控制体系的充分性和制度的合规性，即评价主要活动和重要的风险是否被充分识别，相关制度是否符合法律法规和监管要求，各部门、各岗位是否严格执行了有关规定，内部控制体系能否达到控制目的和要求。

　　第四十一条 符合性测试

　　符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性，即相关规定在实际中是否被一贯执行，控制措施能否达到控制目的，控制措施是否恰当。符合性测试分为两种形式：

　　(一)业务测试，即对重要业务或典型业务进行测试，按照规定的业务处理程序进行检查，确认有关控制点是否符合规定并得到认真执行，以判断内部控制的遵循情况。

　　(二)功能测试，即对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。

　　符合性测试的具体方法包括抽样法、穿行测试法、证据检查法、压力测试法、否定验证法等(具体描述见附录一)。

　　第四十二条 符合性测试抽样。符合性测试需要通过抽样测试被评价商业银行内部控制体系的建立、执行和监督情况。

　　抽取样本的多少取决于被评价机构或被评价项目的风险、业务频次、重要性等�？稍诟�据业务频次确定抽样量的基础上，再根据被评价项目的风险和重要性进行调整。

　　根据业务频次确定的各年度抽样量参考标准如下：

　　(一)每月执行一次的业务或事项，抽样量应保持在2-6个之间；

　　(二)每周执行一次的业务或事项，抽样量应保持在4-10个之间；

　　(三)每日执行一次的业务或事项，抽样量应保持在10-25个之间；

　　(四)每日执行多次的业务或事项，全年10000次以下的，抽样量应保持在25-50个之间；全年10000次以上的，抽样量应保持在50个以上。

　　第四十三条 实质性测试

　　评价人员为了获取对被评价机构各项评价认定真实、公允的证据，可采取实质性测试全面评价商业银行内部控制体系。实质性测试主要包括详细检查和分析性复核两种(具体描述见附录一)。

　　第五章 内部控制评价的评分标准和等级评定

　　第四十四条 为确保评价结果的可比性，对内部控制的过程或结果评价的项目，均分别设置一定的标准分值，根据评价的实际得分确定被评价机构的评价等级。

　　第四十五条 对内部控制过程的过程评价共设置标准分500分，各过程的标准分值分别是：内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。五个过程评得总分加总后除以5后换算成对过程评价的得分(对内部控制体系各过程主要项目设置的分值见附录二)。

　　内部控制评价的具体对象可以根据评价范围的需要确定，但必须覆盖被评价机构开展的所有业务和管理活动。

　　第四十六条 在对内部控制过程评价时，应按照第三章评价内容的要求，结合本办法第八条的四个方面展开，转换为具体评价问题(评价要点见附录三)，并根据调查测试情况对被评价项目进行综合评分。

　　第四十七条 初次实施内部控制评价时，须对附录二“内部控制过程评价分值表”中所有业务活动、管理活动和支持保障活动进行评价；再次评价时，至少应包括：授信业务、资金业务、存款及柜台业务、主要中间业务、计划财务、会计管理、计算机信息系统等。

　　第四十八条 内部控制过程评价的具体评分标准如下：

　　(一)被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。

　　(二)在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要求的，可得该项分值的百分之三十。

　　(三)在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。

　　(四)在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。

　　第四十九条 在调查和测试过程中遇有业务缺项或问题“不适用”时，评价人员应将涉及到的分值在评价项目总分中扣减。为了保持可比性，在得出其余适用项的总分后，还应将该评价项目的总得分进行调整。调整后的评价项目总得分=(项目所有适用问题得分)/(评价项目总分-不适用问题总分)?100

　　单项分值小计和总分分值不设小数，有小数时四舍五入。

　　第五十条 若涉及到需要采取抽样测试确定评价结论的，应根据以下情况确定：

　　(一)如果在抽样范围内发现违规率在10%(含)以下的，该项评价得满分；在10-30%(含)之间的，可得该评价项目分值的50%；在30%以上的，该项评价不得分。

　　(二)发现险情或事故的，直接扣除该评价项目的分值。

　　第五十一条 内部控制的结果评价。结果评价主要评价内部控制目标的实现情况，对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括十项指标：资本利润率、资产利润率、收入成本比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件损失指标。内控结果评价指标的分值为500分(具体指标和计分方式详见附录二)。

　　银监会可以根据商业银行整体风险情况、宏观经济金融情况和银监会工作的重点，补充、修订或调整有关评价指标及其标准分值。

　　第五十二条 根据过程评价和结果评价综合确定内部控制体系的总分。其中，过程评价占比分权重为70%，结果评价占比分权重为30%，两项得分相加得出综合评价总分(过程评价计分表、结果评价计分表和汇总计分表见附录二)。

　　第五十三条 根据综合评价总分对被评价银行的内部控制体系进行定级，定级评价应按评分标准对被评价银行内部控制项目逐项计算得分，确定评价等级。定级标准为：

　　一级：综合评分90分(含)以上；指被评价机构有健全的内部控制体系，在各个环节均能有效执行内部控制措施，能对所有风险进行有效识别和控制，无任何风险控制盲点，控制措施适宜，经营效果显著。

　　二级：综合评分80-89分；指被评价机构内部控制体系比较健全，在各个环节能够较好执行内部控制措施，能对主要风险进行识别和控制，控制措施基本适宜，经营效果较好。

　　三级：综合评分70-79分；指被评价机构内部控制体系一般，虽建立了大部分内部控制，但缺乏系统性和连续性，在内部控制措施执行方面缺乏一贯的合规性，存在少量重大风险，经营效果一般。

　　四级：综合评分60-69分；被评价机构内部控制体系较差，内部控制体系不健全或重要的内部控制措施没有贯彻执行或无效，管理方面存在重大问题，会计记录失真，业务经营安全性差。

　　五级：综合评分60分以下；被评价机构内部控制体系很差，内部控制体系存在严重缺失或内部控制措施明显无效，存在明显的管理漏洞，经营业务失控，会计记录不可信，存在重大金融风险隐患。

　　上述评分等级适用于对单项评价的定级，对单项评价定级时，应将单项评价的总分换算成百分制。单项评价定级仅用于对比分析，不作为最终结论。

　　若评级结果对外公布，可能会对上市公司造成较大的影响，则可以内部掌握，不对外公布。

　　第五十四条 若被评价机构在评价期内发生重大责任事故，应在内部控制初步评价等级的基础上降低一级。重大责任事故包括：

　　(一)因安全防范措施不当，发生金融诈骗、盗窃、抢劫、爆炸等案件，造成重大影响和损失；

　　(二)因经营管理不善发生挤提事件；

　　(三)业务系统故障，造成重大影响和损失；

　　(四)经查实的重大信访事件。

　　第五十五条 内部控制体系连续在三个评价期内得不到改善的机构，其内部控制评价等级应适当降低；内部控制体系状况不断好转的，应酌情予以适当的加分，但不得提升评价等级。

　　第六章 内部控制评价组织和实施

　　第五十六条 内部控制评价按照“统一领导，分级管理”的原则进行。

　　第五十七条 根据评价的范围，内部控制评价可分为以下层次：

　　(一)银监会及其派出机构对商业银行法人机构的整体评价；

　　(二)银监会对商业银行总部的评价；

　　(三)银监会及其派出机构对商业银行不同层次分支机构的评价。

　　第五十八条 银监会对商业银行法人机构整体的综合评价，取对总部评价得分的70%和抽取部分分支机构评价平均得分的30%，形成最终评级结果。

　　银监会各派出机构对辖内商业银行分支机构的内部控制评价可比照进行。

　　第五十九条 银监会可根据需要委托外部中介机构对商业银行内部控制体系进行评价。受托中介机构和人员必须熟悉商业银行业务和运作，具备内部控制体系建立或评价方面的相关经验。各派出机构选聘中介机构进行内部控制评价时，必须报银监会批准。

　　受托中介机构对商业银行的内部控制评价按照本办法执行。

　　第六十条 银监会及其派出机构应及时整理、分析和掌握被监管机构报送的非现场监管数据、国家审计部门的审计结果和被监管机构的内部审计信息，充分利用监管部门对被监管机构的各种现场检查结果。

　　第六十一条 应当根据风险大小和重要性确定对商业银行及其分支机构内部控制评价的频率和范围，对内部控制整体情况评价的间隔期，一般不超过二年。当商业银行发生重大策略改变、管理层变动、重大的并购或处置、重大的营运方法改变或财务信息处理方式改变等情况，或银监会有监管需要时，应对内部控制整体情况进行评价。

　　第六十二条 对内部控制体系存在缺失的评价对象，银监会或其派出机构应对其内部控制体系的改进情况进行后续跟踪，责令其针对评价发现的违规或风险隐患制定纠正措施，并对纠正情况及有效性进行检查测试。

　　第六十三条 内部控制评价各阶段涉及的有关记录、表格、内部控制评价报告、银监会或其派出机构的监管措施及跟踪监管情况均应作为监管档案妥善保管，评价结果应上报上级机构。

　　第七章 罚 则

　　第六十四条 根据评级结果及评价报告所反映情况，监管机构可针对被评价机构内部控制体系所存在问题的性质及严重程度分别采取以下一项或多项监管措施：

　　(一)约见被评价机构第一负责人或董事长；

　　(二)就评价对象内部控制体系的薄弱环节和存在问题所可能引发的风险，向被评价机构进行提示和警告；

　　(三)要求被评价机构对内部控制体系中存在的问题进行限期整改；

　　(四)加大对内部控制体系存在薄弱环节的机构或业务的现场检查力度及频率；

　　(五)建议更换有关管理层人员；

　　(六)取消有关管理层人员一定期限或终身银行业从业资格；

　　(七)责令对内部控制体系存在严重缺失的业务进行整顿或暂停办理该项业务；

　　(八)延缓或拒绝受理增设分支机构、开办新业务的申请。

　　第六十五条 对内部控制评价中发现的评价对象的违规、违法行为，应根据有关规定，按照其违规、违法行为类型及性质，采取相应处罚措施。

　　第六十六条 未经批准或许可，任何单位和个人不得对外公布对被评价机构的内部控制体系等级评定结果。凡擅自公布等级评定结果，造成重大不良影响的，要追究有关人员的责任。

　　第八章 附 则

　　第六十七条 商业银行应根据本指引制定相应的实施细则并报银监会或其派出机构备案。

　　第六十八条 本办法涉及的重要名词术语解释如下：

　　(一)体系：相互关联或相互作用的一组要素。内部控制体系的要素是内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五个过程。

　　(二)文件：信息及其承载媒体。媒体可以是纸张，计算机磁盘、光盘或其他电子媒体，或其组合；

　　(三)程序：为进行某项活动或过程所规定的途径。程序可以形成文件，也可以不形成文件；当程序形成文件时，通常称为书面程序。

　　(四)风险相关方：与商业银行在风险及其控制方面有利益关系的个人或团体。风险相关方包括风险直接承担者和间接利害关系者，前者如商业银行投资者、顾客或员工，后者如监管机构。

　　(五)内部控制绩效：根据内部控制政策和目标，在控制风险方面所取得的可测量的结果(绩效测量包括内部控制活动和结果的测量)。

　　(六)事故：造成损失的非预期事件。

　　(七)险情：可能造成损失的事件。

　　(八)违规：未满足规定的要求，既可能是人员违规或疏忽造成的，也可能是其他客观原因导致的。

　　(九)预防措施：为消除潜在违规或其他潜在不期望情况的原因所采取的措施。

　　(十)纠正措施：为消除己发现的违规或其他不期望情况的原因所采取的措施。

　　(十一)审核：确定活动及其结果是否符合计划的安排，以及计划安排是否实施并适合于达到内部控制政策和目标的系统检查。

　　第六十九条 本办法适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、外资商业银行、城市商业银行、农村商业银行、农村合作银行和邮政储蓄机构。对政策性银行、城乡信用社和非银行金融机构的评价可参照本办法执行。

　　第七十条 没有进行股份制改造的商业银行、农村合作银行和邮政储蓄机构、政策性银行、城乡信用社和非银行金融机构，应由高级管理层负责内部控制体系的建立、维护和改进，并明确相对独立的决策、监督和执行职责和权限。

　　第七十一条 本办法由中国银行业监督管理委员会负责解释与修订。

　　第七十二条 本办法自发布之日起施行。