商业银行内控评价汇总资料（DOC 62页）

银监会负责人就《商银内控评价试行办法》答问中新网1月7日电据中国银监会官方网站消息，日前，中国银监会制定发布了《商业银行内部控制评价试行办法》(以下简称《办法》)。银监会有关部门负责人就《办法》的有关问题回答了记者的提问。问：为什么要出台《商业银行内部控制评价试行办法》？答：近年来国内商业银行频繁发生重大金融案件，表明商业银行自身免疫力还不高，内部控制仍存在严重缺陷，主要表现在没有形成系统的内部控制制度，缺乏主动的风险识别与评估机制，内部控制措施零散、不系统，监督检查环节不到位，内部控制结果不稳定，缺乏对内部控制持续改进的驱动力，风险管理的长效机制没有从根本上得到建立。为改变这一状况，银监会经长时间酝酿并在广泛征求各方面意见和借鉴国际先进做法的基础上，出台《商业银行内控评价试行办法》(以下简称《办法》)，旨在通过建立一套对商业银行内部控制评价的框架和方法，规范和加强对商业银行内部控制的评价，督促其进一步建立内部控制体系，健全内部控制机制，形成风险管理的长效机制，保证商业银行安全稳健运行。问：内部控制评价的目标是什么？答：商业银行内部控制评价的目标是通过评价商业银行内部控制体系的充分性、合规性、有效性和适宜性，促使商业银行切实加强内部控制体系的建设并认真执行。具体包括以下几个方面：(一)促进商业银行严格遵守国家法律法规、监管要求和商业银行审慎经营的要求；(二)促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现；(三)促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性；(四)促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行；(五)促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。问：制定《办法》遵循的主要原则有哪些？答：第一、与国际惯例接轨。1998年巴塞尔委员会在FRAMEWORKFORINTERNALCONTROLSYSTEMSINBANKINGORGANISATIONS中提出了商业银行内部控制体系框架，强调商业银行建立内部控制体系的重大意义。目前，大多数发达市场经济国家的商业银行已根据巴塞尔建议的内部控制框架建立了完善的内部控制体系，我国银行业监管部门也把内控体系评价作为监管的一项主要内容。该《办法》充分吸收巴塞尔《银行机构内部控制体系框架》、并广泛参考美国和欧洲等国际先进的监管理念和先进经验，把国际组织推荐的管理体系的原理和方法引入内部控制领域。第二、与现有的法律法规的衔接。《办法》充分考虑与现有法规如《中国银行业监督管理法》、《商业银行内部控制指引》等的要求和衔接，同时考虑了对商业银行内部控制监管的新要求。第三、前瞻性与适应性相结合。《办法》既充分考虑了国有商业银行风险的特点和实际情况，又充分考虑了商业银行的发展；既充分考虑了各类商业银行内部控制和风险的共性，又充分兼顾了不同商业银行的业务特点和差别监管要求，从而使《办法》既具导向性，又具可操作性。问：《办法》的主要内容包括那些？答：《办法》共分为八章七十二条。第一章总则，规定了办法制定的法律依据、相关的定义、组织实施主体以及评价人员的资质等；第二章内部控制评价目标和原则；第三章内部控制评价内容，分为内控环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正等五个过程方面；第四章内部控制评价的程序和方法；第五章内部控制评价的评分标准和等级评定，明确了过程评价和结果评价的计分方法、评价标准、评分调整和评价报告的内容；第六章内部控制评价的组织和实施，规定了内控评价的层次、组织实施、评价频率、文档控制等；第七章罚则；第八章附则。此外，《办法》还有结果评价指标和说明的附录。问：与以往内部控制方面有关制度办法相比,《办法》有哪些新的思路？答：与以往内部控制方面有关制度办法相比，《办法》具有鲜明的特点，充分体现了以下两个新的监管思路：第一，体系评价的思想。《办法》提出内部控制体系是商业银行为实现经营管理目标，通过制定和实施系统化的政策、程序和方案，对风险进行识别、评估、控制、监测和改进的动态过程和机制，由内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五个相互关联、相互作用的过程构成。因此，对商业银行内部控制的评价将侧重评价商业银行的内部控制体系。第二，过程评价的思想。《办法》的内部控制评价包括过程评价与结果评价，但是更重视内部控制过程的充分性、合规性、有效性、适宜性的评价，结果评价是对内部控制主要目标实现程度的评价。问：《办法》的科学性体现在那些方面？答：《办法》充分借鉴了国际上许多优秀评价模式的优点，其科学性体现在以下三个方面：第一，评价内容突出重点。不仅包括结果评价，而且更重视过程评价，过程评价的分值权重要高于结果评价，充分体现了国际上银行当局应遵循的准则，即重视过程控制的理念，突出了科学和严格的内部控制过程是实现目控制结果的思想。同时对每一项目的评价均考虑了对其控制措施有效性的评价，体现了内部控制评价的根本目的。第二，评价思路逻辑严密。《办法》针对每一项过程，总是从充分性、合规性、有效性、适宜性四个方面展开，即关注四个问题：过程和风险是否已被充分识别；过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持；控制措施是否有效；控制措施是否适宜。四个方面层层递进，环环相扣，形成一个完整的评价链条。第三，定性评价和定量评价相结合。在具体评价方法上，《办法》既包括定性评价，也包括定量评价，对每一项具体的评价项目，要通过评价技术进行定性分析，同时还要把评价的结果按照一定标准予以量化，以便于评价的可比性问：《办法》有那些特点？答：《办法》具有以下几个主要特点：第一，《办法》强调了对体系的系统性评价。《办法》提出并强调内部控制体系的概念，有利于督促、引导商业银行针对风险建立一套系统完整的过程控制机制。第二，《办法》引入过程评价，这种评价思路不仅反映各行内部控制的差异性(结果评价)，更强调商业银行自身内控管理水平和能力的建设(过程评价)，具有现实意义。第三，通过要求商业银行建立文件化的内控体系，并通过文件评价和实际活动评价，为监管提供了一种新的、有效的监管思路和途径，通过评价活动自身的标准化，客观上可以减小由于监管者与商业银行之间对内控能力评价的差异性和不确定性，增强监管活动自身的规范和有效。第四，明确了商业银行建立符合监管基本要求的内控体系是商业银行内在的需求和责任，并通过内控评价进一步明确了监管部门的作用，形成内部控制和外部监管的互动机制。第五，评价范围可灵活选择。根据评价目的和其他要求，既可进行全面的系统评价，也可选择一项或多项业务单独评价。问：《办法》规定评价的范围是什么？对哪些机构适用？答：因为商业银行内部控制体系包括所有的活动和机构，因此银行监管部门对商业银行内部控制的评价也应覆盖所有的活动和机构。从覆盖活动范围来看，《办法》要求对商业银行的所有业务活动、管理活动和支持保障活动都进行评价，对授信业务、资金业务、存款及柜台业务、中间业务、计划财务、会计管理、计算机信息系统等重要活动，要每次评价时均覆盖，对其他活动在每三次再次评价周期内应至少覆盖一次。从覆盖机构范围来看，办法要求对商业银行总部要每年覆盖，对分支机构要在每一个再评价周期内全部覆盖。《办法》适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、外资商业银行、城市商业银行、农村商业银行、农村合作银行和邮政储蓄机构。对政策性银行、城乡信用社和非银行金融机构的评价可参照执行。问：内控评价与监管机构的日常监督检查有什么区别？答：日常监督检查的重点是业务监管，其目的是对业务的合规性和经营结果进行检查，是针对可能存在问题的“负面评价”，是针对“点”的监管。而内控评价是对内控体系的监管，是对业务过程的全面评价，是对商业银行内部控制水平的“正面评价”，是针对“面”的监管。内部控制评价可以形成确定日常监督检查的基础，即依据内部控制评价的结果确定日常监督检查的重点业务区域，使日常监督检查更具有针对性。问：内部控制评价与对股份制商业银行风险评级的关系如何？答：股份制商业银行风险评级是针对股份制商业银行经营要素的综合评价，包括资本充足状况评价、资产安全状况评价、管理状况评价、盈利状况评价、流动性状况评价和市场风险敏感性状况评价以及在此基础上加权汇总后的总体评价，其中在管理状况评价中包括内部控制评价的内容。内部控制评价仅仅针对商业银行的内部控制的评价，尽管对体现内部控制结果的一些风险指标进行评价，但评价的根本目的还是在于通过结果反观内部控制过程和体系。风险评级是对风险的综合评价，而内部控制评价是针对管理活动、业务活动等的单项评价。问：《办法》对评价人员有什么要求？答：商业银行内部控制评价是一种全新的评价方式，其实质是一种体系评价和过程评价的思想。这种评价方式与业务检查方法有所不同，业务检查仅要求检查人员对照检查要求看其是否符合规定，相对比较容易。而内控评价要求评价人员能够从系统性角度收集客观证据，从充分性、合规性、有效性、适宜性四个层次对商业银行的内部控制进行客观公正地评价，因此，评价人员必须具备较强的系统思维和分析能力、综合能力和判断能力。为了确保评价人员有能力开展评价工作，《办法》第六条要求商业银行内部控制评价人员应经过有关内部控制评价知识和技能的培训，具备相应的资质和能力问：内部控制评价结果如何使用？答：商业银行内部控制的评价结果是监管部门的内部信息，任何单位和个人均不得对外擅自公布等级评定结果，凡擅自公布等级评定结果，造成重大不良影响的，要追究有关人员的责任。如果需要公布，需经批准。内部控制评价结果是监管部门采取监管措施的重要依据和参考，监管部门针对被评价机构内部控制体系所存在问题及严重程度分别采取以下一项或多项监管措施：(一)约见被评价机构的行长或董事长；(二)就评价对象内部控制体系的薄弱环节和存在问题所可能引发的风险，向被评价机构进行提示和警告；(三)要求被评价机构对内部控制体系中存在的问题进行限期整改；(四)加大对内部控制体系存在薄弱环节的机构或业务的现场检查力度及频率；(五)建议更换有关管理层人员；(六)取消有关管理层人员一定期限或终身银行业从业资格；(七)责令对内部控制体系存在严重缺失的业务进行整顿或暂停办理该项业务；(八)延缓或拒绝受理增设分支机构、开办新业务的申请。(九)其他。问：目前国内银行因历史原因造成的差异较大，如何确保评价的公正性？答：不同的商业银行客观上都必然存在一定程度的差异性。而对于由历史原因造成的目前我国商业银行在资产质量、资本充足率等方面存在的差异，《办法》在一些具体做法上适当予以区别处理。但从管理的角度讲，无论资产质量客观现状如何，在内部控制的要求上对所有商业银行应完全一致，不能松紧不一，不能“一行一策”。近几年，随着外部环境的改善和商业银行内部管理的加强，商业银行整体内部控制水平已有了较大的提高，为明确商业银行内部控制体系基本要求和统一具体监管措施奠定了基础。因此，通过内部控制评价揭示各商业银行的内部控制水平的差异，有利于促进商业银行不断改进内部控制。此外，为确保评价的公正性，《办法》重结果更重过程，从某种意义上说，今天的“内控结果”是由于昨日的“内控过程”产生的，而今天的“内控过程”则直接影响明天的“内控结果”，从仅关注“结果”，到更关注“过程”，正是《办法》的导向所在。问：内部控制评价的频率如何规定？答：一般情况下，内部控制评价的频率有关规定如下：(一)银监会及其派出机构对商业银行法人机构的整体评价，整体评价每两年至少一次；(二)银监会对商业银行总部的评价，每两年进行一次；(三)银监会及其派出机构对商业银行不同层次分支机构的评价，评价每三年一个周期，每年至少覆盖三分之一以上的分支机构，三年必须覆盖全部分支机构。同时《办法》规定，应当根据风险大小和重要性确定对商业银行及其分支机构内部控制评价的频率和范围，当商业银行发生重大策略改变、管理层变动、重大的并购或处置、重大的营运方法改变或财务信息处理方式改变等情况，或