（10）內部審計報告是否及時報董事會或董事會審計委員會？

（11）董事會及高級管理層是否采取有效措施保證審計報告中指出的內部控製的缺失得到及時糾正整改？

（12）總行內部審計負責人的聘任和解聘是否經董事會或監事會同意？

6．企業文化

（1）商業銀行是否培育了健康的企業文化？現有企業文化怎樣為內部控製提供適宜的環境？

（2）如何創立和完善企業文化的環境使全行員工樹立預期要求的企業價值觀、企業精神及經營理念？

（3）是否把企業核心價值觀、內部控製原則、風險意識、風險控製、風險防範，以及出現險情或損失的對策等作為對員工的教育內容？

（4）是否製定了員工行為準則或類似規範，並傳達到員工？

（5）員工是否熟悉銀行關於職業道德的規範並確知職業道德標準和違規行為界限及後果？

（6）員工是否明白其職權範圍違規違紀行為的表現形式？

（7）是否建立針對員工違規行為的補救和處罰應急機製？

（8）管理層對員工的違規行為是否進行嚴厲的批評和處理？

（9）管理人員道德水平是否保持高尚，是否以身作則？

7．人力資源

（1）是否確定與風險和內控有關的人員所必要的能力要求（含滿足法律法規要求及監管機構對人員資質要求）？

（2）是否建立及健全激勵約束機製、員工績效考評體係，是否充分體現風險管理和內控體係要求？

（3）是否對高管人員及影響風險和內控人員等重要崗位的招聘、聘用、培訓、考核、調整、出國、離崗和離行進行控製？

（4）是否明確了員工招聘、培訓、考核、獎勵、處罰、晉升等方麵合理的政策和程序？並得到有效執行？

（5）是否搜集了員工工作業績、工作效率及勝任程序等相關信息？

（6）是否采取適當的措施來降低更換員工或員工缺席所帶來的負麵影響（交叉培訓，工作輪換等）？

（7）是否確保員工得到了充分的非技術性能力的培訓（包括人際關係、口頭表達和文字表達能力，客戶服務等）？

（8）是否確保每個員工明確所在行及其所在部門的工作目標？

二、風險識別與評估

有效的內控係統需要識別和不斷地評估影響銀行實現其目標，或者有可能對銀行起負影響的有關風險。這種評估應包括銀行的和銀行組織集團所麵對的全部風險。識別和分析那些妨礙實現各種經營管理目標的風險的活動，構成銀行風險管理決策的前提和依據。在風險管理的政策和戰略製定中，董事會負有最終的責任。風險識別與評估主要包括以下因素。

1．經營與管理活動的風險識別與評估

（1）是否識別和確定了常規和非常規的業務和管理活動？並識別這些活動的風險？

（2）對新識別的風險是否已考慮到其產生根源、路徑及對商業銀行的影響範圍？是否已考慮並識別了本部門的運作過程和活動中因運用計算機係統而帶來的風險？

（3）本部門已識別並確定的主要風險有哪些？是否有風險點的清單？是否確定風險點的風險級別及風險可接受程度？

（4）是否對風險的後果及發生的可能性等進行了評估？評估的結果是否形成文件？文件中所包含的信息是否充分，包括可作為建立內控體係中各項決策的基礎？並為改進內控績效提供衡量的基準？

（5）是否對可接受風險進行定期監測？對不可接受的風險是否製定了相應的控製方案？

（6）當內外部環境和條件發生變化時，是否對風險進行再識別和再評估？並及時更新風險評估文件及傳達到相關人員？再識別和再評估的結果能否確保新的風險及以前未加控製的風險得到識別和控製？

（7）在設立新的分支機構或開辦新的業務時，是否事先製定有關的政策、製度和程序，是否對潛在的風險進行識別和評估，並提出風險防範措施？

（8）能否及時發現由於員工的思想道德及業務素質問題所產生的風險，並重視對員工的法製教育和職業道德教育？

2．法律法規、監管要求和其他要求

（1）是否已建立了相應的程序，以確保商業銀行能及時識別和獲取適用的法律法規、監管要求和其他要求？包括明確信息獲取的渠道、職責等。

（2）是否及時更新法律法規、監管要求和其他要求的信息，並將這些信息傳達給相關員工和其他風險相關方？

（3）是否在已製定的商業銀行規章體係中充分體現應遵循的所有法律法規要求？

（4）是否采取有效措施管理全行反洗錢工作？

3．內部控製方案

（1）是否為實現內控目標製定了內控方案？內控方案如何運用風險識別與評估結果的信息？確定了哪些控製要點和控製措施？

（2）內控方案是否包括了各項任務的職責權限和相應的控製策略、方法、資源和時限要求？並形成了文件？

（3）內控方案是否考慮了由方案自身帶來的新的風險？方案是否涉及業務流程、管理活動等重大變化？

三、內部控製措施

為保證銀行各種經營管理活動目標的實現，需要指導員工實施管理指令，防範和化解風險，執行相關政策和程序，即各種控製活動。這些活動包括高層檢查、直接管理、審批、授權、核實、信息加工、確定指標、會計控製、資產保全、職責分工等。

1．運行控製

（1）董事會與高級管理層是否及時檢查商業銀行在實現內部控製目標方麵的進展？高級管理層是否根據檢查情況提出內部控製缺失，督促職能管理部門改進？

（2）各級職能管理部門是否審查收到的經營管理情況和特別情況專項報表或報告？是否提出問題，並要求采取糾正整改措施？

（3）對實物控製是否實行實物限製、雙重保管和定期盤存？

（4）是否審查遵循風險限製方麵的合規性，並在不合規的情況下繼續跟蹤檢查？

（5）是否根據若幹限製條件對各項業務、管理活動進行審批與授權，明確各級管理責任？

（6）是否驗證各項業務、管理活動，以及所采用的風險管理模型的結果，並定期核實相關情況？是否及時將發現的問題向職能管理部門報告？

（7）是否實行不兼容崗位的適當分離？

（8）是否針對已識別的風險和需采取的控製措施，確定其運作過程和活動？

（9）對已確定的過程和活動如何實施控製？

（10）對缺乏程序可能導致偏離內控政策和目標運行的情況，建立並保持了哪些程序文件，在程序中是否規定了操作方法和標準？

（11）在實施和運行中按照程序規定如何實施持續記錄和監督檢查？

（12）運用計算機係統采取了哪些內控措施？

（13）對購置和使用的設施、設備、係統和服務中已識別的風險是否建立並保持控製程序實施有效控製，並以什麼方式將有關程序和要求通報供方，使其符合控製要求？

（14）為從根本上消除或降低風險，針對產品和業務、運行程序和工作組織設計及對人員適任能力要求建立了哪些控製程序？

（15）是否建立有效的核對、監控製度？對重要業務是否實行雙簽製度及監控授權、授信執行情況？

（16）是否建立完整的會計、統計和業務檔案？

2．計算機係統環境下的控製

（1）是否建立信息安全管理體係？

（2）是否對計算機信息係統從立項、開發、驗收、運行和維護實施全過程管理？例如，項目立項時技術部門是否與業務部門進行了充分論證和良好溝通；程序開發環境是否與程序生產環境嚴格分離；計算機軟件和網絡係統從開發環境轉入生產環境之前是否進行充分的壓力測試？

（3）對外購計算機軟件、硬件設備是否嚴格審查供應商的資格和資信狀況？是否明確其產品在使用期間應當承擔的使用、維護和其他責任，在使用前是否嚴格進行安全性測試確保產品正常使用和有效維護？

（4）計算機機房建設是否符合國家有關標準？是否加強計算機機房管理，出入按規定審批並保留記錄，確保硬件、各種存貯介質的安全？

（5）是否建立和健全網絡管理係統，有效地管理網絡的安全、故障、性能、配置等，並對接入國際互聯網實施有效的安全管理？

（6）采取哪些措施確保計算機信息係統的安全（如更新係統、認證、加密、內容過濾、入侵監測、安全設置、防止病毒、黑客攻擊、軟件補丁程序等以確保計算機信息係統安全）？有關程序和要求是否及時更新？

（7）網絡設備操作係統、數據庫係統、應用程序是否設置必要日誌，滿足內外審計需要？

（8）對各類數據信息、數據操作、數據備份介質的存放、轉移、銷毀是否有嚴格的管理製度？

（9）計算機處理業務如何確保可複核性和可追溯性？應用程序是否為有關的審計和檢查預留接口？

（10）電子銀行服務是否具備確保識別客戶身份，安全認證等功能，保證交易安全，防範操作風險？

（11）計算機操作係統的變更是否有明確的規章製度（對內和外包係統），可靠的技術手段，滿足合法性、正確性、安全性、可複核性和可追溯性的係統變更控製要求，並對軟件版本進行管理？

（12）是否建立設備管理係統，對設備驗收、入庫、配發、維護、變更、損益、報廢等環節進行管理？

（13）是否建立遠程備份？

（14）是否提供對電子銀行客戶的培訓、客戶服務和相關支持工作？如何與風險控製方案相結合？