首頁
排行
完本
足跡

正文 附錄商業銀行內部控製評價試行辦法(1 / 3)

商業銀行內部控製評價 蔣建華

(中國銀行業監督管理委員會令2004年第9號)

《商業銀行內部控製評價試行辦法》已經2004年8月20日中國銀行業監督管理委員會第25次主席會議通過,現予公布,自2005年2月1日起施行。

主席劉明康

二○○四年十二月二十五日

商業銀行內部控製評價試行辦法

第一章總則

第一條為規範和加強對商業銀行內部控製的評價,督促其進一步建立內部控製體係,健全內部控製機製,為全麵風險管理體係的建立奠定基礎,保證商業銀行安全穩健運行,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規,製定本辦法。

第二條商業銀行內部控製評價是指對商業銀行內部控製體係建設、實施和運行結果獨立開展的調查、測試、分析和評估等係統性活動。

內部控製評價包括過程評價和結果評價。過程評價是對內部控製環境、風險識別與評估、內部控製措施、監督評價與糾正、信息交流與反饋等體係要素的評價。結果評價是對內部控製主要目標實現程度的評價。

第三條商業銀行內部控製體係是商業銀行為實現經營管理目標,通過製定並實施係統化的政策、程序和方案,對風險進行有效識別、評估、控製、監測和改進的動態過程和機製。

第四條商業銀行應建立並保持係統、透明、文件化的內部控製體係,定期或當有關法律法規和其他經營環境發生重大變化時,對內部控製體係進行評審和改進。

第五條商業銀行內部控製評價由中國銀行業監督管理委員會(以下簡稱銀監會)及其派出機構組織實施。

第六條內部控製評價人員應接受有關內部控製評價知識和技能的培訓,具備相應的資質和能力。

第二章評價目標和原則

第七條商業銀行內部控製評價的目標主要包括:

(一)促進商業銀行嚴格遵守國家法律法規、銀監會的監管要求和商業銀行審慎經營原則。

(二)促進商業銀行提高風險管理水平,保證其發展戰略和經營目標的實現。

(三)促進商業銀行增強業務、財務和管理信息的真實性、完整性和及時性。

(四)促進商業銀行各級管理者和員工強化內部控製意識,嚴格貫徹落實各項控製措施,確保內部控製體係得到有效運行。

(五)促進商業銀行在出現業務創新、機構重組及新設等重大變化時,及時有效地評估和控製可能出現的風險。

第八條內部控製評價應從充分性、合規性、有效性和適宜性等四個方麵進行:

(一)過程和風險是否已被充分識別。

(二)過程和風險的控製措施是否遵循相關要求、得到明確規定並得以實施和保持。

(三)控製措施是否有效。

(四)控製措施是否適宜。

第九條內部控製評價應遵循以下原則:

(一)全麵性原則。評價範圍應覆蓋商業銀行內部控製活動的全過程及所有的係統、部門和崗位。

(二)統一性原則。評價的準則、範圍、程序和方法等應保持一致,以確保評價過程的準確及評價結果的客觀和可比。

(三)獨立性原則。評價應由銀監會或受委托評價機構獨立進行。

(四)公正性原則。評價應以事實為基礎,以法律法規、監管要求為準則,客觀公正,實事求是。

(五)重要性原則。評價應依據風險和控製的重要性確定重點,關注重點區域和重點業務。

(六)及時性原則。評價應按照規定的時間間隔持續進行,當經營管理環境發生重大變化時,應及時重新評價。

第三章評價內容

第一節內部控製環境

第十條商業銀行公司治理。

商業銀行應建立以股東大會、董事會、監事會、高級管理層等為主體的公司治理組織架構,保證各機構規範運作,分權製衡。

(一)完善股東大會、董事會、監事會及下設的議事和決策機構,建立議事規則和決策程序。

(二)明確董事會和董事、監事會和監事、高級管理層和高級管理人員在內部控製中的責任。

(三)建立獨立董事製度,對董事會討論事項發表客觀、公正的意見。

(四)建立外部監事製度,對董事會、董事、高級管理層及其成員進行監督。

第十一條董事會、監事會和高級管理層責任。

董事會負責保證商業銀行建立並實施充分而有效的內部控製體係;負責審批整體經營戰略和重大政策並定期檢查、評價執行情況;負責確保商業銀行在法律和政策的框架內審慎經營,明確設定可接受的風險程度,確保高級管理層采取必要措施識別、計量、監測並控製風險;負責審批組織機構;負責保證高級管理層對內部控製體係的充分性與有效性進行監測和評估。

監事會負責監督董事會、高級管理層完善內部控製體係;負責監督董事會及董事、高級管理層及高級管理人員履行內部控製職責;負責要求董事、董事長及高級管理人員糾正其損害商業銀行利益的行為並監督執行。

高級管理層負責製定內部控製政策,對內部控製體係的充分性與有效性進行監測和評估;負責執行董事會決策;負責建立識別、計量、監測並控製風險的程序和措施;負責建立和完善內部組織機構,保證內部控製的各項職責得到有效履行。

董事會和高級管理層還應培育良好的內部控製文化,提高員工的風險意識和職業道德素質,建立通暢的內外部信息溝通渠道,確保及時獲取與內部控製有關的人力、物力、財力、信息以及技術等資源。

第十二條內部控製政策。

商業銀行應在各項業務和管理活動中製定明確的內部控製政策,規定內部控製的原則和基本要求,並為製定和評審內部控製目標提供指導。內部控製政策應:

(一)與商業銀行的經營宗旨和發展戰略相一致;

(二)體現持續改進內部控製的要求;

(三)符合現行法律法規和監管要求;

(四)體現出側重控製的風險類型;

(五)體現出對不同地區、行業、產品的風險控製要求;

(六)傳達給適用崗位的員工,指導員工實施風險控製措施;

(七)可為風險相關方所獲取,並尋求互利合作;

(八)定期進行評審,確保其持續的適宜性和有效性。

第十三條內部控製目標。

商業銀行應在相關職能和層次上建立並保持內部控製目標。內部控製目標應符合內部控製政策,並體現對持續改進的要求。

在建立和評審內部控製目標時,應考慮法律法規、監管要求和其他要求,以及技術、財務、經營和風險相關方等因素,尤其應考慮監管部門的內部控製指標要求。

內部控製目標應可測量。有條件時,目標應用指標予以量化。

第十四條組織結構。

商業銀行應建立分工合理、職責明確、報告關係清晰的組織結構,明確所有與風險和內部控製有關的部門、崗位、人員的職責和權限,並形成文件予以傳達。特別應考慮:

(一)建立相應的授權體係,實行統一法人管理和法人授權。

(二)必要的職責分離,以及橫向與縱向相互監督製約關係。

(三)涉及資產、負債、財務和人員等重要事項變動均不得由一個人獨自決定。

(四)明確關鍵崗位、特殊崗位、不相容崗位及其控製要求。

(五)建立關鍵崗位定期或不定期的人員輪換和強製休假製度。

商業銀行應設立負有內部控製體係建立、實施特殊責任的專門委員會或部門,明確其責任、權限和報告路線。

商業銀行應設立全行係統垂直管理、具有充分獨立性的內部審計部門。內部審計部門應配備具有相應資質和能力的審計人員;應有權獲得商業銀行的所有經營、管理信息;應根據對轄屬機構的風險評級結果確定審計頻率,以及對機構和業務的審計覆蓋率,定期或不定期對內部控製的健全性和有效性實施檢查、評價;應及時向董事會或董事會審計委員會提交審計報告;董事會及高級管理層應保證審計報告中指出的內部控製的缺失得到及時糾正整改;總行內部審計負責人的聘任和解聘應當經董事會或監事會同意。

第十五條企業文化。

商業銀行應培育健康的企業文化,對企業文化的內涵及其策劃、滲透、評估與改進做出明確的規定。特別應向員工傳達遵守法律法規和實施內部控製的重要性,引導員工樹立合規意識和風險意識,提高員工職業道德水準,規範員工職業行為。

第十六條人力資源。

商業銀行應完善人力資源政策和程序,確保與風險和內部控製有關人員具備相應的能力和意識。

商業銀行應明確與風險和內部控製有關人員的適任條件,明確有關教育、工作經曆、培訓和技能等方麵的要求,以確保相關人員的勝任。

高級管理人員必須滿足監管機構對高級管理人員資質的要求。

商業銀行應製定並保持培訓計劃,以確保高級管理層和全體員工能夠完成其承擔的內部控製方麵的任務和職責。培訓計劃應定期評審,並應考慮不同層次員工的職責、能力和文化程度以及所麵臨的風險。

商業銀行應對員工引進、退出、選拔、績效考核、薪酬、福利、專業技術職務管理處罰等日常人事管理做出詳細規定,並充分考慮人力資源管理過程中的風險。

第二節風險識別與評估

第十七條經營管理活動風險識別與評估。

商業銀行應建立和保持書麵程序,以持續對各類風險進行有效的識別與評估。商業銀行的主要風險包括信用風險、市場風險(含利率風險)、操作風險、國家和轉移風險、流動性風險、法律風險以及聲譽風險等。

應識別並確定常規和非常規的業務和管理活動,並識別這些活動中的風險(無論是否由內部產生),考慮其類型、來源及其影響範圍,特別應考慮計算機係統的運用可能帶來的風險。

應依據法律法規、監管要求以及內部控製政策確定風險是否可接受,以確定是否進一步采取措施。風險可接受時,應監測並定期評審,以確保其持續可接受;風險不可接受時,應製定控製措施。

商業銀行對各類風險進行識別與評估時應充分考慮內部和外部因素。其中,內部因素包括組織結構的複雜程度、銀行業務性質、機構變革以及員工的流動等;外部因素包括經濟形勢的波動、行業變動趨勢等。

當環境和條件發生變化時,應及時對風險進行再識別和再評估,以確保任何新的和以前未曾予以控製的風險得到識別和控製。

風險識別與評估應:

(一)依據業務範圍、性質和時限主動進行。

(二)評估風險的後果、概率和風險級別。

(三)必要時開發並運用風險量化評估的方法和模型。

第十八條法律法規、監管要求和其他要求的識別。

商業銀行應建立並保持識別和獲取適用法律法規、監管要求和其他要求的程序,作為風險識別與評估、製訂控製目標和控製方案的依據。

商業銀行應及時更新法律法規、監管要求和其他要求的信息,並將這些信息傳達給相關員工和其他風險相關方。

第十九條內部控製方案。

商業銀行應製定內部控製方案,以控製已識別的不可接受風險。內部控製措施方案應包括以下內容:

(一)為實現對風險的控製而規定的相關職責與權限。

(二)控製的策略、方法、資源需求和時限要求。

若涉及組織結構、流程、計算機係統等方麵的重大變更,應考慮可能產生的新風險。

第三節內部控製措施

第二十條運行控製。

商業銀行應確定需要采取控製措施的業務和管理活動,依據所策劃的控製措施或已有的控製程序對這些活動加以控製。

上一章 書頁/目錄 下一頁