《商业银行内部控制试行评价办法》和《商业银行内部控制指引》培训讲义.ppt

《《商业银行内部控制试行评价办法》和《商业银行内部控制指引》培训讲义.ppt》由会员分享，可在线阅读，更多相关《《商业银行内部控制试行评价办法》和《商业银行内部控制指引》培训讲义.ppt（90页珍藏版）》请在麦多课文档分享上搜索。

1、商业银行内部控制试行评价办法和商业银行内部控制指引学习,理解内控 内控体系评价,目录,如何理解内控体系？,第十条 商业银行公司治理。 商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作，分权制衡。（一）完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序。 （二）明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任。（三）建立独立董事制度，对董事会讨论事项发表客观、公正的独立意见。（四）建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。,1.1内部控制环境公司治理,第十一条 董事会、监事会和

2、高级管理层责任 董事会负责保证商业银行建立并实施充分而有效的内部控制体系；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保商业银行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。 监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。 高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测

3、和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。 董事会和高级管理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。,1.1内部控制环境三会一层责任,第十二条 内部控制政策商业银行应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。内部控制政策应： （一）与商业银行的经营宗旨和发展战略相一致； （二）体现持续改进内部控制的要求； （三

4、）符合现行法律法规和监管要求； （四）体现出侧重控制的风险类型； （五）体现出对不同地区、行业、产品的风险控制要求； （六）传达给适用岗位的员工，指导员工实施风险控制措施； （七）可为风险相关方所获取，并寻求互利合作； （八）定期进行评审，确保其持续的适宜性和有效性。,1.1内部控制环境内部控制政策,第十三条 内部控制目标商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。 在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监管部门的内部控制指标要求。 内部控制目标应可测量。

5、有条件时，目标应用指标予以量化。,1.1内部控制环境内部控制目标,第十四条 组织结构商业银行应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有部门、岗位、人员的职责和权限，并形成文件予以传达。特别应考虑： （一）建立相应的授权体系，实行统一法人管理和法人授权。 （二）必要的职责分离，以及横向与纵向相互监督制约关系。 （三）涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。 （四）明确关键岗位、特殊岗位、不相容岗位及其控制要求。 （五）建立关键岗位定期或不定期的人员轮换和强制休假制度商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路

6、线。,1.1内部控制环境组织结构,第十四条 组织结构（续）商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员；应有权获得商业银行的所有经营、管理信息；应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价；应及时向董事会或董事会审计委员会提交审计报告；董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改；总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。,1.1内部控制环境组织结构（续）,第十五条 企业文化。 商业银行应培育健康的企业文化，对

7、企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。,1.1内部控制环境企业文化,第十六条 人力资源商业银行应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。 商业银行应明确与风险和内部控制有关人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。高级管理人员必须满足监管机构对高级管理人员资质的要求。 商业银行应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定

8、期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。 商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。,1.1内部控制环境人力资源,1.1内部控制环境-条款小结,属种关系：在层次结构中，下层概念继承了上层概念的所有特征 从属关系：在层次结构中，下层概念形成了上层概念的组成部分 关联关系：在概念体系中，概念与概念之间具有某种内在联系。,概念关系及图示,1.1内部控制环境-条款小结,1.1内部控制环境-条款小结,1.2风险识别与评估风评,第十七条 经营管理活动风险识别与评估 商业银行应建立和

9、保持书面程序，以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、操作风险、市场风险、国家和转移风险、利率风险、流动性风险、法律风险以及声誉风险等。 应识别并确定常规和非常规的业务和管理活动，并识别这些活动中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围，特别应考虑计算机系统的运用可能带来的风险。 应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评审，以确保其持续可接受；风险不可接受时，应制定控制措施。,1.2风险识别与评估风评（2）,第十七条 经营管理活动风险识别与评估（续） 商业银行对各类风险进行

10、有效的识别与评估时应充分考虑内部和外部因素。其中，内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等；外部因素包括经济形势的波动、行业变动趋势等。当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。 风险识别与评估应： （一）依据业务范围、性质和时限主动进行。 （二）评估风险的后果、概率和风险级别。 （三）必要时开发并运用风险量化评估的方法和模型。,风险的定义（1）,信用风险（credit risk）：是指由于借款人或交易对手不能履约或履约意愿变化所带来的风险。 市场风险（market risk）：是指由于市场价格的

11、不利变动使银行的表内和表外头寸遭受损失的风险。 操作风险（operational risk）：是指由于不完善的或失效的内部程序、人员、系统或外部事件导致损失的风险。 流动性风险（liquidity risk）：是指银行无力为负债的减少或资产的增加提供融资，即当银行流动性不足时，它无法以合理的成本迅速增加负债或变现资产获得足够的资金，从而带来损失的可能。,利率风险（interest rate risk）：是指银行的财务状况在利率波动时出现损失的可能。利率风险不仅影响银行的盈利水平，也影响银行资产、负债和表外金融工具的经济价值。 法律风险（legal risk）：是指因现行法律不完善、不明确以及法

12、律修改，不完善、不正确的法律意见、文件，交易行为违反法律和监管规定等原因导致银行损失的可能。 国家和转移风险（country and transfer risk）：是指由于非正常的、对所有贷款或交易头寸都产生风险的原因，一国的主权借款人可能无力或不愿意、而其他借款人或交易对手可能无力履行其对外义务所产生的风险。 声誉风险（reputational risk）：是指由于银行操作失误、违反法规、经营不善及其他问题而带来的银行市场形象上的不利影响。,风险的定义（2）,操作风险识别评估流程介绍,（1）流程梳理和分析 （2）风险识别 （3）确定风险 （4）确定风险是否可承受 （5）制定风险控制措施计划（

13、如有必要） （6）评审措施计划的充分性,风险后果等级,风险可能性等级,风险等级矩阵,风险等级含义,风险等级与控制措施,1.2风险识别与评估法规识别,第十八条 法律法规、监管要求和其他要求的识别商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。 商业银行应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。,1.2风险识别与评估内部控制方案,第十九条 内部控制方案 商业银行应制定内部控制方案，以控制已识别的不可接受风险。内部控制措施方案应包括以下内容： （一）为实现对风险的控制而规定的相关职

14、责与权限。 （二）控制的策略、方法、资源需求和时限要求。 若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑可能产生的新风险。,1.2风险识别与评估-条款小结,1.2风险识别与评估-条款小结,1.3内部控制措施运行控制,第二十条 运行控制 商业银行应确定需要采取控制措施的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。 （一）控制措施包括： 1.高层检查。董事会与高级管理层要求下级部门及时报告经营管理情况和特别情况，以检查内部控制的实施状况以及在实现内部控制目标方面的进展。高级管理层应根据检查情况提出内部控制缺失，督促职能管理部门改进。 2.行为控制。各级职能管

15、理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。 3.实物控制。主要的控制措施包括实物限制、双重保管和定期盘存。 4.风险暴露限制的审查。审查遵循风险暴露限制方面的合规性，违规时继续跟踪检查。 5.审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级管理责任。,1.3内部控制措施运行控制（2）,第二十条 运行控制（续） 6.验证与核实。验证各项业务、管理活动，以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，向职能管理部门报告。 7.不兼容岗位的适当分离。实行适当的职责分工，认定潜在的利益冲突并使

16、之最小化。 （二）控制要点包括： 1.对于可能导致偏离内部控制政策、目标的运行情况，应建立并保持书面程序和要求，并在程序中规定操作和控制标准。 2.对于重要活动应实施连续记录和监督检查。 3.在可能的情况下，应考虑运用计算机系统进行控制。 4.对于采购或外包的设施、设备、系统和服务中已识别的风险，应建立并保持控制程序，并将有关程序和要求通报供方，确保其遵守商业银行相关的控制要求。 5.对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序。,1.3内部控制措施计算机环境控制,第二十一条 计算机系统环境下的控制 商业银行应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对

17、硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。,1.3内部控制措施应急准备与处置,第二十二条 应急准备与处置 商业银行应建立并保持预案和程序，以识别可能发生的意外事件或紧急情况（包括计算机系统）。意外事件和紧急情况发生时，应及时做出应急处置，以预防或减少可能造成的损失，确保业务持续开展。 商业银行应定期检查、维护应急的设施、设备和系统，确保其处于适用状态。如可行，应定期测试应急预案

18、。 商业银行应评审其应急预案，特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况（包括事故、险情）的性质相适应。,1.3内部控制措施-条款小结,1.3内部控制措施-条款小结,1.4监督评价与纠正绩效监测,第二十三条 内部控制绩效监测 商业银行应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。 监测内容包括： （一）内部控制目标实现程度。 （二）法律、法规及监管要求的遵循程度。 （三）事故、险情和其他不良的内部控制绩效的历史情况。,1.4监督评价与纠正违规处理,第二十四条 违规、险情、事故处置和纠正与预防措施。 商业银行应建立并保持书面程序，对违规、险

19、情、事故的发现、报告、处置和纠正与预防措施做出规定，包括： （一）发现违规、险情、事故并及时报告，必要时，可越级报告。 （二）及时处置违规、险情、事故。 （三）制定纠正与预防措施，防止违规、险情、事故的发生和再发生，并与问题的大小和风险危害程度相一致。 （四）纠正与预防措施在实施之前应进行风险评估。 （五）实施并跟踪、验证纠正与预防措施。 （六）险情和事故的责任追究。,1.4监督评价与纠正体系评价,第二十五条 内部控制体系评价 商业银行应建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。 评

20、价应考虑活动的风险评估结果、业务和管理流程及相关区域的状况和以前的评价结果等，覆盖体系范围内的所有活动。 可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因，并验证所采取措施的效果。 评价应由与评价的活动无直接责任的人员进行，评价人员应具备相应的知识，能够胜任评价工作。,1.4监督评价与纠正管理评审,第二十六条 管理评审 董事会应采取措施保证定期对内部控制状况进行评审，确保体系得到持续、有效的改进。 （一）管理评审应包括以下方面的内容： 1.内部控制体系评价的结果。 2.内部控制政策执行情况和内部控制目标实现情况。 3.对内部控制体系有重要影响的外部信息，如法律、法

21、规的重大变化。 4.组织结构的重大调整。 5.事故和险情以及重大纠正和预防措施的状况。 6.以往管理评审的跟踪情况。 7.内部控制体系改进的建议。 （二）管理评审应就以下方面提出改进措施并落实： 1.内部控制体系及其过程的改进。 2.内部控制政策、目标的变更。 3.与内部控制有关资源的需求。,1.4监督评价与纠正持续改进,第二十七条 持续改进。 商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等，持续提高内部控制体系有效性。,1.4监督评价与纠正小结,1.4监督评价与纠正小结,1.5信息交流与反馈交流与沟通,第二十八条 交流与沟通 商业银行应建

22、立并保持信息交流与沟通的程序，对财务、管理、业务、重大事件和市场信息等相关信息，明确其识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。 商业银行应识别其内部和外部的风险相关方，考虑他们的要求和目标，建立与这些相关方进行信息交流的机制，确保： （一）董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。 （二）所有员工充分了解相关信息、遵守涉及其责任和义务的政策、程序。 （三）险情、事故发生时，相关信息能得到及时报告和有效沟通。 （四）及时、真实、完整地向监管机构和外界报告、披露相关信息。 （五）国内外经济、金融动态信息的取得和处理，并及时把与企业既定经营目标有关的信息提供

23、给各级管理层。 信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。 为保持信息交流沟通可追溯性，必要时，应保持相关信息交流与沟通的记录。,1.5信息交流与反馈文件化,第二十九条 内部控制体系对文件的要求 建立和保持文件化体系是实现信息交流与反馈的重要途径。商业银行应建立并保持必要的内部控制体系文件，包括： （一）对内部控制体系核心过程要素及其相互作用的描述。 （二）内部控制政策和目标。 （三）关键岗位及其职责与权限。 （四）不可接受的风险及其预防和控制措施。 （五）控制程序、作业指导、方案和其他内部文件。,1.5信息交流与反馈文件控制,第三十条 文件控制 商业银

24、行应建立并保持书面程序，以确保内部控制体系所要求的文件满足下列要求： （一）文件和资料易于查询。 （二）实施前得到授权人的批准。 （三）定期进行评审，必要时予以修订并由授权人员确认其适宜性。 （四）所有相关岗位都能得到有效版本。 （五）失效时，及时从所有发放处和使用处收回，或采取其他措施防止误用。 （六）及时识别、处置外来文件并进行标识，必要时转化为内部文件。 （七）留存的档案性文件和资料应予以适当标识。,1.5信息交流与反馈记录控制,第三十一条 记录控制 商业银行应建立并保持书面程序，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。 记录应保持清晰、易于识别

25、和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。,1.5信息交流与反馈-条款小结,1.5信息交流与反馈-条款小结,内部控制体系内容总结,目录,2 如何进行评价？,2.1体系评价基础基本概念,内部控制评价:是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。 评价证据：与评价准则有关的并且能够证实的记录、事实陈述或其他信息。 评价发现：将收集到的评价证据对照评价准则进行评价的结果。 评价结论：评价小组考虑了评价目的和所有评价发现后得出的评价结果。,2.1体系评价基础体系评价特点,体系评价 过程评价 正面评价 持续评价,2.1体系评

26、价基础评价过程,总体策划指根据政策、目标要求及内控体系运行的状况，应识别并确定以下内容： 评价目的评价准则评价范围评价方式评价时机评价频次评价资源,2.1 评价准备 总体策划,根据政策、目标要求及评价资源，应识别并确定：,1,5,4,3,2,评价目的 评价准则 评价范围 评价组构成及分工 评价日程安排及要求,具体策划的输出为评价方案。,1,2,3,4,5,2.2 评价准备具体实施策划,具体实施策划评价目的,内部控制过程的充分性、合规性、有效性、适宜性 充分性评价：过程和风险是否已被充分识别？ 合规性评价：过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持？ 有效性评价：控制措施

27、是否有效？ 适宜性评价：控制措施是否适宜？ 对不适用的过程要素标注“不适用”。,具体实施策划评价准则,具体实施策划评价范围,管理层次和职能，原则上应覆盖商业银行上至最高管理层、下至基层营业网点的所有层次，基层网点可以抽样评价。内部控制体系的过程和风险涉及的场所,具体实施策划评价组构成及分工,评价人员不能评价自己的部门和工作 评价人员的专业知识和经历能够支持完成评价任务，具备风险管理、体系管理、业务知识、评价技能四个方面的知识和技能，应该参加过内部控制体系评价培训并考试合格。 评价组中管理人员、业务人员应合理搭配,具体实施策划评价日程安排及要求,管理活动，考虑管理顺序，自上而下或自下而上业务活动

28、，考虑业务流程，顺向跟踪或逆向追溯保证评价时间：针对受评价部门承担的职责，涉及的过程，安排足够的评价时间。评价日程安排：应明确首末次会议时间、评价组内部沟通的时间与内容要求、最高管理层的座谈时间、评价重点场所的时间安排。具体实施策划还应明确相关资源的配备要求。,2.2 评价准备收集信息,了解被评价部门和活动的管理或操作要求 管理或操作的过程、目标、要求（依据） 管理或操作的记录 收集有关资料内控体系文件监管当局及管理行与受评价活动相关的管理规定 以往发生的事故（案件）事件银行同业发生的相关事故事件的背景资料,2.2 评价准备编制调查问卷,评价表是评价人员自用的工作文件（提示、备忘），体现评价的

29、思路、内容和方法，即明确 评价什么明确评价的内容 怎么评价明确评价的方法设计的问题应围绕过程的充分性、合规性、适宜性、有效性，体现内控体系运作过程、产品实现过程（或管理活动周期）与风险管理过程三个主线。,问题设计举例：授信业务政策,1、充分性评价 是否识别并制定授信业务政策？（查阅书面资料） 2、合规性评价 授信业务政策是否符合商业银行的经营宗旨和发展战略？（询问并查阅书面资料） 授信业务政策是否符合法律法规和监管要求？（查阅资料） 授信业务政策是否体现出侧重控制的风险类型，并体现出对不同地区、行业、产品的风险控制要求？（查阅书面资料） 授信业务政策是否传达至授信工作人员并为其所熟悉？（询问和

30、查阅资料） 授信业务政策是否一贯得到执行？（抽样检查） 3、有效性评价 控制措施是否发挥作用？（抽样检查） 4、适宜性评价 授信业务政策是否定期进行评审，并根据经营环境、监管要求等进行调整？（询问并查阅书面资料）,2.3 评价实施会议,准备会议-明确分工，专业引导。 首次会议-确认评价日程安排，明确注意事项。 收集评价证据-收集可证实的信息方作为评价证据，并记录评价证据。 评价组内部会议-评价信息交流。 评价组交流、汇报会-评价结果汇报，确认评价结论。 末次会议-报告评价结果，说明整改要求。,2.3 评价实施收集评价证据,抽样,与受审核方员工及其他责任人员,查看文件、记录、其他方面的报告，查看

31、计算机数据库和网站，查看数据的汇总、分析和绩效指标。,观察、验证受评价方的活动、周围工作环境和条件,根据受评价方抽样方案，抽样测量过程控制程序的信息，抽取体系运行历史和现在的部分客观证据。,收集评价证据 面 谈,面谈人员应当来自评价范围内实施活动或任务的适当的层次和职能； 在被面谈人正常工作时间和（可行时）正常工作地点进行； 在面谈前和面谈过程中应当努力使被面谈人放松； 解释面谈和作记录的原因； 面谈可通过请对方描述其工作开始； 避免提出有倾向性答案的问题（即引导性提问）； 应当与对方总结和评审面谈的结果； 应当感谢对方的参与和合作。,收集评价证据 查 阅,收集评价证据 察 验,收集评价证据

32、抽 样（1）,收集评价证据 抽 样（2）,抽样对象考虑因素 其本身的风险大小 发生的频次 重要性 涉及的金额大小 流程的差异性,原则：,收集评价证据 抽 样（3）,符合性测试介绍 符合性测试抽样参考 每月执行一次的业务或事项，抽样量应在2-6个； 每周执行一次的业务或事项，抽样量在4-10个； 每日执行一次的业务或事项，抽样量在10-25个； 每日执行多次的业务或事项，全年10000次以下的，抽样量在25-50个之间；全年10000次以上的，抽样量应在50个以上。,评价证据的局限性,评价证据基于可获得的评价证据样本。因此，在评价中存在不确定因素，依据评价结论采取措施的人员应当意识到这种不确定性

33、。,2.3评价实施评价记录,准确记录收集到的事实 详细记录事实的载体,切忌只记录结论！,评价记录举例,查财会部,现场提供的2003年6月16日的密押器发放纪录，其中#支行领用的密押器无领用人签字。查财会部，发放密押器，没有领用人签字。,2.3评价实施不合规项的判定,不合规事实描述 不合规判定不合规的判定原则 以办法要求和文件规定为准绳，防止强加于人。 以收集到的评价证据为依据，防止个人推断。 发现事实而不是发现错误。,不合规项和建议项,严重不合规：商业银行内部控制评价办法第三章“内部控制评价内容”中某一条款或某一要素缺失；不合规事实的性质极其严重或可能造成重大后果；一般不合规数量较大，且较为集

34、中，可能造成内部控制体系的系统性失效。一般不合规：是指孤立的、轻微的、偶发的、未造成严重后果的不合规。建议项：评价证据不足以判定不合规，但可能或其发展趋势可能会形成不合规；或需要提请受评价方关注的改进事项。,不合规判定举例,某行安全监控管理程序规定，各营业场所应保持对营业活动全程实施监控。监控记录应用磁带保存三个月后方可更新。查#支行，不能提供上个月31日上午的监控纪录。,对不适用项目的处理,在调查和测试过程中遇有业务缺项或问题“不适用”时，评价人员应将涉及到的分值在评价项目总分中扣减，将计算取得的分值转化成标准分。 即：调整后的评价项目总得分= （项目所有适用问题得分）/（评价项目总分 不适

35、用问题总分）100 例如某评价对象适用项目的总分为450分，而实际得分为400分，则最后得分为： 400/450100=89分,过程评价的评分标准,确定过程评价得分,完成对各具体对象的评价后，综合各具体对象所涉及的评价结果，对内部控制过程做出评价。 过程评价的得分可以将所有适用的具体评价对象在该评价过程的实际得分加总，最后除以具体适用对象的数量，即可得出这个要素的标准分值。 例如，对“内部控制政策”过程进行综合评分，假定有10项具体对象均涉及到内控政策，10项具体评价对象评价标准总分为1020=200分，10项具体评价对象内控政策实际得分加总后160分，则内控政策过程要素的总得分为160/10

36、=16分。,2.4 评价实施结果评价,结果评价: 主要评价内部控制目标的实现情况，对这些指标的量化评价可以通过非现场的方式进行 结果评价指标的确定 资本利润率、资产利润率、收入成本比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件损失指标。 内控结果评价每项指标50分，总分值为500分。,结果评价指标介绍,结果评价指标之一资本利润率 资本利润率=利润期末总额/资产期末总额 评分标准：该指标最高得分50分，大于等于13%得满分，每减少1个百分点减少4分。 假定某银行资本利润率为8%，则该项指标得30分。,2.5 评价结论,体现评价结论的形式:

37、 不合规报告：描述不合规要求的事实及相关办法条款 评价报告：描述评价过程的状况及内控体系评价结论,评价报告,内部控制体系评价等级,评价组做出综合评价后，应召集被评价机构管理层和部门负责人会议，核对数据和确认事实，并就评价中的问题征求意见。评价组应将本次评价的评审报告和结论报送授权的机构。,评价结论反馈,完成评价,评价的相关文件应当根据参与各方的协议，按照评价方案程序、适用的法律法规和合同要求予以保存或销毁。 除非法律要求，评价组和负责管理评价方案的人员若没有得到评价委托方和（适当时）受评价方的明确批准，不应当向任何其他方泄露文件的内容以及评价中获得的其他信息或评价报告。如果需要披露评价文件的内容，应当尽快通知评价委托方和受评价方。 若评级结果对外公布，可能会对上市公司造成较大的影响，则可以内部掌握，不对外公布。,2.6评价后续活动跟踪验证,现场验证 非现场验证 下一次评价时验证,持续改进的机会,通过各种外部评价、检查、审计活动获得有关本组织内控状况的信息，识别存在的问题，选择需要改进的方面。通过内部评价、管理评审发现内控体系的改进需求，制定具体的改进措施。明确体系管理维护部门的职责，严格执行有关工作程序：内部评价工作程序、管理评审工作程序等,