附录三过程评价问题要点.docx

1、附录三过程评价问题要点附录三：过程评价问题要点一、内部控制环境（一）商业银行公司治理 1、是否建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构？是否实行了决策权与经营权的分离？ 2、董事会是否设立了风险管理委员会、人事和薪酬委员会、审计委员会、关联交易控制委员会和其他专门委员会？3、监事会是否设立了提名委员会、审计委员会和其他专门委员会？4、董事会是否定期或不定期召开股东大会年会和临时会议，向全体股东汇报？股东大会是否实行律师见证制度？董事会是否制定内容完备的股东大会议事规则并由股东大会审议通过，包括通知、文件准备、召开方式、表决形式、会议记录及其签署、关联股东的回避制度等

2、？5、董事会是否建立了议事规则和决策程序？董事会是否定期（每季一次）或不定期召开例会和临时会议？是否制定内容完备的议事规则，包括通知、文件准备、召开方式、表决形式、会议记录及其签署、董事会的授权规则等？6、监事会是否建立了议事规则和决策程序？是否定期（每季一次）或不定期召开例会和临时会议？是否制定内容完备的议事规则，包括通知、文件准备、召开方式、表决形式、会议记录及其签署等？ 7、是否建立了独立董事和外部监事制度并设立了2名（含）以上独立董事和2名（含）以上外部监事？ 8、董事会审计委员会负责人是否由独立董事担任？是否要求银行报送内部审计报告并进行审核？独立董事是否对董事会讨论的有关商业银行内

3、部控制事项发表客观、公正的独立意见？是否对董事会决议中违反法律、法规或商业银行章程的条款提出反对意见？9、监事会审计委员会负责人是否由外部监事担任？外部监事是否根据监事会决议组织开展商业银行内部控制相关审计工作？是否及时向外部监管部门报告监督检查中发现的问题？ 10、能否确保商业银行根据内部审计、外部审计和外部监管部门改进内部控制的意见和建议实施有效的整改？ （二）董事会、监事会和高级管理层责任 1、董事会是否审批了商业银行整体经营战略和重大政策并定期检查、评价执行情况？ 2、董事会是否设定了商业银行可接受的风险程度，并审批管理层所制订的风险防范措施及额度设置？是否确保商业银行充分了解资本充足

4、、风险集中度、关联交易、不良资产管控和处置的有关规定，并指导和监督具体政策、办法的产生和实施？ 3、董事会是否及时审查银行内部审计机构和外部监管部门的对银行内部控制评价报告？并督促管理层落实整改措施？ 4、监事会是否通过适当的方式对银行内部控制进行监督？ 5、监事会是否确保商业银行充分了解资本充足、风险集中度、关联交易、不良资产管控和处置的有关规定，并指导和监督具体政策、办法的产生和实施？ 6、监事会是否组织对银行内部控制相关检查？是否对董事会及董事、管理层及高级管理人员履行内部控制职责情况进行检查? 7、监事会是否在发现董事、董事长及高级管理人员有损害商业银行利益的行为时要求其纠正？8、管理

5、人员是否明确其在内控体系方面的职责？在各项业务和管理活动中是否制定了明确的内部控制政策？ 9、定期评审内部控制状况的充分性和有效性？是否及时审查外部监管部门、内部和外部审计部门对内部控制体系的评价报告？是否及时听取了审计部门和外部监管部门有关内部控制体系缺失的建议与意见，并部署采取纠正整改措施？ 10、高级管理层是否建立了认定、计量、监督并控制风险的程序，并制定了风险防范措施及额度设置？在中长期发展战略规划中，是否考虑了各种可能的风险？是否定期检查银行经营战略与风险控制的适宜程度？ 11、董事会、高级管理层是否能及时了解银行的业务风险和操作业绩？银行内部的信息流动是否通畅（包括信息上报、信息下

6、达及机构内部信息的横向流动）？内部控制政策相关每一项信息是否都传达到每一相关人员？ 12、高级管理层是否建立了授权和责任明确、报告关系清晰的组织结构？是否采取措施引导管理人员和全体员工参与到内部控制活动中，以保证内部控制的各项职责得到有效履行？ （三）内控政策 1、是否已建立文件化的政策（包括人力资源政策、财务管理政策、信贷总量和信贷结构政策、流动性风险和市场风险政策、信息交流政策，等等）？ 2、政策的内容是否：（1）为制定和评审目标提供框架；（2）与商业银行的宗旨和发展战略相一致；（3）符合适用法律法规和监管要求；（4）指导员工实施风险控制；（5）体现持续改进内控体系。 3、政策是否已为员工

7、所理解？ 4、政策是否可以并已向相关方公开，同时寻求互利合作？ 5、各级各类政策是否定期评审，需要时更新？（四）内部控制目标 1、商业银行已建立了哪些内部控制目标？是否形成文件？ 2、各个目标是否可测量并分解为指标？是否已展开到相关职能和层次？通过哪些方式传达到相关员工？ 3、内控体系的目标是否能确保与法律法规、监管要求和商业银行内部规章相一致并使之满足？ 能确保商业银行的发展战略和经营目标的全面实施与实现？确保风险控制的有效性？确保业务记录、财务信息和其他相关信息的及时、真实和完整？ 4、在建立和评审内控目标时，是否还考虑了可供选择的技术方案、财务、运作和经营要求、风险相关方的观点等？5、内

8、控目标是否符合内控政策？如何体现对持续改进的承诺？ （五）组织结构 1、商业银行的组织结构状况如何？包括：部门分工合理性、职责明确程度和报告关系清晰程度。2、是否考虑职责分离、相互监督制约？ 3、涉及资产、负债、财务和重要人事变动的事项如何决定？ 4、是否建立关键岗位轮换和强制休假制度？ 5、是否建立统一授权体系？ 6、是否设立了全行系统垂直管理、具有充分独立性的内部审计部门？ 7、内部审计部门是否配备了具有相应资质和能力的审计人员？ 8、是否建立了内部审计风险评级体系？每年是否根据审计风险评级结果确定审计频率，以及对机构和业务的审计覆盖率？ 9、内部审计部门是否有权获得商业银行的所有经营信息

9、和管理信息？ 10、内部审计报告是否及时报董事会或董事会审计委员会？ 11、董事会及高级管理层是否采取有效措施保证审计报告中指出的内部控制的缺失得到及时纠正整改？ 12、总行内部审计负责人的聘任和解聘是否经董事会或监事会同意？ （六）企业文化 1、商业银行是否培育了健康的企业文化？现有企业文化怎样为内部控制提供适宜的环境？ 2、如何创立和完善企业文化的环境使全行员工树立预期要求的企业价值观、企业精神及经营理念？ 3、是否把企业核心价值观、内部控制原则、风险知识、风险意识、风险控制、风险防范，以及出现险情或损失的对策等作为对员工的教育内容？ 4、是否制定了员工行为准则或类似规范，并传达到员工？

10、5、员工是否熟悉银行关于职业道德的规范并确知职业道德标准和违例行为界限及后果？ 6、员工是否明白其职权范围违规违纪行为的表现形式？ 7、是否建立针对员工违规行为的补救和处罚应急机制？ 8、管理层对员工违规的行为是否进行严厉的批评和处理？ 9、管理人员道德水平是否保持高尚，是否以身作则？（七）人力资源 1、是否确定与风险和内控有关的人员所必要的能力要求(含满足法律法规要求及监管机构对人员资质要求)？ 2、是否建立及健全激励约束机制、员工绩效考评体系，是否充分体现风险管理和内控体系要求？ 3、是否对高管人员及影响风险和内控人员等重要岗位的招聘、聘用、培训、考核、调整、出国、离岗和离行进行控制？ 4

11、、是否明确了员工招聘、培训、考核、奖励、处罚、晋升等方面合理的政策和程序？并得到有效执行？ 5、是否搜集了员工工作业绩、工作效率及胜任程序等相关信息？ 6、是否采取适当的措施来降低更换雇员或雇员缺席所带来的负面影响(交叉培训,工作轮换等)？ 7、是否确保员工得到了充分的非技术性能力的培训(包括人际关系、口头表达和文字表达能力,客户服务等)？ 8、是否确保每个员工明确所在行及其所在部门的工作目标？二、风险识别与评估（一）风险识别与评估 1、是否识别和确定了常规和非常规的业务和管理活动？并识别这些活动上的风险？ 2、对新识别的风险是否已考虑到其产生根源、路径及对商业银行的影响范围？是否已考虑并识别

12、了本部门的运作过程和活动中因运用计算机系统而带来的风险？ 3、本部门已识别并确定的主要风险有哪些？是否有风险点的清单？是否确定风险点的风险级别及风险可接受程度？ 4、是否对风险的后果及发生的可能性等进行了评估？评估的结果是否形成文件？文件中所包含的信息是否充分，包括可作为建立内控体系中各项决策的基础？并为改进内控绩效提供衡量的基准？ 5、是否对可接受风险进行定期监测，以确保其持续性？对不可接受的风险是否制定了相应的控制方案？ 6、当内外部环境和条件发生变化时，是否对风险进行再识别和再评估？并及时更新风险评估文件及传达到相关人员？再识别和再评估的结果能否确保新的风险及以前未加控制的风险得到识别和

13、控制？ 7、在设立新的分支机构或开办新的业务时，是否事先制定有关的政策、制度和程序，是否对潜在的风险进行计量和评估，并提出风险防范措施？ 8、能否及时发现由于员工的思想道德及业务素质问题所产生的风险，并重视对员工的法制教育和职业道德教育？ （二）法律法规、监管要求和其他要求 1、是否已建立了相应的程序，以确保商业银行能及时识别和获取适用的法律法规、监管要求和其他要求？包括明确信息获取的渠道、职责等。 2、是否成立了专门的部门负责及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方？ 3、是否在已制定的商业银行规章体系中充分体现应遵循的所有法律法规要求？ 4、是

14、否采取有效措施管理全行反洗钱工作？（三）内部控制措施策划 1、是否为实现内控目标制定了内控方案？内控方案如何运用风险识别与评估结果的信息？确定了哪些控制要点和控制措施？ 2、内控方案是否包括了各项任务的职责权限和相应的控制策略、方法、资源和时限要求？并形成了文件？ 3、内控方案是否考虑了由方案自身带来新的风险？方案是否涉及到业务流程、管理活动等重大变化？三、内部控制措施（一）运行控制1、董事会与高级管理层是否及时检查商业银行在实现内部控制目标方面的进展？高级管理层是否根据检查情况提出内部控制缺失，督促职能管理部门改进？ 2、各级职能管理部门是否审查收到的经营管理情况和特别情况专项报表或报告？是

15、否提出问题，要求采取纠正整改措施？ 3、对实物控制是否实行实物限制、双重保管和定期盘存？ 4、是否审查遵循风险限制方面的合规性，并在不合规的情况下继续跟踪检查？ 5、是否根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级管理责任？ 6、是否验证各项业务、管理活动，以及所采用的风险管理模型结果，并定期核实相关情况？是否及时将发现的问题向职能管理部门报告？ 7、是否实行不兼容岗位的适当分离？8、是否针对已识别的风险和需采取的控制措施，确定其运作过程和活动？ 9、对已确定的过程和活动如何实施控制？ 10、对缺乏程序可能导致偏离内控政策和目标运行的情况，建立并保持了哪些程序文件，在程序中是否

16、规定了操作方法和标准？ 11、在实施和运行中按照程序规定如何实施持续记录和监督检查？ 12、运用计算机系统采取了哪些内控措施？ 13、对购置和使用的设施、设备、系统和服务中已识别的风险是否建立并保持控制程序实施有效控制，并以什么方式将有关程序和要求通报供方，使其符合控制要求？ 14、为从根本上消除或降低风险，针对产品和业务、运行程序和工作组织设计及对人员适任能力要求建立了哪些控制程序？ 15、是否建立有效的核对、监控制度？对重要业务是否实行双签制度及监控授权、授信执行情况？16、是否建立完整的会计、统计和业务档案？ （二）计算机系统环境下的控制 1、是否建立信息安全管理体系？ 2、是否对计算机

17、信息系统从立项、开发、验收、运行和维护实施全过程管理？如：项目立项时技术部门是否与业务部门进行了充分论证和良好沟通；程序开发环境是否与程序生产环境严格分离；计算机软件和网络系统从开发环境转入生产环境之前是否进行充分的压力测试？ 3、对外购计算机软、硬件设备是否严格审查供应商的资格和资信状况？是否明确其产品在使用期间应当承担的使用、维护和其他责任，在使用前是否严格进行安全性测试确保产品正常使用和有效维护？ 4、计算机房建设是否符合国家有关标准？是否加强计算机房管理，出入按规定审批并保留记录，确保硬件、各种存贮介质的安全？ 5、是否建立和健全网络管理系统，有效地管理网络的安全、故障、性能、配置等，

18、并对接入国际互联网实施有效的安全管理？ 6、采取哪些措施确保计算机信息系统的安全（如更新系统、认证、加密、内容过滤、入侵监测、安全设置、防止病毒、黑客攻击、软件补丁程序等以确保计算机信息系统安全）？有关程序和要求是否及时更新？ 7、网络设备操作系统、数据库系统、应用程序是否设置必要日志，满足内外审计需要？ 8、对各类数据信息、数据操作、数据备份介质的存放、转移、销毁是否有严格的管理制度？ 9、计算机处理业务如何确保可复核性和可追溯性？应用程序是否为有关的审计和检查预留接口？ 10、电子银行服务是否具备确保识别客户身份，安全认证等功能，保证交易安全，防范操作风险？ 11、计算机操作系统的变更是否

19、有明确的规章制度（对内和外包系统），可靠的技术手段，满足合法性、正确性、安全性、可复核性和可追溯性的系统变更控制要求，并对软件版本进行管理？ 12、是否建立设备管理系统，对设备验收、入库、配发、维护、变更、损益、报废等环节进行管理？ 13、是否建立远程备份? 14、是否提供对电子银行客户的培训、客户服务和相关支持工作？如何与风险控制方案相结合？ 15、在制定电子银行业务的准入标准、管理办法和操作规程中如何考虑风险因素及相应措施？ 16、如何控制网上银行交易的风险，确保交易安全？ 17、系统安全运行中的不安全的因素是否全面分析和控制？对分中心运行如何监视？ 18、对计算机系统数据的管理时应：是否

20、建立接入授权程序并对接入后的操作进行安全控制？是否核对输入数据，对数据的修改进行批准并建立日志？ 19、计算机系统运行过程中是否配备计算机安全管理人员，明确其职责？是否建立技术部门和业务部门的沟通渠道？ 20、如何明确用户的创建、变更、删除、用户口令等控制要求；是否明确员工计算机信息系统的用户名或权限卡的使用要求？（三）应急准备和响应 1、是否已建立并保持应急预案和程序，已识别可能发生的意外事件或紧急事件？应急预案是说明特定紧急情况发生时须采取的措施，应包括：（1） 识别潜在的事故(风险)和紧急情况;（2） 确定紧急情况发生时的负责人; （3）确定紧急情况发生时各类人员的行动计划,包括发生紧急

21、情况的区域内所有外来人员的行动计划； （4）确定紧急情况发生时具有特定作用的人员的职责、权限和义务,如柜员、保安、保卫人员等;（5）明确与外部应急机构的接口;（6）与执法部门进行交流;（7）重要记录资料和重要设备的保护;（8）紧急情况发生时可利用的必要资料,如报警设备和联络电话号码等。 2、在应急计划中是否对外部机构的参与有明确的规定,是否向其提供相关信息和可能遇到的情况,以便其参与？ 3、如何规定意外或紧急事件发生时，应采取应急响应的措施？措施是否及时、有效？ 4、是否规定并实施对应急的设施、设备和系统定期检查和维护？是否保证充足提供? 5、是否并如何对应急预案定期进行演习和测试？是否按计划

22、进行应急演练? 6、是否制订应急预案？意外事件发生之后是否进行评审？应急准备是否与可能发生的意外或紧急事件的性质（如损失、险情）相适应？ 7、近年来，是否发生过意外或紧急事件（如挤兑、信息系统崩溃、火灾、地震等）？如发生过如何按应急预案及时、有效采取相应措施，并确保业务持续？四、监督评价与纠正 （一）内部控制绩效的监测是否建立了内部风险控制绩效监测程序? 2、绩效监测的对象有哪些？ 3、内控绩效监测的方法有哪些？ 4、何时进行内控绩效监测（频次）？ 5、监测结果评价的准则是什么？ 6、监测结果的信息如何传递和利用？ 7、对下一级分行的经营、管理是否进行经常性检查？并及时纠正问题？ 8、绩效考评

23、是否包括内部风险控制的绩效？现有考评体系还需要改进吗？ 9、如何对全行的经营、内控和风险状况的审计、监督和评价做出安排？审计的频次是怎样决定的？ 10、如何对全行审计工作执行有关审计政策、审计准则和规章制度情况进行监管和检查？ 11、是否对审计监督中发现的重大问题和事件的处理结果进行跟踪，以防止问题或事件的再次发生？近年来发现的重大问题和事件是否已采取有效措施？ 12、如何确保全行的审计部门和审计人员的独立性？ 13、高级管理人员离职时是否进行离任审计？ 14、如何对审计效果进行评价？ 15、如何对高层人员进行监督？是否有监管档案？ （二）损失、险情、违规和纠正与预防措施 1、是否已建立和保持

24、了书面程序文件，规定损失、险情、违规发现、报告、处置、原因分析及纠正和预防措施等内容？ 2、发现损失、险情、违规时，是否及时报告，甚至迅速越级报告? 3、如何处置损失、险情、违规事项？从发现到处置的时效如何？ 4、针对发现的损失、险情、违规的原因，所采取的措施（纠正或预防措施）是否考虑了问题大小和风险危害程度？必要时，调查实例。 5、纠正或预防措施在付诸实施前，是否作过风险评估？ 6、被批准执行的纠正或预防措施是否实施？有记录否？这些措施的效果能防止发生或再发生损失、险情、违规？ 7、发生损失、险情和重要违规事项时是否追究相关责任者责任?需要时，调查实例。 8、在内控评价、业务检查、审计中，对

25、发现的问题，如何作责任认定？ 9、信访、举报、投诉、控告、处分的程序和记录的管理方式如何？ 10、损失或高风险险情出现时，是否作为？有何作为？ （三）内部控制体系审核1、商业银行是否建立和维持有书面的内部控制体系审核程序？ 2、是否规定了内控体系审核的准则、范围、频次、审核的方法和审核组（或人员）、受审核机构的职责和权限？ 3、实施内控体系审核的审核人员是否充分考虑独立性？ 4、安排审核活动前是否进行过周密策划，形成审核方案（包括日程安排）？ 5、审核方案是否考虑了受审核机构风险管理的重要性、风险评估的结果、所进行活动的过程以及以前审核的结果？ 6、是否按程序文件实施过审核？如果是，则重点调查

26、：受审核机构的负责人对内控体系审核中发现的问题是否积极地参与消除违规原因，并决定所采取的措施，跟踪检查措施的执行及效果验证。 7、内控体系审核后，其审核结果报告中，是否就内部风险管理（控制）的有效性做出评价？通过审核，可否评估内部控制体系水平的等级？ 8、通过内部审核是否针对发现的问题进一步完善了内控制度？ （四）管理评审 1、是否建立和保持了一份就内部风险管理体系适宜性、充分性、有效性，进行评审的程序文件？ 2、是否实施过管理评审？ 3、如果进行过管理评审，则进一步调查评审输入的信息是否包括： （1）内控体系评价和监测的结果； （2）内控方案实施情况的报告（或证据）； （3）事故或险情报告；

27、 （4）重要的外部信息（如国际、国内重要金融损失或风险事件、国家方针、政策的调整等）； （5）损失、险情、不合格及其后的纠正和预防措施； （6）上一次管理评审时做出决定或措施的执行情况； （7）任何内控体系的改进（或改善）的建议或意见。 4、如果进行过管理评审，则评估管理评审的输出是否符合要求： （1）内部风险控制体系有效性的评价及改进决定（或措施）； （2）内控目标达成及内控方案是否要调整或变更； （3）为使内控体系得以有效运行，在人、财、物、信息等资源方面需要的调整或配置； （4）对下属行、部门或岗位监控评价的结论。 （五）持续改进 1、就下列信息，调查商业银行是否识别改进的机会，从而持续

28、地自我改进内部风险控制的管理体系： （1）内控政策执行及内控目标达成的报告； （2）审计和内控体系评价的结果； （3）内控绩效监测的结果及其分析； （4）纠正和预防措施跟踪及效果验证报告； （5）管理评审输出，特别是管理者做出决定，指令内控体系改进。 2、请介绍持续改进的过程（如何实施改进）。五、信息交流与反馈 （一）交流与沟通 1、商业银行对风险控制的每一过程的是否规定过交流与沟通的内容及沟通方式？ 2、风险的相关方（内、外部）进行信息交流的政策是什么？ 3、是否有程序文件规定风险管理相关信息的识别、收集、处理、交流和沟通过程？ 4、信息传输的流程如何（输入处理输出）？ 5、董事会和高级管理

29、层能否获得内部控制状况信息？ 6、一旦发生损失、险情时，信息能否及时报告，相关部门可否及时沟通？ 7、是否及时向监管机构报告、披露相关信息（必要时向外界披露）？ 8、信息沟通记录如何保持？ 9、信息保密、安全所需的授权如何？10、是否建立信息披露制度？（二）内控体系的文件化要求 1、商业银行是怎样理解内控体系文件化的？ 2、商业银行内控体系的文件类别、构成及其关系怎样？ 3、下列与内控体系至关重要事项是否都有文件： （1）用于描述内控体系核心要素和过程及相应关系的手册； （2）确立的内控政策及目标； （3）风险内控的重要部门、关键岗位的职责、权限； （4）风险分析分级以及不可接受风险的防范和控

30、制措施； （5）风险内控方案、控制程序及作业指导文件。 4、是否就新机构、新业务事先建立政策、制度、程序，以防范风险？ （三）文件控制 1、内控体系所要求的文件有哪些类别?有几种媒体? 2、文件是否经批准才能实现？ 3、需要文件指导的部门或岗位是否能得到，或查到？ 4、文件的适宜性是否定期评审，需要时修订文件？ 5、文件的版本如何识别和控制? 6、废止文件（某页或某份）采取什么措施防止误用？ 7、外来文件（如相应法律、法规、外部监管部门的相关规定等）如何控制（识别、分发、使用、废止以及转为内部文件的情况）？（四）记录控制 1、是否所有决策、业务活动、所有人员都作了记录？以何种介质保存? 2、是否已建立和保持了内控体系相关记录的控制程序文件？ 3、该文件是否包括了记录的标识、生成、保管、保护、检索（查找、调用），保存期限及到期处理的方法等? 4、在调查现场观察记录是否清晰，是否便于工作人员查找？ 5、会计、统计、业务档案（必要时，调查记录记载事项的溯源性）是否完整?