【正文】 故處置和糾正及預防措施。商業(yè)銀行應建立并保持書面程序，對違規(guī)、險情、事故的發(fā)現(xiàn)、報告、處置和糾正及預防措施做出規(guī)定，包括：（一）發(fā)現(xiàn)違規(guī)、險情、事故并及時報告，必要時，可越級報告。（二）及時處置違規(guī)、險情、事故。（三）制定糾正與預防措施，防止違規(guī)、險情、事故的發(fā)生和再發(fā)生，并與問題的大小和風險危害程度相一致。（四）糾正與預防措施在實施之前應進行風險評估。（五）實施并跟蹤、驗證糾正與預防措施。（六）險情和事故的責任追究。第二十五條 內(nèi)部控制體系評價。商業(yè)銀行應建立并保持書面程序，對內(nèi)部控制體系實施評價，確保內(nèi)部控制體系的充分性、合規(guī)性、有效性和適宜性。程序應包括評價的目的、準則、范圍、頻率、方法以及職責與要求。評價應考慮活動的風險評估結(jié)果、業(yè)務和管理流程和以前的評價結(jié)果等，覆蓋體系范圍內(nèi)的所有活動?？筛鶕?jù)評價結(jié)果確定內(nèi)部控制水平的等級。被評價機構(gòu)的管理者應采取措施消除違規(guī)原因，并驗證所采取措施的效果。評價應由與評價的活動無直接責任的人員進行，評價人員應具備相應的知識，能夠勝任評價工作。第二十六條 管理評審。董事會應采取措施保證定期對內(nèi)部控制狀況進行評審，確保體系得到持續(xù)、有效的改進。（一）管理評審應包括以下方面的內(nèi)容：。，如法律、法規(guī)的重大變化。（二）管理評審應就以下方面提出改進措施并落實：。、目標的變更。第二十七條 持續(xù)改進。商業(yè)銀行應利用內(nèi)部控制政策、內(nèi)部控制目標、評價結(jié)果、績效監(jiān)測和數(shù)據(jù)分析、糾正和預防措施以及管理評審等，持續(xù)提高內(nèi)部控制體系有效性。第五節(jié) 信息交流與反饋第二十八條 交流與溝通。商業(yè)銀行應建立并保持信息交流與溝通的程序，明確對財務、管理、業(yè)務、重大事件和市場信息等相關(guān)信息識別、收集、處理、交流、溝通、反饋、披露的渠道和方式。商業(yè)銀行應識別其內(nèi)部和外部的風險相關(guān)方，考慮他們的要求和目標，建立與這些相關(guān)方進行信息交流的機制，確保：（一）董事會和高級管理層能夠及時了解業(yè)務信息、管理信息以及其他重要風險信息。（二）所有員工充分了解相關(guān)信息、遵守涉及其責任和義務的政策和程序。（三）險情、事故發(fā)生時，相關(guān)信息能得到及時報告和有效溝通。（四）及時、真實、完整地向監(jiān)管機構(gòu)和外界報告、披露相關(guān)信息。（五）國內(nèi)外經(jīng)濟、金融動態(tài)信息的取得和處理，并及時把與企業(yè)既定經(jīng)營目標有關(guān)的信息提供給各級管理層。信息交流與溝通應考慮信息的安全性和保密性要求。相關(guān)信息報告、發(fā)布、披露應經(jīng)過授權(quán)。為保持信息交流溝通的可追溯性，必要時，應保持相關(guān)信息交流與溝通的記錄。第二十九條 內(nèi)部控制體系對文件的要求。建立和保持文件化體系是實現(xiàn)信息交流與反饋的重要途徑。商業(yè)銀行應建立并保持必要的內(nèi)部控制體系文件，包括：（一）對內(nèi)部控制體系要素及其相互作用的描述。（二）內(nèi)部控制政策和目標。（三）關(guān)鍵崗位及其職責與權(quán)限。（四）不可接受的風險及其預防和控制措施。（五）控制程序、作業(yè)指導、方案和其他內(nèi)部文件。第三十條 文件控制。商業(yè)銀行應建立并保持書面程序，以確保內(nèi)部控制體系所要求的文件滿足下列要求：（一）易于查詢。（二）實施前得到授權(quán)人的批準。（三）定期評審，必要時予以修訂并由授權(quán)人員確認其適宜性。（四）所有相關(guān)崗位都能得到有效版本。（五）失效時，及時從所有發(fā)放處和使用處收回，或采取其他措施防止誤用。（六）及時識別、處置外來文件并進行標識，必要時轉(zhuǎn)化為內(nèi)部文件。（七）留存的檔案性文件和資料應予以適當標識。第三十一條 記錄控制。商業(yè)銀行應建立并保持書面程序，以規(guī)定內(nèi)部控制相關(guān)活動中所涉及記錄的標識、生成、貯存、保護、檢索、保存期限和處置。記錄應保持清晰、易于識別和檢索，以提供符合要求和內(nèi)部控制體系有效運行的證據(jù)，并可追溯到相關(guān)的活動。第四章 評價程序和方法第三十二條 內(nèi)部控制評價程序一般包括評價準備、評價實施、評價報告形成和反饋等步驟。第三十三條 評價準備。組成評價組。評價組應考慮組成人員的背景和能力。必要時，可聘請業(yè)務或管理方面的專家。制訂評價實施方案。實施方案應明確本次評價的目的、范圍、準則、時間安排和相應的資源配置。準備必要的工作文件。主要包括評價問卷、抽樣計劃、被評價機構(gòu)的內(nèi)部控制體系文件及相關(guān)記錄等。在現(xiàn)場評價前應先與被評價機構(gòu)建立初步聯(lián)系，以便確認有關(guān)評價事項和安排。第三十四條 評價實施。評價組應按照既定的評價方案實施評價。在評價實施中應就評價組內(nèi)部以及評價組與被評價機構(gòu)之間的溝通做出正式安排，通過適當?shù)姆椒ㄊ占c評價目的、范圍和準則有關(guān)的信息，根據(jù)評價方案對被評價項目進行測試，對有關(guān)數(shù)據(jù)進行確認和分析，并予以記錄。評價實施的具體方法見第三十九條至四十三條。第三十五條 評價報告形成。評價組根據(jù)評價實施情況，撰寫評價報告，應重點分析以下方面：（一）被評價機構(gòu)內(nèi)部控制體系現(xiàn)狀、存在問題及趨勢分析。（二）同類銀行比較。（三）監(jiān)管建議。（四）可能的諒解因素。第三十六條 評價反饋。對被評價機構(gòu)內(nèi)部控制體系進行綜合評價后，應與被評價機構(gòu)管理層溝通，以核對數(shù)據(jù)，確認事實，并就評價中的問題征求意見。第三十七條 銀監(jiān)會及其派出機構(gòu)根據(jù)評價報告，依據(jù)有關(guān)法律和規(guī)定，做出評價結(jié)論和處理決定，并以書面形式正式發(fā)送被評價機構(gòu)，限期整改。同時，評價結(jié)論應報上級機構(gòu)。第三十八條 內(nèi)部控制評價方法是為實現(xiàn)評價目的，對被評價機構(gòu)內(nèi)部控制體系進行分析和評價而采取的技術(shù)和手段的總稱。第三十九條 內(nèi)部控制評價實施包括：了解內(nèi)部控制體系。應了解被評價機構(gòu)內(nèi)部控制體系的基本情況，確認評價范圍，確定被評價機構(gòu)的內(nèi)部控制體系的健全程度，然后決定實施測試所采取的方法。實施測試和分析。實施測試和分析是在了解內(nèi)部控制體系的基礎(chǔ)上，評價內(nèi)部控制體系的運行與績效。具體可以采取符合性測試和指標分析等，其中，對內(nèi)部控制過程評價主要采取符合性測試法；對內(nèi)部控制結(jié)果評價，主要采取指標分析法。第四十條 了解內(nèi)部控制體系。了解被評價機構(gòu)內(nèi)部控制體系主要通過詢問、查閱、觀察、流程圖等方法進行，以初步評價被評價機構(gòu)內(nèi)部控制體系的充分性和合規(guī)性。第四十一條 符合性測試。符合性測試是獲得評價證據(jù)以證實內(nèi)部控制在實際中的合規(guī)性、有效性和適宜性，即相關(guān)規(guī)定在實際中是否被一貫執(zhí)行，控制措施能否達到控制目的，控制措施是否恰當。符合性測試分為兩種形式：（一）業(yè)務測試，即對重要業(yè)務或典型業(yè)務進行測試，按照規(guī)定的業(yè)務處理程序進行檢查，確認有關(guān)控制點是否符合規(guī)定并得到認真執(zhí)行，以判斷內(nèi)部控制的遵循情況。（二）功能測試，即對某項控制的特定環(huán)節(jié)，選擇若干時期的同類業(yè)務進行檢查，確認該環(huán)節(jié)的控制措施是否一貫或持續(xù)發(fā)揮作用。符合性測試的具體方法包括抽樣法、穿行測試法、證據(jù)檢查法和壓力測試法等。第四十二條 測試抽樣。抽樣樣本取決于被評價機構(gòu)或被評價項目的風險、業(yè)務頻次、重要性等。可在根據(jù)業(yè)務頻次抽樣的基礎(chǔ)上，結(jié)合被評價項目的風險和重要性進行調(diào)整。根據(jù)業(yè)務頻次確定的抽樣量參考標準如下：（一）每月執(zhí)行一次的業(yè)務或事項，抽樣量應保持在26個之間。（二）每周執(zhí)行一次的業(yè)務或事項，抽樣量應保持在410個之間。（三）每日執(zhí)行一次的業(yè)務或事項，抽樣量應保持在1025個之間。（四）每日執(zhí)行多次的業(yè)務或事項，全年10000次以下的，抽樣量應保持在2550個之間；全年10000次以上的，抽樣量應保持在50個以上。第四十三條 指標分析。應收集被評價機構(gòu)內(nèi)部控制結(jié)果指標的相關(guān)信息，進行核實、對比分析和趨勢分析，從而對內(nèi)控目標實現(xiàn)情況做出評價。第五章 評分標準和評價等級第四十四條 內(nèi)部控制評價采取評分制。對內(nèi)部控制的過程和結(jié)果分別設(shè)置一定的標準分值，并根據(jù)評價得分確定被評價機構(gòu)的內(nèi)部控制等級。第四十五條 內(nèi)部控制過程評價的標準分為500分，其中：內(nèi)部控制環(huán)境100分、風險識別與評估100分、內(nèi)部控制措施100分、信息交流與反饋100分、監(jiān)督評價與糾正100分。上述五部分評價得分加總除以5，得到過程評價的實際得分。第四十六條 在對內(nèi)部控制過程評價時，應按照第三章評價內(nèi)容的要求，結(jié)合本辦法第八條的四個方面展開，轉(zhuǎn)換為具體評價問題，并根據(jù)測試情況對被評價項目進行評分。第四十七條 初次實施內(nèi)部控制評價時，須對所有業(yè)務活動、管理活動和支持保障活動進行評價。再次評價時，至少應包括：授信業(yè)務、資金業(yè)務、存款及柜臺業(yè)務、主要中間業(yè)務、計劃財務、會計管理、計算機信息系統(tǒng)等。其他活動在每三次再次評價周期內(nèi)應至少覆蓋一次。第四十八條 內(nèi)部控制過程評價的具體評分標準如下：（一）被評價對象的過程和風險已被充分識別的，可得該項分值的百分之二十。（二）在滿足前項的基礎(chǔ)上，被評價項目的過程和對風險的控制措施被規(guī)定并遵循要求的，可得該項分值的百分之三十。（三）在滿足前兩項的基礎(chǔ)上，被評價項目的規(guī)定得到實施和保持，可再得該項分值的百分之三十。（四）在滿足前三項的基礎(chǔ)上，被評價項目在實現(xiàn)風險控制的結(jié)果方面，控制措施有效且適宜的，可再得該項分值的百分之二十。第四十九條 在測試過程中遇有業(yè)務缺項或問題不適用時，應將涉及到的分值在評價項目總分中扣減。為了保持可比性，在得出其余適用項的總分后，還應將該評價項目的總得分進行調(diào)整。調(diào)整后評價項目總得分= 所有適用項目得分（評價項目總分/不適用項目總分）100%單項分值小計和總分分值有小數(shù)時四舍五入。第五十條 若涉及到需要采取抽樣測試確定評價結(jié)論的，應根據(jù)以下情況確定：（一）如果在抽樣范圍內(nèi)未發(fā)現(xiàn)違規(guī)，該項評價得滿分；在抽樣范圍內(nèi)，發(fā)現(xiàn)兩項以上違規(guī)（含兩項），該項評價不得分；僅發(fā)現(xiàn)一項違規(guī)的，應擴大一倍抽樣，在擴大抽樣范圍內(nèi)未發(fā)現(xiàn)新的違規(guī)的，可得該評價項目分值的50%，在擴大抽樣范圍內(nèi)又發(fā)現(xiàn)新的違規(guī)的，該評價項目不得分。（二）發(fā)現(xiàn)險情或事故的，直接扣除該評價項目的分值。第五十一條 內(nèi)部控制的結(jié)果評價。結(jié)果評價主要評價內(nèi)部控制目標的實現(xiàn)情況，對這些指標的量化評價可以通過非現(xiàn)場的方式進行。結(jié)果評價主要包括十項指標：資本利潤率、資產(chǎn)利潤率、成本收入比、大額風險集中度指標、關(guān)聯(lián)方交易指標、資產(chǎn)質(zhì)量指標、不良貸款撥備覆蓋率、資本充足指標、流動性指標、案件指標等，指標說明及控制比例見附錄。內(nèi)控結(jié)果評價指標的標準分值為500分，轉(zhuǎn)化為百分制后得出實際得分。銀監(jiān)會可以根據(jù)商業(yè)銀行整體風險情況、經(jīng)濟金融情況和銀監(jiān)會工作的重點，補充、修訂或調(diào)整有關(guān)評價指標及其標準分值。第五十二條 根據(jù)過程評價和結(jié)果評價綜合確定內(nèi)部控制體系的總分。其中，過程評價的權(quán)重為70％，結(jié)果評價的權(quán)重為30％，兩項得分加總得出綜合評價總分。第五十三條 根據(jù)綜合評價總分確定被評價機構(gòu)的內(nèi)部控制體系評價等級，應按評分標準對被評價機構(gòu)內(nèi)部控制項目逐項計算得分，確定評價等級。定級標準為：一級：綜合評分90分 以上（含90分）。指被評價機構(gòu)有健全的內(nèi)部控制體系，在各個環(huán)節(jié)均能有效執(zhí)行內(nèi)部控制措施，能對所有風險進行有效識別和控制，無任何風險控制盲點，控制措施適宜，經(jīng)營效果顯著。二級：綜合評分80－89分。指被評價機構(gòu)內(nèi)部控制體系比較健全，在各個環(huán)節(jié)能夠較好執(zhí)行內(nèi)部控制措施，能對主要風險進行識別和控制，控制措施基本適宜，經(jīng)營效果較好三級：綜合評分7079 分。指被評價機構(gòu)內(nèi)部控制體系一般，雖建立了大部分內(nèi)部控制，但缺乏系統(tǒng)性和連續(xù)性，在內(nèi)部控制措施執(zhí)行方面缺乏一貫的合規(guī)性，存在少量重大風險，經(jīng)營效果一般。四級：綜合評分60 －69 分。被評價機構(gòu)內(nèi)部控制體系較差，內(nèi)部控制體系不健全或重要的內(nèi)部控制措施沒有貫徹執(zhí)行或無效，管理方面存在重大問題，業(yè)務經(jīng)營安全性差。五級：綜合評分60分以下（不含60分）。被評價機構(gòu)內(nèi)部控制體系很差，內(nèi)部控制體系存在嚴重缺失或內(nèi)部控制措施明顯無效，存在明顯的管理漏洞，經(jīng)營業(yè)務失控，存在重大金融風險隱患。上述等級也適用于單項評級，單項評級結(jié)果主要用于對比分析。第五十四條 若被評價機構(gòu)在評價期內(nèi)發(fā)生重大責任事故，應在上述評級的基礎(chǔ)上下調(diào)一級。重大責任事故包括：（一）因安全防范措施不當，發(fā)生金融詐騙、盜竊、搶劫、爆炸等案件，造成重大影響或損失。（二）因經(jīng)營管理不善發(fā)生擠提事件。（三）業(yè)務系統(tǒng)故障，造成重大影響或損失。（四）經(jīng)查實的重大信訪事件。第五十五條 內(nèi)部控制體系連續(xù)在三個評價期內(nèi)得不到改善的機構(gòu)，其內(nèi)部控制評價等級應適當下調(diào)。第六章 組織和實施第五十六條 內(nèi)部控制評價按照統(tǒng)一領(lǐng)導，分級管理的原則進行。第五十七條 根據(jù)評價的范圍，內(nèi)部控制評價可分為以下層次：（一）銀監(jiān)會及其派出機構(gòu)對商業(yè)銀行法人機構(gòu)的整體評價，原則上每兩年一次。（二）銀監(jiān)會及其派出機構(gòu)對商業(yè)銀行總部的評價，原則上每兩年一次。（三）銀監(jiān)會及其派出機構(gòu)對商業(yè)銀行不同層次分支機構(gòu)的評價，每三年一個評價周期，每年至少覆蓋三分之一以上的分支機構(gòu)，三年內(nèi)必須覆蓋全部分支機構(gòu)。第五十八條 應當根據(jù)風險大小和重要性確定對商業(yè)銀行及其分支機構(gòu)內(nèi)部控制評價的頻率和范圍，當商業(yè)銀行發(fā)生管理層重大變動、重大的并購或處置、重大的營運方法改變或財務信息處理方式改變等情況，或銀監(jiān)會認為必要時，應對商業(yè)銀行內(nèi)部控制進行整體評價。第五十九條 銀監(jiān)會對商業(yè)銀行法人機構(gòu)整體評價時，總部占整體評價得分的60%，分支機構(gòu)平均得分占整體評價得分的40%，形成最終評級結(jié)果。其中，初次整體評價時，應覆蓋總行和所有分支機構(gòu)；再次進行整體評價時，應抽取不少于三分之一的分支機構(gòu)。銀監(jiān)會各派出機構(gòu)對轄內(nèi)商業(yè)銀行分支機構(gòu)的內(nèi)部控制評價可比照進行。第六十條 銀監(jiān)會及其派出機構(gòu)應及時整理、分析和掌握被評價機構(gòu)報送的非現(xiàn)場監(jiān)管數(shù)據(jù)、國家審計部門的審計結(jié)果和被評價機構(gòu)的內(nèi)部審計信息，充分利用監(jiān)管部門對被評價機構(gòu)的各種現(xiàn)場檢查結(jié)果。第六十一條 銀監(jiān)會或其派出機構(gòu)應對被降價機構(gòu)內(nèi)部控制體系的改進情況進行后續(xù)跟蹤，責令被評價機構(gòu)針對發(fā)現(xiàn)的違規(guī)或風險隱患制定糾正措施，并對糾正情況及其有效性進行驗證。第六十二條 內(nèi)部控制評價各階段涉及的有關(guān)記錄、表格、評價報告以及跟蹤驗證的相關(guān)資料