內部控制評價包括過程評價和結果評價。過程評價是對內部控制環境、風險識別與評價、內部控制措施、監督、評價與糾正、信息交流與反饋等系統要素的評價。結果評價是對內部控制主要目標實現程度的評價。第三條商業銀行內部控制體系是商業銀行為實現經營管理目標,通過制定和實施系統的政策、程序和方案,有效識別、評估、控制、監測和改善風險的動態過程和機制。第四條商業銀行應建立並保持系統、透明、文件化的內部控制體系,定期或在相關法律法規和其他經營環境發生重大變化時,對內部控制體系進行評審和改進。第五條商業銀行內部控制評價由中國銀行業監督管理委員會(以下簡稱銀監會)及其派出機構組織實施。第六條內部控制評價人員應當接受內部控制評價相關知識和技能的培訓,並具備相應的資格和能力。第二章評價目標和原則第七條商業銀行內部控制評價的目標主要包括:
(壹)促進商業銀行嚴格遵守國家法律法規、銀監會監管要求和商業銀行審慎經營原則。
(二)促進商業銀行提高風險管理水平,確保其發展戰略和經營目標的實現。
(三)促進商業銀行增強業務、財務和管理信息的真實性、完整性和及時性。
(四)促進商業銀行各級管理者和員工強化內部控制意識,嚴格執行各項控制措施,確保內部控制體系有效運行。
(五)促進商業銀行在發生業務創新、機構重組和新設等重大變化時,及時有效地評估和控制可能的風險。第八條內部控制評價應從充分性、合規性、有效性和適宜性四個方面進行:
(a)過程和風險是否已被充分識別。
(2)過程和風險控制措施是否符合相關要求,是否得到明確定義、實施和保持。
(3)控制措施是否有效。
(4)控制措施是否適當。第九條內部控制評價應遵循以下原則:
(1)全面性原則。評價範圍應覆蓋商業銀行內部控制活動的全過程以及所有系統、部門和崗位。
(2)統壹性原則。評價的標準、範圍、程序和方法應當壹致,以確保評價過程的準確性和評價結果的客觀性和可比性。
(3)獨立性原則。評估應由銀監會或受委托的評估機構獨立進行。
(4)公平性原則。評價應當以事實為依據,以法律法規和監管要求為準則,客觀公正,實事求是。
(5)重要性原則。評價應根據風險和控制的重要性確定重點,關註關鍵領域和關鍵業務。
(6)時效性原則。評價應當按照規定的時間間隔持續進行,並在經營管理環境發生重大變化時及時進行重新評價。第三章評價內容第壹節內部控制環境第十條商業銀行公司治理。
商業銀行應建立以股東大會、董事會、監事會和高級管理層為主體的公司治理組織架構,確保各機構規範運作、三權分立。
(1)完善股東大會、董事會、監事會及其議事決策機構,建立議事規則和決策程序。
(2)明確董事會與董事、監事會與監事、高級管理層與高級管理人員在內部控制中的職責。
(3)建立獨立董事制度,對董事會討論的事項發表客觀公正的意見。
(4)建立外部監事制度,對董事會、董事、高級管理層及其成員進行監督。第十壹條董事會、監事會和高級管理層的職責。
董事會負責確保商業銀行建立並實施充分有效的內部控制體系;負責審批總體經營戰略和重大政策,並定期檢查和評估執行情況;負責確保商業銀行在法律和政策框架內審慎經營,明確設定可接受的風險水平,並確保高級管理層采取必要措施識別、計量、監測和控制風險;負責審批組織機構;負責確保高級管理層監控和評估內部控制系統的充分性和有效性。
監事會負責監督董事會和高級管理層完善內部控制制度;負責監督董事會、董事、高級管理人員和高級管理人員履行內部控制職責;負責要求董事、董事長和高級管理人員糾正其損害商業銀行利益的行為,並監督其執行。
高級管理層負責制定內部控制政策,監控和評估內部控制體系的充分性和有效性;負責執行董事會的決定;負責建立識別、測量、監控和控制風險的程序和措施;負責建立和完善內部組織,確保內部控制職責的有效履行。
董事會和高級管理層還應培育良好的內部控制文化,提高員工的風險意識和職業道德,建立暢通的內外部信息溝通渠道,確保及時獲得與內部控制相關的人力、物力、財力、信息和技術資源。