13.是否建立远程备份?
14.是否提供对电子银行客户的培训、客户服务和相关支持工作?如何与风险控制方案相结合?
15.在制定电子银行业务的准入标准、管理办法和操作规程中如何考虑风险因素及相应措施?
16.如何控制网上银行交易的风险,确保交易安全?
17.系统安全运行中的不安全因素是否全面分析和控制?对分中心运行如何监视?
18.对计算机系统数据的管理:是否建立接入授权程序,并对接入后的操作进行安全控制?是否核对输入数据,对数据的修改进行批准并建立日志?
19.计算机系统运行过程中是否配备计算机安全管理人员,明确其职责?是否建立技术部门和业务部门的沟通渠道?
20.如何明确用户的创建、变更、删除、用户口令等控制要求;是否明确员工计算机信息系统的用户名或权限卡的使用要求?
(三)应急准备和处置
1.是否已建立并保持应急预案和程序,已识别可能发生意外或紧急事件?
应急预案是说明特定紧急情况发生时须采取的措施,应包括:
(1)识别潜在的事故(风险)和紧急情况;
(2)确定紧急情况发生时的负责人;
(3)确定紧急情况发生时各类人员的行动计划,包括发生紧急情况的区域内所有外来人员的行动计划;
(4)确定紧急情况发生时具有特定作用人员的职责、权限和义务,如柜员、保安、保卫人员等;
(5)明确与外部应急机构的接口;
(6)与执法部门进行交流;
(7)重要记录资料和重要设备的保护;
(8)紧急情况发生时可利用的必要资料,如报警设备和联络电话号码等。
2.在应急计划中是否对外部机构的参与有明确的规定,是否向其说明它们需参与和可能遇到的情况,并提供相关信息,以便其参与?
3.如何规定意外或紧急事件发生时,应采取应急响应的措施?措施是否及时、有效?
4.是否规定并实施对应急的设施、设备和系统定期检查和维护?是否保证充足提供?
5.在可行情况下,是否对应急预案定期进行演习和测试?是否按计划进行应急演练?
6.是否对制订的应急预案进行评审?应急准备是否与可能发生的意外或紧急事件的性质(如事故、险情)相适应?
7.近年来,是否发生过意外或紧急事件(如挤兑、信息系统崩溃、火灾、地震等)?如发生过,如何按应急预案及时、有效地采取相应措施,并确保业务持续开展?
四、监督评价与纠正
(一)内部控制绩效监测
1.是否建立了内部控制绩效监测程序?
2.绩效监测的对象有哪些?
3.内控绩效监测的方法有哪些?
4.何时进行内控绩效监测(频次)?
5.监测结果评价的准则是什么?
6.监测结果的信息如何传递和利用?’
7.对下一级分行的经营、管理是否进行经常性检查?并及时纠正问题?
8.如何对全行的经营、内控和风险状况的审计、监督和评价作出安排?审计的频次是怎样决定的?
9.如何对全行审计工作执行有关审计政策、审计准则和规章制度情况进行监管和检查?
10.是否对审计监督中发现的重大问题和事件的处理结果进行跟踪,以防止问题或事件的再次发生?近年来发现的重大问题和事件是否已采取有效措施?
11.如何确保全行的审计部门和审计人员的独立性?
12.高级管理人员离职时是否进行离任审计?
13.如何对审计效果进行评价?
14.如何对高层人员进行监督?是否有监管档案?
(二)事故、险情、违规和纠正与预防措施
1.是否已建立和保持了书面程序文件,规定事故、险情、违规发现、报告、处置、原因分析及纠正和预防措施等内容?
2.发现事故、险情、违规时,是否及时报告?
3.如何处置事故、险情、违规事项?从发现到处置的时效如何?
4.针对发现的事故、险情、违规的原因所采取的措施(纠正或预防措施)是否考虑了问题大小和风险危害程度?
5.纠正或预防措施在付诸实施前是否作过风险评估?
6.被批准执行的纠正或预防措施是否实施?这些措施的效果是否能防止发生或再发生事故、险情、违规?
7.发生事故、险情和重要违规事项时是否追究相关人员责任?
8.在内控评价、业务检查、审计中,对发现的问题如何作责任认定?
9.信访、举报、投诉、控告、处分的程序和记录的管理方式如何?
(三)内部控制体系评价
1.商业银行是否建立和维持书面的内部控制体系评阶程序?
2.是否规定了内控体系评价的准则、范围、频次、评价的方法和评价组(或人员)职责和权限?
3.实施内控体系评价的评价人员是否充分考虑独立性?
4.安排评价活动前是否进行过周密策划,形成评价方案(包括日程安排)?
5.评价方案是否考虑了被评价机构风险管理的重要性或风险评估的结果,以及所进行活动的过程、以前评价的结果?
6.是否按程序文件实施过评价?如果是,则重点调查:受评价机构的负责人对内控体系评价中发现的问题是否积极地参与消除违规原因,并决定所采取的措施,跟踪检查措施的执行及效果验证。
7.内控体系评价后,其评价结果报告中是否就内部控制的有效性作出评价?通过评价,可否评估内部控制体系水平的等级?
8.通过内控评价,是否针对发现的问题进一步完善了内控体系?
(四)管理评审
1.是否建立和保持了管理评审的程序文件?
2.是否实施过管理评审?
3.管理评审输入信息是否充分?
4.如果进行过管理评审,则评估管理评审的输出是否符合要求?
(五)持续改进
1.是否识别改进的机会,从而持续地自我改进内部控制体系?
2.持续改进的过程如何实施?
五、信息交流与反馈
(一)交流与沟通
1.是否规定交流与沟通的内容及沟通方式?
2.风险的相关方(内、外部)进行信息交流的政策是什么?
3.是否有程序文件规定相关信息的识别、收集、处理、交流和沟通过程?
4.信息传输的流程如何?
5.董事会和高级管理层能否获得内部控制状况信息?
6.是否及时向监管机构报告、披露相关信息(必要时向外界披露)?
7.信息沟通记录如何保持?
8.信息保密、安全所需的授权如何?
9.是否建立信息披露制度?
(二)内控体系的文件化要求
1.怎样理解内控体系文件化的?
2.内控体系的文件类别、构成及其关系怎样?
3.内控体系文件是否充分?
(三)文件控制
1.文件是否经批准才能实现?
2.需要文件指导的部门或岗位是否能得到,或查到?
3.文件的适宜性是否定期评审,需要时修订文件?
4.文件的版本如何识别和控制?
5.废止文件(某页或某份)采取什么措施防止误用以及标识?
6.外来文件(如相应法律、法规、外部监管部门的相关规定等)如何控制(识别、分发、使用、废止以及转为内部文件的情况)?
(四)记录控制
1.是否已建立和保持了内控体系相关记录的控制程序文件?
2.该文件是否包括了记录的标识、生成、保管、保护、检索(查找、调用),保存期限及到期处理的方法等?
3.记录是否清晰,是否便于工作人员查找?
4.会计、统计、业务档案(必要时,调查记录记载事项的溯源性)是否完整?
第四部分 商业银行主要业务和管理活动内部控制评价要点
一、授信业务
(一)授信管理
1.授信政策是否符合国家法律和外部监管部门的规定?是否制定了信贷战略目标?
2.各级审贷委员会的组成是否符合审贷分离原则?一把手是否出任审贷委员会成员?
3.审贷委员会是否实行集体审议、充分发表意见、多数同意通过的原则?审贷委员会的全部意见是否记录存档?
4.是否设立独立的授信风险管理部门?
5.授信岗位设置是否分工合理、职责明确?授信各部门、各岗位是否都建立了岗位责任制?
6.是否制定各类授信业务品种的统一管理办法,明确规定各项业务的条件,包括选项标准、期限、利息和收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容?
7.是否建立客户准入退出机制?是否建立完善的客户信息管理系统,对客户进行分类管理,全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息?对已列入“黑名单”、逃废债等资信不良的企业和个人是否实施授信禁入?
8.是否对同一客户的贷款、贸易融资、票据承兑贴现、透支、保理、担保、贷款承诺、开立信用证等各类表内外授信实行一揽子管理,确定总体授信额度?
9.是否对同一集团客户进行总量控制和统一授信管理?是否对关联交易采取了风险控制措施?
10.是否建立了客户信用评级体系?如有,请表述其风险量化评估的方法。
11.是否建立了资产质量监测制度和报告体系,以及信贷风险预警机制?
12.是否建立贷款风险分类制度,规范贷款质量的认定标准和程序,确保贷款质量的真实性?
13.是否采取有效措施加强对不良贷款的管理,是否建立不良贷款责任认定和清收的激励机制?是否对违法、违规造成的授信风险和呆账损失进行责任认定,并对有关责任人进行处理?
(二)商业贷款
1.是否收集了完整的借款人资料?
2.受理客户贷款申请时是否进行了严格的借款人资格及担保人资格审查,对借款人是否符合贷款条件有审查结论?
3.是否对借款人进行信用等级评价?
4.是否实地对借款单位、担保单位进行全面调查,并进行详细、具体的综合分析?
5.是否对保证人资信状况和抵押物、质押物进行全面调查,对其合法性、有效性和充分性进行分析?
6.是否对客户进行授信量分析?
7.是否撰写客户评价报告,并经审查部门核实?
8.是否签订了规范的借款合同和贷款担保合同?
9.是否落实、办理了保证、抵押、质押等有关手续?
10.是否存在不按贷款程序发放贷款或违背客观情况的项目?
11.是否进行信贷登记?
12.贷款投向是否符合相关规定和国家产业政策?
13.贷款利率、期限和方式是否符合规定?
14.是否定期对借款人执行合同情况及经营状况跟踪调查和贷后检查?
15.对次级以下贷款每季发书面催收通知,是否落实专人管理催收,是否定期走访次级以下贷款的借款和担保单位?
16.是否按规定办理贷款销户手续?
17.是否对不良贷款进行分类、登记、考核、催收?
18.是否采取有效措施加强对不良贷款的管理,是否建立不良贷款责任认定和清收的激励机制?
19.是否有完整的贷款质量、信贷比例指标定期报表和有关的分析报告?
(三)消费贷款
1.是否收集了完整的借款人资料?
2.是否严格审查借款人资信条件,是否对风险客户发放贷款?
3.是否对贷款客户进行申请额度审查,如:申请额度与抵、质押物额度的匹配度;贷款期限与质押物到期期限的匹配度?
4.是否超越额度发放贷款?
5.是否严格落实抵、质押物的真实性以及与借款人的所属关系?
6.是否严格审查委托扣款账户的真实性?
7.个人贷款是否进行严格的贷后管理?
8.在借款人发生意外事故或抵、质押物情况发生变化时是否及时保全银行资产?
9.是否建立抵押物保险制度?
(四)贸易融资
1.是否在授权、转授权权限内开展业务?
2.贸易融资是否纳入统一的授信管理额度?
3.企业是否具备基本融资条件?贸易融资的有关材料是否完备?
4.办理信托收据贷款、信用证议付是否按规定提供特定材料?
5.信托收据贷款、打包放款期限确定是否合理?
6.是否审查申请信托授权贷款企业开出信用证的真实贸易背景?
7.提货担保是否在正本单据到达后及时换回提货担保函,办理提货担保是否扣收手续费?
8.远期信用证是否在收到开证行的承兑电文后才办理押汇?
9.收取的保证金是否按规定存入保证金专户?
10.垫款是否纳入不良贷款核算并及时催收?
(五)承兑汇票和贴现
1.是否在规定的权限内签发银行承兑汇票?
2.承兑申请人是否符合条件?
3.承兑汇票和贴现是否纳入统一的授信管理额度?
4.办理承兑的程序、协议和期限是否合规?
5.逾期银行承兑汇票垫款是否及时转入有关科目进行监控?
