《授信业务内部控制过程评价示例.doc》由会员分享,可在线阅读,更多相关《授信业务内部控制过程评价示例.doc(37页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、附录五:授信业务内部控制过程评价示例评价内容(对应办法第10至31条)评价要点和评价方法(不限于此)评价结果分值计分标准得分合计内部控制环境100第十条 公司治理商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构,保证各机构规范运作、分权制衡。 (一)完善股东大会、董事会、监事会及下设的议事和决策机构,建立议事规则和决策程序; (二)明确董事和董事会、监事和监事会、高级管理层和高级管理人员在内部控制中的责任;(三)建立独立董事制度,对董事会讨论事项发表客观、公正的独立意见;建立外部监事制度,对董事会、董事、高级管理层及其成员进行监督。本条是对商业银行公司治理的综合评
2、价,不作为单项评价的内容第十一条董事会、监事会、高级管理层责任董事会负责保证商业银行建立并实施充分而有效的内部控制;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律及政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施认定、计量、监督并控制风险;负责审批组织结构;负责保证高级管理层对内部控制制度的充分性与有效性进行监测和评估。 监事会负责监督董事会、高级管理层完善内部控制;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。 高级管理层负责制定内部控制政策,
3、对内部控制的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立认定、计量、监督并控制风险的程序和措施;负责建立和完善内部组织结构,保证内部控制的各项职责得到有效履行。 董事会和高级管理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保与内部控制有关的人力、物力、财力、信息以及技术资源的获得。本条是对商业银行董事会、监事会、高级管理层责任的综合评价,不作为单项评价的内容第十二条 内部控制政策商业银行应在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的方向和原则,并为制定和评审内部控制目标提供指导。内部控制政策应: (一)与商业银行
4、的经营宗旨和发展战略相一致; (二)体现持续改进内部控制的要求; (三)符合现行法律法规和监管要求; (四)体现出侧重控制的风险类型; (五)体现出对不同地区、行业、产品的风险控制要求;(六)传达给适用岗位的员工,指导员工实施风险控制措施; (七)可为风险相关方所获取,并寻求互利合作; (八)定期进行评审,确保其持续的适宜性和有效性。1授信业务政策是否符合商业银行的经营宗旨和发展战略?(询问并查阅书面资料)2、信业务政策是否符合法律法规和监管要求?(查阅书面资料)3、授信业务政策是否体现出侧重控制的风险类型,并体现出对不同地区、行业、产品的风险控制要求?(查阅书面资料)4、授信业务政策是否传达
5、至授信工作人员并为其所熟悉?(询问和查阅)5、授信业务政策实际执行情况如何?(抽样,可结合后面的抽样同时进行)6、是否发挥作用?(抽样,可结合后面的抽样同时进行)7、授信业务政策是否定期进行评审,并根据经营环境、监管要求等进行调整?(询问并查阅书面资料)203332333第十三条 内部控制目标商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现对持续改进的要求。在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素。内部控制目标应可测量。可行时,目标应予以量化1. 授信业务是否建立内部控制目标?2. 目标考虑
6、了哪些要求?是否体现了内控政策的要求?(询问并查阅书面资料)3. 授信内控目标是否分解?如何进行监测和考核?(询问并查阅书面资料)4. 授信内控目标(如不良资产率等)实现情况如何?(询问并查阅书面资料)5. 如何通过授信内控目标提高授信工作和资产质量?(询问)2044444第十四条 组织结构商业银行应建立分工合理、职责明确、报告关系清晰的组织结构,明确与风险和内部控制有关的部门、岗位、人员的职责和权限,并形成文件予以传达。特别应考虑:(一)必要的职责分离,以及横向与纵向相互监督制约关系;(二)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定;(三)建立关键岗位定期或不定期的人员轮
7、换和强制休假制度;(四)建立相应的授权体系,实行统一法人管理和法人授权。商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门,界定其角色、责任和权限,向高级管理层报告内部控制的绩效。商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员;应有权获得商业银行的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率,以及对机构和业务的审计覆盖率,定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总行内部
8、审计负责人的聘任和解聘应当经董事会或监事会同意。 1. 是否设立清晰的授信业务组织体系?(询问并查阅书面材料)2. 是否建立严格的授信风险垂直管理体制,对授信进行统一管理? (询问并查阅书面材料)3. 是否设立独立的授信风险管理部门,对不同币种、不同客户对象、不同种类的授信进行统一管理,避免信用失控? (询问并查阅书面材料)4. 授信岗位设置是否做到分工合理、职责明确?岗位之间是否相互配合、相互制约?是否做到审贷分离、业务经办与会计账务处理分离? (询问并查阅书面材料)5. 是否对授信实行统一的法人授权制度,上级机构是否根据下级机构的风险管理水平、资产质量、所处地区经济环境等因素,合理确定授信
9、审批权限? (询问并查阅书面材料)6. 是否设立审贷委员会,负责审批权限内的授信?行长是否担任审贷委员会的成员?(查阅书面材料)7. 审贷委员会审议表决是否遵循集体审议、明确发表意见、多数同意通过的原则?全部意见是否记录存档?是否存在被审贷委员会两次否决的贷款申请在半年内不得又提交审贷委员会审议情况? (查阅书面材料,并进行抽样验证,结合后面的抽样同时进行)8. 授信业务组织体系的有关规定如授权、职责分离等是否得到遵循?(抽样,结合第二十条的业务抽样)9. 授信业务组织结构是否适宜并发挥作用?(结合内控目标和实际抽样结果进行评价)20223232222第十五条 企业文化商业银行应培育健康的企业
10、文化,对企业文化的内涵、组织机制、传播机制、评估机制以及活动机制作出明确的规定,向员工传达遵守法律法规和实施内部控制的重要性,引导员工形成良好的合规意识和较强的风险意识,促进员工职业道德水平的提高,规范员工行为,营造良好的内部控制环境。所有员工都应了解自己在内部控制中的作用,全面参与内部控制体系建设。1. 是否有明确的授信文化? (询问并查阅书面材料)2. 授信文化是否体现风险控制的理念?(询问并查阅书面材料)3. 授信文化是如何向员工贯彻?(询问)4. 授信文化在引导授信人员形成风险意识、规范行为方面是否发挥作用?(询问和观察,评价员工风险意识)103322第十六条 人力资源商业银行应完善人
11、力资源政策和程序,确保与风险和内部控制有关人员具备相应的能力和风险意识。商业银行应规定所有岗位的职责、权限和人员适任条件,明确关键岗位、特殊岗位、不相容岗位及其控制要求。商业银行应确定与风险和内部控制有关人员的必要的能力要求。应根据其教育水平、工作经验、考核和接受过的培训对能力进行鉴定。尤其应满足监管机构对高级管理人员资质的要求,不满足任职资格的不得担任高级管理职务。商业银行应制定并保持培训计划,以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审,并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福
12、利、专业技术职务管理等日常人事管理做出详细规定,充分考虑人力资源管理过程中的风险。1. 有关授信人员(尤其是客户经理、授信审批人员)的职责、权限和人员适任条件是否得到明确的书面规定?(询问并查阅书面材料,可结合对人力资源部门的评价进行)2. 现有授信人员是否能够达到适任要求?若达不到,如何解决?(询问并查阅书面材料,可结合对人力资源部门的评价进行)3. 对授信人员的培训如何开展?对新业务是否及时进行培训?(询问并查阅书面材料,可结合对人力资源部门的评价进行)4. 对授信人员如何进行考核、激励?(询问并查阅书面材料,可结合对人力资源部门的评价进行)5. 是否建立授信人员的尽职要求?是否建立授信工
13、作尽职问责制,明确规定各个授信岗位的职责(询问并查阅书面材料)6. 上述授信人员有关的政策和程序是否得到遵循?(询问、抽样)7. 有关的政策和程序是否发挥作用?(根据询问和抽样结果综合判断)202333333风险识别与评估100第十七条经营管理活动 风险识别与评估商业银行应建立和保持书面程序,以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、操作风险、市场风险、国家和转移风险、利率风险、流动性风险、法律风险以及声誉风险等。 商业银行对各类风险进行有效的识别与评估时应充分考虑内部和外部因素,内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等;外部因素包括经
14、济形势的波动、行业变动趋势等。应识别并确定常规和非常规的业务和管理活动,并识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围,特别应考虑计算机系统的运用可能带来的风险。风险识别与评估应:(一)依据业务范围、性质和时限主动进行;(二)评估风险的后果、可能性和风险级别;(三)必要时开发和运用风险量化评估的方法和模型。应依据法律法规、监管要求以及内部控制政策确定风险是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评审,以确保其持续可接受;风险不可接受时,应制定控制方案。环境和条件发生变化时,应对风险进行再识别和再评估,以确保任何新的和以前未予控制的风险得到识别和
15、控制。1. 是否制订识别、计量、评估、监测和管理授信风险的程序和方法?2. 是否及时更新风险评估文件及传达到相关人员?有关员工是否理解和熟悉这些程序和方法?3. 信用风险如何进行识别和评估?是否以风险量化评估的方法和模型为基础,开发和运用统一的客户信用评级体系?4. 是否将信用评级作为授信客户选择和项目审批的依据,并为客户信用风险识别、监测以及制定差别化的授信政策提供基础? 5. 是否依据风险识别与评估的程序和方法充分识别了授信业务过程中的各类风险?6. 风险识别和评估的程序和方法是否有效并具有可操作性?7. 是否对授信业务风险进行持续识别和评估?508777777第十八条 法律法规、监管要求
16、和其他要求识别商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序,作为风险识别与评估、制订控制目标和控制方案的依据。商业银行应及时更新法律法规、监管要求和其他要求的信息,并将这些信息传达给相关员工和其他风险相关方。1. 是否对授信有关的法律法规、监管要求和其他要求进行识别和控制?(询问并查阅书面材料)2. 对授信有关的法律法规、监管要求和其他要求是否传达给授信人员?授信人员是否熟悉?(询问)201010第十九条 内部控制措施策划商业银行应制定内部控制措施策划方案,以控制所识别的不可接受风险。内部控制措施策划方案应包括以下内容:(一)为实现对风险的控制而规定的相关层次的职责与权
17、限;(二)控制的策略、方法、资源需求和时限要求。内部控制措施若涉及到组织结构、流程、计算机系统等方面的重大变更,应考虑采取此种措施后可能产生的新风险。1. 是否针对不可接受风险制定控制方案?制订了哪些控制方案?2. 授信过度集中的风险如何控制?3. 对集团客户和关联企业授信风险如何控制?30101010内部控制措施第二十条 运行控制商业银行应确定需要采取控制的业务和管理活动,依据所策划的控制措施或已有的控制程序对这些活动加以控制。控制措施包括: (一)高层检查。董事会与高级管理层要求下级部门及时报告经营管理情况和特别情况,以检查银行在实现内部控制目标方面的进展。高级管理层根据检查情况提出内部控
18、制缺失,督促职能管理部门改进。(二)行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告,提出问题,要求采取纠正整改措施。 (三)实物控制。主要的控制措施包括实物限制、双重保管和定期盘存。 (四)遵循风险暴露限制的情况。审查遵循风险限制方面的合规性,在不合规的情况下继续跟踪检查。如遵循对借款人的信用额度限制,减少风险集中程度,有助于分散风险。 (五)审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权,明确各级管理责任。 (六)验证与核实。验证各项业务、管理活动,以及所采用的风险管理模型结果,并定期核实相关情况,及时发现需要修正的问题,向职能管理部
19、门报告。 (七)不兼容岗位的适当分离。实行适当的职责分工,认定潜在的利益冲突并使之最小化。控制要点包括:(一)对于可能导致偏离内部控制政策、目标的运行情况,应建立并保持书面程序和要求,并在程序中规定操作和控制标准;(二)对于重要活动应实施连续记录和监督检查;(三)在可能的情况下,应考虑运用计算机系统进行控制;(四)对于采购或外包的设施、设备、系统和服务中已识别的风险,应建立并保持控制程序,并将有关程序和要求通报供方,确保他们遵守商业银行相关的控制要求;(五)对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序。1. 是否制订授信业务程序并定期检讨更新?(询问并查阅书面材料)2.
20、 授信业务程序是否覆盖授信所有业务和全过程并符合法律法规和监管要求?(如贷款通则、商业银行授信工作尽职指引)(询问并查阅书面材料)3. 对授信业务中的采购或外包活动(如外聘行业专家、会计师事务所、评估事务所等)是否进行控制?4. 授信业务的产品开发如何进行控制?5. 是否严格执行授信业务程序?6. 授信业务的运行过程是否有效?(结合内控绩效监测结果进行评价)60101010101010第二十一条 计算机系统环境下的控制商业银行应考虑计算机系统环境下的业务运行特征,建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制,确保信息资产的完整性、安全性和
21、可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。1. 是否建立授信管理信息系统,持续监控授信全过程?(询问并查阅书面材料)2. 是否建立完善的客户管理信息系统,全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息,以对客户进行分类管理,对已列入“黑名单”、有逃废债等行为的资信不良的借款人实施授信禁入?(询问并查阅书面材料)3. 授信业务有关的信息系统是得到真正运用?4. 信息系统在授信业务风险控制方面是否发挥作用?205555第二十二条 应急准备与响应商业银行应建立并保持预案和程
22、序,以识别可能发生的意外事件或紧急情况(包括计算机系统)。意外事件和紧急情况发生时,应及时做出应急响应,以预防或减少可能造成的损失,确保业务持续开展。 商业银行应定期检查、维护应急的设施、设备和系统,确保其处于适用状态。如可行,应定期测试应急预案。商业银行应评审其应急预案,特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括损失、险情)的性质相适应。1. 是否能够识别授信业务中可能存在导致发生重大损失的紧急情况?2. 针对可能存在的紧急情况是否制订应急预案?3. 在发生紧急情况时是否启动应急预案?4. 是否对应急预案进行定期评审?205555监督评价与纠正100第二
23、十三条 内部控制绩效的监测商业银行应建立并保持书面程序,通过适宜的监测活动,对内部控制绩效进行持续监测。书面程序包括:(一)对内部控制目标实现程度的监测;(二)适用的法律、法规及监管要求的遵循程度;(三)对适用的法律法规及监管要求及其他要求的符合情况的主动监测;(四)对损失、险情和其他不良的内部控制绩效的历史证据的被动监测;(五)必要的监测数据和结果的记录,以便于随后的纠正和预防措施分析。监测活动至少应包括:(一)业务或管理活动专项检查; (二)内部审计; (三)内部控制评价; (四)管理评审。1. 是否建立授信资产质量监测体系,严密监测资产质量的变化?(询问并查阅书面材料)2. 是否建立贷款
24、风险分类制度,规范贷款质量的认定标准和程序?(询问并查阅书面材料)3. 是否建立业务部门检查制度、风险管理部门监控制度、审计部门审计监督制度?(询问并查阅书面材料)4. 是否建立授信尽职调查岗,以对授信业务流程的各项活动进行尽职调查,评价授信工作人员是否勤勉尽责,确定授信工作人员是否免责?(询问并查阅书面材料)5. 是否按照监测的要求实施监测或尽职调查?(询问并查阅书面材料)3066666第二十四条 违规、险情、事故处置和纠正与预防措施商业银行应对违规、险情、事故的发现、报告、处置和纠正与预防措施做出规定,包括:(一)发现违规、险情、事故并及时报告,必要时,可越级报告;(二)及时处置违规、险情
25、、事故;(三)制定纠正与预防措施,防止违规、险情、事故的发生和再发生,并与问题的大小和风险危害程度相一致;(四)纠正与预防措施在实施之前应进行风险评估;(五)实施并跟踪、验证纠正与预防措施;(六)险情和事故的责任追究。1. 对授信业务各环节出现的问题(违规、险情和事故)是否经过适当程序确认,并责成相关授信工作人员及时进行纠正?2. 是否对违规造成的授信风险和损失逐笔进行责任认定,并按规定对有关责任人进行处理?201010第二十五条 内部控制体系评价商业银行应按策划的方案对内部控制体系实施评价,确保内部控制体系的符合性和有效性。评价程序应包括评价的目的、准则、范围、频率和方法,以及执行评价和结果
26、报告的职责与要求。评价应由与所评价的活动无直接责任的人员进行,评价人员应能够胜任评价工作。评价方案的制定,应以活动的风险评估结果、业务和管理流程及相关区域的状况和以前的评价结果为依据。评价应覆盖体系范围内的所有活动,被评价区域的管理者应跟踪、参与违规原因的消除,并验证所采取措施的效果。必要时可根据评价结果确定内部控制水平的等级。应将评价结果的信息提供给管理层参考和决策。1. 在内审中是否对授信业务进行评价?20第二十六条 管理评审董事会应采取措施保证商业银行定期组织对内部控制状况进行评审,确保体系得到持续、有效的改进。管理评审的输入应包括以下方面的信息:(一)内部控制体系评价的结果;(二)内部
27、控制政策执行情况和内部控制目标实现情况;(三)对内部控制体系有重要影响的外部信息,如法律、法规的重大变化;(四)组织结构的重大调整;(五)事故和险情以及重大纠正和预防措施的状况;(六)以往管理评审的跟踪情况;(七)内部控制体系改进的建议。管理评审的输出应包括与以下方面有关的决定和措施:(一)内部控制体系及其过程的改进;(二)内部控制政策、目标的变更;(三)与内部控制有关资源的需求。1. 是否对授信业务的风险和内部控制情况进行评审?2. 评审的依据是否充分?3. 评审的结论是否明确?4. 评审决议是否得到充分贯彻?205555第二十七条 持续改进商业银行应利用内部控制政策、内部控制目标、评价结果
28、、绩效监测和数据分析、纠正和预防措施以及管理评审,持续改进内部控制,不断提高其有效性。1. 是否能够提供证据证明授信业务的内部控制进行过改进?10信息交流与反馈100第二十八条 交流与沟通商业银行应建立和保持信息交流与反馈的程序,对财务、管理、业务、重大事件和市场信息等相关信息,明确其识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。商业银行应识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保:(一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息;(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策、程序;(三)险情、事
29、故发生时,相关信息能得到及时报告和有效沟通; (四)及时、真实、完整地向监管机构和外界报告、披露相关信息; (五)国内外经济、金融动态信息的取得和处理,并及时把与企业既定经营目标有关的信息提供给各级管理层。 信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。 为保持信息交流沟通可追溯性,必要时,应保持相关信息交流与沟通的记录。1. 是否制订授信风险报告制度?(查阅书面材料)2. 对重大授信风险是否及时报告?(查阅书面材料)3. 授信风险的报告制度是否得到遵循?(查阅书面材料)25988第二十九条 内部控制体系对文件的要求建立和保持文件化体系是实现信息交流与反馈的
30、重要途径。商业银行应建立并保持必要的内部控制体系文件,包括:(一)对内部控制体系核心过程要素及其相互作用的描述;(二)内部控制政策和目标;(三)关键岗位及其职责与权限;(四)不可接受的风险及其预防和控制措施;(五)控制程序、作业指导、方案和其他内部文件。1. 涉及授信业务的内部控制的文件是否充分?2. 是否存在无章可循情况?251510第三十条 文件控制商业银行应建立并保持书面程序,以确保内部控制体系所要求的文件满足下列要求:(一)文件和资料易于查询;(二)实施前得到授权人的批准;(三)定期进行评审,必要时予以修订并由授权人员确认其适宜性;(四)所有相关岗位都能得到有效版本;(五)失效时,及时
31、从所有发放处和使用处收回,或采取其他措施防止误用;(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。(七)留存的档案性文件和资料应予以适当标识。1. 授信有关的文件是否得到有效控制?(在查阅授信政策、程序等书面材料时验证)25第三十一条 记录控制商业银行应建立并保持书面程序,以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。记录应保持清晰、易于识别和检索,以提供符合要求和内部控制有效运行的证据,并可追溯到相关的活动。1. 是否建立授信业务档案管理规定?2. 授信业务档案管理规定是否符合要求?3. 是否遵循档案管理规定?(在业务抽样时进行验证即可)25988
黑公网安备:91230400333293403D