商业银行内部控制评价(大全)-范文网

商业银行内部控制评价

第一篇：商业银行内部控制评价

商业银行内部控制评价试行办法

中国银行业监督管理委员会令[2004]第9号

颁布时间：2004-12-25发文单位：中国银行业监督管理委员会

《商业银行内部控制评价试行办法》已经2004年8月20日中国银行业监督管理委员会第25次主席会议通过，现予公布，自2005年2月1日起施行。

主席刘明康

二○○四年十二月二十五日

商业银行内部控制评价试行办法

第一章总则

第一条为规范和加强对商业银行内部控制的评价，督促其进一步建立内部控制体系，健全内部控制机制，为全面风险管理体系的建立奠定基础，保证商业银行安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本办法。

第二条商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。

内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。

第三条商业银行内部控制体系是商业银行为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。

第四条商业银行应建立并保持系统、透明、文件化的内部控制体系，定期或当有关法律法规和其他经营环境发生重大变化时，对内部控制体系进行评审和改进。

第五条商业银行内部控制评价由中国银行业监督管理委员会(以下简称银监会)及其派出机构组织实施。

第六条内部控制评价人员应接受有关内部控制评价知识和技能的培训，具备相应的资质和能力。

第二章评价目标和原则

第七条商业银行内部控制评价的目标主要包括：

(一)促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。

(二)促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现。

(三)促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。

(四)促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。

(五)促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。

第八条内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行：

(一)过程和风险是否已被充分识别。

(二)过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。

(三)控制措施是否有效。

(四)控制措施是否适宜。

第九条内部控制评价应遵循以下原则：

(一)全面性原则。评价范围应覆盖商业银行内部控制活动的全过程及所有的系统、部门和岗位。

(二)统一性原则。评价的准则、范围、程序和方法等应保持一致，以确保评价过程的准确及评价结果的客观和可比。

(三)独立性原则。评价应由银监会或受委托评价机构独立进行。

(四)公正性原则。评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。

(五)重要性原则。评价应依据风险和控制的重要性确定重点，关注重点区域和重点业务。

(六)及时性原则。评价应按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，应及时重新评价。

第三章评价内容

第一节内部控制环境

第十条商业银行公司治理。

商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作，分权制衡。

(一)完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序。

(二)明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任。

(三)建立独立董事制度，对董事会讨论事项发表客观、公正的意见。

(四)建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。

第十一条董事会、监事会和高级管理层责任。

董事会负责保证商业银行建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。

监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。

高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

董事会和高级管理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。

第十二条内部控制政策。

商业银行应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。内部控制政策应：

(一)与商业银行的经营宗旨和发展战略相一致;

(二)体现持续改进内部控制的要求;

(三)符合现行法律法规和监管要求;

(四)体现出侧重控制的风险类型;

(五)体现出对不同地区、行业、产品的风险控制要求;

(六)传达给适用岗位的员工，指导员工实施风险控制措施;

(七)可为风险相关方所获取，并寻求互利合作;

(八)定期进行评审，确保其持续的适宜性和有效性。

第十三条内部控制目标。

商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。

在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监管部门的内部控制指标要求。

内部控制目标应可测量。有条件时，目标应用指标予以量化。

第十四条组织结构。

商业银行应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并形成文件予以传达。特别应考虑：

(一)建立相应的授权体系，实行统一法人管理和法人授权。

(二)必要的职责分离，以及横向与纵向相互监督制约关系。

(三)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。

(四)明确关键岗位、特殊岗位、不相容岗位及其控制要求。

(五)建立关键岗位定期或不定期的人员轮换和强制休假制度。

商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。

商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应

配备具有相应资质和能力的审计人员;应有权获得商业银行的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。

第十五条企业文化。

商业银行应培育健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。

第十六条人力资源。

商业银行应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。

商业银行应明确与风险和内部控制有关人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。

高级管理人员必须满足监管机构对高级管理人员资质的要求。

商业银行应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。

商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。

第二节风险识别与评估

第十七条经营管理活动风险识别与评估。

商业银行应建立和保持书面程序，以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、国家和转移风险、流动性风险、法律风险以及声誉风险等。

应识别并确定常规和非常规的业务和管理活动，并识别这些活动中的风险(无论是否由内部产生)，考虑其类型、来源及其影响范围，特别应考虑计算机系统的运用可能带来的风险。

应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评审，以确保其持续可接受;风险不可接受时，应制定控制措施。

商业银行对各类风险进行识别与评估时应充分考虑内部和外部因素。其中，内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。

当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

风险识别与评估应：

(一)依据业务范围、性质和时限主动进行。

(二)评估风险的后果、概率和风险级别。

(三)必要时开发并运用风险量化评估的方法和模型。

第十八条法律法规、监管要求和其他要求的识别。

商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。

商业银行应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。

第十九条内部控制方案。

商业银行应制定内部控制方案，以控制已识别的不可接受风险。内部控制措施方案应包括以下内容：

(一)为实现对风险的控制而规定的相关职责与权限。

(二)控制的策略、方法、资源需求和时限要求。

若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑可能产生的新风险。

第三节内部控制措施

第二十条运行控制。

商业银行应确定需要采取控制措施的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。

(一)控制措施包括：

1.高层检查。董事会与高级管理层应要求下级部门及时报告经营管理情况和特别情况，以检查内部控制的实施状况以及在实现内部控制目标方面的进展。高级管理层应根据检查情况提出内部控制缺失情况，督促职能管理部门改进。

2.行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。

3.实物控制。主要的控制措施包括实物限制、双重保管和定期盘存等。

4.风险暴露限制的审查。审查遵循风险暴露限制方面的合规性，违规时继续跟踪检查。

5.审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级的管理责任。

6.验证与核实。验证各项业务、管理活动以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，并向职能管理部门报告。

7.不兼容岗位的适当分离。实行适当的职责分工，认定潜在的利益冲突并使之最小化。

(二)控制要点包括：

1.对于可能导致偏离内部控制政策、目标的运行情况，应建立并保持书面程序和要求，并在程序中规定操作和控制标准。

2.对于重要活动应实施连续记录和监督检查。

3.在可能的情况下，应考虑运用计算机系统进行控制。

4.对于采购或外包的设施、设备、系统和服务中已识别的风险，应建立并保持控制程序，并将有关程序和要求通报供方，确保其遵守商业银行相关的控制要求。

5.对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序。

第二十一条计算机系统环境下的控制。

商业银行应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

第二十二条应急准备与处置。

商业银行应建立并保持预案和程序，以识别可能发生的意外事件或紧急情况(包括计算

机系统)。意外事件和紧急情况发生时，应及时做出应急处置，以预防或减少可能造成的损失，确保业务持续开展。

商业银行应定期检查、维护应急的设施、设备和系统，确保其处于适用状态。如可行，应定期测试应急预案。

商业银行应评审其应急预案，特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括事故、险情)的性质相适应。

第四节监督评价与纠正

第二十三条内部控制绩效监测。

商业银行应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。

监测内容包括：

(一)内部控制目标实现程度。

(二)法律、法规及监管要求的遵循程度。

(三)事故、险情和其他不良的内部控制绩效的历史情况。

第二十四条违规、险情、事故处置和纠正及预防措施。

商业银行应建立并保持书面程序，对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定，包括：

(一)发现违规、险情、事故并及时报告，必要时，可越级报告。

(二)及时处置违规、险情、事故。

(三)制定纠正与预防措施，防止违规、险情、事故的发生和再发生，并与问题的大小和风险危害程度相一致。

(四)纠正与预防措施在实施之前应进行风险评估。

(五)实施并跟踪、验证纠正与预防措施。

(六)险情和事故的责任追究。

第二十五条内部控制体系评价。

商业银行应建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分

性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。

评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等，覆盖体系范围内的所有活动。

可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因，并验证所采取措施的效果。

评价应由与评价的活动无直接责任的人员进行，评价人员应具备相应的知识，能够胜任评价工作。

第二十六条管理评审。

董事会应采取措施保证定期对内部控制状况进行评审，确保体系得到持续、有效的改进。

(一)管理评审应包括以下方面的内容：

1.内部控制体系评价的结果。

2.内部控制政策执行情况和内部控制目标实现情况。

3.对内部控制体系有重要影响的外部信息，如法律、法规的重大变化。

4.组织结构的重大调整。

5.事故和险情以及重大纠正和预防措施的状况。

6.以往管理评审的跟踪情况。

7.内部控制体系改进的建议。

(二)管理评审应就以下方面提出改进措施并落实：

1.内部控制体系及其过程的改进。

2.内部控制政策、目标的变更。

3.与内部控制有关资源的需求。

第二十七条持续改进。

商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等，持续提高内部控制体系有效性。

第五节信息交流与反馈

第二十八条交流与沟通。

商业银行应建立并保持信息交流与沟通的程序，明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。

商业银行应识别其内部和外部的风险相关方，考虑他们的要求和目标，建立与这些相关方进行信息交流的机制，确保：

(一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。

(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。

(三)险情、事故发生时，相关信息能得到及时报告和有效沟通。

(四)及时、真实、完整地向监管机构和外界报告、披露相关信息。

(五)国内外经济、金融动态信息的取得和处理，并及时把与企业既定经营目标有关的信息提供给各级管理层。

信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。

为保持信息交流沟通的可追溯性，必要时，应保持相关信息交流与沟通的记录。

第二十九条内部控制体系对文件的要求。

建立和保持文件化体系是实现信息交流与反馈的重要途径。商业银行应建立并保持必要的内部控制体系文件，包括：

(一)对内部控制体系要素及其相互作用的描述。

(二)内部控制政策和目标。

(三)关键岗位及其职责与权限。

(四)不可接受的风险及其预防和控制措施。

(五)控制程序、作业指导、方案和其他内部文件。

第三十条文件控制。

商业银行应建立并保持书面程序，以确保内部控制体系所要求的文件满足下列要求：

(一)易于查询。

(二)实施前得到授权人的批准。

(三)定期评审，必要时予以修订并由授权人员确认其适宜性。

(四)所有相关岗位都能得到有效版本。

(五)失效时，及时从所有发放处和使用处收回，或采取其他措施防止误用。

(六)及时识别、处置外来文件并进行标识，必要时转化为内部文件。

(七)留存的档案性文件和资料应予以适当标识。

第三十一条记录控制。

商业银行应建立并保持书面程序，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。

记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。

第四章评价程序和方法

第三十二条内部控制评价程序一般包括评价准备、评价实施、评价报告形成和反馈等步骤。

第三十三条评价准备。

组成评价组。评价组应考虑组成人员的背景和能力。必要时，可聘请业务或管理方面的专家。

制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。

准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。

在现场评价前应先与被评价机构建立初步联系，以便确认有关评价事项和安排。

第三十四条评价实施。

评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排，通过适当的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以记录。

评价实施的具体方法见第三十九条至四十三条。

第三十五条评价报告形成。

评价组根据评价实施情况，撰写评价报告，应重点分析以下方面：

(一)被评价机构内部控制体系现状、存在问题及趋势分析。

(二)同类银行比较。

(三)监管建议。

(四)可能的谅解因素。

第三十六条评价反馈。

对被评价机构内部控制体系进行综合评价后，应与被评价机构管理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。

第三十七条银监会及其派出机构根据评价报告，依据有关法律和规定，做出评价结论和处理决定，并以书面形式正式发送被评价机构，限期整改。同时，评价结论应报上级机构。

第三十八条内部控制评价方法是为实现评价目的，对被评价机构内部控制体系进行分析和评价而采取的技术和手段的总称。

第三十九条内部控制评价实施包括：

了解内部控制体系。应了解被评价机构内部控制体系的基本情况，确认评价范围，确定被评价机构的内部控制体系的健全程度，然后决定实施测试所采取的方法。

实施测试和分析。实施测试和分析是在了解内部控制体系的基础上，评价内部控制体系的运行与绩效。具体可以采取符合性测试和指标分析等，其中，对内部控制过程评价主要采取符合性测试法;对内部控制结果评价，主要采取指标分析法。

第四十条了解内部控制体系。

了解被评价机构内部控制体系主要通过询问、查阅、观察、流程图等方法进行，以初步评价被评价机构内部控制体系的充分性和合规性。

第四十一条符合性测试。

符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性，即相关规定在实际中是否被一贯执行，控制措施能否达到控制目的，控制措施是否恰当。符合性测试分为两种形式：

(一)业务测试，即对重要业务或典型业务进行测试，按照规定的业务处理程序进行检查，确认有关控制点是否符合规定并得到认真执行，以判断内部控制的遵循情况。

(二)功能测试，即对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。

符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。

第四十二条测试抽样。

抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上，结合被评价项目的风险和重要性进行调整。

根据业务频次确定的抽样量参考标准如下：

(一)每月执行一次的业务或事项，抽样量应保持在2-6个之间。

(二)每周执行一次的业务或事项，抽样量应保持在4-10个之间。

(三)每日执行一次的业务或事项，抽样量应保持在10-25个之间。

(四)每日执行多次的业务或事项，全年10000次以下的，抽样量应保持在25-50个之间;全年10000次以上的，抽样量应保持在50个以上。

第四十三条指标分析。

应收集被评价机构内部控制结果指标的相关信息，进行核实、对比分析和趋势分析，从而对内控目标实现情况做出评价。

第五章评分标准和评价等级

第四十四条内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值，并根据评价得分确定被评价机构的内部控制等级。

第四十五条内部控制过程评价的标准分为500分，其中：内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。上述五部分评价得分加总除以5，得到过程评价的实际得分。

第四十六条在对内部控制过程评价时，应按照第三章评价内容的要求，结合本办法第

八条的四个方面展开，转换为具体评价问题，并根据测试情况对被评价项目进行评分。

第四十七条初次实施内部控制评价时，须对所有业务活动、管理活动和支持保障活动进行评价。再次评价时，至少应包括：授信业务、资金业务、存款及柜台业务、主要中间业务、计划财务、会计管理、计算机信息系统等。其他活动在每三次再次评价周期内应至少覆盖一次。

第四十八条内部控制过程评价的具体评分标准如下：

(一)被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。

(二)在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要求的，可得该项分值的百分之三十。

(三)在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。

(四)在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。

第四十九条在测试过程中遇有业务缺项或问题不适用时，应将涉及到的分值在评价项目总分中扣减。为了保持可比性，在得出其余适用项的总分后，还应将该评价项目的总得分进行调整。

调整后评价项目总得分= 所有适用项目得分(评价项目总分/-不适用项目总分) ×100%

单项分值小计和总分分值有小数时四舍五入。

第五十条若涉及到需要采取抽样测试确定评价结论的，应根据以下情况确定：

(一)如果在抽样范围内未发现违规，该项评价得满分;在抽样范围内，发现两项以上违规(含两项)，该项评价不得分;仅发现一项违规的，应扩大一倍抽样，在扩大抽样范围内未发现新的违规的，可得该评价项目分值的50%，在扩大抽样范围内又发现新的违规的，该评价项目不得分。

(二)发现险情或事故的，直接扣除该评价项目的分值。

第五十一条内部控制的结果评价。结果评价主要评价内部控制目标的实现情况，对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括十项指标：资本利润率、资产利润率、成本收入比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件指标等，指标说明及控制比例见附录。内控结果评价指标的标准分值为500分，转化为百分制后得出实际得分。

银监会可以根据商业银行整体风险情况、经济金融情况和银监会工作的重点，补充、修

订或调整有关评价指标及其标准分值。

第五十二条根据过程评价和结果评价综合确定内部控制体系的总分。其中，过程评价的权重为70%，结果评价的权重为30%，两项得分加总得出综合评价总分。

第五十三条根据综合评价总分确定被评价机构的内部控制体系评价等级，应按评分标准对被评价机构内部控制项目逐项计算得分，确定评价等级。定级标准为：

一级：综合评分90分以上(含90分)。指被评价机构有健全的内部控制体系，在各个环节均能有效执行内部控制措施，能对所有风险进行有效识别和控制，无任何风险控制盲点，控制措施适宜，经营效果显著。

二级：综合评分80-89分。指被评价机构内部控制体系比较健全，在各个环节能够较好执行内部控制措施，能对主要风险进行识别和控制，控制措施基本适宜，经营效果较好

三级：综合评分70-79 分。指被评价机构内部控制体系一般，虽建立了大部分内部控制，但缺乏系统性和连续性，在内部控制措施执行方面缺乏一贯的合规性，存在少量重大风险，经营效果一般。

四级：综合评分60 -69 分。被评价机构内部控制体系较差，内部控制体系不健全或重要的内部控制措施没有贯彻执行或无效，管理方面存在重大问题，业务经营安全性差。

五级：综合评分60分以下(不含60分)。被评价机构内部控制体系很差，内部控制体系存在严重缺失或内部控制措施明显无效，存在明显的管理漏洞，经营业务失控，存在重大金融风险隐患。

上述等级也适用于单项评级，单项评级结果主要用于对比分析。

第五十四条若被评价机构在评价期内发生重大责任事故，应在上述评级的基础上下调一级。

重大责任事故包括：

(一)因安全防范措施不当，发生金融诈骗、盗窃、抢劫、爆炸等案件，造成重大影响或损失。

(二)因经营管理不善发生挤提事件。

(三)业务系统故障，造成重大影响或损失。

(四)经查实的重大信访事件。

第五十五条内部控制体系连续在三个评价期内得不到改善的机构，其内部控制评价等级应适当下调。

第六章组织和实施

第五十六条内部控制评价按照统一领导，分级管理的原则进行。

第五十七条根据评价的范围，内部控制评价可分为以下层次：

(一)银监会及其派出机构对商业银行法人机构的整体评价，原则上每两年一次。

(二)银监会及其派出机构对商业银行总部的评价，原则上每两年一次。

(三)银监会及其派出机构对商业银行不同层次分支机构的评价，每三年一个评价周期，每年至少覆盖三分之一以上的分支机构，三年内必须覆盖全部分支机构。

第五十八条应当根据风险大小和重要性确定对商业银行及其分支机构内部控制评价的频率和范围，当商业银行发生管理层重大变动、重大的并购或处置、重大的营运方法改变或财务信息处理方式改变等情况，或银监会认为必要时，应对商业银行内部控制进行整体评价。

第五十九条银监会对商业银行法人机构整体评价时，总部占整体评价得分的60%，分支机构平均得分占整体评价得分的40%，形成最终评级结果。其中，初次整体评价时，应覆盖总行和所有分支机构;再次进行整体评价时，应抽取不少于三分之一的分支机构。

银监会各派出机构对辖内商业银行分支机构的内部控制评价可比照进行。

第六十条银监会及其派出机构应及时整理、分析和掌握被评价机构报送的非现场监管数据、国家审计部门的审计结果和被评价机构的内部审计信息，充分利用监管部门对被评价机构的各种现场检查结果。

第六十一条银监会或其派出机构应对被降价机构内部控制体系的改进情况进行后续跟踪，责令被评价机构针对发现的违规或风险隐患制定纠正措施，并对纠正情况及其有效性进行验证。

第六十二条内部控制评价各阶段涉及的有关记录、表格、评价报告以及跟踪验证的相关资料均应作为监管档案妥善保管。

第六十三条银监会可根据需要委托外部中介机构对商业银行内部控制体系进行评价。受托中介机构和人员必须熟悉商业银行业务和运作，具备商业银行内部控制体系建立或评价方面的经验。各派出机构选聘中介机构时，必须报银监会批准。

受托中介机构对商业银行的内部控制评价须按照本办法执行。

第七章罚则

第六十四条银监会根据评级结果及评价报告所反映的情况，针对被评价机构内部控制

体系存在问题的性质及严重程度，可分别采取以下一项或多项监管措施：

(一)约见被评价机构第一负责人或董事长。

(二)就评价对象内部控制体系存在问题可能引发的风险，向被评价机构进行提示和警告。

(三)要求被评价机构对内部控制体系存在的问题限期整改。

(四)加大现场检查力度及频率。

(五)建议调整管理层。

(六)取消有关人员一定期限或终身银行业从业资格。

(七)责令整顿或暂停办理相关业务。

(八)延缓批准或拒绝受理增设分支机构、开办新业务的申请。

第六十五条对内部控制评价中发现的违规、违法行为，应根据有关规定，采取相应处罚措施。

第六十六条未经批准或许可，任何单位和个人不得对外公布对被评价机构的内部控制体系等级评定结果。凡擅自公布等级评定结果，应追究有关人员的责任。

第八章附则

第六十七条本办法涉及的重要名词术语解释如下：

(一)体系：相互关联或相互作用的一组要素。

(二)文件：信息及其承载媒体。媒体可以是纸张，计算机磁盘、光盘或其他电子媒体，或其组合。

(三)程序：为进行某项活动或过程所规定的途径。程序可以形成文件，也可以不形成文件;当程序形成文件时，通常称为书面程序。

(四)风险相关方：与商业银行在风险及其控制方面有利益关系的个人或团体。风险相关方包括风险直接承担者和间接利害关系者，前者如商业银行投资者、顾客或员工，后者如监管机构。

(五)内部控制绩效：根据内部控制政策和目标，在控制风险方面所取得的可测量的结果(绩效测量包括内部控制活动和结果的测量)。

(六)事故：造成损失的非预期事件。

(七)险情：可能造成损失的事件。

(八)违规：未满足规定的要求，既可能是人员主观造成的，也可能是其他客观原因导致的。

(九)预防措施：为消除潜在违规、险情或事故的原因所采取的措施。

(十)纠正措施：为消除己发现的违规、险情和事故的原因所采取的措施。

第六十八条商业银行应根据本办法制定相应的实施细则并报银监会或其派出机构备案。

第六十九条本办法适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、外资商业银行、城市商业银行、农村商业银行、农村合作银行和邮政储蓄机构。对政策性银行、城乡信用社和非银行金融机构的评价可参照本办法执行。

第七十条未进行股份制改造的商业银行、农村合作银行和邮政储蓄机构、政策性银行、城乡信用社和非银行金融机构，应由高级管理层负责内部控制体系的建立、维护和改进，并明确相对独立的决策、监督和执行的职责和权限。

第七十一条本办法由银监会负责解释与修订。

第七十二条本办法自2005年2月1日起施行。

附录：

一、结果评价指标及控制比例

┌──────────────────────┬────────────┐ │

评价指标

│

控制比例

│ ├──────────────────────┼────────────┤ │

一、资本利润率

│

≥13%

│ ├──────────────────────┼────────────┤ │

二、资产利润率

│

≥0.6%

│ ├──────────────────────┼────────────┤ │

三、收入成本比

│

≤35%

│ ├──────────────────────┼────────────┤ │

四、大额风险集中度指标

│

│ ├──────────────────────┼────────────┤ │

(一)单一客户授信余额比例

│

≤10%

│ ├──────────────────────┼────────────┤ │

(二)十大客户授信余额比例

│

≤30%

│ ├──────────────────────┼────────────┤

│

(三)集团客户授信余额比例

│

≤15%

│ ├──────────────────────┼────────────┤ │

五、关联方交易指标

│

│ ├──────────────────────┼────────────┤ │

(一)单个关联方授信余额比例

│

≤10%

│ ├──────────────────────┼────────────┤ │

(二)单个关联法人或其他组织所在集团客户的授│

≤15%

│ │信余额比例

│

│ ├──────────────────────┼────────────┤ │

(三)全部关联方授信余额比例

│

≤50%

│ ├──────────────────────┼────────────┤ │

六、资产质量指标

│

│ ├──────────────────────┼────────────┤ │

(一)新发生不良贷款率

│

≤0.1%

│ ├──────────────────────┼────────────┤ │

(二)不良贷款衡量指标

│

│ ├──────────────────────┼────────────┤ │1.不良贷款率

│

≤3%

│ ├──────────────────────┼────────────┤ │2.不良贷款额降低率

│

≥10%

│ ├──────────────────────┼────────────┤ │3.五级分类偏离度

│

≤2%

│ ├──────────────────────┼────────────┤ │4.正常及关注类贷款迁徙率

│

≤3%

│ ├──────────────────────┼────────────┤ │5.次级及可疑类贷款迁徙率

│

≤8%

│ ├──────────────────────┼────────────┤ │

七、不良贷款拨备覆盖率

│

≥80%

│ ├──────────────────────┼────────────┤ │

八、资本充足指标

│

│ ├──────────────────────┼────────────┤ │

(一)资本充足率

│

≥8%

│ ├──────────────────────┼────────────┤ │

(二)核心资本充足率

│

≥4%

│ ├──────────────────────┼────────────┤ │

九、流动性指标

│

│ ├──────────────────────┼────────────┤ │

(一)准备金比例

│

≥10%

│ ├──────────────────────┼────────────┤ │

(二)存贷比

│

≤75%

│ ├──────────────────────┼────────────┤ │

(三)中长期贷款比例指标

│

≤120%

│ ├──────────────────────┼────────────┤ │

(四)资产流动性指标

│

≥25%

│

├──────────────────────┼────────────┤ │

十、案件指标

│

│ ├──────────────────────┼────────────┤ │

(一)案件损失率

│

≤0.1‰

│ ├──────────────────────┼────────────┤ │

(二)发案率

│

≤1%

│ ├──────────────────────┼────────────┤ │合

计

│

│ └──────────────────────┴────────────┘

二、结果评价指标说明

1.资本利润率

利润期末总额

资本利润率=──────────×100%

资本期末总额

2.资产利润率

利润期末总额

资产利润率=──────────×100%

资产期末总额

3.收入成本比

〔业务管理费(不含税金)+业务宣传费+业务招待费+折旧〕

成本收入比率=────────────────────────────×100%

〔净利息收入+金融机构往来净收入+手续费净收入+汇兑净收入+其

他营业净收入+投资收益〕

4.大额风险集中度指标

(1)单一客户授信余额比例：

对同一借款客户授信余额

单一客户授信余额比例=────────────×100%

资本净额

(2)十大客户授信余额比例：

对最大十家客户发放的授信总额

十大客户授信余额=─────────────────×100%

资本净额

(3)集团客户授信余额比例：

集团客户授信余额

集团客户授信余额比例=─────────────×100%

资本净额

5.关联方交易指标

(1)单个关联方授信余额比例

对单个关联方授信余额

单个关联方授信余额比例=─────────────×100%

资本净额

(2)单个关联法人或其他组织所在集团客户的授信余额比例

单个关联法人或其他组织

所在集团客户的授信余额

单个关联法人或其他组织所在集团客户的授信余额比例=────────────×100%

资本净额

(3)全部关联方授信余额比例

全部关联方授信余额

全部关联方授信余额比例=──────────────×100%

资本净额

6.资产质量指标

评价期新发生不良贷款额

(1)新发生不良贷款率=───────────────×100%

评价期新发生贷款总额

(2)不良贷款衡量指标

①不良贷款率

(次级类贷款+可疑类贷款+损失类贷款)

不良贷款率=────────────────────×100%

贷款余额

②不良贷款额降低率

(评价期不良贷款额-基期不良贷款额)

不良贷款额降低率=───────────────────×100%

基期不良贷款额

③五级分类偏离度：《办法》中五级分类偏离度是不良贷款比例偏离度，指检查调整后的不良贷款比例减去原不良贷款比例所得百分点。

④正常及关注类贷款迁徙率

(期初正常贷款中转为不良贷款的余额

+关注类贷款转为不良贷款的余额)

正常及关注类贷款迁徙率=────────────────────×100%

(期初正常类贷款余额+关注类贷款余额)

⑤次级及可疑贷款迁徙率

(期初次级贷款中转为损失类贷款的余额

+可疑类贷款转为损失类贷款的余额)

次级及可疑类贷款迁徙率=────────────────────×100%

(期初正常类贷款余额+关注类贷款余额)

7.不良贷款拨备覆盖率

一般准备+专项准备+特种准备

拨备覆盖率=────────────────────×100%

次级类贷款+可疑类贷款+损失类贷款

8.资本充足指标

(1)资本充足率

资本净额

资本充足率=──────────────────×100%

表内、外风险加权资产期末总额

注：资本净额=资本总额-扣减项

(2)核心资本充足率：

核心资本

核心资本充足率=────────────────×100%

表内、外风险加权资产期末总额

9.流动性指标

(1)准备金比例

(在人民银行备付金存款+库存现金)期末余额

准备金比例=───────────────────────×100%

各项存款期末余额

(2)存贷比

各项贷款期末余额

存贷比：=────────────────×100%

各项存款期末余额

(3)中长期贷款比例指标

余期一年期以上(不含一年期)中长期贷款期末余额

中长期贷款比例指标=───────────────────────×100%

余期一年期以上(不含一年期)存款期末余额

(4)资产流动性指标

流动性资产期末余额

资产流动性指标=────────────────×100%

流动性负债期末余额

10.案件指标

(1)案件损失率

案件损失金额

案件损失率=────────────×100%

总资产额

(2)发案率

发案件数

发案率=──────────────×100%

分支机构数

第二篇：商业银行内部控制自我评价体系的构建

2012年02月10日 09:32

中信银行[4.07 6.82% 股吧研报]合规审计部课题组商业银行作为一个以信用为基础，经营货币借贷和结算等业务的高风险行业，实现审慎经营、防范风险，完善内部控制显得尤为重要。本文通过对中信银行的内部控制自我评价实践情况进行分析研究，重点介绍其体系设计、评价标准、评价方法，希望对当前上市银行推进内部控制自我评价工作产生一定借鉴意义。

中信银行内部控制自我评价体系介绍

设计原则。中信银行从2006年开始对内部控制情况进行自我评价，并聘请外部审计机构对内部控制评价报告进行鉴证。《企业内部控制基本规范》颁行后，中信银行根据监管要求积极探索构建内控自我评价模式与评价体系，聘请知名会计咨询公司共同设计优化了内控自我评价流程，不断探索缺陷整改与应对机制，初步形成了内部控制评价与改进机制。与此同时，中信银行着力整合开发涵盖内控日常管理、内控评价、审计检查、操作风险管理、合规管理等功能于一体的内控管理IT平台系统。

基本要素。中信银行的内部控制评价体系包含评价目标、评价主体、评价对象、评价指标、评价方式、评价标准等要素。中信银行将内控自我评价目标确定为：遵循国家法律法规和有关监管规定，建立健全内部控制体系、促进保护企业财产安全、财务

会计报告及管理信息真实可靠，提升经营效率和效果，推动实现股东价值最大化。

实施步骤。中信银行内控自我评价的主要步骤包括：计划制定、内控梳理、控制自评估、自评估校验、审计测试与评价、形成自我评价报告。

计划制定。每年初，全行各级机构在董事会的领导下，共同制定全行年度内控自我评价工作计划。

在工作计划中应当明确：前期培训、内控梳理、控制自评估、自评估校验、审计测试、自评价报告编制等各项工作实施的时间、参与部门、参与人员以及具体工作内容。

内控梳理。为确保评价指标的有效性和适用性，中信银行建立动态的内控梳理机制。

控制自评估。中信银行的控制自评估工作以问卷调查为主，并辅以专家研讨会等方法。

自评估校验。全行各级机构完成自评估后，由总分行内控管理专职人员对其自评估工作的执行情况及评估结果进行审核校验，出具总结性意见，意在合理保证控制自评估结果的质量。

审计测试与评价。在全行实施控制自评估的基础上，独立的内部审计人员运用穿行测试、抽样检查、实地查验、个别访谈等方法，以全行整个内部控制系统为评价对象，对总行管理部门及分行分层次进行的内部控制状况评分，并评价各级机构内部控制的适当性和有效性。内审部门将对测试中发现的内部控制缺陷进行初步认定，编制内部审计评价报告及内部控制缺陷认定汇总表，向董事会、监事会和高级管理层报告。

形成自我评价报告。由董事会对全行的内部控制情况进行审议，董事会将依据自评估、校验以及审计测试的结果，对全行控制环境、风险评估、控制活动、信息与沟通、内部监督等内部控制情况进行检视，并对内部控制的有效性出具结论性意见。董事会根据《内控基本规范》及其配套指引的要求，对外披露经注册会计师审计的内部控制自我评价报告。

行动计划制定及整改完善。全行各级机构在实施控制自评估以及日常自查、检查的过程中发现存在内部控制设计及运行缺陷、外部监管要求发生变化以及其他相关问题时，应当启动行动计划，会同相关部门及时进行整改，必要时还可提请有关部门追究相关人员的责任。

中信银行内部控制自我评价体系构建的启示

作为首批实施《企业内部控制基本规范》及其配套指引的“A+H”上市公司，中信银行根据监管要求并结合自身实际情况开展的内控自我评价工作具有一定的代表性，对我国商业银行内部控制自我评价工作的开展和完善有一定启发。

一是实现员工的广泛参与;二是重视评价指标的科学性;三是促进制度流程管理的专业化、标准化;四是推动内控评价的一体化;五是分层次、分步骤推进内部控制自我评价工作。

第三篇：探索内部控制评价对商业银行内控管理的作

用

摘要：商业银行内部控制评价能够促进其进一步建立和完善内部控制评价体系，健全内部控制机制，保证商业银行各项经营活动安全稳健运行。对商业银行加强内部控制评价在内部控制管理中的作用进行了论述。

关键词：商业银行;内部控制;内控评价商业银行架构多数为董事会负责的垂直管理体制，即总行统一法人管理体制。总行下设一级(直属)分行或分设境外分行;一级(直属)分行下设二级分行;二级分行下设支行;支行下设网点的形式进行管理，管理形状呈正三角形分布状态。完善的内部控制机制是商业银行审慎经营的前提，是保证金融体系稳定的基础。商业银行要实现持续稳健发展，必须严格执行银监会颁布《商业银行内部控制指引》相关要求，采取相关措施建立完整、有效、合理的内部控制体系。内部控制评价是检验商业银行内部体系建设是否达标的有效途径。

一、商业银行内部控制的内涵及构成要素商业银行内部控制是商业银行为实现安全性、效益性、流动性经营管理目标，通过制定并实施系统化的制度和程序，对经营风险进行有效识别、评价、控制、监测和改进的动态过程和机制。商业银行控制体系主要同内部控制环境、风险识别与评估、内部控制措施、信息与交流、监督评价与纠正五个相互独立、相互联系又相互制约的要素组成。其中，内部控制环境包括高级管理层责任、组织结构、内部控制政策与机制、人力资源内部控制文化等方面水利论文发表/sllwfabiao/的内容;风险识别与评估包括信用、市场、操作等方面风险识别与评估;内部控制措施包括授权授信风险控制、岗位分离与权限卡风险控制、信贷资产管理风险控制、资产负债风险控制、财务会计风险控制、运行管理风险控制、国际业务风险控制、中间业务风险控制、洗钱风险控制、信息科技及安全防护风险控制、突发事件风险控制等方面的内控;信息与交流包括信息质量与管理、信息沟通与交流;监督评价与纠正主要包括检查监督履职、纠正与改进等方面的内容。

二、商业银行内部控制评价的定义和内部控制评价的组成部分商业银行内部控制评价是指对商业银行内部控制体系对建设、实施和运行结果而独立开展的调查、测试、分析和评估等系统性活动。通过实施内部控制评价活动，有助于督促商业银行进一步建立健全内部控制体系和内部控制机制，为全面风险管理体系的建立奠定基础;有助于外部监管部门和内部高级管理层客观全面了解一个分支机构内部控制状况，从而达到促进其内部控制过程各体系目标的进一步实现。内部控制评价包括过程评价、效果评价和限制评价三个部分。过程评价是对内部控制环境、风险评估与管理、内部控制活动、监督与纠正、信息与交流等五大要素的评价。效果评价是对内部控制主要目标实现程度的评价，按照重要性原则确定各效果评价指标，主要包括效益类指标、资产质量类指标和案件损失类指标。限制评价是对评价年度内是否发生影响内部控制的重大事件的评价，主要包括违反国家有关金融法规，情节严重，受到人民银行、银监会、审计署等外部监管部门处罚情况;发生一定金融以上的贪污、挪用、贿赂等内部经济案件的;发生涉案一定金额以上的金融诈骗案件等。

三、商业银行开展内部控制评价的重要意义商业银行内部控制评价有助于外部监管部门或上级管理部门了解被评价机构的经营及内部控制管理情况。商业银行通过内控评价在排风险、找差距、堵塞漏洞的同时，旅游论文发表/lylwfabiao/更多地是可以帮助被评价机构通过评价发现问题进行整改，从而完善内控管理机制，进一步建立长效内控管理机制，按照内控管理的五大要素，培育良好的内控文化，建立完善高效的风险评估机制，实施健全有效的控制活动，构建科学、完善的内控体系。

1.内控评价促进商业银行分支机构严格遵守国家法律，银监会的监管要求和商业银行审慎经营原则。2007年7月3日中国银行业监督管理委员会颁布实施《商业银行内部控制指引》商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：内部控制应当渗透商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查;内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求;内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正;内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。

第四篇：我国商业银行贷款担保风险评价与控制

【摘要】商业银行贷款担保业务能够在我国得到快速发展，主要依据社会经济体量的持续快速发展及以银行融资手段为主的现代企业制度带来的商业银行市场化。然而，作为商业银行市场化的一部分，商业银行贷款担保制度在飞速发展中也必然在监管、制度等方面暴露出了很多问题。本文在分析我国商业银行贷款风险产生原因的基础上，进一步对贷款风险的评价与控制做出来研究，以期对商业银行贷款担保风险研究领域作出一定的理论意义和现实意义。

【关键词】商业银行贷款担保风险评价与控制

我国商业银行贷款风险主要指的是不确定性，这种不确定性体现为债务人出于各种原因无法或者不愿意按照贷款合同的风险要求按时偿还规定本金与利息。而商业银行贷款担保风险，则表现为未合理预期被担保人的还款能力，在出现被担保人无法偿还债务时，银行作为履行借款合同的权利人，要求保证担保人承担贷款风险的情况，而由于缺乏一系列对担保人资格的制度合理性设计与安排，导致担保业务背离实际能力，在担保业务领域，缺少准入的监管制度规范，从而引起对该业务的控制产生偏离现象，最后必定给银行造成担保损失。为了降低贷款担保风险，单个商业银行往往会运用一定的制度与系统来对风险进行一定的识别、预测与控制，通过影响贷款担保行为来调控贷款担保风险。

一、贷款担保风险成因

导致我国商业银行承受贷款担保风险的因素可以分为银行外部环境因素和银行内部管理因素两类。其中银行外部环境方面的因素主要包括经济周期、外部环境缺乏稳定性、缺乏完善的法律保障、较低的企业管理水平、商业银行高度依赖的银企关系、信用意识淡薄、风险防控措施欠缺等等。银行内部环境方面的因素主要包括同业间无序竞争、担保风险实际发生传导控制在各相关银行间认可度不一，一旦出现担保风险，殃及各家银行的授信流程发生逆变，从而导致资金链断裂、缺乏有效的风险管理制度、内部决策失误、信息处理不及时等等。

二、贷款担保风险评价的基本流程

商业银行稳定经营的重要条件之一是及时识别贷款担保存在的内在风险，其中最为关键的一步是对所担保贷款进行总体判断后再进行恰当分类，随后加总单笔担保贷款的分类结果，得出总体的担保贷款资产质量判断。担保贷款的分类在很大程度上依赖信贷人员积累的经验知识水平，其实际的分类流程如下。

第一步，阅读贷款档案。贷款档案完整记录了银行从发放贷款、管理贷款到回收贷款的一系列过程。贷款档案一般包含以下几个方面：贷款基本情况，包括贷款申请书、贷款审批报告及最终形成的贷款合同等等;财务情况说明，主要包括借款人和担保人连续的、不同时期的财务报表、评估报告、审计报告等;担保抵押文件，主要是指具有法律效力的可以证明抵押担保品所有权的文件、抵押品评估报告、保险单据等等;信贷分析报告;备忘录，是借款人历来的还款记录，信用评价情况以及借款人目前所在行业的主要发展趋势分析等;信函，指与被担保人的其它担保人之间的信函往来、向其它银行咨询的信函等。

第二步，审查贷款的基本情况。在贷款基本情况的审查中，主要审查的是企业的贷款用途、还款来源和还款周期这几个方面，旨在全面了解与跟踪贷款的运行情况。

第三步，确定还款的可能性。通过分析借款人现金流量情况、财务健康状况、以及影响借款人生产经营情况等企业外因素，确定还款人的还款能力和还款的可能性;结合还款期限，综合借款人过去的经营成果、目前的财务状况、未来的发展前景、银行信贷的管理现状等来综合评价企业还款的可能性。

第四步，确定贷款分类的结果，根据各类贷款的主要特征，进行分类。可以按照贷款的账龄、贷款人的信用、贷款金额基数等指标来作为分类的主要依据，设定一定的权重，再综合加总得到每一贷款的指数，通过比照设计的表格来确定贷款属于哪一类。

三、我国商业银行贷款担保存在的问题

从2004年到2013年，随着我国经济的不断快速发展，我国商业银行的贷款总量一直保持着15%左右的增长速度。随着信贷市场的快速兴起，必然伴随着越来越多的贷款担保问题。近年来，为了克服这一现象，商业银行逐渐开始建立不良信贷记录的审批系统，大大降低了不良贷款。但商业银行信贷业务的发展依然受到贷款担保风险的严重制约。以下是我国商业银行贷款担保中主要出现的几个问题，由于研究时间与文章篇幅有限，我们仅仅列出了问题的一部分。

1、担保物不符合要求

在我国《担保法》中，对抵押物的定义作了明确的规定，担保物只有经法律认可才是有效的，否则视为无效。目前担保合同中的担保物不符合规定主要是由以下原因造成的：(1)担保物来源不明;(2)担保物不是贷款人的合法产出;(3)对抵押物所有权尚存在争议;(4)抵押物不具有担保资格，比如属于非法财产;(5)抵押物被过分高估。

2、担保主体不具有担保资格实力

我国《担保法》明确，只有具备偿债能力的组织才能够承担担保责任，目前我国商业贷款中，存在担保人的实际能力已经超越自身资金实力，企业融资的长期性内在要求与经济形势的不断变化，造成担保人自身经营情况的巨大不确定因素：(1)若干年前，随着土地、房屋等购建成本的增加，税收制度改革、会计制度采取重置价值构建企业财务报表，通过资产评估，增加了这些资产的虚拟价值计量;(2)企业对外投资形式有的采用直接投资、有的通过其它应收账款的形式参与对外投资，最终形成一种形式的关联企业，另一种形式的非关联独立法人企业;(3)注册资金随意转让，造成实际股东实力资格虚拟化;(4)企业虚盈实亏;(5)一企多表，成为普遍现象，造成银行无从适应;(6)行政部门鼓励企业走集团化道路，打造企业航母，投资结构错综复杂;(7)银行从业人员专业技能缺乏，考核体系也侧重于负责资产能力以及能放款的能力衡量上，相反缺少对风险管控与识别的真正评价与考核，加之人员调动，很难追究终身责任，短期利益驱动明显;(8)顺境时，潜在风险被缩小，逆境时，潜在风险集中聚焦，也有被人为放大的因素，一种是被企业经营者自身主动放弃经营，一种是被银行资金压缩形成资金链断裂造成的风险;(9)银行的保证担保贷款是基于担保方永续经营，却在企业不对股东进行利润分配的前提下，设立的担保合同，假如对投资者进行分红，将直接引起担保能力失控;(10)银行在订立保证借款合同过程中，均是单个银行的自身行为，并不为其它相关银行所认可，在实践中银行间属于竞争关系，而并非合作关系;(11)我国现有企业制度与国际上的企业制度，仍存有很大的不同，随着我国加入WTO，国际国内市场正逐步开放与统一，但国内外企业经营环境却有很大不同，以我国为例，绝大多数企业融资渠道在银行，而国外企业以上市为主要融资渠道，两者在融资资金链的制度设计安排上有着天壤之别;(12)随着商业银行的市场化偏好，追逐利润是商业银行十分关心的经营目标，面对风险苗头发生时，银行首选的是力争独善其身;(13)从保证担保贷款的市场结构来分析，已基本形成强、中、小三块自成一体的分类形式的保证圈市场资源，为了获取融资目的，担保诚信体系不够健全，超负荷担保行为成为一种新的常态。这就导致这些机构担保的贷款成为高危贷款，成为虚拟担保、连环担保、自我担保等。受到多方面因素的影响，不同的担保人有着不同的信用水平，所以评价担保的信用时也应该进行分析，纵使具有法律效应的担保合同也一样不能够提供百分之百的保障，依然会由于存在失信等因素导致最后出现担保无效等情况，造成坏账。

3、担保管理过程中受到阻碍

在银行贷款担保的管理中，处理贷款担保体系本身存在的问题外，还受到行政干扰的影响。例如目前地方政府为了保住面临倒闭困境的大规模企业，会出现“菜篮子”、“面袋子”等类型的贷款，明显降低资产质量。

四、我国商业银行需健全贷款担保信用体系，规避贷款担保风险

本文在综合考虑以上问题后，建议商业银行需尽快进一步健全贷款担保信用体系，严格审查担保物、担保人的资格，加强信用担保体系中细节的落实，同时加强监管。在监管担保业务市场准入方面，作为监管当局的银监职能部门也应制定符合市场化运作的担保准入具体细则，在评价和控制贷款担保业务风险中，严格执行“三查”制度和审批制度是关键的环节。

加强对被担保贷款单位的贷前资信调查。作为贷前审查的主要环节，银行可以通过信用调查来有效评估客户所申请贷款的用途，并有效判断企业的经营现状和未来的获利能力。完善贷款担保业务的审批制度。要保证贷款管理的安全，必须要有全方位责任制保证和严格的贷款审批程序，一切按照规定的流畅来进行，留下走流程的痕迹。此外，在监督控制上，要努力做到全面监督。对担保单位进行有效的贷时审查。调查内容主要包括审查贷款额度和手续是否符合要求，同时要对贷款的详细用途进行调查。在审核中，应将评价结果建立在有效与全面的信息基础之上，确保担保单位是否存在着。在事后，还应该加强对贷款的后访控制。

贷款业务中“三查”制度的落实。所谓“三查”，主要是指贷前调查、贷时审查和贷后检查，三个环节相互依存，“三查”制度环环相扣，缺一环都无法实现有效审查的最终效果。

近几年，随着我国经济的快速发展，银行业的信贷规模迅速扩大。但是商业银行潜在的市场风险、操作风险和信用风险共同融合形成的贷款担保风险，并未能得到根本化解。如何处理好风险防控与业务发展之间的关系，切实增强商业银行在信贷市场的抗风险能力和竞争力，是我国各商业银行亟需解决的。笔者在分析我国商业银行贷款担保风险的现实状况基础上，就风险产生的客观内外部环境综合因素，拟对制度改革设计，社会诚信规范，以及银行间开展有协调的社会责任竞争规则，进一步对贷款风险的评价与控制做出来研究，以期为商业银行贷款担保风险研究领域作出一定的理论意义和现实意义。

【参考文献】

[1] 王皓：中小企业信用担保风险定价研究[D].河北经贸大学，2014.

[2] 陈燕萍：中国农业银行贷款担保风险与控制研究――以浙江省分行为例[D].石家庄经济学院，2013.

(责任编辑：谌盼)

第五篇：内部控制评价办法

第一章总则

第一条为规范和加强对内部控制的评价，督促进一步建立内部控制体系，健全内部控制机制，为全面风险管理体系的建立奠定基础，保证公司稳健运行，根据《企业内部控制基本规范》，制定本办法。

第二条内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。

第三条内部控制体系是为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。

第四条内部控制评价人员应接受有关内部控制评价知识和技能的培训，具备相应的资质和能力。

第二章评价目标和原则

第五条内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行：

(一)过程和风险是否已被充分识别。

(二)过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。

(三)控制措施是否有效。

(四)控制措施是否适宜。

第六条内部控制评价应遵循以下原则：

(一)全面性原则。评价范围应覆盖内部控制活动的全过程及所有的系统、部门和岗位。

(二)统一性原则。评价的准则、范围、程序和方法等应保持一致，以确保评价过程的准确及评价结果的客观和可比。

(三)独立性原则。评价应由公司专职人员独立进行。

(四)公正性原则。评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。

(五)重要性原则。评价应依据风险和控制的重要性确定重点，关注重点区域和重点业务。

(六)及时性原则。评价应按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，应及时重新评价。

第三章评价内容第一节内部控制环境

第六条公司治理。

公司应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作，分权制衡。

(一)完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序。

(二)明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中

的责任。

(三)建立独立董事制度，对董事会讨论事项发表客观、公正的意见。

(四)建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。

第七条董事会、监事会和高级管理层责任。

董事会负责保证公司建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保公司在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。

监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害公司利益的行为并监督执行。

第八条内部控制政策。

公司应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。内部控制政策应：

(一)与公司的经营宗旨和发展战略相一致;

(二)体现持续改进内部控制的要求;

(三)符合现行法律法规和监管要求;

(四)体现出侧重控制的风险类型;

(五)体现出对不同地区、行业、产品的风险控制要求;

(六)传达给适用岗位的员工，指导员工实施风险控制措施;

(七)可为风险相关方所获取，并寻求互利合作;

(八)定期进行评审，确保其持续的适宜性和有效性。

第十三条内部控制目标。

公司应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。

内部控制目标应可测量。有条件时，目标应用指标予以量化。

第十四条组织结构。

公司应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并形成文件予以传达。特别应考虑：

(一)建立相应的授权体系，实行统一法人管理和法人授权。

(二)必要的职责分离，以及横向与纵向相互监督制约关系。

(三)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。

(四)明确关键岗位、特殊岗位、不相容岗位及其控制要求。

(五)建立关键岗位定期或不定期的人员轮换和强制休假制度。

公司应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。

公司应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员;应有权获得公司的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总部内部审计负责人的聘任和解聘应当经董事会或监事会同意。

第十五条企业文化。

公司应培育健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。

第十六条人力资源。

公司应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。

公司应明确与风险和内部控制有关人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。

高级管理人员必须满足监管机构对高级管理人员资质的要求。

公司应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。

第二节风险识别与评估

第十七条经营管理活动风险识别与评估。

建立和保持书面程序，以持续对各类风险进行有效的识别与评估。

对各类风险进行识别与评估时应充分考虑内部和外部因素。其中，内部因素包括组织结构的复杂程度、业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。

当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

风险识别与评估应：

(一)依据业务范围、性质和时限主动进行。

(二)评估风险的后果、概率和风险级别。

(三)必要时开发并运用风险量化评估的方法和模型。

第十八条法律法规、监管要求和其他要求的识别。

应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。

应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。

第十九条内部控制方案。

制定内部控制方案，以控制已识别的不可接受风险。内部控制措施方案应包括以下内容：

(一)为实现对风险的控制而规定的相关职责与权限。

(二)控制的策略、方法、资源需求和时限要求。

若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑可能产生的新风险。

第三节内部控制措施

第二十条运行控制。

应确定需要采取控制措施的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。

控制措施包括：

2.行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。

3.实物控制。主要的控制措施包括实物限制、双重保管和定期盘存等。

4.风险暴露限制的审查。审查遵循风险暴露限制方面的合规性，违规时继续跟踪检查。

5.审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级的管理责任。

6.验证与核实。验证各项业务、管理活动以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，并向职能管理部门报告。

7.不兼容岗位的适当分离。实行适当的职责分工，认定潜在的利益冲突并使之最小化。

第二十一条计算机系统环境下的控制。

应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

第四节监督评价与纠正

第二十三条内部控制绩效监测。

应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。

监测内容包括：

(一)内部控制目标实现程度。

(二)法律、法规及监管要求的遵循程度。

(三)事故、险情和其他不良的内部控制绩效的历史情况。

第二十四条违规、险情、事故处置和纠正及预防措施。

应建立并保持书面程序，对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定，包括：

(一)发现违规、险情、事故并及时报告，必要时，可越级报告。

(二)及时处置违规、险情、事故。

(三)制定纠正与预防措施，防止违规、险情、事故的发生和再发生，并与问题的大

小和风险危害程度相一致。

(四)纠正与预防措施在实施之前应进行风险评估。

(五)实施并跟踪、验证纠正与预防措施。

(六)险情和事故的责任追究。

第二十五条内部控制体系评价。

应建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。

评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等，覆盖体系范围内的所有活动。

可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因，并验证所采取措施的效果。

评价应由与评价的活动无直接责任的人员进行，评价人员应具备相应的知识，能够胜任评价工作。

第二十六条管理评审。

董事会应采取措施保证定期对内部控制状况进行评审，确保体系得到持续、有效的改进。

(一)管理评审应包括以下方面的内容：

1.内部控制体系评价的结果。

2.内部控制政策执行情况和内部控制目标实现情况。

3.对内部控制体系有重要影响的外部信息，如法律、法规的重大变化。

4.组织结构的重大调整。

5.事故和险情以及重大纠正和预防措施的状况。

6.以往管理评审的跟踪情况。

7.内部控制体系改进的建议。

(二)管理评审应就以下方面提出改进措施并落实：

1.内部控制体系及其过程的改进。

2.内部控制政策、目标的变更。

3.与内部控制有关资源的需求。

第二十七条持续改进。

商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等，持续提高内部控制体系有效性。

第五节信息交流与反馈

第二十八条交流与沟通。

应建立并保持信息交流与沟通的程序，明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。

应识别其内部和外部的风险相关方，考虑他们的要求和目标，建立与这些相关方进行信息交流的机制，确保：

(一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。

(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。

(三)险情、事故发生时，相关信息能得到及时报告和有效沟通。

(四)及时、真实、完整地向监管机构和外界报告、披露相关信息。

(五)国内外经济、行业动态信息的取得和处理，并及时把与企业既定经营目标有关的信息提供给各级管理层。

信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。

为保持信息交流沟通的可追溯性，必要时，应保持相关信息交流与沟通的记录。

第二十九条内部控制体系对文件的要求。

建立和保持文件化体系是实现信息交流与反馈的重要途径。公司应建立并保持必要的内部控制体系文件，包括：

(一)对内部控制体系要素及其相互作用的描述。

(二)内部控制政策和目标。

(三)关键岗位及其职责与权限。

(四)不可接受的风险及其预防和控制措施。

(五)控制程序、作业指导、方案和其他内部文件。

第三十条文件控制。

应建立并保持书面程序，以确保内部控制体系所要求的文件满足下列要求：

(一)易于查询。

(二)实施前得到授权人的批准。

(三)定期评审，必要时予以修订并由授权人员确认其适宜性。

(四)所有相关岗位都能得到有效版本。

(五)失效时，及时从所有发放处和使用处收回，或采取其他措施防止误用。

(六)及时识别、处置外来文件并进行标识，必要时转化为内部文件。

(七)留存的档案性文件和资料应予以适当标识。

第三十一条记录控制。

应建立并保持书面程序，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。

记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。

第四章评价程序和方法

第三十二条内部控制评价程序一般包括评价准备、评价实施、评价报告形成和反馈等步骤。

第三十三条评价准备。

组成评价组。评价组应考虑组成人员的背景和能力。必要时，可聘请业务或管理方面的专家。

制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。

准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。

在现场评价前应先与被评价机构建立初步联系，以便确认有关评价事项和安排。

第三十四条评价实施。

评价实施的具体方法见第三十九条至四十三条。

第三十五条评价报告形成。

评价组根据评价实施情况，撰写评价报告，应重点分析以下方面：

(一)被评价机构内部控制体系现状、存在问题及趋势分析。

(二)同类企业比较(如适用)。

(三)可能的谅解因素。

第三十六条评价反馈。

对被评价机构内部控制体系进行综合评价后，应与被评价机构管理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。

第三十八条内部控制评价方法是为实现评价目的，对被评价机构内部控制体系进行分析和评价而采取的技术和手段的总称。

第三十九条内部控制评价实施包括：

第四十条了解内部控制体系。

了解被评价机构内部控制体系主要通过询问、查阅、观察、流程图等方法进行，以初步评价被评价机构内部控制体系的充分性和合规性。

第四十一条符合性测试。

(二)功能测试，即对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。

符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。

第四十二条测试抽样。

抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上，结合被评价项目的风险和重要性进行调整。

第四十三条指标分析。

应收集被评价机构内部控制结果指标的相关信息，进行核实、对比分析和趋势分析，从而对内控目标实现情况做出评价。

第五章评分标准和评价等级

第四十四条内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值，并根据评价得分确定被评价机构的内部控制等级。

第四十五条内部控制过程评价的标准分为500分，其中：内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。上述五部分评价得分加总除以5，得到过程评价的实际得分。 (需根据情况修改)

第四十六条在对内部控制过程评价时，应按照第三章评价内容的要求，结合本办法第八条的四个方面展开，转换为具体评价问题，并根据测试情况对被评价项目进行评分。

第四十七条初次实施内部控制评价时，须对所有业务活动、管理活动和支持保障活动进行评价。

第四十八条内部控制过程评价的具体评分标准如下：

(一)被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。

(二)在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要

求的，可得该项分值的百分之三十。

(三)在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。

(四)在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。

第四十九条在测试过程中遇有业务缺项或问题"不适用"时，应将涉及到的分值在评价项目总分中扣减。为了保持可比性，在得出其余适用项的总分后，还应将该评价项目的总得分进行调整。

调整后评价项目总得分= 所有适用项目得分/(评价项目总分-不适用项目总分) ×100%

单项分值小计和总分分值有小数时四舍五入。

第五十条若涉及到需要采取抽样测试确定评价结论的，应根据以下情况确定：

(二)发现险情或事故的，直接扣除该评价项目的分值。

第五十一条内部控制的结果评价。结果评价主要评价内部控制目标的实现情况，对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括XXXX项指标：XXX、XXX等，。内控结果评价指标的标准分值为500分，转化为百分制后得出实际得分。(需根据情况修改)

上述等级也适用于单项评级，单项评级结果主要用于对比分析。

第五十四条若被评价机构在评价期内发生重大责任事故，应在上述评级的基础上下调一级。

重大责任事故包括：(需根据情况修改)

第五十五条内部控制体系连续在三个评价期内得不到改善的机构，其内部控制评价等级应适当下调。