JR-T0125-2015 商业银行内部控制评价指南.pdf

ICS 03.060A 11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 01252015商业银行内部控制评价指南The guideline of internal control assessment in commercial banks文稿版次选择2015-10-21 发布2015-10-21 实施中国人民银行发 布JR/T 01252015II4.8.5穿行测试法.184.8.6控制测试法.194.8.7其他方法.214.9结果利用.214.9.1评价报告.214.9.2报告路径.224.9.3成果运用.225公司层面内部控制评价.225.1评价步骤.225.2内部环境.235.2.1组织架构.235.2.2发展战略.235.2.3企业文化.245.2.4内部审计.245.2.5人力资源.255.2.6社会责任.255.3风险评估.255.3.1风险管理体系.255.3.2风险识别.265.3.3风险评估.265.3.4风险应对.275.4控制活动.275.4.1政策与流程.275.4.2不相容职务分离控制.275.4.3授权审批控制.275.4.4会计系统控制.285.4.5财产保护控制.285.4.6预算控制.285.4.7运营分析控制.295.4.8绩效考评控制.295.4.9重大风险预警控制.295.4.10并表管理控制.295.4.11反洗钱控制.305.4.12关联交易控制.305.4.13业务外包控制.315.4.14业务连续性控制.315.5信息与沟通.325.5.1信息指标体系.325.5.2信息系统建设.325.5.3信息安全控制.325.5.4信息交流机制.335.5.5信息披露机制.33JR/T 01252015III5.5.6反舞弊机制.335.6内部监督.345.6.1内部监督组织架构.345.6.2内部监督制度.345.6.3内部监督工作.345.6.4整改机制.355.6.5内部控制评价.356流程层面内部控制评价.356.1评价步骤.356.2公司贷款.366.2.1客户评级与统一授信.366.2.2调查和审查审批.366.2.3发放和支付管理.376.2.4贷后管理.376.2.5不良贷款管理.386.3公司存款.386.3.1开户.386.3.2存取款.396.3.3账户变更.396.3.4挂失冻结.396.3.5对账.406.3.6销户.406.4票据融资.406.4.1业务受理.406.4.2审查审批.406.4.3资金核算.406.4.4票据出入库.416.4.5票据托收.416.4.6票据保全.416.5国际结算.416.5.1业务受理.416.5.2单证处理.416.5.3收付汇.426.5.4资金清算及会计核算.426.6贸易融资.426.6.1业务受理.426.6.2审查审批.436.6.3贷后管理.436.7投资银行.436.7.1银团贷款.436.7.2信贷资产转让.436.7.3重组并购.44JR/T 01252015IV6.7.4常年财务顾问.446.8个人存款.446.8.1开户.446.8.2存取款.456.8.3挂失冻结.456.9个人贷款.456.9.1调查和审查审批.456.9.2发放和支付管理.466.9.3贷后管理.466.9.4不良贷款管理.466.10信用卡.476.10.1审批与开户.476.10.2卡片管理.476.10.3交易监控.476.10.4透支管理.486.10.5额度调整.486.10.6交易清算.486.10.7卡片挂失.486.10.8拒付调单.496.10.9坏账核销.496.11私人银行.496.12资产托管.506.12.1托管账户开立.506.12.2托管账户监控.506.12.3托管账户资金清算.506.13养老金.506.14贵金属.516.14.1实物贵金属.516.14.2交易类贵金属.516.14.3融资类贵金属.516.15理财.526.15.1资金募集.526.15.2投资运作.526.15.3会计核算与托管.526.15.4项目管理.536.16债券投资与交易.536.17外汇交易.546.18货币市场业务.546.19衍生产品交易.546.20债券承销发行.556.21运行管理.556.21.1账户管理.556.21.2会计核算要素管理.56JR/T 01252015V6.21.3账务组织管理.566.21.4现金业务管理.566.21.5支付结算管理.576.21.6清算管理.576.21.7参数管理.576.22电子银行.586.23代理业务.586.24财务会计管理.596.24.1经营发展规划及计划.596.24.2会计科目管理.596.24.3财务收支.606.24.4财务集中业务.606.24.5固定资产控制.616.24.6集中采购管理.616.24.7应税事务管理.616.25资产负债管理.626.25.1人民币资金管理.626.25.2外汇资金管理.626.25.3本外币资金运营.626.25.4经济资本管理.636.25.5国债业务.636.26产品创新管理.636.27租赁.636.27.1业务审查与授信管理.636.27.2业务审批.646.27.3业务办理.646.27.4后续管理.646.28基金.646.28.1公募基金.646.28.2专户理财.657信息科技层面内部控制评价.657.1评价步骤.657.2信息科技治理.667.2.1治理架构.667.2.2控制环境.667.2.3信息与沟通.677.2.4监督与评价.687.3信息科技风险管理.687.3.1风险管理策略.687.3.2风险识别和评估.697.3.3风险监测和应对.697.4信息安全.69JR/T 01252015 VI 7.4.1 总体管理.69 7.4.2 物理访问控制管理.70 7.4.3 网络安全管理.70 7.4.4 操作系统及数据库安全管理.71 7.4.5 数据安全管理.72 7.4.6 应用系统访问控制管理.72 7.4.7 终端设备安全管理.73 7.5 信息系统开发、测试和投产.73 7.5.1 总体管理.73 7.5.2 立项管理.74 7.5.3 需求管理.74 7.5.4 系统设计.75 7.5.5 编码及自测.75 7.5.6 项目测试.75 7.5.7 投产与推广.76 7.5.8 项目后评价.77 7.6 信息科技运行管理.77 7.6.1 总体管理.77 7.6.2 机房环境及设施管理.78 7.6.3 批处理管理.78 7.6.4 服务管理.79 7.6.5 性能容量管理.79 7.6.6 配置管理.79 7.6.7 事件、问题和变更管理.80 7.7 业务连续性管理.80 7.7.1 备份管理.80 7.7.2 业务影响性分析.81 7.7.3 业务连续性计划.81 7.8 外包服务管理.82 7.8.1 外包组织架构管理.82 7.8.2 外包战略风险管理.82 7.8.3 外包服务实施管理.82 附录 A（资料性附录）内控评价工作底稿.84 A.1 概述.84 A.2 公司层面内控评价工作底稿.84 A.3 流程层面内控评价工作底稿.111 A.4 信息科技层面内控评价工作底稿.184 参考文献.242 图 1 商业银行内部控制评价应用框架.3 图 2 集团评价层级逻辑框架.9 图 3 内部控制评价程序.12 JR/T 01252015 VII 图 4 风险评估框架.14 图 5 风险集合图.15 图 6 风险热图.16 图 7 控制测试流程图.19 表 1 公司层面的评价内容.5 表 2 流程层面的评价内容.7 表 3 信息科技层面的评价内容.8 表 4 内部控制缺陷认定标准.10 表 5 内部控制有效性认定标准.11 表 6 缺陷标准与有效性标准对应关系表.11 表 7 评价单元示例.14 表 8 风险控制矩阵工作底稿样例.17 表 9 穿行测试工作底稿样例.18 表 10 控制测试抽样对应表.20 表 11 增加测试样本对应表.20 表 12 控制测试工作底稿样例.20 表 A.1 公司层面内控评价工作底稿.84 表 A.2 流程层面内控评价工作底稿.111 表 A.3 信息科技层面内控评价工作底稿.184 JR/T 01252015商业银行内部控制评价指南1范围本标准建立了以评价内容为基础，以评价标准、评价方法和评价程序为支柱，服务于评价目标的商业银行内部控制评价操作指南，明确了“由谁评价”、“评价什么”、“如何评价”和“评价结果如何利用”的一系列问题。本标准适用于中国商业银行（以下简称商业银行）开展的内部控制评价工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。3术语和定义下列术语和定义适用于本文件。3.1内部控制internal control由董事会、监事会、高级管理层和全体员工共同实施的，旨在合理保证商业银行依法合规经营、资产安全和财务报告信息真实完整，促进商业银行提高经营效率与效果，实现发展战略目标的过程。3.2内部控制评价internal control assessment由商业银行董事会或类似权力机构按照规定的程序、标准、内容和方法，对商业银行内部控制有效性进行全面评价，形成评价结论，出具评价报告的过程。3.3评价主体assessment subject董事会或类似权力机构负责开展内部控制评价并出具评价报告。商业银行可以授权内部审计部门或专门的职能机构（以下统称评价机构）负责内部控制评价的具体组织实施工作。3.4评价目标assessment objective对银行内部控制状况开展监督评价，发现内部控制缺陷，促进相关问题的整改，提升和完善内部控制，以此促进商业银行内部控制目标的实现。3.51JR/T 01252015评价内容assessment content围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素展开，具体可按公司、流程、信息科技等三个层面梳理的风险点和控制点开展测试和评价。3.6评价标准assessment standard衡量商业银行内部控制缺陷和控制有效性的重要指标，由业务标准和认定标准两部分组成。其中，业务标准是银行各项业务正常运行应遵循的控制要求；认定标准是衡量银行内部控制状况的依据和尺度。3.7评价程序assessment procedure实施内部控制评价的程序和步骤，分为计划准备、现场实施、报告编写和缺陷整改四个阶段。3.8评价方法assessment method为了达到内部控制评价目的而采取的途径、步骤、手段、工具、技术等的总称，主要包括风险评估、识别关键控制、风险控制矩阵、穿行测试、控制测试、专题讨论法、询问或访谈、问卷调查、流程描述、观察、实地查验、比较分析等方法。4内部控制评价框架4.1评价原则内部控制评价宜该坚持以下原则：a)全面性原则。内部控制评价范围宜当包括内部控制的设计与运行，涵盖商业银行各项业务的全过程及所有机构、部门和岗位；b)重要性原则。内部控制评价宜在全面评价的基础上，根据本行风险管理状况挑选重点分行、高风险领域、重要业务单元和重大业务事项进行评价；c)客观性原则。内部控制评价宜以事实为依据，准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性；d)一致性原则。内部控制评价宜采用一致可比的程序、方法和标准，以确保评价过程的客观性及评价结果的可比性。4.2评价框架商业银行的内部控制评价宜明确“由谁评价”、“评价什么”、“如何评价”和“评价结果如何利用”等一系列问题，因此，本操作指南构建了以评价内容为基础，以评价标准、评价方法和评价程序为支柱，最终服务于评价目标的屋型评价框架(见下图1)。2JR/T 01252015图 1商业银行内部控制评价应用框架在该框架中，内部控制评价目标处于统领和核心地位，是确