二级:综合评分80-89分。指被评价机构内部控制体系比较健全,在各个环节能够较好执行内部控制措施,能对主要风险进行识别和控制,控制措施基本适宜,经营效果较好
三级:综合评分70-79分。指被评价机构内部控制体系一般,虽建立了大部分内部控制,但缺乏系统性和连续性,在内部控制措施执行方面缺乏一贯的合规性,存在少量重大风险,经营效果一般。
四级:综合评分60-69分。被评价机构内部控制体系较差,内部控制体系不健全或重要的内部控制措施没有贯彻执行或无效,管理方面存在重大问题,业务经营安全性差。
五级:综合评分60分以下(不含60分)。被评价机构内部控制体系很差,内部控制体系存在严重缺失或内部控制措施明显无效,存在明显的管理漏洞,经营业务失控,存在重大金融风险隐患。
上述等级也适用于单项评级,单项评级结果主要用于对比分析。
第五十四条 若被评价机构在评价期内发生重大责任事故,应在上述评级的基础上下调一级。
重大责任事故包括:
(一)因安全防范措施不当,发生金融诈骗、盗窃、抢劫、爆炸等案件,造成重大影响或损失。
(二)因经营管理不善发生挤提事件。
(三)业务系统故障,造成重大影响或损失。
(四)经查实的重大信访事件。
第五十五条 内部控制体系连续在三个评价期内得不到改善的机构,其内部控制评价等级应适当下调。
第六章 组织和实施
第五十六条 内部控制评价按照“统一领导,分级管理”的原则进行。
第五十七条 根据评价的范围,内部控制评价可分为以下层次:
(一)银监会及其派出机构对商业银行法人机构的整体评价,原则上每两年一次。
(二)银监会及其派出机构对商业银行总部的评价,原则上每两年一次。
(三)银监会及其派出机构对商业银行不同层次分支机构的评价,每三年一个评价周期,每年至少覆盖三分之一以上的分支机构,三年内必须覆盖全部分支机构。
第五十八条 应当根据风险大小和重要性确定对商业银行及其分支机构内部控制评价的频率和范围,当商业银行发生管理层重大变动、重大的并购或处置、重大的营运方法改变或财务信息处理方式改变等情况,或银监会认为必要时,应对商业银行内部控制进行整体评价。
第五十九条 银监会对商业银行法人机构整体评价时,总部占整体评价得分的60%,分支机构平均得分占整体评价得分的40%,形成最终评级结果。其中,初次整体评价时,应覆盖总行和所有分支机构;再次进行整体评价时,应抽取不少于三分之一的分支机构。
银监会各派出机构对辖内商业银行分支机构的内部控制评价可比照进行。
第六十条 银监会及其派出机构应及时整理、分析和掌握被评价机构报送的非现场监管数据、国家审计部门的审计结果和被评价机构的内部审计信息,充分利用监管部门对被评价机构的各种现场检查结果。
第六十一条 银监会或其派出机构应对被降价机构内部控制体系的改进情况进行后续跟踪,责令被评价机构针对发现的违规或风险隐患制定纠正措施,并对纠正情况及其有效性进行验证。
第六十二条 内部控制评价各阶段涉及的有关记录、表格、评价报告以及跟踪验证的相关资料均应作为监管档案妥善保管。
第六十三条 银监会可根据需要委托外部中介机构对商业银行内部控制体系进行评价。受托中介机构和人员必须熟悉商业银行业务和运作,具备商业银行内部控制体系建立或评价方面的经验。各派出机构选聘中介机构时,必须报银监会批准。
受托中介机构对商业银行的内部控制评价须按照本办法执行。
第七章 罚则
第六十四条 银监会根据评级结果及评价报告所反映的情况,针对被评价机构内部控制体系存在问题的性质及严重程度,可分别采取以下一项或多项监管措施:
(一)约见被评价机构第一负责人或董事长。
(二)就评价对象内部控制体系存在问题可能引发的风险,向被评价机构进行提示和警告。
(三)要求被评价机构对内部控制体系存在的问题限期整改。
(四)加大现场检查力度及频率。
(五)建议调整管理层。
(六)取消有关人员一定期限或终身银行业从业资格。
(七)责令整顿或暂停办理相关业务。
(八)延缓批准或拒绝受理增设分支机构、开办新业务的申请。
第六十五条 对内部控制评价中发现的违规、违法行为,应根据有关规定,采取相应处罚措施。
