湖北省人民政府


湖北省人民政府令第221号


　　《湖北省人民政府关于修改〈湖北省城市供水管理实施办法〉的决定》已经2002年1月15日省人民政府常务会议审议通过,现发布施行。


　　　　　　　　　　　　省　长　张国光



二○○二年一月二十三日

　 湖北省人民政府关于修改《湖北省城市供水管理实施办法》的决定


　　湖北省人民政府决定对《湖北省城市供水管理实施办法》作如下修改:
　　将第十七条第二款:“月用水量达不到底度者,按底度收费。城市自来水供水企业可根据实际情况和有关规定对生活用水和生产经营用水分别规定用水底度标准,报城市供水行政主管部门批准后执行”删除。
　　本决定自发布之日起施行。
　　《湖北省城市供水管理实施办法》根据本决定作相应的修改,重新发布。


　

　



湖北省城市供水管理实施办法


　　(1995年8月13日湖北省人民政府第80号令发布根据2002年1月15日湖北省人民政府关于修改〈湖北省城市供水管理实施办法〉的决定》修正)


第一章　总　　则



　　第一条　为加强城市供水管理,促进城市供水事业发展,保障城市生活、生产和各项建设正常用水,根据国家《城市供水条例》等有关规定,结合本省实际,制定本办法。


　　第二条　本办法所称城市供水,是指城市公共供水、自建设施供水和城市生活用水二次供水。
　　本办法所称城市公共供水,是指城市自来水供水企业以公共供水管道及其附属设施向单位和居民的生活、生产和其他各项建设提供用水。
　　本办法所称自建设施供水,是指城市用水单位以其自行建设的供水管道及其附属设施主要向本单位的生活、生产和其他各项建设提供用水。本办法所称城市生活用水二次供水,是指用水单位和个人以储存、加压设施,将城市自来水供水企业或自建设施供水企业所供自来水储存、加压后,再向单位和居民生活提供用水。


　　第三条　在本省行政区域内从事城市供水的规划、建设、生产、管理工作和使用城市供水者,必须遵守本办法。


　　第四条　省建设厅主管全省城市供水工作。地区行署和市、州、县人民政府确定的城市供水行政主管部门(以下简称城市供水行政主管部门),主管本行政区域内的城市供水工作。


　　第二章　城市供水水源


　　第五条　城市人民政府应当组织城市规划行政主管部门、水行政主管部门、城市供水行政主管部门和地质矿产行政主管部门,共同编制城市供水水源开发利用规划,作为城市供水发展规划的组成部分纳入城市总体规划。


　　第六条　编制城市供水水源规划应当从城市发展需要出发,并与水资源统筹规划和水长期计划相协调,合理安排利用地表水和地下水,优先保证城市生活用水,统筹兼顾工业用水和其他各项建设用水。
　　城市供水水源的开发利用,应当遵循国家取水许可制度的有关规定。


　　第七条　城市生活饮用水水源保护区,由当地环境保护部门会同城市供水行政主管部门、水行政主管部门和卫生行政主管部门等,按国家有关规定共同划定,经本级人民政府批准后公布。


　　第八条　在饮用水水源保护区内,禁止从事一切污染水质的活动。
　　(一)取水点周围半径100米的水域及沿岸,禁止捕捞、停靠船只、游泳和从事可能污染水源的任何活动,并由城市供水企业设置明显的范围标志和禁止事项的告示牌。
　　(二)以河流为水源的,取水点上游1000米,下游100米;在湖泊、水库为水源的,取水点周围半径300米的水域不得排入工业废水和生活污水,其沿岸不得堆放废渣,设立有害化学物品仓库、堆栈或装卸垃圾、粪便及有毒物品的码头,不得使用工业废水或生活污水灌溉及施用持久性剧毒农药,不得从事放牧等有可能污染该段水域水质的活动。
　　(三)以长江为水源的,取水点上游2000米,下游100米水域;以汉江为水源的,取水点上游5000米,下游100米水域;以湖泊为水源的,全湖泊水域,禁止新建排污口。原有排污口排放污染物不得超过国家规定标准。
　　(四)以地下水为水源的,其取水构筑物的防护范围,根据本地水文地质条件、取水构筑物的形式和附近地区的状况确定水源保护区。水源保护区内,禁止利用渗坑、废井、烈隙、溶涧等倾倒有毒、有害的废水和其他废弃物;不得堆放废渣、垃圾和积存污水、修建粪坑等。


　　第三章　城市供水工程建设第九条　城市供水工程(包括二次供水工程)的设计、施工应当委托持有相应资质证书的设计、施工单位承担,并遵守国家有关技术标准和规范。禁止无证或超越资质证书规定的经营范围承担城市供水工程的设计、施工任务。
　　禁止利用管理职权对供水工程建设和设备的添置实行行业垄断。


　　第十条　城市新建、扩建、改建供水工程应按基本建设有关程序进行。项目的申报审批,按国家有关规定执行。


　　第十一条　城市新建、扩建、改建工程需要设置二次供水设施的,建设单位应向自来水供水企业提出申请,并经城市供水行政主管部门审批后方可进行设计和施工。


　　第十二条　城市供水工程(包括二次供水工程)竣工后,应由城市供水行政主管部门组织供水工程主管部门和质检、设计、施工、工程建设管理等单位,按照国家有关技术标准和规范组织验收,未经验收或验收不合格的不准投入使用。


　　第四章　城市供水经营


　　第十三条　城市自来水供水企业和自建设施对外供水的企业,必须按照国家城市供水资质管理的有关规定,经城市供水行政主管部门进行资质审查合格并经工商行政管理机关登记注册后,方可从事经营活动。


　　第十四条　城市自来水供水企业和自建设施对外供水的企业,必须建立健全水质检验机构和质量管理制度,负责检验水源水、净化水、出厂水、管网水的水质,做好水质检验分析、记录工作,接受城市供水行政主管部门的监督检查,确保城市供水的水质符合国家规定的饮用水卫生标准。


　　第十五条　自来水供水企业和自建设施对外供水企业,应努力做好水压监测记录工作,确保供水管网压力符合国家规定的标准。
　　禁止在城市公共供水管道上直接装泵抽水。


　　第十六条　城市自来水供水企业和自建设施对外供水企业,应当保持不间断供水。因工程施工、设备维修等原因,确需停止供水的,应提前24小时通知用水户。因发生灾害或紧急事故,不能提前通知的,应当在抢修的同时通知用水户。发生上述问题,均应尽快恢复正常供水并报告城市供水行政主管部门。暂停洪水时间超过3天的,应采取临时供水措施。
　　涉及大面积区域性停水,可能对城市生产、生活造成重大影响的,自来水供水企业和自建设施对外供水企业,必须在停水前报经城市供水行政主管部门批准,并发布停水告示。


　　第十七条　申请用水或者申请改装自来水管道、水表的单位和个人,须经城市自来水供水企业同意并安装水表,方可用水。
　　用水户应当按照规定的计量标准和水价标准按时缴纳水费。


　　第十八条　用户需要增加城市公共供水量,应向城市供水行政主管部门提出增容申请,经批准办理有关手续和缴纳国家和省规定的有关费用后,方可纳入用水计划。
　　禁止盗用或者转供城市公共供水。


　　第十九条　城市供水价格根据城市建设和供水需求情况,按供水成本价格的变化适时调整。对生活用水价格,实行保本微利;对生产和经营用水价格根据水费对商品成本的影响,省辖市、直管市由省物价部门会同省建设厅确定,其它城市由市(地、州、物价部门会同同级供水行政主管部门确定。


　　第五章　城市供水设施维护


　　第二十条　城市自来水供水企业和自建设施对外供水企业对其管理的城市供水的专用水库、引水渠道、取水口、泵站、井群、输(配)水管网、阀门、消防检、进户总水表、净(配)水厂、公共用水站等设施,应定期检查维修,确保安全供水。


　　第二十一条　城市公共自来水系统的供水、用水设施,由城市自来水供水企业统一管理、使用和维修;从结算水表至用水管道,由产权所有者负责维修和管理。


　　第二十二条　在城市公共供水管道及其附属设施的地面和地下安全保护范围内,禁止挖坑、取土或者修建建筑物、构筑物等危害供水设施安全的活动。
　　禁止围压、堆占、掩埋供水管道及其附属设施。禁止向自来水井孔内倾倒垃圾、粪便、污水及其他污物。
　　禁止盗窃、收购、损坏城市公用供水设施。


　　第二十三条　因工程建设确需改装、拆除或者迁移城市公共供水设施的,建设单位应报经规划行政主管部门和城市供水行政主管部门审批同意后实施。所需费用由建设单位负责。


　　第二十四条　禁止擅自将自建设施供不泛网系统与城市公共供水管网连接。因特殊情况确需连接的,必须经城市自来水供水企业同意,报城市供水行政主管部门和卫生行政主管部门批准,并在管道连接处采取必要的防护措施。
　　禁止生产或者使用有毒有害物质的单位将其生产用水管网系统与城市公共供水管网系统连接。


　　第六章　罚　则


　　第二十五条　城市自来水供水企业或自建设施对外供水的企业有下列行为之一的,由城市供水行政主管部门责令改正,并处以2000元以上1000元以下罚款;情节严重的,报经当地人民政府批准,可以责令停业整顿,对负有直接责任的主管人员和其他责任人员,其所在单位或者上级机关可以给予行政处分:
　　(一)城市供水水质、水压不符合国家规定标准的;
　　(二)擅自停止供水或者未履行停水通知义务的;
　　(三)未按照规定检修供水设施或者在供水设施发生故障后未及时抢修的。


　　第二十六条　违反本办法规定,有下列行为之一的,由城市供水行政主管部门责令停止违法行为,并可处以5000元以上5000元以下罚款;对负有直接责任的主管人员和其他直接责任人员,其所在单位或者上级机关可以给予行政处分:
　　(一)无证或者超越资质证书规定的经营范围进行城市供水工程的设计或者施工的;
　　(二)未按国家规定的技术标准和规范进行城市供水工程的设计或者施工的;
　　(三)违反城市供水发展规划及其年度建设计划兴建城市供水工程的。


　　第二十七条　违反本办法规定,有下列行为之一的,由城市供水行政主管部门按下列规定给予处罚:
　　(一)涂刻、毁损、破坏城市生活饮用水源保护区标志和禁止事项牌的,除责令停止违法行为外,可处以300元以上1000元以下罚款;
　　(二)未按规定缴纳水费的,责令补交所欠水费,并按日加收水费1‰滞纳金;
　　(三)盗用或者擅自转供城市公共供水的,责令改正,没收非法所得,并处以500元以上5000元以下罚款;
　　(四)盗窃、收购、损坏城市公共供水设施的,除按被损坏供水设施原值照价赔偿和没收非法所得及赃物外,并处以直接责任人200元、责任单位200元以上1000元以下罚款;

　　(五)在规定的城市公共供水管道及其附属设施安全保护范围内进行危害供水设施安全活动的,责令限期整改,处以责任单位300元以上3000元以下、直接责任人300元罚款;
　　(六)擅自在公共供水管网上接管用水、装示抽水以及擅自将自建设施供水管网系统与城市公共供水管网系统连接的,责令限期拆除,并处以直接责任单位负责人500元、责任单位500元以下5000元以下罚款;
　　(七)产生或者使用有毒有害物质的单位将其生产用水管网系统与城市公共供水管网系统直接连接的,责令限期拆除,并处以责任单位方管人员5000元以上10000元以下、直接责任单位10000元以上50000元以下罚款;
　　(八)擅自拆除、改装、动用或者迁移城市供水设施的,责令恢复原状,并处以责任单位300元以上3000元以下、直接责任人300元罚款。
　　有关款第(二)、(三)、(六)、(七)、(八)项所列行为之一,情节严重的,经当地人民政府批准,可以在一定时间内停止供水。


　　第二十八条　阻扰城市, 供水行政主管部门工作人员依法执行公务,妨碍城市自来水供水企业对公共供水设施进行检查、维修或抢修的,由城市供水行政主管部门对直接责任人或责任单位处以500元以下罚款。
　　违反本办法规定,构成危害社会治安行为的,由公安机关依照《中华人民共和国治安管理处罚条例》予以处罚;构成犯罪的,由司法机关依法追究刑事责任。


　　第二十九条　罚没收入管理按《湖北省罚没收入管理办法》的规定执行。


　　第三十条　城市供水行政主管部门的工作人员玩忽职守、滥用职权、徇私舞弊的,由其所在单位或者上级机关给予行政处分,构成犯罪的,由司法机关依法追究刑事责任。


　　第三十一条　被处罚的单位和个人对行政处罚决定不服的,可依法申请复议或向人民法院起诉。逾期不申请复议,也不向人民法院起诉又不履行处罚决定的,由作出处罚决定的机关申请人民法院强制执行。


第七章　附　则


　　第三十二条　本办法应用中的问题,由省建设厅负责解释。


　　第三十三条　本办法自发布之日起施行。

中国银行业监督管理委员会


中国银行业监督管理委员会令（2004年第9号）



《商业银行内部控制评价试行办法》已经2004年8月20日中国银行业监督管理委员会第25次主席会议通过，现予公布，自2005年2月1日起施行。



主席 刘明康

二○○四年十二月二十五日





商业银行内部控制评价试行办法



第一章 总 则



第一条 为规范和加强对商业银行内部控制的评价，督促其进一步建立内部控制体系，健全内部控制机制，为全面风险管理体系的建立奠定基础，保证商业银行安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本办法。

第二条 商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。

内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。

第三条 商业银行内部控制体系是商业银行为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。

第四条 商业银行应建立并保持系统、透明、文件化的内部控制体系，定期或当有关法律法规和其他经营环境发生重大变化时，对内部控制体系进行评审和改进。

第五条 商业银行内部控制评价由中国银行业监督管理委员会（以下简称银监会）及其派出机构组织实施。

第六条 内部控制评价人员应接受有关内部控制评价知识和技能的培训，具备相应的资质和能力。



第二章 评价目标和原则

第七条 商业银行内部控制评价的目标主要包括：

（一）促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。

（二）促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现。

（三）促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。

（四）促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。

（五）促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。

第八条 内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行：

（一）过程和风险是否已被充分识别。

（二）过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。

（三）控制措施是否有效。

（四）控制措施是否适宜。

第九条 内部控制评价应遵循以下原则：

（一）全面性原则。评价范围应覆盖商业银行内部控制活动的全过程及所有的系统、部门和岗位。

（二）统一性原则。评价的准则、范围、程序和方法等应保持一致，以确保评价过程的准确及评价结果的客观和可比。

（三）独立性原则。评价应由银监会或受委托评价机构独立进行。

（四）公正性原则。评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。

（五）重要性原则。评价应依据风险和控制的重要性确定重点，关注重点区域和重点业务。

（六）及时性原则。评价应按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，应及时重新评价。



第三章 评价内容

第一节 内部控制环境

第十条 商业银行公司治理。

商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作，分权制衡。

（一）完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序。

（二）明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任。

（三）建立独立董事制度，对董事会讨论事项发表客观、公正的意见。

（四）建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。

第十一条 董事会、监事会和高级管理层责任。

董事会负责保证商业银行建立并实施充分而有效的内部控制体系；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保商业银行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。

监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。

高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

董事会和高级管理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。

第十二条 内部控制政策。

商业银行应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。内部控制政策应：

（一）与商业银行的经营宗旨和发展战略相一致；

（二）体现持续改进内部控制的要求；

（三）符合现行法律法规和监管要求；

（四）体现出侧重控制的风险类型；

（五）体现出对不同地区、行业、产品的风险控制要求；

（六）传达给适用岗位的员工，指导员工实施风险控制措施；

（七）可为风险相关方所获取，并寻求互利合作；

（八）定期进行评审，确保其持续的适宜性和有效性。

第十三条 内部控制目标。

商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。

在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监管部门的内部控制指标要求。

内部控制目标应可测量。有条件时，目标应用指标予以量化。

第十四条 组织结构。

商业银行应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并形成文件予以传达。特别应考虑：

（一）建立相应的授权体系，实行统一法人管理和法人授权。

（二）必要的职责分离，以及横向与纵向相互监督制约关系。

（三）涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。

（四）明确关键岗位、特殊岗位、不相容岗位及其控制要求。

（五）建立关键岗位定期或不定期的人员轮换和强制休假制度。

商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。

商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员；应有权获得商业银行的所有经营、管理信息；应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价；应及时向董事会或董事会审计委员会提交审计报告；董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改；总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。

第十五条 企业文化。

商业银行应培育健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。

第十六条 人力资源。

商业银行应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。

商业银行应明确与风险和内部控制有关人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。

高级管理人员必须满足监管机构对高级管理人员资质的要求。

商业银行应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。

商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。

第二节 风险识别与评估

第十七条 经营管理活动风险识别与评估。

商业银行应建立和保持书面程序，以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、市场风险（含利率风险）、操作风险、国家和转移风险、流动性风险、法律风险以及声誉风险等。

应识别并确定常规和非常规的业务和管理活动，并识别这些活动中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围，特别应考虑计算机系统的运用可能带来的风险。

应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评审，以确保其持续可接受；风险不可接受时，应制定控制措施。

商业银行对各类风险进行识别与评估时应充分考虑内部和外部因素。其中，内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等；外部因素包括经济形势的波动、行业变动趋势等。

当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

风险识别与评估应：

（一）依据业务范围、性质和时限主动进行。

（二）评估风险的后果、概率和风险级别。

（三）必要时开发并运用风险量化评估的方法和模型。

第十八条 法律法规、监管要求和其他要求的识别。

商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。

商业银行应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。

第十九条 内部控制方案。

商业银行应制定内部控制方案，以控制已识别的不可接受风险。内部控制措施方案应包括以下内容：

（一）为实现对风险的控制而规定的相关职责与权限。

（二）控制的策略、方法、资源需求和时限要求。

若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑可能产生的新风险。

第三节 内部控制措施

第二十条 运行控制。

商业银行应确定需要采取控制措施的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。

（一）控制措施包括：

1.高层检查。董事会与高级管理层应要求下级部门及时报告经营管理情况和特别情况，以检查内部控制的实施状况以及在实现内部控制目标方面的进展。高级管理层应根据检查情况提出内部控制缺失情况，督促职能管理部门改进。

2.行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。

3.实物控制。主要的控制措施包括实物限制、双重保管和定期盘存等。

4.风险暴露限制的审查。审查遵循风险暴露限制方面的合规性，违规时继续跟踪检查。

5.审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级的管理责任。

6.验证与核实。验证各项业务、管理活动以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，并向职能管理部门报告。

7.不兼容岗位的适当分离。实行适当的职责分工，认定潜在的利益冲突并使之最小化。

（二）控制要点包括：

1.对于可能导致偏离内部控制政策、目标的运行情况，应建立并保持书面程序和要求，并在程序中规定操作和控制标准。

2.对于重要活动应实施连续记录和监督检查。

3.在可能的情况下，应考虑运用计算机系统进行控制。

4.对于采购或外包的设施、设备、系统和服务中已识别的风险，应建立并保持控制程序，并将有关程序和要求通报供方，确保其遵守商业银行相关的控制要求。

5.对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序。

第二十一条 计算机系统环境下的控制。

商业银行应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

第二十二条 应急准备与处置。

商业银行应建立并保持预案和程序，以识别可能发生的意外事件或紧急情况（包括计算机系统）。意外事件和紧急情况发生时，应及时做出应急处置，以预防或减少可能造成的损失，确保业务持续开展。

商业银行应定期检查、维护应急的设施、设备和系统，确保其处于适用状态。如可行，应定期测试应急预案。

商业银行应评审其应急预案，特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况（包括事故、险情）的性质相适应。

第四节 监督评价与纠正

第二十三条 内部控制绩效监测。

商业银行应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。

监测内容包括：

（一）内部控制目标实现程度。

（二）法律、法规及监管要求的遵循程度。

（三）事故、险情和其他不良的内部控制绩效的历史情况。

第二十四条 违规、险情、事故处置和纠正及预防措施。

商业银行应建立并保持书面程序，对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定，包括：

（一）发现违规、险情、事故并及时报告，必要时，可越级报告。

（二）及时处置违规、险情、事故。

（三）制定纠正与预防措施，防止违规、险情、事故的发生和再发生，并与问题的大小和风险危害程度相一致。

（四）纠正与预防措施在实施之前应进行风险评估。

（五）实施并跟踪、验证纠正与预防措施。

（六）险情和事故的责任追究。

第二十五条 内部控制体系评价。

商业银行应建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。

评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等，覆盖体系范围内的所有活动。

可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因，并验证所采取措施的效果。

评价应由与评价的活动无直接责任的人员进行，评价人员应具备相应的知识，能够胜任评价工作。

第二十六条 管理评审。

董事会应采取措施保证定期对内部控制状况进行评审，确保体系得到持续、有效的改进。

（一）管理评审应包括以下方面的内容：

1.内部控制体系评价的结果。

2.内部控制政策执行情况和内部控制目标实现情况。

3.对内部控制体系有重要影响的外部信息，如法律、法规的重大变化。

4.组织结构的重大调整。

5.事故和险情以及重大纠正和预防措施的状况。

6.以往管理评审的跟踪情况。

7.内部控制体系改进的建议。

（二）管理评审应就以下方面提出改进措施并落实：

1.内部控制体系及其过程的改进。

2.内部控制政策、目标的变更。

3.与内部控制有关资源的需求。

第二十七条 持续改进。

商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等，持续提高内部控制体系有效性。

第五节 信息交流与反馈

第二十八条 交流与沟通。

商业银行应建立并保持信息交流与沟通的程序，明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。

商业银行应识别其内部和外部的风险相关方，考虑他们的要求和目标，建立与这些相关方进行信息交流的机制，确保：

（一）董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。

（二）所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。

（三）险情、事故发生时，相关信息能得到及时报告和有效沟通。

（四）及时、真实、完整地向监管机构和外界报告、披露相关信息。

（五）国内外经济、金融动态信息的取得和处理，并及时把与企业既定经营目标有关的信息提供给各级管理层。

信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。

为保持信息交流沟通的可追溯性，必要时，应保持相关信息交流与沟通的记录。

第二十九条 内部控制体系对文件的要求。

建立和保持文件化体系是实现信息交流与反馈的重要途径。商业银行应建立并保持必要的内部控制体系文件，包括：

（一）对内部控制体系要素及其相互作用的描述。

（二）内部控制政策和目标。

（三）关键岗位及其职责与权限。

（四）不可接受的风险及其预防和控制措施。

（五）控制程序、作业指导、方案和其他内部文件。

第三十条 文件控制。

商业银行应建立并保持书面程序，以确保内部控制体系所要求的文件满足下列要求：

（一）易于查询。

（二）实施前得到授权人的批准。

（三）定期评审，必要时予以修订并由授权人员确认其适宜性。

（四）所有相关岗位都能得到有效版本。

（五）失效时，及时从所有发放处和使用处收回，或采取其他措施防止误用。

（六）及时识别、处置外来文件并进行标识，必要时转化为内部文件。

（七）留存的档案性文件和资料应予以适当标识。

第三十一条 记录控制。

商业银行应建立并保持书面程序，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。

记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。



第四章 评价程序和方法

第三十二条 内部控制评价程序一般包括评价准备、评价实施、评价报告形成和反馈等步骤。

第三十三条 评价准备。

组成评价组。评价组应考虑组成人员的背景和能力。必要时，可聘请业务或管理方面的专家。

制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。

准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。

在现场评价前应先与被评价机构建立初步联系，以便确认有关评价事项和安排。

第三十四条 评价实施。

评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排，通过适当的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以记录。

评价实施的具体方法见第三十九条至四十三条。

第三十五条 评价报告形成。

评价组根据评价实施情况，撰写评价报告，应重点分析以下方面：

（一）被评价机构内部控制体系现状、存在问题及趋势分析。

（二）同类银行比较。

（三）监管建议。

（四）可能的谅解因素。

第三十六条 评价反馈。

对被评价机构内部控制体系进行综合评价后，应与被评价机构管理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。

第三十七条 银监会及其派出机构根据评价报告，依据有关法律和规定，做出评价结论和处理决定，并以书面形式正式发送被评价机构，限期整改。同时，评价结论应报上级机构。

第三十八条 内部控制评价方法是为实现评价目的，对被评价机构内部控制体系进行分析和评价而采取的技术和手段的总称。

第三十九条 内部控制评价实施包括：

了解内部控制体系。应了解被评价机构内部控制体系的基本情况，确认评价范围，确定被评价机构的内部控制体系的健全程度，然后决定实施测试所采取的方法。

实施测试和分析。实施测试和分析是在了解内部控制体系的基础上，评价内部控制体系的运行与绩效。具体可以采取符合性测试和指标分析等，其中，对内部控制过程评价主要采取符合性测试法；对内部控制结果评价，主要采取指标分析法。

第四十条 了解内部控制体系。

了解被评价机构内部控制体系主要通过询问、查阅、观察、流程图等方法进行，以初步评价被评价机构内部控制体系的充分性和合规性。

第四十一条 符合性测试。

符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性，即相关规定在实际中是否被一贯执行，控制措施能否达到控制目的，控制措施是否恰当。符合性测试分为两种形式：

（一）业务测试，即对重要业务或典型业务进行测试，按照规定的业务处理程序进行检查，确认有关控制点是否符合规定并得到认真执行，以判断内部控制的遵循情况。

（二）功能测试，即对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。

符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。

第四十二条 测试抽样。

抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上，结合被评价项目的风险和重要性进行调整。

根据业务频次确定的抽样量参考标准如下：

（一）每月执行一次的业务或事项，抽样量应保持在2-6个之间。

（二）每周执行一次的业务或事项，抽样量应保持在4-10个之间。

（三）每日执行一次的业务或事项，抽样量应保持在10-25个之间。

（四）每日执行多次的业务或事项，全年10000次以下的，抽样量应保持在25-50个之间；全年10000次以上的，抽样量应保持在50个以上。

第四十三条 指标分析。

应收集被评价机构内部控制结果指标的相关信息，进行核实、对比分析和趋势分析，从而对内控目标实现情况做出评价。



第五章 评分标准和评价等级

第四十四条 内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值，并根据评价得分确定被评价机构的内部控制等级。

第四十五条 内部控制过程评价的标准分为500分，其中：内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。上述五部分评价得分加总除以5，得到过程评价的实际得分。

第四十六条 在对内部控制过程评价时，应按照第三章评价内容的要求，结合本办法第八条的四个方面展开，转换为具体评价问题，并根据测试情况对被评价项目进行评分。

第四十七条 初次实施内部控制评价时，须对所有业务活动、管理活动和支持保障活动进行评价。再次评价时，至少应包括：授信业务、资金业务、存款及柜台业务、主要中间业务、计划财务、会计管理、计算机信息系统等。其他活动在每三次再次评价周期内应至少覆盖一次。

第四十八条 内部控制过程评价的具体评分标准如下：

（一）被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。

（二）在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要求的，可得该项分值的百分之三十。

（三）在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。

（四）在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。

第四十九条 在测试过程中遇有业务缺项或问题"不适用"时，应将涉及到的分值在评价项目总分中扣减。为了保持可比性，在得出其余适用项的总分后，还应将该评价项目的总得分进行调整。

调整后评价项目总得分= 所有适用项目得分/(评价项目总分-不适用项目总分) ×100%

单项分值小计和总分分值有小数时四舍五入。

第五十条 若涉及到需要采取抽样测试确定评价结论的，应根据以下情况确定：

（一）如果在抽样范围内未发现违规，该项评价得满分；在抽样范围内，发现两项以上违规（含两项），该项评价不得分；仅发现一项违规的，应扩大一倍抽样，在扩大抽样范围内未发现新的违规的，可得该评价项目分值的50%，在扩大抽样范围内又发现新的违规的，该评价项目不得分。

（二）发现险情或事故的，直接扣除该评价项目的分值。

第五十一条 内部控制的结果评价。结果评价主要评价内部控制目标的实现情况，对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括十项指标：资本利润率、资产利润率、成本收入比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件指标等，指标说明及控制比例见附录。内控结果评价指标的标准分值为500分，转化为百分制后得出实际得分。

不分页显示　　　总共2页　　1 [2]

　　下一页