12、出详细规定 ， 并充分考虑人力资源管理过程中的风险 。
第二节 风险识别与评估第十七条 经营管理活动风险识别与评估 。
商业银行应建立和保持书面程序 ， 以持续对各类风险进行有效的识别与评估 。
商业银行的主要风险包括信用风险、市场风险（含利率风险）、操作风险、国家和转移风险、流动性风险、法律风险以及声誉风险等 。
应识别并确定常规和非常规的业务和管理活动 ， 并识别这些活动中的风险（无论是否由内部产生） ， 考虑其类型、来源及其影响范围 ， 特别应考虑计算机系统的运用可能带来的风险 。
应依据法律法规、监管要求以及内部控制政策确定风险是否可接受 ， 以确定是否进一步采取措施 。
风险可接受时 ， 应监测并定期评审 ， 以确保其持续可接受；风险不可 。

13、接受时 ， 应制定控制措施 。
商业银行对各类风险进行识别与评估时应充分考虑内部和外部因素 。
其中 ， 内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等；外部因素包括经济形势的波动、行业变动趋势等 。
当环境和条件发生变化时 ， 应及时对风险进行再识别和再评估 ， 以确保任何新的和以前未曾予以控制的风险得到识别和控制 。
风险识别与评估应：（一）依据业务范围、性质和时限主动进行 。
（二）评估风险的后果、概率和风险级别 。
（三）必要时开发并运用风险量化评估的方法和模型 。
第十八条 法律法规、监管要求和其他要求的识别 。
商业银行应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序 ， 作为风险识别与评估、制订 。

14、控制目标和控制方案的依据 。
商业银行应及时更新法律法规、监管要求和其他要求的信息 ， 并将这些信息传达给相关员工和其他风险相关方 。
第十九条 内部控制方案 。
商业银行应制定内部控制方案 ， 以控制已识别的不可接受风险 。
内部控制措施方案应包括以下内容：（一）为实现对风险的控制而规定的相关职责与权限 。
（二）控制的策略、方法、资源需求和时限要求 。
若涉及到组织结构、流程、计算机系统等方面的重大变更 ， 应考虑可能产生的新风险 。
第三节 内部控制措施第二十条 运行控制 。
商业银行应确定需要采取控制措施的业务和管理活动 ， 依据所策划的控制措施或已有的控制程序对这些活动加以控制 。
（一）控制措施包括： 1.高层检查 。
董事会与高级管理 。

15、层应要求下级部门及时报告经营管理情况和特别情况 ， 以检查内部控制的实施状况以及在实现内部控制目标方面的进展 。
高级管理层应根据检查情况提出内部控制缺失情况 ， 督促职能管理部门改进 。
2.行为控制 。
各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告 ， 提出问题 ， 要求采取纠正整改措施 。
3.实物控制 。
主要的控制措施包括实物限制、双重保管和定期盘存等 。
4.风险暴露限制的审查 。
审查遵循风险暴露限制方面的合规性 ， 违规时继续跟踪检查 。
5.审批与授权 。
根据若干限制条件对各项业务、管理活动进行审批与授权 ， 明确各级的管理责任 。
6.验证与核实 。
验证各项业务、管理活动以及所采用的风险管理模型结果 ， 并 。

16、定期核实相关情况 ， 及时发现需要修正的问题 ， 并向职能管理部门报告 。
7.不兼容岗位的适当分离 。
实行适当的职责分工 ， 认定潜在的利益冲突并使之最小化 。
（二）控制要点包括：1.对于可能导致偏离内部控制政策、目标的运行情况 ， 应建立并保持书面程序和要求 ， 并在程序中规定操作和控制标准 。
2.对于重要活动应实施连续记录和监督检查 。
3.在可能的情况下 ， 应考虑运用计算机系统进行控制 。
4.对于采购或外包的设施、设备、系统和服务中已识别的风险 ， 应建立并保持控制程序 ， 并将有关程序和要求通报供方 ， 确保其遵守商业银行相关的控制要求 。
5.对于产品、组织结构、流程、计算机系统的设计过程 ， 应建立有效的控制程序 。
第二十一条 计算机系统 。

17、环境下的控制 。
商业银行应考虑计算机系统环境下的业务运行特征 ， 建立信息安全管理体系 ， 对硬件、操作系统和应用程序、数据和操作环境 ， 以及设计、采购、安全和使用实施控制 ， 确保信息的完整性、安全性和可用性 。

稿源：(未知)

【傻大方】网址：/a/2021/0820/0023836945.html

标题：商业银行|商业银行内部控制评价方案分析( 三 )