附件1

商业银行监管评级定量和定性评价标准

一、资本充足（Capital Adequacy）

（一）定量指标（50分）

1.资本充足率（40%）

高于最低监管要求的倍：100分；

最低监管要求的1倍至倍：60分至100分；

最低监管要求的倍至1倍：0分至60分；

低于最低监管要求的倍：0分。

2.一级资本充足率（20%）

高于最低监管要求的倍：100分；

最低监管要求的1倍至倍：60至100分；

最低监管要求的倍至1倍：0分至60分；

低于最低监管要求的倍：0分。

3.核心一级资本充足率（10%）

高于最低监管要求的倍：100分；

最低监管要求的1倍至倍：60分至100分；

最低监管要求的倍至1倍：0分至60分；

低于最低监管要求的倍：0分。

4.杠杆率（30%）

高于最低监管要求的倍：100分；

最低监管要求的1倍至倍：60至100分；

最低监管要求的倍至1倍：0分至60分；

低于最低监管要求的倍：0分。

注：（1）资本充足状况各定量指标采用每年的季度算术平均值作为评级依据。季度指标逐步恶化的银行，应综合分析风险趋势，在原评分基础上酌情扣分。

（2）资本充足率监管要求，包括最低资本要求、储备资本和逆周期资本要求、系统重要性银行附加资本要求以及第二支柱资本要求。

（3）资本充足状况各定量指标，在《商业银行资本管理办法（试行）》有关监管标准的实施过渡期，由银监会确定每年的最低监管要求；过渡期结束后，根据银监会相关制度办法确定最低监管要求。此外，银监会可以根据监管需要，适时调整针对某类银行的最低监管要求。

（4）各指标上下限指标均包含本数，下同。

（5）区间数值按照线性法折算实际得分，下同。

（6）资本充足率低于最低监管要求的银行，其综合评级结果原则上不应高于3级。

（二）定性因素（50分）

1.银行资本质量和构成（8分）

主要考察资本的质量，资本构成的稳定性、市场价值及其流动性。

评分原则：（1）核心一级资本在资本中的比重越高，资本构成越稳定，评分应越高。

（2）分析核心一级资本构成的稳定性，如果存在资本未足额到位或资本抽逃等问题，不得分。

（3）分析其他一级资本和二级资本的稳定性（主要是债务性资本的市值变动和超额贷款损失准备的计提情况），稳定性越高，市场价值越大，评分应越高。

（4）资本构成要素存在不稳定性，可能对银行承受风险能力造成不利影响的，得分应低于5分。

2.银行整体财务状况及对资本的影响（8分）

主要分析财务状况对资本的影响。在评价银行整体财务数据准确性与真实性的基础上，重点分析银行的盈利质量和盈利对资本补充的能力。

评分原则：（1）银行财务状况不佳（出现亏损），可能对银行资本充足状况形成不良影响的，得分应低于3分。

（2）累计亏损严重以致净资产出现负数的银行，不得分。

3.银行资产质量及拨备计提情况（8分）

主要分析银行资产质量变化的趋势和方向，各项资产减值准备计提充足情况，以及对银行资本的（潜在）影响。

评分原则：（1）资产质量呈现恶化趋势，并可能对银行资本造成不利影响的，得分应低于6分。

（2）计提资产损失准备不足，贷款拨备比率和拨备覆盖率按孰高原则未达到最低监管要求的银行，得分应低于4分；不足程度越高，得分越低。

（3）未对贷款以外资产计提减值准备的银行，得分应低于5分。

4.银行资本补充能力（10分）

主要考察银行筹集资本，保持资本充足率各项指标符合监管要求的能力，进入资本市场或通过其他渠道增加资本的能力，包括控股股东提供支持的意愿和实际注入资本的情况。

（1）银行资本不足时，能否多渠道及时补充核心一级资本，包括主要股东注资的可能性。

（2）银行发行符合条件的二级资本工具资质和能力。

评分原则：（1）商业银行未在章程中规定，主要股东应当以书面形式向商业银行做出资本补充的长期承诺，并作为商业银行资本规划的一部分，或是章程中虽有规定但主要股东没有以书面形式做出承诺的，本项得分应低于6分。

（2）当银行资本充足率不足监管最低要求，银行无法及时有效补充资本，得分应低于4分。

（3）不具备发行二级资本工具资格的，或由于银行自身原因导致募集不成功的，得分应低于6分。

5.银行资本管理情况（8分）

主要考察银行资本的管理政策、董事会和高级管理层的资本管理意识、资本管理水平、银行（集团）并表管理能力等。重点分析银行制定和实施资本规划的情况，包括规划制定的程序和依据、规划的科学性和实施的有效性。

（1）银行资本管理组织架构、政策程序、信息管理系统等情况，是否与银行总体发展战略相统一，与银行业务规模、性质、复杂程度和风险状况相适应。

（2）有附属机构的银行（集团）是否具备良好的并表资本管理能力，在并表范围、资本充足率计算、监督检查和信息披露等方面满足资本管理要求。

（3）内部资本充足评估程序。银行是否建立健全一整套内部资本充足评估程序，确保主要风险得到充分识别、计量、监测、控制和报告，确保资本水平与风险偏好和管理能力相适应，确保资本规划与银行经营状况、风险变化趋势和长期发展战略相匹配，并将压力测试作为内部资本充足评估程序的重要组成部分。

（4）是否定期评估其资本充足率水平，并据此调整业务经营、约束资产扩张；是否定期检查监测资本评估程序；是否定期向董事会报告资本规划实施的情况，确保资本管理措施的有效实施。

（5）利润分配和薪酬政策是否稳健，银行盈利的留存比率是否适当，并能够及时按资本管理规划补充资本金。

评分原则：（1）银行如果缺乏明确的资本管理政策，没有建立资本约束机制的，得分应低于3分。

（2）未建立符合银监会有关并表监管指引和《商业银行资本管理办法（试行）》要求的并表资本管理体系，或应实施而未实施并表资本管理的银行（集团），得分应低于4分。

（3）并表范围、并表方式不符合《商业银行资本管理办法（试行）》规定，对并表后资本充足率产生不利影响的银行（集团），应根据影响程度酌情扣分。

（4）银行的收益分配政策应与其资本充足状况相适应，银行累积未分配利润为负数而进行利润分配的，不得分；银行资本充足率未达到监管要求而进行利润分配的，不得分。

（5）储备资本比例接近为0的，不得分。

（6）未建立内部资本充足评估程序的银行，酌情扣分。

6.银行监管资本的风险覆盖和风险评估情况（8分）

主要考察银行资本和风险的变化趋势，分析银行的资本框架是否已覆盖所有重大实质性风险，并分配相应的资本。

（1）银行资本是否已覆盖所有重大实质性风险。

（2）风险评估结果对资本的影响。

评分原则：（1）监管资本至少应覆盖信用风险、市场风险和操作风险。监管资本未覆盖市场风险和操作风险的银行，得分应低于5分。

（2）对于信用风险、流动性风险或其他对银行有实质性影响的风险被评估为整体风险水平高且风险趋势上升的银行，得分应低于6分。

二、资产质量（Asset Quality）

（一）定量指标（40分）

1.不良贷款率（20%）

2%以下：100分

3%至2%：75分至100分

5%至3%：60分至75分

10%至5%：0分至60分

10%以上：0分

2.逾期90天以上贷款与不良贷款比例（15％）

80%以下：100分

80%至100%：100分至60分

200%至100%：0分至60分

200%以上：0分

3.单一客户贷款集中度/单一集团客户授信集中度（25％）

单一客户贷款集中度：

4%以下：100分

10%至4%：60分至100分

15%至10%：0分至60分

15%以上：0分

单一集团客户授信集中度：

10%以下：100分

15%至10%：60分至100分

20%至15%：0分至60分

20%以上：0分

注：此项指标采用孰低法计值，即评级得分取两项指标得分中较低的分值。

4.全部关联度（15%）

10%以下：100分

50%至10%：60分至100分

100%至50%：0分至60分

100%以上：0分

5.拨备覆盖率（25％）

300%以上：100分

150%至300%：60分至100分

100%至150%：0分至60分

100%以下：0分

注：（1）资产质量各定量指标采用每年的季度算术平均值作为评级依据。季度指标逐步恶化的银行，应综合分析风险趋势，在原评分基础上酌情扣分。

（2）逾期90天以上贷款与不良贷款比例超过200%的，资产质量定量指标总分不得高于20分。

（二）定性因素（60分）

1.不良贷款和其他不良资产的变动趋势（10分）

主要考察银行不良贷款总量和不良贷款率及其变化趋势。具体分析银行不良贷款余额的升降原因，区分存量和增量因素的影响；具体分析不良贷款比率升降的原因，区分“分子”和“分母”因素的影响；分析正常贷款迁徙率、次级类贷款迁徙率、可疑类贷款迁徙率的变动趋势、原因及其对不良资产率的影响。

评分原则：（1）未实现不良贷款“双控”的，得分应低于7分。

（2）不良贷款余额和不良贷款率“双升”的，原则上评分不高于6分。

（3）当年进行过资产风险分类偏离度检查的，应以调整后的不良率作为评级依据；资产风险分类明显不准确、不审慎的，本项得分原则上不高于4分。

（4）视不良贷款变动的具体原因调整评分结果，可适度提高对小型、微型企业不良贷款的容忍度。

2.信用风险资产集中度（5分）

主要考察表内外信用风险资产在行业、区域、国别等方面的集中程度，分析贷款集中风险状况，包括集中度风险发展趋势,及其对银行表内外风险资产质量状况的影响。

3.信用风险管理的政策、程序及其有效性（15分）

主要评价信贷决策程序和制度的完善性、科学性，包括贷款“三查”制度、审贷分离的贷款审查审核程序和信贷风险管理制度等能否有效遏制不良贷款的发生。通过不良贷款增量的原因分析，判断信用风险管理的有效性。

（1）是否建立授信尽责调查制度，以及客户调查报告的质量；在客户调查中是否有效识别集团客户授信集中风险及关联客户授信风险。

（2）是否建立严格、独立的授信审查制度并严格执行。

（3）是否成立授信审批委员会并依据规定程序进行授信决策，委员会成员能否不受干扰地独立发表决策意见。

（4）是否建立贷后检查制度并严格执行。

（5）是否存在违规发放的贷款（包括违反有关规定向关系人发放贷款），是否存在逆程序发放贷款的行为。

（6）是否建立贷款责任制并严格考核。

（7）贷款档案是否完整规范。

评分原则：（1）银行未建立贷前调查制度、贷中审查制度和贷后检查制度的，不得分。

（2）建立三查制度但未得到严格执行的，得分应低于8分。

（3）存在违规贷款或逆程序发放贷款行为的，视具体情况酌情扣分，情节严重或造成重大损失的，不得分。

（4）未建立授信工作尽职问责制的，不得分；建立制度未严格执行的，得分应低于8分。

4.贷款风险分类制度的完善和有效（10分）

（1）是否根据监管要求制定贷款风险分类的具体标准及其内部管理办法和实施细则，包括贷款分类的操作、认定和审核等工作程序和工作标准；分类工作是否全面涵盖各项授信业务。

（2）分类工作是否严格执行有关监管规定及银行内部管理规定；银行是否配备了经严格培训的专业人员从事分类工作；分类标准在操作过程中是否保持一致；分类结果是否准确。

（3）是否对各类贷款的风险变化情况进行适时监控并及时调整贷款质量类别归属；贷款分类工作是否定期接受检查监督，分类中存在的问题可否被及时发现和纠正。

（4）是否建立了与分类工作相配套的信息系统，保证管理层能够及时获知有关贷款分类的重要信息；银行是否按照监管要求及时报送贷款分类数据和相关分析报告。

（5）是否建立了有效的资产保全制度，对存量不良资产是否采取了相应的保全措施，实施效果如何；是否建立了完善的不良资产清收制度，清收效果如何；是否按监管机构的规定及时核销不良贷款，是否存在符合贷款核销条件的不良贷款却长期挂账的情况。

（6）是否按照监管机构的有关规定，建立足额提取贷款损失准备的制度安排，实施效果如何。

评分原则：（1）银行未建立贷款风险分类制度的，本项不得分。

（2）银行贷款风险分类制度存在明显缺陷，得分应低于5分。

（3）贷款分类不真实的，评分不高于5分；分类结果严重失实的，不得分。

5.保证贷款和抵（质）押贷款及其管理状况（5分）

（1）是否制定了保证贷款和抵（质）押贷款的管理规定，是否对保证人资格、保证责任和保证合同、抵（质）押品、抵（质）押权和抵（质）押率、抵（质）押品的登记与评估、抵（质）押期限、抵（质）押品的保管和处置做了明确的规定。

（2）是否严格执行了上述规定，并确保保证贷款和抵（质）押贷款的合法性和有效性。

（3）银行发放的保证贷款，其保证人能否切实履行保证义务，不存在因过度为第三方担保而超出自身清偿能力的情况。

（4）抵（质）押品的流动性如何，是否可随时交易以偿还贷款，其市场价值是否相对稳定不会对资产安全状况带来不良影响。

（5）抵（质）押品的处置是否合理合法。

6.贷款以外其他表内外资产的风险管理状况（15分）

（1）是否针对贷款以外其他资产，特别是信用风险资产和表外项目建立了风险管理的政策、程序和措施，实施效果如何。

（2）是否建立了贷款以外其他资产的风险分类制度，制度是否完善，实施效果如何。

（3）除贷款以外，对造成其他资产损失的违法违规违纪人员是否追究责任。

评分原则：（1）银行未建立贷款以外其他资产风险管理制度的，不得分。

（2）未对贷款以外其他资产进行分类的，本项不得分，分类不真实的，评分不高于9分；分类结果严重失实的，不得分。

（3）对造成其他资产损失的违法违规违纪人员未予以追究责任的，本项得分不得高于9分。

三、管理质量（Management Quality）

（一）银行公司治理（40分）

1.决策机制（10分）

（1）股东特别是主要股东是否严格按照法律法规及商业银行章程履行义务、行使权利；商业银行是否按规定要求制定关联交易管理制度。

（2）股东大会是否依据《公司法》等法律法规和商业银行章程行使职权。股东大会议事规则是否符合要求；本年股东大会会议是否实行律师见证制度，并由律师出具法律意见书；本年股东大会的会议议程和议案是否由董事会依法、公正、合理地进行安排，并经充分讨论。

（3）董事提名、选举程序是否规范；董事是否通过任职资格审查；董事是否忠实、勤勉，投入足够的时间履行职责；董事在董事会会议上是否独立、专业、客观地发表意见，独立董事履职时发表的意见是否独立、客观、公正。

（4）董事会是否依据《公司法》等法律法规和商业银行章程履行职责，对商业银行经营和管理承担最终责任；董事会是否制定了内容完备的董事会议事规则，为各委员会制定了规范的议事规则和工作程序，并得到认真执行。

（5）董事会是否根据商业银行情况单独或合并设立必备的专门委员会，专门委员会成员是否具备与其相适应的专业知识和工作经验；各专门委员会是否向董事会提供专业意见或根据董事会授权就专业事项进行决策，定期与高级管理层及部门交流商业银行经营和风险状况，提出意见和建议。

评分原则：（1） 主要股东未能真实、准确、完整地向董事会披露关联方情况，并当关联关系发生变化时及时向董事会报告的，本项得分不高于6分。

（2）如果银行对一个关联方的授信余额超过银行资本净额的10%，或者对一个关联方的集团客户的授信总额超过资本净额的15%，或者银行对全部关联方的授信总额超过商业银行资本净额的50%，本项得分应低于5分。

2.监督机制（4分）

（1）监事的提名和选举程序是否规范；是否勤勉尽职；是否积极参加监事会组织的监督检查活动，独立调查、取证，实事求是提出问题和监督意见。

（2）监事会是否依据《公司法》等法律法规和商业银行章程履行职责；是否制定了内容完备的议事规则，并认真执行。

3.执行机制（6分）

（1）高级管理人员的提名和任免程序是否规范；是否遵循诚信原则，审慎、勤勉地履行职责；是否应董事会、监事会要求，及时、准确、完整地汇报或提供情况，接受监督。

（2）高级管理层是否根据商业银行章程及董事会授权开展经营管理活动，确保银行经营与董事会所制定批准的发展战略、风险偏好及其它各项政策相一致；是否建立和完善各项会议制度，并制定相应议事规则；是否建立向董事会、监事会及其专门委员会的信息报告制度。

评分原则：（1）高级管理人员任职资格没有经过审核同意而履职的，至少扣2分。

（2）高级管理层超越董事会授权开展经营管理活动的，本项不得分。

4.发展战略、价值准则和社会责任（8分）

（1）银行是否制定了清晰的总体发展战略；是否制定了中长期信息科技战略；是否建立健全人才招聘、培养、评估、激励、使用和规划的科学机制。

（2）是否树立了具有社会责任感的价值准则、企业文化和经营理念。

（3）是否在经济、环境和社会公益事业等方面履行社会责任，是否积极贯彻落实国家宏观经济调控政策，并在制定发展战略时予以体现。

评分原则：（1）商业银行出现下列情形之一，本项得分不得高于4分：① 董事会未能定期对发展战略进行评估与审议，确保商业银行发展战略与经营情况和市场环境变化相适应；② 监事会未能对商业银行发展战略的制定、实施与评估进行监督；③ 高级管理层未能在商业银行发展战略框架下，制定科学合理的年度经营管理目标与计划。

（2）董事会未能核准董事会自身和高级管理层应遵循的职业规范与公司价值准则的;或高级管理层未能制定全行员工行为规范，明确具体的问责条款，并建立相应处理机制的，本项得分不得高于4分。

（3）商业银行未能建立合法渠道鼓励员工对有关违法、违规和违反职业道德的行为予以报告，充分保护员工合法权益的，至少扣3分。

（4）商业银行未充分履行社会责任的，例如绿色信贷评估不合格的，或未能充分保护金融消费者合法权益的，本项得分不得高于4分。

5.激励约束机制（6分）

（1）是否建立健全对董事和监事的履职评价体系，明确董事和监事的履职标准。

（2）是否建立科学合理的高级管理人员薪酬机制；高级管理人员绩效考核标准、程序等激励约束机制是否公正透明；绩效考核的标准能否体现保护存款人和投资人利益原则，确保银行短期利益与长期利益相一致；是否对高管违反法律、规章及本行章程造成损失建立问责制度。

（3）银行绩效考核机制是否合理；绩效考核指标体系是否科学；薪酬支付期限是否与相应业务的风险持续时期保持一致；内外部审计部门是否每年对绩效考核及薪酬机制和执行情况进行审计。

评分原则：（1）董事和监事履职与诚信档案不完善，或未按规定要求进行履职评价的，至少扣3分。

（2）商业银行出现下列情形之一，未严格限定高级管理人员绩效考核结果及其薪酬的,本项不得分：① 主要监管指标没有达到监管要求；② 资产质量或盈利水平明显恶化；③ 出现其他重大风险。

（3）商业银行绩效考评指标中合规经营类指标和风险管理类指标权重低于其他类指标，或者存在设立时点性规模考评指标、在综合绩效考评指标体系外设定单项或临时性考评指标、设定没有具体目标值单纯以市场份额或市场排名为要求的考评指标、分支机构自行制定考评办法或提高考评标准及相关要求等行为的，应适当扣分。

（4）商业银行未引入绩效薪酬延期支付和追索扣回制度，或未提高主要高级管理人员绩效薪酬延期支付比例的，应适当扣分。

6.信息披露（6分）

（1）商业银行是否建立信息披露管理制度，按照有关法律法规、会计制度和监管规定进行信息披露。

（2）信息披露是否做到真实、准确、完整、及时、规范；季度、半年度、年度的信息披露是否全面、充分且符合监管要求；重大事项的临时信息披露是否及时。

（3）董事、监事、高管是否按要求签署书面意见，保证报告的编制和审核程序符合法律法规和监管规定，报告的内容能够真实、准确、完整地反映商业银行的实际情况。

评分原则：信息披露如存在虚假、误导和重大遗漏等事项，或信息披露存在违法违规问题的，本项不得分。

（二）内部控制（60分）

1.内部控制环境（10分）

（1）良好的治理机制：董事会是否审批银行整体经营战略和重大政策并定期检查执行情况；董事会是否了解银行的主要风险并采取必要措施识别、计量、监测和控制风险；董事会是否负责审定组织结构和高级管理层；董事会是否及时审查高级管理层、内外审计机构和监管部门提供的内部控制评估报告并及时整改；高级管理层是否严格执行董事会批准的各项战略、政策、制度和程序；监事会是否负责监管董事会、高级管理层不断完善内部控制机制。

（2）分工合理、职责明确、报告关系清晰的组织结构：银行的组织结构设置是否符合自身的特点；是否明确了内部控制和相关职能部门的责任、权限和信息报告路线；是否专门设立了履行内部控制和风险管理职能的部门，该部门是否能够对银行的各级部门和各项业务实施有效的管理控制。

（3）内部控制文化：董事会与高级管理部门是否通过其言行来强调内部控制的重要性；银行的合规文化建设情况如何，是否存在良好的培训、宣传机制使得员工能够充分认识到内部控制的重要性并参与到控制活动之中；激励约束机制是否存在缺陷，特别是由于绩效考评政策不当鼓励或诱发不审慎的经营行为等。

（4）员工职业操守和诚信意识：员工是否及时向相关部门报告违法违规问题、与经营指导方针不一致的情况及其他违反政策规定的情况；银行是否存在较高的发案率和案件损失率。

评分原则：（1）董事会没有制定风险管理和内部控制的战略决策，或高级管理层没有执行董事会内控决策的，本项不得分。

（2）组织结构设置中存在分工不合理、职责不明确、报告渠道不清晰等问题的，本项得分不得高于5分。

（3）年度内根据《银行业金融机构案防工作评估办法》评价为“黄牌”的银行，管理质量单项要素评级不高于3级；评价为“红牌”的，管理质量单项要素评级不高于4级。

2.风险识别与评估（10分）

（1）风险识别与评估的全面性：银行是否对所承担的所有风险有全面认识，并且意识到不同种类风险的相互转化和不同机构之间风险的传递；银行的风险管理是否覆盖各主要风险，是否能够对信用风险、市场风险、流动性风险、操作风险、法律风险及声誉风险等各类风险进行持续的监控；银行集团是否将附属机构纳入并表管理，识别、计量、监控和评估银行集团的总体风险状况。

（2）风险识别与评估的手段与技术：银行是否制定了识别、计量、监测和控制风险的制度、程序和方法；是否结合本行特点，开发和应用各项风险量化评估方法和模型；其方法是否考虑了内部因素（如组织结构的复杂程度、银行业务性质、人员素质、组织机构变革和人员的流动等）与外部因素（如经济形势变化、行业变革与技术更新等），用于计量和监测风险的主要假设、数据来源和程序是否合适和准确，是否有对模型和主要参数进行调整和测试的相应程序等。

（3）风险反应与处理：风险控制制度、技术和方法能否及时更新；银行是否针对不断变化的环境和情况及时修改和完善风险控制的制度、方法和手段，以控制新出现的风险或以前未能控制的风险。在新业务和新产品推出之前，是否制定有关的政策、制度和程序，对潜在的风险进行计量、评估和控制，是否具有完善的产品定价机制，能否做到成本可算、风险可控。

评分原则：（1）银行制订的风险管理制度、程序和方法不够全面、系统，或非制度化的，应适当扣分。

（2）银行未能识别和评估特定风险并导致银行重大损失的，本项得分不得高于5分；存在重大风险的，至少扣3分。

（3）银行应当定量评估风险而没有能够做到定量评估的，至少扣3分。

（4）银行未能及时更新风险控制制度、技术和方法而导致银行重大损失的，本项得分不得高于5分；存在重大风险的，至少扣3分。

3.内部控制措施（10分）

（1）全面、系统的各项业务政策、制度和程序：银行是否建立全面、系统、适时的规章、制度体系，内部控制政策与措施是否覆盖各主要风险点；是否建立了相应的授权和审批制度。

（2）各部门、各岗位、各级机构之间的职责分离、相互制约措施：各部门、各岗位、各级机构之间的职责分工是否合理明确，关键和特殊岗位是否遵循了必要的分离原则，是否执行轮岗和强制休假制度。

（3）各种会计账表、统计信息真实完整的控制措施：是否建立规范化的会计操作程序，会计和统计人员是否严格按照会计规范和操作程序进行业务操作。

（4）各种应急制度及法律风险控制措施是否完备。

评分原则：（1）业务政策、制度或程序存在明显缺陷的，至少扣3分；如因此形成重大操作风险损失的，本项得分不得高于5分。

（2）重要业务没有遵循必要的职责分离的，至少扣3分。

（3）未按规定进行会计核算，或者没有执行核对制度造成会计或统计信息失真的，至少扣3分。

（4）缺少应急预案或执行不到位导致银行损失的，本项不得高于5分；未定期测试应急预案的，本项扣3分。

（5）由于未严格执行有关规定（如反洗钱等）被有关监管部门行政处罚的，应视严重程度适当扣分。

4.数据质量管理（20分）

（1）组织机构及制度建设：银行董事会和高级管理层是否高度重视并积极推动本行数据质量管理和监管统计工作；是否有明确的政策和目标；是否建立机制和流程，并落实各环节责任。是否建设一支满足监管统计工作需要的专业队伍；是否建立全面、科学和有效的监管统计管理制度，监管统计归口管理部门是否建立适应本行业务实际的监管统计业务制度。

（2）系统保障与数据标准：银行业务及管理基础系统是否实现对监管统计涉及的各项基础业务和管理信息的全面覆盖，数据维护管理制度和流程是否完备，是否建立适应监管工作需要的，完善的监管统计系统；是否将监管统计所涉及的数据标准纳入本行信息标准化规则；数据标准化规划是否执行国家标准化政策及监管统计规定；是否建立了全行统一的数据规范。

（3）数据质量的监控、检查与评价：是否建立有效的覆盖监管统计数据生产报送全流程的数据质量监控机制；是否将数据质量纳入内控合规检查范围；是否建立监管统计现场检查制度，并定期组织实施；是否将监管统计数据质量的考核结果纳入本机构绩效考核体系。

（4）数据的报送、应用与存储：银行是否按照要求在规定时间内按时报送相关报表，是否存在迟报、漏报和数据差错；是否在保密安全的前提下充分共享和使用监管统计信息；是否按照规定加强对监管统计资料的存储管理，保证监管统计数据信息的安全性和连续性。

（5）整改进展：是否针对《银行监管统计数据质量管理良好标准》自评或外评发现的问题制定了整改计划，整改计划是否涵盖自评或外评发现的所有问题，整改计划是否落实到具体部门；是否确定了完成时限和阶段性任务，整改是否按计划执行；发现的问题是否得到逐步整改；整改结果是否向监管部门报告；整改期间数据质量是否得到实质性改善。

评分原则：（1）数据质量管控体系不健全，与银行监管统计数据质量管理良好标准要求存在差距的，结合整改情况酌情扣分；良好标准评估中发现重大缺陷，严重影响数据质量的，本项不得分。

（2）向监管部门提供虚假报表，弄虚作假以满足监管指标达标要求的，本项不得分。

5.信息交流与反馈（5分）

（1）信息共享、信息交流与信息反馈机制：银行在各级机构、各个业务领域之间是否建立了信息共享、交流和反馈机制。是否与客户建立了独立的信息反馈渠道。

（2）贯穿各级机构、覆盖各个业务领域的业务操作和管理信息系统：银行管理信息系统的建设情况；信贷、资金交易、财务管理、会计等主要部门是否建立了有效的业务操作系统和管理信息系统；银行是否具备充分、全面、集中的业务经营数据库；中后台的数据处理器和数据分析层是否能够筛选相关数据，为风险管理和内部控制提供决策信息；以及是否建立相应的信息技术风险防范措施。

（3）信息的真实可靠性：银行决策层获取的有关财务状况和业务经营状况的综合性信息，以及与决策有关的外部市场信息是否是有意义的、可靠的、随时可得的，并且可以前后对比。

（4）银行是否建立相关的制度、程序，明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式，确保员工了解和遵守与其职责相关的政策和程序并获取相关的信息。

评分原则：（1）信息系统不能覆盖所有业务领域的，视业务重要程度和风险状况酌情扣分。

（2）银行决策者获取的信息和对外提供的信息不完整、不准确的，视情节酌情扣分；信息严重失真的，本项目不得分。

6.监督评价与纠正（5分）

（1）内部控制的评价和后评价机制：相关部门和人员（包括业务领域本身、财务控制和内部审计）是否及时对内控制度的健全性、操作人员的合规性、管理人员的履职情况等进行评价；日常监督与独立评估的执行与效果如何。

（2）内部控制的监督机制：内部审计部门是否具有独立性和权威性；内审队伍建设是否达标；内部审计工作是否有效，能否揭示银行经营活动中的违法违纪、营私舞弊、贪污诈骗、损失浪费以及控制不力等问题。

（3）内部控制的纠正机制：银行内部控制缺陷被发现和被报告后是否能够及时得到解决和纠正，高级管理层是否建立记录内部控制弱点并及时采取相应纠正措施的制度；银行是否及时纠正和整改监管机构和外部审计机构发现的内部控制方面的问题和缺陷；银行是否建立了合理的全行问责制度，问责工作是否执行到位。

评分原则：（1）没有建立定期的内部控制评价机制的，至少扣2分。

（2）没有对内部控制建立监督机制的，本项不得分；内部审计缺少独立性，或专业性低、审计工作质量差的，本项至少扣3分。

（3）监管机构或内、外部审计发现的问题没有得到及时纠正的，或屡查屡犯的，视问题严重程度，本项至少扣2分。

四、盈利状况（Earnings）

（一）定量指标（50分）

1.资产利润率（20%）

%以上：100分

%至%：60分至100分

%至%：0分至60分

%以下：0分

2.资本利润率（20%）

20%以上：100分

11%至20%：60分至100分

2%至11%：0分至60分

2%以下：0分

3.成本收入比率（20%）

30%以下：100分

40%至30%：60分至100分

70%至40%：0分至60分

70%以上：0分

4.风险资产利润率（15%）

2%以上：100分

%至2%：60分至100分

%至%：0分至60分

%以下：0分

5.净息差（15%）

%以上：100分

2%至%：60分至100分

%至2%：0分至60分

%以下：0分

6.非利息收入比例（10%）

20%以上：100分

10%至20%：60分至100分

0至10%：0分至60分

（二）定性因素（50分）

1.盈利的真实性（12分）

（1）银行是否严格按照会计准则和会计制度真实、准确核算成本费用和收入，有无虚增和虚减利润，或将利息收入计入中间业务收入从而变相提高非利息收入比例等现象；内审部门对银行经营成果真实性的评价结果如何。

（2）银行是否按照监管机构的规定充足提取各项准备金，特别是要通过考察银行资产分类准确性和提取拨备的充足性，来衡量银行是否做实利润。

评分原则：（1）未按照监管要求足额提取资产减值准备、一般准备的，本项得分应低于6分。

（2）未准确核算应收利息和应付未付利息的，本项得分应低于9分。

（3）未准确核算其他各项收入支出的，视严重程度适当扣分。

2.盈利的稳定性（12分）

（1）盈利结构是否合理：银行利息收入、非利息收入和营业外收入的占比情况，利息收入是否过度依赖某类行业、客户和产品，非利息收入是否主要来源于中间业务收入。

（2）盈利水平是否稳定：银行生息资产占比是否合适；利润增长幅度是否合理，是否存在利润增长幅度偏低或过高的情况；非经常损益对盈利影响如何。

（3）盈利效率是否良好：银行成本费用的构成及变动趋势如何，成本管理是否有效。

评分原则：（1）非利息收入比例未达到同质同类机构的行业平均值，应酌情扣分。

（2）营业费用的增长幅度高于总收入的增长幅度的，应酌情扣分。

3.盈利的风险覆盖性（12分）

（1）风险定价能力如何，银行定价是否充分考量了业务和客户的风险。

（2）是否考虑各种风险因素，运用风险调整后的资本收益率（RAROC）和经济增加值（EVA）进行绩效评价，其结果如何。

4.盈利的可持续性（7分）

（1）银行长期发展战略是否有利于优化盈利结构，提高盈利水平；利润结构变化是否与银行的发展战略保持一致，银行战略中的重点条线和产品的利润贡献度是否持续增加。

（2）利润的增长方式是依赖单纯的规模扩张，还是主要来源于资产利用率、净息差和非利息收入比例的提高。

（3）经济环境、利率波动、政策调整对银行收入和成本的影响。

5.财务管理的有效性（7分）

（1）是否建立健全的预决算体系；是否建立必要的财务管理制度，财务管理制度是否符合国家法律法规，并与银行的业务复杂程度、财务风险控制等相适应；财务管理制度是否得到合理有效地执行，能否为银行实现财务战略、财务目标发挥促进和保障作用。

（2）是否开发和运用包括财务核算、成本管理、业绩评价和资产负债比例管理的财务管理信息系统，能否提供管理会计信息；能否运用经济资本进行财务核算和资本分配。

（3）是否采用标准的会计准则，外部审计机构报告对银行会计制度和执行情况评价如何。

评分原则：（1）财务管理制度不够健全的，本项得分应在4分以下。

（2）财务管理制度执行不严的，本项得分应在4分以下。

（3）在财务管理中弄虚作假的，本项不得分。

（4）由于财务管理问题造成盈利状况严重不实的，本项不得分。

五、流动性风险（Liquidity Risk）

(一)定量指标（40分）

1.存贷比（30%）

60%以下：100分

75%至60%：60分至100分

85%至75%：0分至60分

85%以上：0分

2.流动性比例（35%）

40%以上：100分

25%至40%：60分至100分

20%至25%：0分至60分

20%以下：0分

3.流动性覆盖率（35%）

高于最低监管要求的倍：100分；

最低监管要求的1倍至倍：60分至100分；

最低监管要求的倍至1倍：0分至60分；

低于最低监管要求的倍：0分。

注：（1）流动性比例和流动性覆盖率指标采用每年的季度算术平均值作为评级依据。季度指标逐步恶化的银行，应综合分析风险趋势，在原评分基础上酌情扣分。

（2）存贷比采用年日均并剔除小微债的口径计算。

（3）对于不适用流动性覆盖率指标的银行，按照存贷比45%，流动性比例55%的权重计算定量得分。

（4）流动性比例或流动性覆盖率低于监管要求的银行，其流动性风险单项要素评级结果原则上不应高于3级。

（二）定性因素（60分）

1.流动性管理治理结构（12分）

（1）商业银行是否建立了有效的流动性风险管理治理结构，明确有关各方在流动性风险管理中的职责和报告路线，并建立适当的考核及问责机制。

（2）董事会或其授权的专门委员会、监事会、高管层及专门管理部门是否履行了流动性风险管理所应承担的职责。

（3）内部审计是否定期审查和评价流动性风险管理的充分性和有效性，并涵盖流动性风险管理的所有环节。

（4）流动性风险管理的内部审计报告是否提交董事会和监事会，发现的问题是否得到切实整改；内审部门能否跟踪检查整改情况并及时报告董事会。

评分原则：（1）未能建立流动性风险管理考核及问责机制的，本项得分不得高于6分。

（2）未能在内部定价以及考核激励等相关制度中考虑流动性风险因素，或在考核分支机构或主要业务条线经风险调整的收益时纳入流动性风险成本的，本项得分不得高于8分。

2.流动性风险管理策略、政策和程序（12分）

（1）银行是否科学确定流动性风险偏好，明确其在正常和压力情景下愿意并能够承受的流动性风险水平。

（2）银行是否根据其流动性偏好制定书面的流动性风险管理策略、政策和程序。

（3）银行是否综合考虑业务发展、技术更新及市场变化等因素，至少每年对流动性风险偏好、流动性风险管理策略、政策和程序进行评估，必要时进行修订。

评分原则：（1）流动性风险管理策略、政策和程序存在明显缺陷或不足的，每项至少扣2分。

（2）商业银行在引入新产品、新技术或建立新机构前，未在可行性研究中评估其可能对流动性风险产生的影响的，本项得分不得高于8分；已评估风险，但未能完善相应的风险管理政策、程序，并获得负责流动性风险管理部门同意的，至少扣2分。

3.流动性风险识别、计量、监测和控制（20分）

（1）银行是否建立现金流测算和分析框架，有效计量、监测和控制正常和压力情景下未来不同时间段的现金流缺口。

（2）银行是否监测可能引发流动性风险的特定情景或事件，采用适当的预警指标，前瞻性地分析其对流动性风险的影响。

（3）银行是否对流动性风险实施限额管理，制定相关政策和程序，对限额遵守情况进行监控，并对超限额情况及时报告和处理。

（4）银行是否建立并完善融资策略，提高融资来源的多元化和稳定程度。

（5）银行是否严格按照要求加强融资抵（质）押品管理，确保其能够满足正常和压力情景下日间和不同期限融资交易的抵（质）押品需求，及时履行向相关交易对手返售抵（质）押品的义务。

（6）银行是否加强日间流动性风险管理，确保具有充足的日间流动性头寸和相关融资安排，满足正常和压力情景下的日间支付需求。

（7）银行是否建立流动性风险压力测试制度，分析其承受短期和中长期压力情景的能力，并予以不断完善。

（8）银行是否充分考虑压力测试结果，制定有效的流动性风险应急计划，至少每年对应急计划进行一次测试和评估，必要时进行修订。

（9）银行是否持有充足的优质流动性资产，确保其在压力情景下能够及时满足流动性需求；是否审慎确定优质流动性资产的规模和构成，定期测试流动性覆盖率所要求的合格优质流动性资产的变现能力。

（10）银行（集团）是否对流动性风险实施并表管理。

（11）银行是否按照本外币合计和重要币种分别进行流动性风险识别、计量、监测和控制。

（12）银行是否审慎评估信用风险、市场风险、操作风险和声誉风险等其他类别风险对流动性风险的影响。

评分原则：（1）银行对上述要求存在一项缺失，本项得分不得高于15分；有两项及以上缺失，本项得分不得高于10分。

（2）监管人员应当考虑核心负债比例、流动性缺口率、人民币超额备付金率、最大十家同业融入比例、最大十户存款比例等流动性风险监测指标情况，并可参考银行内部流动性风险管理指标情况，全面判断银行流动性风险水平,进行综合评分。有3项或以上监测指标出现下列情况的，原则上本项得分不得高于10分：核心负债比例低于60%、流动性缺口率低于-10%、其他上述各项指标劣于同类机构平均水平。

4.流动性风险管理信息系统（8分）

（1）银行是否建立完备的管理信息系统，准确、及时、全面计量、监测和报告流动性风险状况。

（2）银行是否建立了规范的流动性风险报告制度，明确各项流动性风险报告的内容、形式、频率和报送范围，确保董事会、高级管理层和其他管理人员及时了解流动性风险水平及其管理情况。

评分原则：管理信息系统未能满足下述功能的，每项至少扣2分：每日计算各个设定时间段的现金流入、流出及缺口;及时计算流动性风险监管和监测指标，并在必要时加大监测频率;流动性风险限额的监测和控制;对大额资金流动的实时监控;对优质流动性资产、融资抵（质）押品及其他无变现障碍资产等信息的监测;在不同假设情景下实施压力测试。

5.流动性风险管理的其他要素（8分）

（1）银行是否及时向银监会报送与流动性风险有关的财务会计、统计报表、流动性风险管理报告、压力测试报告等；是否及时报告可能对流动性风险水平或管理状况不利的重大事项、拟采取的应对措施；是否按要求定期披露流动性风险水平及其管理状况的相关信息。

（2）各项监管和监测指标是否真实、准确；是否存在存款冲时点行为。

评分原则：（1）未达到流动性风险监管指标标准，监管部门要求其限期整改而未如期整改的，本项不得分。

（2）因未按规定提供流动性风险报表或报告、未按规定进行信息披露或提供虚假报表、报告，而被监管部门处罚的，本项不得分。

六、市场风险（Sensitivity To Market Risk）

(一)定量指标（30分）

1.利率风险敏感度（50%）

5%以下： 100分

15%至5%：75分至100分

100%至15%：0分至75分

100%以上：0分

2.累计外汇敞口头寸比例（50%）

5%以下： 100分

20%至5%：75分至100分

100%至20%：0分至75分

100%以上：0分

注：对于不适用累计外汇敞口头寸比例指标的银行，按照利率风险敏感度100%权重计算定量得分。

(二)定性指标（70分）

1.市场风险管理框架（20分）

（1）银行是否构建了合理的市场风险管控框架，并以书面形式明确董事会、高管层、监事会、市场风险管理部门、承担市场风险的业务经营部门的权责。

（2）银行董事会和高管层是否以适当方式，确保银行市场风险管控框架有效运作。银行是否建立了独立于承担风险业务经营部门的市场风险管理部门（职能）。其中银行账户利率风险管理部门（职能）可结合银行实际，另行设立，但同时应明确银行总体市场风险管理情况的最终牵头汇总部门。

（3）负责市场风险管理的人员是否具备相关的知识和技能。银行是否制定了书面的市场风险管理政策和程序。银行是否针对市场风险较高的业务种类（如衍生产品）或相对特殊的市场风险类别（如银行账户利率风险）制定了独立的、更具针对性的政策和程序。

（4）银行在开展新产品/新业务之前是否充分识别和评估其中包含的市场风险，是否建立了相应的审批政策和程序、风险控制程序以及后评价机制。

（5）银行上述政策和程序是否切实考虑了银行的实际，与银行的业务性质、规模、复杂程度和风险特征相适应，并具有可操作性。

2.市场风险的识别、计量、监测和控制（40分）

（1）银行是否针对全部表内外资产，制定了清晰的交易账户和银行账户划分方法，并予以落实。银行交易账户和银行账户头寸的相互转换是否符合监管机构和银行内部的政策要求，并经相应级别的授权人员审批后，记录在案。

（2）银行是否针对交易账户和银行账户头寸的性质和风险特征，选择了适当的、普遍接受的市场风险计量方法。如对于只从事债券交易的小型银行，是否使用基点价值计量利率风险。

（3）银行的市场风险管理和计量体系是否覆盖了不同业务种类中的各类别的市场风险，包括但不限于交易账户中的利率风险和股票价格风险，银行账户中的利率风险（重新定价风险、收益率曲线风险、基准风险和期权性风险），交易账户和银行账户中的汇率风险和商品价格风险。

（4）银行是否对交易账户头寸进行每日市值重估，对银行账户头寸至少每年进行一次市值重估。市值重估的政策和程序是否符合监管要求。

（5）银行是否定期实施事后检验，将市场风险计量方法或模型的估算结果与实际结果进行比较，并以此为依据对市场风险计量方法或模型进行调整和改进。

（6）使用模型计量市场风险的银行，是否针对模型使用建立了有效的控制环境，包括但不限于确保数据的质量及长度有效、设定并定期和修改评估模型的假设前提和参数、定期实施事后检验等。

（7）银行是否建立了压力测试程序，压力情景的选用是否符合银行所处的市场环境、头寸状况、风险特征。银行是否根据压力测试结果，制定了必要的应急处理方案，并决定是否以及如何对限额管理、资本配置及市场风险管理的其它政策和程序进行改进。

（8）银行是否对市场风险实施限额管理，是否使用风险价值模型计算、并结合银行的业务性质、规模、复杂程度和资本实力设定不同类别的限额，包括但不限于交易限额、风险限额和止损限额，并定期审查和更新。

（9）银行是否制定书面政策和程序，并有技术手段支持，对超限额情况进行监控和处理，并记录在案。

3.市场风险管理其他要素（10分）

（1）银行是否建立了完备、可靠的管理信息系统，能够支持市场风险的计量及其所实施的事后检验和压力测试，并能监测市场风险限额的遵守情况和提供市场风险报告的有关内容。

（2）银行是否定期向董事会、高管层及其他管理人员提供有关市场风险情况的报告。其中市场风险管理部门（职能）是否具有独立的报告路线。银行市场风险计量结果，是否在银行的战略制定、业务发展规划、风险目标和薪酬激励机制等经营管理决策中予以体现和应用。

（3）银行是否遵守监管机构市场风险定量指标要求，处于刚性定量指标或监管关注触发值以下。如有指标处于监管关注触发值之上，银行是否能够提供合理解释及拟采取的措施和方法。

评分原则：以上1.(4)、1.(5)、2.(1)、2.(2)、2.(4)、2.(8)等六项市场风险定性指标中，有一项不符合，市场风险单项要素评级不高于3级。

七．信息科技风险（Information Technology Risk）

（一）信息科技治理（15分）

1.信息科技治理组织架构（8分）

（1）是否确立董事会、高管层信息科技管理职责。

（2）是否建立完善的信息科技管理制度体系。

（3）是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。

（4）是否明确信息科技治理作为重要组成部分纳入公司治理。

评分原则：（1）考察董事会、高管层的信息科技治理职责是否完整，信息科技发展战略不经董事会审批，或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。

（2）考察是否建立信息科技管理制度的起草、发布、修订等工作流程，信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。

（3）考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责，“三道防线”部门设置是否合规；是否设立信息科技管理委员会，成员来自高管层、信息科技部门和主要业务部门，并定期向高管层汇报工作。

（4）考察商业银行是否以正式制度（文件）明确信息科技治理应作为重要组成部分纳入公司治理；是否制定了信息科技治理运作效果考核指标并定期进行评价。

2.信息科技对业务发展的专业支持和匹配度（7分）

（1）信息科技战略与业务发展战略的匹配度。

（2）信息科技人员、信息科技投入等与业务发展的匹配度（定量）。

（3）董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。

评分原则：（1）考察是否建立明确、可实施的信息科技发展战略；是否定期评价信息科技战略规划实施效果，建立信息科技战略与业务战略的协调一致机制。

（2）考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配，低于同质同类商业银行平均值的此项酌情扣分；考察商业银行信息系统建设与业务发展的支撑与匹配程度。

（3）考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比；是否设立首席信息官，直接向行长汇报，并参与重大决策，首席信息官是否具有一定的信息科技专业背景或从业经验。

（二）信息科技风险管理（12分）

1.信息科技风险管理体系（6分）

（1）是否将信息科技风险纳入全面风险管理体系，建立完善的信息科技风险管理组织架构。

（2）是否建立信息科技风险管理策略和管理制度。

评分原则：（1）考察是否将信息科技风险纳入全面风险管理，明确风险管理部门统一负责信息科技风险管理。信息科技风险管理职责仍在信息科技部门的此项得分不超过3分。

（2）考察风险管理部门中是否配备一定数量专职信息科技风险管理人员，信息科技风险管理人员是否具备相关专业背景和技能。

（3）考察是否建立信息科技风险管理策略和管理制度，管理制度是否完善，覆盖是否全面。

2.信息科技风险管理日常运作（6分）

（1）信息科技风险评估流程和方法是否完善。

（2）是否建立常态化的风险识别和监测机制。

（3）信息科技风险评估结果是否得到合理运用。

评分原则：（1）考察是否建立信息科技风险识别、风险分析、风险处置等工作机制；信息科技风险评级和风险分析工作中是否开展业务影响分析工作，是否进行风险级别划分，并有风险级别划分标准。

（2）是否建立信息科技风险监测关键风险点指标，风险监测指标是否定期评审、改进，风险监测结果是否向有关部门及高管层报告等。

（3）是否建立信息科技风险损失评估及处置机制。

（三）信息科技审计（10分）

1.信息科技风险监督体系（4分）

是否建立信息科技审计体系，以及信息科技审计体系的合理性。

评分原则：（1）商业银行是否将信息科技审计工作纳入内部审计部门工作范畴；商业银行内部审计制度是否纳入信息科技审计相关内容，包括审计依据、标准和方法等内容；是否定期开展信息科技审计活动；发生信息科技重大突发事件时，内审部门是否介入调查；是否对信息科技重大项目实施财务审计。

（2）考察信息科技内审工作独立性和汇报路线的合理性。

2.信息科技内外部审计（6分）

（1）信息科技审计覆盖率。（定量）

（2）信息科技审计整改率。（定量）

（3）信息科技专项审计占比。（定量）

评分原则：（1）考察近三年信息科技审计覆盖率，包括信息科技内外审一级分支机构覆盖率及重要信息系统覆盖率。

【一级分支机构覆盖率】=【已开展全面信息科技审计的一级分支机构数】/【一级分支机构总数】*100%

【重要信息系统覆盖率】=【已开展信息科技审计的数据中心、重要信息系统、重大项目数】/【数据中心、重要信息系统、重大项目总数】*100%

（2）考察近两年信息科技内（外）审整改率。

【信息科技内（外）审整改率】=【信息科技内（外）审报告中发现问题已完成整改的问题数量】/【信息科技内（外）审报告中发现问题的总和】*100%

（3）考察近两年内（外）审工作中信息科技专项审计占比。

【信息科技专项审计占比】=【信息科技专项审计次数】/【全部审计次数】*100%

（四）信息安全管理（14分）

1.信息安全管理体系（8分）

（1）是否建立信息安全管理体系。

（2）信息安全管理体系的完整性。

（3）电子银行信息安全管理体系的完整性。

评分原则：（1）考察是否建立合理的信息安全管理组织架构及制度体系。

（2）考察信息安全管理体系是否完整，安全保障措施是否完善。

物理安全：中心机房及重点区域是否有环境监测、巡检、报警等安全防控措施，环境监测覆盖范围是否完备等。

网络安全：是否制定完善的网络安全访问控制策略，是否定期进行网络安全漏洞扫描，是否有完备的网络边界策略等。

数据安全：是否有重要或敏感数据的定义标准和访问控制策略，是否制定数据备份和恢复策略，是否有生产数据提取、使用、销毁等环节的安全防护措施。

终端安全：是否有终端安全防控措施，桌面终端是否安装病毒防护及防火墙软件，病毒库是否定期更新，桌面终端移动介质使用管理，设备管理，行为审计等。

访问控制：是否建立物理和逻辑访问控制策略；中心机房等重要区域门禁系统认证方式及进出访问安全控制策略是否合理；重要信息系统逻辑访问控制策略是否完善，包括权限管理、密码策略等。

(3)电子银行信息安全管理体系的完整性：电子银行系统是否定期开展渗透性测试；是否有客户端安全防控措施；是否有强制双因素身份认证；是否有客户敏感信息防护措施等。

2.信息安全管理执行力（6分）

信息安全管理规定执行情况；当年发生的信息安全事件情况。

评分原则：（1）信息安全管理组织架构是否存在重大缺陷，信息安全管理制度是否定期评价并修订完善；信息安全管理各项措施是否严格落实，执行过程中是否存在重大缺陷。

（2）当年发生的信息安全事情情况，事件发生次数可与同质同类机构平均值比较，并根据事件的负面影响程度进行酌情扣分。

（五）信息系统开发及测试（12分）

1.信息科技项目管理体系（6分）

是否有完善的信息科技项目管理组织和信息系统开发测试管理制度；是否有规范化的信息科技项目生命周期管理流程。

评分原则：（1）考察是否建立了规范的项目管理组织、制度和流程，明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等职责；项目管理组织架构严重缺失的此项最高2分。

（2）考察信息科技项目生命周期管理流程是否包括需求分析、设计、开发或外购、测试、试运行、部署、维护和退出等环节，系统开发方法是否与信息科技项目的规模、性质和复杂度相匹配。

2.项目管理过程中的风险控制（6分）

（1）信息科技项目生命周期各重要环节是否开展风险管控。

（2）信息科技项目重点环节的风险管控情况。

评分原则：（1）考察信息科技风险管控是否涵盖信息科技项目生命周期各重要环节，如需求分析阶段是否有业务部门提出明确的风险控制要求，是否有应急恢复目标、灾难恢复目标、数据管理目标等要求，信息科技审计人员或信息安全人员是否参加项目阶段评审，风险管理组织是否开展阶段风险评估等。

（2）是否建立必要的安全隔离措施，包括生产系统与开发系统、测试系统的有效隔离，生产系统与开发系统、测试系统的管理职能相分离，应用程序开发和维护人员未经允许不可进入生产系统等。

（3）考察业务部门在信息系统开发及测试各阶段的参与度。业务部门是否参与需求分析、测试、项目各阶段质量评审、用户验收测试、项目后评价等；已完成开发和测试环境的程序或系统配置变更应用到生产系统前是否经业务部门批准。

（4）考察重要信息系统源代码控制率（定量）。

【重要信息系统源代码控制率】=【机构拥有全部源代码且具备后续自主维护开发能力、外部机构人员未经授权不能访问系统源代码进行功能定制扩展的重要信息系统数】/【重要信息系统总数】*100%

（六）信息科技运行及维护（15分）

1.信息科技运行及维护管理体系（8分）

是否建立信息科技运行维护管理体系。

评分原则：（1）考察是否有规范的信息科技运行及维护管理流程，并制定详尽的信息科技运行操作说明。

（2）信息科技运行及维护管理流程是否涵盖事件管理、问题管理、容量管理、变更管理、服务水平管理、可用性管理等。

（3）信息科技运行及维护管理体系是否定期评价并修订完善。

2.信息科技运行维护运作（7分）

信息科技运行及维护管理各流程运作是否规范。

评分原则：（1）是否采用信息化管理平台等措施提高运行与维护管理效率，完善运行与维护管理流程。

（2）信息科技内部是否有岗位制约机制，如信息科技运行与系统开发和维护的分离等。

（3）是否有容量规划，重要信息系统性能和容量设置是否恰当，性能和容量变更机制是否合理。

（4）考察重要信息系统服务可用率（定量）。

【重要信息系统服务可用率】=【计划提供服务总时间-计划停止服务时间-非计划停止服务时间】/【计划提供服务总时间】*100%

（5）考察核心业务系统交易成功率（定量）。

【核心业务系统交易成功率】=【核心业务系统生产交易成功笔数】/【核心业务系统生产交易总笔数】*100%

（6）考察重要信息系统监控覆盖率（定量）。

【重要信息系统监控覆盖率】=【实施应用级监控的重要信息系统数】/【重要信息系统总数】*100%

（七）业务连续性管理（12分）

1.业务连续性管理体系（7分）

（1）业务连续性管理组织架构是否健全；

（2）是否开展业务影响分析，并制定业务连续性计划；业务连续性演练及改进情况；应急处置工作情况。

评分原则：（1）是否建立日常业务连续性管理组织，是否制定业务连续性管理政策和制度，业务连续性管理组织职责是否清晰完善。

（2）业务连续性管理相关参与部门设置是否合理；业务连续性管理主管部门为信息科技部门，且业务连续性管理组织不包含主要业务部门的此项得分不超过2分。

（3）是否完成所有重要业务影响分析，明确业务恢复优先级和恢复目标；是否制定所有重要业务的业务连续性计划，相关资源建设是否到位；是否定期开展业务连续性演练，并评估改进，是否对业务连续性管理工作进行审计；是否有健全的信息科技突发事件应急处置机制。

2.业务连续性管理日常运作效果（5分）

（1）业务连续性资源建设是否与业务发展匹配；

（2）重要信息系统灾备覆盖率。（定量）

评分原则：（1）考察信息科技基础设施是否满足当前及未来几年业务发展需要，数据中心、灾备中心建设是否符合相关监管要求；

（2）考察重要信息系统灾备覆盖率指标。

【重要信息系统灾备覆盖率】=【纳入同城/异地灾备、灾备级别为应用级/数据级且演练评估结果为真实接管生产的重要信息系统数】/【重要信息系统总数】*100%

（八）信息科技外包管理（10分）

1.外包管理组织架构和外包战略（2分）

是否建立清晰、合理的信息科技外包管理组织架构，是否制定外包战略。

评分原则:（1）考察是否建立清晰的外包管理组织架构；是否明确高管层、信息科技外包管理主管部门和执行部门的风险管理职责；信息科技外包风险管理部门和审计部门是否定期开展信息科技外包风险管理的评估和审计工作。

（2）是否制定与自身规模、市场地位相适应的外包战略；是否有针对性地获取或提升管理及技术能力，降低对服务提供商的依赖。

2.信息科技外包管理（4分）

（1）是否开展外包风险评估及外包服务商尽职调查。

（2）外包合同内容是否完整。

（3）外包服务监督与评价。

评分原则：（1）考察外包项目立项前是否进行风险评估；是否有合理的外包服务商准入标准；重要的服务提供商是否开展尽职调查。

（2）是否签订外包合同，外包合同内容是否包括对外包服务商的必要约束条款。

（3）是否对外包服务过程进行持续监控，对外包服务商进行评价，督促不断提升外包服务水平；是否建立恰当的应急预案，应对外包服务商可能出现的重大缺失。

3.跨境及非驻场外包管理（2分）

（1）跨境外包风险管理。

（2）非驻场外包服务的风险管理机制建设及执行效果。

评分原则：（1）存在跨境外包服务的，考察外包过程中是否充分考虑跨境外包带来的国别风险，风险处置措施是否恰当。

（2）存在非驻场外包服务的，是否建立非驻场外包服务的内部控制及风险管理标准和机制，在信息安全、知识产权保护、质量监控、法律合规等方面是否有对服务提供商的风险管理要求。

4.重点外包服务机构管理（2分）

（1）重点外包服务商的认定。

（2）对重点外包服务商的管理要求。

评分原则：（1）是否制定重点外包服务商认定标准，建立明确的重点外包服务商清单，是否对重点外包服务商的组织架构、服务管理体系、技术服务能力、资质等进行考察和跟踪。

（2）是否对重点外包服务商的风险管理、年度审计工作提出明确要求。

（九）信息科技监管重大关注事项

1.信息科技治理结构重大变化

出现信息科技管理组织架构、信息科技高管层和科技部门负责人异常调整、信息科技战略重大变动等情况，对商业银行产生不利影响的，视负面影响情况，每种扣3-5分。本指标最高扣10分。

2.重要信息系统突发事件

发生一起《银行业重要信息系统突发事件应急管理规范（试行）》（银监办发〔2008〕53号）定义的特别重大或重大突发事件，或两起（含）以上较大突发事件的，且认定商业银行在突发事件中负有管理责任，评级最高为三级。

3.涉及信息科技的案件

发生涉及信息科技案件的，视认定的商业银行责任和案件负面舆情影响，每起案件扣5-10分，最高扣20分。

4.存在严重违反相关信息科技监管法规制度的行为

对于在遵守信息科技监管相关规章制度方面存在重大问题的商业银行，如在评级年度内因信息科技事件受到20万元以上的监管处罚，评级结果最高为4级。

5.现场检查发现的重大风险隐患

本年度现场检查工作中发现重要信息系统、基础设施等存在的重大风险隐患，可能对商业银行业务正常开展造成重大影响的，评级最高为三级。