1、xx银行内部控制管理规定第一章 总 则第一条为建立健全本行内部控制,有效防范风险,保障我行业务的安全稳健运行,依据中华人民共和国商业银行法、商业银行内部控制指引及相关制度,制定本规定。第二条本规定所称内部控制是指本行为实现内部控制目标,通过制定一系列的制度、程序和方法,并由董事会、监事会、管理层和全体员工实施的对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内部控制的核心含义是职责分离、横向与纵向相互监督制约;具体表现形式是内部各种管理制度、工作程序、具体控制方法和措施。董事会、高级管理层和全体员工参与,通过制定和实施系统化的制度。第三条本行内部控制目标包括:(一)确保国家法律、
2、法规和本行内部规章制度的贯彻执行。(二)确保本行发展战略和经营目标的全面实施和充分实现。(三)确保本行风险管理体系的有效性。(四)确保本行业务记录、财务信息和其他管理信息的真实、准确、完整和及时。 第四条本行内部控制应当贯彻以下基本原则:(一)全覆盖原则。本行内部控制应当贯穿决策、执行和监督全过程覆盖各项业务流程和管理活动,覆盖所有的部门、岗位和人员。(二)制衡性原则。本行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制,同时兼顾运营效率。(三)审慎性原则。本行内部控制应当坚持风险为本、审慎经营的理念,尤其是设立新的机构或开办新的业务,均应当体现“内控优先
3、”的要求。(四)相匹配原则。本行内部控制应当与管理模式、业务规模、产品复杂程度和特点、风险水平等相适应,以合理的成本实现内部控制目标,并根据情况变化及时进行调整。第五条 本行应当建立健全内部控制体系,包括明确内部控制职责,完善内部控制措施,强化内部控制保障,持续开展内部控制评价和监督。第六条本行各部门在实施各项管理活动过程中,应遵循和体现本规定的要求和精神,本规定未作具体要求的其他业务或环节,应按照本规定的要求建立和完善相应的内部控制制度。第二章 内部控制职责第七条 我行应建立良好的公司内部控制治理和组织架构。明确董事会、监事会、高级管理层、内控管理部门、内部审计部门、业务部门各层级的职责,做
4、到分工合理、职责明确、报告关系清晰。第八条 董事会的内控责任:(一)保证商业银行建立并实施充分有效的内部控制体系,保证商业银行在法律和政策框架内审慎经营。(二)明确设定可接受的风险水平,保证高级管理层采取必要的风险控制措施。(三)监督高级管理层对内部控制体系的充分性与有效性进行监测和评估。第九条监事会的内控责任:(一)监督董事会、高级管理层完善内部控制体系。(二)监督董事会、高级管理层及其成员履行内部控制职责。第十条 高级管理层的内控责任:(一)执行董事会决策。(二)根据董事会确定的可接受的风险水平,制定系统化的制度、流程和方法,采取相应的风险控制措施。(三)建立和完善内部组织机构,保证内部控
5、制的各项职责得到有效履行。(四)组织对内部控制体系的充分性与有效性进行监测和评估。第十条本行设立总行内部控制委员会(以下简称内控委),作为本行高级管理层研究、决策和协商本行内部控制工作的平台,具体负责审定本行重要内部控制制度,对本行内部控制的有效性和充分性进行评价和评审,研究本行内部控制的重大事项和管理措施,指导和推动本行各部门建立和完善内部控制程序和管理措施,确保各项内部控制措施得到有效执行。内控委的主任由总行行长担任,副主任由分管内部控制的副行长担任。内控委下设内部控制委员会办公室(以下简称内控办),负责拟订本行内部控制基本制度,监测和报告本行内部控制体系运行情况,负责组织协调本行内部控制
6、建立实施及日常工作。总行内控办设合规部。第十一条 合规部作为内控管理职能部门,牵头内部控制体系的统筹规划、组织落实和检查评估。合规部履行内部控制的监督职能,负责对各业务条线和分支机构的内部控制状况实施全面的监督和评价,负责对我行内部控制的充分性和有效性进行审计,及时报告审计发现的问题,并监督整改。第十二条总行各部室是本行内部控制的建设、执行部门,负责各自条线内部控制体系的建设,制定条线内部控制制度、程序和方法并组织实施,对条线内部控制体系存在的问题,及时采取有效措施进行改进。第十三条分行成立分支行内部控制委员会,负责分行内部控制的评价与决策。分行内控委的主任由分行行长担任,副主任由分管内部控制
7、的副行长担任。分行各部室是分行内部控制的建设和执行部门,负责在总行条线及分行内控委的领导下,组织开展条线内部控制体系建设和各项内部控制措施的实施。分行稽核部是分行内部控制的监督和评价部门,负责分行内部控制的评价和监督,组织分行的内控评审,跟踪落实评审决定。第十四条支行行长负责在总行或分行的统一领导下,开展各项内部控制工作。第三章 内部控制措施第十五条本行应当建立健全内部控制制度体系,各业务条线要合理确定各项业务活动和管理活动的风险控制点,制定全面、系统、成文的政策、制度和程序,各分支行可遵循本行统一的业务标准和操作要求,结合本区域具体情况,制定和实施具体的实施细则、操作程序和控制措施,进一步优
8、化业务管理和操作流程,确保各项业务有章可循,并定期组织评估。第十六条 本行应当采用科学的风险管理技术和方法,充分识别和评估经营中面临的风险。按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险;结合风险承受度,权衡风险与收益,确定风险应对策略。结合不同发展阶段和业务拓展情况,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控,收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。第十七条 本行应当建立健全信息系统控制,通过内部控制流程与业务操
9、作系统和管理信息系统的有效结合,加强对业务和管理活动的系统自动控制。第十八条 本行应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限;结合业务特点和内部控制要求设置内部机构,明确职责权限,编制岗位职责说明和内部规章制度,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权形成科学有效的职责分工和制衡机制。第十九条 本行应当全面系统地分析、梳理业务流程和管理活动中所涉及的不相容岗位,实施相应的分离措施,形成相互制约的岗位安排。第二十条 本行应当明确重要岗位,并制定重要岗位的内部控制要求,对重要岗位人员实行轮岗或强
10、制休假制度,原则上不相容岗位人员之间不得轮岗。第二十一条 本行应当制定规范员工行为的相关制度,明确对员工的禁止性规定,加强对员工行为的监督和排查,建立员工异常行为举报、查处机制。第二十二条本行实行统一法人管理和法人授权,授权应与职责对应、适当、明确,并采取书面形式,各级管理人员应当在授权范围内行使职权和承担责任。对涉及资产、负债、财务和人员任免等重大的业务和事项实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。总、分行法律与合规部门统一管理各类授权、授信的法律事务。第二十三条 本行应严格执行国家统一的会计准则制度,依法设置会计机构,配备会计从业人员,加强会计基础工作,
11、明确会计凭证、会计账簿和财务会计报告的处理程序,按照规定进行会计核算和业务记录,定期核对,妥善保管档案,确保财务会计信息真实、可靠、完整。第二十四条 本行应当建立有效的核对、监控制度,建立财产日常管理制度和定期清查制度,对各种账证、报表定期进行核对,对现金、有价证券等有形资产和重要凭证及时进行盘点,确保财产安全。第二十五条本行设立新机构、开办新业务、提供新产品和服务,本行相关部门应事先制定有关的政策、制度和办法,对潜在的风险进行计量和评估,制定相应的管理制度和业务流程,采取防范措施,维护本行的合法权益。第二十六条 本行应当建立健全外包管理制度,明确外包管理组织架构和管理职责,并至少每年开展一次
12、全面的外包业务风险评估。涉及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包。第二十七条 本行应当建立健全客户投诉处理机制,制定投诉处理工作流程,定期汇总分析投诉反映事项,查找问题,有效改进服务和管理。第二十八条授信业务内部控制的重点是:本行实行统一授信管理,防范对单一客户、关联企业客户、集团客户以及部分产业、行业和地区授信风险的高度集中;实施审贷分离、前中后台分离制度,完善授信决策与审批机制,防止违反信贷原则发放关系人贷款和人情贷款;完善授信审批授权管理,防止越权或变相越权;健全客户信用风险识别与监测体系,建立科学有效的风险预警制度,识别、管理、化解授信产品和业务中所隐含的各类
13、风险;加强贷款资金使用监控,积极采用受托支付手段,管控贷款资金流向,防止信贷资金违规使用。 第二十九条资金业务内部控制的重点是:对资金业务对象和产品实行统一授信,实行严格的前后台职责分离,建立中台风险监控和管理制度,防止资金交易员从事越权交易,防止欺诈行为,防止因违规操作和风险识别不足导致的重大损失。 第三十条 柜台业务内部控制的重点是:对营业网点、要害部位和重点岗位实施有效监控,严格执行账户管理、会计核算制度和各项操作规程,防止内部操作风险和违规经营行为,防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动,确保本行和客户资金的安全。第三十一条中间业务内部控制的重点是:开展中间业务应取
14、得有关有权人部门核准的机构资质、人员从业资格和内部的业务授权,应严格按照相关监管规定对其服务收费定价履行报备和公示程序,建立并落实相关的规章制度和操作规程,按委托人指令办理业务,防范或有负债风险。第三十二条会计内部控制的重点是:实行会计工作的统一管理,严格执行各项会计制度和操作规程,运用计算机技术实施会计内部控制,确保会计信息的真实、完整和合法,严禁设置账外账,严禁乱用会计科目,严禁编制和报送虚假会计信息。第三十三条计算机信息系统内部控制的重点是:严格划分计算机信息系统开发部门、运维管理部门与使用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环
15、境的安全。第四章 内部控制保障第三十四条本行应当建立贯穿各级机构、覆盖所有业务和全部流程的管理信息系统和业务操作系统,计算机信息系统的数据应准确及时,核对无误。网络设备、操作系统、数据库系统、应用程序等均应设置必要的日志。日志记载相关系统使用、变动的情况,供管理监督使用,亦能满足各类内部和外部审计的需要。各类数据信息,数据的操作、数据备份介质的存放、转移和销毁等均应有严格的管理制度。运用计算机处理业务,应具有可复核性和可追溯性,并为有关的审计或检查留有接口,制定安全审计和评估相关的规章制度。开办电子银行服务应具备客户身份识别、安全认证等功能,防止发生泄密事件,保障交易安全。第三十五条本行应当加
16、强对信息的安全控制和保密管理,应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行,对各类信息实施分等级安全管理,对信息系统访问实施权限管理,确保信息安全。本行内部控制信息交流与反馈应考虑信息的安全性和保密性要求,相关信息报告、发布、披露应经过授权。第三十六条本行应当建立有效的信息沟通机制,重要信息应当及时传递给董事会、监事会和高级管理层,确保董事会、监事会、高级管理层及时了解本行的经营和风险状况,确保相关部门和员工及时了解与其职责相关的制度和信息。第三十七条本行应当建立与其战略目标相一致的业务连续性管理体系,明确组织结构和管理
17、职能,制定业务连续性计划,组织开展演练和定期的业务连续性管理评估,有效应对运营中断事件,保证业务持续运营。第三十八条本行员工聘用、薪酬、考核、晋升等有关人力资源的政策应体现企业可持续发展的要求,将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,保证从业人员具备必要的专业资格和从业经验。对于关键岗位的员工执行强制休假制度和定期岗位轮换制度,对于掌握本行重要商业秘密的员工执行离岗限制规定。第三十九条 本行应当建立科学的绩效考评体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。合理设定内部控制考评标准,
18、建立内部控制实施的激励约束机制,将各单位和全体员工实施内部控制的情况纳入绩效考评体系,并根据考评结果改进内部控制管理。第四十条 本行以职业道德修养和专业胜任能力作为选拔和聘用干部、员工的重要标准,切实加强员工培训和继续教育,引导员工树立合规意识、风险意识,提高员工的职业道德水准,规范员工行为。培育良好的企业精神和内部控制文化,树立现代管理理念,强化风险意识。第五章 内部控制评价第四十一条 本行应当建立内部控制评价制度,规定内部控制评价的实施主体、频率、内容、程序、方法和标准等,确保内部控制评价工作规范进行。第四十二条本行内部控制评价应当由董事会指定的部门组织实施。评价范围包括纳入并表管理的所有
19、机构。第四十三条本行应当根据业务经营情况和风险状况确定内部控制评价的频率,至少每年开展一次。当本行发生重大的并购或处置事项、营运模式发生重大改变、外部经营环境发生重大变化,或其他有重大实质影响的事项发生时,应当及时组织开展内部控制评价。第四十四条 本行应当制定内部控制缺陷认定标准,根据内部控制缺陷的影响程度和发生的可能性划分内部控制缺陷等级,对监督过程中发现的内部控制缺陷,检查部门应当分析缺陷的性质和产生的原因,提出整改要求,并跟踪内部控制缺陷整改情况。第四十五条 本行应当建立内部控制评价质量控制机制,对评价工作实施全流程质量控制,确保内部控制评价客观公正。第六章 内部控制监督第四十六条本行内
20、部审计部门、内控管理职能部门和业务部门均承担内部控制监督检查的职责,应根据分工协调配合,构建覆盖各级机构、各个产品、各个业务流程的监督检查体系。第四十七条本行应当建立内部控制监督的报告和信息反馈制度,内部审计部门、内控管理职能部门、业务部门人员应将发现的内部控制缺陷,按照规定报告路线及时报告董事会、监事会、高级管理层或相关部门。全行员工发现内部控制的问题,均可直接向相关管理部门报告,责任单位或人员应采取有效的措施予以纠正。 第四十八条 本行应当建立内部控制问题整改机制,对于内部控制中发现的各类问题,尤其是经过管理问责的重大、系统性问题,各单位应按照预防为主的原则,对各自内部控制的政策、制度、程
21、序和方法进行改进,包括提出改进措施、组织实施、效果验证和系统评价等内容,以达到持续改进的目的。第四十八条本行应当建立内部控制的风险责任制。(一)董事会、高级管理层对内部控制的有效性负责,并对内部控制失效造成的重大损失承担责任。(二)高级管理层应当对违反内部控制的人员,依据法律规定、内部管理制度追究责任和予以处分,并承担处理不力的责任。(三)业务部门和分支机构应当及时纠正内部控制存在的问题,并对出现的风险和损失承担相应的责任。(四)内部审计部门对未执行审计方案、程序和方法导致重大问题未能被发现,对审计发现隐瞒不报或者未如实反映,审计结论与事实严重不符,对审计发现问题查处整改工作跟踪不力等行为,承担相应的责任。第七章 附 则第四十九条本办法由总行风险稽核部负责解释和修订。第五十条 本规定自印发之日起施行。12