银行内部控制管理办法

　银行内部控制管理办法

　第一章

　总则 第一条

　为建立健全银行（以下简称“本行”）内部控制体系，防范风险，保障业务、管理体系安全稳健运行，确保本行的可持续发展，依据《中华人民共和国商业银行法》、财政部等五部委联合发布的《企业内部控制基本规范》、《商业银行内部控制指引》等法律法规和规章，制定本办法。

　第二条

　本办法所称内部控制，是指本行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。

　第三条

　本行内部控制目标包括：

　（一）保证国家有关法律法规及规章的贯彻执行； （二）保证本行发展战略和经营目标的实现； （三）保证本行风险管理的有效性； （四）保证本行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。

　第四条

　本行内部控制应当贯彻以下基本原则：

　（一）全覆盖原则。内部控制应当贯穿决策、执行和监督全过程，覆盖各项业务流程和管理活动，覆盖所有的部门、岗位和人员；

　 （二）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制；

　 （三）审慎性原则。内部控制应当坚持风险为本、审慎经营的理念，设立机构或开办业务均应坚持内控优先； （四）相匹配原则。内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应，并根据情况变化及时进行调整； 第五条

　本行内部控制框架着重围绕以下五个要素进行构建：

　（一）内部环境，包括治理结构、内部机构设置及权责分配、议事规则、内部审计、人力资源政策、企业文化和法律关系处理等，是本行实施内部控制的重要基础； （二）风险评估，即及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略，是内部控制的主要环节； （三）控制活动，即根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内，

　是保障内部控制目标得以实现的系列方法和重要手段； （四）信息与沟通，即及时、准确地收集、传递与内部控制相关的信息，确保信息在本行内部、本行与外部之间进行有效沟通，是实现内部控制有效性的重要条件； （五）内部监督，即对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷并及时加以改进，是实施内部控制的重要保证。

　第六条

　本办法是本行内部控制管理纲领性、原则性制度和要求，适用本办法未作具体要求的其他业务或环节。为保障内部控制的有效性和适当性，本行各级机构均应遵循内控四项原则，围绕内控五要素，建立健全内部控制体系，明确内部控制职责、完善内部控制措施，强化内部控制保障，持续开展内部控制评价和监督。

　第二章

　内部控制职责 第七条

　本行建立由董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、纪检监察部门、业务部门组成的分工合理、职责明确、报告关系清晰的内部控制治理和组织架构。

　第八条

　本行董事会在内部控制中履行以下职责：

　（一）负责保证本行建立并实施充分有效的内部控制体系，保证本行在法律和政策框架内审慎经营； （二）负责明确设定可接受的风险水平，保证高级管理层采取必要的风险控制措施； （三）负责监督高级管理层对内部控制体系的充分性与有效性进行监测和评估。

　第九条

　本行监事会在内部控制中履行以下职责：

　（一）负责监督董事会、高级管理层完善内部控制体系； （二）负责监督董事会、高级管理层及其成员履行内部控制职责。

　第十条

　本行高级管理层在内部控制中履行以下职责：

　（一）负责执行董事会决策； （二）负责根据董事会确定的可接受的风险水平，制定系统化的制度、流程和方法，采取相应的风险控制措施； （三）负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行； （四）负责组织对内部控制体系的充分性与有效性进行监测和评估。

　第十一条

　本行“四道防线”在内部控制中履行以下职责：

　（一）业务管理部门和业务经营机构作为“一道防线”，负责参与制定与自身职责相关的业务制度和操作流程；负责严格执行相关制度规定；负责组织开展监督检查；负责按照规定时

　限和路径报告内部控制存在的缺陷，并组织落实整改。业务管理部门和业务经营机构对本条线和本机构自身内部控制建设、执行到位和尽职监督到位负责。

　（二）合规管理部门与各类风险的综合管理部门是内控管理的“二道防线”。

　合规管理部门（包括总行法律合规部、各分行内控合规部、各直属支行内控合规部，下同）是内控管理职能部门，负责牵头组织内部控制体系的统筹规划、组织落实、检查评估和内控考核及培训；负责尽职监督评价及牵头督导内控问题整改；负责定期向高级管理层报告内部控制及管理状况。

　各类风险的综合管理部门是全面风险管理的综合管理部门，是内部控制的重要职能管理部门，负责全面风险管理的有效性。

　“二道防线”部门除负责本部门及所辖条线的内部控制自我监督和检查外，还应按其职责独立检查、评价“一道防线”业务部门的内控状况并对相应业务条线反馈意见；提供指导业务发展和内控建设的建议；与业务条线合作，确定、评估风险、有针对性地设置控制措施，针对发现的问题和内控缺陷及时组织落实整改，强化内控建设，防范各类风险。

　（三）内部审计部门是内控管理的“三道防线”，履行内部控制的监督职能，负责并对本行内部控制的充分性和有效性进行审计，及时报告审计发现的问题，并监督整改。

　（四）纪检监察部门是内控管理的“四道防线”，利用其“教育、监督、惩处、保护”的职能作用，负责对本行内部控制失职失察的监督检查，提出处理建议，并监督整改。

　第十二条

　本行各金融总部各部门及分行（含直属支行，下同）作为内控管理的核心主体，履行以下职责：

　（一）各金融总部总裁对本总部内控管理负首要责任，金融总部各部门负责人在承担本部门相应的内控管理责任。

　各分行行长对本分行及辖内内控管理负首要责任，其他行领导在分工范围内承担相应的内控管理责任。

　（二）各金融总部各部门是本部门职责内控管理部门，建立内部控制管理体系，及时履行对总行内控合规部门的内控管理情况报告。

　各分行应明确内控管理牵头部门和评价实施部门，各职能部门根据总行制度规定及要求，比照总行/总部部门职责建立本分行及辖内各级机构内部控制管理体系，及时履行对总行的内控管理情况报告及对辖属支行的内控管理和监督评价职责。

　第三章

　内部控制措施 第十三条

　本行应加强内控制度建设，建立健全总行、各金融总部各部门和分行一体、层次

　清晰、管控严密、高效实用的内部控制制度体系，确保全行各类决策、各项业务过程、各级管理人员和每个员工都处于严密的制度约束之下，做到遵章守规。

　（一）加强内控制度的系统性建设，从制度框架、组织授权、内部逻辑三个维度，加强对制度文件系统性控制，避免不同的条线及部门仅从自己条线角度重复制定； （二）建立制度检视梳理机制，设计自上而下、统一规范的制度文件体系，将制度规划、梳理及优化与内控合规检查发现、内控缺陷整改有机衔接，建立计划、执行、检查、改进(PDCA)的良性循环，积极开展制度文件的定期检视、梳理及评估，包括更新制度规范、基于流程梳理完善操作细则等； （三）加强制度执行力，通过定期开展制度检视梳理，强调岗责、制度流程的风险点和控制措施以及各项监管红线，为各岗位员工严格遵循制度，避免递减式或选择式执行提供操作标准； （四）将制度建设及执行情况与绩效考核挂钩，充分发挥考核的正向激励与约束作用。

　第十四条

　本行合规管理部门作为内控管理职能部门,在各类风险的综合管理部门配合下，组织开展内控梳理，对现行制度流程进行检视分析，合理确定各项业务活动和管理活动的风险点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。

　第十五条

　本行各类风险的综合管理部门是风险识别与评估的责任主体。其中，合规管理部门负责合规风险的识别与评估；其他各风险的综合管理部门按照全面风险管理的职责分工，负责各自风险类型的识别和评估；合规管理部门负责对责任主体部门风险识别与评估的尽职情况进行监督。

　风险识别与评估的责任主体应采用科学的风险管理技术和方法，充分识别和评估经营中面临的风险，对各类主要风险进行持续监控，发现并改进内部控制存在的不足。

　在风险识别和评估过程中，应全面考虑本行的战略目标、组织机构、业务性质和结构、人力资源等内部因素，以及行业变化、技术进步、法律变化、市场变化等外部各种因素，确定相应的风险承受度，并在内外部因素发生变化时，及时对风险进行重新评估。

　第十六条

　本行各级机构应根据内部控制目标，结合风险评估结果和应对策略，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，综合运用各种控制措施，对各项业务和事项实施有效控制，将风险控制在可承受的范围内。

　控制措施一般包括：不相容岗位分离控制、授权审批控制、预算控制、会计系统控制、内部报告控制、信息技术控制、财产保护控制、经营活动分析控制和绩效考评控制等。

　第十七条

　本行应建立健全信息系统控制，通过内部控制流程与业务操作系统和管理信息系

　统的有效结合，加强对业务和管理活动的系统自动控制，减少或消除人为操纵因素。信息系统内部控制的重点包括：严格划分计算机信息系统开发部门、运行部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

　第十八条

　本行根据经营管理需要设置内部组织架构，应坚持内控优先原则，合理确定部门、岗位的职责及权限，明确重要岗位，制定重要岗位的内部控制要求，形成规范的部门和岗位职责说明，明晰相应的报告路线，将权利与责任落实到各责任部门和岗位。

　本行各级机构应制定重要岗位的内部控制要求，将重要岗位的内部控制要求贯穿于全流程之中。

　第十九条

　本行各级机构应结合业务特点和内部控制要求，全面系统地分析、梳理业务流程和管理活动中的不相容岗位，实施相应的分离措施，形成相互制约的岗位安排。

　本行对重要岗位人员实行轮岗或强制休假制度，原则上不相容岗位人员之间不得轮岗，对于掌握本行重要商业秘密、所涉责任尚未厘清的员工应有离岗的限制性规定。

　第二十条

　本行制定规范员工行为的相关制度，明确对员工的禁止性规定，分层分级管理，采取全面排查、专项排查和日常排查相结合的方式加强员工行为管控，建立员工异常行为举报、查处机制。

　第二十一条

　本行实行统一法人管理和法人授权管理。本行根据各级机构的经营能力、管理水平、风险状况和业务发展需要，建立相应的授权体系，明确各级机构、部门、岗位、人员办理业务和事项的权限，并实施动态调整。授权采取书面形式，各级机构、部门、岗位、人员应当在授权范围内行使职权和承担责任，严禁越权行为。对涉及资产、负债、财务和人员任免等重大的业务和事项实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

　第二十二条

　本行严格执行会计准则与制度，明确会计凭证、会计账簿和财务会计报告的处理程序，及时准确地反映各项业务交易，确保财务会计信息真实、可靠、完整。

　第二十三条

　本行建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产和重要凭证及时进行盘点。

　第二十四条

　本行设立新机构、开办新业务、提供新产品和服务，应当对潜在的风险进行评估，并制定相应的管理制度和业务流程，做到内控优先、制度先行。

　第二十五条

　本行应建立健全外包管理制度，明确外包管理组织架构和管理职责，完善外包风险管控，确立外包分层管理机制，并至少每年组织开展一次全面的外包业务风险评估。涉

　及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包，但符合《商业银行内部审计指引》（银监发〔2016〕12 号）第五章规定的情况除外。

　第二十六条

　本行应建立健全客户投诉处理机制，制定完善投诉处理工作流程，定期汇总分析投诉反映事项，查找问题，有效改进服务和管理。

　第四章

　内部控制保障 第二十七条

　本行应建立贯穿各级机构、覆盖所有业务和全部流程的管理信息系统和业务操作系统，及时、准确记录经营管理信息，确保信息的完整、连续、准确和可追溯。

　第二十八条

　本行应加强对信息的安全控制和保密管理，对各类信息实施分等级安全管理，对信息系统访问实施权限管理，确保信息安全可靠。

　第二十九条

　本行应建立健全重大内控合规风险信息报告机制，及时、准确地收集、传递与内部控制相关的信息，确保信息在本行内部、本行与外部之间进行有效沟通，建立有效的信息沟通机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保相关部门和员工及时了解与其职责相关的制度和信息。

　内部控制信息包括内部信息和外部信息。内部信息可以通过本行经营管理资料、财务会计资料、调研报告、专项信息、内部刊物、办公网络等渠道获取；外部信息可以通过监管部门、银行业协会、社会中介机构、业务往来单位、市场调查、来信来访以及网络媒体等渠道获取。

　内部控制信息交流与反馈应考虑信息的安全性和保密性要求，相关信息报告、发布、披露应经过适当授权。

　第三十条

　本行应建立与战略目标相一致的业务连续性管理体系，明确组织结构和管理职能，制定业务连续性计划，组织开展演练和定期的业务连续性管理评估，有效应对运营中断事件，保证业务持续运营。

　第三十一条

　本行应坚持制定有利于持续发展的人力资源政策，要从员工应聘辞退、日常管理、薪酬福利、考核晋升等方面体现政策，将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，保证从业人员具备必要的专业资格和从业经验，加强员工培训。

　第三十二条

　本行应坚持价值导向型的内部控制，提升内控管理价值，着力于建立科学的绩效考评体系、合理设定内部控制考评标准，对考评对象在特定期间的内部控制管理活动进行评价，并根据考评结果改进内部控制管理。

　针对内控管理职能部门和内部审计部门建立区别于其他条线管理部门的绩效考评方式，以利于其有效履行内部控制管理和监督职能。

　第三十三条

　本行坚持文化引领，培育良好的企业内控文化，倡导“天道酬勤、和谐成长”

　的核心价值观和“正气、责任、创新、超越”的企业精神，引导员工树立合规意识、风险意识，提高员工的职业道德水准，规范员工行为，有序推进内控合规文化建设，建立内控长效机制。

　第五章

　内部控制评价 第三十四条

　内部控制评价是对本行内部控制体系建设、实施和运行结果开展的调查、测试、分析和评估等系统性活动。

　第三十五条

　本行内部审计部门负责建立内部控制评价制度，规定内部控制评价的实施主体、频率、内容、程序、方法和标准等，确保内部控制评价工作规范进行。

　第三十六条

　本行内部审计部门根据业务经营情况和风险状况确定内部控制评价的频率，至少每年开展一次。当发生重大的并购或处置事项、营运模式发生重大改变、外部经营环境发生重大变化，或其他有重大实质影响的事项发生时，应及时组织开展内部控制评价。

　第三十七条

　本行内部审计部门负责制定内部控制缺陷认定标准，根据内部控制缺陷的影响程度和发生的可能性划分内部控制缺陷等级，并明确相应的纠正措施和方案。

　第三十八条

　本行内部审计部门建立内部控制评价质量控制机制，对评价工作实施全流程质量控制，确保内部控制评价客观公正。

　第三十九条

　本行应强化内部控制评价结果运用，可将评价结果与被评价机构的绩效考评和授权等挂钩，并作为被评价机构领导班子考评的重要依据。

　第四十条

　本行年度内部控制评价报告由内部审计部门负责撰写，并经董事会审议批准后，于每年 4 月 30 日前报送履行法人监管职责的属地银行业监督管理机构。各分行应将其内部控制评价情况，按上述时限要求报送属地银行业监督管理机构。

　第四十一条

　本行对纳入并表管理的机构进行内部控制评价，包括本行及附属机构。

　第六章

　内部控制监督 第四十二条

　本行内部审计部门、内控管理职能部门、风险综合管理部门、纪检监察部门和业务部门均承担内部控制业务监督检查职责，应根据分工协调配合，构建覆盖各级机构、各个产品、各个业务的监督检查体系。

　第四十三条

　本行建立内部控制监督的报告和信息反馈制度，内部审计部门、内控管理职能部门、风险综合管理部门、纪检检查部门和业务部门应将发现的内部控制缺陷，按照规定报告路线及时报告董事会、监事会、高级管理层或相关部门。根据各部门、各金融总部各部门、各分行职责与分工指定内部控制缺陷整改责任部门，严格执行本行整改工作流程，确保各项整改措施落实到位。

　第四十四条

　本行建立内部控制管理责任制，强化责任追究。

　（一）董事会、高级管理层应当对内部控制的有效性分级负责，并对内部控制失效造成的重大损失承担管理责任； （二）内部审计部门、内控管理职能部门应当对未适当履行监督检查和内部控制评价职责承担直接责任； （三）业务部门应当对未执行相关制度、流程，未适当履行检查职责，未及时落实整改承担直接责任。

　第七章

　附则 第三十五条

　本办法由本行高级管理层研究制定，并授权总行法律合规部负责解释和修订。

　第三十六条

　本办法经本行董事会审议通过后生效，自公布之日起实行。原《银行内部控制管理办法（1.0 版，2016 年）》（银发﹝2016﹞400 号）同时废止。