搜索
银行内部控制管理办法目录第一章总则1第二章内部控制职责3第三章内部控制措施5第四章内部控制保障9第五章内部控制评价11第六章内部控制监督12第七章附则13第一章总则第一条为建立健全银行(以下简称“本行”)内部控制体系,防范风险,保障业务、管理体系安全稳健运行,确保本行的可持续发展,依据《中华人民共和国商业银行法》、财政部等五部委联合发布的《企业内部控制基本规范》、《商业银行内部控制指引》等法律法规和规章,制定本办法。第二条本办法所称内部控制,是指本行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和方法,实现控制目标的动态过程和机制。第三条本行内部控制目标包括:(一)保证国家有关法律法规及规章的贯彻执行;(二)保证本行发展战略和经营目标的实现;(三)保证本行风险管理的有效性;(四)保证本行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。第四条本行内部控制应当贯彻以下基本原则:(一)全覆盖原则。内部控制应当贯穿决策、执行和监督全过程,覆盖各项业务流程和管理活动,覆盖所有的部门、岗位和人员;(二)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制;(三)审慎性原则。内部控制应当坚持风险为本、审慎经营的理念,设立机构或开办业务均应坚持内控优先;(四)相匹配原则。内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应,并根据情况变化及时进行调整;第五条本行内部控制框架着重围绕以下五个要素进行构建:(一)内部环境,包括治理结构、内部机构设置及权责分配、议事规则、内部审计、人力资源政策、企业文化和法律关系处理等,是本行实施内部控制的重要基础;(二)风险评估,即及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略,是内部控制的主要环节;(三)控制活动,即根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内,是保障内部控制目标得以实现的系列方法和重要手段;(四)信息与沟通,即及时、准确地收集、传递与内部控制相关的信息,确保信息在本行内部、本行与外部之间进行有效沟通,是实现内部控制有效性的重要条件;(五)内部监督,即对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷并及时加以改进,是实施内部控制的重要保证。第六条本办法是本行内部控制管理纲领性、原则性制度和要求,适用本办法未作具体要求的其他业务或环节。为保障内部控制的有效性和适当性,本行各级机构均应遵循内控四项原则,围绕内控五要素,建立健全内部控制体系,明确内部控制职责、完善内部控制措施,强化内部控制保障,持续开展内部控制评价和监督。第二章内部控制职责第七条本行建立由董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、纪检监察部门、业务部门组成的分工合理、职责明确、报告关系清晰的内部控制治理和组织架构。第八条本行董事会在内部控制中履行以下职责:(一)负责保证本行建立并实施充分有效的内部控制体系,保证本行在法律和政策框架内审慎经营;(二)负责明确设定可接受的风险水平,保证高级管理层采取必要的风险控制措施;(三)负责监督高级管理层对内部控制体系的充分性与有效性进行监测和评估。第九条本行监事会在内部控制中履行以下职责:(一)负责监督董事会、高级管理层完善内部控制体系;(二)负责监督董事会、高级管理层及其成员履行内部控制职责。第十条本行高级管理层在内部控制中履行以下职责:(一)负责执行董事会决策;(二)负责根据董事会确定的可接受的风险水平,制定系统化的制度、流程和方法,采取相应的风险控制措施;(三)负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行;(四)负责组织对内部控制体系的充分性与有效性进行监测和评估。第十一条本行“四道防线”在内部控制中履行以下职责:(一)业务管理部门和业务经营机构作为“一道防线”,负责参与制定与自身职责相关的业务制度和操作流程;负责严格执行相关制度规定;负责组织开展监督检查;负责按照规定时限和路径报告内部控制存在的缺陷,并组织落实整改。业务管理部门和业务经营机构对本条线和本机构自身内部控制建设、执行到位和尽职监督到位负责。(二)合规管理部门与各类风险的综合管理部门是内控管理的“二道防线”。合规管理部门(包括总行法律合规部、各分行内控合规部、各直属支行内控合规部,下同)是内控管理职能部门,负责牵头组织内部控制体系的统筹规划、组织落实、检查评估和内控考核及培训;负责尽职监督评价及牵头督导内控问题整改;负责定期向高级管理层报告内部控制及管理状况。各类风险的综合管理部门是全面风险管理的综合管理部门,是内部控制的重要职能管理部门,负责全面风险管理的有效性。“二道防线”部门除负责本部门及所辖条线的内部控制自我监督和检查外,还应按其职责独立检查、评价“一道防线”业务部门的内控状况并对相应业务条线反馈意见;提供指导业务发展和内控建设的建议;与业务条线合作,确定、评估风险、有针对性地设置控制措施,针对发现的问题和内控缺陷及时组织落实整改,强化内控建设,防范各类风险。(三)内部审计部门是内控管理的“三道防线”,履行内部控制的监督职能,负责并对本行内部控制的充分性和有效性进行审计,及时报告审计发现的问题,并监督整改。(四)纪检监察部门是内控管理的“四道防线”,利用其“教育、监督、惩处、保护”的职能作用,负责对本行内部控制失职失察的监督检查,提出处理建议,并监督整改。第十二条本行各金融总部各部门及分行(含直属支行,下同)作为内控管理的核心主体,履行以下职责:(一)各金融总部总裁对本总部内控管理负首要责任,金融总部各部门负责人在承担本部门相应的内控管理责任。各分行行长对本分行及辖内内控管理负首要责任,其他行领导在分工范围内承担相应的内控管理责任。(二)各金融总部各部门是本部门职责内控管理部门,建立内部控制管理体系,及时履行对总行内控合规部门的内控管理情况报告。各分行应明确内控管理牵头部门和评价实施部门,各职能部门根据总行制度规定及要求,比照总行/总部部门职责建立本分行及辖内各级机构内部控制管理体系,及时履行对总行的内控管理情况报告及对辖属支行的内控管理和监督评价职责。第三章内部控制措施第十三条本行应加强内控制度建设,建立健全总行、各金融总部各部门和分行一体、层次清晰、管控严密、高效实用的内部控制制度体系,确保全行各类决策、各项业务过程、各级管理人员和每个员工都处于严密的制度约束之下,做到遵章守规。(一)加强内控制度的系统性建设,从制度框架、组织授权、内部逻辑三个维度,加强对制度文件系统性控制,避免不同的条线及部门仅从自己条线角度重复制定;(二)建立制度检视梳理机制,设计自上而下、统一规范的制度文件体系,将制度规划、梳理及优化与内控合规检查发现、内控缺陷整改有机衔接,建立计划、执行、检查、改进(PDCA)的良性循环,积极开展制度文件的定期检视、梳理及评估,包括更新制度规范、基于流程梳理完善操作细则等;(三)加强制度执行力,通过定期开展制度检视梳理,强调岗责、制度流程的风险点和控制措施以及各项监管红线,为各岗位员工严格遵循制度,避免递减式或选择式执行提供操作标准;(四)将制度建设及执行情况与绩效考核挂钩,充分发挥考核的正向激励与约束作用。第十四条本行合规管理部门作为内控管理职能部门,在各类风险的综合管理部门配合下,组织开展内控梳理,对现行制度流程进行检视分析,合理确定各项业务活动和管理活动的风险点,采取适当的控制措施,执行标准统一的业务流程和管理流程,确保规范运作。第十五条本行各类风险的综合管理部门是风险识别与评估的责任主体。其中,合规管理部门负责合规风险的识别与评估;其他各风险的综合管理部门按照全面风险管理的职责分工,负责各自风险类型的识别和评估;合规管理部门负责对责任主体部门风险识别与评估的尽职情况进行监督。风险识别与评估的责任主体应采用科学的风险管理技术和方法,充分识别和评估经营中面临的风险,对各类主要风险进行持续监控,发现并改进内部控制存在的不足。在风险识别和评估过程中,应全面考虑本行的战略目标、组织机构、业务性质和结构、人力资源等内部因素,以及行业变化、技术进步、法律变化、市场变化等外部各种因素,确定相应的风险承受度,并在内外部因素发生变化时,及时对风险进行重新评估。第十六条本行各级机构应根据内部控制目标,结合风险评估结果和应对策略,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,综合运用各种控制措施,对各项业务和事项实施有效控制,将风险控制在可承受的范围内。控制措施一般包括:不相容岗位分离控制、授权审批控制、预算控制、会计系统控制、内部报告控制、信息技术控制、财产保护控制、经营活动分析控制和绩效考评控制等。第十七条本行应建立健全信息系统控制,通过内部控制流程与业务操作系统和管理信息系统的有效结合,加强对业务和管理活动的系统自动控制,减少或消除人为操纵因素。信息系统内部控制的重点包括:严格划分计算机信息系统开发部门、运行部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。第十八条本行根据经营管理需要设置内部组织架构,应坚持内控优先原则,合理确定部门、岗位的职责及权限,明确重要岗位,制定重要岗位的内部控制要求,形成规范的部门和岗位职责说明,明晰相应的报告路线,将权利与责任落实到各责任部门和岗位。本行各级机构应制定重要岗位的内部控制要求,将重要岗位的内部控制要求贯穿于全流程之中。第十九条本行各级机构应结合业务特点和内部控制要求,全面系统地分析、梳理业务流程和管理活动中的不相容岗位,实施相应的分离措施,形成相互制约的岗位安排。本行对重要岗位人员实行轮岗或强制休假制度,原则上不相容岗位人员之间不得轮岗,对于掌握本行重要商业秘密、所涉责任尚未厘清的员工应有离岗的限制性规定。第二十条本行制定规范员工行为的相关制度,明确对员工的禁止性规定,分层分级管理,采取全面排查、专项排查和日常排查相结合的方式加强员工行为管控,建立员工异常行为举报、查处机制。第二十一条本行实行统一法人管理和法人授权管理。本行根据各级机构的经营能力、管理水平、风险状况和业务发展需要,建立相应的授权体系,明确各级机构、部门、岗位、人员办理业务和事项的权限,并实施动态调整。授权采取书面形式,各级机构、部门、岗位、人员应当在授权范围内行使职权和承担责任,严禁越权行为。对涉及资产、负债、财务和人员任免等重大的业务和事项实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。第二十二条本行严格执行会计准则与制度,明确会计凭证、会计账簿和财务会计报告的处理程序,及时准确地反映各项业务交易,确保财务会计信息真实、可靠、完整。第二十三条本行建立有效的核对、监控制度,对各种账证、报表定期进行核对,对现金、有价证券等有形资产和重要凭证及时进行盘点。第二十四条本行设立新机构、开办新业务、提供新产品和服务,应当对潜在的风险进行评估,并制定相应的管理制度和业务流程,做到内控优先、制度先行。第二十五条本行应建立健全外包管理制度,明确外包管理组织架构和管理职责,完善外包风险管控,确立外包分层管理机制,并至少每年组织开展一次全面的外包业务风险评估。涉及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包,但符合《商业银行内部审计指引》(银监发〔2016〕12号)第五章规定的情况除外。第二十六条本行应建立健全客户投诉处理机制,制定完善投诉处理工作流程,定期汇总分析投诉反映事项,查找问题,有效改进服务和管理。第四章内部控制保障第二十七条本行应建立贯穿各级机构、覆盖所有业务和全部流程的管理信息系统和业务操作系统,及时、准确记录经营管理信息,确保信息的完整、连续、准确和可追溯。第二十八条本行应加强对信息的安全控制和保密管理,对各类信息实施分等级安全管理,对信息系统访问实施权限管理,确保信息安全可靠。第二十九条本行应建立健全重大内控合规风险信息报告机制,及时、准确地