银行内部控制基本规定.docx

1、银行内部控制基本规定第一章 总 则第一条 为建立健全本行内部控制体系，防范金融风险，保障业务、管理体系安全稳健运行，依据财政部等五部委企业内部控制基本规范及其企业内部控制配套指引、银监会商业银行内部控制指引、商业银行合规风险管理指引、商业银行信息科技风险管理指引和上海证券交易所上海证券交易所上市公司内部控制指引等法律法规，制定本规定。第二条 本规定所称内部控制是指本行为实现内部控制目标，通过制定一系列制度、程序和方法，并由董事会、监事会、管理层和全体员工实施的对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。第三条 本行内部控制的总体目标是：在全行建立一个运作规范、管理科学的内控体

2、系。具体目标如下：（一）确保国家法律、法规和本行内部规章制度贯彻执行。（二）确保本行发展战略和经营目标全面实施和充分实现。（三）确保本行风险管理体系的有效性。（四）确保本行业务记录、财务信息和其他管理信息的及时、真实和完整。第四条 本行内部控制遵循以下基本原则：（一）全面性原则。本行内部控制贯穿决策、执行和监督全过程，渗透本行及其所属单位的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，做到任何决策或操作均应当有案可查。（二）审慎性原则。本行内部控制以防范风险、审慎经营为出发点，本行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。（三）有效性原则

3、。本行任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。（四）独立性原则。本行内部控制的监督、评价部门独立于内部控制的建设、执行部门，并直接向董事会、监事会和高级管理层报告。（五）重要性原则。本行内部控制以全面控制为基础，重点关注重要业务事项和高风险领域。（六）制衡性原则。本行内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（七）适应性原则。本行内部控制与本行经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况变化及时调整。（八）成本效益原则。本行内部控制权衡实施成本与预期效益，以适当成本实现有效控制。第五

4、条 本规定适用于总行各部室、各事业部、各分行等相关机构或部门，所称业务包括本、外币业务。本行香港代表处、各附属机构应参照本规定，结合当地监管要求，制定相应内部控制制度。第二章 内部控制职责分工第六条 本行董事会负责确保本行建立并实施充分而有效的内部控制体系；负责审批本行整体经营战略和重大政策并定期检查、评价执行情况；负责确保本行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。董事会下设立审计委员会，负责监督本行内部控制的有效实施和内部控制自我评价情况，

5、协调内部控制审计及其他相关事宜。第七条 本行监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害本行利益的行为并监督执行。第八条 本行高级管理层负责制订本行内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。第九条 本行设立总行内部控制委员会（以下简称内控委），作为本行高级管理层研究、决策和协商本行内部控制工作的平台。内控委下设内部控制委员会秘书机构（

6、以下简称内控秘书机构），负责拟订本行内部控制基本制度，监测和报告本行内部控制体系运行情况，负责组织协调本行内部控制建立实施及日常工作。内控委的组成、职能与职责、权利义务、议事规则等内容另行制定。第十条 总行各部室、各事业部是本行内部控制的直接建设、执行部门，负责各自条线内部控制体系的建设，制定条线内部控制制度、程序和方法并组织实施，对条线内部控制体系存在的问题，及时采取有效措施进行改进。第十一条 总行审计部是本行内部控制的监督和评价部门，负责对各业务条线和分支机构的内部控制状况实施全面的监督和评价，负责对本行整体内部控制的有效性进行年度自我评价。第十二条 各分行参照总行内控委工作制度成立分行内

7、控委，负责分行内部控制日常工作开展。各分行内控委对总行内控委负责，并向总行内控委报告。第十三条 本行各级管理人员承担各自管理领域内部控制制度的落实和监督职责，并负责内部控制中各类重大信息的反馈和沟通。第十四条 本行全行员工承担各自职责范围内部控制制度的落实职责，并应主动反馈或报告内部控制各类制度及其实施中的重大信息。第十五条 本行建立内部控制风险责任制。（一）董事会、高级管理层对内部控制有效性负责，并对内部控制失效造成的重大损失承担责任。（二）高级管理层对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。（三）总分行管理部门负责本条线内控制度建设与制度执行

8、情况检查，对制度缺失承担责任。（四）业务部门和分支机构应当及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任。（五）审计部门对未执行审计方案、程序和方法导致重大问题未能被发现，对审计发现隐瞒不报或者未如实反映，审计结论与事实严重不符，承担相应责任。第三章 内部控制基本要素第十六条 本行内部控制包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五项要素。第一节 内部控制环境第十七条 内部控制环境是本行实施内部控制的基础，包括本行治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。第十八条 本行根据国家有关法律法规和本行章程，建立规范的公司治理

9、结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。第十九条 本行结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位，通过编制岗位职责说明和内部规章制度，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。第二十条 本行设置独立的内部审计机构，配备充足的、具备相应专业知识和从业资格的内部审计人员，内部审计实行系统垂直管理。审计部门独立开展审计工作，在审计监督过程中有权获得本行所有的经营和管理信息，对监督检查中发现的内部控制重大缺陷，应及时向董事会审计委员会和高级管理层报告。第二十一条 本行员工聘用

10、、薪酬、考核、晋升等有关人力资源政策应体现本行可持续发展要求，对关键岗位员工执行强制休假制度和定期岗位轮换制度，对掌握本行重要商业秘密的员工执行离岗限制规定。第二十二条 本行以职业道德修养和专业胜任能力作为选拔和聘用管理人员、员工的重要标准。加强员工培训和继续教育，培育良好的企业精神和内部控制文化，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。第二十三条 本行建立内部控制实施激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制有效实施，创造全体员工均充分了解且能履行职责的内部控制环境。第二十四条 本行总行各业务条线应对所属各项业

11、务制定全面、系统、成文的政策、制度和程序，各分行及其所属机构遵循本行统一的业务标准和操作要求，结合本区域具体情况，制定和实施具体实施细则、操作程序和控制措施，进一步优化业务管理和操作流程，确保各项业务有章可循。第二节 风险识别与评估第二十五条 风险识别与评估是指本行及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。第二十六条 本行根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时对与实现控制目标相关的内部风险和外部风险进行识别和评估，拟定本行能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。第二十七条 本行采用定性与定量相结合方法

12、，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。第二十八条 本行根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。在进行风险和策略分析时，充分吸收专业人员，组成风险分析团队，避免因个人风险偏好给本行经营带来重大损失。第二十九条 本行结合不同发展阶段和业务拓展情况，对信用风险、市场风险、流动性风险、操作风险、合规风险等各类风险进行持续监控，收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。第三十条 本行制定并不断完善识别、计量、监测和管理风险的制度和程序，开发和运用风险量化评估方法和模型，建立涵盖各项业务、

13、全行范围的风险管理系统，不断提升本行风险识别和评估的能力和科技水平。第三十一条 在设立新机构或开办新业务时，本行相关部门应事先制定有关政策、制度和办法，对潜在风险进行计量和评估，并提出风险防范措施。总、分行法律与合规部门对新业务的推出应进行合法、合规性论证，合理保证每笔业务合法和有效，维护本行合法权益。第三节 内部控制措施第三十二条 内部控制措施是指本行应根据风险评估结果，采用相应控制措施，将风险控制在可承受度之内。第三十三条 本行综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和

14、减轻损失的策略。风险降低是在权衡成本效益之后，采取适当控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是借助他人力量，采取业务分包、购买保险等方式，将风险控制在风险承受度之内的策略。风险承受是对风险承受度之内的风险，在权衡成本效益之后，不采取控制措施降低风险或者减轻损失的策略。第三十四条 本行根据内部控制目标，结合风险评估结果和应对策略，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，综合运用各种控制措施，对各种业务和事项实施有效控制，将风险控制在可承受范围内。本行控制措施包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析

15、控制和绩效考评控制等。第三十五条 本行各机构应全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应分离措施，形成各司其职、各负其责、横向与纵向相互制约的工作机制。第三十六条 本行实行统一法人管理和法人授权，授权应与职责对应、适当、明确，并采取书面形式，各级管理人员应当在授权范围内行使职权和承担责任。对涉及资产、负债、财务和人员任免等重大业务和事项实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。第三十七条 本行严格执行国家统一的会计准则制度，依法设置会计机构，配备会计从业人员，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告处理程序，按照规定进行会计核算和

16、业务记录，定期对各种账证、报表进行核对，妥善保管各类会计、统计和业务档案，确保原始记录、合同契约和各种报表资料真实、完整。第三十八条 本行建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、账实核对等措施，对现金、有价证券、固定资产等有形资产及时进行盘点，确保财产安全。第三十九条 本行实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算编制、审定、下达和执行程序，强化预算约束。第四十条 本行应建立运营情况分析制度，各机构应综合运用经营、管理等各方面信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现问题，及时查明原因并加以改进。第四十一条 本行建立和

17、实施绩效考评制度，科学设置考核指标体系，对本行内部各责任单位和全体员工的业绩进行定期考核和客观评价，并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。第四十二条 本行强化计算机程序监控等现代化手段，利用计算机系统锁定分支机构和人员的业务权限，对分支机构实施有效管理和控制。第四十三条 本行建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处置和业务持续开展。第四节 信息交流与反馈第四十四条 信息交流与反馈是指本行及时、准确地收集、传递与内部控制相关信息，确保信息在

18、本行内部、本行内部与外部之间进行有效沟通。第四十五条 本行内部控制信息包括内部信息和外部信息。内部信息可以通过本行财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取；外部信息可以通过监管机构、银行业协会、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体等渠道获取。第四十六条 本行各机构应加强对各种内部信息和外部信息的收集、筛选、核对、整合，提高信息的有效和有用性。第四十七条 本行将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及与外部投资者、债权人、客户、供应商、中介机构和监管机构等有关方面之间进行沟通和反馈，重要信息应当及时传递给董事会、监

19、事会和高级管理层。本行内部控制信息交流与反馈应考虑信息的安全性和保密性要求，相关信息报告、发布、披露应经过授权。第四十八条 本行利用信息技术促进信息集成与共享，充分发挥信息技术在信息与沟通中的作用；同时加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。第四十九条 总行各部门、各事业部、各分行应按规定收集整理本机构或部门内控信息，并按规定路线报送。内控信息报送具体要求另行制定。第五十条 本行建立反舞弊机制，坚持惩防并举、重在预防原则，反舞弊工作重点包括以下内容：（一）XX或者采取其他不法方式侵占、挪用本行资产，牟取不当利益。（二

20、）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（三）董事、监事及高级管理人员滥用职权。（四）相关机构或人员串通舞弊。第五十一条 本行实行诚信举报制度，鼓励并保护本行员工对本行机构或个人的违法、违纪、违规活动,以及各种有损于银行利益或商誉、违反职业道德操守的行为，通过本行公布的举报信箱、举报电话、举报电子邮箱等渠道或认为方便的其他方式，向各级职能部门举报。第五十二条 本行促进各项业务电子数据处理系统的整合，做到业务数据集中处理；实现经营管理信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地

21、向监管机构报送监管报表资料和对外披露信息。第五节 监督评价与纠正第五十三条 监督评价与纠正是指本行对内部控制建立与实施情况进行监督检查，评价内部控制有效性，发现内部控制缺陷，并及时加以改进。第五十四条 本行内部控制内部监督分为监督检查和评审评价两部分内容。其中监督检查包括业务部门开展的业务自查、检查以及审计部门开展的审计监督检查；评审评价包括总、分行通过内控委进行的内部控制状况评审和审计部门组织开展的内部控制有效性评价。第五十五条 对监督过程中发现的内部控制缺陷，检查部门应当分析缺陷性质和产生原因，提出整改要求，并跟踪内部控制缺陷整改情况。监督检查情况应采取适当形式及时向管理层报告，内部监督中

22、发现的重大缺陷，应追究相关责任单位或者责任人的责任。被检查部门应当分析缺陷产生原因，提出整改方案，并组织落实各项整改措施。第五十六条 本行内部控制缺陷分为设计缺陷和运行缺陷。设计缺陷是指在制度、系统、业务管理流程等方面存在的与操作人员执行情况无关的内部控制方面的缺陷和隐患；运行缺陷是指操作人员有章不循、违章操作的行为。第五十七条 本行各级业务部门在各自职责范围内设计并组织开展业务自查和检查，检查前应制定检查方案，检查中应编制检查记录，检查后应形成检查报告。第五十八条 审计部门应当结合内部审计监督，对内部控制有效性进行评价，对评价中发现的内部控制缺陷，按照本行内部审计工作程序进行报告。第五十九条

23、 各部门检查结果应报内控委员会秘书机构，由内控委员会秘书机构根据内控委员会主席意见在相关部门间实现资源共享，以提高本行内部监督的效率和质量。第六十条 总、分行内控委每年应组织内控有效性评价，评估全行、各机构内控状况，并组织改进。总、分行内控委每年按照规定安排和召开内控评审会议，通过对内部控制制度建设、执行情况以及经营管理过程中重大风险隐患、事件进行回顾和剖析，研究、制定加强内部控制管理相应措施，不断健全和完善本行内部控制机制，保障和促进全行各项业务稳健发展。第六十一条 总、分行各部门应当结合业务管理及业务自查和检查情况，对本部门或条线内部控制有效性进行自我评价，出具半年（每年7月20日前出具）

24、及年度（次年1月30日前出具）内部控制自我评价报告，分别报总、分行内控委，并抄送审计部门。内部控制自我评价报告应包括：本部门评价期内内部控制状况总体评价、内部控制存在的主要问题、问题原因分析、解决措施和建议等内容。总、分行内控委应对各机构内控自评报告进行综合分析，总结内控问题，督促问题整改，推动内控体系不断完善。总行审计部结合各分行、总行各部门内部控制自评情况和审计监督情况，独立地对全行内部控制有效性进行全面评价，出具全行内部控制自我评价报告报董事会，并由董事会按照规定对外披露。本行可聘请具有证券、期货业务资格的会计师事务所对内部控制有效性进行审计并出具审计报告。第六十二条 各机构应当以书面或

25、者其他适当形式，妥善保存内部控制建立与实施相关记录或者资料，确保内部控制建立与实施过程的可验证性，在内部监督过程中发现记录缺失，应及时补充和完善。第六十三条 各机构和全行员工发现内部控制问题，均可直接向相关管理部门报告，责任单位或人员应采取有效措施予以纠正。第六十四条 对于内部控制中发现的各类问题，尤其是经过管理问责的重大、系统性问题，各机构应按照预防为主原则，对各自内部控制政策、制度、程序和方法进行改进，包括提出改进措施、组织实施、效果验证和系统评价等内容，以实现持续改进。第四章 重点业务和管理活动内部控制要求第一节 授信的内部控制第六十五条 授信内部控制重点是：（一）在进行评级与限额核定基

26、础上进行授信审批。（二）实行统一授信管理，防范对单一客户、关联企业客户、集团客户以及部分产业、行业和地区授信风险的高度集中。（三）实施审贷分离、前中后台分离制度，完善授信决策与审批机制，防止违反信贷原则发放关系人贷款和人情贷款。（四）完善授信审批授权管理，防止越权或变相越权。（五）健全客户信用风险识别与监测体系，建立科学有效的风险预警制度，识别、管理、化解授信产品和业务中所隐含的各类风险。（六）加强贷款资金使用监控，积极采用受托支付手段，管控贷款资金流向，防止信贷资金违规使用。第六十六条 总行、事业部、分行设立授信审批部门，负责授信审批与管理，避免信用风险管理失控。对同一客户的贷款、贸易融资、

27、票据承兑和贴现、透支、保理、担保、贷款承诺、开立信用证、信用卡业务等各类表内外授信实行统一授信管理，确定总体授信额度。对民生集团内各个企业实行统一授信，将集团关联客户纳入统一授信额度内，严格控制客户授信限额，防止借款人通过多头开户、多头贷款、多头互保套取本行资金，防止对关联企业授信的失控。境外分行、控股子公司对同一客户/集团的各类授信业务应纳入集团客户统一授信进行管理。对于具有典型信用风险特征的业务，如债券投资、融资租赁等，纳入集团客户统一授信范畴。第六十七条 总、分行建立有效的授信决策机制，包括设立信贷审查委员会、专业审贷会、双签审议制等，负责审批各自权限内的授信。第六十八条 本行授信审批及

28、决策机构审议表决时应遵循集体审议、委员独立发表意见、多数同意通过的原则，全部意见应记录存档。总、分行行长不作为信贷审查委员会委员，但拥有对审贷项目的一票否决权。双签审议应按照预先设定程序，由本行认定的有资格审批人员在规定权限内双人审批相应授信业务，须两个有权审批人都签署同意意见，所审批业务才获得通过。第六十九条 授信审批制度设置复议制度，复议前提条件必须是授信方案有实质性改变，复议原则上只能一次，最多不超过两次。第七十条 总行建立科学明晰的弹性授权制度。对分支机构授信审批权限的确定，应根据各分行风险管理水平、资产质量、所处地区经济环境等因素，合理确定其授信审批权限；根据不同业务风险程度、不同客

29、户信用等级、不同担保条件，确定各业务的不同审批权限。第七十一条 总行建立全行统一的授信操作规范，明确规定贷前调查、贷时审查、贷后检查各个环节工作标准和操作要求；制定统一的各类授信品种管理办法，明确规定各项业务办理条件，包括准入标准、期限、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容。第七十二条 各级授信调查和审批部门应执行尽职调查制度和授信审批程序，不得违反程序或减少程序进行授信，授信人员应遵循客观、公正的原则，独立发表决策意见，不受外部因素干扰。第七十三条 各级审批机构在批准各类授信时，应逐笔载明办理业务各项条件；经办部门在实施有条件授信时应遵循“先落实条件，后实施授信”原则，

30、授信条件未落实或条件发生变更未重新决策的，不得实施授信。各级审批机构应按照信贷原则审查对关系人的授信，确保对关联方的授信条件不优于其他同类客户的授信条件。在对关联方的授信调查和审批过程中，内部相关人员应回避。第七十四条 授信业务调查、审批和信贷管理部门应根据职责和权限，审查借款人资格合法性、融资背景以及申请材料的真实性和借款合同的法律有效性、完备性，防止借款人通过编造虚假理由、使用虚假经济合同或虚假证明文件等方式，从事金融诈骗活动。按照反洗钱法和本行规定履行客户身份识别义务，防止客户从事洗钱等违法活动。严格审查和监控借款用途，防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金，改变借

31、款用途。第七十五条 总行应建立资产质量监测、预警体系，监测资产质量变化，分析不良资产形成原因，及时制定防范和化解风险的对策。总行应建立全行信用风险授信政策，包括完善贷款风险分类制度，规范贷款质量认定标准和程序，严禁掩盖不良贷款真实状况，确保贷款质量真实性。第七十六条 总、分行建立授信风险责任制，明确规定各个部门、岗位风险责任，对违法、违规或工作不尽职造成的授信风险和损失逐笔进行责任认定，并根据本行授信尽职调查制度和不良贷款问责制，对各环节相关人员的各类尽职行为进行认定，确定应承担的责任。（一）调查人员承担调查失误和评估失准责任。（二）审查和审批人员承担审查、审批失误责任，并对本人签署的意见负责

32、。（三）放款操作人员对操作违规或操作失误负责。（四）贷后管理人员承担贷后管理失误的责任。（五）清收人员承担清收不力的责任。（六）信用风险管理部门负责人对职责范围内发生的系统性授信风险或对重大贷款损失承担相应责任。（七）各机构信用风险管理分管领导和单位一把手应对辖属范围内授信系统风险或重大贷款损失，或发生重大贷款案件等承担相应责任。第七十七条 本行建立全行授信管理支持系统。改进、完善信贷管理系统，对授信全过程进行持续监控，并确保提供真实授信经营状况和资产质量状况信息，对授信风险与收益情况进行综合评价。不断完善和运用统一客户信用评级体系，作为授信客户选择和项目审批依据，为客户信用风险识别、监测以及制定差别化授信政策奠定基础；建立授信风险预警体系，对来自行业和客户的风险进行跟踪监测，及时发现风险或不良苗头，采取紧急应对措施。第二节 资金业务的内部控制第七十八条 资金业务内部控制重点是：对资金业务