银行内部控制手册(修改).doc

文件编号：文件编号：icm-jzcbicm-jzcb 受控号：受控号： 荆州市商业银行荆州市商业银行 内部控制手册 编编 制：制： 审审 核：核： 批批 准：准： 版版 本本 号：号： 生效日期：生效日期： 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 1 目目 录录 修改记录修改记录 4 4 颁布令颁布令 5 5 荆州市商业银行简介荆州市商业银行简介 6 6 1.1.范围范围 8 8 2.2.依据与引用文件依据与引用文件 9 9 3.3.术语和定义术语和定义 9 9 3.1 关于内控和体系的定义9 3.2 关于风险的定义10 3.3 关于文件的定义11 3.4 简称和缩写11 4.4.总则总则 1212 4.1 内部控制体系过程 .12 4.2 内部控制原则 .13 5.5.内部控制环境内部控制环境 1414 5.1 公司治理结构14 5.2 董事会、监事会和高级管理层的内控责任划分 15 5.3 内控政策管理 .15 5.4 内控目标管理 .17 5.5 组织结构18 5.6 企业文化 .20 5.7 人力资源政策和程序 .22 6.6.风险识别与评估风险识别与评估 2424 6.1 风险识别与评估24 6.2 法律法规和监管规定26 6.3 内部控制方案28 7.7.实施和运行实施和运行 2929 7.1 计划财务.29 7.2 公司业务33 7.3 个人金融业务38 7.4 银行卡业务.41 7.5 票据业务.43 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 2 7.6 资金业务.45 7.7 不良资产管理业务47 7.8 会计核算和运行管理49 7.9 信息技术管理 .52 7.10 安全保卫 .54 7.11 应急准备与响应管理 .55 8.8.监测评价和持续改进监测评价和持续改进 5757 8.1 内部控制绩效的监测57 8.2 违规、险情、事故处置与纠正和预防措施58 8.3 内部控制体系评价 .60 8.4 管理评审 .61 8.5 持续改进 .63 9.9.信息交流与反馈信息交流与反馈 6363 9.1 文件化63 9.2 文件控制 .65 9.3 记录控制 .67 9.4 交流与沟通 .68 1010 附录附录 6969 附录一：荆州市商业银行内部控制体系、商业银行内控指引条款对照表.71 附录二：荆州市商业银行组织架构图.73 附录三：荆州市商业银行风险管理组织架构图.86 附录四：风险类别与内控职能分配表.87 附录五：适用的法律、法规和监管要求文件清单.88 附录六：荆州市商业银行内部控制体系文件目录.91 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 3 修改记录修改记录 序号修改日期修改单号修改人生效日期 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 4 颁布令颁布令 我批准荆州市商业银行内部控制手册 （a/0 版）自 2005 年 12 月 18 日 开始生效。 内部控制手册是本行内部控制体系的纲领性文件，是我行策划、 建立、实施、保持并持续改进内部控制体系的基本准则，本手册满足了商业 银行内控指引和商业银行内部控制评价试行办法规定要求，本行全体员 工应对执行内部控制手册及保持其有效性承担义务，并为内部控制体系的 持续改进作出贡献。 为保证本行内部控制体系的顺利建立和有效运行，特任命（后台行长）同 志为本行首席风险官，除其原有职务职责和权力外，还授权其履行商业银行 内部控制评价试行办法中首席风险执行官的职责和权力，包括： a) 确保按规定要求建立、实施、保持和持续改进本行的内部控制体系； b) 负责对本行的内部控制体系的运行进行协调、监控和评价； c) 对发现任何不符合内部控制体系文件规定要求时，有权采取必要的措施， 直至该问题得到解决； d) 报告内部控制体系运行有效性的情况，提出重大改进的建议。 为确保本行内部控制体系在各部门及所属分支机构有效运行，本行相关部 门与经营场所根据实际情况的需要（有特殊规定的除外） ，设置风险代表，负责： a) 本部门或本业务领域的风险和内控工作； b) 对本部门或本业务领域的员工进行有关风险和内控要求的教育培训； c) 对本部门或本业务领域内部控制体系运行的协调、监控和评价，对发 现任何不符合内部控制体系文件规定要求的作业和活动，授权采取适 宜的措施并向上级报告，直至问题解决。 行长： 二五年十一月二十八日 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 5 荆州市商业银行简介荆州市商业银行简介 荆州市商业银行是 1997 年 4 月经中国人民银行“银复1997135 号”文批 准，在荆州市城区原 8 家城市信用社的基础上合并改制组建的湖北省第一家地 方性股份制商业银行。本行成立时的名称为荆州城市合作银行，1998 年 5 月， 经中国人民银行荆州市本行“荆银复199821 号”文批准，更名为“荆州市商 业银行股份有限公司” 。注册资本为 12,768 万元人民币，本行是实行自主经营、 自担风险、自负盈亏、自我约束的独立法人，实行一级法人体制。 按照现代股份制企业的要求，荆州市商业银行最高权利机构是股东大会， 实行董事会领导下的行长负责制经营体系和以监事会为中心的监督体系。总部 设有人力资源部、行长办公室、科技开发部、监审保卫部、公司金融部、个人 金融部、会计结算部、授信管理部、计划财务部、风险管理部、纪检监察室、 资金营运部、银行卡部、票据贴现中心 14 个部室。下设 29 家支行和 1 家资产 管理公司，现有在职员工 419 人，研究生学历 9 人，本专科学历 69 人，大中专 学历 328 人。本行的董事、监事、高级管理人员均具备银监会规定的任职资格。 随着金融科技的不断发展，对银行从业人员的素质要求也不断提高，我行坚持 把人才的培养、选拔和引进相结合，着力提高员工队伍综合素质，实现人才兴 行战略。 荆州市商业银行拥有一支充满活力、素质较高、积极向上的员工队伍， 他们努力工作，积极开拓，热忱、周到、快捷地为荆州市民提供一流的金融服 务。本行自成立以来，在市委、市政府的正确领导下，在股东单位的鼎力相助 下，在监管部门和人民银行的有效监管和大力支持下，组织和带领全行员工改 革创新，开拓进取，使本行综合竞争实力明显增强，实现了跨越式发展。截止 2005 年 6 月末，全行各项存款（时点）余额 243,842 万元；（日均）存款余额 233,991 万元。全行存款中，储蓄存款余额 101,845 万元，对公存款余额 141,997 万元；定期存款余额 117,661 万元，活期存款余额 126,181 万元。各 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 6 项贷款余额 160,557 万元；上半年累计发放贷款 37,724 万元，累计收回 31,046 万元。其中现金收回 28,807 万元。不良贷款情况，6 月末不良贷款余额 25,196 万元，不良贷款占比为 16%。其中，今年新增不良贷款 1,458 万元，上 半年清收不良贷款 65 万元，全部为现金收回。中间业务开展情况，全行共发行 九通卡 24,264 张，公交 ic 卡 17,363 张；代理保险产品有新华人寿、中国人寿 的“红双喜” 、 “国寿鸿丰” 、 “千禧红”等。经营收支情况，上半年实现营业收 入 3,257 万元，其中利息收入 2,945 万元；累计营业支出 3,548 万元，其中利 息支出 1,554 万元。上半年实现净利润 248 万元。 为了保证荆州市商业银行的持续、健康发展，本行严格按照现代企业制度 的要求规范运作，坚持依法合规、稳健经营，始终遵循“打服务牌、走百姓路、 办特色行”的办行宗旨，以“团结、求实、高效、创新”的企业精神，持续推 行优质服务，健全内控机制，拓展营销业务和建立健全约束激励机制等方面加 大创新、改革力度，使全行的各项工作逐步步上健康，快速，高效发展的运行 轨道。 2005 年本行制定了未来发展规划，为了实现规划，本行提出了相应的管理 措施。即以法人治理结构为主体，建立科学、高效的决策、激励和约束机制； 以市场为导向，开拓新型业务和服务品种，打造品牌形象，把本行根植于地方 经济发展的主流；以经营效益为中心，强化成本管理、预算管理和经营核算， 追求效益最大化；以科技为先导，不断搞好科技开发和应用，使科技成为业务 经营的重要支撑；以风险管理为主线，切实做到防范风险、规避风险、化解风 险；以内控管理为重点，建立健全科学有效的内部控制管理体系；以人为本， 全面提高员工素质，打造一支适应现代银行发展的员工队伍；以创新为动力， 认真研究金融产品、管理、经营、制度和科技创新，保持发展的源动力。将本 行打造成为资本充足、内控严密、运营安全、服务和效益良好的现代化商业银 行。 为了提高和稳定金融服务质量，防范各类金融风险，提供舒适的金融服务 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 7 环境，持续满足客户要求，努力把荆州市商业银行建设成为精品的银行，使荆 州市商业银行的经营管理水平尽快与国际接轨，决定实施 iso9001 国际标准与 商业银行内部控制评价试行办法相结合，建立、实施和保持金融服务质量管理 与内部控制体系。 本行是最具生机和活力的地方性、股份制金融企业。面对地方经济快速发 展，本行要争取抓住金融全面开放前的有利时机，以科学发展观统揽全局，把 “防风险、严内控、快发展”作为全行的根本任务，实现质量、效益、规模、 结构协调统一、可持续发展，营造良好的经营业绩和优质的金融服务回报社会 和广大投资者，为振兴湖北经济做出积极贡献。 地址：湖北省荆州市江津西路 68 号 邮政编码：434000 联系电话：07168420190 传 真：07168420033 1.1.范围范围 荆州市商业银行内控体系将覆盖荆州市商业银行经营管理中与内控有关的 机构、活动和产品，具体包括： 1） 机构覆盖范围： 荆州市商业银行本部所有的业务部门、管理部门、支行 说明：党团群工部门活动、职能中与经营管理活动相关职能纳入体系，其 他活动与职能不纳入体系范围。 2） 活动覆盖活动 各项业务活动，如信贷业务，柜面业务等 各项管理活动，如职能分配，资源提供，检查考核等 各项支持性活动，如安全保卫，产品设计和开发，采购和业务外包等。 说明：业务外包活动指计算机系统开发外包、守库押运外包等所有外包给 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 8 供方完成，并构成荆州市商业银行经营管理活动一部分的活动。 3） 产品覆盖范围 荆州市商业银行提供给客户的所有金融产品，包括资产业务、负债业务、 中间业务、表外业务等，具体见产品目录。 2.2.依据与引用文件依据与引用文件 以下文件和标准在引用时均为有效的版本，它们为文件化内部控制体系 的建立和维护提供依据。当引用文件和标准发生修订、撤消或有新依据文件时， 本行将评审内部控制体系的符合性并对其进行更改或换版。 1）法律、法规和监管要求（其清单见本手册附录五） 2）标准： 人民银行内部控制指引 商业银行内部控制评价试行办法 质量管理体系 要求 3）本行文件（具体文件在内部控制体系各文件中列出） 4）其他。 3.3.术语和定义术语和定义 商业银行内部控制评价试行办法 、 质量管理体系 要求给出的定义 和术语均适用于本手册。 3.13.1 关于内控和体系的定义关于内控和体系的定义 1) 内部控制（internal control）：为实现经营目标，通过制定和实施一 系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和 纠正的动态过程和机制； 2) 体系(system)：相互关联或相互作用的一组要素。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 9 3) 过程（process）：一组将输入转化为输出的相互关联或相互作用的活 动。 4) 不符合 （nonconformity）：任何能直接或间接导致损失的对工作标准、 程序、法规、体系绩效等的偏离。 5) 评价（audit）：确定活动及其结果是否符合策划的安排，以及策划的 安排是否实施并适合于达到内部控制政策和目标的系统检查。 6) pdca 循环：指 p（计划）d（实施）c（检查）a（处理，改进）的工作 方法。 3.23.2 关于风险的定义关于风险的定义 1) 风险（risk）：对目标有所影响的某个事情发生的可能性与后果的结合。 根据巴塞尔银行监管委员会发布的有关文献，以下 2）至 9）是各类风 险定义。 2) 信用风险：是指由于借款人或交易对手不能履约或履约意愿变化所带来 的风险。 3) 国家和转移风险：是指由于非正常的、对所有贷款或交易头寸都产生风 险的原因，一国的主权借款人可能无力或不愿意、而其他借款人或交易 对手可能无力履行其对外义务所产生的风险。国家和转移风险的主要表 现形式有主权风险和转移风险。 4) 市场风险：是指由于市场价格的不利变动使银行的表内和表外头寸遭受 损失的风险。按风险要素划分，市场风险包括外汇风险、股权价格风险、 商品价格风险。 5) 利率风险：是指银行的财务状况在利率波动时出现损失的可能。利率风 险不仅影响银行的盈利水平，也影响银行资产、负债和表外金融工具的 经济价值。利率风险主要形式有重新定价风险、收入曲线风险、基准风 险、期权性风险。 6) 流动性风险：是指银行无力为负债的减少或资产的增加提供融资，即当 银行流动性不足时，它无法以合理的成本迅速增加负债或变现资产获得 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 10 足够的资金，从而带来损失的可能。 7) 操作风险：是指由于不完善的或失效的内部程序、人员、系统或外部事 件导致直接或间接损失的风险。 8) 法律风险：是指因现行法律不完善、不明确以及法律修改，不完善、不 正确的法律意见、文件，交易行为违反法律和监管规定等原因导致银行 损失的可能。 9) 声誉风险：是指由于银行操作失误、违反法规、经营不善及其他问题而 带来的银行市场形象上的不利影响。 10) 风险识别（risk identification）：识别风险的并确定其性质的过程。 11)风险评估 （risk appraisal）：估计风险程度并确定风险是否可容许 的全过程。 3.33.3 关于文件的定义关于文件的定义 1) 文件（document）：信息及其载体。 2) 内部控制手册（internal control manual）：向本行内部和外部提供 关于内部控制体系的一致信息的文件，是本行内部控制体系的纲领性文 件。 3) 程序文件（procedure）：描述各项业务和管理活动的过程和顺序的文 件， 是针对内部控制手册所提出的管理与控制要求，规定如何达到这 些要求的具体实施办法。 4) 操作规程（work regulations）：表述内控体系程序或手册中具体操作 要求的文件，指导员工执行具体的工作任务。 5) 规范、规定（specification）：阐明本行管理要求的文件。 6) 场所文件（local document）：各部门（包括所属机构）为实施本行内 控体系要求而制定的适用于本部门场所的职责和活动的相关规定。 7) 记录（record）：为完成的活动或达到的结果提供客观证据的文件。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 11 3.43.4 简称和简称和缩写缩写 1)本行：指荆州市商业银行。 2)总行或本行本部：指纳入荆州市商业银行总部及各部室。 3)支行或营业部：指荆州市商业银行管辖的支行或直属营业部。 本手册未予以给出的术语和定义由各程序文件和操作规程在引用时界定。 4.4.总则总则 4.14.1 内部控制体系过程内部控制体系过程 本行按照商业银行内部控制指引和商业银行内部控制评价试行办法 并结合本行实际，建立和实施内部控制体系，确保与风险管理相关的内部控制 环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等 要素处于受控状态，形成文件并加以实施、保持和持续改进。 为建立和实施内部控制体系，本行采用过程方法、管理的系统方法和基于 事实决策的方法，把本行经营活动、管理活动、支持活动作为过程和过程网络 来管理，并应用 p（计划）d（实施）c（检查）a（处理）循环， （纳入缩写） 持续改进这些过程的有效性，从而不断提高本行风险控制水平和监管部门信任 程度，为实现本行发展战略和经营目标奠定基础。 本行内部控制体系的有关过程包括： a) 明确管理的职责和权限，制定内部控制政策和目标，建立良好的内部 控制环境； b) 识别、分析和评估营运流程中的风险，制定相应的控制方案； c) 实施对营运流程中的风险的控制； d) 确定各类业务和管理活动的过程及其结果的监视、测量方法和准则， 并按规定进行监视、测量、分析其有效性和绩效； e) 为消除已发生或潜在的损失、险情和不符合的源因，制定并实施纠正 或预防措施，防止其再发生或发生； f) 运用 pdca 循环持续改进上述过程。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 12 用过程方法建立的 “内部控制体系”其模式图如下： 内部控制体系过程模式图内部控制体系过程模式图 根据上述内部控制体系模式，本行将内部控制体系的架构分为五个模块， 各模块之间关系如上图。各模块的具体内容见本手册第五章至第九章相应章节 内容。 4.24.2 内部控制原则内部控制原则 本行内部控制体系充分贯彻全面、审慎、有效、独立、成本效益的原则： a) 全面性原则 本行的内部控制渗透到本行内控范围内的各项业务过程和各个操作环节， 覆盖本行内控范围所有的部门和岗位，由该范围内全体员工参与，并为其活动 内部控制环境内部控制环境 信息交流与反馈信息交流与反馈 风险识别与评估风险识别与评估 内部控制措施内部控制措施 监测评价与纠正监测评价与纠正 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 13 的有效性提供证据。 b) 审慎性原则 本行的内部控制以防范风险、审慎经营为出发点，在衡量影响各项经营管 理活动，特别是设立新的机构或开办新的业务的诸多因素时，应当体现“内控 优先”的要求。 c) 有效性原则 本行的内部控制要求具有权威性，所有涉及人员均应遵循，并在受控状态 下活动，任何人不得拥有不受内部控制约束的权力，内部控制实际和潜在的问 题能够得到及时识别，并消除其发生的根本原因。 d) 独立性原则 本行内部控制的监督、评价、评价部门或人员应当独立于内部控制的建设、 执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。 e）成本效益原则 本行内部控制与经营规模、业务范围和风险特点相适应，注重成本效益合 理配比，以合理的成本实现内部控制的目标。 5.5.内部控制环境内部控制环境 5.15.1 公司治理结构公司治理结构 本行已建立以股东大会、董事会、监事会、高级管理层等为主体的公司治 理组织架构，并且能够坚持各机构规范运作，分权制衡。 本行已建立了完善的股东大会、董事会、监事会等议事和决策机构，并在 董事会下设立了关联交易与风险管理委员会、薪酬提名委员会和审计委员会等 3 个专门委员会和董事会办公室；在监事会下设立了审计委员会、提名委员会 和监事会办公室。同时，本行制定了相应的工作条例，以明确各议事和决策机 构、监督机构的职责、义务、议事规则和决策程序。 1、股东大会工作条例(i550002) 2、董事会工作条例(i550003) 3、董事会关联交易风险管理委员会工作条例(i550005) 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 14 4、董事会薪酬提名委员会工作条例(i550006) 5、董事会审计委员会工作条例(i550007) 6、监事会工作条例(i550012) 7、监事会审计委员会工作条例(i550014) 8、监事会提名委员会工作条例(i550013) 5.2 董事会、监事会和高级管理层的内控责任划分 董事会在内控方面的职责：一是保证商业银行建立并实施充分而有效的内 部控制体系；二是负责审批整体经营战略和重大政策并定期检查、评价执行情 况；三是负责确保商业银行在法律和政策的框架评价审慎经营，明确设定可接 受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险； 四是负责审批组织机构；五是负责保证高级管理层对内部控制体系的充分性与 有效性进行监测和评估；六是和高级管理层一起培育良好的内部控制文化，提 高员工的风险意识和职业道德素质；七是和高级管理层一起建立通畅的内外部 信息沟通渠道；八是和高级管理层一起确保及时获取与内部控制有关的人力、 物力、财力、信息以及技术等资源。 监事会在内控方面的职责：一是负责监督董事会、高级管理层完善内部控 制体系；二是负责监督董事会及董事、高级管理层及高级管理人员履行内部控 制职责；三是负责要求董事、董事长及高级管理人员纠正其损害商业银行利益 的行为并监督执行。 高级管理层在内控方面的职责：一是负责制定内部控制政策，对内部控制 体系的充分性与有效性进行监测和评估；二是负责执行董事会决策；三是负责 建立识别、计量、监测并控制风险的程序和措施；四是负责建立和完善内部组 织机构，保证内部控制的各项职责得到有效履行；五是和董事会一起培育良好 的内部控制文化，提高员工的风险意识和职业道德素质；六是和董事会一起建 立通畅的内外部信息沟通渠道；七是和董事会一起确保及时获取与内部控制有 关的人力、物力、财力、信息以及技术等资源。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 15 5.35.3 内控政策管理内控政策管理 5.3.1 目的 内控政策是对各类风险进行控制的原则和要求，是设置在各项管理和操作 规章制度之上的风险防范屏障。本手册系统阐述了本行各项业务和管理活动的 内控政策。 5.3.2 职责 1) 关联交易与风险控制委员会负责审定各项内部控制政策，负责建立健全 荆州市商业银行风险管理与内部控制体系，审定内控管理组织实施方案。 2)风险管理部负责对内部控制政策实施监测；在行长的领导下负责制定内 控项目建设工作整体方案及内控体系推进计划；组织和协调推进内控工作，实 时监督、检查和反馈；定期/不定期向首席风险执行官或关联交易与风险控制委 员会报告；负责荆州市商业银行内控政策的汇总编制和调整完善工作； 3) 业务部门贯彻落实荆州市商业银行内控政策，保证荆州市商业银行内控 政策有效运行所需的资源支持和在本部门系统的有效执行；参与荆州市商业银 行年度内控目标、计划的制定；内控政策变更工作；对各支行内控开展情况进 行指导、协调、检查、反馈和考核；执行并反馈内控政策执行过程中遇到的问 题； 4) 审计部门对内控政策实施监督和评价。 5.3.3 政策 1) 内部控制政策的制定应与本行总的指导方针相适应； 2) 内部控制政策应充分体现稳健经营的发展思路； 3) 内部控制政策体现对不同行业、产品、业务和管理活动的风险控制要求 和侧重控制的风险； 4) 内部控制政策作为本行制定各项内部控制目标的依据和框架。 5.3.4 程序 1) 制定：各部门根据战略规划和其他内控要求，制定本系统的内控政策。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 16 涉及全行性的或重大风险政策由关联交易与风险控制委员会负责审定。 2) 实施：各业务部门和分支机构贯彻执行内控政策。 3) 检查、评估：检查监督部门对内控政策实施情况进行检查和评估。每年 管理评审时或内控政策发生重大变更时，应进行系统评估，并根据评估结果及 时调整。 5.45.4 内控目标管理内控目标管理 5.4.1 目的 内控目标是本行依据内控政策所策划的、希望达到的内部控制的结果，内 部控制目标由内控指标体系具体反映。内控目标管理有助于明确内控工作努力 的目标，衡量内控体系的绩效。 5.4.2 职责 1) 关联交易与风险控制委员会负责审定内控指标体系； 2) 风险管理部负责组织各职能部门拟定内控指标体系，并进行监测； 3) 各职能部门负责本部门系统内控指标体系的拟定，保障本部门系统内控 目标的实现； 4) 计划财务部负责内控定量指标的考核，将内控指标执行考核情况转化纳 入绩效考核体系。 5.4.3 政策 1) 内控目标应确保国家法律规定和本行内部规章制度的贯彻执行；确保发 展战略和经营目标的全面实施和充分实现；确保风险管理体系的有效性；确保 业务记录、财务信息和其他管理信息的及时、真实和完整； 2) 内控目标应符合内部控制政策，并体现对持续改进的承诺； 3) 内控目标应分解至横向职能部门或纵向经办行； 4) 内控目标应可测量，如果可行，尽可能量化。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 17 5.4.4 程序 本行建立了综合经营计划管理程序 （p5401） ，规定了内控指标和其他业 绩评价指标的设置、策划、分解、监控和考核。 1) 指标设置 a) 遵循指标：遵循目标是衡量对法律法规、监管规定和荆州市商业银行规 章制度的遵守程度，包括： 一般违规次数 严重违规次数 b) 安全指标：安全目标是反映风险管理和内部控制的有效性，包括： 案件损失金额 案件数 不良资产率 不良资产控制额 c) 体系绩效指标：反映体系运行状况，包括： 评价指标：包括评价轻微不符合数和评价严重不符合数； 内控评价指标：包括分别达到内控一级、二级、三级、四级、五级水 平的基层机构数量。 2) 指标数值的确定：每年根据综合经营计划确定具体的内控指标值和考核 办法。 3) 指标的分解、监测、调整和考评见综合经营计划管理程序 （p5401） 。 5.55.5 组织结构组织结构 5.5.1 目的 通过建立分工合理、职责明确、报告关系清晰的内控管理组织结构，明确 决策机构、综合管理部门、经营部门、支持保障部门、监督部门的责任和义务， 确保本行内部的职责、权限及其相互关系得到规定和沟通，确保本行内控体系 得到有效运行。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 18 5.5.2 职责 1)行长办公会审议本行委员会、职能部门和分支机构的设置、变更和撤 销，决定董事会授权范围内的转授权方案； 2)行长办公室部拟定机构设置、变更和撤销的方案，以及部门职责的确 定与调整方案； 3)董事会会办公室负责董事会授权范围内的法人授权管理。 5.5.3 政策 1)明确划分相关部门之间、岗位之间、上下级机构之间的职责，建立职 责分离、横向与纵向相互监督的制约关系。涉及资产、负债、财务和 人员等重要事项变动，均不得由一个人独自决定。 2)根据分支机构和业务部门的经营管理水平、风险管理能力、经济环境 和业务发展需要，建立相应的转授权体系。 3)风险内控的检查、评价部门应当独立于风险内控的建立和执行部门， 并有直接向最高管理层报告的渠道。 5.5.4 风险内控管理机构和岗位设置 董事会关联交易与风险控制委员会是本行风险与内控管理的审议决策机构。 在风险与内控管理体系上，本行实行行长领导下的委员会决策和部门分工 负责制。 风险与内控管理组织架构图和各部门具体职责见荆州市商业银行风险与 内控管理组织架构图和各部门职责 （附件三） ；各部门和各分支机构的业务和 管理权限见授权管理控制程序 （p5501） 。 1) 关联交易与风险控制委员会: 荆州市商业银行关联交易与风险控制委员会（以下简称“风控委” ）是本行 风险管理与内部控制的协调、议事和决策机构。在本行授权范围内，负责对全 行风险管理与内部控制重要事项进行协调、会商，对相关政策、制度的制定进 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 19 行研究，对重要风险事项的处理进行决策或提出建议。其主要职责如下： a) 负责研究全行风险与内控管理体系方案，并维护体系的有效运转； b) 负责研究全行风险管理政策、风险评价标准和相关管理制度； c) 负责研究全行业务授权方案并按程序授权行长组织实施； d) 负责监督各部门相关业务内控管理制度的建立、健全、实施； e) 负责组织实施各类业务、各类风险的预警、监测、检查和分析； f) 负责研究、决策全行重大风险事项的处理意见； g) 负责组织领导责任认定相关工作； h) 负责研究突发性风险事项和危机管理； i) 负责对全行风险管理人员提出管理意见； 2)风险与内控管理的组织架构 a)决策机构：关联交易与风险控制委员会负责全行风险与内控有关的 重大事项的决定。 b)管理机构：风险管理部是全行风险与内控管理的归口管理部门。 c)执行机构：各经营部门、综合管理部门、支持保障部门以及各分支 机构具体执行风险与内控管理的政策、制度，报告内控体系实施运 行情况。 d)监督机构：监审保卫部负责对体系的有效性和符合性实施监督评价； 纪检监察部门负责监察、处理。 3)风险管理责任制的设置和职责 本行全面实施风险责任制度，设置部门风险代表。风险代表的主要职责如 下： 识别本部门和本系统的风险，制定并完善相关的风险内控制度； 对本部门和本系统的风险和内控管理进行指导、检查，监督各岗 位风险内控职责的落实情况； 监测分析本部门和本系统面临的主要风险，收集、整理各类风险 监测的指标数据，对本部门和本系统风险内控管理工作定期进行评 价； 撰写本部门和本系统的内控评价报告和风险监测报告，向本部门 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 20 负责人和风控办报告风险监测状况； 对本部门高风险业务操作实施监控。 5.65.6 企业文化企业文化 5.6.1 目的 本行最高管理层有义务促进内部职业道德水平的提高，在内部创造良好的 控制文化，向员工强调和宣传内部控制的重要性，形成 “银行经营的是风险” 的意识，创造良好的内部环境，确保所有员工能清楚地意识到在内部控制中的 作用，全面参与到内部控制活动中。 5.6.2 职责 1) 董事会办公室负责企业文化建设总体策划，组织开展各类企业文化建设 活动； 2) 行长办公室负责推进荆州市商业银行 cis 工程，统一管理全行的外在 形象； 3) 人力资源部负责对各级管理人员和员工进行企业文化专题培训和教育； 4) 工会组织开展适合各个层次员工广泛参与的各种类型的群众性活动； 5.6.3 政策 1) 体现荆州市商业银行统一的基本价值观、理念和精神； 2) 体现本行自身经营管理的风格和文化特点； 3) 做到理念与制度配套，理念与行为一致，用理念指导和影响制度，用制 度支撑和体现理念。 5.6.4 活动 本行制定了企业文化管理规定 （i510001） ，规定了企业文化的内涵、基 本原则、机制和要求。 1) 规划。成立各级企业文化建设领导小组，建立健全相应的工作机制，形 成党委统一领导、有关部门通力合作、齐抓共管的工作局面。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 21 2）建设。重视加强文化工作队伍建设，通过加强学习、强化培训和实践锻 炼，建立一支以各级管理人员、企业文化工作者和党团员为主的家园文化建设 骨干队伍，适应推进家园文化建设工作的客观需要。 3)企业文化传播。运用和通过一定的形式和渠道将企业文化内涵的各项要 素有效地传播给每一位员工，并逐步渗透到经营管理的各个环节，最终成为全 体员工的自觉行为规范。 4)企业文化评估。运用和借助一定的方法和工具对本行或支行企业文化的 现实状况进行诊断、分析、判断、评价，并最终作出报告和提出改进建议。 5）典型案例教育。通过提炼典型事例，教育员工树立正确的价值观和风险 文化意识。 5.75.7 人力资源政策和程序人力资源政策和程序 5.7.1 目的 运用现代商业银行人力资源开发与管理理念，逐步形成适应本行发展需要 的，以“职务能上能下、收入能增能减、员工能进能出”为主要特征的人力资 源管理模式，为本行实现长远发展战略提供人力资源支持。 5.7.2 职责 本行人力资源部负责拟定全行人力资源规划、政策制订和日常管理。 5.7.3 政策 1)以建立员工内部等级体系为基础，以完善聘任制为核心，建立科学合 理的选拔任用机制，完善考核评价体系，强化岗位的激励约束作用。 逐步设置新的专业技术岗位职务序列，为专业技术人员开辟晋升通道 和发展空间。 2)按照市场化配置原则和本行业务发展需要，实行人员总量控制和结构 调整，制定人员引进计划。在人员招聘录用中，坚持公开、公正、公 平的原则，公开接收报名，本行统一组织考试（面试） ，本行专家小组 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 22 集体打分，本行最终录用审批。人员调配实行亲属回避制度。 3)以合同为基础，实行用工规范化管理，明确岗位权利和义务。严格岗 位资格认证制度，实施持证上岗。对重要岗位人员实行定期交流。 4)引入人力资本管理理念，强化员工的岗位发展性培训，增强培训的前 瞻性和实用性，实施岗位资格、履岗能力、职务提升、职业生涯发展 培训，充分体现培训的激励和约束作用，提高人力资本的总体质量。 5)实施领导人员聘任制度，坚持公开、公正、公平竞聘程序。实施民主 推荐、民意测试、民主评议和任前公示。合理设置聘期目标责任，明 确聘任主体双方的权利与义务。 6)实行聘任前的审查和离岗、离职、离行审计，并依据界定的管理职责 和经营职责决定审批意见。 7)完善和坚持经营管理人员监督管理制度，包括：本行转授权、基层行 领导经营管理班子成员分工、民主生活会、任职稽审、个人重大事项 申报、外出报告、党风廉政建设责任制、岗位交流、强制休假。 8)依据不同岗位职责，设置科学合理的定性、定量考核指标，客观准确 地衡量被考核者的业绩和能力。 9)将福利分配纳入薪酬体系之中，使各级机构的薪酬总量水平与其经营 绩效密切挂钩，使员工的薪酬水平与其岗位责任和贡献密切挂钩，建 立有特色的、激励有力约束有效的薪酬制度。 5.7.4 程序 1)岗位分析：岗位分析是人力资源管理的基础，对人力资源的需求和分 派职责应基于岗位分析，同时岗位分析结果作为评价人员适任条件的 标准。本行系统地分析了本行所有岗位的职责、权限、人员适任条件， 针对不同的岗位，本行明确了不相容岗位、特殊岗位控制要求，对关 键和特殊岗位实行定期或不定期的人员轮换制度也作了规定。 2)员工培训：培训是提高员工能力和意识的有效手段，本行制订了培 训管理规定 （i620004） ，规定了培训需求、计划、实施、评价的控制 程序，明确了培训管理的职责和要求。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 23 3)日常人事管理：本行制订了薪酬管理规定 （i620007） 、 员工进入 管理规定 （i620003） 、 员工年度考核管理规定 （i620005） 、 员工 奖励管理规定 （i620006） 、 人员调配管理规定 （i620018） 、 劳动 合同管理规定 （i620009） 、 外聘人员管理规定 （i620013） 、 人才 储备管理规定 （i620014） 、 人事档案管理规定 （i620012） 、 员工 工作时间及请休假管理规定 （i620016） 、 五险一金管理规定 （i620017） 、 员工退出管理规定 （i620010）等日常人事管理程序， 对员工引进、退出、考核、薪酬、专业技术职务管理作了详细的规定。 4)高管人员管理：本行制订了高级管理人员竞聘、考核及辞职管理规 定 （i620008） 、 重要岗位管理规定 （i620015） ， 高中级管理人员 谈话制度 （i850002） 、 廉政建设管理规定 （i850003）对高级经营 管理人员选拔聘任、离任离职、廉洁自律作出了具体的规定。 5)党员干部管理：本行充分考虑到党风党纪是对党员干部的一种有效的 约束方式和控制手段，因此把对党员干部的管理要求转化为体系文件， 见廉政建设管理规定 （i850003） 。 6)职业操守管理：规定本行员工的行为规范和职业操守，具体见员工 职业行为规范 （i620011） 。 本行依据要求和实际情况识别岗位需求，对员工的聘任、上岗、培训、流 动、调整及考核做出了明确规定，保证各岗位从事影响质量与内控工作的员 工有能力胜任。我行制定并实施了人力资源控制程序 （p6201） 。 本行通过培训和其他措施提高员工的工作能力，使员工认识到所从事工作 对内控管理的重要性，对员工能力进行科学评价，使其努力为实现内控目标 作出贡献。针对不同的岗位，本行同时明确了不相容岗位、特殊岗位，风险 控制重点岗位及其活动控制要求。本行确定了对员工培训的需求、计划、实 施、评价和相关纪录的程序，明确了培训管理的职责和要求。我行制定并实 施人员调配管理规定 （i620018）和培训管理规定 （i620004） 。 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 24 6.6.风险识别与评估风险识别与评估 6.16.1 风险识别与评估风险识别与评估 6.1.1 目的 风险识别与评估是内部控制体系的基础，是确保内控体系有效运行的动力。 风险识别和评估的目的是找出可能影响经营、财务信息、符合性目标的内部或 外部风险，并进行控制或施加影响，从而控制可能面临的信用风险、操作风险、 流动性风险、法律风险等重要风险。 6.1.2 职责 1) 关联交易与风险控制委员会领导风险识别和评估工作，并对结果进行审 批； 2) 风险管理部负责组织、协调风险识别和评估工作； 3) 各部门负责在权限范围内提出风险识别与评估的需求、计划，对其所辖 范围内的各项业务、产品、流程和其他管理事项进行逐项识别、归类，并将这 些风险识别的结果关联交易与风险控制委员会审定。 4) 风险评估工作小组负责风险识别与评估方法和工具的确定。 6.1.3 政策 1) 当发生以下情况之一时，应进行风险识别与评估：内部控制体系建立时； 新产品和新业务开发时；新设备和新系统应用时；内控政策和目标修改时；重 大事故、险情、案件、隐患发生时；业务流程发生较大变化时；组织机构变革 时；重要员工流动时；法律法规、监管要求发生变化时；经济周期性波动时； 行业发生变革时；同业发生新的案例时；其他认为需要时。 2) 识别银行风险时应采用科学的方法，避免简单化和主观臆断。 6.1.4 程序 本行建立了风险识别与评估程序 （p7102） ，规定了风险识别和评估的过 程，为本行开展风险识别与评估活动提供依据。风险识别和评估的过程包括： 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 25 1) 策划：风险管理部负责风险识别和评估的组织、策划，并确定各部门应 报告的风险类别。 2) 识别：采用能够充分识别并确定经营管理所有的常规和非常规的运作过 程和活动的风险识别方法，从而识别出这些过程和活动中的风险。 3) 评估：采用的风险评估方法依据风险的后果、发生的概率、持续的时间、 控制的能力，以及有关法律法规及其它监管要求、降低或减小风险的难度、相 关方的要求、本行公众形象的影响等，确定风险的级别和控制的优先秩序。对 于可接受的风险，进行监测并定期评审，以确保其持续可接受；对于不可接受 的风险，确定风险控制目标并制定控制方案。 4) 再评审：当发生重大损失、险情或不符合时，对风险识别和评估的方法、 过程以及结果进行必要的评审和改进。 5) 结果：将评估结果形成适宜的文件，作为建立和保持内部控制体系中各 项决策的基础，并为持续改进本行风险控制绩效提供衡量基准。 6) 其他：信用风险是当前本行面临的主要风险，针对每笔信贷业务均应根 据业务管理规定进行风险识别与评估。这些风评要求包括对客户评价、担保评 价和项目评估等方面，此外，本行还将逐步运用信用风险预警系统评估客户违 约概率和违约损失率。 6.26.2 法律法规和法律法规和监管规定监管规定 6.2.1 目的 法律法规和监管要求是内控体系建立和运行的基本依据。识别法律法规和 监管规定的目的是确保各级人员在经营管理活动中能够及时了解并掌握有关的 法律法规和监管要求，确保我行的经营和管理活动符合法律法规和监管要求的 规定，有效识别和防范法律风险。 6.2.2 职责 1) 风险管理部负责法律法规等要求的识别、获取、跟踪以及传递和更新； 2）风险管理部根据国家法律、法规、地方法规、规章及荆州市商业银行业 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 26 务发展状况，设计、调整荆州市商业银行规章制度体系。 3) 相关部门及时获取有关法律法规、监管要求和规章制度并传达到相关员 工。 4）风险管理部负责审查相关政策和规章制度，并组织监测全行制度执行情 况。 5） 风险管理部负责对各部门起草的规章制度和业务手册的合法合规性审 查。 6） 会计结算部负责组织管理全行反洗钱工作。 7）风险管理部负责拟定重要业务合同格式文本，审查对外签出的标准和非 标准格式的合同、协议及其他法律性文件。 8）风险管理部负责为全行业务经营活动提供法律咨询意见，向行领导提供 法律信息和建议；参加重大业务活动的谈判，列席贷款审批会议。 9）负责收集、整理、分析与本部门职责相关信息，支持管理信息系统，并 向行内各部门提供相关共享信息。 6.2.3 政策 1) 建立并保持程序，以识别和获取适用法律法规、监管的要求和其他要求。 2) 及时更新上述信息，并将有关信息传达到相关员工和其他有关的相关方。 3) 风险管理部的合法性意见是提醒业务部门注意有关法律风险，并视具体 情况提出防范或降低法律风险的对策，是决策部门的参考意见，该意见 不是最终的决策意见，而是业务部门做出经营决策的重要参考。 4) 会计结算部、风险管理部与司法机关、行政执法机关全面合作，应当依 法协助、配合司法机关和行政执法机关打击洗钱活动，依照法律、行政 法规等有关规定协助司法机关、海关、税务等部门查询、冻结、扣划客 户存款。 6.2.4 程序 文件编号：icm-jzcb 荆州市商业银行内部控制手册 版本号：a/0 27 1) 法规识别与控制：本行建立并实施适用法律法规及其他要求控制程序 （p7101） ，对如何识别和控制本行适用的法律法规和监管规定做出了规定，包 括： a) 识别：风险管理部负责识别本行经营管理活动应该遵循的法律法规 和监管要求的范围和权威机关。 b) 获取、跟踪和传递：建立