商业银行内部控制指引

商业银行内部控制指南(修订意见草案)第一章总则第一是建立和完善商业银行内部控制，预防风险，确保银行系统的安全稳定运行，根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法等相关法律、行政法规和规定，制定本准则。第二条经中华人民共和国境内银行监督管理机关批准的商业银行适用本准则。第三条内部控制是商业银行董事会、监事会、高级管理人员和全体员工参与开发和实施系统的制度、流程和方法，从而实现控制目标的动态过程和机制。第4条商业银行的内部控制目标：(a)确保相关国家法律、行政法规的执行；(b)确保商业银行业务记录、财务信息和其他管理信息的及时性、真实性和完整性。(c)确保商业银行风险管理的有效性；(4)确保商业银行发展战略和业务目标的实现。第五条商业银行内部控制应遵循以下基本原则：(a)整体适用范围原则。商业银行的内部控制必须复盖整个决策、执行和监督范围内的所有部门、职务和人员的业务流程和各个运营方面。(b)制衡原则。商业银行的内部控制必须形成对治理结构、机构设置和权限分配、业务流程等的相互制约和相互监督机制。(c)健全性原则。商业银行的内部控制必须坚持基于风险、谨慎经营的概念，建立机构或开办业务必须遵守内部控制优先顺序。(d)一致原则。商业银行的内部控制应适合管理模式、业务规模、产品复杂性、风险状况等，并根据情况变化及时调整。第六条商业银行要建立和完善内部控制体系，明确内部控制责任，完善内部控制措施，加强内部控制保护，继续进行内部控制评价和监督。第二章内部控制责任第七条商业银行要建立由董事会、监事会、高级管理人员、内部控制管理职能部门、内部审计部门、业务部门组成的分工合理、责任明确、报告关系明确的内部控制治理和组织结构。第八条董事会保证商业银行建立和实施完整有效的内部控制体系，使商业银行在法律和政策框架内认真经营。负责明确设置可接受的风险级别，以便高级管理人员采取必要的风险管理措施。高级管理人员负责监控和评估内部控制系统的适当性和效果。第九条监事会监督董事会，高级管理人员完善内部控制制度。监督董事会、高级管理人员及其成员内部控制责任的履行。第十条高级管理人员负责执行董事会的决策。负责根据董事会确定的可接受风险级别，制定系统化的制度、流程和方法，以采取适当的风险控制措施。负责内部组织的建立和完善，以便有效履行内部控制责任。组织负责监控和评估内部控制系统的适当性和有效性。第十一条商业银行应当指定专门部门作为内部控制管理职能部门，主导内部控制系统的总体规划、组织实施和检查评价。第十二条商业银行内部审计部门进行内部控制。对商业银行内部控制的健全性、合理性和有效性进行审计，及时报告审计发现问题，监督整顿的监督职能。第十三条商业银行的业务部门负责制定与业务相关的业务制度和运营流程。负责相关系统条款的严格执行。监督检查组织责任；负责按照规定的时限和途径报告内部控制的缺陷，组织纠正实施。商业银行业务部门是内部审计部门和内部控制管理职能部门以外的其他部门。第三章内部控制措施第十四条商业银行对各业务活动和管理活动应建立全面系统规范的业务制度和管理制度并定期进行评价。第十五条商业银行应当合理确定各项业务活动及管理活动的风险控制点，采取适当的控制措施，进行标准的综合业务流程和管理流程，保证规范运行。商业银行要采取科学的风险管理技术和方法，充分把握和评价经营面临的风险，持续监控各种主要风险。第十六条商业银行应当建立完善的信息系统控制通过内部控制过程与业务操作系统和管理信息系统的有效结合加强对业务和管理活动的系统自动控制第十七条商业银行要根据经营要求合理确定部门、职位的责任和权限，形成规范的部门、职位责任说明文，明确相应的报告渠道。第十八条商业银行要全面系统地分析、梳理业务流程中涉及的不符合条件的职位，并采取相应的分离措施，形成相互制约的职位安排。第十九条商业银行应当明确重要职务，制定重要职务的内部控制要求，对重要职务人员实行轮班或强制休假制度，原则上不能在职务人员之间轮换工作。第二十条商业银行要制定规范员工行为的相关制度，明确对员工行为的禁止规定，加强对员工行为的监督和调查，建立对员工异常行为的举报、调查处理体系。第二十一条商业银行应当根据各分支机构和各部门的经营能力、管理水平、风险状况和事业发展要求，建立适当的授权体系，明确各级机关、部门、职务、人员处理业务和事项的权限，进行动态调整。第二十二条商业银行要严格执行会计准则制度，及时准确反映各项事业交易，确保财务会计信息真实、可靠、完整。第二十三条商业银行应当建立有效的验证、监视制度，定期验证各种帐簿和报告，及时盘点现金、有价证券等有形资产和重要证书。第二十四条商业银行要建立新的机构，开始新的事业，提供新的产品和服务，评估潜在风险，制定相应的管理制度和业务流程。第二十五条商业银行必须建立至少一年一次进行全面外包风险评估的外包管理系统，明确外包管理组织结构和管理责任。不能外包与战略管理、风险管理和其他核心竞争力相关的功能。第二十六条商业银行要完善客户投诉处理机制，开发投诉处理工作流，定期总结投诉反映事项，找出问题，有效改善服务和管理。第四章内部控制保证第二十七条商业银行应当建立覆盖各级机关、所有业务和所有流程的管理信息系统和业务操作系统，及时准确地记录经营信息，使信息完整、持续、准确、追溯。第二十八条商业银行要加强对信息的安全控制和保密管理，对各类信息实行分级安全管理，对信息系统访问实行权限管理，保证信息安全。第二十九条商业银行应当建立有效的信息通信机制，使董事会、监事会、高级管理人员及时了解本银行的运营和风险状况，确保相关部门和员工及时了解与职务相关的制度和信息。第三十条商业银行要建立符合战略目标的业务连续性管理系统，明确组织结构和管理职能，制定业务连续性计划，组织进行实践和定期业务连续性管理评估，有效应对业务中断事件，保证持续业务运营。第三十一条商业银行应当制定有利于企业可持续发展的人力资源政策，将职业道德培养和专业能力作为员工选拔和雇用的重要标准，并确保从业人员具备必要的专业资格和实践经验，加强员工培训。第三十二条商业银行要科学建立绩效评价体系，合理设定内部控制评价标准，评价受评者特定时期内部控制管理，根据评价结果改善内部控制管理。商业银行必须对内部控制职能部门和内部审计部门建立与业务部门不同的绩效评价方法，有效执行内部控制管理和监督职能。第三十三条商业银行要培养优秀的企业内部控制文化，引导员工提高合规意识、风险意识、员工职业道德水平，规范员工行为。第五章内部控制评价第三十四条商业银行内部控制评价是指商业银行内部控制系统构建、实施和运行结果的调查、测试、分析和评价等系统活动。第三十五条商业银行应当建立内部控制评价制度，规定内部控制评价实施主体、频率、内容、程序、方法和标准等。第三十六条商业银行内部控制评价由董事会指定的部门组织实施。第三十七条商业银行应当对商业银行总部、国内外分行、附属公司等包括及表格管理进行内部控制评价。第三十八条商业银行应当根据业务实践和风险情况确定内部控制评价频率，至少一年一次。如果商业银行有重大收购或处置事项，运营方式有重大变化，外部运营环境有重大变化，或有其他影响实际的事项，则应及时进行内部控制评估。第三十九条商业银行应当制定内部控制缺陷识别标准，根据内部控制缺陷的影响程度划分内部控制缺陷等级，并明确相应的纠正措施和方案。第四十条商业银行必须建立内部控制评价质量管理机制，对评价工作进行全过程质量管理，确保内部控制评价的客观公平性。第四十一条商业银行应当加强对内部控制评价结果的使用，并将评价结果与评价对象机关的绩效评价和批准等相关联，可以作为评价对象机关领导能力的评价的重要依据。第四十二条商业银行年度内部控制评价报告经董事会审议批准后每年4月30日前提交给履行法人监督责任的银行监督管理机构商业银行分行应当按照上述时限规定，将自己的内部控制评价情况报告给同级银行监督机关。第六章内部控制监督第四十三条商业银行的内部审计部门、内部控制管理职能部门和业务部门都要承担内部控制监督检查的责任，根据分工，建立复盖各级机关、各产品、各业务流程的监督检查系统。第四十四条商业银行应当按照规定的报告路径及时向董事会、监事会、高级管理人员或有关部门报告内部控制监督报告和信息反馈系统、内部审计部门、内部控制管理职能部门、部门工作人员发现的内部控制缺陷。第四十五条商业银行应当建立内部控制问题纠正机制，明确纠正责任部门，规范整顿工作流程，确保纠正措施得到及时实施。第四十六条商业银行应当建立内部控制管理责任制度，加强责任追究。(一)董事会和高级管理人员应对内部控制的效果负责，对内部控制失败造成的重大损失负责管理。(二)内部审计部门、内部控制管理职能要对监督检查和内部控制评价的适当实施失败直接负责。(三)业务部门要对有关制度、流程未执行、检查责任的适当履行、纠正的及时执行负直接责任。第四十七条银行监督管理机构通过场外监管和现场检查，对商业银行的内部控制进行持续监督，根据本准则及其他相关法规，每年按组织评估商业银行的内部控制，提出监督意见，敦促商业银行持续改善。第四十八条银监会及其派出机构应当以内部控制有缺陷的商业银行为对象，出具监督意见书等表格，强制规定商业银行限期整顿。逾期未改正的银监会及其派出机关可以根据中华人民共