金融机构内部控制制度手册

金融机构内部控制制度手册TOC\o"1-2"\h\u1582第一章：总则 2316571.1制定目的与依据 226881.1.1制定目的 256501.1.2制定依据 3310501.1.3适用范围 3295091.1.4定义 314872第二章：内部控制环境 4103101.1.5定义与重要性 4130511.1.6内部控制环境的主要构成要素 4316301.1.7组织文化建设 4282701.1.8管理理念优化 4235371.1.9内部结构调整 5320531.1.10人员素质提升 5264831.1.11信息沟通机制建设 523624第三章：风险评估与控制 5189611.1.12风险评估的目的与意义 599961.1.13风险评估的内容 6152431.1.14风险评估的方法 6246821.1.15风险评估的流程 6237231.1.16风险控制的原则 6126731.1.17风险控制的内容 7306251.1.18风险控制的实施 713065第四章：控制活动与监督 711331.1.19控制活动的定义与目标 7160281.1.20控制活动的主要内容 765111.1.21控制活动的实施 8285461.1.22监督的定义与作用 8290741.1.23监督的主要内容 8303951.1.24监督的实施 8155301.1.25评价与改进 917484第五章：信息与沟通 9215101.1.26信息管理的目标与原则 9225691.1.27信息管理的内容 9318071.1.28信息管理的组织与实施 9243631.1.29沟通机制的目标与原则 10263141.1.30沟通机制的内容 1094581.1.31沟通机制的组织与实施 1030941第六章：人力资源管理 10270471.1.32员工招聘 10190991.1.33员工培训 11253341.1.34员工考核 11104191.1.35员工激励 1210685第七章：财务报告内部控制 12296461.1.36目的与原则 1287651.1.37编制流程 13216271.1.38审计目的 1368681.1.39审计内容 13121591.1.40审计流程 13321381.1.41审计质量控制 1426039第八章合规与风险管理 1448511.1.42合规管理的定义与目标 1410021.1.43合规管理的主要内容 1423551.1.44合规管理的组织实施 15271941.1.45风险管理的定义与目标 15184801.1.46风险管理的主要内容 15286971.1.47风险管理的组织实施 159263第九章：内部控制评价与改进 16289071.1.48评价目的与原则 16190521.1.49评价内容与方法 16201601.1.50评价周期与结果运用 17244331.1.51改进原则 1791581.1.52改进措施 17177251.1.53改进实施与跟踪 1824677第十章附则 18285321.1.54本手册的解释权归金融机构董事会所有。董事会负责对内部控制制度手册的内容进行解释，保证各部门、各岗位正确理解和执行。 18171871.1.55金融机构董事会应根据国家法律法规、监管要求及业务发展需要，及时修订和完善内部控制制度手册。修订过程应遵循以下程序： 1877241.1.56内部控制制度手册的修订应保证制度的严密性、完整性和可操作性，以适应金融机构不断变化的外部环境和内部管理需求。 18165791.1.57本手册自发布之日起实施。金融机构各部门、各岗位应严格按照手册规定执行，保证内部控制制度的有效运行。 18235761.1.58本手册生效后，原有内部控制制度与本手册不一致的，以本手册为准。如本手册与国家法律法规、监管要求相冲突，应以国家法律法规、监管要求为准。 18261711.1.59金融机构各部门、各岗位应密切关注本手册的执行情况，对存在的问题及时进行反馈和改进，保证内部控制制度的不断完善和优化。 18第一章：总则1.1制定目的与依据1.1.1制定目的本金融机构内部控制制度手册的制定，旨在规范本机构内部管理行为，强化内部控制体系，保证业务活动合规、稳健、高效运行，防范和控制各类风险，保障客户和机构的合法权益，提升整体运营水平。1.1.2制定依据本手册的制定依据以下法律法规及政策文件：（1）《中华人民共和国银行业监督管理法》；（2）《中华人民共和国商业银行法》；（3）《金融机构内部控制基本规范》；（4）《金融机构风险管理指引》；（5）《金融机构合规管理指引》；（6）其他相关法律法规、政策文件及行业规范。第二节适用范围与定义1.1.3适用范围本手册适用于本金融机构及其各分支机构的内部控制管理工作。本手册未涉及的具体业务或事项，应按照相关法律法规、政策文件及行业规范执行。1.1.4定义（1）内部控制：指金融机构为达到合规、稳健、高效运营的目的，对内部组织结构、业务流程、风险控制、信息沟通、内部监督等方面所采取的一系列规章制度和措施。（2）内部控制制度：指金融机构制定的旨在规范内部管理行为、防范和控制风险的规章制度。（3）风险：指可能导致金融机构损失的不确定性因素。（4）合规：指金融机构在业务活动中遵循相关法律法规、政策文件及行业规范的要求。（5）内部监督：指金融机构对内部控制的执行情况进行监督、评价和改进的过程。（6）内部审计：指金融机构对内部控制制度的建立健全和执行情况进行独立、客观的审计。（7）风险管理：指金融机构识别、评估、监控和控制风险的过程。（8）合规管理：指金融机构保证业务活动合规的内部管理过程。（9）客户权益：指客户在金融机构办理业务过程中所享有的合法权益。第二章：内部控制环境第一节内部控制环境概述1.1.5定义与重要性内部控制环境是指金融机构在实施内部控制过程中所形成的组织文化、管理理念、内部结构、人员素质、信息沟通等方面的综合体现。内部控制环境是内部控制系统的基石，对金融机构内部控制的有效性具有重要影响。1.1.6内部控制环境的主要构成要素（1）组织文化：组织文化是内部控制环境的灵魂，体现了金融机构的价值观念、道德规范和行为准则。一个良好的组织文化有助于形成健康、合规的内部控制环境。（2）管理理念：管理理念是指金融机构高层管理人员对内部控制的认知、态度和价值观。管理理念的正确与否直接影响内部控制的实施效果。（3）内部结构：内部结构包括金融机构的组织架构、权责划分、业务流程等方面。合理的内部结构有助于明确各部门和岗位的职责，提高内部控制效率。（4）人员素质：人员素质是内部控制环境的关键因素。金融机构应重视员工培训，提高员工的业务能力、道德素质和风险意识。（5）信息沟通：信息沟通是内部控制环境的重要组成部分。金融机构应建立健全的信息沟通机制，保证信息的及时、准确、完整传递。第二节内部控制环境建设1.1.7组织文化建设（1）确立核心理念：金融机构应明确自身的核心理念，将其贯穿于内部控制环境建设中。（2）塑造良好氛围：通过宣传、培训、活动等方式，营造积极向上的组织文化氛围。（3）强化道德教育：加强对员工的道德教育，提高员工的道德素质和合规意识。1.1.8管理理念优化（1）提高认知水平：金融机构高层管理人员应深入学习内部控制知识，提高对内部控制的认识。（2）增强执行力：高层管理人员要加强对内部控制工作的领导，保证内部控制的实施效果。（3）落实责任制：明确各部门和岗位的内部控制责任，保证内部控制措施的落实。1.1.9内部结构调整（1）优化组织架构：根据业务发展和内部控制需求，调整组织架构，明确各部门职责。（2）完善权责划分：合理划分各部门和岗位的权责，形成相互制衡的内部机制。（3）规范业务流程：梳理业务流程，简化手续，提高业务效率。1.1.10人员素质提升（1）加强培训：制定员工培训计划，提高员工的业务能力、道德素质和风险意识。（2）建立激励机制：设立员工激励机制，鼓励员工积极参与内部控制工作。（3）严格选拔任用：选拔具备良好职业道德、业务能力和风险意识的人员担任关键岗位。1.1.11信息沟通机制建设（1）建立信息沟通制度：制定信息沟通制度，明确信息传递的流程、方式和时效。（2）加强信息系统建设：完善信息系统，保证信息的及时、准确、完整传递。（3）提高信息处理能力：培养具备信息处理能力的人才，提高信息分析、应用水平。第三章：风险评估与控制第一节风险评估1.1.12风险评估的目的与意义金融机构内部控制制度手册中的风险评估，旨在识别、评估和监控金融机构在经营过程中可能面临的各种风险。通过风险评估，金融机构能够保证风险在可控范围内，为决策层提供风险预警，保障金融机构稳健经营。1.1.13风险评估的内容（1）信用风险：评估借款人、担保人、投资对象的信用状况，以及可能出现的违约风险。（2）市场风险：评估市场利率、汇率、股价等波动对金融机构资产和负债的影响。（3）操作风险：评估内部操作流程、信息系统、人力资源等方面的潜在风险。（4）法律风险：评估法律法规变化对金融机构业务的影响。（5）道德风险：评估员工道德行为对金融机构声誉和业务的影响。1.1.14风险评估的方法（1）定性评估：通过专家意见、现场调查、历史数据分析等方法，对风险进行初步识别和描述。（2）定量评估：运用数学模型、统计方法等，对风险进行量化分析。（3）混合评估：将定性评估与定量评估相结合，提高风险评估的准确性和全面性。1.1.15风险评估的流程（1）风险识别：搜集相关信息，发觉潜在风险。（2）风险分析：对识别出的风险进行深入分析，评估风险的可能性和影响程度。（3）风险评价：根据风险分析结果，对风险进行排序和分类。（4）风险应对：制定风险应对策略，包括风险规避、风险分散、风险转移等。第二节风险控制1.1.16风险控制的原则（1）全面性原则：风险控制应涵盖金融机构所有业务领域和环节。（2）动态性原则：风险控制应市场环境、业务发展和内部管理的变化而不断调整。（3）适应性原则：风险控制措施应与金融机构的规模、业务特点和管理水平相适应。（4）成本效益原则：风险控制应充分考虑成本与效益的平衡，保证风险控制的投入产出比合理。1.1.17风险控制的内容（1）信用风险控制：通过信用评级、担保措施、风险敞口管理等手段，降低信用风险。（2）市场风险控制：通过资产配置、风险分散、对冲等策略，降低市场风险。（3）操作风险控制：加强内部操作流程管理、信息系统建设和人力资源培训，降低操作风险。（4）法律风险控制：密切关注法律法规变化，保证业务合规性。（5）道德风险控制：加强员工道德教育，建立健全道德风险防范机制。1.1.18风险控制的实施（1）制定风险控制策略：根据风险评估结果，制定针对性风险控制策略。（2）实施风险控制措施：将风险控制策略具体化为可操作的措施，并落实到位。（3）监测风险控制效果：持续跟踪风险控制措施的实施情况，评估风险控制效果。（4）优化风险控制体系：根据风险控制效果，不断调整和优化风险控制措施。第四章：控制活动与监督第一节控制活动1.1.19控制活动的定义与目标控制活动是指金融机构为实现内部控制目标，对内部流程、业务活动、信息系统和人员行为等方面实施的一系列管理措施。控制活动的目标是保证业务活动合规、风险可控，提高经营效率和效果。1.1.20控制活动的主要内容（1）组织结构控制：合理设置组织架构，明确各部门职责，实现权责分明、相互制衡。（2）权限控制：明确各部门和岗位的权限，保证业务活动在授权范围内进行。（3）制度控制：制定和完善内部管理制度，保证业务活动遵循相关法规和公司制度。（4）业务流程控制：优化业务流程，保证业务活动高效、合规。（5）信息系统控制：加强信息系统建设，保证信息系统安全、稳定、高效。（6）人员行为控制：加强员工培训和管理，提高员工职业道德和业务素质。（7）财务报告控制：保证财务报告真实、准确、完整。（8）风险控制：识别、评估和应对各类风险，保证业务活动风险可控。1.1.21控制活动的实施（1）制定详细的操作规程，明确各环节的操作要求。（2）加强内部审计，保证控制活动的有效性。（3）建立健全内部控制评价体系，对控制活动进行评价和改进。第二节监督与评价1.1.22监督的定义与作用监督是指对内部控制活动实施情况的跟踪、检查和督促，以保证内部控制目标的实现。监督在内部控制体系中具有重要作用，可以及时发觉和纠正控制活动的不足，提高内部控制的有效性。1.1.23监督的主要内容（1）对业务活动的监督：检查业务活动是否符合相关法规和公司制度，保证业务活动合规。（2）对控制活动的监督：检查控制活动是否得到有效执行，保证控制措施得以落实。（3）对风险管理的监督：评估风险管理措施的有效性，保证风险得到有效控制。（4）对内部审计的监督：保证内部审计工作质量，提高内部审计的权威性。1.1.24监督的实施（1）建立健全监督机制，明确监督责任和程序。（2）定期开展内部审计，对内部控制活动进行评价。（3）对监督过程中发觉的问题，及时采取措施予以纠正。（4）建立内部控制评价体系，对内部控制的有效性进行评价。1.1.25评价与改进（1）对内部控制活动的评价：根据内部审计结果，对控制活动的有效性进行评价。（2）对内部控制体系的评价：评估内部控制体系的完善程度，提出改进建议。（3）对评价结果的运用：根据评价结果，调整和完善内部控制措施，提高内部控制的有效性。第五章：信息与沟通第一节信息管理1.1.26信息管理的目标与原则金融机构信息管理的目标是保证信息的真实性、完整性、及时性和安全性，为决策提供有效支持。信息管理应遵循以下原则：（1）真实性原则：保证信息来源可靠，内容真实，不误导决策。（2）完整性原则：全面收集、整理、传递与业务相关的各类信息，保证信息完整性。（3）及时性原则：及时收集、处理、传递信息，保证信息时效性。（4）安全性原则：加强信息安全管理，防止信息泄露、篡改等风险。1.1.27信息管理的内容（1）信息收集：通过多种渠道收集与业务相关的各类信息，包括内部信息和外部信息。（2）信息整理：对收集到的信息进行分类、筛选、加工，形成有价值的信息资源。（3）信息传递：根据业务需要，将信息及时传递给相关部门和人员。（4）信息存储：建立健全信息存储制度，保证信息长期保存、安全可靠。（5）信息使用：合理使用信息资源，为决策提供有效支持。（6）信息反馈：对信息使用效果进行评估，及时调整信息管理策略。1.1.28信息管理的组织与实施（1）建立信息管理部门：设立专门的信息管理部门，负责信息收集、整理、传递等工作。（2）制定信息管理制度：明确信息管理的目标、原则、内容、流程等，保证信息管理有序进行。（3）加强信息队伍建设：培养一支专业化的信息队伍，提高信息管理能力。（4）利用现代信息技术：运用现代信息技术手段，提高信息管理的效率和效果。第二节沟通机制1.1.29沟通机制的目标与原则金融机构沟通机制的目标是保证内部信息畅通，提高决策效率，促进业务发展。沟通机制应遵循以下原则：（1）高效性原则：保证沟通渠道畅通，提高沟通效率。（2）明确性原则：明确沟通内容、对象、方式等，避免信息传递失误。（3）互动性原则：鼓励双向沟通，促进信息交流与共享。（4）安全性原则：加强沟通渠道的安全性，防止信息泄露。1.1.30沟通机制的内容（1）内部沟通：包括部门内部沟通、部门间沟通、上下级沟通等。（2）外部沟通：包括与客户、合作伙伴、监管部门等外部单位的沟通。（3）正式沟通：通过会议、报告、文件等形式进行的正式沟通。（4）非正式沟通：通过日常交流、电话、邮件等方式进行的非正式沟通。1.1.31沟通机制的组织与实施（1）建立沟通网络：构建覆盖全机构的沟通网络，保证信息畅通。（2）制定沟通制度：明确沟通渠道、方式、频率等，规范沟通行为。（3）培训沟通技巧：提高员工沟通能力，保证沟通效果。（4）监控沟通效果：定期评估沟通机制运行效果，及时调整优化。（5）加强沟通文化建设：营造良好的沟通氛围，促进信息共享与协作。第六章：人力资源管理第一节员工招聘与培训1.1.32员工招聘（1）招聘原则金融机构在进行员工招聘时，应遵循公平、公正、公开的原则，保证招聘流程的透明性和合规性。（2）招聘流程（1）制定招聘计划：根据业务发展需要，制定年度招聘计划，明确招聘人数、岗位、任职资格等。（2）发布招聘信息：通过内部网站、外部招聘网站、报纸等渠道发布招聘信息，保证信息传播的广泛性。（3）筛选简历：对收到的简历进行筛选，筛选出符合岗位要求的候选人。（4）面试：组织面试，包括初试和复试，评估候选人的综合素质和能力。（5）体检与背景调查：对拟录用人员进行体检和背景调查，保证其符合金融机构的要求。（6）录用：根据面试和背景调查结果，确定录用人员，并办理入职手续。1.1.33员工培训（1）培训计划根据员工岗位、层级和业务发展需要，制定年度培训计划，明确培训内容、形式、时间等。（2）培训形式（1）内部培训：组织内部专业培训，提高员工业务素质和专业技能。（2）外部培训：安排员工参加外部培训，拓宽视野，学习先进的管理理念和技术。（3）岗位交流：定期组织岗位交流，提高员工综合素质和跨部门协作能力。（4）网络学习：建立网络学习平台，提供在线课程，方便员工自主学习。第二节员工考核与激励1.1.34员工考核（1）考核原则员工考核应遵循客观、公正、公开、及时的原则，保证考核结果的准确性和有效性。（2）考核内容（1）业务能力：评估员工在业务领域的专业技能和业务水平。（2）工作态度：评价员工的工作态度、责任心和团队协作精神。（3）工作业绩：考核员工完成工作任务的质量和效率。（4）综合素质：评估员工的心理素质、沟通能力、创新能力等。（3）考核流程（1）制定考核方案：明确考核周期、考核指标、考核流程等。（2）实施考核：按照考核方案，对员工进行定期考核。（3）反馈考核结果：将考核结果及时反馈给员工，指导其改进工作。（4）考核结果应用：将考核结果应用于员工薪酬、晋升、培训等方面。1.1.35员工激励（1）激励原则员工激励应遵循公平、合理、有效的原则，激发员工的工作积极性和创造力。（2）激励措施（1）薪酬激励：通过合理的薪酬体系，激发员工的工作动力。（2）晋升激励：为员工提供晋升通道，激发其职业发展意愿。（3）荣誉激励：对表现优秀的员工给予表彰和奖励，提升其荣誉感。（4）培训激励性培训：组织激励性培训，提升员工的综合素质和能力。（5）关怀激励：关注员工生活，提供必要的关怀和支持，增强员工的归属感归属感。第七章：财务报告内部控制第一节财务报告编制1.1.36目的与原则财务报告编制的目的是保证金融机构财务报告的真实性、准确性和完整性，为内外部利益相关者提供决策依据。财务报告编制应遵循以下原则：（1）真实性原则：财务报告应真实反映金融机构的财务状况、经营成果和现金流量。（2）准确性原则：财务报告数据应准确无误，避免误导利益相关者。（3）完整性原则：财务报告应完整反映金融机构的全部财务信息，不得遗漏重要事项。1.1.37编制流程（1）数据收集：收集金融机构的财务数据，包括资产、负债、收入、费用等各项数据。（2）数据处理：对收集到的数据进行整理、核对，保证数据真实、准确、完整。（3）编制报表：根据财务报表编制规则，编制资产负债表、利润表、现金流量表等财务报表。（4）审核与审批：财务报表编制完成后，应提交给财务部门负责人或董事会进行审核、审批。（5）披露：经审批通过的财务报表，应按照相关法律法规和监管要求进行披露。第二节财务报告审计1.1.38审计目的财务报告审计的目的是对金融机构财务报告的真实性、准确性和完整性进行独立、客观的评价，以保证利益相关者能够获得可靠的财务信息。1.1.39审计内容（1）审计程序：审计人员应遵循审计准则，制定审计程序，对财务报告编制过程进行审查。（2）审计证据：审计人员应收集充分、适当的审计证据，以支持审计结论。（3）审计范围：审计范围应包括金融机构的全部财务报表，以及其他与财务报告相关的内部控制制度。（4）审计重点：审计人员应关注财务报告中的重大事项、风险点和异常情况。1.1.40审计流程（1）审计计划：审计人员应根据审计目标和要求，制定审计计划，明确审计范围、时间、方法和人员分工。（2）审计实施：审计人员按照审计计划，对财务报告编制过程进行审查，收集审计证据。（3）审计报告：审计人员应根据审计证据，形成审计报告，对财务报告的真实性、准确性和完整性提出审计意见。（4）审计结论：审计报告应提交给金融机构董事会或审计委员会，审计结论作为决策依据。（5）审计整改：金融机构应根据审计结论，对存在的问题进行整改，完善财务报告内部控制制度。1.1.41审计质量控制（1）审计人员素质：审计人员应具备专业的审计知识和技能，保证审计质量。（2）审计独立性：审计人员应保持独立性，避免利益冲突，保证审计结论客观、公正。（3）审计程序规范：审计人员应遵循审计准则，规范审计程序，保证审计证据充分、适当。（4）审计报告审核：审计报告应经过审计部门负责人或董事会审核，保证审计结论准确、可靠。第八章合规与风险管理第一节合规管理1.1.42合规管理的定义与目标合规管理是指金融机构通过建立健全的合规管理体系，对内部管理、业务经营、风险控制等方面进行规范，保证金融机构在法律法规、监管要求、行业规范和内部规章制度等方面的合规性。合规管理的目标是保证金融机构合规经营，防范合规风险，维护金融市场的秩序和稳定。1.1.43合规管理的主要内容（1）制定合规政策和程序：金融机构应制定合规政策和程序，明确合规管理的总体要求、组织架构、职责分工、合规风险识别与评估、合规培训与宣传等内容。（2）建立合规组织架构：金融机构应设立合规部门，配备专业的合规人员，建立合规委员会，明确合规部门的职责和权限。（3）合规风险识别与评估：金融机构应定期对合规风险进行识别、评估和监测，保证合规风险得到有效控制。（4）合规培训与宣传：金融机构应加强合规培训与宣传，提高员工的合规意识，保证员工熟悉和遵守相关法律法规和内部规章制度。（5）合规违规处理：金融机构应建立健全合规违规处理机制，对合规违规行为进行及时、严格的处理，保证合规要求的落实。1.1.44合规管理的组织实施（1）董事会、监事会和高级管理层的责任：董事会、监事会和高级管理层应承担合规管理的领导责任，保证合规管理体系的有效运行。（2）合规部门的职责：合规部门负责组织、协调和监督合规管理工作，保证合规要求得到有效执行。（3）内部审计、内部控制等部门的协同：内部审计、内部控制等部门应与合规部门密切协作，共同保障金融机构的合规经营。第二节风险管理1.1.45风险管理的定义与目标风险管理是指金融机构通过对风险进行识别、评估、监控和控制，以实现风险可控、收益可期的目标。风险管理的目标是保证金融机构在风险可控的前提下，实现业务发展和盈利。1.1.46风险管理的主要内容（1）风险识别：金融机构应全面识别各类风险，包括信用风险、市场风险、操作风险、流动性风险等，保证风险得到及时发觉。（2）风险评估：金融机构应对识别出的风险进行评估，确定风险等级和风险容忍度，为风险管理决策提供依据。（3）风险监控：金融机构应建立风险监控机制，对风险进行持续监控，及时发觉风险变化，采取相应措施。（4）风险控制：金融机构应制定风险控制策略和措施，保证风险在可控范围内。（5）风险报告：金融机构应定期向董事会、监事会和高级管理层报告风险状况，为决策提供参考。1.1.47风险管理的组织实施（1）董事会、监事会和高级管理层的责任：董事会、监事会和高级管理层应承担风险管理的领导责任，保证风险管理体系的有效运行。（2）风险管理部门的职责：风险管理部门负责组织、协调和监督风险管理工作，保证风险控制措施得到有效执行。（3）各业务部门的协同：各业务部门应与风险管理部门密切协作，共同防范和控制风险。（4）内部审计、内部控制等部门的协同：内部审计、内部控制等部门应与风险管理部门密切协作，共同保障金融机构的风险可控。第九章：内部控制评价与改进第一节内部控制评价1.1.48评价目的与原则内部控制评价的目的在于保证金融机构内部控制体系的有效性，提升风险管理水平。评价应遵循以下原则：（1）客观性原则：评价过程应客观、公正，保证评价结果真实反映内部控制的实际情况。（2）全面性原则：评价应涵盖内部控制的所有要素，包括控制环境、风险评估、控制活动、信息与沟通、监督等。（3）科学性原则：评价方法应科学合理，采用定量与定性相结合的方式，保证评价结果的准确性。1.1.49评价内容与方法（1）评价内容：内部控制评价主要包括以下几个方面：（1）内部控制体系完整性：评价内部控制体系是否涵盖了金融机构的所有业务领域和风险点。（2）内部控制有效性：评价内部控制措施是否能够有效防范和化解风险。（3）内部控制适应性：评价内部控制体系是否能够适应外部环境和内部业务变化。（4）内部控制实施情况：评价内部控制措施的实际执行情况。（2）评价方法：内部控制评价可以采用以下几种方法：（1）文件审查：通过审查内部控制相关文件，了解内部控制体系的建立和实施情况。（2）实地调查：对金融机构内部控制的实际运行情况进行实地调查，验证内部控制措施的有效性。