xx银行内部控制手册内控手册.docx

1、文件编号：C-020受控号:XYZ商业银行内部控制手册编 制：审 核：批 准：版本号：生效日期：修改记录 3颁布令 4XYZ市商业银行简介 51. 范围 72. 依据与引用文件 83. 术语和定义 83.1 关于内控和体系的定义 83.2 关于风险的定义 93.3 关于文件的定义 103.4 简称和缩写 104. 总则 114.1 内部控制体系过程114.2 内部控制原则 125. 内部控制环境 135.1 公司治理结构 135.2 董事会、监事会和高级管理层的内控责任划分 135.3 内控政策管理 145.4 内控目标管理 155.5 组织结构 175.6 企业文化 195.7 人力资源政策

2、和程序 206. 风险识别与评估 236.1 风险识别与评估 236.2 法律法规和监管规定 256.3 内部控制方案 277. 实施和运行 287.1 计划财务 287.2 公司业务 317.3 个人金融业务 377.4 银行卡业务 407.5 票据业务 427.6 资金业务 447.7 不良资产管理业务 467.8 会计核算和运行管理 477.9 信息技术管理 517.10 安全保卫 527.11 应急准备与响应管理 538. 监测评价和持续改进 558.1 内部控制绩效的监测 558.2 违规、险情、事故处置与纠正和预防措施 578.3 内部控制体系评价 598.4 管理评审 608.5

3、 持续改进 619. 信息交流与反馈 629.1 文件化 629.2 文件控制 649.3 记录控制 659.4 交流与沟通 6610. 附录 68附录一：XYZ市商业银行内部控制体系、商业银行内控指引条款对照表 70附录二：XYZ市商业银行组织架构图 72附录三：XYZ市商业银行风险管理组织架构图 86附录四：风险类别与内控职能分配表 87附录五：适用的法律、法规和监管要求文件清单 88附录六：XYZ市商业银行内部控制体系文件目录 91修改记录厅P修改日期修改单号修改人生效日期颁布令我批准XYZflr商业银行内部控制手册(A/0版)自20XX年12月18日开始生效。 内部控制手册是本行内部控

4、制体系的纲领性文件，是我行策划、建立、实施、保持并持续改进内部控制体系的基本准则，本手册满足了商业银行内控指引和商业银行内部控制评价试行办法规定要求，本行全体员工应对执行内部控制手册及保持其有效性承担义务，并为内部控制体系的持续改进作出贡献。为保证本行内部控制体系的顺利建立和有效运行，特任命(后台行长)同志为本行首席风险官，除其原有职务职责和权力外，还授权其履行商业银行内部控制评价试行办法中首席风险执行官的职责和权力，包括：a) 确保按规定要求建立、实施、保持和持续改进本行的内部控制体系；b) 负责对本行的内部控制体系的运行进行协调、监控和评价；c) 对发现任何不符合内部控制体系文件规定要求时

5、，有权采取必要的措施，直至该问题得到解决；d) 报告内部控制体系运行有效性的情况，提出重大改进的建议。为确保本行内部控制体系在各部门及所属分支机构有效运行，本行相关部门与经营场所根据实际情况的需要(有特殊规定的除外)，设置风险代表，负责：a) 本部门或本业务领域的风险和内控工作；b) 对本部门或本业务领域的员工进行有关风险和内控要求的教育培训；c) 对本部门或本业务领域内部控制体系运行的协调、监控和评价，对发现任何不符合内部控制体系文件规定要求的作业和活动，授权采取适宜的措施并向上级报告，直至问题解决。行长：二OXX年X月x日XYZ市商业银行简介XYZ 市商业银行是1997 年 4 月经中国人

6、民银行“银复 1997135 号”文批准， 在 XYZ 市城区原8 家城市信用社的基础上合并改制组建的WW 省第一家地方性股份制商业银行。本行成立时的名称为XYZ 城市合作银行，1998 年 5 月，经中国人民银行XYZ 市本行“ V 银复 199821 号”文批准，更名为“XYZ 市商业银行股份有限公司”。注册资本为12,768 万元人民币，本行是实行自主经营、自担风险、自负盈亏、自我约束的独立法人，实行一级法人体制。按照现代股份制企业的要求，XYZ 市商业银行最高权利机构是股东大会，实行董事会领导下的行长负责制经营体系和以监事会为中心的监督体系。总部设有人力资源部、行长办公室、科技开发部、

7、监审保卫部、公司金融部、个人金融部、会计结算部、授信管理部、计划财务部、风险管理部、纪检监察室、资金营运部、 银行卡部、票据贴现中心14个部室。下设 29 家支行和1 家资产管理公司，现有在职员工419 人， 研究生学历9 人， 本专科学历69 人， 大中专学历328 人。本行的董事、监事、高级管理人员均具备银监会规定的任职资格。随着金融科技的不断发展，对银行从业人员的素质要求也不断提高，我行坚持把人才的培养、选拔和引进相结合，着力提高员工队伍综合素质，实现人才兴行战略。XYZ 市商业银行拥有一支充满活力、素质较高、积极向上的员工队伍，他们努力工作，积极开拓，热忱、周到、快捷地为XYZ市民提供

8、一流的金融服务。本行自成立以来，在市委、市政府的正确领导下，在股东单位的鼎力相助下，在监管部门和人民银行的有效监管和大力支持下，组织和带领全行员工改革创新，开拓进取，使本行综合竞争实力明显增强，实现了跨越式发展。截止 20XX年6月末，全行各项存款（时点）余额243,842 万元； （日均）存款余额233,991 万元。全行存款中，储蓄存款余额101,845 万元，对公存款余额141,997 万元；定期存款余额117,661 万元，活期存款余额126,181 万元。各项贷款余额160,557万元；上半年累计发放贷款37,724 万元，累计收回31,046 万元。其中现金收回28,807 万元。

9、不良贷款情况，6月末不良贷款余额25,196 万元，不良贷款占比为16%。其中，今年新增不良贷款1,458 万元，上半年清收不良贷款65 万元，全部为现金收回。中间业务开展情况，全行共发行九通卡24,264 张， 公交 IC 卡17,363 张； 代理保险产品有新华人寿、中国人寿的“红双喜”、 “国寿鸿丰”、 “千禧红” 等。 经营收支情况，上半年实现营业收入3,257 万元， 其中利息收入2,945万元；累计营业支出3,548 万元，其中利息支出1,554 万元。 上半年实现净利润248 万元。为了保证XYZ市商业银行的持续、健康发展，本行严格按照现代企业制度的要求规范运作，坚持依法合规、稳

10、健经营，始终遵循“打服务牌、走百姓路、办特色行”的办行宗旨，以“团结、求实、高效、创新”的企业精神，持续推行优质服务， 健全内控机制，拓展营销业务和建立健全约束激励机制等方面加大创新、改革力度，使全行的各项工作逐步步上健康，快速，高效发展的运行轨道。20XX年本行制定了未来发展规划，为了实现规划，本行提出了相应的管理措施。即以法人治理结构为主体，建立科学、高效的决策、激励和约束机制；以市场为导向，开拓新型业务和服务品种，打造品牌形象，把本行根植于地方经济发展的主流；以经营效益为中心，强化成本管理、预算管理和经营核算，追求效益最大化；以科技为先导，不断搞好科技开发和应用，使科技成为业务经营的重要

11、支撑；以风险管理为主线，切实做到防范风险、规避风险、化解风险；以内控管理为重点，建立健全科学有效的内部控制管理体系；以人为本，全面提高员工素质，打造一支适应现代银行发展的员工队伍；以创新为动力，认真研究金融产品、管理、经营、制度和科技创新，保持发展的源动力。将本行打造成为资本充足、内控严密、运营安全、服务和效益良好的现代化商业银行。为了提高和稳定金融服务质量，防范各类金融风险，提供舒适的金融服务环境，持续满足客户要求，努力把XYZm商业银行建设成为精品的银行，使XYZ市商业银行的经营管理水平尽快与国际接轨，决定实施ISO9001 国际标准与商业银行内部控制评价试行办法相结合，建立、 实施和保持

12、金融服务质量管理与内部控制体系。本行是最具生机和活力的地方性、股份制金融企业。面对地方经济快速发展，本行要争取抓住金融全面开放前的有利时机，以科学发展观统揽全局，把 “防风险、严内控、快发展”作为全行的根本任务，实现质量、效益、规模、结构协调统一、 可持续发展，营造良好的经营业绩和优质的金融服务回报社会和广大投资者，为振兴 WW6济做出积极贡献。地址： 邮政编码: 联系电话： 传 真：1. 范围XYZff商业银行内J$体系将覆盖 XYZff商业银行经营管理中与内控有关的机 构、活动和产品，具体包括：1) 机构覆盖范围：XYZ市商业银行本部所有的业务部门、管理部门、支行说明： 党团群工部门活动、

13、职能中与经营管理活动相关职能纳入体系，其他活动与职能不纳入体系范围。2) 活动覆盖活动各项业务活动，如信贷业务，柜面业务等各项管理活动，如职能分配，资源提供，检查考核等各项支持性活动，如安全保卫，产品设计和开发，采购和业务外包等。说明： 业务外包活动指计算机系统开发外包、守库押运外包等所有外包给供方完成，并构成XYZm商业银行经营管理活动一部分的活动。3) 产品覆盖范围XYZ市商业银行提供给客户的所有金融产品，包括资产业务、负债业务、中间业务、表外业务等，具体见产品目录2. 依据与引用文件以下文件和标准在引用时均为有效的版本，它们为文件化内部控制体系的建立和维护提供依据。当引用文件和标准发生修

14、订、撤消或有新依据文件时，本行将评审内部控制体系的符合性并对其进行更改或换版。1)法律、法规和监管要求(其清单见本手册附录五)2)标准：人民银行内部控制指引商业银行内部控制评价试行办法质量管理体系要求3)本行文件(具体文件在内部控制体系各文件中列出)4)其他。3. 术语和定义商业银行内部控制评价试行办法、 质量管理体系要求 给出的定义和术语均适用于本手册。3.1 关于内控和体系的定义1) 内部控制(internal control ) ：为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制；2) 体系 (system) ：相互关联或

15、相互作用的一组要素。3) 过程( process ) ： 一组将输入转化为输出的相互关联或相互作用的活动。4) 不符合 ( nonconformity ) ：任何能直接或间接导致损失的对工作标准、程序、法规、体系绩效等的偏离。5) 评价( audit ) ：确定活动及其结果是否符合策划的安排，以及策划的安 排是否实施并适合于达到内部控制政策和目标的系统检查。6) PDCA1环：指P (计划)D (实施)C (检查)A (处理，改进)的工作方 法。3.2 关于风险的定义1) 风险( risk ) ：对目标有所影响的某个事情发生的可能性与后果的结合。根据巴塞尔银行监管委员会发布的有关文献，以下2)

16、 至 9) 是各类风险定义。2) 信用风险：是指由于借款人或交易对手不能履约或履约意愿变化所带来的风险。3) 国家和转移风险：是指由于非正常的、对所有贷款或交易头寸都产生风险的原因，一国的主权借款人可能无力或不愿意、而其他借款人或交易对手可能无力履行其对外义务所产生的风险。国家和转移风险的主要表现形式有主权风险和转移风险。4) 市场风险：是指由于市场价格的不利变动使银行的表内和表外头寸遭受损失的风险。按风险要素划分，市场风险包括外汇风险、股权价格风险、商品价格风险。5) 利率风险：是指银行的财务状况在利率波动时出现损失的可能。利率风险不仅影响银行的盈利水平，也影响银行资产、负债和表外金融工具的

17、经济价值。利率风险主要形式有重新定价风险、收入曲线风险、基准风险、期权性风险。6) 流动性风险：是指银行无力为负债的减少或资产的增加提供融资，即当银行流动性不足时，它无法以合理的成本迅速增加负债或变现资产获得足够的资金，从而带来损失的可能。7) 操作风险：是指由于不完善的或失效的内部程序、人员、系统或外部事件导致直接或间接损失的风险。8) 法律风险：是指因现行法律不完善、不明确以及法律修改，不完善、不正确的法律意见、文件，交易行为违反法律和监管规定等原因导致银行损失的可能。9) 声誉风险：是指由于银行操作失误、违反法规、经营不善及其他问题而 带来的银行市场形象上的不利影响。10) 风险识别(r

18、isk identification ) ：识别风险的并确定其性质的过程。11) 风险评估( risk appraisal ) ：估计风险程度并确定风险是否可容许的全过程。3.3 关于文件的定义1) 文件(document) ：信息及其载体。2) 内部控制手册(internal control manual ) ：向本行内部和外部提供关于内部控制体系的一致信息的文件，是本行内部控制体系的纲领性文件。3) 程序文件 ( procedure ) ： 描述各项业务和管理活动的过程和顺序的文件，是针对内部控制手册所提出的管理与控制要求，规定如何达到这些要求 的具体实施办法。4) 操作规程(work r

19、egulations ) ：表述内控体系程序或手册中具体操作要求的文件，指导员工执行具体的工作任务。5) 规范、规定(specification ) ：阐明本行管理要求的文件。6) 场所文件(local document) ：各部门(包括所属机构)为实施本行内控体系要求而制定的适用于本部门场所的职责和活动的相关规定。7) 记录( record ) ：为完成的活动或达到的结果提供客观证据的文件。3.4 简称和 缩写1) 本行：指XYZ 市商业银行。2) 总行或本行本部：指纳入 XYZ市商业银行总部及各部室。3) 支行或营业部：指XYZ市商业银行管辖的支行或直属营业部。本手册未予以给出的术语和定义

20、由各程序文件和操作规程在引用时界定。4. 总则4.1 内部控制体系过程本行按照商业银行内部控制指引和商业银行内部控制评价试行办法并结合本行实际，建立和实施内部控制体系，确保与风险管理相关的内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等要素处于受控状态，形成文件并加以实施、保持和持续改进。为建立和实施内部控制体系，本行采用过程方法、管理的系统方法和基于事实决策的方法，把本行经营活动、管理活动、支持活动作为过程和过程网络来管理，并应用P （计划）D （实施）C （检查）A （处理）循环，（纳入缩写）持续改 进这些过程的有效性，从而不断提高本行风险控制水平和监管部门信任

21、程度，为实现本行发展战略和经营目标奠定基础。本行内部控制体系的有关过程包括：a） 明确管理的职责和权限，制定内部控制政策和目标，建立良好的内部控制环境；b） 识别、分析和评估营运流程中的风险，制定相应的控制方案；c） 实施对营运流程中的风险的控制；d） 确定各类业务和管理活动的过程及其结果的监视、测量方法和准则，并按规定进行监视、测量、分析其有效性和绩效；e） 为消除已发生或潜在的损失、险情和不符合的源因，制定并实施纠正或预防措施，防止其再发生或发生；f）运用PDCAJ1环持续改进上述过程。用过程方法建立的内部控制体系”其模式图如下:内部控制体系过程模式图监测评价与纠正信息交流与反馈内部控制环

22、境内部控制措施根据上述内部控制体系模式，本行将内部控制体系的架构分为五个模块， 各 模块之间关系如上图。各模块的具体内容见本手册第五章至第九章相应章节内容。4.2 内部控制原则本行内部控制体系充分贯彻全面、审慎、有效、独立、成本效益的原则：a）全面性原则本行的内部控制渗透到本行内控范围内的各项业务过程和各个操作环节， 覆 盖本行内控范围所有的部门和岗位，由该范围内全体员工参与，并为其活动的有 效性提供证据。b）审慎性原则本行的内部控制以防范风险、审慎经营为出发点，在衡量影响各项经营管理 活动，特别是设立新的机构或开办新的业务的诸多因素时，应当体现“内控优先”的要求。c）有效性原则本行的内部控制

23、要求具有权威性，所有涉及人员均应遵循，并在受控状态下 活动，任何人不得拥有不受内部控制约束的权力，内部控制实际和潜在的问题能够得到及时识别，并消除其发生的根本原因。d) 独立性原则本行内部控制的监督、评价、评价部门或人员应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。e)成本效益原则本行内部控制与经营规模、业务范围和风险特点相适应，注重成本效益合理配比，以合理的成本实现内部控制的目标。5. 内部控制环境5.1 公司治理结构本行已建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，并且能够坚持各机构规范运作，分权制衡。本行已建立了完善的股东大

24、会、董事会、 监事会等议事和决策机构，并在董事会下设立了关联交易与风险管理委员会、薪酬提名委员会和审计委员会等3 个专门委员会和董事会办公室；在监事会下设立了审计委员会、提名委员会和监事会办公室。同时，本行制定了相应的工作条例，以明确各议事和决策机构、监督机构的职责、义务、议事规则和决策程序。1、股东大会工作条例(I550002)2、董事会工作条例(I550003)3、董事会关联交易风险管理委员会工作条例(I550005)4、董事会薪酬提名委员会工作条例(I550006)5、董事会审计委员会工作条例(I550007)6、监事会工作条例(I550012)7、监事会审计委员会工作条例(I55001

25、4)8、监事会提名委员会工作条例(I550013)5.2 董事会、监事会和高级管理层的内控责任划分董事会在内控方面的职责：一是保证商业银行建立并实施充分而有效的内部 控制体系；二是负责审批整体经营战略和重大政策并定期检查、评价执行情况；三是负责确保商业银行在法律和政策的框架评价审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；四是负责审批组织机构；五是负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估；六是和高级管理层一起培育良好的内部控制文化，提高员工的风险意识和职业道德素质；七是和高级管理层一起建立通畅的内外部信息沟通渠道；八是和高级管理

26、层一起确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。监事会在内控方面的职责：一是负责监督董事会、高级管理层完善内部控制体系； 二是负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责； 三是负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。高级管理层在内控方面的职责：一是负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；二是负责执行董事会决策；三是负责建立识别、 计量、 监测并控制风险的程序和措施；四是负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行；五是和董事会一起培育良好的内部控制文化， 提高员工的风险意

27、识和职业道德素质；六是和董事会一起建立通畅的内外部信息沟通渠道；七是和董事会一起确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。5.3 内控政策管理5.3.1 目的内控政策是对各类风险进行控制的原则和要求，是设置在各项管理和操作规章制度之上的风险防范屏障。本手册系统阐述了本行各项业务和管理活动的内控政策。5.3.2 职责1) 关联交易与风险控制委员会负责审定各项内部控制政策，负责建立健全XYZ市商业银行风险管理与内部控制体系，审定内控管理组织实施方案。2) 风险管理部负责对内部控制政策实施监测；在行长的领导下负责制定内控项目建设工作整体方案及内控体系推进计划；组织和协调推进内

28、控工作，实时监督、检查和反馈；定期/ 不定期向首席风险执行官或关联交易与风险控制委员会报告；负责XYZm商业银行内控政策的汇总编制和调整完善工作；3)业务部门贯彻落实XYZflT商业银行内才5政策，保证 XYZflT商业银行内控 政策有效运行所需的资源支持和在本部门系统的有效执行；参与XYZ市商业银行年度内控目标、计划的制定；内控政策变更工作；对各支行内控开展情况进行指导、协调、检查、反馈和考核；执行并反馈内控政策执行过程中遇到的问题；4) 审计部门对内控政策实施监督和评价。5.3.3 政策1) 内部控制政策的制定应与本行总的指导方针相适应；2) 内部控制政策应充分体现稳健经营的发展思路；3)

29、 内部控制政策体现对不同行业、产品、业务和管理活动的风险控制要求 和侧重控制的风险；4) 内部控制政策作为本行制定各项内部控制目标的依据和框架。5) 3.4 程序1) 制定：各部门根据战略规划和其他内控要求，制定本系统的内控政策。涉及全行性的或重大风险政策由关联交易与风险控制委员会负责审定。2) 实施：各业务部门和分支机构贯彻执行内控政策。3) 检查、评估：检查监督部门对内控政策实施情况进行检查和评估。每年管理评审时或内控政策发生重大变更时，应进行系统评估，并根据评估结果及时调整。5.4 内控目标管理5.4.1 目的内控目标是本行依据内控政策所策划的、希望达到的内部控制的结果，内部控制目标由内

30、控指标体系具体反映。内控目标管理有助于明确内控工作努力的目标，衡量内控体系的绩效。5.4.2 职责1) 关联交易与风险控制委员会负责审定内控指标体系；2) 风险管理部负责组织各职能部门拟定内控指标体系，并进行监测；3) 各职能部门负责本部门系统内控指标体系的拟定，保障本部门系统内控目标的实现；4) 计划财务部负责内控定量指标的考核，将内控指标执行考核情况转化纳入绩效考核体系。5) 4.3 政策1) 内控目标应确保国家法律规定和本行内部规章制度的贯彻执行；确保发展战略和经营目标的全面实施和充分实现；确保风险管理体系的有效性；确保业务记录、财务信息和其他管理信息的及时、真实和完整；2) 内控目标应

31、符合内部控制政策，并体现对持续改进的承诺；3) 内控目标应分解至横向职能部门或纵向经办行；4) 内控目标应可测量，如果可行，尽可能量化。5) 4.4 程序本行建立了综合经营计划管理程序( P5401) ，规定了内控指标和其他业绩评价指标的设置、策划、分解、监控和考核。1) 指标设置a)遵循指标：遵循目标是衡量对法律法规、监管规定和XYZ市商业银行规章制度的遵守程度，包括：一般违规次数严重违规次数b) 安全指标：安全目标是反映风险管理和内部控制的有效性，包括： 案件损失金额案件数不良资产率不良资产控制额c) 体系绩效指标：反映体系运行状况，包括：评价指标：包括评价轻微不符合数和评价严重不符合数；

32、内控评价指标：包括分别达到内控一级、二级、三级、四级、五级水平的基层机构数量。2) 指标数值的确定：每年根据综合经营计划确定具体的内控指标值和考核办法。3) 指标的分解、监测、调整和考评见综合经营计划管理程序( P5401)5.5 组织结构5.5.1 目的通过建立分工合理、职责明确、报告关系清晰的内控管理组织结构，明确决策机构、综合管理部门、经营部门、支持保障部门、监督部门的责任和义务，确保本行内部的职责、权限及其相互关系得到规定和沟通，确保本行内控体系得到有效运行。5.5.2 职责1) 行长办公会审议本行委员会、职能部门和分支机构的设置、变更和撤销，决定董事会授权范围内的转授权方案；2) 行

33、长办公室部拟定机构设置、变更和撤销的方案，以及部门职责的确定与调整方案；3) 董事会会办公室负责董事会授权范围内的法人授权管理。5.5.3 政策1) 明确划分相关部门之间、岗位之间、上下级机构之间的职责，建立职责 分离、横向与纵向相互监督的制约关系。涉及资产、负债、财务和人员 等重要事项变动，均不得由一个人独自决定。2) 根据分支机构和业务部门的经营管理水平、风险管理能力、经济环境和 业务发展需要，建立相应的转授权体系。3) 风险内控的检查、评价部门应当独立于风险内控的建立和执行部门，并 有直接向最高管理层报告的渠道。4) 5.4 风险内控管理机构和岗位设置董事会关联交易与风险控制委员会是本行

34、风险与内控管理的审议决策机构。在风险与内控管理体系上，本行实行行长领导下的委员会决策和部门分工负责制。风险与内控管理组织架构图和各部门具体职责见XYZ 市商业银行风险与内控管理组织架构图和各部门职责(附件三)； 各部门和各分支机构的业务和管理权限见授权管理控制程序( P5501) 。1) 关联交易与风险控制委员会:XYZ市商业银行关联交易与风险控制委员会(以下简称“风控委”)是本行风险管理与内部控制的协调、议事和决策机构。在本行授权范围内，负责对全行风险管理与内部控制重要事项进行协调、会商，对相关政策、制度的制定进行研究，对重要风险事项的处理进行决策或提出建议。其主要职责如下：a) 负责研究全

35、行风险与内控管理体系方案，并维护体系的有效运转；b) 负责研究全行风险管理政策、风险评价标准和相关管理制度；c) 负责研究全行业务授权方案并按程序授权行长组织实施；d) 负责监督各部门相关业务内控管理制度的建立、健全、实施；e) 负责组织实施各类业务、各类风险的预警、监测、检查和分析；f) 负责研究、决策全行重大风险事项的处理意见；g) 负责组织领导责任认定相关工作；h) 负责研究突发性风险事项和危机管理；i) 负责对全行风险管理人员提出管理意见；2) 风险与内控管理的组织架构a) 决策机构：关联交易与风险控制委员会负责全行风险与内控有关的重大事项的决定。b) 管理机构：风险管理部是全行风险与

36、内控管理的归口管理部门。c) 执行机构：各经营部门、综合管理部门、支持保障部门以及各分支机构具体执行风险与内控管理的政策、制度，报告内控体系实施运行情况。d) 监督机构：监审保卫部负责对体系的有效性和符合性实施监督评价；纪检监察部门负责监察、处理。3) 风险管理责任制的设置和职责本行全面实施风险责任制度，设置部门风险代表。风险代表的主要职责如下：识 别本部门和本系统的风险，制定并完善相关的风险内控制度；对 本部门和本系统的风险和内控管理进行指导、检查， 监督各岗位风险内控职责的落实情况；监 测分析本部门和本系统面临的主要风险，收集、 整理各类风险监测的指标数据，对本部门和本系统风险内控管理工作

37、定期进行评价；撰 写本部门和本系统的内控评价报告和风险监测报告，向本部门负责人和风控办报告风险监测状况；对 本部门高风险业务操作实施监控。5.6 企业文化5.6.1 目的本行最高管理层有义务促进内部职业道德水平的提高，在内部创造良好的控制文化，向员工强调和宣传内部控制的重要性，形成 “银行经营的是风险”的意识， 创造良好的内部环境，确保所有员工能清楚地意识到在内部控制中的作用，全面参与到内部控制活动中。5.6.2 职责1) 董事会办公室负责企业文化建设总体策划，组织开展各类企业文化建设活动；2)行长办公室负责推进XYZm商业银行CIS工程，统一管理全行的外在形象；3) 人力资源部负责对各级管理

38、人员和员工进行企业文化专题培训和教育；4) 工会组织开展适合各个层次员工广泛参与的各种类型的群众性活动；5.6.3 政策1)体现XYZm商业银行统一的基本价值观、理念和精神；2) 体现本行自身经营管理的风格和文化特点；3) 做到理念与制度配套，理念与行为一致，用理念指导和影响制度，用制度支撑和体现理念。4) 6.4 活动本行制定了企业文化管理规定( I510001 ) ，规定了企业文化的内涵、基本原则、机制和要求。1) 规划。成立各级企业文化建设领导小组，建立健全相应的工作机制，形成党委统一领导、有关部门通力合作、齐抓共管的工作局面。2)建设。重视加强文化工作队伍建设，通过加强学习、强化培训和

39、实践锻炼， 建立一支以各级管理人员、企业文化工作者和党团员为主的家园文化建设骨干队伍，适应推进家园文化建设工作的客观需要。3) 企业文化传播。运用和通过一定的形式和渠道将企业文化内涵的各项要素有效地传播给每一位员工，并逐步渗透到经营管理的各个环节，最终成为全体员工的自觉行为规范。4) 企业文化评估。运用和借助一定的方法和工具对本行或支行企业文化的现实状况进行诊断、分析、判断、评价，并最终作出报告和提出改进建议。5)典型案例教育。通过提炼典型事例，教育员工树立正确的价值观和风险文化意识。5.7 人力资源政策和程序5.7.1 目的运用现代商业银行人力资源开发与管理理念，逐步形成适应本行发展需要的，

40、以“职务能上能下、收入能增能减、员工能进能出”为主要特征的人力资源管理模式，为本行实现长远发展战略提供人力资源支持。5.7.2 职责本行人力资源部负责拟定全行人力资源规划、政策制订和日常管理。5.7.3 政策1) 以建立员工内部等级体系为基础，以完善聘任制为核心，建立科学合理的选拔任用机制，完善考核评价体系，强化岗位的激励约束作用。逐步设置新的专业技术岗位职务序列，为专业技术人员开辟晋升通道和发展空间。2) 按照市场化配置原则和本行业务发展需要，实行人员总量控制和结构调整，制定人员引进计划。在人员招聘录用中，坚持公开、公正、公平的原则，公开接收报名，本行统一组织考试(面试)，本行专家小组集体打

41、分，本行最终录用审批。人员调配实行亲属回避制度。3) 以合同为基础，实行用工规范化管理，明确岗位权利和义务。严格岗位资格认证制度，实施持证上岗。对重要岗位人员实行定期交流。4) 引入人力资本管理理念，强化员工的岗位发展性培训，增强培训的前瞻性和实用性，实施岗位资格、履岗能力、职务提升、职业生涯发展培训，充分体现培训的激励和约束作用，提高人力资本的总体质量。5) 实施领导人员聘任制度，坚持公开、公正、公平竞聘程序。实施民主推荐、民意测试、民主评议和任前公示。合理设置聘期目标责任，明确聘任主体双方的权利与义务。6) 实行聘任前的审查和离岗、离职、离行审计，并依据界定的管理职责和经营职责决定审批意见

42、。7) 完善和坚持经营管理人员监督管理制度，包括：本行转授权、基层行领导经营管理班子成员分工、民主生活会、任职稽审、个人重大事项申报、外出报告、党风廉政建设责任制、岗位交流、强制休假。8) 依据不同岗位职责，设置科学合理的定性、定量考核指标，客观准确地衡量被考核者的业绩和能力。9) 将福利分配纳入薪酬体系之中，使各级机构的薪酬总量水平与其经营绩效密切挂钩，使员工的薪酬水平与其岗位责任和贡献密切挂钩，建立有特色的、激励有力约束有效的薪酬制度。5.7.4 程序1） 岗位分析：岗位分析是人力资源管理的基础，对人力资源的需求和分派职责应基于岗位分析，同时岗位分析结果作为评价人员适任条件的标准。本行系统

43、地分析了本行所有岗位的职责、权限、人员适任条件，针对不同的岗位，本行明确了不相容岗位、特殊岗位控制要求，对关键和特殊岗位实行定期或不定期的人员轮换制度也作了规定。2） 员工培训：培训是提高员工能力和意识的有效手段，本行制订了培训管理规定（ I620004） ，规定了培训需求、计划、实施、评价的控制程序，明确了培训管理的职责和要求。3） 日常人事管理：本行制订了薪酬管理规定（ I620007） 、 员工进入管理规定 （ I620003） 、 员工年度考核管理规定（ I620005） 、 员工奖励管理规定（ I620006） 、 人员调配管理规定（ I620018） 、 劳动合同管理规定 （ I6

44、20009） 、 外聘人员管理规定（ I620013） 、 人才储备管理规定 （ I620014） 、 人事档案管理规定（ I620012） 、 员工工作时间及请休假管理规定（ I620016） 、 五险一金管理规定（ I620017） 、 员工退出管理规定（I620010）等日常人事管理程序，对员工引进、退出、考核、薪酬、专业技术职务管理作了详细的规定。4） 高管人员管理：本行制订了高级管理人员竞聘、考核及辞职管理规定（ I620008） 、 重要岗位管理规定（ I620015） ， 高中级管理人员谈话制度（I850002）、廉政建设管理规定（I850003）对高级经营管理人 员选拔聘任、离

45、任离职、廉洁自律作出了具体的规定。5） 党员干部管理：本行充分考虑到党风党纪是对党员干部的一种有效的约束方式和控制手段，因此把对党员干部的管理要求转化为体系文件，见廉政建设管理规定（ I850003） 。6） 职业操守管理：规定本行员工的行为规范和职业操守，具体见员工职业行为规范（ I620011 ） 。本行依据要求和实际情况识别岗位需求，对员工的聘任、上岗、培训、流动、调整及考核做出了明确规定，保证各岗位从事影响质量与内控工作的员工有能力胜任。我行制定并实施了人力资源控制程序（ P6201） 。本行通过培训和其他措施提高员工的工作能力，使员工认识到所从事工作对内控管理的重要性，对员工能力进行

46、科学评价，使其努力为实现内控目标作出贡献。针对不同的岗位，本行同时明确了不相容岗位、特殊岗位，风险控制重点岗位及其活动控制要求。本行确定了对员工培训的需求、计划、实施、评价和相关纪录的程序，明确了培训管理的职责和要求。我行制定并实施人员调配管理规定（I620018）和培训管理规定（I620004）。6. 风险识别与评估6.1 风险识别与评估6.1.1 目的风险识别与评估是内部控制体系的基础，是确保内控体系有效运行的动力。风险识别和评估的目的是找出可能影响经营、财务信息、符合性目标的内部或外部风险，并进行控制或施加影响，从而控制可能面临的信用风险、操作风险、流动性风险、法律风险等重要风险。6.1

47、.2 职责1） 关联交易与风险控制委员会领导风险识别和评估工作，并对结果进行审批；2） 风险管理部负责组织、协调风险识别和评估工作；3） 各部门负责在权限范围内提出风险识别与评估的需求、计划，对其所辖范围内的各项业务、产品、流程和其他管理事项进行逐项识别、归类，并将这些风险识别的结果关联交易与风险控制委员会审定。4） 风险评估工作小组负责风险识别与评估方法和工具的确定。5） 1.3 政策1) 当发生以下情况之一时，应进行风险识别与评估：内部控制体系建立时；新产品和新业务开发时；新设备和新系统应用时；内控政策和目标修改时；重大事故、险情、案件、隐患发生时；业务流程发生较大变化时；组织机构变革时；

48、重要员工流动时；法律法规、监管要求发生变化时；经济周期性波动时；行业发生变革时；同业发生新的案例时；其他认为需要时。2) 识别银行风险时应采用科学的方法，避免简单化和主观臆断。3) 1.4 程序本行建立了风险识别与评估程序( P7102) ，规定了风险识别和评估的过程，为本行开展风险识别与评估活动提供依据。风险识别和评估的过程包括：1) 策划：风险管理部负责风险识别和评估的组织、策划，并确定各部门应报告的风险类别。2) 识别：采用能够充分识别并确定经营管理所有的常规和非常规的运作过程和活动的风险识别方法，从而识别出这些过程和活动中的风险。3) 评估： 采用的风险评估方法依据风险的后果、发生的概

49、率、持续的时间、控制的能力，以及有关法律法规及其它监管要求、降低或减小风险的难度、相关方的要求、本行公众形象的影响等，确定风险的级别和控制的优先秩序。对于可接受的风险，进行监测并定期评审，以确保其持续可接受；对于不可接受的风险，确定风险控制目标并制定控制方案。4) 再评审： 当发生重大损失、险情或不符合时，对风险识别和评估的方法、过程以及结果进行必要的评审和改进。5) 结果：将评估结果形成适宜的文件，作为建立和保持内部控制体系中各项决策的基础，并为持续改进本行风险控制绩效提供衡量基准。6) 其他：信用风险是当前本行面临的主要风险，针对每笔信贷业务均应根据业务管理规定进行风险识别与评估。这些风评

50、要求包括对客户评价、担保评价和项目评估等方面，此外， 本行还将逐步运用信用风险预警系统评估客户违约概率和违约损失率。6.2 法律法规和监管规定6.2.1 目的法律法规和监管要求是内控体系建立和运行的基本依据。识别法律法规和监管规定的目的是确保各级人员在经营管理活动中能够及时了解并掌握有关的法律法规和监管要求，确保我行的经营和管理活动符合法律法规和监管要求的规定，有效识别和防范法律风险。6.2.2 职责1) 风险管理部负责法律法规等要求的识别、获取、跟踪以及传递和更新；2)风险管理部根据国家法律、法规、地方法规、规章及XYZ市商业银行业务发展状况，设计、调整 XYZff商业银行规章制度体系。3)

51、 相关部门及时获取有关法律法规、监管要求和规章制度并传达到相关员工。4)风险管理部负责审查相关政策和规章制度，并组织监测全行制度执行情况。5) 风险管理部负责对各部门起草的规章制度和业务手册的合法合规性审查。6) 会计结算部负责组织管理全行反洗钱工作。7)风险管理部负责拟定重要业务合同格式文本，审查对外签出的标准和非标准格式的合同、协议及其他法律性文件。8)风险管理部负责为全行业务经营活动提供法律咨询意见，向行领导提供法律信息和建议；参加重大业务活动的谈判，列席贷款审批会议。9)负责收集、整理、分析与本部门职责相关信息，支持管理信息系统，并向行内各部门提供相关共享信息。7) 2.3 政策1）

52、建立并保持程序，以识别和获取适用法律法规、监管的要求和其他要求。2） 及时更新上述信息，并将有关信息传达到相关员工和其他有关的相关方。3） 风险管理部的合法性意见是提醒业务部门注意有关法律风险，并视具体情况提出防范或降低法律风险的对策，是决策部门的参考意见，该意见不是最终的决策意见，而是业务部门做出经营决策的重要参考。4） 会计结算部、风险管理部与司法机关、行政执法机关全面合作，应当依法协助、配合司法机关和行政执法机关打击洗钱活动，依照法律、行政法规等有关规定协助司法机关、海关、税务等部门查询、冻结、扣划客I、t . / - -u/ , 户存款。6.2.4 程序1） 法规识别与控制：本行建立并

53、实施适用法律法规及其他要求控制程序（ P7101） ， 对如何识别和控制本行适用的法律法规和监管规定做出了规定，包括：a） 识别：风险管理部负责识别本行经营管理活动应该遵循的法律法规和监管要求的范围和权威机关。b） 获取、跟踪和传递：建立获取和跟踪法律法规等要求的有效的渠道和方式，及时获取最新的法律法规等要求（包括新颁布的和更新的），通过法律法规信息传递平台传达给有关部门和人员。c） 更新：为有效地指导本行经营管理活动，便于各级人员及时查阅，法律部建立法律法规及监管要求的信息平台或清单，并适时更新。d） 了解和掌握：各业务主管部门负责组织本部门员工学习相关的法律法规等要求，必要时将相关要求转化到本行的业务管理文件中。2） 法律文件审查、规章审查：为防范可能因法律文件引起的法律风险，对本行经营管理活动中涉及法律问题的文件，由风险管理部对合法性进行审查，具体审查要求见法律事务管理规定（I750002）和相关体系文件。3）咨询与谈判：为确保我行业务正常、健康的发展，由风险管理部对业务实践中遇到的各种法律问题及时予以解决，并对决策提供法律意见或建议。具体要求见相关体系文件。4）反洗钱：具