某银行内部控制手册-内控手册模板

1、文件编号：I-B XYZ市商业银行内部控制手册 版本号：A/0PAGE PAGE 96资料文件编号：C-020 受控号：XYZ商业银行内部监控手册编 制： 审 核： 批 准： 版 本 号： 生效日期： 目 录 TOC o 1-2 h z u HYPERLINK l _Toc121734605 修改记录 PAGEREF _Toc121734605 h 4 HYPERLINK l _Toc121734606 颁布令 PAGEREF _Toc121734606 h 5 HYPERLINK l _Toc121734607 XYZ市商业银行简介 PAGEREF _Toc121734607 h 6 HYP

2、ERLINK l _Toc121734608 1.范围 PAGEREF _Toc121734608 h 8 HYPERLINK l _Toc121734609 2.依据与引用资料文件 PAGEREF _Toc121734609 h 9 HYPERLINK l _Toc121734610 3.术语和定义 PAGEREF _Toc121734610 h 9 HYPERLINK l _Toc121734611 3.1关于内控和体系的定义 PAGEREF _Toc121734611 h 9 HYPERLINK l _Toc121734612 3.2关于风险的定义 PAGEREF _Toc1217346

3、12 h 10 HYPERLINK l _Toc121734613 3.3关于资料文件的定义 PAGEREF _Toc121734613 h 11 HYPERLINK l _Toc121734614 3.4简称和缩写 PAGEREF _Toc121734614 h 11 HYPERLINK l _Toc121734615 4.总则 PAGEREF _Toc121734615 h 12 HYPERLINK l _Toc121734616 4.1 内部监控体系过程 PAGEREF _Toc121734616 h 12 HYPERLINK l _Toc121734617 4.2 内部监控原则 PAG

4、EREF _Toc121734617 h 13 HYPERLINK l _Toc121734618 5.内部监控环境 PAGEREF _Toc121734618 h 14 HYPERLINK l _Toc121734619 5.1公司治理结构 PAGEREF _Toc121734619 h 14 HYPERLINK l _Toc121734620 5.2 董事会、监事会和高级管理层的内控责任划分 PAGEREF _Toc121734620 h 15 HYPERLINK l _Toc121734621 5.3 内控政策管理 PAGEREF _Toc121734621 h 15 HYPERLINK

5、 l _Toc121734622 5.4 内控目标管理 PAGEREF _Toc121734622 h 17 HYPERLINK l _Toc121734623 5.5组织结构 PAGEREF _Toc121734623 h 18 HYPERLINK l _Toc121734624 5.6 企业文化 PAGEREF _Toc121734624 h 20 HYPERLINK l _Toc121734625 5.7 人力资源政策和程序 PAGEREF _Toc121734625 h 22 HYPERLINK l _Toc121734626 6.风险识别与评估 PAGEREF _Toc1217346

6、26 h 24 HYPERLINK l _Toc121734627 6.1风险识别与评估 PAGEREF _Toc121734627 h 24 HYPERLINK l _Toc121734628 6.2法律法规和监管规定 PAGEREF _Toc121734628 h 26 HYPERLINK l _Toc121734629 6.3内部监控方案 PAGEREF _Toc121734629 h 28 HYPERLINK l _Toc121734630 7.实施和运行 PAGEREF _Toc121734630 h 29 HYPERLINK l _Toc121734631 7.1计划财务 PAGE

7、REF _Toc121734631 h 29 HYPERLINK l _Toc121734632 7.2公司业务 PAGEREF _Toc121734632 h 33 HYPERLINK l _Toc121734633 7.3个人金融业务 PAGEREF _Toc121734633 h 38 HYPERLINK l _Toc121734634 7.4银行卡业务 PAGEREF _Toc121734634 h 41 HYPERLINK l _Toc121734635 7.5票据业务 PAGEREF _Toc121734635 h 43 HYPERLINK l _Toc121734636 7.6资

8、金业务 PAGEREF _Toc121734636 h 45 HYPERLINK l _Toc121734637 7.7不良资产管理业务 PAGEREF _Toc121734637 h 47 HYPERLINK l _Toc121734638 7.8会计核算和运行管理 PAGEREF _Toc121734638 h 49 HYPERLINK l _Toc121734639 7.9 信息技术管理 PAGEREF _Toc121734639 h 52 HYPERLINK l _Toc121734640 7.10 安全保卫 PAGEREF _Toc121734640 h 54 HYPERLINK l

9、 _Toc121734641 7.11 应急筹备与响应管理 PAGEREF _Toc121734641 h 55 HYPERLINK l _Toc121734642 8.监测评价和延续改进 PAGEREF _Toc121734642 h 57 HYPERLINK l _Toc121734643 8.1内部监控绩效的监测 PAGEREF _Toc121734643 h 57 HYPERLINK l _Toc121734644 8.2违规、险情、事故处置与纠正和预防措施 PAGEREF _Toc121734644 h 58 HYPERLINK l _Toc121734645 8.3 内部监控体系评

10、价 PAGEREF _Toc121734645 h 60 HYPERLINK l _Toc121734646 8.4 管理评价 PAGEREF _Toc121734646 h 61 HYPERLINK l _Toc121734647 8.5 延续改进 PAGEREF _Toc121734647 h 63 HYPERLINK l _Toc121734648 9.信息交流与反馈 PAGEREF _Toc121734648 h 63 HYPERLINK l _Toc121734649 9.1资料文件化 PAGEREF _Toc121734649 h 63 HYPERLINK l _Toc121734

11、650 9.2 资料文件监控 PAGEREF _Toc121734650 h 65 HYPERLINK l _Toc121734651 9.3 记录监控 PAGEREF _Toc121734651 h 67 HYPERLINK l _Toc121734652 9.4 交流与沟通 PAGEREF _Toc121734652 h 68 HYPERLINK l _Toc121734653 10 附录 PAGEREF _Toc121734653 h 69 HYPERLINK l _Toc121734654 附录一：XYZ市商业银行内部监控体系、商业银行内控指引条款对照表 PAGEREF _Toc121

12、734654 h 71 HYPERLINK l _Toc121734655 附录二：XYZ市商业银行组织架构图 PAGEREF _Toc121734655 h 73 HYPERLINK l _Toc121734656 附录三：XYZ市商业银行风险管理组织架构图 PAGEREF _Toc121734656 h 86 HYPERLINK l _Toc121734657 附录四：风险类别与内控职能分配表 PAGEREF _Toc121734657 h 87 HYPERLINK l _Toc121734658 附录五：适用的法律、法规和监管要求资料文件清单 PAGEREF _Toc121734658

13、h 88 HYPERLINK l _Toc121734659 附录六：XYZ市商业银行内部监控体系资料文件目录 PAGEREF _Toc121734659 h 91修改记录序号修改日期修改单号修改人生效日期颁布令我批准XYZ市商业银行内部监控手册（A/0版）自20XX年12月18日开始生效。内部监控手册是本行内部监控体系的纲领性资料文件，是我行策划、建立、实施、保持并延续改进内部监控体系的基本准则，本手册满足了商业银行内控指引和商业银行内部监控评价试行办法规定要求，本行全体职工或员工应对执行内部监控手册及保持其有效性承担义务，并为内部监控体系的延续改进作出贡献。为保证本行内部监控体系的顺利建立

14、和有效运行，特任命（后台行长）同志为本行首席风险官，除其原有职位职责和权力外，还授权其履行商业银行内部监控评价试行办法中首席风险执行官的职责和权力，包括：确保按规定要求建立、实施、保持和延续改进本行的内部监控体系；负责对本行的内部监控体系的运行进行沟通协调、监控和评价；对发现任何不符合内部监控体系资料文件规定要求时，有权采取必要的措施，直至该问题得到解决；报告内部监控体系运行有效性的情况，提出重大改进的建议。为确保本行内部监控体系在各部门及所属分支机构有效运行，本行相关部门与经营场所根据实际情况的需要（有特殊规定的除外），设置风险代表，负责：本部门或本业务领域的风险和内控工作；对本部门或本业务

15、领域的职工或员工进行关于风险和内控要求的教育培训；对本部门或本业务领域内部监控体系运行的沟通协调、监控和评价，对发现任何不符合内部监控体系资料文件规定要求的作业和活动，授权采取适宜的措施并向上级报告，直至问题解决。 行长： 二XX年X月x日XYZ市商业银行简介XYZ市商业银行是xx年4月经中国人民银行“银复xx135号”文批准，在XYZ市城区原8家城市信用社的基础上合并改制组建的WW省第一家地方性股份制商业银行。本行设立时的名称为XYZ城市合作银行，xx年5月，经中国人民银行XYZ市本行“V银复xx21号”文批准，更名为“XYZ市商业银行股份有限公司”。注册资本为12,768万元人民币，本行是

16、实行自主经营、自担风险、自负盈亏、自我约束的独立法人，实行一级法人体制。依照现代股份制企业的要求，XYZ市商业银行最高权利机构是股东大会，实行董事会领导下的行长负责制经营体系和以监事会为中心的监督体系。总部设有人力资源部、行长办公室、科技开发部、监审保卫部、公司金融部、个人金融部、会计结算部、授信管理部、计划财务部、风险管理部、纪检监察室、资金营运部、银行卡部、票据贴现中心14个部室。下设29家支行和1家资产管理公司，现有在职职工或员工419人，研究生学历9人，本专科学历69人，大中专学历328人。本行的董事、监事、高级管理人员均具备银监会规定的任职资格/资质。随着金融科技的不断发展，对银行从

17、业人员的素质要求也不断提高，我行坚持把人才的培养、选拔和引进相结合，着力提高职工或员工队伍综合素质，实现人才兴行战略。 XYZ市商业银行拥有一支充满活力、素质较高、积极向上的职工或员工队伍，他们努力工作，积极开拓，热忱、周到、快捷地为XYZ市民提供一流的金融服务。本行自设立以来，在市委、市政府的准确领导下，在股东单位的鼎力相助下，在监管部门和人民银行的有效监管和大力支持下，组织和带领全行职工或员工改革创新，开拓进取，使本行综合竞争实力明显增强，实现了跨越式发展。截止20XX年xx月末，全行所有存款（时点）余额243,842万元；（日均）存款余额233,991万元。全行存款中，储蓄存款余额101

18、,845万元，对公存款余额141,997万元；定时存款余额117,661万元，活期存款余额126,181万元。所有贷款余额160,557万元；上半年累计发放贷款37,724万元，累计收回31,046万元。其中现金收回28,807万元。不良贷款情况，xx月末不良贷款余额25,196万元，不良贷款占比为16%。其中，今年新增不良贷款1,458万元，上半年清收不良贷款65万元，全部为现金收回。中间业务开展情况，全行共发行九通卡24,264张，公交IC卡17,363张；代理保险产品有新华人寿、中国人寿的“红双喜”、“国寿鸿丰”、“千禧红”等。经营收支情况，上半年实现营业收入3,257万元，其中利息收入

19、2,945万元；累计营业支出3,548万元，其中利息支出1,554万元。上半年实现净利润248万元。为了保证XYZ市商业银行的延续、健康发展，本行严格依照现代企业制度的要求规范运作，坚持依法合规、稳健经营，始终遵循“打服务牌、走百姓路、办特色行”的办行宗旨，以“团结、求实、高效率、创新”的企业精神，延续推行优质服务，健全内控机制，拓展营销推广业务和建立健全约束激励机制等方面加大创新、改革力度，使全行的所有工作逐步步上健康，快速，高效率发展的运行轨道。20XX年本行制定了未来发展规划，为了实现规划，本行提出了相应的管理措施。即以法人治理结构为主体，建立科学、高效率的决策、激励和约束机制；以市场为

20、导向，开拓新型业务和服务品种，打造品牌形象，把本行根植于地方经济发展的主流；以经营效益为中心，强化成本管理、预算管理和经营核算，追求效益最大化；以科技为先导，不断搞好科技开发和应用，使科技成为业务经营的重要支撑；以风险管理为主线，切实做到防范风险、规避风险、化解风险；以内控管理为重点，建立健全科学有效的内部监控管理体系；以人为本，全面提高职工或员工素质，打造一支适应现代银行发展的职工或员工队伍；以创新为动力，认真研究金融产品、管理、经营、制度和科技创新，保持发展的源动力。将本行打造成为资本充足、内控严密、运营安全、服务和效益良好的现代化商业银行。为了提高和稳定金融服务质量，防范各类金融风险，提

21、供舒适的金融服务环境，延续满足客户要求，努力把XYZ市商业银行xx成为精品的银行，使XYZ市商业银行的经营管理水平尽快与国际接轨，决定实施ISO9001国际标准与商业银行内部监控评价试行办法相结合，建立、实施和保持金融服务质量管理与内部监控体系。本行是最具生机和活力的地方性、股份制金融企业。面对地方经济快速发展，本行要争取抓住金融全面开放前的有利时机，以科学发展观统揽全局，把“防风险、严内控、快发展”作为全行的根本任务，实现质量、效益、规模、结构沟通协调统一、可延续发展，营造良好的经营业绩和优质的金融服务回报社会和广大投资者，为振兴WW经济做出积极贡献。办公地址： xx号码：联系电话： 传 真

22、：1.范围XYZ市商业银行内控体系将覆盖XYZ市商业银行经营管理中与内控关于的机构、活动和产品，具体包括：1） 机构覆盖范围：XYZ市商业银行本部所有的业务部门、管理部门、支行说明：党团群工部门活动、职能中与经营管理活动相关职能纳入体系，其他活动与职能不纳入体系范围。2） 活动覆盖活动所有业务活动，如信贷业务，柜面业务等所有管理活动，如职能分配，资源提供，检查考核等所有支持性活动，如安全保卫，产品设计和开发，采购和业务外包等。说明：业务外包活动指计算机系统开发外包、守库押运外包等所有外包给供方履行，并构成XYZ市商业银行经营管理活动一部分的活动。3） 产品覆盖范围XYZ市商业银行提供给客户的所

23、有金融产品，包括资产业务、负债业务、中间业务、表外业务等，具体见产品目录。2.依据与引用资料文件以下资料文件和标准在引用时均为有效的版本，它们为资料文件化内部监控体系的建立和维护提供依据。当引用资料文件和标准发生修订、撤消或有新依据资料文件时，本行将评价内部监控体系的符合性并对其进行更改或换版。1）法律、法规和监管要求（其清单见本手册附录五）2）标准：人民银行内部监控指引商业银行内部监控评价试行办法质量管理体系 要求3）本行资料文件（具体资料文件在内部监控体系各资料文件中列出）4）其他。3.术语和定义商业银行内部监控评价试行办法、质量管理体系 要求给出的定义和术语均适用于本手册。3.1关于内控

24、和体系的定义内部监控（internal control）：为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中监控、事后监督和纠正的动态过程和机制；体系(system)：相互关联或相互作用的一组要素。过程（process）：一组将输入转化为输出的相互关联或相互作用的活动。不符合 （nonconformity）：任何能直接或间接致使损失的对工作标准、程序、法规、体系绩效等的偏离。评价（audit）：确定活动及其结果是否符合策划的安排，以及策划的安排是否实施并适合于达到内部监控政策和目标的系统检查。PDCA循环：指P（计划）D（实施）C（检查）A（处理，改进）的工作方法。

25、3.2关于风险的定义风险（risk）：对目标有所影响的某个事情发生的可能性与后果的结合。根据巴塞尔银行监管委员会发布的关于文献，以下2）至9）是各类风险定义。信用风险：是指由于借款人或交易对手未能履约或履约意愿变化所带来的风险。国家和转移风险：是指由于非正常的、对所有贷款或交易头寸都造成或产生风险的原因，一国的主权借款人可能无力或不自愿、而其他借款人或交易对手可能无力履行其对外义务所造成或产生的风险。国家和转移风险的主要表现形式有主权风险和转移风险。市场风险：是指由于市场价格的不利变更使银行的表内和表外头寸遭受损失的风险。按风险要素划分，市场风险包括外汇风险、股权价格风险、商品价格风险。利率风

26、险：是指银行的财务状况在利率波动时出现损失的可能。利率风险不仅影响银行的盈利水平，也影响银行资产、负债和表外金融工具的经济价值。利率风险主要形式有重新定价风险、收入曲线风险、基准风险、期权性风险。流动性风险：是指银行无力为负债的减少或资产的增加提供融资，即当银行流动性不足时，它无法以合理的成本迅速增加负债或变现资产取得足够的资金，从而带来损失的可能。操作风险：是指由于不完善的或失效的内部程序、人员、系统或外部事件致使直接或间接损失的风险。法律风险：是指因现行法律不完善、不明确以及法律修改，不完善、不准确的法律建议或意见、资料文件，交易行为违反法律和监管规定等原因致使银行损失的可能。声誉风险：是

27、指由于银行操作失误、违反法规、经营不善及其他问题而带来的银行市场形象上的不利影响。风险识别（risk identification）：识别风险的并确定其性质的过程。风险评估 （risk appraisal）：估计风险程度并确定风险是否可容许的全过程。3.3关于资料文件的定义资料文件（document）：信息及其载体。内部监控手册（internal control manual）：向本行内部和外部提供关于内部监控体系的一致信息的资料文件，是本行内部监控体系的纲领性资料文件。程序资料文件（procedure）：描述所有业务和管理活动的过程和顺序的资料文件， 是针对内部监控手册所提出的管理与监控要求

28、，规定如何达到这些要求的具体实施办法。操作规程（work regulations）：表述内控体系程序或手册中具体操作要求的资料文件，指导职工或员工执行具体的工作任务。规范、规定（specification）：阐明本行管理要求的资料文件。场所资料文件（local document）：各部门（包括所属机构）为实施本行内控体系要求而制定的适用于本部门场所的职责和活动的相关规定。记录（record）：为履行的活动或达到的结果提供客观证据的资料文件。3.4简称和缩写本行：指XYZ市商业银行。总行或本行本部：指纳入XYZ市商业银行总部及各部室。支行或营业部：指XYZ市商业银行管辖的支行或直属营业部。本手册

29、未予以给出的术语和定义由各程序资料文件和操作规程在引用时界定。4.总则4.1 内部监控体系过程本行依照商业银行内部监控指引和商业银行内部监控评价试行办法并结合本行实际，建立和实施内部监控体系，确保与风险管理相关的内部监控环境、风险识别与评估、内部监控措施、监督评价与纠正、信息交流与反馈等要素处于受控状态，形成资料文件并加以实施、保持和延续改进。为建立和实施内部监控体系，本行采用过程方法、管理的系统方法和基于事实决策的方法，把本行经营活动、管理活动、支持活动作为过程和过程网络来管理，并应用P（计划）D（实施）C（检查）A（处理）循环，（纳入缩写）延续改进这些过程的有效性，从而不断提高本行风险监控

30、水平和监管部门信任程度，为实现本行发展战略和经营目标奠定基础。本行内部监控体系的关于过程包括：明确管理的职责和权限，制定内部监控政策和目标，建立良好的内部监控环境；识别、分析和评估营运流程中的风险，制定相应的监控方案；实施对营运流程中的风险的监控；确定各类业务和管理活动的过程及其结果的监视、测量方法和准则，并按规定进行监视、测量、分析其有效性和绩效；为消除已发生或潜在的损失、险情和不符合的源因，制定并实施纠正或预防措施，防止其再发生或发生；运用PDCA循环延续改进上述过程。用过程方法建立的 “内部监控体系”其模式图如下：内部控制环境信息交流与反馈风险识别与评估内部控制措施监测评价与纠正内部监控

31、体系过程模式图根据上述内部监控体系模式，本行将内部监控体系的架构分为五个模块，各模块之间关系如上图。各模块的具体内容见本手册第五章至第九章相应章节内容。4.2 内部监控原则本行内部监控体系充分贯彻全面、审慎、有效、独立、成本效益的原则：a) 全面性原则本行的内部监控渗透到本行内控范围内的所有业务过程和各个操作环节，覆盖本行内控范围所有的部门和岗位，由该范围内全体职工或员工参加，并为其活动的有效性提供证据。b) 审慎性原则本行的内部监控以防范风险、审慎经营为出发点，在衡量影响所有经营管理活动，特别是设立新的机构或开办新的业务的诸多因素时，应当体现“内控优先”的要求。c) 有效性原则本行的内部监控

32、要求具有权威性，所有涉及人员均应遵循，并在受控状态下活动，任何人不得拥有不受内部监控约束的权力，内部监控实际和潜在的问题能够得到及时识别，并消除其发生的根本原因。d) 独立性原则本行内部监控的监督、评价、评价部门或人员应当独立于内部监控的xx、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。e）成本效益原则本行内部监控与经营规模、业务范围和风险特点相适应，注重成本效益合理配比，以合理的成本实现内部监控的目标。5.内部监控环境5.1公司治理结构本行已建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，并且能够坚持各机构规范运作，分权制衡。本行已建立了完善的股东大会、董

33、事会、监事会等议事和决策机构，并在董事会下设立了关联交易与风险管理委员会、薪酬提名委员会和审计委员会等3个专门委员会和董事会办公室；在监事会下设立了审计委员会、提名委员会和监事会办公室。同时，本行制定了相应的工作条例，以明确各议事和决策机构、监督机构的职责、义务、议事规则和决策程序。1、股东大会工作条例(I550002)2、董事会工作条例(I550003)3、董事会关联交易风险管理委员会工作条例(I550005)4、董事会薪酬提名委员会工作条例(I550006)5、董事会审计委员会工作条例(I550007)6、监事会工作条例(I550012)7、监事会审计委员会工作条例(I550014)8、监

34、事会提名委员会工作条例(I550013)5.2 董事会、监事会和高级管理层的内控责任划分董事会在内控方面的职责：一是保证商业银行建立并实施充分而有效的内部监控体系；二是负责审批整体经营战略和重大政策并定时检查、评价执行情况；三是负责确保商业银行在法律和政策的框架评价审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并监控风险；四是负责审批组织机构；五是负责保证高级管理层对内部监控体系的充分性与有效性进行监测和评估；六是和高级管理层一起培育良好的内部监控文化，提高职工或员工的风险意识和职业道德素质；七是和高级管理层一起建立通畅的内外部信息沟通渠道；八是和高级管理层一起

35、确保及时获取与内部监控关于的人力、物力、财力、信息以及技术等资源。监事会在内控方面的职责：一是负责监督董事会、高级管理层完善内部监控体系；二是负责监督董事会及董事、高级管理层及高级管理人员履行内部监控职责；三是负责要求董事、董事长及高级管理人员纠正其损害商业银行权益的行为并监督执行。高级管理层在内控方面的职责：一是负责制定内部监控政策，对内部监控体系的充分性与有效性进行监测和评估；二是负责执行董事会决策；三是负责建立识别、计量、监测并监控风险的程序和措施；四是负责建立和完善内部组织机构，保证内部监控的所有职责得到有效履行；五是和董事会一起培育良好的内部监控文化，提高职工或员工的风险意识和职业道

36、德素质；六是和董事会一起建立通畅的内外部信息沟通渠道；七是和董事会一起确保及时获取与内部监控关于的人力、物力、财力、信息以及技术等资源。5.3 内控政策管理5.3.1 目的内控政策是对各类风险进行监控的原则和要求，是设置在所有管理和操作规章制度之上的风险防范屏障。本手册系统阐述了本行所有业务和管理活动的内控政策。5.3.2 职责1) 关联交易与风险监控委员会负责审定所有内部监控政策，负责建立健全XYZ市商业银行风险管理与内部监控体系，审定内控管理组织实施方案。2)风险管理部负责对内部监控政策实施监测；在行长的领导下负责制定内控项目xx工作整体方案及内控体系推进计划；组织和沟通协调推进内控工作，

37、实时监督、检查和反馈；定时/不定时向首席风险执行官或关联交易与风险监控委员会报告；负责XYZ市商业银行内控政策的汇总编制和调整完善工作；3) 业务部门贯彻落实XYZ市商业银行内控政策，保证XYZ市商业银行内控政策有效运行所需的资源支持和在本部门系统的有效执行；参加XYZ市商业银行年度内控目标、计划的制定；内控政策变更工作；对各支行内控开展情况进行指导、沟通协调、检查、反馈和考核；执行并反馈内控政策执行过程中遇到的问题； 4) 审计部门对内控政策实施监督和评价。5.3.3 政策1) 内部监控政策的制定应与本行总的指导方针相适应；2) 内部监控政策应充分体现稳健经营的发展思路；3) 内部监控政策体

38、现对不同行业、产品、业务和管理活动的风险监控要求和侧重监控的风险；4) 内部监控政策作为本行制定所有内部监控目标的依据和框架。5.3.4 程序1) 制定：各部门根据战略规划和其他内控要求，制定本系统的内控政策。涉及全行性的或重大风险政策由关联交易与风险监控委员会负责审定。2) 实施：各业务部门和分支机构贯彻执行内控政策。3) 检查、评估：检查监督部门对内控政策实施情况进行检查和评估。每年管理评价时或内控政策发生重大变更时，应进行系统评估，并根据评估结果及时调整。5.4 内控目标管理5.4.1 目的内控目标是本行依据内控政策所策划的、希望达到的内部监控的结果，内部监控目标由内控指标体系具体反映。

39、内控目标管理有助于明确内控工作努力的目标，衡量内控体系的绩效。5.4.2 职责1) 关联交易与风险监控委员会负责审定内控指标体系；2) 风险管理部负责组织各职能部门拟定内控指标体系，并进行监测；3) 各职能部门负责本部门系统内控指标体系的拟定，保障本部门系统内控目标的实现；4) 计划财务部负责内控定量指标的考核，将内控指标执行考核情况转化纳入绩效考核体系。5.4.3 政策1) 内控目标应确保国家法律规定和本行内部规章制度的贯彻执行；确保发展战略和经营目标的全面实施和充分实现；确保风险管理体系的有效性；确保业务记录、财务信息和其他管理信息的及时、真实和完整；2) 内控目标应符合内部监控政策，并体

40、现对延续改进的承诺；3) 内控目标应分解至横向职能部门或纵向经办行；4) 内控目标应可测量，如可行，尽可能量化。5.4.4 程序本行建立了综合经营计划管理程序（P5401），规定了内控指标和其他业绩评价指标的设置、策划、分解、监控和考核。1) 指标设置a) 遵循指标：遵循目标是衡量对法律法规、监管规定和XYZ市商业银行规章制度的遵守程度，包括：一般违规次数严重违规次数b) 安全指标：安全目标是反映风险管理和内部监控的有效性，包括：案件损失金额案件数不良资产率不良资产监控额c) 体系绩效指标：反映体系运行状况，包括：评价指标：包括评价轻微不符合数和评价严重不符合数；内控评价指标：包括分别达到内控

41、一级、二级、三级、四级、五级水平的基层机构数量。2) 指标数值的确定：每年根据综合经营计划确定具体的内控指标值和考核办法。3) 指标的分解、监测、调整和考评见综合经营计划管理程序（P5401）。5.5组织结构5.5.1目的通过建立分工合理、职责明确、报告关系清晰的内控管理组织结构，明确决策机构、综合管理部门、经营部门、支持保障部门、监督部门的责任和义务，确保本行内部的职责、权限及其相互关系得到规定和沟通，确保本行内控体系得到有效运行。5.5.2职责行长办公会审议本行委员会、职能部门和分支机构的设置、变更和撤销，决定董事会授权范围内的转授权方案；行长办公室部拟定机构设置、变更和撤销的方案，以及部

42、门职责的确定与调整方案；董事会会办公室负责董事会授权范围内的法人授权管理。5.5.3政策明确划分相关部门之间、岗位之间、上下级机构之间的职责，建立职责分离、横向与纵向相互监督的制约关系。涉及资产、负债、财务和人员等重要事项变更，均不得由一个人独自决定。根据分支机构和业务部门的经营管理水平、风险管理能力、经济环境和业务发展需要，建立相应的转授权体系。风险内控的检查、评价部门应当独立于风险内控的建立和执行部门，并有直接向最高管理层报告的渠道。5.5.4风险内控管理机构和岗位设置董事会关联交易与风险监控委员会是本行风险与内控管理的审议决策机构。在风险与内控管理体系上，本行实行行长领导下的委员会决策和

43、部门分工负责制。风险与内控管理组织架构图和各部门具体职责见XYZ市商业银行风险与内控管理组织架构图和各部门职责（附件三）；各部门和各分支机构的业务和管理权限见授权管理监控程序（P5501）。关联交易与风险监控委员会:XYZ市商业银行关联交易与风险监控委员会（以下简称“风控委”）是本行风险管理与内部监控的沟通协调、议事和决策机构。在本行授权范围内，负责对全行风险管理与内部监控重要事项进行沟通协调、会商，对相关政策、制度的制定进行研究，对重要风险事项的处理进行决策或提出建议。其主要职责如下：负责研究全行风险与内控管理体系方案，并维护体系的有效运转；负责研究全行风险管理政策、风险评价标准和相关管理制

44、度；负责研究全行业务授权方案并按程序授权行长组织实施；负责监督各部门相关业务内控管理制度的建立、健全、实施；负责组织实施各类业务、各类风险的预警、监测、检查和分析；负责研究、决策全行重大风险事项的处理建议或意见；负责组织领导责任认定相关工作；负责研究突发性风险事项和危机管理；负责对全行风险管理人员提出管理建议或意见；风险与内控管理的组织架构决策机构：关联交易与风险监控委员会负责全行风险与内控关于的重大事项的决定。管理机构：风险管理部是全行风险与内控管理的归口管理部门。执行机构：各经营部门、综合管理部门、支持保障部门以及各分支机构具体执行风险与内控管理的政策、制度，报告内控体系实施运行情况。监督

45、机构：监审保卫部负责对体系的有效性和符合性实施监督评价；纪检监察部门负责监察、处理。风险管理责任制的设置和职责本行全面实施风险责任制度，设置部门风险代表。风险代表的主要职责如下：识别本部门和本系统的风险，制定并完善相关的风险内监控度；对本部门和本系统的风险和内控管理进行指导、检查，监督各岗位风险内控职责的落实情况；监测分析本部门和本系统面临的主要风险，收集、整理各类风险监测的指标数据，对本部门和本系统风险内控管理工作定时进行评价；撰写本部门和本系统的内控评价报告和风险监测报告，向本部门负责人和风控办报告风险监测状况；对本部门高风险业务操作实施监控。5.6 企业文化5.6.1目的本行最高管理层有

46、义务促进内部职业道德水平的提高，在内部创造良好的监控文化，向职工或员工强调和宣传内部监控的重要性，形成 “银行经营的是风险”的意识，创造良好的内部环境，确保所有职工或员工能清楚地意识到在内部监控中的作用，全面参加到内部监控活动中。5.6.2 职责1) 董事会办公室负责企业文化xx总体策划，组织开展各类企业文化xx活动；2) 行长办公室负责推进XYZ市商业银行CIS 工程，统一管理全行的外在形象；3) 人力资源部负责对各级管理人员和职工或员工进行企业文化专题培训和教育；4) 工会组织开展适合各个层次职工或员工广泛参加的各种类型的群众性活动；5.6.3 政策1) 体现XYZ市商业银行统一的基本价值

47、观、理念和精神；2) 体现本行自身经营管理的风格和文化特点；3) 做到理念与制度配套，理念与行为一致，用理念指导和影响制度，用制度支撑和体现理念。5.6.4 活动本行制定了企业文化管理规定（I510001），规定了企业文化的内涵、基本原则、机制和要求。1) 规划。设立各级企业文化xx领导小组，建立健全相应的工作机制，形成党委统一领导、关于部门通力合作、齐抓共管的工作局面。2）xx。重视加强文化工作队伍xx，通过加强学习、强化培训和实践锻炼，建立一支以各级管理人员、企业文化工作者和党团员为主的家园文化xx骨干队伍，适应推进家园文化xx工作的客观需要。3)企业文化传播。运用和通过一定的形式和渠道将

48、企业文化内涵的所有要素有效地传播给每一位职工或员工，并逐步渗透到经营管理的各个环节，最终成为全体职工或员工的自觉行为规范。4)企业文化评估。运用和借助一定的方法和工具对本行或支行企业文化的现实状况进行诊断、分析、判断、评价，并最终作出报告和提出改进建议。5）典型案例教育。通过提炼典型事例，教育职工或员工树立准确的价值观和风险文化意识。5.7 人力资源政策和程序5.7.1 目的 运用现代商业银行人力资源开发与管理理念，逐步形成适应本行发展需要的，以“职位能上能下、收入能增能减、职工或员工能进能出”为主要特征的人力资源管理模式，为本行实现长远发展战略提供人力资源支持。5.7.2 职责本行人力资源部

49、负责拟定全行人力资源规划、政策制订和日常管理。 5.7.3 政策以建立职工或员工内部等级体系为基础，以完善聘任制为核心，建立科学合理的选拔任用机制，完善考核评价体系，强化岗位的激励约束作用。逐步设置新的专业技术岗位职位序列，为专业技术人员开辟晋升通道和发展空间。依照市场化配置原则和本行业务发展需要，实行人员总量监控和结构调整，制定人员引进计划。在人员招聘录用中，坚持公开、公正、公平的原则，公开接收报名，本行统一组织考试（面试），本行专家小组集体打分，本行最终录用审批。人员调配实行亲属回避制度。以协议为基础，实行用工规范化管理，明确岗位权利和义务。严格岗位资格/资质认证制度，实施持证上岗。对重要

50、岗位人员实行定时交流。引入人力资本管理理念，强化职工或员工的岗位发展性培训，增强培训的前瞻性和实用性，实施岗位资格/资质、履岗能力、职位提升、职业生涯发展培训，充分体现培训的激励和约束作用，提高人力资本的总体质量。实施领导人员聘任制度，坚持公开、公正、公平竞聘程序。实施民主推荐、民意测试、民主评议和任前公示。合理设置聘期目标责任，明确聘任主体各方的权利与义务。实行聘任前的审查和离岗、离职、离行审计，并依据界定的管理职责和经营职责决定审批建议或意见。完善和坚持经营管理人员监督管理制度，包括：本行转授权、基层行领导经营管理班子成员分工、民主生活会、任职稽审、个人重大事项申报、外出报告、党风廉政xx

51、责任制、岗位交流、强制休假。依据不同岗位职责，设置科学合理的定性、定量考核指标，客观准确地衡量被考核者的业绩和能力。将福利分配纳入薪酬体系之中，使各级机构的薪酬总量水平与其经营绩效密切挂钩，使职工或员工的薪酬水平与其岗位责任和贡献密切挂钩，建立有特色的、激励有力约束有效的薪酬制度。5.7.4程序岗位分析：岗位分析是人力资源管理的基础，对人力资源的需求和分派职责应基于岗位分析，同时岗位分析结果作为评价人员适任条件的标准。本行系统地分析了本行所有岗位的职责、权限、人员适任条件，针对不同的岗位，本行明确了不相容岗位、特殊岗位监控要求，对关键和特殊岗位实行定时或不定时的人员轮换制度也作了规定。职工或员

52、工培训：培训是提高职工或员工能力和意识的有效手段，本行制订了培训管理规定（I6xx4），规定了培训需求、计划、实施、评价的监控程序，明确了培训管理的职责和要求。日常人事管理：本行制订了薪酬管理规定（I6xx7）、职工或员工进入管理规定（I6xx3）、职工或员工年度考核管理规定（I6xx5）、职工或员工奖励管理规定（I6xx6）、人员调配管理规定（I620018）、劳动协议管理规定（I620009）、外聘人员管理规定（I620013）、人才储备管理规定（I620014）、人事档案管理规定（I620012）、职工或员工工作时间及请休假管理规定（I620016）、五险一金管理规定（I620017）、

53、员工退出管理规定（I620010）等日常人事管理程序，对职工或员工引进、退出、考核、薪酬、专业技术职位管理作了详细的规定。高管人员管理：本行制订了高级管理人员竞聘、考核及辞职管理规定（I620008）、重要岗位管理规定（I620015），高中级管理人员谈话制度（I850002）、廉政xx管理规定（I850003）对高级经营管理人员选拔聘任、离任离职、廉洁自律作出了具体的规定。党员干部管理：本行充分考虑到党风党纪是对党员干部的一种有效的约束方式和监控手段，因此把对党员干部的管理要求转化为体系资料文件，见廉政xx管理规定（I850003）。职业操守管理：规定本行职工或员工的行为规范和职业操守，具体

54、见职工或员工职业行为规范（I6xx1）。本行依据要求和实际情况识别岗位需求，对职工或员工的聘任、上岗、培训、流动、调整及考核做出了明确规定，保证各岗位从事影响质量与内控工作的职工或员工有能力胜任。我行制定并实施了人力资源监控程序（P6201）。本行通过培训和其他措施提高职工或员工的工作能力，使职工或员工认识到所从事工作对内控管理的重要性，对职工或员工能力进行科学评价，使其努力为实现内控目标作出贡献。针对不同的岗位，本行同时明确了不相容岗位、特殊岗位，风险监控重点岗位及其活动监控要求。本行确定了对职工或员工培训的需求、计划、实施、评价和相关纪录的程序，明确了培训管理的职责和要求。我行制定并实施人

55、员调配管理规定（I6xx8）和培训管理规定（I6xx4）。6.风险识别与评估6.1风险识别与评估6.1.1 目的风险识别与评估是内部监控体系的基础，是确保内控体系有效运行的动力。风险识别和评估的目的是找出可能影响经营、财务信息、符合性目标的内部或外部风险，并进行监控或施加影响，从而监控可能面临的信用风险、操作风险、流动性风险、法律风险等重要风险。6.1.2 职责1) 关联交易与风险监控委员会领导风险识别和评估工作，并对结果进行审批；2) 风险管理部负责组织、沟通协调风险识别和评估工作；3) 各部门负责在权限范围内提出风险识别与评估的需求、计划，对其所辖范围内的所有业务、产品、流程和其他管理事项

56、进行逐项识别、归类，并将这些风险识别的结果关联交易与风险监控委员会审定。4) 风险评估工作小组负责风险识别与评估方法和工具的确定。6.1.3 政策1) 当发生以下情况之一时，应进行风险识别与评估：内部监控体系建立时；新产品和新业务开发时；新设备和新系统应用时；内控政策和目标修改时；重大事故、险情、案件、隐患发生时；业务流程发生较大变化时；组织机构变革时；重要职工或员工流动时；法律法规、监管要求发生变化时；经济周期性波动时；行业发生变革时；同业发生新的案例时；其他认为需要时。2) 识别银行风险时应采用科学的方法，避免简单化和主观臆断。6.1.4 程序本行建立了风险识别与评估程序（P7102），规

57、定了风险识别和评估的过程，为本行开展风险识别与评估活动提供依据。风险识别和评估的过程包括：1) 策划：风险管理部负责风险识别和评估的组织、策划，并确定各部门应报告的风险类别。2) 识别：采用能够充分识别并确定经营管理所有的常规和非常规的运作过程和活动的风险识别方法，从而识别出这些过程和活动中的风险。3) 评估：采用的风险评估方法依据风险的后果、发生的概率、延续的时间、监控的能力，以及关于法律法规及其它监管要求、降低或减小风险的难度、相关方的要求、本行公众形象的影响等，确定风险的级别和监控的优先秩序。对于可接受的风险，进行监测并定时评价，以确保其延续可接受；对于不可接受的风险，确定风险监控目标并

58、制定监控方案。4) 再评价：当发生重大损失、险情或不符合时，对风险识别和评估的方法、过程以及结果进行必要的评价和改进。5) 结果：将评估结果形成适宜的资料文件，作为建立和保持内部监控体系中所有决策的基础，并为延续改进本行风险监控绩效提供衡量基准。6) 其他：信用风险是当前本行面临的主要风险，针对每笔信贷业务均应根据业务管理规定进行风险识别与评估。这些风评要求包括对客户评价、担保评价和项目评估等方面，此外，本行还将逐步运用信用风险预警系统评估客户违约概率和违约损失率。6.2法律法规和监管规定6.2.1 目的法律法规和监管要求是内控体系建立和运行的基本依据。识别法律法规和监管规定的目的是确保各级人

59、员在经营管理活动中能够及时了解并掌握关于的法律法规和监管要求，确保我行的经营和管理活动符合法律法规和监管要求的规定，有效识别和防范法律风险。6.2.2 职责风险管理部负责法律法规等要求的识别、获取、跟踪以及传递和更新；2）风险管理部根据国家法律、法规、地方法规、规章及XYZ市商业银行业务发展状况，设计、调整XYZ市商业银行规章制度体系。3) 相关部门及时获取关于法律法规、监管要求和规章制度并传达到相关职工或员工。4）风险管理部负责审查相关政策和规章制度，并组织监测全行制度执行情况。5） 风险管理部负责对各部门起草的规章制度和业务手册的合法合规性审查。6） 会计结算部负责组织管理全行反洗钱工作。

60、7）风险管理部负责拟定重要业务协议格式文本，审查对外签出的标准和非标准格式的协议、协议及其他法律性资料文件。8）风险管理部负责为全行业务经营活动提供法律咨询建议或意见，向行领导提供法律信息和建议；参加重大业务活动的谈判，列席贷款审批会议。9）负责收集、整理、分析与本部门职责相关信息，支持管理信息系统，并向行内各部门提供相关共享信息。6.2.3 政策1) 建立并保持程序，以识别和获取适用法律法规、监管的要求和其他要求。及时更新上述信息，并将关于信息传达到相关职工或员工和其他关于的相关方。风险管理部的合法性建议或意见是提醒业务部门注意关于法律风险，并视具体情况提出防范或降低法律风险的对策，是决策部