银行内部控制基本规定

上海银行内部控制基本规定（修订）第一章总则第一条为了规范内部控制行为，建立健全内部控制体系，提高本行风险防范能力，保障本行经营管理体系安全稳健运行，依据《商业银行内部控制指引》，制定本规定。第二条本规定适用于本行各级机构，全体员工和各项经营活动。第三条本规定所称内部控制，是指本行为实现内部控制目标，通过制定一系列制度、程序和方法，并由董事会、监事会、管理层和全体员工实施的对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。第四条内部控制总体目标：（一） 确保国家法律、法规和本行规章制度贯彻执行。（二） 确保本行发展战略、经营目标全面实施和充分实现。（三） 确保本行风险管理体系的有效性。（四） 确保本行业务记录、财务信息和其他管理信息的真实、准确、完整和及时。第五条内部控制应遵循下列原则：（一）全覆盖原则。本行内部控制贯穿决策、执行和监督全过程，渗透本行及其所属机构的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，做到任何决策或操作均应当有案可查。（二） 制衡性原则。本行内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（三） 审慎性原则。本行内部控制以防范风险、审慎经营为出发点，本行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。（四） 相匹配原则。本行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应，并根据情况变化及时进行调整。第二章内部控制职责第六条本行建立由董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门组成的分工合理、职责明确、报告关系清晰的内部控制治理和组织架构。第七条董事会主要职责：（一） 负责保证本行建立并实施充分而有效的内部控制体系，保证本行在法律和政策框架内审慎经营。（二） 负责明确设定可接受的风险水平，保证高级管理层采取必要的风险控制措施。（三） 负责监督高级管理层对内部控制体系的充分性与有效性进行监测和评估。第八条监事会主要职责：（一） 负责监督董事会、高级管理层完善内部控制体系。（二） 负责监督董事会、高级管理层及高级管理人员履行内部控制职责。第九条高级管理层主要职责：（一） 负责执行董事会决策。（二） 负责根据董事会确定的可接受的风险水平，制定系统化的制度、流程和方法，采取相应的风险控制措施。（三） 负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。（四） 负责组织对内部控制体系的充分性及有效性进行监测和评估。第十条法律与合规部主要职责：作为内控管理职能部门，牵头本行内部控制体系的统筹规划、组织落实和检查评估。第十一条审计部主要职责：作为本行内部控制的监督和评价部门，负责履行内部控制的监督职能，负责对本行内部控制的充分性和有效性进行审计，及时报告审计发现的问题，并监督整改。第十二条总行各业务部门主要职责：负责参与制定与自身职责相关的业务制度和操作流程；负责严格执行相关制度规定；负责组织开展监督检查；负责按照规定时限和路径报告内部控制存在的缺陷，并组织落实整改。本规定所称各业务部门是指除内控管理职能部门和内部审计部门以外的其他部门。第十三条内部控制管理责任制：（一） 董事会、高级管理层应当对内部控制的有效性分级负责，并对内部控制失效造成的重大损失承担管理责任。（二） 业务部门应当对本条线制度、流程缺陷、未执行相关制度、流程、未适当履行检查职责、未及时落实整改承担直接责任。（三） 内部审计部门、内控管理职能部门应当对未适当履行监督检查和内部控制评价职责承担直接责任。第三章内部控制措施第十四条本行应当建立健全内部控制制度体系，对各项业务活动和管理活动制定全面、系统、规范的业务制度和管理制度，并定期进行评估。第十五条本行应当合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。第十六条本行根据内部控制目标，综合运用各种控制措施，对各种业务和事项实施有效控制，将风险控制在可承受范围内：（一） 岗位职责控制。本行根据经营管理需要，合理确定部门、岗位的职责及权限，形成规范的部门、岗位职责说明，明确相应的报告路线。明确重要岗位，并制定重要岗位的内部控制要求，对重要岗位人员实行轮岗或强制休假制度，原则上不相容岗位人员之间不得轮岗。（二） 员工行为排查控制。本行应制定规范员工行为的相关制度，明确对员工的禁止性规定，加强对员工行为的监督和排查，建立员工异常行为举报、查处机制。（三） 授权审批控制。本行实行统一法人管理和法人授权，根据各分支机构和各部门的经营能力、管理水平、风险状况和业务发展需要，建立相应的授权体系，明确各级机构、部门、岗位、人员办理业务和事项的权限，并实施动态调整。（四） 会计系统控制。本行应当严格执行会计准则与制度，及时准确地反映各项业务交易，确保财务会计信息真实、可靠、完整。（五） 财产保护控制。本行建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、账实核对等措施，对现金、有价证券、固定资产等有形资产及时进行盘点，确保财产安全。（六） 运营分析控制。本行应建立运营情况分析制度，各机构应综合运用经营、管理等各方面信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现问题，及时查明原因并加以改进。（七） 信息化系统控制。本行应建立健全信息系统控制，通过内部控制流程与业务操作系统和管理信息系统的有效结合，加强对业务和管理活动的系统自动控制。（八） 风险预警管理。本行应建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处置和业务持续开展。（九）风险评估管理。本行设立新机构、开办新业务、提供新产品和服务，应当对潜在的风险进行评估，并制定相应的管理制度和业务流程。（十）外包业务管理。本行应当建立健全外包管理制度，明确外包管理组织架构和管理职责，并至少每年开展一次全面的外包业务风险评估。涉及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包。（十一）客户投诉管理。本行应建客户投诉处理机制，制定投诉处理工作流程，定期汇总分析投诉反映事项，查找问题，有效改进服务和管理。第四章内部控制保障第十七条本行应当建立贯穿各级机构、覆盖所有业务和全部流程的管理信息系统和业务操作系统，及时、准确记录经营管理信息，确保信息的完整、连续、准确和可追溯。第十八条本行应当加强对信息的安全控制和保密管理，对各类信息实施分等级安全管理，对信息系统访问实施权限管理，确保信息安全。第十九条本行应当建立有效的信息沟通机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保相关部门和员工及时了解与其职责相关的制度和信息。第二十条本行应当建立与战略目标相一致的业务连续性管理体系，明确组织结构和管理职能，制定业务连续性计划，组织开展演练和定期的业务连续性管理评估，有效应对运营中断事件，保证业务持续运营。第二十一条本行应当制定有利于可持续发展的人力资源政策，将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，保证从业人员具备必要的专业资格和从业经验，加强员工培训。第二十二条本行应当建立科学的绩效考评体系、合理设定内部控制考评标准，对考评对象在特定期间的内部控制管理活动进行评价，并根据考评结果改进内部控制管理。本行应当对内控管理职能部门和内部审计部门建立区别于业务部门的绩效考评方式，以利于其有效履行内部控制管理和监督职能。第二十三条本行应当培育良好的企业内控文化，引导员工树立合规意识、风险意识，提高员工的职业道德水准，规范员工行为。第五章风险识别与评估第二十四条风险识别与评估是指本行及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。第二十五条本行根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时对与实现控制目标相关的内部风险和外部风险进行识别和评估，拟定本行能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。第二十六条本行采用定性与定量相结合方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序。第二十七条本行根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。在进行风险和策略分析时，充分吸收专业人员组成风险分析团队，避免因个人风险偏好给本行经营带来重大损失。第二十八条本行结合不同发展阶段和业务拓展情况，对信用风险、市场风险、流动性风险、操作风险、合规风险等各类风险进行持续监控，收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。第二十九条本行制定并不断完善识别、计量、监测和管理风险的制度和程序，开发和运用风险量化评估方法和模型，建立涵盖各项业务、全行范围的风险管理系统，不断提升本行风险识别和评估的能力和科技水平。第六章内部控制监督与评价第三十条本行内部审计部门、内控管理职能部门和业务部门均承担内部控制监督检查的职责，应根据分工协调配合，构建覆盖各级机构、各个产品、各个业务流程的监督检查体系。第三十一条内控管理职能部门牵头组织全行进行内部控制自评工作，对内部控制建立与实施情况进行监督检查，跟踪内部控制缺陷整改情况并及时督促改进。第三十二条审计部门应对本行内部控制自评工作进行全流程有效监督，合理保证内部控制自我评价工作质量，包括审核本行内部自评工作方案，抽检本行内控自评测试记录，对内控自评发现的内控缺陷进行认定等。审计部门应当结合内部审计监督，对内部控制有效性进行独立评价，对评价中发现的内部控制缺陷，按照本行内部审计工作程序进行报告。内部监督中发现的重大缺陷，应追究相关责任单位或者责任人的责任，及时向管理层报告。第三十三条总行各部门、分支行及本行附属机构南康赣商村镇银行应当结合业务管理、业务自查和检查情况，对本部门或机构内部控制有效性进行自我评价，出具年度内部控制自我评价报告，分别报送总行法律与合规部和审计部。第三十四条内部控制自我评价报告应包括：评价期内内部控制状况总体评价、内部控制存在的主要问题、问题原因分析、解决措施和建议等内容。第三十五条总行各部门及各分支行应对内控自评报告进行综合分析，总结内控存在问题，督促问题整改，推动内控体系不断完善。第三十六条总行审计部门应结合各分支行、总行各部门、总行合规管理部门内部控制自评情况和检查监督情况，独立对全行内部控制有效性进行全面评价，出具年度内部控制评价报告。经董事会审议批准后，于每年4月30日前报送银行业监督管理机构。第三十七条本行可聘请具有证券、期货业务资格的会计师事务所对内部控制有效性进行审计并出具审计报告。第三十八条各机构应当以书面或者其他适当形式，妥善保存内部控制建立与实施相关记录或者资料，确保内部控制建立与实施过程的可验证性，在内部监督过程中发现记录缺失，应及时补充和完善。第三十九条各机构和全行员工发现内部控制问题，均可直接向相关管理部门报告，责任单位或人员应采取有效措施予以纠正。第四十条对于内部控制中发现的各类缺陷，尤其是经过管理问责的重大、系统性缺陷，各级机构应遵循预防为主原则，按照以下方案进行纠正：针对因程序、流程设计不当导致的内控设计缺陷可通过优化内部控制政策、制度、程序和方法；改进系统控制等措施进行纠正，具体包括新增或修订制度、新建或改造信息系统。针对因程序、流程执行不到位导致的内控运行缺陷，可通过弥补控制漏洞、消除或减少风险隐患、强化制度执行等措施进行纠正，具体包括终止错误操作、补充执行控制程序、实施违规问责、加强教育培训等。所有内控缺陷需根据前款规定明确具体的纠正措施、整改时限，整改责任单位等，并组织实施。同时，建立缺陷整