1、银行股份有限公司内部控制基本制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: XX银行股份有限公司第一章总则第一条为建立健全本行内部控制体系，防范风险，保障业务、管理体系安全稳健运行，确保本行的可持续发展，依据中华人民共和国商业银行法、财政部等五部委企业内部控制基本规范（财会20087号）、商业银行内部控制指引（中国银行业监督管理委员会令2007第6号）和上海证券交易所上市公司内部控制指引等法律法规和规章，制定本制度。第二条本制度属于“基本制度”，适用于本行各级机构。第三条本制度所称“本行”是指XX银行股份有限公司；“单位”是指2、总行各部门、各分行等相关机构或部门。第四条本制度所称内部控制，是指由本行董事会、监事会、管理层和全体员工实施的、旨在实现控制目标的过程。第五条本行内部控制目标包括：（一）确保国家法律、法规和本行内部规章制度的贯彻执行。（二）确保本行发展战略和经营目标的全面实施和充分实现。（三）确保风险管理体系的有效性。（四）确保本行业务记录、财务信息和其他管理信息的及时、真实和完整。（五）确保本行资产安全。第六条本行内部控制应当贯彻以下基本原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖本行及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高3、风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）独立性原则。内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。（五）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（六）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。第七条内控控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五项要素，本行应建立并实施有效的内部控制。第八条本行各单位在实施各项管理活动过程4、中，应遵循和体本制度未作具体要求的其他业务或环节，现本制度的要求和精神，各单位应按照本制度的要求建立和完善相应的内部控制制度。第二章内部环境第九条内部环境是本行实施内部控制的基础，包括本行的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。第十条本行应当根据国家有关法律法规和本行章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。第十一条本行应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位，通过编制岗位职责说明和内部规章制度，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明5、确权责分配，正确行使职权。第十二条本行董事会、监事会和高级管理层的内部控制职责董事会负责本行建立并实施充分而有效的内部控制体系；负责审批本行整体经营战略和重大政策并定期检查、评价执行情况；负责本行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估；对本行内部控制评价报告的真实性负责，并按照规定对外披露。董事会下设立审计与关联交易控制委员会，负责审查本行内部控制，监督本行内部控制的有效实施和内部控制自我评价情况，组织开展内控独立评价，并出具独立评价意见草案并6、报董事会审议，协调内部控制审计及其他相关事宜。监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害公司利益的行为并监督执行。高级管理层负责制订内部控制政策，对内部控制体系的充分性与有效性进行监测和评估并将有关情况向董事会报告；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。第十三条本行设立总行内部控制委员会（以下简称“内控委”）作为总行内设专门委员会之一，是总行管理层内部控制管理的议事、决策机构。主要负责贯7、彻落实董事会及其委员会对内部控制的决议要求；审议本行重要内部控制制度，协调目标管理、组织与流程管理、风险管理等相关管理职能及政策方面的一致性；监测、评估本行内部控制体系的充分性和有效性，指导和推动本行各部门建立和完善内部控制程序和管理措施，确保各项内部控制措施得到有效执行；审议总行职能部门提交的内控自评分析报告，提出改进意见和纠正措施，督促落实，并向董事会审计与关联交易控制委员会报告等。内控委主任委员由分管内部控制的副行长担任，委员若干名，由相关部门负责人担任。总行内控委下设内部控制委员会办公室，负责委员会的日常工作以及会议的召集与准备工作，组织协调本行内部控制体系的建立与实施，监测和报告内部8、控制体系运行情况，组织落实、督促执行委员会各项决议。委员会办公室职责由总行法律与合规部承担。第十四条总行各部门的内部控制职责总行各部门是本行内部控制的建设、执行部门，负责各自职责范围内的内部控制体系的建设，制定条线内部控制制度、程序和方法并组织实施；负责本条线目标管理、组织与流程管理、风险管理等各方面工作的一致性；负责本业务及管理条线的内部控制自我评估工作的开展，对本条线内部控制体系存在的缺陷，及时汇报，并采取有效措施进行改进。总行法律与合规部承担本行内部控制建设的组织、复评工作，负责指导总行各部门、分支机构建立和健全内部控制，定期组织各部门及各分行开展内部控制自我评估工作，并对内部控制自我评9、估结果进行抽查、复评，跟进内控评估结果，汇总内控缺陷整改措施的落实情况，定期向总行内部控制委员会报告执行情况；经办或督办总行内控委会议决定事项并予以报告。总行审计部是本行内部控制的独立监督和评价部门，负责对各业务条线和分支机构的内部控制状况实施独立的监督和评价；在管理层自我评估的基础上，对本行整体内部控制的有效性进行年度再评价，开展缺陷认定与跟踪，出具独立评价意见。第十五条各分行及其所辖异地机构内部控制职责各分行成立分行内部控制委员会，负责分行内部控制的组织、督促、评估与审议。分行内部控制委员会下设办公室，由分行法律与合规管理职能部门承担。分行各部门以及各经营单位是分行内部控制的建设和执行部门10、，负责在总行条线及分行内控委的领导下，组织开展条线内部控制体系建设和各项内部控制措施的实施。分行所辖异地机构（包括二级分行和异地支行）主要负责人应指定本机构内部控制的牵头管理部门，在分行的统一组织下，开展各项内部控制工作。第十六条本行设置独立的内部审计机构，配备充足的、具备相应专业知识和从业资格的内部审计人员，内部审计实行系统垂直管理，总行审计部第一负责人的聘任和解聘由董事会负责。审计部独立开展审计工作，在审计监督过程中有权获得本行所有的经营和管理信息。第十七条本行员工聘用、培训、辞退、辞职、薪酬、考核、晋升与奖惩等有关人力资源的政策应体现本行可持续发展的要求，对于关键岗位的员工执行强制休假制11、度和定期岗位轮换制度，对于掌握国家秘密或重要商业秘密的员工执行离岗限制性规定。第十八条本行以职业道德修养和专业胜任能力作为选拔和聘用干部、员工的重要标准，各单位应切实加强员工培训和继续教育，不断提升员工素质，确保员工的胜任能力。第十九条本行建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考核体系，促进内部控制的有效实施，创造全体员工均充分了解且能履行职责的内部控制环境。第二十条本行应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律事务管理制度。第二十一条本行各单位应加强制度建设，总行各业务条线12、应对所属各项业务制定全面、系统、有效的管理政策、基本制度和操作程序，各分行及其所属机构可遵循本行统一的业务标准和操作要求，结合本区域具体情况，制定具体的实施细则、操作程序和控制措施，进一步优化业务管理和操作流程，确保各项业务有章可循。第二十二条本行培育良好的企业精神和内部控制文化，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识，加强合规文化建设，树立可持续发展理念，深化对银行社会责任与自身可持续发展间关系的认识，积极探索以多种方式推动银行践行社会责任，构建人与自然、环境、社会和谐共处的良好关系。第三章风险评估系统分析经营活风险评估是指本行应及时识别、第二十三条动13、中与实现内部控制目标相关的风险，合理确定风险应对策略。第二十四条本行应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时对与实现控制目标相关的内部风险和外部风险进行识别和评估，拟定本行能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。第二十五条本行各风险管理部门应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。第二十六条本行对各类风险进行识别与评估时应充分考虑内部和外部因素。其中，内部因素包括组织机构的设置情况、业务性质、员工的职业操守和胜任能力、财务状况、科技水平等；外部因素包括监14、管要求、经济形势、市场竞争、行业变动、环境变化等。第二十七条根据风险分析的结果，结合风险承受度，本行各级风险管理部门应权衡风险与收益，确定风险应对策略。在进行风险和策略分析时，应当充分吸收专业人员，组成风险分析团队，避免因个人风险偏好给本行经营带来重大损失。第二十八条本行应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是借助他人力量，采取业务分包15、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。第二十九条本行对风险实施动态管理，应当结合不同发展阶段和业务拓展情况，对各类风险进行持续的监控，收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。第三十条本行各风险管理部门应制定并不断完善识别、计量、监测和管理风险的制度和程序，开发和运用风险量化评估的方法和模型，建立涵盖全行范围的风险管理系统，不断提升本行风险识别和评估的能力。第三十一条在设立新的机构或开办新的业务时，本行相关部门应依据有关的政策、制度和程16、序，对潜在的风险进行评估，并提出风险防范措施。第四章控制活动第三十二条控制活动是指本行应根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。第三十三条本行应根据内部控制目标，结合风险评估结果和应对策略，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，综合运用各种控制措施，对各种业务和事项实施有效控制，将风险控制在可承受的范围内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第三十四条本行各单位应全面系统地分析、梳理业务经营和管理流程中所涉及的不相容职务，认定潜在的利益冲突，实行适当的职责分工和不兼17、容岗位分离政策，形成各司其职、各负其责、相互制约的工作机制。第三十五条本行实行统一法人管理和法人授权，授权应与职责对应、适当、明确，并采取书面形式，各级人员应当在授权范围内行使职权和承担责任。对涉及资产、负债、财务和人员任免等重大的业务和事项实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。第三十六条本行应实现统一授信管理，健全客户信用风险识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联企业客户和集团客户授信风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，防止信贷资金违规适用。第三十七条本行应对资金业务对象和产品实行统一授信，实行严格的前后台职责18、分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。要害部位和重点岗位实本行应对基层营业网点、第三十八条施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保商业银行和客户资金的安全。第三十九条本行开展中间业务应当取得有关主管部门核准资质、人员从业资格和内部的业务授权，建立并落实相关的规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。第四十条本行应严格执行国家统一的会计准则制度，依法设置会计机构，配备会计从业人员，加强19、会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，按照规定进行会计核算和业务记录，定期对各种账证、报表进行核对，妥善保管各类会计、统计和业务档案，确保原始记录、合同契约和各种报表资料的真实、完整。第四十一条本行应限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全。第四十二条本行应实施全面的预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。第四十三条本行应建立运营情况分析制度，总、分行综合运用经营、管理等各方面信息，通过因素分析、对比分析、趋势分析等方法，定期开展运20、营情况分析，发现存在的缺陷，及时查明原因并加以改进。第四十四条本行应建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。第四十五条本行应严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机系统设备、数据、系统运行和系统环境的安全。第四十六条本行应强化计算机程序监控等现代化手段，利用计算机系统锁定分支机构和人员的业务权限，对分支机构实施有效的管理和控制。第四十七条本行应建立重大风险预警机制和突发事件应急处理机制，明21、确风险预警标准，严密监测公司风险变化，及时发现潜在风险并进行预警提示，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序、定期进行测试，确保突发事件得到及时妥善处理。第四十八条本行应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。第五章信息与沟通第四十九条信息与沟通是指本行应及时、准确地收集、传递与内部控制相关的信息，确保信息在本行内部、本行内部与外部之间进行有效沟通和顺畅反馈。第五十条本行内部控制信息包括内部信息和外部信息。内部信息可以通过本行财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取；外部信息可以22、通过银行业协会、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取。第五十一条本行各单位应加强对各种内部信息和外部信息的收集、筛选、核对、整合，提高信息的有用性。第五十二条本行应当建立有效的信息交流与反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈。全行员工对于内部控制各类制度及其实施中重大信息的负有主动反馈责任。第五十三条本行内部控制信息交流与反馈应考虑信息的安全性和保密性要求，相关信息报告、发布、披露应经过授权，对外信息披露应遵守监管部门对上市公司的要求及本行关23、于对外信息披露的制度规定，未经本行同意不得对外发布产生重大影响的信息。第五十四条本行应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向监管机构报送监管报表资料和对外披露信息。同时应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。第五十五条本行应当建立反舞弊机制，坚持惩防并举、重在预防的原则，反舞弊工作的重点包括以下内容：（一）未经授权或者采取其他不法方式侵占、挪用本行资产，牟取不当利益。（二）在财务会计报告和信息披露等方面存在的虚假记24、载、误导性陈述或者重大遗漏等。（三）相关机构或人员串通舞弊，董事、监事及高级管理人员滥用职权。第五十六条本行实行诚信举报制度，凡涉及本行机构和本行行员违法、违规活动或反映其他工作情况和不足，提出意见和建议等行为，员工可以通过来信、来访、电话、传真、电子邮件等方式向本行各级纪检监察部门举报，对举报人本行予以保密并实施保护。第六章内部监督第五十七条内部监督是指本行应对内部控制建立与执行情况进行定期和不定期的监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进，确保内部控制的有效运行。第五十八条本行内部控制的内部监督分为监督检查和内控评价两部分内容。监督检查包括本行相关单位开展的各类检查25、监控及内部审计等活动。内控评价是指本行内部控制的建设与执行、组织与指导单位对内部控制有效性进行自我评估以及审计部独立组织开展内部控制有效性评价。它涵盖了本行对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的全过程。第五十九条本行相关单位应在职责范围内设计并组织开展各项监督检查工作。第六十条本行应制定全行统一的内部控制检查管理办法，该办法应至少包括：（一）各单位的基本检查职责及对检查的配合义务；（二）检查计划的制定及基本内容；（三）检查工作的基本范围、流程及方法；（四）检查报告的形成及报送路径；（五）检查工作的后续整改及跟踪落实。第六十一条本行相关单位应根据自身经营特点制定年度内部控26、制检查计划，并报送同级法律与合规管理职能部门，作为评价该单位内部控制运行情况的依据。第六十二条检查实施部门应在检查后形成检查事实与评价，最终形成检查报告。对于检查中发现的内部控制缺陷及实施中存在的问题，应在报告中据实反映。检查报告应采取适当的形式及时向管理层报告，并需及时报送至同级法律与合规管理职能部门。检查发起部门应对内部控制缺陷进行跟踪整第六十三条改，同级法律与合规管理职能部门应对跟踪整改情况进行落实及评价。第六十四条本行审计部依照内部审计工作程序开展独立的审计监督活动，并依照相关规定对问题整改情况进行追踪。审计部对监督检查中发现的内部控制缺陷，应当按照本行内部审计工作程序进行报告；对监督27、检查中发现的内部控制重大缺陷，有权直接向董事会及其审计与关联交易控制委员会、监事会报告。第六十五条本行应结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，结合业务管理以及监督检查情况，有序开展内部控制评价工作。第六十六条总、分行各部门应当结合自身的监督检查情况，对本部门及所辖条线内部控制设计及运行的有效性进行自我评估，并定期出具半年度、年度的内控自评分析报告。自评分析报告应及时报送至同级法律与合规管理职能部门。对于自我评估过程中发现的内控缺陷，应自行分析其产生的原因，提28、出整改方案，编制整改任务单，组织落实各项整改措施。第六十七条各级法律与合规管理职能部门组织、指导内部控制自我评估工作的开展；结合监督检查以及各部门的内部控制自我评估结果进行抽查、复评，督促、追踪内部控制缺陷的整改情况，并定期出具半年度、年度本层级及所辖机构全面的内部控制自评分析报告。自评分析报告应及时报送至上级法律与合规管理职能部门。由总行法律与合规部汇总、分析相关情况后定期向管理层汇报，并提供至审计部。第六十八条审计部对各单位的内部控制状况实施独立的监督与评价，结合相关单位已实施完成的管理层内控自我评估工作，对本行整体内部控制的有效性进行年度再评价，出具独立的评价意见，经董事会下设审计与关联29、交易控制委员会审批通过后报董事会审议，由董事会按照规定对外披露。审计部有权向总分行各级部门、各级法律与合规管理职能部门调阅内部控制自评分析报告及相关文档。第六十九条本行应根据规定聘请具有证券、期货业务资格的会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。第七十条各单位应当以书面或者其他适当的形式，妥善保存监督检查与内部控制评价实施过程中的相关记录或者资料，确保监督检查与内部控制评价过程的可验证性，在内控评价过程中发现的记录缺失，应及时补充和完善。第七十一条本行监督检查与内控评价的实施过程应充分利用全面合规管理信息等平台，实现信息资源的全面、及时、有效共享，不断提高本行内部监督的效30、率和质量。第七十二条本行内部控制缺陷分为设计缺陷和执行缺陷。在内部监督过程中发现的重大缺陷，应追究相关责任单位或者责任人的责任。第七十三条总、分行内控委每年按照规定安排和召开内部控制委员会会议，通过对内部控制的制度建设、执行情况以及经营管理过程中的重大风险隐患、事件进行回顾和剖析，研究、制定加强内部控制管理的相应措施，不断健全和完善本行的内部控制机制，保障和促进全行各项业务稳健发展。第七十四条本行鼓励通过自查发现问题并加以整改。对于内部控制中发现的各类缺陷，尤其是经过管理问责的重大、系统性缺陷，各单位应按照预防为主的原则，对各自内部控制的政策、制度、程序和方法进行改进，包括提出改进措施、组织实施、效果验证和系统评价等内容，以达到持续改进的目的。第七章附则第七十五条本制度未尽事项，应遵照中华人民共和国商业银行法、财政部等五部委企业内部控制基本规范、银监会商业银行内部控制指引和上交所上海证券交易所上市公司内部控制指引等规定进行处理。第七十六条总行各部门可根据部门职责制定相应的内控管理实施细则。控股子公司应参照本制度、XX银行控股子公司内部控制管理指引及行业监管要求，建立相应内部控制体系。第七十七条本制度经董事会授权由总行法律与合规部解释。本制度经董事会审议批准后生效，自印发之日第七十八条起实施。 13 / 13