颁布时间:2002-04-04 00:00:00.000 发文单位:中国人民银行
第一章 总则
第一条 为促进商业银行健全内部控制,防范金融风险,保障银行体系安全稳健运行,制定本指引。
第二条 内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制和事后评价的动态过程和机制。
第三条 商业银行内部控制的目标:
(一) 保证国家法律法规、金融监管规章和商业银行内部规章制度的贯彻执行;
(二) 保证自身发展战略和经营目标的全面实施和充分实现;
(三) 保证风险管理体系的有效性;
(四) 保证业务记录、财务信息及其他管理信息的及时、完整和真实。
第四条 商业银行内部控制的基本原则:
(一)全面性。内部控制应当渗透到商业银行的各项业务过程和各个操作环节,覆盖所有的部门、岗位和人员。
(二)审慎性。内部控制应当以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,都应当体现“内控优先”的要求。
(三)有效性。内部控制应当具有高度的权威性,真正落到实处,任何人不得拥有不受内部控制约束的权力;内部控制存在的问题应当得到及时反馈和纠正。
(四)独立性。内部控制的检查、评价部门应当独立于内部控制的建立和执行部门,并有直接向董事会和高级管理层报告的渠道。
第五条 内部控制应当与商业银行的经营规模、业务范围和风险特点相适应,以合理的成本实现内部控制的目标。
第二章 内部控制的基本要求
第六条 内部控制包含以下五个要素:
(一) 内部控制环境;
(二) 风险识别与评估;
(三) 内部控制措施;
(四) 信息交流与反馈;
(五) 监督评价与纠正机制。
第七条 商业银行应当建立良好的公司治理、以及分工合理、职责明确、报告关系清晰的组织结构,为内部控制的有效性提供必要的前提条件。
第八条 商业银行董事会和高级管理层应当充分认识到自身对内部控制所承担的责任。
董事会负责审批银行的总体经营战略和重大政策,确定银行可以接受的风险水平,批准各项业务的政策、制度和程序,对内部控制的有效性进行监督;董事会应当定期与管理层讨论内部控制的有效性,及时审查管理层、审计机构和监管部门提供的内部控制评估报告,督促管理层采取整改措施。
高级管理层负责执行董事会批准的各项战略、政策、制度和程序,负责建立授权和责任明确、报告关系清晰的组织结构,建立识别、计量和管理风险的程序,并建立和实施健全、有效的内部控制,采取措施纠正内部控制存在的问题。
第九条 商业银行应当建立科学、有效的激励约束机制,培育良好的企业精神和健康的内部控制文化,提高全体员工的职业操守和诚信意识,从而创造全体员工都充分了解且能履行其职责的环境。
第十条 商业银行应当设立履行风险管理职能的专门部门,并制定和实施识别、计量、监测和管理风险的制度、程序和方法,以保证风险管理和经营目标的实现。
第十一条 商业银行应当建立涵盖各项业务的、全系统的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。
第十二条 商业银行应当制定全面、系统、成文的各项业务的政策、制度和程序,并在一级法人内保持统一的业务标准和操作要求,避免因管理层的变更而影响其连续性和稳定性。
第十三条 商业银行设立新的机构或开办新的业务,应当首先建章立制,对潜在的风险进行计量和评估,并提出风险防范措施。
第十四条 商业银行应当建立内部控制的后评价制度,定期对内部控制的制度建设和执行情况进行回顾和检讨,并根据国家法律法规、金融监管规章的变化、银行组织结构、经营状况以及市场环境的变化进行修订。
第十五条 商业银行应当明确划分相关部门之间、岗位之间、上下级机构之间的职责,建立职责分离、横向纵向相互监督制约的机制,涉及资产、负债、财务和人员的重要变动都不能由一个人独自决定。
第十六条 商业银行应当根据各级机构和各业务部门的经营管理水平、风险管理能力、地区经济环境和业务发展需要建立相应的授权体系,实行统一法人管理和法人授权;授权应适当、明确,并采取书面形式。
第十七条 商业银行应当根据不同的工作岗位及其性质,赋予其相应的职责和权限,各个岗位应当具备正式、成文的岗位职责说明和清晰的报告关系,关键岗位的人员应当实行定期或不定期的轮换和强制休假。
第十八条 商业银行应当积极利用计算机程序监控等现代化手段,锁定分支机构的业务权限,加强对分支机构的管理和控制;各分支机构应当牢固树立一级法人意识,严格执行上级的决策,在各自职责和权限范围内开展工作。
第十九条 商业银行应当建立有效的核对、监控制度,对各种账证、报表定期进行核对,对现金、有价证券、重要空白凭证等有形资产及时进行盘点,对柜台办理的业务实行复核或事后监督把关,对重要业务实行双签有效,对授权、授信的执行情况进行监控。
第二十条 商业银行应当按照规定进行会计核算和业务记录,建立完整的会计、统计和业务档案并妥善保管,确保原始记录、合同契约和各种报表资料的真实、完整。
第二十一条 商业银行应当建立有效的应急制度,在各个重要部位、营业网点等遇到供电中断、火灾、抢劫等紧急情况时,应急措施应当及时、有效。
第二十二条 商业银行应当实现业务操作和管理的电子化,促进各项业务的电子数据处理系统的整合,做到业务数据的集中处理。
第二十三条 商业银行应当实现经营管理的信息化,建立贯穿各级机构、覆盖各个业务领域的数据仓库和管理信息系统,做到及时、准确提供经营管理所需要的各种数据,并真实、准确地向中国人民银行报送监管报表资料和对外披露信息。
第二十四条 商业银行应当建立有效的信息交流、共享和反馈机制,确保董事会和高级管理层及时了解本行的经营和风险状况,确保每一项信息都能够传递给相关的员工,各个部门及员工的有关信息都能顺畅反馈。
第二十五条 商业银行的业务部门应当对各项业务的经营状况和例外情况进行经常性检查,及时发现内部控制存在的问题,并迅速予以纠正。
第二十六条 商业银行的内部审计部门应当有权获得商业银行的所有经营信息和管理信息,并对各部门、各岗位、各项业务实施全面的监控和评价。
第二十七条 商业银行的内部审计应当具有充分的独立性,内部审计体系实行对一级法人负责;内部审计部门应当直接对商业银行董事会或监事会负责,同时可以向高级管理层报告工作。
第二十八条 商业银行应当配备充足的、业务素质高、工作能力强的内部审计人员,并加强专业培训,每年保证一定的离岗或脱产培训时间;内部审计力量不足的,应当将审计任务委托社会中介机构进行。
第二十九条 商业银行应当建立有效的内部控制报告和纠正机制,业务部门、内部审计部门及其他人员发现的内部控制的问题,都应当有畅通的报告渠道和有效的纠正措施。
第三章 授信业务的内部控制
第三十条 商业银行授信业务内部控制的重点是:实行统一授信管理,健全客户信用风险识别与监测体系,完善授信决策与审批机制,防止对单一客户、关联企业客户和集团客户风险的高度集中,防止违反信贷原则发放关系人贷款和人情贷款,防止信贷资金违规投向高风险领域和用于违法活动。
第三十一条 商业银行应当设立独立的授信风险管理部门,对不同币种、不同客户对象、不同种类的授信业务进行集中管理,避免因分散管理可能导致的信用失控。
第三十二条 商业银行授信岗位设置应当做到分工合理、职责明确,岗位之间应当相互配合、相互制约,做到审贷分离、业务经办与会计账务处理分离。
第三十三条 商业银行有权审批贷款的机构应当设立审贷委员会,负责审批一定金额以上的授信业务;审贷委员会应当实行集体审议、充分发表意见、无记名投票、少数服从多数的原则。
第三十四条 商业银行应当建立严格的授信风险垂直管理体制,下级机构应当服从上级对口风险管理部门的管理,严格执行各项授信风险管理政策和制度。
第三十五条 商业银行应当对授信业务实行统一的法人授权和负责人转授权制度,上级机构应当根据下级机构的风险管理水平、资产质量、所处地区经济环境等因素,合理确定审批权限。
第三十六条 商业银行应当根据授信业务的风险大小,对不同种类、期限、担保条件的业务确定不同的审批权限,审批权限应当逐步采用量化风险指标。
第三十七条 商业银行各级机构内部应当明确规定授信审查人、审批人之间的权限和工作程序,严格按照权限和程序审查、审批业务,不得故意绕开某个审查、审批人。
第三十八条 商业银行应当防止授信风险的过度集中,通过实行授信组合管理,制定在不同期限、不同行业、不同地区的授信分散化目标,及时监测和控制授信组合风险,保证总体授信风险控制在合理的范围内。
第三十九条 商业银行应当对同一客户的贷款、贸易融资、票据承兑和贴现、透支、保理、担保、贷款承诺等各类表内外授信业务实行一揽子管理,确定总体授信规模。
第四十条 商业银行应当以风险量化评估的方法和模型为基础,开发和运用统一的客户信用评级体系,作为授信业务客户选择和项目审批的依据,并为客户信用风险识别、监测、以及制定差别化的信贷授权、授信政策提供基础。
第四十一条 商业银行应当对集团客户实行统一授信管理,将同一集团内各个企业的授信业务纳入统一的授信限额内,核定集团的总授信限额,防范借款人通过多头开户、多头贷款、多头互保套取银行资金,防止对关联企业授信的失控。
第四十二条 商业银行应当建立授信业务的统一操作规范,规定贷前调查、贷时审查、贷后检查各个环节的工作标准和操作流程。
(一)贷前调查应当做到双人调查,实地查看,如实报告授信调查掌握的情况,不回避风险点,不因任何人的主观意志而改变调查结论;
(二)贷时审查应当做到独立审贷,客观公正,充分、准确地揭示业务风险,提出降低风险的对策;
(三)贷后检查应当做到双人交叉,现场检查,及时将检查中发现的问题报告有关人员,不能隐瞒或掩饰问题。
第四十三条 商业银行应当制定各类授信业务品种的统一管理办法,明确规定各项业务的叙做条件,包括选项标准、期限、利息和收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容。
第四十四条 商业银行在批准各类授信业务时,应当逐笔载明叙做的各项条件,经办部门只能在符合各项条件的前提下办理业务。
第四十五条 商业银行应当设立独立的法律岗位,统一管理各类授信业务的法律事务,制定法律文本,保证每笔业务的合法性,维护银行的合法权益。
第四十六条 商业银行应当强化对借款人的独立的尽职调查,严格执行授信审批程序,防止逆程序操作和放松授信标准的情况,防止发放任何的外部行政干预贷款和人情贷款。
第四十七条 商业银行应当按照信贷原则审查对关系人的贷款等授信业务,保证对关系人的授信标准不低于对其他客户同类授信的条件;在对关系人的授信调查和审批过程中,银行内部相关人员应当回避。
第四十八条 商业银行应当加强对借款用途的审查和监控,防止借款人通过贷款、办理银行承兑汇票、贴现、拆借等方式套取信贷资金,改变借款用途,甚至违规流入股市、用于高风险的房地产交易、金融衍生产品交易以及违法活动。
第四十九条 商业银行应当加强对借款人资格合法性、融资背景和申请材料的真实性、借款合同完备性的审查,防止借款人以编造虚假理由、使用虚假经济合同或虚假证明文件等方式,从事金融诈骗活动。
第五十条 商业银行应当建立资产质量监测报告体系,严密监测资产质量的变化,分析不良资产的形成原因,及时作出防范和化解风险的对策。
第五十一条 商业银行应当建立贷款风险分类制度,规范贷款质量的认定标准和程序,确保贷款质量的真实性。
第五十二条 商业银行应当建立授信业务风险责任制,明确规定各个部门、岗位的风险责任和相应处罚措施。
(一) 调查人员应当承担调查失误和评估失准的责任;
(二) 审查和审批人员应当承担审查、审批失误的责任,并对本人签署的意见负责;
(三) 贷后检查人员应当承担检查失误、清收不力的责任;
(四) 放款操作人员应当对操作性风险负责;
(五) 高级管理层应当对重大贷款损失承担相应的责任。
第五十三条 商业银行应当对违法、违规造成的授信业务的风险和损失逐笔进行责任认定,认真剖析发生风险和损失的关键环节,追究相应的责任岗位和责任人。
第五十四条 商业银行应当建立完善的授信业务信息系统,对授信业务全过程进行持续监控,并及时、真实提供授信业务的经营情况和资产质量状况,对授信风险与收益情况进行综合评价。
第五十五条 商业银行应当建立完善的客户信息管理系统,全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息,对客户进行分类管理,对已列入“黑名单”、逃废债等资信不良的企业和个人实施授信禁入。
第四章 资金业务的内部控制
第五十六条 商业银行资金业务内部控制的重点是:对资金业务对象和产品实行统一授信,实行严格的前后台的职责分离,加强中台的风险监控和管理,防止交易员越权交易和欺诈行为,防止因违规操作和风险识别不足导致的重大损失,防止在条件不具备情况下从事高风险的金融衍生产品交易。
第五十七条 商业银行资金业务的组织结构应当体现权限等级和职责分离的原则,做到前台交易与后台结算分离、自营业务与代客业务分离、业务操作与风险监控分离,建立岗位之间的监督制约机制。
第五十八条 商业银行应当根据分支机构经营管理水平,核定各分支机构的资金业务经营权限,未经上级机构批准,下级机构不得开展任何未设权限的交易;对于分支机构的资金业务应当进行定期检查,对异常资金交易及资金变动建立有效的预警和处理机制。
第五十九条 商业银行应当建立资金营运的内部控制,资金的调出、调入应当有真实的业务背景,严格按照授权进行操作,并及时划拨资金,登记台账;对大额资金调拨,资金汇出行应当做好跟踪监测工作,确保汇出资金及时到达指定行。
第六十条 商业银行应当根据授信原则和资金交易对手的财务状况,确定交易对手、投资对象的授信额度和期限,并根据交易产品的特点对授信额度进行动态监控,保证所有交易在授信额度范围之内。
第六十一条 商业银行应当充分了解所从事资金业务的性质、风险、相关的法规和惯例,明确允许交易的业务品种,确定资金业务单笔和累计最大交易限额、资金业务准备承担的单笔和累计最大交易损失限额以及交易止损点。
第六十二条 商业银行应当建立完备的资金交易风险评估及控制系统,制定符合本行特点的风险控制政策、措施及定量指标,开发和使用量化的风险管理模型,对资金交易的收益与风险进行适时、审慎评价,保证资金业务各类风险控制指标在银行规定的范围内。
第六十三条 商业银行应当根据资金交易的风险程度和管理能力,就交易品种、交易金额及止损点等对交易员进行授权;交易员上岗前应当取得相应资格或经过培训。
第六十四条 商业银行应当按照市场价格计算交易头寸的市值及浮动盈亏情况,对资金交易产品的市场风险、头寸市值变动进行实时监控,并建立相应的报告制度。
第六十五条 商业银行应当充分考虑到极端的市场价格变动、市场流动性降低以及主要交易对手倒闭等问题,确定市场出现大幅异常波动和可能出现最坏情况时的应对措施。
第六十六条 商业银行应当建立对资金交易员适当的激励机制,并加强对交易员的日常管理;应当要求交易员严格遵守交易员行为准则,在职责权限及各项授信限额、交易限额及止损点内以真实的市场价格进行交易,并保证交易信息的机密性。
第六十七条 商业银行应当建立有效的资金交易后台结算部门对前台交易的反映和监督机制,后台结算部门应当独立地进行交易结算及付款,并根据交易员的交易记录,在规定时间内向交易对手逐笔确认交易,核对前台交易的授权交易限额、交易对手的信用额度和交易价格等,对于超出授权范围内的交易应当向有关主管部门报告。
第六十八条 商业银行应当明确金融衍生产品的性质、风险揭示和对冲策略,并根据本行的风险承受能力合理确定金融衍生产品的风险限额和相关交易参数;交易人员应当向高级管理层如实汇报金融衍生产品中的或有资产、隐含风险和对冲策略等交易细节。
第六十九条 商业银行在办理代客资金业务时,应当了解客户从事资金交易的权限和能力,向客户充分揭示有关风险,获取必要的履约保证,明确在市场变化情况下客户违约的处理办法及措施。
第七十条 商业银行资金业务新产品的开发和试行应当经高级管理层授权批准,在风险控制制度和操作规程完备、人员合格和设备齐全的情况下,交易部门才能全面开展新产品交易。
第七十一条 商业银行应当建立资金业务的风险责任制,明确规定各个部门、岗位的风险责任和相应的处罚措施:
(一) 前台交易人员应当承担越权交易及虚假交易的责任,应当对未执行止损规定形成的资金损失负责;
(二) 中台监控人员应当承担风险报告失准的责任;
(三) 后台结算人员应当对结算的操作性风险负责,并承担对交易员越权交易报告的责任。
(四) 高级管理层应当对资金交易出现的重大损失承担管理责任。
第五章 存款及柜台业务的内部控制
第七十二条 商业银行存款及柜台业务内部控制的重点是:加强对基层营业网点、要害部位和重点岗位的监控,严格执行账户管理、核算制度及各项操作规程,防止内部操作风险和违规经营行为,防范内部挪用、贪污和洗钱、金融诈骗、逃汇、骗汇等非法活动,保证银行和客户资金的安全。
第七十三条 商业银行应当按照存款实名制等法规规定,为存款人办理账户开立、变更、关闭等有关手续,严格执行开销户登记制度,妥善保管存款人的开户资料,保证存款人身份和账户资料的真实、完整、合法。
第七十四条 商业银行应当严格执行账户管理的有关规定,要求机构在银行开立账户时,预留其本名的印鉴,个人在银行开立账户时,核对其本人有效身份证明,防止存款人出租、出借账户或利用其存款账户从事其他非法活动。
第七十五条 商业银行应当加强对预留印鉴、存款支付凭据的管理,提高印鉴、票据真伪的甄别能力,并积极依托信息技术,逐步加大预留印鉴管理的电子化含量,防范诈骗活动。
第七十六条 商业银行应当对大额存单签发、大额存款支取实行分级授权和双签制度,按规定对大额款项收付进行登记和报备,保证存款信息的真实、完整。
第七十七条 商业银行应当加强对每日营业终了账务处理工作的管理,当天的票据当天入账,对发现的错账和未提出的票据或退票,应当履行审批、登记手续。
第七十八条 商业银行应当严格执行“印、押(压)、证”三分管制度,使用和保管重要业务印章的人员不得同时保管相关的业务单证,使用和管理密押、压数机的人员不得同时使用或保管相关的印章和单证;人员变动要办理交接、登记手续,人员离岗要妥善保管。
第七十九条 商业银行应当对现金收付、资金划转、挂失、解挂、账户资料变更、密码更改等柜台业务,建立复核制度,确保交易的完整记录和可追索;柜台人员的名章、操作密码、身份识别卡等应当实行个人负责制,妥善保管,按章使用。
第八十条 商业银行应当对现金、贵金属、重要空白凭证和有价证券实行严格的核算和管理,严格执行入库、登记、领用的手续和数量控制,定期盘点查库,正确、及时处理损益。
第八十一条 商业银行应当加强存款账户的账务管理,定期与机构客户对账,落实对账单的反馈情况;对睡眠账户、内部特种转账业务、账户异常变动等进行持续监控,发现异常情况应当进行跟踪。
第八十二条 商业银行应当对交易异常的存款账户进行监控和分析,对频繁大额存取款等异常情况,及时采取设置标识、限制或停止取款等措施加以控制,必要时向有关部门报告。
第八十三条 商业银行应当严格遵循“了解你的客户”的原则,注意审查客户资金来源的真实性和合法性,提高对可疑交易的鉴别能力,如发现可疑交易,应当予以控制,并逐级上报,防止被犯罪分子所利用,进行洗钱活动。
第八十四条 商业银行应当强化会计、储蓄事后监督的作用,配置专人负责事后监督工作,实现业务与监督在空间与人员上的分离。
第八十五条 商业银行应当严格执行营业机构重要岗位的请假、轮岗和离岗审计制度,加强对要害部门和重点岗位的管理和监督,对非营业时间进入营业场所、电脑延长开机时间等非正常情况须办理审批和登记手续。
第六章 中间业务的内部控制
第八十六条 商业银行中间业务内部控制的重点是:开展中间业务须取得相应的从业资格和具体的业务授权,建立并落实相关的业务规章制度和操作规程,按委托人指令付款,防范结算和或有业务风险,防止银行垫款。
第八十七条 商业银行开展中间业务,必须符合国家法律、法规和金融监管规章的有关规定,具备开办业务所必需的软、硬件条件,符合国家相关标准,并事先办理相关的报批、报备和授权手续。
第八十八条 商业银行办理支付结算业务,应当根据有关法规、规章制度要求,对持票人提交的票据或结算凭证进行审查,并确认委托人付款指令的正确性和有效性,按指定的方式、时间和账户办理资金转移手续。
第八十九条 商业银行办理结汇、售汇及收付汇业务,应当对业务的审批、操作和会计记录实行恰当的职责分离,并加强内部管理和检查,保证结汇、售汇及收付汇业务的合规性。
第九十条 商业银行办理代理业务,应当设立专户核算代理资金,完善代理资金的拨付、回收、核对等手续,防止代理资金被挤占挪用,保证专款专用。
第九十一条 商业银行应当完善对代理资金支付的审查和管理,按照代理协议的授权办理资金转移手续,严格履行银行不垫款的原则,不介入委托人与其他人的交易纠纷。
第九十二条 商业银行应当严格按照会计制度正确核算和确认各项代理业务收入,坚持收支两条线,防止代理收入被私自截留或非法使用。
第九十三条 商业银行发行贷记卡,应当在全行统一的授信管理原则下,建立客户信用评价标准和评价方法,对申请人相关资料的合法性、真实性和有效性进行严格的审查和核实,确定客户的信用额度,严格执行授权审批制度。
第九十四条 商业银行应当对持卡人的透支行为建立有效的监控机制,业务处理系统应当具有实时监督、超额控制和异常交易止付等功能;应当加强对透支款项的管理,切实防范恶意透支等风险。
第九十五条 商业银行发行借记卡,应当按照实名制规定开立账户;对借记卡的取款、转账、消费等支付业务,应当制定并严格执行相关的管理制度和操作规程。
第九十六条 商业银行受理银行卡存取款或转账业务,应当对银行卡资金交易设置必要的监控措施,防止持卡人利用银行卡进行违法活动。
第九十七条 商业银行发卡机构应当建立健全内部管理机制,完善重要凭证、银行卡卡片、客户密码、止付名单、技术档案等重要资料的传递与存放管理,严密交接手续。
第九十八条 商业银行应当加强银行卡特约商户的管理,审核商户经营的合法性,规范相关的操作程序与处理手续,对特约商户的经营风险或操作过失应当制定相关的应急和防范措施。
第九十九条 商业银行从事基金托管业务,应当在人事、行政及财务上独立于基金管理人,双方高级管理人员不得相互兼职。
第一百条 商业银行应当以诚实信用、勤勉尽责的原则保管基金资产,严格履行基金托管人的职责,不得自行从事基金投资业务,不得委托第三人托管基金资产,确保基金资产的安全,并承担为客户保密的责任。
第一百零一条 商业银行应当保证基金托管业务与基金代销业务相分离,基金托管操作和业务资料应当与基金代销操作、资料有效分离。
第一百零二条 商业银行应当保证托管基金资产与自营资产相分离,对不同基金独立设账,分户管理,独立核算,保证不同基金资产的相互独立。
第一百零三条 商业银行应当严格按照会计制度规范基金账务核算,正确反映资金往来活动,并定期与基金管理人等有关当事人就托管基金的账务、会计报表等进行核对。
第一百零四条 商业银行开展咨询顾问类业务,应当坚持诚实信用原则,严格把握客户对象和业务内容的合法性,对提供给客户的信息的真实性、准确性负责,并承担为客户保密的责任。
第一百零五条 商业银行开办保管箱业务,应当在场地、设备及处理软件等方面符合国家安全标准,对用户身份进行核验确认;对进入保管场地及开启保管箱操作,应当建立明确的安全操作程序,对委托人存放的代保管物品进行必要的登记和检查,防止利用银行场地保管非法物品。
第七章 会计的内部控制
第一百零六条 商业银行会计内部控制的重点是:实行会计工作的统一管理,严格执行会计制度和会计操作规程,积极运用计算机技术手段强化会计内部控制,确保会计信息的真实、完整和合法,严禁设置账外账,严禁乱用会计科目,严禁编制和报送虚假会计数据。
第一百零七条 商业银行应当依据国家统一的会计制度制订并实施本系统的会计业务规范,会计业务规范应当覆盖会计业务的所有环节;各级经营机构应当严格执行上级机构制定的会计业务规范,上级机构应当保证统一的会计业务规范在本系统得到实施。
第一百零八条 商业银行应当保证会计工作的独立性,确保会计部门、会计人员能够依据国家统一的会计制度和本系统的会计业务规范独立办理会计业务,任何人不得授意、暗示、指示、强令会计部门、会计人员违法或违规办理会计业务;对违法或违规的会计业务,会计部门、会计人员有权拒绝办理,或者按照职权予以纠正。
第一百零九条 商业银行会计岗位设置应当实行责任分离、相互制约的原则,严禁一人兼任非相容的岗位或独自操作会计业务全过程。
第一百一十条 商业银行应当对会计部门、会计人员设置会计权限,各级会计部门、会计人员应当在各自的权限内行事,凡超越权限的,须经授权后,方可办理。
第一百一十一条 商业银行应当对会计账务处理的全过程实行监督,会计账务应当做到账账、账据、账款、账实、账表及内外账的六相符;凡账务核对不一致的,应当按照权限进行纠正或报上级机构处理。
第一百一十二条 商业银行应当对会计人员实行从业资格管理,会计人员、会计主管、会计负责人应当具有与其岗位、职位相适应的能力,并取得相应的从业证书或专业资格。
第一百一十三条 商业银行会计主管的变动应当得到上级会计部门的同意;会计人员调动工作或离职,应当与接管人员办清交接手续,严格执行监交程序。
第一百一十四条 商业银行应当对会计人员实行强制休假制度,联行、同城票据交换、出纳等重要会计岗位人员和会计主管还应当定期轮换,接受离岗(任)审计。
第一百一十五条 商业银行应当实行会计差错责任人追究制度,发生重大会计差错、舞弊或案件,除对直接责任人员追究责任外,对单位负责人和分管会计业务的负责人也应当追究连带责任。
第一百一十六条 商业银行应当做到会计记录、账务处理的合法、真实、准确和完整,严禁伪造、编造会计凭证和会计账簿,严禁提供虚假会计报表。
第一百一十七条 商业银行应当建立恰当的信息披露制度,按照规定及时、真实、完整地披露会计、财务信息,满足股东、监管当局、社会公众对其信息的需求。
第一百一十八条 商业银行应当完善会计档案管理制度,严格查阅手续,防止会计档案被替换、更改、损毁或遗失。
第八章 计算机系统的内部控制
第一百一十九条 商业银行计算机系统内部控制的重点是:严格划分计算机系统开发部门、管理部门与应用部门的职能,建立健全计算机系统风险防范的制度,确保计算机系统设备、数据、系统运行和系统环境的安全。
第一百二十条 商业银行应当保证计算机系统的开发人员、管理人员、操作人员与业务人员不能互相兼任,明确各自的岗位职责,做到岗位之间的相互制约;应配备专(兼)职计算机安全管理人员,明确计算机安全管理人员的职责。
第一百二十一条 商业银行应当对计算机系统的项目立项、设计、开发、测试、运行和维护整个过程进行严格的管理,开发测试环境要与生产环境严格分离;技术部门与业务部门之间应当加强沟通交流,项目设计时,不能仅从计算机处理角度或者业务操作角度片面考虑安全问题,要确保系统的整体安全。
第一百二十二条 商业银行购买计算机软、硬件设备,应当对供应商的资信进行严格的审查,确保产品在使用期间的有效维护和正常运作,并明确产品供应商(包括软件、硬件、通讯设备供应商)对产品在使用期间应当承担的责任。
第一百二十三条 商业银行应当加强计算机系统的物理安全,计算机机房建设应当符合国家的有关标准,出入计算机机房应当有严格的审批程序和出入记录,保证计算机硬件、各种存储介质的物理安全;计算机机房和营业网点应当有完备的监控系统,确保计算机终端的正常使用。
第一百二十四条 商业银行应当加强计算机网络的管理,建立实用的网管系统,有效地管理网络的安全、故障、性能、配置等,并加强与合作单位联网、互联网联网的安全控制措施。
第一百二十五条 商业银行应当加强计算机系统的用户管理(包括各类计算机设备、操作系统、数据库系统、应用系统的用户管理)和权限卡管理,对用户的创建、变更、删除、用户口令的长度、时效等都应当有严格的控制;员工之间严禁转让计算机系统的用户或权限卡,员工离岗后应及时更换密码及密码信息。
第一百二十六条 商业银行应当加强网络和计算机系统的访问控制,计算机系统的输入应当经过适当的审批程序,并对输入操作进行安全控制,输入数据应当核对无误,数据的修改应当经过适当的批准。
第一百二十七条 商业银行应当及时更新软件补丁程序、病毒代码库、攻击特征码、系统安全设置等,通过认证、加密、内容过滤、入侵监测、审计等技术手段确保计算机信息系统的安全,并不断完善安全控制措施。
第一百二十八条 商业银行的网络设备、操作系统、数据库系统、应用程序等都应当设置必要的日志;日志应当定期检查,并能满足各类审计的需要。
第一百二十九条 商业银行应当严格管理各类数据信息,数据的各类操作、数据备份介质的存放、转移和销毁等都应当有严格的管理办法。
第一百三十条 商业银行应用计算机处理业务,其业务处理应当具有可复核性和可追溯性;计算机操作人员的个人密码或其他认证识别工具应当保密。
第一百三十一条 商业银行的电子银行服务应当具备客户身份识别、安全认证等功能,防止发生泄密事件,确保交易安全。
第一百三十二条 商业银行应当不断提升计算机操作系统和管理系统的功能,通过系统设定的安全措施,防范利用计算机管理的漏洞进行的各种违规操作和金融犯罪。
第一百三十三条 商业银行应当建立计算机信息系统安全应急机制,制定详细的应急方案并定期修订、演练;数据备份要做到异地存放,条件允许时,应当建设异地计算机灾难备份中心。
第九章 内部控制的监督与纠正
第一百三十四条 商业银行应当明确专门的委员会负责内部控制的建设、监督和纠正。
(一)设计内部控制体系;
(二)组织、督促各职能部门和分支机构建立和健全内部控制;
(三)检查、监督和评价内部控制的健全性和有效性;
(四)采取措施,处理和纠正内部控制存在的问题。
第一百三十五条 商业银行应当建立内部控制的报告和信息反馈制度,业务部门、内部审计部门和其他控制人员发现内部控制存在的问题和缺陷,应当及时向专门的委员会或相关职能部门报告。
第一百三十六条 商业银行应当定期或不定期对内部控制状况进行检查,检查工作可以由专门的委员会组织内部审计部门或相关职能部门进行。
第一百三十七条 商业银行上级机构应当根据自身掌握的内部控制信息,定期对下级机构的内部控制状况作出评价,并将评价结果作为经营绩效考核的重要依据。
第一百三十八条 商业银行应当建立对内部控制问题和缺陷的处理和纠正机制,专门的委员会应当根据内部控制的检查情况和评价结果,及时提出整改意见和纠正措施,并督促有关部门或分支机构落实。
第一百三十九条 商业银行应当建立内部控制的风险责任制:
(一)高级管理层应当对内部控制的有效性负责,并对由内部控制失效造成的重大资产损失承担责任。
(二)内部审计部门应当对检查发现的问题隐瞒不报、上报虚假情况或检查监督不力的,承担相应的责任;
(三)专门的委员会或相关的职能部门应当及时纠正内部控制存在的问题,并承担相应的责任;
(四)专门的委员会应当对违反内部控制制度的人员,视情节轻重,依据有关法规和内部管理制度追究责任和予以处罚,并承担处理不力的责任。
第一百四十条 中国人民银行将商业银行内部控制作为重要的监管内容。
(一)定期或不定期对商业银行内部控制状况进行现场检查。
(二)审查商业银行内部审计部门的工作报告,或要求商业银行对部分或全部业务进行自查。
(三)向商业银行董事会和高级管理层通报检查发现的问题,并责成商业银行进行处理和整改。
(四)综合对商业银行内部控制的检查结果等各方面的信息,对商业银行内部控制作出总体评价。
(五)内部控制评价结果作为对商业银行市场准入管理和核准高级管理人员任职资格的重要依据。
第一百四十一条 外部审计机构可以接受中国人民银行的委托,对商业银行的内部控制状况进行审计,也可以接受商业银行的聘请对其内部控制作出审计评价;外部审计机构发现商业银行内部控制的问题和缺陷,应当及时向中国人民银行报告。