中国民生银行内部控制基本规定

第一章 总 则

第一条 为建立健全本行内部控制体系，防范金融风险，保障业务、管理体系安全稳健运行，依据财政部等五部委《企业内部控制基本规范》及其《企业内部控制配套指引》、银监会《商业银行内部控制指引》、《商业银行合规风险管理指引》、《商业银行信息科技风险管理指引》和上海证券交易所《上海证券交易所上市公司内部控制指引》等法律法规，制定本规定。

第二条 本规定所称内部控制是指本行为实现内部控制目标，通过制定一系列制度、程序和方法，并由董事会、监事会、管理层和全体员工实施的对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

第三条 本行内部控制的总体目标是：在全行建立一个运作规范、管理科学的内控体系。具体目标如下：

（一）确保国家法律、法规和本行内部规章制度贯彻执行。

（二）确保本行发展战略和经营目标全面实施和充分实现。

（三）确保本行风险管理体系的有效性。

（四）确保本行业务记录、财务信息和其他管理信息的及时、真实和完整。

第四条 本行内部控制遵循以下基本原则：

（一）全面性原则。本行内部控制贯穿决策、执行和监督全过程，渗透本行及其所属单位的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，做到任何决策或操作均应当有案可查。

（二）审慎性原则。本行内部控制以防范风险、审慎经营为出发点，本行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。

（三）有效性原则。本行任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。

（四）独立性原则。本行内部控制的监督、评价部门独立于内部控制的建设、执行部门，并直接向董事会、监事会和高级管理层报告。

（五）重要性原则。本行内部控制以全面控制为基础，重点关注重要业务事项和高风险领域。

（六）制衡性原则。本行内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（七）适应性原则。本行内部控制与本行经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况变化及时调整。

（八）成本效益原则。本行内部控制权衡实施成本与预期效益，以适当成本实现有效控制。

第五条 本规定适用于总行各部室、各事业部、各分行等相关机构或部门，所称业务包括本、外币业务。

本行香港代表处、各附属机构应参照本规定，结合当地监管要求，制定相应内部控制制度。

第二章 内部控制职责分工

第六条  本行董事会负责确保本行建立并实施充分而有效的内部控制体系；负责审批本行整体经营战略和重大政策并定期检查、评价执行情况；负责确保本行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。

董事会下设立审计委员会，负责监督本行内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜。

第七条  本行监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害本行利益的行为并监督执行。

第八条  本行高级管理层负责制订本行内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

第九条 本行设立总行内部控制委员会（以下简称内控委），作为本行高级管理层研究、决策和协商本行内部控制工作的平台。内控委下设内部控制委员会秘书机构（以下简称内控秘书机构），负责拟订本行内部控制基本制度，监测和报告本行内部控制体系运行情况，负责组织协调本行内部控制建立实施及日常工作。

内控委的组成、职能与职责、权利义务、议事规则等内容另行制定。

第十条  总行各部室、各事业部是本行内部控制的直接建设、执行部门，负责各自条线内部控制体系的建设，制定条线内部控制制度、程序和方法并组织实施，对条线内部控制体系存在的问题，及时采取有效措施进行改进。

第十一条  总行审计部是本行内部控制的监督和评价部门，负责对各业务条线和分支机构的内部控制状况实施全面的监督和评价，负责对本行整体内部控制的有效性进行年度自我评价。

第十二条  各分行参照总行内控委工作制度成立分行内控委，负责分行内部控制日常工作开展。

各分行内控委对总行内控委负责，并向总行内控委报告。

第十三条 本行各级管理人员承担各自管理领域内部控制制度的落实和监督职责，并负责内部控制中各类重大信息的反馈和沟通。

第十四条 本行全行员工承担各自职责范围内部控制制度的落实职责，并应主动反馈或报告内部控制各类制度及其实施中的重大信息。

第十五条 本行建立内部控制风险责任制。

（一）董事会、高级管理层对内部控制有效性负责，并对内部控制失效造成的重大损失承担责任。

（二）高级管理层对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。

（三）总分行管理部门负责本条线内控制度建设与制度执行情况检查，对制度缺失承担责任。

（四）业务部门和分支机构应当及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任。

（五）审计部门对未执行审计方案、程序和方法导致重大问题未能被发现，对审计发现隐瞒不报或者未如实反映，审计结论与事实严重不符，承担相应责任。

第三章 内部控制基本要素

第十六条 本行内部控制包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五项要素。

第一节 内部控制环境

第十七条 内部控制环境是本行实施内部控制的基础，包括本行治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

第十八条 本行根据国家有关法律法规和本行章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

第十九条 本行结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位，通过编制岗位职责说明和内部规章制度，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。

第二十条 本行设置独立的内部审计机构，配备充足的、具备相应专业知识和从业资格的内部审计人员，内部审计实行系统垂直管理。审计部门独立开展审计工作，在审计监督过程中有权获得本行所有的经营和管理信息，对监督检查中发现的内部控制重大缺陷，应及时向董事会审计委员会和高级管理层报告。

第二十一条 本行员工聘用、薪酬、考核、晋升等有关人力资源政策应体现本行可持续发展要求，对关键岗位员工执行强制休假制度和定期岗位轮换制度，对掌握本行重要商业秘密的员工执行离岗限制规定。

第二十二条 本行以职业道德修养和专业胜任能力作为选拔和聘用管理人员、员工的重要标准。加强员工培训和继续教育，培育良好的企业精神和内部控制文化，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。

第二十三条 本行建立内部控制实施激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制有效实施，创造全体员工均充分了解且能履行职责的内部控制环境。

第二十四条 本行总行各业务条线应对所属各项业务制定全面、系统、成文的政策、制度和程序，各分行及其所属机构遵循本行统一的业务标准和操作要求，结合本区域具体情况，制定和实施具体实施细则、操作程序和控制措施，进一步优化业务管理和操作流程，确保各项业务有章可循。

第二节 风险识别与评估

第二十五条 风险识别与评估是指本行及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

第二十六条 本行根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时对与实现控制目标相关的内部风险和外部风险进行识别和评估，拟定本行能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

第二十七条 本行采用定性与定量相结合方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

第二十八条 本行根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。在进行风险和策略分析时，充分吸收专业人员，组成风险分析团队，避免因个人风险偏好给本行经营带来重大损失。

第二十九条 本行结合不同发展阶段和业务拓展情况，对信用风险、市场风险、流动性风险、操作风险、合规风险等各类风险进行持续监控，收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

第三十条 本行制定并不断完善识别、计量、监测和管理风险的制度和程序，开发和运用风险量化评估方法和模型，建立涵盖各项业务、全行范围的风险管理系统，不断提升本行风险识别和评估的能力和科技水平。

第三十一条 在设立新机构或开办新业务时，本行相关部门应事先制定有关政策、制度和办法，对潜在风险进行计量和评估，并提出风险防范措施。总、分行法律与合规部门对新业务的推出应进行合法、合规性论证，合理保证每笔业务合法和有效，维护本行合法权益。

第三节 内部控制措施

第三十二条 内部控制措施是指本行应根据风险评估结果，采用相应控制措施，将风险控制在可承受度之内。

第三十三条 本行综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

风险规避是对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。

风险降低是在权衡成本效益之后，采取适当控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

风险分担是借助他人力量，采取业务分包、购买保险等方式，将风险控制在风险承受度之内的策略。

风险承受是对风险承受度之内的风险，在权衡成本效益之后，不采取控制措施降低风险或者减轻损失的策略。

第三十四条 本行根据内部控制目标，结合风险评估结果和应对策略，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，综合运用各种控制措施，对各种业务和事项实施有效控制，将风险控制在可承受范围内。

本行控制措施包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

第三十五条 本行各机构应全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应分离措施，形成各司其职、各负其责、横向与纵向相互制约的工作机制。

第三十六条 本行实行统一法人管理和法人授权，授权应与职责对应、适当、明确，并采取书面形式，各级管理人员应当在授权范围内行使职权和承担责任。对涉及资产、负债、财务和人员任免等重大业务和事项实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

第三十七条 本行严格执行国家统一的会计准则制度，依法设置会计机构，配备会计从业人员，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告处理程序，按照规定进行会计核算和业务记录，定期对各种账证、报表进行核对，妥善保管各类会计、统计和业务档案，确保原始记录、合同契约和各种报表资料真实、完整。

第三十八条 本行建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、账实核对等措施，对现金、有价证券、固定资产等有形资产及时进行盘点，确保财产安全。

第三十九条 本行实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算编制、审定、下达和执行程序，强化预算约束。

第四十条 本行应建立运营情况分析制度，各机构应综合运用经营、管理等各方面信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现问题，及时查明原因并加以改进。

第四十一条 本行建立和实施绩效考评制度，科学设置考核指标体系，对本行内部各责任单位和全体员工的业绩进行定期考核和客观评价，并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

第四十二条 本行强化计算机程序监控等现代化手段，利用计算机系统锁定分支机构和人员的业务权限，对分支机构实施有效管理和控制。

第四十三条 本行建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处置和业务持续开展。

第四节 信息交流与反馈

第四十四条 信息交流与反馈是指本行及时、准确地收集、传递与内部控制相关信息，确保信息在本行内部、本行内部与外部之间进行有效沟通。

第四十五条 本行内部控制信息包括内部信息和外部信息。内部信息可以通过本行财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取；外部信息可以通过监管机构、银行业协会、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体等渠道获取。

第四十六条 本行各机构应加强对各种内部信息和外部信息的收集、筛选、核对、整合，提高信息的有效和有用性。

第四十七条 本行将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及与外部投资者、债权人、客户、供应商、中介机构和监管机构等有关方面之间进行沟通和反馈，重要信息应当及时传递给董事会、监事会和高级管理层。

本行内部控制信息交流与反馈应考虑信息的安全性和保密性要求，相关信息报告、发布、披露应经过授权。

第四十八条 本行利用信息技术促进信息集成与共享，充分发挥信息技术在信息与沟通中的作用；同时加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

第四十九条 总行各部门、各事业部、各分行应按规定收集整理本机构或部门内控信息，并按规定路线报送。

内控信息报送具体要求另行制定。

第五十条 本行建立反舞弊机制，坚持惩防并举、重在预防原则，反舞弊工作重点包括以下内容：

（一）未经授权或者采取其他不法方式侵占、挪用本行资产，牟取不当利益。

（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。

（三）董事、监事及高级管理人员滥用职权。

（四）相关机构或人员串通舞弊。

第五十一条 本行实行诚信举报制度，鼓励并保护本行员工对本行机构或个人的违法、违纪、违规活动,以及各种有损于银行利益或商誉、违反职业道德操守的行为，通过本行公布的举报信箱、举报电话、举报电子邮箱等渠道或认为方便的其他方式，向各级职能部门举报。

第五十二条 本行促进各项业务电子数据处理系统的整合，做到业务数据集中处理；实现经营管理信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向监管机构报送监管报表资料和对外披露信息。

第五节 监督评价与纠正

第五十三条 监督评价与纠正是指本行对内部控制建立与实施情况进行监督检查，评价内部控制有效性，发现内部控制缺陷，并及时加以改进。

第五十四条 本行内部控制内部监督分为监督检查和评审评价两部分内容。其中监督检查包括业务部门开展的业务自查、检查以及审计部门开展的审计监督检查；评审评价包括总、分行通过内控委进行的内部控制状况评审和审计部门组织开展的内部控制有效性评价。

第五十五条 对监督过程中发现的内部控制缺陷，检查部门应当分析缺陷性质和产生原因，提出整改要求，并跟踪内部控制缺陷整改情况。监督检查情况应采取适当形式及时向管理层报告，内部监督中发现的重大缺陷，应追究相关责任单位或者责任人的责任。被检查部门应当分析缺陷产生原因，提出整改方案，并组织落实各项整改措施。

第五十六条 本行内部控制缺陷分为设计缺陷和运行缺陷。设计缺陷是指在制度、系统、业务管理流程等方面存在的与操作人员执行情况无关的内部控制方面的缺陷和隐患；运行缺陷是指操作人员有章不循、违章操作的行为。

第五十七条 本行各级业务部门在各自职责范围内设计并组织开展业务自查和检查，检查前应制定检查方案，检查中应编制检查记录，检查后应形成检查报告。

第五十八条 审计部门应当结合内部审计监督，对内部控制有效性进行评价，对评价中发现的内部控制缺陷，按照本行内部审计工作程序进行报告。

第五十九条 各部门检查结果应报内控委员会秘书机构，由内控委员会秘书机构根据内控委员会主席意见在相关部门间实现资源共享，以提高本行内部监督的效率和质量。

第六十条 总、分行内控委每年应组织内控有效性评价，评估全行、各机构内控状况，并组织改进。

总、分行内控委每年按照规定安排和召开内控评审会议，通过对内部控制制度建设、执行情况以及经营管理过程中重大风险隐患、事件进行回顾和剖析，研究、制定加强内部控制管理相应措施，不断健全和完善本行内部控制机制，保障和促进全行各项业务稳健发展。

第六十一条 总、分行各部门应当结合业务管理及业务自查和检查情况，对本部门或条线内部控制有效性进行自我评价，出具半年（每年7月20日前出具）及年度（次年1月30日前出具）内部控制自我评价报告，分别报总、分行内控委，并抄送审计部门。内部控制自我评价报告应包括：本部门评价期内内部控制状况总体评价、内部控制存在的主要问题、问题原因分析、解决措施和建议等内容。

总、分行内控委应对各机构内控自评报告进行综合分析，总结内控问题，督促问题整改，推动内控体系不断完善。

总行审计部结合各分行、总行各部门内部控制自评情况和审计监督情况，独立地对全行内部控制有效性进行全面评价，出具全行内部控制自我评价报告报董事会，并由董事会按照规定对外披露。

本行可聘请具有证券、期货业务资格的会计师事务所对内部控制有效性进行审计并出具审计报告。

第六十二条 各机构应当以书面或者其他适当形式，妥善保存内部控制建立与实施相关记录或者资料，确保内部控制建立与实施过程的可验证性，在内部监督过程中发现记录缺失，应及时补充和完善。

第六十三条 各机构和全行员工发现内部控制问题，均可直接向相关管理部门报告，责任单位或人员应采取有效措施予以纠正。

第六十四条 对于内部控制中发现的各类问题，尤其是经过管理问责的重大、系统性问题，各机构应按照预防为主原则，对各自内部控制政策、制度、程序和方法进行改进，包括提出改进措施、组织实施、效果验证和系统评价等内容，以实现持续改进。

第四章  重点业务和管理活动内部控制要求

第一节 授信的内部控制

第六十五条 授信内部控制重点是：

（一）在进行评级与限额核定基础上进行授信审批。

（二）实行统一授信管理，防范对单一客户、关联企业客户、集团客户以及部分产业、行业和地区授信风险的高度集中。

（三）实施审贷分离、前中后台分离制度，完善授信决策与审批机制，防止违反信贷原则发放关系人贷款和人情贷款。

（四）完善授信审批授权管理，防止越权或变相越权。

（五）健全客户信用风险识别与监测体系，建立科学有效的风险预警制度，识别、管理、化解授信产品和业务中所隐含的各类风险。

（六）加强贷款资金使用监控，积极采用受托支付手段，管控贷款资金流向，防止信贷资金违规使用。

第六十六条 总行、事业部、分行设立授信审批部门，负责授信审批与管理，避免信用风险管理失控。

对同一客户的贷款、贸易融资、票据承兑和贴现、透支、保理、担保、贷款承诺、开立信用证、信用卡业务等各类表内外授信实行统一授信管理，确定总体授信额度。

对民生集团内各个企业实行统一授信，将集团关联客户纳入统一授信额度内，严格控制客户授信限额，防止借款人通过多头开户、多头贷款、多头互保套取本行资金，防止对关联企业授信的失控。

境外分行、控股子公司对同一客户/集团的各类授信业务应纳入集团客户统一授信进行管理。

对于具有典型信用风险特征的业务，如债券投资、融资租赁等，纳入集团客户统一授信范畴。

第六十七条 总、分行建立有效的授信决策机制，包括设立信贷审查委员会、专业审贷会、双签审议制等，负责审批各自权限内的授信。

第六十八条 本行授信审批及决策机构审议表决时应遵循集体审议、委员独立发表意见、多数同意通过的原则，全部意见应记录存档。总、分行行长不作为信贷审查委员会委员，但拥有对审贷项目的一票否决权。

双签审议应按照预先设定程序，由本行认定的有资格审批人员在规定权限内双人审批相应授信业务，须两个有权审批人都签署同意意见，所审批业务才获得通过。

第六十九条 授信审批制度设置复议制度，复议前提条件必须是授信方案有实质性改变，复议原则上只能一次，最多不超过两次。

第七十条 总行建立科学明晰的弹性授权制度。对分支机构授信审批权限的确定，应根据各分行风险管理水平、资产质量、所处地区经济环境等因素，合理确定其授信审批权限；根据不同业务风险程度、不同客户信用等级、不同担保条件，确定各业务的不同审批权限。

第七十一条 总行建立全行统一的授信操作规范，明确规定贷前调查、贷时审查、贷后检查各个环节工作标准和操作要求；制定统一的各类授信品种管理办法，明确规定各项业务办理条件，包括准入标准、期限、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容。

第七十二条 各级授信调查和审批部门应执行尽职调查制度和授信审批程序，不得违反程序或减少程序进行授信，授信人员应遵循客观、公正的原则，独立发表决策意见，不受外部因素干扰。

第七十三条 各级审批机构在批准各类授信时，应逐笔载明办理业务各项条件；经办部门在实施有条件授信时应遵循“先落实条件，后实施授信”原则，授信条件未落实或条件发生变更未重新决策的，不得实施授信。各级审批机构应按照信贷原则审查对关系人的授信，确保对关联方的授信条件不优于其他同类客户的授信条件。在对关联方的授信调查和审批过程中，内部相关人员应回避。

第七十四条 授信业务调查、审批和信贷管理部门应根据职责和权限，审查借款人资格合法性、融资背景以及申请材料的真实性和借款合同的法律有效性、完备性，防止借款人通过编造虚假理由、使用虚假经济合同或虚假证明文件等方式，从事金融诈骗活动。按照反洗钱法和本行规定履行客户身份识别义务，防止客户从事洗钱等违法活动。严格审查和监控借款用途，防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金，改变借款用途。

第七十五条 总行应建立资产质量监测、预警体系，监测资产质量变化，分析不良资产形成原因，及时制定防范和化解风险的对策。

总行应建立全行信用风险授信政策，包括完善贷款风险分类制度，规范贷款质量认定标准和程序，严禁掩盖不良贷款真实状况，确保贷款质量真实性。

第七十六条 总、分行建立授信风险责任制，明确规定各个部门、岗位风险责任，对违法、违规或工作不尽职造成的授信风险和损失逐笔进行责任认定，并根据本行授信尽职调查制度和不良贷款问责制，对各环节相关人员的各类尽职行为进行认定，确定应承担的责任。

（一）调查人员承担调查失误和评估失准责任。

（二）审查和审批人员承担审查、审批失误责任，并对本人签署的意见负责。

（三）放款操作人员对操作违规或操作失误负责。

（四）贷后管理人员承担贷后管理失误的责任。

（五）清收人员承担清收不力的责任。

（六）信用风险管理部门负责人对职责范围内发生的系统性授信风险或对重大贷款损失承担相应责任。

（七）各机构信用风险管理分管领导和单位一把手应对辖属范围内授信系统风险或重大贷款损失，或发生重大贷款案件等承担相应责任。

第七十七条 本行建立全行授信管理支持系统。改进、完善信贷管理系统，对授信全过程进行持续监控，并确保提供真实授信经营状况和资产质量状况信息，对授信风险与收益情况进行综合评价。不断完善和运用统一客户信用评级体系，作为授信客户选择和项目审批依据，为客户信用风险识别、监测以及制定差别化授信政策奠定基础；建立授信风险预警体系，对来自行业和客户的风险进行跟踪监测，及时发现风险或不良苗头，采取紧急应对措施。

第二节 资金业务的内部控制

第七十八条 资金业务内部控制重点是：对资金业务对象和产品实行统一授信，实行严格的前后中台职责分离，建立独立的中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。

第七十九条 本行资金业务组织结构遵循职能分离和权限制衡原则，实行业务经营与风险管理职能分离、前台交易与后台处理分离、自营业务与代客业务分离等，建立相关岗位之间的监督制约机制。

前台负责在授权范围内受理并达成交易/签署协议文本，中台负责风险监控及报告，后台负责资金清算和账务核算等。

第八十条 本行各机构应在授权范围内办理资金业务，资金调出、调入应当有真实业务背景及完整的审批记录，并登记台账，并录入相关系统。

第八十一条 本行根据授信原则和资金交易对手财务状况，确定交易对手、投资对象的授信额度和期限，在授信额度内与交易对手开展资金交易业务，并根据交易产品特点对授信额度使用进行动态监控，确保所有交易控制在授信额度范围之内。

第八十二条 本行建立资金交易风险评估和控制系统，制定符合本行特点的风险控制政策、措施和定量指标，开发和运用量化风险管理模型，对资金交易收益与风险进行适时、审慎评价，确保资金业务各项风险指标控制在规定范围内。

第八十三条  本行按照不同产品的交易活跃状况选择估值方法，例如市场价格法，模型评估法，第三方询价法等，计算交易头寸的公允价值和浮动盈亏情况，对资金交易产品市场风险、头寸市值变动进行实时监控。

第八十四条 本行建立资金交易风险和估值内部报告制度。有关资金业务风险和估值情况报告应当定期、及时向董事会、高级管理层和其他管理人员提供。

第八十五条 本行建立全面、严密的压力测试程序，定期对突发小概率事件，如市场价格发生剧烈变动，或者发生意外政治、经济事件可能造成的潜在损失进行模拟和估计，评估本行在极端不利情况下的亏损承受能力。

本行依据压力测试结果制定市场风险应急处理方案，并定期对应急处理方案进行审查和测试，不断更新和完善应急处理方案。

第八十六条 本行实行交易员持证上岗制度，资金交易员上岗前必须获得相关业务经办资格，资金交易员应当严格遵守交易员行为准则，在职责权限、授信额度、各项交易限额和止损点内以真实市场价格进行交易，并严守交易信息秘密。

第八十七条 本行建立资金交易中台和后台部门对前台交易的反映和监督机制。

中台监控部门负责核对前台交易的授权交易限额、交易对手授信额度和交易价格等，对超出授权范围内的交易应当及时向有关部门报告。

后台结算部门负责独立地进行交易结算和付款，并根据资金交易员的交易记录，在规定时间内向交易对手逐笔确认交易事实。

第八十八条 本行在办理代客资金业务时，须了解客户从事资金交易的权限和能力，向客户充分揭示有关风险，获取必要履约保证，明确在市场变化情况下客户违约的处理办法和措施。

第八十九条 本行资金业务新产品开发和经营必须经过高级管理层授权批准，在风险充分评估，风险控制制度和操作规程完备、人员合格和设备齐全情况下，交易部门才能全面开展新产品交易。

第九十条 本行建立资金业务风险责任制，各部门、岗位风险责任如下：

（一）前台资金交易员承担越权交易和虚假交易责任，并对未执行止损规定形成的损失负责。

（二）中台监控人员承担对超授权交易和风险限额超限事件报告责任，并对风险报告失准和监控不力负责。

（三）后台结算人员对结算操作性风险负责。

（四）高级管理层对资金交易出现的重大损失承担相应责任。

第三节 存款和柜台业务的内部控制

第九十一条 存款和柜台业务内部控制重点是：对营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保本行和客户的资金安全。

第九十二条 本行各机构应执行账户管理有关规定，明确银行结算账户开立、变更、撤销的审查和管理，认真审核存款人身份和账户资料真实性、完整性和合法性。应在对客户充分了解和持续关注基础上，划分及适时调整客户风险等级。对高风险客户的审核，应严于风险等级较低客户的审核。对账户开立、变更和撤销情况定期进行检查，防止存款人出租、出借账户或利用其存款账户从事违法活动。

第九十三条 本行各机构应严格管理单位账户预留签章和付款凭据，提高对签章、票据真伪的甄别能力，防止诈骗活动。对单位存款账户应实施有效管理，定期办理银企对账，确保对账有效性。

第九十四条 本行对超过规定金额的现金收付、资金划转及账户重要资料变更、密码更改、挂失、解挂等柜台业务，建立复核制度；对大额存单签发、大额支付业务实行授权管理，确保交易信息真实、完整和可追溯。对每日营业终了的账务实施有效管理，当天票据应当天入账，对发现的错账或未提出的退票，应经有权人审核；对当天未提出的票据，经办员应及时将业务信息录入系统，否则须有权人审批，并履行登记手续。

第九十五条 本行各机构应执行“印、押、证”三分管制度，做到作业时间不离人，非作业时间不离柜。人员临时离岗，操作系统应锁屏或签退。柜员名章、操作密码、身份识别卡等应实行个人负责制，妥善保管。

严格管理现金、贵金属、重要空白凭证和有价单证，严格执行入库、登记、领用手续，定期盘点查库，正确、及时处理损益。应对内外部账户异常变动等进行持续监控，发现异常情况应进行跟踪和分析。

第九十六条 本行各机构应按照反洗钱相关要求，遵循“了解你的客户”的原则，对大额支付交易、可疑支付交易实施监控和审核，并及时登记、上报大额和可疑支付交易，防止犯罪分子的洗钱活动。

第九十七条 本行各机构应执行重要岗位休假、轮岗制度。对要害部门和重要岗位实施有效管理，凡非营业时间进入营业场所、电脑延长开机时间等应办理审批、登记手续。

第四节 中间业务的内部控制

第九十八条 中间业务内部控制重点是：开展中间业务应取得有关有权人部门核准的机构资质、人员从业资格和内部业务授权，应严格按照相关监管规定对其服务收费定价履行报备和公示程序，建立并落实相关规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。

第九十九条 本行办理支付结算业务，根据《票据法》和《支付结算办法》规定，对持票人提交的票据或结算凭证进行审查，并确认委托人收、付款指令的正确性和有效性，按指定方式、时间和账户办理资金划转手续。

第一百条 本行办理收、结汇和售、付汇业务，以及外汇衍生产品，严格遵守国家外汇管理政策及本行内部管理制度，确保业务管理、操作的合法和合规性。

第一百零一条 本行办理代理业务，设立专户核算代理资金，完善代理资金的拨付、回收、核对等手续，防止代理资金被挤占挪用，确保专款专用。应对代理资金支付进行审查和管理，按照代理协议约定办理资金划转手续，遵循本行不垫款原则，不介入委托人与其他人的交易纠纷。按照会计制度正确核算和确认各项代理业务收入，坚持收支两条线，防止代理收入被截留或挪用。

第一百零二条 本行借记卡按照实名制规定开立账户，对借记卡取款、转账、消费等支付业务，应制定并执行相关管理制度和操作规程。

第一百零三条 本行信用卡中心发行贷记卡，在全行统一的授信管理原则下，建立客户信用评价标准和方法，对申请人相关资料合法性、真实性和有效性进行严格审查，确定客户信用额度，并按照授权进行审批。

本行对贷记卡持卡人透支行为建立有效监控机制，业务处理系统应具有实时监督、超额控制和异常交易止付等功能。

本行定期与贷记卡持卡人对账，管理透支款项，切实防范恶意透支等风险。

第一百零四条 本行各机构受理银行卡存取款或转账业务，应对银行卡资金交易设置必要监控措施，防止持卡人利用银行卡进行违法活动。

第一百零五条 本行各发卡单位应建立和健全内控管理机制，完善重要凭证、银行卡卡片、客户密码、止付名单、技术档案等重要资料的传递与存放管理，确保交接手续严密。

第一百零六条 本行各特约商户管理单位应对银行卡特约商户实施有效管理，规范相关操作规程和处理手续，对特约商户的经营风险或违规套现等行为应予以化解或制止，对特约商户实施信用评级或定期评审等有进有退制约措施。

第一百零七条 总行资产托管部门从事资产托管业务，在人事、行政和财务上独立于资产管理人，双方管理人员不得相互兼职，以诚实信用、勤勉尽责原则保管基金资产，履行资产托管人职责，确保托管资产安全，并承担为客户保密责任。确保基金托管业务与基金代销业务相分离，基金托管系统、业务资料应与基金代销系统、业务资料有效分离。

为确保托管资产与自营资产相分离，对不同托管资产独立设账，分户管理，独立核算，确保不同托管资产相互独立。应按照会计制度办理托管资产账务核算，正确反映资金往来活动，并定期与资产管理人等有关当事人就托管资产投资证券的种类、数量等进行核对。

第一百零八条 本行各机构开展咨询顾问业务，应坚持诚实信用原则，确保客户对象、业务内容的合法性和合规性，对提供给客户的信息的真实性、准确性负责，并承担为客户保密的责任。

第一百零九条 本行各机构办理公司、个人理财业务，应对理财业务实行全面、全程风险管理，在提供理财顾问服务业务时，要向客户进行风险提示。

第一百一十条 本行各机构开办保管箱业务，应在场地、设备和处理软件等方面符合国家安全标准，对用户身份进行核验确认。对进入保管场地和开启保管箱，应制定相应操作规范，明确要求租用人不得在保管箱内存放违禁或危险物品，防止利用本行场地保管违法物品。

第五节 会计的内部控制

第一百一十一条 会计内部控制重点是：实行会计工作统一管理，严格执行各项会计制度和操作规程，运用计算机技术实施会计内部控制，确保会计信息真实、完整和合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。

第一百一十二条 本行各级会计部门、会计人员应依据会计规章制度独立办理会计业务，任何人不得授意、暗示、指示、强令会计部门、会计人员违法或违规办理会计业务。

对违法或违规会计业务，会计部门、会计人员有权拒绝办理，并向上级主管部门报告，直至问题得到纠正。

第一百一十三条 本行会计岗位设置遵循“责任分离、相互制约”原则，在办理会计业务过程中，严禁一人兼任不相容职责或独立完成会计业务全过程业务操作，严禁超越权限办理业务。

第一百一十四条 本行对会计账务处理全过程监督，做到账账、账据、账款、账实、账表和内外账的六相符。凡账务核对不一致的，应及时核查纠正或上报上级有权部门指导核查处理。

第一百一十五条 本行会计主管、会计部门负责人应符合规定的任职资格。会计主管或会计部门负责人的任免、调动，应经上级主管部门审核同意；一般会计人员的调动，应征得本机构会计主管（或营业室经理/会计部门负责人）同意。

第一百一十六条 本行会计人员工作调动或离职，应与接替人员办理交接手续。

本行实行会计人员、会计主管强制休假制度和重要岗位的轮岗制度，逐步实施会计主管、重要岗位人员的离岗（任）审计制度。

本行实行会计差错责任人追究制度，发生重大会计差错、舞弊或案件，除对直接责任人员追究责任外，机构负责人和分管会计的负责人应承担相应的责任。

第一百一十七条 本行会计记录、账务处理应合法、真实、完整和准确，严禁伪造、变造会计凭证、会计账簿和其他会计资料，严禁提供虚假财务会计报告。

本行建立规范的信息披露制度，及时、真实、完整地披露会计、财务信息，满足股东、监管机构和社会公众的信息需求。

第一百一十八条 本行持续完善会计档案管理，执行会计档案查阅手续，防止会计档案被替换、更改、毁损、散失和泄密。

第六节 计算机信息系统的内部控制

第一百一十九条 计算机信息系统内部控制重点是：严格划分计算机信息系统开发部门、运维管理部门与使用部门职责，建立和健全计算机信息系统风险防范制度，确保计算机信息系统设备、数据、系统运行和系统环境安全。

第一百二十条 本行信息技术部门应明确计算机信息系统开发人员、运行管理人员与操作人员的岗位职责，做到岗位之间相互制约，各岗位之间不得相互兼任。

第一百二十一条 本行计算机信息系统项目立项、开发、测试、验收、运行和维护整个过程应实施有效管理，开发环境应与生产环境严格分离。信息技术部门与业务部门之间应进行沟通协调，审议数据保护和备份策略，保障系统整体安全和数据备份可用。

第一百二十二条 本行购买计算机软、硬件设备前，根据采购招标制度要求，对供应商资格条件进行审查并通过择优选择软、硬件设备，采购时还应明确供应商对产品在使用期间应承担的责任，保障产品正常使用和有效维护。

第一百二十三条 本行各级计算机机房建设应符合国家有关标准，确保计算机硬件、各种存储设备物理安全。计算机机房和相应营业网点工作站应有完备的计算机监控系统，确保计算机系统和终端正常使用，出入计算机机房应有严格的审批程序和出入记录。

第一百二十四条 本行信息技术部门应建立和健全网络管理系统，有效地管理网络安全、故障、性能、配置等，并对接入国际互联网实施有效的安全管理。

本行对计算机信息系统实施有效的用户管理，对用户创建、变更、删除、用户口令长度、时效等均应有严格控制。员工之间严禁转让计算机信息系统用户名或权限卡，员工离岗后应及时更换口令。

第一百二十五条 本行信息技术部门应对计算机信息系统接入建立严格的审批程序，并对接入后的操作进行安全控制。录入计算机信息系统的数据应核对无误，数据修改应经过有权人部门负责人批准并建立日志。应及时更新系统安全设置、病毒代码库、软件补丁程序等，通过认证、加密、内容过滤、入侵监测等技术手段，不断完善安全控制措施，确保计算机信息系统安全。

第一百二十六条 本行网络设备、操作系统、数据库系统、应用程序等均应设置必要日志。日志记载相关系统使用、变动情况，供管理监督使用，亦能满足各类内部和外部审计需要。

本行应管理各类数据信息，数据操作、数据备份介质存放、转移和销毁等均应有严格的管理制度。

第一百二十七条 本行运用计算机处理业务，应具有可复核性和可追溯性，并为有关审计或检查留有接口，制定安全审计和评估相关规章制度。开办的电子银行服务应具备客户身份识别、安全认证等功能，防止发生泄密事件，保障交易安全。应尽可能利用计算机信息系统内控设定，防范各种操作风险和违法犯罪行为。

第一百二十八条 信息技术部门应建立计算机安全应急系统，制定详细应急方案，并定期进行修订和演练。数据备份应做到异地或同城不同建筑物内存放，总行建立异地计算机灾难备份中心。

第五章 对附属机构的内部控制要求

第一百二十九条 本行对附属机构的资本、财务以及风险实行并表管理，各相关部门应要求附属公司按时准确提供相应报表和资料。

第一百三十条 对于并表后单一客户或单一集团客户的大额风险暴露接近或达到监管机构制定的有关风险集中度监管指标时，相关部门应及时向监管机构和管理层报告，确保管理层能及时识别总体资产组合中的风险集中程度，并对风险集中度较高的资产采取风险分散措施。

第一百三十一条 本行与附属机构以及附属机构之间应当采取审慎的风险隔离措施，建立健全防火墙制度。

第一百三十二条 本行明确关联方的界定和确认、关联交易定价、授权、执行、报告和记录的政策及程序。

第一百三十三条 本行从以下几个方面，对控股子公司实行监督管理：

（一）与控股子公司依法建立适当的组织控制架构，监督管理控股子公司的公司章程制定以及董事、监事、经理的选任或指派方式。

（二）根据本行统一规划，协调控股子公司经营策略、风险管理政策与指导原则，督促控股子公司据以制定相关业务经营计划、风险管理政策及程序。

（三）与控股子公司制定双方业务竞争、关联交易、会计政策等方面的政策和程序。

（四）制定监督管理控股子公司重大财务、经营事项，包括发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险管理等的政策及程序。

（五）按照信息披露工作制度规定，督促控股子公司建立信息报告制度，以确保能及时披露控股子公司发生的、达到外部监管机构信息披露标准的重大事项。

（六）定期取得控股子公司月度财务报告和管理报告，对其经营、财务、应收账款、融资和担保等事项进行分析和检查。

（七）根据法律、法规有关信息披露规定，及时安排控股子公司提供必要的财务和经营信息，或委托会计师事务所审计控股子公司财务报告。

第一百三十四条 本行比照对控股子公司监督管理制度，对具有重大影响的参股公司进行监督管理。

第六章 附 则

第一百三十五条 本规定是本行内部控制的基本规定。本规定生效实施后，各机构应根据本规定梳理本条线规章制度，对于与本规定不一致的或未满足本规定要求的，应及时修订。

本规定未尽事项，遵照财政部等五部委《企业内部控制基本规范》及其配套指引、银监会《商业银行内部控制指引》、《商业银行信息科技风险管理指引》和上交所《上海证券交易所上市公司内部控制指引》等规定，并比照本规定实施管理。

第一百三十六条 本规定生效实施后，国家新颁布的法律法规、监管政策另有规定的，从其规定。

第一百三十七条 本行附属机构可根据实际情况，参照本规定制定本机构内部控制基本管理制度。

第一百三十八条 本规定由总行内控委秘书机构（总行法律合规部）负责解释。

第一百三十九条 本规定自2011年  月  日起施行。