招商银行内部控制基本规定（第二版）

第一章 总 则

第一条 为建立健全本行内部控制体系，防范金融风险，保障业务、管理体系安全稳健运行，依据财政部等五部委《企业内部控制基本规范》、银监会《商业银行内部控制指引》和上海证券交易所《上海证券交易所上市公司内部控制指引》等法律法规，制定本规定。

第二条 本规定所称内部控制是指本行为实现内部控制目标，通过制定一系列的制度、程序和方法，并由董事会、监事会、管理层和全体员工实施的对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

第三条 本行内部控制目标包括：

（一）确保国家法律、法规和本行内部规章制度的贯彻执行。

（二）确保本行发展战略和经营目标的全面实施和充分实现。

（三）确保本行风险管理体系的有效性。

（四）确保本行业务记录、财务信息和其他管理信息的及时、真实和完整。

第四条 本行内部控制应当贯彻以下基本原则：

（一）全面性原则。本行内部控制应当贯穿决策、执行和监督全过程，渗透本行及其所属单位的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。

（二）审慎性原则。本行内部控制应当以防范风险、审慎经营为出发点，本行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。

（三）有效性原则。本行内部控制应当具有高度的权威性，本行任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。

（四）独立性原则。本行内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。

（五）重要性原则。本行内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

（六）制衡性原则。本行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（七）适应性原则。本行内部控制应当与经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

（八）成本效益原则。本行内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

第五条 本行建立与实施有效的内部控制，包括内部环境、风险评估、控制活动、信息与沟通、内部监督五项要素。

第六条 本行各单位在实施各项管理活动过程中，应遵循和体现本规定的要求和精神，本规定未作具体要求的其他业务或环节，各单位应按照本规定的要求建立和完善相应的内部控制制度。

第七条 本规定适用于本行境内各级机构。境外分行及代表处、附属公司应参照本规定，结合当地监管要求，制定相应内部控制制度。

第八条 本规定所称各单位包括总行各部室、各分行、信用卡中心、小企业信贷中心等相关机构或部门。

第二章 组织管理

第九条 本行董事会、监事会和高级管理层的内部控制职责。

董事会负责保证本行建立并实施充分而有效的内部控制体系；负责审批本行整体经营战略和重大政策并定期检查、评价执行情况；负责确保本行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。

董事会下设立审计委员会，负责监督本行内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜。监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害本行利益的行为并监督执行。高级管理层负责制订本行内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

第十条 本行设立总行内部控制委员会（以下简称内控委），作为本行高级管理层研究、决策和协商本行内部控制工作的平台，具体负责审定本行重要内部控制制度，对本行内部控制的有效性和充分性进行评价和评审，研究本行内部控制的重大事项和管理措施，指导和推动本行各部门建立和完善内部控制程序和管理措施，确保各项内部控制措施得到有效执行。内控委的主任由总行行长担任，副主任由分管内部控制的副行长担任，总行行长室其他成员、纪委书记、技术总监、审计总监、总行各部室第一负责人为成员。内控委下设内部控制委员会办公室（以下简称内控办），负责拟订本行内部控制基本制度，监测和报告本行内部控制体系运行情况，负责组织协调本行内部控制建立实施及日常工作。总行内控办目前暂设在总行法律与合规部。

第十一条 本行各部门的内部控制职责

总行各部室是本行内部控制的建设、执行部门，负责各自条线内部控制体系的建设，制定条线内部控制制度、程序和方法并组织实施，对条线内部控制体系存在的问题，及时采取有效措施进行改进。总行审计部是本行内部控制的监督和评价部门，负责对各业务条线和分支机构的内部控制状况实施全面的监督和评价，负责对本行整体内部控制的有效性进行年度自我评价，负责组织总行内控评审会议，经办或督办总行内控评审会决定事项并向总行内控评审会议报告情况。总行监察保卫部、人力资源部负责对内部控制失职失察的责任追究，提出处理建议，并负责处理决定的落实。

第十二条 各分行成立分行内部控制委员会，负责分行内部控制的评价与决策。分行内控委的主任由分行行长担任，副主任由分管内部控制的行长室成员担任，分行行长室其他成员、分行各部室以及所辖经营机构第一负责人为成员，分行内控办暂设在分行法律与合规部。分行各部室是分行内部控制的建设和执行部门，负责在总行条线及分行内控委的领导下，组织开展条线内部控制体系建设和各项内部控制措施的实施。分行审计部门是分行内部控制的监督和评价部门，负责分行内部控制的评价和监督，组织分行的内控评审会议，并跟踪落实分行评审会的决定。分行所辖异地机构（包括二级分行和异地支行）第一负责人应指定本机构内部控制的牵头管理部门，在分行的统一组织下，开展各项内部控制工作。

第十三条 本行各级管理人员承担各自管理领域内部控制制度的落实和监督职责，并负责内部控制中各类重大信息的反馈和沟通。全行员工负有内部控制各类制度及其实施中重大信息的主动反馈责任。

第三章 内部环境

第十四条 内部环境是本行实施内部控制的基础，包括本行的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

第十五条 本行应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

第十六条 本行应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位，通过编制岗位职责说明和内部规章制度，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。

第十七条 本行设置独立的内部审计机构，配备充足的、具备相应专业知识和从业资格的内部审计人员，内部审计实行系统垂直管理，分行审计部第一负责人的任免需事先征得总行审计部和总行人力资源部的同意，总行审计部第一负责人的聘任和解聘由董事会负责。审计部门独立开展审计工作，在审计监督过程中有权获得本行所有的经营和管理信息，对监督检查中发现的内部控制重大缺陷，应及时向审计管理委员会报告。

第十八条 本行员工聘用、薪酬、考核、晋升等有关人力资源的政策应体现企业可持续发展的要求，对于关键岗位的员工执行强制休假制度和定期岗位轮换制度，对于掌握本行重要商业秘密的员工执行离岗限制规定。

第十九条 本行以职业道德修养和专业胜任能力作为选拔和聘用干部、员工的重要标准，各单位应切实加强员工培训和继续教育，培育良好的企业精神和内部控制文化，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。

第二十条 本行建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施，创造全体员工均充分了解且能履行职责的内部控制环境。

第二十一条 本行各单位应加强制度建设，总行各业务条线应对所属各项业务制定全面、系统、成文的政策、制度和程序，各分行及其所属机构可遵循本行统一的业务标准和操作要求，结合本区域具体情况，制定和实施具体的实施细则、操作程序和控制措施，进一步优化业务管理和操作流程，确保各项业务有章可循。

第四章 风险评估

第二十二条 风险评估是指本行应及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

第二十三条 本行应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时对与实现控制目标相关的内部风险和外部风险进行识别和评估，拟定本行能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平，提交董事会审议决定。

第二十四条 本行各风险管理部门应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

第二十五条 根据风险分析的结果，结合风险承受度，本行各风险管理部门应权衡风险与收益，确定风险应对策略。在进行风险和策略分析时，应当充分吸收专业人员，组成风险分析团队，避免因个人风险偏好给本行经营带来重大损失。

第二十六条 本行应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

第二十七条 本行应当结合不同发展阶段和业务拓展情况，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控，收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

第二十八条 本行各风险管理部门应制定并不断完善识别、计量、监测和管理风险的制度和程序，开发和运用风险量化评估的方法和模型，建立涵盖各项业务、全行范围的风险管理系统，不断提升本行风险识别和评估的能力和科技水平。

第二十九条 在设立新的机构或开办新的业务时，本行相关部门应事先制定有关的政策、制度和办法，对潜在的风险进行计量和评估，并提出风险防范措施。总、分行法律与合规部门对新业务的推出应进行合法、合规性论证，合理保证每笔业务的合法和有效，维护本行的合法权益。

第五章 控制活动

第三十条 控制活动是指本行应根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

第三十一条 本行应根据内部控制目标，结合风险评估结果和应对策略，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，综合运用各种控制措施，对各种业务和事项实施有效控制，将风险控制在可承受的范围内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

第三十二条 本行各单位应全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、横向与纵向相互制约的工作机制。

第三十三条 本行实行统一法人管理和法人授权，授权应与职责对应、适当、明确，并采取书面形式，各级管理人员应当在授权范围内行使职权和承担责任。对涉及资产、负债、财务和人员任免等重大的业务和事项实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。总、分行法律与合规部门统一管理各类授权、授信的法律事务。

第三十四条 本行应严格执行国家统一的会计准则制度，依法设置会计机构，配备会计从业人员，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，按照规定进行会计核算和业务记录，定期对各种账证、报表进行核对，妥善保管各类会计、统计和业务档案，确保原始记录、合同契约和各种报表资料的真实、完整。

第三十五条 本行建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、账实核对等措施，对现金、有价证券、固定资产等有形资产及时进行盘点，确保财产安全。

第三十六条 本行实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

第三十七条 本行建立运营情况分析制度，总、分行综合运用经营、管理等各方面信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

第三十八条 本行建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

第三十九条 本行应强化计算机程序监控等现代化手段，利用计算机系统锁定分支机构和人员的业务权限，对分支机构实施有效的管理和控制。

第四十条 本行建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保本行资财安全和各类数据信息的安全、完整。

第一节 授信的内部控制

第四十一条 授信内部控制的重点是：实行统一授信管理，防范对单一客户、关联企业客户、集团客户以及部分产业、行业和地区授信风险的高度集中；实施审贷分离、前中后台分离制度，完善授信决策与审批机制，防止违反信贷原则发放关系人贷款和人情贷款；完善授信审批授权管理，防止越权或变相越权；健全客户信用风险识别与监测体系，建立科学有效的风险预警制度，识别、管理、化解授信产品和业务中所隐含的各类风险；加强贷款资金使用监控，积极采用受托支付手段，管控贷款资金流向，防止信贷资金违规使用。

第四十二条 总、分行设立授信审批部门，对不同币种、不同客户对象、不同种类的授信进行统一管理，避免信用风险管理失控。对同一客户的贷款、贸易融资、票据承兑和贴现、透支、保理、担保、贷款承诺、开立信用证、信用卡业务等各类表内外授信实行统一授信管理，确定总体授信额度。对同一集团内的各个企业实行统一授信，将同一集团内各个企业的授信纳入统一的授信额度内，严格控制信用限额，防止借款人通过多头开户、多头贷款、多头互保套取本行资金，防止对关联企业授信的失控。境外分行、控股子银行、控股子公司对同一客户/集团的各类授信业务应纳入集团客户统一授信进行管理。对于具有典型信用风险特征的业务，如债券投资、融资租赁等，纳入集团客户统一授信范畴。

第四十三条 总、分行建立有效的授信决策机制，包括设立风险控制委员会或风险管理委员会、专业审贷会、双签审批制等，负责审批各自权限内的授信。风险控制委员会，负责制定信用风险管理的总体政策及对信用风险管理政策执行情况进行监测，对特别重大授信项目进行审核决策。专业审贷会是授信业务专职审批机构，负责审批超过下级行权限，且不属双签审批权限内的授信业务。双签审批人负责日常授信业务的审批。

第四十四条 本行授信审批及决策机构审议表决时应遵循集体审议、委员独立发表意见、多数同意通过的原则，全部意见应记录存档。总、分行行长不作为风险控制委员会的委员，但拥有对审贷项目的一票否决权。双签审批应按照预先设定的程序，由本行认定的有资格审批的人员在规定的权限内双人审批相应授信业务，须两个有权审批人都签署同意意见，所审批的业务才获得通过。

第四十五条 授信审批制度应设置复议制度，复议的前提条件必须是风险状况有实质性改变，复议原则上只能一次，最多不超过两次。

第四十六条 总行负责建立科学明晰的弹性授权制度。对分支机构授信审批权限的确定，应根据各分行的风险管理水平、资产质量、所处地区经济环境等因素，合理确定其授信审批权限；根据不同业务的风险程度、不同客户信用等级、不同担保条件，确定各业务的不同审批权限。

第四十七条 总行负责建立全行统一的授信操作规范，明确规定贷前调查、贷时审查、贷后检查各个环节的工作标准和操作要求；制定统一的各类授信品种的管理办法，明确规定各项业务的办理条件，包括选项标准、期限、利率、收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容。

第四十八条 各级授信调查和审批部门应执行尽职调查制度和授信审批程序，不得违反程序或减少程序进行授信，授信人员应遵循客观、公正的原则，独立发表决策意见，不受外部因素的干扰。

第四十九条 各级审批机构在批准各类授信时，应逐笔载明办理业务的各项条件，经办部门在实施有条件授信时应遵循“先落实条件，后实施授信”原则，授信条件未落实或条件发生变更未重新决策的，不得实施授信。各级审批机构应按照信贷原则审查对关系人的授信，确保对关联方的授信条件不优于其他同类客户的授信条件。在对关联方的授信调查和审批过程中，内部相关人员应回避。

第五十条 授信业务调查、审批和信贷管理部门应根据职责和权限，审查借款人资格合法性、融资背景以及申请材料的真实性和借款合同的法律有效性、完备性，防止借款人通过编造虚假理由、使用虚假经济合同或虚假证明文件等方式，从事金融诈骗活动。按照反洗钱法和本行规定履行客户身份识别义务，防止客户从事洗钱等违法活动。严格审查和监控借款用途，防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金，改变借款用途。

第五十一条 总行各相关部门应建立资产质量监测、预警体系，监测资产质量的变化，分析不良资产形成的原因，及时制定防范和化解风险的对策。总行信贷管理部负责全行信用风险授信政策的制定，包括完善贷款风险分类制度，规范贷款质量的认定标准和程序，严禁掩盖不良贷款的真实状况，确保贷款质量的真实性。

第五十二条 总、分行建立授信风险责任制，明确规定各个部门、岗位的风险责任，对违法、违规或工作不尽职造成的授信风险和损失逐笔进行责任认定，并根据本行授信尽职调查制度和不良贷款问责制，对各环节相关人员的各类尽职行为进行认定，确定应承担的责任。

（一）调查人员应承担调查失误和评估失准的责任；

（二）审查和审批人员应承担审查、审批失误的责任，并对本人签署的意见负责；

（三）放款操作人员应对操作违规或操作失误负责；

（四）贷后管理人员应承担检查失误、清收不力的责任；

（五）信用风险管理部门负责人应对职责范围内发生的系统性授信风险或对重大贷款损失承担相应责任；

（六）各单位信用风险管理分管领导和单位一把手应对辖属范围内授信系统风险或重大贷款损失，或发生重大贷款案件等承担相应责任。

第五十三条 总行信贷管理部组织建立全行的授信管理支持系统。改进、完善信贷管理系统，对授信全过程进行持续监控，并确保提供真实的授信经营状况和资产质量状况信息，对授信风险与收益情况进行综合评价。不断完善和运用统一的客户信用评级体系，作为授信客户选择和项目审批的依据，为客户信用风险识别、监测以及制定差别化的授信政策提供基础；建立授信风险预警体系，对来自行业和客户的风险进行跟踪监测，及时发现风险或不良苗头，采取紧急应对措施。

第二节 资金业务的内部控制

第五十四条 资金业务内部控制的重点是：对资金业务对象和产品实行统一授信，实行严格的前后台职责分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。

第五十五条 本行资金业务的组织结构遵循职能分离和权限制衡的原则，实行业务经营与风险管理职能分离、前台交易与后台处理分离、自营业务与代客业务分离等，建立相关岗位之间的监督制约机制。前台负责在授权范围内受理并达成交易/签署协议文本，中台负责风险监控及报告，后台负责资金清算和账务核算等。

第五十六条 本行自营资金业务分为三类，一类是总行计划财务部基于管理流动性风险和市场风险管理而负责运作的资金业务；二类是境内分行开展的资金业务；三类是由总行资金交易部及境外分支机构负责运作的资金业务。

第五十七条 对第二类业务，总行根据境内分行的经营管理水平、人员配置状况、资产规模及区域经济状况等，核定其资金业务经营权限。境内分行在权限范围内按照总行管理办法及业务流程的相关规定进行资金业务操作，并保存完整的交易记录及法律文本，及时登记交易台账。对于第一、三类业务，总行通过制定资金交易业务《年度业务授权及市场风险限额》进行管理，《年度业务授权及市场风险限额》至少应包括但不限于以下内容：资金交易业务品种授权、各类业务品种（含金融衍生产品）市场风险限额授权，如：资金业务单笔、累计最大市场风险限额以及相应承担的单笔、累计最大交易损失限额、交易止损点和相关交易参数等。

第五十八条 各单位应在授权范围内办理资金业务，资金的调出、调入应当有真实的业务背景及完整的审批记录。

第五十九条 本行根据授信原则和资金交易对手的财务状况，确定交易对手、投资对象的授信额度和期限，在授信额度内与交易对手开展资金交易业务，并根据交易产品的特点对授信额度使用进行动态监控，确保所有交易控制在授信额度范围之内。

第六十条 本行建立司库月度决策分析例会和金融市场及理财业务月度分析例会制度，总行计划财务部和资金交易部定期分析宏观经济金融形势、市场利率、汇率走势、本行投融资策略、投资组合风险收益状况等，分析各项资金业务风险水平，供高级管理层参考决策。

第六十一条 本行应当建立资金交易风险评估和控制系统，制定符合本行特点的风险控制政策、措施和定量指标，开发和运用量化的风险管理模型，对资金交易的收益与风险进行适时、审慎评价，确保资金业务各项风险指标控制在规定的范围内。

第六十二条 本行按照市场价格计算交易头寸的市值和浮动盈亏情况，对资金交易产品的市场风险、头寸市值变动进行实时监控。

第六十三条 本行建立资金交易风险和市值的内部报告制度。有关资金业务风险和市值情况的报告应当定期、及时向董事会、高级管理层和其他管理人员提供。

第六十四条 本行应当建立全面、严密的压力测试程序，定期对突发的小概率事件，如市场价格发生剧烈变动，或者发生意外的政治、经济事件可能造成的潜在损失进行模拟和估计，评估本行在极端不利情况下的亏损承受能力。本行依据压力测试的结果制定市场风险应急处理方案，并定期对应急处理方案进行审查和测试，不断更新和完善应急处理方案。

第六十五条 本行建立资金交易中台和后台部门对前台交易的反映和监督机制。中台监控部门负责核对前台交易的授权交易限额、交易对手的授信额度和交易价格等，对超出授权范围内的交易应当及时向有关部门报告。后台结算部门负责独立地进行交易结算和付款，并根据资金交易员的交易记录，在规定的时间内向交易对手逐笔确认交易事实。

第六十六条 本行实行交易员持证上岗制度，资金交易员上岗前必须获得相关业务经办资格，资金交易员应当严格遵守交易员行为准则，在职责权限、授信额度、各项交易限额和止损点内以真实的市场价格进行交易，并严守交易信息秘密。

第六十七条 本行资金业务新产品的开发和经营必须经过高级管理层授权批准，在风险充分评估，风险控制制度和操作规程完备、人员合格和设备齐全的情况下，交易部门才能全面开展新产品的交易。

第六十八条 本行在办理代客资金业务时，须了解客户从事资金交易的权限和能力，向客户充分揭示有关风险，获取必要的履约保证，制定明确的在市场变化情况下客户违约的处理办法和措施。

第六十九条 总行计划财务部负责对分支机构的资金业务进行检查。检查方式包括现场检查、非现场检查等，检查范围包括资金业务权限执行情况、政策及操作规范、市场风险及资金运作绩效等。

第七十条 本行建立资金业务的风险责任制，各部门、岗位的风险责任如下：

（一）前台资金交易员承担越权交易和虚假交易的责任，并对未执行止损规定形成的损失负责。

（二）中台监控人员承担对超授权交易和风险限额超限事件进行报告的责任，并对风险报告失准和监控不力负责。

（三）后台结算人员对结算的操作性风险负责。

（四）高级管理层对资金交易出现的重大损失承担相应的责任。

第三节 存款和柜台业务的内部控制

第七十一条 柜台业务内部控制的重点是：对营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保本行和客户资金的安全。

第七十二条 各单位应执行账户管理的有关规定，明确银行结算账户的开立、变更、撤销的审查和管理，认真审核存款人身份和账户资料的真实性、完整性和合法性。应在对客户充分了解和持续关注的基础上，划分及适时调整客户风险等级。对高风险客户的审核，应严于风险等级较低客户的审核。对账户开立、变更和撤销的情况定期进行检查，防止存款人出租、出借账户或利用其存款账户从事违法活动。

第七十三条 各单位应严格管理单位账户的预留签章和付款凭据，提高对签章、票据真伪的甄别能力，防止诈骗活动。对单位存款账户应实施有效管理，定期办理银企对账，确保对账的有效性。

第七十四条 应对超过规定金额的现金收付、资金划转及账户重要资料变更、密码更改、挂失、解挂等柜台业务，建立复核制度；对大额存单签发、大额支付业务实行授权管理，确保交易信息的真实、完整和可追溯。应对每日营业终了的账务实施有效管理，当天的票据应当天入账，对发现的错账或未提出的退票，应经有权人审核；对当天未提出的票据，经办员应及时将业务信息录入系统，否则须有权人审批，并履行登记手续。

第七十五条 各单位应执行“印、押、证”三分管制度，做到作业时间不离人，非作业时间不离柜。人员临时离岗，操作系统应锁屏或签退。柜员的名章、操作密码、身份识别卡等应实行个人负责制，妥善保管。严格管理现金、贵金属、重要空白凭证和有价单证，严格执行入库、登记、领用的手续，定期盘点查库，正确、及时处理损益。应对内外部账户异常变动等进行持续监控，发现异常情况应进行跟踪和分析。

第七十六条 各单位应按照反洗钱的相关要求，遵循“了解你的客户”的原则，对大额支付交易、可疑支付交易实施监控和审核，并及时登记、上报大额和可疑支付交易，防止犯罪分子的洗钱活动。

第七十七条 各单位应执行重要岗位的休假、轮岗制度。对要害部门和重要岗位实施有效管理，凡非营业时间进入营业场所、电脑延长开机时间等应办理审批、登记手续。

第四节 中间业务的内部控制

第七十八条 中间业务内部控制的重点是：开展中间业务应取得有关有权人部门核准的机构资质、人员从业资格和内部的业务授权，应严格按照相关监管规定对其服务收费定价履行报备和公示程序，建立并落实相关的规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。

第七十九条 办理支付结算业务，应根据《票据法》和《支付结算办法》的规定，对持票人提交的票据或结算凭证进行审查，并确认委托人收、付款指令的正确性和有效性，按指定的方式、时间和账户办理资金划转手续。

第八十条 办理收、结汇和售、付汇业务，以及外汇衍生产品，应严格遵守国家外汇管理政策及本行内部管理制度，确保业务管理、操作的合法和合规性。

第八十一条 办理代理业务，应设立专户核算代理资金，完善代理资金的拨付、回收、核对等手续，防止代理资金被挤占挪用，确保专款专用。应对代理资金支付进行审查和管理，按照代理协议的约定办理资金划转手续，遵循银行不垫款的原则，不介入委托人与其他人的交易纠纷。应按照会计制度正确核算和确认各项代理业务收入，坚持收支两条线，防止代理收入被截留或挪用。

第八十二条 借记卡应按照实名制规定开立账户，对借记卡的取款、转账、消费等支付业务，应制定并执行相关的管理制度和操作规程。

第八十三条 信用卡中心发行贷记卡，应在全行统一的授信管理原则下，建立客户信用评价标准和方法，对申请人相关资料的合法性、真实性和有效性进行严格审查，确定客户的信用额度，并按照授权进行审批。应对贷记卡持卡人的透支行为建立有效的监控机制，业务处理系统应具有实时监督、超额控制和异常交易止付等功能。应定期与贷记卡持卡人对账，管理透支款项，切实防范恶意透支等风险。

第八十四条 各单位受理银行卡存取款或转账业务，应对银行卡资金交易设置必要的监控措施，防止持卡人利用银行卡进行违法活动。

第八十五条 各发卡单位应建立和健全内控管理机制，完善重要凭证、银行卡卡片、客户密码、止付名单、技术档案等重要资料的传递与存放管理，确保交接手续的严密。

第八十六条 各特约商户管理单位应对银行卡特约商户实施有效管理，规范相关的操作规程和处理手续，对特约商户的经营风险或违规套现等行为应予以化解或制止，要对特约商户实施信用评级或定期评审等有进有退制约措施。

第八十七条 总行资产托管部门从事资产托管业务，应在人事、行政和财务上独立于资产管理人，双方的管理人员不得相互兼职，以诚实信用、勤勉尽责的原则保管基金资产，履行资产托管人的职责，确保托管资产的安全，并承担为客户保密的责任。确保基金托管业务与基金代销业务相分离，基金托管的系统、业务资料应与基金代销的系统、业务资料有效分离。为确保托管资产与自营资产相分离，对不同托管资产独立设账，分户管理，独立核算，确保不同托管资产的相互独立。应按照会计制度办理托管资产账务核算，正确反映资金往来活动，并定期与资产管理人等有关当事人就托管资产投资证券的种类、数量等进行核对。第八十八条 各单位开展咨询顾问业务，应坚持诚实信用原则，确保客户对象、业务内容的合法性和合规性，对提供给客户的信息的真实性、准确性负责，并承担为客户保密的责任。

第八十九条 各单位办理公司、个人理财业务，应对理财业务实行全面、全程风险管理，提供具备与管控理财业务风险相适应的技术支持和后台保障能力，以及其他必要的资源保证，制定相应的具有针对性的业务管理制度、工作规范和工作流程，并突出重点风险的管理，清晰明确和具有较高的可操作性。在提供理财顾问服务业务时，要向客户进行风险提示。

第九十条 各单位开办保管箱业务，应在场地、设备和处理软件等方面符合国家安全标准，对用户身份进行核验确认。对进入保管场地和开启保管箱，应制定相应的操作规范，明确要求租用人不得在保管箱内存放违禁或危险物品，防止利用本行场地保管违法物品。

第五节 会计的内部控制

第九十一条 会计内部控制的重点是：实行会计工作的统一管理，严格执行各项会计制度和操作规程，运用计算机技术实施会计内部控制，确保会计信息的真实、完整和合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。

第九十二条 各级会计部门、会计人员应依据会计的各项规章制度独立办理会计业务，任何人不得授意、暗示、指示、强令会计部门、会计人员违法或违规办理会计业务。对违法或违规的会计业务，会计部门、会计人员有权拒绝办理，并向上级主管部门报告，直至问题得到纠正。

第九十三条 会计岗位的设置遵循“责任分离、相互制约”的原则，在办理会计业务过程中，严禁一人兼任不相容职责或独立完成会计业务全过程的业务操作，严禁超越权限办理业务。

（一）具有业务关联关系的重要业务印章、密押（压数机）、重要单证三分离；

（二）同一业务的经办与复核相分离；

（三）同一业务的经办与授权相分离；

（四）业务处理、会计核算与事后监督相分离；

（五）系统开发与运用相分离；

（六）系统技术人员与业务经办人员相分离；

（七）其他业务操作规程要求的责任分离制约制度。

第九十四条 各单位根据会计、储蓄事后监督制度，配置专人负责事后监督，实现业务与监督在空间与人员上的分离。

第九十五条 对会计账务处理全过程监督，做到账账、账据、账款、账实、账表和内外账的六相符。凡账务核对不一致的，应及时核查纠正或上报上级有权部门指导核查处理。

第九十六条 会计主管、会计部门负责人应符合规定的任职资格。会计主管或会计部门负责人的任免、调动，应经上级主管部门审核同意；一般会计人员的调动，应征得本单位会计主管（或营业室经理/会计部门负责人）同意。

第九十七条 会计人员工作调动或离职，应与接替人员办理交接手续。实行会计人员、会计主管强制休假制度和重要岗位的轮岗制度，逐步实施会计主管、重要岗位人员的离岗（任）审计制度。实行会计差错责任人追究制度，发生重大会计差错、舞弊或案件，除对直接责任人员追究责任外，机构负责人和分管会计的负责人应承担相应的责任。

第九十八条 会计记录、账务处理应合法、真实、完整和准确，严禁伪造、变造会计凭证、会计账簿和其他会计资料，严禁提供虚假财务会计报告。及时、真实、完整地披露会计、财务信息，满足股东、监管机关和社会公众对其信息的需求。

第九十九条 持续完善会计档案管理，执行会计档案查阅手续，防止会计档案被替换、更改、毁损、散失和泄密。

第六节 计算机信息系统的内部控制

第一百条 计算机信息系统内部控制的重点是：严格划分计算机信息系统开发部门、运维管理部门与使用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

第一百零一条 信息技术部门应明确计算机信息系统开发人员、运行管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任。建立全行计算机信息系统安全管理组织体系，包括安全管理机构、安全实施机构和安全使用机构并明确各自在信息系统安全内部控制中的职责。各级安全使用机构应配备专兼职计算机安全管理人员，明确计算机安全管理人员的职责。

第一百零二条 计算机信息系统的项目立项、开发、测试、验收、运行和维护整个过程应实施有效管理，开发环境应与生产环境严格分离。信息技术部门与业务部门之间应进行沟通协调，审议数据保护和备份策略，保障系统的整体安全和数据备份可用。

第一百零三条 购买计算机软、硬件设备前，应根据采购招标制度要求，对供应商的资格条件进行审查并通过择优选择软、硬件设备，采购时还应明确供应商对产品在使用期间应承担的责任，保障产品的正常使用和有效维护。

第一百零四条 各级计算机机房建设应符合国家的有关标准，确保计算机硬件、各种存储设备的物理安全。计算机机房和相应营业网点工作站应有完备的计算机监控系统，确保计算机系统和终端的正常使用，出入计算机机房应有严格的审批程序和出入记录。

第一百零五条 信息技术部门应建立和健全网络管理系统，有效地管理网络的安全、故障、性能、配置等，并对接入国际互联网实施有效的安全管理。对计算机信息系统实施有效的用户管理，对用户的创建、变更、删除、用户口令的长度、时效等均应有严格控制。员工之间严禁转让计算机信息系统的用户名或权限卡，员工离岗后应及时更换口令。

第一百零六条 信息技术部门应对计算机信息系统的接入建立严格的审批程序，并对接入后的操作进行安全控制。录入计算机信息系统的数据应核对无误，数据的修改应经过有权人部门负责人的批准并建立日志。应及时更新系统安全设置、病毒代码库、软件补丁程序等，通过认证、加密、内容过滤、入侵监测等技术手段，不断完善安全控制措施，确保计算机信息系统的安全。

第一百零七条 网络设备、操作系统、数据库系统、应用程序等均应设置必要的日志。日志记载相关系统使用、变动的情况，供管理监督使用，亦能满足各类内部和外部审计的需要。应管理各类数据信息，数据的操作、数据备份介质的存放、转移和销毁等均应有严格的管理制度。

第一百零八条 本行运用计算机处理业务，应具有可复核性和可追溯性，并为有关的审计或检查留有接口，制定安全审计和评估相关的规章制度。开办电子银行服务应具备客户身份识别、安全认证等功能，防止发生泄密事件，保障交易安全。应尽可能利用计算机信息系统的内控设定，防范各种操作风险和违法犯罪行为。

第一百零九条 信息技术部门应建立计算机安全应急系统，制定详细的应急方案，并定期进行修订和演练。数据备份应做到异地或同城不同建筑物内存放，总行应建立异地计算机灾难备份中心。

第六章 信息与沟通

第一百一十条 信息与沟通是指本行应及时、准确地收集、传递与内部控制相关的信息，确保信息在本行内部、本行内部与外部之间进行有效沟通。

第一百一十一条 本行内部控制信息包括内部信息和外部信息。内部信息可以通过本行财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取；外部信息可以通过银行业协会、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取。

第一百一十二条 本行各单位应加强对各种内部信息和外部信息的收集、筛选、核对、整合，提高信息的有用性。

第一百一十三条 本行应将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈，重要信息应当及时传递给董事会、监事会和高级管理层。本行内部控制信息交流与反馈应考虑信息的安全性和保密性要求，相关信息报告、发布、披露应经过授权。

第一百一十四条 本行应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用，同时应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

第一百一十五条 总行各部门应在每季度结束后次月5 个工作日内，收集整理本条线的内控信息报送内控办，内控办按季度汇总全行内控体系运行情况，经内控委审批后向董事会及监管部门报告。

第一百一十六条 本行应当建立反舞弊机制，坚持惩防并举、重在预防的原则，反舞弊工作的重点包括以下内容：

（一）未经授权或者采取其他不法方式侵占、挪用本行资产，牟取不当利益。

（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。

（三）董事、监事及高级管理人员滥用职权。

（四）相关机构或人员串通舞弊。

第一百一十七条 本行实行诚信举报制度，员工发现本行机构或个人有违法、违纪、违规活动,以及各种有损于银行利益或商誉行为、违反职业道德操守的行为，可以通过本行公布的举报信箱、举报电话、举报电子邮箱等渠道或认为方便的其他方式，向各级监察保卫部直至总行行长室实施举报，对举报人本行实施保护。

第一百一十八条 本行应促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理；实现经营管理的信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向监管机构报送监管报表资料和对外披露信息。

第七章 内部监督

第一百一十九条 内部监督是指本行应对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。

第一百二十条 本行内部控制的内部监督分为监督检查和评审评价两部分内容。其中监督检查包括业务部门开展的业务自查、检查以及审计部门开展的审计监督检查；评审评价包括总、分行通过召开内控评审会进行的内部控制状况评审和审计部门组织开展的内部控制有效性评价。

第一百二十一条 对监督过程中发现的内部控制缺陷，检查部门应当分析缺陷的性质和产生的原因，提出整改要求，并跟踪内部控制缺陷整改情况。监督检查情况应采取适当的形式及时向管理层报告，内部监督中发现的重大缺陷，应追究相关责任单位或者责任人的责任。被检查部门应当分析缺陷产生的原因，提出整改方案，并组织落实各项整改措施。

第一百二十二条 本行内部控制缺陷分为设计缺陷和运行缺陷。设计缺陷是指在制度、系统、业务管理流程等方面存在的与操作人员执行情况无关的内部控制方面的缺陷和隐患；运行缺陷是指操作人员的有章不循、违章操作行为。

第一百二十三条 本行各级业务部门在各自职责范围内设计并组织开展业务的自查和检查，检查前应制定检查方案，检查中应编制检查记录，检查后应形成检查报告。

第一百二十四条 各级审计部门应当结合内部审计监督，对内部控制的有效性进行监督检查，对监督检查中发现的内部控制缺陷，应当按照本行内部审计工作程序进行报告。

第一百二十五条 各部门的检查结果应在相关部门间实现资源共享，以提高本行内部监督的效率和质量。

第一百二十六条 总、分行内控委每年按照规定安排和召开内控评审会议，通过对内部控制的制度建设、执行情况以及经营管理过程中的重大风险隐患、事件进行回顾和剖析，研究、制定加强内部控制管理的相应措施，不断健全和完善本行的内部控制机制，保障和促进全行各项业务稳健发展。

第一百二十七条 总、分行各部门应当结合业务管理及业务自查和检查情况，对本部门或条线内部控制的有效性进行自我评价，出具半年（每年7 月20 日前出具）及年度（次年1 月30 日前出具）内部控制自我评价报告报同级审计部门。内部控制自我评价报告应包括：对本部门评价期内内部控制状况的总体评价、内部控制存在的主要问题、问题原因分析、解决措施和建议等内容。分行审计部门结合各部门内部控制自评情况和审计监督情况，独立地对分行内部控制有效性进行全面的评价，并将结果报告总行审计部。总行审计部结合各分行、总行各部门内部控制自评情况和审计监督情况，独立地对全行内部控制有效性进行全面评价，出具全行内部控制自我评价报告报董事会，并由董事会按照规定对外披露。本行可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。

第一百二十八条 各单位应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性，在内部监督过程中发现的记录缺失，应及时补充和完善。

第一百二十九条 本行应当建立内部控制的风险责任制。

（一）董事会、高级管理层对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任。

（二）高级管理层应当对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。

（三）业务部门和分支机构应当及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任。

（四）审计部门对未执行审计方案、程序和方法导致重大问题未能被发现，对审计发现隐瞒不报或者未如实反映，审计结论与事实严重不符，对审计发现问题查处整改工作跟踪不力等行为，承担相应的责任。

第一百三十条 各单位和全行员工发现内部控制的问题，均可直接向相关管理部门报告，责任单位或人员应采取有效的措施予以纠正。

第一百三十一条 对于内部控制中发现的各类问题，尤其是经过管理问责的重大、系统性问题，各单位应按照预防为主的原则，对各自内部控制的政策、制度、程序和方法进行改进，包括提出改进措施、组织实施、效果验证和系统评价等内容，以达到持续改进的目的。

第八章 对附属机构的内部控制

第一百三十二条 本规定所称附属机构是指由本行控制的境内外子银行、非银行金融机构、非金融机构以及按照《银行并表监管指引》应纳入并表范围的其他机构。

第一百三十三条 本行对附属机构的资本、财务以及风险实行并表管理，各相关部门应要求附属公司按时准确提供相应的报表和资料。

第一百三十四条 对于并表后单一客户或单一集团客户的大额风险暴露接近或达到监管机构制定的有关风险集中度监管指标时，相关部门应及时向监管部门和管理层报告，确保管理层能及时识别总体资产组合中的风险集中程度，并对风险集中度较高的资产采取风险分散措施。

第一百三十五条 本行应对某些特定类别产品的风险集中情况对本行的整体影响进行分析，监测附属公司从事包含杠杆率、期权等具有信用放大效应的结构性融资产品的信用风险暴露，以及因风险因素之间相互关联而产生连锁影响的特定产品的信用风险暴露。

第一百三十六条 本行应逐步建立国家或地区风险评估体系，按借款国家或地区分析债权，规定不同国家或地区的风险限额，并保持国家或地区风险限额关联职能的独立性。

第一百三十七条 本行相关风险管理部门应采用适当的方法，对境内外各附属机构的流动性风险、市场风险、操作风险、法律风险和声誉风险等进行评估，综合分析其对本行可能产生的影响，并采取相应措施，避免局部的、单一的风险进一步扩大。

第一百三十八条 本行应建立监测、报告、控制和处理本行与附属机构以及附属机构之间内部交易的政策和程序。总行法律与合规部牵头落实集团内部交易的日常管理工作，汇总内部交易情况，定期报董事会，经董事会审批后报监管部门。内部交易应该以市场价格为基础，内部交易情况应按照规定在年报中及时、充分地进行披露。

第一百三十九条 本行与附属机构以及附属机构之间应当采取审慎的风险隔离措施，建立健全防火墙制度。

第一百四十条 本行应明确关联方的界定和确认、关联交易的定价、授权、执行、报告和记录的政策及程序。

第一百四十一条 本行从以下几个方面，对控股子公司实行监督管理：

（一）与控股子公司依法建立适当的组织控制架构，监督管理控股子公司的公司章程制定以及董事、监事、经理的选任或指派的方式。

（二）根据本行的统一规划，协调控股子公司的经营策略、风险管理政策与指导原则，督促控股子公司据以制定相关业务经营计划、风险管理政策及程序。

（三）与控股子公司制定双方业务竞争、关联交易、会计政策等方面的政策及程序。

（四）制定监督管理控股子公司重大财务、经营事项，包括发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险管理等的政策及程序。

（五）按照信息披露工作制度的规定，督促控股子公司建立信息报告制度，以确保能及时披露控股子公司发生的、达到外部监管机构信息披露标准的重大事项。

（六）定期取得控股子公司月度财务报告和管理报告，对其经营、财务、应收账款、融资和担保等事项进行分析和检查。

（七）根据法律、法规有关信息披露的规定，及时安排控股子公司提供必要的财务和经营信息，或委托会计师事务所审计控股子公司的财务报告。

第一百四十二条 本行应根据法律、法规和公司章程的规定，对控股子公司的经营管理情况进行审计，并对控股子公司的内审工作进行监督管理。

第一百四十三条 本行比照对控股子公司监督管理的制度，对具有重大影响的参股公司进行监督管理。

第九章 附 则

第一百四十四条 本规定未尽事项，应遵照财政部等五部委《企业内部控制基本规

范》、银监会《商业银行内部控制指引》和上交所《上海证券交易所上市公司内部控制指引》等规定进行处理。

第一百四十五条 本规定董事会授权由总行法律与合规部解释。

第一百四十六条 本规定自2010 年1 月1 日起施行。本行2007 年12 月26 日印发的《关于印发<招商银行内部控制基本规定>的通知》（招银发〔2007〕805 号）一文同时废止。