各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：

现将修订后的《商业银行内部控制指引》印发给你们，请遵照执行。

商业银行内部控制指引

第一章 总 则

第一条 为促进商业银行建立和健全内部控制，有效防范风险，保障银行体系安全稳健运行，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条 中华人民共和国境内依法设立的商业银行适用本指引。

第三条 内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。

第四条 商业银行内部控制的目标：

（一）保证国家有关法律法规及规章的贯彻执行。

（二）保证商业银行发展战略和经营目标的实现。

（三）保证商业银行风险管理的有效性。

（四）保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。

第五条 商业银行内部控制应当遵循以下基本原则：

（一）全覆盖原则。商业银行内部控制应当贯穿决策、执行和监督全过程，覆盖各项业务流程和管理活动，覆盖所有的部门、岗位和人员。

（二）制衡性原则。商业银行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制。

（三）审慎性原则。商业银行内部控制应当坚持风险为本、审慎经营的理念，设立机构或开办业务均应坚持内控优先。

（四）相匹配原则。商业银行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应，并根据情况变化及时进行调整。

第六条 商业银行应当建立健全内部控制体系，明确内部控制职责，完善内部控制措施，强化内部控制保障，持续开展内部控制评价和监督。

第二章 内部控制职责

第七条 商业银行应当建立由董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门组成的分工合理、职责明确、报告关系清晰的内部控制治理和组织架构。

第八条 董事会负责保证商业银行建立并实施充分有效的内部控制体系，保证商业银行在法律和政策框架内审慎经营；负责明确设定可接受的风险水平，保证高级管理层采取必要的风险控制措施；负责监督高级管理层对内部控制体系的充分性与有效性进行监测和评估。

第九条 监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会、高级管理层及其成员履行内部控制职责。

第十条 高级管理层负责执行董事会决策；负责根据董事会确定的可接受的风险水平，制定系统化的制度、流程和方法，采取相应的风险控制措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行；负责组织对内部控制体系的充分性与有效性进行监测和评估。

第十一条 商业银行应当指定专门部门作为内控管理职能部门，牵头内部控制体系的统筹规划、组织落实和检查评估。

第十二条 商业银行内部审计部门履行内部控制的监督职能，负责对商业银行内部控制的充分性和有效性进行审计，及时报告审计发现的问题，并监督整改。

第十三条 商业银行的业务部门负责参与制定与自身职责相关的业务制度和操作流程；负责严格执行相关制度规定；负责组织开展监督检查；负责按照规定时限和路径报告内部控制存在的缺陷，并组织落实整改。

本指引所称商业银行业务部门是指除内部审计部门和内控管理职能部门外的其他部门。

第三章 内部控制措施

第十四条 商业银行应当建立健全内部控制制度体系，对各项业务活动和管理活动制定全面、系统、规范的业务制度和管理制度，并定期进行评估。

第十五条 商业银行应当合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。

商业银行应当采用科学的风险管理技术和方法，充分识别和评估经营中面临的风险，对各类主要风险进行持续监控。

第十六条 商业银行应当建立健全信息系统控制，通过内部控制流程与业务操作系统和管理信息系统的有效结合，加强对业务和管理活动的系统自动控制。

第十七条 商业银行应当根据经营管理需要，合理确定部门、岗位的职责及权限，形成规范的部门、岗位职责说明，明确相应的报告路线。

第十八条 商业银行应当全面系统地分析、梳理业务流程和管理活动中所涉及的不相容岗位，实施相应的分离措施，形成相互制约的岗位安排。

第十九条 商业银行应当明确重要岗位，并制定重要岗位的内部控制要求，对重要岗位人员实行轮岗或强制休假制度，原则上不相容岗位人员之间不得轮岗。

第二十条 商业银行应当制定规范员工行为的相关制度，明确对员工的禁止性规定，加强对员工行为的监督和排查，建立员工异常行为举报、查处机制。

第二十一条 商业银行应当根据各分支机构和各部门的经营能力、管理水平、风险状况和业务发展需要，建立相应的授权体系，明确各级机构、部门、岗位、人员办理业务和事项的权限，并实施动态调整。

第二十二条 商业银行应当严格执行会计准则与制度，及时准确地反映各项业务交易，确保财务会计信息真实、可靠、完整。

第二十三条 商业银行应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产和重要凭证及时进行盘点。

第二十四条 商业银行设立新机构、开办新业务、提供新产品和服务，应当对潜在的风险进行评估，并制定相应的管理制度和业务流程。

第二十五条 商业银行应当建立健全外包管理制度，明确外包管理组织架构和管理职责，并至少每年开展一次全面的外包业务风险评估。涉及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包。

第二十六条 商业银行应当建立健全客户投诉处理机制，制定投诉处理工作流程，定期汇总分析投诉反映事项，查找问题，有效改进服务和管理。

第四章 内部控制保障

第二十七条 商业银行应当建立贯穿各级机构、覆盖所有业务和全部流程的管理信息系统和业务操作系统，及时、准确记录经营管理信息，确保信息的完整、连续、准确和可追溯。

第二十八条 商业银行应当加强对信息的安全控制和保密管理，对各类信息实施分等级安全管理，对信息系统访问实施权限管理，确保信息安全。

第二十九条 商业银行应当建立有效的信息沟通机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保相关部门和员工及时了解与其职责相关的制度和信息。

第三十条商 业银行应当建立与其战略目标相一致的业务连续性管理体系,明确组织结构和管理职能,制定业务连续性计划,组织开展演练和定期的业务连续性管理评估，有效应对运营中断事件,保证业务持续运营。

第三十一条 商业银行应当制定有利于可持续发展的人力资源政策，将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，保证从业人员具备必要的专业资格和从业经验，加强员工培训。

第三十二条 商业银行应当建立科学的绩效考评体系、合理设定内部控制考评标准，对考评对象在特定期间的内部控制管理活动进行评价，并根据考评结果改进内部控制管理。

商业银行应当对内控管理职能部门和内部审计部门建立区别于业务部门的绩效考评方式，以利于其有效履行内部控制管理和监督职能。

第三十三条 商业银行应当培育良好的企业内控文化，引导员工树立合规意识、风险意识，提高员工的职业道德水准，规范员工行为。

第五章 内部控制评价

第三十四条 商业银行内部控制评价是对商业银行内部控制体系建设、实施和运行结果开展的调查、测试、分析和评估等系统性活动。

第三十五条 商业银行应当建立内部控制评价制度，规定内部控制评价的实施主体、频率、内容、程序、方法和标准等，确保内部控制评价工作规范进行。

第三十六条 商业银行内部控制评价应当由董事会指定的部门组织实施。

第三十七条 商业银行应当对纳入并表管理的机构进行内部控制评价，包括商业银行及其附属机构。

第三十八条 商业银行应当根据业务经营情况和风险状况确定内部控制评价的频率，至少每年开展一次。当商业银行发生重大的并购或处置事项、营运模式发生重大改变、外部经营环境发生重大变化，或其他有重大实质影响的事项发生时，应当及时组织开展内部控制评价。

第三十九条 商业银行应当制定内部控制缺陷认定标准，根据内部控制缺陷的影响程度和发生的可能性划分内部控制缺陷等级，并明确相应的纠正措施和方案。

第四十条 商业银行应当建立内部控制评价质量控制机制，对评价工作实施全流程质量控制，确保内部控制评价客观公正。

第四十一条 商业银行应当强化内部控制评价结果运用，可将评价结果与被评价机构的绩效考评和授权等挂钩，并作为被评价机构领导班子考评的重要依据。

第四十二条 商业银行年度内部控制评价报告经董事会审议批准后，于每年4月30日前报送银监会或对其履行法人监管职责的属地银行业监督管理机构。商业银行分支机构应将其内部控制评价情况，按上述时限要求，报送属地银行业监督管理机构。

第六章 内部控制监督

第四十三条 商业银行内部审计部门、内控管理职能部门和业务部门均承担内部控制监督检查的职责，应根据分工协调配合，构建覆盖各级机构、各个产品、各个业务流程的监督检查体系。

第四十四条 商业银行应当建立内部控制监督的报告和信息反馈制度，内部审计部门、内控管理职能部门、业务部门人员应将发现的内部控制缺陷，按照规定报告路线及时报告董事会、监事会、高级管理层或相关部门。

第四十五条 商业银行应当建立内部控制问题整改机制，明确整改责任部门，规范整改工作流程，确保整改措施落实到位。

第四十六条 商业银行应当建立内部控制管理责任制，强化责任追究。

（一）董事会、高级管理层应当对内部控制的有效性分级负责，并对内部控制失效造成的重大损失承担管理责任。

（二）内部审计部门、内控管理职能部门应当对未适当履行监督检查和内部控制评价职责承担直接责任。

（三）业务部门应当对未执行相关制度、流程，未适当履行检查职责，未及时落实整改承担直接责任。

第四十七条 银行业监督管理机构通过非现场监管和现场检查等方式实施对商业银行内部控制的持续监管，并根据本指引及其他相关法律法规，按年度组织对商业银行内部控制进行评估，提出监管意见，督促商业银行持续加以完善。

第四十八条 银监会及其派出机构对内部控制存在缺陷的商业银行，应当责成其限期整改；逾期未整改的，可以根据《中华人民共和国银行业监督管理法》第三十七条有关规定采取监管措施。

第四十九条 商业银行违反本指引有关规定的，银监会及其派出机构可以根据《中华人民共和国银行业监督管理法》有关规定采取监管措施。

第七章 附 则

第五十条 银监会负责监管的其他金融机构参照本指引执行。

第五十一条 本指引自印发之日起施行。