關於印發《加強金融機構內部控制的指導原則》的通知

第一條　根據《中華人民共和國中國人民銀行法》、《中華人民共和國商業銀行法》、《中華人民共和國保險法》等法律法規，為了有效防範金融風險，保證金融業安全穩健運行，各金融機構必須建立科學完善的內部控制制度。

第二條　金融機構內部控制是金融機構的一種自律行為，是金融機構為完成既定的工作目標和防範風險，對內部各職能部門及其工作人員從事的業務活動進行風險控制、制度管理和相互制約的方法、措施和程式的總稱。

第三條　完善金融機構內部控制是金融監管工作的重要組成部分，是規範金融機構經營行為、有效防範風險的關鍵，也是衡量金融機構經營管理水平高低的重要標誌。

第四條　本指導原則的適用範圍是政策性銀行、國有獨資商業銀行、其他商業銀行、城鄉信用社、信託投資公司、證券機構、保險公司、財務公司、融資租賃公司、典當行等非銀行金融機構。

第五條　建立健全有效的內部控制運行機制是各金融機構管理層的基本職責，管理層可以根據自身經營的規模和業務特點，制定實施各自的內控模式，分支機構可以制訂實施細則，但這些細則不得與機構本身的內部控制制度相牴觸。

第六條　金融機構內部控制要達到以下目標：

（一）確保國家法律法規和中央銀行監管規章的貫徹執行；

（二）確保將各種風險控制在規定的範圍之內；

（三）確保自身發展戰略和經營目標的全面實施；

（四）有利於查錯防弊，堵塞漏洞，消除隱患，保證業務穩健運行。

第七條　金融機構要按照合法、合規、穩健的要求，確定明確的經營方針，建立“自主經營、自擔風險、自負盈虧、自我約束”的經營機制，堅持資金營運“安全性、流動性、效益性”相統一的經營原則。在內部控制建設方面要遵循以下原則：

（一）有效性原則。各種內部控制制度包括最高決策層所制訂的業務規章和發布的指令，必須符合國家和監管部門的規章，必須具有高度的權威性，必須真正落到實處，成為所有員工嚴格遵守的行動指南；執行內控制度不能存在任何例外，任何人（包括董事長、總經理）不得擁有超越制度或違反規章的權力。

（二）審慎性原則。內部控制的核心是有效防範各種風險，任何制度的建立都要以防範風險、審慎經營為出發點。

（三）全面性原則。內部控制必須滲透到金融機構的各項業務過程和各個操作環境，覆蓋所有的部門和崗位，不能留有任何死角。

（四）及時性原則。新設立的金融機構或開辦新的業務種類，必須樹立“內控優先”的思想，首先建章立制，採取有效的控制措施。

（五）獨立性原則。內部控制的檢查、評價部門必須獨立於內部控制的建立和執行部門，直接的操作人員和直接的控制人員必須適當分開，並向不同的管理人員報告工作；在存在管理人員職責交叉的情況下，要為負責控制的人員提供可以直接向最高管理層報告的渠道。

第八條　金融機構內部控制包括：金融機構內部組織結構的控制、資金交易風險的控制、衍生工具交易的控制、信貸資金風險的控制、保險基金的風險控制、會計系統的控制、授權授信的控制、計算機業務系統的控制等。

第九條　金融機構組織結構的控制要按照決策系統、執行系統、監督反饋系統互相制衡的原則來設定。

（一）金融機構要制定明確、成文的決策程式，全部經營管理決策要按照規定程式並保留可核實的記錄，防止個人獨斷專行、超越或違反決策程式。

（二）金融機構的各級經營管理機構要嚴格執行上級的決策，並在各自職責和許可權範圍內辦理業務、行使職權。

（三）金融機構要建立有效的內部監督系統，建立各項業務風險評價、內部控制的檢查評價機制和對內部違規違章行為的處罰機制，及時發現問題，堵塞漏洞，有效防止內部的侵吞、挪用和外部的盜竊、詐欺。

第十條　金融機構對資金交易（包括本、外幣拆借，下同）、證券交易、衍生金融產品交易，要建立完善的內部監督和風險防範制度。

（一）資金交易必須遵從管理層制定的操作規程，資金的交易額、交易策略、交易品種、市場範圍要嚴格按授權辦理。

（二）建立資金交易、證券交易、衍生工具交易業務的會計和統計記錄製度以及頭寸核查和交易損益的核算制度。

（三）建立用於測量和監控風險頭寸及分析潛在虧損、風險大小並對其進行控制和管理的系統，包括風險定量分析方法，信用、市場、法律、操作風險管理等。

（四）按照中國人民銀行制訂的有關資料負債比例管理辦法的規定，按月、按季對各項監控、監測指標進行自我監測和考核，對達不到指標要求的分支機構要制訂適當的處罰措施。

第十一條　金融機構要圍繞防止和降低信貸風險、提高信貸資產質量、最佳化信貸資產結構建立有效的內部控制制度。

（一）對各類貸款的發放和使用必須實行嚴格控制，並符合國家的法律、行政法規和監管部門發布的行政規章。金融機構應遵循貸款的“效益性、安全性和流動性”原則，建立管理與操作人員行為控制的信貸管理制度。

（二）建立以風險評估和控制為核心的信貸風險管理制度。對貸款必須遵循“貸前調查，貸時審查，貸後檢查”的原則。

（三）建立以貸款立項、調查、貸款審核認定、貸款決策、貸款檢查監督為內容的信貸資產管理責任制，做到明確責任，逐級負責。任何人不得超越職權和違反程式發放貸款。

（四）建立監測信貸風險的預警系統、監測借款企業經營風險的預警系統、監測信貸風險的考核指標體系。

第十二條　金融機構要建立嚴密的會計控制系統。會計記錄、帳務處理和經營成果核算要完全獨立，會計部門只接受其主管的領導；會計主管不得參與具體經營業務的經辦。

（一）會計制度制定的唯一依據只能是國家頒布的會計準則和財務通則。會計制度必須明確規定有效會計憑證的要素。會計人員進行帳務記錄必須是經嚴格審定的有效會計憑證，除此以外，會計人員不得接受任何指令。會計人員進行的任何帳務記錄如果沒有有效的會計憑證，其主管人員和會計人員應受到嚴厲的處罰。

（二）會計記錄必須能夠確定業務活動發生的時間，並在適當的會計期間得到反映。通過電子數據處理系統錄入會計數據時，必須保證只有在識別特殊密碼狀態下才能進入該系統。修改會計記錄必須履行必要的手續，得到適當的授權，並詳經記錄在案，在電子數據處理系統中修改會計記錄，處理系統要能夠自動識別授權密碼並自動記錄在案。

（三）會計控制系統的建立應遵循以下基本原則：

規範化原則。會計帳務處理須按照會計制度的要求，建立並執行規範化的操作程式。

授權分責原則。對會計帳務處理實行分級授權。會計人員不得超越許可權範圍處理會計帳務和增刪改會計帳務事項或參數；上級授權處理的事項須履行必要的手續；建立並執行財務收支審批制度。會計帳務處理必須實行崗位分工，明確崗位職責，嚴禁一人兼崗或獨自操作全過程。會計崗位實行定期或不定期輪換。

監督制約原則。對會計帳務處理的有效依據如業務用章、密押、空白憑證實行專人分管；資金與實物分別核算與管理，會計部門對重要空白憑證和有價單證要進行表外登記，應有獨立於會計部門之外的部門管理現金、有價證券及其他實物形態的資產。對會計帳務處理的全過程要實行監督，即事前監督——受理業務時，臨櫃人員對業務的合法性、真實性，手續的完整性及數據的準確性進行審核；事中監督——對會計處理的憑證、帳表內容和數據均須覆核，重大事項須由會計主管覆核；事後監督——對已經處理過的會計帳務實行再核對，重點監督重要業務的處理。會計部門須設定相應崗位，配備必需人員，落實監督事項。

帳務核對原則。對會計帳務，須堅持“六個核對相符”，即帳帳、帳據、帳款、帳實、帳表及內外帳務核對相符；根據制度要求對不同帳務採取每日核對或定期核對的辦法。要建立和完善外部對帳制度，定期按戶對帳。

安全謹慎原則。會計部門須妥善保密密押、重要空白憑證和業務用章，防止遺失或被盜；妥善保管會計檔案，嚴格會計資料的調閱手續，防止會計數據的散失和流弊。會計人員調離須辦理交接手續。

第十三條　保險公司要建立內控機制，增強自控能力。

（一）建立健全以核保、核賠、投資風險控制為主要內容的內部控制制度，嚴格防範各種保單、批單、保險協定等可能帶來的風險；堅持“雙人勘查、交叉覆核、分級核損、終審歸案”的原則，防止假賠、騙賠案的發生；嚴格控制高風險、低流動性資產比例，加強資產負債匹配和現金流量管理。

（二）建立各項準備金提取與管理制度，以提高償付能力。各保險機構要按規定及時、足額提取未到期責任準備金，未決賠款準備金以及公積金、保險保障基金，並加強集中管理，資金運用限存入商業銀行或購買政府、金融債券。

（三）加強保險條款管理。各公司對壽險條款要實行高度集中管理，所有壽險條款均由總公司統一制訂；建立壽險精算部門，並逐步建立產險精算制度，提高精算水平，控制經營風險。

（四）保險公司要設立再保險管理部門，制定再保險規章制度，嚴格執行法定分保規定，合理確定每一風險單位的計算方法和分保辦法，制定巨災風險的計畫安排和管理措施，嚴格控制巨災風險。

第十四條　金融機構要建立合理的授權分責制度，要按照業務工作程式和授權，健全完善各種審批手續。

（一）按照各自經營活動的性質和功能，建立以局部風險控制為內函的內部授權、授信管理制度。對各分支機構授權、授信要定期檢查、確保授權、授信範圍適當，有據可查，所授許可權和信用額度不得超越和突破。

（二）針對部門的工作性質、人員的崗位職責，賦予相應的工作任務和職責許可權。

（三）各種授權都要以書面形式確認，逐級下達。

（四）轄屬分支機構、各職能部門及各級管理操作人員，要在各自崗位上按所授予的許可權開展工作，並對職責範圍的工作負責。

（五）凡對外開辦的每一筆業務都要按業務授權進行審核批准，對特別授權的業務要經過特別批准。

第十五條　金融機構要建立科學的金融計算機系統風險控制制度。要對計算機系統的項目立項、設計、開發、測試、運行和維護整個過程實施嚴格管理，明確業務主管部門和稽核監督部門的職責，嚴格劃分軟體設計、業務操作和技術維護諸方面的責任。

（一）系統的業務需求由主管業務部門提出，應符合金融法律、法規的規定，明確防範風險控制的要求，並經過稽核監督等部門的確認。

（二）系統的設計開發由科技部門負責，應該符合國家、金融行業軟體工程標準的要求，編寫完整的技術資料；在實現金融業務電子化時，應設定保密系統和相應控制機制，並保證計算機系統的可稽核性。

（三）系統投入運行前，必須經過業務、科技、稽核等部門的試驗運行，提供必備的測試資料，正式投入運行應經過業務、科技和稽核部門的聯合驗收，由金融機構法人（或法人代表）批准。

（四）系統投入運行後，應按照操作管理制度進行經常性和定期相結合的稽核檢查，完善業務數據保管等安全措施，進行排除故障、災難恢復的演習，確保系統可靠、穩定、安全地運行。

（五）採用商品軟體應經過金融電子化設計人員和稽核監督部門的測試確認，購買計算機系統設備契約中應明確廠商承擔的責任，租用公共網路時應確定經營機構承擔的責任。

（六）嚴禁系統設計、軟體開發等技術人員介入實際的業務操作。用戶使用的密碼口令要定期更換，不得向他人泄露。對系統的數據資料必須建立備份，異地存放。系統應具備嚴密的數據存取控制措施，數據錄入應依照合法、完整的業務憑證照實輸入，數據的修改要經過適當的批准。

第十六條　金融機構要設立順序遞進的三道監控防線，建立完善內部控制制度。

（一）各金融機構對涉及信貸的立項審查和發放、資金拆借、證券買賣、外匯交易、衍生工具交易等重要交易的辦理與管理必須由兩個系統或兩個以上職能部門共同執掌；會計業務和使用自動數據處理系統時，要有適當的程式和措施，保證職能分工，實行相互監督約束，共同負責。

（二）建立一線崗位雙人、雙職、雙責為基礎的第一道監控防線。屬於單人單崗處理業務的，必須有相應的後續監督機制。

（三）建立相關部門、相關崗位之間相互監督制約的工作程式作為第二道監控防線。要建立業務檔案在相關部門和相關崗位之間傳遞的標準，明確檔案簽字的授權。

（四）建立以內部監督部門對各崗位、各部門各項業務全面實施監督反饋的第三道防線。內部監督部門作為對業務的事後監督機構，必須獨立地監督各項業務活動，同時及時將檢查評價的結果反饋給最高管理層。

第十七條　金融機構在業務運營過程中要實行恰當的責任分離制度。

（一）實行對貨幣、有價證券的保管與帳務記錄相分離。

（二）重要空白憑證的保管與使用相分離。

（三）資金交易業務的授權審批與具體經辦相分離，前台交易與後台結算相分離。

（四）信用的受理髮放與審查相分離。

（五）損失的確認與核銷相分離。

（六）電子數據處理系統的技術人員與業務經辦人員及會計人員相分離等。

（七）風險評定人員與業務辦理崗位相分離。

（八）對直接接觸客戶的業務，必須覆核或事後監督把關，重要業務必須實行雙簽有效的“四眼原則”。

第十八條　金融機構在操作層要建立完善的崗位責任制度和規範的崗位管理措施。

（一）要推行內部工作的目標管理，制定規範的崗位責任制度、嚴格的操作程式和合理的工作標準。

（二）按照不同的崗位，明確工作任務，賦予各崗位相應的責任和職權，建立相互配合、相互督促、相互制約的工作關係。

（三）對重點崗位、重點業務、重要空白憑證、重要財務等要特別加強監控和管理。

（四）對資金交易、信貸管理和會計財務等重要崗位實行定期或不定期輪換和強制休假制度。

第十九條　金融機構要建立完整的信息資料保全系統，必須真實、全面、及時地記載每一筆業務，正確進行會計核算和業務核算，建立完整的會計、統計和各種業務資料的檔案，並妥善保管，確保原始記錄、契約契約、各種信息資料數據的真實完整。

第二十條　金融機構要建立有效的預警預報系統。

（一）圍繞經營行為、業務管理、風險防範、資產安全，建立定期業務分析、信貸資產質量評價、保險標的風險評估、資金運用風險評估制度。

（二）建立定期實物盤點、各種帳證、帳表的核對制度以及業務活動的事前、事中和事後監督制度。

（三）健全完善內部控制系統的評審和反饋，以及對帶有苗頭性、傾向性問題的預測預報系統。

（四）建立保險風險考核指標系統。

第二十一條　金融機構要建立有效的應急應變措施。尤其是各個重要部位、營業網點等遇到斷電、失火、火災、搶劫等緊急情況時，要確保應急應變措施及時到位，真正發揮作用。應急應變措施要考慮各種可能因素，分別依次設定具體的應急應變步驟。

第二十二條　金融機構要進一步加強和完善檢查監督手段。

（一）內部稽核（審計）部門要行使綜合性的內部監督職責，實行對一級法人負責，以保證其獨立地履行監督檢查職能。

（二）建立制度規章，保證內部稽核部門的獨立性和權威性，按“下查一級”的要求實行“派駐制”。

（三）對下屬機構的全面稽核應實行“周期制”，循環反覆進行，同時安排一定數量的專項稽核，對重大事項要隨時報告。

（四）稽核人員的配備在數量上、質量上要適應完成以上任務的需要。

（五）建立稽核處罰制度和稽核檢查制度，督促內部各項管理措施和規章制度的貫徹實施。

（六）內部稽核（審計）部門和有關檢查人員要認真履行其職責，真實及時地反映情況，對隱瞞不報、上報虛假情況和監督檢查不力，造成重大案件和出現金融風險的要追究法律責任。

第二十三條　金融機構要按各自的業務經營範圍和特點，制定全面、系統、具體的內部控制制度，並在轄屬分支機構、各職能部門、各崗位人員之間，建立既有分工負責，又有相互制約的內部控制系統。

第二十四條　金融機構制定的內部控制制度既要有切實的制約措施，又要有利於發揮轄屬分支機構、各職能部門及人員的工作積極性，以合理的控制成本保證內控目標得到全面實施。

第二十五條　金融機構要自身制定的內部控制制度定期進行檢查，並隨經營業務的發展、國家政策的變更和法律環境的改變進行修訂。

第二十六條　金融機構的內部控制制度要具備普遍適用性和可操作性。

第二十七條　金融機構要通過培訓、考試、考核等方式，確保員工熟悉崗位基本要求，理解和掌握有關內部控制制度。

第二十八條　內部控制制度的綜合管理，要由各金融機構稽核（審計）部門具體負責，其具體職責是：

（一）對各項業務提出內部控制建議。

（二）檢查和評價有關內部控制制度。

（三）對有關內部控制的問題進行專題檢查。

（四）對違反內部控制的單位和人員給予紀律處分。

第二十九條　中央銀行負責對金融機構內部控制的監督和稽核。

（一）中央銀行在對金融機構實施業務稽核的同時，要對金融機構內部控制狀況做出評價。

（二）中央銀行可以委託外部審計部門對金融機構的內部控制狀況做出評價。

（三）對內部控制存在問題的金融機構，中央銀行可以提出整改建議，情節嚴重的給予處罰。

（四）對因內部控制制度長期不健全或執行監督不力造成重大資產損失，或導致發生重大金融犯罪案件的負有個人責任或直接領導責任的金融機構高級管理人員，中央銀行可以依據有關規定，根據情節輕重及後果，取消一定期限內甚至終身的任職資格。

第三十條　對在中華人民共和國註冊的外資、中外合資金融機構應參照本指導原則，建立健全內部控制機制。

第三十一條　本指導原則由中國人民銀行負責解釋。

第三十二條　本指導原則自發布之日起由金融機構實行。