银行内部控制工作管理办法
第一章总则
第一条为建立健全银行内部控制体系，实现银行内部控制体系建设总体目标，提高我行内部控制的有效性，根据《商业银行内部控制指引》、《商业银行内部控制评价办法》制定本办法。

第二条内部控制体系建设的总体目标
以完善的内部控制体系为保障，以体现制衡原则、健全有效的内部制度为基础，以精准的流程控制为着眼点，以激励约束和问责制为引导，以科技信息手段为依托，大力培育合规文化，努力构建全面、系统、动态、主动的内部控制体系。

第三条我行内部控制的目标
(一)确保国家法律法规和我行内部各项规章制度的贯彻执行，达到监管要求。

（二）保障我行发展战略目标和经营目标的实现。

（三）确保我行各项营运资金安全。

（四）确保我行内部各类风险信息能够及时、真实和完整地传递。

（五）推进内部机制建设，实现风险防范由事后监督向事中控制和事前防范的目标。

第四条内部控制的基本原则
（一）主动报告原则。

总部各部室、各支行应形成主动报告制度，同时承担不主动报告的后果及责任。

（二）全员参与原则。

内部控制应渗透到各项业务过程和各个操作环节，覆盖所有的部门及岗位。

（三）内控优先原则。

内部控制应以防范风险、审慎经营为出发点，保证各项经营管理，尤其是新设立网点或开办新的业务符合内控管理与合规要求。

（四）相互制衡原则。

各部门、岗位、人员之间应职责分明，任何部门、岗位、人员不得拥有不受内部控制约束的权力。

（五）独立评价原则。

内部控制的监督评价职能应独立于内部控制建设、内部控制执行职能，内部控制的监督评价部门应有直接向我行
高级管理层报告的渠道。

第五条本办法所指的内部控制是指我行管理层和各级工作人员共同实施的，为实现我行经营管理目标，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

第六条本办法所指的操作风险是指因内部规章制度、操作程序、人员或系统的缺陷以及外部原因所造成的风险损失。

内控事件是指对我行业务系统运行、正常工作秩序、企业形象、社会声誉产生影响以及造成经济损失的违规、违纪事故等，主要包括以下内容：
（一）监管部门和我行内部检查的问题及整改落实情况；
（二）我行诉讼、仲裁案件和违规事件的处理情况；
（三）重要或典型客户的投诉；
（四）我行员工欺诈、骗取资金或外部欺诈事件；
（五）由于对政策法规运用的不合理而造成的资金损失；
（六）由于自然灾害给我行带来的资金损失；
（七）发生的其他损失重大的突发事件。

第二章内部控制工作的组织机构
第七条我行内部控制委员会受董事长直接领导，行使我行内部控制管理的协调和决策职能。

第八条内控委员会下设内控管理办公室，负责组织、协调内控委员会内部控制工作的总体运行，履行检查监督、指导内部控制管理制度的执行职责。

第九条各支行也应设立内部控制机构。

支行稽核员承担日常合规检查职能，负责维护本支行内控工作运行。

第十条按照内控管理需要，总部各部室和各支行，要设立专职稽核员。

第十一条总部各部室经理、各支行行长应当支持稽核员独立、有效地开展合规检查工作。

第三章管理部门和经营机构的内控职责
第十二条内控管理部门负责监督、指导各支行的内控工作，为我行管理层提供内控信息和建议。

第十三条内控管理部门对各支行内控制度执行情况进行持续监督、检查和评价，并对检查中发现问题隐瞒不报、上报虚假情况或检查监督不力承担相应责任。

主要职责有：
（一）对支行进行稽核时，应将各项内控制度的执行情况列入常规检查的内容。

（二）对违反内控制度方面提出改进意见，对违反规定的机构和人员提出处理意见并进行监督。

第十四条人力资源部对员工招收、退出、选拔、绩效考核、薪酬福利、专业技术管理等日常人事管理做出详细规定，并负责对人力资源管理过程中的风险进行监测和控制。

负责建立和实施强制性休假制度，并确保这一安排纳入我行各级人事管理制度。

第十五条总部纪检监察室和人力资源部应对重要岗位和敏感环节工作人员八小时以外的行为建立相应的行为规范监察制度。

纪检监察室应对上述岗位人员涉黄、涉毒、涉赌、购买彩票、买卖股票、交友混乱、负债重等行为建立内部报告制度。

第十六条总部信息科技部负责建立贯穿各部门、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并负责对我行计算机系统存在的缺陷和漏洞加以纠正，负责建立和健全计算机信息系统风险防范的制度，确保计算机信息设备、数据、系统运行和系统环境的安全。

第十七条总部各职能部室应根据部门职责，对管理范围的风险进行检测和控制，参与制定风险控制措施，根据法律法规、监管要求和我行制度完成其应承担的内控职责。

第十八条总部各部室承担本业务条线内控建设、管理、执行的第一责任，实施具体的内控管理，履行各项内控职责，具体职责有：（一）动态关注涉及本业务条线的法律法规、监管要求的变化，及时对本业务条线管理范围内规章制度进行修订、改进或者废止。

（二）制定本业务条线的相关内控制度和操作流程及检查办法，并确保有效执行。

在检查中发现制度执行存在问题的，应当立即组织整改。

(三)对本部室业务和职能范围内的操作风险控制情况进行检查、监
督，根据本办法的规定，汇总本业务条线内控事件和操作风险，并按规定进行报告。

（四）对我行各级人员有关本业务条线的问题给予咨询解答和指导，保证本部门分管业务的开展与内控工作的要求相一致。

（五）负责本部室业务管理职能范围内的有关内部控制的培训工作。

（六）根据国家法律法规、监管要求和我行规章制度应由业务管理部门承担的其他内控职责。

第十九条支行为我行内部控制工作的基本单位,负责对我行各项内部控制建设任务的落实和执行。

主要责任包括：
(一)确保本支行人员对法律法规、行内规章制度及本支行各项内控措施的执行,履行各项内控职责,完成各项内控工作。

(二)按时报告本支行各项内控情况。

各支行行长为内控工作第一责任人,对本支行各项内控工作负责,并对本支行内控报告的真实性和完整性负责。

第二十条我行各级人员应遵守国家法律法规,严格执行各项规章制度,对自己的行为负责。

第四章报告事项、路线和时间
第二十一条总部机关各部室、各支行应定期于每季度向内控管理部门报告本部室、本支行内部控制管理工作情况,报告提交时间为每季度末10个工作日前。

第二十二条总部各部室、各支行发现存在操作风险及发生内控事件时,应当自发现或发生之日起1个工作日内,以书面形式向业务条线管理部门或者职能部门提交内控风险、内控事件报告,同时报告总部内控管理部门。

其中涉及计算机系统的运行、缺陷或漏洞的风险,抄送信息科技部。

第二十三条总部各部室在收到内控风险报告或内控事件报告后,应当及时对报告所反映的风险提出意见或措施,最迟不得超过15个工作日,并以书面形式向内控管理部门提交控制风险的报告。

控制风险报告应明确风险是否可以控制,同时还应包含风险类型、影响范围、控制措施等。

第二十四条新业务在推出之前,该业务开发部门应将新业务风险预告报告以书面形式双线报告总部风险管理委员会和内控工作管理办公室。

第二十五条新业务推出后,支行发现新业务存在操作风险的,应按照本章规定的报告路线和要求进行报告。

业务开发部门应根据不同情况进行改进或完善。

第二十六条内控管理部门应定期向董事会报告内控工作开展情况以及内控管理部门决议的执行情况,并就内控工作提出意见和建议。

第五章其他与内控相关的规定
第二十七条总部业务部室在制定内控措施时,可要求相关部门参与,相关部门应予以配合。

第二十八条总部各部室、各支行应根据本办法第四章规定的报告路线和报告时间进行报告。

各支行应严格执行和落实总部各部室的各项风险控制要求和措施。

第二十九条总部各部室、各支行应妥善保管各类内控报告、意见书等内控材料,以备监管单位和本行查阅。

第六章内部控制的监督评价与纠正
第三十条总部各部室、各支行主要负责人对本部门、本支行已发生的内控事件承担及时纠正的第一责任。

第三十一条各支行应结合《银行内控制度汇编》建立本单位自查制度,对各岗位工作进行经常性的检查,及时发现本支行内控存在的问题,并迅速采取纠正措施。

第三十二条总部各部室应建立本业务管理条线的检查制度,对业务管理条线中各项业务的经营状况进行定期或不定期的检查,对本业务管理条线的内控有效性和健全性进行自查,及时发现本业务管理条线的内控问题,并制定改善措施,迅速予以纠正。

第三十三条内控管理部门对各部室、各支行内控制度的建设、执行情况进行监督评价,在必要时可行使检查权。

第七章奖惩规定
第三十四条稽核员发现本单位故意隐瞒事实真相或者有意虚假报告的,可直接向内控管理部门进行举报,经查证属实,应当给予必要的
奖励。

第三十五条我行员工发现存在操作风险的,或发现本单位对内控事件、操作风险故意隐瞒不报的,可直接向内控管理部门报告。

经查证属实的应当给予奖励。

第三十六条对于违反内部控制的部门、支行或人员，内控管理部门会同纪检监察室对其追究责任。

第三十七条本办法由银行制定，解释权、修改权归董事会。

第三十八条本办法自下发之日起执行。