烟台商业银行内部控制案例

第一篇：烟台商业银行内部控制案例

烟台商业银行内部控制案例

第1章案例描述 1.1烟台银行简介

烟台市商业银行是在1997年11月经中国人民银行总行批准，由12家城市信

用社合并建立了地方性股份制商业银行。该行是由地方财政、企业法人和自然人三部分组成。截至2008年12月末，全行存款余额215.4亿元；贷款余额159.6亿元；总资产275.7亿元，其经营规模迅速扩大，是成立之初的6倍。为了适应经济发展的需要，该行开始寻找境外战略投资者，最后于2008年与香港恒生银行，永隆银行进行合作，开始了增资入股的步伐。而烟台银行是在2009年由烟台市商业银行更名而来。烟台银行在成立之初的注册资金为1.28亿元，在先后引进中共华电集团、香港恒生银行和永隆银行作为战略投资者之后，其注册资本已达到20亿元。烟台银行于1997年11月成立之初，注册资金1.28亿元，继2006年引入中国华电集团作为股东后，2008年成功引进了香港恒生银行和永隆银行作为战略投资者，目前注册资本已达20亿元。经过十余年的发展，总资产由成立时的45亿元增长至275.7亿元，经营规模比成立时增长了6倍，跨入全国大型城商行之列。1.2烟台银行内部控制案例

第一篇，支行行长刘维宁携巨款私逃

在2012年年初，烟台银行爆发了4.36亿元的票据案，使得烟台银行内部的其他案件也被公之于众，该案件主要涉及支行行长刘维宁携4.36亿票据外逃。刘维宁之所以仓皇出逃，是因为烟台银行再2011年严格实行了“末位淘汰”制度。按照规定，按照各支行年末的存款总额进行由高到低的排名，排名倒数第一的支行行长将被淘汰。其实，该行早在几年之前就已经实施了该项考核制度，而刘维宁所任行长的支行存款数额连续几年都是排名倒数第一，若严格按照该项考核制度来执行的话，刘伟宁早就已经下马了，不可能让他骗走4亿多票据的机会。但是，由于其与董事长庄永辉存在着密切联系，在庄的庇护下，一直没有被淘汰，反而稳居支行行长之位。最终，在2011年年底的存款考核制度中，在多家支行行长的一致反对声中，刘伟宁不能够在庄永辉的保护之下如往年一样蒙混过关了，最终对其实施了末位淘汰制。在其业务的交接工作中，需要对刘此前的所有款项业务进行复核，刘维宁将之前从银行违规取走的票据进行帐外贴现，主要用于投资在浙江温州一带的高利贷和房地产业务上，但是就在刘维宁进行业务交接时，在温州一带却爆发了严重的高利贷崩盘危机，刘维宁损失惨重，无法弥补漏洞，导致其无法解释巨额资金的去向，最终才携巨款私逃。

第二篇，行中旧案——张群利5亿票据案

前支行行长张群利用手中的权利，在没有任何限制的情况下，轻松顺利地一次次完成了多次违规操作进行帐外贴现，并从中获取巨额利润，最后累计金额达5亿多元。这一事件被发现之后非但没有受到任何处罚，反而在董事长庄永辉的保护之下，不降反升。对于张群力的违规操作，帐外贴现行为，董事长庄永辉利用职权之便安排信贷部放款数亿元给这些帐外经营的公司，帮助张群利收回了账外资金，这项违规操作导致了该行1亿元的不良贷款，造成了巨大的损失。而在2006年的总行副行长的选举过程中，庄永辉再一次无视内控制度，没有按照严格的职位晋升的制度进行公开选举，却暗地里为张打点铺路，对其给予特殊关照，但由于张的一系列违规操作行为已经引起多数人的不满，最终在多数人的一致反对声中，未能如愿顺利坐上副行长一职。张群利在竞争中失利，便离开了烟台银行，现在已经发展成为当地富有的房地产开发商，而留给烟台银行的则是巨额的不良贷款损失。第三篇，董事长违规购买股权

烟台银行董事长庄永辉在得知香港恒生银行与永隆银行将增资入股本行的重

大内幕消息之后，预测本行的股票价值将回大幅度增长，能够给自己带来巨额利润，便利用自己手中的权利开出空头的银行承兑汇票，再用汇票贴现套出的资金来购买烟台银行的股票，然后用买来的股权质押贷出款项，转会原来开出空头承兑汇票的账户，充当保证金。在此操作过程中，香港恒生银行派来的首席风险官曹景渡虽然极力反对他的违法转贷行为，但是非但没有阻止庄永辉的违规操作，反而遭到了其恶意报复与为难，最终被迫离开烟台银行。庄永辉把秘密交易的股权交由山东德州扒鸡集团等公司代为持有以避免引起他人的怀疑。庄永辉在股票开始升值之后，便开始对外出售股票，从中获取了丰厚的利润。庄永辉暗箱操作，秘密转让德州扒鸡持有的6000万股烟台银行股票，这次德州扒鸡股票秘密转让的行为恰好就是在其转让非法购入的烟台银行股票的时间点上，并且是在其他股东毫不知情的情况下完成的，这不得不让人对此产生怀疑。第四篇，山东标金秘密股权出售

山东标金曾是进行贵金属网上交易的公司，其于2011年被烟台银行的“小金库”金通公司以500万元资金收购，但在其被收购8个月之后，便爆发了令人震惊的爆仓案。金通公司是烟台银行进行其他业务投资的子公司，其运行与操作具有一定的私密性，具有不透明性，使得烟台银行的普通员工只能敬而远之。这间公司是烟台市政府为了置换出其在烟台银行9亿多不良贷款而注册的一家公司，目的是为了给政府提供担保。随着山东标金爆仓案的爆发，其分散于烟台银行员工手中的255 万元的股权在没有通知相关人员，没有进行开会研究，也没有公开招标的情况下被秘密转让了。此次股权出售是一项不透明的暗箱操作，且出售股权的比例高达51%，但对于如此重大的事项，股权持有者仅被通知签字“同意转让”，让多数员工强烈不满，也引起了外界的怀疑。这次股权的秘密转让使得银行内部的某些高管从中获取了巨额的利润，同时也给烟台银行的内部管理埋下了一定的隐患。

第2章案例分析

2.1内部控制整体框架

健全的商业银行内部控制制度有利于提高我国商业银行的风险管理水平，有利于促进其健康持续的发展，因此，一套完整健全的内部控制框架是不可少的。在商业银行的经营管理活动中需要完整有效的内部控制机制来加以支持与保证。为了更加深刻的对烟台银行案例进行分析与研究，本文从内部控制的目标和原则、作用、内部控制框架设计等方面来进行阐述与分析。2.1.1内部控制的目标和原则

中国人民银行在《商业银行内部控制指引》中明确了商业银行内部控制的涵义： “内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制”。

一、内部控制的目标

商业银行内部控制的目标主要是指商业银行为了维护自身利益免受损失而对

其资产利用的效率性和效果性，旨在保证商业银行实现总体目标与所付出的成本成正比，使二者保持平衡，使得商业银行的利益高于一切其他利益。因此，其目标主要包括以下三点：（1）全面实施并充分实现商业银行自身发展战略和经营目标

这是内部控制的宏观目标。商业银行自身的发展战略和经营目标是商业银行根据自身实际情况而制定的，这个目标是需要一定的时间来实现的，它必须具有一定的针对性并能够得到切实有效的实施，因此就必须要加强内部控制，以保证这一目标的顺利实现。

（2）保证财务管理信息真实性和完整性

检查差错防止舞弊、弥补漏洞与缺陷、有效防范应对风险，这是内部控制的微观目标，这一目标的实现必须要靠各部门、各岗位的工作人员严格遵守业务操作的规范和流程。实现了此目标能够降低员工在业务操作过程中出现差错和失误的可能性，也能够避免员工违规操作，诈骗舞弊，从而保证宏观目标的顺利实现。（3）保证贯彻执行各项法律规章制度

在市场的激烈竞争中，内部控制能够有效保证商业银行的经营活动按照法律法规进行，能够全面反映各职能部门贯彻执行法律法规的情况，这样能够是我国商银行安全健康的运行和发展。（4）有效降低经营管理风险

管理风险与经营风险是客观、普遍存在的，不可能完全规避所有风险，而商业银行自身能做的就是有效防范并控制风险，尽可能的降低各项经营风险。这样能够有效保障商业银行资金的安全性，减少或避免损失，增加利润，为银行安全稳健运行打下坚实的基础。

二、内部控制的原则

商业银行内部控制的目标决定了其原则和整体框架的构建，首先要以基本原则为前提，内部控制框架的设计和改进必须能保证其目标的实现。商业银行内部控制主要包括四个基本原则：全面性、审慎性、有效性、独立性。其主要含义如下：

第一，全面性原则：在银行的全部业务和操作的过程中都应该受到内部控制全程的监督和管理，而各岗位，各部门的人员也应在内部控制之下进行业务活动。第二，审慎性原则：为了有效防范风险，就必须进行审慎经营，保证各种经营管理活动都能够严格按照内部控制的要求进行。

第三，有效性原则：任何人都不得凌驾于内部控制之上，内部控制方面的漏洞应该得到及时地反馈，并予以有效地纠正。

第四，独立性原则：内部控制的监督管理部门不应该受其建立和执行部门影响与控制，有直接向董事会和高级管理层汇报的权利。2.1.2内部控制的作用

第一，商业银行内部控制能够保障我国金融体系的安全运行，社会经济的持续健康的发展。国民经济离不开金融这一重要命脉，它存在于经济活动的全过程，如果没有及时解决经济活动中出现的问题，严重的甚至可能会引发金融危机。如果商业银行不能采取有效措施对违规案件进行弥补和改善，建立健全内部控制制度，就会失去公众信任力。而银行生存与发展靠的就是信誉，若银行信用丧失，那如何能够持续经营?而社会经济的繁荣与否靠的也是银行的稳健运行。因此，商业银行建立健全内部控制，既能够有效防范风险，是银行体系安全运行，也能够促进社会经济稳定健康的发展。

第二，按《巴塞尔协议》的要求对我国商业银行进行全面风险管理，能够使我国商业银行繁荣发展，积极参与市场竞争，在不断地发展过程中逐渐拉近与国际先进内部控制经验理论之间的距离。商业银行应不断完善内部控制制度，提高员工内部控制的意识和观念，以降低经营管理风险，严格遵守业务操作流程和规章，提高商业银行运行的效率和效果。

第三，全方位加强内部控制建设有助于我国商业银行在国际金融体系中长盛不衰。与资本化经营经验丰富的国际银行相比，我国商业银行的管理理论与方法还是有较大差距的，只有结合先进的内部控制理论来建立我国商业银行的内部控制制度，形成先进的经营管理理念，并严格贯彻执行各项规章制度，才能够对我国商业银行适应激烈的市场竞争环境。2.1.3商业银行内部控制框架设计

商业银行内部控制制度要求国家的相关法律法规必须在商业银行内部得到充

分有效地贯彻与实施，以有效防范工作人员的违规操作与欺诈犯罪行为。COSO于 1992年提出了“内部控制一体化结构”的研究报告，这就是著名的COSO报告。根据COSO定义的内部控制整体框架，内部控制包括五个互相联系的要素，包括控制环境、风险识别与评估、控制活动、信息交流与反馈、监督评价与纠正机制。内部

控制目标的实现需要与这五方面因素结合在一起，迅速对各方面的变化做出积极反应。商业银行为实现以上内部控制的三大目标，只有全面结合内部控制的五个方面，才能使内部控制得到全面的贯彻与实施，才可能实现商业银行的经营目标。商业银行内部控制的整体框架如下图：

图2.1表示：第一层是商业银行内部控制的三大目标，包括经营目标、财务信

息、合规性。第二层是内部控制的两个层次，分为活动层面和结构层面。第三层是商业银行内部控制整体框架的五个要素，主要含义如下：

一、内部监督与评价

监督与评价机制指对商业银行的经营活动和内部控制活动进行监督和评价，包括严格的管理及监督活动；对员工业务处理活动的评价活动；基于对风险控制的有效性评价；失效的内部控制和重要的事项需要报告给高级管理层及董事会等。主要从以下两方面进行分析：（1）内部控制监督制度

商业银行的内部控制运行状况与运行质量应该得到有效的监督与完善，内部监督是控制的关键所在，能够在最后关头有效发现并防止漏洞的出现。为了提高内部监管效率，首先，内部监督部门应被给予一定的权力与相应的独立性。商业银行实行一级法人和行长负责制，监督的总权利上收总行，实行行长领导下的总监督负责制。其次，建立健全内部监督检查制度。一是上级行监督部门对下级行监督部门实施业务检查，主要侧重于工作辅导、评比督促和整体推进。二是上级行监督部门对下级行业务部门的定期与不定期检查，主要侧重于检查业务的合规性、风险性和慎审度。三是实施监督管理人员对各项业务的日常检查。再次，建立合理科学的量化监督指标，详细反映监控对象的主要内容，作为警戒线对监控对象的情况做出迅速的判断，并采取必要的措施。（2）内部控制评价

商业银行内部控制评价是指对商业银行内部控制体系建立、实施和运行结果独立展开的调查、测试、分析和评估等系统性活动。商业银行内部控制评价主要由过程评价和结果评价构成：过程评价是对内部控制五要素的实施情况进行的评价；结果评价是对内部控制目标实现的结果进行评价。有效地内部评价体系，可以及时发现内控制度的缺陷与不足，及时给予相应的改进意见，有助于更好地纠正完善内控制度，减少银行经营风险。

（3）监督与评价应当遵循的原则

商业银行应该对内部控制的整体有效性进行监督，主要包括业务监督和内部审计监督。在商业银行日常经营管理活动中，有业务部门自身实施的监督与评价能够及时发现并迅速纠正内部控制存在的问题。商业银行内部审计监督部门应当充分了解本行的所有经营管理信息，并全面监督与评价本行各个机构部门与各项业务的操13 作与执行情况。在监督评价的过程中应当遵循下述原则：

原则一，应当定期对内部控制的执行效果进行监督与评价。对银行内部控制的监督评价应当积极有效按时实施，并且应当定期予以评价。

原则二，对内部控制系统应进行有效而全面的内部审计。内部审计应当具有

独立性，内部审计人员应该由富有经验并且具有良好的职业道德操守的人员构成。内部审计作为内部控制系统监督评价的一部分，可以直接向董事会或审计委员会报告工作。

原则三，各个岗位的工作人员如果发现内部控制存在问题，应当及时报告给管理层和董事会，而相关人员应该及时处理所发现的问题。

二、信息与沟通

有效的内部控制要求商业银行应当具备充分可靠真实的内部财务、经营、合规性信息以及外部市场信息，这些信息应当具有及时性和可获得性。商业银行的有效运行离不开经营管理过程中信息的传递与沟通，因此商业银行应该建立起一个全面及时的信息与沟通系统，对内提供真实准确的经营管理信息，对外及时有用的投资监督信息。在商业银行内部应该保证信息与沟通的顺畅性、使得各部门、各员工能够相互分享有用的信息，并且能够使信息得到及时的反馈，保证各项经营状况与各种经营风险能够被相关部门和人员及时准确的掌握与了解，保障每一项信息的有效传递。相关原则包括：

首先，有效的内部控制系统应该具有充分、全面的经营成果与财务状况的数据信息，并且能够反应对于法律法规的遵循情况，同时还需要有关外部市场中与重大决策相关的信息。

其次，有效的内部控制应具备一套安全可靠的信息系统，并使之贯穿于重要活动之中。主要包括保护并监督评价那些以电子形式存储和使用的数据系统，并需要能够充分应对突然发生的各项问题。

最后，健全的内部控制机制离不开有效的信息交流渠道，使所有员工能够充分理解和坚持本行所实行的规章和程序，并使得相关信息能够被及时传达给需要它的工作人员。

三、控制活动

（1）风险控制活动

商业银行应当制定全面、系统的业务政策、制度和程序，并在一级法人内坚持

按照统一的标准进行业务操作，尽可能减少其连贯性和稳定性受到管理层变更的影14 响。风险控制活动的内容包括了高层检查、直接管理、信息加工、实物控制、确定目标、分级授权、职责分离等。（2）重大风险预警

健全的风险管理体系和完善的重大风险预警机制，会直接影响商业银行的健康

发展。对于潜在的风险相关部门应该给予一定的关注，并采取积极有效的应对措施，这也是风险预警系统的核心目的。银行的经营风险来源于多方面因素，宏观经济环境、行业特点、银行员工及管理层素质、企业本身的财务状况与经营成果等，都可能直接或者间接影响银行安全运行。银行经营风险因素的复杂性和综合性的特征，决定了一个健全的风险预警机制的建设，不仅需要分析各因素与风险的相关关系，而且必须将有效监测、分析和应对多种因素的综合作用相结合。换言之，风险预警机制的建立，应该由多个相互独立又相互联系的系统共同组成。在风险预警机制的完善中，应及时分散风险、有效进行风险评估、坚持风险与收益配比原则。

四、风险评估

风险识别与评估是对影响商业银行目标实现因素进行识别、计量和评价的过

程。在风险评估中，应识别和分析阻碍目标实现的风险，并明确重大错报风险所产生的领域和范围。风险评估的要素包括：制定整体目标和具体业务目标并将二者相结合、识别分析内外部风险、认识阻碍目标得以实现的各项因素、调整各项规章与程序。风险会影响到商业银行目标的实现并阻碍其有效经营是我们必须对风险进行评估的重要原因。进行风险评估能够有效确定风险并及时采取恰当措施进行风险管理。风险的识别与评估强调在内部控制机制的有效运行中需要不断的识别和评估影响银行安全运行的风险因素。这种评估应包括银行经营管理过程中的所有风险，根据需要随时调整内部控制措施，以有效应对并处理各种潜在风险。（1）内部风险识别与评估

商业银行应建立并严格实施执行程序，以有效识别与评估商业银行所面对的各项风险。应对常规和非常规的业务和管理活动进行识别和确定，并识别这些活动中存在的风险，分析其类型、来源及影响范围，根据法律法规、监管要求及内部控制制度确定该风险是否可接受，以决定是否需要进一步采取措施。当风险可接受时，应该检测并定期进行评估，以保证其持续可接受性；当风险影响了商业银行的安全运行时，应制定相应的风险应对措施。同时，商业银行在对各类风险进行识别和评估时应分析内外部因素的影响力。其中，内部因素包括银行组织的构成情况、银行业务的综合性及员工的流动性等；外部因素包括经济形势的波动性、行业趋势的变15 动性等。当商业银行的经营条件和环境和以前不同时，应重新识别和评估所面对的风险，以确保任何新的和过去的未予以控制的风险能够被及时发现、有效控制。（2）风险应对策略

商业银行面对着多种复杂的风险，主要包括资本风险、市场风险、信用风险和内部管理风险。其中，我们以内部管理风险作为重点研究对象。内部管理风险就是指银行内部控制制度没有得到有效的执行与实施所带来的风险。由于我国社会主义的市场经济体制所导致的产权不明晰而造成的国有金融资产的所有者混乱，使得我国的商业银行在业务活动中缺乏完善的风险应对机制，使商业银行被迫要去面对更多的经营管理风险。有效健全的治理结构是保障商业银行顺利进行内部控制活动的基础，但我国商业银行传统的经营管理体制严重妨碍了总行统一的经营管理活动，使得商业银行不得不面对各种经营风险。特别是由于银行内部人员为了自身利益进行违规操作等原因造成的各种恶性欺诈案件，这就进一步加大了银行资产遭受损失的风险的可能性。完善并实施严格的金融监管，重点加强对金融企业法人、内部控制和高级管理人员的监管和考核是风险应对策略的重要途径。

五、内部控制环境（1）公司治理结构

商业银行应当依据《商业银行内部控制指引》、《商业银行法》和《公司法》等有关法律法规，明确董事会、监事会、高级管理层在决策、执行、监督等方面的职责和权限，形成科学有效的职责分工和制衡机制。一个健全的治理结构应建立一个岗位分工合理、部门职责明确的组织结构，并且在组织内部应该制定严格的风险应对程序与方法，建立科学、有效的激励机制，提高全体员工的职业道德水平并增强其诚信意识，从而使内部控制得到切实的实施与贯彻。（2）组织机构设置及权力责任的分配

商业银行应当避免各部门、各岗位、各机构之间的职责与分工不清晰的问题，强化职能责任的分权与相互监督制约机制建设。商业银行因根据各部门、各岗位的需要，明确划分职责和权限，为划分岗位职责，实施责任追究制度提供文件依据。并且应当严格进行岗位轮换和监督审核制度。

根据内部控制的要求，在机构设置和权责分配的过程中，应该遵循不相容职务相分离的原则。不相容职务相分离原则要求一项经济业务的处理应该按照程序的规定经过各部门，各岗位工作人员的依次审核和处理，并且应对其进行有效的监督和制约。而机构控制主要包括两个方面：16 一方面，不相容职务的分离。其内容包括：其一，严格杜绝一人在没有任何监督的情况下单独完成一项业务；其二，钱、账、物分管，例如，凭证和印章等使用和保管需要规范性；其三，应该建立完善凭证制度。不相容职务分离是在这样一个前提下实施的：两个人无意识同犯一个错误的可能性很小，而一个人舞弊的可能性要大于两个人。

另一方面，组织机构的相互控制。银行应该根据经营活动的需要而设立相应的岗位和机构，而相互控制的要求需要被体现在组织机构的设置和职责分工之中。具体要求是：在商业银行内部必须建立职责授权机制，并保证职权具有一定的独立性；每项经济业务的运行必须在相关部门的监督检查之下进行并且需要经过其他的部门共同运作；相关部门的监督检查行为应该具有独立性，不受任何部门的干预与妨碍，使得被检查出的问题能够被及时解决。（3）人力资源政策

要实现商业银行的长远发展，有效实现其经营目标，就必须要建立健全一套完

善的人力资源政策。受到传统体制的限制，我国商业银行在人力资源政策上存在“任人唯亲”、“监督无效”、“控人失度”与“用人失利”的不良现象，而在激励机制上则存在激励与惩罚机制不合理的现象。因此，商业银行必须要建立健全有效的人力资源政策，严格用人程序与制度，合理晋升与奖罚机制，加强对于员工的职业道德修养和专业能力的培训，不断提高员工的道德与专业素质。（4）企业文化建设

商业银行片面的追求规模效益，扩大经营规模，却忽略了对于企业文化的建设，使得员工的职业道德与遵纪守法的观念没有得到有效的重视和教育，导致了工作人员无视法律法规，进行违法操作。而加强内部控制文化建设是使得员工能够“守法守规、诚实守信”的有效保障。在内部控制文化的建设过程中，银行内部董事和高级管理层的道德素质和领导风格会起到至关重要的作用。应该在银行内部树立优秀品格和脚踏实地的工作作风，倡导诚实守信、爱岗敬业，强化风险意识和法制观念。（5）内部审计机制。

商业银行应当建立健全内部审计机制，并保证其工作的独立性与权威性。《商

业银行内部控制指引》指出，内部审计要实行全行系统垂直管理，下级机构内部审计负责人的聘任和解聘应当由上一级内部审计部门负责，总行内部审计负责人的聘任和解聘由董事会负责；全面审计商业银行的经营管理信息，全面监督与评价银行的各项业务活动，使得违法违规的问题能够被及时发现并予以纠正。17 2.2烟台银行内部控制存在的问题

绝大多数银行案件的发生，都是由于其内部控制薄弱而导致内部控制的失灵，内部控制的失效是由多方面的原因造成的，可能存在于其整体框架的五大要素的不用层面。在烟台银行恶性案件频发的态势之下，人们一致将矛头指向了该行的内部控制。为了更全面地剖析以下案例，把握问题的本质，下文将深入地分析从烟台银行内部控制整体框架的五大要素的薄弱环节，对烟台银行存在的问题予以揭示与分析。

2.2.1监督与评价机制失效

烟台银行在监督与评价方面存在着较多的内部控制漏洞，监督与评价机制失效。

第一，根据烟台银行的相关规定，该行对票据业务的处理工作规定了相应的操作流程和监督检查机制，如每年都要进行定期与多次的不定期检查，并且进行必要的业务还原与核实的程序，以有效发现并防止违规操作；同时，如果按照烟台银行对于开出承兑汇票的规定来严格进行操作的话，那么对于开出的票据是需要经过 “票据中心”、“结算中心”、“财务部”等多个部门的审核方可完成的，刘伟宁与张群利二人根本不可能有机会骗取数额如此之大的巨额票据。另一方面，即使刘与张二人通过违规操作等方式开出了巨额票据，但如果事后相关部门能够按照规定对各项业务进行严格的检查与核对的话，也能够及时发现这二人的违法行为。由此我们可以看出，尽管烟台银行在票据业务方面规定了严格的监督审核制度，但是由于支行行长权利过高，内部员工没有认真按流程进行操作，相关部门又没有按照监督评价的规定严格履行监督审查的职责，没有做好事前防范和事后纠正的工作，最终导致了巨额票据诈骗案的发生。

第二，权利凌驾于监督与评价机制之上，使得监督与评价的作用并未得到有效充分的发挥。在张群利的案件中，他违规操作骗取的5亿元的票据进行帐外经营的违规操作，这件事情并不是没有人发现，而是在被人发现上报之后，由于受到董事长庄永辉的包庇，没有得到及时有效的处理。张在这次案件中非但没有遭到任何处分，反而被违规提拔。而在秘密股权交易案中，董事长庄永辉利用职权之便违规套现秘密购买烟台银行股票，这一违规操作被首席风险官曹景渡发现了，并对此提出了反对意见，但是他的意见并没有被采纳，反而遭到了庄永辉的蓄意报复，最后被逼无奈离开了烟台银行。18 从这两例事件中，我们可以看出，该行虽然制定了监督评价机制，但即使在有人积极履行了监督与评价的职责，如果被高权所凌驾，那该项机制也不能发挥其职能，使得监督与评价机制形同虚设。2.2.2信息与沟通不畅

根据内部控制的规定，商业银行必须掌握充分综合的内部财务、经营及合规性信息以及有关影响决策的外部市场信息，并通过建立有效的交流渠道及安全可靠的信息系统以确保有关信息在内部充分交流。但是，烟台银行在这方面存在着重要的问题与漏洞，其中，秘密股权交易案和山东标金案都暴露了该行在这方面的不足。第一，在秘密股权交易案中，烟台银行董事长庄永辉在得知香港恒生银行与永隆银行将增资入股本行的重大消息之后，预测本行的股票将来能增值，便利用自己手中的权利开出空头的银行承兑汇票，再用汇票贴现套出的资金来购买烟台银行的股票，然后用买来的股权质押贷出款项，转会原来开出空头承兑汇票的账户，充当保证金。庄永辉把秘密交易的股权交由山东德州扒鸡集团等公司代持股权以避免引起他人的怀疑。在这整个事件的操作过程中存在着很多违规操作的问题，比如说在开出空头承兑汇票的过程中，必须要有充足的资金和抵押，经过层层审核才能开出承兑汇票，但庄永辉却对各项规定视而不见，逆流完成操作；在用股权质押贷出款项的过程中，由于该行内部相关部门没有针对贷款者的资产情况以及关联关系进行仔细的调查与审核以得出有效信息，并且没有在有关部门之间将信息进行传递与交流，最终使得庄得逞，也使得贷出的款项及利息未能及时上交，给银行造成了一定的损失；庄永辉暗箱操作，秘密转让德州扒鸡持有的烟台银行股票，这是在其他股东毫不知情的情况下完成的。从庄永辉违规操作的这三例违规操作中我们可以看出，无论是在经营业务中还是在股权交易中，该行都存在交易不透明，信息与沟通不畅的严重缺陷。

第二，在山东标金案中，其分散于烟台银行员工手中的51%的股权在其持有人毫不知情的情况下被以255万的低价离奇转让，这次转让行为并没有通知其他相关负责人，也没有开会研究进行招投标，是在某人的暗箱操作中秘密完成的。由此可见，在烟台银行之中，由于某些人的利益凌驾于烟台银的整体利益之上，使得信息没有得到有效及时的传递，因此造成了这样一个瞒天过海的违规操作。

通过这两例案件，我们可以看出，该行的信息与沟通是严重不畅的，信息在银行内外部之间受到了阻碍，没有传递给应被传递的相关人员，使得银行的运营与交易不透明，影响了银行的信誉，给银行日后的稳健运行买下了隐患。19 2.2.3控制活动流于形式

控制活动是商业银行内部控制的一个重要环节，在有效防范风险、应对风险方面起着至关重要的作用。但是，该行虽然对业务运营的重要风险控制点都制定了相应的控制措施，而案例中内部控制失灵的主要原因就是控制程序未能得到有效的执行。该行通过变相的违规业务操作使得程序的控制流于形式，比较典型的几个例子如下：

第一，烟台银行支行行长刘伟宁在不到1年的时间里从行里取走4亿多的巨额票据。而按照该行票据业务的相关规定，承兑汇票的开出是需要经过多个部门的审核，经过多人之手的操作，经过复杂的程序才可完成的，而且，在业务完成之后还需要进行多次的定期与不定期检查。而按照规范的流程操作，则刘维宁不会有次机会逃去数额如此之大的票据。但是有关方面的各个部门却玩忽职守，或违规操作包庇刘维宁或不认真仔细的执行控制程序，最终使得刘维宁可以旁若无人的骗走4.3 亿票据，给银行和股东在经济和声誉方面造成了巨大的损失。而且，刘的巨额票据诈骗案只是该行违规操作案件的冰山一角，几年前就曾有一位名为张群力的支行行长5亿元票据违规案件。由此可以看出，其实风险早已暴露，但是该行却并没有采取有效的控制活动以杜绝类似案件的发生，才导致六年后的刘伟宁案。第二，刘伟宁之所以仓皇出逃，是因为烟台银行再2011年严格实行了“末位

淘汰”制度。按照规定，按照各支行年末的存款总额进行由高到低的排名，排名倒数第一的支行行长将被淘汰。其实，该行早在几年之前就已经实施了该项考核制度，而刘伟宁所任行长的支行存款数额连续几年都是排名倒数第一，若严格按照该项考核制度来执行的话，刘伟宁早就已经下马了，不可能给他骗走4亿多票据的机会。但是，由于其与董事长庄永辉存在着密切联系，在庄的庇护下，一直没有被淘汰，反而稳居支行行长之位。从这里我们不难看出，该行其实也存在一定内部控制程序的，但是却并没有被严格执行，导致不该发生的案件发生了，该被发现的问题却没有能够被及时发现，给他人以违法犯罪的机会。最终，在2011年年底的存款考核制度中，在多家支行行长的一致反对声中，刘伟宁不能够在庄永辉的保护之下如往年一样蒙混过关了，最终对其实施了末位淘汰制。在其业务的交接工作中，需要对刘此前的所有款项业务进行重新的检查与审核，因刘无法解释巨额资金的去向，才会携款私逃。由此，我们就可以明白，正是因为该行在这一次严格执行了内部控制程序，有效进行内部控制活动，才会使刘的违规操作的已浮出水面，公之于众。第三，前支行行长张群利违规操作进行帐外贴现，这一事件被发现之后非但没20 有受到任何处罚，反而在董事长庄永辉的保护之下，不降反升。庄之内部控制制度于不顾，完全无视内控制度的要求，利用职权之便安排信贷部放款数亿元给这些帐外经营的公司，帮助张收回了账外资金，这项违规操作导致了该行1亿元的不良贷款，造成了巨大的损失。而在2006年的总行副行长的选举过程中，庄再一次的无视内控制度，暗地里为张打点铺路，但最终由于众人的一直反对，未能使二人如愿，让张当上副行长一职。按照烟台银行的相关规定，银行内部的晋升提拔是需要按照一定的程序和制度的，特别是对于副行长这一重要职位，更需要通过投票选举的重要程序决定的，而庄永辉却无视程序规定，幕后操作，违规提拔张群力。由于庄永辉的独揽大权，无视内部控制，使得内部控制流于形式，并没有有效及时的控制风险。

第四，在秘密股权交易案中，庄永辉在已知香港两家银行增资入股的内幕之后，预计烟台银行股权价格会水涨船高，则私自暗里购买改行的股票。但是由于手头资金不足，就利用其董事长之职，罔顾银行业务的操作规则，套取现金购买股票。在这整个事件的操作过程中存在着很多违规操作的问题，比如说在开出空头承兑汇票的过程中，必须要有充足的资金和抵押，经过层层审核才能开出承兑汇票，但庄永辉却对各项规定视而不见，顺利完成操作。由此可见，虽然该行是有关于开具承兑汇票的相关程序和要求，但是却被人视而不见，凌驾于内部控制的制度之上。；在用股权质押贷出款项的过程中，由于该行内部相关部门没有针对贷款者的资产情况以及关联关系进行仔细的调查与审核，但是，由于某种原因，在贷款的过程中却并没有严格按规定执行。

第五，在山东标金案中，分散于烟台银行员工手中的51%股权在没有召开会议，没有进行招投标的情况下，在其他相关人员毫不知情的情况下秘密完成的。按照规定，转让股权，这是一项重大决定，特别是比例如此之大的股权，更需要经过你严格的各项程序之后才可进行的。但是，为了保护某些人的特殊利益，这项股权转让的操作却在省略了重要的讨论审核等程序之后，悄无声息的完成了。由此可见，烟台银行的内部控制制度只是一个形式的存在，并没有得到有效全面的执行与贯彻，存在着严重的漏洞与缺陷。2.2.4风险评估存在漏洞

风险评估是有效控制风险，制定正确经营策略的前提和关键。其中风险评估主要包括对于内部风险的识别与评估和对风险的应对策略。烟台银行在风险的识别与评估方面是存在一定的问题的。21 第一，张群力5亿多的票据案并没能够引起相关部门足够的重视，及时的认识到相关风险的存在的可能性，也没有制定相关的风险应对策略，以有效防止并应对同样风险的发生。正是由于该行缺乏有效的风险评估，才导致六年后同类案件的发生，给银行带来的巨大的损失，这种损失并非只是资产上的，银行的信誉也遭到了严重的破坏，使得银行不得不面对巨大的风险。

第二，在庄永辉利用职权之便违规套现秘密购买本行股票的案件中，有两项程

序的操作体现出该行的风险评估做的并不到位。一方面，在开出空头支票的过程中，该行并没有根据在这一过程中可能出的风险点进行有效的评估与控制，在没有任何资金和抵押的情况下，让庄轻易地开出了承兑汇票；另一方面，在贷款的操作过程中，该行也无视风险的存在，相关部门没有针对贷款者的资产情况以及关联关系进行仔细的调查与审核，以有效地识别与评估风险，给了庄以可乘之机。2.2.5内部控制环境混乱

良好的内部控制环境给内部控制的有效实施提供了基础性的保障，使得商业银行的内部控制能够得到有效的贯彻与执行。根据调查，烟台银行虽然已基本建立部门职责，岗位设置明确的组织构架，但在业务规模增长的同时，却没有重视风险文化在规范经营方面的作用，表现在：从管理层看，该行部分管理人员对风险的识别控制和分析等方面的能力明显滞后于业务方面的迅速发展；从经营理念看，该行没有深刻吸取以往的教训，仍以追求规模为战略目标；从组织结构看，没有根据岗位制约及职责分离的原则优化组织结构，而该行屡次发生案件的一个重要因素就是由于审查岗位的渎职以及授权体系的不完善导致的。例如，该行赋予的高层管理的权限过大，给予其的约束机制却很小，这样使得该行的董事长庄永辉只手遮天，不但自己进行违规操作，还违规提拔保护刘伟宁和张群力，采放纵他们骗取银行巨额票据。

2.3内部控制存在问题的成因分析 2.3.1内部控制制度不健全

有效的内部控制是离不开一个健全有效的内部控制制度的，内部控制若是要得到有效实施，就必须要制定一套完善的内控制度。但烟台银行内部控制制度还不够完善健全，还存在较多的问题与漏洞。突出表现在：一是其内部控制制度不能适应银行快速扩张的需要；二是内部控制制度缺乏一定的牵制力；三是内部控制制度缺22 乏可行性；四是激励约束机制不合理。

一、内部控制制度不能适应银行快速扩张的需要

随着商业银行的快速扩张，出现了更多繁杂陌生的新兴业务，也产生了更多处理业务的金融工具，但是很多商业银行却未能够根据发展的需要，根据出现的新业务、新方法与新程序制定出与其相适应的内部控制制度，特别是在对业务处理的细节方面缺乏规范性。同时，在商业银行不断的发展过程中出现的新的风险点，现行的内部控制制度却并没有将其全面的覆盖，没能有效防范并控制风险。特别是在制定一些新兴业务的操作流程与操作规范时并未强调内控部门的重要性，忽略了这些规定的科学性和可行性，也没有对新兴业务可能出现的风险进行充分、科学的评估，使得制度存在漏洞并与关键风险点的控制相脱节，并不能够有效地发现并防范风险。

二、内部控制制度存在片面性

内部控制制度缺乏一定的牵制力，商业银行的内部控制制度并没有真正地融入贯穿到各个部门之间，反而使得各部门之间的内控制度相互割裂，相互抵触。部门之间的内控制度并没有紧密的联系在一起，也并没有起到相互牵制的作用。一个健全有效的内部控制制度应该能够使得银行内部各部门、各机构之间相互牵制，相互联系，相互制约，相互监督，使得业务处理和风险防范不存在空白点，真正体现相互制衡的原则，能够有效减少向烟台银行这样内部违规案件的发生。

三、内部控制制度不规范

一方面，在内部控制制度的制定过程中忽略了该项制度的规范性和可行性。在业绩的考核过程中，只注重于对数量和金额的考核，却忽视了员工业务操作的合规性标准，使银行内部形成了只注重数量却忽略质量的错误观念，这样容易导致急功近利，片面追求利润的效果，不利于银行的稳健发展。因此，在内部控制制度制定的过程中，应该将业务操作的合规性，员工的道德素质纳入业绩考核标准之中，使得内部员工都能够严格按照制度来履行自己的职责，建立良好的企业文化。同时，随着商业银行经营范围的不断扩大，银行将面临着各种新环境，新业务，新方法，而且银行内部的员工也在流动变化之中，这都给内部控制制度的制定带来了一定的困难，使得制度的可行性与执行度降低，不能适应银行所面对的实际情况，给银行的运营带来了一定的风险隐患。

另一方面，内控制度并未真正起到制约的作用。员工无视规章制度，有章不循，违规操作，这就给银行的经营带来了一定的风险；员工由于专业能力有限及内控意识不足，这就严重降低了准确掌握其所从事业务岗位风险点的能力；员工风险防范

意识不足，使其不能够认识到按规章执行职责的重要性；员工制度观念与法制观念淡薄，这就导致其重视习惯而忽略制度。由于内部员工的各种问题，使得内部控制制度的可行性和可执行度大大降低，不能够得到有效全面的执行。

四、激励约束机制不合理

制度的建立与监督是内部控制的基础保证，但内部控制的有效实施也离不开有效合理的激励约束机制。目前，大多数商业银行为了在激烈的市场竞争中，为了应对严格的考核机制，获取短期利益，很多商业银行片面的追求业务的快速发展，只注重激励刺激和前台力量的配备，却没有进行有效的风险管理，在制度的制定与权力约束和后台管理储备上仍存在着较大的缺陷与不足，这就导致了银行在利润高增的同时风险也随之增高。商业银行在经营中只片面追求短期利益，却没有制定完善的长期战略规划，没有进行明确的市场定位，没有处理好开拓市场与加强控制、监督约束之间的关系，错误的将二者相对立，风险防范意识强，缺乏一套健全的自我防范、自我约束机制。在业务的不断扩张与发展的过程中，商业银行没有根据新的业务环境对现行制度进行与时俱进的改进与完善，从而导致其内部管理不能满足业务发展的需要。烟台银行没有一套完整平衡的激励约束机制，特别在惩罚与权力约束方面存在着严重的漏洞，赋予高管的权利过高，却并没有给予相应的约束与监督，为其违规操作提供了便利；同时，该行的惩罚机制也不健全，对于违规操作的刘、张二人没有及时给予严厉的处罚，放纵了其违法犯罪行为，使其有恃无恐。2.3.2内部控制运行机制失范

商业银行业务主管部门不仅负责组织业务活动，而且又需要对自身的业务活动进行监督检查，这种“自我监督”的方法根本就无法真正起到监督的作用，内部控制运行机制的失范给银行的安全运行埋下了一定的风险隐患。而烟台银行的董事长。支行行长等都是业务的组织者和自身的监督者，这种机制上的缺陷纵容了各种违规操作案件的发生，容易导致高层监守自盗。

一、控制力度与控制集中度较低商业银行虽然制定了数量庞大的内部控制规章制度，但这些规章制度却缺乏统一性和系统性这就大大降低了控制的力度和控制的集中度。有的制度没有根据业务的发展需要进行及时的完善与修订，导致其运作上存在盲目性，使得控制力度降低；而有的制度却过于简单，不够详细明确，操作性不强；随着商业银行的迅速扩张，支行的分布较为广泛，这就不能够保证制度能在所有的分支机构中发挥其控制作24 用，使其控制的集中度不足。

二、组织的控制与制约机制不完善

组织的控制与约束机制不完善体现在两方面，一方面，在商业银行内部，没有清楚明确各部门的职能，没有有效规避职责交叉的风险，对于一些不相容的职务没有进行必要的分离；另一方面，没有建立完善的岗位职责机制，使得相关部门之间不能够相互制约，导致职责不明确，不相容岗位兼岗，缺乏独立性问题的出现。

三、缺乏风险控制手段与执行力

首先，在授权审批方面，相关授权审批制度还不完善，也没有被有效执行。如在内部管理上，人事变动与晋升降职没有能够严格的按照规章制度执行，没有相应的授权审批过程；在业务操作上，在贷款、票据并没有建立统一的授信审查机制，没有进行有效的担保管理，对于业务的控制也不够严格。其次，在会计结算与资金业务方面，由于业务操作的环节较多，手续较为繁琐复杂，使得相关人员不能完全掌握并控制风险点，也无法有效执行风险应对的措施。如在柜台的业务操作中无法有效控制风险，会计交接和账户管理不严格，账簿登记不够清晰明确，业务印章和空白凭证的保管与使用不规范等。在资产的运营和保全方面，没有制定健全的规章制度，奖励与惩罚机制不完善，也没有建立明确的责任追究制度，没有提高相关责任人的责任意识。2.3.3权力制约失衡

一、没有划分明确的职责权限

商业银行缺乏合理、规范的转授权管理机制，使得转授权缺乏相应的依据支持，相关职能部门并没有被明确授予某项权利，使其在业务处理和管理控制上没有文件化的依据支持，这就造成了职责权限的混乱。这要表现在各岗位各部门工作人员的决策与业务处理没有规范的制度对其加以约束，使其责任不明确，这就导致内部人员无视规章制度，一味的追求自身利益，从而进行一系列的违规操作行为。

二、高层管理者权限过高

给予高层管理者的权限过高，并未对其进行有效的监督与约束，并且对于行长的分工缺乏合理性，也没有将不相容职责进行有效分离。如只设置一人对贷款业务的整个操作流程所涉及的不相容职能进行管理，这就丧失了相互的制约力；而在分支机构中，仅配有一个高管人员对各项业务进行管理，但这却并没有使其受到足够的监督与制约。该行赋予了董事长，支行行长等人的权限过高，容易导致监守自盗，相互包庇，违规操作等行为。25 2.3.4稽核监督职能弱化

一、内部审计缺乏独立性，稽核监督作用降低

商业银行的分支机构并未建立起独立的内部审计部门，大多只是简单地设立一个稽核岗，由行长决定其报酬，并直接对行长负责，向行长报告，这就使得内部审计与监督缺乏独立性。而且，在垂直稽核管理体制中，内部审计的地位较低，其独立性与权威性均遭到了破坏，不能够充分有效地发挥起监督评价职能。在这种管理体制中，内部审计部门无法进行监督稽核活动，对于在审核过程中发现的问题也不能够直接上报总行，必须经过领导的同意与批准，无法独立进行监督，独立决定。由于这种体制存在的漏洞，使得内部审计不能够有效的差错防漏，识别风险并控制风险。

二、缺乏审计监督力量配备

商业银行虽然设立了内部审计监督部门，但其构成人员的数量与质量却不尽人意。在人员数量上，配备人员的数量过少，无法真正满足内部审计监督的需要；在人员质量上，一方面内部审计的组成人员的专业结构不合理，另一方面，审计人员的素质不高，没有进行专业的技能培训，没有掌握专业的方法和技术。因此，在银行内部并没有真正建立起一个全面的、专业化的审计监督队伍，不能够有效提高审计监督的质量和水平。2.3.5控制环境限制

一、缺乏公司治理力度

商业银行的公司治理结构不完善，不能够进行有效的监督与制约。我国商业银行的制度与西方不同，西方商业银行设置了独立的监事会与审计委员会，直接对股东和投资者负责，能够真正起到监督作用。而我国商业银行则实行官本位制，由政府直接委派高级管理层，不能够适应优胜劣汰的社会要求，也缺乏监管与责任的制约。

二、缺乏完善的产权制度

我国的商业银行虽然逐渐股份制，但其所用权和经营权均属于政府所有，在政府的保护之下，不能够真正地在市场经济中参与竞争，主要由政府承担无限责任。这种产权与职责不明晰的制度，使得内部控制环境不够透明，不能有效进行内部控制活动。

三、制度推行没有得到有效监管虽然商业银行大都已经建立了相应的内部控制制度，但要使其得到切实有效的

贯彻与实施，就需要严格监管制度的推行。但是商业银行在监督与管理方面做的还不到位，使得规章制度没有得到有效执行，没有严格按照法规与流程进行业务操作。

四、内部组织结构混乱

商业银行为了片面追求短期利益，方便对内部业务进行管理，大都采用总分行体制。而在银行内部，其分支机构大都不具有法人资格，无法对各项风险承担民事责任。而总行在对其分支机构的管理约束过程中，也并没有完全履行职责，没有真正起到约束管理的作用，这样混乱的内部组织结构严重妨碍了内部控制的有效实施。

第3章案例结论及建议 3.1加强内部控制制度建设

建立健全商业银行内部控制制度是积极应对经营风险的重要保证，也是商

业银行有效实施内部控制的根本前提。因此，应该加强内部控制制度的建设，以促进商业银行的可持续发展。具体建议如下：

一、提高内部控制制度的科学性

商业银行在迅速的发展过程中，需要面对各种新兴的银行业务，陌生的经营领域，这无疑给银行的安全运行带来了新的挑战与威胁。因此，商业银行应该根据新领域、新业务的需要，及时有效的制定出相应的内部控制制度，尤其要增强这些新业务处理细节上的规范性，使得各项业务的处理能够有章可循。同时，应该根据自身的实际情况，并借鉴国内外商业银行的先进内部控制理论，提高内控制度的科学性，使其能够覆盖更加全面的风险点。为了降低新业务的风险，应该在内控制度的制定时强调内部控制的重要性，使其在新业务的操作规程与管理制度中充分发挥其作用，以有效对新业务进行监督和管理，提高其科学性与可行性。而且，内控制度并不是一经制定便无法修改的，它需要根据科学、充分的风险评估结果来进行适当的修改与完善，以对各项风险进行积极的应对。

二、加强内部控制制度的牵制力度

要加强内控制度的牵制力度，就应该提高内控制度的统一性和集中性。商业银行内部控制制度应该使不同部门之间相互联系和制约，相互服从和支持；应明确岗位职责，完善奖惩制度，以有效应对风险、明确责任；应将各部门的不相容职位相分离，以有效坚持权利相互制衡的原则。

三、提高内部控制制度的规范性

一方面，在内部控制制度的制定过程中应注意提高该项制度的规范性。在业绩的考核过程中，除了对数量和金额的考核之外，还需要对员工业务操作的合规性进行考核与评价，使得内部员工都能够严格按照制度来履行自己的职责，建立良好的企业文化。另一方面，应该提高规章制度或流程的适用性，使其与实际情况相结合，使得规章起到“硬约束”的作用。让员工有章必循，避免违规操作，提高员工必要的内控意识，能准确把握所从事业务岗位的风险点，以有效防止风险的发生。

四、建立健全激励约束机制

应建立有效合理的激励约束机制。在追求利润的同时，应该进行有效的风险管28 理，处理好风险管理与业务发展，激励刺激与制度约束，前台力量配备与后台管理储备之间的关系，不能只注重其中之一，应该使其得到平衡发展，这样，才能使得银行在安全的环境下健康的发展壮；在业务的不断扩张与发展的过程中，商业银行应该根据新的业务环境对现行制度进行与时俱进的改进与完善，从而使内部管理能够适应业务发展的需要；应该建立一套完整平衡的激励约束机制，不应给予高管过高的权利，并且应该给予相应的约束与监督，健全内部惩罚机制，以进行有效的激励和严格的约束。

3.2健全内部控制运行机制

部门职责权限应当明确清晰，将监督部门与其他运营部门应该相分离，使得业务的运行能够被有限监督，使得银行的监督职能能够发挥应有的作用。具体方法如下：

一、提高控制力度与控制集中度

商业银行不仅要制定完整健全内部控制规章制度，而且应该增强这些规章制度的统一性和系统性，以有效提高控制的力度和控制的集中度。应该在银行经营业务的不断变化中对制度进行完善与修订，使得业务的执行与章可循；应该提高制度的复杂性与灵活性，对业务的具体操作程序进行明确规定，以提高其操作性；应当保证制定的内部控制制度能够在所有支行与机构得到全面的实施与执行，以提高其控制的集中度。

二、加大组织控制的合理性与制约性

完善组织的控制与约束机制应该得到足够的重视，一方面，在商业银行内部，应该清楚明确各部门的职能，对于一些不相容的职务应进行必要的分离，以有效规避职责相互交叉的风险；另一方面，应建立完善的岗位职责机制，使得相关部门之间能够相互制约，职责明确，以增强各部门各岗位的独立性。

三、增强风险控制手段与执行力

首先，在授权审批方面，应完善相关授权审批制度，并予以严格执行贯彻。如在内部管理上，人事变动与晋升降职应该严格按照规章制度执行，制定相应的授权审批过程；在业务操作上，在贷款、票据应建立统一的授信审查机制，进行有效的担保管理，严格控制业务操作。其次，在会计结算与资金业务方面，加强员工专业能力的培训，使得相关人员能够掌握并控制风险点，能够有效采取风险应对措施。如在柜台的业务操作中应该严格进行会计交接和账户管理，规范业务印章和空白凭29 证的保管与使用等。在资产的运营和保全方面，应当制定健全的规章制度，完善奖励与惩罚机制，建立明确的责任追究制度，有效约束相关责任人的一切行为。3.3平衡权力制约机制

一、明确划分职责权限

商业银行应建立合理、规范的转授权管理机制，使得转授权有据可依，应将相应的权利明确授予相关职能部门，使其在业务处理和管理控制上有章可循。比如应制定规范的制度对管理人员和业务人员的决策与行为加以约束，以明确其岗位职责，避免内部人员将在自身利益凌驾于银行的规章制度之上。

二、有效约束高层管理者权限

不应该给予高层管理者过高的权限，并应该对其进行有效的监督与约束，应该合理行长分工制度，将不相容职责进行有效分离。如对不相容职能应委派多个没有任何关联关系的专业人员进行管理，以有效监督制约各项业务活动；而在分支机构中，应配备多名高管人员对各项业务进行管理，这样就使得职责的履行能够相互制衡。

3.4完善稽核监督体系

稽核监督在内部控制中占据着起着重要的作用，是内部控制活动的最后一道防线。因此，商业银行应当提高内部审计部门的独立性和权威性，以及时了解内部控制存在的漏洞，有效防范风险，具体措施如下：

一、增强内部审计独立性并提高稽核监督作用

商业银行的分支机构应建立起独立的内部审计部门，该审计部门应该独立健

全，其报酬应该有总行的董事会来决定，直接对董事会负责，可直接向董事会报告。应该提高内部审计部门的地位，以保证其独立性与权威性，使其在审计监督的过程中不受其他部门、人员的干涉与限制，对于发现的问题，无需经过领导的同意与审批，有权独立决定是否上报，以有效发挥内部审计部门的稽核监督作用，有效防范风险。

二、加大审计监督力量

商业银行应该设立内部审计监督部门，并且应该保证内部审计部门构成人员的数量与质量。在人员数量上，应该配备适当足够的工作人员，能够真正满足内部审

计监督的需要；在人员质量上，一方面内部审计的组成人员的应该具备合理的专业结构，另一方面，应该提高审计人员的素质，对其进行专业的技能培训，使其充分

掌握相关的专业方法和技术，在银行内部真正建立起一个全面的、专业化的审计监督队伍，能够有效提高审计监督的质量和水平。3.5营造良好的内部控制环境

一、加大公司治理力度

应该完善商业银行的公司治理，设置健全的制约与监督机制。我们也应该学习

西方先进的管理体系，设置独立的监事会与审计委员会，直接对股东和投资者负责，能够真正起到监督作用；另一方面，应该公开招聘高级管理者，优胜劣汰，能者居之，聘用专业能力强，道德素质高的人员来担任重要岗位。

二、完善的产权制度我国商业银行应该完全实现股份制，离开政府的保护，真正地在市场经济中参与竞争，以提高其独立性与竞争力；同时，应制定明确的产权与职责制度，使得商业银行的内部控制透明化，以有力促进内部控制活动的顺利进行。

三、有效监管制度的推行

商业银行应该建立严格的监管制度，使得内部控制制度得到切实有效的贯彻与实施。应该严格执行监督与管理机制，使得规章制度能够得到有效执行，使得业务能够严格按照法规与流程进行。

四、优化内部组织结构

商业银行应该放眼追求长远利益，优化组织结构，在给予分支机构一定权限的同时也应该对其进行有效的约束。总行应该加强对分支机构的监督与约束，使其制定的内部控制制度能够在各个分支机构之中得到全面的贯彻与实施，使得分支机构能够得到安全有效的运行。

第二篇：商业银行内部控制

第一章：

一、内部控制的产生与发展

1、内部牵制阶段，在20世纪40年代前，用如结绳计数等方法为标志。到15世纪末，以

意大利出现的复式记账方法为标志。

2、内部控制制度阶段，它产生与20世纪40年代至70年代初，3、内部控制结构阶段，产生于20世纪80年代，标志是美国注册会计协会于1988年5

月发布的《审计准则公告第55号》

4、内部控制整体框架阶段，产生于20世纪90年代后，标志是COSO报告。

定义：COSO报告是有企业的管理人员设计的，为实现营业的效果和效率、财务报告的可靠及合法合规目标提供合理保证，通过董事会、管理人员和其他职业实施的一种过程。认为内部控制由5个要素组成：

控制环境：是指职员履行其控制责任、开展业务活动所处的氛围，包括志愿的品性和

经营环境

风险评估: 它是指对应项作业目标达成的相关风险的辨认和分析，其前提是目标的确

定。

控制活动：它是指企业制定并予以执行的政策和程序，以帮助确保其用于处理影响目

标达成的风险之管理人员指令得到有效落实。

信息与沟通：它是指以一定形式和在一定的时间段内辨认、获得的，为员工在执行、管理和控制作业过程中所需的信息，以及信息的交换和传递。

监控：它是指评估内部控制运作质量的过程，包括持续性监控活动和个别评估。

二、内部控制设计和实施中存在的缺陷

对内部控制制度的认识不到位，违规经营时有发生

法人治理结构不完善，缺乏监督制约机制

内控制度不健全，不适应业务发展的需要

稽核机制不健全，影响内部控制的有效落实

风险控制系统不健全，对内部控制的评价与监督不够

三、内部控制的局限性

COSO报告强调了内部控制的局限性，为实现企业目标提供合理的而非绝对的保证，这

也是为什么说内部控制为发现和防止错误或舞弊只是提供“合理的”而非“绝对的”保证的原因。主要表现在一下几方面

1、成本限制。一般来说，控制程序的成本不能超过风险或错误可能造成的损失和浪费，否则再好的控制措和方法也将失去其降低成本的意义

2、串通舞弊。不相容责任的恰当分离可以避免单独的一人从事和隐瞒不合规行为提供

合理的保证，但两个或更多人合伙作弊即可逃避这类控制，内控失效。

3、人为错误。内控系统发挥作用关键是取决于执行人员的实际运作，不能期望人们在执行控制职责时始中正确无误，人为错误会造成控制失效

4、管理越权。任何程序也不能发现和防止那些负责监督控制的管理人员滥用职权，管

理当局的干预一直是导致许多重大舞弊发生和会计报表是真的重要原因

5、修订跟不上环境的变化。被审单位为便于生存和保持竞争能力，势必要经常调整经

营策略，这就可能导致控制程序对新增业务内容失去了控制作用。

第二章

一、商业银行内部控制定义：内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

二、商业银行内部控制系统的基本要素及相互关系

商业银行内部控制应当包括以下要素：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。要素的相互连结、相互作用就形成了内部控制系统

相互关系：内部控制环境是整个系统的基础，是影响商业银行内部控制作用发挥的各种内部因素；风险识别与评估旨在发现和计量商业银行实现其目标的过程中存在的不确定性，为控制活动指明了方向；内部控制措施是商业银行内部控制系统的核心，是具体实施内部控制的过程；信息交流与反馈为各个要素的沟通，引导内部控制系统有效运行，确保控制目标的实现提供个信息支持。监督评价与纠正是高管对内部控制的管理监督和内部稽核部门对内部控制的在监督、再评价与纠正偏差活动的总称，处于内部控制系统的最高顶层。

三、商业银行风险定义

是指商业银行在经营过程中，由于不确定因素的影响而导致银行蒙受经济损失或获取而外收益的机会和可能性。

四、内部控制措施（案例）

主要包括：岗位设置控制、授权批准控制、程序控制或标准化控制、会计系统控制、预

算控制、事物控制（限制直接接触、定期盘点、记录保护、财产保险）、内

部审计控制、风险防范控制

第三章

一、控制测试与了解内部控制的不同

控制测试指的是测试控制运行的有效性，这一概念需要与了解内部控制进行区分，了解

内部控制包括两层含义：

1、评价控制的设计

2、确定控制是否得到执行，测试控制运行的有效性与去顶控制是否得到执行所需获取的审计证据是不同的二、对商业银行内部控制所做的研究和评价

1、了解商业银行的内部控制情况，并作出相应的记录

2、实施符合性测试程序，证实有关内部控制的设计和执行的效果

3、评价内部控制的强弱，即评价控制风险，发现风险点

三、内部控制的描述

内部控制描述是指测评人员对于调查了解的内部控制情况和所做的控制风险初步评价进行适当的记录。内部控制调查记录的方法通常有：调查表、文字表述、流程图等。

四、内部控制的测试

定义：控制测试又称符合性测试，是在对内部控制初步了解和评价的基础上，对内部控制制度的状况以及是否得到贯彻执行而进行的测试，其目的是确定商业银行的业务处理是否符合内部控制制度的规定，判断内部控制制度的遵循程度，进而确定风险点和关键控制点符合性测试的对象包括：控制设计、控制执行

五、控制风险的评价标准

控制风险的评价标准分为高、较高、中、低四个层次。风险低的标志是：内部控制健全、合理，且在测试检查有关业务活动时，未发现任何差错或仅发现极少的差错。风险中的标志是；内部控制比较健全、合理，还存在一定缺陷，且在测试检查有关业务活动时，发现有一定程度的差错。风险较高的标志是：内部控制设计不够完善或虽然设计了良好的内部控制，但实际运行中差错发生效率高。风险高的标志是：内部控制设计不完善或虽然设计了良好的内部控制，但实际运行中差错发生效率很高。

第三篇：商业银行内部控制

完善的内部控制机制将风险管理放在首位，对经营中面临的风险包括信贷风险、流动性风险、利率风险、市场风险、操作风险、法律风险、策略风险、信誉风险等进行有效的识别和评估，对商业银行内部控制制度和风险管理技术的重视程度提高到一个新的高度，有助于内部控制制度和职能的有效执行。

将内部控制管理的要求和措施真正落实到实处。健全完善的商业银行内部控制机制能够以内部管理要求为宗旨，能够对法人治理结构下的各方进行真实的监督和控制，通过内部控制管理的实施到位，能够有效提高商业银行风险预警和风险化解能力。

商业银行股份制改革中，建立股份制经营的相关机构只是股份制经营的开始，按照国际标准，实现经营机制和管理体制的根本性转变才是国有商业银行股份制改造的核心内容。作为经营机制内容之一，商业银行内部控制机制的根本性转变是指其内控制度的完善和内控体系的健全，内部控制机制的健全完善应该是商业银行股份制改革的同步内容和要求。

完善的商业银行内部控制机制能够有效协调和约束股份制经营管理中的董事会、股东和经理等方面的关系，即利益相关者的关系，使委托代理下的各方利益能够得到有效的保证和协调。商业银行股份制经营模式下，董事会、股东和经理人存在着利益相关的委托代理关系，利益相关人之间在非正常情况下必然存在利益的对抗和冲突，这种利益的对抗和冲突必须要以适当的方式来调节。内部控制机制在股份制经营理念对董事会、股东及经理人三方权利和责任的规定指导下，通过对三方的行为监督和控制，从而实现对三方利益的相应调节，使商业银行股份制经营中的委托代理关系平稳发展和延续。

在完善的现代法人治理结构下，通过完善健全的商业银行内控机制的监督控制，商业银行的企业信息得以充分批露，在这种完善的内部控制体系下，披露的信息具有较高的真实公平性，从而会引导银行监管部门如中央银行、银监会的监管深度、频度、广度加深，有利于提升法人治理结构的有效性，最终提升商业银行资本资源效率。

第四篇：商业银行内部控制指引

商业银行内部控制指引

第一章总则

第一条为促进商业银行建立和健全内部控制，防范金融风险，保障银行体系安全稳健运行，依据《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》等法律规定和银行审慎监管要求，制定本指引。

第二条内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

第三条商业银行内部控制的目标：

（一）确保国家法律规定和商业银行内部规章制度的贯彻执行；

（二）确保商业银行发展战略和经营目标的全面实施和充分实现；

（三）确保风险管理体系的有效性；

（四）确保业务记录、财务信息和其他管理信息的及时、真实和完整。

第四条商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：

（一）内部控制应当渗透到商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。

（二）内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。

（三）内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。

（四）内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。

第五条内部控制应当与商业银行的经营规模、业务范围和风险特点相适应，以合理的成本实现内部控制的目标。

第二章内部控制的基本要求

第六条内部控制应当包括以下要素：

（一）内部控制环境；

（二）风险识别与评估；

（三）内部控制措施；

（四）信息交流与反馈；

（五）监督评价与纠正。

第七条商业银行应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。

第八条商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。

董事会负责审批商业银行的总体经营战略和重大政策，确定商业银行可以接受的风险水平，批准各项业务的政策、制度和程序，任命高级管理层，对内部控制的有效性进行监督；董事会应当就内部控制的有效性定期与管理层进行讨论，及时审查管理层、审计机构和监管部门提供的内部控制评估报告，督促管理层落实整改措施。

高级管理层负责执行董事会批准的各项战略、政策、制度和程序，负责建立授权和责任明确、报告关系清晰的组织结构，建立识别、计量和管理风险的程序，并建立和实施健全、有效的内部控制，采取措施纠正内部控制存在的问题。

监事会在实施财务监督的同时，负责对商业银行遵守法律规定的情况以及董事会、管理层履行职责的情况进行监督，要求董事会、管理层纠正损害银行利益的行为。

第九条商业银行应当建立科学、有效的激励约束机制，培育良好的企业精神和内部控制文化，从而创造全体员工均充分了解且能履行职责的环境。

第十条商业银行应当设立履行风险管理职能的专门部门，制定并实施识别、计量、监测和管理风险的制度、程序和方法，以确保风险管理和经营目标的实现。

第十一条商业银行应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。

第十二条商业银行应当对各项业务制定全面、系统、成文的政策、制度和程序，并在全行范围内保持统一的业务标准和操作要求，避免因管理层的变更而影响其连续性和稳定性。

第十三条商业银行设立新的机构或开办新的业务，应当事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施。

第十四条商业银行应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。

第十五条商业银行应当明确划分相关部门之间、岗位之间、上下级机构之间的职责，建立职责分离、横向与纵向相互监督制约的机制。

涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。

第十六条商业银行应当根据不同的工作岗位及其性质，赋予其相应的职责和权限，各个岗位应当有正式、成文的岗位职责说明和清晰的报告关系。

关键岗位应当实行定期或不定期的人员轮换和强制休假制度。

第十七条商业银行应当根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济环境和业务发展需要，建立相应的授权体系，实行统一法人管理和法人授权。

授权应适当、明确，并采取书面形式。

第十八条商业银行应当利用计算机程序监控等现代化手段，锁定分支机构的业务权限，对分支机构实施有效的管理和控制。

下级机构应当严格执行上级机构的决策，在自身职责和权限范围内开展工作。

第十九条商业银行应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产及时进行盘点，对柜台办理的业务实行复核或事后监督把关，对重要业务实行双签有效的制度，对授权、授信的执行情况进行监控。

第二十条商业银行应当按照规定进行会计核算和业务记录，建立完整的会计、统计和业务档案，妥善保管，确保原始记录、合同契约和各种报表资料的真实、完整。

第二十一条商业银行应当建立有效的应急制度，在各个重要部位、营业网点等发生供电中断、火灾、抢劫等紧急情况时，应急措施应当及时、有效，确保各类数据信息的安全和完整。

第二十二条商业银行应当设立独立的法律事务部门或岗位，统一管理各类授权、授信的法律事务，制定和审查法律文本，对新业务的推出进行法律论证，确保每笔业务的合法和有效，维护银行的合法权益。

第二十三条商业银行应当实现业务操作和管理的电子化，促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理。

第二十四条商业银行应当实现经营管理的信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向中国人民银行报送监管报表资料和对外披露信息。第二十五条商业银行应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈。

第二十六条商业银行的业务部门应当对各项业务的经营状况和例外情况进行经常性检查，及时发现内部控制存在的问题，并迅速予以纠正。

第二十七条商业银行的内部审计部门应当有权获得商业银行的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监控和评价。

第二十八条商业银行的内部审计应当具有充分的独立性，实行全行系统的垂直管理。

下级机构内部审计负责人的聘任和解聘应当经上级机构内部审计部门同意，总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。

第二十九条商业银行应当配备充足的、业务素质高、工作能力强的内部审计人员，并建立专业培训制度，每人每年确保一定的离岗或脱产培训时间。

内部审计力量不足的，应当将审计任务委托社会中介机构进行。

第三十条商业银行应当建立有效的内部控制报告和纠正机制，业务部门、内部审计部门和其他人员发现的内部控制的问题，均应当有畅通的报告渠道和有效的纠正措施。

第三章授信的内部控制

第三十一条商业银行授信内部控制的重点是：实行统一授信管理，健全客户信用风险识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联企业客户和集团客户风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，防止信贷资金违规投向高风险领域和用于违法活动。

第三十二条商业银行应当设立独立的授信风险管理部门，对不同币种、不同客户对象、不同种类的授信进行统一管理，避免信用失控。

第三十三条商业银行授信岗位设置应当做到分工合理、职责明确，岗位之间应当相互配合、相互制约，做到审贷分离、业务经办与会计账务处理分离。

第三十四条商业银行应当建立有效的授信决策机制，包括设立审贷委员会，负责审批权限内的授信。

行长不得担任审贷委员会的成员。

审贷委员会审议表决应当遵循集体审议、明确发表意见、多数同意通过的原则，全部意见应当记录存档。

被审贷委员会两次否决的贷款申请半年内不得提交审贷委员会审议。

第三十五条商业银行应当建立严格的授信风险垂直管理体制，下级机构应当服从上级机构风险管理部门的管理，严格执行各项授信风险管理政策和制度。

第三十六条商业银行应当对授信实行统一的法人授权制度，上级机构应当根据下级机构的风险管理水平、资产质量、所处地区经济环境等因素，合理确定授信审批权限。

第三十七条商业银行应当根据风险大小，对不同种类、期限、担保条件的授信确定不同的审批权限，审批权限应当逐步采用量化风险指标。

第三十八条商业银行各级机构应当明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务，不得故意绕开审查、审批人。

第三十九条商业银行应当防止授信风险的过度集中，通过实行授信组合管理，制定在不同期限、不同行业、不同地区的授信分散化目标，及时监测和控制授信组合风险，确保总体授信风险控制在合理的范围内。

第四十条商业银行应当对同一客户的贷款、贸易融资、票据承兑和贴现、透支、保理、担保、贷款承诺、开立信用证等各类表内外授信实行一揽子管理，确定总体授信额度。

第四十一条商业银行应当以风险量化评估的方法和模型为基础，开发和运用统一的客户信用评级体系，作为授信客户选择和项目审批的依据，并为客户信用风险识别、监测以及制定差别化的授信政策提供基础。第四十二条商业银行应当对集团客户实行统一授信管理，将同一集团内各个企业的授信纳入统一的授信额度内，核定集团总的授信额度，防止借款人通过多头开户、多头贷款、多头互保套取银行资金，防止对关联企业授信的失控。

第四十三条商业银行应当建立统一的授信操作规范，规定贷前调查、贷时审查、贷后检查各个环节的工作标准和操作要求：

（一）贷前调查应当做到实地查看，如实报告授信调查掌握的情况，不回避风险点，不因任何人的主观意志而改变调查结论；

（二）贷时审查应当做到独立审贷，客观公正，充分、准确地揭示业务风险，提出降低风险的对策；

（三）贷后检查应当做到实地查看，如实记录，及时将检查中发现的问题报告有关人员，不得隐瞒或掩饰问题。

第四十四条商业银行应当制定统一的各类授信品种的管理办法，明确规定各项业务的办理条件，包括选项标准、期限、利率、收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容。

第四十五条商业银行在批准各类授信时，应当逐笔载明办理业务的各项条件，经办部门只能在符合条件的前提下办理业务。

第四十六条商业银行应当对借款人实施独立的尽职调查，严格执行授信审批程序，防止逆程序操作和放宽授信标准，防止发放任何形式的外部行政干预贷款和人情贷款。

第四十七条商业银行应当严格按照信贷原则审查对关系人的授信，确保对关系人的授信条件不得优于其他借款人同类授信的条件。

在对关系人的授信调查和审批过程中，商业银行内部相关人员应当回避。

第四十八条商业银行应当严格审查和监控借款用途，防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金，改变借款用途。

第四十九条商业银行应当严格审查借款人资格合法性、融资背景以及申请材料的真实性和借款合同的完备性，防止借款人通过编造虚假理由、使用虚假经济合同或虚假证明文件等方式，从事金融诈骗活动。

第五十条商业银行应当建立资产质量监测报告体系，严密监测资产质量的变化，分析不良资产形成的原因，及时制定防范和化解风险的对策。

第五十一条商业银行应当建立贷款风险分类制度，规范贷款质量的认定标准和程序，严禁掩盖不良贷款的真实状况，确保贷款质量的真实性。

第五十二条商业银行应当建立授信风险责任制，明确规定各个部门、岗位的风险责任：

（一）调查人员应当承担调查失误和评估失准的责任；

（二）审查和审批人员应当承担审查、审批失误的责任，并对本人签署的意见负责；

（三）贷后管理人员应当承担检查失误、清收不力的责任；

（四）放款操作人员应当对操作性风险负责；

（五）高级管理层应当对重大贷款损失承担相应的责任。第五十三条商业银行应当对违法、违规造成的授信风险和损失逐笔进行责任认定，并按规定对有关责任人进行处理。

第五十四条商业银行应当建立完善的授信管理信息系统，对授信全过程进行持续监控，并确保提供真实的授信经营状况和资产质量状况信息，对授信风险与收益情况进行综合评价。

第五十五条商业银行应当建立完善的客户管理信息系统，全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息，对客户进行分类管理，对已列入“黑名单”、有逃废债等行为的资信不良的借款人实施授信禁入。

第四章资金业务的内部控制

第五十六条商业银行资金业务内部控制的重点是：对资金业务对象和产品实行统一授信，实行严格的前后台职责分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。

第五十七条商业银行资金业务的组织结构应当体现权限等级和职责分离的原则，做到前台交易与后台结算分离、自营业务与代客业务分离、业务操作与风险监控分离，建立岗位之间的监督制约机制。

第五十八条商业银行应当根据分支机构的经营管理水平，核定各个分支机构的资金业务经营权限。

对分支机构的资金业务应当定期进行检查，对异常资金交易和资金变动应当建立有效的预警和处理机制。未经上级机构批准，下级机构不得开展任何未设权限的资金交易。

第五十九条商业银行应当完善资金营运的内部控制，资金的调出、调入应当有真实的业务背景，严格按照授权进行操作，并及时划拨资金，登记台账。

第六十条商业银行应当根据授信原则和资金交易对手的财务状况，确定交易对手、投资对象的授信额度和期限，并根据交易产品的特点对授信额度进行动态监控，确保所有交易控制在授信额度范围之内。

第六十一条商业银行应当充分了解所从事资金业务的性质、风险、相关的法规和惯例，明确规定允许交易的业务品种，确定资金业务单笔、累计最大交易限额以及相应承担的单笔、累计最大交易损失限额和交易止损点。

高级管理层应当充分认识金融衍生产品的性质和风险，根据本行的风险承受水平，合理确定金融衍生产品的风险限额和相关交易参数。

第六十二条商业银行应当建立完备的资金交易风险评估和控制系统，制定符合本行特点的风险控制政策、措施和定量指标，开发和运用量化的风险管理模型，对资金交易的收益与风险进行适时、审慎评价，确保资金业务各项风险指标控制在规定的范围内。

第六十三条商业银行应当根据资金交易的风险程度和管理能力，就交易品种、交易金额和止损点等对资金交易员进行授权。资金交易员上岗前应当取得相应资格。

第六十四条商业银行应当按照市场价格计算交易头寸的市值和浮动盈亏情况，对资金交易产品的市场风险、头寸市值变动进行实时监控。

第六十五条商业银行应当建立资金交易风险和市值的内部报告制度。

资金交易员应当向高级管理层如实汇报金融衍生产品中的或有资产、隐含风险和对冲策略等交易细节。

第六十六条商业银行应当充分考虑到极端的市场价格变动、市场流动性降低以及主要交易对手倒闭等问题，确定市场出现大幅异常波动和可能出现最坏情况时的应对措施。

第六十七条商业银行应当建立对资金交易员的适当的约束机制，对资金交易员实施有效管理。

资金交易员应当严格遵守交易员行为准则，在职责权限、授信额度、各项交易限额和止损点内以真实的市场价格进行交易，并严守交易信息秘密。

第六十八条商业银行应当建立资金交易中台和后台部门对前台交易的反映和监督机制。

中台监控部门应当核对前台交易的授权交易限额、交易对手的授信额度和交易价格等，对超出授权范围内的交易应当及时向有关部门报告。

后台结算部门应当独立地进行交易结算和付款，并根据资金交易员的交易记录，在规定的时间内向交易对手逐笔确认交易事实。第六十九条商业银行在办理代客资金业务时，应当了解客户从事资金交易的权限和能力，向客户充分揭示有关风险，获取必要的履约保证，明确在市场变化情况下客户违约的处理办法和措施。

第七十条商业银行资金业务新产品的开发和经营应当经过高级管理层授权批准，在风险控制制度和操作规程完备、人员合格和设备齐全的情况下，交易部门才能全面开展新产品的交易。

第七十一条商业银行应当建立资金业务的风险责任制，明确规定各个部门、岗位的风险责任：

（一）前台资金交易员应当承担越权交易和虚假交易的责任，并对未执行止损规定形成的损失负责；

（二）中台监控人员应当承担对资金交易员越权交易报告的责任，并对风险报告失准和监控不力负责；

（三）后台结算人员应当对结算的操作性风险负责；

（四）高级管理层应当对资金交易出现的重大损失承担相应的责任。

第五章存款及柜台业务的内部控制

第七十二条商业银行存款及柜台业务内部控制的重点是：对基层营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保商业银行和客户资金的安全。

第七十三条商业银行应当严格执行账户管理的有关规定，认真审核存款人身份和账户资料的真实性、完整性和合法性，对账户开立、变更和撤销的情况定期进行检查，防止存款人出租、出借账户或利用其存款账户从事违法活动。

第七十四条商业银行应当严格管理预留签章和存款支付凭据，提高对签章、票据真伪的甄别能力，并利用计算机技术，加大预留签章管理的科技含量，防止诈骗活动。

第七十五条商业银行应当对存款账户实施有效管理，与除储蓄存款以外的其他存款的所有人定期进行对账，并确保对账的适时有效。

第七十六条商业银行应当对内部特种转账业务、账户异常变动等进行持续监控，发现异常情况应当进行跟踪和分析。

对异常现金存取和异常转账情况，应当采取设置标识等监控措施，必要时向有关部门报告。

第七十七条商业银行应当对大额存单签发、大额存款支取实行分级授权和双签制度，按规定对大额款项收付进行登记和报备，确保存款等交易信息的真实、完整。

第七十八条商业银行应当对每日营业终了的账务实施有效管理，当天的票据当天入账，对发现的错账和未提出的票据或退票，应当履行内部审批、登记手续。

第七十九条商业银行应当严格执行“印、押、证”三分管制度，使用和保管重要业务印章的人员不得同时保管相关的业务单证，使用和管理密押、压数机的人员不得同时使用或保管相关的印章和单证。

使用和保管密押的人员应当保持相对稳定，人员变动应当经主管领导批准，并办好交接和登记手续。

人员离岗，“印、押、证”应当落锁入柜，妥善保管。第八十条商业银行应当对现金收付、资金划转、账户资料变更、密码更改、挂失、解挂等柜台业务，建立复核制度，确保交易的记录完整和可追溯。

柜台人员的名章、操作密码、身份识别卡等应当实行个人负责制，妥善保管，按章使用。

第八十一条商业银行应当对现金、贵金属、重要空白凭证和有价单证实行严格的核算和管理，严格执行入库、登记、领用的手续，定期盘点查库，正确、及时处理损益。

第八十二条商业银行应当建立会计、储蓄事后监督制度，配置专人负责事后监督，实现业务与监督在空间与人员上的分离。

第八十三条商业银行应当认真遵循“了解你的客户”的原则，注意审查客户资金来源的真实性和合法性，提高对可疑交易的鉴别能力，如发现可疑交易，应当逐级上报，防止犯罪分子进行洗钱活动。

第八十四条商业银行应当严格执行营业机构重要岗位的请假、轮岗制度，逐步推行离岗审计制度。

对要害部门和重点岗位应当实施有效管理，对非营业时间进入营业场所、电脑延长开机时间等应当办理审批、登记手续。

第六章中间业务的内部控制

第八十五条商业银行中间业务内部控制的重点是：开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权，建立并落实相关的规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。

第八十六条商业银行办理支付结算业务，应当根据有关法律规定的要求，对持票人提交的票据或结算凭证进行审查，并确认委托人收、付款指令的正确性和有效性，按指定的方式、时间和账户办理资金划转手续。

第八十七条商业银行办理结汇、售汇和付汇业务，应当对业务的审批、操作和会计记录实行恰当的职责分离，并严格执行内部管理和检查制度，确保结汇、售汇和收付汇业务的合规性。

第八十八条商业银行办理代理业务，应当设立专户核算代理资金，完善代理资金的拨付、回收、核对等手续，防止代理资金被挤占挪用，确保专款专用。

第八十九条商业银行应当对代理资金支付进行审查和管理，按照代理协议的约定办理资金划转手续，遵循银行不垫款的原则，不介入委托人与其他人的交易纠纷。

第九十条商业银行应当严格按照会计制度正确核算和确认各项代理业务收入，坚持收支两条线，防止代理收入被截留或挪用。

第九十一条商业银行发行借记卡，应当按照实名制规定开立账户。对借记卡的取款、转账、消费等支付业务，应当制定并严格执行相关的管理制度和操作规程。

第九十二条商业银行发行贷记卡，应当在本行统一的授信管理原则下，建立客户信用评价标准和方法，对申请人相关资料的合法性、真实性和有效性进行严格审查，确定客户的信用额度，并严格按照授权进行审批。

第九十三条商业银行应当对贷记卡持卡人的透支行为建立有效的监控机制，业务处理系统应当具有实时监督、超额控制和异常交易止付等功能。

商业银行应当定期与贷记卡持卡人对账，严格管理透支款项，切实防范恶意透支等风险。

第九十四条商业银行受理银行卡存取款或转账业务，应当对银行卡资金交易设置必要的监控措施，防止持卡人利用银行卡进行违法活动。

第九十五条商业银行发卡机构应当建立和健全内部管理机制，完善重要凭证、银行卡卡片、客户密码、止付名单、技术档案等重要资料的传递与存放管理，确保交接手续的严密。

第九十六条商业银行应当对银行卡特约商户实施有效管理，规范相关的操作规程和处理手续，对特约商户的经营风险或操作过失应当制定相应的应急和防范措施。

第九十七条商业银行从事基金托管业务，应当在人事、行政和财务上独立于基金管理人，双方的管理人员不得相互兼职。

第九十八条商业银行应当以诚实信用、勤勉尽责的原则保管基金资产，严格履行基金托管人的职责，确保基金资产的安全，并承担为客户保密的责任。

第九十九条商业银行应当确保基金托管业务与基金代销业务相分离，基金托管的系统、业务资料应当与基金代销的系统、业务资料有效分离。

第一百条商业银行应当确保托管基金资产与自营资产相分离，对不同基金独立设账，分户管理，独立核算，确保不同基金资产的相互独立。

第一百零一条商业银行应当严格按照会计制度办理基金账务核算，正确反映资金往来活动，并与基金管理人等有关当事人就基金投资证券的种类、数量等定期进行核对。

第一百零二条商业银行开展咨询顾问业务，应当坚持诚实信用原则，确保客户对象、业务内容的合法性和合规性，对提供给客户的信息的真实性、准确性负责，并承担为客户保密的责任。

第一百零三条商业银行开办保管箱业务，应当在场地、设备和处理软件等方面符合国家安全标准，对用户身份进行核验确认。

对进入保管场地和开启保管箱，应当制定相应的操作规范，明确要求租用人不得在保管箱内存放违禁或危险物品，防止利用商业银行场地保管非法物品。

第七章会计的内部控制

第一百零四条商业银行会计内部控制的重点是：实行会计工作的统一管理，严格执行会计制度和会计操作规程，运用计算机技术实施会计内部控制，确保会计信息的真实、完整和合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。

第一百零五条商业银行应当依据企业会计准则和国家统一的会计制度，制订并实施本行的会计规范和管理制度。

下级机构应当严格执行上级机构制定的会计规范和管理制度，确保统一的会计规范和管理制度在本行得到实施。

第一百零六条商业银行应当确保会计工作的独立性，确保会计部门、会计人员能够依据国家统一的会计制度和本行的会计规范独立地办理会计业务，任何人不得授意、暗示、指示、强令会计部门、会计人员违法或违规办理会计业务。

对违法或违规的会计业务，会计部门、会计人员有权拒绝办理，并向上级机构报告，或者按照职权予以纠正。

第一百零七条商业银行会计岗位设置应当实行责任分离、相互制约的原则，严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作。

第一百零八条商业银行应当明确会计部门、会计人员的权限，各级会计部门、会计人员应当在各自的权限内行事，凡超越权限的，须经授权后，方可办理。

第一百零九条商业银行应当对会计账务处理的全过程实行监督，会计账务应当做到账账、账据、账款、账实、账表和内外账的六相符。

凡账务核对不一致的，应当按照权限进行纠正或报上级机构处理。第一百一十条商业银行应当对会计主管、会计负责人实行从业资格管理，建立会计人员档案。

会计主管、会计负责人和会计人员应当具有与其岗位、职位相适应的专业资格或技能。

第一百一十一条商业银行下级机构会计主管的变动应当经上级机构会计部门同意。

会计人员调动工作或离职，应当与接管人员办清交接手续，严格执行交接程序。

第一百一十二条商业银行应当对会计人员实行强制休假制度，联行、同城票据交换、出纳等重要会计岗位人员和会计主管还应当定期轮换，逐步推行离岗（任）审计制度。

第一百一十三条商业银行应当实行会计差错责任人追究制度，发生重大会计差错、舞弊或案件，除对直接责任人员追究责任外，机构负责人和分管会计的负责人也应当承担相应的责任。

第一百一十四条商业银行应当做到会计记录、账务处理的合法、真实、完整和准确，严禁伪造、变造会计凭证、会计账簿和其他会计资料，严禁提供虚假财务会计报告。

第一百一十五条商业银行应当建立规范的信息披露制度，按照规定及时、真实、完整地披露会计、财务信息，满足股东、监管当局和社会公众对其信息的需求。

第一百一十六条商业银行应当完善会计档案管理，严格执行会计档案查阅手续，防止会计档案被替换、更改、毁损、散失和泄密。

第八章计算机信息系统的内部控制

第一百一十七条商业银行计算机信息系统内部控制的重点是：严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

第一百一十八条商业银行应当明确计算机信息系统开发人员、管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任。

各级机构应当配备计算机安全管理人员，明确计算机安全管理人员的职责。

第一百一十九条商业银行应当对计算机信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理，开发环境应当与生产环境严格分离。

技术部门与业务部门之间应当进行沟通协调，确保系统的整体安全。

第一百二十条商业银行购买计算机软、硬件设备，应当对供应商的资格条件进行严格审查，在使用前进行试用性安全测试，明确产品供应商对产品在使用期间应当承担的责任，确保产品的正常使用和有效维护。

第一百二十一条商业银行计算机机房建设应当符合国家的有关标准，出入计算机机房应当有严格的审批程序和出入记录，确保计算机硬件、各种存储介质的物理安全。计算机机房和营业网点应当有完备的计算机监控系统，确保计算机终端的正常使用。

第一百二十二条商业银行应当建立和健全网络管理系统，有效地管理网络的安全、故障、性能、配置等，并对接入国际互联网实施有效的安全管理。

第一百二十三条商业银行应当对计算机信息系统实施有效的用户管理和密码（口令）管理，对用户的创建、变更、删除、用户口令的长度、时效等均应当有严格的控制。

员工之间严禁转让计算机信息系统的用户名或权限卡，员工离岗后应当及时更换密码和密码信息。

第一百二十四条商业银行应当对计算机信息系统的接入建立适当的授权程序，并对接入后的操作进行安全控制。

输入计算机信息系统的数据应当核对无误，数据的修改应当经过批准并建立日志。

第一百二十五条商业银行应当及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等，通过认证、加密、内容过滤、入侵监测等技术手段，不断完善安全控制措施，确保计算机信息系统的安全。

第一百二十六条商业银行的网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。

日志应当能够满足各类内部和外部审计的需要。

第一百二十七条商业银行应当严格管理各类数据信息，数据的操作、数据备份介质的存放、转移和销毁等均应当有严格的管理制度。第一百二十八条商业银行运用计算机处理业务，应当具有可复核性和可追溯性，并为有关的审计或检查留有接口。

第一百二十九条商业银行的电子银行服务应当具备客户身份识别、安全认证等功能，防止发生泄密事件，确保交易安全。

第一百三十条商业银行应当尽可能利用计算机信息系统的系统设定，防范各种操作风险和违法犯罪行为。

第一百三十一条商业银行应当建立计算机安全应急系统，制定详细的应急方案，并定期进行修订和演练。

数据备份应当做到异地存放，条件允许时，应当建立异地计算机灾难备份中心。

第九章内部控制的监督与纠正

第一百三十二条商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。

内部控制的建设、执行部门负责设计内部控制体系，组织、督促各业务部门、分支机构建立和健全内部控制。

内部控制的监督、评价部门负责组织检查、评价内部控制的健全性和有效性，督促管理层纠正内部控制存在的问题。

第一百三十三条商业银行应当建立内部控制的报告和信息反馈制度，业务部门、内部审计部门和其他控制人员发现内部控制的隐患和缺陷，应当及时向管理层或相关部门报告。

第一百三十四条商业银行内部控制的监督、评价部门应当对内部控制的制度建设和执行情况定期进行检查评价，提出改进建议，对违反规定的机构和人员提出处理意见。

第一百三十五条商业银行上级机构应当根据自身掌握的内部控制信息，对下级机构的内部控制状况定期作出评价，并将评价结果作为经营绩效考核的重要依据。

第一百三十六条商业银行应当建立内部控制问题和缺陷的处理纠正机制，管理层应当根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，并督促业务部门和分支机构落实。

第一百三十七条商业银行应当建立内部控制的风险责任制：

（一）董事会、高级管理层应当对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任；

（二）内部审计部门应当对检查发现问题隐瞒不报、上报虚假情况或检查监督不力，承担相应的责任；

（三）业务部门和分支机构应当及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任；

（四）高级管理层应当对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。

第十章附则

第一百三十八条本指引适用于在中华人民共和国境内依法设立的中资、外资商业银行。

政策性银行、金融资产管理公司、邮政储蓄机构、城乡信用社、信托投资公司、企业集团财务公司、金融租赁公司等其他金融机构参照执行。

第一百三十九条中国人民银行依据本指引对商业银行作出的内部控制评价结果是商业银行风险评估的重要内容，也是中国人民银行进行市场准入管理的重要依据。

第一百四十条本指引由中国人民银行负责解释。

第一百四十一条本指引自公布之日起施行。中国人民银行发布的《加强金融机构内部控制的指导原则》同时废止。

第五篇：商业银行内部控制指引

商业银行内部控制指引（修订征求意见稿）

第一章总则

第一条为促进商业银行建立和健全内部控制，有效防范风险，保障银行体系安全稳健运行，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律、行政法规及规章，制定本指引。

第二条中华人民共和国境内经银行业监督管理机构批准设立的商业银行适用本指引。

第三条内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。

第四条商业银行内部控制的目标：

（一）保证国家有关法律、行政法规及规章的贯彻执行。

（二）保证商业银行业务记录、财务信息和其他管理信息的及时、真实和完整。

（三）保证商业银行风险管理的有效性。

（四）保证商业银行发展战略和经营目标的实现。第五条商业银行内部控制应当遵循以下基本原则：

（一）全覆盖原则。商业银行内部控制应当贯穿决策、执行和监督全过程，覆盖各项业务流程和各个操作环节，覆盖所有的部门、岗位和人员。

（二）制衡性原则。商业银行内部控制应当在治理结构、机构设臵及权责分配、业务流程等方面形成相互制约、相互监督的机制。

（三）审慎性原则。商业银行内部控制应当坚持风险为本、审慎经营的理念，设立机构或开办业务均应坚持内控优先。

（四）相匹配原则。商业银行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应，并根据情况变化及时进行调整。

第六条商业银行应当建立健全内部控制体系，明确内部控制职责，完善内部控制措施，强化内部控制保障，持续开展内部控制评价和监督。

第二章内部控制职责

第七条商业银行应当建立由董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门组成的分工合理、职责明确、报告关系清晰的内部控制治理和组织架构。

第八条董事会负责保证商业银行建立并实施充分而有效的内部控制体系，保证商业银行在法律和政策的框架内审慎经营；负责明确设定可接受的风险水平，保证高级管理层采取必要的风险控制措施；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。第九条监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会、高级管理层及其成员履行内部控制职责。

第十条高级管理层负责执行董事会决策；负责根据董事会确定的可接受的风险水平，制定系统化的制度、流程和方法，采取相应的风险控制措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行；负责组织对内部控制体系的充分性与有效性进行监测和评估。

第十一条商业银行应当指定专门部门作为内控管理职能部门，牵头内部控制体系的统筹规划、组织落实和检查评估。

第十二条商业银行内部审计部门履行内部控制的监督职能，负责对商业银行内部控制的健全性、合理性和有效性进行审计，及时报告审计发现问题，并监督整改。

第十三条商业银行的业务部门负责参与制定与其职责相关的业务制度和操作流程；负责严格执行相关制度规定；负责组织开展监督检查；负责按照规定时限和路径报告内部控制存在的缺陷，并组织落实整改。

商业银行业务部门是指除内部审计部门和内控管理职能部门外的其他部门。

第三章内部控制措施

第十四条商业银行应当建立完善内部控制制度体系，对各项业务活动和管理活动制定全面、系统、规范的业务制度和管理制度，并定期进行评估。

第十五条商业银行应当合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。

商业银行应当采用科学的风险管理技术和方法，充分识别和评估经营中面临的风险，对各类主要风险进行持续的监控。

第十六条商业银行应当建立完善信息系统控制，通过内部控制流程与业务操作系统和管理信息系统的有效结合，加强对业务和管理活动的系统自动控制。

第十七条商业银行应当根据经营管理需要，合理确定部门、岗位的职责及权限，形成规范的部门、岗位职责说明，明确相应的报告路线。

第十八条商业银行应当全面系统地分析、梳理业务流程中所涉及的不相容岗位，实施相应的分离措施，形成相互制约的岗位安排。

第十九条商业银行应明确重要岗位，并制定重要岗位的内部控制要求，对重要岗位人员实行轮岗或强制休假制度，原则上不相容岗位人员之间不得轮岗。

第二十条商业银行应当制定规范员工行为的相关制度，明确对员工的禁止性规定，加强对员工行为的监督和排查，建立员工异常行为举报、查处机制。

第二十一条商业银行应当根据各分支机构和各部门的经营能力、管理水平、风险状况和业务发展需要，建立相应的授权体系，明确各级机构、部门、岗位、人员办理业务和事项的权限，并实施动态调整。

第二十二条商业银行应当严格执行会计准则制度，及时准确地反映各项业务交易，确保财务会计信息真实、可靠、完整。

第二十三条商业银行应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产和重要凭证及时进行盘点。

第二十四条商业银行设立新机构、开办新业务、提供新产品和服务，应当对潜在的风险进行评估，并制定相应的管理制度和业务流程。

第二十五条商业银行应当建立健全外包管理制度，明确外包管理组织架构和管理职责，并至少每年开展一次全面的外包风险评估。涉及战略管理、风险管理及其他有关核心竞争力的职能不得外包。

第二十六条商业银行应当建立完善客户投诉处理机制，制定投诉处理工作流程，定期汇总分析投诉反映事项，查找问题，有效改进服务和管理。

第四章内部控制保障

第二十七条商业银行应当建立贯穿各级机构、覆盖所有业务和全部流程的管理信息系统和业务操作系统，及时、准确记录经营管理信息，确保信息的完整、连续、准确和可追溯。

第二十八条商业银行应当加强对信息的安全控制和保密管理，对各类信息实施分等级安全管理，对信息系统访问实施权限管理，确保信息安全。

第二十九条商业银行应当建立有效的信息沟通机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保相关部门和员工及时了解与其职责相关的制度和信息。

第三十条商业银行应当建立与其战略目标相一致的业务连续性管理体系,明确组织结构和管理职能,制定业务连续性计划,组织开展演练和定期的业务连续性管理评估，有效应对运营中断事件,保证业务持续运营。

第三十一条商业银行应当制定有利于企业可持续发展的人力资源政策，将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，保证从业人员具备必要的专业资格和从业经验，加强员工培训。

第三十二条商业银行应当科学建立绩效考评体系、合理设定内控考评标准，对考评对象在特定期间的内控管理进行评价，并根据考评结果改进内控管理。

商业银行应当对内部控制职能部门和内部审计部门建立区别于业务部门的绩效考评方式，以利于其有效履行内部控制管理和监督职能。

第三十三条商业银行应当培育良好的企业内控文化，引导员工树立合规意识、风险意识，提高员工的职业道德水准，规范员工行为。

第五章内部控制评价

第三十四条商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果开展的调查、测试、分析和评估等系统性活动。

第三十五条商业银行应当建立内部控制评价制度，规定内部控制评价的实施主体、频率、内容、程序、方法和标准等，确保内部控制评价工作规范进行。

第三十六条商业银行内部控制评价应当由董事会指定的部门组织实施。

第三十七条商业银行应当对纳入并表管理的机构进行内部控制评价，包括商业银行本部、境内外分支机构及附属公司等。

第三十八条商业银行应当根据业务经营情况和风险状况确定内部控制评价的频率，至少每年开展一次。当商业银行发生重大的并购或处臵事项、营运模式发生重大改变、外部经营环境发生重大变化，或其他有重大实质影响的事项发生时，应当及时组织开展内部控制评价。

第三十九条商业银行应当制定内部控制缺陷认定标准，根据内部控制缺陷的影响程度划分内部控制缺陷等级，并明确相应的纠正措施和方案。第四十条商业银行应当建立内部控制评价质量控制机制，对评价工作实施全流程质量控制，确保内部控制评价的客观公正性。

第四十一条商业银行应当强化内部控制评价结果运用，可将评价结果与被评价机构的绩效考评和授权等挂钩，并作为被评价机构领导班子考评的重要依据。

第四十二条商业银行内部控制评价报告经董事会审议批准后，于每年四月三十日前报送对其履行法人监管职责的银行业监督管理机构。商业银行分支机构应将其内部控制评价情况，按上述时限要求，报送同级银行业监督管理机构。

第六章内部控制监督

第四十三条商业银行内部审计部门、内控管理职能部门和业务部门均承担内部控制监督检查的职责，应根据分工协调配合，构建覆盖各级机构、各个产品、各个业务流程的监督检查体系。

第四十四条商业银行应当建立内部控制监督的报告和信息反馈制度，内部审计部门、内控管理职能部门、业务部门人员应将发现的内部控制缺陷，按照规定报告路线及时报告董事会、监事会、高级管理层或相关部门。

第四十五条商业银行应当建立内部控制问题整改机制，明确整改责任部门，规范整改工作流程，确保整改措施落实到位。第四十六条商业银行应当建立内部控制管理责任制，强化责任追究：

（一）董事会、高级管理层应当对内部控制的有效性负责，并对内部控制失效造成的重大损失承担管理责任。

（二）内部审计部门、内控管理职能部门应当对未适当履行监督检查和内部控制评价承担直接责任。

（三）业务部门应当对未执行相关制度、流程，未适当履行检查职责，未及时落实整改承担直接责任。

第四十七条银行业监督管理机构通过非现场监管和现场检查等方式实施对商业银行内部控制的持续监管，并根据本指引及其他相关法律法规，按组织对商业银行内部控制进行评估，提出监管意见，督促商业银行持续加以完善。

第四十八条银监会及其派出机构对内部控制存在缺陷的商业银行，应当通过下发监管意见函等形式，责成商业银行限期整改；逾期未整改的，银监会及其派出机构可根据《中华人民共和国银行业监督管理法》第三十七条规定采取监管措施。

第四十九条商业银行违反本指引有关规定的，银监会及其派出机构可根据《中华人民共和国银行业监督管理法》采取监管措施或行政处罚。

第七章附则

第五十条中国银行业监督管理委员会负责监管的其他金融机构参照执行本指引。

第五十一条本指引由中国银行业监督管理委员会负责解释。

第五十二条本指引自发布之日起施行，《商业银行内部控制指引》（中国银行业监督管理委员会令2007年第6号）同时废止。

烟台商业银行内部控制案例

第一篇：烟台商业银行内部控制案例

第二篇：商业银行内部控制

第三篇：商业银行内部控制

第四篇：商业银行内部控制指引

第五篇：商业银行内部控制指引

相关范文推荐

商业银行内部控制指引

浅析商业银行的内部控制

商业银行如何强化内部控制

我国商业银行内部控制框架及案例分析

内部控制案例

内部控制案例

内部控制案例

第九章《商业银行内部控制指引》