商业银行内部控制指引

2024-10-07

商业银行内部控制指引（共7篇）

商业银行内部控制指引篇1

商业银行内部控制指引

第一章总则

第一条为促进商业银行建立和健全内部控制，防范金融风险，保障银行体系安全稳健运行，依据《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》等法律规定和银行审慎监管要求，制定本指引。

第二条内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

第三条商业银行内部控制的目标：

（一）确保国家法律规定和商业银行内部规章制度的贯彻执行；

（二）确保商业银行发展战略和经营目标的全面实施和充分实现；

（三）确保风险管理体系的有效性；

（四）确保业务记录、财务信息和其他管理信息的及时、真实和完整。

第四条商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：

（一）内部控制应当渗透到商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。

（二）内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。

（三）内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。

（四）内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。

第五条内部控制应当与商业银行的经营规模、业务范围和风险特点相适应，以合理的成本实现内部控制的目标。

第二章内部控制的基本要求

第六条内部控制应当包括以下要素：

（一）内部控制环境；

（二）风险识别与评估；

（三）内部控制措施；

（四）信息交流与反馈；

（五）监督评价与纠正。

第七条商业银行应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。

第八条商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。

董事会负责审批商业银行的总体经营战略和重大政策，确定商业银行可以接受的风险水平，批准各项业务的政策、制度和程序，任命高级管理层，对内部控制的有效性进行监督；董事会应当就内部控制的有效性定期与管理层进行讨论，及时审查管理层、审计机构和监管部门提供的内部控制评估报告，督促管理层落实整改措施。

高级管理层负责执行董事会批准的各项战略、政策、制度和程序，负责建立授权和责任明确、报告关系清晰的组织结构，建立识别、计量和管理风险的程序，并建立和实施健全、有效的内部控制，采取措施纠正内部控制存在的问题。

监事会在实施财务监督的同时，负责对商业银行遵守法律规定的情况以及董事会、管理层履行职责的情况进行监督，要求董事会、管理层纠正损害银行利益的行为。

第九条商业银行应当建立科学、有效的激励约束机制，培育良好的企业精神和内部控制文化，从而创造全体员工均充分了解且能履行职责的环境。

第十条商业银行应当设立履行风险管理职能的专门部门，制定并实施识别、计量、监测和管理风险的制度、程序和方法，以确保风险管理和经营目标的实现。

第十一条商业银行应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。

第十二条商业银行应当对各项业务制定全面、系统、成文的政策、制度和程序，并在全行范围内保持统一的业务标准和操作要求，避免因管理层的变更而影响其连续性和稳定性。

第十三条商业银行设立新的机构或开办新的业务，应当事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施。

第十四条商业银行应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。

第十五条商业银行应当明确划分相关部门之间、岗位之间、上下级机构之间的职责，建立职责分离、横向与纵向相互监督制约的机制。

涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。

第十六条商业银行应当根据不同的工作岗位及其性质，赋予其相应的职责和权限，各个岗位应当有正式、成文的岗位职责说明和清晰的报告关系。

关键岗位应当实行定期或不定期的人员轮换和强制休假制度。

第十七条商业银行应当根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济环境和业务发展需要，建立相应的授权体系，实行统一法人管理和法人授权。

授权应适当、明确，并采取书面形式。

第十八条商业银行应当利用计算机程序监控等现代化手段，锁定分支机构的业务权限，对分支机构实施有效的管理和控制。

下级机构应当严格执行上级机构的决策，在自身职责和权限范围内开展工作。

第十九条商业银行应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产及时进行盘点，对柜台办理的业务实行复核或事后监督把关，对重要业务实行双签有效的制度，对授权、授信的执行情况进行监控。

第二十条商业银行应当按照规定进行会计核算和业务记录，建立完整的会计、统计和业务档案，妥善保管，确保原始记录、合同契约和各种报表资料的真实、完整。

第二十一条商业银行应当建立有效的应急制度，在各个重要部位、营业网点等发生供电中断、火灾、抢劫等紧急情况时，应急措施应当及时、有效，确保各类数据信息的安全和完整。

第二十二条商业银行应当设立独立的法律事务部门或岗位，统一管理各类授权、授信的法律事务，制定和审查法律文本，对新业务的推出进行法律论证，确保每笔业务的合法和有效，维护银行的合法权益。

第二十三条商业银行应当实现业务操作和管理的电子化，促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理。

第二十四条商业银行应当实现经营管理的信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向中国人民银行报送监管报表资料和对外披露信息。第二十五条商业银行应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈。

第二十六条商业银行的业务部门应当对各项业务的经营状况和例外情况进行经常性检查，及时发现内部控制存在的问题，并迅速予以纠正。

第二十七条商业银行的内部审计部门应当有权获得商业银行的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监控和评价。

第二十八条商业银行的内部审计应当具有充分的独立性，实行全行系统的垂直管理。

下级机构内部审计负责人的聘任和解聘应当经上级机构内部审计部门同意，总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。

第二十九条商业银行应当配备充足的、业务素质高、工作能力强的内部审计人员，并建立专业培训制度，每人每年确保一定的离岗或脱产培训时间。

内部审计力量不足的，应当将审计任务委托社会中介机构进行。

第三十条商业银行应当建立有效的内部控制报告和纠正机制，业务部门、内部审计部门和其他人员发现的内部控制的问题，均应当有畅通的报告渠道和有效的纠正措施。

第三章授信的内部控制

第三十一条商业银行授信内部控制的重点是：实行统一授信管理，健全客户信用风险识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联企业客户和集团客户风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，防止信贷资金违规投向高风险领域和用于违法活动。

第三十二条商业银行应当设立独立的授信风险管理部门，对不同币种、不同客户对象、不同种类的授信进行统一管理，避免信用失控。

第三十三条商业银行授信岗位设置应当做到分工合理、职责明确，岗位之间应当相互配合、相互制约，做到审贷分离、业务经办与会计账务处理分离。

第三十四条商业银行应当建立有效的授信决策机制，包括设立审贷委员会，负责审批权限内的授信。

行长不得担任审贷委员会的成员。

审贷委员会审议表决应当遵循集体审议、明确发表意见、多数同意通过的原则，全部意见应当记录存档。

被审贷委员会两次否决的贷款申请半年内不得提交审贷委员会审议。

第三十五条商业银行应当建立严格的授信风险垂直管理体制，下级机构应当服从上级机构风险管理部门的管理，严格执行各项授信风险管理政策和制度。

第三十六条商业银行应当对授信实行统一的法人授权制度，上级机构应当根据下级机构的风险管理水平、资产质量、所处地区经济环境等因素，合理确定授信审批权限。

第三十七条商业银行应当根据风险大小，对不同种类、期限、担保条件的授信确定不同的审批权限，审批权限应当逐步采用量化风险指标。

第三十八条商业银行各级机构应当明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务，不得故意绕开审查、审批人。

第三十九条商业银行应当防止授信风险的过度集中，通过实行授信组合管理，制定在不同期限、不同行业、不同地区的授信分散化目标，及时监测和控制授信组合风险，确保总体授信风险控制在合理的范围内。

第四十条商业银行应当对同一客户的贷款、贸易融资、票据承兑和贴现、透支、保理、担保、贷款承诺、开立信用证等各类表内外授信实行一揽子管理，确定总体授信额度。

第四十一条商业银行应当以风险量化评估的方法和模型为基础，开发和运用统一的客户信用评级体系，作为授信客户选择和项目审批的依据，并为客户信用风险识别、监测以及制定差别化的授信政策提供基础。第四十二条商业银行应当对集团客户实行统一授信管理，将同一集团内各个企业的授信纳入统一的授信额度内，核定集团总的授信额度，防止借款人通过多头开户、多头贷款、多头互保套取银行资金，防止对关联企业授信的失控。

第四十三条商业银行应当建立统一的授信操作规范，规定贷前调查、贷时审查、贷后检查各个环节的工作标准和操作要求：

（一）贷前调查应当做到实地查看，如实报告授信调查掌握的情况，不回避风险点，不因任何人的主观意志而改变调查结论；

（二）贷时审查应当做到独立审贷，客观公正，充分、准确地揭示业务风险，提出降低风险的对策；

（三）贷后检查应当做到实地查看，如实记录，及时将检查中发现的问题报告有关人员，不得隐瞒或掩饰问题。

第四十四条商业银行应当制定统一的各类授信品种的管理办法，明确规定各项业务的办理条件，包括选项标准、期限、利率、收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容。

第四十五条商业银行在批准各类授信时，应当逐笔载明办理业务的各项条件，经办部门只能在符合条件的前提下办理业务。

第四十六条商业银行应当对借款人实施独立的尽职调查，严格执行授信审批程序，防止逆程序操作和放宽授信标准，防止发放任何形式的外部行政干预贷款和人情贷款。

第四十七条商业银行应当严格按照信贷原则审查对关系人的授信，确保对关系人的授信条件不得优于其他借款人同类授信的条件。

在对关系人的授信调查和审批过程中，商业银行内部相关人员应当回避。

第四十八条商业银行应当严格审查和监控借款用途，防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金，改变借款用途。

第四十九条商业银行应当严格审查借款人资格合法性、融资背景以及申请材料的真实性和借款合同的完备性，防止借款人通过编造虚假理由、使用虚假经济合同或虚假证明文件等方式，从事金融诈骗活动。

第五十条商业银行应当建立资产质量监测报告体系，严密监测资产质量的变化，分析不良资产形成的原因，及时制定防范和化解风险的对策。

第五十一条商业银行应当建立贷款风险分类制度，规范贷款质量的认定标准和程序，严禁掩盖不良贷款的真实状况，确保贷款质量的真实性。

第五十二条商业银行应当建立授信风险责任制，明确规定各个部门、岗位的风险责任：

（一）调查人员应当承担调查失误和评估失准的责任；

（二）审查和审批人员应当承担审查、审批失误的责任，并对本人签署的意见负责；

（三）贷后管理人员应当承担检查失误、清收不力的责任；

（四）放款操作人员应当对操作性风险负责；

（五）高级管理层应当对重大贷款损失承担相应的责任。第五十三条商业银行应当对违法、违规造成的授信风险和损失逐笔进行责任认定，并按规定对有关责任人进行处理。

第五十四条商业银行应当建立完善的授信管理信息系统，对授信全过程进行持续监控，并确保提供真实的授信经营状况和资产质量状况信息，对授信风险与收益情况进行综合评价。

第五十五条商业银行应当建立完善的客户管理信息系统，全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息，对客户进行分类管理，对已列入“黑名单”、有逃废债等行为的资信不良的借款人实施授信禁入。

第四章资金业务的内部控制

第五十六条商业银行资金业务内部控制的重点是：对资金业务对象和产品实行统一授信，实行严格的前后台职责分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。

第五十七条商业银行资金业务的组织结构应当体现权限等级和职责分离的原则，做到前台交易与后台结算分离、自营业务与代客业务分离、业务操作与风险监控分离，建立岗位之间的监督制约机制。

第五十八条商业银行应当根据分支机构的经营管理水平，核定各个分支机构的资金业务经营权限。

对分支机构的资金业务应当定期进行检查，对异常资金交易和资金变动应当建立有效的预警和处理机制。未经上级机构批准，下级机构不得开展任何未设权限的资金交易。

第五十九条商业银行应当完善资金营运的内部控制，资金的调出、调入应当有真实的业务背景，严格按照授权进行操作，并及时划拨资金，登记台账。

第六十条商业银行应当根据授信原则和资金交易对手的财务状况，确定交易对手、投资对象的授信额度和期限，并根据交易产品的特点对授信额度进行动态监控，确保所有交易控制在授信额度范围之内。

第六十一条商业银行应当充分了解所从事资金业务的性质、风险、相关的法规和惯例，明确规定允许交易的业务品种，确定资金业务单笔、累计最大交易限额以及相应承担的单笔、累计最大交易损失限额和交易止损点。

高级管理层应当充分认识金融衍生产品的性质和风险，根据本行的风险承受水平，合理确定金融衍生产品的风险限额和相关交易参数。

第六十二条商业银行应当建立完备的资金交易风险评估和控制系统，制定符合本行特点的风险控制政策、措施和定量指标，开发和运用量化的风险管理模型，对资金交易的收益与风险进行适时、审慎评价，确保资金业务各项风险指标控制在规定的范围内。

第六十三条商业银行应当根据资金交易的风险程度和管理能力，就交易品种、交易金额和止损点等对资金交易员进行授权。资金交易员上岗前应当取得相应资格。

第六十四条商业银行应当按照市场价格计算交易头寸的市值和浮动盈亏情况，对资金交易产品的市场风险、头寸市值变动进行实时监控。

第六十五条商业银行应当建立资金交易风险和市值的内部报告制度。

资金交易员应当向高级管理层如实汇报金融衍生产品中的或有资产、隐含风险和对冲策略等交易细节。

第六十六条商业银行应当充分考虑到极端的市场价格变动、市场流动性降低以及主要交易对手倒闭等问题，确定市场出现大幅异常波动和可能出现最坏情况时的应对措施。

第六十七条商业银行应当建立对资金交易员的适当的约束机制，对资金交易员实施有效管理。

资金交易员应当严格遵守交易员行为准则，在职责权限、授信额度、各项交易限额和止损点内以真实的市场价格进行交易，并严守交易信息秘密。

第六十八条商业银行应当建立资金交易中台和后台部门对前台交易的反映和监督机制。

中台监控部门应当核对前台交易的授权交易限额、交易对手的授信额度和交易价格等，对超出授权范围内的交易应当及时向有关部门报告。

后台结算部门应当独立地进行交易结算和付款，并根据资金交易员的交易记录，在规定的时间内向交易对手逐笔确认交易事实。第六十九条商业银行在办理代客资金业务时，应当了解客户从事资金交易的权限和能力，向客户充分揭示有关风险，获取必要的履约保证，明确在市场变化情况下客户违约的处理办法和措施。

第七十条商业银行资金业务新产品的开发和经营应当经过高级管理层授权批准，在风险控制制度和操作规程完备、人员合格和设备齐全的情况下，交易部门才能全面开展新产品的交易。

第七十一条商业银行应当建立资金业务的风险责任制，明确规定各个部门、岗位的风险责任：

（一）前台资金交易员应当承担越权交易和虚假交易的责任，并对未执行止损规定形成的损失负责；

（二）中台监控人员应当承担对资金交易员越权交易报告的责任，并对风险报告失准和监控不力负责；

（三）后台结算人员应当对结算的操作性风险负责；

（四）高级管理层应当对资金交易出现的重大损失承担相应的责任。

第五章存款及柜台业务的内部控制

第七十二条商业银行存款及柜台业务内部控制的重点是：对基层营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保商业银行和客户资金的安全。

第七十三条商业银行应当严格执行账户管理的有关规定，认真审核存款人身份和账户资料的真实性、完整性和合法性，对账户开立、变更和撤销的情况定期进行检查，防止存款人出租、出借账户或利用其存款账户从事违法活动。

第七十四条商业银行应当严格管理预留签章和存款支付凭据，提高对签章、票据真伪的甄别能力，并利用计算机技术，加大预留签章管理的科技含量，防止诈骗活动。

第七十五条商业银行应当对存款账户实施有效管理，与除储蓄存款以外的其他存款的所有人定期进行对账，并确保对账的适时有效。

第七十六条商业银行应当对内部特种转账业务、账户异常变动等进行持续监控，发现异常情况应当进行跟踪和分析。

对异常现金存取和异常转账情况，应当采取设置标识等监控措施，必要时向有关部门报告。

第七十七条商业银行应当对大额存单签发、大额存款支取实行分级授权和双签制度，按规定对大额款项收付进行登记和报备，确保存款等交易信息的真实、完整。

第七十八条商业银行应当对每日营业终了的账务实施有效管理，当天的票据当天入账，对发现的错账和未提出的票据或退票，应当履行内部审批、登记手续。

第七十九条商业银行应当严格执行“印、押、证”三分管制度，使用和保管重要业务印章的人员不得同时保管相关的业务单证，使用和管理密押、压数机的人员不得同时使用或保管相关的印章和单证。

使用和保管密押的人员应当保持相对稳定，人员变动应当经主管领导批准，并办好交接和登记手续。

人员离岗，“印、押、证”应当落锁入柜，妥善保管。第八十条商业银行应当对现金收付、资金划转、账户资料变更、密码更改、挂失、解挂等柜台业务，建立复核制度，确保交易的记录完整和可追溯。

柜台人员的名章、操作密码、身份识别卡等应当实行个人负责制，妥善保管，按章使用。

第八十一条商业银行应当对现金、贵金属、重要空白凭证和有价单证实行严格的核算和管理，严格执行入库、登记、领用的手续，定期盘点查库，正确、及时处理损益。

第八十二条商业银行应当建立会计、储蓄事后监督制度，配置专人负责事后监督，实现业务与监督在空间与人员上的分离。

第八十三条商业银行应当认真遵循“了解你的客户”的原则，注意审查客户资金来源的真实性和合法性，提高对可疑交易的鉴别能力，如发现可疑交易，应当逐级上报，防止犯罪分子进行洗钱活动。

第八十四条商业银行应当严格执行营业机构重要岗位的请假、轮岗制度，逐步推行离岗审计制度。

对要害部门和重点岗位应当实施有效管理，对非营业时间进入营业场所、电脑延长开机时间等应当办理审批、登记手续。

第六章中间业务的内部控制

第八十五条商业银行中间业务内部控制的重点是：开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权，建立并落实相关的规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。

第八十六条商业银行办理支付结算业务，应当根据有关法律规定的要求，对持票人提交的票据或结算凭证进行审查，并确认委托人收、付款指令的正确性和有效性，按指定的方式、时间和账户办理资金划转手续。

第八十七条商业银行办理结汇、售汇和付汇业务，应当对业务的审批、操作和会计记录实行恰当的职责分离，并严格执行内部管理和检查制度，确保结汇、售汇和收付汇业务的合规性。

第八十八条商业银行办理代理业务，应当设立专户核算代理资金，完善代理资金的拨付、回收、核对等手续，防止代理资金被挤占挪用，确保专款专用。

第八十九条商业银行应当对代理资金支付进行审查和管理，按照代理协议的约定办理资金划转手续，遵循银行不垫款的原则，不介入委托人与其他人的交易纠纷。

第九十条商业银行应当严格按照会计制度正确核算和确认各项代理业务收入，坚持收支两条线，防止代理收入被截留或挪用。

第九十一条商业银行发行借记卡，应当按照实名制规定开立账户。对借记卡的取款、转账、消费等支付业务，应当制定并严格执行相关的管理制度和操作规程。

第九十二条商业银行发行贷记卡，应当在本行统一的授信管理原则下，建立客户信用评价标准和方法，对申请人相关资料的合法性、真实性和有效性进行严格审查，确定客户的信用额度，并严格按照授权进行审批。

第九十三条商业银行应当对贷记卡持卡人的透支行为建立有效的监控机制，业务处理系统应当具有实时监督、超额控制和异常交易止付等功能。

商业银行应当定期与贷记卡持卡人对账，严格管理透支款项，切实防范恶意透支等风险。

第九十四条商业银行受理银行卡存取款或转账业务，应当对银行卡资金交易设置必要的监控措施，防止持卡人利用银行卡进行违法活动。

第九十五条商业银行发卡机构应当建立和健全内部管理机制，完善重要凭证、银行卡卡片、客户密码、止付名单、技术档案等重要资料的传递与存放管理，确保交接手续的严密。

第九十六条商业银行应当对银行卡特约商户实施有效管理，规范相关的操作规程和处理手续，对特约商户的经营风险或操作过失应当制定相应的应急和防范措施。

第九十七条商业银行从事基金托管业务，应当在人事、行政和财务上独立于基金管理人，双方的管理人员不得相互兼职。

第九十八条商业银行应当以诚实信用、勤勉尽责的原则保管基金资产，严格履行基金托管人的职责，确保基金资产的安全，并承担为客户保密的责任。

第九十九条商业银行应当确保基金托管业务与基金代销业务相分离，基金托管的系统、业务资料应当与基金代销的系统、业务资料有效分离。

第一百条商业银行应当确保托管基金资产与自营资产相分离，对不同基金独立设账，分户管理，独立核算，确保不同基金资产的相互独立。

第一百零一条商业银行应当严格按照会计制度办理基金账务核算，正确反映资金往来活动，并与基金管理人等有关当事人就基金投资证券的种类、数量等定期进行核对。

第一百零二条商业银行开展咨询顾问业务，应当坚持诚实信用原则，确保客户对象、业务内容的合法性和合规性，对提供给客户的信息的真实性、准确性负责，并承担为客户保密的责任。

第一百零三条商业银行开办保管箱业务，应当在场地、设备和处理软件等方面符合国家安全标准，对用户身份进行核验确认。

对进入保管场地和开启保管箱，应当制定相应的操作规范，明确要求租用人不得在保管箱内存放违禁或危险物品，防止利用商业银行场地保管非法物品。

第七章会计的内部控制

第一百零四条商业银行会计内部控制的重点是：实行会计工作的统一管理，严格执行会计制度和会计操作规程，运用计算机技术实施会计内部控制，确保会计信息的真实、完整和合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。

第一百零五条商业银行应当依据企业会计准则和国家统一的会计制度，制订并实施本行的会计规范和管理制度。

下级机构应当严格执行上级机构制定的会计规范和管理制度，确保统一的会计规范和管理制度在本行得到实施。

第一百零六条商业银行应当确保会计工作的独立性，确保会计部门、会计人员能够依据国家统一的会计制度和本行的会计规范独立地办理会计业务，任何人不得授意、暗示、指示、强令会计部门、会计人员违法或违规办理会计业务。

对违法或违规的会计业务，会计部门、会计人员有权拒绝办理，并向上级机构报告，或者按照职权予以纠正。

第一百零七条商业银行会计岗位设置应当实行责任分离、相互制约的原则，严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作。

第一百零八条商业银行应当明确会计部门、会计人员的权限，各级会计部门、会计人员应当在各自的权限内行事，凡超越权限的，须经授权后，方可办理。

第一百零九条商业银行应当对会计账务处理的全过程实行监督，会计账务应当做到账账、账据、账款、账实、账表和内外账的六相符。

凡账务核对不一致的，应当按照权限进行纠正或报上级机构处理。第一百一十条商业银行应当对会计主管、会计负责人实行从业资格管理，建立会计人员档案。

会计主管、会计负责人和会计人员应当具有与其岗位、职位相适应的专业资格或技能。

第一百一十一条商业银行下级机构会计主管的变动应当经上级机构会计部门同意。

会计人员调动工作或离职，应当与接管人员办清交接手续，严格执行交接程序。

第一百一十二条商业银行应当对会计人员实行强制休假制度，联行、同城票据交换、出纳等重要会计岗位人员和会计主管还应当定期轮换，逐步推行离岗（任）审计制度。

第一百一十三条商业银行应当实行会计差错责任人追究制度，发生重大会计差错、舞弊或案件，除对直接责任人员追究责任外，机构负责人和分管会计的负责人也应当承担相应的责任。

第一百一十四条商业银行应当做到会计记录、账务处理的合法、真实、完整和准确，严禁伪造、变造会计凭证、会计账簿和其他会计资料，严禁提供虚假财务会计报告。

第一百一十五条商业银行应当建立规范的信息披露制度，按照规定及时、真实、完整地披露会计、财务信息，满足股东、监管当局和社会公众对其信息的需求。

第一百一十六条商业银行应当完善会计档案管理，严格执行会计档案查阅手续，防止会计档案被替换、更改、毁损、散失和泄密。

第八章计算机信息系统的内部控制

第一百一十七条商业银行计算机信息系统内部控制的重点是：严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

第一百一十八条商业银行应当明确计算机信息系统开发人员、管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任。

各级机构应当配备计算机安全管理人员，明确计算机安全管理人员的职责。

第一百一十九条商业银行应当对计算机信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理，开发环境应当与生产环境严格分离。

技术部门与业务部门之间应当进行沟通协调，确保系统的整体安全。

第一百二十条商业银行购买计算机软、硬件设备，应当对供应商的资格条件进行严格审查，在使用前进行试用性安全测试，明确产品供应商对产品在使用期间应当承担的责任，确保产品的正常使用和有效维护。

第一百二十一条商业银行计算机机房建设应当符合国家的有关标准，出入计算机机房应当有严格的审批程序和出入记录，确保计算机硬件、各种存储介质的物理安全。计算机机房和营业网点应当有完备的计算机监控系统，确保计算机终端的正常使用。

第一百二十二条商业银行应当建立和健全网络管理系统，有效地管理网络的安全、故障、性能、配置等，并对接入国际互联网实施有效的安全管理。

第一百二十三条商业银行应当对计算机信息系统实施有效的用户管理和密码（口令）管理，对用户的创建、变更、删除、用户口令的长度、时效等均应当有严格的控制。

员工之间严禁转让计算机信息系统的用户名或权限卡，员工离岗后应当及时更换密码和密码信息。

第一百二十四条商业银行应当对计算机信息系统的接入建立适当的授权程序，并对接入后的操作进行安全控制。

输入计算机信息系统的数据应当核对无误，数据的修改应当经过批准并建立日志。

第一百二十五条商业银行应当及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等，通过认证、加密、内容过滤、入侵监测等技术手段，不断完善安全控制措施，确保计算机信息系统的安全。

第一百二十六条商业银行的网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。

日志应当能够满足各类内部和外部审计的需要。

第一百二十七条商业银行应当严格管理各类数据信息，数据的操作、数据备份介质的存放、转移和销毁等均应当有严格的管理制度。第一百二十八条商业银行运用计算机处理业务，应当具有可复核性和可追溯性，并为有关的审计或检查留有接口。

第一百二十九条商业银行的电子银行服务应当具备客户身份识别、安全认证等功能，防止发生泄密事件，确保交易安全。

第一百三十条商业银行应当尽可能利用计算机信息系统的系统设定，防范各种操作风险和违法犯罪行为。

第一百三十一条商业银行应当建立计算机安全应急系统，制定详细的应急方案，并定期进行修订和演练。

数据备份应当做到异地存放，条件允许时，应当建立异地计算机灾难备份中心。

第九章内部控制的监督与纠正

第一百三十二条商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。

内部控制的建设、执行部门负责设计内部控制体系，组织、督促各业务部门、分支机构建立和健全内部控制。

内部控制的监督、评价部门负责组织检查、评价内部控制的健全性和有效性，督促管理层纠正内部控制存在的问题。

第一百三十三条商业银行应当建立内部控制的报告和信息反馈制度，业务部门、内部审计部门和其他控制人员发现内部控制的隐患和缺陷，应当及时向管理层或相关部门报告。

第一百三十四条商业银行内部控制的监督、评价部门应当对内部控制的制度建设和执行情况定期进行检查评价，提出改进建议，对违反规定的机构和人员提出处理意见。

第一百三十五条商业银行上级机构应当根据自身掌握的内部控制信息，对下级机构的内部控制状况定期作出评价，并将评价结果作为经营绩效考核的重要依据。

第一百三十六条商业银行应当建立内部控制问题和缺陷的处理纠正机制，管理层应当根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，并督促业务部门和分支机构落实。

第一百三十七条商业银行应当建立内部控制的风险责任制：

（一）董事会、高级管理层应当对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任；

（二）内部审计部门应当对检查发现问题隐瞒不报、上报虚假情况或检查监督不力，承担相应的责任；

（三）业务部门和分支机构应当及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任；

（四）高级管理层应当对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。

第十章附则

第一百三十八条本指引适用于在中华人民共和国境内依法设立的中资、外资商业银行。

政策性银行、金融资产管理公司、邮政储蓄机构、城乡信用社、信托投资公司、企业集团财务公司、金融租赁公司等其他金融机构参照执行。

第一百三十九条中国人民银行依据本指引对商业银行作出的内部控制评价结果是商业银行风险评估的重要内容，也是中国人民银行进行市场准入管理的重要依据。

第一百四十条本指引由中国人民银行负责解释。

第一百四十一条本指引自公布之日起施行。中国人民银行发布的《加强金融机构内部控制的指导原则》同时废止。

商业银行内部控制指引篇2

随着中国进入WTO承诺的兑现和全球经济一体化的必然要求, 2006年我国迎来银行业对外资的全面开放, 国内银行业已不再是独家经营的局面, 但与此同时我国银行业重大金融案件频发, 这充分表明商业银行业内部控制体制机制薄弱, 主要体现在没有形成系统化的内部控制制度, 内部控制措施随意化、风险识别和评估机制被动化, 监督检查表面化, 内部控制结果评价不统一, 内部控制持续改进动力缺乏, 风险管理系统未从根本上得到建立, 对此, 银监会经过长时间酝酿并在广泛征求各方面意见和借鉴国际先进做法的基础上, 于2007年7月出台了《商业银行内部控制指引》 (以下简称《指引》) 。我国商业银行内部控制相关研究起步较晚, 虽然银监会的《商业银行内部控制指引》出台五年多, 但对《指引》实施效果的研究甚少, 实证研究至今未有。《指引》的出台旨在促进银行、信用社等金融机构建立健全内部控制体系, 预防重大金融案件的发生, 为银行等机构经营目标的实现提供合理保证。但其政策效果未得到过实证方面的检验, 本文从内部控制对提高财务报告质量影响的角度, 在数据可获得性的基础上, 通过对商业银行财务报告质量的分析检验《指引》的实施效果, 以验证《指引》的有效性, 为未来内部控制制度政策的修正提供参考。

二、文献综述

(一) 国外文献

James Roth和Donald Espersen (2004) 根据实证研究提出了财务报告内部控制评价模型, 将内部控制的目的、财务报告及相关信息认定、内部控制的流程及内部控制五大要素之间关系进行了实证分析, 对美国上市公司进行萨班斯法案404条款的执行起到了引导作用。由于该模型的应用是针对上市公司设计的, 故对于会计事务所而言, 使用该模型仍存在不少困难。

(二) 国内文献

朱荣恩、应唯、袁敏 (2003) 在分析美国内部控制的发展历程和演进的基础上, 提出了其对我国公司内部控制评价模式和政策的学习和借鉴意义, 他们认为, 我国上市公司内部控制评价可以用法律来进行约束规定, 以增加上市公司内部控制的有效性, 采取强制性披露增加企业内部控制的透明度;并且建立一套科学的标准, 使内部控制评价的主体、内容和范围有法律依据;设计一套科学的行动指南, 明确内部控制评价的主体和空间时间的范围及注册会计师审核与管理层评价的一致性。陈汉文、徐臻真、吴益兵、李荣 (2005) 对美国公众公司监管委员会第2号审计准则、COSO委员会的《企业风险管理—整体框架》、美国证劵交易委员会的内部控制规则做了全面的对比分析, 希望能够从中梳理出为我国上市公司内部控制强制性披露规定和监管方面提供有益借鉴之处。国内外对内部控制的研究多集中在内部控制框架和内部控制制度的建构上, 对内部控制制度有效性的研究较少, 特别是没有从企业管理当局和监管当局两者均衡的角度来研究内部控制制度的实施效果, 对内部控制与财务报告之间关系的研究更是不足。黄寿昌和杨胜雄 (2006) 通过2006年至2008年沪市上市公司为样本, 研究了内部控制与财务报告质量之间的关系, 得出结论上市公司的内部控制报告更具有盈余信息, 并且进一步检验了降低信息不对称性的运行机制。因此, 本文希望通过借鉴前人的研究, 但同时更加具体到一个行业, 再采用衡量银行业特有的会计科目为变量来研究商业银行内部控制对财务报告质量的影响, 使研究更具行业特征和实践意义, 同时为为监管部门和银行业提供理论支撑和参考作用。

三、研究设计

(一) 研究假设

2007年7月3日, 银监会颁布《商业银行内部控制指引》, 旨在加强商业银行内部控制, 并于颁布之日开始实施。由于本文集中研究银行业这一单一行业, 减少了干扰因素, 以从银行业特有的会计科目的改变来分析会计报告质量的变化。GAO (1994) 的报告又指出有证据表明银行贷款损失拨备包含大量不存在损失风险分析的补充拨备, 使用这种不合理的补充拨备隐藏着贷款组合质量的关键变化, 同时降低了财务报告的可信度。王林 (2009) 根据经济周期性预估, 提出了与经济周期相匹配的计提贷款损失准备金制度的想法。由于滞后性的存在, 该想法考虑逆经济周期因素来计提拨备, 建立具有前瞻性的拨备制度。在此制度下, 经济繁荣期, 银行的每笔每期贷款都要考虑预测未来可能产生的不良贷款。完整地实施反周期的贷款损失准备计提制度也需要会计准则方面以及税法方面的相应调整。这种逆周期性的的贷款损失准备制度强调加强宏观系统性风险管理的重要创新, 将能够有效地提升商业银行系统风险的管理能力, 并结合微观与宏观层面进一步地完善商业银行风险管理体系。综上分析, 《指引》从资产质量的预警机制、不良贷款和贷款质量的真实性和前瞻性来确定贷款损失准备, 结合理论分析部分的内部控制与贷款损失的有效性分析, 本文认为《指引》出台后, 提升了受监管银行的内部控制有效性, 然后作用于财务报告质量, 在此可以通过信号机制作用, 将贷款损失准备的有效性替代财务报告质量。因此, 贷款损失准备有效性提升可以定义为贷款损失准备与下一期贷款损失核销的相关度提高。因此, 本文提出假设:

假设1:《指引》实施后, 贷款损失准备率与贷款损失核销率的正相关程度更高, 即《指引》的颁布有助于提升贷款损失准备的有效性

Ashbaugh (2008) 研究了内部控制的缺陷及改善对会计信息质量影响, 该研究基于两个假设进行检验:内部控制存在缺陷或薄弱环节的公司的会计信息质量是否存在较低的情况;内部控制得到有效改善的公司是否比内部控制未进行改善的公司, 具有相对更高的会计信息质量。实证结果表明, 内部控制有效提高的公司会带来更高的会计信息质量, 在内部控制缺陷不存在时财务报告可靠性得到保证。《指引》的要求作为监管部门对银行内部控制评价的结果和市场准入的重要依据, 根据理论分析部分, 监督是财务报告质量的重要保证因素, 并且前面文献已经证明了内部控制有助于盈余质量的提高。盈余质量的一个重要衡量标准是盈余持续性, 并且根据财务报告质量评价的用户需求观, 高质量的财务报告会起到预测价值, 而预测价值的一个重要体现就在于盈余持续性。盈余持续性是当期盈余和未来盈余的关系。因此, 本文提出假设:

假设2:《指引》实施后, 资产收益率与下一期资产收益率的正相关关系得到加强, 即《指引》的颁布有助于提升盈余持续性。

Ball和Shivakumar (2005) 认为, 亏损或者盈利下降在发生时, 可能会以更及时的方式确认, 而好的盈利信息则更可能会以递延的方式进行确认。Basu (1997) 将会计稳健性定义为财务报告对“坏消息”的确认比“好消息”的确认更加及时。而《指引》作为监管当局对商业银行内部控制监管的重要制度, 规定内部控制在商业银行日常经营管理, 尤其对开办分支机构或新业务, 要充分体现“内控优先”的原则。这些审慎性和“内控优先”的规定势必造成银行业的盈利亏损或者盈利下降比盈利提升以更加及时的方式确认, 从而致使受监管银行的会计稳健性提升, 同时结合理论分析部分的内部控制与会计稳健性的关系, 因此, 本文提出假设:

假设3:《指引》实施后, 资产收益变化率与下一期负向资产收益变化率呈负相关关系, 即《指引》的颁布有助于提高受监管银行的会计稳健性

(二) 模型与变量

GAO (美国审计总署) (1991) 的报告研究指出内部控制法规能够提升财报可靠性, 通过检查失败银行的问题发现外部报告信息失真集中于内部控制问题引起的。GAO (1994) 的报告又指出有证据表明银行贷款损失拨备包含大量不存在损失风险分析的补充拨备, 使用这种不合理的补充拨备隐藏着贷款组合质量的关键变化, 同时降低了财务报告的可信度。因此, 为检验假设1, 《指引》的颁布有助于提升贷款损失准备的有效性, 在Altamuro.J和Beatty.A (2010) 研究基础上, 通过建立t期贷款损失准备和t+1期贷款损失冲销之间的关系, 采用以下模型1:CHGOFFt+1=α+β1Post+β2LLPt+β3Post*LLPt+β4Nonacct+β5Size

Wysocki (2005) 提出的衡量盈余质量的方法, 一个重要度量是盈余持续性。同时, Wahlen (1994) 、Kanagaretnam (2004) 研究表明, 银行的现金流量可以通过贷款损失准备和税前利润来测量。盈余持续性定义为ROAt+1在ROAt基础上的回归系数。本文在Altamuro.J和Beatty, A (2010) 研究基础上, 通过ROAt+1对提取贷款损失准备之前的ROAt进行回归, 通过前后期的盈余对比来反应盈余持续性。因此, 为了检验假设2, 建立以下模型2:ROAt+1=α+β1Post+β2ROAt+β3Post*ROAt+β4Size+ε

Ball和Shivakumar (2005) 认为, 亏损或者盈利下降在发生时, 可能会以更及时的方式确认, 而好的盈利信息则更可能会以递延的方式进行确认。Basu (1997) 将会计稳健性定义为会计报告对“坏消息”的确认比“好消息”更及时。基于以上文献, 检验盈利的变化和盈利滞后变化的关系, 来说明对正向的盈利变化和负向的盈利变化的不同, 以此来验证会计稳健性。因此, 为了检验假设3, 建立以下模型3:△ROAt+1=α+β1Post+β2ND+β3△ROAt+β4ROAt*Post+β5ND*ROAt+β6Post*ND*△ROAt+β7Size+ε

模型中相关变量定义见表 (1) 。

(三) 样本选择和数据来源

根据本文的研究需要, 为了确保数据的充分性, 从2010年的上市及公开披露经审计的银行年报倒推至2003年的年报, 最终确定16家银行, 之所以, 选取《指引》颁布 (2007年) 前后各四年的数据来进行对比研究, 是因为考虑到政策的滞后效应和数据的可获取性, 总共得到2003年至2010年的样本量总数为128个。本文选用的所有样本数据均来自中国金融年鉴、中国统计年鉴、报刊、上海证券交易所网站、深圳证劵交易所网站等公开披露的商业银行年度报告。使用统计软件stata11.0和Excel2007软件来处理相关数据并进行相关的计量分析。

四、实证检验分析

(一) 描述性统计

表 (2) 为描述性统计结果, 以上变量均为原始数据, 未进行剔除资产规模因素的处理, 便于更好地进行数据趋势分析, 如GHGOFF在描述性统计中为贷款损失核销, 而非贷款损失核销率。由表 (2) 可见:贷款损失准备及贷款损失核销、公司规模的标准差较大, 为415.84、1778.62和27758.72;本文认为, 造成这一现象的因素一是我国商业银行的资产规模差异较大, 对国有独资银行政策倾斜较重;二是我国贷款损失核销, 需银监会批准, 属于政策性核销, 因此出现上述现象符合目前我国银行业的情况, 为了剔除资产规模带来的影响, 故在模型中选择公司资产规模的自然对数作为控制变量。贷款损失准备和贷款损失核销的均值分别为290.76和66.41, 属于正常范围, 不良贷款准备可以满足不良贷款的核销, 而根据贷款五级分类制度是根据内在风险程度将商业贷款划分为正常、关注、次级、可疑、损失五类。不良贷款包括次级、可疑、损失, 因此不良贷款均值大于贷款损失准备属于合理范围。

注:表为Pearson相关系数;***表示在1%水平上显著, **表示在5%水平上显著, *表示在10%水平上显著

注:模型1被解释变量为贷款损失核销 (GHGOFF) ;模型2被解释变量为次年度的资产收益率 (ROA) ;模型3被解释变量次年度的资产收益率之差 (△ROA) , ***表示在1%水平上显著, **表示在5%水平上显著, *表示在10%水平上显著

(二) 相关性分析

为了更好地解释各个变量之间的关系, 本文采用了pearson相关系数检验分析方法对各个变量作回归分析, 得到结果如表 (3) 所示。可以看出, 变量之间的相关系数均不大, 所以不会出现严重的多重共线性问题。贷款损失核销率GHGOFF与贷款损失准备率LLP在1%水平显著正相关, 说明贷款损失准备越大, 可提供的贷款损失核销就越大;贷款损失核销率GHGOFF与不良贷款率Nonacc在1%水平显著正相关, 说明不良贷款越大, 贷款损失核销越大, 这与假设1是一致的。其他变量在各自模型中并不存在显著相关关系。

(三) 回归分析

本文回归结果见表 (4) 。结果表明: (1) 贷款损失核销率 (GHGOFF) 与贷款损失准备率 (LLP) 在1%水平上呈显著正相关, 说明贷款损失准备率越高, 则贷款损失核销率也越高;GHGOFF与POST*LLP在1%水平上呈显著正相关, 即《指引》实施后贷款损失准备率与贷款损失核销率的关系加强了, 其系数提高为0.819 (0.462+0.357=0.819) , 说明《指引》实施后贷款损失准备的有效性提高了, 从而增强了财务报告质量。 (2) ROAt+1与ROAt在1%水平上呈显著正相关, t年的盈余与t+1年的盈余呈正相关, 即t年的盈余持续性与t+1年的盈余持续性呈正相关;ROAt+1与POST*ROAt在5%的水平上显著正相关, 说明《指引》实施后, t年的资产收益率与t+1年的资产收益率关系加强, 其系数为1.158 (0.871+0.287-1.158) , 即银行业的盈余持续性有所增强。 (3) △ROAt+1与ND*△ROAt在5%水平上显著负相关, 说明负的资产收益率的变化比正的资产收益率的变化更能及时反映, 会计稳健性较高;而△ROAt+1与Post*ND*△ROAt在5%水平上显著负相关, 其系数为-0.558 (-1.841+1.283=-0.558) , 说明《指引》实施后会计稳健性降低。

五、结论与建议

(一) 研究结论

本文研究得出以下结论: (1) 随着我国商业银行改革的逐步深化, 相关的内控制度加快建设, 内部控制制度正在向财务报告和企业价值为目标进行相向转化, 趋于更加合理。模型1的相关性分析表明《商业银行内部控制指引》2007年实施后, 2007年、2008年、2009年、2010年贷款损失准备组合中不合理的贷款损失准备部分降低了, 有效提高财务报告质量。说明我国银行业的内部控制制度建设不仅仅满足于合规上, 制度建设更加趋向于成本和收益的平衡。从财务报告质量的角度, 印证了这一制度的有效性。 (2) 在《指引》实施后, ROAt+1与ROAt在1%水平上显著正相关, 并且较制度实施前相关度进一步提高, 即t年盈余与t+1年盈余的相关性提高, 假设2成立。通过模型2的相关性分析, 表明《指引》有利于提升管理层对会计信息优劣的判断, 并且提升了银行业抵御风险的能力, 并且反映在财务报告质量提升上, 较模型1进一步印证了制度的有效性。 (3) △ROAt+1与Post*ND*△ROAt相关性降低, 其系数为-0.558, 从而一定程度上降低了财务报告质量, 假设3不成立, 会计稳健性较实施前反而降低了, 这一分析表明《指引》的在制度建设和完善上存在不足, 究其原因可能是由于我国部门之间的制度存在互相冲突和矛盾之处, 对银行业的会计稳健性构成了不利因素, 同时这一制度的强制性也致使银行管理层为了满足制度要求, 对财务报告信息进行了选择, 同时增加管理层的私人信息进入。

(二) 政策建议

本文提出如下建议: (1) 完善有内部控制关法律规范。由于我国关于内部控制的法规, 大都是方向性和指导性的, 操作性不强。今后需要注重操作性方面的考量。 (2) 进一步明确评价主体, 建立问责制。由于监事会在我国的作用不显著, 在规定内部控制主体方面应该更加考虑委托代理的制约作用, 从实际出发, 更多的将内部控制主体落实在董事会和经管层上面, 在执行过程中更加细分和明确两者之间的责任。 (3) 强制性披露和自愿性披露内部控制信息相结合。我国对上市公司的内部控制信息披露实行的强制性要求。这种强制性的信息披露对投资者了解上市公司的信息存在一定的必要性, 然而强制性信息披露制度存在的天然缺陷, 上市公司在进行内部控制信息披露决策时考虑披露的成本和效益进行选择性的披露, 作用被大大弱化。在对内部控制信息披露的研究上需统筹考虑强制性和自愿性披露, 应该深入考虑用户信息需求, 提高信息披露的价值性;加强对自愿内部控制信息披露的引导, 并给出相应的指南, 促进自愿性内部控制信息披露的积极性, 并对高质量内部控制信息披露给予声誉激励和奖励。

摘要：本文以中国银监会2007年颁布的《商业银行内部控制指引》为背景, 分析其对银行业内部控制有效性的效果。结果表明:《商业银行内部控制指引》2007年实施后, 2007年至2010年贷款损失准备组合中不合理的贷款损失准备部分降低了, 有效提高财务报告质量。说明我国银行业的内部控制制度建设不仅仅满足于合规上, 制度建设更加趋向于成本和收益的平衡, 从财务报告质量的角度, 印证了这一制度的有效性。

布局思维指引商业浪潮篇3

在“全民创业”的浪潮袭来的时候，人人都热血沸腾，似乎只要着手开创，下一个被新闻报导的“暴富神话”缔造者就是自己。白手起家谈何容易。如何创业？如何避免失败取得成功？众说纷纭。

创业者成功的原因是什么？有人可能会归结为战略选择的成功。但是，我们看到的很多是“无心插柳柳成荫”的创业故事。

美国著名创业学学者——弗吉尼亚大学达顿商学院教授萨拉斯 · 萨拉斯瓦西做的研究，很好地证明了战略对于创业的成功来说，至少在一开始并不一定是最重要的因素。从这个最基础的研究，发展出了Effectuation这种新兴的创业理论。沿着这种新兴创业理论，结合社会网络分析，我想换个角度谈谈创业，我把这种角度叫做“布局”思维。

自我定位的“布局”

“布局”一词原本是围棋术语，是指在一盘棋的开局阶段，双方安排棋子到特定的位置抢占空地，为了实现自己一方的胜利，而打好基础的行动。之所以把它运用到创业中，是因为仔细分析起来，创业者与棋手有诸多相似之处。

在开始的阶段，一切都等于零，只能依靠有限的棋子（资源）以及自己的大脑，这就是起手势，占金角银边。开局之后，不论是棋盘还是现实商场都是风云莫测，必须打起精神。一方面，要巩固维持既有的成果，这就是做活;另一方面，要根据形势变化进行竞争，捕捉机会来获得优势，这一阶段才进入缠斗。

运用Effectuation的创业理论来看，创业者不需要预先设定目标，再采取具体战略行动。而是基于已有的资源条件，选择合适的实现方式，以最现实的方式抓住最容易得到的机会，让事业一步步壮大起来。在这样的模式中，以下三个条件是给定的：第一，创业者自身具备的独特能力;第二，创业者已经掌握的经验、知识和技能;第三，创业者本人的社会关系网络。创业者在这样的既有条件下，需要迅速判断能做什么，再通过人际关系网络逐步拓展事业。

在创业中，动作慢虽然稳妥，可以避免风险，但却容易错失机会。面对动态的市场，传统战略理论的缺点在于缺少灵活性。Effectuation理论很好地指出了创业者基于自身条件的开创过程，更加贴合于创业实践。实际上，在许多创业中，都没有在一开始就预设战略或者进行完整的规划。

以腾讯帝国为例，马化腾创业之初只是看到了即时通信的便利性，于是立即抓住这个机会，将OICQ挂到网上供下载，很快积累了大量的注册用户。当时的腾讯根本没有战略一说，也没有任何商业模式和盈利模式。尽管它已经积累了巨大的用户群，但当时包括马化腾本人在内，没有人意识到其中的巨大价值。甚至在2000年网络市场的泡沫到来时，马化腾还想将腾讯以100万元的价格出让。

再比如，著名的珠宝公司潮宏基，其创业初期不过只是经营小家电业务的小企业。由于创始人发现珠宝首饰市场存在的巨大商机，转而开始做黄金代理生意，从而一步步拓展资源，抓住机遇，发展为国内首饰领先企业。

许多企业帝国的缔造，都走的是抓住现有机遇、利用现有资源、最终实现壮大的路子。其中的艰辛虽难以一一道出，但开创初期都是运用了基于自身现有条件展开的“布局”思维。

以下棋为例，围棋高手尚未开局之时，已有千百张棋谱成竹在胸，一旦开局，高手落子看似随意应景，实则有心布局，漫不经心间占据了许多关键位置，不知不觉中渐成燎原之势。Effectuation思维要求适应瞬息万变的情势，同时由于未来的不可预期，又不需要设定具体明确的战略目标。

“布局”更要求在开局时胸中有全局，虽无目标，但有方向。两者的区别可以拿航海做比喻，这就像两艘向前方行驶的航船，虽然都不知道接下来到哪儿，但一艘船方向明确，另一艘船则沿岸摸索。其结果可能大相庭径，前者可能是哥伦布发现了新大陆，后者只能是郑和在亚欧大陆沿线往返。

运用“布局”思维，让创业者明白如何在社会网络中获取创业路径。在关系主义导向的中国，创业者如何对社会网络结构的变化进行适应，或许更具有指导意义。

“布局”思维融入社会网络

“布局”思维，就是一种处理机会的发现和关系网络共建共生这种局面的思路。换句话说，是创业者在各种环境因素高度不确定、信息也高度不完整，似乎隐隐浮现机会但却不能描摹出具体轮廓的状况下，整体性地对社会网络状况、既有资源和个人能力进行规划。同时根据反馈，动态调整行动，达到让企业在高速变化的外在环境中适应、成长的一种行为的逻辑。

近些年来，“社会网络分析”（Social Network Analysis）被越来越多地运用到了经济社会学中，它是用微观的视角研究社会关系中的结构网络关系，认为个人行为与社会结构相互影响。这种方法能够从微观的社会人际关系角度来进行经济学分析，能让人从社会学的视角来梳理复杂的经济现象。

社会网络分析学派的理论，首先认为人们可以在社会网络结构中获益。其理论根源来源于美国芝加哥大学商学院社会与战略学教授罗纳德·博特提出的“结构洞理论”。所谓“结构洞”，是指在社会关系网络中，个体与个体之间有的存在直接联系，但有的则没有直接联系。这种阻隔，看起来好像是网络结构中出现了一个一个的孔洞。

由于能够将没有直接联系的两群人联系起来的第三者，拥有着信息优势和控制优势。所以在社会网络中，创业者的关键，就是要发现“结构洞”阻隔的相互需求，同时努力成为两者之间的桥梁。

从这个角度看，很多创业者在某种意义上来说就是机会的发现者。通过发现“结构洞”、抢占“结构洞”，获得在社会网络中有利的位置，成为拥有阻隔的两者之间互通有无的关键点，并最终成为控制者甚至垄断者。正如棋手要发现棋局中的一些关键点，然后迅速抢占，并有效控制。

nlc202309041930

社会网的理论让人们更加重视机会的意义，但是机会的发现与获得不是一次性的，而是持续动态的。就像围棋棋局当中，就算抢占了某个关键点，并不意味着这个点能够一直被你占据，也不意味着这个点一直是关键。社会网络结构也会不断发生变化或者重构，如何适应这样复杂的环境变化，更需要灵活运用“布局”思维。

创业者必须学会在社会网络不断变化的过程中捕捉机会、抢抓机会。为此，创业者要不断地构筑新关系，同时要统筹好不同关系的亲疏远近，甚至切断某些关系。就像围棋中，有些关键位置需要棋手不惜用大量的棋子去抢占，有些位置又不得不放弃。

驶向创业新大陆

当马云、马化腾、俞敏洪等当年的创业先锋已经成为业界领军人物时，新的创业热情在80后中被点燃。

有一个数据显示，现在大学生创业的失败率是95%。也许并不准确，但是用“一将功成万骨枯”来形容创业成功率之低，恐怕并不为过。在创业浪潮中，失败各有其失败的原因，但成功总还是有规律可循的。运用“布局”思维，在创业之初厘清思绪，准确地分析自己的基本条件，灵活地在关系网络中发现机会、利用机会，同时创建新的机会，一步步地让关系网络和机会沿着同一个方向共建共生。

在关系网络和机会的衍生与转化中，关键是在于“疏网”和“密网”的转化与建立。所谓“疏网”，就是著名的社会学家马克·格兰诺维特教授提出的人际关系“弱连带理论”（Strength of Weak Tie Thoery），也就是说，并不深厚的人际关系（弱连带）反而可以有着更强有力的信息传播能力，从而更有利于发现机会。“密网”则是指另一位社会学大家科尔曼提出的人际关系封闭网络理论（Network Closure Theory）。在一个密网中，才存在有紧密关系以及强大的信任，因此也易于在需要时有力地调动其中的资源。

简而言之，“弱连带”和“疏网”带来机会与信息，“强连带”和“密网”带来动员能力和对机会的控制力。拥有“布局”思维，要求创业者一方面能够利用手中现有的资源和条件着手干事业;另一方面能够在瞬息万变的情势中，拓展网络关系，发展资源，并抓住机会。

总的来说，“布局”视角的提出，既是在应对当下不断变化的现实，又是在掌握长远、宏观方向。布局是一个过程，是一种在变化中创造关系、适应关系的行为逻辑，它所解决的是创业者如何适应一个不确定的复杂环境。布局的视角要求创业者关注关系网络，并织就一个包含大量机会信息的相关人脉圈;要求创业者随着时间和机会的变化，调整“疏网”、“密网”;要求创业者打破现有的格局，克服僵化，寻求更多的突破。这一思维和视角能够让众多的创业者在创业浪潮中找到机遇，最终到达“新大陆”。

[编辑周慧陶]

E-mail：zht@chinacbr.com

商业银行内部控制指引篇4

近日，银监会有关负责人就《商业银行内部控制指引》（以下简称《指引》）的修订出台回答了记者提问。

1.《指引》修订的背景是什么？

答：《指引》出台实施十余年来（2002年印发，2007年修订），对促进商业银行规范内部管理、完善内部控制发挥了积极作用。但随着商业银行业务发展和其他监管法规制度的出台，原《指引》部分规定和要求已难以适应银行业改革发展与监管工作实际，有必要进行调整完善。

一是部分条款在银行业务发展后难以执行。如原《指引》规定商业银行应当对大额存单签发、大额存款支取实行分级授权和双签制度，而目前在银行业务中，对于大额存款的存取已基本嵌入系统进行控制。

二是部分条款与新的监管要求不一致。如原《指引》规定的呆账责任认定和追究制度与《金融企业呆账核销管理办法》（2013年修订版）内容不一致。

三是部分内部控制要求与银行经营现状不匹配。近年来，我国商业银行的组织结构和业务经营复杂程度发生了较大变化，面临的风险日益多元化，内部控制重要性也日益突出，需要修订《指引》更好地引领商业银行完善内部控制体系建设。

本着与时俱进、不断提高监管有效性的原则，银监会在充分征求商业银行及社会各界意见的基础上，完成了《指引》的修订工作。

2.修订后《指引》的主要结构和内容是什么？答：修订后的《指引》分为七个章节，共五十一条。第一章总则。明确了内部控制的定义、目标和原则，强调内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制。

第二章内部控制职责。规范了内部控制的治理和组织架构，明确了董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门等各主体关于内部控制的职责分工。

第三章内部控制措施。从制度、流程、系统、职责、岗位、授权等多维度提出控制要求，也涵盖了强制休假、员工行为排查等常用的重要控制手段。

第四章内部控制保障。旨在督促商业银行构建包括信息管理、人员管理、考评管理和内控文化等在内的有效内部控制保障体系，其中也着重强调了与商业银行经营密切相关的业务连续性管理等。

第五章内部控制评价。明确了内控评价的工作要求，包括评价组织和实施、范围和频率、评价结果的运用等。

第六章内部控制监督。规定了内部监督责任、外部监管措施及处罚规定。

第七章附则。明确了指引解释权、实施时间。3.《指引》修订增加的主要内容包括哪些方面？答：《指引》主要修订增加了两个方面内容：

一是内部控制评价。修订后的《指引》补充完善了内控评价的工作要求。要求商业银行建立内部控制评价制度，明确内部控制评价的实施主体、频率、内容、程序、方法和标准，强化内部控制评价结果运用，推动内控评价工作制度化、规范化，以利于促进商业银行不断改进其内控设计与运行。

二是监管约束。修订后的《指引》增加了有关违反规定的处罚措施。要求银监会及其派出机构对内部控制存在缺陷的商业银行，责成其限期整改，对逾期未整改的商业银行，根据有关规定采取监管处罚措施。

4.《指引》不涉及具体业务的原因是什么？

答：原《指引》对银行的一些业务或环节做了详细的操作性规定，修订后《指引》只对商业银行风险管理、信息系统控制、岗位设置、会计核算、员工管理、新机构设立和业务创新等提出原则性要求，没有针对具体业务的章节和条款。主要考虑是：

一是从我国银行业务实践看，近年来，我国银行提供的金融产品和服务不断丰富，涉及金融市场、财富管理、投资银行、电子银行等多个条线，《指引》无法覆盖所有业务，若从具体业务角度进行规范难以跟上业务的发展变化。

二是从我国银行监管制度体系看，自2002年原《指引》发布以来，银监会已对授信、资金业务、理财业务、银行卡业务、信息科技等商业银行各主要业务条线制定了一系列监管指引或办法，《指引》再行规定容易引起重复。

三是从立法导向看，商业银行作为市场经营的主体，承担着防范风险的首要责任，有效的内部控制是开展经营的前提，控制过程应体现商业银行的自发性和主动性，内部控制的监管文件更应体现导向性、原则性要求。

银监会修订发布《商业银行内部控制指引》

为进一步推进商业银行规范内部管理、完善内部控制，银监会深入总结近年来商业银行内部控制发展实践经验，并充分征求商业银行及社会各界意见建议，在此基础上对《商业银行内部控制指引》（以下简称《指引》）进行了修订完善，于近日发布。

修订后的《指引》分为七章，五十一条，主要从以下四个方面引导商业银行强化内控管理：

——内控评价方面，细化要求持续改进。《指引》补充完善了内控评价的工作要求，要求商业银行建立内部控制评价制度，明确内部控制评价的实施主体、频率、内容、程序、方法和标准，强化内部控制评价结果运用，推动内控评价工作制度化、规范化，以利于促进商业银行不断改进其内控设计与运行。

——内控监督方面，建立健全长效机制。《指引》单设章节，从内、外部两方面提出内控监督的相关要求。商业银行应构建覆盖各级机构、各个产品、各个业务流程的监督检查体系，银监会及其派出机构通过非现场监管和现场检查等方式实施对商业银行内部控制的持续监管，强调发挥内外部监督合力。

——监管约束方面，加大违规处罚力度。《指引》增加了有关违反规定的处罚措施。银监会及其派出机构对内部控制存在缺陷的商业银行，责成其限期整改，对逾期未整改的商业银行，根据有关规定采取监管处罚措施。

——监管引领方面，充分体现原则导向。《指引》对商业银行风险管理、信息系统控制、岗位设置、会计核算、员工管理、新机构设立和业务创新等提出了提出内部控制的原则性要求，没有针对具体业务的章节和条款。

商业银行声誉风险管理指引篇5

第一条为引导商业银行有效管理声誉风险，完善全面风险管理体系，维护市场信心和金融稳定，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条本指引所称声誉风险是指由商业银行经营、管理及其他行为或外部事件导致利益相关方对商业银行负面评价的风险。声誉事件是指引发商业银行声誉风险的相关行为或事件。重大声誉事件是指造成银行业重大损失、市场大幅波动、引发系统性风险或影响社会经济秩序稳定的声誉事件。

第三条商业银行应将声誉风险管理纳入公司治理及全面风险管理体系，建立和制定声誉风险管理机制、办法、相关制度和要求，主动、有效地防范声誉风险和应对声誉事件，最大程度地减少对社会公众造成的损失和负面影响。

第四条商业银行董事会应制定与本行战略目标一致且适用于全行的声誉风险管理政策，建立全行声誉风险管理体系，监控全行声誉风险管理的总体状况和有效性，承担声誉风险管理的最终责任。其主要职责包括：

（一）审批及检查高级管理层有关声誉风险管理的职责、权限和报告路径，确保其采取必要措施，持续、有效监测、控制和报告声誉风险，及时应对声誉事件。

（二）授权专门部门或团队负责全行声誉风险管理,配备与本行业务性质、规模和复杂程度相适应的声誉风险管理资源。

（三）明确本行各部门在声誉风险管理中的职责，确保其执行声誉风险管理制度和措施。

（四）确保本行制定相应培训计划，使全行员工接受相关领域知识培训，知悉声誉风险管理的重要性，主动维护银行的良好声誉。

（五）培育全行声誉风险管理文化，树立员工声誉风险意识。

第五条商业银行应建立和制定适用于全行的声誉风险管理机制、办法、相关制度和要求，其内容至少包括：

（一）声誉风险排查，定期分析声誉风险和声誉事件的发生因素和传导途径。

（二）声誉事件分类分级管理，明确管理权限、职责和报告路径。

（三）声誉事件应急处置，对可能发生的各类声誉事件进行情景分析，制定预案，开展演练。

（四）投诉处理监督评估,从维护客户关系、履行告知义务、解决客户问题、确保客户合法权益、提升客户满意度等方面实施监督和评估。

（五）信息发布和新闻工作归口管理，及时准确地向公众发布信息，主动接受舆论监督，为正常的新闻采访活动提供便利和必要保障。

（六）舆情信息研判，实时关注舆情信息，及时澄清虚假信息或不完整信息。

（七）声誉风险管理内部培训和奖惩。

（八）声誉风险信息管理，记录、存储与声誉风险管理相关的数据和信息。

（九）声誉风险管理后评价，对声誉事件应对措施的有效性及时进行评估。第六条商业银行应积极稳妥应对声誉事件，其中，对重大声誉事件，相关处置措施至少应包括：

（一）在重大声誉事件或可能引发重大声誉事件的行为和事件发生后，及时启动应急预案，拟定应对措施。

（二）指定高级管理人员，建立专门团队，明确处置权限和职责。

（三）按照适时适度、公开透明、有序开放、有效管理的原则对外发布相关信息。

（四）实时关注分析舆情，动态调整应对方案。

（五）重大声誉事件发生后12小时内向银监会或其派出机构报告有关情况。

（六）及时向其他相关部门报告。

（七）及时向银监会或其派出机构递交处置及评估报告。

第七条银行业协会应通过行业自律、维权、协调及宣传等方式维护银行业的良好声誉，指导银行业开展声誉风险管理。

第八条银监会及其派出机构确定相应职能部门或岗位，负责对商业银行声誉风险管理进行监测和评估。

第九条银监会及其派出机构将商业银行声誉风险监管纳入持续监管框架，对商业银行声誉风险管理的有效性进行监督检查，将商业银行声誉风险管理状况作为市场准入的考虑因素。

第十条银监会或其派出机构在监管中发现商业银行存在声誉风险问题，有权要求商业银行限期改正；逾期未改正的，或在重大声誉事件处置中存在严重过失的，银监会或其派出机构依法采取相应监管措施。

第十一条在中华人民共和国境内依法设立的中资商业银行、中外合资银行、外商独资银行适用本指引。政策性银行、金融资产管理公司、城市信用社、农村信用社、农村合作银行、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司、外资银行分行等其他银行业金融机构参照本指引执行。

商业银行操作风险管理指引概论篇6

银监发[2007]42号银监会

2007-5-14

第一章总则

第一条为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。

第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第四条中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。

第二章操作风险管理

第五条商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：

（一）董事会的监督控制；

（二）高级管理层的职责；

（三）适当的组织架构；

（四）操作风险管理政策、方法和程序；

（五）计提操作风险所需资本的规定。

第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。主要职责包括：

（一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；

（二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；

（三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；

（四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；

（五）确保本行操作风险管理体系接受内审部门的有效审查与监督；

（六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。

第七条商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括：

（一）在操作风险的日常管理方面，对董事会负最终责任；

（二）根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告；

（三）全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；

（四）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；

（五）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；

（六）及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。

第八条商业银行应指定部门专门负责全行操作风险管理体系的建立和实施。该部门与其他部门应保持独立，确保全行范围内操作风险管理的一致性和有效性。主要职责包括：

（一）拟定本行操作风险管理政策、程序和具体的操作规程，提交高级管理层和董事会审批；

（二）协助其他部门识别、评估、监测、控制及缓释操作风险；

（三）建立并组织实施操作风险识别、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；

（四）建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的操作风险管理；

（五）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平、履行操作风险管理的各项职责；

（六）定期检查并分析业务部门和其他部门操作风险的管理情况；

（七）定期向高级管理层提交操作风险报告；

（八）确保操作风险制度和措施得到遵守。

第九条商业银行相关部门对操作风险的管理情况负直接责任。主要职责包括：

（一）指定专人负责操作风险管理，其中包括遵守操作风险管理的政策、程序和具体的操作规程；

（二）根据本行统一的操作风险管理评估方法，识别、评估本部门的操作风险，并建立持续、有效的操作风险监测、控制/缓释及报告程序，并组织实施；

（三）在制定本部门业务流程和相关业务政策时，充分考虑操作风险管理和内部控制的要求，应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；

（四）监测关键风险指标，定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况，并及时通报重大操作风险事件。

第十条商业银行法律、合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。

第十一条商业银行的内审部门不直接负责或参与其他部门的操作风险管理，但应定期检查评估本行的操作风险管理体系运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。

鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价。

第十二条商业银行应当制定适用于全行的操作风险管理政策。操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特征相适应。主要内容包括：

（一）操作风险的定义；

（二）适当的操作风险管理组织架构、权限和责任；

（三）操作风险的识别、评估、监测和控制/缓释程序；

（四）操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求；

（五）应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的各项要求。

第十三条商业银行应当选择适当的方法对操作风险进行管理。

具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。

第十四条业务复杂及规模较大的商业银行，应采用更加先进的风险管理方法，如使用量化方法对各部门的操作风险进行评估，收集操作风险损失数据，并根据各业务线操作风险的特点有针对性地进行管理。

第十五条商业银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险，建立早期的操作风险预警机制，以便及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。

第十六条重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。

第十七条商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：

（一）部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在的利益冲突；

（二）密切监测遵守指定风险限额或权限的情况；

（三）对接触和使用银行资产的记录进行安全监控；

（四）员工具有与其从事业务相适应的业务能力并接受相关培训；

（五）识别与合理预期收益不符及存在隐患的业务或产品；

（六）定期对交易和账户进行复核和对账；

（七）主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度；

（八）重要岗位或敏感环节员工八小时内外行为规范；

（九）建立基层员工署名揭发违法违规问题的激励和保护制度；

（十）查案、破案与处分适时、到位的双重考核制度；

（十一）案件查处和相应的信息披露制度；

（十二）对基层操作风险管控奖惩兼顾的激励约束机制。

第十八条为有效地识别、评估、监测、控制和报告操作风险，商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息，支持操作风险和控制措施的自我评估，监测关键风险指标，并可提供操作风险报告的有关内容。

第十九条商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并应当定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。

第二十条商业银行应当制定与外包业务有关的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。

第二十一条商业银行可购买保险以及与第三方签订合同，并将其作为缓释操作风险的一种方法，但不应因此忽视控制措施的重要作用。

购买保险等方式缓释操作风险的商业银行，应当制定相关的书面政策和程序。

第二十二条商业银行应当按照银监会关于商业银行资本充足率管理的要求，为所承担的操作风险提取充足的资本。

第三章操作风险监管

第二十三条商业银行的操作风险管理政策和程序应报银监会备案。商业银行应按照规定向银监会或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的，还应提交外部审计报告。

第二十四条商业银行应及时向银监会或其派出机构报告下列重大操作风险事件：

（一）抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的案件；

（二）造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；

（三）盗窃、出卖、泄漏或丢失涉密资料，可能影响金融稳定，造成经济秩序混乱的事件；

（四）高管人员严重违规；

（五）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；

（六）其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件；

（七）银监会规定其他需要报告的重大事件。

第二十五条银监会对商业银行有关操作风险管理的政策、程序和做法进行定期的检查评估。主要内容包括：

（一）商业银行操作风险管理程序的有效性；

（二）商业银行监测和报告操作风险的方法，包括关键操作风险指标和操作风险损失数据；

（三）商业银行及时有效处理操作风险事件和薄弱环节的措施；

（四）商业银行操作风险管理程序中的内控、检查和内审程序；

（五）商业银行灾难恢复和业务连续方案的质量和全面性；

（六）计提的抵御操作风险所需资本的充足水平；

（七）操作风险管理的其他情况。

第二十六条对于银监会在监管中发现的有关操作风险管理的问题，商业银行应当在规定的时限内，提交整改方案并采取整改措施。

对于发生重大操作风险事件而未在规定时限内采取有效整改措施的商业银行，银监会将依法采取相关监管措施。

第四章附则

第二十七条政策性银行、金融资产管理公司、城市信用社、农村信用社、农村合作银行、信托投资公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构等其他银行业金融机构参照本指引执行。

第二十八条未设董事会的银行业金融机构，应当由其经营决策机构履行本指引规定的董事会的有关操作风险管理职责。

第二十九条在中华人民共和国境内设立的外国银行分行，应当遵循其总行制定的操作风险管理政策和程序，按照规定向银监会或其派出机构报告重大操作风险事件并接受银监会的监管；其总行未制定操作风险管理政策和程序的，按照本指引的有关要求执行。

第三十条本指引所涉及的有关名词见附录。

第三十一条本指引自发布之日起施行。

附录

《商业银行操作风险管理指引》有关名词的说明

一、操作风险事件

操作风险事件是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件，具体事件包括：内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息技术系统瘫痪，执行、交割和流程管理七种类型（进一步的信息可参阅《统一资本计量和资本标准的国际协议：修订框架》，即巴塞尔新资本协议的“附录7：损失事件分类详表”）。

二、自我风险评估、关键风险指标

商业银行用于识别、评估操作风险的常用工具。

（一）自我风险评估

自我风险评估是指商业银行识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。

（二）关键风险指标

关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施），具体指标例如：每亿元资产损失率、每万人案件发生率、百万元以上案件发生比率、超过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投诉次数、错误和遗漏的频率以及严重程度等。

三、法律风险

商业银行内部控制指引篇7

第一条为了促进企业合理采购, 满足生产经营需要, 规范采购行为, 防范采购风险, 根据有关法律法规和《企业内部控制基本规范》, 制定本指引。

第二条本指引所称采购, 是指购买物资 (或接受劳务) 及支付款项等相关活动。

第三条企业采购业务至少应当关注下列风险:

(一) 采购计划安排不合理, 市场变化趋势预测不准确, 造成库存短缺或积压, 可能导致企业生产停滞或资源浪费。

(二) 供应商选择不当, 采购方式不合理, 招投标或定价机制不科学, 授权审批不规范, 可能导致采购物资质次价高, 出现舞弊或遭受欺诈。

(三) 采购验收不规范, 付款审核不严, 可能导致采购物资、资金损失或信用受损。

第四条企业应当结合实际情况, 全面梳理采购业务流程, 完善采购业务相关管理制度, 统筹安排采购计划, 明确请购、审批、购买、验收、付款、采购后评估等环节的职责和审批权限, 按照规定的审批权限和程序办理采购业务, 建立价格监督机制定期检查和评价采购过程中的薄弱环节, 采取有效控制措施, 确保物资采购满足企业生产经营需要。

第二章购买

第五条企业的采购业务应当集中, 避免多头采购或分散采购, 以提高采购业务效率, 降低采购成本, 堵塞管理漏洞。企业应当对办理采购业务的人员定期进行岗位轮换。重要和技术性较强的采购业务, 应当组织相关专家进行论证, 实行集体决策和审批。

企业除小额零星物资或服务外, 不得安排同一机构办理采购业务全过程。

第六条企业应当建立采购申请制度, 依据购买物资或接受劳务的类型, 确定归口管理部门, 授予相应的请购权, 明确相关部门或人员的职责权限及相应的请购和审批程序。

企业可以根据实际需要设置专门的请购部门, 对需求部门提出的采购需求进行审核, 并进行归类汇总, 统筹安排企业的采购计划。

具有请购权的部门对于预算内采购项目, 应当严格按照预算执行进度办理请购手续, 并根据市场变化提出合理采购申请。对于超预算和预算外采购项目, 应先履行预算调整程序, 由具备相应审批权限的部门或人员审批后, 再行办理请购手续。

第七条企业应当建立科学的供应商评估和准入制度, 确定合格供应商清单, 与选定的供应商签订质量保证协议, 建立供应商管理信息系统, 对供应商提供物资或劳务的质量、价格、交货及时性、供货条件及其资信、经营状况等。

进行实时管理和综合评价, 根据评价结果对供应商进行合理选择和调整。

企业可委托具有相应资质的中介机构对供应商进行资信调查。

第八条企业应当根据市场情况和采购计划合理选择采购方式。大宗采购应当采用招标方式, 合理确定招投标的范围、标准、实施程序和评标规则;一般物资或劳务等的采购可以采用询价或定向采购的方式并签订合同协议;小额零星物资或劳务等的采购可以采用直接购买等方式。

第九条企业应当建立采购物资定价机制, 采取协议采购、招标采购、谈判采购、询比价采购等多种方式合理确定采购价格, 最大限度地减小市场变化对企业采购价格的影响。

大宗采购等应当采用招投标方式确定采购价格, 其他商品或劳务的采购, 应当根据市场行情制定最高采购限价, 并对最高采购限价适时调整。