中国银行业监督管理委员会令

  2007 年 第 6 号

  《商业银行内部控制指引》已经2006年12月8日中国银行业监督管理委员会第54次主席会议通过，现予公布，自公布之日起施行。

  主 席 刘明康

二○○七年七月三日

商业银行内部控制指引

第一章 总 则

  第一条 为促进商业银行建立和健全内部控制，防范金融风险，保障银行体系安全稳健运行，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律规定和银行审慎监管要求，制定本指引。

  第二条 内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

  第三条 商业银行内部控制的目标：

  （一）确保国家法律规定和商业银行内部规章制度的贯彻执行。

  （二）确保商业银行发展战略和经营目标的全面实施和充分实现。

  （三）确保风险管理体系的有效性。

  （四）确保业务记录、财务信息和其他管理信息的及时、真实和完整。

  第四条 商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：

  （一）内部控制应当渗透商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。

  （二）内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。

  （三）内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。

  （四）内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。

  第五条 内部控制应当与商业银行的经营规模、业务范围和风险特点相适应，以合理的成本实现内部控制的目标。

第二章 内部控制的基本要求

  第六条 内部控制应当包括以下要素：

  （一）内部控制环境。

  （二）风险识别与评估。

  （三）内部控制措施。

  （四）信息交流与反馈。

  （五）监督评价与纠正。

  第七条 商业银行应当建立良好的公司治理以及分工合理、职责明确、相互制衡、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。

  第八条 商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。

  董事会负责保证商业银行建立并实施充分而有效的内部控制体系；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保商业银行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。

  监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。

  高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

  第九条 商业银行应当建立科学、有效的激励约束机制，培育良好的企业精神和内部控制文化，从而创造全体员工均充分了解且能履行职责的环境。

  第十条 商业银行应当设立履行风险管理职能的专门部门，负责具体制定并实施识别、计量、监测和控制风险的制度、程序和方法，以确保风险管理和经营目标的实现。

  第十一条 商业银行应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。

  第十二条 商业银行应当对各项业务制定全面、系统、成文的政策、制度和程序，在全行范围内保持统一的业务标准和操作要求，并保证其连续性和稳定性。

  第十三条 商业银行设立新的机构或开办新的业务，应当事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施。

  第十四条 商业银行应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。

  第十五条 商业银行应当明确划分相关部门之间、岗位之间、上下级机构之间的职责，建立职责分离、横向与纵向相互监督制约的机制。

  涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。

  第十六条 商业银行应当根据不同的工作岗位及其性质，赋予其相应的职责和权限，各个岗位应当有正式、成文的岗位职责说明和清晰的报告关系。

  商业银行应当明确关键岗位及其控制要求，关键岗位应当实行定期或不定期的人员轮换和强制休假制度。

  第十七条 商业银行应当根据各分支机构和业务部门的经营管理水平、风险管理能力、地区经济和业务发展需要，建立相应的授权体系，实行统一法人管理和法人授权。

  授权应适当、明确，并采取书面形式。

  第十八条 商业银行应当利用计算机程序监控等现代化手段，锁定分支机构的业务权限，对分支机构实施有效的管理和监控。

  下级机构应当严格执行上级机构的决策，在自身职责和权限范围内开展工作。

  第十九条 商业银行应当建立有效的核对、监控制度，对各种账证、报表定期进行核对，对现金、有价证券等有形资产及时进行盘点，对柜台办理的业务实行复核或事后监督把关，对重要业务实行双签有效的制度，对授权、授信的执行情况进行监控。

  第二十条 商业银行应当按照规定进行会计核算和业务记录，建立完整的会计、统计和业务档案，妥善保管，确保原始记录、合同契约和各种资料的真实、完整。

  第二十一条 商业银行应当建立有效的应急预案，并定期进行测试。在意外事件或紧急情况发生时，应按照应急预案及时做出应急处置，以预防或减少可能造成的损失，确保业务持续开展。

  第二十二条 商业银行应当设立独立的法律事务部门或岗位，统一管理各类授权、授信的法律事务，制定和审查法律文本，对新业务的推出进行法律论证，确保各项业务的合法和有效。

  第二十三条 商业银行应当实现业务操作和管理的电子化，促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理。

  第二十四条 商业银行应当实现经营管理的信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准确提供经营管理所需要的各种数据，并及时、真实、准确地向中国银监会及其派出机构报送监管报表资料和对外披露信息。

  第二十五条 商业银行应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈。

  第二十六条 商业银行的业务部门应当对各项业务经营状况进行经常性检查，及时发现内部控制存在的问题，并迅速予以纠正。

  第二十七条 商业银行的内部审计部门应当有权获得商业银行的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监督和评价。

  第二十八条 商业银行的内部审计应当具有充分的独立性，实行全行系统垂直管理。

  下级机构内部审计负责人的聘任和解聘应当由上一级内部审计部门负责，总行内部审计负责人的聘任和解聘应当由董事会负责。

  第二十九条 商业银行应当配备充足的、具备相应的专业从业资格的内部审计人员，并建立专业培训制度，每人每年确保一定的离岗或脱产培训时间。

  第三十条 商业银行应当建立有效的内部控制报告和纠正机制，业务部门、内部审计部门和其他人员发现的内部控制的问题，均应当有畅通的报告渠道和有效的纠正措施。

第三章 授信的内部控制

  第三十一条 商业银行授信内部控制的重点是：实行统一授信管理，健全客户信用风险识别与监测体系，完善授信决策与审批机制，防止对单一客户、关联企业客户和集团客户授信风险的高度集中，防止违反信贷原则发放关系人贷款和人情贷款，防止信贷资金违规使用。

  第三十二条 商业银行应当设立独立的授信风险管理部门，对不同币种、不同客户对象、不同种类的授信进行统一管理，设置授信风险限额，避免信用失控。

  第三十三条 商业银行授信岗位设置应当做到分工合理、职责明确，岗位之间应当相互配合、相互制约，做到审贷分离、业务经办与会计账务处理分离。

  第三十四条 商业银行应当建立有效的授信决策机制，包括设立授信审查委员会，负责审批权限内的授信。

  行长不得担任授信审查委员会的成员。

  授信审查委员会审议表决应当遵循集体审议、明确发表意见、多数同意通过的原则，全部意见应当记录存档。

  第三十五条 商业银行应当建立严格的授信风险垂直管理体制，对授信实行统一管理。

  第三十六条 商业银行应当对授信实行统一的法人授权制度，上级机构应当根据下级机构的风险管理水平、资产质量、所处地区经济环境等因素，合理确定授信审批权限。

  第三十七条 商业银行应当根据风险大小，对不同种类、期限、担保条件的授信确定不同的审批权限，审批权限应当采用量化风险指标。

  第三十八条 商业银行各级机构应当明确规定授信审查人、审批人之间的权限和工作程序，严格按照权限和程序审查、审批业务，不得故意绕开审查、审批人。

  第三十九条 商业银行各级机构应当防止授信风险的过度集中，通过实行授信组合管理，制定在不同期限、不同行业、不同地区的授信分散化目标，及时监测和控制授信组合风险，确保总体授信风险控制在合理的范围内。

  第四十条 商业银行应当对单一客户的贷款、贸易融资、票据承兑和贴现、透支、保理、担保、贷款承诺、开立信用证等各类表内外授信实行一揽子管理，确定总体授信额度。

  第四十一条 商业银行应当以风险量化评估的方法和模型为基础，开发和运用统一的客户信用评级体系，作为授信客户选择和项目审批的依据，并为客户信用风险识别、监测以及制定差别化的授信政策提供基础。客户信用评级结果应当根据客户信用变化情况及时进行调整。

  第四十二条 商业银行对集团客户授信应当遵循统一、适度和预警的原则。对集团客户应当实行统一授信管理，合理确定对集团客户的总体授信额度，防止多头授信、过度授信和不适当分配授信额度。商业银行应当建立风险预警机制，对集团客户授信集中风险实行有效监控，防止集团客户通过多头开户、多头借款、多头互保等形式套取银行资金。

  第四十三条 商业银行应当建立统一的授信操作规范，明确贷前调查、贷时审查、贷后检查各个环节的工作标准和尽职要求：

  （一）贷前调查应当做到实地查看，如实报告授信调查掌握的情况，不回避风险点，不因任何人的主观意志而改变调查结论。

  （二）贷时审查应当做到独立审贷，客观公正，充分、准确地揭示业务风险，提出降低风险的对策。

  （三）贷后检查应当做到实地查看，如实记录，及时将检查中发现的问题报告有关人员，不得隐瞒或掩饰问题。

  第四十四条 商业银行应当制定统一的各类授信品种的管理办法，明确规定各项业务的办理条件，包括选项标准、期限、利率、收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容。

  第四十五条 商业银行实施有条件授信时应当遵循“先落实条件、后实施授信”的原则，授信条件未落实或条件发生变更未重新决策的，不得实施授信。

  第四十六条 商业银行应当对授信工作实施独立的尽职调查。授信决策应依据规定的程序进行，不得违反程序或减少程序进行授信。在授信决策过程中，应严格要求授信工作人员遵循客观、公正的原则，独立发表决策意见，不受任何外部因素的干扰。

  第四十七条 商业银行对关联方的授信，应当按照商业原则，以不优于对非关联方同类交易的条件进行。

  在对关联方的授信调查和审批过程中，商业银行内部相关人员应当回避。

  第四十八条 商业银行应当严格审查和监控贷款用途，防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金，改变借款用途。

  第四十九条 商业银行应当严格审查借款人资格合法性、融资背景以及申请材料的真实性和借款合同的完备性，防止借款人骗取贷款，或以其他方式从事金融诈骗活动。

  第五十条 商业银行应当建立资产质量监测、预警机制，严密监测资产质量的变化，及时发现资产质量的潜在风险并发出预警提示，分析不良资产形成的原因，及时制定防范和化解风险的对策。

  第五十一条 商业银行应当建立贷款风险分类制度，规范贷款质量的认定标准和程序，严禁掩盖不良贷款的真实状况，确保贷款质量的真实性。

  第五十二条 商业银行应当建立授信风险责任制，明确规定各个部门、岗位的风险责任：

  （一）调查人员应当承担调查失误和评估失准的责任。

  （二）审查和审批人员应当承担审查、审批失误的责任，并对本人签署的意见负责。

  （三）贷后管理人员应当承担检查失误、清收不力的责任。

  （四）放款操作人员应当对操作性风险负责。

  （五）高级管理层应当对重大贷款损失承担相应的责任。

  第五十三条 商业银行应当对违法、违规造成的授信风险和损失逐笔进行责任认定，并按规定对有关责任人进行处理。

  第五十四条 商业银行应当建立完善的授信管理信息系统，对授信全过程进行持续监控，并确保提供真实的授信经营状况和资产质量状况信息，对授信风险与收益情况进行综合评价。

  第五十五条 商业银行应当建立完善的客户管理信息系统，全面和集中掌握客户的资信水平、经营财务状况、偿债能力和非财务因素等信息，对客户进行分类管理，对资信不良的借款人实施授信禁入。

第四章 资金业务的内部控制

  第五十六条 商业银行资金业务内部控制的重点是：对资金业务对象和产品实行统一授信，实行严格的前后台职责分离，建立中台风险监控和管理制度，防止资金交易员从事越权交易，防止欺诈行为，防止因违规操作和风险识别不足导致的重大损失。

  第五十七条 商业银行资金业务的组织结构应当体现权限等级和职责分离的原则，做到前台交易与后台结算分离、自营业务与代客业务分离、业务操作与风险监控分离，建立岗位之间的监督制约机制。

  第五十八条 商业银行应当根据分支机构的经营管理水平，核定各个分支机构的资金业务经营权限。

  对分支机构的资金业务应当定期进行检查，对异常资金交易和资金变动应当建立有效的预警和处理机制。

  未经上级机构批准，下级机构不得开展任何未设权限的资金交易。

  第五十九条 商业银行应当完善资金营运的内部控制，资金的调出、调入应当有真实的业务背景，严格按照授权进行操作，并及时划拨资金，登记台账。

  第六十条 商业银行应当根据授信原则和资金交易对手的财务状况，确定交易对手、投资对象的授信额度和期限，并根据交易产品的特点对授信额度进行动态监控，确保所有交易控制在授信额度范围之内。

  第六十一条 商业银行应当充分了解所从事资金业务的性质、风险、相关的法规和惯例，明确规定允许交易的业务品种，确定资金业务单笔、累计最大交易限额以及相应承担的单笔、累计最大交易损失限额和交易止损点。

  高级管理层应当充分认识金融衍生产品的性质和风险，根据本行的风险承受水平，合理确定金融衍生产品的风险限额和相关交易参数。

  第六十二条 商业银行应当建立完备的资金交易风险评估和控制系统，制定符合本行特点的风险控制政策、措施和定量指标，开发和运用量化的风险管理模型，对资金交易的收益与风险进行适时、审慎评价，确保资金业务各项风险指标控制在规定的范围内。

  第六十三条 商业银行应当根据资金交易的风险程度和管理能力，就交易品种、交易金额和止损点等对资金交易员进行授权。

  资金交易员上岗前应当取得相应资格。

  第六十四条 商业银行应当按照市场价格计算交易头寸的市值和浮动盈亏情况，对资金交易产品的市场风险、头寸市值变动进行实时监控。

  第六十五条 商业银行应当建立资金交易风险和市值的内部报告制度。有关资金业务风险和市值情况的报告应当定期、及时向董事会、高级管理层和其他管理人员提供。商业银行应当制定不同层次和种类的报告的发送范围、程序和频率。

  第六十六条 商业银行应当建立全面、严密的压力测试程序，定期对突发的小概率事件，如市场价格发生剧烈变动，或者发生意外的政治、经济事件可能造成的潜在损失进行模拟和估计，以评估本行在极端不利情况下的亏损承受能力。

  商业银行应当将压力测试的结果作为制定市场风险应急处理方案的重要依据，并定期对应急处理方案进行审查和测试，不断更新和完善应急处理方案。

  第六十七条 商业银行应当建立对资金交易员的适当的约束机制，对资金交易员实施有效管理。

  资金交易员应当严格遵守交易员行为准则，在职责权限、授信额度、各项交易限额和止损点内以真实的市场价格进行交易，并严守交易信息秘密。

  第六十八条 商业银行应当建立资金交易中台和后台部门对前台交易的反映和监督机制。

  中台监控部门应当核对前台交易的授权交易限额、交易对手的授信额度和交易价格等，对超出授权范围内的交易应当及时向有关部门报告。

  后台结算部门应当独立地进行交易结算和付款，并根据资金交易员的交易记录，在规定的时间内向交易对手逐笔确认交易事实。

  第六十九条 商业银行在办理代客资金业务时，应当了解客户从事资金交易的权限和能力，向客户充分揭示有关风险，获取必要的履约保证，明确在市场变化情况下客户违约的处理办法和措施。

  第七十条 商业银行资金业务新产品的开发和经营应当经过高级管理层授权批准，在风险控制制度和操作规程完备、人员合格和设备齐全的情况下，交易部门才能全面开展新产品的交易。

  第七十一条 商业银行应当建立资金业务的风险责任制，明确规定各个部门、岗位的风险责任：

  （一）前台资金交易员应当承担越权交易和虚假交易的责任，并对未执行止损规定形成的损失负责。

  （二）中台监控人员应当承担对资金交易员越权交易报告的责任，并对风险报告失准和监控不力负责。

  （三）后台结算人员应当对结算的操作性风险负责。

  （四）高级管理层应当对资金交易出现的重大损失承担相应的责任。

第五章 存款和柜台业务的内部控制

  第七十二条 商业银行存款及柜台业务内部控制的重点是：对基层营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保商业银行和客户资金的安全。

  第七十三条 商业银行应当严格执行账户管理的有关规定，认真审核存款人身份和账户资料的真实性、完整性和合法性，对账户开立、变更和撤销的情况定期进行检查，防止存款人出租、出借账户或利用存款账户从事违法活动。

  第七十四条 商业银行应当严格管理预留签章和存款支付凭据，提高对签章、票据真伪的甄别能力，并利用计算机技术，加大预留签章管理的科技含量，防止诈骗活动。

  第七十五条 商业银行应当对存款账户实施有效管理，建立和完善银行与客户、银行与银行以及银行内部业务台账与会计账之间的适时对账制度，对对账频率、对账对象、可参与对账人员等做出明确规定。

  第七十六条 商业银行应当对内部特种转账业务、账户异常变动等进行持续监控，发现情况应当进行跟踪和分析。

  第七十七条 商业银行应当对大额存单签发、大额存款支取实行分级授权和双签制度，按规定对大额款项收付进行登记和报备，确保存款等交易信息的真实、完整。

  第七十八条 商业银行应当对每日营业终了的账务实施有效管理，当天的票据当天入账，对发现的错账和未提出的票据或退票，应当履行内部审批、登记手续。

  第七十九条 商业银行应当严格执行“印、押、证”三分管制度，使用和保管重要业务印章的人员不得同时保管相关的业务单证，使用和管理密押、压数机的人员不得同时使用或保管相关的印章和单证。

  使用和保管密押的人员应当保持相对稳定，人员变动应当经主管领导批准，并办好交接和登记手续。

  人员离岗，“印、押、证”应当落锁入柜，妥善保管。

  第八十条 商业银行应当对现金收付、资金划转、账户资料变更、密码更改、挂失、解挂等柜台业务，建立复核制度，确保交易的记录完整和可追溯。

  柜台人员的名章、操作密码、身份识别卡等应当实行个人负责制，妥善保管，按章使用。

  第八十一条 商业银行应当对现金、贵金属、重要空白凭证和有价单证实行严格的核算和管理，严格执行入库、登记、领用的手续，定期盘点查库，正确、及时处理损益。

  第八十二条 商业银行应当建立会计、储蓄事后监督制度，配置专人负责事后监督，实现业务与监督在空间与人员上的分离。

  第八十三条 商业银行应当认真遵循“了解你的客户”的原则，注意审查客户资金来源的真实性和合法性，提高对可疑交易的鉴别能力，如发现可疑交易，应当逐级上报，防止犯罪分子进行洗钱活动。

  第八十四条 商业银行应当严格执行营业机构重要岗位的请假、轮岗制度和离岗审计制度。

第六章 中间业务的内部控制

  第八十五条 商业银行中间业务内部控制的重点是：开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权，建立并落实相关的规章制度和操作规程，按委托人指令办理业务，防范或有负债风险。

  第八十六条 商业银行办理支付结算业务，应当根据有关法律规定的要求，对持票人提交的票据或结算凭证进行审查，并确认委托人收、付款指令的正确性和有效性，按指定的方式、时间和账户办理资金划转手续。

  第八十七条 商业银行办理结汇、售汇和付汇业务，应当对业务的审批、操作和会计记录实行恰当的职责分离，并严格执行内部管理和检查制度，确保结汇、售汇和收付汇业务的合规性。

  第八十八条 商业银行办理代理业务，应当设立专户核算代理资金，完善代理资金的拨付、回收、核对等手续，防止代理资金被挤占挪用，确保专款专用。

  第八十九条 商业银行应当对代理资金支付进行审查和管理，按照代理协议的约定办理资金划转手续，遵循银行不垫款的原则，不介入委托人与其他人的交易纠纷。

  第九十条 商业银行应当严格按照会计制度正确核算和确认各项代理业务收入，坚持收支两条线，防止代理收入被截留或挪用。

  第九十一条 商业银行发行借记卡，应当按照实名制规定开立账户。

  对借记卡的取款、转账、消费等支付业务，应当制定并严格执行相关的管理制度和操作规程。

  第九十二条 商业银行发行贷记卡，应当在全行统一的授信管理原则下，建立客户信用评价标准和方法，对申请人相关资料的合法性、真实性和有效性进行严格审查，确定客户的信用额度，并严格按照授权进行审批。

  第九十三条 商业银行应当对贷记卡持卡人的透支行为建立有效的监控机制，业务处理系统应当具有实时监督、超额控制和异常交易止付等功能。

  商业银行应当定期与贷记卡持卡人对账，严格管理透支款项，切实防范恶意透支等风险。

  第九十四条 商业银行受理银行卡存取款或转账业务，应当对银行卡资金交易设置必要的监控措施，防止持卡人利用银行卡进行违法活动。

  第九十五条 商业银行发卡机构应当建立和健全内部管理机制，完善重要凭证、银行卡卡片、客户密码、止付名单、技术档案等重要资料的传递与存放管理，确保交接手续的严密。

  第九十六条 商业银行应当对银行卡特约商户实施有效管理，规范相关的操作规程和处理手续，对特约商户的经营风险或操作过失应当制定相应的应急和防范措施。

  第九十七条 商业银行从事基金托管业务，应当在人事、行政和财务上独立于基金管理人，双方的管理人员不得相互兼职。

  第九十八条 商业银行应当以诚实信用、勤勉尽责的原则保管基金资产，严格履行基金托管人的职责，确保基金资产的安全，并承担为客户保密的责任。

  第九十九条 商业银行应当确保基金托管业务与基金代销业务相分离，基金托管的系统、业务资料应当与基金代销的系统、业务资料有效分离。

  第一百条 商业银行应当确保托管基金资产与自营资产相分离，对不同基金独立设账，分户管理，独立核算，确保不同基金资产的相互独立。

  第一百零一条 商业银行应当严格按照会计制度办理基金账务核算，正确反映资金往来活动，并定期与基金管理人等有关当事人就基金投资证券的种类、数量等进行核对。

  第一百零二条 商业银行开展咨询顾问业务，应当坚持诚实信用原则，确保客户对象、业务内容的合法性和合规性，对提供给客户的信息的真实性、准确性负责，并承担为客户保密的责任。

  第一百零三条 商业银行开办保管箱业务，应当在场地、设备和处理软件等方面符合国家安全标准，对用户身份进行核验确认。

  对进入保管场地和开启保管箱，应当制定相应的操作规范，明确要求租用人不得在保管箱内存放违禁或危险物品，防止利用商业银行场地保管非法物品。

第七章 会计的内部控制

  第一百零四条 商业银行会计内部控制的重点是：实行会计工作的统一管理，严格执行会计制度和会计操作规程，运用计算机技术实施会计内部控制，确保会计信息的真实、完整和合法，严禁设置账外账，严禁乱用会计科目，严禁编制和报送虚假会计信息。

  第一百零五条 商业银行应当依据企业会计准则和国家统一的会计制度，制订并实施本行的会计规范和管理制度。

  下级机构应当严格执行上级机构制定的会计规范和管理制度，确保统一的会计规范和管理制度在本行得到实施。

  第一百零六条 商业银行应当确保会计工作的独立性，确保会计部门、会计人员能够依据国家统一的会计制度和本行的会计规范独立地办理会计业务，任何人不得授意、暗示、指示、强令会计部门、会计人员违法或违规办理会计业务。

  对违法或违规的会计业务，会计部门、会计人员有权拒绝办理，并向上级机构报告，或者按照职权予以纠正。

  第一百零七条 商业银行会计岗位设置应当实行责任分离、相互制约的原则，严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作。

  第一百零八条 商业银行应当明确会计部门、会计人员的权限，各级会计部门、会计人员应当在各自的权限内行事，凡超越权限的，须经授权后，方可办理。

  第一百零九条 商业银行应当对会计账务处理的全过程实行监督，会计账务应当做到账账、账据、账款、账实、账表和内外账的六相符。

  凡账务核对不一致的，应当按照权限进行纠正或报上级机构处理。

  第一百一十条 商业银行应当对会计主管、会计负责人实行从业资格管理，建立会计人员档案。

  会计主管、会计负责人和会计人员应当具有与其岗位、职位相适应的专业资格或技能。

  第一百一十一条 商业银行下级机构会计主管的变动应当经上级机构会计部门同意。

  会计人员调动工作或离职，应当与接管人员办清交接手续，严格执行交接程序。

  第一百一十二条 商业银行应当对会计人员实行强制休假制度，联行、同城票据交换、出纳等重要会计岗位人员和会计主管还应当定期轮换，落实离岗（任）审计制度。

  第一百一十三条 商业银行应当实行会计差错责任人追究制度，发生重大会计差错、舞弊或案件，除对直接责任人员追究责任外，机构负责人和分管会计的负责人也应当承担相应的责任。

  第一百一十四条 银行应当做到会计记录、账务处理的合法、真实、完整和准确，严禁伪造、变造会计凭证、会计账簿和其他会计资料，严禁提供虚假财务会计报告。

  第一百一十五条 商业银行应当建立规范的信息披露制度，按照规定及时、真实、完整地披露会计、财务信息，满足股东、监管当局和社会公众对其信息的需求。

  第一百一十六条 商业银行应当完善会计档案管理，严格执行会计档案查阅手续，防止会计档案被替换、更改、毁损、散失和泄密。

第八章 计算机信息系统的内部控制

  第一百一十七条 商业银行计算机信息系统内部控制的重点是：严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

  第一百一十八条 商业银行应当明确计算机信息系统开发人员、管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任。

  各级机构应当配备计算机安全管理人员，明确计算机安全管理人员的职责。

  第一百一十九条 商业银行应当对计算机信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理，开发环境应当与生产环境严格分离。

  技术部门与业务部门之间应当进行沟通协调，确保系统的整体安全。

  第一百二十条 商业银行购买计算机软、硬件设备，应当对供应商的资格条件进行严格审查，在使用前进行试用性安全测试，明确产品供应商对产品在使用期间应当承担的责任，确保产品的正常使用和有效维护。

  第一百二十一条 商业银行计算机机房建设应当符合国家的有关标准，出入计算机机房应当有严格的审批程序和出入记录，确保计算机硬件、各种存储介质的物理安全。

  计算机机房和营业网点应当有完备的计算机监控系统，确保计算机终端的正常使用。

  第一百二十二条 商业银行应当建立和健全网络管理系统，有效地管理网络的安全、故障、性能、配置等，并对接入国际互联网实施有效的安全管理。

  第一百二十三条 商业银行应当对计算机信息系统实施有效的用户管理和密码（口令）管理，对用户的创建、变更、删除、用户口令的长度、时效等均应当有严格的控制。

  员工之间严禁转让计算机信息系统的用户名或权限卡，员工离岗后应当及时更换密码和密码信息。

  第一百二十四条 商业银行应当对计算机信息系统的接入建立适当的授权程序，并对接入后的操作进行安全控制。

  输入计算机信息系统的数据应当核对无误，数据的修改应当经过批准并建立日志。

  第一百二十五条 商业银行应当及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等，通过认证、加密、内容过滤、入侵监测等技术手段，不断完善安全控制措施，确保计算机信息系统的安全。

  第一百二十六条 商业银行的网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。

  日志应当能够满足各类内部和外部审计的需要。

  第一百二十七条 商业银行应当严格管理各类数据信息，数据的操作、数据备份介质的存放、转移和销毁等均应当有严格的管理制度。

  第一百二十八条 商业银行运用计算机处理业务，应当具有可复核性和可追溯性，并为有关的审计或检查留有接口。

  第一百二十九条 商业银行的电子银行服务应当具备客户身份识别、安全认证等功能，防止发生泄密事件，确保交易安全。

  第一百三十条 商业银行应当尽可能利用计算机信息系统的系统设定，防范各种操作风险和违法犯罪行为。

  第一百三十一条 商业银行应当建立计算机安全应急系统，制定详细的应急方案，并定期进行修订和演练。

  数据备份应当做到异地存放，应当建立异地计算机灾难备份中心。

第九章 内部控制的监督与纠正

  第一百三十二条 商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。

  内部控制的建设、执行部门负责设计内部控制体系，组织、督促各业务部门、分支机构建立和健全内部控制。

  内部控制的监督、评价部门负责组织检查、评价内部控制的健全性和有效性，督促管理层纠正内部控制存在的问题。

  第一百三十三条 商业银行应当建立内部控制的报告和信息反馈制度，业务部门、内部审计部门和其他控制人员发现内部控制的隐患和缺陷，应当及时向董事会、管理层或相关部门报告。

  第一百三十四条 商业银行内部控制的监督、评价部门应当对内部控制的制度建设和执行情况定期进行检查评价，提出改进建议，对违反规定的机构和人员提出处理意见。

  第一百三十五条 商业银行上级机构应当根据自身掌握的内部控制信息，对下级机构的内部控制状况定期做出评价，并将评价结果作为经营绩效考核的重要依据。

  第一百三十六条 商业银行应当建立内部控制问题和缺陷的处理纠正机制，管理层应当根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，并督促业务部门和分支机构落实。

  第一百三十七条 商业银行应当建立内部控制的风险责任制：

  （一）董事会、高级管理层应当对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任。

  （二）内部审计部门应当对未执行审计方案、程序和方法导致重大问题未能被发现，对审计发现隐瞒不报或者未如实反映，审计结论与事实严重不符，对审计发现问题查处整改工作跟踪不力等行为，承担相应的责任。

  （三）业务部门和分支机构应当及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任。

  （四）高级管理层应当对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。

第十章 附 则

  第一百三十八条 本指引第三章至第八章未作具体规定的商业银行其他业务或环节，应当按照本指引的要求建立和完善内部控制。

  第一百三十九条 本指引适用于在中华人民共和国境内依法设立的商业银行。

  政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、农村资金互助社、金融资产管理公司、邮政储蓄机构、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他金融机构参照执行。

  第一百四十条 中国银监会及其派出机构依据本指引及《商业银行内部控制评价试行办法》对商业银行做出的内部控制评价结果是商业银行风险评估的重要内容，也是中国银监会及其派出机构进行市场准入管理的重要依据。

  第一百四十一条 本指引由中国银监会负责解释。

  第一百四十二条 本指引自公布之日起施行。