(二)明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任。
(三)建立独立董事制度,对董事会讨论事项发表客观、公正的意见。
(四)建立外部监事制度,对董事会、董事、高级管理层及其成员进行监督。
第十一条 董事会、监事会和高级管理层责任。
董事会负责保证商业银行建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。
监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。
高级管理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
董事会和高级管理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。
第十二条 内部控制政策。
商业银行应在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的原则和基本要求,并为制定和评审内部控制目标提供指导。内部控制政策应:
(一)与商业银行的经营宗旨和发展战略相一致;
(二)体现持续改进内部控制的要求;
(三)符合现行法律法规和监管要求;
(四)体现出侧重控制的风险类型;
(五)体现出对不同地区、行业、产品的风险控制要求;
(六)传达给适用岗位的员工,指导员工实施风险控制措施;
(七)可为风险相关方所获取,并寻求互利合作;
(八)定期进行评审,确保其持续的适宜性和有效性。
第十三条 内部控制目标。
商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现对持续改进的要求。
在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素,尤其应考虑监管部门的内部控制指标要求。
内部控制目标应可测量。有条件时,目标应用指标予以量化。
第十四条 组织结构。
商业银行应建立分工合理、职责明确、报告关系清晰的组织结构,明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限,并形成文件予以传达。特别应考虑:
(一)建立相应的授权体系,实行统一法人管理和法人授权。
(二)必要的职责分离,以及横向与纵向相互监督制约关系。
(三)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。
(四)明确关键岗位、特殊岗位、不相容岗位及其控制要求。
(五)建立关键岗位定期或不定期的人员轮换和强制休假制度。
商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门,明确其责任、权限和报告路线。
商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员;应有权获得商业银行的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率,以及对机构和业务的审计覆盖率,定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。
第十五条 企业文化。
商业银行应培育健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性,引导员工树立合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。
第十六条 人力资源。
商业银行应完善人力资源政策和程序,确保与风险和内部控制有关人员具备相应的能力和意识。
商业银行应明确与风险和内部控制有关人员的适任条件,明确有关教育、工作经历、培训和技能等方面的要求,以确保相关人员的胜任。
高级管理人员必须满足监管机构对高级管理人员资质的要求。
商业银行应制定并保持培训计划,以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审,并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。
