商业银行内部控制指引

　　第一百二十七条　银行应当严格管理各类数据信息，数据的操作、数据备份介质的存放、转移和销毁等均应当有严格的管理制度。

　　第一百二十八条　银行运用计算机处理业务，应当具有可复核性和可追溯性，并为有关的审计或检查留有接口。

　　第一百二十九条　银行的电子银行服务应当具备客户身份识别、安全认证等功能，防止发生泄密事件，确保交易安全。

　　第一百三十条　银行应当尽可能利用计算机信息系统的系统设定，防范各种操作风险和违法犯罪行为。

　　第一百三十一条　银行应当建立计算机安全应急系统，制定详细的应急方案，并定期进行修订和演练。

　　应当做到异地存放，条件允许时，应当建立异地计算机灾难备份中心。

第九章　内部控制的监督与纠正

　　第一百三十二条　商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。

　　内部控制的建设、执行部门负责设计内部控制体系，组织、督促各业务部门、分支机构建立和健全内部控制。

　　内部控制的监督、评价部门负责组织检查、评价内部控制的健全性和有效性，督促管理层纠正内部控制存在的问题。

　　第一百三十三条　商业银行应当建立内部控制的报告和信息反馈制度，业务部门、内部审计部门和其他控制人员发现内部控制的隐患和缺陷，应当及时向管理层或相关部门报告。

　　第一百三十四条　商业银行内部控制的监督、评价部门应当对内部控制的制度建设和执行情况定期进行检查评价，提出改进建议，对违反规定的机构和人员提出处理意见。

　　第一百三十五条　商业银行上级机构应当根据自身掌握的内部控制信息，对下级机构的内部控制状况定期作出评价，并将评价结果作为经营绩效考核的重要依据。

　　第一百三十六条　商业银行应当建立内部控制问题和缺陷的处理纠正机制，管理层应当根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，并督促业务部门和分支机构落实。

　　第一百三十七条　商业银行应当建立内部控制的风险责任制：

　　（一）董事会、高级管理层应当对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任；

　　（二）内部审计部门应当对检查发现问题隐瞒不报、上报虚假情况或检查监督不力，承担相应的责任；

　　（三）业务部门和分支机构应当及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任；

　　（四）高级管理层应当对违反内部控制的人员，依据法律规定、内部管理制度追究责任和予以处分，并承担处理不力的责任。

第十章　附则

　　第一百三十八条　适用于在中华人民共和国境内依法设立的中资、外资商业银行。

政策性银行、金融资产管理公司、邮政储蓄机构、城乡信用社、信托投资公司、企业集团财务公司、金融租赁公司等其他金融机构参照执行。

　　第一百三十九条　人民银行依据本指引对商业银行作出的内部控制评价结果是商业银行风险评估的重要内容，也是中国人民银行进行市场准入管理的重要依据。

　　第一百四十条　引由中国人民银行负责解释。

　　第一百四十一条　引自公布之日起施行。中国人民银行发布的《加强金融机构内部控制的指导原则》同时废止。