銀行內部控制規範實施工作方案

一、基本情況介紹

1、公司基本情況

中國光大銀行股份有限公司，簡稱為“中國光大銀行”、“光大銀行”(以下稱“本行”)。本行成立於1992年，1997年1月完成股份制改造，20xx年8月18日成功完成IPO並在上海證券交易所掛牌上市，股票程式碼601818。截止20xx年9月，公司資產規模達到16,700億元;截止20xx年底，已在26個省、自治區、直轄市的72個經濟中心城市設立分支機構689家，形成了全國性銀行的經營網路。光大銀行多年來不斷改革創新、銳意進取，在為社會和客戶提供優質金融服務的同時，取得了良好的經營業績，已成為一家頗具社會影響力的全國性股份制商業銀行和上市公司。

根據《企業內部控制基本規範》的規定，本行通過多年的內部控制不斷實踐，已建立了較為健全的內部控制監督體系。本行董事會負責內部控制的建立健全和有效實施，對內部控制評價報告的真實性負責;監事會對董事會建立與實施內部控制進行監督;高階管理層負責內部控制的實施，組織領導本行內部控制的日常執行。董事會和監事會通過下設專門委員會對本行內部控制體系的建設、執行和完善情況進行監督指導。

為加強內部控制體系建設，本行建立和完善了以股東大會、董事會、監事會、高階管理層為主體的公司治理架構，形成了分工合理、職責明確、制衡有效、報告關係清晰、執行高效的良好公司治理，為內部控制的有效性提供必要的前提條件。董事會下設戰略委員會、審計委員會、風險管理委員會、提名委員會、薪酬委員會、關聯交易控制委員會;監事會下設提名委員會和監督委員會;總行設有資產負債管理委員會等19個委員會，計財部、資金部、投行部等26個部室，以及北京、上海、廣州、深圳等34家分行，本行控股設立了2家子公司，分別是光大金融租賃股份有限公司和韶山光大村鎮銀行股份有限公司。

本行面臨的主要風險包括信用風險、市場風險、流動性風險、操作風險、合規風險、資訊科技風險、戰略風險、聲譽風險、銀行賬戶利率風險、集中度風險等。為管理上述風險，本行建立了董事會領導下的職責清晰、分工明確的全面風險管理組織架構，以巴塞爾新資本協議核心原則為導向，借鑑國外先進銀行的實踐經驗，建立並持續完善涵蓋風險識別、評估、計量、監督、報告和控制的全面風險管理體系。

本行各項業務活動嚴格執行授權控制原則，實行統一法人管理和法人授權，明確劃分相關機構部門之間、崗位之間的職責，實行不相容職務分離制度，並按條線和業務類別建立了包括人力資源程式、會計管理、預算控制、財產保護、運營分析、事後監督等全面的控制措施體系。

本行建立了行之有效的資訊系統，通過優化OA系統，改造內部區域網系統，建立規範高效的公文流轉機制，做到檔案分發急緩有序、傳遞快捷;加強全行檔案規範化管理，加強各類涉密檔案、資料的保密管理，加強對全行重大經營管理活動的統一宣傳管理;完善各類會議議事規則和程式;強化各類定期報告制度、重大和緊急情況報告與通報制度，通過多種報告形式，保持內部資訊交流與溝通的及時性和有效性，並提高資訊傳導和溝通效率，保障決策的科學高效。

各業務條線和職能部門負責內部控制的具體管理和執行，法律合規部負責本行內部控制的監測管理和合規達標的建設推進，內部審計部門負責內部控制的監督評價。

本行通過制度明確了各層級、各部門在內部控制監督方面的職責，對於在內部控制建設實施中發現的重大問題及時上報高階管理層和董事會。總行內控合規預警委員會負責建立並維護全行內控及合規風險管理體系，推進本行內部控制的達標實施;法律合規部作為本行內部控制監測管理部門，負責牽頭內部控制體系的建設和完善，組織督促業務部門和分支機構建立和健全內部控制，及時傳導有關監管部門對內部控制的新要求，推進本行內部控制的有效實施，對業務部門和分支機構的內部控制建設和執行情況進行日常監測，定期向本行內控合規預警委員會彙報全行內部控制建設和執行情況;內部審計部門是內部控制的監督評價部門，負責對內部控制的有效性進行監督檢查，對監督檢查中發現的內部控制缺陷按照內部審計工作程式進行報告，對內部控制的健全性和有效性進行定期評價，牽頭負責全行年度內控控制評價工作;總行各職能部門、各分行、各子公司作為內控體系的第一道防線，負責本單位內部控制的自我建立、健全、監督和檢查，負責落實內控活動的具體實施，並配合內控體系建設牽頭部門、評價部門及外部諮詢機構、審計機構做好內控建設及評價工作。

本行根據國家政策、法律法規、經營環境及全行業務發展的需要對內部控制制度適時進行調整和修改。20xx年度，本行以建立“層次分明，結構清晰，系統協調，簡單管用”的制度體系為目標，按照“嚴密、實際、易記、管用”八字方針為基本原則，持續開展了內控制度梳理工作。經過一年的工作，26個條線部門均對內控制度進行了全面梳理，累計梳理內控制度1229項，涉及修訂及整合的制度共156項、廢止的制度共152項，各條線部門按照制度梳理方案要求積極將部門制度彙編成冊。本行在開辦新業務、設立新機構、運用新技術時，經營管理部門首先要制定內部控制細則，並經過必要的測試認證、風險評估和會籤，報經主管行領導批准後才能實施。

2、內控規範實施工作組織架構

本行行長為內部控制規範實施工作的總負責人。為有效推動內控規範實施工作，本行成立了以主管副行長為組長，各部門負責人為成員的領導小組，辦公室設在法律合規部和審計部。

總行法律合規部是內部控制體系建設的牽頭部門，總行審計部是內部控制自我評價工作的牽頭部門，總行各部門均指定了部門負責人和工作人員作為專案實施聯絡人，董事會辦公室按監管要求披露、報備內控實施工作情況。內控規範實施工作的指定聯絡人為法律合規部劉亞平(電話：63639259)、盧樞美(電話：63639249)，審計部嚴仲民(電話：63636661)、劉騰慧(電話：63636639)，董事會辦公室胡蓉(電話：63636717)。

內控規範實施的日常工作由法律合規部和審計部聯合牽頭，並聘請外部諮詢公司協助實施，總行各部門及各分行積極參與專案實施。為更好地推進專案實施，牽頭部門與外部諮詢公司定期舉行工作例會，對專案進度、相關問題、下一步工作計劃等進行討論協商;同時，牽頭部門根據專案進展情況不定期向管理層進行專題彙報。

法律合規部和審計部為內控規範實施的牽頭部門，相關情況如下：

法律合規部

總行法律合規部是本行內部控制建設工作的牽頭組織部門，下設合規管理處、非訴訟法律事務處和訴訟與仲裁事務處，共有員工14人。法律合規部的內部控制職責主要包括：

及時瞭解和掌握監管部門對銀行內部控制體系建設的要求，牽頭協調和組織全行內部控制體系的建設和完善;

組織、督促總行各業務條線、職能部門及分支機構建立和健全內部控制;

統一管理各類授權、授信涉及的法律事務，制定和審查法律文字，對新業務的推出進行法律論證，確保各項業務的合法和有效。

對各業務部門和分支機構的內部控制建設和執行情況進行監測和管理。

內部控制規範實施過程中，總行法律合規部牽頭組織內控體系建設工作，包括確定內部控制實施的範圍和內容;梳理風險，編制風險清單;梳理形成風險控制矩陣;編制內部控制手冊等相關工作。

全行就內部控制體系建設工作的彙報主要遵循如下路徑：各條線具體負責本條線內的內部控制建設工作，並將建設結果報送法律合規部稽核;法律合規部組織、推進總行各業務條線、職能部門及分支機構建立和健全內部控制，並就全行內部控制建設和執行情況定期向本行內控合規預警委員會彙報。

審計部

總行審計部是全行年度內部控制自我評價工作的牽頭組織部門，下設公司業務審計處、零售業務審計處、財會及資金業務審計處、IT審計處、審計質量控制處，共有員工22名。除總行審計部外，全行還設有北部、東部、中西部和南部4個審計中心，主要負責轄區內分行的審計工作。審計部的內部控制職責主要包括：

內部審計部門應當有權獲得本行的所有經營資訊和管理資訊，並對各個部門、崗位和各項業務實施全面監督和評價。

開展內部控制檢查，結合內部審計監督，對內部控制的有效性進行監督檢查，對監督檢查中發現的內部控制缺陷，按照內部審計工作程式進行報告，對監督檢查中發現的內部控制重大缺陷，有權直接向董事會及其審計委員會、監事會報告。

對內部控制的健全性和有效性進行定期評價。

總行審計部牽頭組織成立總行內部控制評價工作小組，其在內部控制規範實施過程中是內部控制自我評價工作的牽頭部門，具體職責包括：編制自我評價工作計劃;組織實施自我評價工作;根據內部控制自我評價工作編制內部控制自我評價報告。

全行就內部控制自我評價工作的彙報主要遵循如下路徑：總行審計部按年度形成年度內部控制自我評價報告，經行領導審議通過，報送董事會審計委員會，再提交董事會進行審議批准。

3、內部控制實施工作有關聘請諮詢機構的考慮和計劃

本行為滿足《企業內部控制規範》的合規要求，有效識別存在的內部控制薄弱環節，重新梳理控制領域/業務流程，並建立起科學、合理的內部控制評價體系，已於20xx年9月聘請安永(中國)企業諮詢有限公司開展實施內部控制規範諮詢專案，協助本行推進內部控制管理水平的持續提升。

基於國內外內部控制體系建設和評價的行業實踐以及本行內部控制規範諮詢專案實際情況，從專案實施角度出發將專案實施整體框架劃分為四個階段：第一階段為前期準備與方案設計;第二階段為總行實施;第三階段為分行自我評價;第四階段為整改與報告。

第一階段，建立專案管理架構並啟動專案，制定專案總體實施計劃，梳理本行管理和業務流程，設計內部控制管理體系架構、內部控制自我評價方法，並建設內部控制自我評價工具模板，通過培訓與宣導，協助銀行各實施部門和機構理解內部控制自我評價實施的方法、內容和管理要求。

第二階段，根據第一階段流程梳理成果及所設計開發的內部控制自我評價方法和實施方案，在總行具體實施。具體工作包括：確定企業層面和流程層面的內控評價實施範圍;開展企業層面的內控評價工作;同時開展流程層面的內控評價工作;編制風險控制矩陣;針對企業層面和流程層面識別內控缺陷，在此階段主要針對內控的設計缺陷;針對所識別的內控缺陷，制定整改方案。

第三階段，在分行範圍內組織開展評價測試工作，評估缺陷並擬定整改方案，具體工作包括：編制自我評價工作計劃;設計控制測試的方法和程式;分支機構實施自我評價工作。

第四階段，在各機構自行整改的同時，編制內部控制自我評價報告，具體工作包括：各機構開展缺陷整改工作，編制內部控制自我評價報告，並在彙總整理專案各階段工作成果的基礎上，編制完成內部控制管理手冊和評價手冊。

在安永公司的協助下，本專案將形成以下工作成果：內控控制手冊、內部控制評價手冊和內部控制自我評價報告。截至本報告日，諮詢公司已協助本行完成內部控制手冊(徵求意見稿)和內部控制評價手冊(初稿)的編制。

4、內控實施工作進展

自20xx年度內控規範實施專案啟動以來，本行已陸續開展如下工作，並形成相應的工作成果：

(1)內部控制體系建設方面：

一是開展內部控制規範實施培訓。為加強全行上下對五部委下發的《企業內部控制規範》及相關配套指引的學習，以利於專案的有效推進，特召開全行視訊會議，對專案背景、監管要求進行了系統培訓，並就實施工作職責分工、進度安排等方面進行了介紹。

二是確定內部控制規範實施的範圍和內容。根據監管要求，參照本行實際情況，確定內部控制實施的範圍為16個企業層面的控制領域及113個流程層面的流程，並形成了企業層面控制領域清單和流程層面控制流程清單。

三是梳理形成風險控制矩陣。在確定了內部控制實施的範圍和內容之後，針對每一企業層面控制領域和流程層面的流程，分別梳理形成風險控制矩陣並對應至條線部門，並形成了企業層面16個風險控制矩陣和流程層面113個風險控制矩陣。

四是初步識別總行層面設計缺陷。在前期梳理完成企業層面和流程層面風險矩陣的情況下，通過將現有的政策、制度等與風險控制矩陣進行比對，初步識別內控設計缺陷，並形成了內部控制設計發現問題清單。

五是編制內部控制手冊。通過整理內控梳理工作成果，編制形成了內部控制手冊(徵求意見稿)。

(2)內部控制自我評價方面：

一是確定內部控制評價測試程式。針對企業層面每一領域和流程層面每一流程，分別設計內部控制評價測試步驟，同時設計針對分行內控評價的測試底稿，形成了企業層面16個領域的測試步驟及底稿模板、流程層面113個流程的測試步驟及底稿模板、分行測試步驟及底稿模板。

二是建設內部控制評價標準和工具。結合本行內控管理現狀和審計部部門資源情況，初步設計建設符合全行情況的內部控制自我評價工具和流程，初步形成內部控制評價手冊初稿。

在上述工作之外，本行的內控規範實施工作尚有如下主要工作未開展：

已發現缺陷的整改與再測試工作;

全行全面內部控制自我評價的實施工作;

依據內控規範和配套指引要求，提交內部控制自我評價報告。

二、內部控制建設工作計劃

XXXX年度本行將繼續鞏固已有內部控制建設工作成果，持續深化內部控制建設程序。

由於內部控制建設的前期工作(包括確定內控實施的範圍和內容，梳理企業層面、流程層面的風險控制矩陣，識別總行層面內控設計缺陷)均已於20xx年度實施完成，因此本部分內容將主要列示XXXX年度的內部控制建設工作任務計劃，主要是內控建設工作中發現的設計缺陷(通過對現有的政策、制度等與風險清單進行比對後發現的內控缺陷)的溝通確認及整改落實工作：

1、總行相關部門確認內控缺陷。主要工作是組織各部門對內控建設過程中發現的設計缺陷進行確認，對於涉及多個部門的缺陷，由各部門協調確認缺陷的負責部門。計劃完成時間：XXXX年3月。責任部門：總行存在缺陷的相關部門。

2、與總行相關部門溝通制定內控缺陷整改方案。相關部門在完成設計缺陷的確認工作後，在諮詢公司的協助下，制定缺陷整改方案，提交內控預警委員會審議。計劃完成時間：XXXX年4月。責任部門：總行存在缺陷的相關部門、法律合規部。

3、總行相關部門根據整改方案著手開展整改工作。相關部門根據缺陷確認結果和整改方案，著手開展缺陷整改工作，並根據整改情況向法規部報送整改進度。計劃完成時間：XXXX年4月-9月。責任部門：存在缺陷的相關部門。

4、根據整改結果更新風險控制矩陣。計劃完成時間：XXXX年12月。責任部門：法律合規部、審計部。

5、按要求報送、披露內控實施工作情況。根據監管部門要求，將本行內控實施工作情況及時向監管部門報送，並按要求完成披露工作。計劃完成時間：按監管要求實施。責任部門：董事會辦公室、法律合規部、審計部。

三、內部控制自我評價工作計劃

XXXX年度的內部控制評價工作任務計劃如下：

1、編制自我評價工作計劃，評價工作的具體時間表和人員分工。計劃完成時間：XXXX年5月。責任部門：審計部。

2、確定內部控制缺陷的評價標準，包括定性標準和定量標準，缺陷分為一般缺陷、重要缺陷和重大缺陷。計劃完成時間：XXXX年5月。責任部門：審計部、法律合規部。

3、組織實施自我評價工作，編制內部控制評價工作底稿。計劃完成時間：XXXX年9月。責任部門：審計部。

4、對發現的缺陷進行評價，編制缺陷評價彙總表，同時提出整改建議，編制整改任務單。計劃完成時間：XXXX年9月-12月。責任部門：審計部。

5、根據內部控制自我評價工作編制內部控制自我評價報告。計劃完成時間：XXXX年3月。責任部門：審計部。

6、按照要求披露內部控制自我評價報告。計劃完成時間：XXXX年4月。責任部門：董事會辦公室、審計部。

四、內部控制審計工作計劃

1、確定將聘請進行內部控制審計的會計師事務所，結合年度財務報表審計工作開展。計劃完成時間：XXXX年4-6月。責任部門：審計部;

2、按照監管部門要求要求披露內部控制審計報告。計劃完成時間：XXXX年4月。責任部門：審計部、董事會辦公室。