××小额贷款公司内部控制基本规定
第一章 总则
第一条 为建立健全内部控制体系,防范风险,保障业务、管理体系安全稳健运行,制定本规定。
第二条 内部控制是指公司为实现经营目标,通过制定和实施一系列的制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。
公司各项内部控制制度、程序和方法的制定应符合本规定的要求。 第三条 内部控制的目标应确保法律、法规和规章制度的贯彻执行,确保公司发展战略和经营目标的全面实施和充分实现,确保风险管理体系的有效性,与公司的经营规模、组织体系、业务管理、操作流程和风险特点相适应,以合理的成本实现内部控制的目标。
第四条 内部控制遵循全面、审慎、有效、独立的原则,内部控制体系建设应渗透各项业务过程和各个操作环节,覆盖所有的部门和岗位,符合岗位制约、分权制衡等基本要求,具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制若存在问题,应能得到及时反馈和纠正。
第二章 组织管理
第五条 公司设立内部控制管理委员会(以下简称内控管委会),负责审定内部控制政策和目标,确保内部控制体系的建立与决策。
第六条 风险管理部是公司的内控牵头组织部门,组织内部控制政策和目标的拟制,监督和报告内部控制体系运行情况,组织公司内部控制评审会议,跟踪和落实内部控制评审决定。
第三章 基本规定
第七条 公司内部控制包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈和监督评价与纠正等要素。
第八条 建立健全的内部控制环境包括确保各机构规范运作,分权制衡,建立健全的公司治理、明确董事会/监事会及高级管理层在内部控制上承担的责任、确立适宜的内部控制政策与目标,以及健全的组织结构、企业文化内涵和人力资源政策和程序等。 第九条 应设立履行风险管理职能的专门部门,制定并实施识别、计量、监测和管理风险的制度、程序和方法,依据业务范围、性质和时限主动对各项经营风险进行识别,并评估风险的后果、概率和风险级别,以确保风险管理和经营目标的实现。
第十条 应建立涵盖各项业务、公司范围的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。
第十一条 设立新的机构或开办新的业务,应事先制定有关的政策、制度和办法,对潜在的风险进行计量和评估,并提出风险防范措施。
第十二条 信息交流与反馈应考虑信息的安全性和保密要求,相关信息报告、发布、披露应经过授权。并通过建立对财务、管理、业务、人员、重大事件和市场等相关风险信息的识别、收集、处理、交流、沟通、反馈、披露的渠道和方式,及时有效防范或控制经营、管理风险。
第十三条 在执行监督评价职能时应遵循客观公正、有错必纠的原则,应将内部控制情况,包括对违规、风险隐患、管理盲点和缺漏、内控失灵、差错事故等的诊断、处置和纠正及预防措施,纳入各部门年度绩效评价范围内,以保持持续提高内部控制体系的有效性。公司内控评审委定期对公司内部控制的体系及有效运行与否应进行专题分析和评价。
第四章 贷款业务的内部控制即稽核
第十四条 贷款业务内部控制的重点是:健全客户信用风险识别与监测体系,完善贷款决策与审批机制,防范对单一客户、关联企业客户以及部分产业、行业贷款风险的高度集中,防止违反贷款原则发放关系人贷款和人情贷款,防止贷款资金违规使用。
第十五条 建立有效的贷款业务决策机制,包括设立风险管理委员会、专业评审会等,负责审批各自权限内的贷款。
风险管理委员会为最高信用风险管理机构,制定信用风险管理的总体政策及对信用风险管理政策执行情况进行监测,对特别重大贷款项目进行审核决策。
专业审贷会是贷款业务专职审批机构,负责审批权限内的贷款业务。 第十六条 公司贷款审批及决策机构审议表决时应遵循集体审议、委员独立发表意见、多数同意通过的原则,全部意见应记录存档。
第十七条 贷款审批制度应设置复议制度,复议的前提条件必须是风险状况有实质性改变,复议原则上只能一次,不得反复进行。
第十八条 建立公司统一的贷款业务操作规范,明确规定贷前调查、贷时审查、贷后检查各个环节的工作标准和操作要求;制定统一的各类贷款产品的管理办法,明确规定各项业务的办理条件,包括选项标准、期限、利率、收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容。
第十九条 应执行尽职调查制度和贷款审批程序,不得违反程序或减少程序进行贷款,贷款人员应遵循客观、公正的原则,独立发表决策意见,不受外部因素的干扰。
第二十条 贷款业务调查、审批和贷款管理部门应根据职责和权限,审查借款人资格合法性、融资背景以及申请材料的真实性和借款合同的法律有效性、完备性,防止借款人通过编造虚假理由、使用虚假经济合同或虚假证明文件等方式,从事诈骗活动。严格审查和监控借款用途,防止借款人改变借款用途。
第二十一条 公司各相关部门应建立资产质量监测、预警体系,监测资产质量的变化,分析不良资产形成的原因,及时制定防范和化解风险的对策。
公司风险管理部负责公司贷款政策的制定,包括完善贷款风险分类制度,规范贷款质量的认定标准和程序,严禁掩盖不良贷款的真实状况,确保贷款质量的真实性。
第二十二条 建立贷款风险责任制,明确规定各个部门、岗位的风险责任,对违法、违规或工作不尽职造成的贷款风险和损失逐笔进行责任认定,并根据公司贷款尽职调查制度和不良贷款问责制,对各环节相关人员的各类尽职行为进行认定,确定应承担的责任。
第五章 内部控制的监督与纠正
第二十三条 内控评审委应每季度定期召开内部控制评审会议,紧急情况下可随时召开内控评审会议。会议应对内部控制的制度建设、执行情况以及经营管理过程中的重大风险隐患、事件进行回顾和剖析,研究、制定加强内控管理的相应措施,以不断健全和完善公司的内控机制,保障和促进公司各项业务稳健发展。风险管理部负责督促内控会议决定事项的落实和验证,各相关部门对上一次内控会议决定事项的落实、验证情况进行报告。
第二十四条 对于内部控制中发现的各类问题,尤其是经过管理问责的重大、系统性问题,应按照预防为主的原则,对内部控制的政策、制度、程序和方法进行改进,包括提出改进措施、组织实施、效果验证和系统评价等内容,以达到持续改进的目的。
第六章 财务稽核
第二十五条 公司年终财务报告必须经股东大会指定的会计(审计)师事务所审计确认。
第二十六条 风险管理部每季度实施(或委托有关机构实施)一次财务检查,检查后据实写出检查报告报总经理、董事长。风险管理部对检查中发现的问题,提出明确的改正意见、处理建议。
第二十七条 董事会或总经理认为有必要时,可以安排风险管理部进行临时性的专项稽核。稽核完成后据实写出稽核报告,报告送总经理、董事长。风险管理部对稽核中发现的问题,提出明确的改正意见和处理建议。
第七章 安全保卫与计算机安全
第二十八条 公司综合部为计算机安全检查机构,负责协调解决计算机安全问题。
第二十九条 人员安全管理的目标是通过设立银行安全管理制度及岗位责任制,为保证最大程度地降低信息化建设过程中由于人为失误或错误所造成的风险,公司实行一下原则:
职责分离原则:接触信息系统的人员应承担与其工作性质相应的安全责任,各类人 员不得从事超越自己职责以外的任何工作。
有限授权原则:任何人员对信息资源的访问权利应受到限制,应对超越职责的访问进行控制。
相互制约原则:采取相互制约原则,做到职责分明,各司其职,相互配合和制约。
任期审计原则:应记录并监控员工在任职期内的信息资源访问活动。 第三十条 员工离职前,应交还手中持有的与信息系统相关的文档、物品,应交接其负责的工作。一经离职,相应的信息系统合法身份及权限应立即注销,视调离保密岗位人员的重要程度,及时调整系统的安全保密措施。所有员工必须定期签订信息安全及保密承诺。相关安全教育由人力资源部门统一安排。
第三十一条 配备防火、防雷、防水、防静电、防鼠等机房安全设施,保障信息系统安全运转。
第三十二条 应用系统安全
应用系统安全的目标是保证我公司各业务应用系统开发过程以及最终产品的安全性,安全建设必须与应用系统建设同步进行。
在应用系统的总体架构设计的过程中,应实施安全需求设计,并确立安全服务机 制、项目开发人员安全技术要求和操作规程。
应用系统的实现阶段,应根据安全需求设计实施安全技术,对应用系统技术实现过程进行质量管理,防止技术开发人员故意保留“后门”,保证系统最终产品的安全性质量。
在应用系统建设的各阶段,必须保证我公司应用软件的完整性,即确保软件的变更是经过授权及合法性的验证。
应用系统投产运行之前,须充分进行局部功能、整体功能、压力测试,以及与安全需求目标一致的系统安全性能、操作流程、应急方案等重要安全性测试,测试的结果应记录文档。
只有正式经过管理、操作、技术控制等安全鉴定获准的应用项目,可以投入生产运行。
第三十三条 通信网络安全
网络安全的目标是有效防范网络体系的安全风险,为我公司应用系统发展提供安全、可靠、稳定的网络管理和技术平台。
通信网络安全建设是我公司业务发展的基础,通信网络安全管理和网络安全技术的配合是获得网络整体安全的基本保障。
第三十四条 安全责任
任何人员只能访问其职责权限范围内的信息资源,如发现超越职责权限访问资源的行为,应立即停止其访问权利,并给予警告。
任何人员如有故意编造或发送恶意程序、输入计算机病毒,影响银行的正常办公、业务信息处理秩序的行为,视情节严重情况,给予相应的行政处分,构成犯罪的应送交公安部门处理。
第八章 附则
第二十五条 本规定由风险管理部负责解释。 本规定自发布之日起施行。
