信用卡中心内部控制管理实施细则模版.doc

《信用卡中心内部控制管理实施细则模版.doc》由会员分享，可在线阅读，更多相关《信用卡中心内部控制管理实施细则模版.doc（25页珍藏版）》请在咨信网上搜索。

信用卡中心内部控制管理实施细则 （xx年版） 目 录 第一章 总则 3 第一条 【制定依据和宗旨】 3 第二条 【内部控制的定义】 3 第三条 【内部控制的总体目标】 4 第四条 【内部控制的原则】 4 第五条 【内部控制的要素】 4 第二章　内部环境 5 第六条 【公司治理】 5 第七条 【总经理室的内部控制职责】 5 第八条 【各业务部门的内部控制职责】 5 第九条 【内控合规部门的内部控制职责】 6 第十条 【风险管理部门的内部控制职责】 6 第十一条 【内部审计部门的内部控制职责】 6 第十二条 【内部组织机构建设】 7 第十三条 【内部控制制度体系】 7 第十四条 【激励约束机制】 7 第十五条 【内部控制文化】 7 第三章 风险识别与评估 8 第十六条 【风险管理组织建设】 8 第十七条 【风险控制与管理要求】 8 第十八条 【风险识别和评估体系】 8 第十九条 【风险评估】 9 第二十条 【风险容忍度】 9 第二十一条 【内部风险识别】 9 第二十二条 【外部风险识别】 10 第二十三条 【风险分析】 10 第二十四条 【风险应对策略的确定】 10 第二十五条 【风险应对策略的运用】 10 第二十六条 【风险管理责任制】 11 第四章 控制活动 11 第一节 基本措施 11 第二十七条 【内部控制制度体系】 11 第二十八条 【部门及岗位控制】 11 第二十九条 【授权控制】 11 第三十条 【不相容岗位分离制度】 12 第三十一条 【亲属回避制度】 12 第三十二条 【人员轮换及强制休假制度】 12 第三十三条 【员工行为管理】 12 第三十四条 【会计系统控制】 13 第三十五条 【财产保护控制】 13 第三十六条 【外包业务控制】 13 第三十七条 【预算控制】 13 第三十八条 【运营分析控制】 13 第三十九条 【绩效考评控制】 13 第四十条 【事后监督控制】 13 第四十一条 【新产品及服务】 14 第四十二条 【法律事务管理】 14 第四十三条 【信息系统控制】 14 第四十四条 【业务连续性管理】 14 第四十五条 【重大风险预警和突发事件应急处理机制】 14 第四十六条 【消费者权益保护】 14 第四十七条 【内部检查】 15 第二节 信用卡业务的内部控制重点措施 15 第四十八条 【信用卡审批授信】 15 第四十九条 【信用卡贷后管理】 15 第五十条 【信用卡重控管理】 15 第五十一条 【信用卡业务档案管理】 15 第五十二条 【信用卡业务风险控制矩阵】 15 第三节 计划财务的内部控制重点措施 16 第五十三条 【重大事项决策机制】 16 第五十四条 【财务收支控制】 16 第五十五条 【权责发生制核算原则】 16 第五十六条 【固定资产管理控制】 16 第五十七条 【非信贷资产管理控制】 16 第五十八条 【纳税管理】 16 第五十九条 【统计管理】 17 第四节 会计的内部控制重点措施 17 第六十条 【会计人员从业资格及任职控制】 17 第六十一条 【会计岗位设置及权限管理】 17 第六十二条 【会计工作的独立性】 17 第六十三条 【会计账务处理的监督】 17 第六十四条 【强制休假及离岗（任）审计制度】 18 第六十五条 【会计差错责任人追究制度】 18 第六十六条 【会计档案管理】 18 第五节 计算机信息系统的内部控制重点措施 18 第六十七条 【计算机信息系统全面控制体系】 18 第六十八条 【计算机信息系统组织与操作控制】 18 第六十九条 【系统软件开发与维护控制】 19 第七十条 【硬件控制】 20 第七十一条 【系统安全控制】 20 第七十二条 【接触控制】 21 第七十三条 【输入控制】 21 第七十四条 【处理控制】 21 第七十五条 【输出控制】 21 第五章 信息与沟通 21 第七十六条 【信息及业务操作系统】 21 第七十七条 【信息安全与保密】 21 第七十八条 【信息系统建设】 22 第七十九条 【信息质量保证机制】 22 第八十条 【信息沟通机制】 22 第八十一条 【信息披露制度】 23 第八十二条 【举报、投诉制度】 23 第六章 监督 23 第八十三条 【内部控制评价制度】 23 第八十四条 【内部控制评价部门】 23 第八十五条 【内部控制评价的频率和范围】 23 第八十六条 【内部控制缺陷处理】 23 第八十七条 【内部控制评价结果运用】 23 第八十八条 【内部控制评价报告】 23 第八十九条 【内部控制的监督检查体系】 23 第九十条 【内部控制报告制度】 24 第九十一条 【内部控制监督方式】 24 第九十二条 【内部控制的整改纠正机制】 24 第九十三条 【内部控制管理责任制】 24 第七章 附则 25 第九十四条 【解释和修改】 25 第九十五条 【实施】 25 第一章 总则 第一条 【制定依据和宗旨】 为确保中国x银行信用卡中心（以下简称“信用卡中心”）业务经营安全、有效、稳健运行，切实防范和化解经营风险，根据《中华人民共和国商业银行法》、《中华人民共和国银行业监督管理法》、《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》等法律法规和《中国x银行内部控制管理制度（xx年版）》，结合信用卡中心实际，制定本细则。 第二条 【内部控制的定义】 内部控制是信用卡中心全面风险管理的重要组成部分，是指信用卡中心总经理室、各部门及全体员工为实现经营目标，通过制定和实施一系列制度、流程和方法，对风险进行事前防范、事中控制、事后监督与纠正的动态过程和机制。 第三条 【内部控制的总体目标】 信用卡中心内部控制的总体目标为确保“三性”，即财务数据真实性、法律法规遵循性和经营的有效性。具体包括： （一）确保国家法律、法规及监管机构的监管要求和内部规章制度的贯彻执行。 （二）提高经营效率和效果，确保信用卡中心发展战略和经营目标的全面实施和充分实现。 （三）确保资产安全和风险管理体系的有效性。 （四）确保业务记录、会计信息、财务信息和其他管理信息的及时、真实、准确和完整。 第四条 【内部控制的原则】 内部控制建设应遵循以下原则： （一）全面性原则。即全覆盖原则，内部控制应贯穿决策、执行和监督全过程，渗透到所有业务过程和各操作环节，覆盖所有机构、部门、岗位和人员，任何决策或操作均应有案可查。 （二）审慎性原则。内部控制应当以防范风险、审慎经营为出发点，各项经营管理活动，尤其是设立新机构或开办新业务，均应当体现“内控优先”的要求。 （三）重要性原则。内部控制应在全面控制的基础上，关注重要业务事项和高风险领域。 （四）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制，同时兼顾运营效率。 （五）独立性原则。内部控制的监督、评价人员必须独立于内部控制的建设、执行人员，并有权直接向信用卡中心总经理室报告监督或评价中发现的问题。 （六）适度性原则。即相匹配原则，内部控制必须考虑成本效益原则，应当权衡实施成本与预期效益，以适当的成本实现有效控制。内部控制应当与信用卡中心管理模式、业务规模、产品复杂程度、竞争状况和风险水平等相适应，并随实际情况的变化及时调整。 第五条 【内部控制的要素】 信用卡中心内部控制包括以下要素： （一）内部环境，包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等，它是信用卡中心实施内部控制的基础。 （二）风险识别和评估，即及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 （三）控制活动，即根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 （四）信息与沟通，即及时、准确地收集、传递与内部控制相关的信息，确保信息在信用卡中心内部、信用卡中心与外部之间进行有效沟通。 （五）监督，即对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。 第二章　内部环境 第六条 【公司治理】 信用卡中心应建立由总经理室、内控管理部门、内部审计部门、各业务部门组成的分工合理、职责明确、相互制衡、报告关系清晰的内部控制治理和组织架构。 第七条 【总经理室的内部控制职责】 信用卡中心总经理室负责按董事会和高级管理层的要求在信用卡中心职责范围内管理和执行内部控制具体措施，主要包括： （一）建立信用卡中心的内部控制机制； （二）指定内控合规负责人，设立内控合规管理岗位，牵头组织内控管理的日常工作； （三）批准制定信用卡中心的内部控制具体制度和操作流程； （四）及时、准确地按照内部控制报告机制向同级内控管理职能部门通报内部控制风险状况。 第八条 【各业务部门的内部控制职责】 （一）严格执行相关制度规定，负责信用卡中心内部控制的具体实施和日常管理； （二）负责对本部门职责内的各项业务经营状况进行日常监督检查，及时发现内部控制存在的问题和缺陷，及时、准确的向内控合规部门报告内部控制存在的缺陷并组织落实整改。 第九条 【内控合规部门的内部控制职责】 内控合规部门在总经理室的领导下履行内控合规管理职责，并接受总行内控管理职能部门的业务指导，其内控管理职责包括： （一）及时了解和掌握监管部门和总行内部控制体系建设的要求，牵头信用卡中心内部控制体系的统筹规划、组织落实和检查评估； （二）组织、督促各业务部门健全及落实内部控制、开展控制活动、实施日常监督检查； （三）统一管理各类授权、授信涉及的法律事务，制定和审查法律文本，如相关业务需进行法律论证，需确保各项业务的合法和有效； （四）对各业务部门的内部控制建设和执行情况进行监控和检查； （五）牵头组织信用卡条线的内控风险矩阵、外规等管理工具的更新维护； （六）牵头组织信用卡条线内部控制的自我识别、自我评估、自我检查、自我应对、自我监控、及时报告，并协助总经理室拟订相应内控管理工作计划； （七）起草/制定信用卡中心内控管理实施细则； （八）统筹信用卡中心内控监控、内控日常监督检查及报告工作； （九）组织开展信用卡中心各项操作风险管理工作； （十）参加总行内控建设牵头部门举行的内部控制管理会议及培训； （十一）其他与内部控制管理有关的职责。 第十条 【风险管理部门的内部控制职责】 风险管理部门的内部控制职责主要包括： （一）负责牵头制定并组织实施识别、计量、监测和控制风险的制度、程序和方法，以确保风险管理和经营目标的实现； （二）牵头建立信用卡业务的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险进行持续监控。 第十一条 【内部审计部门的内部控制职责】 内部审计部门是内部控制的监督评价部门，其内部控制职责主要包括： （一）内部审计部门应当有权获得信用卡中心所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面监督和评价。 （二）结合内部审计监督，对内部控制的有效性进行监督检查，对监督检查中发现的内部控制缺陷，应当按照内部审计工作程序进行报告，对监督检查中发现的内部控制重大缺陷，有权直接向总经理室报告。 （三）对内部控制的充分性和有效性进行定期评价和审计，及时报告发现的问题，并监督整改。 第十二条 【内部组织机构建设】 信用卡中心应根据经营管理需要和内部控制要求，建立健全授权机制和分工合理、职责明确、平衡制约、报告关系清晰的部门职能、岗位职责和业务流程。各部门或个人的各项经营活动要合规、合法，经营管理要实现全过程控制。 第十三条 【内部控制制度体系】 信用卡中心应按照总行要求建立内部控制的实施细则。 内部控制制度要随着国家政策、法律法规、经营环境及信用卡业务发展的需要适时调整和修改。 第十四条 【激励约束机制】 信用卡中心应建立健全科学有效的激励约束机制和人力资源管理机制，制定和实施有利于企业可持续发展的人力资源政策，建立和完善业绩考核和薪酬激励机制，人员录用、配置和退出机制，岗前培训和后续教育制度，高风险或关键岗位轮换、离任（岗）审计和强制休假制度，不断完善管理人员选拔任用、监督管理和退出机制。 信用卡中心应将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，保证从业人员具备必要的专业资格和从业经验，切实加强员工培训和继续教育，不断提升员工素质。 第十五条 【内部控制文化】 信用卡中心应加强内控文化建设，引导员工树立合规意识、风险意识，提高员工的职业道德水准，规范员工行为。总经理室成员应当在企业文化建设中发挥主导作用。 信用卡中心应通过各种主题活动、反腐倡廉宣传教育工程、研讨会、知识竞赛、异常行为监督、强化问责力度等多种全员参与的方式，积极营造内控合规人人有责的工作氛围。 信用卡中心应每年根据业务需要组织业务部门人员进行培训，培训日常内控工作需要关注的重点、宣讲近期行内外发生的典型内控事件、内控管理的新思路、新方法、新模式等。对于监管机构发出与内控紧密相关的制度、通知等，或行内外内控管理发生重大变化，可临时发起相关内控培训，采用现场或非现场的方式，及时将内控管理重点或方式、方法的变化情况传达给信用卡条线员工。 员工应当遵守员工行为规范，熟知相应的业务操作流程、内控要求和经办业务的主要风险点，充分了解相关的规章制度、奖惩规定以及在内部控制建设中的权利和责任，认真履行岗位职责。 第三章 风险识别与评估 第十六条 【风险管理组织建设】 信用卡中心建立总经理室领导下的职责清晰、分工明确的全面风险管理组织架构，确保风险管理的相对独立性。 （一）信用卡中心总经理室及其下设风险管理委员会负责确定信用卡业务总体风险承受能力和风险管理活动目标，审批有关风险管理的重大事项，审核信用卡中心制定的风险防范措施，并对其实施情况及效果进行监督和评价等职责。信用卡中心风险管理委员会成员包括分管风险的总经理室成员、质量监控部、风险管理部、审批部和催收管理部。 （二）信用卡中心按照总经理室及其下设风险管理委员会提出的要求，分业务种类建立风险指标识别体系和计量标准；研究、开发风险评估的方法、模型；制定、落实各类风险管理政策、制度、细则和限额，并实施管理，以确保对各类风险的有效管理和控制。 （三）各分行按照总行信用卡中心确立的信用卡业务风险管理目标，组织开展分行的信用卡业务风险管理活动。各分行应严格贯彻执行信用卡业务风险管理制度、规定，按照统一的风险识别体系和计量标准，运用科学的评估方法和模型，在业务开展前对各类风险进行识别、计量、评估、监控，采取切实有效的管理措施，完成各类风险控制指标。 第十七条 【风险控制与管理要求】 信用卡中心应当合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。 信用卡中心应采用科学的风险管理技术和方法，充分识别和评估经营中面临的风险，对各类主要风险进行持续监控。 第十八条 【风险识别和评估体系】 信用卡中心应制定和实施对于各类风险识别、评估与计量、监测和报告、风险控制的程序和措施，不断完善风险识别和评估体系。 （一）建立风险指标识别体系。规定识别和判断风险因素的方式、方法，界定形成信用风险、市场风险、操作风险、流动性风险等各类风险的内外因素。 （二）建立风险指标计量标准。对可计量的风险，要明确风险的数量标准；对不可计量的风险，要进行风险定性描述，明确分级或分类标准，使风险具有可比性。 （三）建立风险评估工作流程。运用风险评估模型评估风险，对可承受的风险，应采取具体措施，使风险得到有效控制；对不可承受的风险，应及时采取整顿、退出等措施，遏制风险。要根据经营环境、业务流程或新业务开展情况，及时调整评估方法和工具。 （四）建立科学、统一、规范的风险指标预警系统，对各类风险进行持续监控。 （五）建立风险管理报告制度。及时跟踪本部门、本机构面临的风险，保留工作记录，将风险管理的基本情况、变化趋势、遇到的问题向总行报告。 第十九条 【风险评估】 信用卡中心应根据设定的控制目标，全面、系统、持续地收集相关信息，结合实际情况，及时进行风险评估。 第二十条 【风险容忍度】 信用卡中心开展风险评估应当准确识别与控制目标相关的内部风险和外部风险，确定相应的风险容忍度，包括整体风险承受能力和业务层面的可接受风险水平。 第二十一条 【内部风险识别】 信用卡中心识别内部风险中，应当重点关注下列因素： （一）信用卡中心管理人员及员工的职业操守、专业胜任能力等人力资源因素。 （二）组织机构、经营方式、资产管理、业务流程等管理因素。 （三）研究开发、技术投入、信息技术适用等自主创新因素。 （四）财务状况、经营成果、现金流量等财务因素。 （五）营运安全、员工健康、环境保护等安全环保因素。 （六）其他有关内部风险因素。 第二十二条 【外部风险识别】 信用卡中心识别外部风险，应当重点关注下列因素： （一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 （二）法律法规、监管要求等法律因素。 （三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 （四）技术进步、工艺改进等科学技术因素。 （五）自然灾害、环境状况等自然环境因素。 （六）其他有关外部风险因素。 第二十三条 【风险分析】 信用卡中心应采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。 风险分析应充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。 第二十四条 【风险应对策略的确定】 信用卡中心应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。 信用卡中心应当合理分析、准确掌握高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给银行经营带来重大损失。 第二十五条 【风险应对策略的运用】 信用卡中心应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。 风险规避是信用卡中心对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。 风险降低是信用卡中心在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。 风险分担是信用卡中心准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。 风险承受是信用卡中心对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。 信用卡中心应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。 第二十六条 【风险管理责任制】 信用卡中心应建立以信用卡业务风险管理为基础的管理体系，将信用卡业务风险管理工作纳入考核指标，作为考核各分行经营水平、经营成果的重要内容。明确风险管理体系中相关部门、岗位和人员的权利和责任，建立明确的责任追究制度。对风险识别、计量、评估、监控及管理不力造成重大损失的当事人，应按照有关规定追究其责任。 第四章 控制活动 第一节 基本措施 第二十七条 【内部控制制度体系】 信用卡中心应建立健全内部控制制度体系，对各项业务活动和管理活动制定全面、系统、规范的业务制度和管理制度，并定期进行评估。 信用卡中心各业务部门负责起草制定属于其职责范围内的规章制度。各部门制定规章制度依据具体情况，须充分征求其他相关部门和分支行的意见。规章制度制定部门负责根据业务及管理需要，按制度管理流程起草、会签、发布、修订及管理制度，并对制度的合规性、完整性、操作性、协调性和有效性负主要责任。 第二十八条 【部门及岗位控制】 信用卡中心应根据经营管理需要，合理确定部门、岗位的职责和权限，形成规范的部门、岗位职责说明，明确相应的报告路线。 第二十九条 【授权控制】 信用卡中心各项业务活动应严格按照《商业银行授权、授信管理暂行办法》、《中国x银行经营管理授权办法》、本行现有相关规章制度以及总行对信用卡中心的经营管理授权权限执行。 信用卡中心经营管理转授权应适当、明确，并采取书面形式。信用卡中心应根据各部门业务发展需要，明确各部门、岗位、人员办理业务和事项的权限，实行区别授权，并实施动态调整。 信用卡中心各部门及其人员在获得批准和授权后，必须严格执行授权权限及授权要求，在自身职责和权限范围内开展工作，严禁越权行为。对于重大的业务和事项，应按制度要求实行集体决策审批或者联签制度，任何人不得单独进行决策或者擅自改变集体决策。 第三十条 【不相容岗位分离制度】 各业务部门应结合经营管理及业务特点，明确划分相关岗位之间的职责，全面系统地分析、梳理业务流程和管理活动中所涉及的不相容岗位，实施相应的分离措施，建立职责分离、横向与纵向相互制约的机制，并严格按规定程序办理各项业务。涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。 信用卡中心以下岗位职责必须分离： （一）授权审批、台账管理、风险控制、资金划拨、会计核算。 （二）固定资产及内部财产的购置、登记、保管、领发与会计核算。 （三）各项资金（含信贷、财务）及财产损失的确定与核销。 （四）集中采购的使用、业务主管、审批、采购与监督。 （五）计算机信息系统的管理、开发、维护与业务应用操作。 （六）各项交易业务的授权审批与具体经办。 （七）重要空白凭证保管与相应重要业务印章的使用。 （八）现场制卡岗与建档、外呼激活、发卡、空白卡片保管等岗。 （九）营销岗、审批岗、催收岗等岗。 （十）业务操作人员与市场营销人员。 （十一）其他有必要实行责任分离的部门或岗位。 第三十一条 【亲属回避制度】 信用卡中心有亲属关系的人员（含劳务派遣制人员）不得同时在信用卡中心本部或电话营销团队工作，应实施回避。信用卡中心人员之间有下列关系之一的，属于有亲属关系：直系血亲关系，包括父母、子女等；配偶关系；近姻亲关系，包括配偶的父母、配偶的兄弟姐妹及其配偶、子女的配偶及子女配偶的父母。人力资源部门及各业务部门应充分了解员工的主要亲属关系，对亲属回避制度的执行有效性负责。 第三十二条 【人员轮换及强制休假制度】 信用卡中心应明确重要岗位，并指定重要岗位的控制要求，重要岗位应当实行定期或不定期的轮岗或强制休假制度。原则上不相容岗位人员之间不得轮岗。 第三十三条 【员工行为管理】 信用卡中心应遵循总行制定的员工行为基本规范，并制定规范信用卡员工行为的相关制度，明确对员工的禁止性规定，加强对员工行为的监督和排查，建立员工异常行为举报、查处机制。 第三十四条 【会计系统控制】 信用卡中心应严格执行总行会计制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，及时准确地反映各项业务交易，确保财务会计信息清晰、真实、完整。 第三十五条 【财产保护控制】 信用卡中心应建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，严格限制未经授权的人员接触和处置财产，确保财产安全。 第三十六条 【外包业务控制】 信用卡中心应建立外包管理制度，明确外包管理组织架构和管理职责，定期开展外包业务风险评估。其中，涉及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包。如信用卡发卡营销、领用合同（协议）签约、授信审批、交易授权、交易监测、资金结算等核心业务。 第三十七条 【预算控制】 信用卡中心应实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。 第三十八条 【运营分析控制】 信用卡中心应建立运营情况分析制度，相关业务部门应当综合运用经营管理和财务等方面的信息，通过对比等多种分析方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。 第三十九条 【绩效考评控制】 信用卡中心应建立和实施科学的绩效考评体系、合理设定内部控制考评标准，对考评对象在特定期间的内部控制活动进行评价，并根据考评结果改进内部控制管理。 信用卡中心内控管理职能部门和内部审计部门的绩效考评方式应区别于业务部门，以利于其有效履行内部控制管理和监督职能。 第四十条 【事后监督控制】 信用卡中心应实行完备、有效的事后监督控制，配置专人对各类核算业务逐日（包括节假日）进行序时、及时、连续、全面的事后监督，按照重要性原则确定监督范围、比例、要素，发现问题立即查询、反馈并及时纠正。 第四十一条 【新产品及服务】 在提供新产品和服务时，应由主办部门对潜在的风险进行评估，并制定相应的管理制度和业务流程，并经过必要的测试、风险评估和会签，报总经理室或主管行领导批准后实施。 第四十二条 【法律事务管理】 质量监控部法律事务室统一管理各类授权、授信涉及的法律事务，制定和审查法律文本，对新业务的推出进行法律论证，确保各项业务的合法和有效。同时完善信用卡中心法规库，及时收集更新相关法律、法规，并指导信用卡业务开展，为卡中心员工提供法务咨询和培训。 第四十三条 【信息系统控制】 信用卡中心应建立健全信息系统控制，通过内部控制流程与业务操作系统和管理信息系统的有效结合，加强对业务和管理活动的系统自动控制。 建立健全信息资料保全系统，确保信息资料（包括各类存储媒体形式的业务数据和技术文档资料）的完整性、真实性、保密性、安全性。 第四十四条 【业务连续性管理】 信用卡中心应建立科学的业务连续性管理体系，明确组织结构和管理职能，制定重要业务的业务连续性计划，组织开展演练和评估，有效应对运营中断事件，保证业务持续运营。 第四十五条 【重大风险预警和突发事件应急处理机制】 信用卡中心应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案，明确责任人员，规范处置程序，确保突发事件得到及时妥善处理。 对各重要部门和岗位应建立实施完备有效的应急应变计划。对因意外灾害及人为原因可能造成的各类突发事件或故障，制订应急预案。加强灾害性事故防范和应对演练，确保资金、人员和设施安全，建立实体保护的保险制度。对重要及关键岗位人员必须建立适当的人员备份。 第四十六条 【消费者权益保护】 信用卡中心应建立消费者权益保护机制，完善消费者权益保护制度体系，采取措施切实保障制度的执行，在产品和服务进入市场前采取有效措施避免侵害消费者合法权益行为的发生，并对信用卡中心各部门消费者权益保护工作进行考核。 第四十七条 【内部检查】 信用卡中心应加强内部检查工作，保证内部检查机构设置、人员配备和工作独立性。 第二节 信用卡业务的内部控制重点措施 第四十八条 【信用卡审批授信】 发行信用卡，应当在全行统一的授信管理原则下，建立客户信用评价标准和方法，对申请人相关资料的合法性、真实性、完整性和有效性进行严格审查，确定客户的信用额度，并严格按照授权进行审批。 第四十九条 【信用卡贷后管理】 信用卡中心应当对信用卡持卡人的透支行为建立有效的监控机制，健全信用卡透支催收责任制度，建立有效的透支监控机制，业务处理系统应具有实时监督、超额控制、异常交易预警等功能，并实现催收透支的计算机管理，从违规、信用、诈骗等方面防范与控制透支风险。信用卡中心应当定期与信用卡持卡人对账，严格管理透支款项，切实防范恶意透支等风险。 第五十条 【信用卡重控管理】 信用卡中心应当建立和健全内部管理机制，完善重要凭证、空白卡、止付名单、技术档案等重要资料的传递与存放管理，确保交接手续的严密。保险柜的钥匙和密码必须双人分管；制卡机应由专人负责操作。 第五十一条 【信用卡业务档案管理】 信用卡中心应建立、健全档案管理制度，妥善保管信用卡中心各部门在党政活动、经营管理及各项业务活动中直接形成的有保存价值的各种文字、图表、声像等不同形式的历史记录。确保档案的真实性、完整性与准确性。 第五十二条 【信用卡业务风险控制矩阵】 信用卡业务风险控制矩阵规定了信用卡业务的重要内部控制业务环节，包括审批与开户、卡片管理、交易监控、透支管理、额度调整、交易清算、卡片挂失、拒付调单、呆账核销、收费、账单管理、应急管理、合作方管理、数据提取、市场活动和安全控制等。 信用卡中心根据业务的发展变化及时修订、更新风险控制矩阵；每年对风险控制矩阵中的风险点进行检查，对发现的内控问题及时整改。 第三节 计划财务的内部控制重点措施 第五十三条 【重大事项决策机制】 信用卡中心成立大额支出审批委员会、招标采购委员会,并根据职责对信用卡中心大额财务支出、集中招标采购等重大事项进行审议。 第五十四条 【财务收支控制】 信用卡中心应严格控制财务收支事项，制定合理的财务审批权限，严禁越权、擅权审批。各项收入应及时、足额、完整入账。任何部门及个人不得少计、少收、转移、挪用、截留收入。严禁乱划、乱挤、乱冲、乱摊、乱支及虚列各项成本支出,各项准备金应按规定提取、使用。营业费用支出严格控制在核定的限额内，必须据实列支，严禁费用挂账、以拨代支。 第五十五条 【权责发生制核算原则】 信用卡中心对应计、应提、应列、应摊、应并的财务收支必须按规定进行核算,确保损益真实、准确、完整，严禁隐瞒、虚造损益，严禁截留利润。 第五十六条 【固定资产管理控制】 信用卡中心应严格固定资产账务核算管理;建立健全固定资产购建、领用、改造、维修、报废及实物管理、残值入账等各项内控管理制度;固定资产的处置应按照规定权限执行，评估依照国家和本行有关规定执行，处置固定资产时原则上应以溢价为前提，避免资产损失。 第五十七条 【非信贷资产管理控制】 信用卡中心应严格控制非信贷风险资产的占用，加强新增非信贷风险资产准入管理；建立健全非信贷资产的监测、分析、报告制度；及时处理非信贷风险资产，落实资产保全和追索责任；严格执行非信贷风险资产损失申报、审批、列支程序，强化非信贷风险资产损失冲销后管理。 第五十八条 【纳税管理】 信用卡中心应严格按照有关法律、法规等规定设置帐簿，根据合法、有效凭证记帐，进行核算；应及时向税务机关申报办理税务登记，按照规定的申报期限、申报内容如实办理纳税申报，报送纳税申报表、财务会计报表以及税务机关根据实际需要要求纳税人报送的其他纳税资料，并在规定的期限内及时缴纳或者解缴税款。 第五十九条 【统计管理】 信用卡中心信息统计工作应遵循客观性、科学性、统一性、及时性和保密性的原则，统计信息的采集、整理、披露、档案管理各环节应严格遵守国家有关法律、法规及监管部门的要求，确保及时、准确、全面地完成各项金融业务统计报表。 信用卡中心应建立健全统计资料的审核、调(查)阅、交接、档案和保密等各项管理制度，加强统计资料的管理，防止商业机密的泄漏和相关资料的散失。 第四节 会计的内部控制重点措施 第六十条 【会计人员从业资格及任职控制】 会计人员、会计主管及会计负责人应实行从业资格管理，建立会计人员档案。会计人员、会计主管及会计负责人应当具有与其岗位、职位相适应的专业资格或技能，持证上岗。 会计部门负责人变动，须经上级主管部门同意；会计人员调动工作或离职，应当办理交接手续，严格执行交接程序。 第六十一条 【会计岗位设置及权限管理】 会计岗位设置应当实行责任分离、相互制约的原则，严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作。 应当明确会计部门、会计人员的权限，各级会计部门、会计人员应当在各自的权限内行事，凡超越权限的，须经授权后，方可办理。 第六十二条 【会计工作的独立性】 信用卡中心应当确保会计工作的独立性，确保会计部门、会计人员能够依据国家统一的会计制度和本行的会计规范独立地办理会计业务，如实反映经营状况，任何人不得授意、暗示、指示、强令会计部门、会计人员违法或违规办理会计业务。对违法或违规的会计业务，会计部门、会计人员有权拒绝办理，并向上级机构报告，或者按照职权予以纠正。 第六十三条 【会计账务处理的监督】 信用卡中心应当对会计账务处理的全过程实行监督，会计账务应当做到账账、账据、账款、账实、账表和内外账“六相符”。凡账务核对不一致的，应当按照权限进行纠正或报上级机构处理。 第六十四条 【强制休假及离岗（任）审计制度】 信用卡中心应当对会计人员实行强制休假制度，出纳等重要会计岗位人员和会计主管还应当根据实际情况适时进行轮换，逐步推行离岗（任）审计制度。 第六十五条 【会计差错责任人追究制度】 信用卡中心应当实行会计差错责任人追究制度，发生重大会计差错、舞弊或案件，除对直接责任人员追究责任外，会计部门负责人和分管会计部门的主管总经理也应当承担相应的责任。 信用卡中心应当做到会计记录、账务处理的合法、真实、完整和准确，严禁伪造、变造会计凭证、会计账簿和其他会计资料，严禁提供虚假财务会计报告。 第六十六条 【会计档案管理】 信用卡中心应当完善会计档案管理，严格执行会计档案查阅手续，防止会计档案被替换、更改、毁损、散失和泄密。 第五节 计算机信息系统的内部控制重点措施 第六十七条 【计算机信息系统全面控制体系】 信用卡中心应建立计算机信息系统全面控制体系，加强对计算机信息系统的一般控制和应用控制。一般控制包括组织与操作控制、软件开发与维护控制、硬件控制、安全控制等；应用控制包括输入控制、处理控制和输出控制等。 第六十八条 【计算机信息系统组织与操作控制】 计算机信息系统的组织和操作控制包括以下主要措施： （一）严格划分计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度及措施，确保计算机信息系统设备、数据、系统运行和系统环境的安全。 （二）明确计算机信息系统开发人员、管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任。各级机构应当配备计算机安全管理人员，明确计算机安全管理人员的职责。 （三）制定具体管理要求，对计算机信息系统的项目立项、开发、测试、验收、运行和维护全过程实施有效管理。技术部门与业务部门之间应建立沟通协调机制，确保系统的整体安全。 （四）对软、硬件产品的选用及管理要进行控制，应当对供应商的资质进行严格审查，并对其提供的产品在投产前进行安全适用性检测。要明确产品供应商对产品使用周期内应当承担的责任，确保产品的正常使用和有效维护。 （五）机房建设应当符合国家的有关标准，对机房必须提供物理环境的安全保护、出入控制以及工作人员的活动控制。建立健全安全值班、出入登记等各种机房管理制度，出入机房应当有严格的审批程序和出入记录，严格控制进入机房的人员和对机房设备的使用，严禁各种危险物品进入机房，并确保机房辅助设施的安全有效。 （六）计算机机房和营业网点应当有完备的计算机监控系统，确保计算机终端的正常使用。妥善保管电子门禁、视频监控录像系统的信息资料，确保计算机硬件、各种存储介质的物理安全。 （七）按工作性质划分对操作系统、数据库、网络、计算机设备、数据等的访问权限，确保系统的安全。对计算机信息系统实施有效的访问控制和授权管理， （八）对计算机信息系统实施有效的用户管理和密码（口令）管理，对用户的创建、变更、删除、用户口令的长度、时效等均应当有严格的控制。员工之间严禁转让计算机信息系统的用户名或权限卡，员工离岗前应当及时上收相关用户权。 第六十九条 【系统软件开发与维护控制】 系统软件开发与维护控制主要包括以下措施： （一）应用软件应根据业务需求书进行开发或修改，确保其符合相关法律法规、规章制度和业务处理的要求，并应符合国家及金融行业软件工程的有关标准，各种档案资料必须齐全。 （二）新开发