<h1 style="text-align: center;">第一章 总则:</h1>第一条 为建立健全公司内部控制体系,有效防范经营风险,促进公司可持续发展,根据财政部等五部委发布的《企业内部控制基本规范》(财会(2008) 7号)及其配套指引、中国保监会发布的<保险公司内部控制基本准则》(保监发(2010) 69号)等监管规定、总行制定的《内部控制规定(2016版)》(工银规章(2016)213号)以及本公司章程, 結合公司管理经营实际情况制定本规定。<br>第二条 本规定所称内部控制,是指公司各层级的机构和人员,依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各项风险,防止公司经营偏离发展战略和经营目标的机制和过程。 第三条 内部控制应为以下目标提供合理保证<br>(一)行为合规性用标。保证公司的经营管理行为遵守法在法规、监管规定、行业规范、公司内部管理制度和诚信原则。<br>(二)资产安全性目标。保证公司资产安全可靠防止公司资产被非法使用、处置和侵占。<br>(三)信息真实性目标。保证公司财务报告、偿付能力振告等业务、财务及管理信息的真实、准确、完整。<br>(四)经营有效性目标。增强公司决策执行力,提高管理效率,改善经营效益。<br>(五)战略保障性目标。保障公司实现发展战略,促进稳健经营和可持续发展,保护股东、客户及其他利益相关者的合法权益。 第四条 公司建立和实施内部控制.应当遵循以下原则:<br>(一)全面和重点相统一。公司应当建立全面、系统、规范化的内部控制体系,覆盖所有业务流程和操作环节,贯穿经营管理全过程。在全面管理的基础上. 对公司重要业务事项和高风险领域<br>实施重点控制。<br>(二)制衡和协作相统一。公司内部控制应当在组织架构、岗位设置、权责分配、业务流程等方面。通过适当的职责分离、授权和层级审批等机制,形威合理制约和有效监督。在制衡的基础上,各职能部门和业务单位之间应当相互配合,密切协作,提高效率,避免相互推诿或工作遗漏。<br>(三)权威性和适应性相统一。公司内部控制应当与绩效考核和间责相挂钩,任何人不得拥有不受内部控制约来的权力,未授经授权不得更改内都控制程序。在确保内部控制权威性的基础上,公司应当及时调整和定期优化内部控制流程,使之不断道应经营环境和管理要求的变化。<br>(四)有效控制和合理成本相统一。公司内部控制应当与公司实际风险状况相匹配,确保内部控制措施满足管理需求,风险得到有效防范。在有效控制的前提下.合理配置资源,尽可能降低内部控制成本。 第五条 公司内部控制体系包括以下三个组成部分:<br>(一)内部控制基础。包括公司治理、组织架构、人力资源、信息系统和企业文化等。<br>(二)内部控制程序。包括识别评估风险、设计实施控制措施等。<br>(三)内部控制保证。包括信息沟通、内控管理、内部审计、应急机制和风险问责等。 第六条 内部控制基础。公司应加强内部控制基础建设,为有效实施内部控制营造良好的环境:<br>公司应规范公司治理.形威授权清晰、运作规范、科学有效的决策、执行、监督机制。公司董事会、监事会和管理会应对内部控制高度重视,带头认真履行内控职能。<br>公司应根操业务流程和内部控制的需要,建立合理的组织架构。按照便于管理、易于考核、简化要级避免交叉的原则 科学设置内设机构、分支机构和工作岗位明确职责分工,规定清晰的报告路线。<br>公司应建立与内部控制需要相道应的人力资源政策, 确保关键岗位的人员只有专业胜任能力并定期接受相关培训,公司关键岗位的考核、薪酬、奖惩、晋升等人力资源政策应当与内部控制成效挂钩。<br>公司应建立安全实用、覆盖所有业务环节的信息系统,使各项业务活动信息化、流程化、自动化,减少或消除人为干预和操作失误,为内部控制提供技术保障和系统支持。<br>公司应培育领导高度重视、内控人人有责和违规必受追究的内控企业文化,形成以风险控制为导向的管理理念和经营风格,提高全体员工的风险防范意识,使内控制度得到自觉遵守。 第七条 内部控制程序。总公司各部门、各分支机构应根据风险规律,合理设计内嵌于业务活动的各项内部控制措施.努力实现对风险的过程控制。<br>总公司各部门、各分支机构应对经营管理和业务活动中可能面临的风险因素进行全面系统的识别分析,发现并确定风险点同时对重要风险点的发生概率、 诱发因素、扩敝规律和可能损失进行定性和定量评估.确定风险应对策略和控制重点。<br>总公司各部门、各分支机构应根据风险识别评估的结果,科学设计内部控制政策、程序和播施并严格执行,同时根操控制效果不断改进内部控制流程将风险控制在预定目标或可承受的范国内。 第八条 内部控制保证。公司应建立多层次、全方位的监控体系实现对内部控制活动的事前事中事店有效监控为实现内控目标提供保证。公司应建立信息和沟通机制.促进公司信息的广泛共享和及时充分沟洒,提高经营管理透明度,防止舞弊事件的发生。公司应建立内控管理及评价机制,通过对公司内部控制的整体设计和统筹规划.推动各内部控制责任主体对风险进行实时监测和定期排查,并据此调整和改进公司的内部控制流程。,<br>公司应加强对内部控制的审计检查,定期根据检查结果对内部控制的健全性、合理性和有效性进行评估.并按照规定的报告路线及时向审计对象、法律合规部和管理层进行反馈和报告。,<br>公司应建立应急管理机制,制定周全和可操作性强的应急预案,明确各种风险情形下的应对措施,尽可能减少风险的影响和损失。公司应严格内部控制责任追究,对于违反重要内部控制要求的行为.无论是否造成损失,部应进行严肃处理. 追究相关责任人和领导的责任。 <h1 style="text-align: center;">第二章 内部控制的组织实施</h1>第九条 内部控制的组织架构。公司应建立由董事会负最終责任、管理层直接领导、法律合规部统筹协调、内审部检查监督、业务部门负首要责任的分工明确、路线清晰、相互协作、高效执行的内部控制组织体系。 第十条 董事会的职责。公司董事会对公司内部控制状况负最终责任.应对公司内部控制的健全性、合理性和有效性进行定期研究和评价。董事会管理审计和合规委员会应具备熟悉公司业务和管理流程、对内部控制具备足够专业知识和经验的专家成员,为董事会决策提供专业意见和建议。 第十一条 监事会的职责。公司监事会负责监督事会、管理层履行内部控制职责,对疏于履行内部控制职能的行为进行质询,对事及高级管理人员违反内部控制要求的行为.应予以纠正并根据规定的程序实施问责。监事会应有具备履行职责所需专业胜任能力的成员。 第十二条 管理层的职责。公司管理会应根据事会的决定建立健全公司内部组织架构.完善内部控制制度,组织领导内部控制体系的日常运行,为内部控制提供必要的人力、财力、物力保证,确保内部控制措施得到有效执行。 第十三条 内控管理职能部门的职责。公司法律合规部作为内控管理职能部门、负责对公司内部控制的事前、事中的统筹规划,组织推动、实时监控和定期排查。 第十四条 业务部门的职责。直接负责经营管理的公司各业务部门及人员应承担内部控制的直接责任,应参与制定并严格执行内部控先制竞按照规定的流程和方式进行操作,同时对内部控制缺陷和经营管理中发生的风险问题应按照规定时间和路线进行报告,直至问题得到整改处理 。 第十五条 内部审计部门的职责。公司内审部对内部控制履行事后检查监督职能。内审部应定期对公司内部控制的健全性、合理性和有效性进行审计审计范围应覆盖公司所有主要风险点。审计结果应按照规定的时间和路线进行报告,并向法律合规部反馈。为确保内部审计部门的独立性,公司内部审计部门应与内控管理职能部门分离。 第三章 内部控制活动<br>第一节 内部控制活动的基本要求<br>第十六条 总公司各部门、各分支机构应依据风险评估和分析的结果或根据法律法规和公司管理要求,选择和实施可以将风险降至可接受水平的控制活动。 第十七条 制度流程管理。总公司各部门、各分支机构应根据法律法规和管理要求、制定全面、 系统、规范的制度和业务操作流程并道时进行有效性和道应性评估及修订。<br>总公司各部门、各计支机构在制定各项制度和业务操作流程时应合理确定风险环节和控制活动 科重要控制活动体现在形度和洗程中并采取有效措施确保制度和业务操作流程的执行效果。 第十八条 内部控制手册。公司通过编制内部控制手册的方式对业务活动中的风险点及控制活动进行梳理,《内部控制手册》包括流程描述、流程图和风险控制矩阵。《内部控制手册》中的内容应与公司制度、业务操作流程和信息系統中的控制措施相衔接。<br>各部门应在法律合规部的统筹协调下,编制本部门所负责的业务活动的《内部控制手册》有效识别业务流程中存在的风险点采取适当的控制措施有效控制风险,并保证《内部控制手册》的全面性、准确性、及时性和连续性。 第十九条 信息系统控制。公司应建立贯穿各级机构、覆盖所有业务和全部流程的信息管理系统和业务操作系统,及时、准确记承经营管理信息,确保信息的完整、连续、准确和可追溯。公司应逐步通过内部控制流程与业务操作系统和管理信息系统的有效结合。加强对业务和管理活动的系统自动控制。 第二十条 岗位职责控制。总公司各部门、各分支机构应合理确定部门与岗位的职责及权限。制定正式、威文的部门与岗位职责说明明确相应的报告路线 确保全体员工了解内部机构设面、岗位职责、工作流程、报告关系等情况。<br>总公司各部门、各分支机构应全面系统地分析、杭理业务元程和管理活动中所涉及的不相容岗位。实施相应的分寓措施 形成各司其职、各负其费相互制约的工作机制。 第二节<br>内部控制活动的类别<br>第二十一条 内部控制活动的类别。公司根据业务流程特点和资源优化配置的要求.按照控制风险、提升服务、降低成本、提高效率的原则,科学建立和合理划分内部控制活动的重点和类别。<br>公司内部控制活动分为战略与治理、保险业务、投资业务、基础管理、监督等五个部分。 第二十二条 战略与治理控制活动。战略与治理控制包括战略管理和公司治理方面的各项控制活动。<br>公司应规范战略管理中的信息收集、战略决策制定、论证和审批、决策执行评估和跟踪反愤等控制事项.为相关部门提供必备的人力财力保障.提高战略研究的指导性和实用性,确保公司经营目标的合理性和决策的料学性。公司应规范关联交易管理,确保关联交易的合规性、公允性、合理性,充分保障各股东和公司的合法权益。<br>公司应规范公开信息披露管理,明确各部门信息披夏管理职责,完善信息披露管理流程,切实保障投保人、被保险人、受益人的合法权益。 第二十三条 保险业务控制活动。保险业务控制活动主要包括销管控制和运营控制。<br>销售控制主要包指销售过程管理、 销售品质管理、销售人员管理、销售机构管理、佣金及中介费用管理等活动的全过程控制。公司应以市场和客户为导向,以业务品质和效益为中心,组织实施销售控制活动。公司应根据不同渠道和方式销售活动的特点,制定有针对性的内部控制制度.强化对销售过程的控制,防范销售风险。<br>运营控制主要包括产品开发管理、承保管理、理赔管理、保全管理、收付费管理、再保险管理、业务单证管理、客户服务管理、反洗钱管理等活动的全过程控制。,<br>公司应以效率和风险控制为中心,按照集中化、专业化的要求.组织实施运营控制活动。公司应针对运营活动的不同环节制定相应的管理制度,强化操作流程控制.确保业务活动正常运转,防范运营风险。 第二十四条 投资业务控制活动。投资业务是公司经营活动中相对独立的部分组成,是内部控制的重点领域。投资业务控制包括资产战略配置、资产负债匹配、投资决策管理、投资交易管理和资产托管等活动的全过程控制。<br>公司应以安全性、收益性、流动性为中心按照集中、统一、专业、规范的要求,组织实施投资业务控制活动。<br>公司应计对投资业务的不同环节 制定相应的管理制度。规范投资决策和交易流程防范市场风险、 信用风险、流动性风险和操作风险及其它风险。<br>公司委托资产管理公司或其他机构进行投资的应确保其内部控制措施满足公司的内部控制要求。 第二十五条 基础管理控制活动。基础管理控制主要包括人力资源管理、财务管理、信息系统管理、行政管理、采购管理、品牌宣传、精算管理、法律管理、分支机构管理和外包业务管理等活动的全过程控制。。<br>总公司各部门、各分支机构应按照制度化、规范化的要求,组织实施基础管理控制活动。。<br>总公司各部门、各分支机构应针对基础管理的各项职能和活动,制定相应的管理制废并组织实施.确保基础管理有序运转、协调配合.为公司业务发展和正常经营提供支持和服务。 第二十六条 监督控制活动。监督控制包括内控管理、合规管理、风险管理和内部审计。<br>公司应建立完善的合规管理体系,明确合规管理职责.防范和化解合规风险。公司应通过制度管理、合规审核、合规检查、合规培训、合规报告等合规管理活动进行合规风险的识别、评估和监测,以形成贯穿事前、事中、事后全过程的合规管理机制。<br>公司应建立完善的全面风险管理制度体系.明确风险管理战略、风险偏好、风险管理组织架构、风险管理考核评价方法、风险管理机制等事项.以及对保险风险、市场风险、信用风险、 操作风险、战略风险、声誉风险和流动性风险的管理要求。通过风险识引年评估风险计量风险应对年控制、风险监测预警与根告等风险管理活动定期评估并监到各关风险。<br>公司应建立健全年公司目标、治理结构、管控模式,业务性质和规模相适应,与预算管理 人力资源管理、作业管理等相对独立的内部审计体系,并按照相关要求,以风险为导向开展内部审计工作,及时发现问题和组织整改,严格追究相关责任人的责任,有效防范经营风险,促进公司的稳健发展。 <h1 style="text-align: center;">第四章 内部控制评价</h1>第二十七条 内部控制评价的目的。公司应每年对内部控制体系的健全性、合理性和有效性进行综合评价,并编制内部控制评价报告。 第二十八条 内部控制评价的实施主体。公司内部控制整体评价由公司内审部牵头负责、法律合规部和各业务部门配合完成。<br>各分公司的内部控制评价工作由分公司风控合规部或综合管理部牵头负责,分公司各业务部门配合完成。<br>各级机构应将内部控制评价作为一项持续性、系统性的工作对公司经营管理风险进行梳理排查,对控制缺陷加以整改完善。 第二十九条 内部控制评价的过程。公司各部门应结合各业务流程的《内部控制手册》对内部控制体系的健全性、合理性进行评价并通过不断完善制度、流程加强各项内部控制措施。<br>内部控制评价过程中法律合规部及内审部应组织开展全公司范围内的控制有效性测试,以检查公司各项业务流程的内控措施在各级机构的执行情况从而对内部控制体系的有效性进行评价。 第三十条 内部控制评价报告。公司实施完成内部控制评价工作以后,应当编制内部控制评价报告。公司内审部牵头负责公司内部控制评价报告的编制工作,各分公司风控合规部或综合管理部负责分公司内部控制评价报告的编制工作。 第三十一条 内部控制评价报告的审议和报备。公司内部控制评价报告应提交公司事会审议。审议通过后的内部控制评估报告中的相关内容,应按照中国保监会的要求上报保监会。<br>分公司内部控制评价报告应报送分公司管理层.并按总公司要求报送总公司内审部及法律合规部。各分公司应按照当地监管部门的要求,按时向监管部门报送分公司内部控制评价报告。 <div style="text-align: left;"><br></div><div><div style="text-align: left;">第五章附则第三十二条本规定自发布之日起执行。</div></div>