第十六条 内部审计部门应对董事会和审计委员会负责，制定内部审计程序，评价风险状况和管理情况，落实年度审计工作计划，开展后续审计，监督整改情况，对审计项目质量负责，做好档案管理。
    第十七条 内部审计事项主要包括：
    （一）经营管理的合规性及合规部门工作情况。
    （二）内部控制的健全性和有效性。
    （三）风险状况及风险识别、计量、监控程序的适用性和有效性。
    （四）信息系统规划设计、开发运行和管理维护的情况。
    （五）会计记录和财务报告的准确性和可靠性。
    （六）与风险相关的资本评估系统情况。
    （七）机构运营绩效和管理人员履职情况等。
                   第四章 权限
    第十八条 银行业金融机构应当以制度形式明确赋予内部审计部门履行职责所必需的权限。
    第十九条 内部审计部门有权列席或参加与内部审计部门职责有关的会议。
    第二十条 内部审计部门有权及时、全面了解经营管理信息，并就有关问题向审计对象和相关人员进行调查、质询、取证。
    第二十一条 内部审计部门认为必要时有权向董事会直接汇报审计发现。
    第二十二条 内部审计部门应具有处理建议权和必要的处罚权。
    第二十三条  内部审计部门对拒绝接受或不配合内部审计、拒绝提供或提供虚假资料、打击报复或陷害审计人员的，有权向上级报告，要求及时予以制止并做出处理。
                 第五章  质量控制
    第二十四条  内部审计部门可就风险管理、内部控制等有关问题提供咨询服务，但不应直接参与或负责内部控制设计和经营管理决策与执行。
    第二十五条  内部审计部门应在年度风险评估的基础上确定审计重点，审计频率和程度应与银行业金融机构业务性质、复杂程度、风险状况和管理水平相一致。
    对每一营业机构的风险评估每年至少一次，审计每两年至少一次。
    第二十六条  内部审计部门和审计人员应严格按照审计程序和审计方法实施审计项目，并定期进行自我评估。
    第二十七条  内部审计部门应建立内部审计人员的审计回避制度，确保内部审计的客观性。
    第二十八条 内部审计部门应建立内部审计人员后续培训制度，鼓励内部审计人员取得注册会计师、注册内部审计师、注册信息系统审计师等执业资格，以保证内部审计人员的专业胜任能力。
    第二十九条 内部审计部门应加强科技手段和信息技术在审计工作中的运用，建立完善非现场内部审计监测体系及内部审计操作系统、信息管理系统。
    第三十条  内部审计部门根据工作需要，经董事会批准后，可将部分内部审计项目外包，但需事先对外包机构的独立性、客观性和专业胜任能力进行评估。
    第三十一条  内部审计部门应建立审计复议制度，对审计对象提出异议的审计结论，由作出审计结论的审计机构的上级机构进行复议。
    第三十二条  董事会可聘请外部机构对内部审计部门的尽职情况进行评价，并保证外部检查人员独立于评价对象、具备专业胜任能力以及与评价对象没有利益冲突。
                   第六章 报告制度
    第三十三条  银行业金融机构应建立与垂直管理体系相适应的内部审计报告制度和报告线路。