1. 銀行業金融機構信息系統風險管理指引的主要要求是什麼
機構職責
第六條 銀行業金融機構應建立有效的信息系統風險管理架構,完善內部組織結構和工作機制,防範和控制信息系統風險。
第七條 銀行業金融機構應認真履行下列信息系統管理職責:
(一)貫徹執行國家有關信息系統管理的法律、法規和技術標准,落實銀監會相關監管要求;
(二)建立有效的信息安全保障體系和內部控制規程,明確信息系統風險管理崗位責任制度,並監督落實;
(三)負責組織對本機構信息系統風險進行檢查、評估、分析,及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息;
(四)及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件,並按有關預案快速響應;
(五)每年經董事會或其他決策機構審查後向銀監會及其派出機構報送信息系統風險管理的年度報告;
(六)做好本機構信息系統審計工作;
(七)配合銀監會及其派出機構做好信息系統風險監督檢查工作,並按照監管意見進行整改;
(八)組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓;
(九)開展與信息系統風險管理相關的其他工作。
第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理;信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略,統籌信息系統項目建設,定期評估、報告本機構信息系統風險狀況,為決策層提供建議,採取相應的風險控制措施。
第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。
第十條 銀行業金融機構應設立信息科技部門,統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控,提供日常科技服務和運行技術支持;建立或明確專門信息系統風險管理部門,建立、健全信息系統風險管理規章、制度,並協助業務部門及信息科技部門嚴格執行,提供相關的監管信息;設立審計部門或專門審計崗位,建立健全信息系統風險審計制度,配備適量的合格人員進行信息系統風險審計。
第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求:
(一)具備良好的職業道德,掌握履行信息系統相關崗位職責所需的專業知識和技能;
(二)未經崗前培訓或培訓不合格者不得上崗;經考核不適宜的工作人員,應及時進行調整。
第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設,建立人才激勵機制,適應信息技術的發展。
第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。
總體風險控制
第十四條 總體風險是指信息系統在策略、制度、機房、軟體、硬體、網路、數據、文檔等方面影響全局或共有的風險。
第十五條 銀行業金融機構應根據信息系統總體規劃,制定明確、持續的風險管理策略,按照信息系統的敏感程度對各個集成要素進行分析和評估,並實施有效控制。
第十六條 銀行業金融機構應採取措施防範自然災害、運行環境變化等產生的安全威脅,防止各類突發事故和惡意攻擊。
第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等;明確與信息系統相關人員的職責許可權,建立制約機制,實行最小授權。
第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構,應防範由於境內外信息系統監管制度差異等造成的跨境風險。
第十九條 銀行業金融機構應嚴格執行國家信息安全相關標准,參照有關國際准則,積極推進信息安全標准化,實行信息安全等級保護。
第二十條 銀行業金融機構應加強對信息系統的評估和測試,及時進行修補和更新,以保證信息系統的安全性、完整性。
第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標准。全國性數據中心至少應達到國家A類機房標准,省域數據中心至少應達到國家B類機房標准,省域以下數據中心至少應達到C類機房標准。數據中心機房應實行嚴格的門禁管理措施,未經授權不得進入。
第二十二條 銀行業金融機構應重視知識產權保護,使用正版軟體,加強軟體版本管理,優先使用具有中國自主知識產權的軟、硬體產品;積極研發具有自主知識產權的信息系統和相關金融產品,並採取有效措施保護本機構信息化成果。
第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程,選用的設備應經過技術論證,測試性能應符合國家有關標准。信息系統所用的伺服器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性,並配置適當的備品備件。
第二十四條 信息系統的網路應參照相關的標准和規范設計、建設;網路設備應兼備技術先進性和產品成熟性;網路設備和線路應有冗餘備份;嚴格線路租用合同管理,按照業務和交易流量要求保證傳輸帶寬;建立完善的網管中心,監測和管理通信線路及網路設備,保障網路安全穩定運行。
第二十五條 銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離;加強無線網、互聯網接入邊界控制;使用內容過濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段,有效降低外部攻擊、信息泄漏等風險。
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理,使用符合國家安全標準的密碼設備,完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理,不得脫離系統採集加工、傳輸、存取數據;優化系統和資料庫安全設置,嚴格按授權使用系統和資料庫,採用適當的數據加密技術以保護敏感數據的傳輸和存取,保證數據的完整性、保密性。
第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途,確定存取許可權、方式和授權使用范圍,嚴格審批和登記手續。
第二十九條 銀行業金融機構應制定信息系統應急預案,並定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存,省域數據中心至少實現異地數據實時備份,全國性數據中心實現異地災備。
第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理;技術文檔資料和重要數據應保留副本並異地存放,按規定年限保存,調用時應嚴格授權。信息系統的技術文檔資料包括:系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括:交易數據、賬務數據、客戶數據,以及產生的報表數據等。
第三十一條 銀行業金融機構在信息系統可能影響客戶服務時,應以適當方式告知客戶。
研發風險控制
第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。
第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組,重大項目還應成立項目領導小組,並指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成,具體負責整個項目的開發工作。
第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識,小組負責人需具備組織領導能力,保證信息系統研發質量和進度。
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略,在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。
第三十六條 銀行業金融機構業務部門編寫項目需求說明書,提出風險控制要求,信息科技部門根據項目需求編制項目功能說明書。
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書,設計和編碼應符合項目功能說明書的要求。
第三十八條 銀行業金融機構應建立獨立的測試環境,以保證測試的完整性和准確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。
第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷,提高系統的整體質量。
第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃,並進行演練。
第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認並歸檔保存。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告,驗收不合格不得投產使用。
第五章運行維護風險控制
第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離,運行人員應實行專職,不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護,除應急外,其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求:
(一)制定詳細的運行值班操作表,包括規定巡檢時間,操作范圍、內容、辦法、命令以及負責人員等信息;
(二)提供常見和簡便的操作菜單或命令,如信息系統的啟動或停止、運行日誌的查詢等;
(三)提供機房環境、設備使用、網路運行、系統運行等監控信息;
(四)記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求:
(一)除對信息系統設備和系統環境的維護外,對軟體或數據的維護必須通過特定的應用程序進行,添加、刪除和修改數據應通過櫃員終端,不得對資料庫進行直接操作;
(二)具備各種詳細的日誌信息,包括交易日誌和審計日誌等,以便維護和審計;
(三)提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求:
(一)制訂嚴密的變更處理流程,明確變更控制中各崗位的職責,並遵循流程實施控制和管理;變更前應明確應急和回退方案,無授權不得進行變更操作;
(二)根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性;
(三)應採用軟體工具精確判斷變更的真實位置和內容,形成變更內容核實清單,實現真實、有效、全面的檢驗;
(四)軟體版本變更後應保留初始版本和所有歷史版本,保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內,應組織對系統的後評價,並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢,明確信息系統及機房環境設施出現故障時的應急處理流程和預案,有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度,發生信息系統造成重大經濟、聲譽損失和重大影響事件,應即時上報並處理,必要時啟動應急處理預案。
外包風險控制
第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條 銀行業金融機構在進行信息系統外包時,應根據風險控制和實際需要,合理確定外包的原則和范圍,認真分析和評估外包存在的潛在風險,建立健全有關規章制度,制定相應的風險防範措施。
第五十三條 銀行業金融機構應建立健全外包承包方評估機制,充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平,並進行必要的盡職調查。評估工作可委託經國家相應監管部門認定資質,具有相關專業經驗的獨立機構完成。
第五十四條 銀行業金融機構應當與承包方簽訂書面合同,明確雙方的權利、義務,並規定承包方在安全、保密、知識產權方面的義務和責任。
第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響,並將其納入總體安全策略和風險控制之中。
第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序,審慎管理外包產生的風險,提高本機構對外包管理的能力。
第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標准和策略,並應建立針對外包風險的應急計劃。
第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制,並制定在意外情況下能夠實現承包方的順利變更,保證外包服務不間斷的應急預案。
第五十九條 銀行業金融機構將敏感的信息系統,以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時,應遵守國家有關法律法規,符合銀監會的有關規定,經過董事會或其他決策機構批准,並在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。
2. 如何理解商業銀行內部控制指引
眾所周知,一個沒有免疫系統、或免疫力偏低的生命體是不可能健康成長的,而內部控制就是企業「生命體」的免疫系統。因此,欲使城市商業銀行這一新生的特殊企業不斷成長壯大,就必須在大力拓展各項業務的同時,更加有效地推進其自身免疫系統──內部控制建設,以保證城市商業銀行的穩健發展。
一、城市商業銀行建立健全內部控制制度的必要性
城市商業銀行的內部控制指為實現經營目標,通過制定和實施一系列制度、程序和方法,對風險進行事前防範、事中控制、事後監督和糾正的動態過程和機制。以確保國家法律規定和商業銀行內部規章制度的貫徹執行;確保商業銀行的發展戰略和經營目標的全面實施和充分實現;確保風險管理體系的有效性;確保業務記錄、財務信息和其他管理信息的及時、真實和完整為目標。為此,城市商業銀行內部控制制度必須保證在各級部門和各級人員中得到正確且充分地貫徹執行,以有效杜絕內部人員的違規操作、內部欺詐與犯罪行為。
1、城市商業銀行的定位
城市商業銀行是中國特定歷史條件下金融改革的產物。它承擔了支持地方經濟發展,特別是支持中小企業的重擔。欲使城市商業銀行這一新生的特殊企業不斷成長壯大,就必須在大力拓展業務的同時,更加有效地推進內部控制制度的建立健全,以保證城市商業銀行的穩健發展。
2、城市商業銀行的發展需要
商業銀行特殊的經營對象—貨幣資金,特殊的經營方式—信用中介,決定了商業銀行經營活動「高負債」的基本特徵及其在國民經濟體系中的特殊地位。建立並不斷完善內部控制,既是城市商業銀行在追求自身經濟利益過程中安全穩健運行的可靠保證,更關繫到保障存款人利益,保障市場體系正常有序地運行和國民經濟持續協調發展。商業銀行內部控制機制不論是對決策層的權力控制,組織設置中的權力制衡,還是操作層的崗位監督,都不是新課題。但巴林銀行的倒閉、大和銀行的被兼並,以及近年來,金融系統的假按揭、內外部勾結轉移資金、員工監守自盜等案件屢有發生,一次又一次以令人觸目驚心的事實揭示了商業銀行經營活動中的巨大風險,如何建立規范、系統、可靠的商業銀行內部控制系統,有效地防範商業銀行巨大的經營風險對城市商業銀行則顯得更為至關重要。
3、城市商業銀行已初步建立內部控制體系
城市商業銀行在原城市信用社基礎上組建,人員素質較低、經營管理水平不高、風險高度較集中,內控體系基礎薄弱,但經過近十年的發展,隨著人員素質、經營管理水平的不斷提高,內部控制體系得到了初步建立,防範風險的能力得到不斷增強。在《中華人民共和國銀行業監督管理法》、中國人民銀行下發的《商業銀行內部控制指引》、銀監會下發的《商業銀行集團客戶授信業務風險管理指引》等法律、法規和指導性文件的推動下,城市商業銀行把加強內部建設作為一項重要工作來抓,在建立健全資金管理、信貸管理、財務管理、審計監督等內部控制制度方面開展了大量的工作,收到了良好效果。
(1)加強資金管理,提高資金使用、經營效益。按「統一計劃、兩級經營、比例管理、適時調節、歸口調劑、綜合平衡」的原則,建立資金、負債比例、債券業務、利率、存款、現金、票據貼現等方面管理規定。初步實現了資金的安全性、流動性和盈利性的統一。
(2)實行審貸分離,完善貸款風險防範機制。城市商業銀行為了防範信貸風險,加強了對信貸工作的管理力度,不斷健全信貸風險管理制度。一是成立貸款審查委員會並制定其工作規則,實行嚴格的審貸分離,採取集體評審的方法,避免人情貸款,降低決策風險;二是加強貸款審批許可權管理,根據分支機構的資產風險狀況、貸款種類,分別下達貸款的審批許可權,促進信貸資金的優化配置;三是根據不同的貸款種類,制定相應的操作規程,使每筆貸款的發放做到程序化和規范化。
(3)強化財務管理,健全會計內部控制制度。為強化財務管理,規范會計操作,防範會計風險,採取了「一級對外、二級經營」的財務管理體制。一級對外指城市商業銀行的稅收統一由總部進行繳納;固定資產、租賃費、鈔幣運送費等固定費用統一由總部列支,集中管理;大宗物品統一由總部進行采購。二級經營指城市商業銀行的各支機構獨立對外辦理各項業務,各支機構實行指標控制下的費用開支。
(4)提高審計地位,內部審計權威得到加強。一是堅持集中審計、下審一級的原則,保證審計活動能夠獨立公正地進行;二是完善審計組織體系,充實審計隊伍;三是規范審計程序,擴大審計范圍,完善審計手段。
二、當前城市商業銀行內部控制中存在的問題
中國銀行業監督管理委員會副主席唐雙寧指出,我國商業銀行目前在內部控制方面存在銀行公司法人治理結構有待進一步完善;銀行尚未真正建立內控文化;控制分散與控制不足並存;部分基層機構內控制度執行情況不容樂觀,有章不循、違規操作的現象依然存在;銀行分支機構內控制度的檢查、評價不足等5個急需要解決的問題。城市商業銀行在市場化運行的實踐中,與建立規范化商業銀行的高標准相比,內部控制建設仍然存在明顯不足,迫切需要加以改進。主要表現在:
1、對內控制度的認識不到位,違規經營時有發生。有的城市商業銀行把內部控制簡單地理解為各種規章制度的制定、裝訂、匯總,認為做了整章建制方面的工作,就等於建立了內控機制;有的城市商業銀行在把握內控與管理、內控與風險、內控與發展的關系等問題上,認識有偏差,把加強內控與發展和效益對立起來,在業務拓展和風險防範的抉擇中,側重於抓規模、抓效益,不切實際地求得資產規模的擴張,造成違規違章現象發生,以致資產質量低下。
2、對分支機構的控制不力,管理還有漏洞。有的城市商業銀行支行的負責人長期沒有交流和輪換,使這些支行存在的問題難以及時被發現,經營風險加大。有的城市商業銀行對分支機構的管理,往往是任務、指標布置的較多,對完成任務的過程和手段檢查不夠,對執行金融方針政策的檢查較少。
3、法人治理結構不完善,缺乏監督制約機制。有的城市商業銀行董事會與經營班子、法人代表與經營負責人合二為一,不符合《公司法》、《商業銀行法》要求,這實際上導致銀行內部制約機制的失效;有的董事長與行長職責不清,權責不明,造成董事長直接經營,行長沒有相應權力,或者行長權力過大,缺少董事會約束;有的股東大會及監事會形同虛設,沒有發揮應有的監督作用。
4、稽核機制不建全,影響內部控制的有效落實。有的城市商業銀行內部稽核部門力量薄弱,人員素質不高,不能起到查錯防漏、糾正違規、強化管理、控制風險的作用。有的內部稽核體制不順,本身沒有處理問題權,有的問題得不到真實反映,使一些問題被積壓下來,而且對一些有章不循、建章操作的行為沒有相應的制約措施。
5、現行的內控制度不健全,不適應業務營運發展的需要。有的城市商業銀行在實現管理和經營的有效性目標方面,其沿用的內部控制規章還是過去的指標考核辦法,考核指標在數量上每年雖然的所變動,但考核的內容和方法明顯陳舊,導致一些支行從自身利益出發,置各種制約於不顧,違章操作。有的分支機構搶拉客戶,亂用核算科目,篡改賬表等問題,都說明了內控制度與業務發展不同步問題。
6、風險控制系統不健全,對內部控制的評價與監督不夠。風險控制是金融機構內部控制中的一個難點,目前城市商業銀行以整體風險控制為目標的資產負債比例管理尚處於軟約束階段,以局部風險控制為內涵的授權分責管理還執行不嚴格,缺乏具體風險評估及控制為核心的信貸風險管理監控、交易風險管理監控的手段,管理制度和評估方法也極不完善。
三、建立健全城市商業銀行內部控制的方法
1、建立城市商業銀行有效內部控制
城市商業銀行有效內部控制(無時不控、無處不控、無事不控、無人不控)要做到「一二三四五」。一是要培育一種在全行上下得到溝通、講究誠信、勤勉盡責、排斥利益沖突的控制文化。二是要破除兩個誤區:(1)以運動式的檢查監督代替連續性的內部控制,(2)以內部控制規章制度代替內部控制。三是要確立內部控制的三大目標,構築三位一體的內部控制體系,具體而言,就是要確立經營的效率和效果、財務信息的可靠性和完整性以及遵循法律規章這三大控制目標,構築前台監控、中台監督和後台評價的三位一體的內部控制體系。四是要建設好前台監督、內部控制、內部稽核和風險管理委員會四支內部控制監督隊伍。由於基層網點復核人員配備不充分,可將事後監督關口前移到一線進行事前預防性控制;內部控制應實行集約化管理,整合會計、清算、儲蓄、信用卡、信貸、科技等各項監督檢查職能,進行檢查性控制和指導性控制;內部稽核對內部控制的效果進行獨立的後評價,起到糾正性控製作用;風險管理委員會負責對銀行的全面風險管理,是內部控制的最高決策機構,發揮戰略性控製作用。五是要建立內部控制五要素的分析評價框架,學會運用管理層的監督和控制文化、風險確認和評估、控制活動和職責分離、信息交流和溝通以及監督活動和糾正缺陷這五大要素對城市商業銀行的內部控制狀況進行分析和評價。
2、構建「以人為本」的城市商業銀行內部控制體系
在現代公司制下,以保護資產和查錯防弊為主要內容的內部控制,明顯不能滿足需要。這種內控職責不僅僅包括財產的安全完整和會計資料的真實可靠,還將促進單位貫徹其經營方針及提高經營效率納入其中,這是公司治理結構對內部控制提出的新要求。因此,商業銀行的內部控制構建思路是:明確各控製成分之間的相互關系,建立以控制環境為基礎、風險評估為依據、控制活動為手段、信息與溝通為載體,監督與控制為保證的內部控制整體框架。
(1)以「人本主義」作為構建內部控制機制的信條,營造良好的內控管理文化氛圍。具體表現在內部環境的控制,包括領導班子與組織機構控制、人力資源管理、安全保衛及法規管理、信息系統控制等方面,既要重視正式約束的建設,也要充分考慮非正式約束的作用。從內控管理降低銀行風險的角度看,好的非正式約束有助於人們價值觀念、道德規范的形成,自覺約束人們的行為,減少制度對其的強制性。從而節約銀行運行中處理磨擦的費用和正式約束制度成本的支出,避免出現再好的正式約束制度由於沒有非正式約束的配合導致「好看不中用」尷尬局面。
(2)以「風險評價」為依據,通過建立內控評價管理辦法推動內控管理工作有序開展。
a.制度建設評價標准,內部控制制度建設評價標准,首先要遵循國家的金融監管政策法律法規;二是遵循「控制論」的基本原理,既要具有完整性和有機結合性,又要以「有效控制」為原則,通過對信用風險、市場風險、操作風險等有效監測分析、有效控制銀行經營活動;三是遵循電子技術的程序化和科學化原則,將內控資料規范存儲和積累,便於監測、分析和評價工作的順利開展。
b.制度執行評價標准
內控制度執行評價標准包括內控環境、內控風險識別、內控活動的有效性、內控信息的交流反饋。一是內控環境標准,包括:內控執行人員的價值觀和道德觀是否完整可靠;內控激勵約束機制的作用程度是否達到預期目的;各級管理層的內控意識是否牢固樹立;內控人員的內控能力是否與其責任相匹配;內控用人機制是否健全有效;內控管理層和監督層對內控是否給予了充分的關注等。二是內控風險識別標准,包括:內控管理的總體目標和分項目標是否明確,二者的關聯程度如何,各級管理層為確保整體目標實現的參與情況和承擔責任是否清晰、明確;是否建立了對內部和外部內控風險預測和識別機制,即內控風險預測是否透徹和恰當,內控風險評價概率和頻率依據是否准確可靠,是否建立了內控風險的預測和識別的反應機制。三是內控活動的有效性標准,包括:銀行的每項經營和管理是否都設有恰當的風險監控活動;內部風險控制活動是否保證內控指令得到全面的執行;通過內控活動的實施是否及時有效地化解相關風險。四是內控信息的及時反饋標准,包括:是否建立了各種有效的內控信息交流反饋系統,即內控系統崗位員工通過內控責任的履行,發現可疑和不軌行為是否及時將信息傳遞給管理層,管理層是否將內控信息以一定方式及時轉達給有關人員有效履行其內控職責,達到內控的預期效果;內部控制系統當中每位員工和每個內控管理部門所負有的內控管理信息的交流職責、交流渠道、交流方式、交流時間是否真正明確;內控信息的上傳下達和橫向交流手段與方式是否切實可行、及時有效等。
c.內控制度保障評價標准
一是是否建立和設置了適時跟蹤評價反饋內控情況的渠道和工作程序以及組織保障措施。二是內控體系中各個職能部門之間的內控制約關系是否建立和運轉有效。三是內控制度的缺陷是否得到及時的發現和糾正。四是隨著銀行業務的不斷拓展和品種的創新,內部控制制度、程序和政策是否得到了及時的調整、修正和完善。
(3)以「高效信息溝通」為依託,通過電子化信息交流渠道的安全運轉,保證銀行內控體系有效運作。通過建立風險報告制度保證風險管理的信息溝通,保證決策層能夠通過內控評價和風險報告,對內控狀況進行檢查評價,對風險監測報告進行整理分析,做出有分析依據的判斷決策;執行層在責任劃分和許可權內履行風險內控管理職責監督檢查層通過對決策管理層和執行層工作的事後再監督與檢查,對違規違紀行為進行處罰。
只有形成內控管理有標准、部門設置有制約、操作有制度、崗位有職責、過程有監控、風險有監測、工作有評價、事後有考核的全面有效內控制度體系,才能確保城市商業銀行實現經營目標。
3. 商業銀行穩健薪酬監管指引的監管指引
第一章 總則
第一條 為充分發揮薪酬在商業銀行公司治理和風險管控中的導向作用,建立健全科學有效的公司治理機制,促進銀行業穩健經營和可持續發展,根據《中華人民共和國銀行業監督管理法》的有關規定,參照金融穩定理事會《穩健薪酬實踐的原則》等國際准則,制定本指引。
第二條 本指引所稱薪酬,是指商業銀行為獲得員工提供的服務和貢獻而給予的報酬及其相關支出,包括基本薪酬、績效薪酬、中長期激勵、福利性收入等項下的貨幣和非現金的各種權益性支出。
第三條 本指引所稱商業銀行,是指在中華人民共和國境內依法設立的吸收公眾存款、發放貸款、辦理結算等業務的企業法人。
第四條 商業銀行應制定有利於本行戰略目標實施和競爭力提升與人才培養、風險控制相適應的薪酬機制,並作為公司治理的主要組成部分之一。薪酬機制一般應堅持以下原則:
(一)薪酬機制與銀行公司治理要求相統一。
(二)薪酬激勵與銀行競爭能力及銀行持續能力建設相兼顧。
(三)薪酬水平與風險成本調整後的經營業績相適應。
(四)短期激勵與長期激勵相協調。
第二章 薪酬結構
第五條 商業銀行應設計統一的薪酬管理體系,其薪酬由固定薪酬、可變薪酬、福利性收入等構成。固定薪酬即基本薪酬,可變薪酬包括績效薪酬和中長期各種激勵,福利性收入包括保險費、住房公積金等。
第六條 基本薪酬是商業銀行為保障員工基本生活而支付的基本報酬,包括津補貼,主要根據員工在商業銀行經營中的勞動投入、服務年限、所承擔的經營責任及風險等因素確定。津補貼是商業銀行按照國家規定,為了補償員工特殊或額外的勞動消耗,以及受物價變動影響導致員工實際收入下降等給予員工的貨幣補助。商業銀行應當按照國家有關津貼、補貼的政策標准確定津補貼。
商業銀行應科學設計職位和崗位,合理確定不同職位和不同崗位的薪酬標准。不鼓勵商業銀行設立保底獎金,如果確有實際需要,保底獎金只適用於新僱傭員工入職第一年的薪酬發放。
商業銀行的基本薪酬一般不高於其薪酬總額的35%。
第七條 績效薪酬是商業銀行支付給員工的業績報酬和增收節支報酬,主要根據當年經營業績考核結果來確定。績效薪酬應體現充足的各類風險與各項成本抵扣和銀行可持續發展的激勵約束要求。
商業銀行主要負責人的績效薪酬根據年度經營考核結果,在其基本薪酬的3倍以內確定。
第八條 商業銀行根據國家有關規定製定本行中長期激勵計劃。商業銀行應確保可變薪酬總額不會弱化本行持續增強資本基礎的能力。
第九條 福利性收入包括商業銀行為員工支付的社會保險費、住房公積金等。對於福利性收入的管理,商業銀行要按國家有關規定執行。
第十條 商業銀行支付給員工的年度薪酬總額要綜合考慮當年人員總量、結構以及企業財務狀況、經營成果、風險控制等多種因素,參考上年薪酬總額占上年業務管理費的比例確定,國有商業銀行還應執行國家相關規定。
第三章 薪酬支付
第十一條 薪酬支付期限應與相應業務的風險持續時期保持一致。商業銀行應根據不同業務活動的業績實現和風險變化情況合理確定薪酬的支付時間並不斷加以完善性調整。
第十二條 基本薪酬按月支付。商業銀行根據薪酬年度總量計劃和分配方案支付基本薪酬。
第十三條 商業銀行應合理確定一定比例的績效薪酬,根據經營情況和風險成本分期考核情況隨基本薪酬一起支付,剩餘部分在財務年度結束後,根據年度考核結果支付。
第十四條 中長期激勵在協議約定的鎖定期到期後支付。中長期激勵的兌現應得到董事會同意。鎖定期長短取決於相應各類風險持續的時間,至少為3年。
第十五條 住房公積金、各種保險費應按照國家有關規定納入專戶管理。
第十六條 商業銀行高級管理人員以及對風險有重要影響崗位上的員工,其績效薪酬的40%以上應採取延期支付的方式,且延期支付期限一般不少於3年,其中主要高級管理人員績效薪酬的延期支付比例應高於50%,有條件的應爭取達到60%。在延期支付時段中必須遵循等分原則,不得前重後輕。
商業銀行應制定績效薪酬延期追索、扣回規定,如在規定期限內其高級管理人員和相關員工職責內的風險損失超常暴露,商業銀行有權將相應期限內已發放的績效薪酬全部追回,並止付所有未支付部分。商業銀行制定的績效薪酬延期追索、扣回規定應同樣適用離職人員。
第四章 薪酬管理
第十七條 商業銀行應建立健全科學合理的薪酬管理組織架構。
董事會按照國家有關法律和政策規定負責本行的薪酬管理制度和政策設計,並對薪酬管理負最終責任;董事會應設立相對獨立的薪酬管理委員會(小組),組成人員中至少要有三分之一以上的財務專業人員,且薪酬管理委員會(小組)應熟悉各產品線風險、成本及演變情況,以有效和負責地審議有關薪酬制度和政策。
管理層組織實施董事會薪酬管理方面的決議,人力資源部門負責具體事項的落實,風險控制、合規、計劃財務等部門參與並監督薪酬機制的執行和完善性反饋工作。
商業銀行審計部門每年應對薪酬制度的設計和執行情況進行專項審計,並報告董事會和銀行業監督管理部門。
外部審計應將薪酬制度的設計和執行情況作為審計內容。
審計、財務和風險控制部門員工的薪酬應獨立於所監督的業務條線,且薪酬的規模和質量應得到適當保證,以確保其能夠吸引合格、有經驗的人才。
第十八條 商業銀行應制訂科學、合理、與長期穩健可持續發展相適應的薪酬管理制度。薪酬管理制度一般應包括以下內容:
(一)銀行員工職位職級分類體系及其薪酬對應標准。
(二)基本薪酬的檔次分類及晉級辦法。
(三)績效薪酬的檔次分類及考核管理辦法。
(四)中長期激勵及特殊獎勵的考核管理辦法等。
第十九條 商業銀行應建立科學的績效考核指標體系,並層層分解落實到具體部門和崗位,作為績效薪酬發放的依據。商業銀行績效考核指標應包括經濟效益指標、風險成本控制指標和社會責任指標。
(一)經濟效益指標按國家有關規定選取。
(二)風險成本控制指標至少應包括資本充足率、不良貸款率、撥備覆蓋率、案件風險率、杠桿率等。信用風險與市場風險成本度量時應考慮經濟資本配置和資本成本本身變化以及撥備成本和實際損失。流動性風險成本在度量時應主要考慮壓力測試下的流動性覆蓋率和流動性資源本身的成本等因素。
(三)社會責任指標一般應包括風險管理政策的遵守情況、合法性、監管評價及道德標准、企業價值、客戶滿意度等。
董事會應於每年年初確定當年績效考核指標,並報銀行業監督管理部門備案。
第二十條 本指引第十九條所列風險成本控制指標對績效薪酬的約束參照如下標准執行:
(一)有一項指標未達到控制要求的,當年全行人均績效薪酬不得超過上年水平。
(二)有兩項指標未達到控制要求的,當年全行人均績效薪酬在上年基礎上實行下浮,高級管理人員績效薪酬下浮幅度應明顯高於平均下浮幅度。
(三)有三項及以上指標未達到控制要求的,除當年全行人均績效薪酬參照第(二)款調整外,下一年度全行基本薪酬總額不得調增。
第二十一條 商業銀行應建立有效薪酬監督機制,不得為員工或允許員工對遞延兌現部分的薪酬購買薪酬保險、責任險等避險措施降低薪酬與風險的關聯性。
第二十二條 商業銀行董事會應每年全面、及時、客觀、詳實地披露薪酬管理信息,並列為年度報告披露的重要部分。商業銀行的薪酬信息披露情況應報國家有關主管部門和銀行業監督管理部門備案。年度薪酬報告的信息披露內容主要包括:
(一)薪酬管理架構及決策程序,包括薪酬管理委員會(小組)的結構和許可權。
(二)年度薪酬總量、受益人及薪酬結構分布。
(三)薪酬與業績衡量、風險調整的標准。
(四)薪酬延期支付和非現金薪酬情況,包括因故扣回的情況。
(五)董事會、高級管理層和對銀行風險有重要影響崗位上的員工的具體薪酬信息。
(六)年度薪酬方案制定、備案及經濟、風險和社會責任指標完成考核情況。
(七)超出原定薪酬方案的例外情況,包括影響因素,以及薪酬變動的結構、形式、數量和受益對象等。
第五章 薪酬監管
第二十三條 銀行業監督管理部門應將商業銀行薪酬管理納入公司治理監管的重要內容,至少每年一次對商業銀行薪酬管理機制的健全性和有效性作出評估。
第二十四條 銀行業監督管理部門應動態跟蹤監測商業銀行薪酬管理制度的實施情況,並根據實際情況對商業銀行風險控制等考核指標的執行情況進行現場檢查。
第二十五條 對於商業銀行薪酬管理制度和績效考核指標不符合有關規定的,銀行業監督管理部門有權根據《中華人民共和國銀行業監督管理法》的相關規定責令糾正,並對下列問題予以查處:
(一)薪酬管理組織架構、薪酬管理制度不符合規定的。
(二)未按規定核定、執行和報備績效考核辦法或年度薪酬方案的。
(三)績效考核不嚴格、不符合規定或弄虛作假的。
(四)未按規定計發基本薪酬、延發績效薪酬的。
(五)未按規定追索或止付績效薪酬的。
(六)未按規定披露薪酬信息的。
(七)其他不符合國家有關政策規定的。
第二十六條 符合下列情況之一的,商業銀行薪酬結構與水平應報救助機構和銀行業監督管理部門確定:
(一) 已經實施救助措施的。
(二) 商業銀行面臨重大聲譽風險並有可能對其持續經營產生實質性影響的。
(三)商業銀行瀕臨破產、倒閉的。
(四)商業銀行被依法接管的。
(五)商業銀行被關停的。
第六章 附則
第二十七條 商業銀行在參加基本社會保險的基礎上為員工建立企業年金和補充醫療保險的,應符合國家有關規定。
扣回的薪酬應按照有關規定沖減當期費用。
第二十八條 商業銀行在境外設立的子行、分行、非銀行金融性公司由母行根據本指引的原則並結合不同國家和地區的法律規定、監管要求對其薪酬進行調控。
由銀行業監督管理部門監管的其他類銀行、非銀行金融機構參照本指引執行。
第二十九條 本指引由中國銀監會負責解釋。
第三十條 本指引自2010年3月1日起施行。
4. 銀行業金融機構外部審計監管指引的第四章 終止審計委託
第十三條 銀行業金融機構發現外審機構存在下列情形之一的,應予以特別關注,並可以終止委託其審計工作:
(一)未履行誠信、勤勉、保密義務,並造成嚴重不良後果的;
(二)將所承擔的審計業務分包或轉包給其他機構的;
(三)審計人員和時間安排難以保障銀行業金融機構按期披露年度報告的;
(四)審計報告被證實存在嚴重質量問題的。
第十四條 銀行業監管機構發現外審機構存在下列問題時,可以要求銀行業金融機構立即評估委託該外審機構的適當性:
(一)審計結果嚴重失實的;
(二)存在嚴重舞弊行為的;
(三)嚴重違背中國注冊會計師審計准則,存在應發現而未發現的重大問題的。
對因上述原因被終止委託的外審機構,銀行業金融機構二年內不得委託其從事審計業務。
第十五條 銀行業金融機構或外審機構單方要求終止審計委託時,銀行業金融機構應當及時報告銀行業監管機構。
5. 商業銀行操作風險管理指引的第三章
操作風險監管
第二十三條商業銀行的操作風險管理政策和程序應報銀監會備案。商業銀行應按照規定向銀監會或其派出機構報送與操作風險有關的報告。委託社會中介機構對其操作風險管理體系進行審計的,還應提交外部審計報告。
第二十四條商業銀行應及時向銀監會或其派出機構報告下列重大操作風險事件:
(一)搶劫商業銀行或運鈔車、盜竊銀行業金融機構現金30萬元以上的案件,詐騙商業銀行或其他涉案金額1000萬元以上的案件;
(二)造成商業銀行重要數據、賬冊、重要空白憑證嚴重損毀、丟失,造成在涉及兩個或兩個以上省(自治區、直轄市)范圍內中斷業務3小時以上,在涉及一個省(自治區、直轄市)范圍內中斷業務6小時以上,嚴重影響正常工作開展的事件;
(三)盜竊、出賣、泄漏或丟失涉密資料,可能影響金融穩定,造成經濟秩序混亂的事件;
(四)高管人員嚴重違規;
(五)發生不可抗力導致嚴重損失,造成直接經濟損失1000萬元以上的事故、自然災害;
(六)其他涉及損失金額可能超過商業銀行資本凈額1‰的操作風險事件;
(七)銀監會規定其他需要報告的重大事件。
第二十五條銀監會對商業銀行有關操作風險管理的政策、程序和做法進行定期的檢查評估。主要內容包括:
(一)商業銀行操作風險管理程序的有效性;
(二)商業銀行監測和報告操作風險的方法,包括關鍵操作風險指標和操作風險損失數據;
(三)商業銀行及時有效處理操作風險事件和薄弱環節的措施;
(四)商業銀行操作風險管理程序中的內控、檢查和內審程序;
(五)商業銀行災難恢復和業務連續方案的質量和全面性;
(六)計提的抵禦操作風險所需資本的充足水平;
(七)操作風險管理的其他情況。
第二十六條對於銀監會在監管中發現的有關操作風險管理的問題,商業銀行應當在規定的時限內,提交整改方案並採取整改措施。
對於發生重大操作風險事件而未在規定時限內採取有效整改措施的商業銀行,銀監會將依法採取相關監管措施。
6. 銀行業金融機構外部審計監管指引的第六章 審計結果的利用
第十九條 銀行業金融機構應當在收到外審機構出具的審計報告和管理建議書後及時將副本報送銀行業監管機構。
第二十條 銀行業監管機構應當建立銀行業金融機構外部審計結果、整改建議等審計信息系統,充分利用外部審計相關信息。
第二十一條 銀行業金融機構應當重視並積極整改外部審計發現的問題,並將整改結果報送銀行業監管機構。
7. 中國銀行應該從巴林銀行倒閉實踐中吸取什麼教訓
1995年國際著名的巴林銀行倒閉案至今讓我們記憶猶新,新加坡巴林期貨公司的總經理兼首席交易員,年僅28歲的尼克里森在未經授權的情況下,擅自從事巨額的金融期貨交易,結果因投資失敗造成10億美圓的虧損。這一案例我們可以得到這樣幾點啟示:
一、完善商業銀行內部控制。在新加坡巴林公司,里森一人身兼交易和監察二職,嚴重違反銀行內部控制規定,這是整個事件的根源。對於中國銀行來說完善內控制度可以做到以下幾點:1、在改革新形勢下,商業銀行的業務不斷變化和快速創新,修訂和完善規章制度尤為重要。一是建立科學性和實用性兼容的內控制度操作規程,避免因程序遺漏導致的風險。二是建立涵蓋內部控制和會計控制的實體性稽核規范,制定相應的稽核標准體系,為提高稽核質量提供客觀依據。三是建立稽核工作制度,加強稽核人員自我控制、自我約束,確保稽核信息真實可靠。四是建立後續稽核和再稽核制度,強化對稽核人員的行為約束,提高稽核質量,促進稽核成果有效轉化。五是建立稽核聯動機制,理順稽核關系,加強與其他職能部門和被稽核單位的稽核合作,增強查防案件的協同效應。2、重點崗位重點監控。3、實行授權授信控制,包括授權批準的范圍、層次、責任、程序等。4、建立事前、事中、事後監督體系,以保證內部控制機制的高效性和可靠性。稽核關口前移,實施超前防範。將過去傳統性的事後稽核為主的方法,轉換為事前、事中稽核為主的超前防範。事前稽核,主要是對經營決策,措施出台進行事前審議、論證、監督,事先發現經營可行性和效益性方面的利弊因素,參與決策,及時對信貸、財務收支等方面的正確性、合理性及效率、效益進行有效稽核。事中稽核,是對規章制度,經營管理過程的監控和對正在進行的業務活動是否真實、合理、合法、合規和有效,及時糾偏取正。因此,把事前、事中稽核監控的觸角伸展到決策領域,這樣就能對經濟業務可行性和效益性的利弊因果,事先發現,避免造成人力、物力、財務的失誤和損失。超前實施防範,通過事前、事中稽核,幫助商業銀行建立健全規章制度,達到「以防為主,防治結合」,防患於未然,把問題和差錯事故消滅在萌芽之中。5、嚴格違規必究的處罰機制,樹立規章制度的權威,對於違反規定的應堅決按標准處罰。在巴林銀行案中,對於里森的違規行為,巴林銀行總部高層始終置若罔聞,這也是值得我們反思的。6、進行人性化管理,實施以德治行,加強從業人員的職業道德教育與管理。
二、完善商業銀行監管體系。除需要做好自身的內部控制外,金融系統應盡快完善行業監管體系,實現監管的法制化、科學化、高效化,使行業自律與社會監督相結合,充分體現外部審計的獨立性,著重做到以下幾點:1、完善主體法律,制定金融法律實施細則。2、構建科學的金融監管信息系統,增強信息的透明度和准則性。3、建立高效的金融風險預警體系。4、加強對海外分支行的監管,嚴格按《商業銀行境外機構監管指引》執行,同時加強現場檢查和處理力度。5、加強行業自律與社會監督。
三、商業銀行混業經營應建立嚴格的「防火牆」。1、要規定金融集團下的銀行、證券、保險及各子公司的資金和業務等的比例限制,設置資金、業務和規模的「防火牆」。2、建立關於金融集團的內部交易和對外交易的強制信息披露制度,制定信息公開的程度、准則性、完整性的准確要求,設置信息完全的「防火牆」。3、正確對待衍生產品投資,控制投資風險在一定的可承受的范圍內。隨著國際金融業的迅速發展,金融衍生產品日益成為銀行、金融機構及證券公司投資組合中的重要組成部分。因此,當商業銀行混業經營時,尤其是從事衍生產品業務時,應對其交易活動制定一套完善的內部管理措施,包括交易頭寸的限額,止損的限制,內部監督與稽核等。
8. 如何完善商業銀行外部治理及監管環境
首先,要完善法律法規,改善外部治理。通過立法,進一步細化獨立董事制度,提高獨立董事在銀行董事會中的比例,通過配套規定細化獨立董事的職責。重構監事會制度,強化監事會對董事會的監督職能。
其次,規范政府職能,改善公共治理。進一步推動政府公共管理職能與所有者職能分開,必須充分尊重投資人的合法權益,尊重董事會的核心領導權。
第三,完善外部有效監管。積極推進商業銀行公司治理的評價制度,通過評價來督促其規范運作,提升水平。加強對農商行、村鎮銀行等微小銀行監管,幫助其完善法人治理結構,建立現代金融企業制度。建立明確的銀行破產制度,提高包括股東和存款人在內的公司治理主動性。除了銀行客戶之外,還必須鼓勵債權人對金融機構進行市場監督。
9. 銀行業金融機構內部審計指引的細則
第一章 總 則
第一條 本指引所稱銀行業金融機構是指在中華人民共和國境內設立的政策性銀行和商業銀行。
經中國銀行業監督管理委員會(以下簡稱中國銀監會)批准設立的其他金融機構可參照執行本指引。
第三條 本指引所稱內部審計是一種獨立、客觀的監督、評價和咨詢活動,是銀行業金融機構內部控制的重要組成部分。通過系統化和規范化的方法,審查評價並改善銀行業金融機構經營活動、風險狀況、內部控制和公司治理效果,促進銀行業金融機構穩健發展。
第四條 銀行業金融機構內部審計的目標是,保證國家有關經濟金融法律法規、方針政策、監管部門規章的貫徹執行;在銀行業金融機構風險框架內,促使風險控制在可接受水平;改善銀行業金融機構的運營,增加價值。
第五條 銀行業金融機構內部審計工作應當獨立於經營管理,以風險為導向,確保客觀公正。
第六條 中國銀監會依據本指引檢查評價銀行業金融機構內部審計工作。
第二章 機構和人員
第七條 銀行業金融機構的董事會負責建立和維護健全有效的內部審計體系。沒有設立董事會的,由高級管理層負責履行有關職責。
董事會應下設審計委員會。審計委員會成員不少於3人,多數成員應是非執行董事。審計委員會主席應由獨立董事擔任。沒有設立董事會的,審計委員會組成及委員會負責人由高級管理層確定。
第八條 銀行業金融機構應建立審計全系統經營管理行為的內部審計部門,可設立一名首席審計官負責全系統的審計工作。
首席審計官由董事會任命並納入銀行業金融機構高級管理人員任職資格核准范圍,首席審計官崗位變動要事前向中國銀監會報告。
第九條 銀行業金融機構應建立獨立垂直的內部審計管理體系。審計預算、人員薪酬、主要負責人任免由董事會或其專門委員會決定。內部審計人員薪酬不低於本機構其他部門同職級人員平均水平。
第十條 銀行業金融機構內部審計人員原則上按員工總人數的1%配備,並建立內部崗位輪換制。
第十一條 內部審計人員應具備相應的專業從業資格:
(一)專業水平。內部審計人員應具備大專以上學歷,掌握與銀行業金融機構內部審計相關的專業知識,熟悉金融相關法律法規及內部控制制度。
(二)從業經驗。內部審計人員至少應具備兩年以上金融從業經驗;審計項目負責人員至少應具有三年以上審計工作經驗,或六年以上金融從業經驗。
(三)道德准則。內部審計人員應具有正直、客觀、廉潔、公正的職業操守,且從事金融業務以來無不良記錄。
第三章 職 責
第十二條 銀行業金融機構應以制度形式明確董事會、審計委員會、首席審計官和內部審計部門及人員職責。
第十三條 董事會對內部審計的適當性和有效性承擔最終責任,負責批准內部審計章程、中長期審計規劃和年度工作計劃等,為獨立、客觀開展內部審計工作提供必要保障,並對審計工作情況進行考核監督。
第十四條 審計委員會對董事會負責,根據董事會授權組織指導內部審計工作。審計委員會應定期召開會議,並可視需要邀請高級管理層人員列席。
第十五條 首席審計官負責組織實施內部審計章程、中長期審計規劃和年度工作計劃,做好協調工作,及時向董事會和高級管理層主要負責人報告審計工作情況,並對內部審計的整體質量負責。
第十六條 內部審計部門應對董事會和審計委員會負責,制定內部審計程序,評價風險狀況和管理情況,落實年度審計工作計劃,開展後續審計,監督整改情況,對審計項目質量負責,做好檔案管理。
第十七條 內部審計事項主要包括:
(一)經營管理的合規性及合規部門工作情況。
(二)內部控制的健全性和有效性。
(三)風險狀況及風險識別、計量、監控程序的適用性和有效性。
(四)信息系統規劃設計、開發運行和管理維護的情況。
(五)會計記錄和財務報告的准確性和可靠性。
(六)與風險相關的資本評估系統情況。
(七)機構運營績效和管理人員履職情況等。
第四章 權 限
第十八條 銀行業金融機構應當以制度形式明確賦予內部審計部門履行職責所必需的許可權。
第十九條 內部審計部門有權列席或參加與內部審計部門職責有關的會議。
第二十條 內部審計部門有權及時、全面了解經營管理信息,並就有關問題向審計對象和相關人員進行調查、質詢、取證。
第二十一條 內部審計部門認為必要時有權向董事會直接匯報審計發現。
第二十二條 內部審計部門應具有處理建議權和必要的處罰權。
第二十三條 內部審計部門對拒絕接受或不配合內部審計、拒絕提供或提供虛假資料、打擊報復或陷害審計人員的,有權向上級報告,要求及時予以制止並做出處理。
第五章 質量控制
第二十四條 內部審計部門可就風險管理、內部控制等有關問題提供咨詢服務,但不應直接參與或負責內部控制設計和經營管理決策與執行。
第二十五條 內部審計部門應在年度風險評估的基礎上確定審計重點,審計頻率和程度應與銀行業金融機構業務性質、復雜程度、風險狀況和管理水平相一致。
對每一營業機構的風險評估每年至少一次,審計每兩年至少一次。
第二十六條 內部審計部門和審計人員應嚴格按照審計程序和審計方法實施審計項目,並定期進行自我評估。
第二十七條 內部審計部門應建立內部審計人員的審計迴避制度,確保內部審計的客觀性。
第二十八條 內部審計部門應建立內部審計人員後續培訓制度,鼓勵內部審計人員取得注冊會計師、注冊內部審計師、注冊信息系統審計師等執業資格,以保證內部審計人員的專業勝任能力。
第二十九條 內部審計部門應加強科技手段和信息技術在審計工作中的運用,建立完善非現場內部審計監測體系及內部審計操作系統、信息管理系統。
第三十條 內部審計部門根據工作需要,經董事會批准後,可將部分內部審計項目外包,但需事先對外包機構的獨立性、客觀性和專業勝任能力進行評估。
第三十一條 內部審計部門應建立審計復議制度,對審計對象提出異議的審計結論,由作出審計結論的審計機構的上級機構進行復議。
第三十二條 董事會可聘請外部機構對內部審計部門的盡職情況進行評價,並保證外部檢查人員獨立於評價對象、具備專業勝任能力以及與評價對象沒有利益沖突。
第六章 報告制度
第三十三條 銀行業金融機構應建立與垂直管理體系相適應的內部審計報告制度和報告線路。
第三十四條 審計委員會應按季度向董事會報告審計工作情況,並通報高級管理層和監事會。
第三十五條 首席審計官和內部審計部門應按季向董事會和高級管理層主要負責人報告審計工作情況。每年至少一次向董事會提交包括履職情況、審計發現和建議等內容的審計工作報告。
第三十六條 首席審計官和內部審計部門在審計事項結束後,應及時向董事會和高 管理層主要負責人報送包括審計概況、審計依據、審計結論、審計決定、審計建議、審計對象反饋意見等內容的項目審計報告。
第三十七條 銀行業金融機構應建立完善與中國銀監會的溝通和報告制度。
董事會和高級管理層應就重大審計發現及時向中國銀監會報告。
內部審計部門應就以下事項向中國銀監會或中國銀監會派出機構報告:
(一)向董事會提交的全面審計工作報告。
(二)內部審計部門開展異地審計的,應同時將審計報告抄報審計對象所在地的中國銀監會派出機構。
(三)內部審計部門發現重大問題並報告董事會後,在問題未得到認真查處整改的情況下,應直接向中國銀監會報告相關情況。
(四)外部中介機構對銀行業金融機構的審計報告。
(五)中國銀監會及其派出機構要求報告的其他事項。
第七章 考核與問責
第三十八條 董事會和高級管理層應採取有效措施,確保內部審計成果得以充分利用。
高級管理層對未按要求進行整改的問題,應督促整改,追究相關人員責任,並承擔未對審計發現採取糾正措施所產生的責任和風險。
第三十九條 董事會應建立激勵約束機制,對內部審計相關各方的盡職、履職情況進行考核評價,建立內部審計工作問責制度,明確內部審計責任追究、免責的認定標准和程序。
第四十條 董事會應對具有以下情節的內部審計部門負責人和直接責任人追究責任:
(一)未執行審計方案、程序和方法導致重大問題未能被發現。
(二)對審計發現問題隱瞞不報或者未如實反映。
(三)審計結論與事實嚴重不符。
(四)對審計發現問題查處整改工作跟蹤不力。
(五)未按要求執行保密制度。
(六)其他有損銀行業金融機構利益或聲譽的行為。
第四十一條 銀行業金融機構經檢查監督和責任認定,有充分證據表明內部審計部門和審計人員按照有關法律、法規、規章和本指引以及銀行業金融機構內部審計制度勤勉盡職地履行了職責,並及時報告了審查出的問題,在審計對象相關問題暴露時,可視情況免除或部分免除內部審計部門和相關審計人員的責任。
第八章 附 則
第四十二條 銀行業金融機構應根據本指引制定實施細則,並報中國銀監會備案。
第四十三條 本指引由中國銀監會負責解釋。
第四十四條 本指引自二○○六年七月一日實施。