1. 银行业金融机构信息系统风险管理指引的主要要求是什么
机构职责
第六条 银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条 银行业金融机构应认真履行下列信息系统管理职责:
(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;
(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;
(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;
(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;
(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;
(六)做好本机构信息系统审计工作;
(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;
(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;
(九)开展与信息系统风险管理相关的其他工作。
第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理;信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略,统筹信息系统项目建设,定期评估、报告本机构信息系统风险状况,为决策层提供建议,采取相应的风险控制措施。
第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。
第十条 银行业金融机构应设立信息科技部门,统一负责本机构信息系统的规划、研发、建设、运行、维护和监控,提供日常科技服务和运行技术支持;建立或明确专门信息系统风险管理部门,建立、健全信息系统风险管理规章、制度,并协助业务部门及信息科技部门严格执行,提供相关的监管信息;设立审计部门或专门审计岗位,建立健全信息系统风险审计制度,配备适量的合格人员进行信息系统风险审计。
第十一条 银行业金融机构从事与信息系统相关工作的人员应符合以下要求:
(一)具备良好的职业道德,掌握履行信息系统相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设,建立人才激励机制,适应信息技术的发展。
第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。
总体风险控制
第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
第十五条 银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制。
第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁,防止各类突发事故和恶意攻击。
第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。
第十八条 在境外设立的我国银行业金融机构或在境内设立的境外银行业金融机构,应防范由于境内外信息系统监管制度差异等造成的跨境风险。
第十九条 银行业金融机构应严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,实行信息安全等级保护。
第二十条 银行业金融机构应加强对信息系统的评估和测试,及时进行修补和更新,以保证信息系统的安全性、完整性。
第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家A类机房标准,省域数据中心至少应达到国家B类机房标准,省域以下数据中心至少应达到C类机房标准。数据中心机房应实行严格的门禁管理措施,未经授权不得进入。
第二十二条 银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果。
第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。
第二十四条 信息系统的网络应参照相关的标准和规范设计、建设;网络设备应兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;建立完善的网管中心,监测和管理通信线路及网络设备,保障网络安全稳定运行。
第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。
第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。
第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理,不得脱离系统采集加工、传输、存取数据;优化系统和数据库安全设置,严格按授权使用系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,保证数据的完整性、保密性。
第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。
第二十九条 银行业金融机构应制定信息系统应急预案,并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权。信息系统的技术文档资料包括:系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括:交易数据、账务数据、客户数据,以及产生的报表数据等。
第三十一条 银行业金融机构在信息系统可能影响客户服务时,应以适当方式告知客户。
研发风险控制
第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
第三十三条 银行业金融机构信息系统研发前应成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作。
第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度。
第三十五条 银行业金融机构业务部门根据本机构业务发展战略,在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。
第三十六条 银行业金融机构业务部门编写项目需求说明书,提出风险控制要求,信息科技部门根据项目需求编制项目功能说明书。
第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求。
第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。
第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷,提高系统的整体质量。
第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练。
第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。
第四十二条 项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投产使用。
第五章运行维护风险控制
第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条 银行业金融机构信息系统运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
第四十五条 银行业金融机构信息系统的运行应符合以下要求:
(一)制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息;
(二)提供常见和简便的操作菜单或命令,如信息系统的启动或停止、运行日志的查询等;
(三)提供机房环境、设备使用、网络运行、系统运行等监控信息;
(四)记录运行值班过程中所有现象、操作过程等信息。
第四十六条 银行业金融机构信息系统的维护应符合以下要求:
(一)除对信息系统设备和系统环境的维护外,对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;
(二)具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计;
(三)提供维护的统计和报表打印功能。
第四十七条 银行业金融机构信息系统的变更应符合以下要求:
(一)制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;
(二)根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性;
(三)应采用软件工具精确判断变更的真实位置和内容,形成变更内容核实清单,实现真实、有效、全面的检验;
(四)软件版本变更后应保留初始版本和所有历史版本,保留所有历史的变更内容核实清单。
第四十八条 银行业金融机构在信息系统投产后一定时期内,应组织对系统的后评价,并根据评价及时对系统功能进行调整和优化。
第四十九条 银行业金融机构应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
第五十条 银行业金融机构应实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
外包风险控制
第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第五十二条 银行业金融机构在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全有关规章制度,制定相应的风险防范措施。
第五十三条 银行业金融机构应建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质,具有相关专业经验的独立机构完成。
第五十四条 银行业金融机构应当与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任。
第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。
第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序,审慎管理外包产生的风险,提高本机构对外包管理的能力。
第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略,并应建立针对外包风险的应急计划。
第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更,保证外包服务不间断的应急预案。
第五十九条 银行业金融机构将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时,应遵守国家有关法律法规,符合银监会的有关规定,经过董事会或其他决策机构批准,并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。
2. 如何理解商业银行内部控制指引
众所周知,一个没有免疫系统、或免疫力偏低的生命体是不可能健康成长的,而内部控制就是企业“生命体”的免疫系统。因此,欲使城市商业银行这一新生的特殊企业不断成长壮大,就必须在大力拓展各项业务的同时,更加有效地推进其自身免疫系统──内部控制建设,以保证城市商业银行的稳健发展。
一、城市商业银行建立健全内部控制制度的必要性
城市商业银行的内部控制指为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。以确保国家法律规定和商业银行内部规章制度的贯彻执行;确保商业银行的发展战略和经营目标的全面实施和充分实现;确保风险管理体系的有效性;确保业务记录、财务信息和其他管理信息的及时、真实和完整为目标。为此,城市商业银行内部控制制度必须保证在各级部门和各级人员中得到正确且充分地贯彻执行,以有效杜绝内部人员的违规操作、内部欺诈与犯罪行为。
1、城市商业银行的定位
城市商业银行是中国特定历史条件下金融改革的产物。它承担了支持地方经济发展,特别是支持中小企业的重担。欲使城市商业银行这一新生的特殊企业不断成长壮大,就必须在大力拓展业务的同时,更加有效地推进内部控制制度的建立健全,以保证城市商业银行的稳健发展。
2、城市商业银行的发展需要
商业银行特殊的经营对象—货币资金,特殊的经营方式—信用中介,决定了商业银行经营活动“高负债”的基本特征及其在国民经济体系中的特殊地位。建立并不断完善内部控制,既是城市商业银行在追求自身经济利益过程中安全稳健运行的可靠保证,更关系到保障存款人利益,保障市场体系正常有序地运行和国民经济持续协调发展。商业银行内部控制机制不论是对决策层的权力控制,组织设置中的权力制衡,还是操作层的岗位监督,都不是新课题。但巴林银行的倒闭、大和银行的被兼并,以及近年来,金融系统的假按揭、内外部勾结转移资金、员工监守自盗等案件屡有发生,一次又一次以令人触目惊心的事实揭示了商业银行经营活动中的巨大风险,如何建立规范、系统、可靠的商业银行内部控制系统,有效地防范商业银行巨大的经营风险对城市商业银行则显得更为至关重要。
3、城市商业银行已初步建立内部控制体系
城市商业银行在原城市信用社基础上组建,人员素质较低、经营管理水平不高、风险高度较集中,内控体系基础薄弱,但经过近十年的发展,随着人员素质、经营管理水平的不断提高,内部控制体系得到了初步建立,防范风险的能力得到不断增强。在《中华人民共和国银行业监督管理法》、中国人民银行下发的《商业银行内部控制指引》、银监会下发的《商业银行集团客户授信业务风险管理指引》等法律、法规和指导性文件的推动下,城市商业银行把加强内部建设作为一项重要工作来抓,在建立健全资金管理、信贷管理、财务管理、审计监督等内部控制制度方面开展了大量的工作,收到了良好效果。
(1)加强资金管理,提高资金使用、经营效益。按“统一计划、两级经营、比例管理、适时调节、归口调剂、综合平衡”的原则,建立资金、负债比例、债券业务、利率、存款、现金、票据贴现等方面管理规定。初步实现了资金的安全性、流动性和盈利性的统一。
(2)实行审贷分离,完善贷款风险防范机制。城市商业银行为了防范信贷风险,加强了对信贷工作的管理力度,不断健全信贷风险管理制度。一是成立贷款审查委员会并制定其工作规则,实行严格的审贷分离,采取集体评审的方法,避免人情贷款,降低决策风险;二是加强贷款审批权限管理,根据分支机构的资产风险状况、贷款种类,分别下达贷款的审批权限,促进信贷资金的优化配置;三是根据不同的贷款种类,制定相应的操作规程,使每笔贷款的发放做到程序化和规范化。
(3)强化财务管理,健全会计内部控制制度。为强化财务管理,规范会计操作,防范会计风险,采取了“一级对外、二级经营”的财务管理体制。一级对外指城市商业银行的税收统一由总部进行缴纳;固定资产、租赁费、钞币运送费等固定费用统一由总部列支,集中管理;大宗物品统一由总部进行采购。二级经营指城市商业银行的各支机构独立对外办理各项业务,各支机构实行指标控制下的费用开支。
(4)提高审计地位,内部审计权威得到加强。一是坚持集中审计、下审一级的原则,保证审计活动能够独立公正地进行;二是完善审计组织体系,充实审计队伍;三是规范审计程序,扩大审计范围,完善审计手段。
二、当前城市商业银行内部控制中存在的问题
中国银行业监督管理委员会副主席唐双宁指出,我国商业银行目前在内部控制方面存在银行公司法人治理结构有待进一步完善;银行尚未真正建立内控文化;控制分散与控制不足并存;部分基层机构内控制度执行情况不容乐观,有章不循、违规操作的现象依然存在;银行分支机构内控制度的检查、评价不足等5个急需要解决的问题。城市商业银行在市场化运行的实践中,与建立规范化商业银行的高标准相比,内部控制建设仍然存在明显不足,迫切需要加以改进。主要表现在:
1、对内控制度的认识不到位,违规经营时有发生。有的城市商业银行把内部控制简单地理解为各种规章制度的制定、装订、汇总,认为做了整章建制方面的工作,就等于建立了内控机制;有的城市商业银行在把握内控与管理、内控与风险、内控与发展的关系等问题上,认识有偏差,把加强内控与发展和效益对立起来,在业务拓展和风险防范的抉择中,侧重于抓规模、抓效益,不切实际地求得资产规模的扩张,造成违规违章现象发生,以致资产质量低下。
2、对分支机构的控制不力,管理还有漏洞。有的城市商业银行支行的负责人长期没有交流和轮换,使这些支行存在的问题难以及时被发现,经营风险加大。有的城市商业银行对分支机构的管理,往往是任务、指标布置的较多,对完成任务的过程和手段检查不够,对执行金融方针政策的检查较少。
3、法人治理结构不完善,缺乏监督制约机制。有的城市商业银行董事会与经营班子、法人代表与经营负责人合二为一,不符合《公司法》、《商业银行法》要求,这实际上导致银行内部制约机制的失效;有的董事长与行长职责不清,权责不明,造成董事长直接经营,行长没有相应权力,或者行长权力过大,缺少董事会约束;有的股东大会及监事会形同虚设,没有发挥应有的监督作用。
4、稽核机制不建全,影响内部控制的有效落实。有的城市商业银行内部稽核部门力量薄弱,人员素质不高,不能起到查错防漏、纠正违规、强化管理、控制风险的作用。有的内部稽核体制不顺,本身没有处理问题权,有的问题得不到真实反映,使一些问题被积压下来,而且对一些有章不循、建章操作的行为没有相应的制约措施。
5、现行的内控制度不健全,不适应业务营运发展的需要。有的城市商业银行在实现管理和经营的有效性目标方面,其沿用的内部控制规章还是过去的指标考核办法,考核指标在数量上每年虽然的所变动,但考核的内容和方法明显陈旧,导致一些支行从自身利益出发,置各种制约于不顾,违章操作。有的分支机构抢拉客户,乱用核算科目,篡改账表等问题,都说明了内控制度与业务发展不同步问题。
6、风险控制系统不健全,对内部控制的评价与监督不够。风险控制是金融机构内部控制中的一个难点,目前城市商业银行以整体风险控制为目标的资产负债比例管理尚处于软约束阶段,以局部风险控制为内涵的授权分责管理还执行不严格,缺乏具体风险评估及控制为核心的信贷风险管理监控、交易风险管理监控的手段,管理制度和评估方法也极不完善。
三、建立健全城市商业银行内部控制的方法
1、建立城市商业银行有效内部控制
城市商业银行有效内部控制(无时不控、无处不控、无事不控、无人不控)要做到“一二三四五”。一是要培育一种在全行上下得到沟通、讲究诚信、勤勉尽责、排斥利益冲突的控制文化。二是要破除两个误区:(1)以运动式的检查监督代替连续性的内部控制,(2)以内部控制规章制度代替内部控制。三是要确立内部控制的三大目标,构筑三位一体的内部控制体系,具体而言,就是要确立经营的效率和效果、财务信息的可靠性和完整性以及遵循法律规章这三大控制目标,构筑前台监控、中台监督和后台评价的三位一体的内部控制体系。四是要建设好前台监督、内部控制、内部稽核和风险管理委员会四支内部控制监督队伍。由于基层网点复核人员配备不充分,可将事后监督关口前移到一线进行事前预防性控制;内部控制应实行集约化管理,整合会计、清算、储蓄、信用卡、信贷、科技等各项监督检查职能,进行检查性控制和指导性控制;内部稽核对内部控制的效果进行独立的后评价,起到纠正性控制作用;风险管理委员会负责对银行的全面风险管理,是内部控制的最高决策机构,发挥战略性控制作用。五是要建立内部控制五要素的分析评价框架,学会运用管理层的监督和控制文化、风险确认和评估、控制活动和职责分离、信息交流和沟通以及监督活动和纠正缺陷这五大要素对城市商业银行的内部控制状况进行分析和评价。
2、构建“以人为本”的城市商业银行内部控制体系
在现代公司制下,以保护资产和查错防弊为主要内容的内部控制,明显不能满足需要。这种内控职责不仅仅包括财产的安全完整和会计资料的真实可靠,还将促进单位贯彻其经营方针及提高经营效率纳入其中,这是公司治理结构对内部控制提出的新要求。因此,商业银行的内部控制构建思路是:明确各控制成分之间的相互关系,建立以控制环境为基础、风险评估为依据、控制活动为手段、信息与沟通为载体,监督与控制为保证的内部控制整体框架。
(1)以“人本主义”作为构建内部控制机制的信条,营造良好的内控管理文化氛围。具体表现在内部环境的控制,包括领导班子与组织机构控制、人力资源管理、安全保卫及法规管理、信息系统控制等方面,既要重视正式约束的建设,也要充分考虑非正式约束的作用。从内控管理降低银行风险的角度看,好的非正式约束有助于人们价值观念、道德规范的形成,自觉约束人们的行为,减少制度对其的强制性。从而节约银行运行中处理磨擦的费用和正式约束制度成本的支出,避免出现再好的正式约束制度由于没有非正式约束的配合导致“好看不中用”尴尬局面。
(2)以“风险评价”为依据,通过建立内控评价管理办法推动内控管理工作有序开展。
a.制度建设评价标准,内部控制制度建设评价标准,首先要遵循国家的金融监管政策法律法规;二是遵循“控制论”的基本原理,既要具有完整性和有机结合性,又要以“有效控制”为原则,通过对信用风险、市场风险、操作风险等有效监测分析、有效控制银行经营活动;三是遵循电子技术的程序化和科学化原则,将内控资料规范存储和积累,便于监测、分析和评价工作的顺利开展。
b.制度执行评价标准
内控制度执行评价标准包括内控环境、内控风险识别、内控活动的有效性、内控信息的交流反馈。一是内控环境标准,包括:内控执行人员的价值观和道德观是否完整可靠;内控激励约束机制的作用程度是否达到预期目的;各级管理层的内控意识是否牢固树立;内控人员的内控能力是否与其责任相匹配;内控用人机制是否健全有效;内控管理层和监督层对内控是否给予了充分的关注等。二是内控风险识别标准,包括:内控管理的总体目标和分项目标是否明确,二者的关联程度如何,各级管理层为确保整体目标实现的参与情况和承担责任是否清晰、明确;是否建立了对内部和外部内控风险预测和识别机制,即内控风险预测是否透彻和恰当,内控风险评价概率和频率依据是否准确可靠,是否建立了内控风险的预测和识别的反应机制。三是内控活动的有效性标准,包括:银行的每项经营和管理是否都设有恰当的风险监控活动;内部风险控制活动是否保证内控指令得到全面的执行;通过内控活动的实施是否及时有效地化解相关风险。四是内控信息的及时反馈标准,包括:是否建立了各种有效的内控信息交流反馈系统,即内控系统岗位员工通过内控责任的履行,发现可疑和不轨行为是否及时将信息传递给管理层,管理层是否将内控信息以一定方式及时转达给有关人员有效履行其内控职责,达到内控的预期效果;内部控制系统当中每位员工和每个内控管理部门所负有的内控管理信息的交流职责、交流渠道、交流方式、交流时间是否真正明确;内控信息的上传下达和横向交流手段与方式是否切实可行、及时有效等。
c.内控制度保障评价标准
一是是否建立和设置了适时跟踪评价反馈内控情况的渠道和工作程序以及组织保障措施。二是内控体系中各个职能部门之间的内控制约关系是否建立和运转有效。三是内控制度的缺陷是否得到及时的发现和纠正。四是随着银行业务的不断拓展和品种的创新,内部控制制度、程序和政策是否得到了及时的调整、修正和完善。
(3)以“高效信息沟通”为依托,通过电子化信息交流渠道的安全运转,保证银行内控体系有效运作。通过建立风险报告制度保证风险管理的信息沟通,保证决策层能够通过内控评价和风险报告,对内控状况进行检查评价,对风险监测报告进行整理分析,做出有分析依据的判断决策;执行层在责任划分和权限内履行风险内控管理职责监督检查层通过对决策管理层和执行层工作的事后再监督与检查,对违规违纪行为进行处罚。
只有形成内控管理有标准、部门设置有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核的全面有效内控制度体系,才能确保城市商业银行实现经营目标。
3. 商业银行稳健薪酬监管指引的监管指引
第一章 总则
第一条 为充分发挥薪酬在商业银行公司治理和风险管控中的导向作用,建立健全科学有效的公司治理机制,促进银行业稳健经营和可持续发展,根据《中华人民共和国银行业监督管理法》的有关规定,参照金融稳定理事会《稳健薪酬实践的原则》等国际准则,制定本指引。
第二条 本指引所称薪酬,是指商业银行为获得员工提供的服务和贡献而给予的报酬及其相关支出,包括基本薪酬、绩效薪酬、中长期激励、福利性收入等项下的货币和非现金的各种权益性支出。
第三条 本指引所称商业银行,是指在中华人民共和国境内依法设立的吸收公众存款、发放贷款、办理结算等业务的企业法人。
第四条 商业银行应制定有利于本行战略目标实施和竞争力提升与人才培养、风险控制相适应的薪酬机制,并作为公司治理的主要组成部分之一。薪酬机制一般应坚持以下原则:
(一)薪酬机制与银行公司治理要求相统一。
(二)薪酬激励与银行竞争能力及银行持续能力建设相兼顾。
(三)薪酬水平与风险成本调整后的经营业绩相适应。
(四)短期激励与长期激励相协调。
第二章 薪酬结构
第五条 商业银行应设计统一的薪酬管理体系,其薪酬由固定薪酬、可变薪酬、福利性收入等构成。固定薪酬即基本薪酬,可变薪酬包括绩效薪酬和中长期各种激励,福利性收入包括保险费、住房公积金等。
第六条 基本薪酬是商业银行为保障员工基本生活而支付的基本报酬,包括津补贴,主要根据员工在商业银行经营中的劳动投入、服务年限、所承担的经营责任及风险等因素确定。津补贴是商业银行按照国家规定,为了补偿员工特殊或额外的劳动消耗,以及受物价变动影响导致员工实际收入下降等给予员工的货币补助。商业银行应当按照国家有关津贴、补贴的政策标准确定津补贴。
商业银行应科学设计职位和岗位,合理确定不同职位和不同岗位的薪酬标准。不鼓励商业银行设立保底奖金,如果确有实际需要,保底奖金只适用于新雇佣员工入职第一年的薪酬发放。
商业银行的基本薪酬一般不高于其薪酬总额的35%。
第七条 绩效薪酬是商业银行支付给员工的业绩报酬和增收节支报酬,主要根据当年经营业绩考核结果来确定。绩效薪酬应体现充足的各类风险与各项成本抵扣和银行可持续发展的激励约束要求。
商业银行主要负责人的绩效薪酬根据年度经营考核结果,在其基本薪酬的3倍以内确定。
第八条 商业银行根据国家有关规定制定本行中长期激励计划。商业银行应确保可变薪酬总额不会弱化本行持续增强资本基础的能力。
第九条 福利性收入包括商业银行为员工支付的社会保险费、住房公积金等。对于福利性收入的管理,商业银行要按国家有关规定执行。
第十条 商业银行支付给员工的年度薪酬总额要综合考虑当年人员总量、结构以及企业财务状况、经营成果、风险控制等多种因素,参考上年薪酬总额占上年业务管理费的比例确定,国有商业银行还应执行国家相关规定。
第三章 薪酬支付
第十一条 薪酬支付期限应与相应业务的风险持续时期保持一致。商业银行应根据不同业务活动的业绩实现和风险变化情况合理确定薪酬的支付时间并不断加以完善性调整。
第十二条 基本薪酬按月支付。商业银行根据薪酬年度总量计划和分配方案支付基本薪酬。
第十三条 商业银行应合理确定一定比例的绩效薪酬,根据经营情况和风险成本分期考核情况随基本薪酬一起支付,剩余部分在财务年度结束后,根据年度考核结果支付。
第十四条 中长期激励在协议约定的锁定期到期后支付。中长期激励的兑现应得到董事会同意。锁定期长短取决于相应各类风险持续的时间,至少为3年。
第十五条 住房公积金、各种保险费应按照国家有关规定纳入专户管理。
第十六条 商业银行高级管理人员以及对风险有重要影响岗位上的员工,其绩效薪酬的40%以上应采取延期支付的方式,且延期支付期限一般不少于3年,其中主要高级管理人员绩效薪酬的延期支付比例应高于50%,有条件的应争取达到60%。在延期支付时段中必须遵循等分原则,不得前重后轻。
商业银行应制定绩效薪酬延期追索、扣回规定,如在规定期限内其高级管理人员和相关员工职责内的风险损失超常暴露,商业银行有权将相应期限内已发放的绩效薪酬全部追回,并止付所有未支付部分。商业银行制定的绩效薪酬延期追索、扣回规定应同样适用离职人员。
第四章 薪酬管理
第十七条 商业银行应建立健全科学合理的薪酬管理组织架构。
董事会按照国家有关法律和政策规定负责本行的薪酬管理制度和政策设计,并对薪酬管理负最终责任;董事会应设立相对独立的薪酬管理委员会(小组),组成人员中至少要有三分之一以上的财务专业人员,且薪酬管理委员会(小组)应熟悉各产品线风险、成本及演变情况,以有效和负责地审议有关薪酬制度和政策。
管理层组织实施董事会薪酬管理方面的决议,人力资源部门负责具体事项的落实,风险控制、合规、计划财务等部门参与并监督薪酬机制的执行和完善性反馈工作。
商业银行审计部门每年应对薪酬制度的设计和执行情况进行专项审计,并报告董事会和银行业监督管理部门。
外部审计应将薪酬制度的设计和执行情况作为审计内容。
审计、财务和风险控制部门员工的薪酬应独立于所监督的业务条线,且薪酬的规模和质量应得到适当保证,以确保其能够吸引合格、有经验的人才。
第十八条 商业银行应制订科学、合理、与长期稳健可持续发展相适应的薪酬管理制度。薪酬管理制度一般应包括以下内容:
(一)银行员工职位职级分类体系及其薪酬对应标准。
(二)基本薪酬的档次分类及晋级办法。
(三)绩效薪酬的档次分类及考核管理办法。
(四)中长期激励及特殊奖励的考核管理办法等。
第十九条 商业银行应建立科学的绩效考核指标体系,并层层分解落实到具体部门和岗位,作为绩效薪酬发放的依据。商业银行绩效考核指标应包括经济效益指标、风险成本控制指标和社会责任指标。
(一)经济效益指标按国家有关规定选取。
(二)风险成本控制指标至少应包括资本充足率、不良贷款率、拨备覆盖率、案件风险率、杠杆率等。信用风险与市场风险成本度量时应考虑经济资本配置和资本成本本身变化以及拨备成本和实际损失。流动性风险成本在度量时应主要考虑压力测试下的流动性覆盖率和流动性资源本身的成本等因素。
(三)社会责任指标一般应包括风险管理政策的遵守情况、合法性、监管评价及道德标准、企业价值、客户满意度等。
董事会应于每年年初确定当年绩效考核指标,并报银行业监督管理部门备案。
第二十条 本指引第十九条所列风险成本控制指标对绩效薪酬的约束参照如下标准执行:
(一)有一项指标未达到控制要求的,当年全行人均绩效薪酬不得超过上年水平。
(二)有两项指标未达到控制要求的,当年全行人均绩效薪酬在上年基础上实行下浮,高级管理人员绩效薪酬下浮幅度应明显高于平均下浮幅度。
(三)有三项及以上指标未达到控制要求的,除当年全行人均绩效薪酬参照第(二)款调整外,下一年度全行基本薪酬总额不得调增。
第二十一条 商业银行应建立有效薪酬监督机制,不得为员工或允许员工对递延兑现部分的薪酬购买薪酬保险、责任险等避险措施降低薪酬与风险的关联性。
第二十二条 商业银行董事会应每年全面、及时、客观、详实地披露薪酬管理信息,并列为年度报告披露的重要部分。商业银行的薪酬信息披露情况应报国家有关主管部门和银行业监督管理部门备案。年度薪酬报告的信息披露内容主要包括:
(一)薪酬管理架构及决策程序,包括薪酬管理委员会(小组)的结构和权限。
(二)年度薪酬总量、受益人及薪酬结构分布。
(三)薪酬与业绩衡量、风险调整的标准。
(四)薪酬延期支付和非现金薪酬情况,包括因故扣回的情况。
(五)董事会、高级管理层和对银行风险有重要影响岗位上的员工的具体薪酬信息。
(六)年度薪酬方案制定、备案及经济、风险和社会责任指标完成考核情况。
(七)超出原定薪酬方案的例外情况,包括影响因素,以及薪酬变动的结构、形式、数量和受益对象等。
第五章 薪酬监管
第二十三条 银行业监督管理部门应将商业银行薪酬管理纳入公司治理监管的重要内容,至少每年一次对商业银行薪酬管理机制的健全性和有效性作出评估。
第二十四条 银行业监督管理部门应动态跟踪监测商业银行薪酬管理制度的实施情况,并根据实际情况对商业银行风险控制等考核指标的执行情况进行现场检查。
第二十五条 对于商业银行薪酬管理制度和绩效考核指标不符合有关规定的,银行业监督管理部门有权根据《中华人民共和国银行业监督管理法》的相关规定责令纠正,并对下列问题予以查处:
(一)薪酬管理组织架构、薪酬管理制度不符合规定的。
(二)未按规定核定、执行和报备绩效考核办法或年度薪酬方案的。
(三)绩效考核不严格、不符合规定或弄虚作假的。
(四)未按规定计发基本薪酬、延发绩效薪酬的。
(五)未按规定追索或止付绩效薪酬的。
(六)未按规定披露薪酬信息的。
(七)其他不符合国家有关政策规定的。
第二十六条 符合下列情况之一的,商业银行薪酬结构与水平应报救助机构和银行业监督管理部门确定:
(一) 已经实施救助措施的。
(二) 商业银行面临重大声誉风险并有可能对其持续经营产生实质性影响的。
(三)商业银行濒临破产、倒闭的。
(四)商业银行被依法接管的。
(五)商业银行被关停的。
第六章 附则
第二十七条 商业银行在参加基本社会保险的基础上为员工建立企业年金和补充医疗保险的,应符合国家有关规定。
扣回的薪酬应按照有关规定冲减当期费用。
第二十八条 商业银行在境外设立的子行、分行、非银行金融性公司由母行根据本指引的原则并结合不同国家和地区的法律规定、监管要求对其薪酬进行调控。
由银行业监督管理部门监管的其他类银行、非银行金融机构参照本指引执行。
第二十九条 本指引由中国银监会负责解释。
第三十条 本指引自2010年3月1日起施行。
4. 银行业金融机构外部审计监管指引的第四章 终止审计委托
第十三条 银行业金融机构发现外审机构存在下列情形之一的,应予以特别关注,并可以终止委托其审计工作:
(一)未履行诚信、勤勉、保密义务,并造成严重不良后果的;
(二)将所承担的审计业务分包或转包给其他机构的;
(三)审计人员和时间安排难以保障银行业金融机构按期披露年度报告的;
(四)审计报告被证实存在严重质量问题的。
第十四条 银行业监管机构发现外审机构存在下列问题时,可以要求银行业金融机构立即评估委托该外审机构的适当性:
(一)审计结果严重失实的;
(二)存在严重舞弊行为的;
(三)严重违背中国注册会计师审计准则,存在应发现而未发现的重大问题的。
对因上述原因被终止委托的外审机构,银行业金融机构二年内不得委托其从事审计业务。
第十五条 银行业金融机构或外审机构单方要求终止审计委托时,银行业金融机构应当及时报告银行业监管机构。
5. 商业银行操作风险管理指引的第三章
操作风险监管
第二十三条商业银行的操作风险管理政策和程序应报银监会备案。商业银行应按照规定向银监会或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的,还应提交外部审计报告。
第二十四条商业银行应及时向银监会或其派出机构报告下列重大操作风险事件:
(一)抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件,诈骗商业银行或其他涉案金额1000万元以上的案件;
(二)造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失,造成在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件;
(三)盗窃、出卖、泄漏或丢失涉密资料,可能影响金融稳定,造成经济秩序混乱的事件;
(四)高管人员严重违规;
(五)发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害;
(六)其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件;
(七)银监会规定其他需要报告的重大事件。
第二十五条银监会对商业银行有关操作风险管理的政策、程序和做法进行定期的检查评估。主要内容包括:
(一)商业银行操作风险管理程序的有效性;
(二)商业银行监测和报告操作风险的方法,包括关键操作风险指标和操作风险损失数据;
(三)商业银行及时有效处理操作风险事件和薄弱环节的措施;
(四)商业银行操作风险管理程序中的内控、检查和内审程序;
(五)商业银行灾难恢复和业务连续方案的质量和全面性;
(六)计提的抵御操作风险所需资本的充足水平;
(七)操作风险管理的其他情况。
第二十六条对于银监会在监管中发现的有关操作风险管理的问题,商业银行应当在规定的时限内,提交整改方案并采取整改措施。
对于发生重大操作风险事件而未在规定时限内采取有效整改措施的商业银行,银监会将依法采取相关监管措施。
6. 银行业金融机构外部审计监管指引的第六章 审计结果的利用
第十九条 银行业金融机构应当在收到外审机构出具的审计报告和管理建议书后及时将副本报送银行业监管机构。
第二十条 银行业监管机构应当建立银行业金融机构外部审计结果、整改建议等审计信息系统,充分利用外部审计相关信息。
第二十一条 银行业金融机构应当重视并积极整改外部审计发现的问题,并将整改结果报送银行业监管机构。
7. 中国银行应该从巴林银行倒闭实践中吸取什么教训
1995年国际著名的巴林银行倒闭案至今让我们记忆犹新,新加坡巴林期货公司的总经理兼首席交易员,年仅28岁的尼克里森在未经授权的情况下,擅自从事巨额的金融期货交易,结果因投资失败造成10亿美圆的亏损。这一案例我们可以得到这样几点启示:
一、完善商业银行内部控制。在新加坡巴林公司,里森一人身兼交易和监察二职,严重违反银行内部控制规定,这是整个事件的根源。对于中国银行来说完善内控制度可以做到以下几点:1、在改革新形势下,商业银行的业务不断变化和快速创新,修订和完善规章制度尤为重要。一是建立科学性和实用性兼容的内控制度操作规程,避免因程序遗漏导致的风险。二是建立涵盖内部控制和会计控制的实体性稽核规范,制定相应的稽核标准体系,为提高稽核质量提供客观依据。三是建立稽核工作制度,加强稽核人员自我控制、自我约束,确保稽核信息真实可靠。四是建立后续稽核和再稽核制度,强化对稽核人员的行为约束,提高稽核质量,促进稽核成果有效转化。五是建立稽核联动机制,理顺稽核关系,加强与其他职能部门和被稽核单位的稽核合作,增强查防案件的协同效应。2、重点岗位重点监控。3、实行授权授信控制,包括授权批准的范围、层次、责任、程序等。4、建立事前、事中、事后监督体系,以保证内部控制机制的高效性和可靠性。稽核关口前移,实施超前防范。将过去传统性的事后稽核为主的方法,转换为事前、事中稽核为主的超前防范。事前稽核,主要是对经营决策,措施出台进行事前审议、论证、监督,事先发现经营可行性和效益性方面的利弊因素,参与决策,及时对信贷、财务收支等方面的正确性、合理性及效率、效益进行有效稽核。事中稽核,是对规章制度,经营管理过程的监控和对正在进行的业务活动是否真实、合理、合法、合规和有效,及时纠偏取正。因此,把事前、事中稽核监控的触角伸展到决策领域,这样就能对经济业务可行性和效益性的利弊因果,事先发现,避免造成人力、物力、财务的失误和损失。超前实施防范,通过事前、事中稽核,帮助商业银行建立健全规章制度,达到“以防为主,防治结合”,防患于未然,把问题和差错事故消灭在萌芽之中。5、严格违规必究的处罚机制,树立规章制度的权威,对于违反规定的应坚决按标准处罚。在巴林银行案中,对于里森的违规行为,巴林银行总部高层始终置若罔闻,这也是值得我们反思的。6、进行人性化管理,实施以德治行,加强从业人员的职业道德教育与管理。
二、完善商业银行监管体系。除需要做好自身的内部控制外,金融系统应尽快完善行业监管体系,实现监管的法制化、科学化、高效化,使行业自律与社会监督相结合,充分体现外部审计的独立性,着重做到以下几点:1、完善主体法律,制定金融法律实施细则。2、构建科学的金融监管信息系统,增强信息的透明度和准则性。3、建立高效的金融风险预警体系。4、加强对海外分支行的监管,严格按《商业银行境外机构监管指引》执行,同时加强现场检查和处理力度。5、加强行业自律与社会监督。
三、商业银行混业经营应建立严格的“防火墙”。1、要规定金融集团下的银行、证券、保险及各子公司的资金和业务等的比例限制,设置资金、业务和规模的“防火墙”。2、建立关于金融集团的内部交易和对外交易的强制信息披露制度,制定信息公开的程度、准则性、完整性的准确要求,设置信息完全的“防火墙”。3、正确对待衍生产品投资,控制投资风险在一定的可承受的范围内。随着国际金融业的迅速发展,金融衍生产品日益成为银行、金融机构及证券公司投资组合中的重要组成部分。因此,当商业银行混业经营时,尤其是从事衍生产品业务时,应对其交易活动制定一套完善的内部管理措施,包括交易头寸的限额,止损的限制,内部监督与稽核等。
8. 如何完善商业银行外部治理及监管环境
首先,要完善法律法规,改善外部治理。通过立法,进一步细化独立董事制度,提高独立董事在银行董事会中的比例,通过配套规定细化独立董事的职责。重构监事会制度,强化监事会对董事会的监督职能。
其次,规范政府职能,改善公共治理。进一步推动政府公共管理职能与所有者职能分开,必须充分尊重投资人的合法权益,尊重董事会的核心领导权。
第三,完善外部有效监管。积极推进商业银行公司治理的评价制度,通过评价来督促其规范运作,提升水平。加强对农商行、村镇银行等微小银行监管,帮助其完善法人治理结构,建立现代金融企业制度。建立明确的银行破产制度,提高包括股东和存款人在内的公司治理主动性。除了银行客户之外,还必须鼓励债权人对金融机构进行市场监督。
9. 银行业金融机构内部审计指引的细则
第一章 总 则
第一条 本指引所称银行业金融机构是指在中华人民共和国境内设立的政策性银行和商业银行。
经中国银行业监督管理委员会(以下简称中国银监会)批准设立的其他金融机构可参照执行本指引。
第三条 本指引所称内部审计是一种独立、客观的监督、评价和咨询活动,是银行业金融机构内部控制的重要组成部分。通过系统化和规范化的方法,审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果,促进银行业金融机构稳健发展。
第四条 银行业金融机构内部审计的目标是,保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行;在银行业金融机构风险框架内,促使风险控制在可接受水平;改善银行业金融机构的运营,增加价值。
第五条 银行业金融机构内部审计工作应当独立于经营管理,以风险为导向,确保客观公正。
第六条 中国银监会依据本指引检查评价银行业金融机构内部审计工作。
第二章 机构和人员
第七条 银行业金融机构的董事会负责建立和维护健全有效的内部审计体系。没有设立董事会的,由高级管理层负责履行有关职责。
董事会应下设审计委员会。审计委员会成员不少于3人,多数成员应是非执行董事。审计委员会主席应由独立董事担任。没有设立董事会的,审计委员会组成及委员会负责人由高级管理层确定。
第八条 银行业金融机构应建立审计全系统经营管理行为的内部审计部门,可设立一名首席审计官负责全系统的审计工作。
首席审计官由董事会任命并纳入银行业金融机构高级管理人员任职资格核准范围,首席审计官岗位变动要事前向中国银监会报告。
第九条 银行业金融机构应建立独立垂直的内部审计管理体系。审计预算、人员薪酬、主要负责人任免由董事会或其专门委员会决定。内部审计人员薪酬不低于本机构其他部门同职级人员平均水平。
第十条 银行业金融机构内部审计人员原则上按员工总人数的1%配备,并建立内部岗位轮换制。
第十一条 内部审计人员应具备相应的专业从业资格:
(一)专业水平。内部审计人员应具备大专以上学历,掌握与银行业金融机构内部审计相关的专业知识,熟悉金融相关法律法规及内部控制制度。
(二)从业经验。内部审计人员至少应具备两年以上金融从业经验;审计项目负责人员至少应具有三年以上审计工作经验,或六年以上金融从业经验。
(三)道德准则。内部审计人员应具有正直、客观、廉洁、公正的职业操守,且从事金融业务以来无不良记录。
第三章 职 责
第十二条 银行业金融机构应以制度形式明确董事会、审计委员会、首席审计官和内部审计部门及人员职责。
第十三条 董事会对内部审计的适当性和有效性承担最终责任,负责批准内部审计章程、中长期审计规划和年度工作计划等,为独立、客观开展内部审计工作提供必要保障,并对审计工作情况进行考核监督。
第十四条 审计委员会对董事会负责,根据董事会授权组织指导内部审计工作。审计委员会应定期召开会议,并可视需要邀请高级管理层人员列席。
第十五条 首席审计官负责组织实施内部审计章程、中长期审计规划和年度工作计划,做好协调工作,及时向董事会和高级管理层主要负责人报告审计工作情况,并对内部审计的整体质量负责。
第十六条 内部审计部门应对董事会和审计委员会负责,制定内部审计程序,评价风险状况和管理情况,落实年度审计工作计划,开展后续审计,监督整改情况,对审计项目质量负责,做好档案管理。
第十七条 内部审计事项主要包括:
(一)经营管理的合规性及合规部门工作情况。
(二)内部控制的健全性和有效性。
(三)风险状况及风险识别、计量、监控程序的适用性和有效性。
(四)信息系统规划设计、开发运行和管理维护的情况。
(五)会计记录和财务报告的准确性和可靠性。
(六)与风险相关的资本评估系统情况。
(七)机构运营绩效和管理人员履职情况等。
第四章 权 限
第十八条 银行业金融机构应当以制度形式明确赋予内部审计部门履行职责所必需的权限。
第十九条 内部审计部门有权列席或参加与内部审计部门职责有关的会议。
第二十条 内部审计部门有权及时、全面了解经营管理信息,并就有关问题向审计对象和相关人员进行调查、质询、取证。
第二十一条 内部审计部门认为必要时有权向董事会直接汇报审计发现。
第二十二条 内部审计部门应具有处理建议权和必要的处罚权。
第二十三条 内部审计部门对拒绝接受或不配合内部审计、拒绝提供或提供虚假资料、打击报复或陷害审计人员的,有权向上级报告,要求及时予以制止并做出处理。
第五章 质量控制
第二十四条 内部审计部门可就风险管理、内部控制等有关问题提供咨询服务,但不应直接参与或负责内部控制设计和经营管理决策与执行。
第二十五条 内部审计部门应在年度风险评估的基础上确定审计重点,审计频率和程度应与银行业金融机构业务性质、复杂程度、风险状况和管理水平相一致。
对每一营业机构的风险评估每年至少一次,审计每两年至少一次。
第二十六条 内部审计部门和审计人员应严格按照审计程序和审计方法实施审计项目,并定期进行自我评估。
第二十七条 内部审计部门应建立内部审计人员的审计回避制度,确保内部审计的客观性。
第二十八条 内部审计部门应建立内部审计人员后续培训制度,鼓励内部审计人员取得注册会计师、注册内部审计师、注册信息系统审计师等执业资格,以保证内部审计人员的专业胜任能力。
第二十九条 内部审计部门应加强科技手段和信息技术在审计工作中的运用,建立完善非现场内部审计监测体系及内部审计操作系统、信息管理系统。
第三十条 内部审计部门根据工作需要,经董事会批准后,可将部分内部审计项目外包,但需事先对外包机构的独立性、客观性和专业胜任能力进行评估。
第三十一条 内部审计部门应建立审计复议制度,对审计对象提出异议的审计结论,由作出审计结论的审计机构的上级机构进行复议。
第三十二条 董事会可聘请外部机构对内部审计部门的尽职情况进行评价,并保证外部检查人员独立于评价对象、具备专业胜任能力以及与评价对象没有利益冲突。
第六章 报告制度
第三十三条 银行业金融机构应建立与垂直管理体系相适应的内部审计报告制度和报告线路。
第三十四条 审计委员会应按季度向董事会报告审计工作情况,并通报高级管理层和监事会。
第三十五条 首席审计官和内部审计部门应按季向董事会和高级管理层主要负责人报告审计工作情况。每年至少一次向董事会提交包括履职情况、审计发现和建议等内容的审计工作报告。
第三十六条 首席审计官和内部审计部门在审计事项结束后,应及时向董事会和高 管理层主要负责人报送包括审计概况、审计依据、审计结论、审计决定、审计建议、审计对象反馈意见等内容的项目审计报告。
第三十七条 银行业金融机构应建立完善与中国银监会的沟通和报告制度。
董事会和高级管理层应就重大审计发现及时向中国银监会报告。
内部审计部门应就以下事项向中国银监会或中国银监会派出机构报告:
(一)向董事会提交的全面审计工作报告。
(二)内部审计部门开展异地审计的,应同时将审计报告抄报审计对象所在地的中国银监会派出机构。
(三)内部审计部门发现重大问题并报告董事会后,在问题未得到认真查处整改的情况下,应直接向中国银监会报告相关情况。
(四)外部中介机构对银行业金融机构的审计报告。
(五)中国银监会及其派出机构要求报告的其他事项。
第七章 考核与问责
第三十八条 董事会和高级管理层应采取有效措施,确保内部审计成果得以充分利用。
高级管理层对未按要求进行整改的问题,应督促整改,追究相关人员责任,并承担未对审计发现采取纠正措施所产生的责任和风险。
第三十九条 董事会应建立激励约束机制,对内部审计相关各方的尽职、履职情况进行考核评价,建立内部审计工作问责制度,明确内部审计责任追究、免责的认定标准和程序。
第四十条 董事会应对具有以下情节的内部审计部门负责人和直接责任人追究责任:
(一)未执行审计方案、程序和方法导致重大问题未能被发现。
(二)对审计发现问题隐瞒不报或者未如实反映。
(三)审计结论与事实严重不符。
(四)对审计发现问题查处整改工作跟踪不力。
(五)未按要求执行保密制度。
(六)其他有损银行业金融机构利益或声誉的行为。
第四十一条 银行业金融机构经检查监督和责任认定,有充分证据表明内部审计部门和审计人员按照有关法律、法规、规章和本指引以及银行业金融机构内部审计制度勤勉尽职地履行了职责,并及时报告了审查出的问题,在审计对象相关问题暴露时,可视情况免除或部分免除内部审计部门和相关审计人员的责任。
第八章 附 则
第四十二条 银行业金融机构应根据本指引制定实施细则,并报中国银监会备案。
第四十三条 本指引由中国银监会负责解释。
第四十四条 本指引自二○○六年七月一日实施。