第一篇:銀行業金融機構外部審計監管指引
銀行業金融機構外部審計監管指引
銀監發〔2010〕73號
銀監會2010.8.11
第一章 總則
第一條 為充分發揮外部審計對銀行業監管的補充作用,促進銀行業金融機構穩健經營,根據《中華人民共和國銀行業監督管理法》等法律法規,制定本指引。
第二條 本指引所稱銀行業金融機構是指依法在中國境內設立的各類銀行業金融機構法人,以及外國銀行業金融機構在中國境內設立的分支機構。
本指引所稱外部審計是指外部審計機構對銀行業金融機構的年度財務報告審計;外部審計機構是指接受銀行業金融機構委托對其進行外部審計的會計師事務所,以下簡稱外審機構。
本指引所稱銀行業監管機構,是指中國銀監會及其派出機構。
第三條 銀行業金融機構應當建立健全委托外審機構的相關規章制度。
銀行業金融機構董事會對外部審計負最終責任。
第二章 審計委托
第四條 銀行業金融機構應當委托具有獨立性、專業勝任能力和聲譽良好的外審機構從事審計業務。對合格外審機構的評估包括但不限于以下因素:
(一)在形式和實質上均保持獨立性;
(二)具有與委托銀行業金融機構資產規模、業務復雜程度等相匹配的規模、資源和風險承受能力;
(三)擁有足夠數量的具有銀行業金融機構審計經驗的注冊會計師,具備審計銀行業金融機構的專業勝任能力;
(四)熟悉金融法規、銀行業金融機構業務及流程、內部控制制度以及各種風險管理政策;
(五)具有完善的內部管理制度和健全的質量控制體系;
(六)具有良好的職業聲譽,無重大不良記錄。
第五條 銀行業金融機構應當完整保存委托外部審計機構過程中的檔案,銀行業監管機構可以對上述檔案進行檢查。
第六條 外審機構存在下列情況之一的,銀行業金融機構不宜委托其從事外部審計業務:
(一)專業勝任能力、從事銀行業金融機構審計的經驗、風險承受能力明顯不足的;
(二)存在欺詐和舞弊行為,在執業經歷中受過行政處罰、刑事處罰且未滿三年的;
(三)與被審計機構存在關聯關系,可能影響審計獨立性的。
第三章 審計質量控制
第七條 銀行業金融機構應當了解外部審計程序及質量控制體系,配合外審機構開展審計工作,為外審機構實施適當的審計程序提供便利。
第八條 銀行業金融機構應當與外審機構充分溝通,了解審計進展情況,及時將審計過程中出現的重大事項報告銀行業監管機構。
第九條 銀行業金融機構應當對外審機構的審計報告質量及審計業務約定書的履行情況進行評估。
第十條 銀行業監管機構可以對外審機構的審計報告質量進行評估,并對存在重大疑問的事項要求銀行業金融機構委托其他外審機構進行專項審計。
第十一條 外審機構同一簽字注冊會計師對同一家銀行業金融機構進行外部審計的服務年限不得超過五年;超過五年的,銀行業金融機構應當要求外審機構更換簽字注冊會計師。
第十二條 銀行業金融機構不宜委托負責其外部審計的外審機構提供咨詢服務。
第四章 終止審計委托
第十三條 銀行業金融機構發現外審機構存在下列情形之一的,應予以特別關注,并可以終止委托其審計工作:
(一)未履行誠信、勤勉、保密義務,并造成嚴重不良后果的;
(二)將所承擔的審計業務分包或轉包給其他機構的;
(三)審計人員和時間安排難以保障銀行業金融機構按期披露年度報告的;
(四)審計報告被證實存在嚴重質量問題的。
第十四條 銀行業監管機構發現外審機構存在下列問題時,可以要求銀行業金融機構立即評估委托該外審機構的適當性:
(一)審計結果嚴重失實的;
(二)存在嚴重舞弊行為的;
(三)嚴重違背中國注冊會計師審計準則,存在應發現而未發現的重大問題的。
對因上述原因被終止委托的外審機構,銀行業金融機構二年內不得委托其從事審計業務。
第十五條 銀行業金融機構或外審機構單方要求終止審計委托時,銀行業金融機構應當及時報告銀行業監管機構。
第五章 與外審機構的溝通
第十六條 銀行業監管機構、銀行業金融機構、外審機構應當適時舉行雙方或三方會談,及時交流有關信息。
第十七條 外審機構根據審計準則向銀行業監管機構報告銀行業金融機構以下情況的,銀行業金融機構不得阻撓:
(一)嚴重違反法律法規、行業規范或章程;
(二)影響持續經營的事項或情況;
(三)出具非標準審計報告;
(四)管理層有重大舞弊行為;
(五)決策機構內部發生嚴重沖突或關鍵職能部門負責人突然離職。
第十八條 銀行業監管機構應當鼓勵外審機構依法根據審計準則開展外部審計,并糾正銀行業金融機構對外部審計質量存在嚴重負面影響的行為。
第六章 審計結果的利用
第十九條 銀行業金融機構應當在收到外審機構出具的審計報告和管理建議書后及時將副本報送銀行業監管機構。
第二十條 銀行業監管機構應當建立銀行業金融機構外部審計結果、整改建
議等審計信息系統,充分利用外部審計相關信息。
第二十一條 銀行業金融機構應當重視并積極整改外部審計發現的問題,并將整改結果報送銀行業監管機構。
第七章 附則
第二十二條 本指引由中國銀監會負責解釋。
第二十三條 本指引自公布之日起施行。
第二篇:淺析《銀行業金融機構內部審計指引》
淺析《銀行業金融機構內部審計指引》
來源:考試大 【愛學習,愛考試大】 2008年1月17日
為促進銀行業金融機構完善公司治理,加強內部控制,健全內部審計體系,依據《公司法》、《審計法》和《銀行監督管理法》等法律法規,中國銀監會制定出臺了《銀行業金融機構內部審計指引》(以下簡稱《指引》),對進一步加強和發揮內部審計在銀行業金融機構中的作用提出了監管要求。
一、《指引》是銀行監管部門針對我國銀行業金融機構內部審計的現狀而出臺的指導意見
隨著我國金融改革的穩步推進,銀行業金融機構的公司治理逐步完善,風險管理意識不斷增強,內部審計也越來越受到銀行董事會、經營管理層以及銀行監管部門的重視,內部審計的地位有所提升,作用有所增強。但是,與國際銀行業的先進做法以及國際內部審計師協會(IIA)關于內部審計的要求相比,與完善的銀行業公司治理標準相比,我國銀行業金融機構的內部審計在審計理念、組織體系、人員素質、審計效果等方面仍存在一定的差距,主要表現為:
(一)審計理念仍顯落后
從國際上看,隨著內部審計理論和審計技術不斷發展完善,內部審計關注的重點已經從查錯糾弊轉為更加關注組織的公司治理、內部控制和風險管理的有效性,致力于為組織增加價值,推動組織實現其發展目標。從我國銀行業金融機構內部審計的實踐看,目前內部審計的重心仍是合規性審計,尤其是對財務活動的監督檢查,對公司治理、內部控制和風險管理尚無過多涉及。與國際先進做法相比,我國銀行業金融機構內部審計多局限于傳統的審計業務,顯示出在審計理念方面的落后。
(二)組織體系尚不合理,報告路線不夠合理,獨立性、權威性尤為不足
根據國際內部審計師協會《內部審計實務標準》的建議,內部審計在組織上應該保持足夠的獨立性,董事會和高級管理層應該給予內部審計足夠的權力,理想情況下,首席審計執行官(CEA)在職能上對董事會報告工作,在行政上向經營管理層的主要負責人(即首席執行官CEO)報告工作。從我國銀行業金融機構的實際情況看,在報告路線方面,即便是已經設立規范“三會”的銀行,內部審計也大多是作為銀行經營管理體系的一部分,對經營管理層負責;從內部審計的體系看,目前大多數銀行尚未建立起垂直、獨立的內部審計體系,內部審計只是作為內部稽核的重要力量向各級行長或分管副行長報告工作,對行長和分管副行長負責,內部審計在審計目標、審計計劃、具體審計活動以及審計后的監督等方面都缺乏獨立性和權威性。
(三)內部審計的人力資源有待加強
隨著內部審計在公司治理、內部控制和風險管理方面作用的不斷加強,對內部審計人員的素質提出了更高的要求。根據國際內部審計師協會對內部審計的定義,內部審計活動已不僅僅是傳統的稽核確認,還包括為增加價值和改善組織運營而提供的咨詢等各類服務。就銀行業金融機構而言,隨著金融創新的不斷深化、風險類型的日益復雜化,內部審計人員需要具備足夠的專業技能跟蹤、把握最近的業務知識,從而提供積極有效的確認和咨詢等增值服務。從我國銀行業金融機構的實際情況看,內部審計人員的素質普遍不高,有些機構由于對內部審計的重視不夠,存在著內部審計人員配備不足,甚至存在“老弱病”現象。
(四)審計效果不甚理想
由于我國銀行業金融機構內部審計在審計理念、組織體系、人力資源等方面的問題,審計效果不盡理想。以最近中行黑龍江分行發生的案件為例,在銀行業開展了一年多的案件專項治理,尤其是中行黑龍江分行已經發生過高山案的情況下,在經歷了多次內部自查的情況下,仍未能及時發現案件,充分說明了目前我國銀行業金融機構的內部審計效果仍有待改進。
二、《指引》借鑒了國際上關于內部審計的先進理念,對銀行業金融機構的內部審計予以了規范
根據國際內部審計師協會關于內部審計的定義,內部審計是“一種獨立、客觀的確認和咨詢活動,旨在增加價值和改善組織運營。它通過應用系統的、規范的方法,評價并改善風險管理、控制和治理過程的效果,幫助組織實現其目標”。巴塞爾委員會和國際銀行業對國際內部審計師協會關于內部審計的定義表示認可。在借鑒國際內部審計先進理念的基礎上,銀行監管部門此次出臺的《指引》體現了以下幾方面的進步:
(一)明確了內部審計的定義和目標
《指引》在第三條和第四條指出,內部審計是一種獨立、客觀的監督、評價和咨詢活動,是銀行業金融機構內部控制的重要組成部分。內部審計部門通過系統化和規范化的方法,審查評價并改善銀行業金融機構經營活動、風險狀況、內部控制和公司治理效果,保證國家有關經濟金融法律法規、方針政策、監管規章的貫徹執行,在銀行業金融機構風險框架內促使風險控制在可接受水平,并改善銀行業金融機構的運營,增加價值,從而促進銀行業金融機構穩健發展。可以看出,《指引》上述規定是銀行監管部門在借鑒國際內部審計先進理念的基礎上,對我國銀行業金融機構內部審計的科學界定,是國際內部審計師協會關于內部審計定義和目標在中國銀行業金融機構的具體化。
(二)強調了內部審計的獨立性
《指引》開篇即提出了原則性要求,“內部審計是一種獨立、客觀的監督、評價和咨詢活動”,“應當獨立于經營管理,以風險為導向,確保客觀公正”。為從制度和體制上保證內部審計獨立性,《指引》從內部審計體系、從業人員和報告路線等方面作了詳細規定。《指引》第九條指出,“銀行業金融機構應建立獨立垂直的內部審計體系。審計預算、人員薪酬、主要負責人任免由董事會或其專門委員會決定。內部審計人員薪酬不低于本機構其他部門同職級人員平均水平”。相比以往關于內部審計獨立性方面的原則性意見,《指引》的規定更為具體,更具有操作性,切實為內部審計的獨立性提供了保障。此外,《指引》還特意強調,“內部審計部門可就風險管理、內部控制等有關問題提供咨詢服務,但不應直接參與或負責內部控制設計和經營管理決策與執行”,保證內部審計部門在提供咨詢服務的同時,不影響其自身的獨立性。
(三)規定了內部審計的權限
在權限方面,《指引》規定了內部審計主要事項,要求“銀行業金融機構應當以制度形式明確賦予內部審計部門履行職責所必需的權限”,規定內部審計部門“有權列席或參加與內部審計部門職責有關的會議”,“有權及時、全面了解經營管理信息,并就有關問題向審計對象和相關人員進行調查、質詢、取證”,并賦予必要時直接向董事會直接匯報審計發現的權力、必要的處理建議權和處罰權等。
(四)規范了內部審計各主體的責任
《指引》指出,董事會負責建立和維護健全有效的內部審計體系,董事會要對內部審計的適當性和有效性承擔最終責任,負責批準內部審計章程、中長期審計規劃和工作計劃等,為獨立、客觀開展內部審計工作提供必要保障,并對審計工作情況進行考核監督。董事會下設的審計委員會對董事會負責,根據董事會的授權組織指導內部審計工作,并應定期召開會議,按季向董事會報告審計工作情況,同時通報高級管理層和監事會。內部審計部門對董事會和審計委員會負責,制定內部審計程序,評價風險狀況和管理情況,落實審計工作計劃,開展后續審計,監督整改情況,對審計項目質量負責等。首席審計官(CEA)負責組織實施內部審計章程、中長期審計規劃和工作計劃,做好協調工作,及時向董事會和高級管理層主要負責人報告審計工作情況,并對內部審計的整體質量負責。
(五)確定了內部審計與外部監管的報告與指導關系
《指引》表明內部審計作為公司治理的重要組成部分,屬于銀行監管部門“管法人”的重要工作內容。《指引》從監管者的角度,提出了銀行業金融機構內部審計與外部監管的關系,明確要求“銀行業金融機構應建立完善的與中國銀監會的溝通和報告制度”,并規定了內部審計部門應向中國銀監會及其派出機構報告的事項,確定了銀行監管部門對相應的銀行業金融機構內部審計的指導職能。
此外,《指引》還就內部審計的質量控制問題、內部審計部門工作人員的比例、從業人員的專業水平和道德準則的要求等問題予以了規范。
三、以貫徹實施《指引》為契機,加強和發揮銀行業金融機構內部審計的作用
《指引》借鑒了國際上內部審計的先進理念,針對我國銀行業金融機構內部審計的現狀提出了切合實際的監管要求。各銀行業金融機構應以貫徹實施《指引》為契機,充分發揮內部審計在公司治理、內部控制和風險管理等方面的積極作用。
1、銀行業金融機構要根據《指引》的精神,結合本單位實際,制定出實施細則,并根據要求報銀行監管部門備案。借鑒與吸收并重,轉變傳統上關于內部審計的觀念,通過應用系統的、規范的方法,評價并改善風險管理、內部控制和公司治理過程的效果,增加價值和改善運營,幫助所屬的銀行業金融機構實現其目標。要建立和完善獨立客觀的內部審計系統,提高內部審計的手段,加強科技信息技術在審計工作中的應用,建立完善的非現場內部審計監測體系及內部審計操作體系、信息管理系統。嚴格內部審計質量控制,努力提高內部審計工作水平。
2、要切實加強內部審計人員的培養,建立內部審計從業人員任職資格,通過CIA等資格考試、聘請專家培訓等方面,提升內部審計人員的專業素養。加強與中國內部審計協會的聯系,考慮建立銀行業金融機構內部審計協會,制定銀行業金融機構內部審計的整體規劃,加強各金融機構之間的交流與合作,提高整個銀行業金融機構的內部審計水平。
3、完善和改進內部審計和外部監督的關系。按照巴塞爾委員會《銀行內部審計及監管者與審計師的關系》的表述,除了內部審計要及時、準確、完整地向銀行監管部門報告外,銀行監管部門也應當對銀行業金融機構內部審計的工作進行評價,并根據評價結果來確定是否采納以及在多大程度上采納內部審計的結果。在銀行監管相對成熟的國家和地區,銀行監管部門通常與內部審計保持較為緊密的聯系,二者會定期進行磋商,比如,香港金管局定期舉行包括銀行內部審計和外部審計在內的三方會議,借助內部審計的成果實施風險為本的銀行監管,大大地提高了銀行監管的效率。《指引》的出臺,標志著我國銀行監管部門更加重視內部審計的工作,對內部審計的指導和監督力度也將加強。今后,銀行監管部門與銀行內部審計應逐步探索、創新和完善雙方的關系,充分發揮外部監管與內部監督的雙重作用,促進我國銀行業的健康發展。來
第三篇:銀行業金融機構績效考評監管指引
銀行業金融機構績效考評監管指引
第一章
總則
第一條 為促進銀行業金融機構建立有效的激勵約束機制,轉變發展方式,實現審慎經營,根據 《 中華人民共和國銀行業監督管理法 》 等法律法規,制定本指引。
第二條 本指引所稱銀行業金融機構,是指在中華人民共和國境內依法設立的商業銀行、農村信用社等吸收公眾存款的金融機構。在中華人民共和國境內依法設立的金融資產管理公司、信托公司、財務公司、金融租賃公司、城市信用社以及經銀監會批準設立的其他金融機構,適用本指引。政策性銀行和實施條線管理的商業銀行參照本指引執行。第三條 本指引所稱績效考評,是指銀行業金融機構為落實監管要求和實現自身發展戰略,通過建立考評指標、設定考評標準,對考評對象在特定期間的經營成果、風險狀況及內控管理進行綜合評價,并根據考評結果改進經營管理的過程。第四條 銀行業金融機構績效考評應當堅持以下原則:
(一)穩健經營。銀行業金融機構應當樹立穩健績效觀,確定穩健的發展戰略和經營計劃,制定穩健的績效考評目標和具體指標。
(二)合規引領。績效考評應當體現監管要求,促進銀行業金融機構合規經營和有序競爭,培養合規文化,維護良好市場秩序。
(三)戰略導向。績效考評應當以發展戰略為導向,以經營計劃為目標,通過科學合理的績效考評,堅持既定市場定位,執行既定發展戰略,實現差異化發展、內涵式發展、均衡性發展,提高服務實體經濟的能力。
(四)綜合平衡。銀行業金融機構應當統籌業務發展與風險防控,建立兼顧效益與風險、財務因素與非財務因素、當期成果與可持續發展的績效考評指標體系,全面客觀地實施績效考評。
(五)統一執行。銀行業金融機構應當建立有效的考評管理機制,注重績效考評的過程和質量管理,強化績效考評執行力和約束力,確保經營管理要求逐級傳導的一致性。
第二章
考評指標
第五條 銀行業金融機構績效考評指標包括五大類:合規經營類指標、風險管理類指標、經營效益類指標、發展轉型類指標、社會責任類指標。
第六條 合規經營類指標用于評價銀行業金融機構遵守相關法律法規和規章制度、內部控制建設及執行的情況,包括合規執行、內控評價、違規處罰等方面。合規經營類指標中的內控評價,應當與銀行業金融機構自身或外部審計的評價結果相一致。銀行業金融機構應當區分內部自查、外部檢查以及違規程度,確定合規經營類指標中違規處罰的具體分值和權重。對于外部檢查發現并實施監管措施或行政處罰的,應當調低績效考評等級。
第七條 風險管理類指標用于評價銀行業金融機構風險狀況及變動趨勢,包括信用風險指標、操作風險指標、流動性風險指標、市場風險指標、聲譽風險指標等。在計算風險管理類指標時,銀行業金融機構應當充分考慮考評對象風險分類、識別和計量的準確性。對于發生案件的考評對象,應當調低績效考評等級。
第八條 經營效益類指標用于評價銀行業金融機構經營成果、經營效率和價值創造能力,包括利潤指標、成本控制指標、風險調整后收益指標等。在經營效益類指標中,銀行業金融機構應當以風險調整后收益指標為核心,確定合理的分值和權重。采用資本計量高級方法的銀行業金融機構,應當將基于高級方法得出的風險參數作為計算風險調整后收益指標的重要依據。銀行業金融機構應當充分考慮資產期限及風險延期暴露等因素,降低中長期資產收益對經營效益類指標的貢獻度。
第九條 發展轉型類指標用于評價銀行業金融機構根據宏觀經濟政策、結構調整及自身需要,推動業務發展和戰略轉型的情況,包括業務及客戶發展指標、資產負債結構調整指標、收入結構調整指標等。銀行業金融機構應當根據考評對象的經營地域、客戶結構、市場需求以及服務能力,合理確定發展轉型類指標。對于以貸轉存、以貸收費和轉嫁成本等不規范經營的考評對象,應當調低發展轉型類指標的考評得分。第十條 社會責任類指標用于評價銀行業金融機構提供金融服務、支持節能減排和環境保護、提高社會公眾金融意識的情況,包括服務質量和公平對待消費者、綠色信貸、公眾金融教育等。銀行業金融機構應當在社會責任報告中,披露社會責任類指標的,慈體情況。第十一條 銀行業金融機構應當根據監管要求,結合本行發展戰略、風險偏好和市場定位等因素,確定績效考評的具體指標及其權重。銀行業金融機構應當突出合規經營和風險管理的重要性,合規經營類指標和風險管理類指標權重應當明顯高于其他類指標。
第十二條 銀行業金融機構及其分支機構在設置考評指標、確定考評標準和分解考評指標時,應當符合審慎經營和與自身能力相適應的原則,不得有下列情形:
(一)設立時點性規模考評指標;
(二)在綜合績效考評指標體系外設定單項或臨時性考評指標;
(三)設定沒有具體目標值、單純以市場份額或市場排名為要求的考評指標;
(四)分支機構自行制定考評辦法或提高考評標準及相關要求。
第十三條 考評對象在細化績效考評指標時,應當與總行(公司)的績效考評要求總體保持一致,全面執行總行(公司)的戰略目標、經營理念和風險政策。
第十四條 銀行業金融機構在計算績效考評指標時,應當使用符合財務會計制度的相關數據。
第三章
考評機制
第十五條 銀行業金融機構應當根據現代金融企業制度和內部管理體制特點,建立科學合理的績效考評組織架構,完善工作制度,明確職責分工,強化績效考評的體制機制保障。第十六條 銀行業金融機構董事會應當根據國民經濟發展狀況、市場變化、自身發展戰略和風險偏好等因素,審批確定審慎、可行的經營計劃。董事會及相關專門委員會應當充分論證經營計劃的科學性。
第十七條 銀行業金融機構高級管理層應當按照董事會批準的經營計劃,制定本行績效考評制度和指標體系,并對績效考評負最終責任。績效考評應當以經營計劃為主要依據,設定明確、可行的目標值。
第十八條 銀行業金融機構應當指定專門部門,負責績效考評的制度建設、組織實施和質量控制。
第十九條 下級考評對象應當將績效考評方案報上級機構批準同意后實施。
第二十條 銀行業金融機構應當建立規范的績效考評管理流程,確保績效考評指標體系和實施過程公開透明,并與考評對象及其員工進行有效溝通。
第二十一條 銀行業金融機構應當建立績效考評結果定期公布制度,向全體考評對象通報績效考評結果,促進其改善經營管理。
第二十二條 銀行業金融機構應當加強績效考評結果的應用管理,建立科學合理的績效考評結果掛鉤機制。績效考評結果的應用至少應當包括以下方面:
(一)評定等級行;
(二)確定管理授權;
(三)分配信貸資源和財務費用;
(四)核定績效薪酬總額;
(五)評價高級管理人員和確定其績效薪酬。商業銀行在核定考評對象的績效薪酬總額和確定高級管理人員的績效薪酬時,應當符合《商業銀行穩健薪酬監管指引》相關規定。
第二十三條 銀行業金融機構應當提高財務信息質量,加強會計體系管理和信息科技平臺建設,不斷提高績效考評的準確性和及時性。
第二十四條 銀行業金融機構應當培育公開透明、審慎穩健的績效考評文化,充分發揮績效考評對經營管理和業務發展的引領作用。
第二十五條 銀行業金融機構應當加強績效考評的管理與監督,指導考評對象依法合規做好考評工作,及時糾正各種違規問題。銀行業金融機構審計和監察部門應當對績效考評實施情況進行檢查,對將業務費用變相作為績效獎勵、弄虛作假、違規操作等問題嚴肅問責。
第四章
監督管理 第二十六條 銀監會負責對銀行業金融機構績效考評工作進行監管管理。
第二十七條 銀行業金融機構應當于年初將董事會批準的經營計劃和高級管理層制定的績效考評制度報送銀監會或其派出機構。各級考評對象應當于年初將上級機構考評要求和本級機構對下考評要求,報送銀監會派出機構。銀行業金融機構在期間對績效考評進行調整的,應當將調整情況及時報送銀監會或其派出機構。
第二十八條 銀行業金融機構年終績效考評工作完成后,銀行業金融機構和各級考評對象應當于 10 日內將考評結果報送銀監會或其派出機構。
第二十九條 銀監會對銀行業金融機構績效考評進行監督管理。重點關注以下事項:
(一)經營計劃的審慎性;
(二)績效考評目標與經營計劃的吻合性;
(三)績效考評指標設置與上級機構考評要求的一致性;
(四)業務歸屬和會計核算的準確性;
(五)財務數據和管理信息的規范性。
第三十條 銀行業金融機構績效考評實施情況納入監管評價,并與監管激勵措施掛鉤:
(一)與考評對象設立機構掛鉤;
(二)與考評對象開辦新業務掛鉤;
(三)與考評對象高級管理人員任職資格核準掛鉤。
第三十一條 對績效考評制度建設不合規、考評指標體系不科學、考評結果應用不全面的銀行業金融機構及其考評對象,應當加大現場檢查力度。
第三十二條 銀行業金融機構及其考評對象績效考評工作不符合本指引要求的,根據 《 中華人民共和國銀行業監督管理法 》 的相關規定責令限期整改,整改不到位的,依法實施監管措施或行政處罰。
第五章
附則
第三十三條 銀行業金融機構對職能部門的績效考評參照本指引執行。銀行業金融機構對風險管理、內控合規、內部審計等部門的績效考評,應當有利于其獨立、全面地履行職能。第三十四條 銀行業金融機構設在境外的分支及全資附屬的銀行機構,由總行(公司)根據本指引的原則和要求,結合所在國家和地區的法律規定、監管要求實施績效考評。
第三十五條 按照并表管理原則,銀行業金融機構對全資或控股的非銀行金融機構的考評參照本指引執行。
第三十六條 本指引由銀監會負責解釋。第三十七條 本指引自印發之日起施行。
第四篇:銀監發[2010]73號關于印發《銀行業金融機構外部審計監管指引》的通知
關于印發《銀行業金融機構外部審計監管指引》的通知
銀監發[2010]73號中國銀行業監督管理委員會2010-8-1
1各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行、金融資產管理公司,郵政儲蓄銀行,各省級農村信用聯社,銀監會直接監管的信托公司、企業集團財務公司、金融租賃公司:
現將《銀行業金融機構外部審計監管指引》印發給你們,請遵照執行。請各銀監局將本通知轉發至轄內各銀鑒分局和銀行業金融機構。
中國銀行業監督管理委員會
二0一0年八月十一日
銀行業金融機構外部審計監管指引
第一章 總則
第一條 為充分發揮外部審計對銀行業監管的補充作用,促進銀行業金融機構穩健經營,根據《中華人民共和國銀行業監督管理法》等法律法規,制定本指引。
第二條 本指引所稱銀行業金融機構是指依法在中國境內設立的各類銀行業金融機構法人,以及外國銀行業金融機構在中國境內設立的分支機構。本指引所稱外部審計是指外部審計機構對銀行業金融機構的財務報告審計;外部審計機構是指接受銀行業金融機構委托對其進行外部審計的會計師事務所,以下簡稱外審機構。本指引所稱銀行業監管機構,是指中國銀監會及其派出機構。
第三條 銀行業金融機構應當建立健全委托外審機構的相關規章制度。銀行業金融機構董事會對外部審計負最終責任。
第二章 審計委托
第四條 銀行業金融機構應當委托具有獨立性、專業勝任能力和聲譽良好的外審機構從事審計業務。對合格外審機構的評估包括但不限于以下因素:
(一)在形式和實質上均保持獨立性;
(二)具有與委托銀行業金融機構資產規模、業務復雜程度等相匹配的規模、資源和風險承受能力;
(三)擁有足夠數量的具有銀行業金融機構審計經驗的注冊會計師,具備審計銀行業金融機構的專業勝任能力;
(四)熟悉金融法規、銀行業金融機構業務及流程、內部控制制度以及各種風險管理政策;
(五)具有完善的內部管理制度和健全的質量控制體系;(六)具有良好的職業聲譽,無重大不良記錄。
第五條 銀行業金融機構應當完整保存委托外部審計機構過程中的檔案,銀行業監管機構可以對上述檔案進行檢查。第六條外審機構存在下列情況之一的,銀行業金融機構不宜委托其從事外部審計業務:
(一)專業勝任能力、從事銀行業金融機構審計的經驗、風險承受能力明顯不足的;
(二)存在欺詐和舞弊行為,在執業經歷中受過行政處罰、刑事處罰且未滿三年的;
(三)與被審計機構存在關聯關系,可能影響審計獨立性的。
第三章 審計質量控制
第七條 銀行業金融機構應當了解外部審計程序及質量控制體系,配合外審機構開展審計工作,為外審機構實施適當的審計程序提供便利。
第八條 銀行業金融機構應當與外審機構充分溝通,了解審計進展情況,及時將審計過程中出現的重大事項報告銀行業監管機構。
第九條 銀行業金融機構應當對外審機構的審計報告質量及審計業務約定書的履行情況進行評估。
第十條 銀行業監管機構可以對外審機構的審計報告質量進行評估,并對存在重大疑問的事項要求銀行業金融機構委托其他外審機構進行專項審計。
第十一條 外審機構同一簽字注冊會計師對同一家銀行業金融機構進行外
部審計的服務年限不得超過五年;超過五年的,銀行業金融機構應當要求外審機構更換簽字注冊會計師。
第十二條 銀行業金融機構不宜委托負責其外部審計的外審機構提供咨詢服務。
第四章 終止審計委托
第十三條 銀行業金融機構發現外審機構存在下列情形之一的,應予以特別關注,并可以終止委托其審計工作:
(一)未履行誠信、勤勉、保密義務,并造成嚴重不良后果的;
(二)將所承擔的審計業務分包或轉包給其他機構的;
(三)審計人員和時間安排難以保障銀行業金融機構按期披露報告的;
(四)審計報告被證實存在嚴重質量問題的。
第十四條 銀行業監管機構發現外審機構存在下列問題時,可以要求銀行業金融機構立即評估委托該外審機構的適當性:
(一)審計結果嚴重失實的;
(二)存在嚴重舞弊行為的;
(三)嚴重違背中國注冊會計師審計準則,存在應發現而未發現的重大問題的。
對因上述原因被終止委托的外審機構,銀行業金融機構二年內不得委托其從事審計業務。
第十五條 銀行業金融機構或外審機構單方要求終止審計委托時,銀行業金融機構應當及時報告銀行業監管機構。
第五章 與外審機構的溝通
第十六條 銀行業監管機構、銀行業金融機構、外審機構應當適時舉行雙方或三方會談,及時交流有關信息。
第十七條 外審機構根據審計準則向銀行業監管機構報告銀行業金融機構以下情況的,銀行業金融機構不得阻撓:
(一)嚴重違反法律法規、行業規范或章程;
(二)影響持續經營的事項或情況;
(三)出具非標準審計報告;
(四)管理層有重大舞弊行為;
(五)決策機構內部發生嚴重沖突或關鍵職能部門負責人突然離職。
第十八條 銀行業監管機構應當鼓勵外審機構依法根據審計準則開展外部審計,并糾正銀行業金融機構對外部審計質量存在嚴重負面影響的行為。
第六章 審計結果的利用
第十九條 銀行業金融機構應當在收到外審機構出具的審計報告和管理建議書后及時將副本報送銀行業監管機構。
第二十條 銀行業監管機構應當建立銀行業金融機構外部審計結果、整改建議等審計信息系統,充分利用外部審計相關信息。
第二十一條 銀行業金融機構應當重視并積極整改外部審計發現的問題,并將整改結果報送銀行業監管機構。
第七章 附則
第二十二條 本指引由中國銀監會負責解釋。
第二十三條 本指引自公布之日起施行。
答問銀行業金融機構外部審計監管指引
近日,銀監會有關負責人就《銀行業金融機構外部審計監管指引》(銀監發
[2010]73號)回答了記者提問。
問:《銀行業金融機構外部審計監管指引》(以下簡稱指引)出臺的背景和目的是什么?
答:外部審計是維護市場紀律、實現銀行有效管理的重要手段,對銀行監管具有重要的補充作用。國際上,許多國家銀行監管當局都很重視外部審計的作用和相應的管理和指導工作,如英國金融機構在委托會計師事務所前,必須通知英國金融監管當局(FSA),報送該會計師事務所的相關資料,并保證會計師事務所具備法定執業資格、審計能力、獨立性等條件。
銀監會在日常監管工作中發現,部分銀行業金融機構委托的外部審計機構缺乏必要的專業能力和經歷,審計質量較低,并造成了一些負面影響。因此,銀監會在現行法律法規的框架下,借鑒國內外的部分有效做法,對銀行業金融機構年報的審計委托、質量控制等重要環節提出了適度規范的要求,以促進提高外部審計質量,發揮外部審計對銀行監管的補充作用。
問:制定《指引》的主要原則是什么?
答:一是促進提高審計質量。《指引》從銀行業的特點出發,通過規范銀行業金融機構外部審計的有關工作,旨在加強銀行監管機構與外審機構的溝通,促進外部審計機構改善執業質量,不斷提高銀行業金融機構外部審計的有效性。二是著力解決基本問題。《指引》對銀行業金融機構委托外部審計機構的專業勝任能力、審計質量控制、終止審計委托、信息溝通、審計結果利用等重要環節進行了規范,著力解決基本問題。三是遵守相關法律框架。目前,財政部負責會計師事務所及外部審計的行政管理工作。按照《行政許可法》和《注冊會計師法》的規定,《指引》沒有對會計師事務所從事銀行業金融機構的審計業務設立門檻,也沒有對其規定任何行政管理的事項。
問:《指引》的主要內容有哪些?
答:《指引》共七章二十三條,包括總則、審計委托、審計質量控制、終止審計委托、與外審機構的溝通、審計結果的利用、附則。主要內容如下:
一是對銀行業金融機構的審計委托提出要求。《指引》要求銀行業金融機構須對擬委托會計師事務所的獨立性、專業勝任能力、聲譽等進行評估,引導銀行業金融機構委托合格外部審計機構。
二是強化審計質量控制。《指引》要求銀行業金融機構及時報告審計過程中出現的重大事項。銀行監管機構必要時可要求金融機構另行委托外審機構對有關對減值準備、價值評估等重要事項進行專項審計。同時,對外審機構服務超過五年的簽字注冊會計師,金融機構應要求其更換,以確保審計質量。
三是加強銀行監管機構與外審機構的溝通。《指引》建立了信息交流機制,明確提出監管機構、外審機構以及銀行業金融機構應當在外部審計過程中適時舉行雙方或三方會談,及時交流有關信息。
四是注重對外部審計結果的利用。《指引》要求,銀行業金融機構要重視并積極整改外審機構發現的問題,銀行業監管機構也相應建立外部審計結果、整改建議等審計信息系統,充分利用外部審計相關信息。
五是支持外審機構依法開展業務。為提高外部審計質量,《指引》既要求銀行業金融機構配合外審機構開展審計工作,為外審機構實施適當的審計程序提供便利;又鼓勵和保護外審機構依法根據審計準則開展外部審計,并糾正銀行業金融機構對外部審計質量存在嚴重負面影響的行為。
第五篇:銀行業金融機構信息科技外包風險監管指引
中國銀行業監督管理委員會
銀監發[2013]5號
中國銀監會關于印發銀行業金融機構信息科技外
包風險監管指引的通知
各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行、金融資產管理公司,郵儲銀行,各省級農村信用聯社,銀監會直接監管的信托公司、企業集團財務公司、金融租賃公司:
現將《銀行業金融機構信息科技外包風險監管指引》印發給你們,請遵照執行。
2013年2月16日
銀行業金融機構信息科技外包風險監管指引
第一章 總則
第一條
為規范銀行業金融機構的信息科技外包活動,降低信息科技外包風險,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規,制定本指引。
第二條
在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、省(自治區)農村信用社聯合社適用本指引。銀監會監管的其他金融機構參照本指引執行。第三條
本指引所稱信息科技外包是指銀行業金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為,包含項目外包、人力資源外包等形式。原則上包括以下類型:
(一)研發咨詢類外包:科技管理及科技治理等咨詢設計外包,規劃、需求、系統開發、測試外包;
(二)系統運行維護類外包:包括數據中心(災備中心)、機房配套設施、網絡、系統的運維外包,自助設備、POS機等遠程終端及辦公設備的運維外包;
(三)業務外包中的信息科技活動:市場拓展、業務操作、企業管理、資產處臵等外包中的系統開發、運行維護和數據處理活動。
第四條
本指引所稱關聯外包是指服務提供商為銀行業金融機構的母公司或其所屬集團子公司、關聯公司或附屬機構提供信息科技外包。
第五條
信息科技外包可能產生如下風險,并導致銀行業金融機構的戰略、聲譽、合規風險:
(一)科技能力喪失:銀行業金融機構過度依賴外部資源導致失去科技控制及創新能力,影響業務創新與發展;
(二)業務中斷:支持業務運營的外包服務無法持續提供導致業務中斷;
(三)信息泄露:包含客戶信息在內的銀行業金融機構非公開數據被服務提供商非法獲得或泄露;
(四)服務水平下降:由于外包服務質量問題或內外部協作效率低下,使得銀行業金融機構信息科技服務水平下降。
第六條
本指引所稱機構集中度風險是指銀行業金融機構將信息科技外包服務集中交由少量服務提供商承接而產生的風險,該風險可能造成集中性的服務中斷、質量下降、安全事件等。
第七條
本指引所稱同業托管機構是指作為外包服務提供商為其他同行業金融機構提供信息科技外包服務的銀行業金融機構。
第八條
銀行業金融機構應當將信息科技外包管理納入全面風險管理體系,建立與本機構信息科技戰略目標相適應的外包管理體系,控制或降低由于外包而引發的風險。
第九條
銀行業金融機構應當建立信息科技外包管理組織架構,制定外包管理戰略,定期進行外包風險評估,通過服務提供商準入、評價、退出等手段建立及維護符合自身戰略目標的供應商關系管理策略。
第十條
銀行業金融機構在實施信息科技外包時應當堅持以下原則:
(一)以不妨礙核心能力建設、積極掌握關鍵技術為導向;
(二)保持外包風險、成本和效益的平衡;
(三)強調外包風險的事前控制,保持管控力度;
(四)根據外包管理及技術發展趨勢,持續改進外包策略和措施。
第十一條
銀行業金融機構在實施信息科技外包時,不得將信息科技管理責任外包。
第十二條
對于不涉及銀行客戶及內部信息轉移的信息科技產品采購、維保,及通訊線路租用、支付或清算系統接入等信息科技公共基礎設施服務,銀行業金融機構應當充分評估其信息科技風險,按照本指引第五章要求進行管理。
第二章 外包管理組織架構
第十三條
銀行業金融機構董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關職責, 明確信息科技外包風險管理的主管部門,制定并審批信息科技外包戰略,審議信息科技外包管理流程及制度,督促并監控信息科技外包風險管理效果。
第十四條
信息科技外包風險主管部門的主要職責包括:
(一)對外包風險進行識別、評估與風險提示;
(二)監督、評價外包管理工作,并督促外包風險管理的持續改善;
(三)向高級管理層定期匯報信息科技外包活動相關風險管理情況;
(四)董事會或高級管理層確定的其他信息科技外包風險管理職責。
第十五條
銀行業金融機構應當在信息科技管理部門或信息科技外包活動執行部門內建立信息科技外包管理執行團隊,并配備足夠人員履行以下職責:
(一)實施信息科技外包戰略;
(二)制定并執行信息科技外包管理制度與流程;
(三)執行供應商準入、評價、退出管理,建立并維護供應商關系管理策略;
(四)制定保障外包服務持續性的應急管理方案,并組織實施定期演練;
(五)對外包過程中的各項管理活動進行監控及分析,定期向信息科技及外包風險管理主管部門報告外包活動情況。
第三章 信息科技外包戰略及風險管理
第一節 信息科技外包戰略
第十六條
銀行業金融機構應當以提升信息科技隊伍能力,提高科技管理及創新水平,掌握信息科技核心技能為目標,基于信息科技戰略、外包市場環境、自身風險控制能力和風險偏好制定信息科技外包戰略,包括:不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略。
第十七條
銀行業金融機構應當根據自身信息科技戰略明確不能外包的職能。涉及戰略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不得外包。第十八條
銀行業金融機構應當根據外包戰略制定資源、能力建設方案,通過補充人員、提升技能、知識轉移等方式,有針對性地獲取或提升管理及技術能力,降低對服務提供商的依賴。
第十九條
銀行業金融機構應當建立與自身規模、市場地位相適應的供應商關系管理策略。通過準入和退出機制合理管控各類高風險服務提供商的數量,實現以下目標:防范行業壟斷和機構集中度風險,通過引入適當的競爭在降低采購成本的同時提高服務質量,合理管控服務提供商的數量從而降低風險及管理成本等。
第二十條
銀行業金融機構可以按照外包服務性質和重要性程度對服務提供商進行分級管理,對不同級別的服務提供商采取差異化的管控措施,在有效管理重要風險的前提下降低管理成本。
第二十一條
銀行業金融機構要同母公司或集團公司協同做好外包服務及服務提供商的管理工作,但應當保持關聯外包有關決策的獨立性,避免因關聯關系而降低外包活動的風險控制水平。
第二節 信息科技外包風險管理
第二十二條
銀行業金融機構信息科技外包風險管理部門應當至少每年開展一次全面的外包風險管理評估,保持評估的獨立性,并向高級管理層提交評估報告。評估內容包括:信息科技外包戰略執行情況、外包信息安全、機構集中度、服務連續性、服務質量、政策及市場變化對外包服務的影響分析等。
第二十三條
銀行業金融機構應當對重要的外包服務提供商進行定期的風險評估,保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括:服務提供商合規情況、服務的執行效果等,評估結果應當作為服務提供商準入及退出的重要依據。
第二十四條
銀行業金融機構內部審計部門應當定期開展信息科技外包風險管理審計工作,至少每三年對重要的外包服務活動進行一次全面審計。發生外包風險事件后應當及時開展專項審計。
第四章 信息科技外包管理
第一節 外包風險評估及準入
第二十五條
外包項目立項前,銀行業金融機構應當審慎檢查項目與信息科技外包戰略的一致性,根據項目內容、范圍、性質對其進行風險識別和評估,制定相應的風險處臵措施,不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。
第二十六條
銀行業金融機構應當根據供應商關系管理策略,結合風險評估結果及服務提供商的準入標準,對備選服務提供商進行初步篩選,防范引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。
第二十七條
對于外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行管理。
第二節 服務提供商盡職調查
第二十八條
對重要的服務提供商,銀行業金融機構在與其簽訂合同前應當深入開展盡職調查,必要時可聘請第三方機構協助調查。
第二十九條
銀行業金融機構在盡職調查時應當關注服務提供商的技術和行業經驗,包括但不限于:服務能力和支持技術、服務經驗、服務人員技能、市場評價、監管評價等。
第三十條
銀行業金融機構在盡職調查時應當關注服務提供商的內部控制和管理能力,包括但不限于:內部控制機制和管理流程的完善程度、內部控制技術和工具等。
第三十一條
銀行業金融機構在盡職調查時應當關注服務提供商的持續經營狀況,包括但不限于:從業時間、市場地位及發展趨勢、資金的安全性、近期盈利情況等。
第三十二條
對于關聯外包,銀行業金融機構不得因關聯關系而降低對服務提供商的要求,應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平,確認其有足夠能力實施外包
服務、處理突發事件等。
第三十三條
對于外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行管理。
第三節 外包服務合同及要求
第三十四條
銀行業金融機構在實施外包服務項目前,應當與服務提供商簽訂服務合同。合同應當根據外包服務需求、風險評估及盡職調查結果確定詳細程度和重點。
第三十五條
銀行業金融機構在合同或協議中應當明確以下內容,包括但不限于:
(一)服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續合作中的相關限定條件;
(二)合規與內控要求,對法律法規及銀行業金融機構內部管理制度的遵從要求、監管政策的通報貫徹機制、服務提供商的內控措施;
(三)服務連續性要求,服務提供商的服務連續性管理目標應當滿足銀行業金融機構業務連續性目標要求;
(四)銀行業金融機構監控和檢查的權利、頻率,服務提供商配合其內、外部審計機構檢查,及配合銀行業監管機構檢查的責任;
(五)政策或環境變化因素等在內的合同變更或終止的觸發條件,外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排,包括信息、資料和設施的交接處臵等過渡期間相關服務的安排;
(六)外包服務過程中產生、加工、交互的信息和知識產權的歸屬權以及允許服務提供商使用的內容及范圍,對服務提供商使用合法軟、硬件產品的要求;
(七)服務要求或服務水平條款,至少應當包括如下內容:外包服務的關鍵要素、服務時效和可用性、數據的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術支持水平等;
(八)爭端解決機制、違約及賠償條款,至少包括如下內容:服務質量違約、安全違約、知識產權違約等,及在各種違約情況下的賠償以及外包爭端的解決機制;
(九)報告條款,至少包括常規報告內容和報告頻度、突發事件時的報告路線、報告方式及時限要求。
第三十六條 銀行業金融機構應當在合同或協議中明確服務提供商在安全和保密方面的責任,以及針對安全及保密要求需采取的具體措施。包括但不限于:
(一)禁止服務提供商在合同允許范圍外使用或者披露銀行業金融機構的信息,以防止信息被非授權使用;
(二)在合同或協議中約定服務提供商對銀行客戶信息安全和銀行客戶權利的保護條款、事故處理方式及違約賠償條款;
(三)在合同或協議中約定服務提供商不得以所服務的銀行業金融機構名義開展活動;
(四)服務提供商接觸銀行業金融機構信息時,需滿足安全和保密相關條款的要求;
(五)在發生銀監會規定的信息科技突發事件,或發生可能引發系統性、區域性銀行業信息科技風險類突發事件時,服務提供商應及時向銀行業金融機構報告,包括事件的影響以及處臵
和糾正措施。
第三十七條
銀行業金融機構應當在合同或協議中明確要求服務提供商不得將外包服務轉包和變相轉包。在涉及外包服務分包時應當要求:
(一)不得將外包服務的主要業務分包;
(二)主服務提供商對服務水平負總責,確保分包服務提供商能夠嚴格遵守外包合同或協議;
(三)主服務提供商對分包商進行監控,并對分包商的變更履行通知或報告審批義務。
第四節 外包服務安全管理
第三十八條
銀行業金融機構應當制定和落實信息安全管控措施,防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環境或設施遭受破壞等風險。具體措施包括:
(一)對外包人員進行信息安全培訓,提高風險管理意識,確保信息安全管控措施在外包服務過程中有效落實;
(二)明確外包活動需要訪問或使用的信息資產,包括場地、辦公設施、計算機、服務器、軟件、數據、信息、物理訪問控制設備、賬號、網絡寬帶、網絡端口等,按“必需知道”和“最小授權”原則進行訪問授權;
(三)對重要或核心的信息系統開發交付物進行源代碼檢查和安全掃描;
(四)定期對服務提供商進行安全檢查,獲取服務提供商自評估或第三方評估報告。
第三十九條
銀行業金融機構對關聯外包服務提供商定期進行的安全檢查,不得以服務提供商的自評估替代,不得因關聯關系而影響檢查的獨立性、客觀性及公正性。
第四十條
銀行業金融機構應當關注外包服務引入的新技術或新應用對現有治理模式及安全架構的沖擊,及時完善信息安全管控體系,避免因新技術或應用的引入而增加額外的信息安全風險。
第五節 外包服務監控與評價
第四十一條
銀行業金融機構應當對外包服務過程進行持續監控,要求服務提供商建立階段性服務目標及任務,并跟蹤任務的執行情況,及時發現和糾正服務過程中存在的各類異常情況。
第四十二條
銀行業金融機構應當根據信息科技外包需求、合同、服務水平協議等建立明確的服務質量監控指標,并進行相應監控。常見指標包括:
(一)信息系統和設備及基礎設施的可用率、設備的開機率;
(二)故障次數、故障解決率、故障的響應時間;
(三)服務的次數、客戶滿意度;
(四)各階段業務需求的及時完成率、程序的缺陷數、需求變更率;
(五)外包人員工作飽和率、外包人員的考核合格率。
第四十三條
銀行業金融機構應當建立明確的服務目錄、服務水平協議以及服務水平監控評價機制,并確保外包服務監控基礎數據和評價結果的真實性和完整性,且數據至少需保存到服務結束后一年。
第四十四條
銀行業金融機構應當對服務提供商的財務、內控及安全管理進行持續監控,關注其因破產、兼并、關鍵人員流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況,防范外包服務意外終止或服務質量的急劇下降。
第四十五條
銀行業金融機構監控到異常情況時,應當及時督促服務提供商采取糾正措施,情節嚴重的或未及時糾正的,應當約談服務提供商高管人員并限期整改。
第四十六條
外包服務結束時,銀行業金融機構應當對服務提供商進行評價,評價結果應當作為服務提供商準入的重要參考依據。
第四十七條
對于關聯外包,銀行業金融機構董事會及高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業績評價范圍,建立外包服務重大事件問責機制。同時,應當要求服務提供商在其內部建立與外包服務水平相關的績效考核機制。
第六節 外包服務中斷與終止
第四十八條
銀行業金融機構應當考慮信息科技外包的引入對業務連續性管理的影響,有針對性地完善業務連續性管理計劃,包括但不限于:
(一)識別出重要業務所涉及的服務提供商和資源;
(二)通過合同、協議等形式明確要求服務提供商提前準備并維護好相關資源;
(三)對服務提供商業務連續性管理進行監控,并評價其管理水平;
(四)在進行業務連續性計劃演練時將相關的服務提供商納入演練范圍。
第四十九條
為降低外包突發事件的可能性及影響,銀行業金融機構應當事先對業務連續性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施,包括但不限于以下內容:
(一)在外包服務實施過程中持續收集服務提供商相關信息,盡早發現可能導致服務中斷的情況;
(二)與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優先權;
(三)要求服務提供商制定服務中斷相關的應急處理預案,如提供備份人員;
(四)對于涉及重要業務的外包服務,銀行業金融機構需考慮預先在其內部配臵相應的人力資源,掌握必要的技能,以在外包服務中斷期間自行維持最低限度的服務能力。
第五十條
銀行業金融機構應當針對重要外包服務中斷的場景,擬定相應的應急計劃,并定期進行演練,考慮因素包括但不限于以下內容:
(一)事件場景,如重要人員流失導致服務無法持續,服務提供商主動退出,因資質變更、被收購、兼并或破產等原因導致的服務提供商被動退出等;
(二)事件持續時間和恢復可能性;
(三)事件影響范圍和可能的應急措施;
(四)服務提供商自行恢復服務的可能性和時間;
(五)備選的服務提供商以及外包服務遷移方案;
(六)外包服務過渡給銀行業金融機構自行運作的可能性、時效及資源需求。
第五十一條
對于無法滿足外包服務要求或發生重大事件的情況,銀行業金融機構應當在充分評估其影響及制定退出計劃的前提下,考慮主動要求服務提供商終止服務,情節特別嚴重的,可考慮取消準入資質,并報監管機構申請對其備案。對于關聯外包,銀行業金融機構不得因為關聯關系而影響服務提供商退出機制的落實。
第五章 機構集中度風險管理
第五十二條
銀行業金融機構應當依據服務提供商所承接外包服務的數量、金額在本行重要信息科技服務中的占比,服務提供商所承接外包服務在銀行業服務市場占比情況,識別具有機構集中度特點的外包服務提供商。同時,還應識別服務提供商之間為集團子公司、關聯公司或附屬機構所產生的機構集中度風險。
第五十三條
銀行業金融機構應當積極采用分散信息科技外包活動、提高自主研發運行能力等形式,降低機構集中度,減少對外包服務提供商的依賴。
第五十四條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商提供充分的證據,證明其內部控制和管理能力、持續運營能力等。
第五十五條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商為銀行業金融機構配備相對獨立的資源,包括服務團隊、場地、系統、設備等;并對資源進行定期檢查,確保資源及時到位。
第五十六條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商在外包服務中斷應急預案中,明確外包服務的優先級,并進行服務中斷應急演練,服務提供商應當至少參與服務交接、敏感信息處臵等演練過程。
第五十七條
銀行業金融機構應當特別加強對具有機構集中度特點的外包服務提供商的財務、內控、安全管理情況的持續監控,建立信息收集機制,及時掌握風險事件情況,防范外包服務意外終止或服務質量急劇下降對本機構產生大面積影響。
第五十八條
銀行業金融機構應當對具有機構集中度特點的外包服務提供商增強監督頻率與力度,必要時可指派專人進行現場監督。
第五十九條
對于具有機構集中度特點的外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行外包管理。
第六章 跨境及非駐場外包管理
第一節 跨境外包風險管理
第六十條
跨境外包是指在境外其他國家或地區實施的信息科技外包服務活動。
第六十一條
跨境外包除具有本指引前述風險外,還包括由于某一國家或地區經濟、政治、社會變化及事件而產生的國別風險,及由于外包實施場地遠離銀行業金融機構而產生的非駐場風險。
第六十二條
銀行業金融機構應當充分了解并持續監控服務提供商所在國家或地區狀況,通過建立業務連續性計劃防范跨境外包所帶來的國別風險。
第六十三條
銀行業金融機構應當關注國外法律法規、監管要求對其獲取服務提供商外包管理信息可能造成的影響。實施跨境外包應當以不妨礙銀行業金融機構有效履行外包服務監控管理職能及監管機構延伸檢查為前提。
第六十四條
銀行業金融機構在選擇跨境外包時,應當明確其所在國家或地區監管當局已與銀監會簽訂諒解備忘錄或雙方認可的其他約定。
第六十五條
銀行業金融機構在選擇跨境外包時,還應當充分審查評估服務提供商保護客戶信息的能力,并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包,應當在符合監管法規政策并獲得客戶授權的前提下開展。
第六十六條
銀行業金融機構在實施跨境外包時,其合同應當包括法律選擇和司法管轄權的約定,明確爭議解決時所適用的法律及司法管轄權,原則上應當要求服務提供商依照中國的法律解決糾紛。
第二節 非駐場外包風險管理
第六十七條
非駐場外包是指服務提供商不在銀行業金融機構現場提供服務的外包形式。由于銀行業金融機構不能對其內部控制及風險管理措施進行直接管控,應當在信息安全、知識產權保護、質量監控、法律合規等方面加強對服務提供商的風險管理。
第六十八條
銀行業金融機構應當建立針對非駐場外包服務的內部控制及風險管理要求的最低標準,該標準應當作為選擇服務提供商的最低要求。
第六十九條
銀行業金融機構應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不少于一次,檢查結果作為外包服務提供商項目考核及準入的重要指標。
第七十條
銀行業金融機構應當加強對外包服務提供商非駐場外包服務內部控制、質量管理、信息安全的有效性評估,評估結果作為供應商準入的重要依據。對于高風險的服務提供商,銀行業金融機構應當責令其進行限期整改,對于逾期未改的服務提供商應當暫停或取消其服務資格。
第七十一條
對于非駐場外包服務提供商為同業托管機構的情況,銀行業金融機構可以參照本節內容對其進行外包管理,但同業托管機構須將為其他同行業金融機構提供的信息科技外包服務視同自身信息科技服務的重要組成部分,不得區別對待,降低對自身提供外包服務的風險管控水平。
第七章 銀行業重點外包服務機構風險管理要求
第七十二條
銀行業重點外包服務機構是指集中為銀行業金融機構提供外包服務,同時滿足下述條件,如其外包服務失敗可能導致銀行業大面積數據損毀、丟失、泄露或信息系統服務中斷,造成經濟損失的機構,具體條件如下:
(一)承擔集中存貯客戶數據的業務交易系統外包服務;或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務;或承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務;且上述服務均為非駐場外包服務。
(二)服務的法人銀行業金融機構數量、服務合同金額占有本服務領域市場份額的三分之一以上;或服務的跨區域經營法人銀行業金融機構數量達到3家或以上;或服務的其他類型法人銀行業金融機構數量達到10家或以上。
第七十三條 銀行業金融機構應當根據監管機構發布的銀行業重點外包服務機構風險提示,按照如下要求進行管理:
(一)銀行業重點外包服務機構應當是中華人民共和國境內注冊的獨立法人實體,注冊資本和實收資本不少于1000萬,注冊成立時間不少于3年。
(二)銀行業重點外包服務機構應當擁有健全的組織架構,并針對所提供的外包服務建立有效的風險治理架構,至少應當建立由公司高級管理層直接領導、針對銀行業金融機構外包服務的、專職信息科技風險管理團隊,為持續的外包服務提供保證。
(三)銀行業重點外包服務機構應當建立與所承擔的服務范圍和規模相適應的服務管理體系,建立完善的信息安全、服務質量、服務持續性等管理制度體系,擁有有效的檢查、監控和考核機制,確保管理規范有效執行。
(四)銀行業重點外包服務機構應當具有足夠的技術能力、人力資源和設施、環境,滿足外包服務的質量和安全管理要求。銀行業重點外包服務機構承擔的銀行業金融機構外包服務場地應當設臵在中國境內。第七十四條
銀行業金融機構應當要求銀行業重點外包服務機構具有如下相關領域資質認證:(一)具有完善的信息安全管理體系、業務連續性管理體系,并通過業界公認較為權威的信息安全管理和業務連續性管理資質認證。
(二)具有完善的質量管理體系,并通過業界公認較為權威的質量管理資質認證。
(三)承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務的銀行業重點外包服務機構,其機房及基礎設施應當達到國家電子計算機機房最高標準。
(四)承擔集中存貯客戶數據的業務交易系統外包服務,或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務的銀行業重點外包服務機構,應當具有完善的運行服務管理體系,并通過業界公認較為權威的運行服務管理資質認證。
第七十五條
銀行業金融機構應當在風險管理、審計方面對銀行業重點外包服務機構提出如下要求:
(一)銀行業重點外包服務機構應當具有信息科技風險的管理體系,有效識別、監測、評估和控制風險。銀行業重點外包服務機構應當至少每季度向所服務的銀行業金融機構報送外包風險監控報告,針對監控發現的潛在風險或風險事件,及時采取控制或緩釋措施。
(二)銀行業重點外包服務機構應當每年聘請獨立的審計機構,對自身外包服務進行風險評估,風險評估報告需報送所服務的銀行業金融機構,并抄送銀監會或其派出機構。
(三)銀行業重點外包服務機構應當對其外包服務團隊成員進行背景調查,確保其過往無不良記錄,且應當與項目成員簽訂保密協議,并保留至少10年的法律追訴期。
第八章 監督管理
第七十六條
銀行業金融機構開展以下信息科技外包服務時,應當在外包合同簽訂前二十個工作日向銀監會或其派出機構報告,針對銀行業金融機構信息科技外包風險,銀監會及其派出機構可以采取風險提示、約見談話、監管質詢等措施。
(一)信息科技工作整體外包;
(二)數據中心或災備中心整體外包;
(三)涉及將銀行業金融機構客戶資料、交易數據等敏感信息交由服務提供商進行分析或處理的信息科技外包;
(四)以非駐場形式實施的、集中存貯客戶數據的業務交易系統外包;
(五)關聯外包;
(六)涉及跨境的信息科技外包;
(七)其他銀監會認為重要的信息科技外包。
第七十七條
銀行業金融機構信息科技外包活動中發生如下重大事件時,應當在兩個工作日內向銀監會或其派出機構報告。
(一)銀行業金融機構客戶信息等敏感數據泄露;
(二)數據損毀或者重要業務運營中斷;
(三)由于不可抗力或服務提供商重大經營、財務問題,導致或可能導致多家銀行業金融機構外包服務中斷;
(四)其他重大的服務提供商違法違規事件;
(五)銀監會規定需要報告的其他重大事件。
第七十八條
銀行業金融機構在開展外包風險管理評估工作后,應當將風險評估報告報送銀監會或其派出機構。
第七十九條
銀監會及其派出機構對銀行業金融機構信息科技外包工作進行監督和檢查,監督檢查結果納入對銀行業金融機構的監管評級。
第八十條
對于風險較高的信息科技外包服務,銀監會或其派出機構可以要求銀行業金融機構暫緩、中止該類外包服務,直至銀行業金融機構、外包服務提供商有效改正。
第八十一條
銀行業金融機構違反本指引規定的,銀監會或其派出機構可要求其糾正或采取替代方案,并視情況予以問責。因管理過失導致外包活動嚴重危及銀行業金融機構穩健運行、損害存款人和其他客戶合法權益的,依法追究銀行業金融機構管理責任。
第八十二條
銀監會實行銀行業信息科技外包服務活動風險監測機制,定期對銀行業金融機構發布銀行業重點外包服務機構名單和風險提示,防范因高機構集中度外包服務導致的系統性、區域性信息科技風險。第八十三條
銀監會應當對具有機構集中度特點的銀行業金融機構信息科技外包服務進行重點風險監測、評估,根據需要,可以要求銀行業金融機構與重點外包服務機構會談,就其外包服務活動和風險的重大事項作出說明。
第八十四條
銀監會應當組織銀行業金融機構實地核查銀行業重點外包服務機構承擔的銀行業金融機構信息科技服務活動,原則上每兩年進行一次,也可以委托其他第三方機構審計的形式實施。
第八十五條
銀監會可以根據銀行業金融機構信息科技服務活動風險評估和實地核查結果,對銀行業金融機構發出監管提示,要求其督促銀行業重點外包服務機構對風險問題實施整改。
第八十六條
銀行業重點外包服務機構應當配合銀行業金融機構及銀監會的風險監測和實地核查。
第八十七條
銀監會組織相關銀行業金融機構對銀行業信息科技外包服務提供商建立服務管理記錄,并對其進行風險評估和評級。
第八十八條
服務提供商在外包服務中存在以下情形的,銀監會定期向銀行業發布服務提供商風險預警,公布機構名單、服務信息等,要求銀行業金融機構禁止相關服務提供商承擔銀行業信息科技外包服務,禁止期至少為兩年。外包服務提供商兩年內仍未整改的,延長其禁止期。
(一)違反國家法律、法規和監管政策,情節嚴重的;
(二)竊取、泄露銀行業金融機構敏感信息,情節嚴重的;
(三)因管理過失,多次發生重要信息系統服務中斷或數據損毀、丟失、泄露事件的;
(四)服務質量低下并給多家銀行業金融機構造成損失,多次提示仍未整改的;
(五)對風險監測和實地檢查發現的問題,逾期仍未整改的;
(六)存在其他違法違規行為,或發生其他重大信息科技風險事件的。
第八十九條
銀監會負責監督銀行業金融機構對信息科技外包服務提供商實施準入管理。對于存在重大風險的外包活動,銀行業金融機構應當立即評估外包的適當性,對信息科技外包服務提供商進行風險預警提示,要求其進行整改并設定期限;逾期未整改的,禁止其承擔信息科技外包服務。
第九章 附則
第九十條
本指引由銀監會負責解釋、修訂。第九十一條
本指引自公布之日起施行。
點擊咨詢 