第一篇:证券公司外部接入信息系统评估认证规范解读20150615
《证券公司外部接入信息系统评估认证规范》解读
目的:禁止证券公司通过网上证券交易接口为任何机构和个人开展场外配资活动,非法证券业务提供便利。加强证券公司信息系统外部接入的风险管理,维护证券公司信息系统安全,稳定运行,有效防范风险,保护投资者合法权益,切实维护市场秩序。
一、《规范》禁止事项:
1.禁止任何其他主体对交易指令进行发起、接收、转发、修改、落地保存或截留。“证券公司使用外部接入信息系统,证券交易指令必须在证券公司自主控制的系统内全程处理,即从客户端发出的交易指令处理应仅在发起交易的投资者与证券公司之间进行,其间任何其他主体不得对交易指令进行发起、接收、转发、修改、落地保存或截留。”
“证券公司应加强客户端交易指令监控,如发现交易指令被第三方接收、转发等,应及时采取措施进行整改。”
2.禁止证券公司支持相关方利用外部接入信息系统开展证券经纪业务。
“证券公司不得直接或间接支持信息技术服务机构等相关方利用外部接入信息系统开展证券经纪业务。”
3.禁止证券公司违反监管规定,使用外部接入信息系统。
“证券公司使用外部接入信息系统应当符合监管规定,且不得有以下行为:
(一)为信息技术服务机构等相关方从事或变相从事证券经纪业务提供便利;
(二)为信息技术服务机构等相关方建立账户登记体系等登记结算业务提供便利;
(三)规避监管或自律管理;
(四)充当外部接入信息系统的业务通道;
(五)其他法律法规、监管规定和自律规则禁止的行为。”
4.除监管机构批准或认可外,禁止证券公司向第三方运营的客户端提供网上证券服务端与证券交易相关的接口,且证券公司应当对合规性负责。
“除经国务院及中国证监会批准设立的合法证券交易场所及中国证监会认可的金融机构外,证券公司不得向第三方运营的客户端提供网上证券服务端与证券交易相关的接口。”
“第三方运营的客户端是指除证券公司、投资者之外,由第三方进行发布、升级等运营管理的客户端,不包括以下情形:
(一)客户端是证券公司与第三方公司签署正式协议购置或租用的,并经证券公司测试和验收后,由证券公司进行发布、升级等运营管理;
(二)客户端是客户自行开发或通过第三方购置、租用,且通过专线、互联网VPN等专用通讯通道接入证券公司的,经证券公司评估系统安全性并正式认可后,由客户自行运行管理或授权证
/ 4
券公司确定的第三方运行管理;
(三)客户端是直连证券公司服务端的通用浏览器。”
“证券公司应当对上述客户端的合规性负责。”
解析:①证券公司不得存在使用外部接入信息系统开展证券业务的禁止性要求;②禁止证券公司存在因信息系统外部接入引发的信息安全事件,以及对场外配资活动提供便利,直接或间接参与非法证券活动等行为。
二、“外部接入信息系统”准入条件:
1.证券公司需要使用外部接入信息系统,应当经中国证券业协会(以下简称协会)评估认证。
“证券公司需要使用外部接入信息系统,应当经中国证券业协会(以下简称协会)评估认证。”
“自本规范下发之日起,证券公司不得接入新的未经评估认证的外部信息系统。” 2.向证券公司信息系统提供外部接入的信息技术服务机构等相关方应当是协会会员。“向证券公司信息系统提供外部接入的信息技术服务机构等相关方应当是协会会员,接受协会的自律管理。”
3.证券公司使用外部接入信息系统应向协会申请评估认证。
“证券公司使用外部接入信息系统应当在客户端系统准入协议签署一个月内通过场外证券业务报告系统向协会申请评估认证。”
“申请材料包括:
(一)评估认证申请表;
(二)客户端系统准入协议;
(三)拟接入的外部信息系统业务说明书;
(四)使用外部接入信息系统的内部管理制度,包括但不限于内控、风控、投资者保护等;
(五)信息系统安全和合规承诺书;
(六)合规审查意见;
(七)协会要求的其他材料。”
“证券公司已使用外部接入信息系统的,应当在自查整改完成后报协会评估认证。” 4.建立管理制度、审核机制、投资者适当性管理和教育等。
“证券公司使用外部接入信息系统应当遵守下列要求:
(一)建立健全使用外部接入信息系统的内部管理制度,明确提供外部接入的信息技术服务机构等相关方应当具有的资质条件和筛选标准、系统的信息安全要求、相关合规审查要点、风险管理措施、后续监控检查及问题处理机制;
(二)建立健全外部接入信息系统开展证券业务的审查机制,着重加强对开展相关业务的合规性审查,公司主要负责人和合规总监应当在相关审查文件上签字确认;
(三)2 / 4
具备识别外部接入信息系统合规性的能力,不得接入无法辨别合规性的外部信息系统;
(四)在与相关方签订的协议中明确由相关方承诺不得利用外部接入信息系统从事或变相从事配资活动,并建立相关责任追究机制;
(五)严格执行开户审查制度,强化客户身份识别,对投资者提供的有效身份证明文件原件及其他开户资料的真实性、准确性、完整性进行审核;
(六)做好投资者适当性管理和教育工作,提示投资者证券账户应当本人使用,不得转借他人从事非法证券活动;
(七)加强日常监控,定期或不定期开展检查,了解外部接入信息系统运行和账户管理情况,对可疑账户和可疑交易行为采取有效措施并及时处理。”
5.建立对外部接入信息系统的自查制度,至少每年自查一次。
“证券公司应当建立对外部接入信息系统的自查制度,自查内容包括但不限于:
(一)是否存在接入未经公司合规审查和协会评估认证的外部信息系统情况;
(二)外部接入信息系统开展的业务类型及基本情况;
(三)外部接入信息系统的业务合规性和系统安全性;
(四)外部接入信息系统开展业务的风险类型及隐患;
(五)公司认为必要的其他情况。”
“证券公司应当每年至少自查一次,形成自查报告并存档备查。自查工作中发现存在风险隐患的,应当制定整改方案,及时整改,并向协会报告。”
6.建立责任追究和问责机制。
“证券公司应当建立健全责任追查和问责机制,对违反本规范的相关人员进行问责。” 7.接受协会检查。
“协会可以对证券公司使用外部接入信息系统运行情况进行执业检查,对违反本规范的证券公司、信息技术服务机构等相关方和相关从业人员采取自律管理措施并按规定计入诚信档案;情节严重的,移送中国证监会及有关部门处理。”
解析:①证券公司充分评估现有信息系统的支撑能力,加大资源投入,定期开展压力测试,其实防范信息安全事件;②持续加强对证券公司信息系统外部接入的日常监管,适时组织专项现场检查工作。
三、“客户端”的其他规定:
1.签订协议、做好管理工作、承担全部合规性责任。
“证券公司提供客户使用的客户端属于向第三方购置或租用的,应当与第三方签署正式的客户端系统购置或租用协议,并做好客户端测试、验收、变更发布管理等工作,对客户端的安全运行、交易账户合规性、交易操作合规性承担全部责任。”
/ 4
“客户端系统购置或租用协议内容包括但不限于:客户端系统信息安全要求,交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求,系统监控接口要求,协议各方管理责任等。”
2.客户自行开发、购置或租用网上证券客户端以及配套信息系统接入的,证券公司应采用专用通讯通道,充分评估,并持续做好合规性监控和风控管理。
“证券公司应当加强客户自行开发、购置、租用客户端的管理。客户自行开发、购置或租用网上证券客户端以及配套信息系统接入证券公司的,证券公司应采用专线、互联网VPN等专用通讯通道,且与关联方签署正式的客户端系统准入协议,对客户端及配套信息系统的信息安全性、功能合规性(包括但不限于交易账户处理方式、用户交易操作方式、交易指令处理方式)等进行充分评估,并持续做好合规性监控和风控管理。证券公司发现客户端有异常行为,应当采取屏蔽应用系统接入、限制账户交易等必要措施。”
“客户端及配套信息系统属于客户自行运营管理的,证券公司应与客户签署客户端系统准入协议;客户端及配套系统属于客户委托第三方运营管理的,证券公司应分别与客户、第三方签署客户端系统准入协议。”
“客户端系统准入协议内容包括但不限于:客户端及配套系统信息安全要求,交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求,与交易账户和交易操作合规性监控相关的系统监控接口要求,协议各方管理责任等。”
/ 4
第二篇:证券公司外部接入信息系统评估认证规范
证券公司外部接入信息系统评估认证规范
为进一步加强证券公司信息系统外部接入的风险管理,维护证券公司信息系统安全、稳定运行,有效防范风险,保护投资者合法权益,切实维护市场秩序,根据《证券期货业信息安全保障管理办法》(证监会令第82号)、《证券公司融资融券业务试点管理办法》(证监会公告[2011]31号)、《关于加强证券公司信息系统外部接入管理的通知》(证监办发[2015]35号)和《证券公司网上证券信息系统技术指引》(中证协发[2015]8号)等有关规定,制定本规范。
一、证券公司使用外部接入信息系统,证券交易指令必须在证券公司自主控制的系统内全程处理,即从客户端发出的交易指令处理应仅在发起交易的投资者与证券公司之间进行,其间任何其他主体不得对交易指令进行发起、接收、转发、修改、落地保存或截留。
证券公司应加强客户端交易指令监控,如发现交易指令被第三方接收、转发等,应及时采取措施进行整改。
证券公司不得直接或间接支持信息技术服务机构等相关方利用外部接入信息系统开展证券经纪业务。
二、证券公司需要使用外部接入信息系统,应当经中国证券业协会(以下简称协会)评估认证。
自本规范下发之日起,证券公司不得接入新的未经评估认证的外部信息系统。
向证券公司信息系统提供外部接入的信息技术服务机构等相关方应当是协会会员,接受协会的自律管理。
三、证券公司使用外部接入信息系统应当在客户端系统准入协议签署一个月内通过场外证券业务报告系统向协会申请评估认证。申请材料包括:
(一)评估认证申请表;
(二)客户端系统准入协议;
(三)拟接入的外部信息系统业务说明书;
(四)使用外部接入信息系统的内部管理制度,包括但不限于内控、风控、投资者保护等;
(五)信息系统安全和合规承诺书;
(六)合规审查意见;
(七)协会要求的其他材料。
证券公司已使用外部接入信息系统的,应当在自查整改完成后报协会评估认证。
四、证券公司使用外部接入信息系统应当符合监管规定,且不得有以下行为:
(一)为信息技术服务机构等相关方从事或变相从事证券经纪业务提供便利;
(二)为信息技术服务机构等相关方建立账户登记体系等登记结算业务提供便利;
(三)规避监管或自律管理;
(四)充当外部接入信息系统的业务通道;
(五)其他法律法规、监管规定和自律规则禁止的行为。
五、证券公司使用外部接入信息系统应当遵守下列要求:
(一)建立健全使用外部接入信息系统的内部管理制度,明确提供外部接入的信息技术服务机构等相关方应当具有的资质条件和筛选标准、系统的信息安全要求、相关合规审查要点、风险管理措施、后续监控检查及问题处理机制;
(二)建立健全外部接入信息系统开展证券业务的审查机制,着重加强对开展相关业务的合规性审查,公司主要负责人和合规总监应当在相关审查文件上签字确认;
(三)具备识别外部接入信息系统合规性的能力,不得接入无法辨别合规性的外部信息系统;
(四)在与相关方签订的协议中明确由相关方承诺不得利用外部接入信息系统从事或变相从事配资活动,并建立相关责任追究机制;
(五)严格执行开户审查制度,强化客户身份识别,对投资者提供的有效身份证明文件原件及其他开户资料的真实性、准确性、完整性进行审核;
(六)做好投资者适当性管理和教育工作,提示投资者证券账户应当本人使用,不得转借他人从事非法证券活动;
(七)加强日常监控,定期或不定期开展检查,了解外部接入信息系统运行和账户管理情况,对可疑账户和可疑交易行为采取有效措施并及时处理。
六、除经国务院及中国证监会批准设立的合法证券交易场所及中国证监会认可的金融机构外,证券公司不得向第三方运营的客户端提供网上证券服务端与证券交易相关的接口。
第三方运营的客户端是指除证券公司、投资者之外,由第三方进行发布、升级等运营管理的客户端,不包括以下情形:
(一)客户端是证券公司与第三方公司签署正式协议购置或租用的,并经证券公司测试和验收后,由证券公司进行发布、升级等运营管理;
(二)客户端是客户自行开发或通过第三方购置、租用,且通过专线、互联网VPN等专用通讯通道接入证券公司的,经证券公司评估系统安全性并正式认可后,由客户自行运行管理或授权证券公司确定的第三方运行管理;
(三)客户端是直连证券公司服务端的通用浏览器。证券公司应当对上述客户端的合规性负责。
七、证券公司提供客户使用的客户端属于向第三方购置或租用的,应当与第三方签署正式的客户端系统购置或租用协议,并做好客户端测试、验收、变更发布管理等工作,对客户端的安全运行、交易账户合规性、交易操作合规性承担全部责任。
客户端系统购置或租用协议内容包括但不限于:客户端系统信息安全要求,交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求,系统监控接口要求,协议各方管理责任等。
八、证券公司应当加强客户自行开发、购置、租用客户端的管理。客户自行开发、购置或租用网上证券客户端以及配套信息系统接入证券公司的,证券公司应采用专线、互联网VPN等专用通讯通道,且与关联方签署正式的客户端系统准入协议,对客户端及配套信息系统的信息安全性、功能合规性(包括但不限于交易账户处理方式、用户交易操作方式、交易指令处理方式)等进行充分评估,并持续做好合规性监控和风控管理。证券公司发现客户端有异常行为,应当采取屏蔽应用系统接入、限制账户交易等必要措施。
客户端及配套信息系统属于客户自行运营管理的,证券公司应与客户签署客户端系统准入协议;客户端及配套系统属于客户委托第三方运营管理的,证券公司应分别与客户、第三方签署客户端系统准入协议。
客户端系统准入协议内容包括但不限于:客户端及配套系统信息安全要求,交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求,与交易账户和交易操作合规性监控相关的系统监控接口要求,协议各方管理责任等。
九、证券公司应当建立对外部接入信息系统的自查制度,自查内容包括但不限于:
(一)是否存在接入未经公司合规审查和协会评估认证的外部信息系统情况;
(二)外部接入信息系统开展的业务类型及基本情况;
(三)外部接入信息系统的业务合规性和系统安全性;
(四)外部接入信息系统开展业务的风险类型及隐患;
(五)公司认为必要的其他情况。
证券公司应当每年至少自查一次,形成自查报告并存档备查。自查工作中发现存在风险隐患的,应当制定整改方案,及时整改,并向协会报告。
十、证券公司应当建立健全责任追查和问责机制,对违反本规范的相关人员进行问责。
十一、协会可以对证券公司使用外部接入信息系统运行情况进行执业检查,对违反本规范的证券公司、信息技术服务机构等相关方和相关从业人员采取自律管理措施并按规定计入诚信档案;情节严重的,移送中国证监会及有关部门处理。
十二、本规范自发布之日起实施。
第三篇:C13035《证券公司直接投资业务规范》解读课...
一、单项选择题
1.根据《证券公司直接投资业务规范》,直投子公司及其下属机构应当设立专门的投资决策委员会,建立投资决策程序和风险跟踪、分析机制,有效防范投资风险。投资决策委员会的成员中,直投子公司及其下属机构的人员数量不得低于(D)。
A.三分之一B.四分之一C.三分之二
v D.二分之一
2.中国证券业协会于()制定发布了《证券公司直接投资业务规范》,对证券公司的直接投资业务进行自律管理。
A.41214B.40483C.40026D.40756
二、多项选择题
3.根据《证券公司直接投资业务规范》,直投从业人员开展业务不得有如下行为(ABC)。
v A.贬损同行或以其它不正当竞争手段争揽业务
v B.向客户承诺确保收回投资本金或者固定收益或者赔偿投资损失
v C.单独或协同他人从事欺诈、内幕交易等非法活动,或从事与其履行职责有利益冲突的业务
D.拒绝利益相关方的贿赂或对其进行贿赂
4.根据《证券公司直接投资业务规范》,证券公司应当加强人员管理,防范道德风险,证券公司(ABCD)。v A.其他人员兼任上述职务的,应当建立严格有效的内部控制机制,防范可能产生的利益冲突和道德风险v B.人员不得在直投子公司及其下属机构、直投基金兼任高级管理人员或直投从业人员
v C.存在利益冲突的人员不得兼任上述机构的董事、监事、投资决策委员会委员
v D.人员不得以其他方式违规从事直接投资业务
5.根据《证券公司直接投资业务规范》,直投子公司可以开展以下业务(ABD)。
v A.使用自有资金或设立直投基金,对企业进行股权投资或与股权相关的债权投资,或投资于与股权投资相关的其他投资基金
v B.经中国证监会认可开展的其他业务
C.为客户提供与股权投资相关的投资顾问、投资管理服务
v D.为客户提供与股权投资相关的财务顾问服务
三、判断题
6.根据《证券公司直接投资业务规范》,直投子公司及其下属机构不得向不特定对象宣传推介,亦不得采用广告、公开劝诱或变相公开方式募集资金。(正确)
v 正确
错误
7.根据《证券公司直接投资业务规范》,直投子公司应当于每个会计结束后三个月内,向协会报送报告。(错误)
正确
v 错误
8.根据《证券公司直接投资业务规范》,证券公司、直投子公司及其下属机构不得以任何方式对直投基金或者直投基金的投资者的投资收益或者赔偿投资损失做出承诺。(正确)
v 正确
错误
9.根据《证券公司直接投资业务规范》,证券公司开展直接投资业务,应当按照监管部门有关规定设立直接投资业务子公司,并根据法律、法规及中国证券业协会的规定开展业务。证券公司不得以其他形式开展直接投资业务。(正确)
v 正确
错误
10.《证券公司直接投资业务规范》所称直投子公司下属机构,是指直投子公司直接或间接控股并拥有管理控制权的法人或其他组织,包括基金管理机构以及依据本规范从事相关业务的其他法人或组织。(正确)
v 正确
错误
C13035课后测验
得分:90 已考:1次 最多:5次
第四篇:C13035 《证券公司直接投资业务规范》解读90分
一、单项选择题
1.根据《证券公司直接投资业务规范》,直投子公司应当在完成工商登记后()个工作日内,向协会报告并在证券公司网站上披露直投子公司的名称、注册地、注册资本、业务范围、法定代表人、高管人员以及防范与直投子公司风险传递、利益冲突的制度安排等情况。前述情况发生变更时,直投子公司应当及时更新并报告协会。
A.四B.六C.三D.五
2.根据《证券公司直接投资业务规范》,直投子公司及其下属机构设立基金管理机构管理直投基金的,直投子公司及其下属机构应当持有基金管理机构()以上的股权或出资,并拥有管理控制权。
A.51%B.25%C.80%D.30%
二、多项选择题
3.根据《证券公司直接投资业务规范》第六章自律管理的相关规定,下列说法正确的有()。
A.直投子公司应当于每个会计结束后四个月内,向协会报送报告B.直投子公司应当于每月结束后七个工作日内,向协会报送月度报告 C.直投子公司及其下属机构、直投基金投资运作过程中发生重大事件的,直投子公司应当
在两个工作日内向协会报告
D.直投子公司应当建立舆论监测及市场质疑快速反应机制,及时分析判断与直接投资业务
相关的舆论反映和市场质疑,进行自我检查
4.根据《证券公司直接投资业务规范》,直投子公司及其下属机构的投资管理团队对自有资金或直投基金投资的项目进行跟投的()。
A.投资管理团队的投资额与自有资金或直投基金的投资额之间的比例应当在所有项目上 保持一致
B.应当对自有资金或直投基金投资的所有项目进行跟投
C.投资管理团队的投资价格与自有资金或直投基金的投资价格应当在所有项目上保持一致
D.投资管理团队的投资价格与自有资金或直投基金的投资价格应当在单一项目上保持一
致
5.根据《证券公司直接投资业务规范》,直投子公司可以开展以下业务()。
A.使用自有资金或设立直投基金,对企业进行股权投资或与股权相关的债权投资,或投资 于与股权投资相关的其他投资基金
B.为客户提供与股权投资相关的投资顾问、投资管理服务
C.为客户提供与股权投资相关的财务顾问服务
D.经中国证监会认可开展的其他业务
三、判断题
6.根据《证券公司直接投资业务规范》,证券公司不得对直投子公司及其下属机构、直投基金提供担保。
()
正确错误
7.根据《证券公司直接投资业务规范》,直投子公司及其下属机构、直投基金投资运作过程中发生重大事件的,直投子公司应当在三个工作日内向协会报告。
()
正确
错误
8.根据《证券公司直接投资业务规范》,证券公司应当建立对直投子公司及其下属机构内部控制制度和合规管理制度有效性的评估机制,并建立和落实严格的内部责任追究机制。()
正确错误
9.根据《证券公司直接投资业务规范》,证券公司与直投子公司及其下属机构、直投基金之间应当建立有效的信息隔离机制,加强对敏感信息的隔离、监控和管理,防止敏感信息在证券业务与直接投资业务之间的不当流动和使用,防范内幕交易和利益输送风险。()
正确错误
10.根据《证券公司直接投资业务规范》,直投从业人员离开所在机构或不再从事直接投资业务的,可不再按照有关规定或合同约定承担保密义务。()
正确错误
第五篇:C12008 证券公司合规管理有效性评估指引解读
C12008《证券公司合规管理有效性评估指引》解读
C12008答案
C12008《证券公司合规管理有效性评估指引》解读
(本文档最下面有一套试题)
《证券公司合规管理有效性评估指引》解读
课程通过规则
1、本课程分为课程讲解和课后测验两部分,只有通过课后测验方能取得培训学时。
2、课程讲解要求:学员必须按照页面顺序学习完所有课程内容,方能进入课程测验。
3、课程测验要求:学员应在50分钟内完成测验,可测验次数为3次,任意一次测验成绩达到或超过80分即通过课程测验,本课程学习即结束。
4、学员点击“开始学习”后,应在3个月内完成课程学习并参加课后测验。如未在规定学习期限内完成课程学习,或未在规定次数内通过课后测验,则不能获得培训学时。课程简介
本课程首先介绍了《证券公司合规管理有效性评估指引》(2012年2月12日发布)的篇章结构,又从总则、评估内容、评估程序和方法、评估问责及附件五个方面对《指引》的重点条文及附件进行了全面解读。通过学习,学员应了解《指引》的基本框架,熟悉《指引》的基本内容,并理解有关证券公司开展合规管理有效性评估的程序、方法、报告、整改及问责等内容的各项规定。学习建议
本课程为必修课程。证券公司从业人员均可学习,尤其在证券公司从事合规管理的从业人员应重点学习。课程学习的重点为证券公司合规管理有效性评估的评估内容、评估程序和方法以及评估问责等内容的各项规定。
主讲:刘桂芳
刘桂芳 中国注册会计师,高级会计师。现任国泰君安证券股份有限公司副总裁、合规总监,中国证券业协会合规专业委员会副主任委员。
关于发布《证券公司合规管理有效性评估指引》的通知2012-02-15 09:20 【文章正文】
关于发布《证券公司合规管理有效性评估指引》的通知
中证协发[2012]027号
各证券公司会员:
为落实《证券公司合规管理试行规定》第七条证券公司应当对合规管理有效性进行评估的规定,指导证券公司开展合规管理有效性评估,有效防范和控制合规风险,我会合规专业委员会经反复研究,起草了《证券公司合规管理有效性评估指引》(以下简称《指引》),经向中国证监会备案,现予发布,自发布之日起施行。现就有关事项通知如下:
一、合规管理有效性评估既是证券公司合规管理制度的重要组成部分,也是证券公司建立健全合规管理长效机制的重要手段。各证券公司应当认真学习、理解《指引》,切实按照《指引》的规定开展合规管理有效性评估。
二、《指引》的制定立足于证券公司的运行实践,充分吸收了行业和监管部门的合理建议,保障了《指引》的普适性。但考虑到当前我国证券公司在业务范围、内控机制和管理水平等方面存在差异,各证券公司在实施过程中可以以《指引》为基础,结合自身实际需要进一步细化和扩充相关措施。
三、我会合规专业委员会将配合协会在行业开展《指引》的培训工作,并适时对证券公司执行《指引》的情况进行跟踪、检查和评估。各证券公司在落实《指引》中遇到问题应当及时向我会合规专业委员会反映。
联系人:陈闯
联系电话:010-66575651
二○一二年二月十日
证券公司合规管理有效性评估指引
第一章
总则
第一条
为指导证券公司开展合规管理有效性评估,有效防范和控制合规风险,制定本指引。
第二条
证券公司应当按照本指引的要求,对合规管理的有效性进行评估,及时发现和解决合规管理中存在的问题。
证券公司将合规管理有效性评估纳入内部控制评价的,其合规管理有效性评估工作应当符合本指引的要求,并单独出具合规管理有效性评估报告。
第三条
证券公司开展合规管理有效性评估,应当以合规风险为导向,覆盖合规管理各环节,重点关注可能影响合规目标实现的关键业务及管理活动,客观揭示合规管理状况。
第四条
证券公司合规管理有效性评估分为全面评估和专项评估。
除特别指明外,本指引所称合规管理有效性评估均指全面评估。
第五条
证券公司开展合规管理有效性评估,应当由董事会、监事会或董事会授权管理层组织评估小组或委托外部专业机构进行。
证券公司委托外部专业机构开展合规管理有效性评估的,参照本指引的规定进行。
第六条
证券公司每年应当至少开展一次合规管理有效性全面评估。
证券公司可以自主决定开展合规管理有效性专项评估;但在证券监管机构或自律组织提出要求,或公司内部发生重大合规风险事件时,应当开展合规管理有效性专项评估。
第七条
证券公司应当按照本指引的要求,结合自身实际情况,制定本公司合规管理有效性评估工作的实施办法,对评估组织形式、评估范围、评估内容、评估程序和方法、评估报告、评估问责等作出明确规定。
第二章
评估内容
第八条
证券公司开展合规管理有效性评估,应当涵盖合规管理环境、合规管理职责履行情况、经营管理制度与机制的建设及运行状况等方面。
第九条
证券公司对合规管理环境的评估应当重点关注公司高层是否重视合规管理、合规文化建设是否到位、合规管理制度是否健全、合规管理的履职保障是否充分等。
第十条
证券公司对合规管理职责履行情况的评估应当重点关注合规咨询、合规审查、合规检查、合规监测、合规培训、合规报告、监管沟通与配合、信息隔离墙管理、反洗钱等合规管理职能是否有效履行。
第十一条
证券公司对经营管理制度与机制建设情况的评估应当重点关注各项经营管理制度和操作流程是否健全,是否与外部法律、法规和准则相一致,是否能够根据外部法律、法规和准则的变化及时修订、完善。
第十二条
证券公司对经营管理制度与机制运行状况的评估应当重点关注是否能够严格执行经营管理制度和操作流程,是否能够及时发现并纠正有章不循、违规操作等问题。
第十三条
证券公司可以根据合规管理有效性专项评估的目的和需要,确定专项评估的内容。证券监管机构或自律组织另有要求的,从其要求。
第三章
评估程序和方法
第十四条
证券公司合规管理有效性评估的程序一般包括评估准备、评估实施、评估报告和后续整改四个阶段。
第十五条
证券公司自行组织开展合规管理有效性评估的,应当按照本指引第五条的要求成立评估小组,并对参与评估的人员开展必要的培训。
证券公司应当确保评估小组具备独立开展合规管理有效性评估的权力,确保评估小组成员具备相应的胜任能力。
评估小组应当制定评估实施方案,明确评估目的、范围、内容、分工、进程和要求,制作评估底稿等评估工作文件。
第十六条
评估小组应当组织各部门开展合规自评,各部门应当如实填写评估底稿,提交评估相关材料。合规管理环境评估底稿应当由公司主要负责人签署确认,合规管理职责履行情况评估底稿、经营管理制度与机制的建设及运行状况评估底稿应当由自评部门负责人和分管自评部门的高级管理人员签署确认。
第十七条
评估小组应当收集评估期内外部监管检查意见、审计报告、合规报告、投诉、举报、媒体报道等资料,明确评估重点。
第十八条
评估小组应当对自评底稿进行复核,并针对评估期内发生的合规风险事项开展重点评估,查找合规管理缺陷,分析问题产生原因,提出整改建议。
评估小组成员对其所在部门或者分管部门的评估底稿的复核应当实行回避制度。
第十九条
证券公司合规管理有效性评估应当采取访谈、文本审阅、问卷调查、知识测试、抽样分析、穿行测试、系统及数据测试等方法。
第二十条
评估人员可以根据关注重点,对业务与管理事项进行抽样分析,按照业务发生频率、重要性及合规风险的高低,从确定的抽样总体中抽取一定比例的样本,并对样本的符合性做出判断。
第二十一条
评估人员可以对具体业务处理流程开展穿行测试,检查与其相关的原始文件,并根据文件上的业务处理踪迹,追踪流程,对相关管理制度与操作流程的实际运行情况进行验证。
第二十二条
评估人员可以对涉及证券交易的业务进行系统及数据测试,重点检查相关业务系统中权限、参数设置的合规性,并调取相关交易数据,将其与相应的业务凭证或其他工作记录相比对,以验证相关业务是否按规则运行。
第二十三条
评估小组应当在评估工作结束前,与被评估部门就合规管理有效性评估的结果进行必要沟通,就评估发现的问题进行核实。被评估部门应当及时反馈意见。
第二十四条
评估小组应当根据评估实施情况及评估反馈意见撰写合规管理有效性评估报告。合规管理有效性评估报告至少应包括:评估依据、评估范围
和对象、评估程序和方法、评估内容、发现的问题及改进建议、前次评估中发现问题的整改情况等。
证券公司可以参照附件所列合规管理有效性评估报告基本格式编制评估报告。
第二十五条
证券公司合规管理有效性评估报告应当按照公司内部规定履行内部报批程序。证券监管机构或自律组织要求报送的,从其要求。
第二十六条
证券公司应当针对合规管理有效性评估发现的问题,制定整改方案,明确整改责任部门和时间表。整改责任部门应当及时向公司管理层报告整改进展情况。
第二十七条
证券公司管理层应当对评估发现问题的整改情况进行持续关注和跟踪,指导并监督相关部门全面、及时完成整改。
第二十八条
证券公司合规管理有效性专项评估的程序和方法可以参照本指引相关规定执行。
第四章 评估问责
第二十九条
证券公司应当将合规管理有效性评估结果纳入公司管理层、各部门和分支机构及其工作人员的绩效考核范围。
对合规管理有效性评估中新发现的违法、违规行为,证券公司应当及时对责任人采取问责措施。
第三十条
证券公司董事会、监事会、管理层、各部门及分支机构应当积极支持和配合合规管理有效性评估工作。
对在合规管理有效性评估过程中出现拒绝、阻碍和隐瞒的,证券公司应当采取相应的问责措施。
第五章 附则
第三十一条
本指引所称“公司主要负责人”是指公司董事长或总经理,或实际履行前述职务的人员。
第三十二条
证券公司在收集合规风险事项、评估合规管理环境、合规管理职责履行情况、重要业务的制度与机制的建设及运行状况时,可以参考附件所列合规管理有效性评估参考表编制工作底稿。评估参考表未涵盖证券公司合规管理有效性评估的全部评估内容,证券公司可以根据公司实际需要对表格内容加以适当调整和补充。
第三十三条
本指引由中国证券业协会负责解释。
第三十四条
本指引自发布之日起施行。
××公司20××合规管理有效性评估报告
(不存在重大风险)
根据中国证券监督管理委员会(以下简称“证监会”)《证券公司合规管理试行规定》和中国证券业协会(以下简称“协会”)《证券公司合规管理有效性评估指引》等法律、法规和准则的要求,公司董事会(或监事会,或董事会授权管理层)牵头成立跨部门评估小组,于**年**月**日至**年**月**日对本公司(以下简称“公司”)20**合规管理的有效性进行了评估。
在合规管理有效性评估过程中,评估小组采用了访谈、文本审阅、问卷调查、知识测试、抽样分析、穿行测试、系统及数据测试等评估方法,从合规管理环境、合规管理职责履行情况、经营管理制度与机制的建设及运行状况等方面,复核了各业务及管理部门的自评底稿等文件,为评估公司合规管理的有效性取得了必要的评价证据。
经评估,报告期内,公司对纳入评估范围的业务与事项均已建立了相应的管理制度,并得到有效执行,达到了公司合规管理的目标,在所有方面不存在重大合规风险。
此外,评估小组还注意到,公司合规管理尚存在以下待改进的薄弱环节:
合规管理环境方面
合规管理职责履行方面
经营管理制度与机制的建设及运行方面
本次评估具体情况详见后附合规管理有效性评估报告说明。
XX合规管理有效性评估小组
二零××年××月××日
评估小组成员(签名)
××公司20××合规管理有效性评估报告(存在重大风险)
根据中国证券监督管理委员会(以下简称“证监会”)《证券公司合规管理试行规定》和中国证券业协会(以下简称“协会”)《证券公司合规管理有效性评估指引》等法律、法规和准则的要求,公司董事会(或监事会,或董事会授权管理层)牵头建立跨部门的评估小组,于**年**月**日至**年**月**日对本公司(以下简称“公司”)20**合规管理的有效性进行了评估。
在合规管理有效性评估过程中,评估小组采用了访谈、文本审阅、问卷调查、知识测试、抽样分析、穿行测试、系统及数据测试等评估方法,从合规管理环境、合规管理职责履行情况、经营管理制度与机制的建设及运行状况等方面,复核了各业务及管理部门的自评底稿等文件,为评估公司合规管理的有效性取得了必要的评价证据。
经评估,报告期内,下述业务及事项存在重大合规风险: 合规管理环境方面
合规管理职责履行方面
经营管理制度与机制建设及运行方面
除上述业务及事项外,其他纳入评估范围的业务与事项已建立了相应的管理制度和机制,并得到有效执行,达到了公司合规管理的目标,不存在重大合规风险,但尚存在以下待改进的薄弱环节: 合规管理环境方面
合规管理职责履行方面
经营管理制度与机制建设及运行方面
本次评估具体情况详见后附合规管理有效性评估报告说明。
XX公司合规管理有效性评估小组
二零××年××月××日
评估小组成员(签名)
××公司20××
合规管理有效性评估报告说明
根据中国证券监督管理委员会(以下简称“证监会”)《证券公司合规管理试行规定》和中国证券业协会(以下简称“协会”)《证券公司合规管理有效性评估指引》等法律、法规和准则的要求,我们对本公司(以下简称“公司”)20**合规管理的有效性进行了评估。
一、合规管理有效性评估工作的总体情况
公司董事会(或监事会、或董事会授权管理层)授权合规管理有效性评估小组负责具体实施评估工作,[描述本合规管理有效性评估的组织领导体制,评估工作组的结构图、主要负责人及汇报途径]。评估小组对纳入评估范围的单位及业务(事项)进行了评估。
二、合规管理有效性评估的内容与范围 本次评估包括以下内容:
(一)合规管理环境。包括但不限于:公司高层是否重视合规管理、合规文化建设是否到位、合规管理制度是否健全、合规管理的履职保障是否充分等。
(二)合规管理职责履行情况。包括但不限于:合规咨询、合规审查、合规检查、合规监测、合规培训、合规报告、监管沟通与配合、信息隔离墙管理、反洗钱等合规管理职能是否有效履行。
(三)经营管理制度与机制建设情况。包括但不限于:各项经营管理制度和操作流程是否健全,是否与外部法律、法规和准则相一致,是否能够根据外部法律、法规和准则的变化及时修订、完善。
(四)经营管理制度与机制运行状况。包括但不限于:是否能够严格执行经营管理制度和操作流程,是否能够及时发现并纠正有章不循、违规操作等问题。
纳入本次评估范围的单位包括:
[列出被评估单位的范围(包括各部门和分支机构)](如存在遗漏)公司本未能对以下单位或业务(事项)进行合规管理有效性评估:[逐条说明未纳入范围的重要单位或业务(事项),包括单位、业务(事项)描述、未纳入原因、对合规管理有效性评估产生的影响]。
三、合规管理有效性评估的程序和方法
合规管理有效性评估工作按照《证券公司合规管理试行规定》、《证券公司合规管理有效性评估指引》及公司内部合规管理有效性评估办法规定的程序执行[描述公司开展合规管理有效性评估工作的基本流程,包括准备阶段、实施阶段、报告阶段、整改阶段]。
评估过程中,我们采用了(人员访谈、文本审阅、问卷调查、知识测试、穿行测试、抽样分析、系统及数据测试、活动观测、专题讨论)等必要的方法,收集了较为广泛的评估证据,如实填写了工作底稿,分析、识别了公司合规管理存在的问题[说明评估方法的适当性及证据的充分性]。
四、公司合规管理状况
(一)合规管理环境
(二)合规管理职责履行情况
(三)经营管理制度与机制建设及运行状况
五、评估发现的合规管理问题和整改情况
评估期间,公司存在的合规管理问题及整改情况如下:
序号
问题描述
问题涉及的领域或部门
拟采取的整改措施
计划整改期限
一、合规管理环境方面
„
二、合规管理职责履行方面
„
三、经营管理制度与机制建设及运行方面
„
经过整改,公司在报告期末仍存在以下问题[从以上方面对问题进行描述]。针对报告期末未完成整改的问题,公司拟进一步采取相应措施加以整改[描述整改措施的具体内容及预期达到的效果]。
六、上一未完成整改问题的后续整改情况
针对上合规管理有效性评估报告中所述期末未完成整改事项,具体描述本整改情况。
七、评估总结
(不存在重大合规风险的情形)从本次合规管理有效性评估的总体情况分析,报告期内,公司对纳入评估范围的业务与事项均已建立了相应的管理制度,并得到有效执行,达到了公司合规管理的目标,在所有方面不存在重大合规风险。
(存在重大合规风险的情形)从本次合规管理有效性评估的总体情况分析,报告期内,公司在经营管理制度的制定和执行方面上存在未完成整改的重大合规问题[描述该问题的性质及其对实现合规管理目标的影响程度]。由于存在上述问题,可能会给公司未来经营带来相关合规风险[描述该风险]。
八、期后事项
自合规管理有效性评估报告基准日至合规管理有效性评估报告发出日间[是/否]发生对合规管理有效性评估产生影响的重大变化[如重大违规事项,及该事项的影响及公司拟采取的措施]。
XX公司合规管理有效性评估小组
二零××年××月××日
评估小组成员(签名)
目前,中国证券业协会(以下简称协会)发布了《证券公司合规管理有效性评估指引》(以下简称《指引》),协会有关负责人就《指引》有关问题回答了记者的提问。
问:请介绍一下《指引》出台的背景?
答:合规管理是证券公司创新发展的基础。合规管理有效性评估既是证券公司合规管理制度的重要组成部分,也是促使证券公司切实落实和完善合规管理制度的重要手段。《证券公司合规管理试行规定》明确要求证券公司应当对公司合规管理的有效性进行评估,对合规管理有效性的全面评估,每年不得少于一次。为指导、规范证券公司开展合规管理有效性评估,协会合规专业委员会(以下称委员会)起草了《指引》。在起草过程中,广泛征求了行业和监管部门的意见,并根据反馈的意见进行了多次讨论和修改,几经易稿,形成本《指引》。问:《指引》起草工作的主要指导思想是什么?
答:在《指引》起草工作中,起草小组主要遵循以下指导思想:
第一,制定《指引》的目的是要促使证券公司通过自我评估起到查漏补缺、提高合规管理水平的作用。
第二,《指引》应当与现有的监管制度保持一致,同时又为行业发展留出空间,允许一定的业务发展弹性。
第三,合规管理有效性评估主要由证券公司自主开展。《指引》应当能够充分调动公司参与评估的主动性和积极性,并通过评估促进公司内部了解和熟悉相关合规要求,实现全员合规。
第四,《指引》应当细化评估程序和评估方法的规定,并具备较强的可操作性,能够为证券公司起到指导和规范作用。
第五,《指引》应当建立综合评估、分层使用的制度安排,在评估内容、评估报告的格式设计以及评估底稿的设计上综合覆盖监管机构、自律组织和证券公司自身的关注要点,兼顾公司内、外部主体的不同使用需要,体现较大的灵活性。问:《指引》有哪些特点?
答:《指引》的特点主要体现在以下方面:
一是将证券公司合规管理有效性评估定位为证券公司自我约束、自我修复和自我完善的重要手段,强化公司在评估中的主导地位,在法律、法规和准则允许的范围内,采用弹性条款,给证券公司发展留足空间。
二是秉承“全员合规、主动合规”的理念,注重发挥一线业务部门的作用,建立业务部门自评与评估小组复核相结合的评估模式,重点关注各业务的合规管理状况。三是着力细化评估程序和评估方法,高度重视合规风险信息收集工作。
四是在评估结果的使用方面,综合考虑不同主体的差异化需求,建立灵活、实用的评估结果展现形式。
问:关于证券公司合规管理有效性评估的主体,《指引》是如何规定的?
答:《证券公司合规管理试行规定》没有明确合规管理有效性评估具体由证券公司哪个部门负责实施。在以往的实践中,有相当一部分公司将主要的评估责任分配给了合规总监和合规部门。其实,合规管理不单是合规部门或合规总监的责任,公司
各个层面都应有合规意识。公司合规管理应当与公司治理结构相结合。合规管理有效性评估是一项复杂的系统工程,既需要公司开展大量的组织协调工作,也需要符合公司内部制衡的基本原则。为此,《指引》规定,证券公司开展合规管理有效性全面评估的,应当由董事会、监事会或董事会授权管理层组织评估小组或委托外部专业机构进行。这既保障了评估组织者的权威性,又兼顾了各公司不同的治理结构。对于合规管理有效性专项评估,《指引》留出了较大的弹性空间,允许证券公司自主决定评估的组织形式、范围和内容等。
问:《指引》对证券公司合规管理有效性评估的范围和内容有何要求?
答:证券公司合规管理覆盖公司所有业务、各个部门和分支机构,合规管理有效性全面评估的范围也应当覆盖所有业务、各个部门和分支机构。为此,《指引》规定,证券公司开展合规管理有效性全面评估,应当涵盖合规管理环境、合规管理职责履行情况、经营管理制度与机制的建设及运行状况等方面。
其中,对合规管理环境的评估应当重点关注公司高层是否重视合规管理、合规文化建设是否到位、合规管理制度是否健全、合规管理的履职保障是否充分等。对合规管理职责履行情况的评估应当重点关注合规咨询、合规审查、合规检查、合规监测、合规培训、合规报告、监管沟通与配合、信息隔离墙管理、反洗钱等合规管理职能是否有效履行。对经营管理制度与机制建设情况的评估应当重点关注各项经营管理制度和操作流程是否健全,是否与外部法律、法规和准则相一致,是否能够根据外部法律、法规和准则的变化及时修订、完善。对经营管理制度与机制运行状况的评估应当重点关注是否能够严格执行经营管理制度和操作流程,是否能够及时发现并纠正有章不循、违规操作等问题。
问:《指引》在评估程序和方法方面做出了什么样的制度安排?
答:评估程序和评估方法是《指引》的核心内容,其所占篇幅超过《指引》的三分之一。
在评估程序方面,《指引》将整个进程划分为评估准备、评估实施、评估报告和后续整改四个阶段。在评估实施阶段,评估小组应当首先组织公司各部门按照《指引》的要求开展合规自评。在自评完成后,评估小组应当对自评底稿进行复核,并针对评估期内发生的合规风险事项开展重点评估,查找合规管理缺陷,分析问题产生原因,提出整改建议。为确保评估小组工作的独立性,《指引》还要求评估小组成员对其所在部门或者分管部门的评估底稿的复核实行回避制度。
关于评估方法,《指引》一方面在正文中对公司可以采用的评估方法加以列举,并对抽样分析、穿行测试、系统及数据测试法的定义及使用情形做出描述,另一方面在附件的评估参考表中对每一评估点均给出较为具体的参考评估方法,以便为证券公司提供更为详细的指导。
问:在评估结果的使用方面,《指引》如何兼顾不同主体的差异化需求?
答:为了满足监管机构、自律组织和证券公司内部对评估报告的不同使用需要,《指引》在附件中给出了评估报告基本格式,并将重要业务的评估底稿按条线进行列示。其中,基本格式包括报告正文和报告说明两部分。根据评估发现问题的严重程度,报告正文又可细分为存在重大风险和不存在重大风险的两种不同版本。报告正文主要用于揭示评估发现问题,内容相对简单;报告说明的内容则更为丰富,应当详细描述评估情况。
借助上述安排,评估结果的内、外部使用主体可以根据实际需要选择查阅评估报告
正文或报告说明,并可以根据需要调阅不同业务条线的评估底稿。具体来说,评估报告通常以内部使用为主,证券监管机构或自律组织可以根据需要审阅评估报告正文或调阅评估工作底稿。
问:协会将如何指导《指引》的落实工作?
答:《指引》的制定立足于证券公司的运行实践,协会在《指引》的起草过程中,积极听取行业和监管部门的意见,充分吸收合理建议,保障了《指引》的普适性。但由于当前我国证券公司在业务范围、内控机制和管理水平等方面存在差异,各证券公司在实施过程中可以以《指引》的规定为基础,结合自身管理的实际需要进一步细化和扩充相关措施,增强《指引》的针对性和实效性。《指引》发布后,委员会将配合协会重点从以下三个方面做好落实工作:
一是开展证券公司合规管理有效性评估培训,加深公司高级管理人员及其他相关人员对《指引》的理解和把握;
二是根据行业需要,开展证券公司合规管理有效性评估经验交流和研讨活动; 三是对证券公司落实《指引》的情况进行跟踪、检查和评估,及时了解证券公司在落实中遇到的问题,适时组织对具有代表性、普遍性问题的研究,推动行业合规管理有效性评估工作不断完善和深入落实。
1、证券公司无需将合规管理有效性评估结果纳入公司管理层的绩效考核范围()
2、证券公司自行组织实施合规管理有效性评估的,应由董事会、监事会或董事会授权管理层牵头组建评估小组。()
3、按照《证券公司合规管理有效性评估指引》的规定,合规管理有效性评估报告至少应包括的内容有()。A、评估范围和对象 B、评估程序和方法
C、发现的问题及改进建议 D、评估依据
4、按照《证券公司合规管理有效性评估指引》的规定,关于合规管理有效性评估的评估复核,下列选项中错误的是()
A、评估小组成员对其所在部门或者分管部门的评估底稿的复核应当实行回避制度 B、证券公司应针对评估期间内发生的合规风险事项开展重点评估 C、评估小组成员可参与其所在部门或者分管部门的评估底稿的复核 D、证券公司应当对自评底稿进行复核
5、下列关于合规管理有效性评估与内控评价关系的各种说法中,正确的有()A、合规管理有效性程度是内控评价的重要内容 B、证券公司必须单独开展合规管理有效性评估
C、证券公司可以将合规管理有效性评估纳入公司内控评价中一并进行 D、合规管理的有效性程度是决定公司内部控制是否有效的关键因素
6、按照《证券公司合规管理有效性评估指引》的规定,证券公司合规管理有效性评估应当采取的方法有()A、文本审阅 B、访谈 C、问卷调查 D、知识测试
7、证券公司成立的证券业务子公司,如证券资产管理公司等,无需按照《证券公司合规管理有效性评估指引》开展合规管理有效性评估。()
8、按照《证券公司合规管理有效性评估指引》的规定,证券公司合规管理有效性评估的程序一般包括评估准备、评估实施、评估报告和后续整改四个阶段。()
9、下列关于证券公司合规管理有效性评估主体的说法中,错误的是()
A、证券公司组织内部评估小组实施评估的,小组成员不应来自于合规总结分管的部门
B、证券公司委托外部中介机构开展评估的,应要求中介机构选派具备胜任的人员从事评估工作
C、证券公司可以将合规总监或合规部门作为全面评估的单一责任主体
D、证券公司应结合自身自身治理机构,选择由董事会、监事会或董事会授权管理层组织开展全面评估。
10、按照《证券公司合规管理有效性评估指引》的规定,证券公司开展合规管理有效性评估,应当以合规风险为导向。
11、判断证券公司合规管理是否有效,最终应看证券公司是否实现合规经营。()
12、按照《证券公司合规管理有效性评估指引》的规定,证券公司对经营管理制度与机制建设情况的评估应当重点关注的内容的有()A、合规管理制度是否健全
B、各项经营管理制度和操作流程是否健全 C、是否与外部法律,法规和准则相一致 D、公司高层是否重视合规管理
13、按照《证券公司合规管理有效性评估指引》的规定,证券公司每年应当至少开展2次合规管理有效性全面评估()
14、按照《证券公司合规管理有效性评估指引》的规定,证券公司合规管理有效性评估分为()和()。A、内部评估 B、全面评估 C、专项评估 D、外部评估
15、按照《证券公司合规管理有效性评估指引》的规定,合规管理职责履行情况评估底稿,应当由()签署确认。A、公司主要负责人、直评部门负责人 B、公司主要负责人
C、自评部门负责人和分管自评部门的高级管理人员 D、公司财务部门负责人