第一篇:浅析《银行业金融机构内部审计指引》
浅析《银行业金融机构内部审计指引》
来源:考试大 【爱学习,爱考试大】 2008年1月17日
为促进银行业金融机构完善公司治理,加强内部控制,健全内部审计体系,依据《公司法》、《审计法》和《银行监督管理法》等法律法规,中国银监会制定出台了《银行业金融机构内部审计指引》(以下简称《指引》),对进一步加强和发挥内部审计在银行业金融机构中的作用提出了监管要求。
一、《指引》是银行监管部门针对我国银行业金融机构内部审计的现状而出台的指导意见
随着我国金融改革的稳步推进,银行业金融机构的公司治理逐步完善,风险管理意识不断增强,内部审计也越来越受到银行董事会、经营管理层以及银行监管部门的重视,内部审计的地位有所提升,作用有所增强。但是,与国际银行业的先进做法以及国际内部审计师协会(IIA)关于内部审计的要求相比,与完善的银行业公司治理标准相比,我国银行业金融机构的内部审计在审计理念、组织体系、人员素质、审计效果等方面仍存在一定的差距,主要表现为:
(一)审计理念仍显落后
从国际上看,随着内部审计理论和审计技术不断发展完善,内部审计关注的重点已经从查错纠弊转为更加关注组织的公司治理、内部控制和风险管理的有效性,致力于为组织增加价值,推动组织实现其发展目标。从我国银行业金融机构内部审计的实践看,目前内部审计的重心仍是合规性审计,尤其是对财务活动的监督检查,对公司治理、内部控制和风险管理尚无过多涉及。与国际先进做法相比,我国银行业金融机构内部审计多局限于传统的审计业务,显示出在审计理念方面的落后。
(二)组织体系尚不合理,报告路线不够合理,独立性、权威性尤为不足
根据国际内部审计师协会《内部审计实务标准》的建议,内部审计在组织上应该保持足够的独立性,董事会和高级管理层应该给予内部审计足够的权力,理想情况下,首席审计执行官(CEA)在职能上对董事会报告工作,在行政上向经营管理层的主要负责人(即首席执行官CEO)报告工作。从我国银行业金融机构的实际情况看,在报告路线方面,即便是已经设立规范“三会”的银行,内部审计也大多是作为银行经营管理体系的一部分,对经营管理层负责;从内部审计的体系看,目前大多数银行尚未建立起垂直、独立的内部审计体系,内部审计只是作为内部稽核的重要力量向各级行长或分管副行长报告工作,对行长和分管副行长负责,内部审计在审计目标、审计计划、具体审计活动以及审计后的监督等方面都缺乏独立性和权威性。
(三)内部审计的人力资源有待加强
随着内部审计在公司治理、内部控制和风险管理方面作用的不断加强,对内部审计人员的素质提出了更高的要求。根据国际内部审计师协会对内部审计的定义,内部审计活动已不仅仅是传统的稽核确认,还包括为增加价值和改善组织运营而提供的咨询等各类服务。就银行业金融机构而言,随着金融创新的不断深化、风险类型的日益复杂化,内部审计人员需要具备足够的专业技能跟踪、把握最近的业务知识,从而提供积极有效的确认和咨询等增值服务。从我国银行业金融机构的实际情况看,内部审计人员的素质普遍不高,有些机构由于对内部审计的重视不够,存在着内部审计人员配备不足,甚至存在“老弱病”现象。
(四)审计效果不甚理想
由于我国银行业金融机构内部审计在审计理念、组织体系、人力资源等方面的问题,审计效果不尽理想。以最近中行黑龙江分行发生的案件为例,在银行业开展了一年多的案件专项治理,尤其是中行黑龙江分行已经发生过高山案的情况下,在经历了多次内部自查的情况下,仍未能及时发现案件,充分说明了目前我国银行业金融机构的内部审计效果仍有待改进。
二、《指引》借鉴了国际上关于内部审计的先进理念,对银行业金融机构的内部审计予以了规范
根据国际内部审计师协会关于内部审计的定义,内部审计是“一种独立、客观的确认和咨询活动,旨在增加价值和改善组织运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。巴塞尔委员会和国际银行业对国际内部审计师协会关于内部审计的定义表示认可。在借鉴国际内部审计先进理念的基础上,银行监管部门此次出台的《指引》体现了以下几方面的进步:
(一)明确了内部审计的定义和目标
《指引》在第三条和第四条指出,内部审计是一种独立、客观的监督、评价和咨询活动,是银行业金融机构内部控制的重要组成部分。内部审计部门通过系统化和规范化的方法,审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果,保证国家有关经济金融法律法规、方针政策、监管规章的贯彻执行,在银行业金融机构风险框架内促使风险控制在可接受水平,并改善银行业金融机构的运营,增加价值,从而促进银行业金融机构稳健发展。可以看出,《指引》上述规定是银行监管部门在借鉴国际内部审计先进理念的基础上,对我国银行业金融机构内部审计的科学界定,是国际内部审计师协会关于内部审计定义和目标在中国银行业金融机构的具体化。
(二)强调了内部审计的独立性
《指引》开篇即提出了原则性要求,“内部审计是一种独立、客观的监督、评价和咨询活动”,“应当独立于经营管理,以风险为导向,确保客观公正”。为从制度和体制上保证内部审计独立性,《指引》从内部审计体系、从业人员和报告路线等方面作了详细规定。《指引》第九条指出,“银行业金融机构应建立独立垂直的内部审计体系。审计预算、人员薪酬、主要负责人任免由董事会或其专门委员会决定。内部审计人员薪酬不低于本机构其他部门同职级人员平均水平”。相比以往关于内部审计独立性方面的原则性意见,《指引》的规定更为具体,更具有操作性,切实为内部审计的独立性提供了保障。此外,《指引》还特意强调,“内部审计部门可就风险管理、内部控制等有关问题提供咨询服务,但不应直接参与或负责内部控制设计和经营管理决策与执行”,保证内部审计部门在提供咨询服务的同时,不影响其自身的独立性。
(三)规定了内部审计的权限
在权限方面,《指引》规定了内部审计主要事项,要求“银行业金融机构应当以制度形式明确赋予内部审计部门履行职责所必需的权限”,规定内部审计部门“有权列席或参加与内部审计部门职责有关的会议”,“有权及时、全面了解经营管理信息,并就有关问题向审计对象和相关人员进行调查、质询、取证”,并赋予必要时直接向董事会直接汇报审计发现的权力、必要的处理建议权和处罚权等。
(四)规范了内部审计各主体的责任
《指引》指出,董事会负责建立和维护健全有效的内部审计体系,董事会要对内部审计的适当性和有效性承担最终责任,负责批准内部审计章程、中长期审计规划和年度工作计划等,为独立、客观开展内部审计工作提供必要保障,并对审计工作情况进行考核监督。董事会下设的审计委员会对董事会负责,根据董事会的授权组织指导内部审计工作,并应定期召开会议,按季向董事会报告审计工作情况,同时通报高级管理层和监事会。内部审计部门对董事会和审计委员会负责,制定内部审计程序,评价风险状况和管理情况,落实年度审计工作计划,开展后续审计,监督整改情况,对审计项目质量负责等。首席审计官(CEA)负责组织实施内部审计章程、中长期审计规划和年度工作计划,做好协调工作,及时向董事会和高级管理层主要负责人报告审计工作情况,并对内部审计的整体质量负责。
(五)确定了内部审计与外部监管的报告与指导关系
《指引》表明内部审计作为公司治理的重要组成部分,属于银行监管部门“管法人”的重要工作内容。《指引》从监管者的角度,提出了银行业金融机构内部审计与外部监管的关系,明确要求“银行业金融机构应建立完善的与中国银监会的沟通和报告制度”,并规定了内部审计部门应向中国银监会及其派出机构报告的事项,确定了银行监管部门对相应的银行业金融机构内部审计的指导职能。
此外,《指引》还就内部审计的质量控制问题、内部审计部门工作人员的比例、从业人员的专业水平和道德准则的要求等问题予以了规范。
三、以贯彻实施《指引》为契机,加强和发挥银行业金融机构内部审计的作用
《指引》借鉴了国际上内部审计的先进理念,针对我国银行业金融机构内部审计的现状提出了切合实际的监管要求。各银行业金融机构应以贯彻实施《指引》为契机,充分发挥内部审计在公司治理、内部控制和风险管理等方面的积极作用。
1、银行业金融机构要根据《指引》的精神,结合本单位实际,制定出实施细则,并根据要求报银行监管部门备案。借鉴与吸收并重,转变传统上关于内部审计的观念,通过应用系统的、规范的方法,评价并改善风险管理、内部控制和公司治理过程的效果,增加价值和改善运营,帮助所属的银行业金融机构实现其目标。要建立和完善独立客观的内部审计系统,提高内部审计的手段,加强科技信息技术在审计工作中的应用,建立完善的非现场内部审计监测体系及内部审计操作体系、信息管理系统。严格内部审计质量控制,努力提高内部审计工作水平。
2、要切实加强内部审计人员的培养,建立内部审计从业人员任职资格,通过CIA等资格考试、聘请专家培训等方面,提升内部审计人员的专业素养。加强与中国内部审计协会的联系,考虑建立银行业金融机构内部审计协会,制定银行业金融机构内部审计的整体规划,加强各金融机构之间的交流与合作,提高整个银行业金融机构的内部审计水平。
3、完善和改进内部审计和外部监督的关系。按照巴塞尔委员会《银行内部审计及监管者与审计师的关系》的表述,除了内部审计要及时、准确、完整地向银行监管部门报告外,银行监管部门也应当对银行业金融机构内部审计的工作进行评价,并根据评价结果来确定是否采纳以及在多大程度上采纳内部审计的结果。在银行监管相对成熟的国家和地区,银行监管部门通常与内部审计保持较为紧密的联系,二者会定期进行磋商,比如,香港金管局定期举行包括银行内部审计和外部审计在内的三方会议,借助内部审计的成果实施风险为本的银行监管,大大地提高了银行监管的效率。《指引》的出台,标志着我国银行监管部门更加重视内部审计的工作,对内部审计的指导和监督力度也将加强。今后,银行监管部门与银行内部审计应逐步探索、创新和完善双方的关系,充分发挥外部监管与内部监督的双重作用,促进我国银行业的健康发展。来
第二篇:银行业金融机构外部审计监管指引
银行业金融机构外部审计监管指引
银监发〔2010〕73号
银监会2010.8.11
第一章 总则
第一条 为充分发挥外部审计对银行业监管的补充作用,促进银行业金融机构稳健经营,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条 本指引所称银行业金融机构是指依法在中国境内设立的各类银行业金融机构法人,以及外国银行业金融机构在中国境内设立的分支机构。
本指引所称外部审计是指外部审计机构对银行业金融机构的财务报告审计;外部审计机构是指接受银行业金融机构委托对其进行外部审计的会计师事务所,以下简称外审机构。
本指引所称银行业监管机构,是指中国银监会及其派出机构。
第三条 银行业金融机构应当建立健全委托外审机构的相关规章制度。
银行业金融机构董事会对外部审计负最终责任。
第二章 审计委托
第四条 银行业金融机构应当委托具有独立性、专业胜任能力和声誉良好的外审机构从事审计业务。对合格外审机构的评估包括但不限于以下因素:
(一)在形式和实质上均保持独立性;
(二)具有与委托银行业金融机构资产规模、业务复杂程度等相匹配的规模、资源和风险承受能力;
(三)拥有足够数量的具有银行业金融机构审计经验的注册会计师,具备审计银行业金融机构的专业胜任能力;
(四)熟悉金融法规、银行业金融机构业务及流程、内部控制制度以及各种风险管理政策;
(五)具有完善的内部管理制度和健全的质量控制体系;
(六)具有良好的职业声誉,无重大不良记录。
第五条 银行业金融机构应当完整保存委托外部审计机构过程中的档案,银行业监管机构可以对上述档案进行检查。
第六条 外审机构存在下列情况之一的,银行业金融机构不宜委托其从事外部审计业务:
(一)专业胜任能力、从事银行业金融机构审计的经验、风险承受能力明显不足的;
(二)存在欺诈和舞弊行为,在执业经历中受过行政处罚、刑事处罚且未满三年的;
(三)与被审计机构存在关联关系,可能影响审计独立性的。
第三章 审计质量控制
第七条 银行业金融机构应当了解外部审计程序及质量控制体系,配合外审机构开展审计工作,为外审机构实施适当的审计程序提供便利。
第八条 银行业金融机构应当与外审机构充分沟通,了解审计进展情况,及时将审计过程中出现的重大事项报告银行业监管机构。
第九条 银行业金融机构应当对外审机构的审计报告质量及审计业务约定书的履行情况进行评估。
第十条 银行业监管机构可以对外审机构的审计报告质量进行评估,并对存在重大疑问的事项要求银行业金融机构委托其他外审机构进行专项审计。
第十一条 外审机构同一签字注册会计师对同一家银行业金融机构进行外部审计的服务年限不得超过五年;超过五年的,银行业金融机构应当要求外审机构更换签字注册会计师。
第十二条 银行业金融机构不宜委托负责其外部审计的外审机构提供咨询服务。
第四章 终止审计委托
第十三条 银行业金融机构发现外审机构存在下列情形之一的,应予以特别关注,并可以终止委托其审计工作:
(一)未履行诚信、勤勉、保密义务,并造成严重不良后果的;
(二)将所承担的审计业务分包或转包给其他机构的;
(三)审计人员和时间安排难以保障银行业金融机构按期披露报告的;
(四)审计报告被证实存在严重质量问题的。
第十四条 银行业监管机构发现外审机构存在下列问题时,可以要求银行业金融机构立即评估委托该外审机构的适当性:
(一)审计结果严重失实的;
(二)存在严重舞弊行为的;
(三)严重违背中国注册会计师审计准则,存在应发现而未发现的重大问题的。
对因上述原因被终止委托的外审机构,银行业金融机构二年内不得委托其从事审计业务。
第十五条 银行业金融机构或外审机构单方要求终止审计委托时,银行业金融机构应当及时报告银行业监管机构。
第五章 与外审机构的沟通
第十六条 银行业监管机构、银行业金融机构、外审机构应当适时举行双方或三方会谈,及时交流有关信息。
第十七条 外审机构根据审计准则向银行业监管机构报告银行业金融机构以下情况的,银行业金融机构不得阻挠:
(一)严重违反法律法规、行业规范或章程;
(二)影响持续经营的事项或情况;
(三)出具非标准审计报告;
(四)管理层有重大舞弊行为;
(五)决策机构内部发生严重冲突或关键职能部门负责人突然离职。
第十八条 银行业监管机构应当鼓励外审机构依法根据审计准则开展外部审计,并纠正银行业金融机构对外部审计质量存在严重负面影响的行为。
第六章 审计结果的利用
第十九条 银行业金融机构应当在收到外审机构出具的审计报告和管理建议书后及时将副本报送银行业监管机构。
第二十条 银行业监管机构应当建立银行业金融机构外部审计结果、整改建
议等审计信息系统,充分利用外部审计相关信息。
第二十一条 银行业金融机构应当重视并积极整改外部审计发现的问题,并将整改结果报送银行业监管机构。
第七章 附则
第二十二条 本指引由中国银监会负责解释。
第二十三条 本指引自公布之日起施行。
第三篇:银行业金融机构内部审计指引银监发2006-51号
银行业金融机构内部审计指引
银监发[2006]第51号2006年6月27日
第一章 总则
第一条 为促进银行业金融机构完善公司治理,加强内部控制,健全内部审计体系,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国公司法》、《中华人民共和国审计法》和《中华人民共和国审计法实施条例》等法律法规,制定本指引。
第二条 本指引所称银行业金融机构是指在中华人民共和国境内设立的政策性银行和商业银行。经中国银行业监督管理委员会(以下简称中国银监会)批准设立的其他金融机构可参照执行本指引。
第三条 本指引所称内部审计是一种独立、客观的监督、评价和咨询活动,是银行业金融机构内部控制的重要组成部分。通过系统化和规范化的方法,审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果,促进银行业金融机构稳健发展。
第四条 银行业金融机构内部审计的目标是,保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行;在银行业金融机构风险框架内,促使风险控制在可接受水平;改善银行业金融机构的运营,增加价值。
第五条 银行业金融机构内部审计工作应当独立于经营管理,以风险为导向,确保客观公正。
第六条 中国银监会依据本指引检查评价银行业金融机构内部审计工作。
第二章 机构和人员
第七条 银行业金融机构的董事会负责建立和维护健全有效的内部审计体系。没有设立董事会的,由高级管理层负责履行有关职责。董事会应下设审计委员会。审计委员会成员不少于3人,多数成员应是非执行董事。审计委员会主席应由独立董事担任。没有设立董事会的,审计委员会组成及委员会负责人由高级管理层确定。
第八条 银行业金融机构应建立审计全系统经营管理行为的内部审计部门,可设立一名首席审计官负责全系统的审计工作。首席审计官由董事会任命并纳入银行业金融机构高级管理人员任职资格核准范围,首席审计官岗位变动要事前向中国银监会报告。
第九条 银行业金融机构应建立独立垂直的内部审计管理体系。审计预算、人员薪酬、主要负责人任免由董事会或其专门委员会决定。内部审计人员薪酬不低于本机构其他部门同职级人员平均水平。
第十条 银行业金融机构内部审计人员原则上按员工总人数的1%配备,并建立内部岗位轮换制。
第十一条 内部审计人员应具备相应的专业从业资格:
(一)专业水平。内部审计人员应具备大专以上学历,掌握与银行业金融机构内部审计相关的专业知识,熟悉金融相关法律法规及内部控制制度。
(二)从业经验。内部审计人员至少应具备两年以上金融从业经验;审计项目负责人员至少应具有三年以上审计工作经验,或六年以上金融从业经验。
(三)道德准则。内部审计人员应具有正直、客观、廉洁、公正的职业操守,且从事金融业务以来无不良记录。
第三章 职责
第十二条 银行业金融机构应以制度形式明确董事会、审计委员会、首席审计官和内部审计部门及人员职责。
第十三条 董事会对内部审计的适当性和有效性承担最终责任,负责批准内部审计章程、中长期审计规划和工作计划等,为独立、客观开展内部审计工作提供必要保障,并对审计工作情况进行考核监督。
第十四条 审计委员会对董事会负责,根据董事会授权组织指导内部审计工作。审计委员会应定期召开会议,并可视需要邀请高级管理层人员列席。
第十五条 首席审计官负责组织实施内部审计章程、中长期审计规划和工作计划,做好协调工作,及时向董事会和高级管理层主要负责人报告审计工作情况,并对内部审计的整体质量负责。
第十六条 内部审计部门应对董事会和审计委员会负责,制定内部审计程序,评价风险状况和管理情况,落实审计工作计划,开展后续审计,监督整改情况,对审计项目质量负责,做好档案管理。
第十七条 内部审计事项主要包括:
(一)经营管理的合规性及合规部门工作情况。
(二)内部控制的健全性和有效性。
(三)风险状况及风险识别、计量、监控程序的适用性和有效性。
(四)信息系统规划设计、开发运行和管理维护的情况。
(五)会计记录和财务报告的准确性和可靠性。
(六)与风险相关的资本评估系统情况。
(七)机构运营绩效和管理人员履职情况等。
第四章 权限
第十八条 银行业金融机构应当以制度形式明确赋予内部审计部门履行职责所必需的权限。
第十九条 内部审计部门有权列席或参加与内部审计部门职责有关的会议。
第二十条 内部审计部门有权及时、全面了解经营管理信息,并就有关问题向审计对象和相关人员进行调查、质询、取证。
第二十一条 内部审计部门认为必要时有权向董事会直接汇报审计发现。
第二十二条 内部审计部门应具有处理建议权和必要的处罚权。
第二十三条 内部审计部门对拒绝接受或不配合内部审计、拒绝提供或提供虚假资料、打击报复或陷害审计人员的,有权向上级报告,要求及时予以制止并做出处理。
第五章 质量控制
第二十四条 内部审计部门可就风险管理、内部控制等有关问题提供咨询服务,但不应直接参与或负责内部控制设计和经营管理决策与执行。
第二十五条 内部审计部门应在风险评估的基础上确定审计重点,审计频率和程度应与银行业金融机构业务性质、复杂程度、风险状况和管理水平相一致。对每一营业机构的风险评估每年至少一次,审计每两年至少一次。第二十六条 内部审计部门和审计人员应严格按照审计程序和审计方法实施审计项目,并定期进行自我评估。
第二十七条 内部审计部门应建立内部审计人员的审计回避制度,确保内部审计的客观性。
第二十八条 内部审计部门应建立内部审计人员后续培训制度,鼓励内部审计人员取得注册会计师、注册内部审计师、注册信息系统审计师等执业资格,以保证内部审计人员的专业胜任能力。
第二十九条 内部审计部门应加强科技手段和信息技术在审计工作中的运用,建立完善非现场内部审计监测体系及内部审计操作系统、信息管理系统。
第三十条 内部审计部门根据工作需要,经董事会批准后,可将部分内部审计项目外包,但需事先对外包机构的独立性、客观性和专业胜任能力进行评估。
第三十一条 内部审计部门应建立审计复议制度,对审计对象提出异议的审计结论,由作出审计结论的审计机构的上级机构进行复议。
第三十二条 董事会可聘请外部机构对内部审计部门的尽职情况进行评价,并保证外部检查人员独立于评价对象、具备专业胜任能力以及与评价对象没有利益冲突。
第六章 报告制度
第三十三条 银行业金融机构应建立与垂直管理体系相适应的内部审计报告制度和报告线路。
第三十四条 审计委员会应按季度向董事会报告审计工作情况,并通报高级管理层和监事会。
第三十五条 首席审计官和内部审计部门应按季向董事会和高级管理层主要负责人报告审计工作情况。每年至少一次向董事会提交包括履职情况、审计发现和建议等内容的审计工作报告。
第三十六条 首席审计官和内部审计部门在审计事项结束后,应及时向董事会和高级管理层主要负责人报送包括审计概况、审计依据、审计结论、审计决定、审计建议、审计对象反馈意见等内容的项目审计报告。
第三十七条 银行业金融机构应建立完善与中国银监会的沟通和报告制度。董事会和高级管理层应就重大审计发现及时向中国银监会报告。内部审计部门应就以下事项向中国银监会或中国银监会派出机构报告:
(一)向董事会提交的全面审计工作报告。
(二)内部审计部门开展异地审计的,应同时将审计报告抄报审计对象所在地的中国银监会派出机构。
(三)内部审计部门发现重大问题并报告董事会后,在问题未得到认真查处整改的情况下,应直接向中国银监会报告相关情况。
(四)外部中介机构对银行业金融机构的审计报告。
(五)中国银监会及其派出机构要求报告的其他事项。
第七章 考核与问责
第三十八条 董事会和高级管理层应采取有效措施,确保内部审计成果得以充分利用。高级管理层对未按要求进行整改的问题,应督促整改,追究相关人员责任,并承担未对审计发现采取纠正措施所产生的责任和风险。
第三十九条 董事会应建立激励约束机制,对内部审计相关各方的尽职、履职情况进行考核评价,建立内部审计工作问责制度,明确内部审计责任追究、免责的认定标准和程序。
第四十条 董事会应对具有以下情节的内部审计部门负责人和直接责任人追究责任:
(一)未执行审计方案、程序和方法导致重大问题未能被发现。
(二)对审计发现问题隐瞒不报或者未如实反映。
(三)审计结论与事实严重不符。
(四)对审计发现问题查处整改工作跟踪不力。
(五)未按要求执行保密制度。
(六)其他有损银行业金融机构利益或声誉的行为。
第四十一条 银行业金融机构经检查监督和责任认定,有充分证据表明内部审计部门和审计人员按照有关法律、法规、规章和本指引以及银行业金融机构内部审计制度勤勉尽职地履行了职责,并及时报告了审查出的问题,在审计对象相关问题暴露时,可视情况免除或部分免除内部审计部门和相关审计人员的责任。
第八章 附则
第四十二条 银行业金融机构应根据本指引制定实施细则,并报中国银监会备案。
第四十三条 本指引由中国银监会负责解释。第四十四条 本指引自二○○六年七月一日实施。
第四篇:银行业金融机构数据治理指引
银行业金融机构数据治理指引
(征求意见稿)
第一章 总则
第一条(立法依据)为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条(适用范围)本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条(数据治理定义)数据治理是指通过建立组织架构,明确董事会、高级管理层、部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条(数据治理总体要求)银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条(数据治理原则)银行业金融机构数据治理应当遵循以下基本原则:
(一)全覆盖原则:覆盖数据的全生命周期;覆盖业务经营、风险管理和内部控制流程中的全部数据;覆盖内部数据和外部数据;覆盖所有分支机构和附属机构;覆盖监管数据。
(二)匹配性原则:数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则:数据治理应当持续开展,建立长效机制。
(四)有效性原则:数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。
第六条(监管数据)银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
法定代表人或主要负责人对监管数据质量承担最终责任。第七条(依法监督)银行业监督管理机构依据本指引对银行业金融机构数据治理情况实施监管。
第二章 数据治理架构
第八条(总体要求)银行业金融机构应当建立组织架构健全、职责边界清晰的数据治理架构,明确董事会、监事会、高级管理层和相关部门的职责分工,建立多层次、相互衔接的运行机制。
第九条(董事会职责)银行业金融机构董事会应当制定数据战略,审批与数据治理相关的重大事项,督促高级管理层提升数据治理有效性,对数据治理承担最终责任。
第十条(监事会职责)银行业金融机构监事会负责对董事会和高级管理层在数据治理方面的履职尽责情况进行监督评价。第十一条(高管层职责)银行业金融机构高级管理层负责建立数据治理体系,制定和实施问责机制与数据质量控制机制,组织评估数据治理的有效性和执行情况,并定期向董事会报告。
银行业金融机构可根据实际情况设立首席数据官。首席数据官任职资格许可应符合中资商业银行行政许可事项的相关要求。
第十二条(归口管理部门)银行业金融机构应当确定并授权归口管理部门牵头负责实施数据治理体系建设,协调落实数据管理运行机制,组织推动数据在经营管理流程中充分发挥作用,负责监管数据相关工作,设置监管数据相关工作专职岗位。
第十三条(业务部门)业务部门应当负责本业务领域的数据治理,管理业务条线数据源,确保准确记录和及时维护,落实数据质量控制机制,执行监管数据相关工作要求。
第十四条(岗位设置)银行业金融机构应当在数据治理归口管理部门设立满足工作需要的专职岗位,在其他相关业务部门设置专职或兼职岗位。
第十五条(团队建设)银行业金融机构应当建立一支满足数据治理工作需要的专业队伍,按对人员进行系统培训。科学规划职业成长通道,确定合理薪酬水平。
第十六条(数据文化建设)银行业金融机构应当建立良好的数据文化,树立数据是重要资产和数据应真实客观的理念与准则,强化用数意识,遵循依规用数、科学用数的职业操守。
第三章 数据管理 第十七条(制定数据战略)银行业金融机构应当结合自身发展战略、监管要求等,制定数据战略并确保有效执行和修订。
第十八条(数据管理制度)银行业金融机构应当制定全面科学有效的数据管理制度,包括但不限于组织管理、部门职责、协调机制、安全保密、系统保障、监督检查和数据质量控制等方面,并根据监管要求和管理实际,持续评价更新。
第十九条(监管统计制度)银行业金融机构应当制定与监管数据相关的监管统计管理制度和业务制度,及时发布并定期评价和更新,报银行业监督管理机构备案。制度出现重大变化的,应当及时向银行业监督管理机构报告。
第二十条(数据标准)银行业金融机构应当建立覆盖全部数据的标准化规划,遵循统一的业务规范和技术标准。数据标准应当符合国家标准化政策及监管规定。
第二十一条(信息系统)银行业金融机构应当持续完善信息系统,覆盖各项业务和管理数据,并具有可拓展性。信息系统应当有完备的数据字典和维护流程。
第二十二条(监管统计系统)银行业金融机构应当建立适应监管数据报送工作需要的信息系统,实现流程控制的程序化,提高监管数据加工的自动化程度。
第二十三条(数据共享)银行业金融机构应当加强数据采集的统一管理,明确系统间数据交换流程和标准,实现各类数据有效共享。第二十四条(数据安全)银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问权限,监控访问行为,完善数据安全技术,定期审计数据安全。
第二十五条(资料存储)银行业金融机构应当加强数据资料统一管理,建立全面严密的管理流程、归档制度,明确存档交接、口径梳理等要求,保证数据可比性。
第二十六条(应急预案)银行业金融机构应当建立数据应急预案,根据业务影响分析,组织开展应急演练,完善处置流程,保证在系统服务异常以及危机等情景下数据的完整、准确和连续。
第二十七条(数据治理问责机制)银行业金融机构应当建立问责机制,定期监控数据管理、数据质量控制、数据价值实现等方面问题,依据有关规定对高级管理层和相关部门及责任人予以问责。
第二十八条(自我评估机制)银行业金融机构应当建立数据治理自我评估机制,明确评估周期、流程、结果应用、组织保障等要素的相关要求。
评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等方面,并按向银行业监督管理机构报送。
第四章 数据质量控制 第二十九条(质量控制要求)银行业金融机构应当确立数据质量管理目标,建立控制机制,保证数据的真实性、准确性、连续性、完整性和及时性。
第三十条(业务制度—质量控制手段)银行业金融机构各项业务制度应当充分考虑数据质量管理需要,涉及指标含义清晰明确,取数规则统一,并根据业务变化及时更新。
第三十一条(技术工具—质量控制手段)银行业金融机构应当加强数据源头管理,确保将业务信息全面准确及时录入信息系统。信息系统应当能自动提示异常变动及错误情况。
第三十二条(日常监控)银行业金融机构应当建立数据质量监控体系,覆盖数据全生命周期,对数据质量持续监测、分析、反馈和纠正。
第三十三条(检查制度)银行业金融机构应当建立数据质量现场检查制度,定期组织实施,原则上不低于每年一次,对重大问题要按照既定的报告路径提交,并按流程实施整改。
第三十四条(考核评价)银行业金融机构应当建立数据质量考核评价体系,考核结果纳入本机构绩效考核体系,实现数据质量持续提升。
第三十五条(整改制度)银行业金融机构应当建立数据质量整改制度,对日常监控、检查和考核评价过程中发现的问题,及时组织整改,并对整改情况跟踪评价,确保整改落实到位。
第三十六条(监管数据报送)银行业金融机构应当按照监管 要求报送法人和集团的相关数据,保证同一监管指标在监管报送与对外披露之间的一致性。如有重大差异,应当及时向银行业监督管理机构解释说明。
第三十七条(监管数据质量管控)银行业金融机构应当建立监管数据质量管控制度,包括但不限于:关键监管指标数据质量承诺、数据异常变动分析和报告、重大差错通报以及问责等。
第五章 数据价值实现
第三十八条(数据价值实现要求)银行业金融机构应当在风险管理、业务经营与内部控制中加强数据应用,实现数据驱动,提高管理精细化程度,发挥数据价值。
第三十九条(风险管理有效性)银行业金融机构应当充分运用数据分析,合理制定风险管理策略、风险偏好、风险限额以及风险管理政策和程序,监控执行情况并适时优化调整,提升风险管理体系的有效性。
全球系统重要性银行应遵循更高的标准,对照有效风险数据加总与风险报告评估要点的相关要求,强化风险管理。
第四十条(风险监控)银行业金融机构应当持续改善风险管理方法,有效识别、计量、评估、监测、报告和控制各类风险。
第四十一条(数据加总能力)银行业金融机构应当提高数据加总能力,明确数据加总范围、方法、流程,加总结果要求,满足在正常经营、压力情景以及危机状况下风险管理的数据需要。
加总内容包括但不限于交易对手、产品、地域、行业、客户 以及其他相关的分类。加总技术应当主要采取自动化方式。
第四十二条(风险报告)银行业金融机构应当加强数据分析应用能力,提高风险报告质量,明确风险报告数据准确性保障措施,覆盖重要风险领域和新风险,提供风险处置的决策与建议以及未来风险发展趋势。
第四十三条(风险定价)银行业金融机构应当加强数据积累,优化风险计量,持续完善风险定价模型,优化风险定价体系。
第四十四条(重大收购、资产剥离)银行业金融机构应当充分评估兼并收购、资产剥离等业务对自身数据治理能力的影响。有重大影响的,应当明确整改计划和时间表,满足银行集团风险管理要求。
第四十五条(新产品评估)银行业金融机构应当明确新产品新服务的数据管理相关要求,确保清晰评估成本、风险和收益,并作为准入标准。
第四十六条(客户营销)银行业金融机构应当通过数据分析挖掘,准确理解客户需求,提供精准产品服务,提升客户服务质量和服务水平。
第四十七条(业务流程优化)银行业金融机构应当通过量化分析业务流程,减少管理冗余,提高经营效率,降低经营成本。
第四十八条(业务创新)银行业金融机构应当充分运用大数据技术,实现业务创新、产品创新和服务创新。
第四十九条(内部控制评价制度)银行业金融机构应当按照 可量化导向,完善内部控制评价制度和内部控制评价质量控制机制,前瞻性识别内部控制流程的缺陷,评估影响程度并及时处理,持续提升内部控制的有效性。
第六章 监督管理
第五十条(监管方式—持续监管)银行业监督管理机构应当通过非现场监管和现场检查对银行业金融机构数据治理情况进行持续监管。
第五十一条(监管方式—审计)银行业监督管理机构可根据需要,要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计,并及时报送审计报告。
第五十二条(监管措施)对不能满足本指引有关要求的银行业金融机构,银行业监督管理机构可以采取相应监管措施,包括但不限于:
(一)要求其制定整改方案,责令限期改正;
(二)与公司治理评价结果或监管评级挂钩;
(三)《中华人民共和国银行业监督管理法》以及其他法律、行政法规和部门规章规定的有关措施。
第七章 附则
第五十三条(施行范围)外国银行分行以及银行业监督管理机构负责监管的其他金融机构参照执行本指引。
第五十四条(解释权)本指引由银行业监督管理机构负责解释。第五十五条(执行和废止)本指引自印发之日起施行。《银行监管统计数据质量管理良好标准(试行)》(银监发〔2011〕63号)同时废止。
第五篇:商业银行内部审计指引2016
中国银监会关于印发《商业银行内部审计指引》的通
知
银监发〔2016〕12号
各银监局,各政策性银行、大型银行、股份制银行,邮政储蓄银行,外资银行,金融资产管理公司,其他会管金融机构:
现将《商业银行内部审计指引》印发给你们,请遵照执行。
2016年4月16日
(此件发至银监分局和地方法人银行业金融机构)
商业银行内部审计指引
第一章 总 则
第一条 为促进商业银行完善公司治理,加强内部控制和风险管理,健全内部审计体系,提升内部审计的独立性和有效性,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条 中华人民共和国境内依法设立的商业银行适用本指引。
第三条 本指引所称内部审计是商业银行内部独立、客观的监督、评价和咨询活动,通过运用系统化和规范化的方法,审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理效果,促进商业银行稳健运行和价值提升。
第四条 商业银行内部审计目标包括:推动国家有关经济金融法律法规和监管规则的有效落实;促进商业银行建立并持续完善有效的风险管理、内控合规和公司治理架构;督促相关审计对象有效履职,共同实现本银行战略目标。
第五条 商业银行内部审计工作应独立于业务经营、风险管理和内控合规,并对上述职能履行的有效性实施评价。内部审计活动应遵循独立性、客观性原则,不断提升内部审计人员的专业能力和职业操守。
第六条 银行业监督管理机构依据本指引对商业银行内部审计工作实施监管评估。
第二章 组织架构
第七条 商业银行应建立独立垂直的内部审计体系。
第八条 董事会对内部审计的独立性和有效性承担最终责任。董事会应根据本银行业务规模和复杂程度配备充足、稳定的内部审计人员;提供充足的经费并列入财务预算;负责批准内部审计章程、中长期审计规划和审计计划等;为独立、客观开展内部审计工作提供必要保障;对内部审计工作的独立性和有效性进行考核,并对内部审计质量进行评价。
第九条 董事会应下设审计委员会。审计委员会成员不少于3人,多数成员应为独立董事。审计委员会成员应具有财务、审计和会计等专业知识和工作经验。审计委员会负责人原则上应由独立董事担任。
审计委员会对董事会负责,经其授权审核内部审计章程等重要制度和报告,审批中长期审计规划和审计计划,指导、考核和评价内部审计工作。
第十条 监事会对本银行内部审计工作进行监督,有权要求董事会和高级管理层提供审计方面的相关信息。
第十一条 高级管理层应支持内部审计部门独立履行职责,确保内部审计资源充足到位;及时向审计委员会报告业务发展、产品创新、操作流程、风险管理、内控合规的最新发展和变化;根据内部审计发现的问题和审计建议及时采取有效整改措施。
第十二条 商业银行可设立总审计师或首席审计官(以下统称“总审计师”)一名。总审计师由董事会负责聘任和解聘。商业银行应及时向银行业监督管理机构报告总审计师的聘任和解聘情况。
总审计师对董事会及其审计委员会负责,定期向董事会及其审计委员会和监事会报告工作,并通报高级管理层。总审计师负责组织制定并实施内部审计章程、审计工作流程、作业标准、职业道德规范等内部审计制度,组织实施中长期审计规划和审计计划,并对内部审计的整体质量负责。
商业银行未设立总审计师的,由内部审计部门负责人承担总审计师的职责。
第十三条 商业银行应设立独立的内部审计部门,审查评价并督促改善商业银行经营活动、风险管理、内控合规和公司治理效果,编制并落实中长期审计规划和审计计划,开展后续审计,评价整改情况,对审计项目的质量负责。内部审计部门向总审计师负责并报告工作。
第十四条 商业银行应配备充足的内部审计人员,原则上不得少于员工总数的1%。
内部审计人员应当具备履行内部审计职责所需的专业知识、职业技能和实践经验,掌握银行业务的最新发展,并通过后续教育和职业实践等途径,学习和掌握相关法律法规、专业知识、技术方法和审计实务的发展变化,保持和提升专业胜任能力。
内部审计人员在从事内部审计活动时,应遵循客观、保密原则,秉持诚信正直的道德操守,按规定使用其在履行职责时所获取的信息。内部审计人员不得参与有利益关系的审计项目,不得利用职权谋取私利,不得隐瞒审计发现的问题,不做缺少证据支持的判断,不做误导性陈述。
第三章 章程、职责与权限
第十五条 商业银行应制定内部审计章程。内部审计章程应至少包括以下事项:
(一)内部审计目标和范围;
(二)内部审计地位、权限和职责;
(三)内部审计部门的报告路径以及与高级管理层的沟通机制;
(四)总审计师的责任和义务;
(五)内部审计与风险管理、内部控制的关系;
(六)内部审计活动外包的标准和原则;
(七)内部审计与外部审计的关系;
(八)对重点业务条线及风险领域的审计频率及后续整改要求;
(九)内部审计人员职业准入与退出标准、后续教育制度和人员交流机制;
内部审计章程应由董事会批准并报监管部门备案。
第十六条 商业银行的内部审计事项应包括:
(一)公司治理的健全性和有效性;
(二)经营管理的合规性和有效性;
(三)内部控制的适当性和有效性;
(四)风险管理的全面性和有效性;
(五)会计记录及财务报告的完整性和准确性;
(六)信息系统的持续性、可靠性和安全性;
(七)机构运营、绩效考评、薪酬管理和高级管理人员履职情况;
(八)监管部门监督检查发现问题的整改情况以及监管部门指定项目的审计工作;
(九)其他需要进行审计的事项。
第十七条 内部审计部门有权获取与审计有关的信息,列席或参加与内部审计职责有关的会议,参加相关业务培训。
第十八条 内部审计部门有权检查各类经营机构(含分支机构和附属机构)的各项业务和管理活动(含外包业务),及时、全面获取经营管理相关信息,并就有关问题向审计对象和行内相关人员进行调查、质询和取证。
第十九条 内部审计部门有权向董事会、高级管理层和相关部门提出处理和处罚建议。
第二十条 内部审计部门可就风险管理、内部控制等事项提供专业建议,但不得直接参与或负责内部控制设计和经营管理的决策与执行。
第四章 审计工作流程
第二十一条 内部审计部门应根据商业银行的内部审计章程、业务性质、风险状况、管理需求及审计资源的配置情况,确定审计范围、审计重点、审计频率,编制中长期审计规划和审计计划,并报审计委员会批准。
商业银行的内部审计计划应充分考虑监管关注事项,包括但不限于:全面风险管理、资本充足、流动性、内控合规、财务报告等。
第二十二条 内部审计部门应根据审计计划,选派合格、胜任的审计人员组成审计组,收集和研究相关背景资料,了解审计对象的风险概况及内部控制,编制项目审计方案,组织审计前培训并在实施审计前向审计对象下发审计通知书。特殊情况下,审计通知书可以在实施审计时送达。
第二十三条 内部审计人员应根据项目审计方案,综合运用审核、观察、访谈、调查、函证、鉴定、调节和分析等方法,获取审计证据,并将审计过程和结论记录于审计工作底稿。
内部审计采取现场审计与非现场审计相结合的方式,并通过加强非现场审计系统建设,增强内部审计的广度与深度。
内部审计部门应加强信息科技在审计工作中的运用,不断完善内部审计管理信息系统。在审计过程中,内部审计人员应做好与审计对象的沟通交流。
第二十四条 商业银行应建立异议解决机制。对审计对象提出异议的审计结论,应及时进行沟通确认,根据内部审计章程的规定,将沟通结果和审计结论报送至相关上级机构并归档保存。
第二十五条 内部审计人员在实施必要的审计程序后,应征求审计对象意见并及时完成审计报告。审计报告应包括审计目标和范围、审计依据、审计发现、审计结论、审计建议等内容。
内部审计人员应将审计报告发送至审计对象,并上报审计委员会及董事会,同时根据内部审计章程的规定与高级管理层及时沟通审计发现。
第二十六条 商业银行董事会及高级管理层应采取有效措施,确保内部审计结果得到充分利用,整改措施得到及时落实;对未按要求整改的,应追究相关人员责任。
第二十七条 内部审计部门应跟进审计发现问题的整改情况。必要时可开展后续审计,评价审计发现问题的整改进度及有效性。
第二十八条 内部审计部门应建立健全内部审计档案管理制度,妥善保管内部审计档案资料。
第二十九条 商业银行应建立健全内部审计质量控制制度和程序,定期实施内部审计质量自我评价,并接受内部审计质量外部评估。
第五章 部分审计活动外包
第三十条 商业银行不得将内部审计职能外包,但可将有限的、特定的内部审计活动外包给第三方,以缓解内部审计资源压力并提升内部审计工作的全面性。
第三十一条 商业银行董事会应对内部审计活动外包承担最终责任。商业银行内部审计活动外包应符合本银行内部审计章程的有关要求。
第三十二条 商业银行不得将内部审计活动外包给正在为本银行提供外部审计服务的会计师事务所及其关联机构。
商业银行不得将内部审计活动外包给近三年内为审计对象提供过与该项审计外包业务相关咨询服务的第三方及其关联机构。
第三十三条 商业银行应建立内部审计活动外包制度,明确外包提供商的资质标准、准入与退出条件、外包流程及质量控制标准等。
商业银行在实施内部审计活动外包时,本银行内部审计人员应参与并监督项目实施,并负责向总审计师报告外包活动的有关情况。
第三十四条 商业银行总审计师应建立相应的外包审计项目知识转移机制,确保内部审计人员能最大程度地获取专业技能,提升内部审计部门的专业能力。
第六章 考核与问责
第三十五条 商业银行董事会应针对内部审计部门建立科学的激励约束机制,并对总审计师的履职尽责情况进行考核评价,内部审计部门定期对内部审计人员的专业胜任能力进行评价。
内部审计人员的薪酬水平应不低于本机构其他部门同职级人员平均水平。
第三十六条 商业银行应建立内部审计责任制,明确规定内部审计人员履职尽责要求以及问责程序。经责任认定,内部审计部门和审计人员已勤勉尽职的,可减轻或免除其责任。
第三十七条 内部审计结果和整改情况应作为审计对象绩效考评的重要依据。
第三十八条 审计对象应积极配合内部审计工作。对于拒绝、妨碍内部审计工作及整改不力的行为,商业银行应及时制止,并追究相关责任人的责任。
第七章 监管评估
第三十九条 商业银行内部审计部门应建立与银行业监督管理机构的正式沟通机制,定期讨论银行面临的主要风险、已经采取的风险化解措施以及整改情况。双方沟通的频率应与银行的规模、风险偏好和业务复杂性相匹配。第四十条 商业银行内部审计部门应向监管部门提交以下报告:
(一)内部审计计划;
(二)重要审计发现及其整改情况;
(三)向董事会提交的全面审计工作报告;
(四)外部机构对银行的审计报告;
(五)监管部门监督检查发现问题的整改报告;
(六)内部审计质量自我评价报告;
(七)银行业监督管理机构要求的其他报告。
第四十一条 银行业监督管理机构可要求商业银行内部审计部门完成指定项目的审计工作,并将审计结果报送监管部门。
第四十二条 银行业监督管理机构通过非现场监管、现场检查、监管会谈等方式,对商业银行内部审计的有效性进行评估。评估内容包括:
(一)内部审计章程;
(二)内部审计的范围、频率和效果;
(三)确保内部审计职能充分发挥作用的公司治理机制;
(四)银行集团内部审计的有效性;
(五)内部审计人员的专业胜任能力;
(六)内部审计人员的薪酬机制;
(七)内部审计活动外包情况;
(八)内部审计报告及审计建议的整改落实情况;
(九)内部审计问责情况;
(十)其他事项。
第四十三条 银行业监督管理机构有权根据评估结果对商业银行内部审计工作提出监管意见,要求其限期整改并提交整改报告。内部审计有效性和整改情况应纳入公司治理和内部控制整体有效性评估和监管评级。
第八章 附 则
第四十四条 商业银行应在集团层面建立与其规模、风险偏好和复杂程度相适应的内部审计制度,确保内部审计覆盖集团全部业务和全部机构。董事会对集团内部审计的适当性和有效性承担最终责任。
银行集团的内部审计部门应明确集团对附属机构的审计监督机制,并根据审计权限对附属机构实施审计,指导附属机构内部审计机制建设和内部审计工作。
附属机构的内部审计部门应根据集团内部审计章程的有关规定,向银行集团总审计师或内部审计部门负责人报告附属机构的内部审计工作。
本指引所称银行集团是指在中华人民共和国境内依法设立的商业银行及其附属机构。附属机构包括但不限于境内外的其他商业银行、非银行金融机构及非金融机构。
第四十五条 农村中小金融机构审计委员会的多数成员原则上应为独立董事。村镇银行已设立监事会的可不设立审计委员会,由监事会履行审计委员会职责。村镇银行已设立审计委员会的,可由董事会聘请主发起行审计部门负责人兼任审计委员会委员。
村镇银行未设立内部审计部门的,应设置专门的内部审计岗位,并委托主发起行承担村镇银行的审计职能,确定对村镇银行的审计监督机制,有效实施审计活动。
第四十六条 商业银行应根据本指引制定实施细则,并报银行业监督管理机构备案。
第四十七条 银行业监督管理机构负责监管的其他金融机构参照执行本指引。
第四十八条 本指引自印发之日起施行,《银行业金融机构内部审计指引》(银监发〔2006〕51号)同时废止。
点击咨询 