第一章 总则
第二章 组织机构及管理
第三章 稽核内容
第四章 稽核程序
第五章 附则
第一条 为防范和化解银行业务日益电子化所产生的风险,促进银行业务的安全运行和稳健发展,加强电脑稽核工作系统化、规范化建设,特制定本办法。
第二条 本办法所称电脑稽核是指对银行电子化应用管理及银行电子化应用系统进行的稽核。
第三条 电脑稽核的任务是通过对电脑系统的运作环境及业务处理流程内部控制的充分性、有效性及系统运作效率进行独立、客观的检查、分析和评估,向管理层及 被稽核单位提供报告及建议,以协助其及时改进,加强管理,防范风险。
第四条 电脑稽核的依据是国务院各部门有关金融、审计、信息科技、信息安全等方面的法规、条例和规定;中国银行有关内部稽核、信息科技、信息安全等方面的条例、办法和规定;中国银行各部门制订的业务操作规程;中国银行稽核部门制订的各项规章制度。
第五条 稽核人员在从事电脑稽核工作时,应当客观公正,实事求是,廉洁奉公,保守秘密。
第六条 电脑稽核人员应具备与其从事工作相当的电脑知识、业务知识和专业技能,并要不断地学习专业技术知识,以保持和提高执业水平。
第七条 电脑稽核是一项专业性很强的工作,各级行应为电脑稽核人员提供充分的培训机会,以保证其知识和技能能够与业务发展、更新同步,适应稽核工作的需要。
第八条 总行稽核部设立电脑稽核处,在总行稽核部的具体领导下,负责全行电脑稽核工作的开展及管理。各级分行要配备专职稽核人员,专司辖属电脑稽核工作,有条件的分行应设立电脑稽核科。
第九条 各级稽核部门负责对本级和辖属机构的电脑系统运作及管理情况进行稽核监督。
第十条 根据需要,总行有权对全行任何分支机构进行电脑稽核,也可以授权分行对其他分行进行电脑稽核。
第十一条 上级行有权调配使用下级行电脑稽核人员。
第十二条 分行应及时向总行稽核部报告辖内有关电子化业务的欺诈、舞弊、事故及电脑案件等重大事项。
第十三条 检查和评估电脑中心及银行电子化业务系统应用部门内部管理和控制制度的健全性、有效性和执行情况。
第十四条 检查和评估电脑中心及电脑系统生产安全控制及其物理环境和保安的足够性、有效性和执行情况。
第十五条 检查和评估电脑业务系统应急计划的有效性和可靠性。
第十六条 对应用系统进行稽核,内容包括:
一、检查、监督和评估应用系统开发工作是否标准、规范;
二、检查和评估应用系统开发和维护的控制以及应用系统内部各业务环节管理和控制是否足够和有效;
三、检查和评估应用系统的使用情况以及应用系统功能是否达到用户要求及保留适当的稽核线索;
四、抽测应用系统的敏感功能、特殊控制和重要计算的正确性,评估系统的安全程度。
第十七条 对涉及银行电子化应用系统开发、应用、管理的重大事故及案件进行专项稽核。
第十八条 电脑稽核程序包括稽核准备、稽核实施、稽核报告和稽核后续四个阶段。
第十九条 电脑稽核工作是内部稽核的一部分,在稽核的各阶段,必须参照一般内部稽核的原则和遵循“中国银行现场稽核规程”,结合电脑稽核的特性作通盘考虑。
第二十条 稽核准备
一、确定本次稽核的对象、目的;
二、了解被稽核单位当前情况:
(一)研究内外部审计机构对被稽核单位的历次稽核报告、被稽核单位的管理报告和财务报表等资料;
(二)获得最新信息,如系统/硬件/软件、产品等;
(三)确定自上次稽核之后环境发生的改变;
(四)确定本次稽核要关注的地方。
三、确定稽核范围、内容、期限及稽核组人选;
四、获得完成本次稽核所需要的技术能力。
第二十一条 稽核实施
电脑人员实施现场稽核时,应按以下步骤进行:
一、向被稽核单位提示稽核范围;
二、列出稽核人员需检查的文件和记录清单(如操作说明、系统文件、流程图、程序清单、测试记录、问题记录、会议记录、相关的账务资料等),以便被检查单位适时提供;
三、列出所要访问的部门和人员名单;
四、与被稽核单位主管作初步沟通;
五、依据工作分配表执行现场稽核。
第二十二条 稽核报告
撰写稽核报告分为起草、征求被稽核单位意见、定稿三个步骤。稽核报告定稿后,呈送派出单位(部门)审批后,发送被稽核单位。
第二十三条 稽核后续
稽核报告发送及归档后,稽核人员应定期对被稽核单位整改的情况进行后续稽核。
被稽核单位应向上级主管单位提出对稽核报告的书面答复,若有重大的改进及定期检讨,应主动知会稽核单位。
第二十四条 各级行稽核部门应建立电脑稽核的完整档案,将历次稽核情况、整改情况、科技部门及相关业务系统的基本情况等立专卷归档。
第二十五条 各省、自治区、直辖市分行,可根据本办法结合本行实际制定实施细则,并报总行稽核部备案。
第二十六条 关于海外分行电脑稽核工作的规定由总行另行制定。
第二十七条 本办法由总行稽核部负责解释及修订。
第二十八条 本办法自发布之日起实施。
中国银行