英国金融监管局对交易所下达的内部控制和风险管理的指引
Financial Supervision Authority Guideline July,1999
目 录
1、 介绍 1
2、 内部控制与风险管理的定义 1
2.1 内部控制 1
2.2 风险管理 2
3、 内部控制和风险管理的责任 2
4、 内部控制的一般原则 3
5、 风险管理的相关原则 3
6、 交易所组织的相关原则 3
7、 会计和信息系统的相关原则 3
8、 IT系统的相关原则 4
9、 内部设计功能:任务与角色 4
9.1 内部审计的任务 4
9.2 内部审计的角色 5
1、 介绍
交易所的正常运转市场的稳定和运作十分关键。因此,金融监管局决定发行本交易所风险管理及内部控制其他方面的指引。
在本指引中,FSA对交易所关于风险管理与内部其他方面提出了最低要求。其基本原则是交易所所实施的风险管理和内部控制其他方面应该足够满足其业务的性质和范围的要求。
在所有业务都应实施充分的风险管理与内部控制其他方面。本指引所提出的要求与欧盟EU和EEA国家的金融监管当局所普遍接受的原则一致。
第2章定义内部控制和风险管理。定义描述了内部控制和风险管理的目标,但没有全面阐述这两个过程是如何组织的。第3章讨论了内部控制和风险管理的组织要求。第4章和第5章给出了内部控制和风险管理的一般原则。第6章讨论了风险管理和内部控制在交易所实施时的原则。第7章和第8章讨论了风险管理和内部控制的会计信息系统IT系统原则。第9章讨论了在托管中的内部控制和风险管理的任务和角色。
2、 内部控制与风险管理的定义
2.1 内部控制
内部控制的目标
1) 完成既定目标;
2) 节约有效地使用资源;
3) 有效地控制业务操作中的内生风险;
4) 财务和其他信息的有效和完整;
5) 遵守法律、规章、策略、计划和内部规章制度
根据定义,IC包括所有控制、财务和其他方面,由董事长、总经理与其他员工共同执行。
2.2 风险管理
风险管理是指对从业务中产生且与业务有实质性相关关系的风险的确认、评估、限制(仅对可以定量的风险)和控制。在交易所,风险管理是内部控制体系的一个部分。
风险管理应包括(但不限于):
信用风险(包括counterparty风险)
财务风险
操作风险
法律风险
战略风险
充分的风险管理应包括与交易所核心业务的持续发展有密切关系的风险领域。
3、 内部控制和风险管理的责任
交易所的董事会在定义和指导内部控制制度原则和程序时作用关键。
交易所的董事会负责风险承担原则,且应保证交易所的风险管理和内部控制体系满足其业务性质和范围的要求。董事会和总经理室负责保证内部控制覆盖了交易所的所有业务。
如果交易所属于一个大的集团,可能发生风险管理和内部控制的一些任务的责任超越了董事会和总经理的职权范围的情况。但无论如何,董事长和总经理对交易所的风险管理和内部控制总是负有第一的责任。
交易所的董事长和总经理尤其应该:
1) 决定交易所的组织结构,保证权利和责任的适当分配,保证风险管理和内部控制覆盖交易所的所有业务,且与在不同业务中内生的风险相当。
2) 在每一个业务领域确定定性和定量的目标,知道其实施;
3) 通过交易所的风险承担原则。确定风险限制政策和对该等政策的遵守情况实施监督;
4) 保证所有员工有必需的技巧,能胜任其工作,能获取完成任务的信息;
5) 保证关键业务的就此以文本方式记录;
6) 保证交易所维持足够作决策和业务评价的信息和会计系统;
7) 保证交易所位置IT系统的正常运作,保证其组织方式恰当,能够满足业务发展的需要;
8) 保证交易所的员工不参与和自身的投资或与其有密切关系的个人的投资业务有关系的决策;
9) 保证内部审计部门组织合理,运作方式得当;
10) 保证董事长和总经理能及时得知内部审计部门和审计师获得的最新重要发现;
11) 保证内部审计组织可以支持风险管理目标的实现;
12) 保证交易所具有与风险承担部门或者活力部门相独立的风险管理功能;
13) 定期复核内部控制和风险管理的充足性,且当a)业务扩展到新领域;b)新产品引入;c)运作环境将发生或者已经发生实质性变化;d)业务重组时应该及时复核内部控制和风险管理的充足性。
14) 建立在发现内部控制效率低下或者内部控制失败后的修订程序。
4、 内部控制的一般原则
下列原则对所有内部控制方面适用:
1) 内部控制必需推动一种将内部控制视为业务的一个正常的、必需的元素的企业文化。
2) 内部控制必需覆盖交易所的所有业务。该控制必需与不同业务的内生风险相称。对新产品、新业务和跨部门业务的应予以高度重视;
3) 交易所应注意集团内其他单位也采用相当的内部控制制度(如结算公司);
4) 如交易所从集团内其他单位购买服务,因使得其不导致交易所的内部控制质量下降。
5) 内部控制必须包括风险管理系统,后者可以确认、评估和控制所有与业务相关的风险。
6) 内部控制必须阻止欺诈、盗用公物等其他违规行为。
7) 交易所必需保证对其关键业务(包括内部控制)有及时更新的业务指引;
8) 内部控制必须包括意外事故计划来保证在灾难事件中,可以使得交易所维持持续运作的系统。意外事故计划应做多次测试,以保证它们在需要时可以启动起来。
5、 风险管理的相关原则
1) 对可以定量的风险设置操作层面的限制,对不可定量的风险确定固定的处理程序,且以文本方式记录;
2) 风险管理系统包括开展新业务的决策程序,参与的所有个人情况应予以记录,包括他们的责任范围、与新业务相关的风险、新业务风险管理的程序实施;
3) 对风险限制和相关程序的遵守情况应该具有持续性基础。如果操作限制或者风险管理程序没有照办,应立即报告,对之评估,对违规行为应建立清楚的后续程序;
4) 风险管理限制和程序应定期复核,使之能顺应时刻变化的业务模式和当前市场情况。
6、 交易所组织的相关原则
1) 交易所的组织必须与业务操作和内在风险一致,建立组织形势应遵守以下原则;
2) 建立有效的责任分配,以改进控制、限制舞弊和误差风险。
3) 组织形式必须能保证充分竞争,允许人员职位可以更替。管理层必须进一步确认任何作为后继的职员确实有能力完成任务。
4) 每一业务过程必须包括其自身的控制程序以保证所有行为是通过正当授权的和实施的,并有记录。
5) 对资产和保密信息的接触应限于被授权的人员,与个人工作描述和责任范围一致。
7、 会计和信息系统的相关原则
会计信息系统应提供内部决策,内部控制和外部目的所需要的交易记录和相关信息流。系统所提供的信息应给出一个所有交易业务动作的公正的观察结果。为保证有效的会计和信息系统,应注意以下的原则:
1) 每一交易在准确定时间以足够细节迅速和准确地记录。审计跟踪应完整,从原始文件开始;
2) 管理层与其他人员有足够途径获得足够信息,以快速完成其职责;
3) 信息在合适当时间传给监管者,没有延迟;
4) 对用于外部的信息(年报、向上的报告)应与相关状况和规则一致。
8、 IT系统的相关原则
交易所应有必要的专家、组织与内部控制,以维持、处理电子形式的信息。这些原则也适用于数据以分散形式处理时(如IT部门之外的业务部门人员处理的数据)。交易所应进一步保证提供IT系统和服务的供应商也应采用类似原则。
1) IT战略和预算通过董事会的赞成,与交易所的现在和未来的预期需求一致,以保证技术环境的完整性和支持;
2) 应定义IT活动的不同方面的政策、标准、程序和控制,促进不同业务单元和IT服务的内部供应商的合作。操作模型、标准、程序和控制应作为IT活动的管理计划、控制和评估的基础。
3) 用户操作和技术操作应该分开。IT部门应该对计算机系统的开发和操作负责;用户应该对输入的数据的正确性和精确性负责。
4) 还应该有进一步的系统开发和计算机操作责任的分工,以使得执行任何一个方面任务的个人只能获得受控制的标准程序获得另一个方面的信息。负责信息系统实施、维护、授权和撤回获取通道、数据库管理等责任的人员也应该分开;
5) 内部审计部门应该有能力评估IT内部控制的充分性和有效性;
6) IT部门应该实施和提供系统开发和质量保证程序的持续的支持,以保证系统执行设计时既定的功能,同时也检查标准化的文件的产出,以支持现有用户和未来的开发任务;
7) 应该确定在获得获批准软件和硬件、从独立供应商获得服务时应该服从的程序。应该有进一步的方法来评估所获得到硬件和软件以及按照合同定下的服务与交易所的需求以及已确定的标准相称,且拥有持续的技术支持;
8) 信息系统应该包括拥有完全的跟踪能力的控制和侦查违规行为能力,以保证数据输入和输出的合法性和正确性,且确定输入数据和获得数据的个人确实经过授权。在干扰事件中,应该可以完全还原过程,不损失任何事务记录,以保证完整的审计跟踪;
9) 对获取数据和软件应予授权,系统管理员也应给予授权,以与管理层的既定原则一致。通过多种技术方法(如用户ID,口令),获取数据和程序的使用权应知给予通过授权的个人。对于跟踪和处理那些未经授权的获取数据的尝试行为的系统应该到位。
10) 由于火灾、洪灾、停电造成的数据获得的中断和丧失风险应该通过合理的物理保障手段降低到最小。对于网络、设备和敏感材料(存储中介、文件等)的访问只能限制于获得授权的个人。
11)保证的关键操作在任何环境下的连续性的计划应该到位。在意外的干扰事件中和停工期中,因有可能在允许的时间内重新开始业务的正常运作。这样的连续性计划应该定期更新和测试。
9、 内部设计功能:任务与角色
9.1 内部审计的任务
内部审计功能是指在组织内的一群独立专家,一般直接接受总经理的领导。这群专家的任务是分析组织的操作流程,并基于发现给出建议或声明。考虑到交易所对市场的重要性,内部审计功能必须发挥有效的作用。如果内部审计直接对集团领导报告,交易所的董事长和总经理必须保证交易所的内部审计具有足够能力开展本指引所指定的任务和完成本指引所确定的目标。
交易所的领导必须确定内部审计的任务、权威、责任以及在审计计划和结果报告中所应注意的一般原则。
一般认为,内部审计的目标和任务包括以下内容:
1) 对内部控制的范围,充分性,有效性和效率进行日常评价,包括对管理层批准的政策程序遵守情况的监管;
2) 对风险管理系统操作的控制和复核;
3) 对会计系统、计算机系统和其他系统的可靠性和完备性的评估,这些系统与财务数据和操作数据的测度、分类和报告有关;
4) 对相关内部控制的处理和操作的正确性和合法性测试。
考虑到内部控制的重要性,交易所的管理层应该保证以下的任务完成:
9.2 内部审计的角色
内部审计功能应该应用以下一般原则:
1) 与其他被审计的部门独立;
2) 不受任何限制,可以获得所有业务流程的资料,以保证审计可以覆盖交易所活动的所有方面;
3) 内部审计人员必须拥有足够的资格和经验。内部审计部门拥有足够的能力范围以与交易所的规模和活动一致;
4) 立足于组织内部,以保证管理层对审计报告和意见进行恰当的处理。