证券公司内部控制指引

第十节　信息系统内部控制

　　第一百一十四条　证券公司应建立信息系统的管理制度、操作流程、岗位手册和风险控制制度，加强信息技术人员、设备、软件、数据、机房安全、病毒防范、防黑客攻击、技术资料、操作安全、事故防范与处理、系统网络等的管理。

　　第一百一十五条　证券公司应设立专门的信息技术部门，统一归口管理信息技术工作，加强对立项、设计、开发、测试、运行与维护等环节的管理，并定期对信息系统的可靠性和安全性进行检查。

　　证券公司信息系统的立项审批与开发、运行与维护、开发测试与日常运转之间应适当分离。

　　第一百一十六条　证券公司应严格系统进入控制以及信息系统的权限、密码管理，权限的审批、设置、变动以及密码的使用、修改应有严格的控制措施并保留完备的记录。

　　用户权限设置应当遵循权限最小化原则。

　　第一百一十七条　证券公司应保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能。

　　证券公司信息系统日志应至少保存15年。

　　第一百一十八条　证券公司应建立可靠完备的灾难备份计划和应急处理机制；数据和重要资料做到异地备份，条件允许应建设异地计算机灾难备份中心；制定详细的信息系统安全应急方案并定期修订、演练。

　　第一百一十九条　证券公司应建立系统安全和病毒防范制度，实时监控信息系统的安全，严防黑客或病毒入侵系统。

　　第一百二十条　证券公司与交易结算相关的技术系统应符合中国证监会、证券交易所及登记结算公司相关技术规范的要求。

第十一节　人力资源管理内部控制

　　第一百二十一条　证券公司应当高度重视聘用人员的诚信记录，确保其具有与业务岗位要求相适应的专业能力和道德水准。

　　证券公司应当要求聘用人员以恰当形式进行诚信承诺。

　　第一百二十二条　证券公司应建立职能管理部门和派出人员的工作联络机制，强化对分支机构负责人及电脑、财务等关键岗位人员的垂直管理。

　　第一百二十三条　证券公司关键岗位人员应当实行定期或不定期的轮换和强制休假制度。

　　第一百二十四条　证券公司关键岗位人员任期届满、工作调动或离职，应当进行任期经济责任审计及专项审计。证券公司对高级管理人员、分支机构负责人的相关稽核审计报告应当向中国证监会及派出机构备案。

　　第一百二十五条　证券公司应当培育良好的内部控制文化，建立健全员工持续教育制度，加强对员工的法规及业务培训，确保所有从业人员及时获得充分的法律法规、内部控制和行为规范的最新文件和资料，确保员工书面承诺收到相关资料并理解其内容。

　　第一百二十六条　证券公司应当加强业务人员的从业资格管理，上岗人员应当符合相关资格管理的规定。

　　第一百二十七条　证券公司应当建立合理有效的激励约束机制，建立严格的责任追究制度。

　　证券公司对员工的绩效考核、评价制度应当达到鼓励员工守法经营的目的。

　　第一百二十八条　证券公司应当制定严谨、公开、合理的人事选拔制度，任免程序中应明确规定任免决定权的归属。人事任免应有完备的决策记录。

　　第一百二十九条　证券公司应建立高级管理人员、分支机构负责人及其他关键岗位人员的年度述职报告及定期谈话制度。

　　第一百三十条　证券公司应加强对高级管理人员、分支机构负责人及其他关键岗位人员的档案（包括外事档案）管理。

　　第一百三十一条　证券公司高级管理人员离职，证券公司应当向中国证监会及注册地派出机构和主要办事机构在地派出机构及时报告，并对离职原因作出说明。

　　分支机构负责人及其他关键岗位人员离职，证券公司应当向主要办事机构所在地中国证监会派出机构及时报告，并对离职原因作出说明。

第四章　监督、检查与评价

　　第一百三十二条　证券公司业务部门和分支机构的负责人负责对其业务范围内的具体作业程序和风险控制措施进行自我检查和评价，并接受证券公司上级管理部门和监督检查部门的业务检查和指导。

　　直接从事业务经营活动的业务部门和分支机构的相关人员有义务向证券公司报告内部控制的缺陷并及时加以纠正；相关人员应对违反职责范围内的内部控制导致的风险和损失承担首要责任。

　　第一百三十三条　证券公司应设立监督检查部门或岗位，独立履行合规检查、财务稽核、业务稽核、风险控制等监督检查职能；负责提出内部控制缺陷的改进建议并敦促有关责任单位及时改进。

　　监督检查部门对证券公司董事会负责，并应同时向经理人员和监事会报告证券公司内部控制的建设与执行情况。

　　第一百三十四条　证券公司应有高级管理人员专门负责证券公司内部控制的监督、检查与评价工作。该高级管理人员和监督检查部门负责人可列席证券公司任何会议。

　　证券公司负责监督检查部门的高级管理人员不得兼管业务部门。

　　第一百三十五条　证券公司应当为监督检查部门配备足够的具有法律、财会、计算机以及相关业务技能、经验的专业人员，确保监督检查部门的人员具有专业胜任能力，并为监督检查部门及人员履行职责提供必要的条件。

　　证券公司监督检查部门人员名单应向证券公司注册地的中国证监会派出机构备案。

　　第一百三十六条　证券公司监督检查部门应加强对内部控制执行情况的现场检查、非现场检查和常规稽核、非常规稽核，并将检查结果报证券公司注册地中国证监会派出机构。

　　证券公司监督检查部门应当对监督检查不力、发现问题隐瞒不报等承担相应责任。

　　第一百三十七条　证券公司所有部门和人员应当积极配合监督检查部门的工作，对拒绝、阻挠监督检查部门工作和打击、报复、陷害监督检查人员的行为应严肃处理。

　　第一百三十八条　证券公司应积极配合中国证监会及外部审计机构对证券公司内部控制情况的检查和评价，不得以任何形式干预、阻挠。

　　第一百三十九条　证券公司应明确董事会、监事会、经理人员的内部控制职责。

　　（一）董事会负责督促、检查和评价证券公司各项内部控制制度的建立与执行情况，对内部控制的有效性负最终责任；每年至少进行一次全面的内部控制检查评价工作，并形成相应的专门报告。

　　董事会应对中国证监会、外部审计机构和证券公司监督检查部门等对证券公司内部控制提出的问题和建议认真研究并督促落实。

　　（二）监事会应对董事会、经理人员履行职责的情况进行监督，对证券公司财务情况和内部控制建设及执行情况实施必要的检查，督促董事会、经理人员及时纠正内部控制缺陷，并对督促检查不力等情况承担相应责任。

　　（三）证券公司经理人员负责建立健全责任明确、程序清晰的组织结构，组织实施各类风险的识别与评估，建立健全有效的内部控制机制和内部控制制度，及时纠正内部控制存在的缺陷和问题，并对内部控制不力及不及时纠正内部控制缺陷等承担相应责任。

　　第一百四十条　证券公司应当建立健全内部控制缺陷的纠正与处理机制，应根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，督促业务主管部门和分支机构落实，并对落实情况进行跟踪检查。

第五章　附则

　　第一百四十一条　本指引适用于在中华人民共和国境内依法设立的证券公司。

　　第一百四十二条　本指引由中国证监会负责解释。