第一百二十六条 商业银行的网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。
日志应当能够满足各类内部和外部审计的需要。
第一百二十七条 商业银行应当严格管理各类数据信息,数据的操作、数据备份介质的存放、转移和销毁等均应当有严格的管理制度。
第一百二十八条 商业银行运用计算机处理业务,应当具有可复核性和可追溯性,并为有关的审计或检查留有接口。
第一百二十九条 商业银行的电子银行服务应当具备客户身份识别、安全认证等功能,防止发生泄密事件,确保交易安全。
第一百三十条 商业银行应当尽可能利用计算机信息系统的系统设定,防范各种操作风险和违法犯罪行为。
第一百三十一条 商业银行应当建立计算机安全应急系统,制定详细的应急方案,并定期进行修订和演练。
数据备份应当做到异地存放,应当建立异地计算机灾难备份中心。
第九章 内部控制的监督与纠正
第一百三十二条 商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。
内部控制的建设、执行部门负责设计内部控制体系,组织、督促各业务部门、分支机构建立和健全内部控制。
内部控制的监督、评价部门负责组织检查、评价内部控制的健全性和有效性,督促管理层纠正内部控制存在的问题。
第一百三十三条 商业银行应当建立内部控制的报告和信息反馈制度,业务部门、内部审计部门和其他控制人员发现内部控制的隐患和缺陷,应当及时向董事会、管理层或相关部门报告。
第一百三十四条 商业银行内部控制的监督、评价部门应当对内部控制的制度建设和执行情况定期进行检查评价,提出改进建议,对违反规定的机构和人员提出处理意见。
第一百三十五条 商业银行上级机构应当根据自身掌握的内部控制信息,对下级机构的内部控制状况定期做出评价,并将评价结果作为经营绩效考核的重要依据。
第一百三十六条 商业银行应当建立内部控制问题和缺陷的处理纠正机制,管理层应当根据内部控制的检查情况和评价结果,提出整改意见和纠正措施,并督促业务部门和分支机构落实。
第一百三十七条 商业银行应当建立内部控制的风险责任制:
(一)董事会、高级管理层应当对内部控制的有效性负责,并对内部控制失效造成的重大损失承担责任。
(二)内部审计部门应当对未执行审计方案、程序和方法导致重大问题未能被发现,对审计发现隐瞒不报或者未如实反映,审计结论与事实严重不符,对审计发现问题查处整改工作跟踪不力等行为,承担相应的责任。
(三)业务部门和分支机构应当及时纠正内部控制存在的问题,并对出现的风险和损失承担相应的责任。
(四)高级管理层应当对违反内部控制的人员,依据法律规定、内部管理制度追究责任和予以处分,并承担处理不力的责任。
第十章 附则
第一百三十八条 本指引第三章至第八章未作具体规定的商业银行其他业务或环节,应当按照本指引的要求建立和完善内部控制。
第一百三十九条 本指引适用于在中华人民共和国境内依法设立的商业银行。
政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、农村资金互助社、金融资产管理公司、邮政储蓄机构、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他金融机构参照执行。
第一百四十条 中国银监会及其派出机构依据本指引及《商业银行内部控制评价试行办法》对商业银行做出的内部控制评价结果是商业银行风险评估的重要内容,也是中国银监会及其派出机构进行市场准入管理的重要依据。
第一百四十一条 本指引由中国银监会负责解释。
