证券公司网上证券信息系统技术指引(征求意见稿)

证券公司网上证券信息系统技术指引

（征求意见稿）

第一章总则

第一条为保障网上证券信息系统的安全、可靠、高效运行，促进证券公司网上开展的证券业务健康有序发展，保护投资者的合法权益，依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等国家相关法律法规，以及《证券期货业信息安全保障管理办法》等行业相关制度规范，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的证券公司，以及为证券公司提供网上证券服务的第三方机构。

第三条证券公司网上证券信息系统是证券公司通过开放性网络，如互联网、移动通信网络、其它开放性公众网络或开放性专用网络基础设施等，向其客户提供金融业务和服务的信息系统，包括服务端和客户端的相关网络设备、计算机设备、软件、数据以及专用通讯线路等。

第四条证券公司利用网上证券信息系统开展证券业务应当

遵循如下基本原则：

（一）安全性原则：网上证券信息系统的建设应当建立风险防范意识，保证在网上开展证券业务的安全性。通过技术措施和管理手段，实现信息的保密性、完整性和服务可用性。

（二）系统性原则：网上证券信息系统的安全建设应当覆盖安全保障体系的各个方面，包括：安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。

（三）可用性原则：网上证券信息系统的建设应当在保障安全的原则下，确保在网上开展的证券业务的连续性和可靠性。

第五条中国证券业协会对证券公司执行本指引的情况实施自律管理。

第二章基本要求

第六条证券公司对网上证券信息系统应当统一规划、集中管理，保证在网上开展证券业务安全、有序发展。

第七条证券公司应当根据国家相关法律法规，行业信息安

全各项管理制度、信息系统安全等级保护要求和规定、运维管理规范、信息系统备份能力标准、以及监管机关的相关实施指导意见，做好网上证券信息系统的信息安全管理、运维管理和备份能力建设等工作。

第八条证券公司应当将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围，建立健全网上证券风险控制管理体系。

第九条证券公司应当将网上开展证券业务的审计纳入公司的审计工作范围。

第十条证券公司对网上证券开发商、服务商等合作方，应当评估并约束其提供的技术产品和技术服务符合本指引规定的相关要求。

第十一条证券公司应当按照国家主管部门的有关规定办理网上证券相关系统的备案，并提供备案信息的查询途径。

第十二条证券公司应当使用统一的与互联网业务服务相关的服务电话、域名、短信号码、其它互联网公共平台等，并通过多种渠道正式向投资者发布。

第十三条证券公司通过网上证券信息系统向客户提供证

券交易的行情信息，应当提示行情来源、行情站点名称等信息；如向客户提供资讯信息，应当说明信息来源。

第十四条证券公司应当采用多种技术手段加强网上证券信息系统敏感数据的保护，保障相关信息资产不被泄漏，包括但不限于：敏感数据在开放性网络应当加密传输、敏感数据不应当储存于互联网接入域或外联接入域；防止存储敏感数据的数据库被非授权访问；对口令和密钥等敏感数据进行加密传输；用户身份认证信息应当在后台服务器上加密存放，其中用户口令应当尽量使用不可逆加密算法进行处理等。

“敏感数据”指影响网上证券信息系统安全和客户信息安全的数据，包括但不限于：口令、密钥，以及客户身份信息、联系方式、交易数据、资产数据、支付或转账数据、包含以上数据的客户日志，以及其它若发生泄露可能损害客户合法权益的数据。

第十五条证券公司涉及交易服务、实时行情的网上证券信息系统应当在两个以上的物理地点部署，并具备2个或2个以上不同运营商的互联网接入，互为备份，避免单点故障和性能瓶颈，确保网上证券信息系统的业务连续性。

第三章网上证券客户端

第十六条网上证券客户端是指为网上证券客户提供人机交互功能的应用程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等。客户端包括：专用客户端、通用浏览器等。

第十七条网上证券信息系统客户端用户登录功能应当提供图形验证码、强制随机排序图形键盘、安全的口令输入安全控件等两种或两种以上安全方式，防范不法分子利用木马等黑客程序窃取客户账号和口令信息，进行损害投资者利益的非法活动。

第十八条网上证券信息系统客户端的客户身份认证信息和交易、支付数据等数据传输应当采用国家信息安全机构认可的加密技术和加密强度，并最低达到等同SSL协议128位的加密强度。

第十九条网上证券敏感数据信息系统客户端应当能向客户提示最近一次登录的日期、时间、地址等信息；并建议制定提醒策略，对在一个以上客户端同时登录、以及其它符合提醒策略的客户登录情况进行实时提醒。

第二十条网上证券敏感数据信息系统的客户端应当能提

供在指定的闲置时间间隔到期后、自动锁定或退出客户端的功能使用。

“网上证券敏感数据信息系统”指在信息交互或信息储存中涉及敏感数据的网上证券信息系统。

第二十一条网上证券专用客户端应当采取对服务端的身份或证书进行校验等手段，具有唯一连接到本证券公司网上证券接入系统的保障机制；网上证券专用客户端应当提供足够的识别信息，以使网上证券服务端能够对发出连接请求的客户端与证券公司所提供下载的程序进行一致性验证。

第二十二条网上证券专用客户端应用程序的新版本升级策略应当具备提醒升级、强制升级等功能，并可由证券公司在服务端进行升级策略的控制。

第二十三条网上证券敏感数据信息系统、以及实时行情系统的专用客户端应当具备反调试和反逆向机制。

第二十四条当客户访问网上证券服务端时，未经客户许可，不得以任何方式在客户端系统中安装插件，安装后同时须允许客户卸载。

第二十五条网上证券客户端在本地终端储存客户账户、

交易数据、支付数据等敏感数据信息，应当提示客户，经客户确认后以加密方式存储。

第四章网上证券服务端

第二十六条网上证券服务端是指网上证券信息系统中提供客户接入和接入后业务和服务处理的证券公司的信息系统，包括开放性网络的接入以及接入后的网络通信、身份认证、应用服务、安全防护与监控、后台技术隔离等系统。

第二十七条证券公司网上证券含敏感数据的服务端应当部署在中华人民共和国境内，满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。部署网上证券含敏感数据的服务端的有形场所，应当符合国家安全标准的有关要求。

第二十八条网上证券服务端信息系统中如有采用公有云或其它第三方平台或系统等部署方式，证券公司应当与服务提供商或第三方约定服务级别、明确相关平台和系统符合国家安全标准和本指引安全技术要求，且不得保存用户敏感信息；如采用外包服务方式向客户直接提供行情或资讯信息服务，应当同时要求

服务商保证信息的准确性和发布过程的合法性。相关标准和要求应当签署正式协议，包括但不限于：保密协议、服务级别协议、安全标准和规范协议等。

第二十九条证券公司应当对网上证券服务端信息系统的各个子系统合理划分安全域，在不同安全域之间进行有效的隔离，保障网上证券信息系统的接入系统与后台系统在技术上进行有效隔离，后台系统应当与行情、资讯处理系统进行网络隔离，并应当部署在证券公司可控的物理安全域内。

第三十条证券公司应当提供可靠的用户身份认证机制，支持网上证券客户端采用多种认证方式与服务端进行身份认证。对于提供证券交易、第三方支付、或敏感数据修改等服务功能的网上证券系统，除输入账户名、口令、图形验证码的身份认证方式之外，还应当向客户提供一种或一种以上强度更高的身份认证方式，如，客户端设备特征码绑定、软硬件证书、动态口令等认证方式，确认网上证券客户的身份和登录的合法性，防止非法接入。

第三十一条网上证券服务端应当具备可靠的访问控制和权限管理机制，防止客户的授权被恶意提升或转授，防止客户使用未经授权的功能，防止客户访问未经授权的数据。

第三十二条网上证券敏感数据信息系统应当采用通过国家信息安全机构安全性测评的认证授权加密体系，具备足够的强度和抗攻击能力，并根据在网上开展证券业务的安全性需要和信息技术的发展，定期检查、评估和及时调整。

第三十三条网上证券信息系统未经证券公司授权不得与第三方进行任何形式的敏感数据交换，并具备经过认证后仅向授权的第三方指定地址发送信息的功能，数据交换应当加密传输或使用可靠通道。

第三十四条证券公司应当保证网上证券敏感数据传输的保密性、完整性、真实性和可稽核性，对敏感数据应当进行可靠的加密，加解密应当在投资者与证券公司实际控制的系统中进行，不得存在任何中间环节对数据进行加解密。

第三十五条网上证券服务端应当防止用户使用简单口令，应当能够抵御连续猜测等对客户账户恶意攻击行为。用户遗忘网上证券信息系统登录口令时，证券公司应当采用安全可靠的方式进行口令重置，禁止将原来的口令发送给用户。

第三十六条网上证券服务端应当能监控攻击者通过群体大规模对合法证券账户进行非法用户登陆的请求，建立对应当的

应当急处理机制，防范大量用户账户被异常锁定、正常用户无法登陆。

第三十七条网上证券服务端应当能向客户提供可证明服务端自身身份的信息，以帮助客户能查验所使用服务的真实性，识别仿冒的网上证券信息系统，防范不法分子利用仿冒的网上证券信息系统进行诈骗活动或盗取用户账号、口令等信息，包括但不限于：提供预留验证信息服务并在客户登录时向客户显示预留的验证信息等措施。

第三十八条网上证券服务端应当能够有效屏蔽系统技术错误信息，不将系统产生的运行环境、开发环境等错误信息直接反馈给客户。

第三十九条网上证券服务端应当能够提供系统运行健康状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。

第四十条网上证券服务端应当具备防范SQL注入式攻击、跨站脚本攻击、缓冲区溢出等攻击的能力。

第四十一条网上证券敏感数据信息系统服务端应当对不完整、被篡改、重发的数据包进行监控，对暴力破解、异常登录

等异常行为进行跟踪、监控，记录其账号、IP地址等相关信息，并通过有效的即时通信方式及时提示客户，必要时对异常接入进行限制或对客户账户进行临时锁定。监控和处置情况应当形成记录备查。

第四十二条网上证券敏感数据信息系统服务端应当能在指定的闲置时间间隔到期后，自动中止用户对系统的访问权。

第四十三条网上证券敏感数据信息系统服务端应当产生、记录并集中存储必要的日志信息，其中应当包含在可行的技术条件下能识别服务请求方身份的信息，包括登录终端的IP地址、计算机终端信息（如MAC地址、硬盘序列号、CPU序列号等）、注册手机号码、移动终端特征码、网上证券应用软件信息等，并确保数据的可审计性，满足监管部门现场检查要求及司法机构调查取证的要求。

第四十四条证券公司应当在门户网站部署防篡改系统，当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时，能自动告警或自动恢复，防止被捆绑木马程序。

第四十五条证券公司应当建立对通过互联网渠道进行服务端内容发布的审核、管理和监控机制；应当对网站等网页内容

进行监控，对有害信息进行过滤，防止网站出现不良信息。

第四十六条证券公司应当对网上证券服务端信息系统的软件资产信息进行维护，并通过可靠的渠道及时获知相关软件的漏洞信息，及时采取安全措施进行改进。软件资产至少包括商用或开源的：操作系统、中间件、数据库、WEB框架等。

第四十七条证券公司应当制定并及时更新网上证券服务端信息系统范围内的服务器、中间件、操作系统、数据库等安全配置基线，新系统在符合安全基线后方可上线，系统运行过程中应当监控违反安全基线的异常情况。

第五章开发和实施管理

第四十八条证券公司网上证券应用系统的开发，应当从应用系统需求分析、设计、代码编写、测试、上线运行等全生命周期角度开展应用安全设计和实施。

第四十九条在需求分析与设计阶段，应当充分分析相关业务功能所面临的安全威胁和必需的安全功能，使安全功能设计成为整体功能设计的组成部分。

第五十条证券公司应当制定应用开发安全规范，开发人员在开发过程中应当严格遵循应用开发安全规范。

第五十一条网上证券信息系统在上线或重大变更前，应当进行安全测试、评估和检查，如渗透测试、模糊测试和代码审计等，安全测试团队应当独立于开发团队和实施团队。

第五十二条对于外包定制的网上证券信息系统，证券公司应当与软件开发商签署服务协议和保密协议，明确客户端、服务端以及数据传输过程均无后门，明确软件开发商应用软件中使用的插件具备合法版权，以确保客户数据、交易资料不被泄漏，保障证券公司的权益。

第六章安全和运维管理

第五十三条证券公司应当按以下标准确定网上证券信息系统的安全等级，并根据行业信息安全等级保护要求和规定，开展相应的信息安全等级保护工作：

（一）具有证券交易、第三方支付、或敏感数据修改等业务功能，且用户规模在50万或50万以上的信息系统定为三级；

用户规模在50万以下的定为二级；

（二）其它网上证券敏感数据信息系统，以及实时行情系统、门户网站系统定为二级。

第五十四条客户使用的网上证券敏感数据信息系统的专用客户端软件应当由证券公司管理和授权发布，证券公司应当对其授权第三方发布的客户端软件进行审核、监管。

第五十五条证券公司应当采取有效措施对门户网站上提供下载的网上证券客户端软件程序进行保护，客户端软件程序编译封装、形成下载文件后，应当安排专人对其进行严格的病毒扫描和木马检查，并通过专用安全手段传输至网站文件下载服务器。

第五十六条证券公司应当公告客户端发布的合法渠道，对计算机类专用客户端的发布提供md5等方式的校验、对移动类专用客户端的发布渠道以及软件合法性进行定期监控，发现异常及时处置。

第五十七条证券公司制定的安全措施，应当定期检查、测试，并根据实际情况及时调整，保证安全措施的持续有效。

第五十八条证券公司应当建立定期的网上证券信息系统

安全风险评估机制和整改的工作制度，及时发现SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞，并进行改进和完善。风险评估应当通过内部评估与外部评估相结合的方式进行。

第五十九条安全风险评估应当包括漏洞扫描、攻击测试、病毒扫描、木马检测等，针对不同的威胁设置相应的检查频率。

第六十条证券公司应当严格限制人工对数据库操作的账户权限，并应当分别使用不同权限的账户执行查询、插入、更新、删除等操作。

第六十一条证券公司应当根据行业制度和规范要求、结合自身实际情况制定网上证券信息系统的数据备份计划并落实执行。备份的数据应当包括：系统程序、配置参数、系统日志、安全审计数据、门户网站信息、客户数据等。

第六十二条证券公司应当保障网上证券信息系统运营设施、设备以及安全控制设施、设备的安全。对重要设施、设备的接触、检查、维修和应急处理，应当有明确的权限规定、责任划分和操作流程，并建立日志文件管理制度，如实记录并妥善保管相关记录。

第六十三条证券公司应当定期评估可供客户使用的网上证券信息系统的资源状况，并根据实时监控信息、可预见的业务发展需求进行容量的需求预测，确保有充足的处理能力、存储容量和通讯带宽，满足业务增长的需要，保证网上证券服务的可用性，并能抵御一定程度的拒绝服务攻击和缓冲区溢出攻击。

第六十四条在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应当具备足够的冗余，以应对网站及网上交易可能出现的突发峰值；在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应当具备良好的可扩充性，以应对业务增长和市场的变化。

第六十五条证券公司应当根据行业运维管理规范和信息安全等级保护要求，开展网上证券信息系统应急预案建立、修订、演练、培训等工作。网上证券信息系统应急预案应当纳入证券公司和行业的应急预案体系内。

第六十六条证券公司网上证券信息系统应急预案应当针对以下场景制定对应的应急恢复操作流程或步骤：

（一）电力、通信等基础设施故障；

（二）计算机硬件或网络设备故障；

（三）操作系统或应用系统故障；

（四）操作系统或应用系统漏洞；

（五）病毒入侵、恶意攻击、客户账户非法入侵和操作等计算机犯罪事件；

（六）假冒公司网上证券系统和服务平台；

（七）误操作、不可抗力等。

第六十七条证券公司应当制定网上开展证券业务连续性计划，保证在网上开展证券业务的连续正常运营。在网上开展证券业务连续性计划应当充分评估第三方服务供应商对业务连续性的影响，并采取适当的预防措施。

第六十八条证券公司应当根据行业信息安全事件报告与调查处理的有关规定，做好网上证券信息系统故障或信息安全事件的应急处置、事件报告、总结改进等相关工作。

第六十九条对假冒本公司网上证券系统和服务平台的非法活动，证券公司应当及时通过证券公司网站、网上证券客户端、电话语音系统、短信平台或证券公司其它公众平台等提醒投资者注意。

第七章投资者教育和保护

第七十条证券公司应当与投资者签订网上证券服务协议或合同、风险揭示书，明确双方的权利、义务和相关风险的责任承担，向投资者充分揭示使用网上证券信息系统可能面临的风险、证券公司已采取的风险控制措施和客户应当采取的风险防范措施。

第七十一条当网上证券服务范围、方式、或内容发生变化时，证券公司应当评估原有协议、合同和风险揭示书的适用性，如有存在遗漏、偏差或矛盾应当进行公告、或与客户签署补充协议或风险揭示书。

第七十二条证券公司应当在与投资者签订的协议或合同中明确告知客户使用网上证券信息系统的合法途径、意外事件的处理办法，以及证券公司联系方式等。

第七十三条证券公司应当根据网上证券业务的网络延迟时间、链路稳定状况、信号衰减程度等风险因素，对行情或交易数据可能出现明显滞后或产生数据丢失的情况，事先对客户进行风险提示。

第七十四条证券公司应当在门户网站或固定营业场所公

告短信服务号码、移动证券门户网站地址等信息，提醒客户防范他人利用移动通讯设备进行欺诈。

第八章附则

第七十五条本指引由中国证券业协会负责解释。

第七十六条本指引自发布之日起施行。

证券公司信用风险管理指引

证券公司信用风险管理指引 第一章总则 第一条为加强和规证券公司信用风险管理，根据《人民国证券法》、《证券公司监督管理条例》、《证券公司风险控制指标管理办法》、《证券公司全面风险管理规》等法律法规及自律规则，制定本指引。 第二条本指引适用于证券公司以自有资金出资业务的信用风险管理。 第三条本指引所称信用风险指因融资、交易对手或发行人等违约导致损失的风险。按照业务类型分类，包括但不限于以下几类： （一）股票质押式回购交易、约定购回式证券交易、融资融券等融资类业务； （二）互换、场外期权、远期、信用衍生品等场外衍生品业务； （三）债券投资交易（包括债券现券交易、债券回购交易、债券远期交易、债券借贷业务等债券相关交易业务），债券包括但不限于国债、地债、金融债、政府支持机构债、企业债、非金融企业债务融资工具、公司债、资产支持证券、同业存单；

（四）非标准化债权资产投资； （五）其他涉及信用风险的自有资金出资业务。 第四条证券公司的信用风险管理应遵循“全面性、部制衡、全流程风控”的原则组织进行相关业务。 （一）全面性原则：证券公司信用风险管理应全面覆盖证券公司各部门、分支机构、子公司，包含所有表外和境外业务，贯穿决策、执行、监督、反馈等各个环节； （二）部制衡原则：证券公司应确保前、中、后台的职责分离，并建立相应的制约机制，防利益冲突； （三）全流程风控原则：证券公司应对信用风险管理各个环节进行谨、审慎判断，对业务信用风险的管理应贯穿业务全流程，完善风险的识别、评估、监控、应对及全程管理，确保风险可测、可控、可承受，保障可持续经营。 第五条证券公司应将所有子公司以及比照子公司管理的各类公司（以下简称“子公司”）纳入信用风险管理体系，实现信用风险管理全覆盖。 第六条按照全面风险管理规要求，证券公司应建立健全与自身发展战略相适应的信用风险管理体系。信用风险管理体系应当包括可

《证券公司投资银行类业务内部控制指引》背景和主要内容简介100分

《证券公司投资银行类业务内部控制指引》背景和主要内容简介100分 返回上一级 单选题（共3题，每题10分） 1 . 根据《证券公司投资银行类业务内部控制指引》的要求， 每次参加立项审议的委员中，来自内部控制部门的委员人数不得低于参会委员总人数的（）。 ? A.1/5 ? B.1/3 ? C.30% ? D.50% 我的答案： B 2 . 证券公司投资银行类业务内部控制的第一道防线是指 （）。 ? A.质量控制团队 ? B.内核部门 ? C.项目组、业务部门 ? D.合规部门、风险管理部门 我的答案： C 3 . 根据《证券公司投资银行类业务内部控制指引》的要求， 投资银行类业务专职内部控制人员数量不得低于投资银行类业务人员总数的（）。 ? A.1/10

? A.专业胜任能力 ? B.执业质量 ? C.合规情况 ? D.业务收入 我的答案： ABCD 2 . 《证券公司投资银行类业务内部控制指引》所涵盖的证 券公司投资银行类业务包括（）。 ? A.承销与保荐 ? B.上市公司并购重组财务顾问 ? C.公司债券受托管理 ? D.非上市公众公司推荐 ? E.资产证券化等其他具有投资银行特性的业务 我的答案： ABCDE

3 . 以下关于证券公司投资银行类业务的承做的相关要求， 正确的有（）。 ? A.证券公司开展债券一、二级市场业务应当在部门设置、人员等方面严格分离，不得由同一名高级管理人员分管 ? B.证券公司应当设立不同业务团队独立开展债券项目承做、发行定价（含簿记建档）和销售等环节的相关工作，保证相关工作的独立、公平 ? C.证券公司应当对投资银行类业务承做实行集中统一管理，明确界定总部与分支机构的职责范围，确保其在授权范围内开展业务活动 ? D.非单一从事投资银行类业务的证券公司分支机构不得开展除项目承揽等辅助性活动以外的投资银行类业务，专门从事资产管理业务的证券公司分支机构开展资产证券化业务除外 我的答案： ABCD 4 . 《证券公司投资银行类业务内部控制指引》在明确相关 制度安排和执行标准时主要遵循（）思路。 ? A.着力解决投资银行类业务发展和内部控制存在的主要矛盾和突出问题，提高规则制定的针对性和精准度 ? B.统筹考虑行业现状和监管目标，实现规范和发展两者的平衡

投资银行业务内部控制的总体要求

投资银行业务内部控制的总体要求 【时间：2008年09月03日】【来源：广东局】【字号：大中小】 摘自《证券发行与承销》中国证券业协会编著 《证券公司管理办法》的规定，投资银行部门应当遵循内部防火墙原则，建立有关隔离制度，严格制定各种管理规章、操作流程和岗位手册，并针对各个风险点设置必要的控制程序，做到投资银行业务和经纪业务、自营业务、受托投资管理业务、证券研究和证券投资咨询业务等在人员、信息、账户、办公地点上严格分开管理，以防止利益冲突。其具体内容包括四个方面：建立严格的项目风险评估体系和项目责任管理制度；建立科学的发行人质量评价体系；强化风险责任制；建立严密的内核工作规则与程序。 2003年12月15日，中国证监会发布了《证券公司内部控制指引》，对投资银行业务的内部控制提出了l0条具体要求，包括： 第一，证券公司应重点防范因管理不善、权责不明、未勤勉尽责等原因导致的法律风险、财务风险及道德风险。 第二，证券公司应建立投资银行项目管理制度，完善各类投资银行项目的业务流程、作业标准和风险控制措施；加强项目的承揽立项、尽职调查、改制辅导、文件制作、内部审核、发行上市和保荐回访等环节的管理；加强项目核算和内部考核，完善项目工作底稿和档案管理制度。 第三，证券公司应建立科学、规范、统一的发行人质量评价体系。应在尽职调查的基础上，在项目实施的不同阶段分别进行立项评价、过程评价和综合评价，提高投资银行项目的整体质量水平。 第四，证券公司应建立尽职调查的工作流程，加强投资银行业务人员的尽职调查管理，贯彻勤勉尽责、诚实信用的原则，明确业务人员对尽职调查报告所承担的责任；并按照有关业务标准、道德规范要求，对业务人员尽职调查情况进行检查。 第五，证券公司应加强投资银行项目的内核工作和质量控制。证券公司投资银行业务风险(质量)控制与投资银行业务运作应适当分离，客户回访应主要由投资银行风险(质量)控制部门完成。 第六，证券公司应加强证券发行中的定价和配售等关键环节的决策管理，建立完善的承销风险评估与处理机制，通过事先评估、制订风险处置预案、建立奖惩机制等措施，有效控制包销风险。证券公司应建立对分销商分销能力的评估监测制度。

企业内部控制应用指引--题目及答案

企业内部控制应用指引 单项选择题 1、安全生产措施不到位，责任不落实，可能导致的风险有（企业发生安全事故）。重要说明：考试所选科目为内部控制1-14讲 2、按规定办理需要有关负责人签字或盖章的经济业务时，签章手续要怎样办理（严格履行签字盖章手续）。 3、按照销售通知项目组织发货的部门是（发货和仓储部门）。 4、不在企业销售退回承诺范围之内的退货业务，企业应怎样处理（由独立于销售部门的销货争议处理机构调查原因）。 5、保证合同的当事人不包括（中介机构）。 6、采购验收不规范，付款审核不严，可能导致的风险是（信用受损）。 7、存货的保管于下列哪项职务是不相容的（存货的会计记录） 8、参与固定资产投资决策，分析、评价各种投资方案的部门是（财务部门）。 9、存货归口分级管理的主要部门是（财务管理部门）。 10、存货的保管于下列哪项职务是不相容的（存货的会计记录）。 11、存货积压或短缺，可能导致的风险不包括（缺乏竞争力）。 12、大额客户订单的签字权限在（销售部门主管）。 13、当担保申请人已进入重组、托管、兼并或破产清算程序，企业应（不得提供担保）。 14、对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致的风险是（担保决策失误）。 15、担保企业决定是否提供对外担保的依据和基础是（担保项目评估的结论）。 16、对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致的风险是（企业承担法律责任）。 17、担保业务单笔担保额越小，受保企业单笔贷款额就会（越小）。 18、当企业售后发现存在严重质量缺陷、隐患的产品时，应当采取的措施不包括（封锁消息）。 19、对财务报告的真实性、完整性负责的是（企业负责人）。 20、对财务报告中需要说明的事项作出真实、完整、清晰说明，属于财务报告重要组成部分的是（附注）。 21、对发展战略实施情况进行监控的机构是（战略委员会） 22、对销售通知进行审核的部门是（发货和仓储部门）。 23、对发展战略实施情况进行监控的机构是（战略委员会）。 24、对担保业务执行情况进行监测的部门是（执行部门）。 25、当受保企业资产负债率超过一定比例时，担保企业应拒绝担保，该比例是（70%）。 26、对于重大的无形资产处置，企业应当怎样确定处置价格（委托具有资质的中介机构进行资产评估） 27、对研发项目立项出具评估意见的机构是（独立于申请及立项审批之外的专业机构）。28、负责应收款项的催收工作的部门是（销售部门）。 28、负责办理资金结算并监督款项回收的部门是（财务部门）。 29、负责行使企业经营决策权的组织机构是（董事会）。 30、负责制定公司人力资源的战略规划的是（人力资源部经理）。 31、负责主持企业的生产经营管理工作的组织机构是（经理层）。

长江证券股份有限公司内部控制制度

长江证券股份有限公司 内部控制制度 第一章总则 第一条为加强公司的管理，依法合规经营，防范经营风险，根据《公司法》、《证券法》及《证券公司内部控制指引》、《上市公司内部控制工作指引》等法律、法规和规范性文件规定，制定本制度。 第二条内部控制制度是公司为防范经营风险，保护公司资产的安全与完整，维护全体股东利益，促进公司各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。 第二章内部控制的目标和原则 第三条公司内部控制的目标： （一）保证经营的合法合规及公司内部规章制度的贯彻执行。 （二）防范经营风险和道德风险。 （三）保障客户及公司资产的安全、完整。 （四）保证公司业务记录、财务信息和其他信息的可靠、完整、及时。 （五）提高公司经营效率和效果。 第四条公司内部控制贯彻健全、合理、制衡、独立的原则，确保内部控制有效。 （一）健全性：内部控制应做到事前、事中、事后控制相统一；覆盖公司的所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个环节，确保不存在内部控制的空白或漏洞。 （二）合理性：内部控制应当符合国家有关法律法规和中国证监会的有关规定，与公司经营规模、业务范围、风险状况及公司所处的环境相适应，以合理的成本实现内部控制目标。

（三）制衡性：公司部门和岗位的设置应当权责分明、相互牵制；前台业务运作与后台管理支持适当分离。 （四）独立性：承担内部控制监督检查职能的部门应当独立于公司其他部门。 第三章内部控制的主要内容 第五条公司内部控制主要内容包括：对控股子公司的管理控制、业务控制、会计系统控制、电子信息系统控制、人力资源管理内部控制、内部审计控制等。 第一节对控股子公司的管理控制 第六条建立对各控股子公司的控制制度。 第七条依据公司的经营策略和风险管理政策，督导各控股子公司建立起相应的经营计划、风险管理程序。 第八条各控股子公司要建立重大事项报告制度和审议程序，及时向公司报告重大业务事项、重大财务事项以及其他可能对公司股票及其衍生品种交易价格产生重大影响的信息，并严格按照授权规定将重大事项报公司董事会审议或股东大会审议。 第九条控股子公司要及时向公司报送其董事会决议、股东大会决议等重要文件，通报可能对公司股票及其衍生品种交易价格产生重大影响的事项。 第十条定期取得并分析各控股子公司的季度（月度）报告，包括营运报告、资产负债报表、损益报表、现金流量报表、向他人提供资金及提供担保报表等。 第十一条建立对各控股子公司的绩效考核制度。

企业内部控制基本规范及配套指引

企业内部控制基本规范及配套指引 目录 企业内部控制基本规范 (4) 第一章总则 (4) 第二章内部环境 (5) 第三章风险评估 (6) 第四章控制活动 (7) 第五章信息与沟通 (8) 第六章内部监督 (8) 第七章附则 (9) 企业内部控制应用指引 (9) 企业内部控制应用指引第1号——组织架构 (9) 第一章总则 (9) 第二章组织架构的设计 (9) 第三章组织架构的运行 (10) 企业内部控制应用指引第2号——发展战略 (11) 第一章总则 (11) 第二章发展战略的制定 (11) 第三章发展战略的实施 (11) 企业内部控制应用指引第3号——人力资源 (13) 第一章总则 (13) 第二章人力资源的引进与开发 (13) 第三章人力资源的使用与退出 (13) 企业内部控制应用指引第4号——社会责任 (15) 第一章总则 (15) 第二章安全生产 (15) 第三章产品质量 (15) 第四章环境保护与资源节约 (16) 第五章促进就业与员工权益保护 (16) 企业内部控制应用指引第5号——企业文化 (17) 第一章总则 (17) 第二章企业文化的培育 (17) 第三章企业文化的评估 (17) 企业内部控制应用指引第6号——资金活动 (19) 第一章总则 (19) 第二章筹资 (19) 第三章投资 (20) 第四章营运 (21) 企业内部控制应用指引第7号——采购业务 (22) 第一章总则 (22) 第二章购买 (22)

企业内部控制应用指引第8号——资产管理 (24) 第一章总则 (24) 第二章存货管理 (24) 第三章固定资产管理 (25) 第四章无形资产管理 (25) 企业内部控制应用指引第9号——销售业务 (27) 第一章总则 (27) 第二章销售 (27) 第三章收款 (27) 企业内部控制应用指引第10号——研究与开发 (29) 第一章总则 (29) 第二章立项与研究 (29) 第三章开发与保护 (30) 企业内部控制应用指引第11号——工程项目 (31) 第一章总则 (31) 第二章工程立项 (31) 第三章工程招标 (32) 第四章工程造价 (32) 第五章工程建设 (33) 第六章工程验收 (33) 企业内部控制应用指引第12号——担保业务 (35) 第一章总则 (35) 第二章调查评估与审批 (35) 第三章执行与监控 (36) 企业内部控制应用指引第13号——业务外包 (37) 第一章总则 (37) 第二章承包方选择 (37) 第三章外包业务实施 (38) 企业内部控制应用指引第14号——财务报告 (39) 第一章总则 (39) 第二章财务报告的编制 (39) 第三章财务报告的对外提供 (40) 第四章财务报告的分析利用 (40) 企业内部控制应用指引第15号——全面预算 (42) 第一章总则 (42) 第二章预算编制 (42) 第三章预算执行 (42) 第四章预算考核 (43) 企业内部控制应用指引第16号——合同管理 (44) 第一章总则 (44) 第二章合同的订立 (44) 第三章合同的履行 (45) 企业内部控制应用指引第17号——内部信息传递 (46)

证券公司论文：我国证券公司内部控制问题与对策研究

证券公司论文： 我国证券公司内部控制问题与对策研究摘要:内部控制是一个企业为了保证财务信息质量,保护资产的安全、完整以及确保对相关法律法规的遵守在企业内部建立的一种控制系统。在高风险的证券市场中,证券公司面临各种各样的风险,因此加强证券公司的内部控制对于我国证券市场的持续发展意义重大。在分析我国证券公司内部控制的基本要素的基础上,结合我国证券公司内部控制存在的问题,提出了改进策略。 关键词:证券公司;内部控制;对策 1我国证券公司内部控制的基本要素 1.1控制环境 证券公司的内部控制环境是其他所有内部控制要素的基础。证券公司的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应,还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。证券公司的董事会是内部环境的重要组成部分,对其他内部环境要素有重要的影响。 1.2风险评估 任何经济组织在经营活动中都会面临各种各样的风险,风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制,但管理层应当确定可以承受的风险水平,识别这些风险并采取一定的措施。风险评估是证券公司内部控制的核心要素,是证券公司内部控制的主要目标之一。证券公司由于在其经营过程中面临各种各样的风险,因此风险评估对证券公司而言意义显得尤为重要。

1.3控制活动 控制活动是帮助证券公司保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于证券公司的各部分、各个层面和各个部门,通常包括两个要素,即确定应该做什么的政策和影响该政策的一系列程序。针对公司的不同目标,控制活动可以分为提高经营效率效果、增强财务报告的可靠性、遵守法规三类控制活动,控制活动对公司的不同目标能否实现起着至关重要的作用。 1.4信息与沟通 信息和沟通是指相关信息以某种形式在某个时段被识别、获得和沟通,以促使员工履行自己的职责。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。信息与沟通时证券公司的一个基础性要素,其他各个要素在企业内部有效执行都离不开良好的信息与沟通。 1.5监督 对内部控制的监督实质上是对证券公司风险管理的监控,是评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控———持续监控和个别评估。持续监控和个别评估都是用来保证证券公司的风险管理持续得到执行。 2我国证券公司内部控制存在的主要问题 2.1法人治理结构形同虚设,未能真正发挥作用 虽然我国绝大多数证券公司都已经按照证监会的要求建立了由

企业内部控制应用指引(全套)

企业内部控制应用指引 控制环境类指引 企业内部控制应用指引第 1 号——组织架构 第一章总则 第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。 第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。 第三条企业至少应当关注组织架构设计与运行中的下列风险： （一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。 （二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。 第二章组织架构的设计 第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。 董事会对股东（大）会负责，依法行使企业的经营决策权。可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。 监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。 经理层对董事会负责，主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。 董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。 第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。 重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。 第六条企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的

证券公司风险管理与内部控制分析报告

证券公司风险管理与内部控制分析报告

目录 一、风险管理 1、风险管理目标 2、风险管理架构 （1）董事会及其专门委员会 （2）合规总监 （3）专职风险管理部门 （4）业务经营部门及职能管理部门 3、风险管理运行体系 （1）风险管理制度体系 ①法人治理制度 ②基本管理制度 ③专项管理制度 （2）以净资本为核心的风险控制指标体系（3）信息隔离墙制度

4、主要风险的管理 5、风险管理流程 （1）风险管理政策制订（2）风险识别 （3）风险评估和衡量（4）风险管理 （5）风险监测 （6）风险报告与分析 二、内部控制 1、内部控制的目标 2、内部控制的基本原则（1）全面性原则 （2）重要性原则 （3）制衡性原则 （4）适应性原则

（5）成本效益原则 3、公司主要内部控制制度建立和执行情况（1）环境控制 （2）业务控制 ①经纪业务 ②资产管理业务 ③投资银行业务 ④自营业务 ⑤融资融券业务 ⑥另类投资业务 ⑦研究业务 ⑧资金管理和财务会计 （3）信息系统控制 （4）风险控制 （5）人力资源与薪酬控制

（6）信息沟通与披露的控制

公司成立以来严格按照《公司法》、《证券法》、《证券公司监督管理条例》、《证券公司内部控制指引》、《证券公司合规管理试行规定》等相关法律、法规规章要求，明确了董事会、管理层及各个部门的风险管理职责，建立了全面风险管理组织体系和多防线内部控制机制。 一、风险管理 1、风险管理目标 公司风险管理的总体目标是通过建立以净资本为核心的风险监管体系，在确保资本安全的前提下，审慎开展风险活动，实现风险调整的资本收益率最大化。具体目标如下： （1）促进公司业务发展与风险承受能力的平衡，实现公司经营目标和发展战略。 （2）保证公司经营运作的合规性，树立“规范经营、健康发展”的经营思想和经营风格。 （3）完善公司内部控制制度和流程，形成科学、合理的授权决策机制、执行机制和监督机制。 （4）建立行之有效的风险控制系统，形成正确的风险管理理念，营造风险文化的氛围，使得风险管理意识能在公司内部广泛分

证券公司财务管理信息化及其内部控制

证券公司财务管理信息化及其内部控制 摘要:在经济知识时代，企业成败的关键在于管理，而管理的核心在于财务管理，对于供应、生产、营销、人、财、物等要素而言，企业财务管理涉及的主要资源和环节是维护企业的生存，而企业的重点应放在管理和控制上，因此，为了大力推进公司财务管理的计算机化，积极探索单一公司资金财务管理的有效途径，深化公司改革，规范现代公司制度。证券公司的财务管理信息化是非常必要的。 关键词：财务管理信息化内部控制 前言：随着信息技术的逐步普及，信息技术对当前证券公司的发展有着重要的影响。特别是财务管理电算化，其主要是通过应用先进的信息技术，从财务会计、分析、财务报表、控制等相关方面实现电算化会计，以有效提高财务管理效率，通过相应的先进技术，建立完善的信息平台，实现证券公司之间的财务信息交流，确保投资公司做出科学、审慎的决策。证券公司财务管理的计算机化可以有效地加强其内部控制。信息财务管理不仅是证券公司目前需要改进的工作，也是证券公司发展的重要目标。 一、传统财务管理存在的问题 1、信息孤岛现象严重。许多财务软件的主要功能和定位是帮助企业实现会计电算化，同时，业务处理系统中的数据不能流入财务

软件进行会计核算。换句话说，系统之间没有无缝连接。财务会计人员必须根据大量的业务单据制作凭证。一方面，它恶化了财务人员的体力劳动。另一方面，业务和会计方面的延误也降低了数据的准确性和及时性。此外，从不同角度收集的相同数据的不同部分之间也存在间隙。 2、预算管理困难。在日常管理模式下，管理者很难提供每个预算项目的最终数据。效率不高，错误也不可避免，即使经过分析，仍然悬而未决，无法实现实时控制。当前的预算控制在很大程度上取决于人的管理。由于预算管理的随机性，使管理难以“硬”起来。 3、信息失真，难以为科学决策提供依据。现代管理最基本的是信息管理。企业需要及时捕捉真实、准确的信息来控制物流和资本流动，但有时信息不及时、不透明，不能实时有效地整合和交换，使得决策者难以获得准确的动态财务信息。 4、监管困难，缺乏事前。严格监督事项。在公司的财务管理过程中，采用“黑箱”法，即只看到年初和年末的投入、月初和月末的投入、月初的投入和月末的产出，不能全面地看待整个过程。这只是邮政管理的工作方式。经营指标管理和利润评估也是邮政管理的一种形式，没有简单的资产监管模式或报表指标对资产进行资产评估。在缺乏有效预算制度的情况下缺乏事先的计划和预算，同时缺乏对案件的实时监控，这将给财务管理带来一定的困难和风险。

企业内部控制应用指引汇编

附件2： 企业内部控制应用指引 （征求意见稿） 企业内部控制应用指引第xx号——资金 （征求意见稿） 第一章总则 第一条为了引导企业加强对资金的内部控制，保证资金的安全，提高资金的使用效益，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。 第二条本指引所称资金，是指企业所拥有或控制的现金、银行存款和其他资金。 第三条企业至少应当关注涉及资金管理的下列风险： （一）资金管理违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。 （二）资金管理未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。 （三）银行账户的开立、审批、使用、核对和清理不符合国家有关法律法规要求，可能导致受到处罚造成资金损失。 （四）资金记录不准确、不完整，可能造成账实不符或导致财务

报表信息失真。 （五）有关票据的遗失、变造、伪造、被盗用以及非法使用印章，可能导致资产损失、法律诉讼或信用损失。 第四条企业在建立与实施资金内部控制中，至少应当强化对下列关键方面或者关键环节的控制： （一）职责分工、权限范围和授权审批程序应当明确规范，机构设置和人员配备应当科学合理。 （二）现金、银行存款的管理应当合法合规，银行账户的开立、审批、使用、核对、清理严格有效，现金盘点和银行对账单的核对应当按规定严格执行。 （三）资金的会计记录应当真实、准确、完整和及时。 （四）票据的购买、保管、使用、销毁等应当有完整记录，银行预留印鉴和有关印章的管理应当严格有效。 第二章职责分工与授权批准 第五条企业应当建立资金业务的岗位责任制，明确相关部门和岗位的职责权限，确保办理资金业务的不相容岗位相互分离、制约和监督。 资金业务的不相容岗位至少应当包括： （一）资金支付的审批与执行。 （二）资金的保管、记录与盘点清查。 （三）资金的会计记录与审计监督。

证券公司内部控制手册

证券公司内部操纵指引 第一章总则 第一条为引导证券公司规范经营, 完善证券公司内部操纵机制，增强证券公司自我约束能力，推动证券公司现代企业制度建设，防范和化解金融风险，依据《中华人民共和国证券法》、《证券公司治理方法》和中国证券监督治理委员会（以下简称中国证监会）审慎监管的要求，制定本指引。 第二条本指引所指证券公司内部操纵是指证券公司为实现经营目标，依照经营环境变化，对证券公司经营与治理过程中的风险进行识不、评价和治理的制度安排、组织体系和操纵措施。 第三条内部操纵应充分考虑操纵环境、风险识不与评估、操纵活动与措施、信息沟通与反馈、监督与评价等要素。 （一）操纵环境:要紧包括证券公司所有权结构及实际操纵人、法人治理结构、组织架构与决策程序、经理

人员权力分配和承担责任的方式、经理人员的经营理念与风险意识、证券公司的经营战略与经营风格、职员的诚信和道德价值观、人力资源政策等。 （二）风险识不与评估:及时识不、确认证券公司在实现经营目标过程中的风险, 并通过合理的制度安排和风险度量方法对经 营环境持续变化所产生的风险及证券公司的承受能力进行适时 评估。 （三）操纵活动与措施：保证实现证券公司战略目标和经营目标的政策、程序，以及防范、化解风险的措施。要紧包括证券公司经营与治理中的授权与审批、复核与查证、业务规程与操作程序、岗位权限与职责分工、相互独立与制衡、应急与预防等措施。（四）信息沟通与反馈：及时对各类信息进行记录、汇总、分析和处理，并进行有效的内外沟通和反馈。 （五）监督与评价：对操纵环境、风险识不与评估、操纵活动与措施、信息沟通与反馈的有效性进行检查、评价，发觉内部操纵设计和运行的缺陷并及时改进。

企业内部控制应用指引―固定资产

企业内部控制应用指引—固定资产 （征求意见稿） 第一章总则 第一条为了引导企业加强对固定资产的内部控制，防止并及时发现和纠正固定资产业务中的各种差错和舞弊，保护固定资产的安全完整，提高固定资产的使用效率，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。 第二条本指引所称固定资产，是指为生产商品、提供劳务、出租或经营管理而持有的，使用寿命超过一个会计年度的有形资产。 第三条企业至少应当关注涉及固定资产的下列风险： （一）固定资产业务违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。 （二）固定资产业务未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失。 （三）固定资产购买、建造决策失误，可能造成企业资产损失或资源浪费。 （四）固定资产使用、维护不当和管理不善，可能造成企业资产使用效率低下或资产损失。 （五）固定资产处置不当，可能造成企业资产损失。 （六）固定资产会计处理和相关信息不合法、真实、完整，可能导致企业资产账实不符或资产损失。 第四条企业在建立与实施固定资产内部控制中，至少应当强化对下列关键方面或者关键环节的控制：

（一）职责分工、权限范围和审批程序应当明确规范，机构设置和人员配备应当科学合理。 （二）固定资产取得依据应当充分适当，决策过程应当科学规范。 （三）固定资产取得、验收、使用、维护、处置和转移等环节的控制流程应当清晰严密。 （四）固定资产的确认、计量和报告应当符合国家统一的会计准则制度的规定。 第二章职责分工与授权批准 第五条企业应当建立固定资产业务的岗位责任制，明确相关部门和岗位的职责、权限，确保办理固定资产业务的不相容岗位相互分离、制约和监督。同一部门或个人不得办理固定资产业务的全过程。 固定资产业务不相容岗位至少包括： （一）固定资产投资预算的编制与审批。 （二）固定资产投资预算的审批与执行。 （三）固定资产采购、验收与款项支付。 （四）固定资产投保的申请与审批。（五）固定资产处置的审批与执行。 （六）固定资产取得与处置业务的执行与相关会计记录。 第六条企业应当配备合格的人员办理固定资产业务。办理固定资产业务的人员应当具备良好的业务素质和职业道德。 第七条企业应当对固定资产业务建立严格的授权批准制度，明确授权批准的方式、权限、程序、责任和相关控制措施，规定经办人的职责范围和工作要求。严禁未经授权的机构或人员办理固定资产业务。 第八条审批人应当根据固定资产业务授权批准制度的规定，在授权范围内进行审批，不得超越审批权限。

证券公司内部控制存在的问题及建立健全内控制度的建议

证券公司内部控制存在的问题及建立健全内控制度的建议 一、内部控制结构 内部控制结构包括三个部分： （一）控制环境。所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素，具体包括：管理者的思想和经营作风；企业组织结构；董事会及其所属委员会，特别是审计委员会发挥的职能；确定职权和责任的方法；管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计；人事工作方针及其执行；影响本企业业务的各种外部关系等。 （二）会计系统。会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标：鉴定和登记一切合法的经济业务；对各项经济业务按时进行适当分类，作为编制财务报表的依据；将各项经济业务按适当的货币价值计价，以便列入财务报表；确定经济业务发生的日期，以便按照会计期间进行记录；在财务报表中恰当地表述经济业务以及对有关内容进行揭示。 （三）控制程序。控制程序指管理当局所制订的用以保证达到一定目的的方针和程序。包括下列内容：经济业务和经济活动的批准权；明确各个人员的职责分工，防止有关人员对正常业务图谋不轨和隐藏错弊，职责分工包括指派不同人员分别承担批准业务、记录业务和财产保管的职责；凭证和账单的设置和使用，应保证业务和活动得到正确的记载；对财产及其记录的接触和使用要有保护措施；对已登记的业务及其计价要进行复核。 二、证券公司内部控制存在的问题 由于内部控制设计本身存在的局限性和证券公司内部各种因素的影响，证券公司的内部控制往往存在很多问题，主要表现为： （一）法人治理结构不完善。 虽然证券公司已经建立了由股东大会、董事会、监事会以及经理层构成的法人治理结构，但在实际工作中各个管理层的职责划分并不很明确，所以也很难严格按照《公司法》、《证券法》等有关法规进行运作。（二）资金和业务控制的问题。 目前我国的证券公司大部分都缺乏中长期资金的来源和渠道，从而导致其在经营决策上的短期行为，无法根据自身长期发展的需要设计投资经营的战略。由于自有资金的严重不足，特别是流动资金的不足，生存与发展的压力迫使其开始参与各类违反证券市场规定的业务，例如挪用客户保证金、大量变相拆入资金、变相吸收各种公司存款、非法套出银行信贷资金等违规行为。特别是近几年来一级市场包赚不赔的现状，使许多没有证券自营资格的经纪证券公司利用各种形式和手段违法经营自营业务。由于内部控制制度的执行不力和设计不足，造成资金和业务管理的混乱。 （三）公司内部行使控制职能的管理人员滥用职权、蓄意营私舞弊、恶意串通等行为，会使相关内控制度失去作用。例如营业部的会计人员和电脑部人员相互串通，非法修改证券交易系统数据，在其控制的若干保证金账号上空添资金，从而挪用资金用于个人股票买卖，从中牟利，然后再以凭空减少资金的方式将挪用的资金填回，以隐瞒其挪用资金的行为；或者与其他企业合作，利用非法资金炒股等。内部控制作为企业管理的一个重要组成部分，它理所当然要按照管理人员的意图运行，执行出了问题，内部控制也就失去了控制效能；而且，处于不相容职务的人员相互串通，失去了相互制约的基本前提，内部控制也就很难发挥作用。

证券公司融资融券业务内部控制指引(2006年8月1日)

证券公司融资融券业务内部控制指引 中国证监会 https://www.360docs.net/doc/e613772164.html,时间：2013-10-21 来源： (2006年6月30日中国证券监督管理委员会公布，根据2011年10月26日中国证券监督管理 委员会《关于修改〈证券公司融资融券业务试点内部控制指引〉的决定》修订) 第一条为指导证券公司建立健全融资融券业务的内部控制机制，防范与融资融券业务有关的 各类风险，制定本指引。 第二条证券公司开展融资融券业务，应当按照《证券公司内部控制指引》和本指引的规定，建立健全内部控制机制。 第三条证券公司开展融资融券业务，应当建立完备的管理制度、操作流程和风险识别、评 估与控制体系，确保风险可测、可控、可承受。 第四条证券公司应当健全业务隔离制度，确保融资融券业务与证券资产管理、证券自营、 投资银行等业务在机构、人员、信息、账户等方面相互分离。 第五条证券公司应当对融资融券业务实行集中统一管理。融资融券业务的决策和主要管理 职责应当由证券公司总部承担。 第六条证券公司应当建立融资融券业务的决策与授权体系。融资融券业务的决策与授权体 系原则上按照董事会—业务决策机构—业务执行部门—分支机构的架构设立和运行。 董事会负责制定融资融券业务的基本管理制度，决定与融资融券业务有关的部门设置及各部门职责，确定融资融券业务的总规模。 业务决策机构由有关高级管理人员及部门负责人组成，负责制定融资融券业务操作流程，选择可从事融资融券业务的分支机构，确定对单一客户和单一证券的授信额度、融资融券的期限和利率(费率)、保证金比例和最低维持担保比例、可充抵保证金的证券种类及折算率、客户可融 资买入和融券卖出的证券种类。 业务执行部门负责融资融券业务的具体管理和运作，制订融资融券合同的标准文本，确定对具

企业内部控制应用指引第12号

《企业内部控制应用指引第12号—担保业务》中所称担保，是指企业作为担保人按照公平、自愿、互利的原则与债权人约定，当债务人不履行债务时，依照法律规定和合同协议承担相应法律责任的行为。 担保制度起源于商品交易活动，但早期的简单商品交易，往往是以物易物，或者是钱货两清的即时交易，交易主体间失信问题不突出，也就没有担保的必要。随着商品交换形式不断发展，非即时交易大量出现，商品和货币的交付有了时间差，债权债务应运而生，随之而来的问题就是，在对债务人没有百分之百信赖的情形下，债权人需要通过某种方式确保债权的实现，而担保制度正好满足了这种需要。在现代市场经济中，担保制度一方面有利于银行等债权人降低贷款风险，另一方面使债权人与债务人形成了稳定可靠的资金供需关系。 但是，必须看到担保业务具有“双刃剑”特征，一些企业包括上市公司陷入担保怪圈和旷日持久的诉讼拉锯战，导致重大经济损失案件时有发生。财政部会计司发布的《我国上市公司2007年执行新会计准则情况分析报告》显示，在1570家上市公司中，有287家存在预计负债，占 18.28%，这287家上市公司2007年确认的预计负债总额为148.50亿元，其中，因担保事项确认的预计负债达到22.26亿元，占到了14.99%。另有研究资料表明，我国上市公司担保业务增速快、金额大、风险高、违规情况较为严重，仅2001年至2004年，平均每年新增121家上市公司涉及担保事项，年均增速达到35%；截至2004年10月，837家沪市上市公司中，有180家存在违规担保情况，涉及金额为279.98亿元，违规担保金额占上市公司担保总额的26.72%；在深市505家上市公司中，涉及担保的公司有311家，担保总额达420亿元，其中违规担保金额为131亿元，占担保总额的31.19%。鉴于担保业务的“双刃剑”特征，《企业内部控制应用指引第12号—担保业务》对严控担保风险提出了一系列有针对性的管控措施。 一、担保业务一般流程 企业办理担保业务，一般包括受理申请、调查评估、审批、签订担保合同、进行日常监控等流程。具体而言，一是担保申请人提出担保申请；二是担保人对担保项目和被担保人资信状况进行调查，对担保业务进行风险评估；三是担保人根据调查评估结果，结合本企业担保政策和授权审批制度，对担保业务进行审批，重大担保业务应提交董事会或类似权力机构批准；四是担保人依据既定权限和程序，与被担保人签订担保合同；五是担保人切实加强对担保合同的日常管理，对被担保人经营情况、财务状况和担保项目执行情况等进行跟踪监控；六是如果被担保人不能如期偿债，担保人应履行代为清偿义务并向被担保人追偿债务；同时，应当按照本企业担保业务责任追究制度，严格追 究有关人员的责

详细版投行类业务内控经验分享(100分).docx

投行类业务内控经验分享(100分) 单选题（共2题，每题10分） 1 . 根据《证券公司投资银行类业务内部控制指引》要求，证券公司应当自行 或委托外部专业机构对投资银行类业务内部控制的有效性进行全面评估。内部控制执行效果评估每年不得少于（）次。 A.1 B.2 C.3 D.4 我的答案： A 2 . 根据《证券公司投资银行类业务内部控制指引》要求，处于后续管理阶段 的投资银行类业务，证券公司对外披露文件无需履行内核程序的有（）。 A.受托管理报告 B.年度资产管理报告 C.持续督导报告 D.公司年报 我的答案： D 2 . 根据《证券公司投资银行类业务内部控制指引》要求，证券公司担任受托管 理人应当经（）审议通过。 ? A.投行业务委员会 ? B.投行业务负责人 ? C.内核机构 ? D.风险管理委员会 我的答案： C 多选题（共5题，每题10分） 1 . 《关于<证券公司投资银行类业务内部控制指引>（征求意见稿）的 起草说明》对当前证券公司投行类业务存在的主要问题进行了梳理总结，包括（）。 A.业务承做管理较为粗放，风险管控让位于业务发展 B.对投资银行类业务内部控制的重视不够，内部控制建设良莠不齐 C.合规风控对投资银行类业务介入的广度和深度有所不足 D.内部控制执行不到位，有效性有待提高 我的答案：ABCD 2 . 根据《证券公司投资银行类业务内部控制指引》要求，以下材料和文件对 外提交、报送、出具或披露前，均应当履行内核程序。（） A.反馈意见回复报告 B.发审委意见回复报告

C.举报信核查报告 D.会后事项专业意见 E.对首次申报文件的补充披露 我的答案：ABCDE 3 . 根据《证券公司投资银行类业务内部控制指引》要求，证券公司应当建立 投资银行类业务三道内部控制防线，其中第三道防线包括（）。 A.业务部 B.质控 C.内核机构 D.合规部门 E.风险管理部门 我的答案：CDE 4 . 根据《证券公司投资银行类业务内部控制指引》要求，证券公司风险管理 部门应当加强对处于后续管理阶段项目的风险进行持续风险管理，具体职责包括但不限于以下内容：（）。 A.对存续期项目风险实行动态监测，对重大风险事件进行评估 B.参与对重大风险事件的处置工作 C.牵头业务部门制定存续期项目风险排查方案，每年对存续期项目开展全面风险 排查，并完成排查工作报告 我的答案：ABC 5 . 根据《证券公司投资银行类业务内部控制指引》要求，证券公司建立投资 银行类业务内部控制的目标包括（）。 A.按照法律法规、规章及其他规范性文件、行业规范和自律规则、公司内部规章 制度开展投资银行类业务，切实保证所有与投资银行类业务相关的管理人员、业务人员和其他人员诚实守信、勤勉尽责 B.建立健全分工合理、权责明确、相互制衡、有效监督的组织体系，形成科学、 合理、有效的投资银行类业务决策、执行和监督等机制，防范投资银行类业务风险 C.建立健全和严格执行投资银行类业务内部控制制度、工作流程和操作规范，确 信其所提交、报送、出具、披露的相关材料和文件符合法律法规、中国证监会的有关规定、自律规则的相关要求，内容真实、准确、完整 D.提高证券公司经营效率和效果，提升投资银行类业务质量 我的答案：ABCD 1 . 根据《证券公司投资银行类业务内部控制指引》要求，内核表决应当至少满 足以下条件（）。 ? A.参加内核会议的委员人数不得少于5人 ? B.参加内核会议的委员人数不得少于7人 ? C.来自投行业务部门的委员人数不得高于参会委员总人数的1/3 ? D.来自内部控制部门的委员人数不得低于参会委员总人数的1/3 ? E.至少有1名合规管理人员参与投票表决

2018年证券公司内部控制评价办法

2018年证券公司内部控制评价办法 2018年9月

目录 第一章总则 (3) 第二章内部控制评价工作机构和程序 (4) 第三章内部控制评价内容 (6) 第四章内部控制缺陷的认定与整改 (9) 第一节内部控制缺陷的分类 (9) 第二节内部控制缺陷的认定标准 (10) 第三节内部控制缺陷的整改 (11) 第五章内部控制评价报告 (12) 第六章附则 (15)

第一章总则 第一条为规范公司内部控制评价工作，全面评价内部控制的设计与运行情况，提高内部控制评价质量和效率，揭示和防范经营风险，根据《企业内部控制基本规范》《企业内部控制评价指引》《证券公司内部控制指引》《证券公司投资银行类业务内部控制指引》《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》等规定及《内部控制制度》，制定本办法。 第二条本办法所称内部控制评价，是指公司董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。 第三条公司实施内部控制评价，应遵循下列原则： （一）全面性原则。评价工作应包括内部控制的设计与运行，涵盖公司及其所属单位的各种业务和事项。 （二）重要性原则。评价工作应在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。 （三）客观性原则。评价工作应准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。 第四条公司内部控制评价包括年度评价和专项评价。年度评价是指对公司某一年度建立与实施内部控制的有效性进行的评价；专项评价是指公司在特定时点对特定范围的内部控制的有效性进行的评价。 第五条年度内部控制评价工作按照本办法执行。内部控制专项