① 想问下证券公司的风险控制一般的工作职责是什么
基本职责
1.按照上市公司内部控制指引要求,结合公司管理实际,建立并完善内部风险控制体系、管理流程,制定统一的风险管理政策和制度。
2.通过法务、合同、审计、风险控制的管理,有效防范风险,提高公司的风险控制水平。
3.完善风险辨识、评估以及风险管理策略制定等风险管理职能。
4.持续开展风险管理活动,完善风险管理报告体系。
5.完成领导交办的其他风险控制专项工作 。
② 如何让金融、证券、银行等行业减小网络风险
2018年中国互联网消费金融行业市场分析:监管政策出台促进行业日趋规范化发展
互联网消费金融发展概况分析
随着网络购物场景的发展,消费金融开始涉足电商领域,针对消费者最关注的价格因素,推出分期付款、30天无责免息等产品,分散消费者的购物压力,刺激消费增长,尤其是中高端消费的增长。消费金融除降低消费者购物压力刺激消费以外,还可以帮助电商企业及商家进行商品营销。通过优惠的支付条件吸引用户,实现用户引流和商品导购。例如根据电商平台的行业及人群特征,推出特定的营销活动,用户通过参与活动或者获得价格优惠,或者获得电商平台及互联网消费金融平台的消费积分。这种营销活动在引流、导购的同时,还可以增强用户粘性。
互联网消费金融在电商领域的应用,目前处于信用累积的过程,未来实现数据沉淀之后,基于个人账户的信用数据提供更多产品以外的增值服务,将成为其发展的一大趋势。
2014年以来,我国主要期限国债到期收益率逐渐走低,尤其是2015年的多次降息降准,使得资金成本持续走低,为我国消费金融创造了较为宽松的资金面和较低的资金成本。同时,2016-2017年,国家出台政策收紧银行房贷,使得居民贷款需求向互联网化方式转移。在双方面的共同作用下,我国互联网消费金融放贷于2016-2017年爆发式增长。
据前瞻产业研究院发布的《中国消费金融行业市场前瞻与投资战略规划分析报告》统计数据显示,2012年我国互联网消费金融放贷规模仅仅为18.6亿元。截止至2017年我国互联网消费金融放贷规模高速增长至4.38万亿元,较2016年增长了904%。2018年,居民房贷持续转移,加之我国金融理念的渗透和场景布设提升消费金融渗透情况,互联网消费金融放贷规模持续走高,初步测算2018全年达到约9.78万亿元左右,同比增长122.9%。
2012-2018年我国互联网消费金融放贷规模统计及增长情况预测
数据来源:前瞻产业研究院整理
监管政策频出,2018年行业已进入整顿期
互联网消费金融行业在快速增长的背后,也暴露出了诸多问题,如过度授信、暴力催收等不合规经营方式。为规范、整顿行业,2017年开始,国家出台了各项资质、业务监管政策:2017年6月,中国银监会、教育部等三部门联合印发《关于进一步加强校园贷规范管理工作的通知》暂停了网贷机构开展在校大学生网贷业务;11月,《关于立即暂停批设网络小额贷款公司的通知》出台,要求监管部门不得新批设网络小额贷款公司。
国家政策的密集出台,标志着我国互联网消费金融行业从增长期进入整顿期。
电商平台房贷规模最高,前十机构放贷规模占比67%
我国互联网消费金融的市场参与主体有电商、银行、P2P、持牌消费金融机构、消费分期平台和其他消费金融平台等。其中,电商平台消费金融凭借高流量、电商场景获得早期快速发展的优势,而后通过支付打通各消费场景,加之风控能力的优势从而实现领先地位。2017年其放贷规模最高,占当年我国总放贷规模的35%。
此外,银行凭借着资金成本优势在2017年快速发展;消费分期平台则通过线下推广等方式实现早期市场教育和获客。
2017年,互联网消费金融放贷规模前十机构的放贷量占全国总放贷量的67%,市场集中度有所下降。盖因2016-2017年市场参与机构较多,创新性较强,推动市场整体增速的同时也提高了长尾机构的市场占有率。2018年,市场增速放缓,政策监管趋严,市场向有资质、优质的互联网消费金融机构集中。
业务的合规开展、风控模型改善或成为业内机构的主攻方向
未来,随着国家监管政策的进一步实施,互联网消费金融行业也会越发的规范,无资质的机构将难以开展互联网消费金融业务。中短期来看,行业的增速将会受到一定影响,行业集中度将会进一步提升,业务的合规开展、风控模型改善等或成为业内机构的主攻方向。长期来看,行业机构的规模将逐步扩大,用户群体将更加稳定。
③ 证券公司内部控制指引的内部控制
第二十六条 证券公司经纪业务内部控制应重点防范挪用客户交易结算资金及其他客户资产、非法融入融出资金以及结算风险等。
第二十七条 证券公司应加强经纪业务整体规划,加强营业网点布局、规模、选址以及软、硬件技术标准(含升级)等的统一规划和集中管理;应制定统一完善的经纪业务标准化服务规程、操作规范和相关管理制度。
第二十八条 证券公司应制定标准化的开户文本格式,制定统一的开户程序,要求所属证券营业部按照程序认真审核客户资料的真实性和完整性,关注客户资金来源的合法性。
第二十九条 证券公司应建立对录入证券交易系统的客户资料等内容的复核和保密机制;应妥善保管客户开户、交易及其他资料,杜绝非法修改客户资料;应完善客户查询、咨询和投诉处理等制度,确保客户能够及时获知其账户、资金、交易、清算等方面的完整信息。
第三十条 证券公司应当要求所属证券营业部与客户签定代理交易协议,协议中除载明双方权利义务和风险提示外,还应列示营业部可从事的合法业务范围及证券公司授权的业务内容,向客户明示证券公司禁止营业部从事的业务内容。
第三十一条 证券公司应针对账户管理、资金存取及划转、委托与撤单、清算交割、指定交易及转托管、查询及咨询等业务环节存在的风险,制定操作程序和具体控制措施。
第三十二条 证券公司对开户、资金存取及划转、接受委托、清算交割等重要岗位应适当分离,客户资金与自有资金严格分开运作、分开管理。
第三十三条 证券公司应在证券营业部采用统一的柜面交易系统,并加强对柜面交易系统的风险评估,严防通过修改柜面交易系统的功能及数据从事违法违规活动;证券公司应采取严密的系统安全措施,严格的授权进入及记录制度,并开启系统的审计留痕功能。
第三十四条 证券公司应当实行法人集中清算制度及客户交易结算资金集中管理制度,保证客户交易结算资金的安全,防范结算风险。
第三十五条 证券公司应建立对托管证券等的登记程序与独立监控机制,严防发生挪用客户托管的证券等进行抵押、回购或卖空交易及其他损害客户利益的行为。
第三十六条 证券公司应通过身份认证、证件审核、密码管理、指令记录等措施,加强对交易清算系统的管理,确保交易清算系统的安全。
第三十七条 证券公司应建立健全经纪业务的实时监控系统。证券公司的监督检查部门或其他独立部门负责对证券营业部资金划转、证券转移、交易活动进行实时监控,并对异常资金流转、异常证券转移、异常交易及违规行为实时预警。
第三十八条 证券公司应定期、不定期地对证券营业部交易系统、财务系统和清算系统进行检查,加强交易信息与财务信息、清算信息的核对,确保相关信息与证券交易所、登记结算证券公司、商业银行等提供的信息相符。
第三十九条 证券公司应建立交易数据安全备份制度,对交易数据采取多介质备份与异地备份相结合的数据备份方式,确保交易数据的安全完整。
第四十条 证券公司网上交易系统应采取有效的身份认证及访问控制措施,网上交易系统应详细记录客户的网上交易和查询过程。加强交易方身份识别,并对访问权限进行控制,确保交易的安全、可靠。
第四十一条 证券公司网上交易系统应采用防火墙、入侵检测等措施保障网络安全,采用高强加密等有效技术手段,防止客户数据被窃取、篡改。
第四十二条 证券公司对于网络中断、委托中断、客户数据丢失、银证转账故障、交易服务器故障以及出现供电中断、火灾、抢劫等紧急情况,应制定和定期修订灾难恢复和应急处理预案,建立应急演习机制,确保及时有效地处理各种故障和危机。
第四十三条 证券公司应建立投资者教育与信息沟通机制,向投资者充分揭示投资风险,加强与投资者信息沟通。
第四十四条 证券公司应建立交易清算差错的处理程序和审批制度,建立重大交易差错的报告制度,明确交易清算差错的纠纷处理,防止出现隐瞒不报、擅自处理差错等情况。差错处理应留审计痕迹。
第四十五条证券公司应建立由相对独立人员对重点客户进行定期回访的制度。
第四十六条 证券公司应加强自营业务投资决策、资金、账户、清算、交易和保密等的管理,重点防范规模失控、决策失误、超越授权、变相自营、账外自营、操纵市场、内幕交易等的风险。
第四十七条 证券公司应建立健全自营决策机构和决策程序,加强对自营业务的投资策略、规模、品种、结构、期限等的决策管理。
第四十八条 证券公司应通过合理的预警机制、严密的账户管理、严格的资金审批调度、规范的交易操作及完善的交易记录保存制度等,控制自营业务运作风险。
第四十九条 证券公司应建立健全自营业务的授权体系,确保自营部门及员工在授权范围内行使相应的职责。
第五十条 证券公司自营业务的研究策划、投资决策、交易执行、交易记录、资金清算和风险监控等职能应相对分离; 重要投资要有详细研究报告、风险评估及决策记录。
第五十一条 证券公司应加强自营账户的集中管理和访问权限控制,自营账户应由独立于自营业务的部门统一管理,建立自营账户审批和稽核制度;采取措施防止变相自营、账外自营、出借账户等风险;防止自营业务与受托投资管理业务混合操作。
第五十二条 证券公司应建立完善的交易记录制度,加强电子交易数据的保存和备份管理,确保自营交易清算数据的安全、真实和完整,并确保自营部门和会计核算部门对自营浮动盈亏进行恰当的记录和报告。
第五十三条 证券公司应建立独立的实时监控系统,证券公司的监督检查部门或其他独立监控部门负责对证券持仓、盈亏状况、风险状况和交易活动进行有效监控并定期对自营业务进行压力测试,确保自营业务各项风险指标符合监管指标的要求并控制在证券公司承受范围内。
第五十四条 证券公司应加强对参与投资决策和交易活动人员的监察,通过定期述职和签订承诺书等方式提高其自律意识,防止利用内幕消息为自已及他人谋取不当利益。
第五十五条证券公司应确保自营资金来源的合法性。 第五十六条 证券公司应重点防范因管理不善、权责不明、未勤勉尽责等原因导致的法律风险、财务风险及道德风险。
第五十七条 证券公司应建立投资银行项目管理制度,完善各类投资银行项目的业务流程、作业标准和风险控制措施,加强项目的承揽立项、尽职调查、改制辅导、文件制作、内部审核、发行上市和保荐回访等环节的管理,加强项目核算和内部考核,完善项目工作底稿和档案管理制度。
第五十八条 证券公司应建立科学、规范、统一的发行人质量评价体系,应在尽职调查的基础上,在项目实施的不同阶段分别进行立项评价、过程评价和综合评价,提高投资银行项目的整体质量水平。
第五十九条 证券公司应建立尽职调查的工作流程,加强投资银行业务人员的尽职调查管理,贯彻勤勉尽责、诚实信用的原则,明确业务人员对尽职调查报告所承担的责任,并按照有关业务标准、道德规范要求,对业务人员尽职调查情况进行检查。
第六十条 证券公司应加强投资银行项目的内核工作和质量控制,证券公司投资银行业务风险(质量)控制与投资银行业务运作应适当分离,客户回访应主要由投资银行风险(质量)控制部门完成。
第六十一条 证券公司应加强证券发行中的定价和配售等关键环节的决策管理,建立完善的承销风险评估与处理机制,通过事先评估、制定风险处置预案、建立奖惩机制等措施,有效控制包销风险。
证券公司应建立对分销商分销能力的评估监测制度。
第六十二条 证券公司应加强投资银行项目协议的管理,明确不同类别协议的签署权限;在承接投资银行项目时,应与客户签订相关业务协议,对各自的权利、义务及其他相关事项作出约定。
第六十三条 证券公司应加强投资银行项目的集中管理和控制,对投资银行项目实施合理的项目进度跟踪、项目投入产出核算和项目利润分配等措施。
第六十四条 证券公司应建立与投资银行项目相关的中介机构评价机制,加强同律师事务所、会计师事务所、评估机构等中介机构的协调配合。
第六十五条 证券公司应当杜绝虚假承销行为。
第六十六条 证券公司应重点防范规模失控、决策失误、越权操作、账外经营、挪用客户资产和其他损害客户利益的行为以及保本保底所导致的风险。
第六十七条 证券公司应由受托投资管理部门统一管理受托投资管理业务。受托投资管理业务应与自营业务严格分离,独立决策、独立运作。
第六十八条 证券公司应针对业务受理、投资运作、资金清算、财务核算等环节制定规范的业务流程、操作规范和控制措施,有效防范各类风险。
第六十九条 证券公司应对委托人的资信状况、收益预期、风险承受能力、投资偏好等进行了解,并关注委托人资金来源的合法性。
第七十条证券公司应当根据法律、法规和中国证监会的规定,制定规范的受托投资管理合同,公平对待委托人。
受托投资管理合同中不得有承诺收益条款。
第七十一条 证券公司应与委托人签订受托投资管理合同,严格合同审批程序。证券公司应在合同约定的权限内管理受托资产,严格控制风险。
第七十二条 证券公司应封闭运作、专户管理受托资产,确保客户资金与自有资金的分户管理、独立运作,确保受托资产的安全、完整。
证券公司应创造条件积极引入有资质的银行作为托管人托管受托资产。
第七十三条 证券公司应建立规范的风险预警机制,由独立的监督检查部门或风险控制部门监控受托投资管理业务的运作状况,进行定期或不定期的检查、评价。
第七十四条 证券公司应加强受托投资管理业务的合同、交易、投诉处理等档案资料的集中管理,确保对浮动盈亏进行恰当的记录,并向委托人及时提供受托资产估值和风险状况的信息。
证券公司应当制定明确、详细的受托投资管理业务信息披露制度,保证委托人的知情权。合同到期后,编制的结算报告应由委托人进行确认,必要时由中介机构或托管人审核。
第七十五条 证券公司应当根据自身的管理能力及风险控制水平,合理控制受托投资管理业务规模。 第七十六条 证券公司应重点防范传播虚假信息、误导投资者、无资格执业、违规执业、以及利益冲突等的风险。
第七十七条 证券公司应加强研究咨询业务的统一管理,完善研究咨询业务规范和人员管理制度,制定适当的执业回避、信息披露和隔离墙等制度,防止利益冲突。
第七十八条 证券公司应加强对客户的了解,及时为客户提供有针对性的证券投资咨询服务,与客户保持畅通的沟通渠道,及时妥善处理客户咨询和投诉。
第七十九条 证券公司应通过部门设置、人员管理、信息管理等方面的隔离措施,建立健全研究咨询部门与投资银行、自营等部门之间的隔离墙制度;对跨隔离墙的人员、业务应有完整记录,并采取静默期等措施;对跨越隔离墙的业务、人员应实行重点监控。
第八十条 证券公司应加强对各营业场所工作室(包括网上工作室)和集会性投资咨询活动的集中管理和风险控制,确保向公众提供证券投资咨询服务人员具备证券投资咨询人员执业资格,确保相关活动已履行报备手续,确保证券公司所辖营业场所没有非法投资咨询活动。
第八十一条 证券公司应当加强证券投资咨询执业人员的管理和执业资格(证书)的管理,确保不存在人员兼职和挂靠,对执业人员发生变动的应及时办理变更(包括离开咨询岗位)手续。
第八十二条 证券公司应当建立健全研究咨询业务档案和客户服务档案,包括客户服务记录、对公众荐股记录、研究报告及公开发表的研究咨询文章等,履行相关资料的备案义务。 第八十三条 证券公司对业务创新应重点防范违法违规、规模失控、决策失误等风险。
第八十四条 证券公司业务创新应当坚持合法合规、审慎经营的原则,加强集中管理和风险控制。
第八十五条 证券公司应建立完整的业务创新工作程序,严格内部审批程序,对可行性研究、产品或业务设计、风险管理、运作与实施方案等作出明确的要求,并经董事会批准。
第八十六条 证券公司应在可行性研究的基础上,及时与中国证监会沟通,履行创新业务的报备(报批)程序。
第八十七条 证券公司应对创新业务设计科学合理的流程,制定风险控制措施及相应财务核算、资金管理办法。
第八十八条 证券公司应注重业务创新的过程控制,及时纠正偏离目标行为。 第八十九条 证券公司应重点防范分支机构越权经营、预算失控以及道德风险。
第九十条 证券公司应建立切实可行的分支机构管理制度,加强对分支机构的印章、证照、合同、资金等的管理,及时掌握分支机构业务状况。
第九十一条 证券公司对分支机构的授权应当合理、明确,确保分支机构严格在授权范围内经营,并制定防止越权经营的措施。
第九十二条 证券公司应明确分支机构业务发展目标和管理目标,加强分支机构的资金、费用、利润的预算管理和考核;证券公司对分支机构业绩的考核标准应当全面。
第九十三条 证券公司应当通过现场检查和非现场检查等手段,加强对分支机构的监督检查。
第九十四条 证券公司应要求分支机构向客户公布自身及证券公司的投诉电话、传真、电子信箱和其他相关信息,确保投诉得到及时处理。
第九十五条 证券公司应要求分支机构建立重大事件报告制度以及突发事件应急机制。 第九十六条 证券公司应建立健全财务管理制度和资金计划控制制度,明确界定预算编制与执行的责任,建立适当的资金管理绩效考核标准和评价制度。
第九十七条 证券公司客户资金与自有资金应严格分开,强化资金的集中管理。
证券公司应由专门部门统一进行证券公司自有资金的计划、筹集、分配、使用,加强对自有资金运用风险、效益的监控与考核。
证券公司应集中负债管理权限,强化负债风险、成本、规模的控制。
第九十八条 证券公司应将客户债券和自有债券分开管理,加强自有债券回购业务的集中化管理和回购资金的计划管理,严格控制自有债券回购业务规模,严防挪用客户债券从事回购业务。
第九十九条 证券公司应制定明确的财务制度及资金管理流程,严格执行资金调拨、资金运用的审批程序,加强资金筹集的规模、结构、方式的计划管理;禁止分支机构从事资金拆借、借贷、担保以及自营债券回购。
第一百条 证券公司应制定并严格执行费用管理办法,加强费用的预算控制,明确费用标准,严格备用金借款管理和费用报销审批程序。
第一百零一条 证券公司应有专门部门负责证券公司客户交易结算资金的结算和头寸管理工作,防范挪用客户交易结算资金等风险。
第一百零二条 证券公司应加强银行账户管理。分支机构除根据授权在经批准的当地银行账户保留必要的资金外,其余资金应当及时划转证券公司总部。
证券公司应严格控制业务部门、分支机构之间直接横向资金往来。
第一百零三条 证券公司应加强资金风险监测,严格控制流动性风险,特别防范营业部违规受托理财、证券回购和为客户融资所带来的风险。
第一百零四条 证券公司应建立大额资金筹集和使用的事前风险收益评估制度,重大资金的筹集、分配与运用以及对外担保、资产抵押、对外投资、重大资产购置等应进行集体决策。
第一百零五条 证券公司应定期对业务部门及分支机构的现金库存管理状况、资金结算情况、银行存款和内部往来、大额款项及资金使用效益进行跟踪检查或抽查。
第一百零六条 证券公司应实时监控资金余额及其变动情况,建立预警和异常情况的处理机制。
第一百零七条 证券公司应当合理分配利润,确保足额提取公积金和风险准备金,增强可持续发展能力。 第一百零八条 证券公司应按照相关会计准则和会计制度的规定,结合实际情况,建立健全证券公司的会计核算办法,加强会计基础工作,提高会计信息质量。
证券公司应确保分支机构会计核算的一致性。
第一百零九条 证券公司会计核算应合规、及时、准确、完整,变更会计政策应经董事会批准,确保会计政策的一贯性。
第一百一十条 证券公司应强化会计监督职能,加强会计事前、事中和事后监督,加强对负债项目的管理、大额支出的跟踪考核、重大表外项目(如担保、抵押、托管证券、未决诉讼、赔偿事项等)的风险管理以及资产质量的监控。
第一百一十一条 证券公司应强化资产登记保管工作,采用实物盘点、账实核对、财产保险等措施,确保证券公司及客户资产的安全完整。
第一百一十二条 证券公司应完善会计信息报告体系,确保提供及时、可靠的财务信息。
第一百一十三条 证券公司应制定完善的会计档案管理和交接制度。
第一百一十四条 证券公司应建立信息系统的管理制度、操作流程、岗位手册和风险控制制度,加强信息技术人员、设备、软件、数据、机房安全、病毒防范、防黑客攻击、技术资料、操作安全、事故防范与处理、系统网络等的管理。
第一百一十五条 证券公司应设立专门的信息技术部门,统一归口管理信息技术工作,加强对立项、设计、开发、测试、运行与维护等环节的管理,并定期对信息系统的可靠性和安全性进行检查。
证券公司信息系统的立项审批与开发、运行与维护、开发测试与日常运转之间应适当分离。
第一百一十六条 证券公司应严格系统进入控制以及信息系统的权限、密码管理,权限的审批、设置、变动以及密码的使用、修改应有严格的控制措施并保留完备的记录。
用户权限设置应当遵循权限最小化原则。
第一百一十七条 证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能。
证券公司信息系统日志应至少保存15年。
第一百一十八条 证券公司应建立可靠完备的灾难备份计划和应急处理机制;数据和重要资料做到异地备份,条件允许应建设异地计算机灾难备份中心;制定详细的信息系统安全应急方案并定期修订、演练。
第一百一十九条 证券公司应建立系统安全和病毒防范制度,实时监控信息系统的安全,严防黑客或病毒入侵系统。
第一百二十条证券公司与交易结算相关的技术系统应符合中国证监会、证券交易所及登记结算公司相关技术规范的要求。 第一百二十一条 证券公司应当高度重视聘用人员的诚信记录,确保其具有与业务岗位要求相适应的专业能力和道德水准。
证券公司应当要求聘用人员以恰当形式进行诚信承诺。
第一百二十二条 证券公司应建立职能管理部门和派出人员的工作联络机制,强化对分支机构负责人及电脑、财务等关键岗位人员的垂直管理。
第一百二十三条 证券公司关键岗位人员应当实行定期或不定期的轮换和强制休假制度。
第一百二十四条 证券公司关键岗位人员任期届满、工作调动或离职,应当进行任期经济责任审计及专项审计。证券公司对高级管理人员、分支机构负责人的相关稽核审计报告应当向中国证监会及派出机构备案。
第一百二十五条 证券公司应当培育良好的内部控制文化,建立健全员工持续教育制度,加强对员工的法规及业务培训,确保所有从业人员及时获得充分的法律法规、内部控制和行为规范的最新文件和资料,确保员工书面承诺收到相关资料并理解其内容。
第一百二十六条 证券公司应当加强业务人员的从业资格管理,上岗人员应当符合相关资格管理的规定。
第一百二十七条 证券公司应当建立合理有效的激励约束机制,建立严格的责任追究制度。
证券公司对员工的绩效考核、评价制度应当达到鼓励员工守法经营的目的。
第一百二十八条 证券公司应当制定严谨、公开、合理的人事选拔制度,任免程序中应明确规定任免决定权的归属。人事任免应有完备的决策记录。第一百二十九条证券公司应建立高级管理人员、分支机构负责人及其他关键岗位人员的年度述职报告及定期谈话制度。
第一百三十条 证券公司应加强对高级管理人员、分支机构负责人及其他关键岗位人员的档案(包括外事档案)管理。
第一百三十一条 证券公司高级管理人员离职,证券公司应当向中国证监会及注册地派出机构和主要办事机构在地派出机构及时报告,并对离职原因作出说明。
分支机构负责人及其他关键岗位人员离职,证券公司应当向主要办事机构所在地中国证监会派出机构及时报告,并对离职原因作出说明 。
④ 证券投资的主要风险有哪些,如何规避风险要简短点的交作业
我国证券公司(指综合性证券公司)的主要业务按照《证券法》的有关规定有经纪、承销、自营、兼并收购、基金管理、咨询服务等。因此证券公司风险根据业务可分为以下四大类:
(一)证券经纪业务风险
由于经纪业务收入占证券公司总收入的比例较大,一般达到40—50%以上,因此经纪业务风险是证券公司最基本的风险,主要表现有:
1.经营风险
由于经纪业务的佣金收入占证券公司总收入的比重较大,证券公司对经纪业务的依赖性增强,二级市场行情波动对证券公司收益影响较大,当行情低迷时,固定成本(如通讯费用、场地租金等)居高不下,经营风险凸现。
上海证券交易所2000年度会员年检结果显示,96家证券公司类会员只有32%被列为年检好会员,与99年相比在总体规模、盈利水平有一定提高的同时,仍有近十家证券公司出现亏损或接近亏损,相当一部分证券公司净资产低于平均水平,在资产经营安全性、合法合规经营、内部控制等方面仍需进一步完善。
2.拓展业务风险
随着证券市场规范化、市场化、国际化改革的深入,证券公司在激烈的竞争中拓展业务时采用的一系列手段措施,面临较大风险:
(1)向客户融资。由于向客户透支资金的方法已经被严厉禁止,变相透支资金的情况时有发生(例如利用国债交易向客户融资等),有的还与银行共同协作,使融资行为不易被发现。(2)返佣。返佣使经营成本加大,一旦行情不好,返佣成为节约费用的包袱;返佣的帐务处理有的返还现金,管理漏洞较多;返佣比例制定亦有较大的随意性,增加了规范管理的难度;同时返佣税金的收取有的只代扣了个人所得税,未扣所得税、营业税,留下了隐患。(3)提供担保。证券公司有的分支机构为客户贷款资金提供担保,因担保方比较隐蔽,只有在资金链出现断裂,才有可能被发现,而这时证券公司面临的风险已十分严重。(4)三方监管。有的证券公司分支机构实行三方监管(一客户提供资金给另一客户买股票,证券公司分支机构监管客户的股票,以保证另一客户资金安全),这是《证券法》不允许的行为,监管协议不受法律保障,监管行为不受法规认可,一旦发生纠纷,证券公司十分被动。(5)业务创新。为追求规模扩大和市场占有率增加,证券公司开展了一系列的业务创新,并与银行、保险等机构结成战略伙伴关系,业务创新遇到来自包括技术、咨询、培训和推广等多方面的挑战,风险控制难度加大。
3.系统网络风险
随着网络信息技术在证券行业的广泛应用,随着证券行业业务创新的不断深入,网络是否安全可靠、网络是否便捷高效变得越来越重要。但证券公司对此的风险控制及抗风险能力仍不容乐观。
(二)证券承销业务风险
证券承销业务是证券公司的主要业务之一,因为项目周期长,受市场不可预测因素影响较大,随着监管力度的加强,证券公司的连带责任增加,公司各项风险增大。
如对上市公司的经营状况及发展前景研究不够,推荐企业发行证券失败而使证券公司遭受利润和信誉损失的风险。对二级市场的走势判断错误,造成股票价格定位不合理或债券的利率和期限设计不符合市场需求,券商包销的股票卖不出去;或者在增发配股时成了上市公司大股东,证券公司资金被大量占用引发财务风险。随着B股市场将率先成为全流通市场,B股承销业务将有较大发展,如果履行包销责任,还可能出现外汇风险。对上市公司进行过分包装,在信息披露上出现过错,误导投资人,造成违规违法的风险。
(三)自营业务风险
作为证券公司传统业务之一,证券自营收入约占中国证券公司总收入的30%,但其风险却比较巨大。首先是市场风险,自营收益与二级市场走势关系密切。目前我国证券二级市场整体来讲投机气氛较浓,市场波动相对频繁,很多证券公司未建立有效的业务决策系统、调研系统、操作系统及相应的管理制度责任制度,面对相对较少的投资品种,证券公司无法利用套期保值等手段规避证券市场波动的系统风险,因此,二级市场的价格异常波动会给公司业务带来较大的风险。其次是新业务风险,很多新的交易品种即将推出,但由于业务新、经验少,容易出现问题。同时它在能够规避风险的同时,也有放大风险的效应。“李森事件”把百年历史的“巴林银行”毁于一旦就是典型的案例。第三是违规操作风险,追求自营业务收益增加,恶意炒作使股价震荡加剧从中获利。这种行为是《证券法》所严厉禁止的。一旦受到查处,公司的各项业务都将受到严重影响。
(四)其他业务风险
在上述三大业务之外,资产管理业务是很多证券公司未来发展的重点,但其带来的风险在2001年表现得尤为突出。虽然《证券法》以及中国证监会的有关规定指出,证券公司在从事资产管理业务过程中不得向委托人承诺投资收益,但是不少证券公司在进行资产管理业务时,还是违规进行保底和收益分配承诺,在操作不当时,易使应由客户承担的市场风险,转化为由证券公司承担实际的亏损。同时该业务未形成一套完整的收益分配机制,致使收益分配的品种单一、凭经验确定,客户可选择的机会少,证券公司遇行情波动较大时,风险应对的能力欠佳。假设某证券公司注册资金20亿元,实际资产管理的资金100亿元。允诺资金的保底利润率是10%。按此计算,其年成本在10亿元左右,在大盘下跌20%,损失应超过15%达8.5亿元,加上公司自有的自营资金按10亿元计算,大盘下跌损失2亿元,则两者合计损失超过20.5亿元,对该证券公司来说已达到生死存亡的地步。因此,证券公司在开展资产管理业务时一定要注意风险。不能盲目扩展。其他如国外证券公司获利丰厚的资产重组、并购业务在我国虽然也开展,但业务量较小,所以其风险并不明显。
⑤ 证券期货业信息安全保障管理办法
第一章总则第一条为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定本办法。第二条证券期货业信息安全保障、管理、监督等工作适用本办法。第三条证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。第四条证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。第五条开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。第六条为证券期货业提供软硬件产品或者技术服务的供应商(以下简称供应商),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。第七条中国证监会支持、协助国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全保障工作实施监督管理。
中国证监会派出机构按照授权履行监督管理职责。第八条中国证监会及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。第九条证券、期货、证券投资基金等行业协会(以下简称证券期货行业协会)依照本办法的规定,对会员的信息安全工作实行自律管理。第十条核心机构依照本办法的规定,对市场相关主体关联信息系统的安全保障工作进行督促、指导。第二章基本要求第十一条核心机构和经营机构应当具有合格的基础设施。机房、电力、空调、消防、通信等基础设施的建设符合行业信息安全管理的有关规定。第十二条核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。第十三条核心机构和经营机构应当建立符合业务要求的信息系统。信息系统应当具有合理的架构,足够的性能、容量、可靠性、扩展性和安全性,能够支持业务的运行和发展。第十四条核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,拥有执行程序和源代码并安全可靠存放,在重要信息系统上线前对执行程序和源代码进行严格的审查和测试。第十五条核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或者被篡改。第十六条核心机构和经营机构应当建立完善的信息技术治理架构,明确信息技术决策、管理、执行和内部监督的权责机制。第十七条核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。第十八条核心机构应当制定本机构与市场相关主体信息系统安全互联的技术规则,并报中国证监会备案。
核心机构依法督促市场相关主体执行技术规则。第十九条核心机构应当提供多种互为备份的远程接入方式,保证市场相关主体安全接入,并对市场相关主体的远程接入进行监控与管理。第三章持续保障要求第二十条核心机构和经营机构应当保障充足、稳定的信息技术经费投入,配备足够的信息技术人员。第二十一条核心机构和经营机构应当根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足业务发展和信息安全管理的需要。第二十二条核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。第二十三条核心机构交易、行情、开户、结算、通信等重要信息系统上线或者进行重大升级变更时,应当组织市场相关主体进行联网测试,并按规定进行报告。
⑥ 证券的风险分析
1.经营风险
由于经纪业务的佣金收入占证券公司总收入的比重较大,证券公司对经纪业务的依赖性增强,二级市场行情波动对证券公司收益影响较大,当行情低迷时,固定成本(如通讯费用、场地租金等)居高不下,经营风险凸现。
上海证券交易所2000年度会员年检结果显示,96家证券公司类会员只有32%被列为年检好会员,与99年相比在总体规模、盈利水平有一定提高的同时,仍有近十家证券公司出现亏损或接近亏损,相当一部分证券公司净资产低于平均水平,在资产经营安全性、合法合规经营、内部控制等方面仍需进一步完善。
2.拓展业务风险
随着证券市场规范化、市场化、国际化改革的深入,证券公司在激烈的竞争中拓展业务时采用的一系列手段措施,面临较大风险:
(1)向客户融资。由于向客户透支资金的方法已经被严厉禁止,变相透支资金的情况时有发生(例如利用国债交易向客户融资等),有的还与银行共同协作,使融资行为不易被发现。
(2)返佣。返佣使经营成本加大,一旦行情不好,返佣成为节约费用的包袱;返佣的帐务处理有的返还现金,管理漏洞较多;返佣比例制定亦有较大的随意性,增加了规范管理的难度;同时返佣税金的收取有的只代扣了个人所得税,未扣所得税、营业税,留下了隐患。
(3)提供担保。证券公司有的分支机构为客户贷款资金提供担保,因担保方比较隐蔽,只有在资金链出现断裂,才有可能被发现,而这时证券公司面临的风险已十分严重。
(4)三方监管。有的证券公司分支机构实行三方监管(一客户提供资金给另一客户买股票,证券公司分支机构监管客户的股票,以保证另一客户资金安全),这是《证券法》不允许的行为,监管协议不受法律保障,监管行为不受法规认可,一旦发生纠纷,证券公司十分被动。
(5)业务创新。为追求规模扩大和市场占有率增加,证券公司开展了一系列的业务创新,并与银行、保险等机构结成战略伙伴关系,业务创新遇到来自包括技术、咨询、培训和推广等多方面的挑战,风险控制难度加大。
3.系统网络风险
随着网络信息技术在证券行业的广泛应用,随着证券行业业务创新的不断深入,网络是否安全可靠、网络是否便捷高效变得越来越重要。但证券公司对此的风险控制及抗风险能力仍不容乐观。
证券承销业务是证券公司的主要业务之一,因为项目周期长,受市场不可预测因素影响较大,随着监管力度的加强,证券公司的连带责任增加,公司各项风险增大。
如对上市公司的经营状况及发展前景研究不够,推荐企业发行证券失败而使证券公司遭受利润和信誉损失的风险。对二级市场的走势判断错误,造成股票价格定位不合理或债券的利率和期限设计不符合市场需求,券商包销的股票卖不出去;或者在增发配股时成了上市公司大股东,证券公司资金被大量占用引发财务风险。
随着B股市场将率先成为全流通市场,B股承销业务将有较大发展,如果履行包销责任,还可能出现外汇风险。对上市公司进行过分包装,在信息披露上出现过错,误导投资人,造成违规违法的风险。
⑦ 《证券经营机构投资者适当性管理实施指引(试行)》
证券经营机构投资者适当性管理实施指引(试行)
第一条 为督促、引导证券行业有效落实适当性管理要求,维护投资者合法权益,根据《证券法》、《证券公司监督管理条例》、《证券期货投资者适当性管理办法》(以下简称《办法》)及其他相关法律、行政法规和中国证监会规定,制定本指引。
第二条 证券公司及其子公司、证券投资咨询机构(以下统称“证券经营机构”)向投资者销售金融产品,或者以投资者买入金融产品为目的提供证券经纪、投资顾问、融资融券、资产管理、柜台交易等金融服务,适用本指引。
第三条 证券经营机构可以通过由投资者填写《投资者基本信息表》等多种方式了解《办法》第六条规定的投资者基本信息。
第四条 证券经营机构可以要求符合《办法》第八条第(一)、(二)、(三)项条件的投资者提供营业执照、经营证券、基金、期货业务的许可证、经营其他金融业务的许可证、基金会法人登记证明、QFII、RQFII、私募基金管理人登记材料等身份证明材料,理财产品还需提供产品成立或备案文件等证明材料。符合前述条件的投资者经核验属实的,证券经营机构可将其直接认定为专业投资者,并将认定结果书面告知投资者。
第五条 证券经营机构可以要求符合《办法》第八条第(四)、(五)项条件的投资者提供下列材料:
(一)法人或其他组织投资者提供的最近一年财务报表、金融资产证明文件、两年以上投资经历的证明材料等;
(二)自然人投资者提供的本人金融资产证明文件或近三年收入证明,投资经历或工作证明或职业资格证书等。
符合前述条件的投资者经核验属实的,证券经营机构可将其直接认定为专业投资者,并将认定结果书面告知投资者。
第六条 普通投资者申请转化成为专业投资者的,证券经营机构可以要求其提供下列材料:
(一)专业投资者申请书,确认自主承担产生的风险和后果;
(二)法人或其他组织投资者提供的最近一年财务报表、金融资产证明文件、一年以上投资经历等证明材料;
(三)自然人投资者提供的金融资产证明文件或者近三年收入证明或一年以上投资经历或工作经历等证明材料。
证券经营机构完成申请材料核验后还应该按照《办法》第十二条规定,对投资者进行审慎评估。符合普通投资者转为专业投资者的,应当说明对不同类别投资者履行适当性义务的差别,警示可能承担的投资风险,书面告知其审查结果和理由;不符合转化为专业投资者的,也应当书面告知其审查结果和理由。
证券经营机构应当按照《办法》第二十五条的规定对审查结果告知和警示进行全过程录音或者录像,或者以符合法律、行政法规要求的电子方式进行确认。
第七条 符合《办法》第八条第(四)、(五)项规定的专业投资者申请转化普通投资者的,证券经营机构应当及时将其变更为普通投资者,按照规定对投资者风险承受能力进行综合评估,确定其风险承受能力等级,履行相应适当性义务。
第八条 证券经营机构应当根据普通投资者信息,通过投资者填写《投资者风险承受能力评估问卷》等方法对其风险承受能力进行综合评估。《投资者风险承受能力评估问卷》的设计应当科学、合理、全面、通俗易懂。
第九条 证券经营机构可以将普通投资者按其风险承受能力等级由低到高至少划分为五级,分别为:C1(含风险承受能力最低类别的投资者)、C2、C3、C4、C5。具体分类标准、方法及其变更应当告知投资者。
证券经营机构应当与普通投资者确认其风险承受能力等级结果,并以书面方式记载留存。
第十条 《投资者基本信息表》、《投资者风险承受能力评估问卷》应当由投资者本人或合法授权人填写。证券经营机构及其工作人员不得以明示、暗示等方式诱导、误导、欺骗投资者,影响填写结果。
第十一条 证券经营机构应当及时将投资者信息录入投资者评估数据库,并根据更新的信息持续评估投资者风险承受能力。投资者评估数据库中应当至少包含下列信息:
(一)《办法》第六条所规定的投资者信息及本指引规定的证明材料;
(二)历次《投资者风险承受能力评估问卷》内容、评估时间、评估结果等;
(三)投资者申请成为专业投资者或转化为普通投资者的申请书、审查结果告知和警示等;
(四)投资者投资交易记录,包括但不限于产品或服务及其风险等级、交易权限、交易频率等;
(五)投资者在证券经营机构的失信记录;
(六)中国证监会、中国证券业协会(以下简称“协会”)及证券经营机构认为必要的其它信息。
前述第(四)项不适用于证券投资咨询机构。
第十二条 证券经营机构可以将C1中符合下列情形之一的自然人,作为风险承受能力最低类别的投资者:
(一)不具有完全民事行为能力;
(二)没有风险容忍度或者不愿承受任何投资损失;
(三)法律、行政法规规定的其他情形。
第十三条 证券经营机构应当根据《办法》第十六、十七条规定的因素,通过科学、合理的方法对产品或服务进行综合评估,确定其风险等级。
第十四条 证券经营机构可以将产品或服务风险等级由低至高至少划分为五级,分别为:R1、R2、R3、R4、R5。具体划分方法、标准及其变更应当告知投资者。
证券经营机构应当根据《产品或服务风险等级名录》列出相对应的产品或服务清单。
第十五条 证券经营机构向投资者销售产品或者提供服务涉及投资组合或资产配置的,应当按照投资组合或资产配置的整体风险对该产品或者服务进行风险等级评估,确定其风险等级。
第十六条 证券经营机构向普通投资者销售产品或提供服务,应当在遵守法律、行政法规、中国证监会规定以及投资者准入要求的前提下,根据投资者的风险承受能力等级与产品或服务的风险等级相匹配的原则,对投资者提出适当性匹配意见,履行适当性义务。
第十七条 证券经营机构应当根据本机构及普通投资者的实际情况,确定其风险承受能力等级与产品或服务的风险等级适当性匹配的具体方法,也可以参照以下方式确定:
(一)C1级投资者匹配R1级的产品或服务;
(二)C2级投资者匹配R2、R1级的产品或服务;
(三)C3级投资者匹配R3、R2、R1级的产品或服务;
(四)C4级投资者匹配R4、R3、R2、R1级的产品或服务;
(五)C5级投资者匹配R5、R4、R3、R2、R1级的产品或服务。
专业投资者可以购买或接受所有风险等级的产品或服务,法律、行政法规、中国证监会规定及市场、产品或服务对投资者准入有要求的,从其规定和要求。
第十八条 证券经营机构对投资者提出的适当性匹配意见不代表其对产品或服务的风险和收益作出实质性判断或保证。投资者在参考证券经营机构适当性匹配意见的基础上,根据自身能力审慎独立决策,独立承担投资风险。
第十九条 证券经营机构告知投资者不适合购买相关产品或者接受相关服务后,投资者主动要求购买风险等级高于其风险承受能力的产品或者接受相关服务的,证券经营机构在确认其不属于风险承受能力最低类别的投资者后,应当就产品或者服务风险高于其承受能力进行特别的书面风险警示,投资者仍坚持购买的,可以向其销售相关产品或者提供相关服务。
第二十条 投资者风险承受能力等级与产品或服务风险等级相匹配的,证券经营机构应当与投资者签署确认适当性匹配结果;不匹配的,应当与投资者签署确认风险警示。
第二十一条 证券经营机构销售产品、提供服务,应当向投资者充分披露产品或服务信息以及有助于投资者作出投资分析判断的其他信息。披露的信息不得含有虚假、误导性陈述或存在重大遗漏,不得欺诈投资者。
第二十二条 证券经营机构销售产品、提供服务,应当向投资者充分揭示产品或服务的信用风险、市场风险、流动性风险等可能影响投资者权益的主要风险以及具体产品或服务的特别风险,并由投资者签署确认。
第二十三条 证券经营机构应当建立健全投资者回访制度,对购买产品或接受服务的投资者,每年抽取不低于上一年度末购买产品或接受服务的投资者总数(含购买或者接受产品或服务的风险等级高于其风险承受能力的投资者,不含休眠账户及中止交易账户投资者)的10%进行回访。回访的内容包括但不限于:
(一)受访人是否为投资者本人;
(二)受访人是否按规定填写了《投资者基本信息表》、《投资者风险承受能力评估问卷》等并按要求签署;
(三)受访人是否已知晓产品或服务的风险以及相关风险警示;
(四)受访人是否已知晓所购买产品或接受服务的业务规则;
(五)受访人是否已知晓自己的风险承受能力等级、购买的产品或者接受服务的风险等级以及适当性匹配意见;
(六)受访人是否知晓承担的费用以及可能产生的投资损失;
(七)证券经营机构及其工作人员是否存在《办法》第二十二条规定的禁止行为。
第二十四条 证券经营机构应当结合自身实际需要,定期或不定期对相关岗位人员开展与适当性管理有关的培训,提高其履行适当性义务所需的知识和技能。
第二十五条 证券经营机构应当将相关岗位人员履行适当性义务、处理客户投诉与纠纷等纳入绩效考核范围。
证券经营机构不得采取鼓励不适当销售或服务的考核激励措施。
第二十六条 证券经营机构应当对相关岗位人员履行适当性义务的行为进行监督检查,对违反投资者适当性管理规定的人员进行问责。
第二十七条 证券经营机构及其工作人员应当对在履行适当性义务时获取的投资者基本信息、投资者风险承受能力评级结果等信息严格保密,防止该等信息被泄露或被不当利用。
第二十八条 证券经营机构应妥善处理因履行适当性义务引起的投资者投诉与纠纷,保存相关记录,及时分析总结,改进和完善相关机制与制度。
第二十九条 证券经营机构应当依据《办法》第三十条的规定进行适当性自查,自查的内容包括但不限于适当性管理制度建设及落实、人员培训及考核、投资者投诉纠纷处理、发现问题及整改等情况。
第三十条 证券经营机构与投资者发生适当性相关的纠纷,可以按相关规定向协会申请调解。
第三十一条 协会对证券经营机构履行适当性义务进行自律管理,对违反适当性管理规定的证券经营机构及人员依法采取自律惩戒措施。
第三十二条 本指引所称书面形式包括纸质或电子形式。
第三十三条 本指引由中国证券业协会负责解释。
第三十四条 本指引自2017年7月1日起实施,《证券公司投资者适当性制度指引》、《关于发布<个人投资者风险承受能力评估问卷(试行模板)>的通知》同时废止。
附件:1、投资者基本信息表
2、专业投资者申请书
3、专业投资者告知及确认书
4、投资者风险承受能力评估问卷
5、投资者风险承受能力评估结果告知书
6、产品或服务风险等级名录
7、适当性匹配意见确认书
8、产品或服务风险警示及投资者确认书
附件1:
投资者基本信息表(自然人)
填表日期: 年 月 日 资金账号:
投资者基本信息(申请人填写)
姓名
性别
出生日期
国籍
实际控制投资者的自然人
交易的实际受益人
职业
□党政机关工作人员 □企事业单位职工 □农民 □个体工商户 □注册会计师 □ 律师□学生 □金融机构从业人员 □金融机构高级管理人员 □无业 □其他,
工作单位
职务
学历
□博士 □硕士 □大本 □大专
□中专□高中 □初中及以下
诚信记录
是否有以下来源的不良诚信记录?
□中国人民银行征信中心 □最高人民法院失信被执行人名单 □工商行政管理机构 □税务管理机构 □监管机构、自律组织 □投资者在证券经营机构的失信记录 □其他,
□无 □有(请注明):___________________________________
身份证件类型
身份证件号码
身份证件
有效期限
固定电话
手机号码
联系地址
邮政编码
Email
本人保证资金来源的合法性和所提供资料的真实性、准确性、完整性,并对其承担责任。
申请人签名: 日期: 年 月 日
经办人签章: 复核人签章: 营业网点盖章:
事后审核签章:
日期: 年 月 日
投资者基本信息表(机构)
填表日期: 年 月 日 资金账号/客户号:
投资者基本信息(申请人填写)
机构名称
控股股东或实际控制人
机构类型
□一般企业法人 □金融机构□社会公益基金□QFII□RQFII□其他组织____________
住所地
经营范围
组织机构代码
税务登记证号码
证明该机构依法设立或者可依法开展经营、社会活动的证照类型
证明该机构依法设立或者可依法开展经营、社会活动的证照号码
证明该机构依法设立或者可依法开展经营、社会活动的证照有效期限
机构联系电话
联系地址
邮政编码
法定代表人姓名
法定代表人身份证件类型
法定代表人身份证件号码
法定代表人身份证件有效期限
授权代表人姓名
授权代表人身份证件类型
授权代表人身份证件号码
授权代表人身份证件有效期限
授权代表人电话
授权代表人
手机号码
授权代表人联系地址
邮政编码
Email地址
实际控制投资者的自然人
姓名:
电话:
交易的实际受益人
姓名:
电话:
诚信记录
是否有来源于以下机构的不良诚信记录?
□中国人民银行征信中心 □最高人民法院失信被执行人名单 □工商行政管理机构 □税务管理机构 □监管机构、自律组织 □投资者在证券经营机构的失信记录 □其他组织
□无 □有
本机构保证资金来源的合法性和所提供资料的真实性、准确性、完整性,并对其承担责任。
机构授权代表人签名: 机构法定代表人签名:
机构盖章: 日期: 年 月 日
经办人签章: 复核人签章: 营业网点盖章:
事后审核人签章:
日期: 年 月 日
注:机构投资者包括法人和其他组织。
附件2:
专业投资者申请书
投资者申请栏
投资者姓名/名称
资金账号
身份证明文件类别及号码
本人/机构自愿申请被划分为专业投资者,已按要求提供财产状况、投资经历、从业经历等相关证明材料,承诺所提供材料真实、准确、完整并对其负责,所提供材料符合下述相应类别的各项要求,并自主承担产生的风险和后果。
特此申请。
投资者(自然人签名/机构签章、授权代表人签名):
年 月 日
证券经营机构复核栏
类型
复核内容
是否符合
符合《办法》第八条(四)、(五)条件的投资者
法人或其他组织
最近1年末净资产不低于2000万元人民币
□是 □否
最近1年末金融资产不低于1000万元人民币
□是 □否
具有2年及以上从事证券、基金、期货、黄金、外汇等投资经历
□是 □否
自然人
金融类资产不低于500万元人民币,或者最近3年个人年均收入不低于50万元
□是 □否
具有2年及以上从事证券、基金、期货、黄金、外汇等投资经历,或者具有2年以上金融产品设计、投资、风险管理及相关工作经历,或者属于《办法》第八条第一项规定的专业投资者的高级管理人员、获得职业资格认证的从事金融相关业务的注册会计师和律师
□是 □否
符合《办法》第十一条规定的投资者
法人或其他组织
最近1年末净资产不低于1000万元人民币
□是 □否
最近1年末金融资产不低于500万元人民币
□是 □否
具有1年及以上从事证券、基金、期货、黄金、外汇等投资经历
□是 □否
自然人
金融类资产不低于300万元人民币,或者最近3年个人年均收入不低于30万元
□是 □否
具有1年及以上从事证券、基金、期货、黄金、外汇等投资经历,或者具有1年以上金融产品设计、投资、风险管理及相关工作经历
□是 □否
复核人(一): 复核人(二):
年 月 日 年 月 日
附件3:
专业投资者告知及确认书
证券经营机构告知栏
尊敬的投资者(投资者姓名/名称: ,资金账号: ):
根据您提供的财产状况、交易情况、工作经历等相关证明材料,经复核您被划分为专业投资者。现将有关事项告知如下,请您仔细阅读,并在投资者确认栏签字(签章)确认:
一、证券经营机构在向专业投资者销售产品或提供服务时,对专业投资者履行的适当性义务区别于其他投资者。
二、如您希望不再被划分为专业投资者,可向本公司提出申请。
三、当您的财产状况、交易情况、工作经历等信息发生重大变化时,请及时通知我公司,经复核如不再符合专业投资者的申请条件,将不再被划分为专业投资者。
证券营业网点签章:
年 月 日
投资者确认栏
本人/机构自愿申请被划分为专业投资者,已阅读了上述告知内容,确认相关申请材料真实、准确、完整,并知悉贵公司根据申请材料将本人/机构划分为专业投资者。对于贵公司销售的产品或提供的服务,本人/机构具有专业判断能力,能够自行进行专业判断。
本人/机构确认已了解贵公司对专业投资者和普通投资者在履行适当性义务方面的区别,本人/机构知悉可以自愿申请或因不再符合专业投资者的条件,而不再被划分为专业投资者的规则。
投资者(自然人签名/机构签章、授权代表人签名):
年 月 日
附件4:
投资者风险承受能力评估问卷(适用于自然人投资者)
投资者姓名:
资金账号:
本问卷旨在了解您可承受的风险程度等情况,借此协助您选择合适的产品或服务类别,以符合您的风险承受能力。
风险承受能力评估是本公司向投资者履行适当性义务的一个环节,其目的是使本公司所提供的产品或服务与您的风险承受能力等级相匹配。
本公司特别提醒您:本公司向投资者履行风险承受能力评估等适当性义务,并不能取代您自己的投资判断,也不会降低产品或服务的固有风险。同时,与产品或服务相关的投资风险、履约责任以及费用等将由您自行承担。
本公司提示您:本公司根据您提供的信息对您进行风险承受能力评估,履行适当性义务。
本公司建议:当您的各项状况发生重大变化时,需对您所投资的产品及时进行重新审视,以确保您的投资决定与您可承受的投资风险程度等实际情况一致。
本公司在此承诺,对于您在本问卷中所提供的一切信息,本公司将严格按照法律法规要求承担保密义务。除法律法规规定的有权机关依法定程序进行查询以外,本公司保证不会将涉及您的任何信息提供、泄露给任何第三方,或者将相关信息用于违法、不当用途。
一、财务状况
1、您的主要收入来源是:
A. 工资、劳务报酬
B. 生产经营所得
C. 利息、股息、转让证券等金融性资产收入
D. 出租、出售房地产等非金融性资产收入
E. 无固定收入
2、最近您家庭预计进行证券投资的资金占家庭现有总资产(不含自住、自用房产及汽车等固定资产)的比例是:
A.70%以上
B.50%-70%
C.30%-50%
D.10%-30%
E.10%以下
3、您是否有尚未清偿的数额较大的债务,如有,其性质是:
A. 没有
B. 有,住房抵押贷款等长期定额债务
C. 有,信用卡欠款、消费信贷等短期信用债务
D. 有,亲朋之间借款
4、您可用于投资的资产数额(包括金融资产和不动产)为:
A. 不超过50万元人民币
B. 50万-300万元(不含)人民币
C. 300万-1000万元(不含)人民币
D. 1000万元人民币以上
二、投资知识
5、以下描述中何种符合您的实际情况:
A. 现在或此前曾从事金融、经济或财会等与金融产品投资相关的工作超过两年
B. 已取得金融、经济或财会等与金融产品投资相关专业学士以上学位
C. 取得证券从业资格、基金从业资格、期货从业资格、注册会计师证书(CPA)或注册金融分析师证书(CFA)中的一项及以上
D. 我不符合以上任何一项描述
三、投资经验
6、 您的投资经验可以被概括为:
A.有限:除银行活期账户和定期存款外,我基本没有其他投资经验
B.一般:除银行活期账户和定期存款外,我购买过基金、保险等理财产品,但还需要进一步的指导
C.丰富:我是一位有经验的投资者,参与过股票、基金等产品的交易,并倾向于自己做出投资决策
D.非常丰富:我是一位非常有经验的投资者,参与过权证、期货或创业板等产品的交易
7、有一位投资者一个月内做了15笔交易(同一品种买卖各一次算一笔),您认为这样的交易频率:
A. 太高了
B. 偏高
C. 正常
D. 偏低
8、过去一年时间内,您购买的不同产品或接受的不同服务(含同一类型的不同产品或服务)的数量是:
A. 5个以下
B. 6至10个
C. 11至15个
D. 16个以上
⑧ 证券期货业信息安全事件报告与调查处理办法的办法内容
第一章总则
第一条为了规范证券期货业信息安全事件的报告和调查处理,减少信息安全事件的发生,根据《证券法》、《证券投资基金法》、《证券公司监督管理条例》、《期货交易管理条例》、《证券期货业信息安全保障管理办法》等法律、行政法规和规章,制定本办法。第二条证券期货业信息安全事件是指证券期货业信息系统运行异常或者数据损毁、泄露,对投资者合法权益造成损害或者对证券期货市场造成不良影响的事件。第三条证券期货业信息安全保障责任主体发生信息安全事件后,应当按本办法规定进行报告和调查处理。前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。第四条核心机构、经营机构发生信息安全事件后,应当及时、准确、完整报告,不得迟报、漏报、谎报或者瞒报。第五条信息安全事件调查处理应当坚持实事求是、尊重科学、客观公正、及时稳妥的原则。第六条发生信息安全事件的核心机构和经营机构应当对事件进行内部调查,追究责任,采取整改措施。第七条中国证监会及其派出机构依据本办法规定对核心机构、经营机构的信息安全事件进行调查处理。第八条信息安全事件相关的核心机构、经营机构、软硬件产品或者技术服务供应商应当配合中国证监会及其派出机构和发生事件的机构对事件进行调查和处理。
第二章事件分级
第九条根据信息安全事件对投资者合法权益造成损害,或者对证券期货市场造成不良影响的程度,事件分为特别重大事件、重大事件、较大事件、一般事件。第十条特别重大事件是指对投资者合法权益造成特别严重损害或者对证券期货市场造成特别严重影响的信息安全事件。符合下列情形之一的为特别重大事件:(一)证券交易所交易、通信、行情发布系统在开市前无法正常启动或者中断达到20分钟以上,或者受影响营业部或者交易单元比例达到20%以上,或者交易中断的证券只数达到20%以上的。(二)期货交易所交易业务系统全部中断,影响交易时间累计2小时以上的;结算交割业务系统中断,影响下一交易日正常开市的。(三)中国证券登记结算公司登记结算系统瘫痪、短期内无法恢复且何日恢复无法预知,对公司全部业务或者整个市场造成重大影响的。(四)有效客户数在100万人以上的证券公司、期货公司集中交易系统或者网上交易系统全部中断,影响交易时间累计2小时以上的。(五)有效客户数在100万人以上的证券公司、期货公司结算系统发生故障,在开市前未能完成前一交易日的结算或者结算数据出现重大错误,影响投资者正常交易的。(六)基金销售、会计核算或者注册登记系统发生严重故障,且备份系统预计在8小时内无法恢复,影响100万人以上投资者当日或者后续交易日基金正常申购赎回的。(七)100万人以上的投资者数据发生损毁或者错误等异常情况,影响当日或者后续交易日正常交易的。(八)100万人以上的投资者数据发生泄露的。(九)其他对投资者合法权益、证券期货市场造成特别严重影响的事件。第十一条重大事件是指对投资者合法权益造成严重损害或者对证券期货市场造成严重影响的信息安全事件。符合下列情形之一,且未达到特别重大事件的为重大事件:(一)证券交易所交易、通信、行情发布系统中断达到10分钟以上,或者受影响营业部或者交易单元比例达到10%以上,或者交易中断的证券只数达到10%以上的;(二)期货交易所交易业务系统全部中断,影响交易时间累计30分钟以上的;(三)中国证券登记结算公司登记结算系统故障,影响下一个交易日的正常开市或者业务开展,可能导致整个市场当日某项业务不能正常进行的;(四)有效客户数在10万人以上的证券公司、期货公司集中交易系统或者网上交易系统全部中断,影响交易时间累计30分钟以上的;(五)有效客户数在10万人以上的证券公司、期货公司结算系统发生故障,在开市前未能完成前一交易日的结算或者结算数据出现重大错误,影响投资者正常交易的;(六)基金销售、会计核算或者注册登记系统发生严重故障,且备份系统预计在4小时内无法恢复,影响10万人以上投资者当日或者后续交易日基金正常申购赎回的;(七)10万人以上的投资者数据发生损毁或者错误等异常情况,影响当日或者后续交易日正常交易的;(八)10万人以上的投资者数据发生泄露的;(九)其他对投资者合法权益、证券期货市场造成严重影响的事件。第十二条较大事件是指对投资者合法权益造成较大损害或者对证券期货市场造成较大影响的信息安全事件。符合下列情形之一,且未达到重大事件的为较大事件:(一)证券交易所交易、通信、行情发布系统中断,受影响营业部或者交易单元比例达到5%以上,或者交易中断的证券只数达到5%以上的;(二)期货交易所交易业务系统全部中断、部分中断,影响交易时间在3分钟以上的;(三)中国证券登记结算公司登记结算系统故障,未影响市场正常交易,但某一项或者几项业务中断或者延迟超过4小时(不含),在当日内恢复正常,给部分参与人带来影响的;(四)证券公司、期货公司集中交易系统或者网上交易系统全部中断、部分中断,影响交易时间累计在5分钟以上的;(五)证券公司第三方存管系统、融资融券系统全部或者部分停止运行,影响业务时间累计30分钟以上,期货公司银期转账系统全部或者部分停止运行,影响业务时间累计30分钟以上的;(六)有效客户数在10万人以下的证券公司、期货公司结算系统发生故障,在开市前未能完成前一交易日的结算或者结算数据出现错误,影响投资者正常交易的;(七)基金销售、会计核算或者注册登记系统发生严重故障,且备份系统预计在2小时内无法恢复,影响10万人以下的投资者当日或者后续交易日基金正常申购赎回的;(八)提供现场交易服务的证券公司分支机构、期货公司营业部现场行情或者现场交易系统发生故障,影响交易时间累计2小时以上的;(九)10万人以下的投资者数据发生损毁或者错误等异常情况,影响当日或者后续交易日正常交易的;(十)10万人以下的投资者数据发生泄露的;(十一)其他对投资者合法权益、证券期货市场造成较大影响的事件。第十三条一般事件是指对投资者合法权益造成损害或者对证券期货市场造成影响的信息安全事件。符合下列情形之一,且未达到较大事件的为一般事件:(一)证券交易所交易、通信、行情发布系统中断,受影响营业部或者交易单元比例未达到5%,或者交易中断的证券只数未达到5%的;(二)期货交易所交易业务系统全部中断、部分中断,影响交易时间在3分钟以下的;(三)中国证券登记结算公司登记结算系统故障,未影响市场正常交易,但某一项或者几项业务中断或者延迟超过2小时(不含),在当日内恢复正常,给部分参与人带来影响的;(四)证券公司、期货公司集中交易系统或者网上交易系统全部中断、部分中断,影响交易时间累计在5分钟以下的;(五)证券公司第三方存管系统、融资融券系统全部或者部分停止运行,影响业务时间累计30分钟以下,期货公司银期转账系统全部或者部分停止运行,影响业务时间累计30分钟以下的;(六)提供现场交易服务的证券公司分支机构、期货公司营业部现场行情或者现场交易系统发生故障,影响交易时间累计2小时以下的;(七)其他对投资者合法权益、证券期货市场造成影响的事件。第十四条本章所称的“以上”包括本数,所称的“以下”不包括本数。本章所称的“有效客户数”以证券公司、期货公司向中国证监会及其派出机构上报的发生信息安全事件之前一个月的合格账户期末数为准。合格账户是指开户资料真实、准确、完整,投资者身份真实,资产权属关系清晰,符合相关规定的账户。
第三章事件报告
第十五条核心机构和经营机构应当建立网络与信息安全风险监测预警体系,发现风险隐患应当尽快加以核实,采取必要的防范措施,如有重大情况应当及时进行预警报告。预警报告应当包括:事件基本情况(包括预警发生的时间、地点、经过等),可能造成的影响范围和后果,已采取的防范措施及相关建议、需要有关部门和单位协调处置的有关事宜。第十六条核心机构和经营机构应当建立信息安全应急处置机制,及时处置信息安全事件,尽快恢复信息系统的正常运行,保护事件现场和相关证据,并按照下列要求进行应急报告:(一)核心机构重要信息系统发生可能导致或者已经造成交易中断、严重缓慢的重大故障后,应当立即报告,并每隔30分钟至少上报一次,直至信息系统恢复正常运行;如有重要情况应当立即报告。(二)证券、期货公司集中交易系统发生故障,可能导致或者已经造成交易中断、严重缓慢的,应当立即报告,并每隔30分钟至少上报一次,直至信息系统恢复正常运行;如有重要情况应当立即报告。(三)核心机构和经营机构其他信息系统发生故障,影响投资者正常业务办理,原则上30分钟内无法恢复业务正常运行的,应当立即报告,并每隔1小时至少上报一次,直至业务和信息系统恢复正常运行;如有重要情况应当立即报告。(四)核心机构和经营机构发生投资者数据损毁或者泄露的事件,应当立即报告,在事件解决前,如有重要情况应当立即报告。(五)核心机构和经营机构发生涉及计算机犯罪的事件,应当立即报告,在事件解决前,如有重要情况应当立即报告。第十七条核心机构和经营机构进行应急报告时应当先进行电话报告,随后书面报送《信息安全事件情况报告书》(见附件),内容包括:事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断、事件性质初步判断、已采取的措施及效果、需要有关部门和单位协助处置的有关事宜、报告单位、签发人和报告时间、联系人与联系方式、与本事件有关的其他内容。第十八条核心机构和经营机构应当在信息安全事件应急处置结束、系统恢复正常运行后5个工作日内,组织内部调查,准确查清事件经过、原因和损失,查明事件性质,认定并追究事件责任,提出整改措施,并进行事件总结报告。事件总结报告内容应当包括:(一)事件基本情况,包括事件发生时间、地点、经过、影响范围、影响程度、损失情况等;(二)应急处置情况,包括事件报告的情况、采取的措施及效果;(三)事件调查情况,包括事件原因、事件级别、责任认定和结论;(四)事件处理情况,包括事件暴露出的问题及采取的整改措施,责任追究情况。暂时无法确定事件原因、责任和结论的,应当提交事件的初步分析报告,同时尽快查找原因,认定并追究事件责任,采取整改措施,并在事件应急处置结束、系统恢复正常运行后30个工作日内提交事件补充报告。第十九条核心机构和经营机构接到中国证监会及其派出机构关于系统漏洞、安全隐患、产品缺陷的信息安全通报书后,应当立即核实情况,采取必要的处置措施,并根据要求进行事件总结报告。事件总结报告内容应当包括:事件基本情况,可能或者已经造成的影响范围和后果,已采取的防范措施及相关建议。第二十条核心机构或者经营机构应当按照下列规定向有关机构进行报告:(一)核心机构应当向中国证监会进行预警报告、应急报告和事件总结报告。(二)核心机构发生信息安全事件影响到其他机构的,应当及时向有关机构进行应急通报。(三)经营机构应当向住所地中国证监会派出机构进行预警报告、应急报告和事件总结报告,经营机构分支机构应当向所在地中国证监会派出机构进行预警报告、应急报告和事件总结报告。事件总结报告同时抄送中国证券业、期货业或者证券投资基金业协会。(四)经营机构发生信息安全事件影响到证券期货交易业务时,应当同时向相关证券期货交易所进行应急报告和事件总结报告;影响到证券登记结算业务时,应当同时向中国证券登记结算公司进行应急报告和事件总结报告;影响到转融通业务时,应当同时向中国证券金融公司进行应急报告和事件总结报告;影响到其他机构的,应当及时向有关机构进行应急通报。(五)核心机构或者经营机构发生涉及计算机犯罪的事件,应当向公安机关进行应急报告。
第四章调查处理
第二十一条中国证监会及其派出机构有权对信息安全事件进行调查处理;根据调查工作需要,可以聘请行业信息技术顾问和其他有关专家参与调查,或者委托专业机构进行调查。第二十二条调查人员有权向信息安全事件相关的核心机构、经营机构、软硬件产品或者技术服务供应商和个人了解事件有关的情况,可采取听取报告、询问当事人、调阅文件资料、调阅系统日志、实地核查等工作方式。在事件调查期间,发生信息安全事件的机构相关人员应当能够随时到场接受询问,如实介绍情况,提供证据和所需的文件、资料。第二十三条调查人员应当诚信公正,认真履职,遵守工作纪律,严格保守事件调查的秘密,以及在调查过程中了解到的商业秘密、技术秘密。未经允许,不得泄露或者擅自发布事件调查中知悉的有关信息。第二十四条中国证监会或者其派出机构督促发生信息安全事件的机构落实整改措施,并对整改措施落实情况进行监督。发生信息安全事件的机构应当认真吸取事件教训,尽快落实整改措施,消除风险隐患。第二十五条中国证监会视情况将信息安全事件有关情况向全行业通报,中国证监会派出机构视情况向本辖区证券期货经营机构通报。第二十六条对于发生存在人为责任的较大及以上信息安全事件的机构、直接负责的主管人员和其他直接责任人员,中国证监会及其派出机构依照有关法律、行政法规和规章,采取监督管理措施或者实施行政处罚。第二十七条对于发生存在人为责任的一般信息安全事件的机构,事件发生单位应当对直接负责的主管人员和其他直接责任人员进行内部责任追究。第二十八条中国证监会及其派出机构和发生信息安全事件的机构应当按照“尽职免责,失职有责”的原则界定信息安全事件的人为责任。第二十九条对于不存在人为责任的较大及以上信息安全事件,中国证监会及其派出机构依照有关法律、行政法规和规章,对发生信息安全事件的机构采取监督管理措施。第三十条对于发生重大及特别重大信息安全事件或者频繁发生信息安全事件的机构,中国证监会或者其派出机构应当对其采取责令定期报告等监督管理措施,并可视情况对其进行现场检查。第三十一条发生信息安全事件的机构有以下情形之一的,中国证监会或者其派出机构依照有关法律、行政法规和规章,对其采取监督管理措施或者实施行政处罚:(一)未按照本办法规定进行事件报告,存在迟报、漏报、谎报或者瞒报的;(二)未妥善保存证据,或者故意隐匿、伪造、篡改、毁损有关文件、资料和证据的;(三)未按照中国证监会信息安全通报要求及时采取风险防控措施,导致信息安全事件发生的;(四)未按照中国证监会或者其派出机构的要求进行整改或者整改不到位,导致信息安全事件发生的;(五)阻碍、拒绝调查工作的;(六)中国证监会及其派出机构认定存在其他恶劣情形的。
第五章附则
第三十二条本办法自2013年2月1日起施行。附件:信息安全事件情况报告书(略)
⑨ 银行业金融机构信息系统风险管理指引的主要要求是什么
机构职责
第六条 银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条 银行业金融机构应认真履行下列信息系统管理职责:
(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;
(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;
(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;
(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;
(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;
(六)做好本机构信息系统审计工作;
(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;
(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;
(九)开展与信息系统风险管理相关的其他工作。
第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理;信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略,统筹信息系统项目建设,定期评估、报告本机构信息系统风险状况,为决策层提供建议,采取相应的风险控制措施。
第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。
第十条 银行业金融机构应设立信息科技部门,统一负责本机构信息系统的规划、研发、建设、运行、维护和监控,提供日常科技服务和运行技术支持;建立或明确专门信息系统风险管理部门,建立、健全信息系统风险管理规章、制度,并协助业务部门及信息科技部门严格执行,提供相关的监管信息;设立审计部门或专门审计岗位,建立健全信息系统风险审计制度,配备适量的合格人员进行信息系统风险审计。
第十一条 银行业金融机构从事与信息系统相关工作的人员应符合以下要求:
(一)具备良好的职业道德,掌握履行信息系统相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设,建立人才激励机制,适应信息技术的发展。
第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。
总体风险控制
第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
第十五条 银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制。
第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁,防止各类突发事故和恶意攻击。
第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。
第十八条 在境外设立的我国银行业金融机构或在境内设立的境外银行业金融机构,应防范由于境内外信息系统监管制度差异等造成的跨境风险。
第十九条 银行业金融机构应严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,实行信息安全等级保护。
第二十条 银行业金融机构应加强对信息系统的评估和测试,及时进行修补和更新,以保证信息系统的安全性、完整性。
第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家A类机房标准,省域数据中心至少应达到国家B类机房标准,省域以下数据中心至少应达到C类机房标准。数据中心机房应实行严格的门禁管理措施,未经授权不得进入。
第二十二条 银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果。
第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。
第二十四条 信息系统的网络应参照相关的标准和规范设计、建设;网络设备应兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;建立完善的网管中心,监测和管理通信线路及网络设备,保障网络安全稳定运行。
第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。
第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。
第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理,不得脱离系统采集加工、传输、存取数据;优化系统和数据库安全设置,严格按授权使用系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,保证数据的完整性、保密性。
第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。
第二十九条 银行业金融机构应制定信息系统应急预案,并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权。信息系统的技术文档资料包括:系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括:交易数据、账务数据、客户数据,以及产生的报表数据等。
第三十一条 银行业金融机构在信息系统可能影响客户服务时,应以适当方式告知客户。
研发风险控制
第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
第三十三条 银行业金融机构信息系统研发前应成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作。
第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度。
第三十五条 银行业金融机构业务部门根据本机构业务发展战略,在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。
第三十六条 银行业金融机构业务部门编写项目需求说明书,提出风险控制要求,信息科技部门根据项目需求编制项目功能说明书。
第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求。
第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。
第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷,提高系统的整体质量。
第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练。
第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。
第四十二条 项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投产使用。
第五章运行维护风险控制
第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条 银行业金融机构信息系统运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
第四十五条 银行业金融机构信息系统的运行应符合以下要求:
(一)制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息;
(二)提供常见和简便的操作菜单或命令,如信息系统的启动或停止、运行日志的查询等;
(三)提供机房环境、设备使用、网络运行、系统运行等监控信息;
(四)记录运行值班过程中所有现象、操作过程等信息。
第四十六条 银行业金融机构信息系统的维护应符合以下要求:
(一)除对信息系统设备和系统环境的维护外,对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;
(二)具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计;
(三)提供维护的统计和报表打印功能。
第四十七条 银行业金融机构信息系统的变更应符合以下要求:
(一)制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;
(二)根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性;
(三)应采用软件工具精确判断变更的真实位置和内容,形成变更内容核实清单,实现真实、有效、全面的检验;
(四)软件版本变更后应保留初始版本和所有历史版本,保留所有历史的变更内容核实清单。
第四十八条 银行业金融机构在信息系统投产后一定时期内,应组织对系统的后评价,并根据评价及时对系统功能进行调整和优化。
第四十九条 银行业金融机构应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
第五十条 银行业金融机构应实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
外包风险控制
第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第五十二条 银行业金融机构在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全有关规章制度,制定相应的风险防范措施。
第五十三条 银行业金融机构应建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质,具有相关专业经验的独立机构完成。
第五十四条 银行业金融机构应当与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任。
第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。
第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序,审慎管理外包产生的风险,提高本机构对外包管理的能力。
第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略,并应建立针对外包风险的应急计划。
第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更,保证外包服务不间断的应急预案。
第五十九条 银行业金融机构将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时,应遵守国家有关法律法规,符合银监会的有关规定,经过董事会或其他决策机构批准,并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。