银行业金融机构接入第三方函证平台风险评估工作管理办法
第一章 总则
第一条 为加快推进银行函证工作集约化、规范化、数字化进程,提升审计工作质量,防范金融风险,推动社会信用体系建设,中国银行业协会根据《中国银保监会办公厅关于银行函证业务风险提示的通知》(银保监办发〔2020〕110号)(以下简称《风险提示》)等相关要求,制定本办法。
第二条 本办法所称银行函证业务是指注册会计师在实施审计过程中,在获取被审计单位授权后,直接向银行业金融机构发出电子询证函,查询被审计单位相关信息的真实性,银行查询、核对相关信息并提供电子回函的过程。
第三条 本办法所称第三方函证平台(或简称平台)是指为商业银行、会计师事务所、被审计单位等提供银行函证业务服务的系统平台,通过数字化手段简化银行函证处理流程,提升银行函证服务质效。
第四条 中国银行业协会负责落实监管部门关于研究推动函证数字化建设工作的要求,牵头梳理银行业金融机构接入第三方函证平台的风险评估要点,组织银行业金融机构按要求做好风险评估工作。负责制定风险评估工作相关的自律管理制度办法和标准规范,并定期向银保监会报告银行业金融机构函证业务和数字化建设有关工作情况。
第五条 选择接入第三方函证平台的银行业金融机构,应严格落实《风险提示》要求,做好相关安全评估及外包风险管理工作,按本办法要求积极配合中国银行业协会组织的风险评估工作,并接受中国银行业协会对风险评估工作的自律管理。
第二章 评估要求
第六条 评估对象包括但不限于以下方面:选择接入第三方函证平台的银行业金融机构及相关信息系统;银行业金融机构拟接入的第三方函证平台,及其承建方和运营方。
第七条 评估内容包括但不限于以下方面:
(一)银行业金融机构
1.是否具备接入第三方函证平台的条件及能力,包括业务流程、内控机制、数据集中情况、信息科技管理与开发能力、信息数据保护情况、业务连续性保障及灾备安排情况等;
2.是否按监管要求做好与第三方函证平台系统对接相关的信息科技外包风险评估工作。
(二)第三方函证平台
1.平台运营方相关情况,包括监管认可、机构性质、组织架构、人员配备、财务状况等;
2.函证平台相关情况,包括平台承建方情况、设计方案、安全机制、运营模式、公益属性、管理规范、核心技术等。
第八条 风险评估后,银行业金融机构应按照《银行保险机构信息科技外包风险监管办法》相关要求及时向监管部门报告。
第三章 评估方式与流程
第九条 申请进行风险评估的银行业金融机构(以下简称申请机构)应按照指定方式向中国银行业协会提交相关评估材料,对于申请机构拟接入的第三方函证平台,相关评估材料也应由该申请机构统一汇总提供(对于已通过评估的平台,如不涉及本办法第十三条所规定的需重新评估的情况,无需再提供平台相关材料),并保证所提供材料和信息的真实性、准确性、完整性,评估材料包括但不限于:
(一)函证业务情况介绍,包括申请机构情况介绍、函证业务牵头部门情况介绍,年度函证业务发生量、目前函证业务处理方式、函证业务内控制度等;
(二)函证数字化情况介绍,包括申请机构内部数据治理及集中情况、函证数字化建设情况、有关信息科技管理及开发能力、信息数据保护情况、业务连续性保障及灾备安排情况等;
(三)函证业务规则介绍,包括申请机构支持的函证格式种类、回函规则、汇总条件、14类函证项目的填写说明等;
(四)平台承建方及运营方情况介绍,包括平台承建方及运营方的基本情况、相关资质、管理运营认证、核心技术知识产权情况等;
(五)平台情况介绍,包括平台基本情况、平台公益属性、平台总体方案(业务流程设计、安全设计等)、平台管理制度、平台运营及运维方案、底层区块链技术情况介绍(基本情况、技术架构、功能、性能、区块链备案、检测测评、金融行业应用案例介绍等);
(六)有关管理部门、中国银行业协会等要求的其他相关材料。
第十条 对于评估材料不齐全或者不符合要求的,中国银行业协会可通知申请机构补充或更改材料,申请机构应当在收到中国银行业协会通知后于10个工作日内补充完善。
第十一条 中国银行业协会将牵头组建专家评估组。由评估组对申请机构提交的评估材料进行评估,评估组可通过线上远程、实地调查、现场答辩、通讯评审、征询有关管理部门(包括监管部门和自律组织等)等方式对申请材料进行评估。
第十二条 对于通过评估的申请机构,中国银行业协会应为其出具评估通过通知。中国银行业协会定期将评估情况向银保监会有关部门报告。
第十三条 申请机构或其拟接入的第三方函证平台,在评估过程中或通过评估后发生可能影响接入能力或接入安全等重大变化的,申请机构应在情况发生后的10个工作日内提交相关说明材料,由中国银行业协会视情况决定是否开展重新评估。
第四章 自律管理
第十四条 中国银行业协会将充分发挥自律管理职能,对选择接入第三方函证平台的银行业金融机构进行自律管理。对于出现以下情形的,中国银行业协会可以根据情形采取纳入特别关注名单、约谈、发警示函、业内通报、公开谴责等自律惩戒措施并报告银保监会有关部门,情节严重的,还可向银保监会相关部门提出行政处罚建议:
(一)已接入第三方函证平台,但未主动向中国银行业协会申请进行风险评估;
(二)未通过中国银行业协会组织的风险评估,仍然接入第三方函证平台;
(三)风险评估后,未按照监管规定及时向监管部门报告的;
(四)故意提供虚假材料、信息参与评估;
(五)有关管理部门、中国银行业协会认定的其他违法违规情形。
第五章 附则
第十五条 本办法由中国银行业协会负责解释和修订。
第十六条 本办法自印发之日起实施。
纪检举报受理须知
