第十章 电子化系统内部控制
第三十八条 组织控制。
一、部门职责。应明确划分管理部门、开发部门、维护部门以及运行部门的职责范围。
二、岗位职责。明确划分软件人员、硬件人员、系统管理员、操作人员等各岗位人员的职责分工。建立离岗交接制度,认真办理有关软件资料、磁媒体、磁卡密码以及重要文件的交接手续。
第三十九条 软件控制。
一、系统软件。对操作系统、数据库等系统软件的选用及管理要进行控制,保证其可靠性和适用性,并按工作性质划分操作系统及数据库的访问权限,确保系统的安全。
二、应用软件。
(一)应用软件应根据业务需求书进行开发或修改,确保其符合相关法规制度和业务处理的要求;严格按照国家及金融行业软件工程的有关标准进行开发,各种档案资料必须齐全;新开发或修改的业务应用软件必须经过充分测试,并由业务、技术和稽核部门联合鉴定、验收后方可正式投入使用。
(二)必须明确应用软件的管理权限,严禁越权使用或擅自对应用软件进行修改。
(三)对购进的业务处理软件,以及委托外部开发或与外部联合开发的应用软件,应经过业务部门和技术部门的认真审核、测试,并由内部人员完全掌握其中的关键技术,然后才能投入使用,以确保所引进应用软件的正确、安全。
(四)必须对网络通讯进行安全控制。网络通讯软件应具有加密措施,对网上设备、网上用户以及通讯数据要进行身份鉴别控制,以防止外部系统的非法侵入。
(五)应用软件必须留有处理痕迹,对于业务处理过程中的重要信息应有完整的记录,使每一项业务具有可稽核性。
第四十条 硬件控制。对各类电子设备的选型、购置应严格进行控制,保证设备的可用性、可靠性,提高设备利用率。
建立硬件设备的备份制度、定期维护制度及故障处理情况登记制度,规范电子设备维护和维修工作,保证电子设备的正常运转。
严格网络设备管理,通讯设备及场所应设有明显标识,重要的通讯设备和通信线路必须实行双备份,以保证网络通讯的安全、畅通。
第四十一条 机房管理控制。建立健全安全值班、出入登记等各项机房管理制度,严格控制进入机房的人员和对机房设备的使用,严禁各种危险物品进入机房,并确保防火、防水、防磁、电视监控等设施以及双回路供电系统的齐全、有效。
第四十二条 系统运行控制。应制定系统运行规程,并严格按照规程进行操作;必须具有系统遭受意外破坏时的恢复措施,保证系统的安全运行;必须建立和认真填写系统运行日志,对故障处理情况进行详细记载;严格控制业务系统的运行环境,严禁业务用机内保留源程序或其他开发工具;加强对各类密码的管理,保证密码设置的科学性和使用的保密性;加强对外来软盘、磁带的检查管理,严格控制外来软件和信息的使用,防止计算机病毒的侵入。行内系统接驳国际互联网或自行组建的企业内部网,必须采用防火墙技术,确保信息安全。
第十一章 内部控制制度的管理与监督
第四十三条 建立完善的稽核监督体系,行使综合性的内部监控职能,对法定代表人负责。
一、总行设立稽核监督委员会,在法定代表人的直接领导下,对稽核监督工作进行组织、领导与管理。
二、总行设立稽核监督局,作为稽核监督委员会的办事机构,具体组织、全面履行稽核监督职能。
三、设立稽核专员办公室,作为总行稽核监督局派出机构,在稽核监督局的领导下,独立行使对辖区范围内分支机构业务稽核监督职能。
四、一、二级分行设立总稽核及稽核监督处(科),负责辖区内的稽核监督工作。
五、稽核监督部门应配备在数量及质量上能适应完成各项稽核监督任务要求的稽核人员;全行稽核监督人员配备应保持在规定的比例范围内。
第四十四条 稽核监督部门负责全行内部控制制度的综合管理,其主要职责是:
