为进一步规范银行函证及回函工作,提升审计工作质量,维护金融市场秩序,加强银行业金融机构接入第三方函证平台风险管控,根据有关监管文件、《银行业金融机构函证业务自律管理规范》等自律文件要求,制定本
第二条第三方函证平台是指由独立第三方提供的,为银行业金融机构、会计师事务所等参与方提供数字银行函证流转服务的系统平台。
第三条网页模式接入(或称B/S模式、WEB浏览器模式、在线填写模式等),是指银行业金融机构通过第三方函证平台提供的互联网页面及有权用户访问使用平台,完成数字函证收发的接入模式。
第四条对于以网页模式接入第三方函证平台的银行业金融机构,仅实现了银行函证及回函传递过程的线上化,函证下载、用户授权、数据生成、上传回函等流程仍有较多的人工干预,为操作失误或故意不实回函留有空间,存在较高操作风险,有必要进一步规范相关操作流程。鼓励各机构在函证回函关键流转节点采用生物识别等技术,有效防范、降低相关风险。
第五条接入要求。申请以网页模式接入第三方函证平台的银行业金融机构应同时满足以下条件:
(一)原则上,应为网点及函证业务量较少、科技能力相对薄弱的城市商业银行、农村中小金融机构或外资银行,其他规模较大的机构如因应监督管理要求,仅以网页模式作为暂时性过渡,过渡期不应超过一年,如因疫情等不可抗力原因,至多可延长一年。
(二)已按照监管文件要求,实现总行或一级分行集中处理(收函、回函全流程均实现集中),在官网公告函证受理信息,并通过中银协进行集中统一公示。
(三)已建立统一牵头、分工负责的内部管理机制和工作流程,具备完善的业务内控及检查制度。相关制度应包括完善的数字化函证管理机制,明确以网页模式实现数字化函证的岗位设置、人员分工、操作流程及监督考核等要求。
(一)角色分配上,应分别配置系统管理人员、经办人员、复核人员及查询人员。系统管理人员不接触函证业务数据,仅对系统参数及用户做管理,查询人员仅负责业务查询统计,经办具体负责收函、回函办理,复核人员负责对相关操作及流程进行复核。
(二)权限管理上,机构在配置用户权限时,应至少确保系统管理人员、经办人员及复核人员职责两两分离、不相容,能独立完成相关工作,实现对函证加解密、上传下载等关键流程的双人管控,复核人员级别原则上应高于经办人员。
(三)数量配置上,应按照“最少够用、按需分配、动态分配”的原则,尽量控制平台用户数量,结合实际使用需求来做分配,并根据使用情况动态回收,控制平台用户使用风险。同时,在管理层级上,应按照行内函证业务集中处理架构,最低分配至一级分行层级。
(四)机构在完成用户配置后,应将各岗位人员及分管领导的权限、身份等信息向平台管理方进行报备,人员变更后,应及时同步更新。
(一)经办人员登录平台页面查收来函,使用相关配套工具对文件进行解密,解密后应对函证内容的真实性、完整性、合规性进行校验,校验通过并经复核人员复核后,方可进入下一办理环节。如来函未满足银行公开发布的函证受理要求而拒绝回函的,应当在收函3个工作日内通知会计师事务所,以保证回函效率。
(二)平台加解密相关秘钥应谨慎保管,按照“最少够用”原则进行分发,并纳入行内统一秘钥管理体系,确保相关秘钥安全,非权限人没办法查看,如发生安全风险,应及时来更换,重新配置。
(一)对于校验通过的函证,进入待授权状态,银行业金融机构应对被审计单位身份进行相对有效核实,确认得到被审计单位有效授权后方可进入下一办理环节。对于未及时授权的,银行业金融机构可及时提醒会计师事务所或被审计单位做授权缴费,如因被审计单位未及时授权或无法收取回函服务费用而需退函的,银行应提前与相关方联系说明。
1.线下授权模式:银行业金融机构通过平台页面查收来函后,由被审计单位按照约定格式,出具单独授权书(或在电子函证影印件基础上)加盖相关印章,现场或邮寄等方式提交至银行,银行按照内部验印要求对企业身份进行核实。
2.网银授权模式:银行业金融机构对企业网银等系统来进行改造,通过平台页面查收来函后,人工(应满足双人办理要求)将函证有关信息导入企业网银后台,被审计单位通过企业网银完成线.银行业金融机构如选择采用其他可靠授权模式,应充分论证模式可行性,与平台管理方充分沟通并报备。
第九条数据生成流程应符合以下要求:(一)银行业金融机构应当强化授权和制衡机制作用,加强回函的复核控制,确保函证数据根据真实业务情况做填写。应当提升信息化建设水平和数据治理水平,通过信息系统自动提取生成函证有关数据,汇总相关业务信息。对于无法自动填制或校验回函的银行,应当有效落实人工复核要求,实现不相容职责分离,加强对回函流程信息的记录管理。
1.协同查询模式是指集中处理部门协同内部各函证项目业务主管部门共同查询生成回函数据,各业务主管部门对函证数据的真实性准确性负责,此模式下,各业务主管部门也应建立回函复核机制,执行双人核查,确保提供的数据真实准确,并留存相关操作记录,集中处理部门在汇总结果时原则上不能随意变更各业务主管部门的核查结论,如需调整,应征求业务主管部门意见,并做好双人复核,留存操作记录。
2.集中查询模式是指集中处理部门通过内部系统,统一查询函证项目并生成回函数据,此模式下,集中处理部门应与各业务主管部门做好数据口径确认及职责划分,确保回函数据的真实性准确性。
第十条回函用章流程应符合以下要求:(一)银行业金融机构应当规范函证回函用章的管理制度,加强回函用章管理,明确回函用章,并纳入行内统一印章管理体系。如注册会计师收到回函后对银行用章产生疑虑,银行应当配合确认回函用章的有效性。
(二)鼓励各机构建立函证业务专用章机制,鼓励各机构采用具有追溯验证功能的电子印章。
第十一条操作回函流程应符合以下要求:(一)银行业金融机构应当加强回函的复核控制,以提供真实准确的回函信息,银行在回函处理过程中,应当实现回函经办人员与复核人员不相容职责的分离,在银行内部回函操作记录中应当体现处理过程及复核人员复核签字(包括数字签名)等内部控制程序。
(二)复核人员应对已形成初步回函结论的函证,履行强化复核职责,独立判断审核回函结论依据是否充分、回函是不是正确、表述是否规范,审核通过的函证方可办理回函,审核不通过的函证应退回经办人员重新发起核查,对于重新核查仍有异议的,应交由独立专业的第三人出具意见。
(三)函证经双人复核无误并加盖印章后,经办人员应使用相关配套工具对文件进行加密,将加密后的文件及授权凭证上传至平台,复核人员应对经办人员提交的回函文件再次复核比对,确保与行内出具的原件内容一致后对外回函。
第十二条资料归档流程应符合以下要求:(一)银行业金融机构应做好回函操作记录的保管工作,全面记载函证处理全流程,建立完备的回函操作记录,实现函证回函操作留痕管理和追溯管理。鼓励采用电子档案形式存档保管,纸质材料应留存好相关原件或复印件,通过专夹保管或按行内相关会计档案管理规定做好保管。线上流程应做好留痕管理及日志保存等。归档文档应包括但不限于函证文件、回函记录、操作记录及相关证明文件等。
第十三条事后监督流程应符合以下要求:(一)银行业金融机构应当通过内部审计、内部控制评价等方式,定期对回函问题及投诉事项做回溯整改,建立函证业务的监督和问责机制,严肃查处相关责任人员。
(二)事后监督应针对函证受理、客户授权、数据生成、回函用章、上传回函等函证业务的全流程,重点对流程的规范性、信息的准确性、办理的及时性、资料的完整性等做监督检查。
(三)原则上,银行业金融机构每年应对数字函证业务至少进行一次合规检查(可根据内部情况增加检查频次及覆盖面),并将相关检查方案及情况向平台管理方报备。
上一篇:《银行业金融机构接入第三方函证平台风险评估工作管理办法》(银协发〔2023〕4号)
上一篇:银保监会24小时投诉热线
