深圳辖区证券公司内部控制专项审核规范指引.doc

深圳辖区证券公司内部控制专项审核规范指引第一章 总则第一条 为了指导注册会计师执行深圳辖区证券公司（以下简称“公司”）内部控制专项审核业务，明确工作要求，保证执业质量，根据国家有关法律法规的要求，制定本指引。第二条 本指引所称内部控制，是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动： （一）企业战略；（二）经营的效率和效果；（三）财务报告及管理信息的真实、可靠和完整；（四）资产的安全完整；（五）遵循国家法律法规和有关监管要求。第三条 本指引所称内部控制专项审核，是指会计师事务所接受委托，对公司与财务报告相关的内部控制的有效性进行审核，并发表审核意见。第四条 本指引规范的公司业务循环包括以下四类：经纪业务、自营业务、资产管理业务、投资银行业务。第五条 本指引适用于深圳辖区所有证券公司。第二章 整体层面了解和评价内部控制第六条 注册会计师应当从控制环境、风险评估过程、信息系统与沟通、对控制的监督等四方面对公司的内部控制进行了解和评价：具体包括：（一）控制环境方面，了解公司对诚信和道德价值观念的沟通与落实；对胜任能力的重视；治理层的参与程度；管理层的理念和经营风格；组织结构；职权与责任的分配；人力资源政策与实务等方面；（二）风险评估过程，询问管理层已识别的经营风险，并考虑这些风险是否可能导致的重大错报；（三）信息系统与沟通，了解财务报表相关的信息系统和沟通；评估管理层凌驾于账户记录、信息系统控制之上的风险；（四）控制的监督，考虑与监督活动相关的信息来源的可靠性。第七条 注册会计师应当汇总整体层面了解和评价内部控制的结果，并形成结论，包括各个控制要素识别的缺陷、是否属于重大缺陷、是否列入与管理层沟通事项、是否列入与治理层沟通事项等。第三章 经纪业务层面了解和评价内部控制第八条 注册会计师应当从经纪业务流程层面了解和评价内部控制的设计是否合理，执行是否有效。第九条 在了解和评估经纪业务层面的内部控制时，注册会计师应当执行的审计程序包括但不限于以下内容：（一）询问被审计单位经纪业务部门负责人、关键人员；（二）检查有关文件和报告；（三）实地观察其执行情况；（四）追踪交易在信息系统中的处理过程(穿行测试)等方法,以获取对总部经纪业务管理、营业部经纪业务运作流程的了解。第十条 在了解公司总部层面经纪业务的内部控制时，注册会计师应当重点关注以下内容：（一）经纪业务组织结构设置，各岗位职责；（二）经纪业务营销管理情况，包括佣金管理、营销人员管理及展业规范性等；（三）经纪业务客户服务和投资者教育情况，包括客户分类管理、咨询管理、客户回访、投资者教育、客户投诉处理等的机制；（四）经纪业务交易运行与资金清算管理情况，包括证券账户、资金账户开户、销户等账户管理机制，账户清理情况，资金业务，第三方存管，清算交收，差错处理等管理机制；（五）信息系统管理情况，包括资金清算系统、交易系统、经纪业务监控系统等信息系统管理、权限分配、系统应用等情况，如敏感性权限控制情况，特殊业务审批制度；（六）经纪业务综合管理情况，包括印章管理、档案管理、应急机制、分支机构管理（包括绩效考核等）、财务管理等情况；（七）营业部集中管理程度，如交易集中、核算集中、资金集中等；（八）报告期公司风险控制、内部审计、合规管理部门对经纪业务的监督检查情况以及外部监管、外部审计情况，了解经纪业务是否发生违规经营情况，是否发生未严格按监管部门及公司经纪业务操作指引的要求执行的情况；（九）经纪业务从业人员违规参与证券交易的情况；（十）通过流程图、调查问卷或文字描述等方法，记录经纪业务有关内控流程及关键内控点，详细记录所获取的了解的信息和审计证据的来源（如与本业务有关的内控制度文件、资料、凭证），关键控制点（控制措施）描述应包括：（1）职责分工控制（不相容职务分离制度）；（2）授权控制；（3）审核批准控制；（4）业务的实施和执行控制；（5）监督管理控制等。第十一条 在了解公司营业部层面经纪业务的内部控制时，注册会计师应当重点关注以下内容：（一）实地观察证券营业部经营场所，查看：（1）是否按照监管部门要求布置投资者教育园地；（2）是否存在异常部门；（3）是否存在其他异常业务活动。（二）与营业部经理、关键岗位人员谈话，了解并核实营业部经纪业务管理有关内控制度和流程，获取相关制度，通过流程图、调查问卷或文字描述等方法，记录营业部层面经纪业务内控流程及关键内控点。包括：（1）营业部组织结构设置，各岗位职责；（2）营业部营销管理情况，包括佣金管理、营销人员管理及展业规范性等；（3）客户服务和投资者教育情况，包括客户分类管理、咨询管理、客户回访、投资者教育、客户投诉处理等的机制；（4）交易运行与资金清算管理情况，包括证券账户、资金账户开户、销户等账户管理机制，账户清理情况，资金业务，第三方存管，清算交收，差错处理等管理机制；（5）信息系统管理情况，包括资金清算系统、交易系统、经纪业务监控系统等信息系统管理、权限分配、系统应用等情况，如敏感性权限控制情况，特殊业务审批制度；（6）综合管理情况，包括印章管理、档案管理、应急机制、绩效管理、财务管理等情况；（7）总部风险控制、内部审计、合规管理等部门对营业部的监督、检查情况，以及外部监管、外部审计情况。第四章 自营业务层面了解和评价内部控制第十二条 注册会计师应当从自营业务流程层面了解和评价内部控制的设计是否合理，执行是否有效。第九条 在了解和评估自营业务层面的内部控制时，注册会计师应当执行的审计程序包括但不限于以下内容：（一）询问被审计单位自营业务部门负责人、关键人员；（二）检查有关文件和报告；（三）实地观察其执行情况；（四）追踪交易在信息系统中的处理过程(穿行测试)等。第十三条 在了解自营业务的内部控制时，注册会计师应当重点关注以下内容：（一）自营业务组织架构，各岗位职责，做到哪些不相容岗位分离；（二）自营业务授权体系如何建立的，公司通过哪些措施保证授权有效执行；（三）自营业务决策流程，交易执行、研发、风险监控、清算核算、绩效考核等、内部审计等关键控制如何体现；（四）自营业务与资产管理业务如何实现防火墙控制，如何防范自营业务发生侵害客户利益、内幕交易、市场操纵等违法行为；（五）公司制定哪些措施防范操作风险、市场风险和信用风险，防范自营业务风控指标触及预警线或不达标；（六）公司资金调拨、席位及账户管理；（七）公司证券池如何建立和维护；（八）本期自营业务内控制度是否发生变化（适用于连续审计）；（九）获取公司年度中与自营业务有关的风险报告，了解证券公司风险监控机制、止盈止损机制实施情况；（十）获取公司自营业务稽核报告、合规检查报告等内部监督检查报告，以及外部监管、外部审计、自律组织等对证券公司发出的书面函件情况；（十一）自营证券的分类标准及估值方法。第五章 资产管理业务层面了解和评价内部控制第八条 注册会计师应当从资产管理业务流程层面了解和评价内部控制的设计是否合理，执行是否有效。第九条 在了解和评估资产管理业务层面的内部控制时，注册会计师应当执行的审计程序包括但不限于以下内容：（一）询问被审计单位资管业务部门负责人、关键人员；（二）检查有关文件和报告；（三）实地观察其执行情况；（四）追踪交易在信息系统中的处理过程(穿行测试)等。第十三条 在了解资产管理业务的内部控制时，注册会计师应当重点关注以下内容：（一）资产管理业务组织架构，各岗位职责，做到哪些不相容岗位分离；（二）资产管理业务授权体系如何建立的，公司通过那些措施保证授权有效执行；（三）资产管理业务产品设计、推广销售、投资决策、交易执行、研究、风险监控、清算核算、估值、信息披露、绩效考核、内部审计等关键内控如何体现；（四）资产管理业务与自营业务如何实现防火墙控制；（五）公司制定哪些措施防范操作风险、市场风险和信用风险，防范资管业务风控指标不达标；（六）资产管理业务客户资料管理、客户服务及投资者教育；（七）资产管理业务专用账户、席位管理；（八）资产管理业务的资产托管情况；（九）本期资产管理业务内控制度是否发生变化（适用于连续审计）；（十）获取公司资产管理业务有关的风险报告，了解公司风险监控机制实施情况；（十一）获取公司资管业务稽核报告、合规检查报告等内部监督检查报告，以及外部监管、外部审计、自律组织等对证券公司发出的书面函件情况。第六章 投资银行业务层面了解和评价内部控制第八条 注册会计师应当从投资银行业务流程层面了解和评价内部控制的设计是否合理，执行是否有效。第九条 在了解和评估投资银行业务层面的内部控制时，注册会计师应当执行的审计程序包括但不限于以下内容：（一）询问被审计单位资管业务部门负责人、关键人员；（二）检查有关文件和报告；（三）实地观察其执行情况；（四）追踪交易在信息系统中的处理过程(穿行测试)等。第十三条 在了解投资银行业务的内部控制时，注册会计师应当重点关注以下内容：（一）投资银行业务组织架构，各岗位职责；（二）投资银行业务授权体系如何建立的，公司通过那些措施保证授权有效执行；（三）投资银行项目承接、运作流程，包括立项、内核、签批、风险监控等关键内控如何体现；（四）报告期新发生的项目情况？（询问大型项目或有影响力项目）；（五）上期未完成的项目本期进度如何；（六）本期是否发生失败项目；（七）本期投资银行业务内控制度是否发生变化（适用于连续审计）；（八）项目资料管理情况；（九）外部和内部审计检查情况；（十）内核部、项目组对内核会成员提出建议的处理情况；（十一）保荐人管理情况。第七章 对了解和评估内部控制的记录第十四条 注册会计师应当记录各业务循环内部控制了解过程中识别的风险，并在设计具体审计计划时确定了相应的应对措施。第十五条 注册会计师应当根据了解的各业务循环的情况，初步评价相关内部控制的设计是否合理并是否得到有效执行，对于拟信赖的内部控制，注册会计师应当对其有效性进行控制测试，对于拟不信赖的内控测试，及仅通过实质性程序无法应对的重大错报风险的相关内部控制，注册会计师应当修改相关具体审计计划，设计相应应对措施。第七章 各业务循环控制测试的总体要求第十六条 注册会计师应当对了解的被审计单位各业务循环的控制活动，确定控制有效性测试的审计策略；第十七条 注册会计师应当根据测试的目的确定控制测试的时间。第八章 经纪业务控制测试第十八条 注册会计师应当通过以下程序对经纪业务营销管理方面实施控制测试：（一）通过查阅佣金费率表、就营业部佣金水平进行测算等方式，检查佣金设置、调整、公示的流程是否有效执行，关注异常佣金账户审批程序，以及佣金比例审批与设置是否一致、佣金收取流水与设置是否一致；（二）采用登陆公司营销人员管理系统、查阅相关文件、报告等方式，了解营销人员数量、构成、业绩，就营销人员招聘（含聘用协议签订）、培训、资格管理、展业行为管理、薪酬计算、客户查询渠道等方面的制度执行情况进行测试。第十九条 注册会计师应当通过以下程序对经纪客户服务与投资者教育管理实施控制测试：（一）通过抽取部分客户开户资料等方式，对证券公司了解客户和风险测评、客户分类的程序进行测试；（二）通过查阅客户投诉处理记录（文件）等方式，对证券公司客户投诉处理流程有效性进行测试；（三）通过检查投资者教育计划、投资者教育园地、客户回访记录、咨询信息发布等方式，测试投资者教育的内容、形式是否符合法律法规、监管要求，相关内控是否执行有效。第二十条 注册会计师应当通过以下程序对交易运行及清算管理实施控制测试：（一）抽查一定量的样本客户的开户及其他客户资料，检查营业部开户、指定交易、委托、撤销指定交易、转托管、销户等内控制度的执行情况；（二）核对上述样本客户书面客户资料和柜台交易系统中客户资料是否一致；（三）对客户权限修改、挂失业务、冻结业务、解冻业务、清密重置密码业务、股东资料修改业务、非交易过户（内转证券等）等流程进行测试；（四）获取资金业务汇总表和证券业务汇总表，检查特殊操作（资金红冲蓝补、证券红冲蓝补、资金或者股票冻结、资金强制取出、贷款融资、账户冻结、资金调账等）内控的执行情况（完整性）；（五）抽取交易量成交排行前若干名客户名单和资金余额排行前若干名客户名单，检查重要客户的内控执行情况：抽查客户资料，关注客户性质；抽查柜台系统交易流水、资金流水、证券流水，关注有无违规操作和透支情况；抽查大额资金存取记录，关注资金来源去向，关注有无违规业务情况；（六）抽查一定阀值以上的全部客户外币资金的存取记录，检查财务审批的授权、监督等（要列明资金的来源和去向），资金转入转出是否有复核、审批，是否合规等；（七）查询柜台系统（建议底层数据）的客户资金余额表，检查透支情况，是否存在违规透支；（八）获取客户资金托管银行的第三方存管协议，检查客户资金账户报备情况；抽查证券公司自有资金和客户资金之间的转款凭证，检查有无挪用客户资金、有无补亏客户资金等；抽取某些时点财务数据进行客户资金缺口测试，检查有无挪用客户资金；抽取一段时间银行重要账户的对账单流水和财务记录的客户资金存取记录核对，检查银行系统和财务系统记录的一致性；（九）检查清算岗位设置，清算对帐、清算差错、交易差错处理等业务有关单据，测试流程有效性。第二十一条 注册会计师应当通过以下程序对信息技术管理实施控制测试：（一）通过获取信息技术部门的工作日志等方式，检查其内控制度执行情况；（二）获取员工权限申请表或员工权限表和员工花名册，检查信息系统权限设置的合理性：（1）资金存取权限、交易委托类权限、重置密码权限、修改标准券数量权限、变更交易委托系统参数权限等重要权限设置是否符合内部控制的要求、是否遵循了风险控制的最优化原则；（2）权限设置是否已经营业部和公司分管领导批准、设置程序是否齐全；（3）已离职员工的权限是否注销；（三） 获取特殊操作（权限）申请表或日常临时权限申请表，检查特殊业务内控的执行情况，关注是否涉及三方监管、自营、委托理财等。第二十二条 注册会计师应当通过以下程序对综合管理实施控制测试：（一）获取全年公章使用记录和合同用印记录，检查有无三方监管、资产管理等异常的记录并调取存档文本，查看异常用印有无违规业务行为；（二）获取审计报告、所得税报告、内部稽核报告和离任报告，检查相关财务指标及反映的问题；（三）检查财务人员和清算人员的岗位设置，了解财务人员和清算人员具体负责人和岗位情况，关注有无特殊业务（自营、受托等业务）的岗位设置；（四）抽查手续费收入、支出的凭证，判断是否按约定标准计算，入账是否正确等综合管理。第九章 自营业务控制测试第二十二条 注册会计师应当通过以下程序对自营业务实施控制测试：（一）查阅自营、财务、风控等部门相关人员的岗位责任书，检查自营业务相关部门及岗位职责是否明晰、设置合理；（二）通过查阅董事会（或其下属委员会）会议纪要及会议决议、计算自营业务各月规模等方式，检查授权流程是否清晰、授权是否明确、自营业务规模是否超出董事会决议确定的限额；（三）选择样本证券交易流水，查阅投资决策文件、交易执行文件，检查决策过程是否符合自营业务内控制度，各个环节是否清晰留痕，是否在授权范围内决策；（四）检查自营业务中涉及自营规模、风险限额、资产配置、业务授权等方面的重大决策是否经过集体决策并采取书面形式，由相关人员签字确认后存档；（五）获取证券池名单，检查证券池构成及变动的决策记录及相关支持文件，选取报告期内证券交易样本，检查是否在证券池中；（六）选取证券样本，检查交易指令执行是否经过审核并强制留痕，交易执行与决策是否分离；检查银行间市场、开放式基金等场外交易的询价和交易情况，是否对银行间市场的交易结果有查询或比对机制；（七）通过比较分析自营交易流水与证券公司资产管理业务交易流水等，对自营与资管反向交易等可能损害客户利益、内幕交易、利益输送等的情况进行检查；（八）分析自营交易流水，检查买卖关联公司证券、处于投行敏感期内的股票等情况；（九）通过登录风险监控系统、查阅风控报告、风险控制指标监管报表等方式，了解自营业务逐日监控、风险报告等风险监控机制执行有效性，选取本期亏损较大的股票，检查投资过程中止亏点控制情况；（十）抽样检查自营资金调拨是否符合规定；（十一）检查自营业务的清算岗位设置情况，清算与财务等对帐情况；（十二）检查自营业务账户、席位管理情况。第十章 资产管理业务控制测试第二十二条 注册会计师应当通过以下程序对资产管理业务实施控制测试：（一）查阅资管、财务、风控等部门相关人员的岗位责任书，检查资管业务相关部门及岗位职责是否明晰、设置合理；（二）按集合资产管理计划、专项资产管理、定向资产管理三类分析公司资产管理业务开展规模等情况，查阅相关批文或备案文件，了解集合资产管理计划及专项资产管理计划设立时间、产品特点、托管行、代销机构等情况，以及定向资产管理客户、委托期间等情况；（三）抽取资产管理业务客户档案，检查产品推广、合同签订、了解客户及客户分类、风险揭示等制度执行情况；（四）通过登录TA系统等方式查阅客户参与退出情况，单个客户委托资产是否低于最低金额，委托资产是否仅限于货币资金，会计处理是否正确；（五）检查集合计划的资金账户和证券账户的开立和撤销情况；（六）选择样本证券交易流水，查阅投资决策文件、交易执行文件，检查决策过程是否符合资管业务内控制度，各个环节是否清晰留痕，是否在授权范围内决策；（七）获取证券池名单，检查证券池构成及变动的决策记录及相关支持文件，选取报告期内证券交易样本，检查是否在证券池中；（八）通过比较分析证券公司资产管理业务交易流水与自营交易流水等，对自营与资