论民事诉讼中电子证据的认证
李兴伦
摘要:本文通过电子证据的特点,探讨认证电子证据的规则,即法官在庭审的时候使用什么证据规则对电子证据进行综合的认证?相比之下,传统证据的认证规则不可能完全解决电子证据存在的法律问题,笔者通过本文提出认证电子证据的规则,以供参考。
关键字:电子证据 民事证据 电子商务
随着电子计算机技术的发展,电子商务出现了新的浪潮。然而电子商务的出现,冲击着传统的商业贸易的法律的调控。司法实践中涉及电子证据的案件层出不穷。对电子证据的法律定位及认证还处于理论讨论阶段,我国法律没有相关的规定,理论界的争论可谓见仁见智。电子证据可以作证据使用,法学理论界以及司法实践均没有争议,而用什么规则对电子证据进行认证呢?还处于初步阶段,因此没有统一的看法。
一、 电子证据的法律地位
确定电子证据的法律地位,直接关系在对电子证据进行认证时,究竟是使用现有的证据认证规则,还是另行创造一种认证规则。目前,我国民事诉讼法没有把电子证据作为独立的证据种类,而是根据电子证据的某些特性,在行政法规和司法解释中给出比较模糊的规定,根据行政法规的规定,主要有两种分法,即视听资料和书证。
如:《最高人民法院关于民事诉讼证据的若干规定》第二十二条规定:“调查人员调查收集计算机数据或者录音、录像等视听资料的,应当要求被调查人提供有资料的原始载体。”在这里,是把计算机证据作为视听资料。《最高人民法院关于行政诉讼真据若干规定》(2002年)其第十二条规定:“根据行政诉讼法第三十条第一款第三项规定,当事人向人民法院提供计算机数据或者录音、录像等视听资料”。国家广电部于1992年1月12日颁行的《关于广播电影电视行政服役若干规定》第二十五条第四款规定:“利用录音或录像磁带录制声音或者电子计算机储存的资料以及类似的资料来证明案件事实材料,包括录音带、录像带、传真资料、微型胶卷、电子计算机软盘等,称为视听资料。”从最高人民法院对民事行政以及广电部的规定来看,是把电子证据作为视听资料看待的。这种规定没有突破立法的框架,从表面上看,为电子证据的认证提供了认证规则,即对视听资料的认证规则。从实质上看,这样的规定仍然存在着法律问题,第一,我国《合同法》第十一条规定:“书面形式是指合同书、信件和数据电文(包括电报、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。”从合同法看,是把电子证据作为书面证据,这与最高人民法院的司法解释产生了矛盾,这对于认证电子证据是很不利的,定位的不同,会产生绝然不同的法律后果。第二,我国《民事诉讼法》第六十九条规定:“人民法院对视听资料,应当辨别真伪,并结合本案的其他证据,审查确定能否作为认定事实的根据。”显然,如果把电子证据作为视听资料,在没有其他证据予以佐证的情况下是不能够独立的作为认证事实的根据的。作为书证来看,不需要其他证据,就可以作为认定事实而使用,不必要有其他的证据加以佐证。这样的矛盾出现,确定为什么较好呢?现在是电子的时代,电子商务盛行,电子侵权无处不在。难道使用电子交易时还需要签订书面合同吗?
现在对电子证据的认识,主流的观点是把电子证据作为独立的证据种类,随着计算机技术的发展,电子证据的角色变得更为复杂,它可以是物证、书证、视听资料,证人证言等。因此将电子证据作为独立的证据种类较好些。
二、 电子证据的可采性认证
目前没有规定电子证据是独立的证据种类,因此电子证据不能作为一种证据种类进入诉讼程序或其他证明活动的问题。证据可采性就是指能够进入诉讼程序或其他证明活动可以被采用的证据。
法官究竟如何评判某一电子证据是否被采纳呢?首先,法官应根据提交的电子证据进行归类判断,即判断为物证、书证、视听资料、言词证据等。其次根据归类使用认证规则对电子证据进行认证,看是否能被法庭所采纳。
在归类和认证的过程中,归类应是根据法官的经验和知识进行的,而认证不应由法官独立进行,因为电子证据极易受到破坏和改变,且在技术上具有复杂性。根据法官所掌握的知识,很难对电子证据是否被修改或收集手段是否正确进行认证。这一环节,有专家提出应该聘请有关计算机专家对这一电子证据的真实性等一系列技术方面问题进行审查判断,再向法庭提供。这类似于专家辅助人,但有区别,专家辅助人是案件的当事人聘请,而其则由法庭聘请。为了使判决公正,使之为人信服。我赞同这种观点,因为,一个法官很可能是法学家,但同时是计算机专家就很不可能了。
三、 电子证据的合法性认定
世界上绝大多数国家对于非法证据,并不一律排除,我国也仅规定了有限的非法证据排除规则 。具体而言,我国并非对非法的证据一律排除,而是规矩非法的程度是否对证据的真实性产生影响,或者说足以影响某重大权益,则应加以排除;但在民事诉讼中,我认为只要是非法获得的证据,应一律排除。这样有利于取证不使用违法手段损害其他人的利益(为了获得证据,用隐形的摄影机拍摄他人的隐私,尽管拍摄的内容是真实的,但损害其他人的利益,也损害对方当事人的利益),有利于法官的正确判断,如果要求法官判断非法行为是否足以影响证据的真实性,法官是很难判断的,因为非法行为作出时的环境、人的智力、伪造的隐蔽性德那个因素,由于法官的知识、技术水平有限,不可能作出完全准确的判断。一律排除是对非法取证人的惩罚,使其放弃非法取证的念头,维持诉讼的公平性。
对于电子证据来说,非法取证的方式主要有一下几种:
(一)、非法窃听和窃录
现在计算机网络的飞速发展,使得人们通过因特网进入他人的计算机系统获取信息成为可能。没有获得别人的同意就非法入侵他人系统而盗取信息,作为证据使用的,一律没有证据效力。因为在入侵他人系统盗取信息的过程中,法官及有关专家也不能够准确判断其证据没有被改动或删除不利于自己的信息的可能性;这样对被入侵者来说是极不公平的 。即使被入侵者的系统中有与入侵者提供完全相同的信息,也不能认定其真实性没有受到影响,可以采用。如入侵者利用自己所掌握的知识通过因特网在他人的系统中写入与自己要提交的证据完全相同的信息,或者向他人系统中置入窃听病毒,从而撰改信息等。
鉴于电子证据的高科技性,对于绝大多数的民事诉讼当事人来说,是没有能力自己获得电子证据的。目前我国不允许设立私家侦探所性质的民间证据调查机构。对于获取电子证据难这一问题,应该由政府设立电子证据调查机构 。这样有利于电子商务的蓬勃发展,同时也保证电子交易的安全性,解决交易的后顾之忧。
但现在个别的,小股游击队性质的“地下网探”却不容忽视 。对于通过这些渠道获得的证据,不管其真实性如何,一律不予采纳。如果采纳这些证据,无异于是践踏公安部所发的通知,也是助长“地下网探”的发展,如果一律不予采纳,我想,是不会有人找这些“机构”调查的,对于专门从事此工作的人来说,等于砸掉他们的饭碗,他们还能够存在吗?
(二)、通过非法搜查和扣押等方式获得电子证据的,一律不予采纳。
搜查和扣押方式经常用于刑事侦查中,但必须经过一定的法定程序才得以实施。而在民事诉讼中,当事人不得行使搜查和扣押手段获取证据,当事人只能申请人民法院调取证据时,人民法院才有权使用搜查扣押等手段。而根据《最高人民法院关于民事诉讼证据的若干规定》的规定,当事人可申请人民法院调查收集的证据有:1、申请调查的证据属于国家有关部门保存并须人民法院依职权调取的档案资料。2、涉及国家秘密、商业秘密、个人隐私的材料。3、当事人及其诉讼代理人确因客观原因不能自行收集的其他材料。而证据保全则需要是容易毁损或灭失的证据,由此看来,似乎电子证据不符合证据保全和申请人民法院调取真格局的内容。但根据我个人的观点,我认为申请人民法院调取电子证据属于高法规定的第三种情况。如果电子证据只能由当事人调取,当事人不能以自己的名义去搜查和扣押证据或他人的财产,这样就会造成对当事人的一方不公平现象,造成的损害也得不到司法保障。因此,笔者认为,当事人申请调取电子证据时,人民法院应当予以支持。
(三)、通过非法软件收集的证据一般不予采纳。
软件对于电子证据的生成、传递、存储等各环节都有相当重要的作用,它的合法于与否直接关系到电子证据是否符合合法的标准。我国为了鼓励软件业的发展,我国政府颁布了一系列法律法规对软件产品的合法研制、生产、销售、使用等规范。信息产业部于2000年10月颁布的《软件管理办法》第七条规定:“软件产品实行登记和备案制度。未经软件产品登记和备案或被撤销登记的软件产品,不得在我国境内经营或者销售。”因此,合法软件是根据我国有关法律开发研制的符合标准并登记的软件,合法软件是经过严格的标准和有关专家进行测试达到出版要求的,处理各种信息时准确率较高,部容易发生错误。非法软件是指非法制售和非法录制的软件。前者软件没有经过严格的测试,软件难免会有许多错误和漏洞,处理相关的数据时容易出错,导致信息不真实,作为电子证据使用时可采性很低,除非另一方当事人自认。后者是没有获得授权而非法录制,现在的许多软件,为防止他人非法录制,大多都采取了软件保护内置的小程序,他人进行非法录制时,往往无法录制软件的内核程序,从而导致软件无法运行或经常出错 。这样的软件所收集的信息,难保其真实可靠,用此方法收集的证据,我认为一般不予认定。
(四)、通过非核证软件所获取的电子证据在电子商务种一律不予采纳。
电子商务的发展离不开一套成熟的软件。这套软件要确保数据在传输过程中有足够的安全性,确保数据传输的原始性。只有具备制这最基础的要素才能保障电子交易的安全。成熟的软件能够防止未经授权的人进入计算机系统,实施安全命令的控制,对系统的数据进行备份和恢复等。如果缺少这些基础的功能,那么未经授权的人进入计算机系统撰改计算机储存的数据,那在交易中难免会有许多纠纷出现。核准后的电子商务软件,是经过国家专门经过国家专门机构进行审核合格并发核证证书。对通过核证的电子商务软件收集的证据具有合法性和较真实性,一般给予采纳。
四、 电子证据的真实性认证
作为证据使用的材料,必须具有真实性,而怎样的电子证据才具有真实性呢?根据我国《电子签名法》 第八条规定:“审查数据电文作为证据的真实性,应当考虑以下因素:(一)生成、储存或者传递数据电文方法的可靠性;(二)保持内容完整性方法的可靠性;(三)用以鉴别发件人方法的可靠性;(四)其他相关的因素。”这一规定参照了联合国的《电子商务示范法》的有关规定而作出的,从该规定不难看出,该条前三项只规定了处理数据电文的方法的可靠性,当然处理数据电文的方法不可靠,就意味数据电文的失真性强,即不被采纳的可能性大。对于第四项规定的其他因素的具体情况,该法没有具体的规定。根据笔者的见解,笔者认为应该包括以下内容:
1、 计算机硬件合格性;指计算机的硬件设施要符合国家规定的标准。如果某一计算机的硬件是劣质品,它保存数据或提取数据时会发生由于硬件的故障而无法存取或必须修改有关的数据才能存取数据。此情况下,数据电文的真实性和完整性差,不利于法庭采纳。
2、 系统的稳定性;指在生成、储存和传递数据电文的过程中,计算机系统要处于正常稳定的状态。不然,所获得的证据难以确保完整性和有效性。
3、 计算机的安全性;指计算机正常运行的时候,要保证计算机内储存的数据的安全,现在的计算机病毒种类数不胜数,如果计算机内没有较安全的杀毒和防毒软件,一旦计算机中毒,难以保证数据的真实性和有效性。
4、 鉴别人的适格性;在鉴别发件人是谁的时候和真实与否时,不只追求用的方法是否恰当,还要看鉴别人是否适格。即使使用方法得当,由于主体不适格就会造成鉴别的内容不能够成为证据。至于鉴别主体的资格认证,有待研究,一般来说要求是计算机专家。
5、 数据电文的一致性;是指收件方所接收到的数据与发件方发送的数据要完全一致,不然不予认定。
但是,我认为只有《电子签名法》第八条规定的几项原则是欠缺的,尤其在网络侵权中,要认定电子证据的真实性这几项原则,难蹬大雅之堂。认定电子证据的真实性,除上述的几项原则之外,还应综合考虑以下因素:
1、 自行收集的电子证据,没有其它证据佐证的,一般不予采纳。由于电子证据的易改不留痕迹性,当事人在收集电子证据的难免会对电子证据作一定的修改,使不利于自己的证据利于自己;而电子证据的高科技性使得没有相应技术水平的人难以收集或收集的电子证据没有完整性。因此,这没有其它证据互证情况下,一般难以明确其由真实性,则不易给予认证。
2、 通过公证机关公证的电子证据,没有相反的证据时,应予以认证。虽然现在没有电子公证网络情况下;对于高技术性的电子证据,传统的公证机关难以正确的进行公证;但对一般的网络侵权,公证机关可以公证侵权内容的存在与否。
3、 经适格计算机专家鉴定没有被修改的电子证据,一般予以认证。没有被修改过的电子证据,一般认为它是真实的,是否一定用以电子证据,还需对此电子证据的生成、储存和传递进行审查,才做出决定。具备那些条件的计算机专家才是适格的呢?我觉得这一点可以参考英国学者克利夫·梅提出的几种观点:1、审查他们是否具有计算机法庭科学领域的广泛精力与背景;2、审查他们是否从事计算机法庭科学的全职工作,这关系到他们能否跟进IT领域和法庭技术领域的最新发展;3、审查他们是否进行过相关的成功尝试;4、审查他们是否熟悉如何处理带你资政据与保持证据锁链的那些公认标准;5、审查他们是否拥有与需要鉴定的计算机系统有关的软件工具和精力;6、审查他们拥有什么样的备用措施;7、审查他们能否在紧急情况下迅速开展工作;8、审查他们能否通俗语言解决复杂的技术争议 。
4、 在电子商务中,通过认证机构调取的电子证据应给予认证。这样可以保护交易的安全性,排除建议的后顾之忧,有利于电子商务的健康发展。认证机构都需经国务院的主管部门笔者而建立,具有相当的可靠性。当然,如果另一方能通过同样的手段取得相反的证据除外。
五、 电子证据的原件认证
我国《民事诉讼法》第六十八条第一项规定“书证应当提交原件。物证应提交原物。提交原件或者原物确由困难的,可以体检复制品、照片、副本、节录本”。电子证据既不是书证,也不是物证,就不需要提交原件吗?怎样认定电子证据的原件呢?根据《电子签名法》第五条规定:“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:(一)能够有效的表现所载内容并可供随时调取查用;(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换储存和显示过程中发生的形式不影响数据电文的完整性。”该规定从某种程度上看,把电子证据当作书证看待,如能够有效地表现所载内容,就复合书证的特征。书证可以作为定案的证据无需其他证据加以佐证。但是,这一规定的十多用范围不能够包括所有电子证据所产生的诉讼、仲裁等。它产生于电子签名法,使用有关电子签名的诉讼,对于其他没有电子签名诉讼,法庭应该采用此规则,只有当此规则不能解决问题时,可以考虑“同等功能说” 。发挥法官的自由裁量权予以认定。由于电子证据具有自身的特殊性,其法庭是否采用作为定案的依据,不知识靠以上的一些规则就可以做到,并且认定电子证据是否被法庭采纳,对法官来说,同样时具有挑战性,根据传统的思维,经验和方法已不能公平、公正的完成此项任务。尤其在技术方米那,法官可能是一个法学家,但不太可能同是计算机专家,因此在审理此类案件时,对于合议庭的组成应需改变,以跟进科技的发展。
总之,对于电子证据的认证,笔者认为应根据以上的一些规则对证据进行背景分析、检验、辨别、鉴定合对比,从而得出认定案件的最佳证据。
参考资料:
1、程春华 民事证据专论【M】 第十七章
2、王伯庭、陈伯诚、汤茂林 刑事证据规则【M】
关于印发《加强金融机构内部控制的指导原则》的通知
中国人民银行
关于印发《加强金融机构内部控制的指导原则》的通知
银发[1997]199号
中国人民银行各省、自治区、直辖市分行、深圳经济特区分行,各政策性银行、国有独资商业银行、其他商业银行,中国人民保险(集团)公司、其他保险公司,全国性非银行金融机构:
为防范金融风险,健全金融机构内部控制机制,中国人民银行总行制定了《加强金融机构内部控制的指导原则》。现印发你们,请认真贯彻执行。各单位在执行过程中有什么问题,请及时向人民银行反映。
中国人民银行
一九九七年五月十六日
第一章 总则
第一条 根据《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国保险法》等法律法规,为了有效防范金融风险,保证金融业安全稳健运行,各金融机构必须建立科学完善的内部控制制度。
第二条 金融机构内部控制是金融机构的一种自律行为,是金融机构为完成既定的工作目标和防范风险,对内部各职能部门及其工作人员从事的业务活动进行风险控制、制度管理和相互制约的方法、措施和程序的总称。
第三条 完善金融机构内部控制是金融监管工作的重要组成部分,是规范金融机构经营行为、有效防范风险的关键,也是衡量金融机构经营管理水平高低的重要标志。
第四条 本指导原则的适用范围是政策性银行、国有独资商业银行、其他商业银行、城乡信用社、信托投资公司、证券机构、保险公司、财务公司、融资租赁公司、典当行等非银行金融机构。
第五条 建立健全有效的内部控制运行机制是各金融机构管理层的基本职责,管理层可以根据自身经营的规模和业务特点,制定实施各自的内控模式,分支机构可以制订实施细则,但这些细则不得与机构本身的内部控制制度相抵触。
第二章 内部控制的目标、原则
第六条 金融机构内部控制要达到以下目标:
(一)确保国家法律法规和中央银行监管规章的贯彻执行;
(二)确保将各种风险控制在规定的范围之内;
(三)确保自身发展战略和经营目标的全面实施;
(四)有利于查错防弊,堵塞漏洞,消除隐患,保证业务稳健运行。
第七条 金融机构要按照合法、合规、稳健的要求,确定明确的经营方针,建立“自主经营、自担风险、自负盈亏、自我约束”的经营机制,坚持资金营运“安全性、流动性、效益性”相统一的经营原则。在内部控制建设方面要遵循以下原则:
(一)有效性原则。各种内部控制制度包括最高决策层所制订的业务规章和发布的指令,必须符合国家和监管部门的规章,必须具有高度的权威性,必须真正落到实处,成为所有员工严格遵守的行动指南;执行内控制度不能存在任何例外,任何人(包括董事长、总经理)不得拥有超越制度或违反规章的权力。
(二)审慎性原则。内部控制的核心是有效防范各种风险,任何制度的建立都要以防范风险、审慎经营为出发点。
(三)全面性原则。内部控制必须渗透到金融机构的各项业务过程和各个操作环境,覆盖所有的部门和岗位,不能留有任何死角。
(四)及时性原则。新设立的金融机构或开办新的业务种类,必须树立“内控优先”的思想,首先建章立制,采取有效的控制措施。
(五)独立性原则。内部控制的检查、评价部门必须独立于内部控制的建立和执行部门,直接的操作人员和直接的控制人员必须适当分开,并向不同的管理人员报告工作;在存在管理人员职责交叉的情况下,要为负责控制的人员提供可以直接向最高管理层报告的渠道。
第三章 内部控制的要素及内容
第八条 金融机构内部控制包括:金融机构内部组织结构的控制、资金交易风险的控制、衍生工具交易的控制、信贷资金风险的控制、保险基金的风险控制、会计系统的控制、授权授信的控制、计算机业务系统的控制等。
第九条 金融机构组织结构的控制要按照决策系统、执行系统、监督反馈系统互相制衡的原则来设置。
(一)金融机构要制定明确、成文的决策程序,全部经营管理决策要按照规定程序并保留可核实的记录,防止个人独断专行、超越或违反决策程序。
(二)金融机构的各级经营管理机构要严格执行上级的决策,并在各自职责和权限范围内办理业务、行使职权。
(三)金融机构要建立有效的内部监督系统,建立各项业务风险评价、内部控制的检查评价机制和对内部违规违章行为的处罚机制,及时发现问题,堵塞漏洞,有效防止内部的侵吞、挪用和外部的盗窃、诈骗。
第十条 金融机构对资金交易(包括本、外币拆借,下同)、证券交易、衍生金融产品交易,要建立完善的内部监督和风险防范制度。
(一)资金交易必须遵从管理层制定的操作规程,资金的交易额、交易策略、交易品种、市场范围要严格按授权办理。
(二)建立资金交易、证券交易、衍生工具交易业务的会计和统计记录制度以及头寸核查和交易损益的核算制度。
(三)建立用于测量和监控风险头寸及分析潜在亏损、风险大小并对其进行控制和管理的系统,包括风险定量分析方法,信用、市场、法律、操作风险管理等。
(四)按照中国人民银行制订的有关资料负债比例管理办法的规定,按月、按季对各项监控、监测指标进行自我监测和考核,对达不到指标要求的分支机构要制订适当的处罚措施。
第十一条 金融机构要围绕防止和降低信贷风险、提高信贷资产质量、优化信贷资产结构建立有效的内部控制制度。
(一)对各类贷款的发放和使用必须实行严格控制,并符合国家的法律、行政法规和监管部门发布的行政规章。金融机构应遵循贷款的“效益性、安全性和流动性”原则,建立管理与操作人员行为控制的信贷管理制度。
(二)建立以风险评估和控制为核心的信贷风险管理制度。对贷款必须遵循“贷前调查,贷时审查,贷后检查”的原则。
(三)建立以贷款立项、调查、贷款审核认定、贷款决策、贷款检查监督为内容的信贷资产管理责任制,做到明确责任,逐级负责。任何人不得超越职权和违反程序发放贷款。
(四)建立监测信贷风险的预警系统、监测借款企业经营风险的预警系统、监测信贷风险的考核指标体系。
第十二条 金融机构要建立严密的会计控制系统。会计记录、帐务处理和经营成果核算要完全独立,会计部门只接受其主管的领导;会计主管不得参与具体经营业务的经办。
(一)会计制度制定的唯一依据只能是国家颁布的会计准则和财务通则。会计制度必须明确规定有效会计凭证的要素。会计人员进行帐务记录必须是经严格审定的有效会计凭证,除此以外,会计人员不得接受任何指令。会计人员进行的任何帐务记录如果没有有效的会计凭证,其主管人员和会计人员应受到严厉的处罚。
(二)会计记录必须能够确定业务活动发生的时间,并在适当的会计期间得到反映。通过电子数据处理系统录入会计数据时,必须保证只有在识别特殊密码状态下才能进入该系统。修改会计记录必须履行必要的手续,得到适当的授权,并详经记录在案,在电子数据处理系统中修改会计记录,处理系统要能够自动识别授权密码并自动记录在案。
(三)会计控制系统的建立应遵循以下基本原则:
规范化原则。会计帐务处理须按照会计制度的要求,建立并执行规范化的操作程序。
授权分责原则。对会计帐务处理实行分级授权。会计人员不得超越权限范围处理会计帐务和增删改会计帐务事项或参数;上级授权处理的事项须履行必要的手续;建立并执行财务收支审批制度。会计帐务处理必须实行岗位分工,明确岗位职责,严禁一人兼岗或独自操作全过程。会计岗位实行定期或不定期轮换。
监督制约原则。对会计帐务处理的有效依据如业务用章、密押、空白凭证实行专人分管;资金与实物分别核算与管理,会计部门对重要空白凭证和有价单证要进行表外登记,应有独立于会计部门之外的部门管理现金、有价证券及其他实物形态的资产。对会计帐务处理的全过程要实行监督,即事前监督——受理业务时,临柜人员对业务的合法性、真实性,手续的完整性及数据的准确性进行审核;事中监督——对会计处理的凭证、帐表内容和数据均须复核,重大事项须由会计主管复核;事后监督——对已经处理过的会计帐务实行再核对,重点监督重要业务的处理。会计部门须设置相应岗位,配备必需人员,落实监督事项。
帐务核对原则。对会计帐务,须坚持“六个核对相符”,即帐帐、帐据、帐款、帐实、帐表及内外帐务核对相符;根据制度要求对不同帐务采取每日核对或定期核对的办法。要建立和完善外部对帐制度,定期按户对帐。
安全谨慎原则。会计部门须妥善保密密押、重要空白凭证和业务用章,防止遗失或被盗;妥善保管会计档案,严格会计资料的调阅手续,防止会计数据的散失和流弊。会计人员调离须办理交接手续。
第十三条 保险公司要建立内控机制,增强自控能力。
(一)建立健全以核保、核赔、投资风险控制为主要内容的内部控制制度,严格防范各种保单、批单、保险协议等可能带来的风险;坚持“双人勘查、交叉复核、分级核损、终审归案”的原则,防止假赔、骗赔案的发生;严格控制高风险、低流动性资产比例,加强资产负债匹配和现金流量管理。
(二)建立各项准备金提取与管理制度,以提高偿付能力。各保险机构要按规定及时、足额提取未到期责任准备金,未决赔款准备金以及公积金、保险保障基金,并加强集中管理,资金运用限存入商业银行或购买政府、金融债券。
(三)加强保险条款管理。各公司对寿险条款要实行高度集中管理,所有寿险条款均由总公司统一制订;建立寿险精算部门,并逐步建立产险精算制度,提高精算水平,控制经营风险。
(四)保险公司要设立再保险管理部门,制定再保险规章制度,严格执行法定分保规定,合理确定每一风险单位的计算方法和分保办法,制定巨灾风险的计划安排和管理措施,严格控制巨灾风险。
第十四条 金融机构要建立合理的授权分责制度,要按照业务工作程序和授权,健全完善各种审批手续。
(一)按照各自经营活动的性质和功能,建立以局部风险控制为内函的内部授权、授信管理制度。对各分支机构授权、授信要定期检查、确保授权、授信范围适当,有据可查,所授权限和信用额度不得超越和突破。
(二)针对部门的工作性质、人员的岗位职责,赋予相应的工作任务和职责权限。
(三)各种授权都要以书面形式确认,逐级下达。
(四)辖属分支机构、各职能部门及各级管理操作人员,要在各自岗位上按所授予的权限开展工作,并对职责范围的工作负责。
(五)凡对外开办的每一笔业务都要按业务授权进行审核批准,对特别授权的业务要经过特别批准。
第十五条 金融机构要建立科学的金融计算机系统风险控制制度。要对计算机系统的项目立项、设计、开发、测试、运行和维护整个过程实施严格管理,明确业务主管部门和稽核监督部门的职责,严格划分软件设计、业务操作和技术维护诸方面的责任。
(一)系统的业务需求由主管业务部门提出,应符合金融法律、法规的规定,明确防范风险控制的要求,并经过稽核监督等部门的确认。
(二)系统的设计开发由科技部门负责,应该符合国家、金融行业软件工程标准的要求,编写完整的技术资料;在实现金融业务电子化时,应设置保密系统和相应控制机制,并保证计算机系统的可稽核性。
(三)系统投入运行前,必须经过业务、科技、稽核等部门的试验运行,提供必备的测试资料,正式投入运行应经过业务、科技和稽核部门的联合验收,由金融机构法人(或法人代表)批准。
(四)系统投入运行后,应按照操作管理制度进行经常性和定期相结合的稽核检查,完善业务数据保管等安全措施,进行排除故障、灾难恢复的演习,确保系统可靠、稳定、安全地运行。
(五)采用商品软件应经过金融电子化设计人员和稽核监督部门的测试确认,购买计算机系统设备合同中应明确厂商承担的责任,租用公共网络时应确定经营机构承担的责任。
(六)严禁系统设计、软件开发等技术人员介入实际的业务操作。用户使用的密码口令要定期更换,不得向他人泄露。对系统的数据资料必须建立备份,异地存放。系统应具备严密的数据存取控制措施,数据录入应依照合法、完整的业务凭证照实输入,数据的修改要经过适当的批准。
第四章 对建立内部控制的基本要求
第十六条 金融机构要设立顺序递进的三道监控防线,建立完善内部控制制度。
(一)各金融机构对涉及信贷的立项审查和发放、资金拆借、证券买卖、外汇交易、衍生工具交易等重要交易的办理与管理必须由两个系统或两个以上职能部门共同执掌;会计业务和使用自动数据处理系统时,要有适当的程序和措施,保证职能分工,实行相互监督约束,共同负责。
(二)建立一线岗位双人、双职、双责为基础的第一道监控防线。属于单人单岗处理业务的,必须有相应的后续监督机制。
(三)建立相关部门、相关岗位之间相互监督制约的工作程序作为第二道监控防线。要建立业务文件在相关部门和相关岗位之间传递的标准,明确文件签字的授权。
(四)建立以内部监督部门对各岗位、各部门各项业务全面实施监督反馈的第三道防线。内部监督部门作为对业务的事后监督机构,必须独立地监督各项业务活动,同时及时将检查评价的结果反馈给最高管理层。
第十七条 金融机构在业务运营过程中要实行恰当的责任分离制度。
(一)实行对货币、有价证券的保管与帐务记录相分离。
(二)重要空白凭证的保管与使用相分离。
(三)资金交易业务的授权审批与具体经办相分离,前台交易与后台结算相分离。
(四)信用的受理发放与审查相分离。
(五)损失的确认与核销相分离。
(六)电子数据处理系统的技术人员与业务经办人员及会计人员相分离等。
(七)风险评定人员与业务办理岗位相分离。
(八)对直接接触客户的业务,必须复核或事后监督把关,重要业务必须实行双签有效的“四眼原则”。
第十八条 金融机构在操作层要建立完善的岗位责任制度和规范的岗位管理措施。
(一)要推行内部工作的目标管理,制定规范的岗位责任制度、严格的操作程序和合理的工作标准。
(二)按照不同的岗位,明确工作任务,赋予各岗位相应的责任和职权,建立相互配合、相互督促、相互制约的工作关系。
(三)对重点岗位、重点业务、重要空白凭证、重要财务等要特别加强监控和管理。
(四)对资金交易、信贷管理和会计财务等重要岗位实行定期或不定期轮换和强制休假制度。
第十九条 金融机构要建立完整的信息资料保全系统,必须真实、全面、及时地记载每一笔业务,正确进行会计核算和业务核算,建立完整的会计、统计和各种业务资料的档案,并妥善保管,确保原始记录、合同契约、各种信息资料数据的真实完整。
第二十条 金融机构要建立有效的预警预报系统。
(一)围绕经营行为、业务管理、风险防范、资产安全,建立定期业务分析、信贷资产质量评价、保险标的风险评估、资金运用风险评估制度。
(二)建立定期实物盘点、各种帐证、帐表的核对制度以及业务活动的事前、事中和事后监督制度。
(三)健全完善内部控制系统的评审和反馈,以及对带有苗头性、倾向性问题的预测预报系统。
(四)建立保险风险考核指标系统。
第二十一条 金融机构要建立有效的应急应变措施。尤其是各个重要部位、营业网点等遇到断电、失火、火灾、抢劫等紧急情况时,要确保应急应变措施及时到位,真正发挥作用。应急应变措施要考虑各种可能因素,分别依次设定具体的应急应变步骤。
第二十二条 金融机构要进一步加强和完善检查监督手段。
(一)内部稽核(审计)部门要行使综合性的内部监督职责,实行对一级法人负责,以保证其独立地履行监督检查职能。
(二)建立制度规章,保证内部稽核部门的独立性和权威性,按“下查一级”的要求实行“派驻制”。
(三)对下属机构的全面稽核应实行“周期制”,循环反复进行,同时安排一定数量的专项稽核,对重大事项要随时报告。
(四)稽核人员的配备在数量上、质量上要适应完成以上任务的需要。
(五)建立稽核处罚制度和稽核检查制度,督促内部各项管理措施和规章制度的贯彻实施。
(六)内部稽核(审计)部门和有关检查人员要认真履行其职责,真实及时地反映情况,对隐瞒不报、上报虚假情况和监督检查不力,造成重大案件和出现金融风险的要追究法律责任。
第二十三条 金融机构要按各自的业务经营范围和特点,制定全面、系统、具体的内部控制制度,并在辖属分支机构、各职能部门、各岗位人员之间,建立既有分工负责,又有相互制约的内部控制系统。
第二十四条 金融机构制定的内部控制制度既要有切实的制约措施,又要有利于发挥辖属分支机构、各职能部门及人员的工作积极性,以合理的控制成本保证内控目标得到全面实施。
第二十五条 金融机构要自身制定的内部控制制度定期进行检查,并随经营业务的发展、国家政策的变更和法律环境的改变进行修订。
第二十六条 金融机构的内部控制制度要具备普遍适用性和可操作性。
第二十七条 金融机构要通过培训、考试、考核等方式,确保员工熟悉岗位基本要求,理解和掌有关内部控制制度。
第五章 内部控制制度的管理与监督
第二十八条 内部控制制度的综合管理,要由各金融机构稽核(审计)部门具体负责,其具体职责是:
(一)对各项业务提出内部控制建议。
(二)检查和评价有关内部控制制度。
(三)对有关内部控制的问题进行专题检查。
(四)对违反内部控制的单位和人员给予纪律处分。
第二十九条 中央银行负责对金融机构内部控制的监督和稽核。
(一)中央银行在对金融机构实施业务稽核的同时,要对金融机构内部控制状况做出评价。
(二)中央银行可以委托外部审计部门对金融机构的内部控制状况做出评价。
(三)对内部控制存在问题的金融机构,中央银行可以提出整改建议,情节严重的给予处罚。
(四)对因内部控制制度长期不健全或执行监督不力造成重大资产损失,或导致发生重大金融犯罪案件的负有个人责任或直接领导责任的金融机构高级管理人员,中央银行可以依据有关规定,根据情节轻重及后果,取消一定期限内甚至终身的任职资格。
第六章 附则
第三十条 对在中华人民共和国注册的外资、中外合资金融机构应参照本指导原则,建立健全内部控制机制。
第三十一条 本指导原则由中国人民银行负责解释。
第三十二条 本指导原则自发布之日起由金融机构实行。
