商业银行风险管理手册(文件)

　

【正文】 造成的威胁，以及下述的限制情况同样适用于合作所。禁止提供的服务 以下活动是被禁止的： 委托、执行或完善某项交易，或者反过来以鉴证业务客户的名义代理； 判断事务所的哪项建议应由鉴证业务客户来实施； 替代管理当局的作用编制向鉴证业务客户提供的报告； 向审计客户提供财务报表重要事项的评估服务，并且该评估服务具有较强的主观性（除非是纳税申报或该评估服务是给税务主管部门进行外部审核）。管理职能 为了成为我们全方位客户更有效的经营顾问，我们需要全面深入地了解客户的经营事务并与他们的东主管理者建立紧密的工作关系。要特别留意避免出现会使我们处于尴尬地位的情况，或者特别留意准备上市的客户或将被上市公司收购的客户。 当事务所员工被审计客户借用时，必须明白他们不能涉及以下事项： 制定管理决策； 批准或签署协议或其他类似文件； 执行任意的授权来代理客户。审计合伙人负责保证已经采取足够的防范措施来维护事务所的独立。 在以下情况，可以向上市审计客户的部门或分支机构提供常规性或机械性的记账和会计服务： 该服务不涉及判决的执行； 提供服务的部门或分支机构加总后仍对审计客户不重要，或者服务加总后对该部门或分支机构不重要；同时 这些服务的收费加总后对事务所而言不重要。为审计客户提供IT系统服务，除了遵循一般指引外，还应遵守以下规定： 客户声明建立和管理内部控制系统是自己的责任； 客户指定自己公司有能力的职员负责设计和实施硬件或软件系统的所有管理决策； 客户决定有关设计和执行程序的所有管理决策； 客户评价该IT系统设计和执行的程序是否足够，及其结论； 客户负责运行该系统（硬件或软件）以及数据库的使用和生成。 需要采取恰当的防范措施将威胁降至可接受水平。 当涉案金额在财务报表水平是重大时，此时代理审计客户解决争端或诉讼问题会导致倡导威胁和自我复核威胁，而且威胁的程度很严重，没有防范措施可以使之降低到接受的水平。收费收费的规模 当一个鉴证业务客户及其关联公司的收费合计达到事务所总收入的15%，则必要时应由审计负责人，即风险管理委员会主席复核事务所相对该客户的独立性： 应与审计委员会或按照权限负责的人讨论收费的性质和范围； 以及应采取的防范措施。或有收费 鉴证业务不能按照鉴证业务结论或鉴证业务的主要项目进行收费。低收费 当我们以明显低于其他事务所的收费争取到鉴证业务时，我们必须能够有证据表明已安排恰当的时间和人员完成该项业务，并且遵循了质量控制制度。 即使可能发生的诉讼不是因审计工作所致，事务所是否继续作为审计师也应经过必要的咨询和考虑。如果在那种情况不适合采取这种步骤时，应遵循第12章里的咨询程序。 员工也有责任确保采取必要的步骤证实在他们担任审计师的公司里是否有投资或将要进行投资，以确保自己没有无意间违反事务所的独立制度。 员工被要求在每年确认以下事项： 已经阅读并明白事务所有关职业道德、风险管理和质量控制的制度； 未持有按照事务所制度禁止持有的投资权益； 与事务所客户没有事务所制度禁止的关联关系或交易。个人专业服务 员工不允许从事事务所或客户之外的个人专业服务。与客户的交易 当客户的价格很优惠时我们可能会与客户发生交易。 商业赔偿我们应当谨慎地确保：当任何一方对交易不满意的时候，不管是事务所还是客户都不会羞于提出正常的商业赔偿。 我们确认存在利益冲突之后，可以决定在采取一定的预防措施后进行相应恰当的执业： 我们应当确保将事实向各方进行了充分的披露，并获得他们确认该披露的确认书，以及对我们所采取方式的批文，包括： 我们不同的作用； 收费安排（对工作的每个不同部分分别收费） 确保独立性和客观性的措施； 潜在利益冲突的含义。特定情况的例子有，对管理当局进行特审的工作小组向顾问小组要求资料或确切的解释。职业谨慎是指，虽然我们不假定客户管理当局及其员工是不诚实的，但也不应毫无疑问地假定他们是诚实的。客户的事务都是商业机密，应采取防范措施避免发生任何损害保密的情况。 与客户其他的经营及专业顾问讨论客户事宜时也要小心，因为客户的态度会因他们希望我们披露多少而不同。当发文件给客户时提醒客户是比较恰当的，这样他们可以安排人在那边传真机收文。 除非在特殊情况下或者我们服务的要求这样做的情况（如，我们在帮客户代理记账），否则凭证和资料不应搬离客户办公室。 为防止客户信息被泄密，我们也必须确保在我们办公室和外勤的时候，将其他人接触这些资料的风险最小化。不受保密原则约束的情形 在极少数情况下，会出现可以和应当不受保密原则约束的情形或法定机构强制要求披露这些信息。事务所资料的保密 为了提供高质量的服务，XXX开发了自己的审计方法和程序，它们是XXX最有价值的资产。这些都应作为保密资料。我们的业务很大程度上依靠数据、凭证和文件，它们的手工资料和电子资料。 为安全起见，也为了方便清洁工打扫，下班前所有的桌面都要清理干净。只有在特定情况下，文档或资料可单独放在车内，并锁在看不见的地方。应进行适当的安排，保证工作日开始和结束期间、午餐时间及其他空闲时间也有人看管。 客户或员工达成的决定应形成文档。其中的许多底稿是已完成工作的证据，因此在以后某些时候会被调阅。电脑电脑的安全 所有员工有责任确保电脑硬件、软件和相关的数据是安全的。员工应清楚丢失电脑的损失比丢失书面文件的损失要大的多——工作会被打断，并且如果客户的资料遗失的话，将导致保密问题。在运送电脑设备时应采取措施避免引起别人的注意，防止在路上被抢或被盗。备份 应定期对资料进行备份。当电脑被带走时，使用键盘密码锁住装置就显的尤为。员工应记住锁好自己的工作台或在离开电脑无人看管时退出网络。在采取了足够的措施保证电脑的安全时，只要电脑放置好就可以了。 晚上，所有的笔记本电脑应该锁在办公室安全的地方或自己带回家。 电脑的安全应该是所有使用者的首要考虑因素，且事务所鼓励他们这样做。这样需要考虑法定的要求，还必须要根据与客户达成的特定协议来考虑对文档的特定保存期间。业务合伙人应复核关键的审计决定。会议及电话记录 记录每件已完成的工作是很重要的。这些东西应尽量远离文件和电脑设备。员工个人的贵重物品不要在办公室过夜。 以下安全规定是每位员工应遵守的部分守则： 对事务所保管的客户帐簿和帐本应非常小心。基础设备的安全 对于基础设施及其中装载的信息的主要风险是火灾、失窃和恶意损坏。所有XXX提供的手册、指南、审计程序和其他资料都是XXX的财产，当员工离职时都必须全部归还所里。 当你认为出现不受保密原则约束的情形时，应第一时间和事务所的法律顾问讨论。员工不允许将利用职务之便时获得的上市公司有关商业秘密作为己用，或者传递给他人。在这种情况下，应采取足够的安全措施。 在客户办公场所由我们保管的凭证应采取恰当的保卫措施，禁止未经授权的接触。若车子被盗了，而我们必须告知客户，损失重大时会损害我们与客户的关系。在与客户的员工、外面的第三方和其他无需接触该客户信息的事务所员工接触时应小心处理这些信息。3 资料的保密和安全工作基本程序35上市公司36不受保密原则约束的情形36事务所资料的保密36基础设施的安全37会议及电话记录37文件的归档和保管37电脑38电脑的安全38电邮的保密40网络联接40传真40摘要本章规定了客户资料的保密和超越保密情况的处理基本程序；也描述了文件的归档和保管程序。 对利益冲突进行检查是我们接受客户程序中的一个重要部分；在13章中有详细列示。 为避免出现疏忽、遗漏披露的风险，我们应利用不同工作部分、区域的工作小组（包括合伙人）或确保其他经清楚界定的工作安排适当。利益的冲突 对客户提供专业服务时很可能产生利益冲突，我们也会与其他个人、实体、产品或服务发生联系，以我们的专业判断，这些情形从客户的眼光来看，有可能会损害我们的客观性。有3点需要关注的： 利益的冲突我们不应与某个客户产生重大的关联关系，从而使我们的独立性受到置疑，不管是因应收债权或应付债务所导致的对我们的报告职能产生的怀疑。 若该工作是经过批准的，也应利用员工个人的时间去完成，而不能以事务所的名义，不能占用事务所的设施和电脑或者其他任何办公设备。违反独立制度 员工必须向业务合伙人或风险管理委员会主席汇报任何可能影响自身独立性的情况。在Explorer里有独立声明的标准格式。员工在进行投资决策前应核对这些名单，确保未在6个月之内持有禁止持有的投资权益。胁迫威胁 员工可能会因与客户有关的工作而受到威胁，如： 因适用会计政策的分歧而承受被替换的威胁； 为了减少成本而缩小工作范围的压力； 客户管理当局或其他方的胁迫。 若客户是鉴证业务客户，则应采取下列程序： 向审计委员会或指定监管人披露诉讼的性质和范围； 若诉讼事项牵涉到鉴证小组成员，应将其调离该鉴证小组； 指定一位独立审核合伙人对已完成的工作进行复核，并提出相应的意见。 对于其他类型的收费业务，其存在的威胁取决于以下因素： 可能收费的金额幅度； 变动的程度； 收费的基础； 该交易对鉴证业务的影响。预期收费 在审计工作开始前客户还未支付费用时，应向一位独立合伙人咨询该事项及事务所的独立性。聘用高级管理人员 当事务所接受委托为鉴证业务客户提供招聘服务时，可能会涉及到发布招聘广告，面试应聘人员和编制合格候选人名单，但是不管在什么情况下，最终录用谁应由客户来决定。法律服务涵盖范围广、形式多样，包括为客户提供的公司和商业服务，如合同支持、诉讼、合并和收购顾问及支持，以及对客户内部法律部门的协助。 对审计客户提供诉讼支持服务会导致对独立性的威胁，包括对结果的预计以及由此应在财务报表中反映的影响金额或或相关披露。若不熟悉这些规定，则必须咨询美国合伙人。为上市公司记账和编制财务报表 为上市公司提供记账和会计服务都是被禁止的，包括代理发放工资，编制财务报表或者所审财务报表的部分报表等。非鉴证服务的一般指引 在适当情况下，向鉴证业务客户提供非鉴证服务所应遵守以下一般性程序： 做出适当的工作委派，以确保提供非鉴证服务的员工不参与相应的鉴证业务； 与管理该客户业务的人员讨论提供非鉴证业务对独立性的影响； 告知审计委员会或负责管理该客户业务的人员该业务的性质和范围； 获取该鉴证业务客户对于服务结果相关责任的声明书； 若独立性影响不能消除，则应退出或拒绝接受该项委托。在同意接受非鉴证业务委托之前，我们应了解客户的以下情况： 委托目的； 服务的内容； 管理当局的责任； 我们的责任； 委托的限制条款。因此，重要的是，无论何时我们以顾问的身份与客户进行紧密合作，但是必须清楚地知道是否根据我们的建议采取（或不采取）行动是客户的自由，而且在与客户的沟通中应该充分地表明这个观点。 宣传、买卖或承销鉴证业务客户的股票； 使鉴证业务客户限制在某项交易条件或以鉴证业务客户的名义进行交易。在这种情况下，应该充分考虑事务所在非鉴证业务的主要事项中的重要程度，判断是否会产生自我复核威胁以及在采取适当的防范措施后能将威胁降至可接受水平，或者是否应当拒绝该非鉴证业务委托。