(一)内部控制的基本要素
内部控制的基本要素包括控制环境、风险评估、控制活动、信息沟通和内部监控。
1.控制环境构成托管人内部控制的基础,控制环境包括经营理念和内控文化、组织结构、员工道德素质等内容。
2.风险评估是指通过建立科学严密的风险评估体系,对托管业务内外部风险进行识别、评估和分析。
3.控制活动是指托管人通过制定完善的管理制度和采取有效的控制措施,及时防范和化解风险。
4.信息沟通是指托管人内部应当维护畅通的信息沟通渠道,建立清晰的报告系统。
5.内部监控是指托管人通过建立有效的稽核监督体系、内部监控制度、稽核检查制度、内部控制制度的评审和反馈机制,设置督察员和独立的监察稽核部门,对内部控制制度的执行情况进行持续的监督,保证内部控制落实。
(二)内部控制的内容
基金托管人内部控制的内容主要包括资产保管、资金清算、投资监督、会计核算和估值、技术系统等五个方面。
1.资产保管的内部控制。资产保管是基金托管业务的重要方面,基金托管人应制定完善的基金资产保管制度、操作流程和岗位工作手册,并采取有效的风险控制措施;
(1)基金托管人必须将基金资产与自有资产、不同基金的资产严格分开。基金托管人要为基金设立独立的账户,单独核算,分帐管理。不同基金之间在持有人名册登记、账户设置、资金划拨、帐册记录等方面应完全独立。
(2)托管人不得自行运用、处分、分配基金的任何资产。
(3)基金托管人应以基金名义代基金开立银行存款账户、证券账户、清算备付金帐户。并安全保管基金印章、账户印鉴、证券账户卡和账户原始资料。
(4)基金托管人应安全保管与基金资产有关的重大合同的保管和实物券凭。
(5)基金托管人应建立定期对帐制度。定期核对全部账户资产,保证账实、账账、账证相符。
2.资金清算的内部控制。基金托管人应制定规范的基金资金清算制度、操作流程和岗位工作手册,并制定以下风险控制措施:
(1)基金托管人应实行严格的岗位分离制度。在岗位分工的基础上明确各资金清算岗位职责,严禁需要相互监督的岗位由一人独自操作全过程。
(2)基金托管人应严格按照基金管理人的有效划款指令办理基金名下资金清算,没有基金管理人的划款指令,,不得办理基金名下资金清算。
(3)建立复核制度,形成相互制约机制,防止差错的产生。
(4)基金托管人应建立严格的授权管理制度,在授权范围内及时准确地完成基金清算,确保基金资产的安全。[Page]
3.投资监督的内部控制。基金托管人应依据《证券投资基金管理证券投资基金管理暂行办法》、《开放式证券投资基金试点办法》、《基金契约》、《托管协议》及国家有关法律、法规对基金投资范围、基金资产的投资组合比例、基金资产核算、基金价格的计算方法、基金管理人报酬的计提和支付、基金收益分配等行为的合法性、合规性进行监督和核查。基金托管人发现基金管理人的投资运作违法违规的,应及时以书面形式通知基金管理人,并报告中国证监会。
4.会计核算和估值的内部控制。基金托管人应依据《中华人民共和国会计法》、《金融企业会计制度》、《证券投资基金会计核算办法》、《企业财务通则》等国家有关法律、法规制订基金会计制度、会计工作操作流程和会计岗位工作手册,并针对各个风险控制点建立以下会计系统控制措施:
(1)对所托管的基金应当以基金为会计核算主体,独立建账、独立核算。基金会计核算应当独立于托管人的会计核算。
(2)建立凭证管理制度。通过凭证设计、登录、传递、归档等一系列凭证管理制度,确保正确记载经济业务,明确责任。
(3)建立账务组织和账务处理体系,正确设置会计账簿,有效控制会计记账程序。
(4)建立复核制度,通过会计复核和业务复核防止会计差错的产生。
(5)采取合理的估值方法和科学的估值程序,公允反映基金所投资的有价证券在估值时点的价值。
(6)建立严格的会计的事前、事中和事后监督制度。
(7)制订完善的会计档案保管和财务交接制度,财会部门应妥善保管密押、业务用章、支票等重要凭据和会计档案,严格会计资料的调阅手续,防止会计数据的毁损、散失和泄密。
5.技术系统的内部控制。
(1)根据国家法律法规的要求,遵循安全性、实用性、可操作性原则,严格制定信息系统的管理制度。
(2)技术系统的设计开发应该符合国家、金融行业软件工程标准的要求,编定完整的技术资料;在实现业务电子化时,应设置保密系统和相应控制机制,并保证计算机系统的可稽性;信息技术系统投入运行前,应当经过业务、运营、监察稽核等部门的联合验收。
(3)通过严格的授权制度、岗位责任制度、门禁制度、内外网分离制度等管理措施,确保系统安全运行。
(4)计算机机房、设备、网络等硬件要求应当符合有关标准,设备运行和维护整个过程实施明确的责任管理,严格划分业务操作、技术维护等方面的职责。
(5)软件的使用应充分考虑软件的安全性、可靠性、稳定性和可扩展性,应具备身份验证、访问控制、故障恢复、安全保护、分权制约等功能。
(6)技术系统设计、软件开发等技术人员不得介入实际的业务操作。用户使用的密码口令要定期更换,不得向他人透露。数据库和操作系统的密码口令应当分别由不同人员保管。
(7)应对信息数据实行严格的管理,保证信息数据的安全、真实和完整,并能及时、准确地传递到会计等各职能部门;严格计算机交易数据的授权修改程序,并坚持电子信息数据的定期查验制度。建立电子信息数据的即时保存和备份制度,重要数据应当异地备份并且长期保存。
(8)技术系统应当定期稽核检查,完善业务数据保管等安全措施,进行排除故障、灾难恢复的演习,确保系统可靠、稳定、安全地运行。