财政部关于企业所得税会计处理的暂行规定
财政部
财政部关于企业所得税会计处理的暂行规定
财会[1994]25号
1994年6月29日,财政部
鉴于企业按照会计规定计算的所得税前会计利润(以下简称“税前会计利润”)与按税收规定计算的应纳税所得额(以下简称“纳税所得”)之间由于计算口径或计算时间不同而产生差额,在缴纳所得税时,企业应当按照税收规定对税前会计利润进行调整,并按照调整后的数额申报缴纳所得税。现将企业所得税的会计处理方法规定如下:
一、科目设置
企业应在损益类科目中设置“550所得税”科目(外商投资企业的科目编号为5241,对外经济合作企业的科目编号为569),核算企业按规定从当期损益中扣除的所得税。同时,取消“利润分配”科目中的“应交所得税”明细科目。
企业应在负债类科目中增设“270递延税款”科目(外商投资企业的科目编号为2301,对外经济合作企业的科目编号为278),核算企业由于时间性差异造成的税前会计利润与纳税所得之间的差异所产生的影响纳税的金额以及以后各期转销的数额。“递延税款”科目的贷方发生额,反映企业本期税前会计利润大于纳税所得产生的时间性差异影响纳税的金额及本期转销已确认的时间性差异对纳税影响的借方数额;其借方发生额,反映企业本期税前会计利润小于纳税所得产生的时间性差异影响纳税的金额以及本期转销已确认的时间性差异对纳税影响的贷方数额;期末贷方(或借方)余额,反映尚未转销的时间性差异影响纳税的金额。采用负债法时,“递延税款”科目的借方或贷方发生额,还反映税率变动或开征新税调整的递延税款数额。
企业应在“递延税款”科目下,按照时间性差异的性质、时间分类进行明细核算。
外商投资企业取消“预交所得税”科目。
二、会计处理方法
企业一定时期的税前会计利润与纳税所得之间由于计算口径或计算时间不同而产生的差异可分为永久性差异和时间性差异。永久性差异是指,企业一定时期的税前会计利润与纳税所得之间由于计算口径不同而产生的差额,这种差额在本期发生,并不在以后各期转回。时间性差异是指,企业一定时期的税前会计利润与纳税所得之间的差额,其发生是由于有些收入和支出项目计入纳税所得的时间与计入税前会计利润的时间不一致所产生的。时间性差额发生于某一时期,但在以后的一期或若干期内可以转回。这两种不同的差异,会计核算可采用“应付税款法”或“纳税影响会计法”。
(一)应付税款法
应付税款法是将本期税前会计利润与纳税所得之间的差异造成的影响纳税的金额直接计入当期损益,而不递延到以后各期。在应付税款法下,当期计入损益的所得税费用等于当期应缴的所得税。
企业应按纳税所得计算的应缴所得税,借记“所得税”科目,贷记“应缴税金——应缴所得税”科目。实际上缴所得税时,借记“应缴税金——应缴所得税”科目,贷记“银行存款”科目。期末,应将“所得税”科目的借方余额转入“本年利润”科目,结转后“所得税”科目应无余额。
(二)纳税影响会计法
1.纳税影响会计法是将本期税前会计利润与纳税所得之间的时间性差异造成的影响纳税的金额,递延和分配到以后各期。企业采用纳税影响会计法时,一般应按递延法进行帐务处理。递延法是把本期由于时间性差异而产生的影响纳税的金额,保留到这一差异发生相反变化的以后期间予以转销。当税率变更或开征新税,不需要调整由于税率的变更或新税的征收对“递延税款”余额的影响。发生在本期的时间性差异影响纳税的金额,用现行税率计算,以前各期发生而在本期转销的各项时间性差异影响纳税的金额,按照原发生时的税率计算转销。
企业应按税前会计利润(或税前会计利润加减发生的永久性差异后的金额)计算的所得税,借记“所得税”科目,按照纳税所得计算的应缴所得税,贷记“应缴税金——应缴所得税”科目,按照税前会计利润(或税前会计利润加减发生的永久性差异后的金额)计算的所得税与按照纳税所得计算的应缴所得税之间的差额,作为递延税款,借记或贷记“递延税款”科目。本期发生的递延税款待以后期转销时,如为借方余额应借记“所得税”科目,贷记“递延税款”科目;如为贷方余额应借记“递延税款”科目,贷记“所得税”科目。实际上缴所得税时,借记“应缴税金——应缴所得税”科目,贷记“银行存款”科目。
根据本企业具体情况,企业也可以采用“债务法”进行帐务处理。“债务法”是把本期由于时间性差异而产生的影响纳税的金额,保留到这一差额发生相反变化时转销。在税率变更或开征新税,递延税款的余额要按照税率的变动或新征税款进行调整。“递延税款”余额也可按预期今后税率的变更进行调整。
2.在税前会计利润小于纳税所得时,为了慎重起见,如在以后转销时间性差异的时期内,有足够的纳税所得予以转销的,才能采用纳税影响会计法,否则,也应采用应付税款法进行会计处理。
3.企业应设置“递延税款备查登记簿”,详细记录发生的时间性差异的原因、金额、预计转销期限、已转销数额等。
三、会计报表
企业应在“资产负债表”中的“资产总计”项目上增设“递延税项”类,并在“递延税项”类下设置“递延税款借项”项目(外商投资企业在“其他资产”类项目下设置“递延税款借项”项目),反映企业期末尚未转销的递延税款的借方余额;在“所有者权益”(或“股东权益”)类项目上设置“递延税项”类,并在“递延税项”类下设置“递延税款贷项”项目(外商投资企业在“其他负债”类项目下,设置“递延税款贷项”项目),反映企业期末尚未转销的递延税款的贷方余额。
企业应在“损益表”(或“利润表”)中的“利润总额”项目下设置“减:所得税”项目,反映企业从当期损益中扣除的所得税;并在“所得税”项目下增设“净利润”项目,反映企业缴纳所得税后的利润。
企业应将“财务状况变动表”中的“本年利润”项目改为“本年净利润”项目,反映企业年度内实现的净利润(如为净亏损用“-”号表示)。取消“利润分配”部分中的“应缴所得税”(或“所得税”)项目。并在“本年净利润”类“加:不减少流动资金的费用和损失”项目下增设“递延税款”项目,反映企业年度内发生的递延税款。本项目应根据“递延税款”科目的贷方发生额填列(如为借方发生额用“-”号填列)。如企业当期“递延税款”科目既有贷方发生额,又有借方发生额,本项目应按借贷方相抵后的净额填列(如借方发生额大于贷方发生额用“-”号填列)。
企业应取消“利润分配表”中的“利润总额”和“减:应缴所得税(或减:所得税)”两个项目。“利润分配表”中的“税后利润”项目改为“净利润”项目。“利润分配表”中的行次均往前提两行。
外商投资企业应在“无形资产及其他资产表”中的“其他资产”类项目下设置“递延税款借项”项目。
四、原对时间性差异采用“应付税款法”进行核算,按本规定需调整为纳税影响会计法的企业,对原时间性差异已按“应付税款法”进行核算的事项,为了简化核算手续,可不再调整,仍按原办法进行处理;新发生的时间性差异再按纳税影响会计法进行核算。
五、企业本年度发生的以前年度调整损益的事项,应在损益类科目中单独设置“560以前年度损益调整”科目(外商投资企业的科目编号为5251,对外经济合作企业的科目编号为587),核算企业本年度发生的调整以前年度损益的事项。“以前年度损益调整”科目的借方发生额,反映企业以前年度多计收益、少计费用,而调整本年度损益的数额;贷方发生额,反映企业以前年度少计收益、多计费用,而调整本年度损益的数额。期末,企业应将“以前年度损益调整”科目的余额转入“本年利润”科目,结转后,该科目应无余额。
企业由于调整以前年度损益影响企业缴纳所得税的,可视为当年损益,按上述规定进行所得税会计处理。
企业应在“损益表”(或“利润表”)中的“营业外支出”项目下,增设“加:以前年度损益调整”项目,反映企业调整以前年度损益事项而调整的本年利润数额(如为调整以前年度损失,在该项目中以“-”号填列)。
企业应取消“利润分配表”中的“上年利润调整”(或“年初未分配利润调整数”)和“上年所得税调整”项目。
外商投资企业应将“财务状况变动表”中的“调整以前年度未分配利润和弥补亏损”项目改为“弥补亏损”项目。并取消“营业外收入”科目中的“以前年度收益”和“营业外支出”科目中的“以前年度损失”明细科目,以及“营业外收支明细表”中的“以前年度收益”和“以前年度损失”两个项目。
六、本规定自1994年1月1日起执行。
关于印发《保险业信息系统灾难恢复管理指引》的通知
中国保险监督管理委员会
关于印发《保险业信息系统灾难恢复管理指引》的通知
保监发〔2008〕20号
各保险公司、保险资产管理公司:
为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。
二○○八年三月二十一日
保险业信息系统灾难恢复管理指引
第一章 总则
第一条 为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条 保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条 本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条 本指引所称灾难恢复为信息系统灾难恢复。灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
本指引所称自建是指,自行出资建设和拥有灾难备份中心,为自身提供灾难恢复服务。
本指引所称共建是指,多个机构共同出资建设和拥有灾难备份中心,为参与单位提供灾难恢复服务。
本指引所称外包是指,选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护,以及应急响应和恢复工作。
第五条 中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。
第六条 《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)中的条款通过本指引的引用而成为本指引的条款。
第二章 总体工作要求
第七条 保险机构应统筹规划信息系统灾难恢复工作,自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。
保险机构新建信息系统时,应同步规划和实施灾难备份系统建设。本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。
第八条 保险机构应持续开展灾难恢复工作,以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。
灾难恢复的需求应定期进行再分析。灾难恢复需求再分析周期最长为三年。当信息系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。
第九条 保险机构应加强与其业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。
第三章 组织机构
第十条 保险机构法定代表人或主要负责人是灾难恢复工作的责任人。
保险机构董事会或最高决策层应参与制定和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性。
第十一条 灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。
保险机构应设立灾难恢复管理委员会,统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。
保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构,负责处理灾难恢复工作的具体事务。
第十二条 保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责:
(一)灾难恢复需求分析和策略制订;
(二)资源准备和经费审批;
(三)灾难备份中心的选择和建设;
(四)灾难备份中心的日常运行和维护;
(五)灾难恢复预案的制订、维护和演练;
(六)人员的教育和培训;
(七)监督检查和审计。
保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责:
(一)应急响应和预警报告;
(二)事件通报和沟通;
(三)损害评估、抢修拯救和敏感数据保护;
(四)灾难恢复工作的重大决策;
(五)生产中心的恢复、重建和回退;
(六)业务恢复和客户服务;
(七)资源保障和供应;
(八)媒体公关和信息通报;
(九)恢复成效评估和总结。
第十三条 从事灾难恢复的专业工作人员应符合以下要求:
(一)具备良好的职业道德和风险意识,掌握履行灾难恢复相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第四章 需求分析和策略制定
第十四条 灾难恢复需求分析包括风险分析和业务影响分析。保险机构的风险分析和业务影响分析应符合以下要求:
(一)应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。根据风险发生的概率和可能造成的损失,评估风险可接受的程度,针对不可接受的风险,制定相应的风险防范措施;
(二)应根据信息系统支持的业务区域范围,分析信息系统面临的灾难风险。应充分考虑残余风险导致的灾难事件发生在最不利的时间和地点,以及影响范围的广泛性;
(三)应根据业务经营范围确定关键业务功能。关键业务功能包括但不限于承保、理赔、投资和财务管理等。采用定量和/或定性的方法分析关键业务功能的经济和非经济损失。
第十五条 保险机构应根据风险分析和业务影响分析的结果,确定信息系统的灾难恢复目标,包括:
(一)信息系统的灾难恢复范围;
(二)信息系统的灾难恢复顺序;
(三)信息系统的灾难恢复能力等级。
第十六条 保险机构应加强重要数据的备份和传输安全管理,保证数据的完整性。重要数据应异地备份,防范区域性灾难风险。重要数据包括但不限于:客户数据、承保数据、赔付数据、资金运用数据、财务数据及相关日志等。
第十七条 保险机构应根据风险分析和业务影响分析的结论,将直接或间接支持关键业务功能的信息系统分成三种类别:
第一类:信息系统短时间中断会造成重大社会影响;或影响保险机构关键业务功能,并造成重大经济损失。
第二类:信息系统短时间中断会造成较大社会影响;或影响保险机构部分关键业务功能,并造成较大经济损失。
第三类:信息系统间接支持关键业务功能;或保险机构对系统中断具有一定容忍度的系统。
第十八条 信息系统的最低灾难恢复能力等级要求:
(一)第一类
1、第4级电子传输及完整设备支持
2、RTO<=36小时,RPO<=8小时
(二)第二类
1、第3级电子传输和部分设备支持
2、RTO<=72小时,RPO<=24小时
(三)第三类
1、第2级备用场地支持
2、RTO<=7天,RPO<=36小时
第十九条 保险机构应制定统一的灾难恢复策略。灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。
保险机构应根据各信息系统的灾难恢复目标,确定灾难恢复所需的七个方面的资源要素:
(一)数据备份系统;
(二)备用数据处理系统;
(三)备用网络系统;
(四)备用基础设施;
(五)专业技术支持能力;
(六)运行维护管理能力;
(七)灾难恢复预案。
第二十条 保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。灾难恢复策略经决策层审查和批准后,按本指引要求备案。
第五章 灾难备份中心的建设与运行维护
第二十一条 保险机构的灾难备份中心应设置在中华人民共和国境内(不包括港、澳、台地区)。
保险机构应根据风险分析的结果,确定同城和/或异地灾备建设方案。灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。
第二十二条 灾难备份中心的基础设施应符合以下要求:
(一)根据信息系统和数据分布特点,选择或建设专业的灾难备份中心;
(二)灾难备份中心与生产中心之间距离合理,应避免灾难备份中心与生产中心同时遭受一定的同类风险;
(三)灾难备份中心应便于灾难恢复工作的开展,考虑灾难恢复所需的数据、人员等资源可及时到达;
(四)灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施,灾难备份中心或其周边应具备所需生活设施;
(五)灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B类机房标准,并通过当地消防部门验收;
(六)灾难备份中心应具有两种或两种以上的电力供应或接入方式,只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备;
(七)灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。
(八)灾难备份中心机房应具备门禁系统、监视系统和报警系统。
第二十三条 灾难备份系统的建设应符合以下要求:
(一)根据灾难恢复策略制定灾难备份系统技术方案,建立数据备份系统、备用数据处理系统和备用网络系统等。技术方案中所涉及的系统应获得同信息系统相当的安全保护,具有可扩展性;
(二)应确保技术方案满足灾难恢复策略的要求,组织开展灾难恢复技术方案和业务功能恢复的测试,并记录和保存测试结果,以保证灾难恢复时最终用户能正常使用灾难备份系统;
(三)应充分考虑到灾难备份中心接替生产中心运行后,灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求;
(四)应根据灾难恢复策略的要求,建立灾难备份系统的技术支持体系。
第二十四条 灾难备份中心的运行维护应符合以下要求:
(一)建立完善的灾难备份中心运行维护管理制度和流程,包括:灾难备份的流程和管理制度,灾难备份中心机房的管理制度,硬件系统、系统软件和应用软件的运行管理制度,灾难备份中心信息安全管理制度,灾难备份系统的变更管理流程,灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等;
(二)灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员,保障设备和系统正常稳定运行;
(三)定期检测维护灾难恢复设施,保持备份数据的一致性、可用性和完整性,保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作,保障能提供切换和运行时的技术支持;
(四)支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。记录灾难备份系统运行过程中输出的相应记录表单与统计信息;记录机房环境、系统运行和网络状态等监控信息。
第六章 资源和专业服务的获取和保障
第二十五条 灾难恢复建设可以采用自建、共建和外包等模式,并按有关要求向中国保监会备案。
第二十六条 保险机构在进行灾难恢复外包时,应根据灾难恢复策略确定外包服务范围,认真分析和评估外包存在的风险,制定相关的风险管控措施。应与外包服务商签署服务水平协议,并定期验证灾难恢复服务商的服务水平和能力,加强外包系统的安全和保密管理。中国保监会采纳国家认可的有关测评机构对灾难恢复服务商的评估结果。涉密信息系统的灾难恢复工作应符合国家有关保密规定。
灾难恢复外包服务商应至少符合以下要求,国家另有规定的应从其规定:
(一)在中华人民共和国境内注册的法人机构;
(二)具备三年以上灾难恢复外包服务经验,服务的灾难恢复外包客户不少于三家;
(三)具备完整的服务质量保证体系和信息安全管理体系,通过相关权威认证;
(四)基础设施应达到本指引的要求,灾难恢复能力等级应在四级以上;
(五)中国保监会规定的其他要求。
第二十七条 采用共建模式的灾难恢复建设应至少满足各参与单位的最低灾难恢复能力等级要求,并明确权责,签订相关的合同或协议。
第七章 灾难恢复预案的管理
第二十八条 保险机构应制订灾难恢复预案,预案应包含:灾难恢复组织机构各工作岗位的职责、灾难恢复的整个过程以及灾难恢复所需的资料和配套资源等。预案的结构、内容和步骤清晰明确,适合在紧急情况下使用。
保险机构应加强灾难恢复预案与其它应急预案体系的有机结合。
第二十九条 保险机构所制定的灾难恢复预案,应按照由模拟到实际、从易到难、从局部到整体的原则进行测试和演练,及时总结评估,完善灾难恢复预案,通过演练使得相关人员熟练灾难恢复操作及流程。
灾难恢复预案的演练包括但不限于桌面演练、模拟演练、实战演练、部分演练和全面演练。保险机构应定期组织开展灾难恢复预案的演练工作。灾难恢复预案每年至少演练一次,演练类型可以是模拟演练、实战演练、部分演练和全面演练。
演练工作文档应包含演练计划、现场记录和结论评估,演练工作文档应存档保管。
第三十条 保险机构应安排专人负责灾难恢复预案的日常维护管理,预案可以以多种形式的介质拷贝保存在不同的安全地点,并确保在生产中心以外的安全地点存放灾难恢复预案。灾难恢复预案的调用需进行严格授权。
灾难恢复预案涉及的内容发生重大变更后,应立即更新灾难恢复预案;演练后应根据演练评估结论,立即更新灾难恢复预案;每年应至少组织一次灾难恢复预案的审查和批准工作。
第三十一条 灾难恢复预案的教育和培训应贯穿灾难恢复规划和实施的全过程。保险机构应定期组织预案培训,并保存培训文档。
第八章 应急响应和灾难恢复
第三十二条 保险机构针对信息系统的风险应建立科学的预警机制,在信息系统发生紧急事件后,应建立应急指挥中心,统一领导、协调和指挥所有应急响应工作,加强信息沟通和跨部门协调,提高机构整体的应急响应和应急处置能力;组织灾难恢复专业人员尽快对事件进行响应和评估;采取相应的风险处置和弥补工作,降低可能造成的损失,防范事态恶化;根据对紧急事件的处置和评估结果,决策是否对灾难备份中心发出灾难预警或灾难宣告。
保险机构应加强媒体公关和客户服务工作,避免造成恶劣的社会影响。发生重大灾难事件,应根据有关要求,及时向中国保监会报告。
第三十三条 灾难恢复工作人员应根据灾难恢复预案执行相关的指挥和操作工作,并及时跟踪事态变化和恢复进程,加强沟通,加强恢复工作的统一指挥和管理。
保险机构应保证并合理配置恢复所需的各项资源,确保灾难恢复工作的顺利实施。
第三十四条 保险机构应明确信息系统的重建方案,在进行信息系统重建前应评估灾难造成的损失。根据损失评估情况,结合灾难备份系统运行可接受的最长时间,确定修复或者重新建设方案,执行信息系统的重新建设和功能恢复。
信息系统的回退是指将灾难备份系统的功能转移到新建或恢复的信息系统,各项业务恢复到正常运行状态的过程。加强信息数据安全处理,防止重要信息的泄漏,将灾难备份系统恢复为备用状态。
第三十五条 灾难恢复之后,应及时组织相关人员进行总结,修订灾难恢复策略和灾难恢复预案。
第九章 审计和备案
第三十六条 灾难恢复工作的审计分为内部审计和外部审计。内部审计由保险机构内部人员组织实施。外部审计由具有国家相应监管部门认定资质的中介机构组织实施。
中国保监会可依据法律法规,委托并授权具有资质的中介机构对保险机构进行外部审计。中介机构根据保监会或其派出机构委托或授权对保险机构进行审计时,应出示委托授权书,并依照委托授权书上规定的委托和授权范围进行审计。中介机构根据授权出具的审计报告经中国保监会审阅确定后具备法律效力,被审计保险机构应对该审计报告在规定时间内提出整改意见,并按审计报告中提出的建议进行及时整改。
审计报告应作为风险管控措施的成果进行存档,审计过程所涉及的资料调阅应有交接手续,严格控制审计过程中的涉密资料的保管和发放,中介机构应保守被审计保险机构的商业秘密和风险信息。
第三十七条 审计工作主要包括以下内容:
(一)灾难恢复项目的建立和管理;
(二)风险评估和管控;
(三)组织协作和授权机制;
(四)业务影响分析;
(五)灾难恢复策略;
(六)应急管理和操作;
(七)灾难恢复预案;
(八)培训和认知;
(九)演练和维护;
(十)公共关系和危机通讯。
第三十八条 保险机构应根据信息系统的灾难恢复工作情况,确定审计频率,每三年至少进行一次审计。
第三十九条 保险机构灾难恢复工作报告和审计报告应在中国保监会进行备案。灾难恢复工作报告备案工作在每年的第一季度进行,审计报告备案工作在审计结束后的三个月内进行。灾难恢复工作报告主要内容包括:
(一)短期和中长期灾难恢复规划和策略;
(二)上年度灾难恢复工作以及重大变更情况。
第四十条 中国保监会根据工作需要,可对保险机构的信息系统灾难恢复规划、建设、运营等进行不定期抽查、现场检查。
第十章 附则
第四十一条 本指引由中国保监会负责解释、修订。
第四十二条 本指引自颁布之日起施行。
