基金市场风险管理：基于欧盟监管体系的思考

德国新的《投资公司市场风险管理准则》是以德国《投资法》为基础的。针对基金公司、资产管理公司的相应风险管理条款以此法案为基准。

这项公告是以《投资法》第9条为基础，为投资资本投资公司与自行管理的投资公司如何组建合法的经营组织制定了一个灵活的、不脱离现实的框架。作为一个合法的经营组织，投资公司需具备如下条件：适当的风险管理系统；对于企业内部员工适当的管理规则；对于公司自有资产如何投资金融工具制定合理的规则；对于数据加工、电子方面制定合理的控制和安全措施；对于外包的相关管理程序；合理的备案体制；合理的控制程序（包含内部审计）。

风险管理体系和其他方面的控制体系也为公司的监管部门合理地执行其监管职能建立了基础。在同时，也保持了两者间适当的关联性。

（1）这项公告针对的是资本投资公司被许可的经营范围：其中包含如何对投资资产进行管理、如何管理其提供的服务以及辅助服务，资本投资公司自有资产进行投资及自行管理投资公司允许的经营范围。

（2）该公告还特别为房地产类基金、符合要求的基金以及母基金建立一个合理的风险管理制度制定了规章制度。对于有额外风险的母基金，公告也做出了特别规定，详细参见2009年“依据市场经验的关于如何管理对冲基金的国际准则要求”。但该项要求不属于最终规定，具体的法律条款仍旧要被顾及。它将包含衍生品的投资基金风险管理的要求具体化。

（3）该项公告取材于《金融市场管理法案》中关于对证券交易公司以及资本投资公司提供的服务业务以及辅助服务业务等领域的组织结构要求。它针对的是一般情况的组织要求，依据第7款的关于对风险管理的具体要求，针对于领导层职责的要求，以及对于外包的要求。此外，它还做出了对资本投资公司关于服务行业以及辅助服务行业的组织结构职责的相关规定。但该公告并未对风险管理最低要求标准做相关规定。由于该公告对于公司组织结构义务已经做了明确的规定，所以其他关于资本投资公司合规的最低要求在这里并未涉及。

（4）除了第10条以外，该公告中所提出的其他规则，都要在德国联邦金融监管局将该公告在网页上公布6个月之内获得实施。

（5）该公告的设计立足于原则性，因而它遵循按比例分配的原则。资本投资公司以及自行管理的投资公司可以自行选择，在允许的最低要求内，自行设计其具体业务以及管理的投资资产风险管理的方式、规模、复杂程度以及风控内容。另外，公告还考虑到了资本投资公司、自行管理的投资资产以及股份投资公司多样性的结构特征，特别是针对小型的资本投资公司以及股份投资公司，提供了将其简单化的要求。该公告对于正在进行中的风险管理的过程与方式，只要其与公告的目标相吻合，持开放态度。为达到此目的，德国联邦金融监管局将继续与实际业务部门进行沟通。

德国联邦金融监管局期望，在立足于风险的基础上，由外部审计机构就各金融机构对于该公告的实施进行灵活的审计。

一、公司管理层的职责要求

公司所有管理层人员，无论其内部职责如何分工，都要为公司建立合理的经营组织结构以及继续发展承担责任。其承担的职责既针对所有风险管理制度的基本元素，也针对其外包业务。公司领导层只有在有能力评判风险并相应采取措施控制风险的情况下，才有可能合格履行该职责。

二、合理的风险管理体系的基本组成部分

（一）概要

（1）风险管理体系要涵盖所有关于归纳、测量、控制、监控的措施以及有关于风险的所有措施（风险控制与风险操作）。风险管理体系不仅仅应该被理解为一种组织结构形式，它更应当被理解为一个全面的组织结构与过程的整体。关于风险控制与风险管理流程的结构以及流程组织形式，既要延伸到各个不同的层面，又要保障其职能之间的隔离。一部完整的风险管理体系应该囊括在此所提出的所有主要组成部分。

（2）公告提出的要求主要针对投资资产的管理以及针对投资公司面临的主要风险。为了能够评判是否涵盖了本质性的风险，公司的领导层需要定期并依据发生的事件随时关注全部的风险状况。所要总结的风险不仅要针对每只投资资产（投资资产的总风险概况），还要面向投资公司层面（所有投资资产以及投资公司的风险总的概况）。原则上需要分清下列风险：

a）违约风险；

b）市场价格风险；

c）流动性风险；

d）运营风险（包含法务风险以及名誉风险）。此外，还要注意与上述风险相关的风险集中问题。对于那些不属于上述风险的类别，需要采取合适的措施来进行管理。

（二）策略

（1）公司领导层要制定一个有持续性的公司经营策略，以及与此匹配的稳定的风险策略。在制定风险策略的时候，需要公司的领导层兼顾考虑到依据公司经营策略所制定的核心企业业务目标和规划，以及外包的风险。制定此项战略所要承担的责任是不可被操纵的。企业领导层需要关心战略的实施。战略细化的程度依赖于计划中的经营活动的规模、复杂程度以及蕴含的风险。

（2）风险策略，要细化到局部策略。它包含确认对核心业务进行风险控制的目标。风险集中度还需要兼顾考虑投资公司的盈利状况。

（3）公司管理层要每年对该策略进行考核并实施调整。采取的措施需要在公司领导层处进行备案。实施的策略也需要与公司的监管理事会进行沟通并加以解释。

（4）风险策略的内容以及变化，需要与其他经营策略一样，在公司内部通过合适的方式进行沟通。

（三）一般性的要求

（1）在每个公司中，都需要依据经营业务的方式、规模、复杂程度以及风险概况，采取措施来规定组织的建立模式与流程方式，以及建立合适的风险管理体系。

（2）在构建组织与流程结构的时候，还需要保证，对那些尚未约定好的业务，也需要由不同的员工来完成。

（3）公告要求对流程以及与此相关的任务、能力、职责、控制以及沟通渠道，都要做出明确的定义，并且相互协调好。此项要求同样适用于与交易银行、销售合作伙伴、外包等情况下的连接处。

（4）公司需要建立合适的风险管理体系，这包含保障对关键风险的确认、测量、控制、监管、沟通，以及与此相关的风险集中。这个流程应当与盈利和风险控制融合在一个体系中。

（5）风险管理体系需要保证，主要的风险——包含来自外包任务的——需要被及时地识别、全面地确认，并且以合适的方式得以表达。还要同时考虑各种不同风险之间的转换关系。同样还需要考虑的是，在投资公司层面的、投资组合层面的以及个体资产组合层面的风险相互转换。

（6）投资公司需要经常地——通常至少每季度一次——对公司潜在抗风险能力与公司整体风险状况进行比较。公司潜在的抗风险能力需要在制定公司策略以及适应该策略的过程中得以确认。同时还要对所有主要风险以及有可能发生的风险进行合理的限制。对于限制措施，要在制定风险策略的时候加以制定，并保证这个限制得以实施。

（7）风险管理体系需要具有及早识别风险的能力，用以保障投资公司能够及时地采用合适的措施应对风险。该过程需要包含决策层及时掌握信息，并且阶段性地、依据时事做出需求变换的相应调整。

（8）依据经营业务的方式、规模、复杂程度以及风险状况，要对主要的风险定期实施适当的压力测试。这一点需要建立在对核心风险因子所带来的风险的基础上。压力测试需要考虑到风险集中并且要定期在投资公司的层面上加以实施。

（9）压力测试还需要考虑到那些不寻常的但是有可能发生的事件情景。例如，对适当的历史事件或者是假设情景等。在确认压力测试情景的时候，还要考虑到投资公司战略定位以及其面临的经济环境。

（10）合适的压力测试及其基于的假设条件，需要被定期地（至少每年一次）加以考核。

（11）需要定期地向管理层汇报企业面临的风险状况。该风险报告需要能够让人理解，并且以可信的方式加以撰述。该报告不仅要能够描述，还要能够评判公司面临的风险状况。在需要的时候，该风险报告还要能够为如何降低风险提出操作建议。

（12）出于风险控制的目的，核心的信息需要及时地向公司领导层、相关负责人员以及企业内部监管部门加以汇报，从而保证及时采取合适的应对措施。在此要求制定一个合适的方案。

（13）公司管理层需要每个季度向理事会以合适的方式，以书面的形式对公司的风险状况加以描述。报告需要以能够被理解的方式，有理有据的形式加以总结，除了要对风险形式加以描述以外，还要能够对风险状况加以评判。对于影响公司发展的特殊风险，以及领导层计划采取的措施，需要格外地加以处理。对于那些与风险相关的信息，要求公司管理层及时向理事会加以汇报。在此，需要管理层与理事会共同制定一个合适的解决方案。

（14）风险管理体系要根据外部条件的变化及时加以调整。

（15）投资公司还要采用合适的方式对操作风险加以控制。主要的操作风险要至少每季度一次加以识别和评判。

（16）重大的损失需要立即分析其原因，并合适地进行备案。公司的领导层也需要定期地了解发生的重大损失以及存在的主要操作风险。风险报告要涵盖损失的方式（即风险）、原因、损失的规模以及已经采取的具体措施等。

（四）管理投资资产的特殊要求

对于如何管理投资资产，公告提出了下列要求。在如何构建个体资产组合的风险管理体系的时候，需要依据其方式、规模、复杂程度以及行为的风险制定合适的办法，原则上要满足在风险体系组成部分阐述中所提出的要求。

1.风险管理政策

（1）投资公司需要制定、实施与保证实施合理的风险管理原则（风险管理政策）。投资公司需要为每只其管理的投资资产制定适当的风险控制与管理的流程。该流程要建立在使用先进技术的基础上，保证能够持续地对每只投资资产的核心风险进行确认、测量、控制与监管。在此基础上，保证不仅要考虑每只基金的风险特征，还要考虑公司整体资产的风险特征。在进行风险管理时所采用的技术要能够保障其是建立在当前先进的技术水平上的。风险管理与风险政策的适度以及其状态的维持需要定期地加以审核。

（2）由于交易银行持有股票而带来的风险，或者由于其他原因而对投资公司产生的风险，需要在投资过程以及资产组合管理的框架下加以考虑。

（3）投资公司需要以书面形式对风险管理政策进行描述。风险管理政策要涵盖以下几点：

a）识别风险管理过程的方法、手段和规则；

b）对主要风险加以测量的合适方式；

c）在规定允许的情况下，依据衍生品准则所规定的方法监控基金在允许的市场风险范围内被管理；

d）明确规定参与风险管理流程的部门和人员的分工以及职责范围；

e）明确风险监控环节中所必需的、基金经理与风险控制部门的沟通渠道；

f）定义向管理层与理事会提供的风险报告的相关信息（特别是内容与频率）。

2.职能分工

（1）对于风险的确认、测量、监控，以及为其发展与维护所需要的方法和过程制定相关规定和备案所必需的流程。这些职能（风险控制职能）需要建立一个从组织角度上说与基金管理相独立的部门来完成。该部门职能的独立性需要由公司管理层得以保证。在此职能被代理的情况下，也需要保证其明确分工。代理的职责也可以由在管理层之下的一个员工来完成。

（2）风险控制的职能主要是为了确认、持续地测量以及监控风险（包含保证风险阈值被合理地监控与维持），设立风险管理政策，向公司管理层以及理事会定期汇报风险状况。此外，风险控制部门还负责对单个投资资产的风险特征的识别、定义以及审核。

（3）风险控制职能在为单个的投资资产确认风险特征，以及确认投资策略的基本原则的情况下发挥作用。

（4）风险控制的职能同样适用于，采用合适的方法对复杂的、流动性差的资产进行定价。

（5）主要的法律风险由独立于基金管理部门的职能部门（例如法务部门）来进行评价。

（6）职能的分工可以通过相应的流程与保护措施，在信息技术的支持下得以保证。

3.基金管理

（1）为投资资产投资做决策的组织部门和人员、交易人员对投资资产投资的决策空间，同样属于基金管理领域。

（2）投资公司需要采取合适的措施，用以保证，在管理投资资产时，其投资的策略要与确定下来的基金的风险特征、投资策略、合约条件以及在销售材料中注明的投资特征和法务规定相吻合。

（3）每个基金经理在做投资资产的报告时，特别需要他们能够明了与投资阈值相对应的风险状况。

（4）在此也需要保证，基金经理清楚地明了投资公司内部设定的风险临界值。

（5）投资公司需要制定合适的规章制度，用以保证相关的规定在不被执行的情况下会受到相应处罚：

a）违反了《投资法》规定的借贷条例；

b）违反了《投资法》规定的对投资资产提供抵押、担保的相关规定；

c）抵消禁令；

d）《投资法》中关于贷款的相关规定；

e）卖空禁令；

f）股票借贷禁令；

g）关于养老基金的有关规定。

（6）在达成投资资产管理协议的时候，明确关于报酬以及要发生的其他相关费用的规定。

（7）在达成每一笔协议的时候，都要明确，是为哪个投资资产而确定的。事后发生更改的情况，要每次都加以说明并备案。

（8）只有在有明确的规则和不产生利益冲突的情况下，才允许达成内部交易。但这需要参照外部交易相关规则，用以保证内部交易的合理性（例如，达成的协议不允许被破坏，可比情况是与独立第三方签署的协议）。

（9）投资公司制定的流程，要能够保证满足投资者的最佳利益。

（10）原则上禁止针对投资资产的不符合市场规律的经营方式。

（11）在经营领域之外的对投资资产的经营只有在内部规定的框架下才允许。在此，特别需要确定对此负责的人、交易目的、规模与运营流程等。对于此类交易，还要从交易对家处获得书面的证明。对于此类交易，基金经理要在自己公司以合适的方式对之加以声明，并要向相关领导层进行汇报。

（12）关于投资资产的商务会谈原则上要求录音，并且至少保留3个月。

（13）对于每一笔针对投资资产的交易都要在结束后直接总结其数据，报告其头寸（继续记录其存量），并将所有资料转交给负责的相关部门。再次传达终结数据的工作也可以通过操作系统自动来完成。

（14）在通过信息技术系统直接记录数据的情况下需要保证，基金经理只有通过自身的身份认证才能够进行交易。交易时间以及交易序号要求由系统自动生成，并且不能由基金经理进行修改。(www.xing528.com)

（15）对于晚间交易的情况，如果发生实质性的改变，需要加以特别注明，并且要注明其头寸的状况。终结数据以及关于晚间交易的材料必须直接交至独立于基金管理的部门。

（16）在签订与投资资产相关的最终合同的时候，特别是在框架协议、净算协议以及安全措施下，需经由一个独立的机构来进行审核，看是否或者是在何种程度上被法律允许。

（17）在组织上，只允许基金经理与独立于基金经理的、有相应权限部门的工作人员一起，来完成交易的支付。

4.操作与控制

（1）要求直接通过操作系统记录由基金经理备案的交易结果，接下来再直接交付给操作系统。

（2）执行系统中记录的交易结果需要包含交易数据。如果该单是通过中介机构来完成的，需要指明中介机构。投资公司的任务是，从中介机构那里获得该订单的确认函。在确认函到达之后，要保证其直接到达执行部门，而不是到基金经理那里。在确认函不完整的情况下，需要提出投诉。

（3）对于那些通过执行系统进行数据记录的投资资产，如果能够保证其终端数据经由自动核对（即通常所说的匹配），而且交易只有在数据相协调的情况下才能够被执行，那么可以放弃这个确认的过程。如果终端数据没有自动进行比较的过程，但是交易对家双方能够随时调出数据并且进行控制，在这种情况下，也可以放弃确认这道程序。

（4）投资资产的交易过程要求被随时进行记录。在这个过程中，特别需要控制的是：

a）交易材料完整并且及时；

b）基金经理给出的数据是正确和完整的，并且，与中间商的确认信息以及交易系统中给出的结果是相互吻合的；

c）在允许交易范围内对投资资产进行交易；

d）要符合投资策略的相关规定以及有关法律方面的相关规定；

e）结算是在规定允许的界限框架范围内被完成的；

f）符合市场的相关条件；

g）实施的路径符合给定的基本原则；

h）有偏差的地方是否符合既定的标准（基本数据、购买途径、付款路径）。

在结算数据发生改变或被取消的情况下，或者是在下订单的情况下，需要在基金管理范围外获得控制。

（5）在控制交易结算是否符合市场准则的时候，具备合适的流程，对交易种类进行区分。如果发生了投资资产交易未按照市场条件进行的情况，需要及时向主管市场控制的负责人汇报。

（6）当在执行和控制的框架内发现不一致的情况时，需要及时向独立于基金管理的部门进行汇报。

（7）基金管理中发生的头寸变化，要定期通过事后的流程和职能，与交易银行的头寸一起，进行比较和核实。

（8）当投资资产的头寸发生变化的时候，要及时向风险控制部门进行汇报。

5.风险控制

（1）在风险政策与职能分工中所列出的规则基础上，要求风险控制系统能够保证使用足够先进的风险测量技术手段，来对投资资产的风险持续地进行确认、测量以及监控。

（2）风险控制还需要具有确认核心风险的集中度与风险之间相互关系的能力。在测量头寸风险与其对整个投资资产的风险特征的时候，要求使用的必须是可靠的、没有错误的数据。

（3）对测量风险的方法过程必须定期进行审核。需要审核的是，在市场发生大的震荡的情况下，测量出的结果是否还有价值。对于那些有错误、过时的、扭曲的市场价格，要采用其他可选择的方法进行测量。

（4）在合适的条件下，要求对这些使用模型测量出的风险值与市场实际发生的风险状况进行比较（即回溯测试）。

（5）要求投资公司对每一个投资资产，都要根据其风险特征设定一个风险界限体系，并进行实时监控。所有核心的、与风险额度限制相关的风险类别，都要在这里考虑进去。要保证限定的风险额度不被超越。

（6）在交易投资资产的时候，要随时考虑到其风险不会超越阈值。并且，要向基金经理随时汇报其资产所面临的相关风险与风险阈值状况。

（7）要设定合适的流程，保证当出现风险额度被超越的时候，能够从投资者角度出发，采取相应的措施。

（8）风险额度限制体系需要经过详尽的备案。同样，出现了额度被超越或者是对此作出相应措施的情况下，也需要及时备案。

（9）投资公司需要对每一只投资资产定期实施压力测试。

（10）投资公司还要设置关于投资资产的、合适的流动性风险管理体系。该体系应该具备确认、测量、监管以及控制流动性风险的能力。资产组合中每只头寸的流动性，以及该头寸对于整个投资资产的流动性，都要被监管。

（11）投资资产的流动性原则上要与头寸和资产的回收义务以及其他的偿付义务保持一致。

（12）投资公司应当具备相应的流程，来保证及早地识别显著的流动性上升的需求。在设置早期识别流动性上升的体系时，也应当考虑到投资者结构的问题。

（13）投资公司应当具有应对流动性紧缺的措施。要具有相应的供选择的措施，回购基金部分，并定义沟通渠道。对该程序，应当定期进行审核并适时做出调整。

（五）合规

（1）投资公司应当制定相应的基本准则，具备一定的资本和流程，长期具备能够发现违反《投资法》和《证券法》中所规定的对风险的要求的能力。除此以外，投资公司还应当拥有相应的措施和流程，保证风险在可控范围之内，并保证金融监管机构能够在其职权范围内实施监管。

（2）投资公司要对其提供的服务以及相关业务伴随的交易所具备的方式、规模、复杂程度有充分的考虑。其制定的规则，也要能够立足于尽量避免投资公司与其员工有可能产生的利益冲突，从而决定这些员工是否应当具备获得与合规相关的信息的权利。

（3）制定的方法与流程包含制定合适的措施，避免在管理投资资产和企业员工为其客户提供相应服务以及辅助服务时，产生利益冲突，从而避免对投资者的不利行为。此外，还要制定有效地、透明地应对客户投诉的程序以及合适的措施，用以应对与合规相关的信息的监管任务。

（4）投资公司应当设立一个独立的、持续的、有效的合规部门，其承担的职责为：

a）监管并定期评价采取的措施、原则以及程序的合适性与有效性，并适当对不合适的行为进行调整；

b）咨询并且支持提供相关服务的员工，看他们是否履行《投资法》与《证券法》的规定。

（5）为了保证相关人员执行合规的职责，投资公司必须保证以下几点：

a）合规职能必须拥有必需的权限、资源和专业知识，以及通向相关信息的途径。

b）必须任命一个对合规职能以及合规报告的负责人，至少每年一次回答是否按法规执行，是否采取足够的措施弥补不足之处。生成的报告也要上交理事会。

c）执行合规职能的相关人员，不允许参与他们监管的服务内容的执行。

d）对于制定合规职能人员的报酬，要保证不影响其工作的客观性。

（6）执行合规任务相关人员的行为，要按规定进行备案。

（7）合规职能属于公司领导层的一个工具。它可以列位在某个领导层的管辖范围之内。董事会负责人有权随时在通知公司领导层的情况下，直接从合规部门获得信息。

（六）内部审计

1.一般性要求

（1）所有投资公司都要具备一个真正拥有内部审计职能的部门。如果因公司规模的限制，设立一个独立的内部审计部门与公司的规模不成比例，那么内部审计的职能可以由公司的一个领导层人员兼任。

（2）内部审计是公司领导层的一项工具，它直接列位于领导层之下，并且具有向其汇报的职责。它也可以直接列位于某个领导层人员的管辖之下。在不影响上述条件之下，董事会负责人在通知领导层之后，有权直接从内部审计负责人处获得相关信息。

（3）内部审计应当立足于风险并且按照流程办事，以审核与评价一般性的风险管理和内部控制体系是否有效与合适，以及其他行为与流程是否按章办事。这一点不取决于这些任务是否已经被外包出去了。

（4）为了执行此职能，内部审计部门应当具有完全的、不受限制地获取信息的权利。这项权利随时都应当得到保障。内部审计部门也应当随时提供所需求的信息、必要的相关材料，以及要审核投资公司业务、流程以及信息技术系统的要求。

（5）对于那些对内部审计部门来说重要的工作指示与结论，要让其知晓。当风险管理发生重大变化的时候，也应当通知内部审计部门。

2.内部审计的任务

（1）内部审计的审计职能建立在立足于风险的原则之上，其涵盖的领域包含所有公司的业务与流程。

（2）在保持独立性、规避利益冲突的前提下，要求内部审计要伴随重要的项目。具体如何确认该项目是否属于重要项目，由公司领导层按照一定的标准来确定。

（3）在业务外包的情况下，如果外包可以提供达到本公司要求的审计标准的要求，可以不要求本公司进行内部审计。投资公司可以定期审查外包业务的审计是否合乎要求。与提供外包业务公司相关的审核材料，也要上交给本公司的内部审计机构。

3.内部审计的基本原则

（1）内部审计部门要能够独立地完成自己的任务。特别需要保证的是，它在制定报告或者是评估审核结果时，不是受命的。公司领导层提出的关于额外进行考核的要求，与内部审计部门的独立性不发生矛盾。

（2）原则上，不允许内部审计部门的员工从事其他与此不相关的业务。特别要求他们不许从事有碍于审计任务的工作。在保持其工作独立性的前提条件下，允许内部审计部门对领导层与其他组织部门提供建设性意见。

（3）公司其他职能部门的员工，原则上不允许从事内部审计的工作。但是这不排除，该其他部门员工由于拥有相关专业知识，短时间地从事内部审计的工作。

4.审计的规划与实施

（1）内部审计的工作建立于一个全面的、持续的考核规划上。对于审核的规划设计，要立足于风险。即便是被外包出去，公司的业务与流程也应当原则上每3年进行一次审核。在存在特殊风险的情况下，每年进行一次审核。对于那些从风险的角度来说不属于核心的业务和流程，可以不遵循每3年一次的审核要求。

（2）审核的规划、方法和质量要依据具体情况定期地来执行，并对其有所发展。

（3）要能够保证，在发现明显的缺陷和某些信息需求的情况下，随时进行特别的审核。

（4）审核的计划与重要的适应过程，要得到公司领导层的允许。

5.报告的职责

（1）对于每一次审核，都需要及时地进行书面的报告，并上交给公司领导层负责的人员。报告的内容要涵盖所审核的对象，以及审核的结果，一定情况下还包含审核的措施。主要的缺陷应当进行标明，对审核的结果也要进行评判。在存在重大缺陷的情况下，要向领导层立即进行汇报。

（2）审核要以工作材料的形式进行备案。在报告中，所陈述的工作以及定论的缺陷，要能够让独立的第三方完全得以理解。

（3）如果经审核的职能部门与内部审计部门在解决办法上无法达成一致，则要求被审核的部门提出自己的观点。

（4）内部审计部门要及时在一年之中将其所完成的审核总结成报告，并上交给负责的管理层。在综合报告中，要提出存在的重大缺陷，并告知所采取的措施。此外还要表明，在多大程度上遵循了审核的计划。

（5）如果在审核的过程中，发现不利于领导层的严重结论，需要立即向领导层进行报告。领导层则应直接向理事会与金融监管机构进行汇报。如果在接到报告后领导层没有采取有力的措施，则要求内部审计部门立即向理事会主席进行汇报。

（6）公司领导层至少要每年一次向理事会报告由内部审计部门所发现的公司存在的重大缺陷。在这个报告中，要特别提出存在的重大缺陷，决定采取的措施，以及措施的实施状况。对于那些重大的缺陷，要求及时通过公司领导层向理事会进行汇报。

（7）审计材料至少要保存6年以上。

6.如何应对已确认的缺陷

（1）内部审计部门应当对那些已确认的存在重大缺陷的事件，规定解决的时间期限。在某些情况下，追加审计。

（2）如果存在的缺陷在合适的时间内未经解决，内部审计部门的负责人则应当向负责的领导层进行汇报。如果问题仍未得到解决，则应当在下期总报告中以书面的形式向领导层进行汇报。

此外，还有一些其他方面的关于外包、个人业务、人力资源等的相关规定。