第十章  外部审计

第六十七条  商业银行可以在符合法律、法规和监管要求的情况下，委托具备相应资质的外部审计机构进行信息科技外部审计。

第六十八条  在委托审计过程中，商业银行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查，以发现信息科技存在的风险，国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。

第六十九条  商业银行在实施外部审计前应与外部审计机构进行充分沟通，详细确定审计范围，不应故意隐瞒事实或阻挠审计检查。

第七十条  银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对商业银行进行审计时，应出示委托授权书，并依照委托授权书上规定的范围进行审计。

第七十一条  外部审计机构根据授权出具的审计报告，经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力，被审计的商业银行应根据该审计报告提出整改计划，并在规定的时间内实施整改。

第七十二条  商业银行在委托外部审计机构进行外部审计时，应与其签订保密协议，并督促其严格遵守法律法规，保守本银行的商业秘密和信息科技风险信息，防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。

第十一章  附    则

第七十三条  未设董事会的商业银行，应当由其经营决策机构履行本指引中董事会的有关信息科技风险管理职责。

第七十四条  银监会依法对商业银行的信息科技风险管理实施监督检查。

第七十五条  本指引由银监会负责解释、修订。

第七十六条  本指引自颁布之日起施行，《银行业金融机构信息系统风险管理指引》（银监发〔2006〕63号）同时废止。

中国银行监督管理委员会