商业银行应建立并保持预案和程序,以识别可能发生的意外事件或紧急情况(包括计算机系统)。意外事件和紧急情况发生时,应及时做出应急处置,以预防或减少可能造成的损失,确保业务持续开展。
商业银行应定期检查、维护应急的设施、设备和系统,确保其处于适用状态。如可行,应定期测试应急预案。
商业银行应评审其应急预案,特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括事故、险情)的性质相适应。
第四节 监督评价与纠正
第二十三条 内部控制绩效监测。
商业银行应建立并保持书面程序,通过适宜的监测活动,对内部控制绩效进行持续监测。
监测内容包括:
(一)内部控制目标实现程度。
(二)法律、法规及监管要求的遵循程度。
(三)事故、险情和其他不良的内部控制绩效的历史情况。
第二十四条 违规、险情、事故处置和纠正及预防措施。
商业银行应建立并保持书面程序,对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定,包括:
(一)发现违规、险情、事故并及时报告,必要时,可越级报告。
(二)及时处置违规、险情、事故。
(三)制定纠正与预防措施,防止违规、险情、事故的发生和再发生,并与问题的大小和风险危害程度相一致。
(四)纠正与预防措施在实施之前应进行风险评估。
(五)实施并跟踪、验证纠正与预防措施。
(六)险情和事故的责任追究。
第二十五条 内部控制体系评价。
商业银行应建立并保持书面程序,对内部控制体系实施评价,确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。
评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等,覆盖体系范围内的所有活动。
可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因,并验证所采取措施的效果。
评价应由与评价的活动无直接责任的人员进行,评价人员应具备相应的知识,能够胜任评价工作。
第二十六条 管理评审。
董事会应采取措施保证定期对内部控制状况进行评审,确保体系得到持续、有效的改进。
(一)管理评审应包括以下方面的内容:
1.内部控制体系评价的结果。
2.内部控制政策执行情况和内部控制目标实现情况。
3.对内部控制体系有重要影响的外部信息,如法律、法规的重大变化。
4.组织结构的重大调整。
5.事故和险情以及重大纠正和预防措施的状况。
6.以往管理评审的跟踪情况。
7.内部控制体系改进的建议。
(二)管理评审应就以下方面提出改进措施并落实:
1.内部控制体系及其过程的改进。
2.内部控制政策、目标的变更。
3.与内部控制有关资源的需求。
第二十七条 持续改进。
商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等,持续提高内部控制体系有效性。
第五节 信息交流与反馈
第二十八条 交流与沟通。
商业银行应建立并保持信息交流与沟通的程序,明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。
商业银行应识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保:
(一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。
(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。
(三)险情、事故发生时,相关信息能得到及时报告和有效沟通。
(四)及时、真实、完整地向监管机构和外界报告、披露相关信息。
(五)国内外经济、金融动态信息的取得和处理,并及时把与企业既定经营目标有关的信息提供给各级管理层。
信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。
为保持信息交流沟通的可追溯性,必要时,应保持相关信息交流与沟通的记录。
第二十九条 内部控制体系对文件的要求。
建立和保持文件化体系是实现信息交流与反馈的重要途径。商业银行应建立并保持必要的内部控制体系文件,包括:
(一)对内部控制体系要素及其相互作用的描述。
