(一)控製措施包括:
1.高層檢查。董事會與高級管理層應要求下級部門及時報告經營管理情況和特別情況,以檢查內部控製的實施狀況以及在實現內部控製目標方麵的進展。高級管理層應根據檢查情況提出內部控製缺失情況,督促職能管理部門改進。
2.行為控製。各級職能管理部門審查每天、每周或每月收到的經營管理情況和特別情況專項報表或報告,提出問題,要求采取糾正整改措施。
3.實物控製。主要的控製措施包括實物限製、雙重保管和定期盤存等。
4.風險暴露限製的審查。審查遵循風險暴露限製方麵的合規性,違規時繼續跟蹤檢查。
5.審批與授權。根據若幹限製條件對各項業務、管理活動進行審批與授權,明確各級的管理責任。
6.驗證與核實。驗證各項業務、管理活動以及所采用的風險管理模型結果,並定期核實相關情況,及時發現需要修正的問題,並向職能管理部門報告。
7.不兼容崗位的適當分離。實行適當的職責分工,認定潛在的利益衝突並使之最小化。
(二)控製要點包括:
1.對於可能導致偏離內部控製政策、目標的運行情況,應建立並保持書麵程序和要求,並在程序中規定操作和控製標準。
2.對於重要活動應實施連續記錄和監督檢查。
3.在可能的情況下,應考慮運用計算機係統進行控製。
4.對於采購或外包的設施、設備、係統和服務中已識別的風險,應建立並保持控製程序,並將有關程序和要求通報供方,確保其遵守商業銀行相關的控製要求。
5.對於產品、組織結構、流程、計算機係統的設計過程,應建立有效的控製程序。
第二十一條計算機係統環境下的控製。
商業銀行應考慮計算機係統環境下的業務運行特征,建立信息安全管理體係,對硬件、操作係統和應用程序、數據和操作環境,以及設計、采購、安全和使用實施控製,確保信息的完整性、安全性和可用性。明確計算機信息係統開發部門、管理部門與應用部門的職責,建立和健全計算機信息係統風險防範的製度,確保計算機信息係統設備、數據、係統運行和係統環境的安全。
第二十二條應急準備與處置。
商業銀行應建立並保持預案和程序,以識別可能發生的意外事件或緊急情況(包括計算機係統)。意外事件和緊急情況發生時,應及時做出應急處置,以預防或減少可能造成的損失,確保業務持續開展。
商業銀行應定期檢查、維護應急的設施、設備和係統,確保其處於適用狀態。如可行,應定期測試應急預案。
商業銀行應評審其應急預案,特別是意外事件或緊急情況發生之後。應急準備應與可能發生的意外事件或緊急情況(包括事故、險情)的性質相適應。
第四節監督評價與糾正
第二十三條內部控製績效監測。
商業銀行應建立並保持書麵程序,通過適宜的監測活動,對內部控製績效進行持續監測。
監測內容包括:
(一)內部控製目標實現程度。
(二)法律、法規及監管要求的遵循程度。
(三)事故、險情和其他不良的內部控製績效的曆史情況。
第二十四條違規、險情、事故處置和糾正及預防措施。
商業銀行應建立並保持書麵程序,對違規、險情、事故的發現、報告、處置和糾正及預防措施作出規定,包括:
(一)發現違規、險情、事故並及時報告,必要時,可越級報告。
(二)及時處置違規、險情、事故。
(三)製定糾正與預防措施,防止違規、險情、事故的發生和再發生,並與問題的大小和風險危害程度相一致。
(四)糾正與預防措施在實施之前應進行風險評估。
(五)實施並跟蹤、驗證糾正與預防措施。
(六)險情和事故的責任追究。
第二十五條內部控製體係評價。
商業銀行應建立並保持書麵程序,對內部控製體係實施評價,確保內部控製體係的充分性、合規性、有效性和適宜性。程序應包括評價的目的、準則、範圍、頻率、方法以及職責與要求。
評價應考慮活動的風險評估結果、業務和管理流程和以前的評價結果等,覆蓋體係範圍內的所有活動。
可根據評價結果確定內部控製水平的等級。被評價機構的管理者應采取措施消除違規原因,並驗證所采取措施的效果。
評價應由與評價的活動無直接責任的人員進行,評價人員應具備相應的知識,能夠勝任評價工作。
第二十六條管理評審。
董事會應采取措施保證定期對內部控製狀況進行評審,確保體係得到持續、有效的改進。
(一)管理評審應包括以下方麵的內容:
1.內部控製體係評價的結果。
2.內部控製政策執行情況和內部控製目標實現情況。
3.對內部控製體係有重要影響的外部信息,如法律、法規的重大變化。
4.組織結構的重大調整。
5.事故和險情以及重大糾正和預防措施的狀況。
6.以往管理評審的跟蹤情況。
7.內部控製體係改進的建議。
(二)管理評審應就以下方麵提出改進措施並落實:
1.內部控製體係及其過程的改進。
2.內部控製政策、目標的變更。
3.與內部控製有關資源的需求。
第二十七條持續改進。
商業銀行應利用內部控製政策、內部控製目標、評價結果、績效監測和數據分析、糾正和預防措施以及管理評審等,持續提高內部控製體係有效性。
第五節信息交流與反饋
第二十八條交流與溝通。
商業銀行應建立並保持信息交流與溝通的程序,明確對財務、管理、業務、重大事件和市場信息等相關信息識別、收集、處理、交流、溝通、反饋、披露的渠道和方式。
商業銀行應識別其內部和外部的風險相關方,考慮他們的要求和目標,建立與這些相關方進行信息交流的機製,確保:
(一)董事會和高級管理層能夠及時了解業務信息、管理信息以及其他重要風險信息。
(二)所有員工充分了解相關信息、遵守涉及其責任和義務的政策和程序。
(三)險情、事故發生時,相關信息能得到及時報告和有效溝通。
(四)及時、真實、完整地向監管機構和外界報告、披露相關信息。
(五)國內外經濟、金融動態信息的取得和處理,並及時把與企業既定經營目標有關的信息提供給各級管理層。
信息交流與溝通應考慮信息的安全性和保密性要求。相關信息報告、發布、披露應經過授權。
為保持信息交流溝通的可追溯性,必要時,應保持相關信息交流與溝通的記錄。
第二十九條內部控製體係對文件的要求。
建立和保持文件化體係是實現信息交流與反饋的重要途徑。商業銀行應建立並保持必要的內部控製體係文件,包括:
(一)對內部控製體係要素及其相互作用的描述。
(二)內部控製政策和目標。
(三)關鍵崗位及其職責與權限。
(四)不可接受的風險及其預防和控製措施。
(五)控製程序、作業指導、方案和其他內部文件。
第三十條文件控製。
商業銀行應建立並保持書麵程序,以確保內部控製體係所要求的文件滿足下列要求:
(一)易於查詢。
(二)實施前得到授權人的批準。
(三)定期評審,必要時予以修訂並由授權人員確認其適宜性。
(四)所有相關崗位都能得到有效版本。
(五)失效時,及時從所有發放處和使用處收回,或采取其他措施防止誤用。
(六)及時識別、處置外來文件並進行標識,必要時轉化為內部文件。
(七)留存的檔案性文件和資料應予以適當標識。
第三十一條記錄控製。
商業銀行應建立並保持書麵程序,以規定內部控製相關活動中所涉及記錄的標識、生成、貯存、保護、檢索、保存期限和處置。
記錄應保持清晰、易於識別和檢索,以提供符合要求和內部控製體係有效運行的證據,並可追溯到相關的活動。
第四章評價程序和方法
第三十二條內部控製評價程序一般包括評價準備、評價實施、評價報告形成和反饋等步驟。
第三十三條評價準備。
組成評價組。評價組應考慮組成人員的背景和能力。必要時,可聘請業務或管理方麵的專家。
製定評價實施方案。實施方案應明確本次評價的目的、範圍、準則、時間安排和相應的資源配置。
準備必要的工作文件。主要包括評價問卷、抽樣計劃、被評價機構的內部控製體係文件及相關記錄等。
在現場評價前應先與被評價機構建立初步聯係,以便確認有關評價事項和安排。
第三十四條評價實施。
評價組應按照既定的評價方案實施評價。在評價實施中應就評價組內部以及評價組與被評價機構之間的溝通做出正式安排,通過適當的方法收集與評價目的、範圍和準則有關的信息,根據評價方案對被評價項目進行測試,對有關數據進行確認和分析,並予以記錄。
評價實施的具體方法見第三十九條至四十三條。
第三十五條評價報告形成。
評價組根據評價實施情況,撰寫評價報告,應重點分析以下方麵:
(一)被評價機構內部控製體係現狀、存在問題及趨勢分析。
(二)同類銀行比較。
(三)監管建議。
(四)可能的諒解因素。
第三十六條評價反饋。
對被評價機構內部控製體係進行綜合評價後,應與被評價機構管理層溝通,以核對數據,確認事實,並就評價中的問題征求意見。
第三十七條銀監會及其派出機構根據評價報告,依據有關法律和規定,做出評價結論和處理決定,並以書麵形式正式發送被評價機構,限期整改。同時,評價結論應報上級機構。
第三十八條內部控製評價方法是為實現評價目的,對被評價機構內部控製體係進行分析和評價而采取的技術和手段的總稱。
第三十九條內部控製評價實施包括:
了解內部控製體係。應了解被評價機構內部控製體係的基本情況,確認評價範圍,確定被評價機構的內部控製體係的健全程度,然後決定實施測試所采取的方法。
實施測試和分析。實施測試和分析是在了解內部控製體係的基礎上,評價內部控製體係的運行與績效。具體可以采取符合性測試和指標分析等,其中,對內部控製過程評價主要采取符合性測試法;對內部控製結果評價,主要采取指標分析法。
第四十條了解內部控製體係。
了解被評價機構內部控製體係主要通過詢問、查閱、觀察、流程圖等方法進行,以初步評價被評價機構內部控製體係的充分性和合規性。
第四十一條符合性測試。
符合性測試是獲得評價證據以證實內部控製在實際中的合規性、有效性和適宜性,即相關規定在實際中是否被一貫執行,控製措施能否達到控製目的,控製措施是否恰當。符合性測試分為兩種形式:
(一)業務測試,即對重要業務或典型業務進行測試,按照規定的業務處理程序進行檢查,確認有關控製點是否符合規定並得到認真執行,以判斷內部控製的遵循情況。
(二)功能測試,即對某項控製的特定環節,選擇若幹時期的同類業務進行檢查,確認該環節的控製措施是否一貫或持續發揮作用。