明确计算机信息系统开发部门、管理部门与应用部门的职责 ， 建立和健全计算机信息系统风险防范的制度 ， 确保计算机信息系统设备、数据、系统运行和系统环境的安全 。
第二十二条 应急准备与处置 。
商业银行应建立并保持预案和程序 ， 以识别可能发生的意外事件或紧急情况（包括计算机系统） 。
意外事件和紧急情况发生时 ， 应及时做出应急处置 ， 以预防或减少可能造成的损失 ， 确保业务持续开展 。
商业银行应定期检查、维护应急的设施、设备和系统 。

18、 ， 确保其处于适用状态 。
如可行 ， 应定期测试应急预案 。
商业银行应评审其应急预案 ， 特别是意外事件或紧急情况发生之后 。
应急准备应与可能发生的意外事件或紧急情况（包括事故、险情）的性质相适应 。
第四节 监督评价与纠正第二十三条 内部控制绩效监测 。
商业银行应建立并保持书面程序 ， 通过适宜的监测活动 ， 对内部控制绩效进行持续监测 。
监测内容包括：（一）内部控制目标实现程度 。
（二）法律、法规及监管要求的遵循程度 。
（三）事故、险情和其他不良的内部控制绩效的历史情况 。
第二十四条 违规、险情、事故处置和纠正及预防措施 。
商业银行应建立并保持书面程序 ， 对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定 ， 包括：（一 。

19、）发现违规、险情、事故并及时报告 ， 必要时 ， 可越级报告 。
（二）及时处置违规、险情、事故 。
（三）制定纠正与预防措施 ， 防止违规、险情、事故的发生和再发生 ， 并与问题的大小和风险危害程度相一致 。
（四）纠正与预防措施在实施之前应进行风险评估 。
（五）实施并跟踪、验证纠正与预防措施 。
（六）险情和事故的责任追究 。
第二十五条 内部控制体系评价 。
商业银行应建立并保持书面程序 ， 对内部控制体系实施评价 ， 确保内部控制体系的充分性、合规性、有效性和适宜性 。
程序应包括评价的目的、准则、范围、频率、方法以及职责与要求 。
评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等 ， 覆盖体系范围内的所有活动 。
可根据评价结果确定 。

20、内部控制水平的等级 。
被评价机构的管理者应采取措施消除违规原因 ， 并验证所采取措施的效果 。
评价应由与评价的活动无直接责任的人员进行 ， 评价人员应具备相应的知识 ， 能够胜任评价工作 。
第二十六条 管理评审 。
董事会应采取措施保证定期对内部控制状况进行评审 ， 确保体系得到持续、有效的改进 。
（一）管理评审应包括以下方面的内容：1.内部控制体系评价的结果 。
2.内部控制政策执行情况和内部控制目标实现情况 。
3.对内部控制体系有重要影响的外部信息 ， 如法律、法规的重大变化 。
4.组织结构的重大调整 。
5.事故和险情以及重大纠正和预防措施的状况 。
6.以往管理评审的跟踪情况 。
7.内部控制体系改进的建议 。
（二）管理评审应就以下方面提 。

21、出改进措施并落实：1.内部控制体系及其过程的改进 。
2.内部控制政策、目标的变更 。
3.与内部控制有关资源的需求 。
第二十七条 持续改进 。
商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等 ， 持续提高内部控制体系有效性 。
第五节 信息交流与反馈第二十八条 交流与沟通 。
商业银行应建立并保持信息交流与沟通的程序 ， 明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式 。
商业银行应识别其内部和外部的风险相关方 ， 考虑他们的要求和目标 ， 建立与这些相关方进行信息交流的机制 ， 确保：（一）董事会和高级管理层能够及时了解业务 。

22、信息、管理信息以及其他重要风险信息 。
（二）所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序 。
（三）险情、事故发生时 ， 相关信息能得到及时报告和有效沟通 。
（四）及时、真实、完整地向监管机构和外界报告、披露相关信息 。
（五）国内外经济、金融动态信息的取得和处理 ， 并及时把与企业既定经营目标有关的信息提供给各级管理层 。

稿源：(未知)

【傻大方】网址：/a/2021/0820/0023836945.html

标题：商业银行|商业银行内部控制评价方案分析( 四 )