(三)应急计划。建立计算机安全应急系统,制定详细的应急方案,定期检查、维护应急的设施、设备和系统,确保其处于适用状态。
第二十五条 其它控制。针对公司其他活动建立必要和恰当的政策和程序,确保制定的控制措施能够有效实现控制目标,已确定的控制行为得到恰当的执行。
第四节 信息交流与反馈
第二十六条 交流与沟通。产险公司应建立并保持信息交流与沟通的程序,明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。
产险公司应识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保:
(一)高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。
(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。
(三)违规、事故发生时,相关信息能得到及时报告和有效沟通。
(四)及时、真实、完整地向监管机构和外界报告、披露相关信息。
(五)国内外经济、金融动态信息的取得和处理,并及时把与企业既定经营目标有关的信息提供给各级管理层。
信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。
为保持信息交流沟通的可追溯性,必要时,应保持相关信息交流与沟通的记录。
第二十七条 内部控制体系对文件的要求。建立和保持文件化体系是实现信息交流与反馈的重要途径。产险公司应建立并保持必要的内部控制体系文件,包括:
(一)对内部控制体系要素及其相互作用的描述。
(二)内部控制政策和目标。
(三)关键岗位及其职责与权限。
(四)不可接受的风险及其预防和控制措施。
(五)控制程序、作业指导、方案和其他内部文件。
第二十八条 文件控制。产险公司应建立并保持书面程序,以确保内部控制体系所要求的文件满足下列要求:
(一)易于查询。
(二)实施前得到授权人的批准。
(三)定期评审,必要时予以修订并由授权人员确认其适宜性。
(四)所有相关岗位都能得到有效版本。
(五)失效时,及时从所有发放处和使用处收回,或采取其他措施防止误用。
(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。
(七)留存的档案性文件和资料应予以适当标识。
第二十九条 记录控制。产险公司应建立并保持书面程序,以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。
记录应保持清晰、易于识别和检索,以提供符合要求和内部控制体系有效运行的证据,并可追溯到相关的活动。
第五节 监督评价与纠正
第三十条 持续性监控。产险公司应采取措施确保各部门和员工在日常经营和履行职责的过程中持续获取相关信息(如:投诉等),对内部控制健全性、合理性、有效性进行检查、分析,并评估其实施的效率效果,以实现对内部控制实时动态的持续性监控和控制执行部门的自我改善。持续性监控应遵循以下原则:
(一)以目标为基础,确认现有的制度、程序和措施是否合理、有效和剩余风险的控制水平(剩余风险是指没有通过内部控制加以控制,但却可能对公司目标实现产生影响的风险)。
(二)以风险为基础,识别实现目标的各类风险,确定控制制度、程序和政策是否足以对关键风险进行管理。
(三)以控制为基础,对现有控制措施的运行情况进行分析,识别差距。
(四)以过程为基础,对包括业务、财务、资金、计算机等控制活动的关键过程和内容进行确认、评价、更新、改善和简化。
第三十一条 独立评估。产险公司应设立内部审计机构或岗位,对内部控制的健全性、合理性和有效性实施独立评估。
内部审计部门应配备具有相应资质和能力的审计人员;应有权获得产险公司的所有经营、管理信息;应定期或不定期根据辖属机构的内部控制情况确定审计频率,以及对机构和业务的审计覆盖率,对内部控制的健全性、合理性和有效性实施检查、评价;应对公司高级管理人员和重要岗位人员进行离任审计。
