银行内控的调查报告.doc

1 南京银行内部控制评价报告南京银行内部控制评价报告1 2 工商银行内部控制研究报告工商银行内部控制研究报告19 3 关于银行内部控制的现状与存在的问题的调查报告关于银行内部控制的现状与存在的问题的调查报告8 1南京银行内部控制评价报告南京银行内部控制评价报告 2009 年 3 月 南京立信永华会计师事务所 南京银行内部控制评价报告 0 目 录 第一部分概况2 一、评价范围 2 二、评价依据 2 三、评价过程与评价方法2 四、内部控制总体评价 5 五、内部控制评价报告的使用6 第二部分 内部控制体系有效性评价 7 一、内部控制环境 7 二、风险识别与评估12 三、内部控制措施 16 四、监督评价与纠正20 五、信息交流与反馈21 第三部分 内部控制执行有效性评价 25 一、内控执行情况总体评价 25 二、抽样测试及结果分析26 三、内控执行问题原因分析 28 第四部分 内部控制管理建议 30 一、内部控制管理建议一览表31 二、内部控制管理建议 33 第一部分概况 南京立信永华会计师事务所有限公司（以下简称“立信永华”）接受委托，对南京银行股份 有限公司（以下简称“南京银行”）内部控制进行总体评价，并提供本评价报告。 一、评价范围 本次内部控制评价范围包括南京银行内部控制体系和内部控制执行情况。 本报告对南京银行内部控制体系的评价，是对内部控制体系整体的评价，并不是针对所有 内部控制的审核，也不是专为发现内部控制缺陷、欺诈及舞弊而进行的。 由于任何内部控制均具有固有限制，存在由于错误或舞弊而导致内控失效未被发现的可能 性。此外，根据内部控制评价结果推测未来内部控制有效性具有一定的风险，因为情况的 变化可能导致内部控制变得不恰当，或降低对控制政策、程序的遵循程度。因此，在本期 有效的内部控制，并不保证在未来也必然有效。 二、评价依据 立信永华对南京银行内部控制体系的评价是参照 2007 年银监会颁布的商业银行内部控制 指引 、2005 年银监会颁布的 商业银行内部控制评价试行办法的要求，从内部控制环 境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五个方面，对南 京银行现有内部控制体系进行评价。对南京银行内部控制执行的评价是参照南京银行相关 内部制度和授权要求进行的。 三、评价过程与评价方法 本次内部控制评价分为以下阶段进行： （一）内部控制体系评价阶段 主要采用的方法是对各类制度文件和资料进行分析研究、对南京银行高级管理层、总部主 要部门领导和部分分支行主要领导进行访谈，以及发放调查问卷等。 1、书面资料分析研究 对南京银行内部控制制度和文件等资料进行研究，分析南京银行内部控制体系的充分性、 合规性、有效性和适宜性。 2、访谈 对南京银行的高级管理层、总部主要部门领导，及部分分支行主要领导进行了访谈。访谈 对象包括： 访谈对象访谈人数 南京银行内部控制评价报告 1 高级管理层 9 人 （董事长、行长、副行长、党委书记、行长助理） 总部主要部门领导 12 人 （计划财务部、营运管理部、风险控制部、审计稽核部、 公司业务部、个人业务部、信贷管理部、信息技术部、 电子银行部、国际业务部、资金营运中心、特殊资产经 营中心） 分支行及直属经营机构领导 6 人 （上海分行、光华支行、洪武支行、营业部） 3、问卷调查 问卷对南京银行内部控制体系现状进行调查，发放范围与数量如下： 调查对象人数合计 部门总经理/副总经理19 二级部门经理53总部 普通员工72 144 行长/副行长33 部门经理48分支行 普通员工96 177 合计321 发放调查问卷的总部部门包括：计划财务部、营运管理部、风险控制部、审计稽核部、公 司业务部、个人业务部、国际业务部、信贷管理部、信息技术部、电子银行部、安全保卫 部、特殊资产经营中心；发放问卷的分支行机构及直属经营机构包括：上海分行、总行营 业部、鸡鸣寺支行、新街口支行、城北支行、夫子庙支行、大行宫支行、建邺支行、城东 支行、洪武支行、光华支行。 （二）内部控制执行情况评价阶段 主要采用的方法是对各类书面资料进行分析研究、对南京银行高级管理层、总部主要部门 领导和部分分支行主要领导进行访谈，以及业务抽样测试等。 1、书面资料分析研究 对南京银行相关部门的内控检查报告、合规检查报告、专项审计报告等进行研究，分析各 业务内部控制执行情况。 2、访谈 与内部控制体系评价访谈一并进行，访谈对象相同。 3、抽样测试 采用抽样测试的方式，对南京银行经营业务的内控实施与运营情况进行定量和定性的分析。 抽取 7 家支行、上海分行和总行营业部作为测试对象；每家单位抽取若干业务进行测试， 测试对象、测试业务和测试样本数量见下表： 业务名称机构名称 样本量 （份） 备注 单位通知存款（七天）洪武支行8 梅花贷记卡信用卡中心20 进口跟单信用证国际业务部9 资金营运中心-票据中 心 36 选择了非连续的 3 天 全部业务银行承兑汇票贴现业务 上海分行2 上海分行10 项目贷款 鸡鸣寺支行2 上海分行12 新街口支行1 流动资金贷款 光华支行1 个人中长期消费性一手住宅按中山支行1 南京银行内部控制评价报告 2 业务名称机构名称 样本量 （份） 备注 营业部2 揭抵押贷款 热河支行3 洪武支行1 鸡鸣寺支行1 金信支行1 个人综合消费保证贷款 营业部3 个人定期存款（一年）光华支行30 2008 年 9 月 19 日到 2008 年 9 月 26 日随 机抽取 30 笔业务 四、内部控制总体评价 立信永华对南京银行执行了内部控制评价的相关程序，认为目前南京银行的内部控制总体 处于良性状态： （一）南京银行的内部控制环境相对良好 ，但内部控制政策和目标缺乏针对性，总行、分 支行定位不够清晰，总行部门存在责、权、利不匹配的问题； （二）南京银行的风险管理体系基本适应经营发展现状、涵盖各项风险类别。管理层对于 南京银行面临的主要风险十分关注，尤其重视对操作风险的控制。但在风险指标体系建设， 以及新产品风险识别与评估等方面，还需要不断完善与调整； （三）南京银行已建成一套贯穿整个银行的内部控制体系和一套基本覆盖各项管理和业务 活动的制度、流程体系。但内控职能界定尚不十分明晰，制度与流程建设的管理缺少综合 性与前瞻性，内控文化不强，员工的内控执行力相对不高，内控体系的循环建设机制也有 待加强； （四）南京银行的信息与沟通机制目前基本能够满足银行的需要； （五）南京银行的监督、评价和纠正体系目前基本建立，但与内部控制不断自我完善的要 求尚存在差距； （六）南京银行在内部控制执行上总体尚好，但潜在风险并不小。 五、内部控制评价报告的使用 本报告仅供南京银行及其管理层参考和使用。在未取得立信永华事先书面同意前，南京银 行不得将其出具的报告或报告的影印本提供给任何第三方。立信永华将会酌情同意或拒绝 出具书面同意。在任何情况下，立信永华都将不对使用或收到报告或报告的影印本的任何 第三方承担任何义务或责任。 工商银行内部控制研究报告 第二部分 内部控制体系有效性评价 以下的评价是对南京银行内部控制总体进行评价，并不包括对细节问题发现的论述。 一、内部控制环境 控制环境确定了整个银行的基调，直接影响员工的控制意识，该组成要素是其他内控要素 的基础。 对南京银行“内部控制环境”的评估从以下七个方面进行：公司治理、董事会/监事会/高级管 理层责任、内部控制政策、内部控制目标、组织结构、企业文化和人力资源管理。 （一）公司治理 南京银行建立并持续完善了以股东大会、董事会、监事会和高级管理层为核心的“三会一层” 的公司治理组织结构，通过优化成员结构、制定议事规则和制度、完善决策程序，建立了 职责明确、分权制衡、规范运作、科学合理的公司治理机制。董事会下设发展战略委员会、 风险管理委员会、提名及薪酬委员会、关联交易控制委员会和审计委员会；监事会下设审 计委员会和提名委员会。董事会办公室和监事会办公室负责“三会”日常事务。 南京银行目前已经按照监管相关要求，建立了一套完整的公司治理制度，包括公司章程 、 股东大会议事规则 、 董事会议事规则 、 监事会议事规则 、 董事会审计委员会工作 细则 、 独立董事工作制度等。 （二）董事会、监事会、高级管理层责任 南京银行内部控制框架与要求中对于董事会、监事会和高级管理层的职责做出了明确 的划分，但立信永华从访谈和查阅相关文件中发现，目前董事会、监事会在内部控制上并 未完全承担应有的职责，比如制定内部控制政策，以及对内部控制体系、内部控制制度等 的审查、审批。 （三）内部控制政策 南京银行于 2007 年制订并颁布了南京银行内部控制框架与要求 ，其中对内部控制政策 做出了明确说明。 （四）内部控制目标 南京银行内部控制体系框架与要求中提出了内部控制工作的目标和原则。立信永华认 为南京银行的内部控制工作原则明确适用，但内部控制目标含糊，没有指出内部控制工作 的根本目的。 根据回收的调查问卷发现，银行整体有超过 25%的被调查对象在“对您的考核指标是否体现 了银行的内部控制目标”中选择了“否”或“不清楚”。表明南京银行的内部控制目标还没有完 全体现到业务中，或南京银行对内部控制目标宣传不够。 是否不清楚 银行整体74.8%7.3%18.0% 总行68.1%7.8%24.1% 分支行80.1%6.8%13.1% （五）组织结构 在内部控制组织体系方面，南京银行持续完善风险管理的组织架构，依据各项风险管理政 策的规定和实际管理需要，不断推进风险管理组织体系的健全与完善。 但是通过访谈和调查问卷，立信永华发现南京银行在组织结构上还存在不少问题： 1、整体组织结构 （1）南京银行总行、分行和支行在职能和功能上定位不清晰 1）总行定位不清晰，目前实际上处于总行和分行之间。总行内部既存在资产、负债和中间 工商银行内部控制研究报告 业务等相关管理职能，又存在直接经营相关业务品种的执行职能，造成总行同时存在业务 前台和中台，缺少各业务条线的纵向监督和制约，不符合内部控制管理要求。比如总行的 个人业务部、公司业务部和国际业务部，既要履行对各业务的监督管理职能，同时又要具 体负责各业务的运作。 2）南京银行各分行成立时间较短，在功能定位上不够清晰。总行对分行的管理更多的是依 照对南京地区中心支行的管理方式，弱化了分行应有的权利，可能造成业务运作的不便。 比如上海分行的组织结构和人员编制都是按照中心支行的要求设立的，没有考虑上海分行 自身业务要求，上海分行缺乏自主的人力资源管理权限，存在人才短缺现象。 3）除中心支行外，其他支行在职能和功能定位上严重缺失。南京地区的支行基本不开展除 负债之外的银行业务，资产和中间业务都需要上报中心支行，从而弱化了支行本应具备的 网点功能，导致现有支行定位不够清晰，浪费了网点资源。 （2）总行高级管理层分工存在问题，尚需进一步明晰 高级管理层的分工存在职能管理和业务管理权限交叉的现象，导致分管部门的领导不管理 部门中某项业务的情况，不利于整体内部控制。 （3）总行部分部门职责不清，权限不明，责、权、利不匹配 1）部门职能变更，职责梳理不够清晰，造成与其他部门职责、权限交叉。比如总部的营运 管理部，由于是从原会计结算部转变而来，职责梳理不够清晰，造成其本身业务（IT 设备 的管理和综合柜员的管理）与信息技术部和人力资源部存在交叉。 2）部门职责不清，造成与其他部门职责、权限交叉。比如个人业务部只负责对个人产品进 行营销，而产品设计、定价等权利都归其他部门所有。总行对个人业务部的业务职责界定 不清，造成个人业务部在管理和运作个人业务时，与其他部门产生职责和权限交叉。 （4）总行部分部门设置有待改善 1）内部控制工作包括制定和编写内部控制体系，组织各个部门和分支机构制定和完善内部 控制相关制度和内控检查，工作量非常大。而南京银行负责内控相关工作的是风险控制部 门下面的二级部门，在人员和权限上都略显不足。 2）南京银行目前由法律事务部负责对法律风险的控制，但是该部门仅是风险控制部下的一 个二级部门。随着南京银行业务的发展和跨区域经营的深入，相关的法律事务也将增多且 愈来愈复杂，法律事务部作为一个二级部门难以承担相应职责。 2、内控组织结构 南京银行没有明确的内控组织职能划分，南京银行将内控管理与操作风险的管理结合的较 为紧密，主要通过对操作风险的管理并结合对其他各项风险的管理建立内控管理组织体系。 在高级管理层以下，南京银行的风险控制部负责制订风险管理政策，组织风险的识别、计 量、监测和控制工作；各条线管理部门负责各自业务的风险识别、计量、监测和控制的制 度与流程建设，并对本部门制定的制度和流程的执行与遵守情况进行检查、完善和汇报； 其他部门和分支机构负责对制度和流程的执行工作，识别、监测、控制、检查、汇报本机 构的各项风险。 （六）企业文化 南京银行的企业文化以“以变求新，以新求恒”的企业哲学和“造福社会，服务股东，服务大 众”的企业使命为基础，提倡“坚忍不拔、傲然挺立、敢为天下先”的企业精神和“忠诚、主 动、严谨、高效”的企业作风；遵循“创新、发展、诚信、协作”的核心价值观；倡导“预防、 控制、化解、经营”的风险控制理念。南京银行对这些理念进行了详细的定义，通过员工手 册、电子显示宣传屏、张贴标语、培训、会议等各种渠道进行有效宣讲。 但通过访谈，立信永华了解到，相对国有商业银行，南京银行的内控文化较弱，在经营管 理中体现为重业务发展，轻内控管理，对内控、风险管理人员的激励性不强。 工商银行内部控制研究报告 （七）人力资源管理 南京银行对机构设置、岗位设置、招聘、薪酬、培训、晋升、绩效考核等制定了较为详细 的规定，针对不同类型的员工、不同层次的岗位制定了针对性的人力资源政策，并通过制 度化的流程确保整个人力资源的操作按既定流程公正开展。 在人力资源考核制度方面，银行制定了南京市商业银行中层管理人员考核管理办法和 南京市商业银行行员考核管理办法 。 在培训制度方面，银行制定了南京银行行员培训实施细则 ，加强对员工的合规、内控和 风险管理培训。但根据立信永华收回的调查问卷统计结果显示，总部员工接受内部控制培 训并不充分，尤其是内部控制的理论方面。 最近半年您是否接受过内部控制方面的培训？ 您接受过的内部控制培训主要包括？ 42.40% 57.60% 是 否 17.8% 55.6% 25.2% 1.5% 理论方面 具体制度 未培训 其他 随着跨区域进程加快和业务的迅速扩张，南京银行对于高素质人才的需求急剧增长。虽然 已经采取了各类措施积极应对，但目前的状况难以在短时间内解决，南京银行将在较长时 间内承受人力资源短缺的风险，尤其是上海分行，将面临新型业务高级人才短缺的风险。 二、风险识别与评估 南京银行的主要风险包括市场风险、信用风险、操作风险、流动性风险、法律合规风险和 声誉风险。风险管理的主要内容包括： 1、进行风险识别，确定风险识别范围，并确定风险识别的方法。 2、对各种风险进行计量、测试和评估。 3、确定风险应对措施，并评估应对措施的执行效果。 由于银行所处经济环境、行业、法规和经营状况不断变化，需要一个确认和处理与这些变 化相关风险的机制。风险识别和评估的前提是使经营目标在不同层次上相互衔接，保持一 致。 立信永华对南京风险管理的评价从以下三个方面进行： 1、风险管理体系； 2、经营管理活动风险识别与评估； 3、风险控制。 （一）南京银行的风险管理体系总体比较健全 南京银行根据自身现状和所处经营环境，确定了风险管理模式，自 2004 年起开始建设全面 风险管理体系。截至 2008 年底，南京银行已建立了包含市场风险、信用风险、操作风险、 流动性风险、法律合规风险和声誉风险在内的统一风险管理体系。在确保南京银行面临的 主要风险可以得到识别的基础上，风险管理基本覆盖全行各项管理、业务活动。南京银行 以风险管理的政策体系、组织体系、制度体系、监测体系和报告体系等体系性建设工作为 框架，开展各项风险管理工作。 工商银行内部控制研究报告 1、南京银行制订了明确和适用的风险管理政策 2007 年，南京银行发布了最新的风险管理政策，包括总体风险管理政策和市场风险、信用 风险、操作风险、流动性风险、法律与合规风险等各项风险管理政策。南京银行的风险管 理政策符合现行法律法规和监管的要求，基本体现对侧重控制类型风险的监测与控制，并 突出了南京银行自身经营的特点，是指导南京银行开展风险管理的纲领。 南京银行的风险管理政策确定了各项风险管理的职责界面、管理策略、控制要点、内外部 审计内容、报告关系、人力资源要求及其它相关内容。 2、南京银行的风险管理组织职能划分清晰 南京银行风险管理的组织职能划分是清晰的，风险管理由董事会、高级管理层、归口管理 部门和风险条线管理部门，及业务部门和分支机构等各级机构组成，监事会对风险管理工 作情况进行监督。但南京银行在风险管理的岗位设置和风险管理岗位的履职情况方面，存 在不足。如总部国际业务部的风险控制岗长期空岗，风险控制岗对相关业务的审核职能未 能履行。 南京银行并未实施真正意义上的风险控制垂直管理。南京银行的各分行和中心支行的风险 控制人员名义上是总行派驻的，但是风险控制人员不接受总行直接垂直管理，不对总行风 险控制部负责，而是接受分支行的直接管理。 （二）经营管理活动风险识别与评估 1、南京银行建立了较为完备的风险指标体系 南京银行对信贷资产和非信贷资产（包括债券资产、固定资产等）的风险进行了详细地界 定与分类管理，并制订了相关管理制度。 2007 年，南京银行建立了风险监测指标体系。南京银行的风险监测指标体系分为市场风险、 信用风险、流动性风险、操作风险、法律合规风险及补偿指标六类。南京银行的风险监测 指标体系涵盖银监会要求的风险监管核心指标，同时根据自身经营的特点和需要，增加了 一些必要和有效的风险监测指标。 南京银行的风险监测指标体系较为系统和全面，与目前的经营现状基本相适应，但仍需根 据经营管理的要求，不断调整和完善风险监测指标体系。截至 2008 年，南京银行已经确定 了部分风险监测指标的监管阈值，其他风险监测指标尚待研究和确定阈值。如南京银行在 风险监测报告 2008 年实施要点中对流动性风险指标体系中的存贷款比例、最大十户存 款比例没有确定监管阈值。 南京银行在风险预测和风险指标分析方面有待加强，以指导南京银行进行主动的风险防范， 降低可能风险导致的损失。对经理级别以上员工的问卷调查显示，38.0%的被调查对象认 为南京银行缺乏全面的风险分析程序，被调查总部员工中该比例更高。 问卷调查：南京银行是否具备全面的风险分析程序？ 全部员工经理以上总部 是53.2%53.3%47.5% 否40.8%38.0%45.4% 其他6.0%8.7%7.1% 此外，南京银行风险管理的量化监测方面还存在不足，在各项业务的信息化管理系统中， 应加强对风险指标的实时监测。 2、南京银行初步建立授权管理机制和风险限额管理体系 南京银行按照授权管理办法 ，对信贷审批等经营行为，实行严格的授权与转授权管理机 制，控制风险规模。 为了加强对信用、市场和流动性风险管理，规划和建设风险限额管理体系，南京银行于 2008 年颁布了信用、市场、流动性风险限额管理规程（试行） 和南京银行风险管理 工商银行内部控制研究报告 限额体系建设规划 。南京银行在风险限额管理中，运用风险计量方法对信用、市场、流动 性风险进行限额设定、分配、调整、监测预警、超限额处理和报告，使信用、市场、流动 性风险更加有效地控制在可以承受的范围内。目前南京银行已经建立了主要信用、市场、 流动性风险指标的限额体系。 3、南京银行不断优化和完善风险报告系统 南京银行已经建立了风险监测指标收集、处理分析、报告编制、反馈和建议、组织落实的 一整套流程，初步设计了由风险承担部门、条线管理部门、风控归口部门、高级管理层、 董事会等环节组成的报告和反馈机制。 2008 年，南京银行制定了风险监测报告 2008 年实施要点 ，明确规定了对信用风险、市 场风险、流动性风险、操作风险、法律与合规风险的监测范围、监测频率及报送渠道，系 统地、较为明确地规范了全行的风险报告流程。 4、南京银行逐步深化风险分析与预测工作 南京银行正在逐步开展风险测试工作，测试工作从重要业务开始试点进行，针对性很强。 2008 年，南京银行进行了市场风险压力测试（房地产贷款压力测试、本币债券市场风险压 力测试）和流动性压力测试工作。南京银行的压力测试范围需要进一步扩展，同时需要根 据经营管理的需要引入其他综合性风险分析工具，如 VaR、经风险调整的资本收益率 （RAROC）等。 5、新产品风险识别与评估 南京银行开展了对新产品的风险识别与评估，主要内容是法律与合规风险、操作风险的识 别和评估。但南京银行缺少对新产品风险评估的系统管理，新产品的风险识别与评估内容 不够全面。 （三）风险控制 南京银行通过严格的资金头寸管理控制流动性风险；通过客户准入政策、风险限额、信贷 授权机制等手段控制信用风险的规模；通过综合管理塑造品牌声誉，控制声誉风险及可能 引发的流动性风险。 操作风险被评估为南京银行最为主要的风险源，南京银行加强对管理和业务活动的内部控 制管理，实现对操作风险的控制。 三、内部控制措施 （一）运行控制 1、内控点的识别与控制 南京银行现有制度体系比较健全，覆盖范围基本包含了现有的经营和管理活动。部分总行 颁布的制度虽然作出了对管理和业务活动的原则性指导，但还不能直接规范管理和业务活 动的操作行为，需要基层机构根据管理和业务活动的实际情况，细化各项规章制度。南京 银行在管理和业务流程建设方面，也还存在较大空白，对于一些重要的管理和业务活动， 还未能制订规范的工作流程。 南京银行总行颁布的制度对大部分岗位的职责和工作内容进行了明确规定，但未能涵盖全 部岗位职责和工作内容，更缺乏对工作流程的说明。而在内部控制管理中，工作流程是重 要的工具，工作流程将明确说明管理和业务活动的操作次序、操作内容、操作和控制标准、 相关责任岗位及各责任岗位的职责与权力，同时明确关键内部控制管理点。缺少工作流程 体系将使一些管理和业务活动在进行内控管理时难以确定内控点和相关岗位，在内控责任 处理时也难以确定相关责任人。 问卷调查显示，61.3%的被调查对象根据公司制度对岗位职责、工作内容和工作流程认知 清晰，仍有 17.3%的被调查对象认为实际工作与制度描述存在差异，20.1%的被调查对象认 为制度只对岗位职责、工作内容和工作流程进行了原则性的规定，需要依靠个人经验和能 工商银行内部控制研究报告 力理解岗位职责、工作内容和工作流程。 问卷调查：岗位职责、工作内容和工作流程认知度 全部员工 公司制度中都有明确描述，并在实际工作中按此进行61.3% 实际工作与制度描述存在差异，但无论是本人还是上级和相关人员都 对此差异进行了确认 17.3% 更多依靠个人经验和能力，制度进对此进行了原则性的规定20.1% 工作程序、内容和职责都未在制度里体现1.3% 问卷调查显示，63.9%的被调查对象认为南京银行对工作中的关键控制点有明确规定，仍 有认为 36.1%的被调查对象认为关键控制点缺乏制度描述，总部员工反映该情况更为严重。 问卷调查：员工对工作中的关键控制点认知度 全部员工总部分支行 公司制度里都有规定63.9%56.6%69.9% 主要根据个人经验判断36.1%43.4%30.1% 问卷调查：对可能造成重大影响的风险隐患，或者可能需要引起最高管理层重视的机制， 银行是否有较好的识别系统？ 全部员工总部分支行 是68.9%62.0%74.4% 否26.7%31.7%22.7% 其他4.4%6.3%2.8% 问卷调查显示，南京银行对大部分管理和业务活动中可能导致偏离内部控制政策和目标的 环节通过书面制度建立了操作和控制标准，在全部被调查对象中，13.8%的被调查对象认 为仍存在对内控点规范缺失的情况，总部员工反映该情况更为严重。 问卷调查：对于可能导致偏离内部控制政策和目标的各类运行情况，银行是否建立书面程 序，并规定操作和控制标准？ 全部员工总部分支行 是86.2%81.0%90.4% 有一些运行活动没有建立程序6.0%9.2%3.4% 否7.8%9.9%6.2% 问卷调查显示，76.6%的被调查对象认为南京银行采购或外包的设施、设备、系统和服务 中已识别的风险，已建立了控制程序。 2、计算机系统内控管理 对部分业务活动，南京银行已经采用计算机应用系统开展内部控制管理，主要包括：综合 业务系统、信贷管理系统、小企业授信评核决策系统、信贷客户基础数据库、个人信用信 息基础数据库、房产抵押网上申报系统、个人抵押物电子估价系统、联网核查公民身份信 息系统、商业汇票交易管理系统等。 3、内控措施 南京银行运行的内部控制主要包括以下内容：授信内部控制、资金业务内部控制、存款和 柜台业务内部控制、反洗钱内部控制、关联交易内部控制、中间业务内部控制、会计内部 控制、计算机信息系统内部控制等。 南京银行采用各项可行的措施，开展内部控制活动，主要手段包括：审批与授权、验证与 核实、行为控制、兼容岗位的适当分离等。 问卷调查：南京银行内部控制措施手段 工商银行内部控制研究报告 内控措施采用率 高层检查71.8% 行为控制84.6% 风险暴露限制的审查82.7% 审批与授权93.8% 验证与核实86.1% 兼容岗位的适当分离84.1% （二）计算机系统环境下的控制 南京银行的计算机系统环境控制包括设备维护内控管理、系统软件开发与维护内控管理、 应用软件开发维护内控管理及网络管理（包括机房管理） 。设备维护按照南京银行计算机 设备维护管理办法进行内控管理。系统软件开发与维护按照南京银行业务应用系统开 发维护管理办法进行内控管理，系统参数修改和数据库结构变更等行为都在严格的审批 后进行。南京银行开展计算机系统的实时监控，对业务数据实施数据级备份，但需要建立 远端备份系统以提高系统的可靠性。此外，南京银行的信息系统通过管理日志系统和审计 系统监督信息系统人员的操作。系统网络和机房按照办公网络管理规定和机房管理 规定进行内控管理。 南京银行根据各项应用系统操作管理办法对应用系统的操作进行内控管理，对应用参数修 改、数据修改等行为实施严格的行长审批制。 （三）应急准备与处置 2008 年，南京银行制订应急预案体系建设规划及 2008 年实施要点 ，规范了应急预案体 系内容，制订建设规划。南京银行现有应急预案包括：流动性风险应急预案(草案) 、 业务系统突发事件手工应急预案 、 突发经济安全、恐怖袭击等社会安全事务应急处置 预案 、 重要信息系统突发事件应急处置预案 、 支付清算系统危机处置实施方案 、 联 网核查公民身份信息系统突发事件应急处置实施办法 、 部分人员集体辞职应急预案 、 个人理财业务应急预案 ，并制定了突发金融风险处置办法 。 四、监督评价与纠正 （一）内部控制绩效监测 2008 年，南京银行制定了内部控制检查责任制（试行） ，按照“谁管理、谁检查，谁检 查、谁负责，谁的隐患谁整改”的原则开展各级机构的内控检查工作。总行风险控制部为全 行内部控制检查的归口管理部门；各分行（中心支行）风险管理部为本层级内部控制检查 的归口管理部门；条线管理部门负责制定、完善本条线内部控制检查管理制度并组织实施。 南京银行的各级风险管理部门、内控条线管理部门于年度末制订下一年度的内控检查计划， 经本级各级风险管理部门汇总、报批后执行。南京银行审计稽核部作为内控管理的第三道 防线，对全行的内控运行情况进行内部审计。 但是，南京银行的内部控制检查机制缺少整体性管理，没有自上而下地将内控检查工作分 解到各条线管理部门。条线管理部门只是针对本条线内部控制薄弱环节及风险易发环节来 有针对性地制定检查计划。 此外，南京银行对一些风险较大部门的内控检查不够。如国际业务部权限较大，但是在访 谈和资料审阅中，立信永华发现，在 2005 年到 2008 年期间，总行只在国际业务部负责人 离任时，才对该部门进行了一次内审。 最后，风险控制部对内控检查的实际执行情况还有待提高。2008 年内控检查计划完成 46 项，总行各条线管理部门有 4 项检查计划尚未完成。 （二）违规、险情、事故处置和纠正及预防措施 审计稽核部经过内部审计，发现了内部控制上出现的问题，并及时向管理层通过内审报告 工商银行内部控制研究报告 的形式进行了汇报，内审报告指出了问题，但对于发现的问题主要停留在形成原因的表面， 还需进一步深入分析产生该问题的管理原因。 此外，南京银行问责制没有真正实施。通过访谈和调查问卷发现，由于大多数管理和业务 活动的流程不够清晰，风险控制节点不够明确，不能将风险控制点和岗位相对应。风险出 现后，查找不到相应的责任负责人，导致了在内审和检查中发现的大多数问题难以进行考 量，无法真正实施问责制。 （三）内部控制体系评价 2007 年内部控制体系评价工作由总行风险控制部负责，2008 年起，此工作移交总行审计稽 核部。目前，审计稽核部作为全行内部控制监督、评价的主要部门，已按照有关要求开展 对内部控制体系的健全性和有效性及制度执行情况的评价工作。 2008 年南京银行内部控制的自我评估报告按照商业银行内部控制指引及商业银 行内部控制评价试行办法对全行的内部控制体系实施了评价，评价内容基本完整。 （四）管理评审 2008 年，董事会增设了审计委员会，以加强对内部控制制度、审计制度的建立及实施情况 的检查、监督等，审计委员会在一定程度上较好的发挥了所承担的决策职能。 五、信息交流与反馈 （一）交流与沟通 南京银行已建立了董事会与专业委员会、董事会与管理层之间的信息沟通机制，建立了一 套运营会议制度。董事会、监事会及下设的各专门委员会定期或不定期召开各项会议，听 取管理层的经营分析汇报，责成有关部门提交书面报告或以实地调研方式检查监督内部控 制体系的运行情况。 南京银行管理信息系统平台已基本搭建完成。依托信息共享平台，搭建了电子公文系统、 发文借阅系统、电子邮件系统、业务园地和员工心声等多个行内信息交流平台，可将全行 各类经营数据、财务数据、网点财务报表等以报告形式传递到不同的管理层级。在对外信 息披露方面，南京银行制定了南京银行股份有限公司信息披露管理制度 ，确保股东、监 管机构和社会公众及时、准确了解其经营信息；制定了南京银行股份有限公司年度报告 编制实施办法等，实现了信息披露工作的规范化，提高了公司治理的透明度。 南京银行保证了信息分析深度与质量，但在多数情况下，没有明确例外情况的汇报机制。 立信永华从收回的调查问卷发现，仅有 15.1%的被调查对象认为在工作上遇到例外的情况 公司有明确的渠道沟通。 您与上级领导、相关部门和下属的信息沟通情况 工商银行内部控制研究报告 19.6% 65.3% 15.1% 0%20%40%60%80% 在工作中遇到例外的情 况公司有明确的渠道沟 通 目前交换的相关信息都 进行适当的汇总和提 炼，可满足进一步详查 的需要 只是按要求交换相关的 资料和文件，目前的报 告仅仅是数据与资料的 堆砌 目前，南京银行对于信息的获取和及时反应需进一步的改进。仅 17.6%的被调查对象认为 对于目前的信息加工与分析很满意，57.5%的被调查对象认为能够满足日常工作要求， 17.3%的被调查对象认为还有许多工作需要改进。 您认为目前贵部门是否能够及时获取和传递信息，以利于有效监控有关事件和活动（内部 和外部） ，并对经济、行业因素和控制问题迅速做出反应？ 17.6% 57.5% 17.3% 7.5% 目前的管理工作非常出 色 目前的管理工作能够满 足日常工作的需要 目前的管理工作在局部 方面还有缺陷 目前的管理工作还需要 进行许多改进 （二）内部控制体系对文件的要求 南京银行颁布了内部规章制度管理办法(试行) ，规定了南京银行的制度分类标准和适用 条件，明确了相关部门对各级、各类制度的管理范围，以及制度计划、制度起草、制度审 查、制度审批与颁行、制度解释的职责界定。南京银行大力推进内控体系建设，坚持持续 改进，利用内控体系建设进行规范化管理，确保南京银行年度经营目标、风险管理和内控 管理目标的实现。现有制度体系比较健全，覆盖范围基本包含了现有的经营和管理活动。 自 2006 年起，南京银行开始编制内控手册 ，截至 2008 年底，南京银行已经对内控手 册进行了多次的修改和补充。 但通过访谈和查阅资料，立信永华发现，南京银行虽然编制了内控手册 ，建立了初步的 内控制度体系，并制定了内部控制体系框架与要求 ，但内控手册本质是一部业务和 管理制度、流程汇编，而内部控制体系框架与要求只是商业银行内部控制评价试行 办法和商业银行内部控制指引的引用，并不是符合南京银行自身特点的完整内部控 制制度体系。南京银行的制度建设工作还缺少对内控监督检查结果的深入分析，以及在此 工作基础上进行的有针对性、综合性、前瞻性的总体管理。在管理和业务流程的建设方面， 工商银行内部控制研究报告 存在缺位的领域，对于一些重要的业务活动，未能通过建立流程明确操作次序和各相关岗 位的职责和权利，未能对内部控制体系中的内控组织、内控流程、风险识别、内控体系评 估和反馈等各要素及其相互作用关系描述清楚。 （三）文件控制 南京银行对制度文件进行了统一存放，方便了整个银行对于各类制度文件的获取。但目前 缺乏一个有效的分类维护程序和查询工具，使得对制度文件的检索不够方便快捷。调查问 卷发现，73.7%的被调查对象认为银行文件查询是方便的，另有 26.3%的被调查对象认为不 方便。 （四）记录控制 南京银行采用书面形式对内部控制相关活动中所涉及记录进行了标识、生成、贮存、保护 和处置。内部控制记录保持清晰、易于识别和检索。 第三部分 内部控制执行有效性评价 一、内控执行情况总体评价 南京银行在内部控制执行上总体尚好，目前没有出现由操作风险引发的大案，但通过访谈 和资料查阅，立信永华认为南京银行内控执行的潜在风险并不小，主要体现在如下几方面。 （一）柜员违规操作现象较多 在审计稽核部的专项审计、光华支行的例行检查中，均发现柜员违规行为，包括当班期间 为自己办理对私业务、从行内领入现金未经复点就整捆或部分对外支付、假币上交不及时、 柜员间调拨现金不规范等等。 （二）客户经理存在部分违规现象 在上海分行的合规检查中，发现不少客户经理不合规操作的现象，包括在质押贷款业务中， 档案材料没有可以证明质押物为出质人所有的相关证明，包括购销合同、增值税发票等； 在合同等法律文件的填写环节存在不规范、不完整甚至前后矛盾。 （三）离任员工的贷款清理和权限清理问题较多，而且处罚措施不强 在访谈和资料查阅中，立信永华了解到对离任员工执行违规的处理情况较为薄弱。比如在 审计稽核部的专项审计中发现存在部分离行员工信易贷授信额度未取消、信易贷贷款未归 还并且没有转为综合消费贷款，离行员工在综合业务系统中的柜号代号未被删除等情况， 但是整改建议是仅仅是对发现的问题进行清理，没有按制度追究。 （四）信贷管理上存在问题较多 在内审资料查阅中，立信永华了解到，南京银行在信贷管理，尤其是贷后管理上有待加强。 在信贷操作上不够规范，比如对借款人基础资料收集不够完整，对贷款用途的审核不够严 格，对信贷规范化文本要素的填写不够规范等。在贷后管理上力度不够，比如全面监测报 告内容过于简单，对贷款用途的监控不够深入，个别公司贷款监测报告内容与实际情况有 出入，贷款用途监督单记录不全，未完整反映贷款资金的流向等。 在对南京银行 2008 年报审计中，立信永华审查到一些贷款方面的问题。如贷款中存在子公 司为母公司担保的情况；贷前调查、贷后跟踪调查均由信贷员独立完成，没有第三人核实 监督等。 二、抽样测试及结果分析 （一）抽样方法 本次工作依据内控测试方案中所确定的工作方法进行，采用随机抽取的方式，取得所抽取 业务的相关档案和凭证单据，再根据南京银行内控手册中有关制度规定，以及该业务 审批流程及权限，对所抽样本的内控执行情况进行测试。 由于立信永华无法获取各业务期间存入电脑的数据、网上操作及授权的流程，只能对已存 工商银行内部控制研究报告 档的书面资料进行查阅和访谈，所以本次抽样结果所评价的内控执行有效性，仅包括对抽 样业务所留存的书面资料是否遵循银行规章制度，以及是否有合规完整的书面签字和盖章 等。 （二）测试结果 1、对公贷款业务 检测依据为南京市商业银行信贷管理办法等相关制度。大部分业务均未发现与制度不 符的地方，存在的问题有： （1）1 笔业务在档案移交时，没有签字和盖章。 2、对私贷款业务 检测依据为南京市商业银行个人住房贷款管理办法（试行） 、 关于调整我行个人贷款业 务有关规定的通知 、 南京市商业银行个人综合消费贷款实施意见、 南京市商业银行个人 综合消费贷款管理办法（试行） 等制度。大部分业务未发现与制度不符的地方，存在的问 题主要有： （1）5 笔业务缺少个人征信授权书； （2）5 笔业务缺少资产状况证明； （3）1 笔业务缺少借款人收入证明； （4）5 笔业务缺少自筹资金缴付证明。 3、存款业务 检测依据为南京市商业银行储蓄业务管理暂行办法 、 南京市商业银行单位通知存款管 理暂行办法等制度。未发现与制度不符的地方。 4、梅花贷记卡业务 检测依据为梅花贷记卡（个人卡）审批实施细则（试行） 等相关制度。存在的问题较多， 主要有： （1）全部业务单据缺少“原件已核”的手续签字或盖章证明； （2）2 笔业务单据缺少“账号已核”的手续签字或盖章证明； （3）14 笔业务档案缺少收入证明； （4）18 笔业务单据缺少审批人意见、签字、盖章； （5）1 笔业务审核意见为不发卡但仍下发了卡号； （6）1 笔业务缺少支行初审意见； （7）1 笔业务缺少支行初审、复审和审批人意见、签字、盖章，但仍下发了卡号； （8）1 笔业务档案中身份证复印件为假。 5、进口跟单信用证业务 检测依据为南京市商业银行进口跟单信用证业务管理办法等相关制度。其中，存在的 问题主要有： （1）全部出账通知书中，出账信息栏显示的出账年利率错误； （2）全部业务缺少国际业务部风控岗审核意见； （3）1 笔业务出账通知书中，授信余额显示为 0.000000，而实际该公司已签订年 2 亿美元 的授信总额度，且未用完。 6、贴现业务 检测依据为南京市商业银行商业汇票业务管理暂行办法等相关制度。基本未发现与制 度不符的地方，存在的问题主要是合同的填写不规范，包括： （1）所有档案都没有填写合同号； （2）新港支行、钟山支行等贴现业务审批意见书合同封面未按要求填写支行联系电话和日 期。 工商银行内部控制研究报告 （三）结果分析 通过上述测试，立信永华认为，南京银行的业务总体执行情况较为良好，存在的主要问题 是资料缺失和合同填写不规范。在进口跟单信用证业务的相关制度里，要求有国际业务部 风控岗的审核意见，但国际业务部并未设置该岗位；信用卡业务的内部控制执行情况问题 较多，体现在未按制度要求执行审批流程，缺失要件资料，对资料的真实性审查不足等。 三、内控执行问题原因分析 南京银行在内控执行方面的问题有两点原因。 （一）员工对本岗位内控风险点缺乏认知 南京银行缺乏相应的内控培训机制，导致相关人员不了解其岗位有关的风险点和内控点， 没有按照内控制度去执行业务。比如在上海分行去年的合规检查中，出现了有客户经理由 于不熟悉制度流程，未按照相关规定及合同本身的约定进行规范、完整填写的情况。 （二）员工主观上对内部控制不重视 南京银行对内控文化不够重视，同时对内控执行的奖惩力度不够，使得相关员工虽然了解 内控制度，但却不按制度执行，或者违反制度。比如在多份内部审计报告中均提到普遍存 在柜员的违规问题。 第四部分 内部控制管理建议 立信永华在第四部分的一览表中对所提出建议的性质和改进的优先顺序进行了汇总。改进 的优先顺序分为高、中、低三档。 高 对重大控制缺陷的建议。这些控制问题可能给南京银行带来重大操作、法律 和合规、声誉风险和/或导致出现重大错误。因而，这些控制问题应立即予 以解决。 中 对较为重大控制缺陷的建议。这些较为重大控制缺陷，如不加以改进将可能 导致工作较为重大错误和/或导致合规或声誉风险。因此，只要资源能力允 许这些控制缺陷就应尽快解决。 低 对相关影响程度较低的控制缺陷的建议。这些缺陷主要是有悖最佳操作原则 和可能导致效率低下的做法，它们不太可能导致南京银行出现重大错误。这 些缺陷应在时机恰当条件允许的时候及时予以解决。 一、内部控制管理建议一览表 编号建议优先顺序 1、内部控制环境 组织结构 1.1 建议将总行的业务管理职能和业务执行职能分离，设立南京分 行 高 工商银行内部控制研究报告 编号建议优先顺序 1.2建议梳理分行人事授权高 1.3建议梳理支行的现有定位高 1.4建议梳理总行高管人员业务分工中 1.5 建议按照业务条线对总部部门进行梳理，重新分配各部门责、 权、利 高 1.6建议设立独立的法律合规部中 企业文化 1.7 加强内控文化宣传，强化内控文化，增强员工的内控意识和责 任；宣传法律法规、监管要求，积极开展内控培训 中 1.8建议梳理内控管理条线关系；明确各级机构的内控管理职能高 2、风险识别与评估 风险管理体系 2.1建议实施风险控制的垂直化管理中 风险识别与评估 2.2建议持续调整和丰富风险指标体系内容高 2.3建议完善和调整风险指标阈值中 2.4建议进行风险预测和风险指标的深入分析中 2.5建议利用信息化系统，加强风险指标的实时监测中 2.6建议平衡业务发展和风险管理之间的关系中 2.7建议扩展风险压力测试范围中 2.8建议完善新产品风险识别与评估体系中 3、内部控制措施 运行控制 3.1明确内控点和相关岗位职责高 计算机系统环境下的控制 3.2 建设远端备份系统，加强系统和应用层的操作控制，加强计算 机系统安全管理。 中 4、监督评价与纠正 内部控制绩效监测 4.1建议制定全行内控检查目标并分解下达低 违规、险情、事故处置和纠正及预防措施 4.2建议优化内审报告中建议的有效性和可操作性中 4.3建议严格实施问责制管理高 5、信息交流与反馈 工商银行内部控制研究报告 编号建议优先顺序 内部控制体系对文件的要求 5.1建议建立完整的内部控制体系及编制相关内部控制文件高 工商银行内部控制研究报告 二、内部控制管理建议 （一）内部控制环境 1、建议将总行的业务管理职能和业务执行职能分离，设立南京分行 南京银行应在条件成熟时成立南京分行，将总行现有的业务执行职能剥离，下放到南京分 行，南京分行统一管理南京地区的所有中心支行和支行的相关业务，而总行只行使对各业 务的管理、风险控制和后台支持等职能。 2、建议梳理分行的人事权利 南京银行应建立符合分行发展的人事授权体系，促进分行业务发展。 3、建议梳理支行的现有定位 对支行的管理，应重新对支行进行定位，逐步加大支行的业务授权力度，充分发挥支行的 网点功能，比如支行在个人信贷及中间业务上的作用。 4、建议梳理总