银行内部控制评价报告.doc

1 40 南京银行南京银行 内部控制评价报告内部控制评价报告 2009 年年 3 月月 南京立信永华会计师事务所南京立信永华会计师事务所 1 40 目目 录录 第一部分第一部分概况概况 2 一 评价范围一 评价范围 2 二 评价依据二 评价依据 2 三 评价过程与评价方法三 评价过程与评价方法 2 四 内部控制总体评价四 内部控制总体评价 5 五 内部控制评价报告的使用五 内部控制评价报告的使用 6 第二部分第二部分 内部控制体系有效性评价内部控制体系有效性评价 7 一 内部控制环境一 内部控制环境 7 二 风险识别与评估二 风险识别与评估 12 三 内部控制措施三 内部控制措施 16 四 监督评价与纠正四 监督评价与纠正 20 五 信息交流与反馈五 信息交流与反馈 21 第三部分第三部分 内部控制执行有效性评价内部控制执行有效性评价 25 一 内控执行情况总体评价一 内控执行情况总体评价 25 二 抽样测试及结果分析二 抽样测试及结果分析 26 三 内控执行问题原因分析三 内控执行问题原因分析 28 第四部分第四部分 内部控制管理建议内部控制管理建议 30 一 内部控制管理建议一览表一 内部控制管理建议一览表 31 二 内部控制管理建议二 内部控制管理建议 33 2 40 第一部分第一部分概况概况 南京立信永华会计师事务所有限公司 以下简称 立信永华 接受委托 对南京银行股份有限公司 以下简称 南京银行 内部 控制进行总体评价 并提供本评价报告 一 评价范围一 评价范围 本次内部控制评价范围包括南京银行内部控制体系和内部控制 执行情况 本报告对南京银行内部控制体系的评价 是对内部控制体系整 体的评价 并不是针对所有内部控制的审核 也不是专为发现内部 控制缺陷 欺诈及舞弊而进行的 由于任何内部控制均具有固有限制 存在由于错误或舞弊而导 致内控失效未被发现的可能性 此外 根据内部控制评价结果推测 未来内部控制有效性具有一定的风险 因为情况的变化可能导致内 部控制变得不恰当 或降低对控制政策 程序的遵循程度 因此 在本期有效的内部控制 并不保证在未来也必然有效 二 评价依据二 评价依据 立信永华对南京银行内部控制体系的评价是参照 2007 年银监 会颁布的 商业银行内部控制指引 2005 年银监会颁布的 商业 银行内部控制评价试行办法 的要求 从内部控制环境 风险识别 与评估 内部控制措施 信息交流与反馈 监督评价与纠正五个方 面 对南京银行现有内部控制体系进行评价 对南京银行内部控制 执行的评价是参照南京银行相关内部制度和授权要求进行的 三 评价过程与评价方法三 评价过程与评价方法 本次内部控制评价分为以下阶段进行 3 40 一 内部控制体系评价阶段 主要采用的方法是对各类制度文件和资料进行分析研究 对南 京银行高级管理层 总部主要部门领导和部分分支行主要领导进行 访谈 以及发放调查问卷等 1 书面资料分析研究 对南京银行内部控制制度和文件等资料进行研究 分析南京银 行内部控制体系的充分性 合规性 有效性和适宜性 2 访谈 对南京银行的高级管理层 总部主要部门领导 及部分分支行 主要领导进行了访谈 访谈对象包括 访谈对象访谈对象访谈人数访谈人数 高级管理层 9 人 董事长 行长 副行长 党委书记 行长助理 总部主要部门领导 12 人 计划财务部 营运管理部 风险控制部 审计 稽核部 公司业务部 个人业务部 信贷管理部 信息技术部 电子银行部 国际业务部 资金营 运中心 特殊资产经营中心 分支行及直属经营机构领导 6 人 上海分行 光华支行 洪武支行 营业部 3 问卷调查 问卷对南京银行内部控制体系现状进行调查 发放范围与数量 如下 调查对象人数合计 部门总经理 副总经理19 二级部门经理53总部 普通员工72 144 行长 副行长33 部门经理48分支行 普通员工96 177 合计合计321 发放调查问卷的总部部门包括 计划财务部 营运管理部 风 4 40 险控制部 审计稽核部 公司业务部 个人业务部 国际业务部 信贷管理部 信息技术部 电子银行部 安全保卫部 特殊资产经 营中心 发放问卷的分支行机构及直属经营机构包括 上海分行 总行营业部 鸡鸣寺支行 新街口支行 城北支行 夫子庙支行 大行宫支行 建邺支行 城东支行 洪武支行 光华支行 二 内部控制执行情况评价阶段 主要采用的方法是对各类书面资料进行分析研究 对南京银行 高级管理层 总部主要部门领导和部分分支行主要领导进行访谈 以及业务抽样测试等 1 书面资料分析研究 对南京银行相关部门的内控检查报告 合规检查报告 专项审 计报告等进行研究 分析各业务内部控制执行情况 2 访谈 与内部控制体系评价访谈一并进行 访谈对象相同 3 抽样测试 采用抽样测试的方式 对南京银行经营业务的内控实施与运营 情况进行定量和定性的分析 抽取 7 家支行 上海分行和总行营业 部作为测试对象 每家单位抽取若干业务进行测试 测试对象 测 试业务和测试样本数量见下表 业务名称业务名称机构名称机构名称 样本量样本量 份 份 备注备注 单位通知存款 七天 洪武支行8 梅花贷记卡信用卡中心20 进口跟单信用证国际业务部9 资金营运中心 票 据中心 36 选择了非连续的 3 天全部业务银行承兑汇票贴现业务 上海分行2 上海分行10 项目贷款 鸡鸣寺支行2 流动资金贷款上海分行12 5 40 业务名称业务名称机构名称机构名称 样本量样本量 份 份 备注备注 新街口支行1 光华支行1 中山支行1 营业部2 个人中长期消费性一手住 宅按揭抵押贷款 热河支行3 洪武支行1 鸡鸣寺支行1 金信支行1 个人综合消费保证贷款 营业部3 个人定期存款 一年 光华支行30 2008 年 9 月 19 日 到 2008 年 9 月 26 日随机抽取 30 笔 业务 四 内部控制总体评价四 内部控制总体评价 立信永华对南京银行执行了内部控制评价的相关程序 认为目 前南京银行的内部控制总体处于良性状态 一 南京银行的内部控制环境相对良好 但内部控制政策和 目标缺乏针对性 总行 分支行定位不够清晰 总行部门存在责 权 利不匹配的问题 二 南京银行的风险管理体系基本适应经营发展现状 涵盖 各项风险类别 管理层对于南京银行面临的主要风险十分关注 尤 其重视对操作风险的控制 但在风险指标体系建设 以及新产品风 险识别与评估等方面 还需要不断完善与调整 三 南京银行已建成一套贯穿整个银行的内部控制体系和一 套基本覆盖各项管理和业务活动的制度 流程体系 但内控职能界 定尚不十分明晰 制度与流程建设的管理缺少综合性与前瞻性 内 控文化不强 员工的内控执行力相对不高 内控体系的循环建设机 制也有待加强 四 南京银行的信息与沟通机制目前基本能够满足银行的需 要 6 40 五 南京银行的监督 评价和纠正体系目前基本建立 但与 内部控制不断自我完善的要求尚存在差距 六 南京银行在内部控制执行上总体尚好 但潜在风险并不 小 五 内部控制评价报告的使用五 内部控制评价报告的使用 本报告仅供南京银行及其管理层参考和使用 在未取得立信永 华事先书面同意前 南京银行不得将其出具的报告或报告的影印本 提供给任何第三方 立信永华将会酌情同意或拒绝出具书面同意 在任何情况下 立信永华都将不对使用或收到报告或报告的影印本 的任何第三方承担任何义务或责任 7 40 第二部分第二部分 内部控制体系有效性评价内部控制体系有效性评价 以下的评价是对南京银行内部控制总体进行评价 并不包括对 细节问题发现的论述 一 内部控制环境一 内部控制环境 控制环境确定了整个银行的基调 直接影响员工的控制意识 该组成要素是其他内控要素的基础 对南京银行 内部控制环境 的评估从以下七个方面进行 公司 治理 董事会 监事会 高级管理层责任 内部控制政策 内部控制目 标 组织结构 企业文化和人力资源管理 一 公司治理 南京银行建立并持续完善了以股东大会 董事会 监事会和高 级管理层为核心的 三会一层 的公司治理组织结构 通过优化成员 结构 制定议事规则和制度 完善决策程序 建立了职责明确 分 权制衡 规范运作 科学合理的公司治理机制 董事会下设发展战 略委员会 风险管理委员会 提名及薪酬委员会 关联交易控制委 员会和审计委员会 监事会下设审计委员会和提名委员会 董事会 办公室和监事会办公室负责 三会 日常事务 南京银行目前已经按照监管相关要求 建立了一套完整的公司 治理制度 包括 公司章程 股东大会议事规则 董事会 议事规则 监事会议事规则 董事会审计委员会工作细则 独立董事工作制度 等 二 董事会 监事会 高级管理层责任 南京银行内部控制框架与要求 中对于董事会 监事会和高 级管理层的职责做出了明确的划分 但立信永华从访谈和查阅相关 文件中发现 目前董事会 监事会在内部控制上并未完全承担应有 8 40 的职责 比如制定内部控制政策 以及对内部控制体系 内部控制 制度等的审查 审批 三 内部控制政策 南京银行于 2007 年制订并颁布了 南京银行内部控制框架与 要求 其中对内部控制政策做出了明确说明 四 内部控制目标 南京银行内部控制体系框架与要求 中提出了内部控制工作 的目标和原则 立信永华认为南京银行的内部控制工作原则明确适 用 但内部控制目标含糊 没有指出内部控制工作的根本目的 根据回收的调查问卷发现 银行整体有超过 25 的被调查对象 在 对您的考核指标是否体现了银行的内部控制目标 中选择了 否 或 不清楚 表明南京银行的内部控制目标还没有完全体现到业务中 或南京银行对内部控制目标宣传不够 是否不清楚 银行整体74 8 7 3 18 0 总行68 1 7 8 24 1 分支行80 1 6 8 13 1 五 组织结构 在内部控制组织体系方面 南京银行持续完善风险管理的组织 架构 依据各项风险管理政策的规定和实际管理需要 不断推进风 险管理组织体系的健全与完善 但是通过访谈和调查问卷 立信永华发现南京银行在组织结构 上还存在不少问题 1 整体组织结构 1 南京银行总行 分行和支行在职能和功能上定位不清晰 9 40 1 总行定位不清晰 目前实际上处于总行和分行之间 总行内 部既存在资产 负债和中间业务等相关管理职能 又存在直接经营 相关业务品种的执行职能 造成总行同时存在业务前台和中台 缺 少各业务条线的纵向监督和制约 不符合内部控制管理要求 比如 总行的个人业务部 公司业务部和国际业务部 既要履行对各业务 的监督管理职能 同时又要具体负责各业务的运作 2 南京银行各分行成立时间较短 在功能定位上不够清晰 总 行对分行的管理更多的是依照对南京地区中心支行的管理方式 弱 化了分行应有的权利 可能造成业务运作的不便 比如上海分行的 组织结构和人员编制都是按照中心支行的要求设立的 没有考虑上 海分行自身业务要求 上海分行缺乏自主的人力资源管理权限 存 在人才短缺现象 3 除中心支行外 其他支行在职能和功能定位上严重缺失 南 京地区的支行基本不开展除负债之外的银行业务 资产和中间业务 都需要上报中心支行 从而弱化了支行本应具备的网点功能 导致 现有支行定位不够清晰 浪费了网点资源 2 总行高级管理层分工存在问题 尚需进一步明晰 高级管理层的分工存在职能管理和业务管理权限交叉的现象 导致分管部门的领导不管理部门中某项业务的情况 不利于整体内 部控制 3 总行部分部门职责不清 权限不明 责 权 利不匹配 1 部门职能变更 职责梳理不够清晰 造成与其他部门职责 权限交叉 比如总部的营运管理部 由于是从原会计结算部转变而 来 职责梳理不够清晰 造成其本身业务 IT 设备的管理和综合柜 员的管理 与信息技术部和人力资源部存在交叉 10 40 2 部门职责不清 造成与其他部门职责 权限交叉 比如个人 业务部只负责对个人产品进行营销 而产品设计 定价等权利都归 其他部门所有 总行对个人业务部的业务职责界定不清 造成个人 业务部在管理和运作个人业务时 与其他部门产生职责和权限交叉 4 总行部分部门设置有待改善 1 内部控制工作包括制定和编写内部控制体系 组织各个部门 和分支机构制定和完善内部控制相关制度和内控检查 工作量非常 大 而南京银行负责内控相关工作的是风险控制部门下面的二级部 门 在人员和权限上都略显不足 2 南京银行目前由法律事务部负责对法律风险的控制 但是该 部门仅是风险控制部下的一个二级部门 随着南京银行业务的发展 和跨区域经营的深入 相关的法律事务也将增多且愈来愈复杂 法 律事务部作为一个二级部门难以承担相应职责 2 内控组织结构 南京银行没有明确的内控组织职能划分 南京银行将内控管理 与操作风险的管理结合的较为紧密 主要通过对操作风险的管理并 结合对其他各项风险的管理建立内控管理组织体系 在高级管理层 以下 南京银行的风险控制部负责制订风险管理政策 组织风险的 识别 计量 监测和控制工作 各条线管理部门负责各自业务的风 险识别 计量 监测和控制的制度与流程建设 并对本部门制定的 制度和流程的执行与遵守情况进行检查 完善和汇报 其他部门和 分支机构负责对制度和流程的执行工作 识别 监测 控制 检查 汇报本机构的各项风险 六 企业文化 11 40 南京银行的企业文化以 以变求新 以新求恒 的企业哲学和 造 福社会 服务股东 服务大众 的企业使命为基础 提倡 坚忍不拔 傲然挺立 敢为天下先 的企业精神和 忠诚 主动 严谨 高效 的 企业作风 遵循 创新 发展 诚信 协作 的核心价值观 倡导 预 防 控制 化解 经营 的风险控制理念 南京银行对这些理念进行 了详细的定义 通过员工手册 电子显示宣传屏 张贴标语 培训 会议等各种渠道进行有效宣讲 但通过访谈 立信永华了解到 相对国有商业银行 南京银行 的内控文化较弱 在经营管理中体现为重业务发展 轻内控管理 对内控 风险管理人员的激励性不强 七 人力资源管理 南京银行对机构设置 岗位设置 招聘 薪酬 培训 晋升 绩效考核等制定了较为详细的规定 针对不同类型的员工 不同层 次的岗位制定了针对性的人力资源政策 并通过制度化的流程确保 整个人力资源的操作按既定流程公正开展 在人力资源考核制度方面 银行制定了 南京市商业银行中层 管理人员考核管理办法 和 南京市商业银行行员考核管理办法 在培训制度方面 银行制定了 南京银行行员培训实施细则 加强对员工的合规 内控和风险管理培训 但根据立信永华收回的 调查问卷统计结果显示 总部员工接受内部控制培训并不充分 尤 其是内部控制的理论方面 最近半年您是否接受过内部控制方面的培训 您接受过的内部控制培训主要包括 12 40 42 40 57 60 是 否 17 8 55 6 25 2 1 5 理论方面 具体制度 未培训 其他 随着跨区域进程加快和业务的迅速扩张 南京银行对于高素质 人才的需求急剧增长 虽然已经采取了各类措施积极应对 但目前 的状况难以在短时间内解决 南京银行将在较长时间内承受人力资 源短缺的风险 尤其是上海分行 将面临新型业务高级人才短缺的 风险 二 风险识别与评估二 风险识别与评估 南京银行的主要风险包括市场风险 信用风险 操作风险 流 动性风险 法律合规风险和声誉风险 风险管理的主要内容包括 1 进行风险识别 确定风险识别范围 并确定风险识别的方法 2 对各种风险进行计量 测试和评估 3 确定风险应对措施 并评估应对措施的执行效果 由于银行所处经济环境 行业 法规和经营状况不断变化 需 要一个确认和处理与这些变化相关风险的机制 风险识别和评估的 前提是使经营目标在不同层次上相互衔接 保持一致 立信永华对南京风险管理的评价从以下三个方面进行 1 风险管理体系 2 经营管理活动风险识别与评估 3 风险控制 一 南京银行的风险管理体系总体比较健全 13 40 南京银行根据自身现状和所处经营环境 确定了风险管理模式 自 2004 年起开始建设全面风险管理体系 截至 2008 年底 南京银 行已建立了包含市场风险 信用风险 操作风险 流动性风险 法 律合规风险和声誉风险在内的统一风险管理体系 在确保南京银行 面临的主要风险可以得到识别的基础上 风险管理基本覆盖全行各 项管理 业务活动 南京银行以风险管理的政策体系 组织体系 制度体系 监测体系和报告体系等体系性建设工作为框架 开展各 项风险管理工作 1 南京银行制订了明确和适用的风险管理政策 2007 年 南京银行发布了最新的风险管理政策 包括总体风险 管理政策和市场风险 信用风险 操作风险 流动性风险 法律与 合规风险等各项风险管理政策 南京银行的风险管理政策符合现行 法律法规和监管的要求 基本体现对侧重控制类型风险的监测与控 制 并突出了南京银行自身经营的特点 是指导南京银行开展风险 管理的纲领 南京银行的风险管理政策确定了各项风险管理的职责界面 管 理策略 控制要点 内外部审计内容 报告关系 人力资源要求及 其它相关内容 2 南京银行的风险管理组织职能划分清晰 南京银行风险管理的组织职能划分是清晰的 风险管理由董事 会 高级管理层 归口管理部门和风险条线管理部门 及业务部门 和分支机构等各级机构组成 监事会对风险管理工作情况进行监督 但南京银行在风险管理的岗位设置和风险管理岗位的履职情况方面 存在不足 如总部国际业务部的风险控制岗长期空岗 风险控制岗 对相关业务的审核职能未能履行 14 40 南京银行并未实施真正意义上的风险控制垂直管理 南京银行 的各分行和中心支行的风险控制人员名义上是总行派驻的 但是风 险控制人员不接受总行直接垂直管理 不对总行风险控制部负责 而是接受分支行的直接管理 二 经营管理活动风险识别与评估 1 南京银行建立了较为完备的风险指标体系 南京银行对信贷资产和非信贷资产 包括债券资产 固定资产 等 的风险进行了详细地界定与分类管理 并制订了相关管理制度 2007 年 南京银行建立了风险监测指标体系 南京银行的风险 监测指标体系分为市场风险 信用风险 流动性风险 操作风险 法律合规风险及补偿指标六类 南京银行的风险监测指标体系涵盖 银监会要求的风险监管核心指标 同时根据自身经营的特点和需要 增加了一些必要和有效的风险监测指标 南京银行的风险监测指标体系较为系统和全面 与目前的经营 现状基本相适应 但仍需根据经营管理的要求 不断调整和完善风 险监测指标体系 截至 2008 年 南京银行已经确定了部分风险监 测指标的监管阈值 其他风险监测指标尚待研究和确定阈值 如南 京银行在 风险监测报告 2008 年实施要点 中对流动性风险指标 体系中的存贷款比例 最大十户存款比例没有确定监管阈值 南京银行在风险预测和风险指标分析方面有待加强 以指导南 京银行进行主动的风险防范 降低可能风险导致的损失 对经理级 别以上员工的问卷调查显示 38 0 的被调查对象认为南京银行缺 乏全面的风险分析程序 被调查总部员工中该比例更高 问卷调查 问卷调查 南京银行是否具备全面的风险分析程序 全部员工经理以上总部 15 40 是53 2 53 3 47 5 否40 8 38 0 45 4 其他6 0 8 7 7 1 此外 南京银行风险管理的量化监测方面还存在不足 在各项 业务的信息化管理系统中 应加强对风险指标的实时监测 2 南京银行初步建立授权管理机制和风险限额管理体系 南京银行按照 授权管理办法 对信贷审批等经营行为 实 行严格的授权与转授权管理机制 控制风险规模 为了加强对信用 市场和流动性风险管理 规划和建设风险限 额管理体系 南京银行于 2008 年颁布了 信用 市场 流动性风 险限额管理规程 试行 和 南京银行风险管理限额体系建设规 划 南京银行在风险限额管理中 运用风险计量方法对信用 市 场 流动性风险进行限额设定 分配 调整 监测预警 超限额处 理和报告 使信用 市场 流动性风险更加有效地控制在可以承受 的范围内 目前南京银行已经建立了主要信用 市场 流动性风险 指标的限额体系 3 南京银行不断优化和完善风险报告系统 南京银行已经建立了风险监测指标收集 处理分析 报告编制 反馈和建议 组织落实的一整套流程 初步设计了由风险承担部门 条线管理部门 风控归口部门 高级管理层 董事会等环节组成的 报告和反馈机制 2008 年 南京银行制定了 风险监测报告 2008 年实施要点 明确规定了对信用风险 市场风险 流动性风险 操作风险 法律 与合规风险的监测范围 监测频率及报送渠道 系统地 较为明确 地规范了全行的风险报告流程 4 南京银行逐步深化风险分析与预测工作 16 40 南京银行正在逐步开展风险测试工作 测试工作从重要业务开 始试点进行 针对性很强 2008 年 南京银行进行了市场风险压力 测试 房地产贷款压力测试 本币债券市场风险压力测试 和流动 性压力测试工作 南京银行的压力测试范围需要进一步扩展 同时 需要根据经营管理的需要引入其他综合性风险分析工具 如 VaR 经风险调整的资本收益率 RAROC 等 5 新产品风险识别与评估 南京银行开展了对新产品的风险识别与评估 主要内容是法律 与合规风险 操作风险的识别和评估 但南京银行缺少对新产品风 险评估的系统管理 新产品的风险识别与评估内容不够全面 三 风险控制 南京银行通过严格的资金头寸管理控制流动性风险 通过客户 准入政策 风险限额 信贷授权机制等手段控制信用风险的规模 通过综合管理塑造品牌声誉 控制声誉风险及可能引发的流动性风 险 操作风险被评估为南京银行最为主要的风险源 南京银行加强 对管理和业务活动的内部控制管理 实现对操作风险的控制 三 内部控制措施三 内部控制措施 一 运行控制 1 内控点的识别与控制 南京银行现有制度体系比较健全 覆盖范围基本包含了现有的 经营和管理活动 部分总行颁布的制度虽然作出了对管理和业务活 动的原则性指导 但还不能直接规范管理和业务活动的操作行为 需要基层机构根据管理和业务活动的实际情况 细化各项规章制度 17 40 南京银行在管理和业务流程建设方面 也还存在较大空白 对于一 些重要的管理和业务活动 还未能制订规范的工作流程 南京银行总行颁布的制度对大部分岗位的职责和工作内容进行 了明确规定 但未能涵盖全部岗位职责和工作内容 更缺乏对工作 流程的说明 而在内部控制管理中 工作流程是重要的工具 工作 流程将明确说明管理和业务活动的操作次序 操作内容 操作和控 制标准 相关责任岗位及各责任岗位的职责与权力 同时明确关键 内部控制管理点 缺少工作流程体系将使一些管理和业务活动在进 行内控管理时难以确定内控点和相关岗位 在内控责任处理时也难 以确定相关责任人 问卷调查显示 61 3 的被调查对象根据公司制度对岗位职责 工作内容和工作流程认知清晰 仍有 17 3 的被调查对象认为实际 工作与制度描述存在差异 20 1 的被调查对象认为制度只对岗位 职责 工作内容和工作流程进行了原则性的规定 需要依靠个人经 验和能力理解岗位职责 工作内容和工作流程 问卷调查 问卷调查 岗位职责 工作内容和工作流程认知度 全部员工 公司制度中都有明确描述 并在实际工作中按此进行61 3 实际工作与制度描述存在差异 但无论是本人还是上级和相 关人员都对此差异进行了确认 17 3 更多依靠个人经验和能力 制度进对此进行了原则性的规定20 1 工作程序 内容和职责都未在制度里体现1 3 问卷调查显示 63 9 的被调查对象认为南京银行对工作中的 关键控制点有明确规定 仍有认为 36 1 的被调查对象认为关键控 制点缺乏制度描述 总部员工反映该情况更为严重 问卷调查 问卷调查 员工对工作中的关键控制点认知度 全部员工总部分支行 公司制度里都有规定63 9 56 6 69 9 主要根据个人经验判断36 1 43 4 30 1 18 40 问卷调查 问卷调查 对可能造成重大影响的风险隐患 或者可能需要引 起最高管理层重视的机制 银行是否有较好的识别系统 全部员工总部分支行 是68 9 62 0 74 4 否26 7 31 7 22 7 其他4 4 6 3 2 8 问卷调查显示 南京银行对大部分管理和业务活动中可能导致 偏离内部控制政策和目标的环节通过书面制度建立了操作和控制标 准 在全部被调查对象中 13 8 的被调查对象认为仍存在对内控 点规范缺失的情况 总部员工反映该情况更为严重 问卷调查 问卷调查 对于可能导致偏离内部控制政策和目标的各类运行 情况 银行是否建立书面程序 并规定操作和控制标准 全部员工总部分支行 是86 2 81 0 90 4 有一些运行活动没有建立程序6 0 9 2 3 4 否7 8 9 9 6 2 问卷调查显示 76 6 的被调查对象认为南京银行采购或外包 的设施 设备 系统和服务中已识别的风险 已建立了控制程序 2 计算机系统内控管理 对部分业务活动 南京银行已经采用计算机应用系统开展内部 控制管理 主要包括 综合业务系统 信贷管理系统 小企业授信 评核决策系统 信贷客户基础数据库 个人信用信息基础数据库 房产抵押网上申报系统 个人抵押物电子估价系统 联网核查公民 身份信息系统 商业汇票交易管理系统等 3 内控措施 南京银行运行的内部控制主要包括以下内容 授信内部控制 资金业务内部控制 存款和柜台业务内部控制 反洗钱内部控制 关联交易内部控制 中间业务内部控制 会计内部控制 计算机信 息系统内部控制等 19 40 南京银行采用各项可行的措施 开展内部控制活动 主要手段 包括 审批与授权 验证与核实 行为控制 兼容岗位的适当分离 等 问卷调查 问卷调查 南京银行内部控制措施手段 内控措施内控措施采用率 高层检查71 8 行为控制84 6 风险暴露限制的审查82 7 审批与授权93 8 验证与核实86 1 兼容岗位的适当分离84 1 二 计算机系统环境下的控制 南京银行的计算机系统环境控制包括设备维护内控管理 系统 软件开发与维护内控管理 应用软件开发维护内控管理及网络管理 包括机房管理 设备维护按照 南京银行计算机设备维护管理办 法 进行内控管理 系统软件开发与维护按照 南京银行业务应用 系统开发维护管理办法 进行内控管理 系统参数修改和数据库结 构变更等行为都在严格的审批后进行 南京银行开展计算机系统的 实时监控 对业务数据实施数据级备份 但需要建立远端备份系统 以提高系统的可靠性 此外 南京银行的信息系统通过管理日志系 统和审计系统监督信息系统人员的操作 系统网络和机房按照 办 公网络管理规定 和 机房管理规定 进行内控管理 南京银行根据各项应用系统操作管理办法对应用系统的操作进 行内控管理 对应用参数修改 数据修改等行为实施严格的行长审 批制 三 应急准备与处置 2008 年 南京银行制订 应急预案体系建设规划及 2008 年实 施要点 规范了应急预案体系内容 制订建设规划 南京银行现有 20 40 应急预案包括 流动性风险应急预案 草案 业务系统突发事 件手工应急预案 突发经济安全 恐怖袭击等社会安全事务应急 处置预案 重要信息系统突发事件应急处置预案 支付清算系 统危机处置实施方案 联网核查公民身份信息系统突发事件应急 处置实施办法 部分人员集体辞职应急预案 个人理财业务应 急预案 并制定了 突发金融风险处置办法 四 监督评价与纠正四 监督评价与纠正 一 内部控制绩效监测 2008 年 南京银行制定了 内部控制检查责任制 试行 按照 谁管理 谁检查 谁检查 谁负责 谁的隐患谁整改 的原则 开展各级机构的内控检查工作 总行风险控制部为全行内部控制检 查的归口管理部门 各分行 中心支行 风险管理部为本层级内部 控制检查的归口管理部门 条线管理部门负责制定 完善本条线内 部控制检查管理制度并组织实施 南京银行的各级风险管理部门 内控条线管理部门于年度末制订下一年度的内控检查计划 经本级 各级风险管理部门汇总 报批后执行 南京银行审计稽核部作为内 控管理的第三道防线 对全行的内控运行情况进行内部审计 但是 南京银行的内部控制检查机制缺少整体性管理 没有自 上而下地将内控检查工作分解到各条线管理部门 条线管理部门只 是针对本条线内部控制薄弱环节及风险易发环节来有针对性地制定 检查计划 此外 南京银行对一些风险较大部门的内控检查不够 如国际 业务部权限较大 但是在访谈和资料审阅中 立信永华发现 在 2005 年到 2008 年期间 总行只在国际业务部负责人离任时 才对 该部门进行了一次内审 21 40 最后 风险控制部对内控检查的实际执行情况还有待提高 2008 年内控检查计划完成 46 项 总行各条线管理部门有 4 项检查 计划尚未完成 二 违规 险情 事故处置和纠正及预防措施 审计稽核部经过内部审计 发现了内部控制上出现的问题 并 及时向管理层通过内审报告的形式进行了汇报 内审报告指出了问 题 但对于发现的问题主要停留在形成原因的表面 还需进一步深 入分析产生该问题的管理原因 此外 南京银行问责制没有真正实施 通过访谈和调查问卷发 现 由于大多数管理和业务活动的流程不够清晰 风险控制节点不 够明确 不能将风险控制点和岗位相对应 风险出现后 查找不到 相应的责任负责人 导致了在内审和检查中发现的大多数问题难以 进行考量 无法真正实施问责制 三 内部控制体系评价 2007 年内部控制体系评价工作由总行风险控制部负责 2008 年起 此工作移交总行审计稽核部 目前 审计稽核部作为全行内 部控制监督 评价的主要部门 已按照有关要求开展对内部控制体 系的健全性和有效性及制度执行情况的评价工作 2008 年南京银行 内部控制的自我评估报告 按照 商业银行 内部控制指引 及 商业银行内部控制评价试行办法 对全行的内 部控制体系实施了评价 评价内容基本完整 四 管理评审 2008 年 董事会增设了审计委员会 以加强对内部控制制度 审计制度的建立及实施情况的检查 监督等 审计委员会在一定程 度上较好的发挥了所承担的决策职能 22 40 五 信息交流与反馈五 信息交流与反馈 一 交流与沟通 南京银行已建立了董事会与专业委员会 董事会与管理层之间 的信息沟通机制 建立了一套运营会议制度 董事会 监事会及下 设的各专门委员会定期或不定期召开各项会议 听取管理层的经营 分析汇报 责成有关部门提交书面报告或以实地调研方式检查监督 内部控制体系的运行情况 南京银行管理信息系统平台已基本搭建完成 依托信息共享平 台 搭建了电子公文系统 发文借阅系统 电子邮件系统 业务园 地和员工心声等多个行内信息交流平台 可将全行各类经营数据 财务数据 网点财务报表等以报告形式传递到不同的管理层级 在 对外信息披露方面 南京银行制定了 南京银行股份有限公司信息 披露管理制度 确保股东 监管机构和社会公众及时 准确了解 其经营信息 制定了 南京银行股份有限公司年度报告编制实施办 法 等 实现了信息披露工作的规范化 提高了公司治理的透明度 南京银行保证了信息分析深度与质量 但在多数情况下 没有 明确例外情况的汇报机制 立信永华从收回的调查问卷发现 仅有 15 1 的被调查对象认为在工作上遇到例外的情况公司有明确的渠 道沟通 您与上级领导 相关部门和下属的信息沟通情况 23 40 19 6 65 3 15 1 0 20 40 60 80 在工作中遇到例外的情 况公司有明确的渠道沟 通 目前交换的相关信息都 进行适当的汇总和提 炼 可满足进一步详查 的需要 只是按要求交换相关的 资料和文件 目前的报 告仅仅是数据与资料的 堆砌 目前 南京银行对于信息的获取和及时反应需进一步的改进 仅 17 6 的被调查对象认为对于目前的信息加工与分析很满意 57 5 的被调查对象认为能够满足日常工作要求 17 3 的被调查 对象认为还有许多工作需要改进 您认为目前贵部门是否能够及时获取和传递信息 以利于有效监控有关事件和活动 内部和外部 并对 经济 行业因素和控制问题迅速做出反应 17 6 57 5 17 3 7 5 目前的管理工作非常出 色 目前的管理工作能够满 足日常工作的需要 目前的管理工作在局部 方面还有缺陷 目前的管理工作还需要 进行许多改进 二 内部控制体系对文件的要求 南京银行颁布了 内部规章制度管理办法 试行 规定了南京 银行的制度分类标准和适用条件 明确了相关部门对各级 各类制 度的管理范围 以及制度计划 制度起草 制度审查 制度审批与 颁行 制度解释的职责界定 南京银行大力推进内控体系建设 坚 持持续改进 利用内控体系建设进行规范化管理 确保南京银行年 24 40 度经营目标 风险管理和内控管理目标的实现 现有制度体系比较 健全 覆盖范围基本包含了现有的经营和管理活动 自 2006 年起 南京银行开始编制 内控手册 截至 2008 年底 南京银行已经对 内控手册 进行了多次的修改和补充 但通过访谈和查阅资料 立信永华发现 南京银行虽然编制了 内控手册 建立了初步的内控制度体系 并制定了 内部控制 体系框架与要求 但 内控手册 本质是一部业务和管理制度 流程汇编 而 内部控制体系框架与要求 只是 商业银行内部控 制评价试行办法 和 商业银行内部控制指引 的引用 并不是符 合南京银行自身特点的完整内部控制制度体系 南京银行的制度建 设工作还缺少对内控监督检查结果的深入分析 以及在此工作基础 上进行的有针对性 综合性 前瞻性的总体管理 在管理和业务流 程的建设方面 存在缺位的领域 对于一些重要的业务活动 未能 通过建立流程明确操作次序和各相关岗位的职责和权利 未能对内 部控制体系中的内控组织 内控流程 风险识别 内控体系评估和 反馈等各要素及其相互作用关系描述清楚 三 文件控制 南京银行对制度文件进行了统一存放 方便了整个银行对于各 类制度文件的获取 但目前缺乏一个有效的分类维护程序和查询工 具 使得对制度文件的检索不够方便快捷 调查问卷发现 73 7 的被调查对象认为银行文件查询是方便的 另有 26 3 的被调查对 象认为不方便 四 记录控制 25 40 南京银行采用书面形式对内部控制相关活动中所涉及记录进行 了标识 生成 贮存 保护和处置 内部控制记录保持清晰 易于 识别和检索 26 40 第三部分第三部分 内部控制执行有效性评价内部控制执行有效性评价 一 一 内控执行情况总体评价内控执行情况总体评价 南京银行在内部控制执行上总体尚好 目前没有出现由操作风 险引发的大案 但通过访谈和资料查阅 立信永华认为南京银行内 控执行的潜在风险并不小 主要体现在如下几方面 一 柜员违规操作现象较多 在审计稽核部的专项审计 光华支行的例行检查中 均发现柜 员违规行为 包括当班期间为自己办理对私业务 从行内领入现金 未经复点就整捆或部分对外支付 假币上交不及时 柜员间调拨现 金不规范等等 二 客户经理存在部分违规现象 在上海分行的合规检查中 发现不少客户经理不合规操作的现 象 包括在质押贷款业务中 档案材料没有可以证明质押物为出质 人所有的相关证明 包括购销合同 增值税发票等 在合同等法律 文件的填写环节存在不规范 不完整甚至前后矛盾 三 离任员工的贷款清理和权限清理问题较多 而且处罚措施不 强 在访谈和资料查阅中 立信永华了解到对离任员工执行违规的 处理情况较为薄弱 比如在审计稽核部的专项审计中发现存在部分 离行员工信易贷授信额度未取消 信易贷贷款未归还并且没有转为 综合消费贷款 离行员工在综合业务系统中的柜号代号未被删除等 情况 但是整改建议是仅仅是对发现的问题进行清理 没有按制度 追究 四 信贷管理上存在问题较多 27 40 在内审资料查阅中 立信永华了解到 南京银行在信贷管理 尤其是贷后管理上有待加强 在信贷操作上不够规范 比如对借款 人基础资料收集不够完整 对贷款用途的审核不够严格 对信贷规 范化文本要素的填写不够规范等 在贷后管理上力度不够 比如全 面监测报告内容过于简单 对贷款用途的监控不够深入 个别公司 贷款监测报告内容与实际情况有出入 贷款用途监督单记录不全 未完整反映贷款资金的流向等 在对南京银行 2008 年报审计中 立信永华审查到一些贷款方 面的问题 如贷款中存在子公司为母公司担保的情况 贷前调查 贷后跟踪调查均由信贷员独立完成 没有第三人核实监督等 二 抽样测试及结果分析二 抽样测试及结果分析 一 抽样方法 本次工作依据内控测试方案中所确定的工作方法进行 采用随 机抽取的方式 取得所抽取业务的相关档案和凭证单据 再根据南 京银行 内控手册 中有关制度规定 以及该业务审批流程及权限 对所抽样本的内控执行情况进行测试 由于立信永华无法获取各业务期间存入电脑的数据 网上操作 及授权的流程 只能对已存档的书面资料进行查阅和访谈 所以本 次抽样结果所评价的内控执行有效性 仅包括对抽样业务所留存的 书面资料是否遵循银行规章制度 以及是否有合规完整的书面签字 和盖章等 二 测试结果 1 对公贷款业务 检测依据为 南京市商业银行信贷管理办法 等相关制度 大 部分业务均未发现与制度不符的地方 存在的问题有 28 40 1 1 笔业务在档案移交时 没有签字和盖章 2 对私贷款业务 检测依据为 南京市商业银行个人住房贷款管理办法 试行 关于调整我行个人贷款业务有关规定的通知 南京市商业银行 个人综合消费贷款实施意见 南京市商业银行个人综合消费贷款管 理办法 试行 等制度 大部分业务未发现与制度不符的地方 存 在的问题主要有 1 5 笔业务缺少个人征信授权书 2 5 笔业务缺少资产状况证明 3 1 笔业务缺少借款人收入证明 4 5 笔业务缺少自筹资金缴付证明 3 存款业务 检测依据为 南京市商业银行储蓄业务管理暂行办法 南京 市商业银行单位通知存款管理暂行办法 等制度 未发现与制度不 符的地方 4 梅花贷记卡业务 检测依据为 梅花贷记卡 个人卡 审批实施细则 试行 等 相关制度 存在的问题较多 主要有 1 全部业务单据缺少 原件已核 的手续签字或盖章证明 2 2 笔业务单据缺少 账号已核 的手续签字或盖章证明 3 14 笔业务档案缺少收入证明 4 18 笔业务单据缺少审批人意见 签字 盖章 5 1 笔业务审核意见为不发卡但仍下发了卡号 6 1 笔业务缺少支行初审意见 7 1 笔业务缺少支行初审 复审和审批人意见 签字 盖章 29 40 但仍下发了卡号 8 1 笔业务档案中身份证复印件为假 5 进口跟单信用证业务 检测依据为 南京市商业银行进口跟单信用证业务管理办法 等相关制度 其中 存在的问题主要有 1 全部出账通知书中 出账信息栏显示的出账年利率错误 2 全部业务缺少国际业务部风控岗审核意见 3 1 笔业务出账通知书中 授信余额显示为 0 000000 而 实际该公司已签订年 2 亿美元的授信总额度 且未用完 6 贴现业务 检测依据为 南京市商业银行商业汇票业务管理暂行办法 等 相关制度 基本未发现与制度不符的地方 存在的问题主要是合同 的填写不规范 包括 1 所有档案都没有填写合同号 2 新港支行 钟山支行等贴现业务审批意见书合同封面未按 要求填写支行联系电话和日期 三 结果分析 通过上述测试 立信永华认为 南京银行的业务总体执行情况 较为良好 存在的主要问题是资料缺失和合同填写不规范 在进口 跟单信用证业务的相关制度里 要求有国际业务部风控岗的审核意 见 但国际业务部并未设置该岗位 信用卡业务的内部控制执行情 况问题较多 体现在未按制度要求执行审批流程 缺失要件资料 对资料的真实性审查不足等 三 内控执行问题原因分析三 内控执行问题原因分析 南京银行在内控执行方面的问题有两点原因 30 40 一 员工对本岗位内控风险点缺乏认知 南京银行缺乏相应的内控培训机制 导致相关人员不了解其岗 位有关的风险点和内控点 没有按照内控制度去执行业务 比如在 上海分行去年的合规检查中 出现了有客户经理由于不熟悉制度流 程 未按照相关规定及合同本身的约定进行规范 完整填写的情况 二 员工主观上对内部控制不重视 南京银行对内控文化不够重视 同时对内控执行的奖惩力度不 够 使得相关员工虽然了解内控制度 但却不按制度执行 或者违 反制度 比如在多份内部审计报告中均提到普遍存在柜员的违规问 题 31 40 第四部分第四部分 内部控制管理建议内部控制管理建议 立信永华在第四部分的一览表中对所提出建议的性质和改进的 优先顺序进行了汇总 改进的优先顺序分为高 中 低三档 高高 对重大控制缺陷的建议 这些控制问题可能给南京银行 带来重大操作 法律和合规 声誉风险和 或导致出现重 大错误 因而 这些控制问题应立即予以解决 中中 对较为重大控制缺陷的建议 这些较为重大控制缺陷 如不加以改进将可能导致工作较为重大错误和 或导致合 规或声誉风险 因此 只要资源能力允许这些控制缺陷 就应尽快解决 低低 对相关影响程度较低的控制缺陷的建议 这些缺陷主要 是有悖最佳操作原则和可能导致效率低下的做法 它们 不太可能导致南京银行出现重大错误 这些缺陷应在时 机恰当条件允许的时候及时予以解决 一 内部控制管理建议一览表一 内部控制管理建议一览表 32 40 编号编号建议建议优先顺序优先顺序 1 内部控制环境 内部控制环境 组织结构组织结构 1 1 建议将总行的业务管理职能和业务执行职能分离 设立南京分 行 高 1 2建议梳理分行人事授权高 1 3建议梳理支行的现有定位高 1 4建议梳理总行高管人员业务分工中 1 5 建议按照业务条线对总部部门进行梳理 重新分配各部门责 权 利 高 1 6建议设立独立的法律合规部中 企业文化企业文化 1 7 加强内控文化宣传 强化内控文化 增强员工的内控意识和责 任 宣传法律法规 监管要求 积极开展内控培训 中 1 8建议梳理内控管理条线关系 明确各级机构的内控管理职能高 2 风险识别与评估 风险识别与评估 风险管理体系风险管理体系 2 1建议实施风险控制的垂直化管理中 风险识别与评估风险识别与评估 2 2建议持续调整和丰富风险指标体系内容高 2 3建议完善和调整风险指标阈值中 2 4建议进行风险预测和风险指标的深入分析中 2 5建议利用信息化系统 加强风险指标的实时监测中 2 6建议平衡业务发展和风险管理之间的关系中 2 7建议扩展风险压力测试范围中 2 8建议完善新产品风险识别与评估体系中 3 内部控制措施 内部控制措施 运行控制运行控制 3 1明确内控点和相关岗位职责高 计算机系统环境下的控制计算机系统环境下的控制 3 2 建设远端备份系统 加强系统和应用层的操作控制 加强计算 机系统安全管理 中 4 监督评价与纠正 监督评价与纠正 内部控制绩效监测内部控制绩效监测 4 1建议制定全行内控检查目标并分解下达低 违规 险情 事故处置和纠正及预防措施违规 险情 事故处置和纠正及预防措施 33 40 编号编号建议建议优先顺序优先顺序 4 2建议优化内审报告中建议的有效性和可操作性中 4 3建议严格实施问责制管理高 5 信息交流与反馈 信息交流与反馈 内部控制体系对文件的要求内部控制体系对文件的要求 5 1建议建立完整的内部控制体系及编制相关内部控制文件高 34 40 二 内部控制管理建议二 内部控制管理建议 一 内部控制环境 1 建议将总行的业务管理职能和业务执行职能分离 设立南京 分行 南京银行应在条件成熟时成立南京分行 将总行现有的业务执 行职能剥离 下放到南京分行 南京分行统一管理南京地区的所有 中心支行和支行的相关业务 而总行只行使对各业务的管