南京银行
内部控制评价报告
20##年3月
南京立信永华会计师事务所
目 录
第一部分 概况... 2
一、评价范围... 2
二、评价依据... 2
三、评价过程与评价方法... 2
四、内部控制总体评价... 5
五、内部控制评价报告的使用... 6
第二部分 内部控制体系有效性评价... 7
一、内部控制环境... 7
二、风险识别与评估... 12
三、内部控制措施... 16
四、监督评价与纠正... 20
五、信息交流与反馈... 21
第三部分 内部控制执行有效性评价... 25
一、内控执行情况总体评价... 25
二、抽样测试及结果分析... 26
三、内控执行问题原因分析... 28
第四部分 内部控制管理建议... 30
一、内部控制管理建议一览表... 31
二、内部控制管理建议... 33
第一部分 概况
南京立信永华会计师事务所有限公司(以下简称“立信永华”)接受委托,对南京银行股份有限公司(以下简称“南京银行”)内部控制进行总体评价,并提供本评价报告。
一、评价范围
本次内部控制评价范围包括南京银行内部控制体系和内部控制执行情况。
本报告对南京银行内部控制体系的评价,是对内部控制体系整体的评价,并不是针对所有内部控制的审核,也不是专为发现内部控制缺陷、欺诈及舞弊而进行的。
由于任何内部控制均具有固有限制,存在由于错误或舞弊而导致内控失效未被发现的可能性。此外,根据内部控制评价结果推测未来内部控制有效性具有一定的风险,因为情况的变化可能导致内部控制变得不恰当,或降低对控制政策、程序的遵循程度。因此,在本期有效的内部控制,并不保证在未来也必然有效。
二、评价依据
立信永华对南京银行内部控制体系的评价是参照20##年银监会颁布的《商业银行内部控制指引》、20##年银监会颁布的 《商业银行内部控制评价试行办法》的要求,从内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五个方面,对南京银行现有内部控制体系进行评价。对南京银行内部控制执行的评价是参照南京银行相关内部制度和授权要求进行的。
三、评价过程与评价方法
本次内部控制评价分为以下阶段进行:
(一)内部控制体系评价阶段
主要采用的方法是对各类制度文件和资料进行分析研究、对南京银行高级管理层、总部主要部门领导和部分分支行主要领导进行访谈,以及发放调查问卷等。
1、书面资料分析研究
对南京银行内部控制制度和文件等资料进行研究,分析南京银行内部控制体系的充分性、合规性、有效性和适宜性。
2、访谈
对南京银行的高级管理层、总部主要部门领导,及部分分支行主要领导进行了访谈。访谈对象包括:
3、问卷调查
问卷对南京银行内部控制体系现状进行调查,发放范围与数量如下:
发放调查问卷的总部部门包括:计划财务部、营运管理部、风险控制部、审计稽核部、公司业务部、个人业务部、国际业务部、信贷管理部、信息技术部、电子银行部、安全保卫部、特殊资产经营中心;发放问卷的分支行机构及直属经营机构包括:上海分行、总行营业部、鸡鸣寺支行、新街口支行、城北支行、夫子庙支行、大行宫支行、建邺支行、城东支行、洪武支行、光华支行。
(二)内部控制执行情况评价阶段
主要采用的方法是对各类书面资料进行分析研究、对南京银行高级管理层、总部主要部门领导和部分分支行主要领导进行访谈,以及业务抽样测试等。
1、书面资料分析研究
对南京银行相关部门的内控检查报告、合规检查报告、专项审计报告等进行研究,分析各业务内部控制执行情况。
2、访谈
与内部控制体系评价访谈一并进行,访谈对象相同。
3、抽样测试
采用抽样测试的方式,对南京银行经营业务的内控实施与运营情况进行定量和定性的分析。抽取7家支行、上海分行和总行营业部作为测试对象;每家单位抽取若干业务进行测试,测试对象、测试业务和测试样本数量见下表:
四、内部控制总体评价
立信永华对南京银行执行了内部控制评价的相关程序,认为目前南京银行的内部控制总体处于良性状态:
(一)南京银行的内部控制环境相对良好 ,但内部控制政策和目标缺乏针对性,总行、分支行定位不够清晰,总行部门存在责、权、利不匹配的问题;
(二)南京银行的风险管理体系基本适应经营发展现状、涵盖各项风险类别。管理层对于南京银行面临的主要风险十分关注,尤其重视对操作风险的控制。但在风险指标体系建设,以及新产品风险识别与评估等方面,还需要不断完善与调整;
(三)南京银行已建成一套贯穿整个银行的内部控制体系和一套基本覆盖各项管理和业务活动的制度、流程体系。但内控职能界定尚不十分明晰,制度与流程建设的管理缺少综合性与前瞻性,内控文化不强,员工的内控执行力相对不高,内控体系的循环建设机制也有待加强;
(四)南京银行的信息与沟通机制目前基本能够满足银行的需要;
(五)南京银行的监督、评价和纠正体系目前基本建立,但与内部控制不断自我完善的要求尚存在差距;
(六)南京银行在内部控制执行上总体尚好,但潜在风险并不小。
五、内部控制评价报告的使用
本报告仅供南京银行及其管理层参考和使用。在未取得立信永华事先书面同意前,南京银行不得将其出具的报告或报告的影印本提供给任何第三方。立信永华将会酌情同意或拒绝出具书面同意。在任何情况下,立信永华都将不对使用或收到报告或报告的影印本的任何第三方承担任何义务或责任。
第二部分 内部控制体系有效性评价
以下的评价是对南京银行内部控制总体进行评价,并不包括对细节问题发现的论述。
一、内部控制环境
控制环境确定了整个银行的基调,直接影响员工的控制意识,该组成要素是其他内控要素的基础。
对南京银行“内部控制环境”的评估从以下七个方面进行:公司治理、董事会/监事会/高级管理层责任、内部控制政策、内部控制目标、组织结构、企业文化和人力资源管理。
(一)公司治理
南京银行建立并持续完善了以股东大会、董事会、监事会和高级管理层为核心的“三会一层”的公司治理组织结构,通过优化成员结构、制定议事规则和制度、完善决策程序,建立了职责明确、分权制衡、规范运作、科学合理的公司治理机制。董事会下设发展战略委员会、风险管理委员会、提名及薪酬委员会、关联交易控制委员会和审计委员会;监事会下设审计委员会和提名委员会。董事会办公室和监事会办公室负责“三会”日常事务。
南京银行目前已经按照监管相关要求,建立了一套完整的公司治理制度,包括《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、《董事会审计委员会工作细则》、《独立董事工作制度》等。
(二)董事会、监事会、高级管理层责任
《南京银行内部控制框架与要求》中对于董事会、监事会和高级管理层的职责做出了明确的划分,但立信永华从访谈和查阅相关文件中发现,目前董事会、监事会在内部控制上并未完全承担应有的职责,比如制定内部控制政策,以及对内部控制体系、内部控制制度等的审查、审批。
(三)内部控制政策
南京银行于20##年制订并颁布了《南京银行内部控制框架与要求》,其中对内部控制政策做出了明确说明。
(四)内部控制目标
《南京银行内部控制体系框架与要求》中提出了内部控制工作的目标和原则。立信永华认为南京银行的内部控制工作原则明确适用,但内部控制目标含糊,没有指出内部控制工作的根本目的。
根据回收的调查问卷发现,银行整体有超过25%的被调查对象在“对您的考核指标是否体现了银行的内部控制目标”中选择了“否”或“不清楚”。表明南京银行的内部控制目标还没有完全体现到业务中,或南京银行对内部控制目标宣传不够。
(五)组织结构
在内部控制组织体系方面,南京银行持续完善风险管理的组织架构,依据各项风险管理政策的规定和实际管理需要,不断推进风险管理组织体系的健全与完善。
但是通过访谈和调查问卷,立信永华发现南京银行在组织结构上还存在不少问题:
1、整体组织结构
(1)南京银行总行、分行和支行在职能和功能上定位不清晰
1)总行定位不清晰,目前实际上处于总行和分行之间。总行内部既存在资产、负债和中间业务等相关管理职能,又存在直接经营相关业务品种的执行职能,造成总行同时存在业务前台和中台,缺少各业务条线的纵向监督和制约,不符合内部控制管理要求。比如总行的个人业务部、公司业务部和国际业务部,既要履行对各业务的监督管理职能,同时又要具体负责各业务的运作。
2)南京银行各分行成立时间较短,在功能定位上不够清晰。总行对分行的管理更多的是依照对南京地区中心支行的管理方式,弱化了分行应有的权利,可能造成业务运作的不便。比如上海分行的组织结构和人员编制都是按照中心支行的要求设立的,没有考虑上海分行自身业务要求,上海分行缺乏自主的人力资源管理权限,存在人才短缺现象。
3)除中心支行外,其他支行在职能和功能定位上严重缺失。南京地区的支行基本不开展除负债之外的银行业务,资产和中间业务都需要上报中心支行,从而弱化了支行本应具备的网点功能,导致现有支行定位不够清晰,浪费了网点资源。
(2)总行高级管理层分工存在问题,尚需进一步明晰
高级管理层的分工存在职能管理和业务管理权限交叉的现象,导致分管部门的领导不管理部门中某项业务的情况,不利于整体内部控制。
(3)总行部分部门职责不清,权限不明,责、权、利不匹配
1)部门职能变更,职责梳理不够清晰,造成与其他部门职责、权限交叉。比如总部的营运管理部,由于是从原会计结算部转变而来,职责梳理不够清晰,造成其本身业务(IT设备的管理和综合柜员的管理)与信息技术部和人力资源部存在交叉。
2)部门职责不清,造成与其他部门职责、权限交叉。比如个人业务部只负责对个人产品进行营销,而产品设计、定价等权利都归其他部门所有。总行对个人业务部的业务职责界定不清,造成个人业务部在管理和运作个人业务时,与其他部门产生职责和权限交叉。
(4)总行部分部门设置有待改善
1)内部控制工作包括制定和编写内部控制体系,组织各个部门和分支机构制定和完善内部控制相关制度和内控检查,工作量非常大。而南京银行负责内控相关工作的是风险控制部门下面的二级部门,在人员和权限上都略显不足。
2)南京银行目前由法律事务部负责对法律风险的控制,但是该部门仅是风险控制部下的一个二级部门。随着南京银行业务的发展和跨区域经营的深入,相关的法律事务也将增多且愈来愈复杂,法律事务部作为一个二级部门难以承担相应职责。
2、内控组织结构
南京银行没有明确的内控组织职能划分,南京银行将内控管理与操作风险的管理结合的较为紧密,主要通过对操作风险的管理并结合对其他各项风险的管理建立内控管理组织体系。在高级管理层以下,南京银行的风险控制部负责制订风险管理政策,组织风险的识别、计量、监测和控制工作;各条线管理部门负责各自业务的风险识别、计量、监测和控制的制度与流程建设,并对本部门制定的制度和流程的执行与遵守情况进行检查、完善和汇报;其他部门和分支机构负责对制度和流程的执行工作,识别、监测、控制、检查、汇报本机构的各项风险。
(六)企业文化
南京银行的企业文化以“以变求新,以新求恒”的企业哲学和“造福社会,服务股东,服务大众”的企业使命为基础,提倡“坚忍不拔、傲然挺立、敢为天下先”的企业精神和“忠诚、主动、严谨、高效”的企业作风;遵循“创新、发展、诚信、协作”的核心价值观;倡导“预防、控制、化解、经营”的风险控制理念。南京银行对这些理念进行了详细的定义,通过员工手册、电子显示宣传屏、张贴标语、培训、会议等各种渠道进行有效宣讲。
但通过访谈,立信永华了解到,相对国有商业银行,南京银行的内控文化较弱,在经营管理中体现为重业务发展,轻内控管理,对内控、风险管理人员的激励性不强。
(七)人力资源管理
南京银行对机构设置、岗位设置、招聘、薪酬、培训、晋升、绩效考核等制定了较为详细的规定,针对不同类型的员工、不同层次的岗位制定了针对性的人力资源政策,并通过制度化的流程确保整个人力资源的操作按既定流程公正开展。
在人力资源考核制度方面,银行制定了《南京市商业银行中层管理人员考核管理办法》和《南京市商业银行行员考核管理办法》。
在培训制度方面,银行制定了《南京银行行员培训实施细则》,加强对员工的合规、内控和风险管理培训。但根据立信永华收回的调查问卷统计结果显示,总部员工接受内部控制培训并不充分,尤其是内部控制的理论方面。
最近半年您是否接受过内部控制方面的培训? 您接受过的内部控制培训主要包括?
随着跨区域进程加快和业务的迅速扩张,南京银行对于高素质人才的需求急剧增长。虽然已经采取了各类措施积极应对,但目前的状况难以在短时间内解决,南京银行将在较长时间内承受人力资源短缺的风险,尤其是上海分行,将面临新型业务高级人才短缺的风险。
二、风险识别与评估
南京银行的主要风险包括市场风险、信用风险、操作风险、流动性风险、法律合规风险和声誉风险。风险管理的主要内容包括:
1、进行风险识别,确定风险识别范围,并确定风险识别的方法。
2、对各种风险进行计量、测试和评估。
3、确定风险应对措施,并评估应对措施的执行效果。
由于银行所处经济环境、行业、法规和经营状况不断变化,需要一个确认和处理与这些变化相关风险的机制。风险识别和评估的前提是使经营目标在不同层次上相互衔接,保持一致。
立信永华对南京风险管理的评价从以下三个方面进行:
1、风险管理体系;
2、经营管理活动风险识别与评估;
3、风险控制。
(一)南京银行的风险管理体系总体比较健全
南京银行根据自身现状和所处经营环境,确定了风险管理模式,自20##年起开始建设全面风险管理体系。截至20##年底,南京银行已建立了包含市场风险、信用风险、操作风险、流动性风险、法律合规风险和声誉风险在内的统一风险管理体系。在确保南京银行面临的主要风险可以得到识别的基础上,风险管理基本覆盖全行各项管理、业务活动。南京银行以风险管理的政策体系、组织体系、制度体系、监测体系和报告体系等体系性建设工作为框架,开展各项风险管理工作。
1、南京银行制订了明确和适用的风险管理政策
20##年,南京银行发布了最新的风险管理政策,包括总体风险管理政策和市场风险、信用风险、操作风险、流动性风险、法律与合规风险等各项风险管理政策。南京银行的风险管理政策符合现行法律法规和监管的要求,基本体现对侧重控制类型风险的监测与控制,并突出了南京银行自身经营的特点,是指导南京银行开展风险管理的纲领。
南京银行的风险管理政策确定了各项风险管理的职责界面、管理策略、控制要点、内外部审计内容、报告关系、人力资源要求及其它相关内容。
2、南京银行的风险管理组织职能划分清晰
南京银行风险管理的组织职能划分是清晰的,风险管理由董事会、高级管理层、归口管理部门和风险条线管理部门,及业务部门和分支机构等各级机构组成,监事会对风险管理工作情况进行监督。但南京银行在风险管理的岗位设置和风险管理岗位的履职情况方面,存在不足。如总部国际业务部的风险控制岗长期空岗,风险控制岗对相关业务的审核职能未能履行。
南京银行并未实施真正意义上的风险控制垂直管理。南京银行的各分行和中心支行的风险控制人员名义上是总行派驻的,但是风险控制人员不接受总行直接垂直管理,不对总行风险控制部负责,而是接受分支行的直接管理。
(二)经营管理活动风险识别与评估
1、南京银行建立了较为完备的风险指标体系
南京银行对信贷资产和非信贷资产(包括债券资产、固定资产等)的风险进行了详细地界定与分类管理,并制订了相关管理制度。
20##年,南京银行建立了风险监测指标体系。南京银行的风险监测指标体系分为市场风险、信用风险、流动性风险、操作风险、法律合规风险及补偿指标六类。南京银行的风险监测指标体系涵盖银监会要求的风险监管核心指标,同时根据自身经营的特点和需要,增加了一些必要和有效的风险监测指标。
南京银行的风险监测指标体系较为系统和全面,与目前的经营现状基本相适应,但仍需根据经营管理的要求,不断调整和完善风险监测指标体系。截至20##年,南京银行已经确定了部分风险监测指标的监管阈值,其他风险监测指标尚待研究和确定阈值。如南京银行在《风险监测报告20##年实施要点》中对流动性风险指标体系中的存贷款比例、最大十户存款比例没有确定监管阈值。
南京银行在风险预测和风险指标分析方面有待加强,以指导南京银行进行主动的风险防范,降低可能风险导致的损失。对经理级别以上员工的问卷调查显示,38.0%的被调查对象认为南京银行缺乏全面的风险分析程序,被调查总部员工中该比例更高。
问卷调查:南京银行是否具备全面的风险分析程序?
此外,南京银行风险管理的量化监测方面还存在不足,在各项业务的信息化管理系统中,应加强对风险指标的实时监测。
2、南京银行初步建立授权管理机制和风险限额管理体系
南京银行按照《授权管理办法》,对信贷审批等经营行为,实行严格的授权与转授权管理机制,控制风险规模。
为了加强对信用、市场和流动性风险管理,规划和建设风险限额管理体系,南京银行于20##年颁布了《信用、市场、流动性风险限额管理规程(试行)》和《南京银行风险管理限额体系建设规划》。南京银行在风险限额管理中,运用风险计量方法对信用、市场、流动性风险进行限额设定、分配、调整、监测预警、超限额处理和报告,使信用、市场、流动性风险更加有效地控制在可以承受的范围内。目前南京银行已经建立了主要信用、市场、流动性风险指标的限额体系。
3、南京银行不断优化和完善风险报告系统
南京银行已经建立了风险监测指标收集、处理分析、报告编制、反馈和建议、组织落实的一整套流程,初步设计了由风险承担部门、条线管理部门、风控归口部门、高级管理层、董事会等环节组成的报告和反馈机制。
20##年,南京银行制定了《风险监测报告20##年实施要点》,明确规定了对信用风险、市场风险、流动性风险、操作风险、法律与合规风险的监测范围、监测频率及报送渠道,系统地、较为明确地规范了全行的风险报告流程。
4、南京银行逐步深化风险分析与预测工作
南京银行正在逐步开展风险测试工作,测试工作从重要业务开始试点进行,针对性很强。20##年,南京银行进行了市场风险压力测试(房地产贷款压力测试、本币债券市场风险压力测试)和流动性压力测试工作。南京银行的压力测试范围需要进一步扩展,同时需要根据经营管理的需要引入其他综合性风险分析工具,如VaR、经风险调整的资本收益率(RAROC)等。
5、新产品风险识别与评估
南京银行开展了对新产品的风险识别与评估,主要内容是法律与合规风险、操作风险的识别和评估。但南京银行缺少对新产品风险评估的系统管理,新产品的风险识别与评估内容不够全面。
(三)风险控制
南京银行通过严格的资金头寸管理控制流动性风险;通过客户准入政策、风险限额、信贷授权机制等手段控制信用风险的规模;通过综合管理塑造品牌声誉,控制声誉风险及可能引发的流动性风险。
操作风险被评估为南京银行最为主要的风险源,南京银行加强对管理和业务活动的内部控制管理,实现对操作风险的控制。
三、内部控制措施
(一)运行控制
1、内控点的识别与控制
南京银行现有制度体系比较健全,覆盖范围基本包含了现有的经营和管理活动。部分总行颁布的制度虽然作出了对管理和业务活动的原则性指导,但还不能直接规范管理和业务活动的操作行为,需要基层机构根据管理和业务活动的实际情况,细化各项规章制度。南京银行在管理和业务流程建设方面,也还存在较大空白,对于一些重要的管理和业务活动,还未能制订规范的工作流程。
南京银行总行颁布的制度对大部分岗位的职责和工作内容进行了明确规定,但未能涵盖全部岗位职责和工作内容,更缺乏对工作流程的说明。而在内部控制管理中,工作流程是重要的工具,工作流程将明确说明管理和业务活动的操作次序、操作内容、操作和控制标准、相关责任岗位及各责任岗位的职责与权力,同时明确关键内部控制管理点。缺少工作流程体系将使一些管理和业务活动在进行内控管理时难以确定内控点和相关岗位,在内控责任处理时也难以确定相关责任人。
问卷调查显示,61.3%的被调查对象根据公司制度对岗位职责、工作内容和工作流程认知清晰,仍有17.3%的被调查对象认为实际工作与制度描述存在差异,20.1%的被调查对象认为制度只对岗位职责、工作内容和工作流程进行了原则性的规定,需要依靠个人经验和能力理解岗位职责、工作内容和工作流程。
问卷调查:岗位职责、工作内容和工作流程认知度
问卷调查显示,63.9%的被调查对象认为南京银行对工作中的关键控制点有明确规定,仍有认为36.1%的被调查对象认为关键控制点缺乏制度描述,总部员工反映该情况更为严重。
问卷调查:员工对工作中的关键控制点认知度
问卷调查:对可能造成重大影响的风险隐患,或者可能需要引起最高管理层重视的机制,银行是否有较好的识别系统?
问卷调查显示,南京银行对大部分管理和业务活动中可能导致偏离内部控制政策和目标的环节通过书面制度建立了操作和控制标准,在全部被调查对象中,13.8%的被调查对象认为仍存在对内控点规范缺失的情况,总部员工反映该情况更为严重。
问卷调查:对于可能导致偏离内部控制政策和目标的各类运行情况,银行是否建立书面程序,并规定操作和控制标准?
问卷调查显示,76.6%的被调查对象认为南京银行采购或外包的设施、设备、系统和服务中已识别的风险,已建立了控制程序。
2、计算机系统内控管理
对部分业务活动,南京银行已经采用计算机应用系统开展内部控制管理,主要包括:综合业务系统、信贷管理系统、小企业授信评核决策系统、信贷客户基础数据库、个人信用信息基础数据库、房产抵押网上申报系统、个人抵押物电子估价系统、联网核查公民身份信息系统、商业汇票交易管理系统等。
3、内控措施
南京银行运行的内部控制主要包括以下内容:授信内部控制、资金业务内部控制、存款和柜台业务内部控制、反洗钱内部控制、关联交易内部控制、中间业务内部控制、会计内部控制、计算机信息系统内部控制等。
南京银行采用各项可行的措施,开展内部控制活动,主要手段包括:审批与授权、验证与核实、行为控制、兼容岗位的适当分离等。
问卷调查:南京银行内部控制措施手段
(二)计算机系统环境下的控制
南京银行的计算机系统环境控制包括设备维护内控管理、系统软件开发与维护内控管理、应用软件开发维护内控管理及网络管理(包括机房管理)。设备维护按照《南京银行计算机设备维护管理办法》进行内控管理。系统软件开发与维护按照《南京银行业务应用系统开发维护管理办法》进行内控管理,系统参数修改和数据库结构变更等行为都在严格的审批后进行。南京银行开展计算机系统的实时监控,对业务数据实施数据级备份,但需要建立远端备份系统以提高系统的可靠性。此外,南京银行的信息系统通过管理日志系统和审计系统监督信息系统人员的操作。系统网络和机房按照《办公网络管理规定》和《机房管理规定》进行内控管理。
南京银行根据各项应用系统操作管理办法对应用系统的操作进行内控管理,对应用参数修改、数据修改等行为实施严格的行长审批制。
(三)应急准备与处置
20##年,南京银行制订《应急预案体系建设规划及20##年实施要点》,规范了应急预案体系内容,制订建设规划。南京银行现有应急预案包括:《流动性风险应急预案(草案)》、《业务系统突发事件手工应急预案》、《突发经济安全、恐怖袭击等社会安全事务应急处置预案》、《重要信息系统突发事件应急处置预案》、《支付清算系统危机处置实施方案》、《联网核查公民身份信息系统突发事件应急处置实施办法》、《部分人员集体辞职应急预案》、《个人理财业务应急预案》,并制定了《突发金融风险处置办法》。
四、监督评价与纠正
(一)内部控制绩效监测
20##年,南京银行制定了《内部控制检查责任制(试行)》,按照“谁管理、谁检查,谁检查、谁负责,谁的隐患谁整改”的原则开展各级机构的内控检查工作。总行风险控制部为全行内部控制检查的归口管理部门;各分行(中心支行)风险管理部为本层级内部控制检查的归口管理部门;条线管理部门负责制定、完善本条线内部控制检查管理制度并组织实施。南京银行的各级风险管理部门、内控条线管理部门于年度末制订下一年度的内控检查计划,经本级各级风险管理部门汇总、报批后执行。南京银行审计稽核部作为内控管理的第三道防线,对全行的内控运行情况进行内部审计。
但是,南京银行的内部控制检查机制缺少整体性管理,没有自上而下地将内控检查工作分解到各条线管理部门。条线管理部门只是针对本条线内部控制薄弱环节及风险易发环节来有针对性地制定检查计划。
此外,南京银行对一些风险较大部门的内控检查不够。如国际业务部权限较大,但是在访谈和资料审阅中,立信永华发现,在20##年到20##年期间,总行只在国际业务部负责人离任时,才对该部门进行了一次内审。
最后,风险控制部对内控检查的实际执行情况还有待提高。20##年内控检查计划完成46项,总行各条线管理部门有4项检查计划尚未完成。
(二)违规、险情、事故处置和纠正及预防措施
审计稽核部经过内部审计,发现了内部控制上出现的问题,并及时向管理层通过内审报告的形式进行了汇报,内审报告指出了问题,但对于发现的问题主要停留在形成原因的表面,还需进一步深入分析产生该问题的管理原因。
此外,南京银行问责制没有真正实施。通过访谈和调查问卷发现,由于大多数管理和业务活动的流程不够清晰,风险控制节点不够明确,不能将风险控制点和岗位相对应。风险出现后,查找不到相应的责任负责人,导致了在内审和检查中发现的大多数问题难以进行考量,无法真正实施问责制。
(三)内部控制体系评价
20##年内部控制体系评价工作由总行风险控制部负责,20##年起,此工作移交总行审计稽核部。目前,审计稽核部作为全行内部控制监督、评价的主要部门,已按照有关要求开展对内部控制体系的健全性和有效性及制度执行情况的评价工作。
20##年南京银行《内部控制的自我评估报告》按照《商业银行内部控制指引》及《商业银行内部控制评价试行办法》对全行的内部控制体系实施了评价,评价内容基本完整。
(四)管理评审
20##年,董事会增设了审计委员会,以加强对内部控制制度、审计制度的建立及实施情况的检查、监督等,审计委员会在一定程度上较好的发挥了所承担的决策职能。
五、信息交流与反馈
(一)交流与沟通
南京银行已建立了董事会与专业委员会、董事会与管理层之间的信息沟通机制,建立了一套运营会议制度。董事会、监事会及下设的各专门委员会定期或不定期召开各项会议,听取管理层的经营分析汇报,责成有关部门提交书面报告或以实地调研方式检查监督内部控制体系的运行情况。
南京银行管理信息系统平台已基本搭建完成。依托信息共享平台,搭建了电子公文系统、发文借阅系统、电子邮件系统、业务园地和员工心声等多个行内信息交流平台,可将全行各类经营数据、财务数据、网点财务报表等以报告形式传递到不同的管理层级。在对外信息披露方面,南京银行制定了《南京银行股份有限公司信息披露管理制度》,确保股东、监管机构和社会公众及时、准确了解其经营信息;制定了《南京银行股份有限公司年度报告编制实施办法》等,实现了信息披露工作的规范化,提高了公司治理的透明度。
南京银行保证了信息分析深度与质量,但在多数情况下,没有明确例外情况的汇报机制。立信永华从收回的调查问卷发现,仅有15.1%的被调查对象认为在工作上遇到例外的情况公司有明确的渠道沟通。
您与上级领导、相关部门和下属的信息沟通情况
目前,南京银行对于信息的获取和及时反应需进一步的改进。仅17.6%的被调查对象认为对于目前的信息加工与分析很满意,57.5%的被调查对象认为能够满足日常工作要求, 17.3%的被调查对象认为还有许多工作需要改进。
您认为目前贵部门是否能够及时获取和传递信息,以利于有效监控有关事件和活动(内部和外部),并对经济、行业因素和控制问题迅速做出反应?
(二)内部控制体系对文件的要求
南京银行颁布了《内部规章制度管理办法(试行)》,规定了南京银行的制度分类标准和适用条件,明确了相关部门对各级、各类制度的管理范围,以及制度计划、制度起草、制度审查、制度审批与颁行、制度解释的职责界定。南京银行大力推进内控体系建设,坚持持续改进,利用内控体系建设进行规范化管理,确保南京银行年度经营目标、风险管理和内控管理目标的实现。现有制度体系比较健全,覆盖范围基本包含了现有的经营和管理活动。自20##年起,南京银行开始编制《内控手册》,截至20##年底,南京银行已经对《内控手册》进行了多次的修改和补充。
但通过访谈和查阅资料,立信永华发现,南京银行虽然编制了《内控手册》,建立了初步的内控制度体系,并制定了《内部控制体系框架与要求》,但《内控手册》本质是一部业务和管理制度、流程汇编,而《内部控制体系框架与要求》只是《商业银行内部控制评价试行办法》和《商业银行内部控制指引》的引用,并不是符合南京银行自身特点的完整内部控制制度体系。南京银行的制度建设工作还缺少对内控监督检查结果的深入分析,以及在此工作基础上进行的有针对性、综合性、前瞻性的总体管理。在管理和业务流程的建设方面,存在缺位的领域,对于一些重要的业务活动,未能通过建立流程明确操作次序和各相关岗位的职责和权利,未能对内部控制体系中的内控组织、内控流程、风险识别、内控体系评估和反馈等各要素及其相互作用关系描述清楚。
(三)文件控制
南京银行对制度文件进行了统一存放,方便了整个银行对于各类制度文件的获取。但目前缺乏一个有效的分类维护程序和查询工具,使得对制度文件的检索不够方便快捷。调查问卷发现,73.7%的被调查对象认为银行文件查询是方便的,另有26.3%的被调查对象认为不方便。
(四)记录控制
南京银行采用书面形式对内部控制相关活动中所涉及记录进行了标识、生成、贮存、保护和处置。内部控制记录保持清晰、易于识别和检索。
第三部分 内部控制执行有效性评价
一、内控执行情况总体评价
南京银行在内部控制执行上总体尚好,目前没有出现由操作风险引发的大案,但通过访谈和资料查阅,立信永华认为南京银行内控执行的潜在风险并不小,主要体现在如下几方面。
(一)柜员违规操作现象较多
在审计稽核部的专项审计、光华支行的例行检查中,均发现柜员违规行为,包括当班期间为自己办理对私业务、从行内领入现金未经复点就整捆或部分对外支付、假币上交不及时、柜员间调拨现金不规范等等。
(二)客户经理存在部分违规现象
在上海分行的合规检查中,发现不少客户经理不合规操作的现象,包括在质押贷款业务中,档案材料没有可以证明质押物为出质人所有的相关证明,包括购销合同、增值税发票等;在合同等法律文件的填写环节存在不规范、不完整甚至前后矛盾。
(三)离任员工的贷款清理和权限清理问题较多,而且处罚措施不强
在访谈和资料查阅中,立信永华了解到对离任员工执行违规的处理情况较为薄弱。比如在审计稽核部的专项审计中发现存在部分离行员工信易贷授信额度未取消、信易贷贷款未归还并且没有转为综合消费贷款,离行员工在综合业务系统中的柜号代号未被删除等情况,但是整改建议是仅仅是对发现的问题进行清理,没有按制度追究。
(四)信贷管理上存在问题较多
在内审资料查阅中,立信永华了解到,南京银行在信贷管理,尤其是贷后管理上有待加强。在信贷操作上不够规范,比如对借款人基础资料收集不够完整,对贷款用途的审核不够严格,对信贷规范化文本要素的填写不够规范等。在贷后管理上力度不够,比如全面监测报告内容过于简单,对贷款用途的监控不够深入,个别公司贷款监测报告内容与实际情况有出入,贷款用途监督单记录不全,未完整反映贷款资金的流向等。
在对南京银行20##年报审计中,立信永华审查到一些贷款方面的问题。如贷款中存在子公司为母公司担保的情况;贷前调查、贷后跟踪调查均由信贷员独立完成,没有第三人核实监督等。
二、抽样测试及结果分析
(一)抽样方法
本次工作依据内控测试方案中所确定的工作方法进行,采用随机抽取的方式,取得所抽取业务的相关档案和凭证单据,再根据南京银行《内控手册》中有关制度规定,以及该业务审批流程及权限,对所抽样本的内控执行情况进行测试。
由于立信永华无法获取各业务期间存入电脑的数据、网上操作及授权的流程,只能对已存档的书面资料进行查阅和访谈,所以本次抽样结果所评价的内控执行有效性,仅包括对抽样业务所留存的书面资料是否遵循银行规章制度,以及是否有合规完整的书面签字和盖章等。
(二)测试结果
1、对公贷款业务
检测依据为《南京市商业银行信贷管理办法》等相关制度。大部分业务均未发现与制度不符的地方,存在的问题有:
(1)1笔业务在档案移交时,没有签字和盖章。
2、对私贷款业务
检测依据为《南京市商业银行个人住房贷款管理办法(试行)》、《关于调整我行个人贷款业务有关规定的通知》、《南京市商业银行个人综合消费贷款实施意见、《南京市商业银行个人综合消费贷款管理办法(试行)》等制度。大部分业务未发现与制度不符的地方,存在的问题主要有:
(1)5笔业务缺少个人征信授权书;
(2)5笔业务缺少资产状况证明;
(3)1笔业务缺少借款人收入证明;
(4)5笔业务缺少自筹资金缴付证明。
3、存款业务
检测依据为《南京市商业银行储蓄业务管理暂行办法》、《南京市商业银行单位通知存款管理暂行办法》等制度。未发现与制度不符的地方。
4、梅花贷记卡业务
检测依据为《梅花贷记卡(个人卡)审批实施细则(试行)》等相关制度。存在的问题较多,主要有:
(1)全部业务单据缺少“原件已核”的手续签字或盖章证明;
(2)2笔业务单据缺少“账号已核”的手续签字或盖章证明;
(3)14笔业务档案缺少收入证明;
(4)18笔业务单据缺少审批人意见、签字、盖章;
(5)1笔业务审核意见为不发卡但仍下发了卡号;
(6)1笔业务缺少支行初审意见;
(7)1笔业务缺少支行初审、复审和审批人意见、签字、盖章,但仍下发了卡号;
(8)1笔业务档案中身份证复印件为假。
5、进口跟单信用证业务
检测依据为《南京市商业银行进口跟单信用证业务管理办法》等相关制度。其中,存在的问题主要有:
(1)全部出账通知书中,出账信息栏显示的出账年利率错误;
(2)全部业务缺少国际业务部风控岗审核意见;
(3)1笔业务出账通知书中,授信余额显示为0.000000,而实际该公司已签订年2亿美元的授信总额度,且未用完。
6、贴现业务
检测依据为《南京市商业银行商业汇票业务管理暂行办法》等相关制度。基本未发现与制度不符的地方,存在的问题主要是合同的填写不规范,包括:
(1)所有档案都没有填写合同号;
(2)新港支行、钟山支行等贴现业务审批意见书合同封面未按要求填写支行联系电话和日期。
(三)结果分析
通过上述测试,立信永华认为,南京银行的业务总体执行情况较为良好,存在的主要问题是资料缺失和合同填写不规范。在进口跟单信用证业务的相关制度里,要求有国际业务部风控岗的审核意见,但国际业务部并未设置该岗位;信用卡业务的内部控制执行情况问题较多,体现在未按制度要求执行审批流程,缺失要件资料,对资料的真实性审查不足等。
三、内控执行问题原因分析
南京银行在内控执行方面的问题有两点原因。
(一)员工对本岗位内控风险点缺乏认知
南京银行缺乏相应的内控培训机制,导致相关人员不了解其岗位有关的风险点和内控点,没有按照内控制度去执行业务。比如在上海分行去年的合规检查中,出现了有客户经理由于不熟悉制度流程,未按照相关规定及合同本身的约定进行规范、完整填写的情况。
(二)员工主观上对内部控制不重视
南京银行对内控文化不够重视,同时对内控执行的奖惩力度不够,使得相关员工虽然了解内控制度,但却不按制度执行,或者违反制度。比如在多份内部审计报告中均提到普遍存在柜员的违规问题。
第四部分 内部控制管理建议
立信永华在第四部分的一览表中对所提出建议的性质和改进的优先顺序进行了汇总。改进的优先顺序分为高、中、低三档。
一、内部控制管理建议一览表
二、内部控制管理建议
(一)内部控制环境
1、建议将总行的业务管理职能和业务执行职能分离,设立南京分行
南京银行应在条件成熟时成立南京分行,将总行现有的业务执行职能剥离,下放到南京分行,南京分行统一管理南京地区的所有中心支行和支行的相关业务,而总行只行使对各业务的管理、风险控制和后台支持等职能。
2、建议梳理分行的人事权利
南京银行应建立符合分行发展的人事授权体系,促进分行业务发展。
3、建议梳理支行的现有定位
对支行的管理,应重新对支行进行定位,逐步加大支行的业务授权力度,充分发挥支行的网点功能,比如支行在个人信贷及中间业务上的作用。
4、建议梳理总行高管人员业务分工
南京银行总行高级管理层应按照业务条线和前、中、后台运作的内控要求,重新调配现有工作,做到职能管理和业务管理的统一,避免权限交叉的现象。
5、建议按照业务条线对总部部门进行梳理,实现部门责、权、利匹配
南京银行总行部门应按照个人业务、公司业务、国际业务、投行业务、风险控制、资金运营等业务条线对总部部门进行重新梳理,编写新的部门职责,明确各部门的职责权限,为各业务建立完善的审批流程,加强各部门之间横向的监督和制约效果。
6、建议设立独立的法律合规部(一级部门)
南京银行目前对法律事务和内部控制的相关工作都是由风险控制部下的二级部门负责。随着南京银行业务的发展和跨区域经营的深入,相关的法律事务和内部控制工作也将增多且愈来愈复杂,两个二级部门显然难以承担相应职责。南京银行应将现有的风险控制部下的法律事务部和内部控制部合并,单独设立法律合规部(一级),负责银行的法律事务和内部控制的相关工作。
7、建议加强内控文化建设与内控培训
南京银行应加强内部控制文化宣传,强化内部控制文化,增强员工的内部控制意识和责任,并提高对内部控制管理人员的激励水平。此外,南京银行应加强相关法律法规、监管要求的宣传工作,组织各级机构开展内部控制理论、制度、实务的培训工作。
8、建议梳理内控管理条线关系,明确各级机构的内控管理职能
南京银行应加强对内部控制管理工作的重视程度,在风险管理体系之外,梳理内控管理条线关系,明确相关部门的内控管理职能,并通过内部控制管理的相关文件,书面界定各级部门、机构的内控管理职能。
(二)风险识别与评估
1、建议实施风险控制的垂直化管理
南京银行应实施风险控制的垂直化管理,将分支机构主要风险控制管理人员隶属关系或任免权限收归总部,下属风险管理人员对总行风险控制部负责。
2、建议持续调整和丰富风险指标体系内容
南京银行应以以下两项工作为主要基础,开展风险指标体系制度和流程的调整和建设工作:
(1)分析经营发展的实际情况,根据监管要求、所处外部环境和自身经营管理需要调整和新增风险指标;
(2)分析新产品和新业务的情况,根据需要研究调整或丰富指标体系。
3、建议完善和调整风险指标阈值
南京银行应加强风险指标阈值研究,确定各项风险指标阈值,建立风险监测的量化标准,并根据实际情况,调整不适用的风险指标阈值。
4、建议进行风险预测和风险指标的深入分析
南京银行应加强风险预测工作,可以开展各类风险的情景分析,以指导南京银行进行主动的风险防范,降低可能风险导致的损失。
在现有风险监测工作中,南京银行应加强对风险指标的分析,指导风险控制工作的开展。
5、建议利用信息化系统,加强风险指标的实时监测
南京银行应调整风险指标监测频率,利用信息化系统,加强对风险指标的实时监测,更加及时、准确地进行风险控制工作。加强信息系统的使用范围,减少手工作业量,提高风险监测和控制工作的效率。
6、建议平衡业务发展和风险管理之间的关系
授权机制和风险限额管理在降低南京银行运营风险的同时,可能会导致运营效率的下降。南京银行应平衡风险控制与业务发展之间的关系,在授权机制和风险限额管理体制内,给予业务更加灵活的发展空间。建议采用优化、简化高信用等级客户和中小客户业务审批流程,建立授权权限和风险限额额度外绿色业务通道等手段,解决风险控制与业务发展之间的矛盾。
7、建议扩展风险压力测试范围
南京银行应逐步扩展针对重要业务和主要风险的专项压力测试工作,预防和主动调整业务结构,规避可能的风险。
8、建议完善新产品风险识别与评估体系
首先,南京银行应明确新产品风险识别与评估的管理职责界面,建立由归口部门统一组织的新产品风险识别与评估体系。其次,南京银行应建立对新产品的全面风险识别与评估机制,各项风险管理的条线部门根据本部门风险管理内容,参与对新产品的风险识别与评估。
(三)内部控制措施管理建议
1、建议明确内控点和相关岗位职责
南京银行应通过制度和流程的建设,在各项管理和业务活动中明确内控点,规定相关岗位职责。
2、建议加强计算机系统环境的内部控制
南京银行应及时进行数据远端备份系统的建设,确保业务数据的安全性。同时,应加强计算机系统和应用层的操作控制,防控道德风险。此外还应加强计算机系统安全管理,预防外部入侵和病毒感染损失。
(四)监督评价与纠正
1、建议制定全行内控检查目标并分解下达
南京银行应首先制定全行内控检查目标,自上而下的将目标分解至各条线管理部门,各条线管理部门在此基础上,再结合本条线内部控制薄弱环节及风险易发环节来制定检查计划,再上报并汇总下达。
2、建议优化内审报告中建议的有效性和可操作性
南京银行应建立一个系统的流程来监控及确保管理层有效并及时的实施审计建议。建立一个跟踪系统来跟踪记录所有审计发现以及相关问题的状况。该系统应当记录内审报告中的各种关键性详细信息,为监控流程提供便利。应在审计报告中深入分析产生问题的管理原因,使得提出的改进意见具有可操作性,比如列明问题的重要性或优先度、实施行动计划、获准的实施日期、实施负责人等。
3、建议严格实施问责制管理
南京银行应对内控检查中发现的问题严格实施问责制,通过建立惩罚措施强化员工的内控意识,做到奖罚有力,以杜绝和控制员工的操作风险,提高内控工作效果。
(五)信息交流与反馈
南京银行应按照银行自身的发展阶段和业务特点,建立完整的内部控制体系及编制相关内部控制文件。
1、南京银行应分析自身经营发展的实际情况,根据监管要求、所处外部环境和经营需要研究制度和流程的调整与建设规划;分析新产品和新业务的实际情况,根据需要研究调整或制订内控制度和流程;分析内控检查与监督的结果,并结合对内控体系的评价工作,制订内控制度和流程;
2、南京银行在制度与流程的制定过程中,应充分收集相关部门和机构,尤其是基层机构和人员的意见,使制度与流程适合南京银行的业务发展现状,提高其适用性。
3、南京银行应加强流程制订工作,规范重要管理和业务活动的工作流程,明确管理和业务活动的内控点,明确相关岗位职责,使内控管理做到管理准确、责任清晰。
4、南京银行应鼓励和组织分支机构开展管理细则建设工作。分支机构应在总行政策、制度指导下,建立适应基层业务实际需要的管理细则。