银行内部控制评价报告doc 38页.docx
《银行内部控制评价报告doc 38页.docx》由会员分享,可在线阅读,更多相关《银行内部控制评价报告doc 38页.docx(27页珍藏版)》请在冰豆网上搜索。
银行内部控制评价报告doc38页
银行内部控制评价报告(doc38页)
部门:
xxx
时间:
xxx
拟稿人:
xxx
整理范文,仅供参考,勿作商业用途
南京银行
内部控制评价报告
2009年3月
南京立信永华会计师事务所
第一部分概况
南京立信永华会计师事务所有限公司(以下简称“立信永华”)接受委托,对南京银行股份有限公司(以下简称“南京银行”)内部控制进行总体评价,并提供本评价报告。
一、评价范围
本次内部控制评价范围包括南京银行内部控制体系和内部控制执行情况。
本报告对南京银行内部控制体系的评价,是对内部控制体系整体的评价,并不是针对所有内部控制的审核,也不是专为发现内部控制缺陷、欺诈及舞弊而进行的。
由于任何内部控制均具有固有限制,存在由于错误或舞弊而导致内控失效未被发现的可能性。
此外,根据内部控制评价结果推测未来内部控制有效性具有一定的风险,因为情况的变化可能导致内部控制变得不恰当,或降低对控制政策、程序的遵循程度。
因此,在本期有效的内部控制,并不保证在未来也必然有效。
二、评价依据
立信永华对南京银行内部控制体系的评价是参照2007年银监会颁布的《商业银行内部控制指引》、2005年银监会颁布的《商业银行内部控制评价试行办法》的要求,从内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五个方面,对南京银行现有内部控制体系进行评价。
对南京银行内部控制执行的评价是参照南京银行相关内部制度和授权要求进行的。
三、评价过程与评价方法
本次内部控制评价分为以下阶段进行:
(一)内部控制体系评价阶段
主要采用的方法是对各类制度文件和资料进行分析研究、对南京银行高级管理层、总部主要部门领导和部分分支行主要领导进行访谈,以及发放调查问卷等。
1、书面资料分析研究
对南京银行内部控制制度和文件等资料进行研究,分析南京银行内部控制体系的充分性、合规性、有效性和适宜性。
2、访谈
对南京银行的高级管理层、总部主要部门领导,及部分分支行主要领导进行了访谈。
访谈对象包括:
访谈对象
访谈人数
高级管理层
9人
(董事长、行长、副行长、党委书记、行长助理)
总部主要部门领导
12人
(计划财务部、营运管理部、风险控制部、审计稽核部、公司业务部、个人业务部、信贷管理部、信息技术部、电子银行部、国际业务部、资金营运中心、特殊资产经营中心)
分支行及直属经营机构领导
6人
(上海分行、光华支行、洪武支行、营业部)
3、问卷调查
问卷对南京银行内部控制体系现状进行调查,发放范围与数量如下:
调查对象
人数
合计
总部
部门总经理/副总经理
19
144
二级部门经理
53
普通员工
72
分支行
行长/副行长
33
177
部门经理
48
普通员工
96
合计
321
发放调查问卷的总部部门包括:
计划财务部、营运管理部、风险控制部、审计稽核部、公司业务部、个人业务部、国际业务部、信贷管理部、信息技术部、电子银行部、安全保卫部、特殊资产经营中心;发放问卷的分支行机构及直属经营机构包括:
上海分行、总行营业部、鸡鸣寺支行、新街口支行、城北支行、夫子庙支行、大行宫支行、建邺支行、城东支行、洪武支行、光华支行。
(二)内部控制执行情况评价阶段
主要采用的方法是对各类书面资料进行分析研究、对南京银行高级管理层、总部主要部门领导和部分分支行主要领导进行访谈,以及业务抽样测试等。
1、书面资料分析研究
对南京银行相关部门的内控检查报告、合规检查报告、专项审计报告等进行研究,分析各业务内部控制执行情况。
2、访谈
与内部控制体系评价访谈一并进行,访谈对象相同。
3、抽样测试
采用抽样测试的方式,对南京银行经营业务的内控实施与运营情况进行定量和定性的分析。
抽取7家支行、上海分行和总行营业部作为测试对象;每家单位抽取若干业务进行测试,测试对象、测试业务和测试样本数量见下表:
业务名称
机构名称
样本量
(份)
备注
单位通知存款(七天)
洪武支行
8
梅花贷记卡
信用卡中心
20
进口跟单信用证
国际业务部
9
银行承兑汇票贴现业务
资金营运中心-票据中心
36
选择了非连续的3天全部业务
上海分行
2
项目贷款
上海分行
10
鸡鸣寺支行
2
流动资金贷款
上海分行
12
新街口支行
1
光华支行
1
个人中长期消费性一手住宅按揭抵押贷款
中山支行
1
营业部
2
热河支行
3
个人综合消费保证贷款
洪武支行
1
鸡鸣寺支行
1
金信支行
1
营业部
3
个人定期存款(一年)
光华支行
30
2008年9月19日到2008年9月26日随机抽取30笔业务
四、内部控制总体评价
立信永华对南京银行执行了内部控制评价的相关程序,认为目前南京银行的内部控制总体处于良性状态:
(一)南京银行的内部控制环境相对良好,但内部控制政策和目标缺乏针对性,总行、分支行定位不够清晰,总行部门存在责、权、利不匹配的问题;
(二)南京银行的风险管理体系基本适应经营发展现状、涵盖各项风险类别。
管理层对于南京银行面临的主要风险十分关注,尤其重视对操作风险的控制。
但在风险指标体系建设,以及新产品风险识别与评估等方面,还需要不断完善与调整;
(三)南京银行已建成一套贯穿整个银行的内部控制体系和一套基本覆盖各项管理和业务活动的制度、流程体系。
但内控职能界定尚不十分明晰,制度与流程建设的管理缺少综合性与前瞻性,内控文化不强,员工的内控执行力相对不高,内控体系的循环建设机制也有待加强;
(四)南京银行的信息与沟通机制目前基本能够满足银行的需要;
(五)南京银行的监督、评价和纠正体系目前基本建立,但与内部控制不断自我完善的要求尚存在差距;
(六)南京银行在内部控制执行上总体尚好,但潜在风险并不小。
五、内部控制评价报告的使用
本报告仅供南京银行及其管理层参考和使用。
在未取得立信永华事先书面同意前,南京银行不得将其出具的报告或报告的影印本提供给任何第三方。
立信永华将会酌情同意或拒绝出具书面同意。
在任何情况下,立信永华都将不对使用或收到报告或报告的影印本的任何第三方承担任何义务或责任。
第二部分内部控制体系有效性评价
以下的评价是对南京银行内部控制总体进行评价,并不包括对细节问题发现的论述。
一、内部控制环境
控制环境确定了整个银行的基调,直接影响员工的控制意识,该组成要素是其他内控要素的基础。
对南京银行“内部控制环境”的评估从以下七个方面进行:
公司治理、董事会/监事会/高级管理层责任、内部控制政策、内部控制目标、组织结构、企业文化和人力资源管理。
(一)公司治理
南京银行建立并持续完善了以股东大会、董事会、监事会和高级管理层为核心的“三会一层”的公司治理组织结构,通过优化成员结构、制定议事规则和制度、完善决策程序,建立了职责明确、分权制衡、规范运作、科学合理的公司治理机制。
董事会下设发展战略委员会、风险管理委员会、提名及薪酬委员会、关联交易控制委员会和审计委员会;监事会下设审计委员会和提名委员会。
董事会办公室和监事会办公室负责“三会”日常事务。
南京银行目前已经按照监管相关要求,建立了一套完整的公司治理制度,包括《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、《董事会审计委员会工作细则》、《独立董事工作制度》等。
(二)董事会、监事会、高级管理层责任
《南京银行内部控制框架与要求》中对于董事会、监事会和高级管理层的职责做出了明确的划分,但立信永华从访谈和查阅相关文件中发现,目前董事会、监事会在内部控制上并未完全承担应有的职责,比如制定内部控制政策,以及对内部控制体系、内部控制制度等的审查、审批。
(三)内部控制政策
南京银行于2007年制订并颁布了《南京银行内部控制框架与要求》,其中对内部控制政策做出了明确说明。
(四)内部控制目标
《南京银行内部控制体系框架与要求》中提出了内部控制工作的目标和原则。
立信永华认为南京银行的内部控制工作原则明确适用,但内部控制目标含糊,没有指出内部控制工作的根本目的。
根据回收的调查问卷发现,银行整体有超过25%的被调查对象在“对您的考核指标是否体现了银行的内部控制目标”中选择了“否”或“不清楚”。
表明南京银行的内部控制目标还没有完全体现到业务中,或南京银行对内部控制目标宣传不够。
是
否
不清楚
银行整体
74.8%
7.3%
18.0%
总行
68.1%
7.8%
24.1%
分支行
80.1%
6.8%
13.1%
(五)组织结构
在内部控制组织体系方面,南京银行持续完善风险管理的组织架构,依据各项风险管理政策的规定和实际管理需要,不断推进风险管理组织体系的健全与完善。
但是通过访谈和调查问卷,立信永华发现南京银行在组织结构上还存在不少问题:
1、整体组织结构
(1)南京银行总行、分行和支行在职能和功能上定位不清晰
1)总行定位不清晰,目前实际上处于总行和分行之间。
总行内部既存在资产、负债和中间业务等相关管理职能,又存在直接经营相关业务品种的执行职能,造成总行同时存在业务前台和中台,缺少各业务条线的纵向监督和制约,不符合内部控制管理要求。
比如总行的个人业务部、公司业务部和国际业务部,既要履行对各业务的监督管理职能,同时又要具体负责各业务的运作。
2)南京银行各分行成立时间较短,在功能定位上不够清晰。
总行对分行的管理更多的是依照对南京地区中心支行的管理方式,弱化了分行应有的权利,可能造成业务运作的不便。
比如上海分行的组织结构和人员编制都是按照中心支行的要求设立的,没有考虑上海分行自身业务要求,上海分行缺乏自主的人力资源管理权限,存在人才短缺现象。
3)除中心支行外,其他支行在职能和功能定位上严重缺失。
南京地区的支行基本不开展除负债之外的银行业务,资产和中间业务都需要上报中心支行,从而弱化了支行本应具备的网点功能,导致现有支行定位不够清晰,浪费了网点资源。
(2)总行高级管理层分工存在问题,尚需进一步明晰
高级管理层的分工存在职能管理和业务管理权限交叉的现象,导致分管部门的领导不管理部门中某项业务的情况,不利于整体内部控制。
(3)总行部分部门职责不清,权限不明,责、权、利不匹配
1)部门职能变更,职责梳理不够清晰,造成与其他部门职责、权限交叉。
比如总部的营运管理部,由于是从原会计结算部转变而来,职责梳理不够清晰,造成其本身业务(IT设备的管理和综合柜员的管理)与信息技术部和人力资源部存在交叉。
2)部门职责不清,造成与其他部门职责、权限交叉。
比如个人业务部只负责对个人产品进行营销,而产品设计、定价等权利都归其他部门所有。
总行对个人业务部的业务职责界定不清,造成个人业务部在管理和运作个人业务时,与其他部门产生职责和权限交叉。
(4)总行部分部门设置有待改善
1)内部控制工作包括制定和编写内部控制体系,组织各个部门和分支机构制定和完善内部控制相关制度和内控检查,工作量非常大。
而南京银行负责内控相关工作的是风险控制部门下面的二级部门,在人员和权限上都略显不足。
2)南京银行目前由法律事务部负责对法律风险的控制,但是该部门仅是风险控制部下的一个二级部门。
随着南京银行业务的发展和跨区域经营的深入,相关的法律事务也将增多且愈来愈复杂,法律事务部作为一个二级部门难以承担相应职责。
2、内控组织结构
南京银行没有明确的内控组织职能划分,南京银行将内控管理与操作风险的管理结合的较为紧密,主要通过对操作风险的管理并结合对其他各项风险的管理建立内控管理组织体系。
在高级管理层以下,南京银行的风险控制部负责制订风险管理政策,组织风险的识别、计量、监测和控制工作;各条线管理部门负责各自业务的风险识别、计量、监测和控制的制度与流程建设,并对本部门制定的制度和流程的执行与遵守情况进行检查、完善和汇报;其他部门和分支机构负责对制度和流程的执行工作,识别、监测、控制、检查、汇报本机构的各项风险。
(六)企业文化
南京银行的企业文化以“以变求新,以新求恒”的企业哲学和“造福社会,服务股东,服务大众”的企业使命为基础,提倡“坚忍不拔、傲然挺立、敢为天下先”的企业精神和“忠诚、主动、严谨、高效”的企业作风;遵循“创新、发展、诚信、协作”的核心价值观;倡导“预防、控制、化解、经营”的风险控制理念。
南京银行对这些理念进行了详细的定义,通过员工手册、电子显示宣传屏、张贴标语、培训、会议等各种渠道进行有效宣讲。
但通过访谈,立信永华了解到,相对国有商业银行,南京银行的内控文化较弱,在经营管理中体现为重业务发展,轻内控管理,对内控、风险管理人员的激励性不强。
(七)人力资源管理
南京银行对机构设置、岗位设置、招聘、薪酬、培训、晋升、绩效考核等制定了较为详细的规定,针对不同类型的员工、不同层次的岗位制定了针对性的人力资源政策,并通过制度化的流程确保整个人力资源的操作按既定流程公正开展。
在人力资源考核制度方面,银行制定了《南京市商业银行中层管理人员考核管理办法》和《南京市商业银行行员考核管理办法》。
在培训制度方面,银行制定了《南京银行行员培训实施细则》,加强对员工的合规、内控和风险管理培训。
但根据立信永华收回的调查问卷统计结果显示,总部员工接受内部控制培训并不充分,尤其是内部控制的理论方面。
最近半年您是否接受过内部控制方面的培训?
您接受过的内部控制培训主要包括?
随着跨区域进程加快和业务的迅速扩张,南京银行对于高素质人才的需求急剧增长。
虽然已经采取了各类措施积极应对,但目前的状况难以在短时间内解决,南京银行将在较长时间内承受人力资源短缺的风险,尤其是上海分行,将面临新型业务高级人才短缺的风险。
二、风险识别与评估
南京银行的主要风险包括市场风险、信用风险、操作风险、流动性风险、法律合规风险和声誉风险。
风险管理的主要内容包括:
1、进行风险识别,确定风险识别范围,并确定风险识别的方法。
2、对各种风险进行计量、测试和评估。
由于银行所处经济环境、行业、法规和经营状况不断变化,需要一个确认和处理与这些变化相关风险的机制。
风险识别和评估的前提是使经营目标在不同层次上相互衔接,保持一致。
立信永华对南京风险管理的评价从以下三个方面进行:
1、风险管理体系;
2、经营管理活动风险识别与评估;
3、风险控制。
(一)南京银行的风险管理体系总体比较健全
南京银行根据自身现状和所处经营环境,确定了风险管理模式,自2004年起开始建设全面风险管理体系。
截至2008年底,南京银行已建立了包含市场风险、信用风险、操作风险、流动性风险、法律合规风险和声誉风险在内的统一风险管理体系。
在确保南京银行面临的主要风险可以得到识别的基础上,风险管理基本覆盖全行各项管理、业务活动。
南京银行以风险管理的政策体系、组织体系、制度体系、监测体系和报告体系等体系性建设工作为框架,开展各项风险管理工作。
1、南京银行制订了明确和适用的风险管理政策
2007年,南京银行发布了最新的风险管理政策,包括总体风险管理政策和市场风险、信用风险、操作风险、流动性风险、法律与合规风险等各项风险管理政策。
南京银行的风险管理政策符合现行法律法规和监管的要求,基本体现对侧重控制类型风险的监测与控制,并突出了南京银行自身经营的特点,是指导南京银行开展风险管理的纲领。
南京银行的风险管理政策确定了各项风险管理的职责界面、管理策略、控制要点、内外部审计内容、报告关系、人力资源要求及其它相关内容。
2、南京银行的风险管理组织职能划分清晰
南京银行风险管理的组织职能划分是清晰的,风险管理由董事会、高级管理层、归口管理部门和风险条线管理部门,及业务部门和分支机构等各级机构组成,监事会对风险管理工作情况进行监督。
但南京银行在风险管理的岗位设置和风险管理岗位的履职情况方面,存在不足。
如总部国际业务部的风险控制岗长期空岗,风险控制岗对相关业务的审核职能未能履行。
南京银行并未实施真正意义上的风险控制垂直管理。
南京银行的各分行和中心支行的风险控制人员名义上是总行派驻的,但是风险控制人员不接受总行直接垂直管理,不对总行风险控制部负责,而是接受分支行的直接管理。
(二)经营管理活动风险识别与评估
1、南京银行建立了较为完备的风险指标体系
南京银行对信贷资产和非信贷资产(包括债券资产、固定资产等)的风险进行了详细地界定与分类管理,并制订了相关管理制度。
2007年,南京银行建立了风险监测指标体系。
南京银行的风险监测指标体系分为市场风险、信用风险、流动性风险、操作风险、法律合规风险及补偿指标六类。
南京银行的风险监测指标体系涵盖银监会要求的风险监管核心指标,同时根据自身经营的特点和需要,增加了一些必要和有效的风险监测指标。
南京银行的风险监测指标体系较为系统和全面,与目前的经营现状基本相适应,但仍需根据经营管理的要求,不断调整和完善风险监测指标体系。
截至2008年,南京银行已经确定了部分风险监测指标的监管阈值,其他风险监测指标尚待研究和确定阈值。
如南京银行在《风险监测报告2008年实施要点》中对流动性风险指标体系中的存贷款比例、最大十户存款比例没有确定监管阈值。
南京银行在风险预测和风险指标分析方面有待加强,以指导南京银行进行主动的风险防范,降低可能风险导致的损失。
对经理级别以上员工的问卷调查显示,38.0%的被调查对象认为南京银行缺乏全面的风险分析程序,被调查总部员工中该比例更高。
问卷调查:
南京银行是否具备全面的风险分析程序?
全部员工
经理以上
总部
是
53.2%
53.3%
47.5%
否
40.8%
38.0%
45.4%
其他
6.0%
8.7%
7.1%
此外,南京银行风险管理的量化监测方面还存在不足,在各项业务的信息化管理系统中,应加强对风险指标的实时监测。
2、南京银行初步建立授权管理机制和风险限额管理体系
南京银行按照《授权管理办法》,对信贷审批等经营行为,实行严格的授权与转授权管理机制,控制风险规模。
为了加强对信用、市场和流动性风险管理,规划和建设风险限额管理体系,南京银行于2008年颁布了《信用、市场、流动性风险限额管理规程(试行)》和《南京银行风险管理限额体系建设规划》。
南京银行在风险限额管理中,运用风险计量方法对信用、市场、流动性风险进行限额设定、分配、调整、监测预警、超限额处理和报告,使信用、市场、流动性风险更加有效地控制在可以承受的范围内。
目前南京银行已经建立了主要信用、市场、流动性风险指标的限额体系。
3、南京银行不断优化和完善风险报告系统
南京银行已经建立了风险监测指标收集、处理分析、报告编制、反馈和建议、组织落实的一整套流程,初步设计了由风险承担部门、条线管理部门、风控归口部门、高级管理层、董事会等环节组成的报告和反馈机制。
2008年,南京银行制定了《风险监测报告2008年实施要点》,明确规定了对信用风险、市场风险、流动性风险、操作风险、法律与合规风险的监测范围、监测频率及报送渠道,系统地、较为明确地规范了全行的风险报告流程。
4、南京银行逐步深化风险分析与预测工作
南京银行正在逐步开展风险测试工作,测试工作从重要业务开始试点进行,针对性很强。
2008年,南京银行进行了市场风险压力测试(房地产贷款压力测试、本币债券市场风险压力测试)和流动性压力测试工作。
南京银行的压力测试范围需要进一步扩展,同时需要根据经营管理的需要引入其他综合性风险分析工具,如VaR、经风险调整的资本收益率(RAROC)等。
5、新产品风险识别与评估
南京银行开展了对新产品的风险识别与评估,主要内容是法律与合规风险、操作风险的识别和评估。
但南京银行缺少对新产品风险评估的系统管理,新产品的风险识别与评估内容不够全面。
(三)风险控制
南京银行通过严格的资金头寸管理控制流动性风险;通过客户准入政策、风险限额、信贷授权机制等手段控制信用风险的规模;通过综合管理塑造品牌声誉,控制声誉风险及可能引发的流动性风险。
操作风险被评估为南京银行最为主要的风险源,南京银行加强对管理和业务活动的内部控制管理,实现对操作风险的控制。
三、内部控制措施
(一)运行控制
1、内控点的识别与控制
南京银行现有制度体系比较健全,覆盖范围基本包含了现有的经营和管理活动。
部分总行颁布的制度虽然作出了对管理和业务活动的原则性指导,但还不能直接规范管理和业务活动的操作行为,需要基层机构根据管理和业务活动的实际情况,细化各项规章制度。
南京银行在管理和业务流程建设方面,也还存在较大空白,对于一些重要的管理和业务活动,还未能制订规范的工作流程。
南京银行总行颁布的制度对大部分岗位的职责和工作内容进行了明确规定,但未能涵盖全部岗位职责和工作内容,更缺乏对工作流程的说明。
而在内部控制管理中,工作流程是重要的工具,工作流程将明确说明管理和业务活动的操作次序、操作内容、操作和控制标准、相关责任岗位及各责任岗位的职责与权力,同时明确关键内部控制管理点。
缺少工作流程体系将使一些管理和业务活动在进行内控管理时难以确定内控点和相关岗位,在内控责任处理时也难以确定相关责任人。
问卷调查显示,61.3%的被调查对象根据公司制度对岗位职责、工作内容和工作流程认知清晰,仍有17.3%的被调查对象认为实际工作与制度描述存在差异,20.1%的被调查对象认为制度只对岗位职责、工作内容和工作流程进行了原则性的规定,需要依靠个人经验和能力理解岗位职责、工作内容和工作流程。
问卷调查:
岗位职责、工作内容和工作流程认知度
全部员工
公司制度中都有明确描述,并在实际工作中按此进行
61.3%
实际工作与制度描述存在差异,但无论是本人还是上级和相关人员都对此差异进行了确认
17.3%
更多依靠个人经验和能力,制度进对此进行了原则性的规定
20.1%
工作程序、内容和职责都未在制度里体现
1.3%
问卷调查显示,63.9%的被调查对象认为南京银行对工作中的关键控制点有明确规定,仍有认为36.1%的被调查对象认为关键控制点缺乏制度描述,总部员工反映该情况更为严重。
问卷调查:
员工对工作中的关键控制点认知度
全部员工
总部
分支行
公司制度里都有规定
63.9%
56.6%
69.9%
主要根据个人经验判断
36.1%
43.4%
30.1%
问卷调查:
对可能造成重大影响的风险隐患,或者可能需要引起最高管理层重视的机制,银行是否有较好的识别系统?
全部员工
总部
分支行
是
68.9%
62.0%
74.4%
否
26.7%
31.7%
22.7%
其他
4.4%
6.3%
2.8%
问卷调查显示,南京银行对大部分管理和业务活动中可能导致偏离内部控制政策和目标的环节通过书面制度建立了操作和控制标准,在全部被调查对象中,13.8%的被调查对象认为仍存在对内控点规范缺失的情况,总部员工反映该情况更为严重。
问卷调查:
对于可能导致偏离内部控制政策和目标的各类运行情况,银行是否建立书面程序,并规定操作和控制标准?
全部员工
总部
分支行
是
86.2%
81.0%
90.4%
有一些运行活动没有建立程序
6.0%
9.2%
3.4%
否
7.8%
9.9%
6.2%
问卷调查显示,76.6%的被调查对象认为南京银行采购或外包的设施、设备、系统和服务中已识别的风险,已建立了控制程序。
2、计算机系统内控管理
对部分业务活动,南京银行已经采用计
升级会员 