1南京银行内部控制评价报告v8.docx

南京银行内部控制评价报告2009年3月南京立信永华会计师事务所 南京银行内部控制评价报告目 录第一部分概况2一、评价范围2二、评价依据2三、评价过程与评价方法2四、内部控制总体评价5五、内部控制评价报告的使用6第二部分 内部控制体系有效性评价7一、内部控制环境7二、风险识别与评估12三、内部控制措施16四、监督评价与纠正20五、信息交流与反馈21第三部分 内部控制执行有效性评价25一、内控执行情况总体评价25二、抽样测试及结果分析26三、内控执行问题原因分析28第四部分 内部控制管理建议30一、内部控制管理建议一览表31二、内部控制管理建议33第一部分概况南京立信永华会计师事务所有限公司（以下简称“立信永华”）接受委托，对南京银行股份有限公司（以下简称“南京银行”）内部控制进行总体评价，并提供本评价报告。一、评价范围本次内部控制评价范围包括南京银行内部控制体系和内部控制执行情况。本报告对南京银行内部控制体系的评价，是对内部控制体系整体的评价，并不是针对所有内部控制的审核，也不是专为发现内部控制缺陷、欺诈及舞弊而进行的。由于任何内部控制均具有固有限制，存在由于错误或舞弊而导致内控失效未被发现的可能性。此外，根据内部控制评价结果推测未来内部控制有效性具有一定的风险，因为情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序的遵循程度。因此，在本期有效的内部控制，并不保证在未来也必然有效。二、评价依据立信永华对南京银行内部控制体系的评价是参照2007年银监会颁布的商业银行内部控制指引、2005年银监会颁布的 商业银行内部控制评价试行办法的要求，从内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五个方面，对南京银行现有内部控制体系进行评价。对南京银行内部控制执行的评价是参照南京银行相关内部制度和授权要求进行的。三、评价过程与评价方法本次内部控制评价分为以下阶段进行：（一）内部控制体系评价阶段主要采用的方法是对各类制度文件和资料进行分析研究、对南京银行高级管理层、总部主要部门领导和部分分支行主要领导进行访谈，以及发放调查问卷等。1、书面资料分析研究对南京银行内部控制制度和文件等资料进行研究，分析南京银行内部控制体系的充分性、合规性、有效性和适宜性。2、访谈对南京银行的高级管理层、总部主要部门领导，及部分分支行主要领导进行了访谈。访谈对象包括：访谈对象访谈人数高级管理层9人（董事长、行长、副行长、党委书记、行长助理）总部主要部门领导12人（计划财务部、营运管理部、风险控制部、审计稽核部、公司业务部、个人业务部、信贷管理部、信息技术部、电子银行部、国际业务部、资金营运中心、特殊资产经营中心）分支行及直属经营机构领导6人（上海分行、光华支行、洪武支行、营业部）3、问卷调查问卷对南京银行内部控制体系现状进行调查，发放范围与数量如下：调查对象人数合计总部部门总经理/副总经理19144二级部门经理53普通员工72分支行行长/副行长33177部门经理48普通员工96合计321发放调查问卷的总部部门包括：计划财务部、营运管理部、风险控制部、审计稽核部、公司业务部、个人业务部、国际业务部、信贷管理部、信息技术部、电子银行部、安全保卫部、特殊资产经营中心；发放问卷的分支行机构及直属经营机构包括：上海分行、总行营业部、鸡鸣寺支行、新街口支行、城北支行、夫子庙支行、大行宫支行、建邺支行、城东支行、洪武支行、光华支行。（二）内部控制执行情况评价阶段主要采用的方法是对各类书面资料进行分析研究、对南京银行高级管理层、总部主要部门领导和部分分支行主要领导进行访谈，以及业务抽样测试等。1、书面资料分析研究对南京银行相关部门的内控检查报告、合规检查报告、专项审计报告等进行研究，分析各业务内部控制执行情况。2、访谈与内部控制体系评价访谈一并进行，访谈对象相同。3、抽样测试采用抽样测试的方式，对南京银行经营业务的内控实施与运营情况进行定量和定性的分析。抽取7家支行、上海分行和总行营业部作为测试对象；每家单位抽取若干业务进行测试，测试对象、测试业务和测试样本数量见下表：业务名称机构名称样本量（份）备注单位通知存款（七天）洪武支行8梅花贷记卡信用卡中心20进口跟单信用证国际业务部9银行承兑汇票贴现业务资金营运中心-票据中心36选择了非连续的3天全部业务上海分行2项目贷款上海分行10鸡鸣寺支行2流动资金贷款上海分行12新街口支行1光华支行1个人中长期消费性一手住宅按揭抵押贷款中山支行1营业部2热河支行3个人综合消费保证贷款洪武支行1鸡鸣寺支行1金信支行1营业部3个人定期存款（一年）光华支行302008年9月19日到2008年9月26日随机抽取30笔业务四、内部控制总体评价立信永华对南京银行执行了内部控制评价的相关程序，认为目前南京银行的内部控制总体处于良性状态：（一）南京银行的内部控制环境相对良好 ，但内部控制政策和目标缺乏针对性，总行、分支行定位不够清晰，总行部门存在责、权、利不匹配的问题；（二）南京银行的风险管理体系基本适应经营发展现状、涵盖各项风险类别。管理层对于南京银行面临的主要风险十分关注，尤其重视对操作风险的控制。但在风险指标体系建设，以及新产品风险识别与评估等方面，还需要不断完善与调整；（三）南京银行已建成一套贯穿整个银行的内部控制体系和一套基本覆盖各项管理和业务活动的制度、流程体系。但内控职能界定尚不十分明晰，制度与流程建设的管理缺少综合性与前瞻性，内控文化不强，员工的内控执行力相对不高，内控体系的循环建设机制也有待加强；（四）南京银行的信息与沟通机制目前基本能够满足银行的需要；（五）南京银行的监督、评价和纠正体系目前基本建立，但与内部控制不断自我完善的要求尚存在差距；（六）南京银行在内部控制执行上总体尚好，但潜在风险并不小。五、内部控制评价报告的使用本报告仅供南京银行及其管理层参考和使用。在未取得立信永华事先书面同意前，南京银行不得将其出具的报告或报告的影印本提供给任何第三方。立信永华将会酌情同意或拒绝出具书面同意。在任何情况下，立信永华都将不对使用或收到报告或报告的影印本的任何第三方承担任何义务或责任。39南京银行内部控制评价报告第二部分 内部控制体系有效性评价以下的评价是对南京银行内部控制总体进行评价，并不包括对细节问题发现的论述。一、内部控制环境控制环境确定了整个银行的基调，直接影响员工的控制意识，该组成要素是其他内控要素的基础。对南京银行“内部控制环境”的评估从以下七个方面进行：公司治理、董事会/监事会/高级管理层责任、内部控制政策、内部控制目标、组织结构、企业文化和人力资源管理。（一）公司治理南京银行建立并持续完善了以股东大会、董事会、监事会和高级管理层为核心的“三会一层”的公司治理组织结构，通过优化成员结构、制定议事规则和制度、完善决策程序，建立了职责明确、分权制衡、规范运作、科学合理的公司治理机制。董事会下设发展战略委员会、风险管理委员会、提名及薪酬委员会、关联交易控制委员会和审计委员会；监事会下设审计委员会和提名委员会。董事会办公室和监事会办公室负责“三会”日常事务。南京银行目前已经按照监管相关要求，建立了一套完整的公司治理制度，包括公司章程、股东大会议事规则、董事会议事规则、监事会议事规则、董事会审计委员会工作细则、独立董事工作制度等。（二）董事会、监事会、高级管理层责任南京银行内部控制框架与要求中对于董事会、监事会和高级管理层的职责做出了明确的划分，但立信永华从访谈和查阅相关文件中发现，目前董事会、监事会在内部控制上并未完全承担应有的职责，比如制定内部控制政策，以及对内部控制体系、内部控制制度等的审查、审批。（三）内部控制政策南京银行于2007年制订并颁布了南京银行内部控制框架与要求，其中对内部控制政策做出了明确说明。（四）内部控制目标南京银行内部控制体系框架与要求中提出了内部控制工作的目标和原则。立信永华认为南京银行的内部控制工作原则明确适用，但内部控制目标含糊，没有指出内部控制工作的根本目的。根据回收的调查问卷发现，银行整体有超过25%的被调查对象在“对您的考核指标是否体现了银行的内部控制目标”中选择了“否”或“不清楚”。表明南京银行的内部控制目标还没有完全体现到业务中，或南京银行对内部控制目标宣传不够。是否不清楚银行整体74.8%7.3%18.0%总行68.1%7.8%24.1%分支行80.1%6.8%13.1%（五）组织结构在内部控制组织体系方面，南京银行持续完善风险管理的组织架构，依据各项风险管理政策的规定和实际管理需要，不断推进风险管理组织体系的健全与完善。但是通过访谈和调查问卷，立信永华发现南京银行在组织结构上还存在不少问题：1、整体组织结构（1）南京银行总行、分行和支行在职能和功能上定位不清晰1）总行定位不清晰，目前实际上处于总行和分行之间。总行内部既存在资产、负债和中间业务等相关管理职能，又存在直接经营相关业务品种的执行职能，造成总行同时存在业务前台和中台，缺少各业务条线的纵向监督和制约，不符合内部控制管理要求。比如总行的个人业务部、公司业务部和国际业务部，既要履行对各业务的监督管理职能，同时又要具体负责各业务的运作。2）南京银行各分行成立时间较短，在功能定位上不够清晰。总行对分行的管理更多的是依照对南京地区中心支行的管理方式，弱化了分行应有的权利，可能造成业务运作的不便。比如上海分行的组织结构和人员编制都是按照中心支行的要求设立的，没有考虑上海分行自身业务要求，上海分行缺乏自主的人力资源管理权限，存在人才短缺现象。3）除中心支行外，其他支行在职能和功能定位上严重缺失。南京地区的支行基本不开展除负债之外的银行业务，资产和中间业务都需要上报中心支行，从而弱化了支行本应具备的网点功能，导致现有支行定位不够清晰，浪费了网点资源。（2）总行高级管理层分工存在问题，尚需进一步明晰高级管理层的分工存在职能管理和业务管理权限交叉的现象，导致分管部门的领导不管理部门中某项业务的情况，不利于整体内部控制。（3）总行部分部门职责不清，权限不明，责、权、利不匹配1）部门职能变更，职责梳理不够清晰，造成与其他部门职责、权限交叉。比如总部的营运管理部，由于是从原会计结算部转变而来，职责梳理不够清晰，造成其本身业务（IT设备的管理和综合柜员的管理）与信息技术部和人力资源部存在交叉。2）部门职责不清，造成与其他部门职责、权限交叉。比如个人业务部只负责对个人产品进行营销，而产品设计、定价等权利都归其他部门所有。总行对个人业务部的业务职责界定不清，造成个人业务部在管理和运作个人业务时，与其他部门产生职责和权限交叉。（4）总行部分部门设置有待改善1）内部控制工作包括制定和编写内部控制体系，组织各个部门和分支机构制定和完善内部控制相关制度和内控检查，工作量非常大。而南京银行负责内控相关工作的是风险控制部门下面的二级部门，在人员和权限上都略显不足。2）南京银行目前由法律事务部负责对法律风险的控制，但是该部门仅是风险控制部下的一个二级部门。随着南京银行业务的发展和跨区域经营的深入，相关的法律事务也将增多且愈来愈复杂，法律事务部作为一个二级部门难以承担相应职责。2、内控组织结构南京银行没有明确的内控组织职能划分，南京银行将内控管理与操作风险的管理结合的较为紧密，主要通过对操作风险的管理并结合对其他各项风险的管理建立内控管理组织体系。在高级管理层以下，南京银行的风险控制部负责制订风险管理政策，组织风险的识别、计量、监测和控制工作；各条线管理部门负责各自业务的风险识别、计量、监测和控制的制度与流程建设，并对本部门制定的制度和流程的执行与遵守情况进行检查、完善和汇报；其他部门和分支机构负责对制度和流程的执行工作，识别、监测、控制、检查、汇报本机构的各项风险。（六）企业文化南京银行的企业文化以“以变求新，以新求恒”的企业哲学和“造福社会，服务股东，服务大众”的企业使命为基础，提倡“坚忍不拔、傲然挺立、敢为天下先”的企业精神和“忠诚、主动、严谨、高效”的企业作风；遵循“创新、发展、诚信、协作”的核心价值观；倡导“预防、控制、化解、经营”的风险控制理念。南京银行对这些理念进行了详细的定义，通过员工手册、电子显示宣传屏、张贴标语、培训、会议等各种渠道进行有效宣讲。但通过访谈，立信永华了解到，相对国有商业银行，南京银行的内控文化较弱，在经营管理中体现为重业务发展，轻内控管理，对内控、风险管理人员的激励性不强。（七）人力资源管理南京银行对机构设置、岗位设置、招聘、薪酬、培训、晋升、绩效考核等制定了较为详细的规定，针对不同类型的员工、不同层次的岗位制定了针对性的人力资源政策，并通过制度化的流程确保整个人力资源的操作按既定流程公正开展。在人力资源考核制度方面，银行制定了南京市商业银行中层管理人员考核管理办法和南京市商业银行行员考核管理办法。在培训制度方面，银行制定了南京银行行员培训实施细则，加强对员工的合规、内控和风险管理培训。但根据立信永华收回的调查问卷统计结果显示，总部员工接受内部控制培训并不充分，尤其是内部控制的理论方面。最近半年您是否接受过内部控制方面的培训？ 您接受过的内部控制培训主要包括？随着跨区域进程加快和业务的迅速扩张，南京银行对于高素质人才的需求急剧增长。虽然已经采取了各类措施积极应对，但目前的状况难以在短时间内解决，南京银行将在较长时间内承受人力资源短缺的风险，尤其是上海分行，将面临新型业务高级人才短缺的风险。二、风险识别与评估南京银行的主要风险包括市场风险、信用风险、操作风险、流动性风险、法律合规风险和声誉风险。风险管理的主要内容包括：1、进行风险识别，确定风险识别范围，并确定风险识别的方法。2、对各种风险进行计量、测试和评估。3、确定风险应对措施，并评估应对措施的执行效果。由于银行所处经济环境、行业、法规和经营状况不断变化，需要一个确认和处理与这些变化相关风险的机制。风险识别和评估的前提是使经营目标在不同层次上相互衔接，保持一致。立信永华对南京风险管理的评价从以下三个方面进行：1、风险管理体系；2、经营管理活动风险识别与评估；3、风险控制。（一）南京银行的风险管理体系总体比较健全南京银行根据自身现状和所处经营环境，确定了风险管理模式，自2004年起开始建设全面风险管理体系。截至2008年底，南京银行已建立了包含市场风险、信用风险、操作风险、流动性风险、法律合规风险和声誉风险在内的统一风险管理体系。在确保南京银行面临的主要风险可以得到识别的基础上，风险管理基本覆盖全行各项管理、业务活动。南京银行以风险管理的政策体系、组织体系、制度体系、监测体系和报告体系等体系性建设工作为框架，开展各项风险管理工作。1、南京银行制订了明确和适用的风险管理政策2007年，南京银行发布了最新的风险管理政策，包括总体风险管理政策和市场风险、信用风险、操作风险、流动性风险、法律与合规风险等各项风险管理政策。南京银行的风险管理政策符合现行法律法规和监管的要求，基本体现对侧重控制类型风险的监测与控制，并突出了南京银行自身经营的特点，是指导南京银行开展风险管理的纲领。南京银行的风险管理政策确定了各项风险管理的职责界面、管理策略、控制要点、内外部审计内容、报告关系、人力资源要求及其它相关内容。2、南京银行的风险管理组织职能划分清晰南京银行风险管理的组织职能划分是清晰的，风险管理由董事会、高级管理层、归口管理部门和风险条线管理部门，及业务部门和分支机构等各级机构组成，监事会对风险管理工作情况进行监督。但南京银行在风险管理的岗位设置和风险管理岗位的履职情况方面，存在不足。如总部国际业务部的风险控制岗长期空岗，风险控制岗对相关业务的审核职能未能履行。南京银行并未实施真正意义上的风险控制垂直管理。南京银行的各分行和中心支行的风险控制人员名义上是总行派驻的，但是风险控制人员不接受总行直接垂直管理，不对总行风险控制部负责，而是接受分支行的直接管理。（二）经营管理活动风险识别与评估1、南京银行建立了较为完备的风险指标体系南京银行对信贷资产和非信贷资产（包括债券资产、固定资产等）的风险进行了详细地界定与分类管理，并制订了相关管理制度。2007年，南京银行建立了风险监测指标体系。南京银行的风险监测指标体系分为市场风险、信用风险、流动性风险、操作风险、法律合规风险及补偿指标六类。南京银行的风险监测指标体系涵盖银监会要求的风险监管核心指标，同时根据自身经营的特点和需要，增加了一些必要和有效的风险监测指标。南京银行的风险监测指标体系较为系统和全面，与目前的经营现状基本相适应，但仍需根据经营管理的要求，不断调整和完善风险监测指标体系。截至2008年，南京银行已经确定了部分风险监测指标的监管阈值，其他风险监测指标尚待研究和确定阈值。如南京银行在风险监测报告2008年实施要点中对流动性风险指标体系中的存贷款比例、最大十户存款比例没有确定监管阈值。南京银行在风险预测和风险指标分析方面有待加强，以指导南京银行进行主动的风险防范，降低可能风险导致的损失。对经理级别以上员工的问卷调查显示，38.0%的被调查对象认为南京银行缺乏全面的风险分析程序，被调查总部员工中该比例更高。问卷调查：南京银行是否具备全面的风险分析程序？全部员工经理以上总部是53.2%53.3%47.5%否40.8%38.0%45.4%其他6.0%8.7%7.1%此外，南京银行风险管理的量化监测方面还存在不足，在各项业务的信息化管理系统中，应加强对风险指标的实时监测。2、南京银行初步建立授权管理机制和风险限额管理体系南京银行按照授权管理办法，对信贷审批等经营行为，实行严格的授权与转授权管理机制，控制风险规模。为了加强对信用、市场和流动性风险管理，规划和建设风险限额管理体系，南京银行于2008年颁布了信用、市场、流动性风险限额管理规程（试行）和南京银行风险管理限额体系建设规划。南京银行在风险限额管理中，运用风险计量方法对信用、市场、流动性风险进行限额设定、分配、调整、监测预警、超限额处理和报告，使信用、市场、流动性风险更加有效地控制在可以承受的范围内。目前南京银行已经建立了主要信用、市场、流动性风险指标的限额体系。3、南京银行不断优化和完善风险报告系统南京银行已经建立了风险监测指标收集、处理分析、报告编制、反馈和建议、组织落实的一整套流程，初步设计了由风险承担部门、条线管理部门、风控归口部门、高级管理层、董事会等环节组成的报告和反馈机制。2008年，南京银行制定了风险监测报告2008年实施要点，明确规定了对信用风险、市场风险、流动性风险、操作风险、法律与合规风险的监测范围、监测频率及报送渠道，系统地、较为明确地规范了全行的风险报告流程。4、南京银行逐步深化风险分析与预测工作南京银行正在逐步开展风险测试工作，测试工作从重要业务开始试点进行，针对性很强。2008年，南京银行进行了市场风险压力测试（房地产贷款压力测试、本币债券市场风险压力测试）和流动性压力测试工作。南京银行的压力测试范围需要进一步扩展，同时需要根据经营管理的需要引入其他综合性风险分析工具，如VaR、经风险调整的资本收益率（RAROC）等。5、新产品风险识别与评估南京银行开展了对新产品的风险识别与评估，主要内容是法律与合规风险、操作风险的识别和评估。但南京银行缺少对新产品风险评估的系统管理，新产品的风险识别与评估内容不够全面。（三）风险控制南京银行通过严格的资金头寸管理控制流动性风险；通过客户准入政策、风险限额、信贷授权机制等手段控制信用风险的规模；通过综合管理塑造品牌声誉，控制声誉风险及可能引发的流动性风险。操作风险被评估为南京银行最为主要的风险源，南京银行加强对管理和业务活动的内部控制管理，实现对操作风险的控制。三、内部控制措施（一）运行控制1、内控点的识别与控制南京银行现有制度体系比较健全，覆盖范围基本包含了现有的经营和管理活动。部分总行颁布的制度虽然作出了对管理和业务活动的原则性指导，但还不能直接规范管理和业务活动的操作行为，需要基层机构根据管理和业务活动的实际情况，细化各项规章制度。南京银行在管理和业务流程建设方面，也还存在较大空白，对于一些重要的管理和业务活动，还未能制订规范的工作流程。南京银行总行颁布的制度对大部分岗位的职责和工作内容进行了明确规定，但未能涵盖全部岗位职责和工作内容，更缺乏对工作流程的说明。而在内部控制管理中，工作流程是重要的工具，工作流程将明确说明管理和业务活动的操作次序、操作内容、操作和控制标准、相关责任岗位及各责任岗位的职责与权力，同时明确关键内部控制管理点。缺少工作流程体系将使一些管理和业务活动在进行内控管理时难以确定内控点和相关岗位，在内控责任处理时也难以确定相关责任人。问卷调查显示，61.3%的被调查对象根据公司制度对岗位职责、工作内容和工作流程认知清晰，仍有17.3%的被调查对象认为实际工作与制度描述存在差异，20.1%的被调查对象认为制度只对岗位职责、工作内容和工作流程进行了原则性的规定，需要依靠个人经验和能力理解岗位职责、工作内容和工作流程。问卷调查：岗位职责、工作内容和工作流程认知度全部员工公司制度中都有明确描述，并在实际工作中按此进行61.3%实际工作与制度描述存在差异，但无论是本人还是上级和相关人员都对此差异进行了确认17.3%更多依靠个人经验和能力，制度进对此进行了原则性的规定20.1%工作程序、内容和职责都未在制度里体现1.3%问卷调查显示，63.9%的被调查对象认为南京银行对工作中的关键控制点有明确规定，仍有认为36.1%的被调查对象认为关键控制点缺乏制度描述，总部员工反映该情况更为严重。问卷调查：员工对工作中的关键控制点认知度全部员工总部分支行公司制度里都有规定63.9%56.6%69.9%主要根据个人经验判断36.1%43.4%30.1%问卷调查：对可能造成重大影响的风险隐患，或者可能需要引起最高管理层重视的机制，银行是否有较好的识别系统？全部员工总部分支行是68.9%62.0%74.4%否26.7%31.7%22.7%其他4.4%6.3%2.8%问卷调查显示，南京银行对大部分管理和业务活动中可能导致偏离内部控制政策和目标的环节通过书面制度建立了操作和控制标准，在全部被调查对象中，13.8%的被调查对象认为仍存在对内控点规范缺失的情况，总部员工反映该情况更为严重。问卷调查：对于可能导致偏离内部控制政策和目标的各类运行情况，银行是否建立书面程序，并规定操作和控制标准？全部员工总部分支行是86.2%81.0%90.4%有一些运行活动没有建立程序6.0%9.2%3.4%否7.8%9.9%6.2%问卷调查显示，76.6%的被调查对象认为南京银行采购或外包的设施、设备、系统和服务中已识别的风险，已建立了控制程序。2、计算机系统内控管理对部分业务活动，南京银行已经采用计算机应用系统开展内部控制管理，主要包括：综合业务系统、信贷管理系统、小企业授信评核决策系统、信贷客户基础数据库、个人信用信息基础数据库、房产抵押网上申报系统、个人抵押物电子估价系统、联网核查公民身份信息系统、商业汇票交易管理系统等。3、内控措施南京银行运行的内部控制主要包括以下内容：授信内部控制、资金业务内部控制、存款和柜台业务内部控制、反洗钱内部控制、关联交易内部控制、中间业务内部控制、会计内部控制、计算机信息系统内部控制等。南京银行采用各项可行的措施，开展内部控制活动，主要手段包括：审批与授权、验证与核实、行为控制、兼容岗位的适当分离等。问卷调查：南京银行内部控制措施手段内控措施采用率高层检查71.8%行为控制84.6%风险暴露限制的审查82.7%审批与授权93.8%验证与核实86.1%兼容岗位的适当分离84.1%（二）计算机系统环境下的控制南京银行的计算机系统环境控制包括设备维护内控管理、系统软件开发与维护内控管理、应用软件开发维护内控管理及网络管理（包括机房管理）。设备维护按照南京银行计算机设备维护管理办法进行内控管理。系统软件开发与维护按照南京银行业务应用系统开发维护管理办法进行内控管理，系统参数修改和数据库结构变更等行为都在严格的审批后进行。南京银行开展计算机系统的实时监控，对业务数据实施数据级备份，但需要建立远端备份系统以提高系统的可靠性。此外，南京银行的信息系统通过管理日志系统和审计系统监督信息系统人员的操作。系统网络和机房按照办公网络管理规定和机房管理规定进行内控管理。南京银行根据各项应用系统操作管理办法对应用系统的操作进行内控管理，对应用参数修改、数据修改等行为实施严格的行长审批制。（三）应急准备与处置2008年，南京银行制订应急预案体系建设规划及2008年实施要点，规范了应急预案体系内容，制订建设规划。南京银行现有应急预案包括：流动性风险应急预案(草案)、业务系统突发事件手工应急预案、突发经济安全、恐怖袭击等社会安全事务应急处置预案、重要信息系统突发事件应急处置预案、支付清算系统危机处置实施方案、联网核查公民身份信息系统突发事件应急处置实施办法、部分人员集体辞职应急预案、个人理财业务应急预案，并制定了突发金融风险处置办法。四、监督评价与纠正（一）内部控制绩效监测2008年，南京银行制定了内部控制检查责任制（试行），按照“谁管理、谁检查，谁检查、谁负责，谁的隐患谁整改”的原则开展各级机构的内控检查工作。总行风险控制部为全行内部控制检查的归口管理部门；各分行（中心支行）风险管理部为本层级内部控制检查的归口管理部门；条线管理部门负责制定、完善本条线内部控制检查管理制度并组织实施。南京银行的各级风险管理部门、内控条线管理部门于年度末制订下一年度的内控检查计划，经本级各级风险管理部门汇总、报批后执行。南京银行审计稽核部作为内控管理的第三道防线，对全行的内控运行情况进行内部审计。但是，南京银行的内部控制检查机制缺少整体性管理，没有自上而下地将内控检查工作分解到各条线管理部门。条线管理部门只是针对本条线内部控制薄弱环节及风险易发环节来有针对性地制定检查计划。此外，南京银行对一些风险较大部门的内控检查不够。如国际业务部权限较大，但是在访谈和资料审阅中，立信永华发现，在2005年到2008年期间，总行只在国际业务部负责人离任时，才对该部门进行了一次内审。最后，风险控制部对内控检查的实际执行情况还有待提高。2008年内控检查计划完成46项，总行各条线管理部门有4项检查计划尚未完成。（二）违规、险情、事故处置和纠正及预防措施审计稽核部经过内部审计，发现了内部控制上出现的问题，并及时向管理层通过内审报告的形式进行了汇报，内审报告指出了问题，但对于发现的问题主要停留在形成原因的表面，还需进一步深入分析产生该问题的管理原因。此外，南京银行问责制没有真正实施。通过访谈和调查问卷发现，由于大多数管理和业务活动的流程不够清晰，风险控制节点不够明确，不能将风险控制点和岗位相对应。风险出现后，查找不到相应的责任负责人，导致了在内审和检查中发现的大多数问题难以进行考量，无法真正实施问责制。（三）内部控制体系评价2007年内部控制体系评价工作由总行风险控制部负责，2008年起，此工作移交总行审计稽核部。目前，审计稽核部作为全行内部控制监督、评价的主要部门，已按照有关要求开展对内部控制体系的健全性和有效性及制度执行情况的评价工作。2008年南京银行内部控制的自我评估报告按照商业银行内部控制指引及商业银行内部控制评价试行办法对全行的内部控制体系实施了评价，评价内容基本完整。（四）管理评审2008年，董事会增设了审计委员会，以加强对内部控制制度、审计制度的建立及实施情况的检查、监督等，审计委员会在一定程度上较好的发挥了所承担的决策职能。五、信息交流与反馈（一）交流与沟通南京银行已建立了董事会与专业委员会、董事会与管理层之间的信息沟通机制，建立了一套运营会议制度。董事会、监事会及下设的各专门委员会定期或不定期召开各项会议，听取管理层的经营分析汇报，责成有关部门提交书面报告或以实地调研方式检查监督内部控制体系的运行情况。南京银行管理信息系统平台已基本搭建完成。依托信息共享平台，搭建了电子公文系统、发文借阅系统、电子邮件系统、业务园地和员工心声等多个行内信息交流平台，可将全行各类经营数据、财务数据、网点财务报表等以报告形式传递到不同的管理层级。在对外信息披露方面，南京银行制定了南京银行股份有限公司信息披露管理制度，确保股东、监管机构和社会公众及时、准确了解其经营信息；制定了南京银行股份有限公司年度报告编制实施办法等，实现了信息披露工作的规范化，提高了公司治理的透明度。南京银行保证了信息分析深度与质量，但在多数情况下，没有明确例外情况的汇报机制。立信永华从收回的调查问卷发现，仅有15.1%的被调查对象认为在工作上遇到例外的情况公司有明确的渠道沟通。 您与上级领导、相关部门和下属的信息沟通情况目前，南京银行对于信息的获取和及时反应需进一步的改进。仅17.6%的被调查对象认为对于目前的信息加工与分析很满意，57.5%的被调查对象认为能够满足日常工作要求， 17.3%的被调查对象认为还有许多工作需要改进。您认为目前贵部门是否能够及时获取和传递信息，以利于有效监控有关事件和活动（内部和外部），并对经济、行业因素和控制问题迅速做出反应？（二）内部控制体系对文件的要求南京银行颁布了内部规章制度管理办法(试行)，规定了南京银行的制度分类标准和适用条件，明确了相关部门对各级、各类制度的管理范围，以及制度计划、制度起草、制度审查、制度审批与颁行、制度解释的职责界定。南京银行大力推进内控体系建设，坚持持续改进，利用内控体系建设进行规范化管理，确保南京银行年度经营目标、风险管理和内控管理目标的实现。现有制度体系比较健全，覆盖范围基本包含了现有的经营和管理活动。自2006年起，南京银行开始编制内控手册，截至2008年底，南京银行已经对内控手册进行了多次的修改和补充。但通过访谈和查阅资料，立信永华发现，南京银行虽然编制了内控手册，建立了初步的内控制度体系，并制定了内部控制体系框架与要求，但内控手册本质是一部业务和管理制度、流程汇编，而内部控制体系框架与要求只是商业银行内部控制评价试行办法和商业银行内部控制指引的引用，并不是符合南京银行自身特点的完整内部控制制度体系。南京银行的制度建设工作还缺少对内控监督检查结果的深入分析，以及在此工作基础上进行的有针对性、综合性、前瞻性的总体管理。在管理和业务流程的建设方面，存在缺位的领域，对于一些重要的业务活动，未能通过建立流程明确操作次序和各相关岗位的职责和权利，未能对内部控制体系中的内控组织、内控流程、风险识别、内控体系评估和反馈等各要素及其相互作用关系描述清楚。（三）文件控制南京银行对制度文件进行了统一存放，方便了整个银行对于各类制度文件的获取。但目前缺乏一个有效的分类维护程序和查询工具，使得对制度文件的检索不够方便快捷。调查问卷发现，73.7%的被调查对象认为银行文件查询是方便的，另有26.3%的被调查对象认为不方便。（四）记录控制南京银行采用书面形式对内部控制相关活动中所涉及记录进行了标识、生成、贮存、保护和处置。内部控制记录保持清晰、易于识别和检索。第三部分 内部控制执行有效性评价一、内控执行情况总体评价南京银行在内部控制执行上总体尚好，目前没有出现由操作风险引发的大案，但通过访谈和资料查阅，立信永华认为南京银行内控执行的潜在风险并不小，主要体现在如下几方面。（一）柜员违规操作现象较多在审计稽核部的专项审计、光华支行的例行检查中，均发现柜员违规行为，包括当班期间为自己办理对私业务、从行内领入现金未经复点就整捆或部分对外支付、假币上交不及时、柜员间调拨现金不规范等等。（二）客户经理存在部分违规现象在上海分行的合规检查中，发现不少客户经理不合规操作的现象，包括在质押贷款业务中，档案材料没有可以证明质押物为出质人所有的相关证明，包括购销合同、增值税发票等；在合同等法律文件的填写环节存在不规范、不完整甚至前后矛盾。 （三）离任员工的贷款清理和权限清理问题较多，而且处罚措施不强在访谈和资料查阅中，立信永华了解到对离任员工执行违规的处理情况较为薄弱。比如在审计稽核部的专项审计中发现存在部分离行员工信易贷授信额度未取消、信易贷贷款未归还并且没有转为综合消费贷款，离行员工在综合业务系统中的柜号代号未被删除等情况，但是整改建议是仅仅是对发现的问题进行清理，没有按制度追究。（四）信贷管理上存在问题较多在内审资料查阅中，立信永华了解到，南京银行在信贷管理，尤其是贷后管理上有待加强。在信贷操作上不够规范，比如对借款人基础资料收集不够完整，对贷款用途的审核不够严格，对信贷规范化文本要素的填写不够规范等。在贷后管理上力度不够，比如全面监测报告内容过于简单，对贷款用途的监控不够深入，个别公司贷款监测报告内容与实际情况有出入，贷款用途监督单记录不全，未完整反映贷款资金的流向等。在对南京银行2008年报审计中，立信永华审查到一些贷款方面的问题。如贷款中存在子公司为母公司担保的情况；贷前调查、贷后跟踪调查均由信贷员独立完成，没有第三人核实监督等。二、抽样测试及结果分析（一）抽样方法本次工作依据内控测试方案中所确定的工作方法进行，采用随机抽取的方式，取得所抽取业务的相关档案和凭证单据，再根据南京银行内控手册中有关制度规定，以及该业务审批流程及权限，对所抽样本的内控执行情况进行测试。由于立信永华无法获取各业务期间存入电脑的数据、网上操作及授权的流程，只能对已存档的书面资料进行查阅和访谈，所以本次抽样结果所评价的内控执行有效性，仅包括对抽样业务所留存的书面资料是否遵循银行规章制度，以及是否有合规完整的书面签字和盖章等。（二）测试结果1、对公贷款业务检测依据为南京市商业银行信贷管理办法等相关制度。大部分业务均未发现与制度不符的地方，