南京银行内部控制评价报告
此外,南京银行风险管理的量化监测方面还存在不足,在各项业务的信息化管理系统中,应加强对风险指标的实时监测。
2、南京银行初步建立授权管理机制和风险限额管理体系 南京银行按照《授权管理办法》,对信贷审批等经营行为,实行严格的授权与转授权管理机制,控制风险规模。
为了加强对信用、市场和流动性风险管理,规划和建设风险限额管理体系,南京银行于2008年颁布了《信用、市场、流动性风险限额管理规程(试行)》和《南京银行风险管理限额体系建设规划》。南京银行在风险限额管理中,运用风险计量方法对信用、市场、流动性风险进行限额设定、分配、调整、监测预警、超限额处理和报告,使信用、市场、流动性风险更加有效地控制在可以承受的范围内。目前南京银行已经建立了主要信用、市场、流动性风险指标的限额体系。
3、南京银行不断优化和完善风险报告系统
南京银行已经建立了风险监测指标收集、处理分析、报告编制、反馈和建议、组织落实的一整套流程,初步设计了由风险承担部门、条线管理部门、风控归口部门、高级管理层、董事会等环节组成的报告和反馈机制。
2008年,南京银行制定了《风险监测报告2008年实施要点》,明确规定了对信用风险、市场风险、流动性风险、操作风险、法律与合规风险的监测范围、监测频率及报送渠道,系统地、较为明确地规范了全行的风险报告流程。
4、南京银行逐步深化风险分析与预测工作
南京银行正在逐步开展风险测试工作,测试工作从重要业务开始试点进行,针对性很强。2008年,南京银行进行了市场风险压力测试(房地产贷款压力测试、本币债券市场风险压力测试)和流动性压
15
南京银行内部控制评价报告
力测试工作。南京银行的压力测试范围需要进一步扩展,同时需要根据经营管理的需要引入其他综合性风险分析工具,如VaR、经风险调整的资本收益率(RAROC)等。
5、新产品风险识别与评估
南京银行开展了对新产品的风险识别与评估,主要内容是法律与合规风险、操作风险的识别和评估。但南京银行缺少对新产品风险评估的系统管理,新产品的风险识别与评估内容不够全面。 (三)风险控制
南京银行通过严格的资金头寸管理控制流动性风险;通过客户准入政策、风险限额、信贷授权机制等手段控制信用风险的规模;通过综合管理塑造品牌声誉,控制声誉风险及可能引发的流动性风险。
操作风险被评估为南京银行最为主要的风险源,南京银行加强对管理和业务活动的内部控制管理,实现对操作风险的控制。 三、内部控制措施 (一)运行控制
1、内控点的识别与控制
南京银行现有制度体系比较健全,覆盖范围基本包含了现有的经营和管理活动。部分总行颁布的制度虽然作出了对管理和业务活动的原则性指导,但还不能直接规范管理和业务活动的操作行为,需要基层机构根据管理和业务活动的实际情况,细化各项规章制度。南京银行在管理和业务流程建设方面,也还存在较大空白,对于一些重要的管理和业务活动,还未能制订规范的工作流程。
南京银行总行颁布的制度对大部分岗位的职责和工作内容进行了明确规定,但未能涵盖全部岗位职责和工作内容,更缺乏对工作流程的说明。而在内部控制管理中,工作流程是重要的工具,工作流程
16
南京银行内部控制评价报告
将明确说明管理和业务活动的操作次序、操作内容、操作和控制标准、相关责任岗位及各责任岗位的职责与权力,同时明确关键内部控制管理点。缺少工作流程体系将使一些管理和业务活动在进行内控管理时难以确定内控点和相关岗位,在内控责任处理时也难以确定相关责任人。
问卷调查显示,61.3%的被调查对象根据公司制度对岗位职责、工作内容和工作流程认知清晰,仍有17.3%的被调查对象认为实际工作与制度描述存在差异,20.1%的被调查对象认为制度只对岗位职责、工作内容和工作流程进行了原则性的规定,需要依靠个人经验和能力理解岗位职责、工作内容和工作流程。
问卷调查:岗位职责、工作内容和工作流程认知度
公司制度中都有明确描述,并在实际工作中按此进行 实际工作与制度描述存在差异,但无论是本人还是上级和相关人员都对此差异进行了确认 更多依靠个人经验和能力,制度进对此进行了原则性的规定 工作程序、内容和职责都未在制度里体现 全部员工 61.3% 17.3% 20.1% 1.3% 问卷调查显示,63.9%的被调查对象认为南京银行对工作中的关键控制点有明确规定,仍有认为36.1%的被调查对象认为关键控制点缺乏制度描述,总部员工反映该情况更为严重。
问卷调查:员工对工作中的关键控制点认知度
公司制度里都有规定 主要根据个人经验判断 全部员工 63.9% 36.1% 总部 56.6% 43.4% 分支行 69.9% 30.1% 问卷调查:对可能造成重大影响的风险隐患,或者可能需要引起最高管理层重视的机制,银行是否有较好的识别系统?
是 否 其他 全部员工 68.9% 26.7% 4.4% 总部 62.0% 31.7% 6.3% 分支行 74.4% 22.7% 2.8% 问卷调查显示,南京银行对大部分管理和业务活动中可能导致偏17
南京银行内部控制评价报告
离内部控制政策和目标的环节通过书面制度建立了操作和控制标准,在全部被调查对象中,13.8%的被调查对象认为仍存在对内控点规范缺失的情况,总部员工反映该情况更为严重。
问卷调查:对于可能导致偏离内部控制政策和目标的各类运行情况,银行是否建立书面程序,并规定操作和控制标准?
是 有一些运行活动没有建立程序 否 全部员工 86.2% 6.0% 7.8% 总部 81.0% 9.2% 9.9% 分支行 90.4% 3.4% 6.2% 问卷调查显示,76.6%的被调查对象认为南京银行采购或外包的设施、设备、系统和服务中已识别的风险,已建立了控制程序。
2、计算机系统内控管理
对部分业务活动,南京银行已经采用计算机应用系统开展内部控制管理,主要包括:综合业务系统、信贷管理系统、小企业授信评核决策系统、信贷客户基础数据库、个人信用信息基础数据库、房产抵押网上申报系统、个人抵押物电子估价系统、联网核查公民身份信息系统、商业汇票交易管理系统等。
3、内控措施
南京银行运行的内部控制主要包括以下内容:授信内部控制、资金业务内部控制、存款和柜台业务内部控制、反洗钱内部控制、关联交易内部控制、中间业务内部控制、会计内部控制、计算机信息系统内部控制等。
南京银行采用各项可行的措施,开展内部控制活动,主要手段包括:审批与授权、验证与核实、行为控制、兼容岗位的适当分离等。
问卷调查:南京银行内部控制措施手段
内控措施 高层检查 行为控制 采用率 71.8% 84.6% 18
南京银行内部控制评价报告
风险暴露限制的审查 审批与授权 验证与核实 兼容岗位的适当分离 82.7% 93.8% 86.1% 84.1% (二)计算机系统环境下的控制 南京银行的计算机系统环境控制包括设备维护内控管理、系统软件开发与维护内控管理、应用软件开发维护内控管理及网络管理(包括机房管理)。设备维护按照《南京银行计算机设备维护管理办法》进行内控管理。系统软件开发与维护按照《南京银行业务应用系统开发维护管理办法》进行内控管理,系统参数修改和数据库结构变更等行为都在严格的审批后进行。南京银行开展计算机系统的实时监控,对业务数据实施数据级备份,但需要建立远端备份系统以提高系统的可靠性。此外,南京银行的信息系统通过管理日志系统和审计系统监督信息系统人员的操作。系统网络和机房按照《办公网络管理规定》和《机房管理规定》进行内控管理。
南京银行根据各项应用系统操作管理办法对应用系统的操作进行内控管理,对应用参数修改、数据修改等行为实施严格的行长审批制。
(三)应急准备与处臵
2008年,南京银行制订《应急预案体系建设规划及2008年实施要点》,规范了应急预案体系内容,制订建设规划。南京银行现有应急预案包括:《流动性风险应急预案(草案)》、《业务系统突发事件手工应急预案》、《突发经济安全、恐怖袭击等社会安全事务应急处臵预案》、《重要信息系统突发事件应急处臵预案》、《支付清算系统危机处臵实施方案》、《联网核查公民身份信息系统突发事件应急处臵实施办法》、《部分人员集体辞职应急预案》、《个人理财业务应急预案》,并制定了《突发金融风险处臵办法》。
19
