南京银行股份有限公司2012年度内部控制评价报告

附件：

南京银行股份有限公司2012年度内部控制评价报告

　　南京银行股份有限公司（以下简称“本行”）董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带责任。

　　建立健全并有效实施内部控制是本行董事会的责任；监事会对董事会建立与实施内部控制进行监督；高级经理层负责组织领导本行内部控制的日常运行。

　　本行内部控制的目标是：合理保证经营合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。

　　由于内部控制存在固有局限性，故仅能对实现上述目标提供合理保证。

　　一、内部控制评价工作的总体情况

　　本行董事会授权总行审计稽核部负责内部控制评价的组织实施工作。总行各管理部门、各分行（中心支行）负责对本部门或业务条线、本机构内部控制的有效性进行自我评估，并根据评估结果出具各自的年度内部控制自我评估报告；总行审计稽核部负责对本行内部控制的有效性进行全面评价并在此基础上拟写全行年度内部控制评价报告报董事会；董事会负责领导本行内部控制评价工作，对内部控制重大缺陷进行认定，批准本行内部控制评价报告并按照规定对外进行信息披露。

　　本行聘请普华永道中天会计师事务所对2012年12月31日的财务报告内部控制有效性进行独立审计，并于2013年4月17日出具了内部控制审计报告。本行内部控制评价工作由本行人员自行严格完成，未聘请中介机构提供相关咨询服务。

　　（一）内部控制评价依据

　　报告期内，本行依据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》、《上海证券交易所上市公司内部控制指引》等有关规定，结合本行内部控制体系特点，制定了《南京银行内部控制评价管理办法》和《南京银行内部控制评价实施规范》等制度，作为规范开展2012年度内部控制评价工作的依据。

　　（二）内部控制评价范围

　　报告期内，本行开展内部控制自我评估的机构范围包括总行所有主要条线管理部门和分行（中心支行）。评估的业务范围覆盖了组织结构、制度建设、风险识别、授信业务、资金及同业业务、存款与柜面业务、反洗钱、中间业务、财务管理、计算机信息系统安全控制、关联交易等经营管理各领域。

　　总行审计稽核部对本行内部控制的有效性进行独立、全面评价，并对总行主要业务管理部门和部分分行（中心支行）进行现场评价。其中：总行层面偏重于内部控制设计的有效性，以定性评价为主；分行（中心支行）层面偏重于内部控制执行的有效性，以定量评价为主。同时，本行还将内外部检查、审计发现问题的整改情况和效果纳入内部控制评价范围。

　　本行内部控制评价范围涵盖了公司经营管理的重要业务单元和重要流程及交易，不存在重大遗漏。

　　（三）内部控制评价体系、流程和方法

　　1. 内部控制评价体系

　　本行以《企业内部控制基本规范》及其配套指引为基础，结合本行内部控制体系特点，构建了内部控制评价体系，包括：评价制度体系、评价标准、评价系统等。

　　（1）评价制度体系

　　本行制定了《南京银行内部控制评价管理办法》，明确了实施内控评价过程中的组织管理和职责分工，细化了评价指标、评分依据、评价标准、抽样规则等，并从定量和定性两方面明确了本行重大、重要缺陷的认定标准；制定了《南京银行内部控制评价实施规范》，统一了评价模板、工作底稿，规范了内部控制评价系统中的作业流程、方法等。

（2）评价标准

　　报告期内，本行全面、系统地梳理整合了内部控制评价标准体系，并根据相关制度和监管的要求及时进行动态更新。一方面是制定了《南京银行内部控制评价要点及评分标准》，重新梳理了授信、柜面业务的评价要点。其中：授信业务包括公司贷款、个人贷款、票据业务、保函业务、贸易融资、同业业务等六大类共计18个业务品种的评价标准，增加了对同业业务、创新业务品种等的评价内容；非授信业务包括会计核算、零售柜面、财务管理、信息技术管理以及综合管理等具体业务，评价范围覆盖分行（中心支行）的主要业务领域；另一方面是在全面梳理外部监管要求及本行内部制度规定的基础上，制定了总行层面、IT层面的评价标准等。

　　上述评价标准体系的建立，进一步规范了本行内部控制评价工作的开展。

　　（3）评价系统

　　本行研发了内部控制评价系统，其主要特点包括：一是将《 南京银行内部控制指标评价要点及评分标准》中的具体评价指标、评价要点、采用的评价方法、抽样范围、抽样标准、最低样本数量等嵌入系统，作为分行（中心支行）开展内部控制自我评估以及总行实施评价的统一标准；二是充分运用IT技术来量化分行（中心支行）的内部控制自我评估结果、控制并记录业务抽样，指导评价人员规范开展评价工作；三是统一规范评价流程以及评价工作模版，以标准化方法管理内控评估工作，提高评估工作效率和效果。

　　本年度，各分行（中心支行）的年度内部控制自我评估工作均通过内部控制评价系统开展，依据该系统量化评分结果进行内控评级并出具内部控制自我评估报告，推动本行内部控制评价工作朝着标准化、模型化、定量化的方向发展。

　　2. 评价流程和方法

　　本行严格按照《企业内部控制基本规范》及其配套指引、《南京银行内部控制评价管理办法》以及《南京银行内部控制评价实施规范》规定的程序和方法开展内部控制自我评估工作。包括：制定评价工作方案、组成评价工作组、实施测试、汇总评价结果、认定控制缺陷、出具评价报告等。

　　评价过程中，内部控制评价工作组围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等五个方面，综合运用访谈、调查问卷、穿行测试、实地查验、抽样和分析性复核等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，并且按照统一的格式填写了评价工作底稿，按照统一的标准识别内部控制缺陷。

　　二、报告期内部控制体系建设情况

　　（一）内部控制环境

　　1. 公司治理

　　本行修订了《南京银行股份有限公司章程》及《南京银行股份有限公司董事会风险管理委员会工作细则》，为本行可持续发展和专职机构更好地履职提供了保障；制定了《南京银行股份有限公司实施内部控制规范工作方案》，切实贯彻落实五部委《企业内部控制基本规范》及其配套指引；修订了《南京银行股份有限公司关联交易管理办法》，优化了关联交易审批程序；适时修订了一系列风险管理政策，内容涵盖信用风险、市场风险、操作风险等，持续完善风险管理机制。

　　2. 组织结构

　　本行针对自身规模和发展阶段，不断加大组织架构与业务流程再造的改革力度，构建权责明晰、合理制衡、精简高效的组织架构体系。本行制定了《南京银行分行组织架构管理暂行办法》，按照统一化、差别化、标准化原则，对分行组织架构体系进行了完善，规范了授信审批、人力资源、内部审计等分行中后台一级部门及内设部门的设置标准，为分行的长期可持续发展提供了组织架构保证。

　　3. 内部控制制度体系

　　本行持续注重内控制度体系建设，建立了与公司性质、规模、复杂程度相适应的内控制度体系。包括：制定了《南京银行股份有限公司内部控制管理大纲》，构建了内部控制体系基本框架，明确了主要业务、事务管理控制规范，指明了全行内控体系建设方向；实时更新维护内控体系文件框架及清单、内规数据库，持续完善制度制定流程；制定了《南京银行规章制度管理办法》和《南京银行规章制度作业指导书》，建立了统一的制度模板，规范了发文流程，明确了标准化管理要求等。

　　4. 合规文化建设

　　本行持续加强合规文化建设，包括：大力开展内控合规文化的宣传教育，以加强领导人员监督和案件防控工作为重点，深入开展全面风险排查工作，加大了对员工道德风险排查的力度；通过对员工思想行为动态管理、强化违规问责力度、持续推进积分管理等形式，引导全体员工树立审慎的风险及合规意识，提高了员工的风险防范意识和自我约束能力等。

　　（二）风险识别、评估与管理

　　报告期内，本行持续完善对信用风险、市场风险、流动性风险、操作风险等各类风险进行识别、计量、评估、监测机制。

　　1. 信用风险

　　本行重点开展的工作包括：一是打造“小微”企业核心风险管控技术，依托信息化手段，规范各类“小微”客户贷前调查、贷中审查和贷后管理的标准和要求，构建欺诈侦测、关联侦测、审批决策支持、贷后预警等智能决策参考模块，积极引入第三方信息，初步建立了符合小企业经营特征的风险管控体系；二是与穆迪公司合作完成了小企业评级体系，将大、中、小、微企业及同业的评级完全映射在同一张主标尺上，实现了非零售评级体系的统一和衔接；三是建立了涵盖分行（中心支行）、总行管理部门、总行层级的三级信贷资产质量分析例会制度；完善分支机构全面风险报告体系（MIS体系），建立了信用风险持续监测、分析与管理平台；四是完善非现场贷后管理和预警手段、定期监测统计贷款本息逾期情况，及时识别风险；五是进一步明确贷款风险分类级次的参考标准，提升风险分类的可操作性；同时，结合风险事项报告、预警信息排查、本利息逾期监测等情况，提高风险分类准确性；六是优化、调整了信用风险限额指标体系，增加了表内外风险加权资产限额指标，加大了对房地产、政府融资平台贷款限额的管控力度等。

　　2. 市场风险

　　本行重点开展的工作包括：一是调整金融市场业务组织架构和职能分工，实现总行金融市场部后台职能剥离和总行风险管理团队派驻，构建了各类债券交易价格偏离程度的逐日审核机制和交易前后台核对机制；二是整合金融市场风险管理平台，推动SUNGARD系统二期本外币、衍生工具与基础工具风险整体计量项目实施。同时，持续开展市场风险监测报告工作，提高监测频率，通过市值重估、限额管理等工具逐日监测市场运行、本行交易、限额执行情况等；定期提交限额执行情况、债券资产分类、市值重估、压力测试等系列报告。

　　3. 流动性风险

　　本行重点开展的工作包括：一是持续完善资产负债与流动性风险管理系统，从机构维度丰富资产负债结构分析报表；提高风险监测频率，加强对主要流动性风险指标的跟踪监测，提前采取措施，防范月末、季末监管指标的不利变动；二是进一步完善流动性风险限额体系，新增同业负债依存度限额，控制同业市场融资风险，改善负债结构；定期开展流动性风险全面监测、压力测试，深入分析全行资产负债结构与流动性风险情况，评估极端风险情况下本行流动性风险水平和承受能力。

　　4. 操作与合规风险

　　本行重点开展的工作包括：一是制定了《南京银行2012年度内控长效机制建设实施方案》，明确内控和“案防”工作重点，定期组织召开全行内控和“案防”工作会议，及时传达监管及本行管理要求；二是持续加强员工行为管理，定期对员工账户异常交易、员工兼职等情况进行排查和处置；制定了《南京银行信贷从业人员禁令》，加强民间融资风险管理，规范信贷从业人员职业操守；三是加强操作风险管理专业工具应用，依托GRC系统，建立了“检查计划、发现问题、整改、违规积分、问责、流程优化、系统改进”的持续改进机制；四是加强轮岗管理，对分支机构管理人员、关键岗位人员轮岗情况进行梳理和排查，并提出管理要求；五是制定了《南京银行分支机构全面风险管理评价指标体系》，对分支机构风险管理水平进行全面综合评价，并将评价结果与对分支机构绩效考核、差别化授权和条线评优相挂钩。

　　（三）内部控制活动

　　本行在各主要内部控制条线上，持续完善内部控制措施，有效保证了本行各项业务的稳健发展。

　　1. 授信业务

　　2012年的主要举措包括：一是制定年度信贷政策，明确了年度授信业务总量控制目标，并细化行业、客户、产品、担保方式、期限、定价等政策；同时根据内外部形势变化，适时调整信贷政策，引导全行业务转型；二是强化重点行业和领域风险管控，包括：加大后三类平台贷款的退出力度，持续推动存量贷款在担保方式、贷款期限、还款方式等方面的整改工作；严格控制商品房开发贷款新增投放，严格实行贷款资金封闭运作；对于钢贸、光伏、船舶、建筑等重点行业客户，通过上收信用等级审批权限、明确准入条件和授信标准、严控新增客户准入和新增授信、制定压降退出计划等措施，防范系统性风险；三是对表外业务按条线、分支机构维度实行风险加权资产限额管理并定期监测；开展对存量银行承兑汇票、保函、信用证、同业代付业务风险排查，并强化落实整改；四是制定了小企业授信业务平行作业管理办法、风险经理平行作业工作指引及操作手册等系列制度，全面推行平行作业机制，落实“双人四眼”原则；五是完善集团客户授信审批管理，加强对大额授信的风险管控能力；加强异地授信业务管理，明确异地授信客户的授信条件及管理职责，并对敞口余额进行限额管理；六是规范担保公司管理，修订了《南京银行（对公）担保机构管理办法》，进一步明确了新增担保公司的准入条件，对存量担保公司进行清理、退出；对担保公司收取的客户保证金实行专户管理；上收了民营担保公司担保业务的审批权限；七是严格征信管理，着力规范征信系统使用和管理；全面整顿个人征信并开展检查，对存在问题的分支机构，明确提出整改进度及处理要求，进行违规积分，进一步加强个人金融信息保护；八是制定了《南京银行企业类信用债授信额度管理办法》，加强债券投资授信额度和债券包销授信额度管理，切实防范对同一客户的授信风险；九是规范小企业授信后管理，针对不同行业、不同品种、不同风险等级的客户，制定差异化贷后检查频次及标准化检查模板；明确小企业早期预警要求，提高识别和化解风险的能力。

　　2. 资金业务

　　2012年的主要举措包括：一是制定代客外汇掉期、结构性存款、实物黄金租赁等新业务管理办法和操作规程，逐步完善市场风险管理制度体系；二是持续完善理财业务管理制度，优化理财系统中、后台功能，开展理财资产交易过程的风险监控，按月开展融资类理财项目风险排查，强化理财业务风险管理；三是加强同业业务授信管理，完成同业客户评级、授信额度测算模型的系统开发；制定和发布各类同业业务授信占用规则，建立授信额度管控标准；四是在信贷管理系统中开发了“同业授信额度管理”模块，实现了同业客户授信额度申请、审批以及使用监测的在线操作和管理；五是持续实施业务授权、交易限额等管理，控制资金业务风险。

　　3. 存款和柜台业务

　　2012年的主要举措包括：一是根据业务发展及内部管理需要，制定、修订了多项管理制度和业务规定，内容涵盖柜员禁令、柜员轮岗、客户身份识别、会计交接、业务授权、账户管理、支付清算等诸多方面；二是建设完成了客户身份信息影像平台系统，实现了对二代身份证信息采集和影像化存储、同步记录联网核查结果等功能；三是建设ECIF系统，改造对公客户账户开立、信息维护交易，实现了对客户信息与账户信息的统一管理；四是完善事后监督及预警系统，实现了部分分行事后监督的集中作业；五是扎实开展银企对账工作、加大常规培训与专题培训力度、深入开展全面风险排查及常规检查，有效防控柜面业务操作风险。

　　4. 反洗钱

　　2012年的主要举措包括：一是以“集中做、专家做、系统做”为原则，完善“反洗钱监测报告系统”功能、优化大额交易和可疑交易报告流程、启动“反洗钱”报告的后台集中处理，提高了“反洗钱”工作的质量和效率；二是建设客户风险等级分类系统，制度化开展客户或账户风险等级分类工作，并依托系统对高风险客户的交易进行提示，进一步完善了“反洗钱”工作机制；三是明确客户身份识别和客户身份资料及交易记录保存规则，加强“网银”业务、单位向个人账户划款业务的转账限额管理；四是持续开展反洗钱培训，并对分支机构“反洗钱”制度执行情况开展检查，进一步提升了全行“反洗钱”人员的全局意识、责任意识和工作质量。

　　5. 中间业务

　　2012年的主要举措包括：一是规范分支机构各类理财性质投资产品销售及代理行为，严禁销售、推介未经总行批准的金融产品；加强第三方管理；严肃理财经理销售纪律，避免误导客户购买产品；二是开展理财性质投资产品代理推介业务和各类代销业务的风险排查，规范理财经理的销售行为；三是完善各类中间业务系统功能，将理财业务系统和基金销售系统进行分拆、建设实物贵金属销售系统等；四是制定了《南京银行代理个人客户贵金属交易业务管理办法》及作业指导书，规范业务管理，保障业务持续健康发展；五是制定了《南京银行个人代收付业务管理办法》，界定职责分工和业务流程，明确内外部风险控制措施；六是制定了《南京银行个人理财类业务突发事件应急处置预案》，明确突发事件处置流程，提高应对能力。

　　6. 财务会计

　　2012年的主要举措包括：一是制定了《南京银行财务报告数据核对管理办法》和《南京银行财务报告编制内部控制实施细则》，初步建立了覆盖总行各业务管理部门、各分支机构的财务报告数据核对机制，明确了财务报告编制的内部控制要求，进一步提高了数据质量、规范报表编制流程；二是细化了一系列会计核算办法，规范资产三方买卖、回购业务、福费廷转让、理财业务、同业代付等创新产品及业务的会计核算；三是通过完善机构、个人开展业务必须的基本资源配置标准来加强定额管理；开展全行性财务大检查工作，推动了费用核算质量的提高；四是加强对全行、同业、市场利率的日常监测和定期分析工作，提升本行利率管理及内、外部定价管理水平。

　　7. 计算机信息系统

　　2012年的主要举措包括：一是持续完善信息安全制度体系，建立了包括业务连续性、网络、系统运维、用户口令管理、移动存储管理等在内的多项管理制度；二是推进生产系统SOM统一管控、电子银行业务评估和整改、建设外网统一管控平台等信息安全管理工作；三是完成同城灾备中心机房改造、组织实施同城与异地灾备中心的恢复演练、开展信息技术应急响应与恢复能力检查，提升了应急管理水平；四是持续开展全行信息安全检查并推动整改；五是建立开发测试中心，提升了信息技术开发测试能力。

　　 8. 关联交易

　　2012年的主要举措包括：一是建成关联交易数据统计分析系统，实现实时更新关联方名单、对各业务系统中关联交易数据进行汇总统计、监测、报告等功能，确保关联交易报告的及时、准确、完整；二是修订了《南京银行股份有限公司关联交易管理办法》，及时对关联方进行申报、认定和名单下发；三是持续开展关联交易日常监测、报告工作，定期召开董事会对重大关联交易进行审议决策，如实披露重大关联交易信息。

　　（四）内部控制的监督与纠正

　　1. 审计监督

　　总行审计稽核部作为全行内部控制监督、评价的部门之一，报告期内重点开展了以下工作：一是高度关注监管重点，实施了贸易融资、同业代付、衍生产品专项审计；二是重点关注金融服务水平，实施了对总行客户服务中心运营管理、网点转型效果专项审计；三是持续关注传统业务的风险管控，实施了集团客户、商品房开发贷款贷后管理专项审计；四是深入关注重点领域、关键内部控制点，实施了银行账户管理、不相容岗位内部控制、反洗钱专项审计；五是全面关注被审计人员的经济责任意识和风险管理意识，开展了对分支行负责人、总行部门主要负责人以及总行领导的经济责任审计；六是大力关注审计整改，全面开展经济责任审计和专项审计的后续审计；七是切实关注内部控制存在的风险隐患，及时发布风险提示、管理建议书、非现场监控报告、问题概览等内审文书。

　　2. 业务检查监督

　　本行重点开展的内控活动包括：一是组织开展了全行2012年度全面检查，范围覆盖授信业务、会计营运、合规管理、债券及同业业务、员工道德风险等方面；二是按季开展营运条线的风险滚动排查，对现金收支、重要空白凭证、大额可疑交易、支付结算等进行了重点检查；深入开展各类授信风险排查及年度信贷政策重检，加强存量客户的退出管理，及时消除风险隐患；三是依托GRC系统强化对行内检查、内部审计、外部审计以及监管检查等各项检查中发现问题的整改监督，不断规范业务管理。

　　本行注重问责机制的完善与执行，按季对不良资产开展尽职调查与问责，对发现的问题进行风险提示，加大对重大违规事项的问责力度，提高员工合规意识。

　　（五）信息交流与反馈

　　本行不断完善内部各层级机构、本行与客户、投资者、控股金融机构之间的信息交流与沟通机制，保证信息披露合规、完整。一是定期召开各类会议，开展各类基层调研，对业务经营、财务状况和检查监督发现的问题进行梳理、分析和总结，确保董事会、监事会和各层级管理者及时、准确地掌握各类经营信息和存在问题；二是持续完善报告制度体系，规范突发金融风险事件、恶性案件报告与应急处置流程，切实提高对突发事件的处置能力；三是切实做好信息披露工作，规范编制并披露定期报告、临时公告和不涉及公告信息网上披露等，及时、真实、准确、完整地向投资者传达信息；四是加强与投资者沟通，建立投资者关系维护工作流程；举办机构投资者的业绩交流会，接待机构投资者对本行的实地调研，进一步加深重点投资者对本行的认识，全面树立了本行资本市场的良好形象。

　　三、内部控制缺陷及其认定情况

　　本行董事会根据《企业内部控制基本规范》、配套指引对重大缺陷、重要缺陷和一般缺陷的认定要求，结合本行业务规模、风险偏好和风险承受度等因素，研究确定了适用于本行的内部控制缺陷具体认定标准。

　　该标准包括定量和定性两个方面。定量标准主要以缺陷导致的错报对利润总额、资产总额、营业收入等的影响程度，作为划分不同等级内部控制缺陷的分界点；定性标准主要以违反法律法规并导致相关的经济处罚以及对本行声誉的影响程度、重大或重要缺陷在合理期限内是否得到整改等作为认定标准。根据上述认定标准，本行未发现报告期内存在重大缺陷或重要缺陷。

　　四、内部控制自我评估结论

　　本行董事会已经根据《企业内部控制基本规范》及其配套指引、其他相关法律法规的要求，对本行截至2012年12 月31 日的内部控制设计与运行的有效性进行了自我评价。

　　评价结果表明：报告期内，本行对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行，达到了本行内部控制的目标，不存在重大缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间，未发生对评价结论产生实质性影响的内部控制的重大变化。

　　本行注意到，内部控制应当与银行经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。未来期间，本行将继续完善内部控制制度，规范内部控制制度执行，强化内部控制监督检查，促进本行健康、可持续发展。

　　南京银行股份有限公司董事会

　　二〇一三年四月二十五日