来源:发布时间:2012年04月28日
一、基本情况介绍
南京银行股份有限公司(下称“本行”)成立于1996年2月,是发起设立的区域性股份制商业银行。2007年7月在上海证券交易所挂牌上市,简称:南京银行,股票代码:601009。
自成立以来,本行严格按照监管部门要求,建立了股东大会、董事会、监事会和高级管理层“三会一层”公司治理结构,并持续完善公司治理机制建设。在建立和完善内控和风险管理架构方面,董事会层面设立了董事会风险管理委员会,经营层层面设立了内部控制与风险管理委员会、日常内控建设管理机构风险管理部和日常内控监督评价机构审计稽核部,形成了职责明晰、科学合理、监督有效的多层级内部控制组织架构体系。本行一直注重内部控制体系和全面风险管理体系建设,2007年上市以来,编制并公开披露年度内部控制自评价报告,并由外部审计机构出具审核评价意见,2008年开始逐步实施五部委颁布的《企业内部控制基本规范》及其配套指引。同时,实行内部控制的工作预算,聘请专业咨询机构持续完善内部控制的各项管理系统建设,有效地内控体系与本行经营需要相适应。
本行成立以来,不断建立和完善内部控制和风险管理体系,主要开展了以下工作:
1、制定了符合内部控制的目标和原则,搭建了能够与本行业务规模、风险特点及经营管理能力相适应的内部控制管理架构。
2、严格执行监管要求,初步形成了由内部环境、风险评估、控制活动、信息与沟通、内部监督五大要素组成的内部控制机制;根据“内控优先、制度先行”的原则,基本建立了涉及各项业务事务管理领域和覆盖所有的管理部门、经营机构和岗位的内部控制制度体系,并根据可持续发展的要求,适时完善内部控制的制度、程序和流程。
3、初步建立并完善了全面风险管理体系,对包括信用、市场、流动性、操作、法律合规、信息科技、声誉与外包等风险在内的主要风险进行持续的识别、评估、监测和报告,较好地实现了风险管理的有效性。
4、明确了由各业务管理部门进行业务检查、风险管理部门进行内控合规检查和内部审计部门进行独立监督评价的内部控制监督体系;
5、重视内控评价工作,制定了《南京银行内部控制评价办法》,明确了实施内控评价过程中的组织管理、职责分工、评价指标、评分依据、评价标准等;从定量和定性两方面设定了本行重大、重要缺陷的认定标准;内控自评估范围覆盖到所有部门和经营机构。从2007年开始董事会逐年对年度内部控制自评价报告进行审定,并聘请了会计师事务所出具了内部控制核实评价意见,按年度公开披露。
6、重视合规文化建设,持续两年开展了“内部控制和案防执行年”活动,明确了“稳健、进取”的风险偏好以及审慎合规的经营理念。
二、组织机构及职责分工
(一)建立内部控制工作领导小组
1、小组组成
组长:林复董事长副组长:周小祺(分管风险与合规)。
小组成员:董事会风险管理委员会委员、董事会关联交易控制委员会委员、董事会审计委员会委员、经营层内部控制及风险管理委员会成员和高级管理人员。
2、工作职责
(1)按照《企业内部控制基本规范》及配套指引要求,完善内部控制体系规划,满足本行三年总体战略规划提出的内控目标;
(2)持续完善内部控制管理体系建设,深化开展“内部控制和案防执行年”活动;
(3)指导开展内部控制体系的监督评价工作,确保评价结果的有效运用,确保内部控制体系的有效性和合理性;
(4)完善内控文化建设,提升全员合规意识,建立全员参与的内部控制工作机制;
(5) 选聘内控审计会计师事务所。
(二)职责分工及人员安排
按照“条块结合、全员参与”的原则,各部门和机构按照职能分别履行各自内部控制职责:
1、内部控制建设牵头部门为风险管理部,负责组织、督促各业务部门建立健全内部控制。
2、内部控制监督和评价部门为审计稽核部,负责组织检查、评价内部控制的健全性和有效性。
3、各条线管理部门为本条线内部控制责任部门,负责本条线内部控制工作。
4、各分行、中心支行为本机构内部控制责任单位,负责所辖机构内部控制工作。
各级机构设立专(兼)职内控合规与操作风险管理岗,负责在本机构主要负责人的领导下,具体组织推动本机构实施内部控制工作。
三、内部控制建设工作计划
本行自成立以来一贯注重内部控制建设工作,并将内部控制与日常经营管理紧密联系在一起,在组织架构、管控机制、制度流程、工具方法等方面持续改进完善。
目前,在内部控制体系建设方面,已经完成的主要工作如下:
(一)不断完善治理架构。制定(修订)了《内控管理大纲》与《操作风险管理政策》,构建了本行内部控制体系基本框架,明确董事会、监事会、高级管理层内控合规与操作风险管理的职责分工。
(二)构建制度体系并持续完善。梳理全行各项业务流程与管理流程,按照“流程银行”管理理念,对制度体系进行设计,形成本行《内部控制体系文件框架及清单》,按照体系框架全面开展体系文件编写和确认,全面健全制度体系。
(三)引入操作风险管理工具。制定了《操作风险管理办法》、《操作风险事件及损失数据收集管理办法》、《操作风险与控制识别评估作业指导书》、《操作风险关键指标设立与监测作业指导书》、《操作风险报告管理办法》,并开展操作风险与控制识别评估、关键指标监测、损失数据收集及报告等工作,充分运用操作风险管理工具,系统提升操作风险管理水平。
(四)建立健全内控合规管理机制。一是健全内控检查管理机制,制定《内控检查管理办法》,明确检查与问题整改管理要求。按季开展操作风险滚动排查,定期开展“双查”,并不断强化问题整改;二是完善问责管理机制,制定了《员工尽职调查与问责管理办法》、《员工违规积分管理办法》和《员工违规行为处理暂行办法》,形成重大违规事项问责处罚与轻微违规积分处理相结合的问责管理体系;三是规范案件防控工作,制定《案件(风险)信息报送管理办法》、《案件处置管理办法》、《内控与案防工作制度》等管理制度,建立内控和案防长效机制,每年制定《内控和案防长效机制建设实施方案》,明确年度内控和案防管控重点。
(五)搭建系统管控平台,不断提高内部管控与风险管理效率。建立本行内控合规与操作风险管理信息系统(GRC系统),整合内控合规与操作风险管理,将内外规管理、检查与整改、积分与问责、风险与控制识别评估、关键指标监测、内控评价等管控机制嵌入系统,依托信息系统,实现制度管理、检查与整改、积分与问责、风险识别评估、关键指标监测等联动管控机制。同时形成完整的内控合规与操作风险管理相关数据库,为后续实现三道防线信息共享、深化递进管理和相互联动奠定基础。
2012年主要在以下几方面进行完善内部控制体系建设
(一)进一步完善内控合规管理架构体系
一是建立总行、分行(含中心支行,下同)、支行三级内控合规组织体系,在主要业务部门和基层网点设立专职、兼职内控合规及操作风险管理岗,明确不同层级内控合规及操作风险管理岗的岗位职责,有效落实内控合规管理的各项机制和要求。
计划完成时间:一季度责任部门:风险管理部、人力资源部
二是完善分行风险及内控管理组织结构体系,明确分行内部控制与风险管理委员会、案件防控工作领导小组、风险总监的工作职责和运作机制,提出法律合规部、风险管理部的部门职责及岗位设置要求。
计划完成时间:二季度责任部门:风险管理部、发展规划部、人力资源部
(二)进一步完善内控制度流程管理机制
一是进一步建立健全规章制度体系,要求总行各部门及各分行确定2012年度拟制定的制度清单,汇总制定《南京银行2012年度制度制定计划》,并依托GRC系统,动态调整、跟踪落实各项制度的制定。
计划完成时间:年底责任部门:风险管理部及相关条线管理部门
二是根据制度制定和产品创新情况,定期调整《内部控制体系框架及清单》和《产品目录》,持续更新、完善内控制度体系。
计划完成时间:年底责任部门:风险管理部及相关条线管理部门
三是为促进外法内化管理,制定《外法内化管理办法》,进一步明确相关部门工作职责,以及外规的收集、外规分析与归档、外规解读、外规转化内规、外规控制等环节的管理要求。
计划完成时间:一季度责任部门:风险管理部
四是为持续规范制度管理,不断提升制度管理质量,制定《规章制度管理办法》、《规章制度作业指导书》,进一步规范制度起草、审查、审批、解释等流程,确定统一、标准的制度模板,持续规范规章制度管理。
计划完成时间:一季度责任部门:风险管理部
五是持续开展流程优化工作,定期梳理流程优化需求,启动流程优化项目,并对流程优化执行效果进行后评价。
计划完成时间:年底责任部门:风险管理部及相关条线管理部门
(三)进一步完善内控检查机制
进一步加强内控检查管理,要求总行各部门及各分行确定2012年度拟开展的内控检查清单,汇总制定《南京银行2012年度内控检查计划》,并依托GRC系统,动态调整、跟踪落实各项内控检查的开展,并对检查发现的问题进行督促整改,对问题的责任人进行积分管理或问责处理。
计划完成时间:年底责任部门:风险管理部及相关条线管理部门
(四)进一步完善内控问责及内控考核机制
一是进一步加强违规积分管理,梳理完善国际业务、投行业务、电子银行业务积分标准,制定《2012年度积分结果运用办法》,将违规积分与分支机构、个人薪酬、评优挂钩,依托GRC系统,动态开展积分管理。
计划完成时间:二季度责任部门:风险管理部及相关条线管理部门
二是进一步加强分支机构风险及内控管理评价工作,督促分支机构健全完善风险及内控管理体系,提高全行风险及内控管理水平,制定《分支机构全面风险管理评价办法》,《2012年度分支机构全面风险管理评价指标体系》。
计划完成时间:一季度责任部门:风险管理部
三是定期对各类违规事项开展尽职调查和问责处理,发挥问责的惩戒作用,并及时发现制度流程缺陷,进行优化完善。
计划完成时间:年底责任部门:风险管理部及相关条线管理部门
四是建立健全廉洁从业风险防控机制,开展廉洁从业风险点梳理,持续开展员工行为排查活动。
计划完成时间:年底责任部门:党群监察部、风险管理部
(五)加强内控系统建设及IT风险评估
一是上线运行“GRC”系统,运用系统开展内外规管理、检查与整改、积分与问责等工作,并根据系统运行情况进行适时升级维护,不断提高系统运用效率,有效提升合规与操作风险管控水平。
计划完成时间:全年责任部门:风险管理部、信息技术部
二是进一步了解和掌握全行信息科技风险状况,查找管理中存在的缺陷与不足,开展信息科技风险评估工作,对信息科技治理、风险管理、安全、系统开发、测试、维护、运行等进行有效评估,并针对评估中发现的问题有效落实整改。
计划完成时间:二季度责任部门:风险管理部、信息技术部
(六)通过多重形式,组织开展各类内控合规管理培训
持续提高员工内控合规与操作风险管理水平,增强风险防控意识,系统开展政策、限额管理、授权管理、经济资本考核、风险评价管理、授信业务平行作业、经营主责任人管理、规章制度管理等一系列培训,强化内控合规管理工作。
计划完成时间:全年责任部门:风险管理部
(七)持续推进内控和案防长效机制建设
根据本行《内控和案防长效机制建设规划》,制定《2012年度内控和案防长效机制建设实施方案》,明确年度内控和案防工作重点,从制度流程、检查监督、体制机制、考核奖惩、人员管理等方面进行规范,并强化对实施方案的检查监督,推动各项机制措施落实,持续推进长效机制建设,整体提升内控和案防水平。
计划完成时间:全年责任部门:风险管理部
四、内部控制自我评价工作计划
(一)进一步强化内控评价机制建设。多策并举,提高评价效率、增加评价覆盖面。一是修订《内部控制评价手册》,增加对同业业务、创新业务品种等的评价内容,将评价范围覆盖分支机构的主要业务领域;二是将内控评价与非现场审计监控有机结合,通过日常监控为评价工作搜集风险点。
计划完成时间:年底责任部门:审计稽核部
(二)强化常规审计结果在内控评价中的应用。进一步完善专项审计、经济责任审计和后续审计工作,强化风险审计导向,提升审计技术,并将审计结果作为内控评价的重要借鉴因素,进一步提高评价的效果和效率。
计划完成时间:年底责任部门:审计稽核部
(三)提高全员内控评价的规范性。建设并持续完善GRC系统中的内控评价模块,加强对分支机构的培训工作,进一步推动分支机构使用系统开展内部控制自我评估工作,提高工作的规范性。
计划完成时间:年底责任部门:审计稽核部
(四)强化《内部控制自评价报告》结果的运用。对报告中发现的问题,排出整改时间进度表,并定期评价整改情况。
计划完成时间:年底责任部门:风险管理部、审计稽核部
五、内部控制外部审计工作计划
2012年,本行将继续聘请普华永道会计师事务所为本行的内部控制审计会计师事务所,主要工作计划是:
1、搭建内部控制审计架构,主要任务是:聘请年度内部控制审计会计师事务所,开展内部控制审计工作;审计稽核部作为牵头部门配合会计师事务所做好内控审计工作。
计划完成时间:二季度责任部门董事会
2、在内部控制审计进行项目启动与计划阶段,主要任务是:了解业务目标,识别和评估主要风险,完成整合审计项目计划。
计划完成时间:二季度责任部门:内部控制审计会计师事务所
3、在内部控制审计全面铺开工作阶段,主要任务是:了解和评估内部控制测试,选择若干家分行进行关键控制测试,初步评价内控测试结果;根据内控测试发现的控制缺陷,沟通整改措施,并根据内控测试的结果更新实质性测试计划,对弥补性控制或缺陷整改进行补充测试。
计划完成时间:年底责任部门:内部控制审计会计师事务所
4、出具报告阶段。主要任务是:审阅内部控制自我评估结果和报告,进行内部控制的实质性测试,出具内部控制自评价报告审核意见和内部控制审计报告。
计划完成时间:2013年一季度责任部门:内部控制审计会计师事务所
六、披露计划
董事会办公室作为对外信息披露的职能部门,负责内部控制信息的披露工作。
2007年以来,本行始终严格按照财政部、中国证监会、中国银监会、上海证券交易所等监管部门的要求进行信息披露,包括内部控制信息的披露。披露网址: www.sse.com.cn。
2012年本行的工作重点是提高内部控制信息的披露质量。按监管部门要求,及时披露《内部控制自评价报告》及审核评价意见;及时披露《实施内部控制规范工作方案》和《内部控制审计报告》。
计划完成时间:2013年二季度责任部门:董事会办公室