银行内部控制评价报告

银行部控制评价报告2009年3月立信永华会计师事务所TOC\o"1-5"\h\z第一部分概况.2一、评价围2二、评价依据2三、评价过程与评价方法2四、部控制总体评价5五、部控制评价报告的使用5第二部分部控制体系有效性评价7一、部控制环境7二、风险识别与评估12三、部控制措施16四、监督评价与纠正19五、信息交流与反馈21第三部分部控制执行有效性评价24一、控执行情况总体评价24二、抽样测试及结果分析25三、控执行问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 原因分析27第四部分部控制管理建议29一、部控制管理建议一览表30二、部控制管理建议32第一部分概况立信永华会计师事务所（以下简称“立信永华”）接受委托，对银行股份（以下简称“银行”）部控制进行总体评价，并提供本评价报告。一、评价围本次部控制评价围包括银行部控制体系和部控制执行情况。本报告对银行部控制体系的评价，是对部控制体系整体的评价，并不是针对所有部控制的审核，也不是专为发现部控制缺陷、欺诈及舞弊而进行的。由于任何部控制均具有固有限制，存在由于错误或舞弊而导致控失效未被发现的可能性。此外，根据部控制评价结果推测未来部控制有效性具有一定的风险，因为情况的变化可能导致部控制变得不恰当，或降低对控制政策、程序的遵循程度。因此，在本期有效的部控制，并不保证在未来也必然有效。二、评价依据立信永华对银行部控制体系的评价是参照2007年银监会颁布的《商业银行部控制指引》、2005年银监会颁布的《商业银行部控制评价试行办法》的要求，从部控制环境、风险识别与评估、部控制措施、信息交流与反馈、监督评价与纠正五个方面，对银行现有部控制体系进行评价。对银行部控制执行的评价是参照银行相关部制度和授权要求进行的。三、评价过程与评价方法本次部控制评价分为以下阶段进行：（一）部控制体系评价阶段主要采用的方法是对各类制度文件和资料进行分析研究、对银行高级管理层、总部主要部门领导和部分分支行主要领导进行访谈，以及发放调查问卷等。1、书面资料分析研究对银行部控制制度和文件等资料进行研究，分析银行部控制体系的充分性、合规性、有效性和适宜性。2、访谈对银行的高级管理层、总部主要部门领导，及部分分支行主要领导进行了访谈。访谈对象包括：访谈对象访谈人数高级管理层9人（董事长、行长、副行长、党委书记、行长助理）总部主要部门领导12人（计划财务部、营运管理部、风险控制部、审计稽核部、公司业务部、个人业务部、信贷管理部、信息技术部、电子银行部、国际业务部、资金营运中心、特殊资产经营中心）分支行及直属经营机构领导6人（分行、光华支行、洪武支行、营业部）3、问卷调查问卷对银行部控制体系现状进行调查，发放围与数量如下：调查对象人数合计总部部门总经理/副总经理19144二级部门经理53普通员工72分支行行长/副行长33177部门经理48普通员工96合计321发放调查问卷的总部部门包括：计划财务部、营运管理部、风险控制部、审计稽核部、公司业务部、个人业务部、国际业务部、信贷管理部、信息技术部、电子银行部、安全保卫部、特殊资产经营中心；发放问卷的分支行机构及直属经营机构包括：分行、总行营业部、鸡鸣寺支行、新街口支行、城北支行、夫子庙支行、大行宫支行、建邺支行、城东支行、洪武支行、光华支行。（二）部控制执行情况评价阶段主要采用的方法是对各类书面资料进行分析研究、对银行高级管理层、总部主要部门领导和部分分支行主要领导进行访谈，以及业务抽样测试等。1、书面资料分析研究对银行相关部门的控检查报告、合规检查报告、专项审计报告等进行研究，分析各业务部控制执行情况。2、访谈与部控制体系评价访谈一并进行，访谈对象相同。3、抽样测试采用抽样测试的方式，对银行经营业务的控实施与运营情况进行定量和定性的分析。抽取7家支行、分行和总行营业部作为测试对象；每家单位抽取若干业务进行测试，测试对象、测试业务和测试样本数量见下表：业务名称机构名称样本量（份）备注单位 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 存款（七天）洪武支行8梅花贷记卡信用卡中心20进口跟单信用证国际业务部9银行承兑汇票贴现业务资金营运中心-票据中心36选择了非连续的3天全部业务分行2项目贷款分行10鸡鸣寺支行2流动资金贷款分行12新街口支行1光华支行1个人中长期消费性一手住宅按揭抵押贷款支行1营业部2热河支行3业务名称机构名称样本量（份）备注个人综合消费保证贷款洪武支行1鸡鸣寺支行1金信支行1营业部3个人定期存款（一年）光华支行302008年9月19日到2008年9月26日随机抽取30笔业务四、部控制总体评价立信永华对银行执行了部控制评价的相关程序，认为目前银行的部控制总体处于良性状态：（一）银行的部控制环境相对良好，但部控制政策和目标缺乏针对性，总行、分支行定位不够清晰，总行部门存在责、权、利不匹配的问题；（二）银行的风险管理体系基本适应经营发展现状、涵盖各项风险类别。管理层对于银行面临的主要风险十分关注，尤其重视对操作风险的控制。但在风险指标体系建设，以及新产品风险识别与评估等方面，还需要不断完善与调整；（三）银行已建成一套贯穿整个银行的部控制体系和一套基本覆盖各项管理和业务活动的制度、流程体系。但控职能界定尚不十分明晰，制度与流程建设的管理缺少综合性与前瞻性，控文化不强，员工的控执行力相对不高，控体系的循环建设机制也有待加强；（四）银行的信息与沟通机制目前基本能够满足银行的需要；（五）银行的监督、评价和纠正体系目前基本建立，但与部控制不断自我完善的要求尚存在差距；（六）银行在部控制执行上总体尚好，但潜在风险并不小。五、部控制评价报告的使用本报告仅供银行及其管理层参考和使用。在未取得立信永华事先书面同意前，银行不得将其出具的报告或报告的影印本提供给任何第三方。立信永华将会酌情同意或拒绝出具书面同意。在任何情况下，立信永华都将不对使用或收到报告或报告的影印本的任何第三方承担任何义务或责任。第二部分部控制体系有效性评价以下的评价是对银行部控制总体进行评价，并不包括对细节问题发现的论述。一、部控制环境控制环境确定了整个银行的基调，直接影响员工的控制意识，该组成要素是其他控要素的基础。对银行“部控制环境”的评估从以下七个方面进行：公司治理、董事会/监事会/高级管理层责任、部控制政策、部控制目标、组织结构、企业文化和人力资源管理。（一）公司治理银行建立并持续完善了以股东大会、董事会、监事会和高级管理层为核心的“三会一层”的公司治理组织结构，通过优化成员结构、制定议事规则和制度、完善决策程序，建立了职责明确、分权制衡、规运作、科学合理的公司治理机制。董事会下设发展战略委员会、风险管理委员会、提名及薪酬委员会、关联交易控制委员会和审计委员会；监事会下设审计委员会和提名委员会。董事会办公室和监事会办公室负责“三会”日常事务。银行目前已经按照监管相关要求，建立了一套完整的公司治理制度，包括《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、《董事会审计委员会工作细则》、《独立董事工作制度》等。（二）董事会、监事会、高级管理层责任《银行部控制框架与要求》中对于董事会、监事会和高级管理层的职责做出了明确的划分，但立信永华从访谈和查阅相关文件中发现，目前董事会、监事会在部控制上并未完全承担应有的职责，比如制定部控制政策，以及对部控制体系、部控制制度等的审查、审批。（三）部控制政策银行于2007年制订并颁布了《银行部控制框架与要求》，其中对部控制政策做出了明确说明。（四）部控制目标《银行部控制体系框架与要求》中提出了部控制工作的目标和原则。立信永华认为银行的部控制工作原则明确适用，但部控制目标含糊，没有指出部控制工作的根本目的。根据回收的调查问卷发现，银行整体有超过25%的被调查对象在“对您的考核指标是否体现了银行的部控制目标”中选择了“否”或“不清楚”。表明银行的部控制目标还没有完全体现到业务中，或银行对部控制目标宣传不够。是否不清楚银行整体74.8%7.3%18.0%总行68.1%7.8%24.1%分支行80.1%6.8%13.1%（五）组织结构在部控制组织体系方面，银行持续完善风险管理的组织架构，依据各项风险管理政策的规定和实际管理需要，不断推进风险管理组织体系的健全与完善。但是通过访谈和调查问卷，立信永华发现银行在组织结构上还存在不少问题：1、整体组织结构（1）银行总行、分行和支行在职能和功能上定位不清晰1）总行定位不清晰，目前实际上处于总行和分行之间。总行部既存在资产、负债和中间业务等相关管理职能，又存在直接经营相关业务品种的执行职能，造成总行同时存在业务前台和中台，缺少各业务条线的纵向监督和制约，不符合部控制管理要求。比如总行的个人业务部、公司业务部和国际业务部，既要履行对各业务的监督管理职能，同时又要具体负责各业务的运作。2）银行各分行成立时间较短，在功能定位上不够清晰。总行对分行的管理更多的是依照对地区中心支行的管理方式，弱化了分行应有的权利，可能造成业务运作的不便。比如分行的组织结构和人员编制都是按照中心支行的要求设立的，没有考虑分行自身业务要求，分行缺乏自主的人力资源管理权限，存在人才短缺现象。3）除中心支行外，其他支行在职能和功能定位上严重缺失。地区的支行基本不开展除负债之外的银行业务，资产和中间业务都需要上报中心支行，从而弱化了支行本应具备的网点功能，导致现有支行定位不够清晰，浪费了网点资源。（2）总行高级管理层分工存在问题，尚需进一步明晰高级管理层的分工存在职能管理和业务管理权限交叉的现象，导致分管部门的领导不管理部门中某项业务的情况，不利于整体部控制。（3）总行部分部门职责不清，权限不明，责、权、利不匹配1）部门职能变更，职责梳理不够清晰，造成与其他部门职责、权限交叉。比如总部的营运管理部，由于是从原会计结算部转变而来，职责梳理不够清晰，造成其本身业务（IT设备的管理和综合柜员的管理）与信息技术部和人力资源部存在交叉。2）部门职责不清，造成与其他部门职责、权限交叉。比如个人业务部只负责对个人产品进行营销，而产品设计、定价等权利都归其他部门所有。总行对个人业务部的业务职责界定不清，造成个人业务部在管理和运作个人业务时，与其他部门产生职责和权限交叉。（4）总行部分部门设置有待改善1）部控制工作包括制定和编写部控制体系，组织各个部门和分支机构制定和完善部控制相关制度和控检查，工作量非常大。而银行负责控相关工作的是风险控制部门下面的二级部门，在人员和权限上都略显不足。2）银行目前由法律事务部负责对法律风险的控制，但是该部门仅是风险控制部下的一个二级部门。随着银行业务的发展和跨区域经营的深入，相关的法律事务也将增多且愈来愈复杂，法律事务部作为一个二级部门难以承担相应职责。2、控组织结构银行没有明确的控组织职能划分，银行将控管理与操作风险的管理结合的较为紧密，主要通过对操作风险的管理并结合对其他各项风险的管理建立控管理组织体系。在高级管理层以下，银行的风险控制部负责制订风险管理政策，组织风险的识别、计量、监测和控制工作；各条线管理部门负责各自业务的风险识别、计量、监测和控制的制度与流程建设，并对本部门制定的制度和流程的执行与遵守情况进行检查、完善和汇报；其他部门和分支机构负责对制度和流程的执行工作，识别、监测、控制、检查、汇报本机构的各项风险。六）企业文化银行的企业文化以“以变求新，以新求恒”的企业哲学和“造福社会，服务股东，服务大众”的企业使命为基础，提倡“坚忍不拔、傲然挺立、敢为天下先”的企业精神和“忠诚、主动、严谨、高效”的企业作风；遵循“创新、发展、诚信、协作”的核心价值观；倡导“预防、控制、化解、经营”的风险控制理念。银行对这些理念进行了详细的定义，通过员工手册、电子显示宣传屏、贴标语、培训、会议等各种渠道进行有效宣讲。但通过访谈，立信永华了解到，相对国有商业银行，银行的控文化较弱，在经营管理中体现为重业务发展，轻控管理，对控、风险管理人员的激励性不强。（七）人力资源管理银行对机构设置、岗位设置、招聘、薪酬、培训、晋升、绩效考核等制定了较为详细的规定，针对不同类型的员工、不同层次的岗位制定了针对性的人力资源政策，并通过制度化的流程确保整个人力资源的操作按既定流程公正开展。在人力资源考核制度方面，银行制定了《市商业银行中层管理人员考核管理办法》和《市商业银行行员考核管理办法》。在培训制度方面，银行制定了《银行行员培训实施细则》，加强对员工的合规、控和风险管理培训。但根据立信永华收回的调查问卷统计结果显示，总部员工接受部控制培训并不充分，尤其是部控制的理论方面。最近半年您是否接受过部控制方面的培训？您接受过的部控制培训主要包括？随着跨区域进程加快和业务的迅速扩，银行对于高素质人才的需求急剧增长。虽然已经采取了各类措施积极应对，但目前的状况难以在短时间解决，银行将在较长时间承受人力资源短缺的风险，尤其是分行，将面临新型业务高级人才短缺的风险。二、风险识别与评估银行的主要风险包括市场风险、信用风险、操作风险、流动性风险、法律合规风险和声誉风险。风险管理的主要容包括：1、进行风险识别，确定风险识别围，并确定风险识别的方法。2、对各种风险进行计量、测试和评估。3、确定风险应对措施，并评估应对措施的执行效果。由于银行所处经济环境、行业、法规和经营状况不断变化，需要一个确认和处理与这些变化相关风险的机制。风险识别和评估的前提是使经营目标在不同层次上相互衔接，保持一致。立信永华对风险管理的评价从以下三个方面进行：1、风险管理体系；2、经营管理活动风险识别与评估；3、风险控制。（一）银行的风险管理体系总体比较健全银行根据自身现状和所处经营环境，确定了风险管理模式，自2004年起开始建设全面风险管理体系。截至2008年底，银行已建立了包含市场风险、信用风险、操作风险、流动性风险、法律合规风险和声誉风险在的统一风险管理体系。在确保银行面临的主要风险可以得到识别的基础上，风险管理基本覆盖全行各项管理、业务活动。银行以风险管理的政策体系、组织体系、制度体系、监测体系和报告体系等体系性建设工作为框架，开展各项风险管理工作。1、银行制订了明确和适用的风险管理政策2007年，银行发布了最新的风险管理政策，包括总体风险管理政策和市场风险、信用风险、操作风险、流动性风险、法律与合规风险等各项风险管理政策。银行的风险管理政策符合现行法律法规和监管的要求，基本体现对侧重控制类型风险的监测与控制，并突出了银行自身经营的特点，是指导银行开展风险管理的纲领。银行的风险管理政策确定了各项风险管理的职责界面、管理策略、控制要点、外部审计容、报告关系、人力资源要求及其它相关容。2、银行的风险管理组织职能划分清晰银行风险管理的组织职能划分是清晰的，风险管理由董事会、高级管理层、归口管理部门和风险条线管理部门，及业务部门和分支机构等各级机构组成，监事会对风险管理工作情况进行监督。但银行在风险管理的岗位设置和风险管理岗位的履职情况方面，存在不足。如总部国际业务部的风险控制岗长期空岗，风险控制岗对相关业务的审核职能未能履行。银行并未实施真正意义上的风险控制垂直管理。银行的各分行和中心支行的风险控制人员名义上是总行派驻的，但是风险控制人员不接受总行直接垂直管理，不对总行风险控制部负责，而是接受分支行的直接管理。（二）经营管理活动风险识别与评估1、银行建立了较为完备的风险指标体系银行对信贷资产和非信贷资产（包括债券资产、固定资产等）的风险进行了详细地界定与分类管理，并制订了相关 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 。2007年，银行建立了风险监测指标体系。银行的风险监测指标体系分为市场风险、信用风险、流动性风险、操作风险、法律合规风险及补偿指标六类。银行的风险监测指标体系涵盖银监会要求的风险监管核心指标，同时根据自身经营的特点和需要，增加了一些必要和有效的风险监测指标。银行的风险监测指标体系较为系统和全面，与目前的经营现状基本相适应，但仍需根据经营管理的要求，不断调整和完善风险监测指标体系。截至2008年，银行已经确定了部分风险监测指标的监管阈值，其他风险监测指标尚待研究和确定阈值。如银行在《风险监测报告2008年实施要点》中对流动性风险指标体系中的存贷款比例、最大十户存款比例没有确定监管阈值。银行在风险预测和风险指标分析方面有待加强，以指导银行进行主动的风险防，降低可能风险导致的损失。对经理级别以上员工的问卷调查显示，38.0%的被调查对象认为银行缺乏全面的风险分析程序，被调查总部员工中该比例更高。问卷调查：银行是否具备全面的风险分析程序？全部员工经理以上总部是53.2%53.3%47.5%否40.8%38.0%45.4%其他6.0%8.7%7.1%此外，银行风险管理的量化监测方面还存在不足，在各项业务的信息化管理系统中，应加强对风险指标的实时监测。2、银行初步建立授权管理机制和风险限额管理体系银行按照《授权管理办法》，对信贷审批等经营行为，实行严格的授权与转授权管理机制，控制风险规模。为了加强对信用、市场和流动性风险管理，规划和建设风险限额管理体系，银行于2008年颁布了《信用、市场、流动性风险限额管理规程（试行）》和《银行风险管理限额体系建设规划》。银行在风险限额管理中，运用风险计量方法对信用、市场、流动性风险进行限额设定、分配、调整、监测预警、超限额处理和报告，使信用、市场、流动性风险更加有效地控制在可以承受的围。目前银行已经建立了主要信用、市场、流动性风险指标的限额体系。3、银行不断优化和完善风险报告系统银行已经建立了风险监测指标收集、处理分析、报告编制、反馈和建议、组织落实的一整套流程，初步设计了由风险承担部门、条线管理部门、风控归口部门、高级管理层、董事会等环节组成的报告和反馈机制。2008年，银行制定了《风险监测报告2008年实施要点》，明确规定了对信用风险、市场风险、流动性风险、操作风险、法律与合规风险的监测围、监测频率及报送渠道，系统地、较为明确地规了全行的风险报告流程。4、银行逐步深化风险分析与预测工作银行正在逐步开展风险测试工作，测试工作从重要业务开始试点进行，针对性很强。2008年，银行进行了市场风险压力测试（房地产贷款压力测试、本币债券市场风险压力测试）和流动性压力测试工作。银行的压力测试围需要进一步扩展，同时需要根据经营管理的需要引入其他综合性风险分析工具，如VaR、经风险调整的资本收益率（RARO）C等。5、新产品风险识别与评估银行开展了对新产品的风险识别与评估，主要容是法律与合规风险、操作风险的识别和评估。但银行缺少对新产品风险评估的系统管理，新产品的风险识别与评估容不够全面。（三）风险控制银行通过严格的资金头寸管理控制流动性风险；通过客户准入政策、风险限额、信贷授权机制等手段控制信用风险的规模；通过综合管理塑造品牌声誉，控制声誉风险及可能引发的流动性风险。操作风险被评估为银行最为主要的风险源，银行加强对管理和业务活动的部控制管理，实现对操作风险的控制。三、部控制措施（一）运行控制1、控点的识别与控制银行现有制度体系比较健全，覆盖围基本包含了现有的经营和管理活动。部分总行颁布的制度虽然作出了对管理和业务活动的原则性指导，但还不能直接规管理和业务活动的操作行为，需要基层机构根据管理和业务活动的实际情况，细化各项规章制度。银行在管理和业务流程建设方面，也还存在较大空白，对于一些重要的管理和业务活动，还未能制订规的工作流程。银行总行颁布的制度对大部分岗位的职责和工作容进行了明确规定，但未能涵盖全部岗位职责和工作容，更缺乏对工作流程的说明。而在部控制管理中，工作流程是重要的工具，工作流程将明确说明管理和业务活动的操作次序、操作容、操作和控制 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 、相关责任岗位及各责任岗位的职责与权力，同时明确关键部控制管理点。缺少工作流程体系将使一些管理和业务活动在进行控管理时难以确定控点和相关岗位，在控责任处理时也难以确定相关责任人。问卷调查显示，61.3%的被调查对象根据公司制度对岗位职责、工作容和工作流程认知清晰，仍有17.3%的被调查对象认为实际工作与制度描述存在差异，20.1%的被调查对象认为制度只对岗位职责、工作容和工作流程进行了原则性的规定，需要依靠个人经验和能力理解岗位职责、工作容和工作流程问卷调查：岗位职责、工作容和工作流程认知度全部员工公司制度中都有明确描述，并在实际工作中按此进行61.3%实际工作与制度描述存在差异，但无论是本人还是上级和相关人员都对此差异进行了确认17.3%更多依靠个人经验和能力，制度进对此进行了原则性的规定20.1%工作程序、容和职责都未在制度里体现1.3%问卷调查显示，63.9%的被调查对象认为银行对工作中的关键控制点有明确规定，仍有认为36.1%的被调查对象认为关键控制点缺乏制度描述，总部员工反映该情况更为严重。问卷调查：员工对工作中的关键控制点认知度全部员工总部分支行公司制度里都有规定63.9%56.6%69.9%主要根据个人经验判断36.1%43.4%30.1%问卷调查：对可能造成重大影响的风险隐患，或者可能需要引起最高管理层重视的机制，银行是否有较好的识别系统？全部员工总部分支行是68.9%62.0%74.4%否26.7%31.7%22.7%其他4.4%6.3%2.8%问卷调查显示，银行对大部分管理和业务活动中可能导致偏离部控制政策和目标的环节通过书面制度建立了操作和控制标准，在全部被调查对象中，13.8%的被调查对象认为仍存在对控点规缺失的情况，总部员工反映该情况更为严重。问卷调查：对于可能导致偏离部控制政策和目标的各类运行情况，银行是否建立书面程序，并规定操作和控制标准？全部员工总部分支行是86.2%81.0%90.4%有一些运行活动没有建立程序6.0%9.2%3.4%否7.8%9.9%6.2%问卷调查显示，76.6%的被调查对象认为银行采购或外包的设施、设备、系统和服务中已识别的风险，已建立了控制程序2、计算机系统控管理对部分业务活动，银行已经采用计算机应用系统开展部控制管理，主要包括：综合业务系统、信贷管理系统、小企业授信评核决策系统、信贷客户基础数据库、个人信用信息基础数据库、房产抵押网上申报系统、个人抵押物电子估价系统、联网核查公民身份信息系统、商业汇票交易管理系统等。3、控措施银行运行的部控制主要包括以下容：授信部控制、资金业务部控制、存款和柜台业务部控制、反洗钱部控制、关联交易部控制、中间业务部控制、会计部控制、计算机信息系统部控制等。银行采用各项可行的措施，开展部控制活动，主要手段包括：审批与授权、验证与核实、行为控制、兼容岗位的适当分离等。问卷调查：银行部控制措施手段控措施采用率高层检查71.8%行为控制84.6%风险暴露限制的审查82.7%审批与授权93.8%验证与核实86.1%兼容岗位的适当分离84.1%（二）计算机系统环境下的控制银行的计算机系统环境控制包括设备维护控管理、系统软件开发与维护控管理、应用软件开发维护控管理及网络管理（包括机房管理）。设备维护按照《银行计算机设备维护管理办法》进行控管理。系统软件开发与维护按照《银行业务应用系统开发维护管理办法》进行控管理，系统参数修改和数据库结构变更等行为都在严格的审批后进行。银行开展计算机系统的实时监控，对业务数据实施数据级备份，但需要建立远端备份系统以提高系统的可靠性。此外，银行的信息系统通过管理日志系统和审计系统监督信息系统人员的操作。系统网络和机房按照《办公网络管理规定》和《机房管理规定》进行控管理。银行根据各项应用系统操作管理办法对应用系统的操作进行控管理，对应用参数修改、数据修改等行为实施严格的行长审批制。（三）应急准备与处置2008年，银行制订《应急预案体系建设规划及2008年实施要点》，规了应急预案体系容，制订建设规划。银行现有应急预案包括：《流动性风险应急预案（草案）》、《业务系统突发事件手工应急预案》、《突发经济安全、恐怖袭击等社会安全事务应急处置预案》、《重要信息系统突发事件应急处置预案》、《支付清算系统危机处置实施方案》、《联网核查公民身份信息系统突发事件应急处置实施办法》、《部分人员集体辞职应急预案》、《个人理财业务应急预案》，并制定了《突发金融风险处置办法》。四、监督评价与纠正（一）部控制绩效监测2008年，银行制定了《部控制检查责任制（试行）》，按照“谁管理、谁检查，谁检查、谁负责，谁的隐患谁整改”的原则开展各级机构的控检查工作。总行风险控制部为全行部控制检查的归口管理部门；各分行（中心支行）风险管理部为本层级部控制检查的归口管理部门；条线管理部门负责制定、完善本条线部控制检查管理制度并组织实施。银行的各级风险管理部门、控条线管理部门于年度末制订下一年度的控检查计划，经本级各级风险管理部门汇总、报批后执行。银行审计稽核部作为控管理的第三道防线，对全行的控运行情况进行部审计。但是，银行的部控制检查机制缺少整体性管理，没有自上而下地将控检查工作分解到各条线管理部门。条线管理部门只是针对本条线部控制薄弱环节及风险易发环节来有针对性地制定检查计划。此外，银行对一些风险较大部门的控检查不够。如国际业务部权限较大，但是在访谈和资料审阅中，立信永华发现，在2005年到2008年期间，总行只在国际业务部负责人离任时，才对该部门进行了一次审。最后，风险控制部对控检查的实际执行情况还有待提高。2008年控检查计划完成46项，总行各条线管理部门有4项检查计划尚未完成。（二）违规、险情、事故处置和纠正及预防措施审计稽核部经过部审计，发现了部控制上出现的问题，并及时向管理层通过审报告的形式进行了汇报，审报告指出了问题，但对于发现的问题主要停留在形成原因的表面，还需进一步深入分析产生该问题的管理原因。此外，银行问责制没有真正实施。通过访谈和调查问卷发现，由于大多数管理和业务活动的流程不够清晰，风险控制节点不够明确，不能将风险控制点和岗位相对应。风险出现后，查找不到相应的责任负责人，导致了在审和检查中发现的大多数问题难以进行考量，无法真正实施问责制。（三）部控制体系评价2007年部控制体系评价工作由总行风险控制部负责，2008年起，此工作移交总行审计稽核部。目前，审计稽核部作为全行部控制监督、评价的主要部门，已按照有关要求开展对部控制体系的健全性和有效性及制度执行情况的评价工作。2008年银行《部控制的自我评估报告》按照《商业银行部控制指引》及《商业银行部控制评价试行办法》对全行的部控制体系实施了评价，评价容基本完整。（四）管理评审2008年，董事会增设了审计委员会，以加强对部控制制度、审计制度的建立及实施情况的检查、监督等，审计委员会在一定程度上较好的发挥了所承担的决策职能。五、信息交流与反馈（一）交流与沟通银行已建立了董事会与专业委员会、董事会与管理层之间的信息沟通机制，建立了一套运营会议制度。董事会、监事会及下设的各专门委员会定期或不定期召开各项会议，听取管理层的经营分析汇报，责成有关部门提交书面报告或以实地调研方式检查监督部控制体系的运行情况。银行管理信息系统平台已基本搭建完成。依托信息共享平台，搭建了电子公文系统、发文借阅系统、电子系统、业务园地和员工心声等多个行信息交流平台，可将全行各类经营数据、财务数据、网点财务报表等以报告形式传递到不同的管理层级。在对外信息披露方面，银行制定了《银行股份信息披露管理制度》，确保股东、监管机构和社会公众及时、准确了解其经营信息；制定了《银行股份年度报告编制实施办法》等，实现了信息披露工作的规化，提高了公司治理的透明度。银行保证了信息分析深度与质量，但在多数情况下，没有明确例外情况的汇报机制。立信永华从收回的调查问卷发现，仅有15.1%的被调查对象认为在工作上遇到例外的情况公司有明确的渠道沟通。您与上级领导、相关部门和下属的信息沟通情况在工作中遇到例外的情况公司有明确的渠道沟通目前交换的相关信息都进行适当的汇总和提炼，可满足进一步详查的需要只是按要求交换相关的资料和文件，目前的报告仅仅是数据与资料的堆砌目前，银行对于信息的获取和及时反应需进一步的改进。仅17.6%的被调查对象认为对于目前的信息加工与分析很满意，57.5%的被调查对象认为能够满足日常工作要求，17.3%的被调查对象认为还有许多工作需要改进。您认为目前贵部门是否能够及时获取和传递信息，以利于有效监控有关事件和活动（部和外部），并对经济、行业因素和控制问题迅速做出反应？7.5%目前的管理工作非常出色目前的管理工作能够满足日常工作的需要目前的管理工作在局部方面还有缺陷目前的管理工作还需要进行许多改进二）部控制体系对文件的要求银行颁布了《部规章制度管理办法（试行）》，规定了银行的制度分类标准和适用条件，明确了相关部门对各级、各类制度的管理围，以及制度计划、制度起草、制度审查、制度审批与颁行、制度解释的职责界定。银行大力推进控体系建设，坚持持续改进，利用控体系建设进行规化管理，确保银行年度经营目标、风险管理和控管理目标的实现。现有制度体系比较健全，覆盖围基本包含了现有的经营和管理活动。自2006年起，银行开始编制《控手册》，截至2008年底，银行已经对《控手册》进行了多次的修改和补充。但通过访谈和查阅资料，立信永华发现，银行虽然编制了《控手册》，建立了初步的控制度体系，并制定了《部控制体系框架与要求》，但《控手册》本质是一部业务和管理制度、流程汇编，而《部控制体系框架与要求》只是《商业银行部控制评价试行办法》和《商业银行部控制指引》的引用，并不是符合银行自身特点的完整部控制制度体系。银行的制度建设工作还缺少对控监督检查结果的深入分析，以及在此工作基础上进行的有针对性、综合性、前瞻性的总体管理。在管理和业务流程的建设方面，存在缺位的领域，对于一些重要的业务活动，未能通过建立流程明确操作次序和各相关岗位的职责和权利，未能对部控制体系中的控组织、控流程、风险识别、控体系评估和反馈等各要素及其相互作用关系描述清楚。（三）文件控制银行对制度文件进行了统一存放，方便了整个银行对于各类制度文件的获取。但目前缺乏一个有效的分类维护程序和查询工具，使得对制度文件的检索不够方便快捷。调查问卷发现，73.7%的被调查对象认为银行文件查询是方便的，另有26.3%的被调查对象认为不方便。（四）记录控制银行采用书面形式对部控制相关活动中所涉及记录进行了标识、生成、贮存、保护和处置。部控制记录保持清晰、易于识别和检索。第三部分部控制执行有效性评价一、控执行情况总体评价银行在部控制执行上总体尚好，目前没有出现由操作风险引发的大案，但通过访谈和资料查阅，立信永华认为银行控执行的潜在风险并不小，主要体现在如下几方面。（一）柜员违规操作现象较多在审计稽核部的专项审计、光华支行的例行检查中，均发现柜员违规行为，包括当班期间为自己办理对私业务、从行领入现金未经复点就整捆或部分对外支付、假币上交不及时、柜员间调拨现金不规等等。（二）客户经理存在部分违规现象在分行的合规检查中，发现不少客户经理不合规操作的现象，包括在质押贷款业务中，档案材料没有可以证明质押物为出质人所有的相关证明，包括购销 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 、增值税发票等；在合同等法律文件的填写环节存在不规、不完整甚至前后矛盾。（三）离任员工的贷款清理和权限清理问题较多，而且处罚措施不强在访谈和资料查阅中，立信永华了解到对离任员工执行违规的处理情况较为薄弱。比如在审计稽核部的专项审计中发现存在部分离行员工信易贷授信额度未取消、信易贷贷款未归还并且没有转为综合消费贷款，离行员工在综合业务系统中的柜号代号未被删除等情况，但是整改建议是仅仅是对发现的问题进行清理，没有按制度追究。（四）信贷管理上存在问题较多在审资料查阅中，立信永华了解到，银行在信贷管理，尤其是贷后管理上有待加强。在信贷操作上不够规，比如对借款人基础资料收集不够完整，对贷款用途的审核不够严格，对信贷规化文本要素的填写不够规等。在贷后管理上力度不够，比如全面监测报告容过于简单，对贷款用途的监控不够深入，个别公司贷款监测报告容与实际情况有出入，贷款用途监督单记录不全，未完整反映贷款资金的流向等。在对银行2008年报审计中，立信永华审查到一些贷款方面的问题。如贷款中存在子公司为母公司担保的情况；贷前调查、贷后跟踪调查均由信贷员独立完成，没有第三人核实监督等。二、抽样测试及结果分析（一）抽样方法本次工作依据控测试方案中所确定的工作方法进行，采用随机抽取的方式，取得所抽取业务的相关档案和凭证单据，再根据银行《控手册》中有关制度规定，以及该业务审批流程及权限，对所抽样本的控执行情况进行测试。由于立信永华无法获取各业务期间存入电脑的数据、网上操作及授权的流程，只能对已存档的书面资料进行查阅和访谈，所以本次抽样结果所评价的控执行有效性，仅包括对抽样业务所留存的书面资料是否遵循银行规章制度，以及是否有合规完整的书面签字和盖章等。（二）测试结果1、对公贷款业务检测依据为《市商业银行信贷管理办法》等相关制度。大部分业务均未发现与制度不符的地方，存在的问题有：（1）1笔业务在档案移交时，没有签字和盖章。2、对私贷款业务检测依据为《市商业银行个人住房贷款管理办法（试行）》、《关于调整我行个人贷款业务有关规定的通知》、《市商业银行个人综合消费贷款实施意见、《市商业银行个人综合消费贷款管理办法（试行）》等制度。大部分业务未发现与制度不符的地方，存在的问题主要有：（1）5笔业务缺少个人征信授权书；（2）5笔业务缺少资产状况证明；（3）1笔业务缺少借款人收入证明；（4）5笔业务缺少自筹资金缴付证明。3、存款业务检测依据为《市商业银行储蓄业务管理暂行办法》、《市商业银行单位通知存款管理暂行办法》等制度。未发现与制度不符的地方。4、梅花贷记卡业务检测依据为《梅花贷记卡（个人卡）审批实施细则（试行）》等相关制度。存在的问题较多，主要有：（1）全部业务单据缺少“原件已核”的手续签字或盖章证明；（2）2笔业务单据缺少“账号已核”的手续签字或盖章证明；（3）14笔业务档案缺少收入证明；（4）18笔业务单据缺少审批人意见、签字、盖章；（5）1笔业务审核意见为不发卡但仍下发了卡号；（6）1笔业务缺少支行初审意见；（7）1笔业务缺少支行初审、复审和审批人意见、签字、盖章，但仍下发了卡号；（8）1笔业务档案中复印件为假。5、进口跟单信用证业务检测依据为《市商业银行进口跟单信用证业务管理办法》等相关制度。其中，存在的问题主要有：（1）全部出账通知书中，出账信息栏显示的出账年利率错误；（2）全部业务缺少国际业务部风控岗审核意见；（3）1笔业务出账通知书中，授信余额显示为0.000000，而实际该公司已签订年2亿美元的授信总额度，且未用完。6、贴现业务检测依据为《市商业银行商业汇票业务管理暂行办法》等相关制度。基本未发现与制度不符的地方，存在的问题主要是合同的填写不规，包括：（1）所有档案都没有填写合同号；（2）新港支行、钟山支行等贴现业务审批意见书合同封面未按要求填写支行联系和日期。（三）结果分析通过上述测试，立信永华认为，银行的业务总体执行情况较为良好，存在的主要问题是资料缺失和合同填写不规。在进口跟单信用证业务的相关制度里，要求有国际业务部风控岗的审核意见，但国际业务部并未设置该岗位；信用卡业务的部控制执行情况问题较多，体现在未按制度要求执行审批流程，缺失要件资料，对资料的真实性审查不足等。三、控执行问题原因分析银行在控执行方面的问题有两点原因。（一）员工对本岗位控风险点缺乏认知银行缺乏相应的控培训机制，导致相关人员不了解其岗位有关的风险点和控点，没有按照控制度去执行业务。比如在分行去年的合规检查中，出现了有客户经理由于不熟悉制度流程，未按照相关规定及合同本身的约定进行规、完整填写的情况。（二）员工主观上对部控制不重视银行对控文化不够重视，同时对控执行的奖惩力度不够，使得相关员工虽然了解控制度，但却不按制度执行，或者违反制度。比如在多份部审计报告中均提到普遍存在柜员的违规问题。第四部分部控制管理建议立信永华在第四部分的一览表中对所提出建议的性质和改进的优先顺序进行了汇总。改进的优先顺序分为高、中、低三档。高对重大控制缺陷的建议。这些控制问题可能给银行带来重大操作、法律和合规、声誉风险和/或导致出现重大错误。因而，这些控制问题应立即予以解决。中对较为重大控制缺陷的建议。这些较为重大控制缺陷，如不加以改进将可能导致工作较为重大错误和/或导致合规或声誉风险。因此，只要资源能力允许这些控制缺陷就应尽快解决。低对相关影响程度较低的控制缺陷的建议。这些缺陷主要是有悖最佳操作原则和可能导致效率低下的做法，它们不太可能导致银行出现重大错误。这些缺陷应在时机恰当条件允许的时候及时予以解决。、部控制管理建议一览表编号建议优先顺序1、部控制环境组织结构1.1建议将总行的业务管理职能和业务执行职能分离，设立分行高1.2建议梳理分行人事授权高1.3建议梳理支行的现有定位高1.4建议梳理总行高管人员业务分工中1.5建议按照业务条线对总部部门进行梳理，重新分配各部门责、权、利高1.6建议设立独立的法律合规部中企业文化1.7加强控文化宣传，强化控文化，增强员工的控意识和责任；宣传法律法规、监管要求，积极开展控培训中1.8建议梳理控管理条线关系；明确各级机构的控管理职能高2、风险识别与评估风险管理体系2.1建议实施风险控制的垂直化管理中风险识别与评估2.2建议持续调整和丰富风险指标体系容高2.3建议完善和调整风险指标阈值中2.4建议进行风险预测和风险指标的深入分析中2.5建议利用信息化系统，加强风险指标的实时监测中2.6建议平衡业务发展和风险管理之间的关系中2.7建议扩展风险压力测试围中2.8建议完善新产品风险识别与评估体系中3、部控制措施运行控制3.1明确控点和相关岗位职责高计算机系统环境下的控制3.2建设远端备份系统，加强系统和应用层的操作控制，加强计算机系统安全管理。中4、监督评价与纠正部控制绩效监测4.1建议制定全行控检查目标并分解下达低编号建议优先顺序违规、险情、事故处置和纠正及预防措施4.2建议优化审报告中建议的有效性和可操作性中4.3建议严格实施问责制管理高5、信息交流与反馈部控制体系对文件的要求5.1建议建立完整的部控制体系及编制相关部控制文件高二、部控制管理建议（一）部控制环境1、建议将总行的业务管理职能和业务执行职能分离，设立分行银行应在条件成熟时成立分行，将总行现有的业务执行职能剥离，下放到分行，分行统一管理地区的所有中心支行和支行的相关业务，而总行只行使对各业务的管理、风险控制和后台支持等职能。2、建议梳理分行的人事权利银行应建立符合分行发展的人事授权体系，促进分行业务发展。3、建议梳理支行的现有定位对支行的管理，应重新对支行进行定位，逐步加大支行的业务授权力度，充分发挥支行的网点功能，比如支行在个人信贷及中间业务上的作用。4、建议梳理总行高管人员业务分工银行总行高级管理层应按照业务条线和前、中、后台运作的控要求，重新调配现有工作，做到职能管理和业务管理的统一，避免权限交叉的现象。5、建议按照业务条线对总部部门进行梳理，实现部门责、权、利匹配银行总行部门应按照个人业务、公司业务、国际业务、投行业务、风险控制、资金运营等业务条线对总部部门进行重新梳理，编写新的部门职责，明确各部门的职责权限，为各业务建立完善的审批流程，加强各部门之间横向的监督和制约效果。6、建议设立独立的法律合规部（一级部门）银行目前对法律事务和部控制的相关工作都是由风险控制部下的二级部门负责。随着银行业务的发展和跨区域经营的深入，相关的法律事务和部控制工作也将增多且愈来愈复杂，两个二级部门显然难以承担相应职责。银行应将现有的风险控制部下的法律事务部和部控制部合并，单独设立法律合规部（一级），负责银行的法律事务和部控制的相关工作。7、建议加强控文化建设与控培训银行应加强部控制文化宣传，强化部控制文化，增强员工的部控制意识和责任，并提高对部控制管理人员的激励水平。此外，银行应加强相关法律法规、监管要求的宣传工作，组织各级机构开展部控制理论、制度、实务的培训工作。8、建议梳理控管理条线关系，明确各级机构的控管理职能银行应加强对部控制管理工作的重视程度，在风险管理体系之外，梳理控管理条线关系，明确相关部门的控管理职能，并通过部控制管理的相关文件，书面界定各级部门、机构的控管理职能。（二）风险识别与评估1、建议实施风险控制的垂直化管理银行应实施风险控制的垂直化管理，将分支机构主要风险控制管理人员隶属关系或任免权限收归总部，下属风险管理人员对总行风险控制部负责。2、建议持续调整和丰富风险指标体系容银行应以以下两项工作为主要基础，开展风险指标体系制度和流程的调整和建设工作：（1）分析经营发展的实际情况，根据监管要求、所处外部环境和自身经营管理需要调整和新增风险指标；2）分析新产品和新业务的情况，根据需要研究调整或丰富指标体系。3、建议完善和调整风险指标阈值银行应加强风险指标阈值研究，确定各项风险指标阈值，建立风险监测的量化标准，并根据实际情况，调整不适用的风险指标阈值。4、建议进行风险预测和风险指标的深入分析银行应加强风险预测工作，可以开展各类风险的情景分析，以指导银行进行主动的风险防，降低可能风险导致的损失。在现有风险监测工作中，银行应加强对风险指标的分析，指导风险控制工作的开展。5、建议利用信息化系统，加强风险指标的实时监测银行应调整风险指标监测频率，利用信息化系统，加强对风险指标的实时监测，更加及时、准确地进行风险控制工作。加强信息系统的使用围，减少手工作业量，提高风险监测和控制工作的效率。6、建议平衡业务发展和风险管理之间的关系授权机制和风险限额管理在降低银行运营风险的同时，可能会导致运营效率的下降。银行应平衡风险控制与业务发展之间的关系，在授权机制和风险限额管理体制，给予业务更加灵活的发展空间。建议采用优化、简化高信用等级客户和中小客户业务审批流程，建立授权权限和风险限额额度外绿色业务通道等手段，解决风险控制与业务发展之间的矛盾。7、建议扩展风险压力测试围银行应逐步扩展针对重要业务和主要风险的专项压力测试工作，预防和主动调整业务结构，规避可能的风险。8、建议完善新产品风险识别与评估体系首先，银行应明确新产品风险识别与评估的管理职责界面，建立由归口部门统一组织的新产品风险识别与评估体系。其次，银行应建立对新产品的全面风险识别与评估机制，各项风险管理的条线部门根据本部门风险管理容，参与对新产品的风险识别与评估。（三）部控制措施管理建议1、建议明确控点和相关岗位职责银行应通过制度和流程的建设，在各项管理和业务活动中明确控点，规定相关岗位职责。2、建议加强计算机系统环境的部控制银行应及时进行数据远端备份系统的建设，确保业务数据的安全性。同时，应加强计算机系统和应用层的操作控制，防控道德风险。此外还应加强计算机系统安全管理，预防外部入侵和病毒感染损失。（四）监督评价与纠正1、建议制定全行控检查目标并分解下达银行应首先制定全行控检查目标，自上而下的将目标分解至各条线管理部门，各条线管理部门在此基础上，再结合本条线部控制薄弱环节及风险易发环节来制定检查计划，再上报并汇总下达。2、建议优化审报告中建议的有效性和可操作性银行应建立一个系统的流程来监控及确保管理层有效并及时的实施审计建议。建立一个跟踪系统来跟踪记录所有审计发现以及相关问题的状况。该系统应当记录审报告中的各种关键性详细信息，为监控流程提供便利。应在审计报告中深入分析产生问题的管理原因，使得提出的改进意见具有可操作性，比如列明问题的重要性或优先度、实施行动计划、获准的实施日期、实施负责人等。3、建议严格实施问责制管理银行应对控检查中发现的问题严格实施问责制，通过建立惩罚措施强化员工的控意识，做到奖罚有力，以杜绝和控制员工的操作风险，提高控工作效果。（五）信息交流与反馈银行应按照银行自身的发展阶段和业务特点，建立完整的部控制体系及编制相关部控制文件。1、银行应分析自身经营发展的实际情况，根据监管要求、所处外部环境和经营需要研究制度和流程的调整与建设规划；分析新产品和新业务的实际情况，根据需要研究调整或制订控制度和流程；分析控检查与监督的结果，并结合对控体系的评价工作，制订控制度和流程；2、银行在制度与流程的制定过程中，应充分收集相关部门和机构，尤其是基层机构和人员的意见，使制度与流程适合银行的业务发展现状，提高其适用性。3、银行应加强流程制订工作，规重要管理和业务活动的工作流程，明确管理和业务活动的控点，明确相关岗位职责，使控管理做到管理准确、责任清晰。4、银行应鼓励和组织分支机构开展管理细则建设工作。分支机构应在总行政策、制度指导下，建立适应基层业务实际需要的管理细则。