银行风险预警咨询项目访谈总行审计部纪要.docx

银行风险预警咨询项目访谈总行审计部纪要 参考文档 总行信贷管理部文档信息创建日期2014/08/15作者银行风险预警咨询项目团队版本历史版本编号版本日期描述修订人V1.02014/08/15新建常春艳、刘田林、李俞林目录第 13 页 / 共 13 页1会议概要42会议纪要52.1审计部管理现状52.1.1部门框架52.1.2部门职责52.1.3非现场审计现状62.1.4数据利用现状72.1.5关联关系管理82.2当前存在的问题82.2.1内部账务核算路径过于复杂82.2.2风险预警需要投入较多资源82.2.3内部数据不准确，治理难度较大92.2.4外部信息获取机制不畅，资源消耗较大92.3项目期望和建议92.3.1审计部建议92.3.2审计部门期望102.4其他相关内容103会议遗留问题和事项114待提供文档清单125会签页131 会议概要会议主题银行风险预警咨询项目需求会议时间2014年08月15日 上午10：3012：00会议地点富华大厦C401记录人李倩、刘诗雅访谈对象审计部与会人员行方：信贷管理部：邱蓉、马春，李俞林审计部：高雨原、赵晧琼德勤：刘田林、肖荣娣安硕：汤惠芬、常春艳、周夏菡、何根喜、罗瑞丽、李倩、刘诗雅、李航、郭建亭、朱江、阮阳议题1、银行审计部管理现状交流2、对预警咨询项目建设的期望和建议2 会议纪要在本次业务访谈中，重点就审计部的管理现状进行了交流，同时，也听取审计部对风险预警咨询项目建设的期望和建议。2.1 审计部管理现状2.1.1 部门框架总行审计体系架构，从总行角度主要是向董事会、监事会、管理层汇报。按照现行分工来看，是监事长主管、总审计师分管的架构。总行本级审计部有4个二级部门： 现场一部：主要是负责信贷方面的审计，包括对公、零售等； 现场二部：主要是负责财务和运营方面的审计； 非现场审计部：主要是负责非现场审计以及中的IT审计； 系统管理部：主要是负责全行的条线管理、质量控制和人员考核等方面的工作。审计部原来是审计合规部，在2012年总行合规部和审计部分设，都作为独立的一级部门，在总行设立的审计部的基础上开始设立分中心。目前共有北京、上海、成都、深圳等4家审计中心，总行本部与审计分中心共有约74人。分行层面审计部门与总行层面审计部门的关系为双线管理的体系架构，总行合规部和审计部分管之后，应地方监银监局监管要求，分行的合规审计部统一更名为合规部，但在合规部中保留了审计监督的职能，目前来看，在分行合规部中也有一部分专兼职的审计人员，同时向总行合规部和审计部汇报工作，同时也向分行一把手管理层汇报工作。在分行层面专职的审计人员有140人左右。2.1.2 部门职责审计的主要职责是对全行的经营管理和风险进行审计和评价，确保全行运营目标的实现、财务的真实准确和防止舞弊； 目前审计的重点工作：朱行长对审计工作定位提出了明确要求：揭示趋势性、苗头性的重大违法违规问题；李行长对审计工作的定位：做好保驾护航，同时要服务好分行； 在日常的审计工作开展中，总行本级年度的审计计划要上报董事会和管理层，一般是要开展大型的专项审计项目为主（结合内外部监管的重点领域、高风险领域及热点的领域），组织审计中心、条线、分行的相关审计人员、专业人员协同完成； 审计中心的职责定位：开展全面、尽责的审计，包括对总行管理干部的尽责审计，4个区域审计中心对辖区的分行进行全面审计。 目前总行审计部有增设审计分中心的计划。2.1.3 非现场审计现状06年以前的审计工作以现场审计为主，在现场调阅相关资料和数据进行分析，属传统审计模式。非现场审计起步于06年底07年初，目的是要实现以风险为导向的审计，在资源有限的条件下，将资源配置到最合理的、高风险的领域，从而有效的揭示风险、发现问题。06年底向行里提出建设非现场审计项目的立项要求，由行办公会批准通过；同时，向建行、工行、招行等同业进行调研，在调研结果的基础上，结合行内对非现场审计自主性、先进行、前瞻性的要求，以及业务特点、数据特点有机的融合，建设一个审计平台，在这个平台上，能够为审计人员提供一个自由度较高，数据比较齐全，并且能进行比较复杂、跨业务领域、跨系统作业要求。08年4月份一期上线，主要是加载、归集了对公信贷、零售信贷和会计三个业务条线的数据； 09年6月二期上线，包括国际业务、资金资本业务和计财三个业务条线的数据。系统主要应用场景是审计查询和建模，特别是审计模型方面，主要为非现场审计和监测服务。n 专项审计：要求有高质量的、完整的、准确的原数据，（目前审计部在数据源上已经有了一定的积累）， 进而结合项目，组织专家人员制定审计方案，在审计方案基础上提出明确的审计目标和审计重点，做大量的数据准备和数据分析，提出审计思路（即数据分析的角度），然后在系统上用数据和系统功能编制审计模型，按照审计模型提取的疑点数据，对疑点数据组织专家进行分析。对于重大的疑点分析，再到现场，去企业查看、与客户经理访谈、进一步调阅一、二级档案，再结合相关情况，最终得出一个风险认定水平，从而得出清晰明确的结论，也对非现场的判断进行验证。n 日常的数据积累和分析： 非现场人员独立完成一部分工作。主要根据外部监管的提示、内部各条线检查发现的典型案例、管理层的要求，编制审计模型，进行日常提取和分析；针对分析的结果，结合当年的审计项目，包括总行的专项审计项目，中心的全面审计或尽责审计项目，委托分行采用不同的形式对非现场的疑点数据进行验证，采取不同的形式，进行实地核查； 中心层面，主要职能全面审计和尽责审计，对分行进行全面审计，尽责审计是对每一个领导干部任职期间得出一个公正、客观评价，要做到这两点必须进行持续跟进和分析。目前在实践中逐步的搭建监管联络员的制度，要求中心指派专职的人员对某些分行进行持续性的跟进。除了应用非现场审计的手段、投产的模型外，定期对业务的数据进行处理和分析，同时获取大量的经营管理信息。 通过前期对外围管理数据的梳理，发现与总分行主要的业务领域审计事项相关的报表有近500张，这些报表与相关业务条线人员进行充分的沟通和确认，要求监管联络员、专家人员等定期对数据进行分析。行内正在搭建统一报表平台，预计今年10月、11月份上线。 行内有一个内控平台，合规部和审计部共同使用，合规部主要是用于操作风险控制，审计部主要是现场作业和审计的全流程管理，其中有一类是搭建了资源库，设定了审计定制化的报表，要求相关审计人员及分行合规部门定期上报地方的重要经营管理信息，包括当地银监局的特殊报表。2.1.4 数据利用现状n 非现场监测系统的数据情况： 从ODS直接获取贴源数据。 根据审计项目的需求，临时从其他系统调取数据。 整理、上传的外部数据。n 非现场监测系统希望获取数据： 13年以来全国所有信托产品的目录。 行业景气数据、行业经济指标等。 与其他部门要求的数据基本相同，只是解读方面有差异。内控平台已经搭建资源库，监管联络员会随时上传资料，会有持续积累。数据包括职业经理人采购指数，央行发布报告，大宗商品价格跟踪，libor利率跟踪等，会将个人知识体系转化为系统数据积累。目前刚刚起步，对分行发展路径有很好的了解。n 非现场审计涉及到很多内部数据，在行内整合过程中数据情况与数据问题： 2013年完成了全行数据治理的项目，对数据质量和管控有一个明确的结果，可向计财或科技部进一步了解。 从审计角度而言，新核心系统上线后数据会有很大的改善。 账务核算路径很复杂，造成疑点数据遗漏和误伤；新核心上线后会有改进。 在业务流程中的记录不完整：业务操作过程中记录过少，造成非现场识别难度较大，建议与数据治理咨询项目组进一步沟通。 数据的准确性问题： 数据的不准确是数据流程管控问题，要尽可能的使得数据结构化，加强对人员的管理，将预警数据专职专岗的人员落实在系统设计上。 外围系统数据改造成本过大，数据质量提高需要高投入资源。 系统设计时充分考虑银行流程的特点，对于预警工作，要区分轻重缓急，减轻基层工作人员的工作量。n 审计部与信贷管理部共享预警有关信息 审计部与流程中做风险控制的部门信息共享是非常必要的。 前期审计部在对公信贷中，除了基础的数据还能定期获取黑名单、房地产名单等数据，但并不是一种很清晰明确的管理模式。 风险内控委员会在会议上有管理层的管理层信息交互，但落实到预警的工作模式中，还是有很大欠缺。目前并没有一个成熟的信息共享、沟通、反馈的机制。2.1.5 关联关系管理 天网系统中现有的关联关系树。 希望获取实际控制人这类的隐形关联关系，将银监会的关联关系嵌入到流程中。 人行关联关系数据范围较广，包含非银机构客户，但是具有一定的局限性，只能单户查询，且客户必须有贷款卡。 征信数据在审计的每个流程中都在使用，使用情况较好。2.2 当前存在的问题2.2.1 内部账务核算路径过于复杂账务核算路径复杂，在追踪资金的去向时带来很多问题，造成很多重大疑点数据的遗漏和误伤，这是由于当时的核算设计所带来的问题。2.2.2 风险预警需要投入较多资源风险预警是一个非常有必要的手段，但在实施时面临着很大的瓶颈： 风险预警消耗的资源非常大，必须有人实时更新风险预警的规则，所有的疑点数据处理出来的结果也要有人实时的跟进、分析，对于发现的数据，要实时的下发给各经营单位进行验证、反馈。 预警信息反馈的真实性：各经营单位验证、反馈的结果不一定准确。2.2.3 内部数据不准确，治理难度较大内部数据不准确是数据管控出了问题。如果想把数据质量做好，不是不可以，前提是要投入很大的资源，但目前在各项管理工作中能投入的资源非常少。2.2.4 外部信息获取机制不畅，资源消耗较大现在有法院的信息，但不能批量导入，只能一户一户查询，存在一个高耗资源的问题，天网也存在这个问题。2.3 项目期望和建议2.3.1 审计部建议 在预警过程中要做到举一反三要做一个比较全面的风险管理体系，必须要有一个比较完整数据基础，在综合分析的基础上做到举一反三，否则还是一个个案。 要建立完整的数据基础完整的数据基础不仅是记录财务数据、业务数据，还要记录履职过程数据、外部数据、企业综合行为数据等，建立完整的数据基础。 要将个人智慧转换为银行智慧在外部数据应用时，要把零散的个性化的外部数据应用偏好，转化成体系化的系统外部数据获取需求，将个人智慧转换为银行的智慧，最终形成组织记忆和传承。 风险预警信息要有针对性在不同层面对宏观、微观的关注会有所不同，所以风险预警系统在总体架构上的设计时宏观层面和微观层面的结合，在风险预警的受众体系上要有一个清晰的分发渠道与目标。 从审计工作的角度，在具体指标设计时，要首先考虑设计结构性指标这方面可以与现有的系统信息共享；落实到客户层面，将财务指标与非财务指标分开分析。信息交流层面，各业务条线能迅速识别风险，并采取有效措施，降低人为因素，希望能从系统上提升信息的交流。 建议与信息技术部的新核心改造小组在数据质量方面作进一步沟通交流。2.3.2 审计部门期望 风险预警管理要常态化，要建立专业化的队伍。 风险预警是一个协同的概念，在管理理念上要有突破。通过多方位、多角度的“协同”后，将预警的层次提升至顶层设计、文化理念的角度。 风险预警要与内控的组织体系结合起来。消除职责界定不清的灰色地带，在内控管理上要做到无缝衔接，在大数据时代，将各类相关信息有机的关联组合起来，建立风险信息共享机制。 要考虑不同层级用户的需求，特别是基层人员的操作性需求，并保证后期修正的资源投入。希望系统能够落地。2.4 其他相关内容 关于后续的跟踪联系人及事件案例支持事宜后续还需要跟进一些工作，包括审计部门的系统交流，为此需要指定一个后续的跟踪联系人。同时，还需要提供事件案例作为预警分析及验证的样本。高总回复：这部分东西涉及到本级和中心，最好提供一个部门工作联系单。 关于增加合规审计管理功能模块事宜未来是否考虑在法保之后，再设计一个模块，支持合规审计管理工作。高总回复：这个问题还没想明白，现