平安银行:2017年度内部控制评价报告
平安银行股份有限公司
2017年度内部控制评价报告
二〇一七年度
目 录
前 言 ..............2
一、董事会声明 ..............2
二、内部控制评价结论 ..............2
三、内部控制评价工作的基本情况 ..............3
(一)内部控制评价的依据和目标 ..............4
(二)内部控制评价的范围 ..............4
(三)内部控制评价的程序、方法和标准 ..............6
四、建立内部控制体系的工作情况 ..............8
五、内部控制的基本框架和主要政策 ..............9
(一)内部环境 ..............9
(二)风险评估 ..............11
(三)控制活动 ..............13
(四)信息与沟通 ..............15
(五)内部监督 ..............16
六、内部控制存在的缺陷、面临的主要风险及其影响 ..............16
七、对内控缺陷及主要风险拟采取的整改措施及风险应对方案 ..............17
前 言
根据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》和 其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合平安银行股 份有限公司(以下简称“本行”)内部控制制度和评价办法,在内部控制日常和专 项监督的基础上,我们对本行2017年12月31日(内部控制评价报告基准日)的内部 控制有效性进行了评价。
一、董事会声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有 效性,并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会、高级 管理层建立和实施内部控制进行监督。高级管理层负责组织领导全行内部控制的日 常运行。本行董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在 任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性 承担个别及连带法律责任。
本行内部控制的目标是促进各项经营管理活动合法合规,持续优化和完善管理 体系及业务流程,建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为 主体”的风险管理及内部控制规范体系,提高风险管理水平,促进业务、财务和管 理信息的真实性、完整性、及时性。由于内部控制存在的固有局限性,故仅能为实 现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当, 或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的 有效性具有一定的风险。
二、内部控制评价结论
1、 本行于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2、 财务报告内部控制评价结论
√有效 □无效
根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准 日,不存在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控制规 范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3、 是否发现非财务报告内部控制重大缺陷
□是 √否
根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准 日,本行未发现非财务报告内部控制重大缺陷。
4、 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效 性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控 制有效性评价结论的因素。
5、 内部控制审计意见是否与本行对财务报告内部控制有效性的评价结论一致
√是 □否
6、 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与本行内部控制 评价报告披露一致
√是 □否
本报告已于2018年3月14日经第十届董事会第十五次会议审议通过。
三、内部控制评价工作的基本情况
(一)内部控制评价的依据和目标
为保障本行建立健全和有效实施内部控制,持续提高内控管理水平,促进银行 可持续健康发展,根据企业内部控制规范体系相关监管规定,结合本行《平安银行 内部控制管理制度》等,本行建立和完善了操作风险与内部控制自我评估(下称 RCSA-CSOX-DCFC)体系,以满足监管内部控制评价、操作风险与控制自我评估、 上市公司内部控制评价及银行自身管理要求。
RCSA-CSOX-DCFC工作目标是促进本行依法合规经营,增强核心竞争力;建立 “以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内 部控制规范体系;为银行案件防控提供工具方法和技术支持;持续优化和完善管理 体系及业务流程;建立良好的内控文化,保障内控有效地运行,促进本行自身发展 战略目标的实现。
(二)内部控制评价的范围
2017年本行内部控制自评围绕内部环境、风险评估、控制活动、信息与沟通、 内部监督五要素,通过流程梳理盘点、风险控制矩阵更新,确定主流程25个、子流 程174个,主要风险点976个,关键控制活动1,230个,涵盖公司、流程、信息科技三 个层面,形成全面覆盖本行各机构和各业务线的评价内容。
1、 纳入评价范围的主要单位包括:总行各职能部门/事业部和各级分支机构。
2、 纳入评价范围的单位占比:
表1 2017年度内部控制评价范围-1
| 指标 | 占比(%) |
|---|---|
| 纳入评价范围单位的资产总额占本行合并财务报表资产总额之比 | 100% |
| 纳入评价范围单位的营业收入合计占本行合并财务报表营业收入总额之比 | 100% |
3、 纳入评价范围的主要业务和事项:
表2 2017年度内部控制评价范围-2
| 流程 | 管理层自评 | 稽核独立评价 | ||
|---|---|---|---|---|
| 风险点 | 控制活动 | 风险点 | 控制活动 | |
| 财务报告 | 20 | 35 | 3 | 3 |
| 电子银行 | 21 | 26 | 3 | 3 |
| 对公贷款 | 64 | 74 | 30 | 33 |
| 费用管理 | 4 | 6 | 1 | 1 |
| 个人存款 | 22 | 31 | 4 | 4 |
| 公司层面 | 45 | 66 | 14 | 16 |
| 公司存款 | 32 | 56 | 4 | 4 |
| 固定资产、无形资产管理 | 16 | 18 | 2 | 2 |
| 离岸业务 | 24 | 34 | 18 | 23 |
| 理财产品 | 45 | 51 | 14 | 14 |
| 零售贷款 | 64 | 94 | 31 | 46 |
| 贸易结算 | 44 | 61 | 37 | 51 |
| 贸易融资 | 28 | 53 | 7 | 13 |
| 票据业务 | 63 | 71 | 7 | 8 |
| 汽车金融 | 69 | 85 | 0 | 0 |
| 人力资源 | 24 | 25 | 6 | 6 |
| 税务管理 | 17 | 20 | 1 | 1 |
| 投融资管理 | 25 | 25 | 8 | 8 |
| 投资银行 | 51 | 54 | 5 | 6 |
| 小企业业务 | 27 | 27 | 0 | 0 |
| 信息科技管理 | 57 | 74 | 13 | 19 |
| 信用卡 | 48 | 57 | 36 | 36 |
| 运营管理 | 52 | 62 | 3 | 3 |
| 资产托管 | 32 | 34 | 2 | 2 |
| 资金和同业业务 | 82 | 91 | 16 | 16 |
| 合计 | 976 | 1,230 | 265 | 318 |
4、 上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主 要方面,是否存在重大遗漏
□是 √否
5、 是否存在法定豁免
□是 √否
6、 其他说明事项
无
(三)内部控制评价的程序、方法和标准
1、 内部控制评价的程序和方法
2017年度本行遵循全面性、重要性、客观性和成本效益原则开展内部控制评价 工作。
法律合规部门负责全行RCSA-CSOX-DCFC工作的组织、实施与跟踪工作。
2017年本行RCSA-CSOX-DCFC是在充分整合操作风险管理(RCSA)、内部控制评 价(CSOX)、部门控制检查体系(DCFC)的方法和资源基础上,由业务流程的参 与者、经营管理活动的实施者,通过识别业务流程、经营管理活动中存在的固有风 险点,从风险发生可能性及风险影响程度两个维度评价风险等级,测试控制活动的 设计有效性及运行有效性,合理评估剩余风险水平,对业务流程、经营管理活动中 存在的风险状况与控制活动效果进行的定量、定性的评估,对内部控制缺陷实施整 改。工作程序包括工作计划准备、风险控制矩阵更新及DCFC清单制定、控制执行 有效性测试及评估、结果运用及整改跟踪四个工作阶段。
稽核监察部门组织实施内部控制稽核独立评价,对RCSA-CSOX-DCFC工作成 果进行检视。2017年度,稽核独立评价因应银行转型的战略实施,进一步加强风险 控制矩阵更新结果审阅,检视自评风险点及相应控制活动识别的完整性、准确性; 充分结合监管要求以及审计项目对本行经营情况、各项风险因素分析成果,按照风 险导向原则确定纳入独立评价范围的主要单位、业务和事项,强化对重点业务、重 点风险领域的关注,制订年度内部控制测试计划;通过“常规/后续/专项+内控评 价”项目执行内控测试计划,同时整合项目审计发现中影响内部控制的事项,认定 内控缺陷并跟进整改。工作程序包括工作计划准备、风险控制矩阵审阅、嵌入项目 测试、整合审计发现及落实整改、形成内部控制评价报告五个工作阶段。
2、 内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求,采用人民银行 《商业银行内部控制评价指南》内部控制缺陷认定标准,从定性和定量两个维度, 结合内部控制缺陷对整体控制目标实现影响的严重程度,将内部控制缺陷分为一般 缺陷、重要缺陷和重大缺陷,并与以前年度保持一致。
(1)财务报告内部控制缺陷认定标准
① 财务报告内部控制缺陷评价的定量标准
表3 财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
|---|---|---|
| 1.财务报告错报,按照错报金额占 当年末资产总额的比例≥0.25%; 2.财务错报金额占当年度利润总额 的比例≥5%。 | 1.财务报告错报,按照错报金额占当年末 资产总额的比例区间为[0.0125%, 0.25%); 2.财务错报金额占当年度利润总额的比例 区间为[0.25%,5%)。 | 1.财务报告错报,按照错报金 额占当年末资产总额的比例 <0.0125%; 2.财务错报金额占当年度利润 总额的比例<0.25%。 |
② 财务报告内部控制缺陷评价的定性标准
重大缺陷是指可能产生或者已经造成重大金额财务报告的错报;重要缺陷是指 可能产生或者已经造成较大金额财务报告的错报;一般缺陷为可能产生或者已经造 成较小金额财务报告的错报。
(2)非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。
① 非财务报告内部控制缺陷评价的定量标准
表4 非财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
|---|---|---|
| 财务损失按照损失金额占当年度营 业收入的比例≥1%。 | 财务损失按照损失金额占当年度营业收入 的比例区间为[0.05%-1%)。 | 财务损失按照损失金额占当 年度营业收入的比例< 0.05%。 |
② 非财务报告内部控制缺陷评价的定性标准
表5 非财务报告内部控制缺陷评价定性标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
|---|---|---|
| 1.对本行整体控制目标的实现造成 严重影响; 2.可能产生或者已经造成重大金额 的财务损失; 3.违反有关法律法规或监管要求, 情节非常严重,引起监管部门的严 厉惩戒或其他非常严重的法律后 果; 4.可能导致业务或服务出现严重问 题,影响到数个关键产品/关键客户 群体的服务无法进行; 5.造成的负面影响波及范围很广, 引起国内外公众的广泛关注,对本 行声誉、股价带来严重的负面影 响。 | 1.对本行整体控制目标的实现造成一定 影响; 2.可能产生或者已经造成较大金额的财 务损失; 3.违反有关法律法规和监管要求,情节 比较严重,引起监管部门较为严重的处 罚或其他较为严重的法律后果; 4.可能导致业务或服务出现一定问题, 影响到一个或数个关键产品/关键客户 群体的服务质量大幅下降; 5.造成的负面影响波及行内外,引起公 众关注,在部分地区对本行声誉带来较 大的负面影响。 | 1.对本行整体控制目标的实现有 轻微影响或者基本没有影响; 2.可能产生或者已经造成较小金 额的财务损失; 3.违反有关法律法规或监管要 求,情节轻微,引起监管部门 较轻程度的处罚或其他较轻程 度的法律后果; 4.可能导致业务或服务出现一定 问题,影响到一个或数个关键 产品/关键客户群体,并且影响 情况可以立刻得到控制; 5.造成的负面影响局限于一定范 围,公众关注程度较低,对本 行声誉带来负面影响较小。 |
四、建立内部控制体系的工作情况
本行内部控制管理组织架构包括董事会、监事会、高级管理层、内控管理委员 会、内控管理职能部门、内部审计部门及业务部门。
董事会负责保证本行建立并实施充分有效的内部控制体系,保证在法律和政策 框架内审慎经营;负责明确设定可接受的风险水平,保证高级管理层采取必要的风 险控制措施;负责监督高级管理层对内部控制体系的充分性与有效性进行监测和评 估。
监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会、高 级管理层及其成员履行内部控制职责。
高级管理层负责制定系统化的制度、流程、方法和具体的操作规程,采取相应 的风险控制措施;建立和完善内部管理组织机构;组织、协调和监督全行内部控制 管理工作。
内控管理委员会是全行内部控制管理工作的议事与监督管理机构,负责决策、 监督及协调涉及全行内部控制管理方面的重要事务。
总分行法律合规部、风险管理部是全行内控管理职能部门,负责牵头本行内部 控制体系的统筹规划;与监管部门衔接内部控制的监管和评价要求,定期检查并检 视业务部门内部控制管理的执行情况;通过实施内控绩效考评改进内部控制管理; 跟踪报告全行内部控制及管理情况。
总行稽核监察部作为内部审计部门,履行内部控制的监督职能,负责对本行内 部控制的充分性和有效性进行审计,及时报告审计发现的问题,并监督整改。
总分行各业务部门对本部门内部控制的风险防控负首要责任,负责贯彻执行内 控制度并推动落实本部门各项内控措施和内控保障;制定并落实与自身职责相关的 业务制度和操作流程;梳理流程,识别、评估风险点及影响,定期组织开展监督检 查,并建立有效的信息沟通机制;强化内控文化建设,提高员工内控意识。
五、内部控制的基本框架和主要政策
(一)内部环境
1、 公司治理
本行建立了《平安银行股份有限公司章程》、《平安银行股份有限公司股东大 会议事规则》、《平安银行股份有限公司董事会议事规则》,并针对董事会下属的 薪酬与考核委员会、提名委员会、关联交易控制委员会、风险管理委员会、审计委 员会、战略发展与消费者权益保护委员会制定了相应的议事规则,以及董事与监事 商业行为和道德守则、防范大股东及其关联方资金占用制度、董事监事和高级管理 人员所持本公司股份及其变动管理办法、信息披露事务管理制度、内幕信息及知情 人管理制度、年报信息披露重大差错责任追究制度、投资者关系工作制度、董事监 事履职评价办法等多项公司治理制度。
监事会根据《平安银行股份有限公司监事会议事规则》召开监事会会议,通过 列席董事会及其专门委员会会议对董事会进行监督;通过日常巡检、调研检查辖内 各机构内控执行情况,发现经营管理中需要解决的问题,告知董事会和高级管理层 并督促其整改。
2、 发展战略
本行董事会下设战略发展与消费者权益保护委员会,负责制定本行经营管理目 标和长期发展战略,监督、检查年度经营计划、投资方案的执行情况;制定本行消 费者权益保护工作的战略、政策和目标,将消费者权益保护纳入本行经营发展战略 的重要内容,并对消费者权益保护工作开展有效监督、评价。本行坚持“科技引 领、零售突破、对公做精”的战略方针。2017年,本行制定了零售战略转型落地新 模式、大对公转型实施纲要,明确零售、对公转型的发展路径;并将组织绩效管理 与战略管理、预算管理和资本管理等管理流程有效衔接,形成战略管理的闭环,促 进战略资源有效配置。
3、 企业文化
本行珍视员工,培养人才,为员工提供公正的评价机制,以及多种成长机会; 制定了《平安银行员工行为守则》,对员工行为进行了全面规范,将诚实守信的经 营理念融入日常生产经营过程;重视行内合规文化的培育,通过开展各项活动,建 立、培养良好的合规文化氛围。
本行建立了内部沟通平台进行企业文化的宣传与沟通,同时,通过开展一系列 外部活动推广企业文化和建立企业良好形象,关注绿色环保、赠书助学、社会捐赠 等方面。
4、 人力资源
本行继续落实可持续发展的人力资源政策,定期进行岗位调研评估,并根据相 关法律法规,进行合理的架构和岗位设定;持续优化能力评估方法及工具,细化能 力评估标准,对每一能力层级及发展趋势进行更为清晰、客观、明确的界定;同时 强化对直线主管的宣导和培训,统一评估人对能力评估标准的理解;设置多位评估 人,为决策人提供多维度的评价参考,避免个人评估误差。
5、 社会责任
本行根据中国银监会《中国银行业金融机构企业社会责任指引(2009)》要 求,制订了《平安银行企业社会责任信息报告制度》,设立办公室专门策划并搜集 整理社会责任方面的工作内容,包括股东责任、客户责任、员工责任、环境和社会 责任以及合作伙伴责任五大部分。
(二)风险评估
1、 信用风险
本行已建立集中、垂直、独立的全面风险管理体系,建成“派驻制风险管理、 矩阵式双线汇报”的风险管理模式,总行风险管理委员会统筹各层级风险管理工 作,总行各专业风险管理部门负责全行信用风险管理工作,并由总行风险管理委员 会向各分行/事业部派驻主管风险副行长/风险总监,负责所在单位的信用风险管理工 作。同时,本行制定了一整套规范的信贷管理流程和内部控制机制,对信贷业务实 行全流程管理。2017年,本行风险政策坚持“三化两轻”战略引领,支持银行核心 任务,强化风险政策对业务的引导作用。
2、 市场风险
本行建立了有效的市场风险治理架构及健全的市场风险政策制度体系和管理流 程。董事会是市场风险管理最高决策机构,承担市场风险管理的最终责任;高级管 理层及其下设委员会负责在授权范围内履行市场风险管理职责;风险管理部是全行 市场风险的牵头管理部门,明确了市场风险管理职责分工、风险识别与计量、风险 应对措施等,并按制度规定开展风险识别、分析和计量工作及采取应对措施。
3、 流动性风险
本行建立了流动性风险管理机制,明确了流动性风险管理的职责分工。董事会 承担流动性风险管理的最终责任,资产负债管理委员会是流动性风险管理的最高管 理机构,资产负债管理部在资产负债管理委员会指导下,负责本行日常流动性风险 管理。监事会定期对董事会及高级管理层在流动性风险管理中的履职情况进行监督 评价。
本行重视流动性风险管理,持续优化流动性风险管理框架和管理策略,建立了 完善的流动性风险管理体系;定期开展流动性风险压力测试,审慎评估未来流动性 需求;不断完善流动性风险应急计划,针对特定事件制定具体的解决方案;加强各 相关部门之间的沟通和协同工作,提高流动性风险应对效率。
4、 操作风险
本行遵循操作风险管理监管要求,建立并不断完善与本行业务性质、规模和复 杂程度相适应的操作风险管理体系。总行法律合规部负责本行操作风险管理体系的 建立和实施,并确保全行范围内操作风险管理的一致性和有效性。本行操作风险管 理遵循全面性、重要性、统一性及成本效益原则,实现各项操作风险管理目标。
5、 国别风险
本行按照监管要求制定了《平安银行国别风险管理办法》,明确规定国别风险 管理职责、管理手段和工作流程,建立并完善国别风险管理体系。本行动态监测国 别风险变化,认真做好国别风险评级、限额管理、监测预警和国别风险准备金计提 与报告工作。
6、 银行账户利率风险
本行建立了完善的利率风险管理机制,明确了利率风险管理的职责分工。资产 负债管理委员会是经董事会授权的利率风险管理专门委员会,履行授权下的利率风 险管理职责,确保我行有效的识别、计量、监测和控制各项业务所承担的利率风 险。
7、 声誉风险
本行声誉风险管理分为五个层级,分别为董事会、高管层、总行归口管理部 门、总行各业务及职能部门、各经营单位,董事会为声誉风险管理的最终责任人和 最高决策者。通过建立声誉风险管理框架,明确各层级职责权限。
本行持续完善声誉风险管理制度,加大声誉风险考核力度;开展声誉风险事前 排查,加强声誉风险前置管理;持续优化舆情监测机制,强化危机应对系统,提升 声誉风险管理的主动性;提升全行声誉风险意识,构建自媒体关系网络,不断夯实 声誉风险管理基础。
8、 其他风险
本行面临的其他风险还包括法律风险、合规风险等。
本行法律风险管理工作重点围绕事前风险防范、事中风险控制、事后风险化解 三个层次展开,并在法律风险管理的主要领域建立制度化、规范化、系统化的管理 机制,持续提升本行业务的法律风险管理成效。
本行重视合规管理、内控管理及案件防控工作,通过风险热图揭示主要风险领 域、各条线和分支机构的风险程度与突出问题,检视内控与合规重点工作落实情 况,督促责任部门采取切实有效的整改措施;强化与创新相适应的合规评审管理, 推行合规评审前置,加大对重点业务监管文件的解读及分析研究,识别合规风险, 推动经营机构提升合规风险防御能力;积极开展合规文化建设,强化全行员工合规 意识,营造良好的合规文化氛围。
(三)控制活动
本行建立健全内部控制制度体系,围绕制度管理、风险监控、系统控制、职责 权限和人员管理以及各专业领域控制活动,落实内外部管理要求,检视内部控制措 施的合理性和充分性,完善和强化内部控制保障体系,为业务持续、健康发展奠定 基础。
1、 制度管理
本行制度管理遵循合法合规、制度先行、务实有效、精简规范、整体连贯的原 则,建立以业务流程为导向的、“条线-部门-产品/业务”三级制度基本体系目录。
制度的规划、发布、修订、废止、日常维护等制度管理事项均采用线上化管理。通 过强化全行制度管理,组织完成年度制度规划,加强制度下发前的合规评审,提升 制度管理质量,巩固全行业务发展及内部管控的管理基础。
2、 风险监控
本行通过提升操作风险管理三大工具“RCSA-CSOX-DCFC、关键风险指标 (KRI)、损失数据收集(LDC)”的运用深度、覆盖广度及实施效果,发挥管理工 具效用,提升操作风险识别、评估、监测、预警、整改能力,防范和化解各类操作 风险,控制操作风险损失率,支持业务健康发展。同时,借助科技手段,引入大数 据分析方法,整合内部控制和操作风险监测工具,优化完善风险热图评级机制,持 续提升风险管控能力。
3、 系统控制
本行持续推动完善安全及风险管理体系、监控体系、IT运维管理体系等,通过 培养员工业务素质与服务意识、完善事件、服务台管理流程等工作持续提升本行IT 服务能力和质量。
4、 职责权限和人员管理
本行通过明确职责和权限,形成规范的部门、岗位职责说明及报告路线,并建 立动态更新和调整的授权体系;界定关键岗位和轮岗规则,确保不相容岗位分离与 制衡,并实行重要岗位轮岗和强制休假制度;对员工行为进行全面规范,从工作表 现、经济往来、社会交往、家庭状况等方面协助员工识别禁止的行为,加强对员工 异常行为的排查。
5、 专业领域控制活动
本行运营围绕监管要求和我行发展战略、经营目标与风险管理要求,加强科技 运用,建立全面的风控数据仓库、进行异常账务侦测等,不断优化运营管理内部控 制体系;制定《平安银行基本会计制度》及财务企划、采购、费用管理、业务会计 核算等制度和操作流程,规范会计确认、计量和报告行为,确保财务会计信息真 实、可靠、完整;建立账务核对、监控制度,定期对各种账证、报表进行核对,对 现金、有价证券等有形资产和重要凭据进行盘点;明确新机构建设流程和要求、新 产品评审职责权限和程序规则等,规范全行产品风险管理,落实风险管理前移的要 求,有效支持产品创新;完善客户投诉管理办法和渠道,明确投诉处理的职责和流 程,并定期汇总分析投诉反映事项,改进客户服务和管理;明确本行业务连续性管 理架构及管理要求,建立与本行战略目标相适应的业务连续性管理体系,加强应急 演练,不断提升业务连续性管理水平和应急处理能力;建立本行信息安全管理体 系,在内部推行统一的信息安全规范,包括信息安全方针、策略、标准、程序、基 线、指引和守则六个方面。
(四)信息与沟通
本行董事长是信息披露的第一责任人,董事会秘书负责具体协调和组织信息披 露事务。本行通过制定信息披露事务管理制度,明确信息披露职责、程序及管理措 施,完善信息披露的风险控制机制,确保披露的信息真实、准确、完整、及时、公 平。本行建立了重大事项及突发事件报告制度,规范了案件(风险)信息的报告报 送。
为及时掌握监管信息动态,有效传递监管风险信息,加强对监管信息的管理, 本行制定了监管信息管理办法,对监管信息事项进行风险分类,分类别明确报送范 围,促进监管信息传达的准确性和传送效率。稽核监察部检视规范各分行监管信息 录入呈报情况,对迟漏报重大监管信息的典型案例通报全行、进行问责;开展培 训,帮助提高机构重视度和报送质量。同时,加强与监管机构的信息传递,确保按 照监管要求如实报告相关信息。
本行建立了内部信息沟通机制,明确了信息报送职责,规范了信息传递要求, 制定了公文流转程序,会议制度和内部信息报送制度,并采取多种信息沟通渠道确 保重要的信息得到及时沟通和汇报。本行通过公文流转、会议、办公自动化系统、 行刊等多种渠道收集信息并在银行内部各管理级次、责任单位、业务环节之间进行 沟通和反馈。
(五)内部监督
本行实行独立垂直的内部审计管理体系,设立首席审计官负责管理本行内部审 计工作,定期向审计委员会和监事会报告审计工作情况,保证独立、客观地履行内 部监督职责。本年度内审部门因应银行转型战略要求,以科技驱动稽核转型,推动 稽核监察工作风险监测驱动、审计经验结构化、稽核排查智能化,提升稽核效率和 质量,为内控和全面风险管理保驾护航。
六、内部控制存在的缺陷、面临的主要风险及其影响
(一)财务报告内部控制缺陷认定及整改情况
按照财务报告内部控制缺陷认定标准,报告期内本行不存在财务报告内部控制 重大缺陷、重要缺陷和一般缺陷。
(二)非财务报告内部控制缺陷认定及整改情况
按照非财务报告内部控制缺陷的认定标准,报告期内本行不存在非财务报告内 部控制重大缺陷、重要缺陷。内控评价中发现的106个一般缺陷,截至2017年12月31 日均已完成整改。
(三)内部控制缺陷面临的主要风险及其影响
本年度内控自评认定缺陷88个,内控稽核独立评价认定缺陷18个,合计共认 定缺陷106个(如表6)。其中设计性缺陷8个,表现为制度不完善、系统功能需优 化、流程内控不足等,占内控缺陷的7.55%;运行性缺陷98个,主要涉及零售贷 款、对公贷款、理财产品、票据业务、信息科技管理和小企业业务等方面制度执行 不到位、内控管理存在疏漏。经营管理层对于发现的内部控制缺陷,已制定了整改 计划并积极执行整改任务,对设计性缺陷,梳理业务流程,完善管理制度,修正流 程及系统缺陷;对运行性缺陷,对问题事件举一反三,健全管控机制,加强日常检 查和监督,加大处罚力度,并加强对员工的培训和宣导,提高合规意识。
通过验证和评价,根据内部控制评价和缺陷认定标准,本行内部控制制度设计 合理、运行基本有效,有待改善事项对本行经营管理不构成实质性影响。
表6 2017年度内控缺陷情况
| 一级流程数量 | 风险点数量 | 管理层内控自评 发现的内控缺陷数 | 内控稽核独立评价 新增发现的缺陷数 | 截至20171231尚未完成 整改的内控缺陷数 |
|---|---|---|---|---|
| 25 | 976 | 88 | 18 | 0 |
七、对内控缺陷及主要风险拟采取的整改措施及风险应对方案
2017年,本行在“科技引领、零售突破、对公做精”转型方针指引下,高度重 视科技创新和技术运用,严防各类经营风险,加大清收化解力度,战略转型成效显 现。2018年,本行将继续坚定战略转型方向,不断完善有利于本行战略转型为目标 的内部环境持续提升内控能力。
1、持续夯实风控基础,提升风险管理科技化水平,为本行转型战略推进提供坚 实保障与支持。
本行将持续改进和完善内部控制管理体系和运行机制,不断推进制度管理的体 系化、流程化、系统化建设;完善内控管理组织架构,为全行内部控制管理配备适 当资源,保证内部控制各项职责得到有效履行;加强新机构、新业务、新产品内部 控制风险评估,完善对风险点的识别及控制活动的设计;建立科学的绩效考评体 系,合理设定内部控制考评标准,并将考评结果与业务授权等挂钩,根据考评结果 改进内部控制管理。为增强风险及内控管理的效率和效果,本行2018年将加快提升 风险管理手段科技化水平,结合AI模型技术,对大数据信息进行深度挖掘,提升风 险自动预警能力,运用智能风控手段提高风险管控能力。
2、高度重视资产安全风险,多措并举,加强资产质量管控。
为强化资产质量管控,本行将进一步完善授信业务管理流程,通过多种举措加 强贷后主动监控管理;建立和完善行业等风险信息归集机制,深入分析风险资产迁 徙特征及原因并制定针对性风险控制措施;狠抓贷后管理规定动作的落地实施,通 过线上化流程监控动作落实;推动自动预警及风险资产监控系统建设,建立“自上而 下”自动预警和“自下而上”上报预警相结合的双向互动预警管理模式,并完善风险 资产的投后管理体系,加强对风险的预判能力。
同时,本行将持续关注授信业务操作风险,就发现的执行疏漏通过强化问题成 因分析及问责力度,加大警示教育与部门整改等方式,构建问题发现、处置、认 定、处罚、整改的闭环管理机制,防范资产质量下迁与资产损失。
3、推进IT治理,强化各类业务系统功能建设,加强信息科技风险监督。
为适配本行业务转型及发展战略,本行2018年将持续推进IT治理,完善各类 业务系统功能建设,满足业务发展需要的同时实现关键环节风险的系统化控制;另 一方面,关注敏捷开发方式带来的新型操作风险,互联网金融、创新业务产品等带 来的业务连续性管理、互联互通系统性风险、互联网欺诈等新型风险,加强对信息 安全管理的定期排查与内控优化。
4、提升内审对风险的预知/感知及识别能力、夯实精益化管理基础、加大内审 震慑力。
2018年,本行内审将以“深化转型、强化协同、提升价值、共促战略目标实 现”为工作方向,通过推进大数据风险监测体系建设,逐步实现“全面远程监测, 全流程风险防控”的目标;推进稽核经验结构化、内审排查智能化,固化审计能 力,全面提升审计质量;提高项目精细化管理和质量,逐步向实时、全面、精准的 以远程风险监测为主的立体化审计方式转变;紧密关注银行转型创新过程中的风险 问题与监管要求,切实发挥第三道防线护航作用。同时,对发现问题做好原因分 析,运用好惩处和纠正机制、坚决打击人员违规违纪,推动相关部门 “举一反三” 全面有效落实整改,促进全行自我纠错机制的良好运作。