来源:蜘蛛抓取(WebSpider)
时间:2014-12-23 19:47
标签:
能力素质自我评价
&|&&|&&|&&|&&|&&|&
平安银行(000001)公告正文
平安银行:2013年度内部控制自我评价报告
&&&&&&&&&&&平安银行股份有限公司&2013&年度内部控制自我评价报告
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&目&&&&&&录
平安银行股份有限公司&2013&年度内部控制自我评价报告&......................................................&2
一、重要声明.................................................................................................................................&2
二、内部控制评价结论.................................................................................................................&2
三、内部控制评价工作情况.........................................................................................................&4
&&&(一)内部控制评价的依据和目标.........................................................................................&4
&&&(二)内部控制评价的方法和范围.........................................................................................&4
&&&&&&&&&1、内部控制评价方法&..................................................................................................&5
&&&&&&&&&2、内部控制评价范围&..................................................................................................&5
&&&(三)内部控制评价的程序.....................................................................................................&6
四、内部控制的基本框架和主要政策.........................................................................................&8
&&&(一)内部控制的基本框架.....................................................................................................&8
&&&&&&&&&1、内部环境&..................................................................................................................&8
&&&&&&&&&2、风险评估&..................................................................................................................&9
&&&&&&&&&3、控制活动&................................................................................................................&11
&&&&&&&&&4、信息与沟通&............................................................................................................&11
&&&&&&&&&5、内部监督&................................................................................................................&12
&&&(二)内部控制体系的主要政策...........................................................................................&12
五、内部控制缺陷及认定...........................................................................................................&13
&&&(一)内部控制缺陷认定标准...............................................................................................&13
&&&(二)内部控制缺陷认定及整改情况...................................................................................&16
六、对内控缺陷及主要风险拟采取的整改措施和风险应对方案...........................................&17
&&&&&&平安银行股份有限公司&2013&年度内部控制自我评价报告
平安银行股份有限公司全体股东:
&&&&根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下
简称“企业内部控制规范体系”),结合平安银行股份有限公司(以下简称“本行”)内
部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对本行2013年12
月31日的内部控制有效性进行了评价。
一、重要声明
&&&&按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,
并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会建立和实施内部控制
进行监督。高级管理层负责组织领导企业内部控制的日常运行。本行董事会、监事会及董
事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,
并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
&&&&本行内部控制的目标是合理保证经营管理合法合规、企业资产安全,确保财务报告及
相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。由于内部控制存在的
固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部
控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来
内部控制的有效性具有一定的风险。
二、内部控制评价结论
&&&&根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存
在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控制规范体系和相关规
定的要求在所有重大方面保持了有效的财务报告内部控制。
&&&&根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,本
行未发现非财务报告内部控制重大缺陷。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&2
&&&&自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效
性评价结论的因素。
&&&&我们注意到,内部控制应当与本行经营规模、业务范围、竞争状况和风险水平等相适
应,并随着情况的变化及时加以调整。未来期间,本行将匹配发展战略、结合业务流程的
变化,继续完善内部控制制度,规范内部控制制度执行,不断优化内部控制评价方法论,
加强内部控制监督检查,促进本行健康、可持续发展。
&&&&本报告已于日经第九届董事会第二次会议审议通过。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&3
三、内部控制评价工作情况
(一)内部控制评价的依据和目标
&&&&根据《中华人民共和国商业银行法》、《企业内部控制基本规范》、《企业内部控制
应用指引》、《企业内部控制评价指引》、《商业银行内部控制指引》、《商业银行内部
控制评价试行办法》及《深圳证券交易所主板上市公司规范运作指引》等有关规范要求,
企业应当对内部控制的有效性进行评价,并编制内部控制评价报告,同时应当聘请会计师
事务所对财务报告内部控制的有效性进行审计并出具审计报告。
&&&&本行根据上述规范要求及中国银行业监督管理委员会《商业银行资本管理办法(试
行)》、《商业银行操作风险管理指引》以及其他相关规定,结合《平安银行操作风险管
理政策》等政策制度,制定了《平安银行操作风险与内部控制自我评估管理办法》,将操
作风险管理体系(RCSA)与内部控制评价体系(CSOX)进行整合,形成适合本行的操
作风险与内部控制自我评估(RCSA-CSOX)体系。本行满足上市公司内部控制评价要求
的内部控制评价工作在此基础上开展。
&&&&本行开展内部控制评价的目标是贯彻落实监管要求,合理保证经营管理合法合规、资
产安全、财务报告及相关信息真实完整,建立健全内控体系,持续提升内控管理水平,提
高经营效率和效果,推动实现发展战略。2013年本行通过构建全面风险管理组织架构,完
善和优化内部控制规范体系,不断提高风险管理水平和内部控制执行力。
(二)内部控制评价的方法和范围
&&&&本行遵循全面性、重要性、客观性及成本效益等原则组织开展内部控制评价工作,包
括由总行法律合规部操作风险管理中心与毕马威咨询顾问团队组成项目联合工作组,牵头
组织开展的RCSA-CSOX内控自评;由总行稽核监察部成立CSOX独立评价项目组,组
织、实施的稽核内控独立评价。上述评价过程中发现的内控缺陷由相关责任部门根据整改
建议制定并执行整改计划。本行内部控制评价工作以财务报表及披露事项为基础,结合内
控整体目标分RCSA-CSOX内控自评和稽核内控独立评价两个层面开展。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&4
&&&&1、内部控制评价方法
&&&&RCSA-CSOX&内控自评基于监管划分标准,结合本行财务报表数据、风险管理与内部
控制需要,根据业务的固有风险与其匹配的控制措施不可切割原则和类似产品的操作人
员、程序及系统可合并原则进行主流程、子流程划分,并界定子流程属主和风险属主。通
过对业务流程、经营活动中存在的风险点的识别,从风险发生的可能性及风险影响程度两
个维度评价固有风险等级,分析和测试现有控制活动的设计有效性及运行有效性,评价剩
余风险水平,对业务流程、经营管理活动中存在的风险状况与控制活动效果进行定量、定
性的评价。
&&&&稽核内控独立评价按照风险导向和重要性原则,依据&RCSA-CSOX&内控自评结果,
结合风险发生的可能性和对银行单个或整体控制目标造成的影响程度,从定量、定性两个
方面分析、确定稽核内控独立评价范围。通过对&RCSA-CSOX&内控自评工作的全面审
阅,检视自评风险点及相应控制活动识别的完整性、准确性,并选取其中约&30%的风险
点进行独立测试,抽样重点为固有风险等级为中高级的风险点所对应的控制活动。
&&&&2、内部控制评价范围
&&&&RCSA-CSOX&内控自评由本行&30&余个总行业务/职能部门/事业部及&26&家分行负责具
体开展。自评内容覆盖本行所有业务/管理流程,包括&25&个主流程和&151&个子流程,按照
公司层面、流程层面、信息技术层面共梳理主要风险点&1079&个,关键控制活动&1590&个,
其中流程层面包括业务类流程、管理类流程,对应银监会八大业务条线分类。
&&&&稽核内控独立评价由&CSOX&独立评价项目组实施,在&RCSA-CSOX&内控自评基础
上,根据资产或业务规模、分支机构层级和数量,结合区域分布、业务覆盖以及内外部风
险评级变动情况,将总行业务/职能/事业部及深圳、北京、上海、成都、广州、南京分行
纳入本年度独立评价测试机构范围。纳入独立测试范围的各单位资产总额占本行合并财务
报表资产总额的&69%,营业收入合计占本行合并财务报表营业收入总额的&66%。根据固
有风险评价结果,结合监管要求及&2013&年度本行内部审计实施情况,选取涉及高风险领
域或重要业务事项的&324&个风险点、489&个控制活动开展独立评价测试。涉及主流程&22
个,子流程&122&个,具体评价范围如表&1&所示。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&5
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&表1:2013年度内部控制评价范围
&&&&&&&&&&&&&&&&&&&&&&&&&&&&RCSA-CSOX&&&&&&&&&&&&&&&&&&&&&&&&&&&&稽核内控独立评价
&&&&&&&&&&主流程
序
号&&&&&&&&&&&&&&&&&&&&&&&&&&&&内控自评&&&&&&&&&&&&&&&&&&&&审阅&&&&&&&&&&&&&&&&&&&&&&测试
&&&&&&&&&&&名称
&&&&&&&&&&&&&&&&&&&&&&&&&&风险&&&&&&控制活动&&&&&&&风险&&&&控制活动&&&&&&&风险&&&&&&控制活动
1&&&&&&&&&公司层面&&&&&&&&38&&&&&&&&&&&&&70&&&&&&&&38&&&&&&&&&70&&&&&&&&&&&13&&&&&&&&&&27
2&&&&&&&&&零售贷款&&&&&&&&63&&&&&&&&&&&&149&&&&&&&&63&&&&&&&&149&&&&&&&&&&&22&&&&&&&&&&48
3&&&&&&&&&汽车金融&&&&&&&&83&&&&&&&&&&&&103&&&&&&&&83&&&&&&&&103&&&&&&&&&&&15&&&&&&&&&&18
4&&&&&&&&&小微金融&&&&&&&&44&&&&&&&&&&&&&64&&&&&&&&44&&&&&&&&&64&&&&&&&&&&&&4&&&&&&&&&&5
5&&&&&&&&&&信用卡&&&&&&&&&45&&&&&&&&&&&&&66&&&&&&&&45&&&&&&&&&66&&&&&&&&&&&10&&&&&&&&&&10
6&&&&&&&&&个人存款&&&&&&&&33&&&&&&&&&&&&&49&&&&&&&&33&&&&&&&&&49&&&&&&&&&&&&6&&&&&&&&&&7
7&&&&&&&&&对公贷款&&&&&&&&73&&&&&&&&&&&&&90&&&&&&&&73&&&&&&&&&90&&&&&&&&&&&47&&&&&&&&&&60
8&&&&&&&&&贸易融资&&&&&&&&44&&&&&&&&&&&&101&&&&&&&&44&&&&&&&&101&&&&&&&&&&&16&&&&&&&&&&39
9&&&&&&&&&贸易结算&&&&&&&&71&&&&&&&&&&&&&97&&&&&&&&71&&&&&&&&&97&&&&&&&&&&&24&&&&&&&&&&37
10&&&&&&&&公司存款&&&&&&&&35&&&&&&&&&&&&&63&&&&&&&&35&&&&&&&&&63&&&&&&&&&&&17&&&&&&&&&&44
11&&&&&&&&票据业务&&&&&&&&53&&&&&&&&&&&&&63&&&&&&&&53&&&&&&&&&63&&&&&&&&&&&31&&&&&&&&&&38
12&&&&&&&&离岸业务&&&&&&&&40&&&&&&&&&&&&&55&&&&&&&&40&&&&&&&&&55&&&&&&&&&&&20&&&&&&&&&&25
13&&&&&&&&投资银行&&&&&&&&31&&&&&&&&&&&&&35&&&&&&&&31&&&&&&&&&35&&&&&&&&&&&14&&&&&&&&&&16
14&&&&&资金和同业业务&&&&&118&&&&&&&&&&&137&&&&&&&&118&&&&&&&137&&&&&&&&&&&15&&&&&&&&&&16
15&&&&&&&&资产托管&&&&&&&&37&&&&&&&&&&&&&41&&&&&&&&37&&&&&&&&&41&&&&&&&&&&&12&&&&&&&&&&13
16&&&&&&&&理财产品&&&&&&&&26&&&&&&&&&&&&&72&&&&&&&&26&&&&&&&&&72&&&&&&&&&&&&7&&&&&&&&&&17
17&&&&&&&&电子银行&&&&&&&&41&&&&&&&&&&&&&54&&&&&&&&41&&&&&&&&&54&&&&&&&&&&&&7&&&&&&&&&&9
18&&&&&&&&运营管理&&&&&&&&29&&&&&&&&&&&&&39&&&&&&&&29&&&&&&&&&39&&&&&&&&&&&&5&&&&&&&&&&13
19&&&&&&&&税务管理&&&&&&&&18&&&&&&&&&&&&&21&&&&&&&&18&&&&&&&&&21&&&&&&&&&&&&0&&&&&&&&&&0
20&&&&&&&&费用管理&&&&&&&&13&&&&&&&&&&&&&25&&&&&&&&13&&&&&&&&&25&&&&&&&&&&&&0&&&&&&&&&&0
21&&&&&&&&财务报告&&&&&&&&30&&&&&&&&&&&&&61&&&&&&&&30&&&&&&&&&61&&&&&&&&&&&&0&&&&&&&&&&0
22&&&&&&&&人力资源&&&&&&&&23&&&&&&&&&&&&&25&&&&&&&&23&&&&&&&&&25&&&&&&&&&&&11&&&&&&&&&&13
23&&&固定资产、无形资产&&&19&&&&&&&&&&&&&21&&&&&&&&19&&&&&&&&&21&&&&&&&&&&&&9&&&&&&&&&&10
24&&&&&&&投融资管理&&&&&&&29&&&&&&&&&&&&&29&&&&&&&&29&&&&&&&&&29&&&&&&&&&&&&9&&&&&&&&&&9
25&&&&&&信息科技管理&&&&&&43&&&&&&&&&&&&&60&&&&&&&&43&&&&&&&&&60&&&&&&&&&&&10&&&&&&&&&&15
&&&&&&&&&&&合计&&&&&&&&&&&1079&&&&&&&&&&1590&&&&&&&1079&&&&&&&&&&1590&&&&&&324&&&&&&&&&489
&&&&&上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主要方
面,不存在重大遗漏。
(三)内部控制评价的程序
&&&&&本年度本行完成了&RCSA-CSOX&方法论整合后的机制搭建、制度建设,进一步完善
了&RCSA-CSOX&内控自评和稽核内控独立评价流程;并通过系统开发、使用,加强评价
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&6
的过程管理、质量复核,不断优化内控评价方法,推动&RCSA-CSOX&内控自评和稽核内
控独立评价工作的有效开展。
&&&&&RCSA-CSOX内控自评工作程序包括工作范围的确定、固有风险识别及评估、控制有
效性评估、校验机制、剩余风险计算、报告及应用共六个环节,每个环节包括若干评价步
骤,具体评价程序如图1所示。
&总行法律&&&&&&总分行各&&&&&&总分行各&&&&&&&&总分行法&&&&&&&&&&&&&总分行法
&合规部/总&&&&&业务/职&&&&&&&业务/职&&&&&&&&&律合规部&&&&&&&&&&&&&律合规部
&行各业务/&&&&&能部门&&&&&&&&能部门/&&&&&&&&&/总行各&&&&&&&&&&&&&&/各业务/
&职能部门/&&&&&&&&&&&&&&&&&&&事业部&&&&&&&&&&业务/职&&&&&&&&&&&&&&职能部门
&事业部&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&能部门/&&&&&&&&&&&&&&/事业部
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&事业部
&&&&&&&&&&&&&&&&&&&&&&&&&&&&图2:RCSA-CSOX内控自评工作程序
&&&&&稽核内控独立评价按照计划准备、测试、整改落实、补充抽样及报告五个阶段开展。
具体评价程序如图&2&所示。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&图&2:稽核内控独立评价工作程序
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&7
四、内部控制的基本框架和主要政策
(一)内部控制的基本框架
1、内部环境
&&&&(1)公司治理
&&&&本行按照《公司法》、《商业银行法》、《证券法》等法律、行政法规、部门规章的
要求,建立了规范的公司治理结构,形成了科学有效的职责分工和制衡机制。内部控制的
管理决策部门主要包括股东大会、董事会及审计委员会、监事会、高级管理层。股东大
会、董事会、监事会分别按其职责行使表决权、决策权和监督权。董事会下属的审计委员
会具体负责确定本行的内控管理方向,制定内控政策,审查、监督内部控制的有效实施。
&&&&董事会建立了审计、关联交易控制、薪酬与考核、提名、风险管理和战略发展六个专
业委员会,保持了较高的运作效率。本行根据国家有关法律法规和公司章程,建立了议事
规则,明确了决策、执行、监督等方面的职责权限。
&&&&(2)组织架构
&&&&本行根据内、外部环境的变化,围绕银行长期发展规划及短期战略目标,搭建了符合
新银行战略的组织架构,建立了以董事会及下属专门委员会为决策层、各级分支机构的管
理层为建设执行层、各级合规部门及独立的内审部门为监督评价层的内部控制体系。截至
日,本行共设置52个总行业务/职能部门/事业部、38家分行,各类网点528
家,并在香港设立代表处。全行组织架构合理,职责范围与管理权限明确,汇报关系清
晰。同时,为全面管理和经营银行各类风险,完善公司治理结构,总行设立风险管理委员
会作为全面风险管理常设机构,管理内容涵盖银监会资本管理办法规定的第一支柱的信用
风险、操作风险和市场风险,第二支柱的战略风险、声誉风险以及第三支柱的信息披露、
报告等风险,由银行执行委员会领导,内控管理有效且能够支持业务发展。
&&&&(3)人力资源
&&&&本行持续贯彻绩效导向的企业文化和竞争、激励、淘汰的用人机制,以优化投入产出
为目标,配合业务发展规划合理制定年度人力成本预算,建立业务与人力成本的关联和控
制关系,探索以价值、市场为导向的薪酬体系,提升关键人才和绩优人才的薪酬竞争力。
同时本行亦建立了内部干部选拔标准制度和专业岗位职级晋升标准,针对性地采取不同措
施激励和促进员工自我提升,包括但不限于薪资调整、奖金发放、年度评优、培训、晋
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&8
升、降级、解除劳动合同等。本行严格遵守劳动和人事法规政策,规范用工,积极保障员
工各项劳动权益。
&&&&(4)企业文化
&&&&本行以国际领先的综合金融服务战略为愿景,秉承“对外以客户为中心,对内以人为
本”的理念,建立诚信、专业、服务和效率的价值观和服务理念。
&&&&本行董事会、监事会及高级管理层对内控合规文化建设高度重视,率先垂范参与各类
内控合规宣导活动,树立了“合规从高层做起”、“合规人人有责”、“合规创造价值”
的企业合规文化基调。本行持续、有效地实施多层次的合规宣导、培训与文化教育活动,
提高员工的合规意识,发布并实施了员工风险发现、诚信报告、员工检举和堵截案件等系
列奖励及处理制度,规范了相关奖励流程和建议、问题的处理机制,保障了员工主动发
现、报告风险隐患和开展诚信报告的积极性,形成了良好的合规内控文化氛围。
2、风险评估
&&&&2013年是本行五年规划的元年,在董事会、监事会、高级管理层的领导下,本行以
“调结构、夯基础、防风险、增效益、促发展”为指导原则,逐步落实全面风险管理三年
规划,建立和不断完善全面风险管理体系,通过架构改革、政策指引、流程优化、工具应
用等措施,全力支持业务发展;通过“巴塞尔新资本协议”体系的建设,全面提升本行经
营风险和管理风险的能力。
&&&&(1)信用风险管理方面
&&&&根据监管要求和本行战略经营目标及年度发展计划,本行制订了《2013年风险政策指
引》,通过风险限额管理和定价策略,引导业务发展和结构调整,增强资本约束,优化信
贷结构,实现信贷资源的高效、合理配置。通过重塑组织架构、完善管理制度、梳理政策
与流程、建立管理工具与系统,稳步推进全面风险管理基础建设。同时,继续加强对各业
务层级和各流程环节的信贷风险控制,结合系统整合,实现全行公司客户信贷业务的信息
化管理;建立公司客户授信业务授信额度的审批和管控中心,搭建稳定、高效的全流程运
作和风险管理平台;建立健全本行银行产品风险管理体系,制订产品风险管理办法,规范
产品开发、审批、销售、售后服务全流程的风险管控。
&&&&(2)市场风险管理方面
&&&&本行董事会负责审批市场风险管理政策,并授权高级管理层下设的总行资产负债管理
委员会具体审批资金投资业务市场风险额度,对市场风险情况进行定期监督。总行资产负
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&9
债管理委员会下设专业部门负责市场风险监控的日常职能,包括制定合理的市场风险敞口
水平,对日常资金业务操作进行监控,对资产负债的期限结构和利率结构提出调整建议
等。
&&&&本行已建立较为完备的前、中、后台一体化市场风险管理体系,通过增加对资金同业
业务资本回报率的分析、完善外汇敞口管理,积极应对市场流动性风险;通过重新设计和
优化市场风险报告结构,进一步对现存业务市场风险管理体系进行完善;同时,根据本行
业务创新和发展,积极促进新产品开发,加强对迅速发展的理财业务实施市场风险监控,
进一步提高了本行市场风险管控水平。
&&&&(3)流动性风险管理方面
&&&&本行高度重视流动性风险管理,总行风险管理委员会基于全面风险管理需要,负责资
本规划的实施、内部资本充足性评估和资本在各具体业务领域的配置,参与流动性风险管
理,并与各相关委员会保持沟通,共同确保银行流动性和资本充足性符合监管要求和银行
战略目标。同时,总行成立资产负债委员会,强化资产负债管理力度和效率,采用月度例
会制,监控和管理全行流动性风险等各类风险,在满足监管要求的前期下,不断优化资产
负债结构,提高盈利水平,实现资本净值的持续增长。
&&&&(4)操作风险管理方面
&&&&本行通过“巴塞尔新资本协议”(新监管标准)操作风险项目的实施,深化各项操作
风险管理基础,全面提升操作风险管理能力,并有效预防和遏制重大操作风险事件。初步
建立了操作风险与控制自我评估(RCSA)、关键风险指标(KRI)、损失收集(LDC)三
大操作风险管理工具,形成“操作风险管理三大工具+两个特色管理手段(DCFC、总账
核对)”为主体的专业、规范的操作风险监控体系。整合&RCSA&和&CSOX&两大机制,将
RCSA&动态量化评估监测与内部控制体系有机结合,形成一套覆盖范围广、内容精细、评
估维度多的操作风险与内部控制自我评估体系。同时,初步搭建全行业务连续性体系,并
成功实施首次业务连续性(BCP)联合演练,进一步提升应对突发事件的处置能力及经营
恢复能力。
&&&&(5)其他风险
&&&&本行面临的其他风险包括合规风险、法律风险和声誉风险等。
&&&&本行围绕全面风险管理战略,持续完善务实、高效的法律合规与操作风险管理体系。
在总分行层面均成立了案防委员会并设立法律合规管理部门,配备专职的法律、合规与操
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&10
作风险管理人员,构建了较完善的法律、合规、操作风险的组织管理架构。通过健全合规
绩效考核制度,优化合规评审流程,强化经营机构与业务条线的风险防御能力。通过完善
亮牌处罚系列制度,建立新的问责管理体系;通过推进制度管理的流程化、系统化建设,
进一步优化全行制度体系;通过建立反洗钱集中处理模式下的反洗钱工作体系,实现了反
洗钱作业的标准化、专业化与集中化运行。同时,建立健全案件防控非现场监测体系,狠
抓员工行为管理,将案防工作常态化、机制化;加强投诉热线及营业网点现场投诉处理能
力建设,完善投诉处理跟踪机制,从源头上治理客户投诉。进一步完善法律审查制度及法
律事务案件管理制度,增强了法律风险的防范、控制与化解能力。通过实施全方位、多层
次的内控合规培训与宣导教育,营造良好的案防合规文化氛围。
&&&&本行持续完善声誉风险管理的制度体系,通过建立声誉风险管理组织框架,确定声誉
风险管理机制、明确各层级职责权限,并实行有效监督评估,从而达到主动、有效防范声
誉风险和应对声誉事件,最大程度地减少声誉损失和负面影响的管理目标。
3、控制活动
&&&&本行积极应对复杂多变的外部经营环境,有序开展组织架构尤其是事业部制改革,不
断完善各项业务内部控制制度和业务操作程序。同时,综合运用多种风险管理方法和手
段,优化集中管控的风险管理系统平台,加强对风险的识别、评估和控制,提升风险管理
能力,为管理层决策提供专业意见。
&&&&高管层每周定期召开行长办公会议,研究讨论全行重大经营管理事项,审议财务情况
及经营指标完成情况,做出有关经营管理的具体决策。总分行各层级通过每月召开案防合
规委员会会议,审议重大内控政策,并就重大内控事项进行部署。
&&&&本行实施法人授权管理,建立法人授权和审批制度,规范了各部门和各分支机构书面
授权管理事项。建立了较为完善的突发事件应急报告及处理制度,以保证本行资金财产和
员工、客户的人身安全,对可能发生各类突发情况制定了应急处理流程及相应措施。
&&&&本行在全行范围内建立部门控制检查体系(即“DCFC”),对业务流程中所涉及的
控制步骤进行独立于日常作业的检查,确保风险控制步骤得到执行并控制有效,及时报告
未执行内控措施的业务领域并采取补救措施。
4、信息与沟通
&&&&本行董事会一直高度重视信息沟通工作,并将其作为完善公司治理的一项重要内容加
以落实。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&11
&&&&在对外部沟通方面,本行制定了《平安银行信息披露事务管理制度》和《平安银行年
报信息披露重大差错责任追究制度》等制度,从制度层面加强信息披露管理,合法合规开
展信息披露工作。同时,加强对监管信息的管理,制定了《平安银行监管信息管理办
法》,明确了职责分工和管理流程,确保及时掌握监管信息动态。
&&&&在内部沟通方面,本行建立了有效的信息与沟通制度,明确了内部控制相关信息的收
集、处理和传递程序。本行董事会及审计委员会每年至少召开四次定期会议,管理层必须
在每次定期会议上就重大信息报告董事会及审计委员会,使其能够充分和适时的获取有关
重要信息(包括敏感信息、调查报告和违规行为等)。同时,2013年制定的《平安银行董
事会会议议题及材料操作指引》,对本行董事会及相关专门委员会会议议题及材料的编
制、提交、审议及落实等工作环节进行了明确规范。
5、内部监督
&&&&本行管理层在董事会及其专门委员会的指导下持续有效运作,案件防控委员会在建立
健全防范和控制合规风险、操作风险及相关风险的机制中继续发挥协调作用。稽核监察条
线在董事会审计委员会的直接领导下独立行使稽核职权,通过持续优化稽核垂直化管理体
系,精简、整合内设架构,增强内审工作的针对性、专业性与有效性,形成信访、监察、
内控、案件防范的“协同联动机制”。围绕本行五年发展规划的战略重点,加强系统平台
与稽核队伍建设,强化项目质量管控,合理规划年度审计工作,践行“风险导向审计理
念”,充分考虑组织风险与管理的需要,在审计重点转向新战略重点与创新业务等领域的
同时,不断拓展审计对业务的覆盖面,通过行使监督权与建议权,提升全行内控制度的执
行力,确保全年未发生监管定义的大案要案。
(二)内部控制体系的主要政策
&&&&为实现五年战略规划,实现“最佳商业银行”的战略目标,本行持续加强内控政策建
设,成立了制度梳理项目小组,在完成业务处理系统整合和流程梳理的基础上,组织各业
务条线、职能部门进行制度修订,持续完善高标准的内控制度、流程和准则体系。2013年
度重新修订完善了《平安银行制度管理办法》、《平安银行合规评审管理办法》、《平安
银行反洗钱工作管理办法》、《平安银行员工违规违纪行为亮牌问责处罚办法》、《平安
银行申诉管理办法》、《平安银行信访工作管理办法》等制度。同时,专门针对内控评价
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&12
工作修订了《平安银行操作风险与内部控制自我评估管理办法》,在操作层面具体指导内
控评价工作的开展。
五、内部控制缺陷及认定
(一)内部控制缺陷认定标准
&&&&&本行依据企业内部控制规范体系、《商业银行内部控制指引》、《商业银行内部控制
评价试行办法》以及《平安银行操作风险与内部控制自我评估管理办法》的相关要求,组
织开展内部控制评价工作。
&&&&&本行根据企业内部控制规范体系对内部控制缺陷的认定要求,结合公司规模、行业特
征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究
确定了适用本行的内部控制缺陷具体认定标准,并与以前年度保持一致。根据内部控制缺
陷影响整体控制目标实现的严重程度,从定性和定量两个维度衡量,将内部控制缺陷分为
一般缺陷、重要缺陷和重大缺陷。
&&&&&1.财务报告内部控制缺陷认定标准
&&&&&(1)财务报告内部控制缺陷评价的定量标准如下:
&&&&&以被评估单位税前利润为基数进行定量判断,从内控缺陷可能造成的年化财务错报占
被评估单位税前利润的比例进行评估。
&&&&&&&&&&&&重大缺陷&&&&&&&&&&&&&&&&&&&&&&&&&&&&重要缺陷&&&&&&&&&&&&&&&&&&&&&&&&&一般缺陷
可能造成的年化财务错报的影响金额占&&&可能造成的年化财务错报的影响金&&&可能造成的年化财务错报的影响金额
被评估单位税前利润5%及以上的一项或&&&额占被评估单位税前利润1%至5%的&&&占被评估单位税前利润1%以下的一项
多项控制缺陷的组合&&&&&&&&&&&&&&&&&&&一项或多项控制缺陷的组合&&&&&&&&&或多项控制缺陷的组合
&&&&&(2)财务报告内部控制缺陷评价的定性标准如下:
&&&&&重大缺陷是指一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防
止或发现并纠正财务报告中的重大错报;重要缺陷是指一项内部控制缺陷单独或连同其他
缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的错报,其严重程度不及
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&13
重大缺陷,但仍可能导致偏离控制目标;不构成重大缺陷和重要缺陷的内部控制缺陷,认
定为一般缺陷。
&&&&①&以下任一情况可视为重大缺陷的判断标准:
&&&&——高级管理层的舞弊行为。
&&&&——对已公布的财务报告进行更正。
&&&&——注册会计师发现但未被内部控制识别的当期财务报告中的重大错报。
&&&&——审计委员会和稽核监察部对财务报告内部控制的监督无效。
&&&&②&以下任一情况可视为重要缺陷的判断标准:
&&&&——未依照公认会计准则选择和应用会计政策或应用的控制无效。
&&&&——未建立反舞弊程序和控制措施或控制无效。
&&&&——沟通后的重要缺陷没有在合理的期间得到纠正。
&&&&——对于期末财务报告过程的控制无效。
&&&&2.非财务报告内部控制缺陷认定标准
&&&&非财务报告内部控制是指除财务报告目标之外的其他目标的内部控制。包括战略及经
营目标、经营效率及效果、合法合规、信息披露、声誉影响、数据及信息系统等。
&&&&(1)非财务报告内部控制缺陷评价的定量标准如下:
&&&&&类别&&&&&&&&&&&&&&重大缺陷&&&&&&&&&&&&&&&&&&&&重要缺陷&&&&&&&&&&&&&&&&&&&&&&&&一般缺陷&&&&&&&&&&&&&&&&备注
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&可&能&使&评&估单&位&遭&致
&&&&&&&&&&&&&&&&&&可能使评估单位遭致的&&&&可能使评估单位遭致的损
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&的&损&失&,&或缺&陷&本&身
&&&&&&&&&&&&&&&&&&损失,或缺陷本身实际&&&&失,或缺陷本身实际的影响
&&&&财务损失&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&实&际&的&影&响金&额&占&评
&&&&&&&&&&&&&&&&&&的影响金额占评估单位&&&&金额占评估单位税前利润的
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&估&单&位&税&前利&润&1%&及
&&&&&&&&&&&&&&&&&&税前利润5%及以上&&&&&&&&1%至5%之间
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&以下
&&&&&&&&&&&&&&&&&&可能导致中长期战略及&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&经营目标包
&&&&&&&&&&&&&&&&&&经营目标无法实现,或&&&&可能导致仅能实现评价单位&&&&&&&&&&可&能&导&致&仅能&实&现&评&&&括&收&入&目
&战略及经营目标&&&可能导致仅能实现评价&&&&年&度&经&营&目&标&的&30%&至&70%&&&价&单&位&年&度经&营&目&标&&&标、利润目
&&&&&&&&&&&&&&&&&&单位年度经营目标的30%&&&(含70%)&&&&&&&&&&&&&&&&&&&&&&&&&的70%及以上&&&&&&&&&&&&&&&&&标、市场占
&&&&&&&&&&&&&&&&&&及以下&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&有率目标等
&&&&&&&&&&&&&&&&&&可能导致二个及以上业&&&&对一个业务流程的有效运行&&&&&&&&&&不&太&可&能&或仅&可&能&对&&&一般指一级
&经营效率及效果
&&&&&&&&&&&&&&&&&&务流程或评价单位部分&&&&可能造成一定的影响或可能&&&&&&&&&&一&个&业&务&流程&的&有&效&&&业务流程
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&14
&&&&&&&&&&&&&&&&&业务无法有效运行&&&&&&&&&导致一个业务流程或评价单&&&&&&&&&运&行&造&成&较为&轻&微&的
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&位某项业务无法有效运行&&&&&&&&&&&影响
(2)非财务报告内部控制缺陷评价的定性标准如下:
&&&&类别&&&&&&&&&&&&&&&&&&&&&&&重大缺陷&&&&&&&&&&&&&&&&&&&&&&&&重要缺陷&&&&&&&&&&&&&&&&&&&&&&&&&一般缺陷
&&&&&&&&&&&&&&&&&&&&&&&战略及经营目标或关键性指&&&&&&&战略及经营目标或关键性指&&&&&&&&&&战略及经营目标或关键性指
&&&&&&&&&&&&&&&&&&&&&&&标的执行不合理,严重偏离&&&&&&&标&的&执&行&不&合&理&,&严重&偏&&&标存在较小范围的不合理,
战略及经营目标
&&&&&&&&&&&&&&&&&&&&&&&且存在方向性错误,对目标&&&&&&&离,对目标实现产生消极作&&&&&&&&&&偏离目标,对目标实现影响
&&&&&&&&&&&&&&&&&&&&&&&实现产生严重负面作用&&&&&&&&&&&用&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&轻微
&&&&&&&&&&&&&&&&&&&&&&&违反国家法律法规或规范性&&&&&&&违反内部规定需移交或向外
&&&&&&&&&&&&&&&&&&&&&&&文件,导致被限制业务范&&&&&&&&&部监管汇报;或违反国家法
&&&&&&&&&&&&&&&&&&&&&&&围,或被限制增设分支机&&&&&&&&&律法规或规范性文件,导致&&&&&&&&&&违反内部规定或接近内部规
&&&合法合规&&&&&&&&&&&&构,或被限制支配资产(如&&&&&&&&个人或机构受到刑事处罚、&&&&&&&&&&定限额或外部监管指标,发
&&&&&&&&&&&&&&&&&&&&&&&向股东分红、购置资产&&&&&&&&&&&行&政&处&罚&、&党&纪&处&分等&处&&&生违规预警
&&&&&&&&&&&&&&&&&&&&&&&等),或停业整顿、吊销业&&&&&&&&分,或个人被降职、被限制
&&&&&&&&&&&&&&&&&&&&&&&务许可证&&&&&&&&&&&&&&&&&&&&&&&开展业务
&&&&&&&&&&&&&&&&&&&&&&&错误信息可能会导致内外部&&&&&&&错误信息可能会影响使用者
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&对信息准确性有轻微影响,
&&&&&&&&&&&&&&&&&&&&&&&信息使用者做出截然相反的&&&&&&&对于事物性质的判断,在一
&&&信息披露&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&但不会影响信息内外部使用
&&&&&&&&&&&&&&&&&&&&&&&决策,造成不可挽回的决策&&&&&&&定程度上导致错误的决策,
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&者的判断
&&&&&&&&&&&&&&&&&&&&&&&损失&&&&&&&&&&&&&&&&&&&&&&&&&&&甚至做出重大的错误决策
&&&&&&&&&&&&&&&&&&&&&&&负面消息流传世界各地,引
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&负&面&消&息&引&起&国&内&公众&关&&&负面消息在当地局部或内部
&&&&&&&&&&&&&&&&&&&&&&&起政府或监管机构调查,引
&&&声誉影响&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&注,引发诉讼,对企业声誉&&&&&&&&&&流传,对企业声誉造成轻微
&&&&&&&&&&&&&&&&&&&&&&&发重大诉讼,对企业声誉造
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&造成中度损害&&&&&&&&&&&&&&&&&&&&&&损害
&&&&&&&&&&&&&&&&&&&&&&&成无法弥补的损害
&&&&&&&&&&&&&&&&&&&&&&&对系统数据的完整性造成致&&&&&&&对系统数据的完整性具有一&&&&&&&&&&对系统数据完整性会产生有
&&&&&&&&&&&&&&&&&&&&&&&命性威胁,数据的非授权改&&&&&&&定或重大影响,数据的非授&&&&&&&&&&限影响,但数据的非授权改
数据及信息系统&&&&&&&&&动会对业务运作造成灾难性&&&&&&&权改动会给业务运作带来一&&&&&&&&&&动对业务运作及财务数据记
&&&&&&&&&&&&&&&&&&&&&&&损失。对业务正常运营造成&&&&&&&定的损失或对财务数据记录&&&&&&&&&&录产生损失轻微。对业务正
&&&&&&&&&&&&&&&&&&&&&&&灾难性影响,致使所有业务&&&&&&&的准确性产生一定的影响。&&&&&&&&&&常运营没有直接影响
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&15
&&&&&&&&&&&&&&&&&&&&&&操作中断,导致客户流失&&&&&&&&对业务正常运营造成一定影
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&响&,&致&使&业&务&操&作&效率&低
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&下,影响客户的服务和产品
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&体验
(二)内部控制缺陷认定及整改情况
&&&&1.财务报告内部控制缺陷认定及整改情况
&&&&根据上述财务报告内部控制缺陷的认定标准,报告期内本行不存在财务报告内部控制
重大缺陷、重要缺陷。
&&&&2.非财务报告内部控制缺陷认定及整改情况
&&&&根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现本行非财务报告内部
控制重大缺陷、重要缺陷。
&&&&3.内部控制存在的缺陷、面临的主要风险及其影响
&&&&通过内部控制的评价和测试,本行内部控制制度设计合理、运行有效,未发现重要、
重大缺陷和实质性漏洞。在内控评价过程中,RCSA-CSOX内控自评及稽核内控独立评价
合计发现33项内控缺陷(如表2),截至报告日均已完成整改。根据本行内部控制缺陷评
价标准,本年度内控评价发现的内控缺陷均为一般缺陷,其中商票系统、企业网银系统优
化升级;理财产品配套制度的健全等问题属设计性缺陷,占内控缺陷的15%;对制度的执
行不到位或不及时、运行流程有待改进及完善属运行性缺陷,占内控缺陷的85%。针对报
告期内发现的内部控制缺陷,本行结合自身实际情况,有重点地制定整改计划并积极执行
整改任务。对设计性缺陷,已通过优化系统功能,对策略配置进行检视并更新;健全制
度、完善流程和规范要求等措施进行改善;对运行性缺陷,已要求责任部门按时完成整改
计划,并加强日常的监督和管控。通过对内控管理制度、流程、系统的持续优化及改进,
本行内控管理水平得到提升。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&表2:2013年度内部控制缺陷汇总表
&&&&&&&&&&&&&&&&&&&&&&&&RCSA-CSOX&内控自评发&&&&&&&&&&稽核内控独立评价发&&&&&&&&&&&&&&截至报告日未完成整改
流程数量&&&风险数量
&&&&&&&&&&&&&&&&&&&&&&&&&&&现的内控缺陷数&&&&&&&&&&&&&&&现的内控缺陷数&&&&&&&&&&&&&&&&&&&&内控缺陷数
&&&25&&&&&&&&1079&&&&&&&&&&&&&&&&&13&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&20&&&&&&&&&&&&&&&&&&&&&&&&&&&0
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&16
六、对内控缺陷及主要风险拟采取的整改措施和风险应对方案
&&&&1.持续完善本行内控管理组织体系,积极应对宏观经济形势变化。
&&&&为积极应对复杂多变的宏观经济金融形势,满足整合后的银行综合金融发展的需要,
本行将在产品创新多、制度系统变更快、人员流动频繁的内部环境下,持续完善符合战略
发展及风险管理要求的内控管理体系,加强全面风险管理,构筑牢固的风险管理防线,全
面提升企业的软实力。同时,进一步发挥RCSA-CSOX内控自评的作用,及时梳理流程、
风险点及控制活动,达成内部控制评估体系及纠正机制的“快速反应”,提高内部控制机
制的有效性,及时防范化解经营风险,有效支持“最佳商业银行”战略目标的实现,促进
银行有效益可持续健康发展。
&&&&2.持续完善系统建设,通过系统自动控制推进内控评价工作标准化、常态化。
&&&&为了进一步提升本行风险及内控管理的效率和效果,在2013年全面推进RCSA系统模
块的基础上,总结经验教训,从系统操作便利性、功能扩展性等方面,持续完善系统功能
并推广运用,充分发挥内控评价结果对内控建设的推动作用。同时,根据本行业务管理系
统的建设和变更,力争把部分内部控制提前嵌入并固化,促进内部控制流程与信息系统的
有机结合,加强对业务和事项的自动控制,提升内部控制质量。
&&&&3.进一步贯彻落实内控执行标准,降低风险水平。
&&&&本行通过内控评价发现的内部控制缺陷主要是控制活动未按规定执行或执行标准不一
致的情况,针对执行层面的问题,本行将通过进一步加强事前预防、事中管控、事后监督
的措施,借助有效的信息系统控制手段或手工复核机制,加强现有内控执行标准的贯彻落
实,降低风险水平。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&17
