平安银行股份有限公司
(原名深圳发展银行股份有限公司)
(在中华人民共和国注册成立的股份有限公司)
内部控制审计报告
2012年12月31日
内部控制审计报告
安永华明(2013)专字第60438538_H07号
平安银行股份有限公司全体股东:
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了平安
银行股份有限公司(原名深圳发展银行股份有限公司)(以下简称“贵公司”)2012年12月31
日的财务报告内部控制的有效性。
一、企业对内部控制的责任
按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指
引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。
二、注册会计师的责任
我们的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并
对注意到的非财务报告内部控制的重大缺陷进行披露。
三、内部控制的固有局限性
内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可
能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推
测未来内部控制的有效性具有一定风险。
内部控制审计报告(续)
安永华明(2013)专字第60438538_H07号
四、财务报告内部控制审计意见
我们认为,平安银行股份有限公司(原名深圳发展银行股份有限公司)2012年12月31日按
照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
安永华明会计师事务所(特殊普通合伙) 中国注册会计师 昌华
中国 北京 中国注册会计师 周道君
2013年3月7日
平安银行2012年度内部控制评价报告
董事会对内部控制报告真实性的声明
董事会全体成员保证本报告内容真实、准确和完整,没有虚假记载、误导性陈述或者重大
遗漏。
平安银行股份有限公司全体股东:
平安银行股份有限公司董事会(以下简称“董事会”)对建立健全和有效实施财务报告内
部控制负责。
财务报告内部控制的目标是合理保证财务报告及相关信息真实完整和可靠、防范重大错报
风险。由于内部控制存在固有局限性,因此仅能对上述目标提供合理保证。
董事会已按照《企业内部控制基本规范》及评价指引的要求对财务报告内部控制进行了评
价,并认为其在2012年12月31日(基准日)有效。
本行在财务报告内部控制自我评价过程中未发现非财务报告内部控制重大缺陷情况。
本报告已于2013年3月7日经第八届董事会第二十五次会议审议通过。
一、 内部控制评价工作的基本情况
(一) 内部控制评价的依据和目标
根据《中华人民共和国商业银行法》、《企业内部控制基本规范》、《企业内部控制评价
指引》、《商业银行内部控制指引》及《深圳证券交易所主板上市公司规范运作指引》等有关
规范要求,企业应当对内部控制的有效性进行评价,并编制内部控制评价报告,同时应当聘请
会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。
本行根据《企业内部控制基本规范》及相关指引,制定了《平安银行内部控制评价管理办
法》及《平安银行内部控制自评操作手册》,在内部控制日常监督和专项监督的基础上,对本
行截至2012年12月31日内部控制的设计与运行的有效性进行评价。
本行在2012年度开展内部控制评价工作旨在实现合理保证企业经营管理合法合规、保证企
业资产安全,确保财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战
略等目标,建立覆盖全面、针对性强、执行到位、监督有力的内部控制评价体系,提高内部控
制执行力。
(二) 内部控制评价的方法和范围
本行在2012年开展内部控制评价采取的方法是以本行财务报表及披露事项为基础,结合本
行内控整体目标分管理层内控自评和内控稽核独立评价两个层面开展。
管理层内控自评在确定范围时,首先采用定性分析与定量分析相结合的方法,确定关键业
务指标,根据指标对分支机构进行排名并确定纳入内部控制评价项目的实体,并结合本行实际
情况与财务报表科目和业务流程的关系,确定纳入项目范围内的业务流程及披露事项;其次,
通过识别关键业务流程的目标、分析影响目标实现的主要因素,从中识别该业务流程中的风险
点,然后通过风险评级,评估风险发生的概率及影响程度,并识别足以影响经营活动正常有序
进行的重大风险;最后,在了解本行为重大风险是否建立了相适应的控制和防范措施后,进行
相应的测试,对内部控制的设计有效性及执行有效性进行评估,以反映全行的风险控制水平。
内控稽核独立评价由稽核监察部依据本行实际情况,综合考虑财务报表科目和业务流程的
关系,选择重要流程纳入稽核独立评价范围。对于纳入稽核独立评价范围的流程,稽核监察部
对管理层内控自评工作进行了全面审阅,并以风险为导向的方法论进行独立测试,通过对风险
评级与具体风险内容的分析,选取其中近30%的风险点,并将大部分风险评级为高级的风险点
所对应的控制活动纳入稽核独立评价测试范围。
根据上述的方法和原则确定的公司层面、流程层面和IT层面评价范畴,整体涵盖了本行经
营管理的主要方面,不存在重大遗漏。具体涉及的评价范围和流程如表1所示。
表1:2012年度内部控制评价范围
内控业务自评范围 内控稽核独立评价范围
独立评价
自评测试的 审阅的控
序号 主流程名称 风险 审阅的风 测试的控
控制活动数 制活动数
数量 险数量 制活动数
量 量
量
1 公司层面控制 47 101 47 101 30
2 对公贷款 46 91 46 91 44
3 票据业务 41 68 41 68 15
4 费用管理 10 20 10 20
5 运营管理 8 31 8 31
6 信用卡 22 59 22 59 18
7 电子银行 25 48 25 48 12
8 信息科技管理 42 55 42 55
9 存款 25 89 25 89 21
10 贸易融资 40 109 40 109 23
11 贸易结算 48 101 48 101 37
12 零售贷款 62 207 62 207 90
13 财务报告 20 60 20 60 13
14 资金同业 32 51 32 51 26
15 税务管理 7 16 7 16
合计 475 1106 475 1106 352
(三) 内部控制评价的程序
本行按照《企业内部控制基本规范》、《企业内部控制评价指引》、《商业银行内部控制
指引》及《深圳证券交易所主板上市公司规范运作指引》,结合《企业内部控制审计指引》的
要求,成立专门的内部控制管理职能部门负责对内部控制的事前、事中的统筹规划,组织推动、
实时监控和评价内部控制的有效性。本行不断完善管理层内控自评和内控稽核独立评价流程,
通过加强项目管理、过程管理、质量复核、固化项目方法和程序、评价结果分类等内容,规范
管理层内控自评和内控稽核独立评价工作的开展。并通过内部控制系统完成内部控制自评的发
起、测试、汇总、复核、审批、整改追踪、结果分析等工作。
本年度管理层自评分计划、主数据更新、自评测试以及整改汇报四个阶段进行。在计划阶
段,由合规部主导,从公司层面、流程层面和 IT 层面确定工作范围,同时拟定 2012 年度内控
自评的方法论、管理办法和操作手册,并组织了相关的启动会议和内控培训;在主数据更新阶
段,合规部协调并协助各相关责任部门根据以风险为导向的方法论更新风险及控制活动,同时
对风险点进行风险评级;在自评测试阶段,业务自评部门对纳入评价工作范围的控制点进行穿
行测试和运行有效性测试;在整改汇报阶段,汇总在测试阶段发现的内部控制缺陷并拟定整改
方案,敦促相关责任人落实整改,并对已整改的内控缺陷进行进一步跟踪和测试,同时向管理
层汇报各类缺陷和整改方案的实施情况。
本年度内控稽核独立评价分审阅管理层自评结果、独立测试、整改汇报及报告四个阶段进
行。第一阶段,稽核评价项目组审阅前期管理层自评的过程文件和自评结果,从独立视角予以
复核;第二阶段,稽核评价项目组根据审阅的结果及审计计划,选取业务自评合计 30%的关键
风险点及相应控制活动,独立进行运行有效性测试并记录测试结果,同时抽检管理层自评的穿
行测试及运行有效性测试记录和支持文档,通过检查和必要的抽样测试等手段确认管理层自评
结论的真实性和有效性;第三阶段,稽核评价项目组根据内控缺陷评价标准,对稽核独立测试
发现的缺陷进行汇总、验证和拟定整改计划、落实整改措施,同时对前期自评发现缺陷的整改
进度进行同步追踪与复核,对整改成果进行验收;第四阶段,稽核评价项目组对本年度内部控
制评价的依据、范围、程序和方法、内控缺陷认定及整改情况、内控有效性的结论等内部控制
评价工作的整体情况进行梳理总结并出具 2012 年银行内部控制评价报告。
二、内部控制的基本框架和主要政策
(一)内部控制的基本框架
本行根据《商业银行内部控制指引》、《企业内部控制基本规范》及最新监管要求,进一
步改进和完善内控评价机制,整合升级内部控制体系,定期进行风险评估,根据风险评估结果,
积极设计、修正、执行必要的控制活动,将风险控制在合理水平之上,同时及时收集、传递与
实现控制目标相关的信息,以保证信息在企业内部、企业与外部之间进行有效沟通。本行建立
了独立、垂直的稽核监察管理体系,能够保证总、分行稽核监察部在首席审计官的直接管理下
开展各项稽核监察工作,有效的内部监督合理保证了企业内部控制持续有效运作。
1、 内部环境
(1) 公司治理
本行按照《公司法》、《商业银行法》、《证券法》等法律、行政法规、部门规章的要求,
建立规范的公司治理结构,形成科学有效的职责分工和制衡机制。股东大会、董事会、监事会
分别按其职责行使决策权、执行权和监督权。董事会设立了审计、关联交易控制、薪酬与考核、
提名、风险管理和战略发展六个专业委员会,保持高效运作。截至2012年12月31日,本行董事
会由18名董事组成,其中独立董事8名。监事会由7名监事组成,其中职工代表监事3名、外部
监事2名、股东代表监事2名。本行根据国家有关法律法规和公司章程,建立了议事规则,明确
了决策、执行、监督等方面的职责权限。
本行内部控制的管理决策部门主要包括股东大会、董事会及下设审计委员会、监事会和高
级管理层。
股东大会的职责:享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹
资、投资、利润分配等重大事项的表决权。
董事会及下设审计委员会的职责:对股东大会负责,依法行使企业的经营决策权。负责内
部控制的建立健全和有效实施,对银行的经营合法合规负最终责任。由熟悉银行业务和管理流
程、对内部控制具备足够专业知识和经验的专家成员组成的审计委员会,具体负责确定银行的
内控管理方向,制定内控政策,审查企业内部控制,监督内部控制的有效实施和内部控制评价
情况,协调内部控制审计及其他相关事宜等,为董事会决策提供专业意见和建议。
监事会的职责:对股东大会负责,负责对董事会建立与实施的内部控制进行监督,对银行
财务和高管履职情况进行检查监督,对其疏于履行内部控制职能的行为进行质询。对董事及高
管人员违反内部控制要求的行为,予以纠正并根据规定的程序实施问责。
高级管理层的职责:负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测
和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建
立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
(2) 组织架构
2012年,本行成功完成了两行整合,搭建了符合新银行战略的组织架构,建立以董事会及
下属专门委员会为决策层、各级分支机构的管理层为建设执行层、各级合规部门及独立的内审
部门为监督评价层的内部控制体系。设置公司、零售、资金、风控、运营、信息科技、财务、
人力资源、合规内控、行政等业务和管理条线,其中信贷风险、财务、运营、稽核等条线实施
垂直管理。组织架构分工合理,界定了总行、区域和分行的职责范围与管理权限,汇报关系清
晰,支持业务发展也兼顾风险与合规管控。
2012年,本行持续贯彻并推行独立、垂直的稽核集中管理模式,完成深化内审条线的组织
架构整合,稽核监察条线在董事会审计委员会直接领导下独立行使稽核职权,由董事会审计委
员会直接考核稽核工作绩效,实行全行稽核资源统筹调配管理、审计结果直接向董事会审计委
员会报告的内审工作流程,确保了本行内部审计的独立性、权威性、专业性和有效性。
(3) 人力资源
本行制定和实施有利于企业可持续发展的人力资源政策,贯彻绩效导向的企业文化和竞争、
激励、淘汰的用人机制,坚持以价值、市场为导向的薪酬体系,持续提升关键人才和绩优人才
的薪酬竞争力。同时以优化投入产出为目标,配合业务发展规划合理制定年度人力成本预算机
制,建立业务与人力成本的关联和控制关系,保证企业利润。
本行建立完善的绩效问责管理制度,明确目标设定的指导理念,并据此确立从上至下的阶
段性问责目标,以目标达成为绩效考核的基本依据,对处于不同绩效等级的人员,针对性地采
取不同措施激励和促进员工自觉提高绩效能力,包括但不限于薪资调整、奖金发放、年度评优、
培训、晋升、降级、解除劳动合同等。本行亦建立内部干部选拔标准制度,在具体选拔过程中,
采用360°网上测评、现场访谈、晋升知识考试、面试等多种方法对拟任人员进行全面考察,
以保证选拔的公平和质量。
本行严格遵守国家劳动和人事法规政策,规范用工,积极保障员工各项劳动权益,同时搭
建“高效、顺畅、主动、亲切”的员工沟通辅导平台,关注员工身心健康发展,营造积极、健
康、快乐、和谐的工作氛围,助力本行经营发展。
(4) 企业文化
本行以国际领先的综合金融服务战略为愿景,秉承“对外以客户为中心,对内以人为本”
的理念,建立诚信、专业、服务和效率的价值观和服务理念。
本行董事会、监事会及高级管理层对全行内控合规文化建设高度重视,率先垂范参与各类
内控合规宣导活动,在全行树立“合规从高层做起”、“合规人人有责”、“合规创造价值”
的企业合规文化基调。本行持续、有效的实施多层次的合规宣导、培训与文化教育活动,提高
员工的合规意识,形成良好的合规内控文化氛围。
本行建立积极、有序的激励约束机制,发布并有效实施员工风险发现、诚信报告、员工检
举和堵截案件等系列奖励及处理制度,有序规范相关奖励流程和建议、问题的处理机制,保障
员工主动发现、报告风险隐患和开展诚信报告的积极性。
2、 风险评估
本行建立全面、规范、持续的风险管理体系,建立信用风险、市场风险、利率风险、流动
性风险、操作风险、法律风险及声誉风险等主要风险的识别和评估工作机制,能够对各类风险
进行持续监控。主要表现在:
(1) 信用风险管理方面
本行建立全面、系统、适时的信贷决策程序和制度体系,以保证信用风险管理的有效性。
本行于2012年6月正式启动了内部评级体系总体框架完善、非零售和零售信用风险内部评级模
型建设及应用等项目。通过对内部评级治理现状的梳理,结合外部监管要求和内部管理需要,
形成内部评级实施差距分析报告,并在此基础上,通过政策完善、流程改造、系统建设等各项
工作,进一步完善内部评级体系。
本行继续加强对各业务层级和各流程环节的信贷风险控制,建立全行授信审批后督监察制
度与流程,加强对各级授信审批人员尽职履责情况的监督管理,完善对公业务授信审批管理机
制;建立分行公司信贷管理水平等级评定制度,从核心结果指标、管理指标、监控指标角度,
充分考虑分行规模等因素,设定较为完整的指标体系;建立信贷月度检视例会制度,定期检视
全行信贷运营、组合管理、同业对标、不良控制等方面的管理情况及问题,督导各项风险管控
措施的有效落实。
(2) 市场风险管理方面
本行董事会负责审批市场风险管理政策,并授权总行资产负债管理委员会具体审批资金投
资业务市场风险额度并对市场风险情况进行定期监督。资产负债管理委员会下设专门的部门负
责市场风险监控的日常职能,包括制定合理的市场风险敞口水平,对日常资金业务操作进行监
控,对资产负债的期限结构和利率结构提出调整建议等。
本行已经建立前、中、后台一体化的市场风险管理体系,《平安银行资金投资及市场风险
管理办法》详细规定了识别、计量、监测和管理市场风险的制度、程序和方法;同时,通过引
入专业的应用系统,并结合本行特点,将市场风险量化评估方法和模型嵌入到系统中实现风险
自动化计量和管理,市场风险相关方法的制定充分考虑了本行的内部因素(如业务性质)和外
部因素(如风险因子、市场形式变化等);用于计量和检测市场风险的主要假设、数据来源和
程序参照市场标准且相关数据来源由不同团队每日复核,主要模型和参数也会定期进行测试,
并根据需要进行调整。
(3) 流动性风险管理方面
本行高度重视流动性风险管理,综合运用多种监管手段,建立健全全行流动性风险管理体
系,有效识别、计量、监测和控制流动性风险,维持充足的流动性水平以满足各种资金需求和
应对不利的市场状况。
根据银监会颁布的《商业银行流动性风险管理办法》以及新资本协议有关流动性风险管理
的规章,完善了《平安银行流动性风险管理办法》、《平安银行流动性风险应急预案》和《平
安银行流动性风险压力测试管理办法》等制度。
在运用多种流动性风险管理标准指标时,采用预测结果与压力测试相结合的方式,对未来
流动性风险水平进行预估,并针对特定情况提出相应解决方案。通过每周流动性风险管理例会
形式,加强全行本外币流动性管理。
(4) 操作风险管理方面
本行搭建覆盖总、分、支行的全面操作风险管理架构及专业队伍,明确各级操作风险管理
岗位人员职责,夯实新资本协议达标基础;规划并开发操作风险管理信息平台,进一步提高管
理质量及效率;强化操作风险事前、事中及事后监控,突出重点风险领域的改善,进一步增强
全行风险暴露和主动管理能力;建立操作风险培训体系,开展多层次、多形式的培训和宣导,
进一步强化操作风险文化建设。继续保持案件防控的高压态势,进一步完善了案件防控工作机
制,持续提升案件防控工作整体水平。2012年,我行实现全年“内部舞弊零案件”的防控目标。
(5) 其他风险
本行面临的其他风险包括合规风险、法律风险和声誉风险等。
本行持续完善务实、高效的合规管理组织架构,总行、各区域和分行均成立了案防合规委
员会,总行和各分行均设立合规管理部门,配备专职合规管理人员,构建了较完善的案件防控、
合规、内控的组织管理体系。本行致力建立健全新银行战略的合规管理制度和管理工具体系,
通过实施风险热图、内控评价项目(C-SOX)、全行重点业务领域滚动检查、制度清理等重要
内控合规工作项目,全面梳理重点业务流程的风险点和控制措施,加强事前的风险防范、事中
的风险监测和事后的违规行为问责,强化案件防控与合规风险管理,提升全行内控管理水平和
风险防范能力。同时,本行有序、有效的实施新政策法规跟踪落实,新产品、新业务合规风险
识别与控制,合规评审,区域与分行案防合规督导,不规范经营行为专项治理,制度清理,银
行职场使用排查与规范、“啄木鸟”行动、反洗钱等各项合规风险识别和管理活动,将合规风
险管理融入到各项经营管理活动的全过程。
本行通过法务职能集中、分级授权管理模式,提供全业务领域、全业务过程的法律支持服
务,持续、有效监控的全行法律风险。在法律审查和咨询方面,进一步完善法律审查制度,推
动事先介入审查程序,及时有效防范相应风险;本年度突出对综合金融、关键业务领域、新产
品、新业务等重点项目的法律服务支持;针对各项业务中存在的相关法律问题进行专题检视和
风险提示,有效增强各类业务的法律风险防范能力。在诉讼案件和综合法律事务管理方面,进
一步完善诉讼管理制度,加强对重大案件的管理,建立案件定期跟踪检视、报告、分析讨论机
制,同时加强处理各类非诉纠纷,有效防范诉讼风险。
2012年制定出台的《平安银行声誉风险管理办法》、《平安银行突发事件应急管理办法》、
《平安银行重大事项及突发事件报告制度》、《平安银行新闻发布管理办法》等系列制度,形
成了本行声誉风险管理前、中、后全程监控与管理的制度体系,并通过建立声誉风险管理框架,
确定声誉风险管理机制、明确各层级职责权限,实行有效的监督评估,从而达到主动、有效地
防范声誉风险和应对声誉事件,最大程度地减少声誉损失和负面影响的管理目标。
3、 控制活动
本行为各项业务建立相应的内部控制制度和业务操作程序,能够覆盖各操作环节的主要风
险点。高管层定期召开办公会议,研究讨论全行重大经营管理事项,审议财务及经营指标完成
情况,做出有关经营管理的具体决策。每月召开案防合规委员会会议,审议本行重大内控政策,
就重大内控事项进行部署。本行实施法人授权管理,建立了法人授权和审批制度,规范了各部
门和各分支机构书面授权管理事项。主要表现在:
(1) 授信业务控制事项
本行针对贷前调查、贷中审批、贷后管理与不良资产清收的全流程,持续完善相应的政策、
制度和程序。
A.完善组织管理,优化工作流程。本行进一步完善信用风险管理组织架构,包括设立统一
管理的信贷政策委员会、成立信贷审批后督团队、扩大区域信贷管理部门职能等,全面履行资
产质量管理和督导职能;建立信贷月度检视例会制度,定期检视全行信贷运营、组合管理、同
业对标、不良控制等方面的管理情况及问题,督导各项风险管控措施的有效落实;全面梳理信
贷政策制度和流程,提高管理流程的严密性和工作质量。
B.加强信贷组合管理,不断优化信贷结构。本行在深入调研的基础上,根据经济金融形势
和宏观调控政策的变化以及监管部门的监管要求,制定了2012年度信贷政策指引,引导分支机
构不断优化信贷结构。
C.加强合规监管,保证信贷操作规程得到严格执行。本行按照监管要求按季检查“三个办
法一个指引”执行情况以保证贷款发放与支付等操作环节的合规性;持续开展重点业务领域滚
动检查和各类授信业务专项检查,并跟踪落实整改完成情况;推进部门内部控制检查体系、内
控评价项目实施,以保证信贷制度和流程得到严格执行并切实发挥作用。
D.加大信贷风险监测预警力度,提升风险早期预警及快速反应能力。本行进一步完善授信
风险监测预警管理体系,加强授信风险监测;定期分析信贷风险形势和动态,积极采取信贷风
险应对控制措施;建立问题授信优化管理机制,加快问题授信优化进度,防范形成不良贷款;
对突发授信风险事件,实施资产保全快速介入机制,总、分行协同联动控制和化解风险。
E.加强重点领域风险防范,防范大额授信风险。本行严格落实监管部门有关政府融资平台
贷款的风险监管要求,通过信贷分类管理、严控总量和新增、深化存量整改等措施,继续推进
平台贷款风险化解工作;对房地产贷款,继续认真贯彻落实差别化住房信贷政策,对开发企业
实行名单制管理,同时加强风险监测和风险排查力度,强化房地产贷款风险管理;坚守授信集
中度红线,加强集团客户统一授信管理,防范信贷集中度风险。
F.加大不良贷款清收处置力度,强化不良资产责任追究。对不良资产进行专业化集中处置,
实行动态监测和分类管理,一户一策制定清收策略,积极探索创新处置方式或途径,提高不良
资产清收效率;加大对信贷不良贷款问责力度,严厉处罚授信业务中的不合规、不尽职行为,
营造诚实守信、遵章守纪、尽职尽责的信贷文化。
G.加强信贷队伍建设,提升信贷管理水平。本行根据业务发展情况和管理要求,采取措施
持续充实信贷管理骨干,逐步建立专业信贷管理人员队伍;推行分行信用风险等级管理办法,
进一步加强对分支机构风险管理工作的考核和评级,并与存贷比、授权和人员配置等挂钩;打
造全新的信贷培训体系,通过线上自学、视频和现场培训相结合的多渠道培训方式,加强对各
级信贷人员的培训考试、资格认定,提升风险管理水平。
(2) 资金业务内部控制方面
A.授信额度管理。根据《平安银行同业授信政策》,金融同业部负责全国性同业客户与境
外同业客户授信额度的发起、尽职调查与授信分析工作,向公司信贷管理部提交同业授信额度
申报资料。金融市场产品部负责金融同业条线授信额度使用的分配、调剂与统计管理。在公司
信贷管理部的统一授信批复后,由金融市场产品部将相关额度数据维护录入相关的系统。
B.市场风险限额管理。根据《平安银行资金投资及市场风险管理办法》,资产负债管理委
员会根据董事会风险管理委员会的授权,负责审批资金投资业务市场风险限额;市场风险管理
部负责监测交易部门和分支机构的市场风险暴露,并对交易部门的交易限额和限额状况进行指
导和监督;金融市场产品部负责资金条线内控工作,并与资金交易部分别负责代客交易和自营
交易数据的维护和系统录入,以保证交易符合风险限额要求;市场风险管理部进行市场风险相
关风险因子的压力测试,每日发送市场风险监控日报,定期向资产负债委员会和风险管理委员
会提交市场风险管理报告等。
C.授权和审批制度。在金融市场产品业务管理方面,执行按需设置、职能独立的原则,保
证部门、岗位及职责权限的合理设置,形成互相制约、互相监督的机制。在金融市场交易业务
方面,实行前、中、后台相分离,制定了《资金交易员行为守则》、《交易授权管理办法》等
制度,对交易员行为进行规范、约束和管理。
(3) 中间业务内部控制方面
根据《商业银行中间业务暂行规定》,本行制订了明确内部授权权限、加强或有资产业务
的资本金管理、重点关注交易类业务的头寸管理和风险限额控制、加强信用风险或有资产业务
的统一授信管理等一系列中间业务管理制度。包括《国际结算业务管理规定》、《代客外汇买
卖业务管理办法和操作规程》、《结售汇业务管理办法》、《代理法人贵金属交易业务管理办
法》、《贵金属代理银银合作及居间人业务管理办法》、《人民币债券结算代理业务管理办
法》、《交易账户管理暂行办法》、《代客衍生产品交易管理暂行办法和操作规程》、《客户
交易结算资金第三方存管业务指引》、《代理保险业务管理办法》、《代理信托产品资金收付
业务管理办法》、《融资性对外担保业务管理办法》、《对公中间业务收费管理办法》等,为
各类中间业务的有序开展提供依据和保证。并通过实行闭环的检查流程,认真检查全行对公中
间业务收费标准的执行情况,强化合规合法经营。
(4) 柜台、运营业务及操作风险内部控制方面
本行制定了较为完善的运营业务规章制度和操作流程,同时通过多种手段,严格规范运营
人员业务操作,以保证各项制度得到有效落实。具体包括:
A.稳步推进支付结算系统优化和流程银行建设,实现支付结算业务处理简单化、标准化、
自动化和集中化,以保证在作业流程中落实风险控制要求。
B.在全行推行部门控制检查体系(DCFC),通过梳理业务流程中的关键风险控制点,建立
DCFC检查控制清单,并由DCFC执行人定期进行检查,以保证风险控制步骤得到执行并控制有效。
C.建立总账核对机制,定期核对总账科目余额,对于发现的数据差异和异常状况,要求核
对部门如实报告并及时解决,保证总账数据的真实性、准确性及合理性。
D.建立运营关键风险指标(KRI)体系,定期提取中高风险业务数据,同时总、分行运营
部门指定专人按日进行监控,并按照升级报告标准进行报告。
E.将原分散在各分行处理的事后监督工作集中上收总行,实现后督业务处理的集中化、规
范化,进一步加强总行对于全行运营风险的控制能力。
F.根据监管机构与总行统筹安排的相关要求,采取分行自查、总行督导相结合等方式,对
高风险业务领域深入、全面地开展排查工作。
(5) 其它内部控制方面
本行建立了较为完善的突发事件应急报告及处理制度,以保证本行资金财产和员工、客户
的人身安全,对可能发生各类突发情况制定规定了应急处理流程及相应措施。建立IT安全应急
协调机制,规定了生产系统出现故障时的详细应急方案,以保障生产系统的安全运行和业务的
顺利进行。
4、 信息与沟通
本行董事会一直高度重视信息沟通工作,并将其作为完善公司治理的一项重要内容加以落
实。2012年以来,本行在信息沟通方面主要落实以下工作:
在对外部沟通方面,制定了《信息披露事务管理制度》和《年报信息披露重大差错责任追
究制度》等制度,对信息披露的基本原则、披露内容、事务、职责、工作程序、报告要求、保
密、管理等进行规范,从制度层面加强信息披露管理。
在内部沟通方面,董事长、行长和监事长之间建立了畅通的信息交流和沟通渠道,董事长、
监事长及首席审计官均可以列席参加全部经营管理会议,管理层必须在每年定期或临时召开的
董事会、监事会会议上报告重大信息事项,确保董事会、监事会能够充分和适时的获取有关经
营管理中的重要信息(包括敏感信息、调查报告和违规行为等)。
5、 内部监督
2012年,本行进一步完善符合国际标准和监管要求的、国内领先的稽核监察管理体系和运
行机制,不断探索和推广创新稽核手段、提升平台自动化水平,深入推进风险导向的稽核监察
理念,有效整合稽核资源,运用创新稽核手段,以远程审计为核心,以IT审计为依托,将稽核
工作的重点转向对风险控制有效性以及风险管控效果的评估,推动全行提升内部控制水平和能
力。
(1)按照监管部门的管理标准和要求,本行法律部、合规部、风险管理部、操作风险管
理部、公司信贷管理部、零售信贷管理部等条线部门开展了涵盖全行主要业务经营事项和分支
机构,内容包含主要经营领域的关键环节和重要人员、制度建设与执行情况的业务检查,积极
发挥内部控制第二道防线作用。
(2)2012年度,本行稽核监察部严格执行董事会审计委员会批准的年度审计计划,有序
完成了常规、专项和突击审计合计260个审计项目,常规审计覆盖了21家分行和2个事业部,并
根据银监会相关指引的规定,独立审查和评价了流动性风险、市场风险管理、关联交易管理、
房地产贷款、小微贷款业务、理财产品、信息防火墙、信贷资产风险分类、反洗钱、信息科技
风险、信息科技外包管理等业务领域,对相关业务领域以及经营机构经营管理过程中的内部控
制健全性和有效性进行了测试和评价,针对总、分行规章制度执行、内部控制、风险管理等关
键流程和环节,及时发现问题、揭示风险、分清责任,提出改进建议,督促和引导经营机构和
管理机构强化内部控制、规范操作、稳健经营。
(3)2012年度,本行稽核监察部采取多种措施有效追踪、督促责任单位实施对稽核发现
问题的全面整改,促使各级管理层对所管辖业务建立和完善自我纠正机制,并对稽核中发现的
“屡查屡犯”和整改不力、整改无效的行为提出加重处罚的建议,促使稽核建议得到落实和问
题得到改进,防范同类缺陷的再次发生;针对监管、内外审计发现的内部控制方面的问题和缺
陷,及时敦促整改责任单位制定整改措施和整改计划并落实执行,并定期对整改事项进行统计、
分析,定期向董事会审计委员会汇报整改情况,使得高级管理层有效掌控内控制度的执行情况,
促使各项业务政策和内控制度得到全面执行,促进内控制度建设的不断完善,为全行建立健全
内部控制机制给予系统、全面的支持。
(4)本行认真贯彻执行财政部等5部委颁布的《企业内部控制基本规范》,已建立起内部
控制评估体系及纠正机制,通过衡量及评价内部控制机制的建立健全程度和有效性,寻找内部
控制的薄弱环节,提出强化内部控制建设的措施,以防范化解经营风险,提高整体经营管理水
平。2012年,本行稽核监察部按照财政部等5部委颁布的《企业内部控制基本规范》要求,对
合规部组织实施的内部控制矩阵的风险点和控制活动的自评估情况,采用穿行测试和有效性测
试的方法,开展稽核独立评价,较为有效地检视本行内控机制的建设和运行情况。
(二)内部控制体系的主要政策
为实现全球领先的综合金融服务的战略目标,内控先行、制度先行是战略得以实现的有效
保障。本行持续加强内控政策建设,建立完善高标准的内控管理制度、流程和准则体系。已制
定并发布实施的指导合规工作的主要政策有《平安银行合规工作管理办法》、《平安银行合规
评审管理办法》、《平安银行案件防控工作管理办法》、《平安银行反洗钱工作管理办法》、
《平安银行“红、黄、蓝牌”处罚和赔偿制度》等。已制定并发布实施的稽核监察系列相关的
政策和制度主要有《平安银行股份有限公司内部审计章程》、《平安银行股份有限公司审计工
作基本准则》、《平安银行案件责任追究管理办法》、《平安银行离任及任中审计管理办法》、
《平安银行信访工作管理办法》等。同时,本行专门针对内控评价工作制定了《平安银行内部
控制评价管理办法》及《平安银行内部控制自评操作手册》,在操作层面具体指导内控评价工
作的开展。
三、内部控制缺陷及认定
通过内部控制的评价和测试,本行的内部控制制度设计合理、运行有效,未发现重大缺陷
和实质性漏洞。截至2012年12月31日存在的(即尚未完成整改)内部控制缺陷均为一般缺陷,由
于涉及系统升级、制度建设、流程统一等原因未完成整改,经评估这些缺陷各自可能导致的风
险均为低或较低风险,在可控范围内,并且从汇总角度亦不会构成重大缺陷或实质性漏洞,对
本行财务报告目标的实现不构成实质性的影响。
四、对内控缺陷拟采取的整改措施
1、持续完善本行内控管理组织体系,实现内控管理资源的最优配置。
为有效支持国际领先的综合金融服务发展战略,本行将持续完善符合战略发展及风险管控
要求的内控管理体系,加强事前风险预警、事中风险监控及事后管控监督,保证本行各关键业
务环节的控制活动设计合理且运行有效。为实现内控管理的全覆盖,防止在各分支机构出现内
控监督的真空地带,本行将进一步推动完善各分支机构的内控管理架构建设,实现内控管理的
纵深推进。
2、持续推进内控评价工作标准化、系统化,进一步优化内控评价日常化开展模式。
本行将在以往年度贯彻落实监管法规要求开展内控评价工作的基础上,结合内控管理实践,
从管理效益最大化的角度出发进一步健全内控制度体系,充分发挥业务管理部门的“主人翁”
意识,将内控评价工作标准与内控工作系统融合在日常管理流程中,实现内控体系的整合升级。
3、进一步完善信息系统建设,通过系统自动控制建立更有效的内控体系。
随着综合金融服务对银行信息系统的要求日趋增加,业务量、业务复杂度以及不同信息系
统间的整合也对本行整体内部控制环境提出了更高的标准。在2012年度内控评价提出的部分信
息系统建设改善意见基础上,今后本行将重点关注信息系统建设和变更过程中的内部控制设计,
力争把部分内部控制在信息系统内进行固化,通过设计更多的事前控制提升本行整体的内部控
制质量。
4、进一步贯彻落实内控执行标准,降低风险水平。
本行通过内控评价发现的内部控制缺陷主要是控制活动未按规定执行或执行标准不一致的
情况,针对执行层面的问题,本行将通过进一步加强事前预防、事中管控、事后监督的措施,
借助有效的信息系统控制手段或手工复核机制,加强现有内控执行标准的贯彻落实,降低风险
水平。
五、本年度内部控制评价的结论
根据《中华人民共和国商业银行法》、《企业内部控制基本规范》、《商业银行内部控制
指引》及《深圳证券交易所主板上市公司规范运作指引》的有关规范要求,本行以防范风险和
审慎经营为出发点,在业务规模不断发展的同时始终注重内控制度建设,逐步建立和健全一系
列风险防范的制度、程序和方法,形成了与银行风险状况较为适应的风险管理体系和内部控制
制度体系,对保持本行各项业务持续稳定发展,防范金融风险发挥了有效的作用。内控评价过
程中未发现本行存在重大的内部控制缺陷。
未来期间,本行将匹配发展战略、结合本行业务流程的变化,继续完善内部控制制度,规
范内部控制制度执行,不断优化内部控制评价方法论,加强内部控制监督检查,促进本行健康、
可持续发展。
平安银行股份有限公司董事会
2013年3月7日
