平安银行 2012 年度内部控制评价报告
目 录
董事会对内部控制报告真实性的声明......................................................................................... 2
一、内部控制评价工作的基本情况............................................................................................. 3
(一)内部控制评价的依据和目标......................................................................................... 3
(二)内部控制评价的方法和范围......................................................................................... 3
(三)内部控制评价的程序..................................................................................................... 4
二、内部控制的基本框架和主要政策......................................................................................... 5
(一)内部控制的基本框架..................................................................................................... 5
1、内部环境 .................................................................................................................. 6
2、风险评估 .................................................................................................................. 8
3、控制活动 ................................................................................................................ 10
4、信息与沟通 ............................................................................................................ 13
5、内部监督 ................................................................................................................ 14
(二)内部控制体系的主要政策........................................................................................... 15
三、内部控制缺陷及认定........................................................................................................... 15
四、对内控缺陷拟采取的整改措施........................................................................................... 15
五、本年度内部控制评价的结论............................................................................................... 16
董事会对内部控制报告真实性的声明
董事会全体成员保证本报告内容真实、准确和完整,没有虚假记载、误导性陈述或者
重大遗漏。
平安银行股份有限公司全体股东:
平安银行股份有限公司董事会(以下简称“董事会”)对建立健全和有效实施财务报
告内部控制负责。
财务报告内部控制的目标是合理保证财务报告及相关信息真实完整和可靠、防范重大
错报风险。由于内部控制存在固有局限性,因此仅能对上述目标提供合理保证。
董事会已按照《企业内部控制基本规范》及评价指引的要求对财务报告内部控制进行
了评价,并认为其在2012年12月31日(基准日)有效。
本行在财务报告内部控制自我评价过程中未发现非财务报告内部控制重大缺陷情况。
本报告已于2013年3月7日经第八届董事会第二十五次会议审议通过。
一、内部控制评价工作的基本情况
(一)内部控制评价的依据和目标
根据《中华人民共和国商业银行法》、《企业内部控制基本规范》、《企业内部控制
评价指引》、《商业银行内部控制指引》及《深圳证券交易所主板上市公司规范运作指
引》等有关规范要求,企业应当对内部控制的有效性进行评价,并编制内部控制评价报
告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。
本行根据《企业内部控制基本规范》及相关指引,制定了《平安银行内部控制评价管
理办法》及《平安银行内部控制自评操作手册》,在内部控制日常监督和专项监督的基础
上,对本行截至2012年12月31日内部控制的设计与运行的有效性进行评价。
本行在2012年度开展内部控制评价工作旨在实现合理保证企业经营管理合法合规、保
证企业资产安全,确保财务报告及相关信息真实完整,提高经营效率和效果、促进企业实
现发展战略等目标,建立覆盖全面、针对性强、执行到位、监督有力的内部控制评价体
系,提高内部控制执行力。
(二)内部控制评价的方法和范围
本行在2012年开展内部控制评价采取的方法是以本行财务报表及披露事项为基础,结
合本行内控整体目标分管理层内控自评和内控稽核独立评价两个层面开展。
管理层内控自评在确定范围时,首先采用定性分析与定量分析相结合的方法,确定关
键业务指标,根据指标对分支机构进行排名并确定纳入内部控制评价项目的实体,并结合
本行实际情况与财务报表科目和业务流程的关系,确定纳入项目范围内的业务流程及披露
事项;其次,通过识别关键业务流程的目标、分析影响目标实现的主要因素,从中识别该
业务流程中的风险点,然后通过风险评级,评估风险发生的概率及影响程度,并识别足以
影响经营活动正常有序进行的重大风险;最后,在了解本行为重大风险是否建立了相适应
的控制和防范措施后,进行相应的测试,对内部控制的设计有效性及执行有效性进行评
估,以反映全行的风险控制水平。
内控稽核独立评价由稽核监察部依据本行实际情况,综合考虑财务报表科目和业务流
程的关系,选择重要流程纳入稽核独立评价范围。对于纳入稽核独立评价范围的流程,稽
核监察部对管理层内控自评工作进行了全面审阅,并以风险为导向的方法论进行独立测
试,通过对风险评级与具体风险内容的分析,选取其中近30%的风险点,并将大部分风险
评级为高级的风险点所对应的控制活动纳入稽核独立评价测试范围。
根据上述的方法和原则确定的公司层面、流程层面和IT层面评价范畴,整体涵盖了本
行经营管理的主要方面,不存在重大遗漏。具体涉及的评价范围和流程如表1所示。
表1:2012年度内部控制评价范围
内控业务自评范围 内控稽核独立评价范围
独立评价测
序号 主流程名称 风险 自评测试的控 审阅的风 审阅的控制
试的控制活
数量 制活动数量 险数量 活动数量
动数量
1 公司层面控制 47 101 47 101
2 对公贷款 46 91 46 91
3 票据业务 41 68 41 68
4 费用管理 10 20 10 20
5 运营管理 8 31 8 31
6 信用卡 22 59 22 59
7 电子银行 25 48 25 48
8 信息科技管理 42 55 42 55
9 存款 25 89 25 89
10 贸易融资 40 109 40 109
11 贸易结算 48 101 48 101
12 零售贷款 62 207 62 207
13 财务报告 20 60 20 60
14 资金同业 32 51 32 51
15 税务管理 7 16 7 16
合计 475 1106 475 1106
(三)内部控制评价的程序
本行按照《企业内部控制基本规范》、《企业内部控制评价指引》、《商业银行内部
控制指引》及《深圳证券交易所主板上市公司规范运作指引》,结合《企业内部控制审计
指引》的要求,成立专门的内部控制管理职能部门负责对内部控制的事前、事中的统筹规
划,组织推动、实时监控和评价内部控制的有效性。本行不断完善管理层内控自评和内控
稽核独立评价流程,通过加强项目管理、过程管理、质量复核、固化项目方法和程序、评
价结果分类等内容,规范管理层内控自评和内控稽核独立评价工作的开展。并通过内部控
制系统完成内部控制自评的发起、测试、汇总、复核、审批、整改追踪、结果分析等工
作。
本年度管理层自评分计划、主数据更新、自评测试以及整改汇报四个阶段进行。在计
划阶段,由合规部主导,从公司层面、流程层面和 IT 层面确定工作范围,同时拟定 2012
年度内控自评的方法论、管理办法和操作手册,并组织了相关的启动会议和内控培训;在
主数据更新阶段,合规部协调并协助各相关责任部门根据以风险为导向的方法论更新风险
及控制活动,同时对风险点进行风险评级;在自评测试阶段,业务自评部门对纳入评价工
作范围的控制点进行穿行测试和运行有效性测试;在整改汇报阶段,汇总在测试阶段发现
的内部控制缺陷并拟定整改方案,敦促相关责任人落实整改,并对已整改的内控缺陷进行
进一步跟踪和测试,同时向管理层汇报各类缺陷和整改方案的实施情况。
本年度内控稽核独立评价分审阅管理层自评结果、独立测试、整改汇报及报告四个阶
段进行。第一阶段,稽核评价项目组审阅前期管理层自评的过程文件和自评结果,从独立
视角予以复核;第二阶段,稽核评价项目组根据审阅的结果及审计计划,选取业务自评合
计 30%的关键风险点及相应控制活动,独立进行运行有效性测试并记录测试结果,同时
抽检管理层自评的穿行测试及运行有效性测试记录和支持文档,通过检查和必要的抽样测
试等手段确认管理层自评结论的真实性和有效性;第三阶段,稽核评价项目组根据内控缺
陷评价标准,对稽核独立测试发现的缺陷进行汇总、验证和拟定整改计划、落实整改措
施,同时对前期自评发现缺陷的整改进度进行同步追踪与复核,对整改成果进行验收;第
四阶段,稽核评价项目组对本年度内部控制评价的依据、范围、程序和方法、内控缺陷认
定及整改情况、内控有效性的结论等内部控制评价工作的整体情况进行梳理总结并出具
2012 年银行内部控制评价报告。
二、内部控制的基本框架和主要政策
(一)内部控制的基本框架
本行根据《商业银行内部控制指引》、《企业内部控制基本规范》及最新监管要求,
进一步改进和完善内控评价机制,整合升级内部控制体系,定期进行风险评估,根据风险
评估结果,积极设计、修正、执行必要的控制活动,将风险控制在合理水平之上,同时及
时收集、传递与实现控制目标相关的信息,以保证信息在企业内部、企业与外部之间进行
有效沟通。本行建立了独立、垂直的稽核监察管理体系,能够保证总、分行稽核监察部在
首席审计官的直接管理下开展各项稽核监察工作,有效的内部监督合理保证了企业内部控
制持续有效运作。
1、内部环境
(1)公司治理
本行按照《公司法》、《商业银行法》、《证券法》等法律、行政法规、部门规章的
要求,建立规范的公司治理结构,形成科学有效的职责分工和制衡机制。股东大会、董事
会、监事会分别按其职责行使决策权、执行权和监督权。董事会设立了审计、关联交易控
制、薪酬与考核、提名、风险管理和战略发展六个专业委员会,保持高效运作。截至2012
年12月31日,本行董事会由18名董事组成,其中独立董事8名。监事会由7名监事组成,其
中职工代表监事3名、外部监事2名、股东代表监事2名。本行根据国家有关法律法规和公
司章程,建立了议事规则,明确了决策、执行、监督等方面的职责权限。
本行内部控制的管理决策部门主要包括股东大会、董事会及下设审计委员会、监事会
和高级管理层。
股东大会的职责:享有法律法规和企业章程规定的合法权利,依法行使企业经营方
针、筹资、投资、利润分配等重大事项的表决权。
董事会及下设审计委员会的职责:对股东大会负责,依法行使企业的经营决策权。负
责内部控制的建立健全和有效实施,对银行的经营合法合规负最终责任。由熟悉银行业务
和管理流程、对内部控制具备足够专业知识和经验的专家成员组成的审计委员会,具体负
责确定银行的内控管理方向,制定内控政策,审查企业内部控制,监督内部控制的有效实
施和内部控制评价情况,协调内部控制审计及其他相关事宜等,为董事会决策提供专业意
见和建议。
监事会的职责:对股东大会负责,负责对董事会建立与实施的内部控制进行监督,对
银行财务和高管履职情况进行检查监督,对其疏于履行内部控制职能的行为进行质询。对
董事及高管人员违反内部控制要求的行为,予以纠正并根据规定的程序实施问责。
高级管理层的职责:负责制定内部控制政策,对内部控制体系的充分性与有效性进行
监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措
施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
(2)组织架构
2012年,本行成功完成了两行整合,搭建了符合新银行战略的组织架构,建立以董事
会及下属专门委员会为决策层、各级分支机构的管理层为建设执行层、各级合规部门及独
立的内审部门为监督评价层的内部控制体系。设臵公司、零售、资金、风控、运营、信息
科技、财务、人力资源、合规内控、行政等业务和管理条线,其中信贷风险、财务、运
营、稽核等条线实施垂直管理。组织架构分工合理,界定了总行、区域和分行的职责范围
与管理权限,汇报关系清晰,支持业务发展也兼顾风险与合规管控。
2012年,本行持续贯彻并推行独立、垂直的稽核集中管理模式,完成深化内审条线的
组织架构整合,稽核监察条线在董事会审计委员会直接领导下独立行使稽核职权,由董事
会审计委员会直接考核稽核工作绩效,实行全行稽核资源统筹调配管理、审计结果直接向
董事会审计委员会报告的内审工作流程,确保了本行内部审计的独立性、权威性、专业性
和有效性。
(3)人力资源
本行制定和实施有利于企业可持续发展的人力资源政策,贯彻绩效导向的企业文化和
竞争、激励、淘汰的用人机制,坚持以价值、市场为导向的薪酬体系,持续提升关键人才
和绩优人才的薪酬竞争力。同时以优化投入产出为目标,配合业务发展规划合理制定年度
人力成本预算机制,建立业务与人力成本的关联和控制关系,保证企业利润。
本行建立完善的绩效问责管理制度,明确目标设定的指导理念,并据此确立从上至下
的阶段性问责目标,以目标达成为绩效考核的基本依据,对处于不同绩效等级的人员,针
对性地采取不同措施激励和促进员工自觉提高绩效能力,包括但不限于薪资调整、奖金发
放、年度评优、培训、晋升、降级、解除劳动合同等。本行亦建立内部干部选拔标准制
度,在具体选拔过程中,采用360°网上测评、现场访谈、晋升知识考试、面试等多种方
法对拟任人员进行全面考察,以保证选拔的公平和质量。
本行严格遵守国家劳动和人事法规政策,规范用工,积极保障员工各项劳动权益,同
时搭建“高效、顺畅、主动、亲切”的员工沟通辅导平台,关注员工身心健康发展,营造
积极、健康、快乐、和谐的工作氛围,助力本行经营发展。
(4)企业文化
本行以国际领先的综合金融服务战略为愿景,秉承“对外以客户为中心,对内以人为
本”的理念,建立诚信、专业、服务和效率的价值观和服务理念。
本行董事会、监事会及高级管理层对全行内控合规文化建设高度重视,率先垂范参与
各类内控合规宣导活动,在全行树立“合规从高层做起”、“合规人人有责”、“合规创
造价值”的企业合规文化基调。本行持续、有效的实施多层次的合规宣导、培训与文化教
育活动,提高员工的合规意识,形成良好的合规内控文化氛围。
本行建立积极、有序的激励约束机制,发布并有效实施员工风险发现、诚信报告、员
工检举和堵截案件等系列奖励及处理制度,有序规范相关奖励流程和建议、问题的处理机
制,保障员工主动发现、报告风险隐患和开展诚信报告的积极性。
2、风险评估
本行建立全面、规范、持续的风险管理体系,建立信用风险、市场风险、利率风险、
流动性风险、操作风险、法律风险及声誉风险等主要风险的识别和评估工作机制,能够对
各类风险进行持续监控。主要表现在:
(1)信用风险管理方面
本行建立全面、系统、适时的信贷决策程序和制度体系,以保证信用风险管理的有效
性。本行于2012年6月正式启动了内部评级体系总体框架完善、非零售和零售信用风险内
部评级模型建设及应用等项目。通过对内部评级治理现状的梳理,结合外部监管要求和内
部管理需要,形成内部评级实施差距分析报告,并在此基础上,通过政策完善、流程改
造、系统建设等各项工作,进一步完善内部评级体系。
本行继续加强对各业务层级和各流程环节的信贷风险控制,建立全行授信审批后督监
察制度与流程,加强对各级授信审批人员尽职履责情况的监督管理,完善对公业务授信审
批管理机制;建立分行公司信贷管理水平等级评定制度,从核心结果指标、管理指标、监
控指标角度,充分考虑分行规模等因素,设定较为完整的指标体系;建立信贷月度检视例
会制度,定期检视全行信贷运营、组合管理、同业对标、不良控制等方面的管理情况及问
题,督导各项风险管控措施的有效落实。
(2)市场风险管理方面
本行董事会负责审批市场风险管理政策,并授权总行资产负债管理委员会具体审批资
金投资业务市场风险额度并对市场风险情况进行定期监督。资产负债管理委员会下设专门
的部门负责市场风险监控的日常职能,包括制定合理的市场风险敞口水平,对日常资金业
务操作进行监控,对资产负债的期限结构和利率结构提出调整建议等。
本行已经建立前、中、后台一体化的市场风险管理体系,《平安银行资金投资及市场
风险管理办法》详细规定了识别、计量、监测和管理市场风险的制度、程序和方法;同
时,通过引入专业的应用系统,并结合本行特点,将市场风险量化评估方法和模型嵌入到
系统中实现风险自动化计量和管理,市场风险相关方法的制定充分考虑了本行的内部因素
(如业务性质)和外部因素(如风险因子、市场形式变化等);用于计量和检测市场风险
的主要假设、数据来源和程序参照市场标准且相关数据来源由不同团队每日复核,主要模
型和参数也会定期进行测试,并根据需要进行调整。
(3)流动性风险管理方面
本行高度重视流动性风险管理,综合运用多种监管手段,建立健全全行流动性风险管
理体系,有效识别、计量、监测和控制流动性风险,维持充足的流动性水平以满足各种资
金需求和应对不利的市场状况。
根据银监会颁布的《商业银行流动性风险管理办法》以及新资本协议有关流动性风险
管理的规章,完善了《平安银行流动性风险管理办法》、《平安银行流动性风险应急预
案》和《平安银行流动性风险压力测试管理办法》等制度。
在运用多种流动性风险管理标准指标时,采用预测结果与压力测试相结合的方式,对
未来流动性风险水平进行预估,并针对特定情况提出相应解决方案。通过每周流动性风险
管理例会形式,加强全行本外币流动性管理。
(4)操作风险管理方面
本行搭建覆盖总、分、支行的全面操作风险管理架构及专业队伍,明确各级操作风险
管理岗位人员职责,夯实新资本协议达标基础;规划并开发操作风险管理信息平台,进一
步提高管理质量及效率;强化操作风险事前、事中及事后监控,突出重点风险领域的改
善,进一步增强全行风险暴露和主动管理能力;建立操作风险培训体系,开展多层次、多
形式的培训和宣导,进一步强化操作风险文化建设。继续保持案件防控的高压态势,进一
步完善了案件防控工作机制,持续提升案件防控工作整体水平。2012年,我行实现全年
“内部舞弊零案件”的防控目标。
(5)其他风险
本行面临的其他风险包括合规风险、法律风险和声誉风险等。
本行持续完善务实、高效的合规管理组织架构,总行、各区域和分行均成立了案防合
规委员会,总行和各分行均设立合规管理部门,配备专职合规管理人员,构建了较完善的
案件防控、合规、内控的组织管理体系。本行致力建立健全新银行战略的合规管理制度和
管理工具体系,通过实施风险热图、内控评价项目(C-SOX)、全行重点业务领域滚动
检查、制度清理等重要内控合规工作项目,全面梳理重点业务流程的风险点和控制措施,
加强事前的风险防范、事中的风险监测和事后的违规行为问责,强化案件防控与合规风险
管理,提升全行内控管理水平和风险防范能力。同时,本行有序、有效的实施新政策法规
跟踪落实,新产品、新业务合规风险识别与控制,合规评审,区域与分行案防合规督导,
不规范经营行为专项治理,制度清理,银行职场使用排查与规范、“啄木鸟”行动、反洗
钱等各项合规风险识别和管理活动,将合规风险管理融入到各项经营管理活动的全过程。
本行通过法务职能集中、分级授权管理模式,提供全业务领域、全业务过程的法律支
持服务,持续、有效监控的全行法律风险。在法律审查和咨询方面,进一步完善法律审查
制度,推动事先介入审查程序,及时有效防范相应风险;本年度突出对综合金融、关键业
务领域、新产品、新业务等重点项目的法律服务支持;针对各项业务中存在的相关法律问
题进行专题检视和风险提示,有效增强各类业务的法律风险防范能力。在诉讼案件和综合
法律事务管理方面,进一步完善诉讼管理制度,加强对重大案件的管理,建立案件定期跟
踪检视、报告、分析讨论机制,同时加强处理各类非诉纠纷,有效防范诉讼风险。
2012年制定出台的《平安银行声誉风险管理办法》、《平安银行突发事件应急管理办
法》、《平安银行重大事项及突发事件报告制度》、《平安银行新闻发布管理办法》等系
列制度,形成了本行声誉风险管理前、中、后全程监控与管理的制度体系,并通过建立声
誉风险管理框架,确定声誉风险管理机制、明确各层级职责权限,实行有效的监督评估,
从而达到主动、有效地防范声誉风险和应对声誉事件,最大程度地减少声誉损失和负面影
响的管理目标。
3、控制活动
本行为各项业务建立相应的内部控制制度和业务操作程序,能够覆盖各操作环节的主
要风险点。高管层定期召开办公会议,研究讨论全行重大经营管理事项,审议财务及经营
指标完成情况,做出有关经营管理的具体决策。每月召开案防合规委员会会议,审议本行
重大内控政策,就重大内控事项进行部署。本行实施法人授权管理,建立了法人授权和审
批制度,规范了各部门和各分支机构书面授权管理事项。主要表现在:
(1)授信业务控制事项
本行针对贷前调查、贷中审批、贷后管理与不良资产清收的全流程,持续完善相应的
政策、制度和程序。
A.完善组织管理,优化工作流程。本行进一步完善信用风险管理组织架构,包括设
立统一管理的信贷政策委员会、成立信贷审批后督团队、扩大区域信贷管理部门职能等,
全面履行资产质量管理和督导职能;建立信贷月度检视例会制度,定期检视全行信贷运
营、组合管理、同业对标、不良控制等方面的管理情况及问题,督导各项风险管控措施的
有效落实;全面梳理信贷政策制度和流程,提高管理流程的严密性和工作质量。
B.加强信贷组合管理,不断优化信贷结构。本行在深入调研的基础上,根据经济金
融形势和宏观调控政策的变化以及监管部门的监管要求,制定了2012年度信贷政策指引,
引导分支机构不断优化信贷结构。
C.加强合规监管,保证信贷操作规程得到严格执行。本行按照监管要求按季检查
“三个办法一个指引”执行情况以保证贷款发放与支付等操作环节的合规性;持续开展重
点业务领域滚动检查和各类授信业务专项检查,并跟踪落实整改完成情况;推进部门内部
控制检查体系、内控评价项目实施,以保证信贷制度和流程得到严格执行并切实发挥作
用。
D.加大信贷风险监测预警力度,提升风险早期预警及快速反应能力。本行进一步完
善授信风险监测预警管理体系,加强授信风险监测;定期分析信贷风险形势和动态,积极
采取信贷风险应对控制措施;建立问题授信优化管理机制,加快问题授信优化进度,防范
形成不良贷款;对突发授信风险事件,实施资产保全快速介入机制,总、分行协同联动控
制和化解风险。
E.加强重点领域风险防范,防范大额授信风险。本行严格落实监管部门有关政府融
资平台贷款的风险监管要求,通过信贷分类管理、严控总量和新增、深化存量整改等措
施,继续推进平台贷款风险化解工作;对房地产贷款,继续认真贯彻落实差别化住房信贷
政策,对开发企业实行名单制管理,同时加强风险监测和风险排查力度,强化房地产贷款
风险管理;坚守授信集中度红线,加强集团客户统一授信管理,防范信贷集中度风险。
F.加大不良贷款清收处臵力度,强化不良资产责任追究。对不良资产进行专业化集
中处臵,实行动态监测和分类管理,一户一策制定清收策略,积极探索创新处臵方式或途
径,提高不良资产清收效率;加大对信贷不良贷款问责力度,严厉处罚授信业务中的不合
规、不尽职行为,营造诚实守信、遵章守纪、尽职尽责的信贷文化。
G.加强信贷队伍建设,提升信贷管理水平。本行根据业务发展情况和管理要求,采
取措施持续充实信贷管理骨干,逐步建立专业信贷管理人员队伍;推行分行信用风险等级
管理办法,进一步加强对分支机构风险管理工作的考核和评级,并与存贷比、授权和人员
配臵等挂钩;打造全新的信贷培训体系,通过线上自学、视频和现场培训相结合的多渠道
培训方式,加强对各级信贷人员的培训考试、资格认定,提升风险管理水平。
(2)资金业务内部控制方面
A.授信额度管理。根据《平安银行同业授信政策》,金融同业部负责全国性同业客
户与境外同业客户授信额度的发起、尽职调查与授信分析工作,向公司信贷管理部提交同
业授信额度申报资料。金融市场产品部负责金融同业条线授信额度使用的分配、调剂与统
计管理。在公司信贷管理部的统一授信批复后,由金融市场产品部将相关额度数据维护录
入相关的系统。
B.市场风险限额管理。根据《平安银行资金投资及市场风险管理办法》,资产负债
管理委员会根据董事会风险管理委员会的授权,负责审批资金投资业务市场风险限额;市
场风险管理部负责监测交易部门和分支机构的市场风险暴露,并对交易部门的交易限额和
限额状况进行指导和监督;金融市场产品部负责资金条线内控工作,并与资金交易部分别
负责代客交易和自营交易数据的维护和系统录入,以保证交易符合风险限额要求;市场风
险管理部进行市场风险相关风险因子的压力测试,每日发送市场风险监控日报,定期向资
产负债委员会和风险管理委员会提交市场风险管理报告等。
C.授权和审批制度。在金融市场产品业务管理方面,执行按需设臵、职能独立的原
则,保证部门、岗位及职责权限的合理设臵,形成互相制约、互相监督的机制。在金融市
场交易业务方面,实行前、中、后台相分离,制定了《资金交易员行为守则》、《交易授
权管理办法》等制度,对交易员行为进行规范、约束和管理。
(3)中间业务内部控制方面
根据《商业银行中间业务暂行规定》,本行制订了明确内部授权权限、加强或有资产
业务的资本金管理、重点关注交易类业务的头寸管理和风险限额控制、加强信用风险或有
资产业务的统一授信管理等一系列中间业务管理制度。包括《国际结算业务管理规定》、
《代客外汇买卖业务管理办法和操作规程》、《结售汇业务管理办法》、《代理法人贵金
属交易业务管理办法》、《贵金属代理银银合作及居间人业务管理办法》、《人民币债券
结算代理业务管理办法》、《交易账户管理暂行办法》、《代客衍生产品交易管理暂行办
法和操作规程》、《客户交易结算资金第三方存管业务指引》、《代理保险业务管理办
法》、《代理信托产品资金收付业务管理办法》、《融资性对外担保业务管理办法》、
《对公中间业务收费管理办法》等,为各类中间业务的有序开展提供依据和保证。并通过
实行闭环的检查流程,认真检查全行对公中间业务收费标准的执行情况,强化合规合法经
营。
(4)柜台、运营业务及操作风险内部控制方面
本行制定了较为完善的运营业务规章制度和操作流程,同时通过多种手段,严格规范
运营人员业务操作,以保证各项制度得到有效落实。具体包括:
A.稳步推进支付结算系统优化和流程银行建设,实现支付结算业务处理简单化、标
准化、自动化和集中化,以保证在作业流程中落实风险控制要求。
B.在全行推行部门控制检查体系(DCFC),通过梳理业务流程中的关键风险控制
点,建立DCFC检查控制清单,并由DCFC执行人定期进行检查,以保证风险控制步骤得
到执行并控制有效。
C.建立总账核对机制,定期核对总账科目余额,对于发现的数据差异和异常状况,
要求核对部门如实报告并及时解决,保证总账数据的真实性、准确性及合理性。
D.建立运营关键风险指标(KRI)体系,定期提取中高风险业务数据,同时总、分行
运营部门指定专人按日进行监控,并按照升级报告标准进行报告。
E.将原分散在各分行处理的事后监督工作集中上收总行,实现后督业务处理的集中
化、规范化,进一步加强总行对于全行运营风险的控制能力。
F.根据监管机构与总行统筹安排的相关要求,采取分行自查、总行督导相结合等方
式,对高风险业务领域深入、全面地开展排查工作。
(5)其它内部控制方面
本行建立了较为完善的突发事件应急报告及处理制度,以保证本行资金财产和员工、
客户的人身安全,对可能发生各类突发情况制定规定了应急处理流程及相应措施。建立IT
安全应急协调机制,规定了生产系统出现故障时的详细应急方案,以保障生产系统的安全
运行和业务的顺利进行。
4、信息与沟通
本行董事会一直高度重视信息沟通工作,并将其作为完善公司治理的一项重要内容加
以落实。2012年以来,本行在信息沟通方面主要落实以下工作:
在对外部沟通方面,制定了《信息披露事务管理制度》和《年报信息披露重大差错责
任追究制度》等制度,对信息披露的基本原则、披露内容、事务、职责、工作程序、报告
要求、保密、管理等进行规范,从制度层面加强信息披露管理。
在内部沟通方面,董事长、行长和监事长之间建立了畅通的信息交流和沟通渠道,董
事长、监事长及首席审计官均可以列席参加全部经营管理会议,管理层必须在每年定期或
临时召开的董事会、监事会会议上报告重大信息事项,确保董事会、监事会能够充分和适
时的获取有关经营管理中的重要信息(包括敏感信息、调查报告和违规行为等)。
5、内部监督
2012年,本行进一步完善符合国际标准和监管要求的、国内领先的稽核监察管理体系
和运行机制,不断探索和推广创新稽核手段、提升平台自动化水平,深入推进风险导向的
稽核监察理念,有效整合稽核资源,运用创新稽核手段,以远程审计为核心,以IT审计为
依托,将稽核工作的重点转向对风险控制有效性以及风险管控效果的评估,推动全行提升
内部控制水平和能力。
(1)按照监管部门的管理标准和要求,本行法律部、合规部、风险管理部、操作风
险管理部、公司信贷管理部、零售信贷管理部等条线部门开展了涵盖全行主要业务经营事
项和分支机构,内容包含主要经营领域的关键环节和重要人员、制度建设与执行情况的业
务检查,积极发挥内部控制第二道防线作用。
(2)2012年度,本行稽核监察部严格执行董事会审计委员会批准的年度审计计划,
有序完成了常规、专项和突击审计合计260个审计项目,常规审计覆盖了21家分行和2个事
业部,并根据银监会相关指引的规定,独立审查和评价了流动性风险、市场风险管理、关
联交易管理、房地产贷款、小微贷款业务、理财产品、信息防火墙、信贷资产风险分类、
反洗钱、信息科技风险、信息科技外包管理等业务领域,对相关业务领域以及经营机构经
营管理过程中的内部控制健全性和有效性进行了测试和评价,针对总、分行规章制度执
行、内部控制、风险管理等关键流程和环节,及时发现问题、揭示风险、分清责任,提出
改进建议,督促和引导经营机构和管理机构强化内部控制、规范操作、稳健经营。
(3)2012年度,本行稽核监察部采取多种措施有效追踪、督促责任单位实施对稽核
发现问题的全面整改,促使各级管理层对所管辖业务建立和完善自我纠正机制,并对稽核
中发现的“屡查屡犯”和整改不力、整改无效的行为提出加重处罚的建议,促使稽核建议
得到落实和问题得到改进,防范同类缺陷的再次发生;针对监管、内外审计发现的内部控
制方面的问题和缺陷,及时敦促整改责任单位制定整改措施和整改计划并落实执行,并定
期对整改事项进行统计、分析,定期向董事会审计委员会汇报整改情况,使得高级管理层
有效掌控内控制度的执行情况,促使各项业务政策和内控制度得到全面执行,促进内控制
度建设的不断完善,为全行建立健全内部控制机制给予系统、全面的支持。
(4)本行认真贯彻执行财政部等5部委颁布的《企业内部控制基本规范》,已建立起
内部控制评估体系及纠正机制,通过衡量及评价内部控制机制的建立健全程度和有效性,
寻找内部控制的薄弱环节,提出强化内部控制建设的措施,以防范化解经营风险,提高整
体经营管理水平。2012年,本行稽核监察部按照财政部等5部委颁布的《企业内部控制基
本规范》要求,对合规部组织实施的内部控制矩阵的风险点和控制活动的自评估情况,采
用穿行测试和有效性测试的方法,开展稽核独立评价,较为有效地检视本行内控机制的建
设和运行情况。
(二)内部控制体系的主要政策
为实现全球领先的综合金融服务的战略目标,内控先行、制度先行是战略得以实现的
有效保障。本行持续加强内控政策建设,建立完善高标准的内控管理制度、流程和准则体
系。已制定并发布实施的指导合规工作的主要政策有《平安银行合规工作管理办法》、
《平安银行合规评审管理办法》、《平安银行案件防控工作管理办法》、《平安银行反洗
钱工作管理办法》、《平安银行“红、黄、蓝牌”处罚和赔偿制度》等。已制定并发布实
施的稽核监察系列相关的政策和制度主要有《平安银行股份有限公司内部审计章程》、
《平安银行股份有限公司审计工作基本准则》、《平安银行案件责任追究管理办法》、
《平安银行离任及任中审计管理办法》、《平安银行信访工作管理办法》等。同时,本行
专门针对内控评价工作制定了《平安银行内部控制评价管理办法》及《平安银行内部控制
自评操作手册》,在操作层面具体指导内控评价工作的开展。
三、内部控制缺陷及认定
通过内部控制的评价和测试,本行的内部控制制度设计合理、运行有效,未发现重大
缺陷和实质性漏洞。截至2012年12月31日存在的(即尚未完成整改)内部控制缺陷均为一般
缺陷,由于涉及系统升级、制度建设、流程统一等原因未完成整改,经评估这些缺陷各自
可能导致的风险均为低或较低风险,在可控范围内,并且从汇总角度亦不会构成重大缺陷
或实质性漏洞,对本行财务报告目标的实现不构成实质性的影响。
四、对内控缺陷拟采取的整改措施
1、持续完善本行内控管理组织体系,实现内控管理资源的最优配臵。
为有效支持国际领先的综合金融服务发展战略,本行将持续完善符合战略发展及风险
管控要求的内控管理体系,加强事前风险预警、事中风险监控及事后管控监督,保证本行
各关键业务环节的控制活动设计合理且运行有效。为实现内控管理的全覆盖,防止在各分
支机构出现内控监督的真空地带,本行将进一步推动完善各分支机构的内控管理架构建
设,实现内控管理的纵深推进。
2、持续推进内控评价工作标准化、系统化,进一步优化内控评价日常化开展模式。
本行将在以往年度贯彻落实监管法规要求开展内控评价工作的基础上,结合内控管理
实践,从管理效益最大化的角度出发进一步健全内控制度体系,充分发挥业务管理部门的
“主人翁”意识,将内控评价工作标准与内控工作系统融合在日常管理流程中,实现内控
体系的整合升级。
3、进一步完善信息系统建设,通过系统自动控制建立更有效的内控体系。
随着综合金融服务对银行信息系统的要求日趋增加,业务量、业务复杂度以及不同信
息系统间的整合也对本行整体内部控制环境提出了更高的标准。在2012年度内控评价提出
的部分信息系统建设改善意见基础上,今后本行将重点关注信息系统建设和变更过程中的
内部控制设计,力争把部分内部控制在信息系统内进行固化,通过设计更多的事前控制提
升本行整体的内部控制质量。
4、进一步贯彻落实内控执行标准,降低风险水平。
本行通过内控评价发现的内部控制缺陷主要是控制活动未按规定执行或执行标准不一
致的情况,针对执行层面的问题,本行将通过进一步加强事前预防、事中管控、事后监督
的措施,借助有效的信息系统控制手段或手工复核机制,加强现有内控执行标准的贯彻落
实,降低风险水平。
五、本年度内部控制评价的结论
根据《中华人民共和国商业银行法》、《企业内部控制基本规范》、《商业银行内部
控制指引》及《深圳证券交易所主板上市公司规范运作指引》的有关规范要求,本行以防
范风险和审慎经营为出发点,在业务规模不断发展的同时始终注重内控制度建设,逐步建
立和健全一系列风险防范的制度、程序和方法,形成了与银行风险状况较为适应的风险管
理体系和内部控制制度体系,对保持本行各项业务持续稳定发展,防范金融风险发挥了有
效的作用。内控评价过程中未发现本行存在重大的内部控制缺陷。
未来期间,本行将匹配发展战略、结合本行业务流程的变化,继续完善内部控制制
度,规范内部控制制度执行,不断优化内部控制评价方法论,加强内部控制监督检查,促
进本行健康、可持续发展。
