兴业银行股份有限公司董事会
2012 年度内部控制自我评估报告
一、董事会声明
兴业银行股份有限公司(以下简称“公司”或“本公司”)董事会及全体
董事保证本报告内容真实、准确和完整,没有虚假记载、误导性陈述或者重大遗
漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。
建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立
与实施内部控制进行监督;高级管理层负责组织领导公司内部控制的日常运行。
公司内部控制的目标是:确保国家法律法规和公司内部规章制度的贯彻执
行;确保公司发展战略和经营目标的全面实施和充分实现;确保公司风险管理体
系的有效性;确保公司业务记录、财务信息和其他管理信息的及时、真实和完整;
确保公司资产安全。
由于内部控制存在固有局限性,故仅能对实现上述目标提供合理保证。
二、内部控制评估工作基本情况
(一)内部控制评估依据
报告期内,本公司遵照财政部等五部委出台的《 企 业 内 部 控 制 基 本 规 范 》
及 配 套 指 引 , 按 照 《商业银行内部控制指引》、《上海证券交易所上市公司内
部控制指引》等有关规定,并根据《兴业银行股份有限公司内部控制基本制度》,
组织本公司各职能部门、分支机构进行了内部控制自我评估。在此基础上,本公
司内部审计部门按照《兴业银行内部控制评级指引》,对本公司 2012 年度内部控
制设计与运行的有效性实施了独立评估。
(二)内部控制评估范围
报告期内,本公司内部控制自我评估的机构范围包括公司所有职能部门和分
支机构,不包含下属兴业国际信托有限公司、兴业金融租赁有限责任公司等子公
司。按照内部控制的全面性和重要性原则,确定纳入评估范围的重要业务单元和
重要业务领域,涉及公司企业层面、流程层面和信息科技层面。其中企业层面包
括公司治理结构、组织架构、政策与流程、人力资源程序、风险识别与评估管理、
内部控制活动、信息与沟通、战略、经营计划与经营业绩、财务报告与信息披露、
内部审计等关键领域;流程层面覆盖了企业金融业务、零售业务、资金及同业业
务、中间业务、存款与柜面业务、会计管理、财务管理、固定资产、大宗物品采
购等公司主要业务和管理活动,不存在重大遗漏。
(三)内部控制评估程序和方法
报告期内,公司在总结前期“内部控制评估体系”项目建设及试点工作的
基础上,在全行范围内通过流程梳理,有效识别风险点,充分运用穿行测试、控
制测试等工具,对公司内控设计和运行的有效性开展自我评估,藉此发现内部控
制缺陷,进行管理改进,提升内部控制的有效性,初步形成了“一道防线自评、
二道防线复评、三道防线独立评价”的内部控制自我评估工作机制。本公司内部
控制自我评估工作的主要程序包括:制定实施方案与计划、组成评估工作小组、
实施现场测试、开展现场复评、整改跟进、认定内部控制缺陷、汇总评价结果、
内部审计独立评估、出具内控自我评估报告等。
一是按照企业层面、流程层面和信息科技层面,由各分行和总行各职能部
门开展内部控制自我评估工作。在评估过程中,采用了访谈、调查问卷、专题讨
论、穿行测试、实地抽检等评价工具和方法进行现场测试,广泛收集内部控制有
效性相关证据,如实填写评估工作底稿,识别分析内部控制缺陷,同时进行缺陷
整改。其中,企业层面评估主要以访谈、问卷调查等形式开展,流程层面与信息
科技层面主要以穿行测试、控制测试抽样、实地检验等方法开展。
二是在现场测试结束后,为保证评估质量,法律合规部门在各机构内控自我
评估和缺陷整改的基础上,有重点地开展内控复评,其中对部分分行开展现场复
评。全面完成复评工作后,依照公司的缺陷认定标准,由总分行两级认定内部控
制缺陷,汇总评价结果,编制管理层内控自我评估报告。
三是公司内部审计部门在管理层内部控制自我评估的基础上,依据《兴业银
行内部控制评级指引》,对公司各机构内部控制状况实施独立的监督和评价。内
审部门结合现场审计、日常监管、整改追踪等工作所掌握的各机构整体内控状况,
以及外部监管和审计机构评价意见等情况,合理评估各机构内控水平,记录评估
过程工作底稿,并结合管理层内控自我评估情况进行再评估,在此基础上完成本
公司年度内部控制自我评估报告。
三、内部控制体系建设情况
(一)内部控制自我评估工作总体情况
报告期内,公司高度重视内控自我评估工作,公司管理层成立了由总行领导
和总行主要部门负责人组成的内控评估体系建设领导小组,负责对内部控制自我
评估实施的有关重大问题进行决策、指导、协调,听取进展情况汇报,对内部控
制自我评估进展情况进行考核等。领导小组下设企业层面、流程层面及信息科技
层面三个工作小组。公司管理层内部控制自我评估工作由公司法律与合规部组织
实施,在总行职能部门和分支机构全面开展。根据评估情况,评估小组完成了管
理层内部控制自我评估报告,并提交总行内部控制委员会审议通过。与此同时,
公司内审部门对公司各机构内部控制状况实施独立的监督和评价,对各机构内部
控制体系建设、实施和运行结果开展调查、测试、分析和评估等活动,出具独立
评价意见,并经董事会审议后对外披露。
为提升内控规范实施的专业性,本公司聘请安永华明会计师事务所、北京普
信管理咨询有限公司等专业机构提供内控建设咨询、指导服务,协助开展内部控
制评估工作。同时,按照内控规范的有关规定,聘请德勤华永会计师事务所(特
殊普通合伙)作为内控审计单位,对本公司的内部控制进行独立审计。
(二)内部控制现状综述
2012 年度,本公司高度重视内部控制建设,公司管理层在董事会及其下设
委员会的领导下,稳步推进战略转型,持续优化业务结构,完善风险管理体系,
加强内部控制建设,持续提升内部控制管理水平。报告期内,公司持续改善内控
环境,提高风险识别和评估水平,通过采取一系列内控措施、构建全面的信息交
流和沟通机制以及有效的监督检查机制,提高对各类风险的防范能力,为公司的
持续稳健经营提供了良好的保障。
1、内部控制环境
报告期内,公司持续完善以股东大会、董事会、监事会和高级管理层为核心
的公司治理架构,确保内部控制的有效实施,通过股东大会、董事会及其委员会
会议、监事会会议、专题调研、专项检查、调研培训、经验交流等方式,董事会
持续关注公司内部控制状况,建立良好的内部控制文化,监督管理层制定相关政
策、程序和措施,对风险进行全过程管控,切实发挥董事会的重大决策支持作用;
董事会下设审计与关联交易控制委员会,负责监督公司内部控制的有效实施;监
事会负责监督董事会、管理层完善内部控制体系和制度,履行内部控制监督职责。
此外,公司在报告期内强化信息披露责任,制订《内幕信息知情人管理办法》,
进一步健全内幕信息保密和知情人报备管理。本年度,公司治理持续完善,资本
市场影响力进一步提升,并获上交所“2012 年度董事会奖”等多个奖项。
报告期内,企业金融条线专业化改革全面落地,金融市场条线改革顺利推
进,零售条线改革不断调整优化,以企业金融、零售业务、金融市场三大条线为
主体,总分行“条块结合”的矩阵式经营管理体系基本形成、运转良好,条线专
业化经营能力和内生增长动力得到增强。与条线专业化改革相适应,风险、财务、
人力资源管理体制改革配套推进,管理的科学性、有效性、敏锐性有效增强。
公司持续完善企业社会责任体系,加强责任理念与银行各项产品与服务相
结合,公司在绿色金融和社会责任方面的影响力日益扩大,得到了社会各界的好
评,在国内外各种权威机构组织的评比中,先后获得“2012中国最受尊敬中资银
行奖”、“十一五时期全国减排先进集体”、“最佳绿色银行奖”、“最佳履行社会责
任银行奖”、“年度最具创新力银行奖”等荣誉,树立了良好的企业形象。
公司积极推动制度建设与管理,组织开展年度制度规划、专项梳理和后评
价,规范制度发布流程,开发制度发文系统,努力构建层次清晰、内容完整、体
系统一、可执行性强的制度体系。本公司持续加强合规管理工作,推进内控、合
规和操作风险体系“三项”管理融合,全面实施内控自我评估,稳步推进合规监
测工作,加大可疑交易分析监测排查,切实履行反洗钱职责。
2、风险识别和评估
本公司不断完善全面风险管理体系,扩展风险管理战略体系边界及内涵,进
一步修订完善风险管理战略,发布《兴业银行全面风险管理战略》系列文件,明
确风险管理愿景、理念、偏好、目标及实施路径,细化风险管理策略、流程和工
具。同时加强对控股子公司的风险指导与管理,制订《控股子公司风险管理规范》,
实现风险管理在集团层面的全覆盖。持续健全工作机制,结合业务条线专业化改
革对全行风险管理体制进行了配套调整,实行风险管理部统筹全行全面风险管
理、各业务条线及专业经营部门内嵌风险管理窗口承担该条线或领域的具体风险
管理工作、各控股子公司按照客户属性纳入相应业务条线管理的矩阵式管理模
式。公司通过建立总行风险管理联席会议制度、风险管理协同机制、各条线风险
管理体系内部的定期报告和沟通会商机制,加强风险管理队伍建设和对条线风险
管理部门履职情况的检查监督,保障风险管理体制改革的平稳落地。
报告期内,本公司不断完善风险识别、计量、监测和管理的制度和程序,开
发和运用风险量化评估的方法和模型,实现对信用风险、市场风险、流动性风险
和操作风险等各类风险的识别与评估,不断提升公司风险管理能力。信用风险方
面,制订《客户统一授信管理办法》,将表内外传统信贷业务、类信贷业务、新
兴业务纳入统一授信管理;改进贷款减值准备计提方式,适当调整容忍度指标方
案,优化丰富压力测试模型,提高风险管理成效;稳步推进新资本协议项目建设
和应用,持续推进零售内部评级项目,正式启动信用风险加权资产项目建设,持
续完善非零售内评体系建设和应用。市场风险方面,持续推进市场风险模型体系
的研发和市场风险管理系统的开发,对资金交易账户市场风险进行情景模拟测
试。流动性风险方面,持续注重流动性风险管理体制机制的完善与创新,完善流
动性压力测试及应急管理措施,积极推进新一代资产负债系统的开发工作,实现
对流动性风险的量化管理。操作风险方面,逐步完善操作风险相关制度体系,实
现操作风险在新兴业务领域的落地,推动操作风险管理体系项目建设推广和信息
系统建设,推进操作风险管理工具应用试点和内控与操作风险手册制定,组织开
展操作风险损失事件收集、指标监测预警等。
3、内部控制活动
授信业务方面,一是不断增强市场敏锐性和工作前瞻性,加强形势分析研判
和行业风险调研,合理制订和调整授信政策,梳理授信业务作业流程,前瞻性开
展风险排查,加强信贷管理等系统的开发建设,实现预警客户的系统硬约束。二
是持续加强重点授信领域风险管控,加强政府融资平台贷款、房地产开发贷款、
钢贸贷款等重点业务的风险防范。三是加强统一授信管理,制订《客户统一授信
管理办法》,将表内外传统信贷业务、类信贷业务等纳入统一授信管理,有效落
实风险总控。四是制订《重大突发信用风险事件应急处置预案》,深化风险监测,
强化重大风险事件应急管理。
资金和同业业务方面,一是制定《兴业银行关于调整债券投资业务授信审批
流程的通知》,明确风险总监业务权限范围,进一步提高公司债券投资业务审批
效率。二是健全非信贷资产风险分类机制,开展非信贷资产的数据监测,推动全
行资金和同业业务有序发展。三是加强业务检查监督,对买入返售等重点业务开
展风险排查,杜绝风险隐患。
存款及柜面业务方面,一是重视操作风险管理,开展现金出纳与重要空白凭
证管理专项检查,提高风险责任意识。二是下发《兴业银行关于进一步规范营业
厅柜面管理职能的通知》,明确柜面管理职能、岗位职责分工及人员配备,实行
营业网点会计暨合规主管双配制,加强柜面风险管理和风险考核。三是升级改造
电子验印系统,提高预留印章核验算法的科学性和有效性,加强系统自动识别能
力,完善验印系统各种印章的建模核验功能,改进验印柜员权限管理,提升电子
验印系统在防范支付结算业务风险上的作用。
中间业务和新兴业务方面,一是加强理财业务管理,进一步明确“集中创设、
统一标准、适度授权”的原则,统一全行基础资产构建的相关标准,严格控制理
财基础资产的信用风险。二是完成统一授信管理模块开发,为授信额度总控提供
技术支持;进一步加强各类新兴业务的存续期管理,强化新兴业务风险管理。
财务会计方面,一是实施全面内部资金转移定价管理,理顺司库管理机制,
加强财务核算和管理会计基础建设,增强财务管控的主动性。二是不断完善会计
内控制度体系,制定营业机构会计内控评价指导意见,修订会计责任追究实施细
则、会计风险监控管理办法等,夯实内控管理基础。三是强化非现场检查监督能
力,完成会计风险监测预警系统升级项目建设与会计影像电子化存储项目的推
广,扩大风险监测的覆盖面。
信息科技方面,一是继续加强 IT 风险整章建制,规范关键环节的控制流程,
启动 IT 风险管理平台建设,支持全面 IT 风险管理体系落地。二是积极开展信息
科技风险排查整改,完善软件下发分析和改进机制,启用信息科技风险管理培训
和考核平台,健全 IT 风险管理和安全培训宣贯长效机制。三是梳理电子银行工
作流程和风险管理措施,强化电子渠道风险管理,建设动态口令系统,加强短信
口令的推广应用,提高电子银行的风险防范能力。
4、信息交流与反馈
本公司建立了良好的信息交流与反馈机制,报告期内,一是加强同监管机构
的交流,严格按照监管规定进行信息披露,重视同投资者的沟通,通过业绩报告
会、投资者调研、邮件、热线、网站以及“官方微博”等多种渠道,加强投资者
及客户对本公司的全面了解。二是通过OA办公系统、会议、内部刊物等多种信息
沟通渠道,收集和反馈各类经营和管理信息,确保董事会、监事会、高级管理层
和各级员工能及时掌握公司的经营状况及风险管理状况。同时,梳理优化公文流
程,继续完善公文系统,建设全公司统一通信系统平台,公司内部信息沟通效率
进一步提高。
5、监督评价与纠正
公司已建立较为完善的监督评价与纠正管理机制,报告期内,一是出台内控
检查管理办法,将全行各类现场检查纳入统一管理的范围,通过规范检查与整改
程序,统筹检查资源,提升内控监督的质量和效率。二是积极开展自查自纠,综
合运用多种检查手段,开展重点区域、重点机构、重点业务、重点岗位员工的风
险排查,深化对重要岗位从业人员和易发案部位及关键环节的监督和检查。三是
加大审计监督力度,内审部门持续关注内部控制的健全性和有效性,定期披露内
控评价和内控报告,加大非现场数据分析筛查力度,强化问题的整改追踪,同时
加强对体制、机制、制度、流程的梳理和剖析,继续加大对近年来全行热点业务
的合规性、风险性监督,充分发挥内部审计的咨询职能,保障各项业务的稳健运
行。
四、内部控制缺陷及其认定情况
(一)内部控制缺陷认定情况
根据《企业内部控制基本规范》、《企业内部控制评价指引》,本公司在开展
内部控制自我评估过程中,缺陷的认定按内部控制缺陷的影响程度分为重大缺
陷、重要缺陷、一般缺陷。内控缺陷的定性标准如下:重大缺陷,是指可能导致
本公司严重偏离控制目标的一个或多个控制缺陷的组合。其可能致使公司遭受重
大监管处罚,造成极大资产损失和重大业务影响,致使人身伤亡,引发重大声誉
风险等,在很大程度上影响公司发展战略的实现。重要缺陷,是指一个或多个控
制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致本公司偏
离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。定量标准
方面,以对利润总额、资产总额、经营收入、所有者权益等潜在错报的影响程度
作为缺陷认定标准。
按照以上缺陷认定标准,截止报告期末,本公司在内部控制自我评估过程中
没有发现重大缺陷,发现的缺陷均属于一般缺陷或重要缺陷,并及时对缺陷进行
整改,不会对公司的资产安全、发展战略和经营目标的实现、财务信息的准确性
和完整性、风险管理体系的有效性等造成较大影响,不会导致公司偏离控制目标。
(二)公司内部控制主要缺陷及整改情况
随着各项业务的快速发展和管理要求的不断提升,公司更加注重内部控制建
设,通过内部检查监督和内控自我评估,发现在内控设计和执行层面仍存在需改
进的内控缺陷和不足。针对相应发现,公司及时分析缺陷原因,明确提出整改方
案,推进实施合理有效的整改,以防止控制不足可能带来的风险。
1、制度管理体系有待进一步完善和更新。
随着公司企业金融、零售业务、金融市场三大条线改革的全面深入推进,风
险管理、授信审批及各业务条线的组织架构发生较大变化,相应工作流程和岗位
职责也有所调整,但部分岗位说明书及工作程序手册还未及时更新,存在部分岗
位职责、工作程序描述与实际不完全相符的情况。为确保各项业务及管理工作有
序开展,公司已进一步规范制度管理流程,组织开展制度规划、梳理和后评价,
2012 年对总行共计 986 份有效文件进行重新梳理和确定维护部门,并废止规范
性文件 135 份;同时持续加强岗责体系梳理,明确各业务流程涉及的岗位设置和
职责分工,以保障更加规范的履职程序。
2、岗位轮换和强制休假制度执行不够到位。
公司部分分行岗位轮换制度制定不够明确,强制休假主要集中在支付结算条
线,其他条线特别是管理岗位的强制休假覆盖面和执行力度存在不足,不易及时
有效发现工作管理中存在的问题和风险隐患。针对该现象,公司组织各级机构梳
理、甄别本单位的关键岗位及敏感环节,加大对岗位轮换和不相容岗位分离制度
执行情况、强制休假情况的现场检查和非现场督导力度,并将检查结果与机构考
核评价相结合,以推进轮岗、强制休假制度的贯彻落实。
3、零售信贷贷前调查需进一步规范。
近年来公司个人经营贷款业务发展较快,但部分经营单位在贷前调查双人面
签、访谈落实等环节执行不够到位,征信报告填写较为简单,材料完整性、真实
性审查存在一定欠缺。对此,公司要求贷前调查人员对面签现场、经营处所、抵
押物现场等进行拍照,并通过人行企业征信系统、当地工商局红盾信息网等渠道
有效核查借款人、担保人和贷款交易对象经营实体的真实性,进一步增强对个人
经营贷款的准入控制。
4、IT 变更管理存在薄弱环节。
公司在个别操作系统、数据库及网络配置的变更管理方面,存在操作与复核
人员未同时签字确认、变更内容记录不够完善、紧急变更完成后未按管理流程要
求及时补齐审批手续的问题,变更管理的执行尚需进一步规范。针对上述发现,
公司及时采取整改措施,加强了变更实施的现场监督和第三方稽核,并将变更记
录的完整性、变更确认的及时性等指标纳入相关员工的绩效评价,以落实变更的
审核与痕迹管理,提高变更审批流程的执行约束。
5、数据管理的规范性尚需进一步提高。
随着公司业务规模不断扩大和业务品种的日益丰富,数据的有效管理、规范
管理面临更多的挑战,个别业务品种存在部分信息通过手工台账辅助记载、或信
息补录到 IT 系统不及时的现象。公司已充分认识到数据信息的重要性和潜在价
值,在组织架构和专业分工管理方面进行了相应的安排,成立了由总行行长任组
长的“数据治理领导小组”,实施包含数据定义、采集、传导、存储、运用及销
毁等环节在内的全生命周期的科学管理,提升数据质量和数据运用水平,推动业
务和管理创新,增强公司核心竞争力和可持续发展能力。
五、内部控制自我评估结论
本公司董事会已经根据基本规范、评价指引及其他相关法律法规的要求,对
公司截至 2012 年 12 月 31 日的内部控制设计与运行的有效性进行了自我评估。
评估认为,报告期内,本公司对纳入评价范围的业务与事项均已建立了内部控制,
并得以有效执行,内部控制机制和内部控制制度在完整性、合理性等方面没有发
现重大缺陷,实际执行过程中亦没有发现重大偏差,在有效性方面没有发现重大
缺陷。随着国家法律法规体系的逐步完善和内外部环境的变化,以及公司持续快
速发展的管理需要,公司将进一步完善内部控制体系,规范内控制度执行,强化
内部检查监督,促进公司的稳健经营和可持续发展。
本公司聘请的德勤华永会计师事务所(特殊普通合伙)对公司财务报告相关
内部控制的有效性进行了审计,出具了本公司于 2012 年 12 月 31 日按照《企业
内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制
的审计意见。
