读取中,请稍候

               兴业银行股份有限公司
             2013年度内部控制评价报告
兴业银行股份有限公司全体股东：
    根据《企业内部控制基本规范》及其配套指引的规定和和其他内部控制监管
要求（以下简称“企业内部控制规范体系”），结合兴业银行股份有限公司（以下
简称“公司”或“本公司”）内部控制制度和评价办法，在内部控制日常监督和
专项监督的基础上，我们对公司 2013 年 12 月 31 日（内部控制评价报告基准日）
的内部控制有效性进行了评价。
    一、重要声明
    按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其
有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建
立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公
司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假
记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个
别及连带法律责任。
    公司内部控制的目标是：确保国家法律法规和公司内部规章制度的贯彻执
行；确保公司发展战略和经营目标的全面实施和充分实现；确保公司风险管理体
系的有效性；确保公司业务记录、财务信息和其他管理信息的及时、真实和完整；
确保公司资产安全。由于内部控制存在的固有局限性，故仅能为实现上述目标提
供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政
策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具
有一定的风险。
    二、内控控制评价结论
    根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准
日，不存在财务报告内部控制重大缺陷。董事会认为，公司已按照企业内部控制
规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
    根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准
日，公司未发现非财务报告内部控制重大缺陷。
    自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内
部控制有效性评价结论的因素。
    三、内部控制评价工作情况
    （一）总体情况
    公司董事会是内部控制评价的最高决策机构和最终责任人，下设审计与关联
交易控制委员会负责监督内部控制评价情况。公司成立了由总行行领导和主要部
门负责人为领导小组成员的内部控制评价体系建设工作小组，负责内部控制评价
过程中有关重要事项的决策、指导、协调等工作。总行法律与合规部门负责内部
控制自我评价具体组织实施工作，并负责内控评价发现缺陷的合并、认定及督促
整改工作。公司内部审计部门对公司的内部控制设计和运行的有效性实施独立监
督和评价，对管理层自我评价发现的问题进行再评价，出具独立评价意见，经董
事会同意后对外披露。
    本公司聘请德勤华永会计师事务所（特殊普通合伙）对本公司的内部控制进
行独立审计。
    （二）内部控制评价范围
    报告期内，本公司纳入内部控制评价范围的单位包括公司所有职能部门和分
支机构，纳入评价范围单位资产总额占公司合并财务报表资产总额的 98.65%，营
业收入合计占公司合并财务报表营业收入总额的 96.38%。按照内部控制的全面性
和重要性原则，确定纳入评价范围的重要业务单元、重要业务领域和重点关注的
高风险领域，涉及企业层面、信息科技层面及业务流程层面。其中，企业层面包
括内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素，涉
及 33 个评价子领域、82 个风险点与控制要求；信息科技层面包括信息科技治理、
信息科技风险管理、信息安全、信息系统开发测试和投产、信息科技运行管理、
连续性管理、外包服务管理等 7 个方面，涉及 35 个评价子领域、143 个风险点与
控制要求；业务流程层面覆盖了企业金融业务、零售业务、同业及资金业务、票
据业务、存款与柜面业务、会计管理等公司经营管理主要领域，涉及 162 个风险
点和 249 个控制点。
    上述纳入内部控制评价范围的单位、业务和事项以及高风险领域涵盖了公司
经营管理的主要方面，不存在重大遗漏。
    （三）内部控制评价程序和方法
    报告期内，公司内部控制评价工作严格遵循企业内部控制规范体系、以及公
司内部控制评价相关制度规定的程序，实行“自评-复评-独立再评价”的评价流
程，确保内部控制自我评价的有效性。一是总行各部门依据部门职责负责开展企
业层面和信息科技层面相关领域的内控自评工作，各分行基于总行下发的标准测
试底稿模板实施业务流程层面内控自评工作。为了提升内控自评质效，公司通过
内外规梳理、专家讨论会评审、穿行测试等方式，制订《内控自评要点》下发经
营机构执行，同时组织全行内控自评培训，编制《内控自评手册》，为内控自评
的实施奠定良好基础。二是总行法律与合规部对总、分行内控评价结果进行复评，
并根据评价情况汇总形成管理层内控自我评价报告。三是公司内审部门作为公司
内部控制的独立监督和评价部门，对公司各机构的内部控制状况实施独立的监督
和评价，在上述自我评价的基础上，对公司整体内部控制的有效性进行再评价，
完成本公司 2013 年度内部控制评价报告。
    评价过程中，主要采用了访谈、调查问卷、专题讨论、穿行测试、实地查验、
抽样和比较分析等评价工具和方法，广泛收集公司内部控制设计和运行是否有效
的证据，如实填写评价工作底稿，分析、识别内部控制缺陷。
    （四）内部控制评价工作依据及内部控制缺陷认定标准
    报告期内，公司高度重视内部控制自我评价工作，遵照企业内部控制规范体
系的要求，按照《商业银行内部控制指引》、《上海证券交易所上市公司内部控制
指引》等有关规定，并根据《兴业银行股份有限公司内部控制基本制度》、《兴业
银行内部控制评级指引》等制度，组织本公司各职能部门、分支机构开展了内部
控制自我评价工作。
    公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的
认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务
报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷
具体认定标准，并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下：
    1、财务报告内部控制缺陷认定标准
    财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报
告内部控制缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行
缺陷。
    （1）公司确定的财务报告内部控制缺陷评价的定量标准如下：
       项目           重大缺陷            重要缺陷             一般缺陷
                                      资 产 总 额 的
资产及负债类科 错报＞资产总额                               错报≤资产总额
                                      0.005% ＜ 错 报 ≤
目潜在错报         的0.09%                                  的0.005%
                                      资产总额的0.09%
                                      所有者权益的
所有者权益类科 错报＞所有者权                               错报≤所有者权
                                      0.1% ＜ 错 报 ≤ 所
目潜在错报         益的1.6%                                 益的0.1%
                                      有者权益的1.6%
                                      利润总额的0.38%
损益类科目潜在 错报＞利润总额                               错报≤利润总额
                                      ＜错报≤利润总
错报               的6%                                     的0.38%
                                      额的6%
    说明：内部控制缺陷可能导致或导致的损失与上述项目相关的，以相应的标
准衡量；如损失同时与上述多个项目相关的，按孰低原则确定适用的标准。
    （2）公司确定的财务报告内部控制缺陷评价的定性标准如下：
    重大缺陷：一个或多个内部控制缺陷的组合，可能导致不能及时防止或发现
并纠正财务报告中的重大错报。存在重大缺陷的迹象包括：公司董事、监事或高
级管理人员存在舞弊行为；公司更正已公布的财务报告；注册会计师发现的未被
公司内部控制识别的当期财务报告中的重大错报；公司审计与关联交易控制委员
会、内部审计部门对公司财务报告内部控制的监督无效。
    重要缺陷：一个或多个内部控制缺陷的组合，可能导致不能及时防止或发现
并纠正财务报告中虽不构成重大错报但仍应引起管理层重视的错报。存在重要缺
陷的迹象包括：未依照公认会计准则选择和应用会计政策；未建立反舞弊程序和
控制措施；对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实
施且没有相应的补偿性控制；对于期末财务报告过程的控制存在一项或多项缺陷
且不能合理保证编制的财务报表达到真实、完整的目标。
    一般缺陷：不构成重大缺陷或重要缺陷的其他内部控制缺陷。
    2、非财务报告内部控制缺陷认定标准
    非财务报告内部控制是指针对除财务报告目标之外的战略目标、资产安全、
经营目标、合规目标等其他目标的内部控制。公司非财务报告内部控制缺陷认定
主要依据缺陷涉及业务性质的严重程度、直接或潜在负面影响的性质、影响的范
围等因素来确定。
    （1）公司确定的非财务报告内部控制缺陷评价的定量标准如下：
    重大缺陷：直接财产损失＞所有者权益的1.6%；
    重要缺陷：所有者权益的0.1%＜直接财产损失≤所有者权益的1.6%；
    一般缺陷：直接财产损失≤所有者权益的0.1%。
    （2）公司确定的非财务报告内部控制缺陷评价的定性标准如下：
    重大缺陷：一个或多个内部控制缺陷的组合，可能给公司带来重大操作风险、
合规风险或声誉风险，可能导致公司严重偏离内部控制目标。存在重大缺陷的迹
象包括：公司缺乏科学决策程序；严重违反国家法律、法规并受到处罚；关键岗
位人员流失严重，影响业务正常开展；媒体负面新闻频现；重要业务缺乏制度控
制或制度系统失效；内部控制重大缺陷未得到整改。
    重要缺陷：一个或多个内部控制缺陷的组合，其严重程度和经济后果低于重
大缺陷，如不加以改进将可能导致合规风险或声誉风险，且仍有可能导致公司偏
离内部控制目标。存在重要缺陷的迹象包括：公司决策程序存在但不够完善；严
重违反公司内部规章并形成损失；关键岗位人员流失较为严重；媒体出现负面新
闻并波及局部区域；重要业务制度或系统存在缺陷；内部控制重要缺陷未得到整
改。
    一般缺陷：不构成重大缺陷或重要缺陷的其他内部控制缺陷。这些缺陷相关
影响程度较低，主要是有悖最佳操作原则和可能导致效率低下的做法，不太可能
导致合规风险或声誉风险。
       （五）内部控制缺陷认定及整改情况
    根据上述财务报告内部控制缺陷的认定标准，报告期内公司不存在财务报告
内部控制重大缺陷和重要缺陷。
    根据上述非财务报告内部控制缺陷的认定标准，报告期内未发现公司非财务
报告内部控制重大缺陷和重要缺陷。
    公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内，不会对公
司的资产安全、发展战略和经营目标的实现、财务信息的准确性和完整性、风险
管理体系的有效性等造成实质性影响，不会导致公司偏离控制目标，并且已经制
定了具体的方案和措施认真落实整改。
       四、内部控制体系建设情况
    2013 年度，公司管理层在董事会及其下设委员会的领导下，稳步推进条线专
业化改革，加快管理创新和业务创新步伐，努力完善内控机制与风险管理体制，
持续提升内部控制管理水平。报告期内，公司围绕内部环境、风险评估、控制活
动、信息与沟通、内部监督五要素，通过一系列内控措施，提高各类风险防范能
力，增强内部控制能力，为公司持续健康发展提供有力保障。
    （一）内部环境
    按照相关法律法规的要求，公司建立了规范的公司治理结构，明确了股东大
会、董事会、监事会及高级管理层的权利范围、职责分工和议事规则，形成了有
效的制衡机制，确保“三会一层”运作顺畅。公司董事会负责建立并实施充分而
有效的内部控制体系，下设审计与关联交易控制委员会，负责审查、监督内部控
制的有效实施和内部控制的自我评价情况，组织开展内控独立评价。监事会负责
监督董事会、高级管理层完善内部控制体系。高级管理层负责制订内部控制政策，
对内部控制体系的充分性与有效性进行检测和评估并将有关情况向董事会报告，
负责建立识别、计量、监测并控制风险的程序和措施，负责建立和完善内部组织
机构，保证内部控制的各项职责得以有效履行。报告期内，公司定期召开“三会”，
邀请董事、监事参加监管座谈、专题调研、专项审计和同业交流等活动，构建了
良好的信息传递和沟通机制，强化了董事、监事对公司日常经营管理工作的指导
和监督，确保内部控制的有效实施。报告期内，公司制定了《证券违法违规行为
内部问责办法》，进一步完善公司治理结构，健全内部约束和责任追究机制，促
进本行董事、监事、高级管理人员及其他相关人员遵守证券法律法规。本年度，
公司市场形象与品牌影响进一步提升，荣获权威机构颁发的“优秀董事会奖”、“中
国主板上市公司最佳董事会（10 强）”、“投资者关系金盾奖”、 “2013 年亚洲最
佳股东回报银行”等多个奖项。
    报告期内，公司持续推进经营管理体制改革，金融市场、企业金融及零售银
行构成的三大业务条线专业化经营体系进一步明确，管理机制日益健全。与条线
专业化运营相适应的业务规划、资源分配、考核评价、风险管理、队伍建设等管
理工作的科学性和有效性持续提升，计划财务、风险合规、人力资源等管理机制
也不断完善。
    报告期内，公司出台了社会责任指标体系及信息报送指导手册，进一步加强
对企业社会责任工作的认识和理解、规范社会责任工作信息报送以及提高信息质
量、推进专业化管理与规范化运作、提升社会责任工作管理水平。凭借多年来履
行社会责任、践行可持续发展和服务实体经济方面的突出表现，公司在新华网与
中国社科院企业社会责任研究中心联合主办的第六届中国企业社会责任峰会上
荣获“2013 年度企业社会责任杰出企业奖”。
    （二）风险评估
    报告期内，公司加强全面风险管理，深化改革，研究制定进一步完善总分行
层面风险管理体制机制的方案。健全公司管理风险会议机制，强化风险管理信息
沟通平台，通过董事会风险管理委员会、总行风险管理委员会、总行风险管理联
席会议、总行风险管理月度例会、全行风险管理工作会议等不同层面的议事机制，
充分发挥会议平台对全行风险管理重大事项和重要政策的决策作用。始终坚持
前、中、后台分离，建立严密的防火墙和风险隔离体系，严格执行风险管控。与
条线专业化改革相配套，进一步完善风险团队、窗口的“内嵌”与矩阵式管理机
制，风险管理的敏感性、专业性和有效性得到进一步提升。公司制定了《2013
年风险容忍度指标方案》，并将各风险容忍度指标分解到总行各责任部门，由总
行风险管理部定期监测各指标值，督促各责任部门及时采取风险控制措施并履行
报告职责。信用风险方面，信用风险加权资产（RWA）项目基本完成系统开发并
进入测试阶段；推进非零售内部评级模型自主验证优化工作，制订《信用风险资
本计量高级方法验证管理办法》，组织非零售内部评级系统有关板块的升级改造
工作；深化内部评级成果应用，开发客户限额、风险调整后资本收益率（RAROC）
测算等风险计量工具，配套制订相关制度，将内部评级结果运用于行业限额、客
户限额、授信审查等方面，自主研发区域风险评级模型，创新开发并在全行推广
存量信贷资产风险排查模板，提高排查效果。流动性风险方面，公司强化流动性
风险的识别、计量、监测和控制，加强头寸管理，跟踪资金落地、划转，完善流
动性压力测试流程，逐步建立压力测试后评价机制；完善内部调控系统，在金融
市场、企业金融、零售银行三大条线之间建立良好的传导机制，及时传导市场变
化，提高对市场的反应速度。市场风险及利率风险方面，实现市场风险内部模型
法和市场风险管理系统上线；优化利率风险管理模型，积极探索利率风险的内部
管理方法，对银行账户利率风险通过缺口管理、久期管理进行动态调整。操作风
险方面，加强操作风险管理体系建设，持续推进合规、内控与操作风险“三项管
理”整合项目实施；在全行范围内开展操作风险损失事件和重大操作风险事件数
据专项查报工作，进一步明确操作风险管理要求，确保相关工作机制有效运行。
    （三）控制活动
    授信业务方面，一是完善授权、授信管理与相关风险政策。结合宏观经济形
势和行业发展前景，细化年度授信政策，优化信用业务授权。根据风险管理战略
要求，进一步明确风险容忍度指标方案。强化业务风险全口径管理和限额管理，
突出重点业务风险管控。二是下发全行信用业务投向指引、授信沙盘作业指引，
出台地方政府融资和房地产行业的授信指导政策，不断规范企业金融条线风险管
理流程，促进授信业务审批效率和全流程质量管理水平不断提高。三是启动金融
市场信息平台建设工作，系统建成后将实现客户授信额度的实时管控、同业相关
客户的授信审批管理及授信后管理、同业客户统一法人管理等功能，进一步强化
同业授信额度管理和风险敞口管理，实现信息的标准化。
    存款与柜面业务方面，一是加强借记卡的安全与风险管理，制定了《借记卡
制卡碎卡操作规程》，规范有关业务操作，强化风险防控效果。二是实现支付业
务现场检查工作的常态化，不断加大支付结算业务现场检查力度，检查覆盖现金
出纳管理、重要空白凭证管理、预留签章管理、对账管理、大额核实管理、轮岗
管理等多个方面，进一步加强操作风险管理。三是推进结算管理系统创新，银企
对账管理系统、会计辅助管理系统、二维码应用项目、新外汇账户报送系统等顺
利上线，业务流程得以优化，服务效率大幅提高。
    中间业务和新兴业务方面，一是进一步加强理财业务信息披露的统一规范管
理，制定《理财产品信息披露管理办法》，保障理财业务的健康发展。二是强化
投资银行业务风险管理，制定了《投资银行业务法律审查工作操作规程》、《投资
银行业务存续期管理办法》等制度。三是调整优化金融市场条线新兴业务审查审
批职责及送审流程，建立科学合理的新兴业务审查审批运作机制。四是加强新兴
业务风险分类管理，规范新兴业务风险分类的范围、流程及标准，并将分类结果
实际运用于考核拨备，实现风险成本硬约束。
    财务会计方面，一是进一步健全计划财务条线管理机制，提高计划财务专业
化、精细化服务水平，增进计划财务条线与业务条线的联动协作，推动各项业务
平衡健康发展。二是全面梳理司库价格审批流程，以价格偏离度为标准，分不同
层级进行授权，控制价格偏离风险，完善优化 FTP 定价管理体系。三是建立会计
内控考评指标体系，制定会计内控考评方案并按月度组织考评工作，建立导向明
确、相对公平、较为完善的会计内控考评体系，对全行会计内控管理起到积极的
导向作用。四是不断完善管理信息系统，持续推进会计风险监控系统建设，扩大
风险监测范围、优化风险识别机制，持续提升非现场检查监督能力。五是根据业
务发展的需要，及时出台或修订会计核算制度，规范会计核算，并增强会计核算
对业务发展的支持力度。
    信息科技方面，一是深入推进 IT 风险治理，开展信息科技监管评级、信息
系统安全等级保护，以及外包风险管理、商用密码应用、重要信息系统及互联网
网站安全自查等专项工作，持续开展 IT 风险培训宣贯工作，不断强化全行 IT
风险管理成效。二是进一步完善电子银行风险防范体系，通过对网上银行重要交
易增加动态令牌认证、建设电子银行统一安全认证系统、推出二代网盾数字证书、
开展互联网银行安全等手段，切实提升电子银行的安全强度。
    （四）信息与沟通
    报告期内，公司持续完善信息交流与反馈机制。一是加强与外部监管单位持
续动态的双向沟通，做好监管调研、检查、培训、信息报送等工作，按照监管规
定进行信息披露。二是持续践行“畅达沟通、准确传递”的理念。维护好上交所
E 互动平台和本公司投资者关系网络平台，客观传递投资价值，及时反馈信息；
推出官方微信，拓宽沟通渠道，加强与投资者的沟通。三是编制《投资者关系周
报》等信息报告，转发投资者提出的有价值的管理建议，促使市场信息在行内的
传递更为畅通。四是对办公自动化系统进行升级，完善和改进系统功能，增加“制
度发布”等模块，确保每一项信息均能传递给相关员工。
    （五）内部监督
    报告期内，公司进一步加强了内控检查管理，积极构建全行各级机构“各司
其职、检查有力、问责到位、管控有效”的内部监督检查体系。通过现场检查与
非现场检查等方式开展了一系列内控检查，检查范围覆盖信贷业务、支付结算、
自助机具、资产托管等诸多内控环节与领域，在保证检查全面性的基础上，强化
对重点业务及重要风险的检查。同时，进一步加大对分行合规经营与内部控制绩
效考评的力度，引导各级机构稳健经营，强化内部监督成效。
    报告期内，公司内部审计部门通过建立突击审计机制、改进离任审计模式、
充实机构审计内容等方式，不断提高审计工作的机构覆盖面和业务覆盖面，切实
提升审计监督力度和成效。同时，围绕“加强对全行机构及业务的持续动态监管”
这一主线开展非现场审计工作，在审计发现问题的持续追踪、对机构进行现场走
访等基础上，贯彻“科技兴审”的理念，持续加强非现场查证系统在审计日常监
管工作中的运用，开展常态化的数据分析和疑点提示工作，并积极推动审计成果
的跨部门运用。
    报告期内，公司加大对违规事项的问责处理力度，成立内部问责委员会，统
筹管理和指导全行违规行为问责工作的开展。加强审计监督与违规问责工作的有
机结合，将违规行为责任认定作为项目审计的必备程序之一，加强对实际风险状
况的判断，清晰界定各方责任。同时，将各级机构对违规行为的处理情况纳入审
计日常监管和后续追踪的范围进行持续监督，强化对问责工作的再监督。
    五、其他内部控制相关重大事项说明
    报告期内公司无其他需要说明的与内部控制相关的重大事项。
                                       董事长(已经董事会授权)：高建平
                                            兴业银行股份有限公司
                                               2014 年 3 月 28 日