平安银行股份有限公司
2014 年度内部控制自我评价报告
二〇一四年度
目 录
目 录............................................................................................................................................. 2
一、重要声明................................................................................................................................. 3
二、内部控制评价结论................................................................................................................. 3
三、内部控制评价工作的基本情况............................................................................................. 4
(一)内部控制评价的依据和目标............................................................................................. 4
(二)内部控制评价的方法和范围............................................................................................. 5
(三)内部控制评价的程序......................................................................................................... 6
(四)内部控制评价的特点......................................................................................................... 7
四、内部控制的基本框架和主要政策......................................................................................... 8
(一)内部控制的基本框架......................................................................................................... 8
1、内部环境................................................................................................................................... 8
2、风险评估................................................................................................................................. 11
3、控制活动................................................................................................................................. 13
4、信息与沟通............................................................................................................................. 13
5、内部监督................................................................................................................................. 14
(二)内部控制体系的主要政策............................................................................................... 14
五、内部控制缺陷认定、面临的主要风险及影响................................................................... 15
(一)内部控制缺陷认定标准................................................................................................... 15
(二)内部控制存在的缺陷、面临的主要风险及其影响....................................................... 18
六、2014 年度发生的违规行为和风险事件及其处理结果...................................................... 18
(一)2014 年度发生的违规行为和风险事件.......................................................................... 18
(二)违规行为的处理结果....................................................................................................... 19
七、2015 年对内控缺陷及主要风险拟采取的整改措施和风险应对方案.............................. 19
前 言
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求
(以下简称“企业内部控制规范体系”),结合平安银行股份有限公司(以下简称
“本行”)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,
我们对本行2014年12月31日的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有
效性,并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会建立和
实施内部控制进行监督。高级管理层负责组织领导企业内部控制的日常运行。本行
董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记
载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及
连带法律责任。
本行内部控制的目标是合理保证经营管理合法合规、企业资产安全,确保财务
报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。由于内
部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况
的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据
内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准
日,本行不存在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控
制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准
日,本行未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控
制有效性评价结论的因素。
我们注意到,内部控制应当与本行经营规模、业务范围、竞争状况和风险水平
等相适应,并随着情况的变化及时加以调整。未来期间,本行将匹配发展战略、结
合业务流程的变化,继续完善内部控制制度体系,规范内部控制制度执行,不断优
化内部控制评价方法论,加强内部控制监督检查,促进本行健康、可持续发展。
本报告已于2015年3月12日经第九届董事会第十一次会议审议通过。
三、内部控制评价工作的基本情况
(一)内部控制评价的依据和目标
根据《中华人民共和国商业银行法》、《企业内部控制基本规范》、《企业内
部控制应用指引》、《企业内部控制评价指引》、《商业银行内部控制指引》及
《深圳证券交易所主板上市公司规范运作指引》、《公开发行证券的公司信息披露
编报规则第21号——年度内部控制评价报告的一般规定》等有关规范要求,公司应
当对内部控制的有效性进行评价,并编制内部控制评价报告,同时应当聘请会计师
事务所对财务报告内部控制的有效性进行审计并出具审计报告。
本行根据上述规范要求及中国银行业监督管理委员会《商业银行资本管理办法
(试行)》、《商业银行操作风险管理指引》以及新资本协议操作风险标准法监管
达标各项要求,制定了《平安银行操作风险管理政策》、《平安银行外包风险管理
办法》及《平安银行操作风险与内部控制自我评估管理办法》等制度,同时结合本
行实际情况,建立了本行操作风险与内部控制自我评估(RCSA-CSOX)体系;并根
据《平安集团内部控制稽核独立评价手册》,在内部控制日常监督和专项监督的基
础上,对本行截至2014年12月31日内部控制设计与运行的有效性进行评价。
本行开展内部控制评价的目标是合理保证经营管理合法合规、资产安全、财务
报告及相关信息真实完整,满足本行提升风险管理水平和完善公司治理的需要。
2014年本行围绕“以风险为导向、强化关键风险领域日常监测”,不断探索操作风
险(RCSA)和内部控制(CSOX)管理工具的整合,持续优化、提升内部控制评价体
系。
(二)内部控制评价的方法和范围
本行内部控制评价包含内控评价(本行为RCSA-CSOX自评)和评价监督(本行
为稽核内控独立评价)两部分,遵循全面性、重要性、客观性及成本效益等原则,
每年全面开展一次评价工作。
2014年全行30余个部门/事业部及27家分行通过梳理、整合RCSA、部门控制检
查体系(DCFC)风险点及控制活动,在2013年风险控制矩阵(RCD)基础上,确定
日常检测范围,并按照规定频率(按月、季等)对重要风险点及关键流程进行日常
化监测;根据本行业务发展及内、外部金融环境的变化,结合同业、本行发生的风
险事件,识别重点风险领域,开展专项分析及评估。2014年梳理完成主流程25个,
子流程145个,风险点1019个,控制活动1468项,涵盖公司层面、流程层面和信息
技术层面内容。
稽核内控独立评价由总行稽核监察部组织、实施,并与日常内部审计工作相结
合。稽核内控独立评价项目组通过对RCSA-CSOX内控自评工作的全面审阅,检视风
险点及相应控制活动识别的完整性、准确性,并选取其中约30%的风险点进行独立
测试,测试中侧重固有风险等级为中高级的风险点所对应的控制活动。2014年稽核
内控独立评价共选取310个风险点、468个控制活动开展测试,覆盖全部25个主流
程,具体评价范围如表1所示。
表 1:2014 年度内部控制评价范围
RCSA-CSOX 稽核内控独立评价
序 主流程 内控自评 审阅 测试
号 名称
风险 控制活动 风险 控制活动 风险 控制活动
1 财务报告 29 58 29 58 3
2 电子银行 35 47 35 47 2
3 对公贷款 70 87 70 87 44
4 费用管理 13 25 13 25 4
5 个人存款 33 49 33 49 14
6 公司层面 38 64 38 64 11
7 公司存款 35 63 35 63 17
8 固定资产、无形资产管理 19 22 19 22 2
9 离岸业务 40 55 40 55 25
10 理财产品 26 61 26 61 6 8
11 零售贷款 61 126 61 126 21 41
12 零售贷款—小微业务 44 64 44 64 4 10
13 贸易结算 59 82 59 82 24 32
14 贸易融资 32 70 32 70 12 38
15 票据业务 53 64 53 64 22 28
16 汽车金融 83 103 83 103 20 29
17 人力资源 23 26 23 26 9 9
18 税务管理 18 22 18 22 1 1
19 投融资管理 27 28 27 28 1 1
20 投资银行 31 35 31 35 3 4
21 信息科技管理 39 56 39 56 15 28
22 信用卡 43 62 43 62 2 2
23 运营管理 29 39 29 39 7 10
24 资产托管 35 38 35 38 14 15
25 资金和同业业务 104 122 104 122 27 32
合计 1019 1468 1019 1468 310 468
稽核内控独立评价中,根据资产或业务规模、分支机构层级和数量,结合区域
分布、业务覆盖以及内外部风险评级变动情况,将总行部门/事业部及深圳、上
海、北京、广州、成都、佛山、南京、杭州、天津、宁波、重庆分行纳入本年度独
立评价测试机构范围。纳入评价的各单位资产占本行上年末合并财务报表资产总额
的79%,营业收入占本行上年末合并财务报表营业收入总额的77%。
综上,纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理
的主要方面,不存在重大遗漏。
(三)内部控制评价的程序
2014年本行内部控制评价由总行法律合规部协调各业务及相关管理部门进行
RCSA-CSOX自评,由总行稽核监察部组织并实施稽核内控独立评价,相关责任部门
根 据 内 控 缺 陷 整 改 建 议 制 定 并 执 行 整 改 计 划 。 RCSA-CSOX 自 评 在 将 操 作 风 险
(RCSA)和内部控制(CSOX)管理工具整合的基础上,围绕“以风险为本、强化日
常监测”的工作思路,采用日常监测、重点领域专项分析以及年度评估相结合的方
式开展。总行稽核监察部结合内外部检查发现,采用嵌入内审项目与专项测试相结
合方式开展稽核独立评价。全行首次在RMC系统中完成了全流程、全机构的RCSA-
CSOX自评及内控稽核独立评价,加强了对内控评价的过程管理和质量控制。
RCSA-CSOX内控自评工作程序包括工作范围及流程确认、风险/控制识别与评
估、结果校验、报告及整改等。由总行法律合规部牵头各业务及管理部门梳理并筛
选重点业务流程、识别重要风险点及控制活动,按照财务报告重要性原则确定重点
评估机构;通过识别、更新控制矩阵,开展日常监测、专项及年度评估,并对结果
进行校验,形成年度工作报告,反映风险评估状况及缺陷整改情况。
稽核内控独立评价按照计划准备、测试、整改落实、补充抽样及报告五个阶段
开展。具体评价程序如图1所示。
计划准备 测试评价 整改落实 补充抽样 报告
稽核内控独立评价
图1:稽核内控独立评价工作程序
(四)内部控制评价的特点
2014年本行围绕落实《商业银行资本管理办法(试行)》、五部委《企业内部
控制基本规范》及配套指引、《商业银行操作风险管理指引》等监管规定、新资本
协议操作风险标准法监管指标以及内部管理要求,在RCSA、CSOX等管理工具整合的
基础上,持续优化操作风险管理工具和系统平台,建立健全全面风险管理体系,不
断提高操作风险管理与内控评价的效率和效果。实现了风险与控制基础数据库的整
合,加强了各部门间的协作与配合,提高了各业务及管理部门的工作效率,有效发
挥了联动效应,同时满足了监管关于操作风险和内部控制的管理要求,也为本行管
理层的经营决策提供了参考。
四、内部控制的基本框架和主要政策
(一)内部控制的基本框架
1、内部环境
(1)公司治理
本行按照《中华人民共和国公司法》、《中华人民共和国商业银行法》、《中
华人民共和国证券法》等有关法律法规和中国证监会、中国银监会的监管要求,致
力于进一步健全公司治理机制,完善公司治理结构。
本行内部控制的管理决策部门主要包括股东大会、董事会及审计委员会、监事
会、高级管理层。股东大会、董事会、监事会分别按照职责行使表决权、决策权和
监督权。董事会下属的审计委员会具体负责确定本行的内控管理方向,制定内控政
策,审查、监督内部控制的有效实施。
董事会设立战略发展委员会、审计委员会、风险管理委员会、关联交易控制委
员会、提名委员会、薪酬与考核委员会等专门委员会。各专门委员会向董事会提供
专业意见或根据董事会授权就专业事项进行决策,保持了较高的运作效率。截至
2014年12月31日,本行董事会由15名董事组成,其中独立董事5名。监事会由6名监
事组成,其中职工代表监事2名、外部监事3名、股东代表监事1名。
本行建立了包括公司章程、股东大会议事规则、董事会及其各专门委员会议事
规则、监事会及其各专门委员会议事规则、信息披露事务管理制度、投资者关系工
作制度、董事监事和高级管理人员所持本公司股份及其变动管理办法、内幕信息及
知情人管理制度、年报信息披露重大差错责任追究制度、防范大股东及其关联方资
金占用制度、董监事履职评价办法等多项公司治理制度。
(2)组织架构
本行根据内、外部环境的变化,围绕银行长期发展规划及短期战略目标,搭建
集中、垂直、独立的风险管理架构,形成全面风险管理的治理体系。建立了以董事
会及下属专门委员会为决策层、各级分支机构的管理层为建设执行层、各级合规部
门及独立的内审部门为监督评价层的内部控制体系。为全面管理和经营银行各类风
险,完善公司治理结构,本行设立风险管理委员会作为全面风险管理常设机构,管
理内容涵盖银监会资本管理办法规定的第一支柱的信用风险、操作风险和市场风
险;第二支柱的战略风险、声誉风险以及第三支柱的信息披露、报告等风险,由银
行执行委员会领导,既强化内控管理又有效支持业务发展。截至2014年12月31日,
本行共设臵52个总行业务/职能部门/事业部、40家分行,各类网点585家。
(3)发展战略
本行在董事会的正确领导下,围绕“三步走”战略部署,秉承“对外以客户为
中心,对内以人为本”的理念,紧扣“快增长、调结构、增效益”主线,坚持外延
式扩张和内涵式增长并举的发展策略,发挥专业化、集约化、综合金融、互联网金
融优势,推动公司、零售、小企业、同业、投行业务快速发展,实现整体规模快速
增长,资产负债协调发展,盈利能力显著增强,管理能力全面提升,科技创新领先
同业,客户和员工满意度不断提高,品牌和社会影响力持续扩大,致力于最终成为
“积极进取、特色鲜明、管理先进、效益最佳”的中国最佳商业银行。
2014年是本行《五年发展战略规划》实施的第一个完整年度,本行业务经营和
管理均较好围绕发展战略制定的目标、路径展开,专业化、综合化、综合金融、互
联网金融等“四化”动力机制运行更为顺畅,存款、净息差等关键指标增速越居股
份制银行前列,实现了五年规划的良好推进。
(4)人力资源
根据战略规划,本行全面启动“3311”人才梯队建设工程,建立人才招聘、开
发、评估、激励、使用和规划的科学机制。规划设计了人才开发与培养方案,明确
了人才培养路径、方式和行动计划。针对关键核心人才,通过科学有效的能力评估
工具,识别潜才,实施专项培养,帮助其拓展视野,提升组织管理及战略规划等方
面能力;针对专业人才,采用关键岗位学习阶梯模式,创新培训代表机制,强化业
务培训,促进其专业能力的快速提升;此外,应综合金融战略的发展需要,本行推
出了全新的综合金融管理培训生发展计划,采用提前培养模式,引入综合金融轮
训,帮助应届生快速成长为业务发展全面,富有创新意识的综合金融人才。
本行致力于建立科学、系统的绩效考核指标体系(KPI),针对合规类指标进
行严格的扣分设计,立足指标体系满足银行长远健康发展。为确保银行战略目标的
实施和竞争力提升,建立与人才培养、风险控制相适应的薪酬体制,根据国家及地
方有关劳动工资的法律法规,制定了《平安银行薪酬管理办法》,建立了与银行的
长短期战略、业务目标、企业文化相一致的薪酬体系,发挥杠杆效应,达到吸引、
保留、激励、发展优秀人才的目的,薪酬体系切实贯彻执行“导向清晰、激励绩
效、反映市场、合法合规”的薪酬理念,并按《商业银行稳健薪酬监管指引》规范
了员工薪酬结构。同时,薪酬支付期限与相应业务的风险持续时间基本保持一致,
并基于风险调整后的业绩衡量进行绩效激励。
(5)企业文化
本行持续致力于加强核心价值观、品牌管理和企业文化等方面的软实力建设,
力争实现差异化竞争和公司价值提升,树立广泛认同、深入实践的价值观,着力打
造“积极进取、扎实稳健、团结合作”的企业文化。
本行董事会、监事会及高级管理层践行“合规从高层做起”,董事会决策、部
署内控合规重要战略措施,监事会深入基层巡检,高级管理层签署尽职指引与承
诺,率先垂范参与各类内控合规宣导活动,为全行员工树立了企业合规文化基调。
本行在全行范围内开展形式多样的“尽职合规,从心开始”的案防合规活动月
系列活动,开发、上线制度管理系统一期(总行模块),修订了《平安银行员工违
规违纪行为亮牌问责处罚办法》,持续开展员工可疑行为排查,加强员工行为管
理,引导员工“尽职合规”,提升员工职业操守与诚信意识。
(6)社会责任
本行积极开展各项社会责任活动回馈客户、回馈社会,充分考虑客户、员工、
股东、社会公众、监管等相关方的利益和诉求,通过《消费者权益保护工作实施纲
要》体现对利益相关方关注事项的回应和行动,积极维护存款人和其他利益相关者
合法权益。通过推动业务发展,努力提升服务,践行普惠金融,推行绿色信贷,加
强员工关怀,热心社会公益,秉承“对外以客户为中心,对内以人为本”的理念,
进一步完善企业社会责任管理体系,持续践行企业社会责任,以专业经营与服务为
客户、员工、股东和社会创造更大的价值。
2、风险评估
本行秉持“风险与业务发展相协调,风险与收益相均衡,风险与资本约束相适
应”的风险管理原则,建立健全风险控制制度,针对不断变化的环境和情况,积极
研究、及时更新,以控制新出现的风险或以前未能控制的风险。
(1)信用风险管理方面
本行建立了集中、垂直、独立的全面风险管理架构,在总行风险管理委员会的
统筹下,由风险管理部、公司授信审批部、资产监控部、零售信贷管理部等专业部
门协作,持续加强对贷前调查、贷时审查、贷后管理及清收处臵等的全流程管理和
信用风险管控。2014年,本行通过明晰授信导向,坚决退出高风险客户;加强分析
研究,提升评审质量;加大不良资产核销及打包处臵工作力度,促进资产质量的提
升;加强重点领域风险排查,防范授信风险;加重风险考核,严格违规问责;加强
风险管理团队建设,培育先进风险管理文化等措施全面加强信用风险防控。
(2)市场风险管理方面
本行市场风险额度管控基本覆盖了全行的资金投资业务,每日及时开展市场风
险监控,确保每日市场风险在本行可承担范围内;每日进行资金投资业务的损益贡
献分析,协助前台及时了解交易策略执行成果以便于调整;定期对全行理财产品进
行统计归因分析并对市场风险各项关键指标进行监控,确保理财产品市场风险可
控;参与资金投资业务新产品的评审,及时提示和把控新产品相关市场风险。参与
前台业务系统的升级优化,进行市场风险新资本协议建设,提升市场风险管理水
平。
(3)流动性风险管理方面
2014年以来,本行进一步完善了规范化、市场化和专业化的流动性风险管理体
系。一是完善了流动性风险管理制度体系,发布了《平安银行流动性风险管理办
法》和《平安银行流动性风险应急计划》等规章制度,制定了全行流动性风险容忍
度,并专门对同业业务、票据业务、理财业务、表外业务等重点业务领域流动性风
险进行了研究分析,通过制度、流程的梳理,加强对全行流动性风险的防范;二是
积极配合银监局统计良好标准检查,梳理了流动性风险指标口径,细化各项流动性
风险指标管理和达标规划;三是根据对宏观经济形势和市场流动性的前瞻性判断,
运用各类流动性限额、内部资金转移价格等手段及时对资产负债规模结构和期限结
构进行优化调整,通过流动性管理例会综合协调各类流动性管理措施,推动全行各
相关部门形成合力,共同确保流动性安全;四是开分别根据银监会要求和平安集团
设定的压力情景按月开展专项流动性风险压力测试;五是顺利推进新资本协议项目
群下的流动性风险管理项目,朝着进一步满足合规达标的要求和进一步提升自身流
动性风险管理水平的目标迈进。通过上述工作,本行顺利达成对流动性风险的识
别、计量、监测和控制,各项流动性风险指标符合监管标准。
(4)操作风险管理方面
2014年,本行围绕全面风险管理战略,坚持“风险为本”原则,通过“巴塞尔
新资本协议”(新监管标准)操作风险项目的实施,持续推进“操作风险与控制自
我评估(RCSA)、关键风险指标(KRI)、损失数据收集(LDC)”等操作风险三大管
理工具及系统运用,夯实操作风险管理基础,重点关注高危、频发风险领域的操作
风险防控,预防和遏制重大操作风险事件,强化操作风险管理工作监督和评价,提
升全行对操作风险的识别、评估、监测及控制/缓释能力。
(5)其他风险
本行面临的其他风险包括合规风险、法律风险和声誉风险等。
本行围绕全面风险管理战略,在总分行层面均设立法律合规管理部门,配备专
职的法律、合规与操作风险管理人员,构建了较完善的法律、合规、操作风险的组
织管理架构。通过完善法律审查制度及法律事务案件管理制度,增强法律风险的防
范、控制与化解能力;通过成立总、分行案防委员会并优化案防委员会运作机制,
有效实施案防层级督导;通过完善亮牌处罚系列制度,建立新的问责管理体系;通
过建立反洗钱集中处理模式下的反洗钱工作体系,实现反洗钱作业的标准化、专业
化与集中化运行。同时,通过优化全行制度体系,推进法律合规操作风险管理系统
建设等,实现内控合规管理的体系化、流程化、系统化;通过实施全方位、多层次
的内控合规培训与宣导教育,营造良好的案防合规文化氛围。
本行法律风险管理秉承“专人负责、统一管理、及时高效”的基本原则,“积
极主动,专业权威、服务基层”的基本理念,严格落实法律风险提示、诉讼案件定
期跟踪检视报告等各项工作机制。
本行持续完善声誉风险管理的制度体系,通过建立声誉风险管理组织框架,确
定声誉风险管理机制、明确各层级职责权限,并实行有效监督评估,从而达到主
动、有效防范声誉风险和应对声誉事件,最大程度地减少声誉损失和负面影响的管
理目标。
3、控制活动
本行实施法人授权管理,建立法人授权和审批制度,规范了各部门和各分支机
构书面授权管理事项。同时,建立集中、垂直、独立的风险管理架构,形成全面风
险管理的治理体系。健全由业务部门、风险管理职能部门及内部审计部门构成的风
险控制三道防线,明晰业务单元和风险管理单元的风险管理职责,明晰业务流程各
环节、各角色的风险管理责任,建立“激励相容”的考核体系,强化“第一道防
线”的风险防范功能。建立“派驻制风险管理、矩阵式双线汇报”风险管理模式,
向各分行派驻了主管风险副行长、向各事业部派驻了风险总监,负责所在单位的全
面风险管理工作。以“嵌入式”风险管理模式支持事业部改革,在事业部“嵌入”
了全流程的风险管理团队。
高管层按月定期召开行长办公会议,必要时不定期召开临时会议,研究讨论全
行重大经营管理事项,审议财务情况及经营指标完成情况,做出有关经营管理的具
体决策。总分行各层级通过每月召开案防合规委员会会议,审议重大内控政策,并
就重大内控事项进行部署。本行建立了突发事件应急报告及处理制度,以保证本行
资金财产和员工、客户的人身安全,对可能发生各类突发情况制定规定了应急处理
流程及相应措施。
本行在全行范围内建立部门控制检查体系(即“DCFC”),对业务流程中所设
计的控制步骤进行独立于日常作业的检查,监控风险控制步骤的执行与控制情况,
及时报告未执行内控措施的业务领域并采取补救措施。
4、信息与沟通
本行将有效的信息沟通作为完善公司治理的一项重要内容加以落实。董事长是
公司信息披露的第一责任人,行长是信息披露的责任人,董事会秘书是公司信息披
露的直接责任人,负责具体协调和组织公司信息披露事务。通过制订《平安银行股
份有限公司经营信息报告指引》,建立了信息报告机制,明确了信息报告责任人和
报告流程,以确保董事、监事能够及时、准确地获取各类信息。同时,本行亦有明
确的流程确保按照监管要求如实报告相关信息。
在内部沟通方面,总行办公室负责汇集、整合、加工、发布各类管理信息,通
过内网办公平台与各级机构共享,设臵了最新动态、高管动态、银行要闻、行业动
态、分行动态、业务公告等信息栏目,各分行也设臵了自有主页,发布分行相关信
息,与总行和行内其他机构共享。同时,建立了高效安全的电子化内部审批、信息
传递、事务督办渠道,保证了信息交流与反馈的顺畅、及时、保密。
5、内部监督
一方面,本行监事会认真按照《商业银行监事会工作指引》的要求,持续完善
与董事会和高管层的沟通机制,并建立与外审机构沟通和合作机制。推动董、监事
履职评价,建立了对高管层的实质性履职评价制度,加强对内审工作的业务指导和
工作考评,加强对合规和案防工作的监督和指导,强化了内控工作监督职能。
另一方面,本行建立了独立、垂直的稽核监察组织架构和管理体系,能够保证
总、分行稽核监察部在首席审计官的直接管理下,独立、客观地履行内部监督职
责。
(二)内部控制体系的主要政策
为保持内部控制水平,促进各项业务安全稳健运行,本行持续加强内控政策建
设,建立、完善高标准的内控管理体系。在原有内控制度、流程和准则基础上,
2014 年结合业务发展及管理要求,修订完善了《平安银行案防工作评估办法》、
《平安银行新资本协议内部审计管理办法》、《平安银行内外部审计及监管发现问
题整改管理办法》、《平安银行员工违规违纪行为亮牌问责处罚办法》、《平安银
行关键岗位员工强制休假与轮岗制度》等规范;制定了《平安银行操作风险标准法
资本计量管理办法》、《平安银行操作风险事件及损失数据收集管理办法》等制
度。除上述制度、政策外,目前指导全行案防合规工作的主要制度还有《平安银行
员工案件防控指引》、《平安银行案件防控工作管理办法》、《平安银行合规工作
管理办法》、《平安银行制度管理办法》等;指导稽核监察工作的相关制度还有
《平安银行股份有限公司审计工作基本准则》、《平安银行案件处臵工作规程》、
《平安银行创新产品后评价操作细则》、《平安银行案件责任追究管理办法》等。
在平安集团专门针对内控评价工作制定的《内部控制自我评价手册》、《内部控制
稽核独立评价手册》基础上,本行还制订了《平安银行操作风险与内部控制自我评
估管理办法》,在操作层面具体指导管理层内控自评工作的开展。
五、内部控制缺陷认定、面临的主要风险及影响
(一)内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求,结合公司规模、
行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内
部控制,研究确定了适用本行的内部控制缺陷具体认定标准,并与以前年度保持一
致。根据内部控制缺陷影响整体控制目标实现的严重程度,从定性和定量两个维度
衡量,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。
1、财务报告内部控制缺陷认定标准
①财务报告内部控制缺陷评价的定量标准
以当年合并财务报表税前利润为基数进行定量判断,从内控缺陷可能造成的年
化财务错报占合并财务报表税前利润的比例进行评估,分为重大缺陷、重要缺陷和
一般缺陷三个等级:
表 2 财务报告内部控制缺陷评价定量标准
缺陷等级
重大缺陷 重要缺陷 一般缺陷
认定标准
可能造成的年化财务错 可能造成的年化财务错报, 可能造成的年化财务错
资产安全、经营损 报,或可能遭致的损失, 或可能遭致的损失,或缺陷 报,或可能遭致的损失,
失与财务影响
或缺陷本身实际的影响金 本身实际的影响金额占税前 或缺陷本身实际的影响金
额占税前利润5%及以上 利润的1%(含1%)至5% 额占税前利润的1%以下
②财务报告内部控制缺陷评价的定性标准
重大缺陷是指存在合理可能性导致不能及时防止或发现并纠正财务报告重大错
报的一个或多个内部控制缺陷的组合;重要缺陷是指财务报告内部控制中存在的、
其严重程度不及重大缺陷,但仍可能导致偏离控制目标的一个或多个内部控制缺陷
的组合;一般缺陷是指财务报告内部控制中存在的除上述重大缺陷及重要缺陷之外
的缺陷。
2、非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。包
括战略及经营目标、经营效率及效果、合法合规、信息披露、声誉影响、数据及信
息系统等。
①非财务报告内部控制缺陷评价的定量标准
表 3 非财务报告内部控制缺陷评价定量标准
缺陷等级
重大缺陷 重要缺陷 一般缺陷 备注
认定标准
操作风险直接损失
10,000,000元及以上 100,000元到9,999,999元 99,999元及以下
可能导致中长期战略及 包括收入目
可能导致仅能实现年度经 可能导致仅能实
经营目标无法实现,或 标、利润目
战略及经营目标 营 目 标 的 30% 至 70% ( 含 现年度经营目标
可能导致仅能实现年度 标、市场占
70%) 的70%及以上
经营目标的30%及以下 有率目标等
对一个业务流程的有效运 不太可能或仅可
可能导致两个及以上业
行可能造成一定的影响或 能对一个业务流 一般指一级
经营效率及效果 务流程或部分业务无法
可能导致一个业务流程或 程有效运行造成 业务流程
有效运行
某项业务无法有效运行 较为轻微的影响
②非财务报告内部控制缺陷评价的定性标准
表 4 非财务报告内部控制缺陷评价定性标准
缺陷等级
重大缺陷 重要缺陷 一般缺陷
认定标准
合法合规 违规行为造成被限制业务 已违反内部规定和监管指标,造成内 接近内部规定限额或
范围,或被限制增设分支 部违规或受到内部惩罚,且违规数额 外部监管指标,发生
机构,或被限制支配资产( 较大;或严重违反内部规定,需移交 违规预警或已违反内
如向股东分红、购置资产 或向外部监管汇报;或已违反外部监 部规定,造成内部违
等),或停业整顿、吊销业 管规定,但数额不大,个人或机构受 规或受到内部惩罚,
务许可证 到通报批评、责令限期改正、处分; 但违规数额不重大,
或严重违反外部监管规定,个人或机 且未违反外部监管规
构受到经济处罚,或个人被降职,或 定
个人(主要指代理人)被限制开展业务
对内外部信息使用者有一定的影响, 对内外部信息使用者
错误信息可能会导致内外
可能会影响使用者对于事物性质的判 不会产生影响或对信
部信息使用者做出截然相
信息披露 断,在一定程度上可能导致错误的决 息准确性有轻微影响
反的决策,造成不可挽回
策;或错误信息可能会导致内外部信 ,但不会影响信息内
的决策损失
息使用者做出重大的错误决策 外部使用者的判断
负面消息在当地局部
负面消息流传世界各地, 负面消息在省级区域流传,对企业声
流传或内部流传,对
引起政府或监管机构调查 誉造成中等损害负面消息或在全国各
声誉影响 企业声誉造成轻微损
,引发重大诉讼,对企业 地流传,引起公众关注,引发诉讼,
