兴业银行股份有限公司
2014 年度内部控制评价报告
根据《企业内部控制基本规范》及其配套指引的规定和银监会《商业银行内
部控制指引》等内部控制监管要求(以下简称“企业内部控制规范体系”),结合
兴业银行股份有限公司(以下简称“公司”或“本公司”)内部控制制度和评价
办法,在内部控制日常监督和专项监督的基础上,我们对公司 2014 年 12 月 31
日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其
有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建
立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公
司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假
记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个
别及连带法律责任。
公司内部控制的目标是:确保国家法律法规和公司内部规章制度的贯彻执
行;确保公司发展战略和经营目标的全面实施和充分实现;确保公司风险管理体
系的有效性;确保公司业务记录、财务信息和其他管理信息的及时、真实和完整;
确保公司资产安全。由于内部控制存在的固有局限性,故仅能为实现上述目标提
供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政
策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具
有一定的风险。
二、内控控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准
日,不存在财务报告内部控制重大缺陷。董事会认为,公司已按照企业内部控制
规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准
日,公司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内
部控制有效性评价结论的因素。
三、内部控制评价工作情况
(一)总体情况
公司高度重视内部控制自我评价工作,成立了由总行行领导和主要部门负责
人为领导小组成员的内控评价体系建设工作小组,负责内部控制评价过程中有关
重大事项的决策、指导、协调等工作。总行法律与合规部负责牵头组织,在总行
职能部门、分支机构、控股子公司开展内部控制自我评价工作。公司内部审计部
门负责对公司内部控制状况实施独立的监督和评价,在管理层自我评价的基础
上,对公司整体内部控制的有效性进行再评价,出具独立评价意见。
公司聘请德勤华永会计师事务所(特殊普通合伙)对本公司的内部控制进行
独立审计。
(二)内部控制评价范围
报告期内,公司纳入内部控制自我评价范围的单位包括公司各职能部门、分
支机构和控股子公司,纳入评价范围单位资产总额占公司合并财务报表资产总额
的 100%,营业收入合计占公司合并财务报表营业收入总额的 100%。按照内部控
制的全面性和重要性原则,确定纳入评价范围的重要业务单元、重要业务领域和
重点关注的高风险领域,涉及企业层面、信息科技层面和流程层面。其中,企业
层面包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要
素,33 个评价子领域;信息科技层面包括信息科技治理、信息科技风险管理、
信息安全、信息系统开发测试和投产、信息科技运行管理、连续性管理、外包服
务管理等 7 个方面,35 个评价子领域;流程层面覆盖公司业务、零售业务、同
业业务、投行业务、资产管理、资金业务、中间业务、支付结算、运营管理、财
务管理、资产负债管理等业务及管理领域。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理
的主要方面,不存在重大遗漏。
(三)内部控制评价程序和方法
报告期内,公司严格遵照企业内部控制规范体系,以及公司内部控制评价相
关制度规定的程序,开展内部控制自我评价工作。一是总行各部门(含控股子公
司)依据部门职责开展企业层面、信息科技层面和流程层面相关领域的内控自评
工作,各分行基于总行下发的标准测试底稿模板对重点业务流程的内控有效性进
行测试。评价过程中,主要采用了访谈、调查问卷、专题讨论、穿行测试、实地
抽检等评价工具和方法,广泛收集内部控制有效性相关证据,如实填写评价工作
底稿,分析识别内部控制缺陷,及时落实缺陷整改。为了提升内控自评质效,公
司制订缺陷认定及整改标准,明确缺陷管理流程,组织开展内控自评培训,加强
内控自评考核,引导各级机构准确评估、识别缺陷,并保证缺陷整改质量。二是
总行法律与合规部对各级机构内控自评组织实施情况进行跟踪指导,及时掌握公
司内部控制管理状况,出具管理层内部控制自我评价报告。三是公司内部审计部
门在管理层内部控制自我评价基础上,对公司整体内部控制的有效性进行再评
价,完成本公司 2014 年度内部控制评价报告,经董事会审议通过后对外披露。
(四)内部控制评价工作依据及内部控制缺陷认定标准
报告期内,公司遵照企业内部控制规范体系,按照银监会《商业银行内部控
制指引》、《上海证券交易所上市公司内部控制指引》等有关规定,并根据《兴业
银行股份有限公司内部控制基本制度》、《兴业银行内部控制评级指引》等制度,
组织开展内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的
认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务
报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷
具体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1、财务报告内部控制缺陷认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报
告内部控制缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行
缺陷。
(1)公司确定的财务报告内部控制缺陷评价的定量标准如下:
项目 重大缺陷 重要缺陷 一般缺陷
资产及负债类科 错报>资产总额 资 产 总 额 的 错报≤资产总额
目潜在错报 的0.09% 0.005% < 错 报 ≤ 的0.005%
资产总额的0.09%
所有者权益类科 错报>所有者权 所 有 者 权 益 的 错报≤所有者权
目潜在错报 益的1.6% 0.1% < 错 报 ≤ 所 益的0.1%
有者权益的1.6%
损 益 类 科 目 潜 在 错 报 > 利 润 总 额 利润总额的0.38% 错 报 ≤ 利 润 总 额
错报 的6% < 错 报 ≤ 利 润 总 的0.38%
额的6%
说明:内部控制缺陷可能导致或导致的损失与上述项目相关的,以相应的标
准衡量;如损失同时与上述多个项目相关的,按孰低原则确定适用的标准。
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
重大缺陷:一个或多个内部控制缺陷的组合,可能导致不能及时防止或发现
并纠正财务报告中的重大错报。存在重大缺陷的迹象包括:公司董事、监事或高
级管理人员存在舞弊行为;公司更正已公布的财务报告;注册会计师发现的未被
公司内部控制识别的当期财务报告中的重大错报;公司审计与关联交易控制委员
会、内部审计部门对公司财务报告内部控制的监督无效。
重要缺陷:一个或多个内部控制缺陷的组合,可能导致不能及时防止或发现
并纠正财务报告中虽不构成重大错报但应仍引起管理层重视的错报。存在重要缺
陷的迹象包括:未依照公认会计准则选择和应用会计政策;未建立反舞弊程序和
控制措施;对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实
施且没有相应的补偿性控制;对于期末财务报告过程的控制存在一项或多项缺陷
且不能合理保证编制的财务报表达到真实、完整的目标。
一般缺陷:不构成重大缺陷或重要缺陷的其他内部控制缺陷。
2、非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的战略目标、资产安全、
经营目标、合规目标等其他目标的内部控制。公司非财务报告内部控制缺陷认定
主要依据缺陷涉及业务性质的严重程度、直接或潜在负面影响的性质、影响的范
围等因素来确定。
(1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
重大缺陷:直接财产损失>所有者权益的1.6%;
重要缺陷:所有者权益的0.1%<直接财产损失≤所有者权益的1.6%;
一般缺陷:直接财产损失≤所有者权益的0.1%。
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
重大缺陷:一个或多个内部控制缺陷的组合,可能给公司带来重大操作风险、
合规风险或声誉风险,可能导致公司严重偏离内部控制目标。存在重大缺陷的迹
象包括:公司缺乏科学决策程序;严重违反国家法律、法规并受到处罚;关键岗
位人员流失严重,影响业务正常开展;媒体负面新闻频现;重要业务缺乏制度控
制或制度系统失效;内部控制重大缺陷未得到整改。
重要缺陷:一个或多个内部控制缺陷的组合,其严重程度和经济后果低于重
大缺陷,如不加以改进将可能导致合规风险或声誉风险,且仍有可能导致公司偏
离内部控制目标。存在重要缺陷的迹象包括:公司决策程序存在但不够完善;严
重违反公司内部规章并形成损失;关键岗位人员流失较为严重;媒体出现负面新
闻并波及局部区域;重要业务制度或系统存在缺陷;内部控制重要缺陷未得到整
改。
一般缺陷:不构成重大缺陷或重要缺陷的其他内部控制缺陷。这些缺陷相关
影响程度较低,主要是有悖最佳操作原则和可能导致效率低下的做法,不太可能
导致合规风险或声誉风险。
(五)内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告
内部控制重大缺陷和重要缺陷。
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务
报告内部控制重大缺陷和重要缺陷。
公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内,不会对公
司的资产安全、发展战略和经营目标的实现、财务信息的准确性和完整性、风险
管理体系的有效性等造成实质性影响,不会导致公司偏离控制目标,并且已经制
定了具体的方案和措施认真落实整改。
四、内部控制体系建设情况
2014 年度,公司坚持“稳发展、保安全、促转型”的基本工作主线,在积
极应对形势变化,有序推进各项改革的同时,全面加强基础管理,持续完善内控
管理体制,进一步提升内控管理水平。报告期内,公司围绕内部环境、风险评估、
控制活动、信息与沟通、内部监督等五项要素,有效实施公司内部控制机制,防
范风险,保障业务、管理体系安全稳健运行,确保公司的可持续发展。
(一)内部环境
报告期内,公司的治理结构和议事规则规范,决策、执行、监督等方面的职
责权限分工科学有效,股东大会、董事会、监事会和高级管理层分工明确、相互
制衡、有机衔接,公司治理各层级运作规范。公司董事会负责保证建立并实施充
分而有效的内部控制体系,下设审计与关联交易控制委员会,负责审查、监督内
部控制的有效实施和内部控制的自我评价情况,组织开展内控独立评价。监事会
负责监督董事会、高级管理层完善内部控制体系。高级管理层负责制订内部控制
政策,对内部控制体系的充分性与有效性进行监测和评估并将有关情况向董事会
报告,负责建立识别、计量、监测并控制风险的程序和措施,负责建立和完善内
部组织机构,保证内部控制的各项职责得以有效履行。报告期内,公司进一步强
化董事会决策和监事会监督的职能,定期召开股东大会、董事会、监事会等,加
强董监事的履职能力建设,组织参加监管座谈、IT 与互联网金融、社区银行与
财富管理、资产质量管控、分行经营等调研以及投资者交流活动。本年度,公司
治理持续完善,荣获权威机构颁发的“最佳董事会奖”、“投资者关系金盾奖”、
“最具社会责任上市公司”、主板上市公司“价值百强”和“十佳管理团队”称
号,市场形象和品牌影响力进一步提升。
报告期内,公司完善经营层会议机制,重点加强重大业务事项的会商、协调、
解决,提高业务决策效率和水平。健全公司决策督办工作机制,有效加大公司决
策督促落实力度,提高公司执行能力。
报告期内,公司始终践行普惠金融、绿色金融的理念,坚持让更多人享受现
代金融服务,助力企业节能减排和绿色经济发展。凭借长期以来在履行社会责任
方面的杰出表现,公司在中国银行业协会举行的社会责任工作表彰大会上第四度
荣获“年度最具社会责任金融机构奖”、“年度最佳绿色金融奖”。
(二)风险评估
报告期内,公司持续推进风险管理体系建设,一是强化风险派驻制,落实异
地分支机构风险管理人员及信用审查人员派驻制,并加强管理督导,提高派驻有
效性。二是健全风险管理相关工作机制。进一步深化完善分行风险管理模式、工
作机制,通过落实双向报告、统一管理、风险分类、检查监督、授权管理及考核
评价等各项工具运用,全面加强分行及异地分支机构风险管控,牢固树立合规、
稳健、审慎的经营文化。三是加强分行风险管理人员配备。实行分行风险管理人
员情况季度调查统计制度,全面、及时了解分行风险管理人员配备情况,督促分
行加强风险管理队伍建设,确保全面风险管理的履职需要。
报告期内,公司制订了《总行业务条线风险管理事权及工作程序》,进一步
强化矩阵式风险管理体系,加强业务条线风险管理事权及工作程序管理,持续提
升风险管理的专业性、管控有效性和市场敏感性。
报告期内,公司进一步优化风险容忍度方案,按照“可操作性、重要性、先
进性”原则,完善重点领域风险容忍度指标,适当调整信用风险指标警戒值和容
忍值,优化调整相关指标计算公式。设置“经营绩效、信用风险、流动性风险、
市场风险、操作风险、声誉风险”六大类 44 项指标,定期向董事会风险管理委
员会报告执行情况。
报告期内,公司制定了《区域风险评级管理办法》,实行区域风险评级管理,
进一步完善公司信用风险内部评级体系,积极推进风险差异化管理,提高公司风
险管理水平。
报告期内,公司围绕新资本协议实施,加紧构建先进的风险管理机制,提升
公司风险管理精细化和资本集约化水平。全方位、多轮次开展重点行业、区域、
客户以及产品风险排查。
(三)控制活动
授信业务方面,一是制定年度授信政策,通过对授信政策的制定持续提升公
司风险管理的敏感性、专业性、有效性和精细化水平,促进业务科学、稳健、可
持续发展。二是持续优化现有非零售内部评级系统统一授信管理模块功能,将统
一授信管理模块升级为全行集中、统一、标准的非零售统一授信管理系统的业务
需求开发和项目招投标工作已完成,促进提升统一授信管理的标准化、系统化水
平。三是小企业结算数据分析系统上线,通过结算数据变动分析,提示客户流失
或经营风险征兆,有效提升小微企业监测和预警能力。
存款与柜面业务方面,一是不断丰富检查监督手段,注重非现场专项检查、
现场检查、突击检查等方式的有机结合,建立总行、分行、支行三级检查层次,
进一步加强存款与柜面业务的风险管控。二是坚持“把握实质风险、以客户为中
心”的原则,以“减轻柜面负担、提升客户体验”为目标,通过制定方案、调研
论证、整改落实、定期跟踪等措施,推动“柜面支付梳理及流程优化”专项工作
持续开展。三是持续加强相关内控制度和案件防控长效机制建设,进一步增强存
款与柜面业务内控制度的完整性、严密性和适用性。
中间业务和新兴业务方面,一是完善理财业务制度体系,制定《理财业务管
理办法》和《理财产品落地发行操作规程》等,进一步加强理财业务管理,规范
理财业务运作,推动理财业务健康发展。二是核心业务系统新一轮改造升级(V3)
项目新兴业务管理部分顺利开发上线,完善新兴业务账务处理、风险管控、信息
统计、报表报送等功能。三是加强新兴业务准入控制,进一步细化和明确具体品
种相关的项目选择、分类管理、存续期管控要求,提高准入管理的精细化程度和
可操作性。
财务会计方面,一是进一步提升和完善会计风险监控系统,形成集风险监测、
重点监督、内控考评、非现场检查四大功能模块的内控管理系统,大大提升了会
计操作风险控制的信息化、智能化水平。二是加强经营部门会计后台业务管理,
出台了《投资交易会计后台业务管理办法》、《理财产品会计后台业务管理办法》、
《信用卡会计后台业务管理办法》等制度,强化经营性部门实质操作风险的内部
控制。三是制定《人民币跨行支付业务连续性处置规范》,强化支付系统故障及
突发性事件管理。四是在全行范围启动财务专项检查工作,通过强化内部监督,
揭示各级机构在财务管理中存在的薄弱环节和风险隐患,加强财务基础工作,防
范金融财务风险,提高财务管理水平。
信息科技方面,一是加强信息系统安全管理。稳步开展 ISO27001 信息安全
管理体系认证,实施信息系统等级保护测评。二是加强业务连续性管理。在现有
管理体系的基础上,进一步明确系统定期维护机制,有效防范故障和事故的发生;
制定信息系统的应急预案和各场景应急卡片,明确信息突发事件的应急处置流
程;统一全行“运维调度管理系统”,加强应急处理的调度管理;加快分行灾备
体系建设,组织覆盖所有重要信息系统的应急演练,根据演练情况优化应急预案。
三是加强外包服务管理。对供应商进行准入、评价、分级、退出等全过程的管理,
定期开展对外包风险的评估工作,对现有外包管理状况进行全面审视。
(四)信息与沟通
报告期内,公司持续完善信息交流与反馈机制。一是通过及时的信息披露与
日常交流,加强与投资者的沟通,增进投资者对公司的了解和认识,提升公司治
理水平。二是梳理优化信息披露业务流程,做好内幕信息保密与知情人登记,保
障投资者公平知情权。三是进一步健全制度执行反馈机制,发布《关于进一步健
全制度执行反馈机制的通知》,开通“制度执行反馈专用邮箱”,构建全行统一、
便捷的制度意见建议收集渠道,拓宽制度后评价的信息来源,减少总分行间的信
息不对称。
(五)内部监督
报告期内,公司综合考虑内外部形势变化,进一步优化完善内控合规管理各
项工作,强化依法合规、稳健经营理念的传导,持续推动内控合规和业务发展的
相互融合与相互促进。公司进一步规范内控检查工作流程,多维度强化检查管理,
结合当前经营管理中的热点、难点和风险点,加大对高风险业务或领域的风险排
查及监督工作。同时,依托全面合规管理系统,以合规经营与内部控制考评为契
机,推动内控检查管理规范发展,积极构建合规、稳健、严谨的经营文化。
报告期内,公司内部审计部门持续改进审计监督模式,加大对热点业务风险
性、合规性的审计力度,全面完成全年审计项目计划,审计监督范围覆盖公司经
营管理的各个主要方面,有效推动公司内控机制的不断健全和完善。通过科学安
排现场审计项目、持续改进审计方式方法、深化非现场数据分析、调整完善日常
监管模式、加强审计成果提炼与运用、加大对整改情况的后续追踪力度等有效举
措,不断提升审计监督成效。同时,加强审计项目过程中的责任认定工作,对相
关违规事项及时启动现场问责,并建立相应的再监督和考核机制,进一步完善问
责管理机制。
五、其他内部控制相关重大事项说明
报告期内公司无其他需要说明的与内部控制相关的重大事项。
兴业银行股份有限公司董事会
2015 年 4 月 27 日
