平安银行股份有限公司
2015 年度内部控制自我评价报告
二〇一五年度
机密文件,请勿转发、复制或扩散
目 录
目 录............................................................................................................................................. 1
前 言............................................................................................................................................. 2
一、重要声明................................................................................................................................. 2
二、内部控制评价结论................................................................................................................. 3
三、内部控制评价工作的基本情况............................................................................................. 4
(一)内部控制评价的依据和目标............................................................................................. 4
(二)内部控制评价的程序、方法和标准................................................................................. 4
(三)内部控制评价的范围......................................................................................................... 8
(四)内部控制评价的特点......................................................................................................... 9
四、建立内部控制体系的工作情况........................................................................................... 10
五、内部控制的基本框架........................................................................................................... 11
(一)内部环境........................................................................................................................... 11
(二)风险评估........................................................................................................................... 13
(三)控制活动........................................................................................................................... 15
(四)信息与沟通....................................................................................................................... 16
(五)内部监督........................................................................................................................... 17
六、内部控制存在的缺陷、面临的主要风险及其影响........................................................... 17
七、对内控缺陷及主要风险拟采取的整改措施和风险应对方案........................................... 19
前 言
平安银行股份有限公司(以下简称“本行”)以防范风险和审慎经营为出发点,推进
落实全面风险管理,持续实施巴塞尔新资本协议建设,建立、完善高标准的内部控制管理
机制,打造全面审慎的资本监管和风险管理体系,进一步增强抵御风险的能力,促进本行
有效益、可持续地健康发展。
根据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》的规定和
其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合本行内部控制制度
和评价办法,在内部控制日常监督和专项监督的基础上,我们对本行2015年12月31日的内
部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,
并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会和高级管理层建立和
实施内部控制进行监督。高级管理层负责执行董事会决策,组织领导企业内部控制的日常
运行。本行董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假
记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带
法律责任。
本行内部控制的目标是促进银行各项经营管理活动合法合规,合理保证发展战略和经
营目标实现,持续改进和完善内部控制管理体系和运行机制,建立“以防范风险和控制舞
弊为中心、以控制标准和评价标准为主体”的风险管理和内部控制规范体系,提高风险管
理水平,促进业务、财务、会计及其他管理信息的真实、准确、完整和及时。由于内部控
制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能
导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果
推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据企业内部控制规范体系,结合本行内部控制制度和评价办法,在内部控制日常监
督和专项监督的基础上,对本行2015年12月31日的内部控制有效性进行了评价。
根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,本行
不存在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控制规范体系和相
关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,本
行未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效
性评价结论的因素。
我们注意到,内部控制应当与本行经营规模、业务范围、竞争状况和风险水平等相适
应,并随着情况的变化及时加以调整。未来期间,本行将匹配发展战略、结合业务流程的
变化,继续完善内部控制制度体系,规范内部控制制度执行,不断优化内部控制评价方法
论,加强内部控制监督检查,促进本行有效益、可持续地健康发展。
本报告已于2016年3月9日经第九届董事会第二十次会议审议通过。
三、内部控制评价工作的基本情况
(一)内部控制评价的依据和目标
根据《中华人民共和国商业银行法》、《企业内部控制基本规范》、《企业内部控制
应用指引》、《企业内部控制评价指引》、《商业银行内部控制指引》及《深圳证券交易
所主板上市公司规范运作指引》、《公开发行证券的公司信息披露编报规则第21号——年
度内部控制评价报告的一般规定》等相关要求,本行应当对内部控制的有效性进行评价,
并编制内部控制评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行
审计并出具审计报告。
本行根据上述规范要求及中国银行业监督管理委员会《商业银行资本管理办法(试
行)》、《商业银行操作风险管理指引》、《商业银行内部控制评价试行办法》,中国人
民银行《商业银行内部控制评价指南》以及新资本协议操作风险标准法监管达标各项要
求,制定了《平安银行操作风险与内部控制自我评估管理办法》等制度,同时结合本行实
际情况,建立了本行操作风险与内部控制自我评估(以下简称“RCSA-CSOX”)体系,
并根据《平安集团内部控制自我评价手册》、《平安集团内部控制稽核独立评价手册》,
在内部控制日常监督和专项监督的基础上,对本行截至2015年12月31日内部控制设计与运
行的有效性进行评价。
本行内部控制评价的目标是保障建立健全和有效实施内部控制,持续提高内控管理水
平,促进本行可持续健康发展。2015年本行围绕“以风险为导向,整合最新监管要求,重
要风险点全覆盖”的思路,采用日常监测、重点领域专项分析和年度评估相结合的方式,
将操作风险和内控管理工具有机结合,强化银行案件防控,优化内部控制评价方法,加强
内部控制检查监督,持续提升内部控制评价水平。
(二)内部控制评价的程序、方法和标准
1、内部控制评价的程序和方法
2015 年度本行遵循全面性、重要性、客观性和成本效益原则开展内部控制评价工
作。根据内部控制整体目标和职能分工,由法律合规部门组织实施全行 RCSA-CSOX,由
稽核监察部组织实施内部控制稽核独立评价,相关责任部门根据内控缺陷整改建议制定并
执行整改计划。
法律合规部牵头组织全行的RCSA-CSOX工作,包括工作计划制定与前期准备、流程
梳理、风险控制矩阵(RCD)更新、内控测试与校验、缺陷整改等六个工作环节。本年
度RCSA-CSOX采用日常监测、重点领域专项分析以及年度评估相结合的方式,各业务部
门按照不同的测试频率定期对控制活动执行情况进行抽样评估,实现以风险为导向的差异
化管理,并对高风险领域及关键控制活动实施日常化监测,形成动态量化的风险评估监测
体系;法律合规部结合日常监测及内外部典型案件、事件,开展热点、重点风险领域的风
险检视、预警和整改推动,并对全行RCSA-CSOX工作进行实时监督,评估自评工作质
量。通过组织全行开展RCSA-CSOX工作并推动整改计划的制定,汇总自我评估情况及缺
陷整改执行情况,最终形成全行性的操作风险与内部控制自我评估工作报告。
稽核监察部组织实施内部控制稽核独立评价,对 RCSA-CSOX 工作成果进行审阅,
检视自评风险点及相应控制活动识别的完整性、准确性,并以风险为导向选取对应的控制
活动进行独立测试,按照计划准备、嵌入项目测试、整合审计发现及落实整改、补充测试
及报告五个阶段开展。稽核监察部根据内部控制独立评价的需要,在年度部分审计项目中
运用内控管理工具,对部分业务流程或业务环节执行了穿行测试,对部分关键控制活动执
行了运行测试;对没有适当审计项目对应的流程或控制活动,通过组织专门的补充测试进
行覆盖,突出以风险为导向,强化对重点业务、重点风险领域的关注,加大了对关键风险
控制环节测试的覆盖面,提高了内部控制稽核独立评价的全面性和准确性。同时,对 1-9
月审计项目发现中影响内部控制的事项进行整改跟踪,挖掘问题的成因,识别存在的内控
缺陷,并根据本行内部控制缺陷认定标准,揭示风险隐患,推动及时、有效整改,发挥内
审监督作用。
本行持续完善RCSA-CSOX和内控稽核独立评价流程,不断加强内控评价工作过程管
理、质量复核,优化内控评价方法,规范评价工作的开展,并通过操作风险与内控管理系
统(RMC)实现对工作任务、测试进度、测试复核、底稿审批、整改追踪、汇总分析全
过程系统管理。
2、内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求,结合公司规模、行业特
征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究
确定了本年度适用于本行的内部控制缺陷具体认定标准,并与以前年度保持一致。
(1)财务报告内部控制缺陷认定标准
①财务报告内部控制缺陷评价的定量标准
以当年合并财务报表税前利润为基数,根据内控缺陷可能造成年化财务错报占当年合
并财务报表税前利润的比例,分为重大缺陷、重要缺陷和一般缺陷三个等级:
表 1 财务报告内部控制缺陷评价定量标准
重大缺陷 重要缺陷 一般缺陷
可能造成的年化财务错报的影
可能造成的年化财务错报的影响金额 可能造成的年化财务错报的影响金额占公司
响金额占公司当年合并财务报
占公司当年合并财务报表税前利润5% 当年合并财务报表税前利润1%至5%的一项
表税前利润1%以下的一项或多
及以上的一项或多项控制缺陷的组合 或多项控制缺陷的组合
项控制缺陷的组合
②财务报告内部控制缺陷评价的定性标准
重大缺陷是指存在合理可能性导致不能及时防止或发现并纠正财务报告重大错报的一
个或多个内部控制缺陷的组合;重要缺陷是指财务报告内部控制中存在的、其严重程度不
及重大缺陷,但仍可能导致偏离控制目标的一个或多个内部控制缺陷的组合;一般缺陷为
财务报告内部控制中存在的除上述重大缺陷及重要缺陷之外的缺陷。
(2)非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。包括战略
及经营目标、合法合规、信息披露、声誉影响、数据及信息系统等。
①非财务报告内部控制缺陷评价的定量标准
表 2 非财务报告内部控制缺陷评价定量标准
缺陷等级
重大缺陷 重要缺陷 一般缺陷
认定标准
可能造成的实际财务损失, 可能造成的实际财务损失,
可能造成的实际财务损失,或缺陷
实际财务损失 或缺陷本身实际的影响金额 或缺陷本身实际的影响金额
本身实际的影响金额占上年合并财
占上年合并财务报表税前利 占上年合并财务报表税前利
务报表税前利润的 1%至 5%之间
润 5%及以上 润的 1%及以下
可能导致中长期战略及经营
可能导致仅能实现年度经营目标的 可能导致仅能实现年度经营
战略及经营目标 目标无法实现,或可能导致
30%至 70%(含 70%) 目标的 70%及以上
仅能实现年度经营目标的
30%及以下
对一个业务流程的有效运行可能造
可能导致二个及以上业务流 不太可能或仅可能对一个业
成一定的影响或可能导致一个业务
经营效率及效果 程或被评价单位部分业务无 务流程的有效运行造成较为
流程或被评价单位某项业务无法有
法有效运行 轻微的影响
效运行
②非财务报告内部控制缺陷评价的定性标准
表 3 非财务报告内部控制缺陷评价定性标准
缺陷等级
重大缺陷 重要缺陷 一般缺陷
认定标准
合法合规 违反国家法律法规或规范性 违反内部规定需移交或向外部监管汇 违反内部规定或接近内部规定
文件,导致被限制业务范 报;或违反国家法律法规或规范性文 限额或外部监管指标,发生违
围,或被限制增设分支机 件,导致个人或机构受到经济处罚、 规预警
构,或被限制支配资产(如向 通报批评、责令限期改正等处分,或
股东分红、购置资产等),或 个人被降职、被限制开展业务
停业整顿、吊销业务许可证
战略及经营 战略及经营目标或关键性指 战略及经营目标或关键性指标的执行 战略及经营目标或关键性指标
目标 标的执行不合理,严重偏离 不合理,严重偏离,对目标实现产生 存在较小范围的不合理,偏离
且存在方向性错误,对目标 消极作用 目标,对目标实现影响轻微
实现产生严重负面作用
业务的持续 对重要业务正常运营或服务 对重要业务正常运营或服务质量产生 对重要业务正常运营或服务质
运营和客户 质量产生灾难性影响,造成 较大影响,造成大范围内一小段时间 量产生轻微的影响,导致小范
服务 大范围内较长时间或者小范 或者小范围内一定时间的服务中断, 围内非常短暂的服务中断或个
围内很长时间的服务中断, 或引发一定程度的客户投诉或少量客 别客户投诉
或引发大规模的客户投诉、 户过激行为
过激行为、重大诉讼
信息披露 错误信息可能会导致内外部 错误信息可能会影响内外部信息使用 对信息准确性有轻微影响,但
信息使用者做出截然相反的 者对于事物性质的判断,在一定程度 不会影响内外部信息使用者的
决策,造成不可挽回的决策 上导致错误的决策,甚至做出重大的 判断
损失 错误决策
声誉影响 负面消息流传世界各地,引 负面消息引起国内公众关注,引发诉 负面消息在当地局部或内部流
起政府或监管机构调查,引 讼,对声誉造成中度损害 传,对声誉造成轻微损害
发重大诉讼,对声誉造成无
法弥补的损害
数据及信息 对系统数据的完整性造成致 对系统数据的完整性具有一定或重大 对系统数据完整性会产生有限
系统 命性威胁,数据的非授权改 影响,数据的非授权改动会给业务运 影响,但数据的非授权改动对
动会对业务运作造成灾难性 作带来一定的损失或对财务数据记录 业务运作及财务数据记录产生
损失。对业务正常运营造成 的准确性产生一定的影响。对业务正 损失轻微。对业务正常运营没
灾难性影响,致使所有业务 常运营造成一定影响,致使业务操作 有直接影响
操作中断,导致客户流失 效率低下,影响客户的服务和产品体
验
综合定性和定量两个方面,对一个或多个控制缺陷的组合,可能导致本行严重偏离控
制目标的,认定为重大缺陷。
(三)内部控制评价的范围
2015年本行RCSA-CSOX范围涵盖银监会要求的八大业务条线、覆盖本行所有业务/管
理流程,包括25个一级流程、158个二级流程。经梳理,确定主要风险点907个,关键控制
活动1221个,涵盖公司层面、流程层面和信息技术层面内容。总行42个部门/事业部及31
家分行参加了对控制活动执行情况的抽样评估。2015年内控稽核独立评价共完成对250个
风险点、304个控制活动的测试,覆盖全部25个一级流程,涉及总行部门/事业部及深圳、
上海、北京、广州、成都、佛山、杭州、天津、宁波、沈阳、珠海、福州、海口、武汉、
青岛、大连分行。纳入独立评价范围单位资产总和占本行合并财务报表资产总额的65%,
营业收入合计占本行财务报表营业收入的55%1。具体评价范围如表1所示。
表 4:2015 年度内部控制评价范围
RCSA-CSOX自评 稽核独立评价
流程
风险点 控制活动 风险点 控制活动
财务报告 18 38 8
1
根据 2014 年公司年报数据统计计算
电子银行 30 36 8
对公贷款 65 82 25
费用管理 10 13 3
个人存款 23 33 8
公司层面 40 61 13
公司存款 27 52 6
固定资产、无形资产管理 17 19 4
离岸业务 26 38 7
理财产品 30 37 12
零售贷款 60 110 14
小企业业务 30 36 9
贸易结算 54 72 15
贸易融资 26 55 11
票据业务 51 61 15
汽车金融 83 103 3
人力资源 23 24 14
税务管理 16 20 7
投融资管理 28 28 6
投资银行 34 37 8
信息科技管理 37 52 13
信用卡 45 60 2
运营管理 31 40 13
资产托管 35 39 8
资金和同业业务 68 75 18
合计 907 1221 250
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主要方
面,不存在重大遗漏。
(四)内部控制评价的特点
2015年本行结合整体战略、监管最新要求,不断优化内控评价工作方法论及管理机
制,全面完成全年工作计划,整体而言,本年度内控评价工作有如下特点:
1、结合整体战略,紧跟监管最新要求,突出本行战略重点。
本行内审项目聚焦战略和重点业务,紧盯信贷、信息科技和合规声誉等突出风险,尤
其是专项审计项目实现了制度、流程、系统、操作过程等全流程审计,并根据内部控制独
立评价的需要,运用内控管理工具,执行内控测试,强化对重点业务、重点风险领域的关
注,加大了对关键风险控制环节测试的覆盖面,提高了内部控制稽核独立评价的全面性和
准确性。同时,本行贯彻落实《商业银行内部控制指引》、《商业银行内部控制管理办
法》、《商业银行内部控制评价指南》等监管文件,制定《关于实施银监会<商业银行内
部控制指引>的规划方案》,充分整合现有资源,形成了以内部审计部门、内控管理职能
部门和业务部门分工协作,覆盖各级机构、各个产品、各个业务的监督检查体系,促进了
战略重点业务内部控制的改进和完善,并推动本行内控管理水平的提升,助力经营效率和
效果的提高。
2、持续优化整合操作风险和内部控制评估体系,规范和标准化内控评价工作流程。
在整合操作风险(RCSA)、上市公司内控评价(CSOX)的基础上,将部门控制检
查体系(DCFC)整体并入操作风险与内部控制自我评估体系,形成一整套动态量化的风
险评估监测机制;以系统为工具推进内控评价、操作风险三大工具管理与评级等风控工作
的线上开展;充分运用RMC系统的过程管理功能,加强过程管控、提升内控评价工作管
理效率,确保内控评价工作成果的质量。
四、建立内部控制体系的工作情况
本行按照法律法规、监管规定和内部制度的要求,建立了组织架构完善、权责清晰、
分工明确、人员配备精良的内部控制组织体系。
董事会负责保证本行建立并实施充分有效的内部控制体系,在法律和政策框架内审慎
经营;负责明确设定可接受的风险水平,保证并监督高级管理层采取必要的风险控制措施
并对内部控制体系的充分性和有效性进行监测和评估。董事会下设审计委员会,在内部控
制管理工作中向董事会提供专业意见,或根据董事会授权就专业事项进行决策。监事会负
责监督董事会、高级管理层完善内部控制体系;监督董事会、高级管理层及其成员履行内
部控制职责。
高级管理层负责建立和完善内部控制组织机构,保证内部控制各项职责得到有效履
行;根据监管规章和董事会确定的可接受的风险水平采取相应的风险控制措施;组织、协
调和监督本行内部控制管理工作,对内部控制体系的充分性和有效性进行监测和评估;向
董事会报告内部控制管理的总体情况、重大风险事件处置情况等。
内控管理委员会作为本行内部控制管理工作的议事与监督管理机构,负责监督、决策
及协调涉及全行内部控制方面的重要事务。
总、分行法律合规部、风险管理部为内部控制管理的职能部门,负责牵头全行内部控
制的统筹规划,与监管部门衔接内部控制的监管和评价要求,定期检视内部控制管理的执
行情况,培育良好的企业内部控制文化,通过实施内控绩效考评改进内部控制管理,跟踪
报告全行内部控制及管理情况。
稽核监察部为内部审计部门,履行内部控制监督职能,负责对内部控制的充分性和有
效性进行审计,及时报告并监督整改审计发现问题。
总、分行各业务/职能部门/事业部对本机构内部控制的风险防控负首要责任,负责贯
彻执行内控制度并推动落实本部门各项内控措施和内控保障;制定并落实与自身职责相关
的业务制度和操作流程;梳理工作流程,识别、评估风险点及影响,定期组织开展监督检
查,并建立有效的信息沟通机制;负责组织开展内控监督和检查,强化内控文化建设,提
高员工内控意识。
五、内部控制的基本框架
(一)内部环境
1、公司治理
本行按照《公司法》、《商业银行法》、《证券法》等有关法律法规和证监会、银监
会的监管要求,致力于不断健全公司治理机制,完善公司治理结构。
本行建立了包括公司章程、股东大会议事规则、董事会及其各专门委员会议事规则、
监事会及其各专门委员会议事规则、信息披露事务管理制度、投资者关系工作制度、董事
监事和高级管理人员所持本行股份及其变动管理办法、内幕信息及知情人管理制度、年报
信息披露重大差错责任追究制度、防范大股东及其关联方资金占用制度、董监事履职评价
办法等多项公司治理制度。报告期内,根据相关监管规定及实际情况,本行进一步修订了
董事会各专门委员会工作细则及本行关联交易管理办法。董事会设立战略发展委员会、审
计委员会、风险管理委员会、关联交易控制委员会、提名委员会、薪酬与考核委员会等专
门委员会。各专门委员会向董事会提供专业意见或根据董事会授权就专业事项进行决策,
保持了较高的运作效率。截至 2015 年 12 月 31 日,本行董事会由 14 名董事组成,其中独
立董事 5 名;监事会由 7 名监事组成,其中职工代表监事 3 名,外部监事 3 名,股东代表
监事 1 名。
2、组织架构
本行管理决策部门主要包括股东大会、董事会及审计委员会、监事会、高级管理层。
股东大会、董事会、监事会分别按照职责行使表决权、决策权和监督权。董事会负责保证
建立并实施充分有效的内部控制体系,明确设定可接受的风险水平,监督高级管理层采取
必要的风险控制措施;董事会下设的审计委员会具体负责确定本行的内控管理方向,制定
内控政策,审查、监督内部控制的有效实施。监事会负责监督董事会、高级管理层完善内
部控制体系,履行内部控制职责。高级管理层负责建立系统化的制度体系,完善内部管理
组织架构,组织、协调、监督内部控制管理工作有效运行。
为全面管理和经营银行各类风险,完善公司治理结构,本行设立风险管理委员会作为
全面风险管理常设机构,管理内容涵盖银监会资本管理办法规定的第一支柱的信用风险、
操作风险和市场风险;第二支柱的战略风险、声誉风险以及第三支柱的信息披露、报告等
风险,由银行执行委员会领导,在强化内控管理的基础上有效支持业务创新和发展。
截至 2015 年 12 月 31 日,本行共设置 52 个总行业务/职能部门/事业部、54 家分行,
997 家营业机构。
3、发展战略
本行在董事会的领导下,围绕“三步走”战略部署和五年发展规划,秉承“对外以客
户为中心,对内以人为本”的理念,坚持外延式扩张和内涵式增长并举的发展策略,发挥
专业化、集约化、综合金融、互联网金融优势,确定以质效提升为中心,推动分行转型,
深化事业部改革,建立强大的中后台协同能力和支持保障体系,致力于打造精品金融、智
慧金融、生态金融,推动公司、投行、资金同业、零售、小企业五大版块业务协同发展,
实现发展规模稳定增长,经营效益稳步提升,业务结构更加和谐,发展质量稳定可控,管
理能力显著提升,科技水平领先同业,客户和员工体验不断改善,品牌影响力持续扩大,
最终成为“积极进取、特色鲜明、管理先进、效益最佳”的中国最佳商业银行。
2015 年是本行《五年发展战略规划》实施的第三年,业务经营和管理效率均取得显
著成效,四轮驱动协同并进,管理变革初见威力,体制改革激发了活力,机制调整解放了
生产力,文化品牌影响力持续提升,员工信心大幅提振,独特的竞争优势正逐步形成。
本年度本行荣获了 2014 年度“最受投资者尊重的百强上市公司”、“年度最佳股份
制银行”、“年度最具投资价值上市公司”、“年度十大最具影响力全国性商业银行”;
2015 年度“年度最佳股份制银行”、“年度十佳互联网金融创新银行”、“最佳理财产
品创新银行”、“中国最具创新力供应链金融服务品牌”、“全国性商业银行核心竞争
力”第 3 名,以及“最佳产品创新银行”、“最佳金融创新奖”、“最佳资产托管银行”
等多个奖项。
4、人力资源
根据战略规划,本行持续落实人才梯队建设工程,制定有利于可持续发展的人力资源
政策。在招聘、选拔、激励人才的过程中,坚持“竞争、激励、淘汰”的一贯政策,将职
业道德和专业胜任作为人员的评判标准,人力配备和激励政策向一线倾斜,并对与风险相
关的一线人员执行奖金递延的分配政策。
本行致力于建立科学、系统的绩效考核指标体系,不断提升组织绩效管理工作的科学
性和规范性,客观、公平、准确考核评价工作成效。本年度大力推动平衡计分卡的应用,
将其作为中后台部门绩效考核的主要依据,并将两率考核激励机制与平衡计分卡融合,全
面评价经营单位的管理过程和经营成果。本行贯彻落实“竞争、激励、淘汰”机制,建立
绩效考核制度,通过目标制定、日常检视与辅导、绩效考核与反馈、绩效考核运用,驱动
个人目标与银行总体目标紧密结合并努力实现,促进团队追求卓越。同时,合理设置合规
内控指标,加大案防、合规考核力度,将发案情况、重大违规与风险案件、反洗钱和操作
风险管理等纳入绩效考评范围,引导全行稳健、合规经营。
5、社会责任
本行积极履行和实践企业社会责任的价值标准和行为准则,坚持诚信合规经营,维护
客户利益,为社会提供优质金融产品和服务,保障员工合法权益,注重环保,热心公益,
努力回馈社会,争做一个合格的企业公民。本行重新修订了《平安银行企业社会责任信息
报告制度》,建立企业社会责任管理与品牌管理相结合的工作机制,形成董事会和高级管
理层直接领导、总行办公室牵头协调、总行各部门共同参与、各分支行负责推进、全民参
与的社会责任管理架构和工作格局。
(二)风险评估
本行建立了集中、垂直、独立的全面风险管理架构,持续秉持“风险管理与业务发展
并重”的原则,坚持“深化转型、持续创新、优化资源、控制风险”,深入推进与落实战
略转型,建立适应创新和业务转型的组织架构、制度体系、流程系统、管理工具和风险文
化,有效提升全面风险管理能力。
本行围绕全面风险管理战略,坚持“变更、创新、发展”的理念,以“风险为本”为
原则,积极推进巴塞尔新资本协议的落地实施。按照新资本协议实施规划,本行现处于新
资本协议框架第一支柱的建设阶段,已逐步完成对信用风险、市场风险、操作风险管理的
模型化、定量化计量,风险计量渐趋谨慎、周密,方法更趋科学。已全面搭建了信用风险
内部评级体系和组织架构,基本完成了非零售和零售内部评级模型建设,对公内评系统、
零售内评系统及信用卡内评系统均已上线运行,为开展风险参数量化、资本计量和评级应
用奠定了基础。市场风险的识别、计量、监测、报告均已通过市场风险内模法体系建设得
到完善,市场风险的计量结果逐渐贯穿运用于各类管控工具,且逐步实现系统化控制,在
满足监管报告的前提下,通过提供多维度的内部分析报表,较好满足了内部管理的需要。
已建立以“三道防线”为基础、符合业务发展及风险管理需要的操作风险管理治理架构;
建立以基本制度、一般制度和操作规范为基础的操作风险政策制度框架,并配套出台了一
系列操作风险管理制度、流程;组织开展了全行操作风险管理体系检视、评估和完善,推
进资本计量高级方法预评估申请;进一步提升操作风险管理三大工具的运用深度、覆盖广
度及实施效果,不断提高全行操作风险管理的工作效率和信息化水平。同时,有序提升业
务连续性管理,完善外包风险管理制度,强化操作风险管理工作监督和评价,全行操作风
险识别、评估、监测及控制/缓释能力得到有效提升,报告期内未发生监管定义的重大操
作风险事件。
本行高度重视流动性风险管理,持续完善流动性风险管理框架和策略,细化流动性风
险管理制度和应急预案,有效识别、计量、监测和控制流动性风险;通过定期开展流动性
风险压力测试,审慎评估未来流动性需求,加强各相关部门之间的沟通和协同,提高流动
性风险的应对效率。
本行围绕经营发展战略,按照“全面风险管理”战略和建设“强大总行”的工作要
求,不断完善案防合规体系,推动条线、行业事业部建立案防合规组织架构和协同工作机
制,强化基层机构案防工作实效;实施“主动提前介入、过程管控、合规评审后评估”的
评审流程,强化与创新业务相适应的合规评审管理;建立信访举报热线,明确案件处理流
程,完善信访举报、案件处置及问责制度,报告期内实现了无重大案件、无重大洗钱风险
事件的目标,为各项业务健康、稳健发展提供了有效的合规支持,进一步夯实了风险防控
基础。本行根据全面风险管理战略的总体部署,围绕事前风险防范、事中风险控制、事后
风险化解三个层次,建立制度化、规范化、系统化的法律风险管理机制。通过修订法律文
本与审查管理制度,完善全行各类格式合同,从规范制度和流程方面增强法律风险的防
范、控制与化解能力,持续提升全行法律风险管控水平。
本行持续完善声誉风险管理制度,通过开展事前排查,加强声誉风险前置管理;通过
优化舆情监测机制,提升声誉风险管理的主动性;通过强化危机应对系统,并将声誉风险
纳入全行风险考评,夯实了声誉风险管理基础。
本行按照监管要求制定了《平安银行国别风险管理办法》,明确规定国别风险管理职
责、管理手段和工作流程,建立规范的国别风险管理体系。通过动态监测国别风险变化,
认真做好国别风险评级、限额管理、监测预警和国别风险准备金计提工作。
(三)控制活动
根据《平安银行 2015 年实施银监会<商业银行内部控制指引>规划方案》,本行围绕
制度管理、风险监控、系统控制、职责权限和人员管理以及各专业领域控制活动,落实内
外部管理要求,检视内部控制措施的合理性和充分性,完善和强化内部控制保障体系,为
业务持续、健康发展奠定基础。
1、制度管理。梳理整合内部规章制度,形成以业务流程为主线的“条线-部门-产品/
业务”三级制度体系,并建立定期检视机制;引入“一图两表”工具,编制合规手册,将
合规意识渗透到每位员工的工作中,不断推进制度管理的体系化、流程化、系统化。
2、风险监控。运用操作风险与内部控制先进技术和工具(RCSA-CSOX、LDC、
KRI),识别、评估业务和管理活动的风险,并通过持续更新、日常评估测试及专项评
估,实现对主要风险及控制活动的持续监控。
3、系统控制。以业务系统为基础,配套渠道、客户、产品、风险监测、数据分析等
多个维度的管理系统,建设以流程银行为体系的应用系统,基本实现对业务从事前(如交
易事实的有效性校验、审批等)到事中(如业务流程控制,授权机制等)再到事后(如事
后监督、各类报表等)的系统操作和管理,达成对业务和管理活动的系统自动控制。
4、职责权限和人员管理。通过明确职责和权限,形成规范的部门、岗位职责说明及
报告路线,并建立动态更新和调整的授权体系,加强对员工异常行为的排查,建立“职能
独立铁律”,确保不相容岗位分离与制衡,并实行重要岗位轮岗和强制休假制度。
5、专业领域控制活动。制定《平安银行基本会计制度》及财务管理、费用管理、业
务会计核算等制度和操作流程,规划会计确认、计量和报告行为,确保财务会计信息真
实、可靠、完整;建立账务核对、监控制度,定期对各种账证、报表进行核对,对现金、
有价证券等有形资产和重要凭据进行盘点;明确新机构建设流程和要求、新产品评审职责
权限和程序规则等,规范全行产品风险管理,落实风险管理前移的要求,有效支持产品创
新;完善客户投诉管理办法和渠道,明确投诉处理的职责和流程,并定期汇总分析投诉反
映事项,改进客户服务和管理;制定《平安银行外包风险管理办法》,明确外包风险管理
架构和职责分工;明确全行业务连续性管理架构及管理要求,并制定与业务规模和复杂性
相适应的应急和业务连续方案,加强应急演练,不断提升业务连续性管理水平和应急处理
能力;建立由安全策略、方针、标准、基线和流程等构成的信息安全制度体系,对各类信
息实施分等级安全管理,对信息系统访问实施权限管理,覆盖了物理、网络、应用、数
据、终端、访问控制、电子银行安全等各方面的安全控制需求。
(四)信息与沟通
本行董事长、行长是公司信息披露的责任人,董事会秘书负责具体协调和组织信息披
露事务。本行通过制定信息披露事务管理制度,明确信息披露职责、程序及管理措施,完
善信息披露的风险控制机制,确保披露的信息真实、准确、完整、及时、公平。本行建立
了重大事项及突发事件报告制度,规范了案件(风险)信息的报告报送,加强与监管机构
的信息传递,确保按照监管要求如实报告相关信息。
本行将有效的信息沟通作为完善公司治理的一项重要内容加以落实,明确了信息报送
职责,规范了信息传递工作机制,总、分行各业务部门负责建立有效的信息沟通机制,确
保董事会、监事会、高级管理层、内控管理职能部门能够及时了解所辖的经营和风险状
况,确保机构和员工及时了解到其职责相关的制度和信息。总行稽核监察部负责向总行管
理层及相关部门传递监管信息。董事会及审计委员会每年至少召开四次定期会议,管理层
必须就重大信息报告董事会及审计委员会,使其能够充分、适时的获取有关重要信息;监
事会建立了信息收集制度,保证监事会对本行重要信息的知情权,进一步完善了董事会、
监事会、高级管理层及其成员的信息沟通及共享机制。
总行办公室负责本行管理信息的汇集、整合、加工、发布,通过电视晨会,向全行传
导本行重要新闻、业务政策,交流分享工作经验;通过在内网办公平台设置平安要闻、高
管动态、分行风采、文化生活等版块,与各级机构共享管理信息和业务动态。各分行也设
置了自有主页,发布分行相关信息,与总行和行内其他机构共享。同时,本行建立了高效
安全的电子化内部审批、信息传递、事务督办渠道,保证了信息交流与反馈的顺畅、及
时、保密。
(五)内部监督
本行建立了独立、垂直的内审架构和管理体系,能够保证总、分行稽核监察部在首席
审计官的直接领导下,独立、客观地履行内部监督职责。本年度内审部门坚持“风险导
向、服务发展”的理念,加速推进审计手段和方式
