公司代码:601166 公司简称:兴业银行
兴业银行股份有限公司
2015 年度内部控制评价报告
兴业银行股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和银监会《商业银行内部控制指引》等其他内
部控制监管要求(以下简称企业内部控制规范体系),结合本公司(以下简称公司)内部控制制度和评
价办法,在内部控制日常监督和专项监督的基础上,我们对公司2015年12月31日(内部控制评价报告基
准日)的内部控制有效性进行了评价。
一. 重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内
部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织
领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存
在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法
律责任。
公司内部控制的目标是: 合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,
提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提
供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降
低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二. 内部控制评价结论
1. 公司于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2. 财务报告内部控制评价结论
√有效 □无效
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内
部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保
持了有效的财务报告内部控制。
3. 是否发现非财务报告内部控制重大缺陷
□是 √否
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务
报告内部控制重大缺陷。
4. 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素
□适用√不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论
的因素。
5. 内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致
√是 □否
公司聘请德勤华永会计师事务所(特殊普通合伙)对本公司的内部控制进行独立审计。内部控制审
计意见与公司对财务报告内部控制有效性的评价结论一致。
6. 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致
√是□否
三. 内部控制评价工作情况
(一). 总体情况
公司成立了由总行行领导和主要部门负责人为领导小组成员的内控评价体系建设工作小组,负责内
部控制评价过程中有关重大事项的决策、指导、协调等工作。总行法律与合规部负责牵头组织内部控制
自我评价工作的具体实施。公司内部审计部门负责对公司的内部控制状况实施独立监督和评价,在管理
层自我评价的基础上,对公司整体内部控制的有效性进行再评价,出具独立评价意见。
(二). 内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
1. 纳入评价范围的主要单位包括:公司各职能部门、分支机构以及兴业金融租赁有限责任公司、兴
业国际信托有限公司、兴业基金管理有限公司、兴业消费金融股份公司等控股子公司
2. 纳入评价范围的单位占比:
指 标 占比(%)
纳入评价范围单位的资产总额占公司合并财务报表资产总额之比
纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比
3. 纳入评价范围的主要业务和事项包括:
纳入评价范围的主要业务和事项涉及公司企业层面、信息科技层面和流程层面。其中,企业层面包
括内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素,33 个评价子领域;信息
科技层面包括信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和投产、信息科技运行
管理、连续性管理、外包服务管理等 7 个方面,35 个评价子领域;流程层面覆盖公司业务、零售业务、
同业业务、投行业务、资产管理、资金业务、中间业务、支付结算、运营管理、财务管理、资产负债管
理等业务及管理领域。
4. 重点关注的高风险领域主要包括:
公司业务、零售业务、同业业务、资金业务、中间业务、支付结算、信息科技运行管理等。
5. 上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,是否存
在重大遗漏
□是√否
6. 是否存在法定豁免
□是 √否
7. 其他说明事项
无。
(三). 内部控制评价程序和方法
报告期内,公司严格遵照企业内部控制规范体系,以及公司内部控制评价相关制度规定的程序,开
展内部控制自我评价工作。一是总行各部门(含控股子公司)依据部门职责开展企业层面、信息科技层
面和流程层面相关领域的内控自评工作,各分行基于总行下发的标准测试底稿模板对重点业务流程的内
控有效性进行测试,同时对内外部检查、审计发现的内控缺陷实施整改测试。评价过程中,主要采用了
访谈、调查问卷、专题讨论、穿行测试、实地抽检等评价工具和方法,广泛收集内部控制有效性相关证
据,认真填写评价工作底稿,分析识别内部控制缺陷,及时落实缺陷整改。为了提升内控自评质效,公
司制订了缺陷分类、整改及内控有效性认定标准,并对部分机构开展非现场复评,引导各级机构准确识
别缺陷,保证缺陷整改质量。二是总行法律与合规部对各级机构内控自评组织实施情况进行跟踪辅导,
及时掌握公司内部控制管理状况,出具管理层内部控制自我评价报告。三是公司内审部门对内部控制状
况实施独立的监督,在管理层内部控制自我评价的基础上,对公司整体内部控制的有效性进行再评价,
编制本公司2015年度内部控制评价报告,经董事会审议通过后对外披露。
(四). 内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及银监会《商业银行内部控制指引》、《上海证券交易所上市公司内
部控制指引》等有关规定,并根据《兴业银行股份有限公司内部控制基本制度》、《兴业银行内部控制评
价管理办法》等制度,组织开展内部控制评价工作。
1. 内部控制缺陷具体认定标准是否与以前年度存在调整
□是√否
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规
模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确
定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。
2. 财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准如下:
指标名称 重大缺陷定量标准 重要缺陷定量标准 一般缺陷定量标准
资产及负债类科 错报>资产总额的 0.09% 资产总额的 0.005%<错报 错报≤资产总额的 0.005%
目潜在错报 ≤资产总额的 0.09%
所有者权益类科 错报>所有者权益的 1.6% 所有者权益的 0.1%<错报 错报≤所有者权益的 0.1%
目潜在错报 ≤所有者权益的 1.6%
损益类科目潜在 错报>利润总额的 6% 利润总额的 0.38%<错报 错报≤利润总额的 0.38%
错报 ≤利润总额的 6%
说明:
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报告内部控制缺陷主要是
指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。
内部控制缺陷可能导致或导致的损失与上述项目相关的,以相应的标准衡量;如损失同时与上述多
个项目相关的,按孰低原则确定适用的标准。
公司确定的财务报告内部控制缺陷评价的定性标准如下:
缺陷性质 定性标准
重大缺陷 一个或多个内部控制缺陷的组合,可能导致不能及时防止或发现并纠正财务报告中
的重大错报。存在重大缺陷的迹象包括:公司董事、监事或高级管理人员存在舞弊
行为;公司更正已公布的财务报告;注册会计师发现的未被公司内部控制识别的当
期财务报告中的重大错报;公司审计与关联交易控制委员会、内部审计部门对公司
财务报告内部控制的监督无效。
重要缺陷 一个或多个内部控制缺陷的组合,可能导致不能及时防止或发现并纠正财务报告中
虽不构成重大错报但仍应引起管理层重视的错报。存在重要缺陷的迹象包括:未依
照公认会计准则选择和应用会计政策;未建立反舞弊程序和控制措施;对于非常规
或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性
控制;对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财
务报表达到真实、完整的目标。
一般缺陷 不构成重大缺陷或重要缺陷的其他内部控制缺陷。
说明:
3. 非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准如下:
指标名称 重大缺陷定量标准 重要缺陷定量标准 一般缺陷定量标准
直接财产损失 直接财产损失>所有者权 所有者权益的 0.1%<直接 直接财产损失≤所有者权
益的 1.6% 财产损失≤所有者权益的 益的 0.1%
1.6%
说明:
非财务报告内部控制是指针对除财务报告目标之外的战略目标、资产安全、经营目标、合规目标等
其他目标的内部控制。公司非财务报告内部控制缺陷认定主要依据缺陷涉及业务性质的严重程度、直接
或潜在负面影响的性质、影响的范围等因素来确定。
公司确定的非财务报告内部控制缺陷评价的定性标准如下:
缺陷性质 定性标准
重大缺陷 一个或多个内部控制缺陷的组合,可能给公司带来重大操作风险、合规风险或声誉
风险,可能导致公司严重偏离内部控制目标。存在重大缺陷的迹象包括:公司缺乏
科学决策程序;严重违反国家法律、法规并受到处罚;关键岗位人员流失严重,影
响业务正常开展;媒体负面新闻频现;重要业务缺乏制度控制或系统失效;内部控
制重大缺陷未得到整改。
重要缺陷 一个或多个内部控制缺陷的组合,其严重程度和经济后果低于重大缺陷,如不加以
改进将可能导致合规风险或声誉风险,且仍有可能导致公司偏离内部控制目标。存
在重要缺陷的迹象包括:公司决策程序存在但不够完善;严重违反公司内部规章并
形成损失;关键岗位人员流失较为严重;媒体出现负面新闻并波及局部区域;重要
业务制度或系统存在缺陷;内部控制重要缺陷未得到整改。
一般缺陷 不构成重大缺陷或重要缺陷的其他内部控制缺陷。这些缺陷相关影响程度较低,主
要是有悖最佳操作原则和可能导致效率低下的做法,不太可能导致合规风险或声誉
风险。
说明:
(五). 内部控制缺陷认定及整改情况
1. 财务报告内部控制缺陷认定及整改情况
1.1. 重大缺陷
报告期内公司是否存在财务报告内部控制重大缺陷
□是√否
1.2. 重要缺陷
报告期内公司是否存在财务报告内部控制重要缺陷
□是 √否
1.3. 一般缺陷
公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内,不会对公司的资产安全、发展战
略和经营目标的实现、财务信息的准确性和完整性、风险管理体系的有效性等造成实质性影响,不会导
致公司偏离控制目标,并且已经制定了具体的方案和措施认真落实整改。
1.4. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重大
缺陷
□是√否
1.5. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重要
缺陷
□是√否
2. 非财务报告内部控制缺陷认定及整改情况
2.1. 重大缺陷
报告期内公司是否发现非财务报告内部控制重大缺陷
□是√否
2.2. 重要缺陷
报告期内公司是否发现非财务报告内部控制重要缺陷
□是 √否
2.3. 一般缺陷
公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内,不会对公司的资产安全、发展战
略和经营目标的实现、财务信息的准确性和完整性、风险管理体系的有效性等造成实质性影响,不会导
致公司偏离控制目标,并且已经制定了具体的方案和措施认真落实整改。
2.4. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
大缺陷
□是√否
2.5. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
要缺陷
□是√否
四. 其他内部控制相关重大事项说明
1. 上一年度内部控制缺陷整改情况
√适用 □不适用
公司 2014 年度所发现内部控制缺陷均为一般缺陷。为有效落实整改,公司制定了具体的整改方案,
指定整改责任部门,合理分配整改资源,强化跨条线、跨部门缺陷整改的统筹协调。在具体缺陷的整改
中,对于设计缺陷问题,主要通过完善制度、流程或系统控制以消除潜在风险;对于运行缺陷问题,在
采取补救措施的同时,着重提升执行的有效性,并在整改措施运行一定期间后进行补充抽样,以验证整
改效果。公司通过制度完善、系统硬控制、风险通报、案例提示、业务培训、考核问责等多种方式与手
段,有效促进了缺陷的实质整改,进一步提升了公司内部控制有效性。
2. 本年度内部控制运行情况及下一年度改进方向
√适用 □不适用
2015 年,公司认真贯彻各项经济金融方针政策,坚持“稳发展、保安全、促转型”的基本工作主
线,在深入推进改革转型的同时,大力夯实发展基础,稳妥推进各项管理改革,风险合规内控和运营支
持保障体系建设全面加强,内控管理水平进一步提升。报告期内,公司高度重视内部控制建设,围绕内
部环境、风险评估、控制活动、信息与沟通、内部监督等方面不断加强和完善内部控制机制,为公司的
持续稳健发展提供了良好保障。
(1)内部环境
报告期内,公司进一步完善公司治理,由股东大会、董事会、监事会和高级管理层共同构建的公司
治理结构运行顺畅,“三会一层”各治理主体议事规则规范,职责权限分工明确、制衡有效。报告期内,
公司持续强化董事会决策和监事会监督职能,定期组织召开股东大会、董事会、监事会等,在五年规划、
年度计划、风险管控、责任追究、综合化经营布局等重大方面有效发挥决策和监督职能。进一步加强董
监事履职能力建设,组织参加监管座谈、互联网与企业金融、环境金融、五年规划、资产质量调研和投
资者交流活动,开展内控管理和特殊资产管理审计调查,增进董监事对公司经营管理情况的了解。本年
度,公司市场地位和品牌形象进一步提升,荣获权威机构颁发的“2015 中国上市公司卓越董事会(主
板)”、“亚洲最佳股东回报银行”,以及“年度金牛最强盈利公司”、“年度金牛上市公司百强”、“年度最
受投资者尊重的百家上市公司”等称号。
报告期内,公司启动员工合规档案管理工作,开发上线员工合规档案信息平台,进一步提升员工遵
章守纪、合规经营的意识,全面培育公司良好内控合规文化,促进各项业务健康持续发展。
报告期内,公司不断提升社会责任专业化管理能力。重点优化社会责任关键指标体系,加强对业务
可持续发展的支持作用;编制公司年度可持续发展报告暨赤道原则执行报告以及社会责任专刊,加强利
益相关方沟通并增加社会责任信息披露传播渠道;完成公司绿色信贷内控检查与自我评价工作,并持续
开展“企业社会责任与银行可持续发展”课题研究。凭借公司长期以来在履行社会责任方面的杰出表现,
公司在中国银行业协会举办的社会责任工作表彰会上荣获“年度最具社会责任金融机构奖”、“年度最佳
绿色金融奖”和“年度最佳社会责任管理者奖”。
(2)风险评估
报告期内,公司持续完善风险管理组织体系建设,在保持相对独立、相互制衡的基础上,强化风险
管理与业务发展的有机结合、高效衔接,不断提高风险管理的专业性、管控有效性和市场敏感性,推动
各项业务持续健康发展。
报告期内,公司构建企业金融风险预警系统,以不良客户风险行为研究分析为基础,借助大数据等
信息科技手段,在客户营销、尽职调查、审查审批、存续期管理等业务办理流程中实现对内外部重点风
险信息的自动收集、整合、量化分析,有效提高风险识别与监测能力。
报告期内,公司在现有五级风险分类基础上,建立重点监测资产池管理体系,进一步加强公司信用
风险精细化管理,强化对不良资产趋势的研判,准确反映资产质量。
报告期内,公司进一步加强市场风险监督、管理和控制,制订了《市场风险限额管理办法》,不断
完善与公司风险管理能力和资本实力相匹配的市场风险管理体系。
报告期内,公司持续推进新资本协议建设工作,一是完善配套制度建设,在制度层面保障公司新资
本协议各项工作的顺利开展;二是开展资本计量高级方法自评估项目,启动信用风险内评体系和市场风
险内模体系验证项目,完成非零售内部评级系统二期以及操作风险管理系统的上线与推广工作;三是完
善新资本协议文档管理工作,通过相关文档的全面收集整理和后续统一管理,提高文档的统一化管理水
平。
(3)控制活动
授信业务方面,一是制定年度授信政策,指导各级分支机构继续执行有区别的授信政策,积极支持
实体经济发展,优化信贷资源配置。二是加强统一授信管理,明确主体授信、债项授信相关流程及要求,
加快统一授信管理系统建设,促进统一授信、风险总控有效落实。三是建立以授信经营责任为核心的工
作机制,明确经营部门各职级人员的风险管理责任,加强全员、全流程风险管理,建立、健全责任范围
和责任约束机制,强化过程问责和结果问责,有效防范授信业务风险。四是升级押品管理系统,实现了
押品估值流程和频率的动态监控,有效提升企金业务抵质押品管理水平。
存款与柜面业务方面,积极运用“体制机制建设”、“系统平台建设”、“制度规范建设”、“专业检查
监督”四大管理手段,进一步加强会计内控和柜面操作风险的管理。一是加快推进集中作业体系建设,
制订了《分行作业中心建设管理办法》,进一步规范分行作业中心建设与业务开展,统一内部组织架构
及集中业务品种,强化内控措施,保障各项业务准确、合规办理,防范业务操作风险。二是建设非现场
会计监控系统平台。进一步完善会计风险监控系统功能,增加和优化预警模型,扩大预警监督覆盖面,
增强系统对非现场检查监督工作的支持作用;同时,着手建设会计检查数据分析系统,通过非现场检查
数据分析,有效提高检查监督工作的质量和效率。
中间业务和新兴业务方面,一是按照“逐层推进、灵活调整、差异授权、统筹管理”的原则不断完
善内部管理和风控体系,建立创新业务联席评审机制,强化公司业务创新与风险管理的有机融合及高效
衔接。二是制订了《新产品(新业务)操作风险评估操作规程》,规范新产品(新业务)操作风险的评
估程序,保障各类新产品(新业务)的经营绩效并有效提升操作风险管理水平。三是规范新兴业务系统
的建设与管理,制订《新兴业务系统建设管理办法》,明确各相关单位的职责分工和工作内容,促进系
统更好地支持业务发展。四是建设金融市场信息平台系统,进一步增强同业业务的精细化、规范化管控
能力,有效提升同业业务相关数据质量及内部管理水平。
财务会计方面,一是启动财务集中核算工作,实现财务核算的集中化、标准化、流程化处理,进一
步优化财务核算管理流程,强化支出行为控制。二是制订《人民币存款利率管理办法》,进一步规范公
司人民币存款利率管理,建立健全存款利率定价机制,增强存款利率定价能力和利率风险管理能力。三
是制订《理财产品会计后台业务操作规程》,进一步规范理财产品会计后台业务操作与核算,有效防范
操作风险,加强实质性风险控制,进一步强化对理财业务的会计监督作用。
信息科技方面,一是建设 IT 风险管理系统,对公司信息科技风险实行统一管理、集中管理、主动
管理和重点管理,进一步提升公司信息安全风险防范能力,保障信息系统安全稳定持续运行。二是将信
息科技风险纳入全面风险管理体系,通过优化组织架构、明确职责分工,逐步完善信息科技风险治理模
式。
(4)信息与沟通
报告期内,公司持续完善信息交流与反馈机制。一是制订了《资本充足率信息披露管理办法》,进
一步规范和加强资本充足率信息披露工作。二是制订《总行业务条线总部工作规则》,规范业务条线总
部工作秩序,提高总部运作和管理水平,提升工作效率。三是充分发挥总行风险管理联席会议机制的作
用,强化总行风险管理部门与各业务条线风险管理部门、专业经营部门风险管理窗口之间的沟通、协作
和交流,以及重要管理事项的协调与落实。
(5)内部监督
报告期内,公司全面梳理监督检查体系现状,制订全行监督检查体系建设方案,并着手规划“全行
检查信息系统”建设,进一步加强对监督检查工作的统筹协调,强化对重点业务领域的检查监督力度,
推动检查监督工作的专业化、常态化,在避免检查盲区的同时,尽量减少重复检查和检查资源浪费,提
升检查质效。
报告期内,公司内部审计部门积极应对宏观经济形势及外部监管环境变化,综合运用现场审计和非
现场审计查证手段,在保证对机构审计覆盖率的基础上,持续加大对热点业务的风险性、合规性的审计
力度;加强对审计成果的提炼与运用,通过对审计发现的分类梳理与专题分析,提请公司管理层及相关
管理部门对风险隐患予以关注。同时,不断改进问责工作机制,着力提高问责工作的力度,有效推动问
责工作在公司日常监督管理和各项检查工作中的常态化开展。
2016 年,公司将积极应对形势变化,结合公司内部管理和业务发展的需要,进一步完善内控管理
体制,规范内控制度执行,强化内部检查监督,通过更加细致完善的内控措施与管理手段,进一步增强
各类风险防范能力,提升内部控制管理能力与水平,为公司持续健康发展提供有力保障。
3. 其他重大事项说明
□适用 √不适用
董事长(已经董事会授权):高建平
兴业银行股份有限公司
2016年4月27日
