读取中,请稍候

公司代码：601166                                                公司简称：兴业银行
                            兴业银行股份有限公司
                        2016 年度内部控制评价报告
兴业银行股份有限公司全体股东：
     根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称企业内部
控制规范体系），结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项
监督的基础上，我们对公司2016年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。
一. 重要声明
     按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内
部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织
领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存
在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法
律责任。
     公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提
高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供
合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，
根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二. 内部控制评价结论
1.   公司于内部控制评价报告基准日，是否存在财务报告内部控制重大缺陷
     □是 √否
2.   财务报告内部控制评价结论
     √有效 □无效
     根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内
部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保
持了有效的财务报告内部控制。
3.   是否发现非财务报告内部控制重大缺陷
     □是 √否
     根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务
报告内部控制重大缺陷。
4.   自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素
     □适用 √不适用
     自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论
的因素。
5.   内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致
     √是 □否
6.   内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致
     √是 □否
三. 内部控制评价工作情况
(一).    内部控制评价范围
     公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
1. 纳入评价范围的主要单位包括：公司各职能部门、分支机构以及兴业金融租赁有限责任公司、兴
业国际信托有限公司、兴业基金管理有限公司、兴业消费金融股份公司、兴业经济研究咨询股份有限公
司、兴业数字金融服务股份有限公司等附属机构。
2.   纳入评价范围的单位占比：
                                指标                                         占比（%）
纳入评价范围单位的资产总额占公司合并财务报表资产总额之比
纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比
3.   纳入评价范围的主要业务和事项包括:
     内控评价范围覆盖公司主要业务流程和管理活动，通过内控测试及检查监督评价两种方式进行。
     内控测试范围包括：企业层面评估、信息科技层面评估和流程层面评估。其中，企业层面包括内部
环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素，35 个评价子领域；信息科技层
面包括信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和投产、信息科技运行管理、
连续性管理、外包服务管理等 7 个方面，35 个评价子领域；流程层面覆盖对公贷款、非标投资、债券
承销、同业授信、票据转贴现、银票开立、银票贴现、个人贷款、现金出纳及对公存款等业务及管理领
域。检查监督评价范围包括本年度内外部检查、审计等检查监督方式发现的内控缺陷。
4.   重点关注的高风险领域主要包括：
     公司业务、零售业务、同业业务、资金业务、中间业务、支付结算、信息科技运行管理等。
5.   上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，是否存
     在重大遗漏
     □是 √否
6.   是否存在法定豁免
     □是 √否
7.   其他说明事项
     无
(二).     内部控制评价工作依据及内部控制缺陷认定标准
     公司依据企业内部控制规范体系及银监会《商业银行内部控制指引》、《上海证券交易所上市公司内
部控制指引》等有关规定，并根据《兴业银行股份有限公司内部控制基本制度》、《兴业银行内部控制评
价管理办法》等制度，组织开展内部控制评价工作。
1.   内部控制缺陷具体认定标准是否与以前年度存在调整
     □是 √否
     公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规
模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确
定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。
2.   财务报告内部控制缺陷认定标准
     公司确定的财务报告内部控制缺陷评价的定量标准如下：
     指标名称         重大缺陷定量标准          重要缺陷定量标准          一般缺陷定量标准
资产及负债类科     错报＞资产总额的 0.09%    资产总额的 0.005%＜错报   错报≤资产总额的 0.005%
目潜在错报                                   ≤资产总额的 0.09%
所有者权益类科     错报＞所有者权益的 1.6%   所有者权益的 0.1%＜错报   错报≤所有者权益的 0.1%
目潜在错报                                   ≤所有者权益的 1.6%
损益类科目潜在     错报＞利润总额的 6%       利润总额的 0.38%＜错报    错报≤利润总额的 0.38%
错报                                         ≤利润总额的 6%
说明:
     财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报告内部控制缺陷主要是
指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。
     内部控制缺陷可能导致或导致的损失与上述项目相关的，以相应的标准衡量；如损失同时与上述多
个项目相关的，按孰低原则确定适用的标准。
     公司确定的财务报告内部控制缺陷评价的定性标准如下：
     缺陷性质                                       定性标准
重大缺陷           一个或多个内部控制缺陷的组合，可能导致不能及时防止或发现并纠正财务报告中
                   的重大错报。存在重大缺陷的迹象包括：公司董事、监事或高级管理人员存在舞弊
                   行为；公司更正已公布的财务报告；注册会计师发现的未被公司内部控制识别的当
                   期财务报告中的重大错报；公司审计与关联交易控制委员会、内部审计部门对公司
                   财务报告内部控制的监督无效。
重要缺陷           一个或多个内部控制缺陷的组合，可能导致不能及时防止或发现并纠正财务报告中
                   虽不构成重大错报但仍应引起管理层重视的错报。存在重要缺陷的迹象包括：未依
                   照公认会计准则选择和应用会计政策；未建立反舞弊程序和控制措施；对于非常规
                   或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性
                   控制；对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财
                   务报表达到真实、完整的目标。
一般缺陷           不构成重大缺陷或重要缺陷的其他内部控制缺陷。
说明：
无
3.   非财务报告内部控制缺陷认定标准
     公司确定的非财务报告内部控制缺陷评价的定量标准如下：
     指标名称         重大缺陷定量标准         重要缺陷定量标准          一般缺陷定量标准
直接财产损失       直接财产损失＞所有者权   所有者权益的 0.1%＜直接   直接财产损失≤所有者权
                   益的 1.6%                财产损失≤所有者权益的    益的 0.1%
                                            1.6%
说明：
     非财务报告内部控制是指针对除财务报告目标之外的战略目标、资产安全、经营目标、合规目标等
其他目标的内部控制。公司非财务报告内部控制缺陷认定主要依据缺陷涉及业务性质的严重程度、直接
或潜在负面影响的性质、影响的范围等因素来确定。
     公司确定的非财务报告内部控制缺陷评价的定性标准如下：
     缺陷性质                                       定性标准
重大缺陷           一个或多个内部控制缺陷的组合，可能给公司带来重大操作风险、合规风险或声誉
                   风险，可能导致公司严重偏离内部控制目标。存在重大缺陷的迹象包括：公司缺乏
                   科学决策程序；严重违反国家法律、法规并受到处罚；关键岗位人员流失严重，影
                   响业务正常开展；媒体负面新闻频现；重要业务缺乏制度控制或系统失效；内部控
                   制重大缺陷未得到整改。
重要缺陷           一个或多个内部控制缺陷的组合，其严重程度和经济后果低于重大缺陷，如不加以
                   改进将可能导致合规风险或声誉风险，且仍有可能导致公司偏离内部控制目标。存
                   在重要缺陷的迹象包括：公司决策程序存在但不够完善；严重违反公司内部规章并
                   形成损失；关键岗位人员流失较为严重；媒体出现负面新闻并波及局部区域；重要
                   业务制度或系统存在缺陷；内部控制重要缺陷未得到整改。
一般缺陷           不构成重大缺陷或重要缺陷的其他内部控制缺陷。这些缺陷相关影响程度较低，主
                   要是有悖最佳操作原则和可能导致效率低下的做法，不太可能导致合规风险或声誉
                   风险。
说明：
无
(三).    内部控制缺陷认定及整改情况
1.   财务报告内部控制缺陷认定及整改情况
1.1. 重大缺陷
     报告期内公司是否存在财务报告内部控制重大缺陷
     □是 √否
1.2. 重要缺陷
     报告期内公司是否存在财务报告内部控制重要缺陷
     □是 √否
1.3. 一般缺陷
     公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内，不会对公司的资产安全、发展战
略和经营目标的实现、财务信息的准确性和完整性、风险管理体系的有效性等造成实质性影响，不会导
致公司偏离控制目标，并且已经制定了具体的方案和措施认真落实整改。
1.4. 经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重大
      缺陷
     □是 √否
1.5. 经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重要
      缺陷
     □是 √否
2.   非财务报告内部控制缺陷认定及整改情况
2.1. 重大缺陷
     报告期内公司是否发现非财务报告内部控制重大缺陷
     □是 √否
2.2. 重要缺陷
     报告期内公司是否发现非财务报告内部控制重要缺陷
     □是 √否
2.3. 一般缺陷
     公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内，不会对公司的资产安全、发展战
略和经营目标的实现、财务信息的准确性和完整性、风险管理体系的有效性等造成实质性影响，不会导
致公司偏离控制目标，并且已经制定了具体的方案和措施认真落实整改。
2.4. 经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重
      大缺陷
     □是 √否
2.5. 经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重
      要缺陷
     □是 √否
四. 其他内部控制相关重大事项说明
1.   上一年度内部控制缺陷整改情况
     √适用 □不适用
     公司 2015 年度所发现内部控制缺陷均为一般缺陷。公司建立了科学合理的整改工作机制，明确具
体缺陷的整改责任单位，制订详细的整改方案并严格落实。同时，加强整改监督工作，通过抽查、核验
等方式，对后续整改情况进行追踪，并将整改质量纳入内控合规考核范畴，促进缺陷的实质性整改以及
公司内部控制有效性的提升。
2.   本年度内部控制运行情况及下一年度改进方向
     √适用 □不适用
     2016 年，公司认真贯彻国家经济金融方针政策，坚持“稳增长、控风险、强基础、促转型”的基
本工作主线，在深入推进结构调整与转型创新的同时，大力夯实发展基础，稳妥推进各项管理改革，各
项业务保持平稳健康发展，风险合规内控管理水平得到进一步提升。报告期内，公司高度重视内部控制
建设，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等方面不断加强和完善内部控制机
制，为公司的持续稳健发展提供了良好保障。
     （1）内部环境
     报告期内，公司进一步完善公司治理结构与运行机制，股东大会、董事会、监事会和高级管理层运
作规范、权责明确、制衡有效。报告期内，公司持续强化董事会和监事会职能建设，有效落实董事会重
大决策传导机制和监事会监督建议反馈机制，切实发挥董事会、监事会在制定发展战略与发展规划、研
究审议经营管理重要事项、完善风险管理机制、健全内部控制体系等方面的决策和监督作用。同时，组
织董事、监事开展专题调研或检查，全方位了解公司经营管理情况，不断提升董事、监事依法履职、专
业履职的能力和水平。本年度，公司市场地位和品牌形象进一步提升，荣获权威机构颁发的“2016 年
度亚洲卓越商业银行”、“年度最佳股份制商业银行”、“卓越创新银行”、“卓越竞争力金融控股集
团”、“杰出中资银行奖”、“杰出财富管理奖”、“杰出托管银行奖”等称号。公司董事会荣获“2016 中
国战略型上市公司卓越董事会”，董事长高建平荣获“2016 中国上市公司最受尊敬董事长”、“2016
十大金融人物”、“2016 年度中国社会责任杰出人物”、“CFV 十年绿色金融领军人”等荣誉，公司监事
会荣获“上市公司监事会最佳实践 20 强”。
    报告期内，公司进一步提升社会责任专业化管理能力。对社会责任指标体系进行修订优化，定期开
展社会责任监测和后评价工作，将有关要求融入经营管理环节，加强对业务可持续发展的支持作用；编
制公司年度社会责任报告暨可持续发展报告，丰富利益相关方沟通机制；完善环境与社会风险管理体系，
促进绿色金融业务在集团层面的全面发展。凭借多年来在推动绿色金融和普惠金融、扎实服务实体经济
方面的杰出表现，公司在中国银行业协会举办的社会责任工作表彰会上连续第六年荣获“年度最具社会
责任金融机构奖”，并同时荣获“年度最佳社会责任特殊贡献网点奖”和“年度最佳社会责任管理者奖”。
    （2）风险评估
    报告期内，公司积极应对形势变化，适时调整风险管理策略，深化风险体制改革，调整风险管理架
构及职能设置，促进风险管理与业务发展的有机结合和高效衔接。
    报告期内，公司持续推进风险管理信息共享与系统建设工作，提高对各类风险的监测评估能力，推
动业务稳健开展。为进一步规范风险预警管理流程、提高风险预警的及时性与准确性，公司制订了《兴
业银行风险预警管理办法》，将风险预警管理系统项目成果运用于贷前调查、审查审批以及贷后管理，
并加快推进系统二期建设。同时，公司进一步加强信息整合利用与互联互通，开发了“综合信息服务平
台”、“风控搜”、“黄金眼”等信息系统，实现对客户各类风险信息的整合查询，风险识别、预警的能力
与效率得到明显提升。
    报告期内，公司稳步推进新资本协议实施工作，加强风险计量工具开发与运用。一是完善新资本协
议制度体系，制订《兴业银行资本充足率管理办法》、兴业银行信用风险内部评级法风险缓释管理办法》、
《兴业银行信用风险内部评级体系管理办法》和《兴业银行内部资本充足评估程序（ICAAP）管理办法》
等，进一步规范相关工作要求。二是根据年初制订的新资本协议实施工作计划有序开展各项工作，不断
强化数据质量管理，加大内评法在经营机构绩效考核与拨备计提中的应用力度，持续推动内评法风险资
本配置管理。三是加强新资本协议文档管理，对各板块的相关文档进行实时收集和归类整理，提高文档
的统一化管理水平。
    （3）控制活动
    授信业务方面，一是优化授权管理，明晰授信导向。根据业务发展的实际情况与经营机构风险内控
水平差异，实施差异化授权，同时指导各级分支机构继续执行有区别的授信政策，积极支持实体经济发
展，践行绿色信贷原则，优化信贷资源配置。二是加强统一授信管理。按照以客户为中心的统一授信风
险政策，针对不同专业、不同产品、不同业务模式确定审批模式和决策机制，建立统一客户授信管理系
统及额度管理平台，实现跨条线业务客户额度有效总控。三是加强尽职调查，优化评审模式。推动分行
成立尽职调查中心，提高业务前期调查质量；简化部分业务评审规则，规范送审模版及审查分工，推动
电子化审批系统建设，提升评审效率。四是加强风险管理队伍建设。出台《兴业银行风险管理人员编制
管理细则》，明确由总行统一确定全行风险管理人员编制总量和结构安排，并分别下达各条线和分行，
专编专用。
    存款与柜面业务方面，持续完善各类管理手段与内控措施，有效防范柜面业务操作风险。一是上线
“集中作业运营项目”，通过 OCR、二维码信息识别等技术手段，将前台手工验印及电话核实等操作环
节集中后台统一处理，保障业务准确、合规办理。二是创新系统开发模式，启动“啄木鸟”系统建设，
根据风险特征分析结果，开发基于大数据分析的组合模型，提升非现场检查手段对风险信息捕捉的精确
性。三是不断提升生产系统内控硬约束控制水平，调整优化“ACS 综合前置系统”及人民币支付清算系
统部分功能，确保业务安全稳定运行。
    中间业务和新兴业务方面，一是完善同业投资业务管理制度体系，对主要业务的操作与管理流程进
行梳理，修订完善相应的操作规程、业务指引、风险指引、审批规范等，统一示范合同文本，进一步提
高内控合规管理的有效性。二是进一步加强新兴业务准入控制，完善准入名单管理，明确业务限额与管
理流程控制要求。三是优化合规内控与操作风险管理系统功能，为集团各单位新产品新业务的风险管理
提供统一的系统支持平台。四是加强零售财富类产品销售管理，规范录音录像业务流程，完善相关系统
建设，明确资料保管要求，确保业务的规范开展。五是持续优化金融市场信息平台系统功能，有效提升
同业业务相关数据质量，进一步增强同业业务管理的精细化、规范化水平。
     财务会计方面，一是制定了《兴业银行增值税管理办法》与《兴业银行增值税会计核算规程》，
以适应国家税制改革的要求，确保增值税管理相关工作的规范开展。二是公司制定了《兴业银行财务集
中核算业务应急处置规程》，保障业务稳定运行和可持续处理，提高对突发事件的处置能力。三是为适
应利率市场化，加强资产负债统筹管理，促进业务结构调整，对人民币资金转移定价利率规则进行了修
订。四是根据业务发展的最新要求，修订部分业务会计核算规程，加强实质性风险控制，进一步提高会
计业务操作的规范性与会计核算质量，有效发挥会计对业务的监督作用。
    信息科技方面，持续加强信息安全管理体系建设与信息科技风险管理工作，进一步完善相关制度规
范，启动信息安全建设规划咨询项目，推广软件安全设计指引，强化开发测试环境安全管理，开展 IT
外包项目风险评估，扎实推进信息安全技术防控工作,不断提升集团信息科技整体服务水平，切实保障
公司网络与信息系统的安全稳定运行。
     （4）信息与沟通
     报告期内，公司进一步优化内部信息交流与反馈机制，通过 OA 办公系统、专题会议、内部刊物等
渠道，收集和反馈各类经营管理信息，确保公司各层级之间信息交流通畅。充分发挥部门联席会议和重
点事项督办机制的作用，强化部门之间的沟通与协作，确保重要战略部署与工作任务的及时有效落实。
加强同外部监管机构的交流，严格按照监管规定进行信息披露。重视与投资者的沟通，采取业绩说明会、
投资者调研、邮件、热线、网站、微博、微信等多种方式，增进投资者及客户对公司的了解。
     （5）内部监督
     报告期内，公司持续完善检查监督机制，出台了《兴业银行内部控制监督管理办法》，进一步明确
各级机构、各部门的内控监督职责和工作要求，优化内控检查管理信息平台功能，统筹全行检查资源，
强化对重点业务和管理领域的检查监督力度，推动内部控制检查监督工作的专业化、常态化开展。
     报告期内，公司内部审计部门进一步健全内部管理体系，制定了《兴业银行股份有限公司内部审计
章程》，修订印发了《兴业银行内部审计基本准则》和《兴业银行内部审计具体准则第1—13号》，提升
内部审计的独立性和和有效性。坚持风险导向原则，持续改进审计方法，完善审计信息系统功能，综合
运用现场审计和非现场审计查证手段，做好对热点业务与重要管理领域的审计监督工作。加大审计发现
问题的整改力度，优化审计整改追踪工作机制，定期分析总结审计发现，保证审计成果的有效运用。完
善问责工作体系，修订《兴业银行违规问责管理办法》，改进问责工作模式与操作流程，加大管理责任
问责力度，着力落实从严治行方略。
     2017年，公司将积极应对内外部形势变化，持续完善内部控制机制，深化管理体制机制变革，夯实
发展基础，加大内部检查监督力度，通过更加细致完善的内控措施与管理手段，有效防范各类风险，确
保公司各项业务的平稳健康发展。
3.   其他重大事项说明
     □适用 √不适用
                                                          董事长（已经董事会授权）：高建平
                                                                    兴业银行股份有限公司
                                                                       2017年4月27日