平安银行股份有限公司2019年度内部控制评价报告
二〇一九年度
目 录
前 言 ...... 2
一、董事会声明 ...... 2
二、 内部控制评价结论 ...... 2
三、 内部控制评价工作的基本情况 ...... 4
(一)内部控制评价的依据和工作目标 ...... 4
(二)内部控制评价的程序和方法 ...... 4
(三)内部控制评价的范围 ...... 5
(四)内部控制缺陷认定标准 ...... 7
(五)内部控制缺陷认定及整改情况 ...... 8
四、 其他内部控制相关重大事项说明 ...... 9
前 言
根据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合平安银行股份有限公司(以下简称“本行”)内部控制制度和评价办法,在内部控制日常和专项监督的基础上,我们对本行2019年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、董事会声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会、高级管理层建立和实施内部控制进行监督。高级管理层负责组织领导全行内部控制的日常运行。本行董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
本行内部控制的目标是促进各项经营管理活动依法合规,合理保证发展战略和经营目标的全面实施和充分实现,持续改进和完善内部控制管理体系和运行机制,建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系,提高风险管理水平,促进业务、财务、会计和其他管理信息的真实、准确、完整和及时。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、 内部控制评价结论
1、 本行于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2、 财务报告内部控制评价结论
√有效 □无效
根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3、 是否发现非财务报告内部控制重大缺陷
□是 √否
根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,本行未发现非财务报告内部控制重大缺陷。
4、 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
5、 内部控制审计意见是否与本行对财务报告内部控制有效性的评价结论一致
√是 □否
6、 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与本行内部控制
评价报告披露一致
√是 □否
本报告已于2020年2月13日经第十一届董事会第五次会议审议通过。
三、 内部控制评价工作的基本情况
(一)内部控制评价的依据和工作目标
为保障本行建立健全和有效实施内部控制,持续提高内控管理水平,促进银行可持续健康发展,根据企业内部控制规范体系,结合《平安银行内部控制管理制度》、《平安银行操作风险与内部控制自我评估管理办法》,本行建立和完善了操作风险与内部控制自我评价体系,以满足监管内部控制评价、操作风险与控制自我评估、上市公司内部控制评价及银行自身管理要求。
内部控制评价工作目标是促进本行依法合规经营,加强风险管理能力、增强核心竞争力;合理保证发展战略和经营目标的全面实施和充分实现;从而达成建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系的目的。持续改进和完善内部控制管理体系及运行机制,保障全行风险状况监管评级维持在较高水平。
(二)内部控制评价的程序和方法
2019年度本行遵循全面性、重要性、客观性和成本效益原则开展内部控制评价工作。
法律合规部门负责全行操作风险与内部控制自我评估(下称“管理层自评”)工作的组织、实施与跟踪。2019年本行管理层自评是在充分整合操作风险管理(RCSA)、内部控制评价(CSOX)、部门控制检查体系(DCFC)的方法和资源基础上,由业务流程的参与者、经营管理活动的实施者,通过识别业务流程、经营管理活动中存在的固有风险点,从风险发生可能性及风险影响程度两个维度确定风险等级,测试控制活动的设计有效性及运行有效性,合理评估剩余风险水平,对业务流程、经营管理活动中存在的风险状况与控制活动效果进行的定量、定性的评估,对内部控制缺陷实施整改。工作程序包括工作计划准备、风险控制矩阵更新及DCFC清单制定、控制执行有效性测试及评估、结果运用及整改跟踪四个阶段。
稽核监察部组织实施内部控制稽核独立评价,对管理层自评工作成果进行检视。
2019年度,稽核独立评价围绕内部控制评价目标,关注风险点及相应控制活动识别的适宜性和完整性,并根据监管要求以及本行经营情况,按照风险导向原则确定纳入独立评价范围的主要单位、业务和事项;在常规抽样方法基础上,运用大数据分析工具,侧重对重点业务、重点风险领域的关注和覆盖;通过开展独立的穿行测试和运行有效性测试,发现和确认内控缺陷,并对标监管和同业实践,对审计成果进行分析、查找缺陷成因,提出整改意见和内部控制管理改进建议,并监督内部控制缺陷落实整改。内控稽核独立评价工作程序包括项目计划、非现场分析、内控有效性测试、缺陷认定与成因分析、整改跟踪以及内部控制评价报告六个阶段。
(三)内部控制评价的范围
2019年,本行围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制五要素,从公司、流程、信息科技三个层面对内部控制设计和运行情况进行全面评价。法律合规部门牵头各职能部门/事业部及分支机构通过流程梳理盘点、风险控制矩阵更新,确定主流程26个、子流程226个,涉及主要风险点1,001个,对应关键控制活动1,228个,自评测试涵盖上述全部风险点及关键控制活动。稽核监察部在管理层自评基础上,根据风险导向原则,选取345个关键控制活动开展独立测试,涉及26个主流程中的294个主要风险点。从而实现全面覆盖本行各机构和各业务线的评价内容,以保证全行整体风险水平在可控范围内,服务整体战略目标实现。
1、纳入评价范围的主要单位包括:自评覆盖总行各职能部门/事业部和各级分支机构;稽核独立评价主要涉及28个总行职能部门及事业部,以及深圳、北京、南京、信用卡中心、汽车消费金融中心等7家分行和机构。
2、纳入评价范围的单位占比:
表1 2019年度内部控制评价范围-1
| 指标 | 占比(%) |
| 纳入评价范围单位的资产总额占本行合并财务报表资产总额之比 | 100% |
| 纳入评价范围单位的营业收入合计占本行合并财务报表营业收入总额之比 | 100% |
3、纳入评价范围的主要业务和事项:
表2 2019年度内部控制评价范围-2
| 流程 | 管理层自评 | 稽核独立评价 | ||
| 风险点 | 控制活动 | 风险点 | 控制活动 | |
| 财务报告 | 20 | 35 | 6 | 9 |
| 电子银行 | 20 | 25 | 10 | 10 |
| 对公贷款 | 62 | 70 | 42 | 48 |
| 费用管理 | 4 | 6 | 1 | 1 |
| 个人存款 | 19 | 27 | 9 | 10 |
| 公司层面 | 50 | 68 | 28 | 34 |
| 公司存款 | 27 | 48 | 9 | 9 |
| 固定资产、无形资产管理 | 17 | 19 | 1 | 1 |
| 离岸业务 | 22 | 32 | 7 | 7 |
| 理财产品 | 48 | 50 | 8 | 8 |
| 零售贷款 | 65 | 94 | 30 | 37 |
| 贸易结算 | 46 | 60 | 19 | 27 |
| 贸易融资 | 35 | 61 | 8 | 9 |
| 票据业务 | 52 | 58 | 7 | 8 |
| 汽车金融 | 63 | 75 | 22 | 29 |
| 人力资源 | 26 | 28 | 2 | 2 |
| 税务管理 | 17 | 20 | 1 | 1 |
| 投融资管理 | 25 | 25 | 6 | 6 |
| 投资银行 | 37 | 38 | 10 | 10 |
| 小企业业务 | 28 | 28 | 10 | 10 |
| 信息科技管理 | 60 | 80 | 17 | 25 |
| 信用卡 | 49 | 57 | 17 | 20 |
| 业务综合拓展 | 2 | 2 | 1 | 1 |
| 运营管理 | 59 | 69 | 4 | 4 |
| 资产托管 | 35 | 36 | 5 | 5 |
| 资金和同业业务 | 113 | 117 | 14 | 14 |
| 合计 | 1,001 | 1,228 | 294 | 345 |
4、重点关注的高风险领域主要包括:战略转型下的对公贷款、零售贷款、汽车金融、贸易结算、信用卡、信息科技管理、资金和同业业务、投资银行、电子银行等,实
现了对需要高度关注和重点防控领域的全面覆盖。
5、上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主要方面。
6、是否存在重大遗漏
□是 √否
7、是否存在法定豁免
□是 √否
8、其他说明事项
无
(四)内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求,采用人民银行《商业银行内部控制评价指南》内部控制缺陷认定标准,从定性和定量两个维度,结合内部控制缺陷对整体控制目标实现影响的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷,并与以前年度保持一致。
(1)财务报告内部控制缺陷认定标准
① 财务报告内部控制缺陷评价的定量标准
表3 财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.财务报告错报,按照错报金额占当年末资产总额的比例≥0.25%; 2.财务错报金额占当年度利润总额的比例≥5%。 | 1.财务报告错报,按照错报金额占当年末资产总额的比例区间为[0.0125%,0.25%); 2.财务错报金额占当年度利润总额的比例区间为[0.25%,5%)。 | 1.财务报告错报,按照错报金额占当年末资产总额的比例<0.0125%; 2.财务错报金额占当年度利润总额的比例<0.25%。 |
② 财务报告内部控制缺陷评价的定性标准
重大缺陷是指可能产生或者已经造成重大金额财务报告的错报;重要缺陷是指可能产生或者已经造成较大金额财务报告的错报;一般缺陷为可能产生或者已经造成较小金额财务报告的错报。
(2)非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。
① 非财务报告内部控制缺陷评价的定量标准
表4 非财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 财务损失按照损失金额占当年度营业收入的比例≥1%。 | 财务损失按照损失金额占当年度营业收入的比例区间为[0.05%-1%)。 | 财务损失按照损失金额占当年度营业收入的比例<0.05%。 |
② 非财务报告内部控制缺陷评价的定性标准
表5 非财务报告内部控制缺陷评价定性标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.对本行整体控制目标的实现造成严重影响; 2.可能产生或者已经造成重大金额的财务损失; 3.违反有关法律法规或监管要求,情节非常严重,引起监管部门的严厉惩戒或其他非常严重的法律后果; 4.可能导致业务或服务出现严重问题,影响到数个关键产品/关键客户群体的服务无法进行; 5.造成的负面影响波及范围很广,引起国内外公众的广泛关注,对本行声誉、股价带来严重的负面影响。 | 1.对本行整体控制目标的实现造成一定影响; 2.可能产生或者已经造成较大金额的财务损失; 3.违反有关法律法规和监管要求,情节比较严重,引起监管部门较为严重的处罚或其他较为严重的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体的服务质量大幅下降; 5.造成的负面影响波及行内外,引起公众关注,在部分地区对本行声誉带来较大的负面影响。 | 1.对本行整体控制目标的实现有轻微影响或者基本没有影响; 2.可能产生或者已经造成较小金额的财务损失; 3.违反有关法律法规或监管要求,情节轻微,引起监管部门较轻程度的处罚或其他较轻程度的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体,并且影响情况可以立刻得到控制; 5.造成的负面影响局限于一定范围,公众关注程度较低,对本行声誉带来负面影响较小。 |
(五)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
按照财务报告内部控制缺陷认定标准,报告期内本行不存在财务报告内部控制
重大缺陷、重要缺陷和一般缺陷。
2、非财务报告内部控制缺陷认定及整改情况
按照非财务报告内部控制缺陷的认定标准,报告期内本行不存在非财务报告内部控制重大缺陷、重要缺陷。内控评价中发现的53个一般缺陷,截至2019年12月31日均已完成整改。包括管理层自评认定缺陷44个,稽核独立评价认定缺陷9个。其中设计性缺陷7个,表现为制度建设不健全,管理范围覆盖不全,产品/业务设计和管理存在瑕疵,未引入必要的系统控制手段及系统功能未满足业务开展的基本要求等,占内控缺陷的13.21%;运行性缺陷46个,主要涉及个人存款、零售贷款、对公贷款、理财产品、票据业务、汽车金融、信用卡以及信息科技管理等方面制度执行不到位、内控管理存在疏漏,占内控缺陷的86.79%。经营管理层对于发现的内部控制缺陷,已制定了整改计划并积极执行整改任务,对设计性缺陷,通过梳理制度流程,明确职责权限,完善系统控制加以改善;对运行性缺陷涉及问题事件,通过举一反三,明确管控要求,强化检查监督,加大问责处罚,并加强对员工的警示教育和合规宣导,提高全员合规意识。通过验证和评价,根据内部控制评价和缺陷认定标准,本行内部控制制度设计合理、运行基本有效,有待改善事项对本行经营管理不构成实质性影响。
表6 2019年度内控缺陷情况
四、 其他内部控制相关重大事项说明
(一)上一年度内控缺陷整改情况
□适用 √不适用
| 一级流程数量 | 风险点数量 | 管理层自评 认定的内控缺陷数 | 稽核独立评价 新增认定的缺陷数 | 截至20191231尚未完成整改的内控缺陷数 |
| 26 | 1001 | 44 | 9 | 0 |
(二)下一年度内控提升措施及风险应对方案
本行积极贯彻落实党和国家各项大政方针及经济金融政策,坚持“科技引领、零售突破、对公做精”发展战略,提升科技对经营管理赋能,健全智慧风控体系,对风险进行动态防范和实时处置。2020年,本行将进一步强化科技与管理融合程度,健全智能化风控平台,提升全面风险管理能力;在制度体系不断完善的基础上,优化内控管理机制,防范化解风险,推动高质量发展;强化内控有效监督,发挥智慧审计的效率效果,全力打造“中国最卓越、全球领先的智能化零售银行”。
1、全面推进数据化经营转型,打造智慧型全面风险管理体系
2020年,本行将围绕“金融、科技、生态”为理念,建设数据化风险管理体系,以人工智能赋能业务经营和内控管理,实现数据驱动代替经验驱动的策略转变,以降低业务成本,提升管理效率,改善服务质量,打造智慧型全面风险管理体系;通过不断健全智能化风控平台,实现全机构、全业务、全流程、全人员的风险全面管控;同时,依靠综合金融平台和集团生态圈,借助AI、BI、大数据等科技手段,持续关注零售数据化经营、智能供应链金融、互联网+行业等创新变革引发的新型、系统性风险,在一体化数据信息共享平台的构建基础上,结合组织模式和信贷风险专家的融合,实现风险管控能力的提升以及组织效能的优化。
2、完善内控管理体系与制度建设,强化良好企业内控文化培育
本行将紧密围绕“夯实、发展”主基调,进一步优化内控管理组织架构,搭建梯队化人才工程,合理配置资源,保障内部控制各项职责有效履行;建立前瞻、动态的政策制度体系,敏捷、高效的审查审批体系,协同、一体的监控处置体系,筑牢内控与风险管理基础;深化科技赋能,进一步延伸至业务操作和管理领域,实现风险隐患的精准预判。同时,进一步强化风险管理和合规政策的执行力度,加强管理监督,优化考核标准,以制度、考核双重约束,强化本行合规内控文化建设,逐步完善主动防范、及时发现,有效整改的良性内控管理闭环机制。
3、以智慧审计为支撑,强化内控管理监督,铸就面向未来的软硬双实力
2020年,本行将不断强化内部审计的内控管理监督与评价作用,围绕战略转型与风险变化,打造智慧审计生态体系,规划全面、动态监控机制,实现内审“实时化、模型化、数字化、虚拟化、智能化”全面升级。强化内部管理和内控建设有效性评价,立足全局视角,推动风险预警、应对和化解,及时洞察经营管理架构、制度、流程和系统的设计和运作缺陷,并提出合理化改进建议。研究监管政策导向,总结监管处罚案例,加强监审联动,平衡业务创新和风险防控关系,为管理层规划提供全局性、方向性和决策性审计支持。持续加强党风廉洁建设和反腐败工作,做实做细做强纪检职能,通过强化合规意识和文化,推动全行内控管理有效性不断提升。
(三)其他重大事项说明
□适用 √不适用
平安银行股份有限公司