苏州银行股份有限公司
内部控制审核报告
2019年12月31日
苏州银行股份有限公司
目 录
页次
一、内部控制审核报告 1 - 2
二、苏州银行股份有限公司2019年12月31日内部控制的评估报告 3– 20
内部控制审核报告
安永华明(2020)专字第61015205_B01号
苏州银行股份有限公司董事会:
我们接受委托,审核了后附的苏州银行股份有限公司管理层编制的《苏州银行股份有限公司2019年12月31日内部控制的评估报告》(“内部控制评估报告”)中所述的苏州银行股份有限公司及子公司(“贵集团”)于2019年12月31日与财务报表相关的内部控制的建立和执行情况。按照中国银行业监督管理委员会颁布的《商业银行内部控制指引》建立健全必要的内部控制系统并保持其执行的有效性、确保上述内部控制评估报告真实、完整地反映贵集团于2019年12月31日与财务报表相关的内部控制是苏州银行股份有限公司管理层的责任,我们的责任是对上述内部控制评估报告中所述的与财务报表相关的内部控制的执行情况发表意见。
我们的审核是依据中国注册会计师协会颁布的《内部控制审核指导意见》进行的。在审核过程中,我们实施了包括了解、测试和评价贵集团于2019年12月31日与财务报表相关的内部控制建立和执行情况,以及我们认为必要的其他程序。我们相信,我们的审核为发表意见提供了合理的基础。
由于任何内部控制均具有固有限制,存在由于错误或舞弊而导致错误发生但未被发现的可能性。此外,根据内部控制评价结果推测未来内部控制有效性具有一定的风险,因为情况的变化可能导致内部控制变得不恰当,或对控制政策、程序遵循程度的降低。
我们认为,于2019年12月31日,贵集团在上述内部控制评估报告中所述与财务报表相关的内部控制在所有重大方面有效地保持了按照中国银行业监督管理委员会颁布的《商业银行内部控制指引》的有关规范标准建立的与财务报表相关的内部控制。
内部控制审核报告(续)
安永华明(2020)专字第61015205_B01号
本报告仅供苏州银行股份有限公司向中国证券监督管理委员会内有关机构和深圳证券交易所报送之用;未经我所书面同意,不得作其他用途使用。
安永华明会计师事务所(特殊普通合伙) 中国注册会计师: 李斐
中国注册会计师: 余镔
中国 北京 2020年3月27日
苏州银行股份有限公司2019年12月31日
内部控制的评估报告
根据《商业银行内部控制指引》、《商业银行内部控制评价指南》以及我行内部控制制度的相关要求,在内部控制日常监督和专项监督的基础上,对我行内部控制的设计和运行有效性进行评价。
一、内部控制体系和内控制度建设概况
(一)内部控制环境
1.公司治理
我行已构建了以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构。股东大会是公司最高权力机构,董事会是公司的决策机构,监事会是公司的监督机构。
董事会下设战略发展与投资管理委员会、提名与薪酬委员会、风险管理委员会、关联交易控制委员会、信息科技管理委员会、审计委员会、消费者权益保护委员会7个专业委员会,董事会负责内控体系的建立、健全及有效实施。管理层认真落实董事会关于内部控制管理的各项意见及相关工作计划,全面加强风险管理,不断强化内部控制制度的执行力度,努力实现内部控制管理的标准化和科学化。监事会下设提名委员会和监督委员会,监事会根据《公司法》、有关监管要求及《苏州银行股份有限公司章程》规定,对我行董事会和高级管理层及其成员履职的合法合规性进行监督,对股东大会负责,促进公司合规经营、稳健发展。我行已形成了各部门业务分工明确、相互配合、相互制约、相互监督,构建起教育、预警、防范、奖惩相结合的有效规范的内部控制机制和管理体系。
我行下属四家村镇银行及苏州金融租赁股份有限公司也依据各自的组织形式构建了相关公司治理组织架构。
2.内部控制管理框架
根据商业银行内部控制的要求,我行建立以董事会为决策层、管理层为执行层、独立的稽核审计部为监督评价层的内部控制体系。稽核审计部在董事会审计委员会领导下,负责对我行所有业务和管理活动进行独立检查和评价,对内部控制的有效性进行监督、检查,独立、客观地开展内部控制评价和咨询工作。重大审计发现和内部控制缺陷向董事会审计委员会及总行管理层主要负责人直接报告,保证了内部审计的独立性和有效性。
一、内部控制体系和内控制度建设概况(续)
(一)内部控制环境(续)
3.内控制度建设我行持续推进内控制度建设,践行标准化要求。在建立基本管理制度的基础上,我行对规章制度的执行情况也保持高度关注,不断强化规章制度执行力度。主要通过三道防线的互动、制约,提高其执行力,如部门自查、合规和稽核部门检查,加强对规章制度执行情况的监督和评价,对制度执行不到位的行为,与绩效考核挂钩,从而增强监督评价的效果,提高各机构对规章制度的重视程度。另外,通过建立、健全问责机制,有效遏制有章不循的现象,使我行保持平稳运行状态,无重大违法违规事件发生。
(二)风险的识别与评估
我行按照商业银行全面风险管理框架,建立了全面、持续、规范的风险管理体系,运用风险评估方法和工具,对各类风险持续监控和识别,实现对风险的有效控制。
本行在经营过程中主要面临以下风险:
1.信用风险:信用风险是指客户或交易对手在到期时不能全额清偿债务而带来的风险,主要包括信贷风险、交易对手风险等。
2.市场风险:市场风险是指利率、汇率、股票、商品以及它们的隐含波动性引起的波动风险。
3.操作风险:主要指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。
4.流动性风险:流动性风险是指未能偿付债务或满足存款人提取存款或借款人融资需求而导致信誉损失、经济损失等形成的风险。
5.其他风险: 我行面临的其他风险包括信息科技风险、声誉风险和法律合规风险。
(1)信息科技风险:是指信息科技在商业银行运用过程中,由于自然因
素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
(2)声誉风险:声誉风险是指由商业银行经营、管理及其他行为或外部
事件导致利益相关方对商业银行负面评价的风险。
(3)法律合规风险:是指商业银行因没有遵守法律、法规和准则,可能
遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
一、内部控制体系和内控制度建设概况(续)
(三)内部控制措施
我行对日常经营活动包括授信业务、资金业务、存款和柜面业务、中间业务、国际业务、财务会计管理、融资租赁业务及信息科技管理均制定了较健全的各项规章制度,根据业务发展需要和风险管理状况的变化,持续梳理和修订业务制度,为规范我行业务操作提供制度保障。
授信业务
1.坚持风险战略,调整风险偏好。结合经济金融形势、股东期望和我行经营发展、风险防控要求,完成本年度风险偏好指标调整,并制定定期监测和报告机制进行跟踪评估工作,确保风险偏好有效贯彻执行。
2.制定授信政策指引。按照限额、区域、行业、客户、产品、管理六个方面制定授信政策,不断优化调整我行信贷结构,严格授信准入和审批,严把新增质量关。
3.强化总行统筹,厘清职责边界。加强各事业总部风险部门的统筹,总行风险条线的垂直化管理;梳理架构,厘清总行、总部管理条线之间的职能边界,完善各事业总部风险合规部管理职能。
4.明确全面风险管理制度,构建统一视图。深化统一授信管理,构建跨子公司、跨总部、跨系统的统一授信视图。健全客户信用风险识别与监测体系,完善信贷决策与审批机制。
5.健全信贷管理制度和流程。根据监管政策和业务发展要求,依照现行法律法规,制定、修订相关信贷管理办法和操作流程手册,规范操作流程,明确风险点和内控要求,有效传达和执行。
6.严格授信审查与审批管理。各级授信审查人员加强责任意识、尽职履责、独立判断,按照规定程序、相应权限审批贷款。加快推进专职授信审批人制度的施行,提高授信审批质量水平。
7.完善信贷资产风险分类管理办法。规范全行信贷资产风险分类管理,全面、客观反映全行信贷资产质量。
8.完善授信业务后续检查办法。规范授信业务后续检查工作,有效识别、防范和化解授信业务风险。
(三)内部控制措施(续)
授信业务(续)
9.完善苏州银行信贷业务风险预警及应急处理管理办法。明确风险预警职责和报告程序,遵循全面预警、分级管理、及时报告、快速反应、持续监控、责任到人原则,切实防范、化解风险。
10.扎实做好贷后管理工作。每日监测主要信用风险指标变化情况;每周跟踪大额风险台账中记录的风险化解和处置动态;每月进行风险底数排查,出具信用风险监测报告;每季完成减退化解监测报告、预测全行信用风险状况;不定期抽查风险分类情况,发布风险提示;推行总行、总部及区域三个层面贷后例会分析制度。
11.优化全面风险管理的系统和工具。持续提高系统管控能力,推动公贷系统、个贷系统、新版操作风险管理系统、不动产登记系统、查证平台等系统优化。提升数字化风控管理能力,强化大数据及模型技术应用。
12.强化风险承担,加强过程管理。设置“预期损失”及“非预期损失(经济资本)”相结合的利润考核模式,定期向各总部和区域发布考核结果,不断优化考核规则和参数设置。
13.完善不良问责机制。落实授信主责任人制度,及时对不良贷款的相关责任人进行问责和处罚。
14.严格信贷基础管理,夯实风险防控基础。坚持全面客观公正、适时动态调整的原则,综合评价各机构的基础管理,提升风险管理标准化和精细化程度。
15.强化授信档案管理。对授信档案的移交、保管、建档、登记等明确规定、落实责任、规范管理。并且加快授信档案电子化建设,通过影像系统上传保管。
16.完善全行风险序列人员绩效考核办法。规范风险序列人员绩效考核,提高风险条线的管理和服务效能,综合评价风险序列人员履职能力,建立有效的激励约束机制。
17.加强风险管理人员队伍建设。落实风险管理人员专业技能和职业道德的培训,提高信用风险内控管理的效率和质量。
(三)内部控制措施(续)
资金业务
1.健全我行资金业务管理制度和流程。根据监管政策和业务发展要求,依照现行法律法规,制定、修订相关资金管理办法和操作流程手册,规范操作流程,明确风险点和内控要求,有效传达和执行。
2.资金调拨。本行资金的调出和调入应当有真实的业务背景,应严格按照权限进行操作,并及时划拨资金,登记台账。
3.资金交易管理。本行明确规定资金交易的业务品种,确定资金业务交易
限额以及相应承担的累计最大交易损失限额和交易止损点。同时根据本行的风险承受水平,合理确定金融衍生产品的风险限额和相关交易参数。
本行根据授信原则和资金交易对手的财务状况,确定交易对手、投资对象的授信额度和期限,并根据交易产品的特点对授信额度进行动态监控,确保所有交易控制在授信额度范围之内。
未经总行批准或授权,任何分支机构不得开展资金交易。
4.压力测试。本行逐步建立全面、严密的压力测试程序,定期对小概率的极端事件,如市场价格发生剧烈变动,或者发生意外的政治、经济事件可能造成的潜在损失进行模拟和估计,以评估本行在极端不利情况下的亏损承受能力。
本行将压力测试的结果作为制定市场风险应急处理方案的重要依据,并逐步定期对应急处理方案进行审查和测试,不断更新和完善应急处理方案。
(三)内部控制措施(续)
资金业务(续)
5.资金交易员管理。本行对资金交易员实施有效管理,建立适当的约束机
制。资金交易员上岗前需取得相应资格。本行根据资金交易的风险程度和管理能力,就交易品种、交易金额和止损点等对资金交易员进行授权。资金交易员需严格遵守交易员行为准则,在职责权限、授信额度、各项交易限额和止损点内以真实的市场价格进行交易,并严守交易信息秘密。
本行建立资金交易中台和后台部门对前台交易的监督机制。中台监控部门对前台交易的授权交易限额、交易对手的授信额度和交易价格等进行核对,对超出授权范围内的交易及时向有关部门报告。后台结算部门独立进行交易结算和付款,并根据资金交易员的交易记录,在规定的时间内向交易对手逐笔确认交易事实。
6.资金交易风险和市值报告制度。本行按照市场价格计算交易头寸的市值、敏感度指标和浮动盈亏情况,对资金交易产品的市场风险、头寸市值变动进行实时监控。同时建立资金交易风险和市值情况的内部报告制度,明确不同层次和种类报告的发送范围、程度和频率,定期、及时向董事会、高级管理层和其他管理人员提供有关资金业务风险和市值情况的报告。
7.资金业务新产品的开发和经营。本行资金业务新产品的开发和经营需经过批准,在风险控制制度和操作规程完备、人员合格和设备齐全的情况下,交易部门才能全面开展新产品的交易。
8.加强资金业务管理人员队伍建设。落实资金业务管理人员专业技能和职业道德的培训,提高资金业务内控管理的效率和质量。
(三)内部控制措施(续)
存款和柜面业务
1.建立健全存款和柜面业务管理制度和流程。根据监管政策和业务发展
要求,依照现行法律法规,制定、修订相关存款和柜面业务管理办法和操作流程手册,规范操作流程,明确风险点和内控要求,有效传达和执行。
2.根据制定的全行年度经营计划,提高存款和柜面业务的人员资源配置效率,从全行各网点的业务规模、发展结构出发,合理配备运营管理和业务人员。
3.建立健全运营人员绩效考核体系,将全体运营人员的工资、绩效与柜面业务的质量和数量挂钩,有效调动全体运营人员的工作积极性。
4.建立存款和柜面业务分级授权与审批制度,明确审批事项、审批人及
审批权限。
5.建立存款和柜面业务集中作业制度。对存款和柜面业务中重要类业务以及流程复杂类业务由后台集中处理,即有效防控风险且提高业务处理效率。
6.建立岗位制约和不相容岗位分离制度,做到会计与出纳岗分离、记账岗与复核岗分离、同一类业务不同流程岗位分离。关键岗位设立A、B岗,确保人员轮休业务不脱节。
7.建立柜面人员强制休假和整体移交制度。对存款和柜面业务中重要岗
位的管理和业务人员实行强制休假和轮岗,有效防控内部操作风险。
8.建立存款和柜面业务事后监督和对账制度。对存款和柜面业务实行事
后监督,与相关客户实行定期对账制度。
9.建立存款和柜面业务档案管理制度。对存款和柜面业务档案的内容、
整理、装订、保管、查阅、销毁等明确规定、规范管理。
(三)内部控制措施(续)
存款和柜面业务(续)
10.建立现金和重要物品管理制度。对存款和柜面业务印章、重要单证的使用和保管,严格遵循“印、证分管”制度,规范重要物品的保管、领用和交接,实现岗位之间互相牵制。定期组织存款和柜面业务检查,规范全行存款和柜面业务行为,建立存款和柜面业务管理长效机制。
11.建立存款和柜面业务监督和违规问责机制。落实各层级存款和柜面业务检查监督主体,完善检查职能和内容,对存款和柜面业务违规行为进行问责和处罚。
12.加强存款和柜面业务管理及业务人员队伍建设。落实存款和柜面业务管理人员职业道德的培训,提高存款和柜面业务内控管理的效率和质量。
13.加强存款和柜面业务人员技能培训。落实存款和柜面业务管理人员专业技能和培训,采用网点分散自学和集中培训相结合的方式,提高存款和柜面业务内控管理的效率和质量。
中间业务
1. 信用卡及消费金融业务
1) 健全信用卡及消费金融业务的授信政策。依据现行的法律法规、监管政策,对新开发的业务进行风险评估,制定相应的授信政策,并对已有产品的授信政策进行完善。
2) 建立分级审批制度,严格按照授权程序,对审批人员及审批权限作出明确规定。
3) 完善审批系统,加强审批队伍建设。根据审批要求不断完善审批系
统;对审批人员不定期培训,增强专业技能、培养风险与合规意识。
4) 建立客户投诉处理机制。已经建立信用卡及消费金融业务客户投诉处理机制,日常投诉工单3个工作日内处理完毕。
5) 建立客户贷中、贷后管理制度。全面了解客户资质,加强对风险客
户的把控,完善风险管理体系。
6) 建立客户资料归档制度。对客户申请材料进行整理、装订、保管,
保护客户个人信息安全。
(三)内部控制措施(续)
中间业务(续)
2. 财富管理业务
1) 建设制度及流程。针对代理基金业务、代理保险业务、代理集合信托资金收付业务、代销资管业务、代销实物贵金属业务、代收费业务、三方存管业务、柜面通业务及存款业务分别制定了相应的管理办法及员工操作手册,合理确定该业务的风险控制点,采取适当的控制措施,执行标准统一的业务流程和管理流程,确保规范运作。
2) 深化风险管控。积极调整和完善日常风险控制的管理工作,通过梳
理关键风险点、风险流程,制订部门重点业务的检查标准,明确关键风险点、检查重点和检查方法。对各区域、各经营性支行的业务操作和销售行为以现场和非现场形式进行内控检查。持续开展产品销售录音录像检查工作。经过持续检查,本行“双录”执行情况较以往有了较明显的提升。本行亦注重对于各类检查发现的问题,及时督促整改,并不断完善管理手段,如加强员工合规意识培养、加强业务培训、深化网点检查和督导、完善制度规范和系统控制等,在业务发展的同时防范操作风险。
3) 建立相关系统控制。坚持产品销售的“双录”,“双录”业务覆盖范围涵盖个人结构性存款、理财、基金、信托、保险、资管等财富产品和借记卡开卡业务,严格按照监管要求对产品销售全过程进行录音录像,保证销售的合规性。在开展各项代理业务过程中,始终坚持建立健全信息系统控制,通过内部控制流程与业务操作系统和管理信息系统的有效结合,加强对业务和管理活动的系统自动控制,不断的升级优化,以做到业务的合规性、业务的连续性及业务的高效性。尽量实现与合作方的系统互联互通,以保证数据的及时及安全;尽量减少人工操作,以保证业务的连续及高效性;尽量实现统一管理,以方便业务的管理。
4) 队伍管理建设。从系统操作规范、营销专业度及合规销售方面对本行的理财经理进行全面的培训提升。加强营销队伍的过程管理,不断细化过程管理类考核标准,将日常工作抽查与定期全面检查相结合,规范营销队伍日常工作流程的同时提升专业销售技能;加强理财经理资质管理,要求理财经理必须具备相关的资质才能开展对应业务。
(三)内部控制措施(续)
中间业务(续)
2. 财富管理业务(续)
5) 销售过程要求。在开展代理基金、保险、信托资管等业务时要求客户必须经过风险评估,确定风险等级后方可购买各类产品,该控制采用系统强关联控制措施。未进行风险测评或是风险测评失效的客户,无法购买产品。对代理各类产品的宣传资料的制作和使用提出了明确规定,保证代理业务宣传的合规性。
3. 互联网金融业务
1) 健全数字银行总部贷款业务、存款理财业务的管理制度和操作规程。
根据监管政策和业务发展要求,依照现行法律法规,制定、修订相关各类产品管理办法和操作规程,规范产品准入要求和操作流程。
2) 制定数字银行总部贷款产品的风险审批及贷中和贷后管理制度,规范风险管理理念及操作流程;
3) 规范数字银行总部贷款产品风险政策制定、审批和上线流程,明确审批事项、审批流程及审批权限;
4) 建立岗位制约和不相容岗位分离制度,做到审贷分离。关键岗位设
立A、B岗,确保人员轮休业务不脱节;
5) 制定并逐步完善贷款产品全自动线上审批流程;
6) 上线数据分析平台,实现贷前客户申请数据、贷中审查审批数据、
贷后还款及催收数据结构化存储与动态监控;基于底层数据积累,搭建中间数据层,为风险指标分析提供针对性指导意见;
7) 加强业务合规性审查,建立违规问责机制,对业务违规行为进行问
责和处罚。
8) 加强数字银行总部风险队伍建设,落实各职能部门人员专业技能和职业道德培训,提高数字银行总部存款、贷款业务的风险防范能力,提高我行互联网金融业务内控管理的效率和质量。
国际业务
1. 健全我行国际业务管理制度和流程。根据监管政策和业务发展要求,依照现行法律法规,制定、修订相关国际业务管理办法和操作流程手册,规范操作流程,明确风险点和内控要求,有效传达和执行。
(三)内部控制措施(续)
国际业务(续)
2. 建立外汇资金往来账务核对机制。采取调阅账户行对账单、MT950报文等方式,由专人每日负责对外汇资金往来账户进行核对,保证账务的真实、准确和完整性。与账务存在不符时及时按规定进行处理,对于细节不详无法解付的款项按规定在当日作挂账处理并向账户行或付款行发出查询报文,根据回复情况及时处理。通过后督对账中心专门部门以向客户发放对账单的方式进行银企账务核对。
3. 加强国际业务管理人员队伍建设。落实国际业务管理人员专业技能和职业道德的培训,提高国际业务内控管理的效率和质量。
财务会计控制
1. 健全财务管理制度和流程。根据监管政策和业务发展要求,依照现行
法律法规,制定、修订相关财务管理办法和操作流程手册,规范操作流程,明确风险点和内控要求,有效传达和执行。
2. 制定全行年度经营计划和财务预算。提高财务资源配置效率,从全行
各事业总部、子事业部、区域、行业、产品、客户等方面的业务发展和结构调整的战略需要出发,重点支持有效益、有质量、有竞争力、有持续发展力的战略业务。同时,做好预算执行情况的分析和评估,发挥预算管理在衔接和落实战略规划与年度经营工作中的重要作用。
3. 建立健全绩效考核体系。
总行:以打造“规划型总行、服务型总行、效能型总行”为引导,考核指标设置围绕“统筹规划、构建标准、督导保障”的定位,打造事业部框架下新工作标准,为总部发展提供服务支持和管理保障。
总部:以打造“专业型总部、创新型总部、绩优型总部”为引导,考核指标设置围绕“专业经营、创设产品、强化管理”的定位,构建条线化运营的新工作机制。对各事业总部的考核体现利润价值创造,强化风险管控、合规经营、利润贡献为本年度考核的基础,设置绩效奖金池,设定绩效奖金提拨率,各事业总部的绩效奖金总额与考核利润完成情况进行挂钩,同时也遵循我行“统一原则、公平公正”、“兼顾历史、平稳过渡”、“职责清晰,轻装上阵”的考核原则。
(三)内部控制措施(续)
财务会计控制(续)
4. 健全税务管理制度。确保税务申报流程的规范性以及各类税款计算的准确性,根据最新税务法规,及时优化、完善各项税务政策的应对措施。明确税务风险管理目标并纳入全行风险偏好框架体系,完善税务风险管理体系。加强税务日常管理工作,引导各税务申报区域办税人员合规申报,定期复核各区域纳税申报情况。
5. 严格实物资产的账务管理,对实物资产的核算记账、计提折旧、清理处置等进行规范管理。根据实物资产的盘点清理情况,对相应的盘盈、盘亏及处置资产进行账务处理。
6. 健全财务授权制度,建立分类、分级审批体系,明确审批事项、审批人及审批权限,强化对例外、意外非常规费用支付的管理。根据我行目前的管理架构,分别从总行层面、事业部层面及分支机构综合管理层面建立相应的授权审批体系;管理层正式授权后,在费用管理系统中配置相关授权审批人员,并确保相关授权独立不相容。
7. 建立岗位制约和不相容岗位分离制度,做到会计与出纳岗分离、记账岗与复核岗分离、财产核算岗与财产管理岗分离。关键岗位设立A、B岗,确保人员轮休业务不脱节。
8. 建立财务档案管理制度,对财务档案的内容、整理、装订、保管、查阅、销毁等明确规定、规范管理。
9. 建立财务监督和违规问责机制。落实各层级财务检查监督主体,完善检查职能和内容,对财务违规行为进行问责和处罚。
10. 加强财务管理人员队伍建设。落实财务管理人员专业技能和职业道德的培训,提高财务内控管理的效率和质量。
11.建立全行统一的会计核算管理体系。根据《企业会计准则》,统一设置全行会计科目、制定各项业务会计核算管理办法、细则及操作手册。统一配置各类账务系统的核算规则,建立业务明细的分户账余额与总账余额的监督核对机制,保证总分一致。定期对总行、事业总部及区域进行账务检查及业务检查,保证会计核算内容的真实、准确,保证账务记录与外部第三方账务相符。
(三)内部控制措施(续)
融资租赁业务
1. 开展全面风险管理体系建设,全面提升公司风险管理、控制能力。
2. 健全租赁业务管理制度。根据监管政策、经济形式和业务发展要求,依照现行法律法规,制定相关融资租赁业务管理办法。同时在现有经营政策的基础上,制定相应的二级管理办法和操作细则,明确风险内控要求,严把授信准入关,不断提升审查审批质量。推进全面风险相关制度建设,颁布《租赁物管理办法》、《业务移交操作细则》、《租赁资产风险预警管理实施细则》;修订完善《租后管理实施细则》等。
3. 定期对相关制度进行重新评估。不间断对内部规范及管控流程的有效性、监管要求的符合性、实际操作的风险控制度、流程的顺畅性等内容回头评估。根据监管要求、政策指引、权限变化、业务发展等具体情况,对相关不合宜内容进行修订。
4. 限额管理规划有序。以限额管理为抓手,从负债、资产两方面合理规划,有序落实。
5. 严格项目审查审批。加强审查人员的合规、责任和勤勉尽职意识、严格按照经营政策进行项目审查审批。完善自主创新金融支持中心的差异化授信制度,提高授信审批质量水平。
6. 调查排查多措并举。严格做好租前调查、租中审查、租后检查工作,项目投放和租后管理并重。根据风险状况和业务特点,开展专项排查,对于检查的问题加强责任落实和问题整改。
7. 加强租赁业务过程管理及全面风险文化建设,提高全员风险意识。
8. 租后管理及时到位。严格按照公司各项规定的相关要求,提高租后和资产风险分类工作的时效性。
9. 完善租赁资产风险分类制度。规范租赁资产风险分类管理,加强租赁资产风险防范和化解的能力,全面保障公司租赁资产安全。
10.完善租赁业务风险预警及应急处理制度。明确风险预警职责和报告程序,遵循全面预警、及时报告、快速反应、持续监控、责任到人原则,切实防范和化解风险。
(三)内部控制措施(续)
融资租赁业务(续)
11.动态防控流动风险。根据运营状况,对流动性风险的防控采取动态调
整策略。
12.动态防范市场风险。通过积极监测利率市场波动,结合当前宏观经济形势和央行稳健的货币政策,维持了适当的固定利率债务。未来则采取积极的应对措施(包括中长期融资,对冲工具等)降低面临的市场风险水平。
13.完善租赁业务系统功能;持续优化资金系统;四季度完成智能租后、普惠e租系统开发上线,运用物联网、大数据、人脸识别和数字签名等技术辅助业务发展;接入ECIF系统、内评系统、大数据预警系统加强内控管理,优化公司内部体系管理。
14.强化项目档案管理。制定业务档案管理细则,明确项目档案建档、保管和登记等规定、规范管理。
15.严格责任边界。明确租赁业务流程中各环节、各岗位的责任,界定租前、租中、租后的责任边界。
16.通过建立专兼职内控合规管理人员队伍、常态化的检查机制以及风险事件反馈改进机制,实现对操作风险识别、评估、监测和控制的闭环管理。推进合同流程线上审批流程、明确签约规范、加强培训等方式加强签约流程管控,防范法律风险。开展员工行为排查工作,不断提高员工合规意识。加强风险排查并督办整改。开展租赁业务流程合规性、签约项目合同等多项检查,多角度查堵风险隐患。建立整改督办机制,重点对内外部审计检查发现问题制定整改方案并推动落实。
17.完善绩效考核体系。以利润为中心,鼓励新增投放,突出考核重点,定性与定量想结合。目标分解到个人,考核穿透到个人。在落实主体责任的基础上建立问责机制,遵循“合规尽职免责,违规失职追责”的原则,与主责任人的绩效考核挂钩,完善绩效考核体系。
18.加强员工队伍建设。能力提升上,采取专业培训、同业交流、经验分享等多种形式,着力打造内训师团队,并做好阶段性总结;人才培养上,做好人才梯队建设;人员素质上,增强员工责任感和执行力,加强员工8小时之外的管理,防控道德风险。
(三)内部控制措施(续)
信息科技控制
1. 依据监管指引、最佳实践,制定可靠的、相互制衡的内部控制流程,
确保内部控制信息的交流与沟通,健全科学的内控评估机制,实现有效的监督制约。
2. 在治理架构上,严格划分信息系统开发部门与运维部门的职责,建立
和健全信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。
3. 在治理架构上,明确了各信息系统开发人员、运维人员的岗位职责,做到关键岗位之间的相互制约,各岗位之间不得相互兼任。
4. 在治理架构上,总行、各部室、各总部、各分支机构、各网点均配备
信息安全员,明确了信息安全员的职责。
5. 在制度体系上,执行落实项目管理办法、测试管理办法、外包管理办法、变更管理办法,规范管理信息科技的项目立项、需求、设计、开发、测试、投产、运行整个过程。
6. 在制度体系上,依据ISO9001健全和落实质量管理体系,规范信息科技项目质量标准,并落实持续改进机制。
7. 在制度体系上,依据ISO27001健全和落实信息安全管理体系,覆盖信息系统全生命周期安全管理。
8. 在制度体系上,依据ITIL最佳实践,健全和落实信息科技运维管理体系,覆盖问题管理、事件管理、知识库管理、容量管理等领域。
(三)内部控制措施(续)
信息科技控制(续)
9. 在安全控制上,通过引入抗分布式拒绝服务攻击、WEB应用防火墙、入
侵防御、防火墙、均衡负载、加密平台、运维堡垒机、日志审计、反垃圾邮件网关、防病毒软件、桌面安全管理系统、数据泄漏管控、移动平台安全沙盒等安全产品,完善了基础安全管控措施;
10.在安全控制上,注重基础安全建设,定期对重要信息系统开展安全评估、测评和外部审计,推进了电子银行系统代码审计、手机银行等系统移动客户端安全加固等项目,加强了电子银行系统对非法攻击的防护能力。
11.在基础环境控制上,我行数据中心机房建设符合国家A类机房标准,出入计算机机房有严格的审批程序和出入记录,确保计算机硬件、各种存储介质的物理安全。计算机机房和营业网点有完备的计算机监控系统,确保计算机终端的正常使用。
12.在网络安全控制上,建立了网络管理平台,有效地管理网络的安全、故障、性能、配置等,并对接入国际互联网实施有效的安全管理,严格控制外联区域。
13.在信息系统访问控制上,对计算机信息系统实施统一的用户管理和密码(口令)管理,对用户的创建、变更、删除、用户口令的长度、时效等均有严格的控制。员工之间严禁转让计算机信息系统的用户名或权限卡,离岗、离职后及时调整、注销该员工账号。
一、内部控制体系和内控制度建设概况(续)
(三)内部控制措施(续)
信息科技控制(续)
14.在变更控制上,系统所有变更均需要通过ITSM进行审批,授权后方可有权限做修改等操作。
15.在取证控制上,网络设备、操作系统、数据库系统、应用程序等相关
日志均按需进行数据备份,且可被审计。
16.在数据安全控制上,各类数据信息,数据的操作、数据备份介质的存
放、转移和销毁等均有严格的管理制度来约束。且有数据备份在同城和异地灾备中心,同时建立全行数据防泄漏系统,保护敏感数据的安全性、完整性和可用性。
17.在应急控制上,已制定各系统详细的应急方案,并作为业务连续性预
案的一部分定期进行演练、验证和修订。
(四)信息交流与反馈
我行严格按照监管部门规定进行信息披露活动,依法对外发布各类定期公告、临时公告以及其他相关材料,保证信息披露及时、准确、真实、完整。通过网站、媒体、电话、联合调研等多种渠道向投资者及时报送经营发展的最新动态。
(五)监督评价与纠正
我行逐步完善内部监督机制,通过不断强化监督检查力度,优化全行监督与评价工作。2019年,总行风险管理部、法律合规部、内审部门及各总部开展“乱象整治”、风险防控“大排查、大处置、大提升”行动、飞行检查等各类检查活动检查工作,以检查业务的方式倒查内部制度和合规管理存在的问题,确保各项业务合规经营。
二、内部控制主要缺陷
从总体上来说,我行的内部控制制度是较为完善和行之有效的,执行情况也是良好的。通过评估我们也发现我行在内部控制方面还存在一般缺陷,需要不断完善。主要表现为虽已制定了较为完善的内部控制制度,但在制度执行的有效性方面仍应当予以关注和持续改进。
三、内部控制缺陷整改
我行高度重视内控自我评估中发现的问题,认真落实整改,各级管理层已采取积极的整改措施,检查及完善现行的作业流程,及时解决存在的问题,不断完善和加强我行的内部控制建设。
四、内部控制有效性结论
我行已经根据基本规范、评价指引及其他相关法律法规的要求,对基准日的内部控制设计与运行的有效性进行了自我评价。
报告期内,我行对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了我行内部控制的目标,不存在重大缺陷或重要缺陷,其他缺陷可能导致的风险均在可控范围之内,不会对我行经营管理活动质量和财务目标的实现造成重大影响,并正在认真落实整改。
自基准日至内部控制评价报告发出日之间未发生对评价结论产生实质性影响的内部控制的重大变化。
内部控制应当与我行经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。我行将按照《商业银行内部控制指引》(银监发[2014]40号)的要求,加强内控体系建设,继续完善内部控制制度,规范内部控制制度执行,强化内部控制监督检查,促进我行健康、可持续发展。
苏州银行股份有限公司
法定代表人:
2020年3月27日