平安银行股份有限公司2020年度内部控制评价报告
二〇二〇年度
目 录
前 言 ...... 2
一、董事会声明 ...... 2
二、 内部控制评价结论 ...... 2
三、 内部控制评价工作的基本情况 ...... 4
(一)内部控制评价的依据和工作目标 ...... 4
(二)内部控制评价的程序和方法 ...... 4
(三)内部控制评价的范围 ...... 5
(四)内部控制缺陷认定标准 ...... 7
(五)内部控制缺陷认定及整改情况 ...... 9
四、 其他内部控制相关重大事项说明 ...... 10
前 言
根据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合平安银行股份有限公司(以下简称“本行”)内部控制制度和评价办法,在内部控制日常和专项监督的基础上,我们对本行2020年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、董事会声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会、高级管理层建立和实施内部控制进行监督。高级管理层负责组织领导全行内部控制的日常运行。本行董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
本行内部控制的目标是促进各项经营管理活动依法合规,合理保证发展战略和经营目标的全面实施和充分实现,持续改进和完善内部控制管理体系和运行机制,建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系,提高风险管理水平,促进业务、财务、会计和其他管理信息的真实、准确、完整和及时。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、 内部控制评价结论
1、 本行于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2、 财务报告内部控制评价结论
√有效 □无效
根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3、 是否发现非财务报告内部控制重大缺陷
□是 √否
根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,本行未发现非财务报告内部控制重大缺陷。
为贯彻落实《国务院关于进一步提高上市公司治理的意见》精神和中国证监会工作部署,报告期内本行在深圳证监局的指导下就公司治理的各个环节开展专项自查。经过全面检视,未发现存在制约公司整体质量提升的风险事项或突出问题。
4、 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效
性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
5、 内部控制审计意见是否与本行对财务报告内部控制有效性的评价结论一致
√是 □否
6、 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与本行内部控制
评价报告披露一致
√是 □否
本报告已于2021年 月 日经第 届董事会第 次会议审议通过。
三、 内部控制评价工作的基本情况
(一)内部控制评价的依据和工作目标
为保障本行建立健全和有效实施内部控制,持续提高内控管理水平,促进银行可持续健康发展,根据企业内部控制规范体系,结合《平安银行内部控制管理制度》、《平安银行操作风险与内部控制自我评估管理办法》、《平安银行内控稽核独立评价管理办法》,本行建立和完善了操作风险与内部控制自我评价体系,以满足监管内部控制评价、操作风险与控制自我评估、上市公司内部控制评价及银行自身管理要求。内部控制评价工作目标是促进本行依法合规经营,加强风险管理能力、增强核心竞争力;合理保证发展战略和经营目标的全面实施和充分实现;从而达成建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系的目的。持续改进和完善内部控制管理体系及运行机制,保障全行风险状况监管评级维持在较高水平。
(二)内部控制评价的程序和方法
2020年度本行遵循全面性、一致性、独立性、客观性、重要性和及时性原则开展内部控制评价工作。
法律合规部门负责全行操作风险与内部控制自我评估(下称“管理层自评”)工作的组织、实施与跟踪。2020年本行管理层自评是在充分整合操作风险管理(RCSA)、内部控制评价(CSOX)、部门控制检查体系(DCFC)的方法和资源基础上,由业务流程的参与者、经营管理活动的实施者,通过识别业务流程、经营管理活动中存在的固有风险点,从风险发生可能性及风险影响程度两个维度确定风险等级,测试控制活动的设计有效性及运行有效性,合理评估剩余风险水平,对业
务流程、经营管理活动中存在的风险状况与控制活动效果进行的定量、定性的评估,对内部控制缺陷实施整改。工作程序包括工作计划准备、风险控制矩阵更新及DCFC清单制定、控制执行有效性测试及评估、结果运用及整改跟踪四个阶段。稽核监察部组织实施内部控制稽核独立评价,对管理层自评工作成果进行检视;通过对内部控制的充分性和有效性进行独立监督评价,发现内部控制缺陷,督促相关问题整改,并以此促进本行内部控制目标的实现。2020年受突然爆发的疫情影响,内部控制活动和评价工作均面临挑战,本行稽核独立评价在原有流程、方法基础上,加强大数据分析和模型运用,通过非现场调阅资料、风险控制矩阵(RCD)审阅和已发现问题的归因分析,按照风险导向原则确定纳入独立评价范围的主要单位、业务和事项;侧重对重点业务、重点风险领域的关注和覆盖;通过开展独立的穿行测试和运行测试,发现和确认内控缺陷,提出整改意见和内部控制管理改进建议,并监督落实整改。内控稽核独立评价工作程序包括项目计划、非现场分析、内控有效性测试、问题归因分析与缺陷认定、整改跟踪以及内部控制评价报告六个阶段。
(三)内部控制评价的范围
2020年,本行内控评价工作围绕内部环境、风险评估、控制活动、信息与沟通、内部监督这内部控制五要素,从公司、流程、信息科技三个层面对内部控制设计和运行情况进行全面评价。法律合规部门牵头各职能部门/事业部及分支机构,通过流程梳理盘点、风险控制矩阵更新,确定主流程26个、子流程231个,涉及主要风险点1,014个,对应关键控制活动1,236个,组织开展管理层自评测试。稽核监察部在管理层自评基础上,选取337个主要风险点、429个关键控制活动开展独立测试。从而实现对本行各机构和各业务线、重点业务、重点风险领域以及与财务报告相关的控制活动的全面覆盖,以保证全行内控体系健全、运行有效,整体风险水平在可控范围内,服务整体战略目标实现。
1、纳入评价范围的主要单位包括:自评覆盖总行各职能部门/事业部和各级分支机构;稽核独立评价主要涉及总行各职能部门及事业部,以及部分抽样分行。
2、纳入评价范围的单位占比:
表1 2020年度内部控制评价范围-1
指标 | 占比(%) |
纳入评价范围单位的资产总额占本行合并财务报表资产总额之比 | 99.89% |
纳入评价范围单位的营业收入合计占本行合并财务报表营业收入总额之比 | 99.96% |
3、纳入评价范围的主要业务和事项:
表2 2020年度内部控制评价范围-2
主流程 | 管理层自评 | 稽核独立评价 | ||
风险点 | 控制活动 | 风险点 | 控制活动 | |
财务报告 | 20 | 35 | 7 | 12 |
电子银行 | 22 | 28 | 7 | 9 |
对公贷款 | 62 | 70 | 24 | 29 |
费用管理 | 4 | 6 | 4 | 6 |
个人存款 | 19 | 27 | 5 | 5 |
公司层面 | 52 | 70 | 15 | 21 |
公司存款 | 26 | 46 | 8 | 15 |
固定资产、无形资产管理 | 17 | 19 | 10 | 12 |
离岸业务 | 22 | 32 | 6 | 7 |
理财产品 | 46 | 50 | 8 | 9 |
零售贷款 | 67 | 96 | 29 | 51 |
贸易结算 | 54 | 67 | 21 | 29 |
贸易融资 | 35 | 61 | 4 | 6 |
票据业务 | 52 | 58 | 4 | 4 |
汽车金融 | 62 | 71 | 47 | 55 |
人力资源 | 26 | 28 | 17 | 18 |
税务管理 | 17 | 20 | 2 | 2 |
投融资管理 | 25 | 25 | 3 | 3 |
投资银行 | 37 | 38 | 5 | 5 |
小企业业务 | 31 | 31 | 8 | 8 |
信息科技管理 | 60 | 79 | 32 | 47 |
信用卡 | 51 | 59 | 23 | 26 |
业务综合拓展 | 3 | 3 | 1 | 1 |
运营管理 | 59 | 69 | 23 | 25 |
资产托管 | 35 | 36 | 5 | 5 |
资金和同业业务 | 110 | 112 | 19 | 19 |
合计 | 1014 | 1236 | 337 | 429 |
4、重点关注的高风险领域主要包括:战略转型下的对公贷款、零售贷款、汽车金融、信用卡、信息科技管理、资金和同业业务、投资银行、电子银行等业务领域风险,以及反洗钱管理、外包管理、消费者权益保护管理等监管关注领域,实现了对需要高度关注和重点防控领域的全面覆盖。
5、上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主要方面。
6、是否存在重大遗漏
□是 √否
7、是否存在法定豁免
□是 √否
8、其他说明事项
无
(四)内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求,采用人民银行《商业银行内部控制评价指南》内部控制缺陷认定标准,从定性和定量两个维度,结合内部控制缺陷对整体控制目标实现影响的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷,并与以前年度保持一致。
(1)财务报告内部控制缺陷认定标准
① 财务报告内部控制缺陷评价的定量标准
表3 财务报告内部控制缺陷评价定量标准
重大缺陷 | 重要缺陷 | 一般缺陷 |
1.财务报告错报,按照错报金额占当年末资产总额的比例≥0.25%; 2.财务错报金额占当年度利润总额的比例≥5%。 | 1.财务报告错报,按照错报金额占当年末资产总额的比例区间为[0.0125%,0.25%); 2.财务错报金额占当年度利润总额的比例区间为[0.25%,5%)。 | 1.财务报告错报,按照错报金额占当年末资产总额的比例<0.0125%; 2.财务错报金额占当年度利润总额的比例<0.25%。 |
② 财务报告内部控制缺陷评价的定性标准
重大缺陷是指可能产生或者已经造成重大金额财务报告的错报;重要缺陷是指可能产生或者已经造成较大金额财务报告的错报;一般缺陷为可能产生或者已经造成较小金额财务报告的错报。
(2)非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。
① 非财务报告内部控制缺陷评价的定量标准
表4 非财务报告内部控制缺陷评价定量标准
重大缺陷 | 重要缺陷 | 一般缺陷 |
财务损失按照损失金额占当年度营业收入的比例≥1%。 | 财务损失按照损失金额占当年度营业收入的比例区间为[0.05%-1%)。 | 财务损失按照损失金额占当年度营业收入的比例<0.05%。 |
② 非财务报告内部控制缺陷评价的定性标准
表5 非财务报告内部控制缺陷评价定性标准
重大缺陷 | 重要缺陷 | 一般缺陷 |
1.对本行整体控制目标的实现造成严重影响; 2.可能产生或者已经造成重大金额的财务损失; 3.违反有关法律法规或监管要求,情节非常严重,引起监管部门的严厉惩戒或其他非常严重的法律后果; 4.可能导致业务或服务出现严重问题,影响到数个关键产品/关键客户群体的服务无法进行; 5.造成的负面影响波及范围很广, | 1.对本行整体控制目标的实现造成一定影响; 2.可能产生或者已经造成较大金额的财务损失; 3.违反有关法律法规和监管要求,情节比较严重,引起监管部门较为严重的处罚或其他较为严重的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体的服务质量大幅下降; 5.造成的负面影响波及行内外,引起公众关注,在部分地区对本行声誉带来较 | 1.对本行整体控制目标的实现有轻微影响或者基本没有影响; 2.可能产生或者已经造成较小金额的财务损失; 3.违反有关法律法规或监管要求,情节轻微,引起监管部门较轻程度的处罚或其他较轻程度的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体,并且影响情况可以立刻得到控制; |
引起国内外公众的广泛关注,对本行声誉、股价带来严重的负面影响。 | 大的负面影响。 | 5.造成的负面影响局限于一定范围,公众关注程度较低,对本行声誉带来负面影响较小。 |
(五)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
按照财务报告内部控制缺陷认定标准,报告期内本行不存在财务报告内部控制重大缺陷、重要缺陷和一般缺陷。
2、非财务报告内部控制缺陷认定及整改情况
按照非财务报告内部控制缺陷的认定标准,报告期内本行不存在非财务报告内部控制重大缺陷、重要缺陷。内控评价中发现的53个一般缺陷,截至2020年12月31日均已完成整改。包括管理层自评认定缺陷42个,稽核独立评价认定缺陷11个。经过对缺陷进行归类和原因分析发现:设计性缺陷10个,占内控缺陷的18.87%,主要表现为“线上化”转型中系统设计与功能实现未达管理预期,战略发展的资源配置或考核机制仍需优化、完善,应对线上化经营的风控系统和监测手段尚未完全适配等;运行性缺陷43个,占内控缺陷的81.13%,主要表现为对制度理解执行不到位、操作不规范、监测和监督力度不够等,涉及个人存款、零售贷款、对公贷款、理财产品、票据业务、运营管理、汽车金融、信用卡以及信息科技管理等业务流程。
管理层对于发现的内部控制缺陷,已制定了整改计划并积极执行整改任务,对设计性缺陷,通过梳理制度流程,明确职责权限,完善系统控制加以改善;对运行性缺陷涉及问题事件,通过举一反三,明确管控要求,强化检查监督,加大问责处罚,并加强对员工的警示教育和合规宣导,提高全员合规意识。
通过验证和评价,根据内部控制评价和缺陷认定标准,本行内部控制机制设计合理、运行基本有效,有待改善事项对本行经营管理不构成实质性影响。
表6 2020年度内控缺陷情况
主流程数量 | 风险点数量 | 管理层自评 认定的内控缺陷数 | 稽核独立评价 新增认定的缺陷数 | 截至20201231尚未完成整改的内控缺陷数 |
26 | 1014 | 42 | 11 | 0 |
四、 其他内部控制相关重大事项说明
(一)上一年度内控缺陷整改情况
□适用 √不适用
(二)下一年度内控提升措施及风险应对方案
2020年,面对疫情冲击和国内外经济环境变化等复杂局面,本行积极贯彻党中央、国务院决策部署,牢记服务实体的使命,落实各项经济金融政策,坚守不发生系统性金融风险的底线。坚持风险管理和内部控制服务于企业战略和价值的实现,制定审慎的风险偏好,实施差异化的风险管理策略,持续强化风险与业务的协同;充分运用大数据、AI等领先科技,打造“智慧风控平台”“智慧合规平台”,全面提升风险管理效率和效果。2021年,本行全面部署新三年发展战略,继续坚持以科技布局未来、以科技赋能金融,着力打造“数字银行、生态银行、平台银行”三张名片;持续提升风险管理能力,优化内控管理体系,推动系统平台、纪检监察、巡检监督、人才结构等四大升级,培育良性内控文化;强化内控有效监督,发挥智慧审计的效率效果,助推经营管理可持续性发展。
1、提升风险管理的前瞻性和主动性,构建数据化风控大脑,创新风险防控手段
2021年,本行将调整优化风险策略和风险政策,加强风险管理的前瞻性和主动性,风险政策向重点行业、客户、区域倾斜,引导和支持业务健康发展;持续强化资产质量管理体系建设,夯实贷/投后精细化管理基础;升级智慧风控平台,构建数据化风控大脑;持续改善数据质量,有效支持风险报告和管理决策;加强合规风险管控,加大员工行为管理;创新风险防控手段,加强组合风险管理,迭代经济资本管理手段,从事后管控向事前引领。
2、优化内控与案防体系建设,推动四大升级,培育良性内控文化
2021年,本行将紧密围绕“科技赋能、狠抓典型、高举高打、持之以恒”的内
控方针,进一步筑牢内控和案防体系,系统平台方面将创新技术工具、完善系统功能、升级合规操作风险数据集市,增强风险防控的前瞻性预判,实现从“人控”、“机控”到“智控”;纪检监察方面进一步打通纪检监察与法律合规职能定位,全面提升监督执纪问责工作成效,推动行风行貌持续好转;巡检监督方面以“问题”为导向,整合监督检查资源,持续在全行开展条块结合、全面覆盖的巡检监督;持续强化人才梯队建设,优化调整人才引入、管理、考核和淘汰的机制;提升内控管理的专业化、精细化水平,优化内控管理工具和方法,提升风险识别、监测、预警、应对的效率和效果。同时,强化本行合规内控文化建设,狠抓典型、抓早抓小,逐步完善主动防范、及时发现、有效整改的良性内控机制,塑造“不愿、不敢、不能”的合规文化。
3、以智慧审计为引擎,打造内审硬核,助推经营管理可持续性发展
2021年,本行内部审计结合全行加速推进“数字化、线上化”转型战略和外部监管的要求,坚持“夯实、创新、协同、突破”的工作思路,通过构建“前中后台”智慧审计体系,整合集成内审资源;升级风险监测模型体系,助推全面开展持续审计;赋能一、二道防线加强管理,推动内外部问题落实整改,提升审计服务的深度和广度;持续优化内审队伍结构,深化专业人才培养和技能提升,全面打造内审“硬实力”。以新思维、新模式持续聚焦资产安全、人员行为、科技信息和合规内控四大风险领域,强化重点领域风险防控,为全行业务可持续性发展保驾护航,为公司经营管理辨症施治,为管理层战略决策出谋划策。
(三)其他重大事项说明
□适用 √不适用
平安银行股份有限公司二零二一年二月一日