平安银行股份有限公司2018年度内部控制评价报告
目 录
前 言 ...... 2
一、董事会声明 ...... 2
二、内部控制评价结论 ...... 2
三、内部控制评价工作的基本情况 ...... 4
(一)内部控制评价的依据和工作目标 ...... 4
(二)内部控制评价的范围 ...... 4
(三)内部控制评价的程序、方法和标准 ...... 6
四、建立内部控制体系的工作情况 ...... 8
五、内部控制的基本框架和主要政策 ...... 9
(一)内部环境 ...... 9
(二)风险评估 ...... 11
(三)控制活动 ...... 14
(四)信息与沟通 ...... 16
(五)内部监督 ...... 17
六、内部控制存在的缺陷、面临的主要风险及其影响 ...... 17
七、对内控缺陷及主要风险拟采取的整改措施及风险应对方案 ...... 18
前 言
根据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合平安银行股份有限公司(以下简称“本行”)内部控制制度和评价办法,在内部控制日常和专项监督的基础上,我们对本行2018年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、董事会声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会、高级管理层建立和实施内部控制进行监督。高级管理层负责组织领导全行内部控制的日常运行。本行 董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
本行内部控制的目标是促进各项经营管理活动依法合规, 合理保证发展战略和经营目标的全面实施和充分实现,持续改进和完善内部控制管理体系和运行机制,建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系,提高风险管理水平,促进业务、财务、会计和其他管理信息的真实 、准确、完整和及时。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
1、 本行于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2、 财务报告内部控制评价结论
√有效 □无效根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3、 是否发现非财务报告内部控制重大缺陷
□是 √否根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,本行未发现非财务报告内部控制重大缺陷。4、 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效
性评价结论的因素□适用 √不适用自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。5、 内部控制审计意见是否与本行对财务报告内部控制有效性的评价结论一致
√是 □否6、 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与本行内部控制
评价报告披露一致
√是 □否
本报告已于2019年3月6日经第十届董事会第二十三次会议审议通过。
三、内部控制评价工作的基本情况
(一)内部控制评价的依据和工作 目标
为保障本行建立健全和有效实施内部控制,持续提高内控管理水平,促进银行可持续健康发展,根据企业内部控制规范体系,结合《平安银行内部控制管理制度》、《平安银行操作风险与内部控制自我评估管理办法》,本行建立和完善了操作风险与内部控制自我评估(下称RCSA-CSOX-DCFC)体系,以满足监管内部控制评价、操作风险与控制自我评估、上市公司内部控制评价及银行自身管理要求。
RCSA-CSOX-DCFC工作目标是促进本行依法合规经营,增强核心竞争力;建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系;为银行案件防控提供工具方法和技术支持;持续优化和完善管理体系及业务流程;建立良好的内控文化,保障内控有效地运行,促进本行自身发展战略目标的实现。
(二)内部控制评价的范围
2018年,本行围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制五要素,从公司、流程、信息科技三个层面对内部控制设计和运行情况进行全面评价。法律合规部门牵头各职能部门/事业部及分支机构通过流程梳理盘点 、风险控制矩阵更新,确定主流程25个、子流程213个,涉及主要风险点963个,对应关键控制活动1,207个,自评测试涵盖上述全部风险点及关键控制活动。稽核监察部门在内控自评基础上,根据风险导向原则,选取340个关键控制活动开展独立测试,涉及25个主流程中的271个主要风险点。从而实现全面覆盖本行各机构和各业务线的评价内容,以保证全行整体风险水平在可控范围内,服务整体战略目标实现。1、纳入评价范围的主要单位包括:自评覆盖总行各职能部门/事业部和各级分支机构;稽核独立评价主要涉及25个总行职能部门及上海分行、广州分行、能源金融事业部等10个机构和单位。
2、纳入评价范围的单位占比:
表1 2018年度内部控制评价范围-1
| 指标 | 占比(%) |
| 纳入评价范围单位的资产总额占本行合并财务报表资产总额之比 | 100% |
| 纳入评价范围单位的营业收入合计占本行合并财务报表营业收入总额之比 | 100% |
3、 纳入评价范围的主要业务和事项:
表2 2018年度内部控制评价范围-2
| 流程 | 管理层自评 | 稽核独立评价 | ||
| 风险点 | 控制活动 | 风险点 | 控制活动 | |
| 财务报告 | 20 | 35 | 4 | 7 |
| 电子银行 | 22 | 27 | 9 | 9 |
| 对公贷款 | 59 | 68 | 32 | 40 |
| 费用管理 | 4 | 6 | 2 | 3 |
| 个人存款 | 22 | 31 | 8 | 9 |
| 公司层面 | 49 | 68 | 25 | 31 |
| 公司存款 | 28 | 52 | 14 | 19 |
| 固定资产、无形资产管理 | 15 | 17 | 5 | 6 |
| 离岸业务 | 23 | 33 | 6 | 6 |
| 理财产品 | 50 | 56 | 9 | 11 |
| 零售贷款 | 65 | 94 | 26 | 35 |
| 贸易结算 | 46 | 61 | 17 | 26 |
| 贸易融资 | 33 | 57 | 13 | 16 |
| 票据业务 | 53 | 61 | 6 | 7 |
| 汽车金融 | 60 | 73 | 21 | 28 |
| 人力资源 | 24 | 26 | 9 | 9 |
| 税务管理 | 17 | 20 | 6 | 6 |
| 投融资管理 | 25 | 25 | 4 | 4 |
| 投资银行 | 41 | 44 | 6 | 7 |
| 普惠金融 | 28 | 28 | 7 | 7 |
| 信息科技管理 | 58 | 77 | 12 | 20 |
| 信用卡 | 50 | 58 | 10 | 13 |
| 运营管理 | 57 | 66 | 8 | 8 |
| 资产托管 | 30 | 32 | 3 | 3 |
| 资金和同业业务 | 84 | 92 | 9 | 10 |
| 合计 | 963 | 1207 | 271 | 340 |
4、重点关注的高风险领域主要包括:战略转型下的对公贷款、零售贷款、小企业业务、汽车金融、理财产品、信息科技管理、资金和同业业务、投资银行、信用卡及票据业务等,实现了对需要高度关注和重点防控领域的全面覆盖。5、上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主要方面。
6、是否存在重大遗漏
□是 √否
7、 是否存在法定豁免
□是 √否
8、 其他说明事项
无
(三)内部控制评价的程序、方法和标准
1、 内部控制评价的程序和方法
2018年度本行遵循全面性、重要性、客观性和成本效益原则开展内部控制评价工作。
法律合规部门负责全行RCSA-CSOX-DCFC工作的组织、实施与跟踪工作。2018年本行RCSA-CSOX-DCFC是在充分整合操作风险管理(RCSA)、内部控制评价(CSOX)、部门控制检查体系(DCFC)的方法和资源基础上,由业务流程的参与者、经营管理活动的实施者,通过识别业务流程、经营管理活动中存在的固有风险点,从风险发生可能性及风险影响程度两个维度评价风险等级,测试控制活动的设计有效性及运行有效性,合理评估剩余风险水平,对业务流程、经营管理活动中
存在的风险状况与控制活动效果进行的定量、定性的评估,对内部控制缺陷实施整改。工作程序包括工作计划准备、风险控制矩阵更新及DCFC清单制定、控制执行有效性测试及评估、结果运用及整改跟踪四个阶段。
稽核监察部门组织实施内部控制稽核独立评价,对RCSA-CSOX-DCFC工作成果进行检视。2018年度,稽核独立评价结合全行持续深化转型,关注风险点及相应控制活动识别的适宜性和完整性,并根据监管要求以及本行经营情况,按照风险导向原则确定纳入独立评价范围的主要单位、业务和事项,在常规抽样方法基础上,运用大数据分析工具,强化对重点业务、重点风险领域的关注和覆盖;通过执行内控测试计划,并整合审计项目发现中影响内部控制的事项,认定内控缺陷并跟进整改。工作程序包括非现场准备、风险控制矩阵审阅、开展内控有效性测试、整合审计发现、认定缺陷及落实整改、形成内部控制评价报告五个阶段。
2、 内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求,采用人民银行《商业银行内部控制评价指南》内部控制缺陷认定标准,从定性和定量两个维度,结合内部控制缺陷对整体控制目标实现影响的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷,并与以前年度保持一致。
(1)财务报告内部控制缺陷认定标准
① 财务报告内部控制缺陷评价的定量标准
表3 财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.财务报告错报,按照错报金额占当年末资产总额的比例≥0.25%; 2.财务 错报金额占当年度利润总额的比例≥5%。 | 1.财务报告错报,按照错报金额占当年末资产总额的比例区间为[0.0125%,0.25%); 2.财务错报金额占当年度利润总额的比例区间为[0.25%,5%)。 | 1.财务报告错报,按照错报金额占当年末资产总额的比例<0.0125%; 2.财务错报金额占当年度利润总额的比例<0.25%。 |
② 财务报告内部控制缺陷评价的定性标准
重大缺陷是指可能产生或者已经造成重大金额财务报告的错报;重要缺陷是指
可能产生或者已经造成较大金额财务报告的错报;一般缺陷为可能产生或者已经造成较小金额财务报告的错报。
(2)非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。① 非财务报告内部控制缺陷评价的定量标准
表4 非财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 财务损失按照损失金额占当年度营业收入的比例≥1%。 | 财务损失按照损失金额占当年度营业收入的比例区间为[0.05%-1%)。 | 财务损失按照损失金额占当年度营业收入的比例<0.05%。 |
② 非财务报告内部控制缺陷评价的定性标准
表5 非财务报告内部控制缺陷评价定性标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.对本行整体控制目标的实现造成严重影响; 2.可能产生或者已经造成重大金额的财务损失; 3.违反有关法律法规或监管要求,情节非常严重,引起监管部门的严厉惩戒或其他非常严重的法律后果; 4.可能导致业务或服务出现严重问题,影响到数个关键产品/关键客户群体的服务无法进行; 5.造成的负面影响波及范围很广,引起国内外公众的广泛关注,对本行声誉、股价带来严重的负面影响。 | 1.对本行整体控制目标的实现造成一定影响; 2.可能产生或者已经造成较大金额的财务损失; 3.违反有关法律法规和监管要求,情节比较严重,引起监管部门较为严重的处罚或其他较为严重的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体的服务质量大幅下降; 5.造成的负面影响波及行内外,引起公众关注,在部分地区对本行声誉带来较大的负面影响。 | 1.对本行整体控制目标的实现有轻微影响或者基本没有影响; 2.可能产生或者已经造成较小金额的财务损失; 3.违反有关法律法规或监管要求,情节轻微,引起监管部门较轻程度的处罚或其他较轻程度的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体,并且影响情况可以立刻得到控制; 5.造成的负面影响局限于一定范围,公众关注程度较低,对本行声誉带来负面影响较小。 |
四、建立内部控制体系的工作情况
本行内部控制管理组织架构包括董事会、监事会、高级管理层、内控管理委员
会、内控管理职能部门、内部审计部门及业务部门。
董事会负责保证本行建立并实施充分有效的内部控制体系,保证在法律和政策框架内审慎经营;负责明确设定可接受的风险水平,保证高级管理层采取必要的风险控制措施;负责监督高级管理层对内部控制体系的充分性与有效性进行监测和评估。
监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会、高级管理层及其成员履行内部控制职责。
高级管理层负责制定系统化的制度、流程、方法和具体的操作规程,采取相应的风险控制措施;建立和完善内部管理组织机构;组织、协调和监督全行内部控制管理工作。
内控管理委员会是全行内部控制管理工作的议事与监督管理机构,负责决策、监督及协调涉及全行内部控制管理方面的重要事务。
总分行法律合规部、风险管理部是全行内控管理职能部门,负责牵头本行内部控制体系的统筹规划;与监管部门衔接内部控制的监管和评价要求,定期检查并检视业务部门内部控制管理的执行情况;通过实施内控绩效考评改进内部控制管理;跟踪报告全行内部控制及管理情况。
总行稽核监察部作为内部审计部门,履行内部控制的监督职能,负责对本行内部控制的充分性和有效性进行审计,及时报告审计发现的问题,并监督整改。
总分行各业务部门对本部门内部控制的风险防控负首要责任,负责贯彻执行内控制度并推动落实本部门各项内控措施和内控保障;制定并落实与自身职责相关的业务制度和操作流程;梳理流程,识别、评估风险点及影响,定期组织开展监督检查,并建立有效的信息沟通机制;强化内控文化建设,提高员工内控意识。
五、内部控制的基本框架和主要政策
(一)内部环境1、 公司治理
本行制定了《平安银行股份有限公司章程》、《平安银行股份有限公司股东大会议事规则》、《平安银行股份有限公司董事会议事规则》,并针对董事会下设的战略发展与消费者权益保护委员会、审计委员会、风险管理委员会、关联交易控制委员会、提名委员会、薪酬与考核委员会建立了相应的议事规则。本行还制定了董事与监事商业行为和道德守则、防范大股东及其关联方资金占用制度、董事监事和高级管理人员所持本公司股份及其变动管理办法、信息披露事务管理制度、内幕信息及知情人管理制度、年报信息披露重大差错责任追究制度、投资者关系工作制
度、董事监事履职评价办法等多项公司治理制度。
监事会根据《平安银行股份有限公司监事会议事规则》召开监事会会议,通过列席董事会及其专门委员会会议对董事会进行监督;通过日常巡检、调研检查辖内各机构内控执行情况,发现经营管理中需要解决的问题,告知董事会和高级管理层并督促其整改。2、 发展战略
2017年12月,我行原董事会战略发展委员会更名为董事会战略发展与消费者权益保护委员会,将消费者权益保护工作纳入到全行的战略层面。该委员会向董事会提供专业意见或根据董事会授权就专业事项进行决策,主要负责制定本行经营管理目标和长期发展战略,监督、检查年度经营计划、投资方案的执行情况;制定本行消费者权益保护工作的战略、政策和目标,将消费者权益保护工作作为经营发展战略的重要内容,并对其开展有效监督、评价。3、 企业文化
本行珍视员工,培养人才,为员工提供公正的评价机制,以及多种成长机会;制定《平安银行员工行为守则》,对员工行为进行全面规范;本行重视行内合规文化的培育,将诚实守信的经营理念融入日常生产经营过程;通过各种活动,积极开展合规文化建设,强化员工合规意识,营造良好的合规文化氛围;。
本行坚持以人为本,拓宽员工成长通道,关爱员工工作与生活,致力于银行发展与员工成长的和谐统一;本行建立了内部沟通平台进行企业文化宣传,同时,通
过开展一系列活动推广平安文化,关注扶贫、教育、敬老、特殊群体、环境保护等众多公益领域,建立良好的企业形象。4、 人力资源
本行继续落实可持续发展的人力资源政策,持续进行组织管理调研评估,并根据相关法律法规,进行合理的架构和岗位设定;持续优化能力评估方法及工具,细化能力评估标准,对每一能力层级及发展趋势进行更为清晰、客观、明确的界定;同时强化对直线主管的宣导和培训,统一评估人对能力评估标准的理解;设置多位评估人,为决策人提供多维度的评价参考,避免个人评估误差。5、 社会责任
本行根据中国银行业协会发布的《中国银行业金融机构企业社会责任指引(2009)》要求,制订了《平安银行企业社会责任信息报告制度》,设立社会责任专岗专门负责社会责任方面的工作内容,包括股东责任、客户责任、员工责任、环境和社会责任以及合作伙伴责任五大部分。(二)风险评估1、 信用风险
本行已建立集中、垂直、独立的全面风险管理架构,建成“派驻制风险管理、矩阵式双线汇报”的风险管理模式,总行风险管理委员会统筹各层级风险管理工作,总行风险管理部、公司授信审批部、零售风险管理部等专业部门负责全行信用风险管理工作。本行基于“科技引领、零售突破、对公做精”的转型战略,坚持“风险与发展相互协调,风险与收益相互均衡,风险与资本相互适应”的风险管理原则,持续完善信用风险全流程管理,有效提升本行信用风险管理水平。2、 市场风险
本行建立了有效的市场风险治理架构及健全的市场风险政策制度体系和管理流程。董事会是市场风险管理最高决策机构,承担市场风险管理的最终责任;高级管
理层及其下设委员会负责在授权范围内履行市场风险管理职责;总行风险管理部是全行市场风险的牵头管理部门,明确市场风险管理职责分工、风险识别与计量、风险应对措施等,并按制度规定开展风险识别、分析和计量工作及采取应对措施。3、 流动性风险
本行建立了流动性风险管理机制,明确了流动性风险管理的职责分工。董事会承担流动性风险管理的最终责任,资产负债管理委员会是流动性风险管理的最高管理机构,总行资产负债管理部在资产负债管理委员会指导下,负责本行日常流动性风险管理。监事会定期对董事会及高级管理层在流动性风险管理中的履职情况进行监督评价。
本行重视流动性风险管理,持续优化流动性风险管理框架和管理策略,建立了完善的流动性风险管理体系;定期开展流动性风险压力测试,审慎评估未来流动性需求;不断完善流动性风险应急计划,针对特定事件制定具体的解决方案;加强各相关部门之间的沟通和协同工作,提高流动性风险应对效率。4、 操作风险
本行遵循操作风险管理监管要求,建立并不断完善与本行业务性质、规模和复杂程度相适应的操作风险管理体系。总行法律合规部负责本行操作风险管理体系的建立和实施,并确保全行范围内操作风险管理的一致性和有效性。本行操作风险管理遵循全面性、重要性、统一性及成本效益原则,实现各项操作风险管理目标。5、 国别风险
本行按照监管要求制定了《平安银行国别风险管理办法》,明确规定国别风险管理职责、管理手段和工作流程,建立并完善国别风险管理体系。本行动态监测国别风险变化,认真做好国别风险评级、限额管理、监测预警和国别风险准备金计提与报告工作。
6、 银行账簿利率风险
本行建立了完善的利率风险管理机制,明确了利率风险管理的职责分工。资产负债管理委员会是经高级管理层授权的利率风险管理专门委员会,履行授权下的利率风险管理职责,确保我行有效的识别、计量、监测和控制各项业务所承担的利率风险。7、 声誉风险
本行声誉风险管理分为五个层级,分别为董事会、 高级管理层、总行归口管理部门、总行各业务及职能部门、各经营单位,董事会为声誉风险管理的最终责任人和最高决策者。通过建立声誉风险管理框架,明确各层级职责权限。
本行持续完善声誉风险管理制度,加大声誉风险考核力度;开展声誉风险事前排查,加强声誉风险前置管理;持续优化舆情监测机制,强化危机应对系统,提升声誉风险管理的主动性;提高全行声誉风险意识,构建自媒体关系网络,不断夯实声誉风险管理基础。8、 其他风险
本行面临的其他风险还包括法律风险、合规风险、洗钱风险等。
本行法律风险管理工作重点围绕事前风险防范、事中风险控制、事后风险化解三个层次展开,并在法律风险管理的主要领域建立制度化、规范化、系统化的管理机制,持续提升本行业务的法律风险管理水平。同时,通过推广运用集团AI成果,提高法律事务管理能力和效率。一是通过智能法律评审系统,一键生成用印合同和法律风险提示,提高法律审查效率和质量;二是通过AI好律师平台,整合全行律师资源,利用大数据精准寻找合适和匹配的律师,进一步提升外部律师资源的服务能力和积极作用,更好地为我行提供外部专业法律服务;三是提升全行案件管理和应对能力,借助AI好律师系统的一键维权等功能,提升案件和维权的效率和质量。
本行重视合规管理、内控管理及案件防控工作,通过风险热图揭示主要风险领域、各条线和分支机构的风险程度与突出问题,检视内控与合规重点工作落实情况,督促责任部门采取切实有效的整改措施;强化与创新相适应的法律合规评审管
理,持续深化合规评审前置、按“集中资源、专业对接”原则加大法律合规支持力度,加大对重点业务监管文件的解读及分析研究,识别合规风险,推动经营机构提升法律合规风险防御能力;积极开展合规文化建设,强化全行员工合规意识,营造良好的合规文化氛围。
本行重视反洗钱管理工作,将洗钱风险纳入全面风险管理体系,根据反洗钱监管文件要求,持续完善反洗钱内控管理机制。通过修订完善银行重要反洗钱管理制度,发挥内控制度基础性作用;完善反洗钱组织架构,强化反洗钱工作力度;加强反洗钱工作检查,提高反洗钱工作质量;建立健全业务部门反洗钱工作机制,将反洗钱工作要求融入到具体业务流程;加强反洗钱系统建设,持续优化反洗钱系统设置,以符合监管要求和业务实际操作需求。(三)控制活动
本行建立健全内部控制制度体系,围绕制度管理、风险监控、系统控制、职责权限和人员管理以及各专业领域控制活动,落实内外部管理要求;通过不断检视内部控制措施的合理性和充分性,完善和强化内部控制保障体系,为业务持续、健康发展奠定基础。1、 制度管理
本行密切关注外部监管政策法规的最新变化,针对新发布、新实施、与银行有关的重要外部政策法规开展解读、影响分析、落实差距等,并制定应对方案及落实措施内化到本行制度中,致力于我行制度及经营符合外部政策法规的最新要求。
本行制度管理遵循合法合规、制度先行、务实有效、精简规范、整体连贯的原则,建立以管理架构、产品流程为基础的“条线--部门--产品/业务”制度基本体系。每项制度的规划、起草、审核、发布、修订、废止、日常维护等事项均采用线上化管理。通过强化全行制度管理,组织完成年度制度规划,强化制度下发前的合规性评审,持续提升制度管理质量,巩固全行业务发展及内部管理基础。2、 风险监控
本行通过提升操作风险管理三大工具“RCSA-CSOX-DCFC、关键风险指标(KRI)、损失数据收集(LDC)”的运用深度、覆盖广度及实施效果,发挥管理工具效用,提升操作风险识别、评估、监测、预警、整改能力,防范和化解各类操作风险,控制操作风险损失率,支持业务健康发展。同时,整合风险热图与关键风险指标(KRI)风险监测工具,建立多层级指标体系,丰富并完善风险热图评级机制,持续提升风险管控能力。3、 系统控制
本行持续推进全行系统化、智能化建设,加大科技在业务和管理中的应用,并不断完善安全及风险管理体系、监控体系、IT运维管理体系等,提升全员科技意识,培养员工业务素质与服务意识,完善事件、服务台管理流程等,不断提升本行IT服务能力和质量。
4、 职责权限和人员管理
本行通过明确职责和权限,形成规范的部门、岗位职责说明及报告路线,并建立动态更新和调整的授权体系;根据监管及合规管理要求,制定并实施重要岗位轮岗和强制休假制度。
建立健全从业人员行为管理制度体系,规范从业人员行为风险监测、识别、记录、处理、报告、评估全流程,完善从业人员行为的长期监测机制,针对重点问题、关键岗位不定期排查,对发现的问题予以记录并及时提出处理建议,组织制订业务条线从业人员行为细则,对从业人员违反信息安全规范等失范行为加强排查、警示教育和责任追究,同时通过现场宣导、视频培训、知鸟课程等形式开展合规教育培训,树立诚信尽职、合规操作的理念。同时,加强员工信息安全管理,促进全体员工树立合规意识、安全意识,自觉遵守信息安全相关制度,维护银行信息安全。
5、 专业领域控制活动
本行运营围绕监管要求和我行发展战略、经营目标与风险管理要求,加强科技运用,建立全面的风控数据仓库、异常账务侦测等,不断优化运营管理内部控制体系;制定《平安银行基本会计制度》及财务企划、采购、费用管理、业务会计核算等制度和操作流程,规范会计确认、计量和报告行为,确保财务会计信息真实、可靠、完整;建立账务核对、监控制度,定期对各种账证、报表进行核对,对现金、有价证券等有形资产和重要凭据进行盘点;建立本行信息安全管理体系,在内部推行统一的信息安全规范,包括信息安全方针、策略、标准、程序、基线、指引和守则六个方面;明确本行业务连续性管理架构及管理要求,建立与本行战略目标相适应的业务连续性管理体系,加强应急演练和应急事件管理,完善运营中断事件应急处置程序,降低中断事件的影响并迅速恢复运营能力,不断提升业务连续性管理水平和应急处理能力。(四)信息与沟通
本行董事长是公司信息披露的第一责任人,行长是信息披露的责任人。董事会秘书是公司信息披露的直接责任人,负责具体协调和组织公司信息披露事务。本行通过制定信息披露事务管理制度,明确信息披露职责、程序及管理措施,完善信息披露的风险控制机制,确保披露的信息真实、准确、完整、及时、公平。
为及时掌握监管信息动态,有效传递监管风险信息,加强对监管信息的管理,本行制定了《平安银行监管信息管理办法》,对监管信息事项进行风险分类,分类别明确报送范围,促进监管信息传达的准确性和传送效率。稽核监察部检视规范各分行监管信息录入呈报情况,对迟漏报重大监管信息的典型案例通报全行、进行问责。开展培训,帮助提高机构重视度和报送质量。同时,加强与监管机构的信息传递,确保按照监管要求如实报告相关信息。
本行建立了内部信息沟通机制,明确了信息报送职责,规范了信息传递要求,制定了公文流转程序,会议制度和内部信息报送制度,并采取多种信息沟通渠道确保重要的信息得到及时沟通和汇报。本行通过公文流转、会议、办公自动化系统、行刊等多种渠道收集信息并在银行内部各管理级次、责任单位、业务环节之间进行
沟通和反馈。(五)内部监督
本行实行独立垂直的内部审计管理体系,设立首席审计官负责管理本行内部审计工作,定期向审计委员会和监事会报告审计工作开展情况,保证独立、客观地履行内部监督职责。本年度内审部门因应银行转型战略要求,不断提升大数据运用能力,推动内部审计工作的标准化和智能化,并且通过强化审计成果运用,促进风险和内控管理水平的提升,为内控和全面风险管理保驾护航。
六、内部控制存在的缺陷、面临的主要风险及其影响
(一)财务报告内部控制缺陷认定及整改情况
按照财务报告内部控制缺陷认定标准,报告期内本行不存在财务报告内部控制重大缺陷、重要缺陷和一般缺陷。
(二)非财务报告内部控制缺陷认定及整改情况
按照非财务报告内部控制缺陷的认定标准,报告期内本行不存在非财务报告内部控制重大缺陷、重要缺陷。内控评价中发现的 102个一般缺陷, 截至2018年12月31日均已完成整改。
(三)内部控制缺陷面临的主要风险及其影响
本年度内控自评认定缺陷91个,内控稽核独立评价认定缺陷11个,合计共认定缺陷102个。其中设计性缺陷16个,表现为制度不完善、系统功能需优化、流程内控不足等,占内控缺陷的15.69%;运行性缺陷86个,主要涉及零售贷款、对公贷款、理财产品、票据业务、信息科技管理和普惠业务等方面制度执行不到位、内控管理存在疏漏 ,占内控缺陷的84.31%。经营管理层对于发现的内部控制缺陷,已制定了整改计划并积极执行整改任务,对设计性缺陷,梳理业务流程,完善管理制度,修正流程及系统缺陷;对运行性缺陷涉及问题事件举一反三,健全管控机制,加强日常检查和监督,加大处罚力度,并加强对员工的培训和宣导,提高合规意
识。
通过验证和评价,根据内部控制评价和缺陷认定标准,本行内部控制制度设计合理、运行基本有效,有待改善事项对本行经营管理不构成实质性影响。
表6 2018年度内控缺陷情况
七、对内控缺陷及主要风险拟采取的整改措施及风险应对方案
2018年,本行继续深耕“科技引领、零售突破、对公做精”的转型战略,打造科技引擎,使科技应用不断深入业务操作和管理领域,在促进业务快速发展的同时,助力准确预判市场趋势,前置和不断强化风险防范、处置工作,战略转型成效显现。2019年,本行将定位“拥抱科技、拥抱生态的全新银行”,坚持“打造中国最卓越、全球领先的智能化零售银行”的战略方向,进一步提升科技赋能作用,助推全行业务和管理的持续创新和优化、内部控制和风险管理的不断完善和提高。
1、推进风险管理和内部控制的系统化、信息化建设,运用科技手段降低成本、提高效率。
在科技引领的发展战略下,本行2019年将继续加大科技在业务和管理中的应用,提升风险管理和内部控制的科技化水平。以信息科技为抓手,推进各类管理系统的信息化建设,实现风险管控关键环节的系统化控制,打造先进的智慧风控体系;通过集中化、自动化、远程化、智能化,全面降低业务成本,提升管理效率;结合全行深化转型战略,借助大数据分析等先进技术,持续关注零售AI、区块链金融等创新业务和产品带来的新型风险,不断优化模型、快速迭代,与时俱进完善内部控制管理体系。
2、持续完善全面风险管理体系,夯实基础,着力提升风险管理能力。
本行将持续完善风险管理体系和运行机制,进一步优化各类风险计量体系,提升风险防控能力;优化内控管理组织架构,配置有效资源,保障内部控制各项职责
| 一级流程数量 | 风险点数量 | 管理层内控自评 发现的内控缺陷数 | 内控稽核独立评价 新增发现的缺陷数 | 截至20181231尚未完成整改的内控缺陷数 |
| 25 | 963 | 91 | 11 | 0 |
有效履行;强化风险预警、监测与管理,加强内部信息共享与交流,搭建智能化风控平台,为高速增长保驾护航;合理设定内部控制考评标准,发挥绩效考评体系作用,助力全行创新发展。
3、打造专业化、智能化的资产安全管控体系,加大防控查处力度。结合当前经济形势,不断完善本行 资产安全风控标准,聚焦重点行业、客户和区域,有针对性的制定差异化信贷风险策略;加快风险队伍的建设,培养和引入懂行业、知风险的风险专家,逐步建立起指导业务方向和驱动业务发展的专业化、智能化风控系统,持续完善和强化“自上而下”自动预警和“自下而上”上报预警相结合的双向互动预警管理模式。另一方面,推进风险政策制度、授信评审和法律合规评审前置,不断强化各项风险管理和合规政策的执行,加强违规案例的警示教育,加大对重点风控领域的关注和检查,并通过对违规行为严肃问责,继续保持高压态势,多措并举,确保本行资产安全。
4、运用科技力量深化稽核转型,聚焦风险重点,强化整改实效,加大问责震慑,助力转型决胜。
2019年,本行内部审计将顺应全面转型战略和外部持续强监管的需要,通过加强稽核 数据治理、系统搭建、大数据应用等,实现系统数据有效贯通、推进审计管理智能运作、完善内部审计的基础工具和平台,向“实时化、模型化、数字化、虚拟化、智能化”变革,实现智慧审计全面升级;加强与 “一、二道防线”协同联动,关注银行转型创新过程中的监管要求与新风险,不断研究和实践创新审计方式与方法,建立贴近全行实际的敏捷审计工作机制;针对审计发现提出有价值的风险提示和管理建议,推动整改落实和自我纠正机制的良好运行,形成风险防控的闭环管理;严厉查处各类违纪违规行为,打击徇私舞弊,为本行转型战略目标的实现提供内控管理保障。