平安银行股份有限公司2023年度内部控制评价报告
二〇二三年度
目 录
前 言 ...... 2
一、重要声明 ...... 2
二、 内部控制评价结论 ...... 2
三、 内部控制评价工作的基本情况 ...... 4
(一)内部控制评价的依据和工作目标 ...... 4
(二)内部控制评价的程序和方法 ...... 4
(三)内部控制评价范围 ...... 5
(四)内部控制缺陷认定标准 ...... 7
(五)内部控制缺陷认定及整改情况 ...... 8
四、 其他内部控制相关重大事项说明 ...... 10
(一)上一年度内控缺陷整改情况 ...... 10
(二)下一年度内控提升措施及风险应对方案 ...... 10
前 言根据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合平安银行股份有限公司(以下简称“本行”)内部控制制度和评价办法,在内部控制日常和专项监督的基础上,我们对本行2023年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会、高级管理层建立和实施内部控制进行监督。高级管理层负责组织领导全行内部控制的日常运行。本行董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。本行内部控制的目标是促进各项经营管理活动严格遵守国家法律法规、外部监管要求、银行规章制度,切实依法合规经营,加强风险管理能力,增强核心竞争力;合理保证发展战略和经营目标的全面实施和充分实现;持续改进和完善内部控制管理体系和运行机制,不断提高风险管理的有效性,保障本行风险状况监管评级维持在较高水平;建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系,提高风险管理水平,促进业务、财务、会计和其他管理信息的真实、准确、完整和及时。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、 内部控制评价结论
1、 本行于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2、 财务报告内部控制评价结论
√有效 □无效
根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3、 是否发现非财务报告内部控制重大缺陷
□是 √否
根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,本行未发现非财务报告内部控制重大缺陷。
4、 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效
性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
5、 内部控制审计意见是否与本行对财务报告内部控制有效性的评价结论一致
√是 □否
6、 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与本行内部控制
评价报告披露一致
√是 □否
本报告已于2024年3月14日经第十二届董事会第二十三次会议审议通过。
三、 内部控制评价工作的基本情况
(一)内部控制评价的依据和工作目标
为保障本行建立健全和有效实施内部控制,持续提高内控管理水平,促进银行可持续健康发展,根据企业内部控制规范体系,结合《平安银行内部控制管理办法》《平安银行操作风险与内部控制自我评估(RCSA-CSOX-DCFC)管理办法》《平安银行内部控制稽核独立评价管理办法》,本行建立和完善了操作风险与内部控制自我评价体系,以满足监管内部控制评价、操作风险与内部控制自我评估及银行自身管理要求。内部控制评价工作目标是通过对内部控制的充分性和有效性进行监督评价,发现内部控制缺陷,督促相关问题整改,提升和完善内部控制,促进本行依法合规经营,提高风险管理水平;优化内部控制程序,强化内部控制意识,保障内控体系有效运行,促进本行自身发展战略目标实现。
(二)内部控制评价的程序和方法
2023年度本行遵循全面性、一致性、独立性、客观性、重要性和及时性原则,对本行内部控制体系建设、实施和运行成果进行测试、分析和评估。包括全行操作风险与内部控制自我评估(下称“管理层自评”)和内部控制稽核独立评价(下称“稽核独立评价”)两个阶段。
法律合规部负责管理层自评工作的组织、实施与跟踪。2023年本行管理层自评在持续提升内控自评工具(RCSA-CSOX-DCFC)的基础上,以风险为本,积极探索智能化应用,结合大数据分析,强化内控自评质量,推动各级机构内控管理主动化、常态化机制建立和运转。由全行各部门和各分行通过识别和评估业务流程风险点、分析和测试现有控制活动的执行情况、评估设计有效性及运行有效性,评价剩余风险水平等一系列工作,对覆盖公司层面、流程层面及信息科技的所有业务/管理流程开展自我评估,同时建立整改管理流程,加强对内部控制缺陷整改的日常督办。工作流程覆盖全面梳理业务流程、识别评估关键风险、测试设计与运行有效性、发现
问题与整改追踪、评价剩余风险水平五个阶段。稽核监察部组织实施稽核独立评价,对管理层自评工作情况进行检视;对内部控制设计的充分性和运行的有效性进行评价,并督促落实内控缺陷的整改,促进本行内部控制目标实现。2023年本行稽核独立评价在原有流程、方法基础上,对风险控制矩阵(RCD)开展抽样检视,整合常规审计、专项审计成果开展归因分析,并对纳入独立评价范围的主要单位、业务和事项开展抽样穿行测试和运行测试。稽核独立评价工作程序包括项目计划、非现场分析、内控有效性测试、问题归因分析与缺陷认定、整改跟踪以及内部控制评价报告六个阶段。
(三)内部控制评价范围
2023年,本行遵循风险导向原则,围绕内部环境、风险评估、控制活动、信息与沟通和内部监督等内部控制五要素,从公司、流程、信息科技三个层面对内部控制设计和运行情况进行全面评价。法律合规部牵头流程梳理盘点、风险控制矩阵更新,组织开展管理层自评,本年度银行确定一级流程26个、二级流程336个,涉及主要风险点1,240个、关键控制活动1,472个;理财子确定一级流程18个、二级流程104个,涉及主要风险点405个、关键控制活动407个。稽核监察部在管理层自评基础上,选取关键控制活动开展独立测试,银行选取了355个主要风险点、415个关键控制活动,理财子选取了128个主要风险点、128个控制活动。本年度内部控制评价覆盖本行各机构和各业务条线,重点业务、重点风险领域以及与财务报告相关的控制活动,以保证全行内控体系健全、运行有效,整体风险水平在可控范围内,从而服务于整体战略目标实现。
1、纳入评价范围的主要单位包括:管理层自评覆盖总行各职能部门和各级分支机构;稽核独立评价主要涉及总行各职能部门,以及部分抽样分行。平安理财有限责任公司自行开展内部控制评价工作,评价结果纳入本报告。
2、纳入评价范围的单位占比:
表1 2023年度内部控制评价范围-1
| 指标 | 占比(%) |
| 纳入评价范围单位的资产总额占本行合并财务报表资产总额之比 | 100% |
| 纳入评价范围单位的营业收入合计占本行合并财务报表营业收入总额之比 | 100% |
3、纳入评价范围的主要业务和事项:
银行:财务报告、电子银行、对公贷款、费用管理、个人存款、公司层面、公司存款、固定资产及无形资产管理、离岸业务、理财产品、零售贷款、贸易结算、贸易融资、票据业务、汽车金融、人力资源、税务管理、投融资管理、投资银行、小企业业务、信息科技管理、信用卡、业务综合拓展、运营管理、资产托管、资金和同业业务。理财子:财务管理、采购管理、产品管理、法律和合规管理、风险管理、公司治理与战略管理、行政事务管理、集中交易、净资本管理、内部监督管理、品牌宣传管理、人力资源管理、投资管理、销售管理、信息科技、研究管理、运营管理、资金管理。
表2 2023年度内部控制评价范围-2
| 机构 | 管理层自评 | 稽核独立评价 | ||
| 风险点 | 控制活动 | 风险点 | 控制活动 | |
| 银行 | 1240 | 1472 | 355 | 415 |
| 理财子 | 405 | 407 | 128 | 128 |
4、重点关注的高风险领域主要包括:
银行:零售贷款、对公贷款、理财产品、汽车金融、信用卡、信息科技管理、票据业务、资金与同业业务、运营管理、贸易结算等流程,以及授信业务、代理销售、外部合作机构管理、反洗钱管理、数据治理、消费者权益保护管理等监管关注领域。
理财子:投资管理、集中交易、销售管理、运营管理、产品管理、信息科技、财务管理、资金管理、行政事务管理、法律与合规管理、人力资源管理、内部监督等流程。
5、上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主要方面。
6、是否存在重大遗漏
□是 √否
7、是否存在法定豁免
□是 √否
8、其他说明事项
无
(四)内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求,参考人民银行《商业银行内部控制评价指南》内部控制缺陷认定标准,从定性和定量两个维度,结合内部控制缺陷对整体控制目标实现影响的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷,并与以前年度保持一致。
1、财务报告内部控制缺陷认定标准
(1)财务报告内部控制缺陷评价的定量标准
表3 财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.财务报告错报金额占当年末资产总额的比例≥0.25%; 2.财务报告错报金额占当年度利润总额的比例≥5%。 | 1.财务报告错报金额占当年末资产总额的比例区间为[0.0125%,0.25%); 2.财务报告错报金额占当年度利润总额的比例区间为[0.25%,5%)。 | 1.财务报告错报金额占当年末资产总额的比例<0.0125%; 2.财务报告错报金额占当年度利润总额的比例<0.25%。 |
(2) 财务报告内部控制缺陷评价的定性标准
重大缺陷是指可能产生或者已经造成重大金额财务报告的错报;重要缺陷是指
可能产生或者已经造成较大金额财务报告的错报;一般缺陷为可能产生或者已经造成较小金额财务报告的错报。
2、非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。
(1)非财务报告内部控制缺陷评价的定量标准
表4 非财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 财务损失金额占当年度营业收入的比例≥1%。 | 财务损失金额占当年度营业收入的比例区间为[0.05%,1%)。 | 财务损失金额占当年度营业收入的比例<0.05%。 |
(2)非财务报告内部控制缺陷评价的定性标准
表5 非财务报告内部控制缺陷评价定性标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.对本行整体控制目标的实现造成严重影响; 2.可能产生或者已经造成重大金额的财务损失; 3.违反有关法律法规或监管要求,情节非常严重,引起监管部门的严厉惩戒或其他非常严重的法律后果; 4.可能导致业务或服务出现严重问题,影响到数个关键产品/关键客户群体的服务无法进行; 5.造成的负面影响波及范围很广,引起国内外公众的广泛关注,对本行声誉、股价带来严重的负面影响。 | 1.对本行整体控制目标的实现造成一定影响; 2.可能产生或者已经造成较大金额的财务损失; 3.违反有关法律法规和监管要求,情节比较严重,引起监管部门较为严重的处罚或其他较为严重的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体的服务质量大幅下降; 5.造成的负面影响波及行内外,引起公众关注,在部分地区对本行声誉带来较大的负面影响。 | 1.对本行整体控制目标的实现有轻微影响或者基本没有影响; 2.可能产生或者已经造成较小金额的财务损失; 3.违反有关法律法规或监管要求,情节轻微,引起监管部门较轻程度的处罚或其他较轻程度的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体,并且影响情况可以立刻得到控制; 5.造成的负面影响局限于一定范围,公众关注程度较低,对本行声誉带来负面影响较小。 |
(五)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
按照财务报告内部控制缺陷认定标准,报告期内不存在财务报告内部控制重大缺陷、重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
按照非财务报告内部控制缺陷的认定标准,报告期内不存在非财务报告内部控制重大缺陷、重要缺陷。2023年内控评价中发现63个一般缺陷,其中银行内控评价缺陷46个,理财子内控评价缺陷17个,截至2023年12月31日均已完成整改。
银行内控评价缺陷46个,包括管理层自评认定缺陷39个、稽核独立评价认定缺陷7个,其中:设计性缺陷10个,占内控缺陷的21.74%,主要表现为汽融合作经销商巡查要求不明确,零售贷后资金流向监测模型不完善,信用卡部分系统管理职责不清晰、例外豁免机制不健全,IT生产环境外购软件缺乏统筹管理,信息科技关键域名及恢复策略应急预案不完备等;运行性缺陷36个,占内控缺陷的78.26%,主要表现为部分零售、对公信贷业务“三查”不到位,零售催清收机构管控不足,机构消防及安保管理存在疏失,监管数据报送不准确,理财产品销售不规范等。
理财子内控评价缺陷17个,包括管理层自评认定缺陷15个,稽核独立评价认定缺陷2个,其中:设计性缺陷5个,占内控缺陷总数的29.41%,主要表现为未及时更新业务制度,数据治理管理待加强等;运行性缺陷12个,占内控缺陷总数的70.59%,主要表现在信息安全管理监督检查待加强、代销机构合作期间管理不到位,理财产品信息披露不规范等。
对于发现的内部控制缺陷,管理层已组织制订了整改计划并推动落实。针对设计性缺陷,及时建章立制,明确管理要求,细化职责分工,优化监测模型,改善系统设计;针对运行性缺陷,通过追根溯源、举一反三,加强同质同类问题排查整改,强化警示教育和合规宣导,加大问责处罚,提升监督检查质效。
根据内部控制评价和缺陷认定标准,银行及理财子内部控制机制设计合理、运行基本有效,个别内部控制薄弱环节已制订改善措施并落实整改,对内部控制体系的健全性、有效性及财务报告的可靠性不构成实质影响。
表6 2023年度内控缺陷情况
四、 其他内部控制相关重大事项说明
(一)上一年度内控缺陷整改情况
□适用 √不适用
(二)下一年度内控提升措施及风险应对方案
2023年,本行积极贯彻落实党的二十大、中央金融工作会议和中央经济工作会议精神,提升金融服务实体经济的能力,加大居民消费、民营企业、小微企业、制造业及涉农等领域的支持力度,践行绿色金融,支持乡村振兴,强化全面风险管理,坚定不移推进高质量发展。2024年,本行将围绕“党建引领、战略落实、队伍建设、增收节支”, 坚持“零售做强,对公做精、同业做专”战略方针, 强化总行服务赋能、做实分行自主经营,不断提升公司价值。内控将深化党建引领,厚植文化建设,提升纪检威慑,升级巡检监督,加强审计检视,强化案件防控,严肃整改问责,持续科技赋能,全面提升内控管理水平,助力全行转型进阶。
1、夯实内控核心能力,加强合规文化建设
2024年,本行坚持“敬畏监管、尊重规则、不踩红线”,牢固树立“内控强基、合规为本”的理念,建立健全内控体系,持续优化内控机制,落实制度“标准化、流程化、系统化”建设,持续完善合规治理网格体系。做实合规管理,提升反洗钱、反电诈、数据治理、信息安全、安全保卫等监管重点关注领域的管理质效;加强理财产品销售、汽融等零售合作机构管理、资产处置等领域的员工异常行为监测;以降低损失为目标,升级操作风险管理体系,通过常态化内控检查和定期的内控评价,提升管理有效性。
2、升级风险管控机制,筑牢资产质量生命线
2024年,本行将做实客户策略分类,优化零售风险策略,收紧高风险客户准入
| 机构 | 一级流程数量 | 风险点数量 | 管理层自评 认定的内控缺陷数量 | 稽核独立评价 认定的内控缺陷数量 | 截至2023/12/31尚未完成整改的内控缺陷数量 |
| 银行 | 26 | 1240 | 39 | 7 | 0 |
| 理财子 | 18 | 405 | 15 | 2 | 0 |
门槛,聚焦优质资产投放。强化零售风险全流程管控,重构贷中零售分层审批体系;建立贷后统一管理体系,加强零售风险统一预警和客户经理贷后标准动作的执行。夯实对公风险管控能力和“前瞻引领的事前管理+专业深耕的事中管理+联防联控的事后管理”全流程风险管控机制,把好风险底线。
3、持续提升审计效能,助力全行转型进阶
2024年,本行内部审计将坚持党建引领,紧扣银行改革转型,优化审计策略,全力发挥稽核监察“促经营、促管理、促发展”功能。突出重点领域,聚焦宏观政策落实、战略改革执行、重点风险防控、合规稳健经营四大方面,加大审计检视力度;深化基础机制建设,提升持续审计机构画像精准度,有效揭示风险问题,助力常规审计开展,用足用好各类赋能机制工具,持续向一二道防线推送风险数据,优化审计项目管理模式,推动各团队、各项目深度融合嵌入;深化纪检监督,强化三个预防机制,推进五大工作重点,夯实三项基础建设,持续推进从严治行;深化数字化转型,完善中台监测体系,强化模型运营管理能力,加强慧眼平台建设,持续提升科技效益。
(三)其他重大事项说明
□适用 √不适用
平安银行股份有限公司二零二四年三月十五日