平安银行股份有限公司2021年度内部控制评价报告
二〇二一年度
目 录
前 言 ...... 2
一、重要声明 ...... 2
二、 内部控制评价结论 ...... 2
三、 内部控制评价工作的基本情况 ...... 4
(一)内部控制评价的依据和工作目标 ...... 4
(二)内部控制评价的程序和方法 ...... 4
(三)内部控制评价范围 ...... 5
(四)内部控制缺陷认定标准 ...... 7
(五)内部控制缺陷认定及整改情况 ...... 9
四、 其他内部控制相关重大事项说明 ...... 10
(一)上一年度内控缺陷整改情况 ...... 10
(二)下一年度内控提升措施及风险应对方案 ...... 10
前 言根据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合平安银行股份有限公司(以下简称“本行”)内部控制制度和评价办法,在内部控制日常和专项监督的基础上,我们对本行2021年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会、高级管理层建立和实施内部控制进行监督。高级管理层负责组织领导全行内部控制的日常运行。本行董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。本行内部控制的目标是促进各项经营管理活动严格遵守国家法律法规、外部监管要求、银行规章制度,切实依法合规经营,加强风险管理能力,增强核心竞争力;合理保证发展战略和经营目标的全面实施和充分实现;持续改进和完善内部控制管理体系和运行机制,不断提高风险管理的有效性,保障本行风险状况监管评级维持在较高水平;建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系,提高风险管理水平,促进业务、财务、会计和其他管理信息的真实、准确、完整和及时。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、 内部控制评价结论
1、 本行于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2、 财务报告内部控制评价结论
√有效 □无效
根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3、 是否发现非财务报告内部控制重大缺陷
□是 √否
根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,本行未发现非财务报告内部控制重大缺陷。
4、 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效
性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
5、 内部控制审计意见是否与本行对财务报告内部控制有效性的评价结论一致
√是 □否
6、 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与本行内部控制评价报告披露一致
√是 □否
本报告已于2022年3月9日经第十一届董事会第二十九次会议审议通过。
三、 内部控制评价工作的基本情况
(一)内部控制评价的依据和工作目标
为保障本行建立健全和有效实施内部控制,持续提高内控管理水平,促进银行可持续健康发展,根据企业内部控制规范体系,结合《平安银行内部控制管理制度》《平安银行操作风险与内部控制自我评估管理办法》《平安银行内控稽核独立评价管理办法》,本行建立和完善了操作风险与内部控制自我评价体系,以满足监管内部控制评价、操作风险与控制自我评估、上市公司内部控制评价及银行自身管理要求。内部控制评价工作目标是促进本行依法合规经营,加强风险管理能力、增强核心竞争力;持续优化和完善管理体系及业务流程,保障有效益、可持续健康发展;建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系,建立良好的内控文化,保障内控有效运行,切实防范案件及各类风险,促进本行自身发展战略目标的实现。
(二)内部控制评价的程序和方法
2021年度本行遵循全面性、一致性、独立性、客观性、重要性和及时性原则开展内部控制评价工作。包括全行操作风险与内部控制自我评估(下称“管理层自评”)和稽核监察部内部控制独立评价(下称“稽核独立评价”)两个阶段。
法律合规部门负责管理层自评工作的组织、实施与跟踪。2021年本行管理层自评在持续提升内控自评工具(RCSA-CSOX-DCFC)的基础上,以风险为本,结合智能化应用和大数据分析,建立完善主动化、常态化的内控管理机制。由全行各部门/事业部和各分行通过识别和评估业务流程风险点、分析和测试现有控制活动的执行情况、评估设计有效性及运行有效性,评价剩余风险水平等一系列工作,对覆盖公司层面、流程层面及信息科技的所有业务/管理流程开展自我评估,同时建立整改管理流程,加强对内部控制缺陷整改的日常督办。工作流程覆盖计划准备、风险控制矩阵更新及DCFC清单制定、控制执行有效性测试及评估、结果运用及整改跟踪四
个阶段。
稽核监察部组织实施内部控制稽核独立评价,对管理层自评工作情况进行检视;对内部控制设计的充分性和运行的有效性进行评价,并督促落实内控缺陷的整改,促进本行内部控制目标实现。2021年受疫情反复影响,内部控制活动和评价工作均面临挑战,本行稽核独立评价在原有流程、方法基础上,通过整合常规审计、专项审计成果,结合持续审计新机制,联动部门各分部、室以协同方式开展风险控制矩阵(RCD)检视,并对纳入独立评价范围的主要单位、业务和事项开展穿行测试和运行测试。内控稽核独立评价工作程序包括项目计划、非现场分析、内控有效性测试、问题归因分析与缺陷认定、整改跟踪以及内部控制评价报告六个阶段。
(三)内部控制评价范围
2021年,本行按照风险导向原则,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督内部控制五要素,从公司、流程、信息科技三个层面对内部控制设计和运行情况进行全面评价。法律合规部门牵头各职能部门/事业部及分支机构,通过流程梳理盘点、风险控制矩阵更新,确定一级流程26个、二级流程298个,涉及主要风险点1,162个,关键控制活动1,403个,组织开展管理层自评。稽核监察部在管理层自评基础上,选取354个主要风险点、426个关键控制活动开展独立测试。从而实现对本行各机构和各业务条线、重点业务、重点风险领域以及与财务报告相关的控制活动的全面覆盖,以保证全行内控体系健全、运行有效,整体风险水平在可控范围内,服务整体战略目标实现。
1、纳入评价范围的主要单位包括:自评覆盖总行各职能部门/事业部和各级分支机构;稽核独立评价主要涉及总行各职能部门及事业部,以及部分抽样分行。
2、纳入评价范围的单位占比:
表1 2021年度内部控制评价范围-1
| 指标 | 占比(%)1 |
| 纳入评价范围单位的资产总额占本行合并财务报表资产总额之比 | 99.85% |
| 纳入评价范围单位的营业收入合计占本行合并财务报表营业收入总额之比 | 98.44% |
3、纳入评价范围的主要业务和事项:
表2 2021年度内部控制评价范围-2
| 一级流程 | 管理层自评 | 稽核独立评价 | ||
| 风险点 | 控制活动 | 风险点 | 控制活动 | |
| 财务报告 | 24 | 40 | 6 | 7 |
| 电子银行 | 23 | 28 | 7 | 7 |
| 对公贷款 | 95 | 107 | 29 | 34 |
| 费用管理 | 5 | 8 | 3 | 5 |
| 个人存款 | 20 | 28 | 7 | 7 |
| 公司层面 | 59 | 78 | 17 | 23 |
| 公司存款 | 38 | 61 | 17 | 23 |
| 固定资产、无形资产管理 | 28 | 31 | 4 | 5 |
| 离岸业务 | 22 | 32 | 6 | 6 |
| 理财产品 | 37 | 40 | 10 | 11 |
| 零售贷款 | 71 | 100 | 35 | 44 |
| 贸易结算 | 65 | 83 | 24 | 32 |
| 贸易融资 | 35 | 60 | 5 | 8 |
| 票据业务 | 55 | 59 | 27 | 31 |
| 汽车金融 | 65 | 74 | 18 | 23 |
| 人力资源 | 46 | 50 | 8 | 9 |
| 税务管理 | 22 | 25 | 14 | 15 |
| 投融资管理 | 25 | 25 | 1 | 1 |
| 投资银行 | 36 | 36 | 8 | 8 |
| 小企业业务 | 31 | 31 | 18 | 19 |
| 信息科技管理 | 63 | 85 | 26 | 32 |
| 信用卡 | 53 | 63 | 16 | 19 |
评价范围不含子公司:平安理财有限责任公司。
| 业务综合拓展 | 4 | 4 | 3 | 3 |
| 运营管理 | 82 | 93 | 29 | 38 |
| 资产托管 | 34 | 35 | 3 | 3 |
| 资金和同业业务 | 124 | 127 | 13 | 13 |
| 合计 | 1162 | 1403 | 354 | 426 |
4、重点关注的高风险领域主要包括:对公贷款、零售贷款、票据业务、汽车金融、信息科技管理、理财产品、信用卡、业务综合拓展、个人存款等业务流程,以及反洗钱管理、外包管理、消费者权益保护管理等监管关注领域,实现了对需要高度关注和重点防控领域的全面覆盖。
5、上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主要方面。
6、是否存在重大遗漏
□是 √否
7、是否存在法定豁免
□是 √否
8、其他说明事项
无
(四)内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求,采用人民银行《商业银行内部控制评价指南》内部控制缺陷认定标准,从定性和定量两个维度,结合内部控制缺陷对整体控制目标实现影响的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷,并与以前年度保持一致。
1、财务报告内部控制缺陷认定标准
(1)财务报告内部控制缺陷评价的定量标准
表3 财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.财务报告错报金额占当年末资产总额的比例≥0.25%; 2.财务报告错报金额占当年度利润总额的比例≥5%。 | 1.财务报告错报金额占当年末资产总额的比例区间为[0.0125%,0.25%); 2.财务报告错报金额占当年度利润总额的比例区间为[0.25%,5%)。 | 1.财务报告错报金额占当年末资产总额的比例<0.0125%; 2.财务报告错报金额占当年度利润总额的比例<0.25%。 |
(2) 财务报告内部控制缺陷评价的定性标准
重大缺陷是指可能产生或者已经造成重大金额财务报告的错报;重要缺陷是指可能产生或者已经造成较大金额财务报告的错报;一般缺陷为可能产生或者已经造成较小金额财务报告的错报。
2、非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。
(1)非财务报告内部控制缺陷评价的定量标准
表4 非财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 财务损失金额占当年度营业收入的比例≥1%。 | 财务损失金额占当年度营业收入的比例区间为[0.05%-1%)。 | 财务损失金额占当年度营业收入的比例<0.05%。 |
(2)非财务报告内部控制缺陷评价的定性标准
表5 非财务报告内部控制缺陷评价定性标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.对本行整体控制目标的实现造成严重影响; 2.可能产生或者已经造成重大金额的财务损失; 3.违反有关法律法规或监管要求,情节非常严重,引起监管部门的严厉惩戒或其他非常严重的法律后果; 4.可能导致业务或服务出现严重问题,影响到数个关键产品/关键客户群体的服务无法进行; 5.造成的负面影响波及范围很广, | 1.对本行整体控制目标的实现造成一定影响; 2.可能产生或者已经造成较大金额的财务损失; 3.违反有关法律法规和监管要求,情节比较严重,引起监管部门较为严重的处罚或其他较为严重的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体的服务质量大幅下降; 5.造成的负面影响波及行内外,引起公众关注,在部分地区对本行声誉带来较 | 1.对本行整体控制目标的实现有轻微影响或者基本没有影响; 2.可能产生或者已经造成较小金额的财务损失; 3.违反有关法律法规或监管要求,情节轻微,引起监管部门较轻程度的处罚或其他较轻程度的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体,并且影响情况可以立刻得到控制; |
| 引起国内外公众的广泛关注,对本行声誉、股价带来严重的负面影响。 | 大的负面影响。 | 5.造成的负面影响局限于一定范围,公众关注程度较低,对本行声誉带来负面影响较小。 |
(五)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
按照财务报告内部控制缺陷认定标准,报告期内本行不存在财务报告内部控制重大缺陷、重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
按照非财务报告内部控制缺陷的认定标准,报告期内本行不存在非财务报告内部控制重大缺陷、重要缺陷。内控评价中发现的46个一般缺陷,截至2021年12月31日均已完成整改。包括管理层自评认定缺陷38个,稽核独立评价认定缺陷8个。其中:
设计性缺陷8个,占内控缺陷的17.4%,主要表现为线上化业务的系统设计与功能实现存在不足,风控系统和监测手段尚未完全适配等;运行性缺陷38个,占内控缺陷的82.6%,主要表现为对新业务、新流程、新要求理解执行不到位、业务操作不规范等,涉及汽车金融、零售贷款、信用卡、对公贷款、业务综合拓展、理财产品、公司层面、个人存款、离岸业务、信息科技管理等业务流程。
对于发现的内部控制缺陷,管理层已组织制定了整改计划并推动落实。针对设计性缺陷,通过梳理制度流程,明确职责权限,改善系统设计,完善系统控制加以改进;针对运行性缺陷及涉及的问题事件,通过追根溯源、举一反三,从根源上制订改善措施,明确管控要求,强化检查监督,加大问责处罚,并加强对员工的警示教育和合规宣导,提高全员合规意识,不断提升全行内控管理水平。
根据内部控制评价和缺陷认定标准,本行内部控制机制设计合理、运行基本有效,个别内部控制薄弱环节已制订改善措施并落实整改,对本行内部控制体系的健全性、有效性及财务报告的可靠性不构成实质影响。
表6 2021年度内控缺陷情况
| 一级流程数量 | 风险点数量 | 管理层自评 认定的内控缺陷数量 | 稽核独立评价 认定的内控缺陷数量 | 截至2021/12/31尚未完成整改的内控缺陷数量 |
四、 其他内部控制相关重大事项说明
(一)上一年度内控缺陷整改情况
□适用 √不适用
(二)下一年度内控提升措施及风险应对方案
2021年,全球疫情反复,经济环境复杂多变,本行积极贯彻党中央、国务院决策部署,聚焦服务实体经济,加大对先进制造业、战略新兴产业、小微及困难企业支持力度;初步搭建闭环管理内控平台,深化完善体制机制,创新丰富监督手段,内控价值不断提升。2022年,本行确定“短期速战速赢、中期强基固本、长期布局未来”工作重点,内控在“守好门、看好人、管好事”的同时,坚守合规风险生命线,夯实稳健发展防火墙,在组织体系上发挥新效能,在监督执纪上形成新机制,坚持系统施治、标本兼治,护航本行转型进阶。
1、紧盯新旧动能转换,坚守资产质量生命线
2022年,本行将紧盯热点行业,持续加强行业研究,重新审视房地产、政府及资本市场三大信用,制定“新旧三大信用转换”策略,在守好基本盘的同时,培育壮大新的业务增长点;继续坚持审慎的风险偏好,强化资产质量管理,建立生态化的行业风险政策体系;迭代升级智慧风控平台,加强风险数据治理,绘制风险数据地图,丰富系统应用场景,提升风险管理的前瞻性和主动性,做精重点行业、做深重点客户、做出区域特色,全力以赴守好资产质量生命线。
2、优化内部控制长效机制,加强风险合规文化建设
2022年,本行将继续加强内部控制核心能力建设,提升风险识别、监测能力,提高风险预警、应对能力;规划开展“2022年合规能力巩固年”系列活动,探索建设“合规治理网络体系”,完善合规网格化管理机制,变“被动合规“为“主动合规”,强基固本,形成合规经营的内生动力;前瞻治未病,重拳抓典型,通过常态化的内控检查和内部控制评价,助力提升合规风险管控能力,营造良好的文化氛围。
| 26 | 1162 | 38 | 8 | 0 |
3、持续优化智慧审计模式,为业务高质量发展保驾护航
2022年,本行内部审计将紧密围绕战略方向,强化职能前置,深化科技赋能,聚焦“前瞻、穿透、协同”三大关键支持战略转型。继续创新迭代审计模式,根据业务风险变化及时调整审计策略;充分利用科技赋能,借助智能工具推动防线前移和自查自愈,推动提升内控管理水平;紧盯屡查屡犯问题,通过“破冰行动”加强根源治理,攻克历史顽疾;同时加强与纪检监察工作协同联动,坚持“高举高打”、重拳整治违规违纪典型,通过立体式宣导、一体推进企业文化建设,夯实可持续发展根基,助推业务高质量发展。
(三)其他重大事项说明
□适用 √不适用
平安银行股份有限公司
二零二二年三月九日