兴业银行:2017年度内部控制评价报告2018-04-25
公司代码:601166 公司简称:兴业银行
兴业银行股份有限公司
2017 年度内部控制评价报告
兴业银行股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称企业内部
控制规范体系),结合本公司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项
监督的基础上,我们对公司2017年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一. 重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内
部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织
领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存
在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法
律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提
高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供
合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,
根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二. 内部控制评价结论
1. 公司于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2. 财务报告内部控制评价结论
√有效 □无效
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内
部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保
持了有效的财务报告内部控制。
3. 是否发现非财务报告内部控制重大缺陷
□是 √否
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务
报告内部控制重大缺陷。
4. 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素
□适用 √不适用
� 自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论
的因素。
5. 内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致
√是 □否
公司聘请德勤华永会计师事务所(特殊普通合伙)对本公司的内部控制进行独立审计。内部控制审
计意见与公司对财务报告内部控制有效性的评价结论一致。
6. 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致
√是 □否
三. 内部控制评价工作情况
(一). 内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
1. 纳入评价范围的主要单位包括:公司各职能部门、分支机构以及兴业金融租赁有限责任公司、兴
业国际信托有限公司、兴业基金管理有限公司、兴业消费金融股份公司、兴业经济研究咨询股份有限公
司、兴业数字金融服务股份有限公司等附属机构。
2. 纳入评价范围的单位占比:
指标 占比(%)
纳入评价范围单位的资产总额占公司合并财务报表资产总额之比 100
纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比 100
3. 纳入评价范围的主要业务和事项包括:
内控评价范围覆盖公司主要业务流程和管理活动,通过内控测试及检查监督评价两种方式进行。
内控测试范围包括:企业层面评估、信息科技层面评估和流程层面评估。其中,企业层面包括内部
环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素,35 个评价子领域;信息科技层
面包括信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和投产、信息科技运行管理、
连续性管理、外包服务管理等 7 个方面,35 个评价子领域;流程层面覆盖对公贷款、债券承销、同业
授信、同业投资、银票开立、银票贴现、个人贷款、代客理财、资产托管及对公存款等 10 个重点流程。
检查监督评价范围包括本年度内外部检查、审计等检查监督方式发现的内控缺陷。
4. 重点关注的高风险领域主要包括:
公司业务、零售业务、同业业务、中间业务、支付结算、信息科技运行管理等。
�5. 上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,是否存
在重大遗漏
□是 √否
6. 是否存在法定豁免
□是 √否
7. 其他说明事项
无
(二). 内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及银监会《商业银行内部控制指引》、《上海证券交易所上市公司内
部控制指引》等有关规定,并根据《兴业银行股份有限公司内部控制基本制度》、《兴业银行内部控制评
价管理办法》等制度,,组织开展内部控制评价工作。
1. 内部控制缺陷具体认定标准是否与以前年度存在调整
□是 √否
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规
模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确
定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。
2. 财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准如下:
指标名称 重大缺陷定量标准 重要缺陷定量标准 一般缺陷定量标准
资产及负债类科 错报>资产总额的 0.09% 资产总额的 0.005%<错报 错报≤资产总额的 0.005%
目潜在错报 ≤资产总额的 0.09%
所有者权益类科 错报>所有者权益的 1.6% 所有者权益的 0.1%<错报 错报≤所有者权益的 0.1%
目潜在错报 ≤所有者权益的 1.6%
损益类科目潜在 错报>利润总额的 6% 利润总额的 0.38%<错报≤ 错报≤利润总额的 0.38%
错报 利润总额的 6%
说明:
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报告内部控制缺陷主要是
指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。
内部控制缺陷可能导致或导致的损失与上述项目相关的,以相应的标准衡量;如损失同时与上述多
个项目相关的,按孰低原则确定适用的标准。
公司确定的财务报告内部控制缺陷评价的定性标准如下:
缺陷性质 定性标准
重大缺陷 一个或多个内部控制缺陷的组合,可能导致不能及时防止或发现并纠正财务报告中
的重大错报。存在重大缺陷的迹象包括:公司董事、监事或高级管理人员存在舞弊
� 行为;公司更正已公布的财务报告;注册会计师发现的未被公司内部控制识别的当
期财务报告中的重大错报;公司审计与关联交易控制委员会、内部审计部门对公司
财务报告内部控制的监督无效。
重要缺陷 一个或多个内部控制缺陷的组合,可能导致不能及时防止或发现并纠正财务报告中
虽不构成重大错报但仍应引起管理层重视的错报。存在重要缺陷的迹象包括:未依
照公认会计准则选择和应用会计政策;未建立反舞弊程序和控制措施;对于非常规
或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性
控制;对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财
务报表达到真实、完整的目标。
一般缺陷 不构成重大缺陷或重要缺陷的其他内部控制缺陷。
说明:
无
3. 非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准如下:
指标名称 重大缺陷定量标准 重要缺陷定量标准 一般缺陷定量标准
直接财产损失 直接财产损失>所有者权 所有者权益的 0.1%<直接 直接财产损失≤所有者权
益的 1.6% 财产损失≤所有者权益的 益的 0.1%
1.6%
说明:
非财务报告内部控制是指针对除财务报告目标之外的战略目标、资产安全、经营目标、合规目标等
其他目标的内部控制。公司非财务报告内部控制缺陷认定主要依据缺陷涉及业务性质的严重程度、直接
或潜在负面影响的性质、影响的范围等因素来确定。
公司确定的非财务报告内部控制缺陷评价的定性标准如下:
缺陷性质 定性标准
重大缺陷 一个或多个内部控制缺陷的组合,可能给公司带来重大操作风险、合规风险或声誉
风险,可能导致公司严重偏离内部控制目标。存在重大缺陷的迹象包括:公司缺乏
科学决策程序;严重违反国家法律、法规并受到处罚;关键岗位人员流失严重,影
响业务正常开展;媒体负面新闻频现;重要业务缺乏制度控制或系统失效;内部控
制重大缺陷未得到整改。
重要缺陷 一个或多个内部控制缺陷的组合,其严重程度和经济后果低于重大缺陷,如不加以
改进将可能导致合规风险或声誉风险,且仍有可能导致公司偏离内部控制目标。存
在重要缺陷的迹象包括:公司决策程序存在但不够完善;严重违反公司内部规章并
形成损失;关键岗位人员流失较为严重;媒体出现负面新闻并波及局部区域;重要
业务制度或系统存在缺陷;内部控制重要缺陷未得到整改。
一般缺陷 不构成重大缺陷或重要缺陷的其他内部控制缺陷。这些缺陷相关影响程度较低,主
要是有悖最佳操作原则和可能导致效率低下的做法,不太可能导致合规风险或声誉
风险。
说明:
�无
(三). 内部控制缺陷认定及整改情况
1. 财务报告内部控制缺陷认定及整改情况
1.1. 重大缺陷
报告期内公司是否存在财务报告内部控制重大缺陷
□是 √否
1.2. 重要缺陷
报告期内公司是否存在财务报告内部控制重要缺陷
□是 √否
1.3. 一般缺陷
公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内,不会对公司的资产安全、发展战
略和经营目标的实现、财务信息的准确性和完整性、风险管理体系的有效性等造成实质性影响,不会导
致公司偏离控制目标,并且已经制定了具体的方案和措施认真落实整改。
1.4. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重大
缺陷
□是 √否
1.5. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重要
缺陷
□是 √否
2. 非财务报告内部控制缺陷认定及整改情况
2.1. 重大缺陷
报告期内公司是否发现非财务报告内部控制重大缺陷
□是 √否
2.2. 重要缺陷
报告期内公司是否发现非财务报告内部控制重要缺陷
□是 √否
2.3. 一般缺陷
公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内,不会对公司的资产安全、发展战
略和经营目标的实现、财务信息的准确性和完整性、风险管理体系的有效性等造成实质性影响,不会导
致公司偏离控制目标,并且已经制定了具体的方案和措施认真落实整改。
�2.4. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
大缺陷
□是 √否
2.5. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
要缺陷
□是 √否
四. 其他内部控制相关重大事项说明
1. 上一年度内部控制缺陷整改情况
√适用 □不适用
公司 2016 年度所发现内部控制缺陷均为一般缺陷。公司建立了科学合理的整改工作机制,明确具
体缺陷的整改责任单位,制定详细的整改方案并严格落实。同时,加强整改监督工作,通过抽查、核验
等方式,对后续整改情况进行追踪,并将整改质量纳入内控合规考核范畴,促进缺陷的实质性整改以及
公司内部控制有效性的提升。
2. 本年度内部控制运行情况及下一年度改进方向
√适用 □不适用
2017 年,公司认真贯彻落实党的十九大和全国金融工作会议精神,坚持稳中求进的工作总基调,“稳
发展、补短板、促改革”,在深化改革、坚定转型的同时回归本源,扎实做好基础工作,加大弥补短板
力度,全面加强风险合规内控和运营支持保障体系建设。报告期内,公司高度重视内部控制建设,围绕
内部环境、风险评估、控制活动、信息与沟通、内部监督等方面不断加强和完善内部控制机制,为公司
的持续稳健发展提供了良好保障。
(1)内部环境
报告期内,公司进一步完善公司治理,持续强化“三会一层”职能建设,由股东大会、董事会、监
事会和高级管理层构建的公司治理结构运作规范、权责分明、制衡有效。根据最新监管指引并结合自身
实践,报告期内公司启动修改《兴业银行股份有限公司章程》工作并已形成修订草案,将加强党的领导
与完善公司治理统一起来,明确党委在公司治理中的领导核心地位,同时对照监管要求细化各治理主体
职责以及对董监事及高级管理层的履职监督要求,调整部分事项决策审议权限。《章程》草案履行法定
审议程序核准生效后,公司将启动董事会和监事会议事规则、董事履职评价办法等制度的修订工作,进
一步明晰权责边界,促进公司治理持续规范运作。继续完善董监事和高级管理层的履职档案,常态化组
织开展履职评价工作,并及时向董事会、高级管理层和监管部门通报评价结果。定期召开股东大会、董
事会、监事会等,在制定发展战略、财务预算方案、风险管理和内控制度以及聘任和监督高级管理人员
�等方面,有效发挥决策和监督职能,通过建立监督意见反馈落实机制,确保监督取得实效。同时,监事
会持续动态跟进各项监管要求,在日常履职过程中注重对董事会、高级管理层落实各项监管文件的监督,
确保本行依法合规经营。报告期内,公司组织开展了“两会一层”风控责任落实情况自查,对公司治理、
董监事会及高管层的履职情况等进行排查,促进公司治理有效性的进一步提升。
本年度,公司市场地位和品牌形象进一步提升,荣获权威机构颁发的“亚洲卓越商业银行”、“最佳
股份制商业银行”、“年度最佳上市银行”、“卓越竞争力金融控股集团”、“2016-2017 年度中国最受尊敬
企业”、“2017 年度责任企业”、“2017 年度最具创新力品牌”、“卓越托管服务银行”、“2017 年度卓越交
易银行”等称号。公司董事会荣获“2017 年中国战略型上市公司卓越董事会”,董事长高建平荣获“年
度卓越银行家”、“2017 年中国百佳 CEO”、“中国卓越金融品牌人物”等荣誉,副行长兼董事会秘书陈信
健获评十佳“金牌董秘”等荣誉。
报告期内,公司通过完善社会责任管理工作机制,不断提升社会责任和专业化管理能力。修订社会
责任指标并编写银行业优秀案例,建立加强社会责任创新工作机制,收集整理集团社会责任工作信息,
定期开展社会责任监测和后评价工作,加强对业务可持续发展的支持作用;撰写出版《从绿到金:基于
赤道原则的银行可持续发展实证研究》专著,进一步将可持续发展理论与实证研究成果体系化;继续与
“福建绿家园环境友好中心”开展环境风险预警合作,将其发布的《福建省污染企业名单》中涉及到的
环境预警信息纳入本行预警管理系统。公司凭借多年来在推动绿色金融和普惠金融、扎实服务实体经济
方面的杰出表现,荣获包括连续七年蝉联的中国银行业协会颁发的“年度最具社会责任金融机构奖”在
内的 10 余个社会责任奖项。
(2)风险评估
报告期内,公司根据内外部环境变化,结合公司新一轮五年规划目标,积极深化风险管理体制机制
改革,完善与业务转型相匹配的风险体系,注重长效机制建设。
报告期内,公司加强全口径资产质量管理,确保资产质量平稳并处于同类型银行较好水平;推进实
施专业审批官制度,修订《专业审批官管理办法》,以专家审批官替代行政长官决策,完善以“审贷分
离、分级审批”为核心内容的分权分级审批授权体系,拓宽审批通道,提高审批效率;深入开展风险检
查监督,加大问责处罚力度,强化严格治理、履职尽职要求;深入开展调查研究,把握市场热点,提高
风险管理前瞻性。
报告期内,公司进一步推进新资本协议工作,完善风险计量工具应用体系和内部评价管理机制。一
是完善新资本协议制度体系,修订非零售客户限额管理办法,进一步提高客户限额准确性,制定年度分
行考核指标和评级认定权限配置方案,明确境外客户评级流程和评级规则,进一步规范相关工作要求。
二是完成资本计量高级方法第二次自评估,组织相关部门完成内部资本充足评估程序(ICAAP),加大内
�评法应用于 EVA 的比例,开展内评成果在客户准入、业务授权、贷款定价、差异化抵质押率等方面的数
据测算和应用方案设计,开展首次地方政府信用评级,推进应用模型开发与优化。三是完善系统支持,
改进优化系统功能,完成客户限额二期系统部署,持续改进风险加权资产(RWA)计量系统,不断提升
计量准确性。
(3)控制活动
授信业务方面,一是根据最新行业政策、市场动态及分行业务诉求,制定年度授信政策,加大差异
化授权授信管理,提高风险管理的敏感性,指导各级分支机构继续执行有区别的授信政策,积极支持实
体经济发展,优化信贷资源配置。二是推进集团统一授信管理,报告期内完成并发布集团统一授信管理
信息化建设项目需求评审报告,以统一授信为核心,逐步建立覆盖全机构、全客户、全流程、全资产的
统一授信管理系统。三是强化押品管理,通过“兴风向”活动、优秀案例宣传等形式推广押品估值管理
先进经验,进一步提升估值管理精细化水平。四是全面开展信用风险排查,积极配合监管部门的监管督
查,指导各级机构做好检查和整改工作。
存款与柜面业务方面,一是完善内控制度建设,制定《兴业银行集中作业处理系统(CPS 前台)业
务处理事权划分细则》、《关于进一步规范分行托管业务会计操作的通知》等业务规范,进一步调整优化
柜面操作流程、明确各岗位职责,加强风险和差错管控,提升服务质量和处理效率。二是有序推进内控
系统建设,“啄木鸟”案防信息系统正式上线,会计风险监控五期项目也已进入上线准备阶段,非现场
检查对案件和风险信息捕捉的准确性进一步提升。三是持续提高生产系统内控硬约束控制水平,优化会
计资料影像处理系统,建设结算账户信息管理系统,提高业务处理效率和质量。
中间业务和新兴业务方面,一是持续完善中间业务考核激励政策,通过优化考核指标、加大资源配
置、制定收入计量方案等方式积极引导经营机构发展轻资本占用中间业务,同时增设监管处罚容忍度指
标,对违规行为进行约束。二是对相关业务产品进行系统梳理,建立产品名录及产品手册,完善新产品
评审机制和后评价管理要求,确保业务稳健合规开展。三是大力推动票据专营制改革,下发《兴业银行
关于实行票据专营发展票据交易业务的通知》,开始在总行集中核算票据业务,并已配套发布同业票据
业务集中核算落地的相关细则,实现票据专营。四是下发《关于调整优化理财业务组织管理模式的通知》,
成立大财富管理委员会,对集团零售理财产品统一准入、统一定价、统一销售管理、统一风险评级,逐
步实现零售财富类产品的统筹管理,规范投资者适当性管理,完善双录体系建设,确保业务合规开展。
财务会计方面,一是报告期内实现全部分行财务集中核算,对财务开支进行实时监测,提高财务核
算规范化水平。二是持续推进营改增相关系统建设,上线增值税纳税申报模块,减轻全行纳税申报工作
量并提升申报数据的准确性。三是积极落实新金融工具会计准则实施的前期准备工作,进一步推进会计
核算合规管理和精细管理工作。四是为加强本行在上海票据交易所业务的会计处理,制定《兴业银行上
�海票交所业务会计操作规程》,规范相关业务流程,防范业务操作风险。
信息科技方面,一是加强信息科技集团化风险管理,初步建立集团子公司 IT 风险经理队伍,制定
和完善子公司科技风险评价标准。二是持续推进全行信息安全建设规划咨询项目,建立信息安全管理能
力框架体系和技术能力框架体系,并已完成 ISO27001 信息安全管理体系复审。三是稳步推进流程银行
建设,深化科技与业务的融合,整合优化部门间资源共享、数据分析能力,提高业务处理效率。四是完
善制度建设,报告期内制订或修订了涉及安全保障、科技检查、密钥管理、员工守则、专家团队等方面
的制度,信息科技管理的制度体系进一步完善。五是引进终端安全、网络与系统安全、数据加密、安全
监控与分析等方面的新技术和新工具,信息安全防护能力进一步增强。
(4)信息与沟通
报告期内,公司持续优化完善内部信息交流与反馈机制。一是持续优化董、监事会与管理层的沟通
机制,报告期内董监事会审议或听取了公司财务状况、经营情况、全面风险管理、集团并表管理等方面
的专题报告,对全行操作风险和信息科技风险管理情况进行了专题审议,同时有针对性地开展董监事调
研及同业交流,促进董监事及管理层履职能力提升。二是充分发挥部门联席会议和重要事项督办机制的
作用,加强部门之间的沟通协作,确保重要事项及工作任务的协调与落实。三是加强与外部监管部门的
沟通交流,加强政策解读和专项治理各阶段工作的沟通协调,及时有效地根据宏观政策和监管导向调整
业务结构和发展方向。四是在中后台管理流程优化方面,实现 OA 流程办理时效的监控和提醒,显著提
升公文流转效率。
(5)内部监督
报告期内,公司持续完善检查监督机制,出台《关于加强全行内控监督工作,健全合规长效机制的
若干意见》,加强全行检查监督体系建设;开展“兴航程”内控合规提升年活动,健全多层级内控责任
追究和问责机制,加强经营机构领导班子合规考评和监督制衡机制,培育合规审慎的经营文化。制定《兴
业银行关于开展落实中央八项规定精神“1+X”专项督查工作的实施意见》,建立由总行纪委牵头,总
行党委办公室、审计部、纪检监察部等 7 个职能部门分工负责的“1+X”专项督查工作机制,强化内部
监督工作责任担当。
报告期内,公司内部审计部门坚持风险导向原则,综合运用现场审计和非现场查证手段,持续开展
审计监督,不断优化审计监督方法。报告期内,公司发布了《兴业银行股份有限公司集团成员审计监督
管理规范》,加强对集团成员内部审计工作的指导,促进集团内部监督机制的不断完善;不断优化整改
和问责工作机制,制定《兴业银行关于健全容错纠错机制的若干意见》,将信用责任追究委员会撤销并
入内部问责委员会,加强全行问责工作的统一领导和统筹管理;修订了《现场审计项目和非现场审计项
目处理规范》,进一步提高审计项目质效。同时,公司调整优化审计分部区域设置和审计处室的专业分
�工,进一步完善内部审计监督的组织架构;制定了《审计人员尽责履职规范》、《审计人员履职档案管理
办法》等制度规范,进一步促进内部审计人员尽职履责。
2018 年,公司将积极应对内外部形势变化,结合公司内部管理和业务发展需要,进一步完善内控
管理机制,夯实发展基础,深化机制体制变革,加大内部检查监督力度,健全整改与问责体系,通过更
加细致完善的内控措施与管理手段,切实担当防范化解金融风险的主体责任,为集团业务健康持续发展
保驾护航。
3. 其他重大事项说明
□适用 √不适用
董事长(已经董事会授权):高建平
兴业银行股份有限公司
2018年4月24日
�
