北京银行:2014年度内部控制评价报告2015-04-28
北京银行股份有限公司2014年度内部控制评价报告
北京银行股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他
内部控制监管要求(以下简称企业内部控制规范体系),结合本
公司(以下简称公司)内部控制制度和评价办法,在内部控制日
常监督和专项监督的基础上,我们对公司2014年12月31日(内部
控制评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内
部控制,评价其有效性,并如实披露内部控制评价报告是公司董
事会的责任。监事会对董事会建立和实施内部控制进行监督。管
理层负责组织领导企业内部控制的日常运行。公司董事会、监事
会及董事、监事、高级管理人员保证本报告内容不存在任何虚假
记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性
和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安
全、财务报告及相关信息真实完整,提高经营效率和效果,促进
实现发展战略。由于内部控制存在的固有局限性,故仅能为实现
上述目标提供合理保证。此外,由于情况的变化可能导致内部控
1
�制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部
控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控
制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会
认为,公司已按照企业内部控制规范体系和相关规定的要求在所
有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控
制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之
间未发生影响内部控制有效性评价结论的因素。
三、内部控制评价工作情况
(一)内部控制评价依据和程序、方法
公司依据企业内部控制规范体系、银监会《商业银行内部控
制指引》及本行内部控制评价程序和方案,组织开展内部控制评
价工作。2014年本行根据上述规范要求,将操作风险管理体系中
的风险与控制自我评估(RCSA)与内部控制评价进行整合,形成
适合本行的操作风险与内部控制自我评估体系,内部控制评价工
作在此基础上开展。
本行建立持续有效的内控评价体系,制定了内部控制评价实
施方案、程序和评价工具,明确了评价范围、工作任务、人员组
2
�织和进度安排等事项。成立了由内部审计人员、总行部室及各分
支机构业务骨干组成的内控评价工作组,开展了持续全年的内部
控制评价工作。遵循“以流程管理为核心、将自我评价与独立复
核相结合”的指导思想,从全流程的角度进行风险控制梳理,每
个流程涵盖业务、产品的全部生命周期,由总行各部室、各分支
机构按照各自职责范围对内部控制设计和运行情况进行自评价,
由审计部门结合内部审计工作对内部控制运行效果进行独立复
核、对自评价效果进行检验,并出具总体内部控制评价报告。
本行评价工作围绕内部环境、风险评估、控制活动、信息与沟通、
内部监督五个方面,综合运用询问、观察、调查问卷、抽样测试、
实地查验等多种方法,充分收集被评价单位内部控制设计和运行
是否有效的证据,分析内控缺陷。各内控评价单位在培训、辅导
的基础上,对本单位内部控制情况进行检查,内审部门通过专项
审计、内控现场测试等方式进行独立复核,并对发现缺陷进行初
步认定,同时跟踪整改落实情况。本行开发建设了内部控制评价
管理信息系统,建立了风险与内控矩阵相应的系统风险库,实现
了内部控制文档向全行机构单位和岗位人员的实时发布展示,以
及对全行各单位内控自我评价过程工作底稿、工作进度、评价责
任单位和责任人、缺陷认定跟踪和汇总统计的系统控制。
2014 年度,配合内部控制评价与操作风险与控制自我评估
(RCSA)的整合工作,操作风险管理系统正式上线。通过系统构
3
�建标准化的操作风险三大管理工具,明确操作风险与控制(RCSA)
的分类及评估标准,并通过关键风险指标(KRI)量化监测操作
风险程度,同时根据操作风险事件数据(LDC)量化操作风险状
况,实现操作风险管理的系统化,全面提升风险管理效率和水平。
我行在系统中将操作风险、合规、内控建设三方信息进行整合,
能够同时满足内控和风险管理要求,体现风险管理前瞻性,并实
现二、三道防线的联动。
(二)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务
和事项以及高风险领域。
纳入评价范围的主要单位包括: 总行37个业务和管理部门、
14家分行、管理部及其所属支行、以及6家纳入合并范围的子公
司。纳入评价范围单位资产总额占公司合并财务报表资产总额的
100%,营业收入合计占公司合并财务报表营业收入总额的100%。
纳入评价范围的主要业务和事项包括: 公司层面控制、业务
内部控制、管理内部控制三个方面,涵盖 42 类、共计 195 项控
制活动和控制流程,涉及 1862 个风险点、2156 个控制点,其中:
公司层面控制为内部环境、风险评估、信息与沟通、内部监
督等对本行整体内部控制目标的实现具有普遍影响的内部控制
要素,涵盖公司治理结构、职责和权限、人力资源管理、企业文
化等 24 类、涉及 42 个风险点、68 个控制点。
4
� 管理内部控制为本行各项管理活动中所采取或实施的控制
措施和控制程序,涵盖客户关系、运营管理、计划财务、信息科
技管理等 10 类、涉及 624 个风险点、729 个控制点。
业务内部控制为本行各项业务活动中所采取或实施的控制
措施和控制程序,涵盖资产类业务、负债类业务、融信类中间业
务等 8 类、涉及 1196 个风险点、1359 个控制点。
2014 年内控评价范围表
评价范围
控制类别
风险点 控制点
公司层面控制 42 68
安全保卫 17 17
产品管理 6 10
法律事务管理 34 38
行政管理 50 72
机构管理 27 31
管理活动控制 计划财务 96 119
客户关系 51 56
人事管理 33 33
信息科技管理 133 154
运营管理 177 199
合计 624 729
负债类业务 75 83
其他类中间业务 198 213
融信类中间业务 104 117
同业类业务 80 92
业务活动控制 支付结算类中间业务 114 127
资产负债共同类业务 38 45
资产类业务 486 571
资金资本市场业务 101 111
合计 1196 1359
总计 1862 2156
5
� 上述纳入评价范围的单位、业务和事项以及风险领域涵盖了
公司经营管理的主要方面,不存在重大遗漏。
四、内控体系说明
本行根据《企业内部控制基本规范》及其配套指引要求,结
合国内外经济金融形势新变化,围绕全行发展战略和经营目标,
持续健全完善全行内部控制体系。
(一)内部环境
1、公司治理结构
本行构建了以股东大会为最高权力机构、董事会为决策机
构、监事会为监督机构、管理层为执行机构的有效公司治理架构,
明确规定了“三会一层”各治理主体的议事规则与决策程序,确
保“三会一层”运作顺畅有序。
2、组织架构和岗位设臵
本行组织机构设臵为总行、分行(管理部)、二级分行、支
行四级组织管理架构,总行作为全行战略中心、管理中心和支持
保障中心,分行(管理部)、二级分行作为区域营销和经营管理
中心,支行为营销一线。
本行根据发展战略、组织架构、业务流程、工作任务和内部
控制要求设臵岗位,编制岗位说明书,形成各司其职、各负其责、
相互制约、相互协调的工作机制。
3、人力资源管理
6
� 本行建立了包含干部管理、薪酬管理、绩效考核、招聘调配、
岗位管理、培训管理、出国(境)管理和综合管理等规章制度的
人力资源政策体系;遵循“统一规划,公平竞争,流程规范,择
优录取”的原则选拔和招聘人员;遵循“系统设计、以工作业绩
为导向、能升能降、与时俱进”的原则进行员工任职资格和职业
发展管理,并建立了员工培训长效机制;根据“统一制度规则,
区分管理权限,细化操作流程,严格检查监督”的原则进行薪酬
福利管理。
4、企业文化建设
本行高度重视企业文化的建设和宣贯,经过长期积累和不断
发展,形成了良好的企业文化,确立了“诚信、稳健、创新、共
赢”的核心价值观、“经营风险,管理风险”的风险理念和“全
员参与、全程合规”的合规理念,制定了《北京银行企业文化手
册》,并通过多种方式多种渠道进行企业文化宣贯。2014 年我行
共发布新法规监测和合规提示 40 期,加大跟踪监管动态,加强
合规风险提示作用;完善合规审核机制,法律合规部作为合规委
员参与了全行所有体系文件、新产品、法律文本、招投标会议及
理财产品销等合规性审核;组织开展专项检查,2014 年非法集
资案件特别是银行员工参与的非法集资案件频发,引起了监管机
构、司法机关的高度重视,本行多次组织非法集资排查活动,有
效防范员工参与非法集资引发的风险;开展各类合规文化宣传活
7
�动,通过全行合规知识在线测试、全行合规风险状况调查、编写
合规手册、合规下基层宣讲等活动有效促进全员合规意识的提
升。
(二)风险评估
2014 年,本行认真落实各级单位和全体员工的风险防控责
任制,持续加强全面风险管理体系建设,优化业务操作、风险管
理流程,加快信用风险管理系统建设,加大对宏观经济、重点行
业、业务一线等调研力度,及时掌握经济发展趋势性变化和经营
单位业务需求,加大管理创新和转型力度,强化全员“守土有责、
守土负责、守土尽责”责任意识,着力提升风险管理工作前瞻性、
主动性和针对性。
1、信用风险管理
本行建立了由董事会及其下设风险管理委员会、高级管理层
及其下设信用风险政策委员会和信用风险委员会、总分支三级风
险管理部门和岗位、前中后台三道防线组成的信用风险治理结
构,构建了信用风险管理限额体系、信用风险政策制度体系、信
贷审批控制流程、风险评估及报告流程,完善覆盖表内、表外业
务的投贷后管理体系,持续推动与业务发展相匹配的信用风险管
理系统建设,提升信用风险管理系统对业务发展支撑作用;强化
各类风险量化工具的开发和新资本协议项目成果实施应用,持续
提升我行信用风险管控能力;强化重点领域、重点区域和重点业
8
�务的全口径风险监测预警,加大融资平台、房地产、产能过剩、
表外业务等重点风险领域常态化风险排查力度,持续推动全行稳
健经营和全面可持续发展。
2、市场风险管理
本行建立由董事会及其下设风险管理委员会、高级管理层
及其下设资产负债管理委员会组成的市场风险治理结构,和包
括业务线、风险管理、财务和会计等部门的前、中、后台管理
架构,履行市场风险管理职能,构建了市场风险限额结构体系
及审批控制程序、市场风险报告和应急机制。2014 年,我行积
极推进新资本协议市场风险内部模型法项目的实施,优化市场
风险限额体系,完善交易对手、同业机构的风险暴露和授信额
度管控。
3、流动性风险管理
本行建立了由董事会及其下设风险管理委员会、高级管理层
及其下设资产负债管理委员会组成的流动性风险治理结构,负责
制定流动性风险管理战略并构建内控机制,通过流动性指标及流
动性缺口测算进行流动性风险计量,通过压力测试分析承受流动
性事件或流动性危机的能力,通过限额监控管理、建立流动性风
险应急机制和报告机制,强化流动性风险应对。2014 年,我行
出台了《2014 年度流动性风险管理年度指引》、《现金管理类非
保本理财业务流动性风险管理程序(试行)》),围绕北京银行董
9
�事会整体发展战略,结合外部经济金融环境变化,明确了我行流
动性风险偏好、风险限额、管理策略、管理措施等重要事项,规
范了非保本理财业务流动性风险的识别、计量、监测和控制的管
理体系。
4、操作风险管理
本行在高级管理层下设操作风险委员会,向高级管理层和董
事会风险管理委员会汇报,确定操作风险管理战略,指导和协调
全行操作风险管理工作。建立常态化的检查机制、自下而上的报
告机制以及风险事件反馈改进机制,实现了操作风险识别、评估、
监测和控制的闭环管理。2014 年,本行参照新资本协议及银监
会管理要求,搭建了既满足监管要求又符合我行实际的操作风险
制度体系,分别制定了《操作风险管理程序》、《操作风险与控制
自我评估操作规程》、《操作风险报告操作规程》、《操作风险关键
风险指标操作规程》、 操作风险事件收集操作规程》等管理制度。
5、其他风险
本行根据银监会合规风险管理的要求,建立了合规风险管理
架构,制定出台了合规风险政策,通过合规风险管理体系建设,
实现了管理活动制度化、业务产品流程化以及制度流程风控化。
本行高级管理层下设声誉风险委员会,建立了舆情监测和声
誉事件报告管理机制,定期开展投诉处理情况的检查评估,提高
客户满意度,降低声誉事件发生的概率;强化信息发布和新闻宣
10
�传管理;通过教育、宣传和培训等方式在全行树立声誉风险理念,
提升声誉风险管理水平。
(三)控制活动
本行在对各项业务和管理活动流程中的风险点进行梳理识
别的基础上,通过采取岗位职责分离等一系列内部控制措施,建
立健全了涵盖公司业务、零售业务、金融市场业务等各项业务活
动的内部控制机制,制定了固定资产贷款、流动资金贷款、银行
承兑汇票等一系列公司业务操作规程。通过票据综合处理平台、
供应链业务管理系统等业务系统平台,进一步优化流程、规范操
作、强化重要业务环节的关键控制。制定了房贷、短贷宝、消费
贷、银行卡、代理业务等一系列零售业务管理制度,通过个人贷
款、保险代销等业务系统,进一步强化了业务操作流程的风险控
制。制定了代付融资、国际贸易项下福费廷、上海自贸区跨境人
民币借款服务、资金拆借、债券投资与交易、外汇、黄金及衍生
品交易等一系列金融市场业务操作规程,通过 CI、EE、OPICS 等
业务系统平台,强化业务流程风险的系统控制,建立了较为完整
的业务制度体系和前、中、后台相互分离的内控机制。
(四)信息与沟通
本行建立健全了内部信息沟通与报告机制,制定了公文流转
程序、例会制度、重大事项报告制度等内部信息沟通规范,形成
了较为完备的信息报送、传递机制,确保本行董(监)事会及其
11
�专门委员会、高级管理层能够及时准确地获取各类决策信息,内
部信息能够及时准确地传达到各层级员工。制定了《北京银行股
份有限公司信息披露事务管理办法》、《北京银行股份有限公司年
报信息披露重大差错责任追究制度》、《北京银行股份有限公司内
幕信息知情人管理制度》等信息披露管理程序,为合法合规开展
信息披露工作提供了制度保障。
本行在高级管理层下设信息科技管理委员会,建立了信息科
技管理组织体系,通过完善各项规章制度、内部工作及审查流程,
建立健全信息风险防控机制。持续优化信息科技风险管理的信息
沟通渠道,构建行内三道防线协同工作机制。完善信息科技风险
管理流程,建立健全风险评估标准体系,不断完善信息科技风险
管理体系。
(五)内部监督
本行建立了案件防控、纪检监察和内部审计协同联动的内控
监督机制。保卫部作为总行案件防控工作委员会办公室,制定了
《案件防控工作管理规定》,建立了由总行案件防控工作委员会
总体部署协调,各业务线、职能部门、各级机构案件防控工作组
组织实施的,覆盖各项业务、各级机构、全体人员的全行案件防
控体系,明确了案防工作分工以及日常排查重点,逐级签订“案
件防控工作责任书”。制定和实施廉政建设工作计划和完善各项
纪检监察制度,监督党员干部执行党的方针、政策和本行各项纪
12
�检监察制度的情况,加强对各级领导班子人员的监督,认真调查、
妥善处理信访举报。制定了《审计工作管理程序》,实施垂直的
内部审计管理体系,审计职能的实现以及审计人员的隶属关系集
中于总行,审计部对董事会和审计委员会负责,随时向总行行长、
定期向董事会及其审计委员会、监事会监督委员会报告本行内部
控制状况。审计范围涵盖本行风险管理和内部控制的过程,特别
关注重点业务、重点环节和重要岗位,采取日常检查与专项审计
检查相结合的方式,在检查各项业务控制过程、形式和方法的同
时评价控制效果。
五、内部控制缺陷及认定
(一)内部控制缺陷认定标准
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺
陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好
和风险承受度等因素,区分财务报告内部控制和非财务报告内部
控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,
并与以前年度保持一致。
公司确定的重大缺陷是指一个或多个控制缺陷的组合,可能
导致企业严重偏离控制目标的情形;重要缺陷是指一个或多个控
制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可
能导致企业偏离控制目标的情形;不构成重大缺陷和重要缺陷的
内部控制缺陷,认定为一般缺陷。各类内部控制缺陷认定标准如
13
�下:
1.财务报告内部控制缺陷认定标准
(1)财务报告内部控制缺陷评价的定量标准如下:
以公司税前利润为基数进行定量判断,从内控缺陷可能造成
的年化财务错报占公司税前利润的比例进行评估。
重大缺陷 重要缺陷 一般缺陷
可能造成的年化财务错 可能造成的年化财务错 可能造成的年化财务错
报的影响金额占公司税 报的影响金额占公司税 报的影响金额占公司税
前利润 5%及以上的一项 前利润 3%至 5%的一项或 前利润 3%以下的一项或
或多项控制缺陷的组合, 多项控制缺陷的组合,补 多项控制缺陷的组合,补
补偿性控制不能有效降 偿性控制不能有效降低 偿性控制不能有效降低
低缺陷对控制目标实现 缺陷对控制目标实现的 缺陷对控制目标实现的
的影响 影响 影响
(2)财务报告内部控制缺陷评价的定性标准如下:
① 以下任一情况可视为内部控制可能存在重大缺陷的判断
标准:
——董事、监事和高级管理层的舞弊行为。
——因出现对投资人判断产生误导的错报,对已公布的财务
报告进行更正。
——注册会计师发现但未被内部控制识别导致当期财务报
告中的重大错报。
② 以下任一情况可视为内部控制可能存在重要缺陷的判断
标准:
——未依照公认会计准则选择和应用会计政策或应用的控
制无效。
14
� ——未建立反舞弊程序和控制措施或控制无效。
——沟通后的重要缺陷没有在合理的期间得到纠正。
——对于期末财务报告过程的控制无效。
③ 除上述情况以外的缺陷可视为一般缺陷。
2.非财务报告内部控制缺陷认定标准
非财务报告内部控制是指除财务报告目标之外的其他目标
的内部控制。包括战略及经营目标、合法合规、声誉影响以及与
报告可靠性目标无关的资产安全、信息披露、系统数据控制等。
(1)非财务报告内部控制缺陷评价的定量标准如下:
重大缺陷 重要缺陷 一般缺陷
在战略及经营目标、合法 在战略及经营目标、合法 在战略及经营目标、合法
合规、声誉影响以及与报 合规、声誉影响以及与报 合规、声誉影响以及与报
告可靠性目标无关的资 告可靠性目标无关的资产 告可靠性 目标无关 的资
产安全、信息披露、系统 安全、信息披露、系统数 产安全、信息披露、系统
数据控制等方面,因缺陷 据控制等方面,因缺陷本 数据控制等方面,因缺陷
本身导致损失金额占税 身导致损失金额占税前利 本身导致 损失金额 占税
前利润 5%及以上,补偿性 润 3%至 5%之间,补偿性控 前利润 3%及以下,补偿性
控制不能有效降低缺陷 制不能有效降低缺陷对控 控制不能 有效降低 缺陷
对控制目标实现的影响 制目标实现的影响 对控制目标实现的影响
(2)非财务报告内部控制缺陷评价的定性标准如下:
① 以下任一情况可视为内部控制可能存在重大缺陷的判断
标准:
——合法合规方面,因缺陷本身导致违反国家法律法规,被
限制支配资产,或停业整顿、吊销许可证。
——信息真实完整方面,因缺陷本身导致错误信息致使内外
部信息使用者做出截然相反的决策,造成不可挽回的决策损失。
15
� ——声誉影响方面,负面消息流传广泛,且持续时间长,并
引起政府或监管机构调查,同时引发重大诉讼,对企业声誉造成
无法弥补的损害。
——系统数据方面,可能造成直接或潜在的严重负面影响,
导致严重偏离控制目标的内部控制缺陷。
② 以下任一情况可视为内部控制可能存在重要缺陷的判断
标准:
——合法合规方面,因缺陷本身导致违反国家规范性文件,
被限制增设分行。
——信息真实完整方面,因缺陷本身导致错误信息可能会影
响使用者对于事物性质的判断,在一定程度上导致错误的决策,
甚至做出重大的错误决策。
——声誉影响方面,负面消息引起全国范围公众关注,且持
续较长时间,同时引发诉讼,对企业声誉造成重度损害。
——系统数据方面,可能造成的直接或潜在的负面影响严重
程度低于重大缺陷,但仍有可能导致公司偏离控制目标的内部控
制缺陷。
③以下任一情况可视为内部控制可能存在一般缺陷的判断
标准:
——合法合规方面,因缺陷本身导致违反内部规定或突破内
部规定限额或外部监管指标而未及时有效整改。
16
� ——信息真实完整方面,因缺陷本身导致信息准确性有轻微
影响,但不会影响信息内外部使用者的判断。
——声誉影响方面,负面消息在局部地区传播,且持续一定
时间,对企业声誉造成轻微损害。
——系统数据方面,可能造成直接或潜在的负面影响轻微,
对业务正常运营影响轻微。
(二)内部控制缺陷认定及整改情况
1.财务报告内部控制缺陷认定情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司
不存在财务报告内部控制重大缺陷、重要缺陷。
2.非财务报告内部控制缺陷认定情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内
未发现公司非财务报告内部控制重大缺陷、重要缺陷。
3.一般性内部控制缺陷认定及整改情况
通过内部控制的评价和测试,反映出个别业务流程有待完
善、操作规范性有待提高,经跟踪落实,已基本得到整改,截至
2014年12月31日存在的(即尚未完成整改)内部控制缺陷均为一
般缺陷,由于涉及系统开发、制度流程建设等原因未完成整改,
经评估这些缺陷各自可能导致的风险均为低或较低风险,在可控
范围内,并且从汇总角度亦不会构成重大缺陷或实质性漏洞,对
本行财务报告目标的实现不构成实质性的影响。针对此类缺陷,
17
�本行已制定整改计划,采取完善业务制度流程、优化系统控制、
强化检查监督和内控考核等措施加快推进此类缺陷的整改。
2015年,本行将根据外部环境变化、业务发展和管理需求,
进一步完善内部控制体系,优化内部控制环境、强化各项风险管
理和内部控制措施、加强内部监督,提升内控管理水平,促进本
行健康、可持续发展。
董事长:
北京银行股份有限公司
二〇一五年四月二十七日
18
�
