内控风险评估报告.doc

兴业银行股份有限公司董事会关于 2011 年度内部控制的自我评估报告兴业银行股份有限公司(以下简称“公司”或“本公司”)董事会及全体董事保证本报告内容没有任何虚假记载、误导性陈述或者重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立与实施内部控制进行监督;高级管理层负责组织领导公司内部控制的日常运行。公司内部控制的目标是:确保国家法律法规和公司内部规章制度的贯彻执行;确保公司发展战略和经营目标的全面实施和充分实现;确保公司风险管理体系的有效性;确保公司业务记录、财务信息和其他管理信息的及时、真实和完整;确保公司资产安全。由于内部控制存在固有局限性,故仅能对实现上述目标提供合理保证。一、内部控制评估工作基本情况(一)内部控制评估依据报告期内,本公司遵照财政部等五部委出台的 企 业 内 部 控 制 基 本 规 范 及 配 套 指 引 , 按 照 商业银行内部控制指引、上海证券交易所上市公司内部控制指引等有关规定,组织本公司所有职能部门、分支机构进行了内部控制自我评估。在此基础上,本公司内部审计部门按照兴业银行内部控制评级管理办法和兴业银行内部控制评级实施细则,对本公司所有分支机构实施了内部控制评价工作。(二)内部控制评估范围报告期内,本公司内部控制自我评估的机构范围包括公司所有职能部门和分支机构,不包含下属兴业国际信托有限公司、兴业金融租赁有限责任公司等子公司。评估的业务范围覆盖了公司制度建设、组织架构、人力资源管理、信息沟通与交流、监督评价机制、企业金融业务、零售业务、资金及同业业务、中间业务、会计与柜面管理、财务管理、安全保卫和 IT 系统控制等公司经营管理各领域。同时公司还将审计发现的问题整改情况和效果纳入内部审计内控评价范围。上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重大遗漏。(三)内部控制评估方法和机制根据内部控制评估相关监管规定,本公司建立了内部控制自我评估工作机制,由公司合规部门和审计部门组织实施全行内部控制自我评估工作。本公司在内控自我评估过程中运用的方法主要有:一是充分运用内部控制试点成果以及外部中介机构审计结果开展内控评估。按照企业层面、流程层面和 IT 层面,采用穿行测试、控制测试等评价工具和方法,分析内部控制存在的薄弱环节。二是各分行和总行各部门积极开展内部控制自我评估工作,在各机构内控自我评估分析报告基础上,合规部门充分利用业务部门、各条线管理部门检查结果,结合内外部审计发现的问题及其后续整改情况,开展全行内控评估。三是公司内部审计部门在管理层内部控制自我评估基础上,对公司各分支机构内部控制状况实施独立的监督和评价,通过对其内部控制体系建设、实施和运行结果开展调查、测试、分析和评估等活动,促进各分支机构内部控制持续改进和有效运行。二、内部控制体系建设情况(一)内部控制自我评估工作总体情况为建立满足企业内部控制基本规范要求的内部控制体系,本公司于 2011年 3 月完成“内部控制评估体系”建设项目试点,以及与全面合规管理体系的整合工作,目前该体系已覆盖全行。报告期内,本公司加强了对全行内控组织架构和运行机制的总体设计和规范,统筹和整合了各类检查资源,逐步规范了内部控制缺陷的发现和报告渠道。本公司内控自我评估工作由公司合规部门组织实施,成立由部门领导和相关处室人员组成的评估小组,评估实施时间为 2011 年 7 月至 2011 年 12 月,在评估过程中,以内控自我评估缺陷分析表方式记录工作底稿,并由安永、普信等咨询公司提供指导和协助培训。根据评估情况,评估小组完成了全行内部控制自我评估报告,并提交总行内部控制委员会审议通过。与此同时,本公司内部审计部门依据兴业银行内部控制评级管理办法和兴业银行内部控制评级实施细则,对公司各机构的内部控制状况实施独立的监督和评价,公司内审监管员定期根据现场审计、日常监管情况对各机构内部控制的健全性和有效性进行评估,综合评估其内控等级,内控评级工作贯穿内审监管员全年监管过程。对各机构开展年度内控评估时,内部审计部门成立由部门领导、相关处室人员组成的评估小组,评估小组根据各机构的整体内控状况,结合监管员内控评级、总行内部控制相关部门评估结果、外部监管和审计机构评价意2见等情况,合理评估各机构内控水平,记录评估过程工作底稿,并结合管理层提供的内部控制自我评估报告,对管理层自我评估发现的问题进行再评估,完成本公司年度内部控制自我评估报告。(二)内部控制现状综述2011 年度,本公司管理层在董事会及其下设委员会的领导下,深入推进业务发展模式和盈利模式战略转变,进一步完善内部控制。报告期内,本公司根据外部宏观经济发展状况、法律和监管环境的变化,以及业务发展和内部管理要求,相继修订和完善了一系列内控制度,采取了一系列的内控措施,内容涵盖内部控制环境、风险识别和评估、内部控制活动、信息交流与反馈、监督评价与纠正等方面,内控缺陷一经识别,公司即采取整改措施。2011 年,公司内部控制合理、有效和完整,未发现内控重大缺陷。1、内部控制环境(1)公司治理方面本公司建立健全法人治理结构,确保股东大会、董事会、监事会、高级管理层等机构合法运作和实施有效的内部控制。董事会负责建立并实施有效的内部控制体系。董事会下设审计与关联交易控制委员会,负责监督公司内部控制的有效实施。监事会负责监督董事会、高级管理层履行内部控制职责。高级管理层负责制订内部控制制度,对内部控制体系的充分性、有效性进行监测和评估并将有关情况向董事会报告。总行内部控制委员会负责贯彻落实董事会及其委员会对内部控制的决议要求,组织协调公司内部控制体系的建立与实施,监测和报告内部控制体系运行情况。2011 年度,公司组织召开 1 次股东大会会议、7 次董事会会议和 21 次董事会下设各委员会会议,审议听取经营管理议题累计 151 项,切实发挥重大决策作用。组织董事就资本管理、流动性管理、经营特色等开展调研,组织参加新加坡高层经营管理专题研修班、银监会监管座谈、监管部门培训和投资者交流等活动,强化董事对经营管理工作的指导,提升董事决策的国际视野和专业视野。截至2011 年 12 月 31 日,公司董事会由 15 名董事构成,包括 6 名股权董事、4 名高管董事和 5 名独立董事。公司董事会下设执行委员会、风险管理委员会、审计与关联交易控制委员会、提名委员会、薪酬考核委员会等五个委员会。报告期内,审计与关联交易控制委员会严格按照监管规章、本公司章程等相关文件的要求,3切实履行各项职责。2011 年委员会共召开了 8 次会议,审议听取了 29 项议题,涉及审核定期报告和财务预决算方案、选聘会计师事务所、协调督促会计师事务所完成年报审计和半年报审阅任务、指导监督内部审计工作、审查和评价内部控制、管理关联交易等方面,圆满完成了董事会赋予的各项职责,对于维护本公司内部控制体系健全起到了积极作用。此外,公司在报告期内修订了公司章程和股东大会议事规则、董事会议事规则、董事会各委员会工作规则和董事会费管理办法,进一步完善公司治理方面的其他基本制度。在监事会设置和履职方面,公司监事会由 9 名监事组成,包括 4 名股权监事、3 名职工监事和 2 名外部监事;监事会下设监督委员会和提名、薪酬与考核委员会等两个专门委员会。报告期内,监事会组织召开 7 次会议(含通讯会议 2 次),审议通过 19 项议案,听取 12 项报告;召开 4 次专门委员会会议,审议通过 8 项议案。报告期内,监事会通过与公司内部审计部门合作等方式,不定期开展各类专题调研和专项检查,充分有效履行监事会基本职责。(2)制度建设方面本公司不断健全制度建设,持续提高全行管理水平。公司通过制度的规划立项、起草会商、法律合规性审核、审批发布等流程控制,引导总分行逐步推进日常制度管理工作的标准化和规范化,并加强新出台制度的合规性、操作性、规范性与统一性审查,实现从源头上规范内规的生成质量。同时,积极开展存量制度的清理与整合,厘清了全行各类规范性文件的数量及其分布状况。目前,公司已建立了较为完善的制度体系,制订出台的规章制度覆盖了公司主要业务经营管理领域。(3)人力资源管理方面报告期内,本公司进一步完善人力资源管理。一是为实现各项业务健康快速发展,本公司根据实际需要积极吸纳优秀经营管理人才,修订了兴业银行员工招聘实施细则(2011 年 5 月修订),进一步规范员工招聘工作。公司员工聘用、培训、辞退、辞职、薪酬、考核、晋升与奖惩等有关人力资源的政策体现了本公司可持续发展的要求,对于关键岗位的员工执行强制休假和定期岗位轮换制度。二是建立健全内部激励约束机制,将各责任单位和员工实施内部控制的情况纳入绩效考核体系,进一步改进绩效考核工作,加强考核结果的运用,强化绩效考核对于全员的激励约束作用。同时,本公司以市场为导向,建立了科学的薪酬管理4和福利保障体系,充分发挥薪酬在公司治理和风险管控中的导向作用,促进公司稳健经营和可持续发展。三是通过编制各项业务培训教材、组织多层次多形式的员工培训、鼓励员工积极开展在职及继续教育等措施,不断提升员工专业素质、职业操守及合规意识,确保员工的岗位胜任能力。(4)合规管理方面本公司持续加强合规管理工作。一是进一步完善公司全面合规管理体系,促进合规管理和内控管理的有机结合。报告期内,选择部分分行进行试点,探索实现合规监测与内控评估体系的有机整合,综合运用穿行测试和控制测试等自我评估方法,开展内控评价试点工作。二是加强全面合规管理系统建设,充分发挥其内控和合规管理平台作用。报告期内,本公司对合规管理系统进行了完善和升级,新系统涵盖了合规管理和内控管理的各项日常工作。三是夯实反洗钱工作基础,通过完善相关制度、优化反洗钱监测数据报送系统、加大可疑交易分析排查力度、加强反洗钱业务培训等措施,切实履行反洗钱义务,积极开展反洗钱工作。四是深化“内控和案防制度执行年”活动,并将活动作为提高公司内部控制实效和强 化案防制度执行力的重要手段,扎实开展各项专项排查与整改工作。(5)企业文化方面本公司培育良好的企业精神和内部控制文化,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代企业管理理念,强化员工思想教育。通过警示教育,加强廉洁自律相关规定的贯彻落实,将公司经营活动和员工个人行为准则相结合,引导员工树立合规意识和风险意识,提高员工职业道德水准。报告期内,本公司组织开展“做主人、尽责任、讲奉献”主题实践活动,并通过公司官方微博、活动简报、新员工入行培训等方式,增强员工的责任感和使命感,将企业文化建设融入公司经营管理全过程。(6)可持续金融和社会责任方面本公司将社会责任与可持续发展作为核心战略与价值导向,兼顾监管机构、股东、客户、员工、合作伙伴、环境与资源及社会等多重利益相关方利益,积极探索以多种方式推动银行践行社会责任,构建人与自然、环境、社会和谐共处的良好关系,并积极在此领域把握新的商机。本公司 2007 年签署了金融机构关于环境与可持续发展的声明,2008 年 10 月 31 日对外宣布承诺采纳赤道原则,成为中国首家及全球第 63 家赤道原则金融机构。近年来,本公司以赤道原则为5切入点,完善内部环境与社会风险管理体系建设,在推动绿色信贷等方面开展了一系列富有成效的实践。凭借在绿色金融和社会责任方面富有开拓性的实践,近年来本公司获得了包括监管部门、媒体、非政府组织以及公众的高度肯定和认可,成为国内唯一一家连续四年获得英国金融时报和国际金融公司(IFC)共同主办的“可持续银行奖”提名,并作为中资银行,荣获“2007 年可持续交易奖亚军”和“2009 年可持续银行奖冠军”。此外,本公司连续 5 年荣获21 世纪经济报道评选的“中国最佳企业公民”。报告期内,本公司还分别荣获经济观察报授予的“中国最佳绿色银行奖”、中国银行业协会授予的“中国银行业 2010 年度最佳社会责任机构奖”和“中国银行业 2010 年度最佳绿色金融奖”、人民网授予的“人民上市公司社会责任奖”、21 世纪经济报道授予的“2011 年亚洲最佳绿色金融服务银行奖”、中国经营报以及中国社会科学院共同评选的“2011 卓越竞争力社会责任金融机构”、金融投资报“最具社会责任银行”等奖项。2、风险识别和评估本公司深化全面风险管理内涵,构建更加完善的全面风险管理战略体系,结合近两年监管新要求,在已有信用风险、市场风险、操作风险、信息科技风险战略基础上,将合规风险、声誉风险、国别风险、环境与社会风险等纳入全面风险管理战略体系。本公司以全面风险管理战略为指导,对风险实施动态管理,结合不同发展阶段和业务拓展情况,收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。报告期内,本公司不断完善风险识别、计量、监测和管理的制度和程序,开发和运用风险量化评估的方法和模型,不断提升本公司风险管理能力。同时在设立新机构、开办新业务时,依据有关政策、制度和程序,对潜在的风险进行评估,并提出风险防范措施。(1)信用风险方面本公司一是改造风险管理流程,积极运用风险管理与资本配置项目群的阶段性成果,将非零售评级运用到信用风险各个环节,改进信用风险管理。二是优化信用业务授权管理,将非零售内评法项目建设成果运用于业务授权,把信用业务评级嵌入流程,实现“先客户评级、后业务授信、再实际使用”。三是改进容忍度指标管理,使风险容忍度指标更加合理。四是将监管部门的要求内化为自身管理要求,如根据“三办法一指引”监管精神,在授信流程管理中增加贷款支付管6理环节。五是将 2011 年对公信贷资产重点监控的范围调整为全部政府融资平台贷款和存在风险特征的房地产开发贷款,有针对性地做好重点行业及重点领域风险防范。六是对分行风险管理运作情况及风险管理人员配备情况开展非现场调查,规范风险管理运作。(2)市场风险方面本公司一是优化前中后台的分工协作、相互制衡机制,建立以业务部门、条线管理部门、风险管理部门为基础的多层次市场风险管理防线。二是加强新兴业务市场风险管理,清晰界定资金交易、投资银行、资产托管、融资租赁、金融衍生工具等新兴业务市场风险性质,逐步建立相应的市场风险管理模式与配套的政策体系。三是强化利率管理,适时调整内部资金转移价格,促进全行本外币存贷款业务平衡协调发展。四是加强对非信贷企业信用余额情况管控,做好月末单一客户全行信用业务集中度统计,及时进行风险预警。利用资金交易和分析系统估值模型,对部分产品市场风险进行特别情景模拟,初步建立市场风险情景模拟的方法和框架。(3)流动性风险方面报告期内,本公司不断强化内部控制,加强流动性风险管理。一方面及时监测全行流动性比例指标状况和流动性需求变化,促进经营机构加强流动性管理,合理控制期限错配,提高对流动性缺口的风险控制。在日常资金管理和定价操作上做好风险防范和流程梳理,关注现有业务到期现金流缺口变动情况,分析新发生业务对于流动性状况的影响,实现负债成本有效控制和资产负债结构性管理。此外,通过实施流动性风险管理技术,持续推进流动性压力测试,建立和不断完善处置预案,提高防范流动性风险的能力。(4)操作风险方面本公司持续改进操作风险管理。一是进一步完善公司重大操作风险事件统计和报告标准,调整公司重大操作风险事件目录。二是推进关键风险指标体系建设,报告期开展了信息科技、支付结算条线关键风险指标建设工作。三是持续开展操作风险损失和重大事件数据收集和统计分析工作,为操作风险计量法实施积累数据基础,并按时完成定期操作风险损失事件和重大事件统计报送工作。四是积极与外部中介机构交流,报告期与公司聘请的外部审计机构召开“兴业银行操作风险主题交流与探讨”专题座谈会,就操作风险管理体系发展趋势,一体化内控、7合规与操作风险管理体系框架与职责分工等系列问题进行深入交流。3、内部控制活动本公司根据内部控制目标,结合风险评估结果和应对策略,综合运用各种控制措施,对各种业务实施有效控制,将风险控制在可承受的范围内。本公司建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,确保突发事件得到及时妥善处理。(1)授信业务方面一是正确把握经济发展趋势,严格落实监管政策,制订并下发兴业银行2011 年信用业务准入细则,科学安排信贷资金投向,优化信贷结构调整。二是加强统一授信管理,完善授信决策与审批机制,防止对单一客户、关联企业客户和集团客户授信风险的高度集中,防止违反信贷原则发放关系人贷款和人情贷款,防止信贷资金违规使用。三是加强授信业务授权和转授权管理,保证各级授权人员在授权范围内行使职权和承担责任。四是强化重点业务授信风险防范能力,切实加强政府融资平台贷款、房地产开发贷款、个人经营贷款等重点业务授信风险防范。五是强化授信合同使用与管理,根据内外部规章制度,修订部分借款系列示范合同文本,在合规系统实现总分行合同电子化动态管理。(2)资金业务方面一是实施集中化、专业化的管理模式,以交易操作和风险监控相分离、前中后台相分离为基本原则,通过设立专门的业务交易、风险控制和资金清算机构,逐渐建立起符合内部控制要求的资金业务运作体系及投资决策体制,以保证各项规章制度能够严格执行。二是建立以资金交易和分析系统(MUREX)为主体的市场风险量化体系,并逐步将各类别资金交易业务统一纳入该体系进行管理,防范风险。三是实施业务授权、交易敞口限额、止损限额等管理,控制资金业务风险。四是制订兴业银行资金营运中心人民币债券交易账户管理办法及相应操作规程等制度,规范人民币债券交易账户管理。(3)存款及柜面业务方面一是对基层营业网点和重点岗位实施有效监控,严格执行账户管理、会计核算制度和各项操作规程,确保业务依法合规经营。二是优化柜面操作流程,强化柜面电子化硬约束,防止内部操作风险和违规经营行为。三是组织部署全行开展支付结算业务检查及人民币银行结算账户开立、转账、现金支取业务检查等排查8活动,持续规范业务操作。四是加大会计管理人员培训力度,进一步提升会计结算管理人员的综合素质、管理技能和风险防范水平。(4)中间业务和新兴业务方面本公司积极应对金融脱媒趋势可能导致的存贷款业务增长放缓情况,加强中间业务产品创新与营销,通过债券承销、代客理财、贵金属交易、财务顾问等业务创新,不断拓宽中间业务渠道,提高中间业务收入,实现综合化经营效益。同时,采取有效措施加强中间业务风险控制,降低公司系统性风险。一是报告期内,结合债券承销业务开展实际情况,制订兴业银行银行间债券市场非金融企业债务融资工具支持性投资操作规程,促使业务制度符合创新需要及风险控制要求。二是加强理财与其他新兴业务准入管理、运作流程控制及工作职责分工,进一步明确涉及业务主体信用的新兴业务纳入信用风险管理体系统一管理,加强对代客理财等新兴业务的风险控制。三是制订兴业银行财务顾问业务管理办法、兴业银行公司客户黄金租借业务管理办法和兴业银行公司客户黄金租借业务操作细则等规章制度,为引导中间业务规范发展提供清晰有效的内规依据。四是公司对新兴业务运行现状进行了全面梳理,对新兴业务风险防线建设、评审路径调整、准入标准设置、授信额度与风险敞口管理等方面进行完善,包括对类信贷业务纳入信用风险管理体系加强管控;对同一主体不同信用业务实行统一评审标准;进一步完善单个客户风险敞口总控等。(5)财务会计方面一是始终坚持“统一领导,集中管理,分级核算,区别授权”的财务授权原则,不断健全财务管理制度。二是实施全面的预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。三是加强对账户管理、资金划转、密码更改、印章管理、重要凭证及有价单证管理、账务核对等业务流程的控制与管理,保证各环节都有明确的制度规定,实行不同岗位间交叉复核,有效防范操作风险。四是注重依托信息系统的建设和升级,增加会计操作风险的硬约束控制能力。2011 年 10 月,公司新一代核心业务系统成功上线,该系统兼具会计核算和风险控制功能,不但有利于实现以客户 为中心的综合服务能力,而且可以为全行应用系统提供支撑,实现对前台会计核算业务的风险控制。(6)信息科技方面9一是持续健全信息科技管理机制。制订下发兴业银行分行及异地分(支)行信息科技管理有关事项的规定,进一步规范和健全分行、异地分行与支行之间的职责分工和运行机制。二是规范信息科技架构管理,推广信息系统架构设计方法,促进架构规范及标准的有效落地。三是制订并下发兴业银行技术平台管理办法等技术架构管理标准,将全行技术平台纳入统一管理过程中。四是稳步做好信息科技风险和质量管理,将风险与质量管理有机结合,贯穿于信息系统全生命周期。五是建成启用张江主数据中心,调整核心灾备体系架构,改造优化网络基础环境,进一步完善信息科技基础设施。六是稳步增强信息科技营运能力,按计划完成应急演练,不断深化主动运维,降低业务运营成本和操作风险。4、信息交流与反馈本公司建立了良好的信息交流与反馈机制,内外信息交流通畅,各项信息上通下达。一是通过OA办公系统、业务条线会议、书面报告、调研等多种形式,收集和反馈各类经营和管理信息,确保董事会、监事会、高级管理层及时掌握公司的经营和管理风险状况,各级机构和员工均能顺畅的进行信息沟通。二是通过全面风险管理报告、内部控制报告、合规报告等与内部控制相关信息的收集、传递,确保内控信息在公司内外部的有效沟通和顺畅反馈。同时本公司加强对各种内外部信息的收集整理,提高信息的利用度和共享度。三是积极研究外部法律环境变化对本公司业务发展的影响,把握立法和监管动态,同时结合公司业务发展需要,对现有的业务、操作流程等进行完善,以防范风险。四是做好舆情监测工作,加强对负面舆情风险防范意识的指导和宣贯,推动负面舆情风险排查工作制度化、规范化,共同维护公司形象和声誉。五是做好信息披露,严格按照监管部门要求履行信息披露义务,通过定期举办业绩推介会、定期披露报告、发布可持续报告等方式,加深投资者对本公司的全面了解。5、监督评价与纠正公司已建立较为完善的监督评价与纠正管理体制,近年来,不断加大监督检查力度,优化全行监督与评价工作机制,通过内部检查和审计监督评价,加强对发现问题的追踪整改力度,提高了对各类风险的防范能力,为公司持续稳健经营提供了良好的保障作用。公司业务管理部门不断强化内部监督检查工作。一是对内部控制建立与执行情况进行定期和不定期的监督检查,包括“三个办法一个指引”贷款新规执行及10政府融资平台贷款的检查、担保业务检查、外汇业务检查、零售信贷检查、个人经营贷款专项贷后检查、反洗钱检查等,及时掌握公司内控合规管理情况,发现内部控制缺陷,并及时加以改进,确保内部控制的有效运行。二是本公司定期开展内部控制评价工作,对内控设计及运行的有效性进行自我评估,出具内控自评分析报告。对于自评过程中发现的内控缺陷,及时分析原因,提出整改方案,组织有效落实。三是公司监督检查与内控评价的实施过程充分利用合规管理系统,实现信息资源的有效共享,不断提高公司内部监督的效率和质量。四是加强对内部控制缺陷的整改力度,及时落实整改要求,规范内部管理,尽力防止重复性问题的发生,避免屡查屡犯现象。报告期内,本公司内审部门在保证对分支机构和各项业务审计频率和审计覆盖面的同时,重点关注热点领域和不同类别新兴业务风险实质,持续强化审计咨询职能,提出合理性改进建议,引导全行加强对系统性风险的管理和防范,促进综合服务能力和后台支持能力的提升。同时,近年来本公司内审部门各项日常监管工作成效逐渐显现,持续动态监管理念不断深化,内审监管员开展日常监管工作的自觉性、时效性以及工作规范程度有了很大的提高,通过持续开展现场走访、日常监测、后续追踪、内控评价等工作,促进经营机构强化内控管理。三、内部控制缺陷及其认定情况(一)内部控制缺陷认定情况根据企业内部控制评价指引,本公司在开展内部控制自我评估过程中,缺陷的认定按内部控制缺陷的影响程度分为重大缺陷、重要缺陷、一般缺陷。具体认定标准如下:重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。按照以上缺陷认定标准,截止报告期末,本公司未整改的缺陷均属于一般缺陷或重要缺陷,不存在重大缺陷,存在的一般缺陷或重要缺陷不会对本公司的资产安全、发展战略和经营目标的实现、财务信息的准确性和完整性、风险管理体系的有效性等造成较大影响,不会导致公司偏离控制目标。(二)公司内部控制主要缺陷随着当前公司资产规模持续增长,机构数量稳步增加,业务复杂度不断提升,11客观上对公司经营管理能力提出了更高的要求。在保持业务快速增长的同时,本公司应更加注重夯实管理基础,进一步健全制度体系建设,强化授信工作尽职的充分性,提升业务管理水平,进一步加强柜面服务、会计管理等基础工作,规避操作风险,加强 IT 风险控制,完善内控缺陷的量化管理。1、授信尽职工作有待进一步强化在授信尽职管理过程中,本公司个别经营机构贷前调查不够细致,贷前调查未能全面反映借款人或担保人的经营、投资、收入等情况,对异常信息关注不够到位;部分授信放款不够审慎;部分业务授信后检查不够深入,检查频率及有效性不足,表现为贷后检查资料收集不到位、贷后检查报告较为简单等。对授信尽职工作,本公司需进一步注重授信工作尽职的充分性,强化授信尽职管理的主观能动性,更加全面、深入的提升授信工作尽职水平,以更好地确保授信业务持续、健康、稳定发展。2、应更加注重会计基础工作本公司个别机构在会计科目使用、账户开户审核、错账处理和授权操作、印章与重要空白凭证管理、对账管理等方面存在不规范环节,柜面业务的基础管理和会计监督工作需进一步加强,以更好的规避操作风险。3、需持续提高新兴业务风险管理水平本公司个别新兴业务存在制度修订不及时、对应的基础资产贷后管理不够规范等问题。新兴业务已成为本公司业务增长的重要组成部分,在此背景下,本公司应持续保持对新兴业务风险识别、评估和控制的审慎性,进一步深化新兴业务风险管理,确保公司各项业务持续稳健经营。4、应进一步加强 IT 风险管理本公司个别系统存在未建立定期的用户及权限复核机制、用户及权限不定期抽查的频率过低、部分系统备份介质未定期开展可恢复性测试等问题。当前,IT技术在银行业务的应用愈加广泛,本公司应结合自身业务特点,进一步提高 IT系统研发和运行维护水平,提升 IT 系统对业务流程的支撑能力,加强 IT 风险管理,使之更好的与业务发展和风险管理要求相适应。5、进一步完善内控缺陷的量化管理本公司在加强内部控制管理,发现内部控制缺陷,评价内控有效性方面应持续改进工作方法,完善工作流程。本公司应通过设计,采用有效度量、合理比对12的计量手段,更加精确的判定公司内部控制完善程度,更好的利用操作风险管理工具和内控合规体系,提高对内部控制缺陷的量化识别水平,完善内控缺陷量化管理,加强内部控制标准化建设。四、内部控制缺陷整改情况本公司高度重视内控自我评估发现的问题,在做好自我评估的同时,对发现的内控缺陷,及时分析原因,提出整改方案,组织有效落实。报告期内,本公司采取的整改措施包括以下方面:(一)内部控制环境方面。采取健全制度建设、加大人才引进力度、合理调整及配备人员岗位、明晰内控职责等措施,切实提升内部环境执行力,加强内部控制环境建设。(二)风险识别和评估方面。进一步完善风险识别、计量、监测和管理的制度和程序,开发和运用风险量化评估的方法和模型,不断提升本公司风险管理能力。逐步建立以业务条线部门为风险评估主体、以具体业务品种为风险评估对象的常态化风险评估工作机制,进一步规范了风险评估内容、程序、频率,明确了相关信息处理和情况报告的汇报路径等。(三)内部控制活动方面1、系统设计方面。对于个别系统存在的问题,总分行相关部门通过建设完善相关系统,加强风险控制。2、授信业务执行方面。持续强化授信尽职管理,严格信用客户准入控制,重视调查的全面性和客户异常信息的分析工作,确保业务背景真实性;加强放款审核和贷后管理工作,对于个别贷款资金用途不规范的情况,相关机构采取提前收贷、补充材料等具体措施,加强对资金流向的监控。3、存款和柜面业务执行方面。逐步增加会计人员配置,解决岗位兼岗问题;通过推广网银对账以及改进账户资料核实等方式强化对账和开户资料核实工作。4、信息科技执行方面。对于关键用户和业务账号,实施较全面的密码策略;对备份介质的可恢复性进行定期测试。(四)内部监督方面。通过制订内控检查制度和考核办法,强化内部检查和审计监督评价,加强对发现问题的追踪整改和责任追究力度,提高对各类风险的防范能力。五、内部控制自我评估结论13本公司董事会已经根据基本规范、评价指引及其他相关法律法规的要求,对公司截至 2011 年 12 月 31 日上述所有方面的内部控制进行了自我评估。评估认为,报告期内,本公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,内部控制机制和内部控制制度在完整性、合理性等方面没有发现重大缺陷;实际执行过程中亦没有发现重大偏差,在有效性方面没有发现重大缺陷。随着国家法律法规体系的逐步完善,内、外部环境的变化和公司持续快速发展的需要,公司在管理人员加深对内部控制理解的基础上,将进一步健全和完善内控制度,在实际中有效执行和实施。本公司聘请的德勤华永会计师事务所有限公司已对公司财务报告相关内部控制的有效性进行了审计,出具了本公司于 2011 年 12 月 31 日按照企业内部控制基本规范和相关规定在所有重大方面保持了有效的财务报告内部控制的审计意见。14