平安银行股份有限公司2024年度内部控制评价报告
二〇二四年度
目 录
前 言 ...... 2
一、重要声明 ...... 2
二、 内部控制评价结论 ...... 2
三、 内部控制评价工作的基本情况 ...... 4
(一)内部控制评价的依据和工作目标 ...... 4
(二)内部控制评价的程序和方法 ...... 4
(三)内部控制评价范围 ...... 5
(四)内部控制缺陷认定标准 ...... 7
(五)内部控制缺陷认定及整改情况 ...... 8
四、 其他内部控制相关重大事项说明 ...... 10
(一)上一年度内控缺陷整改情况 ...... 10
(二)下一年度内控提升措施及风险应对方案 ...... 10
前 言
根据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合平安银行股份有限公司(以下简称“本行”)内部控制制度和评价办法,在内部控制日常和专项监督的基础上,我们对本行2024年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会、高级管理层建立和实施内部控制进行监督。高级管理层负责组织领导全行内部控制的日常运行。本行董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
本行内部控制的目标是促进各项经营管理活动严格遵守国家法律法规、外部监管要求、银行规章制度,切实依法合规经营,加强风险管理能力,增强核心竞争力;合理保证发展战略和经营目标的全面实施和充分实现;持续改进和完善内部控制管理体系和运行机制,不断提高风险管理的有效性,保障本行风险状况监管评级维持在较高水平;建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理及内部控制规范体系,提高风险管理水平,促进业务、财务、会计和其他管理信息的真实、准确、完整和及时。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、 内部控制评价结论
1、 本行于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2、 财务报告内部控制评价结论
√有效 □无效
根据本行财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,本行已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3、 是否发现非财务报告内部控制重大缺陷
□是 √否
根据本行非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,本行未发现非财务报告内部控制重大缺陷。
4、 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效
性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
5、 内部控制审计意见是否与本行对财务报告内部控制有效性的评价结论一致
√是 □否
6、 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与本行内部控制
评价报告披露一致
√是 □否
本报告已于2025年3月14日经第十二届董事会第三十六次会议审议通过。
三、 内部控制评价工作的基本情况
(一)内部控制评价的依据和工作目标
为保障本行建立健全和有效实施内部控制,持续提高内控管理水平,促进银行可持续健康发展,根据企业内部控制规范体系,结合《平安银行内部控制管理办法》《平安银行操作风险与内部控制自我评估管理办法》《平安银行内部控制稽核独立评价管理办法》,本行建立和完善了操作风险与内部控制自我评价体系,以满足监管内部控制评价、操作风险与内部控制自我评估及银行自身管理要求。
内部控制评价工作目标是通过对内部控制的充分性和有效性进行监督评价,发现内部控制缺陷,督促相关问题整改,提升和完善内部控制,促进本行依法合规经营,提高风险管理水平;优化内部控制程序,强化内部控制意识,保障内控体系有效运行,促进本行自身发展战略目标实现。
(二)内部控制评价的程序和方法
2024年度本行遵循全面性、一致性、独立性、客观性、重要性和及时性原则,对本行内部控制体系建设、实施和运行成果进行测试、分析和评估。包括全行操作风险与内部控制自我评估(下称“管理层自评”)和内部控制稽核独立评价(下称“稽核独立评价”)两个阶段。
法律合规部负责管理层自评工作的组织、实施与跟踪。2024年我行在持续提升操作风险与内控自评工具(RCSA-CSOX)基础上,以风险为本,强化内控自评质量,推动各级机构内控管理主动化、常态化机制建立和运转,以提升风险识别及缓释能力。由全行各部门和各分行通过识别和评估业务流程风险点、分析和测试现有控制活动的执行情况、评估设计有效性及运行有效性,评价剩余风险水平等一系列工作,对覆盖公司层面、流程层面及信息科技的所有业务/管理流程开展自我评估,同时建立整改管理流程,加强对内部控制缺陷整改的日常督办。工作流程覆盖全面梳理业务流程、识别评估关键风险、测试设计与运行有效性、发现问题与整改追踪、评价剩余风险水平五个阶段。
稽核监察部组织实施稽核独立评价,对管理层自评工作情况进行检视;对内部控制设计的充分性和运行的有效性进行评价,并督促落实内控缺陷的整改,促进本行内部控制目标实现。2024年本行稽核独立评价在原有流程、方法基础上,对风险控制矩阵(RCD)开展抽样检视,整合常规及专项审计成果开展归因分析,并对纳入独立评价范围的主要单位、业务和事项开展抽样穿行测试和运行测试。稽核独立评价工作程序包括项目计划、非现场分析、内控有效性测试、问题归因分析与缺陷认定、整改跟踪以及内部控制评价报告六个阶段。
(三)内部控制评价范围
2024年,本行遵循风险导向原则,围绕内部环境、风险评估、控制活动、信息与沟通和内部监督等内部控制五要素,从公司、流程、信息科技三个层面对内部控制设计和运行情况进行全面评价。法律合规部牵头流程梳理、风险控制矩阵更新,组织开展管理层自评,本年度银行确定一级流程26个、二级流程364个,涉及主要风险点1,287个、关键控制活动1,510个;平安理财有限责任公司(以下简称“理财子”)确定一级流程18个、二级流程153个,涉及主要风险点469个、关键控制活动469个。稽核监察部在管理层自评基础上,选取关键控制活动开展独立测试,银行选取了368个主要风险点、428个关键控制活动,理财子选取了141个主要风险点、141个控制活动。本年度内部控制评价覆盖本行各机构和各业务条线,重点业务、重点风险领域以及与财务报告相关的控制活动,以保证全行内控体系健全、运行有效,整体风险水平在可控范围内,从而服务于整体战略目标实现。
1、纳入评价范围的主要单位包括:管理层自评覆盖总行各职能部门和各级分支机构;稽核独立评价主要涉及总行各职能部门,以及部分抽样分行。理财子自行开展内部控制评价工作,评价结果纳入本报告。
2、纳入评价范围的单位占比:
表1 2024年度内部控制评价范围-1
| 指标 | 占比(%) |
| 纳入评价范围单位的资产总额占本行合并财务报表资产总额之比 | 100% |
| 纳入评价范围单位的营业收入合计占本行合并财务报表营业收入总额之比 | 100% |
3、纳入评价范围的主要业务和事项:
银行:财务报告、电子银行、对公贷款、费用管理、个人存款、公司层面、公司存款、固定资产及无形资产管理、离岸业务、理财产品、零售贷款、贸易结算、贸易融资、票据业务、普惠金融、汽车金融、人力资源、税务管理、投融资管理、投资银行、信息科技管理、信用卡、业务综合拓展、运营管理、资产托管、资金和同业业务。
理财子:财务管理、采购管理、产品管理、法律与合规管理、风险管理、公司治理与战略管理、行政事务管理、集中交易、净资本管理、内部监督管理、品牌宣传管理、人力资源管理、投资管理、销售管理、信息科技管理、研究管理、运营管理、资金管理。
表2 2024年度内部控制评价范围-2
| 机构 | 管理层自评 | 稽核独立评价 | ||
| 风险点 | 控制活动 | 风险点 | 控制活动 | |
| 银行 | 1287 | 1510 | 368 | 428 |
| 理财子 | 469 | 469 | 141 | 141 |
4、重点关注的高风险领域主要包括:
银行:零售贷款、对公贷款、贸易结算、运营管理、理财产品、票据业务、贸易融资、信用卡、信息科技管理等流程,以及贷款三查、合作业务管理、员工行为、信息安全等监管关注领域。
理财子:投资管理、集中交易、销售管理、运营管理、产品管理等业务流程,以及信息科技、财务管理、资金管理、行政事务管理、法律与合规管理、人力资源管理及内部监督等管理流程。
5、上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主要方面。
6、是否存在重大遗漏
□是 √否
7、是否存在法定豁免
□是 √否
8、其他说明事项
无
(四)内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求,参考人民银行《商业银行内部控制评价指南》内部控制缺陷认定标准,从定性和定量两个维度,结合内部控制缺陷对整体控制目标实现影响的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷,并与以前年度保持一致。
1、财务报告内部控制缺陷认定标准
(1)财务报告内部控制缺陷评价的定量标准
表3 财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.财务报告错报金额占当年末资产总额的比例≥0.25%; 2.财务报告错报金额占当年度利润总额的比例≥5%。 | 1.财务报告错报金额占当年末资产总额的比例区间为[0.0125%,0.25%); 2.财务报告错报金额占当年度利润总额的比例区间为[0.25%,5%)。 | 1.财务报告错报金额占当年末资产总额的比例<0.0125%; 2.财务报告错报金额占当年度利润总额的比例<0.25%。 |
(2) 财务报告内部控制缺陷评价的定性标准
重大缺陷是指可能产生或者已经造成重大金额财务报告的错报;重要缺陷是指可能产生或者已经造成较大金额财务报告的错报;一般缺陷为可能产生或者已经造成较小金额财务报告的错报。
2、非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。
(1)非财务报告内部控制缺陷评价的定量标准
表4 非财务报告内部控制缺陷评价定量标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 财务损失金额占当年度营业收入的比例≥1%。 | 财务损失金额占当年度营业收入的比例区间为[0.05%,1%)。 | 财务损失金额占当年度营业收入的比例<0.05%。 |
(2)非财务报告内部控制缺陷评价的定性标准
表5 非财务报告内部控制缺陷评价定性标准
| 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1.对本行整体控制目标的实现造成严重影响; 2.可能产生或者已经造成重大金额的财务损失; 3.违反有关法律法规或监管要求,情节非常严重,引起监管部门的严厉惩戒或其他非常严重的法律后果; 4.可能导致业务或服务出现严重问题,影响到数个关键产品/关键客户群体的服务无法进行; 5.造成的负面影响波及范围很广,引起国内外公众的广泛关注,对本行声誉、股价带来严重的负面影响。 | 1.对本行整体控制目标的实现造成一定影响; 2.可能产生或者已经造成较大金额的财务损失; 3.违反有关法律法规和监管要求,情节比较严重,引起监管部门较为严重的处罚或其他较为严重的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体的服务质量大幅下降; 5.造成的负面影响波及行内外,引起公众关注,在部分地区对本行声誉带来较大的负面影响。 | 1.对本行整体控制目标的实现有轻微影响或者基本没有影响; 2.可能产生或者已经造成较小金额的财务损失; 3.违反有关法律法规或监管要求,情节轻微,引起监管部门较轻程度的处罚或其他较轻程度的法律后果; 4.可能导致业务或服务出现一定问题,影响到一个或数个关键产品/关键客户群体,并且影响情况可以立刻得到控制; 5.造成的负面影响局限于一定范围,公众关注程度较低,对本行声誉带来负面影响较小。 |
(五)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
按照财务报告内部控制缺陷认定标准,报告期内不存在财务报告内部控制重大缺陷、重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
按照非财务报告内部控制缺陷的认定标准,报告期内不存在非财务报告内部控制重大缺陷、重要缺陷。2024年内控评价中发现51个一般缺陷,其中银行内控评价
缺陷44个,理财子内控评价缺陷7个,截至2024年12月31日均已完成整改。银行内控评价缺陷44个,包括管理层自评认定缺陷39个、稽核独立评价认定缺陷5个,其中:设计性缺陷7个,占内控缺陷的15.91%,主要表现为零售、普惠客户统一授信管理机制不健全,绿色金融限额设置不全面、部分制度待完善,资本新规计量部分系统规则设置存在疏漏等;运行性缺陷37个,占内控缺陷的84.09%,主要表现为部分部分零售、对公授信业务三查不到位,部分机构对合作催收机构信息安全管控不足,部分普惠小微企业划型不准确,部分分行税务申报不规范,部分机构员工行为管理存在不足等。
理财子内控评价缺陷7个,包括管理层自评认定缺陷6个、稽核独立评价认定缺陷1个,其中:设计性缺陷4个,占内控缺陷的57.14%,主要表现为缺少私募产品投资的规范性制度、流程及标准,未建立个人金融信息等数据分级分类管理制度,信息科技风险监测机制不完善等;运行性缺陷3个,占内控缺陷的42.86%,主要表现为个别标准化资产投资未全面落实投后管理要求,未按内部规定履行信息科技外包管理报告程序,IT设备管理等制度到期未及时更新等。对于发现的内部控制缺陷,管理层已组织制订了整改计划并推动落实。针对设计性缺陷,及时建章立制,健全管理机制,细化职责分工,优化系统功能;针对运行性缺陷,通过追根溯源、举一反三,加强同质同类问题排查整改,强化警示教育和合规宣导,落实问责处罚,提升监督检查质效。根据内部控制评价和缺陷认定标准,银行及理财子内部控制机制设计合理、运行基本有效,个别内部控制薄弱环节已制订改善措施并落实整改,对内部控制体系的健全性、有效性及财务报告的可靠性不构成实质影响。
表6 2024年度内控缺陷情况
| 机构 | 一级流程数量 | 风险点数量 | 管理层自评 认定的内控缺陷数量 | 稽核独立评价 认定的内控缺陷数量 | 截至2024/12/31尚未完成整改的内控缺陷数量 |
| 银行 | 26 | 1287 | 39 | 5 | 0 |
| 理财子 | 18 | 469 | 6 | 1 | 0 |
四、 其他内部控制相关重大事项说明
(一)上一年度内控缺陷整改情况
□适用 √不适用
(二)下一年度内控提升措施及风险应对方案
2024年,本行坚决贯彻落实党的二十届三中全会和中央经济工作会议精神,坚守金融工作的政治性、人民性,坚持以党建引领高质量发展,扎实做好“五篇大文章”,聚焦深化战略改革,加快落实经营管理各项决策部署,整体经营发展保持稳健。2025年,本行将深化党业融合,紧跟中央金融政策要求,聚焦坚持战略定力、业绩企稳回升和贯彻协同发展“三大目标”,坚定贯彻“零售做强、对公做精、同业做专”的战略方针,不断提升经营管理水平,持续深化转型、加快调整,实现业务长期稳健发展;持续深化内控建设,完善监督体系,压实主体责任,开展专项整治“回头看”,坚持从严治行,做实干部监督,强化作风建设,深化成果运用,赋能高质量发展。
1、深化治理合规风险,提升内控管理有效性
2025年,本行将组织开展“合规风险治理深化年”专项活动,进一步夯实合规管理基础,全面深化合规风险治理,提升内控合规管理有效性。做实合规管理,提升案防及员工行为、合作业务管理、信息安全等监管重点关注领域的管理质效;对标《金融机构合规管理办法》加强文化建设、体制建设、队伍建设、制度建设、系统建设,守好合规底线、管控好合规风险,助推全行战略升级、健康可持续发展。
2、持续优化风险管理体系,强化资产质量管控
2025年,本行将以风险融合促发展,在守好资产质量同时,紧跟政策导向,全力做好“五篇大文章”,提升服务实体经济质效。完善普惠、零售等业务配套风险体系,防范化解房地产等重点行业风险,通过“早识别、早预警、早暴露、早处置”等措施,提前预防和化解风险事件;加大催清收力度,创新手段,强化协同,集中攻坚,提升催清收质效。
3、全面加强数字化审计建设,提升整改质效
2025年,本行内部审计将坚守第三道防线的职能定位,聚焦“经营风险、合规风险、管理风险、财务风险”四大领域,筑牢监督防线,护航银行健康发展。全面加强数字化审计能力,优化审计模式,加强远程稽核应用,加快新技术应用场景落地,科业融合前瞻穿透防控风险;优化整改闭环机制,严审整改方案、严把整改验证关口、严肃整改考核运用;强化跟踪督导,加强整改检视,遏制屡查屡犯,提升整改质效。
(三)其他重大事项说明
□适用 √不适用
平安银行股份有限公司二零二五年三月十五日