平安银行:内部控制自我评价报告

平安银行股份有限公司
2022年度内部控制评价报告
二〇二二年度目录
前言....................................................2
一、重要声明................................................2
二、内部控制评价结论............................................2
三、内部控制评价工作的基本情况.......................................4
（一）内部控制评价的依据和工作目标.....................................4
（二）内部控制评价的程序和方法.......................................4
（三）内部控制评价范围...........................................5
（四）内部控制缺陷认定标准.........................................7
（五）内部控制缺陷认定及整改情况......................................8
四、其他内部控制相关重大事项说明.....................................10
（一）上一年度内控缺陷整改情况......................................10
（二）下一年度内控提升措施及风险应对方案.................................10
1前言
根据《企业内部控制基本规范》及其配套指引、《商业银行内部控制指引》和
其他内部控制监管要求（以下简称“企业内部控制规范体系”），结合平安银行股份有限公司（以下简称“本行”）内部控制制度和评价办法，在内部控制日常和专项监督的基础上，我们对本行2022年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是本行董事会的责任。监事会对董事会、高级管理层建立和实施内部控制进行监督。高级管理层负责组织领导全行内部控制的日常运行。本行董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
本行内部控制的目标是促进各项经营管理活动严格遵守国家法律法规、外部监
管要求、银行规章制度，切实依法合规经营，加强风险管理能力，增强核心竞争力；
合理保证发展战略和经营目标的全面实施和充分实现；持续改进和完善内部控制管
理体系和运行机制，不断提高风险管理的有效性，保障本行风险状况监管评级维持在较高水平；建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”
的风险管理及内部控制规范体系，提高风险管理水平，促进业务、财务、会计和其他管理信息的真实、准确、完整和及时。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
1、本行于内部控制评价报告基准日，是否存在财务报告内部控制重大缺陷
2□是√否
2、财务报告内部控制评价结论
√有效□无效
根据本行财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，本行已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3、是否发现非财务报告内部控制重大缺陷
□是√否
根据本行非财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，本行未发现非财务报告内部控制重大缺陷。
4、自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效
性评价结论的因素
□适用√不适用自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
5、内部控制审计意见是否与本行对财务报告内部控制有效性的评价结论一致
√是□否
6、内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与本行内部控制
评价报告披露一致
√是□否本报告已于2023年3月8日经第十二届董事会第六次会议审议通过。
3三、内部控制评价工作的基本情况
（一）内部控制评价的依据和工作目标
为保障本行建立健全和有效实施内部控制，持续提高内控管理水平，促进银行可持续健康发展，根据企业内部控制规范体系，结合《平安银行内部控制管理办法》《平安银行操作风险与内部控制自我评估（RCSA-CSOX-DCFC）管理办法》《平安银行内部控制稽核独立评价管理办法》，本行建立和完善了操作风险与内部控制自我评价体系，以满足监管内部控制评价、操作风险与控制自我评估、上市公司内部控制评价及银行自身管理要求。
内部控制评价工作目标是促进本行依法合规经营，加强风险管理能力、增强核心竞争力；持续优化和完善管理体系及业务流程，保障有效益、可持续健康发展；
建立“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的风险管理
及内部控制规范体系，建立良好的内控文化，保障内控有效运行，切实防范案件及各类风险，促进本行自身发展战略目标的实现。
（二）内部控制评价的程序和方法
2022年度本行遵循全面性、一致性、独立性、客观性、重要性和及时性原则开展内部控制评价工作。包括全行操作风险与内部控制自我评估（下称“管理层自评”）和内部控制稽核独立评价（下称“稽核独立评价”）两个阶段。
法律合规部门负责管理层自评工作的组织、实施与跟踪。2022年本行管理层自评在持续提升内控自评工具（RCSA-CSOX-DCFC）的基础上，以风险为本，积极探索智能化应用，结合大数据分析，强化内控自评质量，推动各级机构内控管理主动化、常态化机制建立和运转。由全行各部门/事业部和各分行通过识别和评估业务流程风险点、分析和测试现有控制活动的执行情况、评估设计有效性及运行有效性，评价剩余风险水平等一系列工作，对覆盖公司层面、流程层面及信息科技的所有业务/管理流程开展自我评估，同时建立整改管理流程，加强对内部控制缺陷整改的日常督办。工作流程覆盖全面梳理业务流程、识别评估关键风险、测试设计与运行有
4效性、发现问题与整改追踪、评价剩余风险水平五个阶段。
稽核监察部组织实施内部控制稽核独立评价，对管理层自评工作情况进行检视；
对内部控制设计的充分性和运行的有效性进行评价，并督促落实内控缺陷的整改，促进本行内部控制目标实现。2022年本行稽核独立评价在原有流程、方法基础上，根据风险控制矩阵（RCD）开展抽样检视，对纳入独立评价范围的主要单位、业务和事项开展穿行测试和运行测试，并整合常规审计、专项审计成果开展归因分析。
内控稽核独立评价工作程序包括项目计划、非现场分析、内控有效性测试、问题归
因分析与缺陷认定、整改跟踪以及内部控制评价报告六个阶段。
（三）内部控制评价范围
2022年，本行按照风险导向原则，围绕内部环境、风险评估、控制活动、信息
与沟通、内部监督内部控制五要素，从公司、流程、信息科技三个层面对内部控制设计和运行情况进行全面评价。法律合规部门牵头流程梳理盘点、风险控制矩阵更新，组织开展管理层自评，本年度银行确定一级流程26个、二级流程321个，涉及主要风险点1217个、关键控制活动1447个；理财子确定一级流程20个、二级流程127个，涉及主要风险点563个、关键控制活动571个。稽核监察部在管理层自评基础上，选取关键控制活动开展独立测试，银行选取了367个主要风险点、408个关键控制活动，理财子选取了158个主要风险点、161个控制活动，覆盖本行各机构和各业务条线、重点业务、重点风险领域以及与财务报告相关的控制活动，以保证全行内控体系健全、运行有效，整体风险水平在可控范围内，服务整体战略目标实现。
1、纳入评价范围的主要单位包括：管理层自评覆盖总行各职能部门/事业部和各级
分支机构；稽核独立评价主要涉及总行各职能部门及事业部，以及部分抽样分行。
平安理财有限责任公司自行开展内部控制评价工作，评价结果纳入总行。
2、纳入评价范围的单位占比：
表12022年度内部控制评价范围-1
指标占比（%）
纳入评价范围单位的资产总额占本行合并财务报表资产总额之比100%
5纳入评价范围单位的营业收入合计占本行合并财务报表营业收入总额之比100%
3、纳入评价范围的主要业务和事项：
银行：财务报告、电子银行、对公贷款、费用管理、个人存款、公司层面、公司
存款、固定资产及无形资产管理、离岸业务、理财产品、零售贷款、贸易结算、贸
易融资、票据业务、汽车金融、人力资源、税务管理、投融资管理、投资银行、小
企业业务、信息科技管理、信用卡、业务综合拓展、运营管理、资产托管、资金和同业业务。
理财子：标准资产投资管理、非标准资产投资管理、投资管理、投资交易、销售
管理、运营管理、产品管理、信息科技流程、财务管理、资金管理、行政事务管理、
法律与合规管理、人力资源管理、内部监督。
表22022年度内部控制评价范围-2管理层自评稽核独立评价机构风险点控制活动风险点控制活动银行12171447367408理财子563571158161
4、重点关注的高风险领域主要包括：
银行：零售贷款、对公贷款、信息科技管理、理财产品、个人存款、票据业务、
资金与同业业务、汽车金融、信用卡、小企业业务等流程，以及员工行为管理、反洗钱管理、数据治理、消费者权益保护管理等监管关注领域。
理财子：标准资产投资管理、非标准资产投资管理、投资管理、投资交易、销售
管理、运营管理、产品管理等业务流程，以及信息科技、财务管理、资金管理、行政事务管理、法律与合规管理、人力资源管理及内部监督等管理流程。
5、上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了本行经营管理的主要方面。
6、是否存在重大遗漏
6□是√否
7、是否存在法定豁免
□是√否
8、其他说明事项
无
（四）内部控制缺陷认定标准
本行根据企业内部控制规范体系对内部控制缺陷的认定要求，采用人民银行《商业银行内部控制评价指南》内部控制缺陷认定标准，从定性和定量两个维度，结合内部控制缺陷对整体控制目标实现影响的严重程度，将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷，并与以前年度保持一致。
1、财务报告内部控制缺陷认定标准
（1）财务报告内部控制缺陷评价的定量标准表3财务报告内部控制缺陷评价定量标准重大缺陷重要缺陷一般缺陷
1.财务报告错报金额占当年
1.财务报告错报金额占当年末资产1.财务报告错报金额占当年末资产总额
末资产总额的比例＜总额的比例≥0.25%；的比例区间为[0.0125%，0.25%）；
0.0125%；
2.财务报告错报金额占当年度利润2.财务报告错报金额占当年度利润总额
2.财务报告错报金额占当年总额的比例≥5%。的比例区间为[0.25%，5%）。
度利润总额的比例＜0.25%。
（2）财务报告内部控制缺陷评价的定性标准重大缺陷是指可能产生或者已经造成重大金额财务报告的错报；重要缺陷是指可能产生或者已经造成较大金额财务报告的错报；一般缺陷为可能产生或者已经造成较小金额财务报告的错报。
2、非财务报告内部控制缺陷认定标准
7非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。
（1）非财务报告内部控制缺陷评价的定量标准表4非财务报告内部控制缺陷评价定量标准重大缺陷重要缺陷一般缺陷财务损失金额占当年度营业收入的财务损失金额占当年度营业收入的比例财务损失金额占当年度营业比例≥1%。区间为[0.05%，1%)。收入的比例＜0.05%。
（2）非财务报告内部控制缺陷评价的定性标准表5非财务报告内部控制缺陷评价定性标准重大缺陷重要缺陷一般缺陷
1.对本行整体控制目标的实现造成1.对本行整体控制目标的实现造成一1.对本行整体控制目标的实现
严重影响；定影响；有轻微影响或者基本没有影
2.可能产生或者已经造成重大金额2.可能产生或者已经造成较大金额的响；
的财务损失；财务损失；2.可能产生或者已经造成较小
3.违反有关法律法规或监管要求，3.违反有关法律法规和监管要求，情金额的财务损失；
情节非常严重，引起监管部门的严节比较严重，引起监管部门较为严重3.违反有关法律法规或监管要厉惩戒或其他非常严重的法律后的处罚或其他较为严重的法律后果；求，情节轻微，引起监管部门果；4.可能导致业务或服务出现一定问较轻程度的处罚或其他较轻程
4.可能导致业务或服务出现严重问题，影响到一个或数个关键产品/关键度的法律后果；
题，影响到数个关键产品/关键客户客户群体的服务质量大幅下降；4.可能导致业务或服务出现一群体的服务无法进行；5.造成的负面影响波及行内外，引起定问题，影响到一个或数个关
5.造成的负面影响波及范围很广，公众关注，在部分地区对本行声誉带键产品/关键客户群体，并且影
引起国内外公众的广泛关注，对本来较大的负面影响。响情况可以立刻得到控制；
行声誉、股价带来严重的负面影5.造成的负面影响局限于一定响。范围，公众关注程度较低，对本行声誉带来负面影响较小。
（五）内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
按照财务报告内部控制缺陷认定标准，报告期内不存在财务报告内部控制重大缺陷、重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
按照非财务报告内部控制缺陷的认定标准，报告期内不存在非财务报告内部控制重大缺陷、重要缺陷。2022年内控评价中发现53个一般缺陷，其中银行内控评价
8缺陷43个，理财子内控评价缺陷10个，截至2022年12月31日均已完成整改。
银行内控评价缺陷43个，包括管理层自评认定缺陷38个、稽核独立评价认定缺陷5个，其中：设计性缺陷6个，占内控缺陷的13.95%，主要表现为未及时梳理、修订业务制度，结构性存款新老产品认定标准不明确，线上化业务风控未适配管理要求，客户信息安全管控措施不足等；运行性缺陷37个，占内控缺陷的86.05%，主要表现在部分零售、对公信贷业务三查不到位，数据安全管理、机房安全管控、机房物理环境管理不规范，理财产品销售文本、话术、产品信息披露不规范，员工违规出借信用卡、与客户或供应商发生资金往来等。
理财子内控评价缺陷10个，包括管理层自评认定缺陷7个，稽核独立评价认定缺陷3个，其中：设计性缺陷2个，占内控缺陷总数的20%，主要表现为内部管理制度需持续修订完善等，涉及公司层面、产品管理、销售管理、人力资源管理、信息科技管理等流程；运行性缺陷8个，占内控缺陷总数的80%，主要表现为对业务要求理解执行不到位、业务操作不规范等，涉及内部环境、内部监督、标准资产投资管理、销售管理、投资交易、法律合规管理、人力资源管理等流程。
对于发现的内部控制缺陷，管理层已组织制订了整改计划并推动落实。针对设计性缺陷，及时梳理更新制度，明确职责分工，优化产品设计，改善系统功能，强化系统管控，加强信息管理；针对运行性缺陷，加强同质同类问题排查整改，防止屡查屡犯，提升精细化管理水平，加大典型事件处罚力度，重典治乱，提升监督检查质效。
根据内部控制评价和缺陷认定标准，银行及理财子内部控制机制设计合理、运行基本有效，个别内部控制薄弱环节已制订改善措施并落实整改，对内部控制体系的健全性、有效性及财务报告的可靠性不构成实质影响。
表62022年度内控缺陷情况
管理层自评稽核独立评价截至2022/12/31尚未风险点数机构一级流程数量认定的内控缺陷认定的内控缺陷完成整改的内控缺陷量数量数量数量银行2612173850理财子20563730
9四、其他内部控制相关重大事项说明
（一）上一年度内控缺陷整改情况
□适用√不适用
（二）下一年度内控提升措施及风险应对方案
2022年，全球疫情反复，经济、政治环境复杂多变，本行学习贯彻党的二十大精神，履行社会责任，坚定不移服务实体经济，加大制造业及普惠小微企业支持力度，持续对小微企业和个体工商户减费让利；深化合署办公，强化内控赋能，促进平台互通，升级监督模式，开展专项行动，提升内控价值。2023年，本行步入转型进阶新征程，将继续保持战略定力，促进深层次协同打通，构建前中后台一体化经营体系。内控也将深入贯彻“科技赋能、狠抓典型、高举高打、持之以恒”的要求，突出职能定位，筑牢文化建设，打通监督检查，深化科技赋能，提升队伍建设，助力本行转型进阶。
1、优化风险管控机制，筑牢资产质量生命线
2023年，本行将围绕二十大提出的“加快构建新发展格局，着力推动高质量发展”要求，锚定“10+3”主要业务，加大“基本盘”投放力度，创新“民生盘”服务模式，前瞻布局“增长盘”；升级风控理念，优化产品准入策略，从源头提升资产质量基础；坚持贷管并重，强化资金交易监测，筑牢资产质量生命线。
2、夯实内控核心能力，加强合规文化建设
2023年，本行坚持“敬畏监管、尊重规则、不踩红线”，牢固树立“内控强基，合规为本”的理念，建立健全内控体系，持续优化内控机制，落实制度“标准化、流程化、系统化”建设；加强内控核心能力建设，提高管理工具运用效果，提升内控精细化管理水平；通过常态化的内控检查和定期的内控评价，提升合规风险管控能力；加强合规网格管理系统建设，推动各层级入网入格，压实网格责任，营造良好的合规氛围。
3、持续升级审计模式，助力业务高质量发展
102023年，本行内部审计将紧密围绕战略方向，强化前瞻预判，深化科技赋能，
聚焦“持续、远程、增效”三大关键，升级审计模式，丰富系统功能，强化风险分析，挖掘内控价值；坚持前置监督，持续迭代模型，提升问题锁定的敏捷度和精准度，深化一揽子赋能输出体系，加强纪审联动，提升内控价值；打通整改机制，建立整改闭环，开展专项行动，推动建章建制，统筹标本兼治。扎实践行新价值文化，用专业创造价值，与纪检监察、合规协同监督，形成监督合力，共同助力本行业务高质量发展。
（三）其他重大事项说明
□适用√不适用平安银行股份有限公司
2023年3月9日
11