兴业银行股份有限公司2017年度内部控制评价报告

公司代码：601166公司简称：兴业银行兴业银行股份有限公司2017年度内部控制评价报告兴业银行股份有限公司全体股东：根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称企业内部控制规范体系），结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2017年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。一.重要声明按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。二.内部控制评价结论1.公司于内部控制评价报告基准日，是否存在财务报告内部控制重大缺陷□是√否2.财务报告内部控制评价结论√有效□无效根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。3.是否发现非财务报告内部控制重大缺陷□是√否根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。4.自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素□适用√不适用自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。5.内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致√是□否公司聘请德勤华永会计师事务所（特殊普通合伙）对本公司的内部控制进行独立审计。内部控制审计意见与公司对财务报告内部控制有效性的评价结论一致。6.内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致√是□否三.内部控制评价工作情况(一).内部控制评价范围公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。1.纳入评价范围的主要单位包括：公司各职能部门、分支机构以及兴业金融租赁有限责任公司、兴业国际信托有限公司、兴业基金管理有限公司、兴业消费金融股份公司、兴业经济研究咨询股份有限公司、兴业数字金融服务股份有限公司等附属机构。2.纳入评价范围的单位占比：指标占比（%）纳入评价范围单位的资产总额占公司合并财务报表资产总额之比100纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比1003.纳入评价范围的主要业务和事项包括:内控评价范围覆盖公司主要业务流程和管理活动，通过内控测试及检查监督评价两种方式进行。内控测试范围包括：企业层面评估、信息科技层面评估和流程层面评估。其中，企业层面包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五大控制要素，35个评价子领域；信息科技层面包括信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和投产、信息科技运行管理、连续性管理、外包服务管理等7个方面，35个评价子领域；流程层面覆盖对公贷款、债券承销、同业授信、同业投资、银票开立、银票贴现、个人贷款、代客理财、资产托管及对公存款等10个重点流程。检查监督评价范围包括本年度内外部检查、审计等检查监督方式发现的内控缺陷。4.重点关注的高风险领域主要包括：公司业务、零售业务、同业业务、中间业务、支付结算、信息科技运行管理等。5.上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，是否存在重大遗漏□是√否6.是否存在法定豁免□是√否7.其他说明事项无(二).内部控制评价工作依据及内部控制缺陷认定标准公司依据企业内部控制规范体系及银监会《商业银行内部控制指引》、《上海证券交易所上市公司内部控制指引》等有关规定，并根据《兴业银行股份有限公司内部控制基本制度》、《兴业银行内部控制评价管理办法》等制度，，组织开展内部控制评价工作。1.内部控制缺陷具体认定标准是否与以前年度存在调整□是√否公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。2.财务报告内部控制缺陷认定标准公司确定的财务报告内部控制缺陷评价的定量标准如下：指标名称重大缺陷定量标准重要缺陷定量标准一般缺陷定量标准资产及负债类科目潜在错报错报＞资产总额的0.09%资产总额的0.005%＜错报≤资产总额的0.09%错报≤资产总额的0.005%所有者权益类科目潜在错报错报＞所有者权益的1.6%所有者权益的0.1%＜错报≤所有者权益的1.6%错报≤所有者权益的0.1%损益类科目潜在错报错报＞利润总额的6%利润总额的0.38%＜错报≤利润总额的6%错报≤利润总额的0.38%说明:财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报告内部控制缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。内部控制缺陷可能导致或导致的损失与上述项目相关的，以相应的标准衡量；如损失同时与上述多个项目相关的，按孰低原则确定适用的标准。公司确定的财务报告内部控制缺陷评价的定性标准如下：缺陷性质定性标准重大缺陷一个或多个内部控制缺陷的组合，可能导致不能及时防止或发现并纠正财务报告中的重大错报。存在重大缺陷的迹象包括：公司董事、监事或高级管理人员存在舞弊行为；公司更正已公布的财务报告；注册会计师发现的未被公司内部控制识别的当期财务报告中的重大错报；公司审计与关联交易控制委员会、内部审计部门对公司财务报告内部控制的监督无效。重要缺陷一个或多个内部控制缺陷的组合，可能导致不能及时防止或发现并纠正财务报告中虽不构成重大错报但仍应引起管理层重视的错报。存在重要缺陷的迹象包括：未依照公认会计准则选择和应用会计政策；未建立反舞弊程序和控制措施；对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制；对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。一般缺陷不构成重大缺陷或重要缺陷的其他内部控制缺陷。说明：无3.非财务报告内部控制缺陷认定标准公司确定的非财务报告内部控制缺陷评价的定量标准如下：指标名称重大缺陷定量标准重要缺陷定量标准一般缺陷定量标准直接财产损失直接财产损失＞所有者权益的1.6%所有者权益的0.1%＜直接财产损失≤所有者权益的1.6%直接财产损失≤所有者权益的0.1%说明：非财务报告内部控制是指针对除财务报告目标之外的战略目标、资产安全、经营目标、合规目标等其他目标的内部控制。公司非财务报告内部控制缺陷认定主要依据缺陷涉及业务性质的严重程度、直接或潜在负面影响的性质、影响的范围等因素来确定。公司确定的非财务报告内部控制缺陷评价的定性标准如下：缺陷性质定性标准重大缺陷一个或多个内部控制缺陷的组合，可能给公司带来重大操作风险、合规风险或声誉风险，可能导致公司严重偏离内部控制目标。存在重大缺陷的迹象包括：公司缺乏科学决策程序；严重违反国家法律、法规并受到处罚；关键岗位人员流失严重，影响业务正常开展；媒体负面新闻频现；重要业务缺乏制度控制或系统失效；内部控制重大缺陷未得到整改。重要缺陷一个或多个内部控制缺陷的组合，其严重程度和经济后果低于重大缺陷，如不加以改进将可能导致合规风险或声誉风险，且仍有可能导致公司偏离内部控制目标。存在重要缺陷的迹象包括：公司决策程序存在但不够完善；严重违反公司内部规章并形成损失；关键岗位人员流失较为严重；媒体出现负面新闻并波及局部区域；重要业务制度或系统存在缺陷；内部控制重要缺陷未得到整改。一般缺陷不构成重大缺陷或重要缺陷的其他内部控制缺陷。这些缺陷相关影响程度较低，主要是有悖最佳操作原则和可能导致效率低下的做法，不太可能导致合规风险或声誉风险。说明：无(三).内部控制缺陷认定及整改情况1.财务报告内部控制缺陷认定及整改情况1.1.重大缺陷报告期内公司是否存在财务报告内部控制重大缺陷□是√否1.2.重要缺陷报告期内公司是否存在财务报告内部控制重要缺陷□是√否1.3.一般缺陷公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内，不会对公司的资产安全、发展战略和经营目标的实现、财务信息的准确性和完整性、风险管理体系的有效性等造成实质性影响，不会导致公司偏离控制目标，并且已经制定了具体的方案和措施认真落实整改。1.4.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重大缺陷□是√否1.5.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重要缺陷□是√否2.非财务报告内部控制缺陷认定及整改情况2.1.重大缺陷报告期内公司是否发现非财务报告内部控制重大缺陷□是√否2.2.重要缺陷报告期内公司是否发现非财务报告内部控制重要缺陷□是√否2.3.一般缺陷公司报告期内发现的一般缺陷可能导致的风险均在可控范围之内，不会对公司的资产安全、发展战略和经营目标的实现、财务信息的准确性和完整性、风险管理体系的有效性等造成实质性影响，不会导致公司偏离控制目标，并且已经制定了具体的方案和措施认真落实整改。2.4.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重大缺陷□是√否2.5.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重要缺陷□是√否四.其他内部控制相关重大事项说明1.上一年度内部控制缺陷整改情况√适用□不适用公司2016年度所发现内部控制缺陷均为一般缺陷。公司建立了科学合理的整改工作机制，明确具体缺陷的整改责任单位，制定详细的整改方案并严格落实。同时，加强整改监督工作，通过抽查、核验等方式，对后续整改情况进行追踪，并将整改质量纳入内控合规考核范畴，促进缺陷的实质性整改以及公司内部控制有效性的提升。2.本年度内部控制运行情况及下一年度改进方向√适用□不适用2017年，公司认真贯彻落实党的十九大和全国金融工作会议精神，坚持稳中求进的工作总基调，“稳发展、补短板、促改革”，在深化改革、坚定转型的同时回归本源，扎实做好基础工作，加大弥补短板力度，全面加强风险合规内控和运营支持保障体系建设。报告期内，公司高度重视内部控制建设，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等方面不断加强和完善内部控制机制，为公司的持续稳健发展提供了良好保障。（1）内部环境报告期内，公司进一步完善公司治理，持续强化“三会一层”职能建设，由股东大会、董事会、监事会和高级管理层构建的公司治理结构运作规范、权责分明、制衡有效。根据最新监管指引并结合自身实践，报告期内公司启动修改《兴业银行股份有限公司章程》工作并已形成修订草案，将加强党的领导与完善公司治理统一起来，明确党委在公司治理中的领导核心地位，同时对照监管要求细化各治理主体职责以及对董监事及高级管理层的履职监督要求，调整部分事项决策审议权限。《章程》草案履行法定审议程序核准生效后，公司将启动董事会和监事会议事规则、董事履职评价办法等制度的修订工作，进一步明晰权责边界，促进公司治理持续规范运作。继续完善董监事和高级管理层的履职档案，常态化组织开展履职评价工作，并及时向董事会、高级管理层和监管部门通报评价结果。定期召开股东大会、董事会、监事会等，在制定