中国民生银行股份有限公司董事会 关于公司 2010 年度内部控制的自我评估报告 董事会全体成员保证本报告内容真实 准确和完整, 没有虚假记载 误导性陈述或者重大遗漏 中国民生银行股份有限公司全体股东 : 中国民生银行股份有限公司董事会 ( 以下简称 董事会 ) 对建立和维护充分的财务报告相关内部控制制度负责 财务报告相关内部控制的目标是保证财务报告信息真实完整和可靠 防范重大错报风险 由于内部控制存在固有局限性, 因此仅能对上述目标提供合理保证 董事会已按照 企业内部控制基本规范 要求对财务报告相关内部控制进行了评价, 认为本公司在截至 2010 年 12 月 31 日内部控制制度健全 执行有效, 未发现本公司存在内部控制设计或执行方面的重大缺陷 我公司聘请的普华永道中天会计师事务所已对公司财务报告相关内部控制有效性进行了审计, 具体审核意见见 中国民生银行股份有限公司 2010 年度内部控制自我评价报告及审计师评价意见报告 附件 : 中国民生银行股份有限公司 2010 年度内部控制自我评价报告及审核报告 董事会 2011 年 3 月 25 日
附件 : 中国民生银行股份有限公司 2010 年度内部控制自我评价报告 根据 中华人民共和国商业银行法 企业内部控制基本规范 商业银行内部控制指引 和 上海证券交易所上市公司内部控制指引 等法律法规和监管规章的要求, 中国民生银行股份有限公司 ( 以下简称 公司 ) 以提高经营管理水平和风险防范能力, 促进可持续发展为宗旨, 建立起了一套较为科学 完整 合理的内部控制体系, 并按照年度工作计划稳步推进内部控制评价 公司内部控制范围基本涵盖了所有管理和业务流程, 基本形成了对风险进行事前防范 事中控制 事后监督纠正的内控机制 2010 年, 公司内部控制合理 有效和完整, 没有出现内部控制重大缺陷, 为公司稳定健康发展 实现 效益 + 特色 银行的战略转型发挥了积极的作用 一 建立了分工合理 权责明确 相互制衡的公司治理结构, 形成了良好的内部控制环境股东大会 董事会 监事会以及在董事会领导下的经营班子各司其职, 形成了科学有效的职责分工和制衡机制 股东大会依法行使经营方针 筹资 投资 利润分配等重大事项的表决权, 董事会依法行使经营决策权, 监事会监督董事 行长和其他高级管理人员依法履行职责, 行长及经营班子负责组织实施股东大会和董事会决议, 主持经营管理工作 在健全的公司法人治理结构下, 公司内部控制管理体系有效运作 董事会负责内部控制体系的建立健全及有效实施, 董事会下设战略发展与投资管理 审计 风险 提名 薪酬与考核 关联交易管理等六个专门委员会, 按照职责管理 协调 监督公司的日常经营活动 行长及经营班子认真落实董事会关于内部控制管理的各项意见以及相关工作计划, 全面加强内部控制建设, 不断强化内部控制制度的执行力度和权威性, 努力实现内部控制管理的标准化 过程化 经常化和科学化 监事会根据公司章程 法律法规和监管要求, 监督董事会 行长及经营班子履职活动的合法合规性, 维护公司及投资者利益
内部控制的监督评价工作在董事会领导下有效实施 董事会审计委员会通过定期审查公司内部控制工作报告 组织内部控制调研和自我评价, 监督 指导内部控制体系建设 审计部是公司的内部审计机构, 在董事会领导下, 独立 客观地开展内部控制监督 评价和咨询工作 审计部实行总部垂直领导的独立审计模式, 在华北 华东 华南和华中四个区域分设审计中心 2010 年, 审计部组织实施各类现场审计 96 项, 非现场专项审计 36 项, 离任审计 166 人次, 出具审计报告和专题调研报告 417 份, 发出风险提示和审计建议 33 份, 较好地履行了监督 评价和咨询的工作职责, 确保公司无案件事故发生 优化激励约束机制促进内部控制的有效实施 为充分发挥人力资源对企业发展战略的重要作用, 公司努力革新人力资源配置理念与方式, 构建人力资源管理制度体系 ; 积极落实资源配置的战略导向, 强化机构绩效管理, 提升机构管理效能, 并通过规范考核标准与考核流程, 对干部队伍和全体员工进行多维度的年度工作绩效考核, 奖优罚劣, 以不断优化存量团队结构等, 有效提升团队执行力与创造力, 切实发挥激励约束机制的效能和作用 公司重视信息系统在内部控制中的作用 根据业务发展和内部控制的整体要求, 结合公司战略 组织架构 业务范围 地域分布 技术能力等因素, 规划与完善信息系统建设工作 公司采取多种措施力争原有信息系统的安全与稳定运行的同时, 全力推进 以客户为中心 的新核心业务系统的科技平台项目建设, 切实提升公司的现代化管理水平 二 优化公司制度流程体系建设, 风险识别与控制措施逐步健全完善 ( 一 ) 积极推行全面风险管理体系建设按照巴塞尔新资本协议和 COSO 全面风险管理体系的总体要求, 有效提升风险管理能力 一是制定实施 2010 年风险管理指导意见 全面风险管理建设三年规划 新资本协议实施工作方案 等风险管理的纲领性文件, 充分发挥风险管理的导向作用 ; 二是建立了董事会领导下的全面风险管理的三道防线, 各级业务经营单位 风险管理部门和内部审计部门的风险防范工作相辅相成并不断强化 ; 三是风险管理流程逐步清晰, 建立了从业务战略 风险偏好到风险政策的传导机制, 以及从风险识别 计量 控制 监测 处置到补偿的管理流程 ; 四是初步建立了符合新资本协议实施要求的内部评级体系, 已完成法人客户评级模型的制度设计 债项评级体系
和市场风险项目的规划设计, 全面启动了零售业务内部评级和操作风险管理体系的项目建设, 风险量化管理的基础基本搭建起来 ; 五是围绕 特色 + 效益 的发展战略和 民营企业的银行 小微企业的银行 高端客户的银行 的市场定位, 集中构建适合小微业务发展需要的风险管理模式 ; 六是不断优化科技风险管理体系, 加强跟进信息科技系统的应急演练工作, 并对其进行全面风险评估 ( 二 ) 继续深化组织体系的改革一是全面规划流程银行基础建设 根据流程银行建设总体规划, 结合本年度业务发展重点, 通过全面梳理影响客户服务质量 组织运行效率等问题, 完成了公司业务营销模式优化 零售业务资源共享模式 中小及小微业务运营体制等十一个重点项目和十一个专项课题的设计审核, 并开始实施 二是优化中后台组织管理体系 确立了总分行专业委员会 各部门的职责分工 职责边界 管控模式和关键管理流程, 正式印发了 总行中后台优化方案 组织体系标准化手册, 基本建立了 以客户为中心 的中后台管理支持系统, 促进总行部门岗位标准化 管理精细化水平的提高 三是提升战略绩效管理科学化水平 引入平衡计分卡系统, 加强对各职能部门及业务经营单位的绩效考核, 推动公司战略转型 培育新的绩效文化 ( 三 ) 健全内部控制制度和措施 2010 年度, 公司根据业务发展需要和监管部门最新法规及要求, 进一步建立健全了各项管理制度和业务操作规程, 并对原有的内控架构及制度进行了认真梳理和补充完善, 为有效防范风险提供了制度保障 在公司业务方面, 按照建设全面风险管理体系的要求, 强化了业务统筹管理 营销推动 经营计划与资源配置分解 运营管理等职能, 逐步完善了公司业务内部控制体系, 出台了 中国民生银行 2010 年度风险政策指导意见 中国民生银行固定资产贷款管理细则 中国民生银行流动资金贷款管理细则 关于 2010 年交易融资业务营销的指导意见 民企客户评审指引 国家政策法规要求及基本准入标准 等一系列风险管理制度 ; 为进一步规范和完善新产品 客户营销秩序, 逐步加强交易融资产品 投资银行产品和客户营销等方面的管理力度, 出台了 中国民生银行交易融资管理办法 中国民生银行对公经营单位营销管理办法 中国民生银行营运资金贷款管理办法 中国民生银行并购贷款业务管理办法 中国民生银行财务顾问业务操作指引 中国民生银行私募投资基金主理银行业务管理办法
中国民生银行战略合作民企目标客户开发指引(2010 年版 ) 中国民生银行票据 转贴喜 业务操作规程 等一系列营销及产品管理制度 在零售业务方面, 按照 重点发展 资本约束 结构优化 收益覆盖风险 的原则, 从产品 客户 区域等角度明确了公司小微授信业务的整体发展思路, 确定了小微业务的风险理念 策略 架构 政策 流程 系统 管理工具等, 实现风险制度在风险定价 风险控制 作业模式方面的三大突破 私人银行业务建立了专属的私人银行非授信产品审批通道, 创立了具有私人银行特色的产品风险管理模式, 风险管理制度和指引覆盖了产品运营风险监控 产品销售准入 法律事务管理 兼职合规经理管理和业务档案管理等内控环节, 有效地防范了私人银行产品风险 信用卡业务通过规范营销作业 优化审批作业模式等提升欺诈风险识别能力和风险防范能力 电子银行业务建立了专门团队负责监控网站日常运营 客服中心客服质量以及个人客户交易风险, 定期编制 电子银行风险案例分析月报 公司制定完善 中国民生银行个人贷款管理细则 关于提升小微金融业务的若干意见 中国民生银行品牌经销商信用授信指引 ( 试行 ) 电子银行制度汇编 信用卡机构日常内控合规风险管理要点 中国民生银行信用卡中心重要信息系统突发事件应急处置预案 中国民生银行信用卡中心网络故障应急处置预案 等一系列规章制度和管理办法, 对于内部控制有效性起到了较好的保障作用 在资金资本管理业务方面, 引入 EVA 和资本收益率考核, 引导树立资本约束观念 ; 通过存贷比资源的有偿调剂等政策奖励制度, 引导经营机构关注业务发展的平衡和可持续性 ; 加强定价管理 促进资本节约 平衡发展和结构调整, 各项监管指标全面达标 ; 坚持制度创新和手段创新, 通过贷款额度池 利率的正反向激励机制 大额同业资金和外汇资金价格招标制度等一系列的制度设计实现总体管理目标 为强化资金业务投资和风险控制, 公司出台了 金融市场部产品操作手册 金融市场部交易前后台业务衔接操作备忘录 及 金融市场业务前台后台衔接规定 等内部控制制度, 以持续优化金融市场业务操作流程, 落实流程银行建设中后台职能改革 在财务会计方面, 制定并完善了 中国民生银行总行财务管理委员会工作制度 中国民生银行会计报表管理办法 中国民生银行贷款减值准备计提管理办法 等项制度和办法, 以强化内控制度在基础保证性作用 为规范和明确各项业务以及
各类产品的会计核算规则, 出台了 中国民生银行网上支付跨行清算业务会计核算办法 ( 试行 ) 中国民生银行国内代付业务会计核算办法 中国民生银行国内信用证福费廷业务会计核算办法 等核算办法 信息科技风险管理方面, 一是加强内控制度的建设, 制定和完善了多项内控制度, 具体包括 : 关于规范分行网络安全运行维护要求的通知 中国民生银行核心业务系统应急预案 关于加强分行科技开发管理工作的通知 中国民生银行不间断电源管理规范 ( 科技 ) 中国民生银行机房精密空调管理规范 关于规范信息系统应急演练和维护工作的紧急通知 信息科技风险管理办法 重要信息系统突发事件应急管理办法 中国民生银行数据仓库系统用户密码管理办法 中国民生银行数据标准管理办法 ( 暂行 ) 等制度办法; 二是持续推进新核心系统建设, 将风险控制环节进行了系统整合, 对全行客户进行统一的风险控制和管理, 并将业务流程中的风险控制要点嵌入到系统中, 变为系统的刚性控制 ; 三是积极做好现有核心系统的升级改造工作, 对核心系统主机存储设备进行升级更新, 使系统整体性能提升了 25%-35%; 四是加强 IT 基础设施建设, 完成了公司骨干网络流量控制配置 内外部网络终端分离工作, 降低了外部网络 病毒的攻击威胁 ; 五是实施网络认证系统升级改造, 已完成近 17 家机构的系统升级, 提高了生产网络安全性 ; 六是组织了必要的灾备和应急演练, 确保了信息科技系统的稳定运行 ; 七是公司内审部门进一步完善和强化了在信息科技方面的内审职能, 形成了对信息科技风险管理工作的有效监督 在合规风险管理方面, 公司更加突出强调合规风险管理对合规经营 稳健发展的支持作用 一是针对各机构合规风险管理的不同要求, 出台了 2010 年分行合规风险管理指导意见 2010 年事业部合规风险管理指导意见 二级分行合规风险管理办法 2010 年支行合规风险管理指导意见, 分类指导各机构开展合规风险管理, 提高管理成效 二是编制 中国民生银行经营管理合规底线指导手册, 明确经营管理合规底线 ; 出台 规章制度管理规定, 建立 统一管理 流程立规 持续清理 的规章制度管理机制 ; 制定 合规风险整改管理办法, 建立合规风险整改长效机制 三是相继下发 交易融资业务法律规范性指导意见 关于防范客户关系中有关侵权责任风险的通知 进一步落实人行反洗钱监管要求的通知 和 反洗钱突发事件应急处理工作指引 等指引, 指导业务合规拓展 四是分类组织合规专
题培训班, 基本覆盖到所有员工 ; 同时编写 日常业务法律知识百问 合规底线指导手册 法律合规工作制度汇编 反洗钱工作手册 等系列合规读物, 指导合规工作 全行的内部控制理念和风险防范意识得到强化, 由业务先行向内控先行转化, 由被动接受监督检查向主动申请合规监督转化 三 注重检查与评价, 有效监督纠正发现的问题, 内部控制评价纠正机制有效发挥 ( 一 ) 强化监督检查及时排除风险 2010 年, 针对业务的发展和实际风险状况, 公司业务管理部门加大了对经营机构监督检查力度, 组织实施对落实 三法一指引 的业务自查和现场检查, 对 30 家经营机构政府融资平台贷款进行了现场检查, 对各经营机构对房地产贷款和土地储备贷款等部分新增贷款进的全面自查 对产能过剩贷款 潜在产能过剩贷款 淘汰落后产能贷款以及 高耗能 高排放 贷款进行了全面排查 对在中小企业部分经营机构的重点关注或大额授信的现场检查以及对 26 家经营机构开展了商贷通业务检查等 ; 为有效落实监管机构要求, 全面开展了覆盖内控机制和制度建设 业务流程 强化监督检查 完善责任追究等多个方面的 内控和案防制度执行年 活动 从检查情况来看, 全行整体运营情况良好, 未发现重大案件和重大差错 ( 二 ) 有效开展对经营机构的全面内部控制评价工作 本公司采用 COSO 框架和 商业银行内部控制指引 及 商业银行内部评价办法 确定的内部控制环境 风险识别与评估 内部控制措施 信息交流与反馈 监督评价与纠正五要素构建了内部控制评价体系整体框架, 涵盖了公司层面 综合管理 以及 15 项银行业务及管理流程的 700 多个风险点 2010 年通过对分行和事业部进行全面内控评价, 并将 三个办法, 一个指引 的落实情况纳入评价范围, 基本实现了经营机构从定性内控评价向定量评价转变, 评级结果与内部控制考核联动挂钩, 促进了内控评价结果的有效利用和内部审计评价与其它风险管理要素的有机结合 与此同时, 以风险为导向, 开展了对公司业务 零售业务 金融市场 贸易融资 信用卡 财务会计 风险管理等全部业务条线的内控管理环节审计, 审计范围覆盖到了本公司所有的资产与负债业务, 切实发挥了内部控制的监督检查作用 ( 三 ) 持续跟进并有效落实检查发现问题的有效整改 为强化内部控制的纠错机制, 对内部审计 外部审计 监管机构检查发现的重点关注问题按季列入 审计
问题库, 通过现场纠正 持续跟进 后续审计联动监督的方式落实有效整改, 问题综合整改率达到 81.7% 依据 中国民生银行 2010 年经营单位及业务条线部分绩效考核办法 和 中国民生银行 2010 年经营单位及业务条线部分绩效考核细则, 按照过程性考核与结果性考核分开的原则, 根据问题性质 风险损失或潜在风险大小, 对 38 家经营机构和业务条线进行年度内部控制考核, 考核结果纳入年度绩效考核, 促进了内部控制的持续改进和内控水平的提升 ( 四 ) 构建科学 规范 合理的问责体系 按照公司流程银行建设的统一规划, 完成了问责体系的建设项目和课题研究, 制定了以问责委员会为主体 各部门分工合作 各司其职的全行问责管理架构和全行统一的问责管理流程, 完成了 中国民生银行问责委员会工作制度 中国民生银行中高级管理人员问责暂行规定 的制定和 中国民生银行员工违规违纪行为处分办法 的修订工作, 基本实现了全行问责程序 方式的标准化 问责流程的规范化以及问责范围的全覆盖 针对信访举报 审计检查 不良资产以及责任事故问责过程中发现的少数机构和员工发生的违规违纪与不尽职行为, 问责委员会经过调查核实, 依据责任区别对待, 严格按照 行内小法 对有关人员予以处分, 对个别党员违反党纪的不良行为, 给予了严肃的纪律处理, 维护了制度的严肃性和威慑力 四 加大内控文化培育力度, 有效落实风险责任制, 构建了合规人人有责的内控文化体系公司高度重视培育和形成既符合现代商业银行要求又具有自身特色的优秀企业文化 遵循 规规矩矩办银行 扎扎实实办银行 开动脑筋办银行 的合规经营理念, 公司从战略高度充分认识内控文化建设的重要性, 并作为企业核心竞争力的重要组成部分, 从管理的结构和细节入手全面加强风险管理和内部控制, 成为本公司稳健经营和可持续发展的内在动力 经过对公司现有企业文化因子进行全面梳理, 总结 规范和提升, 使内控 营销 风险 激励 考核等经营管理各领域统一于企业文化和品牌建设确定的使命 愿景和核心理念, 形成独具公司特色的经营哲学 行为准则和良好形象 公司大力开展内控合规文化的宣传教育 通过 爱岗敬业尽职尽责 主题学习实践活动 铸造勤廉团队服务二次腾飞 反腐倡廉宣传教育工程 坚守道德防线共促二次腾飞 主题巡回宣讲活动等多种全员参与的方式, 积极营造合规人人有
责的工作氛围 ; 通过对员工异常行为的监督 员工重要事项报告制度 强化违规问责力度等形式, 着力完善对人员的管理手段, 从文化管理上引导全体员工树立正确的业绩观和审慎的风险及合规意识, 不断提高员工的风险防范意识和自我约束能力 五 本公司内部控制尚需完善的方面及改进措施 ( 一 )2009 年披露的内部控制不足的改进情况针对 2009 年公司内部控制自我评价报告中披露的 风险量化管理基础薄弱 问题, 通过全面风险管理体系建设和新资本协议项目的实施准备工作, 构建了信用风险 市场风险 操作风险的计量体系框架, 初步建立了符合新资本协议实施要求的内部评级体系, 有效覆盖战略风险 流动性风险等其他风险的监督检查, 使风险量化管理基础得到了改进和提升 针对 2009 年公司内部控制自我评价报告中披露的 公司债券投资的折溢价摊销方式与 企业会计准则 (2006) 的规定存在不一致 问题, 公司已提出系统设置的具体需求, 将在新核心系统的账户中实现 公司根据业务发展情况和系统建设进度, 2010 年对于新核心系统采取分拆上线的策略 目前已进入整体测试阶段, 新核心系统上线后即有效解决上述问题 ( 二 )2010 年内部控制尚需完善的具体方面及改进措施政府融资平台及产能过剩行业贷款的监管需进一步加强 对于政府融资平台类贷款及产能过剩行业贷款, 本公司已按照银监会的要求, 积极做好融资平台贷款解包还原工作, 有效开展对各经营机构政府融资平台存量贷款逐笔清理, 对清理后的存量贷款进行分类处置, 严格控制新项目贷款, 强化贷款风险管理 另外, 对产能过剩行业和 两高一资 行业贷款按照规定明确了贷款准入标准, 加大了对行业内落后产能压缩和退出力度, 严格控制对钢铁 水泥等产能过剩行业的信贷投入, 并实行按月统计, 但尚未形成基于贷款数据库系统的贷前 贷后相关数据的信息汇集和数据分析机制, 不能做到实时反映上述两类贷款的贷款规模 贷款区域和行业集中度等情况 针对上述问题, 本公司已规范政府融资平台台账管理, 按月对融资平台贷款的进行统计分析, 并将依据监管机构的相关规定对上述两类高风险行业贷款定期进行人工识别, 并将识别出的贷款清单更新于贷款数据库中, 以便利用定期采集的数据进行汇总 分析, 及时掌握上述高风险行业贷款规模和风险状况 同时将进一步强
化贷款资金使用的监管, 重点关注淘汰落后产能行业, 对于发现的问题及时实施整改措施并进行跟踪管理, 避免问题严重化以及整改的时滞性和不彻底 六 2011 年内部控制工作重点 ( 一 ) 按照财政部 证监会 审计署 银监会 保监会五部委联合制定 企业内部控制基本规范 及 企业内部控制应用指引 银监会 商业银行内部控制指引 和上海证券交易所 上海证券交易所上市公司内部控制指引 等要求, 公司由董事会统筹规划建立健全公司内部控制体系, 并通过推广 应用 实施与评价工作, 不断改进和完善内部控制, 确保内部控制设计与运行的有效性, 促进企业健康可持续发展 ( 二 ) 组织风险管理三年规划和新资本协议的实施, 构建全面风险管理体系 公司将通过做好风险管理三年规划和新资本协议实施的统筹组织工作, 根据规划的时间表, 落实风险量化管理的要求, 稳步推进 2011 年重点项目建设, 扎实有序推进新资本协议和全面风险管理三年规划实施 ( 三 ) 持续提升市场 操作 产品风险管理水平 按照业务安全第一 循序渐进过渡 职责边界清晰的原则, 持续加强市场风险管理, 完成前中后台职能分离, 逐步完善第二层次市场风险管理办法 ; 持续加强对操作 科技 外包 灾备 声誉风险的管理, 构建信贷流程的 KRI 指标体系, 实现对信贷流程质量和风险状况的全面监督 ; 进一步完善产品风险管理机制, 为业务创新提供支持, 实现产品管理与风险管理的有效衔接 ( 四 ) 继续推进风险管理相关系统建设, 为战略转型和全面风险管理提供技术支撑 一是做好现有授信风险管理系统和新核心系统的对接 ; 二是做好小微 信贷工厂 试运行工作, 加快全面上线推广步伐, 支持小微业务更快 更好发展 ; 三是有序推进公司全面风险管理的 18 个风险子系统的建设, 重点做好法人客户评级与限额系统 债项评级系统 政策控制系统 定价与 RAROC 系统的设计工作, 四是与信息管理 科技开发 零售 信用卡等部门共同推进新征信报送系统的开发 ( 五 ) 围绕监管要求强化 三法一指引 等工作落实 一是认真研究差别准备金率机制, 二是继续降低对公业务中长期贷款比重, 三是强化统一授信管理, 四是进一步贯彻落实 三法一指引, 五是严格政府融资平台贷款的准入标准, 六是不断完善压力测试机制, 持续加强对房地产 两高一剩 等行业的风险管控力度
( 六 ) 组织 合规标准 实施评价 按照 全行中后台组织体系优化方案 的要求, 完善法律合规管理组织架构, 在完成 合规标准 的修改和 合规标准 的实施培训后, 推动各分行 各事业部根据 合规标准 实施内部合规风险管理, 推动 合规标准 纳入绩效考核体系 ( 七 ) 强化操作风险日常管理 建立完善操作风险日常管理的基本制度, 确立科学有效的操作风险管理流程 全面摸清我行操作风险的基本状况, 建立完整清晰的数据分析 预警 防范与改进机制 抓好重大操作风险案件预防 预控 开发运行操作风险日常管理系统平台, 为操作风险资本计量提供有力支持