苏州银行:内部控制审核报告(2019年12月31日)

苏州银行股份有限公司

内部控制审核报告

2019年12月31日
                        苏州银行股份有限公司




                               目   录


                                                           页次

一、内部控制审核报告                                       1 - 2

二、苏州银行股份有限公司2019年12月31日内部控制的评估报告   3– 20
                          内部控制审核报告

                                安永华明(2020)专字第61015205_B01号


苏州银行股份有限公司董事会:

    我们接受委托,审核了后附的苏州银行股份有限公司管理层编制的《苏州
银行股份有限公司2019年12月31日内部控制的评估报告》(“内部控制评估报
告”)中所述的苏州银行股份有限公司及子公司(“贵集团”)于2019年12月31
日与财务报表相关的内部控制的建立和执行情况。按照中国银行业监督管理委
员会颁布的《商业银行内部控制指引》建立健全必要的内部控制系统并保持其
执行的有效性、确保上述内部控制评估报告真实、完整地反映贵集团于2019年
12月31日与财务报表相关的内部控制是苏州银行股份有限公司管理层的责任,
我们的责任是对上述内部控制评估报告中所述的与财务报表相关的内部控制的
执行情况发表意见。

    我们的审核是依据中国注册会计师协会颁布的《内部控制审核指导意见》
进行的。在审核过程中,我们实施了包括了解、测试和评价贵集团于2019年12
月31日与财务报表相关的内部控制建立和执行情况,以及我们认为必要的其他
程序。我们相信,我们的审核为发表意见提供了合理的基础。

    由于任何内部控制均具有固有限制,存在由于错误或舞弊而导致错误发生
但未被发现的可能性。此外,根据内部控制评价结果推测未来内部控制有效性
具有一定的风险,因为情况的变化可能导致内部控制变得不恰当,或对控制政
策、程序遵循程度的降低。

    我们认为,于2019年12月31日,贵集团在上述内部控制评估报告中所述与
财务报表相关的内部控制在所有重大方面有效地保持了按照中国银行业监督管
理委员会颁布的《商业银行内部控制指引》的有关规范标准建立的与财务报表
相关的内部控制。




                                 1
                         内部控制审核报告(续)

                                 安永华明(2020)专字第61015205_B01号


  本报告仅供苏州银行股份有限公司向中国证券监督管理委员会内有关机构和
深圳证券交易所报送之用;未经我所书面同意,不得作其他用途使用。




安永华明会计师事务所(特殊普通合伙)            中国注册会计师:   李斐




                                                中国注册会计师:   余镔

             中国 北京                                    2020年3月27日




                                  2
               苏州银行股份有限公司 2019 年 12 月 31 日
                         内部控制的评估报告

    根据《商业银行内部控制指引》、《商业银行内部控制评价指南》以及我行
内部控制制度的相关要求,在内部控制日常监督和专项监督的基础上,对我行
内部控制的设计和运行有效性进行评价。

   一、内部控制体系和内控制度建设概况

  (一)内部控制环境

    1.公司治理
    我行已构建了以股东大会、董事会、监事会、高级管理层等为主体的公司
治理组织架构。股东大会是公司最高权力机构,董事会是公司的决策机构,监
事会是公司的监督机构。

    董事会下设战略发展与投资管理委员会、提名与薪酬委员会、风险管理委
员会、关联交易控制委员会、信息科技管理委员会、审计委员会、消费者权益
保护委员会 7 个专业委员会,董事会负责内控体系的建立、健全及有效实施。
管理层认真落实董事会关于内部控制管理的各项意见及相关工作计划,全面加
强风险管理,不断强化内部控制制度的执行力度,努力实现内部控制管理的标
准化和科学化。监事会下设提名委员会和监督委员会,监事会根据《公司法》、
有关监管要求及《苏州银行股份有限公司章程》规定,对我行董事会和高级管
理层及其成员履职的合法合规性进行监督,对股东大会负责,促进公司合规经
营、稳健发展。我行已形成了各部门业务分工明确、相互配合、相互制约、相
互监督,构建起教育、预警、防范、奖惩相结合的有效规范的内部控制机制和
管理体系。

    我行下属四家村镇银行及苏州金融租赁股份有限公司也依据各自的组织形
式构建了相关公司治理组织架构。

    2.内部控制管理框架
    根据商业银行内部控制的要求,我行建立以董事会为决策层、管理层为执
行层、独立的稽核审计部为监督评价层的内部控制体系。稽核审计部在董事会
审计委员会领导下,负责对我行所有业务和管理活动进行独立检查和评价,对
内部控制的有效性进行监督、检查,独立、客观地开展内部控制评价和咨询工
作。重大审计发现和内部控制缺陷向董事会审计委员会及总行管理层主要负责
人直接报告,保证了内部审计的独立性和有效性。




                                  3
   一、内部控制体系和内控制度建设概况(续)

  (一)内部控制环境(续)

    3.内控制度建设
    我行持续推进内控制度建设,践行标准化要求。在建立基本管理制度的基
础上,我行对规章制度的执行情况也保持高度关注,不断强化规章制度执行力
度。主要通过三道防线的互动、制约,提高其执行力,如部门自查、合规和稽
核部门检查,加强对规章制度执行情况的监督和评价,对制度执行不到位的行
为,与绩效考核挂钩,从而增强监督评价的效果,提高各机构对规章制度的重
视程度。另外,通过建立、健全问责机制,有效遏制有章不循的现象,使我行
保持平稳运行状态,无重大违法违规事件发生。

  (二)风险的识别与评估

    我行按照商业银行全面风险管理框架,建立了全面、持续、规范的风险管
理体系,运用风险评估方法和工具,对各类风险持续监控和识别,实现对风险
的有效控制。

   本行在经营过程中主要面临以下风险:

   1.信用风险:信用风险是指客户或交易对手在到期时不能全额清偿债务而
      带来的风险,主要包括信贷风险、交易对手风险等。

   2.市场风险:市场风险是指利率、汇率、股票、商品以及它们的隐含波动
      性引起的波动风险。

   3.操作风险:主要指由不完善或有问题的内部程序、人员及系统或外部事
      件所造成损失的风险。

   4.流动性风险:流动性风险是指未能偿付债务或满足存款人提取存款或借
      款人融资需求而导致信誉损失、经济损失等形成的风险。

   5.其他风险: 我行面临的其他风险包括信息科技风险、声誉风险和法律
      合规风险。
    (1)信息科技风险:是指信息科技在商业银行运用过程中,由于自然因
          素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风
          险。
    (2)声誉风险:声誉风险是指由商业银行经营、管理及其他行为或外部
          事件导致利益相关方对商业银行负面评价的风险。
    (3)法律合规风险:是指商业银行因没有遵守法律、法规和准则,可能
          遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。



                                 4
   一、内部控制体系和内控制度建设概况(续)

  (三)内部控制措施

    我行对日常经营活动包括授信业务、资金业务、存款和柜面业务、中间业
务、国际业务、财务会计管理、融资租赁业务及信息科技管理均制定了较健全
的各项规章制度,根据业务发展需要和风险管理状况的变化,持续梳理和修订
业务制度,为规范我行业务操作提供制度保障。

   授信业务

   1.坚持风险战略,调整风险偏好。结合经济金融形势、股东期望和我行经
   营发展、风险防控要求,完成本年度风险偏好指标调整,并制定定期监测
   和报告机制进行跟踪评估工作,确保风险偏好有效贯彻执行。

   2.制定授信政策指引。按照限额、区域、行业、客户、产品、管理六个方
   面制定授信政策,不断优化调整我行信贷结构,严格授信准入和审批,严
   把新增质量关。

   3.强化总行统筹,厘清职责边界。加强各事业总部风险部门的统筹,总行
   风险条线的垂直化管理;梳理架构,厘清总行、总部管理条线之间的职能
   边界,完善各事业总部风险合规部管理职能。

   4.明确全面风险管理制度,构建统一视图。深化统一授信管理,构建跨子
   公司、跨总部、跨系统的统一授信视图。健全客户信用风险识别与监测体
   系,完善信贷决策与审批机制。

   5.健全信贷管理制度和流程。根据监管政策和业务发展要求,依照现行法
   律法规,制定、修订相关信贷管理办法和操作流程手册,规范操作流程,
   明确风险点和内控要求,有效传达和执行。

   6.严格授信审查与审批管理。各级授信审查人员加强责任意识、尽职履责、
   独立判断,按照规定程序、相应权限审批贷款。加快推进专职授信审批人
   制度的施行,提高授信审批质量水平。

   7.完善信贷资产风险分类管理办法。规范全行信贷资产风险分类管理,全
   面、客观反映全行信贷资产质量。

   8.完善授信业务后续检查办法。规范授信业务后续检查工作,有效识别、
   防范和化解授信业务风险。




                                 5
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 授信业务(续)

 9.完善苏州银行信贷业务风险预警及应急处理管理办法。明确风险预警职
 责和报告程序,遵循全面预警、分级管理、及时报告、快速反应、持续监
 控、责任到人原则,切实防范、化解风险。

 10.扎实做好贷后管理工作。每日监测主要信用风险指标变化情况;每周跟
 踪大额风险台账中记录的风险化解和处置动态;每月进行风险底数排查,
 出具信用风险监测报告;每季完成减退化解监测报告、预测全行信用风险
 状况;不定期抽查风险分类情况,发布风险提示;推行总行、总部及区域
 三个层面贷后例会分析制度。

 11.优化全面风险管理的系统和工具。持续提高系统管控能力,推动公贷系
 统、个贷系统、新版操作风险管理系统、不动产登记系统、查证平台等系
 统优化。提升数字化风控管理能力,强化大数据及模型技术应用。

 12.强化风险承担,加强过程管理。设置“预期损失”及“非预期损失(经
 济资本)”相结合的利润考核模式,定期向各总部和区域发布考核结果,不
 断优化考核规则和参数设置。

 13.完善不良问责机制。落实授信主责任人制度,及时对不良贷款的相关责
 任人进行问责和处罚。

 14.严格信贷基础管理,夯实风险防控基础。坚持全面客观公正、适时动态
 调整的原则,综合评价各机构的基础管理,提升风险管理标准化和精细化
 程度。

 15.强化授信档案管理。对授信档案的移交、保管、建档、登记等明确规定、
 落实责任、规范管理。并且加快授信档案电子化建设,通过影像系统上传
 保管。

 16.完善全行风险序列人员绩效考核办法。规范风险序列人员绩效考核,提
 高风险条线的管理和服务效能,综合评价风险序列人员履职能力,建立有
 效的激励约束机制。

 17.加强风险管理人员队伍建设。落实风险管理人员专业技能和职业道德的
 培训,提高信用风险内控管理的效率和质量。




                               6
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 资金业务

  1.健全我行资金业务管理制度和流程。根据监管政策和业务发展要求,依
    照现行法律法规,制定、修订相关资金管理办法和操作流程手册,规范
    操作流程,明确风险点和内控要求,有效传达和执行。

  2.资金调拨。本行资金的调出和调入应当有真实的业务背景,应严格按照
    权限进行操作,并及时划拨资金,登记台账。

  3.资金交易管理。本行明确规定资金交易的业务品种,确定资金业务交易
    限额以及相应承担的累计最大交易损失限额和交易止损点。同时根据本
    行的风险承受水平,合理确定金融衍生产品的风险限额和相关交易参数。

    本行根据授信原则和资金交易对手的财务状况,确定交易对手、投资对
    象的授信额度和期限,并根据交易产品的特点对授信额度进行动态监控,
    确保所有交易控制在授信额度范围之内。

    未经总行批准或授权,任何分支机构不得开展资金交易。

  4.压力测试。本行逐步建立全面、严密的压力测试程序,定期对小概率的
    极端事件,如市场价格发生剧烈变动,或者发生意外的政治、经济事件
    可能造成的潜在损失进行模拟和估计,以评估本行在极端不利情况下的
    亏损承受能力。

    本行将压力测试的结果作为制定市场风险应急处理方案的重要依据,并
    逐步定期对应急处理方案进行审查和测试,不断更新和完善应急处理方
    案。




                               7
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 资金业务(续)

  5.资金交易员管理。本行对资金交易员实施有效管理,建立适当的约束机
    制。资金交易员上岗前需取得相应资格。本行根据资金交易的风险程度
    和管理能力,就交易品种、交易金额和止损点等对资金交易员进行授权。
    资金交易员需严格遵守交易员行为准则,在职责权限、授信额度、各项
    交易限额和止损点内以真实的市场价格进行交易,并严守交易信息秘密。

    本行建立资金交易中台和后台部门对前台交易的监督机制。中台监控部
    门对前台交易的授权交易限额、交易对手的授信额度和交易价格等进行
    核对,对超出授权范围内的交易及时向有关部门报告。后台结算部门独
    立进行交易结算和付款,并根据资金交易员的交易记录,在规定的时间
    内向交易对手逐笔确认交易事实。

  6.资金交易风险和市值报告制度。本行按照市场价格计算交易头寸的市值、
    敏感度指标和浮动盈亏情况,对资金交易产品的市场风险、头寸市值
    变动进行实时监控。同时建立资金交易风险和市值情况的内部报告制
    度,明确不同层次和种类报告的发送范围、程度和频率,定期、及时
    向董事会、高级管理层和其他管理人员提供有关资金业务风险和市值
    情况的报告。

  7.资金业务新产品的开发和经营。本行资金业务新产品的开发和经营需经
    过批准,在风险控制制度和操作规程完备、人员合格和设备齐全的情
    况下,交易部门才能全面开展新产品的交易。

  8.加强资金业务管理人员队伍建设。落实资金业务管理人员专业技能和职
    业道德的培训,提高资金业务内控管理的效率和质量。




                               8
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 存款和柜面业务

  1.建立健全存款和柜面业务管理制度和流程。根据监管政策和业务发展
     要求,依照现行法律法规,制定、修订相关存款和柜面业务管理办法
     和操作流程手册,规范操作流程,明确风险点和内控要求,有效传达
     和执行。

  2.根据制定的全行年度经营计划,提高存款和柜面业务的人员资源配置
     效率,从全行各网点的业务规模、发展结构出发,合理配备运营管理
     和业务人员。

  3.建立健全运营人员绩效考核体系,将全体运营人员的工资、绩效与柜
     面业务的质量和数量挂钩,有效调动全体运营人员的工作积极性。

  4.建立存款和柜面业务分级授权与审批制度,明确审批事项、审批人及
     审批权限。

  5.建立存款和柜面业务集中作业制度。对存款和柜面业务中重要类业务
     以及流程复杂类业务由后台集中处理,即有效防控风险且提高业务处
     理效率。

  6.建立岗位制约和不相容岗位分离制度,做到会计与出纳岗分离、记账
     岗与复核岗分离、同一类业务不同流程岗位分离。关键岗位设立 A、B
     岗,确保人员轮休业务不脱节。

  7.建立柜面人员强制休假和整体移交制度。对存款和柜面业务中重要岗
     位的管理和业务人员实行强制休假和轮岗,有效防控内部操作风险。

  8.建立存款和柜面业务事后监督和对账制度。对存款和柜面业务实行事
     后监督,与相关客户实行定期对账制度。

  9.建立存款和柜面业务档案管理制度。对存款和柜面业务档案的内容、
     整理、装订、保管、查阅、销毁等明确规定、规范管理。




                               9
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 存款和柜面业务(续)

 10.建立现金和重要物品管理制度。对存款和柜面业务印章、重要单证的
     使用和保管,严格遵循“印、证分管”制度,规范重要物品的保管、
     领用和交接,实现岗位之间互相牵制。定期组织存款和柜面业务检查,
     规范全行存款和柜面业务行为,建立存款和柜面业务管理长效机制。

 11.建立存款和柜面业务监督和违规问责机制。落实各层级存款和柜面业
     务检查监督主体,完善检查职能和内容,对存款和柜面业务违规行为
     进行问责和处罚。

 12.加强存款和柜面业务管理及业务人员队伍建设。落实存款和柜面业务
     管理人员职业道德的培训,提高存款和柜面业务内控管理的效率和质
     量。

 13.加强存款和柜面业务人员技能培训。落实存款和柜面业务管理人员专
     业技能和培训,采用网点分散自学和集中培训相结合的方式,提高存
     款和柜面业务内控管理的效率和质量。

 中间业务

 1. 信用卡及消费金融业务

     1) 健全信用卡及消费金融业务的授信政策。依据现行的法律法规、监
        管政策,对新开发的业务进行风险评估,制定相应的授信政策,并
        对已有产品的授信政策进行完善。
     2) 建立分级审批制度,严格按照授权程序,对审批人员及审批权限作
        出明确规定。
     3) 完善审批系统,加强审批队伍建设。根据审批要求不断完善审批系
        统;对审批人员不定期培训,增强专业技能、培养风险与合规意识。
     4) 建立客户投诉处理机制。已经建立信用卡及消费金融业务客户投诉
        处理机制,日常投诉工单 3 个工作日内处理完毕。
     5) 建立客户贷中、贷后管理制度。全面了解客户资质,加强对风险客
        户的把控,完善风险管理体系。
     6) 建立客户资料归档制度。对客户申请材料进行整理、装订、保管,
        保护客户个人信息安全。




                               10
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 中间业务(续)

 2. 财富管理业务

    1) 建设制度及流程。针对代理基金业务、代理保险业务、代理集合信
       托资金收付业务、代销资管业务、代销实物贵金属业务、代收费业
       务、三方存管业务、柜面通业务及存款业务分别制定了相应的管理
       办法及员工操作手册,合理确定该业务的风险控制点,采取适当的
       控制措施,执行标准统一的业务流程和管理流程,确保规范运作。
    2) 深化风险管控。积极调整和完善日常风险控制的管理工作,通过梳
       理关键风险点、风险流程,制订部门重点业务的检查标准,明确关
       键风险点、检查重点和检查方法。对各区域、各经营性支行的业务
       操作和销售行为以现场和非现场形式进行内控检查。持续开展产品
       销售录音录像检查工作。经过持续检查,本行“双录”执行情况较
       以往有了较明显的提升。本行亦注重对于各类检查发现的问题,及
       时督促整改,并不断完善管理手段,如加强员工合规意识培养、加
       强业务培训、深化网点检查和督导、完善制度规范和系统控制等,
       在业务发展的同时防范操作风险。
    3) 建立相关系统控制。坚持产品销售的“双录”,“双录”业务覆盖范
       围涵盖个人结构性存款、理财、基金、信托、保险、资管等财富产
       品和借记卡开卡业务,严格按照监管要求对产品销售全过程进行录
       音录像,保证销售的合规性。在开展各项代理业务过程中,始终坚
       持建立健全信息系统控制,通过内部控制流程与业务操作系统和管
       理信息系统的有效结合,加强对业务和管理活动的系统自动控制,
       不断的升级优化,以做到业务的合规性、业务的连续性及业务的高
       效性。尽量实现与合作方的系统互联互通,以保证数据的及时及安
       全;尽量减少人工操作,以保证业务的连续及高效性;尽量实现统
       一管理,以方便业务的管理。
    4) 队伍管理建设。从系统操作规范、营销专业度及合规销售方面对本
       行的理财经理进行全面的培训提升。加强营销队伍的过程管理,不
       断细化过程管理类考核标准,将日常工作抽查与定期全面检查相结
       合,规范营销队伍日常工作流程的同时提升专业销售技能;加强理
       财经理资质管理,要求理财经理必须具备相关的资质才能开展对应
       业务。




                               11
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 中间业务(续)

 2. 财富管理业务(续)

    5) 销售过程要求。在开展代理基金、保险、信托资管等业务时要求客
       户必须经过风险评估,确定风险等级后方可购买各类产品,该控制
       采用系统强关联控制措施。未进行风险测评或是风险测评失效的客
       户,无法购买产品。对代理各类产品的宣传资料的制作和使用提出
       了明确规定,保证代理业务宣传的合规性。

 3. 互联网金融业务

    1) 健全数字银行总部贷款业务、存款理财业务的管理制度和操作规程。
       根据监管政策和业务发展要求,依照现行法律法规,制定、修订相
       关各类产品管理办法和操作规程,规范产品准入要求和操作流程。
    2) 制定数字银行总部贷款产品的风险审批及贷中和贷后管理制度,规
       范风险管理理念及操作流程;
    3) 规范数字银行总部贷款产品风险政策制定、审批和上线流程,明确
       审批事项、审批流程及审批权限;
    4) 建立岗位制约和不相容岗位分离制度,做到审贷分离。关键岗位设
       立 A、B 岗,确保人员轮休业务不脱节;
    5) 制定并逐步完善贷款产品全自动线上审批流程;
    6) 上线数据分析平台,实现贷前客户申请数据、贷中审查审批数据、
       贷后还款及催收数据结构化存储与动态监控;基于底层数据积累,
       搭建中间数据层,为风险指标分析提供针对性指导意见;
    7) 加强业务合规性审查,建立违规问责机制,对业务违规行为进行问
       责和处罚。
    8) 加强数字银行总部风险队伍建设,落实各职能部门人员专业技能和
       职业道德培训,提高数字银行总部存款、贷款业务的风险防范能力,
       提高我行互联网金融业务内控管理的效率和质量。

 国际业务

  1. 健全我行国际业务管理制度和流程。根据监管政策和业务发展要求,
     依照现行法律法规,制定、修订相关国际业务管理办法和操作流程手
     册,规范操作流程,明确风险点和内控要求,有效传达和执行。




                               12
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 国际业务(续)

  2. 建立外汇资金往来账务核对机制。采取调阅账户行对账单、MT950 报
     文等方式,由专人每日负责对外汇资金往来账户进行核对,保证账务
     的真实、准确和完整性。与账务存在不符时及时按规定进行处理,对
     于细节不详无法解付的款项按规定在当日作挂账处理并向账户行或付
     款行发出查询报文,根据回复情况及时处理。通过后督对账中心专门
     部门以向客户发放对账单的方式进行银企账务核对。

  3. 加强国际业务管理人员队伍建设。落实国际业务管理人员专业技能和
     职业道德的培训,提高国际业务内控管理的效率和质量。

 财务会计控制

  1. 健全财务管理制度和流程。根据监管政策和业务发展要求,依照现行
     法律法规,制定、修订相关财务管理办法和操作流程手册,规范操作
     流程,明确风险点和内控要求,有效传达和执行。

  2. 制定全行年度经营计划和财务预算。提高财务资源配置效率,从全行
     各事业总部、子事业部、区域、行业、产品、客户等方面的业务发展
     和结构调整的战略需要出发,重点支持有效益、有质量、有竞争力、
     有持续发展力的战略业务。同时,做好预算执行情况的分析和评估,
     发挥预算管理在衔接和落实战略规划与年度经营工作中的重要作用。

  3. 建立健全绩效考核体系。

      总行:以打造“规划型总行、服务型总行、效能型总行”为引导,考
      核指标设置围绕“统筹规划、构建标准、督导保障”的定位,打造事
      业部框架下新工作标准,为总部发展提供服务支持和管理保障。

      总部:以打造“专业型总部、创新型总部、绩优型总部”为引导,考
      核指标设置围绕“专业经营、创设产品、强化管理”的定位,构建条
      线化运营的新工作机制。对各事业总部的考核体现利润价值创造,强
      化风险管控、合规经营、利润贡献为本年度考核的基础,设置绩效奖
      金池,设定绩效奖金提拨率,各事业总部的绩效奖金总额与考核利润
      完成情况进行挂钩,同时也遵循我行“统一原则、公平公正”、“兼顾
      历史、平稳过渡”、“职责清晰,轻装上阵”的考核原则。




                               13
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 财务会计控制(续)

  4. 健全税务管理制度。确保税务申报流程的规范性以及各类税款计算的
     准确性,根据最新税务法规,及时优化、完善各项税务政策的应对措
     施。明确税务风险管理目标并纳入全行风险偏好框架体系,完善税务
     风险管理体系。加强税务日常管理工作,引导各税务申报区域办税人
     员合规申报,定期复核各区域纳税申报情况。

  5. 严格实物资产的账务管理,对实物资产的核算记账、计提折旧、清理
     处置等进行规范管理。根据实物资产的盘点清理情况,对相应的盘盈、
     盘亏及处置资产进行账务处理。

  6. 健全财务授权制度,建立分类、分级审批体系,明确审批事项、审批
     人及审批权限,强化对例外、意外非常规费用支付的管理。根据我行
     目前的管理架构,分别从总行层面、事业部层面及分支机构综合管理
     层面建立相应的授权审批体系;管理层正式授权后,在费用管理系统
     中配置相关授权审批人员,并确保相关授权独立不相容。

  7. 建立岗位制约和不相容岗位分离制度,做到会计与出纳岗分离、记账
     岗与复核岗分离、财产核算岗与财产管理岗分离。关键岗位设立 A、B
     岗,确保人员轮休业务不脱节。

  8. 建立财务档案管理制度,对财务档案的内容、整理、装订、保管、查
     阅、销毁等明确规定、规范管理。

  9. 建立财务监督和违规问责机制。落实各层级财务检查监督主体,完善
     检查职能和内容,对财务违规行为进行问责和处罚。

  10. 加强财务管理人员队伍建设。落实财务管理人员专业技能和职业道德
      的培训,提高财务内控管理的效率和质量。

  11.建立全行统一的会计核算管理体系。根据《企业会计准则》,统一设置
     全行会计科目、制定各项业务会计核算管理办法、细则及操作手册。
     统一配置各类账务系统的核算规则,建立业务明细的分户账余额与总
     账余额的监督核对机制,保证总分一致。定期对总行、事业总部及区
     域进行账务检查及业务检查,保证会计核算内容的真实、准确,保证
     账务记录与外部第三方账务相符。




                               14
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 融资租赁业务

  1. 开展全面风险管理体系建设,全面提升公司风险管理、控制能力。

  2. 健全租赁业务管理制度。根据监管政策、经济形式和业务发展要求,
     依照现行法律法规,制定相关融资租赁业务管理办法。同时在现有经
     营政策的基础上,制定相应的二级管理办法和操作细则,明确风险内
     控要求,严把授信准入关,不断提升审查审批质量。推进全面风险相
     关制度建设,颁布《租赁物管理办法》、《业务移交操作细则》、《租赁
     资产风险预警管理实施细则》;修订完善《租后管理实施细则》等。

  3. 定期对相关制度进行重新评估。不间断对内部规范及管控流程的有效
     性、监管要求的符合性、实际操作的风险控制度、流程的顺畅性等内
     容回头评估。根据监管要求、政策指引、权限变化、业务发展等具体
     情况,对相关不合宜内容进行修订。

  4. 限额管理规划有序。以限额管理为抓手,从负债、资产两方面合理规
     划,有序落实。

  5. 严格项目审查审批。加强审查人员的合规、责任和勤勉尽职意识、严
     格按照经营政策进行项目审查审批。完善自主创新金融支持中心的差
     异化授信制度,提高授信审批质量水平。

  6. 调查排查多措并举。严格做好租前调查、租中审查、租后检查工作,
     项目投放和租后管理并重。根据风险状况和业务特点,开展专项排查,
     对于检查的问题加强责任落实和问题整改。

  7. 加强租赁业务过程管理及全面风险文化建设,提高全员风险意识。

  8. 租后管理及时到位。严格按照公司各项规定的相关要求,提高租后和
     资产风险分类工作的时效性。

  9. 完善租赁资产风险分类制度。规范租赁资产风险分类管理,加强租赁
     资产风险防范和化解的能力,全面保障公司租赁资产安全。

  10.完善租赁业务风险预警及应急处理制度。明确风险预警职责和报告程
     序,遵循全面预警、及时报告、快速反应、持续监控、责任到人原则,
     切实防范和化解风险。



                                15
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 融资租赁业务(续)

  11.动态防控流动风险。根据运营状况,对流动性风险的防控采取动态调
     整策略。

  12.动态防范市场风险。通过积极监测利率市场波动,结合当前宏观经济
     形势和央行稳健的货币政策,维持了适当的固定利率债务。未来则采
     取积极的应对措施(包括中长期融资,对冲工具等)降低面临的市场
     风险水平。

  13.完善租赁业务系统功能;持续优化资金系统;四季度完成智能租后、
     普惠 e 租系统开发上线,运用物联网、大数据、人脸识别和数字签名
     等技术辅助业务发展;接入 ECIF 系统、内评系统、大数据预警系统加
     强内控管理,优化公司内部体系管理。

  14.强化项目档案管理。制定业务档案管理细则,明确项目档案建档、保
     管和登记等规定、规范管理。

  15.严格责任边界。明确租赁业务流程中各环节、各岗位的责任,界定租
     前、租中、租后的责任边界。

  16.通过建立专兼职内控合规管理人员队伍、常态化的检查机制以及风险
     事件反馈改进机制,实现对操作风险识别、评估、监测和控制的闭环
     管理。推进合同流程线上审批流程、明确签约规范、加强培训等方式
     加强签约流程管控,防范法律风险。开展员工行为排查工作,不断提
     高员工合规意识。加强风险排查并督办整改。开展租赁业务流程合规
     性、签约项目合同等多项检查,多角度查堵风险隐患。建立整改督办
     机制,重点对内外部审计检查发现问题制定整改方案并推动落实。

  17.完善绩效考核体系。以利润为中心,鼓励新增投放,突出考核重点,
     定性与定量想结合。目标分解到个人,考核穿透到个人。在落实主体
     责任的基础上建立问责机制,遵循“合规尽职免责,违规失职追责”
     的原则,与主责任人的绩效考核挂钩,完善绩效考核体系。

  18.加强员工队伍建设。能力提升上,采取专业培训、同业交流、经验分
     享等多种形式,着力打造内训师团队,并做好阶段性总结;人才培养
     上,做好人才梯队建设;人员素质上,增强员工责任感和执行力,加
     强员工 8 小时之外的管理,防控道德风险。



                               16
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 信息科技控制

  1. 依据监管指引、最佳实践,制定可靠的、相互制衡的内部控制流程,
     确保内部控制信息的交流与沟通,健全科学的内控评估机制,实现有
     效的监督制约。

  2. 在治理架构上,严格划分信息系统开发部门与运维部门的职责,建立
     和健全信息系统风险防范的制度,确保计算机信息系统设备、数据、
     系统运行和系统环境的安全。

  3. 在治理架构上,明确了各信息系统开发人员、运维人员的岗位职责,
     做到关键岗位之间的相互制约,各岗位之间不得相互兼任。

  4. 在治理架构上,总行、各部室、各总部、各分支机构、各网点均配备
     信息安全员,明确了信息安全员的职责。

  5. 在制度体系上,执行落实项目管理办法、测试管理办法、外包管理办
     法、变更管理办法,规范管理信息科技的项目立项、需求、设计、开
     发、测试、投产、运行整个过程。

  6. 在制度体系上,依据 ISO9001 健全和落实质量管理体系,规范信息科
     技项目质量标准,并落实持续改进机制。

  7. 在制度体系上,依据 ISO27001 健全和落实信息安全管理体系,覆盖信
     息系统全生命周期安全管理。

  8. 在制度体系上,依据 ITIL 最佳实践,健全和落实信息科技运维管理体
     系,覆盖问题管理、事件管理、知识库管理、容量管理等领域。




                               17
 一、 内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 信息科技控制(续)

  9. 在安全控制上,通过引入抗分布式拒绝服务攻击、WEB 应用防火墙、入
     侵防御、防火墙、均衡负载、加密平台、运维堡垒机、日志审计、反
     垃圾邮件网关、防病毒软件、桌面安全管理系统、数据泄漏管控、移
     动平台安全沙盒等安全产品,完善了基础安全管控措施;

  10.在安全控制上,注重基础安全建设,定期对重要信息系统开展安全评
     估、测评和外部审计,推进了电子银行系统代码审计、手机银行等系
     统移动客户端安全加固等项目,加强了电子银行系统对非法攻击的防
     护能力。

  11.在基础环境控制上,我行数据中心机房建设符合国家 A 类机房标准,
     出入计算机机房有严格的审批程序和出入记录,确保计算机硬件、各
     种存储介质的物理安全。计算机机房和营业网点有完备的计算机监控
     系统,确保计算机终端的正常使用。

  12.在网络安全控制上,建立了网络管理平台,有效地管理网络的安全、
     故障、性能、配置等,并对接入国际互联网实施有效的安全管理,严
     格控制外联区域。

  13.在信息系统访问控制上,对计算机信息系统实施统一的用户管理和密
     码(口令)管理,对用户的创建、变更、删除、用户口令的长度、时
     效等均有严格的控制。员工之间严禁转让计算机信息系统的用户名或
     权限卡,离岗、离职后及时调整、注销该员工账号。




                               18
 一、内部控制体系和内控制度建设概况(续)

(三)内部控制措施(续)

 信息科技控制(续)

  14.在变更控制上,系统所有变更均需要通过 ITSM 进行审批,授权后方可
     有权限做修改等操作。

  15.在取证控制上,网络设备、操作系统、数据库系统、应用程序等相关
     日志均按需进行数据备份,且可被审计。

  16.在数据安全控制上,各类数据信息,数据的操作、数据备份介质的存
     放、转移和销毁等均有严格的管理制度来约束。且有数据备份在同城
     和异地灾备中心,同时建立全行数据防泄漏系统,保护敏感数据的安
     全性、完整性和可用性。

  17.在应急控制上,已制定各系统详细的应急方案,并作为业务连续性预
     案的一部分定期进行演练、验证和修订。

(四)信息交流与反馈

 我行严格按照监管部门规定进行信息披露活动,依法对外发布各类定期公
 告、临时公告以及其他相关材料,保证信息披露及时、准确、真实、完整。
 通过网站、媒体、电话、联合调研等多种渠道向投资者及时报送经营发展
 的最新动态。

(五)监督评价与纠正

 我行逐步完善内部监督机制,通过不断强化监督检查力度,优化全行监督
 与评价工作。2019 年,总行风险管理部、法律合规部、内审部门及各总部
 开展“乱象整治”、风险防控“大排查、大处置、大提升”行动、飞行检查
 等各类检查活动检查工作,以检查业务的方式倒查内部制度和合规管理存
 在的问题,确保各项业务合规经营。




                               19
   二、内部控制主要缺陷

    从总体上来说,我行的内部控制制度是较为完善和行之有效的,执行情况
也是良好的。通过评估我们也发现我行在内部控制方面还存在一般缺陷,需要
不断完善。主要表现为虽已制定了较为完善的内部控制制度,但在制度执行的
有效性方面仍应当予以关注和持续改进。

   三、内部控制缺陷整改

    我行高度重视内控自我评估中发现的问题,认真落实整改,各级管理层已
采取积极的整改措施,检查及完善现行的作业流程,及时解决存在的问题,不
断完善和加强我行的内部控制建设。

   四、内部控制有效性结论

    我行已经根据基本规范、评价指引及其他相关法律法规的要求,对基准日
的内部控制设计与运行的有效性进行了自我评价。

    报告期内,我行对纳入评价范围的业务与事项均已建立了内部控制,并得
以有效执行,达到了我行内部控制的目标,不存在重大缺陷或重要缺陷,其他
缺陷可能导致的风险均在可控范围之内,不会对我行经营管理活动质量和财务
目标的实现造成重大影响,并正在认真落实整改。

    自基准日至内部控制评价报告发出日之间未发生对评价结论产生实质性影
响的内部控制的重大变化。

    内部控制应当与我行经营规模、业务范围、竞争状况和风险水平等相适应,
并随着情况的变化及时加以调整。我行将按照《商业银行内部控制指引》(银监
发[2014]40 号)的要求,加强内控体系建设,继续完善内部控制制度,规范内
部控制制度执行,强化内部控制监督检查,促进我行健康、可持续发展。




                                        苏州银行股份有限公司


                                        法定代表人:


                                        2020年3月27日




                                 20

关闭窗口