绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇风险自评报告范文,希望它们能为您的写作提供参考和启发。
杨文斌认为,一直以来,防范和化解金融风险都是各国金融监管机关近几年来的工作重点,实施严格的风险控制制度,有利于提高保险行业的稳健性,促进金融市场的公平竞争,保护被保险人利益,进一步为保险业的做大做强奠定基础。制定并《指引》,有利于进一步提高国内保险资金运用的专业化管理水平,保证保险资金运用能够按照安全和健全的方式运作,强化保险资金运用的稳健性;有利于加强从业人员的风险意识,促进保险公司建立强有力的风险控制机制和激励约束机制;同时为进一步拓宽保险资金投资渠道做好充分准备。
作为平安保险集团的首席投资执行官,杨文斌指出,长期以来,中国平安一直高度重视保险资金运用的专业化管理,始终坚持“规范经营、严格管理、稳健发展”的经营方针,实施保险资金运作“安全性、流动性、效益性”的经营原则,贯彻“对客户负责、对员工负责、对股东负责、对社会负责”的经营理念,不断完善保险资金运用管理模式,积极引进全球先进的投资管理手段和国际一流的保险投资人才,构建全方位的风险管控体系,实现了资产规模和效益的同步增长,确保了保险资金长期稳定的保值、增值,连续几年取得了较为理想的投资业绩,在同业中始终名列前茅。
杨文斌介绍说,中国平安自1999年正式成立资产营运中心将保险资金进行集中管理和专业化运作以来,一直致力于建立一套既具有国际领先水平又能满足平安未来发展的、成熟的风险管理体系。目前,中国平安的风险管理体系主要包括三个部分:投资决策机制、风险管理系统和内部管理制度。中国平安的投资管理共分三个层次,第一个层次为集团董事会,第二个层次为集团投资管理委员会、集团风险管理委员会,第三个层次为集团资产营运中心,同时在资产营运中心内设有专门的部门和岗位从事风险管理工作。这种投资管理组织模式的设立一方面有利于简化投资管理流程,保证投资策略执行的一贯性、完整性、及时性和信息传输的充分性、即时性;另一方面则有利于消除系统性风险,使内部监督和反馈机制可以有效运行。
为贯彻落实省分公司对于风控监督的工作要求,督促、推动各主责部门、各经营单位对风控工作执行到位、取得实效,根据国寿人险苏风函(2019)29号《关于下发<中国人寿>的通知》中对风险评估的要求,分公司拟开展主责条线自评工作。
一、时间安排
2021年1月20日-1月27日。
二、主要内容
摘 要:随着我国寿险业反洗钱工作的进一步深入,建立科学、合理、操作性强的反洗钱自评估体系,不仅是理论研究的迫切任务,也是推行寿险业反洗钱工作方法的迫切需要,具有深远的现实意义。为此,结合公司实际开展的反洗钱自评估工作,从COSO内部控制整合框架的角度,对如何建立一套符合行业实际的反洗钱自评估方法进行了初步探讨。
关键词 :寿险业;反洗钱;自评估
中图分类号:F84.67 文献标识码:A doi:10.3969/j.issn.1665-2272.2015.01.014
1 反洗钱自评估的涵义及特征
关于内部控制自评估,世界内审协会给出的定义为:控制自评估是一个过程,它通过检查和评估内部控制的完整性和有效性,以此保障经营目标得以实现。
反洗钱自评估属于内部控制自评估范畴,是指有关机构或企业定期或不定期地对反洗钱内部控制系统进行评估,评估内部控制系统的有效性及其实施的效率效果,增强反洗钱责任主体的履责意识和履职能力,以期更好地达成洗钱风险控制的目标。反洗钱自评估不同于外部监管机构开展的反洗钱评估,反洗钱义务履行人是反洗钱自评估工作实施和结果运用的主体。因此,反洗钱自评估呈现三个方面的特点:
(1)反洗钱自评估是金融机构自身实施的评估工作,而不是由外部监管机构实施的;是金融机构反洗钱从业人员或内审人员评估、衡量机构内部的洗钱风险是否存在、控制是否有效的一项工作。
(2)开展反洗钱自评估的工作目的是为机构内部洗钱高风险或问题领域的改进搭建一个内部改进沟通的平台。当自评估发现风险或问题时,自评估团队的角色是协调员和风险与控制概念的传授者,督导洗钱风险存在环节的部门或人员开展整改;
(3)反洗钱自评估具有一定的独立性。自评估团队一般需要上级机构或独立于反洗钱职责履行部门的内审、合规部门人员组成。在自评估过程中能够较为独立地对被评估单位或部门发表评估意见。评估范围和评估内容不受限制。
2 反洗钱自评估方法选择及指标制定
反洗钱工作自评估的主要对象是反洗钱内部控制的有效性,即金融机构建立与实施内部控制对实现反洗钱控制目标提供合理保证的程度。从内部控制评价本身以及目前的发展情况来看,主要有详细评价法和风险基础评价法两种方法。按照美国COSO委员会提出的《企业内部控制——整合框架》的有关内容,确定某一内部控制系统是否有效,需要通过对控制环境、风险评估、控制活动、信息与沟通以及监控活动等五个要素是否能够协同发挥作用进行综合评价,这些要素是衡量内部控制有效性的标准。
因此,遵循这一思路,反洗钱自评估的内容就是对金融机构反洗钱领域五个要素的有效性进行全面评价。
(1)控制环境类评估指标。组织开展控制环境评价,应当从组织机构设置、人力资源配备、培训宣传、工作规划、制度健全性等方面着手。如:建立健全反洗钱组织机构情况、反洗钱岗位人员配备情况、反洗钱岗位人员履职能力、业务条线反洗钱人力培训情况及履职能力、高级管理层反洗钱工作参与度、反洗钱工作计划总结、奖惩机制建立情况(如表1)。
(2)风险评估指标。组织开展风险评估,应当从寿险产品及风险划分情况、本机构(部门)所辖地风险突出环节、反洗钱工作薄弱环节及历史洗钱案件发生情况分析认定和风险应对措施(如表2)。
(3)控制活动评估指标。组织开展控制活动评估,应当按照反洗钱内控制度要求,从客户身份识别、交易记录保存、大额和可疑交易识别和报送、风险等级划分及评定等方面设计指标。如:客户身份识别方面可以设计承保环节客户身份识别指标、保全环节识别指标、理赔环节承保指标等(如表3)。
(4)信息与沟通评估指标。组织开展信息与沟通评价,应当从机构内部对监管制度传递学习、重要反洗钱相关信息上报和处理、与监管机构和上下级公司就反洗钱工作互动、各类监管信息上报及时性、完整性、准确性等方面设定指标。如:新的监管制度及规范性文件在内部处理流程是否恰当、重要洗钱信息是否及时上报等(如表4)。
(5)监控活动评估指标。组织开展内部监督评价,应对机构内部就反洗钱工作开展监督检查情况、内部审计部门对反洗钱工作发挥有效的监督作用等方面设计指标(如表5)。
此外,自评估指标在以上分类设计指标基础上,还可以根据自评估单位在反洗钱工作贡献程度、奖惩事件等方面增加调整指标,作为指标体系的加减分项(见表6)。
自评估指标设计后,应根据各项工作的重要程度,结合监管重点和自身薄弱环节以百分制赋予一定的权重分值(见图1),至此反洗钱工作自评估指标体系就基本建立了。
3 反洗钱自评估实施步骤与流程
自评估指标体系建立后,自评估工作应按照立项、准备、评估、确认、反馈(报告)和整改六个工作步骤分步实施。具体内容如下:
(1)立项。开展自评估前,反洗钱自评估负责部门就反洗钱自评估工作向本机构反洗钱领导小组汇报,确定评估对象、评估重点、评估目标、评估人员组成及所需经费资源,制定自评估计划和方案。
(2)准备。立项完成后,开始收集和整理非现场评估数据和资料,如:被评估机构和部门的系统客户数据、既往反洗钱工作所获得奖惩资料、评估现场所需的问卷、试卷,通过非现场准备阶段的工作,对评估对象的洗钱风险状况作出初步评价,在此基础上确定有关指标现场所需抽取的样本范围及数量等。
(3)评估。开展现场评估,获取组织机构架构设置、培训宣传、内控制度等其他资料,抽查业务档案、日常反洗钱工作档案等资料,访谈有关反洗钱工作参与人员和条线人员、对有关人员开展反洗钱知识测试等,依据自评估指标逐项进行评定,形成工作底稿,评估时注意留存发现问题类资料。
(4)确认。根据自评估时形成的工作底稿,与被评估单位负责人及经办人员核实评估发现的问题,无误后对工作底稿和评估表签字确认。
(5)反馈。自评估确认结束后,评估人员全面总结被评估单位反洗钱工作开展情况,包括高管人员或负责人履职情况、取得的成绩、值得借鉴的方法、措施,存在问题和风险等,形成书面报告向本机构反洗钱领导小组报告,待机构反洗钱领导小组审议通过后,向被评估单位反馈,反馈的内容既要包括取得成绩、好的做法,还要包括存在的问题、风险分析和改进建议。
(6)整改。自评估机构根据评估发现的问题,督促本评估机构或部门开展整改工作,制定整改措施,根据问题复杂程度,确定整改时限,整改完成后视情况开展整改验收或报告。金融机构的反洗钱自评估如果是由上级公司或独立合规审计部门组织开展,被评估单位还应向上级机构或有关部门报送整改报告。
4 反洗钱自评估结果运用
自评估机构在完成评估后,应深入分析评估结果,给予被评估单位较为公允的洗钱风险防控能力综合评价和管理建议,并充分利用自评估结果,分析评估发现问题的症结,找准风险点,拟定有针对性的管理措施加以改进,不断提升自评估机构洗钱风险防控能力。
自评估结果的运用,主要体现在以下四个方面:
(1)通过自评估,检查被评估机构在反洗钱制度设计、流程设计等方面是否能够满足外部监管部门的要求,查找是否存在二者要求相背离或无法满足的现象;
(2)通过自评估,检查被评估机构自身制度设计、流程设计要求与制度和流程实际执行情况之间是否存在差距,查找执行层面的问题;
(3)通过自评估,查找监管制度要求与实际工作执行层面是否存在差距,是否存在监管要求难以实现或无法实现的状况;
(4)通过自评估,确定被评估机构的反洗钱工作整体状况和洗钱风险防范能力,根据评估结果的不同,采取差异化的分类监督措施,从而更为科学合理地配置反洗钱资源,增强反洗钱工作的针对性,有效提升洗钱风险防范水平。
以某人寿保险公司评估结果为例,介绍评估结果与结果运用。
2014年某人寿保险公司省级分公司,根据上述评估指标,对7家机构开展反洗钱自评估,评估结果见表7。
国际金融公司于2002年入股南京银行后,在激活并提高南京银行公司治理水平上发挥了重要的先导作用。当时,国际金融公司的股份为15%,南京银行也成为当时外资占比最高的国内银行。
国际金融公司提倡“好的公司应该有好的董事会”的理念,强化了南京银行的内控建设、风险建设和发展规划的建设,同时完善了内部管理机构。可以说,通过“引资引智”,南京银行领导层认识到了完善公司治理机制的重要性,并根据自身发展状况切实予以加强。
南京银行是启动IPO较早的城市商业银行,要想成功发行上市,最重要的一条是治理要规范。这一时期,南京银行董事会切实将完善公司治理建设列为工作的重中之重,公司治理水平有了质的突破。
此外,这段时期,南京银行还引进了战略投资者法国巴黎银行,发行了次级债券,可以说,南京银行的公司治理较好地体现了职责明确、分权制衡、规范运作、科学合理的公司治理要求。
2007年上市后,公司治理也开始由形备到神似的变化。
在建立激励约束机制上,按照财政部的要求和银监会的《商业银行稳健薪酬指引》,修订了《高级管理人员考评和薪酬激励管理办法》,增加了风险指标的考核和部分薪酬延期支付制度,使考核更加全面、科学、有效。在具体考核上,则实行民主测评、董事考评以及监事会综合评价相结合的方式,实现对高级管理人员履职的科学考评,较好地做到了个人业绩与公司可持续发展的有机统一。
提高公司治理水平在于细节
规范与完善内控程序。主要表现在有较为全面的制度和程序,而且不折不扣地执行。比如,在董事的提名上,董事会对董事人选的原则是用能人,而不是“花瓶”,这点在独立董事的提名程序中体现得特别明显。董事会提名及薪酬委员会有搜寻、初审独立董事人选的工作职责。该委员会按照任职条件的规定,严格对独立董事候选人进行形式和实质审核。形式上的审核主要是对提供资料的完整性和真实性进行审查;而实质审核非常重要,主要是通过多方渠道对其履职的能力和品行进行深入了解,力求能够体现“专业和专注”的履职要求,而且初审的原则是“不求名气,只求合适”,以真正提高南京银行的公司治理水平为目标。
注重董事会软环境建设。一般来说,董事会只关注议案的表决情况和决策的效率,而不太关心董事提出的各式各样与公司治理紧密相关的问题。但南京银行董事会认为,公司治理的不断提高就是在于细节,所以对董事无论是在各类会议中、实地调研中还是与经营层沟通中提出的好的建议和方法,都及时归总并强化落实,具体到相关责任人和完成时间,并定期在董事会上进行反馈,使董事感到自己的建议得到了尊重和重视。比如:针对今年上半年南京银行一位外籍董事提出的注重同业资产风险、表外资产中的理财产品风险的建议,董事会立即让经营层予以调查落实,经营层迅速展开专项管理工作,并及时向董事会风险管理委员会进行了详细的书面报告,并在下次董事会会议上向全体董事会成员做了通报。正是这些点点滴滴的良性循环,在潜移默化中提升了公司治理水平,也提高了董事履职的主动性和积极性。
创新风险管控举措。在风险管理上,南京银行先后制定并完善了七大风险管理政策和相适应的风险管理程序、流程。尤其是今年,南京银行认真执行“三办法一指引”,积极进行地方政府融资平台贷款的“解包还原”,严格房地产贷款风险管理,有效开展“内控和案防制度执行年”活动,提升了公司治理效果。同时,完善了风险条线的组织架构,设立了经营层内部控制和风险管理委员会,设立了风险管理部、授信审批部、资产保全部,理顺了风险作业机制;按照银监会的“六项机制”要求,建立了小企业金融部,并按照“两个不低于”强化了对小企业的经营和管理;建立了金融市场部、会计结算部和营运管理部,强化了市场风险和操作风险的管理。
在发展战略上,南京银行建立了三年发展规划,科学指导全行的经营方向和经营目标,并按照自身实际状况建立了发展规划年度回溯评价机制,提高了发展规划执行的合理性和可行性,保证了南京银行的可持续发展。
在资本管理方面,南京银行制定了《资本管理办法》、《资本充足率管理办法》和《三年资本规划》,强化了对资本的规模、风险和持续补充等方面的管理,逐步在资产负债配比、经济资本考核和小企业专营等方面加以运用,同时,通过对年度投资参股计划和分支机构发展计划进行资本量化分析,保证了对资本实行长效管理。
企业内部控制系统存在的目的在于对威胁其目标实现的风险进行管理。企业的内部控制能否发挥作用,还必须考虑企业面临的风险的性质、范围、风险可量化程度、控制成本与管理相关风险可获得的收益的对比。
1.风险控制水平
企业管理当局对风险的态度直接影响风险的控制水平。如果企业管理当局喜欢冒险,对面临的风险缺乏预防或控制措施,则会引起巨大损失;如果过分谨慎也会使企业失去发展机会;只有正确地认识风险,并对风险加以控制,才能最大限度地提高企业的利润。这说明风险控制的目的不是为了限制企业的各种经营活动,而是确保它们受到正确的引导,以减少不必要的损失。笔者认为对待风险的策略应该是适当地接受风险,但这并非是盲目地冒险,而是事先合理地预计可能的风险,积极地寻求企业的发展机会。就像一个人不能因为害怕事故而不出门或不驾车,而是应该在其出门或驾车时采取必要的防范措施,如遵守交通规则、扣好安全带或避免高速行驶等。就企业而言,可以发展业务组合(有不同风险和回报的业务的组合)或退出高风险低回报的业务领域。
2.比较风险与回报
风险的可接受水平取决于回报的大小。通常人们为了实现高回报才去冒较大的风险,而不会为了低回报去冒较高的风险。最好的商业机会是回报高而风险小的商业机会;而低回报高风险则会对企业构成较大的危险。
3.风险控制成本
如果企业没有对风险进行控制,那么就要承担出和事故的代价,如一次污染后要支付的处理费,平息一次工伤事故的费用,或收回劣质产品的开支。所有这些费用,都可在图1中用事故费用曲线表示。当企业意识到管理企业风险的必要性后,就开始在预防手段上投资,包括进行预防的支出及为加强控制而增加的人工费用等,这些开支可用预防费用曲线表示。从图1中我们可以看到,随着预防费用的增加,事故的发生率下降,因此事故费用也随着下降,总体开支下降。事故费用曲线与预防费用曲线的交点使企业总体开支最低。如果企业继续投资于预防措施上,寻找进一步减少事故发生的可能性,那么预防费用就会上升。最后总体费用达到了企业开始管理风险以前的水平。图1显示,在风险管理上有一个最优效果的投资水平,投资过多会使企业背上成本的负担,使它失去竞争力,而关注不足会使企业付出高昂的事故费用,中间的某处是最佳的位置。
由此可见,企业为降低总体开支水平,必须识别和评估风险,建立适当的控制制度,采取行动管理风险,并对管理的效果进行监督和检查。
二、内部审计领域的风险导向审计
内部审计既是内部控制的一个组成部分,又是内部控制的一种特殊形式。1986年最高审计机关国际组织在第十二届国际审计会议上发表的《总声明》中,就把内部审计与组织结构、程序一起列为内部控制的重要组成部分。1992年,美国的“反虚假财务报告委员会”发起成立的一个赞助组织委员会(简称COSO,Committee of Sponsoring Organization)专门致于内部控制,提出了“内部控制——整体框架”的研究报告。该报告将内部控制划分为控制环境、风险评估、控制活动、信息与沟通及监控等五个要素,其中的监控就是指对内部控制结构运行质量的监督,它是通过管理控制方法和内部审计的职能来实现的。可见,内部审计职能作为内部控制的一个要素,是管理当局用来监督相关控制程序的手段,即是对内部控制的再控制。COSO报告为内部审计人员进行风险管理提供了指南,表明了以风险为导向的审计方法成为审计方法发展的必然趋势。
在内部审计领域,人们似乎对风险导向审计方法有着与外部审计不同的理解。内部审计师更多地将风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险[2],并将其作为确定审计项目及其审计重点的依据。内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种方法。国外的许多企业审计实践证明,在内部审计领域实施风险导向审计,改变了内部审计人员探讨风险和内部控制的方法,为内部审计参与风险管提供了基础,促进了内部审计与其它风险管理要素的结合,并已为企业管理当局所接受。
内部审计领域运用风险导向审计方法,改变了过去那种内部审计人员以检查业务记录和内部控制系统的历史运营情况提出建议和意见的方式,变为更加关注企业面临的风险和企业未来的发展及企业为降低风险所进行的一项管理活动[3].在快速发展的,企业管理当局需要了解变化过程中可能遇到的风险,而固定的、静态的控制体系只能反映企业的过去。因此,要求内部审计师在风险环境中观察业务过程,提出控制风险的建议,从而为企业增加更多的价值。
采用风险导向审计方法,内部审计的报告更容易被接受,管理部门也更容易理解内部审计存在的价值。在过去的制度基础审计中,内部审计总是以其内部控制为中心,并在审计报告中不断提出增加控制点或增加控制的建议,这样,若干年后审计的结果就是控制点越来越多,业务过程越来越繁杂。同时,也产生了不能为企业增加价值的员工。在风险导向审计中,审计报告中关注的企业当前及未来需要的准备,是企业现行经营活动与战略计划之间的“桥梁”[4].三、风险基础法下内部控制的评价模式
传统的内部控制评价模式主要是采用“内部控制调查问卷”和符合性测试,对企业已经存在的内部控制进行评价,审计报告中的建议也是管理当局早已经知道的,缺乏新意[5].有人形象地比喻,内部审计的工作就是“审核数豆子的人是否将豆子数得一粒不差”。风险导向审计法要求内部审计人员改变传统的评价模式,把审计的起点放在关注企业发展战略和识别企业业务流程的风险上,分析风险,并提出控制风险的建议和方法。
特别需要指出,评价内部控制并非为了控制本身,而应针对企业经营过程中可能面临的风险。在风险导向审计法下,内部审计更为关心的是下列问题:与控制相关的目标是什么?这种控制要解决的问题是什么?这种控制是否对被审计单位的经营活动有益?是否存在重复控制?什么样的风险水平是可以接受的?控制的效果是否影响管理当局决策[6]?只有清楚地了解了这些,内部审计人员才能辨别何处控制环节过多,何处控制环节不充分,何处控制满意,何处控制需要改善。我们以采购为例进行分析,企业采购的目标可概括为:保证采购的物品为企业所需,适当的价格及付款条件,所购物品的质量符合要求,交货的时间、地点等。审计的目的在于评估实现上述目标的风险,并建议增加一些强化控制的措施,长期如此,采购过程就会变得繁杂而无效。这是因为内部审计人员把审计的重点置于所需的控制,而并非企业的目标或其控制环境中存在的风险。理想的方式是从决定所需要的控制,转移到风险的管理,在审计过程中寻找所有可能的管理风险的途径,收集证据,提出建议。例如,采取必要的措施控制企业的战略风险;采取风险回避的方式,回避某些固有风险;以风险分散方式,分散经营过程中存在的风险,如由多个供应商提供原材料以减少原材料供应中断的风险;向其他组织转移风险,如何险等;接受风险,企业在经营过程中不可能没有风险,在合理的程度内,冒点风险是必要的。越过内部控制的某些薄弱环节,这也是风险导向审计方法与其他审计方法的本质区别。但大多数内部审计人员是难以确认管理当局是否能接受这些风险,因此,传统的内部控制评价方法受到挑战,要求内部审计人员采用一个动态的评价模式,通过与企业管理当局的有效沟通,为企业提供增加价值服务。
1.内部控制自评(CSA)
内部控制自评是一种新兴的审计技术,最早是由加拿大的一个海湾资源公司开始自我评价运用的内部控制系统,几年来了一套系统的技术和,大大推动了该公司内部控制的和完善。这种方法在美国、加拿大及欧洲开展的较多。内部控制自评的方法就是要部审计人员与被审计单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。CSA有如下优点:
对而言,内部控制自评提供了一个管理控制风险的工具,保证内部审计人员和管理人员共同对风险进行控制。这是综合地控制企业的各方面,包括相关的效益,使企业对内部控制有一个更全面的了解。不仅要考虑发现的,如何改进,促进各部门更有效地履行责任,还要使控制措施便于理解,使董事会更了解管理的情况以及风险。同时,也降低了审计成本,使内部审计达到更好的效果。
对管理部门而言,内部控制自评可以反映当前管理控制中存在的问题,也向高层管理部门表明他们对现存内部控制的态度,明确了管理责任,保证企业内部有良好的人员分工,使其更好地履行职责。
对内部审计而言,内部控制自评最重要的一点是让管理部门了解到对内部控制的责任,同时内部控制自评还可以提高审计的效率和效果,减少审计人员的工作量,节省审计时间。
2.内部控制矩阵法
内部控制矩阵法是审计人员根据企业经营目标、险与控制之间的联系,为确保审计建议能针对重要的风险而建立的一张工作表。如表1.
该表包含了下列信息:明确企业的经营目标,审计人员对被审计事项的初步了解,根据初步了解的情况识别风险因素,衡量风险的重要程度,采取适当的控制措施,控制措施是否会其他目标的实现,审计人员的评价和结论。
内部审计人员通常在测试的最后阶段来做这个矩阵,其优点是清楚地反映出对每一目标的测试和评价,有助于关注重要风险。
3.利用信息开展动态评估
收集风险数据是企业中常用的风险评估法。内部审计人员通过收集有助于资料,建立数据库,利用一定的指标来估计风险。内部审计人员应根据企业机构和人员的设置情况,对日常资料的收集和工作进行分工。特别是大型综合企业,指定专人进行对口分工收集资料,以保证内部审计人员在熟悉本企业及下属公司经营情况下,进行风险评估。数据库应包括企业的外部信息和内部信息。对于外部信息,内部审计人员可以利用社会上公开的信息资源,如利用有关统计资料,了解和掌握本行业的发展情况,或通过信息网络了解国家政策、本行业或相关行业市场变化情况。对于内部信息的收集可通过调查问卷、阅读企业的文件及合同、计划、投资可行性分析报告等有关资料获得,或通过财务网络或定期报送的报表,查看各分支机构的财务状况。一般来说,员工对影响其发展的风险有较详细的了解,调查问卷就是要他们加入到风险评估和管理过程中。
数据库法的优点是把企业面临的风险进行量化,发挥预警的作用,以便及早发现企业存在的问题,及时进行处理。内部审计人员通过访问数据库,了解哪里存在风险,风险的严重程度,并将风险按重要程度进行排序。例如,我们以应收帐款的回收期作为一个风险因素,通过询问数据库就可以查出所有存在应收帐款超期的部门,并按超过的期限进行排列。又如,一家餐厅希望获得销售酒类的高利润,酒类销售额需维持在总收入的40%,因此,当酒类销售额降到总收入的25%~35%时,管理阶层即警觉到顾客对酒类的需求态度已经改变,而立刻设计新的菜单,增加食物的销量,以维持总的销售收入不变。由此可见,预警制度并非完全针对防弊,而是为及早发现经营中存在的问题,并采取有效的控制措施。这种方法的弱点是在为风险管理者提供大量资料的同时,也可能使其难以发现重点。
「
[1]陈汉文。证券市场与监督[M].北京:财政出版社,2001.525.
[2]刘力云。审计风险与控制[M].北京:中国审计出版社,1999.153.
[3] David B.Crawford.Levels of Control[J].Internal Auditor.2000(10):42-45.
[4] David Mcnamee,Georges Selim. Nest Step in Risk Management[J].Internal Auditor.1999,(6):36-38.
目前平安集团保持着健全的公司治理结构和风险管控的三道防线,包括:
第一道防线:业务及管理部门。作为风险管控的第一责任单位,执行公司制定的风险内控政策,并组织开展业务自我改进。
第二道防线:风险内控管理的专业职能部门。合规部、风险管理部、法律部以公司风险内控管理政策为核心,协助各级业务部门和管理职能部门建立风险识别、评估、控制、应对流程,建立各项重大风险预警机制,完善风险指标监测体系和报告机制,并推动整体改进和落实。在具体的内控建设和评价工作中,合规部负责建立全年内控自评计划,其中包括主数据的维护、风险自评、内控自评和内控测试的工作时间计划及工作项任务。
第三道防线:监察稽核的职能部门。稽核部门作为相对独立的部门,对公司风险内控体系和机制的整体运作情况(内控机制的设计有效性和执行有效性)进行独立评价和报告。
创建平安信赖工程
信用、信誉是金融企业的生命,信心、信赖是金融企业成长壮大的基石。全球金融危机的爆发、蔓延再一次验证了内控管理对于企业的意义,对以金融服务为业的平安而言,内控管理水平更是能否赢得客户信赖、能否保证股东利益并确保监管放心的衡量标准。
公司领导明确指出:内部控制管理不是被动地满足法规的要求,而是公司经营管理的内在需求,内部控制管理也不仅仅可以控制风险,更可以增强客户信赖,提高老客户忠诚度,吸引更多的新客户,促进公司业务发展。
平安根据国家法律法规以及监管要求,结合公司经营管理的需要,确立了以“促进公司三大支柱业务(保险、银行、资产管理)以及整个集团有效益可持续健康发展”为公司内控与风险管理的长期目标;建立了覆盖全面、运作规范、针对性强、执行到位、监督有力的合规内控与风险管理体系和运行机制。先进的内控管理机制为公司持续稳健发展提供了保障,为客户利益维护建立了坚实的保护屏障,为公司战略有效实施奠定了坚实的基础。把信赖建立在机制上,把信赖建立在系统、平台上,把信赖建立在可预期的结果上。
满足法规只是起点
内部控制“体系是否健全”、“运行是否有效”是平安管理层非常关心的问题,也是即将或准备实施内控体系建设的企业所关心的。根据《基本规范》的要求,企业需要报告和披露在规定时点内部控制运行有效性的评价结果。表面看起来企业只要顺利通过会计师事务所进行的内部控制审计就算过关了,但平安管理层确定的内控目标不仅如此,更强调提升内部控制管理的长效机制和持续保证能力,至少应实现以下目标:
顺利通过会计师事务所进行的内部控制审计;
形成风险识别、评估和内部控制制度设计、运行及控制效果测试评价的标准流程,并保持动态更新、反复运行;
记录内部控制管理和维护的过程轨迹;
梳理并分类归档内部控制设计及运行有效性的举证资料,并动态保持其充分有效性;
形成内控风险及缺陷的主动检视、持续改进、自我完善的运行机制;
实现内部控制评价结果与相关责任人的绩效问责考核指标挂钩。
在构建平安集团合规内控体系的过程中,平安一方面努力加强内部制度和风险内控团队建设;另一方面充分利用外脑,与国际知名咨询机构积极合作,借鉴国际、国内先进的风险内控管理方法、成熟经验和现代化工具。
特别是2008年6月五部委正式《基本规范》后,平安集团管理层非常重视,敏锐地认识到建立健全内部控制体系不仅是监管机构的合规要求,更是获得客户信赖,提升公司品牌,提升上市公司外部评价的契机和抓手。认识决定态度,思想决定行动。在对美国萨班斯奥克斯利法案、COSO内部控制以及企业风险管理架构等制度、标准及其实施状况进行调研的基础上,结合平安的战略方向及现实状况,平安管理层以“务实”、“整合”为核心价值理念,提出“以风险为导向、以制度为基础、以流程为纽带、以内控系统为抓手”的26字方针,为整个集团内部控制体系建设明确了“四项基本原则”。
简单来说,即首先梳理关键流程并识别和评估与内控相关的固有风险;其次结合公司各项规章制度及实施现状,辨识各个流程的关键控制活动并固化;然后开展内控自评工作,评估现有内控体系对于上述固有风险管理的有效性,最终得出剩余风险的评估结果。固有风险扣除现有内部控制和管理举措对于固有风险的缓释效果后,即为剩余风险水平。对于内控自评发现的内控缺陷,有针对性地弥补内控缺失、进一步完善内控体系,从而将内控相关的剩余风险控制在公司可接受的水平。
以风险为导向
内部控制体系建设需要回答的首要问题是:“控制什么?”,也就是控制目标的问题。不少保险公司在开展内部控制时的一大误区在于“为内控而内控”,流于形式,眉毛胡子一把抓,没有对内控风险点进行梳理和分类,最后既浪费了人力、财力,也降低了内控项目的有效性。而“以风险为导向”的理念,则是要明确识别行业及公司内部所面临的风险点,并对已识别的风险进行评级,同时与现有的控制活动进行匹配,进而评估相应风险点的控制水平。即哪些是不足的?哪些是没有涵盖的?不足的或未涵盖的风险,平安是否能接受?若不能接受,应当如何对控制不足的部分进行强化?如何对尚未涵盖的部分进行控制?等等。最终把平安的风险控制在可接受的范围内。因此“以风险为导向”实质在于“为管控风险而内控”,关注“控制有效性”,并通过梳理、提升现有的控制活动,使内部控制与日常管理活动紧密融合,让业务部门人员作“主角”,内控管理部门作“导演”。
以制度为基础
平安集团充分认识到现代企业的管理中,制度是核心和基础。通过制度进行管理,最能体现效率,最能体现统一性和质量标准,因此制度建设是平安内控体系建设的一个重要内容。内控制度并非是现有业务部门日常管理制度的简单集合,也不是游离于现有业务管理制度之外的一套完全独立的制度体系,而是对现有业务管理制度补充、完善、整合的过程。制度在企业内部应该只有统一的一套,保持“唯一正确性”,这一点非常重要。平安现已建立并不断完善内控制度体系,明确各层级的职责定位和工作目标,确定内控工作开展的程序循环。集团合规部牵头完成平安《内部控制评价管理办法》和《内部控制自评手册》,以期建立健全“以风险管控和内部控制评价为导向,以合规、风控等公司制度为核心和依据,以内部控制自评手册为工具和方法”的内部控制制度体系。
以流程为纽带
部分企业在进行风险评估时,往往习惯于以部门为单位,殊不知风险的产生和由此带来的结果往往是叠加的、跨部门的,因为一个完整业务流程的实现是多个部门之间协同工作、相互配合的结果。如果仅从部门的角度看风险,往往看不清楚、看不全面,容易以偏概全,进而影响对风险的评级及相应内控点的识别。平安“以流程为纽带”将内部控制落实于业务流程的全过程,以流程为脉络识别风险点,消除了各部门间的壁垒和脱节,避免出现真空地带,增强了流程的衔接性,也更易于从整体的视角把握企业的风险点。平安在内控评价过程中,涵盖了绝大部分法人专业子公司及其关键业务流程。
以内控系统为抓手
内部控制体系应当以IT系统的建立及完善为基础。比如内控自我评估,整个过程牵涉面很广,基本涉及平安所有的业务部门和人员,涉及的数据资料信息量非常大,评估流程管理也很繁杂,若在常态管理中采用手工方式进行,则难度更大。因此平安就有一个非常明确的认识,即需要有系统的支持。对于系统,其基本设想是:其一,要有一个自动工作流的驱动,也就是说每个业务部门的每个业务人员都需要明确自己的角色定位和工作内容,而这些应当通过系统来实现。同时涉及相应的内控节点,该节点的负责人一定要做出反应(采取相应的内控动作,如审批),若在规定的时间内没有响应,则系统将会触发邮件提醒。其二,要有一个自动的报表管理功能,既能对内控自我评估过程中的成果进行分门别类的存放,并能按监管要求提供相应的报表。同时亦能定期给高级管理层发送相应的内控报表,报表内容可以包括部门内控管理的实施情况(哪个部门开展了什么工作,还有哪些工作没有开展),进而可作为内控管理工作得以有效推动的基础工具。目前平安集团已经建立了内部控制评价管理电子平台(Risk Integrator,简称“RI系统”),该系统主要包括内部控制的管理模块(ICM)、风险自评模块(RCSA)、关键风险指标模块(KRI)、损失事件管理模块(LEM),从内部控制角度对系统分级,明确各层级业务部门、合规部门、稽核部门在系统中的角色定位。今后还将把企业的风险管理、内部控制、合规管理功能在系统平台上进一步整合。
平安集团在如何把上述的风险和内控管理的整体理念、体系建设和具体的操作步骤逐步固化在系统中做出了初步的尝试。通过逐步建立和完善一个符合国际最佳实践的内部控制评价管理电子平台,运用先进工具和技术支持公司业务发展战略和业务增长模式。该平台的内部控制管理(ICM)和风险自评(RCSA)模块目前已经可以协助公司识别、分析、评估、应对、报告各项风险,并与内部控制相关联,支撑内控自我评估在平台上的运行。此外,信息系统平台还支持平台进一步建立关键风险指标(KRI)量化信息和预警体系,及时发出对重大风险的预警信号;并且利用损失事件管理(LEM)加强对历史重大损失事件和数据的收集和管理,提升公司预测尚未发生事件之潜在风险的能力。
全员参与、分级实施、逐级汇总
内控项目在开展初期采取“全员参与、分级实施、逐级汇总”的方式,总体安排分为设计阶段(确定项目范围和风险评估)、计划阶段(试点,确定内控自评方法、工具、模板,搭建内控管理电子平台)、推广阶段(全面推广)阶段。目前,平安已经把这些动作纳入了日常常态管理的模式。
项目历时将近3年,涉及平安集团保险、银行、投资各板块多家法人公司及其关键业务流程,超过3000名平安员工直接参与了本项目的开展,接受了咨询公司关于内控方法论的培训。通过本项目的开展,内控自我评价工作已纳入各公司、各部门的日常工作范围,并设计相应机制促进内部控制活动基于内外部环境的变化而及时进行相应的调整。
项目成果
平安致力于搭建并不断完善风险管理与合规内控的统一体系,梳理核心业务流程,诊断风险内控缺陷并整改。而在关键风险领域,同时有针对性地进行专项应对和深入研究,实现风险管理与内部控制的有效衔接和融合。项目完成了与实现控制目标相关的内外部风险的识别和评估,从定量角度确定了范围内的各业务流程、机构的固有风险和剩余风险水平,为管理层权衡风险与收益,确定风险应对策略奠定了实实在在的基础。回顾项目成果,基本可以用“四个一”来概括:
建立了一个体系
平安现已基本建立并不断完善合规内控管理体系,通过体系的力量推进风险和内控合规“PDCA”管理闭循环,使平安内控管理中心各部门目标统一、高效配合,同时也促进了风险管控三道防线之间的联动与有效运作。
导入了一套标准
通过内部控制操作标准和相应测试标准的建立,加强了内控评价工作的可操作性,并且促进了公司各业务单元之间的横向比较和内部对标学习。
完善了一批流程
通过内控评审完善了原有的流程与制度,通过与国内外行业最佳实践的对比,从提高经营效率效果角度完善了多项内控流程,以缓释潜在风险,并加以追踪落实和明确各自的部门责任。
培养了一批人才
PCAOB的审计准则将“实质性漏洞”定义为:“如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时,该缺陷就构成实质性漏洞(material weakness)”。
关于实质性漏洞的类型,本文借鉴Ge和McVay(2005)的研究思路并将上市银行漏洞划分为九大类型,为了便于读者理解实质性漏洞的概念及其具体表现形式,本文列举了每一类型实质性漏洞缺陷的表现形式(具体见表1)。
二 浦发银行内控实质性漏洞信息披露状况分析
(一)内控信息披露状况分析
由于2000-2010年资本市场对上市公司内控信息的披露规定经历了波段起伏的变化,故上市公司内控信息分布比较零散。本文采取手工统计的方式对浦发银行自上市以来10份年度报告中的“银行业务信息与数据”、“公司治理结构”、“股东大会情况简介”、“董事会报告”,“监事会报告”、“重要事项”、“报表附注”以及“附件”等部分披露的内控信息状况进行统计分析。
1 内控信息披露的分布状况
2006年6月5日《上海证监交易所上市公司内部控制指引》(简称《上交所指引》)的出台旨在引导上市公司定期披露内控信息以增强公司信息透明度以及提高内控信息披露的可靠性来增强公司抵御风险的能力,进而提升公司的价值。但考虑到时间上的仓促以及高额的执行成本,上交所于2006年12月29日了《关于做好上市公司2006年年度报告工作的通知》,强制要求上市公司在披露的年报中的“重要事项”部分披露内控信息。本文对以上8个部分内控披露状况。按照5级量表进行衡量,具体含义见表2。
浦发银行自上市以来的内控信息披露状况如表3所示。
从表3可以看出启浦发银行上市之初,披露的公司年报中对于银行业务信息与数据披露较为简单,主要是摘录近几年的关键会计数据以及财务指标、对境内外的审计差异予以解释说明,几乎没有涉及到内控方面的信息。从2001~2006年公布的年报可以看出,虽然2001年年报中新增了一项特别提示,可视为对内控信息的补充,但是很显然这一举措只是出于公司刚上市,迎合监管的需要而采取的补救措施,并非本意上建立完善内控机制,随着2006年6月5日《上交所指引》的与实施,公司对控的建立完善给予了充分的重视,表现在年报编排体例上发生了重大变化,将以往年报中披露的会计数据与业务数据部分分拆为主要会计数据指标与银行业务信息与数据两部分,第一部分实质上与以往年报披露的会计数据与业务数据相似,但第二部分则更偏向于对银行各类风险的大致介绍和管理情况,表述中多处提及内控字句,其中更有一段内容是对公司的内控制度的完整性、合理性与有效性的说明。“公司治理结构”从无到有,主要披露了公司治理结构,对内控信息的描述比较简单,格式相对固定;“董事会报告”比较详尽地披露了公司内控信息,从2000-2006年的年报中,我们发现这一部分涵盖了公司可能面临的各类风险以及应对措施、公司对不良贷款的分类以及管理情况等,但自2007年披露的年报开始,“董事会报告”部分对内控相关信息的描述显然减少了,更多介绍了新年度公司面临的挑战与机遇、新的经营目标以及为达到目标拟采取的主要措施。笔者认为公司此举凸显了董事会的职能,一方面,董事会对于内控体系的建立和完善负有不可推卸的责任,但另一方面,董事会更应该站在一个新的高度为公司发展制定战略计划,而对于风险的防范内控的建立等职能可以授权给其下属的审计委员会以及其他部门,“监事会报告”非常笼统地披露了公司的内控信息,说明监事会对于内控重要性认识不足,形式主义严重,“报表附注’简要披露了对金融资产的使用以及管理情况、各类风险应对措施等,公司的内控“三性”说明书以及内控自我评价报告详细说明了内控体系的建立与完善、公司下一年度内控有关工作计划,其中我们发现自2008年起年报披露的内控自评报告对于内控信息的披露更加规范,借鉴了《企业内控基本规范》规定的五要素来分项介绍,会计师事务所在2000年,2001年出具的“内控评价报告”中提及对公司内控关键领域审核,而在2007年,2008年,2009年的“内控审核报告”中,按照《内部会计控制规范一基本规范(试行)》的有关标准对公司管理层披露的自评报告进行了审核并发表了意见,“股东大会情况”与“重要事项”部分自银行上市以来从未披露与内控相关的信息。
2 内控信息披露的连续性
根据表3我们注意到公司并非每年都披露内控信息报告,2000年、2001年的年报中公司披露了内控“三性”说明书,而在2002―2006年报中虽然其他部分披露了与内控相关的信息,但是井未披露内控自评报告,从2007年的年报起公司又开始披露内控自评报告,内控信息的披露作为一项既定的制度安排,理应得到连续的执行,可是为什么在2002-2006年的年报中未披露类似的报告?证监会于2000年12月21日了《第7号编报规则》,其中第六条明确要求商业银行应对内控制度的完整性、合理性与有效性作出说明,并委托所聘请的会计师事务所对其内控制度进行评价,出具评价报告。浦发银行于1999年11月上市交易,可能是为了给监管机构和广大投资者留下良好的印象,公司在年报中主动披露了内控“三性”说明书及审核报告,公司在披露2001年的年报时正值证监会了关于内控信息披露的最新规定,基于避免遭受违规所带来的严厉处罚以及继续树立公司良好形象的考虑,公司继续选择披露内控“三性”说明书及审核报告。之后虽然证监会与银监会陆续出台丁关于内控信息披露的规定,但可能由于该项制度还不完善及对高执行成本的顾忌,浦发银行出于自利的动机停止了披露行为。2006年6月上交所颁布了《上市公司内控指引》,要求董事会对内控的建立和实施情况作出评价,并随年度报告一起披露内控自评报告及注册会计师的审核意见。但浦发银行公布的2006年年报中仍未披露内控的自评报告及审核意见,这大概是浦发银行主观上认为指引是非强制性的,即使违规也不会遭受谴责,对该指引的可行性持观望态度。2006年7月Ⅱ5日,财政部会同有关部门成立了企业内部控制标准委
员会,旨在构建内控标准体系,推动企业完善治理结构和内部约束机制,考虑到监管部门的系列举措以及违约成本的不断加大。浦发银行自2008年起积极披露内控自评报告及审核意见。由浦发银行披露内控信息的时间分布我们可以发现,要使内控制度在上市公司得到连贯执行,就应该对上市公司内控自评报告采用强制披露与分部走相结合的做法,而对于内控审核报告应采用强制性披露与鼓励性披露相结合的做法(杨有红,汪薇,2008)。
(二)实质性漏洞披露状况分析
实质性漏洞作为特别风险理应受到银行的关注,我们根据表1对实质性漏洞概念的明确以及类型的划分,通过对浦发银行公布的内控“三性”说明书内控自评报告以及审核报告进行研究,对披露的内控“缺陷”进行鉴别,来识别内控实质性漏洞(见表4)。
1 实质性漏洞数量分析
由表4我们发现浦发银行在2000年与2001年的年报中分别披露了4项实质性漏洞,而在2007年的年报中隐约披露了一项实质性漏洞,2008年与2009年则大量披露了实质性漏洞。由此可见,实质性漏洞披露的数量呈现越来越多的趋势,似乎表明浦发银行面临的内控问题越来越突出。2006年6月上交所《上市公司内控指引》后,浦发银行随后公布的2007年年报中的自评报告中虽然对公司内控建设做了大量的陈述,但是未见公司明确披露内控建设中遇到的难题。而2008年以及2009年的年报显示浦发银行的内控建设并非如2007年年报披露的如此无懈可击,多家分行因为业务违规处理遭受了相关部门的处罚,信息系统运行与维护存在问题,而管理者在向外部市场披露相关信息时,有很强的利己主义倾向(何进日,武丽,2006),而且鉴于指引刚不久,需要一个过渡期,很多上市银行当时并未有足够的能力构建起标准的内控体系,监管机构处罚力度并不会非常大,所以公司在2007年的年报中井未明确披露实质性漏洞。而到了2008年,2009年的年报中,由于违规行为遭到了相关部门的处罚,公司意识到了内控不完善给自身带来的危害,才披露了一系列实质性漏洞。因此我们可以推测浦发银行的内控问题由来已久,只是因为我国相关法规不完善,违规成本比较低,所以并未披露实质性漏洞。但随着监管力度的不断加大,违规成本越来越高,上市银行才开始致力于内控体系的建设与完善,积极披露实质性漏洞。
2 实质性漏洞披露载体与类型分析
浦发银行实质性漏洞的载体主要有内控“三性”说明书内控自评报告,其中,内控“三性”说明书披露了8项实质性漏洞,内控自评报告披露了12项。从实质性漏洞信息披露所占披露载体整体篇幅而言,占了较小的比例,这从侧面反映出公司有避重就轻、多报喜少报忧之嫌,责任方对于出现的内控实质性漏洞问题有所重视。但重视程度不够。内控审核报告作为对内控“三性”说明书和自评报告的审核报告,只是遵照固定的格式对这两者发表了意见,没有指出公司内控的实质性漏洞。由此可见,公司董事会对内控信息披露表明了积极主动的态度,努力改进内控中存在的实质性漏洞,而事务所对内控信息披露的审核却似流于形式,笔者推测注册会计师披露内控审核报告中未披露实质性漏洞有几大可能性:第一,注册会计师面对巨大的经济利益诱惑,存在与管理层合谋的动机,与上市公司勾结以虚假信息欺骗投资者(何进日,武丽,2006),第二,注册会计师自身存在专业胜任能力不足的问题,不能胜任内控审核业务;第三,注册会计师缺乏勤勉尽责的职业态度。从2008~2009年披露的内控审核报告可以发现,在公司自评报告已经披露实质性漏洞的情况下,事务所依然出具无保留意见,可推测出注册会计师缺乏勤勉尽责的态度,对内控审核的重要性认识不足。虽然财务报告内控审核的对象有其特殊性,对注册会计师的要求不能太高(张龙平,陈作习,2009),但是笔者认为注册会计师应注重自身业务能力的提高,以更好应对新业务带来的挑战,特别是配套指引的颁布,为注册会计师实施内控审计提供了方向及具体标准,故更应以勤勉尽责的态度对待新业务。
由表4我们发现浦发银行一共披露了表1中九类实质性漏洞的七类,占漏洞总类的77.78%。其中职责划分与授权这一类达到了7项,2000年、2001年的内控“三性”说明书中各披露了2项,2008年的内控自评报告中披露了3项。可见职责划分与授权是最为常见的缺陷,这在银行业中是普遍存在的,也与我国银行业竞争激烈的现状相关,一些银行以“存款第一”为衡量银行工作业绩的唯一标准,重业务轻管理,致使分支机构网点对雇员的违规操作熟视无睹,结果酿成了一系列的恶性案件。技术问题、培训、子公司特定式与高级管理层是另外比较常见的缺陷,其中高级管理层这一项分别出现在2000年与2001年的内控“三性”说明书中各一次,2007―2009年未再出现过,这说明随着内控重要性的不断提升,公司高级管理层逐渐认识到内控制度建设与运行的急迫性,井表明了加强内控体系建设的决心与态度,也付出了巨大的努力。技术问题分别出现在了2000年、2001年、2008年的报告中,说明构建规范的内控体系对于上市公司而言确实是一个巨大的挑战。需要公司付出高昂的设计成本以及曰后的运行与维护成本。培训问题一方面与银行之间竞争过度导致大量招聘人员而培训不到位有关,另一方面在于内控体系的实施与完善需要公司各级员工的参与。这需要公司不仅重视内控体系的设计与建立,更应该重视执行人的专业理解能力与操作能力,应加强内控文化理念的推广及实施全员培训体系。子公司特定式主要反映了分支银行对信用风险的控制力度不够,期末报告与会计政策与账户特定式都出现在了2009年的报告中,这在以前的年度中均未出现过,反映出公司的内控缺陷存在多样性、扩散性的特征,需要公司对内控体系进行完整的排查,扫除一切可能存在的漏洞,浦发银行对于披露的实质性漏洞提出了相应的整改措施及达标时间表,反映出公司内部良好的内控环境与高管坚决的执行力。
三 结论与政策建议
经过研究我们发现:内控“三性”说明书内控自评报告及内控审核报告是披露公司内控状况的主要载体,而内控实质性漏洞的披露主要集中于内控“三性”说明书及内控自评报告中,董事会承担了维持完善内控系统的责任,而监事会和审计师对内控信息的监督流于形式,公司年报没有完整连续的披露公司内控信息,在特定年份未披露内控报告,存在应付监管机构、避免遭受处罚之嫌。在《企业内控基本规范》颁布后,公司披露的自评报告遵循基本规范中规定的基本要素分类进行披露。形成了较为固定的披露模式内控实质性漏洞主要与职责划分与授权、技术问题、培训子公司特定式与高级管理层有
关,实质性漏洞信息的披露并非公司的自愿行为,而是在遭到监管部门的处罚后被迫披露的。
鉴于此,笔者对完善内控实质性漏洞信息披露作出如下几点建议:
内部控制起源于西方,尤其是自1992年9月,美国反虚假财务报告委员会的发起组织委员会(COSO)了一份报告《内部控制:整合框架》,提出了内部控制的三项目标和五大要素,标志着美国的内部控制进入了一个新的发展阶段。
内部控制这一概念导入我国不过近10年的历史。2008年6月28日,财政部、证监委、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,了《企业内部控制基本规范》。2010年4月24日,五部委在北京正式《企业内部控制配套指引》,标志着我国的内部控制体系建设取得重大突破,进入了一个全新格局。
二、提升认知水平
从某种程度上来讲,内控真正引起国资管理部门和国企经营管理者的重视不过也就是近几年的事情。因此,很多企业对内控的认知水平并不高,认识往往仅局限在内部监督或内部控制制度等简单层面,并未了解这种模式的优点是增加了风险评估要素,可以利用已经发生的事情来进行分析,减少事后发生风险的可能性,使它成为一个既控制舞弊又控制风险的控制模式。例如,通过内控测试发现,下属企业与营业执照经营范围无“食品批发与销售”资质,食品流通许可证经营方式为“食品销售管理”,而非“批发”或“零售”的供应商有采购业务往来,我们可以判断出潜在的风险,若出现食品质量安全问题,可能使企业遭受经济损失、信誉损失,引发企业的经营风险及法律风险。由此可见,企业内部控制的目标之一是要将从控制事后风险逐渐向控制事前风险过渡和转化。通过控制风险,企业内部控制将会同步发现自身问题和机遇,有利于企业持续、健康发展。
因此,董事会、监事会、管理层及全体员工对内控的认知程度,直接影响了内控的建设和实施,企业的内控建设首先要扫清的障碍是对内控认知的混乱,提高全社会、各企业对内控建设的正确认知乃重中之重。
三、浅淡内控规范实施
根据“五部委”要求,内控评估实施时间自2012年1月1日起在上海证券交易所、深证证券交易所主板上市公司施行。为有序、适时、稳妥、有效落实该项工作,拟作分步推进。
步骤一、制定年度内控实施工作方案及具体行动计划
企业年度内部控制规划实施工作方案要求涵盖公司基本情况、内部控制工作的组织领导、内部控制建设工作计划、内部控制自我评价工作计划及内部控制审计工作计划。
公司基本情况应包括公司简称、股票代码、上市情况、组织架构、公司性质、资产规模、经营范围、控股子公司情况、参股公司情况等。
内部控制工作的组织领导应明确①公司设立内部控制推进工作小组、内控规范实施工作负责人、牵头部门及内部控制推进工作小组成员、组长、副组长等。②聘请外部咨询机构为公司在内控规范实施工作中提供相关专业支持。③内部控制规范实施工作预算费用。
内部控制建设工作计划应首先制定内控缺陷整改方案,根据已查找出的内控缺陷,完成内控缺陷整改方案。其次落实内控缺陷整改工作,各责任部门根据内控缺陷整改方案完成整改工作;计划财务部、董秘室、审计室等检查整改效果。再次确定内控实施工作情况披露,董事会将按照上市公司信息披露要求,在定期报告中及时披露内控实施工作情况。
内部控制自我评价工作计划应包括①拟定自我评价工作计划,明确纳入评价范围的子公司和业务流程,确定评价工作的时间表、人员分工等;②确定内控缺陷评价标准,根据《企业内部控制评价指引》对一般缺陷、重要缺陷和重大缺陷的定义确定评价标准,评价标准将包括定性标准和定量标准;③组织实施评价提出整改建议,根据经批准的内控自我评价计划,组织实施内控自我评价工作,提出整改建议;④编制并披露内控自我评价报告,根据缺陷评价汇总表和责任部门及所属企业整改情况,编制内部控制自我评价报告,报经董事会批准,审议通过后按照监管要求对外披露。
内部控制审计工作计划应确定内控外部审计机构,对以某年某月某日为基准日的财务报告内部控制设计与运行有效性发表审计意见,出具内部控制审计报告。
具体行动计划分解到月,列明每月内控工作推进的内容、责任人、工作目标及需要协调资源等。
步骤二、明确内控工作组织领导和工作小组
首席执行官为内控规范实施工作负责人,并由审计室牵头与纪检监察室、董秘室、办公室、计划财务部、投资发展部、人力资源部等相关人员组成内部控制推进工作小组;下属各企业的董事长或总经理为本企业内部控制第一责任人。
步骤三、搭建培训师队伍,开展《企业内控手册》专题培训
抽调总部各职能部门专业人员担任培训师,结合实际,就《企业内控手册》涉及各专业板块的风险描述、风险控制对下属企业进行专题培训,并有合格会计师事务所内控专家对关键风控点作点评。
步骤四、启动内控宣贯动员大会
首席执行官作内控宣贯总动员,学院内控教授或行业内控专家配合总动员作《企业内控与风险管理》专题报告,以生动、形象、深刻的案例说明内控工作的重要性。出席对象总部各职能部门负责人、企业总经理、财务总监、审计主任等部门负责人。
步骤五、各类测试模版的编制
组织相关人员着手编制《内控规范自我评价调查问卷》、各主流程内控独立测评测试程序及《内控测试工作底稿》模版等。关键内控活动测试工作表应包括被测试单位名称、测试业务流程、子流程、控制责任人、控制活动编号、控制活动描述、控制类型、控制频率、样本量、测试程序、测试记录、测试结果等具体内容。
步骤六、下达《关于开展企业内部控制规范自测自评的通知》
《通知》中应明确自测自评范围、自测期间、自测方式、自测跟踪、测试评估等相关要求。
自测自评范围,某公司所有附属公司,包括各分公司、子公司和总部各部室。
自测期间,总体以某年工作轨迹作为自测自评重点。总部职能部门及所属相关企业以某年第一季度作为自测自评重点;自测跟踪扩展到某月份;测试评估扩展到评估日。
自测方式,总部职能部门及所属相关企业依据总部下发的《内部控制规范自我评价调查问卷》所涉及公司层面、财务报表编制与披露、长期股权投资管理、人力资源管理、固定资产管理、无形资产管理、合同档案管理等某个主流程,某个子流程的相关内容,逐项逐条认真对标。
对标使用文件:总部各职能部门对标使用附件二①,某板块对标使用附件二②,其他企业对标使用附件二③。
各相关企业及部门应将对标情况,如控制描述是否有变化、控制设计是否有效、控制执行是否有效等如实、完整记录在问卷中,并妥善保存对标的相关资料,以备核查。同时,根据对标记录反映的结果,形成本企业、本部门的自测自评报告。
自测跟踪,企业完成对标工作后,总部各职能部门应组织力量对各企业对口部门进行后续跟踪,并应就跟踪发现的未达标情况,提请企业限时整改。同时,将跟踪情况形成汇总报告,提交总部内控工作推进小组。
测试评估,总部内控工作推进小组将派内控规范测试小组,对纳入评价范围分子公司,按照确定的关键业务流程及其控制活动的测试程序进行测试。
步骤七、构建两支队伍,做好测试跟踪及测试评估
一支队伍,由总部各职能部门专业人士组成,落实《通知》要求的自测跟踪;另一支队伍,由总部内审与外部专业人士共同组成测试小组,落实《通知》要求的测试评估。
步骤八、进行现场测试
通过现场访谈,了解被测试企业所涉及的关键业务主流程内控设计和执行有效性;并对相关子流程所对应的控制活动实施实地测试、穿行测试、抽样测试等。
步骤九、编制、复核测试工作底稿,出具内控测试报告
测试小组编制、复核被测试企业测试工作底稿,并与被测试企业就测试情况进行沟通,交换意见,形成测试结果和整改建议汇总表,出具被测试企业内控测试报告。内控测试报告内容涵盖项目立项依据、被测试企业、测试期间、测试流程、测试方法、测试结果及测试发现的问题、存在风险及整改建议等。
步骤十、下达整改任务书
中图分类号:F840.32 文献标识码:A 文章编号:1006-4311(2016)20-0220-03
0 引言
改革开放以来,随着中国经济的快速发展,保险业在社会保障体系中发挥着越来越重要的作用。社会财富不断积累,社会公众的保险需求也不断提升,保险业保费规模快速扩张。回顾保险业三十余年的发展历程,除了九十年代后期销售的高预定利率保单之外,保险业务的资产和负债质量一直较好。近年来,为进一步提升保险消费者权益,更好地匹配资产和负债,增强保险公司经营的灵活性,保监会逐步放开了投资渠道和比例限制,分阶段地完成了保险产品费率市场化改革。在此大时代背景下,保险公司的风险特征发生了重大变化,权益资产和另类投资比例大幅上升;部分公司采取短负债、长资产的配置策略,流动性风险凸显;随着信息系统的集中和互联网技术的广泛应用,以信息技术风险为核心的操作风险也日益增加。如何做好新时期偿付能力监管成为保险监管的核心问题。中国风险导向偿付能力体系(以下简称“偿二代”)应时而生,该体系与2008年金融危机后国际金融监管普遍采用的三支柱模型理念一致,除了更加科学的计量保险公司的风险外,对保险公司的偿付能力风险管理能力提出了明确要求,同时借助各利益相关方的力量共同监督保险公司保持充足的偿付能力水平。本文拟探讨建立健全偿二代时期的偿付能力管理体系的重点和应关注的事项。
1 国际偿付能力监管模式
受各国保险市场经济环境、发展背景和水平等差异,目前保险业尚未建立起全球统一的偿付能力监管规则。从整体上看,偿付能力监管模式主要有两个代表性模式:一是欧盟体系(欧盟Ⅰ、欧盟Ⅱ);二是美国风险资本制度(简称RBC)。国际保险监督官协会正在组织全球大型保险公司进行国际资本监管标准的制定和实地测试工作,预计2019年开始实施共同框架。该规则体系也是以风险为导向,以合并报表为基础,充分反映保险公司风险状况,加强资本监管。
2 偿二代监管体系解析
偿二代偿付能力监管规则体系(1-17号监管规则)自2015年进入过渡期,2016年开始进入正式执行阶段,各保险公司停止执行原偿付能力监管规则体系。在偿二代监管体系下,偿付能力监管将依托于三个支柱开展:
2.1 第一支柱 第一支柱的核心在于风险量化。在偿一代体系下,风险与保险责任准备金、风险保额等挂钩,不直接体现资产风险。随着保险公司投资渠道的放开,特别对于寿险公司,风险主要来源于资产端和资产负债的匹配情况。在偿二代体系下,最低资本与风险直接挂钩,根据可量化风险(保险风险、市场风险和信用风险)大小计算最低资本要求。计算方法更加的复杂,对资产基础数据数量和质量要求也大大提高。除了可量化风险外,还引入了控制风险最低资本要求和附加资本要求(如系统重要性保险公司、顺周期资本要求等),使得资本涵盖的面更广泛。从2016年1季度披露的季报摘要来看,保险公司实际资本和最低资本都大幅度上升,资本溢额大幅增加,保险公司偿付能力充足率出现一定的分化,风险较高的公司的偿付能力充足率有所下降,体现出了风险导向的设计理念。
2.2 第二支柱 第二支柱主要包括偿付能力风险管理能力评估和分类监管。其中,风险管理能评估涵盖七大类风险,对每类风险管理提出具体的要求和评估标准。保监会将每年组织对保险公司偿付能力管理能力进行评估,此种做法与欧盟Ⅱ有相似之处,创新点体现在将评估得分与最低资本要求挂钩,以80分为分界线,80分之上可以减少资本,80分之下将增加资本要求。这一创新将偿付能力管理水平与资本要求相联接,风险管理直接创造价值,将大大推动保险公司提升风险管理水平的积极性。分类监管也体现出中国特色,保监会将在法人单位和分支机构两个层面上根据公司偿付能力状况和风险状况,对保险公司进行评级。与偿一代相比,评级与风险挂钩,风险越大,评级结果就越低。
2.3 第三支柱 受限于监管资源与成本,现代金融监管越来越重视信息披露的重要性,通过提升保险公司透明度引导各利益相关方关注和督促保险公司加强偿付能力水平。在偿二代体系下,信息披露分为定期披露和日常披露两个层面。定期披露主要是要求保险公司每季度披露季报报告摘要,其中包括偿付能力状况、风险综合评级结果和现金流状况。日常披露主要是在影响保险消费者投保和续保的关键环节,主动告知偿付能力状况和风险综合评级结果。从监管规定上看,不仅投资者和分析者将高度关注偿付能力状况,保险消费者也会逐步了解并作为购买决策的重要依据,进而影响产品销售。
3 构建偿二代下偿付能力管理体系的紧迫性
偿二代不仅涉及风险量化,更加强调风险管理和信息披露。与偿一代相比,体系更加完整,三支柱之间逻辑更加一致。偿二代自2016年起执行,建立健全偿二代下偿付能力管理体系势在必行。
3.1 从外部因素上看,是监管合规的必然要求 按照监管要求,保险公司必须履行定期披露和日常披露要求。从执行的角度来看,主要存在两大困难,一是基础数据;二是复杂大量的计算。在监管要求的时限内(每个季度结束后25日内)按时、准确完成报告编制将是一件挑战性极强的工作。对于保险公司来说,特别是中大型保险公司,资产分散在不同的投资管理人进行管理,及时获取上百维度的资产信息难度极大。欧洲保险公司在实施欧洲偿付能力监管要求时也遇到了类似的问题。此外,最低资本的计算方法上除了因子法外,还大量采用了情景对比法这种需要进行大量计算的方法,这也对按时完成信息披露带来了非常大的压力。在偿二代体系下,量化计算需要投资、财务、精算等相关部门密切合作,在组织壁垒分明的保险公司中,如何建立顺畅的工作机制也是一大难题。
3.2 从内部管理上看,是提升价值和企业竞争力的迫切需要 偿二代体系正式实施之后,将推动全面风险管理在保险公司真正的落地。风险管理做得好的保险公司,不仅能够降低最低资本要求,提升股东回报,还能够提升风险综合评级结果,进而在市场上树立起管治良好的品牌形象,从而有利于保险产品销售。反之,如果风险管理能力和水平较差,不仅会加大保险公司自身风险,通过信息披露,影响公司品牌形象,形成恶性循环。因此,在偿二代体系下,保险公司风险管理水平将逐步成为竞争优势。
4 风险导向偿付能力体系国际实施经验分析
从偿二代体系和内容来看,与欧洲第二代偿付能力监管体系相似度较高,以下通过分析欧盟II执行过程中遇到的难点问题和关注的重点领域,为我国保险公司做好偿二代建设工作提供参考。
4.1 报告和信息披露方面 按照欧洲监管要求,欧II实施分为两个阶段:过渡阶段和正式实施阶段。在过渡期内,2015年保险公司季度报告需要在季度结束后8周内提交,年度报告需要在年度结束后的22周提交;自2016年开始,季度报告需要在季度结束后的8周内提交,年度报告需要在年度结束后的20周内提交。转入正式实施后,季报报告需要在季度结束后5周内提交,年度报告需要在年度结束后14周内提交。为达成监管要求,欧洲保险公司主要遇到以下困难:
①工作流程方面的挑战。报告编制的时间大大缩短,要求建立快速高效的工作架构。由于欧II技术方法的复杂性,工作流程变得更加的复杂,除了财务部门外,风险、精算、内控、税务和投资等部门都要参与到流程当中,需要建立强有力的内控流程,确保按时准确完成报告编制。除偿付能力报告之外,公司还需要兼顾会计报告和内含价值报告等。
②基础数据方面的挑战。需要充分理解复杂的监管规则,并在整个报告流程中获取必要的信息,并确保来自于不同来源的信息的一致性和准确性。尤其是资产方基础数据,资产数据分散在托管行、保险公司、资产管理公司以及其他第三方,现有的资产数据不能满足欧II的需要。
③信息系统方面的挑战。鉴于时间和质量要求,必须要建设财务编制信息系统,提供自动化编制的解决方案,涵盖基础数据的获取、存储和检查,将财务和风险数据进行整合,建立系统内部控制,保证数据的质量和安全。
从保险公司准备情况来看,大部分保险公司正在制定报告流程、建立报告系统。领先的保险公司在报告流程方面主要将偿付能力报告流程与其他报告流程进行整合,健全报告编制内控流程;在数据管理方面,梳理整合欧盟II和其他报告的基础数据要求,自动化基础数据获取,提升基础数据质量。
4.2 偿付能力风险管理方面 欧盟II的二支柱要求保险公司进行风险自评估,并提交评估报告,内容主要涵盖资本管理、风险管理和战略规划。欧洲保险公司主要在以下遇到潜在的挑战:一是全面风险管理,建立健全风险偏好体系,对重要风险形成风险容忍度,并制定风险限额;二是偿付能力评估和业务规划,识别未来偿付能力变化趋势,制定偿付能力和流动性应急预案,将压力测试、持续性分析和风险调整评价体系与公司战略计划相融合;三是风险治理架构,耗费大量时间确定各类风险管理责任人,健全三道风险防范体系,大部分中小保险公司难以有效开展风险监测;四是信息披露,大部分保险公司需要公开披露风险管理框架、流程和自评估情况。
5 做好偿二代下偿付能力管理需要关注的重点领域
从2016年开始,偿二代监管正式开启。保险公司应当以偿二代实施为契机,化挑战为机遇,苦练内功,持续提升偿付能力风险管理水平,打造核心竞争力,树立良好的市场形象。笔者认为,保险公司应当从以下几个方面着手,打造符合自身特点的偿付能力管理体系。
5.1 偿付能力管理架构 偿二代的监管体系较偿一代更加精细,更加贴近风险,同时也对保险公司提出了更多要求。偿一代的方法较为简单,与公司内部风险管理的关联度不大,体现在治理架构上,董事会主要是负责报告的编制和资本补充,发挥的作用有限。在偿二代体系下,风险状况与资本要求直接挂钩,体现了现代风险管理的基本原则,基于监管资本规则结合公司实际建立健全内部管理体系将成为一种必然的选择。此外,监管机构也赋予了董事会在信息披露方面更明确的职责。这就要求保险公司自上而下的建立起偿付能力管理体系,以董事会及其专业委员会作为偿付能力管理的最终决策机构,对偿付能力政策、资本管理、偿付能力风险容忍度等重大事项进行决策,监督公司偿付能力状况,在出现偿付能力危机时,及时组织开展自救工作。管理层负责落实董事会确定战略、方针和政策,明确偿付能力管理主责部门,及其他相关部门的工作任务,将各项工作要求落实到具体流程、具体部门和具体岗位,体现在部门和岗位绩效考核中,将偿付能力管理体系融入公司整体运营架构。
5.2 偿付能力管理制度 制度体系和管理政策是各项管理要求落地的基础和手段。在偿二代体系下,保险公司应当首先建立起整个公司的偿付能力管理制度,明确偿付能力管理的目标、组织架构、部门职责、工作任务和关键工作流程。在总领办法的引导下,还需要制定具体的工作制度。第一支柱下,需要建立起偿付能力报告制度,明确资产、负债基础数据管理要求,制定各部门间配合的工作流程,明确工作任务和时间要求,确保各类偿付能力报告能够在监管要求的时限内完成。此外,还要针对重点难度问题,编写技术手册,控制操作风险。第二支柱下,需要建立起两个自评估制度,一是偿付能力管理能力自评估;二是分类监管自评估。自评估不仅更好地支持监管部门对保险公司开展评估工作,更重要的是建立自检程序,不断提升偿付能力管理水平。第三支柱下,需要建立偿付能力信息披露制度,明确日常披露和定期披露各项要求如何在公司各部门、各信息系统中得到落实。同时,加强对销售人员、柜面人员、客服人员等的教育培训,向保险消费者传递正确的信息,从而树立专业良好的市场形象。
5.3 基础管理能力建设 偿二代三个支柱的要求是上层建筑,要确保监管合规,并进一步提升管理水平,保险公司必须要打下坚实的基础。一方面是认清偿二代对专业人员的要求。偿一代下偿付能力以会计报表为基础,最低资本仅以保险负债规模和风险保额挂钩,各项专业职能之间的联系不多,可以在简单对接的情况下完成各项工作。偿二代下最低资本以资产和负债的风险特征为基础,需要收集、管理庞大的基础数据,其中大部分为非财务数据。要做好偿二代下的偿付能力管理,就要求管理人员具备投资、财务和保险精算等的相关知识。目前,公司内部和人才市场上少有这类人员,这就要求保险公司在做好内部专业人员调动的同时,主动规划好偿付能力管理人员的培训计划,使其具备工作所需的专业技能。另一方面是注重信息系统建设。及时获取高质量的信息是开展偿付能力管理的基础和前提。需要建设或改造的系统可能包括财务和报告系统、精算系统、风险管理系统以及业务核心系统。各保险公司根据自身情况确定具体的方案和实施路径,但是快速提升信息系统支持水平是迫在眉睫的一项工作。
建设“三位一体”的管控机制
在内部控制治理架构与体系方面,中国平安董事会对内部控制的有效性负最终责任。中国平安董事会是一个依托本土优势并践行国际化公司治理标准的董事会,现有19名董事中,有3名独立非执行董事及5名非执行董事来自海外,这些海外董事均为金融、保险、财务、法律等专业领域的资深人士,负责内部控制的建立健全和有效实施,董事会下设审计与风险管理委员会,负责监督、审查公司内部控制的有效实施和内部控制评价情况,协调内部控制审计及其他相关事宜。
中国平安集团设立内控管理中心,包括合规部、风险管理部、稽核监察部;各专业公司层面设立相应的合规、风险管理、稽核监察职能部门。公司持续优化内部控制体系,在公司副总经理兼首席稽核执行官叶素兰(其作为首席稽核执行官根据《审计与风险管理委员会工作细则》直接向董事长、董事会审计与风险管理委员会报告工作,以确保独立性)的统筹协调与管理指导下,不断加强“合规管理、风险管理、稽核监察”三个模块职能的分工与协作,强化工作衔接与信息共享以及“事前、事中、事后”的三位一体风险管控机制。叶素兰向《董事会》表示,“三位一体”指三个专业部门在风险管控中分工、配合与协作,强化事前、事中、事后风险管控。其中,合规部门主要履行“风险事前策划应对”,风险管理部门主要履行“风险事中监测控制”,稽核监察部门主要履行“风险事后监督报告”。业务部门是风险管控的第一道防线,中国平安通过建立内控评价与考核问责,将内部控制与日常经营管理融合,嵌入业务和流程,确立内部控制的核心驱动力,将风险管控尽可能前置。合规部门和风险管理部门是第二道防线,稽核监察部门是第三道防线。
针对综合金融可能存在的关联交易、风险转移、资本重复计算等风险,中国平安通过建立完善严格的“法人防火墙”、“财务防火墙”、“交易防火墙”和“信息防火墙”等防火墙制度,将单一/累积风险控制在远低于集团可接受的水平范围内。
值得一提的是,平安一直致力于建立一个以国际领先综合金融服务集团为目标,与自身业务特点相结合的全面风险管理体系。其通过完善的组织架构、规范的管理流程、定量与定性相结合的风险管理技术方法,进行风险的识别、评估和控制,支持业务决策,促进集团有效益可持续健康发展。
中国平安总经理任汇川对《董事会》感慨道:“风控体系非常独立和严格,集团强调法规+1,之所以能放心也是因为有这套体系。”
完善内控评价机制
内控评价机制方面,中国平安确立了以内控评价方法论为基础,覆盖全部业务部门进行内控自我评价,风险管理部门进行内控风险评估,稽核监察部门成立专门的评价小组进行内控独立评价,外部审计师对公司内控状况进行审计的内控评价机制。
中国平安的内部控制评价工作严格遵循相关外部监管规定及公司内部控制评价办法规定的程序执行。由公司合规部牵头,会同各业务及相关管理部门进行管理层内控自评,由公司稽核监察部实施内控稽核独立评价,相关责任部门根据内控缺陷及整改建议制定并执行整改计划。中国平安不断完善管理层内控自评和内控稽核独立评价流程,通过加强项目管理、过程管理、质量复核、固化项目方法和程序、评价结果分类等内容,规范管理层内控自评和内控稽核独立评价工作的开展。公司通过内部控制系统平台,完成内部控制评价的发起、测试、汇总、复核、审批、整改追踪、结果分析等工作。管理层内控自评和内控稽核独立评价过程中,公司通过访谈、资料收集与研讨、专题研讨、与行业最佳实践对比、培训等方式,收集、确认、分析相关信息,确定与实现公司整体控制目标相关的风险,并在此基础上辨识与细化相对应的控制活动,然后针对控制活动进行穿行测试和运行有效性测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并书面记录工作底稿。从定量和定性等方面进行衡量,判断是否构成内部控制缺陷,对发现的内部控制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确认。
中国平安外部审计师安永华明会计师事务所对其财务报告内部控制发表的审计意见认为,于2011年12月31日中国平安按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
打造信赖工程
通过开展药品安全专项整治工作检查评估,进一步加强药品安全监管,把药品安全工作作为重要的民生工程,坚持标本兼治、着力治本。落实“政府负总责、监管部门各负其责、企业是第一责任人”的药品安全责任体系,促进医药产业又好又快发展,确保公众用药安全
二、基本原则
遵循“立足实际、实事求是、标准量化、客观公正”的原则。
三、检查评估对象及实施机构
(一)检查评估对象:各乡镇人民政府、街道,各相关部门,药品及医疗器械流通、使用各环节的企事业单位。
(二)区药品安全协调领导小组负责实施全区药品安全专项整治工作检查评估,指导各部门开展药品安全专项整治工作的自查自评,组织有关部门组成联合检查组,对我区药品安全专项整治工作进行检查。
四、检查评估的内容及标准
(一)各乡镇人民政府、街道及相关部门药品安全专项整治工作开展情况。重点检查组织领导、整治重点、安全保障、宣传信息与责任体系建设等方面检查评估药品安全专项整治工作的成效。检查评估标准详见《药品安全专项整治工作检查评估表》(附件1,其中评估内容中的第3项产业结构调整、第6项药品生产监管和第9项药品、医疗器械审评审批工作因不属于我区药品监管事权范围,检查评估时不需进行评估)。
(二)药品(包括医疗器械)质量状况评估。以药品(尤其是基本药物)抽验、监督抽验和质量分析报告为依据,重点评估辖区内基本药物、特殊药品及血液制品、生物制品、注射剂等高风险产品的质量状况。
(三)药品安全群众满意度。主要包括对国药准字公信力的评价、对打击假药的看法、对政府工作的满意度、对药品广告的意见、对安全用药知识的掌握。
(四)企事业单位自查自评情况。主要包括药品经营质量管理规范(GSP)标准的执行情况,药库药房规范管理执行情况,经营使用药品(基本药物)和高风险产品企业风险控制情况,电子监管码实施情况,质量受权人制度落实情况,企业自主创新能力,药品医疗器械研发资料的真实性,诚信建设,规范医院制剂使用和临床用药管理等。(附件2)
五、检查评估方式方法
(一)检查评估方式:采取逐级自查自评与检查评估相结合的方式。
(二)检查评估方法:采取听取汇报、查看资料、现场检查、召开座谈会、问卷调查等方法,全面了解被检查评估对象开展药品安全专项整治工作情况。
1.听取汇报。听取区药品安全协调领导小组和各相关监管部门的工作汇报。
2.查看资料。查阅专项整治工作文件、会议纪要、工作报表以及有关工作制度规定、违法犯罪案件查处卷宗、新闻宣传等资料。
3、现场检查。随机选择药品经营、使用单位进行实地检查。
4、召开座谈会。召开涉药单位、行业协会和群众代表参加的座谈会。
5、问卷调查。对经营和使用单位的员工、药监执法人员等进行随机访问和调查。
(三)评分办法:采取具体工作量化评分的方法,分项加权汇总,共分以下四个部分:
1.综合评估。主要评估相关监管部门药品安全专项整治工作完成情况(附表规定的内容,不需评估的内容作为合理缺项,不扣分)。分值100分。
2.药品(含医疗器械,下同)质量状况评估。以抽验结果和药品质量分析报告为依据,自我评价质量状况。分值100分。
3.药品安全群众满意度。通过发放问卷调查,自我评价群众满意度。分值100分。
4.企事业单位自查自评情况。依照《药品安全专项整治自查整改情况表》,采取具体工作量化评分的方法,由区药品安全协调领导小组参照各企业自查自评报告、按照评分标准内容检查评分,并随机抽查核实。各项评分汇总后,得出总评分,满分100分。《自查自评情况表》中,企业不涉及的项目可做为合理缺项,在表中的“自查得分”中注明,其合理缺项分值要计入总分中。
以上4项评分加权汇总后,得出总评分,满分100分,并根据各部门开展专项整治工作的突出成绩和明显不足,在总评分的基础上可适当加减分,分值为±5分。最后得分95分以上为优秀,94-85分为良好,84-80分为合格。
六、工作安排
(一)年8月5日前,结合辖区内实际情况,制订药品安全专项整治工作检查评估实施方案。
(二)年8月7日前,药品经营企业、医疗机构等单位完成自查自评工作。