一个企业在生存、发展的过程中,必定会面临各种各样的风险,如决策管理风险、政策法规风险、制度缺陷风险、流动性风险、市场风险、信用风险和操作风险等。一个集团型企业还会面临其特有的风险,如内部交易风险、利益冲突风险等。这些风险可能通过内部和外部两条渠道,对企业的日常运行过程形成冲击,从而使得企业内部出现非均衡变化,导致风险积聚,并最终发生崩溃。在风险面前,企业并不是无能为力的,可以通过建立内控体系来防范和化解风险。
一、太保集团始终高度重视内控体系建设
从传统的复核、牵制等控制手段到以财务会计活动为中心的会计控制,再经内控整体框架理念而至目前的企业全面风险管理,随着理论和公司实践的发展,公司对内部控制的认识越来越深刻。
一是内控基本规范在形式上是一项监管政策,必然导致监管机构对公司内部控制检查的重视,将会成为监管机构重要的检查内容和工具。
二是企业内控规范不仅体现监管者的意志和要求,更是保险公司自身生存和长期健康发展的必然需求,是为保险公司取得成功而提供的合理保证,也是公司核心竞争力的体现,是公司成功的关键要素之一。
三是内控基本规范不仅指导保险公司各级机构、各岗位人员如何开展内部控制建设,而且是保险公司开展内部控制自我评价、社会审计机构开展内部控制审计见证业务的准绳。
四是实施的紧迫性。作为在境内外同时上市的保险公司,应当自2011年1月1日起实施企业内控基本规范、配套指引以及保险公司内部控制基本规则。尽管公司在过去做了大量工作,但是对照这些规范、指引、基本规则,公司还存在不足,还需要在短时期内完善内控建设的各项工作。
五是内部控制基本规范的颁布和实行是我国监管机构努力打造公平竞争环境、提升资本市场价值的重大战略举措,保险公司作为金融市场中的重要力量,应当努力适应和遵循。
六是目前的规范体系尚不完整,关于保险专业领域的具体应用指引也未出台,综合经营的保险集团所需的银行、证券业务内部控制指引也未出台,各保险公司还需遵循基本规范中确定的内控基本原则并结合自身实际,制定和实施适当的内部控制。
二、太保集团构建内控体系的主要历程
过去几年,公司始终注意跟踪内控理论、监管政策、行业最佳实践的发展和变化趋势,自身的内控建设工作在不同阶段体现了各自的特点和重点。
1.围绕风险最大的领域开展重点治理(1998—2001年)
建司之初,整个集团遵循“集团化管理,专业化经营,市场化运作”的原则,实行3个法人分别运作,各自按照中国保监会颁布的《保险公司内部控制制度建设指导原则》建立了内控制度,实施了以“三集中”(资金、财务、业务)为特征的内控模式。
2.引入COSO模型开展内控建设(2002—2006年)
2002年起,公司在实施海外上市战略的过程中,充分认识到公司在内控建设理念和控制措施方面与国际最佳管理实务的差距,启动了财务管理和内控架构咨询项目,在普华永道的支持下,完成并实施了财务管理标准操作流程、业务标准操作流程以及内部审计标准化,初步构建了以“三道内控防线”(流程控制、合规管理和内审监督)为特征的内控体系。
2005年以来,按照“内控严密、运营安全”的要求,从制度完善和制度落实两个方面入手,强化内控整体框架建设,不断完善内部控制制度,稳步推进“集中控制,资源共享”的管理架构,把风险管理和内部控制制度落实到每个基层、每个部位、每个环节,全面提升整个集团的风险防范能力。
2006年末,集团公司进一步明确了自身的职责,将职能定位为“战略规划、政策制定、风险监控、资源统筹”,并据此开始实施新一轮管理变革,精简组织结构,把合规和风险管理摆到突出的位置,内部审计也正朝着国际内审准则和最佳实务靠近。
3.引入内控评价机制强化内控建设(2007—2009年)
一是发布内控评价办法。2007年,根据中国保监会关于人寿保险公司内控评价办法,建立和实施了整个集团的内控评价机制、方法、流程和报告体系。
二是制定内控审计评价指南。2008年起,公司发布了内控审计评价指南,根据COSO模型和公司主要业务,逐一注明风险点、关键控制、审计步骤,给审计人员全面评价机构的内控情况提供了操作指南。
三是引入内控的审计鉴证。通过招标,公司在2008年度、2009年度连续聘请社会审计机构对公司内控情况开展独立审计,并在年报中披露了内控审计报告。
四是建立内控缺陷审计评级制度。参照企业内控基本规范和保监会相关规定,公司在2009年建立了以控制矩阵为框架、评级规则为基础的内部控制审计评级模型。通过梳理集团及各子公司业务经营管理领域的各项控制,形成由33个控制领域和196个控制事项组成的、符合各级机构业务特性的控制矩阵,对内控缺陷提供准确定位;采用风险评估工具,从财务影响、非财务影响以及发生可能性等方面建立了内控缺陷等级评价标准和评价规则,为量化内控缺陷的风险等级提供统一的依据。运用内部控制审计评级模型,公司识别出内部控制的薄弱环节和风险等级,初步形成了公司内部控制风险地图,反映各级机构和各业务领域的内控现状,并进一步分析成因,不断完善内控措施。同时,也为开展以风险为导向的内部审计提供了技术支持。根据评级结果,确立了审计所需要重点关注的机构、业务领域以及相应的审计方式和审计频率,合理调配审计资源,提高审计效能。
五是开发内控管理信息系统。2009年开发完成了内控信息管理系统,包含内控评价模块、内控缺陷整改模块,加强了内控自评工作的规范性和效率,全面系统地记录内控缺陷及其整改进展情况。
三、太保集团进一步完善内控体系建设的计划
1.明确内控管理职能部门,逐步实现内控建设职能的迁移
公司根据五部委《企业内部控制基本规范》及其配套指引、保监会《保险公司内部控制基本准则》的精神和要求,指定合规部门为公司内控管理职能部门,集团公司及各子公司已在合规部门设置了相应的内控管理处室,并逐步配备相关专业人员。在此基础上,公司原由稽核、审计部门承担的内控建设职能目前正稳步有序地迁移至合规部门。
2.贯彻落实内控准则要求,全面完善公司内控管理
公司制定贯彻落实五部委内控基本规范及其配套指引和保监会内控基本准则的工作计划,拟对照监管部门的内控要求,全面识别公司内控风险、梳理公司业务流程、完善公司内控管理。公司拟成立由集团公司主要领导、各子公司主要负责人、审计合规负责人组成的领导小组负责组织领导,协调推进本项工作。同时,为保障公司内控工作的高水准,拟适时聘请国内外知名中介机构协助公司实施本项工作。
3.组织培训宣传,培育内控文化
公司准备组织培训、宣传五部委《企业内部控制基本规范》及其配套指引、保监会《保险公司内部控制基本准则》,使公司上下了解监管要求,培养内控文化。
四、太保集团在构建内控体系过程中的几点体会
1.内控体系是一个多维的结构,覆盖业务经营和内部管理各个环节,贯穿决策、执行、监督、反馈的全过程,涉及各个部门和各级人员,不能认为只是针对经营管理者和部分职能部门,而是“人人有份、人人有责”。
2.内控体系体现了日常性、连续性的管理控制,而不是松紧式的、非连续性的管理控制,不能以运动式的检查监督代替连续性的控制机制。
3.随着环境的变化,业务的发展和新业务的出现,内控体系中的某些控制环节需要不断地更新和完善的,因此内控体系的建设是一项系统工程,应分阶段、分步骤实施,有计划地循序推进。
4.内控体系的构建必须以风险评估的结果成为起点,同时又必须将最终的监督结果反馈到风险评估系统中,通过分析问题的成因,为进一步完善内控体系提供依据,从而形成动态、闭合的风险管控循环,不断完善风险管控体系。
