風險自評報告大全11篇
時間:2022-05-01 09:15:55緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇風險自評報告范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
楊文斌認為,一直以來,防范和化解金融風險都是各國金融監管機關近幾年來的工作重點,實施嚴格的風險控制制度,有利于提高保險行業的穩健性,促進金融市場的公平競爭,保護被保險人利益,進一步為保險業的做大做強奠定基礎。制定并《指引》,有利于進一步提高國內保險資金運用的專業化管理水平,保證保險資金運用能夠按照安全和健全的方式運作,強化保險資金運用的穩健性;有利于加強從業人員的風險意識,促進保險公司建立強有力的風險控制機制和激勵約束機制;同時為進一步拓寬保險資金投資渠道做好充分準備。
作為平安保險集團的首席投資執行官,楊文斌指出,長期以來,中國平安一直高度重視保險資金運用的專業化管理,始終堅持“規范經營、嚴格管理、穩健發展”的經營方針,實施保險資金運作“安全性、流動性、效益性”的經營原則,貫徹“對客戶負責、對員工負責、對股東負責、對社會負責”的經營理念,不斷完善保險資金運用管理模式,積極引進全球先進的投資管理手段和國際一流的保險投資人才,構建全方位的風險管控體系,實現了資產規模和效益的同步增長,確保了保險資金長期穩定的保值、增值,連續幾年取得了較為理想的投資業績,在同業中始終名列前茅。
楊文斌介紹說,中國平安自1999年正式成立資產營運中心將保險資金進行集中管理和專業化運作以來,一直致力于建立一套既具有國際領先水平又能滿足平安未來發展的、成熟的風險管理體系。目前,中國平安的風險管理體系主要包括三個部分:投資決策機制、風險管理系統和內部管理制度。中國平安的投資管理共分三個層次,第一個層次為集團董事會,第二個層次為集團投資管理委員會、集團風險管理委員會,第三個層次為集團資產營運中心,同時在資產營運中心內設有專門的部門和崗位從事風險管理工作。這種投資管理組織模式的設立一方面有利于簡化投資管理流程,保證投資策略執行的一貫性、完整性、及時性和信息傳輸的充分性、即時性;另一方面則有利于消除系統性風險,使內部監督和反饋機制可以有效運行。
篇(2)
為貫徹落實省分公司對于風控監督的工作要求,督促、推動各主責部門、各經營單位對風控工作執行到位、取得實效,根據國壽人險蘇風函(2019)29號《關于下發<中國人壽>的通知》中對風險評估的要求,分公司擬開展主責條線自評工作。
一、時間安排
2021年1月20日-1月27日。
二、主要內容
篇(3)
摘 要:隨著我國壽險業反洗錢工作的進一步深入,建立科學、合理、操作性強的反洗錢自評估體系,不僅是理論研究的迫切任務,也是推行壽險業反洗錢工作方法的迫切需要,具有深遠的現實意義。為此,結合公司實際開展的反洗錢自評估工作,從COSO內部控制整合框架的角度,對如何建立一套符合行業實際的反洗錢自評估方法進行了初步探討。
關鍵詞 :壽險業;反洗錢;自評估
中圖分類號:F84.67 文獻標識碼:A doi:10.3969/j.issn.1665-2272.2015.01.014
1 反洗錢自評估的涵義及特征
關于內部控制自評估,世界內審協會給出的定義為:控制自評估是一個過程,它通過檢查和評估內部控制的完整性和有效性,以此保障經營目標得以實現。
反洗錢自評估屬于內部控制自評估范疇,是指有關機構或企業定期或不定期地對反洗錢內部控制系統進行評估,評估內部控制系統的有效性及其實施的效率效果,增強反洗錢責任主體的履責意識和履職能力,以期更好地達成洗錢風險控制的目標。反洗錢自評估不同于外部監管機構開展的反洗錢評估,反洗錢義務履行人是反洗錢自評估工作實施和結果運用的主體。因此,反洗錢自評估呈現三個方面的特點:
(1)反洗錢自評估是金融機構自身實施的評估工作,而不是由外部監管機構實施的;是金融機構反洗錢從業人員或內審人員評估、衡量機構內部的洗錢風險是否存在、控制是否有效的一項工作。
(2)開展反洗錢自評估的工作目的是為機構內部洗錢高風險或問題領域的改進搭建一個內部改進溝通的平臺。當自評估發現風險或問題時,自評估團隊的角色是協調員和風險與控制概念的傳授者,督導洗錢風險存在環節的部門或人員開展整改;
(3)反洗錢自評估具有一定的獨立性。自評估團隊一般需要上級機構或獨立于反洗錢職責履行部門的內審、合規部門人員組成。在自評估過程中能夠較為獨立地對被評估單位或部門發表評估意見。評估范圍和評估內容不受限制。
2 反洗錢自評估方法選擇及指標制定
反洗錢工作自評估的主要對象是反洗錢內部控制的有效性,即金融機構建立與實施內部控制對實現反洗錢控制目標提供合理保證的程度。從內部控制評價本身以及目前的發展情況來看,主要有詳細評價法和風險基礎評價法兩種方法。按照美國COSO委員會提出的《企業內部控制——整合框架》的有關內容,確定某一內部控制系統是否有效,需要通過對控制環境、風險評估、控制活動、信息與溝通以及監控活動等五個要素是否能夠協同發揮作用進行綜合評價,這些要素是衡量內部控制有效性的標準。
因此,遵循這一思路,反洗錢自評估的內容就是對金融機構反洗錢領域五個要素的有效性進行全面評價。
(1)控制環境類評估指標。組織開展控制環境評價,應當從組織機構設置、人力資源配備、培訓宣傳、工作規劃、制度健全性等方面著手。如:建立健全反洗錢組織機構情況、反洗錢崗位人員配備情況、反洗錢崗位人員履職能力、業務條線反洗錢人力培訓情況及履職能力、高級管理層反洗錢工作參與度、反洗錢工作計劃總結、獎懲機制建立情況(如表1)。
(2)風險評估指標。組織開展風險評估,應當從壽險產品及風險劃分情況、本機構(部門)所轄地風險突出環節、反洗錢工作薄弱環節及歷史洗錢案件發生情況分析認定和風險應對措施(如表2)。
(3)控制活動評估指標。組織開展控制活動評估,應當按照反洗錢內控制度要求,從客戶身份識別、交易記錄保存、大額和可疑交易識別和報送、風險等級劃分及評定等方面設計指標。如:客戶身份識別方面可以設計承保環節客戶身份識別指標、保全環節識別指標、理賠環節承保指標等(如表3)。
(4)信息與溝通評估指標。組織開展信息與溝通評價,應當從機構內部對監管制度傳遞學習、重要反洗錢相關信息上報和處理、與監管機構和上下級公司就反洗錢工作互動、各類監管信息上報及時性、完整性、準確性等方面設定指標。如:新的監管制度及規范性文件在內部處理流程是否恰當、重要洗錢信息是否及時上報等(如表4)。
(5)監控活動評估指標。組織開展內部監督評價,應對機構內部就反洗錢工作開展監督檢查情況、內部審計部門對反洗錢工作發揮有效的監督作用等方面設計指標(如表5)。
此外,自評估指標在以上分類設計指標基礎上,還可以根據自評估單位在反洗錢工作貢獻程度、獎懲事件等方面增加調整指標,作為指標體系的加減分項(見表6)。
自評估指標設計后,應根據各項工作的重要程度,結合監管重點和自身薄弱環節以百分制賦予一定的權重分值(見圖1),至此反洗錢工作自評估指標體系就基本建立了。
3 反洗錢自評估實施步驟與流程
自評估指標體系建立后,自評估工作應按照立項、準備、評估、確認、反饋(報告)和整改六個工作步驟分步實施。具體內容如下:
(1)立項。開展自評估前,反洗錢自評估負責部門就反洗錢自評估工作向本機構反洗錢領導小組匯報,確定評估對象、評估重點、評估目標、評估人員組成及所需經費資源,制定自評估計劃和方案。
(2)準備。立項完成后,開始收集和整理非現場評估數據和資料,如:被評估機構和部門的系統客戶數據、既往反洗錢工作所獲得獎懲資料、評估現場所需的問卷、試卷,通過非現場準備階段的工作,對評估對象的洗錢風險狀況作出初步評價,在此基礎上確定有關指標現場所需抽取的樣本范圍及數量等。
(3)評估。開展現場評估,獲取組織機構架構設置、培訓宣傳、內控制度等其他資料,抽查業務檔案、日常反洗錢工作檔案等資料,訪談有關反洗錢工作參與人員和條線人員、對有關人員開展反洗錢知識測試等,依據自評估指標逐項進行評定,形成工作底稿,評估時注意留存發現問題類資料。
(4)確認。根據自評估時形成的工作底稿,與被評估單位負責人及經辦人員核實評估發現的問題,無誤后對工作底稿和評估表簽字確認。
(5)反饋。自評估確認結束后,評估人員全面總結被評估單位反洗錢工作開展情況,包括高管人員或負責人履職情況、取得的成績、值得借鑒的方法、措施,存在問題和風險等,形成書面報告向本機構反洗錢領導小組報告,待機構反洗錢領導小組審議通過后,向被評估單位反饋,反饋的內容既要包括取得成績、好的做法,還要包括存在的問題、風險分析和改進建議。
(6)整改。自評估機構根據評估發現的問題,督促本評估機構或部門開展整改工作,制定整改措施,根據問題復雜程度,確定整改時限,整改完成后視情況開展整改驗收或報告。金融機構的反洗錢自評估如果是由上級公司或獨立合規審計部門組織開展,被評估單位還應向上級機構或有關部門報送整改報告。
4 反洗錢自評估結果運用
自評估機構在完成評估后,應深入分析評估結果,給予被評估單位較為公允的洗錢風險防控能力綜合評價和管理建議,并充分利用自評估結果,分析評估發現問題的癥結,找準風險點,擬定有針對性的管理措施加以改進,不斷提升自評估機構洗錢風險防控能力。
自評估結果的運用,主要體現在以下四個方面:
(1)通過自評估,檢查被評估機構在反洗錢制度設計、流程設計等方面是否能夠滿足外部監管部門的要求,查找是否存在二者要求相背離或無法滿足的現象;
(2)通過自評估,檢查被評估機構自身制度設計、流程設計要求與制度和流程實際執行情況之間是否存在差距,查找執行層面的問題;
(3)通過自評估,查找監管制度要求與實際工作執行層面是否存在差距,是否存在監管要求難以實現或無法實現的狀況;
(4)通過自評估,確定被評估機構的反洗錢工作整體狀況和洗錢風險防范能力,根據評估結果的不同,采取差異化的分類監督措施,從而更為科學合理地配置反洗錢資源,增強反洗錢工作的針對性,有效提升洗錢風險防范水平。
以某人壽保險公司評估結果為例,介紹評估結果與結果運用。
2014年某人壽保險公司省級分公司,根據上述評估指標,對7家機構開展反洗錢自評估,評估結果見表7。
篇(4)
國際金融公司于2002年入股南京銀行后,在激活并提高南京銀行公司治理水平上發揮了重要的先導作用。當時,國際金融公司的股份為15%,南京銀行也成為當時外資占比最高的國內銀行。
國際金融公司提倡“好的公司應該有好的董事會”的理念,強化了南京銀行的內控建設、風險建設和發展規劃的建設,同時完善了內部管理機構。可以說,通過“引資引智”,南京銀行領導層認識到了完善公司治理機制的重要性,并根據自身發展狀況切實予以加強。
南京銀行是啟動IPO較早的城市商業銀行,要想成功發行上市,最重要的一條是治理要規范。這一時期,南京銀行董事會切實將完善公司治理建設列為工作的重中之重,公司治理水平有了質的突破。
此外,這段時期,南京銀行還引進了戰略投資者法國巴黎銀行,發行了次級債券,可以說,南京銀行的公司治理較好地體現了職責明確、分權制衡、規范運作、科學合理的公司治理要求。
2007年上市后,公司治理也開始由形備到神似的變化。
在建立激勵約束機制上,按照財政部的要求和銀監會的《商業銀行穩健薪酬指引》,修訂了《高級管理人員考評和薪酬激勵管理辦法》,增加了風險指標的考核和部分薪酬延期支付制度,使考核更加全面、科學、有效。在具體考核上,則實行民主測評、董事考評以及監事會綜合評價相結合的方式,實現對高級管理人員履職的科學考評,較好地做到了個人業績與公司可持續發展的有機統一。
提高公司治理水平在于細節
規范與完善內控程序。主要表現在有較為全面的制度和程序,而且不折不扣地執行。比如,在董事的提名上,董事會對董事人選的原則是用能人,而不是“花瓶”,這點在獨立董事的提名程序中體現得特別明顯。董事會提名及薪酬委員會有搜尋、初審獨立董事人選的工作職責。該委員會按照任職條件的規定,嚴格對獨立董事候選人進行形式和實質審核。形式上的審核主要是對提供資料的完整性和真實性進行審查;而實質審核非常重要,主要是通過多方渠道對其履職的能力和品行進行深入了解,力求能夠體現“專業和專注”的履職要求,而且初審的原則是“不求名氣,只求合適”,以真正提高南京銀行的公司治理水平為目標。
注重董事會軟環境建設。一般來說,董事會只關注議案的表決情況和決策的效率,而不太關心董事提出的各式各樣與公司治理緊密相關的問題。但南京銀行董事會認為,公司治理的不斷提高就是在于細節,所以對董事無論是在各類會議中、實地調研中還是與經營層溝通中提出的好的建議和方法,都及時歸總并強化落實,具體到相關責任人和完成時間,并定期在董事會上進行反饋,使董事感到自己的建議得到了尊重和重視。比如:針對今年上半年南京銀行一位外籍董事提出的注重同業資產風險、表外資產中的理財產品風險的建議,董事會立即讓經營層予以調查落實,經營層迅速展開專項管理工作,并及時向董事會風險管理委員會進行了詳細的書面報告,并在下次董事會會議上向全體董事會成員做了通報。正是這些點點滴滴的良性循環,在潛移默化中提升了公司治理水平,也提高了董事履職的主動性和積極性。
創新風險管控舉措。在風險管理上,南京銀行先后制定并完善了七大風險管理政策和相適應的風險管理程序、流程。尤其是今年,南京銀行認真執行“三辦法一指引”,積極進行地方政府融資平臺貸款的“解包還原”,嚴格房地產貸款風險管理,有效開展“內控和案防制度執行年”活動,提升了公司治理效果。同時,完善了風險條線的組織架構,設立了經營層內部控制和風險管理委員會,設立了風險管理部、授信審批部、資產保全部,理順了風險作業機制;按照銀監會的“六項機制”要求,建立了小企業金融部,并按照“兩個不低于”強化了對小企業的經營和管理;建立了金融市場部、會計結算部和營運管理部,強化了市場風險和操作風險的管理。
在發展戰略上,南京銀行建立了三年發展規劃,科學指導全行的經營方向和經營目標,并按照自身實際狀況建立了發展規劃年度回溯評價機制,提高了發展規劃執行的合理性和可行性,保證了南京銀行的可持續發展。
在資本管理方面,南京銀行制定了《資本管理辦法》、《資本充足率管理辦法》和《三年資本規劃》,強化了對資本的規模、風險和持續補充等方面的管理,逐步在資產負債配比、經濟資本考核和小企業專營等方面加以運用,同時,通過對年度投資參股計劃和分支機構發展計劃進行資本量化分析,保證了對資本實行長效管理。
篇(5)
企業內部控制系統存在的目的在于對威脅其目標實現的風險進行管理。企業的內部控制能否發揮作用,還必須考慮企業面臨的風險的性質、范圍、風險可量化程度、控制成本與管理相關風險可獲得的收益的對比。
1.風險控制水平
企業管理當局對風險的態度直接影響風險的控制水平。如果企業管理當局喜歡冒險,對面臨的風險缺乏預防或控制措施,則會引起巨大損失;如果過分謹慎也會使企業失去發展機會;只有正確地認識風險,并對風險加以控制,才能最大限度地提高企業的利潤。這說明風險控制的目的不是為了限制企業的各種經營活動,而是確保它們受到正確的引導,以減少不必要的損失。筆者認為對待風險的策略應該是適當地接受風險,但這并非是盲目地冒險,而是事先合理地預計可能的風險,積極地尋求企業的發展機會。就像一個人不能因為害怕事故而不出門或不駕車,而是應該在其出門或駕車時采取必要的防范措施,如遵守交通規則、扣好安全帶或避免高速行駛等。就企業而言,可以發展業務組合(有不同風險和回報的業務的組合)或退出高風險低回報的業務領域。
2.比較風險與回報
風險的可接受水平取決于回報的大小。通常人們為了實現高回報才去冒較大的風險,而不會為了低回報去冒較高的風險。最好的商業機會是回報高而風險小的商業機會;而低回報高風險則會對企業構成較大的危險。
3.風險控制成本
如果企業沒有對風險進行控制,那么就要承擔出和事故的代價,如一次污染后要支付的處理費,平息一次工傷事故的費用,或收回劣質產品的開支。所有這些費用,都可在圖1中用事故費用曲線表示。當企業意識到管理企業風險的必要性后,就開始在預防手段上投資,包括進行預防的支出及為加強控制而增加的人工費用等,這些開支可用預防費用曲線表示。從圖1中我們可以看到,隨著預防費用的增加,事故的發生率下降,因此事故費用也隨著下降,總體開支下降。事故費用曲線與預防費用曲線的交點使企業總體開支最低。如果企業繼續投資于預防措施上,尋找進一步減少事故發生的可能性,那么預防費用就會上升。最后總體費用達到了企業開始管理風險以前的水平。圖1顯示,在風險管理上有一個最優效果的投資水平,投資過多會使企業背上成本的負擔,使它失去競爭力,而關注不足會使企業付出高昂的事故費用,中間的某處是最佳的位置。
由此可見,企業為降低總體開支水平,必須識別和評估風險,建立適當的控制制度,采取行動管理風險,并對管理的效果進行監督和檢查。
二、內部審計領域的風險導向審計
內部審計既是內部控制的一個組成部分,又是內部控制的一種特殊形式。1986年最高審計機關國際組織在第十二屆國際審計會議上發表的《總聲明》中,就把內部審計與組織結構、程序一起列為內部控制的重要組成部分。1992年,美國的“反虛假財務報告委員會”發起成立的一個贊助組織委員會(簡稱COSO,Committee of Sponsoring Organization)專門致于內部控制,提出了“內部控制——整體框架”的研究報告。該報告將內部控制劃分為控制環境、風險評估、控制活動、信息與溝通及監控等五個要素,其中的監控就是指對內部控制結構運行質量的監督,它是通過管理控制方法和內部審計的職能來實現的。可見,內部審計職能作為內部控制的一個要素,是管理當局用來監督相關控制程序的手段,即是對內部控制的再控制。COSO報告為內部審計人員進行風險管理提供了指南,表明了以風險為導向的審計方法成為審計方法發展的必然趨勢。
在內部審計領域,人們似乎對風險導向審計方法有著與外部審計不同的理解。內部審計師更多地將風險導向審計中的“風險”擴大為企業或組織在經營過程中面臨的不能實現其目標的各種風險[2],并將其作為確定審計項目及其審計重點的依據。內部審計領域的風險導向審計是以影響企業經營目標實現的經營風險為依據確定審計項目,以企業進行的所有降低風險的活動為測試重點,評價風險降低的充分性和有效性,并提出恰當的降低風險的建議的一種方法。國外的許多企業審計實踐證明,在內部審計領域實施風險導向審計,改變了內部審計人員探討風險和內部控制的方法,為內部審計參與風險管提供了基礎,促進了內部審計與其它風險管理要素的結合,并已為企業管理當局所接受。
內部審計領域運用風險導向審計方法,改變了過去那種內部審計人員以檢查業務記錄和內部控制系統的歷史運營情況提出建議和意見的方式,變為更加關注企業面臨的風險和企業未來的發展及企業為降低風險所進行的一項管理活動[3].在快速發展的,企業管理當局需要了解變化過程中可能遇到的風險,而固定的、靜態的控制體系只能反映企業的過去。因此,要求內部審計師在風險環境中觀察業務過程,提出控制風險的建議,從而為企業增加更多的價值。
采用風險導向審計方法,內部審計的報告更容易被接受,管理部門也更容易理解內部審計存在的價值。在過去的制度基礎審計中,內部審計總是以其內部控制為中心,并在審計報告中不斷提出增加控制點或增加控制的建議,這樣,若干年后審計的結果就是控制點越來越多,業務過程越來越繁雜。同時,也產生了不能為企業增加價值的員工。在風險導向審計中,審計報告中關注的企業當前及未來需要的準備,是企業現行經營活動與戰略計劃之間的“橋梁”[4].三、風險基礎法下內部控制的評價模式
傳統的內部控制評價模式主要是采用“內部控制調查問卷”和符合性測試,對企業已經存在的內部控制進行評價,審計報告中的建議也是管理當局早已經知道的,缺乏新意[5].有人形象地比喻,內部審計的工作就是“審核數豆子的人是否將豆子數得一粒不差”。風險導向審計法要求內部審計人員改變傳統的評價模式,把審計的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,并提出控制風險的建議和方法。
特別需要指出,評價內部控制并非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向審計法下,內部審計更為關心的是下列問題:與控制相關的目標是什么?這種控制要解決的問題是什么?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什么樣的風險水平是可以接受的?控制的效果是否影響管理當局決策[6]?只有清楚地了解了這些,內部審計人員才能辨別何處控制環節過多,何處控制環節不充分,何處控制滿意,何處控制需要改善。我們以采購為例進行分析,企業采購的目標可概括為:保證采購的物品為企業所需,適當的價格及付款條件,所購物品的質量符合要求,交貨的時間、地點等。審計的目的在于評估實現上述目標的風險,并建議增加一些強化控制的措施,長期如此,采購過程就會變得繁雜而無效。這是因為內部審計人員把審計的重點置于所需的控制,而并非企業的目標或其控制環境中存在的風險。理想的方式是從決定所需要的控制,轉移到風險的管理,在審計過程中尋找所有可能的管理風險的途徑,收集證據,提出建議。例如,采取必要的措施控制企業的戰略風險;采取風險回避的方式,回避某些固有風險;以風險分散方式,分散經營過程中存在的風險,如由多個供應商提供原材料以減少原材料供應中斷的風險;向其他組織轉移風險,如何險等;接受風險,企業在經營過程中不可能沒有風險,在合理的程度內,冒點風險是必要的。越過內部控制的某些薄弱環節,這也是風險導向審計方法與其他審計方法的本質區別。但大多數內部審計人員是難以確認管理當局是否能接受這些風險,因此,傳統的內部控制評價方法受到挑戰,要求內部審計人員采用一個動態的評價模式,通過與企業管理當局的有效溝通,為企業提供增加價值服務。
1.內部控制自評(CSA)
內部控制自評是一種新興的審計技術,最早是由加拿大的一個海灣資源公司開始自我評價運用的內部控制系統,幾年來了一套系統的技術和,大大推動了該公司內部控制的和完善。這種方法在美國、加拿大及歐洲開展的較多。內部控制自評的方法就是要部審計人員與被審計單位管理人員組成一個小組,管理人員在內部審計人員的幫助下,對本部門內部控制的恰當性和有效性進行評估,然后根據評估提出審計報告,由管理者實施。CSA有如下優點:
對而言,內部控制自評提供了一個管理控制風險的工具,保證內部審計人員和管理人員共同對風險進行控制。這是綜合地控制企業的各方面,包括相關的效益,使企業對內部控制有一個更全面的了解。不僅要考慮發現的,如何改進,促進各部門更有效地履行責任,還要使控制措施便于理解,使董事會更了解管理的情況以及風險。同時,也降低了審計成本,使內部審計達到更好的效果。
對管理部門而言,內部控制自評可以反映當前管理控制中存在的問題,也向高層管理部門表明他們對現存內部控制的態度,明確了管理責任,保證企業內部有良好的人員分工,使其更好地履行職責。
對內部審計而言,內部控制自評最重要的一點是讓管理部門了解到對內部控制的責任,同時內部控制自評還可以提高審計的效率和效果,減少審計人員的工作量,節省審計時間。
2.內部控制矩陣法
內部控制矩陣法是審計人員根據企業經營目標、險與控制之間的聯系,為確保審計建議能針對重要的風險而建立的一張工作表。如表1.
該表包含了下列信息:明確企業的經營目標,審計人員對被審計事項的初步了解,根據初步了解的情況識別風險因素,衡量風險的重要程度,采取適當的控制措施,控制措施是否會其他目標的實現,審計人員的評價和結論。
內部審計人員通常在測試的最后階段來做這個矩陣,其優點是清楚地反映出對每一目標的測試和評價,有助于關注重要風險。
3.利用信息開展動態評估
收集風險數據是企業中常用的風險評估法。內部審計人員通過收集有助于資料,建立數據庫,利用一定的指標來估計風險。內部審計人員應根據企業機構和人員的設置情況,對日常資料的收集和工作進行分工。特別是大型綜合企業,指定專人進行對口分工收集資料,以保證內部審計人員在熟悉本企業及下屬公司經營情況下,進行風險評估。數據庫應包括企業的外部信息和內部信息。對于外部信息,內部審計人員可以利用社會上公開的信息資源,如利用有關統計資料,了解和掌握本行業的發展情況,或通過信息網絡了解國家政策、本行業或相關行業市場變化情況。對于內部信息的收集可通過調查問卷、閱讀企業的文件及合同、計劃、投資可行性分析報告等有關資料獲得,或通過財務網絡或定期報送的報表,查看各分支機構的財務狀況。一般來說,員工對影響其發展的風險有較詳細的了解,調查問卷就是要他們加入到風險評估和管理過程中。
數據庫法的優點是把企業面臨的風險進行量化,發揮預警的作用,以便及早發現企業存在的問題,及時進行處理。內部審計人員通過訪問數據庫,了解哪里存在風險,風險的嚴重程度,并將風險按重要程度進行排序。例如,我們以應收帳款的回收期作為一個風險因素,通過詢問數據庫就可以查出所有存在應收帳款超期的部門,并按超過的期限進行排列。又如,一家餐廳希望獲得銷售酒類的高利潤,酒類銷售額需維持在總收入的40%,因此,當酒類銷售額降到總收入的25%~35%時,管理階層即警覺到顧客對酒類的需求態度已經改變,而立刻設計新的菜單,增加食物的銷量,以維持總的銷售收入不變。由此可見,預警制度并非完全針對防弊,而是為及早發現經營中存在的問題,并采取有效的控制措施。這種方法的弱點是在為風險管理者提供大量資料的同時,也可能使其難以發現重點。
「
[1]陳漢文。證券市場與監督[M].北京:財政出版社,2001.525.
[2]劉力云。審計風險與控制[M].北京:中國審計出版社,1999.153.
[3] David B.Crawford.Levels of Control[J].Internal Auditor.2000(10):42-45.
[4] David Mcnamee,Georges Selim. Nest Step in Risk Management[J].Internal Auditor.1999,(6):36-38.
篇(6)
目前平安集團保持著健全的公司治理結構和風險管控的三道防線,包括:
第一道防線:業務及管理部門。作為風險管控的第一責任單位,執行公司制定的風險內控政策,并組織開展業務自我改進。
第二道防線:風險內控管理的專業職能部門。合規部、風險管理部、法律部以公司風險內控管理政策為核心,協助各級業務部門和管理職能部門建立風險識別、評估、控制、應對流程,建立各項重大風險預警機制,完善風險指標監測體系和報告機制,并推動整體改進和落實。在具體的內控建設和評價工作中,合規部負責建立全年內控自評計劃,其中包括主數據的維護、風險自評、內控自評和內控測試的工作時間計劃及工作項任務。
第三道防線:監察稽核的職能部門。稽核部門作為相對獨立的部門,對公司風險內控體系和機制的整體運作情況(內控機制的設計有效性和執行有效性)進行獨立評價和報告。
創建平安信賴工程
信用、信譽是金融企業的生命,信心、信賴是金融企業成長壯大的基石。全球金融危機的爆發、蔓延再一次驗證了內控管理對于企業的意義,對以金融服務為業的平安而言,內控管理水平更是能否贏得客戶信賴、能否保證股東利益并確保監管放心的衡量標準。
公司領導明確指出:內部控制管理不是被動地滿足法規的要求,而是公司經營管理的內在需求,內部控制管理也不僅僅可以控制風險,更可以增強客戶信賴,提高老客戶忠誠度,吸引更多的新客戶,促進公司業務發展。
平安根據國家法律法規以及監管要求,結合公司經營管理的需要,確立了以“促進公司三大支柱業務(保險、銀行、資產管理)以及整個集團有效益可持續健康發展”為公司內控與風險管理的長期目標;建立了覆蓋全面、運作規范、針對性強、執行到位、監督有力的合規內控與風險管理體系和運行機制。先進的內控管理機制為公司持續穩健發展提供了保障,為客戶利益維護建立了堅實的保護屏障,為公司戰略有效實施奠定了堅實的基礎。把信賴建立在機制上,把信賴建立在系統、平臺上,把信賴建立在可預期的結果上。
滿足法規只是起點
內部控制“體系是否健全”、“運行是否有效”是平安管理層非常關心的問題,也是即將或準備實施內控體系建設的企業所關心的。根據《基本規范》的要求,企業需要報告和披露在規定時點內部控制運行有效性的評價結果。表面看起來企業只要順利通過會計師事務所進行的內部控制審計就算過關了,但平安管理層確定的內控目標不僅如此,更強調提升內部控制管理的長效機制和持續保證能力,至少應實現以下目標:
順利通過會計師事務所進行的內部控制審計;
形成風險識別、評估和內部控制制度設計、運行及控制效果測試評價的標準流程,并保持動態更新、反復運行;
記錄內部控制管理和維護的過程軌跡;
梳理并分類歸檔內部控制設計及運行有效性的舉證資料,并動態保持其充分有效性;
形成內控風險及缺陷的主動檢視、持續改進、自我完善的運行機制;
實現內部控制評價結果與相關責任人的績效問責考核指標掛鉤。
在構建平安集團合規內控體系的過程中,平安一方面努力加強內部制度和風險內控團隊建設;另一方面充分利用外腦,與國際知名咨詢機構積極合作,借鑒國際、國內先進的風險內控管理方法、成熟經驗和現代化工具。
特別是2008年6月五部委正式《基本規范》后,平安集團管理層非常重視,敏銳地認識到建立健全內部控制體系不僅是監管機構的合規要求,更是獲得客戶信賴,提升公司品牌,提升上市公司外部評價的契機和抓手。認識決定態度,思想決定行動。在對美國薩班斯奧克斯利法案、COSO內部控制以及企業風險管理架構等制度、標準及其實施狀況進行調研的基礎上,結合平安的戰略方向及現實狀況,平安管理層以“務實”、“整合”為核心價值理念,提出“以風險為導向、以制度為基礎、以流程為紐帶、以內控系統為抓手”的26字方針,為整個集團內部控制體系建設明確了“四項基本原則”。
簡單來說,即首先梳理關鍵流程并識別和評估與內控相關的固有風險;其次結合公司各項規章制度及實施現狀,辨識各個流程的關鍵控制活動并固化;然后開展內控自評工作,評估現有內控體系對于上述固有風險管理的有效性,最終得出剩余風險的評估結果。固有風險扣除現有內部控制和管理舉措對于固有風險的緩釋效果后,即為剩余風險水平。對于內控自評發現的內控缺陷,有針對性地彌補內控缺失、進一步完善內控體系,從而將內控相關的剩余風險控制在公司可接受的水平。
以風險為導向
內部控制體系建設需要回答的首要問題是:“控制什么?”,也就是控制目標的問題。不少保險公司在開展內部控制時的一大誤區在于“為內控而內控”,流于形式,眉毛胡子一把抓,沒有對內控風險點進行梳理和分類,最后既浪費了人力、財力,也降低了內控項目的有效性。而“以風險為導向”的理念,則是要明確識別行業及公司內部所面臨的風險點,并對已識別的風險進行評級,同時與現有的控制活動進行匹配,進而評估相應風險點的控制水平。即哪些是不足的?哪些是沒有涵蓋的?不足的或未涵蓋的風險,平安是否能接受?若不能接受,應當如何對控制不足的部分進行強化?如何對尚未涵蓋的部分進行控制?等等。最終把平安的風險控制在可接受的范圍內。因此“以風險為導向”實質在于“為管控風險而內控”,關注“控制有效性”,并通過梳理、提升現有的控制活動,使內部控制與日常管理活動緊密融合,讓業務部門人員作“主角”,內控管理部門作“導演”。
以制度為基礎
平安集團充分認識到現代企業的管理中,制度是核心和基礎。通過制度進行管理,最能體現效率,最能體現統一性和質量標準,因此制度建設是平安內控體系建設的一個重要內容。內控制度并非是現有業務部門日常管理制度的簡單集合,也不是游離于現有業務管理制度之外的一套完全獨立的制度體系,而是對現有業務管理制度補充、完善、整合的過程。制度在企業內部應該只有統一的一套,保持“唯一正確性”,這一點非常重要。平安現已建立并不斷完善內控制度體系,明確各層級的職責定位和工作目標,確定內控工作開展的程序循環。集團合規部牽頭完成平安《內部控制評價管理辦法》和《內部控制自評手冊》,以期建立健全“以風險管控和內部控制評價為導向,以合規、風控等公司制度為核心和依據,以內部控制自評手冊為工具和方法”的內部控制制度體系。
以流程為紐帶
部分企業在進行風險評估時,往往習慣于以部門為單位,殊不知風險的產生和由此帶來的結果往往是疊加的、跨部門的,因為一個完整業務流程的實現是多個部門之間協同工作、相互配合的結果。如果僅從部門的角度看風險,往往看不清楚、看不全面,容易以偏概全,進而影響對風險的評級及相應內控點的識別。平安“以流程為紐帶”將內部控制落實于業務流程的全過程,以流程為脈絡識別風險點,消除了各部門間的壁壘和脫節,避免出現真空地帶,增強了流程的銜接性,也更易于從整體的視角把握企業的風險點。平安在內控評價過程中,涵蓋了絕大部分法人專業子公司及其關鍵業務流程。
以內控系統為抓手
內部控制體系應當以IT系統的建立及完善為基礎。比如內控自我評估,整個過程牽涉面很廣,基本涉及平安所有的業務部門和人員,涉及的數據資料信息量非常大,評估流程管理也很繁雜,若在常態管理中采用手工方式進行,則難度更大。因此平安就有一個非常明確的認識,即需要有系統的支持。對于系統,其基本設想是:其一,要有一個自動工作流的驅動,也就是說每個業務部門的每個業務人員都需要明確自己的角色定位和工作內容,而這些應當通過系統來實現。同時涉及相應的內控節點,該節點的負責人一定要做出反應(采取相應的內控動作,如審批),若在規定的時間內沒有響應,則系統將會觸發郵件提醒。其二,要有一個自動的報表管理功能,既能對內控自我評估過程中的成果進行分門別類的存放,并能按監管要求提供相應的報表。同時亦能定期給高級管理層發送相應的內控報表,報表內容可以包括部門內控管理的實施情況(哪個部門開展了什么工作,還有哪些工作沒有開展),進而可作為內控管理工作得以有效推動的基礎工具。目前平安集團已經建立了內部控制評價管理電子平臺(Risk Integrator,簡稱“RI系統”),該系統主要包括內部控制的管理模塊(ICM)、風險自評模塊(RCSA)、關鍵風險指標模塊(KRI)、損失事件管理模塊(LEM),從內部控制角度對系統分級,明確各層級業務部門、合規部門、稽核部門在系統中的角色定位。今后還將把企業的風險管理、內部控制、合規管理功能在系統平臺上進一步整合。
平安集團在如何把上述的風險和內控管理的整體理念、體系建設和具體的操作步驟逐步固化在系統中做出了初步的嘗試。通過逐步建立和完善一個符合國際最佳實踐的內部控制評價管理電子平臺,運用先進工具和技術支持公司業務發展戰略和業務增長模式。該平臺的內部控制管理(ICM)和風險自評(RCSA)模塊目前已經可以協助公司識別、分析、評估、應對、報告各項風險,并與內部控制相關聯,支撐內控自我評估在平臺上的運行。此外,信息系統平臺還支持平臺進一步建立關鍵風險指標(KRI)量化信息和預警體系,及時發出對重大風險的預警信號;并且利用損失事件管理(LEM)加強對歷史重大損失事件和數據的收集和管理,提升公司預測尚未發生事件之潛在風險的能力。
全員參與、分級實施、逐級匯總
內控項目在開展初期采取“全員參與、分級實施、逐級匯總”的方式,總體安排分為設計階段(確定項目范圍和風險評估)、計劃階段(試點,確定內控自評方法、工具、模板,搭建內控管理電子平臺)、推廣階段(全面推廣)階段。目前,平安已經把這些動作納入了日常常態管理的模式。
項目歷時將近3年,涉及平安集團保險、銀行、投資各板塊多家法人公司及其關鍵業務流程,超過3000名平安員工直接參與了本項目的開展,接受了咨詢公司關于內控方法論的培訓。通過本項目的開展,內控自我評價工作已納入各公司、各部門的日常工作范圍,并設計相應機制促進內部控制活動基于內外部環境的變化而及時進行相應的調整。
項目成果
平安致力于搭建并不斷完善風險管理與合規內控的統一體系,梳理核心業務流程,診斷風險內控缺陷并整改。而在關鍵風險領域,同時有針對性地進行專項應對和深入研究,實現風險管理與內部控制的有效銜接和融合。項目完成了與實現控制目標相關的內外部風險的識別和評估,從定量角度確定了范圍內的各業務流程、機構的固有風險和剩余風險水平,為管理層權衡風險與收益,確定風險應對策略奠定了實實在在的基礎。回顧項目成果,基本可以用“四個一”來概括:
建立了一個體系
平安現已基本建立并不斷完善合規內控管理體系,通過體系的力量推進風險和內控合規“PDCA”管理閉循環,使平安內控管理中心各部門目標統一、高效配合,同時也促進了風險管控三道防線之間的聯動與有效運作。
導入了一套標準
通過內部控制操作標準和相應測試標準的建立,加強了內控評價工作的可操作性,并且促進了公司各業務單元之間的橫向比較和內部對標學習。
完善了一批流程
通過內控評審完善了原有的流程與制度,通過與國內外行業最佳實踐的對比,從提高經營效率效果角度完善了多項內控流程,以緩釋潛在風險,并加以追蹤落實和明確各自的部門責任。
培養了一批人才
篇(7)
PCAOB的審計準則將“實質性漏洞”定義為:“如果一項或若干項缺陷有能致使年度或中期財務報表存在重大錯報而不能有效預防或及時察覺的合理可能時,該缺陷就構成實質性漏洞(material weakness)”。
關于實質性漏洞的類型,本文借鑒Ge和McVay(2005)的研究思路并將上市銀行漏洞劃分為九大類型,為了便于讀者理解實質性漏洞的概念及其具體表現形式,本文列舉了每一類型實質性漏洞缺陷的表現形式(具體見表1)。
二 浦發銀行內控實質性漏洞信息披露狀況分析
(一)內控信息披露狀況分析
由于2000-2010年資本市場對上市公司內控信息的披露規定經歷了波段起伏的變化,故上市公司內控信息分布比較零散。本文采取手工統計的方式對浦發銀行自上市以來10份年度報告中的“銀行業務信息與數據”、“公司治理結構”、“股東大會情況簡介”、“董事會報告”,“監事會報告”、“重要事項”、“報表附注”以及“附件”等部分披露的內控信息狀況進行統計分析。
1 內控信息披露的分布狀況
2006年6月5日《上海證監交易所上市公司內部控制指引》(簡稱《上交所指引》)的出臺旨在引導上市公司定期披露內控信息以增強公司信息透明度以及提高內控信息披露的可靠性來增強公司抵御風險的能力,進而提升公司的價值。但考慮到時間上的倉促以及高額的執行成本,上交所于2006年12月29日了《關于做好上市公司2006年年度報告工作的通知》,強制要求上市公司在披露的年報中的“重要事項”部分披露內控信息。本文對以上8個部分內控披露狀況。按照5級量表進行衡量,具體含義見表2。
浦發銀行自上市以來的內控信息披露狀況如表3所示。
從表3可以看出啟浦發銀行上市之初,披露的公司年報中對于銀行業務信息與數據披露較為簡單,主要是摘錄近幾年的關鍵會計數據以及財務指標、對境內外的審計差異予以解釋說明,幾乎沒有涉及到內控方面的信息。從2001~2006年公布的年報可以看出,雖然2001年年報中新增了一項特別提示,可視為對內控信息的補充,但是很顯然這一舉措只是出于公司剛上市,迎合監管的需要而采取的補救措施,并非本意上建立完善內控機制,隨著2006年6月5日《上交所指引》的與實施,公司對控的建立完善給予了充分的重視,表現在年報編排體例上發生了重大變化,將以往年報中披露的會計數據與業務數據部分分拆為主要會計數據指標與銀行業務信息與數據兩部分,第一部分實質上與以往年報披露的會計數據與業務數據相似,但第二部分則更偏向于對銀行各類風險的大致介紹和管理情況,表述中多處提及內控字句,其中更有一段內容是對公司的內控制度的完整性、合理性與有效性的說明。“公司治理結構”從無到有,主要披露了公司治理結構,對內控信息的描述比較簡單,格式相對固定;“董事會報告”比較詳盡地披露了公司內控信息,從2000-2006年的年報中,我們發現這一部分涵蓋了公司可能面臨的各類風險以及應對措施、公司對不良貸款的分類以及管理情況等,但自2007年披露的年報開始,“董事會報告”部分對內控相關信息的描述顯然減少了,更多介紹了新年度公司面臨的挑戰與機遇、新的經營目標以及為達到目標擬采取的主要措施。筆者認為公司此舉凸顯了董事會的職能,一方面,董事會對于內控體系的建立和完善負有不可推卸的責任,但另一方面,董事會更應該站在一個新的高度為公司發展制定戰略計劃,而對于風險的防范內控的建立等職能可以授權給其下屬的審計委員會以及其他部門,“監事會報告”非常籠統地披露了公司的內控信息,說明監事會對于內控重要性認識不足,形式主義嚴重,“報表附注’簡要披露了對金融資產的使用以及管理情況、各類風險應對措施等,公司的內控“三性”說明書以及內控自我評價報告詳細說明了內控體系的建立與完善、公司下一年度內控有關工作計劃,其中我們發現自2008年起年報披露的內控自評報告對于內控信息的披露更加規范,借鑒了《企業內控基本規范》規定的五要素來分項介紹,會計師事務所在2000年,2001年出具的“內控評價報告”中提及對公司內控關鍵領域審核,而在2007年,2008年,2009年的“內控審核報告”中,按照《內部會計控制規范一基本規范(試行)》的有關標準對公司管理層披露的自評報告進行了審核并發表了意見,“股東大會情況”與“重要事項”部分自銀行上市以來從未披露與內控相關的信息。
2 內控信息披露的連續性
根據表3我們注意到公司并非每年都披露內控信息報告,2000年、2001年的年報中公司披露了內控“三性”說明書,而在2002―2006年報中雖然其他部分披露了與內控相關的信息,但是井未披露內控自評報告,從2007年的年報起公司又開始披露內控自評報告,內控信息的披露作為一項既定的制度安排,理應得到連續的執行,可是為什么在2002-2006年的年報中未披露類似的報告?證監會于2000年12月21日了《第7號編報規則》,其中第六條明確要求商業銀行應對內控制度的完整性、合理性與有效性作出說明,并委托所聘請的會計師事務所對其內控制度進行評價,出具評價報告。浦發銀行于1999年11月上市交易,可能是為了給監管機構和廣大投資者留下良好的印象,公司在年報中主動披露了內控“三性”說明書及審核報告,公司在披露2001年的年報時正值證監會了關于內控信息披露的最新規定,基于避免遭受違規所帶來的嚴厲處罰以及繼續樹立公司良好形象的考慮,公司繼續選擇披露內控“三性”說明書及審核報告。之后雖然證監會與銀監會陸續出臺丁關于內控信息披露的規定,但可能由于該項制度還不完善及對高執行成本的顧忌,浦發銀行出于自利的動機停止了披露行為。2006年6月上交所頒布了《上市公司內控指引》,要求董事會對內控的建立和實施情況作出評價,并隨年度報告一起披露內控自評報告及注冊會計師的審核意見。但浦發銀行公布的2006年年報中仍未披露內控的自評報告及審核意見,這大概是浦發銀行主觀上認為指引是非強制性的,即使違規也不會遭受譴責,對該指引的可行性持觀望態度。2006年7月Ⅱ5日,財政部會同有關部門成立了企業內部控制標準委
員會,旨在構建內控標準體系,推動企業完善治理結構和內部約束機制,考慮到監管部門的系列舉措以及違約成本的不斷加大。浦發銀行自2008年起積極披露內控自評報告及審核意見。由浦發銀行披露內控信息的時間分布我們可以發現,要使內控制度在上市公司得到連貫執行,就應該對上市公司內控自評報告采用強制披露與分部走相結合的做法,而對于內控審核報告應采用強制性披露與鼓勵性披露相結合的做法(楊有紅,汪薇,2008)。
(二)實質性漏洞披露狀況分析
實質性漏洞作為特別風險理應受到銀行的關注,我們根據表1對實質性漏洞概念的明確以及類型的劃分,通過對浦發銀行公布的內控“三性”說明書內控自評報告以及審核報告進行研究,對披露的內控“缺陷”進行鑒別,來識別內控實質性漏洞(見表4)。
1 實質性漏洞數量分析
由表4我們發現浦發銀行在2000年與2001年的年報中分別披露了4項實質性漏洞,而在2007年的年報中隱約披露了一項實質性漏洞,2008年與2009年則大量披露了實質性漏洞。由此可見,實質性漏洞披露的數量呈現越來越多的趨勢,似乎表明浦發銀行面臨的內控問題越來越突出。2006年6月上交所《上市公司內控指引》后,浦發銀行隨后公布的2007年年報中的自評報告中雖然對公司內控建設做了大量的陳述,但是未見公司明確披露內控建設中遇到的難題。而2008年以及2009年的年報顯示浦發銀行的內控建設并非如2007年年報披露的如此無懈可擊,多家分行因為業務違規處理遭受了相關部門的處罰,信息系統運行與維護存在問題,而管理者在向外部市場披露相關信息時,有很強的利己主義傾向(何進日,武麗,2006),而且鑒于指引剛不久,需要一個過渡期,很多上市銀行當時并未有足夠的能力構建起標準的內控體系,監管機構處罰力度并不會非常大,所以公司在2007年的年報中井未明確披露實質性漏洞。而到了2008年,2009年的年報中,由于違規行為遭到了相關部門的處罰,公司意識到了內控不完善給自身帶來的危害,才披露了一系列實質性漏洞。因此我們可以推測浦發銀行的內控問題由來已久,只是因為我國相關法規不完善,違規成本比較低,所以并未披露實質性漏洞。但隨著監管力度的不斷加大,違規成本越來越高,上市銀行才開始致力于內控體系的建設與完善,積極披露實質性漏洞。
2 實質性漏洞披露載體與類型分析
浦發銀行實質性漏洞的載體主要有內控“三性”說明書內控自評報告,其中,內控“三性”說明書披露了8項實質性漏洞,內控自評報告披露了12項。從實質性漏洞信息披露所占披露載體整體篇幅而言,占了較小的比例,這從側面反映出公司有避重就輕、多報喜少報憂之嫌,責任方對于出現的內控實質性漏洞問題有所重視。但重視程度不夠。內控審核報告作為對內控“三性”說明書和自評報告的審核報告,只是遵照固定的格式對這兩者發表了意見,沒有指出公司內控的實質性漏洞。由此可見,公司董事會對內控信息披露表明了積極主動的態度,努力改進內控中存在的實質性漏洞,而事務所對內控信息披露的審核卻似流于形式,筆者推測注冊會計師披露內控審核報告中未披露實質性漏洞有幾大可能性:第一,注冊會計師面對巨大的經濟利益誘惑,存在與管理層合謀的動機,與上市公司勾結以虛假信息欺騙投資者(何進日,武麗,2006),第二,注冊會計師自身存在專業勝任能力不足的問題,不能勝任內控審核業務;第三,注冊會計師缺乏勤勉盡責的職業態度。從2008~2009年披露的內控審核報告可以發現,在公司自評報告已經披露實質性漏洞的情況下,事務所依然出具無保留意見,可推測出注冊會計師缺乏勤勉盡責的態度,對內控審核的重要性認識不足。雖然財務報告內控審核的對象有其特殊性,對注冊會計師的要求不能太高(張龍平,陳作習,2009),但是筆者認為注冊會計師應注重自身業務能力的提高,以更好應對新業務帶來的挑戰,特別是配套指引的頒布,為注冊會計師實施內控審計提供了方向及具體標準,故更應以勤勉盡責的態度對待新業務。
由表4我們發現浦發銀行一共披露了表1中九類實質性漏洞的七類,占漏洞總類的77.78%。其中職責劃分與授權這一類達到了7項,2000年、2001年的內控“三性”說明書中各披露了2項,2008年的內控自評報告中披露了3項。可見職責劃分與授權是最為常見的缺陷,這在銀行業中是普遍存在的,也與我國銀行業競爭激烈的現狀相關,一些銀行以“存款第一”為衡量銀行工作業績的唯一標準,重業務輕管理,致使分支機構網點對雇員的違規操作熟視無睹,結果釀成了一系列的惡性案件。技術問題、培訓、子公司特定式與高級管理層是另外比較常見的缺陷,其中高級管理層這一項分別出現在2000年與2001年的內控“三性”說明書中各一次,2007―2009年未再出現過,這說明隨著內控重要性的不斷提升,公司高級管理層逐漸認識到內控制度建設與運行的急迫性,井表明了加強內控體系建設的決心與態度,也付出了巨大的努力。技術問題分別出現在了2000年、2001年、2008年的報告中,說明構建規范的內控體系對于上市公司而言確實是一個巨大的挑戰。需要公司付出高昂的設計成本以及曰后的運行與維護成本。培訓問題一方面與銀行之間競爭過度導致大量招聘人員而培訓不到位有關,另一方面在于內控體系的實施與完善需要公司各級員工的參與。這需要公司不僅重視內控體系的設計與建立,更應該重視執行人的專業理解能力與操作能力,應加強內控文化理念的推廣及實施全員培訓體系。子公司特定式主要反映了分支銀行對信用風險的控制力度不夠,期末報告與會計政策與賬戶特定式都出現在了2009年的報告中,這在以前的年度中均未出現過,反映出公司的內控缺陷存在多樣性、擴散性的特征,需要公司對內控體系進行完整的排查,掃除一切可能存在的漏洞,浦發銀行對于披露的實質性漏洞提出了相應的整改措施及達標時間表,反映出公司內部良好的內控環境與高管堅決的執行力。
三 結論與政策建議
經過研究我們發現:內控“三性”說明書內控自評報告及內控審核報告是披露公司內控狀況的主要載體,而內控實質性漏洞的披露主要集中于內控“三性”說明書及內控自評報告中,董事會承擔了維持完善內控系統的責任,而監事會和審計師對內控信息的監督流于形式,公司年報沒有完整連續的披露公司內控信息,在特定年份未披露內控報告,存在應付監管機構、避免遭受處罰之嫌。在《企業內控基本規范》頒布后,公司披露的自評報告遵循基本規范中規定的基本要素分類進行披露。形成了較為固定的披露模式內控實質性漏洞主要與職責劃分與授權、技術問題、培訓子公司特定式與高級管理層有
關,實質性漏洞信息的披露并非公司的自愿行為,而是在遭到監管部門的處罰后被迫披露的。
鑒于此,筆者對完善內控實質性漏洞信息披露作出如下幾點建議:
篇(8)
內部控制起源于西方,尤其是自1992年9月,美國反虛假財務報告委員會的發起組織委員會(COSO)了一份報告《內部控制:整合框架》,提出了內部控制的三項目標和五大要素,標志著美國的內部控制進入了一個新的發展階段。
內部控制這一概念導入我國不過近10年的歷史。2008年6月28日,財政部、證監委、審計署、銀監會、保監會在北京聯合召開企業內部控制基本規范會,了《企業內部控制基本規范》。2010年4月24日,五部委在北京正式《企業內部控制配套指引》,標志著我國的內部控制體系建設取得重大突破,進入了一個全新格局。
二、提升認知水平
從某種程度上來講,內控真正引起國資管理部門和國企經營管理者的重視不過也就是近幾年的事情。因此,很多企業對內控的認知水平并不高,認識往往僅局限在內部監督或內部控制制度等簡單層面,并未了解這種模式的優點是增加了風險評估要素,可以利用已經發生的事情來進行分析,減少事后發生風險的可能性,使它成為一個既控制舞弊又控制風險的控制模式。例如,通過內控測試發現,下屬企業與營業執照經營范圍無“食品批發與銷售”資質,食品流通許可證經營方式為“食品銷售管理”,而非“批發”或“零售”的供應商有采購業務往來,我們可以判斷出潛在的風險,若出現食品質量安全問題,可能使企業遭受經濟損失、信譽損失,引發企業的經營風險及法律風險。由此可見,企業內部控制的目標之一是要將從控制事后風險逐漸向控制事前風險過渡和轉化。通過控制風險,企業內部控制將會同步發現自身問題和機遇,有利于企業持續、健康發展。
因此,董事會、監事會、管理層及全體員工對內控的認知程度,直接影響了內控的建設和實施,企業的內控建設首先要掃清的障礙是對內控認知的混亂,提高全社會、各企業對內控建設的正確認知乃重中之重。
三、淺淡內控規范實施
根據“五部委”要求,內控評估實施時間自2012年1月1日起在上海證券交易所、深證證券交易所主板上市公司施行。為有序、適時、穩妥、有效落實該項工作,擬作分步推進。
步驟一、制定年度內控實施工作方案及具體行動計劃
企業年度內部控制規劃實施工作方案要求涵蓋公司基本情況、內部控制工作的組織領導、內部控制建設工作計劃、內部控制自我評價工作計劃及內部控制審計工作計劃。
公司基本情況應包括公司簡稱、股票代碼、上市情況、組織架構、公司性質、資產規模、經營范圍、控股子公司情況、參股公司情況等。
內部控制工作的組織領導應明確①公司設立內部控制推進工作小組、內控規范實施工作負責人、牽頭部門及內部控制推進工作小組成員、組長、副組長等。②聘請外部咨詢機構為公司在內控規范實施工作中提供相關專業支持。③內部控制規范實施工作預算費用。
內部控制建設工作計劃應首先制定內控缺陷整改方案,根據已查找出的內控缺陷,完成內控缺陷整改方案。其次落實內控缺陷整改工作,各責任部門根據內控缺陷整改方案完成整改工作;計劃財務部、董秘室、審計室等檢查整改效果。再次確定內控實施工作情況披露,董事會將按照上市公司信息披露要求,在定期報告中及時披露內控實施工作情況。
內部控制自我評價工作計劃應包括①擬定自我評價工作計劃,明確納入評價范圍的子公司和業務流程,確定評價工作的時間表、人員分工等;②確定內控缺陷評價標準,根據《企業內部控制評價指引》對一般缺陷、重要缺陷和重大缺陷的定義確定評價標準,評價標準將包括定性標準和定量標準;③組織實施評價提出整改建議,根據經批準的內控自我評價計劃,組織實施內控自我評價工作,提出整改建議;④編制并披露內控自我評價報告,根據缺陷評價匯總表和責任部門及所屬企業整改情況,編制內部控制自我評價報告,報經董事會批準,審議通過后按照監管要求對外披露。
內部控制審計工作計劃應確定內控外部審計機構,對以某年某月某日為基準日的財務報告內部控制設計與運行有效性發表審計意見,出具內部控制審計報告。
具體行動計劃分解到月,列明每月內控工作推進的內容、責任人、工作目標及需要協調資源等。
步驟二、明確內控工作組織領導和工作小組
首席執行官為內控規范實施工作負責人,并由審計室牽頭與紀檢監察室、董秘室、辦公室、計劃財務部、投資發展部、人力資源部等相關人員組成內部控制推進工作小組;下屬各企業的董事長或總經理為本企業內部控制第一責任人。
步驟三、搭建培訓師隊伍,開展《企業內控手冊》專題培訓
抽調總部各職能部門專業人員擔任培訓師,結合實際,就《企業內控手冊》涉及各專業板塊的風險描述、風險控制對下屬企業進行專題培訓,并有合格會計師事務所內控專家對關鍵風控點作點評。
步驟四、啟動內控宣貫動員大會
首席執行官作內控宣貫總動員,學院內控教授或行業內控專家配合總動員作《企業內控與風險管理》專題報告,以生動、形象、深刻的案例說明內控工作的重要性。出席對象總部各職能部門負責人、企業總經理、財務總監、審計主任等部門負責人。
步驟五、各類測試模版的編制
組織相關人員著手編制《內控規范自我評價調查問卷》、各主流程內控獨立測評測試程序及《內控測試工作底稿》模版等。關鍵內控活動測試工作表應包括被測試單位名稱、測試業務流程、子流程、控制責任人、控制活動編號、控制活動描述、控制類型、控制頻率、樣本量、測試程序、測試記錄、測試結果等具體內容。
步驟六、下達《關于開展企業內部控制規范自測自評的通知》
《通知》中應明確自測自評范圍、自測期間、自測方式、自測跟蹤、測試評估等相關要求。
自測自評范圍,某公司所有附屬公司,包括各分公司、子公司和總部各部室。
自測期間,總體以某年工作軌跡作為自測自評重點。總部職能部門及所屬相關企業以某年第一季度作為自測自評重點;自測跟蹤擴展到某月份;測試評估擴展到評估日。
自測方式,總部職能部門及所屬相關企業依據總部下發的《內部控制規范自我評價調查問卷》所涉及公司層面、財務報表編制與披露、長期股權投資管理、人力資源管理、固定資產管理、無形資產管理、合同檔案管理等某個主流程,某個子流程的相關內容,逐項逐條認真對標。
對標使用文件:總部各職能部門對標使用附件二①,某板塊對標使用附件二②,其他企業對標使用附件二③。
各相關企業及部門應將對標情況,如控制描述是否有變化、控制設計是否有效、控制執行是否有效等如實、完整記錄在問卷中,并妥善保存對標的相關資料,以備核查。同時,根據對標記錄反映的結果,形成本企業、本部門的自測自評報告。
自測跟蹤,企業完成對標工作后,總部各職能部門應組織力量對各企業對口部門進行后續跟蹤,并應就跟蹤發現的未達標情況,提請企業限時整改。同時,將跟蹤情況形成匯總報告,提交總部內控工作推進小組。
測試評估,總部內控工作推進小組將派內控規范測試小組,對納入評價范圍分子公司,按照確定的關鍵業務流程及其控制活動的測試程序進行測試。
步驟七、構建兩支隊伍,做好測試跟蹤及測試評估
一支隊伍,由總部各職能部門專業人士組成,落實《通知》要求的自測跟蹤;另一支隊伍,由總部內審與外部專業人士共同組成測試小組,落實《通知》要求的測試評估。
步驟八、進行現場測試
通過現場訪談,了解被測試企業所涉及的關鍵業務主流程內控設計和執行有效性;并對相關子流程所對應的控制活動實施實地測試、穿行測試、抽樣測試等。
步驟九、編制、復核測試工作底稿,出具內控測試報告
測試小組編制、復核被測試企業測試工作底稿,并與被測試企業就測試情況進行溝通,交換意見,形成測試結果和整改建議匯總表,出具被測試企業內控測試報告。內控測試報告內容涵蓋項目立項依據、被測試企業、測試期間、測試流程、測試方法、測試結果及測試發現的問題、存在風險及整改建議等。
步驟十、下達整改任務書
篇(9)
中圖分類號:F840.32 文獻標識碼:A 文章編號:1006-4311(2016)20-0220-03
0 引言
改革開放以來,隨著中國經濟的快速發展,保險業在社會保障體系中發揮著越來越重要的作用。社會財富不斷積累,社會公眾的保險需求也不斷提升,保險業保費規模快速擴張。回顧保險業三十余年的發展歷程,除了九十年代后期銷售的高預定利率保單之外,保險業務的資產和負債質量一直較好。近年來,為進一步提升保險消費者權益,更好地匹配資產和負債,增強保險公司經營的靈活性,保監會逐步放開了投資渠道和比例限制,分階段地完成了保險產品費率市場化改革。在此大時代背景下,保險公司的風險特征發生了重大變化,權益資產和另類投資比例大幅上升;部分公司采取短負債、長資產的配置策略,流動性風險凸顯;隨著信息系統的集中和互聯網技術的廣泛應用,以信息技術風險為核心的操作風險也日益增加。如何做好新時期償付能力監管成為保險監管的核心問題。中國風險導向償付能力體系(以下簡稱“償二代”)應時而生,該體系與2008年金融危機后國際金融監管普遍采用的三支柱模型理念一致,除了更加科學的計量保險公司的風險外,對保險公司的償付能力風險管理能力提出了明確要求,同時借助各利益相關方的力量共同監督保險公司保持充足的償付能力水平。本文擬探討建立健全償二代時期的償付能力管理體系的重點和應關注的事項。
1 國際償付能力監管模式
受各國保險市場經濟環境、發展背景和水平等差異,目前保險業尚未建立起全球統一的償付能力監管規則。從整體上看,償付能力監管模式主要有兩個代表性模式:一是歐盟體系(歐盟Ⅰ、歐盟Ⅱ);二是美國風險資本制度(簡稱RBC)。國際保險監督官協會正在組織全球大型保險公司進行國際資本監管標準的制定和實地測試工作,預計2019年開始實施共同框架。該規則體系也是以風險為導向,以合并報表為基礎,充分反映保險公司風險狀況,加強資本監管。
2 償二代監管體系解析
償二代償付能力監管規則體系(1-17號監管規則)自2015年進入過渡期,2016年開始進入正式執行階段,各保險公司停止執行原償付能力監管規則體系。在償二代監管體系下,償付能力監管將依托于三個支柱開展:
2.1 第一支柱 第一支柱的核心在于風險量化。在償一代體系下,風險與保險責任準備金、風險保額等掛鉤,不直接體現資產風險。隨著保險公司投資渠道的放開,特別對于壽險公司,風險主要來源于資產端和資產負債的匹配情況。在償二代體系下,最低資本與風險直接掛鉤,根據可量化風險(保險風險、市場風險和信用風險)大小計算最低資本要求。計算方法更加的復雜,對資產基礎數據數量和質量要求也大大提高。除了可量化風險外,還引入了控制風險最低資本要求和附加資本要求(如系統重要性保險公司、順周期資本要求等),使得資本涵蓋的面更廣泛。從2016年1季度披露的季報摘要來看,保險公司實際資本和最低資本都大幅度上升,資本溢額大幅增加,保險公司償付能力充足率出現一定的分化,風險較高的公司的償付能力充足率有所下降,體現出了風險導向的設計理念。
2.2 第二支柱 第二支柱主要包括償付能力風險管理能力評估和分類監管。其中,風險管理能評估涵蓋七大類風險,對每類風險管理提出具體的要求和評估標準。保監會將每年組織對保險公司償付能力管理能力進行評估,此種做法與歐盟Ⅱ有相似之處,創新點體現在將評估得分與最低資本要求掛鉤,以80分為分界線,80分之上可以減少資本,80分之下將增加資本要求。這一創新將償付能力管理水平與資本要求相聯接,風險管理直接創造價值,將大大推動保險公司提升風險管理水平的積極性。分類監管也體現出中國特色,保監會將在法人單位和分支機構兩個層面上根據公司償付能力狀況和風險狀況,對保險公司進行評級。與償一代相比,評級與風險掛鉤,風險越大,評級結果就越低。
2.3 第三支柱 受限于監管資源與成本,現代金融監管越來越重視信息披露的重要性,通過提升保險公司透明度引導各利益相關方關注和督促保險公司加強償付能力水平。在償二代體系下,信息披露分為定期披露和日常披露兩個層面。定期披露主要是要求保險公司每季度披露季報報告摘要,其中包括償付能力狀況、風險綜合評級結果和現金流狀況。日常披露主要是在影響保險消費者投保和續保的關鍵環節,主動告知償付能力狀況和風險綜合評級結果。從監管規定上看,不僅投資者和分析者將高度關注償付能力狀況,保險消費者也會逐步了解并作為購買決策的重要依據,進而影響產品銷售。
3 構建償二代下償付能力管理體系的緊迫性
償二代不僅涉及風險量化,更加強調風險管理和信息披露。與償一代相比,體系更加完整,三支柱之間邏輯更加一致。償二代自2016年起執行,建立健全償二代下償付能力管理體系勢在必行。
3.1 從外部因素上看,是監管合規的必然要求 按照監管要求,保險公司必須履行定期披露和日常披露要求。從執行的角度來看,主要存在兩大困難,一是基礎數據;二是復雜大量的計算。在監管要求的時限內(每個季度結束后25日內)按時、準確完成報告編制將是一件挑戰性極強的工作。對于保險公司來說,特別是中大型保險公司,資產分散在不同的投資管理人進行管理,及時獲取上百維度的資產信息難度極大。歐洲保險公司在實施歐洲償付能力監管要求時也遇到了類似的問題。此外,最低資本的計算方法上除了因子法外,還大量采用了情景對比法這種需要進行大量計算的方法,這也對按時完成信息披露帶來了非常大的壓力。在償二代體系下,量化計算需要投資、財務、精算等相關部門密切合作,在組織壁壘分明的保險公司中,如何建立順暢的工作機制也是一大難題。
3.2 從內部管理上看,是提升價值和企業競爭力的迫切需要 償二代體系正式實施之后,將推動全面風險管理在保險公司真正的落地。風險管理做得好的保險公司,不僅能夠降低最低資本要求,提升股東回報,還能夠提升風險綜合評級結果,進而在市場上樹立起管治良好的品牌形象,從而有利于保險產品銷售。反之,如果風險管理能力和水平較差,不僅會加大保險公司自身風險,通過信息披露,影響公司品牌形象,形成惡性循環。因此,在償二代體系下,保險公司風險管理水平將逐步成為競爭優勢。
4 風險導向償付能力體系國際實施經驗分析
從償二代體系和內容來看,與歐洲第二代償付能力監管體系相似度較高,以下通過分析歐盟II執行過程中遇到的難點問題和關注的重點領域,為我國保險公司做好償二代建設工作提供參考。
4.1 報告和信息披露方面 按照歐洲監管要求,歐II實施分為兩個階段:過渡階段和正式實施階段。在過渡期內,2015年保險公司季度報告需要在季度結束后8周內提交,年度報告需要在年度結束后的22周提交;自2016年開始,季度報告需要在季度結束后的8周內提交,年度報告需要在年度結束后的20周內提交。轉入正式實施后,季報報告需要在季度結束后5周內提交,年度報告需要在年度結束后14周內提交。為達成監管要求,歐洲保險公司主要遇到以下困難:
①工作流程方面的挑戰。報告編制的時間大大縮短,要求建立快速高效的工作架構。由于歐II技術方法的復雜性,工作流程變得更加的復雜,除了財務部門外,風險、精算、內控、稅務和投資等部門都要參與到流程當中,需要建立強有力的內控流程,確保按時準確完成報告編制。除償付能力報告之外,公司還需要兼顧會計報告和內含價值報告等。
②基礎數據方面的挑戰。需要充分理解復雜的監管規則,并在整個報告流程中獲取必要的信息,并確保來自于不同來源的信息的一致性和準確性。尤其是資產方基礎數據,資產數據分散在托管行、保險公司、資產管理公司以及其他第三方,現有的資產數據不能滿足歐II的需要。
③信息系統方面的挑戰。鑒于時間和質量要求,必須要建設財務編制信息系統,提供自動化編制的解決方案,涵蓋基礎數據的獲取、存儲和檢查,將財務和風險數據進行整合,建立系統內部控制,保證數據的質量和安全。
從保險公司準備情況來看,大部分保險公司正在制定報告流程、建立報告系統。領先的保險公司在報告流程方面主要將償付能力報告流程與其他報告流程進行整合,健全報告編制內控流程;在數據管理方面,梳理整合歐盟II和其他報告的基礎數據要求,自動化基礎數據獲取,提升基礎數據質量。
4.2 償付能力風險管理方面 歐盟II的二支柱要求保險公司進行風險自評估,并提交評估報告,內容主要涵蓋資本管理、風險管理和戰略規劃。歐洲保險公司主要在以下遇到潛在的挑戰:一是全面風險管理,建立健全風險偏好體系,對重要風險形成風險容忍度,并制定風險限額;二是償付能力評估和業務規劃,識別未來償付能力變化趨勢,制定償付能力和流動性應急預案,將壓力測試、持續性分析和風險調整評價體系與公司戰略計劃相融合;三是風險治理架構,耗費大量時間確定各類風險管理責任人,健全三道風險防范體系,大部分中小保險公司難以有效開展風險監測;四是信息披露,大部分保險公司需要公開披露風險管理框架、流程和自評估情況。
5 做好償二代下償付能力管理需要關注的重點領域
從2016年開始,償二代監管正式開啟。保險公司應當以償二代實施為契機,化挑戰為機遇,苦練內功,持續提升償付能力風險管理水平,打造核心競爭力,樹立良好的市場形象。筆者認為,保險公司應當從以下幾個方面著手,打造符合自身特點的償付能力管理體系。
5.1 償付能力管理架構 償二代的監管體系較償一代更加精細,更加貼近風險,同時也對保險公司提出了更多要求。償一代的方法較為簡單,與公司內部風險管理的關聯度不大,體現在治理架構上,董事會主要是負責報告的編制和資本補充,發揮的作用有限。在償二代體系下,風險狀況與資本要求直接掛鉤,體現了現代風險管理的基本原則,基于監管資本規則結合公司實際建立健全內部管理體系將成為一種必然的選擇。此外,監管機構也賦予了董事會在信息披露方面更明確的職責。這就要求保險公司自上而下的建立起償付能力管理體系,以董事會及其專業委員會作為償付能力管理的最終決策機構,對償付能力政策、資本管理、償付能力風險容忍度等重大事項進行決策,監督公司償付能力狀況,在出現償付能力危機時,及時組織開展自救工作。管理層負責落實董事會確定戰略、方針和政策,明確償付能力管理主責部門,及其他相關部門的工作任務,將各項工作要求落實到具體流程、具體部門和具體崗位,體現在部門和崗位績效考核中,將償付能力管理體系融入公司整體運營架構。
5.2 償付能力管理制度 制度體系和管理政策是各項管理要求落地的基礎和手段。在償二代體系下,保險公司應當首先建立起整個公司的償付能力管理制度,明確償付能力管理的目標、組織架構、部門職責、工作任務和關鍵工作流程。在總領辦法的引導下,還需要制定具體的工作制度。第一支柱下,需要建立起償付能力報告制度,明確資產、負債基礎數據管理要求,制定各部門間配合的工作流程,明確工作任務和時間要求,確保各類償付能力報告能夠在監管要求的時限內完成。此外,還要針對重點難度問題,編寫技術手冊,控制操作風險。第二支柱下,需要建立起兩個自評估制度,一是償付能力管理能力自評估;二是分類監管自評估。自評估不僅更好地支持監管部門對保險公司開展評估工作,更重要的是建立自檢程序,不斷提升償付能力管理水平。第三支柱下,需要建立償付能力信息披露制度,明確日常披露和定期披露各項要求如何在公司各部門、各信息系統中得到落實。同時,加強對銷售人員、柜面人員、客服人員等的教育培訓,向保險消費者傳遞正確的信息,從而樹立專業良好的市場形象。
5.3 基礎管理能力建設 償二代三個支柱的要求是上層建筑,要確保監管合規,并進一步提升管理水平,保險公司必須要打下堅實的基礎。一方面是認清償二代對專業人員的要求。償一代下償付能力以會計報表為基礎,最低資本僅以保險負債規模和風險保額掛鉤,各項專業職能之間的聯系不多,可以在簡單對接的情況下完成各項工作。償二代下最低資本以資產和負債的風險特征為基礎,需要收集、管理龐大的基礎數據,其中大部分為非財務數據。要做好償二代下的償付能力管理,就要求管理人員具備投資、財務和保險精算等的相關知識。目前,公司內部和人才市場上少有這類人員,這就要求保險公司在做好內部專業人員調動的同時,主動規劃好償付能力管理人員的培訓計劃,使其具備工作所需的專業技能。另一方面是注重信息系統建設。及時獲取高質量的信息是開展償付能力管理的基礎和前提。需要建設或改造的系統可能包括財務和報告系統、精算系統、風險管理系統以及業務核心系統。各保險公司根據自身情況確定具體的方案和實施路徑,但是快速提升信息系統支持水平是迫在眉睫的一項工作。
篇(10)
建設“三位一體”的管控機制
在內部控制治理架構與體系方面,中國平安董事會對內部控制的有效性負最終責任。中國平安董事會是一個依托本土優勢并踐行國際化公司治理標準的董事會,現有19名董事中,有3名獨立非執行董事及5名非執行董事來自海外,這些海外董事均為金融、保險、財務、法律等專業領域的資深人士,負責內部控制的建立健全和有效實施,董事會下設審計與風險管理委員會,負責監督、審查公司內部控制的有效實施和內部控制評價情況,協調內部控制審計及其他相關事宜。
中國平安集團設立內控管理中心,包括合規部、風險管理部、稽核監察部;各專業公司層面設立相應的合規、風險管理、稽核監察職能部門。公司持續優化內部控制體系,在公司副總經理兼首席稽核執行官葉素蘭(其作為首席稽核執行官根據《審計與風險管理委員會工作細則》直接向董事長、董事會審計與風險管理委員會報告工作,以確保獨立性)的統籌協調與管理指導下,不斷加強“合規管理、風險管理、稽核監察”三個模塊職能的分工與協作,強化工作銜接與信息共享以及“事前、事中、事后”的三位一體風險管控機制。葉素蘭向《董事會》表示,“三位一體”指三個專業部門在風險管控中分工、配合與協作,強化事前、事中、事后風險管控。其中,合規部門主要履行“風險事前策劃應對”,風險管理部門主要履行“風險事中監測控制”,稽核監察部門主要履行“風險事后監督報告”。業務部門是風險管控的第一道防線,中國平安通過建立內控評價與考核問責,將內部控制與日常經營管理融合,嵌入業務和流程,確立內部控制的核心驅動力,將風險管控盡可能前置。合規部門和風險管理部門是第二道防線,稽核監察部門是第三道防線。
針對綜合金融可能存在的關聯交易、風險轉移、資本重復計算等風險,中國平安通過建立完善嚴格的“法人防火墻”、“財務防火墻”、“交易防火墻”和“信息防火墻”等防火墻制度,將單一/累積風險控制在遠低于集團可接受的水平范圍內。
值得一提的是,平安一直致力于建立一個以國際領先綜合金融服務集團為目標,與自身業務特點相結合的全面風險管理體系。其通過完善的組織架構、規范的管理流程、定量與定性相結合的風險管理技術方法,進行風險的識別、評估和控制,支持業務決策,促進集團有效益可持續健康發展。
中國平安總經理任匯川對《董事會》感慨道:“風控體系非常獨立和嚴格,集團強調法規+1,之所以能放心也是因為有這套體系。”
完善內控評價機制
內控評價機制方面,中國平安確立了以內控評價方法論為基礎,覆蓋全部業務部門進行內控自我評價,風險管理部門進行內控風險評估,稽核監察部門成立專門的評價小組進行內控獨立評價,外部審計師對公司內控狀況進行審計的內控評價機制。
中國平安的內部控制評價工作嚴格遵循相關外部監管規定及公司內部控制評價辦法規定的程序執行。由公司合規部牽頭,會同各業務及相關管理部門進行管理層內控自評,由公司稽核監察部實施內控稽核獨立評價,相關責任部門根據內控缺陷及整改建議制定并執行整改計劃。中國平安不斷完善管理層內控自評和內控稽核獨立評價流程,通過加強項目管理、過程管理、質量復核、固化項目方法和程序、評價結果分類等內容,規范管理層內控自評和內控稽核獨立評價工作的開展。公司通過內部控制系統平臺,完成內部控制評價的發起、測試、匯總、復核、審批、整改追蹤、結果分析等工作。管理層內控自評和內控稽核獨立評價過程中,公司通過訪談、資料收集與研討、專題研討、與行業最佳實踐對比、培訓等方式,收集、確認、分析相關信息,確定與實現公司整體控制目標相關的風險,并在此基礎上辨識與細化相對應的控制活動,然后針對控制活動進行穿行測試和運行有效性測試,獲取充分、相關、可靠的證據對內部控制的有效性進行評價,并書面記錄工作底稿。從定量和定性等方面進行衡量,判斷是否構成內部控制缺陷,對發現的內部控制缺陷,督促相關單位或部門進行整改,并對整改結果進行核查和確認。
中國平安外部審計師安永華明會計師事務所對其財務報告內部控制發表的審計意見認為,于2011年12月31日中國平安按照《企業內部控制基本規范》和相關規定在所有重大方面保持了有效的財務報告內部控制。
打造信賴工程
篇(11)
通過開展藥品安全專項整治工作檢查評估,進一步加強藥品安全監管,把藥品安全工作作為重要的民生工程,堅持標本兼治、著力治本。落實“政府負總責、監管部門各負其責、企業是第一責任人”的藥品安全責任體系,促進醫藥產業又好又快發展,確保公眾用藥安全
二、基本原則
遵循“立足實際、實事求是、標準量化、客觀公正”的原則。
三、檢查評估對象及實施機構
(一)檢查評估對象:各鄉鎮人民政府、街道,各相關部門,藥品及醫療器械流通、使用各環節的企事業單位。
(二)區藥品安全協調領導小組負責實施全區藥品安全專項整治工作檢查評估,指導各部門開展藥品安全專項整治工作的自查自評,組織有關部門組成聯合檢查組,對我區藥品安全專項整治工作進行檢查。
四、檢查評估的內容及標準
(一)各鄉鎮人民政府、街道及相關部門藥品安全專項整治工作開展情況。重點檢查組織領導、整治重點、安全保障、宣傳信息與責任體系建設等方面檢查評估藥品安全專項整治工作的成效。檢查評估標準詳見《藥品安全專項整治工作檢查評估表》(附件1,其中評估內容中的第3項產業結構調整、第6項藥品生產監管和第9項藥品、醫療器械審評審批工作因不屬于我區藥品監管事權范圍,檢查評估時不需進行評估)。
(二)藥品(包括醫療器械)質量狀況評估。以藥品(尤其是基本藥物)抽驗、監督抽驗和質量分析報告為依據,重點評估轄區內基本藥物、特殊藥品及血液制品、生物制品、注射劑等高風險產品的質量狀況。
(三)藥品安全群眾滿意度。主要包括對國藥準字公信力的評價、對打擊假藥的看法、對政府工作的滿意度、對藥品廣告的意見、對安全用藥知識的掌握。
(四)企事業單位自查自評情況。主要包括藥品經營質量管理規范(GSP)標準的執行情況,藥庫藥房規范管理執行情況,經營使用藥品(基本藥物)和高風險產品企業風險控制情況,電子監管碼實施情況,質量受權人制度落實情況,企業自主創新能力,藥品醫療器械研發資料的真實性,誠信建設,規范醫院制劑使用和臨床用藥管理等。(附件2)
五、檢查評估方式方法
(一)檢查評估方式:采取逐級自查自評與檢查評估相結合的方式。
(二)檢查評估方法:采取聽取匯報、查看資料、現場檢查、召開座談會、問卷調查等方法,全面了解被檢查評估對象開展藥品安全專項整治工作情況。
1.聽取匯報。聽取區藥品安全協調領導小組和各相關監管部門的工作匯報。
2.查看資料。查閱專項整治工作文件、會議紀要、工作報表以及有關工作制度規定、違法犯罪案件查處卷宗、新聞宣傳等資料。
3、現場檢查。隨機選擇藥品經營、使用單位進行實地檢查。
4、召開座談會。召開涉藥單位、行業協會和群眾代表參加的座談會。
5、問卷調查。對經營和使用單位的員工、藥監執法人員等進行隨機訪問和調查。
(三)評分辦法:采取具體工作量化評分的方法,分項加權匯總,共分以下四個部分:
1.綜合評估。主要評估相關監管部門藥品安全專項整治工作完成情況(附表規定的內容,不需評估的內容作為合理缺項,不扣分)。分值100分。
2.藥品(含醫療器械,下同)質量狀況評估。以抽驗結果和藥品質量分析報告為依據,自我評價質量狀況。分值100分。
3.藥品安全群眾滿意度。通過發放問卷調查,自我評價群眾滿意度。分值100分。
4.企事業單位自查自評情況。依照《藥品安全專項整治自查整改情況表》,采取具體工作量化評分的方法,由區藥品安全協調領導小組參照各企業自查自評報告、按照評分標準內容檢查評分,并隨機抽查核實。各項評分匯總后,得出總評分,滿分100分。《自查自評情況表》中,企業不涉及的項目可做為合理缺項,在表中的“自查得分”中注明,其合理缺項分值要計入總分中。
以上4項評分加權匯總后,得出總評分,滿分100分,并根據各部門開展專項整治工作的突出成績和明顯不足,在總評分的基礎上可適當加減分,分值為±5分。最后得分95分以上為優秀,94-85分為良好,84-80分為合格。
六、工作安排
(一)年8月5日前,結合轄區內實際情況,制訂藥品安全專項整治工作檢查評估實施方案。
(二)年8月7日前,藥品經營企業、醫療機構等單位完成自查自評工作。
