绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇风险自评报告范文,希望它们能为您的写作提供参考和启发。
作为平安保险集团的首席投资执行官,杨文斌指出,长期以来,中国平安一直高度重视保险资金运用的专业化管理,始终坚持“规范经营、严格管理、稳健发展”的经营方针,实施保险资金运作“安全性、流动性、效益性”的经营原则,贯彻“对客户负责、对员工负责、对股东负责、对社会负责”的经营理念,不断完善保险资金运用管理模式,积极引进全球先进的投资管理手段和国际一流的保险投资人才,构建全方位的风险管控体系,实现了资产规模和效益的同步增长,确保了保险资金长期稳定的保值、增值,连续几年取得了较为理想的投资业绩,在同业中始终名列前茅。
杨文斌介绍说,中国平安自1999年正式成立资产营运中心将保险资金进行集中管理和专业化运作以来,一直致力于建立一套既具有国际领先水平又能满足平安未来发展的、成熟的风险管理体系。目前,中国平安的风险管理体系主要包括三个部分:投资决策机制、风险管理系统和内部管理制度。中国平安的投资管理共分三个层次,第一个层次为集团董事会,第二个层次为集团投资管理委员会、集团风险管理委员会,第三个层次为集团资产营运中心,同时在资产营运中心内设有专门的部门和岗位从事风险管理工作。这种投资管理组织模式的设立一方面有利于简化投资管理流程,保证投资策略执行的一贯性、完整性、及时性和信息传输的充分性、即时性;另一方面则有利于消除系统性风险,使内部监督和反馈机制可以有效运行。
为贯彻落实省分公司对于风控监督的工作要求,督促、推动各主责部门、各经营单位对风控工作执行到位、取得实效,根据国寿人险苏风函(2019)29号《关于下发<中国人寿>的通知》中对风险评估的要求,分公司拟开展主责条线自评工作。
2021年1月20日-1月27日。
二、主要内容
摘要:随着我国寿险业反洗钱工作的进一步深入,建立科学、合理、操作性强的反洗钱自评估体系,不仅是理论研究的迫切任务,也是推行寿险业反洗钱工作方法的迫切需要,具有深远的现实意义。为此,结合公司实际开展的反洗钱自评估工作,从COSO内部控制整合框架的角度,对如何建立一套符合行业实际的反洗钱自评估方法进行了初步探讨。
关键词:寿险业;反洗钱;自评估
中图分类号:F84.67文献标识码:Adoi:10.3969/j.issn.1665-2272.2015.01.014
1反洗钱自评估的涵义及特征
关于内部控制自评估,世界内审协会给出的定义为:控制自评估是一个过程,它通过检查和评估内部控制的完整性和有效性,以此保障经营目标得以实现。
反洗钱自评估属于内部控制自评估范畴,是指有关机构或企业定期或不定期地对反洗钱内部控制系统进行评估,评估内部控制系统的有效性及其实施的效率效果,增强反洗钱责任主体的履责意识和履职能力,以期更好地达成洗钱风险控制的目标。反洗钱自评估不同于外部监管机构开展的反洗钱评估,反洗钱义务履行人是反洗钱自评估工作实施和结果运用的主体。因此,反洗钱自评估呈现三个方面的特点:
(1)反洗钱自评估是金融机构自身实施的评估工作,而不是由外部监管机构实施的;是金融机构反洗钱从业人员或内审人员评估、衡量机构内部的洗钱风险是否存在、控制是否有效的一项工作。
(2)开展反洗钱自评估的工作目的是为机构内部洗钱高风险或问题领域的改进搭建一个内部改进沟通的平台。当自评估发现风险或问题时,自评估团队的角色是协调员和风险与控制概念的传授者,督导洗钱风险存在环节的部门或人员开展整改;
(3)反洗钱自评估具有一定的独立性。自评估团队一般需要上级机构或独立于反洗钱职责履行部门的内审、合规部门人员组成。在自评估过程中能够较为独立地对被评估单位或部门发表评估意见。评估范围和评估内容不受限制。
2反洗钱自评估方法选择及指标制定
反洗钱工作自评估的主要对象是反洗钱内部控制的有效性,即金融机构建立与实施内部控制对实现反洗钱控制目标提供合理保证的程度。从内部控制评价本身以及目前的发展情况来看,主要有详细评价法和风险基础评价法两种方法。按照美国COSO委员会提出的《企业内部控制——整合框架》的有关内容,确定某一内部控制系统是否有效,需要通过对控制环境、风险评估、控制活动、信息与沟通以及监控活动等五个要素是否能够协同发挥作用进行综合评价,这些要素是衡量内部控制有效性的标准。
因此,遵循这一思路,反洗钱自评估的内容就是对金融机构反洗钱领域五个要素的有效性进行全面评价。
(1)控制环境类评估指标。组织开展控制环境评价,应当从组织机构设置、人力资源配备、培训宣传、工作规划、制度健全性等方面着手。如:建立健全反洗钱组织机构情况、反洗钱岗位人员配备情况、反洗钱岗位人员履职能力、业务条线反洗钱人力培训情况及履职能力、高级管理层反洗钱工作参与度、反洗钱工作计划总结、奖惩机制建立情况(如表1)。
(2)风险评估指标。组织开展风险评估,应当从寿险产品及风险划分情况、本机构(部门)所辖地风险突出环节、反洗钱工作薄弱环节及历史洗钱案件发生情况分析认定和风险应对措施(如表2)。
(3)控制活动评估指标。组织开展控制活动评估,应当按照反洗钱内控制度要求,从客户身份识别、交易记录保存、大额和可疑交易识别和报送、风险等级划分及评定等方面设计指标。如:客户身份识别方面可以设计承保环节客户身份识别指标、保全环节识别指标、理赔环节承保指标等(如表3)。
(5)监控活动评估指标。组织开展内部监督评价,应对机构内部就反洗钱工作开展监督检查情况、内部审计部门对反洗钱工作发挥有效的监督作用等方面设计指标(如表5)。
此外,自评估指标在以上分类设计指标基础上,还可以根据自评估单位在反洗钱工作贡献程度、奖惩事件等方面增加调整指标,作为指标体系的加减分项(见表6)。
自评估指标设计后,应根据各项工作的重要程度,结合监管重点和自身薄弱环节以百分制赋予一定的权重分值(见图1),至此反洗钱工作自评估指标体系就基本建立了。
3反洗钱自评估实施步骤与流程
自评估指标体系建立后,自评估工作应按照立项、准备、评估、确认、反馈(报告)和整改六个工作步骤分步实施。具体内容如下:
(1)立项。开展自评估前,反洗钱自评估负责部门就反洗钱自评估工作向本机构反洗钱领导小组汇报,确定评估对象、评估重点、评估目标、评估人员组成及所需经费资源,制定自评估计划和方案。
(2)准备。立项完成后,开始收集和整理非现场评估数据和资料,如:被评估机构和部门的系统客户数据、既往反洗钱工作所获得奖惩资料、评估现场所需的问卷、试卷,通过非现场准备阶段的工作,对评估对象的洗钱风险状况作出初步评价,在此基础上确定有关指标现场所需抽取的样本范围及数量等。
(3)评估。开展现场评估,获取组织机构架构设置、培训宣传、内控制度等其他资料,抽查业务档案、日常反洗钱工作档案等资料,访谈有关反洗钱工作参与人员和条线人员、对有关人员开展反洗钱知识测试等,依据自评估指标逐项进行评定,形成工作底稿,评估时注意留存发现问题类资料。
(4)确认。根据自评估时形成的工作底稿,与被评估单位负责人及经办人员核实评估发现的问题,无误后对工作底稿和评估表签字确认。
(5)反馈。自评估确认结束后,评估人员全面总结被评估单位反洗钱工作开展情况,包括高管人员或负责人履职情况、取得的成绩、值得借鉴的方法、措施,存在问题和风险等,形成书面报告向本机构反洗钱领导小组报告,待机构反洗钱领导小组审议通过后,向被评估单位反馈,反馈的内容既要包括取得成绩、好的做法,还要包括存在的问题、风险分析和改进建议。
(6)整改。自评估机构根据评估发现的问题,督促本评估机构或部门开展整改工作,制定整改措施,根据问题复杂程度,确定整改时限,整改完成后视情况开展整改验收或报告。金融机构的反洗钱自评估如果是由上级公司或独立合规审计部门组织开展,被评估单位还应向上级机构或有关部门报送整改报告。
4反洗钱自评估结果运用
自评估机构在完成评估后,应深入分析评估结果,给予被评估单位较为公允的洗钱风险防控能力综合评价和管理建议,并充分利用自评估结果,分析评估发现问题的症结,找准风险点,拟定有针对性的管理措施加以改进,不断提升自评估机构洗钱风险防控能力。
自评估结果的运用,主要体现在以下四个方面:
(1)通过自评估,检查被评估机构在反洗钱制度设计、流程设计等方面是否能够满足外部监管部门的要求,查找是否存在二者要求相背离或无法满足的现象;
(2)通过自评估,检查被评估机构自身制度设计、流程设计要求与制度和流程实际执行情况之间是否存在差距,查找执行层面的问题;
(3)通过自评估,查找监管制度要求与实际工作执行层面是否存在差距,是否存在监管要求难以实现或无法实现的状况;
(4)通过自评估,确定被评估机构的反洗钱工作整体状况和洗钱风险防范能力,根据评估结果的不同,采取差异化的分类监督措施,从而更为科学合理地配置反洗钱资源,增强反洗钱工作的针对性,有效提升洗钱风险防范水平。
以某人寿保险公司评估结果为例,介绍评估结果与结果运用。
2014年某人寿保险公司省级分公司,根据上述评估指标,对7家机构开展反洗钱自评估,评估结果见表7。
国际金融公司于2002年入股南京银行后,在激活并提高南京银行公司治理水平上发挥了重要的先导作用。当时,国际金融公司的股份为15%,南京银行也成为当时外资占比最高的国内银行。
国际金融公司提倡“好的公司应该有好的董事会”的理念,强化了南京银行的内控建设、风险建设和发展规划的建设,同时完善了内部管理机构。可以说,通过“引资引智”,南京银行领导层认识到了完善公司治理机制的重要性,并根据自身发展状况切实予以加强。
南京银行是启动IPO较早的城市商业银行,要想成功发行上市,最重要的一条是治理要规范。这一时期,南京银行董事会切实将完善公司治理建设列为工作的重中之重,公司治理水平有了质的突破。
此外,这段时期,南京银行还引进了战略投资者法国巴黎银行,发行了次级债券,可以说,南京银行的公司治理较好地体现了职责明确、分权制衡、规范运作、科学合理的公司治理要求。
2007年上市后,公司治理也开始由形备到神似的变化。
在建立激励约束机制上,按照财政部的要求和银监会的《商业银行稳健薪酬指引》,修订了《高级管理人员考评和薪酬激励管理办法》,增加了风险指标的考核和部分薪酬延期支付制度,使考核更加全面、科学、有效。在具体考核上,则实行民主测评、董事考评以及监事会综合评价相结合的方式,实现对高级管理人员履职的科学考评,较好地做到了个人业绩与公司可持续发展的有机统一。
提高公司治理水平在于细节
规范与完善内控程序。主要表现在有较为全面的制度和程序,而且不折不扣地执行。比如,在董事的提名上,董事会对董事人选的原则是用能人,而不是“花瓶”,这点在独立董事的提名程序中体现得特别明显。董事会提名及薪酬委员会有搜寻、初审独立董事人选的工作职责。该委员会按照任职条件的规定,严格对独立董事候选人进行形式和实质审核。形式上的审核主要是对提供资料的完整性和真实性进行审查;而实质审核非常重要,主要是通过多方渠道对其履职的能力和品行进行深入了解,力求能够体现“专业和专注”的履职要求,而且初审的原则是“不求名气,只求合适”,以真正提高南京银行的公司治理水平为目标。
创新风险管控举措。在风险管理上,南京银行先后制定并完善了七大风险管理政策和相适应的风险管理程序、流程。尤其是今年,南京银行认真执行“三办法一指引”,积极进行地方政府融资平台贷款的“解包还原”,严格房地产贷款风险管理,有效开展“内控和案防制度执行年”活动,提升了公司治理效果。同时,完善了风险条线的组织架构,设立了经营层内部控制和风险管理委员会,设立了风险管理部、授信审批部、资产保全部,理顺了风险作业机制;按照银监会的“六项机制”要求,建立了小企业金融部,并按照“两个不低于”强化了对小企业的经营和管理;建立了金融市场部、会计结算部和营运管理部,强化了市场风险和操作风险的管理。
在发展战略上,南京银行建立了三年发展规划,科学指导全行的经营方向和经营目标,并按照自身实际状况建立了发展规划年度回溯评价机制,提高了发展规划执行的合理性和可行性,保证了南京银行的可持续发展。
在资本管理方面,南京银行制定了《资本管理办法》、《资本充足率管理办法》和《三年资本规划》,强化了对资本的规模、风险和持续补充等方面的管理,逐步在资产负债配比、经济资本考核和小企业专营等方面加以运用,同时,通过对年度投资参股计划和分支机构发展计划进行资本量化分析,保证了对资本实行长效管理。
1.风险控制水平
企业管理当局对风险的态度直接影响风险的控制水平。如果企业管理当局喜欢冒险,对面临的风险缺乏预防或控制措施,则会引起巨大损失;如果过分谨慎也会使企业失去发展机会;只有正确地认识风险,并对风险加以控制,才能最大限度地提高企业的利润。这说明风险控制的目的不是为了限制企业的各种经营活动,而是确保它们受到正确的引导,以减少不必要的损失。笔者认为对待风险的策略应该是适当地接受风险,但这并非是盲目地冒险,而是事先合理地预计可能的风险,积极地寻求企业的发展机会。就像一个人不能因为害怕事故而不出门或不驾车,而是应该在其出门或驾车时采取必要的防范措施,如遵守交通规则、扣好安全带或避免高速行驶等。就企业而言,可以发展业务组合(有不同风险和回报的业务的组合)或退出高风险低回报的业务领域。
2.比较风险与回报
风险的可接受水平取决于回报的大小。通常人们为了实现高回报才去冒较大的风险,而不会为了低回报去冒较高的风险。最好的商业机会是回报高而风险小的商业机会;而低回报高风险则会对企业构成较大的危险。
3.风险控制成本
由此可见,企业为降低总体开支水平,必须识别和评估风险,建立适当的控制制度,采取行动管理风险,并对管理的效果进行监督和检查。
二、内部审计领域的风险导向审计
在内部审计领域,人们似乎对风险导向审计方法有着与外部审计不同的理解。内部审计师更多地将风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险[2],并将其作为确定审计项目及其审计重点的依据。内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种方法。国外的许多企业审计实践证明,在内部审计领域实施风险导向审计,改变了内部审计人员探讨风险和内部控制的方法,为内部审计参与风险管提供了基础,促进了内部审计与其它风险管理要素的结合,并已为企业管理当局所接受。
1.内部控制自评(CSA)
内部控制自评是一种新兴的审计技术,最早是由加拿大的一个海湾资源公司开始自我评价运用的内部控制系统,几年来了一套系统的技术和,大大推动了该公司内部控制的和完善。这种方法在美国、加拿大及欧洲开展的较多。内部控制自评的方法就是要部审计人员与被审计单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。CSA有如下优点:
对管理部门而言,内部控制自评可以反映当前管理控制中存在的问题,也向高层管理部门表明他们对现存内部控制的态度,明确了管理责任,保证企业内部有良好的人员分工,使其更好地履行职责。
2.内部控制矩阵法
内部控制矩阵法是审计人员根据企业经营目标、险与控制之间的联系,为确保审计建议能针对重要的风险而建立的一张工作表。如表1.
该表包含了下列信息:明确企业的经营目标,审计人员对被审计事项的初步了解,根据初步了解的情况识别风险因素,衡量风险的重要程度,采取适当的控制措施,控制措施是否会其他目标的实现,审计人员的评价和结论。
3.利用信息开展动态评估
数据库法的优点是把企业面临的风险进行量化,发挥预警的作用,以便及早发现企业存在的问题,及时进行处理。内部审计人员通过访问数据库,了解哪里存在风险,风险的严重程度,并将风险按重要程度进行排序。例如,我们以应收帐款的回收期作为一个风险因素,通过询问数据库就可以查出所有存在应收帐款超期的部门,并按超过的期限进行排列。又如,一家餐厅希望获得销售酒类的高利润,酒类销售额需维持在总收入的40%,因此,当酒类销售额降到总收入的25%~35%时,管理阶层即警觉到顾客对酒类的需求态度已经改变,而立刻设计新的菜单,增加食物的销量,以维持总的销售收入不变。由此可见,预警制度并非完全针对防弊,而是为及早发现经营中存在的问题,并采取有效的控制措施。这种方法的弱点是在为风险管理者提供大量资料的同时,也可能使其难以发现重点。
「
[1]陈汉文。证券市场与监督[M].北京:财政出版社,2001.525.
[2]刘力云。审计风险与控制[M].北京:中国审计出版社,1999.153.
[3]DavidB.Crawford.LevelsofControl[J].InternalAuditor.2000(10):42-45.
[4]DavidMcnamee,GeorgesSelim.NestStepinRiskManagement[J].InternalAuditor.1999,(6):36-38.
目前平安集团保持着健全的公司治理结构和风险管控的三道防线,包括:
第一道防线:业务及管理部门。作为风险管控的第一责任单位,执行公司制定的风险内控政策,并组织开展业务自我改进。
第三道防线:监察稽核的职能部门。稽核部门作为相对独立的部门,对公司风险内控体系和机制的整体运作情况(内控机制的设计有效性和执行有效性)进行独立评价和报告。
创建平安信赖工程
信用、信誉是金融企业的生命,信心、信赖是金融企业成长壮大的基石。全球金融危机的爆发、蔓延再一次验证了内控管理对于企业的意义,对以金融服务为业的平安而言,内控管理水平更是能否赢得客户信赖、能否保证股东利益并确保监管放心的衡量标准。
公司领导明确指出:内部控制管理不是被动地满足法规的要求,而是公司经营管理的内在需求,内部控制管理也不仅仅可以控制风险,更可以增强客户信赖,提高老客户忠诚度,吸引更多的新客户,促进公司业务发展。
平安根据国家法律法规以及监管要求,结合公司经营管理的需要,确立了以“促进公司三大支柱业务(保险、银行、资产管理)以及整个集团有效益可持续健康发展”为公司内控与风险管理的长期目标;建立了覆盖全面、运作规范、针对性强、执行到位、监督有力的合规内控与风险管理体系和运行机制。先进的内控管理机制为公司持续稳健发展提供了保障,为客户利益维护建立了坚实的保护屏障,为公司战略有效实施奠定了坚实的基础。把信赖建立在机制上,把信赖建立在系统、平台上,把信赖建立在可预期的结果上。
满足法规只是起点
内部控制“体系是否健全”、“运行是否有效”是平安管理层非常关心的问题,也是即将或准备实施内控体系建设的企业所关心的。根据《基本规范》的要求,企业需要报告和披露在规定时点内部控制运行有效性的评价结果。表面看起来企业只要顺利通过会计师事务所进行的内部控制审计就算过关了,但平安管理层确定的内控目标不仅如此,更强调提升内部控制管理的长效机制和持续保证能力,至少应实现以下目标:
顺利通过会计师事务所进行的内部控制审计;
形成风险识别、评估和内部控制制度设计、运行及控制效果测试评价的标准流程,并保持动态更新、反复运行;
记录内部控制管理和维护的过程轨迹;
梳理并分类归档内部控制设计及运行有效性的举证资料,并动态保持其充分有效性;
形成内控风险及缺陷的主动检视、持续改进、自我完善的运行机制;
在构建平安集团合规内控体系的过程中,平安一方面努力加强内部制度和风险内控团队建设;另一方面充分利用外脑,与国际知名咨询机构积极合作,借鉴国际、国内先进的风险内控管理方法、成熟经验和现代化工具。
特别是2008年6月五部委正式《基本规范》后,平安集团管理层非常重视,敏锐地认识到建立健全内部控制体系不仅是监管机构的合规要求,更是获得客户信赖,提升公司品牌,提升上市公司外部评价的契机和抓手。认识决定态度,思想决定行动。在对美国萨班斯奥克斯利法案、COSO内部控制以及企业风险管理架构等制度、标准及其实施状况进行调研的基础上,结合平安的战略方向及现实状况,平安管理层以“务实”、“整合”为核心价值理念,提出“以风险为导向、以制度为基础、以流程为纽带、以内控系统为抓手”的26字方针,为整个集团内部控制体系建设明确了“四项基本原则”。
以风险为导向
以制度为基础
平安集团充分认识到现代企业的管理中,制度是核心和基础。通过制度进行管理,最能体现效率,最能体现统一性和质量标准,因此制度建设是平安内控体系建设的一个重要内容。内控制度并非是现有业务部门日常管理制度的简单集合,也不是游离于现有业务管理制度之外的一套完全独立的制度体系,而是对现有业务管理制度补充、完善、整合的过程。制度在企业内部应该只有统一的一套,保持“唯一正确性”,这一点非常重要。平安现已建立并不断完善内控制度体系,明确各层级的职责定位和工作目标,确定内控工作开展的程序循环。集团合规部牵头完成平安《内部控制评价管理办法》和《内部控制自评手册》,以期建立健全“以风险管控和内部控制评价为导向,以合规、风控等公司制度为核心和依据,以内部控制自评手册为工具和方法”的内部控制制度体系。
以流程为纽带
部分企业在进行风险评估时,往往习惯于以部门为单位,殊不知风险的产生和由此带来的结果往往是叠加的、跨部门的,因为一个完整业务流程的实现是多个部门之间协同工作、相互配合的结果。如果仅从部门的角度看风险,往往看不清楚、看不全面,容易以偏概全,进而影响对风险的评级及相应内控点的识别。平安“以流程为纽带”将内部控制落实于业务流程的全过程,以流程为脉络识别风险点,消除了各部门间的壁垒和脱节,避免出现真空地带,增强了流程的衔接性,也更易于从整体的视角把握企业的风险点。平安在内控评价过程中,涵盖了绝大部分法人专业子公司及其关键业务流程。
以内控系统为抓手
全员参与、分级实施、逐级汇总
内控项目在开展初期采取“全员参与、分级实施、逐级汇总”的方式,总体安排分为设计阶段(确定项目范围和风险评估)、计划阶段(试点,确定内控自评方法、工具、模板,搭建内控管理电子平台)、推广阶段(全面推广)阶段。目前,平安已经把这些动作纳入了日常常态管理的模式。
项目历时将近3年,涉及平安集团保险、银行、投资各板块多家法人公司及其关键业务流程,超过3000名平安员工直接参与了本项目的开展,接受了咨询公司关于内控方法论的培训。通过本项目的开展,内控自我评价工作已纳入各公司、各部门的日常工作范围,并设计相应机制促进内部控制活动基于内外部环境的变化而及时进行相应的调整。
项目成果
建立了一个体系
平安现已基本建立并不断完善合规内控管理体系,通过体系的力量推进风险和内控合规“PDCA”管理闭循环,使平安内控管理中心各部门目标统一、高效配合,同时也促进了风险管控三道防线之间的联动与有效运作。
导入了一套标准
通过内部控制操作标准和相应测试标准的建立,加强了内控评价工作的可操作性,并且促进了公司各业务单元之间的横向比较和内部对标学习。
完善了一批流程
通过内控评审完善了原有的流程与制度,通过与国内外行业最佳实践的对比,从提高经营效率效果角度完善了多项内控流程,以缓释潜在风险,并加以追踪落实和明确各自的部门责任。
培养了一批人才
PCAOB的审计准则将“实质性漏洞”定义为:“如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时,该缺陷就构成实质性漏洞(materialweakness)”。
关于实质性漏洞的类型,本文借鉴Ge和McVay(2005)的研究思路并将上市银行漏洞划分为九大类型,为了便于读者理解实质性漏洞的概念及其具体表现形式,本文列举了每一类型实质性漏洞缺陷的表现形式(具体见表1)。
二浦发银行内控实质性漏洞信息披露状况分析
(一)内控信息披露状况分析
由于2000-2010年资本市场对上市公司内控信息的披露规定经历了波段起伏的变化,故上市公司内控信息分布比较零散。本文采取手工统计的方式对浦发银行自上市以来10份年度报告中的“银行业务信息与数据”、“公司治理结构”、“股东大会情况简介”、“董事会报告”,“监事会报告”、“重要事项”、“报表附注”以及“附件”等部分披露的内控信息状况进行统计分析。
1内控信息披露的分布状况
浦发银行自上市以来的内控信息披露状况如表3所示。
2内控信息披露的连续性
(二)实质性漏洞披露状况分析
1实质性漏洞数量分析
2实质性漏洞披露载体与类型分析
三结论与政策建议
关,实质性漏洞信息的披露并非公司的自愿行为,而是在遭到监管部门的处罚后被迫披露的。
鉴于此,笔者对完善内控实质性漏洞信息披露作出如下几点建议:
内部控制起源于西方,尤其是自1992年9月,美国反虚假财务报告委员会的发起组织委员会(COSO)了一份报告《内部控制:整合框架》,提出了内部控制的三项目标和五大要素,标志着美国的内部控制进入了一个新的发展阶段。
内部控制这一概念导入我国不过近10年的历史。2008年6月28日,财政部、证监委、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,了《企业内部控制基本规范》。2010年4月24日,五部委在北京正式《企业内部控制配套指引》,标志着我国的内部控制体系建设取得重大突破,进入了一个全新格局。
二、提升认知水平
从某种程度上来讲,内控真正引起国资管理部门和国企经营管理者的重视不过也就是近几年的事情。因此,很多企业对内控的认知水平并不高,认识往往仅局限在内部监督或内部控制制度等简单层面,并未了解这种模式的优点是增加了风险评估要素,可以利用已经发生的事情来进行分析,减少事后发生风险的可能性,使它成为一个既控制舞弊又控制风险的控制模式。例如,通过内控测试发现,下属企业与营业执照经营范围无“食品批发与销售”资质,食品流通许可证经营方式为“食品销售管理”,而非“批发”或“零售”的供应商有采购业务往来,我们可以判断出潜在的风险,若出现食品质量安全问题,可能使企业遭受经济损失、信誉损失,引发企业的经营风险及法律风险。由此可见,企业内部控制的目标之一是要将从控制事后风险逐渐向控制事前风险过渡和转化。通过控制风险,企业内部控制将会同步发现自身问题和机遇,有利于企业持续、健康发展。
因此,董事会、监事会、管理层及全体员工对内控的认知程度,直接影响了内控的建设和实施,企业的内控建设首先要扫清的障碍是对内控认知的混乱,提高全社会、各企业对内控建设的正确认知乃重中之重。
三、浅淡内控规范实施
步骤一、制定年度内控实施工作方案及具体行动计划
企业年度内部控制规划实施工作方案要求涵盖公司基本情况、内部控制工作的组织领导、内部控制建设工作计划、内部控制自我评价工作计划及内部控制审计工作计划。
公司基本情况应包括公司简称、股票代码、上市情况、组织架构、公司性质、资产规模、经营范围、控股子公司情况、参股公司情况等。
内部控制建设工作计划应首先制定内控缺陷整改方案,根据已查找出的内控缺陷,完成内控缺陷整改方案。其次落实内控缺陷整改工作,各责任部门根据内控缺陷整改方案完成整改工作;计划财务部、董秘室、审计室等检查整改效果。再次确定内控实施工作情况披露,董事会将按照上市公司信息披露要求,在定期报告中及时披露内控实施工作情况。
内部控制审计工作计划应确定内控外部审计机构,对以某年某月某日为基准日的财务报告内部控制设计与运行有效性发表审计意见,出具内部控制审计报告。
具体行动计划分解到月,列明每月内控工作推进的内容、责任人、工作目标及需要协调资源等。
步骤二、明确内控工作组织领导和工作小组
步骤三、搭建培训师队伍,开展《企业内控手册》专题培训
抽调总部各职能部门专业人员担任培训师,结合实际,就《企业内控手册》涉及各专业板块的风险描述、风险控制对下属企业进行专题培训,并有合格会计师事务所内控专家对关键风控点作点评。
步骤四、启动内控宣贯动员大会
首席执行官作内控宣贯总动员,学院内控教授或行业内控专家配合总动员作《企业内控与风险管理》专题报告,以生动、形象、深刻的案例说明内控工作的重要性。出席对象总部各职能部门负责人、企业总经理、财务总监、审计主任等部门负责人。
步骤五、各类测试模版的编制
步骤六、下达《关于开展企业内部控制规范自测自评的通知》
自测自评范围,某公司所有附属公司,包括各分公司、子公司和总部各部室。
对标使用文件:总部各职能部门对标使用附件二①,某板块对标使用附件二②,其他企业对标使用附件二③。
自测跟踪,企业完成对标工作后,总部各职能部门应组织力量对各企业对口部门进行后续跟踪,并应就跟踪发现的未达标情况,提请企业限时整改。同时,将跟踪情况形成汇总报告,提交总部内控工作推进小组。
测试评估,总部内控工作推进小组将派内控规范测试小组,对纳入评价范围分子公司,按照确定的关键业务流程及其控制活动的测试程序进行测试。
步骤七、构建两支队伍,做好测试跟踪及测试评估
一支队伍,由总部各职能部门专业人士组成,落实《通知》要求的自测跟踪;另一支队伍,由总部内审与外部专业人士共同组成测试小组,落实《通知》要求的测试评估。
步骤八、进行现场测试
步骤九、编制、复核测试工作底稿,出具内控测试报告
测试小组编制、复核被测试企业测试工作底稿,并与被测试企业就测试情况进行沟通,交换意见,形成测试结果和整改建议汇总表,出具被测试企业内控测试报告。内控测试报告内容涵盖项目立项依据、被测试企业、测试期间、测试流程、测试方法、测试结果及测试发现的问题、存在风险及整改建议等。
步骤十、下达整改任务书
0引言
1国际偿付能力监管模式
受各国保险市场经济环境、发展背景和水平等差异,目前保险业尚未建立起全球统一的偿付能力监管规则。从整体上看,偿付能力监管模式主要有两个代表性模式:一是欧盟体系(欧盟Ⅰ、欧盟Ⅱ);二是美国风险资本制度(简称RBC)。国际保险监督官协会正在组织全球大型保险公司进行国际资本监管标准的制定和实地测试工作,预计2019年开始实施共同框架。该规则体系也是以风险为导向,以合并报表为基础,充分反映保险公司风险状况,加强资本监管。
2偿二代监管体系解析
偿二代偿付能力监管规则体系(1-17号监管规则)自2015年进入过渡期,2016年开始进入正式执行阶段,各保险公司停止执行原偿付能力监管规则体系。在偿二代监管体系下,偿付能力监管将依托于三个支柱开展:
2.2第二支柱第二支柱主要包括偿付能力风险管理能力评估和分类监管。其中,风险管理能评估涵盖七大类风险,对每类风险管理提出具体的要求和评估标准。保监会将每年组织对保险公司偿付能力管理能力进行评估,此种做法与欧盟Ⅱ有相似之处,创新点体现在将评估得分与最低资本要求挂钩,以80分为分界线,80分之上可以减少资本,80分之下将增加资本要求。这一创新将偿付能力管理水平与资本要求相联接,风险管理直接创造价值,将大大推动保险公司提升风险管理水平的积极性。分类监管也体现出中国特色,保监会将在法人单位和分支机构两个层面上根据公司偿付能力状况和风险状况,对保险公司进行评级。与偿一代相比,评级与风险挂钩,风险越大,评级结果就越低。
3构建偿二代下偿付能力管理体系的紧迫性
偿二代不仅涉及风险量化,更加强调风险管理和信息披露。与偿一代相比,体系更加完整,三支柱之间逻辑更加一致。偿二代自2016年起执行,建立健全偿二代下偿付能力管理体系势在必行。
3.2从内部管理上看,是提升价值和企业竞争力的迫切需要偿二代体系正式实施之后,将推动全面风险管理在保险公司真正的落地。风险管理做得好的保险公司,不仅能够降低最低资本要求,提升股东回报,还能够提升风险综合评级结果,进而在市场上树立起管治良好的品牌形象,从而有利于保险产品销售。反之,如果风险管理能力和水平较差,不仅会加大保险公司自身风险,通过信息披露,影响公司品牌形象,形成恶性循环。因此,在偿二代体系下,保险公司风险管理水平将逐步成为竞争优势。
4风险导向偿付能力体系国际实施经验分析
4.1报告和信息披露方面按照欧洲监管要求,欧II实施分为两个阶段:过渡阶段和正式实施阶段。在过渡期内,2015年保险公司季度报告需要在季度结束后8周内提交,年度报告需要在年度结束后的22周提交;自2016年开始,季度报告需要在季度结束后的8周内提交,年度报告需要在年度结束后的20周内提交。转入正式实施后,季报报告需要在季度结束后5周内提交,年度报告需要在年度结束后14周内提交。为达成监管要求,欧洲保险公司主要遇到以下困难:
从保险公司准备情况来看,大部分保险公司正在制定报告流程、建立报告系统。领先的保险公司在报告流程方面主要将偿付能力报告流程与其他报告流程进行整合,健全报告编制内控流程;在数据管理方面,梳理整合欧盟II和其他报告的基础数据要求,自动化基础数据获取,提升基础数据质量。
从2016年开始,偿二代监管正式开启。保险公司应当以偿二代实施为契机,化挑战为机遇,苦练内功,持续提升偿付能力风险管理水平,打造核心竞争力,树立良好的市场形象。笔者认为,保险公司应当从以下几个方面着手,打造符合自身特点的偿付能力管理体系。
建设“三位一体”的管控机制
中国平安集团设立内控管理中心,包括合规部、风险管理部、稽核监察部;各专业公司层面设立相应的合规、风险管理、稽核监察职能部门。公司持续优化内部控制体系,在公司副总经理兼首席稽核执行官叶素兰(其作为首席稽核执行官根据《审计与风险管理委员会工作细则》直接向董事长、董事会审计与风险管理委员会报告工作,以确保独立性)的统筹协调与管理指导下,不断加强“合规管理、风险管理、稽核监察”三个模块职能的分工与协作,强化工作衔接与信息共享以及“事前、事中、事后”的三位一体风险管控机制。叶素兰向《董事会》表示,“三位一体”指三个专业部门在风险管控中分工、配合与协作,强化事前、事中、事后风险管控。其中,合规部门主要履行“风险事前策划应对”,风险管理部门主要履行“风险事中监测控制”,稽核监察部门主要履行“风险事后监督报告”。业务部门是风险管控的第一道防线,中国平安通过建立内控评价与考核问责,将内部控制与日常经营管理融合,嵌入业务和流程,确立内部控制的核心驱动力,将风险管控尽可能前置。合规部门和风险管理部门是第二道防线,稽核监察部门是第三道防线。
针对综合金融可能存在的关联交易、风险转移、资本重复计算等风险,中国平安通过建立完善严格的“法人防火墙”、“财务防火墙”、“交易防火墙”和“信息防火墙”等防火墙制度,将单一/累积风险控制在远低于集团可接受的水平范围内。
值得一提的是,平安一直致力于建立一个以国际领先综合金融服务集团为目标,与自身业务特点相结合的全面风险管理体系。其通过完善的组织架构、规范的管理流程、定量与定性相结合的风险管理技术方法,进行风险的识别、评估和控制,支持业务决策,促进集团有效益可持续健康发展。
中国平安总经理任汇川对《董事会》感慨道:“风控体系非常独立和严格,集团强调法规+1,之所以能放心也是因为有这套体系。”
完善内控评价机制
内控评价机制方面,中国平安确立了以内控评价方法论为基础,覆盖全部业务部门进行内控自我评价,风险管理部门进行内控风险评估,稽核监察部门成立专门的评价小组进行内控独立评价,外部审计师对公司内控状况进行审计的内控评价机制。
打造信赖工程
通过开展药品安全专项整治工作检查评估,进一步加强药品安全监管,把药品安全工作作为重要的民生工程,坚持标本兼治、着力治本。落实“政府负总责、监管部门各负其责、企业是第一责任人”的药品安全责任体系,促进医药产业又好又快发展,确保公众用药安全
二、基本原则
遵循“立足实际、实事求是、标准量化、客观公正”的原则。
三、检查评估对象及实施机构
(二)区药品安全协调领导小组负责实施全区药品安全专项整治工作检查评估,指导各部门开展药品安全专项整治工作的自查自评,组织有关部门组成联合检查组,对我区药品安全专项整治工作进行检查。
四、检查评估的内容及标准
(二)药品(包括医疗器械)质量状况评估。以药品(尤其是基本药物)抽验、监督抽验和质量分析报告为依据,重点评估辖区内基本药物、特殊药品及血液制品、生物制品、注射剂等高风险产品的质量状况。
(四)企事业单位自查自评情况。主要包括药品经营质量管理规范(GSP)标准的执行情况,药库药房规范管理执行情况,经营使用药品(基本药物)和高风险产品企业风险控制情况,电子监管码实施情况,质量受权人制度落实情况,企业自主创新能力,药品医疗器械研发资料的真实性,诚信建设,规范医院制剂使用和临床用药管理等。(附件2)
五、检查评估方式方法
(一)检查评估方式:采取逐级自查自评与检查评估相结合的方式。
(二)检查评估方法:采取听取汇报、查看资料、现场检查、召开座谈会、问卷调查等方法,全面了解被检查评估对象开展药品安全专项整治工作情况。
2.查看资料。查阅专项整治工作文件、会议纪要、工作报表以及有关工作制度规定、违法犯罪案件查处卷宗、新闻宣传等资料。
3、现场检查。随机选择药品经营、使用单位进行实地检查。
4、召开座谈会。召开涉药单位、行业协会和群众代表参加的座谈会。
5、问卷调查。对经营和使用单位的员工、药监执法人员等进行随机访问和调查。
(三)评分办法:采取具体工作量化评分的方法,分项加权汇总,共分以下四个部分:
2.药品(含医疗器械,下同)质量状况评估。以抽验结果和药品质量分析报告为依据,自我评价质量状况。分值100分。
3.药品安全群众满意度。通过发放问卷调查,自我评价群众满意度。分值100分。
4.企事业单位自查自评情况。依照《药品安全专项整治自查整改情况表》,采取具体工作量化评分的方法,由区药品安全协调领导小组参照各企业自查自评报告、按照评分标准内容检查评分,并随机抽查核实。各项评分汇总后,得出总评分,满分100分。《自查自评情况表》中,企业不涉及的项目可做为合理缺项,在表中的“自查得分”中注明,其合理缺项分值要计入总分中。
以上4项评分加权汇总后,得出总评分,满分100分,并根据各部门开展专项整治工作的突出成绩和明显不足,在总评分的基础上可适当加减分,分值为±5分。最后得分95分以上为优秀,94-85分为良好,84-80分为合格。
六、工作安排
(一)年8月5日前,结合辖区内实际情况,制订药品安全专项整治工作检查评估实施方案。
(二)年8月7日前,药品经营企业、医疗机构等单位完成自查自评工作。