时间:2023-03-02 15:07:42
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇风险自评报告范例。如需获取更多原创内容,可随时联系我们的客服老师。
(一)动员部署阶段工作情况(30分,自评分28分)
1、建立健全组织领导机构。局党组召开会议专题研究部署了廉政风险防控工作;成立了领导小组并有一名领导班子成员分管;设立了廉政风险防控工作办公室并有专人办公;制定了县商务局廉政风险防控工作方案,自评分10分。
2、党组主要领导履行第一责任人职责、分管领导具体负责、纪检监察机关发挥组织协调作用。局党组书记、局长亲自研究、动员部署此项工作;分管领导定期协调解决工作中的问题;对基层单位及部门开展了两次以上的监督检查,自评分10分
3、宣传发动工作贯穿始终,营造良好舆论氛围。局党组及时召开了动员会;在整个工作过程中遇到问题及时召开推进会,共召开推进会两次;组织全体工作人员开展了专题业务培训;在本单位的“商务之窗网站”设立了专题网页,自评分8分
(二)重点推进阶段工作情况(50分)
1、清权确权(20分,自评分20分))
(1)按照有关法律法规及“三定方案”,对涉及商务部门权力的事项进行了全面清理。自评分8分。
(2)详细编制了内部及外部职权目录。自评分4分。
(3)根据职权目录认真绘制了内部及外部权力运行流程图。自评分4分。
(4)以印发文件、制作展板方式并在政府信息公开网上公开公示了本单位职权目录和权力运行流程图。自评分4分。
2、排查风险点,确定风险等级(15分,自评分15分)
(1)排查风险点。风险排查按照单位、部门和岗位三个层面进行;党政正职、领导班子成员、中层以下干部全部进行了风险排查,无人员遗漏;风险排查紧紧围绕“三重一大”进行排查。全局共排查领导岗位3个,其他岗位3个,内设机构3个,自评分10分。
(2)风险等级评估。逐一评估风险点、确定风险等级,共排查出高、中、低风险点52个,制定防控措施49条。自评分5分。
3、制定防控措施和处置纠正问题(15分,自评分15分)
(1)制定防控措施。针对排查出的风险点“一对一”制定防控措施;防控措施有针对性和可操作性;建立了廉政风险点目录并以展板形式进行了公开公示。自评分10分。
(2)处置纠正廉政风险防控工作中发现的问题。对廉政风险防控工作中发现的问题,及时处置,切实整改到位。自评分5分。
(三)检查考核阶段工作情况(20分,自评分20分)
一、组织健全,目标明确
为保证“评星选优”工作稳步有序开展,我局成立了绥中县农电局“评星选优”工作领导小组,负责工作的组织策划。下设党群办为“评星选优”活动办公室,负责工作的具体实施和监督落实。并结合我局工作实际,形成可行性强的实施要点和工作细则,明确工作目标,抓住工作重点,理顺工作思路,确保活动实效。
二、制度完善,保障有力
为使“评星创优”工作有顺进行,我局完善了多种工作机制。
1、责任管理机制。将行风建设和优质服务作为局长与各部门、各供电所签定的《2010年管理责任书》的重要考核指标,并对发生服务事故,行风暴光事件和严重的违法违纪案件,均实行“一票否决”制。
2、完善行风工作考核机制。坚持实行月季考核制度;不断完善监督机制,坚持聘请行风监督员,进一步完善行风监督员建档归档工作,确保有序、有效、便于工作开展。深入开展大客户走访和基层所互查互评,组织召开了基层所行风工作经验交流会,汲取经验,形成互补。
3、健全行风建设奖惩机制。(1)对服务窗口及行风建设工作实行年底评先选优制,对“标兵单位”和“服务之星”进行奖励。(2)对敬业爱岗先进典型进行褒奖。(3)与中层领导干部及基层所长签定《2010年纠(党)风及精神文明建设责任书》,将行风工作细化量化,责任落实到人;并与奖金挂勾,实行重奖重惩。以此提高领导干部重行风、抓行风、管行风的主观能动性。(4)建立问责制。严肃查处员工的违法违纪行为。(5)严格业务技能考核奖惩机制,对成绩优异的集体和个人给予重奖。
4、完善监督机制。一是内部监督。我们采取的是每月有抽查,季度有检查,半年有初评,年终有总评;实行明查暗访制度和定期走访制度相结合。具统计,我局全年共走访客户152次。组织大型检查3次。进行不同层次的暗访6次,使客户意见和建议得到真实、有效的反馈。二是外部监督。(1)公开“十项”服务承诺、服务标准和服务流程;(2)坚持重大客户走访制度,并发放连心卡500张。坚持客户满意度调查,发放问卷调查1000份,了解客户的期望和需求。(3)及时向政府及有关部门汇报工作,主动邀请县人大领导、县政协领导视察农电工作,让他们了解农电工作,支持农电工作。(4)基层单位公开服务热线、投诉举报热线,实行无周日工作制,确保咨询电话、报修电话24小时开通。坚持所长接待日制度,认真对待客户的投诉,利用客户投诉这面镜子,不断改进和完善服务工作。确保电费张榜公开率100%。
三、注重宣传,营造氛围
1、加大新闻报道工作管理力度,建立员工投稿奖励机制,鼓励干部职工向各类报纸、书刊、网站投递稿件,积极宣传我局行风建设优质服务成果,增强企业健康向上的社会形象,营造良好的舆论氛围。
2、充分利用企业宣传媒体,推进“评星选优”工作良性发展。加大绥中农电信息网站建设力度,对新闻资讯进行及时更新,对“评星选优”工作进行实时报道。在绥中农电动态工作简报中设立专栏,为“评星选优”工作搭建交流经验、互助提高、共同学习的平台。
四、选好载体,突出实效
1、加大窗口建设力度。在局客户服务大厅及各基层供电营业所服务窗口统一国网公司标识,加大环境建设力度,确保服务用品齐全,窗口标志、图表统一规范。对服务人员进行定期培训,切实规范人员服务行为,确保办事效率高、业务水平强、行为养成好、服务态度佳。完善服务工作体系,规范服务流程,实行真正的“一口对外”。
充分发挥客户服务热线作用, 进一步完善局客户中心投报受理职能,实行24小时值班值宿制度;与邮局联网,在部分供电营业所实行邮储电费代收业务。
2、提高优质服务水平。首先,加强员工职业道德建设、职业纪律和优质服务行为规范的教育,深入推行“三个十条”和《国家电网公司员工守则》,增强员工的优质服务理念。其次,健全服务机制,坚持局(所长)接待日制度,定期接待客户走访。基层单位坚持实行周日工作制,确保咨询电话、报修电话24小时开通。继续实行首问负责制、换位思考制,明确首问内容、标准,了解客户所想、所需、所求。再次,加强电网建设,提高两率,提供电力供应可靠系数。增强“大行风、大服务”意识,不断加强电网建设,构筑坚实网架,增强供电可靠性。合理安排检修,扎实开展春、秋检,实现安全、优质、可靠供电,抓好安全生产,搞好线路日常维护,确保安全稳定运行,不断提高两率指标。
五、不足之处:
1、人员对“评星创优”活动认识不够,在下步工作中,加强教育学习,使“评星创优”工作真正深入人心,做到“人人参与,个个有责”。
2、载体不够多样,没有完全将活动与工作完全结合。在下步工作中,我们将打造全新的活动载体,确保活动与工作有效切入,完全融入。
(中国人寿保险股份有限公司湖北省分公司 湖北 武汉 430071)
摘 要:随着我国寿险业反洗钱工作的进一步深入,建立科学、合理、操作性强的反洗钱自评估体系,不仅是理论研究的迫切任务,也是推行寿险业反洗钱工作方法的迫切需要,具有深远的现实意义。为此,结合公司实际开展的反洗钱自评估工作,从COSO内部控制整合框架的角度,对如何建立一套符合行业实际的反洗钱自评估方法进行了初步探讨。
关键词 :寿险业;反洗钱;自评估
中图分类号:F84.67 文献标识码:A doi:10.3969/j.issn.1665-2272.2015.01.014
1 反洗钱自评估的涵义及特征
关于内部控制自评估,世界内审协会给出的定义为:控制自评估是一个过程,它通过检查和评估内部控制的完整性和有效性,以此保障经营目标得以实现。
反洗钱自评估属于内部控制自评估范畴,是指有关机构或企业定期或不定期地对反洗钱内部控制系统进行评估,评估内部控制系统的有效性及其实施的效率效果,增强反洗钱责任主体的履责意识和履职能力,以期更好地达成洗钱风险控制的目标。反洗钱自评估不同于外部监管机构开展的反洗钱评估,反洗钱义务履行人是反洗钱自评估工作实施和结果运用的主体。因此,反洗钱自评估呈现三个方面的特点:
(1)反洗钱自评估是金融机构自身实施的评估工作,而不是由外部监管机构实施的;是金融机构反洗钱从业人员或内审人员评估、衡量机构内部的洗钱风险是否存在、控制是否有效的一项工作。
(2)开展反洗钱自评估的工作目的是为机构内部洗钱高风险或问题领域的改进搭建一个内部改进沟通的平台。当自评估发现风险或问题时,自评估团队的角色是协调员和风险与控制概念的传授者,督导洗钱风险存在环节的部门或人员开展整改;
(3)反洗钱自评估具有一定的独立性。自评估团队一般需要上级机构或独立于反洗钱职责履行部门的内审、合规部门人员组成。在自评估过程中能够较为独立地对被评估单位或部门发表评估意见。评估范围和评估内容不受限制。
2 反洗钱自评估方法选择及指标制定
反洗钱工作自评估的主要对象是反洗钱内部控制的有效性,即金融机构建立与实施内部控制对实现反洗钱控制目标提供合理保证的程度。从内部控制评价本身以及目前的发展情况来看,主要有详细评价法和风险基础评价法两种方法。按照美国COSO委员会提出的《企业内部控制——整合框架》的有关内容,确定某一内部控制系统是否有效,需要通过对控制环境、风险评估、控制活动、信息与沟通以及监控活动等五个要素是否能够协同发挥作用进行综合评价,这些要素是衡量内部控制有效性的标准。
因此,遵循这一思路,反洗钱自评估的内容就是对金融机构反洗钱领域五个要素的有效性进行全面评价。
(1)控制环境类评估指标。组织开展控制环境评价,应当从组织机构设置、人力资源配备、培训宣传、工作规划、制度健全性等方面着手。如:建立健全反洗钱组织机构情况、反洗钱岗位人员配备情况、反洗钱岗位人员履职能力、业务条线反洗钱人力培训情况及履职能力、高级管理层反洗钱工作参与度、反洗钱工作计划总结、奖惩机制建立情况(如表1)。
(2)风险评估指标。组织开展风险评估,应当从寿险产品及风险划分情况、本机构(部门)所辖地风险突出环节、反洗钱工作薄弱环节及历史洗钱案件发生情况分析认定和风险应对措施(如表2)。
(3)控制活动评估指标。组织开展控制活动评估,应当按照反洗钱内控制度要求,从客户身份识别、交易记录保存、大额和可疑交易识别和报送、风险等级划分及评定等方面设计指标。如:客户身份识别方面可以设计承保环节客户身份识别指标、保全环节识别指标、理赔环节承保指标等(如表3)。
(4)信息与沟通评估指标。组织开展信息与沟通评价,应当从机构内部对监管制度传递学习、重要反洗钱相关信息上报和处理、与监管机构和上下级公司就反洗钱工作互动、各类监管信息上报及时性、完整性、准确性等方面设定指标。如:新的监管制度及规范性文件在内部处理流程是否恰当、重要洗钱信息是否及时上报等(如表4)。
(5)监控活动评估指标。组织开展内部监督评价,应对机构内部就反洗钱工作开展监督检查情况、内部审计部门对反洗钱工作发挥有效的监督作用等方面设计指标(如表5)。
此外,自评估指标在以上分类设计指标基础上,还可以根据自评估单位在反洗钱工作贡献程度、奖惩事件等方面增加调整指标,作为指标体系的加减分项(见表6)。
自评估指标设计后,应根据各项工作的重要程度,结合监管重点和自身薄弱环节以百分制赋予一定的权重分值(见图1),至此反洗钱工作自评估指标体系就基本建立了。
3 反洗钱自评估实施步骤与流程
自评估指标体系建立后,自评估工作应按照立项、准备、评估、确认、反馈(报告)和整改六个工作步骤分步实施。具体内容如下:
(1)立项。开展自评估前,反洗钱自评估负责部门就反洗钱自评估工作向本机构反洗钱领导小组汇报,确定评估对象、评估重点、评估目标、评估人员组成及所需经费资源,制定自评估计划和方案。
(2)准备。立项完成后,开始收集和整理非现场评估数据和资料,如:被评估机构和部门的系统客户数据、既往反洗钱工作所获得奖惩资料、评估现场所需的问卷、试卷,通过非现场准备阶段的工作,对评估对象的洗钱风险状况作出初步评价,在此基础上确定有关指标现场所需抽取的样本范围及数量等。
(3)评估。开展现场评估,获取组织机构架构设置、培训宣传、内控制度等其他资料,抽查业务档案、日常反洗钱工作档案等资料,访谈有关反洗钱工作参与人员和条线人员、对有关人员开展反洗钱知识测试等,依据自评估指标逐项进行评定,形成工作底稿,评估时注意留存发现问题类资料。
(4)确认。根据自评估时形成的工作底稿,与被评估单位负责人及经办人员核实评估发现的问题,无误后对工作底稿和评估表签字确认。
(5)反馈。自评估确认结束后,评估人员全面总结被评估单位反洗钱工作开展情况,包括高管人员或负责人履职情况、取得的成绩、值得借鉴的方法、措施,存在问题和风险等,形成书面报告向本机构反洗钱领导小组报告,待机构反洗钱领导小组审议通过后,向被评估单位反馈,反馈的内容既要包括取得成绩、好的做法,还要包括存在的问题、风险分析和改进建议。
(6)整改。自评估机构根据评估发现的问题,督促本评估机构或部门开展整改工作,制定整改措施,根据问题复杂程度,确定整改时限,整改完成后视情况开展整改验收或报告。金融机构的反洗钱自评估如果是由上级公司或独立合规审计部门组织开展,被评估单位还应向上级机构或有关部门报送整改报告。
4 反洗钱自评估结果运用
自评估机构在完成评估后,应深入分析评估结果,给予被评估单位较为公允的洗钱风险防控能力综合评价和管理建议,并充分利用自评估结果,分析评估发现问题的症结,找准风险点,拟定有针对性的管理措施加以改进,不断提升自评估机构洗钱风险防控能力。
自评估结果的运用,主要体现在以下四个方面:
(1)通过自评估,检查被评估机构在反洗钱制度设计、流程设计等方面是否能够满足外部监管部门的要求,查找是否存在二者要求相背离或无法满足的现象;
(2)通过自评估,检查被评估机构自身制度设计、流程设计要求与制度和流程实际执行情况之间是否存在差距,查找执行层面的问题;
(3)通过自评估,查找监管制度要求与实际工作执行层面是否存在差距,是否存在监管要求难以实现或无法实现的状况;
(4)通过自评估,确定被评估机构的反洗钱工作整体状况和洗钱风险防范能力,根据评估结果的不同,采取差异化的分类监督措施,从而更为科学合理地配置反洗钱资源,增强反洗钱工作的针对性,有效提升洗钱风险防范水平。
以某人寿保险公司评估结果为例,介绍评估结果与结果运用。
2014年某人寿保险公司省级分公司,根据上述评估指标,对7家机构开展反洗钱自评估,评估结果见表7。
针对以上自评估发现问题和风险,自评估机构应根据问题不同性质和归属,拟定整改与应对措施。如:涉及内控制度与监管要求不一致的,应立即着手修订或完善自评估机构的内控制度,确保内控制度与监管要求一致;涉及操作层面与内控制度要求不一致的,应强化内控制度执行,加强监督检查,促使自评估机构系统上下严格按照内控制度执行;涉及监管要求与实际工作不适用的,积极主动向监管机构报告,争取监管机构的理解和支持,找到该类问题的解决办法。
关键词:内部控制;自评报告;信息披露;监管体制
中图分类号:F83 文献标识码:A 文章编号:16723198(2012)18009003
近年来,人们对上市公司的数据真实性,可靠性、风险性产生很大疑问。上市银行属于高风险企业,通过风险取得报酬。上市银行所承担的风险,以及银行内部自身对风险的识别、衡量、监控对上市银行的经营和安全至关重要。上市银行披露内控信息有利于提高财务报告、年报以及企业自身的真实性和可靠性,也有利于银行外部的信息使用者了解银行的内控状况,通过内控的有效性评价上市银行的质量,并且做出相关决策。
1 关于我国上市银行内控自评报告内容的研究综述
1.1 披露载体的研究
韩晓杰、段洪波、梁静(2011)认为在我国主要存在四种形式的披露载体:董事会报告、监事会报告、年报正文及附件、会计市事务所的审核报告。从七家上市银行38份年报披露的内控信息情况看,信息披露主体有公司董事会、监事会、管理当局和注册会计师,披露的载体主要是董事会报告、监事会报告、年报正文及附件和会计师事务所的审核报告。
许莉,朱睿,王芳(2010)指出我国上市银行内控的披露载体众多,不统一,缺乏可比性。他们从11家上市银行的2008 年年报中发现,不同银行的内控信息在年报的不同位置披露,缺乏规范性,有的银行甚至在董事会报告、监事会报告、公司治理报告中同时披露内控信息。
1.2 披露主体的研究
李伟和施家芳(2007)以表格的形式分析了各个银行的披露主体。主要主体就是董事会、监事会和管理当局,不同主题披露的侧重不同,董事会报告中披露内控主要情况,监事会报告中披露内控制度的“三性”,如华夏银行、浦发银行、民生银行和招商银行。
韩晓杰,段洪波,梁静(2011)认为所有上市银行的年度报告中都在对内部控制的基本构架进行描述,但是对内部控制的责任主体却没有明确指出,一旦发生损失,承担直接责任方存在缺失。
1.3 自评报告披露量的现状
我国上市银行在2003年以前大多采用多形式大量披露策略,而在2003年及以后年度则渐渐采用固定形式少量披露策略。
倪慧萍(2006)提出不同银行信息披露量差异较大。纵向看,同一家银行不同年度的披露量差异大,如深圳发展银行、民生银行以及招商银行3家银行3年内控信息披露量都是“先多后降”之后持续减少;2002年3家均提供管理当局、事务所披露的内控说明和内控审核(或评审)报告;2003年和2004年则没有披露事务所审核(或评价) 报告而只披露事务所内控审查结果。横向看,不同银行之间披露差异更大。从韩晓杰、段洪波、梁静(2011)抽取的样本来看,中国银行和工商银行信息披露量较多较全面,深圳发展银行和招商银行信息披露量相对较少。主要采取的是形式固定少量披露的模式。
1.4 内控自评报告的规范制度
许莉、朱睿、王芳(2010)认为我国证监会的各项政策规定都在强调上市银行要充分披露在报告期内的业务、风险和内控情况。比如2000年11月14日的《公开发行证券公司信息披露编报规则》和2000年12月21日的《商业银行年度报告内容与格式特别规定》。2006年上海证券交易所提出上市公司在年报中要进行内部控制评价,2007年深圳交易所也提出该项政策。2008年财政部等五部委制定了有中国版“萨班斯法案”之称的《企业内部控制基本规范》,于2010 年1月1日起实施。目的在于加强和规范企业内部控制,提高企业风险防范能力,促进企业可持续发展。这些法律法规,规范制度从不同层面完善了我国上市银行内部控制制度。
1.5 实质性漏洞的披露现状
实质性漏洞是指如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时,该缺陷构成实质性漏洞,而那些严重程度低于实质性漏洞的一项或若干项缺陷,仅仅是重要到值得负责监管公司财务报告人的注意,那么该缺陷为重大缺陷。
瞿旭、李明、杨丹 叶建明(2009)提到由于我国目前在理论和实践中对于“实质性漏洞”概念的缺失,使得我国上市银行尽管面临严格的监管,但相关内控体系中的“漏洞”信息却不为市场和监管机构所知。
瞿旭、应旭婧、王娟(2011)阐明上市银行内部控制实质性漏洞披露是衡量高质量上市公司的主要标准,银行业掌握着国家的金融命脉,在维护国家的金融安全与稳定、促进经济的持续、稳健发展等方面起着重要作用。正是如此,上市银行内部控制实质性漏洞信息披露是传递出上市银行拥有良好内部控制体系的信号,也是作为资本市场健康运行的重要指标。
2 关于我国上市银行内控自评存在问题的研究综述
2.1 法律规范不完备
关键词:操作风险 管理机制 商业银行 基层分行
中图分类号:F832 文献标识码:A 文章编号:1006-1770(2011)08-036-04
引言
2006年巴塞尔委员会的《新资本协议》将操作风险作为一项单独风险纳入第一支柱,随着新资本协议的推广实施,国内各主要商业银行开始逐步实施操作风险管理,但是一方面,操作风险不同于信用风险和市场风险,其具有广泛性和普遍性的特点,涵盖各业条线和基层机构,涉及人员、流程、系统及外部多因素,另一方面,国内商业银行普遍架构为多级总、分支结构,管理链条长,总行对分支行的控制能力逐级下降,基层分支机构具有较强的“内部人”特征,操作风险管理落实的有效性重在基层,因此要强化操作风险管理,除了要搭建合理统一的管理体系外,如何在全行,尤其是基层网点层面落地管理体系、在第一线业务运营中应用操作风险管理工具、在基层分行全面普及和培育操作风险管理文化,仍然需要一个摸索的过程。
一、基层分行操作风险管理机制的构建
操作风险内生于业务和机构,与银行的经营管理和业务运营密切相关,这就决定了银行的操作风险管理需要在银行经营和管理的多个层面来展开。基层分行的操作风险管理,是整个银行操作风险管理的重要一环,它是全行操作风险管理向分行各业务经营单位实施的关键纽带,是总行操作风险管理体系在分行的一个本地化应用。因此基层分行的操作风险必须是在全行统一的操作风险体系下,结合分行业务和管理实际,确定分行的操作风险管理定位、管理内容和组织机构等机制设计。
(一) 统一的操作风险管理体系基础
区别于商业银行传统的内部控制管理,新资本协议操作风险管理要求建立统一的操作风险治理架构,应用统一的操作风险管理标准和工具,从银行内部管理来说,虽然具有本地化特征,但众多基层银行的操作风险必须要有统一的标准,以便全行的汇总、比较和管理。因此,建立统一的操作风险管理体系是基层银行操作风险管理的基础。
一个完整的操作风险管理体系应该包括操作风险治理和偏好设计、操作风险管理标准统一、操作风险管理制度和流程、操作风险管理工具应用及操作风险管理信息系统等内容的有机体(见图一),应具有“完整的组织、统一的标准、全面的流程、通用的工具、集中的系统、循环的管理”六个核心特征。
完整的组织,是指建立了满足监管要求的操作风险管理各级组织和报告路线,包括董事会、高管、总行、分行、经营单位等个层面的操作风险管理组织;
统一的标准,是指建立了操作风险的分类标准、评估标准、风险容忍度等统一的规范;
全面的流程,是指对全行的业务流程进行了全面的盘点和梳理分析,为后续的风险评估,建立了可靠的基础;
通用的工具,是指引进了国际通用的风险与控制自评估RCSA、关键风险指标KRI、损失数据收集LDC三大工具,作为管理操作风险的基础手段;
集中的系统,是指通过建立集中的信息管理系统,对操作风险的各类信息进行集中管理;
循环的管理,是指在日常实践中不断调整和完善操作风险管理的标准和方法。
(二)基层分行操作风险管理架构
基层分行操作风险管理是总行统一管理体系的具体应用,有众多具体细致的管理和操作内容,涉及各业务条线,因此分行操作风险管理的组织架构应设有分行领导层和管理实施层,建立起操作风险管理专岗和联系人兼岗制度,深入到各业务线及第一线网点(具体架构建议见图二)。
分行领导层,主要由分管风险的行长和会计、公司、零售、国际、风险等业务的负责人组成,对分行的操作风险管理具体进行总体性领导;
管理实施层由分行的风险管理部门和业务管理部门组成,它们是操作操作风险管理的主要力量。风险管理部是分行层面的操作风险管理牵头者,指导相关业务管理部门和业务经营单位进行操作风险各项管理应用与实践。业务管理部门负责本条线的操作风险管理,开展本条线相关的管理工作。
在分行的各级经营单位中,应设立操作风险管理联络员,分行风险管理和业务管理部门,通过操作风险管理联络员,将操作风险管理的各类要求,落实到分行的每一个经营单位。
(三)基层分行操作风险管理的工作职责
分行操作风险管理,由风险管理部门(专业的操作风险管理)和业务经营管理部门承担主要的工作,这两个部门在操作风险各类管理工作中的职责,可以归纳如下表:
二、基层分行操作风险管理内容
基层分行承担着操作风险管理的重要职责,这些职责和管理内容可以分成两种类型,即操作风险日常管理、操作风险体系的本地化实施。
(一) 操作风险的日常管理
分行的操作风险管理团队承担了总行操作风险管理的相应职责,是总行操作风险管理职责在分行的延伸和深化,是分行操作风险管理的主要组成部分,承担了制度办法的制定、三大工具的运用、培训、报告等职能,具体为:
1.建立涵盖下辖分支行经营机构、业务经营部门和业务管理部门及分行风险管理部的操作风险管理机构、及日常的联席工作机制。
2.制定分行层面的操作风险管理办法,根据总行制定的操作风险管理政策和实施办法,结合分行当地业务实际情况,制订分行操作风险管理制度细则,包括:分行操作风险管理实施办法,分行操作风险与控制自我评估细则,分行操作风险事件收集细则等。
3.组织收集分行范围内的操作风险事件,对分行层面发生的操作风险事件进行确认,按照总行统一的信息收集模板,收集操作风险事件的数据和信息,通过操作风险管理系统及时向总行上报,同时,组织相关部门对此业务流程从流程、制度、人员培训,IT系统设计等方面,分析其存在的问题和缺陷,提出优化、整改的方案并付诸实施。
4.组织分行层面的业务流程风险与控制自评估,按照总行的自评估要求,确定分行的自评估工作计划,开展自评估工作,抽查相关部门的自评估结果,对自评估的总体结果,进行确认,对发现的存在重大风险的业务流程,进行深入分析和研究。
5.撰写操作风险评估报告,每季度末,汇总全行的操作风险情况,撰写整个分行的操作风险评估报告,重点反映操作风险事件的统计和重大事件的分析,反映分行风险自评估、关键风险指标的结果,对分行所采取的操作风险措施进行汇总,并给予评价,对分行面临的主要操作风险点进行揭示,并提出相关的对策、措施和建议。
6.组织分行的操作风险管理培训和文化建设,对业务经营部门及辖属行进行系统化的培训,做好操作风险管理文化建设工作。
(二)操作风险管理体系的本地化
操作风险管理体系的本地化,是分行操作风险管理工作的一个重要部分,是将操作风险管理体系推广到分行层面的一个必不可少环节,也是操作风险管理工作能够在分行层面落地生根的一个重要因素。操作风险管理体系本地化的目的,是使分行能够按照其实际的经济环境和经营情况,对其操作风险进行更为准确的评估和管理。操作风险体系的本地化工作,有以下几个部分:
1.操作风险管理的制度办法本地化,根据分行的经营情况和业务管理的特点,制定或修改与操作风险管理相关的制度和办法。
2.业务流程和RCSA评估问卷的本地化,在总行标准的业务操作流程和业务制度办法基础上,根据当地行的特点和特色化业务的开展情况,进行流程和制度上的微调,对评估问卷进行相应的本地化调整。但为保证全行风险评估问卷的统一和完整,分行层面对问卷的调整主要是限于:一是业务流程的调整,删除分行没有开展的业务,增加分行的特色业务,对特色业务按照总行的模板进行问卷的生成;二是控制措施的增加,分行可根据本行对此业务的管理制度,增加相应的控制措施,但不允许删除总行模板中原有的控制措施。
3.风险容忍度、风险地图的本地化,由于各分行的风险偏好、业务规模、业务的获利能力等方面存在不同的情况,因此,各分行对操作风险的容忍度也有所不同,具体表现为不同分行对同一业务的风险地图中红、橙、黄、绿之间的三条边界线是不一样的,总行在下发标准模板时,已经考虑不同业务的风险容忍度的差别,因此,分行应根据本行的经营情况和当地的经济环境,对每个业务风险地图的边界进行调整。调整的方法主要有以下的三种:一是财务指标法,根据此业务的盈利或支出数据,按照一定的比例,来设定风险地图的边界值。二是管理目标认定法,根据此业务的管理目标值,如会计核算业务中的差错率指标,来设定红、橙、黄、绿各区的边界值。三是主观认定法,由业务专家来主观认定其风险容忍度的边界值。
三、基层分行操作风险管理的保障措施
操作风险管理的特点,决定了推广至各基层分行的任务是非常繁重的。我们需要采取一定的措施和手段,把操作风险管理体系顺利地推进到分行。
1. 制定合理的整体方案和计划,是工作成败的关键。事先应仔细规划好向分行推广的每一个环节和步骤,并按照轻重缓急来组织安排,同时考虑到在全行范围推广,将这些分行分片分块,使得各块的推广工作交叉进行,这样,既提高了推广工作的效率,又减轻了总行推广工作的压力。
2. 专项和日常工作相结合,将分行操作风险管理工作逐步深化。通过专项工作方式,集中推进操作风险管理体系推广层面上的工作,如组织机构的建立、政策制度的制定、集中培训、体系的本地化工作、风险与控制的首次评估等,而在项目工作结束后,应及时将操作风险事件收集、风险自评估、季度评估报告等工作转入到常规化的状态,这样,在分行建立完整的操作风险管理机制。
3. 强化培训和文化建设,使操作风险管理的理念深入人心。要进行形式多样的、多层次的操作风险培训,如实地培训、网络培训等多种渠道,对全行员工进行培训。同时,通过网站专栏、手册折页等多种形式,专门宣传普及操作风险管理知识,还可以开展多形式的操作风险管理知识竞赛和征文比赛。
4. 纳入绩效考核,以考核来引领分行操作风险管理。应将分行操作风险管理的成效纳入到总行对分行的绩效考核指标中,通过考核,来促进分行的操作风险管理工作。考核的指标,可以是分行操作风险管理的基础建设情况、风险与控制自评估的工作质量和及时性、操作风险事件收集的质量、操作风险管理评估报告的完整性等。
结论与展望
分行操作风险管理,是整个银行操作风险整体管理的一个重要部分,只有通过分行管理这个纽带,才能使操作风险管理渗透到全行每一个经营单位,才能有效地防范各类操作风险。因此,商业银行必须要充分重视基层分行的操作风险管理工作,有效应用各种先进的操作风险管理工具,在基层分行第一线业务运行中强化操作风险管理,保证业务的健康发展。
自国家财政部、保监会等五部委联合下发《企业内部控制基本规范》和相关的配套指引,以及保监会《保险公司内部控制基本准则》以来,中国平安集团充分利用政府创造的良好环境和强大推动力,将公司的内控体系再次整合升级,并通过深入贯彻落实保监会《基本准则》,将平安内控管理机制深入落实到各业务环节。
目前平安集团保持着健全的公司治理结构和风险管控的三道防线,包括:
第一道防线:业务及管理部门。作为风险管控的第一责任单位,执行公司制定的风险内控政策,并组织开展业务自我改进。
第二道防线:风险内控管理的专业职能部门。合规部、风险管理部、法律部以公司风险内控管理政策为核心,协助各级业务部门和管理职能部门建立风险识别、评估、控制、应对流程,建立各项重大风险预警机制,完善风险指标监测体系和报告机制,并推动整体改进和落实。在具体的内控建设和评价工作中,合规部负责建立全年内控自评计划,其中包括主数据的维护、风险自评、内控自评和内控测试的工作时间计划及工作项任务。
第三道防线:监察稽核的职能部门。稽核部门作为相对独立的部门,对公司风险内控体系和机制的整体运作情况(内控机制的设计有效性和执行有效性)进行独立评价和报告。
创建平安信赖工程
信用、信誉是金融企业的生命,信心、信赖是金融企业成长壮大的基石。全球金融危机的爆发、蔓延再一次验证了内控管理对于企业的意义,对以金融服务为业的平安而言,内控管理水平更是能否赢得客户信赖、能否保证股东利益并确保监管放心的衡量标准。
公司领导明确指出:内部控制管理不是被动地满足法规的要求,而是公司经营管理的内在需求,内部控制管理也不仅仅可以控制风险,更可以增强客户信赖,提高老客户忠诚度,吸引更多的新客户,促进公司业务发展。
平安根据国家法律法规以及监管要求,结合公司经营管理的需要,确立了以“促进公司三大支柱业务(保险、银行、资产管理)以及整个集团有效益可持续健康发展”为公司内控与风险管理的长期目标;建立了覆盖全面、运作规范、针对性强、执行到位、监督有力的合规内控与风险管理体系和运行机制。先进的内控管理机制为公司持续稳健发展提供了保障,为客户利益维护建立了坚实的保护屏障,为公司战略有效实施奠定了坚实的基础。把信赖建立在机制上,把信赖建立在系统、平台上,把信赖建立在可预期的结果上。
满足法规只是起点
内部控制“体系是否健全”、“运行是否有效”是平安管理层非常关心的问题,也是即将或准备实施内控体系建设的企业所关心的。根据《基本规范》的要求,企业需要报告和披露在规定时点内部控制运行有效性的评价结果。表面看起来企业只要顺利通过会计师事务所进行的内部控制审计就算过关了,但平安管理层确定的内控目标不仅如此,更强调提升内部控制管理的长效机制和持续保证能力,至少应实现以下目标:
顺利通过会计师事务所进行的内部控制审计;
形成风险识别、评估和内部控制制度设计、运行及控制效果测试评价的标准流程,并保持动态更新、反复运行;
记录内部控制管理和维护的过程轨迹;
梳理并分类归档内部控制设计及运行有效性的举证资料,并动态保持其充分有效性;
形成内控风险及缺陷的主动检视、持续改进、自我完善的运行机制;
实现内部控制评价结果与相关责任人的绩效问责考核指标挂钩。
在构建平安集团合规内控体系的过程中,平安一方面努力加强内部制度和风险内控团队建设;另一方面充分利用外脑,与国际知名咨询机构积极合作,借鉴国际、国内先进的风险内控管理方法、成熟经验和现代化工具。
特别是2008年6月五部委正式《基本规范》后,平安集团管理层非常重视,敏锐地认识到建立健全内部控制体系不仅是监管机构的合规要求,更是获得客户信赖,提升公司品牌,提升上市公司外部评价的契机和抓手。认识决定态度,思想决定行动。在对美国萨班斯奥克斯利法案、COSO内部控制以及企业风险管理架构等制度、标准及其实施状况进行调研的基础上,结合平安的战略方向及现实状况,平安管理层以“务实”、“整合”为核心价值理念,提出“以风险为导向、以制度为基础、以流程为纽带、以内控系统为抓手”的26字方针,为整个集团内部控制体系建设明确了“四项基本原则”。
简单来说,即首先梳理关键流程并识别和评估与内控相关的固有风险;其次结合公司各项规章制度及实施现状,辨识各个流程的关键控制活动并固化;然后开展内控自评工作,评估现有内控体系对于上述固有风险管理的有效性,最终得出剩余风险的评估结果。固有风险扣除现有内部控制和管理举措对于固有风险的缓释效果后,即为剩余风险水平。对于内控自评发现的内控缺陷,有针对性地弥补内控缺失、进一步完善内控体系,从而将内控相关的剩余风险控制在公司可接受的水平。
以风险为导向
内部控制体系建设需要回答的首要问题是:“控制什么?”,也就是控制目标的问题。不少保险公司在开展内部控制时的一大误区在于“为内控而内控”,流于形式,眉毛胡子一把抓,没有对内控风险点进行梳理和分类,最后既浪费了人力、财力,也降低了内控项目的有效性。而“以风险为导向”的理念,则是要明确识别行业及公司内部所面临的风险点,并对已识别的风险进行评级,同时与现有的控制活动进行匹配,进而评估相应风险点的控制水平。即哪些是不足的?哪些是没有涵盖的?不足的或未涵盖的风险,平安是否能接受?若不能接受,应当如何对控制不足的部分进行强化?如何对尚未涵盖的部分进行控制?等等。最终把平安的风险控制在可接受的范围内。因此“以风险为导向”实质在于“为管控风险而内控”,关注“控制有效性”,并通过梳理、提升现有的控制活动,使内部控制与日常管理活动紧密融合,让业务部门人员作“主角”,内控管理部门作“导演”。
以制度为基础
平安集团充分认识到现代企业的管理中,制度是核心和基础。通过制度进行管理,最能体现效率,最能体现统一性和质量标准,因此制度建设是平安内控体系建设的一个重要内容。内控制度并非是现有业务部门日常管理制度的简单集合,也不是游离于现有业务管理制度之外的一套完全独立的制度体系,而是对现有业务管理制度补充、完善、整合的过程。制度在企业内部应该只有统一的一套,保持“唯一正确性”,这一点非常重要。平安现已建立并不断完善内控制度体系,明确各层级的职责定位和工作目标,确定内控工作开展的程序循环。集团合规部牵头完成平安《内部控制评价管理办法》和《内部控制自评手册》,以期建立健全“以风险管控和内部控制评价为导向,以合规、风控等公司制度为核心和依据,以内部控制自评手册为工具和方法”的内部控制制度体系。
以流程为纽带
部分企业在进行风险评估时,往往习惯于以部门为单位,殊不知风险的产生和由此带来的结果往往是叠加的、跨部门的,因为一个完整业务流程的实现是多个部门之间协同工作、相互配合的结果。如果仅从部门的角度看风险,往往看不清楚、看不全面,容易以偏概全,进而影响对风险的评级及相应内控点的识别。平安“以流程为纽带”将内部控制落实于业务流程的全过程,以流程为脉络识别风险点,消除了各部门间的壁垒和脱节,避免出现真空地带,增强了流程的衔接性,也更易于从整体的视角把握企业的风险点。平安在内控评价过程中,涵盖了绝大部分法人专业子公司及其关键业务流程。
以内控系统为抓手
内部控制体系应当以IT系统的建立及完善为基础。比如内控自我评估,整个过程牵涉面很广,基本涉及平安所有的业务部门和人员,涉及的数据资料信息量非常大,评估流程管理也很繁杂,若在常态管理中采用手工方式进行,则难度更大。因此平安就有一个非常明确的认识,即需要有系统的支持。对于系统,其基本设想是:其一,要有一个自动工作流的驱动,也就是说每个业务部门的每个业务人员都需要明确自己的角色定位和工作内容,而这些应当通过系统来实现。同时涉及相应的内控节点,该节点的负责人一定要做出反应(采取相应的内控动作,如审批),若在规定的时间内没有响应,则系统将会触发邮件提醒。其二,要有一个自动的报表管理功能,既能对内控自我评估过程中的成果进行分门别类的存放,并能按监管要求提供相应的报表。同时亦能定期给高级管理层发送相应的内控报表,报表内容可以包括部门内控管理的实施情况(哪个部门开展了什么工作,还有哪些工作没有开展),进而可作为内控管理工作得以有效推动的基础工具。目前平安集团已经建立了内部控制评价管理电子平台(Risk Integrator,简称“RI系统”),该系统主要包括内部控制的管理模块(ICM)、风险自评模块(RCSA)、关键风险指标模块(KRI)、损失事件管理模块(LEM),从内部控制角度对系统分级,明确各层级业务部门、合规部门、稽核部门在系统中的角色定位。今后还将把企业的风险管理、内部控制、合规管理功能在系统平台上进一步整合。
平安集团在如何把上述的风险和内控管理的整体理念、体系建设和具体的操作步骤逐步固化在系统中做出了初步的尝试。通过逐步建立和完善一个符合国际最佳实践的内部控制评价管理电子平台,运用先进工具和技术支持公司业务发展战略和业务增长模式。该平台的内部控制管理(ICM)和风险自评(RCSA)模块目前已经可以协助公司识别、分析、评估、应对、报告各项风险,并与内部控制相关联,支撑内控自我评估在平台上的运行。此外,信息系统平台还支持平台进一步建立关键风险指标(KRI)量化信息和预警体系,及时发出对重大风险的预警信号;并且利用损失事件管理(LEM)加强对历史重大损失事件和数据的收集和管理,提升公司预测尚未发生事件之潜在风险的能力。
全员参与、分级实施、逐级汇总
内控项目在开展初期采取“全员参与、分级实施、逐级汇总”的方式,总体安排分为设计阶段(确定项目范围和风险评估)、计划阶段(试点,确定内控自评方法、工具、模板,搭建内控管理电子平台)、推广阶段(全面推广)阶段。目前,平安已经把这些动作纳入了日常常态管理的模式。
项目历时将近3年,涉及平安集团保险、银行、投资各板块多家法人公司及其关键业务流程,超过3000名平安员工直接参与了本项目的开展,接受了咨询公司关于内控方法论的培训。通过本项目的开展,内控自我评价工作已纳入各公司、各部门的日常工作范围,并设计相应机制促进内部控制活动基于内外部环境的变化而及时进行相应的调整。
项目成果
平安致力于搭建并不断完善风险管理与合规内控的统一体系,梳理核心业务流程,诊断风险内控缺陷并整改。而在关键风险领域,同时有针对性地进行专项应对和深入研究,实现风险管理与内部控制的有效衔接和融合。项目完成了与实现控制目标相关的内外部风险的识别和评估,从定量角度确定了范围内的各业务流程、机构的固有风险和剩余风险水平,为管理层权衡风险与收益,确定风险应对策略奠定了实实在在的基础。回顾项目成果,基本可以用“四个一”来概括:
建立了一个体系
平安现已基本建立并不断完善合规内控管理体系,通过体系的力量推进风险和内控合规“PDCA”管理闭循环,使平安内控管理中心各部门目标统一、高效配合,同时也促进了风险管控三道防线之间的联动与有效运作。
导入了一套标准
通过内部控制操作标准和相应测试标准的建立,加强了内控评价工作的可操作性,并且促进了公司各业务单元之间的横向比较和内部对标学习。
完善了一批流程
通过内控评审完善了原有的流程与制度,通过与国内外行业最佳实践的对比,从提高经营效率效果角度完善了多项内控流程,以缓释潜在风险,并加以追踪落实和明确各自的部门责任。
培养了一批人才
通过共同参与项目,培养了平安自己的风险管理和内控的一批人才,这些人将作为平安自己的“火种”,确保了在咨询公司离开后,平安仍然可以进一步把业已建立的风险内控管理体系长久运作。
关键词:内控 经营管理 绩效
一、内部控制评价概念
内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。通过内部控制评价工作,充分揭示内部控制的设计缺陷和运行缺陷,管理层及时获悉缺陷情况和整改进度,相关部门跟踪落实缺陷整改,实现内部控制闭环管理,与风险管理工作形成合力,共同推动持续改进。
二、主要做法
供电公司以重大风险防控作为内控评价重点,全面整合风险评估与内控评价工作,通过业务部门“三参与”(参与风险评估、参与内控评价、参与缺陷认定),强化缺陷整改分析,常态化稽核监控等措施,深度推进内控评价工作,促进各项管理的进一步规范化、系统化,实现内控评价闭环管理。
(一)充分梳理风险,内控评价有的放矢
1、梳理风险信息
依据内控评价相关要求,辨识与电力交易结算、核算等经营类业务相关的风险,梳理出本单位可能存在的业务风险,编制形成公司规范统一的风险信息库。
2、识别重大风险
召开风险评估推进会,由风险评估与自评价工作组召集各业务部门参与风险识别。各业务部门通过总结重大风险防范措施执行情况,认真分析内外部因素,并依照梳理形成的本单位风险信息库,识别确定各专业的重大风险。
(二)加强专业协同,全面推进内控评价
1、准备阶段――细化方案,优化分工
内控自评价工作组细化评价工作方案,明确评价工作的时间安排、评价工作的目的、范围及涉及部门,详细列示评价工作前期准备材料清单,按专业组建若干个工作小组,确定各小组所需借调的专业人员,通知各业务部门积极主动参与现场内控自评价工作。根据风险评估阶段确定的重大风险,重点对电网基建、招投标采购、资金支付及费用报销等业务领域进行检查评价。
2、评价测试阶段――专业协作,全程监督
工作小组进驻现场按照各自分工开展评价工作:
(1)询问相关业务人员岗位工作流程,并与岗位职责文件相比较,以发现实际流程是否与相关制度要求相符;观察业务人员的流程操作,判断实际流程是否与手册记录的流程相符。评价控制程序是否被有效且一贯执行。
(2)对线下流程进行穿行测试,并在穿行测试的基础上,进行控制测试,采用随机抽样方法,按照样本发生频率选取适当数量样本,对控制点是否依照内部控制手册和控制矩阵的规定持续有效的执行情况进行检查;收集流程中关键控制点的纸质文档材料,检查纸质文档是否完整清晰,是否经过相关有权限人员审核批准。
(3)对线上(IT)流程进行穿行测试,并在穿行测试的基础上,进行控制测试,具体方法同线下流程抽样测试;收集线上流程中关键控制点的电子文档材料和电脑截屏,检查电子文档是否完整清晰,是否经过相关有权限人员审核批准。
3、汇总分析阶段――系统辅助,记录差异
工作小组记录评价工作中发现的所有差异以及新风险、新流程、新控制点未及时在内控流程文档中进行更新的情况,并在风控信息系统中填写评价工作底稿,上报内控自评价工作组。
(三)注重缺陷分析,促进管理优化提升
1、业务部门参与缺陷认定
自评价工作组汇总各工作小组的评价记录,组织相关业务部门召开内控缺陷认定及整改会议。对于发现的差异,与被检查部门讨论沟通,根据内部控制缺陷的评定标准,判断出缺陷的类型,同时判断缺陷属于设计缺陷还是执行缺陷,提出内部控制缺陷的整改意见。
2、深度分析内控缺陷,细化内控流程矩阵
公司内控办在自评价基础上,充分利用内控评价成果,深度总结分析内控缺陷成因,细化内控流程矩阵,进一步完善公司内部控制体系。
三、主要成效
(一)进一步深化公司风险意识和内控理念
内控评价开展以来,公司按照国网下发的风险信息库梳理了139个地市公司层级可能存在的风险信息,编制形成适合地市层级公司规范的风险信息库。发现流程差异23个,认定内控缺陷10个,已全部按要求整改到位。
(二)进一步提升公司业务精益化管理水平
通过实施横向到边、纵向到底的全面、系统的内控评价,发现自身在公司整体和各个领域中存在的制度设计及制度执行缺陷,调整和完善业务间管理界面、信息标准、管控要求,有效打通了管理壁垒。促进内控标准、流程标准和岗位标准落地,将控制责任细化到岗位,规范了工作程序、审批手续,有效控制各项经营活动顺利开展,防止出现偏差,及时纠正失误。促进公司各项管理的进一步规范化、系统化,各项业务有规可依。
(三)进一步降低公司经营管控类业务风险
在内控流程标准实施过程,通过内控评价检查等监督手段,明确了内控流程的风险点和关键控制点,配套制定风险防范措施和有效性评价程序,严控风险环节,推动业务合规,推动业务标准信息有效流转,实现内部控制对欺诈、舞弊和非法行为的事前防止、事中发现和事后纠正,充分体现了源头控制和主动控制的理念,不断推进内部控制与日常管理的有机融合,推动公司从事后监督向过程监督转变,有效防范了经营管控类业务风险。
参考文献:
[1]梁雯.内控视角下事业单位预算绩效管理体系探究[J].行政事业资产与财务.2016(01)
关键词:内控自评工具 公司治理 应用
国内公司长期以来使用以职务分工及账户核对为主的牵制制度,公司内部控制的管理制度零散且不系统,内部管理较弱且成效低。近年来,随着全球经济的一体化加快,竞争多元化和决策低层化趋势越来越明显,特别是受到金融危机的冲击后。市场经济需求公司内部控制能够实现现代化、规范化和科学化的管理目标。内控自评工具的产生和应用是经济发展的自然趋势,能够强化公司管理,提高工作管理效率,改进公司的业务流程并提高公司的风险控制。
一、内控自评的内涵
内部控制自我评估(Control Self-Assessment,CSA)简称为内控自评,指一种公司的内部为了完成风险和目标控制的实现,进行内部系统控制恰当性及有效性自我评价的方法和新型工具。内控自评将传统专门内部审计工作转变为公司各部门的参与业务人员的亲自评估,进而加强公司工作人员的内部控制责任感。内控自评工具属于公司内部控制的动态管理,能够提高公司的风险控制,并进行公司内部控制适应性的评估,实现内控自评对内部控制的风险和目标控制。
二、内控自评工具在公司治理中的重要性
内控自评工具在公司治理中的应用,能有效地进行公司内部的风险控制,使公司内管理和审计工作者共同参与风险控制的评估,能培养公司工作人员的工作责任感,还能降低公司内部审计的成本。内控自评使得公司内部的审计工作人员成为推进公司发展的改革者,将传统事后评价体制转变为动态控制形式,进而实现公司的内控的完善。
内控自评工具的应用,能够帮助审计师进行公司内部控制全面信息的收集,进而完成更客观和全面的审计报告,提高审计资源的利用率;且能帮助管理人员提高对风险控制相关知识的学习和掌握,利于风险的及时发现、判断和处理。内控自评能使管理层加强对内部控制的重视,促使风险的防范措施能够有效落实,进而完成公司业务目标的实现。
三、内控自评工具在公司治理中的常用方法
(一)问卷调查的方法
内控自评通常使用问卷调查方法,问卷调查内容包括公司的经营类型、业务类型、内部控制相关制度等情况。将公司相关内部控制必要的项目,如能保证会计工作可行性、准确性和资产完整性相关项目作为问卷调查的内容,系统地呈现在表格中,就是调查问卷的应用表。受访人员需要进行问卷项目的填写或问题回答。内控自评工具通过问卷调查结果进行公司的内部控制的管理,问卷调查属于进行公司内部控制评估重要的方法。
(二)研讨会的方法
内控自评工具在公司治理中使用的研讨会的方法,指将公司的管理层及相关工作人员组织到一起进行某个问题的讨论方法。研讨会的方法能够加大公司各层次对于内部控制的全面了解,便于公司各部门的员工及时发现问题并进行合理评估和改进。对于加强公司的内部管理,改善内部控制环境及提升工作效率,进行有效的风险控制且成效显著。
(三)管理结果的分析方法
内控自评工具的管理结果的分析方法应用,指除调查问卷和研讨会方法外的方法。对于工作人员进行公司经营流程的学习具有较好效果,公司的内部审计人员能够将工作人员的学习成果及相关信息整合,提供公司内部控制有效的分析方法,利于提高公司内部控制成效。
四、内控自评工具在公司治理中的应用
(一)内部环境的评估
公司的内部环境通常包括机构设置、结构治理、内部审计、责任分配、公司文化等方面。公司的内部环境属于完成内部控制实现的基础。公司中的内部控制实施均在某个特定内部环境前提下,内部环境不仅会对内部控制的建立造成影响,而且会对内部控制成果产生直接影响。内控自评工具对内部环境中结构治理、机构设置、责任分配、公司文化等进行重点评估。
(二)信息和沟通的评估
公司对内部控制中的信息和沟通进行评估,有助于准确、及时地收集内控自评相关信息,且保证信息能够在公司和外部间及公司内部有效沟通和传递。信息属于公司进行经营管理的重要依据,信息的准确收集和传递对于公司的管理决策产生直接影响。且及时准确的沟通,能保证管理层及时发现经营中存在问题并有效地解决,能进行各部门工作的客观评估。内控自评工具能够进行公司的信息系统有效性、安全性和及健全性的评价,保证公司能够进行有效的内部控制。
(三)控制活动的评估
公司内部活动控制,指公司依据风险评估的结果,采取相应控制措施,把风险控制于能够承受的范围内。控制活动主要包括,会计系统的控制、授权审批的控制、预算控制、财产保护的控制、绩效考评的控制、运营分析的控制、不相容的职务分离的控制等方面。控制活动的实施形成了公司内部控制相关制度,内控自评工具主要对公司内部的活动控制进行严格审查和有效合理的评估。
(四)内部监督的评估
公司的内部监督指公司对于内部控制的建立和实施的情况进行检查及监督,进行内部控制有效性的评价,便于及时发现问题并改进。公司的内部控制属于动态管理的过程,因此对于公司内部控制制定和执行需要进行动态的实时监督和评估,进而保证内部控制相关系统的合理、有效和完整。内控自评主要进行公司监督机制有效性执行的评估。
(五)风险的评估
公司中的风险指对公司实现业务经营目标造成不利影响相关威胁,一般分为发生可能性及影响程度两方面。公司的风险评估能够及时进行风险的识别,并进行合理系统分析,便于公司能够实现有效的内部控制。内控自评主要对风险识别充分性、风险分析适当性、风险应对的有效性和充分性进行评估。
五、内控自评工具在公司治理的应用中需要注意的问题
(一)充分发挥公司内部审计工作者的作用
内控自评工具在公司治理中的应用,能够有效地提高公司内部控制中审计重点、范围等成效。但是,在公司具有项目审计中,内部控制的评价结果不能进行审计范围的量化指导。现今国内公司的审计工作者,只是凭借经验进行判断,会增加公司审计的风险。所以为了对审计结果进行充分利用,需要重视并加大公司内部审计工作者的作用,审计工作人员需要进行公司内部控制的持续性参与并监控,实现内控自评的有效执行。
(二)选择合适的内控自评方法
内控自评工具在公司治理中的有效应用,还需要重视内控自评方法的合理选择。内控自评工具属于新型方法,公司员工对于内控自评工具的接受程度直接影响到实施的效果。只有内控自评工具和员工的接受力处于一个文化结构中,内控自评才能够有效的实施和改进,因此,公司需要结合内部文化环境选择合适的内控自评方法。进行合适的内控方法选择时,需要首先进行公司职能和目标等问题的决策,从而保证内控自评能够在公司治理中高效实施。
综上所述,内部控制自我评估能应用于公司治理中,能够很好地满足公司内部控制相关系统改进和完善的需求,还能够有效地保证公司的内部控制安全且高效运行,进而实现公司的持续快速发展。内控自评工具在公司治理中的应用,主要包括内部环境、信息与沟通、控制活动、内部监督和风险评估等方面。为了实现内控自评的有效应用,需要进行合适的方法选择并加强对审计人员的重视。内部控制自我评估有效应用,对于有效进行风险控制、预测和防范,保证公司的稳定持续发展具有重要意义。
参考文献:
[1]徐钰.论我国上市公司 内部控制自我评估的应用[J].当代经济,2012,27(12):126-128
Key words: China risk oriented solvency system;solvency management;risk management
中图分类号:F840.32 文献标识码:A 文章编号:1006-4311(2016)20-0220-03
0 引言
改革开放以来,随着中国经济的快速发展,保险业在社会保障体系中发挥着越来越重要的作用。社会财富不断积累,社会公众的保险需求也不断提升,保险业保费规模快速扩张。回顾保险业三十余年的发展历程,除了九十年代后期销售的高预定利率保单之外,保险业务的资产和负债质量一直较好。近年来,为进一步提升保险消费者权益,更好地匹配资产和负债,增强保险公司经营的灵活性,保监会逐步放开了投资渠道和比例限制,分阶段地完成了保险产品费率市场化改革。在此大时代背景下,保险公司的风险特征发生了重大变化,权益资产和另类投资比例大幅上升;部分公司采取短负债、长资产的配置策略,流动性风险凸显;随着信息系统的集中和互联网技术的广泛应用,以信息技术风险为核心的操作风险也日益增加。如何做好新时期偿付能力监管成为保险监管的核心问题。中国风险导向偿付能力体系(以下简称“偿二代”)应时而生,该体系与2008年金融危机后国际金融监管普遍采用的三支柱模型理念一致,除了更加科学的计量保险公司的风险外,对保险公司的偿付能力风险管理能力提出了明确要求,同时借助各利益相关方的力量共同监督保险公司保持充足的偿付能力水平。本文拟探讨建立健全偿二代时期的偿付能力管理体系的重点和应关注的事项。
1 国际偿付能力监管模式
受各国保险市场经济环境、发展背景和水平等差异,目前保险业尚未建立起全球统一的偿付能力监管规则。从整体上看,偿付能力监管模式主要有两个代表性模式:一是欧盟体系(欧盟Ⅰ、欧盟Ⅱ);二是美国风险资本制度(简称RBC)。国际保险监督官协会正在组织全球大型保险公司进行国际资本监管标准的制定和实地测试工作,预计2019年开始实施共同框架。该规则体系也是以风险为导向,以合并报表为基础,充分反映保险公司风险状况,加强资本监管。
2 偿二代监管体系解析
偿二代偿付能力监管规则体系(1-17号监管规则)自2015年进入过渡期,2016年开始进入正式执行阶段,各保险公司停止执行原偿付能力监管规则体系。在偿二代监管体系下,偿付能力监管将依托于三个支柱开展:
2.1 第一支柱 第一支柱的核心在于风险量化。在偿一代体系下,风险与保险责任准备金、风险保额等挂钩,不直接体现资产风险。随着保险公司投资渠道的放开,特别对于寿险公司,风险主要来源于资产端和资产负债的匹配情况。在偿二代体系下,最低资本与风险直接挂钩,根据可量化风险(保险风险、市场风险和信用风险)大小计算最低资本要求。计算方法更加的复杂,对资产基础数据数量和质量要求也大大提高。除了可量化风险外,还引入了控制风险最低资本要求和附加资本要求(如系统重要性保险公司、顺周期资本要求等),使得资本涵盖的面更广泛。从2016年1季度披露的季报摘要来看,保险公司实际资本和最低资本都大幅度上升,资本溢额大幅增加,保险公司偿付能力充足率出现一定的分化,风险较高的公司的偿付能力充足率有所下降,体现出了风险导向的设计理念。
2.2 第二支柱 第二支柱主要包括偿付能力风险管理能力评估和分类监管。其中,风险管理能评估涵盖七大类风险,对每类风险管理提出具体的要求和评估标准。保监会将每年组织对保险公司偿付能力管理能力进行评估,此种做法与欧盟Ⅱ有相似之处,创新点体现在将评估得分与最低资本要求挂钩,以80分为分界线,80分之上可以减少资本,80分之下将增加资本要求。这一创新将偿付能力管理水平与资本要求相联接,风险管理直接创造价值,将大大推动保险公司提升风险管理水平的积极性。分类监管也体现出中国特色,保监会将在法人单位和分支机构两个层面上根据公司偿付能力状况和风险状况,对保险公司进行评级。与偿一代相比,评级与风险挂钩,风险越大,评级结果就越低。
2.3 第三支柱 受限于监管资源与成本,现代金融监管越来越重视信息披露的重要性,通过提升保险公司透明度引导各利益相关方关注和督促保险公司加强偿付能力水平。在偿二代体系下,信息披露分为定期披露和日常披露两个层面。定期披露主要是要求保险公司每季度披露季报报告摘要,其中包括偿付能力状况、风险综合评级结果和现金流状况。日常披露主要是在影响保险消费者投保和续保的关键环节,主动告知偿付能力状况和风险综合评级结果。从监管规定上看,不仅投资者和分析者将高度关注偿付能力状况,保险消费者也会逐步了解并作为购买决策的重要依据,进而影响产品销售。
3 构建偿二代下偿付能力管理体系的紧迫性
偿二代不仅涉及风险量化,更加强调风险管理和信息披露。与偿一代相比,体系更加完整,三支柱之间逻辑更加一致。偿二代自2016年起执行,建立健全偿二代下偿付能力管理体系势在必行。
3.1 从外部因素上看,是监管合规的必然要求 按照监管要求,保险公司必须履行定期披露和日常披露要求。从执行的角度来看,主要存在两大困难,一是基础数据;二是复杂大量的计算。在监管要求的时限内(每个季度结束后25日内)按时、准确完成报告编制将是一件挑战性极强的工作。对于保险公司来说,特别是中大型保险公司,资产分散在不同的投资管理人进行管理,及时获取上百维度的资产信息难度极大。欧洲保险公司在实施欧洲偿付能力监管要求时也遇到了类似的问题。此外,最低资本的计算方法上除了因子法外,还大量采用了情景对比法这种需要进行大量计算的方法,这也对按时完成信息披露带来了非常大的压力。在偿二代体系下,量化计算需要投资、财务、精算等相关部门密切合作,在组织壁垒分明的保险公司中,如何建立顺畅的工作机制也是一大难题。
3.2 从内部管理上看,是提升价值和企业竞争力的迫切需要 偿二代体系正式实施之后,将推动全面风险管理在保险公司真正的落地。风险管理做得好的保险公司,不仅能够降低最低资本要求,提升股东回报,还能够提升风险综合评级结果,进而在市场上树立起管治良好的品牌形象,从而有利于保险产品销售。反之,如果风险管理能力和水平较差,不仅会加大保险公司自身风险,通过信息披露,影响公司品牌形象,形成恶性循环。因此,在偿二代体系下,保险公司风险管理水平将逐步成为竞争优势。
4 风险导向偿付能力体系国际实施经验分析
从偿二代体系和内容来看,与欧洲第二代偿付能力监管体系相似度较高,以下通过分析欧盟II执行过程中遇到的难点问题和关注的重点领域,为我国保险公司做好偿二代建设工作提供参考。
4.1 报告和信息披露方面 按照欧洲监管要求,欧II实施分为两个阶段:过渡阶段和正式实施阶段。在过渡期内,2015年保险公司季度报告需要在季度结束后8周内提交,年度报告需要在年度结束后的22周提交;自2016年开始,季度报告需要在季度结束后的8周内提交,年度报告需要在年度结束后的20周内提交。转入正式实施后,季报报告需要在季度结束后5周内提交,年度报告需要在年度结束后14周内提交。为达成监管要求,欧洲保险公司主要遇到以下困难:
①工作流程方面的挑战。报告编制的时间大大缩短,要求建立快速高效的工作架构。由于欧II技术方法的复杂性,工作流程变得更加的复杂,除了财务部门外,风险、精算、内控、税务和投资等部门都要参与到流程当中,需要建立强有力的内控流程,确保按时准确完成报告编制。除偿付能力报告之外,公司还需要兼顾会计报告和内含价值报告等。
②基础数据方面的挑战。需要充分理解复杂的监管规则,并在整个报告流程中获取必要的信息,并确保来自于不同来源的信息的一致性和准确性。尤其是资产方基础数据,资产数据分散在托管行、保险公司、资产管理公司以及其他第三方,现有的资产数据不能满足欧II的需要。
③信息系统方面的挑战。鉴于时间和质量要求,必须要建设财务编制信息系统,提供自动化编制的解决方案,涵盖基础数据的获取、存储和检查,将财务和风险数据进行整合,建立系统内部控制,保证数据的质量和安全。
从保险公司准备情况来看,大部分保险公司正在制定报告流程、建立报告系统。领先的保险公司在报告流程方面主要将偿付能力报告流程与其他报告流程进行整合,健全报告编制内控流程;在数据管理方面,梳理整合欧盟II和其他报告的基础数据要求,自动化基础数据获取,提升基础数据质量。
4.2 偿付能力风险管理方面 欧盟II的二支柱要求保险公司进行风险自评估,并提交评估报告,内容主要涵盖资本管理、风险管理和战略规划。欧洲保险公司主要在以下遇到潜在的挑战:一是全面风险管理,建立健全风险偏好体系,对重要风险形成风险容忍度,并制定风险限额;二是偿付能力评估和业务规划,识别未来偿付能力变化趋势,制定偿付能力和流动性应急预案,将压力测试、持续性分析和风险调整评价体系与公司战略计划相融合;三是风险治理架构,耗费大量时间确定各类风险管理责任人,健全三道风险防范体系,大部分中小保险公司难以有效开展风险监测;四是信息披露,大部分保险公司需要公开披露风险管理框架、流程和自评估情况。
5 做好偿二代下偿付能力管理需要关注的重点领域
从2016年开始,偿二代监管正式开启。保险公司应当以偿二代实施为契机,化挑战为机遇,苦练内功,持续提升偿付能力风险管理水平,打造核心竞争力,树立良好的市场形象。笔者认为,保险公司应当从以下几个方面着手,打造符合自身特点的偿付能力管理体系。
5.1 偿付能力管理架构 偿二代的监管体系较偿一代更加精细,更加贴近风险,同时也对保险公司提出了更多要求。偿一代的方法较为简单,与公司内部风险管理的关联度不大,体现在治理架构上,董事会主要是负责报告的编制和资本补充,发挥的作用有限。在偿二代体系下,风险状况与资本要求直接挂钩,体现了现代风险管理的基本原则,基于监管资本规则结合公司实际建立健全内部管理体系将成为一种必然的选择。此外,监管机构也赋予了董事会在信息披露方面更明确的职责。这就要求保险公司自上而下的建立起偿付能力管理体系,以董事会及其专业委员会作为偿付能力管理的最终决策机构,对偿付能力政策、资本管理、偿付能力风险容忍度等重大事项进行决策,监督公司偿付能力状况,在出现偿付能力危机时,及时组织开展自救工作。管理层负责落实董事会确定战略、方针和政策,明确偿付能力管理主责部门,及其他相关部门的工作任务,将各项工作要求落实到具体流程、具体部门和具体岗位,体现在部门和岗位绩效考核中,将偿付能力管理体系融入公司整体运营架构。
5.2 偿付能力管理制度 制度体系和管理政策是各项管理要求落地的基础和手段。在偿二代体系下,保险公司应当首先建立起整个公司的偿付能力管理制度,明确偿付能力管理的目标、组织架构、部门职责、工作任务和关键工作流程。在总领办法的引导下,还需要制定具体的工作制度。第一支柱下,需要建立起偿付能力报告制度,明确资产、负债基础数据管理要求,制定各部门间配合的工作流程,明确工作任务和时间要求,确保各类偿付能力报告能够在监管要求的时限内完成。此外,还要针对重点难度问题,编写技术手册,控制操作风险。第二支柱下,需要建立起两个自评估制度,一是偿付能力管理能力自评估;二是分类监管自评估。自评估不仅更好地支持监管部门对保险公司开展评估工作,更重要的是建立自检程序,不断提升偿付能力管理水平。第三支柱下,需要建立偿付能力信息披露制度,明确日常披露和定期披露各项要求如何在公司各部门、各信息系统中得到落实。同时,加强对销售人员、柜面人员、客服人员等的教育培训,向保险消费者传递正确的信息,从而树立专业良好的市场形象。
5.3 基础管理能力建设 偿二代三个支柱的要求是上层建筑,要确保监管合规,并进一步提升管理水平,保险公司必须要打下坚实的基础。一方面是认清偿二代对专业人员的要求。偿一代下偿付能力以会计报表为基础,最低资本仅以保险负债规模和风险保额挂钩,各项专业职能之间的联系不多,可以在简单对接的情况下完成各项工作。偿二代下最低资本以资产和负债的风险特征为基础,需要收集、管理庞大的基础数据,其中大部分为非财务数据。要做好偿二代下的偿付能力管理,就要求管理人员具备投资、财务和保险精算等的相关知识。目前,公司内部和人才市场上少有这类人员,这就要求保险公司在做好内部专业人员调动的同时,主动规划好偿付能力管理人员的培训计划,使其具备工作所需的专业技能。另一方面是注重信息系统建设。及时获取高质量的信息是开展偿付能力管理的基础和前提。需要建设或改造的系统可能包括财务和报告系统、精算系统、风险管理系统以及业务核心系统。各保险公司根据自身情况确定具体的方案和实施路径,但是快速提升信息系统支持水平是迫在眉睫的一项工作。
5.4 提升全面风险管理能力 在偿二代体系下,风险管理能力和状况不仅直接影响最低资本要求,还通过监管评级从而与监管措施挂钩,通过对总、分两级机构分级结果的披露,进而影响保险业务销售,偿二代将风险管理提升到偿付能力管理的核心位置。目前,保监会已经全面风险管理办法等相关制度,但是缺乏有效手段推动保险公司落地执行。通过偿二代资本推动,可以预见保险公司将在风险管理中投入更多资源。随着保险产品市场化不断推进,保险业的竞争将越来越激烈,仅依赖于销售队伍扩量带动业务发展的模式将受到很大的挑战,以风险管理为核心手段的多种盈利模式将不断涌现。保险公司应当以偿二代为契机,不断推进全面风险管理能力建设,将风险偏好、风险容忍度和风险限额体系融入公司经营管理体系,明确各大类风险管理政策,贯彻执行风险管理流程,逐步将风险管理能力转化为盈利能力。