時間:2023-03-02 15:07:42
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇風險自評報告范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
(一)動員部署階段工作情況(30分,自評分28分)
1、建立健全組織領導機構。局黨組召開會議專題研究部署了廉政風險防控工作;成立了領導小組并有一名領導班子成員分管;設立了廉政風險防控工作辦公室并有專人辦公;制定了縣商務局廉政風險防控工作方案,自評分10分。
2、黨組主要領導履行第一責任人職責、分管領導具體負責、紀檢監察機關發揮組織協調作用。局黨組書記、局長親自研究、動員部署此項工作;分管領導定期協調解決工作中的問題;對基層單位及部門開展了兩次以上的監督檢查,自評分10分
3、宣傳發動工作貫穿始終,營造良好輿論氛圍。局黨組及時召開了動員會;在整個工作過程中遇到問題及時召開推進會,共召開推進會兩次;組織全體工作人員開展了專題業務培訓;在本單位的“商務之窗網站”設立了專題網頁,自評分8分
(二)重點推進階段工作情況(50分)
1、清權確權(20分,自評分20分))
(1)按照有關法律法規及“三定方案”,對涉及商務部門權力的事項進行了全面清理。自評分8分。
(2)詳細編制了內部及外部職權目錄。自評分4分。
(3)根據職權目錄認真繪制了內部及外部權力運行流程圖。自評分4分。
(4)以印發文件、制作展板方式并在政府信息公開網上公開公示了本單位職權目錄和權力運行流程圖。自評分4分。
2、排查風險點,確定風險等級(15分,自評分15分)
(1)排查風險點。風險排查按照單位、部門和崗位三個層面進行;黨政正職、領導班子成員、中層以下干部全部進行了風險排查,無人員遺漏;風險排查緊緊圍繞“三重一大”進行排查。全局共排查領導崗位3個,其他崗位3個,內設機構3個,自評分10分。
(2)風險等級評估。逐一評估風險點、確定風險等級,共排查出高、中、低風險點52個,制定防控措施49條。自評分5分。
3、制定防控措施和處置糾正問題(15分,自評分15分)
(1)制定防控措施。針對排查出的風險點“一對一”制定防控措施;防控措施有針對性和可操作性;建立了廉政風險點目錄并以展板形式進行了公開公示。自評分10分。
(2)處置糾正廉政風險防控工作中發現的問題。對廉政風險防控工作中發現的問題,及時處置,切實整改到位。自評分5分。
(三)檢查考核階段工作情況(20分,自評分20分)
一、組織健全,目標明確
為保證“評星選優”工作穩步有序開展,我局成立了綏中縣農電局“評星選優”工作領導小組,負責工作的組織策劃。下設黨群辦為“評星選優”活動辦公室,負責工作的具體實施和監督落實。并結合我局工作實際,形成可行性強的實施要點和工作細則,明確工作目標,抓住工作重點,理順工作思路,確保活動實效。
二、制度完善,保障有力
為使“評星創優”工作有順進行,我局完善了多種工作機制。
1、責任管理機制。將行風建設和優質服務作為局長與各部門、各供電所簽定的《2010年管理責任書》的重要考核指標,并對發生服務事故,行風暴光事件和嚴重的違法違紀案件,均實行“一票否決”制。
2、完善行風工作考核機制。堅持實行月季考核制度;不斷完善監督機制,堅持聘請行風監督員,進一步完善行風監督員建檔歸檔工作,確保有序、有效、便于工作開展。深入開展大客戶走訪和基層所互查互評,組織召開了基層所行風工作經驗交流會,汲取經驗,形成互補。
3、健全行風建設獎懲機制。(1)對服務窗口及行風建設工作實行年底評先選優制,對“標兵單位”和“服務之星”進行獎勵。(2)對敬業愛崗先進典型進行褒獎。(3)與中層領導干部及基層所長簽定《2010年糾(黨)風及精神文明建設責任書》,將行風工作細化量化,責任落實到人;并與獎金掛勾,實行重獎重懲。以此提高領導干部重行風、抓行風、管行風的主觀能動性。(4)建立問責制。嚴肅查處員工的違法違紀行為。(5)嚴格業務技能考核獎懲機制,對成績優異的集體和個人給予重獎。
4、完善監督機制。一是內部監督。我們采取的是每月有抽查,季度有檢查,半年有初評,年終有總評;實行明查暗訪制度和定期走訪制度相結合。具統計,我局全年共走訪客戶152次。組織大型檢查3次。進行不同層次的暗訪6次,使客戶意見和建議得到真實、有效的反饋。二是外部監督。(1)公開“十項”服務承諾、服務標準和服務流程;(2)堅持重大客戶走訪制度,并發放連心卡500張。堅持客戶滿意度調查,發放問卷調查1000份,了解客戶的期望和需求。(3)及時向政府及有關部門匯報工作,主動邀請縣人大領導、縣政協領導視察農電工作,讓他們了解農電工作,支持農電工作。(4)基層單位公開服務熱線、投訴舉報熱線,實行無周日工作制,確保咨詢電話、報修電話24小時開通。堅持所長接待日制度,認真對待客戶的投訴,利用客戶投訴這面鏡子,不斷改進和完善服務工作。確保電費張榜公開率100%。
三、注重宣傳,營造氛圍
1、加大新聞報道工作管理力度,建立員工投稿獎勵機制,鼓勵干部職工向各類報紙、書刊、網站投遞稿件,積極宣傳我局行風建設優質服務成果,增強企業健康向上的社會形象,營造良好的輿論氛圍。
2、充分利用企業宣傳媒體,推進“評星選優”工作良性發展。加大綏中農電信息網站建設力度,對新聞資訊進行及時更新,對“評星選優”工作進行實時報道。在綏中農電動態工作簡報中設立專欄,為“評星選優”工作搭建交流經驗、互助提高、共同學習的平臺。
四、選好載體,突出實效
1、加大窗口建設力度。在局客戶服務大廳及各基層供電營業所服務窗口統一國網公司標識,加大環境建設力度,確保服務用品齊全,窗口標志、圖表統一規范。對服務人員進行定期培訓,切實規范人員服務行為,確保辦事效率高、業務水平強、行為養成好、服務態度佳。完善服務工作體系,規范服務流程,實行真正的“一口對外”。
充分發揮客戶服務熱線作用, 進一步完善局客戶中心投報受理職能,實行24小時值班值宿制度;與郵局聯網,在部分供電營業所實行郵儲電費代收業務。
2、提高優質服務水平。首先,加強員工職業道德建設、職業紀律和優質服務行為規范的教育,深入推行“三個十條”和《國家電網公司員工守則》,增強員工的優質服務理念。其次,健全服務機制,堅持局(所長)接待日制度,定期接待客戶走訪。基層單位堅持實行周日工作制,確保咨詢電話、報修電話24小時開通。繼續實行首問負責制、換位思考制,明確首問內容、標準,了解客戶所想、所需、所求。再次,加強電網建設,提高兩率,提供電力供應可靠系數。增強“大行風、大服務”意識,不斷加強電網建設,構筑堅實網架,增強供電可靠性。合理安排檢修,扎實開展春、秋檢,實現安全、優質、可靠供電,抓好安全生產,搞好線路日常維護,確保安全穩定運行,不斷提高兩率指標。
五、不足之處:
1、人員對“評星創優”活動認識不夠,在下步工作中,加強教育學習,使“評星創優”工作真正深入人心,做到“人人參與,個個有責”。
2、載體不夠多樣,沒有完全將活動與工作完全結合。在下步工作中,我們將打造全新的活動載體,確保活動與工作有效切入,完全融入。
(中國人壽保險股份有限公司湖北省分公司 湖北 武漢 430071)
摘 要:隨著我國壽險業反洗錢工作的進一步深入,建立科學、合理、操作性強的反洗錢自評估體系,不僅是理論研究的迫切任務,也是推行壽險業反洗錢工作方法的迫切需要,具有深遠的現實意義。為此,結合公司實際開展的反洗錢自評估工作,從COSO內部控制整合框架的角度,對如何建立一套符合行業實際的反洗錢自評估方法進行了初步探討。
關鍵詞 :壽險業;反洗錢;自評估
中圖分類號:F84.67 文獻標識碼:A doi:10.3969/j.issn.1665-2272.2015.01.014
1 反洗錢自評估的涵義及特征
關于內部控制自評估,世界內審協會給出的定義為:控制自評估是一個過程,它通過檢查和評估內部控制的完整性和有效性,以此保障經營目標得以實現。
反洗錢自評估屬于內部控制自評估范疇,是指有關機構或企業定期或不定期地對反洗錢內部控制系統進行評估,評估內部控制系統的有效性及其實施的效率效果,增強反洗錢責任主體的履責意識和履職能力,以期更好地達成洗錢風險控制的目標。反洗錢自評估不同于外部監管機構開展的反洗錢評估,反洗錢義務履行人是反洗錢自評估工作實施和結果運用的主體。因此,反洗錢自評估呈現三個方面的特點:
(1)反洗錢自評估是金融機構自身實施的評估工作,而不是由外部監管機構實施的;是金融機構反洗錢從業人員或內審人員評估、衡量機構內部的洗錢風險是否存在、控制是否有效的一項工作。
(2)開展反洗錢自評估的工作目的是為機構內部洗錢高風險或問題領域的改進搭建一個內部改進溝通的平臺。當自評估發現風險或問題時,自評估團隊的角色是協調員和風險與控制概念的傳授者,督導洗錢風險存在環節的部門或人員開展整改;
(3)反洗錢自評估具有一定的獨立性。自評估團隊一般需要上級機構或獨立于反洗錢職責履行部門的內審、合規部門人員組成。在自評估過程中能夠較為獨立地對被評估單位或部門發表評估意見。評估范圍和評估內容不受限制。
2 反洗錢自評估方法選擇及指標制定
反洗錢工作自評估的主要對象是反洗錢內部控制的有效性,即金融機構建立與實施內部控制對實現反洗錢控制目標提供合理保證的程度。從內部控制評價本身以及目前的發展情況來看,主要有詳細評價法和風險基礎評價法兩種方法。按照美國COSO委員會提出的《企業內部控制——整合框架》的有關內容,確定某一內部控制系統是否有效,需要通過對控制環境、風險評估、控制活動、信息與溝通以及監控活動等五個要素是否能夠協同發揮作用進行綜合評價,這些要素是衡量內部控制有效性的標準。
因此,遵循這一思路,反洗錢自評估的內容就是對金融機構反洗錢領域五個要素的有效性進行全面評價。
(1)控制環境類評估指標。組織開展控制環境評價,應當從組織機構設置、人力資源配備、培訓宣傳、工作規劃、制度健全性等方面著手。如:建立健全反洗錢組織機構情況、反洗錢崗位人員配備情況、反洗錢崗位人員履職能力、業務條線反洗錢人力培訓情況及履職能力、高級管理層反洗錢工作參與度、反洗錢工作計劃總結、獎懲機制建立情況(如表1)。
(2)風險評估指標。組織開展風險評估,應當從壽險產品及風險劃分情況、本機構(部門)所轄地風險突出環節、反洗錢工作薄弱環節及歷史洗錢案件發生情況分析認定和風險應對措施(如表2)。
(3)控制活動評估指標。組織開展控制活動評估,應當按照反洗錢內控制度要求,從客戶身份識別、交易記錄保存、大額和可疑交易識別和報送、風險等級劃分及評定等方面設計指標。如:客戶身份識別方面可以設計承保環節客戶身份識別指標、保全環節識別指標、理賠環節承保指標等(如表3)。
(4)信息與溝通評估指標。組織開展信息與溝通評價,應當從機構內部對監管制度傳遞學習、重要反洗錢相關信息上報和處理、與監管機構和上下級公司就反洗錢工作互動、各類監管信息上報及時性、完整性、準確性等方面設定指標。如:新的監管制度及規范性文件在內部處理流程是否恰當、重要洗錢信息是否及時上報等(如表4)。
(5)監控活動評估指標。組織開展內部監督評價,應對機構內部就反洗錢工作開展監督檢查情況、內部審計部門對反洗錢工作發揮有效的監督作用等方面設計指標(如表5)。
此外,自評估指標在以上分類設計指標基礎上,還可以根據自評估單位在反洗錢工作貢獻程度、獎懲事件等方面增加調整指標,作為指標體系的加減分項(見表6)。
自評估指標設計后,應根據各項工作的重要程度,結合監管重點和自身薄弱環節以百分制賦予一定的權重分值(見圖1),至此反洗錢工作自評估指標體系就基本建立了。
3 反洗錢自評估實施步驟與流程
自評估指標體系建立后,自評估工作應按照立項、準備、評估、確認、反饋(報告)和整改六個工作步驟分步實施。具體內容如下:
(1)立項。開展自評估前,反洗錢自評估負責部門就反洗錢自評估工作向本機構反洗錢領導小組匯報,確定評估對象、評估重點、評估目標、評估人員組成及所需經費資源,制定自評估計劃和方案。
(2)準備。立項完成后,開始收集和整理非現場評估數據和資料,如:被評估機構和部門的系統客戶數據、既往反洗錢工作所獲得獎懲資料、評估現場所需的問卷、試卷,通過非現場準備階段的工作,對評估對象的洗錢風險狀況作出初步評價,在此基礎上確定有關指標現場所需抽取的樣本范圍及數量等。
(3)評估。開展現場評估,獲取組織機構架構設置、培訓宣傳、內控制度等其他資料,抽查業務檔案、日常反洗錢工作檔案等資料,訪談有關反洗錢工作參與人員和條線人員、對有關人員開展反洗錢知識測試等,依據自評估指標逐項進行評定,形成工作底稿,評估時注意留存發現問題類資料。
(4)確認。根據自評估時形成的工作底稿,與被評估單位負責人及經辦人員核實評估發現的問題,無誤后對工作底稿和評估表簽字確認。
(5)反饋。自評估確認結束后,評估人員全面總結被評估單位反洗錢工作開展情況,包括高管人員或負責人履職情況、取得的成績、值得借鑒的方法、措施,存在問題和風險等,形成書面報告向本機構反洗錢領導小組報告,待機構反洗錢領導小組審議通過后,向被評估單位反饋,反饋的內容既要包括取得成績、好的做法,還要包括存在的問題、風險分析和改進建議。
(6)整改。自評估機構根據評估發現的問題,督促本評估機構或部門開展整改工作,制定整改措施,根據問題復雜程度,確定整改時限,整改完成后視情況開展整改驗收或報告。金融機構的反洗錢自評估如果是由上級公司或獨立合規審計部門組織開展,被評估單位還應向上級機構或有關部門報送整改報告。
4 反洗錢自評估結果運用
自評估機構在完成評估后,應深入分析評估結果,給予被評估單位較為公允的洗錢風險防控能力綜合評價和管理建議,并充分利用自評估結果,分析評估發現問題的癥結,找準風險點,擬定有針對性的管理措施加以改進,不斷提升自評估機構洗錢風險防控能力。
自評估結果的運用,主要體現在以下四個方面:
(1)通過自評估,檢查被評估機構在反洗錢制度設計、流程設計等方面是否能夠滿足外部監管部門的要求,查找是否存在二者要求相背離或無法滿足的現象;
(2)通過自評估,檢查被評估機構自身制度設計、流程設計要求與制度和流程實際執行情況之間是否存在差距,查找執行層面的問題;
(3)通過自評估,查找監管制度要求與實際工作執行層面是否存在差距,是否存在監管要求難以實現或無法實現的狀況;
(4)通過自評估,確定被評估機構的反洗錢工作整體狀況和洗錢風險防范能力,根據評估結果的不同,采取差異化的分類監督措施,從而更為科學合理地配置反洗錢資源,增強反洗錢工作的針對性,有效提升洗錢風險防范水平。
以某人壽保險公司評估結果為例,介紹評估結果與結果運用。
2014年某人壽保險公司省級分公司,根據上述評估指標,對7家機構開展反洗錢自評估,評估結果見表7。
針對以上自評估發現問題和風險,自評估機構應根據問題不同性質和歸屬,擬定整改與應對措施。如:涉及內控制度與監管要求不一致的,應立即著手修訂或完善自評估機構的內控制度,確保內控制度與監管要求一致;涉及操作層面與內控制度要求不一致的,應強化內控制度執行,加強監督檢查,促使自評估機構系統上下嚴格按照內控制度執行;涉及監管要求與實際工作不適用的,積極主動向監管機構報告,爭取監管機構的理解和支持,找到該類問題的解決辦法。
關鍵詞:內部控制;自評報告;信息披露;監管體制
中圖分類號:F83 文獻標識碼:A 文章編號:16723198(2012)18009003
近年來,人們對上市公司的數據真實性,可靠性、風險性產生很大疑問。上市銀行屬于高風險企業,通過風險取得報酬。上市銀行所承擔的風險,以及銀行內部自身對風險的識別、衡量、監控對上市銀行的經營和安全至關重要。上市銀行披露內控信息有利于提高財務報告、年報以及企業自身的真實性和可靠性,也有利于銀行外部的信息使用者了解銀行的內控狀況,通過內控的有效性評價上市銀行的質量,并且做出相關決策。
1 關于我國上市銀行內控自評報告內容的研究綜述
1.1 披露載體的研究
韓曉杰、段洪波、梁靜(2011)認為在我國主要存在四種形式的披露載體:董事會報告、監事會報告、年報正文及附件、會計市事務所的審核報告。從七家上市銀行38份年報披露的內控信息情況看,信息披露主體有公司董事會、監事會、管理當局和注冊會計師,披露的載體主要是董事會報告、監事會報告、年報正文及附件和會計師事務所的審核報告。
許莉,朱睿,王芳(2010)指出我國上市銀行內控的披露載體眾多,不統一,缺乏可比性。他們從11家上市銀行的2008 年年報中發現,不同銀行的內控信息在年報的不同位置披露,缺乏規范性,有的銀行甚至在董事會報告、監事會報告、公司治理報告中同時披露內控信息。
1.2 披露主體的研究
李偉和施家芳(2007)以表格的形式分析了各個銀行的披露主體。主要主體就是董事會、監事會和管理當局,不同主題披露的側重不同,董事會報告中披露內控主要情況,監事會報告中披露內控制度的“三性”,如華夏銀行、浦發銀行、民生銀行和招商銀行。
韓曉杰,段洪波,梁靜(2011)認為所有上市銀行的年度報告中都在對內部控制的基本構架進行描述,但是對內部控制的責任主體卻沒有明確指出,一旦發生損失,承擔直接責任方存在缺失。
1.3 自評報告披露量的現狀
我國上市銀行在2003年以前大多采用多形式大量披露策略,而在2003年及以后年度則漸漸采用固定形式少量披露策略。
倪慧萍(2006)提出不同銀行信息披露量差異較大。縱向看,同一家銀行不同年度的披露量差異大,如深圳發展銀行、民生銀行以及招商銀行3家銀行3年內控信息披露量都是“先多后降”之后持續減少;2002年3家均提供管理當局、事務所披露的內控說明和內控審核(或評審)報告;2003年和2004年則沒有披露事務所審核(或評價) 報告而只披露事務所內控審查結果。橫向看,不同銀行之間披露差異更大。從韓曉杰、段洪波、梁靜(2011)抽取的樣本來看,中國銀行和工商銀行信息披露量較多較全面,深圳發展銀行和招商銀行信息披露量相對較少。主要采取的是形式固定少量披露的模式。
1.4 內控自評報告的規范制度
許莉、朱睿、王芳(2010)認為我國證監會的各項政策規定都在強調上市銀行要充分披露在報告期內的業務、風險和內控情況。比如2000年11月14日的《公開發行證券公司信息披露編報規則》和2000年12月21日的《商業銀行年度報告內容與格式特別規定》。2006年上海證券交易所提出上市公司在年報中要進行內部控制評價,2007年深圳交易所也提出該項政策。2008年財政部等五部委制定了有中國版“薩班斯法案”之稱的《企業內部控制基本規范》,于2010 年1月1日起實施。目的在于加強和規范企業內部控制,提高企業風險防范能力,促進企業可持續發展。這些法律法規,規范制度從不同層面完善了我國上市銀行內部控制制度。
1.5 實質性漏洞的披露現狀
實質性漏洞是指如果一項或若干項缺陷有能致使年度或中期財務報表存在重大錯報而不能有效預防或及時察覺的合理可能時,該缺陷構成實質性漏洞,而那些嚴重程度低于實質性漏洞的一項或若干項缺陷,僅僅是重要到值得負責監管公司財務報告人的注意,那么該缺陷為重大缺陷。
瞿旭、李明、楊丹 葉建明(2009)提到由于我國目前在理論和實踐中對于“實質性漏洞”概念的缺失,使得我國上市銀行盡管面臨嚴格的監管,但相關內控體系中的“漏洞”信息卻不為市場和監管機構所知。
瞿旭、應旭婧、王娟(2011)闡明上市銀行內部控制實質性漏洞披露是衡量高質量上市公司的主要標準,銀行業掌握著國家的金融命脈,在維護國家的金融安全與穩定、促進經濟的持續、穩健發展等方面起著重要作用。正是如此,上市銀行內部控制實質性漏洞信息披露是傳遞出上市銀行擁有良好內部控制體系的信號,也是作為資本市場健康運行的重要指標。
2 關于我國上市銀行內控自評存在問題的研究綜述
2.1 法律規范不完備
關鍵詞:操作風險 管理機制 商業銀行 基層分行
中圖分類號:F832 文獻標識碼:A 文章編號:1006-1770(2011)08-036-04
引言
2006年巴塞爾委員會的《新資本協議》將操作風險作為一項單獨風險納入第一支柱,隨著新資本協議的推廣實施,國內各主要商業銀行開始逐步實施操作風險管理,但是一方面,操作風險不同于信用風險和市場風險,其具有廣泛性和普遍性的特點,涵蓋各業條線和基層機構,涉及人員、流程、系統及外部多因素,另一方面,國內商業銀行普遍架構為多級總、分支結構,管理鏈條長,總行對分支行的控制能力逐級下降,基層分支機構具有較強的“內部人”特征,操作風險管理落實的有效性重在基層,因此要強化操作風險管理,除了要搭建合理統一的管理體系外,如何在全行,尤其是基層網點層面落地管理體系、在第一線業務運營中應用操作風險管理工具、在基層分行全面普及和培育操作風險管理文化,仍然需要一個摸索的過程。
一、基層分行操作風險管理機制的構建
操作風險內生于業務和機構,與銀行的經營管理和業務運營密切相關,這就決定了銀行的操作風險管理需要在銀行經營和管理的多個層面來展開。基層分行的操作風險管理,是整個銀行操作風險管理的重要一環,它是全行操作風險管理向分行各業務經營單位實施的關鍵紐帶,是總行操作風險管理體系在分行的一個本地化應用。因此基層分行的操作風險必須是在全行統一的操作風險體系下,結合分行業務和管理實際,確定分行的操作風險管理定位、管理內容和組織機構等機制設計。
(一) 統一的操作風險管理體系基礎
區別于商業銀行傳統的內部控制管理,新資本協議操作風險管理要求建立統一的操作風險治理架構,應用統一的操作風險管理標準和工具,從銀行內部管理來說,雖然具有本地化特征,但眾多基層銀行的操作風險必須要有統一的標準,以便全行的匯總、比較和管理。因此,建立統一的操作風險管理體系是基層銀行操作風險管理的基礎。
一個完整的操作風險管理體系應該包括操作風險治理和偏好設計、操作風險管理標準統一、操作風險管理制度和流程、操作風險管理工具應用及操作風險管理信息系統等內容的有機體(見圖一),應具有“完整的組織、統一的標準、全面的流程、通用的工具、集中的系統、循環的管理”六個核心特征。
完整的組織,是指建立了滿足監管要求的操作風險管理各級組織和報告路線,包括董事會、高管、總行、分行、經營單位等個層面的操作風險管理組織;
統一的標準,是指建立了操作風險的分類標準、評估標準、風險容忍度等統一的規范;
全面的流程,是指對全行的業務流程進行了全面的盤點和梳理分析,為后續的風險評估,建立了可靠的基礎;
通用的工具,是指引進了國際通用的風險與控制自評估RCSA、關鍵風險指標KRI、損失數據收集LDC三大工具,作為管理操作風險的基礎手段;
集中的系統,是指通過建立集中的信息管理系統,對操作風險的各類信息進行集中管理;
循環的管理,是指在日常實踐中不斷調整和完善操作風險管理的標準和方法。
(二)基層分行操作風險管理架構
基層分行操作風險管理是總行統一管理體系的具體應用,有眾多具體細致的管理和操作內容,涉及各業務條線,因此分行操作風險管理的組織架構應設有分行領導層和管理實施層,建立起操作風險管理專崗和聯系人兼崗制度,深入到各業務線及第一線網點(具體架構建議見圖二)。
分行領導層,主要由分管風險的行長和會計、公司、零售、國際、風險等業務的負責人組成,對分行的操作風險管理具體進行總體性領導;
管理實施層由分行的風險管理部門和業務管理部門組成,它們是操作操作風險管理的主要力量。風險管理部是分行層面的操作風險管理牽頭者,指導相關業務管理部門和業務經營單位進行操作風險各項管理應用與實踐。業務管理部門負責本條線的操作風險管理,開展本條線相關的管理工作。
在分行的各級經營單位中,應設立操作風險管理聯絡員,分行風險管理和業務管理部門,通過操作風險管理聯絡員,將操作風險管理的各類要求,落實到分行的每一個經營單位。
(三)基層分行操作風險管理的工作職責
分行操作風險管理,由風險管理部門(專業的操作風險管理)和業務經營管理部門承擔主要的工作,這兩個部門在操作風險各類管理工作中的職責,可以歸納如下表:
二、基層分行操作風險管理內容
基層分行承擔著操作風險管理的重要職責,這些職責和管理內容可以分成兩種類型,即操作風險日常管理、操作風險體系的本地化實施。
(一) 操作風險的日常管理
分行的操作風險管理團隊承擔了總行操作風險管理的相應職責,是總行操作風險管理職責在分行的延伸和深化,是分行操作風險管理的主要組成部分,承擔了制度辦法的制定、三大工具的運用、培訓、報告等職能,具體為:
1.建立涵蓋下轄分支行經營機構、業務經營部門和業務管理部門及分行風險管理部的操作風險管理機構、及日常的聯席工作機制。
2.制定分行層面的操作風險管理辦法,根據總行制定的操作風險管理政策和實施辦法,結合分行當地業務實際情況,制訂分行操作風險管理制度細則,包括:分行操作風險管理實施辦法,分行操作風險與控制自我評估細則,分行操作風險事件收集細則等。
3.組織收集分行范圍內的操作風險事件,對分行層面發生的操作風險事件進行確認,按照總行統一的信息收集模板,收集操作風險事件的數據和信息,通過操作風險管理系統及時向總行上報,同時,組織相關部門對此業務流程從流程、制度、人員培訓,IT系統設計等方面,分析其存在的問題和缺陷,提出優化、整改的方案并付諸實施。
4.組織分行層面的業務流程風險與控制自評估,按照總行的自評估要求,確定分行的自評估工作計劃,開展自評估工作,抽查相關部門的自評估結果,對自評估的總體結果,進行確認,對發現的存在重大風險的業務流程,進行深入分析和研究。
5.撰寫操作風險評估報告,每季度末,匯總全行的操作風險情況,撰寫整個分行的操作風險評估報告,重點反映操作風險事件的統計和重大事件的分析,反映分行風險自評估、關鍵風險指標的結果,對分行所采取的操作風險措施進行匯總,并給予評價,對分行面臨的主要操作風險點進行揭示,并提出相關的對策、措施和建議。
6.組織分行的操作風險管理培訓和文化建設,對業務經營部門及轄屬行進行系統化的培訓,做好操作風險管理文化建設工作。
(二)操作風險管理體系的本地化
操作風險管理體系的本地化,是分行操作風險管理工作的一個重要部分,是將操作風險管理體系推廣到分行層面的一個必不可少環節,也是操作風險管理工作能夠在分行層面落地生根的一個重要因素。操作風險管理體系本地化的目的,是使分行能夠按照其實際的經濟環境和經營情況,對其操作風險進行更為準確的評估和管理。操作風險體系的本地化工作,有以下幾個部分:
1.操作風險管理的制度辦法本地化,根據分行的經營情況和業務管理的特點,制定或修改與操作風險管理相關的制度和辦法。
2.業務流程和RCSA評估問卷的本地化,在總行標準的業務操作流程和業務制度辦法基礎上,根據當地行的特點和特色化業務的開展情況,進行流程和制度上的微調,對評估問卷進行相應的本地化調整。但為保證全行風險評估問卷的統一和完整,分行層面對問卷的調整主要是限于:一是業務流程的調整,刪除分行沒有開展的業務,增加分行的特色業務,對特色業務按照總行的模板進行問卷的生成;二是控制措施的增加,分行可根據本行對此業務的管理制度,增加相應的控制措施,但不允許刪除總行模板中原有的控制措施。
3.風險容忍度、風險地圖的本地化,由于各分行的風險偏好、業務規模、業務的獲利能力等方面存在不同的情況,因此,各分行對操作風險的容忍度也有所不同,具體表現為不同分行對同一業務的風險地圖中紅、橙、黃、綠之間的三條邊界線是不一樣的,總行在下發標準模板時,已經考慮不同業務的風險容忍度的差別,因此,分行應根據本行的經營情況和當地的經濟環境,對每個業務風險地圖的邊界進行調整。調整的方法主要有以下的三種:一是財務指標法,根據此業務的盈利或支出數據,按照一定的比例,來設定風險地圖的邊界值。二是管理目標認定法,根據此業務的管理目標值,如會計核算業務中的差錯率指標,來設定紅、橙、黃、綠各區的邊界值。三是主觀認定法,由業務專家來主觀認定其風險容忍度的邊界值。
三、基層分行操作風險管理的保障措施
操作風險管理的特點,決定了推廣至各基層分行的任務是非常繁重的。我們需要采取一定的措施和手段,把操作風險管理體系順利地推進到分行。
1. 制定合理的整體方案和計劃,是工作成敗的關鍵。事先應仔細規劃好向分行推廣的每一個環節和步驟,并按照輕重緩急來組織安排,同時考慮到在全行范圍推廣,將這些分行分片分塊,使得各塊的推廣工作交叉進行,這樣,既提高了推廣工作的效率,又減輕了總行推廣工作的壓力。
2. 專項和日常工作相結合,將分行操作風險管理工作逐步深化。通過專項工作方式,集中推進操作風險管理體系推廣層面上的工作,如組織機構的建立、政策制度的制定、集中培訓、體系的本地化工作、風險與控制的首次評估等,而在項目工作結束后,應及時將操作風險事件收集、風險自評估、季度評估報告等工作轉入到常規化的狀態,這樣,在分行建立完整的操作風險管理機制。
3. 強化培訓和文化建設,使操作風險管理的理念深入人心。要進行形式多樣的、多層次的操作風險培訓,如實地培訓、網絡培訓等多種渠道,對全行員工進行培訓。同時,通過網站專欄、手冊折頁等多種形式,專門宣傳普及操作風險管理知識,還可以開展多形式的操作風險管理知識競賽和征文比賽。
4. 納入績效考核,以考核來引領分行操作風險管理。應將分行操作風險管理的成效納入到總行對分行的績效考核指標中,通過考核,來促進分行的操作風險管理工作。考核的指標,可以是分行操作風險管理的基礎建設情況、風險與控制自評估的工作質量和及時性、操作風險事件收集的質量、操作風險管理評估報告的完整性等。
結論與展望
分行操作風險管理,是整個銀行操作風險整體管理的一個重要部分,只有通過分行管理這個紐帶,才能使操作風險管理滲透到全行每一個經營單位,才能有效地防范各類操作風險。因此,商業銀行必須要充分重視基層分行的操作風險管理工作,有效應用各種先進的操作風險管理工具,在基層分行第一線業務運行中強化操作風險管理,保證業務的健康發展。
自國家財政部、保監會等五部委聯合下發《企業內部控制基本規范》和相關的配套指引,以及保監會《保險公司內部控制基本準則》以來,中國平安集團充分利用政府創造的良好環境和強大推動力,將公司的內控體系再次整合升級,并通過深入貫徹落實保監會《基本準則》,將平安內控管理機制深入落實到各業務環節。
目前平安集團保持著健全的公司治理結構和風險管控的三道防線,包括:
第一道防線:業務及管理部門。作為風險管控的第一責任單位,執行公司制定的風險內控政策,并組織開展業務自我改進。
第二道防線:風險內控管理的專業職能部門。合規部、風險管理部、法律部以公司風險內控管理政策為核心,協助各級業務部門和管理職能部門建立風險識別、評估、控制、應對流程,建立各項重大風險預警機制,完善風險指標監測體系和報告機制,并推動整體改進和落實。在具體的內控建設和評價工作中,合規部負責建立全年內控自評計劃,其中包括主數據的維護、風險自評、內控自評和內控測試的工作時間計劃及工作項任務。
第三道防線:監察稽核的職能部門。稽核部門作為相對獨立的部門,對公司風險內控體系和機制的整體運作情況(內控機制的設計有效性和執行有效性)進行獨立評價和報告。
創建平安信賴工程
信用、信譽是金融企業的生命,信心、信賴是金融企業成長壯大的基石。全球金融危機的爆發、蔓延再一次驗證了內控管理對于企業的意義,對以金融服務為業的平安而言,內控管理水平更是能否贏得客戶信賴、能否保證股東利益并確保監管放心的衡量標準。
公司領導明確指出:內部控制管理不是被動地滿足法規的要求,而是公司經營管理的內在需求,內部控制管理也不僅僅可以控制風險,更可以增強客戶信賴,提高老客戶忠誠度,吸引更多的新客戶,促進公司業務發展。
平安根據國家法律法規以及監管要求,結合公司經營管理的需要,確立了以“促進公司三大支柱業務(保險、銀行、資產管理)以及整個集團有效益可持續健康發展”為公司內控與風險管理的長期目標;建立了覆蓋全面、運作規范、針對性強、執行到位、監督有力的合規內控與風險管理體系和運行機制。先進的內控管理機制為公司持續穩健發展提供了保障,為客戶利益維護建立了堅實的保護屏障,為公司戰略有效實施奠定了堅實的基礎。把信賴建立在機制上,把信賴建立在系統、平臺上,把信賴建立在可預期的結果上。
滿足法規只是起點
內部控制“體系是否健全”、“運行是否有效”是平安管理層非常關心的問題,也是即將或準備實施內控體系建設的企業所關心的。根據《基本規范》的要求,企業需要報告和披露在規定時點內部控制運行有效性的評價結果。表面看起來企業只要順利通過會計師事務所進行的內部控制審計就算過關了,但平安管理層確定的內控目標不僅如此,更強調提升內部控制管理的長效機制和持續保證能力,至少應實現以下目標:
順利通過會計師事務所進行的內部控制審計;
形成風險識別、評估和內部控制制度設計、運行及控制效果測試評價的標準流程,并保持動態更新、反復運行;
記錄內部控制管理和維護的過程軌跡;
梳理并分類歸檔內部控制設計及運行有效性的舉證資料,并動態保持其充分有效性;
形成內控風險及缺陷的主動檢視、持續改進、自我完善的運行機制;
實現內部控制評價結果與相關責任人的績效問責考核指標掛鉤。
在構建平安集團合規內控體系的過程中,平安一方面努力加強內部制度和風險內控團隊建設;另一方面充分利用外腦,與國際知名咨詢機構積極合作,借鑒國際、國內先進的風險內控管理方法、成熟經驗和現代化工具。
特別是2008年6月五部委正式《基本規范》后,平安集團管理層非常重視,敏銳地認識到建立健全內部控制體系不僅是監管機構的合規要求,更是獲得客戶信賴,提升公司品牌,提升上市公司外部評價的契機和抓手。認識決定態度,思想決定行動。在對美國薩班斯奧克斯利法案、COSO內部控制以及企業風險管理架構等制度、標準及其實施狀況進行調研的基礎上,結合平安的戰略方向及現實狀況,平安管理層以“務實”、“整合”為核心價值理念,提出“以風險為導向、以制度為基礎、以流程為紐帶、以內控系統為抓手”的26字方針,為整個集團內部控制體系建設明確了“四項基本原則”。
簡單來說,即首先梳理關鍵流程并識別和評估與內控相關的固有風險;其次結合公司各項規章制度及實施現狀,辨識各個流程的關鍵控制活動并固化;然后開展內控自評工作,評估現有內控體系對于上述固有風險管理的有效性,最終得出剩余風險的評估結果。固有風險扣除現有內部控制和管理舉措對于固有風險的緩釋效果后,即為剩余風險水平。對于內控自評發現的內控缺陷,有針對性地彌補內控缺失、進一步完善內控體系,從而將內控相關的剩余風險控制在公司可接受的水平。
以風險為導向
內部控制體系建設需要回答的首要問題是:“控制什么?”,也就是控制目標的問題。不少保險公司在開展內部控制時的一大誤區在于“為內控而內控”,流于形式,眉毛胡子一把抓,沒有對內控風險點進行梳理和分類,最后既浪費了人力、財力,也降低了內控項目的有效性。而“以風險為導向”的理念,則是要明確識別行業及公司內部所面臨的風險點,并對已識別的風險進行評級,同時與現有的控制活動進行匹配,進而評估相應風險點的控制水平。即哪些是不足的?哪些是沒有涵蓋的?不足的或未涵蓋的風險,平安是否能接受?若不能接受,應當如何對控制不足的部分進行強化?如何對尚未涵蓋的部分進行控制?等等。最終把平安的風險控制在可接受的范圍內。因此“以風險為導向”實質在于“為管控風險而內控”,關注“控制有效性”,并通過梳理、提升現有的控制活動,使內部控制與日常管理活動緊密融合,讓業務部門人員作“主角”,內控管理部門作“導演”。
以制度為基礎
平安集團充分認識到現代企業的管理中,制度是核心和基礎。通過制度進行管理,最能體現效率,最能體現統一性和質量標準,因此制度建設是平安內控體系建設的一個重要內容。內控制度并非是現有業務部門日常管理制度的簡單集合,也不是游離于現有業務管理制度之外的一套完全獨立的制度體系,而是對現有業務管理制度補充、完善、整合的過程。制度在企業內部應該只有統一的一套,保持“唯一正確性”,這一點非常重要。平安現已建立并不斷完善內控制度體系,明確各層級的職責定位和工作目標,確定內控工作開展的程序循環。集團合規部牽頭完成平安《內部控制評價管理辦法》和《內部控制自評手冊》,以期建立健全“以風險管控和內部控制評價為導向,以合規、風控等公司制度為核心和依據,以內部控制自評手冊為工具和方法”的內部控制制度體系。
以流程為紐帶
部分企業在進行風險評估時,往往習慣于以部門為單位,殊不知風險的產生和由此帶來的結果往往是疊加的、跨部門的,因為一個完整業務流程的實現是多個部門之間協同工作、相互配合的結果。如果僅從部門的角度看風險,往往看不清楚、看不全面,容易以偏概全,進而影響對風險的評級及相應內控點的識別。平安“以流程為紐帶”將內部控制落實于業務流程的全過程,以流程為脈絡識別風險點,消除了各部門間的壁壘和脫節,避免出現真空地帶,增強了流程的銜接性,也更易于從整體的視角把握企業的風險點。平安在內控評價過程中,涵蓋了絕大部分法人專業子公司及其關鍵業務流程。
以內控系統為抓手
內部控制體系應當以IT系統的建立及完善為基礎。比如內控自我評估,整個過程牽涉面很廣,基本涉及平安所有的業務部門和人員,涉及的數據資料信息量非常大,評估流程管理也很繁雜,若在常態管理中采用手工方式進行,則難度更大。因此平安就有一個非常明確的認識,即需要有系統的支持。對于系統,其基本設想是:其一,要有一個自動工作流的驅動,也就是說每個業務部門的每個業務人員都需要明確自己的角色定位和工作內容,而這些應當通過系統來實現。同時涉及相應的內控節點,該節點的負責人一定要做出反應(采取相應的內控動作,如審批),若在規定的時間內沒有響應,則系統將會觸發郵件提醒。其二,要有一個自動的報表管理功能,既能對內控自我評估過程中的成果進行分門別類的存放,并能按監管要求提供相應的報表。同時亦能定期給高級管理層發送相應的內控報表,報表內容可以包括部門內控管理的實施情況(哪個部門開展了什么工作,還有哪些工作沒有開展),進而可作為內控管理工作得以有效推動的基礎工具。目前平安集團已經建立了內部控制評價管理電子平臺(Risk Integrator,簡稱“RI系統”),該系統主要包括內部控制的管理模塊(ICM)、風險自評模塊(RCSA)、關鍵風險指標模塊(KRI)、損失事件管理模塊(LEM),從內部控制角度對系統分級,明確各層級業務部門、合規部門、稽核部門在系統中的角色定位。今后還將把企業的風險管理、內部控制、合規管理功能在系統平臺上進一步整合。
平安集團在如何把上述的風險和內控管理的整體理念、體系建設和具體的操作步驟逐步固化在系統中做出了初步的嘗試。通過逐步建立和完善一個符合國際最佳實踐的內部控制評價管理電子平臺,運用先進工具和技術支持公司業務發展戰略和業務增長模式。該平臺的內部控制管理(ICM)和風險自評(RCSA)模塊目前已經可以協助公司識別、分析、評估、應對、報告各項風險,并與內部控制相關聯,支撐內控自我評估在平臺上的運行。此外,信息系統平臺還支持平臺進一步建立關鍵風險指標(KRI)量化信息和預警體系,及時發出對重大風險的預警信號;并且利用損失事件管理(LEM)加強對歷史重大損失事件和數據的收集和管理,提升公司預測尚未發生事件之潛在風險的能力。
全員參與、分級實施、逐級匯總
內控項目在開展初期采取“全員參與、分級實施、逐級匯總”的方式,總體安排分為設計階段(確定項目范圍和風險評估)、計劃階段(試點,確定內控自評方法、工具、模板,搭建內控管理電子平臺)、推廣階段(全面推廣)階段。目前,平安已經把這些動作納入了日常常態管理的模式。
項目歷時將近3年,涉及平安集團保險、銀行、投資各板塊多家法人公司及其關鍵業務流程,超過3000名平安員工直接參與了本項目的開展,接受了咨詢公司關于內控方法論的培訓。通過本項目的開展,內控自我評價工作已納入各公司、各部門的日常工作范圍,并設計相應機制促進內部控制活動基于內外部環境的變化而及時進行相應的調整。
項目成果
平安致力于搭建并不斷完善風險管理與合規內控的統一體系,梳理核心業務流程,診斷風險內控缺陷并整改。而在關鍵風險領域,同時有針對性地進行專項應對和深入研究,實現風險管理與內部控制的有效銜接和融合。項目完成了與實現控制目標相關的內外部風險的識別和評估,從定量角度確定了范圍內的各業務流程、機構的固有風險和剩余風險水平,為管理層權衡風險與收益,確定風險應對策略奠定了實實在在的基礎。回顧項目成果,基本可以用“四個一”來概括:
建立了一個體系
平安現已基本建立并不斷完善合規內控管理體系,通過體系的力量推進風險和內控合規“PDCA”管理閉循環,使平安內控管理中心各部門目標統一、高效配合,同時也促進了風險管控三道防線之間的聯動與有效運作。
導入了一套標準
通過內部控制操作標準和相應測試標準的建立,加強了內控評價工作的可操作性,并且促進了公司各業務單元之間的橫向比較和內部對標學習。
完善了一批流程
通過內控評審完善了原有的流程與制度,通過與國內外行業最佳實踐的對比,從提高經營效率效果角度完善了多項內控流程,以緩釋潛在風險,并加以追蹤落實和明確各自的部門責任。
培養了一批人才
通過共同參與項目,培養了平安自己的風險管理和內控的一批人才,這些人將作為平安自己的“火種”,確保了在咨詢公司離開后,平安仍然可以進一步把業已建立的風險內控管理體系長久運作。
關鍵詞:內控 經營管理 績效
一、內部控制評價概念
內部控制評價是指企業董事會或類似權力機構對內部控制的有效性進行全面評價、形成評價結論、出具評價報告的過程。通過內部控制評價工作,充分揭示內部控制的設計缺陷和運行缺陷,管理層及時獲悉缺陷情況和整改進度,相關部門跟蹤落實缺陷整改,實現內部控制閉環管理,與風險管理工作形成合力,共同推動持續改進。
二、主要做法
供電公司以重大風險防控作為內控評價重點,全面整合風險評估與內控評價工作,通過業務部門“三參與”(參與風險評估、參與內控評價、參與缺陷認定),強化缺陷整改分析,常態化稽核監控等措施,深度推進內控評價工作,促進各項管理的進一步規范化、系統化,實現內控評價閉環管理。
(一)充分梳理風險,內控評價有的放矢
1、梳理風險信息
依據內控評價相關要求,辨識與電力交易結算、核算等經營類業務相關的風險,梳理出本單位可能存在的業務風險,編制形成公司規范統一的風險信息庫。
2、識別重大風險
召開風險評估推進會,由風險評估與自評價工作組召集各業務部門參與風險識別。各業務部門通過總結重大風險防范措施執行情況,認真分析內外部因素,并依照梳理形成的本單位風險信息庫,識別確定各專業的重大風險。
(二)加強專業協同,全面推進內控評價
1、準備階段――細化方案,優化分工
內控自評價工作組細化評價工作方案,明確評價工作的時間安排、評價工作的目的、范圍及涉及部門,詳細列示評價工作前期準備材料清單,按專業組建若干個工作小組,確定各小組所需借調的專業人員,通知各業務部門積極主動參與現場內控自評價工作。根據風險評估階段確定的重大風險,重點對電網基建、招投標采購、資金支付及費用報銷等業務領域進行檢查評價。
2、評價測試階段――專業協作,全程監督
工作小組進駐現場按照各自分工開展評價工作:
(1)詢問相關業務人員崗位工作流程,并與崗位職責文件相比較,以發現實際流程是否與相關制度要求相符;觀察業務人員的流程操作,判斷實際流程是否與手冊記錄的流程相符。評價控制程序是否被有效且一貫執行。
(2)對線下流程進行穿行測試,并在穿行測試的基礎上,進行控制測試,采用隨機抽樣方法,按照樣本發生頻率選取適當數量樣本,對控制點是否依照內部控制手冊和控制矩陣的規定持續有效的執行情況進行檢查;收集流程中關鍵控制點的紙質文檔材料,檢查紙質文檔是否完整清晰,是否經過相關有權限人員審核批準。
(3)對線上(IT)流程進行穿行測試,并在穿行測試的基礎上,進行控制測試,具體方法同線下流程抽樣測試;收集線上流程中關鍵控制點的電子文檔材料和電腦截屏,檢查電子文檔是否完整清晰,是否經過相關有權限人員審核批準。
3、匯總分析階段――系統輔助,記錄差異
工作小組記錄評價工作中發現的所有差異以及新風險、新流程、新控制點未及時在內控流程文檔中進行更新的情況,并在風控信息系統中填寫評價工作底稿,上報內控自評價工作組。
(三)注重缺陷分析,促進管理優化提升
1、業務部門參與缺陷認定
自評價工作組匯總各工作小組的評價記錄,組織相關業務部門召開內控缺陷認定及整改會議。對于發現的差異,與被檢查部門討論溝通,根據內部控制缺陷的評定標準,判斷出缺陷的類型,同時判斷缺陷屬于設計缺陷還是執行缺陷,提出內部控制缺陷的整改意見。
2、深度分析內控缺陷,細化內控流程矩陣
公司內控辦在自評價基礎上,充分利用內控評價成果,深度總結分析內控缺陷成因,細化內控流程矩陣,進一步完善公司內部控制體系。
三、主要成效
(一)進一步深化公司風險意識和內控理念
內控評價開展以來,公司按照國網下發的風險信息庫梳理了139個地市公司層級可能存在的風險信息,編制形成適合地市層級公司規范的風險信息庫。發現流程差異23個,認定內控缺陷10個,已全部按要求整改到位。
(二)進一步提升公司業務精益化管理水平
通過實施橫向到邊、縱向到底的全面、系統的內控評價,發現自身在公司整體和各個領域中存在的制度設計及制度執行缺陷,調整和完善業務間管理界面、信息標準、管控要求,有效打通了管理壁壘。促進內控標準、流程標準和崗位標準落地,將控制責任細化到崗位,規范了工作程序、審批手續,有效控制各項經營活動順利開展,防止出現偏差,及時糾正失誤。促進公司各項管理的進一步規范化、系統化,各項業務有規可依。
(三)進一步降低公司經營管控類業務風險
在內控流程標準實施過程,通過內控評價檢查等監督手段,明確了內控流程的風險點和關鍵控制點,配套制定風險防范措施和有效性評價程序,嚴控風險環節,推動業務合規,推動業務標準信息有效流轉,實現內部控制對欺詐、舞弊和非法行為的事前防止、事中發現和事后糾正,充分體現了源頭控制和主動控制的理念,不斷推進內部控制與日常管理的有機融合,推動公司從事后監督向過程監督轉變,有效防范了經營管控類業務風險。
參考文獻:
[1]梁雯.內控視角下事業單位預算績效管理體系探究[J].行政事業資產與財務.2016(01)
關鍵詞:內控自評工具 公司治理 應用
國內公司長期以來使用以職務分工及賬戶核對為主的牽制制度,公司內部控制的管理制度零散且不系統,內部管理較弱且成效低。近年來,隨著全球經濟的一體化加快,競爭多元化和決策低層化趨勢越來越明顯,特別是受到金融危機的沖擊后。市場經濟需求公司內部控制能夠實現現代化、規范化和科學化的管理目標。內控自評工具的產生和應用是經濟發展的自然趨勢,能夠強化公司管理,提高工作管理效率,改進公司的業務流程并提高公司的風險控制。
一、內控自評的內涵
內部控制自我評估(Control Self-Assessment,CSA)簡稱為內控自評,指一種公司的內部為了完成風險和目標控制的實現,進行內部系統控制恰當性及有效性自我評價的方法和新型工具。內控自評將傳統專門內部審計工作轉變為公司各部門的參與業務人員的親自評估,進而加強公司工作人員的內部控制責任感。內控自評工具屬于公司內部控制的動態管理,能夠提高公司的風險控制,并進行公司內部控制適應性的評估,實現內控自評對內部控制的風險和目標控制。
二、內控自評工具在公司治理中的重要性
內控自評工具在公司治理中的應用,能有效地進行公司內部的風險控制,使公司內管理和審計工作者共同參與風險控制的評估,能培養公司工作人員的工作責任感,還能降低公司內部審計的成本。內控自評使得公司內部的審計工作人員成為推進公司發展的改革者,將傳統事后評價體制轉變為動態控制形式,進而實現公司的內控的完善。
內控自評工具的應用,能夠幫助審計師進行公司內部控制全面信息的收集,進而完成更客觀和全面的審計報告,提高審計資源的利用率;且能幫助管理人員提高對風險控制相關知識的學習和掌握,利于風險的及時發現、判斷和處理。內控自評能使管理層加強對內部控制的重視,促使風險的防范措施能夠有效落實,進而完成公司業務目標的實現。
三、內控自評工具在公司治理中的常用方法
(一)問卷調查的方法
內控自評通常使用問卷調查方法,問卷調查內容包括公司的經營類型、業務類型、內部控制相關制度等情況。將公司相關內部控制必要的項目,如能保證會計工作可行性、準確性和資產完整性相關項目作為問卷調查的內容,系統地呈現在表格中,就是調查問卷的應用表。受訪人員需要進行問卷項目的填寫或問題回答。內控自評工具通過問卷調查結果進行公司的內部控制的管理,問卷調查屬于進行公司內部控制評估重要的方法。
(二)研討會的方法
內控自評工具在公司治理中使用的研討會的方法,指將公司的管理層及相關工作人員組織到一起進行某個問題的討論方法。研討會的方法能夠加大公司各層次對于內部控制的全面了解,便于公司各部門的員工及時發現問題并進行合理評估和改進。對于加強公司的內部管理,改善內部控制環境及提升工作效率,進行有效的風險控制且成效顯著。
(三)管理結果的分析方法
內控自評工具的管理結果的分析方法應用,指除調查問卷和研討會方法外的方法。對于工作人員進行公司經營流程的學習具有較好效果,公司的內部審計人員能夠將工作人員的學習成果及相關信息整合,提供公司內部控制有效的分析方法,利于提高公司內部控制成效。
四、內控自評工具在公司治理中的應用
(一)內部環境的評估
公司的內部環境通常包括機構設置、結構治理、內部審計、責任分配、公司文化等方面。公司的內部環境屬于完成內部控制實現的基礎。公司中的內部控制實施均在某個特定內部環境前提下,內部環境不僅會對內部控制的建立造成影響,而且會對內部控制成果產生直接影響。內控自評工具對內部環境中結構治理、機構設置、責任分配、公司文化等進行重點評估。
(二)信息和溝通的評估
公司對內部控制中的信息和溝通進行評估,有助于準確、及時地收集內控自評相關信息,且保證信息能夠在公司和外部間及公司內部有效溝通和傳遞。信息屬于公司進行經營管理的重要依據,信息的準確收集和傳遞對于公司的管理決策產生直接影響。且及時準確的溝通,能保證管理層及時發現經營中存在問題并有效地解決,能進行各部門工作的客觀評估。內控自評工具能夠進行公司的信息系統有效性、安全性和及健全性的評價,保證公司能夠進行有效的內部控制。
(三)控制活動的評估
公司內部活動控制,指公司依據風險評估的結果,采取相應控制措施,把風險控制于能夠承受的范圍內。控制活動主要包括,會計系統的控制、授權審批的控制、預算控制、財產保護的控制、績效考評的控制、運營分析的控制、不相容的職務分離的控制等方面。控制活動的實施形成了公司內部控制相關制度,內控自評工具主要對公司內部的活動控制進行嚴格審查和有效合理的評估。
(四)內部監督的評估
公司的內部監督指公司對于內部控制的建立和實施的情況進行檢查及監督,進行內部控制有效性的評價,便于及時發現問題并改進。公司的內部控制屬于動態管理的過程,因此對于公司內部控制制定和執行需要進行動態的實時監督和評估,進而保證內部控制相關系統的合理、有效和完整。內控自評主要進行公司監督機制有效性執行的評估。
(五)風險的評估
公司中的風險指對公司實現業務經營目標造成不利影響相關威脅,一般分為發生可能性及影響程度兩方面。公司的風險評估能夠及時進行風險的識別,并進行合理系統分析,便于公司能夠實現有效的內部控制。內控自評主要對風險識別充分性、風險分析適當性、風險應對的有效性和充分性進行評估。
五、內控自評工具在公司治理的應用中需要注意的問題
(一)充分發揮公司內部審計工作者的作用
內控自評工具在公司治理中的應用,能夠有效地提高公司內部控制中審計重點、范圍等成效。但是,在公司具有項目審計中,內部控制的評價結果不能進行審計范圍的量化指導。現今國內公司的審計工作者,只是憑借經驗進行判斷,會增加公司審計的風險。所以為了對審計結果進行充分利用,需要重視并加大公司內部審計工作者的作用,審計工作人員需要進行公司內部控制的持續性參與并監控,實現內控自評的有效執行。
(二)選擇合適的內控自評方法
內控自評工具在公司治理中的有效應用,還需要重視內控自評方法的合理選擇。內控自評工具屬于新型方法,公司員工對于內控自評工具的接受程度直接影響到實施的效果。只有內控自評工具和員工的接受力處于一個文化結構中,內控自評才能夠有效的實施和改進,因此,公司需要結合內部文化環境選擇合適的內控自評方法。進行合適的內控方法選擇時,需要首先進行公司職能和目標等問題的決策,從而保證內控自評能夠在公司治理中高效實施。
綜上所述,內部控制自我評估能應用于公司治理中,能夠很好地滿足公司內部控制相關系統改進和完善的需求,還能夠有效地保證公司的內部控制安全且高效運行,進而實現公司的持續快速發展。內控自評工具在公司治理中的應用,主要包括內部環境、信息與溝通、控制活動、內部監督和風險評估等方面。為了實現內控自評的有效應用,需要進行合適的方法選擇并加強對審計人員的重視。內部控制自我評估有效應用,對于有效進行風險控制、預測和防范,保證公司的穩定持續發展具有重要意義。
參考文獻:
[1]徐鈺.論我國上市公司 內部控制自我評估的應用[J].當代經濟,2012,27(12):126-128
Key words: China risk oriented solvency system;solvency management;risk management
中圖分類號:F840.32 文獻標識碼:A 文章編號:1006-4311(2016)20-0220-03
0 引言
改革開放以來,隨著中國經濟的快速發展,保險業在社會保障體系中發揮著越來越重要的作用。社會財富不斷積累,社會公眾的保險需求也不斷提升,保險業保費規模快速擴張。回顧保險業三十余年的發展歷程,除了九十年代后期銷售的高預定利率保單之外,保險業務的資產和負債質量一直較好。近年來,為進一步提升保險消費者權益,更好地匹配資產和負債,增強保險公司經營的靈活性,保監會逐步放開了投資渠道和比例限制,分階段地完成了保險產品費率市場化改革。在此大時代背景下,保險公司的風險特征發生了重大變化,權益資產和另類投資比例大幅上升;部分公司采取短負債、長資產的配置策略,流動性風險凸顯;隨著信息系統的集中和互聯網技術的廣泛應用,以信息技術風險為核心的操作風險也日益增加。如何做好新時期償付能力監管成為保險監管的核心問題。中國風險導向償付能力體系(以下簡稱“償二代”)應時而生,該體系與2008年金融危機后國際金融監管普遍采用的三支柱模型理念一致,除了更加科學的計量保險公司的風險外,對保險公司的償付能力風險管理能力提出了明確要求,同時借助各利益相關方的力量共同監督保險公司保持充足的償付能力水平。本文擬探討建立健全償二代時期的償付能力管理體系的重點和應關注的事項。
1 國際償付能力監管模式
受各國保險市場經濟環境、發展背景和水平等差異,目前保險業尚未建立起全球統一的償付能力監管規則。從整體上看,償付能力監管模式主要有兩個代表性模式:一是歐盟體系(歐盟Ⅰ、歐盟Ⅱ);二是美國風險資本制度(簡稱RBC)。國際保險監督官協會正在組織全球大型保險公司進行國際資本監管標準的制定和實地測試工作,預計2019年開始實施共同框架。該規則體系也是以風險為導向,以合并報表為基礎,充分反映保險公司風險狀況,加強資本監管。
2 償二代監管體系解析
償二代償付能力監管規則體系(1-17號監管規則)自2015年進入過渡期,2016年開始進入正式執行階段,各保險公司停止執行原償付能力監管規則體系。在償二代監管體系下,償付能力監管將依托于三個支柱開展:
2.1 第一支柱 第一支柱的核心在于風險量化。在償一代體系下,風險與保險責任準備金、風險保額等掛鉤,不直接體現資產風險。隨著保險公司投資渠道的放開,特別對于壽險公司,風險主要來源于資產端和資產負債的匹配情況。在償二代體系下,最低資本與風險直接掛鉤,根據可量化風險(保險風險、市場風險和信用風險)大小計算最低資本要求。計算方法更加的復雜,對資產基礎數據數量和質量要求也大大提高。除了可量化風險外,還引入了控制風險最低資本要求和附加資本要求(如系統重要性保險公司、順周期資本要求等),使得資本涵蓋的面更廣泛。從2016年1季度披露的季報摘要來看,保險公司實際資本和最低資本都大幅度上升,資本溢額大幅增加,保險公司償付能力充足率出現一定的分化,風險較高的公司的償付能力充足率有所下降,體現出了風險導向的設計理念。
2.2 第二支柱 第二支柱主要包括償付能力風險管理能力評估和分類監管。其中,風險管理能評估涵蓋七大類風險,對每類風險管理提出具體的要求和評估標準。保監會將每年組織對保險公司償付能力管理能力進行評估,此種做法與歐盟Ⅱ有相似之處,創新點體現在將評估得分與最低資本要求掛鉤,以80分為分界線,80分之上可以減少資本,80分之下將增加資本要求。這一創新將償付能力管理水平與資本要求相聯接,風險管理直接創造價值,將大大推動保險公司提升風險管理水平的積極性。分類監管也體現出中國特色,保監會將在法人單位和分支機構兩個層面上根據公司償付能力狀況和風險狀況,對保險公司進行評級。與償一代相比,評級與風險掛鉤,風險越大,評級結果就越低。
2.3 第三支柱 受限于監管資源與成本,現代金融監管越來越重視信息披露的重要性,通過提升保險公司透明度引導各利益相關方關注和督促保險公司加強償付能力水平。在償二代體系下,信息披露分為定期披露和日常披露兩個層面。定期披露主要是要求保險公司每季度披露季報報告摘要,其中包括償付能力狀況、風險綜合評級結果和現金流狀況。日常披露主要是在影響保險消費者投保和續保的關鍵環節,主動告知償付能力狀況和風險綜合評級結果。從監管規定上看,不僅投資者和分析者將高度關注償付能力狀況,保險消費者也會逐步了解并作為購買決策的重要依據,進而影響產品銷售。
3 構建償二代下償付能力管理體系的緊迫性
償二代不僅涉及風險量化,更加強調風險管理和信息披露。與償一代相比,體系更加完整,三支柱之間邏輯更加一致。償二代自2016年起執行,建立健全償二代下償付能力管理體系勢在必行。
3.1 從外部因素上看,是監管合規的必然要求 按照監管要求,保險公司必須履行定期披露和日常披露要求。從執行的角度來看,主要存在兩大困難,一是基礎數據;二是復雜大量的計算。在監管要求的時限內(每個季度結束后25日內)按時、準確完成報告編制將是一件挑戰性極強的工作。對于保險公司來說,特別是中大型保險公司,資產分散在不同的投資管理人進行管理,及時獲取上百維度的資產信息難度極大。歐洲保險公司在實施歐洲償付能力監管要求時也遇到了類似的問題。此外,最低資本的計算方法上除了因子法外,還大量采用了情景對比法這種需要進行大量計算的方法,這也對按時完成信息披露帶來了非常大的壓力。在償二代體系下,量化計算需要投資、財務、精算等相關部門密切合作,在組織壁壘分明的保險公司中,如何建立順暢的工作機制也是一大難題。
3.2 從內部管理上看,是提升價值和企業競爭力的迫切需要 償二代體系正式實施之后,將推動全面風險管理在保險公司真正的落地。風險管理做得好的保險公司,不僅能夠降低最低資本要求,提升股東回報,還能夠提升風險綜合評級結果,進而在市場上樹立起管治良好的品牌形象,從而有利于保險產品銷售。反之,如果風險管理能力和水平較差,不僅會加大保險公司自身風險,通過信息披露,影響公司品牌形象,形成惡性循環。因此,在償二代體系下,保險公司風險管理水平將逐步成為競爭優勢。
4 風險導向償付能力體系國際實施經驗分析
從償二代體系和內容來看,與歐洲第二代償付能力監管體系相似度較高,以下通過分析歐盟II執行過程中遇到的難點問題和關注的重點領域,為我國保險公司做好償二代建設工作提供參考。
4.1 報告和信息披露方面 按照歐洲監管要求,歐II實施分為兩個階段:過渡階段和正式實施階段。在過渡期內,2015年保險公司季度報告需要在季度結束后8周內提交,年度報告需要在年度結束后的22周提交;自2016年開始,季度報告需要在季度結束后的8周內提交,年度報告需要在年度結束后的20周內提交。轉入正式實施后,季報報告需要在季度結束后5周內提交,年度報告需要在年度結束后14周內提交。為達成監管要求,歐洲保險公司主要遇到以下困難:
①工作流程方面的挑戰。報告編制的時間大大縮短,要求建立快速高效的工作架構。由于歐II技術方法的復雜性,工作流程變得更加的復雜,除了財務部門外,風險、精算、內控、稅務和投資等部門都要參與到流程當中,需要建立強有力的內控流程,確保按時準確完成報告編制。除償付能力報告之外,公司還需要兼顧會計報告和內含價值報告等。
②基礎數據方面的挑戰。需要充分理解復雜的監管規則,并在整個報告流程中獲取必要的信息,并確保來自于不同來源的信息的一致性和準確性。尤其是資產方基礎數據,資產數據分散在托管行、保險公司、資產管理公司以及其他第三方,現有的資產數據不能滿足歐II的需要。
③信息系統方面的挑戰。鑒于時間和質量要求,必須要建設財務編制信息系統,提供自動化編制的解決方案,涵蓋基礎數據的獲取、存儲和檢查,將財務和風險數據進行整合,建立系統內部控制,保證數據的質量和安全。
從保險公司準備情況來看,大部分保險公司正在制定報告流程、建立報告系統。領先的保險公司在報告流程方面主要將償付能力報告流程與其他報告流程進行整合,健全報告編制內控流程;在數據管理方面,梳理整合歐盟II和其他報告的基礎數據要求,自動化基礎數據獲取,提升基礎數據質量。
4.2 償付能力風險管理方面 歐盟II的二支柱要求保險公司進行風險自評估,并提交評估報告,內容主要涵蓋資本管理、風險管理和戰略規劃。歐洲保險公司主要在以下遇到潛在的挑戰:一是全面風險管理,建立健全風險偏好體系,對重要風險形成風險容忍度,并制定風險限額;二是償付能力評估和業務規劃,識別未來償付能力變化趨勢,制定償付能力和流動性應急預案,將壓力測試、持續性分析和風險調整評價體系與公司戰略計劃相融合;三是風險治理架構,耗費大量時間確定各類風險管理責任人,健全三道風險防范體系,大部分中小保險公司難以有效開展風險監測;四是信息披露,大部分保險公司需要公開披露風險管理框架、流程和自評估情況。
5 做好償二代下償付能力管理需要關注的重點領域
從2016年開始,償二代監管正式開啟。保險公司應當以償二代實施為契機,化挑戰為機遇,苦練內功,持續提升償付能力風險管理水平,打造核心競爭力,樹立良好的市場形象。筆者認為,保險公司應當從以下幾個方面著手,打造符合自身特點的償付能力管理體系。
5.1 償付能力管理架構 償二代的監管體系較償一代更加精細,更加貼近風險,同時也對保險公司提出了更多要求。償一代的方法較為簡單,與公司內部風險管理的關聯度不大,體現在治理架構上,董事會主要是負責報告的編制和資本補充,發揮的作用有限。在償二代體系下,風險狀況與資本要求直接掛鉤,體現了現代風險管理的基本原則,基于監管資本規則結合公司實際建立健全內部管理體系將成為一種必然的選擇。此外,監管機構也賦予了董事會在信息披露方面更明確的職責。這就要求保險公司自上而下的建立起償付能力管理體系,以董事會及其專業委員會作為償付能力管理的最終決策機構,對償付能力政策、資本管理、償付能力風險容忍度等重大事項進行決策,監督公司償付能力狀況,在出現償付能力危機時,及時組織開展自救工作。管理層負責落實董事會確定戰略、方針和政策,明確償付能力管理主責部門,及其他相關部門的工作任務,將各項工作要求落實到具體流程、具體部門和具體崗位,體現在部門和崗位績效考核中,將償付能力管理體系融入公司整體運營架構。
5.2 償付能力管理制度 制度體系和管理政策是各項管理要求落地的基礎和手段。在償二代體系下,保險公司應當首先建立起整個公司的償付能力管理制度,明確償付能力管理的目標、組織架構、部門職責、工作任務和關鍵工作流程。在總領辦法的引導下,還需要制定具體的工作制度。第一支柱下,需要建立起償付能力報告制度,明確資產、負債基礎數據管理要求,制定各部門間配合的工作流程,明確工作任務和時間要求,確保各類償付能力報告能夠在監管要求的時限內完成。此外,還要針對重點難度問題,編寫技術手冊,控制操作風險。第二支柱下,需要建立起兩個自評估制度,一是償付能力管理能力自評估;二是分類監管自評估。自評估不僅更好地支持監管部門對保險公司開展評估工作,更重要的是建立自檢程序,不斷提升償付能力管理水平。第三支柱下,需要建立償付能力信息披露制度,明確日常披露和定期披露各項要求如何在公司各部門、各信息系統中得到落實。同時,加強對銷售人員、柜面人員、客服人員等的教育培訓,向保險消費者傳遞正確的信息,從而樹立專業良好的市場形象。
5.3 基礎管理能力建設 償二代三個支柱的要求是上層建筑,要確保監管合規,并進一步提升管理水平,保險公司必須要打下堅實的基礎。一方面是認清償二代對專業人員的要求。償一代下償付能力以會計報表為基礎,最低資本僅以保險負債規模和風險保額掛鉤,各項專業職能之間的聯系不多,可以在簡單對接的情況下完成各項工作。償二代下最低資本以資產和負債的風險特征為基礎,需要收集、管理龐大的基礎數據,其中大部分為非財務數據。要做好償二代下的償付能力管理,就要求管理人員具備投資、財務和保險精算等的相關知識。目前,公司內部和人才市場上少有這類人員,這就要求保險公司在做好內部專業人員調動的同時,主動規劃好償付能力管理人員的培訓計劃,使其具備工作所需的專業技能。另一方面是注重信息系統建設。及時獲取高質量的信息是開展償付能力管理的基礎和前提。需要建設或改造的系統可能包括財務和報告系統、精算系統、風險管理系統以及業務核心系統。各保險公司根據自身情況確定具體的方案和實施路徑,但是快速提升信息系統支持水平是迫在眉睫的一項工作。
5.4 提升全面風險管理能力 在償二代體系下,風險管理能力和狀況不僅直接影響最低資本要求,還通過監管評級從而與監管措施掛鉤,通過對總、分兩級機構分級結果的披露,進而影響保險業務銷售,償二代將風險管理提升到償付能力管理的核心位置。目前,保監會已經全面風險管理辦法等相關制度,但是缺乏有效手段推動保險公司落地執行。通過償二代資本推動,可以預見保險公司將在風險管理中投入更多資源。隨著保險產品市場化不斷推進,保險業的競爭將越來越激烈,僅依賴于銷售隊伍擴量帶動業務發展的模式將受到很大的挑戰,以風險管理為核心手段的多種盈利模式將不斷涌現。保險公司應當以償二代為契機,不斷推進全面風險管理能力建設,將風險偏好、風險容忍度和風險限額體系融入公司經營管理體系,明確各大類風險管理政策,貫徹執行風險管理流程,逐步將風險管理能力轉化為盈利能力。
