|
|
【导语】
众所周知,保险业已成为社会经济发展不可或缺的重要金融产业。“新国十条”的颁布,更为保险业快速发展注入强心剂。但不可否认的是,近些年来,由于忽视内部管理和内部控制,陆续发生某些保险公司工作人员因违规操作受到行政监管处罚甚至触犯刑法的案例。加强内控建设,提高内控水平,已成为保险公司立足于行业的必然选择。
为进一步提升员工内控管理意识,国联人寿法律合规部特制作内控建设专刊,普及保险公司内部控制的相关知识,分析保险公司内部控制的监管要求,指出内部控制建设中的问题,提出公司建设内控体系的路径等,引导公司全员树立正确的内控理念,自觉履行自身的内部控制职责,促使公司健康稳健发展。
一、保险公司内部控制的定义
内部控制发展起源较早,在国外大致经历了五个发展阶段,但内部控制概念的正式提出是在美国安然公司财务造假后,美国COSO委员会在其1992年颁布的《内部控制整体框架》中,指出:“内部控制是由企业的董事会、经理阶层和其他员工实施的,为营运的效率及效果、财务报告的可靠性、相关法令的遵循等目标的达成而提供合理保证的过程”。COSO委员会同时进一步提出内部控制应由控制环境、风险评估、控制活动、信息与沟通、监督五个相互联系的要素构成。
我国对内部控制的定义研究起步较晚,国家五部委发布的《企业内部控制基本规范》指出,内部控制“是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”《保险公司内部控制基本准则》将保险公司内部控制界定为:“是指保险公司各层级的机构和人员,依据各自的职责,采取适当的措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略和经营目标的机制和过程。”
二、保险公司内部控制涉及的重要法律法规
保监会于1999年制定了《保险公司内部控制制度建设指导原则》,该规定规范了保险公司内部控制的目标、原则和要素,以及保险公司组织机构系统、决策系统、稽核系统等,对我国保险公司内部控制建设提供了方向和参照标准。
2005年,保监会发布《保险中介结构法人治理指引(试行)》和《保险中介机构内部控制指引(试行)》,以期促进保险中介机构加强法人管理和内部控制建设,提高专业化水平。
2006年1月,保监会为规范寿险公司内部控制评价,颁布《寿险公司内部控制评价办法(试行)》,该办法严格贯彻COSO报告的思想,并结合我国寿险公司实际情况制定,内容不仅包括整体的内部控制五要素,给各项规定赋予评分,而且直接量化了寿险公司内部控制水平。
2008年6月,五部委联合发布《企业内部控制基本规范》(以下简称“《基本规范》”);2010年4月,五部委进一步发布了配套该基本规范的三个指引,即《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。
2010年8月,保监会依据《保险法》和《企业内部控制基本准则》等,印发《保险公司内部控制基本准则》(以下简称“《基本准则》”),该准则明确了保险公司内部控制的五个目标,对内部控制活动、内部组织设置和内部控制的评价与监管进行了详细说明,界定了保险公司内部控制的概念,是保险行业内部控制建设的重要指南。
三、保险公司内部控制的基本要素
从内控建设实践来看,保险公司内部控制一般是通过制定规章制度、设置组织机构、确定人员分工以及明确各部门及人员的职责权限来实现的。根据《基本规范》,一项有效的内部控制体系包括控制环境、风险评估、控制活动、信息与沟通、内部监督五个基本要素。其中内部环境属于内部控制的基础,风险评估和控制活动属于内部控制程序,信息沟通与内部监督属于内部控制的保证。
1、控制环境。控制环境是保险公司实施内部控制的平台与基础,决定着内部控制系统有效性的发挥,直接影响着其他四个要素的基本状况。它反映了企业董事会和管理层对内部控制的重视程度,直接影响到保险公司内部控制措施的贯彻和执行以及经营目标及整体战略的实现。控制环境包括:公司的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化、信息系统等要素。
2、风险评估。风险评估是保险公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。例如,保险公司应当对经营管理和业务活动中可能面临的所有风险因素(比如信用风险、市场风险、运营风险、保险风险、合规风险、声誉风险、战略风险等)进行全面系统的识别分析,发现并确定风险点,同时对每一风险点的发生概率、诱发因素、扩散规律和可能损失进行定性和定量评估,确定风险应对策略和控制重点。
3、控制活动。控制活动是保险公司根据风险评估结果,设计实施相应的控制措施,将风险控制在可承受范围之内。保险公司内部控制活动旨在通过一系列的政策、程序和方法等有针对性地降低保险公司的潜在风险,以保证公司经营目标的实现和管理层决策的顺利实施。控制活动包括业务控制、财务控制、资金控制、信息技术控制及其他控制等。
4、信息与沟通。信息与沟通是保险公司及时、准确地收集、传递与内部控制相关的内外部信息,确保信息在企业内部、企业与外部之间进行有效沟通。外部信息包括市场分析、竞争对手情况、法律法规要求和客户投诉等信息。内部信息包括财务状况、投资决策、资产维护等。沟通方式包括编制政策指南、财务报告手册和备忘录等,除了口头沟通和书面沟通外,运用电子技术特别是互联网的沟通也很普遍。
5、内部监督。内部监督是保险公司对内部控制建立与实施情况进行监督检查,评价内部控制体系的健全性、有效性,发现内部控制缺陷并及时加以改进。监督是一种持续性的活动,渗透到保险公司的日常运营中。审计部门、风险管理部门等应每隔一段时间向董事会及下属委员会提交监督报告,为董事会评价监督效果和提出改进措施提供充分的依据。董事会还应定期检查公司整个监督体系的有效性,对监督体系的运作情况进行监督。
四、保险公司内部控制活动的主要组成部分和具体要求
根据《基本准则》,保险公司内部控制活动分为前台控制、后台控制和基础控制三个层次。前台控制,即销售控制,是对直接面对市场和客户的营销、服务及交易行为的控制活动;后台控制,即运营控制,是对业务处理和后援支持等运营行为的控制活动;基础控制,即基础管理控制,是对公司经营运作提供决策支持和资源保障等管理行为的控制活动。此外,资金运用控制作为保险公司中相对独立的部分,其内控活动同时包含了以上三个层次的内容。
根据《基本准则》,保险公司内部控制活动层次的内容及要求具体如下:
|
内控
层次
|
组成
部分
|
主要流程 和内容 |
内部控制 建设要求 |
|
前台
控制
|
销售
控制
|
销售人员和机构管理 |
建立销售人员管理制度和代理机构合作管理制度等 |
|
销售过程和品质管理 |
规范展业行为、客户回访和中介机构的合作等 |
||
|
佣金手续费管理 |
规范佣金、手续费的计算和发放等 |
||
|
后台
控制
|
运营
控制
|
产品控制 |
建立产品开发部门、规范产品开发流程等 |
|
承保控制 |
规范承保操作流程及投保、核保、保单制作和送达等 |
||
|
理赔控制 |
规范理赔操作流程及报案、现场查勘、损失理算等 |
||
|
保全控制 |
规范保全操作流程及续期收费、合同变更、退保等 |
||
|
收付费控制 |
规范收付费操作流程及岗位分离、非现金收付等 |
||
|
再保险控制 |
建立再保险管理制度,完善风险分散及保障机制等 |
||
|
业务单证控制 |
建立单证管理制度,全程监控领用数量和持有期限等 |
||
|
会计处理控制 |
规范会计核算流程,加强原始凭证管理等 |
||
|
客户服务中心控制 |
建立统一客服专线,规范咨询、投诉、报案、回访等 |
||
|
反洗钱控制 |
建立反洗钱制度,规范反洗钱内部操作流程等 |
||
|
基础
控制
|
基础
管理
控制
|
战略规划控制 |
规范战略规划的制定流程,提高战略的指导实用性等 |
|
人力资源控制 |
建立人力资源制度和激励约束机制,规范岗位职责等 |
||
|
计划财务控制 |
建立财务管理、预算、准备金精算和统计信息管理制度等 |
||
|
精算法律控制 |
完善精算和法律职能,充分运用精算技术和法律支持等 |
||
|
信息系统控制 |
建立信息系统管理制度,统筹规划系统开发建设等 |
||
|
行政管理控制 |
规范采购、招投标、品牌宣传、文件及印章管理等 |
||
|
分支机构控制 |
规范授权方式,差异化业务政策或控制权限,加强监督等 |
||
|
横跨所有
三个层次
|
资金
运用
控制
|
资产战略配置控制 |
制定中长期资产战略配置计划,控制资产配置战略风险等 |
|
资产负债匹配控制 |
加强成本收益管理和期限管理,评估资产错配风险等 |
||
|
投资决策控制 |
投资决策流程,建立授权制度等 |
||
|
交易行为控制 |
建立独立的投资交易执行部门或岗位和交易记录制度等 |
||
|
资产托管控制 |
建立第三方托管制度,规范托管方甄选、信息交换等 |
五、保险公司内部控制建设中存在的主要问题
1、对内部控制认识不全面。一是把内部控制与内控制度的制定简单划等号,认为内部控制仅仅是一份份制度、一本本手册或者有关文件,主观上认为有制度就可以进行有效地内部控制管理;二是认为内部控制管理的对象只是基层的工作人员,而高层的管理人员不受其约束,忽略了对管理层和关键的工作岗位员工进行管理和监督的必要性。
2、内控制度建设滞后,制度基础不牢。其主要包括:内控制度过于形式化,生搬硬套监管规定,缺乏可操作性;内控制度制定、更新跟不上监管新政,不符合公司业务发展的需求,不具备时效性;内控制度没有渗透到公司的各项业务和各个操作环节,没有覆盖到所有的部门和岗位,许多关键控制点处在控制无效状态等。近几年来,保险公司发生违法违规案件中,相当部分是公司员工或营销人员利用公司内控的漏洞进行侵害公司财产,如公司实际控制人侵占、挪用、违规关联交易等非法转移保险资产;公司员工利用单证和印章管理的漏洞制作假保单进行非法承保或诈骗活动;业务管理系统、投资信息系统建设滞后,发生篡改财务、业务数据挪用;营销员利用填写假的客户委托书办理保全或者赔款,私自给客户办理退保等。
3、内控制度执行不到位。内控制度执行不到位是目前保险公司面临最为严重的问题。具体表现如下:一是有了制度,不去落实,将内控制度沦为“纸面化”;二是执行人未认真学好制度,不同员工对同一内控制度的理解存在偏差,执行时出现不同方式和结果;三是岗位设置不合理或岗位人员缺位,出现一人多岗或多岗无人的现象,导致岗位制约失效、职责游离;四是内控部门检查受公司利益影响和领导制约,隐瞒包庇违规问题,或在追责时过于宽容,违规成本小,导致内控制度失效。
六、完善国联人寿内部控制体系的路径
内部控制是保险公司稳健运营的“刹车阀”与“平衡器”,是公司防范风险的第一道防线。公司开业以来,内部控制总体水平不断提升,但是内部控制体系建设是一项长期任务。现围绕着“制度有效性”及“遵循有效性”两个维度,分析公司内部控制体系的构建与完善的路径。
(一)制度健全性的实现路径
1、加强内控文化建设,规范公司内控管理。建立良好的内部控制管理文化,实现精神上的“软约束”,是从根本上防范和控制风险的有效手段。公司将采取系列措施加强内部控制文化建设,一是加强内控管理理念的培养,充分利用各类培训会、经营会、员工大会等向员工进行内控理念的宣导,传达“所有工作都在制度控制之下,工作规则覆盖所有岗位”的工作理念;二是加强内控制度宣传、学习,定期组织专门的内控制度培训,重点讲解制度制定的目的、与各部门、各岗位相关的内控业务流程、主要风险控制点等,培养员工的“制度畏惧感”,形成人人敬畏制度、个个严守制度的良好氛围;三是有效利用公司现有的“知鸟”APP平台等培训平台,定期开展与内控管理、公司制度有关的考试,考试成绩计入个人考核,推动公司全体员工自主学习。
2、外规内化,持续完善公司内控制度。目前,公司虽已初步建立内控制度体系,但制度的完整性、可行性和制度之间的衔接性都有所欠缺。公司各部门、各机构应充分发挥灵活思维和主观能动性,将现有制度进行深入总结和细化,根据公司或部门自身情况进行改良,及时进行新增、修订,保证内部控制覆盖整个公司所有业务行为的关键风险点,保证内部控制与公司经营规模、业务范围、风险水平等相适应,保证内部控制符合最新监管要求。在制度制定或修订过程中,应注意以下几点:一是制度要尽量具体,不要太抽象、太原则,要注重制度的可操作性,在简明、实用上多做文章;二是要注重制度的刚性,明确制度执行的主体、途径和违反制度所承担的责任;三是要重视制度的程序建设,形成科学、规范的操作程序;四是要提高制度的稳定性,不能朝令夕改,让执行者无所适从。
(二)遵循有效性的实现路径
1、完善内控评价体系,提升自我评估监督力度。完善内控评价体系是企业改善自身内部控制水平最有效、最直接的方法。根据相关监管规定,保险公司应当每年对内部控制体系的健全性、合理性、有效性进行综合评估。公司于2016年1月初启动了2015年度内部控制体系评估工作,结合《基本准则》及公司实际状况,从制度健全性及遵循有效性两方面实现对内部控制体系的全面评价,建立了一套含有297个内控风险点的内控评估指标,基本覆盖公司各部门内控项目的主要控制风险点。但是,公司现采用的内控指标均为定性的指标,后期评价分析过程中会存在很多主观色彩,评价结果会存在一定偏差。下阶段,公司将结合2015年内控评估工作的情况,在现有指标基础上,针对部分业务环节,增加定量的结果性指标,以期综合反映内部控制系统运作结果,降低评估过程中的主观性;未来将考虑适时引入业界提出的层次分析法等量化的评价方法,在内控五要素指标项下分别设定子项指标,利用判断矩阵确定指标权重,计算出每个子项指标的具体分数,从而量化计算出内控五要素指标分数,进而得出公司内部控制评价综合得分,建立一套科学、合理、可量化的内控评估指标。此外,公司审计监察部已就2015年内控评估工作情况与各部门沟通并接受反馈,下阶段应对各部门的整改情况进行持续跟踪与监督,保证内控评估工作获得实效。
2、实现全面风险管理,推进内部控制。企业内部控制是风险管理的重要环节,良好的内部控制依赖于对企业所处风险的性质与范围的恰当评价。因此,公司将致力于建设风险导向型的内部控制体系,把风险管理嵌入到保险公司的日常经营活动中。目前,公司已初步建立风险管理制度体系,全面规范风险管理。公司将以战略规划为指引,由风险管理部牵头梳理、识别影响三年发展规划实施的风险事项,同时鼓励员工注意日常工作汇总,识别出各岗位的风险事项,自下而上进行风险事项识别。下阶段,公司将加紧建立风险限额(KRI)指标体系,将全面风险管理贯穿到公司运营各个层级和环节,通过定期开展风险评估工作、定期校验指标体系的逻辑,确保对重点风险的有效防控;同时将有效利用信息技术软件辅助风险管理工作,加快推进风险管理信息系统的搭建,提高公司风险管理业务水平,推进内部控制。
3、完善信息沟通机制,确保信息共享。建立良好的信息交流与反馈机制,实现内外信息交流畅通、上通下达,是实现有效内部控制的前提。下阶段,公司将持续利用制度公示平台,及时上传新增或修订的制度;完善核心业务系统,实现新发文的基本规章制度能通过系统自动传达至全体员工,实现制度透明化;定期整合、汇编公司最新基本管理制度,印刷成册,发放给公司员工,方便员工查阅。此外,公司将继续拓展投诉举报渠道,开通邮箱、信箱、电话、面谈等多种渠道,明确具体的调查处理程序、办理时限和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。
4、明确责任,落实责任追究制度。目前,公司已出台《案件责任追究管理办法》和《违规违纪管理办法》,从约束机制上,有效遏制重大违法违规行为的发生。为进一步实现有效问责,公司将内控制度等相关制度与现有岗位职责建立对应关系,形成约束执行者完整的职位说明书。同时,公司将以问责作为提升制度执行力的有力抓手,问责既要对事,更要对人,问责要严肃认真,问到具体人的头上,确保各项制度真正落到实处。此外,公司将强化内部审计的责任,制定内部审计机构的责任管理制度,明确内部审计各岗位的具体职责,通过严格的责任追究机制真正发挥内部审计的监督作用。
关注我们
版权所有©国联人寿保险股份有限公司 未经许可不得复制、转载或摘编,违者必究!
Copyright 1994-2016 Guolian Insurance Co., Ltd All rights reserved ICP许可证号 苏ICP备15002662号-1 本网站已支持IPv6访问
