保险公司内控准则(太保、大地2010[1].10.26).ppt

保险公司内部控制基本准则讲解,中国保监会 罗胜 2010.10.29,主要内容,一、制度丛林中的内控准则,三、如何理解内控准则,二、监管体系中的内控准则,四、如何执行内控准则,本节摘要,国际上有影响力的制度文件 我国不同权威部门发布的制度文件 保险监管机构发布的制度文件,国际上有影响力的制度文件,美国科索（COSO）报告 1985年，美国注册会计师协会（AICPA）、美国会计协会（AAA）、财务经理人国际（FEI）、内部审计师协会（IIA）和管理会计师协会（IMA) 成立全国反舞弊财务报告委员会（NCFFR）,业界以其主席Treadway名之特雷得威委员会。科索委员会（Committee of Sponsoring Organizations of the Treadway Commission，简称COSO）是特雷得威委员会前述5个发起组织的简称。 科索报告并非只是一个报告，而是其不同时期发布的多个报告的统称。主要包括： 1992年内部控制-整合框架（Internal Control-Integrated Framework）。报告包括实施概览、框架、对外报告和评估工具四部分。该报告得到美国审计总署和证监会的认可，404报告即以其为框架标准。 1994年发布内部控制-整合框架的增补本。 2004年发布企业风险管理整合框架 （Enterprise Risk Management-Integrated Framework）。该报告引发对内部控制和风险管理关系的讨论。 2006年发布小企业财务报告内部控制指引,国际上有影响力的制度文件,英国卡德伯瑞（Cadbury）报告 1994年，英格兰和威尔士特许会计师协会（ICAEW）下属的公司治理财务委员会发布内部控制和财务报告（业界以其主席Cadbury爵士的名字名之）。是对英国上市公司改善治理和内控的研究报告，提出了董事会实施内部控制的若干指导原则。 英国特恩布尔（Turnbull）报告 1999年，ICAEW所属公司内部控制工作小组发布了内部控制关于联合规则的董事指南的报告（以其主席名之）。该报告强调了董事会在公司内控有效性中的责任和内部审计的重要性，是英国上市公司改善内控的重要制度文件之一。,国际上有影响力的制度文件,加拿大CoCo报告 1992年，加拿大特许会计师协会(CICA)成立了控制基准委员会（The Canadian Criteria of Control Board，简称COCO委员会。 1995年10月，COCO委会员于正式发布了关于内部控制的框架性文件控制指南(Guidance on Control )。在随后的几年中，COCO委员会又陆续发布了一系列指导性文件，为COCO内部控制框架的应用提供了具体的操作规范。 COCO内部控制框架在一定程度上借鉴了美国的COSO内部控制框架，同时也有创新。如其内控四要素：目的（Purpose）、承诺（Commitment）、能力（Capability）、监控和学习（Monitoring and Learning）等，与COSO的5要素、8要素有显著不同。业界对COCO报告有很高的认可度。 1999年，COCO委员会发布了评估控制指南（Guidance on assessing Control），该指南描述了形成一份评估报告的10步程序。2004年发布董事指南应对董事会的风险,国际上有影响力的制度文件,巴塞尔协议 1998年，巴塞尔银行监管委员会（BCBS）发布了银行系统的内部控制框架，借鉴COSO框架，提出银行内部控制的13条原则。框架同时认为银行内控的5要素为：管理层的监督与控制文化、风险识别与评估、控制活动与职责分离、信息与沟通、监控活动与纠正缺陷。 保险方面，国际保险监督官协会（IAIS）的监管核心原则（ICP）有内控方面的内容，但很原则。 信息与相关技术的控制目标 信息系统审计与控制协会（ISACA）是一个为信息管理、控制、安全和审计专业设定信息技术规范的全球性组织，是信息系统审计师（CISA）的认证机构，成立于1967年。 1996年， ISACA发布信息与相关技术的控制目标，通称COBIT（随后进行过多次完善，已发展到4.1版），为信息技术安全与控制实践提供了可运用、可接受的技术标准，也是信息技术审计的应用准则。 2003年，ISACA联合信息技术治理委员会（ITGI）发布了服务萨班斯法案的信息技术目标。,国际上有影响力的制度文件,萨班斯法案 2002年，美国发布公众公司会计改革和投资者保护法案（以提名的两名参议员名字名之萨班斯、奥克斯利法案）其103、302和404条款的内容涉及内部控制。其中，404条款是其最核心的内容，明确了两项制度安排：一是上市公司管理层评估并报告其内部控制（后缩至与财务报告相关的内部控制），二是外部审计师基于管理层的评估进行再评估并报告。 404条款本身只有两小段，但2004年，根据萨班斯法案成立的公众公司会计监管委员会（PCAOB）通过并经美国证监会（SEC）批准了第2号审计准则（AS2）与财务报表审计协同进行的财务报告内部控制审计，该准则长达330页，规则之细，引发全球对404条款、萨班斯法案、萨班斯及奥克斯利的功过评价乃至美国资本市场融资成本等问题的长久讨论，影响巨大。2007年，美国证监会（SEC）通过新的审计准则第5号，对原2号准则进行了一定的调整。,我国权威部门发布的制度文件,中国注册会计师协会：中国注册会计师审计准则第1211号（2006） 中国内部审计协会：内部审计具体准则第5号（2003） 财政部等5部委：企业内部控制基本规范及18项具体指引（2009） 证监会：证券公司内部控制指引（2001） 人民银行：商业银行内部控制指引（2002） 银监会：商业银行内部控制评价办法（2004） 审计署：审计机关内部控制测评标准（2004） 外汇管理局：保险业务外汇管理内部控制制度（2004） 上交所：上海证券交易所上市公司内部控制指引（2006） 深交所： 深圳证券交易所上市公司内部控制指引（2006） 国资委：中央企业全面风险管理指引（2006）,保险公司内部控制制度建设指导原则(1999),寿险公司内部控制评价办法(2006),财产保险公司风险评价办法（2008）,保险资金运用风险控制指引（2004）,中国保监会发布的制度文件,保险公司风险管理指引（2007）,保险公司内部控制基本准则（2010）,寿险公司全面风险管理指引（2010）,主要内容,二、监管体系中的内控准则,三、如何理解内控准则,一、制度丛林中的内控准则,四、如何执行内控准则,本节摘要,内控监管在保险监管中的位置 公司治理监管的基本内容 风险监控体系中的不同职能要求,监管三支柱,市场行为,偿付能力,公司治理,产品监管 服务监管 公平交易 公平竞争,资本充足率 财务表现 风险监测 干预措施,股权 董事会 风险监控体系 披露和透明度 激励机制,内控监管在保险监管中的定位,市场行为监管,偿付能力监管,公司治理监管,对象,监测方式,处置手段,“手和脚”,“心脏和血液”,“大脑和神经” 通过对决策执行过程的监控为公司稳健经营提供合理保障,特点 客观性强 手段 现场检查 举报投诉,特点 客观性强 手段 财务报表测算,有些严重违规行为发生隐秘，日常检查不易发现，内部举报是重要监控手段 日常通过综合评估等方式认定，有一定主观性,有具体的认定标准和范围界定 处罚措施比较明确,一般没有绝对的标准，无从规定具体的处罚措施，有时需要借助前两者的处置手段综合治理，“一司一策”甚至“一事一策”,内控监管在保险监管中的定位,公司治理监管基本内容：股权管理,一般股东 简化程序，降低门槛，吸引社会资本投资保险，增强行业发展后劲 主要股东 关系清晰 资质优良 结构合理 流转有序 行为规范 控股股东：保险公司控股股东及实际控制人管理办法,保险公司股权管理办法：区分一般股东、主要股东、控股股东,公司治理监管基本内容：董事会建设,完善组织 董事会规模 董事会组成 专业委员会 强化职能 两大职能：战略和监控 董事会职能的独立性 决策支持 集团下属子公司董事会的职能和实际运作 规范运作 会议流程 列席观察,保险公司风险管理指引 保险公司合规管理指引 保险公司内部审计指引 保险公司内部控制基本准则 保险公司关联交易管理办法,明确公司不同专业条线的风险控制职能，建立较为科学的工作机制和清晰的报告路线，强调职责的独立性和公共性，鼓励举报,公司治理监管基本内容：风险监控体系,风险管理是公司治理的关键要素，是一个多层次、多条线的执行和控制体系，基本要求是专业化、职能化、规范化,薪酬管理和决策程序不合规 考核指标设置和薪酬科目设置不合理 违规推行长期激励或职工持股 个别公司高管薪酬过快增长或显著过高 薪酬管理两大难题 国有公司高管定价：财政部和国资委的思路 市场化与社会公平：金融危机后国际薪酬监管理念的转变,目前正在起草保险公司绩效考核及薪酬指引,公司治理监管基本内容：激励机制,透明的价值和理念。披露是透明的途径之一 信息披露的基本思路：国际、国内 现行制度的要求和落实现状 披露的风险,公司治理监管基本内容：披露与透明度,保险公司信息披露管理办法,风险监控体系中的不同职能要求,公司治理内部控制合规管理风险管理内部审计 （一）公司治理和内部控制 内部控制是公司治理的关键要素 公司治理是内部控制的基础 谁大谁小，谁包含谁？ （二）内部控制与合规管理（Compliance ） 合规兴起的两个缘由：1、跨国机构面临多国法律环境，对法律的解读和遵守 2、内部审计直接向董事会负责，管理层控制另辟蹊径 合规内涵的两个层面：1、内部管理制度符合外部法律要求和非法律性质的正当约束 2、内部制度和外部法律都在经营行为中得到遵守 从内函看，合规管理实质就是内控管理,风险监控体系中的不同职能要求,（三）风险管理与内部控制 从宏观、哲学和广义的层面看，风险管理就是管理，狭义角度探讨才具有专业意义 从基本目标、实施主体、控制对象、控制程序等看，风险管理和内部控制具有内在一致性 许多国家的制度和国际文件已不再区分风险管理和内部控制（不同专业人士的认识偏好） 从保险公司面临的风险类型、管理工具、管理人员专业要求等更细层次划分： 内部控制定位为操作风险的管理； 风险管理定位为保险风险、市场风险、信用风险以及财务性风险（偿付能力风险、流 动性风险）等主要通过数量模型工具测算和控制的风险的管理 （四）合规（内控）管理和内部审计 从内容看，两者都是对公司制度遵守情况的监督 从工作方式看，都可以有检查行为（通过检查确立权威性？） 合规管理重在事前，以统筹规划、整体设计、实时监测、定期排查和帮助改进等工作为主；内部审计定位在事后（伙伴式审计？），以独立客观检验执行结果为主 合作撰写内控评估报告？,风险监控体系中的不同职能要求,继续讨论 除内部审计因保持相对独立和客观外，其他几项职能有趋同性 内审可否由外审替代？ 监事会如何其起作用，监事会主席可否担任合规负责人、审计责任人、风险负责人？ 风险管理报告、内控评估报告、合规报告可否合并？ 纪检、巡视、政府审计、政府监管等职能是否存在重叠？ 不同规模和性质的公司，在职能和岗位配置上具有灵活性 大公司、小公司、集团公司、外资公司 工作职能分开，报告路线是否分开？ 概念可以争论，实际职能配置和职责分工一定要清楚 如何处理工作上的交叉？,主要内容,三、如何理解内控准则,三、监管体系中内控准则,一、制度丛林中的内控准则,四、如何执行内控准则,本节摘要,内控准则的定位和起草原则 内控准则的体例结构 内控准则的主要内容,财政部基本规范和保监会内控准则的由来及两者的关系,保险业 内控监管 制度体系,制度定位,起草原则,宏观架构和整体规划保险公司内控体系，分清层次和重点,与现行保险公司主要业务模式和管理模块匹配，体现保险 行业专业特色和时代特点，保持一定的开放性,树立整体内控的指导思想，从机构管理和业务条线全面描 述保险公司内控要求，便于总体把握,遵循通行规则，符合不同公司实际需求，做到原则性和灵活性相结合，文字表述通 俗易理解,施行日期：2011年1月1日 适用范围：中华人民共和国境内成立的保险公司。 保险集团公司、再保险公司和保险资产管理公司参照执行,体例结构,主要内容：总则,基本准则 本准则所称内部控制，是指保险公司各层级的机构和人员，依据各自的职责，采取适当措施，合理防范和有效控制经营管理中的各种风险，防止公司经营偏离发展战略和经营目标的机制和过程,主要内容：定义,基本规范 内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,基本准则 行为合规性；资产安全性；信息真实性；经营有效性；战略保障性,主要内容：目标,基本规范 合理保证企业经营管理合法合规；资产安全；财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略,基本准则 全面和重点相统一；制衡和协作相统一；权威性和适应性相统一；有效控制和合理成本相统一,主要内容：原则,基本规范 全面性原则；重要性原则；制衡性原则；适应性原则；成本效益原则,基本准则 内部控制基础；内部控制程序；内部控制保证,主要内容：要件,基本规范 内部环境；风险评估；控制活动；信息与沟通；内部监督,内容框架,如何监管,怎 么管,管 什么,除准则外，总体分三部分,主要内容：框架,销售控制,运营控制,基础管理控制,资金运用控制,建立一个整体概念,划分三个业务层次,把握四个内控重点,管什么：层次和板块,主要内容：管理对象怎么构建,不同层次和板块的内控活动的特点和要求不同 前台控制：对直接面对市场和客户的营销及交易行为的控制活动 以市场和客户为导向，以业务品质和效益为中心 后台控制：对业务处理和后援支持等运营行为的控制活动 以效率和风险控制为中心，集中化、专业化 基础控制：对决策支持和资源保障等管理行为的控制活动 制度化、规范化 资金运用是保险公司经营活动中相对独立的组成部分，是内部控制的重点领域 以安全性、收益性、流动性为中心，要求集中、统一、专业、规范,控制活动,管什么：即内部控制的对象是什么，或者说保险公司主要有哪些内部控制活动,主要内容：管什么,此外，内控准则对保险公司反舞弊机制和业务外包做了规定,主要内容：怎么管,如何监管：内控评估是国际上普遍采用的推进内控建设的重要手段，也是实施内控监管的前提,保险公司内控自评,外部审计机构 独立鉴证,保监会监管,制定内部控制评价制度 明确内控评价的主体、时间、方式、程序、范围、频率、上报路线及报告等 实施内控评价 根据评价情况，编制内控评估报告 提交董事会审议内控评估报告，并报送保监会 根据信息披露的相关规定，披露内控评估报告的全部或部分内容,对保险公司内部控制情况进行独立评价,保险公司内控评价结果分以下四类,合格,一般缺陷,重大缺陷,实质性漏洞,要求保险公司在内控评估报告报送前，取得外部审计机构的鉴证结论 针对部分内控环节或业务单位进行抽查 组织内控全面评价检查 委托中介机构进行内控全面评价检查 根据内控检查结果采取必要的监管措施,主要内容：如何监管,主要内容,四、如何执行内控准则,三、如何理解内控准则,一、制度丛林中的内控准则,二、监管体系中的内控准则,本节摘要,内控管理普遍存在的问题 加强内控建设的必备要件 对公司的几点建议,内控管理普遍存在问题,领导不重视 体制不支持，个人和公司需求函数不一致 缺乏战略意识：短期业绩模式 自身置外，无法适应要求，成为破坏规则的源头 资源配置吝啬 制度规则缺陷 抄来的制度，内容空泛，脱离公司实际 就事论事，临时打补丁，不成体系 部门利益参杂，规则不合理 制度浩繁臃肿，盲目求全，为制度而制度,内控管理普遍存在问题,理念和技术手段