中国平安内控管理体系以风险为导向

1、老客呼死你中国平安内控管理体系：以风险为导向风险管理与内部控制是企业生存与发展的永恒课题。保险公司的内控既有其独有的特点，又具有一定的代表性。特编辑一组专题，倾听来 自典型企业、监管部门及咨询机构的声音。自国家财政部、保监会等五部委联合下发企业内部控制基本规范和相关的配套指引，以及保监会发布保险公司内部控制基本准 则以来，中国平安 （微博 ）集团充分利用政府创造的良好环境和强大推动力，将公司的内控体系再次整合升级， 并通过深入贯彻落实保监 会基本准则，将平安内控管理机制深入落实到各业务环节。目前平安集团保持着健全的公司治理结构和风险管控的三道防线，包括：第一道防线：业务及管理部门。作为风险管控

2、的第一责任单位，执行公司制定的风险内控政策，并组织开展业务自我改进。第二道防线：风险内控管理的专业职能部门。合规部、风险管理部、法律部以公司风险内控管理政策为核心，协助各级业务部门和管理职能部门建立风险识别、评估、控制、应对流程，建立各项重大风险预警机制，完善风险指标监测体系和报告机制，并推动整体改进和落实。在具体的内控建设和评价工作中，合规部负责建立全年内控自评计划，其中包括主数据的维护、风险自评、内控自评和内控测试的工作时间计划及工作项任务。第三道防线：监察稽核的职能部门。稽核部门作为相对独立的部门，对公司风险内控体系和机制的整体运作情况（内控机制的设计有效性和执行有效性 ）进行独立评价和

3、报告。创建平安信赖工程 信用、信誉是金融企业的生命，信心、信赖是金融企业成长壮大的基石。全球金融危机的爆发、蔓延再一次验证了内控管理对于企业的意义，对以金融服务为业的平安而言，内控管理水平更是能否赢得客户信赖、能否保证股东利益并确保监管放心的衡量标准。公司领导明确指出：内部控制管理不是被动地满足法规的要求，而是公司经营管理的内在需求，内部控制管理也不仅仅可以控制风 险，更可以增强客户信赖，提高老客户忠诚度，吸引更多的新客户， 促进公司业务发展。平安根据国家法律法规以及监管要求，结合公司经营管理的需要，确立了以“促进公司三大支柱业务（保险、银行、资产管理 ）以及整个集团有效益可持续健康发展”为公

4、司内控与风险管理的长期目 标；建立了覆盖全面、运作规范、针对性强、执行到位、监督有力的 合规内控与风险管理体系和运行机制。 先进的内控管理机制为公司持 续稳健发展提供了保障， 为客户利益维护建立了坚实的保护屏障， 为 公司战略有效实施奠定了坚实的基础。把信赖建立在机制上，把信赖 建立在系统、平台上，把信赖建立在可预期的结果上。满足法规只是起点 内部控制“体系是否健全”、 “运行是否有效”是平安管理层非常关心的问题，也是即将或准备实施内控体系建设的企业所关心的。根据基本规范的要求，企业需要报告和披露在规定时点内部控制运行有效性的评价结果。 表面看起来企业只要顺利通过会计师事务所 进行的内部控制审

5、计就算过关了， 但平安管理层确定的内控目标不仅 如此，更强调提升内部控制管理的长效机制和持续保证能力，至少应 实现以下目标：顺利通过会计师事务所进行的内部控制审计； 形成风险识别、评估和内部控制制度设计、运行及控制效果测试评价的标准流程，并保持动态更新、反复运行；并动态记录内部控制管理和维护的过程轨迹； 梳理并分类归档内部控制设计及运行有效性的举证资料，保持其充分有效性；形成内控风险及缺陷的主动检视、持续改进、 自我完善的运行机制；实现内部控制评价结果与相关责任人的绩效问责考核指标挂钩。在构建平安集团合规内控体系的过程中， 平安一方面努力加强内部制度和风险内控团队建设；另一方面充分利用外脑，与

6、国际知名咨 询机构积极合作，借鉴国际、国内先进的风险内控管理方法、成熟经 验和现代化工具。特别是 2008 年 6 月五部委正式发布基本规范后，平安集团管理层非常重视， 敏锐地认识到建立健全内部控制体系不仅是监管机 构的合规要求，更是获得客户信赖，提升公司品牌，提升上市公司外 部评价的契机和抓手。认识决定态度，思想决定行动。在对美国萨班 斯奥克斯利法案、 COSO 内部控制以及企业风险管理架构等制度、标 准及其实施状况进行调研的基础上，结合平安的战略方向及现实状况，平安管理层以“务实”、“整合”为核心价值理念，提出“以风 险为导向、 以制度为基础、 以流程为纽带、 以内控系统为抓手”的 26字

7、方针，为整个集团内部控制体系建设明确了“四项基本原则”。简单来说， 即首先梳理关键流程并识别和评估与内控相关的固有风险；其次结合公司各项规章制度及实施现状，辨识各个流程的关键 控制活动并固化；然后开展内控自评工作， 评估现有内控体系对于上固有风险即为剩余述固有风险管理的有效性，最终得出剩余风险的评估结果。扣除现有内部控制和管理举措对于固有风险的缓释效果后， 风险水平。 对于内控自评发现的内控缺陷， 有针对性地弥补内控缺失、 进一步完善内控体系， 从而将内控相关的剩余风险控制在公司可接受 的水平。以风险为导向 内部控制体系建设需要回答的首要问题是：“控制什么？就是控制目标的问题。 不少保险公司在

8、开展内部控制时的一大误区在 于“为内控而内控”，流于形式，眉毛胡子一把抓，没有对内控风险 点进行梳理和分类，最后既浪费了人力、财力，也降低了内控项目的有效性。而“以风险为导向”的理念，则是要明确识别行业及公司内部所面临的风险点，并对已识别的风险进行评级，同时与现有的控制活动进行匹配，进而评估相应风险点的控制水平。即哪些是不足的？哪些是没有涵盖的？不足的或未涵盖的风险， 平安是否能接受？若不 能接受， 应当如何对控制不足的部分进行强化？如何对尚未涵盖的部分进行控制？等等。最终把平安的风险控制在可接受的范围内。因此以风险为导向”实质在于“为管控风险而内控”，关注“控制有效性”，并通过梳理、提升现有

9、的控制活动，使内部控制与日常管理活 动紧密融合，让业务部门人员作“主角”， 内控管理部门作“导演”。以制度为基础 平安集团充分认识到现代企业的管理中，制度是核心和基础。过制度进行管理，最能体现效率，最能体现统一性和质量标准，因此制度建设是平安内控体系建设的一个重要内容。内控制度并非是现有业务部门日常管理制度的简单集合，也不是游离于现有业务管理制度之外的一套完全独立的制度体系，而是对现有业务管理制度补充、 善、整合的过程。制度在企业内部应该只有统一的一套，保持“唯 正确性”，这一点非常重要。平安现已建立并不断完善内控制度体系， 明确各层级的职责定位和工作目标，确定内控工作开展的程序循环。集团合规

10、部牵头完成平安内部控制评价管理办法和内部控制自 评手册，以期建立健全“以风险管控和内部控制评价为导向，以合规、风控等公司制度为核心和依据，以内部控制自评手册为工具和方 法”的内部控制制度体系。以流程为纽带 部分企业在进行风险评估时， 往往习惯于以部门为单位，殊不知因为一个完风险的产生和由此带来的结果往往是叠加的、跨部门的， 整业务流程的实现是多个部门之间协同工作、相互配合的结果。如果 仅从部门的角度看风险，往往看不清楚、看不全面，容易以偏概全，进而影响对风险的评级及相应内控点的识别。平安“以流程为纽带” 将内部控制落实于业务流程的全过程，以流程为脉络识别风险点，除了各部门间的壁垒和脱节，避免出

11、现真空地带，增强了流程的衔接性，也更易于从整体的视角把握企业的风险点。平安在内控评价过程中，涵盖了绝大部分法人专业子公司及其关键业务流程。以内控系统为抓手内部控制体系应当以 IT 系统的建立及完善为基础。 比如内控自我评估，整个过程牵涉面很广，基本涉及平安所有的业务部门和人员，涉及的数据资料信息量非常大，评估流程管理也很繁杂，若在常态管理中采用手工方式进行， 则难度更大。因此平安就有一个非常明确的认识，即需要有系统的支持。对于系统，其基本设想是：其一，要有个自动工作流的驱动， 也就是说每个业务部门的每个业务人员都需要明确自己的角色定位和工作内容， 而这些应当通过系统来实现。 同时涉及相应的内控

12、节点，该节点的负责人一定要做出反应（采取相应的内控动作，如审批 ），若在规定的时间内没有响应，则系统将会触发邮件提醒。其二，要有一个自动的报表管理功能，既能对内控自我评估过程中的成果进行分门别类的存放， 并能按监管要求提供相应的报表。同时亦能定期给高级管理层发送相应的内控报表，报表内容可以包括部门内控管理的实施情况 （哪个部门开展了什么工作，还有哪些工作没有开展 ），进而可作为内控管理工作得以有效推动的基础工具。目前平安集团已经建立了内部控制评价管理电子平台（RiskIntegrator ，简称“ RI 系统” ），该系统主要包括内部控制的管理 模块（ICM）、风险自评模块（RCSA、关键风险

13、指标模块（KRI）损失事件管理模块（LEM）,从内部控制角度对系统分级，明确各层级业务部门、合规部门、 稽核部门在系统中的角色定位。 今后还将把企业的风险管理、内部控制、合规管理功能在系统平台上进一步整合。平安集团在如何把上述的风险和内控管理的整体理念、体系建设和具体的操作步骤逐步固化在系统中做出了初步的尝试。通过逐步建立和完善一个符合国际最佳实践的内部控制评价管理电子平台，运用先进工具和技术支持公司业务发展战略和业务增长模式。该平台的内部控制管理（ICM）和风险自评（RCSA模块目前已经可以协助公司识别、分析、评估、应对、报告各项风险，并与内部控制相关联，支撑内控自我评估在平台上的运行。此外

14、， 信息系统平台还支持平台进一步建立关键风险指标（KRI）量化信息和预警体系，及时发出对重大风险的预口号；并且利用损失事件管理（LEM）加强对历史重大损失事件和数据的收集和管理，提升公司预测尚未发生事件之潜在风险的能力。全员参与、分级实施、逐级汇总内控项目在开展初期采取“全员参与、 分级实施、逐级汇总”的方式，总体安排分为设计阶段 （确定项目范围和风险评估 ）、计划阶段（试点，确定内控自评方法、工具、模板，搭建内控管理电子平台 推广阶段 （全面推广 ）阶段。目前，平安已经把这些动作纳入了日常常）、态管理的模式。项目历时将近 3 年，涉及平安集团保险、银行、投资各板块多家法人公司及其关键业务流程

15、，超过 3000 名平安员工直接参与了本项目的开展， 接受了咨询公司关于内控方法论的培训。通过本项目的开展，内控自我评价工作已纳入各公司、各部门的日常工作范围，并设 计相应机制促进内部控制活动基于内外部环境的变化而及时进行相 应的调整。项目成果平安致力于搭建并不断完善风险管理与合规内控的统一体系，理核心业务流程，诊断风险内控缺陷并整改。而在关键风险领域，同 时有针对性地进行专项应对和深入研究， 实现风险管理与内部控制的 有效衔接和融合。 项目完成了与实现控制目标相关的内外部风险的识 别和评估， 从定量角度确定了范围内的各业务流程、 机构的固有风险 和剩余风险水平，为管理层权衡风险与收益，确定风

16、险应对策略奠定 了实实在在的基础。回顾项目成果，基本可以用“四个一”来概括：建立了一个体系 平安现已基本建立并不断完善合规内控管理体系， 通过体系的力量推进风险和内控合规“ PDCA'管理闭循环，使平安内控管理中心各部门目标统一、高效配合， 同时也促进了风险管控三道防线之间的联 动与有效运作。导入了一套标准 通过内部控制操作标准和相应测试标准的建立， 加强了内控评价工作的可操作性， 并且促进了公司各业务单元之间的横向比较和内部 对标学习。完善了一批流程 通过内控评审完善了原有的流程与制度， 通过与国内外行业最佳实践的对比，从提高经营效率效果角度完善了多项内控流程，以缓释 潜在风险，并加

17、以追踪落实和明确各自的部门责任。培养了一批人才 通过共同参与项目， 培养了平安自己的风险管理和内控的一批人才，这些人将作为平安自己的“火种”，确保了在咨询公司离开后，平安仍然可以进一步把业已建立的风险内控管理体系长久运作。总之，通过内控项目实施，明确业务、内控各部门在内控自评中的职责、工作模式，同时将内部控制和合规管理进行整合，并且与风 险管理职能 （定量部分 ）和稽核监察职能进行整合，促进内控各部门更加紧密协调，以进一步完善“事前/事中 /事后”三位一体的风险管理体系及内控架构， 打造综合内控管理体系及运作平台。 通过这个平台， 踪；同时，分解、落实内控职责，充分调动业务部门参与内控管理， 梳理重要风险事项，以及持续开展内控自评和改进追踪。实现对集团及各子公司整体的风险状