保险公司内部风险管理
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇保险公司内部风险管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
保险公司内部风险管理范文第1篇
[关键词]保险公司 风险管理 内部控制
中图分类号:TP308 文献标识码:A 文章编号:1009-914X(2016)24-0063-01
风险管理与内部控制对一个企业来说影响重大,目前多数保险公司一直沿用传统的粗放式发展方式, 并不重视风险管理与内部控制,以致于公司要面临巨大的风险。风险管理可以保证公司自身的经营发展,对于危害公司效益的情形给予有效的管控,维护企业、市场的稳定;内部控制是保险公司对公司风险的有效控制。加强保险公司的风险管理与内部控制是目前保险公司的巨大任务。
一、 保险公司风险管理与内部控制
1. 保险公司风险管理
风险管理指的是为保证公司的安全运营,为提高公司效益而采取的措施,风险管理通过对风险的识别、风险估计、风险评价,并优化各种风险管理技术,将风险减至最低的管理过程。可以有效地对各种风险进行管理,便于企业做出正确的决策,有助于保护企业资金的安全,以最小的成本获得最大的安全保障,公司的风险管理架构如图1。而保险业是经营风险的行业,它的产品和服务本身就是社会和经济生活中可能发生的 各种物质和利益损失风险,针对保险公司这种经营特点,在风险管理上应该着重识别和评估经营中会出现的风险,包括保险风险、市场风险、信用风险和操作风险等。
2.保险公司内部控制
内部控制是指企业为了实现其经营目标,增加资产的安全性,确保经营方针的落实,保证经营活动的经济性、效率性,而实施的的一系列方法、手段及措施的总称,公司内部管理架构如图2。对保险公司实施内部控制具体是指公司内部人员及相关机构对公司运行进行把控,避免公司经营目标的偏离,对可能遇到的风险进行防范与控制,从而保证保险公司经营目标的实现。
3.二者之间的联系与区别
风险管理与内部控制有联系,从目标上来看,二者都是为实现公司经营管理目标,而通过实施一定程度的措施对公司进行的控制,以降低公司面临的风险。对于保险公司来说内部控制强化风险控制的重要方法,并且风险管理渗透于内部控制五大要素中,为实现内部控制目标指明了方向。
保险公司承担的风险既有外部市场因素又有内部因素,保险公司的内部控制是通过一定方法对公司内部管理过程中出现的各种风险的控制,可是保险公司承担的外部风险具有不确定性,既有可预知的又有不可抗力的,如国内外的经济政策形势、市场等方面,保险公司对这些不可抗因素是缺乏办法的,所以保险公司不能只着手于内部控制,还应建立风险管理体系,从而实现全面的风险管理。
二、 保险公司实施风险管理与内部控制所面临的问题
1.内部控制环境方面的问题
随着保险业的蓬勃发展,使得保险公司在各地都有分公司,可是由于公司过多,在管理方面,上级公司对下级公司的管控较弱,一些公司管理机制不能落到实处,内部控制不能在实际经营管理上发挥作用,内部的控制环节薄弱。
各级公司领导层的人员对内部控制意识不足,公司运行中并没有专人执行内部控制,公司内部控制管理制度并不完善,公司管理层人员过于注重业绩,对于内部控制没有足够的认识,使得内部控制工作没有起到作用。
2.控制活动方面的问题
公司岗位职责不清。在公司内部控制中,各岗位分工不明确,无法起到监督、牵制的作用,责任无法落实;内部稽核部门不能发挥应有的作用。保险公司都缺少专门的内部控制部门,在风险管理过程中,由各管理部门自行管理,监察往往不到位,不能起到稽核部门的作用。
三、 加强保险公司风险管理与内部控制的策略
1. 优化内部控制环境
对于内部控制环境进行优化可实行以下几项措施:第一,完善公司内部结构,明确董事会及监事会的职责,使其职能有效发挥作用。第二,加强对各部门各岗位的互相监督。可以对各部门人员进行合理的安排,对人员需求大的部门增加工作人员,对于人员需求量少,并不是很繁忙的部门减少人员,并加强对各部门间的相互监督相互制约。第三,完善内部招聘、培训、考评制度,将内部控制深入到每一位员工心中。公司可以采取多种形式进行组织学习,如个人演讲、座谈会等。
2.健全风险管理机制
在公司日常经营管理中,要将风险管理融入到各环节中,加强对风险管理的控制。首先建立风险预警机制,找出影响公司的内外部因素,然后对风险进行评估,对公司内部控制的风险也进行评估,并且根据评估结果,对于风险采取一定的措施,最后,持续观察采取措施对风险管理的效果,并时刻注意新风险的出现。
3.有效开展控制活动
在保险公司内部应该确立明确的岗位职责制度,并且要重点监控对公司运营影响较大的风险,降低风险为公司造成的损失;在公司业务控制上,包括产品的开发、产品销售、核保核赔、咨询投诉等业务上职责要明确,对其中关键环节进行有效的控制,保证公司的健康运营。在公司财务控制上,要保证会计信息的真实有效性,与其他岗位要做到互相牵制。在资金控制上,要建立相应的管理制度,加强对风险的管控,保证资金的安全。
4.完善信息沟通机制
保险公司需要建立完善的信息沟通机制,不仅利于信息资源的共享,还能提升公司经营管理的透明度。
5.加强内部监督
保险公司应该重视审计部门,因为这是加强内部管理的强有力手段。具体实施如下:首先在董事会下面设置审计委员会,然后在各分公司设立各级审计部门,对公司进行监督。审计部门审查内容包括公司的日常活动、财务信息、内部控制情况等,其中重点审查保费收入、保险理赔、保险资金运作这几方面,从而更好的对公司进行控制。
结论
保险公司在经营运行过程中,存在着来自各方面的风险,只有加强风险管理与内部控制,才能更好地实现其经营目标。随着保险行业的发展,还会不断出现新的问题,需要我们不断的对其完善,以来保证企业的稳健发展。
参考文献
[1] 晋晓琴.全面提升我国保险公司的内部控制水平― ―解读《保险公司内部控制基本准则》[J].商业会计,2011(02).
[2] 徐文魁,李作家.新华保险公司内部控制存在的问题及成因[J].经济研 究导刊,2011(08).
[3] 王海兵,柴家宝 . 基于新常态的企业内部控制文化构建研究 [J]. 中国内部审计,2016(01).
保险公司内部风险管理范文第2篇
关键词:企业风险管理框架;风险管理文化;风险管理制度
据瑞士Sigma统计,从1978—1994年16年间,世界上有 648家保险公司破产,尤其是1996—2001年,保险业高度发达的日本连续7家生命保险公司破产。在我国,标准普尔在《中国保险业信用前瞻2006—2007》中对我国保险业风险的评价是:无论寿险还是非寿险的行业风险依然较高。这给我国保险业敲响了警钟:保险公司在经营风险产品的同时,必须加强自身的风险管理。美国反舞弊财务报告委员会的发起组织委员会(COSO)的企业风险管理框架提出的全新的风险管理理念和技术对于我国保险企业的风险管理具有极大的理论和实践意义。
一、保险企业实施全面风险管理的必要性和重要性
保险公司的风险管理是一个永恒的话题,保险公司围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立全面风险管理体系,可以起到防范和化解风险、保护资产的安全与完整、保证经营活动合法合规和企业经营战略有效实施等重要作用,因此,是否实施全面的风险管理是衡量保险企业经营管理水平高低的重要标志。
(一)保险国际化的趋势日益明显
在经济全球化的大背景下,保险国际化的趋势日益明显,一方面表现为客户保险需求的全球化,跨国公司基于其全球经营业务在世界范围内安排其风险管理与保险计划;另一方面表现为保险人通过国际间的保险资本运作、对冲机制、战略联盟等多种形式,满足巨灾保险、金融风险管理等迅速增长的需求,在国际范围内寻求新的生存和发展空间。20世纪60年代出现的真正意义下的自保公司,70年代由荷兰人首创并迅速风靡全球的银行保险,80年代人寿保险业出现的以万能寿险和变额寿险为代表的产品创新,90年代出现的保险风险证券化以及大量新型风险转移工具,特别是近年来,处于前锋地位的保险人、保险经纪人、政府保险机构及民间保险组织,如安联保险等,已经在综合风险管理(Integrate Risk Management)、非传统风险转移工具(Alternative Risk Transfers)等新型保险产品和技术等方面进行了大量的创新,保险保障的范围已经大大突破了传统意义上的可保风险范畴,从而预示着未来保险业的革命性变化。
(二)保险资金面临的投资风险越来越大
随着金融市场的创新与融合,保险资金运用渠道的逐步拓宽,可投资品种逐步增加,从普通的债券投资发展到权益类投资、从国内市场拓展到境外市场,保险资金特别是寿险业资金面对的各种风险也越来越复杂。例如,寿险保单存续期一般都长达20至30年,相应的在资金运用中要考虑20-30年存续期的投资与之相匹配。投资于固定收益资产的寿险资金,对利率的变动非常敏感,市场利率的微小波动会导致资产价值的较大变动。据统计,到2006年8月,债券已经成为保险资产配置的最主要工具,投资规模已经达到8777亿元,其中,持有国债和金融债余额分别达到3 674亿元和 2 416亿元,债券资产占保险资产运用的比重由2001年的 28.4%上升到2006年的55.2%,保险公司持有的企业债、银行次级债、国债和金融债的余额分别占总余额的69.6%、45.5%、12.1%和11.6%。在央行上调利率、国债等债券收益率大幅下降的背景下,保险公司投资风险显然还在加大。投资效益低下直接影响到保险公司的偿付能力和经营的稳定性。据测算,1999年以前的保单会导致我国寿险业利差损每年增加约20亿元,到2004年底寿险业利差损总额超过 720亿元,占到行业总资产的9%左右,即便各寿险公司将全部业务盈余都用于弥补利差损,也需要10年的化解时间。而权益类投资,包括金融衍生物投资风险巨大,给许多公司带来几亿、以至几十亿金额的损失,如德国哥达保险公司、克罗尼亚保险公司、汉诺威再保险股份公司、伦敦巴林银行等。因此加强资金运用风险管理,提高风险管理水平对资金运用是非常重要的。
(三)全面风险管理成为现代保险企业管理的基础和核心
随着金融保险市场的日趋深化和扩大,各保险机构之间的竞争也从原来的规模扩张逐渐转变为内部管理、业务创新等方面的竞争,从而导致了保险企业的经营理念的深刻变化,使全面风险管理成为现代保险企业管理的基础和核心。从世界范围来看,风险管理正在从传统的“点对点”式的管理走向全面的、一体化的管理。国际上比较有名的内控和风险管理模式有英国的Cadbury、美国的COSO和加拿大的 COCO,特别是美国的COSO模式从理论到操作方法上阐述了一整套完整的全面企业风险管理框架。William J.Mc·Donoush所称,“内部控制将对投资者起到重要的保护作用,因为稳固的内部控制是抵御不当行为的头道防护线,是最为有效地威慑舞弊的防范措施”。2005年,保监会制定《寿险公司内部控制评价办法(试行)》。2006年,国资委制定了《中央企业全面风险管理指引》。这对于推动保险企业的全面风险管理的发展具有重要意义。
(四)我国保险业在风险管理方面存在许多不足之处
近几年来,国内保险业在快速发展的同时,在防范和化解经营风险和加强公司内部风险管理方面有了一些进展,但还是存在不少问题和不足,主要表现在三个方面:一是对全面风险管理的认识不到位,存在着严重的“竖井效应”。二是没有建立完整的风险管理框架。大多数保险公司的风险管理没有贯彻到公司的各项业务过程和各个操作环节,许多关键控制点形成所谓的控制盲点,还没有形成一个有效的多维、多视角、跨时点的风险监控体系。三是风险管理效果不尽如人意,出现了许多违纪违法的现象。因此,只有从我国保险公司的实际出发,引进、消化和吸收国际上先进的企业风险管理模式和风险管理技术,特别是应该使CO— SO框架成为保险公司完善公司内部控制的标准,构建全面风险管理体系,缩小我们在风险管理方面与国际上的差距,才能够增强保险业抵御风险的能力,使保险业稳定健康发展。
二、COSO企业风险管理框架的内涵
保险公司内部风险管理范文第3篇
关键词:财产保险公司;内部控制建设;问题;对策
一、我国财产保险公司内部控制中存在的问题
(一)内部控制制度不完善
保险公司员工对内部控制建设认识模糊,部分公司的内部控制制度复杂没有条理,将公司制度与内控制度混为一谈,无法根据公司的全面信息制定完善的内控制度[1]。比如,X财产保险公司在车险理赔环节的设置中,为了吸引客户,提升理赔效率,可以将出险车辆直接送到4s店等机构进行修理,再与财产保险公司进行定期结账。虽然这种理赔流程对于客户来说更便捷,但是保险公司内部却没有针对这个流程设置相应的内控制度,导致在赔偿款方面容易出现错赔、重复赔的情况。
(二)对内部控制体系的重视度不足
部分财产保险公司对内部控制体系建设的重视度不足,虽然建立了相应的内部控制制度,但是完全是为了满足监管部门的要求。财产保险公司将更多的精力放在经营目标的建设中,忽视财务报告的可靠性分析,导致公司的内部控制制度无法充分发挥作用。同时从财产保险公司的执行方面来看也存在很多的问题,导致内部控制制度流于形式,无法发挥应有的作用。同时部分保险公司习惯于粗放的发展方式,以X财产保险公司为例,在内部控制中注重对保费规模、市场份额的管理,却忽视企业内部的控制工作,甚至为了实现提升市场份额的目的,在公司内部进行违规操作。这些问题都反映出财产保险企业缺乏风险意识,过于注重经济效益,导致内部控制工作建设不完善。
(三)缺乏风险管控控制活动
财产保险公司是高风险行业,不仅企业自身存在较强的经营风险,同时客户风险也会转移给保险公司。同时分支机构的现金流、定价以及内控等方面也都存在很多的风险。当前大部分保险公司在内控制度建设中都仅限于资产完整性的控制、查错防弊等方面的问题,没有从企业战略目标方面对内部控制制度进行建设[2]。同时在内部控制工作中没有对可能存在的风险进行准确的预测并进行防范,也未构建完善的风险防控体系。同时风险防范能力以及鉴别能力等都比较弱,无法从公司的战略高度进行分析、识别和评估。粗放式的管理方式导致风险的预防和控制水平较低,存在较大的隐患。
(四)内部控制监督力不强
财产保险内部控制体系需要是一个动态平衡的过程,随着企业的发展不断的进行调整、改变评价方式等,使得内部控制体系更完善,从而更好的满足内控目标。从我国财产保险公司的内部控制情况来看,虽然建立了内控评价机制和监控体系,提升内部控制监督力度,但是由于监督部门缺乏独立性,工作人员素质参差不齐等,导致内部控制工作的监督工作落实不完善,导致在实际的内部控制工作中效果不明显。
二、财产保险公司财务内部控制制度的完善对策
(一)建设健全的保险公司内部控制制度
我国相关监管部门对公司的内部控制制度理论仅提供了一定的设计思路和方法,因此企业在内部控制建设中还需要结合公司的实际情况和实践制定更科学的内部控制体系。虽然在《保险公司内部控制基本准则》中对保险公司的内部控制进行大体的规定,但是主要针对的是公司的共性问题,而不同公司的规模、业务结构等都不同,所以财产保险公司需要以相关规定为基础,结合公司自身的业务和性质特点设计科学的、个性化的内部控制体系,使其更符合公司的发展要求[3]。比如,X财产保险公司在个性化内部控制体系的设计、执行以及评价过程中都将员工作为主体。员工是控制制度执行者,也是决定内部控制工作执行效果关键因素,通过人性化控制制度系统的建设,提升员工参与内部控制工作的积极性和内部控制效果。
(二)加强内部控制的重视,健全激励机制
财产保险公司作为高风险的产业组织必须要加强对内部控制制度建设的重视,认识到它对企业发展的重要作用。随着信息技术的发展。财产保险公司在内部控制工作中需要加强对信息系统的应用,使得财务工作人员能够从繁忙的人工操作中解脱出来,而且计算机的操作效率更高,有效预防徇私舞弊情况的发生。现代信息系统不仅是企业经营活动的技术保障,同时也是企业在内控工作中有效连接各部门和组织的桥梁,实现信息的共享,及时发现各部门的需求和发展中的不足,并进行整改和完善,更好的适应当前的企业发展形势。此外,建设与企业发展相符的激励制度。为员工提供培训和学习的机会,提升员工的综合能力和素养,适应当前的企业发展环境。并针对内控工作的开展设置激励机制,对于能够积极参与内控工作,并取得良好工作效果的员工给予精神和物质上的鼓励,对于在内部控制工作中表现不良,敷衍了事或者造成重大经济损失的员工给予一定的处罚。
(三)建设风险管控内部控制程序
财产保险公司的风险比较集中,因此风险管理是公司内部控制中的重要组成部分。财产保险公司在内部控制制度中需要基于风险为核心的角度,建设人性化的风险控制对策,保证公司内部控制制度的科学性和合理性,有效预防公司风险,促进公司的健康发展。财产保险公司需要从精细度的角度出发,采用科学的风险判断方式,对风险进行定量和定性的评估,并建立相应的评估模型,对公司中的准备金风险、定价风险以及灾难风险等进行全面、综合评估。同时在风险评估过程中还需要结合当前的内外部环境,建设动态风险预警机制。对于能够量化的财务指标需要设计定量指标,无法量化的指标则需要采用定量和定性结合的方式。我国财务保险公司在预警指标制定中主要是通过保监会的偿付能力进行监管。同时做好事前、事中的风险分析,做好对市场风险的控制。从财务保险企业来看,必须要做好风险管理工作。财务保险公司的风险本身存在传递效应,如果操作不当,极容易使风险管理的效果受到影响。因此X财产保险公司通过加强员工的风险管理学习方式,提升全体员工的风险意识和控制水平。同时通过个性化的控制方式,加强对员工学习积极性和主动性调动,提升公司的风险管理控制效率。
(四)加强内部控制监督
财产保险公司内外部的环境都是动态变化的,同时内部的经营理念和方式也不断的更新,内部控制体系作为公司管理的基础体系也必须要随时更新和完善。但是由于公司内部审计人员的工作时间、能力以及成本等方面的问题,导致审计监督工作的执行不完善。因此在财产保险公司的内部控制监督中需要通过人性化的管理促进全体员工的参与,并做好对各部门以及各流程的评价。同时由管理层对基层员工进行评价,保证内部控制系统的完善性,做好监督工作。
保险公司内部风险管理范文第4篇
关键词: 企业风险管理框架;风险管理文化;风险管理制度
据瑞士Sigma统计,从1978—1994年16年间,世界上有 648家保险公司破产,尤其是1996—2001年,保险业高度发达的日本连续7家生命保险公司破产。在我国,标准普尔在《中国保险业信用前瞻2006—2007》中对我国保险业风险的评价是:无论寿险还是非寿险的行业风险依然较高。这给我国保险业敲响了警钟:保险公司在经营风险产品的同时,必须加强自身的风险管理。美国反舞弊财务报告委员会的发起组织委员会(COSO)的企业风险管理框架提出的全新的风险管理理念和技术对于我国保险企业的风险管理具有极大的理论和实践意义。
一、保险企业实施全面风险管理的必要性和重要性
保险公司的风险管理是一个永恒的话题,保险公司围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立全面风险管理体系,可以起到防范和化解风险、保护资产的安全与完整、保证经营活动合法合规和企业经营战略有效实施等重要作用,因此,是否实施全面的风险管理是衡量保险企业经营管理水平高低的重要标志。
(一)保险国际化的趋势日益明显
在经济全球化的大背景下,保险国际化的趋势日益明显,一方面表现为客户保险需求的全球化,跨国公司基于其全球经营业务在世界范围内安排其风险管理与保险计划;另一方面表现为保险人通过国际间的保险资本运作、对冲机制、战略联盟等多种形式,满足巨灾保险、金融风险管理等迅速增长的需求,在国际范围内寻求新的生存和发展空间。20世纪60年代出现的真正意义下的自保公司,70年代由荷兰人首创并迅速风靡全球的银行保险,80年代人寿保险业出现的以万能寿险和变额寿险为代表的产品创新,90年代出现的保险风险证券化以及大量新型风险转移工具,特别是近年来,处于前锋地位的保险人、保险经纪人、政府保险机构及民间保险组织,如安联保险等,已经在综合风险管理(Integrate Risk Management)、非传统风险转移工具(Alternative Risk Transfers)等新型保险产品和技术等方面进行了大量的创新,保险保障的范围已经大大突破了传统意义上的可保风险范畴,从而预示着未来保险业的革命性变化。
(二)保险资金面临的投资风险越来越大
随着金融市场的创新与融合,保险资金运用渠道的逐步拓宽,可投资品种逐步增加,从普通的债券投资发展到权益类投资、从国内市场拓展到境外市场,保险资金特别是寿险业资金面对的各种风险也越来越复杂。例如,寿险保单存续期一般都长达20至30年,相应的在资金运用中要考虑20-30年存续期的投资与之相匹配。投资于固定收益资产的寿险资金,对利率的变动非常敏感,市场利率的微小波动会导致资产价值的较大变动。据统计,到2006年8月,债券已经成为保险资产配置的最主要工具,投资规模已经达到8777亿元,其中,持有国债和金融债余额分别达到3 674亿元和 2 416亿元,债券资产占保险资产运用的比重由2001年的 28.4%上升到2006年的55.2%,保险公司持有的企业债、银行次级债、国债和金融债的余额分别占总余额的69.6%、45.5%、12.1%和11.6%。在央行上调利率、国债等债券收益率大幅下降的背景下,保险公司投资风险显然还在加大。投资效益低下直接影响到保险公司的偿付能力和经营的稳定性。据测算,1999年以前的保单会导致我国寿险业利差损每年增加约20亿元,到2004年底寿险业利差损总额超过 720亿元,占到行业总资产的9%左右,即便各寿险公司将全部业务盈余都用于弥补利差损,也需要10年的化解时间。而权益类投资,包括金融衍生物投资风险巨大,给许多公司带来几亿、以至几十亿金额的损失,如德国哥达保险公司、克罗尼亚保险公司、汉诺威再保险股份公司、伦敦巴林银行等。因此加强资金运用风险管理,提高风险管理水平对资金运用是非常重要的。
(三)全面风险管理成为现代保险企业管理的基础和核心
随着金融保险市场的日趋深化和扩大,各保险机构之间的竞争也从原来的规模扩张逐渐转变为内部管理、业务创新等方面的竞争,从而导致了保险企业的经营理念的深刻变化,使全面风险管理成为现代保险企业管理的基础和核心。从世界范围来看,风险管理正在从传统的“点对点”式的管理走向全面的、一体化的管理。国际上比较有名的内控和风险管理模式有英国的Cadbury、美国的COSO和加拿大的 COCO,特别是美国的COSO模式从理论到操作方法上阐述了一整套完整的全面企业风险管理框架。William J.Mc·Donoush所称,“内部控制将对投资者起到重要的保护作用,因为稳固的内部控制是抵御不当行为的头道防护线,是最为有效地威慑舞弊的防范措施”。2005年,保监会制定《寿险公司内部控制评价办法(试行)》。2006年,国资委制定了《中央企业全面风险管理指引》。这对于推动保险企业的全面风险管理的发展具有重要意义。
(四)我国保险业在风险管理方面存在许多不足之处
近几年来,国内保险业在快速发展的同时,在防范和化解经营风险和加强公司内部风险管理方面有了一些进展,但还是存在不少问题和不足,主要表现在三个方面:一是对全面风险管理的认识不到位,存在着严重的“竖井效应”。二是没有建立完整的风险管理框架。大多数保险公司的风险管理没有贯彻到公司的各项业务过程和各个操作环节,许多关键控制点形成所谓的控制盲点,还没有形成一个有效的多维、多视角、跨时点的风险监控体系。三是风险管理效果不尽如人意,出现了许多违纪违法的现象。因此,只有从我国保险公司的实际出发,引进、消化和吸收国际上先进的企业风险管理模式和风险管理技术,特别是应该使CO— SO框架成为保险公司完善公司内部控制的标准,构建全面风险管理体系,缩小我们在风险管理方面与国际上的差距,才能够增强保险业抵御风险的能力,使保险业稳定健康发展。
二、COSO企业风险管理框架的内涵
保险公司内部风险管理范文第5篇
【关键词】保险公司;内部控制;信息披露
一、引言
保险业是经营风险的行业,不仅具有高风险的特点,而且其经营具有广泛的社会性,与社会公众利益密切相关,同时作为现代金融业的三大支柱之一,对资本市场也影响巨大,因此政府对其监管较一般行业更为严格,管理部门对上市保险公司的内部控制尤为关注,在内控信息披露方面提出高于一般上市公司的特殊要求。
对于保险业来说,内控信息披露不仅可以解决市场信息不对称的问题,同时可以保障投保人、被保险人和受益人的合法权益,进一步完善保险公司治理结构、提高保险市场效率。保险公司内部控制信息披露的制度要求,最早源于证监会2000年颁布的《公开发行证券公司信息披露编报规则(第3号保险公司招股说明书内容与格式特别规定)》,要求保险公司在招股说明书中对内控制度的完整性、合理性和有效性作出了说明,并委托会计师事务所出具内控评价报告。这之后不同的监管部门陆续出台针对企业年度内部控制信息披露的制度要求,最重要的是财政部等五部委2008年颁布的《企业内部控制基本规范》及2010年颁布的《企业内部控制配套指引》。至此我国企业内控规范体系基本建成,该体系于2011年1月1日起首先在境内外同时上市的公司施行,2012年1月1日起扩大到在沪深两市主板上市公司施行。经过这些年的内控信息披露制度建设,我国上市公司执行制度的情况到底如何,值得我们好好的总结与剖析。金融保险行业的内控建设及内控信息披露往往走在前列,中国平安作为在A股上市的保险公司中最早披露内控自我评估报告的公司,具有代表意义。文章选择其进行个案剖析,以期在一定程度上反映企业内控信息披露的状况,为更广泛地实施企业内控规范体系提供一定的借鉴。
二、制度梳理
有关内部控制信息披露的相关制度较多,这些规定有些是不同的部门颁布的,有些是同一个部门颁布的对旧有规定的补充解释;对于同一个企业来说,可能既适用于这个部门颁布的规定,又适用于那个部门颁布的规定。而不同部分颁布的规范,对同一个问题的要求往往又不统一。因此要分析企业对具体内控规范的执行情况,必须对相关制度做梳理,表1即作者对保险公司需要遵循的内部控制信息披露制度的整理。
通过上述制度的梳理,我们可以总结出上市公司内控信息的披露主要来自于年报中的以下部分内容:(一)年报中监事会就内控发表独立意见;(二)2006年年报中“重要事项”部分对公司内控建立健全情况的说明;(三)年报中“公司治理结构”章节的“内部控制制度的建立与健全情况”部分;(四)内控自我评估(评价)报告(以下简称“内控报告”)及审核(审计)报告,该报告最初做为年报的附件一起报送披露,2011年起上交所要求单独披露。
三、中国平安历年内控信息披露情况
中国平安是我国的第一家股份制保险企业,2004年在香港上市,2007年回归A股市场,在上海证券交易所上市。该公司从2006年起披露A股年报,因此文章选取其2006年至2011年披露的年度内部控制信息进行分析。
1.从2006年年报起,监事会就内控发表独立意见。中国平安每年的表述基本一样:公司制定了较为完整、合理、有效的内部控制制度。
2.2006年,在年报“重要事项”部分说明公司内部控制及制度建设情况,主要内容有:公司对内控建设的基本评价;公司在合规管理、稽核监察、制度建设三方面的工作情况。
3.从2007年年报起,在“公司治理”部分新增“内部控制制度的建立与健全情况”内容。2007年该部分内容与内控自我评估报告中的前言部分表述一样,说明公司当年内控架构改革取得的成效;2008年、2009年该部分内容丰满起来,两年的内容、结构基本一致,层次清楚地说明了公司内部控制的目标、内控责任主体及内控组织架构及其变革、当年公司内控建设的主要工作及内控自我评价结论;2010年与2011年该部分内容、结构两年基本一致,主要说明了公司内控的基本体系、当年内控建设的主要工作及内控自我评价结论。
4.内控报告及审核报告。
从2007年起,作为年报的附件披露内部控制自我评估报告与会计师事务所出具的内部控制审核报告;2010年,“内控自我评估报告”更名为“内部控制评价报告”,并从此后以单独报告的形式披露;2011年,“内控审核报告”更名为“内部控制审计报告”。
中国平安是最早内控报告的保险公司,其五年的内控报告在内容形式上有较大变化。2007年报告的内容,基本遵照《上海证券交易所上市公司内部控制指引》的要求,主要为四部分:(一)公司内控基本情况;(二)内控检查监督工作的情况及对2007年工作计划完成情况的评价;(三)内控制度及其实施过程中出现的重大风险及其处理情况;(四)完善内控制度的措施及2008年内控工作计划。2008年报告的内容,基本遵照《保险公司内部审计指引》的要求,主要为五部分:(一)公司内控基本情况;(二)本年度内控检查监督完成情况及评价;(三)本年度完善内控的措施(四)目前内控存在的问题和缺陷;(五)下年度改进内控的计划。这两年的内控评估报告,均详细地披露了公司内部控制五要素情况、公司内控存在的问题及下一年度的内控工作计划,因此内容冗长,算上附件达到二、三十页的长度。从2009年起,内控自我评估报告的格式与内容发生较大变化,内容大大简化,不再对内控的五要素进行详细披露,不再公布下一年度的内控工作计划,也没有披露非重大缺陷;2010年与2011年的报告内控与格式,基本遵照《上市公司实施企业内部控制规范体系监管问题解答》中的参考格式。但其2011年的内控报告并没有遵照上交所的要求提供公司内控相关情况的附件。表2是对中国平安历年内控报告具体内容的比较。
归纳表2,中国平安内控报告披露项目具体内容的变化主要体现在以下四个方面:
(1)内控责任主体。2007年未披露内控责任主体;2008与2009年责任主体认定为“董事会及管理层”;2010年起调整为“董事会。”内部控制由谁负责,关系到内部控制能否发挥实效。内控责任主体,在美国是公司高级管理层,在英国则是董事会。我国的《企业内部控制基本规范》及其的后的配套指引,都没有明确说明企业内部控制的责任主体。财政部与证监会对我国境内外同时上市公司2011年执行企业内控规范体系情况进行分析,统计有96%的公司认定责任主体为董事会,1%认定为董事会及管理层,而还有3%未明确。这个数据说明,在我国认为董事会是内控责任主体逐渐成为主流观点。另一方面也说明我国制度亟需对其作出统一规定。
(2)内控目标。2007年内控报告没有明确说明企业的内控目标;2008年与2009年内控报告披露的内控目标为“合理保证企业经营管理合法合规、维护资产安全、保证财务报告及相关信息真实完整、提高经营效率效果、促进企业实现发展战略”,即《企业内部控制基本规范》中确定的内部控制五目标;2010年起调整为以财务报告相关内部控制目标作为公司内部控制目标,表述为“财务报告相关内部控制的目标是保证财务报告信息真实完整和可靠、防范重大错报风险”。这种变化实际体现的是内部控制评价的内容范围之争:是针对财务报告可靠性的内部控制报告还是完整的内部控制报告?财务报告内部控制相当于COSO报告中内部控制概念的子集。在美国,内部控制评价和报告局限于财务报告内部控制;在英国,董事会则需要对整个内部控制系统的有效性进行评价。而我国不同的部门对此做出了不同的选择,财政部在《企业内部控制规范体系实施中相关问题解释第1号》中,将其定位为完整的内部控制评价;而证监会在《上市公司实施企业内部控制规范体系监管问题解答》中,将其定位为财务报告内部控制评价。这种制度的不统一使得企业可以选择性的执行规范,导致信息纵向、横向都会缺乏可比性。
(3)内控缺陷的披露。内控缺陷披露的内容应该包括内控缺陷认定标准、内控缺陷具体内容、对企业的影响及其整改措施。公司没有披露过内控缺陷的认定标准;2007年与2008年的内控报告均披露四条具体的内控缺陷,并提出完善内控的措施;从2009年起,公司没有披露过具体缺陷内容,2009年表述为“未发现公司存在内部控制设计或执行方面尚未整改的重大缺陷”,2010年表述为“我公司在内部控制自我评价过程中关注到的非财务报告相关的内部控制缺陷情况均为控制类一般缺陷”,2011年的表述基本同2010年。公司2009年对内控缺陷的披露是一种消极的表述,而随后两年也并没有自愿披露内控一般缺陷的内容,内控缺陷相关信息是中国平安信息披露中最弱的部分,虽然这部分内容是投资者最为关注的信息。
(4)内控评价结果的表述。2007年的内控报告并没有对公司内控的有效性明确发表意见;2008年与2009年的表述基本一样,“自本年度1月1日起至本报告期末止,本公司内部控制制度是健全的、执行是有效的。”2010年起内控评价结果的表述发生变化:“董事会已按照《企业内部控制基本规范》要求对财务报告相关内部控制进行了评价,并认为其在12月31(基准日)有效。”这里涉及的是两个变化,一是随着内控评价内容范围由全面的内部控制缩小为财务报告的内部控制,其评价结论自然调整为对财务报告内部控制有效性的认定;二是内控评价时间范围的变化,由针对某一时期的内部控制调整为针对某一时点的内部控制评价。对于这个时间范围,不同的专家对此有不同的看法,但2010的《企业内部控制评价指引》对此作出了明确规定:企业应当以12月31日作为年度内部控制评价报告的基准日。
四、研究结论
(一)披露的内控信息较好地反映了中国平安不断发展完善的内控建设工作
一方面,体现在其内控组织架构的改革优化,风险管理理念的不断深入。仔细阅读分析中国平安历年披露的内部控制信息,可以看出公司的内控组织架构在不断改革优化,公司对内部控制的认识与理解在逐年提升,风险管理理念逐渐建立。2007年公司开始内控架构改革,设立内部控制管理中心,作为集团统一的内控管理机构。同时改革稽核监察架构,建立稽核垂直管理体制。当年其内控自我评估报告提到四方面的内控重大风险,其中一点就是:“公司现有内控制度、流程的制定,均以符合外部法律法规和监管部门要求为基础,未充分考虑制度、流程的设计及其实施的效率。内控体系建设应在合规的前提下提倡提高经营效率、促效益、促发展”。可见合规管理是公司当时主要内控目标。2008公司新设风险管理部,实现对风险的事中管控,着手构建合规、风险管理、法律、稽核监察及业务单位的风险信息沟通与反馈机制,建立风险预警系统,风险管理理念显现。2009年公司推动全面风险管理体系的建设,推进机构风险评级和管理层评价工作,建设风险导向的内部控制体系。2010年公司审计委员会更名为“审计与风险管理委员会”,整合升级内控体系,提出“以制度为基础,以风险为导向,以流程为纽带,以内控平台系统为抓手”的思路,强化事前风险管控,搭建集团层面全面检视评估、并表量化管理的风险报告体系,推进风险导向稽核管理,强化了企业的风险管控。2011年公司风险管理委员会改名为“风险监控委员会”,公司建立起覆盖各专业公司及业务线的风险管理组织体系,稽核工作的重点转向对风险控制有效性及风险管控效果的评估。中国平安的风险管理理念更加明确与突出,体现了内部控制与风险管理的逐渐融合。
另一方面,体现在其内控评价体系的不断完善。2007年的内控报告在下一年度的内控工作计划部分提到,企业要建立全面自我评估机制,可以看作是其内控评价工作的开端;2008年的内控报告披露,公司推动实施《企业内部控制基本规范》遵循项目,确定了内控范围,制定了风险评估方法和标准,但尚未确定内控自评工作具体流程、使用的评估模型及穿行测试方法,内控自我评估体系待进一步完善;2009年的年报披露,公司确立了内控自我评估工作流程、方法和模板,形成流程图、控制矩阵、自评手册等;2010年的年报披露,公司构建了内控评价系统平台,确立基本的内控评价日常化运作机制,即合规部门推动业务部门进行内控自我评价,风险管理部门进行内控风险评估,稽核监察部门进行内控独立评价,外部审计师对公司内控状况进行审计。这些披露的信息较清晰地展现了中国平安内控评价体系的建立与发展过程。
(二)公司较好地执行了相关内控信息披露制度,但还存在制度执行不到位等问题
对照内部控制信息披露的相关制度,总体上来看,中国平安从2006年披露A股年报起,能够按照相关规范的要求披露企业内部控制的相关信息,制度执行较好。2007年4月保监会《保险公司内部审计指引(试行)》,要求保险公司内部审计部门应当每年对公司内部控制的健全性、合理性和有效性进行全面评估,出具内部控制评估报告,但只是报送保监会;2007年12月证监会《公开发行证券公司信息披露的内容与格式准则第2号(2007修订稿)》,鼓励央企控股的、金融类等上市公司披露经审计机构核实评价的内控报告;2008年上交所《关于做好上市公司2008年报工作的通知》中,要求金融类公司披露内控报告,鼓励其聘请审计机构对公司内部控制进行核实评价;企业内控规范体系于2011年1月1日起首先在境内外同时上市的公司施行。内控报告与内控审核报告是内控信息披露最重要的部分,中国平安于2007年按照上交所内控指引的内容开始自愿披露,一直延续,没有中断。
然而,进一步分析发现,中国平安在制度执行中存在两方面问题。一是制度执行不到位。2011年上交所规定:“公司应以附件的形式披露格式指引规定以外的公司内部控制的相关情况,包括但不限于实施内部控制评价的总体情况、所采用的程序和方法等(评价小组的组成,评价所采用的程序和所花费的时间,借助中介机构或外部专家的情况,工作底稿的编制,收集被评价单位内部控制设计和有效运行证据的方法,重大缺陷、重要缺陷和一般缺陷认定的标准等)”,但平安并没有附件随同内控报告披露,使得其2011年的内控报告信息含量严重不足。二是选择性执行制度。从表2-1可以看出,有关内控信息披露的制度频出,而且政出多门,不门监管部门对同一个问题的解释与操作存在不统一的情况,这就给予了公司选择执行成本较低、对公司有利的制度的可能。如2010年保监会颁布《保险公司内部控制基本准则》,是从行业的层面对企业内控基本规范的细化,准则要求保险公司根据监管部门的评价标准,对内部控制进行评分,根据评分确定评价等级。保监会对企业内控评价的量化要求,难度与成本都较内控评价指引高,公司2010年的内控报告选择性地执行企业内控评价指引,而并没有执行更具体行业特点的《保险公司内部控制基本准则》,当年只有中国太保是按保监会的要求披露内控报告的。又如2011年度内控报告,证监会与财政部有不同的要求,财政部要求提供的内控信息含量更为全面,更为投资者关注,但企业当年选择执行的是证监会的规定。
(三)内控信息质量尚待提升
1.有用信息不足。信息质量的高低,取决于对信息使用者的有用程度。从中国平安五年披露的内控报告来看,评估报告形式上是越来越规范了,但有用信息却并没有增加,甚至还有减少,信息使用者真正关心的问题不披露或披露较少,比如企业内控缺陷的认定标准。该标准是内控评价中的基础性和关键性问题,对于确定内控缺陷,进而对内控缺陷进行整改都有着非常重要的影响,2011年我国境内外同时上市的67家公司中只有32家公司详细描述了公司内控缺陷认定标准。在制度层面上,管理部门一方面应该制定更具操作性的内控缺陷认定标准,另一方面必须加强对企业信息披露的监管和处罚,促使企业提升信息质量。
2.信息披露不全面,披露的基本上是正面信息。对于信息使用者关注的内控缺陷,既没披露公司具体的认定标准,从2009年起也不再详细披露公司存在非重大内控缺陷及改进措施等。再如《保险公司内部控制基本准则》要求公司在评估报告中披露上一年度发生的违规行为和风险事件及其处理结果,但并没有一家公司披露过,当然这并不是因为它们没有违规行为。
3.信息冗余,无用信息过多。如年报中公司治理结构部分对公司内部控制制度的建立和健全情况的披露,表述空泛,类似工作总结,重点不突出,无用信息过多,可读性较差,妨碍了有效信息的传递。
参考文献
[1]财政部会计司、证监会会计部.我国境内外同时上市公司2011年执行企业内控规范体系情况分析报告——基于2011年内控评价报告、内控审计报告的分析[R].2012.
[2]杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,2008(3).
[3]胡燕,晓芳.论企业内部控制自我评价体系的构建[J].北京工商大学学报,2009(6).
[4]方红星,孙翯.交叉上市保险公司内部控制信息披露及其市场反应——基于中国人寿和中国平安的经验研究[J].财经问题研究,2009(8).
