风险、合规与内部控制

风险、合规与内部控制2前言2007年，中国保监会出台了《保险公司风险管理指引》要求保险公司应当明确风险管理目标，建立健全风险管理体系，规范风险管理流程；《保险公司合规管理指引》要求保险公司的经营管理活动要在符合法律法规、监管机构规定、行业自律规则以及公司内部管理制度等方面要实施专职管理，以预防和化解风险，每年要向保监会报送合规管理报告，这预示着监管部门对保险公司合规管理工作越来越重视；2008年6月28日，财政部等五部委联合印发了《企业内部控制基本规范》并于2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。财政部出台的《企业内部控制基本规范》为企业加强和规范内部控制、提高经营水平和风险防范能力提供了完整和公认的框架。3风险、合规、内控1合规要点及案例3合规风险控制4内部控制体系的组成24一、风险、合规、内控风险：是指对实现保险经营目标可能产生负面影响的不确定性因素。风险管理：是指保险公司围绕经营目标，对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。5一、风险、合规、内控合规:是指保险公司及其员工和营销员的保险经营管理行为应当符合法律法规、监管机构规定、行业自律规则、公司内部管理制度以及诚实守信的道德准则。合规风险：是指保险公司及其员工和营销员因不合规的保险经营管理行为引发法律责任、监管处罚、财务损失或者声誉损失的风险。合规管理：是保险公司通过设置合规管理部门或者合规岗位，制定和执行合规政策，开展合规监测和合规培训等措施，预防、识别、评估、报告和应对合规风险的行为。6一、风险、合规、内控内部控制：是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。控制方法：采取手工控制与自动控制相结合、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。7一、风险、合规、内控目标完善合规管理组织体系提高经营效率和效果资产安全财务报告及相关信息真实完整有效识别和化解合规风险合理保证经营管理合规保证公司运营安全促近企业实现发展战略《企业内部控制基本规范》《保险公司合规管理指引》建立健全规章制度提升公司价值覆盖所有业务流程和操作环节持续监控、定期评估和准确预警业务发展与风险管理平行推进保证风险管理的独立性和客观性《保险公司风险管理指引》实现适当风险水平下的效益最大化8一、风险、合规、内控原则全员参与原则全面性原则重要性原则制衡性原则独立性原则适应性原则适时性原则成本效益原则《企业内部控制基本规范》《保险公司合规管理指引》各司其职原则全面管理与重点监控相统一独立集中与分工协作相统一充分有效与成本控制相统一《保险公司风险管理指引》9一、风险、合规、内控要素内控环境风险评估控制活动信息与沟通风险对策监督风险评估控制活动内部控制信息与沟通内部环境目标设定事件识别风险管理监督10一、风险、合规、内控内部控制五要素内容内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性。发现内部控制缺陷，应当及时加以改进。11一、风险、合规、内控风险管理八要素内容内部环境内部环境包含主体的风险管理理念、风险容量、董事会的监督、人员的诚信、道德价值观和胜任能力、管理层的职责分工和权力分配等。目标设定是指设定公司的总目标，包括战略目标、经营目标、报告目标、合规目标等四大类。事件识别是指识别可能对公司的目标达成产生影响的潜在事项，包括代表风险的事项和代表机会的事项，以及可能二者兼有的事项。风险评估风险评估是指公司对已识别的风险进行分析，以便形成如何对其管理的依据。风险对策是指选择和确定应对风险的工具，包括规避、承担、降低和分担风险。控制活动控制活动是企业根据风险评估结果，采用相应的有效的控制措施，将风险控制在可承受度之内。信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性。发现内部控制缺陷，应当及时加以改进。12一、风险、合规、内控1、内部控制与全面风险管理的联系：（1）内部控制是全面风险管理的必要环节，内部控制的动力来自企业对风险的认识和管理。（2）全面风险管理涵盖了内部控制。2、内部控制与全面风险管理的差异：（1）两者的范畴不一致。（2）两者的活动不一致。（3）两者对风险的定义不一致。（4）两者对风险的对策不一致。公司发生的合规风险与内部控制缺陷有着必然的联系，而内控缺陷或风险事项不一定都是违规的。13一、风险、合规、内控风险管理市场风险保险风险信用风险操作风险战略风险合规风险运营风险财务风险健全的有效的内部控制体系14一、风险、合规、内控风险管理过程风险管理是风险面临者进行风险识别、风险估测、风险评价、风险控制，以减少风险负面影响的决策及行动过程。制定风险解决方案选择风险管理工具合理确定风险限额统一制定各风险的度量单位和风险度量模型广泛搜集信息识别和分析风险设立风险管理部门制定风险管理政策风险管理15一、风险、合规、内控内部控制过程内部控制是一个动态的过程，是实现目标的手段，是对组织目标实现的相对保证。该过程包括：确保内控制度有效运行内控评估和责任追究对内控缺陷进行纠正内控执行结果对进行监督持续改进和完善制定有效的内控制度内控过程16风险、合规、内控1合规要点及案例3合规风险控制4内部控制体系的组成217内部控制体系是指基于控制环境、风险评估、控制活动、信息与沟通、内部监督五要素，在组织、制度、运行、监督和报告等方面进行的整体安排和系统架构。二、内部控制体系的组成18二、内部控制体系的组成内控运行体系内控组织体系持续改进和完善监督和评价体系内控报告体系内控制度体系19二、内部控制体系的组成1.内控组织体系对经营者的控制不但要有以资本市场、产品市场以及法律规章制度为主体的外部控制机制，而且要有以董事会、监事会、审计委员会为主体的内部控制机制。我国《公司法》规定董事会在公司管理中居于核心地位，董事会应对公司内部控制的建立、完善和有效运行负责，这样能够形成以董事会为中心相互制约、相互联系的严密内控系统。即：股东会通过监事会对董事会实行内控，董事会通过内部审计对总经理及其他管理者实行内控。20二、内部控制体系的组成2.内控制度体系Ⅰ内部控制制度是指一个公司的各级治理部门，为了保护经济资源的安全完整，确保经济信息的正确可靠，协调经济行为，控制经济活动，利用公司内部分工而产生的相互制约、相互联系的关系，形成一系列具有控制职能的方法、措施和程序，并予以规范化、系统化，使之组成一个严密的、较为完整的体系。健全的规章制度和完善的操作流程，是内控体系的重要组成部分，能有效地防范风险。21二、内部控制体系的组成2.内控制度体系Ⅱ内部控制制度的内容包括以下几个方面：（1）合规、合法性控制。建立和健全内部控制制度必须符合国家财经政策和法规制度，即每一项经济业务恬动必须在合规、合法的范围内开展。（2）授权、分权控制。现代企业规模不断扩大，生产环节日益增多，业务种类纷繁，作为企业高层领导不可能事必躬亲，因此，必须将事权进行合理划分，对下级授权、分权。在授权、分权范围内，授权者或分权者有权处理有关事务，未经批准和授权，不得擅自处理有关事务。22二、内部控制体系的组成2.内控制度体系Ⅲ（3）不相容职务控制。建立内部控制制度，必须对某些不相容职务进行分离，即分别由两人以上担任，以便相互核对、相互牵制，防止舞弊。例如，授权批准职务与执行业务职务相分离；业务经办职务与审核监督职务相分离；业务经办职务与会计记录相分离；业务经办职务与财产保管职务相分离；财产保管职务与会计记录相分离。（4）业务程序标准控制。对每一项业务活动，按授权、主办、核准、执行、记录和复核六个步骤建立标准化业务处理程序，不仅有利于使实际业务活动按照事先规定的程序进行，而且有利于对实行业务活动进行事前、事中和事后的衔接核对。23二、内部控制体系的组成2.内控制度体系Ⅳ（5）复查核对控制。为了保证业务、财务信息的可靠性，对业已完成的经济业务记录进行复查核对，以免发生差错和舞弊。（6）人员素质控制。内部控制制度实施是否有效，要取决于实施人员的素质。人员素质的控制，除了对人员本身素质有良好的思想品德和职业道德、较高的业务素质和专业技能、较广博的知识水平等提出较高要求外，还应对人员的选择、使用和培训采取一定的措施和办法。（7）责任追究控制。对于未按照制度执行的行为，应该进行责任追究，给予一定的处罚，这一点在制度中一定要体现，不然制度将形同虚设。24二、内部控制体系的组成3.内控监督和评价体系监督机制的建立要注重自我监督与独立评估并重各级管理层首先应在日常的经营管理过程中注重对内部控制有效性的监督，如果发现错误、舞弊等异常情况，不仅要就事论事的加以处理，还必须考虑其中是否隐含了内部控制出现漏洞的信号，查漏补缺。建立和完善内部审计职能，内部审计人员的责任不再局限于监督企业的内部控制是否被执行，而是通过独立的检查和评价活动，针对内部控制的缺陷、管理的漏洞、提出确实可行的建议和措施，促进管理层进一步改善经营管理，提高企业的综合实力。25二、内部控制体系的组成4.持续改进和完善一是对内部控制体系本身进行跟踪和改进，内部控制是一个动态的过程，应该随着国家法律法规的增减或修订变化、监管制度变化、市场变化、公司经营范围变化以及操作流程变化而进行实时的改进和调整，这就要求企业建立一套改进和完善机制，以适应这些变化。二是对发现的内控缺陷进行改进和完善，并对改进过程和结果进行跟踪。26二、内部控制体系的组成5.内控报告体系报告类别：财务报告、业务报告、内控评估报告、风险管理报告、合规管理报告等所有报告；报告报送对象：经营层、董事会、监管部门、社会；对内报告、对外报告；报告的目标：可靠性（真实、准确、完整）合规性（符合法律、监管规定）27风险、合规、内控1合规要点及案例3合规风险控制4内部控制体系的组成228三、合规要点及案例公司重点识别、评估和监测以下事项的合规风险：（一）业务行为，包括广告宣传、产品开发、销售、承保、理赔、保全、反洗钱、客户服务、客户投诉等；（二）资金运用行为，包括担保、融资、投资等；（三）机构设立、变更、合并、撤销以及战略合作等行为；（四）公司内部管理决策行为和规章制度执行行为；（五）其他可能引发合规风险的行为。29机构建设的合规要点1．严禁未经监管部门批准擅自设立或者变相设立分支机构。2．在法人机构住所地以外的省、自治区、直辖市未设立分公司不得开展业务。3．不得超范围经营或变相经营保险业务。1.法人机构改变组织形式、变更注册资本、分立或合并、变更出资人或者转让股份、变更公司名称、修改章程、调整业务范围、变更营业场所必须经监管部门的批准。2．分支机构变更营业场所要经过监管部门批准。3．保险机构变更名称、合并分支机构后，要在规定的时间内向监管部门报告。4．法人机构发生涉及保险许可证记载事项的变更，要按照规定更换许可证。1.不得擅自撤销分支机构。2.撤销分支机构时要进行公告，充分告知有关投保人、被保险人或受益人交付保费、领取保险金等事宜。3.禁止撤销申请获准后实际又未撤销。4.撤销分支机构后要上缴保险许可证。机构设置机构变更机构撤销30高管人员任职资格管理哪些人员属于保险公司高级管理人员？根据《保险公司董事和高级管理人员任职资格管理规定》（中国保险监督