保险公司内部控制培训班学习总结
一、内部控制理论
内部控制是指由企业董事会、监事会、经理层和全体员工实施的,通过内部监督、信息沟通、控制活动、风险评估、内部环境五要素,实现公司行为合规、资产安全、信息真实、经营有效和战略保障五大内控目标的过程。
(一) 内控在企业中的定位
公司治理是现代企业调整所有者和经营者矛盾的体系,风险管理和内部控制是公司治理的有机组成部分。其中风险管理的范畴大于内部控制,其是管理层应对内部和外部各种不确定因素时采取的较为系统的方法和过程,而内部控制是针对企业内部可控风险的有效防范体系。
(二) 内部控制与风险管理
风险管理与内部控制相互作用、相互依存、不可或缺。风险管理为内部控制提供了基础和前提,并为内部控制指明了方向。而内部控制为风险管理提供了控制手段,公司的固有风险通过有效的内部控制得到降低,使得风险敞口在公司可接受范围内。按照偿付监管规则,风险可分为量化风险(包括保险风险、市场风险和信用风险)和难以量化的风险(包括操作风险、战略风险、声誉风险和流动性风险)。风险管理是挖掘潜在机会,同时管理负面影响的流程,包括风险识别、风险分析、风险评估、风险监控、风险应对、信息沟通等各种活动,使得企业损失最小化、利益最大化。根据风险矩阵,公司应更加关注频率低而损失大以及多个风险累加的事件(如巨灾风险),设计恰当的情景并定期进行压力测试,防止此类事件对公司经营造成巨大的冲击。
(三) 内控关键环节—防范操作风险
操作风险是指由不完善或有问题的内部程序、人员、系统或外部事件所导致直接或间接损失的风险。操作风险不可避免并难以量化,但确能造成巨大的影响。因此确立公司操作风险管理的流程,搭建相应的制度并使用相应的工具可以有效科学地防范操作风险,达到内部控制的目的。
1.操作风险与控制自我评估(RCSA):通过内控测试、控制、自我评估等工作,形成各项控制措施设计和运行有效性的综合结论。此外,结合定量与定性工具,评估操作风险暴露并决定是否采取风险缓释措施。
2.关键风险指标(KRI):分析现有操作风险的特征,筛选合适数量的关键指标,对历史数据进行分析,从而确定各个指标合理的区间,最后对指标进行日常监控与预警。
1 3.损失数据收集(LDC):对操作风险事件损失数据进行搜集,做好数据积累工作,从而能完善现有的关键风险指标。
二、内部审计
保险公司内部审计是指保险公司内部机构或者人员,通过系统化、规范化的方法,对其内部控制的健全性和有效性、业务财务信息的真实性和完整性、经营活动的效率和效果以及经营管理人员任期内的经济责任等开展的监察、评价和咨询等活动,以促进保险公司经营目标的实现。
(一) 内部控制与内部审计
内部控制是内部审计的审计对象,内部审计是实施内部控制的关键因素,是全面风险管理的重要内容。内部审计侧重于经营管理事后监督,并根据需要可以扩展到事前预警和事中控制。
(二) 保险公司内部审计
公司根据保监会2012年颁布的《保险稽查审计指引》,在董事会下设立审计委员会,并有独立的内部审计部门,根据区域及业务设置独立的内审团队,由内审部门到达审计现场开展审计工作,最终向公司监事长等独立于管理层的高管人员汇报。随着保监会审计指引的逐步实施,保险公司内审工作标准不断提高,内审也将在公司治理中发挥更大的作用。
(三) 提升内审价值的方法
1.制定内审计划:首先与高级管理层进行充分的沟通,了解公司领导关注的主要风险,保持内审与公司战略的一致性。其次通过自上而下和自下而上相结合的方法全面评估风险,同时联合风险管理部门,合理利用第二道防线中已有的工作覆盖,进行独立评估。 2.关注数据分析:越来越复杂的业务形态要求内审对业务有深刻的理解。通过数据分析可以降低成本而对业务和风险有更加深入的了解,同时能够覆盖更多的样本量,并实现实时监控。
3.完善审计报告:现阶段内审报告主要是向管理层报告“例外情况”,报告还应该对发现的问题提出审计建议并提供相应的解决方案。
(四) 远程审计
在大数据时代的背景下,对数据的分析和利用越来越成为审计工作中的重要手段,远程审计提供了更为高效和精细化的审计手段,其通过步骤设计、规则执行、现场审计验证以及审计结果分析,形成远程审计报告,同时可以利用计算机和网络对审计对象实施经常性、即时性审计。
2
三、银行风险管理经验借鉴
(一) 加强流动性风险管理
大多金融机构的倒闭源于资金流的断裂,正如08年金融危机中美国第四大投资银行雷曼兄弟的倒闭,由于其流动性出现问题,导致无法偿还相应的负债而最终破产。因此对于大型金融机构而言,应该注重公司流动性风险的管理。简而言之,流动性风险即资产无法在需要的时候转化为现金而履行给付的义务。对于银行,流动性风险的管理尤为重要,一旦市场发生大幅波动导致挤兑现象的发生,这时银行将面临较大的流动性风险,若处理不当,会对给银行声誉造成不良影响,严重时甚至导致银行破产。因此保险公司应该借鉴银行流动性的管理方法,而对于再保险公司,应把流动性管理作为巨灾风险管理中的重要环节。 1.建立公司现金余额模型
在银行,由于业务的特殊性,其资金主要来源为客户存款,因此银行会对客户行为进行研究,从而建立适合自身的资金余额模型(时间序列模型,Logistic模型等)来拟合公司未来现金流的变化,预计未来一定时间内(短期与长期)公司现金的流入与流出。随着巴塞尔协议III的实施,将使用LCR(流动性覆盖比率,预测未来30天内的现金流)与NSFR(净稳定资金比率,预测未来一年内的现金流)作为新的监管指标,这对银行提出了更高的流动性风险管理要求。公司可以将这些监管指标与资产负债表的不同科目相关联,找出不同科目的变动对指标的影响,发现其内在联系,从而在监管指标接近禁戒线时,可以清晰的知道公司应采取何种手段改善指标,从而使得风险管理更具时效性。 2.应急计划的制定
为使公司在市场出现巨大波动或自身管理出现问题时能有效地解决流动性问题,公司应制定流动性风险应急计划管理办法。在此办法中,应设立应急计划触发指标,由风险管理部监控并发布指标被触发。一旦公司出现流动性问题,公司领导层如何对外进行信息披露、IT部和中后台部门如何保证数据处理的时效性、公司业务部门应如何与客户进行沟通等,办法中应呈现各部门的具体工作流程。同时每年进行应急计划的演练,并递交相应的书面交付品,以保证公司在真正遇到流动性风险时能够沉着高效应对,使得公司顺利度过难关。
(二) 资产管理
资产管理指公司运用所收集的资金投资于资本市场的过程。保险公司利用客户的保费进行投资时,是基于投资资产的预期回报用于对客户的给付,特别是面临当前承保利润下滑现状,保险公司的盈利更大程度的依赖投资收益,一旦预期的投资收益无法满足,会给公司造成较大的影响。
1.加强交易对手信用风险管理
3 由于银行的主要资产是贷款,当贷款人无力偿还债务时,银行将无法按时给付存款人的利息,因此信用风险是银行面临的主要风险。对公司所投资的资产进行信用等级的分类,考虑投资资产的集中度,在权衡投资与收益后,构建符合公司业务特点的投资组合。同时关注交易对手的信用等级以及资产负债表的变化,定期监控公司不同信用等级交易对手的应收款项,防范信用风险。 2.市场风险管理
市场风险是指因股票价格、利率、汇率等变动而导致公司遭受潜在损失的风险。做好债券MTM和VaR值的监控,同时关注利率市场化和人民币国际化对市场的影响。此外,还可以利用金融衍生品工具(如掉期)对冲公司现有资产组合的利率及汇率风险。
四、建设公司一体化风险管理内控体系
首先,明确公司风险内控管理目标、了解风险内控管理现状,从而制定中长期风险管理框架体系规划;其次,梳理风险内控管理架构,明确各部门职责;最后,整理主要内控管理流程的风险点和控制活动,编制内控管理手册。使得公司内部形成统一的风险、内控、审计管理文化,并贯穿于公司经营决策、绩效考核、日常操作等各环节。
(一) 设定关键风险指标
关键风险指标作为监控风险敞口的量化工具,在风险预警、风险评估、风险偏好以及资本分配等方面发挥着重要作用。设定KRI,首先需要在理解风险的基础上,通过历史数据的研究,分析发展趋势,依靠科学的统计方法预测未来事件。主要有以下步骤:
1.找出现有指标:设定关键风险指标始于风险评估,通过访谈各业务线的负责人,为潜在的高风险事件找出现有的风险指标。
2.评估指标差距:从监控频率、触发水平、上报标准、、历史数据的可用性以及数据来源的准确性等维度进行评分,并设计风险事件驱动与潜在KRI间的矩阵,找出差距。 3.改善现有指标:删去与风险事件驱动无关的指标,精简现有风险指标。
4.验证并确定触发水平:对风险事件与指标进行历史数据统计分析,当历史数据不可用时,采用风险事件驱动代替,通过对业务部门的访谈,了解其对风险事件驱动的目标和触发水平。
5.设计关键指标的控制板报告:通过图表展现简洁而全面的风险画面,突出高于触发水平的关键指标。
6.制定控制计划:当关键风险指标被触发,显示与此KRI相关的具体缓释措施。
(二) 建设风险管理信息系统
根据监管及公司自身治理的需求,建立风险管理、内控管理、合规管理及内审管理一体
4 化的风险内控管理平台,确保内控和风险管理体系的落地实施,建立长效的以风险为导向的内控与风险管理机制。信息系统可以形成针对不同用户的报表形式,便于管理层实时了解公司风险状况并可以及时采取风险缓释措施。风险管理模块支持风险的全流程管理,包括风险管理事前的风险识别与评估、事中的关键风险指标监控、事后的损失数据收集管理工作,全面支持操作风险的日常管理。同时,内嵌风险量化模型,支持全面风险的计量与分析,对关键风险指标进行及时预警。内控管理模块包括工作计划、内控评估、内控缺陷的定义与整改。合规管理模块支持法规制度的查阅与管理,支持多类型的合规检查、考核与法务管理工作,并通过报表的方式多维度地展示结果。内审管理模块以审计计划和审计任务的执行情况为纽带形成日常审计工作流程,并可以与现有数据库对接,实现远程审计。
五、保监会对内部控制的监管
(一) 内控监管的基本思路 1.监管制度
《国际保险监管核心原则》中指出,监管机构要求保险公司建立一套有效的风险管理和内控体系,包括有效的风险管理、合规、精算和内部审计制度,成为公司治理总框架的组成部分。关于内部控制制度,国际上有著名的科索报告、萨班斯法案、巴塞尔协议等,我国国资委于2006年颁布了《中央企业全面风险管理指引》,随后财政部等5部委也出台了《企业内部控制基本规范》及18项具体指引,2010年,保监会正式发布《保险公司内部控制基本准则》。 2.监管原则
保监会坚持以公众公司标准、风险监管视角、创新实践理念三大原则对保险公司实施内控监管。首先保险公司作为公众公司,其经营结果影响着广大普通保单持有人的切身利益,因此监管机构要求保险公司程序严格合规,信息充分披露;其次,更加重视保险资产安全的监管,严格监控公司关联交易,防止非法利益输送;同时,保监会也将以合规性监管为核心,在原则性问题上,强制公司遵守,在具体技术操作问题上,灵活对待,允许特色和创新。 3.监管定位
保监会确立了市场行为、偿付能力和公司治理的监管三支柱。其中市场行为客观性强,偿付能力可以量化监管,而隶属于公司治理的内部控制体系,主观性强,监管难度较大,具体问题需要一司一策甚至一事一策对待。
(二) 保监会开展的主要工作
为指导保险公司完善自身风险管理体系,保监会颁布了各项监管制度,包括《保险公司内部审计指引》、《保险公司关联交易管理办法》、《保险公司风险管理指引》、《保险公司合规
5 管理指引》等。关于内部控制,最具影响力的为《保险公司内部控制基本准则》。基本准则确立了管什么、怎么管、如何监管的内容框架。管保险公司前台控制、后台控制、基础控制及资金运用控制的所有内控活动;通过公司治理、职能管理、具体执行和监督问责四个层面,管理公司内部控制组织体系;最后保监会在保险公司内控自评及外部审计机构独立鉴证后,对部分环节和企业进行抽查,组织内控全面评价检查。
(三) 未来工作计划
当前我国经济正处于结构调整转型期,保险市场既存在管理粗放、内控管理水平低的现象,也具有发展快,空间大的新兴市场特征,在未来5到10年,保险行业将成为促进我国经济社会发展的重要支柱。面对现时保险公司内控存在的股东行为不规范、内控相关制度得不到具体落地实施、信息披露机制不健全等问题,保监会在未来的内控监管中,将完善内控监管体系,加强督导落实。在内控体系方面,保监会会将相关内控制度纳入保险法,编制适合所有保险公司的内控管理办法并制定内控各环节的操作指引,同时做好内控报告分析工作,加强保险公司内控检查的频率和范围。在督导落实方面,不断加强内部监督、高管问责和培训教育,将保险公司内部控制真正落到实处,促进保险业健康稳健发展。
6
