完善我国内控与风险管理监管的建议

第四节　完善我国内控与风险管理监管的建议

基于我国目前对保险公司内控及风险管理监管方面与国际监管核心原则之间存在的差距,在借鉴IAIS的保险监管核心原则的基础上,为了加强保险公司的内控及风险管理方面的监管,我们认为应该从以下几方面加强保险公司内控与风险管理监管制度建设,并强化相关监管制度的执行,以保障我国保险业的健康、持续和协调发展。

一、关于内部控制监管的几点建议

(一)进一步强化管理层责任

建立健全内控机制是公司持续健康运营的前提,是公司管理层的应尽职责。实践证明,管理层对于内控建设的态度在很大程度上决定了公司的内控水平。在寿险公司内部控制监管中,抓住了管理层对内部控制的责任,就抓住了寿险公司内控建设的“牛鼻子”。在《寿险公司内部控制评价办法》中,我们对董事会、监事会和经理层在内部控制中的责任进行了明确。未来,应进一步研究建立责任追究制度,让寿险公司高级管理人员对内部控制的建设、效果和改进负起责任,促使他们真正重视内部控制。

(二)充分发挥内部审计的作用

内部审计是寿险公司内部的持续监督机制,在寿险公司内部控制建设与评价中发挥着重要作用。可以说,内部审计能否充分发挥作用,在很大程度上决定了公司的内部控制水平。为此,我们将建立寿险公司内部审计责任人制度,建立内审问责机制,促进内部审计有效履行职责。建立内部审计责任人制度。充分发挥寿险公司自我评估的作用,以自查(公司自我评估)代替他查(监管部门检查),构建内部审计与外部监管之间的互动机制。此外,我们还将充分利用行业协会下内部审计工作部这个平台,建立内部审计定期交流机制,在强化责任的同时,提升行业整体内部审计水平。

(三)强化风险评估在内控建设中的地位

风险评估将成为未来企业内部控制建设的重要内容。由于社会公众和股东越来越关注风险评估,越来越多的企业信奉企业级的风险管理,人们期望贯穿组织的所有风险都能得到持续的和规范化的管理,对战略、财务和经营等风险进行通盘考虑。在内部控制未来的变革中,人们将更多地把风险管理的职能赋予内部控制,而内部控制也将逐渐成为企业风险预测、评估、控制的主要手段和途径,风险评估将成为内部控制制度建设的重要内容。企业在设计和评估内部控制时,将会充分考虑风险识别和评估问题。

(四)进一步修订完善《评价办法》

《评价方法》是保监会适应监管形势变化、提高监管效率的一项重要制度。但由于国内保险公司经营管理水平差异较大,内控建设水平参差不齐,对于内控的理解和评价方法的掌握也存在着较大的差异。因此,在实际评价过程中,会存在着这样或者那样的问题。另外,《评价办法》本身也需要根据市场环境的变化不断修正。所以,在未来一定时间内,监管机关要及时总结试运行过程中的问题及各方意见,修订《评价办法》,在内控监管中发挥更大的作用。

(五)尽快健全非寿险公司内控监管体系

从目前国内出台的内控监管制度看,除了《指导原则》外,尚没有出台其他与非寿险公司相关的内部控制监管文件。在未来一段时间内,要加快非寿险公司内控建设方面的监管规定,建立健全非寿险公司内部控制监管制度体系。

二、关于风险管理监管的几点建议

(一)制定保险公司全面风险管理监管制度

IAIS风险管理核心原则没有反映企业风险管理的最新国际标准。在参考IAIS风险管理核心原则时,对此应引起注意。实际上,目前企业风险管理正成为国际风险管理的一种潮流和趋势。自2004年开始,国际上许多公司开始采用企业风险管理理念来构建公司的风险管理体系。未来一段时间内,我们要充分借鉴这一管理理念,按照保险公司全面风险管理的思想,尽快出台保险公司的全面风险管理监管制度,制定《保险公司风险管理指引》。

(二)明确承保政策监管要求

国内关于保险活动的监管较少涉及承保政策方面的监管要求,建议未来在监管规定制定过程中,加大这一方面的力度。明确要求保险公司申请设立时必须提交承保政策,在实际运用中严格按照承保政策制定相应的承保管理制度,加强保险业务的承保管理,确保业务品质,提升经营效益。

(三)加强风险转移监管

国际保险监管核心原则非常重视风险转移的作用,关注保险的有效性、合理性和适当性。目前,国内关于风险转移的监管规定仅有《再保险业务管理规定》。尽管有些公司按照上述规定办理了再保险,但是实质上却没有完成风险转移。因此,确保再保险发挥风险转移的功能应该是未来监管规定制定中需多加关注的方面。

(四)强化非寿险公司风险管理监管

针对国内保险公司风险管理监管中关于非寿险公司监管规定缺失的状况,未来一段时间内,建议监管部门抓紧制度制定,为非寿险行业的健康发展提供保障。

【注释】

[1]中国保监会将完善内控作为2006年的监管工作重点。2006年1月,保监会下发《寿险公司内部控制评价办法》,并下发通知要求国内各寿险公司法人机构及其分支机构按照该办法的要求组织进行内部控制的自我评估工作,并且在2006年5月31日之前向保监会和各地保监局分别递交法人机构和分支机构的内部控制自我评估表和报告。同时,按照评价办法的要求,保监会从2006年4月份开始,实施对中国人寿法人机构和分支机构的内部控制检查。由于中国人寿已按《萨班斯法案》要求做了一些工作,系统上下对内控的认知度比较高,对评估程序也相对熟悉,因此在实施寿险公司内控评价的第一年,保监会将检查重点锁定为中国人寿,同时对其总公司和各省级公司派出内部控制现场检查组,目的是了解其内控制度的健全性、合理性和有效性。

[2]中国人寿主动备战《萨班斯法案》。《萨班斯法案》诞生于安然公司等一系列财务丑闻发生之后,原定在美国的生效日期是2004年11月15日,对国外企业的生效日期是2005年7月15日。2005年3月,美国证监会决定把生效日期延后一年,所以该法案将在2006年7月15日或者以后结束的财政年度,对在美上市的中国企业生效。也就是说,2007年年初,这些在美上市的中国企业就要由独立的外部审计师按照《萨班斯法案》要求出具评估报告,2006年将是最后的关键一年。《萨班斯法案》的404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责,要求公司年报中包括一份“内部控制报告”,该报告要明确指出公司管理层对建立和保持一套完整的、与财务报告相关的内部控制系统和程序所负有的责任,并要包含管理层在财务年度期末,对公司财务报告相关内部控制体系及程序的有效性的评估。2005年年初,中国人寿启动了旨在加强内部控制建设的“404项目”,聘请安永会计师事务所为其提供咨询服务。该项目分三批在中国人寿全系统推进,首先开展试点,然后将试点经验在全系统内推广。试点机构从各部门抽调人员组成项目组,首先梳理业务和财务流程,把所有的流程都写出来,并画出流程图,找出风险点,看是否有相应的措施对其进行控制。以承保流程为例,从客户投保,到承保、出单、客户签回执、公司核销回执,再到财务入账,从头至尾,把整个流程尽可能细化地落于纸端。其后进行流程的穿行测试和控制测试,以检验是否存在内部控制措施以及控制措施的有效性,测试采用随机抽样的方式进行。在确定流程和进行测试的过程中,关键问题是看对每一个风险点是否有相应的控制措施,如果没有则要及时反馈到相应部门,要求该部门设计出应有的控制措施或给出一个合理的解释,直到所有的风险都得到控制为止。中国人寿在一年的试点中投入了大量的人力、物力和财力,形成了多达几亿字的文档记录,初步掌握了内控自我评估的方法。2006年,该公司按照美国SEC的要求正式开始组织内部控制的自我评估工作。