中国平安保险内控报告.docx
《中国平安保险内控报告.docx》由会员分享,可在线阅读,更多相关《中国平安保险内控报告.docx(34页珍藏版)》请在冰豆网上搜索。
中国平安保险内控报告
中国平安保险内控报告
中国平安保险(集团)股份有限公司 2007年度内部控制自我评估报告
第一部分 前 言
中国平安保险(集团)股份有限公司(以下简称 " 国平安"或 "公司")一向以国际化标准、专业透明的公司治理而著称。
公司建立的"权责制衡的内部监管体系,专职专业问责制的董事会、高度负责的监事会、国际水准的高级管理队伍以及架构完整的各专业委员会",为公司持续稳健发展提供了保障。
公司率先采用国际会计师审计、聘请独立的外部精 公司、国际咨询公司,并在同行 率先引入海外高级管理人才和国际先进的管理体系。
公司自1988 年成立以来始终致力于构建符合国际标准和监管要求的内控管理体系,2007 年公司开展内控架构改革,重新规划并设立了集团统一的内控管理机构--内部控制管理 心。
通过完善专业子公司合规管理架构、建立合规管理政策和工具,合规的事前风险防范作用开始显露;各职能 心和专业子公司通过建立、完善内部管理制度,精 部门、各业务部门和各
理层职责明确,并建立了完备规范的议事规则、决策机制、决策评估、责任追究机制和独立董事制度。
股东大会、董事会、监事会,和管理层之间各负其责、规范运作、相互制衡,在内部控制 的权责清晰,为公司内部控制目标的实现提供了合理保证。
2007 年6 月,公司被亚太区著名杂志《Corporate Governance Asia》及亚洲企业各界联合评选为"亚洲企业治理2007 年度杰出表现奖",是获得该奖项历史上唯一的中国大陆金融及保险企业,显示公司规范成熟的治理结构获得 泛认同。
二、集团内审地位及架构设置
为强化董事会决策功能,确保董事会对管理层的有效监督,完善公司治理结构,根据《公司法》、《保险法》、《审计法》及公司章程等相关规定,在董事会授权下,公司于2002 年成立了由半数以上独立非执行董事组成的集团审计委员会,全面审查和监督公司财务报告、内部审计方案及内部控制有效性,审阅和审查财务、经营、合规、风险管理情况。
集团内审地位及架构设置为公司内控建设提供了强有力的组织保证。
目前集团内审地位及架构设置如图示:
董事会
审计委员会
集团稽核监察部
上海分部 深圳分部 综合管理室 IT稽核室 监察室
稽核监察部门 稽核监察部门 平安资产管理 深圳
平安养老险平安健康险
分支机构 分支机构 平安产险平 平安信托平安证券
稽核监察部
分支机构 稽核监察部
辖区机构 分支机构 安寿 平安银行
辖区机构
险
(各专业公司设立稽核监察部门)
三、公司内控制度建设及实施情况
公司自成立以来一直注重内控制度建设,按照法律、行政法规、部门规章以及上市规则的要求建立了涵盖公司层面、下属部门及附属公司层面、各业务环节层面及各项相关管理活动的较为健全的内部控制制度。
2007 年公司根据监管政策、行业准则以及公司管理制度的变化,进一步完善公司内部控制制度,并朝建立国际一流的内控体系迈进。
在注重执行的企业文化引导下,公司内控制度得到有效实施,
2007 年公司开展全面制度、流程检视工作,推动了制度、流程的完善优化和执行。
稽核工作反馈情况显示业务活动合法合规性提高,员工违规行为减少,大案要案率显著下降。
四、公司风险控制活动
作为综合金融服务集团,公司在集团风险管理委员会(以下称"风管会")策划下,建立了风管会统一领导下的由各系列风险管理执行官、专家小组构成的覆盖各专业公司的风险控制体系。
保险、银行和投资系列的风险管理执行官,分别负责监管保险系列子公司(产、寿、养老、健康险公司),投资系列子公司(资产管理、证券、信托公司)及银行系列子公司(深圳平安银行)。
保险及资产管理专家小组共同管理保险ALCO。
银行系列风险管理委员会下设资产负债委员会、风险政策委员会、巴塞尔新资本协议管理小组,全面负责银行的风险管理。
(一)业务风险控制
1、保险类业务
作为以保险业务为核心的多元化金融服务集团,公司建立了完善的保险业务风险控制体系。
风险控制活动涵盖所有业务经营管理各方面,主要包括产品开发、销售管理、核保核赔管理、服务质量管理、咨询投诉管理、再保业务管理、单证印鉴档案管理、业务处理系统、客户信息交叉使用等各 环节。
集团风管会及所属保险专家小组、资产管理专家小组共同管理保险资金的资产负债匹配风险,定期评估利率风险、市场风险、信用风险。
每 监控环节都充分明确了每类风险的识别、评估与防范控制措施。
公司还建立了产、寿、养老险区域管理体制,进一步实现了业务经营管理的统一化、标准化、规范化。
有关保险业务的风险控制活动详见附件1。
2、投资类业务
集团风管会监控投资业务风险,通过投资业务风险执行官和各子公司的风险管理部,定期识别及量化各业务线的市场风险、信用风险、流动性风险、集 风险及外汇风险。
集团合规部监控政策法规风险及运营风险。
有关投资类业务的风险控制活动详见附件2。
3、银行类业务
银行风险管理委员会负责监控整体风险管理。
风险政策委员会具体负责制定、管理风险政策;首席风险执行官组织、领导全行风险管理工作。
总行设立了相关职能部门具体负责风险管理工作。
风险控制活动涵盖授信、资金、存款及柜台、 间业务等各业务环节,有效防范了银行资产负债匹配失衡风险、市场风险、信用风险、流动性风险及组合战略风险。
有关银行业务的风险控制活动详见附件3。
(二)财务控制
公司历来重视财务风险的控制,控制活动涵盖财务会计制度、职务牵制、财务报告、实物资产管理、资产减值准备管理、负债管理、预算控制与费用管理、财务系统、资金控制、税务管理等方面。
此外,公司正在推行会计作业的集 处理模式,确保财务、会计信息真实、准确。
有关财务方面的风险控制活动详见附件4。
(三)人事管理控制
人力资源管理 心负责公司薪资、绩效和员工关系方面的操作和管理,通过制定并执行一系列配套规定、管理制度、办法及操作手册等,确保人事管理符合国家和地方的 关法律法规、维护员工合法权益且满足公司企业文化和战略执行的需要。
薪资管理方面,公司制定了薪资管理制度,明确公司薪酬理念、薪酬体系、各方职责及薪酬管理具体操作流程,并根据各级人力资源部门的管理成熟度进行分级授权和定期检视、动态调整,在确保决策效果的基础上提高了决策效率。
人力费用纳入费用预
管理体系,通过对人力预 编制过程的监控和预 执行结果的考核,确保人力预 编制科学、合理,人力费用使用合规。
薪资计 ,包括税金等各项扣款均通过薪酬系统自动执行;薪资支付采用集 支付模式,授权统一由集团的员工服务 心转至员工的银行帐户;薪酬系统数据通过系统接口进入财务核 系统,进行对应的财务核 ,减少人为干预,保证薪资计 、支付和财务核
的安全、准确,降低风险。
2007 年,公司引进国际先进的Peoplesoft HR 管理系统,进一步优化该模式,加强各环节的管控,提高系统稳定性和效率。
绩效管理方面,为深入贯彻 "竞争、激励、淘汰"机制,提高员工的绩效能力,确保公司战略目标有效达成,公司不断优化绩效管理体系,秉持"结果导向、成败全责"的绩效管理理念,通过事前明确目标、事 检视与辅导、事后考核与结果反馈的过程管理模式,确保绩效结果公平、合理,并以此作为各项奖惩的基本依据,针对性地采取不同措施激励和促进员工自觉提高绩效水平,让优秀人才脱颖而出,保持队伍的活力和公司持续的市场竞争力。
2007 年,公司引进Peoplesoft HR 管理系统,作为绩效管理的核心IT 平台进行流程控制和管理。
员工关系管理方面,公司制定有《异动管理操作手册》,对入司报到、转正、内调、借用、实习、离司等环节的操作流程进行
了详细释义,规范各异动环节的操作和管理,确保异动手续合法合规且得以顺利办理。
合同的新签、续签、解除、终止等方面,公司均依据国家和地方的劳动法规办理,同时根据人员类别、岗位重要性及绩效考核结果确定合同签订期限、试用期及违约、补偿金额等。
人事档案管理方面,公司制定有《人事档案管理制度》,严格按照国家档案管理制度相关规定,遵循统一管控、分级管理、安全保密的原则,对员工的人事档案进行了科学、规范的管理,有效归存和利用。
招聘管理方面,公司制定了各类人员招聘管理制度,根据人力规划和招聘目标进行人员需求分析、招聘信息发布、应聘信息收集、人员筛选等全过程管控。
招聘活动遵循明确计划、规范标准、突出潜质、严格核人、责任追踪、高效服务和定期检讨的策略,以确保招聘效率和招聘质量。
(四)信息技术控制
作为金融企业,本公司一直关注使用信息技术来提高风险防范能力,在系统设计和开发时已经充分考虑了风险管控功能,通过对各风险点的事前及事 逻辑校验和控制,建立系统数据完整性和有效性的检查机制,有效防范内部和外部道德风险;通过数据库触发器建立全面的数据修改事后稽核机制,增强数据库审计手段,从而有效地防范经营风险。
公司采用信息系统和数据集中管理的模式,所有信息系统和数据集 在总部管理。
信息管理 心负责全公司信息系统的开发和维护,其他职能 心和保险专业子公司作为信息系统的用户,并不承担系统的开发和运维。
信息管理 心的内部控制主要体现在以下六方面:
1.组织架构
信息管理 心下设开发、运营、规划三 系列。
各系列划分为多 职能部门,各职能部门职责清晰、分工明确,保证了信息技术的规范管理,有效地降低了内部技术管理风险。
IT 开发服务系列主要负责公司信息系统的开发和测试;IT 运营服务系列主要负责公司信息系统(包括基础设施和应用系统)的运行监控和维护,保证系统能够正常运行;IT 规划服务系列主要负责协助业务规划,信息管理 心内部工作流程的制定、事务管理和重大项目管理。
系统开发部门只负责系统开发,系统维护由系统运营部门来操作。
同时,针对某些特别重要的工作,信息管理 心成立专门的部门和岗位来负责,做到专人专岗。
例如:
成立了应用开发支持部,专门负责应用系统的测试;成立了信息安全组,为公司信息
和信息系统安全建设提供技术支持;每 开发部门都有QA 岗,管理开发项目的质量。
2.系统开发控制
系统开发和修改由开发部门负责,基于CMMI2 级标准创建了一套最基本的软件开发项目的过程管理体系,包括:
项目策划、项目监督与控制、过程与产品质量保证、软件配置管理、统一的需求管理体系、基本的项目开发生命周期。
开发的程序代码通过Clear Case 进行统一的保存和版本管理,制定了明确的项目复审、项目变更、项目配置管理、项目质量监控等控制流程。
3.系统运营控制
应用系统的维护由IT 运营服务系列负责,运营服务流程遵循ITIL 标准,有详细、完整的系统运营操作文档。
所有的新建、变更、撤销操作都必须经过严格的审批和测试,确定没有问题后才能实施。
对于应用系统业务数据的修改必须获得业务部门的审批和授权。
系统运行实现7*24 小时监控,对于系统异常能够及时发现、报警、处理,保证系统的稳定运行。
帐号管理方面,公司核心业务系统使用公司的UM (用户管理)系统进行统一的帐户和权限管理。
帐号权限的申请必须经过业务部门负责人的审核,帐号的管理操作由信息管理 心系统运营部统一处理,并每半年对系统帐号权限进行集中的清理。
UM 系统与人事系统关联,确认申请员工身份,及保证员工离司后,其帐号和权限即时失效。
信息管理 心虽然负责信息系统的开发和维护,但是要求信息管理 心内员工不能有业务系统的业务操作权限。
在深圳和上海建立了两 数据 心,管理所有基础设施和应用系统服务器。
数据 心的建设符合国家标准,其管理通过了ISO9001 认证,实现7*24 小时监控,并定期对基础设置进行检查和测试。
4.网络管理
目前公司的业务包括保险、银行、投资等多 领域,公司内部针对各业务领域划分了不同的网络区域和数据库,每 业务领域都有防火墙隔离和加密访问控制。
对于银行、数字证书 心等有特 监管要求的区域,划分了单独的物理空间和网络区域,实现真正的物理隔离,以满足监管部门对不同行业的安全监管要求。
5.信息安全管理
信息管理 心成立了独立的信息安全团队负责推行及确保公司的信息安全管理和保护工作。
公司遵照ISO27001 标准建立了平安信息安全管理体系"。
公司建立了计算机安全应急系统,制定了详细的应急方案,并定期检查、维护应急的设施、设备和系统,确保其处于适用状态。
公司信息安全应急响应小组,负责信息安全事件的预警、响应和调查等工作,能够及时处理突发的安全事件。
公司有专门的容灾备份队伍。
在日常操作中,对数据库等重要信息实施了异地备份,在上海和深圳建立了互为备份的数据 心。
此外,还制定了详细的灾备方案,并在日常变更管理 对应急计划进行及时升级和维护,定期举行了灾备演习。
根据国务院信息化办公室发布的文件《重要信息系统灾难恢复指南》 对灾难恢复等级划分的规范性定义,公司的容灾能力已达到第5 级"实时数据传输及完整设备支持"的水平。
6.信息披露
目前公司涉及互联网信息发布的网站是 PA18 网站和行销支持管理网站,均已建立完善、安全的网上信息发布审核和检查制度,确保信息发布的合法、合规。
PA18 网站是公司的门户网站,主要刊登来自内部及转载的金融信息,没有论坛、社区等可供网民自由发表言论的频道。
转载的信息文稿必须来自正规网站且为已对国内公开发布的新闻。
网站所有动态上传信息均须经过公司内部安全性、合规性审核。
网站还配有监控人员,每天不定时抽样浏览网页,一旦发现问题会及时上报并纠正。
行销支持管理网站是公司面向内部业务员的网站,只有公司业务员能访问,主要为业务员提供行销咨询,并设有论坛作为交流场所。
网站上发布的所有信息都须先经过公司内部专人审核,以确保所发布信息符合规定。
论坛由公司市场部直接负责管理,并制定发贴规则和值班制度。
所有在此论坛发布的信息都须经过值班人审核,以确保内容合规。
(五)关联交易
根据保监会《保险公司关联交易管理暂行办法》的规定,公司制定了《关联交易管理制度》,以明确关联交易各相关部门的分工和基本处理流程,保证该类交易符合相关监管和信息披露的要求。
2007 年8 月,董事会通过议案,授权执行董事在授权额度内对本公司与控股子公司之间发生的三大类重大关联交易进行审批。
财务部门制定相关内部工作指引,规范了关联交易操作。
资金部根据公司相关制度和监管机构批复的关联银行存款豁免额度,制定关联方交易银行存款额度管理办法,对公司及子公司在关联银行所开立帐户采取统一的限额管理(按法人公司核定),定期统计关联银行帐户余额、上报异常情况。
关联交易在上证所的披露事项及董事会和股东大会 关议案的准备工作由董事会办公室负责,在香港联交所的披露事项由法律事务部负责。
通过在公司全系统贯彻关联交易管理制度,控制了关联交易处理风险,同时提高了关联交易处理效率。
(六)防范舞弊
公司严格执行《公司法》、《会计法》和《内部会计控制规范》等相关法律法规的规定,在岗位权限设置、物资采购、成本费用、资金、财务系统等方面建立了相关的内部控制制度和措施,防范舞弊。
在岗位设置方面,建立公司和各子公司的公司治理结构、各级经营管理组织架构规范及岗位分类,要求严格执行不 容职务相互分离控制的原则,保证公司内部部门、岗位及其职责权限的合理设置,形成互 制约,互 监督的机制。
在物资采购方面,公司采取集中采购的管理方式,制定了招投标机制并要求在大额采购合同 增加反商业贿赂条款,对全系统采购活动的各环节实行制度管理和标准流程操作,保持公开透明,堵塞采购环节的漏洞,减少采购风险。
在财务内控方面,公司成立了财务内控项目小组,建立内部财务内控平台,要求各专业子公司财务部每月上报财务内控与合规报告,保证业务、财务数据的一致性。
在费用管控方面,严格实行报销双签制度,确保费用支出的合规性和真实性。
在财务系统建设方面,积极推进自动制证,减少和消除人为操作。
严格管控财务系统的用户权限,对于财务人员换岗、离司等情况,及时在系统变更权限,加强财务系统安全性控制。
五、信息披露与沟通
集团执行委员会下设投资者关系管理委员会,专职负责信息披露,并制定了《投资者关系管理委员会工作手册》,对信息披露的制度与流程进行了详细规定。
建立了董、监事沟通渠道,保持沟通畅顺、充分;建立了投资者回访制度,虚心听取意见和建议;建立了证券分析师沟通机制,提供信息支持;建立投资者查询机制,及时满足股东信息要求,严格保证所有股东在同一时间获得
同信息。
为此,国际投资者对 国平安的信息披露给予了高度评价:
披露的 度和深度达到国际领先水平;披露的信息完整、有连续性;数据信息的假设/计 严谨,可靠性高。
公司品牌宣传部具体负责公司对内对外的信息整合与发布、媒体关系管理及危机管理,识别、收集、处理、报告涉及公司目标实现及经营管理有效运作的内外部信息,使管理层及员工能够了解相关信息,遵守涉及其责任和义务的政策和程序。
公司制定的《信息披露事务管理制度》、《重大突发事件应急处理规定》等相关制度,确保了及时、真实、完整地向监管部门和外界报告、披露相关信息,确保在出现紧急情况或重大突发事件时,相关信息能够得到及时报告和有效沟通。
六、监督
中国平安目前正着力推行事前、事 与事后三位一体的风险管理和监督体系,对业务环节和经营管理进行持续性的全方位、全过程的监督:
合规部门通过制度评审、合规审查和合规检视,对各种风险进行事前识别和把关;通过审计工作平台和预警系统等,在集团的统筹协调下,由各专业子公司对各业务流程 的高风险环节进行高频率、持续的监控,实时发现、分析和处理各类问题,并督促责任部门及时进行整改;集团稽核监察部则通过风险导向的年度常规稽核、每年100%二级机构和50%三级机构的稽核覆盖率及重点检查高风险机构和业务环节,执行事后监督。
监督体系如图示:
平安集团审计委员会领导下具有高度独立性的集团及专业公司的内控检查监督体系
第一道防线:
风险的事前管控 第二道防线:
风险管理的技 第三道防线:
风险的事后监督
术支持及事中管理
业公司合 集团合规 风险管理委员会及银行/投资 专业公司及二 集团稽核监
规部门 部、法律事 /保险附属委员会/各业务部 级机构稽核监 察部、法律
务部 门、风险管理部 察部/法律岗 事务部
审计平台、合规平台、预警系统、风险评估模型、 业公司的内控平台系统
具体说明如下:
(一)事前监督
合规风险管理是公司内部控制的重要组成部分。
公司在集团层面设立了合规部;在专业子公司层面设置合规部门、合规负责人或岗位,并在各部门内指定合规协调人,负责对各业务部门及业务环节进行日常合规支持、检视和监控。
集团合规部组织各层级合规人员对各自专业系列的合规风险进行信息收集、识别、量化、评估、监测和整合控制,建立合规风险监测关键指标体系及合规风险体系信息平台,并持续跟踪集
团及各专业子公司合规风险的变化情况,进而汇总公司整体合规风险,并通过组织与合规内控管理工作相关的战略规划、管理策略等方面的专题讨论及对策研究,协助集团管理层制定合规内控政策。
集团合规部还负责组织集团及专业子公司进行合规风险自查工作,督促公司各部门进行制度 理和检视。
与此同时,合规部
门根据合规检视情况,对各机构、各业务环节的重点风险进行筛选、提示,为稽核检查提供指导,提高稽核的深度和效率。
同时,各层级合规部门根据制度检视、法律意见及稽核反馈信息,查找公司制度上的缺失或瑕疵,发现制度执行过程中的偏差及其原因,并提出有针对性的制度、流程改进建议,协助相关部门建立健全公司的制度体系,从而建立起公司良好的合规环境与合规文化。
(二)事中监督
事中监督包括业务部门的持续监控和审计工作平台的过程监督。
1、业务部门持续性监控
公司采取各种手段确保各部门和员工在日常经营和履行职责的过程 持续获取相关信息,相关部门通过电脑系统监控和现场检查监控等措施,对内控制度的健全性、合理性、有效性进行检查、分析,并评估其实施的效率和效果。
例如:
理赔、核保、客服等部门建立并实施了 应的业务审计制度;财务部门每年开展财务大检查和财务工作达标评级活动。
2、审计工作平台的过程监督
公司正在全力开展审计工作平台及预警系统、监察管理平台的建设和推 工作,通过搭建平台并制定操作规范、设计预警系统风险指标,推行日常、远程审计检查,极大地提高了稽核频率并使稽核监督重心从事后"前移,对公司各 部门和各 环节进行全天候全过程的风险控制和监督,更及时地发现操作或道德风险,避免或减低公司风险和损失。
同时,预警系统指标数据和日常、远程审计结果亦为常规稽核确定重点机构和重点检查环节提供评估依据,有效地提高稽核效率。
(三)事后监督
公司目前建立了由集团、上海/深圳稽核分部、子公司和二级机构稽核监察部组成的完善的稽核网络,并在国内同业 率先推出IT 稽核。
目前公司已拥有一支遍及全国的40
升级会员 