中国平安保险内控报告Word文档下载推荐.docx
《中国平安保险内控报告Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《中国平安保险内控报告Word文档下载推荐.docx(33页珍藏版)》请在冰点文库上搜索。
年度公司采取的系列内控完善改进举措,使得公司内部控制执行情况在
规范成熟的公司治理结构、统一的内控管理、完善的制度体系、先进的管控模式和得力的团队管理"
的内控环境
呈现不断优化态势。
现将本公司的内部控制情况报告如下。
第二部分
公司内部控制基本情况
一、公司治理
集团控股,分业经营,分业监管,整体上市"
高度概括了公司国际化标准的公司治理结构。
公司根据《
华人民共和国公司法》、《上市公司治理准则》等
关法律法规建立了完善的公司治理结构,股东大会、董事会、监事会,和管理层职责明确,并建立了完备规范的议事规则、决策机制、决策评估、责任追究机制和独立董事制度。
股东大会、董事会、监事会,和管理层之间各负其责、规范运作、相互制衡,在内部控制
的权责清晰,为公司内部控制目标的实现提供了合理保证。
年6
月,公司被亚太区著名杂志《Corporate
Governance
Asia》及亚洲企业各界联合评选为"
亚洲企业治理2007
年度杰出表现奖"
,是获得该奖项历史上唯一的中国大陆金融及保险企业,显示公司规范成熟的治理结构获得
泛认同。
二、集团内审地位及架构设置
为强化董事会决策功能,确保董事会对管理层的有效监督,完善公司治理结构,根据《公司法》、《保险法》、《审计法》及公司章程等相关规定,在董事会授权下,公司于2002
年成立了由半数以上独立非执行董事组成的集团审计委员会,全面审查和监督公司财务报告、内部审计方案及内部控制有效性,审阅和审查财务、经营、合规、风险管理情况。
集团内审地位及架构设置为公司内控建设提供了强有力的组织保证。
目前集团内审地位及架构设置如图示:
董事会
审计委员会
集团稽核监察部
上海分部
深圳分部
综合管理室
IT稽核室
监察室
稽核监察部门
平安资产管理
深圳
平安养老险平安健康险
分支机构
平安产险平
平安信托平安证券
稽核监察部
辖区机构
安寿
平安银行
险
(各专业公司设立稽核监察部门)
三、公司内控制度建设及实施情况
公司自成立以来一直注重内控制度建设,按照法律、行政法规、部门规章以及上市规则的要求建立了涵盖公司层面、下属部门及附属公司层面、各业务环节层面及各项相关管理活动的较为健全的内部控制制度。
年公司根据监管政策、行业准则以及公司管理制度的变化,进一步完善公司内部控制制度,并朝建立国际一流的内控体系迈进。
在注重执行的企业文化引导下,公司内控制度得到有效实施,
2007
年公司开展全面制度、流程检视工作,推动了制度、流程的完善优化和执行。
稽核工作反馈情况显示业务活动合法合规性提高,员工违规行为减少,大案要案率显著下降。
四、公司风险控制活动
作为综合金融服务集团,公司在集团风险管理委员会(以下称"
风管会"
)策划下,建立了风管会统一领导下的由各系列风险管理执行官、专家小组构成的覆盖各专业公司的风险控制体系。
保险、银行和投资系列的风险管理执行官,分别负责监管保险系列子公司(产、寿、养老、健康险公司),投资系列子公司(资产管理、证券、信托公司)及银行系列子公司(深圳平安银行)。
保险及资产管理专家小组共同管理保险ALCO。
银行系列风险管理委员会下设资产负债委员会、风险政策委员会、巴塞尔新资本协议管理小组,全面负责银行的风险管理。
(一)业务风险控制
1、保险类业务
作为以保险业务为核心的多元化金融服务集团,公司建立了完善的保险业务风险控制体系。
风险控制活动涵盖所有业务经营管理各方面,主要包括产品开发、销售管理、核保核赔管理、服务质量管理、咨询投诉管理、再保业务管理、单证印鉴档案管理、业务处理系统、客户信息交叉使用等各
环节。
集团风管会及所属保险专家小组、资产管理专家小组共同管理保险资金的资产负债匹配风险,定期评估利率风险、市场风险、信用风险。
每
监控环节都充分明确了每类风险的识别、评估与防范控制措施。
公司还建立了产、寿、养老险区域管理体制,进一步实现了业务经营管理的统一化、标准化、规范化。
有关保险业务的风险控制活动详见附件1。
2、投资类业务
集团风管会监控投资业务风险,通过投资业务风险执行官和各子公司的风险管理部,定期识别及量化各业务线的市场风险、信用风险、流动性风险、集
风险及外汇风险。
集团合规部监控政策法规风险及运营风险。
有关投资类业务的风险控制活动详见附件2。
3、银行类业务
银行风险管理委员会负责监控整体风险管理。
风险政策委员会具体负责制定、管理风险政策;
首席风险执行官组织、领导全行风险管理工作。
总行设立了相关职能部门具体负责风险管理工作。
风险控制活动涵盖授信、资金、存款及柜台、
间业务等各业务环节,有效防范了银行资产负债匹配失衡风险、市场风险、信用风险、流动性风险及组合战略风险。
有关银行业务的风险控制活动详见附件3。
管理
心负责全公司信息系统的开发和维护,其他职能
心和保险专业子公司作为信息系统的用户,并不承担系统的开发和运维。
信息管理
心的内部控制主要体现在以下六方面:
1.组织架构
心下设开发、运营、规划三
系列。
各系列划分为多
职能部门,各职能部门职责清晰、分工明确,保证了信息技术的规范管理,有效地降低了内部技术管理风险。
IT
开发服务系列主要负责公司信息系统的开发和测试;
运营服务系列主要负责公司信息系统(包括基础设施和应用系统)的运行监控和维护,保证系统能够正常运行;
规划服务系列主要负责协助业务规划,信息管理
心内部工作流程的制定、事务管理和重大项目管理。
系统开发部门只负责系统开发,系统维护由系统运营部门来操作。
同时,针对某些特别重要的工作,信息管理
心成立专门的部门和岗位来负责,做到专人专岗。
例如:
成立了应用开发支持部,专门负责应用系统的测试;
成立了信息安全组,为公司信息
和信息系统安全建设提供技术支持;
开发部门都有QA
岗,管理开发项目的质量。
2.系统开发控制
系统开发和修改由开发部门负责,基于CMMI2
级标准创建了一套最基本的软件开发项目的过程管理体系,包括:
项目策划、项目监督与控制、过程与产品质量保证、软件配置管理、统一的需求管理体系、基本的项目开发生命周期。
开发的程序代码通过Clear
Case
进行统一的保存和版本管理,制定了明确的项目复审、项目变更、项目配置管理、项目质量监控等控制流程。
3.系统运营控制
应用系统的维护由IT
运营服务系列负责,运营服务流程遵循ITIL
标准,有详细、完整的系统运营操作文档。
所有的新建、变更、撤销操作都必须经过严格的审批和测试,确定没有问题后才能实施。
对于应用系统业务数据的修改必须获得业务部门的审批和授权。
系统运行实现7*24
小时监控,对于系统异常能够及时发现、报警、处理,保证系统的稳定运行。
帐号管理方面,公司核心业务系统使用公司的UM
(用户管理)系统进行统一的帐户和权限管理。
帐号权限的申请必须经过业务部门负责人的审核,帐号的管理操作由信息管理
心系统运营部统一处理,并每半年对系统帐号权限进行集中的清理。
UM
系统与人事系统关联,确认申请员工身份,及保证员工离司后,其帐号和权限即时失效。
心虽然负责信息系统的开发和维护,但是要求信息管理
心内员工不能有业务系统的业务操作权限。
在深圳和上海建立了两
数据
心,管理所有基础设施和应用系统服务器。
心的建设符合国家标准,其管理通过了ISO9001
认证,实现7*24
小时监控,并定期对基础设置进行检查和测试。
4.网络管理
目前公司的业务包括保险、银行、投资等多
领域,公司内部针对各业务领域划分了不同的网络区域和数据库,每
业务领域都有防火墙隔离和加密访问控制。
对于银行、数字证书
心等有特
监管要求的区域,划分了单独的物理空间和网络区域,实现真正的物理隔离,以满足监管部门对不同行业的安全监管要求。
5.信息安全管理
心成立了独立的信息安全团队负责推行及确保公司的信息安全管理和保护工作。
公司遵照ISO27001
标准建立了平安信息安全管理体系"
。
公司建立了计算机安全应急系统,制定了详细的应急方案,并定期检查、维护应急的设施、设备和系统,确保其处于适用状态。
公司信息安全应急响应小组,负责信息安全事件的预警、响应和调查等工作,能够及时处理突发的安全事件。
公司有专门的容灾备份队伍。
在日常操作中,对数据库等重要信息实施了异地备份,在上海和深圳建立了互为备份的数据
此外,还制定了详细的灾备方案,并在日常变更管理
对应急计划进行及时升级和维护,定期举行了灾备演习。
根据国务院信息化办公室发布的文件《重要信息系统灾难恢复指南》
对灾难恢复等级划分的规范性定义,公司的容灾能力已达到第5
级"
实时数据传输及完整设备支持"
的水平。
6.信息披露
目前公司涉及互联网信息发布的网站是
PA18
网站和行销支持管理网站,均已建立完善、安全的网上信息发布审核和检查制度,确保信息发布的合法、合规。
网站是公司的门户网站,主要刊登来自内部及转载的金融信息,没有论坛、社区等可供网民自由发表言论的频道。
转载的信息文稿必须来自正规网站且为已对国内公开发布的新闻。
网站所有动态上传信息均须经过公司内部安全性、合规性审核。
网站还配有监控人员,每天不定时抽样浏览网页,一旦发现问题会及时上报并纠正。
行销支持管理网站是公司面向内部业务员的网站,只有公司业务员能访问,主要为业务员提供行销咨询,并设有论坛作为交流场所。
网站上发布的所有信息都须先经过公司内部专人审核,以确保所发布信息符合规定。
论坛由公司市场部直接负责管理,并制定发贴规则和值班制度。
所有在此论坛发布的信息都须经过值班人审核,以确保内容合规。
(五)关联交易
根据保监会《保险公司关联交易管理暂行办法》的规定,公司制定了《关联交易管理制度》,以明确关联交易各相关部门的分工和基本处理流程,保证该类交易符合相关监管和信息披露的要求。
年8
月,董事会通过议案,授权执行董事在授权额度内对本公司与控股子公司之间发生的三大类重大关联交易进行审批。
财务部门制定相关内部工作指引,规范了关联交易操作。
资金部根据公司相关制度和监管机构批复的关联银行存款豁免额度,制定关联方交易银行存款额度管理办法,对公司及子公司在关联银行所开立帐户采取统一的限额管理(按法人公司核定),定期统计关联银行帐户余额、上报异常情况。
关联交易在上证所的披露事项及董事会和股东大会
关议案的准备工作由董事会办公室负责,在香港联交所的披露事项由法律事务部负责。
通过在公司全系统贯彻关联交易管理制度,控制了关联交易处理风险,同时提高了关联交易处理效率。
(六)防范舞弊
公司严格执行《公司法》、《会计法》和《内部会计控制规范》等相关法律法规的规定,在岗位权限设置、物资采购、成本费用、资金、财务系统等方面建立了相关的内部控制制度和措施,防范舞弊。
在岗位设置方面,建立公司和各子公司的公司治理结构、各级经营管理组织架构规范及岗位分类,要求严格执行不
容职务相互分离控制的原则,保证公司内部部门、岗位及其职责权限的合理设置,形成互
制约,互
监督的机制。
在物资采购方面,公司采取集中采购的管理方式,制定了招投标机制并要求在大额采购合同
增加反商业贿赂条款,对全系统采购活动的各环节实行制度管理和标准流程操作,保持公开透明,堵塞采购环节的漏洞,减少采购风险。
在财务内控方面,公司成立了财务内控项目小组,建立内部财务内控平台,要求各专业子公司财务部每月上报财务内控与合规报告,保证业务、财务数据的一致性。
在费用管控方面,严格实行报销双签制度,确保费用支出的合规性和真实性。
在财务系统建设方面,积极推进自动制证,减少和消除人为操作。
严格管控财务系统的用户权限,对于财务人员换岗、离司等情况,及时在系统变更权限,加强财务系统安全性控制。
五、信息披露与沟通
集团执行委员会下设投资者关系管理委员会,专职负责信息披露,并制定了《投资者关系管理委员会工作手册》,对信息披露的制度与流程进行了详细规定。
建立了董、监事沟通渠道,保持沟通畅顺、充分;
建立了投资者回访制度,虚心听取意见和建议;
建立了证券分析师沟通机制,提供信息支持;
建立投资者查询机制,及时满足股东信息要求,严格保证所有股东在同一时间获得
同信息。
为此,国际投资者对
国平安的信息披露给予了高度评价:
披露的
度和深度达到国际领先水平;
披露的信息完整、有连续性;
数据信息的假设/计
严谨,可靠性高。
公司品牌宣传部具体负责公司对内对外的信息整合与发布、媒体关系管理及危机管理,识别、收集、处理、报告涉及公司目标实现及经营管理有效运作的内外部信息,使管理层及员工能够了解相关信息,遵守涉及其责任和义务的政策和程序。
公司制定的《信息披露事务管理制度》、《重大突发事件应急处理规定》等相关制度,确保了及时、真实、完整地向监管部门和外界报告、披露相关信息,确保在出现紧急情况或重大突发事件时,相关信息能够得到及时报告和有效沟通。
六、监督
中国平安目前正着力推行事前、事
与事后三位一体的风险管理和监督体系,对业务环节和经营管理进行持续性的全方位、全过程的监督:
合规部门通过制度评审、合规审查和合规检视,对各种风险进行事前识别和把关;
通过审计工作平台和预警系统等,在集团的统筹协调下,由各专业子公司对各业务流程
的高风险环节进行高频率、持续的监控,实时发现、分析和处理各类问题,并督促责任部门及时进行整改;
集团稽核监察部则通过风险导向的年度常规稽核、每年100%二级机构和50%三级机构的稽核覆盖率及重点检查高风险机构和业务环节,执行事后监督。
监督体系如图示:
平安集团审计委员会领导下具有高度独立性的集团及专业公司的内控检查监督体系
第一道防线:
风险的事前管控
第二道防线:
风险管理的技
第三道防线:
风险的事后监督
术支持及事中管理
业公司合
集团合规
风险管理委员会及银行/投资
专业公司及二
集团稽核监
规部门
部、法律事
/保险附属委员会/各业务部
级机构稽核监
察部、法律
务部
门、风险管理部
察部/法律岗
事务部
审计平台、合规平台、预警系统、风险评估模型、
业公司的内控平台系统
具体说明如下:
(一)事前监督
合规风险管理是公司内部控制的重要组成部分。
公司在集团层面设立了合规部;
在专业子公司层面设置合规部门、合规负责人或岗位,并在各部门内指定合规协调人,负责对各业务部门及业务环节进行日常合规支持、检视和监控。
集团合规部组织各层级合规人员对各自专业系列的合规风险进行信息收集、识别、量化、评估、监测和整合控制,建立合规风险监测关键指标体系及合规风险体系信息平台,并持续跟踪集
团及各专业子公司合规风险的变化情况,进而汇总公司整体合规风险,并通过组织与合规内控管理工作相关的战略规划、管理策略等方面的专题讨论及对策研究,协助集团管理层制定合规内控政策。
集团合规部还负责组织集团及专业子公司进行合规风险自查工作,督促公司各部门进行制度
理和检视。
与此同时,合规部
门根据合规检视情况,对各机构、各业务环节的重点风险进行筛选、提示,为稽核检查提供指导,提高稽核的深度和效率。
同时,各层级合规部门根据制度检视、法律意见及稽核反馈信息,查找公司制度上的缺失或瑕疵,发现制度执行过程中的偏差及其原因,并提出有针对性的制度、流程改进建议,协助相关部门建立健全公司的制度体系,从而建立起公司良好的合规环境与合规文化。
(二)事中监督
事中监督包括业务部门的持续监控和审计工作平台的过程监督。
1、业务部门持续性监控
公司采取各种手段确保各部门和员工在日常经营和履行职责的过程
持续获取相关信息,相关部门通过电脑系统监控和现场检查监控等措施,对内控制度的健全性、合理性、有效性进行检查、分析,并评估其实施的效率和效果。
理赔、核保、客服等部门建立并实施了
应的业务审计制度;
财务部门每年开展财务大检查和财务工作达标评级活动。
2、审计工作平台的过程监督
公司正在全力开展审计工作平台及预警系统、监察管理平台的建设和推
工作,通过搭建平台并制定操作规范、设计预警系统风险指标,推行日常、远程审计检查,极大地提高了稽核频率并使稽核监督重心从事后"
前移,对公司各
部门和各
环节进行全天候全过程的风险控制和监督,更及时地发现操作或道德风险,避免或减低公司风险和损失。
同时,预警系统指标数据和日常、远程审计结果亦为常规稽核确定重点机构和重点检查环节提供评估依据,有效地提高稽核效率。
(三)事后监督
公司目前建立了由集团、上海/深圳稽核分部、子公司和二级机构稽核监察部组成的完善的稽核网络,并在国内同业
率先推出IT
稽核。
目前公司已拥有一支遍及全国的400
多人的专职稽核队伍。
集团稽核监察部及上海、深圳稽核分部以独立的身份对集团各职能
心和所有子公司及其二、三级机构进行全面的常规稽核,实现稽核检查的监督和风险防范功能;
各子公司及其下属机构稽核监察部门则以内部人身份介入到子公司的所有日常内控管理工作,与集团稽核监察部形成内外合一的稽核监督体系。
通过分布全国的稽核队伍,及时检查、揭露、追踪和防范经营管理的各类风险。
公司采取四种稽核方式紧密结合模式:
一是常规稽核-稽核部门依据国家法律法规和公司稽核管理办法,按照既定的范围、流程和方法对公司经营的各
环节进行常规性的稽核,常规稽核最后形成的是对被稽核单位内控状况的客观评价;
二是专项稽核
-通过全面深入地揭示公司经营管理
存在的各种有害现象,分析问题的成因和危害,提出解决办法和管控建议,有效地改善公司的业务品质、降低运营成本、提高管理效率,并减少风险的发生;
三是离任稽核-根据《公司法》及《保险公司董事和高级管理人员任职资格管理规定》等国家法律法规和公司各项规章制度,以及各级领导干部的岗位责任,公司在干部离任时对其任期内的职业操守,有无违规违纪情况以及是否存在未了经济责任等问题进行的稽核;
四是远程/
日常稽核-大大提高审计监控频率,及时发现诈骗、不合法、不合规现象的苗头,防患于未然,对机构的
日常经营管理起到帮助和促进的作用,有利于机构完善其内控体系。
在稽核监察的日常工作中,通过开展廉政教育、处罚申诉、案件查处及管理,通过对信访投诉跟踪、落实并及时反馈,通过修订公司《"
红、黄、蓝"
牌处罚制度》并监督其执行,严格执行公司相关制度规定;
通过注重稽核的整改落实、建立规范的后续跟踪程序以确保稽核建议得到落实和改进等工作,保障和促进公司的风险管理和内部控制水平不断提升。
同时,公司内部稽核监察部门还与外部审计单位以及外部监管机构保持密切联系,收集分析外部审计和监管信息,更加全面地掌握公司的内控执行情况,并进行针对性的监督与管控。
第三部分
内部控制检查监督工作的情况及对2007
年工作计划
完成情况的评价
根据公司构建"
事前、事
、事后三位一体"
风险监控体系的思路,各级合规部门和稽核监察部门是公司内部控制检查监督职能的执行主体,分别负责事前监测和事中监控、事后监督。
年,该两部门均全面完成年度工作计划,确保公司拥有健全且不断完善的内控制度体系,保持较高的风险管理水平。
具体如下:
各级合规部门致力于建立合规制度体系,开展制度评审、合规审查和检视,搭