首頁 >
				文章中心 >
				合規內控建設
			
          
		
          
		
		
          
			
          
				
				
          
					
          
						
          合規內控建設
          
						
          
					
          					
					 
           
          前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇合規內控建設范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
           
          合規內控建設
           
          合規內控建設范文第1篇
           
           【關鍵詞】企業;內部控制;經營風險;規范
           
           2010年4月26日,財政部、證監會、審計署、銀監會、保監會聯合召開“企業內部控制配套指引會”,并了《企業內部控制配套指引》。該配套指引包括18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》,連同此前的《企業內部控制基本規范》,標志著“結構合理、層次分明、銜接有序、方法科學、體系完備”,既融合國際先進經驗,又適應我國企業實際情況的中國企業內部控制規范體系建設目標基本建成。為保障有著中國“薩班斯法案”之稱的中國企業內部控制規范體系能在企業中平穩、有序、順利實施,財政部等5部門還制定了實施時間表:自2011年1月1日起首先在境內外同時上市的公司施行,自2012年1月1日起擴大到在深滬證券交易所主板上市的公司施行;在此基礎上,擇機在中小板和創業板上市公司施行;同時,鼓勵非上市大中型企業提前實施。
           
           企業應當充分認識到建設內部控制規范體系的重要性。過去,由于我國資本市場沒有統一的企業內部控制規范,加上一些公司內部控制意識淡薄,曾出現了一些企業內部控制失效甚至舞弊的案件,在市場上造成了惡劣影響,例如,三鹿集團的“三聚氰胺”毒奶粉、中航油(新加坡)海外交易巨虧、中海運集團的“資金門”、邯鄲農行巨額現金失竊等。導致這些企業案件發生的最直接原因就是企業內部控制實效。即便在市場經濟比較發達和規范的美國,在2002年也連續發生“安然”、“世界通訊”等財務欺詐事件,由此對國際投資市場造成了重大損害和負面影響。為此,美國國會出臺了《薩班斯法案》,加強對企業會計執業、公司治理和證券市場等方面的監管,這一法案對全世界公司風險防控和上市公司治理都產生了重要影響。我國施行的企業內控規范體系與包括SOCO報告、《薩班斯法案》在內的世界領先內控制度在主要方面保持了一致。
           
           證監會按照“選擇試點、逐步推廣、總結經驗、穩步推進”的原則,把上市公司的內部控制建設情況納入上市公司日常監管的范圍,以確保內控規范體系的執行質量。本文作者系“上海儀電電子股份有限公司”內部控制建設專職部門的主管,在企業如何按照五部委的內部控制規范要求,同時結合企業自身實際建立和完善內部控制體系方面,進行了積極探索和實踐,并獲得了些許方法、途徑和體會。
           
           一、內部控制的定義、目標和原則
           
           (一)內部控制的定義
           
           上世紀九十年代前,大家比較公認的內部控制主要指:企業為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制訂和實施的政策與程序。到了1995年,由美國注冊會計師協會(AICPA)、國際內部審計師協會(IIA)、財務經理協會(FEA)、會計學會(AAA)和管理會計學會(IMA)組成的一個專門委員會(COSO),對內部控制又提出了新的定義,即“內部控制是由企業董事會、經營層和其他員工實施的,旨在為實現經營效果和效率、財務報告的可靠性、相關法規的遵循性等控制目標而提供合理保證的過程。”
           
           (二)內部控制的目標
           
           內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。
           
           1、合法、合規經營是企業的底線。內部控制要求企業必須將發展置于國家法律法規允許的框架之內,在守法的基礎上實現自身的發展。
           
           2、維護資產安全是企業的保障線。有效的內部控制,應當為投資者、債權人和其他利益相關者的資產安全提供有力的制度保障。
           
           3、提高信息報告質量、確保真實、誠信是企業的生命線。內部控制即要保證對外披露的信息報告真實、完整,促進提升企業的誠信度和公信力,維護企業良好的聲譽和形象,又要通過可靠、及時的信息傳遞,為企業提供準確和完整的信息,支持企業經營管理決策和對營運活動及業績的監控。
           
           4、提高經營效率和效益是企業經營中的永恒主題和工作主線。內部控制要求企業應當結合自身特點和所處的經營環境,通過建立健全有效的內部控制,控制經營風險,不斷提高經營活動的盈利能力和管理效率。
           
           5、促進實現發展戰略是內部控制的終極目標和愿景線。內部控制要求企業將近期利益與長遠發展有機結合起來,所做出的經營策略能夠符合企業的戰略發展,并可提升企業創造恒久價值和可持續發展的能力。
           
           (三)內部控制要求遵循的”五大原則”
           
           1、全面性原則。建立源頭控制、主動控制的戰略思想,既要在事中實施控制(控制活動)和事后加以彌補(監督修正),更要在事前建立一套風險預警機制,識別公司面臨的潛在風險(風險評估),并實現全過程、全員性控制,層次上應涵蓋企業董事會、管理層和全體員工,對象上應覆蓋企業各項業務和管理活動,流程上應滲透到決策、執行、監督和反饋各環節,避免出現內部控制空白點。
           
           2、重要性原則。內部控制應當在兼顧全面的基礎上,關注重要業務事項和高風險領域,并采取更為嚴格的控制措施,確保不存在重大缺陷。重要性原則的應用需要一定的職業判斷,企業應當根據經營特點、經營規模、業務范圍、風險狀況以及所處行業環境等方面,從業務事項的性質和涉及金額兩方面來考慮是否需要和如何實行重點控制。
           
           3、制衡性原則。內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督,同時兼顧運營效率。制衡性原則要求企業完成某項工作必須經過互不隸屬的兩個或兩個以上的崗位和環節,體現不相容職務分離這一最傳統卻又行之有效的要求。
           
           4、適應性原則。內部控制應具有權變和適應性,與企業經營規模、業務范圍、競爭狀況和風險水平等相適應,并隨著企業外部環境的變化、經營業務的調整、管理要求的提高等不斷調整、改進和完善。適應性原則要求企業建立與實施內部控制應當具有前瞻性,適時地對內部控制系統進行評估,發現可能存在的問題,并及時采取措施予以補救。
           
           5、成本效益原則。對于企業而言,一個完善的內控架構應當充分考慮到效率、成本以及實際操作中的若干特性,權衡實施成本與預期效益,以適當的成本實現有效控制。成本效益原則要求企業內部控制建設必須統籌考慮投入成本和產出效益之比。對成本效益原則的判斷需要從企業整體利益出發,某些控制盡管會影響工作效率,但可能會避免整個企業面臨更大損失,這些控制實施還是必須的。
           
           二、內部控制體系建設的步驟和思路
           
           (一)文化認同
           
           企業對內控的認識與接受,往往都要經歷從片面到全面、從被動接受到主動運用的過程。企業內部人員常常認為內部控制是由財務部門負責的,和其他部門關系不大,而事實上,財務部負責的僅是結果的準確性,造成風險或內控失敗的源頭往往在非財務部門。因此,企業施行內控首要的是樹立正確的“內控觀”。同時還要認識到,內部控制體系不是一個與企業現有管理體系不相干的東西,它是對企業現有管理體系的整合、完善,而非否定。企業如果充分理解并運用好內部控制這一管理工具,給企業帶來的收益或防范的風險損失將遠遠超過實施成本。內部控制體系應融入到企業的文化中去,企業領導和員工只有認識到了內控的精神實質,才能積極推動企業內控的有效實施和持續改善,真正幫助企業實現價值的最大化。
           
           (二)現狀評估
           
           建立內控規范體系的企業,可結合內、外部評估,對本企業內部控制的有效性進行評價。筆者所在公司聘請的“立信銳思”是一家在內部控制和風險管理方面具有專業經驗的咨詢公司,該司參照規范要求的內容對本公司內部控制現狀進行了調研和診斷,并對現有業務流程進行了全方位的梳理。通過專業機構分析、評估和自我檢查,公司達到了識別自身內部控制程度,以及存在的主要缺陷和風險的目的。這些風險和缺陷數據庫的建立,為企業建設和完善內部控制體系提供了良好的基礎。
           
           (三)建立團隊
           
           企業應按照《基本規范》要求,明確董事會、監事會及各級管理層在內部控制中的責任,以及審計委員會和內部審計職能的獨立性。建立內控工作組或專職機構,專門負責內部控制在企業內部各部門間的組織協調和日常性事務工作。有些企業出于規范性及效率、成本考慮,也可聘請專業中介機構提供相關服務。內部控制專職機構的職責一般包括:組織開展內控重要性的宣傳和相關培訓,編制內部控制手冊并組織落實;確定業務部門或業務單元在內部控制體系中的權利和義務;指導內部控制與其他經營計劃和管理活動的整合;向董事會及其審計委員會或經理層報告內部控制建設進展情況和存在的問題等。
           
           (四)建立體系
           
           根據風險評估和流程梳理的結果,首先要制定企業層面上的總體內部控制制度規范;編制風險管理和內部控制手冊;制定相應的內部控制具體制度,形成企業內部控制的制度體系,作為企業內控活動的制度依據和指導。其次,設計內部控制程序,如授權、核準、驗證、調節、復核營業績效、保障資產安全及職務分工等,可以借鑒COSO報告的做法,在充分考慮控制要素的基礎上,按照銷售與收款業務循環、采購與付款業務循環、生產與存貨業務循環、工資與薪金業務循環、投資與融資業務循環、資金業務循環等來進行設計,程序制定應考慮突出相互制衡、授權控制等內容,同時要明確重點控制環節、規范流程和便于操作。再有,要建立內部控制措施評價表,推動企業的內部控制體系實現自我評價和更新。
           
           (五)評估改進
           
           內部控制系統的建設實質上是一個持續循環的過程,企業應當建立動態的內部管理評價體系,它包括:內部控制目標的設計、執行、檢查、評估、改進、再設計、再執行、再檢查、再評估、再改進……。可以通過職能部門(內控專職機構)或聘請專業咨詢機構,按照一定的程序和方法,以內部控制制度為基礎,客觀公正地對企業內部控制的健全性、合理性、有效性以及評估期內現行制度的執行情況作出判定,并針對內部控制的薄弱環節發出預警信號,提出合理化建議和整改意見,促使企業不斷增強防范控制風險的能力,提高管理水平和工作效率。“壓力測試”是內部控制評估工作的手段之一,“測試”是“評估”的基礎,是獲取評估證據的重要環節。
           
           三、內部控制的要素
           
           關于內部控制的要素,目前有不同的提法和觀點,歸納起來主要有兩種思路,一是從控制職能角度出發,將內部控制的要素從管理程序進行界定;另一種是從內部控制結構角度出發,將內部控制要素從制度結構進行界定。由此派生出了三要素、四要素、五要素、八要素甚至十要素的各種觀點。它們之間的主要差異在于對要素的內涵和內容的理解不同,對要素項目范疇的界定不同,以及對內部控制系統的理解不同。COSO報告所歸納的內部控制五大要素是:1、控制環境(指組織進行控制所面臨的環境,控制環境影響控制方式與手段的選擇)。2、風險評估(指在組織控制中應能辨認風險因素,并能對風險因素進行評估)。3、控制活動(指能幫助管理層使其指令被執行的政策與程序,包括授權、調節等)。4、信息與溝通(指組織在進行控制過程中應保證信息真實完整,組織內部及外部溝通及時)。5、監督控制(指評價內部控制執行質量的過程)。我國《企業內部控制規范》中提出的五個要素與COSO報告基本接近,它們是:內部環境、風險評估、控制措施、信息與溝通和監督檢查。
           
           內部環境。內部環境是企業建立與實施有效內部控制的重要基礎。企業管理層的態度和治理結構、人力資源政策、內部審計等方面,為內部控制定下了基調。
           
           風險評估。風險評估是企業建立與實施有效內部控制的重要前提。它意味著分析和辨認實現目標可能發生的風險,包含風險辨識、風險分析、風險評價、風險應對的方法和策略。
           
           控制措施。控制措施是建立與實施有效內部控制的重要手段。它是旨在對業務活動中的風險點實施有針對性的控制和確保管理層的指令得以執行,并選擇合適的風險管理工具,提出綜合解決方案和措施的過程。
           
           信息與溝通。信息與溝通是建立與實施有效內部控制的重要條件。它旨在取得及時、準確的信息,并進行有效的溝通,包括建立內、外部信息溝通和反舞弊的機制。
           
           監督檢查。內部監督是建立與實施有效內部控制的重要保證。它包括日常監督和專項監督兩大方面,指的是企業對內部控制工作持續監督、評價、改進和跟蹤的操作規范。監督要著眼于確保企業內部控制的持續有效運作,能夠促使各層次的員工自覺遵守企業的各項內部控制要求,并認真有效地工作,從而促成企業目標的實現。
           
           四、內部控制面臨的一些難點
           
           (一)缺乏文化認同
           
           企業內部尚未完全確立“內控觀”,企業領導和員工沒有真正認識到內控的精神實質,對內部控制的認知不足,缺乏控制文化的指導,加之長期的管理習慣、傳統慣性的作用,把內控視作是一種簡單、機械的約束。內部控制作為心靈需求和保護性制度的文化認同度比較低。
           
           (二)形式主義
           
           為了設計符合《指引》要求的內控制度, 沒有尊重企業既有的治理模式、管理制度和行之有效的管理模式,有的甚至全盤否定企業原有的規章制度,或制定一些表面看起來非常完善,但實際效果卻不理想的內控制度,企業內控僅停留在形式上、紙面上,內控要求得不到有效貫徹和執行。還有一些企業把規章、制度簡單理解為內控,缺乏對內控制度化、流程化、全面化的認識。
           
           (三)成本限制
           
           由于內部控制受到成本因素的制約,管理層在設計和實施內部控制時擔憂如果增加控制環節會增加成本或降低工作效率,從而放棄實施一些內部控制,一些較少發生或不經常發生的經濟業務也不會制定控制制度,當這些經濟業務發生時,由于無法實施控制構成了經營風險和損失。
           
           (四)標準模糊
           
           一些上市公司只是機械地照搬了《指引》中關于缺陷認定的原則性規定,對內控報告中披露的重大缺陷、重要缺陷和一般缺陷具體標準理解出現偏差;內控報告中仍存在較多的“無用”信息,包括內控要素、內控建設的過程和成果等,基本無助于投資者的投資決策,同時也損害了內控報告格式的統一性和內容的可比性。
           
           (五)人為因素
           
           內部控制的設計會受到人員經驗和知識水平的限制,存在一些缺陷;執行人員因對控制責任的誤解,或執行時的麻痹大意、、心存僥幸等,均可使內部控制效力下降和失效。同時,也不排除出現企業領導或員工謀取私利、合伙舞弊等導致內部控制失效的現象。
           
           (六)制度失效
           
          合規內控建設范文第2篇
           
           一、認真學習,提高對合規建設自查自糾活動重要意義的認識
           
           為搞好這次合規建設自查自糾活動,我分行組織全體干部員工認真學習銀監和總行關于“合規建設回頭看”主題活動的精神和要求,統一了思想,提高了對合規建設自查自糾活動重要意義的認識,增強了搞好合規建設自查自糾活動的責任感與緊迫感,要切實按照銀監和總行的精神與要求,認真做好合規建設自查自糾活動,取得合規建設自查自糾活動的實際成效。要通過查找合規建設中存在的問題,采取切實措施加以改進和提高,建立合規建設的長效機制和體制,建設人人遵守的合規文化,樹立“合規經營、協調發展”的經營理念,切實做到合法合規,力爭把我行“建設成為一家具有核心競爭優勢、能夠提供一流金融服務的現代化商業銀行”。
           
           二、精心部署,認真細致搞好合規建設自查自糾活動
           
           為認真細致搞好合規建設自查自糾活動,我分行對合規建設自查自糾活動作了精心部署,周密安排,要求全體干部員工努力按照“合規建設回頭看”主題活動精神與要求,在合規意識、主動識別和管理合規風險情況、與合規風險管理部門的協作機制及推動合規文化建設等方面認真扎實開展自查自糾。并對自查自糾活動提出了三項要求:一是自查自糾工作要認真細致,要一項一項開展,做到自查自糾工作不存在“留死角”和“走過場”,要查深查透,確保符合銀監和總行的要求;二是自查自糾要有工作責任心,認真細致做好自查自糾工作,經得起上級領導部門的檢查,經得起干部群眾的監督;三是落實整改到位,對查出的問題必須分析原因,提出整改措施,落實到位,確保今后各項工作合規合法,切實提高防范金融風險的能力,避免產生各類金融案件。
           
           三、合規建設自查自糾的基本情況
           
           我分行合規建設情況總體較好,全體干部員工具有良好的合規合法意識,能夠按照合規合法的要求,做好各項銀行工作,使得我行隨著改革開放與社會經濟的發展,在營業網點增多,經營規模擴大,產品日益豐富的情況下,沒有發生大的金融風險與金融案件,確保了銀行的平安與快速發展。但是在本次合規建設自查自糾中,也發現了存在的一些不足與問題,主要有四方面問題:一是銀行內控文化還不夠堅強,內控意識和內控文化還沒有滲透到每一位干部員工思想深處,內控還沒有成為每位干部員工的自覺行為,在認識合規操作、學習和理解規章制度、增強執行制度方面有一定差距。二是制度執行力不強,內控體系還不健全完善,少數干部員工存在重業務輕內控思想,在合規建設上說得多,落實少,沒有真正把合規建設作為銀行的頭等工作來抓。三是業務規范化有待加強,雖然我分行沒有重大的違規,但是業務規范化不夠,在細節上存在不足,甚至出現一些低級失誤,如單據填寫不規范等。有些問題以前已經查出來,但未整改徹底,業務規范化還是不夠。四是個別干部員工對自身崗位工作的職責要求還不夠明確,在理解和掌握內控要點上做得不夠,不能及時發現并消除存在的金融風險。對于自查出來的問題,我分行深刻認識這些問題存在的危害性,采取各類有效措施加以整改,要求整改到位,確保整改成效。
           
           四、合規建設自查自糾活動取得的成效
           
           通過合規建設自查自糾活動,我分行增強了合規意識,在加強銀行防范金融風險,促進合規建設方面取得了一定成績,產生良好效果。
           
           1、增強金融風險意識。每個干部員工能夠努力學習,掌握金融風險發生的原因與規律,把警惕風險、正視風險、管理風險、防范風險的意識深入自己的心中,在任何崗位,任何工作中,思想上崩緊安全一根弦,時刻不忘金融風險。
           
           2、提高自身素質。每個干部員工通過認真學習和加強思想道德教育,提高了自身素質,能夠正確對待名利和金錢,嚴于律己,防微杜漸,夯實精神支柱,筑牢思想防線,做到工作上高標準、生活上嚴要求、作風上高境界,杜絕一切社會上的不良行為與腐朽作風。
           
           3、嚴格執行工作制度。每個干部員工能夠不折不扣執行各項工作制度,做到制度上面無商量,制度上面無情面,把合規管理、合規經營、合規操作落到工作實處。
           
           4、認同銀行內控文化。每個干部員工能夠認同我分行的內控文化,把內控意識和內控文化滲透到自己的思想深處,成為自己的自覺行為,深化對合規操作的認識,學習和理解規章制度,增強執行制度的能力和自覺性,形成事事都符合守法合規的工作標準。
           
          合規內控建設范文第3篇
           
           1、公司基本情況
           
           中國光大銀行股份有限公司,簡稱為中國光大銀行、光大銀行(以下稱本行)。本行成立于1992年,1997年1月完成股份制改造,20xx年8月18日成功完成IPO并在上海證券交易所掛牌上市,股票代碼601818。截止20xx年9月,公司資產規模達到16,700億元;截止20xx年底,已在26個省、自治區、直轄市的72個經濟中心城市設立分支機構689家,形成了全國性銀行的經營網絡。光大銀行多年來不斷改革創新、銳意進取,在為社會和客戶提供優質金融服務的同時,取得了良好的經營業績,已成為一家頗具社會影響力的全國性股份制商業銀行和上市公司。
           
           根據《企業內部控制基本規范》的規定,本行通過多年的內部控制不斷實踐,已建立了較為健全的內部控制監督體系。本行董事會負責內部控制的建立健全和有效實施,對內部控制評價報告的真實性負責;監事會對董事會建立與實施內部控制進行監督;高級管理層負責內部控制的實施,組織領導本行內部控制的日常運行。董事會和監事會通過下設專門委員會對本行內部控制體系的建設、執行和完善情況進行監督指導。
           
           為加強內部控制體系建設,本行建立和完善了以股東大會、董事會、監事會、高級管理層為主體的公司治理架構,形成了分工合理、職責明確、制衡有效、報告關系清晰、運行高效的良好公司治理,為內部控制的有效性提供必要的前提條件。董事會下設戰略委員會、審計委員會、風險管理委員會、提名委員會、薪酬委員會、關聯交易控制委員會;監事會下設提名委員會和監督委員會;總行設有資產負債管理委員會等19個委員會,計財部、資金部、投行部等26個部室,以及北京、上海、廣州、深圳等34家分行,本行控股設立了2家子公司,分別是光大金融租賃股份有限公司和韶山光大村鎮銀行股份有限公司。
           
           本行面臨的主要風險包括信用風險、市場風險、流動性風險、操作風險、合規風險、信息科技風險、戰略風險、聲譽風險、銀行賬戶利率風險、集中度風險等。為管理上述風險,本行建立了董事會領導下的職責清晰、分工明確的全面風險管理組織架構,以巴塞爾新資本協議核心原則為導向,借鑒國外先進銀行的實踐經驗,建立并持續完善涵蓋風險識別、評估、計量、監督、報告和控制的全面風險管理體系。
           
           本行各項業務活動嚴格執行授權控制原則,實行統一法人管理和法人授權,明確劃分相關機構部門之間、崗位之間的職責,實行不相容職務分離制度,并按條線和業務類別建立了包括人力資源程序、會計管理、預算控制、財產保護、運營分析、事后監督等全面的控制措施體系。
           
           本行建立了行之有效的信息系統,通過優化OA系統,改造內部局域網系統,建立規范高效的公文流轉機制,做到文件分發急緩有序、傳遞快捷;加強全行檔案規范化管理,加強各類涉密文件、資料的保密管理,加強對全行重大經營管理活動的統一宣傳管理;完善各類會議議事規則和程序;強化各類定期報告制度、重大和緊急情況報告與通報制度,通過多種報告形式,保持內部信息交流與溝通的及時性和有效性,并提高信息傳導和溝通效率,保障決策的科學高效。
           
           各業務條線和職能部門負責內部控制的具體管理和執行,法律合規部負責本行內部控制的監測管理和合規達標的建設推進,內部審計部門負責內部控制的監督評價。
           
           本行通過制度明確了各層級、各部門在內部控制監督方面的職責,對于在內部控制建設實施中發現的重大問題及時上報高級管理層和董事會。總行內控合規預警委員會負責建立并維護全行內控及合規風險管理體系,推進本行內部控制的達標實施;法律合規部作為本行內部控制監測管理部門,負責牽頭內部控制體系的建設和完善,組織督促業務部門和分支機構建立和健全內部控制,及時傳導有關監管部門對內部控制的新要求,推進本行內部控制的有效實施,對業務部門和分支機構的內部控制建設和執行情況進行日常監測,定期向本行內控合規預警委員會匯報全行內部控制建設和執行情況;內部審計部門是內部控制的監督評價部門,負責對內部控制的有效性進行監督檢查,對監督檢查中發現的內部控制缺陷按照內部審計工作程序進行報告,對內部控制的健全性和有效性進行定期評價,牽頭負責全行年度內控控制評價工作;總行各職能部門、各分行、各子公司作為內控體系的第一道防線,負責本單位內部控制的自我建立、健全、監督和檢查,負責落實內控活動的具體實施,并配合內控體系建設牽頭部門、評價部門及外部咨詢機構、審計機構做好內控建設及評價工作。
           
           本行根據國家政策、法律法規、經營環境及全行業務發展的需要對內部控制制度適時進行調整和修改。20xx年度,本行以建立層次分明,結構清晰,系統協調,簡單管用的制度體系為目標,按照嚴密、實際、易記、管用為基本原則,持續開展了內控制度梳理工作。經過一年的工作,26個條線部門均對內控制度進行了全面梳理,累計梳理內控制度1229項,涉及修訂及整合的制度共156項、廢止的制度共152項,各條線部門按照制度梳理方案要求積極將部門制度匯編成冊。本行在開辦新業務、設立新機構、運用新技術時,經營管理部門首先要制定內部控制細則,并經過必要的測試認證、風險評估和會簽,報經主管行領導批準后才能實施。
           
           2、內控規范實施工作組織架構
           
           本行行長為內部控制規范實施工作的總負責人。為有效推動內控規范實施工作,本行成立了以主管副行長為組長,各部門負責人為成員的領導小組,辦公室設在法律合規部和審計部。
           
           總行法律合規部是內部控制體系建設的牽頭部門,總行審計部是內部控制自我評價工作的牽頭部門,總行各部門均指定了部門負責人和工作人員作為項目實施聯系人,董事會辦公室按監管要求披露、報備內控實施工作情況。內控規范實施工作的指定聯系人為法律合規部劉亞平(電話:63639259)、盧樞美(電話:63639249),審計部嚴仲民(電話:63636661)、劉騰慧(電話:63636639),董事會辦公室胡蓉(電話:63636717)。
           
           內控規范實施的日常工作由法律合規部和審計部聯合牽頭,并聘請外部咨詢公司協助實施,總行各部門及各分行積極參與項目實施。為更好地推進項目實施,牽頭部門與外部咨詢公司定期舉行工作例會,對項目進度、相關問題、下一步工作計劃等進行討論協商;同時,牽頭部門根據項目進展情況不定期向管理層進行專題匯報。
           
           法律合規部和審計部為內控規范實施的牽頭部門,相關情況如下:
           
           法律合規部
           
           總行法律合規部是本行內部控制建設工作的牽頭組織部門,下設合規管理處、非訴訟法律事務處和訴訟與仲裁事務處,共有員工14人。法律合規部的內部控制職責主要包括:
           
           及時了解和掌握監管部門對銀行內部控制體系建設的要求,牽頭協調和組織全行內部控制體系的建設和完善;
           
           組織、督促總行各業務條線、職能部門及分支機構建立和健全內部控制;
           
           統一管理各類授權、授信涉及的法律事務,制定和審查法律文本,對新業務的推出進行法律論證,確保各項業務的合法和有效。
           
           對各業務部門和分支機構的內部控制建設和執行情況進行監測和管理。
           
           內部控制規范實施過程中,總行法律合規部牽頭組織內控體系建設工作,包括確定內部控制實施的范圍和內容;梳理風險,編制風險清單;梳理形成風險控制矩陣;編制內部控制手冊等相關工作。
           
           全行就內部控制體系建設工作的匯報主要遵循如下路徑:各條線具體負責本條線內的內部控制建設工作,并將建設結果報送法律合規部審核;法律合規部組織、推進總行各業務條線、職能部門及分支機構建立和健全內部控制,并就全行內部控制建設和執行情況定期向本行內控合規預警委員會匯報。
           
           審計部
           
           總行審計部是全行年度內部控制自我評價工作的牽頭組織部門,下設公司業務審計處、零售業務審計處、財會及資金業務審計處、IT審計處、審計質量控制處,共有員工22名。除總行審計部外,全行還設有北部、東部、中西部和南部4個審計中心,主要負責轄區內分行的審計工作。審計部的內部控制職責主要包括:
           
           內部審計部門應當有權獲得本行的所有經營信息和管理信息,并對各個部門、崗位和各項業務實施全面監督和評價。
           
           開展內部控制檢查,結合內部審計監督,對內部控制的有效性進行監督檢查,對監督檢查中發現的內部控制缺陷,按照內部審計工作程序進行報告,對監督檢查中發現的內部控制重大缺陷,有權直接向董事會及其審計委員會、監事會報告。
           
           對內部控制的健全性和有效性進行定期評價。
           
           總行審計部牽頭組織成立總行內部控制評價工作小組,其在內部控制規范實施過程中是內部控制自我評價工作的牽頭部門,具體職責包括:編制自我評價工作計劃;組織實施自我評價工作;根據內部控制自我評價工作編制內部控制自我評價報告。
           
           全行就內部控制自我評價工作的匯報主要遵循如下路徑:總行審計部按年度形成年度內部控制自我評價報告,經行領導審議通過,報送董事會審計委員會,再提交董事會進行審議批準。
           
           3、內部控制實施工作有關聘請咨詢機構的考慮和計劃
           
           本行為滿足《企業內部控制規范》的合規要求,有效識別存在的內部控制薄弱環節,重新梳理控制領域/業務流程,并建立起科學、合理的內部控制評價體系,已于20xx年9月聘請安永(中國)企業咨詢有限公司開展實施內部控制規范咨詢項目,協助本行推進內部控制管理水平的持續提升。
           
           基于國內外內部控制體系建設和評價的行業實踐以及本行內部控制規范咨詢項目實際情況,從項目實施角度出發將項目實施整體框架劃分為四個階段:第一階段為前期準備與方案設計;第二階段為總行實施;第三階段為分行自我評價;第四階段為整改與報告。
           
           第一階段,建立項目管理架構并啟動項目,制定項目總體實施計劃,梳理本行管理和業務流程,設計內部控制管理體系架構、內部控制自我評價方法,并建設內部控制自我評價工具模板,通過培訓與宣導,協助銀行各實施部門和機構理解內部控制自我評價實施的方法、內容和管理要求。
           
           第二階段,根據第一階段流程梳理成果及所設計開發的內部控制自我評價方法和實施方案,在總行具體實施。具體工作包括:確定企業層面和流程層面的內控評價實施范圍;開展企業層面的內控評價工作;同時開展流程層面的內控評價工作;編制風險控制矩陣;針對企業層面和流程層面識別內控缺陷,在此階段主要針對內控的設計缺陷;針對所識別的內控缺陷,制定整改方案。
           
           第三階段,在分行范圍內組織開展評價測試工作,評估缺陷并擬定整改方案,具體工作包括:編制自我評價工作計劃;設計控制測試的方法和程序;分支機構實施自我評價工作。
           
           第四階段,在各機構自行整改的同時,編制內部控制自我評價報告,具體工作包括:各機構開展缺陷整改工作,編制內部控制自我評價報告,并在匯總整理項目各階段工作成果的基礎上,編制完成內部控制管理手冊和評價手冊。
           
           在安永公司的協助下,本項目將形成以下工作成果:內控控制手冊、內部控制評價手冊和內部控制自我評價報告。截至本報告日,咨詢公司已協助本行完成內部控制手冊(征求意見稿)和內部控制評價手冊(初稿)的編制。
           
           4、內控實施工作進展
           
           自20xx年度內控規范實施項目啟動以來,本行已陸續開展如下工作,并形成相應的工作成果:
           
           (1)內部控制體系建設方面:
           
           一是開展內部控制規范實施培訓。為加強全行上下對五部委下發的《企業內部控制規范》及相關配套指引的學習,以利于項目的有效推進,特召開全行視頻會議,對項目背景、監管要求進行了系統培訓,并就實施工作職責分工、進度安排等方面進行了介紹。
           
           二是確定內部控制規范實施的范圍和內容。根據監管要求,參照本行實際情況,確定內部控制實施的范圍為16個企業層面的控制領域及113個流程層面的流程,并形成了企業層面控制領域清單和流程層面控制流程清單。
           
           三是梳理形成風險控制矩陣。在確定了內部控制實施的范圍和內容之后,針對每一企業層面控制領域和流程層面的流程,分別梳理形成風險控制矩陣并對應至條線部門,并形成了企業層面16個風險控制矩陣和流程層面113個風險控制矩陣。
           
           四是初步識別總行層面設計缺陷。在前期梳理完成企業層面和流程層面風險矩陣的情況下,通過將現有的政策、制度等與風險控制矩陣進行比對,初步識別內控設計缺陷,并形成了內部控制設計發現問題清單。
           
           五是編制內部控制手冊。通過整理內控梳理工作成果,編制形成了內部控制手冊(征求意見稿)。
           
           (2)內部控制自我評價方面:
           
           一是確定內部控制評價測試程序。針對企業層面每一領域和流程層面每一流程,分別設計內部控制評價測試步驟,同時設計針對分行內控評價的測試底稿,形成了企業層面16個領域的測試步驟及底稿模板、流程層面113個流程的測試步驟及底稿模板、分行測試步驟及底稿模板。
           
           二是建設內部控制評價標準和工具。結合本行內控管理現狀和審計部部門資源情況,初步設計建設符合全行情況的內部控制自我評價工具和流程,初步形成內部控制評價手冊初稿。
           
           在上述工作之外,本行的內控規范實施工作尚有如下主要工作未開展:
           
           已發現缺陷的整改與再測試工作;
           
           全行全面內部控制自我評價的實施工作;
           
           依據內控規范和配套指引要求,提交內部控制自我評價報告。
           
           二、內部控制建設工作計劃
           
           XXXX年度本行將繼續鞏固已有內部控制建設工作成果,持續深化內部控制建設進程。
           
           由于內部控制建設的前期工作(包括確定內控實施的范圍和內容,梳理企業層面、流程層面的風險控制矩陣,識別總行層面內控設計缺陷)均已于20xx年度實施完成,因此本部分內容將主要列示XXXX年度的內部控制建設工作任務計劃,主要是內控建設工作中發現的設計缺陷(通過對現有的政策、制度等與風險清單進行比對后發現的內控缺陷)的溝通確認及整改落實工作:
           
           1、總行相關部門確認內控缺陷。主要工作是組織各部門對內控建設過程中發現的設計缺陷進行確認,對于涉及多個部門的缺陷,由各部門協調確認缺陷的負責部門。計劃完成時間:XXXX年3月。責任部門:總行存在缺陷的相關部門。
           
           2、與總行相關部門溝通制定內控缺陷整改方案。相關部門在完成設計缺陷的確認工作后,在咨詢公司的協助下,制定缺陷整改方案,提交內控預警委員會審議。計劃完成時間:XXXX年4月。責任部門:總行存在缺陷的相關部門、法律合規部。
           
           3、總行相關部門根據整改方案著手開展整改工作。相關部門根據缺陷確認結果和整改方案,著手開展缺陷整改工作,并根據整改情況向法規部報送整改進度。計劃完成時間:XXXX年4月-9月。責任部門:存在缺陷的相關部門。
           
           4、根據整改結果更新風險控制矩陣。計劃完成時間:XXXX年12月。責任部門:法律合規部、審計部。
           
           5、按要求報送、披露內控實施工作情況。根據監管部門要求,將本行內控實施工作情況及時向監管部門報送,并按要求完成披露工作。計劃完成時間:按監管要求實施。責任部門:董事會辦公室、法律合規部、審計部。
           
           三、內部控制自我評價工作計劃
           
           XXXX年度的內部控制評價工作任務計劃如下:
           
           1、編制自我評價工作計劃,評價工作的具體時間表和人員分工。計劃完成時間:XXXX年5月。責任部門:審計部。
           
           2、確定內部控制缺陷的評價標準,包括定性標準和定量標準,缺陷分為一般缺陷、重要缺陷和重大缺陷。計劃完成時間:XXXX年5月。責任部門:審計部、法律合規部。
           
           3、組織實施自我評價工作,編制內部控制評價工作底稿。計劃完成時間:XXXX年9月。責任部門:審計部。
           
           4、對發現的缺陷進行評價,編制缺陷評價匯總表,同時提出整改建議,編制整改任務單。計劃完成時間:XXXX年9月-12月。責任部門:審計部。
           
           5、根據內部控制自我評價工作編制內部控制自我評價報告。計劃完成時間:XXXX年3月。責任部門:審計部。
           
           6、按照要求披露內部控制自我評價報告。計劃完成時間:XXXX年4月。責任部門:董事會辦公室、審計部。
           
           四、內部控制審計工作計劃
           
          合規內控建設范文第4篇
           
           關鍵詞:農村中小金融機構;建設;合規文化;
           
           一、引言
           
           在金融業日益發達的今天,銀行業的經營風險日漸嚴重,銀行機構經常發生違規事件,給銀行的聲譽帶來重大損失,令銀行業的信譽度頻遭質疑。若要避免銀行的信用風險、市場風險和操作風險,就應該完全按照《商業銀行合規風險管理指引》的指導精神開展金融機構的合規文化建設。合規:是指使商業銀行的經營活動與法律、規則和準則相一致。合規,是一種融合了文化的企業管理活動,是防范銀行風險的管理技巧,通過合規文化建設,可以構建有效的風險管理框架,可以培養銀行員工指示服從制度、信任不忘制度、習慣讓位制度的合規意識,可以完善操作遵守制度,始終執行制度的合規行為模式。進而可以有效消除銀行機構之中違規違紀、違法案件產生的根源和土壤。在農村中小金融機構,因其機構設置、人員素質、內控建設、業務發展等主客觀因素的制約,違規違紀案件時有發生,構建合規文化顯得尤為重要。
           
           二、合規文化建設不到位的原因
           
           (一)機構設置方面的原因。農村中小金融機構的網點布局原則依然存在著濃厚的行政區域劃分特色,不能適應現代新農村建設發展的需求,網點內部設施較差,自動化辦公程度較低,客戶擁擠,員工勞動強度大。在這種情況下,機構作業流程不能自如應對金融產品、銀行業務、客戶需求對自身的要求,機構在執行制度的過程中,始終處于忙于應付的狀態,不能順暢有效地落實監管職能,結果是經常出現檢查一糾改一再檢查一再糾改的情況。
           
           (二)人員素質方面的原因。目前,農村中小金融機構的業務骨干多數是上世紀80年代入職的員工,其入職時接受的業務教育是計劃經濟專業理論,雖然后來學習并應用了市場經濟理論,但是限于農村金融業務變化緩慢的客觀因素影響,觀念更新速度已經跟不上現代化管理的形勢了。雖然有部分精英員工在經過深造之后又回到了原有機構,對于農村中小金融機構的合規文化建設有一定的促進作用,但是,受周圍封閉、保守、求穩、悠閑的局域文化熏染,限制了他們自主學習、主動改進的積極性,長久以往,代表高水平運作的合規文化建設不能得到貫徹落實。
           
           (三)內控建設方面的原因。計劃經濟時期的背包作業塑造了簡單操作的工作習慣,合規文化建設屬于現代企業精細化管理范疇,當工作習慣與正規化建設發生碰撞的時候,習慣的力量總是容易占上風的,于是,違規操作問題屢見不鮮。 另外,縣城及以下區域的熟人文化氣氛是非常濃厚的,簡化程序、放寬制度審核、礙于熟人關系放松監督力度等違規行為時有發生,當上級監督部門下來檢查工作的時候,問及此類情況,當事人依舊沒有意識到錯誤所在。
           
           (四)業務發展方面的原因。受市場定位和歷史原因的影響,在農村中小金融機構員工隊伍中,帶有與城鎮金融機構完全不同的企業文化特點,一帶一、師徒關系的培育形式注重的是道德良心的培養,在實操程序方面顯得不夠嚴密。這一點即是有點又是缺點。不可否認,在改革開放的初期階段,的確存在著不規范的市場競爭,為了單純的經濟指標,不惜采取違規行為辦理金融業務,對于規章制度和操作流程的執行,上級部門睜一眼閉一眼,具體的業務部門采取打擦邊球的伎倆,明里暗里對抗著內控制度。這種追求短期效益的行為,對金融機構應有的權威性、保障性是一種傷害,對合規文化建設造成嚴重的負面影響。
           
           總之,農村中小金融機構存在于特定的小環境中,員工普遍具有的性格特點與特定的心理特征,對于合規文化建設具有積極性,比如:開朗、豁達、吃苦、頑強等性格;同時,封閉環境下的養成的不自信心理、與時代脫節的自卑感會對不中意的規范要求產生一定的抵觸;純樸的環境、單純的思想會忽視在推進合規文化建設中的失誤與風險。因此,在推進合規文化建設的時候,應采取切實可行的措施。
           
           三、推進合規文化建設的措施
           
           (一)保持渠道暢通,構建長效機制。遵照銀行合規文化建設目標,明確各個層級與部門的組織體系,梳理體系中各個單元,保持溝通渠道的暢通性,利用這個渠道,將制度與流程覆蓋到整個組織體系,形成以客戶為中心、以風險控制為管理脈絡的業務流程。以合規風險的識別評估為源頭,構建后評價制的監測報告制度,采取科學實用的管理措施,落實問題責任制,把合規文化融入到農村中小金融機構的各個管理環節,構建重視流程管理的長效機制。
           
           (二)將合規文化理念融合到日常工作中。員工即是開展工作的執行者,又是建設合規文化的承擔者和實踐者。在建設合規文化的過程中,人的要素是第一位的,脫離的具體的人,所有的工作都將失去意義。為了落實合規文化建設,在員工的思想意識方面,要鼓勵與發揚良好的個人品質,約束并斷除不利于工作的思想認識;在員工的行為舉止方面,要激勵員工加強學習加強訓練,開拓眼界與胸懷,把合規文化理念融合到日常工作中,秉持制度第一的工作作風,樹立程序之上、違者必究,強化盡責者免責.失責者問責的工作意識,全面建設合規文化。
           
           (三)強化管理責任,增強內控建設。歷史經驗告訴我們,所有的監督一旦對上層領導失去威懾力,該項監督必然會逐漸喪失威信,最終變成一紙空文。在建設合規文化的過程中,必須端正內控先行的態度,從理念上推動銀行管理層提高對合規文化建設的認同,從制度上監督銀行管理層對合規文化建設的執行,從企業文化方面突出銀行管理層的表率作用,從而有效帶動銀行員工一起推進合規文化建設。
           
           四、結論
           
           綜上所述,農村中小金融機構合規文化建設的過程必將是一個長期的管理行為過程,在此期間,應該遵守剛性管理制度與柔性企業文化并舉的措施,將正面激勵和負面約束有機地結合起來,才能取得合規文化建設的成功。
           
           參考文獻:
           
          合規內控建設范文第5篇
           
           自國家財政部、保監會等五部委聯合下發《企業內部控制基本規范》和相關的配套指引,以及保監會《保險公司內部控制基本準則》以來,中國平安集團充分利用政府創造的良好環境和強大推動力,將公司的內控體系再次整合升級,并通過深入貫徹落實保監會《基本準則》,將平安內控管理機制深入落實到各業務環節。
           
           目前平安集團保持著健全的公司治理結構和風險管控的三道防線,包括:
           
           第一道防線:業務及管理部門。作為風險管控的第一責任單位,執行公司制定的風險內控政策,并組織開展業務自我改進。
           
           第二道防線:風險內控管理的專業職能部門。合規部、風險管理部、法律部以公司風險內控管理政策為核心,協助各級業務部門和管理職能部門建立風險識別、評估、控制、應對流程,建立各項重大風險預警機制,完善風險指標監測體系和報告機制,并推動整體改進和落實。在具體的內控建設和評價工作中,合規部負責建立全年內控自評計劃,其中包括主數據的維護、風險自評、內控自評和內控測試的工作時間計劃及工作項任務。
           
           第三道防線:監察稽核的職能部門。稽核部門作為相對獨立的部門,對公司風險內控體系和機制的整體運作情況(內控機制的設計有效性和執行有效性)進行獨立評價和報告。
           
           創建平安信賴工程
           
           信用、信譽是金融企業的生命,信心、信賴是金融企業成長壯大的基石。全球金融危機的爆發、蔓延再一次驗證了內控管理對于企業的意義,對以金融服務為業的平安而言,內控管理水平更是能否贏得客戶信賴、能否保證股東利益并確保監管放心的衡量標準。
           
           公司領導明確指出:內部控制管理不是被動地滿足法規的要求,而是公司經營管理的內在需求,內部控制管理也不僅僅可以控制風險,更可以增強客戶信賴,提高老客戶忠誠度,吸引更多的新客戶,促進公司業務發展。
           
           平安根據國家法律法規以及監管要求,結合公司經營管理的需要,確立了以“促進公司三大支柱業務(保險、銀行、資產管理)以及整個集團有效益可持續健康發展”為公司內控與風險管理的長期目標;建立了覆蓋全面、運作規范、針對性強、執行到位、監督有力的合規內控與風險管理體系和運行機制。先進的內控管理機制為公司持續穩健發展提供了保障,為客戶利益維護建立了堅實的保護屏障,為公司戰略有效實施奠定了堅實的基礎。把信賴建立在機制上,把信賴建立在系統、平臺上,把信賴建立在可預期的結果上。
           
           滿足法規只是起點
           
           內部控制“體系是否健全”、“運行是否有效”是平安管理層非常關心的問題,也是即將或準備實施內控體系建設的企業所關心的。根據《基本規范》的要求,企業需要報告和披露在規定時點內部控制運行有效性的評價結果。表面看起來企業只要順利通過會計師事務所進行的內部控制審計就算過關了,但平安管理層確定的內控目標不僅如此,更強調提升內部控制管理的長效機制和持續保證能力,至少應實現以下目標:
           
           順利通過會計師事務所進行的內部控制審計;
           
           形成風險識別、評估和內部控制制度設計、運行及控制效果測試評價的標準流程,并保持動態更新、反復運行;
           
           記錄內部控制管理和維護的過程軌跡;
           
           梳理并分類歸檔內部控制設計及運行有效性的舉證資料,并動態保持其充分有效性;
           
           形成內控風險及缺陷的主動檢視、持續改進、自我完善的運行機制;
           
           實現內部控制評價結果與相關責任人的績效問責考核指標掛鉤。
           
           在構建平安集團合規內控體系的過程中,平安一方面努力加強內部制度和風險內控團隊建設;另一方面充分利用外腦,與國際知名咨詢機構積極合作,借鑒國際、國內先進的風險內控管理方法、成熟經驗和現代化工具。
           
           特別是2008年6月五部委正式《基本規范》后,平安集團管理層非常重視,敏銳地認識到建立健全內部控制體系不僅是監管機構的合規要求,更是獲得客戶信賴,提升公司品牌,提升上市公司外部評價的契機和抓手。認識決定態度,思想決定行動。在對美國薩班斯奧克斯利法案、COSO內部控制以及企業風險管理架構等制度、標準及其實施狀況進行調研的基礎上,結合平安的戰略方向及現實狀況,平安管理層以“務實”、“整合”為核心價值理念,提出“以風險為導向、以制度為基礎、以流程為紐帶、以內控系統為抓手”的26字方針,為整個集團內部控制體系建設明確了“四項基本原則”。
           
           簡單來說,即首先梳理關鍵流程并識別和評估與內控相關的固有風險;其次結合公司各項規章制度及實施現狀,辨識各個流程的關鍵控制活動并固化;然后開展內控自評工作,評估現有內控體系對于上述固有風險管理的有效性,最終得出剩余風險的評估結果。固有風險扣除現有內部控制和管理舉措對于固有風險的緩釋效果后,即為剩余風險水平。對于內控自評發現的內控缺陷,有針對性地彌補內控缺失、進一步完善內控體系,從而將內控相關的剩余風險控制在公司可接受的水平。
           
           以風險為導向
           
           內部控制體系建設需要回答的首要問題是:“控制什么?”,也就是控制目標的問題。不少保險公司在開展內部控制時的一大誤區在于“為內控而內控”,流于形式,眉毛胡子一把抓,沒有對內控風險點進行梳理和分類,最后既浪費了人力、財力,也降低了內控項目的有效性。而“以風險為導向”的理念,則是要明確識別行業及公司內部所面臨的風險點,并對已識別的風險進行評級,同時與現有的控制活動進行匹配,進而評估相應風險點的控制水平。即哪些是不足的?哪些是沒有涵蓋的?不足的或未涵蓋的風險,平安是否能接受?若不能接受,應當如何對控制不足的部分進行強化?如何對尚未涵蓋的部分進行控制?等等。最終把平安的風險控制在可接受的范圍內。因此“以風險為導向”實質在于“為管控風險而內控”,關注“控制有效性”,并通過梳理、提升現有的控制活動,使內部控制與日常管理活動緊密融合,讓業務部門人員作“主角”,內控管理部門作“導演”。
           
           以制度為基礎
           
           平安集團充分認識到現代企業的管理中,制度是核心和基礎。通過制度進行管理,最能體現效率,最能體現統一性和質量標準,因此制度建設是平安內控體系建設的一個重要內容。內控制度并非是現有業務部門日常管理制度的簡單集合,也不是游離于現有業務管理制度之外的一套完全獨立的制度體系,而是對現有業務管理制度補充、完善、整合的過程。制度在企業內部應該只有統一的一套,保持“唯一正確性”,這一點非常重要。平安現已建立并不斷完善內控制度體系,明確各層級的職責定位和工作目標,確定內控工作開展的程序循環。集團合規部牽頭完成平安《內部控制評價管理辦法》和《內部控制自評手冊》,以期建立健全“以風險管控和內部控制評價為導向,以合規、風控等公司制度為核心和依據,以內部控制自評手冊為工具和方法”的內部控制制度體系。
           
           以流程為紐帶
           
           部分企業在進行風險評估時,往往習慣于以部門為單位,殊不知風險的產生和由此帶來的結果往往是疊加的、跨部門的,因為一個完整業務流程的實現是多個部門之間協同工作、相互配合的結果。如果僅從部門的角度看風險,往往看不清楚、看不全面,容易以偏概全,進而影響對風險的評級及相應內控點的識別。平安“以流程為紐帶”將內部控制落實于業務流程的全過程,以流程為脈絡識別風險點,消除了各部門間的壁壘和脫節,避免出現真空地帶,增強了流程的銜接性,也更易于從整體的視角把握企業的風險點。平安在內控評價過程中,涵蓋了絕大部分法人專業子公司及其關鍵業務流程。
           
           以內控系統為抓手
           
           內部控制體系應當以IT系統的建立及完善為基礎。比如內控自我評估,整個過程牽涉面很廣,基本涉及平安所有的業務部門和人員,涉及的數據資料信息量非常大,評估流程管理也很繁雜,若在常態管理中采用手工方式進行,則難度更大。因此平安就有一個非常明確的認識,即需要有系統的支持。對于系統,其基本設想是:其一,要有一個自動工作流的驅動,也就是說每個業務部門的每個業務人員都需要明確自己的角色定位和工作內容,而這些應當通過系統來實現。同時涉及相應的內控節點,該節點的負責人一定要做出反應(采取相應的內控動作,如審批),若在規定的時間內沒有響應,則系統將會觸發郵件提醒。其二,要有一個自動的報表管理功能,既能對內控自我評估過程中的成果進行分門別類的存放,并能按監管要求提供相應的報表。同時亦能定期給高級管理層發送相應的內控報表,報表內容可以包括部門內控管理的實施情況(哪個部門開展了什么工作,還有哪些工作沒有開展),進而可作為內控管理工作得以有效推動的基礎工具。目前平安集團已經建立了內部控制評價管理電子平臺(Risk Integrator,簡稱“RI系統”),該系統主要包括內部控制的管理模塊(ICM)、風險自評模塊(RCSA)、關鍵風險指標模塊(KRI)、損失事件管理模塊(LEM),從內部控制角度對系統分級,明確各層級業務部門、合規部門、稽核部門在系統中的角色定位。今后還將把企業的風險管理、內部控制、合規管理功能在系統平臺上進一步整合。
           
           平安集團在如何把上述的風險和內控管理的整體理念、體系建設和具體的操作步驟逐步固化在系統中做出了初步的嘗試。通過逐步建立和完善一個符合國際最佳實踐的內部控制評價管理電子平臺,運用先進工具和技術支持公司業務發展戰略和業務增長模式。該平臺的內部控制管理(ICM)和風險自評(RCSA)模塊目前已經可以協助公司識別、分析、評估、應對、報告各項風險,并與內部控制相關聯,支撐內控自我評估在平臺上的運行。此外,信息系統平臺還支持平臺進一步建立關鍵風險指標(KRI)量化信息和預警體系,及時發出對重大風險的預警信號;并且利用損失事件管理(LEM)加強對歷史重大損失事件和數據的收集和管理,提升公司預測尚未發生事件之潛在風險的能力。
           
           全員參與、分級實施、逐級匯總
           
           內控項目在開展初期采取“全員參與、分級實施、逐級匯總”的方式,總體安排分為設計階段(確定項目范圍和風險評估)、計劃階段(試點,確定內控自評方法、工具、模板,搭建內控管理電子平臺)、推廣階段(全面推廣)階段。目前,平安已經把這些動作納入了日常常態管理的模式。
           
           項目歷時將近3年,涉及平安集團保險、銀行、投資各板塊多家法人公司及其關鍵業務流程,超過3000名平安員工直接參與了本項目的開展,接受了咨詢公司關于內控方法論的培訓。通過本項目的開展,內控自我評價工作已納入各公司、各部門的日常工作范圍,并設計相應機制促進內部控制活動基于內外部環境的變化而及時進行相應的調整。
           
           項目成果
           
           平安致力于搭建并不斷完善風險管理與合規內控的統一體系,梳理核心業務流程,診斷風險內控缺陷并整改。而在關鍵風險領域,同時有針對性地進行專項應對和深入研究,實現風險管理與內部控制的有效銜接和融合。項目完成了與實現控制目標相關的內外部風險的識別和評估,從定量角度確定了范圍內的各業務流程、機構的固有風險和剩余風險水平,為管理層權衡風險與收益,確定風險應對策略奠定了實實在在的基礎。回顧項目成果,基本可以用“四個一”來概括:
           
           建立了一個體系
           
           平安現已基本建立并不斷完善合規內控管理體系,通過體系的力量推進風險和內控合規“PDCA”管理閉循環,使平安內控管理中心各部門目標統一、高效配合,同時也促進了風險管控三道防線之間的聯動與有效運作。
           
           導入了一套標準
           
           通過內部控制操作標準和相應測試標準的建立,加強了內控評價工作的可操作性,并且促進了公司各業務單元之間的橫向比較和內部對標學習。
           
           完善了一批流程
           
           通過內控評審完善了原有的流程與制度,通過與國內外行業最佳實踐的對比,從提高經營效率效果角度完善了多項內控流程,以緩釋潛在風險,并加以追蹤落實和明確各自的部門責任。
           
           培養了一批人才
           
           通過共同參與項目,培養了平安自己的風險管理和內控的一批人才,這些人將作為平安自己的“火種”,確保了在咨詢公司離開后,平安仍然可以進一步把業已建立的風險內控管理體系長久運作。