“三位一体”的特色内控体系为平安保驾护航

“三位一体”的特色内控体系为平安保驾护航

中国第一家股份制保险公司，第一家引进外资的保险公司，第一家聘请国际会计师按国际标准审计的保险公司……中国平安保险(集团)股份有限公司(下称‚平安‛)在我国金融类企业中拥有很多‚第一‛，而在构建企业内控体系方面，平安同样‚先知先觉‛，许多创新理念和实践也引人深思。

平安合规部副总经理张云平引用董事长马明哲的话诠释了平安在风险管理与内部控制方面的理解与实践：‚要建设国际领先的综合金融集团，保持公司可持续、快速、健康地发展，构建一个国际标准的风控平台和现代企业的公司治理制度，是实现这一战略目标的基础和保障。它让平安更经得起各种风暴的洗礼、检验，让平安更加成熟、茁壮成长，成就全体平安人‘综合金融、百年老店’的共同夙愿。‛因此，平安以‚促进综合金融战略目标的顺利实施及有效益可持续健康发展‛为目标，构建了‚三位一体‛的特色内控体系。

风险的事前策划应对

合规部门不能只是揭示风险和问题，更重要的是与业务部门一起，寻找最佳的解决方案‚合规部门掌握风险管控的

技术，业务部门更熟悉流程和具体的业务操作，合法合规、风险管控不仅仅是合规部门或内控部门的事情，只有人人参与、真正地融入到业务和流程中，风控体系才是有效的、可靠的。‛平安的合规部门有明确的职能定位，张云平告诉记者，合规部门不能只是揭示风险和问题，更重要的是与业务部门一起，寻找最佳的解决方案。

涉及平安的各种新制度、新业务、新产品、新流程，在实施、运行前都要经过合规部门的评审，合规部门也会参与到一些重要业务项目的策划过程中，尽量在方案或计划设计之初就对风险进行识别与评估，以尽早解决和防范。‚但是，这绝对不是一项挑剔找茬、死搬硬套或形式主义浓厚的工作。‛张云平说。

在平安，合规管理的核心是‚合规律‛管理，具体表现为三个层次：第一个层次是‚合规制‛管理，维护基本秩序，重点是遵循各项法律法规的要求，避免触犯强制性底线要求;第二个层次是‚合规则‛管理，协调利益关系，重点是信守合同、行业自律规则和其他社会公约、道德规范，恪守企业道德诚信准则，在制度与规则的设计下，让企业能够很好地处理与他人的关系，尽可能避免各种纠纷;第三个层次是‚合规范‛管理，是在前两者基础上，不断探寻最佳实践、创建标准，追求最佳效果，促进持续发展。

显然，合规管理在平安绝不是简单的违规管理，也不仅仅充当是否合规的‚评判者‛或者‚把关者‛。合规部门通过参与制度和规则的设计，力图让每个员工都能够更顺利地实现工作目标，同时也可以促进员工自身职业生涯的安全与更好地发展。

‚我们肩负的重要责任实际上就是‘把最好的方案找出来’，协助业务部门不断改进与优化流程和做事情的方法，提炼、固化为统一的标准模式和制度，这样，低层次的合规问题也就自然解决了。‛张云平说。

值得注意的是，在‚事前‛阶段，风险管理部门和稽核监察部门也会提供大量的风险数据协助合规部门做深入的风险原因分析，特别要找到制度、规则或流程设计方面的缺陷，推动持续改进和完善。

风险事中监测预警

平安推动风险评级结果直接与管理层绩效考核挂钩。这种考核压力下，管理层会关注月度、季度风险指标，达到人人参与、内控与业务的融合事中，平安强调单个风险和累积整体风险的动态量化管理与控制，达到各种不断变化下的环境压力测试安全标准。

在平安整个内控体系中，风险管理部门提供标准和方法来识别和评估风险，用统一的语言来量化风险，进行风险的并表管理。当然，平安会针对保险、银行、投资等不同业务类型量身定做风险指标。

就内控评价工作而言，风险管理部门会运用一套专业的技术手段来掌握各个子公司及其分支机构的固有风险，同时合规部门会组织业务部门进行内部控制的自我评价，两方面综合之后得出剩余风险。

‚以上所做的一切可以很好地为公司的经营管理提供参考和决策支持。风险管理部门会匹配监管部门规定的指标与这些剩余风险数据和其它风险数据一起进行比对分析和评级，形成风险报告，然后，各系列高管可以掌握所负责领域的各层级的风险状况了。‛张云平非常清楚风险管理部门的作用。

最绝的是，平安推动风险评级结果直接与管理层绩效考核挂钩。

‚将风险评级结果与绩效挂钩，是风险管理与内部控制的核心驱动力，让各个管理层都重视风险管理，促进经营管理水平不断提高。‛张云平说，在这种考核压力下，管理层会关注月度、季度风险指标，为了降低问责风险，风险管控

责任就会自动进行逐级分解，达到人人参与、内控与业务的融合，最终确保整个集团的健康持续发展。

从客观上来讲，将风险管理责任引入绩效考核，有利于避免过去仅对业绩考核可能出现的单纯业务导向，让考核体系显得更加公平，避免出现业绩好，风险大，企业不能持续发展的问题。

对风险事后监督报告

稽核检查的目的不光是责任追究，更是在探索建立平安案件预警机制，避免缺陷升级为案件‚越战中的覆盖式轰炸，成本高，效率低;海湾战争中精确定位，成本低，效率高。所以平安采用‘远程全面监测，现场重点检查’的精确稽核模式。‛张云平的类比十分贴切。

风险管理部门归集的风险数据提供给稽核监察部门选择管控重点，而不是对不同的单位和业务都采用统一的稽核方案。而且，跟传统稽核检查不一样的是，平安改进了常规稽核模式，能够在非现场做的检查就尽量不去现场做，比如数据分析。那些非到现场才能完成的检查，才作为现场工作任务内容。

在去现场检查之前，稽核监察部门总是会把分析性测试做在前面，而且，稽核小组通常会先同合规部门沟通，确保稽核方案的重点准确。

目前，平安更多借助IT手段开展稽核工作，根据以前稽核结果进行‚发现项分析‛，包括一般发生问题都有哪些方面的表象，会有哪些方面的信号，IT稽核人员都会把这些表象和信号设计成脚本放到IT系统数据中去筛选，然后将异常数据交基层稽核人员到业务端进行核查。

可以说，通过IT系统，能够减少很多现场稽核检查的工作量，还可以集中力量管控重点领域。根据稽核结果，涉及违规的，平安将对责任人进行‚红黄蓝牌‛处罚，包括批评、警告、记过、降职、撤职、辞退等。而且，这种问责已逐渐系统化，单向违规处罚向综合内控问责的转变。如果内控评价不合格，各单位和各部门相关负责人就会被问责。

监管也在推动行业形成防控违规的合力，营造合法合规经营的环境，如《保险机构案件责任追究指导意见》就明确规定‚相关责任人已经调离原工作岗位的，由发案保险机构追究其案件责任，并将处理决定通知其现工作的单位;对不能通知的，由作出处理决定的保险机构将处理决定予以公告。被处罚人在整个保险行业都将受到区别对待。