风险、合规与内部控制

2 3
4
合规风险控制
3
一、风险、合规、内控
风险：是指对实现保险经营目标可能产生负面 影响的不确定性因素。 风险管理：是指保险公司围绕经营目标，对保 险经营中的风险进行识别、评估和控制的基本 流程以及相关的组织架构、制度和措施。
4
一、风险、合规、内控
合规:是指保险公司及其员工和营销员的保险经营管理 行为应当符合法律法规、监管机构规定、行业自律规则、 公司内部管理制度以及诚实守信的道德准则。 合规风险：是指保险公司及其员工和营销员因不合规的 保险经营管理行为引发法律责任、监管处罚、财务损失 或者声誉损失的风险。 合规管理：是保险公司通过设置合规管理部门或者合规 岗位，制定和执行合规政策，开展合规监测和合规培训 等措施，预防、识别、评估、报告和应对合规风险的行 为。
25
二、内部控制体系的组成
5.内控报告体系
报告类别：财务报告、业务报告、内控评估报告、风险
管理报告、合规管理报告等所有报告； 报告报送对象：经营层、董事会、监管部门、社会； 对内报告、对外报告； 报告的目标：可靠性（真实、准确、完整） 合规性（符合法律、监管规定）
26
1
风险、合规、内控 内部控制体系的组成 合规要点及案例
22
二、内部控制体系的组成
2.内控制度体系Ⅳ
（5）复查核对控制。为了保证业务、财务信息的可靠性，对业 已完成的经济业务记录进行复查核对，以免发生差错和舞弊。 （6）人员素质控制。内部控制制度实施是否有效，要取决于实 施人员的素质。人员素质的控制，除了对人员本身素质有良 好的思想品德和职业道德、较高的业务素质和专业技能、较 广博的知识水平等提出较高要求外，还应对人员的选择、使 用和培训采取一定的措施和办法。 （7）责任追究控制。对于未按照制度执行的行为，应该进行责 任追究，给予一定的处罚，这一点在制度中一定要体现，不 然制度将形同虚设。
风险、合规与内部控制
前 言
2007年，中国保监会出台了《保险公司风险管理指引》要求 保险公司应当明确风险管理目标，建立健全风险管理体系，规 范风险管理流程 ；
《保险公司合规管理指引》要求保险公司的经营管理活动要在 符合法律法规、监管机构规定、行业自律规则以及公司内部管 理制度等方面要实施专职管理，以预防和化解风险，每年要向 保监会报送合规管理报告，这预示着监管部门对保险公司合规 管理工作越来越重视；
6
一、风险、合规、内控
《保险公司风险管理指引》 《保险公司合规管理指引》 《企业内部控制基本规范》
覆盖所有业务流程和操作 环节 持续监控、定期评估和准确 预警 完善合规管理组织体系 建立健全规章制度 提高经营效率和效果 资产安全 财务报告及相关信息真 实完整 合理保证经营管理 合规 促近企业实现发展战略
2 3
4
合规风险控制
27
三、合规要点及案例
公司重点识别、评估和监测以下事项的合规风险：
（一）业务行为，包括广告宣传、产品开发、销售、承 保、理赔、保全、反洗钱、客户服务、客户投诉等； （二）资金运用行为，包括担保、融资、投资等； （三）机构设立、变更、合并、撤销以及战略合作等行 为； （四）公司内部管理决策行为和规章制度执行行为；
11
一、风险、合规、内控
1、内部控制与全面风险管理的联系： （1）内部控制是全面风险管理的必要环节，内部控制 的动力来自企业对风险的认识和管理。 （2）全面风险管理涵盖了内部控制。 2、内部控制与全面风险管理的差异： （1）两者的范畴不一致。 （2）两者的活动不一致。 （3）两者对风险的定义不一致。 （4）两者对风险的对策不一致。 公司发生的合规风险与内部控制缺陷有着必然的联系， 而内控缺陷或风险事项不一定都是违规的。
即：股东会通过监事会对董事会实行内控，董事会通过 内部审计对总经理及其他管理者实行内控。
19
二、内部控制体系的组成
2.内控制度体系Ⅰ 内部控制制度是指一个公司的各级治理部门，为了保 护经济资源的安全完整，确保经济信息的正确可靠， 协调经济行为，控制经济活动，利用公司内部分工而 产生的相互制约、相互联系的关系，形成一系列具有 控制职能的方法、措施和程序，并予以规范化、系统 化，使之组成一个严密的、较为完整的体系。 健全的规章制度和完善的操作流程，是内控体系的重 要组成部分，能有效地防范风险。
风险评估
控制活动
风险评估是企业及时识别、系统分析经营活动中与实现内 部控制目标相关的风险，合理确定风险应对策略。
控制活动是企业根据风险评估结果，采用相应的控制措施， 将风险控制在可承受度之内。 信息与沟通是企业及时、准确地收集、传递与内部控制相 关的信息，确保信息在企业内部、企业与外部之间进行有 效沟通。 内部监督是企业对内部控制建立与实施情况进行监督检查， 评价内部控制的有效性。发现内部控制缺陷，应当及时加 以改进。
20
二、内部控制体系的组成
2.内控制度体系Ⅱ 内部控制制度的内容包括以下几个方面： （1）合规、合法性控制。建立和健全内部控制制度必须符 合国家财经政策和法规制度，即每一项经济业务恬动 必须在合规、合法的范围内开展。 （2）授权、分权控制。现代企业规模不断扩大，生产环节 日益增多，业务种类纷繁，作为企业高层领导不可能 事必躬亲，因此，必须将事权进行合理划分，对下级 授权、分权。在授权、分权范围内，授权者或分权者 有权处理有关事务，未经批准和授权，不得擅自处理 有关事务。
持续改进 和完善
内控过程
内控执行结果 对进行监督
对内控缺陷 进行纠正
内控评估 和责任追究
15
1
风险、合规、内控 内部控制体系的组成 合规要点及案例
2 3
4
合规风险控制
16
二、内部控制体系的组成
内部控制体系是指基于控制环境、风 险评估、控制活动、信息与沟通、内 部监督五要素，在组织、制度、运 行、监督和报告等方面进行的整体安 排和系统架构。
设立风险管理部门 制定风险管理政策
制定风险解决方案
广泛搜集信息 识别和分析风险
风险管理
选择风险管理工具 合理确定风险限额
统一制定各风险 的度量单位和风险 度量模型
14
一、风险、合规、内控
内部控制过程 内部控制是一个动态的过程，是实现目标的手段，
是对组织目标实现的相对保证。该过程包括：
制定有效的 内控制度 确保内控制度 有效运行
2008年6月28日，财政部等五部委联合印发了《企业内部控 制基本规范》并于2009年7月1日起在上市公司范围内施行，鼓 励非上市的大中型企业执行。财政部出台的《企业内部控制基 本规范》为企业加强和规范内部控制、提高经营水平和风险防 范能力提供了完整和公认的框架。
2
1
风险、合规、内控 内部控制体系的组成 合规要点及案例
12
一、风险、合规、内控
风险管理
战 略 风 险
保 险 风 险
市 场 风 险
信 用 风 险
操 作 风 险
合 规 风 险
运 营 风 险
财 务 风 险
健全的有效的内部控制体系
13
一、风险、合规、内控
风险管理过程 风险管理是风险面临者进行风险识别、风
险估测、风险评价、风险控制，以减少风险负面影响 的决策及行动过程。
原
充分有效与成本控制相统一 独立性原则 制衡性原则
则
适时性原则 适应性原则 成本效益原则
8
一、风险、合规、内控
风险管理
内部环境 目标设定
内部控制
内控环境
要
事件识别 风险评估 风险对策 控制活动 控制活动 信息与沟通 监督
9
素
风险评估
信息与沟通
监督
一、风险、合规、内控
内部控制五要素
内部环境
内
容
内部环境是企业实施内部控制的基础，一般包括治理结构、 机构设置及权责分配、内部审计、人力资源政策、企业文 化等。
（五）其他可能引发合规风险的行为。
28
机构建设的合规要点
机构设置 机构变更 机构撤销
1．严禁未经监管部门 批准擅自设立或者变 相设立分支机构。 2．在法人机构住 所地以外的省、自 治区、直辖市未设 立分公司不得开展 业务。 3．不得超范围经营 或变相经营保险业务。
1. 法人机构改变组织形式、 变更注册资本、分立或合并、 变更出资人或者转让股份、变 更公司名称、修改章程、 调整业务范围、变更营业场 所必须经监管部门的批准。 2．分支机构变更营业场所要 经过监管部门批准。 3．保险机构变更名称、合并 分支机构后，要在规定的时 间内向监管部门报告。 4．法人机构发生涉及保 险许可证记载事项的变更， 要按照规定更换许可证。
17
二、内部控制体系的组成
内控组织体系 内控制度体系 内控运行体系 监督和评价体系 持续改进和完善 内控报告体系
18
二、内部控制体系的组成
1. 内控组织体系 对经营者的控制不但要有以资本市场、产品市场以及法 律规章制度为主体的外部控制机制，而且要有以董 事会、监事会、审计委员会为主体的内部控制机制。 我国《公司法》规定董事会在公司管理中居于核心地位， 董事会应对公司内部控制的建立、完善和有效运行 负责，这样能够形成以董事会为中心相互制约、相 互联系的严密内控系统。
24
二、内部控制体系的组成
4.持续改进和完善
一是对内部控制体系本身进行跟踪和改进，内部控制是一 个动态的过程，应该随着国家法律法规的增减或修订 变化、监管制度变化、市场变化、公司经营范围变化 以及操作流程变化而进行实时的改进和调整，这就要 求企业建立一套改进和完善机制，以适应这些变化。
二是对发现的内控缺陷进行改进和完善，并对改进过程和 结果进行跟踪。
23
二、内部控制体系的组成
3.内控监督和评价体系
监督机制的建立要注重自我监督与独立评估并重 各级管理层首先应在日常的经营管理过程中注重对内部控 制有效性的监督，如果发现错误、舞弊等异常情况，不 仅要就事论事的加以处理，还必须考虑其中是否隐含了 内部控制出现漏洞的信号，查漏补缺。 建立和完善内部审计职能，内部审计人员的责任不再局限 于监督企业的内部控制是否被执行，而是通过独立的检 查和评价活动，针对内部控制的缺陷、管理的漏洞、提 出确实可行的建议和措施，促进管理层进一步改善经营 管理，提高企业的综合实力。
是指识别可能对公司的目标达成产生影响的潜在事项，包括代表风险 的事项和代表机会的事项，以及可能二者兼有的事项。
风险评估是指公司对已识别的风险进行分析，以便形成如何对其管理 的依据。 是指选择和确定应对风险的工具，包括规避、承担、降低和分担风险。 控制活动是企业根据风险评估结果，采用相应的有效的控制措施，将 风险控制在可承受度之内。 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息， 确保信息在企业内部、企业与外部之间进行有效沟通。 内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部 控制的有效性。发现内部控制缺陷，应当及时加以改进。
10
Hale Waihona Puke Baidu
信息与沟通
内部监督
一、风险、合规、内控
风险管理八要素
内部环境 目标设定
内
容
内部环境包含主体的风险管理理念、风险容量、董事会的监督、人员 的诚信、道德价值观和胜任能力、管理层的职责分工和权力分配等。 是指设定公司的总目标，包括战略目标、经营目标、报告目标、合规 目标等四大类。
事件识别
风险评估 风险对策 控制活动 信息与沟通 内部监督
5
一、风险、合规、内控
内部控制：是由企业董事会、监事会、经理层 和全体员工实施的、旨在实现控制目标的过程。
控制方法：采取手工控制与自动控制相结合、 预防性控制与发现性控制相结合的方法，运用 相应的控制措施，将风险控制在可承受度之内。 控制措施：不相容职务分离控制、授权审批控 制、会计系统控制、财产保护控制、预算控制、 运营分析控制和绩效考评控制等。
目 标
业务发展与风险管理平行 推进
有效识别和化解合规风险
保证风险管理的独立性和 客观性
实现适当风险水平下的 效益最大化
保证公司运营安全 提升公司价值
7
一、风险、合规、内控
《保险公司风险管理指引》 《保险公司合规管理指引》 《企业内部控制基本规范》
全面管理与重点监控相统一 独立集中与分工协作相统一 全员参与原则 各司其职原则 全面性原则 重要性原则
21
二、内部控制体系的组成
2.内控制度体系Ⅲ
（3）不相容职务控制。建立内部控制制度，必须对某些不相容 职务进行分离，即分别由两人以上担任，以便相互核对、 相互牵制，防止舞弊。例如，授权批准职务与执行业务职 务相分离；业务经办职务与审核监督职务相分离；业务经 办职务与会计记录相分离；业务经办职务与财产保管职务 相分离；财产保管职务与会计记录相分离。 （4）业务程序标准控制。对每一项业务活动，按授权、主办、 核准、执行、记录和复核六个步骤建立标准化业务处理程 序，不仅有利于使实际业务活动按照事先规定的程序进行， 而且有利于对实行业务活动进行事前、事中和事后的衔接 核对。