《中国会计报》:中国人寿的内控建设秉承哪些理念?如何将这些理念转化为执行力实现风险管控?夏智华:中国人寿的内控体系建立主要经历了4个阶段,分别是404条款遵循项目管理阶段、404条款遵循日常化管理阶段、建立执行内控标准阶段和全面评估阶段。贯穿这4个阶段期间的,是一条清晰地脉络,就是从对内控合规性的遵循,到现在对管理型内控的建设,再到追求价值型内控理念的提升。
我们按照经营运作流程建立了由四道防线组成的内控与风险管理运行体系,内控与风险管理部门处于第三道防线。前两道防线分别是由公司各级“销售及销售督察部门”和“运营管理部门”组成,对销售过程各环节的风险以及运营过程中面临的风险进行管控。
作为第三道防线,公司各级内控与风险管理部门,主要通过综合运用公司层面评估、流程层面测试、合规检查等方法,及时发现和总结梳理前两道防线在制度设计、遵循执行、互动合作和风险控制方面存在的问题、矛盾、缺陷和漏洞。通过采取完善制度、强化遵循、考核激励和责任追究等措施,弥补缺陷、堵塞漏洞、防范风险、减少损失。
最后一道防线是由公司各级审计、监察等部门组成,通过各类审计、监察活动对本公司的风险管理与内控合规状况进行再评价,并对违法违规人员进行处理。
从制度建设方面,根据公司最新的制度管理规定,各部门制定的规章制度等均需会签内控与风险管理部门征求意见。
在公司的信息系统建设方面,公司在建立新一代财务系统的过程中,内控与风险管理部门在系统建设初期就参与其中,对信息系统需应对的风险以及有关系统控制能否满足内控的需要提出建议。
在制度执行过程中,一旦发现可能导致内控失效或风险失控的情况、事件、案情等,内控与风险管理部门将及时对相关部门或分支机构进行风险提示,同时发起并督导整改工作。
近年,我们的内控评估工作进一步扩大到了县级公司。2009年上半年我们做了县支公司内控评估试点,2009年下半年在300余家县支公司全面推开,今年开展县支公司内控评估整改月活动,针对之前发现的问题进行集中整改,而且今后我们还要进一步开展县支公司的内控评估工作。
《中国会计报》:中国人寿具有那些独特的内控文化?夏智华:我将中国人寿的内控文化特色总结为内嵌式、全员化和创新性。
内嵌式主要表现在内控与风险管理体系与公司的经营管理环节息息相关。公司拟定的《内控执行手册》涵盖各层级单位、各条线渠道的风险控制点以及对应的控制措施,这些控制措施都是从公司实际的经营流程中提炼出来的具有风险防范能力的操作步骤,是公司经营管理具体环节的展现。
另外一个特色就是全员化。从2008年开始,公司就以内控标准体系为依托深入开展了内控标准执行工作:通过会议、培训、内控标准知识考试等多种手段向全系统员工宣导内控标准体系和内控与风险管理理念;层层分解落实内控标准,做到一岗位一手册,有效提升公司员工的业务水平和内控意识;建立“内控标准执行承诺机制”要求包括各级公司管理人员在内的所有公司员工对履行自身控制责任以及做好内控标准执行工作进行承诺和声明。
还有一个特色就是步步深入,不断创新。公司自上市以来,内控与风险管理工作从404条款遵循合规达标到拟定《内部控制执行手册》再到符合A股内控评估的要求,直到今年,为更好地履行风险管控职 能,公司组织开展内控专项评估工作,从控制设计层面对公司的部分流程进行梳理与分析,都体现出了公司内控文化的这一特色。
《中国会计报》:中国人寿将成为企业内控规范体系的第一批执行者,为此,中国人寿做了哪些准备?夏智华:为了真正贯彻落实好这部“中国的萨班斯”,我们做了详细的工作计划和充足准备。
自2008年起,公司就已开始遵循《企业内部控制基本规范》,并对外出具A股项下的内控自我评估报告,这已经为我们进一步贯彻执行更为细致而深入的《企业内部控制配套指引》提供了良好的平台和基础。
为了能在2011年1月1日前满足《企业内控配套指引》的要求,我们制定了相关的工作计划。
首先是宣导培训,营造良好的控制环境。我们准备将企业内控规范纳入到公司党委中心组学习内容,请财政部专家授课,对总公司管理人员和各级分公司管理人员进行培训。
其次是开展对标,做好实施前的各项准备工作。将企业内控规范与我公司内控与风险管理体系进行对比,根据企业内控规范的要求,进一步完善我公司的管理制度,并以《内控执行手册》为媒介,通过对手册的修订将企业内控规范的要求转化为公司的内控体系。
再其次是强化执行,检查验收贯彻执行工作质量。我们将下发由于实施企业内控规范而补充修订的控制措施清单,要求各级公司各部门按照内控标准执行工作的方式方法进行分解落实并执行,之后由各级内控与风险管理部门对补充修订的重点控制措施开展内控评估,确保贯彻执行工作落实到位,取得良好效果。
当然,除此以外,我们还将根据监管部门对企业内控规范的不断细化和补充,对我们的工作进行跟进和完善,与时俱进。