中国人寿系统内控大纲(摘要)
前 言
2007年以来,中国保险监督管理委员会相继出台了《关于规范保险公司治理结构的指导意见》、《保险公司内部审计指引》、《保险公司风险管理指引》等一系列文件,对保险公司的风险管理和内部控制建设提出了更高、更明确、更具体的要求。今年6月28日,财政部、证监会、银监会、保监会、审计署等五部委联合发布了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。这些都对企业内部控制建设提出了更为明确和严格的要求,将内部控制建设提升到更加突出的位置。中国人寿在建设国际顶级金融保险集团的进程中,杨超总裁提出了建设“实力雄厚、管治先进、制度健全、内控严密、技术领先、队伍一流、服务优良、品牌杰出、发展和谐”的公司治理目标。围绕这一目标,积极推进内部控制建设,成为全系统在完善公司治理,防范金融风险方面的重要任务。
近年来,集团公司及各成员单位积极探索和加强内部控制建设。各单位在健全制度、再造业务流程、梳理风险点、优化防范操作规程等方面做了大量的工作,在此基础上,集团公司编制了《内部控制指引》、《内部控制制度汇编》,寿险股份公司编印了《内部控制手册》,资产管理公司编制了《内部控制流程汇编》等,各单位初步构建了各自的内部控制系统,管理基础逐步增强。
但是从整个集团的角度看,各成员单位内部控制和风险管理的水平参差不齐,有的还处在起步阶段,既缺少全系统统一的内部控制平台,也缺乏统一的标准和控制要求,相互之间连接也不够紧密。因此,必须按照公司发展战略要求,建立覆盖全系统的内部控制框架和内部控制体系,实行全面风险管理。
2008年初,集团公司启动了《中国人寿系统内部控制大纲》(以下简称《大纲》)的编制工作,经集团公司和各成员单位参与编写人员的努力,形成了这本《大纲》。《大纲》涵盖了中国人寿集团目前涉足的寿险、财产保险、企业年金、资产管理、实业管理等主要经营领域,对全系统140个重要的业务和管理流程进行了梳理和优化,全篇共包括12部分,约15万字。每一部分按照控制目标、控制流程、风险控制点、控制措施、控制制度、检查与调试等6要素展开,为内部控制的4个目标,即战略目标的实现、经营的效果和效率、财务信息的可靠性以及法律法规的遵循提供服务。由于中国人寿系统各直属单位有各自的经营和管理特点,《大纲》没有将控制环境作为单独的一个部分。《大纲》第2部分集团管控系统、第8部分人力资源管理系统、第12.2治理结构等内容都是中国人寿内部控制环境的组成部分。
《大纲》体现了以下几个特点:一是在继承的基础上努力实现创新。《大纲》吸纳了中国人寿系统内部控制建设前期已经取得的成果和经验,同时将COSO报告中关于内部控制框架和全面风险管理框架的理论与中国人寿的实际相结合,确定了中国人寿系统内部控制框架为“四目标、六要素、十二模块”。二是《大纲》不拘泥于某一固定模式,而是吸纳现代审计理念,根据公司的经营特点,建立以风险管理为导向的控制模式。三是《大纲》包涵了公司目前主要的经营范围和重要业务,明确了各项风险的控制主体,也根据不同的控制主体汇编了不同的控制流程,适合成员单位在实践中遵循。四是《大纲》在风险的控制上突破了仅限于会计控制的局限,从公司治理和战略管理的高度,拓展到全面控制,丰富了控制的内涵,符合现实需要,体现了中国人寿在内部控制建设中积累的丰硕成果。
《大纲》为全系统的内部控制建设提供了基本的框架、原则和方法,是中国人寿系统内部控制建设的指导性文件。《大纲》并没有详细描述所有直属单位内部控制的全部内容,给各直属单位留有拓展的空间,同时,各部分的控制流程图没有细化到所有的流程,只提供了样板模式,各单位在操作中可进一步细化。各单位应根据监管要求和公司治理需要,从本单位实际出发,参照《大纲》,建立符合本单位实际、涵盖本单位分支机构的内部控制体系,并把内部控制的各项要求落到实处,以保障公司持续健康发展。
构建中国人寿风险控制体系是一项系统工程,不可能一蹴而就,需要我们用于实践,不断创新,随着公司的发展,在实践中日臻完善。内部控制是一个持续改进、不断完善的过程,各直属单位应注重加强对内部控制的持续评估,及时发现问题和缺陷,通过持续整改,不断提高全系统的内部控制水平。
内部控制要发挥作用,关键在执行。各单位在强化执行力的同时,要加强内部监督,建立健全奖惩机制,确保内部控制执行的有效性。
1.中国人寿系统内部控制基本原则、目标和标准
1.1中国人寿系统内部控制指导思想
深入贯彻落实科学发展观,以中国人寿整体发展战略为指导,紧密结合集团实际,构建科学、有效的内部控制体系,切实加强风险防范与内部控制建设,为集团持续健康发展提供坚实的基础与保证。
1.2中国人寿系统内部控制主要目标
积极推进中国人寿内部控制体系建设,努力构筑“体系完善、手段先进、运行有效、管控有力”的内部控制体系,将风险控制在合理范围之内,逐步建立起内部控制的长效机制,为公司实现以下目标提供合理的保证:
1.战略目标的实现。
2.经营的效果和效率。
3.对外报告及业务记录、财务信息和其他管理信息的可靠性。
4.相关法律法规的遵循。
1.3中国人寿系统内部控制基本原则
1.严格遵循法律法规。
合法合规是中国人寿内部控制建设的基本原则。内部控制建设要遵循所有适用的法律法规和集团内部的各种规章制度。
2.服务国际顶级战略目标。
在内控体系建设上,重点借鉴国际上已经较为成熟的相关理论和技术,包括国际核心监管原则和指引、前沿的研究成果、前沿风险管理技术等,为打造国际顶级金融保险集团提供内部控制保障。
3.深入结合公司实际。
内控体系建设要与中国人寿具体实际紧密结合,不断探索适合集团的管控机制、方式和措施,各直属单位建立并完善适合本单位经营管理特点的内部控制体系,在实践中创新,在创新中完善。
4.以风险为导向,以全面风险管理理念贯通内部控制建设。
内部控制目的是为了提高效率,防范风险,保障公司健康发展,因此,需要把风险导向的理念与内部控制融会贯通。风险导向不仅作为一个概念,还需体现到控制目标、控制流程、控制措施、控制制度、控制点、检查与调试等内部控制的各个要素中,确保内部控制切实发挥防范和化解经营风险、管理风险的作用。
1.4中国人寿系统内部控制主要框架标准
借鉴国际先进理念和技术,结合本系统实际,中国人寿系统内部控制采用“四目标、六要素、十二模块”的标准。“四目标”分别为企业战略、经营目标、报告目标和合规目标。“六要素”分别为控制目标、控制流程、风险控制点、控制措施、控制制度、检查与调试。“十二模块”分别为中国人寿系统内部控制基本原则、集团管控系统、寿险业务系统、年金业务系统、财险业务系统、资产管理系统、实业管理系统、人力资源管理系统、财务管理系统、信息管理系统、监控系统、内控运行机制。
1.控制目标
主要描述内部控制需要达到的目标,包括:此项工作对于公司经营管理、部门职责所要实现的目标、保证此项工作符合监管要求、控制此项工作开展过程中的潜在风险等。
2.控制流程
对现有工作流程进行梳理,并从提高工作水平、防范金融风险的角度出发,对工作流程进行优化。主要描述工作步骤和流程,对于目前的工作流程中所存在的不足进行合理优化和完善,以提高内部控制的管理效率和有效性。
3.风险控制点
在描述控制流程的基础上,进行风险识别、评估,查找梳理操作和管理工作中具有潜在风险的主要环节。每一项工作的风险控制点一般应为对本项工作控制目标的实现具有重要意义的控制事项。在选定的风险控制点中,一般应选取本项工作中最为重要的一个控制事项,确定为关键控制点。
4.控制措施
在风险识别的基础上,进行风险控制和管理。描述实现此项工作内部控制所采取的主要管理措施和控制措施。一个事项的控制措施不以数量为标准,关键在于针对性和有效性。
5.控制制度
在梳理优化流程、识别、评估、控制风险的基础上,建立规章制度,确保有章可循。描述公司针对此项工作已经建立的控制制度以及准备建立的制度。
6.检查与调试
从系统工程的角度,对操作和管理过程进行检查和调试,以确保切实
(图为中国人寿系统内部控制框架标准)
1.5中国人寿系统内部控制环境
内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础,也是推动企业发展的引擎。控制环境决定了企业的基调,影响企业员工的控制意识。它是其他要素的基础,提供了基本规则和构架。
内部环境主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等方面的内容。各单位在健全内部控制的过程中,要按照监管要求和现代企业治理要求,进一步完善公司治理结构,完善决策机制,建立相应的激励约束机制,建立良好的人力资源管理机制,建立科学合理的组织机构,保证不兼容岗位的分离,塑造全员参与、全过程控制的内部控制文化,为内部控制的有效运行和经营管理的有效开展创造有利的环境。
由于中国人寿系统各直属单位有各自的经营和管理特点,《大纲》没有将控制环境作为单独的一个部分。《大纲》第2部分集团管控系统、第8部分人力资源管理系统、第12.2治理结构都是中国人寿内部控制环境的组成部分。
健全的治理结构、科学的内部机构设置和权责分配是建立并实施内部控制的基本前提,是影响、制约内部环境的重要因素。各单位应当依据《中华人民共和国公司法》和其他相关法律法规的规定,结合公司章程和实际情况,建立规范的法人治理结构,促进内部控制的有效运行。各单位应当结合业务特点和内部控制要求设置内部机构,明确职责权限,形成有效的分工和制衡机制,将权利与责任落实到各责任单位。通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。
企业文化,是指公司在经营管理过程中形成的、影响企业内部环境和内部控制效力的精神、意识和理念,主要包括公司的整体价值观,高级管理人员的管理理念、经营风格与职业操守,员工的行为守则等。各单位应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则,认真履行岗位职责。各单位要加强法制教育,增强法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
人力资源政策是影响企业内部环境的关键因素。公司的人力资源政策应当科学、规范、公平、公开、公正,有利于调动员工在内部控制和经营管理活动中的积极性、主动性和创造性。各单位应当建立和完善针对各层级员工的激励约束机制,通过制定合理的目标、建立明确的标准、执行严格的考核和落实配套的奖惩,促进员工责、权、利的有机统一和企业内部控制的有效执行。健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。各单位应当加强内部审计工作,在公司内部形成有权必有责、用权受监督的良好氛围。按照监管要求设立审计委员会,负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。设立专门的内部审计机构,保证内部审计机构具有相应的独立性,并配备与履行内部审计职能相适应的人员和工作条件。
有效的反舞弊机制,是防范、发现和处理舞弊行为、优化内部环境的重要制度安排。各单位应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序,建立情况通报制度,及时防范因舞弊而导致内部控制措施失效、影响内部控制目标实现的风险。各单位应当结合自身的经营范围、业务流程和其他情况,明确反舞弊的重点领域、关键环节和主要内容。
2.集团管控系统
2.1战略规划
2.1.1集团整体战略规划管理
控制目标
1.准确、及时和全面地收集相关信息。
2.确保所制定的集团整体战略的科学性、前瞻性和可行性。
3.确保整体战略按规划实施。
控制流程
1.收集信息。
2.方案制定。
3.宣导、跟踪和反馈。
4.立卷归档。
对相关文件立卷归档。
风险控制点
1.接收、论证各业务单元的战略规划。
2.收集信息、调查研究。
3.撰写集团整体战略规划。
4.了解掌握战略规划执行情况。
5.研究制定战略规划评估体系。
控制措施
1.充分掌握各业务单元的经营管理现状,对其战略规划进行认真研究。
2.保持对战略信息的敏感性,相关信息要与相关部门及所属机构充分沟通。
3.在收集信息和调查研究的基础上,把握国家相关政策、宏观环境和市场的影响,确定战略规划初稿。
4.初稿要在系统内部充分研究讨论,并征询专家意见。
5.战略规划宣导要根据不同的目标进行分类宣传。
6.保持与所属机构和有关部门的积极沟通,确保了解战略规划实施情况。
控制制度 无
检查与调试
1.对整体战略规划提出的战略举措进行跟踪、监控,掌握战略规划执行情况。
2.根据宏观环境和中国人寿实际情况的变化,以及相关部门在战略规划实施过程反馈的意见,必要时对战略规划中的相关措施和步骤进行修订完善。
.gif)
2.1.2年度经营计划管理(略)
2.1.3经营分析管理(略)
2.2资本运作
2.2.1投资管理(略)
2.2.1.1集团公司及所属单位投融资等重大事项管理(略)
2.2.1.2.投资项目运作(略)
2.2.1.3投资项目管理(略)
2.2.2资金运用管理(略)
2.2.2.1制定并下达年度《投资指引》(略)
2.2.2.2负责《投资指引》规定以外的投资事项的日常审批(略)
2.2.2.3确定《委托资产收益考核及奖惩办法》并组织落实(略)
2.2.2.4组织、协调集团公司及各直属单位上报资金运用监管信息
2.3班子建设
2.3.1系统高管人员任免(略)
2.3.2系统高管人员绩效考核(略)
2.3.3系统高管人员薪酬管理(略)
2.3.4外派人员管理(略)
2.4品牌增值(略)
2.5文化构建(略)
2.6组织协调
2.6.1资源共享(略)
2.6.2公文流转(略)
2.6.3信息交流(略)
2.7资源整合
2.7.1资源规划(略)
2.7.2政策研究(略)
2.7.3整合协调(略)
3.寿险业务系统
3.1产品开发
控制目标
1.新产品满足市场需求。
2.新产品满足外部监管的要求。
3.新产品的风险在可控范围内。
4.新产品满足公司的利润要求和发展需要。
控制流程
1.制定年度产品开发计划。
2.产品创意提出和评估。
3.产品立项。
4.产品前期开发。
5.产品后期开发。
6.产品下发和上市。
7.产品跟踪和管理。
风险控制点
1.产品创意可行性评估。
2.产品审核(关键控制点)。
3.产品的系统开发测试。
4.产品上市。
控制措施
1.产品创意的可行性评估:产品开发部对相关部门及分公司提出的产品创意做初步的判断评估,然后提交总精算师做进一步的评估审核。使新开发的产品能满足目标市场需求、符合外部监管要求及公司的业务发展需要。
2.产品审核:新开发的产品经产品开发部具体负责该产品开发的处经理复核,经总精算师及法律责任人审核,并签署精算声明书和法律声明书后上报保监会。
3.产品的系统开发测试:各部门提出新产品的系统开发需求,由信息技术部负责系统开发。各部门进行严格的系统测试,并签署测试报告,保证系统开发的质量。
4.产品上市:以销售部门为主,制定产品上市策略,必要时召开产品上市研讨会,根据产品特点确定销售区域、销售规模、销售支持计划等,避免产品风险。保证产品下发前公司各项支持系统具备上线条件,确保上市成功。
控制制度
《产品开发流程》
检查与调试
1.产品开发过程中各部门、各单位及时对照《产品开发流程》,进行日常产品开发工作检查,保证产品开发符合公司内部控制及外部监管制度。
2.根据《中国人寿内部控制手册》中产品开发流程的要求,定期对产品开发流程中各阶段关键材料进行检查和审核。
.gif)
3.2销售管理
3.2.1营销员管理(略)
3.2.2银行代理协议管理(略)
3.2.3银行保险销售人员管理(略)
3.2.4团险业务收入预算管理(略)
3.2.5团险大单申报销售管理(略)
3.2.6意外险报价管理(略)
3.2.7团险销售渠道建设指标考核管理(略)
3.2.8团险销售人员诚信执业(略)
3.3承保
3.3.1新契约(略)
3.3.2核保管理(略)
3.4理赔管理(略)
3.5精算
3.5.1长期险法定责任准备金评估(略)
3.5.2保户红利支出(略)
3.6保全
3.6.1合同变更(略)
3.6.2生存领取(略)
3.6.3撤单退保(略)
3.7咨询与回访
3.7.1 95519电话服务中心运营管理(略)
3.7.2回访管理(略)
3.8留存业务管理(略)
4.企业年金业务系统
4.1产品开发
4.1.1市场调研与产品立项
控制目标
产品设计符合市场需求,满足公司业务发展需要。
产品立项符合公司产品开发规章制度和业务发展长期规划,有助于公司产品战略落实。
控制流程
市场信息归集。
市场信息整理。
产品立项。
风险控制点
市场调研信息传导的及时性与准确性。
对研发创意进行的前期可行性研究。
控制措施
在各省级机构和各相关部门指定信息报送员,责任到人,确保信息的及时性与准确性。
拓宽市场信息的采集渠道,在对本公司收集的市场信息进行综合分析时应比较其他渠道的信息,最终形成客观完善的市场分析报告。
在产品立项对研发创意进行前期可行性研究时,邀请内外部专家对研发创意进行评审,确保创意立项的可实施性和必要性。
控制制度
《中国人寿养老保险股份有限公司产品开发管理制度》
检查与调试
及时与信息提供单位(个人)进行沟通与反馈,保证信息的准确性、真实性、时效性。
根据各部门或专家反馈意见调整产品研发创意。
.gif)
4.1.2产品开发与论证(略)
4.1.3产品报备与包装(略)
4.2销售管理
4.2.1企划管理(略)
4.2.2渠道管理(略)
4.2.3直销业务管理(略)
4.2.4培训管理(略)
4.3受托管理
4.3.1战略资产配置与调整(略)
4.3.2其他管理人的选择与更换(略)
4.3.3合同管理与报备(略)
4.3.4受托运营管理(略)
4.3.5监督评估(略)
4.3.6信息披露(略)
4.4账户管理
4.4.1合同管理(略)
4.4.2账户运营管理(略)
4.5客户服务
4.5.1信息查询(略)
4.5.2业务咨询(略)
4.5.3回访与投诉(略)
5.财险业务系统
5.1产品开发
控制目标
1.确保公司开发的产品满足市场需求和公司发展需要。
2.符合外部监管要求,控制产品风险。
3.建立科学的公司产品体系,实现对销售环节的有力支持。
控制流程
1.提出需求。
2.立项和制定计划。
3.实施研发。
4.跟踪评估。
5.产品管理。
风险控制点
1.产品研发立项审核,此项为关键控制点。
2.产品审定。
3.产品软件程序开发。
控制措施
1.年度产品研发计划要根据公司经营策略和监管政策,在总公司销售管理部门和分公司产品需求的基础上编制。
2.产品开发项目要由研发部门组织相关销售部门、承保管理部门、理赔管理部门、内控合规部门论证后确定。
3.产品研发后要组织相关部门及分公司审定,并由法律责任人和精算责任人按照要求审核。
4.产品软件开发由产品研发部门和信息技术部门共同配合,严格按照系统开发管理流程进行。
控制制度
1.《产品研发管理规定》
2.《关于规范产品报批程序的通知》
3.《单证设计规则》
4.《保险产品研发指引》
5.《信息技术需求管理办法(暂行)》
6.《应用系统开发管理办法(试行)》
检查与调试
1.检查分公司产品使用情况,处理产品违规问题。
2.按照产品研发流程,处理保险条款或费率的变动;协调相关部门处理单证格式的创新和变动。
3.适时跟踪产品销售状况,组织评估产品经营情况,总结产品研发经验和教训,适时调整产品策略。
、 5.2营销业务(略)
5.3大项目业务
5.3.1立项管理(略)
5.3.2大项目授权管理(略)
5.3.3展业基金管理(略)
5.4互动业务
5.4.1协议及代理资格管理(略)
5.4.2产险专员进驻职场及业务开展(略)
5.4.3业务考核与分析(略)
5.5渠道业务管理
5.5.1银行保险渠道管理(略)
5.5.2电销渠道内控管理(略)
5.6承保
5.6.1承保管理(略)
5.6.2分保管理(略)
5.6.3业务单证管理(略)
5.6.4业务数据管理(略)
5.6.5业务检查(略)
5.7理赔
5.7.1车险理赔(略)
5.7.2非车险理赔(略)
5.8客户服务(略)
5.9咨询与回访
5.9.1呼入(略)
5.9.2回访(略)
5.10精算
5.10.1费率厘定管理(略)
5.10.2偿付能力管理(略)
5.10.3责任准备金管理(略)
6.资产管理系统
6.1企业年金拓展
控制目标
1.企业年金拓展材料真实、客观的反映了公司的实际情况。
2.投资管理合同及投资政策书的各项条款经过仔细研究,符合公司内部政策,其签订得到恰当授权。
控制流程
1.与客户保持密切沟通并制作销售推介材料。
2.接收客户招标文并制作投标文件。
3.编制正式的投标文件。
4.提出产品需求方案。
5.尽职调查、实地推介及现场答辩。
6.合同谈判。
7.合同签订。
风险控制点
制作推介材料和标书。
投资管理合同及投资政策书的签订。
控制措施
1.根据项目规模大小,企业年金业务拓展采取分级授权制,授权的内容主要包括营销攻关、投标文件、推介答辩安排、投资管理费率确定和投资管理合同、备忘录等法律文件的签署。公司法定代表人签署授权委托书,分别确定企业年金业务拓展、投资管理合同签署、托管业务操作备忘录签署的授权代表。
2.向委托方提供拓展材料前,各部门组织相关人员进行充分的研究和编写,以保证所提供材料的真实、客观性。
3.企业年金业务拓展材料在提交外部机构之前需经风险管理及合规部审核。
4.投资合同及投资政策书的各项条款都必须经过恰当的审批,以保证无相关的法律风险及符合公司相关规定;同时相关合同的签订必须得到公司领导的授权。
控制制度
1.《企业年金基金产品投资管理费率指引》
2.《中国人寿资产管理有限公司企业年金业务拓展管理办法(试行)》
3.《关于改进企业年金业务授权的请示》
检查与调试
1.公司内部审计及监察岗定期或不定期对企业年金业务进行审计检查。
2.养老金及机构业务部根据业务需要或每季度实际情况对企业年金业务拓展材料进行及时更新。
6.2投资
6.2.1组合管理(略)
6.2.1.1资产配置(略)
6.2.1.2头寸管理(略)
6.2.2固定收益投资
6.2.2.1债券投资(略)
6.2.2.2存款/次级债务投资(略)
6.2.2.3短期融资券投资(略)
6.2.3基金投资(略)
6.2.4股票投资
6.2.4.1股票/可转债一级市场投资(略)
6.2.4.2股票/可转债二级市场投资(略)
6.2.4.3.股票池的建立(略)
6.2.5境外投资(略)
6.2.6项目投资(略)
6.3交易管理
6.3.1交易所市场交易(略)
6.3.2银行间市场交易(略)
6.3.3开放式基金交易(略)
6.3.4股票/可转债一级市场交易(略)
6.4清算核算
6.4.1资金划拨(略)
6.4.2清算核算(略)
7.实业管理系统
7.实业管理系统
7.1房地产
7.1.1房地产开发(略)
7.1.1.1开发前期(略)
7.1.1.2工程合同管理(略)
7.1.1.3施工进度管理(略)
7.1.1.4成本控制管理(略)
7.1.1.4成本控制管理
控制目标
1.确保项目成本规划目标的实现。
2.保证工程预算管理的权威性。
3.提高竣工决算的及时性和准确性。
控制流程
1.成本规划编制。
2.成本控制计划实施阶段。
3.竣工阶段成本管理,编制竣工决算审核计划, 按分项编制竣工结算审核报告。
风险控制点
1.项目成本总控制计划编制。
2.工期控制、质量控制、组织管理控制(关键控制点)。
3.设计施工变更洽商成本控制。
4.设备、材料造价控制和竣工成本管理(关键控制点)。
控制措施
1.根据项目管理服务周期的各阶段,制订针对规划阶段、设计阶段、施工阶段、竣工阶段特点的具体管理措施,并形成一套完整的成本控制体系。
2.事先与设计单位进行协商探讨,通过改进设计文件中不利于工程成本控制的设计细节,进行设计挖潜节约成本。
3.工程款支付管理纳入成本控制的日常管理服务内容,核算部门严格按照工程进度支付工程款。
4.项目成本规划书作为限额设计及分项工程招投标采购的限额标准,设计变更是施工阶段费用增加的主要原因,严格设计变更洽商的审批程序,加强预防工作,将变更洽商控制在合理的范围内。
5. 加强前期设计阶段的沟通、汇报,尤其是在使用功能和总体效果方面,尽量减少施工过程中的调整和修改。
控制制度
1.《中国人寿保险(集团)公司全面预算管理暂行办法》(国寿集团发〔2006〕211号)
2.拟建立《工程预决算管理与考核办法》
检查与调试
1.每月对整个项目情况进行一次数据资料采集,计算偏差,核算分析,纳入月报,上报公司进行指导检查和考核。根据偏差原因提出纠偏措施,并立即实施。
2.项目标准、功能面积等设计方案的较大变动时,采购严重超标,经技术经济分析论证有必要,均要经公司批准后对项目成本规划书进行修改或调整。
7.1.1.5采购管理(略)
7.1.1.6工程验收和移交(略)
7.1.2房产租赁管理
7.1.2.1租户管理(略)
7.1.2.2租金管理(略)
7.1.2.3合同评审管理(略)
7.2酒店管理
7.2.1酒店销售管理(略)
7.2.2客房管理(略)
7.2.2.1前厅部(略)
7.2.2.2客房部(略)
7.2.3餐饮管理
7.2.3.1内部员工服务(略)
7.2.3.2厨房操作管理(略)
7.2.3.3安全操作管理(略)
7.3物业管理
7.3.1服务管理
7.3.1.1客户服务管理(略)
7.3.1.2清洁绿化管理(略)
7.3.1.3公共场所秩序维护(略)
7.3.2工程维护
7.3.2.1房屋建筑及公用部位的日常维护维修服务(略)
7.3.2.2设备的维修、养护、运行和管理(略)
7.3.2.3二次装修管理(略)
7.4留存资产管理系统
7.4.1资产委托管理(略)
7.4.2相关资产管理
7.4.2.1实物类资产管理(略)
7.4.2.2债权类资产(略)
7.4.2.3股权类资产(略)
7.4.2.4三产企业(略)
8.人力资源管理系统
8.1公司机构设置管理
控制目标
机构设置合理,职责清晰,岗位和编制管理科学,符合公司战略发展需要。
控制流程
1.提出建议。
2.拟定调整方案并报批。
3.公告 。
风险控制点
拟定机构设置、部门处室职责、岗位和编制调整方案
控制措施
广泛了解情况,以公司战略为依据,参照各部门的意见,以现有机构设置、职能定位、岗位和编制管理为基础,结合实际工作需要拟定调整建议。
控制制度
各公司机构设置方案、部门处室职责、岗位编制方案
检查与调试
1.对审批同意的调整事项发文公告。
2.将新建机构纳入统一管理。
8.2员工招聘管理(略)
8.3员工绩效管理(略)
8.4员工薪酬管理(略)
8.5员工聘任聘用管理(略)
8.6教育培训(略)
8.7专业技术职称评审(略)
9.财务管理系统
9.1会计管理
控制目标
1.会计凭证形式合法、内容完整。
2. 会计处理正确反映经济事项。
3. 正确生成会计账簿与会计报表。
控制流程
1.编制会计凭证。
2.登记会计账簿。
3.生成会计报表。
风险控制点
复核会计凭证。
控制措施
1.对原始凭证进行形式审核,追踪原始交易事项。
2.确定会计处理反映经济事项的实质,并签字确认。
3.复核报表的正确性,与会计账簿是否一致,观察有无异常情况。
控制制度
1.《企业会计准则》
2.《会计基础工作规范》
3.《会计电算化工作规范》
4. 各公司费用管理办法
5. 各公司费用管理实施细则
6. 各公司银行账户管理暂行
检查与调试
1.复核原始凭证和记账凭证。
2.定期核对总账与明细账、账簿与实物。
3.定期核对报表。
9.2收支管理(略)
9.3税务管理(略)
9.4决算管理(略)
9.5报表编制及财务分析(略)
9.6偿付能力报告编制(略)
9.7预算管理(略)
9.8网上银行应用管理(略)
9.9统计信息编报(略)
9.10统计信息分析(略)
9.11资金调拨(略)
10.信息管理系统
10.1信息规划
控制目标
1.立项符合公司的战略规划,促进公司信息化建设发展。
2.项目实施符合预期的要求。
控制流程
1.规划立项。
2.项目实施。
3.评审汇报。
风险控制点
1.立项可行性研究。
2.审定项目成果。
控制措施
1.完善信息化决策机构的决策机制和议事流程;需要与外部合作的项目,须由律师对商务的各个环节进行法律监督并出具相应的法律意见。
2.按项目管理的要求严格控制项目进度和质量,并保证项目实施具备充分的资源。
3.针对具体规划项目制定合理的项目审定评判标准,根据项目实际需要,邀请内外部专家对规划项目成果进行评审,确保规划成果的可实施性和指导作用。
4.项目评审环节中,应设专人负责反馈意见的收集、整理、归类,并对规划进行合理有效的调整。
控制制度
各公司信息化规划项目管理制度。
检查与调试
1.根据内外部专家的反馈意见完善规划成果。
2.根据相关部门反馈意见完善成果。
3.监督规划内容的落实。
10.2软件开发(略)
10.3软、硬件采购(略)
10.4信息技术安全管理(略)
10.5信息技术运行管理(略)
10.6设备与档案管理(略)
11.监控系统
11.1内控检查与评估
控制目标
1.按照公司内控建设的要求和标准,进行目的明确、重点突出、步骤清晰的内控检查。
2.根据检查分析结果,提出合理的内部控制建议。
3.内控评估科学、客观。
控制流程
1.制定计划方案。
2.内控检查。
3.评估总结。
4.立卷归档。
风险控制点
1.梳理业务流程和风险点。
2.进行符合性测试和穿行测试(关键控制点)。
3.评估和总结。
控制措施
1.对各部问卷反馈认真汇总,分析业务流程是否流畅,跨部、处衔接点有无脱节,梳理主要的风险控制点。
2.通过汇总分析流程,充分与相关部门沟通,了解实际情况,力求把风险降到最低。
3.在了解内控制度现状的基础上,进行符合性测试。
4.根据检查汇总评估报告,客观评价公司内部控制的现状,提出合理的内部控制建议。
控制制度
1.集团公司内部控制指引。
2.各公司内控检查管理办法或制度。
检查与调试
1.结合内控检查结果和业务部门的主动报告,定期对内控流程进行优化。
2.内控检查结果与业务部门进行充分沟通。
11.2风险监控(略)
11.3现场审计(略)
11.4非现场审计(略)
11.5法律监督
11.5.1法律性文件审查(略)
11.5.2法律诉讼管理(略)
11.6纪检监察
11.6.1案件查处(略)
11.6.2巡视(略)
12.中国人寿内部控制运行机制
12.1以《大纲》为指导,健全内部控制
根据中国人寿集团“十一五”战略规划,中国人寿保险(集团)公司作为母公司和核心企业,主要负责战略规划、资本运作、班子建设、品牌增值、文化构建、风险控制、监督管理和组织协调等方面的管控职能。各直属单位按照集团的统一部署,搞好各自领域的经营管理,提高专业化水平,形成定位明确、分工协作、管控有力、沟通顺畅、运行高效、和谐有序的集团管理体制。
在集团化战略目标下,集团公司除了负责集团公司总部的内部控制的建立健全外,还对中国人寿系统的内部控制建设进行监督、指导和协调,促进各直属单位依法合规经营。本《大纲》作为中国人寿系统内部控制建设的指导性文件,为全系统的内部控制建设提供了基本的框架、原则和方法。
各直属单位应根据监管要求和公司治理需要,从本单位实际出发,建立健全本单位的内控组织体系,成立内部控制(或者内部审计/风险管理)委员会,设立专门的部门或者指定相关部门,负责本单位的内控建设。并根据《中国人寿系统内部审计和内部控制信息报送暂行规定》,按时向集团公司报送内部控制信息。
各直属单位在集团公司指导下,根据监管要求和公司治理要求,参照本《大纲》,建立符合本单位实际、涵盖本单位分支机构的内部控制体系,以保障本单位依法合规经营。各单位、各部门应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。
集团公司通过编制全系统的内部控制大纲,制定中国人寿系统的内部控制框架标准,推动中国人寿系统内部控制工作向精细化、科学化和标准化发展。同时,对各直属单位,按照公司法要求,督促其健全内控机制,提高风险管理水平。各直属单位在集团统一框架标准的基础上,强化内控建设,切实提高风险防范能力。
12.2公司治理
1.完善公司治理,加强集团管控,构筑有效的内部控制和风险防线。
(1)完善公司治理
随着集团化战略的实施,中国人寿将形成以资本为纽带的金融控股集团。在资本化经营过程中,按照《公司法》及有关法律法规要求,完善公司治理,对于维护股东权益,搞好集团化管理专业化经营具有十分重要的意义,也是有效防范经营风险和金融风险在集团内交叉传递的一道重要防线。
集团各成员公司健全公司治理结构。各成员公司根据《关于规范保险公司治理结构的指导意见》《保险公司内部审计指引》、《保险公司风险管理指引》、《保险公司合规管理指引》等国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
股东大会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东大会负责,依法行使企业的经营决策权。监事会对股东大会负责,监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东大会、董事会决议事项,主持企业的生产经营管理工作。
董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。
建立专业委员会,提高决策的科学性和民主性,明确决策的责任制度。加强内部沟通和协调,提高决策效率和执行力。设立审计委员会和风险管理委员会,发挥内部控制在公司治理和发展中的作用,保证信息渠道的畅通,实现风险信息的及时传递和集中处理。按监管要求和公司治理需要,设立独立董事。进一步完善与股东沟通机制,对股东负责,按监管要求设立专门的机构和人员开展工作。集团公司设立派出董事监事工作处,加强对派出高管人员的服务沟通和管理。
实行现代企业制度,防止风险蔓延。在集团化管理专业化经营的集团模式下,需要在各专业板块之间建立风险“防火墙”,各专业子公司采用有限责任公司或股份有限公司的法律形式,以其自有资本承担责任,并在内部全面推行现代企业制度和管理,有效防止经营风险在集团内的传递。
(2)加强内部管控
集团公司按照《公司法》及有关法规,依法行使股东权利,履行出资人责任。区分全资拥有和参控股投资子公司,采取不同的股权管理模式,明确界定整个集团内的治理边界。进一步发挥派出的董事或其他高管人员的作用,通过董事会,充分表达股东意志。整合资源,强化全系统内部控制建设,对风险集中度高的业务和领域重点管控,对集团所属机构间关联交易和信息披露实现有效管控。
借鉴国际上先进的管理理念,将COSO内部控制框架和全面风险框架与中国人寿实际情况相结合,在集团公司和各子公司中大力推进内部控制建设,对关键的流程进行简洁、实效、操作性强的优化,加强对关键风险点的控制,保证控制措施和控制制度有效并落到实处,开展不定期的考核与检查,确保执行的稳定性和有效性。
(3)建立健全风险预警与应急处理机制
建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。面对集团化战略提出的风险防范的新挑战,借助信息技术手段,建立动态监控和风险预警为重点的风险管理/内部审计信息系统。一是设立风险信息传递的快速通道,确保风险信息得到及时传递和处理。 二是设立专业委员会,聘请外部专家,加强对风险评估和潜在问题的研究,以作为应对突发事件的智囊团。 三是建立风险信息的跟踪、采集和分析制度。重点关注涉及公司资产安全、投资风险等方面的信息,提高信息反应灵敏度。同时,加强对风险信息的分析和应急处理,对收集到的安全预警信息进行分析和评估,预测可能的危害程度,必要时迅速启动应急处理程序。
2.高度重视内部控制建设在公司治理和发展中的地位和作用,将内部控制提升到公司发展战略的高度。
保监会《关于规范保险公司治理结构的指导意见》《保险公司内部审计指引》、《保险公司风险管理指引》等一系列监管文件和监管要求,已经把内部控制提升到公司治理的新高度。中国人寿集团的中长期战略规划中已明确指出要把中国人寿建设成为“实力雄厚、管治先进、制度健全、内控严密、技术领先、队伍一流、服务优良、品牌杰出、发展和谐”的大型现代金融保险集团。其中,推进内控建设与“管治先进、制度健全、内控严密”十二字的实现息息相关。
“管治先进”,提出了依照构建国际顶级金融集团的战略目标和标准进一步增强管控力度的要求。由于目前集团内部一些治理关系和工作关系有待进一步理顺,集团经营的整体效应还有待进一步体现,为了适应金融综合经营的趋势,增强集团内部执行力,建立现代企业制度与完善公司治理结构是中国人寿的首要任务。
“制度健全”,提出了进一步完善保障制度的要求。中国人寿将制度建设作为企业管理和发展的一种重要资源和保障,不断完善和强化制度建设,通过健全制度,堵住漏洞,达到加强管理、提高企业效率的目的。这样做一是保险监管机构的合规性要求,保险市场上经营主体不断增多和竞争加剧显示出完善各项规章制度的迫切性,集团内部的各类经营行为必须要做到有章可循、有章必循,防止以个人主观意识进行操作。二是海内外公司治理的实践显示出完善各项规章制度的必要性,寿险股份公司作为上市公司,需要及时准确地披露相关信息,完善的规章制度可以保证各项交易的合法性、合规性。
“内控严密”,提出了构建结构科学、机制顺畅、控制严密的内控体系的要求。中国人寿是一家机构庞大、人员众多的企业,内控和管理还存在许多不完善的地方,员工舞弊和职业道德等问题还在一定程度上存在。为了保证各项规章制度落到实处、明确到人,必须建立健全相应机制,即通过内控评级与引入考核来完善动力机制,通过内部牵制与文化影响来完善约束机制,通过内审监督与监察监督来完善监督机制。
12.3运行机制
内部控制运行机制是中国人寿系统内部控制健康、有效运行的重要保障,是内部控制建设发展到新阶段的必然要求。要保证内部控制体系的顺畅有效运行,必须建立健全相应的机制,包括动力机制和监督机制。
1.动力机制
完善内部控制评价体系和方法,强化对内部控制实施情况的检查与考核。为了保证企业内部控制制度能有效地发挥作用,并使之不断地得到完善,集团公司按照《中国人寿保险(集团)公司内部控制评级办法》,定期对集团公司本部和相关所属机构开展内部控制评级和检查,各成员公司也应定期开展内部控制自查与评级工作,对内部控制制度的执行情况进行检查与评级,及时发现内部控制中的薄弱环节,督促被评级单位采取有效措施切实加强内部控制,提升管理水平。
将考核机制引入内部控制体系,建立有效的激励机制。建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。形成系统的内部控制绩效管理和奖惩制度,强化员工的风险与内控责任意识,对每一位员工和管理人员形成利益制约。将内部控制评级结果与绩效考核相挂钩,与员工职业生涯的规划相挂钩,与人才的教育培养使用相挂钩,对于严格执行内部控制制度、成效显著的,给予精神鼓励和物质奖励;建立违规惩戒制度,对违反内部控制的直接责任人或部门采取相应的处罚措施;采取措施鼓励及时披露风险,对掩盖风险的行为进行相应惩罚。
2.监督机制
(1)深入开展内部控制自我评估和监督
各职能部门和各管理岗位是内部控制的直接责任人,对本部门、本岗位的内部控制健全性和执行情况负责,是中国人寿系统内部控制的第一道防线。在开展本部门、本岗位业务活动和管理活动的过程中,应自觉执行已有的内部控制制度,并定期不定期开展内部控制自查活动,对本部门、本单位的内部控制的健全性、合理性和有效性进行评估,及时发现并堵塞管理漏洞,不断提高本部门、本岗位的业务水平和管理水平。
(2)强化内部审计监督
内部审计部门独立于其他部门和业务活动,并对内部控制制度的执行情况实行严格的检查。在监督企业依法经营的同时,重点是审计和评价企业经营的效益性、业务经营和管理的合规性、内部控制的健全性,根本目的是为了改善企业经营管理,提高经济效益。同时切实发挥内部审计的参谋职能,为加强企业管理服务,为提高经济效益服务,为领导决策服务。
内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
强化内部审计监督,着重做好以下工作:
一是内部审计部门就内部控制制度的建立情况和执行情况独立地履行检查、评价、报告、建议职能,促进内部控制水平的提高。对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。对发现的内控缺陷,要跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,按照有关程序,追究相关责任单位或者责任人的责任。
二是加强制度建设,强化内部控制评级工作,通过定期或不定期检查内部控制制度的执行情况,确保公司各项经营管理活动的有效运行。
三是开展必要的现场审计,通过开展业务、财务、经济责任、经济效益等专项审计,发现薄弱环节,及时堵塞经营管理中的漏洞。
四是建立审计信息系统,加强非现场审计,以风险为导向、以信息技术为手段开展审计工作,最大程度利用有效的审计资源,不断提高内部审计工作的质量和效率。
(3)健全监察监督
进一步发挥纪检监察的监督职能,认真贯彻中央反腐倡廉的战略方针,按照中央关于建立健全惩治和预防腐败体系的指导思想与目标要求,积极构建适合中国人寿系统特点的教育、制度、监督并重的惩治和预防腐败体系,加强教育、完善制度、强化监督,围绕监督服务保险发展大局,制定科学制度,充分保证监察监督的整体效能。
一是按照标本兼治、综合治理、惩防并举、注重预防的方针,进一步加大治本力度,从易发问题部位与源头上预防和解决问题。
二是建立健全监察信息评估预警机制。坚持静态与动态相结合、内部与外部相结合的原则,通过来信来访、巡视检查、案件查处、廉政档案、效能监察、采购监督等途径获取相关信息;通过行风评议、问卷调查和与上级纪检监察部门及司法机关交流情况等途径获取相关信息;注意从所属机构调整、人员变动等活动中获取相关信息。在通过上述途径收集信息后,推进建立风险预警机制的工作并加强预警信息的评估和运用。
三是加强效能监察。认真梳理集团所属机构和部门履行职能、职责的各种信息,做出评估,提出改进工作、优化流程、提高管理效率的意见和建议。
(4)采用联合检查机制,开展内部控制检查和评估工作
开展集团公司总部和中国人寿全系统的内部控制检查和评级工作,能够积极防范经营和管理中的潜在风险,达到内部控制为公司战略服务的目的。
集团公司在内部控制运行机制的探索中,创立了内部审计、监察、人力资源联合开展内部控制检查的工作机制。集团公司内部控制领导小组下设的办公室中,人员由审计部、监察部、人力资源部相关人员组成。联合检查机制将审计部的内审监督职能、人力资源部的绩效考核职能、监察部的效能监察职能有机结合起来。这种创新的工作机制强化了内控检查的工作力度,为内部控制评估工作的顺利推进创造了重要条件,实践证明,效果是好的。
12.4信息与沟通
信息是管理的基础,保持信息渠道畅通是强化集团管控、实现中国人寿集团化发展战略目标的基本要求。为此,全系统必须加大信息沟通力度,建立信息沟通渠道,确保及时掌握所属机构财务、业务、经营、审计、内部控制等经营管理信息,各直属单位必须按照集团化发展战略要求,根据集团制定的统一制度,及时完整地上报经营和管理信息。
为更好地为集团公司派出的董事、监事服务,促进信息沟通,集团公司设立了派出董事监事工作处。负责集团公司与各直属单位及其他被投资企业董事会、监事会办事机构的工作联系,建立、健全派出董事、监事重大事项报告等管理制度,为集团公司派出董事、监事提供决策支持服务,并对派出董事、监事执行集团公司决策情况进行监督。
为建立健全集团公司决策支持体系,为集团公司重大决策提供及时可靠的信息支持,并加强集团公司对各业务单元的管控,确保集团公司长远战略目标的实现和各项经营决策的落实,各直属单位必须严格执行《中国人寿集团经营报告制度(试行)》,定期报送本单位经营管理基本情况并随时报告公司经营发展的重大事项。以此制度为基础,集团定期召开全系统的经营形势分析会,及时对全系统的经营管理做出部署和指导。
加强财务信息披露工作,对各子公司需要上报财会信息的种类、内容、频率、格式等均做出明确规范,同时理顺财会信息披露程序。各直属单位除按照监管部门要求,单独披露财务信息外,一律上报集团公司并由集团公司统一对外披露。各直属单位必须严格执行《中国人寿保险(集团)公司重大财务事项管理暂行办法》,确保财务信息快捷、有效传递。
加强审计信息的沟通,充分提高审计的效率和效果。为逐步实现非现场审计和远程监控建立平台,各直属单位必须严格执行《中国人寿系统审计及内部控制信息报送暂行办法》,对本单位各类审计、内控检查报告和各种检查发现问题的整改报告等,按季度报送集团公司,对重大违规问题、风险隐患或突发事件要求一事一报,以保证集团公司及时掌控风险。
各直属单位应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
各单位应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。
各单位利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
各单位建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。