中国平安:企业内控的现行者

作者:陈捷来源:董事会推荐讲师:张弘发表于:2010-12-17

“内控不是某个部门的事情,也不是独立于业务之外的东西,我们将制度融入流程里,流程融入系统里,这样就很难违规。因为对业务流程的每个控制点如何,业务部门最清楚,真正提升内控的意识,人人有责,制度加执行,内控文化必须落到实处。”这是平安的董事长马明哲说的。企业如何做好内控,首先得有这样的意识,尤其是公司最高领导层。

  “公司的败绩都是由内部控制失败引起的。” 如今,内控制度越来越成为企业发展战略中的非常核心的内容。内控制度的好坏,直接影响到企业的风险管理,乃至企业的可持续发展战略。相比于一般企业,内控对金融机构的意义更是非同寻常,一旦内部控制和风险管理出现漏洞和疏忽,造成的损失可能是一个巨大的天文数字,其灾难性和危险性不仅限于企业本身,将会波及经济实体的各个层面。

  对于中国的大多数企业而言,内部控制更像是一个昂贵的“消防栓”,付出成本进行内控体系、流程和规则搭建,主要是为了应付合规需要和突发事件,能把内控做到形具而又不拘于形的企业不多。在过去的二十多年,从体制、机制到企业文化,中国平安不经意间将内控——这一高深的管理艺术熟谙,已经成为内控和风险管理领域的杰出标杆。

  公司治理是内控的核心保证

  “内部控制,简单说就是确保集团运作过程中不出问题。”叶素兰说这番话时嫣然一笑。

  这位中国平安集团总经理助理兼首席稽核执行官看似轻松的吐露,其实潜藏着一份胸有成竹。谁都清楚,面对保险、银行、投资三大板块业务,近11000亿元的庞大资产,其间对风险的防范需要何等的控制力。而事实上,中国平安就凭借着卓越的治理、高效的风险管控和高速成长的经营业绩,已经成为中国金融业的一面旗帜,一根标杆。

  作为金融国际化的先行者,中国平安不断吸收引进境外金融业巨擘成熟的管理经验,实现了从运营、管理和治理脱胎换骨的进化。2002年10月引入汇丰集团这个战略投资者之后,公司风险管理和内控体系的完善,也很自然地融入汇丰的理念;2008年6月,随着《企业内部控制基本规范》的正式发布,平安率先落实内控法规要求,进一步整合升级内控体系,形成了自身鲜明的特点。

  目前,中国平安建立了“集团控股、分业经营、分业监管、整体上市”的组织架构。其中,集团的定位是“有所为,有所不为”,创造集团整体协同价值,发挥战略方向盘、经营红绿灯和业务加油站的作用,落实到董事会层面,负责战略决策,合规风控,代表股东管理和分配资本,并行使监督职责等;集团和监管部门共同构成双重监督体制,各金融子公司分业经营,分别接受对应监管部门的监管;子公司间设有严格的防火墙,严控治理风险、资金风险、财务风险、信用风险、交易风险、信息风险等的传递与系统性风险;集团由于整体上市,公司治理层次清晰、运作透明、信息披露真实及时全面,可以有效根据发展需求动态、均衡配置资源,降低整体风险。

  集团董事会专设“审计与风险管理委员会”,由6位独立董事组成,领导集团内控管理中心,与运营、产品等业务模块独立。内控管理中心下辖合规部、风险管理部和稽核监察部,由集团总经理助理兼首席稽核执行官统领履行职责。内控中心将内控嵌入业务和流程,融入日常化运作,确立了内控评价机制,确保实现内控人人参与、合规人人有责,同时实现内部控制体系的整合升级。

  据悉,中国平安目前从集团到各子公司,甚至各子公司的分公司,都已基本搭建完成内控和风险管理的架构和体系,确立了以“促进整个集团有效益可持续健康发展”为公司内控与风险管理的战略定位和长期目标,建立了“覆盖全面、运作规范、针对性强、执行到位、监督有力”的“三位一体、三道防线”风险管控运行机制,确保集团并督促子公司经营管理合法合规、符合监管要求,确保单一/累积风险低于公司可接受水平,确保整个集团健康持续发展。

  “三位一体、三道防线”主要是体现了在风险管控过程中的角色与职责划分,协作与联动机制,不同企业会有不同的内涵、外延和组成形式。据介绍,平安根据各类相关法律法规和监管规定,风险管控要求,以及综合金融战略发展与经营管理需要构建了符合平安实际情况的风险管控的组织架构、职责分工和协同机制,并在平安规范的公司治理,清晰的集团定位,紧密的集团管控,强大的执行力文化基础上履行职能、紧密配合、彰显价值,有效管控风险,树立典范和领先。平安的“三位一体”是三个专业部门在风险管控过程中分工、配合与协作,是强化事前、事中、事后风险管控三个环节的功能,通过建立与完善制度机制、技术平台、监督和文化,提升风险管控的水平和价值。其中,合规部门主要履行“风险事前策划应对”;风险管理部门主要履行“风险事中监测控制”;稽核监察部门主要履行“风险事后监督报告”。“三道防线”反映了平安的风险管理策略,业务部门是第一道防线,通过建立内控评价与考核问责,将内部控制与日常经营管理融合,嵌入业务和流程,确立内部控制的核心驱动力,将风险管控尽可能的前置。合规部门和风险管理部门是第二道防线,稽核监察部门是第三道防线。同时,平安聘请国际会计师、国际咨询公司等外部独立机构定期对公司进行独立审计、对内部控制的有效性进行独立评价、对风险管理体系的进一步完善和优化提供咨询与建议。金融企业经营的是风险,作为综合金融集团的平安更是如此。对于风险管控,平安善于将合规的制度基因植入流程,流程嵌入系统。通俗地说,就是把复杂的事情简单化,简单的事情流程化,流程的事情标准化,标准的事情IT化。

  在集团层面,平安建立了统一的风险定义和分类,统一的风险计量和汇总方法,为集团风险的并表管理打下了基础。“每家子公司都有风险监控的体系,在集团,我们主要是并表管理,每季度进行压力测试。某些风险在单一子公司可能不是问题,但并表到集团,就有可能变成高风险。”叶素兰表示。

  凭借着丰富的信息系统管理经验,她善于运用“风险热图”监控风险。“我们现在的常规稽核完全是风险导向的。我们每年把过去一两年发生的风险做成风险热图,通过绿橙红等标示不同风险等级的颜色,能够直观发现整个系统内哪些风险点比较高。而平安的全国运营管理中心也在实施很多非现场的监控和风险预警。”

  为了持续改进,集团内控管理中心每年都会对一些重要的流程进行评估,检视流程有没有因为新的业务、产品而产生新的风险。目前,平安还正在实施国内首家综合金融集团全面风险管理(简称ERM)项目,覆盖投资风险等主要风险类别,结合动态风险量化工具和技术,设定相应风险预警限额,完善限额监控机制,为科学合理地建立公司风险偏好体系提供尽可能全面准确的风险动态量化分析,确保单一/累积风险低于公司可接受水平。“我们现在是并表管理,希望以后变成一个可以在后台的监控,更好地动态度量风险。”叶素兰说。

  事实上,类似三道防线的说法在国内其他企业并不鲜见,为什么有些企业的重大风险屡屡出现?“做好内控和风险管理工作的核心,是治理架构和发挥人的作用。”集团董事长马明哲指出,只有董事会及下属专业委员会充分发挥作用,高管层高度重视自觉参与,并且守规矩去做每一件事,才能真正做好内控。

  叶素兰透露,为了持续完善和改进内控与风险管理,中国平安目前着力打造专业高效内控管理团队和不断创新内控管理手段。创新的内控管理手段包括内部控制有效性评估、三位一体风险管控、全面风险管理、战略项目合规支持与“四新”合规评审、风险并表管理、动态风险监控与预警、专项/远程/突击/IT/任中审计、机构风险评级与管理层评价、强大的IT系统支持、红黄蓝牌处罚、内控/案件问责等11个方面。创新手段为主导,常规稽核重点转为风险导向合理化建议。

  “公司如果不守规矩,代价就太大了。任何单位和部门一旦有重大案件发生,就可能会失去业务或机构拓展的机会或资格,从而会影响发展速度。证券部门则会评级下降,丧失推广新产品的机会。个人也一样,集团高管大约一半来自海外,包括我自己,如果事业上有任何污点,将影响我们未来的职业生涯。”她感言。

  自上而下合规理念的渗透、传递和内化,背后彰显着强大企业文化的生命力,而“法规+1”则是践行这一文化的行动准则。在2003 年度的系统工作会上,马明哲董事长提出了“法规+1”的概念。法规有明确规定的,坚决严格执行;法规未明确规定的,按照更高的道德自律标准确定行为规范,坚决“不打擦边球”,不钻政策空子,要保证公司的经营行为经得起任何法规、时间和道德标准的考验。换句话说,“法规+ 1”就是要用高于法规原则的道德标准来处理事情。或许有人认为企业做到“遵纪守法”就够了,为什么还要提出“法规+ 1”的概念,用高于法律的道德标准给企业套上“笼头”,这不是给自己“找麻烦”吗?马明哲董事长说这是“建设最高道德标准企业”对我们提出的要求。

  中国平安一直在全系统不遗余力地倡导和建立“自觉合规、健康发展”的内控环境与文化,眼下“不敢违、不能违、不愿违”的合规意识深入人心。“不敢违规,是因为检查很容易发现问题,包括在线远程的异常指标提取和分析,威慑力是很大的。如果干坏事就会被发现,侥幸心理大大降低;不能违规,说的是通过制度、机制等,让人没有做坏事的机会,或者无法一个人完成;公司通过文化、激励机制引导,也让员工不愿意违规。”集团合规部副总经理张云平表示,中国平安倡导“内控合规使你持续成功”,合规并不是简单的提出问题,还要帮助解决问题。“内部控制与风险管理工作不仅仅是公司和专业内控部门的事情,它和每一位员工的利益密切相关,它按统一标准建立起员工履职尽责的记录、树立个人品牌、获取他人信赖,它使员工职业生涯更安全更长久,它鼓励员工寻求最佳实践、提高工作效率。”张云平解释说。

  内部控制和风险管理已然领先的平安备受外界关注。除了境内外媒体的赞赏评奖不断外,来自央行等国内权威部门和行业巨头也纷纷调研取经“平安模式”。但公司并未就此止步,采访中记者获悉,集团内控管理中心已经有了一系列新的计划安排,月底还准备到香港的廉政公署考察取经。

  改革、创新与风控,被平安视作有效益可健康持续发展的永恒主题。如何妥善处理三者之间的关系?董事长马明哲颇有远见地指出,随着社会经济的日益繁荣与发展,科学技术的进步,人们生活水平的不断提高,生活节奏的持续加快,引发了消费者对金融产品和服务需求的变化,这成为金融创新的核心推动力,也促使“金融超市”、“一站式金融服务”等综合金融成为发展趋势。平安始终致力于探索“综合金融”道路,坚持“在竞争中求生存,在创新中求发展”。当然,创新会面临风险,会存在诸多障碍与问题,但平安仍将瞄准国际一流现代金融企业的经营管理机制标杆,践行“法规+1”、风险管控与健康发展,持续提高抵御风险的内控机制保障能力。

  三位一体保驾运营

  董事长马明哲曾说过,“小胜靠个人,中胜靠机制,大胜靠平台。要取信于人,一定是一个系统工程。平台,是所有方方面面的整合。”平安的内控和风险管理体系具体究竟如何运转?

  在内控体系中,根据定位,合规部门主要履行风险事前策划应对,具体包括战略合规支持、合规评审、合规风险提示、合规检视、制度体系完善等;风险管理部门主要履行风险事中监测控制,包括风险量化监测、风险预警追踪、风险评级应对等。而稽核监察部门负责违规案件查处、经营效益审计、红黄蓝牌处罚、风险事后监督报告和内控文化建设等。

  在中国平安,事前事中事后的风险管控已经融为一体。首先在“事前”进行风险识别与评估,定期更新、维护风险列表,分析法律法规、监管规定和行业自律规则的变动情况,提示风险出现的可能和应对策略;在“事中”执行统一的风险管理政策、风险指标和实施标准,监控和报告异常风险情况;在“事后”通过垂直、独立的稽核监察架构,实施风险导向的稽核审计,实地查处,威慑违法违规人员,执行事后惩戒机制,并通过审计工作平台、预警系统,实现稽核的阶段性监督向日常性监督转变,发挥风险监控最后防线作用。

  “我们是前瞻性地创新合规内控,确保风险持续可控。内控做得不好,我们有问责措施,这是跟业绩挂钩的。”叶素兰认为,“事前风险的管控很重要,价值很高。”

  形与神各具,平安集团旗下各子公司的内控既统一于集团整体,又颇有各自的神韵,严格合法合规、风险可控,确保有效益可持续健康发展。

  其中,已成功跻身国内第二大产险公司的平安产险,继实现“健康超越”后,今年又提出打造“行业典范”的鲜明口号。“合规经营”就是“行业典范”最重要的内涵之一。

  “我们合规管理方面有三项重要措施:首先是实行对制度出台前的合规评审,特别像平安产险这么大的公司,总部细分为二三十个部门,管理制度上难免产生一些交叉甚至冲突,我们在2008年初就出台了新制度合规评审办法,每出台一项制度,都要符合国家有关规定和公司内控合规管理的要求。”平安产险董事会秘书王仕永介绍说。

  其次是系统的制度管理平台,这是平安产险的一个创新。这个平台按部门、业务对外部监管和公司制度文件进行归集索引,还融合了公司的组织架构和各业务部门的作业指导,共4大模块,所有制度文件和工作流程,在这个网络平台上集中管理、实时更新发布,非常易于查找,目的是让员工及时掌握和执行公司制度,做到有章可循。

  内控评价和合规检视也是合规平台的重要举措。“我们分别从公司层面和具体业务流程层面,定期对经营管理中的风险点进行识别和评估,并运用集团统一的内控评价系统平台统一管理,通过抽取样本覆盖来测试控制效果的好坏,测试结果都显示在系统里,而集团内控管理中心也能一目了然,这就能够很好地掌握公司内控状况。”王仕永表示,内控评价时,公司严格规定了程序和工具,甚至包括具体业务环节的细致入微的风险信息、控制措施及针对每一个控制点的具体测试程序,“有严格的工具和表格保证内控测试结果不是拍脑袋出来的,而是经过严格、扎实地测试出来的,能够反映实际内控体系设计和运行状况的”。

  平安产险合规部除了日常工作以外,还有一个重要职责是开展合规培训教育,提高全员合规意识。部门定期汇总编辑一份《合规动态》,使员工能够及时接触到最新的政策法规、合规理念和实际案例。

  2009年2月,新《保险法》出台,更加强调保护被保险人的利益,同时拓展了资金运用的渠道,强化了监管的力度。对于新《保险法》和旧《保险法》之间的差异,集团法律部门制作下发了一个详细的解读,但产险公司不满足,重点抓学习效果和实际落实,借此深入推进合规经营。“集团全系统的知识竞赛一共设六个奖项,平安产险得了其中五个奖项。”

  平安产险管理层非常强调合规从高层做起、从干部做起,每年都组织合规知识竞赛等活动。更绝的是,平安产险的所有干部,不分年龄大小、资历深浅,都必须参加新出台的法规知识的闭卷考试。为此,公司搭建了相应的学习及考试平台,每个人必须从自己的账号登录学习参加考试。考试结束张榜公布成绩,优异者的“奖励”是一摞法规书籍。

  王仕永丝毫不怀疑考试的重要性和作用。“合规经营,干部的观念和法规知识水平是关键,全员合规意识是基础,通过学习平台和知识竞赛、强制考试,平安产险的全员合规意识和法规知识得到提升,这是平安产险提高合规管理水平的重要手段。”

  平安银行的内控实例

  作为中国平安的子公司,平安银行其实还是一个新生的银行。从2007年平安集团整合前深圳商业银行算起,到现在也就三年的时间。甫一开始,集团就空降了豪华的外籍高管团队。如果说开始是为了更好的国际化,现在,平安银行则实现了更好的相互借鉴、相互促进,实现了国际化背景下的本土化成长。

  由于银行业的风险具有累积性和突发性的特征,因此,必须要有一个强大的风险管控机制来支撑企业的可持续发展。平安银行代行长叶望春指出,这两年,平安银行的评级从五级提升到两级,其中一个不可忽视的因素就是认真落实监管部门对合规的要求,重点是实施了后台集中,而这种后台集中在其他银行还没有做到。

  他举例说,假定平安银行的某一个柜台接收一张原始凭证,该凭证会很快被扫描到上海张江后台中心进行录入,再由张江中心把数字传送到成都的核算中心审核、记账,以确保核算的合规合法性,这是平安银行的内控优势所在。

  有观点指出,平安银行及深发展的下一步整合,主要取决于内控。尤其是中国平安内部能不能在各子公司之间形成有效的防火墙进行有效地风险隔离。事实是,中国平安已经构建了一系列符合其风险管控要求的防火墙机制,并有完善的关联交易控制机制,严禁出现价格非公允的利益转移或输送,做到合规、公允、有序。

  “如果我们跟信托投资公司有合作,这些都需要合规也有额度的限制。我们是独立的法人,系统也是独立的。”叶望春表示。

  “关联交易一定要有防火墙,还要有非常健全的统计、报送和审批机制,我们董事会设立了关联交易委员会,专门关注此类事项。”平安银行法律合规部副总经理李峻峰解释说,平安银行按照前中后台彻底分离的方式,在战略布局上,合规搭建了风险管控的整体框架。集团已经给各子公司搭建了一个比较好的风险管理和内控平台,平安银行的风险管理是在全面风险管理的基础上更加强调条线化,也就是流程化。“流程化银行要求你的风险管理专业化,除了前中后台分离的内控要求外,必须按照信用风险、流动性风险,市场风险、操作风险、声誉风险等系列化分类,把所面临的全部风险识别、区分出来,从风险文化、资源配置、规划分析、制度安排、系统支持、动态监督和信息反馈等多维度开展全流程管理。”

  采访中,记者注意到,在整个平安集团,目前已经实现了公章集中管理。因为分支机构掌握着实体公章会蕴藏潜在的道德风险。一旦出现问题,当事人虽然会受到惩处,但是公司的风险已经形成。公章集中管理后,可以保证每盖一个公章,都要经过流程的审核,通过内控措施和IT系统的结合来防范风险。

  和产险高管的考试不同,平安银行的外籍高管有自己独特的合规文化推行方式。

  平安银行的高管团队以外籍人士为主,包括首席执行官、首席风险官、首席财务官等,在合规事项的推动方面,他们都有着丰富的国际先进经验。集团之所以选聘外籍高管,是因为他们是行业中的典范。对于金融机构要求尽快做大做强的诉求和风险管控的实际从客观上来说是有冲突的,走得越快,出现问题的可能性也就越大。平安银行高级管理层很好地解决了这一难题。

  平安银行高级管理层不仅让平安银行快速稳健地发展起来,而且合规意识非常强,注重从细节上推动、支持合规工作。平安银行每年都举行合规考试,高管主动、带头参加考试;总行行长们每年分头深入支行宣讲合规;还有就是在每次合规活动期间,总行行长亲自抽查各级干部的参与程度。有段时间,每天中午一点半,李峻峰都要到前任行长理查德的办公室,把全行干部的名单给他,他从几百人的名单中随机拨打电话,就活动中的具体内容进行提问,进行现场翻译,电话中答不上来的人就会很被动。问题虽小,但是干部很容易感受到高层是真正重视,而不是开开会走走过场就完事。

  从银行角度来讲,合规与内控是银行健康、稳健发展的必备基础。从董事会、高管层到执行层,合规与内控的要求无时不在。合规与内控状况是银监会对银行评级的重要参考因素,也是衡量一个银行抵御各类风险和经营管理水平高低的重要标准。在内控方面,平安银行希望通过巩固和坚持不相容职责分离等内控原则,始终保持业务发展中的“零”案件,形成全面覆盖、管控有效的内控体系。任何细节,不管是审核的,还是业务发起端的,都很难作假。在合规方面,平安银行希望通过塑造良好的合规文化和有效规范员工行为来建立起支撑业务高速发展的合规体系。近年来,陆续举行了“合规促强大”、“牢记合规”、“整序兴诚”等合规文化活动,建立了整改跟踪与员工异常行为监控与举报等合规机制。“一天的业务下来,都会有人检查合规的落实情况。查出来就会上报。谁出了合规的问题,就要得到红黄蓝牌的处罚。这些制度、宣传、活动、机制已逐步使合规成为大家的自觉行动。”代行长叶望春说。

  内控评价体系

  内控做得好不好,不是自己随口说了算,而是必须遵循《企业内部控制基本规范》要求,建立健全内控评价体系。“内控评价实际上是给了大家一套方法,让大家对履职过程中的风险和制度流程的控制力进行持续的评价。如果发现薄弱环节,就必须改进。”叶素兰说。

  为此,中国平安采取了相应的内控评价体系:一是合规部门指导业务部门进行自评;二是稽核监察部门的进行独立评价,主要看业务部门的自评是否到位,然后进行抽查,看看是否存在内控缺陷;三是外部审计机构对内控情况的审计,并出具审计报告。

  有了评价还要与考核挂钩,平安的做法是将合规与风险状况、内控评价结果融入KPI指标,进行考核与问责。通过实施红黄蓝牌处罚制度、员工违规行为处理执行标准、案件责任追究制度等进行事后惩戒。从经营成果真实性、经营行为合规性、内部控制有效性和经营决策科学性等方面形成管理层绩效评价,作为考核晋职奖惩依据。评价之后是整改追踪和外部机构的独立审计和监督。

  “内控不是某个部门的事情,也不是独立于业务之外的东西,我们将制度融入流程里,流程融入系统里,这样就很难违规。因为对业务流程的每个控制点如何,业务部门最清楚,真正提升内控的意识,人人有责,制度加执行,内控文化必须落到实处。”董事长马明哲表示。

  在平安看来,有效管控风险仅是基础,树立最高道德标准和企业典范,提升客户、股东、员工与社会的信赖是平安风险管控工作更远的目标,将信赖建立在制度与标准上,将信赖建立在流程与机制上,促进平安有效益可持续健康发展,为民族金融业的安全稳定、发展强大而不懈努力。他们是这样想的,也正在这样做。

↵ 返回文章列表