(一)国外寿险公司内部控制发展情况
从企业追求利润最大化和持续经营等目标的角度看,建立管控经营风险的内部控制体系是寿险公司经营的前提和基础。国外寿险业在经过长时间的发展以后,充分认识到内部控制对保险公司永续经营的重要性,因此,寿险公司在坚持稳健经营的前提下,建立了较为完善的内部控制体系,并成为寿险公司管控风险的第一道防线和重要组成部分。具体来说:
1.政府监管促进了寿险公司内部控制的建设。
从国际经验看,保险监管者一个非常有效的监管方法就是督促保险公司完善其内部控制。完善的内部控制是实施以偿付能力监管为核心监管制度的基础和前提。从偿付能力监管的第一个层次来看,保险公司的内部控制建设涵盖产品开发、销售、承保、理赔、投资等保险经营的全过程,其中重点包括人力资源、业务、财务、法律以及信息技术管理等方面。
国际保险监督官协会在其有关保险监管核心原则中,将内部控制作为单独的一项原则提出,该原则指出,保险监管机构应当可以监管经董事会核准和采用的内部控制,在必要时要求其加强内控;可以要求董事会进行适度的审慎监管,如确立承保风险的标准、为投资和流动性管理确立定性与定量的标准。监管者有权要求保险公司董事会、高级管理人员对公司进行适当控制和谨慎进行各项工作。在欧盟,这些“适当的控制”包括保险公司设立识别、控制承担的风险和再保险的各种衡量指标。
加拿大和美国的动态偿付能力测试(dynamicsolvencytes-ting,DST)的发展促进了寿险公司内部控制的建设。动态财务分析(dynamicfinancialanalysis)通过分析在许多种假设组合下保险公司的现金流量变化,监测保险公司对将来可能发生的负面不利变动情况的抵御能力。动态财务分析报告由保险公司指定精算师负责,此报告被视为指定精算师与董事会和管理人员进行交流的一种工具,这样可以使风险更明确,并且有利于制定适当的策略以减少和管理风险。而且这一专业报告的特点是由指定精算师个人签署,并以个人的专业责任对其负责,指定精算师有责任从专业角度保证报告合乎要求。由精算师协会制定精算实践标准,以提高这些报告的一致性,确保重要事项包含在报告内。英国的监管部门现在要求保险公司内部的指定精算师(在专业指导中)对该公司进行动态财务分析,并且及时向公司的董事会及监管部门汇报动态财务分析结果。
2.将内部控制纳入公司整个风险管理体系中。
国外许多公司在实际经营中将内部控制纳入公司整体风险管理体系,设立了专门的风险管理部门或者指定专门部门负责公司内部和外部风险的管理。
以两家寿险公司为例。A人寿保险公司和B人寿保险公司采取了两种不同形式的内部控制和风险管理的组织架构与模式。A人寿保险公司设有首席风险官和专门的风险管理部门,而B公司则采取了专门业务部门负责特定风险管理和内部控制的模式。两种模式都对公司面临的内部和外部风险进行全面的风险管理。从国外寿险公司内部控制和风险管理的实践看,尽管不同公司采取的风险管理模式存在一定的差异,但是其内部控制一般都是通过完善的制度设计和有效的实施机制来完成的。
3.建立了完善的内部控制体系。
国外许多寿险公司都建立了规范和完整的内部控制标准,并将内部控制标准融入到流程设计和流程改造中,对员工进行培训和教育,将内部控制标准深入到所有员工的日常工作和行为中,以降低寿险公司的经营风险,维护公司的社会形象和股东利益。在岗位设置上,与国内寿险公司相比,国外寿险公司的最大特点是在于制度化的岗位设置。每一项工作均能做到程序化控制,根据业务经营的程序进行岗位设置,并做到重要岗位相互分离和监督制衡。同时,国外寿险公司重视内部控制的执行,建立了较为完善的激励约束机制。
4.形成了比较完善的权限管理制度。
国外寿险公司强调权力和责任的制衡。组织机构、管理部门和业务管理岗位间相互监督和彼此制约的特征十分明显。公司内部强调行政和业务双向管理,讲求制度第一、权力第二。重要职能与关键岗位的设立也存在一定的制衡。公司总经理在行政管理上可行使直接决策权,但在涉及风险选择和业务决策上,却需要业务垂直管理部门的决策。同时,配备专职核保、核赔人员,实行承保与理赔职责分离,展业与核保分离;建立承保和理赔人员的分级授权制度,规定各级承保和理赔人员的授权范围与职责。同时,重视授权工作并严格权限管理。在核保权、核赔权、核单权、查询权、报账权、法人授权等日常权限管理中,比较广泛地使用双签制度,虽然在某种程度上影响效率,但可增加透明性和少出差错。
5.注重发挥内部审计的监控职能。
国外寿险公司一般在总公司设有独立的审计部门,直接对公司董事会负责,定期或者不定期地对下属单位的内部控制执行情况采取不事先通知或随机查询的方式,重点多是权限的控制和执行情况,制度建设是否完备,财务制度和会计规则是否有效执行等。
(二)国内寿险公司内部控制发展情况及存在的问题
我国有关内部控制的行政规定起步较晚,1996年12月财政部发布了《独立审计具体准则第9号———内部控制和审计风险》,其中将内部控制定义为:内部控制是指企业为了保证业务活动的有效进行,保证资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序,由控制环境、会计系统和控制程序构成。很明显,它是基于当时占主导地位的内部控制结构理论,它的目标定位较低,局限于会计查弊纠错,忽视了提高经营效果和效率也应是内部控制的重要目标,况且它是从审计的角度用来对企业内部控制做出评价的。
1999年11月颁布、2000年7月实施的《会计法》明确提出各单位应当建立健全本单位内部会计监督制度,要求会计工作中职务分离,对重大事项决策与执行程序以及财产清查和定期内部审计等进行内部控制,它是我国第一部体现了内部控制要求的法律,对我国内部控制理论和实践产生了巨大的推动作用。财政部于2001年6月22日发布了《内部会计控制规范———基本规范(试行)》,这是我国第一部从企业自身管理角度出发制定的内部控制规范。
我国有关金融企业内部控制的行政规章推出得也较晚。1997年5月16日,中国人民银行颁布了《加强金融机构内部控制的指导原则》,这是我国第一部有关金融企业内部控制的监管文件。它对我国金融机构加强内部控制建设起到了历史性的作用,但是由于其内容与国际上主流的内部控制理论存在一定的差距,且其内容不够全面和完整,2002年,根据国内金融业的发展情况,中国人民银行对这一文件进行了修改和完善。
为防范经营风险,建立健全保险公司内部控制,促进保险业的稳步、健康发展,1999年8月5日,中国保监会制定了《保险公司内部控制制度建设指导原则》。该原则颁布之后,国内各寿险公司按照其要求制定了相关的内部控制制度,并按照业务发展要求和监管要求,不断完善内部控制体系。2002年3月,保监会颁布了《保险公司高级管理人员任职资格管理规定》,以加强对保险公司高级管理人员的管理,保障保险公司的稳健经营,2003年7月又对该规定进行了修改。2004年4月,保监会颁布了《保险资金运用风险控制指引(试行)》,以规范保险资金运用,完善风险控制机制,推动保险公司、保险资产管理公司进一步加强保险资金运用管理,有效防范投资风险。
尽管保险监管部门颁布了一些有关寿险公司内部控制建设的规章,许多寿险公司也在内部控制方面进行了大量的探索与创新,但目前在建设和实施方面还存在许多问题,主要表现在以下六个方面。
1.对内部控制重视程度不够。
部分寿险公司不能站在影响公司生存发展的战略高度上看待公司内部控制建设,重业务轻内控的问题仍然存在。有的寿险公司把内部控制看做是一本本的手册、各种文件和制度;也有的寿险公司把内部成本控制、内部资产安全控制等视为控制;有的寿险公司对内部控制的认识还未理性化,没有认识到内部控制可以给公司带来利益;有些寿险公司的内部控制对管理者缺乏必要的约束和监管;有的寿险公司不能保证会计和统计数据的真实性与准确性,内部稽核和外部审计制度形同虚设,削弱了内部控制的监督效率,增加了保险公司经营风险和保险监管的难度与成本。实际上,目前在保险市场经常发生的分支机构违法违规行为,反映出上级公司仍然存在着以保费规模论英雄、以规模为发展目标的经营指导思想。存在这种问题的原因主要在于外部环境对国内寿险公司强化内部控制标准的要求不高,导致公司并不关心内部控制标准对公司能够带来的经济及社会利益,公司认为所谓的走“擦边球”似的路线能够帮助公司获得期望的利益,而没有考虑到由于内部控制失效对公司造成的损害可能是致命的。
2.内部控制目标过于简单化和形式化。
目前,部分国内寿险公司的内部控制目标仅仅局限于查错纠弊、会计资料的真实合法和保证业务活动的有效进行等方面。这与国外COSO的目标定位相比有相当大差距,缺乏动态性和前瞻性。对内部控制的目标往往单纯从会计、审计的角度出发,关注的范围仅仅局限于企业作业层的控制,有些公司甚至把内部控制仅仅理解为内部牵制,还没有形成对内部控制系统整体的把握。另外,缺乏对内部控制的前瞻性思考,往往过多地考虑先行条件的限制,侧重于对内部控制的准则、条例的制定与修改,使目标流于形式。主要表现在:一是制度内容相对陈旧,不能客观地反映保险市场的实际情况;二是制度要求相对滞后,不能及时地跟进监管法规的相关规定;三是内控指标比较单调,缺乏对违规经营行为全面真实的反映,侧重于静态控制,不能对经营过程进行实时监控和预警;四是内控技术手段落后,基本上没有全面运用现代信息技术手段识别、检索、汇集、分析和处理信息资料,不能及时发出有效的监控指令;五是内控处理措施乏力,一些保险机构内控部门由于受主客观因素的影响,对内控检查发现的违规问题,往往采取避重就轻的办法进行象征性的处理,导致内控处理措施乏力。
3.内部控制环境有待改善。
内部控制作为由管理当局为实施各项管理目标而建立的一系列规则、政策,与公司治理结构及管理是密不可分的。由于目前国内还没有颁布专门的保险公司治理结构指引,寿险公司治理结构按照一般股份公司的要求来设置。尽管各寿险公司相应地设置了独立的股东大会、董事会和监事会以及各专门的委员会,制定了专门的议事规则,但是,在实际工作中,监事会、董事会的监控作用严重弱化,其内涵和经营机制与有效的法人治理结构的要求相比还有很大的距离,个别寿险公司甚至存在着严重缺陷,公司未能从根本上建立起符合公司发展需要的公司治理机制。在组织架构和岗位设置方面,存在着不能严格按照业务运作程序设置部门、岗位设置职责不清等方面的问题。在企业文化方面,由于许多国内寿险公司成立时间较短,企业文化建设关注不够,在内部控制建设和实施中还没有发挥出其应有的作用。
4.财务控制作用有待加强。
目前财务核算或管理软件已经得到普及,各个层次或功能的财务管理或核算软件能够帮助财务人员提高效率并确保核算数据的正确性和及时性。但是,寿险公司的基础财务管理水平与管理层对财务数据的要求有一定的差距,财务控制的作用发挥得有限。一些寿险公司在管理过程中,财务控制并没有起到监管及控制业务风险的作用,而只是为了完成必要的程序流于形式;许多内部控制常用的工具和技术,如预算管理、内部控制标准、财务预警机制等,并没有在寿险公司内部得到实际运用。
5.激励约束机制不健全。
我国企业内部控制的一个薄弱环节就是激励约束机制不健全,或者由于考核和检查主体缺位,或者没有认真地考核,使已经制定的制度无法落实。目前寿险公司内部控制实施中缺乏有效的激励约束机制,对违反规定的人员没有明晰的处罚条款,执行主体缺位,使得各项内部控制运行效果不理想。例如,寿险公司制定了相应的授权审批制度,但由于缺乏及时高效的内部信息传递机制,难以及时发现和制止越权行为。
6.内部审计功能发挥有限。
许多公司虽然有较为健全的内部控制制度,但是各项内部控制措施落实不到位,制度执行的自觉性和执行效果却大打折扣,存在着制度上写的是一套、做的是另一套的现象。这其中的一个重要原因就是内部审计功能发挥不充分。尽管国内各寿险公司总公司设立了独立的稽核部门,但是,由于长期以来形成的观念以及组织、人事制度和权限等方面的原因,内部审计部门的人员相对比较少,仅仅从事一些必要的离任审计和常规审计,没有充分发挥公司内部审计的职能。
