搜索
中国平安保险(集团)股份有限公司2007年度内部控制自我评估报告第一部分前言中国平安保险(集团)股份有限公司(以下简称国平安或公司)一向以国际化标准、专业透明的公司治理而著称。公司建立的权责制衡的内部监管体系,专职专业问责制的董事会、高度负责的监事会、国际水准的高级管理队伍以及架构完整的各专业委员会,为公司持续稳健发展提供了保障。公司率先采用国际会计师审计、聘请独立的外部精公司、国际咨询公司,并在同行率先引入海外高级管理人才和国际先进的管理体系。公司自1988年成立以来始终致力于构建符合国际标准和监管要求的内控管理体系,2007年公司开展内控架构改革,重新规划并设立了集团统一的内控管理机构--内部控制管理心。通过完善专业子公司合规管理架构、建立合规管理政策和工具,合规的事前风险防范作用开始显露;各职能心和专业子公司通过建立、完善内部管理制度,精部门、各业务部门和各级机构对日常经营风险的监控进一步加强;通过全系统稽核监察架构改革建立的稽核垂直管理体制,实现了稽核监察资源的集中管理和调配,审计的独立性得到最大程度的保证,同时通过优化稽核、审计平台,推行远程审计,提高了稽核检查监督的工作效率。事前、事中、事后风险管控辅成、相互制衡的内控管理三道防线愈加坚固,有效防范了经营决策及管理风险,确保了公司的稳健经营。2007年度公司采取的系列内控完善改进举措,使得公司内部控制执行情况在规范成熟的公司治理结构、统一的内控管理、完善的制度体系、先进的管控模式和得力的团队管理的内控环境呈现不断优化态势。现将本公司的内部控制情况报告如下。第二部分公司内部控制基本情况一、公司治理集团控股,分业经营,分业监管,整体上市高度概括了公司国际化标准的公司治理结构。公司根据《华人民共和国公司法》、《上市公司治理准则》等关法律法规建立了完善的公司治理结构,股东大会、董事会、监事会,和管理层职责明确,并建立了完备规范的议事规则、决策机制、决策评估、责任追究机制和独立董事制度。股东大会、董事会、监事会,和管理层之间各负其责、规范运作、相互制衡,在内部控制的权责清晰,为公司内部控制目标的实现提供了合理保证。2007年6月,公司被亚太区著名杂志《CorporateGovernanceAsia》及亚洲企业各界联合评选为亚洲企业治理2007年度杰出表现奖,是获得该奖项历史上唯一的中国大陆金融及保险企业,显示公司规范成熟的治理结构获得泛认同。二、集团内审地位及架构设置为强化董事会决策功能,确保董事会对管理层的有效监督,完善公司治理结构,根据《公司法》、《保险法》、《审计法》及公司章程等相关规定,在董事会授权下,公司于2002年成立了由半数以上独立非执行董事组成的集团审计委员会,全面审查和监督公司财务报告、内部审计方案及内部控制有效性,审阅和审查财务、经营、合规、风险管理情况。集团内审地位及架构设置为公司内控建设提供了强有力的组织保证。目前集团内审地位及架构设置如图示:董事会审计委员会集团稽核监察部上海分部深圳分部综合管理室IT稽核室监察室稽核监察部门稽核监察部门平安资产管理深圳平安养老险平安健康险分支机构分支机构平安产险平平安信托平安证券稽核监察部分支机构稽核监察部辖区机构分支机构安寿平安银行辖区机构险(各专业公司设立稽核监察部门)三、公司内控制度建设及实施情况公司自成立以来一直注重内控制度建设,按照法律、行政法规、部门规章以及上市规则的要求建立了涵盖公司层面、下属部门及附属公司层面、各业务环节层面及各项相关管理活动的较为健全的内部控制制度。2007年公司根据监管政策、行业准则以及公司管理制度的变化,进一步完善公司内部控制制度,并朝建立国际一流的内控体系迈进。在注重执行的企业文化引导下,公司内控制度得到有效实施,2007年公司开展全面制度、流程检视工作,推动了制度、流程的完善优化和执行。稽核工作反馈情况显示业务活动合法合规性提高,员工违规行为减少,大案要案率显著下降。四、公司风险控制活动作为综合金融服务集团,公司在集团风险管理委员会(以下称风管会)策划下,建立了风管会统一领导下的由各系列风险管理执行官、专家小组构成的覆盖各专业公司的风险控制体系。保险、银行和投资系列的风险管理执行官,分别负责监管保险系列子公司(产、寿、养老、健康险公司),投资系列子公司(资产管理、证券、信托公司)及银行系列子公司(深圳平安银行)。保险及资产管理专家小组共同管理保险ALCO。银行系列风险管理委员会下设资产负债委员会、风险政策委员会、巴塞尔新资本协议管理小组,全面负责银行的风险管理。(一)业务风险控制1、保险类业务作为以保险业务为核心的多元化金融服务集团,公司建立了完善的保险业务风险控制体系。风险控制活动涵盖所有业务经营管理各方面,主要包括产品开发、销售管理、核保核赔管理、服务质量管理、咨询投诉管理、再保业务管理、单证印鉴档案管理、业务处理系统、客户信息交叉使用等各环节。集团风管会及所属保险专家小组、资产管理专家小组共同管理保险资金的资产负债匹配风险,定期评估利率风险、市场风险、信用风险。每监控环节都充分明确了每类风险的识别、评估与防范控制措施。公司还建立了产、寿、养老险区域管理体制,进一步实现了业务经营管理的统一化、标准化、规范化。有关保险业务的风险控制活动详见附件1。2、投资类业务集团风管会监控投资业务风险,通过投资业务风险执行官和各子公司的风险管理部,定期识别及量化各业务线的市场风险、信用风险、流动性风险、集风险及外汇风险。集团合规部监控政策法规风险及运营风险。有关投资类业务的风险控制活动详见附件2。3、银行类业务银行风险管理委员会负责监控整体风险管理。风险政策委员会具体负责制定、管理风险政策;首席风险执行官组织、领导全行风险管理工作。总行设立了相关职能部门具体负责风险管理工作。风险控制活动涵盖授信、资金、存款及柜台、间业务等各业务环节,有效防范了银行资产负债匹配失衡风险、市场风险、信用风险、流动性风险及组合战略风险。有关银行业务的风险控制活动详见附件3。(二)财务控制公司历来重视财务风险的控制,控制活动涵盖财务会计制度、职务牵制、财务报告、实物资产管理、资产减值准备管理、负债管理、预算控制与费用管理、财务系统、资金控制、税务管理等方面。此外,公司正在推行会计作业的集处理模式,确保财务、会计信息真实、准确。有关财务方面的风险控制活动详见附件4。(三)人事管理控制人力资源管理心负责公司薪资、绩效和员工关系方面的操作和管理,通过制定并执行一系列配套规定、管理制度、办法及操作手册等,确保人事管理符合国家和地方的关法律法规、维护员工合法权益且满足公司企业文化和战略执行的需要。薪资管理方面,公司制定了薪资管理制度,明确公司薪酬理念、薪酬体系、各方职责及薪酬管理具体操作流程,并根据各级人力资源部门的管理成熟度进行分级授权和定期检视、动态调整,在确保决策效果的基础上提高了决策效率。人力费用纳入费用预管理体系,通过对人力预编制过程的监控和预执行结果的考核,确保人力预编制科学、合理,人力费用使用合规。薪资计,包括税金等各项扣款均通过薪酬系统自动执行;薪资支付采用集支付模式,授权统一由集团的员工服务心转至员工的银行帐户;薪酬系统数据通过系统接口进入财务核系统,进行对应的财务核,减少人为干预,保证薪资计、支付和财务核的安全、准确,降低风险。2007年,公司引进国际先进的PeoplesoftHR管理系统,进一步优化该模式,加强各环节的管控,提高系统稳定性和效率。绩效管理方面,为深入贯彻竞争、激励、淘汰机制,提高员工的绩效能力,确保公司战略目标有效达成,公司不断优化绩效管理体系,秉持结果导向、成败全责的绩效管理理念,通过事前明确目标、事检视与辅导、事后考核与结果反馈的过程管理模式,确保绩效结果公平、合理,并以此作为各项奖惩的基本依据,针对性地采取不同措施激励和促进员工自觉提高绩效水平,让优秀人才脱颖而出,保持队伍的活力和公司持续的市场竞争力。2007年,公司引进PeoplesoftHR管理系统,作为绩效管理的核心IT平台进行流程控制和管理。员工关系管理方面,公司制定有《异动管理操作手册》,对入司报到、转正、内调、借用、实习、离司等环节的操作流程进行了详细释义,规范各异动环节的操作和管理,确保异动手续合法合规且得以顺利办理。合同的新签、续签、解除、终止等方面,公司均依据国家和地方的劳动法规办理,同时根据人员类别、岗位重要性及绩效考核结果确定合同签订期限、试用期及违约、补偿金额等。人事档案管理方面,公司制定有《人事档案管理制度》,严格按照国家档案管理制度相关规定,遵循统一管控、分级管理、安全保密的原则,对员工的人事档案进行了科学、规范的管理,有效归存和利用。招聘管理方面,公司制定了各类人员招聘管理制度,根据人力规划和招聘目标进行人员需求分析、招聘信息发布、应聘信息收集、人员筛选等全过程管控。招聘活动遵循明确计划、规范标准、突出潜质、严格核人、责任追踪、高效服务和定期检讨的策略,以确保招聘效率和招聘质量。(四)信息技术控制作为金融企业,本公司一直关注使用信息技术来提高风险防范能力,在系统设计和开发时已经充分考虑了风险管控功能,通过对各风险点的事前及事逻辑校验和控制,建立系统数据完整性和有效性的检查机制,有效防范内部和外部道德风险;通过数据库触发器建立全面的数据修改事后稽核机制,增强数据库审计手段,从而有效地防范经营风险。公司采用信息系统和数据集中管理的模式,所有信息系统和数据集在总部管理。信息管理心负责全公司信息系统的开发和维护,其他职能心和保险专业子公司作为信息系统的用户,并不承担系统的开发和运维。信息管理心的内部控制主要体现在以下六方面:1.组织架构信息管理心下设开发、运营、规划三系列。各系列划分为多职能部门,各职能部门职责清晰、分工明确,保证了信息技术的规范管理,有效地降低了内部技术管理风险。IT开发服务系列主要负责公司信息系统的开发和测试;IT运营服务系列主要负责公司信息系统(包括基础设施和应用系统)的运行监控和维护,保证系统能够正常运行;IT规划服务系列主要负责协助业务规划,信息管理心内部工作流程的制定、事务管理和重大项目管理。系统开发部门只负责系统开发,系统维护由系统运营部门来操作。同时,针对某些特别重要的工作,信息管理心成立专门的部门和岗位来负责,做到专人专岗。例如:成立了应用开发支持部,专门负责应用系统的测试;成立了信息安全组,为公司信息和信息系统安全建设提供技术支持;每开发部门都有QA岗,管理开发项目的质量。2.系统开发控制系统开发和修改由开发部门负责,基于CMMI2级标准创建了一套最基本的软件开发项目的过程管理体系,包括:项目策划、项目监督与控制、过程与产品质量保证、软件配置管理、统一的需求管理体系、基本的项目开发生命周期。开发的程序代码通过ClearCase进行统一的保存和版本管理,制定了明确的项目复审、项目变更、项目配置管理、项目质量监控等控制流程。3.系统运营控制应用系统的维护由IT运营服务系列负责,运营服务流程遵循ITIL标准,有详细、完整的系统运营操作文档。所有的新建、变更、撤销操作都必须经过严格的审批和测试,确定没有问题后才能实施。对于应用系统业务数据的修改必须获得业务部门的审批和授权。系统运行实现7*24小时监控,对于系统异常能够及时发现、报警、处理,保证系统的稳定运行。帐号管理方面,公司核心业务系统使用公司的UM(用户管理)系统进行统一的帐户和权限管理。帐号权限的申请必须经过业务部门负责人的审核,帐号的管理操作由信息管理心系统运营部统一处理,并每半年对系统帐号权限进行集中的清理。UM系统与人事系统关联,确认申请员工身份,及保证员工离司后,其帐号和权限即时失效。信息管理心虽然负责信息系统的开发和维护,但是要求信息管理心内员工不能有业务系统的业务操作权限。在深圳和上海建立了两数据心,管理所有基础设施和应用系统服务器。数据心的建设符合国家标准,其管理通过了ISO9001认证,实现7*24小时监控,并定期对基础设置进行检查和测试。4.网络管理目前公司的业务包括保险、银行、投资等