根据银保监会《关于开展银行业保险业“内控合规管理建设年”活动的通知》(银保监发﹝2021﹞17号,以下简称17号文)相关要求,各公司在完成第一阶段的方案制定工作后,目前已进入第二阶段(7月-9月)的自查自纠工作阶段,根据17号文相关要求,各银行保险机构需对照工作要点逐项开展自查整改,同步开展屡查屡犯问题集中整治,并于9月10日前报送阶段性工作报告及附表。监管部门希望通过活动持续开展,引导机构从“被动合规”转向“主动合规”,促进机构构建适当的内控合规管理体系,完善动态优化机制,切实提升一二三道防线的独立性、协同性和有效性。因此,在各机构后续的自查整改、集中整治工作中,一二三道防线不仅要做好自身工作,还要相互协作共同达成预期工作目标,这不仅是贯彻执行监管要求的规定动作,同时也是保险机构自身内控合规工作长治久安的关键举措。本期文章,小编带大家重点梳理一下“三道防线”在内控合规管理建设中的主要职责和重点关注事项。
01
—
三道防线的职责
小编在前期文章《2021年,保险业的“内控合规”整合元年?——“内控合规”相关监管规定梳理》中,曾就涉及内控合规的主要监管规定做过基本介绍。下面我们看看监管规定对三道防线的职责是如何界定的。
《保险公司内部控制基本准则》(保监发〔2010〕69号)则对内部审计在内部控制体系建设中的职责有如下界定:保险公司应当建立由董事会负最终责任、管理层直接领导、内控职能部门统筹协调、内部审计部门检查监督、业务单位负首要责任的分工明确、路线清晰、相互协作、高效执行的内部控制组织体系。保险公司内部审计部门对内部控制履行事后检查监督职能,内部审计部门应当定期对公司内部控制的健全性、合理性和有效性进行审计,审计范围应覆盖公司所有主要风险点。审计结果应按照规定的时间和路线进行报告,并向同级内控管理职能部门反馈,确保内控缺陷及时彻底整改。保险公司内部控制评价应当由公司内部审计部门、内控管理职能部门和业务单位分工协作,配合完成。
根据《保险公司合规管理办法》(保监发〔2016〕116号)的规定,合规管理是保险公司全面风险管理的一项重要内容,也是实施有效内部控制的一项基础性工作。保险公司董事会和高级管理人员应当推行主动合规、合规创造价值等合规理念,促进保险公司内部合规管理与外部监管的有效互动,董事会对公司的合规管理承担最终责任。保险公司应当建立三道防线的合规管理框架,其中,保险公司各部门和分支机构履行合规管理的第一道防线职责,对其职责范围内的合规管理负有直接和第一位的责任,应当主动进行日常的合规管控,定期进行合规自查,并向合规管理部门或者合规岗位提供合规风险信息或者风险点,支持并配合合规管理部门或者合规岗位的合规风险监测和评估。保险公司合规管理部门和合规岗位履行合规管理的第二道防线职责,向公司各部门和分支机构的业务活动提供合规支持,组织、协调、监督各部门和分支机构开展合规管理各项工作。保险公司内部审计部门履行合规管理的第三道防线职责,定期对公司的合规管理情况进行独立审计。
综上所述,内部审计在保险公司内控合规管理体系中最主要的职责可以简单概括为检查监督、事后评价,内部审计与业务单位、内控合规职能管理部门分工协作、互相配合,共同成为保险公司内控合规组织体系的有力保障,详见下图:
02
—
17号文中涉及内部审计的工作要点
基于前文所述的监管规定,17号文对“内控合规管理建设年”活动开展中涉及内部审计的相关工作,也提出了明确具体的要求,现梳理出监管通知中对内审工作的如下要求(因各公司内审职责可能会存在差别,以下仅供参考):
(1)内控合规治理架构:内部审计部门要夯实内控监督职责,开展内控充分性和有效性审计并监督整改。
内审职责:开展内控审计及监督整改。
工作安排:内控充分性、有效性审计应结合在日常审计工作中有序开展,这是日常审计项目的主要内容之一;审计后的监督整改是重点,也是难点。
(2)集团并表管理:内部审计部门定期对集团并表管理的有效性进行审计。
内审职责:开展集团并表管理有效性审计,仅适用于保险集团。
工作安排:结合审计日常工作按计划有序开展。
(3)狠抓重要岗位关键人员管理:国有银行保险机构要配合纪检监察派驻机构改革,构建内控与风险、审计、财会、巡视、纪检监察等联合监督机制,严查金融风险背后的腐败问题,严防利益输送和道德风险,对从业人员腐败行为零容忍。
内审职责:协同相关部门做好关键人员管理和风险排查,适用于国有保险机构,其他保险机构参考。
工作安排:应建立与相关部门的协同机制,包括但不限于信息共享和协同检查等。对于日常高管审计或其他常规审计中,涉及重要岗位、关键人员的线索或审计发现,应做好与相关部门的沟通协调处理。
(4)推动屡查屡犯顽疾根源性治理:整改问责要坚持更严标准和更高要求,责任部门要就整改情况进行自评,内控管理职能部门要做好后续跟踪监督,内部审计部门要开展整改验证,打造“揭示问题-落实整改-警示问责-检验成效-完善管理”的全闭环治理机制。
内审职责:屡查屡犯问题整改验证。
工作安排:根据监管通报及机构核查情况,明确要重点关注的屡查屡犯问题清单,确认责任部门整改完成情况,并通报公司各相关部门,该项工作应结合日常审计工作开展和审计发现问题整改跟进安排给予重点关注;为确保问题整改验收工作的质量和高效,应建立明确规范的整改验收工作流程;应建立与内控责任部门、内控管理职能部门、责任追究部门等相关条线部门的协同机制,确保信息的有效及时沟通。
(5)做实内部控制评价监督的动态体系:突出常态治理,深化内控合规管常管长机制建设,开展常态化的内控检查排查和内部控制评价,切实将内控评价监督作为提升风险管理和内控有效性的重要抓手,做到防患于未然;要建立健全内控评价监督结果的信息反馈和报告机制,明确内部报告路径,年度内控评价结果经董事(理事)会审议后按规定报送监管部门。
内审职责:内控检查和评价工作常态化开展,以及内控评价结果的充分沟通和报告。
工作安排:建立适当的内部审计内控评价沟通机制很重要,日常审计工作中,内部控制的检查和评价均应作为常规内容在报告中予以披露,并应做好信息沟通工作,确保各相关方及时了解内控评价结果和做好后续跟进;在做好年度内部控制评价工作的基础上,有条件的机构,建议增加半年度(甚至季度)内部控制评价报告机制,并在公司内部明确信息沟通机制和内部报告路径,根据监管要求及时报送监管部门。
03
—
内控合规管理建设的长期机制
内部审计是内控合规管理建设中的重要环节,其主要职责是对内控合规管理工作的检查监督和评价,而内控合规管理工作是贯穿于保险公司各个工作流程中,贯穿于日常工作中,但传统的事后检查和静态评价机制,不能做到及时检查和反馈,其评价的及时性和有效性有时无法满足管理的需求,因此建立对日常业务工作内控合规情况的动态监测体系,不论对于内部审计,还是对于内控合规职能管理部门,都是未来需要加强的重要举措,也是17号文中监管重点强调的安排事项。
内控合规管理建设中,做好顶层设计,建立充分有效的内控合规管理体系,深化内控合规文化建设,这是良好的内控合规管理的基础,在此基础上,加强内控合规管理的常态化治理,将内控合规要求嵌入各项业务流程中,逐步实现管理制度化、制度流程化、流程信息化、信息智能化,则是建立及时有效的内控合规管理体系的长期机制,也是内部审计工作从事后监督转向事前事中监督的实现路径。随着“内控合规管理建设年”活动的逐步推进和有序开展,各保险机构对于建立内控合规管理长期机制将会形成更多共识,而内控合规管理工作的提升,也必将为保险业的健康稳定发展提供坚实保障。