【案例】平安内控：法规+1

天堂里的猫

做好内控和风险管理工作的核心，是发挥治理架构和人的作用——这是马明哲对平安内控和风险管理工作的要求。

　　在确定将中国平安(微博)(40.05,0.02,0.05%)发展目标定位为国际领先的综合金融集团之后，公司董事长马明哲就提出，平安要践行“法规+1”(法规有明确规定的，坚决严格执行；法规未明确规定的，按照更高的道德自律标准确定行为规范)的内控标准。具体来说，就是要构建符合国际标准和监管要求的内部控制体系，根据国家法律法规及各监管机构要求，瞄准国际一流现代金融企业的经营管理标杆，结合公司综合金融发展战略及经营管理需要，有效实施“覆盖全面、运作规范、针对性强、执行到位、监督有力”的内部控制运行机制。

　　2008年6曰28日《企业内部控制基本规范》发布后，中国平安高度重视、立即行动组织项目组贯彻落实，聘请国际知名咨询公司协助项目实施，遵循“务实整合”的核心原则，秉持“以制度为基础、以风险为导向、以流程为纽带、以内控平台系统为抓手”的思路，将内控体系再次整合升级，具体包括：修订了《内部控制评价管理办法》、《内部控制自评手册》，进一步健全内控制度体系；构建了内控评价系统平台，为管理层提供风险状况及决策支持；并逐步建立完善了内控评价日常化运作机制，实现“内控人人参与、合规人人有责、内控融入业务和流程”等。

　　建设“三位一体”的管控机制

　　在内部控制治理架构与体系方面，中国平安董事会对内部控制的有效性负最终责任。中国平安董事会是一个依托本土优势并践行国际化公司治理标准的董事会，现有19名董事中，有3名独立非执行董事及5名非执行董事来自海外，这些海外董事均为金融、保险、财务、法律等专业领域的资深人士，负责内部控制的建立健全和有效实施，董事会下设审计与风险管理委员会，负责监督、审查公司内部控制的有效实施和内部控制评价情况，协调内部控制审计及其他相关事宜。

　　中国平安集团设立内控管理中心，包括合规部、风险管理部、稽核监察部；各专业公司层面设立相应的合规、风险管理、稽核监察职能部门。公司持续优化内部控制体系，在公司副总经理兼首席稽核执行官叶素兰(其作为首席稽核执行官根据《审计与风险管理委员会工作细则》直接向董事长、董事会审计与风险管理委员会报告工作，以确保独立性)的统筹协调与管理指导下，不断加强“合规管理、风险管理、稽核监察”三个模块职能的分工与协作，强化工作衔接与信息共享以及“事前、事中、事后”的三位一体风险管控机制。叶素兰向《董事会》表示，“三位一体”指三个专业部门在风险管控中分工、配合与协作，强化事前、事中、事后风险管控。其中，合规部门主要履行“风险事前策划应对”，风险管理部门主要履行“风险事中监测控制”，稽核监察部门主要履行“风险事后监督报告”。业务部门是风险管控的第一道防线，中国平安通过建立内控评价与考核问责，将内部控制与日常经营管理融合，嵌入业务和流程，确立内部控制的核心驱动力，将风险管控尽可能前置。合规部门和风险管理部门是第二道防线，稽核监察部门是第三道防线。

　　针对综合金融可能存在的关联交易、风险转移、资本重复计算等风险，中国平安通过建立完善严格的“法人防火墙”、“财务防火墙”、“交易防火墙”和“信息防火墙”等防火墙制度，将单一/累积风险控制在远低于集团可接受的水平范围内。

　　值得一提的是，平安一直致力于建立一个以国际领先综合金融服务集团为目标，与自身业务特点相结合的全面风险管理体系。其通过完善的组织架构、规范的管理流程、定量与定性相结合的风险管理技术方法，进行风险的识别、评估和控制，支持业务决策，促进集团有效益可持续健康发展。

　　中国平安总经理任汇川对《董事会》感慨道：“风控体系非常独立和严格，集团强调法规+1，之所以能放心也是因为有这套体系。”

完善正是其关键。

天堂里的猫

　　完善内控评价机制

　　内控评价机制方面，中国平安确立了以内控评价方法论为基础，覆盖全部业务部门进行内控自我评价，风险管理部门进行内控风险评估，稽核监察部门成立专门的评价小组进行内控独立评价，外部审计师对公司内控状况进行审计的内控评价机制。

　　中国平安的内部控制评价工作严格遵循相关外部监管规定及公司内部控制评价办法规定的程序执行。由公司合规部牵头，会同各业务及相关管理部门进行管理层内控自评，由公司稽核监察部实施内控稽核独立评价，相关责任部门根据内控缺陷及整改建议制定并执行整改计划。中国平安不断完善管理层内控自评和内控稽核独立评价流程，通过加强项目管理、过程管理、质量复核、固化项目方法和程序、评价结果分类等内容，规范管理层内控自评和内控稽核独立评价工作的开展。公司通过内部控制系统平台，完成内部控制评价的发起、测试、汇总、复核、审批、整改追踪、结果分析等工作。管理层内控自评和内控稽核独立评价过程中，公司通过访谈、资料收集与研讨、专题研讨、与行业最佳实践对比、培训等方式，收集、确认、分析相关信息，确定与实现公司整体控制目标相关的风险，并在此基础上辨识与细化相对应的控制活动，然后针对控制活动进行穿行测试和运行有效性测试，获取充分、相关、可靠的证据对内部控制的有效性进行评价，并书面记录工作底稿。从定量和定性等方面进行衡量，判断是否构成内部控制缺陷，对发现的内部控制缺陷，督促相关单位或部门进行整改，并对整改结果进行核查和确认。

　　中国平安外部审计师安永华明会计师事务所对其财务报告内部控制发表的审计意见认为，于2011年12月31日中国平安按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。

　　打造信赖工程

　　做好内控和风险管理工作的核心，是发挥治理架构和人的作用——这是马明哲对平安内控和风险管理工作的要求。中国平安对完善内控过程的总结还包括：管理层的高度重视是内控工作实施的必要条件；组建权责清晰、运作高效的内控组织架构是内控工作实施的前提；进行内控考核与问责是内控工作实施的驱动力；外部咨询公司的力量是内控工作实施的专业支持；内控工作需要依托公司现有基础，完善、优化、整合升级，一般情况下不宜推倒重来。

　　在之前的基础上，自2010年始，中国平安着力打造“平安信赖工程”，力求将信赖建立在制度与流程上，将信赖建立在机制与平台上(如目前中国平安建立了内部控制评价管理电子平台，该系统主要包括内部控制的管理模块、风险自评模块、关键风险指标模块、损失事件管理模块，从内部控制角度对系统分级，明确各层级业务部门、合规部门、稽核部门在系统中的角色定位)。

　　合法合规、有效管控风险仅是基础，中国平安董事会的用意是：树立最高道德标准的企业典范，提升客户、股东、员工与社会的信赖是平安合规管理、内部控制与风险管理工作更远的目标，将信赖建立在制度与标准上，将信赖建立在流程与机制上，促进平安有效益可持续健康发展，为民族金融业的安全稳定、发展强大而不懈努力。中国平安要做百年老店，百年老店必须建立在完善的机制平台基础上，而内控的持续