华泰资产管理有限公司 闫景园 史君宇
2012年至2017年是我国保险资金运用的市场化改革时期,从2018年起,保险资管行业正式进入了“规范发展和严监管”时期。保险资产管理公司通过加强内控,可以有效地防范职业欺诈,提高企业的运营效率和财务报表的可靠性,对于保险资产管理公司的可持续发展具有重要意义。本文探讨了内部控制的起源和发展,并结合境外实践及研究分析了保险资产管理公司加强内部控制的必要性,同时针对保险资产管理公司如何加强内部控制提出了建议。
一、“内部控制”的起源和发展
内部控制的起源可追溯到20世纪70年代初的水门丑闻,水门事件作为美国政治史上最具有影响力的事件之一,提高了美国政府对内部控制的重视,促进了对政府透明度监督和问责制的健全,对美国甚至国际社会的政治、商业产生了长远的影响。2001年,美国当时最大的能源、商品和服务公司之一安然(Enron),因为涉嫌大规模财务舞弊而破产。当时,许多高管利用会计漏洞和非法手段来虚增收入和利润,隐藏公司真实的债务水平。安然事件发生仅一年后,美国电信巨头世通公司(WorldCom)也爆出了通过将大量的费用支出计入资本项目的手段虚增38亿美元收入的事件。同年,美国办公设备制造业巨头施乐公司(Xerox)和全球第三大药厂默克公司(Merck)等财务造假问题也相继发生,使投资人和全美民众的恐慌情绪上升到顶点,股市暴跌。安然和世通等公司的事件震惊了全球金融市场,重伤了美国投资者信心,股东也因此遭受了巨大的损失,引发了民众对公司治理和监管机制的担忧,也彻底打破了民众和投资者“能够依靠企业道德约束来保护自身利益”的信仰,进一步增强了各方重视企业治理和内部控制的意识。美国政府和证券交易委员会(SEC)随后加强了对公共公司的会计和财务报告的监督和审计,加速出台萨班斯-奥克斯利法案(SOX法案)等,旨在加强对公共公司内部控制和财务信息披露的监督和管理,尽力避免类似安然事件再次发生。
2004年,美国 COSO 委员会颁布了《企业风险管理——综合框架》(以下简称“ERM框架”),该框架是响应SOX 法案、在 COSO委员会所颁布的内部控制框架的基础上构建的,明确了企业风险管理基本概念、组成部分和要素的重要参考标准。在此之后的加拿大COCO框架、印度2013年公司法、英国2014年公司治理准则等均对ERM框架有所参考,都要求管理层证明内部财务控制的存在及其有效性。
虽然风险管理与内部控制已经在较为成熟的资本市场发展了几十年,但境外监管机构仍然随着市场、环境和理念的变化不断更新内部控制框架和企业风险管理框架。COSO 在2013 年更新的内部控制框架中明确指出内部控制对于企业运营和管理的重要性,认为有效的内部控制可以减少风险、提高操作效率并促进企业发展,2017年更新的ERM框架也指出内部控制与风险管理要实现融合。
我国财政部等五部门于2008年5月颁布了《企业内部控制基本规范》(以下简称《基本规范》)。《基本规范》是财政部结合我国实际情况,融合、参考了 COSO 风险管理和内部控制先进经验而形成的基本内部控制规范。2010年4月颁布的《企业内部控制应用指引》及《企业内部控制评价指引》(以下合称《指引》),为中国企业内部控制做出了进一步规定和指导。为了有效控制系统性风险,并促使保险机构加大内部控制能力的投入,以便在保险资金用过程中让市场主体发挥更大的作用,原保监会于2015年发布了《保险资全运用内部控制指引》和《保险资金运用内部控制应用指引》。
二、保险资管公司加强内部控制的必要性
(一)弱控制体系导致职业欺诈和内控失效
国际注册舞弊审查协会(ACFE)2022年发布的《2022年职业欺诈:致全球的报告》显示,ACFE通过对全球范围内(包含亚太地区)欺诈案例的大量调查统计后得出结论:导致职业欺诈的最常见因素是缺乏内部控制,其中:29%的舞弊案例中没有足够的控制措施来防止欺诈的发生;20%的案件涉及凌驾于现有内部控制之上,这意味着虽然有些公司已经实施了防止欺诈的机制但欺诈者仍然能够找到漏洞来规避控制;26%的欺诈案件来自管理者审核制的缺失和不严格的企业文化。这些数据表明,近一半的欺诈行为是可以通一个更完善的内部控制体系来防范的。
图4-11 ACFE《2022年职业欺诈:致全球的报告》
在内部控制中,控制环境是其他内控要素的基础,而高级管理层的态度和道德准绳则是构筑控制环境的重要基石。美国近年来监管措施日渐严厉,尤其是监管处罚的金额连年增长,甚至同等情形下几倍于国内罚金。即使在如此高压监管下,高管道德意识不到位,是导致内部控制人员无法开展有效内部控制评价的重要原因之一。美国证券交易委员会(SEC)在2021年9月3日指控卡夫亨氏公司和该公司前首席运营官爱德华多-佩利松(Eduardo Pelleissone)与前首席采购官克劳斯-霍夫曼(Klaus Hofmann)参与了长达数年的会计欺诈计划,卡夫亨氏公司为此支付了高达6,200万美元的罚款。根据SEC的指控,霍夫曼没有为采购部门设计和维持有效的内部会计控制,导致财务和审核人员多次忽视费用被不当计入的迹象。佩利松发现了卡夫亨氏公司内部有通过操纵与供应商的协议来管理支出的迹象,但他却没有应对这些风险,反而向采购部门施压要求实现不切实际的目标。尽管在管理过程中种种迹象表明采购部门的员工规避了内部控制,但霍夫曼仍然批准了几份不当的供应商合同,进一步实施了不当行为,并极力证明采购部门财务报表的准确性和完整性。作为卡夫亨氏公司信息披露委员会的成员,佩利松随后还批准了公司的财务报表。
(二)良好的内部控制可以降本增效
在强监管模式下,高效的内部控制正逐渐成为一项关键的竞争优势,特别是在资产管理行业,内部控制显得尤为重要。随着管理团队的参与度不断增加,企业面临着来自环境变化和发展中新兴风险的挑战。同时,快速发展的技术也带来了新的机遇和风险。此外,客户、商业伙伴和监管机构对投资领域的期望也在不断提高。这些因素共同推动保险资产管理公司加强内部控制,以有效管理风险、适应变革,并满足各方的期望。内部控制正在从一种必要的限制演变为一种有价值的工具。当经济增速放缓或下滑时,客户和合作方更加关注公司的风险控制过程和效果。全球第七大独立会计和咨询公司Grant Thornton 的合伙人经过长期的审计实践后总结出来一个观点:“一个拥有强大内部控制环境的公司可以斩获更多的消费者信心,这是业务增长的关键。”
Kenchel等人在2006年到2008年三年间针对企业内部控制、公司治理与各项外部费用(特别是外部审计费)的研究证明,当公司治理与内部控制没有受到严格的监督时,公司各方相关利益者之间的复杂博弈往往会导致对所有形式的控制及外部费用的投资增加,其中就包含了审计费用。Boulhaga等人在2022年对法国2012年至2018年686个上市公司的研究中发现,内部控制对财务报表的信息质量的影响呈显著正相关,一个好的内部控制系统可以减少权责发生制下的收益管理活动,提高财务报表的可靠性,从而达到降本增效的目的。
三、对于保险资产管理公司建立良好内部控制的建议
2012年至2017年是我国保险资金运用的市场化改革时期,从2018年起,保险资管行业正式进入了“规范发展和严监管”时期。2018年4月,央行等四部门推出《关于规范金融机构资产管理业务的指导意见》,在历经三年整改过渡期后于2022年1月1日正式落地。原银保监会于同年发布的《保险资产管理公司管理规定》中要求,“保险资产管理公司应当建立健全内部控制制度和内、外部审计制度,完善内部控制措施,提高内、外部审计有效性,持续提升业务经营、风险管理、内控合规水平”“保险资产管理公司应当委托外部审计机构每年至少开展一次资产管理业务内部控制审计,针对外部审计发现的问题及时采取整改措施,并按规定向银保监会报告”。
目前大多数保险资产管理公司已经根据《企业内部控制基本规范》和《保险资产管理公司管理规定》等一系列监管规定建立起了公司的内部控制体系,并开展了内部控制工作。尽管如此,部分公司仍然对内部控制工作存在困惑,或者出现内部控制体系设计相对完善但实际执行中存在偏差的情况。这些会削弱内部控制本身的地位和内控工作的效果,也从另一方面说明企业并未真正认识到内部控制是企业不可或缺的管理手段。
内控建设难点在于如何按照国内监管政策和企业特点,结合不断更新的COSO框架,创造适合的控制环境、识别并评估风险、通过控制活动对主要风险进行控制、保证整个业务活动中信息传递顺畅并对内部控制体系的运行进行持续有效的监督。因此需要从公司层面予以保障,同时提升各个环节的内控合规意识,强化内部控制的职能和地位。
(一)提升管理层的内控和道德意识
COSO新框架中,控制环境包括“组织正直和道德的价值观”,也就是说董事会和高级管理层为内部控制的重要性(包括预期的行为标准)提供高层定调(the tone at the top)。后续的治理监督、组织搭建、权责分配和人才发展等均在此基础上才能够开展。同时,随着企业规模的扩大和组织结构的复杂化,设立内部控制部门或增加独立的内部控制职位变得尤为重要,这样做有助于实现有效的治理结构、科学的决策过程以及良好的组织运行,并促进有效的权力分配与职责划分。
(二)建立健全并动态完善内部控制系统
保险资产管理公司内部控制系统的一个非常重要的方面是能够保持有效性,能够突出关键控制点、分清主次,并且随着时间的推移、外部环境的变化和企业的发展不断改进。同时,内控不能独立于业务之外,而应与业务相结合,形成一套完整的体系。建立内部控制的三道防线可以加强风险管理和内部控制,同时明确员工角色定位和责任。业务部门作为第一道防线,在反复实践中对自身的业务要求和流程有深入了解,但由于业务导向的天然属性有时可能无法意识到精简流程所带来的效率和安全性提升。因此,作为第二道防线的内控部门的支持和协助在优化业务部门流程方面至关重要。
此外,即使内部控制已经实施,也需通过定期评估让内部控制体系更加灵活,并在保险资产管理业务的快速发展中适应调整。除了因为业务需求增加的控制以外,如果外部环境和自身业务的变化使部分风险点不存在了,还需要适当地减少流程,才能保证控制措施一直维持必要和有效运行。
(三)注重员工日常的内部控制培训
保险资产管理公司需要加强员工的内部控制意识,使其能够充分认识到内部控制的重要性。内部控制的实施不仅是内控(风险)部门或者是管理层的责任,各部门员工都应该根据实际应用认真参与设计和实施控制程序,并通过定期更新不断改进。第一道防线就是企业运营和管理第一线的业务人员,他们最了解本部门业务流程,故承担着内部控制首要责任,如果一线员工能梳理、完善并实施有效的流程,明晰内控责任,其实就相当于建立了大部分有效的防范措施。因此,建立内控三道防线拥有全员参与性,应由所有相关方共同参与。
为此,保险资产管理公司可以加强内部控制培训,提高员工的内部控制意识,当内部控制发生变化时及时通知相关员工,规范内控行为;引入内部控制绩效考核机制,促进员工在内部控制方面的表现;加强对内部控制规定的宣传,确保员工能够清晰地了解内部控制规定。
(四)建立内部监督体系,设立道德热线
仅2023年上半年,SEC就向吹哨人颁发了超过3亿美金的奖金,对违反吹哨人保护规则的企业收缴了3500万美金的罚款(统计自SEC官网)。受SEC奖惩措施和相关监管规定的影响,境外各大企业也建立了自己的监督、举报及道德热线,这一政策可以鼓励组织内部的员工和管理层遵守道德标准和合规规定,促使组织进行内部调查、纠正和改进措施,建立良好的声誉。但是,吹哨人的权力不应是无限的,企业内部的调查机构应针对举报内容调查后得到足够的证据,才能根据组织规定进行适当的纪律处分。
(五)加强信息与沟通
顺畅的信息与沟通离不开良好的内部控制的流程和环节。保险资产管理公司除了应当保证自上而下的沟通顺畅外,还应建立起自下而上、跨部门、跨团队的沟通方式,让员工能够提供反馈和建议,帮助公司识别问题。对外应与客户和外部合作伙伴进行共享信息、有效沟通,了解客户和合作伙伴的需求和期望,建立互相信任的关系。同时在对外宣传上,公司也要向外界宣传准确、一致的信息。
(六)注重信息系统的控制
不管是2010年颁布的《指引》,还是近期国内研究,都强调了信息系统和科技化建设的重要性。近年来,保险资产管理行业一直在探索金融科技手段的广泛应用,工作中的很多环节都依赖于信息系统和技术的支持。然而,这也造成了一些公司拥有过多的独立IT系统,甚至出现系统管理混乱导致重复工作和信息流通不畅的情况。在IT系统的内部控制上,保险资产管理公司可以结合国际上通用的“信息及相关技术控制目标”(COBIT)、国内的《企业内部控制基本规范》及 18号应用指引——信息系统以及解读,将内部控制嵌入信息系统的规划、开发、运行和维护中。如在规划环节,统一规划;在开发环节,将业务流程、内控措施、权限配置,预警指标、核算方法等固化到信息系统中等。
(七)完善内外部事后监督活动
内控(风险)部门是企业的二道防线,是事中的控制,而审计部门则是企业的第三道防线,是事后的控制。内部审计部门可以通过事后的评估和审计评价内部控制系统的有效性,可靠、独立的第三方外部审计机构可以验证财务报表和其他信息的准确性与可靠性。通过定期审计,一方面使管理层和员工都能够参与内控建设并进行沟通反馈,另一方面可以发挥内外部审计的监督作用,帮助组织识别问题并采取改进措施,提高运营效率和效益。
注①:《企业风险管理——综合框架》(Enterprise Risk Management – Integrated Framework)
注②:收益管理活动(Earning Management Activities):在会计中,收益管理是一种利用会计技术改善公司财务状况外观的方法。公司利用收益管理来展示稳定的利润,并平滑收益波动。操纵财务记录的最常用方法之一是使用能产生较高短期收益的会计政策。
注③:吹哨人:指所在企业或组织存在重大问题、严重威胁公众利益时,不惜面临巨大危险勇敢揭露的人。
[作者简介] 闫景园,华泰资产管理有限公司风险合规部总经理;史君宇,华泰资产管理有限公司风险合规部合规经理。