中国平安的企业内控建设

　　对于中国的大多数企业而言，内部控制更像是一个昂贵的“消防栓”，付出成本进行内控体系、流程和规则搭建，主要是为了应付合规需要和突发事件，能把内控做到形具而又不拘于形的企业不多。在过去的二十多年，从体制、机制到企业文化，中国平安不经意间将内控——这一高深的管理艺术熟谙，已经成为内控和风险管理领域的杰出标杆。

　　公司治理是内控的核心保证

　　“内部控制，简单说就是确保集团运作过程中不出问题。”叶素兰说这番话时嫣然一笑。

　　这位中国平安集团总经理助理兼首席稽核执行官看似轻松的吐露，其实潜藏着一份胸有成竹。谁都清楚，面对保险、银行、投资三大板块业务，近11000亿元的庞大资产，其间对风险的防范需要何等的控制力。而事实上，中国平安就凭借着卓越的治理、高效的风险管控和高速成长的经营业绩，已经成为中国金融业的一面旗帜，一根标杆。

　　作为金融国际化的先行者，中国平安不断吸收引进境外金融业巨擘成熟的管理经验，实现了从运营、管理和治理脱胎换骨的进化。2002年10月引入汇丰集团这个战略投资者之后，公司风险管理和内控体系的完善，也很自然地融入汇丰的理念；2008年6月，随着《企业内部控制基本规范》的正式发布，平安率先落实内控法规要求，进一步整合升级内控体系，形成了自身鲜明的特点。

　　目前，中国平安建立了“集团控股、分业经营、分业监管、整体上市”的组织架构。其中，集团的定位是“有所为，有所不为”，创造集团整体协同价值，发挥战略方向盘、经营红绿灯和业务加油站的作用，落实到董事会层面，负责战略决策，合规风控，代表股东管理和分配资本，并行使监督职责等；集团和监管部门共同构成双重监督体制，各金融子公司分业经营，分别接受对应监管部门的监管；子公司间设有严格的防火墙，严控治理风险、资金风险、财务风险、信用风险、交易风险、信息风险等的传递与系统性风险；集团由于整体上市，公司治理层次清晰、运作透明、信息披露真实及时全面，可以有效根据发展需求动态、均衡配置资源，降低整体风险。

　　集团董事会专设“审计与风险管理委员会”，由6位独立董事组成，领导集团内控管理中心，与运营、产品等业务模块独立。内控管理中心下辖合规部、风险管理部和稽核监察部，由集团总经理助理兼首席稽核执行官统领履行职责。内控中心将内控嵌入业务和流程，融入日常化运作，确立了内控评价机制，确保实现内控人人参与、合规人人有责，同时实现内部控制体系的整合升级。

　　据悉，中国平安目前从集团到各子公司，甚至各子公司的分公司，都已基本搭建完成内控和风险管理的架构和体系，确立了以“促进整个集团有效益可持续健康发展”为公司内控与风险管理的战略定位和长期目标，建立了“覆盖全面、运作规范、针对性强、执行到位、监督有力”的“三位一体、三道防线”风险管控运行机制，确保集团并督促子公司经营管理合法合规、符合监管要求，确保单一/累积风险低于公司可接受水平，确保整个集团健康持续发展。

　　“三位一体、三道防线”主要是体现了在风险管控过程中的角色与职责划分，协作与联动机制，不同企业会有不同的内涵、外延和组成形式。据介绍，平安根据各类相关法律法规和监管规定，风险管控要求，以及综合金融战略发展与经营管理需要构建了符合平安实际情况的风险管控的组织架构、职责分工和协同机制，并在平安规范的公司治理，清晰的集团定位，紧密的集团管控，强大的执行力文化基础上履行职能、紧密配合、彰显价值，有效管控风险，树立典范和领先。平安的“三位一体”是三个专业部门在风险管控过程中分工、配合与协作，是强化事前、事中、事后风险管控三个环节的功能，通过建立与完善制度机制、技术平台、监督和文化，提升风险管控的水平和价值。其中，合规部门主要履行“风险事前策划应对”；风险管理部门主要履行“风险事中监测控制”；稽核监察部门主要履行“风险事后监督报告”。“三道防线”反映了平安的风险管理策略，业务部门是第一道防线，通过建立内控评价与考核问责，将内部控制与日常经营管理融合，嵌入业务和流程，确立内部控制的核心驱动力，将风险管控尽可能的前置。合规部门和风险管理部门是第二道防线，稽核监察部门是第三道防线。同时，平安聘请国际会计师、国际咨询公司等外部独立机构定期对公司进行独立审计、对内部控制的有效性进行独立评价、对风险管理体系的进一步完善和优化提供咨询与建议。金融企业经营的是风险，作为综合金融集团的平安更是如此。对于风险管控，平安善于将合规的制度基因植入流程，流程嵌入系统。通俗地说，就是把复杂的事情简单化，简单的事情流程化，流程的事情标准化，标准的事情IT化。

　　在集团层面，平安建立了统一的风险定义和分类，统一的风险计量和汇总方法，为集团风险的并表管理打下了基础。“每家子公司都有风险监控的体系，在集团，我们主要是并表管理，每季度进行压力测试。某些风险在单一子公司可能不是问题，但并表到集团，就有可能变成高风险。”叶素兰表示。

　　凭借着丰富的信息系统管理经验，她善于运用“风险热图”监控风险。“我们现在的常规稽核完全是风险导向的。我们每年把过去一两年发生的风险做成风险热图，通过绿橙红等标示不同风险等级的颜色，能够直观发现整个系统内哪些风险点比较高。而平安的全国运营管理中心也在实施很多非现场的监控和风险预警。”

　　为了持续改进，集团内控管理中心每年都会对一些重要的流程进行评估，检视流程有没有因为新的业务、产品而产生新的风险。目前，平安还正在实施国内首家综合金融集团全面风险管理(简称ERM)项目，覆盖投资风险等主要风险类别，结合动态风险量化工具和技术，设定相应风险预警限额，完善限额监控机制，为科学合理地建立公司风险偏好体系提供尽可能全面准确的风险动态量化分析，确保单一/累积风险低于公司可接受水平。“我们现在是并表管理，希望以后变成一个可以在后台的监控，更好地动态度量风险。”叶素兰说。

　　事实上，类似三道防线的说法在国内其他企业并不鲜见，为什么有些企业的重大风险屡屡出现？“做好内控和风险管理工作的核心，是治理架构和发挥人的作用。”集团董事长马明哲指出，只有董事会及下属专业委员会充分发挥作用，高管层高度重视自觉参与，并且守规矩去做每一件事，才能真正做好内控。

　　叶素兰透露，为了持续完善和改进内控与风险管理，中国平安目前着力打造专业高效内控管理团队和不断创新内控管理手段。创新的内控管理手段包括内部控制有效性评估、三位一体风险管控、全面风险管理、战略项目合规支持与“四新”合规评审、风险并表管理、动态风险监控与预警、专项/远程/突击/IT/任中审计、机构风险评级与管理层评价、强大的IT系统支持、红黄蓝牌处罚、内控/案件问责等11个方面。创新手段为主导，常规稽核重点转为风险导向合理化建议。

　　“公司如果不守规矩，代价就太大了。任何单位和部门一旦有重大案件发生，就可能会失去业务或机构拓展的机会或资格，从而会影响发展速度。证券部门则会评级下降，丧失推广新产品的机会。个人也一样，集团高管大约一半来自海外，包括我自己，如果事业上有任何污点，将影响我们未来的职业生涯。”她感言。

　　自上而下合规理念的渗透、传递和内化，背后彰显着强大企业文化的生命力，而“法规+1”则是践行这一文化的行动准则。在2003 年度的系统工作会上，马明哲董事长提出了“法规＋1”的概念。法规有明确规定的，坚决严格执行；法规未明确规定的，按照更高的道德自律标准确定行为规范，坚决“不打擦边球”，不钻政策空子，要保证公司的经营行为经得起任何法规、时间和道德标准的考验。换句话说，“法规＋ 1”就是要用高于法规原则的道德标准来处理事情。或许有人认为企业做到“遵纪守法”就够了，为什么还要提出“法规＋ 1”的概念，用高于法律的道德标准给企业套上“笼头”，这不是给自己“找麻烦”吗？马明哲董事长说这是“建设最高道德标准企业”对我们提出的要求。

　　中国平安一直在全系统不遗余力地倡导和建立“自觉合规、健康发展”的内控环境与文化，眼下“不敢违、不能违、不愿违”的合规意识深入人心。“不敢违规，是因为检查很容易发现问题，包括在线远程的异常指标提取和分析，威慑力是很大的。如果干坏事就会被发现，侥幸心理大大降低；不能违规，说的是通过制度、机制等，让人没有做坏事的机会，或者无法一个人完成；公司通过文化、激励机制引导，也让员工不愿意违规。”集团合规部副总经理张云平表示，中国平安倡导“内控合规使你持续成功”，合规并不是简单的提出问题，还要帮助解决问题。“内部控制与风险管理工作不仅仅是公司和专业内控部门的事情，它和每一位员工的利益密切相关，它按统一标准建立起员工履职尽责的记录、树立个人品牌、获取他人信赖，它使员工职业生涯更安全更长久，它鼓励员工寻求最佳实践、提高工作效率。”张云平解释说。

　　内部控制和风险管理已然领先的平安备受外界关注。除了境内外媒体的赞赏评奖不断外，来自央行等国内权威部门和行业巨头也纷纷调研取经“平安模式”。但公司并未就此止步，采访中记者获悉，集团内控管理中心已经有了一系列新的计划安排，月底还准备到香港的廉政公署考察取经。

　　改革、创新与风控，被平安视作有效益可健康持续发展的永恒主题。如何妥善处理三者之间的关系？董事长马明哲颇有远见地指出，随着社会经济的日益繁荣与发展，科学技术的进步，人们生活水平的不断提高，生活节奏的持续加快，引发了消费者对金融产品和服务需求的变化，这成为金融创新的核心推动力，也促使“金融超市”、“一站式金融服务”等综合金融成为发展趋势。平安始终致力于探索“综合金融”道路，坚持“在竞争中求生存，在创新中求发展”。当然，创新会面临风险，会存在诸多障碍与问题，但平安仍将瞄准国际一流现代金融企业的经营管理机制标杆，践行“法规＋1”、风险管控与健康发展，持续提高抵御风险的内控机制保障能力。