一、我國上市保險公司內部控制資訊披露存在的問題
1、制度執行不到位。
雖然相比一般的上市公司,上市保險公司對相關制度的遵循總體還是較好的,但分析其歷年披露的內控資訊,發現上市保險公司對制度的執行或多或少都有不到位之處。如中國平安2011年的內控評價報告,並沒有遵照上交所的規定報送附件,披露格式指引規定以外的公司內部控制的相關情況。中國人壽在2011年之前的內控資訊披露都很簡單,並沒有按上交所或保監會的要求披露更具體的內控資訊。另外在執行相關制度時,保險公司也會帶選擇性地執行某些制度要求,而不是全面遵照執行。
2、制度執行標準不統一。
由於我國內控資訊披露制度起步較晚,相關制度也處在不斷建設與完善中,梳理現有的與上市保險公司內控資訊披露相關的制度,主要有證監會、財政部及保監會發布的規範,政出多門,規範要求不統一,這樣導致不同的上市保險公司選擇執行不同的制度要求,內控資訊的可比性大大降低。如中國平安內控報告2007年遵照的是上交所指引的要求,2008年遵照的是保險公司內部審計指引的要求;而中國太保內控報告2008年、2009年遵照的是保險公司內部審計指引的要求,2010年遵照的是保險公司內部控制基本準則的要求;2011年則與上交所2011年的格式指引要求一致。
3、有用資訊不足,內控資訊質量亟待提升。
內控評估報告形式上是越來越規範了,但有用資訊卻並沒有增加,甚至還有減少,資訊使用者真正關心的問題不披露或披露較少,比如企業內控缺陷的認定標準。內部控制缺陷認定標準的確立是內控評價中的基礎性和關鍵性問題,對於確定內控缺陷,進而對內控缺陷進行整改都有著非常重要的影響。內控規範體系將內部控制缺陷劃分為重大缺陷、重要缺陷和一般缺陷,要求上市公司根據自身情況和關注的重點,確定的具體認定標準並披露,只有中國人壽在2011年的報告中對此進行了詳細披露。
4、資訊披露不全面,披露的基本上是正面資訊。
對於資訊使用者關注的內控缺陷,卻不願詳細說明公司存在哪些具體內控缺陷,這些缺陷會給企業帶來哪些影響,企業針對缺陷採取哪些改進措施等等。再如《保險公司內部控制基本準則》要求公司在評估報告中披露上一年度發生的違規行為和風險事件及其處理結果,但並沒有一家公司披露過,當然這並不是因為它們沒有違規行為。
5、資訊冗餘,無用資訊過多。
如年報中公司治理結構部分對公司內部內部控制制度的建立和健全情況的披露,不同的公司有不同的理解,不僅沒有可比性,更重要的是形式多於內容,多提供的是資訊使用者不關心的工作總結似的內容。內控評估報告中對內控五要素的披露,文字過長,無用資訊過多,妨礙了有效資訊的傳遞。
6、保險公司對內部控制的認識與理解需要提升。
2004年COSO頒佈《企業風險管理———整體框架》,風險管理有八個要素組成:內部環境、目標設定、事件識別、風險評估、風險對策、控制活動、資訊與溝通、監督。從將風險評估作為一個要素到進行風險管理整體框架研究,可以看出內部控制與風險管理的趨同性和風險這一因素在內部控制中的作用和地位越來越重要。而從上市保險公司披露的內控資訊來看,大多公司還未建立以風險為導向的內部控制體系,對內控的認識甚至還停留在合規性層面,沒有認識到內控對於提高經營效率效果、促進企業實現發展戰略的作用。
二、完善上市保險公司內控資訊披露的建議
(一)企業層面
1、提高企業對內部控制建設與內部控制資訊披露的認識。
高質量的內部控制資訊披露是建立在企業良好的內部控制體系基礎上的。保險公司內控建設中存在有首要問題是領導不重視,企業管理層對內控的理解停留在應付相關監管部門的檢查上,沒有真正理解內部控制提高經營效率效果、促進企業實現發展戰略的目標。沒有企業高層領導的身體力行,企業不可能形成良好的內控環境與文化,更不可能配備適當的資源,為企業內控建設提供強有力的組織保障。因此提升保險企業公司治理水平,在公司治理層面保障內控制度的建設與執行,逐漸建立企業高層對內控的戰略意識,克服企業短期業績模式,從理念上重視內部控制對企業持續經營的作用。
2、建立適合企業的內控評價體系。
科學合理的內控評價體系是內控體系建設至關重要的'一環。不論是理論研究還是企業實務操作,內控評價在我國起步較晚,方法體系都處在摸索階段。雖然五部委頒佈了內控評價指引,但該指引只是一些原則性的規定,並未提供給企業一套完整的方法體系,企業必須在內控建設過程中,針對企業實際情況,結合行業性質與業務特點,遵從《企業內部控制基本規範》,明確企業內控的評價目標、評價標準、評價內容、評價程式、評價方法及評價結果的認定,從而建立起適合自身的內控評價工作的組織和方法體系。
3、加強保險業內控人才建設與培養。
內部控制專業人才的缺乏是保險公司內控建設的一大障礙。保險公司的內控建設是一項的系統工程,需要既瞭解保險行業特點、熟悉公司的運營情況及面臨的風險,又具備內控專業知識的綜合性人才。因此企業需要建立適合企業自身的內部培養內控人才的機制,加強內控業務培訓,切實提高人員技能素質,重點培訓企業高階管理人員。
(二)制度層面
1、加強制度建設。
一方面,不同部門的制度需要統一標準。雖然保險公司遵循的內控資訊披露制度在不斷完善,但是制度本身存在的問題不容忽視。《企業內控基本規範》及其配套指引是五部委聯合釋出的,但對內控規範體系的解讀,不同的管理部門又有不同的細則或解釋,增加了企業遵循成本與執行難度,影響資訊的可比性與有用性。如內部自我評價報告披露範圍是否僅限於財務報告內部控制,還是應涵蓋所有內部控制,不同部門的規章定位不一樣,證監會將其定位於財務報告內部控制,而財政部門則定位於企業內部控制。因此統一內控建設與內控資訊披露的標準,將涉及的各部門的內控規章制度進行梳理,協調處理現有規範不一致的地方,是後續制度建設亟需解決的問題。另一方面,制度需要進一步細化,如可以從行業層面上規定保險公司內控缺陷認定更具體的標準,從而為企業開展內控建設和內控評價工作提供更加具有參考價值和指導意義的標準。
2、加強監管。
監管部門必須加強對內控資訊披露的監管,對於上市公司不按規定披露有關內控情況,包括不披露內控資訊、披露虛假資訊或隱瞞內部控制存在的不足,應當予以懲處,這樣才能保證披露要求落到實處。整理我國近年來相關的內部控制制度,發現規範頻出,但對於相關企業不遵照執行的具體懲處規定較少,或是可操作性不足。即使有規定,監管不力一直是被投資者所詬病的,管理部門如何加強對資訊質量的監管值得好好探索。