安全监理评估报告
安全监理评估报告范文第1篇
一、安全生产应急管理总结评估报告制度
省级安全监管部门、专业安全生产应急机构和有关中央企业每半年分别组织对本地区、本领域、本企业安全生产应急管理工作进行总结评估,编写半年度、年度总结评估报告,按要求上报。
(一)总结评估报告的主要内容
1.安全生产应急机构、应急平台、应急体系建设情况;
2.救援队伍建设情况、事故救援情况、救援队伍开展预防性安全检查工作情况;
3.预案编制、执行及演练情况;
4.应急管理规章制度建设情况;
5.事故救援效果及存在的问题;
6.应急管理培训及宣传教育情况;
7.应急管理工作中存在的突出矛盾、问题及对策、建议;
8.应急管理及应急救援经费投入情况;
9.政府投入形成的应急救援资产情况;
10.相关总结评估报告附表(见附件1)。
(二)总结评估报告上报程序与时间
省级安全监管部门于每年的7月25日和次年的1月25日前分别将半年度、年度总结评估报告报送国家安全生产应急救援指挥中心(以下简称应急指挥中心)。
有关中央企业总部于每年的7月15日和次年的1月15日前分别将半年度、年度总结评估报告报送应急指挥中心。
省级矿山应急机构于每年的7月15日和次年的1月15日前分别将半年度、年度总结评估报告报送国家安全监管总局矿山救援指挥中心,同时抄送省级安全监管部门。
二、重大及以上生产安全事故和较大未遂伤亡事故救援总结报告制度
省级安全监管部门、矿山等专业安全生产应急机构分别组织对本地区、本领域每一起重大及以上安全生产事故和较大未遂伤亡事故成功救援情况及时进行总结,逐起事故编写救援总结报告,按要求上报。
(一)救援总结报告的主要内容
1.事故单位概况;
2.事故发生、报告及救援经过;
3.应急预案启动和执行情况;
4.事故现场应急指挥机构成立及组成情况;
5.专业救援队伍、装备调用情况以及救援过程中发生的实际费用;
6.救援方案制定和执行情况、救援过程中应用的装备及技术情况、专业救援队伍的搜救情况;
7.事故原因和性质的简要分析;
8.事故救援的经验和教训,包括应急预案、事故报告和救援组织、协调、指挥及救援队伍、专家、装备、技术等方面;
9.对各级人民政府及其有关部门、生产经营单位、救援队伍改进应急管理和应急救援工作的建议;
10.事故现场相关图纸资料,现场抢救的有关图片。
(二)救援总结报告上报程序与时间
省级安全监管部门于事故救援结束后的30个工作日内将救援总结报告报送应急指挥中心。
省级矿山等专业安全生产应急机构于事故救援结束后的20个工作日内将救援总结报告报送相应的上级机构,同时抄送省级安全监管部门。
三、安全生产应急管理工作季报制度
省级安全监管部门、矿山等专业安全生产应急机构和有关中央企业及时掌握本地区、本领域和本企业的安全生产应急机构建设、应急演练开展、应急救援队伍开展预防性安全检查、事故救援以及应急救援队伍安全技术等工作情况,填写相关季报表(见附件2),按要求上报。
省级安全监管部门于每季度结束后的10个工作日内将季报表1、季报表3~9报送应急指挥中心。
有关中央企业于每季度结束后的5个工作日内将季报表2、季报表3~9与本企业相关的内容报送应急指挥中心。
安全监理评估报告范文第2篇
根据《中华人民共和国突发事件应对法》、《市突发公共事件总体应急预案》有关规定,为做好突发公共事件年度总结评估工作,各镇办、市政府各有关工作部门要按照职责分工,对年自然灾害、事故灾难、公共卫生事件和社会安全事件四大类突发公共事件应对工作进行总结、评估和分析。现将有关事项通知如下:
一、总结评估的主要内容
(一)基本情况。分别汇总自然灾害、事故灾难、公共卫生事件和社会安全事件四大类突发公共事件总体情况以及分类别事件具体情况。主要包括年事件发生起数、伤亡人数、经济损失、与往年比较情况,以及特别重大、重大突发公共事件有关情况,并对各类突发公共事件发生特点进行分析。
(二)应对工作总结评估。对照《市突发公共事件总体应急预案》以及相关的专项预案、部门预案,从组织领导、机构编制及人员配备、预案编制演练、应急队伍建设、物资资金准备、监测预警预报、应急防范处置,以及恢复重建、调查处理和科普宣教等方面,对年度应急管理工作及各类突发公共事件应对情况进行全面总结评估。既要认真总结防范处置工作中的好经验、好做法,又要深刻分析存在的问题和薄弱环节。
(三)工作建议。针对存在的突出问题,提出进一步提高防范处置突发公共事件能力的意见和建议,以改进和推动应急管理工作。
(四)典型案例分析。根据点面结合原则,从年发生的自然灾害、事故灾难、公共卫生事件和社会安全事件中各选择2个典型案例,对防范应对工作各重点环节进行深入评估分析,以便总结经验,吸取教训,改进工作。
二、总结评估的组织工作
市政府各有关工作部门要按照自然灾害、事故灾难、公共卫生事件和社会安全事件四大类分为四个编写组,各组参加部门负责编写本行业领域的突发公共事件应对工作总结评估报告;各组牵头部门在各有关部门报告基础上汇总形成本类别突发公共事件总结评估报告。具体分组如下:
(一)自然灾害组:由市民政局牵头,市国土资源局、市交通运输局、市水利局、市农林局、市科技局、市气象局参加。
(二)事故灾难组:由市安监局牵头,市工发局、市公安局、市住建局、市交通运输局、市农林局、市质监局、市电力局、市环保局、市文物旅游局、市气象局、市电信局参加。
(三)公共卫生事件组:由市卫生局牵头,市农林局、市质监局、市食品药品监督管理局参加。
(四)社会安全事件组:由市公安局牵头,市发改局、市工发局、市教育局、市国土资源局、市人社局、市住建局、市商务办、市局、市民族宗教局、人民银行分行、市银监办参加。
三、总结评估的有关要求
(一)各镇办、市政府各有关工作部门、直属机构要高度重视突发公共事件年度总结评估工作。牵头部门要做好组织协调和计划安排,市政府有关工作部门要安排业务骨干积极参与,全面、准确、深入地进行总结分析并按时保质保量完成任务。
(二)要做好各方面基础数据统计和材料汇总工作,各项数据的统计要规范、细致,避免重复和疏漏。要按照定性与定量文字与图表、概括描述与案例分析相结合的原则进行评估分析,做到语言精炼、层次清晰、内容充实。
安全监理评估报告范文第3篇
互联网新业务安全评估管理办法
(征求意见稿)
第一条【立法目的】 为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》《互联网信息服务管理办法》等法律、行政法规,制定本办法。
第二条【适用范围】 中华人民共和国境内的电信业务经营者开展互联网新业务安全评估活动,适用本办法。
第三条【定义】 本办法所称互联网新业务,是指电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。
本办法所称安全评估,是指电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动。
第四条【工作原则】 电信业务经营者开展互联网新业务安全评估,应当遵循及时、真实、有效的原则。
第五条【管理职责】 工业和信息化部负责对全国范围内的互联网新业务安全评估工作实施监督管理。
各省、自治区、直辖市通信管理局负责对本行政区域内的互联网新业务安全评估工作实施监督管理。
工业和信息化部和各省、自治区、直辖市通信管理局统称电信管理机构。
第六条【鼓励创新】 国家鼓励电信业务经营者进行互联网技术和业务创新,依法开展互联网新业务,提升互联网行业发展水平。
第七条【行业自律】 国家鼓励互联网行业组织建立健全互联网新业务安全评估自律性管理制度,指导电信业务经营者依法开展安全评估,提高安全评估的能力和水平。
第八条【评估标准】 工业和信息化部依法制定互联网新业务安全评估标准。
第九条【评估要求】 电信业务经营者应当按照电信管理机构有关规定和互联网新业务安全评估标准,从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面,开展互联网新业务安全评估。
第十条【评估启动】 有下列情形之一的,电信业务经营者应当对所开展的互联网新业务进行安全评估,形成书面评估报告:
(一)拟将互联网新业务面向社会公众上线的(含合作推广、试点、商用试验);
(二)电信管理机构书面要求电信业务经营者进行安全评估的。
按照前款第一项规定进行安全评估的,应当在互联网新业务面向社会公众上线前完成评估。
第十一条【评估方式】 电信业务经营者进行互联网新业务安全评估,可以采取自行评估的方式,也可以委托专业机构实施评估。
第十二条【风险控制】 电信业务经营者进行互联网新业务安全评估,发现存在重大网络信息安全风险的,应当及时改正。
第十三条【评估报告】 电信业务经营者应当在互联网新业务面向社会公众上线后45日内,向准予其电信业务经营许可或者试办新型电信业务备案的电信管理机构告知评估情况。
第十四条【报告材料】 电信业务经营者按照本办法第十三条的规定向电信管理机构告知评估情况的,应当提供以下材料:
(一)书面评估报告,包括业务情况、技术实现方式、安全评估内容和结论、安全管理措施等;
(二)公司名称、法定代表人、安全责任人、应急联系人及其联系方式;
(三)电信管理机构依法要求提交的其他材料。
第十五条【纠正措施】 电信业务经营者提供的互联网新业务安全评估材料不齐全的,电信管理机构应当指导电信业务经营者补正。电信管理机构发现评估报告不符合有关规定、标准的,应当要求电信业经营者限期改正或者重新评估,并在30日内提交评估材料。
第十六条【应急保障】 电信业务经营者开展互联网新业务的,应当按照电信管理机构的要求,建立互联网新业务重大网络信息安全事件应急处置机制,制定网络信息安全应急预案并定期组织演练。
第十七条【内部制度】 电信业务经营者开展互联网新业务的,应当建立并实施企业内部互联网新业务安全评估管理制度和保障制度。
第十八条【员工培训】 电信业务经营者开展互联网新业务的,应当对有关工作人员开展互联网新业务安全评估相关政策、法规、标准、技能的培训和考核。
第十九条【监督检查】 电信管理机构应当对电信业务经营者建立互联网新业务安全评估管理制度、开展安全评估、防范网络信息安全风险等情况实施监督检查。
电信管理机构实施监督检查,可以要求电信业务经营者提供相关资料,对其相关工作人员进行询问,进入其经营场所检查、调查、取证。电信业务经营者应当予以配合、协助。
第二十条【监测】 电信管理机构应当组织对互联网新业务进行监测。在监测中发现互联网新业务存在重大网络信息安全风险的,应当要求电信业务经营者限期改正。电信业务经营者应当进行改正。
第二十一条【约谈改正】 电信业务经营者有下列情形之一的,电信管理机构可以约谈其主要负责人:
(一)未按照本办法的规定及时开展互联网新业务安全评估的;
(二)未按照本办法的规定向电信管理机构告知评估情况,情节严重的;
(三)企业内部安全评估管理制度和保障制度不健全或者未实施,情节严重的;
(四)违反国家有关规定,电信管理机构认为可能影响网络信息安全的其他情形。
电信业务经营者应当按照本办法的规定和电信管理机构在约谈中提出的要求进行改正。
第二十二条【行业通报】 电信管理机构应当建立电信业务经营者互联网新业务安全评估情况通报制度,定期公布互联网新业务安全评估情况。
第二十三条【监督检查】 电信管理机构按照本办法的规定实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者正常的经营或者服务活动,不得收取任何费用。
第二十四条【保密要求】 电信管理机构、实施安全评估的专业机构及其工作人员,对其在履行职责、提供服务过程中知悉的国家秘密、商业秘密和个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第二十五条【社会监督】 任何组织或者个人发现电信业务经营者有违反本办法的行为的,有权向电信管理机构举报。电信管理机构应当及时处理并对举报人的相关信息予以保密。
第二十六条【罚则一】 电信业务经营者违反本办法第十七条、第十八条规定的,由电信管理机构责令限期改正,予以警告;拒不改正的,可以处以一万元以下的罚款,按照有关规定记入电信业务经营不良名单和失信名单并向社会公布。
第二十七条【罚则二】 电信业务经营者违反本办法第十条、第十二条、第十三条、第十六条、第十九条第二款、第二十条的,由电信管理机构责令限期改正,予以警告,可以处以一万元以上三万元以下的罚款,按照有关规定记入电信业务经营不良名单和失信名单并向社会公布。
第二十八条【罚则三】 电信管理机构工作人员在互联网新业务安全评估的监督管理工作中、、的,依法给予处分;构成犯罪的,依法追究刑事责任。
第二十九条【参照执行】 电信业务经营者开展的互联网新业务,在技术实现方式、业务功能或者用户规模等方面发生较大变化,可能存在重大网络信息安全风险的,参照本办法进行安全评估。
电信业务经营者应当至少每六个月对其开展的互联网新业务是否存在前款规定的情形进行自查,保留自查记录;发现存在前款规定情形的,应当在45日内完成评估。
安全监理评估报告范文第4篇
关键词:新建地铁 既有线 风险控制
1 引言2 既有轨道交通线路常见安全风险项目
既有轨道交通线路常见的安全风险包括既有线结构和轨道的破坏,主要项目如下:
(1)既有线结构(底板、侧墙)沉降超标;
(2)既有线结构变形缝沉降超标;
(3)既有线结构变形缝差异沉降超标;
(4)既有线结构变形缝胀缩超标;
(5)既有线轨道差异沉降超标;
(6)既有线轨道中心线平顺性(竖向、水平)变形超标;
(7)既有线轨道轨距变形超标;
(8)既有线轨道纵向变形超标;
(9)既有线轨道水平位移超标;
(10)既有线道床与结构的剥离;
(11)既有线结构裂缝宽度、长度较大;
(12)既有线结构渗漏水情况严重。
3 北京地铁过既有轨道交通线路管理和控制程序
(1)过轨工程施工前的相关工作
① 对新建轨道交通工程穿越既有线影响范围内的既有线洞体结构、洞内道床、线路、设备设施、限界等进行现状勘查、现状评估,并形成既有线评估报告,评估报告中应明确结构沉降、道床沉降、列车安全行车速度等安全控制指标。
② 依据评估报告和过轨工程对既有线影响程度,完成既有线的防护设计。防护设计原则为:确保既有线运营安全,并最大限度地减少对既有线列车正常运营的影响。
③ 对过轨工程的设计文件、现状勘查报告、既有线评估报告、既有线洞内的防护设计、第三方监测方案和施工方案(含新建轨道交通工程施工对既有线影响的预测 分析 、洞外加固处理和防护方案、施工监测方案、安全应急预案等)等组织专家评审。
④ 按防护设计实施既有线洞内的防护措施。
⑤ 第三方监测单位按照地铁运营管理单位要求,与地铁运营管理单位具体实施的配合单位签定安全协议,由具体实施配合单位办理第三方监测布点进洞计划和相关监护等工作。
⑥ 组织过轨工程施工前的协调会,正式启动穿越工程的实施。
(2)过轨工程施工过程中的相关工作
① 在既有线洞内实施第三方监测,要求第三方监测单位将监测结果按照协调机制,及时报送相关监管单位。
如监测结果接近预警值时,由第三方监测单位向监理单位、施工单位、建设单位和地铁运营管理单位同时发出警报,施工单位应立即暂停过轨工程施工。同时建设单位应高度关注既有线沉降以及沉降对既有线运营造成的危害和相关影响情况,及时组织专家专题 研究 沉降控制措施,最大限度减少对既有线安全运营的影响。
② 过轨工程施工中地铁运营管理单位除加强对既有线的巡查并负责必要的配合工作外,对巡查中发现的异常情况及时通报建设单位,建设单位及时采取相应措施,确保既有线运营安全。
(3)过轨工程施工结束后的相关工作
① 对既有线进行相应的后评估并形成后评估报告。
② 依据后评估报告,进一步完成既有线洞内外的恢复设计。
③ 对后评估报告和既有线洞内外的恢复设计组织专家评审。
④ 按恢复设计实施既有线洞内外的恢复。
4 工程实例
地铁五号线崇文门站位于崇文门路口下,采用“暗挖法”施工。车站与既有地铁二号线崇文门站东端喇叭口式过渡段区间立交,并从其下方穿过。五号线崇文门车站结构为双柱三跨岛式暗挖车站,车站两端为双层结构(地下一层为站厅层,地下二层为站台层),中间为单层结构(系站台层),车站总长度208.9m,总宽度24.2m,站台宽度14m。车站顶板覆土:双层结构为8~9.3m,单层结构为13.5m。车站共设置四个出入口,两条换乘通道,两座风道,其中北换乘通道增设了一条紧急疏散通道。既有线地铁区间自环线崇文门站到北京站之间,由分体双洞单线隧道过渡成联体双洞单线隧道,隧道结构为C30钢筋混凝土方形框架结构,底板和侧墙厚度为0.7m,顶板厚度为0.8m,每18m设置一条变形缝,单个隧道的断面尺寸为5.9m×5.9m。
安全监理评估报告范文第5篇
【关键词】保险公司;内部控制;信息披露
一、引言
保险业是经营风险的行业,不仅具有高风险的特点,而且其经营具有广泛的社会性,与社会公众利益密切相关,同时作为现代金融业的三大支柱之一,对资本市场也影响巨大,因此政府对其监管较一般行业更为严格,管理部门对上市保险公司的内部控制尤为关注,在内控信息披露方面提出高于一般上市公司的特殊要求。
对于保险业来说,内控信息披露不仅可以解决市场信息不对称的问题,同时可以保障投保人、被保险人和受益人的合法权益,进一步完善保险公司治理结构、提高保险市场效率。保险公司内部控制信息披露的制度要求,最早源于证监会2000年颁布的《公开发行证券公司信息披露编报规则(第3号保险公司招股说明书内容与格式特别规定)》,要求保险公司在招股说明书中对内控制度的完整性、合理性和有效性作出了说明,并委托会计师事务所出具内控评价报告。这之后不同的监管部门陆续出台针对企业年度内部控制信息披露的制度要求,最重要的是财政部等五部委2008年颁布的《企业内部控制基本规范》及2010年颁布的《企业内部控制配套指引》。至此我国企业内控规范体系基本建成,该体系于2011年1月1日起首先在境内外同时上市的公司施行,2012年1月1日起扩大到在沪深两市主板上市公司施行。经过这些年的内控信息披露制度建设,我国上市公司执行制度的情况到底如何,值得我们好好的总结与剖析。金融保险行业的内控建设及内控信息披露往往走在前列,中国平安作为在A股上市的保险公司中最早披露内控自我评估报告的公司,具有代表意义。文章选择其进行个案剖析,以期在一定程度上反映企业内控信息披露的状况,为更广泛地实施企业内控规范体系提供一定的借鉴。
二、制度梳理
有关内部控制信息披露的相关制度较多,这些规定有些是不同的部门颁布的,有些是同一个部门颁布的对旧有规定的补充解释;对于同一个企业来说,可能既适用于这个部门颁布的规定,又适用于那个部门颁布的规定。而不同部分颁布的规范,对同一个问题的要求往往又不统一。因此要分析企业对具体内控规范的执行情况,必须对相关制度做梳理,表1即作者对保险公司需要遵循的内部控制信息披露制度的整理。
通过上述制度的梳理,我们可以总结出上市公司内控信息的披露主要来自于年报中的以下部分内容:(一)年报中监事会就内控发表独立意见;(二)2006年年报中“重要事项”部分对公司内控建立健全情况的说明;(三)年报中“公司治理结构”章节的“内部控制制度的建立与健全情况”部分;(四)内控自我评估(评价)报告(以下简称“内控报告”)及审核(审计)报告,该报告最初做为年报的附件一起报送披露,2011年起上交所要求单独披露。
三、中国平安历年内控信息披露情况
中国平安是我国的第一家股份制保险企业,2004年在香港上市,2007年回归A股市场,在上海证券交易所上市。该公司从2006年起披露A股年报,因此文章选取其2006年至2011年披露的年度内部控制信息进行分析。
1.从2006年年报起,监事会就内控发表独立意见。中国平安每年的表述基本一样:公司制定了较为完整、合理、有效的内部控制制度。
2.2006年,在年报“重要事项”部分说明公司内部控制及制度建设情况,主要内容有:公司对内控建设的基本评价;公司在合规管理、稽核监察、制度建设三方面的工作情况。
3.从2007年年报起,在“公司治理”部分新增“内部控制制度的建立与健全情况”内容。2007年该部分内容与内控自我评估报告中的前言部分表述一样,说明公司当年内控架构改革取得的成效;2008年、2009年该部分内容丰满起来,两年的内容、结构基本一致,层次清楚地说明了公司内部控制的目标、内控责任主体及内控组织架构及其变革、当年公司内控建设的主要工作及内控自我评价结论;2010年与2011年该部分内容、结构两年基本一致,主要说明了公司内控的基本体系、当年内控建设的主要工作及内控自我评价结论。
4.内控报告及审核报告。
从2007年起,作为年报的附件披露内部控制自我评估报告与会计师事务所出具的内部控制审核报告;2010年,“内控自我评估报告”更名为“内部控制评价报告”,并从此后以单独报告的形式披露;2011年,“内控审核报告”更名为“内部控制审计报告”。
中国平安是最早内控报告的保险公司,其五年的内控报告在内容形式上有较大变化。2007年报告的内容,基本遵照《上海证券交易所上市公司内部控制指引》的要求,主要为四部分:(一)公司内控基本情况;(二)内控检查监督工作的情况及对2007年工作计划完成情况的评价;(三)内控制度及其实施过程中出现的重大风险及其处理情况;(四)完善内控制度的措施及2008年内控工作计划。2008年报告的内容,基本遵照《保险公司内部审计指引》的要求,主要为五部分:(一)公司内控基本情况;(二)本年度内控检查监督完成情况及评价;(三)本年度完善内控的措施(四)目前内控存在的问题和缺陷;(五)下年度改进内控的计划。这两年的内控评估报告,均详细地披露了公司内部控制五要素情况、公司内控存在的问题及下一年度的内控工作计划,因此内容冗长,算上附件达到二、三十页的长度。从2009年起,内控自我评估报告的格式与内容发生较大变化,内容大大简化,不再对内控的五要素进行详细披露,不再公布下一年度的内控工作计划,也没有披露非重大缺陷;2010年与2011年的报告内控与格式,基本遵照《上市公司实施企业内部控制规范体系监管问题解答》中的参考格式。但其2011年的内控报告并没有遵照上交所的要求提供公司内控相关情况的附件。表2是对中国平安历年内控报告具体内容的比较。
归纳表2,中国平安内控报告披露项目具体内容的变化主要体现在以下四个方面:
(1)内控责任主体。2007年未披露内控责任主体;2008与2009年责任主体认定为“董事会及管理层”;2010年起调整为“董事会。”内部控制由谁负责,关系到内部控制能否发挥实效。内控责任主体,在美国是公司高级管理层,在英国则是董事会。我国的《企业内部控制基本规范》及其的后的配套指引,都没有明确说明企业内部控制的责任主体。财政部与证监会对我国境内外同时上市公司2011年执行企业内控规范体系情况进行分析,统计有96%的公司认定责任主体为董事会,1%认定为董事会及管理层,而还有3%未明确。这个数据说明,在我国认为董事会是内控责任主体逐渐成为主流观点。另一方面也说明我国制度亟需对其作出统一规定。
(2)内控目标。2007年内控报告没有明确说明企业的内控目标;2008年与2009年内控报告披露的内控目标为“合理保证企业经营管理合法合规、维护资产安全、保证财务报告及相关信息真实完整、提高经营效率效果、促进企业实现发展战略”,即《企业内部控制基本规范》中确定的内部控制五目标;2010年起调整为以财务报告相关内部控制目标作为公司内部控制目标,表述为“财务报告相关内部控制的目标是保证财务报告信息真实完整和可靠、防范重大错报风险”。这种变化实际体现的是内部控制评价的内容范围之争:是针对财务报告可靠性的内部控制报告还是完整的内部控制报告?财务报告内部控制相当于COSO报告中内部控制概念的子集。在美国,内部控制评价和报告局限于财务报告内部控制;在英国,董事会则需要对整个内部控制系统的有效性进行评价。而我国不同的部门对此做出了不同的选择,财政部在《企业内部控制规范体系实施中相关问题解释第1号》中,将其定位为完整的内部控制评价;而证监会在《上市公司实施企业内部控制规范体系监管问题解答》中,将其定位为财务报告内部控制评价。这种制度的不统一使得企业可以选择性的执行规范,导致信息纵向、横向都会缺乏可比性。
(3)内控缺陷的披露。内控缺陷披露的内容应该包括内控缺陷认定标准、内控缺陷具体内容、对企业的影响及其整改措施。公司没有披露过内控缺陷的认定标准;2007年与2008年的内控报告均披露四条具体的内控缺陷,并提出完善内控的措施;从2009年起,公司没有披露过具体缺陷内容,2009年表述为“未发现公司存在内部控制设计或执行方面尚未整改的重大缺陷”,2010年表述为“我公司在内部控制自我评价过程中关注到的非财务报告相关的内部控制缺陷情况均为控制类一般缺陷”,2011年的表述基本同2010年。公司2009年对内控缺陷的披露是一种消极的表述,而随后两年也并没有自愿披露内控一般缺陷的内容,内控缺陷相关信息是中国平安信息披露中最弱的部分,虽然这部分内容是投资者最为关注的信息。
(4)内控评价结果的表述。2007年的内控报告并没有对公司内控的有效性明确发表意见;2008年与2009年的表述基本一样,“自本年度1月1日起至本报告期末止,本公司内部控制制度是健全的、执行是有效的。”2010年起内控评价结果的表述发生变化:“董事会已按照《企业内部控制基本规范》要求对财务报告相关内部控制进行了评价,并认为其在12月31(基准日)有效。”这里涉及的是两个变化,一是随着内控评价内容范围由全面的内部控制缩小为财务报告的内部控制,其评价结论自然调整为对财务报告内部控制有效性的认定;二是内控评价时间范围的变化,由针对某一时期的内部控制调整为针对某一时点的内部控制评价。对于这个时间范围,不同的专家对此有不同的看法,但2010的《企业内部控制评价指引》对此作出了明确规定:企业应当以12月31日作为年度内部控制评价报告的基准日。
四、研究结论
(一)披露的内控信息较好地反映了中国平安不断发展完善的内控建设工作
一方面,体现在其内控组织架构的改革优化,风险管理理念的不断深入。仔细阅读分析中国平安历年披露的内部控制信息,可以看出公司的内控组织架构在不断改革优化,公司对内部控制的认识与理解在逐年提升,风险管理理念逐渐建立。2007年公司开始内控架构改革,设立内部控制管理中心,作为集团统一的内控管理机构。同时改革稽核监察架构,建立稽核垂直管理体制。当年其内控自我评估报告提到四方面的内控重大风险,其中一点就是:“公司现有内控制度、流程的制定,均以符合外部法律法规和监管部门要求为基础,未充分考虑制度、流程的设计及其实施的效率。内控体系建设应在合规的前提下提倡提高经营效率、促效益、促发展”。可见合规管理是公司当时主要内控目标。2008公司新设风险管理部,实现对风险的事中管控,着手构建合规、风险管理、法律、稽核监察及业务单位的风险信息沟通与反馈机制,建立风险预警系统,风险管理理念显现。2009年公司推动全面风险管理体系的建设,推进机构风险评级和管理层评价工作,建设风险导向的内部控制体系。2010年公司审计委员会更名为“审计与风险管理委员会”,整合升级内控体系,提出“以制度为基础,以风险为导向,以流程为纽带,以内控平台系统为抓手”的思路,强化事前风险管控,搭建集团层面全面检视评估、并表量化管理的风险报告体系,推进风险导向稽核管理,强化了企业的风险管控。2011年公司风险管理委员会改名为“风险监控委员会”,公司建立起覆盖各专业公司及业务线的风险管理组织体系,稽核工作的重点转向对风险控制有效性及风险管控效果的评估。中国平安的风险管理理念更加明确与突出,体现了内部控制与风险管理的逐渐融合。
另一方面,体现在其内控评价体系的不断完善。2007年的内控报告在下一年度的内控工作计划部分提到,企业要建立全面自我评估机制,可以看作是其内控评价工作的开端;2008年的内控报告披露,公司推动实施《企业内部控制基本规范》遵循项目,确定了内控范围,制定了风险评估方法和标准,但尚未确定内控自评工作具体流程、使用的评估模型及穿行测试方法,内控自我评估体系待进一步完善;2009年的年报披露,公司确立了内控自我评估工作流程、方法和模板,形成流程图、控制矩阵、自评手册等;2010年的年报披露,公司构建了内控评价系统平台,确立基本的内控评价日常化运作机制,即合规部门推动业务部门进行内控自我评价,风险管理部门进行内控风险评估,稽核监察部门进行内控独立评价,外部审计师对公司内控状况进行审计。这些披露的信息较清晰地展现了中国平安内控评价体系的建立与发展过程。
(二)公司较好地执行了相关内控信息披露制度,但还存在制度执行不到位等问题
对照内部控制信息披露的相关制度,总体上来看,中国平安从2006年披露A股年报起,能够按照相关规范的要求披露企业内部控制的相关信息,制度执行较好。2007年4月保监会《保险公司内部审计指引(试行)》,要求保险公司内部审计部门应当每年对公司内部控制的健全性、合理性和有效性进行全面评估,出具内部控制评估报告,但只是报送保监会;2007年12月证监会《公开发行证券公司信息披露的内容与格式准则第2号(2007修订稿)》,鼓励央企控股的、金融类等上市公司披露经审计机构核实评价的内控报告;2008年上交所《关于做好上市公司2008年报工作的通知》中,要求金融类公司披露内控报告,鼓励其聘请审计机构对公司内部控制进行核实评价;企业内控规范体系于2011年1月1日起首先在境内外同时上市的公司施行。内控报告与内控审核报告是内控信息披露最重要的部分,中国平安于2007年按照上交所内控指引的内容开始自愿披露,一直延续,没有中断。
然而,进一步分析发现,中国平安在制度执行中存在两方面问题。一是制度执行不到位。2011年上交所规定:“公司应以附件的形式披露格式指引规定以外的公司内部控制的相关情况,包括但不限于实施内部控制评价的总体情况、所采用的程序和方法等(评价小组的组成,评价所采用的程序和所花费的时间,借助中介机构或外部专家的情况,工作底稿的编制,收集被评价单位内部控制设计和有效运行证据的方法,重大缺陷、重要缺陷和一般缺陷认定的标准等)”,但平安并没有附件随同内控报告披露,使得其2011年的内控报告信息含量严重不足。二是选择性执行制度。从表2-1可以看出,有关内控信息披露的制度频出,而且政出多门,不门监管部门对同一个问题的解释与操作存在不统一的情况,这就给予了公司选择执行成本较低、对公司有利的制度的可能。如2010年保监会颁布《保险公司内部控制基本准则》,是从行业的层面对企业内控基本规范的细化,准则要求保险公司根据监管部门的评价标准,对内部控制进行评分,根据评分确定评价等级。保监会对企业内控评价的量化要求,难度与成本都较内控评价指引高,公司2010年的内控报告选择性地执行企业内控评价指引,而并没有执行更具体行业特点的《保险公司内部控制基本准则》,当年只有中国太保是按保监会的要求披露内控报告的。又如2011年度内控报告,证监会与财政部有不同的要求,财政部要求提供的内控信息含量更为全面,更为投资者关注,但企业当年选择执行的是证监会的规定。
(三)内控信息质量尚待提升
1.有用信息不足。信息质量的高低,取决于对信息使用者的有用程度。从中国平安五年披露的内控报告来看,评估报告形式上是越来越规范了,但有用信息却并没有增加,甚至还有减少,信息使用者真正关心的问题不披露或披露较少,比如企业内控缺陷的认定标准。该标准是内控评价中的基础性和关键性问题,对于确定内控缺陷,进而对内控缺陷进行整改都有着非常重要的影响,2011年我国境内外同时上市的67家公司中只有32家公司详细描述了公司内控缺陷认定标准。在制度层面上,管理部门一方面应该制定更具操作性的内控缺陷认定标准,另一方面必须加强对企业信息披露的监管和处罚,促使企业提升信息质量。
2.信息披露不全面,披露的基本上是正面信息。对于信息使用者关注的内控缺陷,既没披露公司具体的认定标准,从2009年起也不再详细披露公司存在非重大内控缺陷及改进措施等。再如《保险公司内部控制基本准则》要求公司在评估报告中披露上一年度发生的违规行为和风险事件及其处理结果,但并没有一家公司披露过,当然这并不是因为它们没有违规行为。
3.信息冗余,无用信息过多。如年报中公司治理结构部分对公司内部控制制度的建立和健全情况的披露,表述空泛,类似工作总结,重点不突出,无用信息过多,可读性较差,妨碍了有效信息的传递。
参考文献
[1]财政部会计司、证监会会计部.我国境内外同时上市公司2011年执行企业内控规范体系情况分析报告——基于2011年内控评价报告、内控审计报告的分析[R].2012.
[2]杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,2008(3).
[3]胡燕,晓芳.论企业内部控制自我评价体系的构建[J].北京工商大学学报,2009(6).
[4]方红星,孙翯.交叉上市保险公司内部控制信息披露及其市场反应——基于中国人寿和中国平安的经验研究[J].财经问题研究,2009(8).
