保险稽查审计指引3

1、经过三十多年的持续快速发展，保险业取得了举世瞩目的成就，机构种类越来越多，业务结构越来越复杂，承保覆盖面越来越广，社会影响越来越大，已逐步成为经济的助推器和社会的稳定器。但是伴随着保险业的发展壮大，市场风险、操作风险等各类风险也在滋生和积聚，早发现、早预警、早处置对于防范和化解风险，促进保险业又好又快发展十分重要。从经济学和管理学的角度看，风险管理的方法有多种，但在这些方法中，稽查审计无疑处于极为重要、极为特殊的地位。保险稽查和保险公司内部审计有着天然的联系。保险稽查是保险监管部门从外部对保险公司依法开展监督检查的行政执法行为。审计有国家审计、社会审计和内部审计之分，内部审计在其中居于基础性地

2、位。保险公司内部审计是公司内部审计机构人员对公司自身经营行为开展的检查和评价的行为。内部审计是公司治理和内部控制的重要组成部分，是强化内部监督和风险控制的重要措施，同时也是加强和改进保险监管和保险稽查工作的重要手段。稽查和审计两者的目的都是为了促进保险公司依法合规经营和行业科学健康发展，在目标、理念、手段、方法等方面都有一定的同质性，有相同的规律性。随着保险业持续、快速的发展，如何建立科学有效的保险稽查审计体系、提升保险稽查审计的有效性已在业界形成共识，并成为监管机构和公司风险管控的重点。中国保监会高度重视保险稽查审计建设工作。2008年保监会组建了稽查局，2011年各保监局陆续设立了稽查处，

3、上下联动的两级保险稽查体制正式形成。2006年以来保监会先后出台了保险公司内部审计指引、董事和高级管理人员审计管理办法等一系列制度文件。各保险公司陆续建立了与其治理结构、管控模式、业务性质和规模相适应，费用预算、业务管理和工作考核等相对独立的内部审计体系，不少公司已经实现了审计工作的集中化、集团化管控。保险稽查审计建设取得了长足的进步。但是从总体上看，保险稽查审计还未充分发挥应有的作用，与行业快速发展的要求相比、与管理决策层的期望相比，还存在很大的差距。一方面，保险稽查审计的基础工作还很薄弱，“软实力”不足。国际保险监督官协会有效保险监管原则指出，制定和实施会计、精算、审计的专业标准和道德标准

4、，是有效保险监管的前提之一。标准缺失已经成为我国保险稽查审计面临的突出的问题之一。另一方面，稽查审计工作面临日益严峻的外部挑战。信息技术日新月异，会计、监管等新政策不断推出，人们对稽查审计的期望和要求也越来越高。2010年保监会下发保险机构案件责任追究指导意见后，保险机构发生案件的，根据案件责任追究的“一案多问”原则，不仅需要对案件发生具有直接管理责任的有关责任人员进行责任追究，同时对因未尽职尽责而对案件发生具有间接责任的稽查审计人员也要进行问责。稽查审计面临的职业风险也在不断增加。如何完善稽查审计制度标准?如何界定稽查审计人员是否尽职尽责?这些内外部挑战迫切要求我们制定实施行业统一的稽查审计

5、标准，作为衡量稽查审计质量的尺度和准绳，从而不断加强和改进保险稽查审计工作，提升保险稽查审计的有效性。2010年4月中国保监会组织业内保险公司召开了保险稽查审计联席会议，各参会代表建议以保险稽查审计联席会议为平台，由保监会稽查局牵头、各成员公司相关部门参与，共同组织编写一套保险行业普遍遵循的稽查审计指引，作为保险公司、保险资产管理公司内部审计机构、内部审计人员及其从事的内部审计活动的基本规范，也作为保险监管部门稽查工作的参考指引。经过全体编写人员一年多的努力，保险稽查审计指引（以下简称指引）系列手册终于问世。指引系列手册由基本手册和专项分册两个层次组成。基本手册主要阐释保险稽查审计的基础理论、

6、程序、标准和实务规范等内容，明确操作规范、流程管理、质量控制、技术方法等基本要求。在基本手册的基础上，针对保险业务的风险特点，制定了财务、财产保险、人身保险、再保险、资金运用、公司层面内部控制、反洗钱等多个专项分册，分别阐释各业务领域的稽查审计程序、方法和要求等内容。指引系列手册基于风险导向，参考了国内外最新审计研究成果，从我国保险经营管理的实际出发，力求全面涵盖保险经营的主要风险领域和关键控制环节，并且注重数据分析、指标测算、计算机辅助等技术方法的应用，对稽查审计人员迅速、高效地揭示问题和防范风险有较强的指导作用。指引系列手册，从应用的角度出发，融合了金融、保险、审计、财务、法律、管理等学科

7、知识，系统总结了保险行业稽查审计工作的经验，突出了全面性、合规性、技术性、理论性、操作性等特点，是全行业的智慧结晶。指引系列手册的发布，将建立起保险稽查审计领域的统一标准，作为稽查审计工作的基本要求，有利于提升保险公司内部稽核审计工作水平，使内部审计真正发挥监督、评价的作用，有助于防范化解公司经营风险，进而实现促进公司增进价值的最终目的；同时，指引系列手册又是保险监管部门开展稽查工作的指引，对于提高监管部门稽查能力，形成内外部监督合力，推进宏观审慎监管与微观审慎监管相结合，防范市场主体之间风险传染，提升监管的有效性，促进公司和行业科学健康发展具有重要意义。指引系列手册的推出，有利于贯彻落实中国

8、保监会“抓服务、严监管、防风险、促发展”的监管思路，可以说是恰逢其时。保险稽查审计制度标准建设不是一蹴而就的，不可能毕其功于一役。希望各有关单位要高度重视，以贯彻落实指引系列手册为契机，加强学习，不断加强和改进稽查审计工作。当然，指引系列手册仍存在不少有待完善的地方，希望编写委员会在今后的实践中根据内外部环境、法律法规、监管政策的变化进行不断修订，使指引系列手册日臻完善。中国保监会党委书记、2012年2月关于印发保险稽查审计指引第3号：公司层面内部控制分册的通知保监发201228号各保监局、各保险公司、保险资产管理公司：保险稽查审计指引第3号：公司层面内部控制分册已经保监会稽查工作委员会、保险

9、稽查审计联席会审议通过，现予印发。中国保险监督管理委员会二。一二年四月九日关于印发保险稽查审计指引第3号：公司层面内部控制分册的通知保监发201228号各保监局、各保险公司、保险资产管理公司：保险稽查审计指引第3号：公司层面内部控制分册已经保监会稽查工作委员会、保险稽查审计联席会审议通过，现予印发。中国保险监督管理委员会二。一二年四月九日第一章公司层面内部控制基础第一节内部控制概述第二节公司层面内部控制概述第二章公司层面内控审计的程序与方法第一节公司层面内控审计的程序第二节公司层面内部控制审计方法第三节计算机辅助实施公司层面内控审计第三章内部环境审计第一节内部环境概述第二节公司治理审计第三节组

10、织架构审计第四节发展战略、人力资源、企业文化、社会责任审计第四章风险评估审计第一节风险评估概述第二节风险评估常用方法和风险控制常用策略第三节风险管理组织审计第四节风险目标设定审计第五节风险评估审计第六节风险控制审计第七节风险管理的监督与改进审计第五章信息与沟通审计第一节信息与沟通概述第二节信息收集与处理审计第三节反舞弊和举报投诉管理机制审计第四节信息系统控制审计第五节信息披露管理审计第六章内部监督审计第一节内部监督概述第二节内部控制监督机制审计第三节内部控制缺陷认定和整改审计第四节内部控制自我评价审计附表：公司层面内部控制相关的法律法规和监管制度后记第一章公司层面内部控制基础第一节内部控制概述

11、一、内部控制的概念内部控制最早被作为专业概念提出是在1936年美国会计师协会发布的独立公共会计师对财务报表的审查中，指为保护现金和其他资产，检查簿记事务的准确性而在公司内部采取的手段和方法。其后，随着内部控制理论的不断完善，这一概念的内涵和外延都发生了较大的变化。当前世界各国广泛采用和认可的是由美国反虚假财务报告委员会下属的发起人委员会(即C(IS()委员会)于1992年提出并于1994年修改的内部控制整体框架中对内部控制提出的定义：内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成而提供合理保证的过程。(20S()框架从各个层次对

12、风险和控制进行分析和评估，为企业的内部控制管理提供了整体框架体系，首次提出了“五要素”，包括：.控制环境(；ontrolEnvironment)。控制环境包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任，组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。.风险评估(RiskAssessment)。风险评估是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。.控制活动（ControlActivit：ies）。控制活动是帮助执行管理指令

13、的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。.信息和沟通（InformationandCommunieation）。信息系统产生各种报告，包括经营、财务、合规等方面，使得对经营的控制成为可能。有效的信息和沟通要求及时、准确、完整地收集与经营管理相关的内外部信息，包括信息系统内部生成的数据，各类经营、财务、合规等报告，以及可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有

14、效的沟通。.监控（Monitoring）。监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。2008年，财政部、证监会、审计署、银监会、保监会五部委联合发布企业内部控制基本规范（以下简称基本规范）（财会20087号）；2010年4月26日，又联合发布了企业内部控制配套指引（财会201011号）（以下简称配套指引），两者共同构建了中国企业内部控制规范体系。基本规范指出，内部控制是由企业董事会、监事会、经

15、理层和全体员工实施的、旨在实现控制目标的过程。基本规范指出，企业建立与实施有效的内部控制，应当包括下列要素：.内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。.风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。.控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。.信息与沟通。信息与沟通是企业及时、准确地收集和传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。.内部监督。内部监督是企业对内部控制建立与实施情况进行

16、监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进。2010年，中国保监会颁布的保险公司内部控制基本准则（以下简称基本准则）（保监发201069号）指出，保险公司内部控制是指保险公司各层级的机构和人员，依据各自的职责，采取适当措施，合理防范和有效控制经营管理中的各种风险，防止公司经营偏离发展战略和经营目标的机制和过程。基本准则指出，保险公司内部控制体系包括以下三个组成部分：.内部控制基础。包括公司治理、组织架构、人力资源、信息系统和企业文化等。.内部控制程序。包括识别评估风险、设计实施控制措施等。3.内部控制保证。包括信息沟通、内控管理、内部审计应急机制和风险问责等。二、内部控制的

17、目标（一）基本规范规定的内部控制目标根据基本规范，内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。（二）基本准则规定的保险公司内部控制目标根据基本准则，保险公司内部控制的目标包括：.行为合规性目标。保证保险公司的经营管理行为遵守法律法规、监管规定、行业规范、公司内部管理制度和诚信准则。2资产安全性目标。保证保险公司资产安全可靠，防止公司资产被非法使用、处置和侵占。3信息真实性目标。保证保险公司财务报告、偿付能力报告等业务、财务及管理信息的真实、准确、完整。4经营有效性目标。增强保险公司决策执行力，提高管理效率，改善经

18、营效益。5战略保障性目标。保障保险公司实现发展战略，促进稳健经营和可持续发展，保护股东、被保险人及其他利益相关者的合法权益。三、内部控制的原则（一）根据基本规范的规定，企业建立与实施内部控制应当遵循的原则1全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。2重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。3制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。4适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。5成

19、本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。（二）根据基本准则的规定，保险公司建立和实施内部控制应当遵循的原则1全面和重点相统一。保险公司应当建立全面、系统、规范的内部控制体系，覆盖所有业务流程和操作环节，贯穿经营管理全过程。在全面管理的基础上，对公司重要业务事项和高风险领域实施重点控制。2制衡和协作相统一。保险公司内部控制应当在组织架构、岗位设置、权责分配、业务流程等方面，通过适当的职责分离、授权和层级审批等机制，形成合理制约和有效监督。在制衡的基础上，各职能部门和业务单位之间应当相互配合，密切协作，提高效率，避免相互推诿或工作遗漏。3权威性和适应性相统一。保险

20、公司内部控制应当与绩效考核和问责相挂钩，任何人不得拥有不受内部控制约束的权力，未经授权不得更改内部控制程序。在确保内部控制权威性的基础上，公司应当及时调整和定期优化内部控制流程，使之不断适应经营环境和管理要求的变化。4有效控制和合理成本相统一。保险公司内部控制应当与公司实际风险状况相匹配，确保内部控制措施满足管理需求，风险得到有效防范。在有效控制的前提下，合理配置资源，尽可能降低内部控制成本。四、内部控制五要素之间的关系根据cos0框架，以及基本规范等制度文件，我们通常将内部控制划分为内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素。这五个要素既相互独立又相互联系，形成一个有机统一

21、体，对不断变化的环境自动作出反应。企业首先需要建立一定的管理基调，内部环境是其他要素的基础，提供了基本规则和构架。其次需要在制定目标的前提下进行风险评估，辨识导致实体目标不能达成的内外部因素，评估其影响程度和发生可能性。企业在评估相关风险后，应决定风险要如何应对，在选择风险应对方式时，应综合考虑风险评估结果、风险偏好及风险承受能力，以协助公司及时设计、修正及执行必要的控制活动。控制活动是确保管理层的指令得以执行的政策及程序，它嵌入日常业务经营中，体现在整个企业的不同层次和不同部门，用于将风险控制在合理的水平上。信息与沟通是确保控制活动有序进行的保障，企业采取了控制措施后需要及时收集、传递与实现

22、内控目标相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。有效的内部监督则确保企业内部控制能持续有效的运作。第二节公司层面内部控制概述一、公司层面内部控制概念公司层面内部控制，是指对企业控制目标的实现具有重大影响，与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。公司层面的内部控制是整体性的，是从公司总体性方面设计的一系列内部控制制度，是站在公司治理层的角度，从公司战略目标考虑，对一个公司的所有部门、所有人员都有效力的控制，通常对企业内部控制是否有效、财务报告是否真实可靠和企业是否合规经营产生普遍和重大影响，是有效的企业内部控制的基础。除“控制活动”以外的四个要素，均不直接成

23、为某项业务活动，但具有更高层次、更广泛的影响力，成为内部控制体系的重要领域。因此，这四个要素被统称为公司层面内部控制。二、保险公司公司层面内部控制保险公司内部控制体系包括：内部控制基础、内部控制程序、内部控制保证等三个组成部分，但通常也按照内部环境、风险评估、控制活动、信息与沟通、内部监督五要素落实实施。除控制活动外的其他四要素构成了保险公司公司层面内部控制：（一）内部环境内部环境是保险公司实施内部控制的基础，一般包括公司治理、机构设置及权责分配、人力资源政策、企业文化、社会责任等。根据cOs0框架以及基本规范等制度文件，结合保险公司的实际，本手册将内部环境细分为公司治理、组织架构、发展战略、

24、人力资源、企业文化和社会责任等六个部分。（二）风险评估基本规范指出，企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。根据保险公司风险管理指引（试行）的规定，保险公司应当识别和评估经营过程中面临的各类主要风险，包括：保险风险、市场风险、信用风险和操作风险等。风险评估是指保险公司围绕经营目标，对保险经营中的风险进行识别、评价和控制的基本流程以及相关的组织架构、制度和措施，是风险管理不可或缺的组成部分。为了整个体例的完整，本手册从整个风险管理的的角度，结合保险公司实际，将风险评估细分为风险目标设定、风险评估、风险控制、监督与改进等五个部分。（三）信息与沟通信息

25、与沟通是保险公司及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通。保险公司应当建立信息和沟通机制，促进公司信息的广泛共享和及时充分沟通，提高经营管理透明度，防止舞弊事件的发生。信息与沟通审计，包括对信息收集、处理和传递的及时性，反舞弊机制的健全性，信息系统内控有效性，以及信息披露管理规范性等进行认定和评价。根据保险公司的实际，本手册将信息与沟通细分为信息收集与处理、反舞弊机制、信息系统控制、信息披露管理等四个部分。（四）内部监督内部监督是保险公司对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷并及时加以改进的过程。结合保险公

26、司实际，可以将内部监督细分为内部控制监督机制、内部控制缺陷认定和整改、内部控制自我评价等三个部分。本手册后续内容也主要按照上述逻辑，分内部环境、风险评估、信息与沟通、内部监督来安排章节，按照通用化具有一般适用性的保险公司，介绍公司层面内部控制风险点、相关法律法规和监管规定，以及审计程序和方法。而内控五要素中的另一要素控制活动，因与具体的业务、财务活动密切相关，有关审计程序和方法请参阅财务分册、人身保险业务分册、财产保险业务分册、再保险业务分册等其他分册。第二章公司层面内控审计的程序与方法本章基于如何开展公司层面内部控制专项审计，介绍有关审计的程序和方法。保险公司的公司层面内部控制审计可以作为一

27、个单独的专项来开展，但更多时候是作为其他常规审计的组成部分，起到基础性的作用。因此，在常规审计工作中，要结合基本手册介绍的审计程序和方法，来开展有关内控方面的审计。第一节公司层面内控审计的程序保险公司实施公司层面内部控制专项审计的主要工作步骤如下（见图21）：一、事前准备根据审计计划，开展进行项目前期的准备工作，包括与被审计单位沟通审计时间和内容，了解被审计单位基本信息，获取相关资料，通过非现场审计进行初步的风险分析及评估，拟定审计方案，确定审计范围、项目组成人员及拟实施的审计程序等事宜。二、下发审计通知书告知审计时间、成员名单、需要准备的资料清单、必要的工作条件（如办公场所、技术配合等）。三

28、、召开审计见面会介绍与会双方成员、介绍预计的审计时间（包括管理层反馈时间）、介绍审计范围、提出所需现场配合的事项要求、听取被审计单位情况介绍。审计见面会通常在现场审计实施的第一天召开。建立了解图21四、内部控制初步评审内部控制初步评审的基本步骤如下：（一）对被审计单位的内部控制制度进行调查了解通过访谈、发放调查问卷、查阅文件等方式，了解了内部控制制度、制度是否健全合理、制度执行效的情况进行记录、描述。审计人员可以采用文字叙企业是否果，并对述、调查问卷、流程图、调查表等方法对内部控制制度进行描述，并记录于审计工作底稿中。（二）对内部控制制度进行初步评价在对被审计单位内部控制制度进行调查了解，取得

29、初步认识的基础上，对其内部控制水平进行初步评价。审计人员可以事先设计内控制度评分表，将被审计单位的内部控制评估点赋予一定的分值，根据调查情况进行评分，并根据评分结果初步评价被审计单位内部控制制度水平，以确定下一步符合性测试的范围。通常在初步评价中，如果某个内部控制环节出现内部控制失效、或者难以对内部控制的有效性进行评价等情况的，则应将其全部内容或重要的活动直接认定为高风险水平，可不进行符合性测试等下一步审计工作。五、符合性测试符合性测试是指通过穿行测试法、重新履行、观察等内控审计方法，在对被审计单位内部控制进行初评的基础上，测试被审计单位各项活动的运行是否得到贯彻执行，贯彻执行的实际效果与相关

30、内部控制的符合程度。例如：审计人员获取公司组织结构图、董事会议事规则等公司治理相关制度文档，检查审计期间内董事会会议与决议记录，与被审计单位治理层的相关人员进行访谈，确认被审计单位是否按规定建立了公司治理结构和议事规则，是否明确了审批、决策、监督等方面的要求。符合性测试一般通过抽样的方法进行，测试的范围和数量取决于内部控制初步评审的结果。经过初步评价，如果认为被审计单位内控比较健全，则符合性测试的范围可以较小，反之，应扩大符合性测试范围和抽样数量。一般来说，符合性测试的范围越大，所能提供的有关被审计单位内控执行有效性的证据就越充分，但如果内审人员进行符合性测试的工作量可能大于由此而减少的实质性

31、测试的工作量，则大可不必进行符合性测试，而直接进行实质性测试。鉴于符合性测试是在被审计单位内控制度健全的基础上进行的，如果被审计单位没有内控制度，则可以不进行符合性测试。此外，如果通过以前的检查、调查，对其内控是否有效已经有了解，在内部控制情况没有发生变化的一定时限内也可以不进行符合性测试，一般认为该时限最多为两年，即内部控制必须每三年进行一次符合性测试，以避免长期不进行符合性测试导致认识偏差的情况发生。通过符合性测试，审计人员便可对内部控制的有效性作出进一步评价，并根据符合性测试结果确定实质性测试的性质、时间和范围。审计人员只对可信赖的内部控制环节进行符合性测试，并且进行符合性测试将会大大减

32、少实质性测试工作量，此时符合性测试才是有意义的。六、实质性测试实质性测试是指在符合性测试基础上，审计人员运用询问、审核、观察、监盘、函证、分析性复核等审计方法，对被审计单位具体内部控制有效性进行的证实性测试。实质性测试通常采用抽样方法，其抽样的规模根据内控评审和符合性测试的结果来确定。实质性测试是审计人员在现场审计实施阶段实现审计目标、获取审计证据所必需的重要环节。审计人员对被审计单位符合性测试为确定实质性测试的范围、重点、数量和时间提供_依据，但并不能代替实质性测试。无论被审计单位内部控制机制如何健全有效，审计人员都必须选择适当的方法进行实质性测试。七、取得审计证据审计证据是用以证明审计事项

33、真相并作为审计结论的基础材料，取得审计证据过程是审计作业的主体部分。内部审计人员通过检查、监盘、观察、询问、计算、分析性复核等方法获取审计证据，为形成审计意见和审计报告提供依据。重要审计证据需被审单位签字或盖章确认。审计证据是否充分直接影响审计的质量，审计证据不足是产生审计风险的一个主要原因。审计人员需要对收集到的审计证据的客观性、相关性、充分性和合法性进行评价，筛选出具有充分证明力的证据，使审计证据的潜在证据力转化为现实证据力。八、编制审计工作底稿审计工作底稿应当由内部审计人员根据审计任务的要求，边查边记，逐事逐项编写，做到一事一稿（也可合并处理）。工作底稿要求情节表述简明清晰、定性准确、编

34、写合理有序。九、召开离场会在审计实施的最后一天召开项目离场会，双方沟通审计发现。但是对于公司层面内部控制缺陷经常包含的一些敏感信息，需要注意沟通的方式、范围和对象。十、编写审计报告并征求意见鉴于公司层面内部控制缺陷影响的广泛性和敏感性，建议对于报告中的每一个发现，都需要得到被审计对象管理层书面回应。回应内容包括拟采取详细的解决行动方案、明确整改责任人和整改落实期限。管理层回应的重点在于对审计建议的适用性及落实期限，双方沟通并达成一致。十一、签发报告内部审计机构负责人签发报告，并且将审计发现记录于审计追踪系统（若适用）。十二、项目总结在签发报告的同时，向被审计单位发出评估调研，记录审计实施过程中

35、尚待改进之处并对团队成员进行绩效评估。同时，对比分析实际用时与预算，并对差异作出解释。最后，审计人员应做好整理归档工作。十三、整改跟踪和后续审计十四、向监管机关报送审计报告保险公司应认真落实各项要求，切实提高审计工作质量，完善审计报告定期报送机制，严格要求，定期、全面、真实地向监管机关报送审计报告。第二节公司层面内部控制审计方法公司层面内部控制审计既要采用内部审计的一般方法，也有其特殊的方法。企业内部控制配套指引：企业内部控制评价指引指出，内部控制评价工作要“综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法”。其中，个别访谈、调查问卷、专题讨论、实地查验等是询问法

36、和观察法等一般审计方法的应用，穿行测试是内控审计的特殊方法。一、一般方法在对公司层面内部控制开展审计时，可以使用内部审计的一般方法，但要注意根据公司层面内部控制的特点来使用，这里重点介绍询问法、审核法、观察法的应用。（一）询问法询问法应用于公司层面内部控制审计，具体可以使用调查问卷、个别访谈等。.调查问卷。通过设计一系列与公司层面风险相关的问题，将被调查者的思维集中于可能引起或已经引起风险的内外部因素上（参见表21）。表21环节内部控制调查问卷机构名称：审计日期：n111是111111项目11否1不适用1备注11J1111L111111良好1薄弱11111_111111T111是否建立这方面的

37、制度11111111111_111111T111制度是否遵循法律法规规定11111111111_111111T111制度是否得到有效执行11111111111111111111111T11111111111111111111T1111111111111111111.个别访谈。按照一般询问法的要求实施，主要包括确定询问的目的、收集与询问相关的背景资料、确定询问要点、编制谈话提纲、约定询问时间和地点、面谈与记录、对面谈内容进行评估等步骤。但对公司层面内部控制审计中，访谈者要注意引导、启发被访谈者，在一定程度上是参与讨论，而非常规审计的询问、质询，这样才能更加深入地挖掘有关内控风险和隐患。3.专题讨

38、论。将具有交叉职能或多层级的人员聚集在一起，利用集体智慧描述出公司面临的风险以及存在内控薄弱环节。（二）审核法审核法是公司层面内控审计工作最重要的检查方法之一。评审人员在执行抽样、穿行测试等评审方法时，要求被评价单位在限定的时间内，提供被审计内容相关的内外部公文、制度文件、协议合同、审批记录等等。通过对这些书面证据的检查，验证各项内控措施在实际操作中是否得到有效贯彻执行。（三）观察法观察法指内部审计人员深入现场实地调研，参加重要会议，或通过观看过程录像的方式，观察有关人员的实际工作情况，以确定规定的内部控制活动是否得到严格执行。该方法适用于那些不留书面痕迹的内部控制环节及用于测试某项控制措施执

39、行的到位程度。上述一般方法的具体要点，可参阅基本手册有关询问、观察、监盘等审计方法。二、特殊方法（一）穿行测试法穿行测试也称全程测试，这是内部控制评价和审计的常用方法，用以确定内部控制政策和程序的实施情况。评审人员在每一类循环中选择一次或若干次控制活动，比照处理流程，从头到尾检查其实际处理过程，检查测试该流程步骤和控制点的执行情况，以验证所描述的内部控制的客观性和真实性。穿行测试只能保证被测试业务的内控是否得到有效执行，但不能保证被审计单位内部控制有效、一贯地得到执行。例如为某项复核、监督措施是否执行，可以采取穿行测试法。内部审计人员应选择不同的内部审批事项，对复核、监督流程进行穿行测试，检查

40、内控制度是否合理、是否得到执行、是否存在控制漏洞。（二）流程图法流程图法主要用于内部控制系统的健全性和合理性测试，即利用符号和图形来表示被审计单位组织架构、职责分工、权限、经营业务的性质及种类、各种处理规程、各种会计记录等内部控制状况的示意图。通过流程图的绘制，审计人员可以直观和清晰地了解被审计单位内部控制运行机制、相关风险控制点和控制措施，有助于发现各内部控制体系的缺失和审计重点。流程图一般有两种，一种是垂直流程图，另一种是水平流程图。垂直流程图是将业务处理过程按照先后次序，用一条主线垂直串连起来，并将经济业务按流程从上至下用图形符号描绘出来。水平流程图则按业务部门设置若干竖栏，将业务处理程

41、序从左到右排列，用图形符号描绘经济事项的过程，用水平流程线将各业务活动串连起来。绘制流程图可以使用微软Office自带的流程图或者Visio,常见的流程图符号及含义见表22。表2211符号11含义|符号|11含义|1-111文件|11流程线|1-111开始终止|11流向|1-1口1卡片1L|1流程交叉I111fI1I1-111判断。I11控制点|1-1V|留存I1核对I三、公司层面内控审计方法应用的注意要点.在开展公司层面内部控制审计工作时，可以根据内控审计工作的需要和审计特定内容的实际情况，灵活、综合运用各种审计方法。.审计人员应当充分考虑借鉴使用外部审计、外部监管检查、公司监事会检查、合规

42、和风险管控的资料记录，辅助开展公司层面内部控制审计。.审计中，审计人员应当注意从董事会、监事会或经营层等公司治理层的角度，或者从公司制度设计等角度，查找公司层面内部控制存在的问题和风险，而非就事论事，只从具体控制环节和人员角度查找问题和原因。.公司层面内部控制审计应当与其他具体控制活动的审计工作相结合，而不是互相割裂。公司层面内部控制审计应当作为其他各项审计工作的基础。第三节计算机辅助实施公司层面内控审计在计算机辅助下、运用信息技术对公司层面内部控制实施审计，可以大大提高审计工作的效率。在计算机日益普及的今天，计算机辅助开展审计已经成为审计人员必须掌握的审计技术和方法。本节重点介绍如何运用计算

43、机辅助开展内控审计的方法，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等，以涵盖内控审计基本流程和各环节。完整的内控审计管理信息系统应能提供以下功能，将内控审计各环节纳入到信息化平台上，从而实现审计过程的自动化。一、建立风险及控制知识库为了实现以风险为导向的内控审计，需首先建立风险和控制知识库。系统应提供数据接口或操作界面将风险库和控制库装载或输入到信息系统中。同时，也应提供实现风险与控制之间关联的功能，用以表明为应对风险所设计的管控措施。二、建立审计方法库作为审计支持软件，系统还应能建立起审计方法库。如通过内置标准的审计程序方法和步骤，指导审计人员进行内控测试，保证测试质量。同时

44、，系统应能提供一些辅助的信息，如流程图，关键控制点等。三、编制审计项目计划系统应能提供风险评估结果，以供审计部门以风险为导向编制审计项目计划。系统允许管理用户设置计划范围的条件，并根据这些条件自动筛选风险及控制点范围。四、创建工作底稿系统应提供预先定制的工作底稿模板，以利审计人员根据审计方案确定审计检查范围，按照有关要求编制工作底稿。工作底稿也通过系统向上收集汇总到公司总部的审计部门存档备查。五、复核工作底稿系统应能提供工作底稿复核功能，审计部门可以对自评结果进行复核以发现自评过程存在的问题，如范围选择偏差、风险评估偏差、内控自评方法不正确、部分控制活动未识别等，通过系统提出问题并要求现场审计

45、人员整改。六、汇总审计发现、编制报告系统应当能够自动将工作底稿有关审计发现汇总，为形成审计报告提供辅助。内控审计报告包括内部报告及外部报告。内部报告指在年度或专项的内控测试完成后，系统提供本次测试的报告，包括测试范围、测试所依据的方法、测试结果、问题描述、总体评价、整改结果等信息；外部报告指系统应能生成符合法律法规及监管规定的各类报告。七、进行问题管理和跟踪审计部门在系统中根据发现的问题向有关部门提出整改点，并提出具体的整改意见。整改部门应能在系统中查看到该问题的来源和具体的描述。八、监督整改结果审计部门在系统中查看所提出的整改意见执行情况，并对整改的结果进行复查，确认整改是否达到要求。九、提

46、供丰富的展现工具系统还应能提供各种知识库查询工具和图表工具，从各方面展现风险和控制的历史和现状，自评和审计的结果。如提供风险矩阵、风险热力图、内控手册等报表和图形。建立内控审计系统是个循序渐进的过程，各公司应根据自身的实际情况制订系统应用时间表，且应将内控审计信息化作为公司内控建设的一个重要目标来规划执行。第三章内部环境审计第一节内部环境概述根据基本规范的规定，内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境是实施内部控制的重要基础，是企业的基调、氛围，直接影响企业员工的控制意识。本章将内部环境细分为公司治理、组织架构、发展战

47、略、人力资源、企业文化和社会责任等六个子流程，针对这些子流程涉及的主要风险及控制活动提出最佳实践，并分别介绍相应的审计程序和方法。一、公司治理根据国际内部审计师协会(IIA)国际内部审计专业实务框架，公司治理是指董事会实施的各种流程和架构的组合，用于告知、指导、管理和监督组织活动，以实现组织的目标。公司治理是一个涉及公司股东、董事会、管理层以及其他利益相关者的一整套关系体系。根据保险公司的实际情况，我们将公司治理审计的主要内容分成公司章程、股东(大)会、董事会、监事会、关联交易、集团化管控等六大部分。（一）公司章程1基本概念。公司章程是指公司依法制定的，规定公司名称、住所、经营范围、经营管理制

48、度等重大事项的基本文件，是以书面形式固定下来的股东共同一致的意思表示。公司章程是公司组织和活动的基本准则，是公司的宪章。根据公司法的规定，设立公司必须依法制定公司章程。公司章程对公司、股东、董事、监事、高级管理人员具有约束力。公司经营范围由公司章程规定，并且依法登记。公司可以修改章程，变更经营范围，但是必须办理变更登记。公司法定代表人依照公司章程的规定，由董事长、执行董事或总经理担任，并依法登记。公司法定代表人变更，也应当办理变更登记。2公司法对有限责任公司公司章程的规定。根据公司法规定，有限责任公司章程应当载明：公司名称和住所，经营范围，注册资本，股东的姓名或者名称，股东的出资方式、出资额和

49、出资时间，公司的机构及其产生办法、职权、议事规则，法定代表人，以及股东会会议认为需要规定的其他事项。股东应当在公司章程上签名、盖章。有限责任公司的股东会行使修改公司章程的职权。有限责任公司股东会会议修改公司章程的决议，必须经代表23以上表决权的股东通过。3公司法对股份有限公司公司章程的要求。根据公司法规定，股份有限公司章程应当载明：公司名称和住所，经营范围，设立方式，股份总数、每股金额和注册资本，发起人的姓名或者名称、认购的股份数、出资方式和出资时间，董事会的组成、职权和议事规则，法定代表人，监事会的组成、职权和议事规则，利润分配办法，公司的解散事由与清算办法，公司的通知和公告办法，以及股东大

50、会会议认为需要规定的其他事项。股份有限公司的股东大会行使修改公司章程的职权。股份有限公司股东大会会议修改公司章程的决议，必须经出席会议的股东所持表决权的23以上通过。4对保险公司公司章程的特殊规定。根据保险法的规定，保险公司修改章程，须经中国保监会批准。根据关于规范保险公司章程的意见（保监发200857号）的规定，保险公司章程应当对基本事项，股东与股份规则，组织机构及其职权，董事、监事及高管人员的任免、职权及义务，股东大会、董事会及监事会的主要议事程序，财务会计制度，其他制度等事项作出明确规定。保险公司章程须经中国保监会核准后方可生效；章程经中国保监会核准后，应当及时向公司登记机关依法办理变更

51、登记。因为具体内容较多，请参阅该文件的具体规定。（二）股东与股东（大）会1基本概念。（1）股东，又称出资人或投资人，是股份有限公司或有限责任公司中持有股份的人。股东以其所持股份或出资额为限，对公司承担责任。股东作为出资者，按投入公司的资本额享有所有者的资产收益、重大决策和选择管理者等权利。（2）股东（大）会，通常可以指一种定期或临时举行的由全体股东或股东代表出席的会议，又可以指非常设的由全体股东所组成的公司最高权力机构，是股东作为企业的所有者，对企业行使所有权的组织。其中有限责任公司通常称为股东会，而股份有限公司通常称为股东大会。2对股东的法律和监管要求。（1）公司法对有限责任公司股东的规定。

52、有限责任公司由50个以下股东共同出资设立。股东应当及时足额缴纳公司章程中规定的各自所认缴出资额。股东缴纳出资后，必须经依法设立的验资机构验资并出具证明。有限责任公司成立后，应当向股东签发出资证明书，载明：公司名称；公司成立日期；公司注册资本；股东的姓名或者名称、缴纳的出资额和出资日期;出资证明书的编号和核发日期。出资证明书由公司盖章。有限责任公司应当置备股东名册，记载：股东的姓名或者名称及住所、股东的出资额、出资证明书编号。公司应当将股东的姓名或名称及其出资额向公司登记机关登记；登记事项发生变更的，应当办理变更登记。在公司成立后，股东不得抽逃出资。(2)公司法对股份有限公司股东的规定。设立股份

53、有限公司应当有2人以上200人以下为发起人，其中须有过半数的发起人在中国境内有住所。发起人、认股人缴纳股款或者交付抵作股款的出资后，除未按期募足股份、发起人未按期召开创立大会或者创立大会决议不设立公司的情形外，不得抽回其股本。(3)保险法对保险公司股东的规定。保险公司股东的条件。设立保险公司的主要股东须具有持续盈利能力，信誉良好，最近三年内无重大违法违规记录，净资产不低于人民币两亿元。出资方式和资金来源。保险公司的注册资本必须为实缴货币资本。股权变更的批准。变更出资额占有限责任公司资本总额5以上的股东，或者变更持有股份有限公司股份5以上的股东，应当经中国保监会批准。(4)保险公司股权管理办法(

54、保监会令2010年第6号)对中资保险公司股东的规定(适用于外资股东出资或者持股比例占公司注册资本不足25的保险公司)。股东的条件。境内企业法人向保险公司投资入股，应当符合以下条件：财务状况良好稳定，且有盈利；具有良好的诚信记录和纳税记录；最近三年内无重大违法违规记录；投资人为金融机构的，应当符合相应金融监管机构的审慎监管指标要求；法律、行政法规及中国保监会规定的其他条件。境外金融机构向保险公司投资入股，应当符合以下条件：财务状况良好稳定，最近三个会计年度连续盈利；最近一年年末总资产不少于20亿美元；国际评级机构最近三年对其长期信用评级为A级以上；最近三年内无重大违法违规记录；符合所在地金融监管

55、机构的审慎监管指标要求；法律、行政法规及中国保监会规定的其他条件。持有保险公司股权15以上，或者不足15但直接或者间接控制该保险公司的主要股东，还应当符合以下条件：具有持续出资能力，最近三个会计年度连续盈利；具有较强的资金实力，净资产不低于人民币两亿元；信誉良好，在本行业内处于领先地位。出资方式和资金来源。保险公司的股东应当用货币出资，不得用实物、知识产权、土地使用权等非货币财产作价出资。股东应当以来源合法的自有资金向保险公司投资，不得用银行贷款及其他形式的非自有资金向保险公司投资。持股比例。除符合特定条件，并经保监会批准外，单个股东(包括关联方)出资或者持股比例不得超过保险公司注册资本的20

56、。任何单位或者个人不得委托他人或者接受他人委托持有保险公司的股权，中国保监会另有规定的除外。股权变更的备案。保险公司变更出资或者持股比例不足注册资本5的股东，应当在股权转让协议书签署后的15日内，就股权变更报中国保监会备案，上市保险公司除外。股权有关重大事项报告。保险公司应当自知悉其股东发生所持保险公司股权被采取诉讼保全措施或者被强制执行，质押或者解质押所持有的保险公司股权，变更名称，发生合并、分立，解散、破产、关闭、被接管，以及其他可能导致所持保险公司股权发生变化等情况之日起15日内向中国保监会书面报告。（5）外资保险公司管理条例对外资保险公司股东的特殊规定。根据中华人民共和国外资保险公司管

57、理条例（国务院令2005年第336号）以及中华人民共和国外资保险公司管理条例实施细则（保监会令2004年第4号）的规定，合资寿险公司中外资比例（包括直接或者间接持有）不得超过公司总股本的50。注册资本或者营运资金应当为实缴货币。外国保险公司分公司成立后，外国保险公司不得以任何形式抽回营运资金。外国保险公司分公司应当于每一会计年度终了后3个月内，将该分公司及其总公司上一年度的财务会计报告报送中国保监会，并予以公布。外国保险公司分公司的总公司有下列情形之一的，该分公司应当自各该情形发生之日起10日内，将有关情况向中国保监会提交书面报告：变更名称、主要负责人或者注册地；变更资本金；变更持有资本总额或

58、者股份总额10%以上的股东；调整业务范围；受到所在国家或者地区有关主管当局处罚；发生重大亏损；分立、合并、解散、依法被撤消或者被宣告破产；中国保监会规定的其他情形。3对股东（大）会的法律要求。（1）公司法对有限责任公司股东会的规定。有限责任公司股东会由全体股东组成，股东会行使下列职权：决定公司的经营方针和投资计划；选举和更换非由职工代表担任的董事、监事，决定有关董事、监事的报酬事项；审议批准董事会的报告；审议批准监事会或者监事的报告；审议批准公司的年度财务预算方案、决算方案；审议批准公司的利润分配方案和弥补亏损方案；对公司增加或者减少注册资本作出决议；对发行公司债券作出决议；对公司合并、分立、

59、解散、清算或变更公司形式作出决议；修改公司章程；公司章程规定的其他事项。对上述事项股东以书面形式一致表示同意的，可以不召开股东会会议，直接作出决定，并由全体股东在决定文件匕签名、盖章。股东会会议分为定期会议和临时会议。定期会议应当按照公司章程的规定按时召开。代表110以上表决权的股东，13以上董事，监事会或者不设监事会的公司的监事提议的，应当召开临时会议。有限责任公司设立董事会的，股东会会议由董事会召集，董事长主持；董事长不能履行职务或者不履行职务的，由副董事长主持；副董事长不能履行职务或者不履行职务的，由半数以上董事共同推举一名董事主持。有限责任公司不设立董事会的，股东会会议由执行董事召集和

60、主持。召开股东会会议，应当于会议召开15日以前通知全体股东；但公司章程另有规定或全体股东另有约定的除外。股东会应当对所议事项的决定作成会议记录，出席会议的股东应当在会议记录上签名。股东会会议由股东按照出资比例行使表决权，但是公司章程另有规定的除外。股东会的议事方式和表决程序，除公司法有规定的外，由公司章程规定。股东会会议作出修改公司章程、增加或者减少注册资本，以及合并、分立、解散或者变更公司形式的决议，必须经代表23以上表决权的股东通过。（2）公司法对股份有限公司股东大会的法律要求。股份有限公司股东大会由全体股东组成。股东大会行使下列职权：决定公司的经营方针和投资计划；选举和更换非由职工代表担