公司层面内部控制管理知识分析手册模板

第五次保险稽查审计联席会议材料一：保险稽查审计指导——企业层面内部控制分册（审议稿）12月

导言多年来，世界各国对企业内部控制建设重视程度越来越高。美国颁布了《公众企业会计改革和投资者保护法案》，又称《萨班斯—奥克斯利法案》，该法案第404条款明确要求了管理层对企业内部控制职责；906条款更指出假如企业被认定未达成该法案要求，将可能使企业和管理层个人受到包含高额罚款甚至监禁等形式严重处罚。财政部、证监会、审计署、银监会、保监会联合颁布了《企业内部控制基础规范》，并于公布了《企业内部控制配套指导》，该配套指导包含18项《企业内部控制应用指导》、《企业内部控制评价指导》和《企业内部控制审计指导》，这一套控制规范被称为中国“萨班斯法案”，分阶段适适用于包含保险企业在内各类上市企业、非上市大中型企业。和此同时，大家也越来越重视内部审计在内部控制中作用。通常认为，保险企业内部审计含有监督、评价两方面基础职能，既是内部控制一部分，同时又是内部控制测试者，对内部控制体系进行评定、评价已经成为内部审计一个关键工作内容。内部审计师通常要每十二个月对企业高管层提交内部控制评价汇报，高管层认可后对外报送或披露。这实际上就把内部审计从“后台”推向了“前台”，假如企业内部控制情况不佳，内部审计部门也负有不可推卸责任。依据国际上普遍认可COSO内部控制体系框架，内部控制通常被分为控制环境、风险识别和评定、控制活动、信息和沟通、监督五个要素。在内部控制五要素中，因为控制活动和具体业务活动相关，所以其它四个要素通常被称为企业层面内部控制。企业层面内部控制是其它业务层面控制奠基石，只有在建立健全企业层面内部控制基础上，业务层面各项内部控制才能连续地、有效地开展。结合保险企业实际，依据《保险稽查审计指导》体例安排，控制活动相关审计内容已在各业务分册表现，而企业层面内部控制审计在此专门制作一个分册。《企业层面内部控制分册》是在《基础手册》介绍相关保险企业内部审计工作基础理论、标准、方法、实务操作规范等内容基础上，基于风险导向方法论，依据现行保险法律法规及监管要求，在系统梳理企业层面内部控制风险点和全方面总结相关审计工作稽查实践经验基础上，而撰写相关怎样开展企业层面内部控制审计工作操作手册，并附以案例参考，试图以更清楚方法和思绪透视企业层面内部控制，为保险企业提升内部审计工作效率，提升理论和实务分析结合度提供指导和借鉴。在应用本手册对保险企业企业层面内部控制开展审计时，除了需要遵照《基础手册》和本分册要求外，还要参考并结合其它业务分册相关具体内容来开展；在实施审计过程中，需加强具体业务、财务活动审计配合和信息沟通，避免出现遗漏。另外，各保险企业具体实践不尽相同，所以在利用本手册过程中，还应结合被审计单位实际情况进行灵活利用。限于水平和经验，本手册还存在很多不足之处，敬请读者多多批评指正，方便以后深入修订完善。目录目录 5第一章保险企业企业层面内部控制基础 9第一节内部控制概述 9一、内部控制概念 9二、内部控制目标 12三、内部控制标准 13四、内部控制五要素之间关系 15第二节企业层面内部控制概述 16一、企业层面内部控制概念 16二、保险企业企业层面内部控制概念 16第二章企业层面内控审计程序和方法 21第一节企业层面内控审计程序 21第二节企业层面内部控制审计方法 26一、通常方法 27二、特殊方法 29三、企业层面内控审计方法应用注意关键点 31第三节计算机辅助实施企业层面内控审计 32第三章内部环境审计 35第一节内部环境概述 35 35 58 70 72 75 77第二节企业治理审计 79 79一 80 82二 84 85三 87 89四 90 90五 91 92六 93七 95 96第三节组织架构审计 97 97 98 98第四节发展战略、人力资源、企业文化、社会责任审计 99 99 101八 102九 104十 106 110 112十一 113第四章风险管理审计 115第一节风险管理概述 115 115 117 118 120 122第二节风险评定常见方法和风险应对常见策略 123 123 124第三节风险管理组织审计 126 126 127 128 129十二 129第四节风险目标设定审计 131第五节风险评定审计 131 131十三 132 133第六节风险应对审计 134 134 135 136案例十四：风险应对策略调整不立即 137第七节风险管理监督和改善审计 138 138 139第五章信息和沟通审计 140第一节信息和沟通概述 140 140 141 142 142第二节内外部信息搜集、处理和传输审计 145 145 146第三节反舞弊和举报投诉管理机制审计 148 148 149十五 149第四节信息系统内控有效性审计 151 151 152 152十六 153第五节信息披露管理审计 155十七 156第六章内部监督审计 158第一节内部监督概述 158 158 159 159第二节内部控制监督制度审计 161 161二、内部审计管理审计 162三、合规管理审计 163 163 164第三节内部控制缺点认定审计 165 165 166第四节内部控制自我评价审计 166 166 167十八 168附件：企业层面内部控制相关法律法规和监管要求 170

第一章保险企业企业层面内部控制基础第一节内部控制概述一、内部控制概念（一）内部控制最早被作为专业概念提出是在1936年美国会计师协会公布《独立公共会计师对财务报表审查》中，指为保护现金和其它资产，检验簿记事务正确性而在企业内部采取手段和方法。其后，伴随内部控制理论不停完善，这一概念内涵和外延全部发生了较大改变。目前世界各国广泛采取和认可是由美国反虚假财务汇报委员会下属提议人委员会（即COSO委员会）于1992年提出并和1994年修改《内部控制——整体框架》中对内部控制提出定义：内部控制是由企业董事会、经理层和其它职员实施，为营运效率效果、财务汇报可靠性及相关法令遵照性等目标达成而提供合理确保过程。COSO框架从各个层次对风险和控制进行分析和评定，为企业内部控制管理提供了整体框架体系，首次提出了“五要素”，包含：1、控制环境（Controlenvironment）。它包含组织人员老实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展职员方法；董事会提供关注和方向。控制环境影响职员管理意识，是其它部分基础。2、风险评定（riskassessment）。是确定和分析实现目标过程中相关风险，是形成管理何种风险依据。它随经济、行业、监管和经营条件而不停改变，需建立一套机制来识别和处理对应风险。3、控制活动（controlactivities）。是帮助实施管理指令政策和程序。它贯穿整个组织、多种层次和功效，包含多种活动如同意、授权、证实、调整、经营绩效评价、资产保护和职责分离等。4、信息和沟通（informationandcommunication）。信息系统产生多种汇报，包含经营、财务、守规等方面，使得对经营控制成为可能。处理信息包含内部生成数据，也包含可用于经营决议外部事件、活动、情况信息和外部汇报。全部些人员全部要了解自己在控制系统中所处位置，和相互关系；必需认真对待控制给予自己责任，同时也必需同外部团体如用户、供货商、监管机构和股东进行有效沟通。5、监控（monitoring）。监控在经营过程中进行，经过对正常管理和控制活动和职员实施职责过程中活动进行监控，来评价系统运作质量。不一样评价范围和步骤取决于风险评定和实施中监控程序有效性。对于内部控制缺点要立即向上级汇报，严重问题要汇报到管理层高层和董事会。（二），财政部、证监会、审计署、国资委、银监会、保监会五部委联合公布《企业内部控制基础规范》（财会[]7号），4月26日，又联合公布了《企业内部控制配套指导》，《基础规范》和配套指导构建了中国企业内部控制规范体系。《基础规范》指出，内部控制是由企业董事会、监事会、经理层和全体职员实施、意在实现控制目标过程。《基础规范》指出，企业建立和实施有效内部控制，应该包含下列要素：1、内部环境。内部环境是企业实施内部控制基础，通常包含治理结构、机构设置及权责分配、内部审计注：《基础规范》将内部审计作为控制环境一部分，但本手册根据通常了解，将内部审计放在监督一章。注：《基础规范》将内部审计作为控制环境一部分，但本手册根据通常了解，将内部审计放在监督一章。2、风险评定。风险评定是企业立即识别、系统分析经营活动中和实现内部控制目标相关风险，合理确定风险应对策略。3、控制活动。控制活动是企业依据风险评定结果，采取对应控制方法，将风险控制在可承受度之内。4、信息和沟通。信息和沟通是企业立即、正确地搜集、传输和内部控制相关信息，确保信息在企业内部、企业和外部之间进行有效沟通。5、内部监督。内部监督是企业对内部控制建立和实施情况进行监督检验，评价内部控制有效性，发觉内部控制缺点，立即加以改善。（三），中国保监会颁布《保险企业内部控制基础准则》（保监发[]69号）指出，内部控制是指保险企业各层级机构和人员，依据各自职责，采取合适方法，合理防范和有效控制经营管理中多种风险，预防企业经营偏离发展战略和经营目标机制和过程。《基础准则》指出，保险企业内部控制体系包含以下三个组成部分：1、内部控制基础。包含企业治理、组织架构、人力资源、信息系统和企业文化等。2、内部控制程序。包含识别评定风险、设计实施控制方法等。3、内部控制确保。包含信息沟通、内控管理、内部审计应急机制和风险问责等。二、内部控制目标（一）依据《企业内部控制基础规范》（财会[]7号），内部控制目标是合理确保企业经营管理正当合规、资产安全、财务汇报及相关信息真实完整，提升经营效率和效果，促进企业实现发展战略。（二）依据《保险企业内部控制基础准则》（保监发[]69号），保险企业内部控制目标包含：1、行为合规性目标。确保保险企业经营管理行为遵遵法律法规、监管要求、行业规范、企业内部管理制度和诚信准则；2、资产安全性目标。确保保险企业资产安全可靠，预防企业资产被非法使用、处理和侵占；3、信息真实性目标。确保保险企业财务汇报、偿付能力汇报等业务、财务及管理信息真实、正确、完整；4、经营有效性目标。增强保险企业决议实施力，提升管理效率，改善经营效益；5、战略保障性目标。保障保险企业实现发展战略，促进稳健经营和可连续发展，保护股东、被保险人及其它利益相关者正当权益。三、内部控制标准（一）依据《企业内部控制基础规范》（财会[]7号），企业建立和实施内部控制，应该遵照下列标准：1、全方面性标准。内部控制应该贯穿决议、实施和监督全过程，覆盖企业及其所属单位多种业务和事项。2、关键性标准。内部控制应该在全方面控制基础上，关重视要业务事项和高风险领域。3、制衡性标准。内部控制应该在治理结构、机构设置及权责分配、业务步骤等方面形成相互制约、相互监督，同时兼顾运行效率。4、适应性标准。内部控制应该和企业经营规模、业务范围、竞争情况和风险水平等相适应，并伴随情况改变立即加以调整。5、成本效益标准。内部控制应该权衡实施成本和预期效益，以合适成本实现有效控制。（二）依据《保险企业内部控制基础准则》（保监发[]69号），保险企业建立和实施内部控制，应该遵照以下标准：1、全方面和关键相统一。保险企业应该建立全方面、系统、规范化内部控制体系，覆盖全部业务步骤和操作步骤，贯穿经营管理全过程。在全方面管理基础上，对企业关键业务事项和高风险领域实施关键控制。2、制衡和协作相统一。保险企业内部控制应该在组织架构、岗位设置、权责分配、业务步骤等方面，经过合适职责分离、授权和层级审批等机制，形成合理制约和有效监督。在制衡基础上，各职能部门和业务单位之间应该相互配合，亲密协作，提升效率，避免相互推诿或工作遗漏。3、权威性和适应性相统一。保险企业内部控制应该和绩效考评和问责相挂钩，任何人不得拥有不受内部控制约束权力，未经授权不得更改内部控制程序。在确保内部控制权威性基础上，企业应该立即调整和定时优化内部控制步骤，使之不停适应经营环境和管理要求改变。4、有效控制和合理成本相统一。保险企业内部控制应该和企业实际风险情况相匹配，确保内部控制方法满足管理需求，风险得到有效防范。在有效控制前提下，合理配置资源，尽可能降低内部控制成本。四、内部控制五要素之间关系依据COSO框架，和《基础规范》等制度文件，我们通常将内部控制划分为内部环境、风险评定、控制活动、信息和沟通、监督等五个要素。这五个要素既相互独立又相互联络，形成一个有机统一体，对不停改变环境自动作出反应。企业首先需要建立一定管理基调，控制环境是其它要素基础，提供了基础规则和构架。其次需要在制订目标前提下进行风险评定，辨识造成实体目标不能达成内外部原因，评定其影响程度和发生可能性。企业在评定相关风险后，应决定风险要怎样响应，在选择响应方法时，应综合考虑风险评定结果、风险偏好及风险承受能力，以帮助企业立即设计、修正及实施必需控制活动。控制活动是确保管理层指令得以实施政策及程序，它嵌入日常业务经营中，表现在整个企业不一样层次和不一样部门，用于将风险控制在合理水平上。信息和沟通是确保控制活动有序进行保障，企业采取了控制方法后需要立即搜集、传输和实现内控目标相关信息，确保信息在企业内部、企业和外部之间进行有效沟通。有效内部监督则确保企业内部控制能连续有效运作。第二节企业层面内部控制概述一、企业层面内部控制概念企业层面内部控制(EntityLevelControls)，是指对企业控制目标实现含有重大影响，和内部环境、风险评定、信息和沟通、内部监督直接相关控制。企业层面内部控制是整体性，是从企业总体性方面设计一系列内部控制制度，站在企业治理层角度，从企业战略目标考虑，对一个企业全部部门、全部些人员全部有效力控制。企业层面内部控制是高层次，通常针对企业内部控制是否有效、财务汇报是否真实可靠和企业是否合规经营产生普遍和重大影响，是有效企业内部控制基础。所以，除“控制活动”以外四个要素，均不直接成为某项业务活动，但含有更高层次、更广泛影响力，成为内部控制体系很关键领域。所以，这四个要素被统称为企业层面内部控制(EntityLevelControls)。二、保险企业企业层面内部控制概念保险企业内部控制也通常根据控制环境、风险评定、控制活动、信息和沟通、监督5大要素落实实施。除控制活动外其它四大要素组成了保险企业企业层面内部控制。保险企业企业层面内部控制各要素具体含义以下：（一）内部环境内部环境是保险企业实施内部控制基础，通常包含治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。比如：1、建立规范企业治理架构对于现代企业风险管控很关键，治理架构是否规范合理将对企业运行管理中授权、运作、决议、实施、监督等内控职能产生巨大影响。2、合理组织架构应表现便于管理、易于考评、简化层级、避免交叉管理标准，明确职责分工，明晰汇报路线。3、和内部控制需要相适应人力资源政策，应确保关键岗位人员含有专业胜任能力并定时接收相关培训，考评、薪酬、奖惩、晋升等人力资源政策应该和内部控制成效相挂钩。4、建立安全实用、覆盖全部关键业务步骤信息系统能够尽可能使各项业务活动信息化、步骤化、自动化，降低人为干预和操作失误。5、建立健全企业文化，明确合适管理基调，制订正式职员行为准则和其它相关政策，提倡老实守信、爱岗敬业、开拓创新和团体协作精神，树立现代管理理念，强化风险意识，促进文化建设在内部各层级有效沟通和宣传落实。6、企业应该以一个有利于社会方法进行经营和管理，包含企业环境保护、社会道德和公共利益等方面，由经济责任、连续发展责任、法律责任和道德责任等组成，是企业在经营活动所包含到领域中衡量企业绩效和表现，并评价和汇报那些传统企业财务汇报未包含方面结果及影响。（二）风险评定风险评定是保险企业立即识别、系统分析经营活动中和实现内部控制目标相关风险，合理确定风险应对策略。比如：1、保险企业应该对经营管理和业务活动中可能面临全部风险原因（比如保险风险、市场风险、信用风险和操作风险等）进行全方面系统识别分析，发觉并确定风险点，同时对每一风险点发生概率、诱发原因、扩散规律和可能损失进行定性和定量评定，确定风险应对策略和控制关键。2、管理层可针对己评定关键性风险作出回应。可选应对风险策略有风险降低、风险消除、风险转移和风险保留。管理层能够选择一个或多个策略结合使用。（三）信息和沟通信息和沟通是保险企业立即、正确地搜集、传输和内部控制相关信息，确保信息在企业内部、企业和外部之间进行有效沟通。比如：1、内部控制相关信息在企业内部各管理级次、责任单位、业务步骤之间，和企业和外部投资者、债权人、用户、供给商、中介机构和监管部门等相关方面之间高效信息和沟通机制，有利于促进企业信息广泛共享和立即充足沟通，提升经营管理透明度，预防舞弊事件发生。2、关键相关管理和内控信息在总企业、分企业、支企业、直至营销服务部全部得以立即传达、落实。3、建立一整套信息管理步骤，覆盖内部信息上报、搜集、处理、分析和汇报相关过程。4、建立健全反舞弊机制，包含但不限于提倡诚信正直企业文化，营造反舞弊企业文化环境；有效实施内部控制，权责对等，奖罚明确；落实舞弊举报及调查机制；不停加强内部审计独立监督力量等。5、加强信息披露管理，依法向社会公众公开其经营管理相关信息。（四）内部监督内部监督是保险企业对内部控制建设和实施情况进行监督检验，评价内部控制有效性，发觉内部控制缺点，并立即加以改善。内部监督是保险企业对内部控制建设和实施情况进行监督检验，评价内部控制有效性，发觉内部控制缺点，并立即加以改善。包含：1、审计部门应保持独立性，公正客观开展监督评定工作，并将内部审计结果直接向董事会及管理层汇报。2、制订内部控制监督制度，加强对内部控制审计检验，定时依据检验结果对内部控制健全性、合理性和有效性进行评定，并根据要求汇报路线立即向审计对象、合规管理职能部门和上级领导进行反馈和汇报。建立多层次、全方位监控体系，实现对内部控制活动事前、事中、事后有效监控，为实现内控目标提供合理确保。3、制订内部控制缺点认定标准，对监督过程中发觉内部控制缺点，应该分析缺点性质和产生原因，提出整改方案，采取合适形式立即向董事会、监事会或经理层汇报。4、定时对内部控制有效性进行自我评价，出具内部控制自我评价汇报。本手册后续内容也关键根据上述逻辑，分控制环境、风险评定、信息和沟通、内部监督来安排章节，分别介绍相关具体审计程序和方法，而内控五大要素中另一要素控制活动审计程序和方法，因和具体业务、财务活动亲密相关，我们将在其它分册中展开描述，相关内容请参阅《财务分册》、《人身保险业务分册》、《财产保险业务分册》等其它分册。第二章企业层面内控审计程序和方法本章基于怎样开展企业层面内部控制专题审计，介绍相关审计程序和方法。保险企业企业层面内部控制审计能够作为一个单独专题来开展，但更多时候是作为其它常规审计组成部分，起到基础性作用常规审计通常需要先对内部控制进行初评，然后开展符合性测试和实质性测试，假如初评和符合性测试认为常规审计通常需要先对内部控制进行初评，然后开展符合性测试和实质性测试，假如初评和符合性测试认为内控完全失效，审计人员能够无需开展下一步审计工作，具体能够参考《基础手册》相关内容。第一节企业层面内控审计程序保险企业实施企业层面内部控制专题审计关键工作步骤以下：一、事前准备：依据审计计划，开展进行项现在期准备工作，包含和被审计单位沟通审计时间和内容，了解被审计单位基础信息，获取相关资料，经过非现场审计进行初步风险分析及评定，确定审计方案，确定审计范围、项目组成人员及拟实施审计程序等事宜。二、下发审计通知书：通知审计时间、组员名单、需要准备资料清单、必需工作条件(如办公场所，技术配合等)。三、召开审计见面会：介绍和会双方组员、介绍估计审计时间(包含管理层反馈时间)、介绍审计范围、提出所需现场配合事项要求、听取被审计单位情况介绍。审计见面会通常在现场审计实施第一天举行。四、内部控制初步评审：内部控制初步评审基础步骤以下：1、对被审计单位内部控制制度进行调查了解。经过访谈、发放调查问卷、查阅文件等方法，了解企业是否建立了内部控制制度、制度是否健全、合理和制度实施效果，并对了解情况进行统计、描述。审计人员能够采取文字叙述、调查问卷、步骤图、调查表等方法对内部控制制度进行描述，并统计于审计工作底稿中。2、对内部控制制度进行初步评价。在对被审计单位内部控制制度进行调查了解，取得初步认识基础上，对其内部控制水平进行初步评价，审计人员能够事先设计内控制度评分表，将被审计单位内部控制评定点给予一定分值，依据调查情况进行评分，并依据评分结果初步评价被审计单位内部控制制度水平，以确定下一步符合性测试范围。通常在初步评价中，假如某个内部控制步骤出现以下情况之一，则应将其全部内容或关键活动直接认定为高风险水平：1、内部控制失效；2、难以对内部控制有效性进行评价；3、不拟进行符合性测试等下一步审计工作。五、符合性测试：符合性测试是指经过穿行测试法、重新推行、观察等内控审计方法，测试被审计单位业务活动运行和相关内部控制符合程度。比如：审计人员抽取部分财务报销单据，审核查明该单据是否有领导审批、会计复核和出纳付款统计。假如该报销单据未经领导同意，会计复核未能发觉其中差错，出纳付款后未加盖“付讫”戳记，则现金报销内部控制功效未能发挥。符合性测试通常经过抽样方法进行，测试范围和数量取决于内部控制初步评审结果。经过初步评价，假如认为被审计单位内控比较健全，则符合性测试范围能够较小，反之应扩大符合性测试范围和抽样数量。通常来说，符合性测试范围越大，所能提供相关被审计单位内控实施有效性证据就越充足，但假如内审人员进行符合性测试工作量可能大于由此而降低实质性测试工作量，则大可无须进行符合性测试，而直接进行实质性测试。另外，符合性测试是建立在被审计单位内控制度健全基础上进行，假如被审计单位没有内控制度、或经过以前检验、调查对其内控是否有效已经有了解，也能够不进行符合性测试。经过符合性测试，审计人员便可对内部控制有效性做出深入评价，并依据符合性测试结果确定实质性测试性质、时间和范围。审计人员只对准备信赖内部控制步骤进行符合性测试，而且进行符合性测试将会大大降低实质性测试工作量，此时符合性测试才是有意义。六、实质性测试：实质性测试是指审计人员利用问询、审核、观察、监盘、函证、分析性复核等审计方法，对被审计单位具体内部控制有效性进行证实性测试。实质性测试通常在符合性测试基础上进行，采取抽样方法，其抽样规模依据内控评审和符合性测试结果来确定。实质性测试是审计人员在现场审计实施阶段实现审计目标、获取审计证据所必需关键步骤。审计人员对被审计单位符合型测试为确定实质性测试范围、关键、数量和时间提供了依据，但并不能替换实质性测试。不管被审计单位内部控制机制怎样健全有效，审计人员全部必需选择合适方法进行实质性测试。七、取得审计证据：审计证据是用以证实审计事项真相并作为审计结论基础材料，取得审计证据过程是审计作业主体部分。内部审计人员经过检验、监盘、观察、问询、计算、分析性复核等方法获取审计证据，为形成审计意见和审计汇报提供依据。关键审计证据需被审单位签字或盖章确定。审计证据是否充足直接影响审计质量，审计证据不足是产生审计风险一个关键原因。审计人员需要对搜集到审计证据客观性、相关性、充足性和正当性进行评价，筛选出含有充足证实力证据，使审计证据潜在证据力转化为现实证据力。八、编制审计工作底稿：审计工作底稿应该由内部审计人员依据审计任务要求，边查边记，逐事逐项编写，做到一事一稿（也可合并处理）。工作底稿要求情节表述简明清楚、定性正确、编写合理有序。九、召开离场会：在审计实施最终一天召开项目离场会，双方沟通审计发觉。不过对于企业层面内部控制缺点常常包含有敏感信息，需要注意沟通方法、范围和对象。十、编写审计汇报并征求意见：鉴于企业层面内部控制缺点影响广泛性和敏感性，提议对于汇报中每一个发觉，全部需要得到被审计对象管理层书面回应，回应内容包含拟采取具体处理行动方案、明确整改责任人和整改落实期限。管理层回应关键在于对审计提议适用性及落实期限，双方沟通并达成一致。十一、签发汇报：内部审计部机构责任人签发汇报，而且将审计发觉统计于审计追踪系统（若适用）。十二、项目总结：在签发汇报同时，向被审计单位发出评定调研，统计审计实施过程中尚待改善之处并对团体组员进行绩效评定。同时，对比分析实际用时和预算，并对差异作出解释。最终，审计人员应做好整理归档工作。十三、整改跟踪和后续审计。第二节企业层面内部控制审计方法企业层面内部控制审计既要采取内部审计通常方法，也有其特殊方法。一、通常方法在对企业层面内部控制开展审计时，能够使用内部通常方法通常方法包含审核、观察、问询、函证和分析性复核等方法，具体能够参阅基础手册相关内容。通常方法包含审核、观察、问询、函证和分析性复核等方法，具体能够参阅基础手册相关内容。（一）问询法。问询法应用于企业层面内部控制审计，具体能够使用调查问卷、部分访谈等。1、调查问卷。经过设计一系列和企业层面风险相关问题，将被调查者思维集中于可能引发或已经引发风险内外部原因上。**步骤内部控制调查问卷机构名称：审计日期：项目是否不适用备注良好微弱是否建立这方面制度制度是否遵照法律法规要求制度是否得到有效实施……2、部分访谈：根据通常问询法要求实施，关键包含确定问询目标、搜集和问询相关背景资料、确定问询关键点、编制谈话提要、约定问询时间地点、面谈和统计、对面谈内容进行评定等步骤。但对对企业层面内部控制审计中，访谈者要注意引导、启发被访谈者，在一定程度上是参与讨论，而很规审计问询、质询，这么才能愈加深入挖掘相关内控风险和隐患。3、专题讨论：将含有交叉职能或多层级人员聚集在一起，利用集体智慧描述出企业面临风险和存在内控微弱步骤。（二）审核法。审核法是企业层面内控审计工作最关键检验方法之一。评审人员在实施抽样、穿行测试等评审方法时，要求被评价单位在限定时间内，提供被审计内容相关内外部公文、制度文件、协议协议、审批统计等等。经过对这些书面证据检验，验证各项内控方法在实际操作中是否得到有效落实实施。（三）观察法。即内部审计人员深入现场实地调研，参与关键会议，或经过观看过程录像方法，观察相关人员实际工作情况，以确定要求内部控制活动是否得到严格实施。该方法适适用于那些不留书面痕迹内部控制步骤及用于测试某项控制方法实施到位程度。上述通常方法具体关键点，可参阅基础手册相关问询、观察、监盘等审计方法。二、特殊方法（一）穿行测试法。穿行测试也称全程测试，这是内部控制评价和审计常见方法，用以确定内部控制政策和程序实施情况。即评审人员在每一类循环中选择一次或若干次控制活动，比照处理步骤从头到尾检验其实际处理过程，检验测试该步骤步骤和控制点实施情况，以验证所描述内部控制客观性和真实性。穿行测试不能确保被审计单位内部控制被有效、一贯得到实施，这需要符合性测试来确定。比如为某项复核、监督方法是否实施，能够采取穿行测试法。内部审计人员应选择不一样内部审批事项，对复核、监督步骤进行穿行检验测试，以测试是否合理、是否得到实施、是否存在控制漏洞。（二）步骤图法。步骤图法关键用于内部控制系统健全性和合理性测试，即利用符号和图形来表示被审计单位组织结构、职责分工、权限、经营业务性质及种类、多种处理规程、多种会计统计等内部控制情况示意图。能够使评审人员清楚地看出被评审单位内部控制系统怎样运行、相关风险控制点和控制方法，有利于发觉各内部控制体系缺失和评审关键。步骤图通常有两种，一个是垂直步骤图，另一个是水平步骤图。垂直步骤图是将业务处理过程根据前后次序，用一条根本垂直串连起来，并将经济业务按步骤从上至下用图形符号描绘出来。水平步骤图则按业务部门设置若干竖栏，将业务处理程序从左到右排列，用图形符号描绘经济事项过程，用水平步骤线将各业务活动串连起来。绘制步骤图能够使用微软Word自带步骤图或Visio，常见步骤图符号及含义以下：符号含义符号含义文件步骤线开一直止流向卡片步骤交叉判定控制点留存查对三、企业层面内控审计方法应用注意关键点（一）在开展企业层面内部控制审计工作时，能够依据内控审计工作需要和审计特定内容实际情况，灵活地、综合利用上述方法。（二）审计人员应该充足考虑借鉴使用外部审计、外部监管检验、企业监事会检验、合规和风险管控资料统计，辅助开展企业层面内部控制审计。（三）审计中，审计人员应该注意从董事会、监事会或经营层等角度，或从企业制度设计等角度，查找企业层面内部控制存在问题和风险，而非就事论事，只从具体控制步骤和人员角度查找问题和原因。（四）企业层面内部控制审计应该和其它具体控制活动审计工作相结合，而不是相互割裂。企业层面内部控制审计应该作为其它各项审计工作基础。从第三章开始，我们将分要素分别列举通用化含有通常适用性企业层面内部控制风险点、相关法律法规和监管要求、和审计程序和方法，供内部审计人员在其未来企业层面内部控制审计工作中作为参考。作为指导，各保险机构内部审计应参考实施，但不是也不可能涵盖一切可能出现情况及全部审计技术，在具体审计过程中，还要结合具体工作加以应用。第三节计算机辅助实施企业层面内控审计伴随信息科技不停发展，保险企业各类内部控制活动正逐步由手工转为计算机进行处理，内部控制工作经过信息系统平台实现无纸化控制。这就要求审计人员能够对信息系统内控健全性、合理性、有效性开展审计，这部分审计内容请参阅相关风险点审计程序和方法。同时，在计算机辅助下、利用信息技术对企业层面内部控制实施审计，能够大大提升审计工作效率；在计算机日益普及今天，计算机辅助开展审计已经成为审计人员必需掌握审计技术和方法。本节关键介绍怎样利用计算机辅助开展内控审计方法，包含信息采集、存放、加工、分析、测试、传输、汇报、披露等，以涵盖内控审计基础步骤和各步骤。完整内控审计管理信息系统应能提供以下功效，将内控审计各步骤纳入到信息化平台上，从而实现审计过程自动化。一、建立风险及控制知识库：为了实现以风险为导向内控审计，需首先建立风险和控制知识库。系统应提供数据接口或操作界面将风险库和控制库装载或输入到信息系统中；同时，也应提供功效实现风险和控制之间关联，用以表明为应对风险所设计管控方法。二、建立审计方法库：做为审计支持软件，系统还应能建立起审计方法库。如经过内置标准审计程序方法和步骤，指导审计人员进行内控测试，确保测试质量。同时，系统应能提供部分辅助信息，如步骤图，关键控制点等。三、编制审计计划：系统应能提供检视后风险评定结果，以供审计部门以风险为导向编制审计计划。系统许可管理用户设置计划范围条件，并依据这些条件自动筛选风险及控制点范围。四、创建测试底稿：系统应提供预先定制控制测试模板，并依据计划测试范围填充测试模板，经过系统下发到各测试组或个人。五、实施内控测试：测试人依据下发测试模板在系统中进行测试，测试底稿也应集成在系统内，确保测试结果有据可查；测试结果应经过系统向上搜集汇总到企业总部审计部门，供进行总体评定。六、检视自评结果：系统应能提供自评底稿检视功效，审计部门能够对自评结果进行检视以发觉自评过程存在问题，如范围选择偏差，风险评定偏差，内控自评方法不正确，部分控制活动未识别等，经过系统提出问题并要求相关部门整改。七、进行问题管理和跟踪：审计部门在系统中依据发觉问题向相关部门提出整改点，并提出具体整改意见。整改部门应能在系统中查看到该问题起源和具体描述。八、监督整改结果：审计部门在系统中查看所提出整改意见实施情况，并对整改结果进行检视，确定整改是否达成要求。九、编制内控汇报：内控汇报包含内部汇报及外部汇报。内部汇报：在年度或专题内控测试完成后，系统提供此次测试汇报，包含测试范围，测试所依据方法，测试结果，问题描述，总体评价，整改结果等信息；外部汇报：系统应能生成符合保监会要求内控汇报；如为上市企业，应能提供符合基础规范内控评定汇报。十、提供丰富展现工具：系统还应能提供多种知识库查询工具和图表工具，从各方面展现风险和控制历史和现实状况，自评和审计结果。如提供风险矩阵，风险热力图，内控手册等报表和图形。建立内控审计系统是个循序渐进过程，各企业应依据本身实际情况制订系统应用时间表，但应将内控审计信息化做为企业内控建设一个关键目标来计划实施。第三章内部环境审计第一节内部环境概述依据《企业内部控制基础规范》，内部环境是企业实施内部控制基础，通常包含治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境是实施内部控制关键基础，是企业基调、气氛，直接影响企业职员控制意识。控制环境影响职员\o"管理意识"管理意识，是其它部分基础。下面，我们将内部环境细分为企业治理、组织架构、发展战略、人力资源、企业文化和社会责任等六个子步骤，针对这些子步骤中包含到关键风险及控制活动提出最好实践，并分别介绍对应审计程序和方法。依据国际内部审计师协会（IIA）《国际内部审计专业实务框架》中定义，企业治理是指“董事会实施多种步骤和架构组合，用于通知、指导、管理和监督组织活动，以实现组织目标”。企业治理是一个包含企业股东、董事会、管理层和其它利益相关者之间一整套关系体系。依据保险企业实际，我们将企业治理审计关键内容分成企业章程、股东（大）会、董事会、监事会、关联交易、集团化管控等七大部分。（一）企业章程1、基础概念。企业章程是指企业依法制订、要求企业名称、住所、经营范围、经营管理制度等重大事项基础文件，是以书面形式固定下来股东共同一致意思表示。企业章程是企业组织和活动基础准则，是企业宪章。依据《企业法》，设置企业必需制订企业章程。企业章程对企业、股东、董事、监事、经理含有约束力。2、《企业法》对有限责任企业企业章程要求。依据《企业法》，有限责任企业企业章程由股东共同制订。章程应该载明企业名称和住所，经营范围，注册资本，股东姓名或名称，股东权利和义务，股东出资方法和出资额，股东转让出资条件，企业机构及其产生措施、职权、议事规则，法定代表人，企业解散事由和清算措施，股东认为需要要求其它事项。有限责任企业股东应该在企业章程上署名、盖章。有限责任企业股东会行使修改企业章程职权。有限责任企业修改企业章程决议，必需经代表三分之二以上表决权股东经过。3、《企业法》对股份企业章程要求。依据《企业法》，股份企业企业章程由提议人制订，并经创建大会经过。股份章程应该载明企业名称和住所，经营范围，设置方法，股份总数，每股金额和注册资本，提议人姓名或名称、认购股份数，股东权利和义务，董事会组成、职权、任期和议事规则，法定代表人，监事会组成、职权、任期和议事规则，利润分配措施，企业解散事由和清算措施，企业通知和公告措施，和股东大会认为需要要求其它事项。股份股东大会行使修改企业章程职权。股份修改企业章程必需经出席股东大会股东所持表决权三分之二以上经过。4、保险企业企业章程特殊监管要求。依据《相关规范保险企业章程意见》（保监发〔〕57号），保险企业章程应该对基础事项，股东和股份规则，组织机构及其职权，董事、监事及高管人员任免、职权及义务，股东大会、董事会及监事会关键议事程序，财务会计制度，其它制度等事项作出明确要求。因为具体内容较多，请参阅该文件具体要求。依据《保险法》，保险企业修订章程，须经中国保监会同意。依据《相关规范保险企业章程意见》（保监发〔〕57号），保险企业章程须经中国保监会核准后方可生效；章程经中国保监会核准后，应该立即向企业登记机关依法办理变更登记。（二）股东和股东（大）会1、基础概念（1）股东，又称出资人或投资人，是股份企业或有限责任企业中持有股份人。股东以其所持股份或出资额为限，对企业负担责任。股东作为出资者，按投入企业资本额享受全部者资产受益、重大决议和选择管理者等权利。（2）股东（大）会，通常能够指一个定时或临时举行由全体股东或股东代表出席会议，又能够指很设由全体股东所组成企业最高权力机构，是股东作为企业全部者，对企业行使全部权组织。其中有限责任企业通常称为股东会，而股份通常称为股东大会。2、对股东法律要求（1）《企业法》对有限责任企业股东要求依据《企业法》，有限责任企业由二个以上五十个以下股东共同出资设置，国有独资除外。股东应该立即足额交纳企业章程中要求认缴出资额。股东全部交纳出资后，必需经法定验资机构验资并出具证实。有限责任企业成立后，应该向股东签发出资证实书，载明：（一）企业名称；（二）企业登记日期；（三）企业注册资本；（四）股东姓名或名称、缴纳出资额和出资日期；（五）出资证实书编号和核发日期。出资证实由企业盖章。有限责任企业应该置备股东名册，记载股东姓名或名称及住所、股东出资额、出资证实书编号。股东依法转让其出资后，由企业将受让人姓名或名称、住所和受让出资额记载于股东名册。股东在企业登记后，不得抽回出资。（2）《企业法》对股份股东要求依据《企业法》，股份应该有五人以上为提议人，其中须有过半数提议人在中国境内有住所。国有企业改建为股份，提议人能够少于五人，但应该采取募集设置方法。以提议设置方法设置股份，提议人以书面认足企业章程要求发行股份后，应即缴纳全部股款。提议人、认股人缴纳股款或交付抵作股款出资后，除未按期募足股份、提议人未按期召开创建大会或创建大会决议不设置企业情形外，不得抽回其股本。（3）保险法对保险企业股东要求——保险企业股东条件。设置保险企业关键股东含有连续盈利能力，信誉良好，最近三年内无重大违法违规统计，净资产不低于人民币二亿元。——出资方法和资金起源。保险企业注册资本必需为实缴货币资本。——股权变更同意。变更出资额占有限责任企业资本总额百分之五以上股东，或变更持有股份股份百分之五以上股东，应该经当经中国保监会同意。（4）《保险企业股权管理措施》对中资保险企业股东要求（适适用于外资股东出资或持股百分比占企业注册资本不足25%保险企业）依据《保险企业股权管理措施》（第6号）：——股东条件。境内企业法人向保险企业投资入股，应该符合以下条件：（1）财务情况良好稳定，且有盈利；（2）含有良好诚信统计和纳税统计；（3）最近三年内无重大违法违规统计；（4）投资人为金融机构，应该符合对应金融监管机构审慎监管指标要求；（5）法律、行政法规及中国保监会要求其它条件。境外金融机构向保险企业投资入股，应该符合以下条件：（1）财务情况良好稳定，最近三个会计年度连续盈利；（2）最近十二个月年末总资产不少于20亿美元；（3）国际评级机构最近三年对其长久信用评级为A级以上；（4）最近三年内无重大违法违规统计；（5）符合所在地金融监管机构审慎监管指标要求；（6）法律、行政法规及中国保监会要求其它条件。持有保险企业股权15%以上，或不足15%但直接或间接控制该保险企业关键股东，还应该符合以下条件：（1）含有连续出资能力，最近三个会计年度连续盈利；（2）含有较强资金实力，净资产不低于人民币2亿元；（3）信誉良好，在本行业内处于领先地位。——出资方法和资金起源。保险企业股东应该用货币出资，不得用实物、知识产权、土地使用权等非货币财产作价出资。股东应该以起源正当自有资金向保险企业投资，不得用银行贷款及其它形式非自有资金向保险企业投资。——持股百分比。除符合特定条件，并经保监会同意外，单个股东（包含关联方）出资或持股百分比不得超出保险企业注册资本20%。任何单位或个人不得委托她人或接收她人委托持有保险企业股权，中国保监会另有要求除外。——股权变更立案。保险企业变更出资或持股百分比不足注册资本5%股东，应该在股权转让协议书签署后15日内，就股权变更报中国保监会立案，上市保险企业除外。——股权相关重大事项汇报。保险企业应该自知悉其股东发生所持保险企业股权被采取诉讼保全方法或被强制实施，质押或解质押所持有保险企业股权，变更名称，发生合并、分立，解散、破产、关闭、被接管，和其它可能造成所持保险企业股权发生改变情况等情况之日起15日内向中国保监会书面汇报。（5）《外资保险企业管理条例》对外资保险企业股东特殊要求依据《中国外资保险企业管理条例》（国务院令第336号）和《中国外资保险企业管理条例实施细则》（保监会令第4号）——合资寿险企业中外资百分比（包含直接或间接持有）不得超出企业总股本50%。——注册资本或营运资金应该为实缴货币。——外国保险企业分企业成立后，外国保险企业不得以任何形式抽回营运资金。——外国保险企业分企业应该于每一会计年度终了后3个月内，将该分企业及其总企业上十二个月度财务会计汇报报送中国保监会，并予公布。——外国保险企业分企业总企业有下列情形之一，该分企业应该自各该情形发生之日起10日内，将相关情况向中国保监会提交书面汇报：(一)变更名称、关键责任人或注册地；(二)变更资本金；(三)变更持有资本总额或股份总额10%以上股东；(四)调整业务范围；(五)受到所在国家或地域相关主管当局处罚；(六)发生重大亏损；(七)分立、合并、解散、依法被撤销或被宣告破产；(八)中国保监会要求其它情形。2、对股东（大）会法律要求（1）《企业法》对有限责任企业股东会要求依据《企业法》，有限责任企业股东会由全体股东组成，股东会行使下列职权：（1）决定企业经营方针和投资计划；（2）选举和更换董事，决定相关董事酬劳事项；（3）选举和更换由股东代表出任监事，决定相关监事酬劳事项；（4）审议同意董事会汇报；（5）审议同意监事会或监事汇报；（6）审议同意企业年度财务预算方案、决算方案；（7）审议同意企业利润分配方案和填补亏损方案；（8）对企业增加或降低注册资本作出决议；（9）对发行企业债券作出决议；（10）对股东向股东以外人转让出资作出决议；（11）对企业合并、分立、变更企业形式、解散和清算等事项作出决议；（12）修改企业章程。股东会会议由股东根据出资百分比行使表决权。股东会议事方法和表决程序，由企业章程要求。对企业增加或降低注册资本、分立、合并、解散或变更企业形式、修改企业章程作出决议，必需经代表三分之二以上表决权股东经过。股东会会议分为定时会议和临时会议。定时会议应该根据企业章程要求按时召开。代表四分之一以上表决权股东，三分之一以上董事，或监事，能够提议召开临时会议。召开股东会会议，应该于会议召开十五日以前通知全体股东。股东会应该对所议事项决定作成会议统计，出席会议股东应该在会议统计上署名。有限责任企业设置董事会，股东会会议由董事会召集，董事长主持，董事长因特殊原因不能推行职务时，由董事长指定副董事长或其它董事主持。（2）《企业法》对股份股东大会法律要求依据《企业法》，股份由股东组成股东大会。股东大会行使下列职权：（1）决定企业经营方针和投资计划；（2）选举和更换董事，决定相关董事酬劳事项；（3）选举和更换由股东代表出任监事，决定相关监事酬劳事项；（4）审议同意董事会汇报；（5）审议同意监事会汇报；（6）审议同意企业年度财务预算方案、决算方案；（7）审议同意企业利润分配方案和填补亏损方案；（8）对企业增加或降低注册资本作出决议；（9）对发行企业债券作出决议；（10）对企业合并、分立、解散和清算等事项作出决议；（11）修改企业章程。股东大会应该每十二个月召开一第二年会。有下列情形之一，应该在二个月内召开临时股东大会：（1）董事人数不足《企业法》要求人数或企业章程所定人数三分之二时；（2）企业未填补亏损达股本总额三分之一时；（3）持有企业股份百分之十以上股东请求时；（4）董事会认为必需时；（5）监事会提议召开时。股东出席股东大会，所持每一股份有一表决权。股东能够委托代理人出席股东大会，代理人应该向企业提交股东授权委托书，并在授权范围内行使表决权。股东大会作出决议，必需经出席会议股东所持表决权半数以上经过。股东大会对企业合并、分立或解散企业、修改企业章程作出决议，必需经出席会议股东所持表决权三分之二以上经过。召开股东大会，应该将会议审议事项于会议召开三十日以前通知各股东。临时股东大会不得对通知中未列明事项作出决议。股东大会应该对所议事项决定作成会议统计，由出席会议董事署名。会议统计应该和出席股东署名册及代理出席委托书一并保留。股东大会会议由董事会负责召集，由董事长主持。董事长因特殊原因不能推行职务时，由董事长指定副董事长或其它董事主持。（3）对保险企业股东（大）会特殊监管要求依据《保险企业董事会运作指导》（保监发[]58号）等相关监管要求，保险企业要向中国保监会汇报企业股东大会会议通知及决议。（四）董事、独立董事、董事会及其下设委员会1、概念（1）董事会，由股东（大）会选举产生，是股东（大）会具体实施机构，对内掌管企业事务、对外代表企业经营决议机构。股东（大）会各项决议，由负责实施。（2）董事，是指董事会组员。董事会责任人为董事长。根据是否参与企业事务，分为实施董事（常务董事）和非实施董事。根据是否代表股东，分为独立董事和非独立董事。（3）独立董事，是指在所任职企业不担任除董事外其它职务，并和企业及其控股股东、实际控制人不存在可能影响对企业事务进行独立客观判定关系董事。2、《企业法》对有限责任企业董事会要求依据《企业法》，有限责任企业设董事会，其组员为三人至十三人。董事任期由企业章程要求，但每届任期不得超出三年。董事任期届满，连选能够连任。董事在任期届满前，股东会不得无故解除其职务。董事会设董事长一人，能够设副董事长一至二人。董事长为企业法定代表人。董事由股东会选举和更换，对股东会负责，行使下列职权：（1）负责召集股东会，并向股东会汇报工作；（2）实施股东会决议；（3）决定企业经营计划和投资方案；（4）制订企业年度财务预算方案、决算方案；（5）制订企业利润分配方案和填补亏损方案；（6）制订企业增加或降低注册资本方案；（7）拟订企业合并、分立、变更企业形式、解散方案；（8）决定企业内部管理机构设置；（9）聘用或解聘企业经理（总经理）（以下简称经理），依据经理提名，聘用或解聘企业副经理、财务责任人，决定其酬劳事项；（10）制订企业基础管理制度。董事会议事方法和表决程序，由企业章程要求。召开董事会会议，应该于会议召开十日以前通知全体董事。董事会会议由董事长召集和主持；董事长因特殊原因不能推行职务时，由董事长指定副董事长或其它董事召集和主持。三分之一以上董事能够提议召开董事会会议。董事会应该对所议事项决定作成会议统计，出席会议董事应该在会议统计上署名。有限责任企业（总）经理、监事，列席董事会会议。3、《企业法》对股份董事会要求依据《企业法》，股份设董事会，其组员为五人至十九人。董事会设董事长一人，能够设副董事长一至二人。董事长和副董事长由董事会以全体董事过半数选举产生。董事长为企业法定代表人，行使下列职权：（1）主持股东大会和召集、主持董事会会议；（2）检验董事会决议实施情况；（3）签署企业股票、企业债券。副董事长帮助董事长工作，董事长不能推行职权时，由董事长指定副董事长代行其职权。董事任期由企业章程要求，但每届任期不得超出三年。董事任期届满，连选能够连任。董事在任期届满前，股东大会不得无故解除其职务。董事由股东大会选举和更换，对股东大会负责，行使下列职权：（1）负责召集股东大会，并向股东大会汇报工作；（2）实施股东大会决议；（3）决定企业经营计划和投资方案；（4）制订企业年度财务预算方案、决算方案；（5）制订企业利润分配方案和填补亏损方案；（6）制订企业增加或降低注册资本方案和发行企业债券方案；（7）拟订企业合并、分立、解散方案；（8）决定企业内部管理机构设置；（9）聘用或解聘企业经理，依据经理提名，聘用或解聘企业副经理、财务责任人，决定其酬劳事项；（10）制订企业基础管理制度。董事会每十二个月度最少召开二次会议，每次会议应该于会议召开十日以前通知全体董事。董事会召开临时会议，能够另定召集董事会通知方法和通知时限。董事会会议应由二分之一以上董事出席方可举行。董事会作出决议，必需经全体董事过半数经过。董事会会议，应由董事本人出席。董事因故不能出席，能够书面委托其它董事代为出席董事会，委托书中应载明授权范围。董事会应该对会议所议事项决定作成会议统计，出席会议董事和统计员在会议统计上署名。4、保险企业董事会特殊监管要求（1）董事会依据《相关规范保险企业治理结构指导意见（试行）》（保监发[]2号）保险企业董事会除推行法律法规和企业章程所给予职责外，还应该对内控、风险、合规等事项负最终责任。依据《保险企业董事会运作指导》（保监发[]58号）等相关监管要求，保险企业要将企业董事会会议通知（召开10日前）及决议（会议后三十日内）以书面和电子邮件向中国保监会汇报。依据《保险企业董事会运作指导》（保监发[]58号）、《相关规范报送保险企业治理汇报通知》（保监发改[]169号）文件要求，保险企业应于每十二个月4月30日前，向中国保监会报送经董事会审议经过上十二个月度企业治理汇报。（2）董事会下设委员会依据《相关规范保险企业治理结构指导意见（试行）》（保监发〔〕2号），保险企业最少应该在董事会下设审计委员会和提名薪酬委员会。一是审计委员会。审计委员会由三名以上不在管理层任职董事组成，独立董事担任主任委员。审计委员会组员应该含有和其职责相适应财务和法律等方面专业知识。审计委员会负责定时审查内部审计部门提交内控评定汇报、风险管理部门提交风险评定汇报和合规管理部门提交合规汇报，并就企业内控、风险和合规方面问题向董事会提出意见和改善提议。审计委员会负责提名外部审计机构。二是提名薪酬委员会。提名薪酬委员会由三名以上不在管理层任职董事组成，独立董事担任主任委员。提名薪酬委员会负责审查董事及高管人员选任制度、考评标准和薪酬激励方法；对董事及高管人员人选进行审查并向董事会提出提议；对高管人员进行绩效考评并向董事会提出意见。依据《企业内部控制基础规范》（财会[]7号），企业应该在董事会下设置审计委员会。审计委员会负责审查企业内部控制，监督内部控制有效实施和内部控制自我评价情况，协调内部控制审计及其它相关事宜等。审计委员会责任人应该含有对应独立性、良好职业操守和专业胜任能力。（3）董事依据《保险企业董事会运作指导》（保监发〔〕58号）董事会由实施董事、非实施董事和独立董事组成，其百分比由企业章程要求。实施董事是指在保险企业除担任董事外还担任其它经营管理职务，或其工资和福利由企业支付董事。非实施董事是指不在保险企业担任除董事外其它职务，且企业不向其支付除董事会工作酬劳外其它工资和福利董事。独立董事是指依据《保险企业独立董事管理暂行措施》要求任职董事。董事会组员中应该有财务和法律方面专业人士。激励保险企业聘用精算专业人士担任董事。依据《保险法》、《保险企业董事、监事和高级管理人员任职资格管理要求》（保监会令第2号）、《保险企业董事会运作指导》（保监发〔〕58号）等要求：保险机构董事应该在任职前取得中国保监会核准任职资格。保险企业董事产生具体程序是：董事会任期届满前3个月，董事长开启董事会换届程序，董事会秘书应该向有董事提名权股东或其它提名人发出通知，有董事提名权股东或其它提名人在截止时间前将其提名董事候选人名单及其个人资料以书面形式提交董事会秘书，董事会提名薪酬委员会对董事候选人进行审查，董事会依据提名薪酬委员会提交合格董事候选人名单，提请召开股东大会选举董事。除采取累积投票制外，股东大会选举董事，应该对每一董事候选人逐一进行审议和表决。董事免职或辞职，应该符合相关要求，立即向中国保监会汇报，并向其它董事和股东进行通报。4、独立董事依据《保险企业独立董事管理暂行措施》（保监发[]22号），独立董事不得在其它经营同类主营业务保险企业任职，且不得同时在四家以上企业担任独立董事。保险企业董事会应该有一定百分比独立董事。各企业应该董事会组员中最少有两名独立董事；而且在总资产超出五十亿元后十二个月内，独立董事应占董事会组员百分比达成三分之一以上。保险企业应该在企业章程或董事会议事规则中，列明独立董事具体职责和义务。独立董事除应该含有《企业法》和其它相关法律、法规要求董事职责外，还应该对下列事项进行认真审查：（1）重大关联交易；（2）董事提名、任免和总企业高级管理人员聘用和解聘；（3）董事和总企业高级管理人员薪酬；（4）利润分配方案；（5）非经营计划内投资、租赁、资产买卖、担保等重大交易事项；（6）其它可能对保险企业、被保险人和中小股东权益产生重大影响事项。独立董事应该在中国保监会指定媒体上就其独立性发表申明，并承诺勤勉尽职，确保含有足够时间和精力推行职责。独立董事在媒体上公开申明应该报中国保监会立案。因独立性丧失且本人未提出辞职，或存在其它不宜继续担任独立董事情形，企业应该召开股东大会免去其职务。独立董事推行职责时，保险企业相关人员应该主动配合，不得干预、拒绝、阻碍或隐瞒。独立董事推行职责所需费用由保险企业负担。独立董事应该每十二个月向股东大会提交尽职汇报。独立董事连续三次未亲自出席董事会会议，保险企业应该在三个月内召开会议免去其职务并选举新独立董事。独立董事一届任期内未亲自出席董事会会议次数达五次以上，不得连任。5、董事会秘书依据《保险企业董事会运作指导》（保监发〔〕58号）：董事会秘书职责包含：（一）依据要求程序及董事长要求筹备股东大会和董事会会议；（二）制作和保管股东大会、董事会会议档案及其它会议资料文件，保管企业股东、董事、监事和高级管理人员名册和相关资料；（三）根据监管要求要求向中国保监会汇报企业股东大会、董事会会议通知及决议；（四）帮助股东、董事及监事行使权利、推行职责；（五）负责企业对外信息披露和投资者关系管理等事务；（六）帮助企业董事长起草企业治理汇报；（七）依据监管机构要求汇报本企业治理结构方面矛盾和问题；（八）依据监管机构要求组织董事等相关人员参与培训等。为确保董事会秘书推行职责，企业应该给予董事会秘书对应职权并提供必需工作保障。企业应该设置董事会办公室。董事会办公室对董事会秘书负责，帮助股东、董事、监事和董事会秘书开展工作。董事会办公室没有条件独立运作，能够和企业其它部门合署办公。因为股东资质不符合要求、股权交易纠纷或不可抗力等原因，可能造成董事会任期届满无法按时改选，保险企业董事会秘书应该立即向中国保监会汇报。（五）监事和监事会1、概念（1）监事会，是股东（大）会领导下企业常设监察机构，实施监督职能。监事会和董事会并立，独立地行使对董事会、总经理、高级职员及整个企业管理监督权。（2）监事，监事会组员。监事会责任人（召集人）成为监事会主席或监事长。2、监事会（1）《企业法》对监事会要求《企业法》对有限责任企业、股份监事会要求基础没有区分，关键包含监事会组员不得少于三人。监事会由股东代表和合适百分比企业职员代表组成，具体百分比由企业章程要求。股东代表出任监事由股东（大）会选举和更换；职员代表由企业职员民主选举产生。董事、经理及财务责任人不得兼任监事。监事任期每届为三年。监事任期届满，连选能够连任。监事会或监事行使下列职权：（一）检验企业财务；（二）对董事、经理实施企业职务时违反法律、法规或企业章程行为进行监督；（三）当董事和经理行为损害企业利益时，要求董事和经理给予纠正；（四）提议召开临时股东会；（五）企业章程要求其它职权。监事列席董事会会议。监事会议事方法和表决程序由企业章程要求。（2）对保险企业监事会要求保险企业章程应该明确监事会组成及职权。监事会组成人数应该具体、确定，不得为区间数。（六）关联交易管理1、《企业法》相关关联交易要求《企业法》要求，董事、监事、经理应该遵守企业章程，忠实推行职务，维护企业利益，不得利用在企业地位和职权为自己谋取私利。董事、监事、经理不得利用职权收受贿赂或其它非法收入，不得侵占企业财产。董事、经理不得挪用企业资金或将企业资金借贷给她人。董事、经理不得将企业资产以其个人名义或以其它个人名义开立账户存放。董事、经理不得以企业资产为本企业股东或其它个人债务提供担保。董事、经理不得自营或为她人经营和其所任职企业同类营业或从事损害本企业利益活动。从事上述营业或活动，所得收入应该归企业全部。董事、经理除企业章程要求或股东会同意外，不得同本企业签订协议或进行交易。2、相关保险企业关联交易相关监管要求《保险法》要求：保险企业控股股东、实际控制人、董事、监事、高级管理人员不得利用关联交易损害企业利益。《保险企业关联交易管理暂行措施》（保监发〔〕24号）要求，保险企业应该采取有效方法，预防股东、董事、监事、高级管理人员及其它关联方利用其特殊地位，经过关联交易或其它方法侵害企业或被保险人利益。《保险企业股权管理措施》（保监会令[]第6号）保险企业股东和实际控制人不得利用关联交易损害企业利益。依据《保险集团企业管理措施（试行）》（保监发〔〕29号）保险集团企业应建立和完善集团内部人员、资金、业务、信息等方面防火墙制度，防范保险集团组员企业之间风险传输。具体来说，关键包含以下要求：——保险企业应该制订关联交易管理制度。关联交易管理制度包含关联方汇报、识别、确定和信息管理，关联交易范围和定价方法，关联交易内部审查程序，关联交易信息披露、审计监督和违规处理等内容。——保险企业应该建立关联方信息档案，并立即进行更新。保险企业股东和保险企业董事、监事及总企业高级管理人员，应该向保险企业汇报监管要求关联方相关信息。保险企业股东应该向保险企业如实通知其控股股东、实际控制人及其变更情况，并就其和保险企业其它股东、其它股东实际控制人之间是否存在和存在何种关联关系向保险企业做出书面说明。——保险企业重大关联交易由董事会或股东大会同意。保险企业董事会在审议关联交易时，关联董事不得行使表决权，也不得代理其它董事行使表决权。该董事会会议由过半数非关联董事出席即可举行，董事会会议所作决议须经非关联董事过半数经过。出席董事会会议非关联董事人数不足三人，保险企业应该将交易提交股东大会审议。保险企业股东大会审议关联交易时，关联股东不得参与表决。保险集团（控股）企业、保险企业和其控股子企业之间及其子企业之间关联交易审查程序，可不适用前两款要求，但应在关联交易内部管理制度中给予明确。已设置独立董事保险企业，独立董事应该对重大关联交易公允性、内部审查程序实施情况和对被保险人权益影响进行审查。所审议关联交易存在问题，独立董事应该出具书面意见。两名以上独立董事认为有必需，能够聘用中介机构提供意见，费用由保险企业负担。——通常关联交易根据保险企业内部授权程序审查。保险企业和其关联方之间长久、连续关联交易，能够制订统一交易协议，根据本措施要求审查经过后实施。协议内单笔交易能够不再进行关联交易审查。但协议在实施过程中关键条款发生重大改变或协议期满需要续签，应该重新根据企业要求管理制度进行审查。——保险企业应该每十二个月最少组织一次关联交易专题审计，并将审计结果报董事会和监事会。——保险企业董事会应该每十二个月向股东大会汇报关联交易情况和关联交易管理制度实施情况。——保险企业应该根据《企业会计准则》及保险企业信息披露相关要求披露关联交易信息。——保险企业不得聘用关联方控制中介机构为其提供审计或精算服务。——保险企业关联交易管理制度应该报中国保监会立案。保险企业重大关联交易应该在发生后十五个工作日内汇报中国保监会。保险企业应该立即将企业股东控股股东、实际控制人及其变更情况和股东之间关联关系汇报中国保监会。（七）集团化管控（集团企业适用）依据《保险集团企业管理措施（试行）》（保监发〔〕29号），保险集团企业独立董事不得少于全体董事三分之一。保险集团企业董事会应该设置审计委员会、提名薪酬委员会、战略管理委员会、风险管理委员会，同时依据实际情况设置其它专业委员会。保险集团企业应该依法统筹本身及子企业股东大会、董事会、监事会运作，加强对不一样层级、不一样类别会议决议支持和组织管理。保险集团企业依法对集团整体战略计划、资源配置和风险管理负担最终职责，对集团内部人力资源、财务会计、品牌文化等实施统一管理；加强集团内部业务协同和资源共享，建立覆盖集团整体风险管理和内部审计体系；保险集团企业应该建立覆盖整个集团资本管理制度，包含资本计划机制、资本充足评定机制、资本约束机制和资本补充机制。保险集团企业应该设置或指定对应职能部门，为其派驻子企业董事提供决议服务。保险集团企业和子企业之间股权控制层级标准上不得超出三级。保险集团组员企业之间标准上不得交叉持股。保险集团企业高级管理人员标准上最多只好兼任一家子企业高级管理人员。保险集团企业下属子企业高级管理人员标准上不得相互兼任。依据《上海证券交易所上市企业内部控制指导》等要求，企业应对控股子企业实施管理控制，包含依法建立对控股子企业控制架构，确定控股子企业章程关键条款，选任董事、监事、经理及财务责任人。《企业内部控制基础规范》要求，企业应该结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利和责任落实到各责任单位，并明确要求企业经过编制内部管理手册，使全体职员掌握内部机构设置、岗位职责、业务步骤等情况，明确权责分配，正确行使职权。（一）管理层1、《企业法》对有限责任企业管理层要求《企业法》要求，有限责任企业设经理，由董事会聘用或解聘。经理对董事会负责，行使下列职权：（一）主持企业生产经营管理工作，组织实施董事会决议；（二）组织实施企业年度经营计划和投资方案；（三）拟订企业内部管理机构设置方案；（四）拟订企业基础管理制度；（五）制订企业具体规章；（六）提请聘用或解聘企业副经理、财务责任人；（七）聘用或解聘除应由董事会聘用或解聘以外负责管理人员；（八）企业章程和董事会授予其它职权。经理列席董事会会议。2、《企业法》对股份管理层要求《企业法》要求，股份设经理，由董事会聘用或解聘。经理对董事会负责，行使下列职权：（一）主持企业生产经营管理工作，组织实施董事会决议；（二）组织实施企业年度经营计划和投资方案；（三）拟订企业内部管理机构设置方案；（四）拟订企业基础管理制度；（五）制订企业具体规章；（六）提请聘用或解聘企业副经理、财务责任人；（七）聘用或解聘除应由董事会聘用或解聘以外负责管理人员；（八）企业章程和董事会授予其它职权。经理列席董事会会议。企业董事会能够决定，由董事会组员兼任经理。3、对保险企业管理层特殊监管要求依据《相关规范保险企业章程意见》（保监发〔〕57号），保险企业章程应该明确管理层组成及职权。企业同时设首席实施官和总经理职位，章程应该明确其各自职权和产生方法。企业章程对首席实施官要求不得违反法律、行政法规及监管要求。《相关规范保险企业治理结构指导意见（试行）》（保监发[]2号）要求：保险企业应该制订管理层工作规则，明确管理层职责，清楚界定董事会和管理层之间关系。保险企业总经理全方面负责企业日常经营管理，其责任不因其它管理层组员职责而减轻或免去。保险企业应该根据现代企业制度要求，逐步完善董事长和总经理设置，健全制衡机制。《保险企业内部控制基础准则》要求：保险企业管理层应该依据董事会决定，建立健全企业内部组织架构，完善内部控制制度，组织领导内部控制体系日常运行，为内部控制提供必需人力、财力、物力确保，确保内部控制方法得到有效实施。保险企业应该明确合规责任人或董事会指定管理层组员具体负责内部控制统筹领导工作。（二）精算管理组织架构《相关规范保险企业治理结构指导意见（试行）》（保监发[]2号）要求：保险企业强化关键岗位职责，保险企业应该设置总精算师职位。总精算师既向管理层负责，也向董事会负责，并向中国保监会立即汇报企业重大风险隐患。总精算师应该参与保险企业风险管理、产品开发、资产负债匹配管理等方面工作。依据《保险企业总精算师管理措施》（保监会令[]第3号）总精算师，是指保险企业总企业负责精算和相关事务高级管理人员。总精算师由保险企业董事会任命，具体推行下列职责：（一）分析、研究经验数据，参与制订保险产品开发策略，确定保险产品费率，审核保险产品材料；（二）负责或参与偿付能力管理；（三）制订或参与制订再保险制度、审核或参与审核再保险安排计划；（四）评定各项准备金和相关负债，参与预算管理；（五）参与制订股东红利分配制度，制订分红保险等相关保险产品红利分配方案；（六）