保险稽查审计指引——公司层面内部控制分册（176页）.doc

导 言
近年来，世界各国对企业内部控制建设的重视程度越来越高。2002年美国颁布了《公众公司会计改革和投资者保护法案》，又称《萨班斯—奥克斯利法案》，该法案第404条款明确规定了管理层对企业内部控制职责；906条款更指出如果企业被认定未达到该法案的要求，将可能使企业和管理层个人受到包括高额罚款甚至监禁等形式的严重处罚。2008年财政部、证监会、审计署、银监会、保监会联合颁布了《企业内部控制基本规范》，并于2010年发布了《企业内部控制配套指引》，该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，这一套控制规范被称为中国的“萨班斯法案”，分阶段适用于包括保险公司在内的各类上市公司、非上市大中型企业。
与此同时，人们也越来越重视内部审计在内部控制中的作用。一般认为，保险公司内部审计具有监督、评价两方面的基本职能，既是内部控制的一部分，同时又是内部控制的测试者，对内部控制体系进行评估、评价已经成为内部审计的一个重要工作内容。内部审计师通常要每年对公司高管层提交内部控制评价报告，高管层认可后对外报送或披露。这事实上就把内部审计从“后台”推向了“前台”，如果公司内部控制状况不佳，内部审计部门也负有不可推卸的责任。
根据国际上普遍认可的COSO内部控制体系框架，内部控制通常被分为控制环境、风险识别与评估、控制活动、信息与沟通、监督五个要素。在内部控制五要素中，由于控制活动与具体的业务活动相关，所以其余四个要素通常被称为公司层面内部控制。公司层面内部控制是其他业务层面控制的奠基石，只有在建立健全公司层面内部控制的基础上，业务层面的各项内部控制才能持续地、有效地开展。结合保险公司实际，根据《保险稽查审计指引》体例安排，控制活动的有关审计内容已在各业务分册体现，而公司层面内部控制审计在此专门制作一个分册。
《公司层面内部控制分册》是在《基本手册》介绍的有关保险公司内部审计工作基础理论、标准、方法、实务操作规范等内容的基础上，基于风险导向的方法论，依据现行保险法律法规及监管要求，在系统梳理公司层面内部控制风险点和全面总结相关审计工作稽查实践经验的基础上，而撰写的关于如何开展公司层面内部控制审计工作的操作手册，并附以案例参考，试图以更清晰的方法和思路透视公司层面内部控制，为保险公司提高内部审计工作效率，提升理论与实务分析的结合度提供指导与借鉴。
在应用本手册对保险公司公司层面内部控制开展审计时，除了需要遵循《基本手册》和本分册的要求外，还要参考并结合其他业务分册相关具体内容来开展；在实施审计过程中，需加强具体业务、财务活动审计的配合和信息沟通，避免出现遗漏。此外，各保险公司的具体实践不尽相同，因此在运用本手册过程中，还应结合被审计单位的实际状况进行灵活运用。
限于水平和经验，本手册还存在诸多不足之处，敬请读者多多批评指正，以便今后进一步修订完善。

目 录
目 录    5
第一章 保险公司公司层面内部控制基础    9
第一节 内部控制概述    9
一、内部控制的概念    9
二、内部控制的目标    12
三、内部控制的原则    13
四、内部控制五要素之间的关系    15
第二节 公司层面内部控制概述    16
一、公司层面内部控制概念    16
二、保险公司公司层面内部控制概念    16
第二章 公司层面内控审计的程序与方法    21
第一节 公司层面内控审计的程序    21
第二节 公司层面内部控制审计方法    26
一、一般方法    27
二、特殊方法    29
三、公司层面内控审计方法应用的注意要点    31
第三节 计算机辅助实施公司层面内控审计    32
第三章 内部环境审计    35
第一节 内部环境概述    35
一、公司治理    35
二、组织架构    58
三、发展战略    70
四、人力资源    72
五、企业文化    75
六、社会责任    77
第二节 公司治理审计    79
一、公司章程审计    79
案例一：公司章程修改后未报批    80
二、股东与股东（大）会审计    82
案例二：委托持股或代持股未报告    84
三、董事、独立董事、董事会及其下设委员会审计    85
案例三：董事长、独立董事、董事会秘书未尽职    87
四、监事和监事会审计    89
案例四：监事会没有职工代表参加    90
五、关联交易管理审计    90
案例五：没有充分识别关联方、关联交易管理不合规    91
六、董事、监事、高管任免、薪酬管理审计    92
案例六：假造薪酬委员会决议、发放高管薪酬    93
案例七：以假学历骗取高管任职资格    95
七、集团化管控审计（集团公司适用）    96
第三节 组织架构审计    97
一、组织架构管理审计    97
二、经营管理层任职履职情况审计    98
三、精算管理、财务管理、法律管理、合规管理、风险管理、信息化管理、内部审计管理组织架构审计    98
第四节 发展战略、人力资源、企业文化、社会责任审计    99
一、发展战略审计    99
二、人力资源管理审计    101
案例八：未能制定强制休假、轮岗制度    102
案例九：不合理的奖金分配制度    104
案例十：绩效体系不完善    106
三、企业文化建设审计    110
四、社会责任审计    112
案例十一：内部管理混乱、内控完全失效    113
第四章 风险管理审计    115
第一节 风险管理概述    115
一、风险管理组织    115
二、风险目标设定    117
三、风险评估    118
四、风险应对    120
五、风险管理的监督与改进    122
第二节 风险评估常用方法和风险应对常用策略    123
一、风险评估的常用方法    123
二、风险应对的常用策略    124
第三节 风险管理组织审计    126
一、风险管理委员会审计    126
二、风险管理职能审计    127
三、风险信息共享机制审计    128
四、风险管理宣导与培训    129
案例十二：风险管理组织不健全    129
第四节 风险目标设定审计    131
第五节 风险评估审计    131
一、风险识别审计    131
案例十三：风险识别不全面    132
二、风险分析与评价审计    133
第六节 风险应对审计    134
一、风险管理总体策略审计    134
二、风险限额审计    135
三、风险解决方案审计    136
案例十四：风险应对策略调整不及时    137
第七节 风险管理的监督与改进审计    138
一、风险管理监督与改进审计    138
二、风险管理报告审计    139
第五章 信息与沟通审计    140
第一节 信息与沟通概述    140
一、信息收集、处理与传递    140
二、反舞弊和举报投诉管理机制    141
三、信息系统内控有效性    142
四、信息披露管理    142
第二节 内外部信息收集、处理与传递审计    145
一、内外部信息收集、处理与传递机制审计    145
二、公文管理审计    146
第三节 反舞弊和举报投诉管理机制审计    148
一、反舞弊工作机制审计    148
二、举报投诉管理机制审计    149
案例十五：反舞弊机制存在漏洞、缺乏举报人保护制度    149
第四节 信息系统内控有效性审计    151
一、信息系统安全管理审计    151
二、信息技术发展规划审计    152
三、信息系统内控有效性审计    152
案例十六：应用系统功能的规划和管理缺乏前瞻性和统筹性    153
第五节 信息披露管理审计    155
案例十七：信息披露违规操作    156
第六章  内部监督审计    158
第一节 内部监督概述    158
一、内部控制监督制度    158
二、内部控制缺陷认定    159
三、内部控制自我评价    159
第二节 内部控制监督制度审计    161
一、内部控制监督制度审计    161
二、内部审计管理审计    162
三、合规管理审计    163
四、日常监督和专项监督开展情况审计    163
五、对子公司和分支机构内审监督管理情况审计    164
第三节 内部控制缺陷认定审计    165
一、内部控制缺陷处理机制审计    165
二、重大异常情况处理机制审计    166
第四节 内部控制自我评价审计    166
一、内部控制自我评估工作审计    166
二、内部责任追究机制审计    167
案例十八：责任追究制度不健全、执行不到位    168
附件：公司层面内部控制相关的法律法规和监管要求    170
 

第一章 保险公司公司层面内部控制基础
第一节 内部控制概述
一、内部控制的概念
（一）内部控制最早被作为专业概念提出是在1936年美国会计师协会发布的《独立公共会计师对财务报表的审查》中，指为保护现金和其他资产，检查簿记事务的准确性而在公司内部采取的手段和方法。其后，随着内部控制理论的不断完善，这一概念的内涵和外延都发生了较大的变化。