1、第五次保险稽查审计联席会议材料一：保险稽查审计指引公司层面内部控制分册（审议稿）年12月导 言 近年来，世界各国对企业内部控制建设的重视程度越来越高。2002年美国颁布了公众公司会计改革和投资者保护法案，又称萨班斯奥克斯利法案，该法案第404条款明确规定了管理层对企业内部控制职责；906条款更指出如果企业被认定未达到该法案的要求，将可能使企业和管理层个人受到包括高额罚款甚至监禁等形式的严重处罚。2008年财政部、证监会、审计署、银监会、保监会联合颁布了企业内部控制基本规范，并于2010年发布了企业内部控制配套指引，该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计2、指引，这一套控制规范被称为中国的“萨班斯法案”，分阶段适用于包括保险公司在内的各类上市公司、非上市大中型企业。与此同时，人们也越来越重视内部审计在内部控制中的作用。一般认为，保险公司内部审计具有监督、评价两方面的基本职能，既是内部控制的一部分，同时又是内部控制的测试者，对内部控制体系进行评估、评价已经成为内部审计的一个重要工作内容。内部审计师通常要每年对公司高管层提交内部控制评价报告，高管层认可后对外报送或披露。这事实上就把内部审计从“后台”推向了“前台”，如果公司内部控制状况不佳，内部审计部门也负有不可推卸的责任。根据国际上普遍认可的COSO内部控制体系框架，内部控制通常被分为控制环境、风险3、识别与评估、控制活动、信息与沟通、监督五个要素。在内部控制五要素中，由于控制活动与具体的业务活动相关，所以其余四个要素通常被称为公司层面内部控制。公司层面内部控制是其他业务层面控制的奠基石，只有在建立健全公司层面内部控制的基础上，业务层面的各项内部控制才能持续地、有效地开展。结合保险公司实际，根据保险稽查审计指引体例安排，控制活动的有关审计内容已在各业务分册体现，而公司层面内部控制审计在此专门制作一个分册。公司层面内部控制分册是在基本手册介绍的有关保险公司内部审计工作基础理论、标准、方法、实务操作规范等内容的基础上，基于风险导向的方法论，依据现行保险法律法规及监管要求，在系统梳理公司层面内部控4、制风险点和全面总结相关审计工作稽查实践经验的基础上，而撰写的关于如何开展公司层面内部控制审计工作的操作手册，并附以案例参考，试图以更清晰的方法和思路透视公司层面内部控制，为保险公司提高内部审计工作效率，提升理论与实务分析的结合度提供指导与借鉴。在应用本手册对保险公司公司层面内部控制开展审计时，除了需要遵循基本手册和本分册的要求外，还要参考并结合其他业务分册相关具体内容来开展；在实施审计过程中，需加强具体业务、财务活动审计的配合和信息沟通，避免出现遗漏。此外，各保险公司的具体实践不尽相同，因此在运用本手册过程中，还应结合被审计单位的实际状况进行灵活运用。限于水平和经验，本手册还存在诸多不足之处，5、敬请读者多多批评指正，以便今后进一步修订完善。第176页 共176页目 录第一章 保险公司公司层面内部控制基础9第一节 内部控制概述9一、内部控制的概念9二、内部控制的目标12三、内部控制的原则13四、内部控制五要素之间的关系15第二节 公司层面内部控制概述16一、公司层面内部控制概念16二、保险公司公司层面内部控制概念16第二章 公司层面内控审计的程序与方法21第一节 公司层面内控审计的程序21第二节 公司层面内部控制审计方法26一、一般方法27二、特殊方法29三、公司层面内控审计方法应用的注意要点31第三节 计算机辅助实施公司层面内控审计32第三章 内部环境审计35第一节 内部环境概述356、一、公司治理35二、组织架构58三、发展战略70四、人力资源72五、企业文化75六、社会责任77第二节 公司治理审计79一、公司章程审计79案例一：公司章程修改后未报批80二、股东与股东（大）会审计82案例二：委托持股或代持股未报告84三、董事、独立董事、董事会及其下设委员会审计85案例三：董事长、独立董事、董事会秘书未尽职87四、监事和监事会审计89案例四：监事会没有职工代表参加90五、关联交易管理审计90案例五：没有充分识别关联方、关联交易管理不合规91六、董事、监事、高管任免、薪酬管理审计92案例六：假造薪酬委员会决议、发放高管薪酬93案例七：以假学历骗取高管任职资格95七、集团化管控审7、计（集团公司适用）96第三节 组织架构审计97一、组织架构管理审计97二、经营管理层任职履职情况审计98三、精算管理、财务管理、法律管理、合规管理、风险管理、信息化管理、内部审计管理组织架构审计98第四节 发展战略、人力资源、企业文化、社会责任审计99一、发展战略审计99二、人力资源管理审计101案例八：未能制定强制休假、轮岗制度102案例九：不合理的奖金分配制度104案例十：绩效体系不完善106三、企业文化建设审计110四、社会责任审计112案例十一：内部管理混乱、内控完全失效113第四章 风险管理审计115第一节 风险管理概述115一、风险管理组织115二、风险目标设定117三、风险评估18、18四、风险应对120五、风险管理的监督与改进122第二节 风险评估常用方法和风险应对常用策略123一、风险评估的常用方法123二、风险应对的常用策略124第三节 风险管理组织审计126一、风险管理委员会审计126二、风险管理职能审计127三、风险信息共享机制审计128四、风险管理宣导与培训129案例十二：风险管理组织不健全129第四节 风险目标设定审计131第五节 风险评估审计131一、风险识别审计131案例十三：风险识别不全面132二、风险分析与评价审计133第六节 风险应对审计134一、风险管理总体策略审计134二、风险限额审计135三、风险解决方案审计136案例十四：风险应对策略调整不9、及时137第七节 风险管理的监督与改进审计138一、风险管理监督与改进审计138二、风险管理报告审计139第五章 信息与沟通审计140第一节 信息与沟通概述140一、信息收集、处理与传递140二、反舞弊和举报投诉管理机制141三、信息系统内控有效性142四、信息披露管理142第二节 内外部信息收集、处理与传递审计145一、内外部信息收集、处理与传递机制审计145二、公文管理审计146第三节 反舞弊和举报投诉管理机制审计148一、反舞弊工作机制审计148二、举报投诉管理机制审计149案例十五：反舞弊机制存在漏洞、缺乏举报人保护制度149第四节 信息系统内控有效性审计151一、信息系统安全管理审计10、151二、信息技术发展规划审计152三、信息系统内控有效性审计152案例十六：应用系统功能的规划和管理缺乏前瞻性和统筹性153第五节 信息披露管理审计155案例十七：信息披露违规操作156第六章 内部监督审计158第一节 内部监督概述158一、内部控制监督制度158二、内部控制缺陷认定159三、内部控制自我评价159第二节 内部控制监督制度审计161一、内部控制监督制度审计161二、内部审计管理审计162三、合规管理审计163四、日常监督和专项监督开展情况审计163五、对子公司和分支机构内审监督管理情况审计164第三节 内部控制缺陷认定审计165一、内部控制缺陷处理机制审计165二、重大异常情11、况处理机制审计166第四节 内部控制自我评价审计166一、内部控制自我评估工作审计166二、内部责任追究机制审计167案例十八：责任追究制度不健全、执行不到位168附件：公司层面内部控制相关的法律法规和监管要求170第一章 保险公司公司层面内部控制基础第一节 内部控制概述一、内部控制的概念（一）内部控制最早被作为专业概念提出是在1936年美国会计师协会发布的独立公共会计师对财务报表的审查中，指为保护现金和其他资产，检查簿记事务的准确性而在公司内部采取的手段和方法。其后，随着内部控制理论的不断完善，这一概念的内涵和外延都发生了较大的变化。当前世界各国广泛采用和认可的是由美国反虚假财务报告委员会下12、属的发起人委员会（即COSO委员会）于1992年提出并与1994年修改的内部控制整体框架中对内部控制提出的定义：内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成而提供合理保证的过程。COSO框架从各个层次对风险和控制进行分析和评估，为企业的内部控制管理提供了整体框架体系，首次提出了“五要素”，包括：1、控制环境（Control environment）。它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。2、风13、险评估（risk assessment）。是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。3、控制活动（control activities）。是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。4、信息和沟通（information and communication）。信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、14、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。5、监控（monitoring）。监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。（二）2008年，财政部、证监会、审计署、国资委、银监会、保监会五部委联合发布企业内部控制基本规范（财会20087号），2010年4月26日15、，又联合发布了企业内部控制配套指引，基本规范和配套指引构建了中国企业内部控制规范体系。基本规范指出，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。基本规范指出，企业建立与实施有效的内部控制，应当包括下列要素：1、内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计 注：基本规范将内部审计作为控制环境的一部分，但本手册按照通常理解，将内部审计放在监督一章。、人力资源政策、企业文化等。2、风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。3、控制活动。控制活动是企业根据风险16、评估结果，采用相应的控制措施，将风险控制在可承受度之内。4、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。5、内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进。（三）2010年，中国保监会颁布的保险公司内部控制基本准则（保监发201069号）指出，内部控制是指保险公司各层级的机构和人员，依据各自的职责，采取适当措施，合理防范和有效控制经营管理中的各种风险，防止公司经营偏离发展战略和经营目标的机制和过程。基本准则指出，保险公司内部控制体系包括以下三个组成部分17、：1、内部控制基础。包括公司治理、组织架构、人力资源、信息系统和企业文化等。2、内部控制程序。包括识别评估风险、设计实施控制措施等。3、内部控制保证。包括信息沟通、内控管理、内部审计应急机制和风险问责等。二、内部控制的目标（一）根据企业内部控制基本规范（财会20087号），内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。（二）根据保险公司内部控制基本准则（保监发201069号），保险公司内部控制的目标包括：1、行为合规性目标。保证保险公司的经营管理行为遵守法律法规、监管规定、行业规范、公司内部管理制度和诚信准则；2、18、资产安全性目标。保证保险公司资产安全可靠，防止公司资产被非法使用、处置和侵占；3、信息真实性目标。保证保险公司财务报告、偿付能力报告等业务、财务及管理信息的真实、准确、完整；4、经营有效性目标。增强保险公司决策执行力，提高管理效率，改善经营效益；5、战略保障性目标。保障保险公司实现发展战略，促进稳健经营和可持续发展，保护股东、被保险人及其他利益相关者的合法权益。三、内部控制的原则（一）根据企业内部控制基本规范（财会20087号），企业建立与实施内部控制，应当遵循下列原则：1、全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。2、重要性原则。内部控制应当在19、全面控制的基础上，关注重要业务事项和高风险领域。3、制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。4、适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。 5、成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。（二）根据保险公司内部控制基本准则（保监发201069号），保险公司建立和实施内部控制，应当遵循以下原则：1、全面和重点相统一。保险公司应当建立全面、系统、规范化的内部控制体系，覆盖所有业务流程和操作环节，贯穿经营管理全过程。在全面管理的基础20、上，对公司重要业务事项和高风险领域实施重点控制。2、制衡和协作相统一。保险公司内部控制应当在组织架构、岗位设置、权责分配、业务流程等方面，通过适当的职责分离、授权和层级审批等机制，形成合理制约和有效监督。在制衡的基础上，各职能部门和业务单位之间应当相互配合，密切协作，提高效率，避免相互推诿或工作遗漏。3、权威性和适应性相统一。保险公司内部控制应当与绩效考核和问责相挂钩，任何人不得拥有不受内部控制约束的权力，未经授权不得更改内部控制程序。在确保内部控制权威性的基础上，公司应当及时调整和定期优化内部控制流程，使之不断适应经营环境和管理要求的变化。4、有效控制和合理成本相统一。保险公司内部控制应当与21、公司实际风险状况相匹配，确保内部控制措施满足管理需求，风险得到有效防范。在有效控制的前提下，合理配置资源，尽可能降低内部控制成本。四、内部控制五要素之间的关系根据COSO框架，以及基本规范等制度文件，我们通常将内部控制划分为内部环境、风险评估、控制活动、信息与沟通、监督等五个要素。这五个要素既相互独立又相互联系，形成一个有机统一体，对不断变化的环境自动作出反应。企业首先需要建立一定的管理基调，控制环境是其他要素的基础，提供了基本规则和构架。其次需要在制定目标的前提下进行风险评估，辨识导致实体目标不能达成的内外部因素，评估其影响程度和发生可能性。企业在评估相关风险后，应决定风险要如何响应，在选择22、响应方式时，应综合考虑风险评估结果、风险偏好及风险承受能力，以协助公司及时设计、修正及执行必要的控制活动。控制活动是确保管理层的指令得以执行的政策及程序，它嵌入日常业务经营中，体现在整个企业的不同层次和不同部门，用于将风险控制在合理的水平上。信息与沟通是确保控制活动有序进行的保障，企业采取了控制措施后需要及时收集、传递与实现内控目标相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。有效的内部监督则确保企业内部控制能持续有效的运作。第二节 公司层面内部控制概述一、公司层面内部控制概念公司层面内部控制(Entity Level Controls)，是指对企业控制目标的实现具有重大影响，与23、内部环境、风险评估、信息与沟通、内部监督直接相关的控制。公司层面的内部控制是整体性的，是从公司总体性方面设计的一系列内部控制制度，站在公司治理层的角度，从公司战略目标考虑，对一个公司的所有部门、所有人员都有效力的控制。公司层面的内部控制是高层次的，通常针对企业内部控制是否有效、财务报告是否真实可靠和企业是否合规经营产生普遍和重大影响，是有效的企业内部控制的基础。因此，除“控制活动”以外的四个要素，均不直接成为某项业务活动，但具有更高层次、更广泛的影响力，成为内部控制体系的很重要领域。因此，这四个要素被统称为公司层面内部控制(Entity Level Controls)。二、保险公司公司层面内部24、控制概念保险公司的内部控制也通常按照控制环境、风险评估、控制活动、信息与沟通、监督5大要素落实实施。除控制活动外的其他四大要素构成了保险公司公司层面内部控制。保险公司公司层面内部控制各要素的具体含义如下：（一）内部环境内部环境是保险公司实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。例如：1、建立规范的公司治理架构对于现代企业风险管控非常重要，治理架构是否规范合理将对公司运营管理中的授权、运作、决策、执行、监督等内控职能产生巨大的影响。2、合理的组织架构应体现便于管理、易于考核、简化层级、避免交叉的管理原则，明确职责分工，明晰报告路线。3、与内部控25、制需要相适应的人力资源政策，应确保关键岗位的人员具有专业胜任能力并定期接受相关培训，考核、薪酬、奖惩、晋升等人力资源政策应当与内部控制成效相挂钩。4、建立安全实用、覆盖所有重要业务环节的信息系统可以尽可能使各项业务活动信息化、流程化、自动化，减少人为干预和操作失误。5、建立健全企业文化，明确适当的管理基调，制定正式的员工行为准则和其他相关政策，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识，促进文化建设在内部各层级的有效沟通和宣传贯彻。6、企业应当以一种有利于社会的方式进行经营和管理，包括企业环境保护、社会道德以及公共利益等方面，由经济责任、持续发展责任、法律责26、任和道德责任等构成，是企业在经营活动所涉及到的领域中衡量企业绩效和表现，并评价与报告那些传统的企业财务报告未涉及方面的成果及影响。（二）风险评估风险评估是保险公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。例如：1、保险公司应当对经营管理和业务活动中可能面临的所有风险因素（比如保险风险、市场风险、信用风险和操作风险等）进行全面系统的识别分析，发现并确定风险点，同时对每一风险点的发生概率、诱发因素、扩散规律和可能损失进行定性和定量评估，确定风险应对策略和控制重点。2、管理层可针对己评估的关键性风险作出回应。可选的应对风险策略有风险降低、风险消除、风险转移和风险27、保留。管理层可以选择一个或多个策略结合使用。（三）信息与沟通信息与沟通是保险公司及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。例如：1、内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间高效的信息和沟通机制，有利于促进公司信息的广泛共享和及时充分沟通，提高经营管理透明度，防止舞弊事件的发生。2、重要的相关管理和内控信息在总公司、分公司、支公司、直至营销服务部都得以及时传达、贯彻。3、建立一整套的信息管理流程，覆盖内部信息的上报、收集、处理、分析和报告的相关过程。28、4、建立健全反舞弊机制，包括但不限于倡导诚信正直的企业文化，营造反舞弊的企业文化环境；有效实施内部控制，权责对等，奖罚明确；落实舞弊的举报及调查机制；不断加强内部审计的独立监督力量等。5、加强信息披露管理，依法向社会公众公开其经营管理相关信息。（四）内部监督内部监督是保险公司对内部控制建设与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。内部监督是保险公司对内部控制建设与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。包括：1、审计部门应保持独立性，公正客观的开展监督评估工作，并将内部审计结果直接向董事会及管理层报告。2、制定内部控制29、监督制度，加强对内部控制的审计检查，定期根据检查结果对内部控制的健全性、合理性和有效性进行评估，并按照规定的报告路线及时向审计对象、合规管理职能部门和上级领导进行反馈和报告。建立多层次、全方位的监控体系，实现对内部控制活动的事前、事中、事后有效监控，为实现内控目标提供合理保证。3、制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。4、定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。本手册后续内容也主要按照上述逻辑，分控制环境、风险评估、信息与沟通、内部监督来安排章节，分别介绍有30、关的具体审计程序和方法，而内控五大要素中的另一要素控制活动的审计程序与方法，因与具体的业务、财务活动密切相关，我们将在其他分册中展开描述，有关内容请参阅财务分册、人身保险业务分册、财产保险业务分册等其他分册。第二章 公司层面内控审计的程序与方法 本章基于如何开展公司层面内部控制专项审计，介绍有关审计的程序和方法。保险公司的公司层面内部控制审计可以作为一个单独的专项来开展，但更多时候是作为其他常规审计的组成部分，起到基础性的作用 常规审计一般需要先对内部控制进行初评，然后开展符合性测试和实质性测试，如果初评和符合性测试认为内控完全失效，审计人员可以无需开展下一步的审计工作，具体可以参考基本手册的31、有关内容。因此，在常规审计工作中，要结合基本手册介绍的审计程序和方法，来开展有关内控方面的审计。第一节 公司层面内控审计的程序保险公司实施公司层面内部控制专项审计的主要工作步骤如下：一、事前准备：根据审计计划，开展进行项目前期的准备工作，包括与被审计单位沟通审计时间和内容，了解被审计单位基本信息，获取相关资料，通过非现场审计进行初步的风险分析及评估，拟定审计方案，确定审计范围、项目组成人员及拟实施的审计程序等事宜。二、下发审计通知书：告知审计时间、成员名单、需要准备的资料清单、必要的工作条件(如办公场所，技术配合等)。三、召开审计见面会：介绍与会双方成员、介绍预计的审计时间 (包括管理层反馈时32、间)、介绍审计范围、提出所需现场配合的事项要求、听取被审计单位情况介绍。审计见面会通常在现场审计实施的第一天举行。四、内部控制初步评审：内部控制初步评审的基本步骤如下：1、对被审计单位的内部控制制度进行调查了解。通过访谈、发放调查问卷、查阅文件等方式，了解企业是否建立了内部控制制度、制度是否健全、合理以及制度执行效果，并对了解的情况进行记录、描述。审计人员可以采用文字叙述、调查问卷、流程图、调查表等方法对内部控制制度进行描述，并记录于审计工作底稿中。2、对内部控制制度进行初步评价。在对被审计单位内部控制制度进行调查了解，取得初步认识的基础上，对其内部控制水平进行初步评价，审计人员可以事先设计内33、控制度评分表，将被审计单位的内部控制评估点赋予一定的分值，根据调查情况进行评分，并根据评分结果初步评价被审计单位内部控制制度水平，以确定下一步符合性测试的范围。通常在初步评价中，如果某个内部控制环节出现以下情况之一，则应将其全部内容或重要的活动直接认定为高风险水平：1、内部控制失效；2、难以对内部控制的有效性进行评价；3、不拟进行符合性测试等下一步审计工作。五、符合性测试：符合性测试是指通过穿行测试法、重新履行、观察等内控审计方法，测试被审计单位业务活动的运行与相关内部控制的符合程度。例如：审计人员抽取部分财务报销单据，审核查明该单据是否有领导审批、会计复核和出纳付款记录。如果该报销单据未经领34、导批准，会计复核未能发现其中的差错，出纳付款后未加盖“付讫”的戳记，则现金报销的内部控制功能未能发挥。符合性测试一般通过抽样的方法进行，测试的范围和数量取决于内部控制初步评审的结果。经过初步评价，如果认为被审计单位内控比较健全，则符合性测试的范围可以较小，反之应扩大符合性测试范围和抽样数量。一般来说，符合性测试的范围越大，所能提供的有关被审计单位内控执行有效性的证据就越充分，但如果内审人员进行符合性测试的工作量可能大于由此而减少的实质性测试的工作量，则大可不必进行符合性测试，而直接进行实质性测试。此外，符合性测试是建立在被审计单位内控制度健全的基础上进行的，如果被审计单位没有内控制度、或者通过35、以前的检查、调查对其内控是否有效已经有了解，也可以不进行符合性测试。通过符合性测试，审计人员便可对内部控制的有效性做出进一步评价，并根据符合性测试结果确定实质性测试的性质、时间和范围。审计人员只对准备信赖的内部控制环节进行符合性测试，并且进行符合性测试将会大大减少实质性测试工作量，此时符合性测试才是有意义的。六、实质性测试：实质性测试是指审计人员运用询问、审核、观察、监盘、函证、分析性复核等审计方法，对被审计单位具体内部控制有效性进行的证实性测试。实质性测试通常在符合性测试基础上进行的，采用抽样方法，其抽样的规模根据内控评审和符合性测试的结果来确定。实质性测试是审计人员在现场审计实施阶段实现审36、计目标、获取审计证据所必需的重要环节。审计人员对被审计单位符合型测试为确定实质性测试的范围、重点、数量和时间提供了依据，但并不能代替实质性测试。无论被审计单位内部控制机制如何健全有效，审计人员都必须选择适当的方法进行实质性测试。七、取得审计证据：审计证据是用以证明审计事项真相并作为审计结论的基础材料，取得审计证据过程是审计作业的主体部分。内部审计人员通过检查、监盘、观察、询问、计算、分析性复核等方法获取审计证据，为形成审计意见和审计报告提供依据。重要审计证据需被审单位签字或盖章确认。审计证据是否充分直接影响审计的质量，审计证据不足是产生审计风险的一个主要原因。审计人员需要对收集到的审计证据的客37、观性、相关性、充分性和合法性进行评价，筛选出具有充分证明力的证据，使审计证据的潜在证据力转化为现实证据力。八、编制审计工作底稿：审计工作底稿应当由内部审计人员根据审计任务的要求，边查边记，逐事逐项编写，做到一事一稿（也可合并处理）。工作底稿要求情节表述简明清晰、定性准确、编写合理有序。九、召开离场会：在审计实施的最后一天召开项目离场会，双方沟通审计发现。但是对于公司层面内部控制缺陷经常包含有的敏感信息，需要注意沟通的方式、范围和对象。十、编写审计报告并征求意见：鉴于公司层面内部控制缺陷影响的广泛性和敏感性，建议对于报告中的每一个发现，都需要得到被审计对象管理层书面回应，回应内容包括拟采取详细的38、解决行动方案、明确整改责任人和整改落实期限。管理层回应的重点在于对审计建议的适用性及落实期限，双方沟通并达成一致。十一、签发报告：内部审计部机构负责人签发报告，并且将审计发现记录于审计追踪系统（若适用）。十二、项目总结：在签发报告的同时，向被审计单位发出评估调研，记录审计实施过程中尚待改进之处并对团队成员进行绩效评估。同时，对比分析实际用时与预算，并对差异作出解释。最后，审计人员应做好整理归档工作。十三、整改跟踪和后续审计。第二节 公司层面内部控制审计方法公司层面内部控制审计既要采用内部审计的一般方法，也有其特殊的方法。一、一般方法在对公司层面内部控制开展审计时，可以使用内部的一般方法 一般方39、法包括审核、观察、询问、函证和分析性复核等方法，具体可以参阅基本手册的有关内容。，但要注意根据公司层面内部控制的特点来使用，这里重点介绍询问法、审核法、观察法的应用。（一）询问法。询问法应用于公司层面内部控制审计，具体可以使用调查问卷、个别访谈等。1、调查问卷。通过设计一系列与公司层面风险相关的问题，将被调查者的思维集中于可能引起或已经引起风险的内外部因素上。*环节内部控制调查问卷机构名称： 审计日期：项目是否不适用备注良好薄弱是否建立这方面的制度制度是否遵循法律法规规定制度是否得到有效执行2、个别访谈：按照一般询问法的要求实施，主要包括确定询问的目的、收集与询问相关的背景资料、确定询问要点、40、编制谈话提纲、约定询问时间地点、面谈与记录、对面谈内容进行评估等步骤。但对对公司层面内部控制审计中，访谈者要注意引导、启发被访谈者，在一定程度上是参与讨论，而非常规审计的询问、质询，这样才能更加深入的挖掘有关内控风险和隐患。3、专题讨论：将具有交叉职能或多层级的人员聚集在一起，利用集体智慧描述出公司面临的风险以及存在内控薄弱环节。（二）审核法。审核法是公司层面内控审计工作最重要的检查方法之一。评审人员在执行抽样、穿行测试等评审方法时，要求被评价单位在限定的时间内，提供被审计内容相关的内外部公文、制度文件、协议合同、审批记录等等。通过对这些书面证据的检查，验证各项内控措施在实际操作中是否得到有效41、贯彻执行。（三）观察法。即内部审计人员深入现场实地调研，参加重要会议，或通过观看过程录像的方式，观察有关人员的实际工作情况，以确定规定的内部控制活动是否得到严格执行。该方法适用于那些不留书面痕迹的内部控制环节及用于测试某项控制措施执行的到位程度。上述一般方法的具体要点，可参阅基本手册有关询问、观察、监盘等审计方法。二、特殊方法（一）穿行测试法。穿行测试也称全程测试，这是内部控制评价和审计的常用方法，用以确定内部控制政策和程序的实施情况。即评审人员在每一类循环中选择一次或若干次控制活动，比照处理流程从头到尾检查其实际处理过程，检查测试该流程步骤和控制点的执行情况，以验证所描述的内部控制的客观性和42、真实性。穿行测试不能保证被审计单位内部控制被有效、一贯的得到执行，这需要符合性测试来确定。例如为某项复核、监督措施是否执行，可以采取穿行测试法。内部审计人员应选择不同的内部审批事项，对复核、监督流程进行穿行检查测试，以测试是否合理、是否得到执行、是否存在控制漏洞。（二）流程图法。流程图法主要用于内部控制系统的健全性和合理性测试，即利用符号和图形来表示被审计单位组织结构、职责分工、权限、经营业务的性质及种类、各种处理规程、各种会计记录等内部控制状况的示意图。可以使评审人员清晰地看出被评审单位内部控制系统如何运行、相关风险控制点和控制措施，有助于发现各内部控制体系的缺失和评审重点。流程图一般有两种43、，一种是垂直流程图，另一种是水平流程图。垂直流程图是将业务处理过程按照先后次序，用一条主线垂直串连起来，并将经济业务按流程从上至下用图形符号描绘出来。水平流程图则按业务部门设置若干竖栏，将业务处理程序从左到右排列，用图形符号描绘经济事项的过程，用水平流程线将各业务活动串连起来。绘制流程图可以使用微软Word自带的流程图或者Visio，常见的流程图符号及含义如下：符号含义符号含义文件流程线开始终止流向卡片流程交叉判断控制点留存核对三、公司层面内控审计方法应用的注意要点（一）在开展公司层面内部控制审计工作时，可以根据内控审计工作的需要和审计特定内容的实际情况，灵活地、综合运用上述方法。（二）审计人44、员应当充分考虑借鉴使用外部审计、外部监管检查、公司监事会检查、合规和风险管控的资料记录，辅助开展公司层面内部控制审计。（三）审计中，审计人员应当注意从董事会、监事会或经营层等角度，或者从公司制度设计等角度，查找公司层面内部控制存在的问题和风险，而非就事论事，只从具体控制环节和人员角度查找问题和原因。（四）公司层面内部控制审计应当与其他具体控制活动的审计工作相结合，而不是互相割裂。公司层面内部控制审计应当作为其他各项审计工作的基础。从第三章开始，我们将分要素分别列举通用化具有一般适用性的公司层面内部控制风险点、相关法律法规和监管规定、以及审计程序和方法，供内部审计人员在其未来的公司层面内部控制审45、计工作中作为参考。作为指引，各保险机构内部审计应参照执行，但不是也不可能涵盖一切可能出现的情况及所有审计技术，在具体审计过程中，还要结合具体工作加以应用。第三节 计算机辅助实施公司层面内控审计随着信息科技的不断发展，保险公司各类内部控制活动正逐渐由手工转为计算机进行处理，内部控制工作通过信息系统平台实现无纸化控制。这就要求审计人员能够对信息系统内控的健全性、合理性、有效性开展审计，这部分审计内容请参阅相关风险点的审计程序和方法。同时，在计算机辅助下、运用信息技术对公司层面内部控制实施审计，可以大大提高审计工作的效率；在计算机日益普及的今天，计算机辅助开展审计已经成为审计人员必须掌握的审计技术和46、方法。本节重点介绍如何运用计算机辅助开展内控审计的方法，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等，以涵盖内控审计基本流程和各环节。完整的内控审计管理信息系统应能提供以下功能，将内控审计各环节纳入到信息化平台上，从而实现审计过程的自动化。一、建立风险及控制知识库：为了实现以风险为导向的内控审计，需首先建立风险和控制知识库。系统应提供数据接口或操作界面将风险库和控制库装载或输入到信息系统中；同时，也应提供功能实现风险与控制之间的关联，用以表明为应对风险所设计的管控措施。二、建立审计方法库：做为审计支持软件，系统还应能建立起审计方法库。如通过内置标准的审计程序方法和步骤，指导审计人47、员进行内控的测试，保证测试质量。同时，系统应能提供一些辅助的信息，如流程图，关键控制点等。三、编制审计计划：系统应能提供检视后的风险评估结果，以供审计部门以风险为导向编制审计计划。系统允许管理用户设置计划范围的条件，并根据这些条件自动筛选风险及控制点范围。四、创建测试底稿：系统应提供预先定制的控制测试模板，并根据计划的测试范围填充测试模板，通过系统下发到各测试组或个人。五、执行内控测试：测试人根据下发的测试模板在系统中进行测试，测试底稿也应集成在系统内，保证测试结果有据可查；测试结果应通过系统向上收集汇总到公司总部的审计部门，供进行总体评定。六、检视自评结果：系统应能提供自评底稿检视功能，审计48、部门可以对自评结果进行检视以发现自评过程存在的问题，如范围选择偏差，风险评估偏差，内控自评方法不正确，部分控制活动未识别等，通过系统提出问题并要求相关部门整改。七、进行问题管理和跟踪：审计部门在系统中根据发现的问题向有关部门提出整改点，并提出具体的整改意见。整改部门应能在系统中查看到该问题的来源和具体的描述。八、监督整改结果：审计部门在系统中查看所提出的整改意见执行情况，并对整改的结果进行检视，确认整改是否达到要求。九、编制内控报告：内控报告包括内部报告及外部报告。内部报告：在年度或专项的内控测试完成后，系统提供本次测试的报告，包括测试范围，测试所依据的方法，测试结果，问题描述，总体评价，整改49、结果等信息；外部报告：系统应能生成符合保监会要求的内控报告；如为上市公司，应能提供符合基本规范的内控评估报告。十、提供丰富的展现工具：系统还应能提供各种知识库查询工具和图表工具，从各方面展现风险和控制的历史和现状，自评和审计的结果。如提供风险矩阵，风险热力图，内控手册等报表和图形。建立内控审计系统是个循序渐进的过程，各公司应根据自身的实际情况制订系统应用时间表，但应将内控审计信息化做为公司内控建设的一个重要目标来规划执行。第三章 内部环境审计第一节 内部环境概述根据企业内部控制基本规范，内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。50、内部环境是实施内部控制的重要基础，是企业的基调、氛围，直接影响企业员工的控制意识。控制环境影响员工的管理意识，是其他部分的基础。下面，我们将内部环境细分为公司治理、组织架构、发展战略、人力资源、企业文化和社会责任等六个子流程，针对这些子流程中涉及到的主要风险及控制活动提出最佳实践，并分别介绍相应的审计程序和方法。一、公司治理根据国际内部审计师协会（IIA）国际内部审计专业实务框架中的定义，公司治理是指“董事会实施的各种流程和架构的组合，用于告知、指导、管理和监督组织活动，以实现组织的目标”。公司治理是一个涉及公司股东、董事会、管理层以及其他利益相关者之间的一整套关系体系。根据保险公司的实际，我51、们将公司治理审计的主要内容分成公司章程、股东（大）会、董事会、监事会、关联交易、集团化管控等七大部分。（一）公司章程1、基本概念。公司章程是指公司依法制定的、规定公司名称、住所、经营范围、经营管理制度等重大事项的基本文件，是以书面形式固定下来的股东共同一致的意思表示。公司章程是公司组织和活动的基本准则，是公司的宪章。根据公司法，设立公司必须制定公司章程。公司章程对公司、股东、董事、监事、经理具有约束力。2、公司法对有限责任公司公司章程的规定。根据公司法，有限责任公司的公司章程由股东共同制定。章程应当载明公司名称和住所，经营范围，注册资本，股东的姓名或者名称，股东的权利和义务，股东的出资方式和出52、资额，股东转让出资的条件，公司的机构及其产生办法、职权、议事规则，法定代表人，公司的解散事由与清算办法，股东认为需要规定的其他事项。有限责任公司的股东应当在公司章程上签名、盖章。有限责任公司的股东会行使修改公司章程的职权。有限责任公司修改公司章程的决议，必须经代表三分之二以上表决权的股东通过。3、公司法对股份有限公司公司章程的要求。根据公司法，股份公司的公司章程由发起人制订，并经创立大会通过。股份有限公司章程应当载明公司名称和住所，经营范围，设立方式，股份总数，每股金额和注册资本，发起人的姓名或者名称、认购的股份数，股东的权利和义务，董事会的组成、职权、任期和议事规则，法定代表人，监事会的组成53、职权、任期和议事规则，利润分配办法，公司的解散事由与清算办法，公司的通知和公告办法，以及股东大会认为需要规定的其他事项。股份有限公司的股东大会行使修改公司章程的职权。股份有限公司修改公司章程必须经出席股东大会的股东所持表决权的三分之二以上通过。4、保险公司公司章程的特殊监管规定。根据关于规范保险公司章程的意见（保监发200857号），保险公司章程应当对基本事项，股东与股份规则，组织机构及其职权，董事、监事及高管人员的任免、职权及义务，股东大会、董事会及监事会的主要议事程序，财务会计制度，其他制度等事项作出明确规定。因为具体内容较多，请参阅该文件的具体规定。根据保险法，保险公司修订章程，须经中54、国保监会批准。根据关于规范保险公司章程的意见（保监发200857号），保险公司章程须经中国保监会核准后方可生效；章程经中国保监会核准后，应当及时向公司登记机关依法办理变更登记。（二）股东与股东（大）会1、基本概念（1）股东，又称出资人或投资人，是股份公司或有限责任公司中持有股份的人。股东以其所持股份或出资额为限，对公司承担责任。股东作为出资者，按投入公司的资本额享有所有者的资产受益、重大决策和选择管理者等权利。（2）股东（大）会，通常可以指一种定期或临时举行的由全体股东或股东代表出席的会议，又可以指非常设的由全体股东所组成的公司的最高权力机构，是股东作为企业的所有者，对企业行使所有权的组织。其55、中有限责任公司通常称为股东会，而股份有限公司通常称为股东大会。2、对股东的法律要求（1）公司法对有限责任公司股东的规定根据公司法，有限责任公司由二个以上五十个以下股东共同出资设立，国有独资有限公司除外。股东应当及时足额交纳公司章程中规定的认缴出资额。股东全部交纳出资后，必须经法定的验资机构验资并出具证明。有限责任公司成立后，应当向股东签发出资证明书，载明：（一）公司名称；（二）公司登记日期；（三）公司注册资本；（四）股东的姓名或者名称、缴纳的出资额和出资日期；（五）出资证明书的编号和核发日期。出资证明由公司盖章。有限责任公司应当置备股东名册，记载股东的姓名或者名称及住所、股东的出资额、出资证明56、书编号。股东依法转让其出资后，由公司将受让人的姓名或者名称、住所以及受让的出资额记载于股东名册。股东在公司登记后，不得抽回出资。（2）公司法对股份有限公司股东的规定根据公司法，股份有限公司应当有五人以上为发起人，其中须有过半数的发起人在中国境内有住所。国有企业改建为股份有限公司的，发起人可以少于五人，但应当采取募集设立方式。以发起设立方式设立股份有限公司的，发起人以书面认足公司章程规定发行的股份后，应即缴纳全部股款。发起人、认股人缴纳股款或者交付抵作股款的出资后，除未按期募足股份、发起人未按期召开创立大会或者创立大会决议不设立公司的情形外，不得抽回其股本。（3）保险法对保险公司股东的规定保险公57、司股东的条件。设立保险公司的主要股东具有持续盈利能力，信誉良好，最近三年内无重大违法违规记录，净资产不低于人民币二亿元。出资方式和资金来源。保险公司的注册资本必须为实缴货币资本。股权变更的批准。变更出资额占有限责任公司资本总额百分之五以上的股东，或者变更持有股份有限公司股份百分之五以上的股东，应当经当经中国保监会批准。（4）保险公司股权管理办法对中资保险公司股东的规定（适用于外资股东出资或者持股比例占公司注册资本不足25%的保险公司）根据保险公司股权管理办法（2010年第6号）：股东的条件。境内企业法人向保险公司投资入股，应当符合以下条件：（1）财务状况良好稳定，且有盈利；（2）具有良好的诚信58、记录和纳税记录；（3）最近三年内无重大违法违规记录；（4）投资人为金融机构的，应当符合相应金融监管机构的审慎监管指标要求；（5）法律、行政法规及中国保监会规定的其他条件。境外金融机构向保险公司投资入股，应当符合以下条件：（1）财务状况良好稳定，最近三个会计年度连续盈利；（2）最近一年年末总资产不少于20亿美元；（3）国际评级机构最近三年对其长期信用评级为A级以上；（4）最近三年内无重大违法违规记录；（5）符合所在地金融监管机构的审慎监管指标要求；（6）法律、行政法规及中国保监会规定的其他条件。持有保险公司股权15%以上，或者不足15%但直接或者间接控制该保险公司的主要股东，还应当符合以下条件：59、（1）具有持续出资能力，最近三个会计年度连续盈利；（2）具有较强的资金实力，净资产不低于人民币2亿元；（3）信誉良好，在本行业内处于领先地位。出资方式和资金来源。保险公司的股东应当用货币出资，不得用实物、知识产权、土地使用权等非货币财产作价出资。股东应当以来源合法的自有资金向保险公司投资，不得用银行贷款及其他形式的非自有资金向保险公司投资。持股比例。除符合特定条件，并经保监会批准外，单个股东（包括关联方）出资或者持股比例不得超过保险公司注册资本的20%。任何单位或者个人不得委托他人或者接受他人委托持有保险公司的股权，中国保监会另有规定的除外。股权变更的备案。保险公司变更出资或者持股比例不足注册60、资本5%的股东，应当在股权转让协议书签署后的15日内，就股权变更报中国保监会备案，上市保险公司除外。股权有关重大事项报告。保险公司应当自知悉其股东发生所持保险公司股权被采取诉讼保全措施或者被强制执行，质押或者解质押所持有的保险公司股权，变更名称，发生合并、分立，解散、破产、关闭、被接管，以及其他可能导致所持保险公司股权发生变化的情况等情况之日起15日内向中国保监会书面报告。（5）外资保险公司管理条例对外资保险公司股东的特殊规定根据中华人民共和国外资保险公司管理条例（国务院令2005年第336号）以及中华人民共和国外资保险公司管理条例实施细则（保监会令2004年第4号）合资寿险公司中外资比例（包61、括直接或者间接持有）不得超过公司总股本的50%。注册资本或者营运资金应当为实缴货币。外国保险公司分公司成立后，外国保险公司不得以任何形式抽回营运资金。外国保险公司分公司应当于每一会计年度终了后3个月内，将该分公司及其总公司上一年度的财务会计报告报送中国保监会，并予公布。外国保险公司分公司的总公司有下列情形之一的，该分公司应当自各该情形发生之日起10日内，将有关情况向中国保监会提交书面报告：(一)变更名称、主要负责人或者注册地；(二)变更资本金；(三)变更持有资本总额或者股份总额10%以上的股东；(四)调整业务范围；(五)受到所在国家或者地区有关主管当局处罚；(六)发生重大亏损；(七)分立、合并62、解散、依法被撤销或者被宣告破产；(八)中国保监会规定的其他情形。2、对股东（大）会的法律要求（1）公司法对有限责任公司股东会的规定根据公司法，有限责任公司股东会由全体股东组成，股东会行使下列职权：（1）决定公司的经营方针和投资计划；（2）选举和更换董事，决定有关董事的报酬事项；（3）选举和更换由股东代表出任的监事，决定有关监事的报酬事项；（4）审议批准董事会的报告；（5）审议批准监事会或者监事的报告；（6）审议批准公司的年度财务预算方案、决算方案；（7）审议批准公司的利润分配方案和弥补亏损方案；（8）对公司增加或者减少注册资本作出决议；（9）对发行公司债券作出决议；（10）对股东向股东以外的63、人转让出资作出决议；（11）对公司合并、分立、变更公司形式、解散和清算等事项作出决议；（12）修改公司章程。股东会会议由股东按照出资比例行使表决权。股东会的议事方式和表决程序，由公司章程规定。对公司增加或者减少注册资本、分立、合并、解散或者变更公司形式、修改公司章程作出决议，必须经代表三分之二以上表决权的股东通过。股东会会议分为定期会议和临时会议。定期会议应当按照公司章程的规定按时召开。代表四分之一以上表决权的股东，三分之一以上董事，或者监事，可以提议召开临时会议。召开股东会会议，应当于会议召开十五日以前通知全体股东。股东会应当对所议事项的决定作成会议记录，出席会议的股东应当在会议记录上签名。64、有限责任公司设立董事会的，股东会会议由董事会召集，董事长主持，董事长因特殊原因不能履行职务时，由董事长指定的副董事长或者其他董事主持。（2）公司法对股份有限公司股东大会的法律要求根据公司法，股份有限公司由股东组成股东大会。股东大会行使下列职权：（1）决定公司的经营方针和投资计划；（2）选举和更换董事，决定有关董事的报酬事项；（3）选举和更换由股东代表出任的监事，决定有关监事的报酬事项；（4）审议批准董事会的报告；（5）审议批准监事会的报告；（6）审议批准公司的年度财务预算方案、决算方案；（7）审议批准公司的利润分配方案和弥补亏损方案；（8）对公司增加或者减少注册资本作出决议；（9）对发行公司债65、券作出决议；（10）对公司合并、分立、解散和清算等事项作出决议；（11）修改公司章程。股东大会应当每年召开一次年会。有下列情形之一的，应当在二个月内召开临时股东大会：（1）董事人数不足公司法规定的人数或者公司章程所定人数的三分之二时；（2）公司未弥补的亏损达股本总额三分之一时；（3）持有公司股份百分之十以上的股东请求时；（4）董事会认为必要时；（5）监事会提议召开时。股东出席股东大会，所持每一股份有一表决权。股东可以委托代理人出席股东大会，代理人应当向公司提交股东授权委托书，并在授权范围内行使表决权。股东大会作出决议，必须经出席会议的股东所持表决权的半数以上通过。股东大会对公司合并、分立或者解66、散公司、修改公司章程作出决议，必须经出席会议的股东所持表决权的三分之二以上通过。召开股东大会，应当将会议审议的事项于会议召开三十日以前通知各股东。临时股东大会不得对通知中未列明的事项作出决议。股东大会应当对所议事项的决定作成会议记录，由出席会议的董事签名。会议记录应当与出席股东的签名册及代理出席的委托书一并保存。股东大会会议由董事会负责召集，由董事长主持。董事长因特殊原因不能履行职务时，由董事长指定的副董事长或者其他董事主持。（3）对保险公司股东（大）会的特殊监管要求根据保险公司董事会运作指引（保监发200858号）等有关监管规定，保险公司要向中国保监会报告公司股东大会会议通知及决议。（四）董67、事、独立董事、董事会及其下设委员会1、概念（1）董事会，由股东（大）会选举产生，是股东（大）会的具体执行机构，对内掌管公司事务、对外代表公司的经营决策机构。股东（大）会的各项决议，由负责执行。（2）董事，是指董事会的成员。董事会的负责人为董事长。按照是否参与公司事务，分为执行董事（常务董事）和非执行董事。按照是否代表股东，分为独立董事和非独立董事。（3）独立董事，是指在所任职的公司不担任除董事外的其他职务，并与公司及其控股股东、实际控制人不存在可能影响对公司事务进行独立客观判断关系的董事。2、公司法对有限责任公司董事会的规定根据公司法，有限责任公司设董事会，其成员为三人至十三人。董事任期由公司68、章程规定，但每届任期不得超过三年。董事任期届满，连选可以连任。董事在任期届满前，股东会不得无故解除其职务。董事会设董事长一人，可以设副董事长一至二人。董事长为公司的法定代表人。董事由股东会选举和更换，对股东会负责，行使下列职权：（1）负责召集股东会，并向股东会报告工作；（2）执行股东会的决议；（3）决定公司的经营计划和投资方案；（4）制订公司的年度财务预算方案、决算方案；（5）制订公司的利润分配方案和弥补亏损方案；（6）制订公司增加或者减少注册资本的方案；（7）拟订公司合并、分立、变更公司形式、解散的方案；（8）决定公司内部管理机构的设置；（9）聘任或者解聘公司经理（总经理）（以下简称经理），69、根据经理的提名，聘任或者解聘公司副经理、财务负责人，决定其报酬事项；（10）制定公司的基本管理制度。董事会的议事方式和表决程序，由公司章程规定。召开董事会会议，应当于会议召开十日以前通知全体董事。董事会会议由董事长召集和主持；董事长因特殊原因不能履行职务时，由董事长指定副董事长或者其他董事召集和主持。三分之一以上董事可以提议召开董事会会议。董事会应当对所议事项的决定作成会议记录，出席会议的董事应当在会议记录上签名。有限责任公司的（总）经理、监事，列席董事会会议。3、公司法对股份有限公司董事会的规定根据公司法，股份有限公司设董事会，其成员为五人至十九人。董事会设董事长一人，可以设副董事长一至二人70、。董事长和副董事长由董事会以全体董事的过半数选举产生。董事长为公司的法定代表人，行使下列职权：（1）主持股东大会和召集、主持董事会会议；（2）检查董事会决议的实施情况；（3）签署公司股票、公司债券。副董事长协助董事长工作，董事长不能履行职权时，由董事长指定的副董事长代行其职权。董事任期由公司章程规定，但每届任期不得超过三年。董事任期届满，连选可以连任。董事在任期届满前，股东大会不得无故解除其职务。董事由股东大会选举和更换，对股东大会负责，行使下列职权：（1）负责召集股东大会，并向股东大会报告工作；（2）执行股东大会的决议；（3）决定公司的经营计划和投资方案；（4）制订公司的年度财务预算方案、决71、算方案；（5）制订公司的利润分配方案和弥补亏损方案；（6）制订公司增加或者减少注册资本的方案以及发行公司债券的方案；（7）拟订公司合并、分立、解散的方案；（8）决定公司内部管理机构的设置；（9）聘任或者解聘公司经理，根据经理的提名，聘任或者解聘公司副经理、财务负责人，决定其报酬事项；（10）制定公司的基本管理制度。董事会每年度至少召开二次会议，每次会议应当于会议召开十日以前通知全体董事。董事会召开临时会议，可以另定召集董事会的通知方式和通知时限。董事会会议应由二分之一以上的董事出席方可举行。董事会作出决议，必须经全体董事的过半数通过。董事会会议，应由董事本人出席。董事因故不能出席，可以书面委托72、其他董事代为出席董事会，委托书中应载明授权范围。董事会应当对会议所议事项的决定作成会议记录，出席会议的董事和记录员在会议记录上签名。4、保险公司董事会的特殊监管要求（1）董事会根据关于规范保险公司治理结构的指导意见（试行）（保监发20062号）保险公司董事会除履行法律法规和公司章程所赋予的职责外，还应当对内控、风险、合规等事项负最终责任。根据保险公司董事会运作指引（保监发200858号）等有关监管规定，保险公司要将公司董事会会议通知（召开10日前）及决议（会议后三十日内）以书面和电子邮件向中国保监会报告。根据保险公司董事会运作指引（保监发200858号）、关于规范报送保险公司治理报告的通知（保73、监发改2010169号）的文件要求，保险公司应于每年4月30日前，向中国保监会报送经董事会审议通过的上一年度公司治理报告。（2）董事会下设委员会根据关于规范保险公司治理结构的指导意见（试行）（保监发20062号），保险公司至少应当在董事会下设审计委员会和提名薪酬委员会。一是审计委员会。审计委员会由三名以上不在管理层任职的董事组成，独立董事担任主任委员。审计委员会成员应当具备与其职责相适应的财务和法律等方面的专业知识。审计委员会负责定期审查内部审计部门提交的内控评估报告、风险管理部门提交的风险评估报告以及合规管理部门提交的合规报告，并就公司的内控、风险和合规方面的问题向董事会提出意见和改进建议。74、审计委员会负责提名外部审计机构。二是提名薪酬委员会。提名薪酬委员会由三名以上不在管理层任职的董事组成，独立董事担任主任委员。提名薪酬委员会负责审查董事及高管人员的选任制度、考核标准和薪酬激励措施；对董事及高管人员的人选进行审查并向董事会提出建议；对高管人员进行绩效考核并向董事会提出意见。根据企业内部控制基本规范（财会20087号），企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。（3）董事根据保险公司董事会运作指引（保监发200875、58号）董事会由执行董事、非执行董事和独立董事构成，其比例由公司章程规定。执行董事是指在保险公司除担任董事外还担任其他经营管理职务，或者其工资和福利由公司支付的董事。非执行董事是指不在保险公司担任除董事外的其他职务，且公司不向其支付除董事会工作报酬外的其他工资和福利的董事。独立董事是指根据保险公司独立董事管理暂行办法的规定任职的董事。董事会成员中应当有财务和法律方面的专业人士。鼓励保险公司聘用精算专业人士担任董事。根据保险法、保险公司董事、监事和高级管理人员任职资格管理规定（保监会令2010年第2号）、保险公司董事会运作指引（保监发200858号）等规定：保险机构董事应当在任职前取得中国保监会76、核准的任职资格。保险公司董事产生的具体程序是：董事会任期届满前3个月，董事长启动董事会换届程序，董事会秘书应当向有董事提名权的股东或其他提名人发出通知，有董事提名权的股东或其他提名人在截止时间前将其提名的董事候选人名单及其个人资料以书面形式提交董事会秘书，董事会提名薪酬委员会对董事候选人进行审查，董事会根据提名薪酬委员会提交的合格董事候选人名单，提请召开股东大会选举董事。除采取累积投票制外，股东大会选举董事，应当对每一董事候选人逐一进行审议和表决。董事免职或辞职的，应当符合相关规定，及时向中国保监会报告，并向其他董事和股东进行通报。4、独立董事根据保险公司独立董事管理暂行办法（保监发2007277、2号），独立董事不得在其他经营同类主营业务的保险公司任职，且不得同时在四家以上的企业担任独立董事。保险公司董事会应当有一定比例的独立董事。各公司应当董事会成员中至少有两名独立董事；并且在总资产超过五十亿元后一年内，独立董事应占董事会成员的比例达到三分之一以上。保险公司应当在公司章程或者董事会议事规则中，列明独立董事的具体职责和义务。独立董事除应当具有公司法和其他相关法律、法规规定的董事职责外，还应当对下列事项进行认真审查：（1）重大关联交易；（2）董事的提名、任免以及总公司高级管理人员的聘任和解聘；（3）董事和总公司高级管理人员薪酬；（4）利润分配方案；（5）非经营计划内的投资、租赁、资产买卖78、担保等重大交易事项；（6）其他可能对保险公司、被保险人和中小股东权益产生重大影响的事项。独立董事应当在中国保监会指定的媒体上就其独立性发表声明，并承诺勤勉尽职，保证具有足够的时间和精力履行职责。独立董事在媒体上的公开声明应当报中国保监会备案。因独立性丧失且本人未提出辞职的，或者存在其他不适宜继续担任独立董事情形的，公司应当召开股东大会免除其职务。独立董事履行职责时，保险公司有关人员应当积极配合，不得干预、拒绝、阻碍或者隐瞒。独立董事履行职责所需费用由保险公司承担。独立董事应当每年向股东大会提交尽职报告。独立董事连续三次未亲自出席董事会会议的，保险公司应当在三个月内召开会议免除其职务并选举新的79、独立董事。独立董事一届任期内未亲自出席董事会会议次数达五次以上的，不得连任。5、董事会秘书根据保险公司董事会运作指引（保监发200858号）：董事会秘书的职责包括：（一）根据规定的程序及董事长的要求筹备股东大会和董事会会议；（二）制作和保管股东大会、董事会会议档案及其他会议资料文件，保管公司股东、董事、监事和高级管理人员的名册和相关资料；（三）按照监管规定的要求向中国保监会报告公司股东大会、董事会会议通知及决议；（四）协助股东、董事及监事行使权利、履行职责；（五）负责公司对外信息披露和投资者关系管理等事务；（六）协助公司董事长起草公司治理报告；（七）根据监管机构的要求报告本公司治理结构方面的矛80、盾和问题；（八）根据监管机构的要求组织董事等相关人员参加培训等。为保证董事会秘书履行职责，公司应当赋予董事会秘书相应的职权并提供必要的工作保障。公司应当设立董事会办公室。董事会办公室对董事会秘书负责，协助股东、董事、监事和董事会秘书开展工作。董事会办公室没有条件独立运作的，可以与公司其他部门合署办公。由于股东资质不符合要求、股权交易纠纷或不可抗力等原因，可能导致董事会任期届满无法按时改选的，保险公司董事会秘书应当及时向中国保监会报告。（五）监事和监事会1、概念（1）监事会，是股东（大）会领导下的公司的常设监察机构，执行监督职能。监事会与董事会并立，独立地行使对董事会、总经理、高级职员及整个公司81、管理的监督权。（2）监事，监事会的成员。监事会的负责人（召集人）成为监事会主席或监事长。2、监事会（1）公司法对监事会的规定公司法对有限责任公司、股份有限公司监事会的规定基本没有区别，主要包括监事会成员不得少于三人。监事会由股东代表和适当比例的公司职工代表组成，具体比例由公司章程规定。股东代表出任的监事由股东（大）会选举和更换；职工代表由公司职工民主选举产生。董事、经理及财务负责人不得兼任监事。监事的任期每届为三年。监事任期届满，连选可以连任。监事会或者监事行使下列职权：（一）检查公司财务；（二）对董事、经理执行公司职务时违反法律、法规或者公司章程的行为进行监督；（三）当董事和经理的行为损害公82、司的利益时，要求董事和经理予以纠正；（四）提议召开临时股东会；（五）公司章程规定的其他职权。监事列席董事会会议。监事会的议事方式和表决程序由公司章程规定。（2）对保险公司监事会的规定保险公司章程应当明确监事会的构成及职权。监事会组成人数应当具体、确定，不得为区间数。（六）关联交易管理1、公司法关于关联交易的规定公司法规定，董事、监事、经理应当遵守公司章程，忠实履行职务，维护公司利益，不得利用在公司的地位和职权为自己谋取私利。董事、监事、经理不得利用职权收受贿赂或者其他非法收入，不得侵占公司的财产。董事、经理不得挪用公司资金或者将公司资金借贷给他人。董事、经理不得将公司资产以其个人名义或者以其他83、个人名义开立账户存储。 董事、经理不得以公司资产为本公司的股东或者其他个人债务提供担保。董事、经理不得自营或者为他人经营与其所任职公司同类的营业或者从事损害本公司利益的活动。从事上述营业或者活动的，所得收入应当归公司所有。董事、经理除公司章程规定或者股东会同意外，不得同本公司订立合同或者进行交易。2、关于保险公司关联交易的有关监管规定保险法规定：保险公司的控股股东、实际控制人、董事、监事、高级管理人员不得利用关联交易损害公司的利益。保险公司关联交易管理暂行办法（保监发200724号）规定，保险公司应当采取有效措施，防止股东、董事、监事、高级管理人员及其他关联方利用其特殊地位，通过关联交易或者其84、他方式侵害公司或者被保险人利益。保险公司股权管理办法（保监会令2010第6号）保险公司股东和实际控制人不得利用关联交易损害公司的利益。根据保险集团公司管理办法（试行）（保监发201029号）保险集团公司应建立和完善集团内部人员、资金、业务、信息等方面的防火墙制度，防范保险集团成员公司之间的风险传递。具体来说，主要包括如下要求：保险公司应当制定关联交易管理制度。关联交易管理制度包括关联方的报告、识别、确认和信息管理，关联交易的范围和定价方式，关联交易的内部审查程序，关联交易的信息披露、审计监督和违规处理等内容。保险公司应当建立关联方信息档案，并及时进行更新。保险公司股东和保险公司董事、监事及总公85、司高级管理人员，应当向保险公司报告监管规定的关联方的相关信息。保险公司股东应当向保险公司如实告知其控股股东、实际控制人及其变更情况，并就其与保险公司其他股东、其他股东的实际控制人之间是否存在以及存在何种关联关系向保险公司做出书面说明。保险公司重大关联交易由董事会或股东大会批准。保险公司董事会在审议关联交易时，关联董事不得行使表决权，也不得代理其他董事行使表决权。该董事会会议由过半数的非关联董事出席即可举行，董事会会议所作决议须经非关联董事过半数通过。出席董事会会议的非关联董事人数不足三人的，保险公司应当将交易提交股东大会审议。保险公司股东大会审议关联交易时，关联股东不得参与表决。保险集团（控股86、）公司、保险公司与其控股子公司之间及其子公司之间关联交易的审查程序，可不适用前两款的规定，但应在关联交易内部管理制度中予以明确。已设立独立董事的保险公司，独立董事应当对重大关联交易的公允性、内部审查程序执行情况以及对被保险人权益的影响进行审查。所审议的关联交易存在问题的，独立董事应当出具书面意见。两名以上独立董事认为有必要的，可以聘请中介机构提供意见，费用由保险公司承担。一般关联交易按照保险公司内部授权程序审查。保险公司与其关联方之间的长期、持续关联交易，可以制定统一的交易协议，按照本办法规定审查通过后执行。协议内的单笔交易可以不再进行关联交易审查。但协议在执行过程中主要条款发生重大变化或者协87、议期满需要续签的，应当重新按照公司规定的管理制度进行审查。保险公司应当每年至少组织一次关联交易专项审计，并将审计结果报董事会和监事会。保险公司董事会应当每年向股东大会报告关联交易情况和关联交易管理制度执行情况。保险公司应当按照企业会计准则及保险公司信息披露的相关规定披露关联交易信息。保险公司不得聘用关联方控制的中介机构为其提供审计或精算服务。保险公司关联交易管理制度应当报中国保监会备案。保险公司重大关联交易应当在发生后十五个工作日内报告中国保监会。保险公司应当及时将公司股东的控股股东、实际控制人及其变更情况和股东之间的关联关系报告中国保监会。（七）集团化管控（集团公司适用）根据保险集团公司管理88、办法（试行）（保监发201029号），保险集团公司独立董事不得少于全体董事的三分之一。保险集团公司董事会应当设立审计委员会、提名薪酬委员会、战略管理委员会、风险管理委员会，同时根据实际情况设置其他专业委员会。保险集团公司应当依法统筹自身及子公司股东大会、董事会、监事会的运作，加强对不同层级、不同类别会议的决策支持和组织管理。保险集团公司依法对集团整体战略规划、资源配置和风险管理承担最终职责，对集团内部的人力资源、财务会计、品牌文化等实施统一管理；加强集团内部的业务协同和资源共享，建立覆盖集团整体的风险管理和内部审计体系；保险集团公司应当建立覆盖整个集团的资本管理制度，包括资本规划机制、资本充足89、评估机制、资本约束机制以及资本补充机制。保险集团公司应当设立或指定相应的职能部门，为其派驻子公司董事提供决策服务。保险集团公司与子公司之间的股权控制层级原则上不得超过三级。保险集团成员公司之间原则上不得交叉持股。保险集团公司高级管理人员原则上最多只得兼任一家子公司高级管理人员。保险集团公司下属子公司的高级管理人员原则上不得相互兼任。根据上海证券交易所上市公司内部控制指引等规定，公司应对控股子公司实行管理控制，包括依法建立对控股子公司的控制架构，确定控股子公司章程的主要条款，选任董事、监事、经理及财务负责人。二、组织架构企业内部控制基本规范规定，企业应当结合业务特点和内部控制要求设置内部机构，明90、确职责权限，将权利与责任落实到各责任单位，并明确要求企业通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。（一）管理层1、公司法对有限责任公司管理层的规定公司法规定，有限责任公司设经理，由董事会聘任或者解聘。经理对董事会负责，行使下列职权：（一）主持公司的生产经营管理工作，组织实施董事会决议；（二）组织实施公司年度经营计划和投资方案；（三）拟订公司内部管理机构设置方案；（四）拟订公司的基本管理制度；（五）制定公司的具体规章；（六）提请聘任或者解聘公司副经理、财务负责人；（七）聘任或者解聘除应由董事会聘任或者解聘以外的负责管理人员；（八）公司91、章程和董事会授予的其他职权。 经理列席董事会会议。2、公司法对股份有限公司管理层的规定公司法规定，股份有限公司设经理，由董事会聘任或者解聘。经理对董事会负责，行使下列职权：（一）主持公司的生产经营管理工作，组织实施董事会决议；（二）组织实施公司年度经营计划和投资方案；（三）拟订公司内部管理机构设置方案；（四）拟订公司的基本管理制度；（五）制定公司的具体规章；（六）提请聘任或者解聘公司副经理、财务负责人；（七）聘任或者解聘除应由董事会聘任或者解聘以外的负责管理人员；（八）公司章程和董事会授予的其他职权。 经理列席董事会会议。 公司董事会可以决定，由董事会成员兼任经理。3、对保险公司管理层的特殊监92、管规定根据关于规范保险公司章程的意见（保监发200857号），保险公司章程应当明确管理层的构成及职权。公司同时设首席执行官和总经理职位的，章程应当明确其各自职权与产生方式。公司章程对首席执行官的规定不得违背法律、行政法规及监管规定。关于规范保险公司治理结构的指导意见（试行）（保监发20062号）规定：保险公司应当制定管理层工作规则，明确管理层职责，清晰界定董事会与管理层之间的关系。保险公司总经理全面负责公司的日常经营管理，其责任不因其它管理层成员的职责而减轻或免除。保险公司应当按照现代企业制度的要求，逐步完善董事长与总经理设置，健全制衡机制。保险公司内部控制基本准则规定：保险公司管理层应当根据93、董事会的决定，建立健全公司内部组织架构，完善内部控制制度，组织领导内部控制体系的日常运行，为内部控制提供必要的人力、财力、物力保证，确保内部控制措施得到有效执行。保险公司应当明确合规负责人或董事会指定的管理层成员具体负责内部控制的统筹领导工作。（二）精算管理组织架构关于规范保险公司治理结构的指导意见（试行）（保监发20062号）规定：保险公司强化关键岗位职责，保险公司应当设立总精算师职位。总精算师既向管理层负责，也向董事会负责，并向中国保监会及时报告公司的重大风险隐患。总精算师应当参与保险公司风险管理、产品开发、资产负债匹配管理等方面的工作。根据保险公司总精算师管理办法（保监会令2007第3号94、）总精算师，是指保险公司总公司负责精算以及相关事务的高级管理人员。总精算师由保险公司董事会任命，具体履行下列职责：（一）分析、研究经验数据，参与制定保险产品开发策略，拟定保险产品费率，审核保险产品材料；（二）负责或者参与偿付能力管理；（三）制定或者参与制定再保险制度、审核或者参与审核再保险安排计划；（四）评估各项准备金以及相关负债，参与预算管理；（五）参与制定股东红利分配制度，制定分红保险等有关保险产品的红利分配方案；（六）参与资产负债配置管理，参与决定投资方案或者参与拟定资产配置指引；（七）参与制定业务营运规则和手续费、佣金等中介服务费用给付制度；（八）根据中国保监会和国家有关部门规定，审核95、签署公开披露的有关数据和报告；（九）根据中国保监会规定，审核、签署精算报告、内含价值报告等有关文件；（十）向保险公司和中国保监会报告重大风险隐患；（十一）中国保监会或者保险公司章程规定的其他职责。总精算师有权参加涉及其职责范围内相关事务的保险公司董事会会议，并发表专业意见。总精算师有权获得履行职责所需的数据、文件、资料等相关信息，保险公司有关部门和人员不得非法干预，不得隐瞒或者提供虚假信息。保险公司存在下列情形之一的，总精算师应当根据职责要求，向保险公司总经理提交重大风险提示报告，并提出改进措施：（一）出现可能严重危害保险公司偿付能力状况的重大隐患的；（二）在拟定分红保险红利分配方案等经营活96、动中，出现严重损害投保人、被保险人或者受益人合法权益的情形的。总精算师应当将重大风险提示报告同时抄报保险公司董事会。总精算师提交重大风险提示报告的，保险公司应当及时采取措施防范或者化解风险，保险公司未及时采取有关措施的，总精算师应当向中国保监会报告。总精算师不得在所任职保险公司以外的其他机构中兼职，除非（一）兼职机构与总精算师所任职保险公司之间具有控股关系；（二）总精算师在精算师专业组织中兼职从事不获取报酬的活动；（三）中国保监会规定的其他情形。总精算师因辞职、被免职或者被撤职等原因离职的，保险公司应当自作出批准辞职或者免职、撤职等决定之日起30日以内，向中国保监会报告。（三）财务管理组织架构97、根据保险公司财务负责人任职资格管理规定（保监会令20084号）、保险公司董事、监事和高级管理人员任职资格管理规定（保监会令20102号）等有关规定，保险公司应当设立财务负责人职位。财务负责人，是指保险公司负责会计核算、财务管理等企业价值管理活动的总公司高级管理人员。财务负责人向董事会和总经理报告工作。保险公司应当规定董事会每半年至少听取一次财务负责人就保险公司财务状况、经营成果以及应当注意问题等事项的汇报。保险公司应当规定财务负责人有权列席与其职责相关的董事会会议。财务负责人履行下列职责：（一）负责会计核算和编制财务报告，建立和维护与财务报告有关的内部控制体系，负责财务会计信息的真实性；（二）98、负责财务管理，包括预算管理、成本控制、资金调度、收益分配、经营绩效评估等；（三）负责或者参与风险管理和偿付能力管理；（四）参与战略规划等重大经营管理活动；（五）根据法律、行政法规和有关监管规定，审核、签署对外披露的有关数据和报告；（六）中国保监会规定以及依法应当履行的其他职责。财务负责人有权获得履行职责所需的数据、文件、资料等相关信息，保险公司有关部门和人员不得进行非法干预，不得隐瞒信息或者提供虚假信息。根据保险法、国务院对确需保留的行政审批项目设定行政许可的决定、保险公司高级管理人员任职资格管理规定的规定，保险公司总公司财务部门负责人任职资格须经保监会批准。（四）法律管理组织架构根据国务院对99、确需保留的行政审批项目设定行政许可的决定、财产保险公司保险条款和保险费率管理办法、人身保险产品审批和备案管理办法等有关规定，保险公司应当指定一名法律责任人；法律责任人任职资格须经保监会核准。根据保险公司内部控制基本准则，保险公司在制度制定、合同订立和管理、重大事项决策和处置、纠纷诉讼等方面，应当有法律职能部门和专业人员的提前介入和充分参与，防范法律风险。（五）合规管理组织架构合规管理是保险公司通过设置合规管理部门或者合规岗位，制定和执行合规政策，开展合规监测和合规培训等措施，预防、识别、评估、报告和应对合规风险的行为。合规管理是保险公司全面风险管理的一项核心内容，也是实施有效内部控制的一项基础100、性工作。根据关于规范保险公司治理结构的指导意见（试行）（保监发20062号）、保险公司合规管理指引（保监发200791号）、保险公司董事、监事和高级管理人员任职资格管理规定（保监会令2010第2号）等有关规定：保险公司应当设立合规负责人职位。合规负责人是保险公司总公司的高级管理人员，任职责任须经中国保监会核准。合规负责人不得兼管公司的业务部门和财务部门。合规负责人既向管理层负责，也向董事会负责，并向中国保监会及时报告公司的重大违规行为。合规负责人负责公司合规管理方面的工作，定期就合规方面存在的问题向董事会提出改进建议。保险公司应当设立合规管理部门。合规管理部门负责对产品开发、市场营销和对外投资101、等重要业务活动进行合规审查，对公司管理制度、业务规程和经营行为的合规风险进行识别、评估、监测并提交合规报告。合规报告应当经合规负责人审核并签字认可。合规管理部门应当独立于业务和财务部门。业务规模较小、没有条件成立专职合规管理部门的保险公司，应当采取其它方式强化合规管理职能。保险公司董事会对公司的合规管理承担最终责任。董事会、董事会审计委员会、监事会、总经理、合规负责人、贺贵部门应履行相应的合规职责。保险公司应当制订合规政策，经董事会审议通过后报中国保监会备案。（六）风险管理组织架构关于规范保险公司治理结构的指导意见（试行）（保监发20062号）、保险公司风险管理指引（试行）（保监发200723102、号）、人身保险公司全面风险管理实施指引（保监发201089号）等有关规定：保险公司应当建立由董事会负最终责任、管理层直接领导，以风险管理机构为依托，相关职能部门密切配合，覆盖所有业务单位的风险管理组织体系。保险公司可以在董事会下设立风险管理委员会负责风险管理工作。风险管理委员会成员应当熟悉保险公司业务和管理流程，对保险经营风险及其识别、评估和控制等具备足够的知识和经验。没有设立风险管理委员会的，由审计委员会承担相应职责。保险公司可以设立由相关高级管理人员或者部门负责人组成的综合协调机构，由总经理或者总经理指定的高级管理人员担任负责人。保险公司应当设立风险管理部门，或者指定工作部门具体负责风险管103、理相关事务工作。风险管理部门负责对公司的风险状况进行检查并定期提交风险评估报告。风险评估报告应当经总经理或其指定的管理层成员审核并签字认可。（七）信息化管理组织架构根据保险公司信息化工作管理指引（试行），各公司应建立信息化工作委员会，明确其工作职责和工作制度。定期或根据需要召开工作会议，对信息化工作重大事项决策研判，并提交公司最高决策层批准实施。信息化工作委员会负责人应由公司高级管理人员担任，组成人员应包括信息技术、业务、财务、人事、发展规划和风险控制等部门的负责人。有条件的公司可聘请外部专家参加。各公司应设立首席信息官或指定公司高级管理人员作为信息化工作的直接责任人。直接责任人应负责公司信息104、化建设工作，并参与公司经营、管理和决策，其任职条件应符合监管部门规定。各公司应建立组织结构合理、人员岗位分工明确的信息技术部门。信息技术部门负责信息化工作相关的规划、建设、管理和运维等工作。（八）内部审计管理架构关于规范保险公司治理结构的指导意见（试行）（保监发20062号）、保险公司内部审计指引（试行）（保监发200726号）的规定：保险公司应当建立与其治理结构、管控模式、业务性质和规模相适应，费用预算、业务管理和工作考核等相对独立的内部审计体系。（1）保险公司董事会对内部审计体系的建立、运行与维护负有最终责任。没有设立董事会的，公司总经理承担最终责任。保险公司应当在董事会下设立审计委员会。105、审计委员会成员由三名以上不在管理层任职的董事组成。已建立独立董事制度的，应当由独立董事担任主任委员。董事会审计委员会应当至少每半年一次向董事会报告审计工作情况，并通报管理层和监事会。保险公司董事会审计委员会在审议议案和报告时，可以要求内部审计人员列席，对相关事项做出说明或者回答董事的提问。保险公司董事会审计委员会和管理层应当至少每季度一次听取审计责任人关于审计工作进展情况的报告。内部审计年度工作计划、审计预算应当在征求管理层意见后，报董事会审计委员会批准。没有设立董事会的，由总经理批准。（2）保险公司应当设立审计责任人职位。审计责任人既向管理层负责，也向董事会负责。审计责任人由总经理提名，报董106、事会聘任。没有设立董事会的保险公司，审计责任人由管理层聘任。审计责任人的聘任和解聘应当向中国保监会报告。审计责任人不得同时兼任公司财务或者业务工作的领导职务。保险公司内部审计责任人应当至少每年一次向审计委员会和管理层提交内部控制评估报告和审计工作报告。（3）保险公司应当建立独立的内部审计部门。内部审计部门应当与内控管理职能部门分离。内部审计部门负责对保险公司的业务、财务进行审计，对内控进行检查并定期提交内控评估报告。内部审计部门的工作不受其他部门的干预或者影响。鼓励保险公司实行内部审计部门的集中化或者垂直化管理。保险公司应当加强对内部控制的审计检查，定期根据检查结果对内部控制的健全性、合理性和107、有效性进行评估，并按照规定的报告路线及时向审计对象、合规管理职能部门和上级领导进行反馈和报告。内部审计部门应当每年对公司内部控制的健全性、合理性和有效性进行全面评估，出具内部控制评估报告。内部控制评估报告应当至少包括以下内容：（一）公司内部控制基本情况；（二）本年度完善内部控制的措施及上年度内部控制缺陷的改善情况；（三）目前内部控制存在的问题和缺陷；（四）下一年度改进内部控制的计划。（4）保险公司应当配备足够数量的内部审计人员。专职内部审计人员原则上应当不低于公司员工人数的千分之五。保险公司员工人数不足一百人的，至少应当有一名专职内部审计人员。专职内部审计人员应当具有大专以上学历，具备相应的专108、业知识和工作能力。（5）保险公司董事会审计委员会、总经理、审计责任人、内部审计部门应履行相应的责任。（6）保险公司应当确保内部审计部门及专职内部审计人员履行职责所需的权限（7）保险公司应当按照以下要求向中国保监会报告：（一）每年四月三十日前向中国保监会提交内部审计工作报告和经董事会审议的内部控制评估报告；（二）及时向中国保监会报告审计中发现的重大风险问题；（三）内部审计部门对下属分支公司进行审计的，应当同时将审计报告抄报审计对象所在地的中国保监会派出机构；（四）保险公司对内部审计中发现的问题未予有效整改处理的，审计责任人应当直接向中国保监会报告相关情况；（五）中国保监会要求的其他事项。（九）其109、他组织架构管理1、分支机构管控。保险公司应当通过授权委托书或内部管理规定等方式，根据总公司的战略规划和管理能力，统一制定分支机构组织设置、职责权限和运营规则，建立健全分支机构管控制度，实现对分支机构的全面、动态、有效管控。保险公司应当通过规范的授权方式，对不同层级分支机构的业务流程、财务和资金管理、人力资源管理、行政管理、内部控制建立统一、标准、明确的管理要求。保险公司可以根据不同分支机构的经营和管控能力，在有章可循和可调控的前提下，适度采取差异化的业务政策或控制权限，提高分支机构的业务发展能力。保险公司应当通过信息技术手段和明确的报告要求，全面、实时、准确掌控分支机构经营管理信息，定期对分支110、机构的业务、财务和风险状况进行分析和监测，实现对分支机构经营管理的过程控制。保险公司应当从业务、合规和风险等方面全面、科学设置分支机构考核目标，加强对分支机构及其高管人员的审计监督，严格执行公司问责制度，确保分支机构依法合规经营。2、行政管理组织体系。保险公司应当分别制定相应制度，规范采购、招投标、品牌宣传、文件及印章管理、后勤保障等行政管理行为，提高行政管理效率，为公司高效运转提高有力支持。保险公司应当明确采购及招投标的程序、条件和要求，规范采购行为，尽可能实现集中统一采购，降低采购成本，防范舞弊风险。保险公司应当统筹规划、合理配置品牌宣传和商业广告资源，统一公司品牌标识、职场视觉形象、员工111、礼仪和服务规范等，整合、提升公司的品牌形象。保险公司应当制定文件及印章管理制度，确保文件流转安全顺畅、保存完整，合理设置印章的种类，规范印章设计、刻制、领取、交接、保管、使用和销毁等控制事项，加强用印审批登记和档案管理。3、其他。包括计划财务、资金运用等其他方面的组织架构控制的内容，请参阅具体业务分册。三、发展战略1、根据企业内部控制配套指引（财会201011号）的企业内部控制应用指引第2号发展战略，企业应当在董事会下设立战略委员会，或指定相关机构负责战略管理工作。企业应当明确战略委员会的职责和议事规则，对战略委员会会议的召开程序、表决方式、提案审议、保密要求和会议记录等作出规定，确保议事过程112、规范透明、决策程序科学民主。战略委员会应当组织有关部门对发展目标和战略规划进行可行性研究和科学论证，形成发展战略建议方案；必要时，可借助中介机构和外部专家的力量为其履行职责提供专业咨询意见。战略委员会成员应当具有较强的综合素质和实践经验， 其任职资格和选任程序应当符合有关法律法规和企业章程的规定。董事会应当严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。董事会在审议方案中如果发现重大问题，应当责成战略委员会对方案作出调整。企业的发展战略方案经董事会审议通过后，报经股东（大）会批准实施。企业应当根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实；同时完善发113、展战略管理制度，确保发展战略有效实施。企业应当重视发展战略的宣传工作，通过内部各层级会议和教育培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层级和全体员工。 战略委员会应当加强对发展战略实施情况的监控，定期收集和分析相关信息，对于明显偏离发展战略的情况，应当及时报告。 由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化，确需对发展战略作出调整的，应当按照规定权限和程序调整发展战略。2、根据保险公司内部控制基本准则：保险公司应当强化战略规划职能，规范战略规划中的信息收集、战略决策制定、论证和审批、决策执行评估和跟踪反馈等控制事项，为研发机构提供必备的人力财力保障114、，提高战略研究的指导性和实用性，确保公司经营目标的合理性和决策的科学性。保险公司应当加强对国内外宏观经济金融形势、自身经营活动及业务发展情况的及时分析和深入研究，合理制定、及时调整公司整体经营管理流程与组织架构设置，制定科学的业务发展规划，并为公司的承保和投资等业务活动提供及时、有效的决策支持。保险公司应当加强对公司业务经营情况的实时分析，定期分析评估经营管理和财务状况，合理设定分支机构经营计划和绩效指标，并实时予以指导和监督，保证公司战略目标有效执行。四、人力资源根据国际内部审计师协会（IIA）国际内部审计专业实务框架中的定义，人力资源管理是指根据组织发展战略的要求，有计划地对人力资源进行合115、理分配，通过对组织中员工的照片、培训、使用、考核、激励、调整等一系列过程，调动员工的积极性，发挥员工的潜能，为组织创造价值，确保组织战略目标的实现。人力资源管理是组织的一系列人力资源政策以及相应的管理活动，主要包括人力资源战略的制定、员工的招聘与选拔、培训与开发、绩效与薪酬管理、员工流动管理、员工关系管理、员工的照片与选拔等一些了活动，最终达到实现组织发展目标的一种管理行为。1、根据企业内部控制配套指引（财会201011号）的企业内部控制应用指引第3号人力资源：企业应当重视人力资源建设，根据发展战略，结合人力资源现状和未来需求预测，建立人力资源发展目标，制定人力资源总体规划和能力框架体系，优化116、人力资源整体布局，明确人力资源的引进、开发、使用、培养、考核、激励、退出等管理要求，实现人力资源的合理配置，全面提升企业核心竞争力。企业应当根据人力资源总体规划，结合生产经营实际需要，制定年度人力资源需求计划。 企业应当根据人力资源能力框架要求，明确各岗位的职责权限、任职条件和工作要求，通过公开招聘、竞争上岗等多种方式选聘优秀人才。企业选聘人员应当实行岗位回避制度。 企业确定选聘人员后，应当依法签订劳动合同，建立劳动用工关系。企业应当与该岗位员工签订有关岗位保密协议，明确保密义务。 企业应当建立选聘人员试用期和岗前培训制度。试用期满考核合格后，方可正式上岗；试用期满考核不合格者，应当及时解除劳117、动关系。企业应当重视人力资源开发工作，建立员工培训长效机制。 企业应当建立和完善人力资源的激励约束机制， 设置科学的业绩考核指标体系，对各级管理人员和全体员工进行严格考核与评价，以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据。企业应当制定与业绩考核挂钩的薪酬制度，切实做到薪酬安排与员工贡献相协调，体现效率优先，兼顾公平。企业应当制定各级管理人员和关键岗位员工定期轮岗制度，明确轮岗范围、轮岗周期、轮岗方式等。企业应当按照有关法律法规规定，结合企业实际，建立健全员工退出（辞职、解除劳动合同、退休等）机制，明确退出的条件和程序，确保员工退出机制得到有效实施。企业对考核不能胜任岗位要求的员工118、，应当及时暂停其工作，安排再培训，或调整工作岗位，安排转岗培训；仍不能满足岗位职责要求的，应当按照规定的权限和程序解除劳动合同。企业当与退出员工依法约定保守关键技术、商业秘密、国家机密和竞业限制的期限，确保知识产权、商业秘密和国家机密的安全。关键岗位人员离职前，应当根据有关法律法规的规定进行工作交接或离任审计。 企业应当定期对年度人力资源计划执行情况进行评估，总结人力资源管理经验，分析存在的主要缺陷和不足，完善人力资源政策。2、根据保险公司内部控制基本准则：保险公司应当建立人力资源管理制度，规范岗位职责及岗位价值设定、招聘、薪酬、绩效考核、培训、晋级晋职、奖惩、劳动保护、辞退与辞职等控制事项，119、为公司经营管理和持续发展提供人力资源支持。保险公司应当根据经营管理需要，合理设定工作岗位及人员编制，制定清晰的岗位职责及报告路线，明确不同岗位的适任条件，适时进行岗位价值评估。保险公司应当明确员工招聘、薪酬管理、轮岗晋级、辞职辞退等工作的标准、程序和要求，合理制定不同岗位的绩效考核指标、权重及考核方式和程序，建立与公司发展相适应的激励约束机制。保险公司应当制定系统的员工培训计划，明确规定不同专业岗位员工培训的时间、内容、方式和保障等，提高员工的专业素质和胜任能力。五、企业文化企业文化，是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行120、为规范的总称。1、根据企业内部控制配套指引（财会201011号）的企业内部控制应用指引第5号企业文化：企业应当采取切实有效的措施，积极培育具有自身特色的企业文化，引导和规范员工行为，打造以主业为核心的企业品牌，形成整体团队的向心力，促进企业长远发展。企业应当培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。企业应当根据发展战略和实际情况，总结优良传统，挖掘文化底蕴，提炼核心价值，确定文化建设的目标和内容，形成企业文化规范，使其构成员工行为守则的重要组成部分。 董事、监事、经理和其他高级管理人员应当在企业文化建设中发挥121、主导和垂范作用，以自身的优秀品格和脚踏实地的工作作风，带动影响整个团队，共同营造积极向上的企业文化环境。 企业应当促进文化建设在内部各层级的有效沟通，加强企业文化的宣传贯彻，确保全体员工共同遵守。企业文化建设应当融入生产经营全过程，切实做到文化建设与发展战略的有机结合，增强员工的责任感和使命感，规范员工行为方式，使员工自身价值在企业发展中得到充分体现。企业应当加强对员工的文化教育和熏陶，全面提升员工的文化修养和内在素质。企业应当建立企业文化评估制度，明确评估的内容、程序和方法，落实评估责任制，避免企业文化建设流于形式。企业文化评估，应当重点关注董事、监事、经理和其他高级管理人员在企业文化建设中122、的责任履行情况、全体员工对企业核心价值观的认同感、企业经营管理行为与企业文化的一致性、企业品牌的社会影响力、参与企业并购重组各方文化的融合度，以及员工对企业未来发展的信心。企业应当重视企业文化的评估结果，巩固和发扬文化建设成果，针对评估过程中发现的问题，研究影响企业文化建设的不利因素，分析深层次的原因，及时采取措施加以改进。2、根据保险公司内部控制基本准则：保险公司应当培育领导高度重视、内控人人有责和违规必受追究的内控企业文化，形成以风险控制为导向的管理理念和经营风格，提高全体员工的风险防范意识，使内控制度得到自觉遵守。六、社会责任根据企业内部控制配套指引（财会201011号）的企业内部控制应123、用指引第4号社会责任：企业应当重视履行社会责任，切实做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调，实现企业与员工、企业与社会、企业与环境的健康和谐发展。 企业应当根据国家有关安全生产的规定，结合本企业实际情况，建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度，切实做到安全生产。 企业应当按照国家有关环境保护与资源节约的规定，结合本企业实际情况，建立环境保护与资源节约制度。企业应当通过宣传教育等有效形式，不断提高员工的环境保护和资源节约意识。 企业应当建立环境保护和资源节约的监控制度，定期开展监督检查，发现问题，及时采取措施予以纠正。企业应当依法124、保护员工的合法权益，贯彻人力资源政策，保护员工依法享有劳动权利和履行劳动义务，保持工作岗位相对稳定，积极促进充分就业，切实履行社会责任。应当避免在正常经营情况下批量辞退员工，增加社会负担。企业应当与员工签订并履行劳动合同，遵循按劳分配、同工同酬的原则，建立科学的员工薪酬制度和激励机制，不得克扣或无故拖欠员工薪酬。企业应当建立高级管理人员与员工薪酬的正常增长机制，切实保持合理水平，维护社会公平。企业应当及时办理员工社会保险，足额缴纳社会保险费，保障员工依法享受社会保险待遇。企业应当按照有关规定做好健康管理工作，预防、控制和消除职业危害；按期对员工进行非职业性健康监护，对从事有职业危害作业的员工进125、行职业性健康监护。企业应当遵守法定的劳动时间和休息休假制度，确保员工的休息休假权利。 企业应当加强职工代表大会和工会组织建设，维护员工合法权益，积极开展员工职业教育培训，创造平等发展机会。企业应当尊重员工人格，维护员工尊严，杜绝性别、民族、宗教、年龄等各种歧视，保障员工身心健康。企业应当按照产学研用相结合的社会需求，积极创建实习基地，大力支持社会有关方面培养、锻炼社会需要的应用型人才。 企业应当积极履行社会公益方面的责任和义务，关心帮助社会弱势群体，支持慈善事业。第二节 公司治理审计一、公司章程审计风险点是否依法合规制定、修改公司章程相关法律法规和监管规定公司法第十一条、第二十五条、第八十二条126、，保险法第六十八条、第八十四条，关于规范保险公司章程的意见（保监发200857号）等审计程序和方法1、获取公司章程，检查是否包括公司法中公司章程应当载明的事项，如：检查是否建立了严格的会计政策管理制度，并对会计政策的制定、财务报表的编制、汇报等工作提出明确要求；是否明确了对关联交易、信息披露、内控合规、内部审计等制度的规定，对于公司的分立、合并、解散及清算作出规定。是否对股权结构合理性，经营范围，股东决议，职工和工会等方面做出合理规定；是否明确了组织架构及其职权；是否规定了董事、监事及高管人员的职责义务；是否明确三会的议事规则等。2、评估公司章程中对董事、监事及高管人员的职责和权力划分是否合理127、，如：是否充分考虑了相互制衡、是否存在交叉；是否符合相关法律法规等要求。3、获取公司章程的历次修改记录、审批记录、相应的公司董事会、股东会会议记录和决议、监管部门的批复记录，查看历次修改是否按照监管规定的步骤（1）有提案权的股东或机构向股东大会提出章程修改的提案；（2）股东大会对章程修改提案进行表决，决议必须经出席会议的股东所持表决权的三分之二以上通过；（3）公司向中国保监会报送章程修改审核申请；（4）公司根据中国保监会的审核反馈意见，对章程进行修改。修改后的公司章程符合相关规定的，中国保监会依法作出批复；公司章程以批复文本为准；（5）向公司登记机关办理变更登记）实施。检查是否在公司章程正文前128、，用表格形式列明章程的制定及历次修改情况，包括作出章程修改决议的时间、会议名称、中国保监会的批准文件文号。4、评估公司章程是否得到有效执行。如，通过股东大会、董事会、监事会以及经理层的会议记录，并评估各方面是否履行了应尽的职责。再如，通过访谈、调阅会议记录、文件签批记录等方式，了解监事会是否按公司章程中规定的职责开展工作；监事会是否对股东负责，对公司财务以及公司董事和经理层履行职责的合法、合规进行监督；监事会发现董事、经理层或其他高级管理人员存在违法违规行为，是否向董事会及股东大会反应，以维护公司及股东的利益等。案例：公司章程修改后未报批案情介绍：某公司三次修改章程均未向监管部门申请报批。审计129、过程及方法：在对某公司的例行性审计中，审计人员调阅了公司章程及其修改记录，并调阅了股东会决议等相关资料。资料显示，该公司开业后，对公司章程进行了三次修改：第一次修改：2008年第一次股东大会会议决议显示，股东大会审议通过公司章程的修订方案，增加了独立董事相关方面的规定，并在总经理室中增设财务总监一人。经与董事会秘书访谈，并调阅公司公文记录核实，公司曾于2008年底向保监会上报了关于公司章程修订方案审批的申请，但此次申请未获保监会正式批复。第二次修改：2009年度股东大会会议决议显示，股东大会审议通过公司章程的修订方案，修改了注册资本、股东名录，并增加了股东大会和董事会在公司重大资产买卖、对外股130、权投资、对外担保及关联交易等方面的权限规定。经与董事会秘书访谈，并调阅公司公文记录核实，公司此次修订公司章程未向保监会上报。第三次修改：2009年度股东大会会议决议显示，股东大会审议通过公司章程的修订方案，修改了注册资本、股东名录，并在董事会增设副董事长一至两人。经与董事会秘书访谈，并调阅公司公文记录核实，公司曾于2010年初向保监会上报关于修订公司章程的请示，但但此次申请未获保监会正式批复。风险剖析：未经批准擅自变更保险公司的章程，违反了公司法、保险法等有关规定。处理整改建议：1、处理董事会秘书等相关责任人；2、梳理公司章程修改的相关制度流程，按照监管规定的步骤：（1）有提案权的股东或机构向131、股东大会提出章程修改的提案；（2）股东大会对章程修改提案进行表决，决议必须经出席会议的股东所持表决权的三分之二以上通过；（3）公司向中国保监会报送章程修改审核申请；（4）公司根据中国保监会的审核反馈意见，对章程进行修改。修改后的公司章程符合相关规定的，中国保监会依法作出批复；公司章程以批复文本为准；（5）向公司登记机关办理变更登记。3、立即向监管部门报送有关情况的补充报告，重新申请批准章程，并办理登记等手续。4、加强制度执行力建设，督促严格按照公司法、公司章程及公司有关内控规定进行操作。二、股东与股东（大）会审计风险点股东及其出资是否合法，股东（大）会是否依法合规运作相关法律法规和监管规定公司132、法，保险法，保险公司股权管理办法等审计程序和方法1、获取公司章程及相关制度，检查是否对股东的姓名或者名称，股东的权利和义务，股东的出资方式和出资额，股东转让出资的条件，股东（大）会的议事方式和表决程序等内容做出规定。2、获取公司股东名单、持股比例、历次增资扩股、股权转让或持股比例变化等资料（股份有限公司如股东人数较多，可选取一定比例以上，如5%以上），通过询问董事长、代表相应股东的董事、引资介绍人等相关人员、调阅股东背景资料，检查股东是否符合出资入股保险公司的条件，股东之间是否存在关联关系或存在背后实际控制人而未披露和报告、委托持股或代持股、未经批准持股超过5%、持股不超过5%但没有备案，股东133、是否全部以货币形式出资出资，资金来源是否合法等情况，必要时可以通过外部调查、函证进行验证。3、有限责任公司，应检查公司是否编制股东名册，是否经过法定机构验资后给股东发放出资证明或股权证。4、调阅公司公文收发记录、询问相关人员，必要时可以通过网络搜索、外部调查、函证等方式，了解保险公司股权被采取诉讼保全、被强制执行，质押或者解质押等重大事项时，是否及时向监管部门报告。5、获取被审计期间公司所有股东（大）会会议的清单，以及历次会议通知、会议签到记录、会议日程、提交会议审议的材料、会议记录、会议决议等材料，检查上述材料是否齐全，并且检查：（1）会议召开的频率、条件是否符合公司法、公司章程的规定，如股134、份有限公司的股东大会是否每年至少召开一次年会；符合规定条件时是否召开临时大会等。（2）会议通知是否按规定时间提前通知有关股东。（3）检查签到记录，如果不是股东单位的法定代表人，是否有相应的委托授权记录。（4）检查会议是否由董事长或授权的副董事长或者其他董事主持。（5）检查是否制作、保存会议决议，并由各参会代表签字。（6）检查有限责任公司涉及增资、分立、合并、解散或者变更公司形式、修改公司章程等的决议，检查是否必须获得经代表三分之二以上表决权的股东。检查股份有限公司的股东大会作出决议，是否经出席会议的股东所持表决权的半数以上通过；对公司合并、分立或者解散公司、修改公司章程作出决议，是否出席会议的135、股东所持表决权的三分之二通过。（7）结合对董事会、监事会的审计，通过调阅相关资料、访谈等方式，检查股东（大）会是否对董事、监事的任免和薪酬、增资、利润分配、修改章程等法定应当有股东（大）会审议的事项进行审议，而非由经营层或董事会决定。（8）调阅相应的公司收发文记录，检查每次股东大会是否向监管部门报告公司股东大会会议通知及决议。（9）必要时，可以通过外部调查、函证、比对会议代表行踪等方式，了解是否存在会会议记录造假、舞弊等情况。（10）如果采取通讯表决等形式召开的，应当根据公司章程等制度规定，参照上述要求进行检查。案例：委托持股或代持股未报告案情介绍：某保险公司的股东替另一股东代持保险公司股权，136、以规避监管。审计过程及方法：在对某公司的例行性稽查审计中，稽查审计人员调阅审核公司股东名单以及每个股东的背景资料发现，天津某商贸公司以1.2亿元入股发起设立该保险公司、占12%的股权，但检查该股东背景资料以及工商部门注册资料发现，该公司初始注册资本仅为500万元，在参股保险公司一个月前被其他机构大额注资收购，且公司未派出董事，也未参与公司经营决策活动。通过询问董事长、代表相应股东的董事、引资介绍人等相关人员发现，该股东（天津某商贸公司）是替另一股东（北京某集团）代持股的，目的是为了规避保监会有关“保险公司单个股东（包括关联方）出资或者持股比例不得超过保险公司注册资本的20%”的规定；引资介绍人137、提供了相关代持股协议书。风险剖析：委托持股、提供虚假资料获取行政许可的行为违反了公司法、保险法等有关规定。处理整改建议：1、处理董事会秘书等相关责任人；2、立即向监管部门报告有关情况，听候监管部门处分；3、加强制度执行力建设，严格落实公司法、保险法、保监会监管规定、公司章程及公司相关内控规定。三、董事、独立董事、董事会及其下设委员会审计风险点董事、独立董事是否尽职、董事会及其下设委员会运作是否规范相关法律法规和监管规定公司法，保险法，保险公司董事、监事和高级管理人员任职资格管理规定，保险公司董事会运作指引，保险公司独立董事管理暂行办法等审计程序和方法1、获取公司章程及相关制度，检查是否对董事会138、及其下设委员会的职责、议事方式和表决程序、董事的任免程序、独立董事的人数职权等事项做出规定。2、检查董事会及其下设委员会、独立董事的有关职责权限的规定，是否符合公司法、保险公司董事会运作指引保险公司独立董事管理暂行办法等有关规定。3、获取被审计期间公司所有董事会会议的清单，以及历次会议通知、会议签到记录、会议日程、提交会议审议的材料、会议记录、会议决议等材料，检查上述材料是否齐全，并且检查：（1）是否每年度至少召开二次会议。（2）每次会议是否于会议召开十日以前通知全体董事。（3）检查签到记录是否有二分之一以上的董事出席；检查是否存在违反公司法，由非董事代理出席的情况；书面委托其他董事代为出席董139、事会的，是否由书面委托书并载明授权范围。（3）检查是否制作保存会议决议，并由各参会代表签字。（4）检查所有决议是否经全体董事的过半数通过。（5）结合对股东（大）会的审计，通过调阅相关资料、访谈等方式，检查是否存在违反公司法，对董事、监事的任免和薪酬、增资、利润分配、修改章程等法定应当有股东（大）会审议的事项进行审议。（6）调阅相应的公司收发文记录，检查每次董事会是否向监管部门报告公司股东大会会议通知及决议。（7）必要时，可以通过外部调查、函证、比对会议代表行踪等方式，了解是否存在会会议记录造假、舞弊等情况。（8）如果采取通讯表决等形式召开的，应当根据公司章程等制度规定，参照上述要求进行检查。3140、获取公司董事会及其下设委员会的架构、人员构成以及相应的背景资料，检查是否设立了审计委员会、提名薪酬委员会，这两个委员会是否均由三名以上不在管理层任职的董事组成，独立董事担任主任委员。4、调阅被审计期间审计委员会、提名薪酬委员会会议清单，以及历次会议通知、会议签到记录、会议日程、提交会议审议的材料、会议记录、会议决议等材料，检查上述材料是否齐全，并且参照上述董事会会议检查的方法，检查有关会议通知、授权委托、决议签字等内容。5、提名薪酬委员会的检查重点在于有关管理层的任免、薪酬的议案是否经提名薪酬委员会审议通过后，报董事会会议批准；结合股东（大）会、董事会的审计，是否存在越权审议董事任免、薪酬等141、情况，或者不经过提名薪酬委员会和董事会擅自决定经营层的任免、薪酬等事宜。6、获取被审计期间所有董事、独立董事人员名单、换届、任免、薪酬等资料，检查有关任免是否符合法律程序，是否经过监管部门审批或将任免文件及时抄报监管部门。7、检查独立董事比例是否监管规定，所有独立董事是否均在指定的报纸媒体发表独立性声明，是否每年向股东大会提交尽职报告等。8、调阅公司董事会公文收发记录，与董事长、独立董事等人访谈，了解董事会运作情况，独立董事是否发挥法定职责，能否获得充分信息和资源，是否存在履职困难，是否存在独立董事丧失独立性、连续三次未亲自出席董事会会议等情况。案例：董事长、独立董事、董事会秘书未尽职案情介绍142、：某保险公司董事长、独立董事、董事会秘书未按公司法、保险法、监管规定和公司章程履行应尽的职责。审计过程及方法：在对某公司的例行性稽查审计中，稽查审计人员通过调阅董事会会议纪要、内外部公文签发记录等材料，并与董事长、独立董事、董事会秘书等人访谈核实：1、董事长自年初至今未签发董事会办公室发文，包括向监管机构报送的文件和报告等，而是由某坐班董事代为签发；年初至今的所有董事会会议均由该坐班董事主持；此外，该坐班董事事实上还负责协调股东关系、审核公司经营重大费用支出等公司章程规定的属于董事长职责的重大事项，但上述情况没有任何书面文件或授权记录。根据上述情况，稽查审计人员认定，公司董事长未履行公司章程规143、定的董事长的部分职责，且未经书面授权将部分董事长的职责交由某坐班董事履行。2、两名独立董事任职两年多来，仅参加过公司一次提名薪酬委员会，且未向公司股东大会提交过年度尽职报告。根据上述情况，稽查审计人员认定，公司独立董事未尽职。3、董事会秘书对于股东大会和董事会未执行会议记录制度，修改公司章程未报监管部门，未向保监会专门报告过董事辞职等重要情况。根据上述情况，稽查审计人员认定，公司董事会秘书未尽职。风险剖析：董事长、独立董事、董事会秘书的上述行为，违反了公司法、保险法等有关规定。处理整改建议：1、处理董事长、独立董事、董事会秘书等相关责任人；2、立即向监管部门报告有关情况，听候监管部门处分；3、144、加强制度执行力建设，严格落实公司法、保险法、保监会监管规定、公司章程及公司相关内控规定。四、监事和监事会审计风险点监事是否尽职、监事会运作是否规范相关法律法规和监管规定公司法，关于规范保险公司章程的意见（保监发200857号）等审计程序和方法1、获取公司章程、监事会议事规则相关制度，检查是否对监事的产生、薪酬及监事会的职责、议事方式和表决程序等事项做出规定。2、检查有关监事会的规定是否符合公司法，如监事由股东代表和适当比例的公司职工代表组成，股东代表出任的监事由股东（大）会选举和更换；职工代表由公司职工民主选举产生等。3、调阅监事会所有成员名单、背景资料、任免记录等材料，检查是否存在董事、经理145、及财务负责人兼任监事的情况，职工监事是否符合公司章程的比例。3、参照对董事会会议的检查方法，检查被审计期间公司所有监事会会议情况。4、调阅董事会签到记录、会议记录、决议等资料，检查监事是否列席董事会会议。5、调阅股东（大）会签到记录、会议记、决议录等资料，检查监事会是否向股东（大）会汇报工作，监事的任免、薪酬是否由股东（大）会决定等。6、调阅被审计期间监事会公文收发记录、监事会工作报告等资料，检查监事会是否依法尽责。案例：监事会没有职工代表参加案情介绍：某公司监事会成员没有职工代表。审计过程及方法：在对某公司的例行性审计中，审计人员调阅了公司监事会成员名单及其背景资料发现：该公司监事会成员共3146、人，均由股东委派，而没有职工代表参加。风险剖析：监事会没有职工代表参加，违反了公司法、关于规范保险公司章程的意见等有关规定。处理整改建议：建议公司立即召开职工代表大会，选举产生职工监事参与监事会。五、关联交易管理审计风险点关联交易管理是否规范相关法律法规和监管规定公司法，保险法，保险集团公司管理办法（试行），保险公司关联交易管理暂行办法等审计程序和方法1、调阅关联交易管理制度，检查是否包括关联方的报告、识别、确认和信息管理，关联交易的范围和定价方式，关联交易的内部审查程序，关联交易的信息披露、审计监督和违规处理等内容；2、调阅公司关联方信息档案，访谈股东代表、董事等相关人员，必要时调查函证或当147、地工商管理部门网站查询，核实股东单位之间是否存在关联或交叉持股情况，了解公司关联关系情况（包括关联方的名称、地址、联系方式、法定代表人、主要高管人员等信息），了解股东单位董事及高管人员是否存在关联或交叉任职情况，检查股东之间是否存在关联关系；股东之间关联关系的情况是否已向保监会报告。3、通过调阅公司成立以来所有关联交易事项的审批流程、金额及事由，查阅公司与股东单位、关联企业往来的文件信函等资料，查阅公司相关会议记录，检查关联交易事项审批是否合法合规。通过外部调查、函证等方法，搜集股东关联企业特别是上市公司的对外信息披露情况，了解有无遗漏的关联交易事项。4、调阅公司向保监会提交的重大关联事项报告148、，核实其是否按规定及时、准确的报送。案例：没有充分识别关联方、关联交易管理不合规案情介绍：某公司没有充分识别关联方。审计过程及方法：在对某公司的例行性审计中，审计人员调阅了公司关联方名单等关联方信息档案发现：该公司明确了32家关联方，其中9家为公司股东，23家为公司股东的控股股东。但是检查发现，保险公司关联交易管理暂行办法规定的其他以股权关系为基础的关联方和以经营管理权为基础的关联方，公司均未进行识别和确认。例如，未识别股东的实际控制人，董事及管理层家族企业等关联方。风险剖析：未充分识别管理方、可能导致重大管理交易未经批准，损害公司利益，违反了公司法、保险法等有关规定。处理整改建议：对关联方进149、行全面清查与整改，完善关联方信息档案；根据公司法、保险法以及监管部门有关关联交易管理的监管规定、公司内部关联交易管理制度，全面清查关联交易管理方面存在的管控漏洞，并逐一进行整改完善。六、董事、监事、高管任免、薪酬管理审计风险点董事、监事、高管任免薪酬管理是否规范相关法律法规和监管规定公司法，保险法等审计程序和方法1、调阅公司章程、薪资管理办法等制度文件，检查是否对董事、监事、高管人员任免（包括任职要求、资质、提名任命流程）、薪酬等内容作出规范。2、检查有关规定对董事、监事、高管人员任免、薪酬决定程序是否符合公司法的规定，如董事、监事的任免、薪酬必须由股东（大）会决定，高管任免、薪酬必须经过董事150、会及其提名薪酬委员会决定；高管任免必须报经监管部门批准或备案等。3、获取被审计期间董事、监事、高管人员名单，以及任免情况，检查是否经过规定的程序决定，并报经监管部门批准后履职；任职、免职文件是否抄报监管部门，离职是否及时向监管部门报告。4、了解高管人员及员工薪酬的确定原则，掌握公司高级管理人员和员工薪酬水平、薪酬构成、薪酬调整和薪酬发放情况。5、查阅公司薪资管理办法、员工工资核算表；查阅薪酬管理委员会会议文件；6、查阅涉及管理层收入的会计凭证，关注有关附件是否符合公司章程等有关内部制度及文件决议的规定的要求，检查核实是否存在使用不真实的发票或者没有真实经济事项背景的发票报销套取资金用于发放工资151、奖金、绩效等情况。7、查阅公司会计报表和会议凭证，和费用检查等相结合，抽查是否存在高管以职务消费等为名，虚列费用套取资金，甚至涉嫌贪污侵占等情况。案例：假造薪酬委员会决议、发放高管薪酬案情介绍：在对某公司的例行性审计中发现，公司高管层为应付外部检查，假造薪酬委员会决议，为高管年终奖金补手续。审计过程及方法：在对高管薪酬的例行性审计中，审计人员调阅了公司高管层发放薪酬的会计明细账、凭证等资料，并调阅了董事会提名薪酬委员会的相关决议，以及董事会审批同意的决议等相关资料。资料显示，该公司全年董事会提名薪酬委员会共召开三次会议，其中第二次、第三次会议审议高管薪酬问题，公司按这两次会议议案向相关高管人152、员发放了奖金合计200余万元。但检查发现，提名薪酬委员会第二次、第三次会议只有决议而没有签到、会议记录等其他相关资料，并且也没有提交到董事会审议。经与董事会提名薪酬委员会、管理层相关人员进行访谈了解到，薪酬委员会第二次、第三次会议实际均未召开，会议决议上的签字均为董事会秘书联系相关人员在事后补签；董事会提名薪酬委员会成员之前口头沟通已经原则同意发放高管薪酬，但为应付外部检查，事后编制了提名薪酬委员会议案。风险剖析：未经提名薪酬委员会和董事会批准擅自发放高管薪酬、假造提名薪酬委员会等行为违反了公司法、保险法等有关规定。处理整改建议：对发现的问题进行清查与整改，清退了相关奖金；重新按程序召开董事会153、薪酬委员会审议有关事项后，再重新予以发放；对违反程序操作规定的董秘、高管等人追究责任；同时，加强制度执行力建设，督促严格按照公司法、公司章程及公司有关内控规定进行操作。案例：以假学历骗取高管任职资格案情介绍：某寿险公司接到群众举报，称A省分公司下属的B市分公司员工张某在任职竞聘过程中，以虚假学历证明骗取高管任职资格。该寿险公司组成检查组对该公司进行审计检查，查实张某在高管任职申请材料中提供虚假学历证明骗取高管资格。审计过程及方法：调阅A省分公司及B市分公司有关高管人员任职资料，并与相关人员谈话取证，核实：A省分公司提供的有关B市分公司负责人任职情况的资料是否真实、准确；A省分公司如何对其下属154、分公司上报的高管任职材料是否进行严格审核；B市分公司高管竞聘过程是否客观公正。另外，审计人员还使用了网上证书检索，并前往张某学历授予单位调阅有关档案，进行实地核实。经检查发现，张某在高管任职过程中提供了全套的任职材料，B市分公司的相关工作人员按照正常程序对材料进行了严格审查。但辨别学历证书真伪工作的专业性较强，仅靠正常的人工审查很难发现其真假。B市分公司的相关工作人员把关不严，对张某提供的学历证明在没有作深层次审查的情况下，就在任职材料上签署了“核对无误”的审查意见，认定了其提供的学历证明材料，致使张某凭借虚假学历证书骗取了高管资格。风险剖析：诚信是保险业健康快速发展的重要基石，也是保险从业人155、员所须具备的基本品质。张某作为公司管理人员，依靠提供虚假学历证明实现个人利益，这表明其个人诚信存在严重问题。若公司对这样的人委以重任，会给公司的稳定发展带来不利影响。同时，该案例也反映了公司内控机制方面存在的漏洞，体现了相关管理制度流于形式，公司管控存在风险隐患。处理整改建议：对发现的问题进行清查与整改，重视人事管理基础工作，在执行过程人事管理制度中严把审查关，使此风险隐患在源头得以控制。七、集团化管控审计（集团公司适用）风险点集团化管控是否规范相关法律法规和监管规定公司法，保险法，保险集团公司管理办法（试行）、上海证券交易所上市公司内部控制指引等审计程序和方法1、参照上述对一般保险公司的董事156、会、独立董事的检查方法之外，对保险集团公司公司治理还应重点检查：（1）独立董事是否达到或超过全部董事的三分之一。（2）董事会是否设置了战略管理委员会、风险管理委员会，并明确相关的职责。（3）检查是否设立或指定相应的职能部门，为其派驻子公司董事提供决策服务2、通过调阅公司组织架构、部门职责文件，了解集团公司是否对集团内部的人力资源、财务会计、品牌文化、内部审计、风险管理、信息系统等实施统一管理。3、通过调阅股权架构图等资料，了解公司股权架构，检查是否存在股权层级超过三层、交叉持股等问题。4、通过访谈、调阅任免文件等记录，检查是否存在子公司的高级管理人员相互兼任的问题。第三节 组织架构审计一、组织157、架构管理审计风险点保险公司及其分支机构是否建立适当的组织构架，是否规定清晰的报告路线和汇报层次，是否明确职责权限相关法律法规和监管规定企业内部控制基本规范、企业内部控制应用指引第1号 - 组织架构、保险公司内部控制基本准则等。审计程序和方法1、获取组织架构图和部门职责说明；检查公司是否根据经营需要搭建架构，职能有没有重复或是不相容的事务在同一部门下，公司是否建立适当的组织架构、适当的汇报层次；随机选取部分不同层级的员工和管理层，对其知晓的组织架构进行询问；同时了解其对于现行架构是否支持其自身工作的评价。2、获取公司岗位职责分工和岗位职责说明书；询问并抽查是否每个岗位都有对应的岗位职责说明书；岗158、位职责说明书中是否明确规范了具体的工作职责、报告路线、资质认证等；随机选取部分不同层级的员工和管理层，询问其岗位职责以确保与现有岗位职责说明书保持一致。3、获取公司的授权审批表；检查公司是否按照性质、金额建立了适当的逐级授权审批制度。二、经营管理层任职履职情况审计风险点经营班子职责是否明确，是否建立责任追究机制。相关法律法规和监管规定保险法、保险公司管理规定、企业内部控制基本规范等审计程序和方法1、调阅公司有关经营管理层的职责制度文件、有关经营班子的分工文件，检查是否明确各岗位职责。2、查阅公司总经理办公会会议记录和会议纪要、公文签批记录等资料，与相关人员进行谈话，了解高管人员行使职权及重大决159、策情况。3、检查公司是否建立责任追究制度。获取公司重大案件、重大行政处罚、重大风险或决策事故等情况，检查责任追究制度执行情况。三、精算管理、财务管理、法律管理、合规管理、风险管理、信息化管理、内部审计管理组织架构审计风险点保险公司是否建立精算管理、财务管理、法律管理、合规管理、风险管理、信息化管理、内部审计管理等组织架构相关法律法规和监管规定关于规范保险公司治理结构的指导意见（试行）、保险公司总精算师管理办法、保险公司财务负责人任职资格管理规定、国务院对确需保留的行政审批项目设定行政许可的决定、财产保险公司保险条款和保险费率管理办法、人身保险产品审批和备案管理办法、保险公司合规管理指引、保险公160、司风险管理指引（试行）、保险公司信息化工作管理指引（试行）、保险公司内部审计指引（试行）等审计程序和方法1、获取公司组织架构、部门职责等文件，检查公司是否按照监管要求设立总精算师、财务负责人和财务部门负责人、法律责任人、合规责任人、首席信息官、审计责任人的职位，指定高管作为风险管理协调机构的责任人，相关人员是否经过董事会任免、报监管部门审批或备案。检查公司是否设立精算、财务、法律实务、合规、信息技术、风险管理、内部审计等部门。2、获取各有关人员的岗位说明书、各相关部门的职责规定，检查是否明确有关职责。3、通过调阅相关公文审批记录、会议记录、访谈等方式，了解其实际履职情况；检查是否每年定期将合规161、报告、风险管理报告、审计报告报送董事会审议；检查是否按照规定经相关权限人员签署后，及时报送财务报告、偿付能力报告等相关工作报告；检查是否制定合规政策，经董事会审议通过后报保监会备案等。详细监管要求，请参阅第一节组织架构的有关内容。第四节 发展战略、人力资源、企业文化、社会责任审计一、发展战略审计风险点发展战略是否科学可行相关法律法规和监管规定保险公司内部控制基本准则、企业内部控制应用指引第2号发展战略审计程序和方法1、获取公司发展战略相关管理制度，检查该制度是否符合内控指引要求，如对战略的制定、审批、实施等全过程作出规定。2、通过调阅公司组织架构图、部门职责文件，通过访谈等形式，了解企业是否在162、董事会下设立战略委员会，或指定相关机构负责发展战略管理工作。（1）如董事会下设战略委员会，获取战略委员会章程和议事规则，检查是否明确战略委员会的职责和议事规则，检查是否对战略委员会会议的召开程序、表决方式、提案审议、保密要求和会议记录等作出规定。获取董事会审议发展战略的所有会议相关议案、决议、会议记录等文件，检查是对所有战略方案进行审议；如果发现重大问题，战略委员会是否及时对方案作出调整；发展战略方案是否最终经董事会审议通过后批准实施。（2）如果指定相关机构负责发展战略管理工作，获取相关机构职责等文件记录，参照上述方法开展检查。3、询问并了解公司是否根据发展战略，制定年度工作计划，编制全面预算163、。获取公司年度工作计划和全面预算资料, 检查是否将年度目标分解、落实；检查是否根据发展战略的变化调整计划和预算。4、通过访谈、获取发展战略相关文档（包括但不限于监控报告、战略检视会议纪要等），检查战略委员会或相关机构是否对发展战略实施情况进行有效监控，定期通过一定形式包括但不限于，讨论会及回顾会议等收集和分析相关信息，对公司业务经营情况的实时分析，定期分析评估经营管理和财务状况，合理设定分支机构经营计划和绩效指标，对于明显偏离发展战略目标的情况，及时报告董事会等。二、人力资源管理审计风险点是否建立与内部控制需要相适应的、可持续发展的人力资源政策和制度相关法律法规和监管规定企业内部控制基本规范、164、保险公司内部控制基本准则等审计程序和方法1、获取公司人力资源相关制度、政策，是否建立工会维护劳动者的权益，涉及职工重大制度是否建立合理的审批流程。获取该人力资源政策，检查政策内容是否全面的包括：员工的聘用、辞退与辞职、工作时间、员工的薪酬、考核、晋升与奖惩、培训等相关内容；检查企业是否将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准。3、获取人力资源的相关制度，检查是否明确了员工招聘、薪酬管理、轮岗晋级、辞职辞退等工作的标准、程序和要求，检查是否合理制定不同岗位的绩效考核指标和激励约束机制，相关规定是否与公司的发展相适应。4、获取人力资源部员工招聘、薪酬、离职等相关资料，检查是否按照制165、度规定的流程和标准执行，是否与职工签订劳动合同。5、了解员工考核体系，评估其是否基于个人工作绩效指标，并结合个人合规经营及风险管理方面的表现对员工进行绩效考核。6、获取员工考核资料和薪酬发放资料，检查是否按照公司规定组织实施员工考评。职工薪酬是否符合公司薪酬决策机制、薪酬制度、激励约束机制。7、询问并了解公司是否制定员工行为准则，获取员工行为准则或其他相关政策；检查是否明确员工行为的道德标准、可以接受的商业行为、保密原则、法律法规的遵循、利益冲突的解决方式、舞弊以及违规行为的汇报等；检查企业是否定期更新员工行为准则，并将更新及时告知员工。8、获取近期更新的员工行为准则，查看告知员工的时间和方式166、；检查员工是否定期签署申明，知晓并遵守员工行为准则；随机抽取5名员工检查签署情况。10、询问并了解公司是否制定系统的员工培训计划，获取员工培训计划，检查是否明确规定不同专业岗位员工培训的时间、内容、方式和保障等。11、询问并了解公司是否定期评审并持续改进培训计划，获取最新培训计划，检查其是否定期评审并持续改进。12、询问并了解公司董事、监事和高级管理人员是否按照中国保监会的规定参加培训；获取董事、监事和高级管理人员培训记录，检查董事、监事和高级管理人员按照中国保监会的规定参加培训。案例：未能制定强制休假、轮岗制度案例介绍审计人员在例行审计后向公司提出了建立强制休假、定期轮岗制度的建议，制度实施167、后挖出了公司某职员在几年内盗取客户资金累积达数百万元案件。审计过程及方法在例行审计中，审计人员可以通过如下手段，对强制休假、轮岗制度进行审计：1、询问并了解公司是否建立关键岗位员工的强制休假制度和定期岗位轮换制度；获取关键岗位员工的强制休假制度和定期岗位轮换制度，检查是否明确轮岗范围、周期、方式等。2、随机挑选关键岗位员工，检查是否严格按照强制休假制度和定期岗位轮换制度执行。3、对于多年没有休假的关键岗位，着重检查其履行的工作，查看是否有舞弊事件发生的可能性和影响。4、询问并了解公司是否建立备岗制度；获取备岗制度，检查是否明确备岗的范围、周期、方式等；检查备岗制度是否得到有效执行。5、开展财务168、流程审计工作时，检查账实相符情况发现差异；通过检查“收支独立分开”检查是否存在由同一人同时负责收支工作。在对某公司的例行审计后，审计人员发现公司没有建立强制休假、定期轮岗制度，部分关键岗位长年由一人专岗，并向公司提出了建立强制休假、定期轮岗制度的建议。制度实施后，公司发现某关键岗位职员平时工作勤勤恳恳，工作五、六年来从未请假。当实施了强制休假的举措后，代岗人员发现了一些不合常规的蛛丝马迹，立即上报领导，通过深入挖掘、取证，最终挖出了一个伪造领导签字、在几年内盗取客户资金累积达数百万元的大“硕鼠”。风险剖析通过以上案例，我们可以发现一个人在某个岗位上如果工作了较长时间(特别是5年以上)，会积累一169、定资源，若这些人手中还握有实权（或可以伪造而不被发现的“权力”）就难免滋生腐败/舞弊，而轮岗或强制休假则有助于制约这种腐败的形成。处理整改建议多环境和多岗位的全面锻炼，有助于员工开阔视野、增长才干、丰富经验。企业应制定各级管理人员和关键岗位员工定期轮岗制度，明确轮岗范围、周期、方式等，形成相关岗位员工的有序持续流动，全面提升员工素质,并激励员工，留住人才，同时也有助于控制风险、制约腐败。另外，为保证企业正常运营不会由于关键员工的生病或离职等原因中断，企业还可以建立备岗制度，同样需明确备岗的范围、周期、方式等。因此，审计人员建议公司逐步推行轮岗或强制休假制度。案例：不合理的奖金分配制度案例介绍两170、名业务员分别被派往上海和乌鲁木齐进行销售，能力强的业务员留在上海销售，能力相对弱的业务员前往乌鲁木齐销售。结果在乌鲁木齐市场开拓容易，销售得很成功，而在上海市场开拓困难，销售量较少。按照销售越多奖金越多的分配政策，被派往乌鲁木齐的销售员获得了20多万元的奖金，而去上海的销售员只获得了几千元奖金。于是这样的奖金分配结果严重打击上海销售人员的工作积极性，最终这名优秀的上海销售人员离开了公司。审计过程及方法1、询问并了解公司的奖金分配制度，获取奖金分配制度，查看奖金分配制度设置是否合理，是否在考虑销售量的同时，将市场开拓难易度、客户满意度、人员努力程度、渠道建设等作为考核指标，加以权重。2、获取销售171、人员名单，抽取相关人员进行访谈，了解员工对奖金分配制度的满意度，是否存在不合理和值得改进的反馈意见。风险剖析公司未建立与内部控制需要相适应的、可持续发展的人力资源政策和制度，仅以销售量来决定奖金数量的分配模式不合理，可能导致打击优秀员工的积极性，造成销售人员流失。处理整改建议公司可以邀请外部咨询公司做绩效考核的解决方案，建立一套以绩效目标为导向的考核机制，将业绩考核纳入到日常管理工作中。具体包括：1、把考核作为一个管理过程，循环不断的“PDCA”过程使得业务工作与考核工作紧密结合起来。2、工作绩效的考证侧重在绩效的改进上，工作态度和工作能力的考评侧重在长期表现上；3、公司的战略目标和顾客满意度172、是建立绩效改进考核指标体系的两个基本出发点。在对战略目标层层分解的基础上确定公司各部门的目标，在对顾客满意度节节展开的基础上，确定流程各环节和岗位的目标；4、绩效改进考核目标必须是可度量且重点突出的，指标水平应当是递进且具有挑战性的。有了这套考核机制，奖金的分配自然有了公平的依据。案例：绩效体系不完善案例介绍某地方保监局对辖内25家寿险公司的2009年、2010年绩效考核体系进行调研，归纳了当前寿险公司绩效考核体系的特点，发现该公司存在以下问题：（一）重业务轻管理的导向明显从各公司考核指标的分值权重看，业务发展类指标所占权重基本在70%以上，部分公司甚至接近90%，因此，完成总公司的业绩指标是173、省级公司绩效考核的“生命线”。业务品质、经营效益及管理类指标权重偏低，三类指标之和不足30%。当指标达成不能兼顾时，被考核机构必然会按权重高低对指标进行取舍，出现牺牲业务质量、甚至无视违规风险换取业绩达标的行为。（二）业务品质考核指标有待充实保监会发布的保险公司分支机构分类监管暂行办法将退保率作为衡量公司业务风险的重要指标之一，但将退保率纳入绩效考核指标的公司较少，仅4家公司将退保率作为KPI考核指标，且权重较低，其他公司对退保率不作考核。（三）对合规指标的重视程度不够一是部分公司未将反映分支机构依法合规经营的合规指标纳入考核范围；二是多数将合规指标纳入考核的公司对该指标分配的分值权重偏低，基174、本在5%以内，或者仅将该指标作为监测指标考察；三是有的公司考核标准不合理，对分支机构违法违规问题的容忍度过高。（四）对营销员质量及产能情况缺乏考核10家公司仅对营销员数量进行考核，而不考核营销员13个月留存率，或仅作为监测指标考核，其中4家公司对营销员数量的考核权重分别达到10%、24%、30%和40%，反映出部分公司主要依靠增员带动业务增长的经营思路，容易导致公司营销员大进大出。另外，除1家公司考核营销员人均标准保费外，其他公司不考核营销员人均产能，表明个人营销渠道仍处于粗放式经营阶段，尚未走以素质和效率为依托的集约化发展方式。（五）对管理类指标关注度仍然偏低目前虽然有些公司开始重视分支机构175、的管理能力，但大部分公司尚未将反映管理水平的指标纳入量化考核体系，仅5家公司考核电话回访成功率、客户满意度、高素质员工占比等管理类指标，且权重一般低于5%，不利于分支机构主动加强内控管理基础建设。（六）考核体系缺乏弹性绝大多数公司绩效考核体系缺乏弹性，总公司对考核权限集中控制，省级公司及以下分支机构对考核目标只能单向接受，难以结合不同地域市场的不同特点作出调整，不利于实施差异化的发展策略，也不利于发挥基层机构在创新发展方面的主动性。审计过程及方法1、开展内部审计工作时，获取集团公司最新的绩效考核管理制度及绩效考核操作手册，审阅是否规定了绩效考核指标体系。2、获取绩效考核指标体系，检查指标设计、176、权重确定等工作方法是否具有科学性，考核指标的分值权重是否合理，如业务品质、经营效益及管理类指标、合规指标、营销员数量的权重是否合理；检查是否进行营销员质量及产能情况考核，该考核是否合理。3、对于业务品质、经营效益及管理类指标，检查各指标内容是否充实。4、检查绩效考核指标体系是否具有弹性、奖惩分明；能否起到激励和约束员工的作用。风险剖析一个公司的绩效文化是企业可持续发展人力资源政策中的重要组成部分。绩效导向决定了公司各部门、员工的努力方向，不恰当的绩效导向势必导致绩效文化的失调，甚至会导致各部门、员工一味追求业绩而增加公司运营的风险，带来严重的后果。近年来部分企业一线员工为了追求业绩而导致的违规177、操作，工作疏忽，甚至是造假舞弊都或多或少和企业内部不恰当的绩效文化有关。处理整改建议公司应借鉴国际先进经验，提高绩效考核指标设计、权重确定等工作方法的科学性。指标设计上，应当侧重考核业务利润或价值，综合平衡业务规模、业务品质、单位产能、持续性、管理能力等方面的权重，推动公司经营绩效持续改善、公司整体价值不断提升。指标权重的分配上，应当运用科学的方法，如权值因子判断表法和层次分析法等。另外，还应当注重试点，充分论证，避免考核体系粗放或执行中的随意性。公司可以逐步建立中长期绩效考核机制。一是在考核指标方面，目前各寿险公司的绩效考核主要对当年绩效进行考核，能够涉及中长期发展的指标较少，仅期交保费达成178、率、保费继续率指标与中长期发展存在一定关联。建议借鉴部分公司启用内含价值、新业务价值等指标评价绩效的新思路，引入分支机构价值中心或效益中心导向型绩效考核指标，并不断完善此类指标计算方法，更加科学、准确地评价分支机构经营成果；二是在奖惩措施方面，目前与公司中长期发展、可持续发展有关的奖惩措施也偏少，部分公司甚至采取一刀切的办法，即达成目标值即获考核奖，与达成程度无关，更易导致短期经营行为的出现。建议公司在政策许可范围内，参照股权激励、分期兑付的相关做法，尝试建立绩效奖励的长效机制。最后应适当提高考核体系的弹性，发挥分支机构能动性。如将服务地方经济、开展特色服务等指标作为弹性考核指标；允许省级公司179、在分支机构考核上掌握一定权重，可结合当地保监局监管导向、市场特点等自行增设考核指标，充分调动分支机构主动谋求科学发展的积极性。三、企业文化建设审计风险点企业文化建设是否得到重视相关法律法规和监管规定企业内部控制基本规范、企业内部控制配套指引、企业内部控制应用指引第5号企业文化、保险公司内部控制基本准则审计程序和方法1、取得公司组织架构图、部门职责文件等资料，检查是否明确企业文化建设、宣传的主导部门，是否建立健全企业文化建设组织体系；检查是否建立并着重宣导统一的企业文化理念、核心价值观、经营理念、使命感、愿景、战略目标等。2、获取企业文化建设、品牌管理的日常工作相关各项制度；检查是否对于策略、构180、架和管理建立了清晰、完整的制度平台，对实施品牌建设的各个功能块工作细则、相关人员的管理做出了明确的规定。3、获取得企业文化建设管理制度和指导性文件，检查董事、监事、高级管理层在其中的职能定位。访谈了解董事、监事、经理和其他高级管理人员如何在企业文化建设中发挥主导和模范作用，检查管理层是否重视文化建设、培育积极向上的价值观和社会责任感，是否倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，是否树立现代管理理念、强化风险意识、重视法制教育。4、询问并了解公司采取何种切实有效的措施，积极培育具有自身特色的企业文化；获取相关资料，如企业文化手册、文体活动、会议记录等，了解公司如何促进文化建设在内部各层级181、的有效沟通和宣传贯彻。5、检查公司是否有正式的员工行为准则和其他相关政策，是否明确员工行为的道德标准、可以接受的商业行为、保密原则、法律法规的遵循、利益冲突的解决方式、舞弊以及违规行为的汇报等。6、询问并了解公司是否进行法制教育，是否建立健全法律顾问制度和重大法律纠纷案件备案制度；检查法制教育相关文档及法律顾问制度和重大法律纠纷案件备案制度；取得员工法制教育相关样本，检查是否建立了全方位、多样化的法制教育体系，定期/不定期进行专业培训，增强全体员工的法制观念。7、随机选取部分不同层级的员工和管理层，询问其对于公司企业文化的感受，判断是否体现以风险控制为导向的管理理念和经营风格，是否体现注重风险182、管理、内部控制的企业文化。8、获取企业文化评估制度和文化评估记录；检查制度是否明确评估的内容、程序和方法，落实评估责任制；检查是否定期开展企业文化评估。9、检查公司是否重视企业文化的评估结果，是否巩固和发扬文化建设成果，针对评估过程中发现的问题是否研究影响企业文化建设的不利因素、分析深层次的原因并及时采取措施加以改进。四、社会责任审计（一）环境保护和资源节约管理审计风险点是否缺乏环境保护和资源节约的监控制度，是否进行环境保护与资源节约制度的宣教相关法律法规和监管规定企业内部控制应用指引第4号社会责任审计程序和方法1、询问并了解公司是否制定环境保护与资源节约制度；获取环境保护与资源节约制度，检查183、该制度是否明确节能减排责任，倡导积极开发和使用节能产品，发展循环经济，降低污染物排放，提高资源综合利用效率。2、询问并了解公司是否通过宣传教育等有效形式，不断提高员工的环境保护和资源节约意识；检查相关宣传教育资料和培训记录。3、询问并了解公司是否制定环境保护和资源节约的监控制度，获取环境保护和资源节约的监控制度和定期监控记录，检查是否定期开展监督检查，发现问题，及时采取措施予以纠正。（二）社会公益事业管理风险点是否积极履行社会公益方面的责任和义务，是否积极支持慈善事业相关法律法规和监管规定企业内部控制应用指引第4号社会责任审计程序和方法1、询问并了解公司是否积极履行社会公益方面的责任和义务，关184、心帮助社会弱势群体，支持慈善事业；2、查看相关资料和记录。案例：内部管理混乱、内控完全失效案例介绍某公司内部管理混乱，屡屡发生挪用客户资金、账外经营、违规运用资金等重大案件，内控完全失效。审计过程及方法某公司屡屡发生挪用客户资金、账外经营、违规运用资金等重大案件，稽查审计人员进驻公司对该公司公司治理和内部控制进行了全面检查：1、通过调阅相关组织架构、人员职责、章程、议事规则、会议纪要、文件签批记录资料，询问董事长、董事、监事及高管人员，发现：（1）该公司董事长长期缺位，造成某坐班董事大权独揽，集决策、监管和执行权于一身，令董事会形同虚设。此外，连续三年，公司从未召开监事会，也未设立监事长。（2185、）公司未设立提名薪酬委员会，未明确提名薪酬委员会的职责与义务。公司历任董事长、总经理级别的高管人员都是由上级主管部门向公司作出的“不可改变式的推荐”，董事会推荐流于形式，同时董事长和总经理不向董事会述职并负责；副总经理、财务负责人、合规责任人和审计责任人等不由董事会任命，也不向董事长和总经理负责。（3）合规和风险管理意识淡漠，为了高收益而不惜违规经营，如先后挪用保费资金5亿余元以及多次进行高息投资等。（4）职业操守极差。公司管理层缺乏诚信，授意或直接实施财务造假、账外经营等违法违规行为。如虚报利润；以职务消费为名，利用虚假发票套取资金据为己有等。（5）部分高级管理人员的任职资格未经批准。如未经186、批准擅自任命高管、在批准前就上岗、离职未报告等。风险剖析内部管理混乱、内控完全失效将导致公司逐渐走向衰亡。处理整改建议完善公司治理、全面加强内控建设。第四章 风险管理审计第一节 风险管理概述根据保监会保险公司风险管理指引（试行）保险公司的风险管理是指“保险公司围绕经营目标，对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施”。根据风险管理的流程，我们风险管理细分为风险管理组织、风险目标设定、风险评估、风险应对、监督与改进等五个子流程，针对这些子流程中涉及到的主要风险及控制活动提出最佳实践，并分别介绍相应的审计程序和方法。一、风险管理组织根据保险公司风险管理指引（试行187、），保险公司应当建立由董事会负最终责任、管理层直接领导，以风险管理机构为依托，相关职能部门密切配合，覆盖所有业务单位的风险管理组织体系。（一）风险管理委员会保险公司可以在董事会下设立风险管理委员会负责风险管理工作。风险管理委员会成员应当熟悉保险公司业务和管理流程，对保险经营风险及其识别、评估和控制等具备足够的知识和经验。没有设立风险管理委员会的，由审计委员会承担相应职责。保险公司董事会风险管理委员会应当全面了解公司面临的各项重大风险及其管理状况，监督风险管理体系运行的有效性，对以下事项进行审议并向董事会提出意见和建议：1、风险管理的总体目标、基本政策和工作制度；2、风险管理机构设置及其职责；3188、重大决策的风险评估和重大风险的解决方案；4、年度风险评估报告。（二）风险管理协调机构保险公司可以设立由相关高级管理人员或者部门负责人组成的综合协调机构，由总经理或者总经理指定的高级管理人员担任负责人。风险管理协调机构主要职责如下：1、研究制定与保险公司发展战略、整体风险承受能力相匹配的风险管理政策和制度；2、研究制定重大事件、重大决策和重要业务流程的风险评估报告以及重大风险的解决方案；3、向董事会风险管理委员会和管理层提交年度风险评估报告；4、指导、协调和监督各职能部门和各业务单位开展风险管理工作。（三）风险管理职能部门保险公司应当设立风险管理部门或者指定工作部门具体负责风险管理相关事务工作189、。设有风险管理协调机构的，该部门为其办事机构。该部门主要职责如下：1、对风险进行定性和定量评估，改进风险管理方法、技术和模型；2、合理确定各类风险限额，组织协调风险管理日常工作，协助各业务部门在风险限额内开展业务，监控风险限额的遵守情况；3、资产负债管理；4、组织推动建立风险管理信息系统；5、组织推动风险文化建设。保险公司各职能部门和业务单位应当接受风险管理部门的组织、协调和监督，建立健全本职能部门或者业务单位风险管理的子系统，执行风险管理的基本流程，定期对本职能部门或者业务单位的风险进行评估，对其风险管理的有效性负责。（四）风险信息共享机制保险公司风险管理部门应当与各职能部门和业务单位建立信190、息共享机制，广泛搜集、整理与风险管理相关的内外部信息，为风险评估奠定相应的信息基础。（五）风险管理宣导与培训保险公司应当定期对高级管理人员和员工进行风险管理理念、知识、流程以及控制方式等内容的培训，增强风险管理意识，同时将风险管理绩效与薪酬制度、人事制度和责任追究制度相结合，培育和塑造良好的风险管理文化。二、风险目标设定目标设定是风险识别、风险分析和风险应对的前提。企业应当按照战略目标，设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标，并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。保险公司应当明确风险管理目标，建立健全风险管理体系，规范风险管理流191、程，采用先进的风险管理方法和手段，努力实现适当风险水平下的效益最大化。三、风险评估根据保险公司风险管理指引（试行），保险公司应当在广泛收集信息的基础上，对经营活动和业务流程进行风险评估。风险评估包括风险识别、风险分析、风险评价三个步骤。（一）风险识别风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。根据五部委企业内部控制基本规范，企业应当识别内外部风险：企业识别内部风险，应当关注下列因素：1、董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。2、组织机构、经营方式、资产管理、业务流程等管理因素。3、研究开发、技术投入、信息技术运用等自主创新因素。4、192、财务状况、经营成果、现金流量等财务因素。5、营运安全、员工健康、环境保护等安全环保因素。6、其他有关内部风险因素。企业识别外部风险，应当关注下列因素：1、经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。2、法律法规、监管要求等法律因素。3、安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。4、技术进步、工艺改进等科学技术因素。5、自然灾害、环境状况等自然环境因素。6、其他有关外部风险因素。根据保险公司风险管理指引（试行），保险公司应当识别和评估经营过程中面临的各类主要风险，包括：保险风险、市场风险、信用风险和操作风险等。保险风险指由于对死亡率、疾病率、赔付率、退保率等判193、断不正确导致产品定价错误或者准备金提取不足，再保险安排不当，非预期重大理赔等造成损失的可能性。市场风险是指由于利率、汇率、股票价格和商品价格等市场价格的不利变动而造成损失，以及由于重大危机造成业务收入无法弥补费用的可能性。信用风险是指由于债务人或者交易对手不能履行合同义务，或者信用状况的不利变动而造成损失的可能性。操作风险指由于操作流程不完善、人为过错和信息系统故障等原因导致损失的可能性。保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。（二）风险分析与评价根据保险公司风险管理指引（试行），风险分析是指“对识别出的风险进行分析，判断风险发生的可能性及风险发194、生的条件”；风险评价是指“评估风险可能产生损失的大小及对保险公司实现经营目标的影响程度”。风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型，确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。保险公司进行风险评估时，应当对各种风险之间的相关性进行分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，对风险进行统一集中管理。风险评估由风险管理部门组织实施，必要时可以聘请中介机构协助实施。保险公司应当对风险信息实行动态管理，及时识别新的风险，并对原有风险的变化进行重新评估。四、风险应对根据企业内部控制基本规范，企业应当根据风险分195、析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。 同时，企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。保险公司风险管理指引（试行）中，对风险应对方面也有相应的阐述：风险控制包括明确风险管理总体策略、制定风险解决方案和方案的组织实施等内容。（一）风险管理总体策略制定风险管理总体策略是指196、保险公司根据自身发展战略和条件，明确风险管理重点，确定风险限额，选择风险管理工具以及配置风险管理资源等的总体安排。保险公司应当根据风险发生的可能性和对经营目标的影响程度，对各项风险进行分析比较，确定风险管理的重点。（二）风险限额确定风险限额是指保险公司根据自身财务状况、经营需要和各类保险业务的特点，在平衡风险与收益的基础上，确定愿意承担哪些风险及所能承受的最高风险水平，并据此确定风险的预警线。（三）制定风险解决方案和方案的组织实施等内容保险公司针对不同类型的风险，可以选择风险规避、降低、转移或者自留等风险管理工具，确保把风险控制在风险限额以内。保险公司应当根据风险管理总体策略，针对各类重大风险197、制定风险解决方案。风险解决方案主要包括解决该项风险所要达到的具体目标，所涉及的管理及业务流程，所需的条件和资源，所采取的具体措施及风险管理工具等内容。保险公司应当根据各职能部门和业务单位职责分工，认真组织实施风险解决方案，确保风险得到有效控制。五、风险管理的监督与改进根据保险公司风险管理指引（试行），保险公司应当对风险管理的流程及其有效性进行检验评估，并根据评估结果及时改进。保险公司各职能部门和业务单位应当定期对其风险管理工作进行自查，并将自查报告报送风险管理部门。风险管理部门应当定期对各职能部门和业务单位的风险管理工作进行检查评估，并提出改进的建议和措施。保险公司风险管理部门应当每年至少一次198、向管理层和董事会提交风险评估报告。风险评估报告主要包括以下内容：（一）风险管理组织体系和基本流程；（二）风险管理总体策略及其执行情况；（三）各类风险的评估方法及结果；（四）重大风险事件情况及未来风险状况的预测；（五）对风险管理的改进建议。董事会或者其风险管理委员会可以聘请中介机构对保险公司风险管理工作进行评价，并出具评估报告。保险公司应当及时向中国保监会报告本公司发生的重大风险事件。同时，保险公司应当保险公司风险管理指引（试行）及偿付能力编报规则的要求，在年报中提交经董事会审议的年度风险评估报告。第二节 风险评估常用方法和风险应对常用策略在风险管理中，风险评估和风险应对是最重要的环节，为了有助199、于审计人员了解风险评估和风险应对知识，我们在本节简要介绍有关风险评估的常用方法和风险应对的常用策略。如果读者想要进一步了解风险管理方面的知识，请参阅相关书籍资料。一、风险评估的常用方法可用于评估风险的方法有很多，包括流程图法、组织图分析法、现场查看法等定性方法，以及敏感性分析、情景分析、压力测试等定量方法。（一）流程图法。指将公司的各项经营活动按照其内在的逻辑联系建立一系列的流程图，针对流程图中的每一个环节逐一进行调查、研究和分析，从中发现潜在风险的一种风险识别方法。（二）组织图分析法。指通过规范化结构图来分析公司的内部组成、财务状况及职权、功能关系等，从中发现风险及潜在损失威胁的一种风险识别200、方法。（三）现场查看法。指直接深入到公司各个职能部门和业务单位、分支机构现场，通过核实和查清公司生产经营中的问题和疑点进行风险判断和分析，达到全面深入了解和判断公司风险状况进行实地检查的一种风险识别方法。（四）敏感性分析。该分析从改变可能影响分析结果的不同因素的数值入手，估计结果相对于这些变量的变动的敏感程度。（五）情景分析。指多个因素同时发生变动，对公司风险暴露、承受能力以及整体经济价值产生的影响。情景分析过程中应考虑各种因素的相关性和相互作用。情景可以人为设定，也可以从历史数据中得出，或通过随机过程得到。（六）压力测试。指对突发的小概率事件等极端不利情况可能对公司造成的潜在损失进行估算。压201、力测试的目的是评估公司在极端不利情况下的损失承受能力。除此之外，决策树、计算机模拟等方法未来也可逐步应用于风险的计量中。在评估风险时，应留意的是概率与不确定性。特别是在识别出大量风险后，评估小组应逐个考虑风险、可能性以及发生的情况(以概率表示，范围为0-1)。需要强调的是，本质上来说，风险可能不会保持不变，也不是100%会发生。此外，两种风险的概率估计不应简单直接相加，而应该考虑风险之间的相关性。二、风险应对的常用策略可选的风险应对策略包括风险降低、风险规避、风险转移和风险自留。管理层可以选择一个或多个策略结合使用。（一）风险降低。风险降低或风险缓释是指通过风险控制措施来降低风险的损失频率或影202、响程度。不同的实际情况适用不同的风险降低方法。常用的一种形式是风险分散，即通过分散的形式来降低风险，比如在多种股票而非单一股票上投资、在多个地区而非一个地区开展业务。降低风险的另外一种方式为对冲，通过不同风险在面临相同风险事件时的负相关性来抵消或减小公司所面临的风险，在使用对冲工具时，应注意考虑成本与收益之间的关系。（二）风险规避。指当固有风险超出公司风险偏好时，公司为避免受风险的影响而退出产生风险的业务活动。风险规避策略包括风险避免、风险化解、风险排斥和/或风险终止。 （三）风险转移。风险转移是指利用技术或工具将风险部分或全部转移给第三方独立机构，以防止遭受灾难性损失的风险。采用风险转移的目203、的是将风险转移给另一家企业、公司或机构。合同及财务协议是转移风险的主要方式。转移风险并不会降低风险事件的发生概率，而是将风险事件造成的损失从一方移除或减少后转移给另外一方。（四）风险自留。风险自留是指当固有风险在公司风险偏好之内时，公司不对风险发生的可能性或影响程度采取任何措施，而自我承担风险。风险自留包括风险接受、风险吸收和风险容忍。风险控制包括明确风险管理总体策略、制定风险解决方案和方案的组织实施等内容，制定风险管理总体策略是指保险公司根据自身发展战略和条件，明确风险管理重点，确定风险限额，选择风险管理工具以及配置风险管理资源等的总体安排。风险策略是风险管理总体程序至关重要的一部分。应参照204、以前的活动制定风险对策。由于情况是不断发生变化的，必须紧跟风险识别和评估，立即实施应对策略。应仔细分析四种风险应对策略，即风险降低、风险消除、风险转移和风险保留，一旦为一种特殊风险确定了风险应对类型，则必须制定具体措施，以落实这一应对策略。一般来说，风险不可能被完全消除。因此，如果能将风险降低至可接受的范围，且风险应对措施的成本未超过收益，那么，可在保留风险的同时，执行风险降低策略。第三节 风险管理组织审计一、风险管理委员会审计风险点是否按规定设立风险管理委员会相关法律法规和监管规定保险公司风险管理指引第十条 第十一条 审计程序和方法1、获取公司组织架构及董事会决议公告，检查是否按规定在董事会205、下设风险管理委员会，或者指定由审计委员会承担相应的职责，其成员是否熟悉保险公司业务和管理流程，对保险经营风险及其识别、评估和控制等具备足够的知识和经验。2、获取风险管理委员会（或审计委员会）职能，检查是否定期召开风险管理会员会会议。3、获取风险管理委员会（或审计委员会）会议纪要，检查其是否对以下事项进行审议并向董事会提出意见和建议：（一）风险管理的总体目标、基本政策和工作制度；（二）风险管理机构设置及其职责；（三）重大决策的风险评估和重大风险的解决方案；（四）年度风险评估报告。检查委员会是否在其权限范围内履行职责。是否存在遗漏或超范围的情况。4、通过访谈、调阅公文系统记录、工作总结等方式，了解206、风险管理委员会（或审计委员会）运作情况。二、风险管理职能审计风险点是否明确风险管理职能规范，是否严格按照风险管理职能规范执行相关法律法规和监管规定保险公司风险管理指引（试行）第十三条 第十四条 审计程序和方法1、调阅公司组织架构或部门职责文件，检查公司是否设立风险管理部门或指定工作部门具体负责风险管理相关事务工作。2、获取公司章程以及风险管理部门的工作制度，检查其具体工作职责是否符合风险管理指引要求。3、对风险管理部门及相关部门进行访谈，检查保险公司各职能部门和业务单位是否接受风险管理部门的组织、协调和监督；检查公司是否建立了健全本职能部门或者业务单位风险管理的子系统，执行风险管理的基本流程，207、定期对本职能部门或者业务单位的风险进行评估，对其风险管理的有效性负责。三、风险信息共享机制审计风险点是否建立了风险信息共享机制相关法律法规和监管规定保险公司风险管理指引（试行）第七条 审计程序和方法1、获取公司对信息化基础设施和信息系统的规划制定和相关制度，检查该制度是否涵盖风险管理基本流程和控制环节。2、对保险公司风险管理和业务管理信息系统进行测试，检查风险信息是否能够在职能部门和业务单位之间实现集成与共享，充分满足对风险进行分析评估和监控管理的各项要求。四、风险管理宣导与培训风险点是否进行风险管理培训及文化宣导，是否培育和塑造良好的风险管理文化相关法律法规和监管规定保险公司风险管理指引（试208、行）第八条 审计程序和方法1、询问并了解公司是否定期对高级管理人员和员工进行风险管理培训；2、获取保险公司对高级管理人员和员工培训课件，检查课件中是否包含风险管理理念、知识、流程及控制方式的培训。3、获取人事、薪酬考核、责任追究制度，检查制度是否与风险管理绩效相结合。案例：风险管理组织不健全2010年初，保监会发起 “中国寿险公司风险管理现状”的调查问卷，此次调查覆盖中国境内的所有寿险、健康保险和养老保险金公司。其中有25家受调查公司已设立了风险管理委员会，其中仅有14家风险管理委员会是设立在董事会层面；18家受调查公司设有风险负责人一职，但只有6家受调查公司设有首席风险官一职；大部分公司多将209、风险管理职能与合规、法律或内控等职能合并设立，仅有10家风险管理部门是独立设立。目前，大部分公司风险管理组织体系还不健全，公司应通过适当的风险管理组织架构和制度流程监督内部控制职能的执行并识别内部控制的缺陷。具体可以从三个层面展开：各职能部门和业务单位对自身风险管理的监督；风险管理部门对各职能部门和业务单位风险管理工作的监督；内部审计机构对公司全面风险管理制度与流程的执行情况的监督。风险管理委员会主要负责确认并审查整个公司的主要风险领域和所有经营原则，批准主要的财务和运营风险管理政策，并确保有关政策得到遵守。它需要根据公司经营环境的变化，对公司的风险进行重新识别。风险管理职能部门作为风险管理第210、二道防线主要负责日常风险的监控、识别和评估等事务，独立行使职权，并接受审计部的监督；负责建立公司全面风险管理和内部控制的工作流程体系和相应的基础要求；包括风险分类、风险评估标准，风险管理报告要求等内容；并且，在董事会及风险管理委员会的领导下，对该体系的工作范围、内容、方法、步骤等进行持续改进；作为风险管理和内部控制的专业咨询和指导部门，从专业角度提出风险管理责任归属的专业决策意见，并提交公司高管层进行决策。第四节 风险目标设定审计 风险点是否明确风险管理目标相关法律法规和监管规定保险公司风险管理指引（试行）第五条 企业内部控制基本规范第三十五条 审计程序和方法1、询问并了解公司是否建立风险管理211、体系；获取风险管理相关制度和文件，检查是否规范了风险管理流程。2、获取风险管理相关制度和文件，检查是否明确了风险管理目标，是否进行了风险识别、风险分析和风险应对，评价风险管理体系是否健全。第五节 风险评估审计一、风险识别审计风险点是否开展风险识别分析工作；是否将主要风险纳入风险识别工作中相关法律法规和监管规定保险公司内部控制基本准则 第七条 企业内部控制基本规范第二十一条 保险公司风险管理指引（试行）第十五条 审计程序和方法1、询问并了解公司是否开展风险识别分析工作，获取风险识别工作相关文档，检查是否发现并确定风险点、风险发生频率、影响程度等因素；检查是否已经准确识别与实现控制目标相关的内部风212、险和外部风险。2、获取风险识别相关的报告，检查是否已涵盖了各类主要风险，包括保险风险、市场风险、信用风险和操作风险等。案例：风险识别不全面案例介绍：某寿险公司在开展风险识别工作时，主要考虑了发生频率较高的风险，而忽视了发生概率极小但可能造成重大影响的风险。例如，中国经济滞涨带来的经济硬着陆属于发生概率小的风险，但是一旦发生，可能造成的对市场和公司的影响将非常大。审计过程及方法：1、获取风险识别相关的报告，检查是否涵盖了各类主要风险，包括保险风险、市场风险、信用风险和操作风险等。2、检查风险报告中是否涵盖了不同频率和影响的风险，包括：频率高且影响大、频率高但影响不大、频率低但影响大、频率低且影响213、不大的风险。风险剖析：公司未开展风险识别分析工作、未将主要风险纳入风险识别工作中。对于发生概率小的风险，由于其可能发生的概率小，容易在风险识别时被忽视，从而不被包括在公司整体风险管理的框架内。未能识别此类风险将使得公司在面对这些问题时将处于被动地位。一个普遍的误区是容易将小概率事件等同为不可能发生。在冰岛火山灰爆发之前，很少有公司能将火山灰爆发包括在其风险报告中。而这类小概率事件发生后给公司带来的损失会因为其从未被考虑因而未能制定合适的风险策略而被扩大化。处理整改建议：在识别风险过程中，应全面包括各类风险，包括内部和外部的、各种概率和影响的风险。只有在识别环节涵盖了所有相关风险才能为之后的风险214、评估和风险应对打下良好基础。二、风险分析与评价审计风险点是否根据保险公司风险管理指引对经营活动和业务流程进行风险评估；是否建立科学的风险计量方法相关法律法规和监管规定企业内部控制基本规范 第二十条 保险公司风险管理指引（试行）第十七条 第十八条 审计程序和方法1、获取风险管理体系相关制度，检查是否明确风险管理的内容、方法、相关主体的职责、报告程序等。检查是否对于风险评估明确定性与定量相结合的方法、定量评估是否统一制定各风险的度量单位和风险度量模型。2、获取风险评估相关的报告，检查是否定期针对各风险开展风险识别、风险分析、风险评价等工作。第六节 风险应对审计一、风险管理总体策略审计（一）风险管理215、总体策略的制定风险点是否制定风险管理总体策略相关法律法规和监管规定保险公司风险管理指引（试行）第二十三条 第二十四条 审计程序和方法1、获取公司总体策略的相关文件，检查其中是否包括风险控制的总体策略。2、检查该风险管理总体策略，是否根据自身发展战略和条件，具备了明确的风险管理重点，风险限额，选择风险管理工具以及配置风险管理资源等的总体安排。（二）风险管理总体策略的调整风险点是否结合不同发展阶段和业务拓展情况及时调整风险应对策略相关法律法规和监管规定企业内部控制基本规范第二十七条 审计程序和方法1、获取风险分析报告及应对政策调整报告，检查公司是否根据风险分析结果，不同发展阶段和业务拓展情况，持续216、收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。2、获取风险分析报告及应对政策调整报告，查验报告的修改历史记录，检查是否存在对报告的定期更新，并根据公司的重大内、外部环境变化对风险报告进行不定期更新。3、与风险管理相关员工进行访谈，询问公司的风险应对政策是否根据重大业务变化或外部环境的变化进行相应的调整。二、风险限额审计风险点是否制定风险应对策略，是否根据不同的风险采纳不同的风险策略相关法律法规和监管规定保险公司风险管理指引（试行）第二十五条 审计程序和方法1、获取公司风险策略的相关文件、政策；2、检查该风险策略中，是否根据该公司自身财务状况、经营需要和各类保险业务的特217、点，设置风险限额。风险限额应明确公司在平衡风险与收益的基础上，确定愿意承担哪些风险及所能承受的最高风险水平，并据此确定风险的预警线。三、风险解决方案审计风险点是否根据风险分析的结果确定风险应对策略相关法律法规和监管规定企业内部控制基本规范 第二十五条 第二十六条保险公司内部控制基本准则 第七条 保险公司风险管理指引（试行）第二十六条 审计程序和方法1、获取公司风险应对报告，检查是否针对各类特定风险，制定风险自留、风险规避、风险转移、风险降低等风险应对策略。2、获取相关风险应对制度文档，检查是否对重大风险有应对的机制或策略。3、可获取已发生的风险应对文档，检查其程序及应对机制是否合法合规，并与其218、制度文档相一致。4、检查公司是否根据风险识别评估的结果，科学设计内部控制政策、程序和措施并严格执行，同时根据控制效果不断改进内部控制流程，将风险控制在预定目标或可承受的范围内。案例：风险应对策略调整不及时案例介绍某公司在开展了风险识别、分析以及应对措施选择后，未能定期对风险分析报告及应对政策调整报告进行复核，而是僵化地采用原先的风险报告作为风险管理的基础。审计过程及方法获取风险分析报告及应对政策调整报告，查验报告的修改历史记录，检查是否存在对报告的定期更新，并根据公司的重大内、外部环境变化对风险报告进行不定期更新。风险剖析公司未能制定风险应对策略，未根据不同的风险采纳不同的风险策略，未结合不同219、发展阶段和业务拓展情况及时调整风险应对策略。即使公司建立了风险识别、分析和应对机制，未能及时更新风险识别和风险分析将使得公司无法对识别的风险进行有效、完善的应对。对风险采用错误的应对策略，其损害可能不低于未能识别风险。而在现今瞬息变换的经济环境中，如何及时反映环境变化并保证风险应对策略的有效性显得尤为重要。处理整改建议1、建立定期风险分析报告及应对政策调整报告的复核机制，以及时反映公司业务发展不同阶段的特点，并用以调整相应的风险应对策略。2、在内部或外部环境发生重大变化时，及时复核风险分析报告及应对政策调整报告以反映内外部环境的变化，并用以调整相应的风险应对策略。第七节 风险管理的监督与改进审220、计一、风险管理监督与改进审计风险点是否制定对风险管理进行监督相关法律法规和监管规定保险公司风险管理指引（试行）第二十九条第三十条第三十一条 审计程序和方法1、获取公司风险管理相关制度文件，检查其中是否包括风险管理监督与改进的相关内容。2、风险管理部门的工作制度，检查其是否包括对各职能部门和业务单位的风险管理工作进行自查的职责。获取风险管理自查报告，检查各职能部门和业务单位是否将自查报告报送风险管理部门。3、获取风险管理部门的评估报告，检查其是否定期对各职能部门和业务单位的风险管理工作进行检查评估，并提出改进的建议和措施。二、风险管理报告审计风险点是否向管理层和董事会提交风险评估报告相关法律法规221、和监管规定保险公司风险管理指引（试行）第三十二条 审计程序和方法1、获取公司风险管理相关制度文件，检查其中是否包括向管理层和董事会报送风险评估报告的职能。2、获取风险管理部门向向管理层和董事会提交的风险评估报告，检查其内容是否覆盖：风险管理组织体系和基本流程；风险管理总体策略及其执行情况；各类风险的评估方法及结果；重大风险事件情况及未来风险状况的预测；对风险管理的改进建议。第五章 信息与沟通审计第一节 信息与沟通概述信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。保险公司应当建立信息和沟通机制，促进公司信息的广泛共享和及时充分沟通，提222、高经营管理透明度，防止舞弊事件的发生。信息与沟通审计，包括对信息收集、处理和传递的及时性，反舞弊机制的健全性，信息系统内控有效性，以及信息披露管理规范性等进行认定和评价。下面，我们将信息与沟通细分为信息收集、处理与传递、反舞弊机制、信息系统内控有效性、信息披露管理等四个子流程，针对这些子流程中涉及到的主要风险及控制活动提出最佳实践，并分别介绍相应的审计程序和方法。一、信息收集、处理与传递（一）内部信息传递，是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。企业内部信息传递至少应当关注下列风险：1、内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行。2、内部信223、息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。3、内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。（二）企业应当加强内部报告管理，全面梳理内部信息传递过程中的薄弱环节，建立科学的内部信息传递机制；企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。二、反舞弊和举报投诉管理机制（一）舞弊是指被审计单位的管理层、治理层、员工或第三方使用欺骗手法获取不当或非法利益的故意行为。根据企业内部控制基本规范的有关规定，企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规224、范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应将下列情形作为反舞弊工作的重点：1、未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。2、在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。3、董事、监事、经理及其他高级管理人员滥用职权。4、相关机构或人员串通舞弊。（二）企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。三、信息系统内控有效性信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升225、所形成的信息化管理平台。企业利用信息系统实施内部控制至少应当关注下列风险：1、信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。2系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。3、系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。信息系统有效性的审计方法，可以参阅信息系统分册226、。四、信息披露管理信息披露，是指保险公司向社会公众公开其经营管理相关信息的行为。保险法规定，保险公司应当按照国务院保险监督管理机构的规定，建立对关联交易的管理和信息披露制度。根据保险公司内部控制基本准则，保险公司应当根据相关法律法规的要求对外披露内部控制信息，自觉接受社会公众的监督。根据保险公司信息披露管理办法，保险公司应当披露下列信息：（一）基本信息；（二）财务会计信息；（三）风险管理状况信息；（四）保险产品经营信息；（五）偿付能力信息；（六）重大关联交易信息；（七）重大事项信息。概况应当基本信息应当包括公司概况和公司治理概要。其中，公司包括：（一）法定名称及缩写；（二）注册资本；（三）注册227、地；（四）成立时间；（五）经营范围和经营区域；（六）法定代表人；（七）客服电话和投诉电话；（八）各分支机构营业场所和联系电话；（九）经营的保险产品目录及条款。公司治理概要应当包括：（一）近3年股东大会（股东会）主要决议；（二）董事简历及其履职情况；（三）监事简历及其履职情况；（四）高级管理人员简历、职责及其履职情况；（五）公司部门设置情况；（六）持股比例在5%以上的股东及其持股情况。保险公司披露的上一年度财务会计信息应当与经审计的年度财务会计报告保持一致，并包括：（一）财务报表，包括资产负债表、利润表、现金流量表和所有者权益变动表；（二）财务报表附注；（三）审计报告的主要审计意见。保险公司披露228、的风险管理状况信息应当与经董事会审议的年度风险评估报告保持一致，并包括：（一）风险评估，包括对保险风险、市场风险、信用风险和操作风险等主要风险的识别和评价；（二）风险控制，包括风险管理组织体系简要介绍、风险管理总体策略及其执行情况。人身保险公司披露的产品经营信息是指上一年度保费收入居前5位的保险产品经营情况，包括产品的保费收入和新单标准保费收入。财产保险公司披露的产品经营信息是指上一年度保费收入居前5位的商业保险险种经营情况，包括险种名称、保险金额、保费收入、赔款支出、准备金、承保利润。保险公司披露上一年度的偿付能力信息应当包括下列内容：（一）公司的实际资本和最低资本；（二）资本溢额或者缺口；229、（三）偿付能力充足率状况；（四）相比报告前一年度偿付能力充足率的变化及其原因。保险公司披露的重大关联交易信息应当包括下列内容：（一）交易对手；（二）定价政策；（三）交易目的；（四）交易的内部审批流程；（五）交易对公司本期和未来财务及经营状况的影响；（六）独立董事的意见。 保险公司有下列重大事项之一的，应当披露相关信息并作出简要说明：（一）控股股东或者实际控制人发生变更；（二）更换董事长或者总经理；（三）当年董事会累计变更人数超过董事会成员人数的三分之一；（四）公司名称、注册资本或者注册地发生变更；（五）经营范围发生重大变化；（六）合并、分立、解散或者申请破产；（七）撤销省级分公司；（八）偿付能230、力出现不足或者发生重大变化；（九）重大战略投资、重大赔付或者重大投资损失；（十）保险公司或者其董事长、总经理因经济犯罪被判处刑罚；（十一）重大诉讼或者重大仲裁事项；（十二）保险公司或者其省级分公司受到中国保监会的行政处罚；（十三）更换或者提前解聘会计师事务所；（十四）中国保监会规定的其他事项。保险公司应当建立公司互联网站，披露相关信息。保险公司应当制作年度信息披露报告，并在每年4月30日前在公司互联网站和中国保监会指定的报纸上发布年度信息披露报告。此外，对于上市的保险公司，还应当根据交易所等监管机构的要求进行信息披露。因为内容较多，这里不一一赘述。第二节 内外部信息收集、处理与传递审计一、内外231、部信息收集、处理与传递机制审计风险点是否建立科学的内外部信息收集、处理与传递机制相关法律法规和监管规定企业内部控制基本规范 第三十八条 第三十九条 第四十条保险公司内部控制基本准则 第八条 第四十七条 上海证券交易所上市公司内部控制指引第五条 （七）企业内部控制应用指引第17 号内部信息传递第四条 第十一条 审计程序和方法1、询问并了解公司是否建立信息收集、处理和沟通机制，是否制定严格的内部报告（信息）收集制度、保密制度。2、获取公司信息收集制度，检查是否明确内部控制相关信息的收集、处理和传递程序，检查是否通过有效方式收集内外部信息。3、获取公司内部报告（信息）保密制度，检查是否明确公司报告（232、信息）保密密级，是否制定内部信息保密原则及方法等。4、取得公司运营分析制度和流程指导，检查该制度是否对开展运营分析的各环节进行明确规定，以确保公司运营管理信息及时、正确地传递。5、登入内部网站、取得公司内部刊物，检查公司公开的政策等信息，是否及时向公司员工进行宣导；检查公开宣传信息是否符合公司报告（信息）保密制度的规定。6、随机访问部分员工，确认他们是否知晓公司内部网站和内部刊物，了解公司内部信息沟通渠道是否畅通、有效。7、获取内部控制相关信息在企业内外部沟通反馈资料，检查信息沟通过程中发现的问题，是否及时解决并报告，重要信息是否及时传递给董事会、监事会和公司经营管理层。8、访谈董事会、监事会233、高级管理人员等公司管理层，询问是否及时获取公司经营管理和风险状况等信息，相关信息在公司内流转是否顺畅、处理是否及时，确保各类风险隐患和内部控制缺陷得到妥善处理。二、公文管理审计风险点公文管理是否规范相关法律法规和监管规定审计程序和方法1、询问并了解公司是否建立公文管理制度机制，调阅相关制度规定，检查是否对公文的种类、格式、行文规则、收发文办理、归档等事宜作出规定。2、询问并了解公司负责公文收发的部门、获取部门职责文件、岗位分工等，确认有专门部门、专门人员管理文件的收发、归档等工作。3、获取公司收发文记录、或者获取公文系统查询权限，检查是否收发文记录和要素是否齐全、是否经过了必要的审批，是否存234、在漏记、错记、不按规定审批等问题。4、抽样检查对外报送的文件，检查有关要素是否齐全，是否经过了必要的审批，时间是否及时、内容是否完整等。5、抽样检查收到的文件记录，检查是否经有关程序后制定专人办理。6、结合其他业务和内控检查，抽样检查公司内部报告、会议纪要等文件记录，检查重要事项是否有文档记录留存。7、检查有关手工签名或电子签名是否完整，是否存在未授权冒名审批等问题。8、如果是使用公文系统，要参照上述要求进行检查，并且还要参照信息系统检查方法，检查公文系统权限管控是否存在漏洞。9、与公章审计相结合，获取相关用印记录，与收发文记录对比，检查有关审批、登记记录是否齐全。10、访谈董事会、监事会、高235、级管理人员等公司管理层，询问公文管理是否规范，是否存在管理漏洞等。第三节 反舞弊和举报投诉管理机制审计一、反舞弊工作机制审计风险点是否建立健全反舞弊工作机制，从事前预防、事中监控、事后查处全面防控高风险或重大舞弊案件相关法律法规和监管规定企业内部控制基本规范、保险公司内部控制基本准则审计程序和方法1、询问并了解公司反舞弊的事前预防工作，是否建立适当渠道以获取反舞弊线索。2、询问并了解公司是否建立反舞弊风险预警指标，以防止损失和影响的进一步扩大。跟踪该风险预警指标的计算、报告过程，确认其实施的有效性。3、询问并了解公司反舞弊的事中监控工作，是否对各类高风险和重大舞弊案件会进行全程跟踪和监控，是否236、及时采取有利措施防范通过各种手段谋取不正当利益；4、询问并了解公司反舞弊的事后查处工作。对已发生的舞弊案件，是否针对内控不足及时提出管理建议并督促整改。5、询问并了解公司是否通过处罚和廉政教育，倡导守法合规的企业文化和员工合规意识。6、了解公司反舞弊线索、来源的评估与调查流程，评估公司各层级之间反舞弊工作是否衔接紧密，是否可确保及时发现、有效应对风险。7、了解反舞弊预警系统的运行情况，是否可实现对舞弊行为最可能尽早发现并采取措施。8、了解并评估反舞弊调查机制，包括调查方法、调查手段、调查原则性方案等。9、了解公司对于舞弊行为的问责机制，包括其制订、程序规范性和问责结果的执行。二、举报投诉管理机237、制审计风险点是否建立健全举报投诉管理机制相关法律法规和监管规定企业内部控制基本规范、保险公司内部控制基本准则审计程序和方法1、询问并了解公司是否建立举报投诉机制； 获取反舞弊举报投诉制度，检查是否明确了投诉途径、投诉处理程序、办理时限和结案要求等内容。2、询问并了解公司是否建立举报人保护制度；获取举报人保护制度，检查是否明确举报投诉处理的原则，保护举报投诉人的合法权益。3、询问并了解公司是否有进行举报投诉机制和举报人保护制度的培训；随机选取公司员工和管理层，询问其是否知晓反舞弊举报投诉机制和举报人保护制度。4、获取举报投诉案件及处理文档，检查案件处理进度、调查结果等，并检查是否提交至审计责任人238、（邮件）。5、获取举报投诉案件相关文档，检查是否及时就检举揭发的问题或舞弊或造假行为向审计委员会汇报。案例：反舞弊机制存在漏洞、缺乏举报人保护制度案例介绍某公司的反舞弊投诉途径为员工向公司管理层举报、管理层经过调查后上报董事会。然而该公司的两名高管共同参与舞弊行为。在员工向其中一名高管投诉另一名高管后，该名高管向董事会隐瞒了投诉，并寻机将投诉员工解雇，以防止其继续投诉。这两名高管的舞弊行为后被审计师发现。审计过程及方法1、询问并了解公司是否建立反舞弊举报投诉机制； 获取反舞弊举报投诉制度，检查其投诉途径是否能保持一定的独立性，例如向审计委员会、独立董事或其下属的代理人汇报。2、询问并了解公司是239、否建立举报人保护制度；获取举报人保护制度，检查是否明确举报投诉处理的原则，保护举报投诉人的合法权益，并由有一定独立性的机构或个人进行监督。3、获取举报投诉案件相关文档，检查是否及时就检举揭发的问题或舞弊或造假行为向审计委员会汇报。风险剖析公司未建立健全反舞弊举报投诉制度及举报人保护制度。单独建立反舞弊举报投诉机制并不能保证舞弊行为能及时为公司管理层所知晓，尤其在存在共同舞弊行为时，投诉途径的相对独立性可以提高投诉的有效性。同时，缺乏对举报人的保护可能会使得潜在举报人为了自己的利益而隐瞒事实。处理整改建议1、修改反舞弊投诉途径以保证投诉途径能保持其独立性。2、完善举报人保护制度，保护举报人合法权240、益不因其投诉行为而受到影响。第四节 信息系统内控有效性审计一、信息系统安全管理审计风险点信息系统的功能、性能和安全性是否得到了有效保障相关法律法规和监管规定保险公司信息化工作管理指引（试行） 第十八条 各公司应按照有效性、可用性和安全性的原则，对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定并按规定实施，至少保证满足公司未来两年的业务发展要求。审计程序和方法1、访谈了解是否制定了公司信息化基础设施和信息系统规划等相关制度。2、获取公司信息化基础设施和信息系统规划等相关制度，检查该制度是否对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定，是否可以确保公司未来两年的业务241、发展需要。3、检查相关部门是否按照规定内容实施作业，信息系统是否出现过重大安全事故，信息安全问题是否得到及时的解决。4、获取信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的制度和记录，检查是否利用信息技术有效促进信息的集成与共享，是否符合公司信息安全管理规定。二、信息技术发展规划审计风险点是否缺乏信息技术战略规划，或规划不合理相关法律法规和监管规定保险公司信息化工作管理指引（试行） 第十三条 审计程序和方法1、获取公司的信息化规划制定和管理制度，检查该制度是否明确规定了公司信息化规划的制定、批准、审查、评估和修订机制。2、获取公司战略规划和信息化工作规划，检查公242、司是否按照公司战略规划制定信息化工作规划；检查公司信息化工作委员会是否对信息化工作规划进行讨论和审批；检查信息化工作规划是否得到公司最高决策层的批准。3、检查公司对信息化规划的定期审查、评估和修订机制，修订后的规划是否经过信息化工作委员会的审批和公司最高决策层的批准。三、信息系统内控有效性审计风险点信息系统是否有效支持内部控制的需要，是否能有效防范经营风险相关法律法规和监管规定企业内部控制应用指引第18 号信息系统第四条审计程序和方法1、获取公司信息化基础设施和信息系统规划等，是否充分考虑公司组织架构、业务范围、地域分布、技术能力等具体情况、是否符合公司内部控制管理的需要。2、检查公司信息系统243、是否满足公司内部控制及日常运营管理的需要，是否出现过内部控制方面的重大安全事故。3、访谈公司高级管理层、内部审计部、运营管理部等系统应用部门，了解公司信息系统运营状况是否符合需要，是否能有效防范经营风险，是否能有效提升公司现代化管理水平。案例：应用系统功能的规划和管理缺乏前瞻性和统筹性案例介绍某保险公司在应用系统的规划和实施方面，部分系统功能可较好满足业务及内控需求，但也有部分系统的功能不能完全满足业务或内控需求。例如再保险系统的数据与公司财务系统的数据存在差异，需要通过数据变更流程进行调整；再如两核系统中对大额保单需等待分保结果方能进行终审、控制功能在系统变更后失效等。审计过程及方法1、获取244、公司的信息化规划制定和管理制度，检查该制度是否明确规定了公司信息化规划的制定、批准、审查、评估和修订机制。2、获取公司战略规划和信息化工作规划，检查公司是否按照公司战略规划制定信息化工作规划；检查公司信息化工作委员会是否对信息化工作规划进行讨论和审批；检查信息化工作规划是否得到公司最高决策层的批准。3、检查公司对信息化规划的定期审查、评估和修订机制，修订后的规划是否经过信息化工作委员会的审批和公司最高决策层的批准。风险剖析公司缺乏信息技术战略规划或规划不合理，缺乏前瞻性和统筹性的设计和规划可能导致应用系统无法满足日益增长的业务需要。从IT治理的角度来看，IT系统的规划是整个IT治理生命周期的第245、一步，也是最关键的环节，其后的价值传递、风险评估、资源配置和性能管理的有效实施均依赖于系统需求和规划的前瞻性和指导性。公司发现的这些缺陷一方面导致频繁的系统变更或后台数据修改，影响应用系统的可靠性；另一方面不得不增加手工替代控制来完成对业务流程的有效控制，增加了额外的管理成本。系统规划不足导致系统结构过于分散，集中化程度较低，容易增加业务系统单点故障发生率，影响业务数据流转的有效性和及时性，若业务系统功能不完善，存在逻辑错误，或者系统功能不稳定，当改变系统中某些特定的参数或数据时，系统可能做出一些错误的判断等，都直接关系到财务系统核算的准确性和财务报表相关科目金额的正确性。后台数据变更过于频繁246、，也不利于业务部门及财务部门的数据确认，增加了财务数据确认入账过程中的人力物力投入。处理整改建议1、对信息系统建设进行统一规划，加强信息系统实施效果的事后评估，从而使信息系统能切实满足相应的业务发展和控制需求。2、在功能方面，尽量利用现有系统的自动控制功能以实现业务要求并强化控制，在集中化的进程中，将业务需求与系统需求紧密结合，增强系统功能的前瞻性和灵活性。3、在实际操作中，建议信息技术部进一步分析有关后台修改的请求信息，对于频繁发生的修改请求应考虑增加前台修改功能，一方面提高系统的灵活性，另一方面可减少后台修改所带来的风险和管理成本。第五节 信息披露管理审计风险点信息披露管理是否规范相关法律247、法规和监管规定保险法、保险公司信息披露管理办法、保险公司内部控制基本准则等审计程序和方法1、询问并了解公司是否建立信息披露管理制度；获取信息披露管理制度，检查其内容是否符合保险公司信息披露管理办法的规定。2、查阅信息披露相关记录文件，包括但不限于信息披露日志、披露公告/电子档案等，确认其归档完整和易于查阅。3、通过公司网站、媒体等途径，检查公司是否依照监管规定，披露了（一）基本信息；（二）财务会计信息；（三）风险管理状况信息；（四）保险产品经营信息；（五）偿付能力信息；（六）重大关联交易信息；（七）重大事项信息等信息，检查是否存在遗漏。4、随机抽取有关业务部门员工，询问并评估其对于信息披露相关248、管理制度和流程的了解程度。5、取得信息披露事务相关管理制度，检查是否对公司内、外部信息的发布和公司内、外部沟通的管理进行明确规定，特别是敏感信息的披露标准和要求，并察看信息披露的标准和要求是否合法合规。案例：信息披露违规操作案例介绍某保险集团在年度财务报表中未披露其在合并业务中产生的重大亏损，并隐瞒了其曾经回溯一项高价值的优先股购买协议以满足最低偿付能力额度的要求，还以商业秘密为由拒绝股票交易所有关中期亏损的询问。同时，公司的精算师受到公司管理层的制约,造成对准备金所用假设过于乐观。监管机构得到的公司经营业务情况由于存在不客观和不真实的内容，使得监管机构对公司所存在的问题没有及早采取适当的措施249、,最终造成了不可挽回的损失。审计过程及方法1、获取信息披露管理制度，检查其内容是否符合保险公司信息披露管理办法 的规定，是否明确了各类根据法律法规需要披露的信息。2、获取信息披露管理制度，检查其是否明确了内部监督、评价和责任追究制度。风险剖析公司信息披露不当或违规。现在监管机构对公司信息披露的要求越来越高，信息披露的不真实和不完整不仅会影响到投资人和监管机构的决策，还会影响到公司的声誉甚至使公司受到罚款处罚或更严重的行政刑事处罚。处理整改建议1、修改信息披露管理制度以确保公司信息披露符合法律法规规定的披露要求。2、设立信息披露的监督机制和责任追究机制，使披露的信息不会受到不正当的操纵。第六章 250、内部监督审计第一节 内部监督概述内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。下面，我们结合保险公司实际，将内部监督细分为内部控制监督制度、内部控制缺陷认定和内部控制自我评价三个子流程，针对这些子流程中涉及到的主要风险及控制活动提出最佳实践，并分别介绍相应的审计程序和方法。一、内部控制监督制度企业应当制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；251、专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。二、内部控制缺陷认定企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。三、内部控制自我评价企业应当结合内部监督情况，定期对内部控制252、的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。保险公司内部审计部门对内部控制履行事后检查监督职能。内部审计部门应当定期对公司内部控制的健全性、合理性和有效性进行审计，审计范围应覆盖公司所有主要风险点。审计结果应按照规定的时间和路线进行报告，并向同级内控管理职能部门反馈，确保内控缺陷及时彻底整改。保险公司内部控制评价应当由公司内部审计部门、内控管理职能部门和业务单位分工协作，配合完成。保险公司实施完成内部控制评价工作以后，应当编制内部控制评估报告。保险公司可以根据本单位实际，指253、定内部审计部门或内控管理职能部门牵头负责评估报告的编制工作。保险公司内部控制评估报告应当至少包括以下内容：（一）本公司内部控制评价工作的基本情况，包括内部控制评价的程序、标准、方法和依据；（二）本公司建立内部控制体系的工作情况，包括董事会、监事会和管理层在内部控制建设所做的具体工作；（三）本公司内部控制的基本框架和主要政策；（四）本公司内部控制存在的重大缺陷、面临的主要风险及其影响；（五）本公司上一年度发生的违规行为和风险事件及其处理结果；（六）对内控缺陷及主要风险拟采取的改进措施和风险应对方案；（七）对本公司内部控制健全性、合理性、有效性的评价结果，并根据监管部门的评价标准，得出自评得分及等254、级。保险公司内控评价结果分以下四类：（一）合格。合格是指保险公司内部控制基本健全、合理、有效。（二）一般缺陷。一般缺陷是指保险公司内部控制设计基本合理，基本覆盖重要业务环节和高风险领域，但无法保证有效执行，存在运行缺陷。（三）重大缺陷。重大缺陷是指保险公司内部控制未能完全覆盖重要业务环节和高风险领域，且无法保证有效执行，同时存在设计缺陷和运行缺陷。（四）实质性漏洞。实质性漏洞是指保险公司因内部控制设计或运行的严重缺陷，导致公司发生重大风险事件或重大舞弊行为，造成公司财务或声誉损失，严重影响经营目标实现。保险公司内部控制评估报告应当提交董事会审议。审议通过后的内部控制评估报告，应当于每年四月三十255、日前以书面和电子文本方式同时报送中国保监会。保险公司应当建立内控问责制度，根据内控违规行为的情节严重程度、损失大小和主客观因素等，明确划分责任等级，规定具体的处理措施和程序。对已经发生的内控违规行为，应当严格执行内控问责制度，追究当事人责任。因内控程序设计缺陷导致风险事故发生的，要同时追究内控职能部门的责任。上级管理人员对内控违规行为姑息纵容或分管范围内同类内控事件频繁发生的，要承担管理责任。第二节 内部控制监督制度审计一、内部控制监督制度审计风险点是否建立健全内部控制监督制度相关法律法规和监管规定企业内部控制基本规范第四十四条 审计程序和方法1、询问并了解公司是否制定内部控制监督制度2、获取256、公司内部控制监督制度，评估内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限是否明确，是否对内部监督的程序、方法和要求做出规定。3、通过访谈，了解公司日常监督和专项监督的实施情况，检查专项监督的范围和频率是否根据风险评估结果以及日常监督的有效性等予以确定。4、检查内部控制审计工作结果，查看是否按照内部监督制度规定开展相关工作。二、内部审计管理审计风险点内部审计是否有充分独立性，是否有相应的胜任能力相关法律法规和监管规定企业内部控制基本规范、保险公司内部审计指引（试行）等审计程序和方法1、询问并了解公司是否设置内部审计机构；获取内部审计机构的部门章程，检查是否明确了其职责257、权限、内部监督程序、方法和要求；检查制度是否得到定期检阅和更新，以符合实际运营需求。2、获取内部审计机构的组织架构图和主要职责说明；检查是否从制度上对内审机构的设置、人员配置和工作的独立性进行了保证；检查内部审计机构的设置是否充分考虑企业的性质、规模、内部治理结构及相关规定。3、获取季度、半年度、年度内部审计报告，检查是否就审计工作开展的情况及重要问题进行汇报；检查该系列报告是否及时提交董事会审计委员会审议并获通过。3、获取内部审计人员简历，查看是否具备相关的专业经验和胜任能力。4、检查内部审计人员培训情况。5、询问并了解公司审计部门是否建立内部审计工作质量考核、评估办法。询问并了解公司审计部258、门是否定期实施审计质量自我评估，获取相关审计质量自我评估报告，检查评估报告是否符合监管要求。三、合规管理审计风险点是否建立健全合规管理体系相关法律法规和监管规定企业内部控制基本规范、保险公司合规管理指引等审计程序和方法1、询问并了解公司是否建立合规管理部门或者设置合规岗位进行合规管理工作，取得合规部的组织架构图和主要职责说明,检查是否对合规部的设置、人员配备工作职能、汇报路线进行设置。2、询问并了解公司是否制定合规政策、是否进行合规培训，取得合规相关培训资料，检查是否建立了全方位、多样化的法制教育体系，定期/不定期进行专业培训，增强全体员工的合规观念，是否明确各部门对合规管理负有直接和第一位的259、责任。3、取得合规部门工作重点的描述性文档，检查其工作内容、项目类型是否符合国家监管要求，涵盖主要全面风险管理、内部控制各环节。四、日常监督和专项监督开展情况审计风险点是否开展日常监督和专项监督相关法律法规和监管规定企业内部控制基本规范审计程序和方法1、取得年度审计计划及配套的行事历，检查是否就全系统（包括各专业子公司）年度审计工作目标、审计范围、审计频率、具体工作计划和方式、具体日程安排等内容进行了清晰规划。2、取得审计委员会对该计划的审议记录，检查是否经过与审计委员会沟通以确保内部审计活动的内容、范围、评估深度以及频率的适当性，并取得审计委员会审批。3、抽样检查有关审计工作的计划、方案、底260、稿、报告及后续跟踪等资料，检查审计计划是否得到有效执行。4、获取被审计期间所有专项检查、临时性检查工作清单，抽样或全面调阅有关检查档案资料，核实相关工作是否有针对性、有效性。五、对子公司和分支机构内审监督管理情况审计风险点是否建立对子公司的内部审计监督; 是否对分支机构开展内控检查工作相关法律法规和监管规定上海证券交易所上市公司内部控制指引第十五条保险公司分支机构内部控制评价办法（试行）审计程序和方法1、获取控股子公司/辖属机构的内部审计制度和内控制度；检查该制度是否明确与母公司审计职能的关系，明确各自内部审计的目标、范围职责分工、汇报条线、报告制度，以及内审人员轮岗和借用等内容。2、检查内部261、审计体系的会议纪要控股子公司/辖属机构审计报告提交到总公司的情况等，评估内审机构内部协同的程度。3、获取控股子公司/辖属机构年度内控检查计划，检查是否明确本年度控股子公司/辖属机构内控检查覆盖情况、频率及检查内容等。4、获取控股子公司/辖属机构内控检查报告，检查是否有效的开展内控检查工作，并提出优化建议。5、询问并了解母公司是否对控股子公司/辖属机构进行内部控制的健全性、合理性和有效性实施检查、评价，并获取相应的检查和评价报告。第三节 内部控制缺陷认定审计一、内部控制缺陷处理机制审计风险点是否建立内部控制缺陷认定标准并及时报告发现的内控缺陷；是否建立内部控制缺陷整改跟踪机制相关法律法规和监管规262、定企业内部控制基本规范、保险公司内部控制基本准则、保险公司内部审计指引（试行）等审计程序和方法1、获取相关制度规定，检查是否包括内部控制缺陷认定的标准，是否规定缺陷及时报告，是否制定相应的跟踪整改机制，对照检查是否符合监管要求。2、获取内控缺陷报告，检查是否分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。3、全部调阅或随机抽取年度常规审计报告，检查是否包含关于以往审计检查控制缺陷跟踪整改、后续审计情况的内容。4、全部调阅或随机抽取内部审计责任人或内部审计部门工作报告，检查是否对审计检查发现的控制缺陷后续整改进度情况进行汇总分析并报告的内容。二、重大异263、常情况处理机制审计风险点是否将重大异常情况及时向董事会报告，董事会是否及时向上交所报告该事项并发布公告相关法律法规和监管规定企业内部控制基本规范、保险公司内部控制基本准则、保险公司内部审计指引（试行）等审计程序和方法1、询问并了解内部审计部门在审计工作过程中是否发现公司存在重大异常情况，获取对于重大异常情况的董事会讨论会议纪要，抄报监事会纪录。2、获取董事会对重大异常情况提出切实可行的解决措施的文档，必要时及时报告监管部门的记录。第四节 内部控制自我评价审计一、内部控制自我评估工作审计风险点是否定期开展内部控制有效性自我评价并出具内部控制评估报告，是否聘请会计师事务所对财务报告内部控制进行审计264、并出具审计报告相关法律法规和监管规定企业内部控制基本规范第四十六条、第四十七条，保险公司内部控制基本准则 第八条 第四十九条，保险公司内部审计指引（试行） 第十九条，保险公司内部控制基本准则 第四十九条 第五十条 第五十二条 第五十三条 第五十五条，上海证券交易所上市公司内部控制指引 第三十二条审计程序和方法1、询问并了解公司是否建立内部控制评价制度，获取内部控制评价制度。2、询问并了解公司审计部门是否对内部控制进行审计检查，取得季度、半年度、年度有关内部控制方面的审计工作总结报告，检查是否就内部控制自我评价工作开展的情况进行评估、对其中重要问题进行汇报；检查该系列报告是否及时提交相关部门、高265、级管理层。3、询问并了解公司是否按照监管要求进行内部控制自我评价，取得年度内控评估工作相关底稿记录；检查是否对参评各实体提交的自评材料进行了适当评估和记录；检查工作底稿是否以书面形式保存完整。4、获取内部控制自我评价报告，检查公司是否结合内部监督情况，定期对内部控制的有效性进行自我评价，并经董事会审议通过、上报监管部门、披露年度内部控制自我评估报告。5、询问并了解公司是否聘请会计师事务所对内部控制有效性进行审计并出具内部控制审计报告，获取会计师事务所出具内部控制审计报告。检查公司是否按照监管要求，及时报备、披露内部控制自我评估报告、内部控制审计报告。6、获取企业内部控制自我评估工作中发现的缺陷266、汇总。检查公司对重大、重要缺陷是否建立整改追踪机制，并及时予以整改。二、内部责任追究机制审计风险点是否建立内部控制责任追究机制相关法律法规和监管规定保险公司内部控制基本准则第八条、第五十八条，保险机构案件责任追究指导意见（保监发201012号）审计程序和方法1、询问并了解公司是否建立内部控制责任追究机制，获取保险公司内部控制责任追究制度，检查制度中是否要求对于内控违规行为和风险事件负有直接责任和管理责任的当事人追究责任。2、询问并了解公司是否存在内部控制重大缺陷及实质性漏洞，若有，调阅全部或随机抽取部分重大缺陷或实质性漏洞有关的资料记录，对于内部控制审计发现的违规行为和风险事件，检查每个违规行267、为和风险事件是否找到相关责任人和责任归属部门，是否向整改部门追究责任，并进行及时整改追踪。案例：责任追究制度不健全、执行不到位案例介绍某保险公司问责制度不符合监管要求、并且执行不到位。审计过程及方法在对某公司问责制度专项审计中，审计人员通过调阅问责制度，以及所有问责案件资料，进行了审核：1、通过将公司问责制度与保险机构案件责任追究指导意见（保监发201012号）对比，检查发现：（1）问责对象不全面，未将代理人列入办法适用范围。（2）混淆“从轻处理”和“减轻处理”的概念，不符合监管要求。根据监管要求，“从轻处理”是在同一档内按低值处理；“减轻处理”是按低一档处理。（3）对被问责人员的后续管理及在268、使用方面的限制性规定不符合指导意见要求；（4）问责路径不明晰，没有细化内部案件责任追究的部门、职责等。2、检查发现，该公司某营销服务员工2010年8月因制售假保单案发，涉及金额200多万，按照规定应当在6个月内对责任人问责，但截止被检查之日，仍未采取问责措施。风险剖析问责制度不健全、执行不到位，将导致公司忽视重大案件风险隐患。处理整改建议1、修改公司问责制度以确保公司问责管理符合法律法规规定的要求。2、开展案件问责全面清查，对所有应当问责的案件及时采取相应的问责措施，强化执行力建设。附件：公司层面内部控制相关的法律法规和监管要求序号名称出台日期生效日期适用范围1公司法2005年10月27日20269、06年1月1日适用于各类公司，包括保险公司2保险法2009年2月28日2009年10月1日适用于保险公司3保监会寿险公司内部控制评价办法（试行）2006年1月10日自发布之日起实施。只适用于健康保险公司、养老保险公司4保监会保险公司信息化工作管理指引（试行）2009年12月29日自2010年1月1日起施行。适用于在保险公司和保险资产管理公司5上海证券交易所发布上海证券交易所上市公司内部控制指引2006年6月4日自2006年7月1日起施行。只适用于上交所上市公司8保监会保险公司内部审计指引（试行）2007年4月9日自2007年7月1日起施行。适用于保险公司及保险资产管理公司9财政部、证监会、审计270、署、银监会、保监会联合发布企业内部控制基本规范2008年6月28日自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。适用于保险公司及保险资产管理公司10财政部、证监会、审计署、银监会、保监会联合发布企业内部控制配套指引2010年4月26日自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。适用于保险公司及保险资产管理公司11保监会保险公司内部控制基本准则2010年8月10日自2011年1月1日起施行。本准则适用271、于在中华人民共和国境内成立的保险公司。保险集团公司、再保险公司和保险资产管理公司的内部控制，参照本准则执行。适用于保险公司及保险资产管理公司12保监会发布保险公司合规管理指引2007年9月7日自2008年1月1日起施行。本指引适用于股份制保险公司、股份制保险控股（集团）公司、外商独资保险公司以及中外合资保险公司，国有独资保险公司、外国保险公司分公司以及保险资产管理公司参照适用。适用于保险公司及保险资产管理公司12保监会保险公司关联交易管理暂行办法2007年4月6日自发布之日起施行。本办法适用于在中国境内依法设立的保险公司及保险资产管理公司。对外资保险公司的关联交易另有规定的，按照其规定执行。适272、用于保险公司及保险资产管理公司13保监会发布保险公司总精算师管理办法2007年9月28日自2008年1月1日起施行。人寿保险公司、养老保险公司和健康保险公司自施行之日起适用本办法；财产保险公司适用本办法的时间和具体适用办法由中国保监会另行规定。适用于保险公司14保监会保险公司财务负责人任职资格管理规定2008年12月31日2009年2月1日适用于保险公司15保监会保险公司董事、监事和高级管理人员任职资格管理规定2010年4月1日适用于保险公司16保监会保险公司管理规定2009年9月18日2009年10月1日适用于保险公司17保监会保险集团公司管理办法（试行）2010年3月20日2010年3月2273、0日适用于保险公司18保监会关于规范保险公司章程的意见2008年7月8日2008年10月1日适用于保险公司19保监会保险公司重大风险处置办法2010年9月14日自公布之日起施行适用于保险公司20证监会上市公司信息披露管理办法2007年1月31日自公布之日起施行适用于上市公司21保监会保险公司信息披露管理办法2010年5月20日自公布之日起施行适用于保险公司22保监会保险公司董事会运作指引2008年7月8日2008年10月1日适用于保险公司23保监会保险公司风险管理指引（试行）2007年4月6日自发布之日起实施适用于保险公司24保监会保险公司董事及高级管理人员审计管理办法2010年9月2日自2011年1月1日起施行适用于保险集团公司和保险资产管理公司。同样适用于外国保险公司分公司但涉及董事会或董事长的有关规定除外。25保监会关于规范保险公司治理结构的指导意见（试行）2006年1月5日26保监会保险公司独立董事管理暂行办法2007年4月6日自发布之日起施行适用于股份有限保险公司，其他保险公司和保险资产管理公司参照执行。