公司层面内部控制管理知识分析手册.doc

第五次保险稽查审计联席会议材料一：保险稽查审计指引公司层面内部控制分册（审议稿）2011年12月导 言近年来，世界各国对企业内部控制建设的重视程度越来越高。2002年美国颁布了公众公司会计改革和投资者保护法案，又称萨班斯奥克斯利法案，该法案第404条款明确规定了管理层对企业内部控制职责；906条款更指出如果企业被认定未达到该法案的要求，将可能使企业和管理层个人受到包括高额罚款甚至监禁等形式的严重处罚。2008年财政部、证监会、审计署、银监会、保监会联合颁布了企业内部控制基本规范，并于2010年发布了企业内部控制配套指引，该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，这一套控制规范被称为中国的“萨班斯法案”，分阶段适用于包括保险公司在内的各类上市公司、非上市大中型企业。与此同时，人们也越来越重视内部审计在内部控制中的作用。一般认为，保险公司内部审计具有监督、评价两方面的基本职能，既是内部控制的一部分，同时又是内部控制的测试者，对内部控制体系进行评估、评价已经成为内部审计的一个重要工作内容。内部审计师通常要每年对公司高管层提交内部控制评价报告，高管层认可后对外报送或披露。这事实上就把内部审计从“后台”推向了“前台”，如果公司内部控制状况不佳，内部审计部门也负有不可推卸的责任。根据国际上普遍认可的COSO内部控制体系框架，内部控制通常被分为控制环境、风险识别与评估、控制活动、信息与沟通、监督五个要素。在内部控制五要素中，由于控制活动与具体的业务活动相关，所以其余四个要素通常被称为公司层面内部控制。公司层面内部控制是其他业务层面控制的奠基石，只有在建立健全公司层面内部控制的基础上，业务层面的各项内部控制才能持续地、有效地开展。结合保险公司实际，根据保险稽查审计指引体例安排，控制活动的有关审计内容已在各业务分册体现，而公司层面内部控制审计在此专门制作一个分册。公司层面内部控制分册是在基本手册介绍的有关保险公司内部审计工作基础理论、标准、方法、实务操作规范等内容的基础上，基于风险导向的方法论，依据现行保险法律法规及监管要求，在系统梳理公司层面内部控制风险点和全面总结相关审计工作稽查实践经验的基础上，而撰写的关于如何开展公司层面内部控制审计工作的操作手册，并附以案例参考，试图以更清晰的方法和思路透视公司层面内部控制，为保险公司提高内部审计工作效率，提升理论与实务分析的结合度提供指导与借鉴。在应用本手册对保险公司公司层面内部控制开展审计时，除了需要遵循基本手册和本分册的要求外，还要参考并结合其他业务分册相关具体内容来开展；在实施审计过程中，需加强具体业务、财务活动审计的配合和信息沟通，避免出现遗漏。此外，各保险公司的具体实践不尽相同，因此在运用本手册过程中，还应结合被审计单位的实际状况进行灵活运用。限于水平和经验，本手册还存在诸多不足之处，敬请读者多多批评指正，以便今后进一步修订完善。涵盖了企业价值、不动产、无形资产、机器设备、珠宝首饰等评估业务主要领域，涉及业务承接、业务操作、报告出具等评估业务全过程，在基本概念、方法体系、价值类型等方面与国际评估准则趋同，初步构建了资产评估准则体系，执业有据可依、检查有规可循的格局基本形成。第191页 共191页目 录目 录5第一章 保险公司公司层面内部控制基础9第一节 内部控制概述9一、内部控制的概念9二、内部控制的目标12三、内部控制的原则13四、内部控制五要素之间的关系15第二节 公司层面内部控制概述16一、公司层面内部控制概念16二、保险公司公司层面内部控制概念16第二章 公司层面内控审计的程序与方法21第一节 公司层面内控审计的程序21第二节 公司层面内部控制审计方法26一、一般方法27二、特殊方法29三、公司层面内控审计方法应用的注意要点31第三节 计算机辅助实施公司层面内控审计32第三章 内部环境审计35第一节 内部环境概述35一、公司治理35二、组织架构58三、发展战略70四、人力资源72五、企业文化75六、社会责任77第二节 公司治理审计79一、公司章程审计79案例一：公司章程修改后未报批80二、股东与股东（大）会审计82案例二：委托持股或代持股未报告84三、董事、独立董事、董事会及其下设委员会审计85案例三：董事长、独立董事、董事会秘书未尽职87四、监事和监事会审计89案例四：监事会没有职工代表参加90五、关联交易管理审计90案例五：没有充分识别关联方、关联交易管理不合规91六、董事、监事、高管任免、薪酬管理审计92案例六：假造薪酬委员会决议、发放高管薪酬93案例七：以假学历骗取高管任职资格95七、集团化管控审计（集团公司适用）96第三节 组织架构审计97一、组织架构管理审计97二、经营管理层任职履职情况审计98三、精算管理、财务管理、法律管理、合规管理、风险管理、信息化管理、内部审计管理组织架构审计98第四节 发展战略、人力资源、企业文化、社会责任审计99一、发展战略审计99二、人力资源管理审计101案例八：未能制定强制休假、轮岗制度102案例九：不合理的奖金分配制度104案例十：绩效体系不完善106三、企业文化建设审计110四、社会责任审计112案例十一：内部管理混乱、内控完全失效113第四章 风险管理审计115第一节 风险管理概述115一、风险管理组织115二、风险目标设定117三、风险评估118四、风险应对120五、风险管理的监督与改进122第二节 风险评估常用方法和风险应对常用策略123一、风险评估的常用方法123二、风险应对的常用策略124第三节 风险管理组织审计126一、风险管理委员会审计126二、风险管理职能审计127三、风险信息共享机制审计128四、风险管理宣导与培训129案例十二：风险管理组织不健全129第四节 风险目标设定审计131第五节 风险评估审计131一、风险识别审计131案例十三：风险识别不全面132二、风险分析与评价审计133第六节 风险应对审计134一、风险管理总体策略审计134二、风险限额审计135三、风险解决方案审计136案例十四：风险应对策略调整不及时137第七节 风险管理的监督与改进审计138一、风险管理监督与改进审计138二、风险管理报告审计139第五章 信息与沟通审计140第一节 信息与沟通概述140一、信息收集、处理与传递140二、反舞弊和举报投诉管理机制141三、信息系统内控有效性142四、信息披露管理142第二节 内外部信息收集、处理与传递审计145一、内外部信息收集、处理与传递机制审计145二、公文管理审计146第三节 反舞弊和举报投诉管理机制审计148一、反舞弊工作机制审计148二、举报投诉管理机制审计149案例十五：反舞弊机制存在漏洞、缺乏举报人保护制度149第四节 信息系统内控有效性审计151一、信息系统安全管理审计151二、信息技术发展规划审计152三、信息系统内控有效性审计152案例十六：应用系统功能的规划和管理缺乏前瞻性和统筹性153第五节 信息披露管理审计155案例十七：信息披露违规操作156第六章 内部监督审计158第一节 内部监督概述158一、内部控制监督制度158二、内部控制缺陷认定159三、内部控制自我评价159第二节 内部控制监督制度审计161一、内部控制监督制度审计161二、内部审计管理审计162三、合规管理审计163四、日常监督和专项监督开展情况审计163五、对子公司和分支机构内审监督管理情况审计164第三节 内部控制缺陷认定审计165一、内部控制缺陷处理机制审计165二、重大异常情况处理机制审计166第四节 内部控制自我评价审计166一、内部控制自我评估工作审计166二、内部责任追究机制审计167案例十八：责任追究制度不健全、执行不到位168附件：公司层面内部控制相关的法律法规和监管要求170第一章 保险公司公司层面内部控制基础第一节 内部控制概述一、内部控制的概念（一）内部控制最早被作为专业概念提出是在1936年美国会计师协会发布的独立公共会计师对财务报表的审查中，指为保护现金和其他资产，检查簿记事务的准确性而在公司内部采取的手段和方法。其后，随着内部控制理论的不断完善，这一概念的内涵和外延都发生了较大的变化。当前世界各国广泛采用和认可的是由美国反虚假财务报告委员会下属的发起人委员会（即COSO委员会）于1992年提出并与1994年修改的内部控制整体框架中对内部控制提出的定义：内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成而提供合理保证的过程。COSO框架从各个层次对风险和控制进行分析和评估，为企业的内部控制管理提供了整体框架体系，首次提出了“五要素”，包括：1、控制环境（Control environment）。它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。2、风险评估（risk assessment）。是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。3、控制活动（control activities）。是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。4、信息和沟通（information and communication）。信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。5、监控（monitoring）。监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。（二）2008年，财政部、证监会、审计署、国资委、银监会、保监会五部委联合发布企业内部控制基本规范（财会20087号），2010年4月26日，又联合发布了企业内部控制配套指引，基本规范和配套指引构建了中国企业内部控制规范体系。基本规范指出，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。基本规范指出，企业建立与实施有效的内部控制，应当包括下列要素：1、内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计 注：基本规范将内部审计作为控制