对内部控制有效评估是内部审计的重要任务
                  ——兼论《保险公司内部审计指引（试行）》

窦力鸣

（中国人寿保险股份有限公司山西省分公司，山西 太原 030001）

    ［摘要］中国保监会新近公布的《保险公司内部审计指引（试行）》构建起了保险公司内部审计框架，涵盖了保险公司内部审计的主要方面，是对《关于规范保险公司治理结构的指导意见》的重要补充。《指引》赋予内部审计工作的全部任务都与对公司的内部评估密不可分，对内部控制有效评估是内部审计的重要任务。为了切实发挥内部审计的作用，必须对内部控制有一个清晰的认识，并在开展内部控制评估中把握好目标、标准、原则、要素和程序等五个基本问题。
    ［关键词］公司治理；内部控制；内部审计
    ［中图分类号］ F840.32 ［文献标识码］ A ［文章编号］1004-3306（2007）08-0061-03
    Abstract： “Internal Auditing Guidance for Insurance Companies (Provisional)”recently issued by CIRC laid out a framework for insurer’s internal auditing. It covers many aspects of internal auditing, and is an important supplement to “Guiding Opinions on Standardizing Governance Structure of Insurance Companies”. All tasks conferred to internal auditing by the “Guidance” are closely related to insurer’s internal appraisal of internal control, which is a major function of internal auditing. To fully play the role of internal auditing, we must establish a clear understanding of internal control, and properly grasp the 5 basic questions of target, standard, principle, major factors and procedure in appraising internal control.
    Key words：corporate governance; internal control; internal auditing

中国保险监督管理委员会于2007年4月9日公布了《保险公司内部审计指引（试行）》（以下简称《指引》），要求各保险公司、保险资产管理公司从7月1日起遵照执行。《指引》共分为8章、43条，包括总则、机构与人员、职责与权限、工作机制、责任追究和附则等，构建了保险公司内部审计框架，涵盖了保险公司内部审计的主要方面。《指引》标志着保险公司内部审计规范建设迈出了坚实的一步，具有里程碑的意义。《指引》与中国保监会此前发布的《关于规范保险公司治理结构的指导意见》（以下简称《指导意见》）等一系列规章共同构成了一个法规体系。在这个体系中，公司治理、内部控制、内部审计之间存在着内在的、必然的、紧密的联系。如何在《指引》指导下，发挥内部审计的作用，是值得思考和研究的问题。
一、《指引》是对《指导意见》的细化和补充
公司治理是近年来保险理论界和实务界关注的焦点话题之一，直接关系到保险公司的生存与发展。2006年1月5日，中国保监会依据体制改革、保险监管和市场体系的变化和要求，适时出台了《指导意见》，成为完善保险公司治理结构的总体指导性文件。其目的就是通过严格的问责体系，使保险公司建立一套科学有效的决策和控制机制，切实防范经营风险，保护被保险人、投资者及其它利益相关者的合法权益。《指导意见》对于完善保险公司治理结构、加强公司内控建设、防范经营管理风险和实现保险业又好又快发展具有深远而重要的意义。
《指导意见》通过强化股东义务、加强董事会建设、发挥监事会作用、规范管理层运作、加强关联交易和信息披露管理、治理结构监管等七方面的相关规定，描述了保险公司公司治理的基本框架。在这一整体框架中，内部审计有着不可替代的地位，并发挥着至关重要的作用。例如，其中明确要求保险公司董事会下设审计委员会，并在董事会履行其职责中承担不可或缺的责任。《指导意见》中规定，“审计委员会负责定期审查内部审计部门提交的内控评估报告、风险管理部门提交的风险评估报告以及合规管理部门提交的合规报告，并就公司的内控、风险和合规方面的问题向董事会提出意见和改进建议”；设立审计部门是规范管理层运作的重要内容，《指导意见》要求，为加强内控、风险和合规方面的工
［作者简介］窦力鸣，注册会计师，国际注册内部审计师，现任中国人寿保险股份有限公司山西省分公司总审计师。
作，保险公司应当设立审计、风险管理和合规管理等职能部门，其中，“审计部门负责对保险公司的业务、财务进行审计，对内控进行检查并定期提交内控评估报告。审计部门应当是独立的工作部门，专职负责审计工作”。
但是，《指导意见》只是纲领性文件，对保险公司内部审计工作中一些操作层面的细节没有也不可能做出详细规定，《指引》则弥补了这一空白。例如，《指引》要求，保险公司应当在董事会下设立审计委员会，并且建立与其治理结构、管控模式、业务性质和规模相适应的内部审计体系，该体系应在费用预算、业务管理和工作考核等方面相对独立，主要负有对公司及所属单位各项经营管理活动和财务活动的真实性、合规性进行监督、检查、评价等职责。《指引》要求保险公司内部审计部门应当结合公司发展战略，在分析评估风险分布状况的基础上明确审计重点，制订年度审计计划。《指引》建议，审计委员会对其关注的重大问题，可以要求管理层组织调查，也可以在其职权范围内直接调查或者委托独立的中介机构调查。保险公司在考核经济目标和任免所属单位负责人时应将内部审计情况作为重要依据，并听取审计负责人的意见。作为风险控制的一道关口，《指引》规定保险公司要定期向保监会提交内部审计工作报告和经董事会审议的内部控制评估报告，并且及时报告审计中发现的重大风险问题。
可见，《指引》与《指导意见》、《保险公司独立董事管理暂行办法》、《保险公司关联交易管理暂行办法》、《保险公司风险管理指引（试行）》等一并构成了完善公司治理结构的规范性、指导性文件体系，并且是对《指导意见》的进一步细化和补充，增强了内部审计工作的操作性和指导性，完善了保险公司治理结构的制度体系，促使保险公司在内部建立严格的管控体系，进一步完善公司治理结构，不再单纯地依赖监管机构对其市场行为进行监管，从而使公司步入良性发展的轨道。
二、正确理解内部控制是完成《指引》赋予内部审计任务的基础条件
《指引》第1条阐明，制定《指引》是“为加强内控管理，完善公司治理结构，提高保险公司风险防范能力”，第19条规定，“保险公司内部审计部门应当每年对公司内部控制的健全性、合理性和有效性进行全面评估，出具内部控制评估报告”，可见，对保险公司内部控制进行评估是《指引》赋予保险公司内部审计最重要的任务之一。
同时，对内部控制进行评估还是完成内部审计其他任务的前提条件。《指引》第3条明确规定，内部审计是“对其内部控制的健全性和有效性、业务财务信息的真实性和完整性、经营活动的效率和效果以及经营管理人员任期内的经济责任等开展的检查、评价和咨询等活动”，这表明内部审计的主要审计事项可以分为内部控制、业务财务信息、经营效率和效果、管理者经济责任四大类。而根据COSO报告，内部控制的目的在于对以下三个目标的实现提供合理的保证：经营的有效性和有效率、财务报告的可信度、对现行法律和规章制度的遵守，这就在客观上要求对内部控制以外的其它三类事项的审计必须建立在对内部控制评估的基础之上。
为了履行好《指引》赋予的对保险公司内部控制评估的任务，作为内部审计工作者，必须对内部控制有足够的理解和把握，正确理解内部控制是打开内部审计对象之门的“金钥匙”，是完成内部审计工作的一项基本前提条件。正如现代内部审计之父劳伦斯•索耶所说，控制对内部审计师来说，既是一个机会，也是一种责任，内部审计师不可能成为企业生产经营各方面的专家，但是有一个芝麻开门的秘诀，运用这一秘诀，他们可以打开通常只有技术专家才能打开的大门，这一秘诀就是控制。
对内部控制的理解可以从以下几个方面进行：
1.内部控制设计原则。一家公司在设计内部控制时应从自身实际出发，借鉴内部控制理论，围绕公司发展目标，设计和建立各项控制措施和程序。在设计过程中应遵循相互牵制、协调配合、程式定位、成本效益、整体结构等五项基本原则。
2.内部控制分类。通过对内部控制进行分类，可以充分体现内部控制的设计原则，将表面上看来复杂的控制系统分解成脉络清晰、不同类型的控制措施的组合，便于内部审计人员检查和分析。控制类型主要有预防性控制、检查性控制、纠正性控制、指导性控制、补偿性控制等。
3.内部控制组成。内部控制由控制环境、风险评估、控制活动、信息和沟通、监督五个要素组成。这五个要素相互关联，控制环境是所有员工在公司中从事经营活动、履行控制职责的一种基调，是其他要素的基础，在这种基调下，管理部门评估影响实现本公司目标的经营风险。实施控制活动是为了确保管理部门针对经营风险做出的各种指令得以贯彻执行，同时，管理部门应收集包括财务信息在内的各种相关信息，并在公司内外部进行沟通。最后，要对内部控制的整个设置和执行过程进行监督，并根据情况的变化对内部控制进行适当修改。
4.内部控制实际运行系统。一个有效的内部控制运行系统至少应具备以下几个子系统：恰当的组织结构、优良的信息管理、有效的激励与约束方法、良好的人员素质、必要的外部环境。科学有效的内部控制并非这些子系统的简单叠加，而是由这些相互联系、相互制约、相辅相成的子系统按一定的结构组成的完整的、能对变化的环境做出动态反应的系统。
5.内部控制概念。COSO报告对内部控制定义是，“内部控制是受企业董事会、管理层和其他职员共同作用，为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程”。这表明内部控制是一个公司的内部活动，是公司治理在公司内部的延伸，是一个动态过程。内部控制受到人员沟通影响，其目标具有多样性。
公司内部审计的重要任务就是不断发现公司内部控制系统中潜在或显现的正、负偏差，提出纠正问题、改进管理的建议，促进和帮助公司管理层不断优化内部控制系统，增强其控制的有效性，从而保证公司的各项活动沿着有利于公司目标实现的方向发展，增加公司的价值。
三、对保险公司内部控制进行评估应把握的五个基本问题
保险公司内部控制评估是指对保险公司内部控制体系建设和实施开展的调查、测试、分析和评估等系统性活动。内部审计在依据《指引》等法规开展内部控制评估时，必须把握以下五个问题。
1.明确对内部控制评估的目标。通过对内部控制进行评估要达到的目标可以概括为四个方面：内控有效、增加价值、数据真实、依法合规。内控有效就是可以促进公司强化内部控制意识，建立健全内部控制机制，严格落实各项控制措施，确保内部控制体系有效运行。增加价值就是可以促进公司提高风险管理水平，推动其实现发展战略和经营目标。数据真实就是可以促进公司增强业务、财务和管理信息的真实性、完整性和及时性。依法合规就是可以促进公司严格遵守国家法律法规、保监会的监管要求和公司审慎经营的原则。
2.选准对内部控制进行评估的评判标准。《指引》规定，对内部控制评估的标准是健全性、合理性和有效性。健全性是指公司的经营管理过程和风险是否已被充分识别，过程和风险的控制措施是否得到明确规定并得以保持。合理性是指公司的控制措施能否帮助实现控制目标。有效性是指公司采取的控制措施能否得到有效执行。
3.遵循对内部控制评估的基本原则。这些原则包括全面性、一致性、公正性、重要性、及时性等。全面性原则是指评价范围应覆盖公司内部控制活动的全过程及所有的系统、部门和岗位。一致性原则是指评价的准则、范围、程序和方法等应保持一致，以确保评价结果的客观、可比。公正性原则，即评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。重要性原则，即评价应依据风险和控制的具体情况确定重点，关注重点区域和重点业务。及时性原则，即评价应按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，应及时进行重新评价。
4.按照内控要素对内部控制进行全面评估。保险公司内部控制评价应遵从COSO报告的五要素，从控制环境、风险识别与评估、控制活动、信息与沟通、监督五个方面进行。控制环境涉及公司治理、内部控制政策、内部控制目标、组织结构、企业文化、人力资源等。风险识别与评估应覆盖公司经营的各个环节，充分考虑内部和外部因素，识别法律法规、监管和其他要求，运用适当的方法和技术对风险产生的概率及其后果进行评估，确定风险级别。控制活动则应特别注意业务控制、财务控制、资金控制、信息技术控制等的建立和有效执行。信息与沟通则要注意建立并保持书面程序，持续识别、收集、处理、报告涉及公司目标实现及经营管理有效运作的内外部信息，建立开放、有效的内外部沟通渠道，确保信息及时上传下达，并在上下级机构及部门之间充分交流。监督可分为持续性监控和独立评估。
5.严格执行内部控制评估的工作程序。内部控制的评估包括评估准备、评估实施、评估反馈和评估报告形成四个阶段。评估准备包括组建评估组、制订评估实施方案、评估资料准备等步骤。评估实施包括了解内部控制体系、实施测试与分析等步骤。评估反馈则是内部审计部门实施内部控制评估后，与公司管理层和有关部门的沟通，以核对数据，确认事实。评估报告形成是要求评估组根据评估实施和反馈情况撰写评估报告，评估报告至少应包括以下内容：公司内部控制基本情况；本年度完善内部控制的措施及上年度内部控制缺陷的改善情况；目前内部控制存在的问题和缺陷；下一年度改进内部控制的计划。
《指引》的公布标志着我国保险公司内部审计规范化建设取得了重大进展，保险公司内部审计应当以此为契机，在公司治理、内部控制、风险防范等领域发挥更积极的作用，完善公司治理和内部控制，实现公司目标。在这一发挥内部审计价值的链条中，对内部控制的有效评估是关键所在。
［编辑：施敏］
（上接第69页）在产品开发上还没有跳出投资类产品开发的思路，在贷款产品方面只是简单的贷款的成本附加，而没有利用保险的特点在贷款保障的基础上开发降低贷款成本方面的新产品。
（三）采取与众不同的合作模式
银行、保险公司都在寻找资金方面的合作模式，中小型保险公司在这方面的合作基本上没有优势可言，因此他们要有自己的经营特色，同时要处理好与成本之间的关系，才能在激烈的进入机制中找到出路。比如说与银行合作进行电话行销，引进客户、产品和销售控制的多方合作者的参与；中小型保险公司在成本投入上有一些优势，在产品开发过程中针对银行目前销售的柜台产品开发某个渠道的专署产品，利用客户对价格的敏感性来开发一些新产品，将成熟的产品降低价格，制定出低价的标准产品。
（四）适度建立联合竞争联盟
中小城市保险公司在某个单一方面可能有一定的优势，但是有着互补性的中小型保险公司进行联合将能够提高与银行合作的平等地位。比如专业的健康险公司、专业的养老金公司、综合型中小保险公司进行产品开发方面的捆绑式联合，利用自身的专业优势来做强；还有通过保险公司、地方之间的资金和销售方面的联合，比如第三方之间的间接持股，建立中小型保险公司资金运营联盟来突破各方面对资金运作和销售的限制。
（五）采取保险中介承包经营策略
中小城市保险公司可以依附于大的保险经纪人、保险专业代理人快速发展自身的银行保险业务。通过强大的中介力量来开发银行保险渠道，保险公司提供自身的产品和服务；通过保险专业中介和银行就某个产品进行利润的共享能够突破代理手续费不断攀升的银行保险市场。
［编辑:苏北］保险研究2007年第8期公司经营INSURANCE STUDIESNo.82007