公司层面内控分册-保监会稽核指引.docx

《公司层面内控分册-保监会稽核指引.docx》由会员分享，可在线阅读，更多相关《公司层面内控分册-保监会稽核指引.docx（176页珍藏版）》请在三一办公上搜索。

1、第五次保险稽查审计联席会议材料一：保险稽查审计指引公司层面内部控制分册（审议稿）2011年12月导 言近年来，世界各国对企业内部控制建设的重视程度越来越高。2002年美国颁布了公众公司会计改革和投资者保护法案，又称萨班斯奥克斯利法案，该法案第404条款明确规定了管理层对企业内部控制职责；906条款更指出如果企业被认定未达到该法案的要求，将可能使企业和管理层个人受到包括高额罚款甚至监禁等形式的严重处罚。2008年财政部、证监会、审计署、银监会、保监会联合颁布了企业内部控制基本规范，并于2010年发布了企业内部控制配套指引，该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控

2、制审计指引，这一套控制规范被称为中国的“萨班斯法案”，分阶段适用于包括保险公司在内的各类上市公司、非上市大中型企业。与此同时，人们也越来越重视内部审计在内部控制中的作用。一般认为，保险公司内部审计具有监督、评价两方面的基本职能，既是内部控制的一部分，同时又是内部控制的测试者，对内部控制体系进行评估、评价已经成为内部审计的一个重要工作内容。内部审计师通常要每年对公司高管层提交内部控制评价报告，高管层认可后对外报送或披露。这事实上就把内部审计从“后台”推向了“前台”，如果公司内部控制状况不佳，内部审计部门也负有不可推卸的责任。根据国际上普遍认可的COSO内部控制体系框架，内部控制通常被分为控制环境

3、、风险识别与评估、控制活动、信息与沟通、监督五个要素。在内部控制五要素中，由于控制活动与具体的业务活动相关，所以其余四个要素通常被称为公司层面内部控制。公司层面内部控制是其他业务层面控制的奠基石，只有在建立健全公司层面内部控制的基础上，业务层面的各项内部控制才能持续地、有效地开展。结合保险公司实际，根据保险稽查审计指引体例安排，控制活动的有关审计内容已在各业务分册体现，而公司层面内部控制审计在此专门制作一个分册。公司层面内部控制分册是在基本手册介绍的有关保险公司内部审计工作基础理论、标准、方法、实务操作规范等内容的基础上，基于风险导向的方法论，依据现行保险法律法规及监管要求，在系统梳理公司层面

4、内部控制风险点和全面总结相关审计工作稽查实践经验的基础上，而撰写的关于如何开展公司层面内部控制审计工作的操作手册，并附以案例参考，试图以更清晰的方法和思路透视公司层面内部控制，为保险公司提高内部审计工作效率，提升理论与实务分析的结合度提供指导与借鉴。在应用本手册对保险公司公司层面内部控制开展审计时，除了需要遵循基本手册和本分册的要求外，还要参考并结合其他业务分册相关具体内容来开展；在实施审计过程中，需加强具体业务、财务活动审计的配合和信息沟通，避免出现遗漏。此外，各保险公司的具体实践不尽相同，因此在运用本手册过程中，还应结合被审计单位的实际状况进行灵活运用。限于水平和经验，本手册还存在诸多不足

5、之处，敬请读者多多批评指正，以便今后进一步修订完善。第176页 共176页目 录目 录5第一章 保险公司公司层面内部控制基础9第一节 内部控制概述9一、内部控制的概念9二、内部控制的目标12三、内部控制的原则13四、内部控制五要素之间的关系15第二节 公司层面内部控制概述16一、公司层面内部控制概念16二、保险公司公司层面内部控制概念16第二章 公司层面内控审计的程序与方法21第一节 公司层面内控审计的程序21第二节 公司层面内部控制审计方法26一、一般方法27二、特殊方法29三、公司层面内控审计方法应用的注意要点31第三节 计算机辅助实施公司层面内控审计32第三章 内部环境审计35第一节 内

6、部环境概述35一、公司治理35二、组织架构58三、发展战略70四、人力资源72五、企业文化75六、社会责任77第二节 公司治理审计79一、公司章程审计79案例一：公司章程修改后未报批80二、股东与股东（大）会审计82案例二：委托持股或代持股未报告84三、董事、独立董事、董事会及其下设委员会审计85案例三：董事长、独立董事、董事会秘书未尽职87四、监事和监事会审计89案例四：监事会没有职工代表参加90五、关联交易管理审计90案例五：没有充分识别关联方、关联交易管理不合规91六、董事、监事、高管任免、薪酬管理审计92案例六：假造薪酬委员会决议、发放高管薪酬93案例七：以假学历骗取高管任职资格95七

7、、集团化管控审计（集团公司适用）96第三节 组织架构审计97一、组织架构管理审计97二、经营管理层任职履职情况审计98三、精算管理、财务管理、法律管理、合规管理、风险管理、信息化管理、内部审计管理组织架构审计98第四节 发展战略、人力资源、企业文化、社会责任审计99一、发展战略审计99二、人力资源管理审计101案例八：未能制定强制休假、轮岗制度102案例九：不合理的奖金分配制度104案例十：绩效体系不完善106三、企业文化建设审计110四、社会责任审计112案例十一：内部管理混乱、内控完全失效113第四章 风险管理审计115第一节 风险管理概述115一、风险管理组织115二、风险目标设定117

8、三、风险评估118四、风险应对120五、风险管理的监督与改进122第二节 风险评估常用方法和风险应对常用策略123一、风险评估的常用方法123二、风险应对的常用策略124第三节 风险管理组织审计126一、风险管理委员会审计126二、风险管理职能审计127三、风险信息共享机制审计128四、风险管理宣导与培训129案例十二：风险管理组织不健全129第四节 风险目标设定审计131第五节 风险评估审计131一、风险识别审计131案例十三：风险识别不全面132二、风险分析与评价审计133第六节 风险应对审计134一、风险管理总体策略审计134二、风险限额审计135三、风险解决方案审计136案例十四：风险

9、应对策略调整不及时137第七节 风险管理的监督与改进审计138一、风险管理监督与改进审计138二、风险管理报告审计139第五章 信息与沟通审计140第一节 信息与沟通概述140一、信息收集、处理与传递140二、反舞弊和举报投诉管理机制141三、信息系统内控有效性142四、信息披露管理142第二节 内外部信息收集、处理与传递审计145一、内外部信息收集、处理与传递机制审计145二、公文管理审计146第三节 反舞弊和举报投诉管理机制审计148一、反舞弊工作机制审计148二、举报投诉管理机制审计149案例十五：反舞弊机制存在漏洞、缺乏举报人保护制度149第四节 信息系统内控有效性审计151一、信息系

10、统安全管理审计151二、信息技术发展规划审计152三、信息系统内控有效性审计152案例十六：应用系统功能的规划和管理缺乏前瞻性和统筹性153第五节 信息披露管理审计155案例十七：信息披露违规操作156第六章 内部监督审计158第一节 内部监督概述158一、内部控制监督制度158二、内部控制缺陷认定159三、内部控制自我评价159第二节 内部控制监督制度审计161一、内部控制监督制度审计161二、内部审计管理审计162三、合规管理审计163四、日常监督和专项监督开展情况审计163五、对子公司和分支机构内审监督管理情况审计164第三节 内部控制缺陷认定审计165一、内部控制缺陷处理机制审计165

11、二、重大异常情况处理机制审计166第四节 内部控制自我评价审计166一、内部控制自我评估工作审计166二、内部责任追究机制审计167案例十八：责任追究制度不健全、执行不到位168附件：公司层面内部控制相关的法律法规和监管要求170第一章 保险公司公司层面内部控制基础第一节 内部控制概述一、内部控制的概念（一）内部控制最早被作为专业概念提出是在1936年美国会计师协会发布的独立公共会计师对财务报表的审查中，指为保护现金和其他资产，检查簿记事务的准确性而在公司内部采取的手段和方法。其后，随着内部控制理论的不断完善，这一概念的内涵和外延都发生了较大的变化。当前世界各国广泛采用和认可的是由美国反虚假财

12、务报告委员会下属的发起人委员会（即COSO委员会）于1992年提出并与1994年修改的内部控制整体框架中对内部控制提出的定义：内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成而提供合理保证的过程。COSO框架从各个层次对风险和控制进行分析和评估，为企业的内部控制管理提供了整体框架体系，首次提出了“五要素”，包括：1、控制环境（Control environment）。它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分

13、的基础。2、风险评估（risk assessment）。是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。3、控制活动（control activities）。是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。4、信息和沟通（information and communication）。信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外

14、部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。5、监控（monitoring）。监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。（二）2008年，财政部、证监会、审计署、国资委、银监会、保监会五部委联合发布企业内部控制基本规范（财会20087号），201

15、0年4月26日，又联合发布了企业内部控制配套指引，基本规范和配套指引构建了中国企业内部控制规范体系。基本规范指出，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。基本规范指出，企业建立与实施有效的内部控制，应当包括下列要素：1、内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计 注：基本规范将内部审计作为控制环境的一部分，但本手册按照通常理解，将内部审计放在监督一章。、人力资源政策、企业文化等。2、风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。3、控制活动。控制活动

16、是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。4、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。5、内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进。（三）2010年，中国保监会颁布的保险公司内部控制基本准则（保监发201069号）指出，内部控制是指保险公司各层级的机构和人员，依据各自的职责，采取适当措施，合理防范和有效控制经营管理中的各种风险，防止公司经营偏离发展战略和经营目标的机制和过程。基本准则指出，保险公司内部控制体系包括以

17、下三个组成部分：1、内部控制基础。包括公司治理、组织架构、人力资源、信息系统和企业文化等。2、内部控制程序。包括识别评估风险、设计实施控制措施等。3、内部控制保证。包括信息沟通、内控管理、内部审计应急机制和风险问责等。二、内部控制的目标（一）根据企业内部控制基本规范（财会20087号），内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。（二）根据保险公司内部控制基本准则（保监发201069号），保险公司内部控制的目标包括：1、行为合规性目标。保证保险公司的经营管理行为遵守法律法规、监管规定、行业规范、公司内部管理制度和

18、诚信准则；2、资产安全性目标。保证保险公司资产安全可靠，防止公司资产被非法使用、处置和侵占；3、信息真实性目标。保证保险公司财务报告、偿付能力报告等业务、财务及管理信息的真实、准确、完整；4、经营有效性目标。增强保险公司决策执行力，提高管理效率，改善经营效益；5、战略保障性目标。保障保险公司实现发展战略，促进稳健经营和可持续发展，保护股东、被保险人及其他利益相关者的合法权益。三、内部控制的原则（一）根据企业内部控制基本规范（财会20087号），企业建立与实施内部控制，应当遵循下列原则：1、全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。2、重要性原则。

19、内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。3、制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。4、适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。 5、成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。（二）根据保险公司内部控制基本准则（保监发201069号），保险公司建立和实施内部控制，应当遵循以下原则：1、全面和重点相统一。保险公司应当建立全面、系统、规范化的内部控制体系，覆盖所有业务流程和操作环节，贯穿经营管理全过程。在

20、全面管理的基础上，对公司重要业务事项和高风险领域实施重点控制。2、制衡和协作相统一。保险公司内部控制应当在组织架构、岗位设置、权责分配、业务流程等方面，通过适当的职责分离、授权和层级审批等机制，形成合理制约和有效监督。在制衡的基础上，各职能部门和业务单位之间应当相互配合，密切协作，提高效率，避免相互推诿或工作遗漏。3、权威性和适应性相统一。保险公司内部控制应当与绩效考核和问责相挂钩，任何人不得拥有不受内部控制约束的权力，未经授权不得更改内部控制程序。在确保内部控制权威性的基础上，公司应当及时调整和定期优化内部控制流程，使之不断适应经营环境和管理要求的变化。4、有效控制和合理成本相统一。保险公司

21、内部控制应当与公司实际风险状况相匹配，确保内部控制措施满足管理需求，风险得到有效防范。在有效控制的前提下，合理配置资源，尽可能降低内部控制成本。四、内部控制五要素之间的关系根据COSO框架，以及基本规范等制度文件，我们通常将内部控制划分为内部环境、风险评估、控制活动、信息与沟通、监督等五个要素。这五个要素既相互独立又相互联系，形成一个有机统一体，对不断变化的环境自动作出反应。企业首先需要建立一定的管理基调，控制环境是其他要素的基础，提供了基本规则和构架。其次需要在制定目标的前提下进行风险评估，辨识导致实体目标不能达成的内外部因素，评估其影响程度和发生可能性。企业在评估相关风险后，应决定风险要如

22、何响应，在选择响应方式时，应综合考虑风险评估结果、风险偏好及风险承受能力，以协助公司及时设计、修正及执行必要的控制活动。控制活动是确保管理层的指令得以执行的政策及程序，它嵌入日常业务经营中，体现在整个企业的不同层次和不同部门，用于将风险控制在合理的水平上。信息与沟通是确保控制活动有序进行的保障，企业采取了控制措施后需要及时收集、传递与实现内控目标相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。有效的内部监督则确保企业内部控制能持续有效的运作。第二节 公司层面内部控制概述一、公司层面内部控制概念公司层面内部控制(Entity Level Controls)，是指对企业控制目标的实现具

23、有重大影响，与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。公司层面的内部控制是整体性的，是从公司总体性方面设计的一系列内部控制制度，站在公司治理层的角度，从公司战略目标考虑，对一个公司的所有部门、所有人员都有效力的控制。公司层面的内部控制是高层次的，通常针对企业内部控制是否有效、财务报告是否真实可靠和企业是否合规经营产生普遍和重大影响，是有效的企业内部控制的基础。因此，除“控制活动”以外的四个要素，均不直接成为某项业务活动，但具有更高层次、更广泛的影响力，成为内部控制体系的很重要领域。因此，这四个要素被统称为公司层面内部控制(Entity Level Controls)。二、保险公

24、司公司层面内部控制概念保险公司的内部控制也通常按照控制环境、风险评估、控制活动、信息与沟通、监督5大要素落实实施。除控制活动外的其他四大要素构成了保险公司公司层面内部控制。保险公司公司层面内部控制各要素的具体含义如下：（一）内部环境内部环境是保险公司实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。例如：1、建立规范的公司治理架构对于现代企业风险管控非常重要，治理架构是否规范合理将对公司运营管理中的授权、运作、决策、执行、监督等内控职能产生巨大的影响。2、合理的组织架构应体现便于管理、易于考核、简化层级、避免交叉的管理原则，明确职责分工，明晰报告路线

25、。3、与内部控制需要相适应的人力资源政策，应确保关键岗位的人员具有专业胜任能力并定期接受相关培训，考核、薪酬、奖惩、晋升等人力资源政策应当与内部控制成效相挂钩。4、建立安全实用、覆盖所有重要业务环节的信息系统可以尽可能使各项业务活动信息化、流程化、自动化，减少人为干预和操作失误。5、建立健全企业文化，明确适当的管理基调，制定正式的员工行为准则和其他相关政策，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识，促进文化建设在内部各层级的有效沟通和宣传贯彻。6、企业应当以一种有利于社会的方式进行经营和管理，包括企业环境保护、社会道德以及公共利益等方面，由经济责任、持续发

26、展责任、法律责任和道德责任等构成，是企业在经营活动所涉及到的领域中衡量企业绩效和表现，并评价与报告那些传统的企业财务报告未涉及方面的成果及影响。（二）风险评估风险评估是保险公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。例如：1、保险公司应当对经营管理和业务活动中可能面临的所有风险因素（比如保险风险、市场风险、信用风险和操作风险等）进行全面系统的识别分析，发现并确定风险点，同时对每一风险点的发生概率、诱发因素、扩散规律和可能损失进行定性和定量评估，确定风险应对策略和控制重点。2、管理层可针对己评估的关键性风险作出回应。可选的应对风险策略有风险降低、风险消除、

27、风险转移和风险保留。管理层可以选择一个或多个策略结合使用。（三）信息与沟通信息与沟通是保险公司及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。例如：1、内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间高效的信息和沟通机制，有利于促进公司信息的广泛共享和及时充分沟通，提高经营管理透明度，防止舞弊事件的发生。2、重要的相关管理和内控信息在总公司、分公司、支公司、直至营销服务部都得以及时传达、贯彻。3、建立一整套的信息管理流程，覆盖内部信息的上报、收集、处理、分析和报

28、告的相关过程。4、建立健全反舞弊机制，包括但不限于倡导诚信正直的企业文化，营造反舞弊的企业文化环境；有效实施内部控制，权责对等，奖罚明确；落实舞弊的举报及调查机制；不断加强内部审计的独立监督力量等。5、加强信息披露管理，依法向社会公众公开其经营管理相关信息。（四）内部监督内部监督是保险公司对内部控制建设与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。内部监督是保险公司对内部控制建设与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。包括：1、审计部门应保持独立性，公正客观的开展监督评估工作，并将内部审计结果直接向董事会及管理层报告。2

29、、制定内部控制监督制度，加强对内部控制的审计检查，定期根据检查结果对内部控制的健全性、合理性和有效性进行评估，并按照规定的报告路线及时向审计对象、合规管理职能部门和上级领导进行反馈和报告。建立多层次、全方位的监控体系，实现对内部控制活动的事前、事中、事后有效监控，为实现内控目标提供合理保证。3、制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。4、定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。本手册后续内容也主要按照上述逻辑，分控制环境、风险评估、信息与沟通、内部监督来安排章

30、节，分别介绍有关的具体审计程序和方法，而内控五大要素中的另一要素控制活动的审计程序与方法，因与具体的业务、财务活动密切相关，我们将在其他分册中展开描述，有关内容请参阅财务分册、人身保险业务分册、财产保险业务分册等其他分册。第二章 公司层面内控审计的程序与方法本章基于如何开展公司层面内部控制专项审计，介绍有关审计的程序和方法。保险公司的公司层面内部控制审计可以作为一个单独的专项来开展，但更多时候是作为其他常规审计的组成部分，起到基础性的作用 常规审计一般需要先对内部控制进行初评，然后开展符合性测试和实质性测试，如果初评和符合性测试认为内控完全失效，审计人员可以无需开展下一步的审计工作，具体可以参

31、考基本手册的有关内容。因此，在常规审计工作中，要结合基本手册介绍的审计程序和方法，来开展有关内控方面的审计。第一节 公司层面内控审计的程序保险公司实施公司层面内部控制专项审计的主要工作步骤如下：一、事前准备：根据审计计划，开展进行项目前期的准备工作，包括与被审计单位沟通审计时间和内容，了解被审计单位基本信息，获取相关资料，通过非现场审计进行初步的风险分析及评估，拟定审计方案，确定审计范围、项目组成人员及拟实施的审计程序等事宜。二、下发审计通知书：告知审计时间、成员名单、需要准备的资料清单、必要的工作条件(如办公场所，技术配合等)。三、召开审计见面会：介绍与会双方成员、介绍预计的审计时间 (包括

32、管理层反馈时间)、介绍审计范围、提出所需现场配合的事项要求、听取被审计单位情况介绍。审计见面会通常在现场审计实施的第一天举行。四、内部控制初步评审：内部控制初步评审的基本步骤如下：1、对被审计单位的内部控制制度进行调查了解。通过访谈、发放调查问卷、查阅文件等方式，了解企业是否建立了内部控制制度、制度是否健全、合理以及制度执行效果，并对了解的情况进行记录、描述。审计人员可以采用文字叙述、调查问卷、流程图、调查表等方法对内部控制制度进行描述，并记录于审计工作底稿中。2、对内部控制制度进行初步评价。在对被审计单位内部控制制度进行调查了解，取得初步认识的基础上，对其内部控制水平进行初步评价，审计人员可

33、以事先设计内控制度评分表，将被审计单位的内部控制评估点赋予一定的分值，根据调查情况进行评分，并根据评分结果初步评价被审计单位内部控制制度水平，以确定下一步符合性测试的范围。通常在初步评价中，如果某个内部控制环节出现以下情况之一，则应将其全部内容或重要的活动直接认定为高风险水平：1、内部控制失效；2、难以对内部控制的有效性进行评价；3、不拟进行符合性测试等下一步审计工作。五、符合性测试：符合性测试是指通过穿行测试法、重新履行、观察等内控审计方法，测试被审计单位业务活动的运行与相关内部控制的符合程度。例如：审计人员抽取部分财务报销单据，审核查明该单据是否有领导审批、会计复核和出纳付款记录。如果该报

34、销单据未经领导批准，会计复核未能发现其中的差错，出纳付款后未加盖“付讫”的戳记，则现金报销的内部控制功能未能发挥。符合性测试一般通过抽样的方法进行，测试的范围和数量取决于内部控制初步评审的结果。经过初步评价，如果认为被审计单位内控比较健全，则符合性测试的范围可以较小，反之应扩大符合性测试范围和抽样数量。一般来说，符合性测试的范围越大，所能提供的有关被审计单位内控执行有效性的证据就越充分，但如果内审人员进行符合性测试的工作量可能大于由此而减少的实质性测试的工作量，则大可不必进行符合性测试，而直接进行实质性测试。此外，符合性测试是建立在被审计单位内控制度健全的基础上进行的，如果被审计单位没有内控制

35、度、或者通过以前的检查、调查对其内控是否有效已经有了解，也可以不进行符合性测试。通过符合性测试，审计人员便可对内部控制的有效性做出进一步评价，并根据符合性测试结果确定实质性测试的性质、时间和范围。审计人员只对准备信赖的内部控制环节进行符合性测试，并且进行符合性测试将会大大减少实质性测试工作量，此时符合性测试才是有意义的。六、实质性测试：实质性测试是指审计人员运用询问、审核、观察、监盘、函证、分析性复核等审计方法，对被审计单位具体内部控制有效性进行的证实性测试。实质性测试通常在符合性测试基础上进行的，采用抽样方法，其抽样的规模根据内控评审和符合性测试的结果来确定。实质性测试是审计人员在现场审计实

36、施阶段实现审计目标、获取审计证据所必需的重要环节。审计人员对被审计单位符合型测试为确定实质性测试的范围、重点、数量和时间提供了依据，但并不能代替实质性测试。无论被审计单位内部控制机制如何健全有效，审计人员都必须选择适当的方法进行实质性测试。七、取得审计证据：审计证据是用以证明审计事项真相并作为审计结论的基础材料，取得审计证据过程是审计作业的主体部分。内部审计人员通过检查、监盘、观察、询问、计算、分析性复核等方法获取审计证据，为形成审计意见和审计报告提供依据。重要审计证据需被审单位签字或盖章确认。审计证据是否充分直接影响审计的质量，审计证据不足是产生审计风险的一个主要原因。审计人员需要对收集到的

37、审计证据的客观性、相关性、充分性和合法性进行评价，筛选出具有充分证明力的证据，使审计证据的潜在证据力转化为现实证据力。八、编制审计工作底稿：审计工作底稿应当由内部审计人员根据审计任务的要求，边查边记，逐事逐项编写，做到一事一稿（也可合并处理）。工作底稿要求情节表述简明清晰、定性准确、编写合理有序。九、召开离场会：在审计实施的最后一天召开项目离场会，双方沟通审计发现。但是对于公司层面内部控制缺陷经常包含有的敏感信息，需要注意沟通的方式、范围和对象。十、编写审计报告并征求意见：鉴于公司层面内部控制缺陷影响的广泛性和敏感性，建议对于报告中的每一个发现，都需要得到被审计对象管理层书面回应，回应内容包括

38、拟采取详细的解决行动方案、明确整改责任人和整改落实期限。管理层回应的重点在于对审计建议的适用性及落实期限，双方沟通并达成一致。十一、签发报告：内部审计部机构负责人签发报告，并且将审计发现记录于审计追踪系统（若适用）。十二、项目总结：在签发报告的同时，向被审计单位发出评估调研，记录审计实施过程中尚待改进之处并对团队成员进行绩效评估。同时，对比分析实际用时与预算，并对差异作出解释。最后，审计人员应做好整理归档工作。十三、整改跟踪和后续审计。第二节 公司层面内部控制审计方法公司层面内部控制审计既要采用内部审计的一般方法，也有其特殊的方法。一、一般方法在对公司层面内部控制开展审计时，可以使用内部的一般

39、方法 一般方法包括审核、观察、询问、函证和分析性复核等方法，具体可以参阅基本手册的有关内容。，但要注意根据公司层面内部控制的特点来使用，这里重点介绍询问法、审核法、观察法的应用。（一）询问法。询问法应用于公司层面内部控制审计，具体可以使用调查问卷、个别访谈等。1、调查问卷。通过设计一系列与公司层面风险相关的问题，将被调查者的思维集中于可能引起或已经引起风险的内外部因素上。*环节内部控制调查问卷机构名称： 审计日期：项目是否不适用备注良好薄弱是否建立这方面的制度制度是否遵循法律法规规定制度是否得到有效执行2、个别访谈：按照一般询问法的要求实施，主要包括确定询问的目的、收集与询问相关的背景资料、确

40、定询问要点、编制谈话提纲、约定询问时间地点、面谈与记录、对面谈内容进行评估等步骤。但对对公司层面内部控制审计中，访谈者要注意引导、启发被访谈者，在一定程度上是参与讨论，而非常规审计的询问、质询，这样才能更加深入的挖掘有关内控风险和隐患。3、专题讨论：将具有交叉职能或多层级的人员聚集在一起，利用集体智慧描述出公司面临的风险以及存在内控薄弱环节。（二）审核法。审核法是公司层面内控审计工作最重要的检查方法之一。评审人员在执行抽样、穿行测试等评审方法时，要求被评价单位在限定的时间内，提供被审计内容相关的内外部公文、制度文件、协议合同、审批记录等等。通过对这些书面证据的检查，验证各项内控措施在实际操作中

41、是否得到有效贯彻执行。（三）观察法。即内部审计人员深入现场实地调研，参加重要会议，或通过观看过程录像的方式，观察有关人员的实际工作情况，以确定规定的内部控制活动是否得到严格执行。该方法适用于那些不留书面痕迹的内部控制环节及用于测试某项控制措施执行的到位程度。上述一般方法的具体要点，可参阅基本手册有关询问、观察、监盘等审计方法。二、特殊方法（一）穿行测试法。穿行测试也称全程测试，这是内部控制评价和审计的常用方法，用以确定内部控制政策和程序的实施情况。即评审人员在每一类循环中选择一次或若干次控制活动，比照处理流程从头到尾检查其实际处理过程，检查测试该流程步骤和控制点的执行情况，以验证所描述的内部控

42、制的客观性和真实性。穿行测试不能保证被审计单位内部控制被有效、一贯的得到执行，这需要符合性测试来确定。例如为某项复核、监督措施是否执行，可以采取穿行测试法。内部审计人员应选择不同的内部审批事项，对复核、监督流程进行穿行检查测试，以测试是否合理、是否得到执行、是否存在控制漏洞。（二）流程图法。流程图法主要用于内部控制系统的健全性和合理性测试，即利用符号和图形来表示被审计单位组织结构、职责分工、权限、经营业务的性质及种类、各种处理规程、各种会计记录等内部控制状况的示意图。可以使评审人员清晰地看出被评审单位内部控制系统如何运行、相关风险控制点和控制措施，有助于发现各内部控制体系的缺失和评审重点。流程

43、图一般有两种，一种是垂直流程图，另一种是水平流程图。垂直流程图是将业务处理过程按照先后次序，用一条主线垂直串连起来，并将经济业务按流程从上至下用图形符号描绘出来。水平流程图则按业务部门设置若干竖栏，将业务处理程序从左到右排列，用图形符号描绘经济事项的过程，用水平流程线将各业务活动串连起来。绘制流程图可以使用微软Word自带的流程图或者Visio，常见的流程图符号及含义如下：符号含义符号含义文件流程线开始终止流向卡片流程交叉判断控制点留存核对三、公司层面内控审计方法应用的注意要点（一）在开展公司层面内部控制审计工作时，可以根据内控审计工作的需要和审计特定内容的实际情况，灵活地、综合运用上述方法。

44、（二）审计人员应当充分考虑借鉴使用外部审计、外部监管检查、公司监事会检查、合规和风险管控的资料记录，辅助开展公司层面内部控制审计。（三）审计中，审计人员应当注意从董事会、监事会或经营层等角度，或者从公司制度设计等角度，查找公司层面内部控制存在的问题和风险，而非就事论事，只从具体控制环节和人员角度查找问题和原因。（四）公司层面内部控制审计应当与其他具体控制活动的审计工作相结合，而不是互相割裂。公司层面内部控制审计应当作为其他各项审计工作的基础。从第三章开始，我们将分要素分别列举通用化具有一般适用性的公司层面内部控制风险点、相关法律法规和监管规定、以及审计程序和方法，供内部审计人员在其未来的公司层

45、面内部控制审计工作中作为参考。作为指引，各保险机构内部审计应参照执行，但不是也不可能涵盖一切可能出现的情况及所有审计技术，在具体审计过程中，还要结合具体工作加以应用。第三节 计算机辅助实施公司层面内控审计随着信息科技的不断发展，保险公司各类内部控制活动正逐渐由手工转为计算机进行处理，内部控制工作通过信息系统平台实现无纸化控制。这就要求审计人员能够对信息系统内控的健全性、合理性、有效性开展审计，这部分审计内容请参阅相关风险点的审计程序和方法。同时，在计算机辅助下、运用信息技术对公司层面内部控制实施审计，可以大大提高审计工作的效率；在计算机日益普及的今天，计算机辅助开展审计已经成为审计人员必须掌握

46、的审计技术和方法。本节重点介绍如何运用计算机辅助开展内控审计的方法，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等，以涵盖内控审计基本流程和各环节。完整的内控审计管理信息系统应能提供以下功能，将内控审计各环节纳入到信息化平台上，从而实现审计过程的自动化。一、建立风险及控制知识库：为了实现以风险为导向的内控审计，需首先建立风险和控制知识库。系统应提供数据接口或操作界面将风险库和控制库装载或输入到信息系统中；同时，也应提供功能实现风险与控制之间的关联，用以表明为应对风险所设计的管控措施。二、建立审计方法库：做为审计支持软件，系统还应能建立起审计方法库。如通过内置标准的审计程序方法和步骤，指导审计人员进行内控的测试，保证测试质量。同时，系统应能提供一些辅助的信息，如流程图，关键控制点等。三、编制审计计划：系统应能提供检视后的风险评估结果，以供审计部门以风险为导向编制审计计划。系统允许管理用户设置计划范围的条件，并根据这些条件自动筛选风险及控制点范围。四、创建测试底稿：系统应提供预先定制的控制测试模板，并根据计划的测试范围填充测试模板，通过系统下发到各测试组或个人。五、执行内控测试：测试人根据下发的测试模板在系统中进行测试，测试底稿也应集成在系统内，保证测试结果有据可查；