中國保險監督管理委員會關于印發《壽險公司內部控制評價辦法(試行)》的通知
- 2018年05月30日
- 15:00
- 來源:
- 作者:
中國保險監督管理委員會|保監發〔2006〕6號|2006-01-10發布|2006-01-10實施|現行有效
保監發〔2006〕6號
保監發〔2006〕6號
各保監局、各人壽保險公司、健康保險公司、養老保險公司:
為規范和加強對壽險公司內部控制的評價,推動壽險公司加強內控建設,確保壽險公司穩健經營和持續健康發展,我會研究制定了《壽險公司內部控制評價辦法(試行)》,現印發給你們。請各保監局、各壽險公司、健康保險公司、養老保險公司根據實際情況,在內部控制評價工作中組織試用,認真總結試行經驗。
特此通知
二○○六年一月十日
壽險公司內部控制評價辦法(試行)
第一章總則
第一條為規范和加強對壽險公司內部控制的評價,推動壽險公司加強內控建設,確保壽險公司穩健經營和持續健康發展,根據《中華人民共和國保險法》等法律法規,制定本辦法。
第二條壽險公司內部控制是由壽險公司的董事會、經理層和全體員工共同建立并實施的,為實現公司經營管理目標、保證財務報告真實可靠、確保公司依法合規經營而提供合理保證的過程和機制。
第三條壽險公司內部控制評價是指對壽險公司內部控制體系建設和實施開展的調查、測試、分析和評估等系統性活動。
壽險公司內部控制評價包括壽險公司開展的自我評估和監管部門組織實施的獨立評價。
本辦法所稱壽險公司包括法人機構及其分支機構。本辦法所稱壽險公司法人機構是指在中國境內經中國保監會批準設立,并依法登記注冊的人壽保險公司;本辦法所稱壽險公司分支機構限于壽險公司法人機構依法設立的省級(含直轄市、計劃單列市)分公司和地市級中心支公司。
本辦法所稱監管部門是指中國保險監督管理委員會(以下簡稱中國保監會)及其派出機構。
外國壽險公司分公司視為壽險公司法人機構。
第四條壽險公司應建立并保持系統、透明、文件化的內部控制體系,定期或當有關法律法規和其他經營環境發生重大變化時,對內部控制體系進行評審和改進。
第二章評價目標和原則
第五條壽險公司內部控制評價的目標主要包括:
(一)促進壽險公司強化內部控制意識,建立健全內部控制機制,嚴格落實各項控制措施,確保內部控制體系有效運行。
(二)促進壽險公司提高風險管理水平,推動其實現發展戰略和經營目標。
(三)促進壽險公司增強業務、財務和管理信息的真實性、完整性和及時性。
(四)促進壽險公司嚴格遵守國家法律法規、中國保監會的監管要求和壽險公司審慎經營的原則。
第六條壽險公司內部控制評價應從健全性、合理性和有效性三個方面進行:
(一)健全性。過程和風險是否已被充分識別,過程和風險的控制措施是否得到明確規定并得以保持。
(二)合理性。控制措施能否實現控制目標。
(三)有效性。控制措施能否得到有效執行。
第七條壽險公司內部控制評價應遵循以下原則:
(一)全面性原則。評價范圍應覆蓋壽險公司內部控制活動的全過程及所有的系統、部門和崗位。
(二)一致性原則。評價的準則、范圍、程序和方法等應保持一致,以確保評價結果的客觀、可比。
(三)公正性原則。評價應以事實為基礎,以法律法規、監管要求為準則,客觀公正,實事求是。
(四)重要性原則。評價應依據風險和控制的具體情況確定重點,關注重點區域和重點業務。
(五)及時性原則。評價應按照規定的時間間隔持續進行,當經營管理環境發生重大變化時,應及時進行重新評價。
第三章評價內容
第八條壽險公司內部控制評價從控制環境、風險識別與評估、控制活動、信息與溝通、監督五個方面進行。
第一節控制環境
第九條公司治理。壽險公司應建立股東大會、董事會、監事會和經理層之間各負其責、規范運作、相互制衡的公司治理結構,為公司內部控制目標的實現提供合理保證。
(一)明確股東大會、董事會、監事會和經理層的職責。
(二)完善股東大會、董事會、監事會、經理層及下設的議事和決策機構,建立完備規范的議事規則、決策機制、決策評估和責任追究機制。
(三)建立獨立董事制度,對董事會討論事項發表客觀、公正的意見。
非股份制壽險公司參照上述評估要點進行評價。
第十條董事會、監事會、經理層在內部控制中的責任。壽險公司應明確董事會和董事、監事會和監事、經理層和高級管理人員在內部控制中的責任。
董事會負責保證壽險公司建立并實施健全、合理、有效的內部控制體系;負責審批整體經營戰略和重大政策并定期檢查、評價執行情況;負責確保壽險公司在法律和政策的框架內審慎經營,明確設定可接受的風險程度,確保經理層采取必要措施識別、計量、監測并控制風險;負責審批組織結構;負責保證經理層對內部控制體系的健全性、合理性和有效性進行監測和評估。
監事會負責監督董事會、經理層完善內部控制體系;負責監督董事會及董事、經理層及高級管理人員履行內部控制職責;負責要求董事、董事長及高級管理人員糾正其損害壽險公司利益的行為并監督執行。
經理層負責制定內部控制政策,對內部控制體系的健全性、合理性與有效性進行監測和評估;負責執行董事會決策;負責建立識別、計量、監測、控制風險的程序和措施;負責建立和完善內部組織機構,保證內部控制的各項職責得到有效履行。
董事會和經理層還應培育良好的內部控制文化,提高員工的風險意識和職業道德素質,建立通暢的內外部信息溝通渠道,確保及時獲取與內部控制有關的人力、物力、財力、信息以及技術等資源。
非股份制壽險公司參照上述評估要點進行評價。
第十一條內部控制政策。壽險公司應在各項業務和管理活動中制定明確的內部控制政策,規定內部控制的原則和基本要求,并為制定和評審內部控制目標提供指導。內部控制政策應:
(一)與壽險公司的經營宗旨和發展戰略相一致。
(二)體現持續改進內部控制的要求。
(三)符合現行法律法規和監管要求。
(四)體現出側重控制的風險類型。
(五)體現出對不同地區、行業、產品的風險控制要求。
(六)傳達給適用崗位的員工,指導員工實施風險控制措施。
(七)可為風險相關方所獲取,并尋求互利合作。
(八)定期進行評審,確保持續的健全、合理和有效。
第十二條內部控制目標。壽險公司應在相關職能和層次上建立并保持內部控制目標。內部控制目標應符合內部控制政策,并體現持續改進的要求。
在建立和評審內部控制目標時,應考慮法律法規、監管要求和其他要求,以及技術、財務、經營和風險相關方等因素。
內部控制目標應可測量。有條件時,目標應用指標予以量化。
第十三條組織結構。壽險公司應建立分工合理、職責明確、報告關系清晰的組織結構。
(一)機構設置應根據公司業務規模、經營管理的需要,堅持合理、精簡、高效的原則,嚴格遵守國家法律、法規的規定以及監管部門的要求;部門和崗位設置應遵循相互監督、相互制約、協調運作的原則。
(二)明確各機構、部門、崗位、人員的職責和權限,并形成文件予以傳達,使員工清晰的了解其崗位的職責和標準。
(三)明確關鍵崗位、特殊崗位、不相容崗位及其控制要求。
(四)配備足夠的具有相應知識、經驗和技能的人員,確保其有效履行崗位職責。
(五)明確各崗位的報告關系,確保管理人員能夠得到履行職責需要的信息。
(六)定期根據經營情況或環境變化對組織結構進行評價,及時進行必要的修正。
第十四條企業文化。壽險公司應培育積極健康的企業文化,對企業文化的內涵及其策劃、滲透、評估與改進作出明確的規定。特別應向員工傳達風險管理、內部控制、合規經營的重要性,引導員工建立誠信道德觀念,樹立合規意識和風險意識,提高員工職業道德水準,規范員工職業行為。
第十五條人力資源。壽險公司應完善人力資源政策和程序,確保員工具備相應的能力和意識。
壽險公司應明確各崗位人員,特別是與風險和內部控制有關的人員的適任條件,明確有關教育、工作經歷、培訓和技能等方面的要求,確保相關人員能夠勝任。
壽險公司應根據不同層次員工的職責、能力、文化程度及所面臨的風險制定并實施培訓計劃,以確保經理層和全體員工能夠有效履行職責。培訓計劃應定期評審并持續改進。
壽險公司應在員工招聘、晉升、績效考核、薪酬、獎懲等日常人力資源管理方面建立完備的制度和程序,并充分考慮人力資源管理中的風險。
第二節風險識別與評估
第十六條風險識別與評估。壽險公司應建立和保持書面程序,以持續對各類風險進行有效的識別、計量、監測與評估。
風險識別與評估應:
(一)覆蓋公司經營的各個環節。壽險公司應根據發生頻率識別并確定經常性和非經常性的業務和管理活動,識別這些活動中的風險(無論是否由內部產生),考慮其類型、來源及其影響范圍。
(二)充分考慮內部和外部因素。其中內部因素包括公司治理、組織結構以及人力資源管理的復雜程度,公司資產的規模、流動性或業務總量,公司的財務狀況以及經營活動的地理分布,內部控制系統的健全性、合理性和有效性等。外部因素包括國家法律、法規及政策的變化,經濟形勢的變化,科技的快速發展,行業競爭及市場變化等。
(三)持續識別法律法規、監管和其他要求。壽險公司應建立并保持政策和程序,確保及時識別和取得適用的法律法規、監管要求和其他要求,并作為風險識別與評估、制訂控制目標和控制方案的依據。壽險公司應及時更新法律法規、監管要求和其他要求的信息,并將有關信息傳達給相關員工和其他風險關聯方。
(四)運用適當的方法和技術對風險的概率、后果進行評估,確定風險級別。
(五)持續識別和評估風險。當環境和條件發生變化時,應及時對風險進行再識別和再評估,以確保任何新的和以前未曾予以控制的風險得到識別和控制。
第十七條風險處理。對已識別的風險,壽險公司應依據法律法規、監管要求以及內部控制政策確定是否可接受,以確定是否進一步采取措施。風險可接受時,應監測并定期評估,以確保其持續可接受;風險不可接受時,應制定內部控制方案。
內部控制方案應包括以下內容:
(一)明確控制風險的相關職責與權限。
(二)控制的策略、方法、資源需求和時限要求。
(三)重大、突發事項應急預案,明確責任人、處理流程和措施。
內部控制方案若涉及到組織結構、流程、信息技術等方面的重大變更,應考慮可能產生的新風險。
第三節控制活動
第十八條業務控制。壽險公司應建立制度、政策和程序,對產品開發、銷售、核保核賠、服務質量、咨詢投訴、再保險、單證印鑒檔案、業務處理系統等實施控制,確保業務活動正常運轉。
(一)產品開發。成立產品開發領導和決策機構,明確精算責任人和法律責任人的責任;建立并實施產品開發管理程序,對新產品的開發、論證、審核等進行控制,對產品的銷售、盈利和風險情況進行定期跟蹤分析。
(二)銷售管理。建立并保持書面程序,對銷售人員或機構的甄選、簽約、解約、薪酬、考核、檔案、品質管理、宣傳材料管理等進行控制;定期對銷售人員進行專業培訓和職業道德教育,建立銷售人員失信懲戒機制;對于銷售過程中已識別的風險,建立并保持控制程序,并將有關程序和要求及時通報銷售人員或機構,確保其遵守壽險公司相關的控制要求;建立并實施客戶回訪制度,按照有關規定確定客戶回訪范圍和內容,對客戶反饋信息進行分析整改并定期跟蹤。
(三)核保核賠管理。建立明確的核保、核賠標準,實施權責明確、分級授權、相互制約、規范操作的承保理賠管理機制;明確核保核賠人員的適任條件,定期對核保核賠人員進行培訓,確保核保核賠人員具有專業操守并勤勉盡職。
(四)服務質量管理。建立并實施業務操作標準和服務質量標準,對銷售、承保、保全、理賠等活動的服務質量進行規范管理,并建立客戶服務質量考評機制。
(五)咨詢投訴管理。建立并保持咨詢投訴處理程序,對咨詢投訴處理中發現的問題進行核實、分析、反饋,并進行整改和跟蹤監督。
(六)再保險管理。建立并實施科學的分保管理流程,建立職責分明、互相制約的分保機制,合理確定自留額和分保方式,確保及時、足額進行分保。
(七)單證、印鑒、檔案管理。建立并保持控制程序,對保險單證的印刷、保管、領用、作廢和核銷,印鑒的刻制、保管、使用范圍、使用審批、使用登記、作廢和核銷以及檔案的保管實施控制;對假造重要單證、仿制印鑒等違法違規行為進行責任追究。
(八)業務處理系統。建立穩定、高效、能夠對業務提供全面功能支持的業務處理系統;制定業務處理系統的管理規章、操作流程、崗位手冊和風險控制制度;實施操作權限管理,并及時根據業務和控制需要對業務處理系統進行改進。
第十九條財務控制。壽險公司應建立制度、政策和程序,對財務會計制度、職務牽制、賬務處理程序、財務報告、資產、負債、預算、費用開支、財務處理系統等實施控制,確保財務、會計信息真實、準確。
(一)財務會計制度。根據相關法律、法規和監管部門要求,結合本公司具體情況,制定本公司的財務會計制度。
(二)職務牽制。單獨設立財務會計部門,配備專職財會人員,合理設置崗位,明確崗位職責,嚴禁兼任不相容崗位,實行定期或不定期崗位輪換。
(三)賬務處理程序。建立并實施規范的會計核算流程,依據真實的經濟事項進行賬務處理,對賬務處理的全過程實施有效的控制,實現賬賬、賬實和賬表相符。
(四)財務報告。及時編制財務報表,確保會計信息的真實、完整、準確。
(五)資產管理。制定并保持書面程序,對收付費進行控制,明確收付費的操作流程與崗位職責,對收付費行為進行定期檢查和審計;妥善保管現金、有價證券、空白憑證、密押、印鑒、固定資產等,定期核對現金和銀行存款賬戶,定期盤點,確保各項資產的安全和完整。
(六)負債管理。建立完善的準備金精算制度,按照有關法律法規要求及時、足額計提準備金。
(七)預算控制。實行全面預算管理,建立預算制度,對預算的編制、執行、分析、考核進行明確;及時分析和控制預算差異,確保預算的執行。
(八)費用管理。建立嚴格的授權批準制度和預算控制制度,控制費用支出,并定期進行費用分析。
(九)財務處理系統。建立穩定、高效、安全的財務處理系統;制定財務處理系統的管理規章、操作流程、崗位手冊和風險控制制度;財務處理系統應與業務處理系統實現數據共享與無縫對接,確保各項業務活動得到及時、準確的反映。
第二十條資金控制。壽險公司應建立制度、政策和程序,對資金調度、投資決策、投資操作、投資風險管理等實施控制,確保資金的安全性、流動性和效益性。
(一)資金調度。對資金進行統一管理和運作,嚴格實行收支兩條線,對分支機構資金實行監控,確保資金及時足額上劃集中。
(二)投資決策。建立透明、規范的投資決策程序和議事規則,投資決策應遵守國家法律、法規和行政規章的規定,并兼顧資產與負債的匹配。
(三)投資操作。建立規范的投資操作流程,實現前臺操作與后臺管理分離,建立并保管交易記錄,確保投資的專業化。
(四)投資風險管理。建立完備的投資風險評估和控制系統,制定符合自身實際的風險控制政策、措施和定量指標,開發和運用量化的風險管理模型,對資金運用的收益與風險進行適時、審慎評價。
第二十一條信息技術控制。壽險公司應建立制度、政策和程序,對信息技術管理、信息安全、應急計劃等實施控制,確保信息的完整性、安全性和可用性。
(一)信息技術管理。建立健全信息技術管理和風險防范制度,明確計算機信息系統開發、管理與應用部門及相關人員的職責,對計算機信息系統的項目立項、設計、開發、測試、運行和維護等實施控制。
(二)信息安全管理。建立信息安全管理體系,對硬件、操作系統、應用程序和操作環境實施控制,確保信息的完整性、安全性和可用性;計算機機房建設應當符合國家的有關標準,出入計算機機房應當有嚴格的審批程序和出入記錄,確保計算機硬件、各種存儲介質的物理安全;對系統數據資料采取加密措施,建立備份,異地存放,實施有效的口令管理和權限管理,定期更換用戶使用的密碼和口令;及時更新系統安全設置、病毒代碼庫、攻擊特征碼、軟件補丁程序等,通過認證、加密、內容過濾、入侵監測等技術手段,不斷完善安全控制措施;建立健全網絡管理系統,對網絡的安全、故障、性能、配置等進行有效管理,并對接入國際互聯網實施有效的安全管理;對網絡設備、操作系統、數據庫系統、應用程序等設置必要的日志。
(三)應急計劃。建立計算機安全應急系統,制定詳細的應急方案,定期檢查、維護應急的設施、設備和系統,確保其處于適用狀態。
第二十二條其它控制。針對公司其他活動建立必要和恰當的政策和程序,確保制定的控制措施能夠有效實現控制目標,已確定的控制行為得到恰當的執行。
第四節信息與溝通
第二十三條信息。建立并保持書面程序,持續識別、收集、處理、報告涉及公司目標實現及經營管理有效運作的內外部信息,以確保經理層能夠及時、準確了解業務信息、管理信息、重要風險信息;確保其他所有員工充分了解相關信息,遵守涉及其責任和義務的政策和程序;確保及時、真實、完整的向監管部門和外界報告、披露相關信息;確保在出現緊急情況或重大突發事件時,相關信息能夠得到及時報告和有效溝通。
第二十四條溝通。建立開放、有效的內外部溝通渠道,確保信息及時上傳、下達,并在上下級機構及部門之間充分交流,使相關人員能夠獲取履行職責需要的信息;確保員工具有反映問題、提出建議的通道;確保在收到客戶、監管部門及其他外部人員反映的情況后,采取及時適當的應對措施,妥善處理公司與外部的關系。
第二十五條信息的安全、保密。壽險公司應適當保持相關信息交流與溝通的記錄,并考慮信息的安全性和保密性要求,對信息報告、發布、披露進行授權。
第二十六條文件控制。壽險公司應建立并保持必要的內部控制體系文件,包括:對內部控制體系要素及其相互作用的描述,內部控制政策和目標,關鍵崗位及其職責與權限,不可接受的風險及其預防和控制措施,控制程序、作業指導、方案和其他內部文件等。
壽險公司應建立并保持書面程序,確保內部控制體系文件滿足下列要求:
(一)易于查詢。
(二)實施前得到授權人的批準。
(三)定期評審,必要時予以修訂并由授權人員確認合理性。
(四)所有崗位都能得到有關版本。
(五)失效時,及時從所有發放處和使用處收回,或采取其他措施防止誤用。
(六)及時識別、處置外來文件并進行標識,必要時轉化為內部文件。
(七)留存的檔案性文件和資料應予以適當標識。
第二十七條記錄控制。壽險公司應建立并保持書面程序,對內部控制相關活動中所涉及記錄的標識、生成、存儲、保護、檢索、保存期限和處置進行明確。
記錄應保持清晰、易于識別和檢索,并可追溯到相關的活動,以提供內部控制體系有效運行的證據。
第五節監督
第二十八條持續性監控。壽險公司應采取措施確保各部門和員工在日常經營和履行職責的過程中持續獲取相關信息(如:投訴等),對內部控制健全性、合理性、有效性進行檢查、分析,并評估其實施的效率效果,以實現對內部控制實時動態的持續性監控和控制執行部門的自我改善。持續性監控應遵循以下原則:
(一)以目標為基礎,確認現有的制度、程序和措施是否合理、有效和剩余風險的控制水平(剩余風險是指沒有通過內部控制加以控制,但卻可能對公司目標實現產生影響的風險)。
(二)以風險為基礎,識別實現目標的各類風險,確定控制制度、程序和政策是否足以對關鍵風險進行管理。
(三)以控制為基礎,對現有控制措施的運行情況進行分析,識別差距。
(四)以過程為基礎,對包括業務、財務、資金、計算機等控制活動的關鍵過程和內容進行確認、評價、更新、改善和簡化。
第二十九條獨立評估。壽險公司應設立內部審計機構或崗位,對內部控制的健全性、合理性和有效性實施獨立評估。
內部審計部門應配備具有相應資質和能力的審計人員;應有權獲得壽險公司的所有經營、管理信息;應定期或不定期根據轄屬機構的內部控制情況確定審計頻率,以及對機構和業務的審計覆蓋率,對內部控制的健全性、合理性和有效性實施檢查、評價;應對公司高級管理人員和重要崗位人員進行離任審計。
第三十條缺陷報告與持續改進。對持續性監控、獨立評估及監管部門評價發現的內部控制缺陷,應及時向董事會及經理層提交書面報告,并及時進行整改糾正,對整改情況進行跟蹤監督,以持續提高內部控制體系的有效性。
第四章評價方式
第三十一條壽險公司內部控制評價采取壽險公司自我評估與監管部門獨立評價相結合的方式。
第三十二條壽險公司應根據本辦法于每年年末針對每一項評價點,從健全性、合理性、有效性三方面全面進行自我評估,并填寫內部控制評估表、撰寫內部控制年度評估報告。監管部門認為必要時,可要求壽險公司提供經中介機構鑒證的內部控制評估表和內部控制年度評估報告。
內部控制評估表和內部控制年度評估報告應于次年3月15日前向監管部門報送。
壽險公司法人機構的內部控制評估表(具體格式和內容請見附件一)和內部控制年度評估報告應由法人代表簽字,向中國保監會報送。
壽險公司分支機構的內部控制評估表(具體格式和內容請見附件二)和內部控制年度評估報告應由分支機構總經理簽字,向中國保監會派出機構報送。
第三十三條內部控制評估表和內部控制年度評估報告應真實、完整,不得瞞報和虛報。
填寫內部控制評估表時,應對每一項評價點的基本情況進行描述,對其健全性、合理性和有效性進行評價,并揭示存在的內部控制缺陷。
內部控制年度評估報告應至少包括以下內容:
(一)本單位內部控制情況。應覆蓋本單位內部控制體系范圍內的所有活動,從控制環境、風險識別與評估、控制活動(包括業務、財務、資金、信息技術、其他控制活動)、信息與溝通、監督五方面分別進行評價。
(二)本年度完善內部控制的措施及上年度內部控制缺陷[1]的改善情況。
(三)目前內部控制存在的漏洞和缺陷。
(四)下一年度改進內部控制的計劃。
第三十四條監管部門應根據風險大小和重要性對壽險公司內部控制進行抽查,實施獨立評價。
第三十五條中國保監會負責對壽險公司法人機構的內部控制進行評價。根據工作需要,中國保監會可授權中國保監會派出機構對轄區內壽險公司法人機構的內部控制進行評價。
中國保監會派出機構負責對轄區內壽險公司分支機構的內部控制及根據授權對轄區內壽險公司法人機構的內部控制進行評價。
中國保監會認為必要時,可直接對壽險公司分支機構內部控制進行評價。
監管部門認為必要時,可以聘請中介機構對壽險公司內部控制實施評價。
第三十六條監管部門對壽險公司內部控制進行評價,原則上每三年為一個評價周期,每年至少覆蓋三分之一以上的壽險公司。當壽險公司發生重大違法違規行為、經營狀況出現嚴重惡化、償付能力出現危機、管理層重大變動、重大的并購或處置、重大的營運方式改變、業務財務信息處理方式改變,或監管部門認為必要時,可以對壽險公司內部控制實施評價。
第三十七條監管部門初次對壽險公司內部控制評價時,須覆蓋內部控制的所有方面。再次評價時,可根據監管重點、評價期內壽險公司內部控制的實際情況,確定評價的范圍。但在每三次再次評價周期內應覆蓋內部控制的所有方面。
第五章評價程序與方法
第三十八條監管部門對壽險公司內部控制的評價包括評價準備、評價實施、評價反饋和評價報告形成四個階段。
壽險公司內部控制自我評估參照執行。
第三十九條評價準備。評價準備包括組建評價組、制訂評價實施方案、評價資料準備等步驟。
組建評價組。組建評價組應考慮組成人員的背景和能力。必要時,可聘請業務或管理方面的專家。
制訂評價實施方案。實施方案應明確本次評價的目的、范圍、準則、時間安排和相應的資源配置。
評價資料準備。主要包括評價問卷、抽樣計劃、被評價機構的內部控制體系文件及相關記錄等。
監管部門實施評價應在進場前與被評價機構建立初步聯系,以便確認有關評價事項和安排。
第四十條評價實施。評價實施包括了解內部控制體系、實施測試與分析等步驟。
評價組應按照既定的評價方案實施評價。在評價實施中應就評價組內部以及評價組與被評價機構之間的溝通做出正式安排,通過適當的方法收集與評價目的、范圍和準則有關的信息,根據評價方案對被評價項目進行測試,對有關數據進行確認和分析,并予以記錄。包括:
(一)了解內部控制體系。評價組應了解被評價機構內部控制體系的基本情況,確認評價范圍,確定被評價機構的內部控制體系的健全程度,然后決定實施測試所采取的方法。主要通過詢問、查閱、觀察、流程圖等方法進行,以初步評價被評價機構內部控制體系的健全性。
(二)實施測試和分析。實施測試和分析是在了解內部控制體系的基礎上,評價內部控制體系的合理性和運行的有效性,主要采取符合性測試法。
第四十一條評價反饋。監管部門實施內部控制評價應在對被評價機構內部控制體系進行綜合評價后,與被評價機構管理層溝通,以核對數據,確認事實。
第四十二條評價報告形成。評價組應根據評價實施和反饋情況,填寫內部控制評價表(內部控制評價表的格式與內容同內部控制評估表),撰寫評價報告。
評價報告應重點分析以下方面:
(一)被評價機構內部控制體系現狀。
(二)被評價機構內部控制存在的問題。
(三)評價中發現的與被評價機構內部控制年度報告、內部控制評估表不一致的方面。
(四)被評價機構內部控制的趨勢分析。
第四十三條符合性測試。符合性測試是獲得評價證據以證實內部控制在實際中的合理和有效,即控制措施能否達到控制目的,相關規定在實際中是否被一貫執行。符合性測試分為兩種形式:
(一)業務測試。即對重要業務或典型業務進行測試,按照規定的業務處理程序進行檢查,確認有關控制點是否符合規定并得到認真執行,以判斷內部控制的遵循情況。
(二)功能測試。即對某項控制的特定環節,選擇若干時期的同類業務進行檢查,確認該環節的控制措施是否一貫或持續發揮作用。
第四十四條測試抽樣。抽樣樣本取決于被評價機構或被評價項目的風險、業務頻次、重要性等。可在根據業務頻次抽樣的基礎上,結合被評價項目的風險和重要性進行調整。
第六章評分標準與評價結果利用
第四十五條內部控制評價采取評分制(各項分值請見壽險公司內部控制評估表)。
第四十六條內部控制評價應對每一項評價點,從健全性、合理性、有效性三方面進行評價,具體評分原則如下:
(一)被評價對象的過程和風險被充分識別,且相關控制措施被明確規定的,可得該項分值的百分之三十;
(二)在滿足前項的基礎上,被評價項目的過程和對風險的控制措施合理的,可再得該項分值的百分之三十;
(三)在滿足前兩項的基礎上,被評價項目的規定得到有效執行的,可再得該項分值的百分之四十。
第四十七條在測試過程中遇有業務缺項或問題不適用時,應將涉及到的分值在評價項目總分中扣減。為保持可比性,在得出其余適用項的總分后,還應將該評價項目的總得分進行調整。
調整后評價項目總得分=所有適用項目得分/(評價項目總分-不適用項目總分)*100%
第四十八條若涉及到需要采取抽樣測試確定評價結論的,應根據以下情況確定:
(一)如果在抽樣范圍內未發現違規,該項評價得滿分;在抽樣范圍內,發現兩項以上違規(含兩項),該項評價不得分;僅發現一項違規的,應擴大一倍抽樣,在擴大抽樣范圍內未發現新的違規的,可得該評價項目分值的50%,在擴大抽樣范圍內又發現新的違規的,該評價項目不得分。
(二)發現險情或事故的,直接扣除該評價項目的分值。
第四十九條壽險公司在評價期內發生重大責任事故,監管部門應將其內部控制總評分下調十分。
重大責任事故包括:
(一)因安全防范措施不當,發生保險詐騙、盜竊、搶劫、爆炸等事件,造成重大影響或損失。
(二)因經營管理不善,發生大規模退保、現金流支付危機等事件。
(三)業務系統故障,造成重大影響或損失。
(四)重大違法違規事件。
第五十條內部控制體系連續在三個評價期內得不到改善的機構,監管部門應將其內部控制總評分下調十分。
第五十一條監管部門應將壽險公司內部控制評價結果用于壽險公司非現場監管,并根據非現場監管結果實施分類監管。
第五十二條
監管部門應將獨立評價結果與壽險公司自我評估結果對比,發現壽險公司呈報的內部控制評估表和內部控制年度評估報告中存在惡意瞞報、弄虛作假或者兩者的結果存在較大不一致的,應將其內部控制總評分下調二十分,并視情節輕重按照有關法律法規進行處罰。
第五十三條壽險公司內部控制評價信息作為非現場監管信息,按照《壽險公司非現場監管規程》(試行)進行歸檔和管理。
第七章附則
第五十四條健康保險公司、養老保險公司內部控制評價參照本辦法執行。
第五十五條本辦法由中國保監會負責解釋與修訂。
第五十六條本辦法自發布之日起實施。
附件一:壽險公司內部控制評估表——法人機構.doc
附件二:壽險公司內部控制評估表——分支機構.doc
[1]內部控制缺陷指當某個控制的設計或運行使管理層或公司員工在正常執行分派給他們的職責過程中,不能及時預防或者發現錯誤,即認為出現了內控缺陷,可分為一般的內部控制缺陷、重大缺陷和實質性漏洞,其中實質性漏洞最為嚴重。
壽險公司內部控制評估表——法人機構.doc
壽險公司內部控制評估表——分支機構.doc