公司层面内控分册-保监会稽核指引23200.docx

《公司层面内控分册-保监会稽核指引23200.docx》由会员分享，可在线阅读，更多相关《公司层面内控分册-保监会稽核指引23200.docx（200页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第五次保险稽查查审计联席会会议材料一：保险稽查审计指指引公司层面内内部控制分册册（审议稿）2011年122月导 言近年来，世界各各国对企业内部控制制建设的重视视程度越来越越高。20002年美国颁颁布了公众众公司会计改改革和投资者者保护法案，又又称萨班斯斯奥克斯利法法案，该法法案第4044条款明确规规定了管理层层对企业内部控控制职责；906条款更指出如果企企业被认定未未达到该法案的要求求，将可能使使企业和管理理层个人受到到包括高额罚罚款甚至监禁禁等形式的严重处罚。22008年财财政部、证监监会、审计署署、银监会、保保监会联合颁颁布了企业业内部控制基基本规范，并于20100年发布了企企业内部控制制

2、配套指引，该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，这一套控制规范被称为中国的“萨班斯法案”，分阶段适用于包括保险公司在内的各类上市公司、非上市大中型企业。与此同时，人们们也越来越重重视内部审计计在内部控制制中的作用。一般认为，保险公司内部审计具有监督、评价两方面的基本职能，既是内部控制的一部分，同时又是内部控制的测试者，对内部控制体系进行评估、评价已经成为内部审计的一个重要工作内容。内部审计师通常要每年对公司高管层提交内部控制评价报告，高管层认可后对外报送或披露。这事实上就把内部审计从“后台”推向了“前台”，如果公司内部控制状况不佳，内部审计部门也

3、负有不可推卸的责任。根据国际上普遍遍认可的COOSO内部控控制体系框架架，内部控制制通常被分为为控制环境、风风险识别与评评估、控制活活动、信息与与沟通、监督督五个要素。在内部控制五要素中，由于控制活动与具体的业务活动相关，所以其余四个要素通常被称为公司层面内部控制。公司层面内部控制是其他业务层面控制的奠基石，只有在建立健全公司层面内部控制的基础上，业务层面的各项内部控制才能持续地、有效地开展。结合保险公司实际，根据保险稽查审计指引体例安排，控制活动的有关审计内容已在各业务分册体现，而公司层面内部控制审计在此专门制作一个分册。公司层面内部部控制分册是在基本手手册介绍的的有关保险公公司内部审计计工

4、作基础理理论、标准、方方法、实务操操作规范等内内容的基础上上，基于风险险导向的方法法论，依据现行保险法律法规规及监管要求求，在系统梳梳理公司层面面内部控制风风险点和全面面总结相关审审计工作稽查查实践经验的基基础上，而撰写的关于如如何开展公司司层面内部控控制审计工作的操操作手册，并并附以案例参参考，试图以以更清晰的方方法和思路透透视公司层面面内部控制，为为保险公司提提高内部审计计工作效率，提提升理论与实实务分析的结结合度提供指指导与借鉴。在应用本手册对对保险公司公公司层面内部部控制开展审审计时，除了了需要遵循基基本手册和和本分册的要要求外，还要要参考并结合合其他业务分分册相关具体体内容来开展展；

5、在实施审计过程程中，需加强强具体业务、财务活活动审计的配配合和信息沟沟通，避免出出现遗漏。此此外，各保险险公司的具体体实践不尽相相同，因此在在运用本手册册过程中，还还应结合被审审计单位的实实际状况进行行灵活运用。限于水平和经验验，本手册还还存在诸多不不足之处，敬敬请读者多多多批评指正，以以便今后进一一步修订完善善。第200页 共200页目 录目 录5第一章 保险公公司公司层面面内部控制基基础9第一节 内部控控制概述9一、内部控制的的概念9二、内部控制的的目标12三、内部控制的的原则13四、内部控制五五要素之间的的关系15第二节 公司层层面内部控制制概述16一、公司层面内内部控制概念念16二、保

6、险公司公公司层面内部部控制概念16第二章 公司层层面内控审计计的程序与方方法21第一节 公司层层面内控审计计的程序21第二节 公司层层面内部控制制审计方法26一、一般方法27二、特殊方法29三、公司层面内内控审计方法法应用的注意意要点31第三节 计算机机辅助实施公公司层面内控控审计32第三章 内部环环境审计35第一节 内部环环境概述35一、公司治理35二、组织架构58三、发展战略70四、人力资源72五、企业文化75六、社会责任77第二节 公司治治理审计79一、公司章程审审计79案例一：公司章章程修改后未未报批80二、股东与股东东（大）会审审计82案例二：委托持持股或代持股股未报告84三、董事、

7、独立立董事、董事事会及其下设设委员会审计计85案例三：董事长长、独立董事事、董事会秘秘书未尽职87四、监事和监事事会审计89案例四：监事会会没有职工代代表参加90五、关联交易管管理审计90案例五：没有充充分识别关联联方、关联交交易管理不合合规91六、董事、监事事、高管任免免、薪酬管理理审计92案例六：假造薪薪酬委员会决决议、发放高高管薪酬93案例七：以假学学历骗取高管管任职资格95七、集团化管控控审计（集团团公司适用）96第三节 组织架架构审计97一、组织架构管管理审计97二、经营管理层层任职履职情情况审计98三、精算管理、财财务管理、法法律管理、合合规管理、风风险管理、信信息化管理、内内部审

8、计管理理组织架构审审计98第四节 发展战战略、人力资资源、企业文文化、社会责责任审计99一、发展战略审审计99二、人力资源管管理审计101案例八：未能制制定强制休假假、轮岗制度度102案例九：不合理理的奖金分配配制度104案例十：绩效体体系不完善106三、企业文化建建设审计110四、社会责任审审计112案例十一：内部部管理混乱、内内控完全失效效113第四章 风险管管理审计115第一节 风险管管理概述115一、风险管理组组织115二、风险目标设设定117三、风险评估118四、风险应对120五、风险管理的的监督与改进进122第二节 风险评评估常用方法法和风险应对对常用策略123一、风险评估的的常用

9、方法123二、风险应对的的常用策略124第三节 风险管管理组织审计计126一、风险管理委委员会审计126二、风险管理职职能审计127三、风险信息共共享机制审计计128四、风险管理宣宣导与培训129案例十二：风险险管理组织不不健全129第四节 风险目目标设定审计计131第五节 风险评评估审计131一、风险识别审审计131案例十三：风险险识别不全面面132二、风险分析与与评价审计133第六节 风险应应对审计134一、风险管理总总体策略审计计134二、风险限额审审计135三、风险解决方方案审计136案例十四：风险险应对策略调调整不及时137第七节 风险管管理的监督与与改进审计138一、风险管理监监督

10、与改进审审计138二、风险管理报报告审计139第五章 信息与与沟通审计140第一节 信息与与沟通概述140一、信息收集、处处理与传递140二、反舞弊和举举报投诉管理理机制141三、信息系统内内控有效性142四、信息披露管管理142第二节 内外部部信息收集、处处理与传递审审计145一、内外部信息息收集、处理理与传递机制制审计145二、公文管理审审计146第三节 反舞弊弊和举报投诉诉管理机制审审计148一、反舞弊工作作机制审计148二、举报投诉管管理机制审计计149案例十五：反舞舞弊机制存在在漏洞、缺乏乏举报人保护护制度149第四节 信息系系统内控有效效性审计151一、信息系统安安全管理审计计15

11、1二、信息技术发发展规划审计计152三、信息系统内内控有效性审审计152案例十六：应用用系统功能的的规划和管理理缺乏前瞻性性和统筹性153第五节 信息披披露管理审计计155案例十七：信息息披露违规操操作156第六章 内部部监督审计158第一节 内部监监督概述158一、内部控制监监督制度158二、内部控制缺缺陷认定159三、内部控制自自我评价159第二节 内部控控制监督制度度审计161一、内部控制监监督制度审计计161二、内部审计管管理审计162三、合规管理审审计163四、日常监督和和专项监督开开展情况审计计163五、对子公司和和分支机构内内审监督管理理情况审计164第三节 内部控控制缺陷认定定

12、审计165一、内部控制缺缺陷处理机制制审计165二、重大异常情情况处理机制制审计166第四节 内部控控制自我评价价审计166一、内部控制自自我评估工作作审计166二、内部责任追追究机制审计计167案例十八：责任任追究制度不不健全、执行行不到位168附件：公司层面面内部控制相相关的法律法法规和监管要要求170第一章 保险公公司公司层面面内部控制基基础第一节 内部控控制概述一、内部控制的的概念（一）内部控制制最早被作为为专业概念提提出是在19936年美国国会计师协会会发布的独独立公共会计计师对财务报报表的审查中中，指为保护护现金和其他他资产，检查查簿记事务的的准确性而在在公司内部采采取的手段和和方

13、法。其后后，随着内部部控制理论的的不断完善，这这一概念的内内涵和外延都都发生了较大大的变化。当前世界各国广广泛采用和认认可的是由美美国反虚假财财务报告委员员会下属的发发起人委员会会（即COSSO委员会）于于1992年年提出并与11994年修修改的内部部控制整体框架架中对内部部控制提出的的定义：内部部控制是由企企业董事会、经经理层和其他他员工实施的的，为营运的的效率效果、财财务报告的可可靠性及相关关法令的遵循循性等目标的的达成而提供供合理保证的的过程。COOSO框架从从各个层次对对风险和控制制进行分析和和评估，为企企业的内部控控制管理提供供了整体框架架体系，首次次提出了“五要素”，包括：1、控制

14、环境（CControol envvironmment）。它它包括组织人人员的诚实、伦伦理价值和能能力；管理层层哲学和经营营模式；管理理层分配权限限和责任、组组织、发展员员工的方式；董事会提供供的关注和方方向。控制环环境影响员工工的管理意识识，是其他部部分的基础。2、风险评估（rrisk aassesssment）。是是确认和分析析实现目标过过程中的相关关风险，是形形成管理何种种风险的依据据。它随经济济、行业、监监管和经营条条件而不断变变化，需建立立一套机制来来辨认和处理理相应的风险险。3、控制活动（ccontrool acttivitiies）。是是帮助执行管管理指令的政政策和程序。它它贯穿整

15、个组组织、各种层层次和功能，包包括各种活动动如批准、授授权、证实、调调整、经营绩绩效评价、资资产保护和职职责分离等。4、信息和沟通通（infoormatiion annd commmuniccationn）。信息系系统产生各种种报告，包括括经营、财务务、守规等方方面，使得对对经营的控制制成为可能。处处理的信息包包括内部生成成的数据，也也包括可用于于经营决策的的外部事件、活活动、状况的的信息和外部部报告。所有有人员都要理理解自己在控控制系统中所所处的位置，以以及相互的关关系；必须认认真对待控制制赋予自己的的责任，同时时也必须同外外部团体如客客户、供货商商、监管机构构和股东进行行有效的沟通通。5、

16、监控（moonitorring）。监监控在经营过过程中进行，通通过对正常的的管理和控制制活动以及员员工执行职责责过程中的活活动进行监控控，来评价系系统运作的质质量。不同评评价的范围和和步骤取决于于风险的评估估和执行中的的监控程序的的有效性。对对于内部控制制的缺陷要及及时向上级报报告，严重的的问题要报告告到管理层高高层和董事会会。（二）20088年，财政部、证监会、审审计署、国资资委、银监会会、保监会五五部委联合发发布企业内内部控制基本本规范（财会200087号号），20110年4月226日，又联联合发布了企企业内部控制制配套指引，基本规范和配套指引构建了中国企业内部控制规范体系。基本规范指出，

17、内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。基本规范指指出，企业建建立与实施有有效的内部控控制，应当包包括下列要素素：1、内部环境。内内部环境是企企业实施内部部控制的基础础，一般包括括治理结构、机机构设置及权权责分配、内内部审计 注：基本规范将内部审计作为控制环境的一部分，但本手册按照通常理解，将内部审计放在监督一章。、人人力资源政策策、企业文化化等。2、风险评估。风风险评估是企企业及时识别别、系统分析析经营活动中中与实现内部部控制目标相相关的风险，合合理确定风险险应对策略。3、控制活动。控控制活动是企企业根据风险险评估结果，采采用相应的控控制措施，将将风险

18、控制在在可承受度之之内。4、信息与沟通通。信息与沟沟通是企业及及时、准确地地收集、传递递与内部控制制相关的信息息，确保信息息在企业内部部、企业与外外部之间进行行有效沟通。5、内部监督。内内部监督是企企业对内部控控制建立与实实施情况进行行监督检查，评评价内部控制制的有效性，发发现内部控制制缺陷，及时时加以改进。（三）20100年，中国保保监会颁布的保险险公司内部控控制基本准则则（保监发发2010069号）指出，内部部控制是指保保险公司各层层级的机构和和人员，依据据各自的职责责，采取适当当措施，合理理防范和有效效控制经营管管理中的各种种风险，防止止公司经营偏偏离发展战略略和经营目标标的机制和过过程

19、。基本准则指指出，保险公公司内部控制制体系包括以以下三个组成成部分：1、内部控制基基础。包括公公司治理、组组织架构、人人力资源、信信息系统和企企业文化等。2、内部控制程程序。包括识识别评估风险险、设计实施施控制措施等等。3、内部控制保保证。包括信信息沟通、内内控管理、内内部审计应急急机制和风险险问责等。二、内部控制的的目标（一）根据企企业内部控制制基本规范（财会200087号号），内部控控制的目标是是合理保证企企业经营管理理合法合规、资资产安全、财财务报告及相相关信息真实实完整，提高高经营效率和和效果，促进进企业实现发发展战略。（二）根据保保险公司内部部控制基本准准则（保监监发2011069号

20、号），保险公司内内部控制的目目标包括：1、行为合规性性目标。保证证保险公司的的经营管理行行为遵守法律律法规、监管管规定、行业业规范、公司司内部管理制制度和诚信准准则；2、资产安全性性目标。保证证保险公司资资产安全可靠靠，防止公司司资产被非法法使用、处置置和侵占；3、信息真实性性目标。保证证保险公司财财务报告、偿偿付能力报告告等业务、财财务及管理信信息的真实、准准确、完整；4、经营有效性性目标。增强强保险公司决决策执行力，提提高管理效率率，改善经营营效益；5、战略保障性性目标。保障障保险公司实实现发展战略略，促进稳健健经营和可持持续发展，保保护股东、被被保险人及其其他利益相关关者的合法权权益。三

21、、内部控制的的原则（一）根据企企业内部控制制基本规范（财会200087号号），企业建建立与实施内内部控制，应应当遵循下列列原则：1、全面性原则则。内部控制制应当贯穿决决策、执行和和监督全过程程，覆盖企业业及其所属单单位的各种业业务和事项。2、重要性原则则。内部控制制应当在全面面控制的基础础上，关注重重要业务事项项和高风险领领域。3、制衡性原则则。内部控制制应当在治理理结构、机构构设置及权责责分配、业务务流程等方面面形成相互制制约、相互监监督，同时兼兼顾运营效率率。4、适应性原则则。内部控制制应当与企业业经营规模、业业务范围、竞竞争状况和风风险水平等相相适应，并随随着情况的变变化及时加以以调整。

22、 5、成本效益原原则。内部控控制应当权衡衡实施成本与与预期效益，以以适当的成本本实现有效控控制。（二）根据保保险公司内部部控制基本准准则（保监监发2011069号号），保险公司建建立和实施内内部控制，应应当遵循以下下原则：1、全面和重点点相统一。保保险公司应当当建立全面、系系统、规范化化的内部控制制体系，覆盖盖所有业务流流程和操作环环节，贯穿经经营管理全过过程。在全面面管理的基础础上，对公司司重要业务事事项和高风险险领域实施重重点控制。2、制衡和协作作相统一。保保险公司内部部控制应当在在组织架构、岗岗位设置、权权责分配、业业务流程等方方面，通过适适当的职责分分离、授权和和层级审批等等机制，形成

23、成合理制约和和有效监督。在在制衡的基础础上，各职能能部门和业务务单位之间应应当相互配合合，密切协作作，提高效率率，避免相互互推诿或工作作遗漏。3、权威性和适适应性相统一一。保险公司司内部控制应应当与绩效考考核和问责相相挂钩，任何何人不得拥有有不受内部控控制约束的权权力，未经授授权不得更改改内部控制程程序。在确保保内部控制权权威性的基础础上，公司应应当及时调整整和定期优化化内部控制流流程，使之不不断适应经营营环境和管理理要求的变化化。4、有效控制和和合理成本相相统一。保险险公司内部控控制应当与公公司实际风险险状况相匹配配，确保内部部控制措施满满足管理需求求，风险得到到有效防范。在在有效控制的的前

24、提下，合合理配置资源源，尽可能降降低内部控制制成本。四、内部控制五五要素之间的关系根据COSO框框架，以及基基本规范等等制度文件，我们通常将内部控制划分为内部环境、风险评估、控制活动、信息与沟通、监督等五个要素。这五个要素既相互独立又相互联系，形成一个有机统一体，对不断变化的环境自动作出反应。企业首先需要建立一定的管理基调，控制环境是其他要素的基础，提供了基本规则和构架。其次需要在制定目标的前提下进行风险评估，辨识导致实体目标不能达成的内外部因素，评估其影响程度和发生可能性。企业在评估相关风险后，应决定风险要如何响应，在选择响应方式时，应综合考虑风险评估结果、风险偏好及风险承受能力，以协助公司

25、及时设计、修正及执行必要的控制活动。控制活动是确保管理层的指令得以执行的政策及程序，它嵌入日常业务经营中，体现在整个企业的不同层次和不同部门，用于将风险控制在合理的水平上。信息与沟通是确保控制活动有序进行的保障，企业采取了控制措施后需要及时收集、传递与实现内控目标相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。有效的内部监督则确保企业内部控制能持续有效的运作。第二节 公司层层面内部控制制概述一、公司层面内内部控制概念念公司层面内部控控制(Enttity LLevel Contrrols)，是是指对企业控控制目标的实实现具有重大大影响，与内内部环境、风风险评估、信信息与沟通、内内部监

26、督直接接相关的控制制。公司层面的内部部控制是整体体性的，是从从公司总体性性方面设计的的一系列内部部控制制度，站站在公司治理理层的角度，从从公司战略目目标考虑，对对一个公司的的所有部门、所所有人员都有有效力的控制制。公司层面面的内部控制制是高层次的的，通常针对对企业内部控控制是否有效效、财务报告告是否真实可可靠和企业是是否合规经营营产生普遍和和重大影响，是是有效的企业业内部控制的的基础。因此此，除“控制活动”以外的四个个要素，均不不直接成为某某项业务活动动，但具有更更高层次、更更广泛的影响响力，成为内内部控制体系系的很重要领领域。因此，这这四个要素被被统称为公司司层面内部控控制(Enttity

27、LLevel Contrrols)。二、保险公司公公司层面内部部控制概念保险公司的内部部控制也通常常按照控制环环境、风险评评估、控制活活动、信息与与沟通、监督5大要素落实实实施。除控控制活动外的的其他四大要要素构成了保保险公司公司司层面内部控控制。保险公公司公司层面面内部控制各各要素的具体体含义如下：（一）内部环境境内部环境是保险险公司实施内内部控制的基基础，一般包包括治理结构、机机构设置及权权责分配、内内部审计、人人力资源政策策、企业文化化等。例如：1、建立规范的的公司治理架架构对于现代代企业风险管管控非常重要要，治理架构构是否规范合合理将对公司司运营管理中中的授权、运运作、决策、执执行、监

28、督等等内控职能产产生巨大的影影响。2、合理的组织织架构应体现现便于管理、易易于考核、简简化层级、避避免交叉的管管理原则，明明确职责分工工，明晰报告告路线。3、与内部控制制需要相适应应的人力资源源政策，应确确保关键岗位位的人员具有有专业胜任能能力并定期接接受相关培训训，考核、薪薪酬、奖惩、晋晋升等人力资资源政策应当当与内部控制制成效相挂钩钩。4、建立安全实实用、覆盖所所有重要业务务环节的信息息系统可以尽尽可能使各项项业务活动信信息化、流程程化、自动化化，减少人为为干预和操作作失误。5、建立健全企企业文化，明明确适当的管管理基调，制制定正式的员员工行为准则则和其他相关关政策，倡导导诚实守信、爱爱岗

29、敬业、开开拓创新和团团队协作精神神，树立现代代管理理念，强强化风险意识识，促进文化化建设在内部部各层级的有有效沟通和宣宣传贯彻。6、企业应当以以一种有利于于社会的方式式进行经营和和管理，包括括企业环境保保护、社会道道德以及公共共利益等方面面，由经济责责任、持续发发展责任、法法律责任和道道德责任等构构成，是企业业在经营活动动所涉及到的的领域中衡量量企业绩效和和表现，并评评价与报告那那些传统的企企业财务报告告未涉及方面面的成果及影影响。（二）风险评估估风险评估是保险险公司及时识识别、系统分分析经营活动动中与实现内内部控制目标标相关的风险险，合理确定定风险应对策策略。例如：1、保险公司应应当对经营管

30、管理和业务活活动中可能面面临的所有风风险因素（比比如保险风险险、市场风险险、信用风险险和操作风险险等）进行全全面系统的识识别分析，发发现并确定风风险点，同时时对每一风险险点的发生概概率、诱发因因素、扩散规规律和可能损损失进行定性性和定量评估估，确定风险险应对策略和和控制重点。2、管理层可针针对己评估的的关键性风险险作出回应。可可选的应对风风险策略有风风险降低、风风险消除、风风险转移和风风险保留。管管理层可以选选择一个或多多个策略结合合使用。（三）信息与沟沟通信息与沟通是保保险公司及时时、准确地收收集、传递与与内部控制相相关的信息，确确保信息在企企业内部、企企业与外部之之间进行有效效沟通。例如如

31、：1、内部控制相相关信息在企企业内部各管管理级次、责责任单位、业业务环节之间间，以及企业业与外部投资资者、债权人人、客户、供供应商、中介介机构和监管管部门等有关关方面之间高高效的信息和和沟通机制，有有利于促进公公司信息的广广泛共享和及及时充分沟通通，提高经营营管理透明度度，防止舞弊弊事件的发生生。2、重要的相关关管理和内控控信息在总公公司、分公司司、支公司、直直至营销服务务部都得以及及时传达、贯贯彻。3、建立一整套套的信息管理理流程，覆盖盖内部信息的的上报、收集集、处理、分分析和报告的的相关过程。4、建立健全反反舞弊机制，包包括但不限于于倡导诚信正正直的企业文文化，营造反反舞弊的企业业文化环境

32、；有效实施内内部控制，权权责对等，奖奖罚明确；落落实舞弊的举举报及调查机机制；不断加加强内部审计计的独立监督督力量等。5、加强信息披披露管理，依依法向社会公公众公开其经经营管理相关关信息。（四）内部监督督内部监督是保险险公司对内部部控制建设与与实施情况进进行监督检查查，评价内部部控制的有效效性，发现内内部控制缺陷陷，并及时加加以改进。内内部监督是保保险公司对内内部控制建设设与实施情况况进行监督检检查，评价内内部控制的有有效性，发现现内部控制缺缺陷，并及时时加以改进。包括：1、审计部门应应保持独立性性，公正客观观的开展监督督评估工作，并并将内部审计计结果直接向向董事会及管管理层报告。2、制定内部

33、控控制监督制度度，加强对内内部控制的审审计检查，定定期根据检查查结果对内部部控制的健全全性、合理性性和有效性进进行评估，并并按照规定的的报告路线及及时向审计对对象、合规管管理职能部门门和上级领导导进行反馈和和报告。建立立多层次、全全方位的监控控体系，实现现对内部控制制活动的事前前、事中、事事后有效监控控，为实现内内控目标提供供合理保证。3、制定内部控控制缺陷认定定标准，对监监督过程中发发现的内部控控制缺陷，应应当分析缺陷陷的性质和产产生的原因，提提出整改方案案，采取适当当的形式及时时向董事会、监监事会或者经经理层报告。4、定期对内部部控制的有效效性进行自我我评价，出具具内部控制自自我评价报告告

34、。本手册后续内容容也主要按照照上述逻辑，分分控制环境、风风险评估、信信息与沟通、内内部监督来安安排章节，分分别介绍有关关的具体审计计程序和方法法，而内控五五大要素中的的另一要素控控制活动的审审计程序与方方法，因与具具体的业务、财财务活动密切切相关，我们们将在其他分分册中展开描描述，有关内容请参阅财财务分册、人人身保险业务务分册、财财产保险业务务分册等其其他分册。第二章 公司层层面内控审计计的程序与方法法本章基于如何开开展公司层面面内部控制专专项审计，介介绍有关审计计的程序和方方法。保险公公司的公司层层面内部控制制审计可以作作为一个单独独的专项来开开展，但更多多时候是作为为其他常规审计计的组成部

35、分分，起到基础础性的作用 常规审计一般需要先对内部控制进行初评，然后开展符合性测试和实质性测试，如果初评和符合性测试认为内控完全失效，审计人员可以无需开展下一步的审计工作，具体可以参考基本手册的有关内容。因此此，在常规审审计工作中，要要结合基本手手册介绍的审审计程序和方方法，来开展展有关内控方方面的审计。第一节 公司层层面内控审计计的程序保险公司实施公公司层面内部部控制专项审计的主主要工作步骤骤如下：一、事前准备：根据审计计划划，开展进行项项目前期的准准备工作，包包括与被审计计单位沟通审审计时间和内内容，了解被被审计单位基基本信息，获获取相关资料料，通过非现现场审计进行行初步的风险险分析及评估

36、估，拟定审计方案案，确定审计计范围、项目组成人人员及拟实施施的审计程序序等事宜。二、下发审计通通知书：告知审计时时间、成员名名单、需要准准备的资料清清单、必要的的工作条件(如办公场所所，技术配合合等)。三、召开审计见见面会：介绍与会双双方成员、介介绍预计的审审计时间 (包括管理理层反馈时间间)、介绍审审计范围、提提出所需现场场配合的事项项要求、听取取被审计单位位情况介绍。审计见面会通常在现场审计实施的第一天举行。四、内部控制初初步评审：内部控制初步步评审的基本本步骤如下：1、对被审计单单位的内部控控制制度进行行调查了解。通通过访谈、发发放调查问卷卷、查阅文件件等方式，了了解企业是否否建立了内部

37、部控制制度、制制度是否健全全、合理以及及制度执行效效果，并对了了解的情况进进行记录、描描述。审计人人员可以采用用文字叙述、调调查问卷、流流程图、调查查表等方法对对内部控制制制度进行描述述，并记录于于审计工作底底稿中。2、对内部控制制制度进行初初步评价。在在对被审计单单位内部控制制制度进行调调查了解，取取得初步认识识的基础上，对对其内部控制制水平进行初初步评价，审审计人员可以以事先设计内内控制度评分分表，将被审审计单位的内内部控制评估估点赋予一定定的分值，根根据调查情况况进行评分，并并根据评分结结果初步评价价被审计单位位内部控制制制度水平，以以确定下一步步符合性测试试的范围。通常在初步评价价中，

38、如果某某个内部控制制环节出现以以下情况之一一，则应将其其全部内容或或重要的活动动直接认定为为高风险水平平：1、内部控制失失效；2、难以对内部部控制的有效效性进行评价价；3、不拟进行符符合性测试等等下一步审计计工作。五、符合性测试试：符合性测试试是指通过穿穿行测试法、重重新履行、观观察等内控审审计方法，测测试被审计单单位业务活动动的运行与相相关内部控制制的符合程度度。例如：审计人员员抽取部分财财务报销单据据，审核查明明该单据是否否有领导审批批、会计复核核和出纳付款款记录。如果果该报销单据据未经领导批批准，会计复复核未能发现现其中的差错错，出纳付款款后未加盖“付讫”的戳记，则则现金报销的的内部控制

39、功功能未能发挥挥。符合性测试一般般通过抽样的的方法进行，测测试的范围和和数量取决于于内部控制初初步评审的结结果。经过初初步评价，如如果认为被审审计单位内控控比较健全，则则符合性测试试的范围可以以较小，反之之应扩大符合合性测试范围围和抽样数量量。一般来说，符合合性测试的范范围越大，所所能提供的有有关被审计单单位内控执行行有效性的证证据就越充分分，但如果内内审人员进行行符合性测试试的工作量可可能大于由此此而减少的实实质性测试的的工作量，则则大可不必进进行符合性测测试，而直接接进行实质性性测试。此外外，符合性测测试是建立在在被审计单位位内控制度健健全的基础上上进行的，如如果被审计单单位没有内控控制度

40、、或者者通过以前的的检查、调查查对其内控是是否有效已经经有了解，也也可以不进行行符合性测试试。通过符合性测试试，审计人员员便可对内部部控制的有效效性做出进一一步评价，并并根据符合性性测试结果确确定实质性测测试的性质、时时间和范围。审审计人员只对对准备信赖的的内部控制环环节进行符合合性测试，并并且进行符合合性测试将会会大大减少实实质性测试工工作量，此时时符合性测试试才是有意义义的。六、实质性测试试：实质性测试试是指审计人人员运用询问问、审核、观观察、监盘、函函证、分析性性复核等审计计方法，对被被审计单位具具体内部控制制有效性进行行的证实性测测试。实质性测试通常常在符合性测测试基础上进进行的，采用

41、用抽样方法，其其抽样的规模模根据内控评评审和符合性性测试的结果果来确定。实质性测试是审审计人员在现现场审计实施施阶段实现审审计目标、获获取审计证据据所必需的重重要环节。审审计人员对被被审计单位符符合型测试为为确定实质性性测试的范围围、重点、数数量和时间提提供了依据，但但并不能代替替实质性测试试。无论被审审计单位内部部控制机制如如何健全有效效，审计人员员都必须选择择适当的方法法进行实质性性测试。七、取得审计证证据：审计证据是是用以证明审审计事项真相相并作为审计计结论的基础础材料，取得得审计证据过过程是审计作作业的主体部部分。内部审审计人员通过过检查、监盘盘、观察、询询问、计算、分分析性复核等等方

42、法获取审审计证据，为为形成审计意意见和审计报报告提供依据据。重要审计计证据需被审审单位签字或或盖章确认。审计证据是否充充分直接影响响审计的质量量，审计证据据不足是产生生审计风险的的一个主要原原因。审计人人员需要对收收集到的审计计证据的客观观性、相关性性、充分性和和合法性进行行评价，筛选选出具有充分分证明力的证证据，使审计计证据的潜在在证据力转化化为现实证据据力。八、编制审计工工作底稿：审计工作底底稿应当由内内部审计人员员根据审计任任务的要求，边边查边记，逐逐事逐项编写写，做到一事事一稿（也可可合并处理）。工作底稿要求情节表述简明清晰、定性准确、编写合理有序。九、召开离场会会：在审计实实施的最后

43、一一天召开项目目离场会，双双方沟通审计计发现。但是是对于公司层层面内部控制制缺陷经常包包含有的敏感感信息，需要要注意沟通的的方式、范围围和对象。十、编写审计报报告并征求意意见：鉴于公公司层面内部部控制缺陷影影响的广泛性性和敏感性，建建议对于报告告中的每一个个发现，都需需要得到被审审计对象管理理层书面回应应，回应内容容包括拟采取取详细的解决决行动方案、明明确整改责任任人和整改落落实期限。管管理层回应的的重点在于对对审计建议的的适用性及落落实期限，双双方沟通并达达成一致。十一、签发报告告：内部审计计部机构负责责人签发报告告，并且将审审计发现记录录于审计追踪踪系统（若适适用）。十二、项目总结结：在签

44、发报报告的同时，向向被审计单位位发出评估调调研，记录审审计实施过程程中尚待改进进之处并对团团队成员进行行绩效评估。同同时，对比分分析实际用时时与预算，并并对差异作出出解释。最后后，审计人员员应做好整理理归档工作。十三、整改跟踪踪和后续审计计。第二节 公司层层面内部控制制审计方法公司层面内部控控制审计既要要采用内部审审计的一般方方法，也有其其特殊的方法法。一、一般方法在对公司层面内内部控制开展展审计时，可可以使用内部部的一般方法法 一般方法包括审核、观察、询问、函证和分析性复核等方法，具体可以参阅基本手册的有关内容。，但要注意意根据公司层层面内部控制制的特点来使使用，这里重重点介绍询问问法、审核

45、法法、观察法的的应用。（一）询问法。询询问法应用于于公司层面内内部控制审计计，具体可以以使用调查问问卷、个别访谈等等。1、调查问卷。通过设计一一系列与公司司层面风险相相关的问题，将将被调查者的的思维集中于于可能引起或或已经引起风风险的内外部部因素上。*环节内部控控制调查问卷卷机构名称： 审审计日期：项目是否不适用备注良好薄弱是否建立这方面面的制度制度是否遵循法法律法规规定定制度是否得到有有效执行2、个别访谈：按照一般询询问法的要求求实施，主要要包括确定询询问的目的、收集与询问问相关的背景景资料、确定询问要要点、编制谈谈话提纲、约定询问时时间地点、面面谈与记录、对对面谈内容进进行评估等步步骤。但

46、对对公司司层面内部控控制审计中，访访谈者要注意意引导、启发发被访谈者，在在一定程度上上是参与讨论论，而非常规规审计的询问问、质询，这这样才能更加加深入的挖掘掘有关内控风风险和隐患。3、专题讨论：将具有交叉叉职能或多层层级的人员聚聚集在一起，利利用集体智慧慧描述出公司司面临的风险险以及存在内内控薄弱环节节。（二）审核法。审审核法是公司司层面内控审计工作最重重要的检查方方法之一。评评审人员在执执行抽样、穿穿行测试等评评审方法时，要要求被评价单单位在限定的的时间内，提提供被审计内内容相关的内外部部公文、制度度文件、协议议合同、审批批记录等等。通通过对这些书书面证据的检检查，验证各各项内控措施在实实际操作中是是否得到有效效贯彻执行。（三）观察法。即即内部审计人员员深入现场实实地调研，参参加重要会议议，或通过观观看过程录像像的方式，观观察有关人员员的实际工作作情况，以确确定规定的内内部控制活动动是否得到严严格执行。该该方法适用于于那些不留书书面痕迹的内内部控制环节节及用于测试试某项控制措措施执行的到到位程度。上述一般方法的的具体要点，可参阅基本手册有关询问、观察、监盘等审计方法。二、特殊方法（一）穿行测试试法。穿行测测试也称全程程测试，这是是内部控制评评价和审计的的常用方法，用用以确定内部部控制政策和和程序的实施施情况。即评评审人员在每每一类循环中中选择一次或或