关于印发《寿险公司内部控制评价办法(试行)》的通知
关于印发《寿险公司内部控制评价办法(试行)》的通知(06-01-21)
各保监局、各人寿保险公司、健康保险公司、养老保险公司:
为规范和加强对寿险公司内部控制的评价,推动寿险公司加强内控建设,确保寿险公司稳健经营和持续健康发展,我会研究制定了《寿险公司内部控制评价办法(试行)》,现印发给你们。请各保监局、各寿险公司、健康保险公司、养老保险公司根据实际情况,在内部控制评价工作中组织试用,认真总结试行经验。
特此通知
二○○六年一月十日
寿险公司内部控制评价办法(试行)
第一章 总则
第一条 为规范和加强对寿险公司内部控制的评价,推动寿险公司加强内控建设,确保寿险公司稳健经营和持续健康发展,根据《中华人民共和国保险法》等法律法规,制定本办法。
第二条 寿险公司内部控制是由寿险公司的董事会、经理层和全体员工共同建立并实施的,为实现公司经营管理目标、保证财务报告真实可靠、确保公司依法合规经营而提供合理保证的过程和机制。
第三条 寿险公司内部控制评价是指对寿险公司内部控制体系建设和实施开展的调查、测试、分析和评估等系统性活动。
寿险公司内部控制评价包括寿险公司开展的自我评估和监管部门组织实施的独立评价。
本办法所称寿险公司包括法人机构及其分支机构。本办法所称寿险公司法人机构是指在中国境内经中国保监会批准设立,并依法登记注册的人寿保险公司;本办法所称寿险公司分支机构限于寿险公司法人机构依法设立的省级(含直辖市、计划单列市)分公司和地市级中心支公司。
本办法所称监管部门是指中国保险监督管理委员会(以下简称中国保监会)及其派出机构。
外国寿险公司分公司视为寿险公司法人机构。
第四条 寿险公司应建立并保持系统、透明、文件化的内部控制体系,定期或当有关法律法规和其他经营环境发生重大变化时,对内部控制体系进行评审和改进。
第二章 评价目标和原则
第五条 寿险公司内部控制评价的目标主要包括:
(一)促进寿险公司强化内部控制意识,建立健全内部控制机制,严格落实各项控制措施,确保内部控制体系有效运行。
(二)促进寿险公司提高风险管理水平,推动其实现发展战略和经营目标。
(三)促进寿险公司增强业务、财务和管理信息的真实性、完整性和及时性。
(四)促进寿险公司严格遵守国家法律法规、中国保监会的监管要求和寿险公司审慎经营的原则。
第六条 寿险公司内部控制评价应从健全性、合理性和有效性三个方面进行:
(一)健全性。过程和风险是否已被充分识别,过程和风险的控制措施是否得到明确规定并得以保持。
(二)合理性。控制措施能否实现控制目标。
(三)有效性。控制措施能否得到有效执行。
第七条 寿险公司内部控制评价应遵循以下原则:
(一)全面性原则。评价范围应覆盖寿险公司内部控制活动的全过程及所有的系统、部门和岗位。
(二)一致性原则。评价的准则、范围、程序和方法等应保持一致,以确保评价结果的客观、可比。
(三)公正性原则。评价应以事实为基础,以法律法规、监管要求为准则,客观公正,实事求是。
(四)重要性原则。评价应依据风险和控制的具体情况确定重点,关注重点区域和重点业务。
(五)及时性原则。评价应按照规定的时间间隔持续进行,当经营管理环境发生重大变化时,应及时进行重新评价。
第三章 评价内容
第八条 寿险公司内部控制评价从控制环境、风险识别与评估、控制活动、信息与沟通、监督五个方面进行。
第一节 控制环境
第九条 公司治理。寿险公司应建立股东大会、董事会、监事会和经理层之间各负其责、规范运作、相互制衡的公司治理结构,为公司内部控制目标的实现提供合理保证。
(一)明确股东大会、董事会、监事会和经理层的职责。
(二)完善股东大会、董事会、监事会、经理层及下设的议事和决策机构,建立完备规范的议事规则、决策机制、决策评估和责任追究机制。
(三)建立独立董事制度,对董事会讨论事项发表客观、公正的意见。
非股份制寿险公司参照上述评估要点进行评价。
第十条 董事会、监事会、经理层在内部控制中的责任。寿险公司应明确董事会和董事、监事会和监事、经理层和高级管理人员在内部控制中的责任。
董事会负责保证寿险公司建立并实施健全、合理、有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保寿险公司在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保经理层采取必要措施识别、计量、监测并控制风险;负责审批组织结构;负责保证经理层对内部控制体系的健全性、合理性和有效性进行监测和评估。
监事会负责监督董事会、经理层完善内部控制体系;负责监督董事会及董事、经理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害寿险公司利益的行为并监督执行。
经理层负责制定内部控制政策,对内部控制体系的健全性、合理性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测、控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
董事会和经理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。
非股份制寿险公司参照上述评估要点进行评价。
第十一条 内部控制政策。寿险公司应在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的原则和基本要求,并为制定和评审内部控制目标提供指导。内部控制政策应:
(一)与寿险公司的经营宗旨和发展战略相一致。
(二)体现持续改进内部控制的要求。
(三)符合现行法律法规和监管要求。
(四)体现出侧重控制的风险类型。
(五)体现出对不同地区、行业、产品的风险控制要求。
(六)传达给适用岗位的员工,指导员工实施风险控制措施。
(七)可为风险相关方所获取,并寻求互利合作。
(八)定期进行评审,确保持续的健全、合理和有效。
第十二条 内部控制目标。寿险公司应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现持续改进的要求。
在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素。
内部控制目标应可测量。有条件时,目标应用指标予以量化。
第十三条 组织结构。寿险公司应建立分工合理、职责明确、报告关系清晰的组织结构。
(一)机构设置应根据公司业务规模、经营管理的需要,坚持合理、精简、高效的原则,严格遵守国家法律、法规的规定以及监管部门的要求;部门和岗位设置应遵循相互监督、相互制约、协调运作的原则。
(二)明确各机构、部门、岗位、人员的职责和权限,并形成文件予以传达,使员工清晰的了解其岗位的职责和标准。
(三)明确关键岗位、特殊岗位、不相容岗位及其控制要求。
(四)配备足够的具有相应知识、经验和技能的人员,确保其有效履行岗位职责。
(五)明确各岗位的报告关系,确保管理人员能够得到履行职责需要的信息。
(六)定期根据经营情况或环境变化对组织结构进行评价,及时进行必要的修正。
第十四条 企业文化。寿险公司应培育积极健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进作出明确的规定。特别应向员工传达风险管理、内部控制、合规经营的重要性,引导员工建立诚信道德观念,树立合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。
第十五条 人力资源。寿险公司应完善人力资源政策和程序,确保员工具备相应的能力和意识。
寿险公司应明确各岗位人员,特别是与风险和内部控制有关的人员的适任条件,明确有关教育、工作经历、培训和技能等方面的要求,确保相关人员能够胜任。
寿险公司应根据不同层次员工的职责、能力、文化程度及所面临的风险制定并实施培训计划,以确保经理层和全体员工能够有效履行职责。培训计划应定期评审并持续改进。
寿险公司应在员工招聘、晋升、绩效考核、薪酬、奖惩等日常人力资源管理方面建立完备的制度和程序,并充分考虑人力资源管理中的风险。
第二节 风险识别与评估
第十六条 风险识别与评估。寿险公司应建立和保持书面程序,以持续对各类风险进行有效的识别、计量、监测与评估。
风险识别与评估应:
(一)覆盖公司经营的各个环节。寿险公司应根据发生频率识别并确定经常性和非经常性的业务和管理活动,识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围。
(二)充分考虑内部和外部因素。其中内部因素包括公司治理、组织结构以及人力资源管理的复杂程度,公司资产的规模、流动性或业务总量,公司的财务状况以及经营活动的地理分布,内部控制系统的健全性、合理性和有效性等。外部因素包括国家法律、法规及政策的变化,经济形势的变化,科技的快速发展,行业竞争及市场变化等。
(三)持续识别法律法规、监管和其他要求。寿险公司应建立并保持政策和程序,确保及时识别和取得适用的法律法规、监管要求和其他要求,并作为风险识别与评估、制订控制目标和控制方案的依据。寿险公司应及时更新法律法规、监管要求和其他要求的信息,并将有关信息传达给相关员工和其他风险关联方。
(四)运用适当的方法和技术对风险的概率、后果进行评估,确定风险级别。
(五)持续识别和评估风险。当环境和条件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。
第十七条 风险处理。对已识别的风险,寿险公司应依据法律法规、监管要求以及内部控制政策确定是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评估,以确保其持续可接受;风险不可接受时,应制定内部控制方案。
内部控制方案应包括以下内容:
(一)明确控制风险的相关职责与权限。
(二)控制的策略、方法、资源需求和时限要求。
(三)重大、突发事项应急预案,明确责任人、处理流程和措施。
内部控制方案若涉及到组织结构、流程、信息技术等方面的重大变更,应考虑可能产生的新风险。
第三节 控制活动
第十八条 业务控制。寿险公司应建立制度、政策和程序,对产品开发、销售、核保核赔、服务质量、咨询投诉、再保险、单证印鉴档案、业务处理系统等实施控制,确保业务活动正常运转。
(一)产品开发。成立产品开发领导和决策机构,明确精算责任人和法律责任人的责任;建立并实施产品开发管理程序,对新产品的开发、论证、审核等进行控制,对产品的销售、盈利和风险情况进行定期跟踪分析。
(二)销售管理。建立并保持书面程序,对销售人员或机构的甄选、签约、解约、薪酬、考核、档案、品质管理、宣传材料管理等进行控制;定期对销售人员进行专业培训和职业道德教育,建立销售人员失信惩戒机制;对于销售过程中已识别的风险,建立并保持控制程序,并将有关程序和要求及时通报销售人员或机构,确保其遵守寿险公司相关的控制要求;建立并实施客户回访制度,按照有关规定确定客户回访范围和内容,对客户反馈信息进行分析整改并定期跟踪。
(三)核保核赔管理。建立明确的核保、核赔标准,实施权责明确、分级授权、相互制约、规范操作的承保理赔管理机制;明确核保核赔人员的适任条件,定期对核保核赔人员进行培训,确保核保核赔人员具有专业操守并勤勉尽职。
(四)服务质量管理。建立并实施业务操作标准和服务质量标准,对销售、承保、保全、理赔等活动的服务质量进行规范管理,并建立客户服务质量考评机制。
(五)咨询投诉管理。建立并保持咨询投诉处理程序,对咨询投诉处理中发现的问题进行核实、分析、反馈,并进行整改和跟踪监督。
(六)再保险管理。建立并实施科学的分保管理流程,建立职责分明、互相制约的分保机制,合理确定自留额和分保方式,确保及时、足额进行分保。
(七)单证、印鉴、档案管理。建立并保持控制程序,对保险单证的印刷、保管、领用、作废和核销,印鉴的刻制、保管、使用范围、使用审批、使用登记、作废和核销以及档案的保管实施控制;对假造重要单证、仿制印鉴等违法违规行为进行责任追究。
(八)业务处理系统。建立稳定、高效、能够对业务提供全面功能支持的业务处理系统;制定业务处理系统的管理规章、操作流程、岗位手册和风险控制制度;实施操作权限管理,并及时根据业务和控制需要对业务处理系统进行改进。
第十九条 财务控制。寿险公司应建立制度、政策和程序,对财务会计制度、职务牵制、账务处理程序、财务报告、资产、负债、预算、费用开支、财务处理系统等实施控制,确保财务、会计信息真实、准确。
(一)财务会计制度。根据相关法律、法规和监管部门要求,结合本公司具体情况,制定本公司的财务会计制度。
(二)职务牵制。单独设立财务会计部门,配备专职财会人员,合理设置岗位,明确岗位职责,严禁兼任不相容岗位,实行定期或不定期岗位轮换。
(三)账务处理程序。建立并实施规范的会计核算流程,依据真实的经济事项进行账务处理,对账务处理的全过程实施有效的控制,实现账账、账实和账表相符。
(四)财务报告。及时编制财务报表,确保会计信息的真实、完整、准确。
(五)资产管理。制定并保持书面程序,对收付费进行控制,明确收付费的操作流程与岗位职责,对收付费行为进行定期检查和审计;妥善保管现金、有价证券、空白凭证、密押、印鉴、固定资产等,定期核对现金和银行存款账户,定期盘点,确保各项资产的安全和完整。
(六)负债管理。建立完善的准备金精算制度,按照有关法律法规要求及时、足额计提准备金。
(七)预算控制。实行全面预算管理,建立预算制度,对预算的编制、执行、分析、考核进行明确;及时分析和控制预算差异,确保预算的执行。
(八)费用管理。建立严格的授权批准制度和预算控制制度,控制费用支出,并定期进行费用分析。
(九)财务处理系统。建立稳定、高效、安全的财务处理系统;制定财务处理系统的管理规章、操作流程、岗位手册和风险控制制度;财务处理系统应与业务处理系统实现数据共享与无缝对接,确保各项业务活动得到及时、准确的反映。
第二十条 资金控制。寿险公司应建立制度、政策和程序,对资金调度、投资决策、投资操作、投资风险管理等实施控制,确保资金的安全性、流动性和效益性。
(一)资金调度。对资金进行统一管理和运作,严格实行收支两条线,对分支机构资金实行监控,确保资金及时足额上划集中。
(二)投资决策。建立透明、规范的投资决策程序和议事规则,投资决策应遵守国家法律、法规和行政规章的规定,并兼顾资产与负债的匹配。
(三)投资操作。建立规范的投资操作流程,实现前台操作与后台管理分离,建立并保管交易记录,确保投资的专业化。
(四)投资风险管理。建立完备的投资风险评估和控制系统,制定符合自身实际的风险控制政策、措施和定量指标,开发和运用量化的风险管理模型,对资金运用的收益与风险进行适时、审慎评价。
第二十一条 信息技术控制。寿险公司应建立制度、政策和程序,对信息技术管理、信息安全、应急计划等实施控制,确保信息的完整性、安全性和可用性。
(一)信息技术管理。建立健全信息技术管理和风险防范制度,明确计算机信息系统开发、管理与应用部门及相关人员的职责,对计算机信息系统的项目立项、设计、开发、测试、运行和维护等实施控制。
(二)信息安全管理。建立信息安全管理体系,对硬件、操作系统、应用程序和操作环境实施控制,确保信息的完整性、安全性和可用性;计算机机房建设应当符合国家的有关标准,出入计算机机房应当有严格的审批程序和出入记录,确保计算机硬件、各种存储介质的物理安全;对系统数据资料采取加密措施,建立备份,异地存放,实施有效的口令管理和权限管理,定期更换用户使用的密码和口令;及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等,通过认证、加密、内容过滤、入侵监测等技术手段,不断完善安全控制措施;建立健全网络管理系统,对网络的安全、故障、性能、配置等进行有效管理,并对接入国际互联网实施有效的安全管理;对网络设备、操作系统、数据库系统、应用程序等设置必要的日志。
(三)应急计划。建立计算机安全应急系统,制定详细的应急方案,定期检查、维护应急的设施、设备和系统,确保其处于适用状态。
第二十二条 其它控制。针对公司其他活动建立必要和恰当的政策和程序,确保制定的控制措施能够有效实现控制目标,已确定的控制行为得到恰当的执行。
第四节 信息与沟通
第二十三条 信息。建立并保持书面程序,持续识别、收集、处理、报告涉及公司目标实现及经营管理有效运作的内外部信息,以确保经理层能够及时、准确了解业务信息、管理信息、重要风险信息;确保其他所有员工充分了解相关信息,遵守涉及其责任和义务的政策和程序;确保及时、真实、完整的向监管部门和外界报告、披露相关信息;确保在出现紧急情况或重大突发事件时,相关信息能够得到及时报告和有效沟通。
第二十四条 沟通。建立开放、有效的内外部沟通渠道,确保信息及时上传、下达,并在上下级机构及部门之间充分交流,使相关人员能够获取履行职责需要的信息;确保员工具有反映问题、提出建议的通道;确保在收到客户、监管部门及其他外部人员反映的情况后,采取及时适当的应对措施,妥善处理公司与外部的关系。
第二十五条 信息的安全、保密。寿险公司应适当保持相关信息交流与沟通的记录,并考虑信息的安全性和保密性要求,对信息报告、发布、披露进行授权。
第二十六条 文件控制。寿险公司应建立并保持必要的内部控制体系文件,包括:对内部控制体系要素及其相互作用的描述,内部控制政策和目标,关键岗位及其职责与权限,不可接受的风险及其预防和控制措施,控制程序、作业指导、方案和其他内部文件等。
寿险公司应建立并保持书面程序,确保内部控制体系文件满足下列要求:
(一)易于查询。
(二)实施前得到授权人的批准。
(三)定期评审,必要时予以修订并由授权人员确认合理性。
(四)所有岗位都能得到有关版本。
(五)失效时,及时从所有发放处和使用处收回,或采取其他措施防止误用。
(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。
(七)留存的档案性文件和资料应予以适当标识。
第二十七条 记录控制。寿险公司应建立并保持书面程序,对内部控制相关活动中所涉及记录的标识、生成、存储、保护、检索、保存期限和处置进行明确。
记录应保持清晰、易于识别和检索,并可追溯到相关的活动,以提供内部控制体系有效运行的证据。
第五节 监督
第二十八条 持续性监控。寿险公司应采取措施确保各部门和员工在日常经营和履行职责的过程中持续获取相关信息(如:投诉等),对内部控制健全性、合理性、有效性进行检查、分析,并评估其实施的效率效果,以实现对内部控制实时动态的持续性监控和控制执行部门的自我改善。持续性监控应遵循以下原则:
(一)以目标为基础,确认现有的制度、程序和措施是否合理、有效和剩余风险的控制水平(剩余风险是指没有通过内部控制加以控制,但却可能对公司目标实现产生影响的风险)。
(二)以风险为基础,识别实现目标的各类风险,确定控制制度、程序和政策是否足以对关键风险进行管理。
(三)以控制为基础,对现有控制措施的运行情况进行分析,识别差距。
(四)以过程为基础,对包括业务、财务、资金、计算机等控制活动的关键过程和内容进行确认、评价、更新、改善和简化。
第二十九条 独立评估。寿险公司应设立内部审计机构或岗位,对内部控制的健全性、合理性和有效性实施独立评估。
内部审计部门应配备具有相应资质和能力的审计人员;应有权获得寿险公司的所有经营、管理信息;应定期或不定期根据辖属机构的内部控制情况确定审计频率,以及对机构和业务的审计覆盖率,对内部控制的健全性、合理性和有效性实施检查、评价;应对公司高级管理人员和重要岗位人员进行离任审计。
第三十条 缺陷报告与持续改进。对持续性监控、独立评估及监管部门评价发现的内部控制缺陷,应及时向董事会及经理层提交书面报告,并及时进行整改纠正,对整改情况进行跟踪监督,以持续提高内部控制体系的有效性。
第四章 评价方式
第三十一条 寿险公司内部控制评价采取寿险公司自我评估与监管部门独立评价相结合的方式。
第三十二条 寿险公司应根据本办法于每年年末针对每一项评价点,从健全性、合理性、有效性三方面全面进行自我评估,并填写内部控制评估表、撰写内部控制年度评估报告。监管部门认为必要时,可要求寿险公司提供经中介机构鉴证的内部控制评估表和内部控制年度评估报告。
内部控制评估表和内部控制年度评估报告应于次年3月15日前向监管部门报送。
寿险公司法人机构的内部控制评估表(具体格式和内容请见附件一)和内部控制年度评估报告应由法人代表签字,向中国保监会报送。
寿险公司分支机构的内部控制评估表(具体格式和内容请见附件二)和内部控制年度评估报告应由分支机构总经理签字,向中国保监会派出机构报送。
第三十三条 内部控制评估表和内部控制年度评估报告应真实、完整,不得瞒报和虚报。
填写内部控制评估表时,应对每一项评价点的基本情况进行描述,对其健全性、合理性和有效性进行评价,并揭示存在的内部控制缺陷。
内部控制年度评估报告应至少包括以下内容:
(一)本单位内部控制情况。应覆盖本单位内部控制体系范围内的所有活动,从控制环境、风险识别与评估、控制活动(包括业务、财务、资金、信息技术、其他控制活动)、信息与沟通、监督五方面分别进行评价。
(二)本年度完善内部控制的措施及上年度内部控制缺陷 的改善情况。
(三)目前内部控制存在的漏洞和缺陷。
(四)下一年度改进内部控制的计划。
第三十四条 监管部门应根据风险大小和重要性对寿险公司内部控制进行抽查,实施独立评价。
第三十五条 中国保监会负责对寿险公司法人机构的内部控制进行评价。根据工作需要,中国保监会可授权中国保监会派出机构对辖区内寿险公司法人机构的内部控制进行评价。
中国保监会派出机构负责对辖区内寿险公司分支机构的内部控制及根据授权对辖区内寿险公司法人机构的内部控制进行评价。
中国保监会认为必要时,可直接对寿险公司分支机构内部控制进行评价。
监管部门认为必要时,可以聘请中介机构对寿险公司内部控制实施评价。
第三十六条 监管部门对寿险公司内部控制进行评价,原则上每三年为一个评价周期,每年至少覆盖三分之一以上的寿险公司。当寿险公司发生重大违法违规行为、经营状况出现严重恶化、偿付能力出现危机、管理层重大变动、重大的并购或处置、重大的营运方式改变、业务财务信息处理方式改变,或监管部门认为必要时,可以对寿险公司内部控制实施评价。
第三十七条 监管部门初次对寿险公司内部控制评价时,须覆盖内部控制的所有方面。再次评价时,可根据监管重点、评价期内寿险公司内部控制的实际情况,确定评价的范围。但在每三次再次评价周期内应覆盖内部控制的所有方面。
第五章 评价程序与方法
第三十八条 监管部门对寿险公司内部控制的评价包括评价准备、评价实施、评价反馈和评价报告形成四个阶段。
寿险公司内部控制自我评估参照执行。
第三十九条 评价准备。评价准备包括组建评价组、制订评价实施方案、评价资料准备等步骤。
组建评价组。组建评价组应考虑组成人员的背景和能力。必要时,可聘请业务或管理方面的专家。
制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。
评价资料准备。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。
监管部门实施评价应在进场前与被评价机构建立初步联系,以便确认有关评价事项和安排。
第四十条 评价实施。评价实施包括了解内部控制体系、实施测试与分析等步骤。
评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排,通过适当的方法收集与评价目的、范围和准则有关的信息,根据评价方案对被评价项目进行测试,对有关数据进行确认和分析,并予以记录。包括:
(一)了解内部控制体系。评价组应了解被评价机构内部控制体系的基本情况,确认评价范围,确定被评价机构的内部控制体系的健全程度,然后决定实施测试所采取的方法。主要通过询问、查阅、观察、流程图等方法进行,以初步评价被评价机构内部控制体系的健全性。
(二)实施测试和分析。实施测试和分析是在了解内部控制体系的基础上,评价内部控制体系的合理性和运行的有效性,主要采取符合性测试法。
第四十一条 评价反馈。监管部门实施内部控制评价应在对被评价机构内部控制体系进行综合评价后,与被评价机构管理层沟通,以核对数据,确认事实。
第四十二条 评价报告形成。评价组应根据评价实施和反馈情况,填写内部控制评价表(内部控制评价表的格式与内容同内部控制评估表),撰写评价报告。
评价报告应重点分析以下方面:
(一)被评价机构内部控制体系现状。
(二)被评价机构内部控制存在的问题。
(三)评价中发现的与被评价机构内部控制年度报告、内部控制评估表不一致的方面。
(四)被评价机构内部控制的趋势分析。
第四十三条 符合性测试。符合性测试是获得评价证据以证实内部控制在实际中的合理和有效,即控制措施能否达到控制目的,相关规定在实际中是否被一贯执行。符合性测试分为两种形式:
(一)业务测试。即对重要业务或典型业务进行测试,按照规定的业务处理程序进行检查,确认有关控制点是否符合规定并得到认真执行,以判断内部控制的遵循情况。
(二)功能测试。即对某项控制的特定环节,选择若干时期的同类业务进行检查,确认该环节的控制措施是否一贯或持续发挥作用。
第四十四条 测试抽样。抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上,结合被评价项目的风险和重要性进行调整。
第六章 评分标准与评价结果利用
第四十五条 内部控制评价采取评分制(各项分值请见寿险公司内部控制评估表)。
第四十六条 内部控制评价应对每一项评价点,从健全性、合理性、有效性三方面进行评价,具体评分原则如下:
(一)被评价对象的过程和风险被充分识别,且相关控制措施被明确规定的,可得该项分值的百分之三十;
(二)在满足前项的基础上,被评价项目的过程和对风险的控制措施合理的,可再得该项分值的百分之三十;
(三)在满足前两项的基础上,被评价项目的规定得到有效执行的,可再得该项分值的百分之四十。
第四十七条 在测试过程中遇有业务缺项或问题不适用时,应将涉及到的分值在评价项目总分中扣减。为保持可比性,在得出其余适用项的总分后,还应将该评价项目的总得分进行调整。
调整后评价项目总得分=所有适用项目得分/(评价项目总分-不适用项目总分)*100%
第四十八条 若涉及到需要采取抽样测试确定评价结论的,应根据以下情况确定:
(一)如果在抽样范围内未发现违规,该项评价得满分;在抽样范围内,发现两项以上违规(含两项),该项评价不得分;仅发现一项违规的,应扩大一倍抽样,在扩大抽样范围内未发现新的违规的,可得该评价项目分值的50%,在扩大抽样范围内又发现新的违规的,该评价项目不得分。
(二)发现险情或事故的,直接扣除该评价项目的分值。
第四十九条 寿险公司在评价期内发生重大责任事故,监管部门应将其内部控制总评分下调十分。
重大责任事故包括:
(一)因安全防范措施不当,发生保险诈骗、盗窃、抢劫、爆炸等事件,造成重大影响或损失。
(二)因经营管理不善,发生大规模退保、现金流支付危机等事件。
(三)业务系统故障,造成重大影响或损失。
(四)重大违法违规事件。
第五十条 内部控制体系连续在三个评价期内得不到改善的机构,监管部门应将其内部控制总评分下调十分。
第五十一条 监管部门应将寿险公司内部控制评价结果用于寿险公司非现场监管,并根据非现场监管结果实施分类监管。
第五十二条 监管部门应将独立评价结果与寿险公司自我评估结果对比,发现寿险公司呈报的内部控制评估表和内部控制年度评估报告中存在恶意瞒报、弄虚作假或者两者的结果存在较大不一致的,应将其内部控制总评分下调二十分,并视情节轻重按照有关法律法规进行处罚。
第五十三条 寿险公司内部控制评价信息作为非现场监管信息,按照《寿险公司非现场监管规程》(试行)进行归档和管理。
第七章 附则
第五十四条 健康保险公司、养老保险公司内部控制评价参照本办法执行。
第五十五条 本办法由中国保监会负责解释与修订。
第五十六条 本办法自发布之日起实施。
附件1:寿险公司内部控制评估表——法人机构
附件1:寿险公司内部控制评估表——分支机构
附件下载:
http://www.circ.gov.cn/policy/list_detail.asp?Auto_ID=269