保险公司内部审计理论.doc

中国保险监督管理委员会文件保监发201217号关于印发保险稽查审计指引 第1号：基本手册的通知各保监局，各保险公司、保险资产管理公司：保险稽查审计指引第1号：基本手册已经保监会稽查工 作委员会、保险稽查审计联席会审议通过 1现予印发。第一部分 保险公司内部审计理论 第一章 保险公司内部审计基础 第一节 保险公司内部审计概述 随着企业生产规模扩大、经营层次增多，经济活动日趋复杂，管理层希望对内部所属各级组织的经营活动实行有效的监督，保障企业控制系统有效运作，由于管理的需要促成了内部审计部门在组织内得以诞生。初期，内部审计作为内部经营职能主要集中在防止工资欺诈、现金和其他资产的损失，随后内部审计的范围扩展到对几乎所有财务事项的验证，其重点逐步从“为管理而审计”发展到“对管理进行审计”。现代内部审计的发展经历了从传统的财务基础内部审计、控制基础内部审计到风险基础内部审计的演变。近年来，内部审计在公司治理中的地位和作用日益重要。内部审计部门被视为与董事会、高级管理层、外部审计师构成有效公司治理的四大基石之一。内部审计作为实现内部控制的关键因素，在减少信息不对称、促使股东与经理人员利益最大化，健全受托经济责任关系过程中发挥着至关重要的作用。 一、定义 （一）内部审计的定义 内部审计之父索耶关于内部审计的定义是：对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济的使用了资源，是否有利于实现组织目标。 根据国际内部审计师协会内部审计实务标准:内部审计是一种旨在增加组织价值和改善组织营运的独立、客观的确认和咨询活动，它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果，以帮助实现组织目标。 根据中国内部审计协会内部审计基本准则:内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。 （二）保险公司内部审计的定义 根据保险公司内部审计指引（试行）：保险公司内部审计是指保险公司内部机构或者人员，通过系统化、规范化的方法，对其内部控制的健全性和有效性、业务财务信息的真实性和完整性、经营活动的效率和效果以及经营管理人员任期内的经济责任等开展的检查、评价和咨询等活动，以促进保险公司实现经营目标。 二、目标 根据内部审计的定义，内部审计的一般目标为改善风险管理、内部控制和公司治理的有效性，促进组织增加价值并 改进经营。内部审计的具体目标因不同行业、不同组织、不同法律和社会环境而不同。保险公司内部审计除遵循内部审计一般目标，还包括： （一）强化合规 依法合规是保险公司经营管理的基本要求。保险公司的经营管理活动必须遵循法律法规、监管机构规定、行业自律规则、内部管理制度以及诚实守信的道德准则。 保险公司内部审计机构必须对合规管理结果进行评价，对发现的合规缺陷和漏洞，及时汇报公司管理层以及审计委员会，督促相关部门进行整改并实施监督，以提高公司的合规经营管理水平。 （二）防控风险 风险管理是保险业健康发展的生命线。保险公司应建立与自身业务性质、规模和复杂程度相适应的全面风险管理体系，有效识别、评估、计量、应对和监控各项经营管理活动的风险。 保险公司内部审计机构通过对公司内部控制体系以及风险管理体系的健全性、合理性和有效性进行监督、检查、评价，以协助公司建立和完善风险管理系统。 （三）促进公司实现经营发展战略目标 保险公司内部审计机构通过对保险业务、财务等各项经营活动开展监督、检查和评价，发现内控缺陷或风险点，提出有价值的审计建议和改进措施，进一步加强内部控制，提升管理水平，促进公司各项经营发展的举措得到有效执行， 为公司实现经营发展的战略目标提供保障。 三、职能 国际保险监督官协会公司治理报告文件指出，内部审计可以为董事会关于保险公司内控、政策、操作和报告流程的遵循性、充分性、有效性提供合理保证。内部审计的本质就是监督、制衡，是内生的具有预防、揭示和抵御功能的“免疫系统”，是公司治理、内部控制的重要组成部分。内部审计的基本职能包括监督、评价，在全面风险管理框架下，又发展为确认、咨询职能。 （一）基本职能 一是监督。监督是指以法律法规和制度规定为依据，对被审计对象的经济活动进行检查和评价，以衡量和确定其会计资料和其他资料是否真实、准确，其所反映的财务收支和其他经济活动是否合法、合规、合理、有效，检查被审计对象是否履行其经济责任，有无违法违纪等行为，追究或解除其所负经济责任，从而督促被审计单位纠错防弊，遵守法律法规，改进经营管理，提高经济效益。 二是评价。评价是指通过审核检查，评定被审计对象的计划、预算、决算、方案是否可行，经济活动是否按照既定的决策和目标进行，经济效益的高低优劣，以及内部控制制度是否健全、有效等，从而有针对性地提出意见和建议，以促进企业改善经营管理，提高经济效益。 （二）全面风险管理框架下的内部审计职能 在全面风险管理框架下，内部审计的职能从监督和评价发展为确认和咨询。一是确认。确认又称鉴证，是指对公司的风险管理、控制和治理过程进行独立评价，客观地审查证据的活动，旨在改善管理层决策与提高决策的科学性。如开展合规性审计、财务审计、绩效审计、内部控制评审等审计活动。二是咨询。咨询是指内部审计为公司提供顾问等服务活动，其范围需根据管理层的要求，并与公司相关职能部门协商确定，目的是为组织增加价值并改进组织的治理、风险管理和控制过程。 四、内部审计与合规管理、内部控制、风险管理 （一）内部审计与合规管理、内部控制、风险管理都是保险公司风险防范和控制的重要内容。 1、内部控制是指保险公司各层级的机构和人员，依据各自的职责，采取适当措施，合理防范和有效控制经营管理中的各种风险，防止公司经营偏离发展战略和经营目标的机制和过程。 2、风险管理是指保险公司围绕经营目标，对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。 3、合规管理是保险公司通过设置合规管理部门或者合规岗位，制定和执行合规政策，开展合规监测和合规培训等措施，预防、识别、评估、报告和应对因保险公司及其员工违反法律法规、监管机构规定、行业自律规则、内部管理制度以及诚实守信的道德准则行为引发的法律责任、监管处罚、财务损失或者声誉损失等合规风险的行为。 （二）内部审计、合规管理是实施有效内部控制的基础性机制，是保险公司全面风险管理的重要内容。合规管理主要侧重于事前、事中对公司各类经营行为、管理制度进行审查，对风险进行预防和评估；而内部审计主要侧重于经营管理事后监督，根据需要扩展到事前预警和事中控制，监督检查各项风险管理和内控制度是否得到有效落实，是否还存在改进余地等。 （三）内部审计可以协助管理层完善内部控制、加强风险管理，但不能超出正常的职责范围，以免损害独立性。内部审计人员可以对内部控制、合规管理、风险管理起到促进、协助作用，但不负内部控制、合规管理、风险管理的责任。第二节 保险公司内部审计基本原则 一、独立性与客观性原则内部审计部门必须保持其独立性，内部审计人员必须客观地开展工作。独立性是指内部审计机构和人员在进行内部审计活动时，不存在影响内部审计客观性的利益冲突的状态。客观性，是指内部审计人员在进行内部审计活动时，应以事实为依据，保持公正、不偏不倚的精神状态。 独立性和客观性通常需要从内部审计组织的独立性、具有履行职责所需的权限、必要的人力物力和资金支持、审计人员的专业胜任能力、职业审慎、职业道德等层面来保证。保险公司内部审计指引（试行）第二章机构与人员规定了内部审计组织体系、人员配备要求，第三章职责权限规定了内部审计部门职责权限要求，这为保证保险公司内部审计的独立性和客观性提供了必要的组织保证、权限保证。 二、全面性与重要性原则 在审计工作中，要把全面性与重要性有机统一起来，既要兼顾全面覆盖，又要有所侧重。全面性是指保险公司内部审计应当涵盖保险公司各项经济业务和经营管理的各个环节，在审计对象上应当覆盖各项经济业务和经营管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免出现空白和漏洞。重要性是指保险公司内部审计机构应在兼顾全面的基础上，充分考虑公司不同时期经营重点和经营策略的变化、审计项目和审计目的的区别、被审计对象在规模、性质和经营管理上的差异，对重要业务与事项、高风险领域与环节进行重点审查。例如，在财务报表审计时，可以在全面检查各科目情况的基础上，重点检查金额较大的科目。 审计人员应根据审计目的，按全面性和重要性的原则，在内部审计中应当掌握好详查和抽查的关系，其中详查是指对被审计对象审计时间范围内所有活动、工作部门及其经济 信息资料进行细密周详的全面检查。例如：对短期定额单证审计时，因这部分违规风险较大，一般采取详查。从单证印制、领用、使用、单证金额、资金入账情况的真实性以及涉及的各个方面进行详细的检查。而抽查是指审计人员从被审查的资料中，按照一定的方法，选取一定数量的样本进行检查，并根据抽查结果来推断总体特征的一种检查方法。如对保单、赔案，因数量大，一般采用抽查。 三、成本效益原则 成本效益原则就是把从审计中得到效益与为进行审计而花费的成本进行分析比较，审计效益超过审计成本越多，审计越经济、越有效。在审计实践中，实现审计的成本和效益的最佳结合，达到为组织增加价值的目的。 成本效益原则要求保险公司内部审计机构在制定审计计划、实施审计时，应在保证审计效果的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。 四、审计风险原则 审计风险是指审计人员未能发现被审计对象经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。 审计风险原则要求审计人员在审计活动中应当保持应有的职业谨慎，合理运用专业判断，评估审计风险。内部审计人员在编制审计计划、实施审计程序及评价审计结果时， 应充分考虑审计风险。审计人员应当对审计风险进行评估，制定并实施相应的审计程序，以便将审计风险降低到可接受的水平。第三节 内部审计的组织实施形式 一、国外内部审计组织实施形式 国外内部审计组织实施的常见形式主要有三种：一是董事会主导下的内部审计模式，这是英美公司较多使用的模式。它以董事会为公司治理的核心，通过设立独立董事、建立董事会下的财务总监负责制等实施内部审计，以提高内部审计的独立性和治理效率。二是监事会主导下的内部审计模式，这是德日公司较多使用的模式。股东大会选举产生监事会，监事会下设董事会，因此，由监事会领导的内部审计更具权威性和独立性。监事会中有相当数量的独立监事，独立于股东且不在公司内部任职的监事，以保持监事会的独立性。三是监事会与审计委员会并行模式，这是在董事会下设审计委员会，与监事会共同领导内部审计。组织地位上讲，审计委员会低于监事会，但它不受监事会的直接领导，不对监事会负责。这种模式是对前两种的折中。 二、我国内部审计组织实施形式 我国内部审计组织实施的常见形式主要有两种：一是单一领导模式。内部审计机构只对一个上级主管负责。具体又分为3 类：（1）内部审计设在决策层，即在董事会下设置内部审计机构。（2）内部审计设在监督层；即将内部审计机构设在监事会。（3）内部审计设在执行层，由总经理领导下的内部审计。二是双重领导模式。在董事会下设审计委员会，在公司行政系统一经营管理系统设置内部审计机构。在此基础上，理顺内部审计的报告关系：职能性审计报告向审计委员会报告，而行政性审计报告向管理层报告。 三、内部审计职能的外包 近年来，随着审计实践的推进，一些中小公司认为建立专门的内审部门成本过高，一些大公司觉得把内审职能完全内置无法实现资源的有效配置，一些集团公司积极探索整合系统内各子公司的审计力量。于是，内部审计的外部化，即内部审计外包，成为一种新的内部审计组织实施形式。内部审计外包是指，组织将其内部审计职能部分或者全部通过契约委托给组织外部的机构来执行。内部审计外包服务的内容比较广泛，内部财务审计和管理审计等都可进行外包，包括审查新的计算机系统、审计现有的ERP 系统、舞弊调查、评价特定的内部控制系统等。内部审计外包服务的提供者包括会计师事务所、集团公司下设专门的稽核审计子公司、工程造价所、管理咨询公司以及其他类型的组织。外包的形式主要有：一是补充，即公司在人力不足和专门技术缺乏时，通过外聘中介机构或专业人士共同完成审计项目；二是审计管理咨询，这种形式是会计师事务所现有咨询或审计业务的延伸，主要帮助公司确定内部审计机构设置、人员数量及配置情况，并有可能促进内部审计计划的形成和改进。三是全外包，这种形式是公司不设内部审计机构，将内部审计职能全部外包给外部机构，这种形式在小公司和集团公司下属的子公司比较常见。 由于公司规模、行业不同以及所处文化与环境也不一致，采取何种内部审计模式，是否实行内部审计外包以及实现的方式，各公司采取的策略有所不同。关键是进行成本效益分析，公司应该选择实现内部审计功能最大化，并使公司能够与急剧变化的外部环境相适应的策略。 内部审计外包要重点关注外包后的审计服务工作质量是否得到有效地控制，必要时对审计外包工作质量进行评估，具体可以参阅下一节对外部审计评价的有关内容，参照执行。第四节 内部审计与外部审计关系 保险公司应按照会计法、保险法的有关要求，选择会计师事务所进行外部审计。 一、内部审计与外部审计的关系概述 内部审计和外部审计是按审计主体的不同对审计进行的分类，其中内部审计的主体是企业内部审计部门或审计人员，而外部审计由社会中介机构进行，其主体是会计师事务所。两者的区别主要体现在： 本手册有关外部审计特指注册会计师审计，下同。 一是独立性不同，内部审计强调内部审计机构和审计人员与被审计部门之间的独立性，不强调审计机构和审计人员与保险公司之间的独立性。因此内部审计本质上是相对独立的。而外部审计由外部会计师事务所实施，在组织上是完全独立于保险公司的。 二是审计目标不同。注册会计师审计主要目标是对财务报告的合法性、公允性做出评价，并同时关注审计过程中发现的相关内部控制系统的弱点，向公司管理层提出改进建议；而内部审计的目的是评价和改善风险管理、控制和公司治理流程的有效性，帮助企业实现其目标。 三是关注的重点领域不同。注册会计师审计主要侧重点是会计信息和财务报告。而内部审计涉及面更广，包括企业经营管理的各个方面，侧重点往往因不同企业性质、不同时期经营管理重点而有所不同。 四是审计遵循规范不同。注册会计师工作需遵守注册会计师职业规范体系，如中华人民共和国注册会计师法、财政部颁发的中国注册会计师执业准则等。内部审计工作需遵循中国内部审计准则体系，如内部审计基本准则、内部审计具体准则、内部审计实务指南、保险公司内部审计指引、保险稽查审计指引等。 五是专业胜任能力要求不同。对内部审计人员的专业胜任能力要求较高，需要了解的知识面更广。例如，由于内部审计的目标是帮助企业实现其目标，改善机构运作并增加价值，内部审计人员还应具备一定的管理知识与水平。 二、内部审计与外部审计的协调 内部审计与外部审计既有区别又有联系，既有特点又互为补充，内部审计应做好与外部审计的协调工作，以实现扩大审计范围，减少重复审计、提高审计效率，共享审计成果、降低审计成本，提高内部审计人员素质、改进内部审计机构工作，维护组织利益等目的。内部审计与外部审计的协调工作，应在组织适当管理层的支持和监督下，由内部审计机构负责人具体组织实施。一是与外部审计机构及人员在审计范围、具体审计程序和方法等内容进行协调。在制定审计计划时，应考虑双方的工作，以确保充分的审计范围，最大限度减少重复性工作。二是配合外部审计工作。三是评价外部审计工作质量，定期对内外部审计的协调工作进行评估，并根据评估结果及时调整、改进协调工作。四是利用外部审计工作成果，在必要的范围内互相交流相关审计工作底稿、审计报告和管理建议书，以便在审阅后相互评价工作质量，利用对方的工作成果。 内部审计与外部审计之间的协调，可以通过定期会议、不定期会面或其他沟通方式进行。 三、内部审计对外部审计的评价 保险公司内部审计机构在需要利用外部审计工作成果，以扩大审计范围、减少重复工作、提高审计效率时，应挑选具有足够专业胜任能力的人员对外部审计工作质量进行评价。评价外部审计工作质量，可以按照评价准备、评价实施和评价报告三个阶段进行。 第一阶段，评价准备。在考虑评价活动的必要性、可行性、预期结果的有效性等因素的基础上，决定对外部审计工作质量进行评价并编制评价方案。评价方案应包括以下主要内容： （一）评价目的； （二）评价工作的时间安排； （三）评价的主要内容与步骤； （四）评价的依据； （五）评价工作的主要方法； （六）评价人员的分工。 制定评价方案时应取得反映外部审计工作质量的审计报告及其它相关资料，应详细了解外部审计所采用的审计准则及其在执业过程中与组织之间协调的情况，如果有必要、可与外部审计机构就评价事项进行适当的沟通。 第二阶段，评价实施。对外部审计工作质量的评价应重点关注以下内容： （一）外部审计机构及人员的独立性； （二）外部审计人员的专业胜任能力； （三）外部审计人员的职业谨慎性； （四）外部审计机构的信誉； （五）外部审计所用审计程序及方法的适当性； （六）外部审计所用审计依据的有效性； （七）外部审计范围和内容与内部审计机构要求的一致性。 内部审计机构在评价外部审计工作质量时，可以采用审核、观察、询问等一般方法，及与有关方面沟通、协调等特殊方法。评价工作过程应记录于工作底稿中。 第三阶段，评价报告。评价工作完成后，应在征求组织内部有关部门与相关人员意见的基础上编制评价报告。评价报告应包括以下主要内容： （一）评价报告的名称； （二）被评价外部审计组织的名称； （三）评价目的； （四）评价的主要内容； （五）评价结果； （六）评价报告编制的时间。第五节 保险公司内部审计分类及内容 一、分类按照不同的标准，保险公司内部审计可分为不同类型。（一）按审计的对象和目的分类，可分为财务收支审计、经济效益审计、经济责任审计、董事和高级管理人员审计、内部控制审计、信息系统审计和舞弊审计。 1、财务收支审计 财务收支审计是以会计资料所反映的财务收支活动为审计对象的审计。主要是评价和监督公司是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性，对会计记录和报表分析提供资料真实性和公允性证明。2、经济效益审计经济效益审计，是以审查评价实现经济效益的程度和途径为内容，以促进经济效益提高为目的所实施的审计。经济效益审计关注经营活动的经济性、效率性、效果性。经济性是指公司经营活动过程中获得一定数量和质量的产品和服务及其它成果时所耗费的资源最少。经济性主要关注的是资源投入和使用过程中成本节约的水平和程度及资源使用的合理性。 效率性是指公司经营活动的过程中投入资源与产出成果之间的对比关系。 效果性是指公司从事经营活动时实际取得的成果与预期取得的成果之间的对比关系。效果性主要关注的是既定目标的实现程度及对经营活动产生的影响。 3、经济责任审计经济责任，是指保险公司内部管理领导干部在任职期间因其所任职务，依法对本单位的财务收支以及有关经济活动应当履行的职责、义务。经济责任审计的主要内容是：本公司财务收支的真实、合法和效益情况；有关内部控制制度的建立和执行情况；履行出资人经济管理和监督职责情况。4、董事及高级管理人员审计 董事及高级管理人员审计，是指对保险公司董事及高级管理人员在任职期间所进行的经营管理活动进行审计检查，客观评价其依据职责所应承担责任的审计活动。包括任中审计、离任审计和专项审计。 5、内部控制审计 内部控制审计，是指对保险公司的内部控制进行审查与评价。内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。 6、信息系统审计 信息系统审计是通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使公司的资源得到高效地使用等方面做出判断的过程。信息系统审计通常包括对公司层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。 7、舞弊审计 舞弊审计，顾名思义就是针对舞弊行为进行的审计。舞弊，是指公司内、外人员采用欺骗等违法违规手段，损害或谋取公司经济利益，同时可能为个人带来不正当利益的行为。 其中，损害公司经济利益的舞弊行为有：收受贿赂或回扣；将正常情况下可以使公司获利的交易事项转移给他人；贪污、挪用、盗窃公司资产；为公司虚假的交易事项支付款项；故意隐瞒、错报交易事项；泄露公司商业秘密等等。谋取公司经济利益的舞弊行为有：支付贿赂或回扣；出售不存在或不真实的资产；故意错报交易事项、记录虚假的交易事项，使财务报表使用者误解而作出不适当的投融资决策；隐瞒或删除应对外披露的重要信息；从事违法违规的经营活动；偷逃税款等等。 舞弊审计是审计人员对舞弊行为使用检查、查询等审计程序进行取证，并向委托者或授权者出具审计报告的一种监督行为。舞弊审计是为防止、识别和利用文件证明贪污、盗窃、欺诈、腐败这类舞弊行为而进行的审计活动。 内部审计机构和人员应当保持应有的职业谨慎，合理关注公司内部可能发生的舞弊行为，以协助公司管理层预防、检查和报告舞弊行为。开展舞弊审计，除对保险公司内部控制的健全性和有效性进行审查和评价，还应充分考虑保险行业环境、保险公司经营绩效和财务状况的稳定性、管理层的品格以及管理人员面临的压力等因素。 8、关联交易审计 保险公司关联交易是指保险公司与关联方之间发生的交易活动，主要包括：保险公司资金的投资运用和委托管理；固定资产的买卖、租赁和赠与；保险业务和保险代理业务；再保险的分出或者分入业务；为保险公司提供审计、精算、法律、资产评估、广告、职场装修等服务；担保、债权债务转移、签订许可协议以及其他导致公司利益转移的交易活动。 关联交易审计是对保险公司关联方交易的完整性、存在性与合法性进行的审查验证。 （二）按审计时间分类，可分为事前审计、事中审计和事后审计。 1、事前审计，是指在经济业务发生之前所进行的审查、评价活动。 2、事中审计，是指在经济业务进行过程中所进行的审查、评价活动。3、事后审计，是在经济业务完成后所进行的审计。（三）按是否提前通知被审计对象，可分为预告审计和突击审计。 1、预告审计，是指审计组提前向被审计对象下达审计通知书而进行的审计。 2、突击审计，是指在特殊情形下采取的不事先通知被审计对象，而直接在实施审计的现场进行通知而进行的审计。突击审计的主要目的为避免在特殊情况下因提前通知被审计对象，可能带来的销毁证据、串供、伪造账目、转移资产等风险。（四）按审计地点分类，可分为现场审计和非现场审计。1、现场审计，是指审计人员到被审计单位经营管理现场进行的直接或委托审计。 2、非现场审计，是指审计人员通过连续地收集、整理被审计单位业务经营管理的数据和资料，运用适当的方法和流程进行分析的远程审计。 现场审计相对于非现场审计，具有获得信息资料全面、查询答复及时、发现问题及原因深入细致等优点，但审计成本较高；非现场审计，具有审计覆盖率和工作效率较高，审计成本低等优点，但对计算机审计水平、审计软件、数据库和网络支持要求较高。在审计实践中，现场审计和非现场审计通常结合使用，互为补充，有利于提高审计效率、降低审计风险。（五）按审计范围分类，可以分为全面审计和专项审计。1、全面审计，是指涵盖了对公司全部经营事项和经营管理单位的审计，审计范围涉及到公司经营管理的各个方面，包括经济责任、业务、财务和内部控制审计等。2、专项审计，是指内部审计机构在公司一定范围内对某一经营事项或特定问题的审计。 专项审计与全面审计相比，具有重点突出、力量集中、检查深入和成本较低的优点。 二、内容 保险公司内部审计主要包括以下内容： （一）内部控制 内部控制包括公司层面内部控制和业务层面内部控制。根据国际通行的coso （The Committee Of SponSOring organiZations of Treadway commission 美国反欺诈财务报告委员会下属的发起人委员会）内部控制框架下，内部控制由内部环境（或称控制环境）、风险评估、控制活动、信息和沟通、内部监督五个要素组成。其中，除“控制活动”以外的四个要素，均不直接成为某项业务活动，但具有更高层次的影响力，广泛影响公司整体，因此内部环境、风险评估、信息和沟通、内部监督被统称为公司层面内部控制。而控制活动是确保管理阶层的指令得以执行的政策及程序，嵌入日常业务经营中，被称为业务层面内部控制。 保险公司应当每年对内部控制的健全性、合理性和有效性进行全面评估，内部审计部门可以牵头负责内部控制评估报告的编制工作。审计范围应覆盖公司主要风险点。审计结果应按照规定的时间和路线进行报告，并向同级内控管理职能部门反馈，确保内控缺陷及时彻底整改。 （二）财务管理 财务管理，是企业管理的一个组成部分，是基于企业在生产过程中客观存在的财务活动和财务关系而产生的，它是根据财经法规制度，是以企业特定的财务管理目标为导向，按照财务管理的原则，组织企业财务活动，处理财务关系的一项经济管理工作。财务管理具有财务预测、财务决策、财务预算、财务控制和财务分析等基本职能。 财务管理审计，应围绕真实性、合规性和效益性，对财务基础管理、收入、成本与费用、资产、负债、所有者权益、财务报告、合并报表以及偿付能力报告等内容予以审查和评价。 （三）财产保险业务 财产保险，是指投保人根据合同约定，向保险人交付保险费，保险人按保险合同的约定对所承保的财产及其有关利益因自然灾害或意外事故造成的损失承担赔偿责任的保险。财产保险业务审计，应围绕经营活动的真实性、合规性和效益性，对财产保险业务的承保、理赔、财务、销售、单证、产品开发与准备金精算、中介业务管理等方面予以审查和评价。 （四）人身保险业务 人身保险，是以人的寿命和身体为保险标的的保险。人身保险的投保人根据保险合同约定，向保险人交付保险费，当被保险人在保险期限内发生死亡、伤残、疾病或达到合同约定的年龄、期限等条件时，保险人承担给付保险金的责任。人身保险按保险责任分为人寿保险、健康保险、意外伤害保险。 人身保险业务审计，应围绕经营活动的真实性、合规性和效益性，对人身保险业务的印章管理、单证管理、文档管理等基础管理，以及产品管理、销售人员管理、销售行为管理、销售费用管理、业务管理、客户服务管理、信息技术管理等方面进行审查和评价。 （五）再保险业务 再保险，是保险人在原保险合同的基础上，通过签订分保合同，将其所承保的部分风险和责任向其他保险人进行保险的行为。 再保险业务审计，应围绕经营活动的真实性、合规性和效益性，对再保险分入、分出、经纪、理赔业务、账单与结算、新型风险转移、保险联合体等经营业务和风险、精算、财务核算等管理环节予以审查和评价。 （六）保险资金运用业务 保险资金运用，是按照保监会及其他监管部门相关监管规定的要求，通过科学严谨的研究和分析，将保险资金中可投资的部分投入到股票、基金、债券、金融衍生品等金融产品中，实现保险资金的保值和增值，从而达到保单按期给付和保险公司发展壮大的目的。 保险资金运用审计，应围绕真实性、合规性和效益性，对委托关系的建立及管理、投资研究、投资决策、投资授权、投资执行、清算交割、会计核算和风险合规监控等内容予以审查和评价。 （七）反洗钱反洗钱，是指为了预防通过各种方式掩饰、隐瞒毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪、金融诈骗犯罪等犯罪所得及其收益的来源和性质的洗钱活动，依照法律法规采取相关措施的行为。 反洗钱审计，应围绕真实性、合法性和合规性，对反洗钱预防和监控，客户身份识别、客户身份资料和交易记录保存、大额交易和可疑交易报告等制度是否健全有效予以审查和评价。 （八）信息系统 信息系统审计通常包括对公司层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。公司层面信息技术控制是指管理层对信息技术治理职能及内部控制的重要性的态度、认识和措施。信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施，以确保信息系统持续稳定的运行，支持应用控制的有效性。业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应考虑与数据输入、数据处理以及数据输出环节相关的控制活动。内部审计人员通过实施信息系统审计工作，对公司是否达成信息技术管理目标进行综合评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行其受托责任以达成公司的信息技术管理目标。对信息系统审计需要整个公司各个部门参与，并不仅限于信息技术部门或审计部门。保险公司应建立信息系统审计制度，至少每两年由独立于信息技术部门的机构进行一次审计。审计结果应在审计完成后三个月内报保监会备案。第二章 保险公司内部审计方法第一节 内部审计方法概述 内部审计方法指内部审计人员为了达到审计目的，而进行调查取证的技术、手段。内部审计方法通常包括一般方法和高级方法。其中，一般方法包括审核、观察、询问、函证等方法，是最常用、最基本的方法。基本方法比较容易理解和掌握，只要有一般的经济、金融理论知识和生活常识即可。而高级方法是需要经过学习、训练才能掌握的方法，如分析性复核，需要审计人员具有一定的数学知识和被审计业务领域知识，能够结合审计对象的具体情况，发现不同事物之间的数量关系，通过已知的或者容易得到的数据去推断未知的或难以取得的数据。此外，抽样方法和计算机辅助审计方法也是如此，需要专门的统计学和计算机技术方面的背景知识，学习和掌握要有一个过程。不管哪种审计技术与方法，最终都是要为审计目标服务的。其中，审计方法与审计证据、审计程序以及审计人员有着密切的关系。 一、审计方法与审计证据 通常来说，各种类型的审计采用的基本方法大体相同，但是有的时候，需要有特定的方法取得不同证据，以提高审计有效性。 （一）要根据不同审计证据的特点选用审计方法。例如，审计证据可能存在被审计单位之内，也可能存在被审计单位之外。对于存在被审计单位之外的审计证据，一般可以采用函证的方法取得，而要取得被审计单位之内的审计证据就不需要采用函证的方法。 （二）要根据审计目标选用审计方法。在确定采用何种审计方法时，不能对审计方法本身有偏见。审计方法本身没有优劣之分，关键看能否达到审计目标。例如，分析性复核方法有一定的技术性，对某些审计人员来说，使用这些方法本身就是一种乐趣。但是这不能成为选择审计方法的理由。例如，在审查库存现金的存在性、完整性时，首选的方法一般应该是监盘。 （三）要考虑多种审计方法配合使用。要取得一项审计证据，并不意味着只能采用一种审计方法。审计证据和审计方法有密切关系，但二者之间并不是对应的关系。如通常对内控制度的健全性、合理性、有效性进行审计，收集审计证据时，一般是先询问有关人员、了解情况，然后索取有关内部控制制度文档并对其健全性合理性进行审阅，再通过观察、穿行测试等方法检查有关内部控制的执行过程并评价其有效性。这里就用到了询问、审核、观察等多种审计方法。在实际工作中，要注意将各种审计方法结合使用。 二、审计方法与审计程序 规范的审计程序是审计质量的保证，它可以使不同的审计人员在统一的安排下协同工作，同时它也是审计过程的一种控制措施，并为审计结束后的质量检查提供依据。审计程序和审计方法密不可分。从审计方法的角度来看，可以把审计程序看成针对不同审计内容的一系列方法的组合。这种组合的依据是围绕着审计目标确定的，而在一个具体的审计事项中，具体的审计目标并不止一个。因此，如何将不同的审计方法组合起来，使几个审计目标都可以达到，并且效率最高，这是设计审计程序要考虑的问题。三、审计方法与审计人员 审计方法是由人来操作的。作为一名合格的审计人员必须学习、掌握一些常用的审计方法，并在实践中熟练运用。掌握审计方法的多少和熟练程度是衡量一名审计人员水平高低的一个重要方面。本章第二节所介绍的一般审计方法，每一名审计人员都应该掌握，因为这些一般方法，是完成审计任务的最基本的要求。而第三节、第四节、第五节介绍的特殊方法，每一名审计人员都应该有所了解，至少知道这些方法是什么，在什么样情况下使用这些方法。在某些审计工作中，审计组必须有人能够掌握这些特殊的方法，才能保证审计任务的完成。第二节 内部审计的一般方法 内部审计基本准则第三章第十四条指出：“内部审计人员可以运用审核、观察、询问、函证和分析性复核等方法，获取充分、相关、可靠的审计证据，以支持审计结论和建议”。中国注册会计师独立审计基本准则第十四条规定：“注册会计师可以运用检查、监盘、观察、查询及函证、计算、分析性复核等方法，以获取充分、适当的审计证据”。询问、审核、观察、函证、监盘这五种方法是最常用的审计取证方法。由于这五种方法的理解和运用较为直观、易于掌握，我们将其归类为审计的一般方法。 一、询问法 询问法，又称为面谈法、访谈法等，是指审计人员对被审计单位的有关人员进行面对面的交谈询问，以了解与审计事项有关的情况，收集审计证据或审计线索的一种方法。此外，使用书面问卷、书面调研等方式向有关人员收集审计证据或审计线索，也可以归类为广义上的询问方法。审计离不开人与人的交流，谈话是审计人员与被审计单位有关人员交流的一种最常用、最普遍的方式。 （一）询问法实施的一般步骤 询问的过程可以是任意的、无准备的交谈，但是作为一项正式的审计活动，一次有效的询问过程一般应遵循以下步骤： 1、确定询问的目的。 2、收集与询问相关的背景资料。 3、确定询问的对象。 4、确定询问要点、编制谈话提纲。 5、约定询问时间、地点。 6、面谈与记录。 7、对面谈内容进行评估。 （二）询问法的适用范围、条件 询问法在审计的各个阶段都可以运用，但在不同的阶段运用的目的不同： 1、在计划阶段，询问法的使用主要是为了解被审计单位的有关情况，确定审计重点，为制定审计方案服务。在这个阶段，往往使用问卷、书面调研等方式。 2、在实施阶段，询问法的使用主要是为了收集相关的、充分的审计证据，为做出最终审计结论服务。按照证据规则，证据分为人证、物证。人证通常指证人证言。询问法就是获得人证的最直接的方法。在这个阶段，往往使用直接面谈的方式。 3、在报告阶段，询问法的使用主要是为了与被审计单位沟通有关情况，对审计报告的内容达成一定程度的共识。在这个阶段，往往使用会谈的方式。 （三）询问法使用过程中注意要点 1、询问对象，又称被询问人，也就是询问法所涉及的人员，要根据谈话的目的和被审计单位相关人员角色分工来确定。询问对象一般应该是对被审计事项比较了解的人员。例如，被审计单位负责人、分管负责人、部门负责人以及直接经办人员。 2、实施询问法的审计人员对面谈涉及的领域要有足够高的知识水平。3、实施询问前对内容要做好充分的准备，审计人员可以事先设计好要询问的问题及其顺序，制作访谈提纲。下面是访谈提纲设计和访谈过程中的一些经验：审计人员应当熟悉背景情况，对现有的资料、证据进行深入分析后准备访谈提纲。提纲通常可以包括如下内容：时间、地点，被问询人单位、姓名，需要查清的主要问题，问询中采用的办法，问询中可能出现的几种局面与对策等。 注意访谈问题排列顺序，可以从问一些有趣的问题开始，按照具有逻辑性的方式进行排列，最好避免有太大的跳跃性，如从一个话题突然带入另外一个话题。 语言清晰、表述准确，避免使用一些复杂、罕见、难懂的词汇、术语；避免使用双重否定、极端词汇等复杂表述，如“你们公司是不是完全没有违规问题？”就用了“是不是 没有”的双重否定、“完全”的极端词汇等，让人云里雾里、不知如何回答；同时，问题要尽可能完整、细致、准确，如“公司有多少个员工？ ，可能会被理解成“公司有多少个全职或正式员工？ ，与访谈者理解不一致，从而造成失误。 尽量避免偏见、适当迁就受访者。由于审计人员立场往往与被访谈人员不同，偏见可能在所难免，审计人员可以从被访谈人员的角度、立场出发考虑问题，在一定程度上适当迁就受访者，并且想办法消除调查对象的心理顾虑，让其能够配合访谈。 4、询问通常有两名审计人员协作进行，一名审计人员负责提问，另一名审计人员负责记录。 制作笔录通常需要注意的细节： 选择一个让被问询人感到舒服的中立的环境；在做正式问询笔录前向被问询人简述一下其配合的义务以及违反的法律责任； 尽量使用被问询人的原话，保持笔录的真实性；对关键内容，需要时可反复核实； 询问记录应当交被询问人核对，并由被询问人逐页签字或者押印。被询问人拒绝的，应当注明；询问记录作出修改的，应当由被询问人在修改处签字或者押印；询问结束，询问人、记录人应当在询问记录上签字或者押印。 如有必要，在与被询问对象充分沟通并取得其同意后，可以采取录音、录像等措施。 5、审计人员应对问询调查成果进行分析，可以采用的方法有： 对证言的前后进行分析验证，找出与现实不符的客观证据； 对问询对象的陈述进行比较分析，从中寻找矛盾；某些情况下，内审人员可以对互相矛盾或与其他审计证据不符的信息，再次询问相关对象，并要求其提供合理解释；对问询陈述的情况进行实地勘验； 对其他情况进行审验，如实验鉴定，技术鉴定等。 6、问询调查成果应结合证人提供的证据，笔录与证据互相印证，才能形成完整的证据链。 （四）询问记录模板询问记录询问事由： 被询问人： 被询问人单位及职务： 询问人： 记录人： 时间： 地点： 询问记录：第 页 共 页被询问人签名： 询问人签名： 记录人签名： 年 月 日 年 月 日 年 月 日 二、审核法 审核法是指内部审计人员对书面文件记录进行审阅与核对。书面文档的审阅与核对在保险公司内部审计工作中占有很大的比重，既适用于对保险公司会计资料审查，也适用于承保、理赔等业务资料，以及计划、预算、会议记录、规章制度等各类资料的审查。 （一）审核法的一般步骤 1、向被审计单位调阅或查阅有关文档。 2、对取得的文档进行审核。 3、记录发现的疑点等重要内容。 4、对发现的问题进行分析，并就有关情况向被审计单位作进一步的了解。 （二）资料调阅清单的编制 根据审计需要，审计人员可以调阅原始凭证、会计账簿、管理报表、会议记录及其他相关资料，可以进入被审计单位计算机系统查阅有关资料。如果是纸质文档，审计人员可以向被审计单位调阅，提供给审计人员；审计人员也可以到档案库等现场进行翻阅。如果是电子文档，可以要求被审计单位提供相应权限的系统账号，由审计人员进入系统进行查阅。 调阅资料的要求通常在下发审计通知书或审计进场时一次性向被审计单位提出，以便被审计单位做好准备；根据需要，在审计实施期间也可以随时向被审计单位提出。调阅资料时应当填写资料调阅清单一式两份，由审计组和被审计单位双方经办人签字后分别保存。调阅的资料使用完毕后，应当及时退还被审计单位，并在资料调阅清单上注明归还日期，由接收人签字确认。同时，将资料调阅清单作为审计工作底稿一并归档保管。 （三）审核法的注意要点 1、审计人员应根据审计目标、审计工作经验、已经了解的情况以及被审计单位文档流程的基础上确定，以索取到针对性强的文档资料。 2、通常来说，审核重点应当包括来源是否可靠、数据计算是否正确、要素是否齐全、内容是否合法等，但是因文档资料不同而有所不同。 3、审核中要注意不同文档之间的核对。核对存在勾稽关系的凭证、账簿、报表以及相关业务财务资料之间的交叉对照，以检查它们之间是否一致。常见的核对主要包括证证核对、账证核对、账账核对、账实核对、账表核对、表表核对以及业务财务核对等。（1）证证核对。如将原始凭证与记账凭证核对。（2）账证核对。如将记账凭证与各类账簿核对。（3）账账核对。如将日记账与分类账核对、明细账与总账核