《保险公司内部审计指引(试行)》

《保险公司内部审计指引(试行)》第一章总则第一条为规范保险公司内部审计行为，健全保险公司治理结构与内部控制体系，防范保险经营风险，保护保险消费者合法权益，根据《中华人民共和国保险法》《中华人民共和国审计法》《银行保险机构公司治理监管评估办法》等法律法规及监管规定，制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的保险集团（控股）公司、财产保险公司、人身保险公司、再保险公司（以下统称“保险公司”）。第三条本指引所称内部审计，是指保险公司内部独立开展的，通过系统规范的方法对公司治理、风险管理、内部控制、经营管理活动的健全性、合理性、有效性进行监督、评价和咨询的活动，核心目标是帮助保险公司改善运营管理、防控经营风险、实现战略发展目标。第四条保险公司内部审计应当遵循以下基本原则：（一）独立性原则：内部审计机构及人员应当独立于被审计业务活动，保持独立的组织地位与职业判断，不受任何部门、个人的干涉，独立开展工作、出具审计结论。（二）客观性原则：内部审计人员应当保持公正中立的职业态度，避免利益冲突，不偏不倚地评价审计事项，不得因偏见、私利影响审计判断。（三）全覆盖原则：内部审计应当覆盖保险公司所有业务条线、管理环节、分支机构、控股子公司及参股公司对应股权范围内的业务活动，覆盖所有重大风险领域，不得存在监督盲区。（四）增值性原则：内部审计不仅要揭示问题，还要针对性提出管理改进建议，帮助保险公司优化流程、降低风险、提升效益，实现价值增值。（五）合规性原则：内部审计工作全过程应当符合国家法律法规、监管规则及保险公司内部制度要求，保证审计行为合法规范。第二章内部审计机构与人员第五条保险公司应当根据资产规模、业务复杂度建立与自身风险状况相匹配的内部审计组织体系：（一）上一年度经审计合并报表总资产500亿元以上的财产保险公司、总资产1000亿元以上的人身保险公司，以及所有保险集团（控股）公司，应当设立独立的内部审计部门，该部门直接隶属于董事会审计委员会，不得与经营管理部门、合规部门、财务部门、风险管理部门合署办公，不得隶属于上述部门。（二）低于上述资产规模的保险公司，应当设置专职内部审计岗位，配备不少于2名专职内部审计人员。第六条鼓励保险公司建立垂直化内部审计管理体系，省级及以下分支机构内部审计人员由总公司统一任免、考核、薪酬管理，不受分支机构负责人干预，保障基层内部审计工作独立性。保险集团（控股）公司应当统筹全集团内部审计工作，指导控股子公司建立健全内部审计体系，统筹开展集团层面跨子公司的联合审计。第七条保险公司内部审计人员配备应当符合以下要求：（一）专职内部审计人员数量不得低于公司在岗员工总数的1‰，且保险集团（控股）公司不少于5人，单一法人保险公司不少于3人；开展互联网保险业务、总资产5000亿元以上的保险公司，专职内部审计人员占比不得低于1.2‰。（二）内部审计人员中至少有1名具备注册会计师、国际注册内部审计师、法律职业资格等专业资质；总资产3000亿元以上的保险公司，具备上述专业资质的人员不得少于3名。（三）超过三分之一的内部审计人员应当具有3年以上保险业务、财务管理、风险管理或审计相关工作经验；内部审计部门负责人应当具有5年以上金融保险管理工作经验，熟悉保险监管规则与公司内部管理流程。第八条内部审计的独立性保障应当满足以下要求：（一）内部审计部门负责人的任免应当经董事会审计委员会审议通过，报银保监会及其派出机构备案；内部审计部门负责人的薪酬由董事会直接核定，不与保险公司经营业绩指标挂钩，避免利益绑定。（二）内部审计人员不得兼任业务经营、财务管理、产品开发、销售管理等具体经营管理岗位，不得参与被审计事项的决策与执行。（三）内部审计人员执行审计任务应当执行亲属回避制度，与被审计单位负责人或审计事项直接责任人存在近亲属关系的，应当主动申请回避。第九条保险公司应当建立内部审计人员定期培训制度，专职内部审计人员每年累计培训不得少于40学时，其中监管政策更新、审计专业技能相关培训不得少于24学时，持续提升审计人员专业能力。第三章内部审计职责与权限第十条董事会审计委员会对保险公司内部审计工作承担最终责任，履行以下职责：（一）审议批准内部审计基本制度、年度审计计划、内部审计预算、人员编制；（二）负责内部审计部门负责人的提名、考核与任免；（三）定期听取内部审计工作报告，审议重大审计发现，督促落实审计整改与责任追究；（四）监督评价内部审计工作质量，保障内部审计工作独立性。第十一条保险公司内部审计部门履行以下核心职责：（一）公司治理审计：评价公司治理结构的健全性与有效性，监督股东行为、董监高履职、关联交易管理、信息披露等制度执行情况，每年至少开展1次关联交易专项审计，重点检查关联交易定价公允性、合规性、信息披露准确性，防范不正当利益输送。（二）风险管理审计：评价保险公司风险管理体系的健全性与有效性，重点监督偿付能力风险管理、流动性风险管理、资金运用风险管理、市场风险管理、声誉风险管理等核心领域的制度执行情况，每两年至少开展1次全面风险管理审计。（三）内部控制审计：评价内部控制体系的健全性与有效性，每年对不少于30%的省级分支机构开展全面内部控制审计，每三年实现所有省级分支机构内部控制审计全覆盖；重点审计销售行为管理、理赔服务、产品开发、资金运用、再保险管理、财务核算、信息科技、反洗钱等核心风险领域，其中每年至少开展1次反洗钱专项审计，重点检查客户身份识别、大额可疑交易报告、客户资料保存等制度执行情况。（四）经济责任审计：对总公司部门负责人、省级分支机构负责人、控股子公司高级管理人员开展任期经济责任审计与离任审计，离任审计应当在负责人离任后3个月内完成，审计结论作为干部任免的必备依据，未经离任审计不得办理新任任职手续。经济责任审计内容包括贯彻监管政策与公司战略情况、经营目标完成情况、合规经营情况、风险管理与内部控制建设情况、个人廉洁从业情况。（五）专项审计：针对重大风险事件、监管行政处罚、客户群体性投诉举报、重大舞弊案件开展专项审计，根据股权管理要求对参股公司开展对应范围的审计调查。（六）其他职责：落实监管部门要求的审计任务，配合外部监管检查，跟踪监管发现问题整改，提出管理改进咨询建议。第十二条保险公司内部审计部门享有以下权限：（一）有权列席或参加公司经营管理、风险管理、内部控制相关会议，查阅被审计单位所有业务档案、财务资料、内部文件、电子数据，任何部门不得拒绝、隐瞒。（二）有权对审计发现的问题提出整改要求，跟踪整改进度，对整改不力的单位和个人提出扣减绩效、调整岗位、免职等问责建议，保险公司管理层应当采纳内部审计部门提出的合理问责建议。（三）有权直接向董事会审计委员会、银保监会及其派出机构报告重大审计发现，任何部门和个人不得阻挠、干涉。（四）根据工作需要聘请具备资质的外部中介机构协助开展特定审计项目，但不得将内部审计核心职责整体外包。第四章内部审计工作程序第十三条计划阶段：内部审计部门应当根据公司风险状况、监管要求制定年度审计计划，明确审计项目、审计范围、时间安排、人员配置、预算安排，经董事会审计委员会审议批准后实施，年度审计计划应当报送银保监会派出机构备案；年度审计计划调整幅度超过10%的，应当重新履行审议备案程序。第十四条实施阶段：审计项目实施前应当组成审计组，提前3个工作日向被审计单位下达审计通知书；涉及舞弊调查等特殊审计事项，经内部审计部门负责人批准可以不下达提前通知。审计组应当综合运用非现场数据分析、访谈、抽样核查、系统筛查等方法获取充分、相关、可靠的审计证据，完整编制审计工作底稿；审计工作底稿应当由审计组组长复核签字，纸质与电子档案同步留存，保存期限不得少于10年。内部审计应当优先运用非现场审计手段，通过大数据分析筛选风险线索，提升审计精准度与效率。第十五条报告阶段：审计现场工作结束后15个工作日内，审计组应当出具初步审计报告，征求被审计单位意见；被审计单位应当在10个工作日内反馈书面意见，逾期未反馈的视为无异议。内部审计部门修改完善后出具正式审计报告，报送董事会审计委员会，抄送管理层与相关部门。出现以下重大审计发现的，内部审计部门应当在发现后3个工作日内直接报告董事会与银保监会派出机构：（一）涉及金额超过公司净资产1%或超过5000万元的舞弊、欺诈、侵占公司资产行为；（二）可能引发重大偿付能力风险、流动性风险的系统性缺陷；（三）违反监管规定可能被处以100万元以上罚款或吊销相关业务资质的事项；（四）可能引发群体性事件、重大声誉风险的事项；（五）其他涉及公司生存发展的重大风险事项。第十六条整改阶段：保险公司建立审计发现问题整改销号制度，被审计单位主要负责人是整改第一责任人，应当在收到正式审计报告后30个工作日内制定整改方案，明确整改措施、整改时限、责任人，报送内部审计部门。内部审计部门应当每季度跟踪整改进度，向董事会报告整改情况，年度审计整改完成率应当不低于90%；未完成整改的问题不得销号，被审计单位年度绩效考核不得评为优秀。董事会每年听取一次全面整改情况报告，督促管理层落实整改责任。第五章内部审计质量控制第十七条保险公司应当建立健全内部审计质量控制体系，实行分级复核制度：每个审计项目实行审计组组长、内部审计部门负责人两级复核，重大审计项目应当增加董事会审计委员会指定委员复核，保证审计结论准确。第十八条保险公司应当每年开展一次内部审计质量内部评估，评估内容包括独立性、审计计划完成情况、审计发现问题质量、整改落实情况，评估结果报送董事会。每三年至少开展一次外部评估，聘请具备金融审计资质的独立第三方机构对内部审计工作质量进行评估，评估报告报送银保监会派出机构；承担外部评估的机构不得同时为该保险公司提供年度财务报表审计服务，避免利益冲突。第十九条保险公司应当建立内部审计工作考核机制，考核指标包括审计计划完成率、重大问题发现数量、整改完成率、监管问题整改落实率、审计建议采纳率等，考核结果与内部审计人员薪酬、晋升挂钩，激励提升审计质量。第二十条保险公司应当加大内部审计信息化建设投入，建立符合自身业务特点的内部审计信息系统，对接核心业务系统、财务系统、资金运用系统、客户管理系统，实现风险预警、数据挖掘、全流程线上管理，非现场审计覆盖比例不低于年度审计项目的60%，提升审计效率与风险识别能力。第二十一条保险公司应当保障内部审计工作预算，年度内部审计预算不低于上一年度公司营业收入的0.1%，满足人员薪酬、培训、信息化建设、外部评估等工作需求；新设立保险公司前三个会计年度，内部审计预算占比不低于0.15%，保障内部审计体系建设需要。第六章内部审计与内外部协作第二十二条内部审计部门应当建立与公司合规部门、风险管理部门、纪检监察部门的常态化协作机制，共享风险信息，联合开展专项审计与风险排查，形成内部监督合力，避免重复检查。第二十三条内部审计应当定期向银保监会及其派出机构报送年度内部审计工作报告、年度审计计划、重大审计发现报告、内部审计质量评估报告；配合银保监会开展现场检查、非现场监管，按照要求提供相关审计资料，落实监管要求。银保监会对保险公司内部审计工作的监督评价结果，作为保险公司分类监管、高级管理人员任职资格核准的重要依据。第二十四条保险公司委托外部审计机构开展相关审计业务的，内部审计部门应当对外部审计的工作范围、工作质量进行监督，评价外部审计结论的可靠性，合理利用外部审计成果，不得将关联交易审计、经济责任审计、重大风险专项审计等核心内部审计职责整体委托给外部机构。第七章责任追究第二十五条保险公司有下列情形之一的，应当追究董事会、管理层相关责任人责任：（一）未按照本指引要求设立独立内部审计机构、配备足额合格专职内部审计人员的；（二）限制内部审计部门权限，干预内部审计独立开展工作，影响独立性的；（三）未按照本指引要求开展强制审计项目，应当发现的重大风险未及时发现的；（四）拒不落实审计整改要求，年度整改完成率低于90%的；（五）隐瞒重大审计发现，未按照要求向监管部门报告的；（六）内部审计质量不符合要求，拒绝接受监管部门监督检查的。第二十六条内部审计人员有下列情形之一的，追究相应责任；构成犯罪的，移送司法机关依法处理：（一）违反审计工作程序，隐瞒审计发现问题，出具不实审计报告的；（二）泄露公司商业秘密、审计工作秘密的；（三）利用职权谋取私利，收受被审计单位利益的；（四）违反回避规定拒不整改的。内部审计人员已经按照法定审计程序开展工作，因被审计单位隐瞒信息导致未能发现问题的，免除或减轻内部审计人员责任，落实尽职免责要求。第二十七条被审计单位有