公司层面内部控制管理知识分析手册.doc

第五次保险稽查审计联席会议材料一： 保险稽查审计指引 ——公司层面内部控制分册 （审议稿） 2011年12月 导 言 近年来，世界各国对企业内部控制建设的重视程度越来越高。2002年美国颁布了《公众公司会计改革和投资者保护法案》，又称《萨班斯—奥克斯利法案》，该法案第404条款明确规定了管理层对企业内部控制职责；906条款更指出如果企业被认定未达到法案的要求，将可能使企业受到包括高额罚款形式严重处罚 与此同时，人们也越来越重视内部审计在内部控制中的作用。一般认为，保险公司内部审计具有监督、评价两方面的基本职能，既是内部控制的一部分，同时又是内部控制的测试者，对内部控制体系进行评估、评价已经成为内部审计的一个重要工作内容。内部审计师通常要每年对公司高管层提交内部控制评价报告，高管层认可后对外报送或披露。这事实上就把内部审计从“后台”推向了“前台”，如果公司内部控制状况不佳，内部审计部门也负有不可推卸的责任。 根据国际上普遍认可的COSO内部控制体系框架，内部控制通常被分为控制环境、风险识别与评估、控制活动、信息与沟通、监督五个要素。在内部控制五要素中，由于控制活动与具体的业务活动相关，所以其余四个要素通常被称为公司层面内部控制。公司层面内部控制是其他业务层面控制的奠基石，只有在建立健全公司层面内部控制的基础上，业务层面的各项内部控制才能持续地、有效地开展。结合保险公司实际，根据《保险稽查审计指引》体例安排，控制活动的有关审计内容已在各业务分册体现，而公司层面内部控制审计在此专门制作一个分册。 《公司层面内部控制分册》是在《基本手册》介绍的有关保险公司内部审计工作基础理论、标准、方法、实务操作规范等内容的基础上，基于风险导向的方法论，依据现行保险法律法规及监管要求，在系统梳理公司层面内部控制风险点和全面总结相关审计工作稽查实践经验的基础上，而撰写的关于如何开展公司层面内部控制审计工作的操作手册，并附以案例参考，试图以更清晰的方法和思路透视公司层面内部控制，为保险公司提高内部审计工作效率，提升理论与实务分析的结合度提供指导与借鉴。 在应用本手册对保险公司公司层面内部控制开展审计时，除了需要遵循《基本手册》和本分册的要求外，还要参考并结合其他业务分册相关具体内容来开展；在实施审计过程中，需加强具体业务、财务活动审计的配合和信息沟通，避免出现遗漏。此外，各保险公司的具体实践不尽相同，因此在运用本手册过程中，还应结合被审计单位的实际状况进行灵活运用。 限于水平和经验，本手册还存在诸多不足之处，敬请读者多多批评指正，以便今后进一步修订完善。 目 录 目 录 5 第一章 保险公司公司层面内部控制基础 9 第一节 内部控制概述 9 一、内部控制的概念 9 二、内部控制的目标 12 三、内部控制的原则 13 四、内部控制五要素之间的关系 15 第二节 公司层面内部控制概述 16 一、公司层面内部控制概念 16 二、保险公司公司层面内部控制概念 16 第二章 公司层面内控审计的程序与方法 21 第一节 公司层面内控审计的程序 21 第二节 公司层面内部控制审计方法 26 一、一般方法 27 二、特殊方法 29 三、公司层面内控审计方法应用的注意要点 31 第三节 计算机辅助实施公司层面内控审计 32 第三章 内部环境审计 35 第一节 内部环境概述 35 一、公司治理 35 二、组织架构 58 三、发展战略 70 四、人力资源 72 五、企业文化 75 六、社会责任 77 第二节 公司治理审计 79 一、公司章程审计 79 案例一：公司章程修改后未报批 80 二、股东与股东（大）会审计 82 案例二：委托持股或代持股未报告 84 三、董事、独立董事、董事会及其下设委员会审计 85 案例三：董事长、独立董事、董事会秘书未尽职 87 四、监事和监事会审计 89 案例四：监事会没有职工代表参加 90 五、关联交易管理审计 90 案例五：没有充分识别关联方、关联交易管理不合规 91 六、董事、监事、高管任免、薪酬管理审计 92 案例六：假造薪酬委员会决议、发放高管薪酬 93 案例七：以假学历骗取高管任职资格 95 七、集团化管控审计（集团公司适用） 96 第三节 组织架构审计 97 一、组织架构管理审计 97 二、经营管理层任职履职情况审计 98 三、精算管理、财务管理、法律管理、合规管理、风险管理、信息化管理、内部审计管理组织架构审计 98 第四节 发展战略、人力资源、企业文化、社会责任审计 99 一、发展战略审计 99 二、人力资源管理审计 101 案例八：未能制定强制休假、轮岗制度 102 案例九：不合理的奖金分配制度 104 案例十：绩效体系不完善 106 三、企业文化建设审计 110 四、社会责任审计 112 案例十一：内部管理混乱、内控完全