第一部分保险公司内部审计理论第一章保险公司内部审计基础第一节保险公司内部审计概述随着企业生产规模扩大、经营层次增多,经济活动日趋复杂,管理层希望对内部所属各级组织的经营活动实行有效的监督,保障企业控制系统有效运作,由于管理的需要促成了内部审计部门在组织内得以诞生。初期,内部审计作为内部经营职能主要集中在防止工资欺诈、现金和其他资产的损失,随后内部审计的范围扩展到对几乎所有财务事项的验证,其重点逐步从“为管理而审计”发展到“对管理进行审计”。现代内部审计的发展经历了从传统的财务基础内部审计、控制基础内部审计到风险基础内部审计的演变。近年来,内部审计在公司治理中的地位和作用日益重要。内部审计部门被视为与董事会、高级管理层、外部审计师构成有效公司治理的四大基石之一。内部审计作为实现内部控制的关键因素,在减少信息不对称、促使股东与经理人员利益最大化,健全受托经济责任关系过程中发挥着至关重要的作用。一、定义(一)内部审计的定义内部审计之父索耶关于内部审计的定义是:对组织中各类业务和控制进行独立评价,以确定是否遵循公认的方针和程序,是否符合规定和标准,是否有效和经济的使用了资源,是否有利于实现组织目标。根据国际内部审计师协会《内部审计实务标准》:内部审计是一种旨在增加组织价值和改善组织营运的独立、客观的确认和咨询活动,它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果,以帮助实现组织目标。根据中国内部审计协会《内部审计基本准则》:内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。(二)保险公司内部审计的定义根据《保险公司内部审计指引(试行)》:保险公司内部审计是指保险公司内部机构或者人员,通过系统化、规范化的方法,对其内部控制的健全性和有效性、业务财务信.息的真实性和完整性、经营活动的效率和效果以及经营管理人员任期内的经济责任等开展的检查、评价和咨询等活动,以促进保险公司实现经营目标。二、目标根据内部审计的定义,内部审计的一般目标为改善风险管理、内部控制和公司治理的有效性,促进组织增加价值并改进经营。内部审计的具体目标因不同行业、不同组织、不同法律和社会环境而不同。保险公司内部审计除遵循内部审计一般目标,还包括:(一)强化合规依法合规是保险公司经营管理的基本要求。保险公司的经营管理活动必须遵循法律法规、监管机构规定、行业自律规则、内部管理制度以及诚实守信的道德准则。保险公司内部审计机构必须对合规管理结果进行评价,对发现的合规缺陷和漏洞,及时汇报公司管理层以及审计委员会,督促相关部门进行整改并实施监督,以提高公司的合规经营管理水平。(二)防控风险风险管理是保险业健康发展的生命线。保险公司应建立与自身业务性质、规模和复杂程度相适应的全面风险管理体系,有效识别、评估、计量、应对和监控各项经营管理活动的风险。保险公司内部审计机构通过对公司内部控制体系以及风险管理体系的健全性、合理性和有效性进行监督、检查、评价,以协助公司建立和完善风险管理系统。(三)促进公司实现经营发展战略目标保险公司内部审计机构通过对保险业务、财务等各项经营活动开展监督、检查和评价,发现内控缺陷或风险点,提出有价值的审计建议和改进措施,进一步加强内部控制,提升管理水平,促进公司各项经营发展的举措得到有效执行,为公司实现经营发展的战略目标提供保障。三、职能国际保险监督官协会《公司治理报告文件》指出,内部审计可以为董事会关于保险公司内控、政策、操作和报告流程的遵循性、充分性、有效性提供合理保证。内部审计的本质就是监督、制衡,是内生的具有预防、揭示和抵御功能的“免疫系统”,是公司治理、内部控制的重要组成部分。内部审计的基本职能包括监督、评价,在全面风险管理框架下,又发展为确认、咨询职能。(一)基本职能一是监督。监督是指以法律法规和制度规定为依据,对被审计对象的经济活动进行检查和评价,以衡量和确定其会计资料和其他资料是否真实、准确,其所反映的财务收支和其他经济活动是否合法、合规、合理、有效,检查被审计对象是否履行其经济责任,有无违法违纪等行为,追究或解除其所负经济责任,从而督促被审计单位纠错防弊,遵守法律法规,改进经营管理,提高经济效益。二是评价。评价是指通过审核检查,评定被审计对象的计划、预算、决算、方案是否可行,经济活动是否按照既定的决策和目标进行,经济效益的高低优劣,以及内部控制制度是否健全、有效等,从而有针对性地提出意见和建议,以促进企业改善经营管理,提高经济效益。(二)全面风险管理框架下的内部审计职能在全面风险管理框架下,内部审计的职能从监督和评价发展为确认和咨询。一是确认。确认又称鉴证,是指对公司的风险管理、控制和治理过程进行独立评价,客观地审查证据的活动,旨在改善管理层决策与提高决策的科学性。如开展合规性审计、财务审计、绩效审计、内部控制评审等审计活动。二是咨询。咨询是指内部审计为公司提供顾问等服务活动,其范围需根据管理层的要求,并与公司相关职能部门协商确定,目的是为组织增加价值并改进组织的治理、风险管理和控制过程。四、内部审计与合规管理、内部控制、风险管理(一)内部审计与合规管理、内部控制、风险管理都是保险公司风险防范和控制的重要内容。1、内部控制是指保险公司各层级的机构和人员,依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略和经营目标的机制和过程。2、风险管理是指保险公司围绕经营目标,对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。3、合规管理是保险公司通过设置合规管理部门或者合规岗位,制定和执行合规政策,开展合规监测和合规培训等措施,预防、识别、评估、报告和应对因保险公司及其员工违反法律法规、监管机构规定、行业自律规则、内部管理制度以及诚实守信的道德准则行为引发的法律责任、监管处罚、财务损失或者声誉损失等合规风险的行为。(二)内部审计、合规管理是实施有效内部控制的基础性机制,是保险公司全面风险管理的重要内容。合规管理主要侧重于事前、事中对公司各类经营行为、管理制度进行审查,对风险进行预防和评估;而内部审计主要侧重于经营管理事后监督,根据需要扩展到事前预警和事中控制,监督检查各项风险管理和内控制度是否得到有效落实,是否还存在改进余地等。(三)内部审计可以协助管理层完善内部控制、加强风险管理,但不能超出正常的职责范围,以免损害独立性。内部审计人员可以对内部控制、合规管理、风险管理起到促进、协助作用,但不负内部控制、合规管理、风险管理的责任。第二节保险公司内部审计基本原则一、独立性与客观性原则内部审计部门必须保持其独立性,内部审计人员必须客观地开展工作。独立性是指内部审计机构和人员在进行内部审计活动时,不存在影响内部审计客观性的利益冲突的状态。客观性,是指内部审计人员在进行内部审计活动时,应以事实为依据,保持公正、不偏不倚的精神状态。独立性和客观性通常需要从内部审计组织的独立性、具有履行职责所需的权限、必要的人力物力和资金支持、审计人员的专业胜任能力、职业审慎、职业道德等层面来保证。《保险公司内部审计指引(试行)》第二章机构与人员规定了内部审计组织体系、人员配备要求,第三章职责权限规定了内部审计部门职责权限要求,这为保证保险公司内部审计的独立性和客观性提供了必要的组织保证、权限保证。二、全面性与重要性原则在审计工作中,要把全面性与重要性有机统一起来,既要兼顾全面覆盖,又要有所侧重。全面性是指保险公司内部审计应当涵盖保险公司各项经济业务和经营管理的各个环节,在审计对象上应当覆盖各项经济业务和经营管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免出现空白和漏洞。重要性是指保险公司内部审计机构应在兼顾全面的基础上,充分考虑公司不同时期经营重点和经营策略的变化、审计项目和审计目的的区别、被审计对象在规模、性质和经营管理上的差异,对重要业务与事项、高风险领域与环节进行重点审查。例如,在财务报表审计时,可以在全面检查各科目情况的基础上,重点检查金额较大的科目。审计人员应根据审计目的,按全面性和重要性的原则,在内部审计中应当掌握好详查和抽查的关系,其中详查是指对被审计对象审计时间范围内所有活动、工作部门及其经济信息资料进行细密周详的全面检查。例如:对短期定额单证审计时,因这部分违规风险较大,一般采取详查。从单证印制、领用、使用、单证金额、资金入账情况的真实性以及涉及的各个方面进行详细的检查。而抽查是指审计人员从被审查的资料中,按照一定的方法,选取一定数量的样本进行检查,并根据抽查结果来推断总体特征的一种检查方法。如对保单、赔案,因数量大,一般采用抽查。三、成本效益原则成本效益原则就是把从审计中得到效益与为进行审计而花费的成本进行分析比较,审计效益超过审计成本越多,审计越经济、越有效。在审计实践中,实现审计的成本和效益的最佳结合,达到为组织增加价值的目的。成本效益原则要求保险公司内部审计机构在制定审计计划、实施审计时,应在保证审计效果的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。四、审计风险原则审计风险是指审计人员未能发现被审计对象经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。审计风险原则要求审计人员在审计活动中应当保持应有的职业谨慎,合理运用专业判断,评估审计风险。内部审计人员在编制审计计划、实施审计程序及评价审计结果时,应充分考虑审计风险。审计人员应当对审计风险进行评估,制定并实施相应的审计程序,以便将审计风险降低到可接受的水平。第三节内部审计的组织实施形式一、国外内部审计组织实施形式国外内部审计组织实施的常见形式主要有三种:一是董事会主导下的内部审计模式,这是英美公司较多使用的模式。它以董事会为公司治理的核心,通过设立独立董事、建立董事会下的财务总监负责制等实施内部审计,以提高内部审计的独立性和治理效率。二是监事会主导下的内部审计模式,这是德日公司较多使用的模式。股东大会选举产生监事会,监事会下设董事会,因此,由监事会领导的内部审计更具权威性和独立性。监事会中有相当数量的独立监事,独立于股东且不在公司内部任职的监事,以保持监事会的独立性。三是监事会与审计委员会并行模式,这是在董事会下设审计委员会,与监事会共同领导内部审计。组织地位上讲,审计委员会低于监事会,但它不受监事会的直接领导,不对监事会负责。这种模式是对前两种的折中。二、我国内部审计组织实施形式我国内部审计组织实施的常见形式主要有两种:一是单一领导模式。内部审计机构只对一个上级主管负责。具体又分为3类:(1)内部审计设在决策层,即在董事会下设置内部审计机构。(2)内部审计设在监督层;即将内部审计机构设在监事会。(3)内部审计设在执行层,由总经理领导下的内部审计。二是双重领导模式。在董事会下设审计委员会,在公司行政系统一经营管理系统设置内部审计机构。在此基础上,理顺内部审计的报告关系:职能性审计报告向审计委员会报告,而行政性审计报告向管理层报告。三、内部审计职能的外包近年来,随着审计实践的推进,一些中小公司认为建立专门的内审部门成本过高,一些大公司觉得把内审职能完全内置无法实现资源的有效配置,一些集团公司积极探索整合系统内各子公司的审计力量。于是,内部审计的外部化,即内部审计外包,成为一种新的内部审计组织实施形式。内部审计外包是指,组织将其内部审计职能部分或者全部通过契约委托给组织外部的机构来执行。内部审计外包服务的内容比较广泛,内部财务审计和管理审计等都可进行外包,包括审查新的计算机系统、审计现有的ERP系统、舞弊调查、评价特定的内部控制系统等。内部审计外包服务的提供者包括会计师事务所、集团公司下设专门的稽核审计子公司、工程造价所、管理咨询公司以及其他类型的组织。外包的形式主要有:一是补充,即公司在人力不足和专门技术缺乏时,通过外聘中介机构或专业人士共同完成审计项目;二是审计管理咨询,这种形式是会计师事务所现有咨询或审计业务的延伸,主要帮助公司确定内部审计机构设置