保险公司内控评价工作创新模式探索

蒋洪浪

保险公司内控评价工作创新模式探索

蒋洪浪

内部控制评价是公司内部控制体系建设的重要组成部分，是推动内部控制体系建设和完善、提高公司治理水平的重要机制。2010年，财政部等五部委和保监会分别下发了《企业内部控制评价指引》《保险公司内部控制基本准则》，对内部控制评价的原则、内容、程序、缺陷认定、评价报告等作了规定。但在实际操作中，内部控制评价工作在组织模式、评价方式选择、评价质量的成效化等方面存在一定的问题。因此，如何充分发挥内部控制评价对内部控制体系建设的牵引和推动作用，是内控体系建设工作需要探索和思考的重要内容。

一、内部控制评价工作的组织实施模式选择

内部控制评价工作的组织是评价工作得以有效开展的根本保障。内部评价工作的主要目的在于评价内部控制设计和运行情况，揭示和防范风险，并通过内部控制评价工作来推动内控体系建设工作的有效开展。因此，内部控制评价工作的组织实施模式选择，要围绕评价工作目标，以工作职责是否有效履行、成效是否显著为选择标准。

1．当前专门的内控评价机构模式的不足

根据监管要求，保险公司应定期开展内部控制评价工作，并上报监管机构和披露，企业可以授权内部审计部门或专门机构（内部控制评价机构）负责组织和实施内部控制评价工作。对我国公司内部控制评价实施部门的相关调查显示，目前，组织实施内部控制评价工作的部门主要是风险合规部门或审计部门。这种模式的特点是职责清晰、工作具有延续性，但也存在较大的缺陷。一是业务部门的参与程度不高、积极性不足，与内部控制工作的全员参与要求不符，难以发挥评价工作对内部控制建设工作的推动和牵引作用。二是业务部门未开展自我评价工作，对内控缺陷缺乏一个自我认识和提高的过程，不利于业务部门内控意识的提高；同时，评价结论和缺陷认定需要反复与业务部门进行确认，沟通成本较高。

2．部门协作评价模式的选择

部门协作评价机制就是由公司授权的组织实施部门（一般为内审部门）牵头，按三道防线的职能划分，通过内部控制的自查工作和审计评价工作，最终形成内部控制自评报告的一种工作机制。

（1）风险防范的三道防线是基础

我国保险公司基本上都建立了由董事会负最终责任、管理层直接领导、内部控制职能部门负责统筹协调、内部审计部门检查监督、业务部门负首要责任的内部控制组织体系。同时，保险公司根据监管要求建立了风险防范的三道防线。业务部门为第一道防线；风险和合规管理部门为第二道防线，并负有公司内部控制建设职能；内部审计部门为第三道防线，负责对公司内部控制情况进行独立评价。部门协作的内部控制评价模式就是以组织体系的分工为基础，以三道防线的职能履行为出发点，按照分工协作原则而建立的评估机制。

（2）部门协作模式的运行机制分析

在运行机制上，部门协作评价的模式主要包括四个工作阶段，即计划制定、实施阶段、监督阶段和报告阶段。

在计划阶段，组织实施部门牵头形成内部控制评价方案，并根据监管要求，完成董事会的审批流程。

在实施阶段，按照内部控制的设计框架和执行标准，合规风险部门根据检查方案，组织各业务部门开展自查自纠，形成内部控制建设和执行的自我检查报告。自我检查报告代表了公司管理层对内部控制设计和执行情况的评价，它是公司内部控制评价报告的重要组成内容。

在监督阶段，审计部门对第一、第二道防线的内控情况和评价工作的情况进行检查，形成审计评价报告。审计评价报告一般包含两方面的内容：一是从独立角度对公司内部控制情况进行审计评价；二是对各部门的自查自评工作开展情况进行检查和监督，保证自查工作开展的规范性和有效性。

在报告阶段，审计部门根据自查报告和审计评价报告的内容，以及董事会的意见，形成代表公司的内部控制评价报告。

（3）部门协作评价模式的优势及保障措施

部门协作评价模式是在专门评价机构的组织模式基础上发展起来的，具有以下方面的特点：一是充分调动了各个部门的主观能动性。各业务部门通过内部控制自评自查的工作，形成自我完善的机制。二是评价全面，有效性高。在各个部门自查的基础上开展评价工作，具有全面覆盖、多级复查的特点，能有效提高内控评价的有效性。

部门协调评价模式的主要特征就是分工协作。因此，为保证部门协调评价模式的有效运行，需要加强工作的统一协调和组织。一般有两种可参考的选择方式：一是从组织层面上保证工作的协调，可由较高层级的管理人员对公司的内控体系进行统一管理。二是从机制层面上保证工作的协调开展。例如，建立定期的三道防线内部控制评价联席工作会议制度，建立内部控制评价工作制度等，以统一内控评价工作计划，统筹各项工作实施，协调解决问题，保证工作的有序推进。

二、内部控制评价方式的选择

内部控制评价方式是开展评价工作的基础。方式是否合理则直接影响评价工作的成本和效率。

1．内部控制评价的可选方式

保险公司开展内部控制评价工作主要有三种模式：一是详细的全面评价，就是通过对业务流程的全面梳理，以内部控制矩阵为基础，对公司制度的健全性、合理性及执行有效性进行评价。二是风险导向评价，就是以识别和评估公司主要风险为基础，通过制度流程对风险的控制作用进行分析，查找内部控制运行有效性的证据，并做出评价。三是混合模式评价，就是通过以上两种模式的有效结合，在保证主要风险控制的基础上，实现一定控制领域的覆盖。

全面评价强调的是过程，风险导向评价则强调的是结果。两种方式的工作切入点不同，成效也不同。全面评价适用于对公司的内部控制情况进行全面检查，但成本高、针对性弱。风险导向评价具有更好的成本效益性和针对性，但覆盖面不足，容易产生空白点和盲点。混合模式的控制评价方式能实现对主要风险点控制和专业领域的覆盖，但操作平衡难度大。

2．内部控制评价方式的组合选择

内部控制评价方式的选择，要视保险业的发展阶段和公司内部控制建设情况来定，需要根据环境的变化来不断加以调整。在具体实施中，可以采取不同方式的组合来开展相关工作，主要有两种组合模式。

第一，组合过渡模式。考虑到我国保险业处于高速发展阶段，粗放式经营的特点较明显，因此全面评价方式仍是目前重要的方式选择。但采用此方式将极大增加公司成本，影响公司的业务经营。可以考虑以全面评价方式为主，根据实际情况逐步过渡到混合模式评价，并最终发展到风险导向评价方式。

第二，交叉模式。可以考虑三种评价方式的交叉使用，在一定时期内，根据不同的情况，选择不同的方式。如第一年采取全面评价方式，第二年和第三年采取混合模式评价或风险导向评价方式，并在一定时期内，循环实施。

三、内部控制评价质量提升的传导机制建立

内部控制评价工作质量是关键，要通过内部控制的全面评价，切实防范和揭示公司内部控制中的重大薄弱环节，并不断整改和提高。由于内控评价工作涉及面广、时间跨度长，部分公司存在应付监管、工作走过场的情况。为有效推动内部控制评价工作质量，应建立质量提升的传导机制。一个比较有效的方式就是签署内部控制工作和内控评价的工作责任书，签约对象包括部门主要干部和重要岗位的员工。

业务部门的责任书应要求其定期更新内部控制矩阵，梳理工作流程，及时完善制度及流程；同时，对内控自查中发现的问题及时上报，对内部控制制度体系建设存在的问题要进行有效整改，并明确相应的处罚措施。

合规风险部门的责任书应要求其组织督促各部门按期完成自查自纠工作，及时提交汇总自查报告，并保证报告的客观和全面。

内部审计部门的责任书应要求其对第一、第二道防线的工作进行审计检查，以独立的角度进行审计评价，并对评价报告的完整性、全面性负责。

（作者单位：太保集团）