中国保险监督管理委员会关于印发《寿险公司内部控制评价办法(试行)》的通知

文章作者 100test 发表时间 2007:12:12 12:18:11
来源 100Test.Com百考试题网

中国保险监督管理委员会关于印发
《寿险公司内部控制评价办法(试行)》的通知
（保监发[2006]6号）

各保监局、各人寿保险公司、健康保险公司、养老保险公司：
　　为规范和加强对寿险公司内部控制的评价，推动寿险公司加强内控建设，确保寿险公司稳健经营和持续健康发展，我会研究制定了《寿险公司内部控制评价办法（试行）》，现印发给你们。请各保监局、各寿险公司、健康保险公司、养老保险公司根据实际情况，在内部控制评价工作中组织试用，认真总结试行经验。
　　特此通知

　　　　　　　　　　　　　　　　　　　　　　　　　　　二00六年一月十日

寿险公司内部控制评价办法(试行)

第一章　总则

　　第一条　为规范和加强对寿险公司内部控制的评价，推动寿险公司加强内控建设，确保寿险公司稳健经营和持续健康发展，根据《中华人民共和国保险法》等法律法规，制定本办法。

　　第二条　寿险公司内部控制是由寿险公司的董事会、经理层和全体员工共同建立并实施的，为实现公司经营管理目标、保证财务报告真实可靠、确保公司依法合规经营而提供合理保证的过程和机制。

　　第三条　寿险公司内部控制评价是指对寿险公司内部控制体系建设和实施开展的调查、测试、分析和评估等系统性活动。
　　寿险公司内部控制评价包括寿险公司开展的自我评估和监管部门组织实施的独立评价。
　　本办法所称寿险公司包括法人机构及其分支机构。本办法所称寿险公司法人机构是指在中国境内经中国保监会批准设立，并依法登记注册的人寿保险公司；本办法所称寿险公司分支机构限于寿险公司法人机构依法设立的省级（含直辖市、计划单列市）分公司和地市级中心支公司。
　　本办法所称监管部门是指中国保险监督管理委员会（以下简称中国保监会）及其派出机构。
　　外国寿险公司分公司视为寿险公司法人机构。

　　第四条　寿险公司应建立并保持系统、透明、文件化的内部控制体系，定期或当有关法律法规和其他经营环境发生重大变化时，对内部控制体系进行评审和改进。

第二章　评价目标和原则

　　第五条　寿险公司内部控制评价的目标主要包括：
　　（一）促进寿险公司强化内部控制意识，建立健全内部控制机制，严格落实各项控制措施，确保内部控制体系有效运行。
　　（二）促进寿险公司提高风险管理水平，推动其实现发展战略和经营目标。
　　（三）促进寿险公司增强业务、财务和管理信息的真实性、完整性和及时性。
　　（四）促进寿险公司严格遵守国家法律法规、中国保监会的监管要求和寿险公司审慎经营的原则。

　　第六条　寿险公司内部控制评价应从健全性、合理性和有效性三个方面进行：
　　（一）健全性。过程和风险是否已被充分识别，过程和风险的控制措施是否得到明确规定并得以保持。
　　（二）合理性。控制措施能否实现控制目标。
　　（三）有效性。控制措施能否得到有效执行。

　　第七条　寿险公司内部控制评价应遵循以下原则：
　　（一）全面性原则。评价范围应覆盖寿险公司内部控制活动的全过程及所有的系统、部门和岗位。
　　（二）一致性原则。评价的准则、范围、程序和方法等应保持一致，以确保评价结果的客观、可比。
　　（三）公正性原则。评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。
　　（四）重要性原则。评价应依据风险和控制的具体情况确定重点，关注重点区域和重点业务。
　　（五）及时性原则。评价应按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，应及时进行重新评价。

第三章　评价内容

　　第八条　寿险公司内部控制评价从控制环境、风险识别与评估、控制活动、信息与沟通、监督五个方面进行。

第一节　控制环境

　　第九条　公司治理。寿险公司应建立股东大会、董事会、监事会和经理层之间各负其责、规范运作、相互制衡的公司治理结构，为公司内部控制目标的实现提供合理保证。
　　（一）明确股东大会、董事会、监事会和经理层的职责。
　　（二）完善股东大会、董事会、监事会、经理层及下设的议事和决策机构，建立完备规范的议事规则、决策机制、决策评估和责任追究机制。
　　（三）建立独立董事制度，对董事会讨论事项发表客观、公正的意见。
　　非股份制寿险公司参照上述评估要点进行评价。

　　第十条　董事会、监事会、经理层在内部控制中的责任。寿险公司应明确董事会和董事、监事会和监事、经理层和高级管理人员在内部控制中的责任。
　　董事会负责保证寿险公司建立并实施健全、合理、有效的内部控制体系；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保寿险公司在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保经理层采取必要措施识别、计量、监测并控制风险；负责审批组织结构；负责保证经理层对内部控制体系的健全性、合理性和有效性进行监测和评估。
　　监事会负责监督董事会、经理层完善内部控制体系；负责监督董事会及董事、经理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害寿险公司利益的行为并监督执行。
　　经理层负责制定内部控制政策，对内部控制体系的健全性、合理性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测、控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。
　　董事会和经理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。
　　非股份制寿险公司参照上述评估要点进行评价。

　　第十一条　内部控制政策。寿险公司应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。内部控制政策应：
　　（一）与寿险公司的经营宗旨和发展战略相一致。
　　（二）体现持续改进内部控制的要求。
　　（三）符合现行法律法规和监管要求。
　　（四）体现出侧重控制的风险类型。
　　（五）体现出对不同地区、行业、产品的风险控制要求。
　　（六）传达给适用岗位的员工，指导员工实施风险控制措施。
　　（七）可为风险相关方所获取，并寻求互利合作。
　　（八）定期进行评审，确保持续的健全、合理和有效。

　　第十二条　内部控制目标。寿险公司应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现持续改进的要求。
　　在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素。
　　内部控制目标应可测量。有条件时，目标应用指标予以量化。

　　第十三条　组织结构。寿险公司应建立分工合理、职责明确、报告关系清晰的组织结构。
　　（一）机构设置应根据公司业务规模、经营管理的需要，坚持合理、精简、高效的原则，严格遵守国家法律、法规的规定以及监管部门的要求；部门和岗位设置应遵循相互监督、相互制约、协调运作的原则。
　　（二）明确各机构、部门、岗位、人员的职责和权限，并形成文件予以传达，使员工清晰的了解其岗位的职责和标准。
　　（三）明确关键岗位、特殊岗位、不相容岗位及其控制要求。
　　（四）配备足够的具有相应知识、经验和技能的人员，确保其有效履行岗位职责。
　　（五）明确各岗位的报告关系，确保管理人员能够得到履行职责需要的信息。
　　（六）定期根据经营情况或环境变化对组织结构进行评价，及时进行必要的修正。

　　第十四条　企业文化。寿险公司应培育积极健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进作出明确的规定。特别应向员工传达风险管理、内部控制、合规经营的重要性，引导员工建立诚信道德观念，树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。

　　第十五条　人力资源。寿险公司应完善人力资源政策和程序，确保员工具备相应的能力和意识。
　　寿险公司应明确各岗位人员，特别是与风险和内部控制有关的人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，确保相关人员能够胜任。
　　寿险公司应根据不同层次员工的职责、能力、文化程度及所面临的风险制定并实施培训计划，以确保经理层和全体员工能够有效履行职责。培训计划应定期评审并持续改进。
　　寿险公司应在员工招聘、晋升、绩效考核、薪酬、奖惩等日常人力资源管理方面建立完备的制度和程序，并充分考虑人力资源管理中的风险。

第二节　风险识别与评估

　　第十六条　风险识别与评估。寿险公司应建立和保持书面程序，以持续对各类风险进行有效的识别、计量、监测与评估。
　　风险识别与评估应：
　　（一）覆盖公司经营的各个环节。寿险公司应根据发生频率识别并确定经常性和非经常性的业务和管理活动，识别这些活动中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围。
　　（二）充分考虑内部和外部因素。其中内部因素包括公司治理、组织结构以及人力资源管理的复杂程度，公司资产的规模、流动性或业务总量，公司的财务状况以及经营活动的地理分布，内部控制系统的健全性、合理性和有效性等。外部因素包括国家法律、法规及政策的变化，经济形势的变化，科技的快速发展，行业竞争及市场变化等。
　　（三）持续识别法律法规、监管和其他要求。寿险公司应建立并保持政策和程序，确保及时识别和取得适用的法律法规、监管要求和其他要求，并作为风险识别与评估、制订控制目标和控制方案的依据。寿险公司应及时更新法律法规、监管要求和其他要求的信息，并将有关信息传达给相关员工和其他风险关联方。
　　（四）运用适当的方法和技术对风险的概率、后果进行评估，确定风险级别。
　　（五）持续识别和评估风险。当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

　　第十七条　风险处理。对已识别的风险，寿险公司应依据法律法规、监管要求以及内部控制政策确定是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评估，以确保其持续可接受；风险不可接受时，应制定内部控制方案。
　　内部控制方案应包括以下内容：
　　（一）明确控制风险的相关职责与权限。
　　（二）控制的策略、方法、资源需求和时限要求。
　　（三）重大、突发事项应急预案，明确责任人、处理流程和措施。
　　内部控制方案若涉及到组织结构、流程、信息技术等方面的重大变更，应考虑可能产生的新风险。

第三节　控制活动

　　第十八条　业务控制。寿险公司应建立制度、政策和程序，对产品开发、销售、核保核赔、服务质量、咨询投诉、再保险、单证印鉴档案、业务处理系统等实施控制，确保业务活动正常运转。
　　（一）产品开发。成立产品开发领导和决策机构，明确精算责任人和法律责任人的责任；建立并实施产品开发管理程序，对新产品的开发、论证、审核等进行控制，对产品的销售、盈利和风险情况进行定期跟踪分析。
　　（二）销售管理。建立并保持书面程序，对销售人员或机构的甄选、签约、解约、薪酬、考核、档案、品质管理、宣传材料管理等进行控制；定期对销售人员进行专业培训和职业道德教育，建立销售人员失信惩戒机制；对于销售过程中已识别的风险，建立并保持控制程序，并将有关程序和要求及时通报销售人员或机构，确保其遵守寿险公司相关的控制要求；建立并实施客户回访制度，按照有关规定确定客户回访范围和内容，对客户反馈信息进行分析整改并定期跟踪。
　　（三）核保核赔管理。建立明确的核保、核赔标准，实施权责明确、分级授权、相互制约、规范操作的承保理赔管理机制；明确核保核赔人员的适任条件，定期对核保核赔人员进行培训，确保核保核赔人员具有专业操守并勤勉尽职。
　　（四）服务质量管理。建立并实施业务操作标准和服务质量标准，对销售、承保、保全、理赔等活动的服务质量进行规范管理，并建立客户服务质量考评机制。
　　（五）咨询投诉管理。建立并保持咨询投诉处理程序，对咨询投诉处理中发现的问题进行核实、分析、反馈，并进行整改和跟踪监督。
　　（六）再保险管理。建立并实施科学的分保管理流程，建立职责分明、互相制约的分保机制，合理确定自留额和分保方式，确保及时、足额进行分保。
　　（七）单证、印鉴、档案管理。建立并保持控制程序，对保险单证的印刷、保管、领用、作废和核销，印鉴的刻制、保管、使用范围、使用审批、使用登记、作废和核销以及档案的保管实施控制；对假造重要单证、仿制印鉴等违法违规行为进行责任追究。
　　（八）业务处理系统。建立稳定、高效、能够对业务提供全面功能支持的业务处理系统；制定业务处理系统的管理规章、操作流程、岗位手册和风险控制制度；实施操作权限管理，并及时根据业务和控制需要对业务处理系统进行改进。

　　第十九条　财务控制。寿险公司应建立制度、政策和程序，对财务会计制度、职务牵制、账务处理程序、财务报告、资产、负债、预算、费用开支、财务处理系统等实施控制，确保财务、会计信息真实、准确。
　　（一）财务会计制度。根据相关法律、法规和监管部门要求，结合本公司具体情况，制定本公司的财务会计制度。
　　（二）职务牵制。单独设立财务会计部门，配备专职财会人员，合理设置岗位，明确岗位职责，严禁兼任不相容岗位，实行定期或不定期岗位轮换。
　　（三）账务处理程序。建立并实施规范的会计核算流程，依据真实的经济事项进行账务处理，对账务处理的全过程实施有效的控制，实现账账、账实和账表相符。
　　（四）财务报告。及时编制财务报表，确保会计信息的真实、完整、准确。
　　（五）资产管理。制定并保持书面程序，对收付费进行控制，明确收付费的操作流程与岗位职责，对收付费行为进行定期检查和审计；妥善保管现金、有价证券、空白凭证、密押、印鉴、固定资产等，定期核对现金和银行存款账户，定期盘点，确保各项资产的安全和完整。
　　（六）负债管理。建立完善的准备金精算制度，按照有关法律法规要求及时、足额计提准备金。
　　（七）预算控制。实行全面预算管理，建立预算制度，对预算的编制、执行、分析、考核进行明确；及时分析和控制预算差异，确保预算的执行。
　　（八）费用管理。建立严格的授权批准制度和预算控制制度，控制费用支出，并定期进行费用分析。
　　（九）财务处理系统。建立稳定、高效、安全的财务处理系统；制定财务处理系统的管理规章、操作流程、岗位手册和风险控制制度；财务处理系统应与业务处理系统实现数据共享与无缝对接，确保各项业务活动得到及时、准确的反映。

　　第二十条　资金控制。寿险公司应建立制度、政策和程序，对资金调度、投资决策、投资操作、投资风险管理等实施控制，确保资金的安全性、流动性和效益性。
　　（一）资金调度。对资金进行统一管理和运作，严格实行收支两条线，对分支机构资金实行监控，确保资金及时足额上划集中。
　　（二）投资决策。建立透明、规范的投资决策程序和议事规则，投资决策应遵守国家法律、法规和行政规章的规定，并兼顾资产与负债的匹配。
　　（三）投资操作。建立规范的投资操作流程，实现前台操作与后台管理分离，建立并保管交易记录，确保投资的专业化。
　　（四）投资风险管理。建立完备的投资风险评估和控制系统，制定符合自身实际的风险控制政策、措施和定量指标，开发和运用量化的风险管理模型，对资金运用的收益与风险进行适时、审慎评价。

　　第二十一条　信息技术控制。寿险公司应建立制度、政策和程序，对信息技术管理、信息安全、应急计划等实施控制，确保信息的完整性、安全性和可用性。
　　（一）信息技术管理。建立健全信息技术管理和风险防范制度，明确计算机信息系统开发、管理与应用部门及相关人员的职责，对计算机信息系统的项目立项、设计、开发、测试、运行和维护等实施控制。
　　（二）信息安全管理。建立信息安全管理体系，对硬件、操作系统、应用程序和操作环境实施控制，确保信息的完整性、安全性和可用性；计算机机房建设应当符合国家的有关标准，出入计算机机房应当有严格的审批程序和出入记录，确保计算机硬件、各种存储介质的物理安全；对系统数据资料采取加密措施，建立备份，异地存放，实施有效的口令管理和权限管理，定期更换用户使用的密码和口令；及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等，通过认证、加密、内容过滤、入侵监测等技术手段，不断完善安全控制措施；建立健全网络管理系统，对网络的安全、故障、性能、配置等进行有效管理，并对接入国际互联网实施有效的安全管理；对网络设备、操作系统、数据库系统、应用程序等设置必要的日志。
　　（三）应急计划。建立计算机安全应急系统，制定详细的应急方案，定期检查、维护应急的设施、设备和系统，确保其处于适用状态。

　　第二十二条　其它控制。针对公司其他活动建立必要和恰当的政策和程序，确保制定的控制措施能够有效实现控制目标，已确定的控制行为得到恰当的执行。

第四节　信息与沟通

　　第二十三条　信息。建立并保持书面程序，持续识别、收集、处理、报告涉及公司目标实现及经营管理有效运作的内外部信息，以确保经理层能够及时、准确了解业务信息、管理信息、重要风险信息；确保其他所有员工充分了解相关信息，遵守涉及其责任和义务的政策和程序；确保及时、真实、完整的向监管部门和外界报告、披露相关信息；确保在出现紧急情况或重大突发事件时，相关信息能够得到及时报告和有效沟通。

　　第二十四条　沟通。建立开放、有效的内外部沟通渠道，确保信息及时上传、下达，并在上下级机构及部门之间充分交流，使相关人员能够获取履行职责需要的信息；确保员工具有反映问题、提出建议的通道；确保在收到客户、监管部门及其他外部人员反映的情况后，采取及时适当的应对措施，妥善处理公司与外部的关系。

　　第二十五条　信息的安全、保密。寿险公司应适当保持相关信息交流与沟通的记录，并考虑信息的安全性和保密性要求，对信息报告、发布、披露进行授权。

　　第二十六条　文件控制。寿险公司应建立并保持必要的内部控制体系文件，包括：对内部控制体系要素及其相互作用的描述，内部控制政策和目标，关键岗位及其职责与权限，不可接受的风险及其预防和控制措施，控制程序、作业指导、方案和其他内部文件等。