内部控制自我评估表填报说明
为了准确、及时、完整地填写内部控制评估表,撰写内部控制自我评估报告,圆满完成公司内部控制自我评估工作,制订本填报说明。
各级公司(以下简称公司)在填制内部控制评估表的过程中,要采取认真负责、客观公正的态度,详细阅读、深刻领会保监会下发的《寿险公司内部控制评价办法(试行)》,以及公司下发的通知文件,并遵守本填报细则的相关内容及要求。
一、总体说明
本说明主要包括填写程序、各栏填写说明、各级公司填写说明和各级评估点填写说明。
(一)“填写程序”主要说明内部控制评估表填写过程中的先后顺序以及所采用的主要方法;
(二)“各栏填写说明”主要解释内部控制评估表中主要栏目需要填写的内容及其依据;
(三)“各级公司填写说明”对省级分公司以及总公司如何填写内部控制评估表作出附加解释;
(四)“各评估点填写说明”对各级评估点的填写顺序进
1
行了说明。
(五)“自我评估分数调整说明”对需将最终得分下调事项进行了说明。
二、报送要求
公司在保监会下发的自我评估表基础上,增加了“缺陷整改计划”、“负责部门”两栏。各级公司内部控制自我评估表的报送按如下要求:
(一)省级分公司将其内部控制评估表按总公司报表要求的格式报备总公司内控与风险管理部;按照保监会内部控制评估表的格式及要求向当地保监局报送,不得包含保监会报表要求范围之外的填报内容(即“缺陷整改计划”、“负责部门”的内容);
(二)总公司按照保监会的内部控制评估表的格式向保监会报送;
(三)各级公司不得对保险监管机构以外的任何机构和个人披露内部控制评估表的任何信息。
三、填写程序
与内控评估、手册对比执行等工作中的关键控制点高度相关的评估点,可以借鉴相关工作的评价方法和评价结果进行估值填写, 内控评估、手册对比执行等工作没有涵盖的评估点,按照下述填写程序进行估值后填写:
2
(一)了解与该评估点有关的内部控制体系,对其健全性做出初步评价
了解与评估点有关的内部控制体系的基本情况,初步评估内部控制体系的健全程度,然后确定应采取的方法。测试方法主要包括调阅、访谈、调查问卷、文字描述与流程图、比较分析等。
1.调阅。收集、整理各种成文的内控制度、规范,阅读并理解这些制度的适用范围和控制环节,并要求相关部门确认所提供内控制度的完整性。
2.访谈。与相关人员召开会议、进行座谈或个别询问,以了解其对内部控制重要性的认识和现实做法。
3.调查问卷。根据实际情况,可结合相关资料自行设计调查问卷,主要内容有制度的健全性及具体执行情况等。可通过这些调查问卷确定该评价点是否健全、合理、有效。
4.文字描述和流程图。对调查了解到的业务、财务流程和内部控制情况,采取文字描述和流程图相结合的方法对其进行描述,客观、真实地填写在各评价点上设置的控制描述栏目。
5.比较分析。将内部控制状况与公司2008年度内外部检查、内控评估和手册对比执行情况进行比较,分析每个评价点打分是否合理,是否需要对得分情况进行调整等。
3
(二)通过测试和分析,评价与评估点有关的内部控制制度的合理性及执行的有效性
在初步评价内部控制体系健全性的基础上,进一步评价内部控制体系的合理性和运行的有效性,主要采取符合性测试法,即获得评估证据以证实内部控制在实际中的合理和有效。实际测试中可以使用公司内部控制工作中采用的穿行测试和控制测试方法,也可以采用保监会寿险公司内部控制评价方法中介绍的业务测试和功能测试方法,各级公司具体采用何种测试方法可以根据评估点情况加以选择。
1.测试方法。主要包括穿行测试、控制测试、业务测试、功能测试等。
穿行测试是指在子流程中选取一个样本,追踪其从流程描述起点到流程描述终点的全过程,目的是为了检验流程描述中控制点的存在性。
控制测试是根据穿行测试的结果和该流程发生的频率,抽取多个样本对流程描述中的所有控制点进行多次测试,以确认其控制是否有效。
业务测试是对重要业务或典型业务进行测试,按照规定的业务处理程序进行检查,确认有关控制点是否符合规定并得到认真执行,以判断内部控制的遵循情况。
功能测试是对某项控制的特定环节,选择若干时期的同类业务进行检查,确认该环节的控制措施是否一贯或持续发
4
挥作用。
2.测试抽样。进行各种测试时,所选取的抽样样本取决于评估点的风险、发生频次、重要性等。可在根据业务频次抽样的基础上,结合评价点的风险和重要性进行调整。具体抽样方法可以借鉴公司在内部控制工作中使用的方法和模版。各公司在进行测试抽样中,要详细记录抽样方法以及抽样测试的结果,并保留相应的文档记录。
(三)评估分值
基于上述的评估和分析,确定不同评估点在健全性、合理性和有效性方面的得分,并按照本说明四中列示的计算公式确定不同评估点的分数。
(四)总结各评估点存在的问题和缺陷
通过对不同评估点的健全性、合理性和有效性的评价和测试分析,可以识别出不同内部控制点存在的设计及执行缺陷。在与相关部门和人员进一步沟通和确认的基础上,通过核对数据、确认事实,概括和总结各控制点存在的所有控制缺陷。
(五)拟定缺陷整改计划
内部控制自我评估的目的在于通过评估,发现不同的内部控制点存在的问题和缺陷,并进行整改。缺陷整改工作是整个内部控制自我评估的核心和关键。在内部控制自我评估中,通过对缺陷的分析,拟订缺陷整改的计划,并提出改进
5
的措施和意见。计划应该至少包括整改措施和时间安排等内容。
四、各栏填表说明
第一栏“评估点”,该栏内容是保监会内部控制评估表中的内容,在填写时需要认真理解和全面体会其中的含义;
第十二栏“负责部门”,为评估工作主要涉及的部门。增加该栏的主要目的是给各级公司提供分解评估工作任务的一种依据,由所涉及的部门对该评估点进行自我评估。由于各级公司的组织结构和部门设置存在一些差异,在评估过程中,各级公司可以根据本公司的实际情况对负责部门进行调整。
以下主要针对第二栏到第十一栏的填写进行说明。由于某些评估点涉及到多个部门,本部分还对多个部门填写同一评估点的填写方法作了解释。
(一) 一个部门单独填写某评估点时的各栏填写说明 本部分说明一个部门单独填写其负责评估点相应栏目的填写内容及方法。
1.基本要求
在单个部门进行自我评估时,该部门必须成立专门的部门评估小组,组成人员应包括部门主要岗位人员。在部门内部各岗位人员对涉及本岗位的内部控制进行自我评估的基
6
础上,部门评估小组对涉及本部门的内部控制评估点做出综合评估,并指定专人负责内控评估表的填写,部门负责人对所填内容的真实性、完整性和准确性负责。
各级公司内部控制自我评估小组要对各部门的自我评估填写内容进行抽查。总公司内控与风险管理部将组织相关部门对省级及地市级公司的内部控制评估表的填写内容进行抽查,检查填报质量。
在填写过程中,各栏目所填内容必须要有相应的文档记录作依据。例如,关于制度执行有效性的评估中,对于不需要抽样测试的,应该保存相关的文档记录,如公司内部的专项审计结果,或外部监管机构的现场监管检查结果,或内控评估工作积累的相关文档记录和测试结果等;对于需要抽样测试才能确定评估结果的评估内容,则需要记录测试所采用的方法、测试样本以及结果等。
2.各栏填写内容说明及估值办法 (1)第二、三、五、七栏“描述”
主要是对内部控制评估点的基本情况进行说明,应该包括该评估点的实际控制概况。通过梳理和列示公司关于本评估点的制度建设情况,对其健全程度、合理性以及制度执行情况等进行陈述和介绍。相关内容应该为第四栏、第六栏和第八栏的打分提供依据和支持。具体内容的填写可以参考附
7
件五。
(2)第四、六、八栏的填写 分两种情况:
①对不需要抽样测试就能够确定评估结论及分值的填写方法。
假定该控制点的满分为S,每栏最高分为s(其中,第四栏、第六栏的最高分s=S*30%,第八栏s=S*40%)。采用五级评价打分标准来确定该控制点的实际分数。即:
若评估为一级,则所得分值为s;
若评估为二级,则所得分值可介于s99%与s80%之间;
若评估为三级,则所得分值可介于s79%与s60%之间;
若评估为四级,则所得分值可介于s59%与s40%之间;
若评估为五级,则所得分值可介于s39%与 0之间。 1)第四栏“过程和风险被充分识别且控制措施被明确规定”
该项评价内容是对某一评估点制度健全性方面的评价,即有关制度是否涵盖了该评估点的所有风险以及制度中是否规定了相应的风险控制措施。在实际评价中,通过列举公司制定的与评估点相关的制度,评估现有制度是否能够覆盖
8
评估点隐含的主要风险点,根据制度内容与评估点控制目标间的差异作出评分判断。
具体打分标准如下:
一级——能够充分识别过程和风险且采取了非常有效的控制措施;
二级——充分识别过程和风险且明确地规定控制措施; 三级——基本能够识别过程和风险且基本明确地规定控制措施;
四级——过程和风险识别不够充分且控制措施规定不够明确;
五级——不能识别过程和风险且没有明确地规定控制措施。
2)第六栏“控制措施能合理实现目标”
该项评估内容是对制度规定的控制措施能否实现风险控制目标作出评价。
具体打分标准如下:
一级——控制措施非常合理,能有效实现目标(获得该级别的前提是第三栏的评价分数必须为满分s分,否则只能获得以下四种级别之一);
二级——控制措施合理,能够实现目标;
三级——控制措施基本合理,能够基本实现目标; 四级——控制措施不够合理,不足以实现目标;
9
五级——控制措施不尽合理,不能实现目标。 3)第八栏“控制措施被有效执行”
该项评估内容是对制度规定的控制措施的执行情况进行评估。可以借鉴相关的内部专项审计、外部审计及监管以及上一年度404条款遵循工作的结果进行评估。
具体打分标准如下:
一级——控制措施的执行非常有效(获得该级别的前提是第三栏、第四栏的评价分数必须都是满分s,否则只能获得以下四级之一);
二级——控制措施的执行有效; 三级——控制措施的执行基本有效; 四级——控制措施执行的有效性不足; 五级——控制措施的执行无效。
(2)若涉及到需要采取抽样测试确定评价结论的,应根据以下情况确定:
如果在抽样范围内未发现违规,该项评价得满分;在抽样范围内,发现两项以上违规(含两项),该项评价不得分;仅发现一项违规的,应扩大一倍抽样,在扩大抽样范围内未发现新的违规的,可得该评价项目分值的50%,在扩大抽样范围内又发现新的违规的,该评价项目不得分。
抽样数量根据业务发生的频率来决定。对于日常交易的测试,从2008年期间发生的相应业务中随机抽取30个样本
10
进行测试;对于每月发生一次的测试,抽取2008年期间的3个月作为测试样本;对于每季度发生至少抽取2008年期间的2个季度进行测试;对于年度发生一次的测试,对其全部交易活动进行测试。
具体的抽样方法可以参考公司在内控评估工作中使用的方法和工具。
(3)第九栏“缺陷”
表中所指的缺陷是指重大缺陷或实质性漏洞。应根据对评估点的评估和测试、分析,填写发现的重大缺陷或实质性漏洞,并要说明缺陷的性质,明确是制度制定方面还是执行方面的问题。重大缺陷和实质性漏洞参考404条款给出的定义。
由于上述定义围绕着与财务报表相关的内部控制,而内部控制评估表中某些评估点与财务报告的相关性不高,在实际的缺陷判断中,也可以结合上述定义,并考虑缺陷对公司可能造成的影响程度大小进行判断。
如果没有发现重大缺陷或实质性漏洞的话,则该栏填写“无”。
(4)第十栏 “自评分合计”
该栏为第四、六、八栏评分的合计值。 (5)第十一栏“整改计划”
根据该评估点缺陷制定的具体整改计划填写。
11
如果第九栏存在重大缺陷或者实质性漏洞的话,在公司制定了缺陷整改计划的情况下,可以对整改计划进行详细列表(列明整改计划的名称),或简要填写整改计划内容,对前一种情况,应采用附件的形式给出详细的整改计划。如果还没有制定相应的整改计划,则在该栏内填写“没有整改计划”。
如果第九栏填写为“无”的话,则该栏也相应地填写“无”。 (二)多个部门填写同一评估点的说明
在一个评估点需要多个部门来评估填写的情况下,实际评估过程中,各部门应首先按上述(一)的要求,分别单独对该评估点进行评估,然后各级公司评估组综合利用各部门的评估结果,最终确定该评估点的评估分值。具体如下:
对于第二、三、五、七等栏,由评估组对各部门的填写内容进行汇总后填入相应的栏目;
对于第四、六、八栏的填写,取各个负责部门填写分值的简单平均数作为最终的评价结论。
五、各级公司内部控制评估表填写及分值汇总 根据保监会的内部控制评估办法的有关规定,内部控制评估表的填写涉及到寿险公司法人机构及其分支机构,分支机构限于寿险公司法人机构依法设立的省级(含直辖市、计划单列市)分公司和地市级公司。为了全面、真实、准确地
12
反映公司省级公司分支机构和公司法人机构的内部控制情况,应该充分借鉴和吸收其下属分支机构的内部控制自我评估的结论。具体方案如下:
1.总公司本部、省级分公司本部以及地市级公司按照上述的填写程序和填写说明分别填写总公司本部、省级分公司本部以及地市级分公司的内部控制评估表。
2.省级公司(不含直辖市、计划单列市分公司)汇总、整理所属地市级分公司的内部控制评估表。对于“描述”、“缺陷”、“缺陷整改计划”栏目,省级公司应该结合本部和各地市级公司的填报情况,经过分析、整理和归纳后进行填写。第四、六、八栏按照下述公式计算和调整省级公司内部控制评估表中不同评估点的最终得分,具体的调整计算公式为:
省级分公司某评估点第L栏(L为第四、六和八栏)得分 = 省级分公司本部该评估点得分*50% + 所属地市级分公司该评估点得分/所属地市级分公司的总数*50%
3.总公司汇总省级分公司(含直辖市、计划单列市分公司),在分析、整理和归纳总公司本部和各省公司填写的“描述”、“缺陷”和“缺陷整改计划”内容后,进行上述三栏的填写。第四、六、八栏按照下述公式计算公司法人机构内部控制评估表中不同评估点的最终得分:
公司内部控制评估表某评估点第L栏(L为第四、六和八栏)得分 = 总公司本部该评估点得分*50% + 省级分
13
公司(含直辖市、计划单列市分公司)该评估点得分/36*50%
六、各级评估点填写说明
内部控制评估表分为控制环境、风险识别与评估、控制活动、信息与沟通以及监督五个方面(简称为一级评估点)的评价内容,每一方面又分解成数量多少不一的评估点(简称为二级评估点),每一二级评估点又包含多个具体的评估点(称之为三级评估点)。在实际评估中,各级评估点的填写应该遵从以下原则:
(一)根据自我评估的结果,填写各三级评估点对应的第二栏至第十一栏;
(二)分别累加同一二级评估点中各三级评估点的第三栏,第四栏、第五栏和第六栏的相应得分,得到并填写各栏二级评估点的得分;
(三)分别累加同一一级评估点中的所有二级评估点的得分,得到并填写一级评估点的得分。
七、自我评估分数调整说明
在2008年自我评估打分时,所辖分公司发生重大责任事故的,应将最终得分酌情下调,原则如下:
(一)内控评估、手册对比执行等工作中发现问题较多或发现重大问题的;内控评估、手册对比执行等工作中,未完成缺陷整改的;以前年度已上报完成缺陷整改的问题在
14
2008年度的内控评估、手册对比执行等工作中再次出现的酌情扣减3-5分
(二)内、外部审计发现有重大问题的;审计部门进行内控评估审计发现缺陷整改未切实完成的酌情扣减5-10分;
(三)符合保监会《寿险公司内部控制评估办法(试行)》第四十九条规定(因安全防范措施不当,发生保险诈骗、盗窃、抢劫、爆炸等事件,造成重大影响或损失;因经营管理不善,发生大规模退保、现金流支付危机等事件;业务系统故障,造成重大影响或损失;重大违法违规事件)的;保监会、国务院驻中国人寿集团公司监事会、人民银行反洗钱等现场检查发现问题的扣减10分。
(四)其他未尽事项参照以上原则酌情扣减分数。
15
因篇幅问题不能全部显示,请点此查看更多更全内容