第1章 寿险公司内部控制的内涵及外延

（一）内部控制概述

内部控制作为企业内部的一种管理方法，其理论基础是“螃蟹理论”，即“互相牵制”理论，其核心是集体决策、工作程序化、重要岗位互相制约以及工作目标清晰、奖罚分明等。内部控制理论形成于20世纪初，各国对内部控制的认识，随着社会经济活动发展在不同时期的经济活动内容和经济管理要求的变化而变化，内部控制的定义也就随之改变。内部控制理论经历了内部牵制、内部控制（内部会计控制和内部管理控制）以及内部控制框架（或内部控制整体框架）三个发展阶段。美国反对虚假财务报告委员会（TheCommitteeofSponso-ringOrganizationsoftheTreadwayCommission，简称COSO）1995年11月公布的《内部控制———整体框架》报告对内部控制做出如下定义。

内部控制是由企业董事会、经理阶层和其他员工实施的，为运营的效率效果、财务报告的可靠性以及相关法令的遵循性等目标而提供合理保证的过程。内部控制包括三类目标：第一类包括盈利性目标、财产保全等基本的经营目标；第二类涉及可靠的财务报表的准备，包括相关报表和从中提炼的财务数据；第三类目标要求企业经营的合法合规性。内部控制包括控制环境、风险评估、控制活动、信息与沟通以及监控等五个相互关联的要素，它们来自于管理层运营企业的方式，并与管理过程结合在一起。具体来说：

控制环境是内部控制其他要素的基础，是内部控制能够有效实施的关键。控制环境包括企业的组织结构，员工的诚实正直、道德观念和个人能力，管理层的经营哲学、授权委任方式和对员工的组织培训方法，董事会给予的关注和指导等方面的内容。

风险评估是对经营过程中相关风险的识别、度量和分析，是风险管理的基础。风险评估需要考虑公司面临风险的性质、程度、发生的可能性，实施风险控制的成本，以及从相关风险管理中获取的利益等等。由于企业经营状况和所处的经济、监管环境处于不断变化中，风险评估是一个动态的、连续的过程。风险评估是实施有效内部控制的关键组成要素，管理层必须关注企业各个经营层面的风险，并采取相应的管理措施。

控制活动是为确保管理实施而采取的制度、程序和措施。控制活动发生于组织的各个层面和各个职能部门中，涉及批准、授权、协调、资产保全、职责分离、文件和记录的设计使用、独立核查等等。控制活动通常包括：方针的设立和规章制度的制定；执行这些方针和规章制度的程序；对规章制度贯彻落实情况、内控程序遵从情况的监督检查以及发现问题后的反馈和纠正。

信息与沟通存在于企业所有的经营管理活动中，这主要是对董事会、管理层和员工履行各自职责所需信息的沟通与交流，这些信息不仅来自于企业内部，还包括对企业决策有重大影响的外部事件。有效的沟通确保员工明确自己在内部控制体系中的职责及与他人职责的关联，并保证信息在企业各层次、各部门之间迅速传递和交流。良好的信息沟通系统不仅要有向下的沟通渠道，还应有向上的以及对外界的信息沟通渠道。

监控是管理部门为确保内部控制有效运作而实行的管理和监督，包括事中监督和独立评估。事中监督贯穿于经营过程之中，而独立评估的范围和频率则取决于风险评估和事中监督的有效性。内部控制体系的监控由内部审计和外部审计执行，一般包括评估管理控制的效率和效果、评估资产和风险、针对检查出的问题向管理层提出改进意见。

（二）寿险公司内部控制的内涵

寿险公司内部控制是寿险公司为了实现经营目标，控制经营风险，确保投保人利益，保证经营活动的合法、合规，以全部业务活动为控制客体，对其实行制度化管理和控制的机制、措施及程序的综合。

寿险公司内部控制的内涵可以从内部控制的主体、客体、目标以及所采取的手段加以说明。

1.寿险公司内部控制主体主要是指对寿险公司内部控制承担直接和间接作用的单位及个人，包括董事会及高级管理层等公司领导层、内审部门、保险监督管理部门和外部审计机构。具体来说，建立健全有效的内部控制是寿险公司董事会和高级管理层的基本职责；内部审计是对内部控制措施的补充，其职责在于独立地评价内部控制的完善程度、有效性和效率；保险监督管理部门的职责在于对未能建立完善的内部控制制度或执行不力的寿险公司采取监管措施；外部审计部门的职责包括独立评估寿险公司的内部控制和内部审计的有效性。

2.寿险公司内部控制的客体是寿险公司全部的经营、管理活动。寿险公司是经营人身保险产品的企业，其运营过程一般包括产品开发、销售、承保、理赔和保全服务以及资金运用等环节。在其经营环节中存在着不同类型的风险，如产品、财务、销售、承保、理赔、组织、投资、通货膨胀、信息技术以及人员、分保、政治和监管等方面的风险。随着全球经济一体化的不断深入和保险市场的不断国际化，寿险公司面临的经营环境变得越来越复杂，其经营环节中的任何不规范运作都可能导致较大的经营风险，这将影响到整个公司的稳定经营和持续发展。因此，内部控制的客体应该是寿险公司全部经营活动，而不仅仅是部分经营活动。

3.寿险公司内部控制所要达到的目标主要包括：确保国家法律、法规和行政规章的执行与实施；保证寿险公司谨慎、稳健的经营方针能够贯彻执行；识别、计量、控制寿险公司经营风险和资金运用风险，确保公司稳健运营；保证公司资产的安全，各项报表、统计数字的真实和准确；偿付能力符合监管要求；提高工作效率，按质按量完成公司的各项工作任务。

4.寿险公司内部控制采取的手段不是一些单独的、狭义的管理制度，而是一个涵盖寿险公司经营各环节的有特定目标的制度、组织、方法、程序的制度体系。因此，其采取的手段不是孤立的，而是有机联系在一起的，构成了整个寿险公司经营管理的基础。

（三）寿险公司内部控制的外延

寿险公司内部控制由以下五个方面的要素组成：

1.控制环境。

主要包括寿险公司的法人治理结构、组织结构、企业文化、企业管理哲学、经营理念以及职业道德等。寿险公司的董事会和高级管理层应当充分认识到自身对内部控制所承担的职责。董事会负责审批总体发展战略和经营计划，监督内部控制的有效性，及时审查管理层、外部审计机构和监管当局提供的内部控制评估报告，督促管理层采取整改措施。高级管理层负责执行董事会批准的战略和程序，建立和实施健全、有效的内部控制。董事会和高级管理层应建立科学、有效的激励机制，提高员工的职业道德水平和诚信意识，确保全体员工熟悉自身的岗位职责要求，理解和掌握有关的内部控制制度；通过自身的言行、态度和经营管理活动为全体员工做出表率，在全体员工中倡导诚信为本和客户至上的经营理念，建立健康的内部控制文化。寿险公司的企业文化、管理哲学与经营风格、经营者的素质和职业道德对内部控制的实施成效有深远的影响。

2.风险评估。

寿险公司面临着组织、竞争、经营、投资、利率和通货膨胀、人员及监管等风险，有效的内部控制要求寿险公司建立识别、计量、监控和管理各类风险的政策与程序。为此，寿险公司应根据自身的业务规模、性质和风险特点，制定全面而系统的业务政策、制度和程序，建立涵盖各项业务的、全面的风险管理系统，开发和运用风险量化评估的方法与模型，对各类风险进行动态、持续的监测和管理。寿险公司应定期对内部控制制度的建设及执行情况进行检查，并根据经营条件的变化进行调整，包括：寿险法律法规和监管环境的重大变化、寿险公司组织结构的变化、业务增长过快、新产品开发、保险监管部门指出的内部控制存在缺陷的领域等。

3.控制活动。

寿险公司的内部控制活动包括：（1）业务控制。与寿险业务运作相对应，要建立规范的精算制度以及科学完善的核保、核赔制度，制定业务操作标准和服务质量标准，健全寿险代理人管理制度。（2）寿险单证及印章控制。单证和印章作为寿险合同的载体，在寿险业务运作中具有重要的作用，因此需要制定严格的单证管理制度，加强对各类印章的管理，建立印章的使用审批和登记制度。（3）资金运用控制。寿险资金的运用应满足安全性、流动性、效益性的要求，实行“高度集中、分类管理”的管理原则，遵守相关法律、法规和规章的规定，并与寿险业务管理分离。（4）财务会计控制。会计和财务实行明确的岗位分工，保证会计信息的完整性、准确性和及时性，加强资金管理和固定资产规模控制。

4.信息与沟通。

在知识经济时代，信息与沟通在寿险经营中的地位变得越来越重要。因此，寿险公司应建立贯穿各级机构、覆盖各业务领域的数据库和管理信息系统，及时、准确地提供经营管理所需要的各种数据，并真实准确地向保险监督部门报送资料和对外披露指定信息。寿险公司管理信息系统应确保董事会与高级管理层及时了解公司的经营和风险状况，并确保每一项信息都能够及时传递给相关员工，同时各部门及员工的有关信息都能顺畅反馈。

5.监控。

寿险公司应设立独立的内审部门，建立完善的监督机制，对各部门、各岗位、各项业务实施全面的监控和评价，对内部控制的完整性和有效性进行监督。内审部门应直接对寿险公司董事会或监事会负责，独立于寿险公司的日常业务活动，有权获得所有经营信息和管理信息。寿险公司的常规内审应与专项内审相结合，对内审中发现的问题，应当通过畅通的渠道报告并及时采取措施纠正。

（四）寿险公司内部控制与风险管理的关系

内部控制与风险管理存在着一定的联系和区别。从联系上看，两者都是对保险公司面临的风险进行管理的一种手段和方法，都需要公司内部员工的密切配合。内部控制是风险管理的一个子系统，是不可或缺的部分，是实施风险管理的重要制度保证。但是，无论从风险管理的范围、内容，还是从其采用的管理工具而言，风险管理都要比内部控制宽得多。两者的区别主要有：

从范围看，内部控制一般是管理企业内部运作过程中的风险，通过规范化的操作减少业务运作的不确定性；而风险管理不仅包括上面的内容，还包括对公司面临的外部风险的管理，例如政策风险、市场风险以及行业风险等等。

从内容看，风险管理包括战略目标的设定、风险分析与评价方法的建立和选择、管理者的聘用等等，其活动不全是内部控制的内容；而内部控制一般不会涉及管理的目标。

从工具看，内部控制是通过规范性的制度设计，改进和规范业务运作流程，明确相关人员的责任；而风险管理所采用的工具，不仅包括建立规章制度、规范业务操作流程，还包括运用不同的金融市场工具，如期货、期权、掉期等衍生工具，以达到利用资本市场来分散风险的目的。