广东省产险公司内部控制评价试行办法
第一条为防范财产保险风险,保证广东(深圳除外,下同)财产保险市场的健康、稳定、持续发展,规范和加强对产险公司内部控制的评价,督促其进一步建立内部控制体系,健全内部控制机制,为全面风险管理体系的建立奠定基础,保证其安全稳健运行,根据我国的《保险法》、《公司法》、《保险公司管理规定》、《保险公司内部控制制度建设指导原则》和《关于规范保险公司治理结构的指导意见》等法律法规和规章,制定本办法。
第二条 产险公司内部控制评价是指对产险公司内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。
内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。
第三条 产险公司内部控制体系是公司为完成既定工作目标,防范经营风险,对内部各种业务活动实行制度化管理和控制的机制、措施和程序的总称。
第四条 产险公司应建立并保持系统、透明、文件化的内部控制体系,定期或当有关法律法规和其他经营环境发生重大变化时,对内部控制体系进行评审和改进。
第五条 产险公司内部控制评价由中国保险监督管理委员会广东监管局(以下简称广东保监局)组织实施。
第六条 广东省各产险公司要建立内控建设和运行状况重要事项的报告制度。产险公司应及时将外部审计、内控运行的重大事故、内控制度的重大调整等情况及时上报广东保监局,以便于广东保监局及时掌握公司内控运行情况和存在的问题,为监管政策的制定提供必要参考。
第七条 广东保监局将建立与产险公司内部稽核部门的定期联系制度。通过定期组织各公司内部稽核负责人召开内控建设和运行状况分析会,及时掌握各公司内控制度运行状况、存在问题、内外审情况及其整改情况,并结合日常监管工作中发现的有关问题以及监管部门有关政策的执行情况,对各公司内控建设提出具体指导和要求。
第八条 广东保监局将结合产险公司的经营实际和各地市场状况,研究制定产险公司内控的监管要点及其标准,将公司内控的薄弱环节作为监管重点,对产险公司分支机构各项内控制度的建设和执行情况进行系统的检查和测评。
第九条 广东保监局将主要依据对产险公司内控建设的检查和测评结果,并将信访投诉、专项检查、内审工作开展情况、外审意见等作为有效参数,建立一整套内控建设的指标体系和评分规定,量化各项考核评估内容,最终对被检机构提出初步的评估意见和评定等级。把产险公司内控体系是否完善、是否出现内控的重大事故等作为机构设立审批、验收和高管人员任职资格管理审批工作的参考条件。
第十条 产险公司内部控制评价的目标主要包括:
(一)促进产险公司强化内部控制意识,建立健全内部控制机制,严格落实各项控制措施,确保内部控制体系有效运行。
(二)促进产险公司提高风险管理水平,推动其实现发展战略和经营目标。
(三)促进产险公司增强业务、财务和管理信息的真实性、完整性和及时性;识别、计量、控制保险业务经营风险、财务风险和资金运用风险,确保公司稳健运营。
(四)促进产险公司资产的安全和完整。
(五)促进产险公司严格遵守国家法律法规、中国保监会的监管要求和产险公司审慎经营的原则。
(六)为保险监管部门日常行政许可工作、保险市场风险监控、保险公司偿付能力监管提供信息服务和决策支持。
第十一条 产险公司内部控制评价应从健全性、合理性和有效性三个方面进行:
(一)健全性。过程和风险是否已被充分识别,过程和风险的控制措施是否得到明确规定并得以保持。
(二)合理性。控制措施能否实现控制目标。
(三)有效性。控制措施能否得到有效执行。
第十二条 内部控制评价应遵循以下原则:
(一)合法性原则。评价产险公司内部控制制度时,应严格遵守国家的法律、法规及有关行政规章的规定。
(二)独立性原则。评价应由广东保监局或受委托评价机构独立进行。
(三)全面性原则。评价范围应覆盖产险公司内部控制活动的全过程及所有的系统、部门和岗位。
(四)一致性原则。评价的准则、范围、程序和方法等应保持一致,以确保评价结果的客观、可比。
(五)公正性原则。评价应以事实为基础,以法律法规、监管要求为准则,客观公正,实事求是。
(六)重要性原则。评价应依据风险和控制的具体情况确定重点,关注重点区域和重点业务。
(七)及时性原则。评价应按照规定的时间间隔持续进行,当经营管理环境发生重大变化时,应及时进行重新评价。
第十三条 内部控制原则。在内部控制制度建设方面,保险公司应遵循以下原则:
(一)合法性原则。产险公司在制定内部控制制度时,必须严格遵守国家的法律、法规及有关行政规章的规定,不得与之相抵触。
(二)有效性原则。产险公司的内部控制制度建设及其各项措施应符合本公司实际,因地制宜地建立和实施内部控制制度,内部控制应随着外部环境的变化、单位业务职能的调整和管理要求的提高,不断修订和完善,确保有关制度有效执行。
(三)全面性原则。产险公司的内部控制制度应覆盖公司各个业务管理流程和环节、各个业务部门和岗位。
(四)系统性原则。产险公司应把内部控制制度的建设作为一项系统工程对待,注意各项制度之间的协调和衔接,避免产生矛盾和冲突。
(五)预防性原则。产险公司的内部控制制度重在预防,防患于未然,避免、防范或减少经营风险。在设立新机构和开办新业务时,应当树立内部控制优先的思想,首先建立完整的规章制度,采取有效的内部控制措施。
(六)制衡性原则。产险公司的组织机构、管理部门和业务管理岗位应相互监督、相互制约。
(七)成本效益原则。产险公司的内部控制应当遵循成本效益原则,以合理的控制成本达到最佳的控制效果。
第十四条 内部控制政策。产险公司应在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的原则和基本要求,并为制定和评审内部控制目标提供指导。内部控制政策应:
(一)与产险公司的经营宗旨和发展战略相一致。
(二)体现持续改进内部控制的要求。
(三)符合现行法律法规和监管要求。
(四)体现出侧重控制的风险类型。
(五)体现出对不同地区、险种的风险控制要求。
(六)传达给适用岗位的员工,指导员工实施风险控制措施。
(七)可为风险相关方所获取,并寻求互利合作。
(八)定期进行评审,确保其持续的适宜性和有效性。
第十五条内部控制目标。产险公司应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现持续改进的要求。
在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素。
内部控制目标应可测量。有条件时,目标应用指标予以量化。
第十六条组织结构。产险公司应建立分工合理、职责明确、报告关系清晰的组织结构。
(一)机构设置应根据公司业务规模、经营管理的需要,坚持合理、精简、高效的原则,严格遵守国家法律、法规的规定以及监管部门的要求;部门和岗位设置应遵循相互监督、相互制约、协调运作的原则。
(二)明确各机构、部门、岗位、人员的职责和权限,并形成文件予以传达,使员工清晰的了解其岗位的职责和标准。
(三)明确关键岗位、特殊岗位、不相容岗位及其控制要求。
(四)配备足够的具有相应知识、经验和技能的人员,确保其有效履行岗位职责。
(五)明确各岗位的报告关系,确保管理人员能够得到履行职责需要的信息。
(六)定期根据经营情况或环境变化对组织结构进行评价,及时进行必要的修正。
第十七条企业文化。产险公司应培育积极健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进作出明确的规定。特别应向员工传达风险管理、内部控制、合规经营的重要性,引导员工建立诚信道德观念,树立合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。
第十八条 人力资源。产险公司应完善人力资源政策和程序,确保与风险和内部控制有关人员具备相应的能力和意识。产险公司应明确与风险和内部控制有关人员的适任条件,明确有关教育、工作经历、培训和技能等方面的要求,以确保相关人员的胜任。高级管理人员必须满足监管机构对高级管理人员资质的要求。
产险公司应制定并保持培训计划,以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审,并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。
产险公司应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定,并充分考虑人力资源管理过程中的风险。
第十九条 经营管理活动风险识别与评估。产险公司应建立和保持书面程序,以持续对各类风险进行有效的识别、计量、监测与评估。
风险识别与评估应:
(一)覆盖公司经营的各个环节。产险公司应根据发生频率识别并确定经常性和非经常性的业务和管理活动,识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围。
(二)充分考虑内部和外部因素。其中内部因素包括公司治理、组织结构以及人力资源管理的复杂程度,公司资产的规模、流动性或业务总量,公司的财务状况以及经营活动的地理分布,内部控制系统的健全性、合理性和有效性等。外部因素包括国家法律、法规及政策的变化,经济形势的变化,科技的快速发展,行业竞争及市场变化等。
(三)持续识别法律法规、监管和其他要求。产险公司应建立并保持政策和程序,确保及时识别和取得适用的法律法规、监管要求和其他要求,并作为风险识别与评估、制定控制目标和控制方案的依据。产险公司应及时更新法律法规、监管要求和其他要求的信息,并将有关信息传达给相关员工和其他风险关联方。
(四)运用适当的方法和技术对风险的概率、后果进行评估,确定风险级别。
(五)持续识别和评估风险。当环境和条件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。
第二十条 风险处理。对已识别的风险,产险公司应依据法律法规、监管要求以及内部控制政策确定是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评估,以确保其持续可接受;风险不可接受时,应制定内部控制方案。
内部控制方案应包括以下内容:
(一)明确控制风险的相关职责与权限。
(二)控制的策略、方法、资源需求和时限要求。
(三)重大、突发事项应急预案,明确责任人、处理流程和措施。
内部控制方案若涉及到组织结构、流程、信息技术等方面的重大变更,应考虑可能产生的新风险。
第二十一条 业务控制。产险公司应建立制度、政策和程序,对产品开发、销售、核保核赔、服务质量、咨询投诉、再保险、单证印鉴档案、业务处理系统等实施控制,确保业务活动正常运转。
(一)产品开发。成立产品开发领导和决策机构,明确精算责任人和法律责任人的责任;建立并实施产品开发管理程序,对新产品的开发、论证、审核等进行控制,对产品的销售、盈利和风险情况进行定期跟踪分析。
(二)销售管理。建立并保持书面程序,对销售人员或机构的甄选、签约、解约、薪酬、考核、档案、品质管理、宣传材料管理等进行控制;定期对销售人员进行专业培训和职业道德教育,建立销售人员失信惩戒机制;对于销售过程中已识别的风险,建立并保持控制程序,并将有关程序和要求及时通报销售人员或机构,确保其遵守产险公司相关的控制要求;建立并实施客户回访制度,按照有关规定确定客户回访范围和内容,对客户反馈信息进行分析整改并定期跟踪。
(三)核保核赔管理。建立明确的核保、核赔标准,实施权责明确、分级授权、相互制约、规范操作的承保理赔管理机制;明确核保核赔人员的适任条件,定期对核保核赔人员进行培训,确保核保核赔人员具有专业操守并勤勉尽职。
(四)服务质量管理。建立并实施业务操作标准和服务质量标准,对销售、承保、保全、理赔等活动的服务质量进行规范管理,并建立客户服务质量考评机制。
(五)咨询投诉管理。建立并保持咨询投诉处理程序,对咨询投诉处理中发现的问题进行核实、分析、反馈,并进行整改和跟踪监督。
(六)再保险管理。建立并实施科学的分保管理流程,建立职责分明、互相制约的分保机制,合理确定自留额和分保方式,确保及时、足额进行分保。
(七)单证、印鉴、档案管理。建立并保持控制程序,对保险单证的印刷、保管、领用、作废和核销,印鉴的刻制、保管、使用范围、使用审批、使用登记、作废和核销以及档案的保管实施控制;对假造重要单证、仿制印鉴等违法违规行为进行责任追究。
(八)业务处理系统。建立稳定、高效、能够对业务提供全面功能支持的业务处理系统;制定业务处理系统的管理规章、操作流程、岗位手册和风险控制制度;实施操作权限管理,并及时根据业务和控制需要对业务处理系统进行改进。
第二十二条财务控制。产险公司应建立制度、政策和程序,对财务会计制度、职务牵制、账务处理程序、财务报告、资产、负债、预算、费用开支、财务处理系统等实施控制,确保财务、会计信息真实、准确。
(一)财务会计制度。根据相关法律、法规和监管部门要求,结合本公司具体情况,制定本公司的财务会计制度。
(二)职务牵制。单独设立财务会计部门,配备专职财会人员,合理设置岗位,明确岗位职责,严禁兼任不相容岗位,实行定期或不定期岗位轮换。
(三)账务处理程序。建立并实施规范的会计核算流程,依据真实的经济事项进行账务处理,对账务处理的全过程实施有效的控制,实现账账、账实和账表相符。
(四)财务报告。及时编制财务报表,确保会计信息的真实、完整、准确。
(五)资产管理。制定并保持书面程序,对收付费进行控制,明确收付费的操作流程与岗位职责,对收付费行为进行定期检查和审计;妥善保管现金、有价证券、空白凭证、密押、印鉴、固定资产等,定期核对现金和银行存款账户,定期盘点,确保各项资产的安全和完整。
(六)负债管理。建立完善的准备金精算制度,按照有关法律法规要求及时、足额计提准备金。
(七)预算控制。实行全面预算管理,建立预算制度,对预算的编制、执行、分析、考核进行明确;及时分析和控制预算差异,确保预算的执行。
(八)费用管理。建立严格的授权批准制度和预算控制制度,控制费用支出,并定期进行费用分析。
(九)财务处理系统。建立稳定、高效、安全的财务处理系统;制定财务处理系统的管理规章、操作流程、岗位手册和风险控制制度;财务处理系统应与业务处理系统实现数据共享与无缝对接,确保各项业务活动得到及时、准确的反映。
第二十三条资金控制。产险公司应建立制度、政策和程序,对资金调度、投资决策、投资操作、投资风险管理等实施控制,确保资金的安全性、流动性和效益性。
(一)资金调度。对资金进行统一管理和运作,严格实行收支两条线,对分支机构资金实行监控,确保资金及时足额上划集中。
(二)投资决策。建立透明、规范的投资决策程序和议事规则,投资决策应遵守国家法律、法规和行政规章的规定,并兼顾资产与负债的匹配。
(三)投资操作。建立规范的投资操作流程,实现前台操作与后台管理分离,建立并保管交易记录,确保投资的专业化。
(四)投资风险管理。建立完备的投资风险评估和控制系统,制定符合自身实际的风险控制政策、措施和定量指标,开发和运用量化的风险管理模型,对资金运用的收益与风险进行适时、审慎评价。
第二十四条信息技术控制。产险公司应建立制度、政策和程序,对信息技术管理、信息安全、应急计划等实施控制,确保信息的完整性、安全性和可用性。
(一)信息技术管理。建立健全信息技术管理和风险防范制度,明确计算机信息系统开发、管理与应用部门及相关人员的职责,对计算机信息系统的项目立项、设计、开发、测试、运行和维护等实施控制。
(二)信息安全管理。建立信息安全管理体系,对硬件、操作系统、应用程序和操作环境实施控制,确保信息的完整性、安全性和可用性;计算机机房建设应当符合国家的有关标准,出入计算机机房应当有严格的审批程序和出入记录,确保计算机硬件、各种存储介质的物理安全;对系统数据资料采取加密措施,建立备份,异地存放,实施有效的口令管理和权限管理,定期更换用户使用的密码和口令;及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等,通过认证、加密、内容过滤、入侵监测等技术手段,不断完善安全控制措施;建立健全网络管理系统,对网络的安全、故障、性能、配置等进行有效管理,并对接入国际互联网实施有效的安全管理;对网络设备、操作系统、数据库系统、应用程序等设置必要的日志。
(三)应急计划。建立计算机安全应急系统,制定详细的应急方案,定期检查、维护应急的设施、设备和系统,确保其处于适用状态。
第二十五条其它控制。针对公司其他活动建立必要和恰当的政策和程序,确保制定的控制措施能够有效实现控制目标,已确定的控制行为得到恰当的执行。
第二十六条 交流与沟通。产险公司应建立并保持信息交流与沟通的程序,明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。
产险公司应识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保:
(一)高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。
(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。
(三)违规、事故发生时,相关信息能得到及时报告和有效沟通。
(四)及时、真实、完整地向监管机构和外界报告、披露相关信息。
(五)国内外经济、金融动态信息的取得和处理,并及时把与企业既定经营目标有关的信息提供给各级管理层。
信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。
为保持信息交流沟通的可追溯性,必要时,应保持相关信息交流与沟通的记录。
第二十七条 内部控制体系对文件的要求。建立和保持文件化体系是实现信息交流与反馈的重要途径。产险公司应建立并保持必要的内部控制体系文件,包括:
(一)对内部控制体系要素及其相互作用的描述。
(二)内部控制政策和目标。
(三)关键岗位及其职责与权限。
(四)不可接受的风险及其预防和控制措施。
(五)控制程序、作业指导、方案和其他内部文件。
第二十八条 文件控制。产险公司应建立并保持书面程序,以确保内部控制体系所要求的文件满足下列要求:
(一)易于查询。
(二)实施前得到授权人的批准。
(三)定期评审,必要时予以修订并由授权人员确认其适宜性。
(四)所有相关岗位都能得到有效版本。
(五)失效时,及时从所有发放处和使用处收回,或采取其他措施防止误用。
(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。
(七)留存的档案性文件和资料应予以适当标识。
第二十九条 记录控制。产险公司应建立并保持书面程序,以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。
记录应保持清晰、易于识别和检索,以提供符合要求和内部控制体系有效运行的证据,并可追溯到相关的活动。
第三十条持续性监控。产险公司应采取措施确保各部门和员工在日常经营和履行职责的过程中持续获取相关信息(如:投诉等),对内部控制健全性、合理性、有效性进行检查、分析,并评估其实施的效率效果,以实现对内部控制实时动态的持续性监控和控制执行部门的自我改善。持续性监控应遵循以下原则:
(一)以目标为基础,确认现有的制度、程序和措施是否合理、有效和剩余风险的控制水平(剩余风险是指没有通过内部控制加以控制,但却可能对公司目标实现产生影响的风险)。
(二)以风险为基础,识别实现目标的各类风险,确定控制制度、程序和政策是否足以对关键风险进行管理。
(三)以控制为基础,对现有控制措施的运行情况进行分析,识别差距。
(四)以过程为基础,对包括业务、财务、资金、计算机等控制活动的关键过程和内容进行确认、评价、更新、改善和简化。
第三十一条独立评估。产险公司应设立内部审计机构或岗位,对内部控制的健全性、合理性和有效性实施独立评估。
内部审计部门应配备具有相应资质和能力的审计人员;应有权获得产险公司的所有经营、管理信息;应定期或不定期根据辖属机构的内部控制情况确定审计频率,以及对机构和业务的审计覆盖率,对内部控制的健全性、合理性和有效性实施检查、评价;应对公司高级管理人员和重要岗位人员进行离任审计。
第三十二条缺陷报告与持续改进。对持续性监控、独立评估及监管部门评价发现的内部控制缺陷,应及时向高级管理层提交书面报告,并及时进行整改纠正,对整改情况进行跟踪监督,以持续提高内部控制体系的有效性。
第三十三条 内部控制评价程序一般包括评价准备、评价实施、评价报告形成和反馈等步骤。
第三十四条 评价准备。
组成评价组。评价组应考虑组成人员的背景和能力。必要时,可聘请业务或管理方面的专家。
制定评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。
准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。
在现场评价前应先与被评价机构建立初步联系,以便确认有关评价事项和安排。
第三十五条评价实施。评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排,通过适当的方法收集与评价目的、范围和准则有关的信息,根据评价方案对被评价项目进行测试,对有关数据进行确认和分析,并予以记录。
评价实施的具体方法见第四十条至四十四条。
第三十六条 评价报告形成。评价组根据评价实施情况,撰写评价报告,应重点分析以下方面:
(一)被评价机构内部控制体系现状、存在问题及趋势分析。
(二)同类产险公司比较。
(三)监管建议。
(四)可能的谅解因素。
第三十七条评价反馈。对被评价机构内部控制体系进行综合评价后,应与被评价机构管理层沟通,以核对数据,确认事实,并就评价中的问题征求意见。
第三十八条 广东保监局及其委托机构根据评价报告,依据有关法律和规定,做出评价结论和处理决定,并以书面形式正式发送被评价机构,限期整改。同时,评价结论应报中国保监会。
第三十九条 内部控制评价方法是为实现评价目的,对被评价机构内部控制体系进行分析和评价而采取的技术和手段的总称。
第四十条 内部控制评价实施包括:
了解内部控制体系。应了解被评价机构内部控制体系的基本情况,确认评价范围,确定被评价机构的内部控制体系的健全程度,然后决定实施测试所采取的方法。
实施测试和分析。实施测试和分析是在了解内部控制体系的基础上,评价内部控制体系的运行与绩效。具体可以采取符合性测试和指标分析等,其中,对内部控制过程评价主要采取符合性测试法;对内部控制结果评价,主要采取指标分析法。
第四十一条 了解内部控制体系。了解被评价机构内部控制体系主要通过询问、查阅、观察、流程图等方法进行,以初步评价被评价机构内部控制体系的充分性和合规性。
第四十二条 符合性测试。符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性,即相关规定在实际中是否被一贯执行,控制措施能否达到控制目的,控制措施是否恰当。符合性测试分为两种形式:
(一)业务测试,即对重要业务或典型业务进行测试,按照规定的业务处理程序进行检查,确认有关控制点是否符合规定并得到认真执行,以判断内部控制的遵循情况。
(二)功能测试,即对某项控制的特定环节,选择若干时期的同类业务进行检查,确认该环节的控制措施是否一贯或持续发挥作用。
符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。
第四十三条 测试抽样。抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上,结合被评价项目的风险和重要性进行调整。
根据业务频次确定的抽样量参考标准如下:
(一)每月执行一次的业务或事项,抽样量应保持在2-6个之间。
(二)每周执行一次的业务或事项,抽样量应保持在4-10个之间。
(三)每日执行一次的业务或事项,抽样量应保持在10-25个之间。
(四)每日执行多次的业务或事项,全年10000次以下的,抽样量应保持在25-50个之间;全年10000次以上的,抽样量应保持在50个以上。
第四十四条 指标分析。应收集被评价机构内部控制结果指标的相关信息,进行核实、对比分析和趋势分析,从而对内控目标实现情况做出评价。
第四十五条 内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值,并根据评价得分确定被评价机构的内部控制等级。
第四十六条 内部控制过程评价的标准分为500分,其中:内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。上述五部分评价得分加总除以5,得到过程评价的实际得分。
第三章评价内容的要求,结合本办法第十一条的三个方面展开,转换为具体评价问题,并根据测试情况对被评价项目进行评分。
第四十八条 初次实施内部控制评价时,须对所有业务活动、管理活动和支持保障活动进行评价。再次评价时,至少应包括:承保、理赔、报备保险条款和费率的执行、保险单证印鉴控制、财务会计控制、责任准备金的提取与计算等方面。其他活动在每三次再次评价周期内应至少覆盖一次。
第四十九条 内部控制过程评价的具体评分标准如下:
(一)被评价对象的过程和风险已被充分识别的,可得该项分值的百分之二十。
(二)在满足前项的基础上,被评价项目的过程和对风险的控制措施被规定并遵循要求的,可得该项分值的百分之三十。
(三)在满足前两项的基础上,被评价项目的规定得到实施和保持,可再得该项分值的百分之三十。
(四)在满足前三项的基础上,被评价项目在实现风险控制的结果方面,控制措施有效且适宜的,可再得该项分值的百分之二十。
第五十条 在测试过程中遇有业务缺项或问题“不适用”时,应将涉及到的分值在评价项目总分中扣减。为了保持可比性,在得出其余适用项的总分后,还应将该评价项目的总得分进行调整。
调整后评价项目总得分= 所有适用项目得分/(评价项目总分-不适用项目总分) ×100%单项分值小计和总分分值有小数时四舍五入。
第五十一条 若涉及到需要采取抽样测试确定评价结论的,应根据以下情况确定:(一)如果在抽样范围内未发现违规,该项评价得满分;在抽样范围内,发现两项以上违规(含两项),该项评价不得分;仅发现一项违规的,应扩大一倍抽样,在扩大抽样范围内未发现新的违规的,可得该评价项目分值的50%,在扩大抽样范围内又发现新的违规的,该评价项目不得分。
(二)发现险情或事故的,直接扣除该评价项目的分值。
第五十二条 内部控制的结果评价。结果评价主要评价内部控制目标的实现情况,对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括十一项指标:
(一)保费增长率=(本年保费收入-上年保费收入)÷上年保费收入×100%本指标值的正常范围为-10%~60%。若经营期不满一个完整会计年度,则指标值为999%。
(二)自留保费增长率=(本年自留保费-上年自留保费)÷上年自留保费×100%其中,自留保费=保费收入+分保费收入-分出保费,各项目的口径与会计报表中对应项目的口径相同。
本指标值的正常范围为-10%~60%。若本年为开业年度,或上年自留保费为零、负数或者上年经营期不满一个完整会计年度的,则指标值为999%。
(三)毛保费规模率=(保费收入+分保费收入)÷(认可资产-认可负债)×100%本指标值的正常范围为不大于900%。若认可资产与认可负债之差为零或负数,则指标值为999%。
(四)实际偿付能力额度变化率=(本年实际偿付能力额度-上年实际偿付能力额度)÷上年实际偿付能力额度×100%其中实际偿付能力额度=认可资产-认可负债,公式中的认可资产应扣除年度内增资、接受捐赠等非经营性因素的影响金额。
本指标值的正常范围为-10%~30%。若本年或上年的实际偿付能力额度为零或负数,则指标值为999%。
(五)两年综合成本率=两年费用率+两年赔付率其中,两年费用率=(本年和上年的营业费用(减摊回分保费用)之和+本年和上年的手续费(含佣金)支出之和+本年和上年的分保费用支出之和+本年和上年的营业税金及附加之和+本年和上年的提取保险保障基金之和)÷本年和上年的自留保费之和×100%两年赔付率=(本年和上年的赔款支出(减摊回赔款支出)之和+本年和上年的分保赔款支出之和+本年和上年的未决赔款准备金提转差之和-本年和上年的追偿款收入之和)÷(本年和上年的自留保费之和-本年和上年的未到期责任准备金提转差之和-本年和上年的长期财产险责任准备金提转差之和)×100%经营期不足两年的新公司,以已有的经营期为限计算本指标。
以上公式中,未决赔款准备金提转差、未到期责任准备金提转差、长期财产险责任准备金提转差按照认可负债表中对相应准备金提取规定的口径计算,其他项目的口径与会计报表中对应项目的口径相同。
本指标值的正常范围为小于103%。
(六)资金运用收益率=资金运用净收益÷本年现金和投资资产平均余额×100%资金运用净收益=投资收益+利息收入+买入返售证券收入+冲减短期投资成本的分红收入-利息支出-卖出回购证券支出-投资减值准备。其中,投资收益、利息收入取自利润表;买入返售证券收入是指公司从事买入返售证券业务,融出资金而得到的利息收入;卖出回购证券支出是指公司从事卖出回购证券业务,融入资金而发生的利息支出;投资减值准备是根据《认可资产表编报说明》的要求提取,同时未在利润表的“投资收益”项目中反映的那部分投资减值准备。
本年现金和投资资产平均余额=(上年末现金和投资资产+本年末现金和投资资产)÷2,相应数据取自认可资产表中的“现金和投资资产小计”项目的“账面价值”。
本指标值的正常范围为不小于3%。
(七)速动比率=速动资产÷认可负债×100%其中速动资产指认可资产表中的“现金和投资资产小计”项的净认可价值,认可负债指认可负债表中的“认可负债合计”的金额。
本指标值的正常范围为大于95%。若速动资产为零或负数,则指标值为999%。
(八)融资风险率=卖出回购证券÷(实收资本+公积金)×100%其中卖出回购证券为认可负债表中的“卖出回购证券”,实收资本为公司资产负债表中的“实收资本(营运资金)”,公积金等于资产负债表中的“资本公积”和“盈余公积”两项之和。本指标值的正常范围为不大于50%。
(九)应收保费率=应收保费÷保费收入×100%本指标的应收保费指认可资产表中“应收保费”的账面价值中账龄不长于1年的那部分应收保费价值。
本指标值的正常范围为不大于8%。
(十)认可资产负债率=认可负债÷认可资产×100%本指标值的正常范围为小于90%。
(十一)资产认可率=资产净认可价值÷资产账面价值×100%其中资产净认可价值和资产账面价值分别等于认可资产表中“资产合计”项的“本年净认可价值”和“本年账面价值”。
本指标值的正常范围为不小于85%。
内控结果评价指标的标准分值为500分,转化为百分制后得出实际得分。
广东保监局可以根据产险公司整体风险情况、经济金融情况和中国保监会工作的重点,补充、修订或调整有关评价指标及其标准分值。
第五十三条 根据过程评价和结果评价综合确定内部控制体系的总分。其中,过程评价的权重为70%,结果评价的权重为30%,两项得分加总得出综合评价总分。
第五十四条 根据综合评价总分确定被评价机构的内部控制体系评价等级,应按评分标准对被评价机构内部控制项目逐项计算得分,确定评价等级。定级标准为:
一级:综合评分90分 以上(含90分)。指被评价机构有健全的内部控制体系,在各个环节均能有效执行内部控制措施,能对所有风险进行有效识别和控制,无任何风险控制盲点,控制措施适宜,经营效果显著。
二级:综合评分80-89分。指被评价机构内部控制体系比较健全,在各个环节能够较好执行内部控制措施,能对主要风险进行识别和控制,控制措施基本适宜,经营效果较好三级:综合评分70-79 分。指被评价机构内部控制体系一般,虽建立了大部分内部控制,但缺乏系统性和连续性,在内部控制措施执行方面缺乏一贯的合规性,存在少量重大风险,经营效果一般。
四级:综合评分60-69 分。被评价机构内部控制体系较差,内部控制体系不健全或重要的内部控制措施没有贯彻执行或无效,管理方面存在重大问题,业务经营安全性差。
五级:综合评分60分以下(不含60分)。被评价机构内部控制体系很差,内部控制体系存在严重缺失或内部控制措施明显无效,存在明显的管理漏洞,经营业务失控,存在重大金融风险隐患。
上述等级也适用于单项评级,单项评级结果主要用于对比分析。
第五十五条 若被评价机构在评价期内发生重大责任事故,应在上述评级的基础上下调一级。
重大责任事故包括:
(一)因安全防范措施不当,发生保险诈骗、骗保、骗赔和私设小金库、帐外帐、贪污、挪用保费、私印保单等违法违规案件,造成重大影响或损失。
(二)因经营管理不善发生大面积退保事件。
(三)业务系统故障,造成重大影响或损失。
(四)经查实的重大信访事件。
第五十六条 内部控制体系连续在三个评价期内得不到改善的机构,其内部控制评价等级应适当下调。
第五十七条 内部控制评价按照“统一领导,分级管理”的原则进行。产险公司内部控制评价采取产险公司自我评估与监管部门独立评价相结合的方式。
第五十八条 根据评价的范围,内部控制评价可分为以下层次:
(一)广东保监局及其委托机构对产险公司省公司本部的评价,原则上每两年一次。
(二)广东保监局及其委托机构对产险公司不同层次分支机构的评价,每三年一个评价周期,每年至少覆盖三分之一以上的分支机构,三年内必须覆盖全部分支机构。
第五十九条 应当根据风险大小和重要性确定对产险公司及其分支机构内部控制评价的频率和范围,当产险公司发生管理层重大变动、重大的合并、重大的营运方法改变或财务信息处理方式改变等情况,或广东保监局认为必要时,应对产险公司内部控制进行整体评价。
第六十条 广东保监局及其委托机构对产险公司省公司整体评价时,省公司占整体评价得分的60%,下级分支机构平均得分占整体评价得分的40%,形成最终评级结果。其中,初次整体评价时,应覆盖省公司和所有分支机构;再次进行整体评价时,应抽取不少于三分之一的分支机构。
第六十一条 广东保监局及其委托机构应及时整理、分析和掌握被评价机构报送的非现场监管数据、公共会计师事务所的审计结果和被评价机构的内部审计信息,充分利用监管部门对被评价机构的各种现场检查结果。
第六十二条 广东保监局及其委托机构应对被评价机构内部控制体系的改进情况进行后续跟踪,责令被评价机构针对发现的违规或风险隐患制定纠正措施,并对纠正情况及其有效性进行验证。
第六十三条 内部控制评价各阶段涉及的有关记录、表格、评价报告以及跟踪验证的相关资料均应作为监管档案妥善保管。
第六十四条 广东保监局可根据需要委托外部中介机构对产险公司内部控制体系进行评价。受托中介机构和人员必须熟悉产险公司业务和运作,具备产险公司内部控制体系建立或评价方面的经验。广东保监局选聘中介机构时,将通报广东省保险行业协会。
第六十五条 广东保监局根据评级结果及评价报告所反映的情况,针对被评价机构内部控制体系存在问题的性质及严重程度,可依法分别采取以下一项或多项监管措施:
(一)约见被评价机构第一负责人。
(二)就评价对象内部控制体系存在问题可能引发的风险,向被评价机构及其上级机构进行提示和警告。
(三)要求被评价机构对内部控制体系存在的问题限期整改。
(四)加大现场检查力度及频率。
(五)建议调整管理层。
(六)取消有关人员一定期限或终身保险业从业资格。
(七)责令整顿或暂停办理相关业务。
(八)延缓批准或拒绝受理增设分支机构、开办新业务的申请。
第六十六条 对内部控制评价中发现的违规、违法行为,应根据有关规定,采取相应处罚措施。
第六十七条 未经批准或许可,任何单位和个人不得对外公布对被评价机构的内部控制体系等级评定结果。凡擅自公布等级评定结果,应追究有关人员的责任。
第六十八条 本办法涉及的重要名词术语解释如下:
(一)体系:相互关联或相互作用的一组要素。
(二)文件:信息及其承载媒体。媒体可以是纸张,计算机磁盘、光盘或其他电子媒体,或其组合。
(三)程序:为进行某项活动或过程所规定的途径。程序可以形成文件,也可以不形成文件;当程序形成文件时,通常称为书面程序。
(四)风险相关方:与产险公司在风险及其控制方面有利益关系的个人或团体。风险相关方包括风险直接承担者和间接利害关系者,前者如产险公司投资者、顾客或员工,后者如监管机构。
(五)内部控制绩效:根据内部控制政策和目标,在控制风险方面所取得的可测量的结果(绩效测量包括内部控制活动和结果的测量)。
(六)事故:造成损失的非预期事件。
(七)违规:未满足规定的要求,既可能是人员主观造成的,也可能是其他客观原因导致的。
(八)预防措施:为消除潜在违规、事故的原因所采取的措施。
(九)纠正措施:为消除己发现的违规、事故的原因所采取的措施。
第六十九条 产险公司可根据本办法制定相应的实施细则并报广东保监局备案。
第七十条 本办法适用于在广东省内依法设立的国有产险公司、股份制产险公司、外资产险公司以及其他组织形式的财产保险公司。
第七十一条 未进行股份制改造的产险公司和其他组织形式的财产保险公司,应由高级管理层负责内部控制体系的建立、维护和改进,并明确相对独立的决策、监督和执行的职责和权限。
第七十二条 本办法由广东保监局负责解释与修订。
第七十三条 本办法自印发之日起施行
中国保险监督管理委员会广东保监局