保险行业内部控制专项审计管理案例分析
北京中天恒会计师事务所(特殊普通合伙)
严宏 于芳华
一、案例背景
XX人寿保险股份有限公司是一家专注于人身保险、健康保险、意外伤害保险等业务的中型保险分支机构,年保费收入约XX亿元。公司主要业务涵盖保险产品销售、保单承保、理赔服务、资金收付、中介业务合作等核心环节,近年来随着保险行业竞争日趋激烈,叠加监管部门“长牙带刺”的严监管态势,公司逐步出现内控管理松散、合规意识薄弱等问题,部分环节出现虚列费用套取资金、销售误导、理赔审核不严、代理人管理不规范等现象,先后收到监管部门2笔违规警示,引发总公司及管理层对内部控制有效性的高度担忧。
二、保险行业内部控制专项审计项目介绍
(一)保险行业内部控制专项审计的现状
为防范经营风险、规范业务流程、提升内部控制执行力,契合《中华人民共和国审计法》《企业内部控制基本规范》《保险公司监管评级办法》及公司内部审计管理制度要求,总公司审计部联合分公司审计组,于2025年10月至11月,开展了为期2个月的内部控制专项审计。本次审计以“查漏补缺、完善机制、防范风险、合规经营”为目标,聚焦保险销售管理、理赔服务、资金管控、中介业务合作四大核心业务领域,覆盖各业务环节的内部控制设计与执行情况,重点核查是否存在流程缺失、权责不清、监督失效、违规操作等问题,为公司优化内控体系、契合监管要求提供坚实依据。
(二)保险行业内部控制专项审计案例介绍
1、保险行业内部控制专项审计核心依据
(1). 国家法律法规:《中华人民共和国审计法》《中华人民共和国保险法》《中华人民共和国公司法》《中华人民共和国反洗钱法》等;
(2). 监管政策文件:国家金融监督管理总局《保险集团并表监督管理办法》《保险公司内部控制审计指引》《保险机构内部审计办法》《保险资金运用管理暂行办法》等相关监管规定;
(3). 行业规范标准:保险行业协会相关自律准则、内部控制指引及最佳实践;
(4). 机构内部制度:被审计保险机构(以下简称“被审计单位”)的公司章程、内部控制手册、风险管理办法、业务操作流程、授权审批制度、内部审计制度等。
2、保险行业内部控制专项审计的目标
立足保险行业“风险防控、合规经营、提质增效”核心导向,严格遵循国家金融监督管理总局监管要求及行业法律法规,通过专项审计全面排查保险机构内部控制体系的设计合理性、执行有效性、监督及时性,识别内部控制缺陷及潜在风险点,揭示管控薄弱环节,提出针对性整改建议及优化措施,推动保险机构健全内部控制体系、强化风险管控能力,防范化解金融风险,保障保险行业稳健运行,维护投保人、被保险人合法权益,助力行业高质量发展。本次审计重点聚焦并表管理、风险防控、合规经营三大核心,兼顾内部控制全流程管控效能,确保审计工作贴合当前监管政策导向,实现“查问题、补短板、建机制、防风险”的审计目标。
3、保险行业内部控制专项审计范围
本次专项审计覆盖被审计单位全业务链条、全职能部门及各级分支机构,重点涵盖集团并表管理范围内的成员公司(若为保险集团),具体包括:
(1). 职能部门:董事会、监事会、管理层、风险管理部、合规部、审计部、财务部、业务管理部、承保部、理赔部、投资管理部、客户服务部、信息技术部等核心职能部门;
(2). 业务领域:承保业务、理赔业务、保险资金运用、产品开发与管理、客户信息管理、反洗钱、内部交易、再保险、中介业务合作等核心业务环节;
(3). 时间范围:本次审计覆盖近1-2个会计年度,重点核查内部控制体系的建立、执行及监督情况,对重大风险隐患及历史遗留问题可追溯至相关年度;
(4). 延伸范围:根据审计发现,可延伸核查与被审计单位存在重大业务往来的中介机构、合作单位及集团内成员公司,确保审计覆盖的全面性和完整性。
4、保险行业内部控制专项审计方法与技巧
结合保险行业业务特点及内部控制审计要求,本次专项审计采用“传统审计方法与现代审计技术相结合、全面排查与重点核查相结合”的方式,灵活运用多种审计方法和技巧,提升审计效率和审计质量,确保审计发现精准、全面。
(1)传统审计方法
1). 查阅资料法
全面查阅被审计单位的内部控制手册、管理制度、业务流程文件、会议纪要、财务报表、会计凭证、业务资料、审计报告、整改记录等相关资料,梳理内部控制体系的建立情况,核查控制活动的执行情况,收集审计证据。查阅资料时,重点关注资料的真实性、完整性、合规性,对关键资料进行复印、留存,作为审计工作底稿的重要组成部分。针对并表管理相关资料,重点查阅并表管理制度、成员公司管控资料、内部交易记录等,确保覆盖并表管理全流程。
2). 访谈询问法
围绕审计内容,访谈被审计单位董事会、监事会、管理层及各职能部门、分支机构的相关人员,包括部门负责人、关键岗位员工、一线业务人员等。访谈时,明确访谈目的,设计访谈提纲,引导访谈对象如实反映内部控制执行情况、存在的问题及改进建议;对访谈内容进行详细记录,访谈结束后,由访谈对象签字确认,确保访谈内容的真实性和可追溯性。针对关键问题,可进行多次访谈、交叉访谈,核实相关信息,排查虚假陈述、隐瞒不报等情况。
3). 实地核查法
深入被审计单位各职能部门、分支机构,实地查看业务操作流程、办公环境、档案管理、信息系统运行等情况,核实内部控制制度的实际执行情况,排查实际操作与制度规定不一致的问题。例如,实地查看承保、理赔业务的实际操作流程,核实核保、核赔审批流程的执行情况;实地查看客户信息档案管理情况,核实客户信息的保管和使用情况;实地查看信息系统机房,核查信息安全管控情况。
4). 测试验证法
针对内部控制活动的执行情况,开展控制测试,验证控制活动的有效性。具体包括:
(1)符合性测试:抽查部分业务资料、财务凭证,核查其是否符合内部控制制度及业务流程要求,验证控制活动的设计合理性和执行合规性;例如,抽查承保业务的投保单、核保记录,验证核保流程是否符合制度规定;抽查理赔业务的查勘报告、核赔记录,验证核赔审批流程是否严格执行。
(2)实质性测试:针对关键业务环节、高风险领域,开展实质性测试,核查业务的真实性、合规性和准确性,排查潜在风险和违规问题;例如,对大额理赔案件、大额保险资金投资项目、重大内部交易等开展实质性测试,核实业务的真实性和合规性。
5). 对比分析法
将被审计单位的相关数据、流程、制度与监管政策、行业标准、同行业先进水平、被审计单位历史数据进行对比分析,识别存在的差异和问题。例如,将被审计单位的保险资金运用比例与监管规定进行对比,核查是否存在违规运用资金的情况;将被审计单位的理赔时效、赔付率与同行业平均水平进行对比,评估理赔业务内部控制的有效性;将被审计单位的并表管理水平与监管要求及行业最佳实践进行对比,识别并表管理薄弱环节。
(2)现代审计技术
1). 数据分析审计法
利用审计信息化工具,采集被审计单位业务系统、财务系统、客户信息系统、资金运用系统等相关数据,对数据进行清洗、整理、分析,挖掘数据背后的异常情况和潜在风险。例如,通过数据分析,排查虚假投保、虚假理赔、违规支付费用、客户信息泄露、内部交易异常等问题;通过对保险资金运用数据的分析,核查资金运用的合规性和安全性;通过对集中度风险数据的分析,识别风险集中隐患。数据分析过程中,重点关注异常数据、关联数据,形成数据分析报告,作为审计证据的重要补充。
2). 信息系统审计法
针对被审计单位的信息系统,开展信息系统审计,核查系统的安全性、稳定性、功能性,评估信息系统对内部控制的支撑作用。具体包括:系统权限审计(核查权限设置是否合理、是否存在越权访问等)、系统日志审计(核查系统访问、操作记录是否规范)、系统功能审计(核查系统功能是否满足业务和内部控制需求)、数据治理审计(核查数据真实性、完整性、准确性)。通过信息系统审计,排查系统漏洞、数据泄露、权限滥用等风险,确保信息系统能够有效支撑内部控制执行。
3). 风险导向抽样法
结合风险评估结果,采用风险导向抽样法,确定审计抽样样本。对高风险领域、关键业务环节、重大风险隐患,扩大抽样范围,提高抽样比例;对低风险领域,适当缩小抽样范围,降低抽样比例,确保抽样样本具有代表性,既提升审计效率,又保证审计质量。例如,对大额承保、大额理赔、重大投资项目、重大内部交易等高风险业务,采用100%抽样或高比例抽样;对常规业务,采用随机抽样或系统抽样。
(3)审计技巧
1). 聚焦重点,精准突破:围绕保险行业高风险领域(如理赔、资金运用、内部交易、反洗钱)、关键业务环节(如核保、核赔、资金支付)、薄弱管控点(如客户信息管理、信息安全),集中审计资源,精准排查问题,避免“面面俱到、浅尝辄止”。
2). 交叉验证,核实真相:对同一问题,通过多种渠道、多种方法进行交叉验证,确保审计发现的真实性和准确性。例如,通过查阅资料、访谈询问、实地核查、数据分析等多种方式,核实虚假理赔、违规投资等问题;通过对比业务资料、财务数据、系统记录,排查数据不一致、虚假记录等情况。
3). 关注细节,挖掘隐患:注重审计过程中的细节问题,从细微之处发现潜在风险和违规线索。例如,关注财务凭证中的异常签字、业务资料中的前后矛盾、系统日志中的异常操作等,深入挖掘背后的违规问题和内部控制缺陷。
4). 沟通协调,争取配合:加强与被审计单位的沟通协调,向被审计单位说明审计目的、审计范围及审计要求,争取被审计单位的理解和配合,确保审计工作顺利开展。同时,及时与被审计单位沟通审计发现,听取其反馈意见,核实相关情况,避免误解和偏差。
5). 追溯根源,分析成因:对审计发现的问题,不仅要识别表面现象,还要深入分析问题产生的根源(如制度缺陷、流程不规范、人员履职不到位、监管意识薄弱等),为提出针对性整改建议提供依据,推动被审计单位从根源上解决问题。
三、保险行业内部控制专项审计难点
结合保险行业业务特点及本次审计实际,本次内部控制专项审计主要面临以下四大难点,给审计工作的推进带来一定挑战:
1. 业务流程复杂且隐蔽性强,违规行为难以核查。保险业务涉及销售、承保、理赔、资金、中介等多个环节,部分违规行为具有较强的隐蔽性,如虚列费用套取资金、虚构中介业务、销售误导等,相关人员往往通过伪造凭证、拆分业务、私下操作等方式规避监管和审计,部分违规行为没有明确的书面痕迹,导致审计证据收集难度较大,难以全面核实违规事实。
2. 数据量大且关联性弱,数据核查难度高。保险业务数据涵盖投保信息、理赔信息、资金信息、代理人信息等,数据量大、种类繁杂,且部分业务系统与财务系统、代理人管理系统数据未实现完全互通,数据关联性较弱,存在数据不一致、数据缺失等问题,审计人员需要花费大量时间进行数据比对、核实,增加了审计工作的工作量和难度,也影响了审计效率。
3. 代理人管理分散,责任界定困难。公司现有保险代理人190余人,部分代理人属于兼职人员,管理较为分散,且代理人流动性较强,部分违规销售行为(如误导投保人、承诺合同外利益)发生在代理人与投保人之间,事后难以追溯,且部分违规行为是代理人个人行为还是公司管理疏漏导致,责任界定难度较大,给审计问题定性和责任追究带来挑战。
4. 内控与业务融合不足,审计判断难度大。保险行业部分业务环节的内部控制制度与实际业务操作脱节,部分内控流程过于繁琐,导致业务人员为提高效率而规避内控流程,部分内控制度则过于笼统,缺乏可操作性,难以判断业务操作是否符合内控要求;同时,部分业务创新(如互联网保险)的内控机制尚未完善,审计过程中缺乏明确的审计标准,增加了审计判断的难度。
四、保险行业内部控制专项审计内容及审计程序
结合当前保险行业监管政策及行业特点,本次专项审计聚焦内部控制“五要素”(控制环境、风险评估、控制活动、信息与沟通、内部监督),围绕集团并表管理、核心业务环节、风险防控、合规经营等重点领域,明确审计内容及审计程序,确保审计工作精准落地。
(一)控制环境审计
1. 审计内容
(1)公司治理结构:核查董事会、监事会、管理层的职责分工是否明确,决策机制是否健全,是否有效履行对内部控制的领导和监督职责;董事会是否负责制定集团并表管理政策,监督高级管理层有效履行并表管理职责,承担并表管理的最终责任;高级管理层是否执行董事会批准的并表管理政策,制定集团并表管理制度,建立和完善并表管理架构和全面风险管理体系;
(2)组织架构:核查被审计单位的组织架构是否合理,部门职责是否清晰,是否存在职能交叉、权责不清的情况;是否按照“合规、精简、高效”的原则,优化集团投资结构,简化股权层级,控制成员公司数量,避免组织架构混乱、管理责任不清、报告路线复杂等问题;
(3)人力资源管理:核查人力资源管理制度是否健全,员工招聘、培训、考核、激励、离职等流程是否规范;关键岗位人员(如风控、合规、审计、投资、核保、理赔等)是否具备相应的专业资质和履职能力,是否建立关键岗位轮岗、强制休假制度;是否建立健全与集团组织架构、业务规模和复杂程度相适应的激励约束机制;
(4)企业文化:核查被审计单位是否培育合规、诚信、风险导向的企业文化,是否加强员工内部控制意识和风险防控意识培训,企业文化是否融入日常经营管理。
2. 审计程序
(1)查阅公司章程、董事会、监事会、管理层会议纪要,核查决策机制及职责履行情况;查阅并表管理制度、组织架构图、部门职责说明书,核查组织架构合理性及权责划分情况;
(2)查阅人力资源管理制度、员工档案、培训记录、考核报告,核查人力资源管理流程及关键岗位管理情况;访谈关键岗位人员,了解其履职情况及内部控制意识;
(3)查阅企业文化建设相关资料、员工培训记录,访谈不同层级员工,了解企业文化建设及执行情况;
(4)评估控制环境对内部控制体系的支撑作用,识别控制环境存在的缺陷及潜在风险。
(二)风险评估审计
1. 审计内容
(1)风险评估机制:核查被审计单位是否建立健全风险评估机制,是否定期开展全面风险评估,风险评估流程是否规范(包括风险识别、风险分析、风险评价、风险应对等环节);是否建立健全风险监测评估体系,对集团整体和成员公司风险管理状况进行评估;
(2)风险识别与应对:核查被审计单位是否全面识别保险行业常见风险(如承保风险、理赔风险、资金运用风险、合规风险、操作风险、声誉风险、集中度风险、内部交易风险、信息安全风险等);是否针对识别的风险制定合理的风险应对措施,风险应对措施是否有效执行;是否统筹制定集团整体风险偏好,确定各类风险的风险容忍度和风险限额,并对集团范围内的实施情况进行监督,严格执行超限额处置机制;
(3)重大风险管控:核查被审计单位对重大风险(如重大承保风险、大额理赔风险、保险资金违规运用风险、重大合规风险、集中度风险、内部交易利益输送风险等)的识别、评估及管控情况,是否建立重大风险预警机制,是否及时处置重大风险隐患;是否关注集团内部因各类业务往来、交易结构安排和股权变更所形成的风险隐匿和监管套利;
(4)并表风险评估:若为保险集团,核查是否在并表基础上管理集团集中度风险,建立和完善覆盖所有风险类型、业务条线和实体的集中度风险管理体系;是否健全集中度风险指标体系,审慎设置各维度风险限额、超限额处理措施和调整机制;是否在并表基础上统一管理同一交易对手及其关联方的集中度风险,关注复杂交易结构和安排形成的隐蔽集中度风险。
2. 审计程序
(1)查阅风险管理制度、风险评估报告、重大风险处置记录、并表风险管理相关资料,核查风险评估机制及执行情况;
(2)访谈风险管理部门、业务部门及管理层,了解风险识别、评估、应对及重大风险管控情况;
(3)抽查重大风险相关业务资料,核查重大风险预警、处置流程的有效性;
(4)评估风险评估机制的合理性和有效性,识别风险评估环节存在的缺陷及潜在风险。
(三)控制活动审计
控制活动是内部控制的核心环节,本次审计重点聚焦保险行业核心业务环节及关键流程,核查控制活动的设计合理性和执行有效性,具体包括以下领域:
1. 承保业务内部控制审计
(1)审计内容:核查承保流程(投保、核保、承保决策、保单签发等)是否规范;核保标准是否明确,核保权限是否划分清晰,核保审批流程是否严格执行;是否存在违规承保、虚承保、超额承保等情况;投保信息审核是否严格,是否核实投保人、被保险人的真实信息,是否存在误导投保、虚假投保等问题;承保档案管理是否规范,保单信息是否完整、准确。
(2)审计程序:查阅承保管理制度、核保标准、承保流程文件;抽查投保单、核保记录、保单等资料,核查承保流程及核保审批的执行情况;访谈承保部门、核保人员,了解承保业务内部控制执行情况;核查承保档案管理情况,抽查部分承保档案,核实信息完整性和准确性。
2. 理赔业务内部控制审计
(1)审计内容:核查理赔流程(报案、查勘、定损、核赔、赔付等)是否规范;理赔权限是否划分清晰,核赔审批流程是否严格执行;查勘定损是否客观、公正,是否存在虚假查勘、定损偏高或偏低等情况;理赔审核是否严格,是否核实理赔材料的真实性、完整性,是否存在虚假理赔、骗赔等问题;理赔资金支付是否规范,是否存在违规支付理赔款的情况;理赔档案管理是否规范。
(2)审计程序:查阅理赔管理制度、理赔流程文件、核赔标准;抽查理赔案件资料(报案记录、查勘报告、定损单、核赔记录、理赔款支付凭证等),核查理赔流程及核赔审批的执行情况;访谈理赔部门、查勘人员、核赔人员,了解理赔业务内部控制执行情况;核查理赔档案管理情况,抽查部分理赔档案,核实信息完整性和准确性;对大额理赔案件进行重点核查,排查虚假理赔、骗赔等问题。
3. 保险资金运用内部控制审计
(1)审计内容:核查保险资金运用是否符合监管政策及内部管理制度要求,是否存在违规运用保险资金的情况(如违规投资、超范围投资等);资金运用决策机制是否健全,决策流程是否规范,是否严格执行授权审批制度;资金运用风险管控是否到位,是否对资金运用风险进行实时监测和管控;资金运用核算是否规范,是否准确核算资金运用收益和损失;是否按照监管要求披露资金运用信息。
(2)审计程序:查阅保险资金运用管理制度、决策会议纪要、授权审批文件、资金运用核算资料;核查资金运用明细,抽查部分投资项目,核实资金运用的合规性和安全性;访谈投资管理部门、风险管理部门,了解资金运用决策及风险管控情况;核查资金运用风险监测报告,评估风险管控效果;核查资金运用信息披露情况,确保符合监管要求。
4. 产品开发与管理内部控制审计
(1)审计内容:核查保险产品开发是否符合监管政策及公司发展战略,是否经过充分的风险评估和论证;产品条款是否规范、清晰,是否存在误导性条款;产品定价是否合理,是否经过科学测算,是否符合监管定价要求;产品备案、审批流程是否规范,是否及时向监管部门备案或审批;产品销售宣传是否规范,是否存在虚假宣传、误导销售等问题。
(2)审计程序:查阅产品开发管理制度、产品开发报告、风险评估报告、产品条款、备案/审批文件;抽查部分保险产品,核查产品开发、备案、定价、宣传等环节的合规性;访谈产品开发部门、业务部门,了解产品开发及管理情况;核查产品销售宣传资料,排查虚假宣传、误导销售等问题。
5. 客户信息管理内部控制审计
(1)审计内容:核查客户信息管理制度是否健全,客户信息的收集、存储、使用、传输、销毁等流程是否规范;是否严格保护客户隐私,是否存在客户信息泄露、滥用等情况;客户信息真实性、完整性是否得到保障,是否存在虚假客户信息;客户信息系统权限管理是否严格,是否存在越权访问客户信息的情况。
(2)审计程序:查阅客户信息管理制度、信息安全管理制度;核查客户信息系统权限设置、访问日志,抽查部分客户信息,核实信息真实性和完整性;访谈客户服务部门、信息技术部门,了解客户信息管理及信息安全管控情况;排查客户信息泄露、滥用等风险隐患。
6. 反洗钱内部控制审计
(1)审计内容:核查反洗钱管理制度是否健全,是否符合监管要求;客户身份识别、客户身份资料和交易记录保存、大额交易和可疑交易报告等流程是否规范;是否开展反洗钱培训和宣传,员工反洗钱意识是否到位;是否配合监管部门反洗钱检查,对发现的反洗钱问题是否及时整改。
(2)审计程序:查阅反洗钱管理制度、客户身份识别记录、交易记录、大额交易和可疑交易报告;抽查部分客户身份资料和交易记录,核查反洗钱流程执行情况;访谈合规部门、业务部门,了解反洗钱工作开展情况;核查反洗钱培训记录、整改记录,评估反洗钱内部控制有效性。
7. 内部交易内部控制审计
(1)审计内容:核查内部交易管理制度是否健全,是否明确内部交易的界定、审批流程、监测机制;内部交易是否规范,是否降低内部交易的复杂程度,是否存在利益输送、监管套利、风险传染等问题;是否对集团重大内部交易进行界定,建立健全内部分级审查程序,审议重大内部交易是否存在利益输送、侵害投资者或消费者合法权益、规避监管规定或风险传染等问题;是否建立健全相应的信息系统,对集团内部资金运用、资产转让、担保和服务收费等交易背景、定价基础、交易目的和交易路线进行识别判断,监测分析集团内部交易风险敞口;是否存在利用控制地位损害成员公司、成员公司的其他股东和客户的合法权益,虚构交易、转移收入等禁止性行为。
(2)审计程序:查阅内部交易管理制度、内部交易审批记录、监测报告;抽查部分内部交易业务资料,核查内部交易的合规性和规范性;访谈合规部门、风险管理部门,了解内部交易管控情况;核查内部交易信息系统运行情况,评估内部交易风险监测效果。
8. 信息技术内部控制审计
(1)审计内容:核查信息技术管理制度是否健全,信息系统建设、运维、安全管理等流程是否规范;信息系统是否能够支撑业务开展和内部控制执行,系统功能是否完善;数据治理是否到位,数据真实性、完整性、准确性是否得到保障;信息安全管控是否严格,是否存在系统漏洞、数据泄露等风险;系统权限管理是否规范,是否执行最小权限原则,是否定期开展权限复核,离职与岗位调整是否及时处理权限;系统变更是否实施严格的审批、测试、上线与回滚机制,留存变更痕迹;是否建立数据备份与灾难恢复机制,关键系统的可用性、应急演练、业务连续性计划是否落地。
(2)审计程序:查阅信息技术管理制度、系统建设文档、运维记录、安全审计报告、数据治理报告;核查信息系统权限设置、访问日志、变更记录;抽查系统数据,核实数据真实性和完整性;访谈信息技术部门、业务部门,了解信息系统运行及信息安全管控情况;开展系统安全测试,排查系统漏洞和安全风险;核查数据备份、灾难恢复及应急演练情况。
9. 财务内部控制审计
(1)审计内容:核查财务管理制度是否健全,财务核算流程是否规范,是否严格遵循会计准则及监管要求;资金管理是否规范,资金收付是否执行授权审批制度,是否存在资金挪用、截留等问题;费用控制是否严格,费用支出是否合理、合规,是否存在虚列费用、套取资金等情况;财务报表编制是否真实、准确、完整,是否及时披露财务信息;是否按照并表管理要求,对集团财务进行全面持续管控。
(2)审计程序:查阅财务管理制度、财务核算资料、资金收付凭证、费用报销资料、财务报表;抽查部分财务业务,核查财务核算、资金管理、费用控制等环节的执行情况;访谈财务部门、审计部门,了解财务内部控制执行情况;核查财务报表编制及披露情况,评估财务信息的真实性和合规性。
(四)信息与沟通审计
1. 审计内容
(1)信息收集与传递:核查被审计单位是否建立健全信息收集、传递机制,是否及时收集业务、财务、风控、监管等相关信息,信息传递是否顺畅、及时;是否在集团内建立清晰明确的报告机制,确保及时充分获取成员公司信息,实现对成员公司的有效管控;
(2)信息披露:核查被审计单位是否按照监管要求及内部制度,及时、准确、完整地披露相关信息(如财务信息、产品信息、风险信息等),信息披露是否规范,是否存在虚假披露、隐瞒披露等问题;
(3)内部沟通:核查被审计单位内部各部门、各层级之间的沟通机制是否健全,沟通是否顺畅,是否及时解决内部控制执行过程中出现的问题;
(4)外部沟通:核查被审计单位与监管部门、投保人、被保险人、中介机构等外部主体的沟通机制是否健全,是否及时响应外部反馈,是否妥善处理外部投诉和建议。
2. 审计程序
(1)查阅信息管理制度、信息传递记录、信息披露文件、沟通记录、投诉处理记录;
(2)访谈各部门负责人及相关员工,了解信息收集、传递、沟通及信息披露情况;
(3)抽查部分信息披露文件,核查信息披露的真实性、准确性、完整性和及时性;
(4)评估信息与沟通机制的合理性和有效性,识别信息传递不顺畅、信息披露不规范等问题。
(五)内部监督审计
1. 审计内容
(1)内部监督机制:核查被审计单位是否建立健全内部监督机制,内部审计部门是否独立履行监督职责,是否具备足够的独立性和专业性;是否至少每2年对并表管理的合规性、有效性进行一次内部审计,评估并表管理范围是否完整、成员公司对集团重大政策制度的执行情况等,并向董事会报告;
(2)监督执行:核查内部监督流程是否规范,是否定期开展内部控制监督检查,监督检查范围是否全面,是否及时识别内部控制缺陷;
(3)缺陷整改:核查内部监督发现的内部控制缺陷,是否及时制定整改措施,整改责任是否明确,整改措施是否有效执行,整改效果是否得到验证;是否建立缺陷整改闭环管理机制;
(4)外部监督配合:核查被审计单位是否配合外部审计、监管检查等外部监督工作,对外部监督发现的问题是否及时整改。
2. 审计程序
(1)查阅内部监督管理制度、内部审计报告、监督检查记录、缺陷整改记录;
(2)访谈内部审计部门、风险管理部门、合规部门,了解内部监督工作开展情况及缺陷整改情况;
(3)抽查部分内部监督检查记录及缺陷整改资料,核查内部监督执行情况及整改效果;
(4)核查外部审计报告、监管检查报告及整改记录,评估被审计单位对外部监督的配合及整改情况;
(5)评估内部监督机制的合理性和有效性,识别内部监督不到位、缺陷整改不彻底等问题。
五、保险行业内部控制专项审计问题与建议
(一)保险行业内部控制专项审计问题
通过本次专项审计,结合行业高频违规点,发现XX保险分公司内部控制设计及执行过程中存在四大类主要问题,均属于保险行业内控常见漏洞,且部分问题已违反监管要求,具体如下:
1. 销售管理环节内控失效,违规行为频发。一是存在销售误导行为,部分销售专员在推销保险产品时,未如实向投保人说明产品条款、保险责任、免责条款及缴费方式,夸大保险收益,误导投保人签订保险合同;部分业务存在未经投保人同意,代替投保人签订保险合同、协助投保人提供虚假证明材料,甚至用照片代替人脸识别的情况,涉及保单32笔,保费金额XX万元。二是代理人管理不规范,部分保险代理人未取得从业资格证书即开展销售业务,部分代理人离职后未及时办理注销手续,仍以公司名义开展业务;公司未建立完善的代理人培训、考核及监督机制,对代理人的违规行为未及时发现和处置,涉及违规代理人27名。三是存在承诺合同外利益的违规行为,部分销售专员及代理人为促成保单销售,向投保人提供现金返佣、购物卡、礼品等合同约定以外的利益,涉及保单45笔,违规金额合计XX万元,违反行业监管规定。
2. 理赔服务环节内控执行不到位,存在风险隐患。一是理赔审核流程松散,部分理赔案件未严格审核理赔材料的真实性、完整性,存在虚假理赔、违规赔付的情况,审计期间发现虚假理赔案件8起,涉及赔付金额XX万元,主要通过伪造医疗凭证、虚构出险事实等方式套取理赔资金。二是理赔流程不规范,部分理赔案件未按规定时限办理,存在拖延理赔、推诿扯皮的情况,涉及案件15起,最长拖延时间达3个月,损害投保人合法权益;部分理赔档案管理不规范,理赔材料缺失、归档不及时,难以追溯理赔过程。三是理赔人员专业能力不足,部分理赔人员未经过系统培训,对理赔标准、条款解读不精准,导致部分理赔案件审核出现偏差,存在违规赔付风险。
3. 资金管控环节存在漏洞,违规使用资金现象突出。一是存在虚列费用套取资金的问题,公司部分业务部门通过虚构会议费、培训费、差旅费等名义,虚列费用并套取资金,用于支付代理人佣金、客户返佣等违规支出,审计期间发现虚列费用凭证47张,涉及金额XX万元,属于行业常见的“五虚”问题之一。二是资金支付流程不规范,部分资金支付未按规定履行审批程序,存在越权审批、无审批支付的情况;部分资金支付与业务实际不符,资金流向不明,存在资金挪用风险。三是财务数据不真实,部分财务报表存在虚假编制情况,未如实反映公司资金收支、费用支出等实际情况,违反《保险公司监管评级办法》中关于数据真实性的要求。
4. 中介业务合作环节内控缺失,风险防控不足。一是中介合作方资质审核不严,公司与部分未取得保险中介资质的机构开展合作,签订中介合作协议,委托其从事保险销售活动,涉及中介机构7家,相关保费收入320万元。二是虚构中介业务套取费用,部分中介机构与公司内部人员勾结,虚构中介业务,套取中介手续费,涉及金额XX万元;公司未建立完善的中介业务核查机制,对中介业务的真实性、合规性未进行有效监督。三是中介手续费支付不规范,部分中介手续费支付未按合作协议约定执行,存在超标准支付、无依据支付的情况,且部分手续费支付凭证不完整,难以核实支付的合理性。
(二)保险行业内部控制专项审计建议
本次保险行业内部控制专项审计案例,结合当前保险行业严监管态势和高频违规问题,为保险机构完善内部控制、防范经营风险、规范合规经营提供了重要启示,也契合行业高质量发展的要求:
1. 保险机构需强化合规意识,坚守监管底线。当前金融监管部门对保险行业违规行为的惩戒力度持续加大,“五虚”问题、销售误导、中介违规等仍是监管重点,保险机构应提高思想认识,将合规经营贯穿于业务全流程,严格遵守《保险公司监管评级办法》等监管规定,摒弃“重业绩、轻合规”“重发展、轻内控”的理念,强化全员合规意识,从根源上杜绝违规行为的发生,切实保护投保人合法权益。
2. 完善内控体系,实现内控与业务深度融合。保险机构应结合自身业务特点和行业监管要求,全面梳理内部控制制度,修订完善销售、理赔、资金、中介等核心环节的内控流程,确保内控制度具有可操作性、针对性,避免内控与业务脱节;同时,加强内控流程的执行力度,明确各环节责任,建立健全岗位制衡机制,确保内控流程落地执行,充分发挥内部控制防范风险、规范管理的作用。
3. 强化重点领域管控,防范高频违规风险。针对保险行业销售误导、虚假理赔、虚列费用、中介违规等高频内控漏洞,保险机构应重点强化对这些领域的管控,建立专项监督机制,定期开展专项检查,及时发现和整改问题;加强对代理人、理赔人员、财务人员等关键岗位人员的管理和培训,提升其专业能力和合规意识,规范岗位操作,防范岗位风险。
4. 健全监督考核机制,强化责任追究。保险机构应建立健全内部控制监督机制,将日常监督与专项审计相结合,定期开展内部控制有效性评价,及时发现内控体系中的薄弱环节,持续优化内控体系;同时,完善考核评价体系,将内控执行情况、合规经营情况纳入部门及个人考核,与绩效挂钩,强化责任追究,对违规操作、内控执行不到位的部门和个人,严肃追究责任,形成“不敢违规、不能违规、不想违规”的良好氛围。
5. 加强科技赋能,提升内控管理效率。当前保险行业数字化转型加速,保险机构应充分利用大数据、人工智能等技术,完善业务系统、财务系统、代理人管理系统,实现数据互通共享,提升数据核查效率,及时发现数据异常和违规行为;利用数字化工具优化内控流程,实现内控流程的自动化、智能化监管,降低人工操作风险,提升内控管理的精细化、高效化水平,契合行业内控管理精细化的发展诉求。
