保险行业全面风险管理专项审计管理案例分析
北京中天恒会计师事务所(特殊普通合伙)
严宏 于芳华
一、案例背景
XX保险公司经营范围涵盖企业财产保险、机动车辆保险、货物运输保险、责任保险等各类财产保险业务,在全国设有12家省级分公司、86家地市级分支机构,员工总数约3200人。近年来,随着保险行业竞争加剧及监管政策收紧(尤其是偿二代二期全面实施、反洗钱监管趋严),公司业务规模快速扩张,但风险管理体系建设未能同步跟进,先后出现2起大额虚假理赔案件、1起销售误导投诉集中事件,被监管部门约谈2次,存在明显的风险管理薄弱环节。
二、保险行业全面风险管理专项审计项目介绍
(一)保险行业全面风险管理专项审计的现状
为落实国家金融监督管理总局关于保险行业全面风险管理的相关要求,防范化解重大金融风险,审计组依据《保险行业全面风险管理专项审计工作方案》,于XXXX年X月至X月,对甲公司近两个会计年度(2024年、2025年)的全面风险管理工作开展专项审计,重点覆盖治理架构、风险控制、监测报告、内部监督等核心环节,聚焦承保、理赔、投资等高风险领域,推动甲公司完善风险管理体系,提升风险管控能力。
(二)保险行业全面风险管理专项审计案例介绍
1、保险行业全面风险管理专项审计核心依据
(1)、法律法规:《中华人民共和国审计法》《中华人民共和国审计法实施条例》《中华人民共和国保险法》《中华人民共和国公司法》《个人信息保护法》等;
(2)、监管政策:国家金融监督管理总局《保险集团并表监督管理办法》《保险公司偿付能力监管规则(Ⅱ)》(偿二代二期)、《保险公司内部审计指引(试行)》、2026年保险监管十大趋势相关要求、央行2026年3号公告(反洗钱)等;
(3)、行业规范:中国保险行业协会相关自律准则、保险机构内部风险管理规章制度、内部控制手册、风险偏好声明书等;
(4)、审计标准:《中华人民共和国国家审计准则》、内部审计准则、保险行业审计规范等。
2、保险行业全面风险管理专项审计的目标
立足审计监督职责,紧扣国家金融监管导向和保险行业发展新形势,以《中华人民共和国审计法》《中华人民共和国保险法》《保险集团并表监督管理办法》《保险公司内部审计指引(试行)》等法律法规及监管要求为依据,全面核查被审计保险机构(含保险集团公司、保险公司、保险中介机构)全面风险管理体系的健全性、合理性和有效性。重点识别保险机构在风险战略、治理架构、风险识别与计量、控制活动、信息沟通、内部监督等环节存在的薄弱环节和突出问题,揭示风险隐患,评估风险管理成效,提出针对性审计建议,推动被审计机构完善风险管理体系、压实风险管理责任、防范化解重大金融风险,助力保险行业高质量发展,发挥审计保障国家经济和社会健康运行的“免疫系统”功能。
3、保险行业全面风险管理专项审计范围
(1)、机构范围:被审计保险机构总部及所属分支机构、控股子公司、关联机构(含保险中介、资产管理机构等),重点覆盖风险管理职能部门、业务部门、审计部门及关键岗位;
(2)、时间范围:本次专项审计覆盖近两个会计年度及审计期间内的全面风险管理相关活动,重大事项可追溯至以前年度,重点关注2025年偿二代二期过渡期结束后、2026年全面严格执行新规以来的风险管理情况;
(3)内容范围:全面风险管理体系建设、风险识别与评估、风险控制与应对、风险监测与报告、内部监督与整改、风险管理资源保障等全流程,重点聚焦保险业务核心风险(承保、理赔、投资、操作、合规、声誉等)。
4、保险行业全面风险管理专项审计方法与技巧
结合保险行业全面风险管理的特点和审计重点,综合运用多种审计方法,注重审计技巧的运用,提升审计效率和审计质量,确保审计发现问题精准、全面。
(1)常规审计方法
1)、查阅资料法:全面查阅被审计机构的董事会会议纪要、管理层会议纪要、风险管理规章制度、风险评估报告、审计报告、业务档案、财务资料、系统记录、监管上报材料等,重点核查偿二代二期实施相关资料、并表管理资料、反洗钱工作记录等,梳理风险管理各环节存在的问题,收集审计证据。
2)、访谈法:采取一对一访谈、座谈会等形式,访谈被审计机构董事会成员、监事会成员、管理层、风险管理部门、业务部门、审计部门、合规部门及关键岗位人员,了解全面风险管理工作的开展情况、存在的困难和问题,核实相关信息的真实性和准确性;必要时访谈外部合作机构(如保险中介、投资机构)和客户,获取相关审计证据。
3)、抽样审计法:根据风险评估结果,对高风险领域、关键业务环节和重点岗位,采取统计抽样、判断抽样等方式,抽取一定数量的业务样本、数据样本和资料样本,进行详细核查,以点带面,全面反映被审计机构的风险管理情况;抽样比例结合被审计机构规模、风险等级合理确定,重点业务抽样比例不低于30%。
4)、实地核查法:深入被审计机构总部及分支机构,实地查看业务操作流程、岗位设置、信息系统运行等情况,核实风险管理措施的实际执行情况,排查现场操作中的风险隐患;重点核查理赔查勘、承保审核等现场环节的合规性。
(2)专项审计方法
1)、风险矩阵分析法:结合被审计机构的风险识别和评估结果,构建风险矩阵,对各类风险的发生概率和影响程度进行量化分析,确定高风险领域和重点审计对象,合理配置审计资源;重点结合偿二代二期风险因子,优化风险量化分析模型。
2)、数据分析方法:利用审计信息化工具,对被审计机构的业务数据、财务数据、风险监测数据等进行集中采集、清洗、分析,排查异常数据和违规线索;重点分析保费收入、理赔支出、资金运用、偿付能力等核心数据,对比行业平均水平和监管标准,识别数据异常背后的风险管理问题;针对偿二代二期要求的资本计量数据,进行专项分析核查。
3)、穿行测试法:选取典型业务流程(如承保、理赔、投资),从业务发起、审核、执行到归档的全流程进行穿行测试,核实业务流程的规范性、内部控制的有效性,排查流程漏洞和风险隐患;重点测试反洗钱流程、资产穿透核查流程等监管重点环节。
4)、函证法:对被审计机构的重要合作单位(如银行、投资机构、保险中介)、大额投保人、被保险人等,发出函证,核实相关业务的真实性、准确性和合规性,获取外部审计证据;重点函证大额投资标的、非标资产合作方等。
5)、比较分析法:将被审计机构的风险管理指标、业务数据、整改情况等,与行业平均水平、监管标准、自身历史数据进行对比分析,识别存在的差距和问题;重点对比偿二代二期偿付能力充足率、风险因子执行情况等核心指标。
(3)审计技巧
1)、聚焦重点,突出靶向:围绕当前监管重点(如偿二代二期落地、销售误导治理、反洗钱、资产穿透监管)和保险行业高风险领域,精准定位审计重点,避免盲目审计,提升审计针对性;对中小机构重点关注偿付能力压力下的风险管理漏洞。
2)、注重细节,深挖根源:在审计过程中,注重细节核查,对看似正常的业务流程、数据和资料,深入分析背后可能存在的风险隐患和违规问题;不仅要发现表面问题,还要深挖问题产生的根源(如制度缺陷、管理漏洞、人员能力不足等)。
3)、多方印证,确保证据充分:对审计发现的问题,通过查阅资料、访谈、实地核查、数据分析、函证等多种方式获取证据,确保审计证据的真实性、准确性、完整性和关联性,形成证据链,避免单一证据导致的审计风险。
4)、灵活运用信息化工具:充分利用审计信息化系统、数据分析工具,提高审计效率,实现对海量数据的快速分析和异常线索的精准识别;针对保险行业数据量大、业务复杂的特点,优化数据分析模型,提升数据挖掘能力。
5)、加强沟通,争取配合:审计过程中,加强与被审计机构的沟通协调,及时反馈审计进展,争取被审计机构的理解和配合;对审计发现的疑问,及时与相关部门和人员沟通核实,确保审计结论客观公正;针对敏感问题,采取灵活沟通方式,避免产生抵触情绪。
三、保险行业全面风险管理专项审计难点
结合公司实际情况及审计工作推进情况,本次专项审计面临以下4个主要难点,均按照原工作方案的审计方法与技巧予以突破:
(一)风险识别难度大,隐蔽性强
公司部分分支机构存在“拆分理赔、虚假承保”等违规行为,通过伪造理赔资料、虚增承保标的等方式规避监管,相关违规线索隐蔽性强;同时,甲公司未建立完善的风险识别清单,对新型风险(如数据安全风险、线上销售风险)识别不全面,审计组需结合行业特点及监管要求,通过数据分析、实地核查等方式,深挖隐蔽性风险线索,增加了审计工作量及难度。
(二)数据整合难度高,准确性难以核实
公司业务系统、财务系统、风险管理系统未实现有效对接,数据分散在不同部门,存在数据口径不一致、数据缺失、数据造假等问题;尤其是偿二代二期实施后,甲公司资本计量数据未按新规要求完善,部分数据准确性难以核实,审计组需投入大量时间进行数据清洗、比对,确保审计数据的真实性、准确性。
(三)内部配合度不足,审计阻力较大
公司部分业务部门担心审计发现问题影响部门业绩,存在隐瞒相关资料、不配合访谈、虚假陈述等情况,尤其是投资部门、理赔部门,对审计组核查的大额投资业务、可疑理赔案件,未及时提供完整资料,增加了审计工作的推进阻力,审计组通过加强沟通协调、明确配合责任、出具资料调取通知书等方式,逐步化解阻力。
(四)政策落地核查难度大
偿二代二期、反洗钱新规等监管政策实施时间不长,甲公司对相关政策的理解和执行存在偏差,部分规章制度未及时修订完善,审计组需结合政策要求,逐一核查政策落地情况,区分“故意违规”与“政策理解偏差”,准确界定问题性质,增加了审计判断的难度。
四、保险行业全面风险管理专项审计内容及审计程序
围绕保险行业全面风险管理全流程,结合当前监管重点,聚焦“治理架构、风险识别、控制执行、监测报告、监督整改”五大核心环节,明确审计内容和具体审计程序,确保审计工作层层深入、重点突出。
(一)全面风险管理治理架构审计
1. 审计内容
(1)、风险管理战略与目标:是否结合行业发展趋势、监管要求和自身经营特点,制定明确的全面风险管理战略和目标;战略目标是否符合偿二代二期、并表监管等最新政策要求,是否分解落实到各部门、各分支机构,是否定期评估和调整。
(2)、治理架构设置:是否建立“董事会—审计委员会—首席审计官—内部审计部门”的四级治理架构,是否明确董事会、监事会、管理层、风险管理部门、业务部门、审计部门的风险管理职责,职责分工是否清晰、无交叉、无遗漏;保险集团公司是否对整个集团实施并表管理,是否明确并表管理范围,是否至少每2年对并表管理的合规性、有效性进行一次内部审计。
(3)、风险管理部门建设:是否设立独立的风险管理部门,是否配备足够数量的专业风险管理人员,人员资质是否符合要求;风险管理部门是否具备独立开展风险管理工作的权限,是否能够有效统筹、协调各部门的风险管理活动。
(4)、制度体系建设:是否建立健全全面风险管理相关规章制度,包括风险识别、评估、控制、监测、报告、整改等各环节的制度;制度是否符合最新监管政策要求,是否及时修订完善,是否得到有效执行;是否制定集团风险偏好,确定各类风险的风险容忍度和风险限额,是否严格执行超限额处置机制。
2. 审计程序
(1)、查阅被审计机构的董事会会议纪要、监事会报告、管理层会议纪要,核实风险管理战略、目标的制定、审批和调整情况;
(2)、查阅治理架构文件、部门职责说明书,访谈董事会成员、监事会成员、管理层及各部门负责人,核实职责分工情况,评估治理架构的合理性和有效性;
(3)、查阅风险管理部门的机构设置文件、人员名册、资质证明,核实部门建设和人员配备情况;
查阅全面风险管理相关规章制度、风险偏好声明书、并表管理审计报告等,核实制度的完整性、合规性和更新情况;抽样检查制度执行记录,评估制度执行效果;
(4)、梳理治理架构存在的薄弱环节,形成审计工作底稿。
(二)风险识别与评估审计
1. 审计内容
(1)、风险识别的全面性:是否全面识别保险行业各类风险,包括承保风险(如逆选择、道德风险、费率不合理)、理赔风险(如虚假理赔、理赔拖沓、理赔欺诈)、投资风险(如市场风险、信用风险、流动性风险、非标资产风险)、操作风险(如流程漏洞、人员失误、系统故障)、合规风险(如违反监管政策、销售误导、反洗钱违规)、声誉风险(如负面舆情、客户投诉)、数据安全风险等;是否关注集团内部因各类业务往来、交易结构安排和股权变更所形成的风险隐匿和监管套利。
(2)、风险评估的科学性:是否建立科学的风险评估方法和模型,是否定期开展全面风险评估和专项风险评估;风险评估是否结合偿二代二期风险因子要求,充分考虑内外部环境变化(如经济形势、监管政策调整、市场竞争),评估结果是否准确反映风险实际情况;是否对高风险领域进行重点评估,评估过程是否规范、可追溯。
(3)、风险分级分类管理:是否根据风险评估结果,对各类风险进行分级分类管理,明确不同等级风险的管控优先级;是否针对高风险业务、高风险机构、高风险岗位制定专项管控措施,是否符合偿二代二期资本约束要求。
2. 审计程序
(1)、查阅被审计机构的风险识别清单、风险评估报告、专项风险分析报告等资料,核实风险识别的全面性和风险评估的科学性;
(2)、访谈风险管理部门、业务部门负责人及相关岗位人员,了解风险识别和评估的流程、方法,核实评估结果的准确性;
(3)、抽查部分风险评估工作记录,评估评估过程的规范性和可追溯性,重点核查偿二代二期要求的风险计量准确性;
(4)、查阅风险分级分类管理文件、专项管控措施方案,核实分级分类管理的合理性和管控措施的针对性;
(5)、识别风险识别与评估环节存在的问题,如识别不全面、评估方法不科学、分级分类不合理等,形成审计工作底稿。
(三)风险控制与应对审计
1. 审计内容
(1)、承保风险控制:承保流程是否规范,是否对投保人、被保险人的资质进行严格审核,是否存在承保不合规、费率违规浮动、“报行合一”执行不到位等问题;是否建立承保风险预警机制,对高风险承保业务进行有效管控;人身险是否存在销售误导、返佣、夸大收益等问题,是否落实产品分级、客户分类、风险匹配要求。
(2)、理赔风险控制:理赔流程是否规范,是否建立理赔审核机制,是否严格核查理赔资料的真实性、完整性,是否存在虚假理赔、理赔欺诈、拖赔、惜赔、无理拒赔等问题;理赔人员资质是否符合要求,理赔权限是否明确,是否存在越权理赔情况;大额理赔(≥5万元)是否落实全面身份核验要求,法人/信托/涉政理赔是否经过高管专项审批。
(3)、投资风险控制:保险资金运用是否符合监管政策要求,是否严格遵循“安全性、流动性、收益性”原则;资金运用范围、比例是否合规,是否存在违规投资、资金挪用、利益输送、违规通道业务等问题;是否建立投资风险控制机制,对投资标的进行严格审核,对投资过程进行实时监控;是否强化资产负债匹配管理,防范久期错配风险,是否严格执行偿二代二期资产穿透计量要求;投资决策与风控责任是否落实终身追责。
(4)、操作风险控制:业务流程是否健全,是否存在流程漏洞;是否建立岗位制衡机制,关键岗位是否实现不相容职务分离;是否加强人员培训和管理,防范人员失误和道德风险;信息系统是否安全稳定,是否建立系统安全管理制度,防范系统故障、数据泄露等风险;是否落实个人信息保护要求,严查客户信息泄露、滥用。
(5)、合规风险控制:是否建立合规管理制度,配备合规管理人员;是否定期开展合规培训和合规检查,及时发现和纠正合规风险隐患;是否严格落实反洗钱相关要求,退保、保单贷款资金是否原路返回投保人账户,是否全面嵌入KYC要求;是否及时响应监管政策调整,确保各项业务活动符合监管要求,是否存在违反监管规定被处罚的情况。
(6)、风险应对措施:针对识别和评估出的风险,是否制定明确的风险应对措施,措施是否具有针对性和可操作性;风险应对措施是否得到有效执行,执行效果是否达到预期;对于重大风险事件,是否建立应急处置机制,能够及时有效处置,降低风险损失。
2. 审计程序
(1)、查阅承保合同、承保审核记录、费率备案文件等,抽样检查承保业务,核实承保风险控制的有效性;
(2)、查阅理赔案件档案、理赔审核记录、理赔投诉记录等,抽样检查理赔业务,访谈理赔人员和客户,核实理赔风险控制的有效性;
(3)、查阅资金运用相关文件、投资决策记录、投资标的审核资料、资产穿透计量记录等,核实资金运用的合规性和风险控制的有效性;
(4)、查阅业务流程文件、岗位制衡制度、人员培训记录、信息系统安全管理制度、个人信息保护相关记录等,核实操作风险控制的有效性;
(5)、查阅合规管理制度、合规检查报告、反洗钱工作记录、监管处罚文件等,核实合规风险控制的有效性;
(6)、查阅风险应对措施方案、应急处置预案、风险处置记录等,核实风险应对措施的执行情况和效果;
(7)、梳理风险控制与应对环节存在的问题,形成审计工作底稿。
(四)风险监测与报告审计
1. 审计内容
(1)、风险监测体系建设:是否建立健全全面风险监测体系,是否明确监测指标、监测频率、监测流程;监测指标是否科学合理,是否覆盖各类风险,是否符合偿二代二期偿付能力监测要求;是否利用信息技术手段,实现风险监测的自动化、实时化。
(2)、风险监测执行情况:是否按照监测要求,定期开展风险监测工作,及时收集、整理、分析风险监测数据;是否对监测中发现的异常情况及时预警、核实和处理;是否建立风险监测台账,记录监测情况和处理结果,实现可追溯。
(3)、风险报告机制:是否建立健全风险报告制度,明确报告主体、报告对象、报告内容、报告频率和报告流程;风险报告是否真实、准确、完整、及时,是否能够全面反映各类风险的实际情况;重大风险事件是否及时上报董事会、管理层及监管部门,是否存在瞒报、漏报、迟报情况;是否按要求披露偿付能力相关信息,2026年3月31日一季度偿付能力报告是否按规定披露。
2. 审计程序
(1)、查阅风险监测体系建设文件、监测指标体系、信息系统建设资料等,核实监测体系的健全性和科学性;
(2)、查阅风险监测记录、监测台账、异常情况处理记录等,抽样检查监测工作的执行情况,核实监测的有效性;
(3)、查阅风险报告、董事会和管理层会议纪要、监管上报材料等,核实风险报告的真实性、准确性、完整性和及时性;
(4)、访谈风险管理部门、业务部门及相关岗位人员,了解风险监测和报告的流程,核实存在的问题;
(5)、梳理风险监测与报告环节存在的问题,形成审计工作底稿。
(五)内部监督与整改审计
1. 审计内容
(1)、内部审计监督:内部审计部门是否独立开展全面风险管理审计工作,审计计划是否涵盖风险管理各环节;审计频率是否符合要求,是否至少每2年对并表管理、全面风险管理进行一次内部审计;审计结果是否及时向董事会、审计委员会报告,是否得到有效运用;是否协调内部审计与外部审计的沟通,确保审计标准一致、内容可比。
(2)、合规监督:合规部门是否定期开展全面风险管理合规检查,及时发现和纠正风险管理中的合规问题;检查结果是否及时反馈,是否跟踪整改落实情况。
(3)、整改机制建设:是否建立健全审计发现问题、风险隐患的整改机制,明确整改责任主体、整改期限、整改要求;是否建立整改跟踪、复核、验收机制,确保整改工作落到实处。
(4)、整改落实情况:以往审计、监管检查发现的风险管理相关问题,是否全部整改到位;整改措施是否具有针对性和长效性,是否存在整改不到位、虚假整改、反弹回潮等情况;整改结果是否及时向审计部门、监管部门反馈。
2. 审计程序
(1)、查阅内部审计报告、审计计划、审计工作底稿等,核实内部审计监督的有效性;
(2)、查阅合规检查报告、检查记录等,核实合规监督的有效性;
(3)、查阅整改机制文件、整改方案、整改跟踪记录、整改验收报告等,核实整改机制的健全性和整改落实情况;
(4)、抽样检查以往审计、监管检查发现问题的整改情况,核实整改效果;
(5)、访谈内部审计部门、合规部门及相关整改责任部门,了解整改工作开展情况;
(6)、梳理内部监督与整改环节存在的问题,形成审计工作底稿。
(六)风险管理资源保障审计
1. 审计内容
(1)、人力保障:是否配备足够数量、具备相应专业资质的风险管理和审计人员;是否建立人员培训机制,定期开展风险管理、审计、监管政策等相关培训,提升人员专业能力;内部审计人员数量是否不低于公司员工总数的1%,且至少配备3名专职人员。
(2)、财力保障:是否为全面风险管理工作提供充足的资金支持,包括风险管理部门经费、审计经费、系统建设经费等;经费是否纳入年度预算,独立核算,是否与被审计对象业绩挂钩。
(3)、技术保障:是否投入足够的资源建设风险管理信息系统,实现风险数据的集中管理、实时监测和分析;信息系统是否与业务系统、财务系统有效对接,是否能够满足风险管理和审计工作的需求;是否配置专用审计软件,建立审计数据库。
2. 审计程序
(1)、查阅人员名册、资质证明、培训记录等,核实人力保障情况;
(2)、查阅年度预算、经费使用记录等,核实财力保障情况;
(3)、查阅信息系统建设资料、系统功能说明、系统运行记录等,核实技术保障情况;
(4)、访谈相关部门负责人和工作人员,了解资源保障存在的问题;
(5)、梳理资源保障环节存在的薄弱环节,形成审计工作底稿。
五、保险行业全面风险管理专项审计问题与建议
(一)保险行业全面风险管理专项审计问题
结合原工作方案的核心审计内容,本次审计共发现公司全面风险管理各环节存在18项问题,其中重大问题5项,主要集中在以下6个方面:
1、全面风险管理治理架构不完善
(1)、未建立完整的“董事会—审计委员会—首席审计官—内部审计部门”四级治理架构,审计委员会未定期召开全面风险管理审计会议,每年仅召开1次会议,未履行对风险管理的监督职责;
(2)、风险管理部门未独立设置,挂靠在合规部门下,缺乏独立开展风险管理工作的权限,无法有效统筹各部门的风险管理活动;
(3)、未制定明确的集团风险偏好,未确定各类风险的风险容忍度和风险限额,超限额处置机制不健全,2025年有3笔投资业务超限额审批,未按规定及时处置。
2、风险识别与评估不规范
(1)、风险识别不全面,未将数据安全风险、线上销售误导风险纳入风险识别清单,对集团内部关联交易形成的风险隐匿和监管套利关注不足;
(2)、风险评估方法不科学,未结合偿二代二期风险因子要求建立量化评估模型,仅采用定性评估方式,评估结果不准确,无法真实反映风险实际情况;
(3)、未对高风险领域(如大额理赔、非标资产投资)开展专项风险评估,风险分级分类管理不合理,未针对高风险岗位制定专项管控措施。
3、风险控制与应对存在重大漏洞
(1)、承保风险控制薄弱:机动车辆保险承保流程不规范,部分分支机构未对投保人资质进行严格审核,存在“零首付承保”“虚增保额”等违规行为,抽样的120笔承保业务中,有18笔存在违规问题;人身险销售过程中,存在夸大保险收益、隐瞒保险责任等销售误导行为,2025年相关投诉达32起。
(3)、理赔风险控制缺失:存在大额虚假理赔案件,2024年至2025年,公司共发生2起大额虚假理赔案件,涉及金额共计XXX万元,理赔审核机制不健全,未对理赔资料的真实性、完整性进行严格核查,大额理赔(≥5万元)未落实全面身份核验要求;
(4)、投资风险控制违规:保险资金运用不符合监管要求,存在违规投资非标资产行为,涉及金额XX亿元,未严格执行偿二代二期资产穿透计量要求,投资决策与风控责任未落实终身追责;
(5)、合规风险控制不到位:未严格落实反洗钱相关要求,部分退保、保单贷款资金未原路返回投保人账户,未全面嵌入KYC要求;2025年因违规销售被监管部门处罚1次,罚款XX万元。
4、风险监测与报告机制不健全
(1)、未建立健全全面风险监测体系,监测指标不全面,未覆盖偿二代二期偿付能力监测要求,未利用信息技术手段实现风险监测的自动化、实时化;
(2)、风险监测执行不到位,未定期开展风险监测工作,风险监测台账不完整,对监测中发现的异常情况未及时预警、核实和处理;
(3)、风险报告不及时、不完整,重大风险事件存在迟报情况,2025年发生的虚假理赔案件,未及时上报董事会及监管部门,拖延上报时间达15天;2026年一季度偿付能力报告未按规定及时披露。
5、内部监督与整改不到位
(1)、内部审计监督失效,内部审计部门未独立开展全面风险管理审计工作,审计计划未涵盖风险管理各环节,近两年未对全面风险管理开展专项审计,未协调内部审计与外部审计的沟通;
(2)、整改机制不健全,以往监管检查发现的3项风险管理相关问题,未全部整改到位,存在整改反弹情况;整改跟踪、复核、验收机制缺失,未对整改效果进行有效评估;
(3)、合规部门未定期开展全面风险管理合规检查,检查结果未及时反馈,未跟踪整改落实情况。
6、风险管理资源保障不足
(1)、人力保障不足,风险管理和审计人员配备不足,内部审计人员数量仅为公司员工总数的0.6%,未达到不低于1%且至少3名专职人员的要求,部分风险管理人员无相关专业资质;
(2)、技术保障薄弱,未建设完善的风险管理信息系统,无法实现风险数据的集中管理、实时监测和分析,未配置专用审计软件,审计效率低下;
(3)、财力保障不足,风险管理部门经费、审计经费未纳入年度独立预算,经费使用受业务部门制约,无法满足全面风险管理工作需求。
(二)保险行业全面风险管理专项审计建议
本次公司全面风险管理专项审计,严格遵循原工作方案要求,聚焦保险行业高风险领域和监管重点,揭示了中型保险公司在快速发展过程中面临的风险管理短板,为保险行业全面风险管理专项审计工作及机构自身风险管理建设提出以下审计建议:
1、坚持风险导向,聚焦审计重点
保险行业全面风险管理专项审计需紧扣监管政策要求,以风险为核心,聚焦承保、理赔、投资等高风险领域和治理架构、风险控制等关键环节,合理配置审计资源,提升审计针对性和效率。尤其是偿二代二期实施后,需重点关注资本计量、资产穿透、偿付能力管理等核心内容,及时识别重大风险隐患,避免盲目审计。
2、完善审计方法,突破审计难点
针对保险行业风险隐蔽性强、数据分散、内部配合度不足等审计难点,需综合运用查阅资料、访谈、抽样审计、数据分析、穿行测试等多种审计方法,充分利用审计信息化工具,加强数据整合和分析,深挖隐蔽性违规线索;同时,加强与被审计机构的沟通协调,明确配合责任,化解审计阻力,确保审计工作顺利推进。
3、强化政策落地,规范风险管理
保险机构需严格落实偿二代二期、反洗钱新规等监管政策,结合自身经营特点,完善全面风险管理体系,健全治理架构、风险识别与评估、风险控制等各项机制,确保政策落地见效。审计过程中,需准确区分“故意违规”与“政策理解偏差”,既要严肃查处违规行为,也要指导被审计机构正确理解和执行政策,推动机构规范风险管理。
4、健全整改机制,形成闭环管理
审计整改是确保审计成效的关键,保险机构需建立健全整改机制,明确整改责任、期限和要求,加强整改跟踪、复核和验收,确保问题整改到位;同时,举一反三,完善长效机制,防止问题反弹。审计组需强化整改跟踪,建立整改台账,开展整改回头看,推动形成“审计—发现—整改—提升”的闭环管理,切实发挥审计增值作用。
5、加强资源保障,提升管控能力
保险机构需重视风险管理资源保障,合理配备专业的风险管理和审计人员,加强人员培训,提升专业能力;加大技术和资金投入,建设完善的风险管理信息系统,实现风险数据集中管理、实时监测,提升风险管理的信息化水平;确保风险管理经费充足,为全面风险管理工作提供有力支撑。
6、强化审计监督,防范金融风险
内部审计部门需发挥独立监督作用,将全面风险管理审计纳入常态化审计范围,定期开展专项审计,及时发现和纠正风险管理中的问题;同时,加强与外部审计、监管部门的沟通协作,形成监督合力,推动保险机构压实风险管理责任,防范化解重大金融风险,助力保险行业高质量发展,发挥审计保障国家经济和社会健康运行的“免疫系统”功能。
