保险机构经营的保险业务种类繁杂,业务量较大,实施全面审计不仅不经济,而且也不现实。因此,在开展实质性审计之前对其内部控制情况进行测评,在内部控制测评的基础上确定实质性审计的重点和途径,既能提高审计效率,又能保证审计质量,也是现代审计的一个重要标志。一般来说,内部控制测评包括三个环节:内部控制调查、符合性测试和内部控制评价。
一、内部控制调查
内部控制调查的方法有阅读保险机构有关内部控制文件、现场询问、观察保险机构业务活动和经营情况;描述记录的方法有文字说明法、调查表法和流程图法。阅读了解和描述记录法均属实地评审方法,即审计人员通过听取自查汇报,下发调查问卷,询问质疑,查阅文件、档案、资料,审核会计记录,现场测试核实、盘点实物,测算数据等方式对被审计单位进行内控评审。以上介绍的方法可选取其中一种,也可以几种方法结合进行。一般说来,保险机构内部控制调查的内容可侧重如下设计:
(一)业务管理内部控制方面
1.承保业务
(1)是否根据保险市场情况,制定展业计划及管理规章制度;
(2)是否制定承保业务工作规程;
(3)是否制定柜台承保制度;
(4)是否按规定坚持核保制度;
(5)是否按规定办理和坚持分保制度;
(6)是否建立保费交接核对制度;
(7)是否建立承保业务内、外勤工作管理制度。
2.理赔业务
(1)是否制定理赔(给付)工作规程;
(2)是否建立报案登记制度;
(3)是否建立和坚持现场查勘定损制度;
(4)是否建立赔案审批制度;
(5)是否建立赔款支付制度。
3.再保险业务
(1)是否制定再保险业务实施管理规程;
(2)是否制定高风险、高保额分保管理制度。
4.重要空白单证管理情况
(1)是否制定严格的保险重要空白单证管理制度;
(2)是否制定保险单证的填制与传递流程制度;
(3)是否建立单证印制报批制度;
(4)是否建立单证收发登记制度;
(5)是否建立单证核销制度;
(6)是否建立单证保管制度。
5.保险档案管理情况
(1)是否制定严格、规范的保险档案管理制度;
(2)是否设定专人保管保险档案工作。
(二)财务核算内部控制方面
(1)是否制定严格、规范的财务管理、会计核算、资金管理制度;
(2)是否建立岗位责任、现金管理、银行存款管理、印鉴支票管理、有价证券管理、费用管理、财务与业务保费核对、资产质量评估监测、会计核算、资金调拨和资金上缴等制度;
(3)是否建立保险损余物资管理核算制度;
(4)是否建立保险总准备金、保险保障基金、保险准备金等提取与使用制度;
(5)是否制定保险资金运用计划、授权、分析论证、审批、信用追踪、资金催收核销、责任追究、关联企业管理、统计等与业务政策、规章和操作相关的内控制度。
二、内部控制遵行性测试
在对保险业务内部控制制度调查完成之后,便转入对保险业务内部控制的遵行性测试。遵行性测试是为了确定内部控制制度的设计和执行是否有效而实施的审计程序。为验证内部控制制度是否认真执行和有效,需对已发生的全部或部分业务活动有选择地进行遵行性测试检查,进而对保险公司的内部管理控制情况作出评价。具体方法有:检查证据法、重复试验法、实地观察法。检查证据法,即审查有关的凭证、账簿、报表、档案、合同等是否按制度执行,如是否经过复核、审批等。重复试验法,也叫遵循评审法,就是将经济业务全部或局部的处理过程重复执行一遍,检查执行情况是否与制度规定一样。实地观察法,也叫目测评审法,这种方法事先不打招呼,审计人员以顾客身份对被审计单位的业务处理流程、业务处理手续等具体执行情况进行观察、了解,在此基础上进行评审,如观察出纳人员支付现金时,是否有会计主管审核签字,是否及时登入现金日记账。现编制如下保险业务内部控制遵行性测试程序表:
(一)承保业务主要内控制度遵行性测试
1.柜台承保流程测试内容
(1)签单人与收款人是否分开,是否一人包办;
(2)单证要素填写是否齐全准确,费率使用是否正确,有无复核,是否登记承保台账;
(3)是否按规定程序进行电脑出单;电脑程序本身是否符合相互制约、监督的要求。
2.核保测试内容
(1)承保标的是否符合条件,是否坚持验标承保;
(2)是否按规定权限进行承保;超承保权限是否及时报批;
(3)有无专人核保。
3.分保测试内容
(1)是否按规定比例向上级公司足额办理法定分保;
(2)标的风险是否控制在可承受范围之内;
(3)有无专人专核、评估商业分保的效益。
4.保费交付核对测试内容
(1)业务与财务部门有无保费交接手续,日结单与保费收据核对是否相符;
(2)有无未收到保费先签单交保户的情况;分期交费有无特别约定;业务与财务部门是否登记应收保费台账,是否定期核对。
(二)理赔业务主要内控制度遵行性测试
1.报案登记测试内容
(1)有无专人接案;立案之前是否先行核对保单的有效性;
(2)是否登记出险台账。
2.现场查勘定损测试内容
(1)是否坚持双人查勘制度;定损之前是否先行确定保险责任和赔偿范围。
(2)定损是否做到公平、合理、准确;核损有无按权限审批。
(3)预付赔款是否超过规定标准;超权限预赔是否报批;业务与财务部门是否登记预付赔款台账;是否定期核对。
3.赔案审批测试内容
(1)赔案的索赔单证及附件是否齐全、真实、合法。
(2)定损与核赔人员是否分离,是否一人包办到底。
(3)赔款计算是否准确;损余物资是否按规定处理;收回损余物资转做物料用品时是否折价冲减赔款支出。
(4)有无超权限核赔而不报批现象。
4.赔款支付测试内容
(1)支付赔款前财会部门是否对赔案进行复核审查,赔案手续是否齐全;是否扣除应交未交的保费和应冲销的预付赔款;非被保险人领取赔款有无委托书。
(2)支付赔款后,业务部门是否凭赔款案卷及赔款收据归档,是否登记赔案台账;涉及第三方责任的是否办理权益转让手续,并向第三方追偿。
(三)再保险业务主要内控制度测试抽查再保险合同或者单证资料:
(1)审查再保险分出人有无以再保险接受人未履行再保险责任为由,拒绝履行或者延迟履行其所负的原保险责任;
(2)审查再保险人接受人有无向原保险人要求支付保险费的违规情况;
(3)审查除人寿保险以外的公司是否按其承保的每年保险业务的20%规定比例足额、及时办理再保险。
三、内部控制评价
在完成对保险机构保险业务内部控制遵行性测评的基础上,可对其健全性和有效性作出评价,据以确定实质性测试的范围、重点和规模或抽取审计样本的数量,运用观察、盘点、复核、查询、函证、计算、分析等各种具体审计方法进行实质性测试。
对保险机构内部控制的检查评价方法,按国际上通行的做法可归纳为两种:一是内控健全程度测试法,二是内控效果评估法。
(一)内控健全程度测试法
该测试法主要可通过问卷调查、抽样测试、流程图解、综合测试等手段,按照内控建设应遵循的原则,集中从以下方面进行检查评价:
(1)内控机制的有效性,即被审计单位的内控制度的各项措施是否符合自身的实际情况,是否清楚明了、有利于执行;被审计单位的工作人员是否通晓各自岗位的管理规定和业务操作流程,并以此规范自身行为。
(2)内控机制的制约性,即被审计单位的内控制度体系是否体现了相互制约的要求,是否实行了恰当的职责分离,是否根据不同级别实行不同的授权授信,并有效地建立起监控防线。
(3)内控机制的全面性,即被审计单位的内控制度是否覆盖公司经营管理的全过程,是否渗透各项业务过程和各个操作环节。
(4)内控机制的及时性,即被审计单位增设分支机构或开办新的业务,是否树立“内控优先”的意识,首先建章立制,采取有效的控制措施。
(5)内控机制的独立性,主要看内部控制的检查、评价部门是否独立于内部控制的建立和执行部门,直接的操作人员和直接的控制人员是否适当分开,并向不同的管理人员报告工作;在管理人员存在职责交叉的情况下,是否为负责控制的人员提供可以直接向最高管理层报告的渠道。如通过看内部审计部门是否有权独立行使检查权、监督权和报告权,判断其是否有权威性和独立性。
(二)内控效果评估法
该评估法要以结合对整个机构的全面审计结果综合起来考虑,主要看内部控制的实际效果,侧重于对内部控制的有效性判断,检查评价时必须考虑以下因素:
1.偿付能力指标
该指标应以偿付能力系数为核心指标,以盈余适度比作为辅助指标之一,以资产负债率指标作为辅助指标。
偿付能力系数=自留保费/资本金+公积金×100%
该系数对于财产险公司应以400%为临界值。
盈余适度比=再保佣金和费用津贴/总盈余×100%
NAIC规定临界值为:对于总盈余大于500万的公司适用范围为-99%~30%;对于总盈余小于500万的公司,适用范围为-10%~10%。
资产负债率=负债总额/资产总额×100%
经营财产保险业务的公司其临界点为资产负债率应小于1%~25%的保费与资产之比。
2.资产质量指标
该指标应以非公认资产与公认资产比作为核心指标,以不良资产比率指标作为辅助指标之一,以固定资产比例指标作为辅助指标之一。
非公认资产与公认资产比=非公认资产/公认资产×100%
非公认资产由各种预付款(除预付赔款外)、长期待摊费用、低值易耗品、呆账、不动产和固定资产的10%组成;公认资产是资产中除非公认资产外的其他资产。
NAIC规定该项指标应小于10%。
不良资产比率=不良资产/资金运用各月末平均数×100%
国际银行业警戒线为10%,我国银监会规定为15%。
固定资产比例指标=固定资产净值/所有者权益×100%
NAIC规定比例不得超过30%。
3.赢利能力指标
该指标应以净收入与总收入比作为核心指标,以投资收益率为辅助指标之一,以投资收入充分比为辅助指标之一。
净收入与总收入比=营运净收入/总收入×100%
该指标的临界值应大于零。
投资收益率=净投资收益/资金运用各月末平均数×100%
该指标的临界值应大于同期银行存款利率。
投资收入充分比=净投资收入/利息支付×100%
NAIC规定其变化范围在125%~900%之间。
4.产品线指标
该指标应以产品组合变化率指标作为产品线指标体系的核心指标,以产品线赔付率作为辅助指标之一,以产品线退保率作为辅助指标之一。
产品组合变化率=各产品线保费比率的变化之和/产品线总数×100%
NAIC要求该指标值应小于5%。
产品线赔付率=当期净赔款支出/当期已赚自留保费×100%
该指标用以衡量每一产品线的赔付情况,视产品线性质确定各自的预警限制范围。
产品线退保率=产品线退保费之和/产品线净保费×100%
保险公司应视各产品线情况加以控制。例如,对于个人寿险,其首年退保率可能达到25%~40%,而以后年度应基本控制在5%~15%之间。
5.经营稳健性指标
该指标应以保费收入变化率作为核心指标,以资本和盈余的总(净)变化率作为辅助指标,以两年保费收益率作为辅助指标。
保费收入变化率=保费收入增长(减少)/上年保费总收入×100%
NAIC对财产险公司规定保费收入变化率应在-33%~33%之间,寿险公司为-10%~50%之间。
资本和盈余的总(净)变化率=资本和盈余的总(净)变化/上年资本和盈余×100%
NAIC给出的合理变化范围为-10%~50%之间。
两年保费收益率=本年净投资收益+上年净投资收益/本年已实现保费收入-上年已实现保费收入×100%
为维护公司稳健经营,该指标应小于100%。
6.依法合规经营情况
对这部分并不要求一定量化,主要看遵守法规情况、涉及法律诉讼事件等情况,但可将违反法规的次数、频率、受处罚金融以及涉案数具体量化,与同类金融机构进行比较时参考。
7.内部审计与外部审计情况
检查人员既要看保险机构内部审计的频率、范围、深度、审计整改情况等,还要比较内部审计报告与外部审计报告在一些可量化领域的数据出入情况,以此来评价该机构内部控制的严谨性。
(三)两种评价方法的分析比较
内控健全程度测试法(静态评估法)涉及了内控的有效性,但内控效果评估法(动态评估法)很大程度上依赖定量分析,着重看内控的实际效果。所以说,静态法和动态法是互为依存、互为补充的关系,在对一个机构的内控状况作结论时,必须综合以上两个方面,其评价结查才能客观、公正。
综合评价总分=∑(内控制度要素得分×相应权数)。保险机构在评价期内出现重大事故或重大违规违法案件等情况,其评价得分等级至少在综合评价认定的等级上下调一级,直至最后一级。
四、内控评审等级标准
借鉴国外复合评级方法,对保险机构内控综合等级评价分5级(与国际通行的金融机构检查评级一致):1—5级或健全、满意、一般、较差、差等5个档次。5个等级的得分标准是:1级,96分以上;2级,86—95分;3级,76—85分;4级,60—75分;5级,59分以下。综合评定时,分三步进行:先按内控健全程度测试法(静态评估法)分5个档次评出内控等级,再运用内控效果评估法(动态评估法)对内控实际运行效果进行测试,最后将这两方面综合起来进行考评,得出该机构内部控制状况的复合评级。其内控评价等级参考标准为:
(1)“健全”(1级):被审计单位管理水平很高,有健全的内控制度,且内控制度能在各个经营管理环节贯彻执行并有效地发挥作用,预防能力强,经营活动和会计记录真实可信。
(2)“满意”(2级):被审计单位管理水平较高,有比较健全的内控制度,并能在各个经营管理环节得到贯彻并发挥作用,经营活动和会计记录差错少或有一般差错。
(3)“一般”(3级):被审计单位管理水平一般,虽然建立了内控制度,但贯彻执行欠佳,管理方面潜伏着危机,经营活动和会计记录差错少或有一般差错。
(4)“较差”(4级):被审计单位经营管理水平较差,内控制度不健全或重要的内控制度没有贯彻执行或发挥作用,管理方面存在着较大问题,部分会计记录失真,业务经营安全性差。
(5)“差”(5级):被审计单位经营管理水平极差,内控制度严重不足或明显无效,经营业务失控,会计记录完全不可信,存在重大的风险。