保監發〔2010〕69號
各保險公司、各保監局:
為加強保險公司內部控制建設,提高保險公司風險防范能力和經營管理水平,促進保險公司合規、穩健、有效經營,我會制定了《保險公司內部控制基本準則》。現予印發,請遵照執行。
中國保險監督管理委員會
二○一○年八月十日
保險公司內部控制基本準則
第一章 總 則
第一條 為加強保險公司內部控制建設,提高保險公司風險防范能力和經營管理水平,促進保險公司合規、穩健、有效經營,保護保險公司和被保險人等其他利益相關者合法權益,依據《保險法》、《企業內部控制基本規范》和其他相關規定,制定本準則。
第二條 本準則所稱內部控制,是指保險公司各層級的機構和人員,依據各自的職責,采取適當措施,合理防范和有效控制經營管理中的各種風險,防止公司經營偏離發展戰略和經營目標的機制和過程。
第三條 保險公司內部控制的目標包括:
(一)行為合規性目標。保證保險公司的經營管理行為遵守法律法規、監管規定、行業規范、公司內部管理制度和誠信準則;
(二)資產安全性目標。保證保險公司資產安全可靠,防止公司資產被非法使用、處置和侵占;
(三)信息真實性目標。保證保險公司財務報告、償付能力報告等業務、財務及管理信息的真實、準確、完整;
(四)經營有效性目標。增強保險公司決策執行力,提高管理效率,改善經營效益;
(五)戰略保障性目標。保障保險公司實現發展戰略,促進穩健經營和可持續發展,保護股東、被保險人及其他利益相關者的合法權益。
第四條 保險公司建立和實施內部控制,應當遵循以下原則:
(一)全面和重點相統一。保險公司應當建立全面、系統、規范化的內部控制體系,覆蓋所有業務流程和操作環節,貫穿經營管理全過程。在全面管理的基礎上,對公司重要業務事項和高風險領域實施重點控制。
(二)制衡和協作相統一。保險公司內部控制應當在組織架構、崗位設置、權責分配、業務流程等方面,通過適當的職責分離、授權和層級審批等機制,形成合理制約和有效監督。在制衡的基礎上,各職能部門和業務單位之間應當相互配合,密切協作,提高效率,避免相互推諉或工作遺漏。
(三)權威性和適應性相統一。保險公司內部控制應當與績效考核和問責相掛鉤,任何人不得擁有不受內部控制約束的權力,未經授權不得更改內部控制程序。在確保內部控制權威性的基礎上,公司應當及時調整和定期優化內部控制流程,使之不斷適應經營環境和管理要求的變化。
(四)有效控制和合理成本相統一。保險公司內部控制應當與公司實際風險狀況相匹配,確保內部控制措施滿足管理需求,風險得到有效防范。在有效控制的前提下,合理配置資源,盡可能降低內部控制成本。
第五條 保險公司內部控制體系包括以下三個組成部分:
(一)內部控制基礎。包括公司治理、組織架構、人力資源、信息系統和企業文化等。
(二)內部控制程序。包括識別評估風險、設計實施控制措施等。
(三)內部控制保證。包括信息溝通、內控管理、內部審計應急機制和風險問責等。
第六條 內部控制基礎。保險公司應當加強內部控制基礎建設,為有效實施內部控制營造良好環境。
保險公司應當建立規范的公司治理,形成授權清晰、運作規范、科學有效的決策、執行、監督機制。公司董事會、監事會和管理層應當對內部控制高度重視,帶頭認真履行內控職能。
保險公司應當根據保險業務流程和內部控制的需要,建立合理的組織架構。按照便于管理、易于考核、簡化層級、避免交叉的原則,科學設置內設機構、分支機構和工作崗位,明確職責分工,規定清晰的報告路線。
保險公司應當建立與內部控制需要相適應的人力資源政策,確保關鍵崗位的人員具有專業勝任能力并定期接受相關培訓,公司關鍵崗位的考核、薪酬、獎懲、晉升等人力資源政策應當與內部控制成效相掛鉤。
保險公司應當建立安全實用、覆蓋所有業務環節的信息系統,盡可能使各項業務活動信息化、流程化、自動化,減少或消除人為干預和操作失誤,為內部控制提供技術保障和系統支持。
保險公司應當培育領導高度重視、內控人人有責和違規必受追究的內控企業文化,形成以風險控制為導向的管理理念和經營風格,提高全體員工的風險防范意識,使內控制度得到自覺遵守。
第七條 內部控制程序。保險公司應當根據風險規律,合理設計內嵌于業務活動的內部控制流程,努力實現對風險的過程控制。
保險公司應當對經營管理和業務活動中可能面臨的風險因素進行全面系統的識別分析,發現并確定風險點,同時對重要風險點的發生概率、誘發因素、擴散規律和可能損失進行定性和定量評估,確定風險應對策略和控制重點。
保險公司應當根據風險識別評估的結果,科學設計內部控制政策、程序和措施并嚴格執行,同時根據控制效果不斷改進內部控制流程,將風險控制在預定目標或可承受的范圍內。
第八條 內部控制保證。保險公司應當建立多層次、全方位的監控體系,實現對內部控制活動的事前、事中、事后有效監控,為實現內控目標提供保證。
保險公司應當建立信息和溝通機制,促進公司信息的廣泛共享和及時充分溝通,提高經營管理透明度,防止舞弊事件的發生。
保險公司應當建立內控管理及評價機制,通過對公司內部控制的整體設計和統籌規劃,推動各內部控制責任主體對風險進行實時監測和定期排查,并據此調整和改進公司的內部控制流程。
保險公司應當加強對內部控制的審計檢查,定期根據檢查結果對內部控制的健全性、合理性和有效性進行評估,并按照規定的報告路線及時向審計對象、合規管理職能部門和上級領導進行反饋和報告。
保險公司應當建立內控風險應急管理機制,制定周全和可操作性強的應急預案,明確各種風險情形下的應對措施,盡可能減少內控風險的影響和損失。
保險公司應當嚴格內部控制責任追究,對于違反內部控制要求的行為,不管是否造成損失,都要進行嚴肅處理,追究當事人和領導責任。
第九條 內部控制活動的層次。保險公司應當根據保險公司業務流程特點和資源優化配置要求,按照控制風險、提升服務、降低成本、提高效率的原則,科學建立和合理劃分內部控制活動的重點和層次。
保險公司內部控制活動分為前臺控制、后臺控制和基礎控制三個層次。前臺控制是對直接面對市場和客戶的營銷及交易行為的控制活動;后臺控制是對業務處理和后援支持等運營行為的控制活動;基礎控制是對為公司經營運作提供決策支持和資源保障等管理行為的控制活動。
第二章 內部控制活動
第一節 銷售控制
第十條 銷售控制的內容和基本要求。保險公司應當以市場和客戶為導向,以業務品質和效益為中心,組織實施銷售控制活動。
保險公司應當根據不同渠道和方式銷售活動的特點,制定有針對性的內部控制制度,強化對銷售過程的控制,防范銷售風險。
銷售控制主要包括銷售人員和機構管理、銷售過程管理、銷售品質管理、傭金手續費管理等活動的全過程控制。
第十一條 銷售人員和機構控制。保險公司應當建立并實施科學統一的銷售人員管理制度,規范對各渠道銷售人員的甄選錄用、組織管理、教育培訓、業績考核、傭金和手續費、解約離司等。
保險公司應當建立代理機構合作管理制度,規范與代理機構合作過程中的資格審核、合同訂立、保費劃轉和傭金手續費結算等。
第十二條 銷售過程和品質控制。保險公司應當規范銷售宣傳行為,嚴格按照監管規定和內部權限編寫、印制和發放各類宣傳廣告材料,確保宣傳廣告內容真實、合法,杜絕廣告宣傳中的誤導行為。
保險公司應當規范銷售展業行為,采取投保風險提示、客戶回訪、保單信息查詢、傭金手續費控制、電話錄音、定期排查及反洗錢監測等方式,建立銷售過程和銷售品質風險控制機制,有效發現、監控銷售中的誤導客戶、虛假業務、侵占保費、不正當競爭、非法集資和洗錢等行為,提升業務品質。
保險公司應當規定客戶回訪的業務范圍和條件、回訪比例、回訪頻率、回訪記錄等回訪要求及后續處理措施,加強銷售風險監控。
保險公司應當規范與代理等中介機構的合作行為,嚴格實行保費收取與傭金支付收支兩條線管理,定期對保費和重要單證進行清點對賬,確保賬賬一致、賬實相符,防止保費坐扣和單證流失。
第十三條 傭金手續費控制。保險公司應當嚴格規范傭金、手續費的計算和發放流程,防范虛列、套取、挪用、擠占傭金和手續費的行為。
保險公司應當杜絕任何形式的商業賄賂行為。
第二節 運營控制
第十四條 運營控制的內容和基本要求。保險公司應當以效率和風險控制為中心,按照集中化、專業化的要求,組織實施運營控制活動。
保險公司應當針對運營活動的不同環節,制定相應的管理制度,強化操作流程控制,確保業務活動正常運轉,防范運營風險。
運營控制主要包括產品開發管理、承保管理、理賠管理、保全管理、收付費管理、再保險管理、業務單證管理、電話中心管理、會計處理和反洗錢等活動的全過程控制。
第十五條 產品控制。保險公司應當明確產品開發流程,規范客戶需求和市場信息收集、分析論證、條款費率確定、審批報備、測試下發和跟蹤管理等控制事項,提高保險公司的產品研發和創新能力,提高產品適應性,防范產品定價及條款法律風險。
保險公司應當建立產品開發職能部門及領導決策機構,規范產品開發的程序、條件、審批權限和職責,明確總精算師(精算責任人)和法律責任人的職責和權限,確保產品開發過程規范、嚴謹。
保險公司應當根據市場需求調查結果,從市場前景、盈利能力、定價和法律風險等方面對新產品進行科學論證和客觀評價,依據評價結果和規定權限進行內部審查,并按照監管規定履行報批或報備義務。
第十六條 承保控制。保險公司應當建立清晰的承保操作流程,規范投保受理、核保、保單繕制和送達等控制事項。
保險公司在投保受理時,應當對投保資料進行初審,建立投保信息錄入復核機制,確保投保資料填寫正確、完整,錄入準確。
保險公司應當明確核保的評點標準、分級審核權限、作業要求和核保人員資質條件等,明確承保調查的條件、程序和要求。
保險公司應當在滿足規定條件的前提下繕制保單,采取適當校驗和監控措施,確保保單內容準確,及時確實送達客戶。
第十七條 理賠控制。保險公司應當建立標準、清晰的理賠操作流程和高效的理賠機制,規范報案受理、現場查勘、責任認定、損失理算、賠款復核、賠款支付和結案歸檔等控制事項,確保理賠質量和理賠時效。
保險公司在接到報案時應當及時登記錄入,主動向客戶提供簡便、明確的理賠指引。
保險公司應當明確理賠的理算標準、分級處理權限、作業要求和理賠人員資質條件等,明確現場查勘的條件、時限、程序和要求,采取查勘與理算、理算與復核操作人員分離及利益相關方回避等措施,防止理賠錯誤和舞弊行為。
保險公司應當建立重大、疑難案件會商和復核調查制度,明確其識別標準和處理要求,防范虛假理賠或錯誤拒賠。
第十八條 保全控制。保險公司應當建立規范統一的保全管理制度,規范保險合同續期收費、合同內容及客戶資料變更、合同復效、生存給付和退保等控制事項。
保險公司應當明確各項保全管理措施的操作流程、審查內容及標準、處理權限和作業要求等,防范侵占客戶保費、冒領保險金、虛假業務和違規批單退費等侵害公司和客戶權益的行為。
第十九條 收付費控制。保險公司應當建立規范統一的收付費管理制度,明確規定收付費的管理流程、作業要求和崗位職責,防止侵占、挪用及違規支付等行為,確保資金安全。
保險公司原則上實行收付費崗位與業務處理崗位人員及職責的分離。實行一站式服務等方式的,應當采取其他措施實施有效監控。
保險公司原則上采取非現金收付費方式,并確保將相關資金匯入保險合同確定的款項所有人或其授權賬戶。確有必要采取現金方式的,應當采取其他措施實施有效監控。
保險公司收付費時應當嚴格按照規定核對投保人、被保險人或受益人以及實際領款人的身份,確認其是否具備收付費主體的資格。
第二十條 再保險控制。保險公司應當建立再保險管理制度,規范再保險計劃、合同訂立、合同執行、再保險人資信跟蹤管理等控制事項,完善業務風險分散和保障機制。
保險公司應當加強自身經營管理數據及再保險市場的跟蹤分析,準確把握再保險需求,科學安排再保險計劃,合理訂立再保險合同,確保及時、足額分保,并及時準確向再保險人提供分保業務信息。
保險公司應當持續跟蹤了解再保險人的資信狀況,建立必要的應對措施,防范再保險信用風險。
第二十一條 業務單證控制。保險公司應當建立業務單證管理制度,規范投保單、保單、保險卡、批單、收據、發票等保險單證的設計、印制、存放、申領和發放、使用、核銷、作廢、遺失等控制事項。
保險公司應當全程監控分支機構、部門和個人申領重要有價空白單證的名稱、時間、數量和流水號,嚴格控制重要有價空白單證的領用數量和持有期限,做到定期回繳、核銷和盤點。
第二十二條 會計處理控制。保險公司應當規范會計核算流程,提高會計數據采集、賬目和報表生成的自動化水平,實現業務系統和財務系統無縫連接,減少人工干預,確保會計處理的準確性和效率。
保險公司應當依據真實的業務事項進行會計處理,不得在違背業務真實性的情況下調整會計信息。保險公司應當加強原始憑證與財務數據的一致性核對,做到賬賬、賬實和賬表相符,確保會計信息真實、完整、準確。
保險公司應當加強會計原始憑證管理,逐步采取影像掃描等方式輔助歸檔保存。
第二十三條 客戶服務電話中心控制。保險公司應當建立客戶電話中心管理制度,規范電話咨詢、查詢、投訴受理、報案登記、掛失登記、客戶回訪、業務轉辦、業務辦理跟蹤反饋等控制事項。
保險公司應當建立統一的客戶服務專線,二十四小時開通電話服務,保障電話接通率,統一服務禮儀和標準,及時將客戶需求提交相關業務部門處理,提高客戶服務質量。
第二十四條 反洗錢控制。保險公司應當依據《反洗錢法》及相關監管規定,建立健全反洗錢控制制度,明確反洗錢的職能機構、崗位職責和報告路線。
保險公司應建立客戶身份識別、客戶資料和交易記錄保存、大額及可疑交易發現和報告等反洗錢內部操作規程,并通過宣傳培訓、定期演練和檢查等方式,確保相關崗位工作人員嚴格遵守操作規程,及時將可疑信息上報有關機構。
第三節 基礎管理控制
第二十五條 基礎管理控制的內容和基本要求。基礎管理控制主要包括戰略規劃、人力資源管理、計劃財務、信息系統管理、行政管理、精算法律、分支機構管理和風險管理等活動的全過程控制。其中,風險管理既是保險公司基礎管理的重要組成部分,也是內部控制監控的重要環節。
保險公司應當按照制度化、規范化的要求,組織實施基礎管理控制活動。
保險公司應當針對基礎管理的各項職能和活動,制定相應的管理制度并組織實施,確保基礎管理有序運轉、協調配合,為公司業務發展和正常運營提供支持和服務。
第二十六條 戰略規劃控制。保險公司應當強化戰略規劃職能,規范戰略規劃中的信息收集、戰略決策制定、論證和審批、決策執行評估和跟蹤反饋等控制事項,為研發機構提供必備的人力財力保障,提高戰略研究的指導性和實用性,確保公司經營目標的合理性和決策的科學性。
保險公司應當加強對國內外宏觀經濟金融形勢、自身經營活動及業務發展情況的及時分析和深入研究,合理制定、及時調整公司整體經營管理流程與組織架構設置,制定科學的業務發展規劃,并為公司的承保和投資等業務活動提供及時、有效的決策支持。
保險公司應當加強對公司業務經營情況的實時分析,定期分析評估經營管理和財務狀況,合理設定分支機構經營計劃和績效指標,并實時予以指導和監督,保證公司戰略目標有效執行。
第二十七條 人力資源控制。保險公司應當建立人力資源管理制度,規范崗位職責及崗位價值設定、招聘、薪酬、績效考核、培訓、晉級晉職、獎懲、勞動保護、辭退與辭職等控制事項,為公司經營管理和持續發展提供人力資源支持。
保險公司應當根據經營管理需要,合理設定工作崗位及人員編制,制定清晰的崗位職責及報告路線,明確不同崗位的適任條件,適時進行崗位價值評估。
保險公司應當明確員工招聘、薪酬管理、輪崗晉級、辭職辭退等工作的標準、程序和要求,合理制定不同崗位的績效考核指標、權重及考核方式和程序,建立與公司發展相適應的激勵約束機制。
保險公司應當制定系統的員工培訓計劃,明確規定不同專業崗位員工培訓的時間、內容、方式和保障等,提高員工的專業素質和勝任能力。
第二十八條 計劃財務控制。保險公司應當建立嚴密的財務管理制度,規范公司預算、核算、費用控制、資金管理、資產管理、財務報告等控制事項,降低公司運營成本,提高資產創利能力。
保險公司應當建立預算制度,實行全面預算管理,明確預算的編制、執行、分析、調整、考核等操作流程和作業要求,嚴格預算執行與調整的審批權限,控制費用支出和預算偏差,確保預算執行。
保險公司應當建立完善的準備金精算制度,按照國家有關法律法規要求以及審慎性經營的原則,及時、足額計提準備金。保險公司應當加強公司償付能力狀況的分析,提高償付能力管理的有效性。
保險公司應當明確現金、有價證券、空白憑證、密押、印鑒、固定資產等資金與資產的保管要求和職責權限。嚴格實行收支兩條線,對包括分支機構在內的公司資金實行統一管理和實時監控,確保資金及時上劃集中。定期核對現金和銀行存款賬戶,定期盤點,確保各項資產的安全和完整。
保險公司應當建立信息統計管理制度,明確統計崗位職責,規范統計數據的收集、匯總、審核、分析、報送、管理等活動,有效滿足公司內外部信息統計需求。
第二十九條 精算法律控制。保險公司應當完善精算和法律職能,配備足夠的專業精算和法律人員,明確其在相關管理和服務工作中的流程、權限及作業要求,為公司業務經營和日常管理提供專業支持。
保險公司應當在產品開發、責任準備金計提、資產負債匹配管理等方面充分運用精算技術,提高經營管理的專業化、精細化水平,防范定價失誤、準備金提取不足及資產負債不匹配等風險。
保險公司在制度制定、合同訂立和管理、重大事項決策和處置、糾紛訴訟等方面,應當有法律職能部門和專業人員的提前介入和充分參與,防范法律風險。
第三十條 信息系統控制。保險公司應當建立信息系統管理制度,規范信息系統的統籌規劃、設計開發、運行維護、安全管理、保密管理、災難恢復管理等控制事項,提高業務和財務處理及辦公的信息化水平,建立符合業務發展和管理需要的信息系統。
保險公司應當統籌規劃信息系統的開發建設,整合公司的信息系統資源,形成不同業務單位、部門、人員廣泛共享的信息平臺。
保險公司應當對信息系統使用實行授權管理,及時更新和完善信息系統安全控制措施,加強保密管理和災難恢復管理,提高信息系統運行的穩定性和安全性。
第三十一條 行政管理控制。保險公司應當分別制定相應制度,規范采購、招投標、品牌宣傳、文件及印章管理、后勤保障等行政管理行為,提高行政管理效率,為公司高效運轉提高有力支持。
保險公司應當明確采購及招投標的程序、條件和要求,規范采購行為,盡可能實現集中統一采購,降低采購成本,防范舞弊風險。
保險公司應當統籌規劃、合理配置品牌宣傳和商業廣告資源,統一公司品牌標識、職場視覺形象、員工禮儀和服務規范等,整合、提升公司的品牌形象。
保險公司應當制定文件及印章管理制度,確保文件流轉安全順暢、保存完整,合理設置印章的種類,規范印章設計、刻制、領取、交接、保管、使用和銷毀等控制事項,加強用印審批登記和檔案管理。
第三十二條 分支機構控制。保險公司應當通過授權委托書或內部管理規定等方式,根據總公司的戰略規劃和管理能力,統一制定分支機構組織設置、職責權限和運營規則,建立健全分支機構管控制度,實現對分支機構的全面、動態、有效管控。
保險公司應當通過規范的授權方式,對不同層級分支機構的業務流程、財務和資金管理、人力資源管理、行政管理、內部控制建立統一、標準、明確的管理要求。保險公司可以根據不同分支機構的經營和管控能力,在有章可循和可調控的前提下,適度采取差異化的業務政策或控制權限,提高分支機構的業務發展能力。
保險公司應當通過信息技術手段和明確的報告要求,全面、實時、準確掌控分支機構經營管理信息,定期對分支機構的業務、財務和風險狀況進行分析和監測,實現對分支機構經營管理的過程控制。
保險公司應當從業務、合規和風險等方面全面、科學設置分支機構考核目標,加強對分支機構及其高管人員的審計監督,嚴格執行公司問責制度,確保分支機構依法合規經營。
第四節 資金運用控制
第三十三條 資金運用控制的內容和基本要求。保險資金運用是保險公司經營活動中相對獨立的組成部分,是內部控制的重點領域。資金運用控制包括資產戰略配置、資產負債匹配、投資決策管理、投資交易管理和資產托管等活動的全過程控制。
保險公司應當以安全性、收益性、流動性為中心,按照集中、統一、專業、規范的要求,組織實施資金運用控制活動。
保險公司應當針對資金運用的不同環節,制定相應的管理制度,規范保險資金運用的決策和交易流程,防范資金運用中的市場風險、信用風險、流動性風險和操作風險及其它風險。
保險公司委托資產管理公司或其他機構運用保險資金的,應當確保其內部控制措施滿足保險公司的內控要求。
第三十四條 資產戰略配置控制。保險公司應當在法律法規要求的投資品種和比例范圍內,根據經營戰略和整體發展規劃,在資本金和償付能力約束下,制定中長期資產戰略配置計劃,明確投資限制和業績基準,努力實現長期投資目標,有效控制資產配置戰略風險。
第三十五條 資產負債匹配控制。保險公司應當以償付能力和保險產品負債特性為基礎,加強成本收益管理、期限管理和風險預算,確定保險資金運用風險限額,科學評估資產錯配風險。
保險公司資金運用部門應當加強與公司產品開發、精算、財務和風險管理等職能部門的溝通,提高資產負債匹配管理的有效性。
第三十六條 投資決策控制。保險公司應當制定清晰的投資決策流程,明確權限分配,建立相對集中、分級管理、權責統一的投資決策授權制度,確定授權的標準、方式、時效和程序。
保險公司重要投資決策應當有充分依據和書面記錄,重要投資決策應當事先進行充分研究并形成研究報告。保險公司應當規定研究工作的流程、決策信息的采集范圍、報告的標準格式等,并采用先進的研究方法和科學的評價方式,確保研究報告獨立、客觀、準確。
第三十七條 交易行為控制。保險公司應當建立獨立的投資交易執行部門或崗位,實行集中交易。對于非交易所內交易的,保險公司應當通過崗位分離等其他監控措施,有效監控交易過程中的詢價、談判等關鍵行為,防范操作風險。
保險公司應當建立完善的交易記錄制度,完整準確記錄交易過程和交易結果,定期進行核對并做好歸檔管理,其中對交易所內進行的交易應當每日核對。
保險公司在交易管理過程中,應當嚴格執行公平交易制度,確保不同性質和來源的資金利益得到公平對待。
第三十八條 資產托管控制。保險公司應當實行投資資產第三方托管和監督。
保險公司應當建立投資資產第三方托管制度,規范托管方甄選、合同訂立和信息交換等控制事項。保險公司應當對托管機構的信用狀況及資金清算、賬戶管理和風險控制等方面的能力素質進行嚴格考核和持續跟蹤,確保托管機構資質符合監管要求及自身管理需要。
第三章 內部控制的組織實施與監控
第三十九條 內部控制的組織架構。保險公司應當建立由董事會負最終責任、管理層直接領導、內控職能部門統籌協調、內部審計部門檢查監督、業務單位負首要責任的分工明確、路線清晰、相互協作、高效執行的內部控制組織體系。
第四十條 董事會的職責。保險公司董事會要對公司內控的健全性、合理性和有效性進行定期研究和評價。公司內部控制組織架構設置、主要內控政策、重大風險事件處置應當提交董事會討論和審議。
董事會具體承擔內部控制管理職責的專業委員會,應當有熟悉公司業務和管理流程、對內部控制具備足夠專業知識和經驗的專家成員,為董事會決策提供專業意見和建議。
第四十一條 監事會的職責。保險公司監事會負責監督董事會、管理層履行內部控制職責,對其疏于履行內部控制職能的行為進行質詢。對董事及高管人員違反內部控制要求的行為,應當予以糾正并根據規定的程序實施問責。
監事會應當有具備履行職責所需專業勝任能力的成員。
第四十二條 管理層的職責。保險公司管理層應當根據董事會的決定,建立健全公司內部組織架構,完善內部控制制度,組織領導內部控制體系的日常運行,為內部控制提供必要的人力、財力、物力保證,確保內部控制措施得到有效執行。
保險公司應當明確合規負責人或董事會指定的管理層成員具體負責內部控制的統籌領導工作。
第四十三條 內控職能部門的職責。保險公司內控管理職能部門負責對保險公司內部控制的事前、事中的統籌規劃,組織推動、實時監控和定期排查。
保險公司可以指定合規管理部門或風險管理部門作為內控管理職能部門,或者對現有管理資源進行整合,建立統一的內部控制、合規管理及風險管理職能力量。
第四十四條 業務單位的職責。保險公司直接負責經營管理、承擔內部控制直接責任的業務單位、部門和人員,應當參與制定并嚴格執行內部控制制度,按照規定的流程和方式進行操作。同時對內部控制缺陷和經營管理中發生的風險問題,應當按照規定時間和路線進行報告,直至問題得到整改處理。
第四十五條 內部審計的職責。保險公司內部審計部門對內部控制履行事后檢查監督職能。內部審計部門應當定期對公司內部控制的健全性、合理性和有效性進行審計,審計范圍應覆蓋公司所有主要風險點。審計結果應按照規定的時間和路線進行報告,并向同級內控管理職能部門反饋,確保內控缺陷及時徹底整改。
保險公司內部審計部門應當與內控管理職能部門分離。
第四十六條 內部控制問責。保險公司應當建立內控問責制度,根據內控違規行為的情節嚴重程度、損失大小和主客觀因素等,明確劃分責任等級,規定具體的處理措施和程序。
保險公司對已經發生的內控違規行為,應當嚴格執行內控問責制度,追究當事人責任。因內控程序設計缺陷導致風險事故發生的,要同時追究內控職能部門的責任。上級管理人員對內控違規行為姑息縱容或分管范圍內同類內控事件頻繁發生的,要承擔管理責任。
第四十七條 透明度和反舞弊機制。保險公司應當加強透明度和反舞弊機制建設,防止責任主體隱瞞違規行為造成損失擴大或內控缺陷得不到及時整改,防范通過隱秘手法謀取不正當利益的故意違規行為。
保險公司應當通過專門措施加強內外部經營管理信息的收集和分析,并通過網絡平臺、內部刊物、定期溝通和會議交流等方式實現信息廣泛共享。凡是不涉及商業秘密、知識產權和個人隱私的信息,都可以在企業內部公開。
保險公司應當建立舉報投訴機制,設置便于舉報投訴的途徑,明確舉報投訴的處理原則和程序并讓所有員工知曉,保護舉報投訴人的合法權益。
保險公司應當根據相關法律法規的要求對外披露內部控制信息,自覺接受社會公眾的監督。
第四十八條 對外包業務的控制。保險公司將部分業務環節或管理職能授權或承包給外部機構實施完成的,應當確保外包機構符合保險公司的內控要求,并對其外包業務的內控風險承擔責任。
外包業務的內控管理工作應當接受監管機構的監管。
第四章 內部控制的評價與監管
第四十九條 內控評價制度。保險公司應當制定內部控制評價制度,每年對內部控制體系的健全性、合理性和有效性進行綜合評估,編制內部控制評估報告。
第五十條 內控評價制度的內容。保險公司內部控制評價制度應當包括實施內控評價的主體、時間、方式、程序、范圍、頻率、上報路線以及報告所揭示問題的處置和反饋等內容。
第五十一條 內控評價的實施主體和過程。保險公司內部控制評價應當由公司內部審計部門、內控管理職能部門和業務單位分工協作,配合完成。
保險公司應當將內部控制評價作為對公司經營管理風險點進行梳理排查和整改完善的持續性、系統性工作。
第五十二條 內控評估報告。保險公司實施完成內部控制評價工作以后,應當編制內部控制評估報告。保險公司可以根據本單位實際,指定內部審計部門或內控管理職能部門牽頭負責評估報告的編制工作。
第五十三條 內控評估報告的內容。保險公司內部控制評估報告應當至少包括以下內容:
(一)本公司內部控制評價工作的基本情況,包括內部控制評價的程序、標準、方法和依據;
(二)本公司建立內部控制體系的工作情況,包括董事會、監事會和管理層在內部控制建設所做的具體工作;
(三)本公司內部控制的基本框架和主要政策;
(四)本公司內部控制存在的重大缺陷、面臨的主要風險及其影響;
(五)本公司上一年度發生的違規行為和風險事件及其處理結果;
(六)對內控缺陷及主要風險擬采取的改進措施和風險應對方案;
(七)對本公司內部控制健全性、合理性、有效性的評價結果,并根據監管部門的評價標準,得出自評得分及等級。
第五十四條 評價結果分類。保險公司內控評價結果分以下四類:
(一)合格。合格是指保險公司內部控制基本健全、合理、有效。
(二)一般缺陷。一般缺陷是指保險公司內部控制設計基本合理,基本覆蓋重要業務環節和高風險領域,但無法保證有效執行,存在運行缺陷。
(三)重大缺陷。重大缺陷是指保險公司內部控制未能完全覆蓋重要業務環節和高風險領域,且無法保證有效執行,同時存在設計缺陷和運行缺陷。
(四)實質性漏洞。實質性漏洞是指保險公司因內部控制設計或運行的嚴重缺陷,導致公司發生重大風險事件或重大舞弊行為,造成公司財務或聲譽損失,嚴重影響經營目標實現。
第五十五條 內部控制報告的審議和報備。保險公司內部控制評估報告應當提交董事會審議。審議通過后的內部控制評估報告,應當于每年四月三十日前以書面和電子文本方式同時報送中國保監會。
上報中國保監會的內控評估報告應當附董事會聲明,聲明內容包括:董事會對建立健全和有效實施內部控制履行了指導和監督職責。董事會及其全體成員對報告內容的真實性、準確性和完整性承擔個別及連帶責任。
保險公司不報、漏報、瞞報或提供虛假的內控評估報告的,依據《保險法》第一百七十一至一百七十三條及其他相關規定予以處罰。
第五十六條 內控評估報告的鑒證和披露。中國保監會可以根據監管需要,要求保險公司在內控評估報告報送前,取得外部審計機構的鑒證結論。
保險公司應當根據信息披露的相關規定,披露內控評估報告的全部或部分內容。
第五十七條 抽查和監管評價。中國保監會可以根據監管需要,對保險公司內部控制情況進行檢查。檢查方式包括對部分內控環節或業務單位進行抽查以及組織進行全面評價兩種。
中國保監會采取全面評價方式,可以委托獨立的中介機構進行,保險公司應當配合并承擔相應費用。
中國保監會派出機構負責對轄區內保險公司分支機構內部控制進行檢查。
第五十八條 檢查結果處置。中國保監會對經檢查發現內部控制存在重大缺陷及實質性漏洞的保險公司,應當下發監管意見函,要求公司限期整改并反饋。
對內控違規行為和風險事件負有直接責任和管理責任的當事人,應當按照監管規定予以處罰。公司內控存在嚴重問題,董事會、監事會及管理層成員負有責任的,應當追究其責任。
第五章 附則
第五十九條 本準則適用于在中華人民共和國境內成立的保險公司。保險集團公司、再保險公司和保險資產管理公司的內部控制,參照本準則執行。
第六十條 中國保監會依據本準則的規定制定控制活動的應用規范。
本準則自2011年1月1日起施行。中國保監會現行規定與本準則不一致的,依照本準則執行。中國保監會1999年8月5日發布的《保險公司內部控制制度建設指導原則》(保監發〔1999〕131號)同時廢止。