祁保华

摘要：中国保险行业近几年飞速发展，竞争激烈，中小保险公司存在较大的经营风险。如果将COSO内部控制理论与中国保险行业的实际情况结合起来，形成保险行业风险控制实务，势必会促进中国保险行业的健康、稳健发展。

本文对COSO框架的进行全面剖析，并将其应用到XX财产保险公司（以下简称“A公司”），通过定性分析方法探讨该公司内部控制框架的相关内容，从而提出改善公司内部控制体建议，有效防范风险。

关键词：内部控制；保险公司； COSO

美国证券交易委员会（SEC）要求备案的企业在年报中对企业内部控制制度及有效性做出报告，并建议使用COSO委员会在1992年发布的《内部控制——整体框架》报告作为企业管理层和注册会计师进行内部控制的评价标准， COSO框架已经成为美国企业风险管理重要理论。

一、COSO理论体系

COSO委员会（ The Committee of Sponsoring Organization of The treadway Commission of The National Comission of Fraudulent Financial Reporting）是由美国会计学会、美国内部审计师协会、注册会计师协会等组织成立的专门研究内部控制问题的组织。其于1992年发布了《内部控制——整体框架报告》（Enterprise Internal Control- Integrated Framework），1994年对其进行增补[1]。COSO报告指出，内部控制是由公司董事会、管理层和其他员工实施的，為实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵守性等目标提供合理保证的一个过程。内部控制的根本目的是防范风险。COSO内部控制的首要目标是为了合理确保经营的效果和效率（基本经济目标，包括绩效、利润目标和资源的安全），其后才是保证财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）和遵循相应的法律法规这两个传统的内控目标。COSO的发布标志着内部控制由结构阶段进入整体框架阶段。2002年7月《萨班斯——奥克利斯》（Sarbanes-Oxley Act）法案最终细则也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。[2]

COSO《内部控制——整体框架》把内部控制划分为五个相互关联的要素，分别是控制环境（Control Environment）、风险评估（Risk Assessment）、控制活动（Control Activities）、信息与交流（Information and Communication）和监测（Monitoring）。每个要素承载三个目标：经营目标、财务报告目标、合规性目标。控制环境是整个内控系统的基石，支撑和决定着其他四个要素，是建立所有控制的基础；风险评估是建立控制活动的先决条件；控制活动是内控体系的核心；信息与交流是控制系统的“血脉”，是内部控制的实质；监督位于内控系统顶端，是对其他内部控制的一种再控制。内部控制框架如图1[3]：

（一）控制环境

控制环境是企业的氛围、基调，直接影响着内部控制的执行的宽度与力度，是整个内部控制的基础，主要包括组织人员的诚信、职业道德和工作胜任能力、董事会或者审计委员会、管理层经营理念和经营风格、组织结构、企业的权责分配方法和人力资源政策。[4]

（二）风险评估

风险评估就是识别、分析相关风险以实现既定目标，是风险管理的基础。风险评估是从目标、风险识别、管理变化三个方面进行。它随着经济、行业、监管和经营条件而不断的发生变化。[5]

（三）控制活动

控制活动是为了防范风险而采取的有助于管理层决策顺利实施的政策和程序、信息系统控制、实体特征控制。包括授权、业绩评价、信息处理、实物控制和职责分离等。[6]控制活动又可以分为预防性控制、检查性控制、人工控制、计算机控制、管理层控制等类型。

（四）信息与沟通

信息系统产生各种报告，包括经营、财务、合规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。

（五）监控

监控是对内控有效性进行评估的过程，实质上是内部控制的再控制，包括持续监督、独立评估和缺陷报告等。

二、A公司的内部控制分析

（一）概况

A公司是经保监会批准成立的财产保险公司。几年来，A公司本着“资本充足、管理规范、内控严密、质量和效益优良”的经营理念，已经在全国范围内成了分支公司，形成了业务覆盖全国的财产保险公司，公司在风险管理上做了多方面的探索和努力。

（二）内部控制体系

A公司内部在业务流程、财务流程、资金流程、IT流程等各个方面制定了与相关业务匹配的政策与程序，但是没有形成系统的内部控制文件和体系，以下将按照COSO框架逐一进行分析。

1.控制环境

（1）诚信与职业道德

A公司企业文化强调了艰苦奋斗、穷尽资源、勇于奉献的创业文化，要求“资本充足、管理规范、内控严密、质量和效益优良”地发展公司业务，公司有明确的员工行为手册，在平时各种会议中也积极宣传合规经营的理念，对于违反有关政策和行为规范的情况，管理层基本能够采取适当的惩罚措施。

（2）对员工胜任能力的关注

A公司基本上建成了一只与其规模相匹配的人员队伍，建立了干部选拔、聘用等相关的制度，配合其岗位职责，A公司明确了员工的完成其工作所需的知识和技能，并经常对各条线的员工进行政策、流程、知识技能等的培训，不断地提升员工的胜任能力。

（3）董事会或者审计委员会

A公司董事会下设审计部以及合规部，协助董事会进行风险管控。各级分公司的负责人为风险管理的第一责任人，合规部为风险管理的牵头部门，对本单位及所属单位的风险进行管理，负责牵头制定内部控制制度以及对其执行进行监督与评价，处理内控缺陷。

总公司董事会建立的风险管理部门相对比较独立，能够及时对获得敏感信息、违规行为进行调查监督，有效地在总公司层面执行了内控的监督与评价，但是各级分支机构中，特别是收入规模较少的机构，组织机构设置相对比较简单，人员素质层次不齐，往往由其他部门人员兼任合规职能，其风险管理职能的发挥明显受到人员素质、时间与精力、独立性等方面的限制，有所欠缺。

（4）管理层的经营理念和经营风格

公司管理层十分重视合规经营，强调“资本充足、管理规范、内控严密、质量和效益优良”发展思路，并采取了一系列的措施来实现合规经营目标，如重大事项会签制、业务机构的系统重要权限分级制、审计合规检查、信息系统控制等。公司也一直关注信息系统建设与关键岗位的建设，每月均有由总公司处长级以上领导参加的数据分析会，强调数据的真实性，以客观、真实数据分析基础上行采取适当的发展策略。

（5）组织机构与责权分配

公司结合行业惯例与业务实际成立了十三个部门与三个管理中心，业务部门按照业务内容划分，执行专业化管理；管理部门按照职能划分，并随着公司发展、战略进行调整。公司资产由实际使用部门管理，分公司综合部为资产的实物管理部门，财务部为账务管理部门，金融资产由总公司资金运用部管理，资产管理责权分明，政策完善。

（6）人力资源政策与实务

公司十分重视人才，明确发展要以人为本，重视人才的培养、引进、考核等，公司人事部制定了员工培训、晋升、绩效考核、岗位调整、干部任免、后续教育等十二项人事管理制度。在各部门的职责体系下，均有具体的岗位职责，员工按照其职责的完成情况进行考核。各层级分支公司的人事制度执行均有总公司人事部的监控，执行力度较好。

2.风险评估

（1）目标

随着市场环境的剧烈变化，公司的战略战术也及时进行调整，除合规目标因其遵循法律法规、监管环境等相对比较稳定外，经营目标、财务报告目标随着公司的战略和战术及时进行调整，一般情况下，年年中都会根据实际执行情况对本年预算进行调整，以保证经营目标和财务目标的可靠性。

各个部门在公司总体目标下，根据其部门职责制定部门目标以辅助公司目标的实现，各部门负责人对其具体落实，并对结果负责。公司目标尽可能实现量化管理，以便监督、考核。

（2）风险识别

风险识别的职能与目标实现是由相同层级执行的，风险识别与目标实现的落实均分解到各级部门，最终分解到具体员工职责上，通过内部控制政策与程序联系起来，形成风险识别政策与程序，而跨部门的风险则通过部门会签等形式予以解决，特殊风险则由审计部门、合规部门以及总经理室来识别。

（3）管理变化

今年年初公司成立了战略企划部，专门用于研究公司发展战略与策略，识别环境变化、管理变化对公司目标实现的影响，特别是存在重大风险的情况，从而制定相关的对策。

3.控制活动

公司制定了各种政策与流程，进行活动控制，以实现其目标。

（1）政策和程序

公司根据部门职责进行授权，并由总经理室领导进行分管，实现管理与监督。对各部门目标进行分解，从而客观地进行考核与评价。公司每个月的KPI经营分析是授权与业绩评价的最终结果。

各部门进行具体控制活动，并辅助信息系统的支撑，具体控制措施则受到负责人的管理方式等影响而不同，风险控制点是否全面决定了设计控制活动的质量。

（2）信息系统控制

公司已经建立近十种信息系统，以支持公司的业务发展与数据管理。一般控制方面由三名处长负责，保证了系统的稳定、恰当运行。应用方面，IT部根据各部门提出的需求对系统进行不断的改造，其开发队伍以及外援开发队伍最多达到七八十人，证实了公司对于环境等变化的敏感性以及对信息系统建设重视程度。公司还积极与国外保险公司形成关系，以加强其信息系统建立与数据管理能力。

4.信息与沟通

（1）信息

公司已经按照部门职责进行授权，员工能够在权限范围内履行其职责，公司各部门员工在岗位职责的基础上，能够及时地获得内部、外部信息，但是由于保险业竞争非常激烈，各个竞争主体政策也一年多变，因此对行业竞争主体的信息收集与反应成为公司制定战术的关键所在。A公司各级分公司只是大概了解对方相关信息，没有专门的机制和人员收集此类信息，制约了分支公司与市场互动程度，当然此类信息也受到竞争主体的保密而较难收集。

（2）沟通

公司明确了员工的岗位职责，并定期对其考核，考核结果与绩效相关，因此员工比较清楚了解自己的角色；管理层通过预算，OA文件等方式下达指令；员工之间通过腾讯通、OA等工具也能够实现较好的沟通，自上而下或者平等的沟通较为良好，自下而上的沟通渠道也较为通畅，其实际结果还取决于员工的素质、责任心等。

5.监督

（1）日常监督

公司總经理室各分管领导是各部门工作的直接上级监督，审计部、合规部以及其他方面的监督则是平级监督，部门内部为了实现其目标而进行的控制与监督则是内部监督，外部监管机构以及行政机构的检查则是外部监督，几种监督方式构成了交叉纵横的监督体系，很大程度上促进了公司内部控制的有效执行与改善。

（2）个别评价

管理层根据个别事项的性质，形成了不同级别的特殊事项评价机制。具体执行时依照一事一议的原则进行。

（3）内部缺陷的及时处理、报告

管理层十分重视风险管理，对于已经识别的内部缺陷能够及时响应，并根据风险严重程度，成立不同层级的临时组织应对风险，必要时，上报总经理或者董事会。

三、A公司内部控制改良建议

总体来讲，虽然A公司沒有形成书面的内部控制体系，但是基于业务、管理等原始需要，A公司已经形成了较为全面的内部控制政策与程序，执行较为有效。根据COSO体系，结合上述分析，对于A公司内部控制提出以下建议：

（一）完善内控制度，形成内控体系

内部控制是实现风险管理与主体持续有效运行的科学手段，国际大型公司内部控制思想已深入人心，上市公司必须出具内控报告。作为中小保险公司的A公司，为了提高管理能力、抵御风险、实现公司稳健发展，有必要形成书面的内部控制制度与体系，并将其传达到组织机构最低层。内部控制规范化、制度化是公司被动应对风险到主动管理风险的实质性转变的重要标志。

（二）完善组织架构，明确内控管理

公司已经有审计部、合规部等部门进行风险管理，但是由于缺乏整体内控体系以及工作安排，两部门的风险管理更多地是基于部门职能的自主行为，缺乏有效的整合。而各部门的风险识别与应对存在同样的问题。建议在形成完整内部控制体系基础上，成立风险管理委员会，以协调整个内部控制工作。

（三）提高人员素质，促进内控执行

一些分支公司的内部控制人员大多是兼职，专业知识与个人素质层次不齐，严重影响了内部控制执行的效果与效率。员工是内部控制活动执行主体，没有专业的知识以及个人的素质作以辅助，再好的内控体系都是空谈，实现管理与控制的质量的根本就是员工个人的胜任能力与素养，更何况更多的风险来自于分支机构层面。因此，不但要充实基层风险管理岗位与人员，更要对其知识与素质进行严格的筛选，并进行专业和符合公司实际的培训，以促进内控有效执行。

（四）加强信息管理，提高内控效率

风险管理与目标实现第一步就是信息的获得，A公司各部门已经可以获得相关信息，但是其渠道和质量却难以支持公司发展战略。信息获得的渠道应当是多元化的，特别是各地区的竞争主体信息的获得更应当是自下而上的一个过程，更重要的是应该建立一种机制与渠道，来获得信息并实现总分的沟通，而这种机制更能够强制分支公司进行信息收集，确保其市场政策与环境相一致。

（五）专业风险识别，夯实风险管理

由于风险识别与目标实现均属于同一层次，各部门风险识别效果会随着本部门组织机构、部门负责人风险意识、责任心等因素而不同，难以实现有效的风险挂你，而审计部与合规部参与其他部门活动的频率与深度毕竟有限，风险识别与管理难以保障，因此在部门内部建立专门风险管理岗位，将风险管理目标落实到部门负责人职能中并加以考核，或者建立部门间牵制风险管理机制，都是提高部门风险识别，夯实风险管理的具体措施。

参考文献：

[1] Coso. Enterprise Internal Control-Integrated Framework. 1992 （9）.

[2] SEC. Managements Reports on Internal Control over Financial Reporting and Certification of Disclosure in Exchange Act PeriodicReports. Final Rule，2003，June 5.

[3] 朱荣恩. 内部控制评价[M].北京：时代经济出版社，2002，9：9.

[4] 中国注册会计师协会.审计[M].北京：经济科学出版社，2008，4：179-184.

[5] 黄中正. 基于COSO框架的内部控制评估研究[D].硕士学位论文. 成都：西南财经大学，2007：43-45.

[6]黎代福.商业银行全面风险管理[D].博士学位论文.厦门：厦门大学，2006：105.