祁保華

摘要：中國保險行業(yè)近幾年飛速發(fā)展，競爭激烈，中小保險公司存在較大的經(jīng)營風(fēng)險。如果將COSO內(nèi)部控制理論與中國保險行業(yè)的實際情況結(jié)合起來，形成保險行業(yè)風(fēng)險控制實務(wù)，勢必會促進中國保險行業(yè)的健康、穩(wěn)健發(fā)展。

本文對COSO框架的進行全面剖析，并將其應(yīng)用到XX財產(chǎn)保險公司（以下簡稱“A公司”），通過定性分析方法探討該公司內(nèi)部控制框架的相關(guān)內(nèi)容，從而提出改善公司內(nèi)部控制體建議，有效防范風(fēng)險。

關(guān)鍵詞：內(nèi)部控制；保險公司； COSO

美國證券交易委員會（SEC）要求備案的企業(yè)在年報中對企業(yè)內(nèi)部控制制度及有效性做出報告，并建議使用COSO委員會在1992年發(fā)布的《內(nèi)部控制——整體框架》報告作為企業(yè)管理層和注冊會計師進行內(nèi)部控制的評價標(biāo)準(zhǔn)， COSO框架已經(jīng)成為美國企業(yè)風(fēng)險管理重要理論。

一、COSO理論體系

COSO委員會（ The Committee of Sponsoring Organization of The treadway Commission of The National Comission of Fraudulent Financial Reporting）是由美國會計學(xué)會、美國內(nèi)部審計師協(xié)會、注冊會計師協(xié)會等組織成立的專門研究內(nèi)部控制問題的組織。其于1992年發(fā)布了《內(nèi)部控制——整體框架報告》（Enterprise Internal Control- Integrated Framework），1994年對其進行增補[1]。COSO報告指出，內(nèi)部控制是由公司董事會、管理層和其他員工實施的，為實現(xiàn)經(jīng)營的效果性和效率性、財務(wù)報告的可靠性以及適用法律、法規(guī)的遵守性等目標(biāo)提供合理保證的一個過程。內(nèi)部控制的根本目的是防范風(fēng)險。COSO內(nèi)部控制的首要目標(biāo)是為了合理確保經(jīng)營的效果和效率（基本經(jīng)濟目標(biāo)，包括績效、利潤目標(biāo)和資源的安全），其后才是保證財務(wù)報告的可靠性（與對外公布的財務(wù)報表編制相關(guān)的，包括中期報告、合并財務(wù)報表中選取的數(shù)據(jù)的可靠性）和遵循相應(yīng)的法律法規(guī)這兩個傳統(tǒng)的內(nèi)控目標(biāo)。COSO的發(fā)布標(biāo)志著內(nèi)部控制由結(jié)構(gòu)階段進入整體框架階段。2002年7月《薩班斯——奧克利斯》（Sarbanes-Oxley Act）法案最終細則也明確表明COSO內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標(biāo)準(zhǔn)。[2]

COSO《內(nèi)部控制——整體框架》把內(nèi)部控制劃分為五個相互關(guān)聯(lián)的要素，分別是控制環(huán)境（Control Environment）、風(fēng)險評估（Risk Assessment）、控制活動（Control Activities）、信息與交流（Information and Communication）和監(jiān)測（Monitoring）。每個要素承載三個目標(biāo)：經(jīng)營目標(biāo)、財務(wù)報告目標(biāo)、合規(guī)性目標(biāo)。控制環(huán)境是整個內(nèi)控系統(tǒng)的基石，支撐和決定著其他四個要素，是建立所有控制的基礎(chǔ)；風(fēng)險評估是建立控制活動的先決條件；控制活動是內(nèi)控體系的核心；信息與交流是控制系統(tǒng)的“血脈”，是內(nèi)部控制的實質(zhì)；監(jiān)督位于內(nèi)控系統(tǒng)頂端，是對其他內(nèi)部控制的一種再控制。內(nèi)部控制框架如圖1[3]：

（一）控制環(huán)境

控制環(huán)境是企業(yè)的氛圍、基調(diào)，直接影響著內(nèi)部控制的執(zhí)行的寬度與力度，是整個內(nèi)部控制的基礎(chǔ)，主要包括組織人員的誠信、職業(yè)道德和工作勝任能力、董事會或者審計委員會、管理層經(jīng)營理念和經(jīng)營風(fēng)格、組織結(jié)構(gòu)、企業(yè)的權(quán)責(zé)分配方法和人力資源政策。[4]

（二）風(fēng)險評估

風(fēng)險評估就是識別、分析相關(guān)風(fēng)險以實現(xiàn)既定目標(biāo)，是風(fēng)險管理的基礎(chǔ)。風(fēng)險評估是從目標(biāo)、風(fēng)險識別、管理變化三個方面進行。它隨著經(jīng)濟、行業(yè)、監(jiān)管和經(jīng)營條件而不斷的發(fā)生變化。[5]

（三）控制活動

控制活動是為了防范風(fēng)險而采取的有助于管理層決策順利實施的政策和程序、信息系統(tǒng)控制、實體特征控制。包括授權(quán)、業(yè)績評價、信息處理、實物控制和職責(zé)分離等。[6]控制活動又可以分為預(yù)防性控制、檢查性控制、人工控制、計算機控制、管理層控制等類型。

（四）信息與溝通

信息系統(tǒng)產(chǎn)生各種報告，包括經(jīng)營、財務(wù)、合規(guī)等方面，使得對經(jīng)營的控制成為可能。處理的信息包括內(nèi)部生成的數(shù)據(jù)，也包括可用于經(jīng)營決策的外部事件、活動、狀況的信息和報告。所有人員都要理解自己在控制系統(tǒng)中所處的位置，以及相互的關(guān)系；必須認(rèn)真對待控制賦予自己的責(zé)任，同時也必須同外部團體如客戶、供貨商、監(jiān)管機構(gòu)和股東進行有效的溝通。

（五）監(jiān)控

監(jiān)控是對內(nèi)控有效性進行評估的過程，實質(zhì)上是內(nèi)部控制的再控制，包括持續(xù)監(jiān)督、獨立評估和缺陷報告等。

二、A公司的內(nèi)部控制分析

（一）概況

A公司是經(jīng)保監(jiān)會批準(zhǔn)成立的財產(chǎn)保險公司。幾年來，A公司本著“資本充足、管理規(guī)范、內(nèi)控嚴(yán)密、質(zhì)量和效益優(yōu)良”的經(jīng)營理念，已經(jīng)在全國范圍內(nèi)成了分支公司，形成了業(yè)務(wù)覆蓋全國的財產(chǎn)保險公司，公司在風(fēng)險管理上做了多方面的探索和努力。

（二）內(nèi)部控制體系

A公司內(nèi)部在業(yè)務(wù)流程、財務(wù)流程、資金流程、IT流程等各個方面制定了與相關(guān)業(yè)務(wù)匹配的政策與程序，但是沒有形成系統(tǒng)的內(nèi)部控制文件和體系，以下將按照COSO框架逐一進行分析。

1.控制環(huán)境

（1）誠信與職業(yè)道德

A公司企業(yè)文化強調(diào)了艱苦奮斗、窮盡資源、勇于奉獻的創(chuàng)業(yè)文化，要求“資本充足、管理規(guī)范、內(nèi)控嚴(yán)密、質(zhì)量和效益優(yōu)良”地發(fā)展公司業(yè)務(wù)，公司有明確的員工行為手冊，在平時各種會議中也積極宣傳合規(guī)經(jīng)營的理念，對于違反有關(guān)政策和行為規(guī)范的情況，管理層基本能夠采取適當(dāng)?shù)膽土P措施。

（2）對員工勝任能力的關(guān)注

A公司基本上建成了一只與其規(guī)模相匹配的人員隊伍，建立了干部選拔、聘用等相關(guān)的制度，配合其崗位職責(zé)，A公司明確了員工的完成其工作所需的知識和技能，并經(jīng)常對各條線的員工進行政策、流程、知識技能等的培訓(xùn)，不斷地提升員工的勝任能力。

（3）董事會或者審計委員會

A公司董事會下設(shè)審計部以及合規(guī)部，協(xié)助董事會進行風(fēng)險管控。各級分公司的負(fù)責(zé)人為風(fēng)險管理的第一責(zé)任人，合規(guī)部為風(fēng)險管理的牽頭部門，對本單位及所屬單位的風(fēng)險進行管理，負(fù)責(zé)牽頭制定內(nèi)部控制制度以及對其執(zhí)行進行監(jiān)督與評價，處理內(nèi)控缺陷。

總公司董事會建立的風(fēng)險管理部門相對比較獨立，能夠及時對獲得敏感信息、違規(guī)行為進行調(diào)查監(jiān)督，有效地在總公司層面執(zhí)行了內(nèi)控的監(jiān)督與評價，但是各級分支機構(gòu)中，特別是收入規(guī)模較少的機構(gòu)，組織機構(gòu)設(shè)置相對比較簡單，人員素質(zhì)層次不齊，往往由其他部門人員兼任合規(guī)職能，其風(fēng)險管理職能的發(fā)揮明顯受到人員素質(zhì)、時間與精力、獨立性等方面的限制，有所欠缺。

（4）管理層的經(jīng)營理念和經(jīng)營風(fēng)格

公司管理層十分重視合規(guī)經(jīng)營，強調(diào)“資本充足、管理規(guī)范、內(nèi)控嚴(yán)密、質(zhì)量和效益優(yōu)良”發(fā)展思路，并采取了一系列的措施來實現(xiàn)合規(guī)經(jīng)營目標(biāo)，如重大事項會簽制、業(yè)務(wù)機構(gòu)的系統(tǒng)重要權(quán)限分級制、審計合規(guī)檢查、信息系統(tǒng)控制等。公司也一直關(guān)注信息系統(tǒng)建設(shè)與關(guān)鍵崗位的建設(shè)，每月均有由總公司處長級以上領(lǐng)導(dǎo)參加的數(shù)據(jù)分析會，強調(diào)數(shù)據(jù)的真實性，以客觀、真實數(shù)據(jù)分析基礎(chǔ)上行采取適當(dāng)?shù)陌l(fā)展策略。

（5）組織機構(gòu)與責(zé)權(quán)分配

公司結(jié)合行業(yè)慣例與業(yè)務(wù)實際成立了十三個部門與三個管理中心，業(yè)務(wù)部門按照業(yè)務(wù)內(nèi)容劃分，執(zhí)行專業(yè)化管理；管理部門按照職能劃分，并隨著公司發(fā)展、戰(zhàn)略進行調(diào)整。公司資產(chǎn)由實際使用部門管理，分公司綜合部為資產(chǎn)的實物管理部門，財務(wù)部為賬務(wù)管理部門，金融資產(chǎn)由總公司資金運用部管理，資產(chǎn)管理責(zé)權(quán)分明，政策完善。

（6）人力資源政策與實務(wù)

公司十分重視人才，明確發(fā)展要以人為本，重視人才的培養(yǎng)、引進、考核等，公司人事部制定了員工培訓(xùn)、晉升、績效考核、崗位調(diào)整、干部任免、后續(xù)教育等十二項人事管理制度。在各部門的職責(zé)體系下，均有具體的崗位職責(zé)，員工按照其職責(zé)的完成情況進行考核。各層級分支公司的人事制度執(zhí)行均有總公司人事部的監(jiān)控，執(zhí)行力度較好。

2.風(fēng)險評估

（1）目標(biāo)

隨著市場環(huán)境的劇烈變化，公司的戰(zhàn)略戰(zhàn)術(shù)也及時進行調(diào)整，除合規(guī)目標(biāo)因其遵循法律法規(guī)、監(jiān)管環(huán)境等相對比較穩(wěn)定外，經(jīng)營目標(biāo)、財務(wù)報告目標(biāo)隨著公司的戰(zhàn)略和戰(zhàn)術(shù)及時進行調(diào)整，一般情況下，年年中都會根據(jù)實際執(zhí)行情況對本年預(yù)算進行調(diào)整，以保證經(jīng)營目標(biāo)和財務(wù)目標(biāo)的可靠性。

各個部門在公司總體目標(biāo)下，根據(jù)其部門職責(zé)制定部門目標(biāo)以輔助公司目標(biāo)的實現(xiàn)，各部門負(fù)責(zé)人對其具體落實，并對結(jié)果負(fù)責(zé)。公司目標(biāo)盡可能實現(xiàn)量化管理，以便監(jiān)督、考核。

（2）風(fēng)險識別

風(fēng)險識別的職能與目標(biāo)實現(xiàn)是由相同層級執(zhí)行的，風(fēng)險識別與目標(biāo)實現(xiàn)的落實均分解到各級部門，最終分解到具體員工職責(zé)上，通過內(nèi)部控制政策與程序聯(lián)系起來，形成風(fēng)險識別政策與程序，而跨部門的風(fēng)險則通過部門會簽等形式予以解決，特殊風(fēng)險則由審計部門、合規(guī)部門以及總經(jīng)理室來識別。

（3）管理變化

今年年初公司成立了戰(zhàn)略企劃部，專門用于研究公司發(fā)展戰(zhàn)略與策略，識別環(huán)境變化、管理變化對公司目標(biāo)實現(xiàn)的影響，特別是存在重大風(fēng)險的情況，從而制定相關(guān)的對策。

3.控制活動

公司制定了各種政策與流程，進行活動控制，以實現(xiàn)其目標(biāo)。

（1）政策和程序

公司根據(jù)部門職責(zé)進行授權(quán)，并由總經(jīng)理室領(lǐng)導(dǎo)進行分管，實現(xiàn)管理與監(jiān)督。對各部門目標(biāo)進行分解，從而客觀地進行考核與評價。公司每個月的KPI經(jīng)營分析是授權(quán)與業(yè)績評價的最終結(jié)果。

各部門進行具體控制活動，并輔助信息系統(tǒng)的支撐，具體控制措施則受到負(fù)責(zé)人的管理方式等影響而不同，風(fēng)險控制點是否全面決定了設(shè)計控制活動的質(zhì)量。

（2）信息系統(tǒng)控制

公司已經(jīng)建立近十種信息系統(tǒng)，以支持公司的業(yè)務(wù)發(fā)展與數(shù)據(jù)管理。一般控制方面由三名處長負(fù)責(zé)，保證了系統(tǒng)的穩(wěn)定、恰當(dāng)運行。應(yīng)用方面，IT部根據(jù)各部門提出的需求對系統(tǒng)進行不斷的改造，其開發(fā)隊伍以及外援開發(fā)隊伍最多達到七八十人，證實了公司對于環(huán)境等變化的敏感性以及對信息系統(tǒng)建設(shè)重視程度。公司還積極與國外保險公司形成關(guān)系，以加強其信息系統(tǒng)建立與數(shù)據(jù)管理能力。

4.信息與溝通

（1）信息

公司已經(jīng)按照部門職責(zé)進行授權(quán)，員工能夠在權(quán)限范圍內(nèi)履行其職責(zé)，公司各部門員工在崗位職責(zé)的基礎(chǔ)上，能夠及時地獲得內(nèi)部、外部信息，但是由于保險業(yè)競爭非常激烈，各個競爭主體政策也一年多變，因此對行業(yè)競爭主體的信息收集與反應(yīng)成為公司制定戰(zhàn)術(shù)的關(guān)鍵所在。A公司各級分公司只是大概了解對方相關(guān)信息，沒有專門的機制和人員收集此類信息，制約了分支公司與市場互動程度，當(dāng)然此類信息也受到競爭主體的保密而較難收集。

（2）溝通

公司明確了員工的崗位職責(zé)，并定期對其考核，考核結(jié)果與績效相關(guān)，因此員工比較清楚了解自己的角色；管理層通過預(yù)算，OA文件等方式下達指令；員工之間通過騰訊通、OA等工具也能夠?qū)崿F(xiàn)較好的溝通，自上而下或者平等的溝通較為良好，自下而上的溝通渠道也較為通暢，其實際結(jié)果還取決于員工的素質(zhì)、責(zé)任心等。

5.監(jiān)督

（1）日常監(jiān)督

公司總經(jīng)理室各分管領(lǐng)導(dǎo)是各部門工作的直接上級監(jiān)督，審計部、合規(guī)部以及其他方面的監(jiān)督則是平級監(jiān)督，部門內(nèi)部為了實現(xiàn)其目標(biāo)而進行的控制與監(jiān)督則是內(nèi)部監(jiān)督，外部監(jiān)管機構(gòu)以及行政機構(gòu)的檢查則是外部監(jiān)督，幾種監(jiān)督方式構(gòu)成了交叉縱橫的監(jiān)督體系，很大程度上促進了公司內(nèi)部控制的有效執(zhí)行與改善。

（2）個別評價

管理層根據(jù)個別事項的性質(zhì)，形成了不同級別的特殊事項評價機制。具體執(zhí)行時依照一事一議的原則進行。

（3）內(nèi)部缺陷的及時處理、報告

管理層十分重視風(fēng)險管理，對于已經(jīng)識別的內(nèi)部缺陷能夠及時響應(yīng)，并根據(jù)風(fēng)險嚴(yán)重程度，成立不同層級的臨時組織應(yīng)對風(fēng)險，必要時，上報總經(jīng)理或者董事會。

三、A公司內(nèi)部控制改良建議

總體來講，雖然A公司沒有形成書面的內(nèi)部控制體系，但是基于業(yè)務(wù)、管理等原始需要，A公司已經(jīng)形成了較為全面的內(nèi)部控制政策與程序，執(zhí)行較為有效。根據(jù)COSO體系，結(jié)合上述分析，對于A公司內(nèi)部控制提出以下建議：

（一）完善內(nèi)控制度，形成內(nèi)控體系

內(nèi)部控制是實現(xiàn)風(fēng)險管理與主體持續(xù)有效運行的科學(xué)手段，國際大型公司內(nèi)部控制思想已深入人心，上市公司必須出具內(nèi)控報告。作為中小保險公司的A公司，為了提高管理能力、抵御風(fēng)險、實現(xiàn)公司穩(wěn)健發(fā)展，有必要形成書面的內(nèi)部控制制度與體系，并將其傳達到組織機構(gòu)最低層。內(nèi)部控制規(guī)范化、制度化是公司被動應(yīng)對風(fēng)險到主動管理風(fēng)險的實質(zhì)性轉(zhuǎn)變的重要標(biāo)志。

（二）完善組織架構(gòu)，明確內(nèi)控管理

公司已經(jīng)有審計部、合規(guī)部等部門進行風(fēng)險管理，但是由于缺乏整體內(nèi)控體系以及工作安排，兩部門的風(fēng)險管理更多地是基于部門職能的自主行為，缺乏有效的整合。而各部門的風(fēng)險識別與應(yīng)對存在同樣的問題。建議在形成完整內(nèi)部控制體系基礎(chǔ)上，成立風(fēng)險管理委員會，以協(xié)調(diào)整個內(nèi)部控制工作。

（三）提高人員素質(zhì)，促進內(nèi)控執(zhí)行

一些分支公司的內(nèi)部控制人員大多是兼職，專業(yè)知識與個人素質(zhì)層次不齊，嚴(yán)重影響了內(nèi)部控制執(zhí)行的效果與效率。員工是內(nèi)部控制活動執(zhí)行主體，沒有專業(yè)的知識以及個人的素質(zhì)作以輔助，再好的內(nèi)控體系都是空談，實現(xiàn)管理與控制的質(zhì)量的根本就是員工個人的勝任能力與素養(yǎng)，更何況更多的風(fēng)險來自于分支機構(gòu)層面。因此，不但要充實基層風(fēng)險管理崗位與人員，更要對其知識與素質(zhì)進行嚴(yán)格的篩選，并進行專業(yè)和符合公司實際的培訓(xùn)，以促進內(nèi)控有效執(zhí)行。

（四）加強信息管理，提高內(nèi)控效率

風(fēng)險管理與目標(biāo)實現(xiàn)第一步就是信息的獲得，A公司各部門已經(jīng)可以獲得相關(guān)信息，但是其渠道和質(zhì)量卻難以支持公司發(fā)展戰(zhàn)略。信息獲得的渠道應(yīng)當(dāng)是多元化的，特別是各地區(qū)的競爭主體信息的獲得更應(yīng)當(dāng)是自下而上的一個過程，更重要的是應(yīng)該建立一種機制與渠道，來獲得信息并實現(xiàn)總分的溝通，而這種機制更能夠強制分支公司進行信息收集，確保其市場政策與環(huán)境相一致。

（五）專業(yè)風(fēng)險識別，夯實風(fēng)險管理

由于風(fēng)險識別與目標(biāo)實現(xiàn)均屬于同一層次，各部門風(fēng)險識別效果會隨著本部門組織機構(gòu)、部門負(fù)責(zé)人風(fēng)險意識、責(zé)任心等因素而不同，難以實現(xiàn)有效的風(fēng)險掛你，而審計部與合規(guī)部參與其他部門活動的頻率與深度畢竟有限，風(fēng)險識別與管理難以保障，因此在部門內(nèi)部建立專門風(fēng)險管理崗位，將風(fēng)險管理目標(biāo)落實到部門負(fù)責(zé)人職能中并加以考核，或者建立部門間牽制風(fēng)險管理機制，都是提高部門風(fēng)險識別，夯實風(fēng)險管理的具體措施。

參考文獻：

[1] Coso. Enterprise Internal Control-Integrated Framework. 1992 （9）.

[2] SEC. Managements Reports on Internal Control over Financial Reporting and Certification of Disclosure in Exchange Act PeriodicReports. Final Rule，2003，June 5.

[3] 朱榮恩. 內(nèi)部控制評價[M].北京：時代經(jīng)濟出版社，2002，9：9.

[4] 中國注冊會計師協(xié)會.審計[M].北京：經(jīng)濟科學(xué)出版社，2008，4：179-184.

[5] 黃中正. 基于COSO框架的內(nèi)部控制評估研究[D].碩士學(xué)位論文. 成都：西南財經(jīng)大學(xué)，2007：43-45.

[6]黎代福.商業(yè)銀行全面風(fēng)險管理[D].博士學(xué)位論文.廈門：廈門大學(xué)，2006：105.