基于COSO框架下的XX財產保險公司內部控制研究

祁保華

摘要：中國保險行業近幾年飛速發展，競爭激烈，中小保險公司存在較大的經營風險。如果將COSO內部控制理論與中國保險行業的實際情況結合起來，形成保險行業風險控制實務，勢必會促進中國保險行業的健康、穩健發展。

本文對COSO框架的進行全面剖析，并將其應用到XX財產保險公司（以下簡稱“A公司”），通過定性分析方法探討該公司內部控制框架的相關內容，從而提出改善公司內部控制體建議，有效防范風險。

關鍵詞：內部控制；保險公司； COSO

美國證券交易委員會（SEC）要求備案的企業在年報中對企業內部控制制度及有效性做出報告，并建議使用COSO委員會在1992年發布的《內部控制——整體框架》報告作為企業管理層和注冊會計師進行內部控制的評價標準， COSO框架已經成為美國企業風險管理重要理論。

一、COSO理論體系

COSO委員會（ The Committee of Sponsoring Organization of The treadway Commission of The National Comission of Fraudulent Financial Reporting）是由美國會計學會、美國內部審計師協會、注冊會計師協會等組織成立的專門研究內部控制問題的組織。其于1992年發布了《內部控制——整體框架報告》（Enterprise Internal Control- Integrated Framework），1994年對其進行增補[1]。COSO報告指出，內部控制是由公司董事會、管理層和其他員工實施的，為實現經營的效果性和效率性、財務報告的可靠性以及適用法律、法規的遵守性等目標提供合理保證的一個過程。內部控制的根本目的是防范風險。COSO內部控制的首要目標是為了合理確保經營的效果和效率（基本經濟目標，包括績效、利潤目標和資源的安全），其后才是保證財務報告的可靠性（與對外公布的財務報表編制相關的，包括中期報告、合并財務報表中選取的數據的可靠性）和遵循相應的法律法規這兩個傳統的內控目標。COSO的發布標志著內部控制由結構階段進入整體框架階段。2002年7月《薩班斯——奧克利斯》（Sarbanes-Oxley Act）法案最終細則也明確表明COSO內部控制框架可以作為評估企業內部控制的標準。[2]

COSO《內部控制——整體框架》把內部控制劃分為五個相互關聯的要素，分別是控制環境（Control Environment）、風險評估（Risk Assessment）、控制活動（Control Activities）、信息與交流（Information and Communication）和監測（Monitoring）。每個要素承載三個目標：經營目標、財務報告目標、合規性目標。控制環境是整個內控系統的基石，支撐和決定著其他四個要素，是建立所有控制的基礎；風險評估是建立控制活動的先決條件；控制活動是內控體系的核心；信息與交流是控制系統的“血脈”，是內部控制的實質；監督位于內控系統頂端，是對其他內部控制的一種再控制。內部控制框架如圖1[3]：

（一）控制環境

控制環境是企業的氛圍、基調，直接影響著內部控制的執行的寬度與力度，是整個內部控制的基礎，主要包括組織人員的誠信、職業道德和工作勝任能力、董事會或者審計委員會、管理層經營理念和經營風格、組織結構、企業的權責分配方法和人力資源政策。[4]

（二）風險評估

風險評估就是識別、分析相關風險以實現既定目標，是風險管理的基礎。風險評估是從目標、風險識別、管理變化三個方面進行。它隨著經濟、行業、監管和經營條件而不斷的發生變化。[5]

（三）控制活動

控制活動是為了防范風險而采取的有助于管理層決策順利實施的政策和程序、信息系統控制、實體特征控制。包括授權、業績評價、信息處理、實物控制和職責分離等。[6]控制活動又可以分為預防性控制、檢查性控制、人工控制、計算機控制、管理層控制等類型。

（四）信息與溝通

信息系統產生各種報告，包括經營、財務、合規等方面，使得對經營的控制成為可能。處理的信息包括內部生成的數據，也包括可用于經營決策的外部事件、活動、狀況的信息和報告。所有人員都要理解自己在控制系統中所處的位置，以及相互的關系；必須認真對待控制賦予自己的責任，同時也必須同外部團體如客戶、供貨商、監管機構和股東進行有效的溝通。

（五）監控

監控是對內控有效性進行評估的過程，實質上是內部控制的再控制，包括持續監督、獨立評估和缺陷報告等。

二、A公司的內部控制分析

（一）概況

A公司是經保監會批準成立的財產保險公司。幾年來，A公司本著“資本充足、管理規范、內控嚴密、質量和效益優良”的經營理念，已經在全國范圍內成了分支公司，形成了業務覆蓋全國的財產保險公司，公司在風險管理上做了多方面的探索和努力。

（二）內部控制體系

A公司內部在業務流程、財務流程、資金流程、IT流程等各個方面制定了與相關業務匹配的政策與程序，但是沒有形成系統的內部控制文件和體系，以下將按照COSO框架逐一進行分析。

1.控制環境

（1）誠信與職業道德

A公司企業文化強調了艱苦奮斗、窮盡資源、勇于奉獻的創業文化，要求“資本充足、管理規范、內控嚴密、質量和效益優良”地發展公司業務，公司有明確的員工行為手冊，在平時各種會議中也積極宣傳合規經營的理念，對于違反有關政策和行為規范的情況，管理層基本能夠采取適當的懲罰措施。

（2）對員工勝任能力的關注

A公司基本上建成了一只與其規模相匹配的人員隊伍，建立了干部選拔、聘用等相關的制度，配合其崗位職責，A公司明確了員工的完成其工作所需的知識和技能，并經常對各條線的員工進行政策、流程、知識技能等的培訓，不斷地提升員工的勝任能力。

（3）董事會或者審計委員會

A公司董事會下設審計部以及合規部，協助董事會進行風險管控。各級分公司的負責人為風險管理的第一責任人，合規部為風險管理的牽頭部門，對本單位及所屬單位的風險進行管理，負責牽頭制定內部控制制度以及對其執行進行監督與評價，處理內控缺陷。

總公司董事會建立的風險管理部門相對比較獨立，能夠及時對獲得敏感信息、違規行為進行調查監督，有效地在總公司層面執行了內控的監督與評價，但是各級分支機構中，特別是收入規模較少的機構，組織機構設置相對比較簡單，人員素質層次不齊，往往由其他部門人員兼任合規職能，其風險管理職能的發揮明顯受到人員素質、時間與精力、獨立性等方面的限制，有所欠缺。

（4）管理層的經營理念和經營風格

公司管理層十分重視合規經營，強調“資本充足、管理規范、內控嚴密、質量和效益優良”發展思路，并采取了一系列的措施來實現合規經營目標，如重大事項會簽制、業務機構的系統重要權限分級制、審計合規檢查、信息系統控制等。公司也一直關注信息系統建設與關鍵崗位的建設，每月均有由總公司處長級以上領導參加的數據分析會，強調數據的真實性，以客觀、真實數據分析基礎上行采取適當的發展策略。

（5）組織機構與責權分配

公司結合行業慣例與業務實際成立了十三個部門與三個管理中心，業務部門按照業務內容劃分，執行專業化管理；管理部門按照職能劃分，并隨著公司發展、戰略進行調整。公司資產由實際使用部門管理，分公司綜合部為資產的實物管理部門，財務部為賬務管理部門，金融資產由總公司資金運用部管理，資產管理責權分明，政策完善。

（6）人力資源政策與實務

公司十分重視人才，明確發展要以人為本，重視人才的培養、引進、考核等，公司人事部制定了員工培訓、晉升、績效考核、崗位調整、干部任免、后續教育等十二項人事管理制度。在各部門的職責體系下，均有具體的崗位職責，員工按照其職責的完成情況進行考核。各層級分支公司的人事制度執行均有總公司人事部的監控，執行力度較好。

2.風險評估

（1）目標

隨著市場環境的劇烈變化，公司的戰略戰術也及時進行調整，除合規目標因其遵循法律法規、監管環境等相對比較穩定外，經營目標、財務報告目標隨著公司的戰略和戰術及時進行調整，一般情況下，年年中都會根據實際執行情況對本年預算進行調整，以保證經營目標和財務目標的可靠性。

各個部門在公司總體目標下，根據其部門職責制定部門目標以輔助公司目標的實現，各部門負責人對其具體落實，并對結果負責。公司目標盡可能實現量化管理，以便監督、考核。

（2）風險識別

風險識別的職能與目標實現是由相同層級執行的，風險識別與目標實現的落實均分解到各級部門，最終分解到具體員工職責上，通過內部控制政策與程序聯系起來，形成風險識別政策與程序，而跨部門的風險則通過部門會簽等形式予以解決，特殊風險則由審計部門、合規部門以及總經理室來識別。

（3）管理變化

今年年初公司成立了戰略企劃部，專門用于研究公司發展戰略與策略，識別環境變化、管理變化對公司目標實現的影響，特別是存在重大風險的情況，從而制定相關的對策。

3.控制活動

公司制定了各種政策與流程，進行活動控制，以實現其目標。

（1）政策和程序

公司根據部門職責進行授權，并由總經理室領導進行分管，實現管理與監督。對各部門目標進行分解，從而客觀地進行考核與評價。公司每個月的KPI經營分析是授權與業績評價的最終結果。

各部門進行具體控制活動，并輔助信息系統的支撐，具體控制措施則受到負責人的管理方式等影響而不同，風險控制點是否全面決定了設計控制活動的質量。

（2）信息系統控制

公司已經建立近十種信息系統，以支持公司的業務發展與數據管理。一般控制方面由三名處長負責，保證了系統的穩定、恰當運行。應用方面，IT部根據各部門提出的需求對系統進行不斷的改造，其開發隊伍以及外援開發隊伍最多達到七八十人，證實了公司對于環境等變化的敏感性以及對信息系統建設重視程度。公司還積極與國外保險公司形成關系，以加強其信息系統建立與數據管理能力。

4.信息與溝通

（1）信息

公司已經按照部門職責進行授權，員工能夠在權限范圍內履行其職責，公司各部門員工在崗位職責的基礎上，能夠及時地獲得內部、外部信息，但是由于保險業競爭非常激烈，各個競爭主體政策也一年多變，因此對行業競爭主體的信息收集與反應成為公司制定戰術的關鍵所在。A公司各級分公司只是大概了解對方相關信息，沒有專門的機制和人員收集此類信息，制約了分支公司與市場互動程度，當然此類信息也受到競爭主體的保密而較難收集。

（2）溝通

公司明確了員工的崗位職責，并定期對其考核，考核結果與績效相關，因此員工比較清楚了解自己的角色；管理層通過預算，OA文件等方式下達指令；員工之間通過騰訊通、OA等工具也能夠實現較好的溝通，自上而下或者平等的溝通較為良好，自下而上的溝通渠道也較為通暢，其實際結果還取決于員工的素質、責任心等。

5.監督

（1）日常監督

公司總經理室各分管領導是各部門工作的直接上級監督，審計部、合規部以及其他方面的監督則是平級監督，部門內部為了實現其目標而進行的控制與監督則是內部監督，外部監管機構以及行政機構的檢查則是外部監督，幾種監督方式構成了交叉縱橫的監督體系，很大程度上促進了公司內部控制的有效執行與改善。

（2）個別評價

管理層根據個別事項的性質，形成了不同級別的特殊事項評價機制。具體執行時依照一事一議的原則進行。

（3）內部缺陷的及時處理、報告

管理層十分重視風險管理，對于已經識別的內部缺陷能夠及時響應，并根據風險嚴重程度，成立不同層級的臨時組織應對風險，必要時，上報總經理或者董事會。

三、A公司內部控制改良建議

總體來講，雖然A公司沒有形成書面的內部控制體系，但是基于業務、管理等原始需要，A公司已經形成了較為全面的內部控制政策與程序，執行較為有效。根據COSO體系，結合上述分析，對于A公司內部控制提出以下建議：

（一）完善內控制度，形成內控體系

內部控制是實現風險管理與主體持續有效運行的科學手段，國際大型公司內部控制思想已深入人心，上市公司必須出具內控報告。作為中小保險公司的A公司，為了提高管理能力、抵御風險、實現公司穩健發展，有必要形成書面的內部控制制度與體系，并將其傳達到組織機構最低層。內部控制規范化、制度化是公司被動應對風險到主動管理風險的實質性轉變的重要標志。

（二）完善組織架構，明確內控管理

公司已經有審計部、合規部等部門進行風險管理，但是由于缺乏整體內控體系以及工作安排，兩部門的風險管理更多地是基于部門職能的自主行為，缺乏有效的整合。而各部門的風險識別與應對存在同樣的問題。建議在形成完整內部控制體系基礎上，成立風險管理委員會，以協調整個內部控制工作。

（三）提高人員素質，促進內控執行

一些分支公司的內部控制人員大多是兼職，專業知識與個人素質層次不齊，嚴重影響了內部控制執行的效果與效率。員工是內部控制活動執行主體，沒有專業的知識以及個人的素質作以輔助，再好的內控體系都是空談，實現管理與控制的質量的根本就是員工個人的勝任能力與素養，更何況更多的風險來自于分支機構層面。因此，不但要充實基層風險管理崗位與人員，更要對其知識與素質進行嚴格的篩選，并進行專業和符合公司實際的培訓，以促進內控有效執行。

（四）加強信息管理，提高內控效率

風險管理與目標實現第一步就是信息的獲得，A公司各部門已經可以獲得相關信息，但是其渠道和質量卻難以支持公司發展戰略。信息獲得的渠道應當是多元化的，特別是各地區的競爭主體信息的獲得更應當是自下而上的一個過程，更重要的是應該建立一種機制與渠道，來獲得信息并實現總分的溝通，而這種機制更能夠強制分支公司進行信息收集，確保其市場政策與環境相一致。

（五）專業風險識別，夯實風險管理

由于風險識別與目標實現均屬于同一層次，各部門風險識別效果會隨著本部門組織機構、部門負責人風險意識、責任心等因素而不同，難以實現有效的風險掛你，而審計部與合規部參與其他部門活動的頻率與深度畢竟有限，風險識別與管理難以保障，因此在部門內部建立專門風險管理崗位，將風險管理目標落實到部門負責人職能中并加以考核，或者建立部門間牽制風險管理機制，都是提高部門風險識別，夯實風險管理的具體措施。

參考文獻：

[1] Coso. Enterprise Internal Control-Integrated Framework. 1992 （9）.

[2] SEC. Managements Reports on Internal Control over Financial Reporting and Certification of Disclosure in Exchange Act PeriodicReports. Final Rule，2003，June 5.

[3] 朱榮恩. 內部控制評價[M].北京：時代經濟出版社，2002，9：9.

[4] 中國注冊會計師協會.審計[M].北京：經濟科學出版社，2008，4：179-184.

[5] 黃中正. 基于COSO框架的內部控制評估研究[D].碩士學位論文. 成都：西南財經大學，2007：43-45.

[6]黎代福.商業銀行全面風險管理[D].博士學位論文.廈門：廈門大學，2006：105.