中国人寿保险股份有限公司
防范舞弊风险内部控制手册
中国人寿保险股份有限公司审计部
二OO四年六月
目录
1 手册概述 1.1 1.2 1.3 1.4 防范舞弊风险的定义
防范舞弊风险内部控制手册内容 内部控制手册遵循性要求 颁布及生效日期
1 1 1 1 1 2 2 3 3 5 5 6 8 8 9 10 10 11 13 15 16 16 17 18 19 19 20 22 2 防范舞弊风险控制环境 2.1 2.2 2.3 2.4 2.5 2.6 行为道德准则 防范舞弊责任 积极的工作环境
雇佣和提升适当的职员 培训
舞弊行为的处理和追究
3 舞弊风险的评估 3.1 识别舞弊风险 3.2 评估舞弊风险 3.3 管理舞弊风险 4 防范舞弊财务控制 4.1 防范资产舞弊
4.2 防范会计信息舞弊 4.3 防范税务舞弊 5 防范舞弊的信息与沟通 5.1 防范舞弊的内部沟通 5.2 防范舞弊的外部沟通
5.3 防范信息系统和技术舞弊 6 防范舞弊风险监督 6.1 监事会与审计委员会 6.2 内部审计师 6.3 管理层
防范舞弊风险内部控制手册
1 手册概述
舞弊是指导致会计报表产生不实反映的故意行为。从不断暴露的会计丑闻及财务欺诈案看,舞弊已成为一个国际性问题。舞弊行为造成公司资产受到侵蚀、吞占,导致公司的财务状况和财务成果不能真实反映,影响公司经营的效率和效益,国家税收流失。舞弊的存在严重损害了公司、股东及国家的利益。
1.1 防范舞弊风险的定义
防范舞弊风险是指为提高公司经营的效率和效益,最大限度地保护公司资产的安全完整,保证会计信息的真实可靠,维护股东的合法权利和利益,保证法律、法规的有效遵循,而在系统内部实施一系列控制制度和措施,以控制和减少舞弊的滋生和发展。
1.2 防范舞弊风险内部控制手册内容
防范舞弊的最为有效的办法之一是保持一个健全、有效的内部控制系统。我公司在完善内部控制机制的同时,针对舞弊风险,不断完善防范舞弊风险的控制机制,并根据COSO报告1内部控制框架,制定了《防范舞弊风险内部控制手册》。本手册包括五部分内容,分别从控制环境、风险评估、财务控制、信息和沟通、监督五个方面阐述公司防范舞弊风险的控制机制。
1.3 内部控制手册遵循性要求
防范舞弊是一种全员行为,本手册对公司管理层及员工具有普遍约束力,各相关人员应当严格遵循手册中列明的各项制度、措施,并清晰了解自己在防范舞弊中的责任及作用,积极防范舞弊行为。
1.4 颁布及生效日期
本手册自颁布之日起生效。
1 1995年,美国反对虚假财务报告委员会的赞助组织委员会通过广泛的调查研究后出具的一份报告,对内部控制提出了一个新的定义:内部控制是受企业董事会、管理当局和其他职员的影响,旨在取得经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证的一种过程。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督五个方面的内容。
―1―
防范舞弊风险内部控制手册
2 防范舞弊风险控制环境
控制环境决定了公司的管理基调,对员工的道德、行为有潜移默化的影响,它也影响风险评估、控制活动、信息和沟通以及监督的设计和运转。防范舞弊风险控制环境包括:行为道德准则、防范舞弊责任、积极的工作环境、雇佣和提升适当的职员、培训以及舞弊行为的处理和追究。
2.1 行为道德准则
行为道德准则是对员工行为道德的基本规范,并向员工传递公司的核心价值和企业文化,是防范舞弊风险的环境基础。在缺乏道德背景或行为指导的情况下,员工容易产生错误的观念和舞弊的行为。
2.1.1 控制措施
建立针对高层管理者、财务专业人员以及所有员工的行为道德准则。行为道德准则包括诚信和道德、利益冲突、公司资产保护、保密、遵循道德守则和管理制度、舞弊行为列表以及举报舞弊行为的责任等;
监事会、审计委员会和各级管理者分别监督高层管理者和一般员工执行行为道德准则的情况,通过适当的工作程序和方式保证能够进行持续有效的监督,并通过工作记录来证实这种持续的监督。
2.1.2 实施情况
公司编写了《领导干部廉洁自律手册》; 公司已经制定或正在制定的相关制度有:
制定了《中国人寿保险股份有限公司公司章程》,对高级管理人员遵守诚信原则应履行的义务有所描述;
制定了《中国人寿保险股份有限公司监事会议事规则》及《中国人寿
―2―
防范舞弊风险内部控制手册
保险股份有限公司审计委员会议事规则》;
公司正在制定《员工行为守则》;
公司正在制定《管理人员职业道德准则》;
公司正在修订各部门职责,编写岗位说明书,对各级管理者职责说明中已明确规定其对行为道德准则所负的监督责任。
2.2 防范舞弊责任
防范舞弊风险是公司内每个员工的责任,尤其是高层管理者、财务人员、业务人员等存在高舞弊风险的人员的责任,定期的确认他们对防范舞弊所负的责任,有助于规范他们的行为,并促使他们及时审视有无违反职业道德的情形,防止舞弊的发生。
2.2.1 控制措施
高层管理者、财务人员、业务人员等存在高舞弊风险的人员至少每年签署一个行为守则声明,声明中包括明确自己的工作职责、应遵循的行为道德准则以及防范舞弊风险的责任,并且保证自己及负责的员工严格遵循行为道德准则。
2.2.2 实施情况
公司已建立了法人授权经营管理制度,各分公司总经理每年签署《法人授权书》,对不能行使的权限予以声明;
公司正在制定《员工行为守则》及《管理人员职业道德准则》应包括相关事宜。
2.3 积极的工作环境
工作环境对员工的行为和道德产生重要的影响,积极的工作环境使员工乐于接受公司的目标和各项规章制度,减少舞弊的可能性。若员工感到压力过大、被不公
―3―
防范舞弊风险内部控制手册
平对待、没有明确的工作目标或职责等,容易产生不诚实、不道德或非法的行为。
2.3.1 控制措施
建立合理的激励机制,对员工良好的行为和业绩应给予关注和奖励; 建立目标确定机制,确保设定的预算和其它财务、业务目标合理可行,并定期核查和及时修正目标;
建立科学的业绩考核机制,引导各级公司管理者和员工从事与公司整体目标相一致的活动;
建立团队导向的决策机制,员工能参与管理,充分调动员工的积极性; 有明确的部门和岗位职责说明,并以正式文件形式予以确定; 为员工提供有竞争力的报酬以及公平的培训和提升机会;
建立岗位轮换制度和高风险岗位强制休假制度。
2.3.2 实施情况
公司正在制定业绩考核管理系统;
每年根据《中国人寿保险公司全面预算管理办法》制定年度《预算纲要与预算编制指引》指导系统预算管理工作;
公司正在修订各部门职责,编写岗位说明书,对各部门岗位进一步明确,待此项工作完成后,人力资源部会根据岗位情况进行招聘,保证有足够的员工执行公司任务;
公司制定了《中国人寿保险公司司务会议制度》及《中国人寿保险股份有限公司关于规范总经理办公会时间和议题的通知》,规定了相关事宜; 公司正在制定符合市场竞争机制的薪酬体系;
公司沿用《中国人寿保险公司教育培训纲要》和《中国人寿保险公司教育培
―4―
防范舞弊风险内部控制手册
训大纲》,已制定了关于培训计划、培训经费预算管理暂行办法;
《中国人寿保险公司总部员工聘任聘用暂行规定》规定了岗位轮换相关事宜;
尚需建立高风险岗位强制休假制度。
2.4 雇佣和提升适当的职员
公司职员(包括公司员工和代理人)的道德是防范舞弊风险的关键,避免雇佣和提升不道德的职员是一种有效的防范舞弊方式。
2.4.1 控制措施
对准备雇佣和提升员工的背景进行调查,尤其是不道德或非法的行为; 深入考核候选人的教育背景、职业经历以及个人偏好;
持续评价员工行为与公司目标和行为规范的一致性,及时发现和指出违规的行为。
2.4.2 实施情况
公司正在制定《中国人寿保险股份有限公司总部员工调配暂行规定》,规定了对拟聘雇员进行考察;
公司正在制定《中国人寿保险股份有限公司总公司处经理以上人员聘任聘用暂行办法》,规定了相关事宜; 公司正在制定业绩考核管理系统。
2.5 培训
培训是公司向员工灌输诚信的企业文化和防范舞弊控制意识的有效途径,缺乏及时和持续的培训,员工容易由于无知造成和纵容舞弊。
2.5.1 控制措施
―5―
防范舞弊风险内部控制手册
对新员工进行公司价值和行为规范的培训,培训的内容必须包括发现并报告舞弊问题的职责、舞弊问题列表以及怎样进行报告等;
根据员工的职位、岗位等进行持续的有针对性的培训,培训的内容应包括:公司价值、行为道德准则、各岗位的工作规范等;
建立代理人培训制度,定期对代理人进行有关行为道德和舞弊惩罚的培训。
2.5.2 实施情况
公司设立了专门部门管理个险销售队伍的培训工作,总公司制定销售队伍核心培训课程和教材,分公司研究开发适合本地区销售队伍的非制式课程和教材。
公司制定的相关制度如下:
《中国人寿保险公司教育培训纲要》; 《中国人寿保险公司教育培训大纲》;
《中国人寿保险公司代理人职业道德建设纲要》;
《中国人寿保险公司个人代理人职业道德与行为规范教育培训方案》; 《中国人寿保险股份有限公司组训管理制度》;
《中国人寿保险股份有限公司个险销售种子讲师、授权讲师管理办法》;
《中国人寿保险公司个人代理人(业务员)销售活动管理规范》。
2.6 舞弊行为的处理和追究
对舞弊行为迅速地确认、惩处并进行适当的宣传,会使员工相信,如果背离行为标准,他们将承担相应后果;同时对舞弊行为责任人进行严厉的处理,可以减少舞弊机会。
―6―
防范舞弊风险内部控制手册
2.6.1 控制措施
有适当的部门对舞弊事件进行深入调查;
建立处理和追究制度,对舞弊行为当事人和责任人进行严明、一贯的处罚; 建立通报制度,对舞弊行为在公司适当范围内进行宣传;
建立与保监会、保险同业公会和保险行业协会的有关舞弊行为的相互通报制度,及时获得和传递保险从业人员的污点记录信息,对舞弊人员在行业内进行处罚和禁用。
2.6.2 实施情况
公司已经或正在制定的相关制度如下:
公司已制定《中国人寿保险股份有限公司监察部门案件调查处理暂行办法》;
公司正在制定《中国人寿保险股份有限公司案件防范工作责任制暂行规定》;
公司正在制定《中国人寿保险股份有限公司反腐败抓源头责任制暂行规定》;
公司正在制定《中国人寿保险股份有限公司员工违纪违规处理暂行规定》。
对于突发案件,我公司目前主要是采取书面形式向部门领导及公司总经理室报告情况,一般不向其他部门通报。公司制定的制度有:
《中国人寿保险股份有限公司违法违纪违规案件管理办法》,规定了发生重大案件以《要情快报》方式报告;
《中国人寿保险股份有限公司总经理室向董事会通报经济案件的制
―7―
防范舞弊风险内部控制手册
度》,规定了对重大案件以书面形式及时报告。
公司定期通过集团公司向保监会报告信访件统计数字和经济案件; 公司尚需建立与保险同业公会和保险行业协会的有关舞弊行为的相互通报制度。
3 舞弊风险的评估
建立恰当的舞弊风险评估机制,是整个防范舞弊控制过程的基础和先决条件。包括对舞弊风险区域的识别,对已识别的舞弊风险进行量化评估并制定应对措施,以及对舞弊风险进行管理,随时掌握风险的变化情况并及时调整应对措施。
3.1 识别舞弊风险
为保证舞弊风险能被有效的识别,从而保证公司经营的效率和效益、对法律法规的遵循以及财务报表的真实可信,必须建立系统的舞弊风险识别机制。缺乏舞弊风险识别机制会造成舞弊风险识别工作无序进行,导致舞弊风险不能被及时、准确、全面的识别,从而影响公司目标的实现。
3.1.1 控制措施
建立适当的风险识别机制,确定管理层及各职能部门的风险识别责任,确立风险识别的科学程序,将风险识别工作日常化;
全面考虑在公司内部存在舞弊风险的各个重点区域,包括财务报表信息、资产保全、管理层、信息系统等;
将舞弊风险按重要程度排列识别优先次序,确定重点关注的风险; 采用科学的舞弊风险识别方法,规范、提高风险识别人员的技术,避免个人主观判断导致风险识别不完全或不准确。
3.1.2 实施情况
―8―
防范舞弊风险内部控制手册
公司已成立风险管理部负责公司各个层面的风险识别工作,正在建立全面风险管理体制与机制,识别来自公司外部和内部的风险;
目前正在建立全面风险管理架构的基础上,要求各级公司和各部门在风险管理部指导下进行整合,明确各级公司和部门的风险识别责任;
风险管理部已根据风险的特征和风险大小加以排序,形成了公司风险状况的风险管理表;
尚需建立科学的舞弊风险识别方法。
3.2 评估舞弊风险
建立舞弊风险评估机制,对已识别的舞弊风险及时进行分析处理和量化评估,确定恰当的应对措施。缺乏科学系统的舞弊风险评估机制会造成评估不及时或随意性强、评估结果可靠性差,以至于不能恰当控制舞弊风险,给公司造成损失。
3.2.1 控制措施
建立风险分析机制,判断舞弊风险的重要性程度,按风险的严重程度优先处理;
通过科学系统的方法分析舞弊风险,对舞弊风险发生的概率和可能造成的损失程度进行量化评估;
由相关专业人士对已确认的舞弊风险制定适当的应对措施;
判断现有控制程序和已制定的舞弊风险应对措施对控制已识别的舞弊风险是否适当,并对降低风险水平所需成本和降低风险水平后所获得的效益进行成本效益分析。
3.2.2 实施情况
风险管理部已根据风险的特征和风险大小加以排序,形成了公司风险状况的
―9―
防范舞弊风险内部控制手册
风险管理表,确定风险的优先处理次序;
风险管理部已确定采用压力测试、情景模拟等科学方法进行风险评估; 尚需建立机制由相关专业人士对已确认风险制定适当的应对措施;
尚需建立机制对现有风险应对措施的适用性进行判断,并进行成本效益分析。
3.3 管理舞弊风险
管理舞弊风险是指:随时监控已识别舞弊风险的发展变化,保持对现有风险的控制,并对新产生的舞弊风险及时做出应对。对舞弊风险的低效管理,导致对舞弊风险失去控制,增加舞弊发生的可能性,给公司造成损失。
3.3.1 控制措施
对已识别舞弊风险的影响因素进行定期复核,时刻监督舞弊风险的发展状况:是已经发生、仍然存在还是已经消失; 判断有无新的舞弊风险随着环境变化而产生,并制定相应的处理措施; 对应对措施执行情况进行周期性或阶段性检查,评估其执行效果,并及时进行修正。
3.3.2 实施情况
已建立风险评估模型,但因技术因素而暂时未能对重要风险进行有效的实时监控;
正在制定风险处臵机制并报风险管理委员会待批,包括成立风险处臵决策委员会,建立风险处臵决策制度和流程,确定处臵善后方案等; 尚需建立机制对新的风险进行判断,并制定相应处理措施。
4 防范舞弊财务控制
―10―
防范舞弊风险内部控制手册
舞弊直接导致公司的资产受到非法侵占、盗用,会计信息严重失真,公司管理层必须实施严格的财务控制,以保证会计信息的真实可靠、资产的安全完整及法律法规的有效遵循。
4.1 防范资产舞弊
资产舞弊风险是指为达到贪污、挪用资金,侵占侵吞实物资产等目的,利用内部控制的缺陷或薄弱环节,通过虚构或隐瞒业务、隐匿篡改凭证、使用过渡性会计科目等方式进行舞弊的可能。
4.1.1 控制措施
严格支票及印鉴管理制度,对资金实行限额管理; 实行收支两条线制度,防止坐支收入的行为;
坚持现金日清月结及盘点制度,加强银行存款的对账工作,并及时编制调节表,防止资金被贪污、挪用;
建立适当的授权审批制度,明确授权批准的环节、方式、权限、程序、责任等相关措施;
对资产的增减变化情况进行及时、完整、准确的记录和核算;
建立、健全资产保全制度,采取限制接触资产、财产保险等措施,确保财产的安全完整;
建立完善的资产盘点、清查制度,定期或不定期对公司资产进行盘点,保证公司资产账实相符;
对大宗资产的集中采购或变卖、出售等事项,确立招标、拍卖等市场运作方式;
建立、健全岗位分工负责制,对资产记录、使用和保管等不相容岗位实行分
―11―
防范舞弊风险内部控制手册
离,实行岗位定期轮换制度;
制定处罚及追究制度,对各种故意造成公司资产浪费、损毁的行为进行处理处罚,并追究相关责任人的责任。
4.1.2 实施情况
公司设立了专门管理资金及固定资产的岗位或处室,以制定及监督执行相关制度;
公司正在开发完善全系统内的固定资产管理模块,并进一步健全固定资产卡片管理制度;
公司准备在全系统内实施固定资产、无形资产季报(或月报),逐步实现总部时时监控分公司资产增减变化情况; 公司已制定或正在制定以下资产管理制度:
已制定《中国人寿保险公司资金管理办法》;
已制定《中国人寿保险公司周转金限额管理暂行规定》; 已制定《中国人寿保险公司资金清算中心实施方案》;
已制定《中国人寿保险股份有限公司财务部资金调度管理规定(征求意见稿)》;
已制定《中国人寿保险公司银行代理业务资金管理规定》; 已制定《中国人寿保险公司关于集中采购业务付款流程的规定》; 已制定《中国人寿保险公司关于几类报销和付款问题的规定(征求意见稿)》;
已制定《股份公司代理集团公司业务资金管理办法(征求意见稿)》; 已制定《中国人寿保险公司协议存款管理办法》;
―12―
防范舞弊风险内部控制手册
已制定《中保人寿保险公司国债投资管理制度(试行办法)》; 已制定《中国人寿保险股份有限公司关于报送的通知>; 已制定《中国人寿保险公司关于并账固定资产财务管理办法的通知》; 目前正在修订《中国人寿保险股份有限公司集中采购管理办法》、《中国人寿保险股份有限公司固定资产投资管理办法》;
4.2 防范会计信息舞弊
会计信息舞弊风险是指公司在确认损益、调整会计账目、会计估计、披露重大不寻常交易及内部交易时,为达到粉饰业绩、偷逃税金、转移资金等目的,采取故意伪造、变造记录或凭证、隐瞒或删除交易或事项、记录虚假的交易或事项、蓄意使用不当的会计政策等手段,造成会计报告不能如实反映公司经营状况和经营成果,使会计信息失去真实性和可靠性的可能。
4.2.1 控制措施
建立、健全岗位分工负责制,对不相容岗位实行分离,建立岗位轮换制度; 按照相关制度规定,建立并严格执行授权审批制度;
严格遵守损益确认原则,尤其要严格遵守结账时点,严禁提前或推迟结账时间;
严格按照公司相关规定,进行业务操作和单证流转,对财务、业务接口程序进行正确设臵和及时维护;
设立专门的复核岗,对业务单据、财务票据的完整性、合法合规性进行严格审核;
建立财务、业务数据的日核对、月核对制度,防止隐瞒、虚报及保费收入串
―13―
防范舞弊风险内部控制手册
户等。
会计调整事项应严格按照法律、监管法规及会计制度、规定做出,并选择恰当的调整方法;
会计估计必须依据不确定事项最新的信息、资料做出,并及时对会计估计进行修订;
严格执行内部交易、重大不寻常交易及或有事项的记录与披露制度,按照制度要求对外披露;
严格重大、不寻常交易的审批,加强对重大不寻常交易的监督,重大不寻常交易应实行集体决策;
制定处罚及追究制度,对各种故意造成会计信息失真的行为进行处理处罚,并追究相关责任人的责任。
4.2.2 实施情况
公司正在对财务系统进行升级,以加强对财务信息的内部控制;
公司现在正在制定《信息披露管理机制和程序》及《财务报告内部管理机制》; 公司已制定以下财务信息管理制度:
《中国人寿保险公司财务管理办法》;
《中国人寿保险股份有限公司会计制度(试行)》; 《中国人寿保险公司会计基础工作规范(试行)》;
《中国人寿保险公司会计电算化工作规范(试行)》; 《中国人寿保险公司会计档案管理规定(试行)》;
《中国人寿保险公司财务中心实施方案》;
―14―
防范舞弊风险内部控制手册
《中国人寿保险公司省级分公司财务集中管理实施方案》
《中国人寿保险公司收付费岗位职责及业务财务数据衔接基础工作操作实务》;
《关于增设会计科目及调整会计报表格式的通知》;
《中国人寿保险公司外汇业务财务管理和会计核算暂行规定》; 《分红保险会计核算与财务管理规定(试行)》、《分红保险计算机账务处理规定》及《关于的说明》;
《团体年金保险(补充养老型)会计核算和财务管理暂行规定》和《关于的说明》;
4.3 防范税务舞弊
税务舞弊是指公司为达到少缴或不缴各种税款的目的,通过伪造、变造、隐匿、擅自销毁账簿和记账凭证等方式,采取直接减少应纳税额,隐瞒应纳税业务,故意混淆税率和少计收入、多列费用等手段进行舞弊行为。
4.3.1 控制措施
财务部应设臵能力胜任的税务核算人员负责纳税申报,包括准备申报材料,编制纳税调节申报表及相关凭证;
税务核算人员应保持与税务部门的业务联系,接受其业务指导,并及时了解最新的税务法规;
财务部门应由专人复核纳税申报金额与付款金额;
―15―
防范舞弊风险内部控制手册
各种申报资料和涉税记账凭证必须经过有关负责人的审批; 公司应在适当时机考虑聘请外部专业人士做税务符合性审计。
4.3.2 实施情况
公司设立了专门处理税务事项的岗位或处室负责纳税申报,并与税务部门保持业务联系;
公司组织有关人员对税务机关的最新规定不定期跟踪学习; 公司计划将税务事项的处理合规性纳入对分公司的考核体系中; 公司各种申报资料和涉税记账凭证经过专人复核及审批; 公司聘请普华永道会计师事务所在年审时对税务部分进行审核; 公司正在制定及完善税务方面的管理制度。
5 防范舞弊的信息与沟通
防范舞弊政策必须有效地传达给每个员工,使员工能够履行他们的职责。在舞弊案件的预防和查处过程中,还应建立相应的外部沟通、协调机制。公司的信息系统和技术是防范舞弊程序的重要组成部分,因此必须对信息系统和技术存在的缺陷建立相应的控制措施。
5.1 防范舞弊的内部沟通
防范舞弊的内部沟通包括防范舞弊政策的贯彻,对舞弊行为的举报,以及部门间防范舞弊信息的沟通。如果没有顺畅的内部沟通,就会加大舞弊行为发生的可能。
5.1.1 控制措施
公司的防范舞弊政策必须有效地传达给每个员工,使其了解公司对防范舞弊的严肃立场;并能够以一定的方式履行他们在防范舞弊过程中的职责;
―16―
防范舞弊风险内部控制手册
建立防范舞弊信息在部门间的沟通机制;
审计委员会应建立道德规范热线或其他举报程序,以收集舞弊信息、接收举报等。
5.1.2 实施情况
公司已编写《中国人寿保险公司违法违纪违规案例选编》; 公司每年举办专项防范舞弊教育;
公司制定了《中国人寿保险股份有限公司总部公文运转规则(试行)》,以保证防范舞弊政策在部门间的沟通;
针对突发案件,公司目前主要是采取书面形式向部门领导及公司总经理室报告情况,一般不向其他部门通报;
目前我公司审计委员会尚需建立“举报热线”。
5.2 防范舞弊的外部沟通
防范舞弊的外部沟通包括与外部监管部门、保户和股东之间的沟通,让他们了解公司的防范舞弊的政策和决心,并获取有关公司舞弊行为的信息。缺乏良好的外部沟通机制,将不能及时发现公司可能的舞弊行为,导致舞弊的蔓延,影响公司的公众形象,并造成重大损失。
5.2.1 控制措施
建立与外部监管机构之间的沟通机制,加强协作配合;
建立与保户之间的沟通机制,让其了解公司的防范舞弊政策和决心,及时获得保户对舞弊行为的举报信息,并向保户反馈处理情况;
按照监管要求建立向股东的信息披露机制,将公司的行为准则和防范舞弊政策声明在公司网页上进行发布或附加在SEC文件中,并接受股东的监督。
―17―
防范舞弊风险内部控制手册
5.2.2 实施情况
公司定期通过集团公司向保监会报告信访件统计数字和经济案件; 公司建立了“95519”服务热线;
公司正在制定《信息披露管理机制与程序》。
5.3 防范信息系统和技术舞弊
信息系统和技术舞弊是指,通过修改计算机可读取的记录、文件以及修改计算机软件的逻辑来偷窃、滥用和侵吞资产;对计算机可读取信息的偷窃和非法使用;对计算机软件的偷窃、侵吞、非法拷贝和故意破坏;对计算机硬件的偷窃、滥用和侵吞。
5.3.1 控制措施
建立信息系统数据处理活动安全、可靠的措施,包括组织控制、操作控制、系统开发控制、硬件和软件控制以及访问和数据库控制制度;
建立用来合理地保证信息技术数据处理系统在特定的应用方面能够正确地完成数据的纪录、处理和报告功能,包括输入控制、处理控制和输出控制。
5.3.2 实施情况
公司已制定相关如下制度:
《中国人寿保险股份有限公司信息系统运行管理制度及流程》; 《中国人寿保险股份有限公司软件开发规范及流程》; 《中国人寿保险股份有限公司系统维护支持制度及流程》;
《中国人寿保险股份有限公司计算机信息系统安全、保密管理暂行规定》; 《中国人寿保险股份有限公司网络安全管理规范》; 《中国人寿保险股份有限公司防火墙使用管理规范》;
―18―
防范舞弊风险内部控制手册
《中国人寿保险股份有限公司电子邮件系统管理办法》; 《中国人寿保险股份有限公司互联网使用管理规定》;
《中国人寿保险股份有限公司总公司有关预防计算机病毒等有害软件的暂行规定》。
这些制度基本满足控制措施的要求,今后,公司将根据工作中发现的问题及时对相关制度进行修改和完善。
6 防范舞弊风险监督
控制程序可能会随时间变得不再适用或停止实施,监督保证了防范舞弊控制体系的持续有效性。监督包括以下内容:监事会与审计委员会、内部审计师和管理层。
6.1 监事会与审计委员会
有效、独立的监事会与审计委员会对公司防范舞弊的内部控制环境及基调有着至关重要的作用,特别体现在其针对董事及高级管理人员舞弊行为的监督上。监事会及审计委员会不能有效履行其职责,可能形成一个自上而下宽容舞弊行为的氛围,导致舞弊风险。
6.1.1 控制措施
监事会主要对董事及高级管理人员进行监督,审计委员会主要对高级管理人员进行监督;
对董事及高级管理人员履行其防范舞弊风险的职能进行评估及监督; 分析董事及管理层是否可能逾越相关财务控制措施或实施其他对财务报告流程不良的影响;
审计委员会应该建立一个开放的交流渠道,与中层管理人员进行沟通,以防范及发现高级管理人员实际或可能的舞弊行为;
―19―
防范舞弊风险内部控制手册
审计委员会应该鼓励管理层建立一套报告机制使员工对以下行为进行报告:不道德行为、实际或可能的舞弊行为以及违反公司行为规范或道德准则的行为;
审计委员会应收到所有关于舞弊或不道德行为的性质,状况及最终处理结果的报告,上述报告亦应提供给董事会;
监事会及审计委员会应有权聘请所需的法律、财务及其他专业咨询人士以提出建议或辅助调查舞弊有关事项;
监事会及审计委员会应有权审阅管理层在进行重大估计时应用的会计准则和政策;
监事会及审计委员会应有权审阅管理层进行的不寻常的交易; 监事会及审计委员会应有权审阅内部及外部审计师的审计报告;
审计委员会至少应有一个财务专家,所有成员都必须具备财务方面的知识。
6.1.2 实施情况
公司已建立由2名股东代表和1名公司职工代表组成的监事会,在《中国人寿保险股份有限公司公司章程》及《中国人寿保险股份有限公司监事会议事规则》中对上述监督舞弊行为的职能进行了规定;
公司已建立审计委员会,在《中国人寿保险股份有限公司审计委员会议事规则》中规定了相关事宜。
6.2 内部审计师
内部审计部门是监事会与审计委员会行使监督权力的主要执行者,是独立评估的重要主体,在防范舞弊风险中发挥着非常重要的作用。出现重大舞弊行为的公司往往有一个缺乏独立性、无力的内部审计部门。
―20―
防范舞弊风险内部控制手册
6.2.1 控制措施
内部审计部门对董事会负责,接受监事会的业务指导,并为管理层服务,对管理层及员工舞弊行使监督职能;
确保内部审计师独立性,并制定相关制度保障其通过审计发现贪污、盗用资产和财务报表舞弊;
内部审计师还应有独立途径直接向监事会及审计委员会报告他们对高级管理层舞弊的怀疑或判断。
6.2.2 实施情况
公司已建立了垂直领导、统一管理的内部审计模式:
《中国人寿保险股份有限公司审计章程》
《中国人寿保险股份有限公司审计机构人员管理规定》 《中国人寿保险股份有限公司审计人员职业道德规范》 《中国人寿保险股份有限公司审计人员后续教育管理办法》
制定了相关制度以规范内部审计工作:
《中国人寿保险股份有限公司审计工作规范》 《中国人寿保险股份有限公司项目审计暂行规定》 《中国人寿保险股份有限公司内部控制审计实施办法》 《中国人寿保险股份有限公司内部控制评价标准》 《中国人寿保险股份有限公司经理经济责任审计规定》 《中国人寿保险股份有限公司经理经济责任审计评价标准》 《中国人寿保险股份有限公司经理经济责任审计方案及实务》 《中国人寿保险股份有限公司经济责任档案管理办法》
―21―
防范舞弊风险内部控制手册
《中国人寿保险股份有限公司后续审计规定》 《中国人寿保险股份有限公司审计复议复查规定》 《中国人寿保险股份有限公司审计档案管理办法》 《中国人寿保险股份有限公司内部审计工作保密制度》
《中国人寿保险股份有限公司舞弊的预防、检查和报告的规范》
建立通畅高效的内部审计报告机制:
《中国人寿保险股份有限公司对内对外报告办法》 《中国人寿保险股份有限公司审计信息管理系统方案》 《中国人寿保险股份有限公司预报警系统管理办法》
6.3 管理层
管理层直接对内部控制系统负责,防范舞弊风险是其不可推卸的责任。此外,管理层,特别是高级管理人员对于营造一个对舞弊毫不容忍的文化起着重要的作用。管理层的监督作用如果不能充分发挥,防范舞弊风险的种种措施很可能流于形式,难以奏效。
6.3.1 控制措施
管理层通过建立有关控制系统,对员工的舞弊行为进行监督;
通过持续性的监控活动或独立的评估,以及建立有效的缺陷报告制度,管理层可以形成对防范舞弊风险措施有效性的合理评价;
持续性的监控活动包括,管理层在进行日常工作时,应能够获取防范舞弊风险内部控制是否正常运行的证据;与外部单位沟通而获取的信息应能够对内部信息加以验证,或发现内部信息的问题;重视内部和外部审计师的建议以改善和加强防范舞弊风险内部控制;
―22―
防范舞弊风险内部控制手册
独立的评估包括,明确对防范舞弊内控制度进行评估的范围和频率,及对上述评估过程和方法进行评估;
缺陷报告制度是指,建立适当的汇报程序,对上述评估中发现的防范舞弊风险内部控制缺陷进行报告,形成适当的书面文件,并对后续改进措施进行监督。
6.3.2 实施情况
公司设立了一系列的组织机制以保障其对舞弊行为的监督职能,如监察部、纪委、工会、人力资源部以及各业务、财务部门内部的监督岗位。此外,系统业务管理部门建立了一套监督体系,主要包括:复核监督、后台数据监督、电话监督、现场检查监督;
根据公司《中国人寿保险公司会计基础工作规范》等财务制度的要求,各级公司的会计机构、会计人员对本公司的经济活动进行会计监督; 公司正在修订各部门的岗位职责,以保证不相容岗位的分离;
公司各部门制定了有关的规章制度,以规范日常工作的每个方面,对相互核对、层层授权审批和监控等功能都有具体规定。部门经理负责确保本部门内部控制充分、一贯的得到执行。通过日常工作中对制度和流程的遵循以及例行的会议通报及公文处理机制,管理层能够及时获取内部控制是否正常运行的证据;
业务部门在承保后对业务管理和客户服务工作的各个主要环节进行日常性的、持续不断的抽样检查,以次提高各业务管理质量和客户服务水平,规范经营,杜绝舞弊行为。财务部门每半年安排一次的较为全面的审计评价和不定期专项或重点事项的检查,以保证财务工作的质量,防范舞弊风险的发生;
―23―
防范舞弊风险内部控制手册
公司各部门已制定或正在制定专门的检查、处罚、报告制度,以防范和威慑员工舞弊行为。此外,其他相关文件也制定了“如执行本文件措施不力发生问题,将追究主要负责人责任”之类的规定:
公司制定了《中国人寿保险股份有限公司监察部门案件调查处理暂行办法》,对相关事宜进行了规定;
公司制定了《中国人寿保险股份有限公司违法违纪违规案件管理办法》;
公司制定了《中国人寿保险股份有限公司总经理室向董事会通报经济案件的制度》,规定了对重大案件以书面形式及时报告;
公司制定了《中国人寿保险公司客户投诉个人代理人查处暂行办法》,规定了相关事宜;
公司制定了《中国人寿保险公司核保/核赔业务违规违纪责任追究实施办法》以及《中国人寿保险股份有限公司单证管理办法(试行)》规定了核保、核赔及单证管理环节的责任追究制度。
公司正在制定《中国人寿保险股份有限公司员工违纪违规处理暂行规定》;
公司正在制定《中国人寿保险股份有限公司案件防范工作责任制暂行规定》;
公司正在制定《中国人寿保险股份有限公司监察部信访工作暂行办法》;
公司正在制定《中国人寿保险股份有限公司个人代理人风险预警管理办法》;
―24―
防范舞弊风险内部控制手册
公司正在制定《中国人寿保险股份有限公司个人代理人信用品质管理办法》。
―25―
