【导语】

审计工作是公司治理的重要组成部分，发挥着预防、揭示和抵御的“免疫系统”功能。公司审计监察部门依据各项法规政策及公司制度履行职责，对公司管理进行内部监督，保护公司资产安全，抵御经营风险，推动公司经营有序、健康发展。

为进一步提升员工对公司各项审计工作的了解，审计监察部特制作法定审计项目专刊，普及寿险公司法定审计项目的相关知识，分析各项监管要求，引导公司全员强化合规意识，提高风险控制能力，促使公司实现经营发展战略目标。

一、内部控制评估

（一）监管要求

根据《保险公司内部控制基本准则》及《中国保监会关于进一步规范报送<保险公司治理报告>的通知》的规定, 在中国境内依法设立的保险公司和保险资产管理公司应于每年5 月15 日前向中国保监会报送上一年度公司治理报告。其中，审计监察部负责内部控制评估及内审部分的报告。

（二）审计内容

我部门结合该报告的填写，对公司内部控制进行评估，首先要求公司各部门填写内部控制评价矩阵，自行按照矩阵列出的风险点评价制度有效性及遵循性，并判断风险点及其带来的影响；随后，我部门根据各部门的反馈进行复评并形成内控评价报告确认存在的内控缺陷并上报管理层。

（三）审计要点：

1、确保内容的真实性与准确性；

2、根据监管要求，认真开展公司治理情况自查，并根据自查结果如实对公司治理情况进行自我评价；

3、建立符合公司实际运营情况的内控评价矩阵，涵盖公司内部控制各个风险点；

4、在各部门自行评估的基础上进行复评，并持续追踪各部门整改结果。

二、分支机构内部审计报告、内部审计评估信息表

（一）监管要求

根据《江苏保监局关于印发<江苏保险公司内部审计工作指引>的通知》及《中国保监会关于进一步规范报送<保险公司治理报告>的通知》的规定,江苏分公司应于每年二月底前报送内部审计年度报告和内部审计评估信息表，每季度结束后第一个月内报送上季度的内部审计统计报表，并一并报送上一季度已出具的审计报告。江苏分公司应当每年对中心支公司进行内部审计，每年对支公司及以下分支机构的内部审计覆盖率应不低于同类分支机构数量的百分之三十，每三年覆盖全部分支机构。内部审计机构对省级分公司及其分支机构的审计报告，由省级分公司在报告完成后10个工作日内报送当地保监局。

（二）审计内容

目前江苏分公司及其分支机构的内部审计工作由总公司审计监察部组织开展，江苏分公司进行报送，主要内容包括下列事项：

1、对下辖分支机构各项经营管理活动和财务活动的真实性、合规性进行监督、检查、评价；

2、对下辖分支机构内部控制体系以及风险管理体系的健全性、合理性和有效性进行监督、检查、评价；

3、对下辖分支机构高级管理人员及时开展任中审计和离任审计；

4、对监管政策的传达情况、员工对监管政策的掌握程度、监管政策的执行效果等开展审计；

5、对司法案件管理、反欺诈、反洗钱和反非法集资等领域工作开展情况进行审计；

6、对下辖分支机构经营效益等事项进行专项审计；

7、对公司信息系统进行专项审计；

8、对被审计单位整改情况进行后续审计；

9、法律规定、监管要求和公司规定的其他事项。

（三）审计要点：

江苏保监规定了一系列的得分指标，包括加分指标及扣分指标，并根据最终得分情况生成评估结果并将保险公司分为A、B、C、D四个不同等级，实施不同程度的监管措施。

总公司审计监察部根据江苏保监该套指标，积极开展各项专项审计工作，提高对江苏分公司及其分支机构的各项审计项目覆盖率，进行原因分析，核实审计效果，持续追踪整改情况。

三、 董事及高级管理人员离任、任中、专项审计

（一）监管要求

根据《中国保监会关于印发<保险公司董事及高级管理人员审计管理办法>的通知》及《关于贯彻实施<保险公司董事及高级管理人员审计管理办法>有关事项的通知》，公司审计监察部对公司董事及高级管理人员在任职期间所 进行的经营管理活动进行审计检查，客观评价其依据职责所应承担的责任。上述董事及高级管理人员包括：董事长及其他执行董事；总公司管理层成员；省级分公司总经理、副总经理、总经理助理；分公司或中心支公司总经理；具有与上述人员相同职权的其他人员。

（二）审计内容

审计内容包括任中审计、离任审计和专项审计。

公司已制定董事及高级管理人员任中审计年度计划，对高管人员实施任中审计的间隔时间不得超过三年。

离任审计应当根据人员变动情况及时进行，原则上实行先审计后离任的原则。确有理由不能事先审计的，应当在审计对象离任3个月内完成审计并出具审计报告。聘用外部审计机构进行审计的，可适当延长审计时间，但最长不得超过6个月。

专项审计由公司根据实际情况确定审计时间和时限。公司董事及高级管理人员在任中审计现场部分结束后3个月内出现需要进行离任审计情形的，可以不再单独组织实施离任审计。

对总公司董事长、总经理和审计责任人进行审计，应当聘请外部审计机构实施；对其他高级管理人员进行审计，由总公司审计监察部组织实施。对总公司董事长和管理层成员的审计报告，应当按照规定程序和时限提交公司董事会、监事会。审计报告经董事会审议后，在20个工作日内报中国保监会。其他高级管理人员审计报告应当按照《关于向保监会派出机构报送保险公司分支机构内部审计报告有关事项的通知》规定的程序和时限报所在地保监局。

（三）审计要点

1、根据审计对象在任职期间所进行的经营管理活动，就其工作职责的履行情况及所应承担的责任进行客观评价，主要包括审计对象在特定期间及职权范围内对经营成果真实性、经营行为合规性以及内部控制有效性等事项所承担的责任；

2、关注董事及高级管理人员的任职资格是否符合监管机构的要求，是否取得监管机构的核准；

3、根据董事及高级管理人员的工作职责确定审计方案；

4、确定董事及高级管理人员审计范围应当充分考虑审计风险和遵循重要性原则；

5、根据实际情况和工作需要，合理使用抽样方法，综合运用分析性复核、询问、检查、查看等审计方法，同时借助保险公司的信息系统和使用计算机辅助审计技术进行数据提取和分析；

6、充分利用审计对象任职期间或近期内外部审计与检查成果，尤其应当特别关注近期接受监管机构或上级单位检查所发现问题、整改和处罚情况，对于其他审计项目与履行职责相关的内容，原则上可以借鉴审计结果，不再重复审计；

7、聘请外部审计机构开展高管审计相关工作的，应当由董事会负责选聘外部审计机构，保险公司应当按照有关要求，与外部审计机构明确审计的程序与内容，董事会应当对外部审计机构的审计结果进行最终认定。

四、 反洗钱审计

（一）监管要求

根据《关于印发<保险业反洗钱工作管理办法>的通知》的规定，保险公司、保险资产管理公司应当每年开展反洗钱内部审计，反洗钱内部审计可以是专项审计或者与其他审计项目结合进行。总公司审计监察部根据国家法律法规及公司反洗钱工作的各项规定，对公司反洗钱内控制度建设、执行情况以及反洗钱职责履行情况进行独立、客观的监督和评价。

二）审计内容

反洗钱内部审计内容包括但不限于以下方面：

1、市场准入制度执行情况；

2、反洗钱内控制度建设情况；

3、反洗钱机构设置情况；

4、反洗钱信息化建设；

5、反洗钱培训宣传；

6、重大洗钱案件处置管理；

7、配合反洗钱监督检查、行政调查及涉嫌洗钱犯罪活动的调查；

8、反洗钱工作信息保密管理；

9、客户身份识别义务履行情况；

10、客户身份资料及交易记录保存情况；

11、大额交易和可疑交易报告情况；

12、其它重要事项。

（三）审计要点

1、机构准入方面是否达到监管机构规定的反洗钱条件；

2、资金准入方面是否达到监管机构规定的反洗钱条件；

3、人员准入方面是否符合监管机构规定的反洗钱条件；

4、反洗钱内控制度是否健全、合理；

5、是否设立反洗钱专门机构或者指定内设机构负责反洗钱工作，明确了职责分工；

6、是否将可量化的反洗钱控制指标嵌入信息系统；

7、是否开展反洗钱宣传培训，并保存相关资料和工作记录；

8、是否建立重大洗钱案件处置制度并有效执行；

9、是否有效配合反洗钱监督检查、行政调查以及涉嫌洗钱犯罪活动的调查；

10、是否采取了有效的反洗钱工作保密措施；

11、签订保险合同时是否履行了客户身份识别义务；

12、解除保险合同时是否履行了客户风险识别义务；

13、赔偿与给付保险金时是否履行了客户身份识别义务；

14、新销售方式的客户身份识别是否符合反洗钱工作要求；

15、签订保险代理协议是否符合反洗钱要求；

16、是否按规定重新识别客户身份；

17、是否按规定持续识别客户身份；

18、是否按规定划分客户风险等级；

19、是否按规定定期审核客户基本信息；

20、客户身份资料和交易记录是否完整、准确；

21、客户身份资料和交易记录的管理措施是否适当、保存是否安全；

22、客户身份资料和交易记录的保管期限是否合规；

23、大额交易报告工作流程是否合规；

24、大额交易报告是否及时；

25、大额交易报告是否完整；

26、大额交易报告是否准确；

27、可疑交易报告工作流程是否合规；

28、可疑交易报告是否及时；

29、可疑交易报告是否完整；

30、可疑交易报告是否准确；

31、反洗钱基础管理工作是否符合监管要求；

32、代理保险业务是否按规定履行反洗钱义务；

33、市场准入环节是否符合监管要求；

34、是否严格按规定履行反洗钱义务；

35、是否按规定报送反洗钱信息。

五、关联交易审计

（一）监管要求

根据《关于印发<保险公司关联交易管理暂行办法>的通知》的规定，保险公司应当每年至少组织一次关联交易专项审计，并将审计结果报董事会和监事会。总公司审计监察部根据保监会要求，于每年年末对公司本年关联交易进行审计。

（二）审计内容

关联交易审计对以下与关联方之间产生的交易活动进行审计：

1、保险公司资金的投资运用和委托管理；

2、固定资产的买卖、租赁和赠与；

3、保险业务和保险代理业务；

再保险的分出或者分入业务；

4、 为保险公司提供审计、精算、法律、资产评估、广告、职场装修等服务；

5、担保、债权债务转移、签订许可协议以及其他导致公司利益转移的交易活动。

（三）审计要点

1、审查公司关联交易是否遵守法律、法规、国家会计制度和保险监管规定，是否符合合规、诚信和公允的原则；

2、审查公司关联交易是否偏离市场独立第三方的价格或者收费标准；

3、审查公司是否采取有效措施，防止股东、董事、监事、高级管理人员及其他关联方利用其特殊地位，通过关联交易或者其他方式侵害公司或者被保险人利益；

4、审查公司是否制定关联交易管理制度；

5、审查公司是否建立关联方信息档案，并及时进行更新；

6、审查公司董事会在审议关联交易时，关联董事是否违例行使表决权，是否违例代理其他董事行使表决权；

7、审查公司股东大会审议关联交易时，关联股东是否违例参与表决；

8、审查公司是否及时恰当的对关联交易进行公开披露。

六、资金运用系列审计项目

（一）监管要求

根据《保险资金运用管理暂行办法》、《保险资金运用内部控制审计指导意见》及《保险资金运用内部控制指引》的规定，保险公司应当每年至少进行一次保险资金运用内部稽核；保险公司应当聘请符合条件的外部专业审计机构，对保险资金运用内部控制情况进行年度审计；保险公司主管投资的高级管理人员、保险资金运用部门负责人和重要岗位人员离任前应当进行离任审计。以上审计结果均需向中国保监会报告。

（二）审计内容

1、资金运用的委托、受托关系管理及控制；

2、资金运用的投资决策控制；

3、资金运用的交易行为控制；

4、资金运用的财务核算控制；

5、资金运用的信息系统控制。

（三）审计要点

1、审查是否符合安全性原则。保险资金运用必须稳健，符合偿付能力监管要求，根据保险资金性质实行资产负债管理和全面风险管理，实现集约化、专业化、规范化和市场化；

2、审查是否符合健全性原则。内部控制应当包括保险资金运用的各类业务、各个部门或机构和各级人员，并涵盖到决策、执行、监督、反馈等各个环节，避免管理漏洞的存在；

3、审查是否符合有效性原则。通过科学的内部控制制度和方法，建立合理的内部控制程序，确保保险资金运用内部控制各项制度的有效执行；

4、审查是否符合独立性原则。保险机构参与资金运用和管理的所有总分机构、部门和岗位职责应当保持相对独立，权责分明，相互制衡；

5、审查是否符合成本效益原则。保险机构应当根据自身风险状况，采取合适的内部控制措施来应对资金运用过程中的风险，并在有效控制的前提下降低内部控制成本。

七、 偿付能力风险管理体系运行情况审计

（一）监管要求

根据《保险公司偿付能力监管规则11号：偿付能力风险管理要求与评估》的规定，保险公司内部审计部门每年至少应当检查、评估一次公司偿付能力风险管理体系运行情况和运行效果，监督风险管理政策的执行情况，并向董事会报告。

（二）审计内容

1、偿付能力风险管理的制度健全性，即保险公司的偿付能力风险管理基础、环境、目标和工具等是否科学、全面、合规；

2、偿付能力风险管理的遵循有效性，即保险公司的偿付能力风险管理制度、机制是否得到持续的、有效的实施。

审计要点：

1、审查公司是否建立健全偿付能力风险管理制度，已建立制度是否符合监管要求；

2、审查公司偿付能力风险管理体系组织架构是否符合监管要求；

3、审查公司董事会、风险管理委员会、经营管理层、首席风险官、风险管理部、财务部、产品精算部及资产管理部等部门对偿付能力的风险管理是否符合监管要求，是否有效执行公司内部相关制度；

4、审查公司各部门偿付能力风险管理运行效果是否达到监管要求。

八、信息科技风险评估审计

（一）监管要求

根据《保险公司信息系统安全管理指引（试行）》的规定，保险公司至少每年对信息安全控制策略和措施及落实情况进行检查，至少每两年开展一次信息科技风险评估与审计，并将信息科技风险评估审计报告报送中国保监会。　鼓励公司在符合国家有关法律、法规和监管要求的情况下，聘请具备相应资质的外部机构进行外部审计和风险评估。

（二）审计内容

1、信息系统风险评估；

2、信息安全控制策略和措施及落实情况；

3、跨网络流量、网络用户行为记录；

4、移动式设备接入、无线接入和远程接入等网络接入行为的接入日志；

5、各系统帐号权限；

6、信息系统相关日志；

7、主机系统，包含重要用户行为、异常操作和重要系统命令的使用；

（三）审计要点

1、审查公司是否贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求；

2、审查公司是否建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度，并定期或根据需要及时对安全管理规章制度进行评审、修订；

3、审查公司是否针对信息系统安全的各层面、各环节，结合各部门和岗位职责，建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系，并对审批文档和内部控制过程进行及时记录；

4、审查公司是否对信息系统安全事件进行管理、处置和上报；

5、审查公司是否定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训，对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核；

6、审查公司是否针对信息系统安全的各层面、各环节，结合各部门和岗位职责，建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系，并对审批文档和内部控制过程进行及时记录；

7、审查公司是否按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求，明确信息系统安全保护等级，实施信息系统安全等级保护，按等级安全要求进行备案并定期测评和整改；

8、审查公司是否制定信息管理相关制度和流程，规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节，加强重要数据信息控制和保护，保障信息的合法、合规使用；

9、审查公司是否建立有效可靠的安全信息获取渠道，获取与公司信息系统运营相关的外部安全预警信息，汇总、整理公司内部安全信息，及时提交公司信息安全专业工作机构，并按相关流程发布实施。

另外，寿险公司还涉及灾难恢复审计、衍生品交易稽核等法定审计项目，由于公司成立不久，以上项目均未涉及或开展，本文不另行赘述。