从第三方视角看保险资金运用内控指引及其配套指引

周星 普华永道会计师事务所保险行业主管合伙人

李文斌 普华永道会计师事务所风险及控制服务高级经理

一、序言

保险业在近10年来取得了有目共睹的发展，保险资产的总额由2005年的1.5万亿元左右开始一路迅猛发展，至2015年已经突破12万亿大关，成为整个金融行业“逆势飞扬”的一股重要力量。在主业快速增长的同时，保险资金运用也呈现出规模快速增长、投资范围多元化、投资产品灵活多样的发展态势。伴随着这一进程，保险机构在资金运用过程面临的风险也在不断累积和凸显。在这样的宏观背景下，保监会在2015年底适时推出了《保险资金运用内部控制指引》（简称“GICIF”）及其配套应用指引，为保险资金运用领域建立起了一套契合新版COSO内控框架、符合国际管理惯例及保险资金运用特点和行业内控实践的一套标准，为保险资金运用的内部控制监管打下了坚实的制度基础，对保险业具有重大的实践意义。

二、指引重要内容概览

（一）保险资金运用的内控监管文件的两个层面

保险资金运用的内控监管文件包括两个层面：内部控制指引及其配套应用指引为第一个层面，它为监管机构、保险机构以及第三方审计机构等各方主体提供了一套基本的且不断完善的资金运用内控标准，作为保险机构开展资金运用的内控自我评估、第三方审计机构开展内控审计工作以及监管层履行监督职责的重要依据；内部控制审计指导意见为第二个层面，为第三方审计机构如何针对保险资金运用内部控制开展审计工作提供了基本指引，同时也构成了第一层面应用指引落地和实施的一项重要保障和举措。在保险资金运用内控的监管框架下，监管和规范的对象是保险机构在资金运用领域的内部控制体系及其有效性。在这个框架下，主要涉及的主体包括保险监管机构、保险机构以及第三方审计机构三类主体，各主体围绕保险资金运用内部控制各司其责，按照内控指引及审计指引的相关要求开展相关的检查、评估、审核、报告等责任（见图1）。

1.作为市场的主体，保险机构承担对保险资金运用的内部控制有效性的首要责任，应该确保保险资金运用相关的内部控制在设计方面满足内控指引及其配套指引的要求，并在实际执行过程中确保已经设计的控制措施能得以有效的运行。保险机构应配合监管机构的评价和检查，聘请符合条件和资质要求的第三方审计机构开展内控审计工作，向监管机构报送保险资金运用内部控制审计报告及管理层自评相关文档。

2.作为独立的第三方机构，会计师事务所应当遵循独立的原则开展资金运用内控审计工作，按照内控指引及其配套指引的要求，实事求是地揭示被审计的保险机构在资金运用环节存在的风险和内部控制缺陷，并形成内控鉴证报告。承接保险资金运用内控审计业务的会计师接受资管协会的行业自律要求，就执行的工作以及出具的报告接受保监会的问询。

3.保险监管机构将持续地推进资金运用内控监管文件的完善以及后续指引的发布等事项，并组织对保险机构实施必要的检查，逐步建立对会计师事务所在资金运用内控审计业务中的管理规则，推动整个内控监管机制的有效运行和持续改进。

图1：资金运用内控监管制度体系的两个层面

（二）具体化内控要求的五大方面

保险资金运用内控指引及其配套指引在具体章节布局和内容方面按照COSO委员会（美国虚假财务报告委员会下属的发起人委员会）于2013年发布的最新版企业内控框架来展开阐述，从控制环境、风险评估、控制活动、信息与沟通以及监督五大方面全面提出了保险资金运用领域内的具体化内控要求。

1.控制环境。控制环境部分提出了保险机构有效内部控制的基本构成要素，包括组织体系、治理结构、授权体系、内控理念的培养、重要业务部门和岗位的设置和隔离、制度体系、沟通机制以及监督机制等。其核心要求有以下几点需要保险机构及第三方审计机构引起重视：

（1）保险机构应当建立由董事会负最终责任的内控组织体系；

（2）建立治理结构清晰，组织架构健全合理授权的责任机制；

（3）顺序递进、权责统一、严密有效的三道监控防线；

（4）建立健全保险资金运用管理制度，对各流程进行规范管理；

（5）对人力资源、风险意识及管理考核方面的考量。

对于保险机构而言，控制环境的要求初看起来似乎显得比较“务虚”，但实质上一个健全、有效的控制软环境恰恰是内控有效的前提条件。在指引的初次实施过程中，无论是保险机构还是第三方的审计机构，都应该本着实事求是原则客观的评估保险资金运用的内控环境各项要素，严格贯彻指引要求，避免内控评估“走过场”、控制设计与执行“两张皮”等现象的出现。

2.风险评估。风险评估部分点出了保险机构建立有效内部控制的基本方向，即以资金运用过程中的各类风险为导向，构建、完善及执行相关内部控制。指引非常明确的为保险机构指出了保险资金运用控制应该应对和管理的基本风险，包括资产负债管理风险、市场风险、信用风险、操作风险、战略风险、声誉风险及流动性风险等风险。同时，内控指引也有机地考虑了保险机构的全面风险管理、第二代偿付能力体系建设等方面的要求，要求保险机构在全面风险管理架构下考虑资金运用相关风险的管理目标、管理原则、管理流程、管理工具和管理基础，在有效管理风险的同时，避免重复性的管理体系建设。

3.控制活动。控制活动部分是内控指引及其配套指引的主干，涵盖了保险资金运用控制活动的关键内容，包括委托/受托的关系管理及控制、决策控制、交易控制、财务控制、系统控制等资金运用的基础管理活动，以及适合于每项投资产品及交易的事前、事中和事后控制。正是由于保险资金运用内控活动的复杂性和多样性，内控指引采取了一项内控以及多项应用指引的“1+N”模式，持续地提出对保险资金运用内部控制的要求。关于控制活动的要求本文下半部分将举例进行重点讨论。

4.信息与沟通。有效的控制离不开高效的信息传递与沟通机制。指引中明确指出保险机构应建立健全保险资金运用相关的信息与沟通制度，以及内部控制相关信息的收集、处理和传递程序,确保信息沟通,促进内部控制有效运行。信息沟通章节同时分内部信息和外部信息两大类提出了具体的管理要求，并明确提出了信息的记录、留痕和信息化建设方面的基本要求。

5.监督。监督是内部控制体系不可或缺的重要组成部分，保险机构需要持续、独立的评价和监督机制，确保资金运用内部控制的各个要素以及每个要素下的原则是否存在并发挥作用。指引对此给予了明确的标准，即：保险机构应设立专门的稽核或监督部门及岗位、建立内部稽核监察制度、定期执行内部控制检查以及建立对应的奖惩、报告和整改制度等具体要求。

三、对一些重要的控制活动的思考

下面将就上述框架中控制活动章节，结合我们在既往对保险机构的资金运用开展审计过程中注意到的操作实践，举例说明我们对指引中规定的关键控制活动的理解。

（一）委托/受托管理也是保险资金运用区别于其他金融机构委托投资的最大特点，指引的基本要求与监管机构一贯强调的保险资金监管原则一脉相承。因此在内控指引的主指引中，委托/受托管理单独成节，系统化地对保险资金运用的各主体及其法律关系管理作出明确要求，例如：委托管理的协议、文件需要体现出保险资金的基本特点和管理诉求，保险资金的特性决定了保险资金运用的根本目的和方向等内容，最重要的一点是要保证在保险资金运用的整个内控链条里不要因为委托、受托、托管的关系没有理顺而出现内控的缺失或者断层（见图2）。

图2：委托/受托管理

（二）保险资金运用过程中最易出现重大风险的环节之一突出表现为投资决策的风险。因此指引明确提出要求保险机构应设立分级授权体系，明确投资经理、部门负责人、分管领导以及投资委员会等不同审批层级，分别授予不同金额审批权限，同时按照不同投资品类、买卖方向、投资金额等因素进行区分。同时为了防范其他金融机构常见的利益输送、关联交易等风险，指引特别对决策机制和决策关注点进行特别规定（见图3）。

图3：决策及授权管理机制

（三）指引在控制活动章节中同时对资金运用的会计控制、资金管理控制、投资交易控制、清算及中台运营管理等环节提出明确的控制要求，这些内容与监管机构对资金运用的过程以及保险机构的实际操作时高度一致。其中值得一提的内容是保险资金会计控制中的资产估值，该项要求是保险机构普遍面临的一项具有挑战性的内控要求，因此估值政策的建立和执行应该是各保险机构需要尽快开展的一项重要工作。

除此之外，保险资金运用还应关注信息系统控制相关要求，对覆盖投资交易、中台管理、清算、核算、风控等各类关键系统建立有效的控制措施，这些控制措施既包括支持业务应用层面的各类控制活动，也包括支持系统有效运行的一般层面控制。指引还对系统相关重要数据的保管期限提出了具体限制。

（四）在保险资金运用的范围拓宽、可投产品类型丰富多样的客观前提下，保险资金运用内部控制必须兼顾各项保险投资产品的特点。因此指引参考了财政部等五部委《企业内部控制基本规范》的体例，结合当前保险资金运用允许投资的范围，形成了《保险资金运用内部控制指引》为总则，涵盖银行存款、银行存款以外的固定收益投资、股票及股票型基金、不动产投资、股权投资、类证券化金融产品、保险资产管理产品等投资类型的《保险资金运用内部控制应用指引》。所有的应用指引都采用了“总则”、“职责分工”、“投前研究及决策”、“投资执行”和“投后管理”的基本流程，针对每类投资产品阐述其特有的风险及控制手段，以清晰的条文明确相应产品的内控要求。这也要求保险机构至少需要分公司层面和产品层面两个层面梳理保险资金运用相关控制活动，从而兼顾内控体系的完整性和不同产品的特异性特点。

图4：内部控制应用指引

四、结束语

在保险资金运用渠道不断拓宽、行业资金运用的风险显著积累的大背景下，指引的出台是由监管层推动的一项重大举措，其本意在于督促保险机构建立健全保险资金运用内部控制，持续提升资金运用内控水平。

对保险机构而言，指引是一套相对严格的标准体系，部分保险机构在第一年合规时可能存在一定的难度，因此保险机构应本着实事求是的原则开展内控自评，主动发现和正确看待自身存在的不足和差距。

对第三方审计机构而言，指引带来的也不仅仅是机会，更是一份沉甸甸的责任和挑战。因此会计师事务所亦需要本着实事求是的原则开展工作，主动发现保险资金运用内部控制存在的不足和差距，不应受各类因素干扰和影响。会计师事务所要开展独立的审计工作，并中肯地提出管理建议，这既是审计，也是一次展示会计师价值，真正帮助保险机构提升资金运用的内部控制、防范风险的机会。

无论是保险机构还是第三方审计机构，都应当利用这个契机，在监管指导下共同促进保险资金运用的合法合规、促进保险行业的持续、健康发展。