風險導向內部審計在保險公司證券投資審計中的運用-藏刊網

一、引言

資金運用業務是保險公司的主要盈利來源.近年來,保險公司業務快速發展,保費收入迅猛增長,資金運用規模隨之不斷擴大.同時,隨著監管機關對保險資金運用限制的逐步放開以及我國資本市場的不斷發展, 保險公司資金運用取得了不俗業績,對保險公司持續經營發展做出了重大貢獻. 然而,資金運用是一項高風險業務,尤其是對于保險公司而言,資金運用的安全、合規是首要前提.隨著保險資金運用渠道逐步拓寬、技術不斷創新、業務種類日益增多,伴隨而來的風險防范、合規操作方面的要求也日益提高,成為保險公司風險控制的重要內容.

內部審計是公司內部控制體系的重要組成部分, 是內部控制的第三道防線, 對保險公司資金運用情況進行內部審計是提高保險公司資金運用管理水平、增強保險公司償付能力、維護被保險人利益的重要保障. 隨著內部審計理論與實務的不斷發展, 風險導向內部審計已經成為內部審計的核心理念和重要模式. 如何通過實施有效的內部審計來防范保險公司資金運用風險、尤其是證券投資業務風險,是保險公司面臨的重要課題,也是本文的核心內容.

二、理論內涵:企業風險管理與風險導向內部審計

\\(一\\)風險導向內部審計釋義

風險導向內部審計突出"風險"二字,要求內審人員在整個審計過程中都要以降低風險為導向,在審計項目計劃制定階段對被審計機構進行風險分析,確定審計范圍和審計重點;在審計項目實施階段,以降低風險為導向實施各類審計程序,對企業各類業務和控制實施獨立評價,并針對發現的重大風險和內控缺陷提出審計建議.風險導向內部審計與企業內控體系建設相伴相生,它以風險管理為基本理念,既是基于降低審計風險,又是為了降低企業的經營管理風險,是企業總體風險管理的重要組成部分.

歸納而言,風險導向內部審計主要有以下特點:

\\(1\\)風險導向審計的首要目標是評估與改善風險,不僅關注風險管理,同時也是風險管理的重要組成部分,試圖通過風險規避、風險轉移、風險控制等有效的風險管理手段來提高組織整體的效率和效果.

\\(2\\)風險導向審計的視野較為寬闊,從被審計機構經營風險分析入手,全面剖析被審計對象的風險水平、經營環境和誠信程度等,審計范圍、深度和廣度都大大擴展.

\\(3\\)風險導向內部審計重心前移,把審計起點設為風險評估,并將風險評估作為重心工作,全面了解被審計單位的基本情況及面臨的經營環境.

\\(4\\)風險導向內部審計要求更高的審計技術,引入風險管理工具和最先進的審計技術,并要求在審計程序和方法上與特定審計環境相適應,針對不同的風險領域和業務環節以及特定的審計目標實施個性化的審計程序.

\\(二\\)企業風險管理與風險導向內部審計的關系

風險貫穿于企業經營管理的各個環節.企業內外部經營環境千變萬化,業務流程和經營管理錯綜復雜, 任何偏離預期的變化都會導致企業生產經營活動失敗. 而企業風險管理,正是根據決策管理層的風險偏好,結合風險承受度及風險預警能力,對企業內可能產生的各種風險進行識別、評估和分析,并及時采取有效措施加以防范和控制, 以最大限度為企業提供安全保障的一種管理方法.那么,企業風險管理的效果如何呢? 這就需要專業的監督、評價與改進.

現代風險導向的內部審計承擔了這一職責, 其實質就是在企業風險管理基礎之上的再監督, 其目的是強化并促進企業風險管理更加規范有效. 可以說,風險導向審計與企業風險管理是相輔相成的,風險導向審計是企業風險管理的一個重要手段, 通過評價和發現風險管理方面存在的問題并促其有效整改,進一步促進風險管理的規范和發展;反之,風險管理內容的不斷豐富和風險管理手段的不斷創新, 也推動著現代風險導向內部審計和手段的提升與發展.

根據英國與愛爾蘭內部審計協會頒布的 "風險導向內部審計" 立場公告\\(Position Statement\\),在風險管理水平的較低級別,如未采取任何正式風險管理方法的風險暴露階段,內部審計只能以協助采用風險管理方法為目標,并在審計風險評估的基礎上開展內部審計;在風險管理融合的較高階段,內部審計完全可以將風險管理過程作為審計對象, 在管理層對風險評估的基礎上進一步推進內部審計,具體詳見下表:

可見, 以風險為導向的內部審計應該結合企業的經營特點和風險管理水平,合理確定具體的審計目標和方法,從而更有效地發揮內部審計在企業風險管理方面的作用.

三、實證分析:風險導向內部審計在保險公司證券投資審計中的應用

\\(一\\)保險公司證券投資業務風險特點與分析

1. 保險公司證券投資業務面臨的內外部風險

保險公司證券投資業務具有較高的風險性, 對保險公司證券投資業務進行內部審計,首先就是要確定其面臨的內外部風險,并逐一進行評價與分析.

從保險公司面臨的外部環境看,證券投資業務面臨的風險主要包括政治風險、市場風險、行業政策風險及信用風險等;從保險公司證券投資業務的內部環境來看,面臨的風險主要包括資產風險、戰略風險、操作風險、聲譽風險及流動性風險等,如圖 1 所示:

2. 保險公司證券投資業務風險的具體評估

在分析保險公司證券投資業務可能面臨的主要風險后, 還應對其業務運行與管理過程的潛在控制點和風險點進行識別與分析, 并考慮風險的重大性和可能性. 表 2 列舉了保險公司證券投資業務面臨的最重要、最具有投資業務典型性的重要風險領域及其主要風險因素.

在識別風險的基礎上,還要通過分析判斷各類風險發生可能性的大小、發生的條件、對實現工作目標的影響程度等,以綜合確定風險等級. 風險評價可以采取定量與定性相結合的方法. 定量方法如可對風險程度進行 1、2、3 之類的評分,定性方法一般指文字描述. 表 3 列舉了法律風險、聲譽風險、操作風險、信息系統風險、資產風險的定量和定性影響程度描述方法.

接下來還應確定各類風險發生的可能性, 以便確定最終的風險程度. 同樣,風險發生可能性可以用定量與定性兩種方法來衡量,表 4 列舉了一些可行的定量與定性分析方法.

在確定了風險影響程度與風險發生可能性之后, 就能運用各種計量方法計算每項業務活動的剩余風險,并據此確定審計策略.在對剩余風險進行排序時可以利用風險控制矩陣,將風險列入風險矩陣適合的區域,如下表 5 所示,其中列入①-③區的為可接受風險,將其納入不予重點關注的范圍,審計頻率相對較長;列入④-⑥區的為采取緩解措施后可接受的風險;列入⑦-⑨區的為不可接受的重大風險領域,應重點關注,加強審計頻率.

\\(二\\)以風險為導向實施保險公司證券投資業務審計的關鍵點

近年來,保監會、證監會等監管機關出臺了一系列規章制度,對保險公司風險管理、合規管理及保險投資業務的具體操作要求進行了規范. 這標志著保險企業進入全面風險管理和合規經營階段, 保險企業對于風險管理的認識提高到前所未有的高度. 目前國內大多數保險公司在外部合規監管部門的要求以及自身業務發展的需要下,搭建了全面風險管理的組織架構,設置了專門的風險管理部門,建立了更加完善的投資風險控制制度、業務管理規則等,逐步形成了事前風險控制、事中風險控制防線與事后風險控制相結合的全面風險管理架構,內部審計也具備了充分發揮第三道防線作用的必要條件. 具體而言,以風險為導向對保險公司證券投資業務實施內部審計重點應關注以下內容:

1. 以風險為導向制定審計計劃,明確審計項目和審計范圍. 審計部門在制定審計計劃時,應圍繞保險投資發展戰略,結合監管要點,重點關注董事會和公司管理層關注的流程和控制點, 并對保險投資面臨的主要風險進行初步識別和綜合評估,充分考慮組織風險、管理需要和審計資源等因素,在此基礎上制定證券投資業務審計規劃和計劃.

2. 以風險為導向編制審計方案,明確審計方向和審計內容. 在制定證券投資審計方案時,應對保險公司證券投資的相關風險要素進行全面系統評估,了解證券投資的業務流程及其內外部環境,評估各流程、各環節風險點,據此確定重點審計內容.

3. 以風險為導向執行審計程序. 在執行審計項目過程中,審計人員應將風險導向理念滲透于審計實施的全過程,增強風險審計意識,把風險管理意識和方法融入到審計實施全過程中.在審計方案的引領下,審計人員可以將時間和精力集中于風險較大或可能存在重大問題的證券投資領域, 嚴格執行審計程序,以風險識別為基礎,通過風險評估、分析性復核、控制測試、實質性測試等方法,發現證券投資過程中的風險控制的漏洞和薄弱環節,以便將審計風險控制在既定范圍內.

4. 以風險為導向編制審計報告. 應對保險公司證券投資業務的內部控制和風險管理狀況進行總體評價, 對發現的具體問題進行定性和定量的評估和分析,指出問題、分析原因、提出對策和建議.

四、審計實務探討:保險公司證券投資業務內部審計實施要點

根據保險公司證券投資業務重要風險領域及其風險特征, 與前文第三部分風險分析所列五大內容相對應,內部審計應著重關注以下幾方面內容:

\\(一\\)財務會計控制目標與審計重點

1. 是否建立并實施規范的會計核算流程 ,及時、準確、完整編制財務報表,確保會計信息的可靠性、真實性和對外披露的準確性.

2. 是否建立嚴格的審批制度和預算控制制度,明確預算的編制、執行、分析、考核,及時分析和控制預算差異,控制費用支出,確保預算的執行.

3. 是否妥善保管公司各類資產,及時登記,定期盤點,及時對帳,確保各項資產的安全和完整.

4. 是否對資金運用專戶進行統一管理和運作,專戶的設立符合資產委托方的要求,及時掌握資金頭寸的變化,資金劃撥是否符合專戶資金運用的要求和具體投資業務的要求.

\\(二\\)投資決策控制目標與審計重點

1. 是否建立完善的投資決策組織架構 ,制定透明、規范的投資決策程序和議事規則,投資決策流程是否包括研究、論證、決策、實施和報告等內容.

2. 是否建立健全相對集中、分級管理、權責統一的投資決策授權制度,對授權情況進行檢查和逐級問責.

3. 投資決策是否嚴格遵循國家法律法規和公司的規章制度,符合保險資金運用的投資范圍、投資限制等要求.公司投資決策是否有充分的依據及書面記錄,有關責任人是否在記錄上簽字,重要投資決策是否有詳細的研究報告;投資品種的選擇標準是否合理并定期評估調整.

4. 是否兼顧資產與負債的匹配.

5. 是否建立了相關的監督機制,保證投資的安全性與投資渠道、投資比例的合法合規性.

\\(三\\)投資操作控制目標與審計重點

1. 是否建立獨立的交易部門和規范的投資操作流程. 所有投資指令是否都經交易部門審核,確認其合法合規后予以執行.

2. 是否對業務經辦人員建立了有效的監督和制約機制,談判、詢價應與交易執行相分離,密切監控交易過程中的談判、詢價和簽訂等關鍵環節.

3. 是否建立交易監測系統、預警系統和反饋系統,嚴格控制投資過程中各種交易風險,確保投資交易的順利進行.

4. 是否建立并有效執行嚴格的公平交易制度,確保不同性質或來源的保險資金的利益能夠得到公平對待.

5. 是否建立完善的交易記錄制度,每日的交易記錄應及時核對并存檔.

6. 場內投資\\(股票、基金、債券\\)是否實現投資與交易職能相互分離,是否建立并實行集中交易制度,是否建立對日常投資比例的監控機制,保證投資比例符合相關監管部門和公司的規定.

7. 港股投資是否建立日常資金總額的監控機制,確保投資總額在相關監管部門的批復內.

\\(四\\)信息系統控制目標與審計重點

1. 是否建立健全信息技術管理和風險防范制度,明確計算機信息系統開發、管理與應用部門及相關人員的職責,對計算機信息系統的項目開發、測試、變更、運行和維護等實施控制.

2. 是否建立信息安全管理體系,對硬件、操作系統、應用程序和操作環境實施控制,確保信息的完整性、安全性和可用性;是否通過建筑設計、線路設計、出入控制以及必要的物理環境控制,確保計算機硬件、各種存儲傳輸介質的物理安全;是否對系統數據資料采取加密措施,建立備份,異地存放;是否實施有效的口令管理和權限管理,定期更換用戶使用的密碼和口令;是否及時更新系統安全設置、病毒代碼庫、攻擊特征碼、軟件補丁程序等,通過認證、加密、內容過濾、入侵監測等技術手段,不斷完善安全控制措施;是否對數據庫系統、應用程序等設置必要的日志.

3. 是否建立計算機安全應急系統,制定詳細的應急方案,定期檢查、維護應急的設施、設備和系統,確保其處于適用狀態.

\\(五\\)風險識別與評估控制目標與審計重點

1. 是否建立健全風險管理體系,規范風險管理流程,采用先進的風險管理方法和手段,對保險經營中的風險進行持續有效的識別、計量、監測與評估,努力實現適當風險水平下的效益最大化.

2. 風險識別與評估是否覆蓋公司經營的各個環節;是否運用適當的方法和技術對風險進行持續監控,對風險發生的概率、后果進行評估,確定風險級別;是否及時對風險進行再識別和再評估.

3. 是否定期評估已識別可接受風險, 對已識別且認為可接受的風險,持續監測并定期評估,以確保其持續可接受.

4. 是否針對明確已識別不可接受風險而制定風險控制方案,明確控制風險的相關職責與權限、控制策略、控制方法、資源需求和時限要求,制定重大、突發事項應急預案,明確責任人、處理流程和措施.

5. 是否制定和采取相應的應對措施, 以應對內部控制方案因組織結構、流程、信息技術等方面的重大變更而產生的新風險.

參考文獻:

[1] 中國內部審計協會.全國內部審計理論研討優秀論文集 2008-2009 [C].北京 :西苑出版社 ,2009.

[2] 陳文輝.壽險公司內部控制建設與監督[M].北京:人民出版社,2005.

[3] 羅冬梅.風險導向內部審計在我國的應用研究[D].長沙:湖南大學,2007.

[4] 李良慧.企業實施風險導向內部審計研究[D].合肥:安徽農業大學,2010.