【文章內容簡介】 人員應做好整理歸檔工作。十三、整改跟蹤和后續(xù)審計。第二節(jié) 公司層面內部控制審計方法公司層面內部控制審計既要采用內部審計的一般方法，也有其特殊的方法。一、一般方法在對公司層面內部控制開展審計時，可以使用內部的一般方法 一般方法包括審核、觀察、詢問、函證和分析性復核等方法，具體可以參閱基本手冊的有關內容。，但要注意根據(jù)公司層面內部控制的特點來使用，這里重點介紹詢問法、審核法、觀察法的應用。（一）詢問法。詢問法應用于公司層面內部控制審計，具體可以使用調查問卷、個別訪談等。調查問卷。通過設計一系列與公司層面風險相關的問題，將被調查者的思維集中于可能引起或已經(jīng)引起風險的內外部因素上。**環(huán)節(jié)內部控制調查問卷機構名稱： 審計日期：項目是否不適用備注良好薄弱是否建立這方面的制度制度是否遵循法律法規(guī)規(guī)定制度是否得到有效執(zhí)行……個別訪談：按照一般詢問法的要求實施，主要包括確定詢問的目的、收集與詢問相關的背景資料、確定詢問要點、編制談話提綱、約定詢問時間地點、面談與記錄、對面談內容進行評估等步驟。但對對公司層面內部控制審計中，訪談者要注意引導、啟發(fā)被訪談者，在一定程度上是參與討論，而非常規(guī)審計的詢問、質詢，這樣才能更加深入的挖掘有關內控風險和隱患。專題討論：將具有交叉職能或多層級的人員聚集在一起，利用集體智慧描述出公司面臨的風險以及存在內控薄弱環(huán)節(jié)。（二）審核法。審核法是公司層面內控審計工作最重要的檢查方法之一。評審人員在執(zhí)行抽樣、穿行測試等評審方法時，要求被評價單位在限定的時間內，提供被審計內容相關的內外部公文、制度文件、協(xié)議合同、審批記錄等等。通過對這些書面證據(jù)的檢查，驗證各項內控措施在實際操作中是否得到有效貫徹執(zhí)行。（三）觀察法。即內部審計人員深入現(xiàn)場實地調研，參加重要會議，或通過觀看過程錄像的方式，觀察有關人員的實際工作情況，以確定規(guī)定的內部控制活動是否得到嚴格執(zhí)行。該方法適用于那些不留書面痕跡的內部控制環(huán)節(jié)及用于測試某項控制措施執(zhí)行的到位程度。上述一般方法的具體要點，可參閱基本手冊有關詢問、觀察、監(jiān)盤等審計方法。二、特殊方法（一）穿行測試法。穿行測試也稱全程測試，這是內部控制評價和審計的常用方法，用以確定內部控制政策和程序的實施情況。即評審人員在每一類循環(huán)中選擇一次或若干次控制活動，比照處理流程從頭到尾檢查其實際處理過程，檢查測試該流程步驟和控制點的執(zhí)行情況，以驗證所描述的內部控制的客觀性和真實性。穿行測試不能保證被審計單位內部控制被有效、一貫的得到執(zhí)行，這需要符合性測試來確定。例如為某項復核、監(jiān)督措施是否執(zhí)行，可以采取穿行測試法。內部審計人員應選擇不同的內部審批事項，對復核、監(jiān)督流程進行穿行檢查測試，以測試是否合理、是否得到執(zhí)行、是否存在控制漏洞。（二）流程圖法。流程圖法主要用于內部控制系統(tǒng)的健全性和合理性測試，即利用符號和圖形來表示被審計單位組織結構、職責分工、權限、經(jīng)營業(yè)務的性質及種類、各種處理規(guī)程、各種會計記錄等內部控制狀況的示意圖?？梢允乖u審人員清晰地看出被評審單位內部控制系統(tǒng)如何運行、相關風險控制點和控制措施，有助于發(fā)現(xiàn)各內部控制體系的缺失和評審重點。流程圖一般有兩種，一種是垂直流程圖，另一種是水平流程圖。垂直流程圖是將業(yè)務處理過程按照先后次序，用一條主線垂直串連起來，并將經(jīng)濟業(yè)務按流程從上至下用圖形符號描繪出來。水平流程圖則按業(yè)務部門設置若干豎欄，將業(yè)務處理程序從左到右排列，用圖形符號描繪經(jīng)濟事項的過程，用水平流程線將各業(yè)務活動串連起來。繪制流程圖可以使用微軟Word自帶的流程圖或者Visio，常見的流程圖符號及含義如下：符號含義符號含義文件流程線開始終止流向卡片流程交叉判斷控制點留存核對三、公司層面內控審計方法應用的注意要點（一）在開展公司層面內部控制審計工作時，可以根據(jù)內控審計工作的需要和審計特定內容的實際情況，靈活地、綜合運用上述方法。（二）審計人員應當充分考慮借鑒使用外部審計、外部監(jiān)管檢查、公司監(jiān)事會檢查、合規(guī)和風險管控的資料記錄，輔助開展公司層面內部控制審計。（三）審計中，審計人員應當注意從董事會、監(jiān)事會或經(jīng)營層等角度，或者從公司制度設計等角度，查找公司層面內部控制存在的問題和風險，而非就事論事，只從具體控制環(huán)節(jié)和人員角度查找問題和原因。（四）公司層面內部控制審計應當與其他具體控制活動的審計工作相結合，而不是互相割裂。公司層面內部控制審計應當作為其他各項審計工作的基礎。從第三章開始，我們將分要素分別列舉通用化具有一般適用性的公司層面內部控制風險點、相關法律法規(guī)和監(jiān)管規(guī)定、以及審計程序和方法，供內部審計人員在其未來的公司層面內部控制審計工作中作為參考。作為指引，各保險機構內部審計應參照執(zhí)行，但不是也不可能涵蓋一切可能出現(xiàn)的情況及所有審計技術，在具體審計過程中，還要結合具體工作加以應用。第三節(jié) 計算機輔助實施公司層面內控審計隨著信息科技的不斷發(fā)展，保險公司各類內部控制活動正逐漸由手工轉為計算機進行處理，內部控制工作通過信息系統(tǒng)平臺實現(xiàn)無紙化控制。這就要求審計人員能夠對信息系統(tǒng)內控的健全性、合理性、有效性開展審計，這部分審計內容請參閱相關風險點的審計程序和方法。同時，在計算機輔助下、運用信息技術對公司層面內部控制實施審計，可以大大提高審計工作的效率；在計算機日益普及的今天，計算機輔助開展審計已經(jīng)成為審計人員必須掌握的審計技術和方法。本節(jié)重點介紹如何運用計算機輔助開展內控審計的方法，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等，以涵蓋內控審計基本流程和各環(huán)節(jié)。完整的內控審計管理信息系統(tǒng)應能提供以下功能，將內控審計各環(huán)節(jié)納入到信息化平臺上，從而實現(xiàn)審計過程的自動化。一、建立風險及控制知識庫：為了實現(xiàn)以風險為導向的內控審計，需首先建立風險和控制知識庫。系統(tǒng)應提供數(shù)據(jù)接口或操作界面將風險庫和控制庫裝載或輸入到信息系統(tǒng)中；同時，也應提供功能實現(xiàn)風險與控制之間的關聯(lián)，用以表明為應對風險所設計的管控措施。二、建立審計方法庫：做為審計支持軟件，系統(tǒng)還應能建立起審計方法庫。如通過內置標準的審計程序方法和步驟，指導審計人員進行內控的測試，保證測試質量。同時，系統(tǒng)應能提供一些輔助的信息，如流程圖，關鍵控制點等。三、編制審計計劃：系統(tǒng)應能提供檢視后的風險評估結果，以供審計部門以風險為導向編制審計計劃。系統(tǒng)允許管理用戶設置計劃范圍的條件，并根據(jù)這些條件自動篩選風險及控制點范圍。四、創(chuàng)建測試底稿：系統(tǒng)應提供預先定制的控制測試模板，并根據(jù)計劃的測試范圍填充測試模板，通過系統(tǒng)下發(fā)到各測試組或個人。五、執(zhí)行內控測試：測試人根據(jù)下發(fā)的測試模板在系統(tǒng)中進行測試，測試底稿也應集成在系統(tǒng)內，保證測試結果有據(jù)可查；測試結果應通過系統(tǒng)向上收集匯總到公司總部的審計部門，供進行總體評定。六、檢視自評結果：系統(tǒng)應能提供自評底稿檢視功能，審計部門可以對自評結果進行檢視以發(fā)現(xiàn)自評過程存在的問題，如范圍選擇偏差，風險評估偏差，內控自評方法不正確，部分控制活動未識別等，通過系統(tǒng)提出問題并要求相關部門整改。七、進行問題管理和跟蹤：審計部門在系統(tǒng)中根據(jù)發(fā)現(xiàn)的問題向有關部門提出整改點，并提出具體的整改意見。整改部門應能在系統(tǒng)中查看到該問題的來源和具體的描述。八、監(jiān)督整改結果：審計部門在系統(tǒng)中查看所提出的整改意見執(zhí)行情況，并對整改的結果進行檢視，確認整改是否達到要求。九、編制內控報告：內控報告包括內部報告及外部報告。內部報告：在年度或專項的內控測試完成后，系統(tǒng)提供本次測試的報告，包括測試范圍，測試所依據(jù)的方法，測試結果，問題描述，總體評價，整改結果等信息；外部報告：系統(tǒng)應能生成符合保監(jiān)會要求的內控報告；如為上市公司，應能提供符合基本規(guī)范的內控評估報告。十、提供豐富的展現(xiàn)工具：系統(tǒng)還應能提供各種知識庫查詢工具和圖表工具，從各方面展現(xiàn)風險和控制的歷史和現(xiàn)狀，自評和審計的結果。如提供風險矩陣，風險熱力圖，內控手冊等報表和圖形。建立內控審計系統(tǒng)是個循序漸進的過程，各公司應根據(jù)自身的實際情況制訂系統(tǒng)應用時間表，但應將內控審計信息化做為公司內控建設的一個重要目標來規(guī)劃執(zhí)行。第三章 內部環(huán)境審計第一節(jié) 內部環(huán)境概述根據(jù)《企業(yè)內部控制基本規(guī)范》，內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等。內部環(huán)境是實施內部控制的重要基礎，是企業(yè)的基調、氛圍，直接影響企業(yè)員工的控制意識。控制環(huán)境影響員工的管理意識，是其他部分的基礎。下面，我們將內部環(huán)境細分為公司治理、組織架構、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化和社會責任等六個子流程，針對這些子流程中涉及到的主要風險及控制活動提出最佳實踐，并分別介紹相應的審計程序和方法。一、公司治理根據(jù)國際內部審計師協(xié)會（IIA）《國際內部審計專業(yè)實務框架》中的定義，公司治理是指“董事會實施的各種流程和架構的組合，用于告知、指導、管理和監(jiān)督組織活動，以實現(xiàn)組織的目標”。公司治理是一個涉及公司股東、董事會、管理層以及其他利益相關者之間的一整套關系體系。根據(jù)保險公司的實際，我們將公司治理審計的主要內容分成公司章程、股東（大）會、董事會、監(jiān)事會、關聯(lián)交易、集團化管控等七大部分。（一）公司章程基本概念。公司章程是指公司依法制定的、規(guī)定公司名稱、住所、經(jīng)營范圍、經(jīng)營管理制度等重大事項的基本文件，是以書面形式固定下來的股東共同一致的意思表示。公司章程是公司組織和活動的基本準則，是公司的憲章。根據(jù)《公司法》，設立公司必須制定公司章程。公司章程對公司、股東、董事、監(jiān)事、經(jīng)理具有約束力?！豆痉ā穼τ邢挢熑喂竟菊鲁痰囊?guī)定。根據(jù)《公司法》，有限責任公司的公司章程由股東共同制定。章程應當載明公司名稱和住所，經(jīng)營范圍，注冊資本，股東的姓名或者名稱，股東的權利和義務，股東的出資方式和出資額，股東轉讓出資的條件，公司的機構及其產(chǎn)生辦法、職權、議事規(guī)則，法定代表人，公司的解散事由與清算辦法，股東認為需要規(guī)定的其他事項。有限責任公司的股東應當在公司章程上簽名、蓋章。有限責任公司的股東會行使修改公司章程的職權。有限責任公司修改公司章程的決議，必須經(jīng)代表三分之二以上表決權的股東通過?！豆痉ā穼煞萦邢薰竟菊鲁痰囊蟆８鶕?jù)《公司法》，股份公司的公司章程由發(fā)起人制訂，并經(jīng)創(chuàng)立大會通過。股份有限公司章程應當載明公司名稱和住所，經(jīng)營范圍，設立方式，股份總數(shù)，每股金額和注冊資本，發(fā)起人的姓名或者名稱、認購的股份數(shù)，股東的權利和義務，董事會的組成、職權、任期和議事規(guī)則，法定代表人，監(jiān)事會的組成、職權、任期和議事規(guī)則，利潤分配辦法，公司的解散事由與清算辦法，公司的通知和公告辦法，以及股東大會認為需要規(guī)定的其他事項。股份有限公司的股東大會行使修改公司章程的職權。股份有限公司修改公司章程必須經(jīng)出席股東大會的股東所持表決權的三分之二以上通過。保險公司公司章程的特殊監(jiān)管規(guī)定。根據(jù)《關于規(guī)范保險公司章程的意見》（保監(jiān)發(fā)〔2008〕57號），保險公司章程應當對基本事項，股東與股份規(guī)則，組織機構及其職權，董事、監(jiān)事及高管人員的任免、職權及義務，股東大會、董事會及監(jiān)事會的主要議事程序，財務會計制度，其他制度等事項作出明確規(guī)定。因為具體內容較多，請參閱該文件的具體規(guī)定。根據(jù)《保險法》，保險公司修訂章程，須經(jīng)中國保監(jiān)會批準。根據(jù)《關于規(guī)范保險公司章程的意見》（保監(jiān)發(fā)〔2008〕57號），保險公司章程須經(jīng)中國保監(jiān)會核準后方可生效；章程經(jīng)中國保監(jiān)會核準后，應當及時向公司登記機關依法辦理變更登記。（二）股東與股東（大）會基本概念（1）股東，又稱出資人或投資人，是股份公司或有限責任公司中持有股份的人。股東以其所持股份或出資額為限，對公司承擔責任。股東作為出資者，按投入公司的資本額享有所有者的資產(chǎn)受益、重大決策和選擇管理者等權利。（2）股東（大）會，通?？梢灾敢环N定期或臨時舉行的由全體股東或股東代表出席的會議，又可以指非常設的由全體股東所組成的公司的最高權力機構，是股東作為企業(yè)的所有者，對企業(yè)行使所有權的組織。其中有限責任公司通常稱為股東會，而股份有限公司通常稱為股東大會。對股東的法律要求（1）《公司法》對有限責任公司股東的規(guī)定根據(jù)《公司法》，有限責任公司由二個以上五十個以下股東共同出資設立，國有獨資有限公司除外。股東應當及時足額交納公司章程中規(guī)定的認繳出資額。股東全部交納出資后，必須經(jīng)法定的驗資機構驗資并出具證明。有限責任公司成立后，應當向股東簽發(fā)出資證明書，載明：（一）公司名稱；（二）公司登記日期；（三）公司注冊資本；（四）股東的姓名或者名稱、繳納的出資額和出資日期；（五）出資證明書的編號和核發(fā)日期。出資證明由公司蓋章。有限責任公司應當置備股東名冊，記載股東的姓名或者名稱及住所、股東的出資額、出資證明書編號。股東依法轉讓其出資后，由公司將受讓人的姓名或者名稱、住所以及受讓的出資額記載于股東名冊。股東在公司登記后，不得抽回出資。（2）《公司法》對股份有限公司股東的規(guī)定根據(jù)《公司法》，股份有限公司應當有五人以上為發(fā)起人，其中須有過半數(shù)的發(fā)起人在中國境內有住所。國有企業(yè)改建為股份有限公司的，發(fā)起人可以少于五人，但應當采取募集設立方式。以發(fā)起設立方式設立股份有限公司的，發(fā)起人以書面認足公司章程規(guī)定發(fā)行的股份后，應即繳納全部股款。發(fā)起人、認股人繳納股款或者交付抵作股款的出資后，除未按期募足股份、發(fā)起人未按期召開創(chuàng)立大會或者創(chuàng)立大會決議不設立公司的情形外，不得抽回其股本。（3）保險法對保險公司股東的規(guī)定——保險公司股東的條件。設立保險公司的主要股東具有持續(xù)盈利能力，信譽良好，最近三年內無重大違法違規(guī)記錄，凈資產(chǎn)不低于人民幣二億元?！鲑Y方式和資金來源。保險公司的注冊資本必須為實繳貨幣資本。——股權變更的批準。變更出資額占有限責任公司資本總額百分之五以上