孫 敏

（中國太平洋保險（集團）股份有限公司，200120）

一、引 言

資金運用業(yè)務是保險公司的主要盈利來源。近年來，保險公司業(yè)務快速發(fā)展，保費收入迅猛增長，資金運用規(guī)模隨之不斷擴大。同時，隨著監(jiān)管機關對保險資金運用限制的逐步放開以及我國資本市場的不斷發(fā)展，保險公司資金運用取得了不俗業(yè)績，對保險公司持續(xù)經營發(fā)展做出了重大貢獻。然而，資金運用是一項高風險業(yè)務，尤其是對于保險公司而言，資金運用的安全、合規(guī)是首要前提。隨著保險資金運用渠道逐步拓寬、技術不斷創(chuàng)新、業(yè)務種類日益增多，伴隨而來的風險防范、合規(guī)操作方面的要求也日益提高，成為保險公司風險控制的重要內容。

內部審計是公司內部控制體系的重要組成部分，是內部控制的第三道防線，對保險公司資金運用情況進行內部審計是提高保險公司資金運用管理水平、增強保險公司償付能力、維護被保險人利益的重要保障。隨著內部審計理論與實務的不斷發(fā)展，風險導向內部審計已經成為內部審計的核心理念和重要模式。如何通過實施有效的內部審計來防范保險公司資金運用風險、尤其是證券投資業(yè)務風險，是保險公司面臨的重要課題，也是本文的核心內容。

二、理論內涵：企業(yè)風險管理與風險導向內部審計

（一）風險導向內部審計釋義

風險導向內部審計突出“風險”二字，要求內審人員在整個審計過程中都要以降低風險為導向，在審計項目計劃制定階段對被審計機構進行風險分析，確定審計范圍和審計重點；在審計項目實施階段，以降低風險為導向實施各類審計程序，對企業(yè)各類業(yè)務和控制實施獨立評價，并針對發(fā)現(xiàn)的重大風險和內控缺陷提出審計建議。風險導向內部審計與企業(yè)內控體系建設相伴相生，它以風險管理為基本理念，既是基于降低審計風險，又是為了降低企業(yè)的經營管理風險，是企業(yè)總體風險管理的重要組成部分。

歸納而言，風險導向內部審計主要有以下特點：

（1）風險導向審計的首要目標是評估與改善風險，不僅關注風險管理，同時也是風險管理的重要組成部分，試圖通過風險規(guī)避、風險轉移、風險控制等有效的風險管理手段來提高組織整體的效率和效果。

（2）風險導向審計的視野較為寬闊，從被審計機構經營風險分析入手，全面剖析被審計對象的風險水平、經營環(huán)境和誠信程度等，審計范圍、深度和廣度都大大擴展。

（3）風險導向內部審計重心前移，把審計起點設為風險評估，并將風險評估作為重心工作，全面了解被審計單位的基本情況及面臨的經營環(huán)境。

（4）風險導向內部審計要求更高的審計技術，引入風險管理工具和最先進的審計技術，并要求在審計程序和方法上與特定審計環(huán)境相適應，針對不同的風險領域和業(yè)務環(huán)節(jié)以及特定的審計目標實施個性化的審計程序。

（二）企業(yè)風險管理與風險導向內部審計的關系

風險貫穿于企業(yè)經營管理的各個環(huán)節(jié)。企業(yè)內外部經營環(huán)境千變萬化，業(yè)務流程和經營管理錯綜復雜，任何偏離預期的變化都會導致企業(yè)生產經營活動失敗。而企業(yè)風險管理，正是根據(jù)決策管理層的風險偏好，結合風險承受度及風險預警能力，對企業(yè)內可能產生的各種風險進行識別、評估和分析，并及時采取有效措施加以防范和控制，以最大限度為企業(yè)提供安全保障的一種管理方法。

那么，企業(yè)風險管理的效果如何呢？這就需要專業(yè)的監(jiān)督、評價與改進?，F(xiàn)代風險導向的內部審計承擔了這一職責，其實質就是在企業(yè)風險管理基礎之上的再監(jiān)督，其目的是強化并促進企業(yè)風險管理更加規(guī)范有效。可以說，風險導向審計與企業(yè)風險管理是相輔相成的，風險導向審計是企業(yè)風險管理的一個重要手段，通過評價和發(fā)現(xiàn)風險管理方面存在的問題并促其有效整改，進一步促進風險管理的規(guī)范和發(fā)展；反之，風險管理內容的不斷豐富和風險管理手段的不斷創(chuàng)新，也推動著現(xiàn)代風險導向內部審計和手段的提升與發(fā)展。

根據(jù)英國與愛爾蘭內部審計協(xié)會頒布的 “風險導向內部審計”立場公告（Position Statement），在風險管理水平的較低級別，如未采取任何正式風險管理方法的風險暴露階段，內部審計只能以協(xié)助采用風險管理方法為目標，并在審計風險評估的基礎上開展內部審計；在風險管理融合的較高階段，內部審計完全可以將風險管理過程作為審計對象，在管理層對風險評估的基礎上進一步推進內部審計，具體詳見下表：

表1 風險管理水平對風險導向審計的影響

可見，以風險為導向的內部審計應該結合企業(yè)的經營特點和風險管理水平，合理確定具體的審計目標和方法，從而更有效地發(fā)揮內部審計在企業(yè)風險管理方面的作用。

三、實證分析：風險導向內部審計在保險公司證券投資審計中的應用

（一）保險公司證券投資業(yè)務風險特點與分析

1.保險公司證券投資業(yè)務面臨的內外部風險

保險公司證券投資業(yè)務具有較高的風險性，對保險公司證券投資業(yè)務進行內部審計，首先就是要確定其面臨的內外部風險，并逐一進行評價與分析。從保險公司面臨的外部環(huán)境看，證券投資業(yè)務面臨的風險主要包括政治風險、市場風險、行業(yè)政策風險及信用風險等；從保險公司證券投資業(yè)務的內部環(huán)境來看，面臨的風險主要包括資產風險、戰(zhàn)略風險、操作風險、聲譽風險及流動性風險等，如圖1所示：

圖1 保險公司證券投資業(yè)務可能面臨的主要風險

2.保險公司證券投資業(yè)務風險的具體評估

在分析保險公司證券投資業(yè)務可能面臨的主要風險后，還應對其業(yè)務運行與管理過程的潛在控制點和風險點進行識別與分析，并考慮風險的重大性和可能性。表2列舉了保險公司證券投資業(yè)務面臨的最重要、最具有投資業(yè)務典型性的重要風險領域及其主要風險因素。

表2 保險公司證券投資業(yè)務重要風險領域（部分列舉）

在識別風險的基礎上，還要通過分析判斷各類風險發(fā)生可能性的大小、發(fā)生的條件、對實現(xiàn)工作目標的影響程度等，以綜合確定風險等級。風險評價可以采取定量與定性相結合的方法。定量方法如可對風險程度進行1、2、3之類的評分，定性方法一般指文字描述。表3列舉了法律風險、聲譽風險、操作風險、信息系統(tǒng)風險、資產風險的定量和定性影響程度描述方法。

表3 保險公司證券投資業(yè)務各類風險影響程度（部分列舉）

接下來還應確定各類風險發(fā)生的可能性，以便確定最終的風險程度。同樣，風險發(fā)生可能性可以用定量與定性兩種方法來衡量，表4列舉了一些可行的定量與定性分析方法。

表4 風險發(fā)生可能性確定方法（部分列舉）

在確定了風險影響程度與風險發(fā)生可能性之后，就能運用各種計量方法計算每項業(yè)務活動的剩余風險，并據(jù)此確定審計策略。在對剩余風險進行排序時可以利用風險控制矩陣，將風險列入風險矩陣適合的區(qū)域，如下表5所示，其中列入①－③區(qū)的為可接受風險，將其納入不予重點關注的范圍，審計頻率相對較長；列入④－⑥區(qū)的為采取緩解措施后可接受的風險；列入⑦－⑨區(qū)的為不可接受的重大風險領域，應重點關注，加強審計頻率。

表5 剩余風險矩陣圖

（二）以風險為導向實施保險公司證券投資業(yè)務審計的關鍵點

近年來，保監(jiān)會、證監(jiān)會等監(jiān)管機關出臺了一系列規(guī)章制度，對保險公司風險管理、合規(guī)管理及保險投資業(yè)務的具體操作要求進行了規(guī)范。這標志著保險企業(yè)進入全面風險管理和合規(guī)經營階段，保險企業(yè)對于風險管理的認識提高到前所未有的高度。目前國內大多數(shù)保險公司在外部合規(guī)監(jiān)管部門的要求以及自身業(yè)務發(fā)展的需要下，搭建了全面風險管理的組織架構，設置了專門的風險管理部門，建立了更加完善的投資風險控制制度、業(yè)務管理規(guī)則等，逐步形成了事前風險控制、事中風險控制防線與事后風險控制相結合的全面風險管理架構，內部審計也具備了充分發(fā)揮第三道防線作用的必要條件。具體而言，以風險為導向對保險公司證券投資業(yè)務實施內部審計重點應關注以下內容：

1.以風險為導向制定審計計劃，明確審計項目和審計范圍。審計部門在制定審計計劃時，應圍繞保險投資發(fā)展戰(zhàn)略，結合監(jiān)管要點，重點關注董事會和公司管理層關注的流程和控制點，并對保險投資面臨的主要風險進行初步識別和綜合評估，充分考慮組織風險、管理需要和審計資源等因素，在此基礎上制定證券投資業(yè)務審計規(guī)劃和計劃。

2.以風險為導向編制審計方案，明確審計方向和審計內容。在制定證券投資審計方案時，應對保險公司證券投資的相關風險要素進行全面系統(tǒng)評估，了解證券投資的業(yè)務流程及其內外部環(huán)境，評估各流程、各環(huán)節(jié)風險點，據(jù)此確定重點審計內容。

3.以風險為導向執(zhí)行審計程序。在執(zhí)行審計項目過程中，審計人員應將風險導向理念滲透于審計實施的全過程，增強風險審計意識，把風險管理意識和方法融入到審計實施全過程中。在審計方案的引領下，審計人員可以將時間和精力集中于風險較大或可能存在重大問題的證券投資領域，嚴格執(zhí)行審計程序，以風險識別為基礎，通過風險評估、分析性復核、控制測試、實質性測試等方法，發(fā)現(xiàn)證券投資過程中的風險控制的漏洞和薄弱環(huán)節(jié)，以便將審計風險控制在既定范圍內。

4.以風險為導向編制審計報告。應對保險公司證券投資業(yè)務的內部控制和風險管理狀況進行總體評價，對發(fā)現(xiàn)的具體問題進行定性和定量的評估和分析，指出問題、分析原因、提出對策和建議。

四、審計實務探討：保險公司證券投資業(yè)務內部審計實施要點

根據(jù)保險公司證券投資業(yè)務重要風險領域及其風險特征，與前文第三部分風險分析所列五大內容相對應，內部審計應著重關注以下幾方面內容：

（一）財務會計控制目標與審計重點

1.是否建立并實施規(guī)范的會計核算流程，及時、準確、完整編制財務報表，確保會計信息的可靠性、真實性和對外披露的準確性。

2.是否建立嚴格的審批制度和預算控制制度，明確預算的編制、執(zhí)行、分析、考核，及時分析和控制預算差異，控制費用支出，確保預算的執(zhí)行。

3.是否妥善保管公司各類資產，及時登記，定期盤點，及時對帳，確保各項資產的安全和完整。

4.是否對資金運用專戶進行統(tǒng)一管理和運作，專戶的設立符合資產委托方的要求，及時掌握資金頭寸的變化，資金劃撥是否符合專戶資金運用的要求和具體投資業(yè)務的要求。

（二）投資決策控制目標與審計重點

1.是否建立完善的投資決策組織架構，制定透明、規(guī)范的投資決策程序和議事規(guī)則，投資決策流程是否包括研究、論證、決策、實施和報告等內容。

2.是否建立健全相對集中、分級管理、權責統(tǒng)一的投資決策授權制度，對授權情況進行檢查和逐級問責。

3.投資決策是否嚴格遵循國家法律法規(guī)和公司的規(guī)章制度，符合保險資金運用的投資范圍、投資限制等要求。公司投資決策是否有充分的依據(jù)及書面記錄，有關責任人是否在記錄上簽字，重要投資決策是否有詳細的研究報告；投資品種的選擇標準是否合理并定期評估調整。

4.是否兼顧資產與負債的匹配。

5.是否建立了相關的監(jiān)督機制，保證投資的安全性與投資渠道、投資比例的合法合規(guī)性。

（三）投資操作控制目標與審計重點

1.是否建立獨立的交易部門和規(guī)范的投資操作流程。所有投資指令是否都經交易部門審核，確認其合法合規(guī)后予以執(zhí)行。

2.是否對業(yè)務經辦人員建立了有效的監(jiān)督和制約機制，談判、詢價應與交易執(zhí)行相分離，密切監(jiān)控交易過程中的談判、詢價和簽訂等關鍵環(huán)節(jié)。

3.是否建立交易監(jiān)測系統(tǒng)、預警系統(tǒng)和反饋系統(tǒng)，嚴格控制投資過程中各種交易風險，確保投資交易的順利進行。

4.是否建立并有效執(zhí)行嚴格的公平交易制度，確保不同性質或來源的保險資金的利益能夠得到公平對待。

5.是否建立完善的交易記錄制度，每日的交易記錄應及時核對并存檔。

6.場內投資（股票、基金、債券）是否實現(xiàn)投資與交易職能相互分離，是否建立并實行集中交易制度，是否建立對日常投資比例的監(jiān)控機制，保證投資比例符合相關監(jiān)管部門和公司的規(guī)定。

7.港股投資是否建立日常資金總額的監(jiān)控機制，確保投資總額在相關監(jiān)管部門的批復內。

（四）信息系統(tǒng)控制目標與審計重點

1.是否建立健全信息技術管理和風險防范制度，明確計算機信息系統(tǒng)開發(fā)、管理與應用部門及相關人員的職責，對計算機信息系統(tǒng)的項目開發(fā)、測試、變更、運行和維護等實施控制。

2.是否建立信息安全管理體系，對硬件、操作系統(tǒng)、應用程序和操作環(huán)境實施控制，確保信息的完整性、安全性和可用性；是否通過建筑設計、線路設計、出入控制以及必要的物理環(huán)境控制，確保計算機硬件、各種存儲傳輸介質的物理安全；是否對系統(tǒng)數(shù)據(jù)資料采取加密措施，建立備份，異地存放；是否實施有效的口令管理和權限管理，定期更換用戶使用的密碼和口令；是否及時更新系統(tǒng)安全設置、病毒代碼庫、攻擊特征碼、軟件補丁程序等，通過認證、加密、內容過濾、入侵監(jiān)測等技術手段，不斷完善安全控制措施；是否對數(shù)據(jù)庫系統(tǒng)、應用程序等設置必要的日志。

3.是否建立計算機安全應急系統(tǒng)，制定詳細的應急方案，定期檢查、維護應急的設施、設備和系統(tǒng)，確保其處于適用狀態(tài)。

（五）風險識別與評估控制目標與審計重點

1.是否建立健全風險管理體系，規(guī)范風險管理流程，采用先進的風險管理方法和手段，對保險經營中的風險進行持續(xù)有效的識別、計量、監(jiān)測與評估，努力實現(xiàn)適當風險水平下的效益最大化。

2.風險識別與評估是否覆蓋公司經營的各個環(huán)節(jié)；是否運用適當?shù)姆椒ê图夹g對風險進行持續(xù)監(jiān)控，對風險發(fā)生的概率、后果進行評估，確定風險級別；是否及時對風險進行再識別和再評估。

3.是否定期評估已識別可接受風險，對已識別且認為可接受的風險，持續(xù)監(jiān)測并定期評估，以確保其持續(xù)可接受。

4.是否針對明確已識別不可接受風險而制定風險控制方案，明確控制風險的相關職責與權限、控制策略、控制方法、資源需求和時限要求，制定重大、突發(fā)事項應急預案，明確責任人、處理流程和措施。

5.是否制定和采取相應的應對措施，以應對內部控制方案因組織結構、流程、信息技術等方面的重大變更而產生的新風險。

［1］中國內部審計協(xié)會.全國內部審計理論研討優(yōu)秀論文集2008－2009［C］.北京：西苑出版社，2009.

［2］陳文輝.壽險公司內部控制建設與監(jiān)督［M］.北京：人民出版社，2005.

［3］羅冬梅.風險導向內部審計在我國的應用研究［D］.長沙：湖南大學，2007.

［4］李良慧.企業(yè)實施風險導向內部審計研究［D］.合肥：安徽農業(yè)大學，2010.

［5］曹增強.風險導向審計在航天科工集團的應用研究［D］天津：南開大學，2010.

［6］王迪.防范和化解保險投資風險［J］.審計月刊，2005，（3）.

［7］李薇.美國金融危機對我國保險投資風險的警示［J］.社會科學輯刊，2009，（2）.

［8］袁重德.我國保險資金投資渠道及風險控制［J］.消費導刊，2008，（11）.

［9］牛芬云.風險導向內部審計初探［J］.中小企業(yè)管理與科技，2010，（22）.

［10］徐重賓等.風險導向審計與人民銀行風險管理［J］.金融科技時代，2008，（10）.

［11］吳丹.淺析風險導向審計在風險管理中的應用［J］.商業(yè)文化（下半月），2010，（5）.