我国金融保险业上市公司内部控制自我评价报告披露分析

【摘要】本文以我国四家A股上市保险公司2011年和2012年内控自评报告为研究对象，通过调查研究发现其存在的问题，为改善和提高金融保险业上市公司内控自评报告披露质量提供建议。

【关键词】内部控制；自我评价报告；金融保险业

内控自评是一种为了保证组织既定目标的更好实现，由企业自上到下、全员参与，依据一定标准，运用风险分析的方法，对本企业所设计的内控合理性以及内控实施的有效性（即内控的效率和效果）进行全面评价，并针对发现的问题及缺陷提出相应改进方案的过程。

一、我国金融保险业上市公司内控自评报告分析

（一）样本公司的选择

目前，我国上市的保险公司共有四家，中国平安、中国人寿、中国太保、新华人寿。本文将以四家A股上市保险公司2011年和2012年内部控制自我评价报告为分析对象。除新华人寿为2011年上市外，其他三家公司2008至2012年报中均有独立的内控自评报告。

（二）样本公司内控自评报告分析

1.报告的范围、主体和时间

首先，从范围看，样本公司均从内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素对本企业内控进行评价，但披露详细程度不同。除新华人寿对每一要素的披露较为详细外。中国人寿、中国平安和中国太保仅有笼统概括，并没有分类的详细说明。其次，从主体看，样本公司的报告主体均是公司的董事会。最后，时间方面，样本公司在评价报告中都明确说明评价的时间为年度1月1日起至报告期末。

2.评价报告的主要内容

（1）董事会内控责任声明

样本公司在评价报告中都做了关于董事会内控的责任声明，如：董事会全体成员保证本报告内容真实、准确和完整，没有虚假记载、误导性陈述或者重大遗漏。

（2）内控自评的依据

样本公司除依据财政部、证监会、审计署、银监会以及保监会《企业内部控制基本规范》（财会〔2008〕7号）及《关于印发企业内部控制配套指引的通知》（财会〔2010〕11号），保监会《保险公司内部控制基本准则》（保监发〔2010〕69号）等内控相关规定外，还结合自己的具体规定对内控状况开展自评，如《中国太平洋保险（集团）股份有限公司内部控制审计评价办法》，《新华人寿保险股份有限公司内部控制评价手册（试行）》以及《中国人寿保险股份有限公司内部控制评估办法》规定的程序。中国人寿还执行了萨班斯法案404条款；而新华人寿在2012年全面推进《企业内部控制基本规范》实施工作，正式了统一的内控评价手册，更新了内控实务手册。

（3）内控自评的程序和方法

样本公司基本都遵循了评价依据所规定的程序，包括：制定年度内控评价方案、组织成立各级内控工作评价组、实施现场评价工作、识别认定缺陷、编制年度内控评价报告等。但在评价过程中所用方法不尽相同。中国平安和中国太保类似，都建立了内控自查和内控稽核独立评价流程。中国平安通过加强项目管理、过程管理、质量复核，固化项目方法和程序，对评价结果分类等，规范工作的开展。通过内控系统完成内控评价的发起、测试、汇总、复核、审批、整改追踪、结果分析等工作，整体工作流程及底稿通过该系统实现。管理层自评工作分计划、主数据更新、自评测试以及整改汇报四个阶段进行。内控稽核独立评价分审阅管理层自评结果、独立测试、整改汇报及报告四个阶段开展。中国太保通过明确评价方式、频率、覆盖面、方法和程序、评价结果分类等内容，对工作的开展进行规范，使内控评价结果更符合企业内控基本规范的要求。自查和评价过程中，采用了个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等适当方法，广泛收集公司内控设计和运行是否有效的证据。中国人寿在评价过程中，采用访谈、穿行测试、控制测试等方法，采取建立样本库并从中抽样的方式执行内控评估，检验公司内控的有效性。为确保内控评估工作的效率效果，总公司每年初开展内控评估试点工作，选择一家省级分公司，通过研讨修订及实地验证的方式对上年度内控评估模板进行修订，各级公司根据修订后的模板执行本年度内控评估工作。上述模板明确了样本库要求、抽样要求以及评价步骤、关注要点。此外，为确保抽样的准确性，公司建立了统一的抽样平台并下发随机抽样工具。新华人寿综合运用访谈、询问、观察、检查等方法，收集公司内控设计和执行是否有效的证据，对公司内控设计和执行的有效性进行评价测试，包括穿行和控制测试，填写评价工作底稿，分析、识别内控缺陷，经最终确认得出评价结果。针对发现的内控缺陷制定相应整改计划或方案并推动后续整改工作。

（4）内控缺陷的认定与披露

样本公司均根据《企业内部控制基本规范》、《企业内部控制配套指引》中关于重大缺陷、重要缺陷和一般缺陷的内控缺陷认定标准，结合多种因素，研究确定了适用本公司的内控缺陷具体认定标准。中国平安2011年的内控自评报告，披露了与非财务报告相关的内控缺陷情况均为一般缺陷，可能导致的风险均在可控范围内，对公司财务报告目标的实现不构成实质性影响，并且已认真落实整改；2012年则披露不存在重大缺陷。新华人寿在评价报告中披露公司未发现重大缺陷，指出了一些其他缺陷，并制定详细整改措施；在2012年的评价报告中还包括了对上年度已发现缺陷的改善情况。中国人寿在2012年简单披露公司未发现报告期内存在重大缺陷和重要缺陷，并未对详细情况或一般缺陷做出说明。但中国人寿2011年度的报告和中国太保的内控自评报告中并未披露内控是否存在缺陷。

（5）董事会签章

内控报告的责任主体为董事会，其应在经会议通过后的评价报告上签章，表明对内控报告的可靠性负责。样本公司的报告首页均有董事会签章。

3.披露格式

规范的报告格式，有利于信息使用者进行搜集、分析和比较。经过2007年到2012年的发展，四家样本公司披露格式不断完善。新华人寿的内控评价报告最为详细、合理，总共分为八个部分，一总体情况、二评价依据、三评估范围、四评价程序和方法、五基本情况、六缺陷及认定情况、七缺陷整改措施、八内控有效性结论。中国人寿较为详细，分为七部分，一董事会声明、二内控建设工作情况、三总体情况、四评估范围、五程序和方法、六缺陷及认定、七整改情况。中国平安的内控自评各部分为，一整体情况、二评估范围、三评价方法和程序、四缺陷认定标准、五有效性结论，不像新华人寿和中国人寿内容详细、分类具体。而中国太保两年的内控评价报告过于简单，第一部分为总体情况，第二部分为评价程序和方法，其中写到了缺陷认定标准。

（三）样本公司内控自评报告存在的问题

我国对金融、证券、保险业企业内控信息披露的要求比一般公司更为严格，其内控自评报告理应披露得更为规范、具体。但通过上述分析发现，当前我国上市保险公司内控自评报告还存在诸多问题。

1.披露主体缺失。使得内控自评报告无法确认责任归属，或无法保证内控按相应规范有效地设计实施。虽然，中国人寿和中国平安明确披露主体为董事会，但缺乏对内控设计及其运行的概括性描述和评价，基本是宣传自身内控建设的成绩，很少指出内控中尚存的缺陷或需改进之处。

2.公司只披露有效的内控措施，对无效的或有缺陷的避重就轻，不披露或者少披露。

3.报告格式不规范，缺乏统一性。内控自评报告多采取“作文式”，报告内容缺乏条理和重点，影响信息使用者的使用。

4.信息量差异较大。如，新华人寿披露的内容较多，中国人寿、中国平安次之，中国太保披露的内容最少。

二、完善的建议

应从内控自评报告的范围、内容和形式等方面加以完善。

1.报告范围。当前面临的问题是内控自评报告披露范围是仅限于会计控制，还是应扩展到内控的各个环节。我国证监会在《上海证券交易所上市公司内部控制指引》中的对此的提法与五部委的《企业内部控制基本规范》的提法存在差异，必将导致各企业披露的不统一。建议将披露范围限定在与财务报告有关的内控方面。

2.报告内容。应至少包括以下四方面：（1）明确董事会和管理当局对内控及出具内控自评报告的责任。（2）企业内控情况的简要描述。（3）对企业的内控制度设计是否健全、执行是否有效的说明，其中须包括内控是否有效的结论（下转第23页）（上接第20页）性意见。如企业内控在某些方面存在重大缺陷，应进行披露，并专项说明拟采取的纠正措施，同时保证除了已披露的重大缺陷外，不存在其他重大缺陷。（4）对所依据的内控标准或规则框架进行说明。

3.报告形式。证监会应对内控自评报告的形式做出规定，以便信息使用者进行搜集、分析和比较。

4.披露形式。强制披露与自愿披露相结合。在强制性披露发挥监管的同时，也应对自愿性披露给出指南，以引导上市公司披露。并不断完善市场环境，给上市公司进行自愿披露提供动力。这样既可提高内控信息披露的透明度，也可以引导企业将内控作为自律要求。

5.明确法律后果。在相关规范中明确违反规则将导致的法律后果，为处罚提供法律依据。

6.建立质量评价指标体系。以便据此对上市公司的内控自评报告评分，每年对外公布一次评价结果。以帮助投资者解读内控自评报告，促使上市公司不断提高报告的质量。

参考文献

[1]赵爱玲.我国上市公司内部控制评价与报告体系的构建[J].财经理论与实践，2009，

7（160）：48-51.

[2]张键，杨忠智.上市公司内部控制自我评价研究[J].财会月刊，2010（11）：33-35.