上市公司内控体系
一、上市公司内部控制理论的内涵
“内部控制”，光从字面上理解，就是指在组织系统内部实施的控制，其具体内涵随着历史的演变和相关理论的持续发展而持续演进。

当前
被广泛采用和认可的则是美国COSO（即反舞弊性财务报告委员会的发
起组织委员会）1992年提出并于1994年修改的《内部控制——整合框架》中对内部控制的定义。

内部控制是由董事会、管理层和其他员工
所实施的为营运效率效果、财务报告的可靠性、相关法规的遵行性等
目标的实现而提供合理保证的过程。

该定义包含了四层含义：（1）内
部控制是一个动态的过程；（2）内部控制的主体是董事会、管理层和
其他员工；（3）内部控制的目标是营运的效率和效果、报告的可靠性
和法律法规的遵行性；（4）内部控制为这些目标的实现提供合理的保证。

二、当前上市公司内部控制存有的问题
当前，我国上市公司组织管理体制尚未形成规范化的模式，集团内部
母公司与子公司之间集权或分权的变化较大，普遍存有着“重分权、
轻集权”的现象。

因而影响和制约了集团的投资决策水平和市场竞争
水平，导致上市公司内部控制失效。

本文以中国人寿保险股份有限公
司（简称：中国人寿）为例，探讨上市公司内控体系建设。

中国人寿
保险股份有限公司自2004年开始着手内控体系建设，三年来，按照COSO框架，从控制环境、风险评估、控制活动、信息与沟通、监督五
个方面，结合国内和国外的相关法律法规，根据管理实际，积极组织
并推动内控体系建设工作。

（一）法人治理结构有待进一步完善
与真正市场化的保险企业相比，当前中国人寿的公司法人治理结构离
现代保险制度的要求还有一定距离，与之相适合的自我约束和自我发
展机制尚需要进一步完善。

现行管理体制中间层次多，缺乏科学合理
的利益机制、竞争机制和激励机制。

公司治理架构不健全、决策执行体系构造不合理、监督机制有效性不足等问题都在一定水准上限制了公司内部控制制度的有效实行。

（二）监管环境变化后的管理跟不上
中国人寿海外上市后，其内控体系是依据上市地法律法规建立的，是相对独立的运行体系。

这个体系与公司其他管理体系（保险监管国内要求、保险实务操作规程）必须能有效结合、互为补充、从而构建健全的企业管理大系统，同时企业应迅速辨认已发生的改变，并采取必要的行动。

而公司当前在这方面的跟踪、辨识和分析水平并未同步跟上，造成管理相对滞后。

（三）内控制度落实尚不能完全到位
1.控制分散与控制不足并存
即使中国人寿建立了较完整的规章制度，但其数量庞大的各类文件仍缺少整合性。

同时有些控制制度尚未建立或不健全，管理部门之间的衔接不充分的现象依然存有。

经营管理中的科技含量较低，信息技术应用不充分，产品开发水平还不强，市场企划和推广力度不够，客户服务的专业化水平不高。

缺少一批富于现代意识和管理思想的复合型管理人才，管理人员中存有着不同水准的年龄老化、知识老化、专业技能不足等问题，难以形成强有力的控制。

2.职责不清
当前中国人寿制定了大量的规章制度和办法，但各层次管理人员仍存有游离于内部控制之外的现象，对权力缺乏有效的监督约束，管理人员违规越权，内部控制流于形式，无人对权力范围内的业务行为造成的风险承担责任等，对企业都是较大的风险隐患。

（四）内部审计监督不力
多数分支机构内部审计不足，对内部控制的检查频率和深度不能与机构的风险水准相适合，事后监督形式单一，无权威性，缺乏必要的连带责任追究制度，在一定水准上影响了内部控制作用的效力。

当前，监督检查主要是依靠自查和各类工作的常规检查；检查方法仍停留在传统的印章、单证、会计凭证和账簿的检查上，未能做到适时地根据综合业务处理及其延伸的推广应用而相对应改进检查方法；当前经理离任审计制度仍不够完善，一是缺乏连续性，系统性，不利于对公司经营做出全面评价；二是缺乏即时性，“先离后审”造成事后发现问题，事过境迁，只能够尽力减少已造成的损失；三是“先任后审”，造成用人与审计相脱节，即使有问题，也都因“离任”而大事化小，小事化了，使检查流于形式，难以追究当事人的责任，起不到监督和威慑的作用，留下风险隐患。

三、上市公司内控体系建设(以中国人寿为例)
中国人寿的经营特点和经营风险决定了其应该建立健全有别与其他企业的独特的内部控制体系，确立内控体系建设目标、控制环节和实施措施。

（一）内部控制体系建设目标
为了增强管理，防范保险风险，保证保险市场的健康、稳定、持续发展，结合中国人寿公司具体情况，制定公司的内部控制目标：通过有效的内部控制，保证公司总体发展战略和经营方针的有效贯彻执行；保证公司经营的效率和效果，保持公司的持久盈利水平；保证会计记录的准确完整，保持公司财务报告和经营信息的可靠性和完整性；保证公司资产的安全性和完整性，为做大做强提供物质保证；保证公司严格遵守并执行国家各项法律、法规和政策，确保公司稳健经营；充分保障广大的保单持有人、投资人及公司员工的利益，树立公司良好声誉和形象。

（二）明确岗位职责
公司每一岗位在控制中担任双重角色，既是控制的主体又是控制的客体，必须坚持“以人为本”，主动建立和增强良性的控制环境，引导、激励员工准确地履行岗位职责。

如：柜员人员负责审核客户提交资料
的准确完整性，清点核对货币资金，实行权限内的收费操作，并将收
费资料及款项与客户服务部财务岗交接；财务部收付费审核岗负责审
核柜员所交接收费资料及款项的完整性、一致性，将货币资金存入银行，缮制、清分收费单证并与财务部会计人员交接，财务部会计人员
负责审核财务部收付费审核岗所交接的收费资料及单证，实行业务凭
证编制，并与财务部会计复核岗交接等等。

（三）整合控制流程
控制流程，是依次贯穿于某项业务活动始终的基本控制步骤及相对应
环节。

控制流程，通常同业务流程相吻合，主要由控制点组成。

当企
业的业务流程存有控制缺陷时，则需要根据控制目标和控制原则加以
整合。

（四）鉴别控制环节
实现控制目标，主要是控制容易发生偏差的业务环节。

这些可能发生
错弊因而需要控制的业务环节，通常称为控制环节或控制点。

控制点
按其发挥作用的水准而论，能够分为关键控制点和一般控制点。

那些
在业务处理过程中发挥作用最大，影响范围最广，甚至决定全局成效
的控制点，对于保证整个业务活动的控制目标具有至关重要的影响，
即为关键控制点；相比之下，那些只能发挥局部作用，影响特定范围
的控制点，则为一般控制点。

如寿险业务中的“核保”控制点，对于
保证寿险业务的完整性、安全性等控制目标都起着重要的保障作用，
所以是寿险承保业务控制系统中的关键控制点；相比之下，“保全申请”、“新契约申请”、“核保清分”、“审核”等控制点，即是一
般控制点。

需要说明的是，关键控制点和一般控制点在一定条件下是
能够相互转化的。

某个控制点在此项业务活动中是关键控制点，在另
外一项活动中则可能是一股控制点，反之亦然。

（五）确定控制措施
控制点的功能，是通过设置具体的控制技术和手续而实现的。

这些为
预防和发现错弊而在某控制点所使用的各种控制技术和手续等，通常
被概括为控制措施。

如人寿保险收费业务系统中的“新单审核”控制点，就有《接单初审交接清单》上加盖业务处理专用章；《收款收据》加盖收讫章及收款人员名章；《接单初审交接清单》、《收款收据》、现金送款簿及支票进帐单三者金额应保持一致；《收款收据》填写清晰、内容齐全、无涂改事项；《收款收据》的投保单号、投保日期与《接单初审交接清单》保持一致等控制措施。

现金控制系统中的“审批”控制点，就有主管人员授权办理现金收支业务；经办人员在现金
收支原始凭证上签字或盖章；部门负责人审核该凭证并签章批准等控
制措施。

以上两个控制点的差异，说明因为其控制的业务内容不同，
所要实现的控制目标不同，因而相匹配的控制措施也不相同。

所以必
须根据控制目标和对象设置相对应的控制技术和手续。

四、结论
保险业是一个经营风险的行业，也是高风险的行业。

保险公司在其经
营活动中不可避免地要承担代理风险和自营风险等各种业务风险。

建
立保险公司有效的内部控制系统，是保险机构风险管理的重点，是公
司依法合规经营，业务快速健康发展的重要保证。

为防范经营风险，
促动保险事业稳步、健康发展，根据中国保险监督管理委员会制定的《保险公司内部控制制度建设指导原则》，中国人寿结合自身系统的
实际，在建立健全保险公司内部控制机制上采取了一系列的措施和行动，取得了明显的成效。

上市公司内控体系。