关于修改《中华人民共和国共和国机动车驾驶证管理办法》和《中华人民共和国机动车驾驶员考试办法》部分条款的决定

上一篇: 国家税务总局关于中国邮电电信总局２０００年度缴纳企业所得税问题的通知
下一篇: 北京市教育委员会、共青团北京市委员会、北京市劳动和社会保障局关于印发北京地区普通高等学校学生勤工助学活动规定的通知

中国保险监督管理委员会


关于印发《寿险公司内部控制评价办法（试行）》的通知(06-01-21)


各保监局、各人寿保险公司、健康保险公司、养老保险公司：
为规范和加强对寿险公司内部控制的评价，推动寿险公司加强内控建设，确保寿险公司稳健经营和持续健康发展，我会研究制定了《寿险公司内部控制评价办法（试行）》，现印发给你们。请各保监局、各寿险公司、健康保险公司、养老保险公司根据实际情况，在内部控制评价工作中组织试用，认真总结试行经验。
特此通知
二○○六年一月十日


寿险公司内部控制评价办法（试行）
第一章 总则
第一条 为规范和加强对寿险公司内部控制的评价，推动寿险公司加强内控建设，确保寿险公司稳健经营和持续健康发展，根据《中华人民共和国保险法》等法律法规，制定本办法。
第二条 寿险公司内部控制是由寿险公司的董事会、经理层和全体员工共同建立并实施的，为实现公司经营管理目标、保证财务报告真实可靠、确保公司依法合规经营而提供合理保证的过程和机制。
第三条 寿险公司内部控制评价是指对寿险公司内部控制体系建设和实施开展的调查、测试、分析和评估等系统性活动。
寿险公司内部控制评价包括寿险公司开展的自我评估和监管部门组织实施的独立评价。
本办法所称寿险公司包括法人机构及其分支机构。本办法所称寿险公司法人机构是指在中国境内经中国保监会批准设立，并依法登记注册的人寿保险公司；本办法所称寿险公司分支机构限于寿险公司法人机构依法设立的省级（含直辖市、计划单列市）分公司和地市级中心支公司。
本办法所称监管部门是指中国保险监督管理委员会（以下简称中国保监会）及其派出机构。
外国寿险公司分公司视为寿险公司法人机构。
第四条 寿险公司应建立并保持系统、透明、文件化的内部控制体系，定期或当有关法律法规和其他经营环境发生重大变化时，对内部控制体系进行评审和改进。
第二章 评价目标和原则
第五条 寿险公司内部控制评价的目标主要包括：
（一）促进寿险公司强化内部控制意识，建立健全内部控制机制，严格落实各项控制措施，确保内部控制体系有效运行。
（二）促进寿险公司提高风险管理水平，推动其实现发展战略和经营目标。
（三）促进寿险公司增强业务、财务和管理信息的真实性、完整性和及时性。
（四）促进寿险公司严格遵守国家法律法规、中国保监会的监管要求和寿险公司审慎经营的原则。
第六条 寿险公司内部控制评价应从健全性、合理性和有效性三个方面进行：
（一）健全性。过程和风险是否已被充分识别，过程和风险的控制措施是否得到明确规定并得以保持。
（二）合理性。控制措施能否实现控制目标。
（三）有效性。控制措施能否得到有效执行。
第七条 寿险公司内部控制评价应遵循以下原则：
（一）全面性原则。评价范围应覆盖寿险公司内部控制活动的全过程及所有的系统、部门和岗位。
（二）一致性原则。评价的准则、范围、程序和方法等应保持一致，以确保评价结果的客观、可比。
（三）公正性原则。评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。
（四）重要性原则。评价应依据风险和控制的具体情况确定重点，关注重点区域和重点业务。
（五）及时性原则。评价应按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，应及时进行重新评价。
第三章 评价内容
第八条 寿险公司内部控制评价从控制环境、风险识别与评估、控制活动、信息与沟通、监督五个方面进行。
第一节 控制环境
第九条 公司治理。寿险公司应建立股东大会、董事会、监事会和经理层之间各负其责、规范运作、相互制衡的公司治理结构，为公司内部控制目标的实现提供合理保证。
（一）明确股东大会、董事会、监事会和经理层的职责。
（二）完善股东大会、董事会、监事会、经理层及下设的议事和决策机构，建立完备规范的议事规则、决策机制、决策评估和责任追究机制。
（三）建立独立董事制度，对董事会讨论事项发表客观、公正的意见。
非股份制寿险公司参照上述评估要点进行评价。
第十条 董事会、监事会、经理层在内部控制中的责任。寿险公司应明确董事会和董事、监事会和监事、经理层和高级管理人员在内部控制中的责任。
董事会负责保证寿险公司建立并实施健全、合理、有效的内部控制体系；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保寿险公司在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保经理层采取必要措施识别、计量、监测并控制风险；负责审批组织结构；负责保证经理层对内部控制体系的健全性、合理性和有效性进行监测和评估。
监事会负责监督董事会、经理层完善内部控制体系；负责监督董事会及董事、经理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害寿险公司利益的行为并监督执行。
经理层负责制定内部控制政策，对内部控制体系的健全性、合理性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测、控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。
董事会和经理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。
非股份制寿险公司参照上述评估要点进行评价。
第十一条 内部控制政策。寿险公司应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。内部控制政策应：
（一）与寿险公司的经营宗旨和发展战略相一致。
（二）体现持续改进内部控制的要求。
（三）符合现行法律法规和监管要求。
（四）体现出侧重控制的风险类型。
（五）体现出对不同地区、行业、产品的风险控制要求。
（六）传达给适用岗位的员工，指导员工实施风险控制措施。
（七）可为风险相关方所获取，并寻求互利合作。
（八）定期进行评审，确保持续的健全、合理和有效。
第十二条 内部控制目标。寿险公司应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现持续改进的要求。
在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素。
内部控制目标应可测量。有条件时，目标应用指标予以量化。
第十三条 组织结构。寿险公司应建立分工合理、职责明确、报告关系清晰的组织结构。
（一）机构设置应根据公司业务规模、经营管理的需要，坚持合理、精简、高效的原则，严格遵守国家法律、法规的规定以及监管部门的要求；部门和岗位设置应遵循相互监督、相互制约、协调运作的原则。
（二）明确各机构、部门、岗位、人员的职责和权限，并形成文件予以传达，使员工清晰的了解其岗位的职责和标准。
（三）明确关键岗位、特殊岗位、不相容岗位及其控制要求。
（四）配备足够的具有相应知识、经验和技能的人员，确保其有效履行岗位职责。
（五）明确各岗位的报告关系，确保管理人员能够得到履行职责需要的信息。
（六）定期根据经营情况或环境变化对组织结构进行评价，及时进行必要的修正。
第十四条 企业文化。寿险公司应培育积极健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进作出明确的规定。特别应向员工传达风险管理、内部控制、合规经营的重要性，引导员工建立诚信道德观念，树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。
第十五条 人力资源。寿险公司应完善人力资源政策和程序，确保员工具备相应的能力和意识。
寿险公司应明确各岗位人员，特别是与风险和内部控制有关的人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，确保相关人员能够胜任。
寿险公司应根据不同层次员工的职责、能力、文化程度及所面临的风险制定并实施培训计划，以确保经理层和全体员工能够有效履行职责。培训计划应定期评审并持续改进。
寿险公司应在员工招聘、晋升、绩效考核、薪酬、奖惩等日常人力资源管理方面建立完备的制度和程序,并充分考虑人力资源管理中的风险。

第二节 风险识别与评估
第十六条 风险识别与评估。寿险公司应建立和保持书面程序，以持续对各类风险进行有效的识别、计量、监测与评估。
风险识别与评估应：
（一）覆盖公司经营的各个环节。寿险公司应根据发生频率识别并确定经常性和非经常性的业务和管理活动，识别这些活动中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围。
（二）充分考虑内部和外部因素。其中内部因素包括公司治理、组织结构以及人力资源管理的复杂程度，公司资产的规模、流动性或业务总量，公司的财务状况以及经营活动的地理分布，内部控制系统的健全性、合理性和有效性等。外部因素包括国家法律、法规及政策的变化，经济形势的变化，科技的快速发展，行业竞争及市场变化等。
（三）持续识别法律法规、监管和其他要求。寿险公司应建立并保持政策和程序，确保及时识别和取得适用的法律法规、监管要求和其他要求，并作为风险识别与评估、制订控制目标和控制方案的依据。寿险公司应及时更新法律法规、监管要求和其他要求的信息，并将有关信息传达给相关员工和其他风险关联方。
（四）运用适当的方法和技术对风险的概率、后果进行评估，确定风险级别。
（五）持续识别和评估风险。当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。
第十七条 风险处理。对已识别的风险，寿险公司应依据法律法规、监管要求以及内部控制政策确定是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评估，以确保其持续可接受；风险不可接受时，应制定内部控制方案。
内部控制方案应包括以下内容：
（一）明确控制风险的相关职责与权限。
（二）控制的策略、方法、资源需求和时限要求。
（三）重大、突发事项应急预案，明确责任人、处理流程和措施。
内部控制方案若涉及到组织结构、流程、信息技术等方面的重大变更，应考虑可能产生的新风险。
第三节 控制活动
第十八条 业务控制。寿险公司应建立制度、政策和程序，对产品开发、销售、核保核赔、服务质量、咨询投诉、再保险、单证印鉴档案、业务处理系统等实施控制，确保业务活动正常运转。
（一）产品开发。成立产品开发领导和决策机构，明确精算责任人和法律责任人的责任；建立并实施产品开发管理程序，对新产品的开发、论证、审核等进行控制，对产品的销售、盈利和风险情况进行定期跟踪分析。
（二）销售管理。建立并保持书面程序，对销售人员或机构的甄选、签约、解约、薪酬、考核、档案、品质管理、宣传材料管理等进行控制；定期对销售人员进行专业培训和职业道德教育，建立销售人员失信惩戒机制；对于销售过程中已识别的风险，建立并保持控制程序，并将有关程序和要求及时通报销售人员或机构，确保其遵守寿险公司相关的控制要求；建立并实施客户回访制度，按照有关规定确定客户回访范围和内容，对客户反馈信息进行分析整改并定期跟踪。
（三）核保核赔管理。建立明确的核保、核赔标准，实施权责明确、分级授权、相互制约、规范操作的承保理赔管理机制；明确核保核赔人员的适任条件，定期对核保核赔人员进行培训，确保核保核赔人员具有专业操守并勤勉尽职。
（四）服务质量管理。建立并实施业务操作标准和服务质量标准，对销售、承保、保全、理赔等活动的服务质量进行规范管理，并建立客户服务质量考评机制。
（五）咨询投诉管理。建立并保持咨询投诉处理程序，对咨询投诉处理中发现的问题进行核实、分析、反馈，并进行整改和跟踪监督。
（六）再保险管理。建立并实施科学的分保管理流程，建立职责分明、互相制约的分保机制，合理确定自留额和分保方式，确保及时、足额进行分保。
（七）单证、印鉴、档案管理。建立并保持控制程序，对保险单证的印刷、保管、领用、作废和核销，印鉴的刻制、保管、使用范围、使用审批、使用登记、作废和核销以及档案的保管实施控制；对假造重要单证、仿制印鉴等违法违规行为进行责任追究。
（八）业务处理系统。建立稳定、高效、能够对业务提供全面功能支持的业务处理系统；制定业务处理系统的管理规章、操作流程、岗位手册和风险控制制度；实施操作权限管理，并及时根据业务和控制需要对业务处理系统进行改进。
第十九条 财务控制。寿险公司应建立制度、政策和程序，对财务会计制度、职务牵制、账务处理程序、财务报告、资产、负债、预算、费用开支、财务处理系统等实施控制，确保财务、会计信息真实、准确。
（一）财务会计制度。根据相关法律、法规和监管部门要求，结合本公司具体情况，制定本公司的财务会计制度。
（二）职务牵制。单独设立财务会计部门，配备专职财会人员，合理设置岗位，明确岗位职责，严禁兼任不相容岗位，实行定期或不定期岗位轮换。
（三）账务处理程序。建立并实施规范的会计核算流程，依据真实的经济事项进行账务处理，对账务处理的全过程实施有效的控制，实现账账、账实和账表相符。
（四）财务报告。及时编制财务报表，确保会计信息的真实、完整、准确。
（五）资产管理。制定并保持书面程序，对收付费进行控制，明确收付费的操作流程与岗位职责，对收付费行为进行定期检查和审计；妥善保管现金、有价证券、空白凭证、密押、印鉴、固定资产等，定期核对现金和银行存款账户，定期盘点，确保各项资产的安全和完整。
（六）负债管理。建立完善的准备金精算制度，按照有关法律法规要求及时、足额计提准备金。
（七）预算控制。实行全面预算管理，建立预算制度，对预算的编制、执行、分析、考核进行明确；及时分析和控制预算差异，确保预算的执行。
（八）费用管理。建立严格的授权批准制度和预算控制制度，控制费用支出，并定期进行费用分析。
（九）财务处理系统。建立稳定、高效、安全的财务处理系统；制定财务处理系统的管理规章、操作流程、岗位手册和风险控制制度；财务处理系统应与业务处理系统实现数据共享与无缝对接，确保各项业务活动得到及时、准确的反映。
第二十条 资金控制。寿险公司应建立制度、政策和程序，对资金调度、投资决策、投资操作、投资风险管理等实施控制，确保资金的安全性、流动性和效益性。
（一）资金调度。对资金进行统一管理和运作，严格实行收支两条线，对分支机构资金实行监控，确保资金及时足额上划集中。
（二）投资决策。建立透明、规范的投资决策程序和议事规则，投资决策应遵守国家法律、法规和行政规章的规定，并兼顾资产与负债的匹配。
（三）投资操作。建立规范的投资操作流程，实现前台操作与后台管理分离，建立并保管交易记录，确保投资的专业化。
（四）投资风险管理。建立完备的投资风险评估和控制系统，制定符合自身实际的风险控制政策、措施和定量指标，开发和运用量化的风险管理模型，对资金运用的收益与风险进行适时、审慎评价。
第二十一条 信息技术控制。寿险公司应建立制度、政策和程序，对信息技术管理、信息安全、应急计划等实施控制，确保信息的完整性、安全性和可用性。
（一）信息技术管理。建立健全信息技术管理和风险防范制度，明确计算机信息系统开发、管理与应用部门及相关人员的职责，对计算机信息系统的项目立项、设计、开发、测试、运行和维护等实施控制。
（二）信息安全管理。建立信息安全管理体系，对硬件、操作系统、应用程序和操作环境实施控制，确保信息的完整性、安全性和可用性；计算机机房建设应当符合国家的有关标准，出入计算机机房应当有严格的审批程序和出入记录，确保计算机硬件、各种存储介质的物理安全；对系统数据资料采取加密措施，建立备份，异地存放，实施有效的口令管理和权限管理，定期更换用户使用的密码和口令；及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等，通过认证、加密、内容过滤、入侵监测等技术手段，不断完善安全控制措施；建立健全网络管理系统，对网络的安全、故障、性能、配置等进行有效管理，并对接入国际互联网实施有效的安全管理；对网络设备、操作系统、数据库系统、应用程序等设置必要的日志。
（三）应急计划。建立计算机安全应急系统，制定详细的应急方案，定期检查、维护应急的设施、设备和系统，确保其处于适用状态。
第二十二条 其它控制。针对公司其他活动建立必要和恰当的政策和程序，确保制定的控制措施能够有效实现控制目标，已确定的控制行为得到恰当的执行。
第四节 信息与沟通
第二十三条 信息。建立并保持书面程序，持续识别、收集、处理、报告涉及公司目标实现及经营管理有效运作的内外部信息，以确保经理层能够及时、准确了解业务信息、管理信息、重要风险信息；确保其他所有员工充分了解相关信息，遵守涉及其责任和义务的政策和程序；确保及时、真实、完整的向监管部门和外界报告、披露相关信息；确保在出现紧急情况或重大突发事件时，相关信息能够得到及时报告和有效沟通。
第二十四条 沟通。建立开放、有效的内外部沟通渠道，确保信息及时上传、下达，并在上下级机构及部门之间充分交流，使相关人员能够获取履行职责需要的信息；确保员工具有反映问题、提出建议的通道；确保在收到客户、监管部门及其他外部人员反映的情况后，采取及时适当的应对措施，妥善处理公司与外部的关系。

第二十五条 信息的安全、保密。寿险公司应适当保持相关信息交流与沟通的记录，并考虑信息的安全性和保密性要求，对信息报告、发布、披露进行授权。
第二十六条 文件控制。寿险公司应建立并保持必要的内部控制体系文件，包括：对内部控制体系要素及其相互作用的描述，内部控制政策和目标，关键岗位及其职责与权限，不可接受的风险及其预防和控制措施，控制程序、作业指导、方案和其他内部文件等。
寿险公司应建立并保持书面程序，确保内部控制体系文件满足下列要求：
（一）易于查询。
（二）实施前得到授权人的批准。
（三）定期评审，必要时予以修订并由授权人员确认合理性。
（四）所有岗位都能得到有关版本。
（五）失效时，及时从所有发放处和使用处收回，或采取其他措施防止误用。
（六）及时识别、处置外来文件并进行标识，必要时转化为内部文件。
（七）留存的档案性文件和资料应予以适当标识。
第二十七条 记录控制。寿险公司应建立并保持书面程序，对内部控制相关活动中所涉及记录的标识、生成、存储、保护、检索、保存期限和处置进行明确。
记录应保持清晰、易于识别和检索，并可追溯到相关的活动，以提供内部控制体系有效运行的证据。
第五节 监督
第二十八条 持续性监控。寿险公司应采取措施确保各部门和员工在日常经营和履行职责的过程中持续获取相关信息（如：投诉等），对内部控制健全性、合理性、有效性进行检查、分析，并评估其实施的效率效果，以实现对内部控制实时动态的持续性监控和控制执行部门的自我改善。持续性监控应遵循以下原则：
（一）以目标为基础，确认现有的制度、程序和措施是否合理、有效和剩余风险的控制水平（剩余风险是指没有通过内部控制加以控制，但却可能对公司目标实现产生影响的风险）。
（二）以风险为基础，识别实现目标的各类风险，确定控制制度、程序和政策是否足以对关键风险进行管理。
（三）以控制为基础，对现有控制措施的运行情况进行分析，识别差距。
（四）以过程为基础，对包括业务、财务、资金、计算机等控制活动的关键过程和内容进行确认、评价、更新、改善和简化。
第二十九条 独立评估。寿险公司应设立内部审计机构或岗位，对内部控制的健全性、合理性和有效性实施独立评估。
内部审计部门应配备具有相应资质和能力的审计人员；应有权获得寿险公司的所有经营、管理信息；应定期或不定期根据辖属机构的内部控制情况确定审计频率，以及对机构和业务的审计覆盖率，对内部控制的健全性、合理性和有效性实施检查、评价；应对公司高级管理人员和重要岗位人员进行离任审计。
第三十条 缺陷报告与持续改进。对持续性监控、独立评估及监管部门评价发现的内部控制缺陷，应及时向董事会及经理层提交书面报告，并及时进行整改纠正，对整改情况进行跟踪监督，以持续提高内部控制体系的有效性。
第四章 评价方式
第三十一条 寿险公司内部控制评价采取寿险公司自我评估与监管部门独立评价相结合的方式。
第三十二条 寿险公司应根据本办法于每年年末针对每一项评价点，从健全性、合理性、有效性三方面全面进行自我评估，并填写内部控制评估表、撰写内部控制年度评估报告。监管部门认为必要时，可要求寿险公司提供经中介机构鉴证的内部控制评估表和内部控制年度评估报告。
内部控制评估表和内部控制年度评估报告应于次年3月15日前向监管部门报送。
寿险公司法人机构的内部控制评估表（具体格式和内容请见附件一）和内部控制年度评估报告应由法人代表签字，向中国保监会报送。
寿险公司分支机构的内部控制评估表（具体格式和内容请见附件二）和内部控制年度评估报告应由分支机构总经理签字，向中国保监会派出机构报送。
第三十三条 内部控制评估表和内部控制年度评估报告应真实、完整，不得瞒报和虚报。
填写内部控制评估表时，应对每一项评价点的基本情况进行描述，对其健全性、合理性和有效性进行评价，并揭示存在的内部控制缺陷。
内部控制年度评估报告应至少包括以下内容：
（一）本单位内部控制情况。应覆盖本单位内部控制体系范围内的所有活动，从控制环境、风险识别与评估、控制活动（包括业务、财务、资金、信息技术、其他控制活动）、信息与沟通、监督五方面分别进行评价。
（二）本年度完善内部控制的措施及上年度内部控制缺陷 的改善情况。
（三）目前内部控制存在的漏洞和缺陷。
（四）下一年度改进内部控制的计划。
第三十四条 监管部门应根据风险大小和重要性对寿险公司内部控制进行抽查，实施独立评价。
第三十五条 中国保监会负责对寿险公司法人机构的内部控制进行评价。根据工作需要，中国保监会可授权中国保监会派出机构对辖区内寿险公司法人机构的内部控制进行评价。
中国保监会派出机构负责对辖区内寿险公司分支机构的内部控制及根据授权对辖区内寿险公司法人机构的内部控制进行评价。
中国保监会认为必要时，可直接对寿险公司分支机构内部控制进行评价。
监管部门认为必要时，可以聘请中介机构对寿险公司内部控制实施评价。
第三十六条 监管部门对寿险公司内部控制进行评价，原则上每三年为一个评价周期，每年至少覆盖三分之一以上的寿险公司。当寿险公司发生重大违法违规行为、经营状况出现严重恶化、偿付能力出现危机、管理层重大变动、重大的并购或处置、重大的营运方式改变、业务财务信息处理方式改变，或监管部门认为必要时，可以对寿险公司内部控制实施评价。
第三十七条 监管部门初次对寿险公司内部控制评价时，须覆盖内部控制的所有方面。再次评价时，可根据监管重点、评价期内寿险公司内部控制的实际情况，确定评价的范围。但在每三次再次评价周期内应覆盖内部控制的所有方面。
第五章 评价程序与方法
第三十八条 监管部门对寿险公司内部控制的评价包括评价准备、评价实施、评价反馈和评价报告形成四个阶段。
寿险公司内部控制自我评估参照执行。
第三十九条 评价准备。评价准备包括组建评价组、制订评价实施方案、评价资料准备等步骤。
组建评价组。组建评价组应考虑组成人员的背景和能力。必要时，可聘请业务或管理方面的专家。
制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。
评价资料准备。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。
监管部门实施评价应在进场前与被评价机构建立初步联系，以便确认有关评价事项和安排。
第四十条 评价实施。评价实施包括了解内部控制体系、实施测试与分析等步骤。
评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排，通过适当的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以记录。包括：
（一）了解内部控制体系。评价组应了解被评价机构内部控制体系的基本情况，确认评价范围，确定被评价机构的内部控制体系的健全程度，然后决定实施测试所采取的方法。主要通过询问、查阅、观察、流程图等方法进行，以初步评价被评价机构内部控制体系的健全性。
（二）实施测试和分析。实施测试和分析是在了解内部控制体系的基础上，评价内部控制体系的合理性和运行的有效性，主要采取符合性测试法。
第四十一条 评价反馈。监管部门实施内部控制评价应在对被评价机构内部控制体系进行综合评价后，与被评价机构管理层沟通，以核对数据，确认事实。
第四十二条 评价报告形成。评价组应根据评价实施和反馈情况，填写内部控制评价表（内部控制评价表的格式与内容同内部控制评估表），撰写评价报告。
评价报告应重点分析以下方面：
（一）被评价机构内部控制体系现状。
（二）被评价机构内部控制存在的问题。
（三）评价中发现的与被评价机构内部控制年度报告、内部控制评估表不一致的方面。
（四）被评价机构内部控制的趋势分析。
第四十三条 符合性测试。符合性测试是获得评价证据以证实内部控制在实际中的合理和有效，即控制措施能否达到控制目的，相关规定在实际中是否被一贯执行。符合性测试分为两种形式：
（一）业务测试。即对重要业务或典型业务进行测试，按照规定的业务处理程序进行检查，确认有关控制点是否符合规定并得到认真执行，以判断内部控制的遵循情况。
（二）功能测试。即对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。
第四十四条 测试抽样。抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上，结合被评价项目的风险和重要性进行调整。
第六章 评分标准与评价结果利用
第四十五条 内部控制评价采取评分制（各项分值请见寿险公司内部控制评估表）。
第四十六条 内部控制评价应对每一项评价点，从健全性、合理性、有效性三方面进行评价，具体评分原则如下：
（一）被评价对象的过程和风险被充分识别，且相关控制措施被明确规定的，可得该项分值的百分之三十；
（二）在满足前项的基础上，被评价项目的过程和对风险的控制措施合理的，可再得该项分值的百分之三十；
（三）在满足前两项的基础上，被评价项目的规定得到有效执行的，可再得该项分值的百分之四十。
第四十七条 在测试过程中遇有业务缺项或问题不适用时，应将涉及到的分值在评价项目总分中扣减。为保持可比性，在得出其余适用项的总分后，还应将该评价项目的总得分进行调整。
调整后评价项目总得分=所有适用项目得分/（评价项目总分-不适用项目总分）*100%
第四十八条 若涉及到需要采取抽样测试确定评价结论的，应根据以下情况确定：
（一）如果在抽样范围内未发现违规，该项评价得满分；在抽样范围内，发现两项以上违规（含两项），该项评价不得分；仅发现一项违规的，应扩大一倍抽样，在扩大抽样范围内未发现新的违规的，可得该评价项目分值的50%，在扩大抽样范围内又发现新的违规的，该评价项目不得分。
（二）发现险情或事故的，直接扣除该评价项目的分值。
第四十九条 寿险公司在评价期内发生重大责任事故，监管部门应将其内部控制总评分下调十分。
重大责任事故包括：
（一）因安全防范措施不当，发生保险诈骗、盗窃、抢劫、爆炸等事件，造成重大影响或损失。
（二）因经营管理不善，发生大规模退保、现金流支付危机等事件。
（三）业务系统故障，造成重大影响或损失。
（四）重大违法违规事件。
第五十条 内部控制体系连续在三个评价期内得不到改善的机构，监管部门应将其内部控制总评分下调十分。
第五十一条 监管部门应将寿险公司内部控制评价结果用于寿险公司非现场监管，并根据非现场监管结果实施分类监管。
第五十二条 监管部门应将独立评价结果与寿险公司自我评估结果对比，发现寿险公司呈报的内部控制评估表和内部控制年度评估报告中存在恶意瞒报、弄虚作假或者两者的结果存在较大不一致的，应将其内部控制总评分下调二十分，并视情节轻重按照有关法律法规进行处罚。
第五十三条 寿险公司内部控制评价信息作为非现场监管信息，按照《寿险公司非现场监管规程》（试行）进行归档和管理。
第七章 附则
第五十四条 健康保险公司、养老保险公司内部控制评价参照本办法执行。
第五十五条 本办法由中国保监会负责解释与修订。
第五十六条 本办法自发布之日起实施。

附件1：寿险公司内部控制评估表——法人机构
附件1：寿险公司内部控制评估表——分支机构



附件下载:
http://www.circ.gov.cn/policy/list_detail.asp?Auto_ID=269


　　在世界上最早通过刑事立法对洗钱活动予以惩治的国家中，英国位列其一。早在1986年，英国就制定了《反毒品贩运犯罪法》，其中设立了“获取源于毒品贩运的财产罪”，最高可处以14年监禁刑。[1]从英国《反毒品贩运犯罪法》的名称以及所设立的罪名来看，其只适用于涉毒洗钱犯罪，范围比较狭窄。从1988年开始，为了适应反洗钱形势的需要和贯彻欧盟颁布的前两个反洗钱指令[2]，英国陆续地制定了一系列反洗钱的法律和专门条例，建立起完善的反洗钱机制。关于英国反洗钱和恐怖融资工作的实际情况，在“金融行动特别工作组”（Financial Action Task Force，简称为FATF）[3]于2007年依据《40+9项建议》[4]对英国的评估报告中，按照对每项建议的评估等级，认为英国达标的有24项，大部分达标的为12项，部分达标的有10项，未达标的为3项。其中，对于英国执行第一项建议关于洗钱犯罪化以及第二项建议（关于主观要素和法人责任）的评估结果，都是“达标”。[5]

　　一、附属反洗钱刑事法：《刑事审判法》（1988年）

　　在1988年，英国通过了《刑事审判法》（Criminal Justice Act）。尽管这个法律不是专门为反洗钱而制定的，但在第93条设立了以下三个反洗钱的罪名：[6]

　　（1）协助洗钱罪。根据第93条A项的规定，如果行为人在明知或者合理地怀疑他人已经从事犯罪活动或者从犯罪行为中受益的情形下，开始或者预备以自己或者他人的名义，协助他人保存或者控制犯罪收益，则其行为构成了协助洗钱犯罪，最高可处14年监禁刑，也可单处或并处5千英镑以下的罚金。

　　（2）获取、占有或者使用犯罪收益罪。该罪是指行为人明知收益是全部或者部分地，或者直接或间接地来自犯罪行为，却予以获取、占有或者使用的行为。对于该罪，最高可处以14年监禁刑，也可单处或并处5千英镑以下的罚金。

　　（3）隐瞒、掩饰犯罪收益罪。该罪是指行为人对于明知或者合理地怀疑是犯罪行为全部或部分地，或者直接或间接所产生的收益，却予以隐瞒或者掩饰该收益的性质、来源、所在地、处置、转移、所有权或者任何相关的权利。关于该罪的刑罚，可处以14年以下监禁刑，也可单处或并处5千英镑以下的罚金。

　　从英国1988年《刑事审判法》所规定的洗钱行为方式来看，与同年晚些时间通过的《联合国禁毒公约》相比较，其涵盖了隐瞒、掩饰、获取、占有和使用等五种清洗方式，只是没有包括转换和转让两种手段。同时，关于洗钱的对象，该法规定的是一般犯罪的收益。这在一方面说明了英国1988年《刑事审判法》在一定程度上对《联合国禁毒公约》的影响，另外一方面也表明该法已经突破了《联合国禁毒公约》对于洗钱对象的限制，扩大了洗钱罪的上游犯罪范围。

　　二、专门条例：《反洗钱条例》（1993年和2003年）

　　在欧盟于1991年6月通过的第一个反洗钱指令中，要求金融机构建立有关查明和预防洗钱行为的制度。为了落实该指令的精神，在1993年，英国制定了《1993年反洗钱条例》（Money Laundering Regulations 1993），在体例上包括总则、预防洗钱的制度和培训、识别程序、存档程序、内部报告程序、监督机构报告洗钱迹象的职责、过渡性规定等七章，共计17条，在1994年4月1日生效。与其他大多数西方国家的反洗钱立法类似，该条例要求从事“相关金融业务”（Relevant Financial Business）[7]的机构和人员应履行反洗钱的义务，具体包括：应经常对受雇人员进行培训，使得他们能够了解与反洗钱有关的法律法规以及识别洗钱者；应在与交易申请人进行第一次接触之后，尽快地依照规定履行识别客户身份的程序；在有关交易完成之日起5年内，保存所有交易的详细情况的记录；应确定适当的人员受理和审查内部的可疑交易报告，在明知或者怀疑有洗钱迹象时，须向警方报告。如果行为人违反本条例的规定，依照该条例第5条第2款的规定，则构成犯罪。在以公诉罪被定罪的情况下，可判处2年以下监禁刑，或者罚金，或者两者并处；若以简易程序罪被定罪的，则处以法定最高数额[8]以下的罚金。[9]

　　在2003年11月28日，英国国会通过了《2003年反洗钱条例》（Money Laundering Regulations 2003），于2004年3月1日起施行。关于该条例的制定目的，主要是英国财政部为了履行欧盟2001年通过的第二个反洗钱指令关于扩大反洗钱义务主体的要求。该条例是一部综合性的反洗钱法律，它取代和大幅度地扩大了《1993年反洗钱条例》的适用范围，重点规定了金融机构和其他机构预防洗钱的义务和法律责任。

　　关于适用范围，《2003年反洗钱条例》引入了一个新的术语：“相关业务”（Relevant Business），明确规定该条例适用于“相关业务”，并且在该条例的第2条中，对“相关业务”的内涵和外延做出界定，这不仅包括了《1993年反洗钱条例》关于“相关金融业务”的定义范围，还包含了借贷资金、金融机构的合并、房地产代理、赌博、企业的破产清算、提供税务咨询服务、提供会计和审计服务、提供涉及金融交易或房地产交易的法律服务、为公司和信托基金的成立或管理提供服务、任何涉及金额为15000欧元以上的现金交易等其他业务活动。[10]据此，《2003年反洗钱条例》将防范洗钱的义务主体从传统的金融领域扩大到包括非金融领域在内。

　　在《2003年反洗钱条例》中，要求从事“相关业务”的机构和人员应履行以下反洗钱的义务：（1）制订识别和验证新客户身份的程序；（2）在业务关系终止后的5年内，保存关于识别客户身份的证据和所有的交易记录；（3）依据第7条的规定，企业应当指定某主管来接受内部的申报，该主管通常称为“洗钱报告负责人”（Money Laundering Reporting Officer），并且实施内部的申报程序。如果“洗钱报告负责人”有合理理由认为或者怀疑有洗钱行为时，应向“国家犯罪情报中心”（National Criminal Intelligence Service）申报；（4）制订预防和防止洗钱的相关措施和内部程序，并且使相关人员了解该程序；（5）给相关雇员提供关于洗钱和防止程序的适当培训，以确保其知悉相关法律、了解如何识别和处理可能的洗钱行为、如何识别客户以及如何向“洗钱报告负责人”举报有洗钱迹象的信息。

　　关于刑事法律责任，根据《2003年反洗钱条例》第3条的规定，任何在英国从事“相关业务”的组织和人员必须遵守条例关于识别客户身份、保存记录和内部申报程序的规定，为预防洗钱而建立其他的适当程序，以及采取适当措施来培训相关雇员。如果企业未遵守相关的规范，或者企业的管理者或合伙人同意、默许违反相关的规范，或者因过失而违反者，则构成犯罪。对于以上犯罪，在以公诉罪被定罪的情况下，可判处2年以下监禁刑，或者罚金，或者两者并处；若以简易程序罪被定罪的，则处以法定最高数额以下的罚金。

　　此外，该条例第28条规定，对于FATF决定采取制裁措施的国家中的公司和个人，财政部可以指示从事“相关业务”的任何人不得参与或者与他们进行进一步的业务关系，或者不得履行或进行进一步的临时性交易。倘若从事“相关业务”的任何人未遵循该指示，则构成犯罪。由此可见，英国立法者意图通过刑事手段，推动英国反洗钱机制的建立和实施。

　　三、合并和发展：《2002年犯罪收益法》

　　（一）概览

　　2002年7月24日，英国通过了《2002年犯罪收益法》（The Proceeds of Crime Act 2002），于2003年2月24日起施行。该法具有较强的综合性，融刑事、民事、行政、财税、破产等不同性质的法律规范于一身，但始终以犯罪收益为自己的调整对象，为甄别、区分和认定犯罪收益规定了一系列科学和公正的规则和标准，并且根据这类财物与财物持有人的不同关系以及所处的不同条件，设立了刑事没收和民事追缴两大追缴制度。{1}在该法的第七章“洗钱”中，不仅对洗钱犯罪做出界定，也对与犯罪收益或通过非法行为获得的财产或财产性利益，或者与洗钱有关的调查做出规定。其中，以多项条款对关于洗钱的犯罪构成和刑事责任做出规定。

　　从内容上看，该法基本上是将《反毒品贩运犯罪法》和《刑事审判法》中涉及清洗毒品贩运和其他犯罪的收益之规定予以合并和细化，同时增设了不申报洗钱可疑交易以及泄露方面的罪名，着重规定了关于这些犯罪的构成要件、抗辩事由以及刑事司法程序。

　　（二）洗钱犯罪的罪名体系

　　在英国《2002年犯罪收益法》的第327条至第329条中，设置了以下关于洗钱犯罪的具体罪名：

　　（1）隐瞒、掩饰、转换、转让、转移犯罪财产罪。根据第327条[11]之规定，该罪是指行为人隐瞒、掩饰、转换、转让犯罪财产，或者将犯罪财产转移出英格兰和威尔士、苏格兰或北爱尔兰的行为。依据该法第340条的解释规定，所谓的“犯罪财产”，是指某人因犯罪行为而全部或部分地、直接或间接地获得的财产和财产性利益，并且被告人明知或者怀疑其源自或取自于前述之利益，包括金钱、各种形式的财产、相关的物品和其他无形的财产。而其中所说的“犯罪行为”，则是个广义的概念，既包括在英国任何地方构成犯罪的行为，也包括发生在英国境外而根据英国法律将构成犯罪的行为。相应地，该罪的上游犯罪是非常宽泛的。至于犯罪财产的属性，包括了财产的性质、来源、所在地、处置、转移、所有权或者任何相关的权利。

　　（2）安排犯罪财产罪。依据第328条的规定，该罪是指行为人在明知或者怀疑是犯罪财产的情形下，以自己或者他人的名义，而从事或者关注于安排，从而有利于（不论通过任何手段）对该犯罪财产的获取、保有、使用或者控制之行为。

　　（3）获取、使用或者占有犯罪财产罪。根据第329条的规定，该罪是指行为人对于犯罪财产予以获取、占有或者使用的行为。同时，为了保护基于正当目的而获取、使用或占有相关财产的行为人，该条款还设立了一项独特的抗辩事由：如果行为人在支付了足额对价的前提下获取、使用或者占有了该财产，则不构成本罪。

　　根据第340条第11项的解释规定，洗钱不仅包括以上第327条、第328条和第329条所规定的犯罪，还包括以上犯罪的未遂、共谋和煽动行为；帮助、教唆、怂恿或者促进行为；若发生在英国也将构成以上犯罪的行为。

　　此外，在该法第327条至第329条中，还设定了所规定犯罪的抗辩事由。如果行为人具有某一抗辩事由，则不构成犯罪。具体而言，上述三罪所共同具有的抗辩事由包括：（1）在经过主管许可的情况下进行了被授权的申报；（2）意图做出申报，但有合理理由解释为何未申报；（3）行为人是在履行本法或者其他与犯罪收益相关立法的规定下所实施的行为；（4）明知或者有合理理由相信在英国境外发生了与犯罪财产相关的犯罪行为，但是根据发生地的法律不构成非法行为。