保险公司内部控制基本准则

　　第三十八条 资产托管控制。保险公司应当实行投资资产第三方托管和监督。

　　保险公司应当建立投资资产第三方托管制度，规范托管方甄选、合同订立和信息交换等控制事项。保险公司应当对托管机构的信用状况及资金清算、账户管理和风险控制等方面的能力素质进行严格考核和持续跟踪，确保托管机构资质符合监管要求及自身管理需要。

第三章 内部控制的组织实施与监控

　　第三十九条 内部控制的组织架构。保险公司应当建立由董事会负最终责任、管理层直接领导、内控职能部门统筹协调、内部审计部门检查监督、业务单位负首要责任的分工明确、路线清晰、相互协作、高效执行的内部控制组织体系。

　　第四十条 董事会的职责。保险公司董事会要对公司内控的健全性、合理性和有效性进行定期研究和评价。公司内部控制组织架构设置、主要内控政策、重大风险事件处置应当提交董事会讨论和审议。

　　董事会具体承担内部控制管理职责的专业委员会，应当有熟悉公司业务和管理流程、对内部控制具备足够专业知识和经验的专家成员，为董事会决策提供专业意见和建议。

　　第四十一条 监事会的职责。保险公司监事会负责监督董事会、管理层履行内部控制职责，对其疏于履行内部控制职能的行为进行质询。对董事及高管人员违反内部控制要求的行为，应当予以纠正并根据规定的程序实施问责。

　　监事会应当有具备履行职责所需专业胜任能力的成员。

　　第四十二条 管理层的职责。保险公司管理层应当根据董事会的决定，建立健全公司内部组织架构，完善内部控制制度，组织领导内部控制体系的日常运行，为内部控制提供必要的人力、财力、物力保证，确保内部控制措施得到有效执行。

　　保险公司应当明确合规负责人或董事会指定的管理层成员具体负责内部控制的统筹领导工作。

　　第四十三条 内控职能部门的职责。保险公司内控管理职能部门负责对保险公司内部控制的事前、事中的统筹规划，组织推动、实时监控和定期排查。

　　保险公司可以指定合规管理部门或风险管理部门作为内控管理职能部门，或者对现有管理资源进行整合，建立统一的内部控制、合规管理及风险管理职能力量。

　　第四十四条 业务单位的职责。保险公司直接负责经营管理、承担内部控制直接责任的业务单位、部门和人员，应当参与制定并严格执行内部控制制度，按照规定的流程和方式进行操作。同时对内部控制缺陷和经营管理中发生的风险问题，应当按照规定时间和路线进行报告，直至问题得到整改处理。

　　第四十五条 内部审计的职责。保险公司内部审计部门对内部控制履行事后检查监督职能。内部审计部门应当定期对公司内部控制的健全性、合理性和有效性进行审计，审计范围应覆盖公司所有主要风险点。审计结果应按照规定的时间和路线进行报告，并向同级内控管理职能部门反馈，确保内控缺陷及时彻底整改。

　　保险公司内部审计部门应当与内控管理职能部门分离。

　　第四十六条 内部控制问责。保险公司应当建立内控问责制度，根据内控违规行为的情节严重程度、损失大小和主客观因素等，明确划分责任等级，规定具体的处理措施和程序。

　　保险公司对已经发生的内控违规行为，应当严格执行内控问责制度，追究当事人责任。因内控程序设计缺陷导致风险事故发生的，要同时追究内控职能部门的责任。上级管理人员对内控违规行为姑息纵容或分管范围内同类内控事件频繁发生的，要承担管理责任。

　　第四十七条 透明度和反舞弊机制。保险公司应当加强透明度和反舞弊机制建设，防止责任主体隐瞒违规行为造成损失扩大或内控缺陷得不到及时整改，防范通过隐秘手法谋取不正当利益的故意违规行为。

　　保险公司应当通过专门措施加强内外部经营管理信息的收集和分析，并通过网络平台、内部刊物、定期沟通和会议交流等方式实现信息广泛共享。凡是不涉及商业秘密、知识产权和个人隐私的信息，都可以在企业内部公开。

　　保险公司应当建立举报投诉机制，设置便于举报投诉的途径，明确举报投诉的处理原则和程序并让所有员工知晓，保护举报投诉人的合法权益。

　　保险公司应当根据相关法律法规的要求对外披露内部控制信息，自觉接受社会公众的监督。

　　第四十八条 对外包业务的控制。保险公司将部分业务环节或管理职能授权或承包给外部机构实施完成的，应当确保外包机构符合保险公司的内控要求，并对其外包业务的内控风险承担责任。

　　外包业务的内控管理工作应当接受监管机构的监管。

第四章 内部控制的评价与监管
　　

　　第四十九条 内控评价制度。保险公司应当制定内部控制评价制度，每年对内部控制体系的健全性、合理性和有效性进行综合评估，编制内部控制评估报告。

　　第五十条 内控评价制度的内容。保险公司内部控制评价制度应当包括实施内控评价的主体、时间、方式、程序、范围、频率、上报路线以及报告所揭示问题的处置和反馈等内容。

　　第五十一条 内控评价的实施主体和过程。保险公司内部控制评价应当由公司内部审计部门、内控管理职能部门和业务单位分工协作，配合完成。

　　保险公司应当将内部控制评价作为对公司经营管理风险点进行梳理排查和整改完善的持续性、系统性工作。

　　第五十二条 内控评估报告。保险公司实施完成内部控制评价工作以后，应当编制内部控制评估报告。保险公司可以根据本单位实际，指定内部审计部门或内控管理职能部门牵头负责评估报告的编制工作。

　　第五十三条 内控评估报告的内容。保险公司内部控制评估报告应当至少包括以下内容：

　　（一）本公司内部控制评价工作的基本情况，包括内部控制评价的程序、标准、方法和依据；

　　（二）本公司建立内部控制体系的工作情况，包括董事会、监事会和管理层在内部控制建设所做的具体工作；

　　（三）本公司内部控制的基本框架和主要政策；

　　（四）本公司内部控制存在的重大缺陷、面临的主要风险及其影响；

　　（五）本公司上一年度发生的违规行为和风险事件及其处理结果；

　　（六）对内控缺陷及主要风险拟采取的改进措施和风险应对方案；

　　（七）对本公司内部控制健全性、合理性、有效性的评价结果，并根据监管部门的评价标准，得出自评得分及等级。

　　第五十四条 评价结果分类。保险公司内控评价结果分以下四类：

　　（一）合格。合格是指保险公司内部控制基本健全、合理、有效。

　　（二）一般缺陷。一般缺陷是指保险公司内部控制设计基本合理，基本覆盖重要业务环节和高风险领域，但无法保证有效执行，存在运行缺陷。

　　（三）重大缺陷。重大缺陷是指保险公司内部控制未能完全覆盖重要业务环节和高风险领域，且无法保证有效执行，同时存在设计缺陷和运行缺陷。

　　（四）实质性漏洞。实质性漏洞是指保险公司因内部控制设计或运行的严重缺陷，导致公司发生重大风险事件或重大舞弊行为，造成公司财务或声誉损失，严重影响经营目标实现。

　　第五十五条 内部控制报告的审议和报备。保险公司内部控制评估报告应当提交董事会审议。审议通过后的内部控制评估报告，应当于每年四月三十日前以书面和电子文本方式同时报送中国保监会。

　　上报中国保监会的内控评估报告应当附董事会声明，声明内容包括：董事会对建立健全和有效实施内部控制履行了指导和监督职责。董事会及其全体成员对报告内容的真实性、准确性和完整性承担个别及连带责任。

　　保险公司不报、漏报、瞒报或提供虚假的内控评估报告的，依据《保险法》第一百七十一至一百七十三条及其他相关规定予以处罚。