金融監督管理委員會檢查局 陳在淮 組長 2014年8月11日 保險業內部稽核主要缺失分析 金融監督管理委員會檢查局 陳在淮 組長 2014年8月11日

從內部控制三道防線談起 國際內部稽核協會(IIA)立場聲明書- 三道防線模式 IIA Position Paper :The three lines of defense in effective risk management and control , Jan. 2013

從內部控制三道防線談起 國際內部稽核協會(IIA)立場聲明書- 三道防線的基本角色及特性 IIA Position Paper :The three lines of defense in effective risk management and control , Jan. 2013

我國保險業內部控制之建立 內控目標 內控制度應包括之原則(∮4) 配合採行之措施(∮7) 內控制定 管理階層之監督及控制文化 風險辨識與評估 控制活動與職務分工 資訊與溝通 監督活動與更正缺失 配合採行之措施(∮7) 內部稽核制度 法令遵循制度 風險控管機制 自行查核制度 會計師查核制度 內控目標 內控制定 建置內控文件 (文件化) 整合內控流程 辨識內控環節 (控制點) 制定內控程序 (牽制原理)

本會近期強化內控內稽之措施 為強化保險公司內控內稽功能，確保對本會增 訂、修正發布保險法令或重要函釋(示)已確實 遵行並辦理查核，請各公會按季彙整各會員之 具體落實執行情形。 102.2.5金管保壽字第10202540454號函 102.9.10金管保壽字第10202904682號函 103.8.8修正「保險業內部控制及稽核制度實施 辦法」 強化內部稽核制度及提升內部稽核人員之適任性 及專業能力，提高保險業對法令遵循制度的重視， 強化法令遵循主管之專業訓練及其角色功能。

第一道防線 — 業務單位之自我管控 業務單位 自行查核 及早發現缺失， 適時予以改正 加強內部牽制， 防止弊端發生 落實自我監督， 年/專案 及早發現缺失， 適時予以改正 業務單位 自行查核 非原經 辦人員 加強內部牽制， 防止弊端發生 落實自我監督， 提昇內稽效率 查核 訓練

第二道防線 — 法遵與風管之督導 法令遵循單位 風險管理職能 專責 單位 風險 監控 法遵 自評 著重於法規之遵循及落實 ●擬訂法令遵循計畫；建立風險控管機制 ●教育訓練、業務宣導及法令傳達 專責 單位 法令遵循單位 著重於法規之遵循及落實 風險管理職能 著重於各項風險之管理 ●注意法令修訂，配合修正內規 ●辨識風險變動，檢討因應策略 風險 監控 法遵 自評 ●違反法令規章案件處理結果之覆核 ●參考內稽查核之缺失及建議，採取適當措施 7

第三道防線 — 內部稽核之監督 內部稽核 缺失追蹤考核 擬定稽核計畫 獨立 監督 執行 稽核計畫 主管機關要 求辦理之查核 隸屬 董事會 一般/專案 ● 查核及評估內控制度是否 有效運作 ● 覆核各單位自行查核報告 ● 查核法遵制度之執行情形 申報 主管機關 缺失追蹤考核

內部稽核主要缺失(一)    內部稽核查核欠確實；未確實督導自行查核作業 辦理內部稽核作業未將主管機關規定項目列入查核。 缺失類型 內部稽核查核欠確實；未確實督導自行查核作業 缺失情節  辦理內部稽核作業未將主管機關規定項目列入查核。 內部稽核一般查核有未完整查核各項業務控制與內部管理之處理程序(如僅查核法令遵循事項)，以評估內部控制制度有效性。 各單位辦理自行查核作業有流於形式之情事，稽核單位未落實督導覆核。   如:稽核單位未定期評估營業單位自行查核辦理績效；未依公司「自行查核制度」所訂之查核範圍訂定查核項目並辦理查核；有查核人員查核本身經辦業務之情形。

內部稽核主要缺失(一) 正確做法 ü 應瞭解各部門職掌內容及各項作業流程，規劃並訂定已涵蓋受查單位各項風險之查核範圍及查核項目，俾能正確評估內部控制制度之有效性。 應定期檢視查核項目之完整性，切實將主管機關規定事項納入內部稽核查核項目，並落實執行。 單位主管及內稽人員應落實自行查核工作底稿之覆核作業，內稽單位並應藉由內部稽核加強自行查核之事後驗證工作。 ü ü

內部稽核主要缺失(二)   內部稽核報告或向本會申報之查核結論摘要未完整揭露重要查核缺失 缺失類型 內部稽核報告或向本會申報之查核結論摘要未完整揭露重要查核缺失 缺失情節  對於查核所發現缺失係由稽核人員自行認定為查核意見或建議事項，且僅於報告中揭露認定為查核意見者，對於建議事項則不於報告中揭露，致內部稽核報告之揭露有欠缺完整之情事。 內部稽核查核已發現違反重要法令或制度面之重要缺失，惟有經重新篩選刪除該等重要缺失後，再行申報本會查核結論摘要之情事。 

內部稽核主要缺失(二) 正確做法 ü 稽核人員所發現之缺失事實經確認後，如因經理部門補充說明或提供意見，而有增刪修改，稽核人員應述明考量理由並留存軌跡。 對違反重要法令或制度面之重要缺失，若由稽核單位主動發現並陳報，本會將視違規行為之情節，酌予綜合考量。稽核單位對查核結果，應覈實揭露，不應有隱匿或記載不實。 除細瑣、偶發性之作業面疏失或屬低風險、面請改善者之缺失，得無須於查核結論摘要敘述外，餘均應列入。 ü ü 本局網站「稽核專區」-修正金融機構內部稽核資訊申報格式問答集

ü 內部稽核主要缺失(三) 內部稽核報告陳核之程序未符獨立性 缺失類型 內部稽核報告陳核之程序未符獨立性 缺失情節 內部稽核報告先陳報總經理核閱後再轉陳董事長簽核，影響內部稽核單位隸屬於董事會之獨立性。 「保險業內部控制及稽核制度實施辦法」第11條第1項 正確做法 ü 內部稽核之目的，係評估內部控制制度之有效運作，適時提供改進建議，故需超然獨立執行業務，稽核室簽報之內部稽核報告，應先陳報董事長簽核，報告內容不應由其他部門人員審閱或修改，以符其獨立性。

ü 內部稽核主要缺失(四) 稽核單位人員之任用、輪調、升遷，未由總稽核簽報，經董事長核定後辦理 缺失類型 稽核單位人員之任用、輪調、升遷，未由總稽核簽報，經董事長核定後辦理 缺失情節 稽核室之部門考核由總經理核定及總稽核之考核由總經理初核；稽核室人員之考核由風控長評定及升遷案由人力資源部簽呈總經理後呈董事長核定。 正確做法 「保險業內部控制及稽核制度實施辦法」第13條第2項 ü 稽核單位隸屬董事會，目的為授予獨立之地位，於行使權力與執行工作時，不受牽制及干擾，內部稽核人員之任用、免職、升遷、獎懲、輪調及考核等應由總稽核簽報，經董事長核定後辦理，以維稽核單位運作之獨立性。

內部稽核主要缺失(五) 缺失類型 辦理年度績效考核尚未依規將內外部查核發現缺失，列入獎懲或績效考評之重要項目；對主管機關等所提列之檢查意見或查核缺失事項之追蹤覆查提報董事會作業，僅列舉部分缺失，未完整將持續覆查之缺失向董事會報告 正確做法 「保險業內部控制及稽核制度實施辦法」第20條 ü 內部稽核單位對主管機關、會計師、內部稽核單位與自行查核所提列之檢查意見或查核缺失事項及內部控制制度聲明書所列應加強改善事項，應持續追蹤覆查，並將其追蹤考核改善辦理情形，以書面提報董事會及交付各監察人或審計委員會查閱，並應列為對各單位獎懲及績效考核之重要項目，以達稽核之目的，督促公司各單位改善內部控制制度缺失。

內部稽核主要缺失(六)   內部稽核報告未依規定申報主管機關 稽核單位依查核結果出具之報告，有以非稽核報告為名而未向主管機關申報。 缺失類型 內部稽核報告未依規定申報主管機關 缺失情節  稽核單位依查核結果出具之報告，有以非稽核報告為名而未向主管機關申報。  內部稽核報告係以稽核人員出具報告日，為內稽報告查核結束日，並未以實地外勤工作實際結束日為其實際查核結束日，實地外勤工作查核期間與撰寫報告、出具報告等期間重疊，致有內稽查核期間長達1個月以上，且有重疊期間同一人同時查核數受查單位等不合理狀況。 如:同一稽核人員辦理業務部一般查核(103.1.6-103.2.21，查核期間46天，報告申報日：103.2.25)，另重疊期間又辦理財務部一般查核(103.1.7-103.2.24，查核期間50天，申報日：103.2.27)，另重疊期間又辦理精算部一般查核(103.1.20-103.2.18，查核期間30天，申報日：103.2.25）。

ü ü 內部稽核主要缺失(六) 稽核單位辦理下列各項查核或調查結果，皆應依查核結論摘要陳報本局： •一般查核。 正確做法 ü 稽核單位辦理下列各項查核或調查結果，皆應依查核結論摘要陳報本局： •一般查核。 •各種專案查核【不論是否屬稽核計畫內之查核，亦不論名稱為調查(評估)報告或以其他名稱與形式(如簽呈)呈現】。 •由公司其他業務單位辦理，於知會內部稽核單位並經衡酌判斷後須陳報本局者。 ü 保險業內控內稽辦法第20條所稱查核結束日應為內稽人員完成實地查核作業之日期，對於編製工作底稿及完成內稽報告作業，已賦予2個月之作業期限。

內部稽核主要缺失(七) 缺失類型 內部稽核單位對主管機關之檢查意見，未能積極督導受檢單位改善；受檢單位申復檢查意見改善情形與事實不符，稽核單位未確實審核，仍就申復意見函報主管機關 缺失情節 如： 對不動產投資案之取得徵信評估及鑑價機制等缺失、國外投資之詢價作業缺失等，受查單位之回復僅著重陳述缺失發生情形，稽核單位未請受查單位就內控不足處增訂價格評估機制、契約簽訂程序及詢價、價格審核機制等強化內控措施以督促受查單位積極改善，即回復本局尚依檢查意見辦理。 對國外債券投資未訂留存詢價紀錄機制之缺失，受查單位申復已增訂作業準則規範詢價作業，稽核室並據以函報已改善，惟查該準則並未規範詢價紀錄之留存機制，受查單位申復改善情形與事實不符，稽核單位對申復意見之審核有欠嚴謹。  

內部稽核主要缺失(七) 正確做法 ü 內部稽核以其於公司內具有之獨立性及客觀性之內控第三道防線角色，對第一道及第二道防線之內部控制有效性進行監督及評估，係確認公司內控有效運作之重要防線。 對於檢查意見之改善，稽核單位即應發揮內控第三道防線之角色與功能，獨立落實審查及監督業務單位辦理改善，於函報缺失改善情形時，確實依本局「缺失改善情形報告格式」詳實審查業務單位改善方法之合理性及有效性，避免發生函報改善情形不切實或未評估改善措施有效性等情事。

參考做法：本局網站「稽核專區」修正金融機構內部稽核資訊申報格式問答集 內部稽核主要缺失(八) 缺失類型 定期申報事項之主要缺失 上年度內控制度缺失及異常事項改善情形 •未於期限內申報。 •未確實將本局提列屬制度面或重大影響之缺失列入。 •未將該年度經本會裁處之事項列入。 •所報改善措施進度與實際情形不符。 5月底 2月底 12月底 次年度稽核計畫 •未於期限內申報。 •未納入本會要求辦理之專案查核。 •未說明對所屬單位或業務加強辦理查核 之篩選原則，且未將高風險單位或業務 列入加強辦理之查核，查核深度不足。 (如：未將違反重要法令或本局檢查發現 之重要缺失列入) 上年度稽核計畫執行情形 •未於期限內申報。 •未依所訂稽核計畫完成查 核事項。 參考做法：本局網站「稽核專區」修正金融機構內部稽核資訊申報格式問答集

三道防線的溝通、協調與合作 事前控制 內部稽核之獨立監督 事中監督 法遵、風控單位監控 事後驗證 各司其職 業務單位自我管控 相輔相成 定期 查核 定期 查核 事中監督 法遵、風控單位監控 事後驗證 持續 督導 各司其職 業務單位自我管控 相輔相成

會計師及主管機關角色 會計師 主管機關 公司內控三道防線 保險局 協助公司發現問題 檢查局 訂定法規要求公司建立內部控制制度 對於三道防線有效運作之監督 協助公司發現問題 對財務報告的查核意見 對內部控制制度的查核意見 公司內控三道防線

內部稽核的角色 內部稽核 監督 確保內部控制制度有效性 內控設計之有效性 內控執行之有效性 業務單位 自我管控 法遵、風控 督導

謝謝聆聽