1、壽險公司內部控控制評價辦法法（試行）2006年第一章總則第一條為為規范和加強強對壽險公司司內部控制的的評價，推動動壽險公司加加強內控建設設，確保壽險險公司穩健經經營和持續健健康發展，根根據 HYPERLINK javascript:SLC(42881,0) 中華人人民共和國保保險法等法法律法規，制制定本辦法。第二條壽險公司內部控制是由壽險公司的董事會、經理層和全體員工共同建立并實施的，為實現公司經營管理目標、保證財務報告真實可靠、確保公司依法合規經營而提供合理保證的過程和機制。第三條壽險公司內部控制評價是指對壽險公司內部控制體系建設和實施開展的調查、測試、分析和評估等系統性活動。壽險公司內部控

2、制評價包括壽險公司開展的自我評估和監管部門組織實施的獨立評價。本辦法所稱壽險公司包括法人機構及其分支機構。本辦法所稱壽險公司法人機構是指在中國境內經中國保監會批準設立，并依法登記注冊的人壽保險公司；本辦法所稱壽險公司分支機構限于壽險公司法人機構依法設立的省級（含直轄市、計劃單列市）分公司和地市級中心支公司。本辦法所稱監管部門是指中國保險監督管理委員會（以下簡稱中國保監會）及其派出機構。外國壽險公司分公司視為壽險公司法人機構。第四條壽險公司應建立并保持系統、透明、文件化的內部控制體系，定期或當有關法律法規和其他經營環境發生重大變化時，對內部控制體系進行評審和改進。第二章評價目目標和原則第五條壽壽

3、險公司內部部控制評價的的目標主要包包括：（一一）促進壽險險公司強化內內部控制意識識，建立健全全內部控制機機制，嚴格落落實各項控制制措施，確保保內部控制體體系有效運行行。（二二）促進壽險險公司提高風風險管理水平平，推動其實實現發展戰略略和經營目標標。（三三）促進壽險險公司增強業業務、財務和和管理信息的的真實性、完完整性和及時時性。（四四）促進壽險險公司嚴格遵遵守國家法律律法規、中國國保監會的監監管要求和壽壽險公司審慎慎經營的原則則。第六六條壽險公公司內部控制制評價應從健健全性、合理理性和有效性性三個方面進進行：（一一）健全性。過過程和風險是是否已被充分分識別，過程程和風險的控控制措施是否否得到明

4、確規規定并得以保保持。（二二）合理性。控控制措施能否否實現控制目目標。（三三）有效性。控控制措施能否否得到有效執執行。第第七條壽險險公司內部控控制評價應遵遵循以下原則則：（一一）全面性原原則。評價范范圍應覆蓋壽壽險公司內部部控制活動的的全過程及所所有的系統、部部門和崗位。（二）一致性原則。評價的準則、范圍、程序和方法等應保持一致，以確保評價結果的客觀、可比。（三）公正性原則。評價應以事實為基礎，以法律法規、監管要求為準則，客觀公正，實事求是。（四）重要性原則。評價應依據風險和控制的具體情況確定重點，關注重點區域和重點業務。（五）及時性原則。評價應按照規定的時間間隔持續進行，當經營管理環境發生重

5、大變化時，應及時進行重新評價。第三章評價內內容第八條壽壽險公司內部部控制評價從從控制環境、風風險識別與評評估、控制活活動、信息與與溝通、監督督五個方面進進行。第一節控制環環境第九條公公司治理。壽壽險公司應建建立股東大會會、董事會、監監事會和經理理層之間各負負其責、規范范運作、相互互制衡的公司司治理結構，為為公司內部控控制目標的實實現提供合理理保證。（一）明確確股東大會、董董事會、監事事會和經理層層的職責。（二）完完善股東大會會、董事會、監監事會、經理理層及下設的的議事和決策策機構，建立立完備規范的的議事規則、決決策機制、決決策評估和責責任追究機制制。（三三）建立獨立立董事制度，對對董事會討論論

6、事項發表客客觀、公正的的意見。非股份制壽壽險公司參照照上述評估要要點進行評價價。第十十條董事會會、監事會、經經理層在內部部控制中的責責任。壽險公公司應明確董董事會和董事事、監事會和和監事、經理理層和高級管管理人員在內內部控制中的的責任。董事會負責責保證壽險公公司建立并實實施健全、合合理、有效的的內部控制體體系；負責審審批整體經營營戰略和重大大政策并定期期檢查、評價價執行情況；負責確保壽壽險公司在法法律和政策的的框架內審慎慎經營，明確確設定可接受受的風險程度度，確保經理理層采取必要要措施識別、計計量、監測并并控制風險；負責審批組組織結構；負負責保證經理理層對內部控控制體系的健健全性、合理理性和有

7、效性性進行監測和和評估。監事會負責責監督董事會會、經理層完完善內部控制制體系；負責責監督董事會會及董事、經經理層及高級級管理人員履履行內部控制制職責；負責責要求董事、董董事長及高級級管理人員糾糾正其損害壽壽險公司利益益的行為并監監督執行。經理層負負責制定內部部控制政策，對對內部控制體體系的健全性性、合理性與與有效性進行行監測和評估估；負責執行行董事會決策策；負責建立立識別、計量量、監測、控控制風險的程程序和措施；負責建立和和完善內部組組織機構，保保證內部控制制的各項職責責得到有效履履行。董董事會和經理理層還應培育育良好的內部部控制文化，提提高員工的風風險意識和職職業道德素質質，建立通暢暢的內外

8、部信信息溝通渠道道，確保及時時獲取與內部部控制有關的的人力、物力力、財力、信信息以及技術術等資源。非股份制制壽險公司參參照上述評估估要點進行評評價。第第十一條內內部控制政策策。壽險公司司應在各項業業務和管理活活動中制定明明確的內部控控制政策，規規定內部控制制的原則和基基本要求，并并為制定和評評審內部控制制目標提供指指導。內部控控制政策應：（一）與與壽險公司的的經營宗旨和和發展戰略相相一致。（二）體現現持續改進內內部控制的要要求。（三三）符合現行行法律法規和和監管要求。（四）體現出側重控制的風險類型。（五）體現出對不同地區、行業、產品的風險控制要求。（六）傳達給適用崗位的員工，指導員工實施風險控

9、制措施。（七）可為風險相關方所獲取，并尋求互利合作。（八）定期進行評審，確保持續的健全、合理和有效。第十二條內部控制目標。壽險公司應在相關職能和層次上建立并保持內部控制目標。內部控制目標應符合內部控制政策，并體現持續改進的要求。在建立和評審內部控制目標時，應考慮法律法規、監管要求和其他要求，以及技術、財務、經營和風險相關方等因素。內部控制目標應可測量。有條件時，目標應用指標予以量化。第十三條組織結構。壽險公司應建立分工合理、職責明確、報告關系清晰的組織結構。（一）機構設置應根據公司業務規模、經營管理的需要，堅持合理、精簡、高效的原則，嚴格遵守國家法律、法規的規定以及監管部門的要求；部門和崗位設

10、置應遵循相互監督、相互制約、協調運作的原則。（二）明確各機構、部門、崗位、人員的職責和權限，并形成文件予以傳達，使員工清晰的了解其崗位的職責和標準。（三）明確關鍵崗位、特殊崗位、不相容崗位及其控制要求。（四）配備足夠的具有相應知識、經驗和技能的人員，確保其有效履行崗位職責。（五）明確各崗位的報告關系，確保管理人員能夠得到履行職責需要的信息。（六）定期根據經營情況或環境變化對組織結構進行評價，及時進行必要的修正。第十四條企業文化。壽險公司應培育積極健康的企業文化，對企業文化的內涵及其策劃、滲透、評估與改進作出明確的規定。特別應向員工傳達風險管理、內部控制、合規經營的重要性，引導員工建立誠信道德觀

11、念，樹立合規意識和風險意識，提高員工職業道德水準，規范員工職業行為。第十五條人力資源。壽險公司應完善人力資源政策和程序，確保員工具備相應的能力和意識。壽險公司應明確各崗位人員，特別是與風險和內部控制有關的人員的適任條件，明確有關教育、工作經歷、培訓和技能等方面的要求，確保相關人員能夠勝任。壽險公司應根據不同層次員工的職責、能力、文化程度及所面臨的風險制定并實施培訓計劃，以確保經理層和全體員工能夠有效履行職責。培訓計劃應定期評審并持續改進。壽險公司應在員工招聘、晉升、績效考核、薪酬、獎懲等日常人力資源管理方面建立完備的制度和程序，并充分考慮人力資源管理中的風險。第二節風險識識別與評估第十六條風險

12、識別與與評估。壽險險公司應建立立和保持書面面程序，以持持續對各類風風險進行有效效的識別、計計量、監測與與評估。風險識別與與評估應：（一）覆覆蓋公司經營營的各個環節節。壽險公司司應根據發生生頻率識別并并確定經常性性和非經常性性的業務和管管理活動，識識別這些活動動中的風險（無無論是否由內內部產生），考考慮其類型、來來源及其影響響范圍。（二）充分分考慮內部和和外部因素。其其中內部因素素包括公司治治理、組織結結構以及人力力資源管理的的復雜程度，公公司資產的規規模、流動性性或業務總量量，公司的財財務狀況以及及經營活動的的地理分布，內內部控制系統統的健全性、合合理性和有效效性等。外部部因素包括國國家法律、

13、法法規及政策的的變化，經濟濟形勢的變化化，科技的快快速發展，行行業競爭及市市場變化等。（三）持續識別法律法規、監管和其他要求。壽險公司應建立并保持政策和程序，確保及時識別和取得適用的法律法規、監管要求和其他要求，并作為風險識別與評估、制訂控制目標和控制方案的依據。壽險公司應及時更新法律法規、監管要求和其他要求的信息，并將有關信息傳達給相關員工和其他風險關聯方。（四）運用適當的方法和技術對風險的概率、后果進行評估，確定風險級別。（五）持續識別和評估風險。當環境和條件發生變化時，應及時對風險進行再識別和再評估，以確保任何新的和以前未曾予以控制的風險得到識別和控制。第十七條風險處理。對已識別的風險，

14、壽險公司應依據法律法規、監管要求以及內部控制政策確定是否可接受，以確定是否進一步采取措施。風險可接受時，應監測并定期評估，以確保其持續可接受；風險不可接受時，應制定內部控制方案。內部控制方案應包括以下內容：（一）明確控制風險的相關職責與權限。（二）控制的策略、方法、資源需求和時限要求。（三）重大、突發事項應急預案，明確責任人、處理流程和措施。內部控制方案若涉及到組織結構、流程、信息技術等方面的重大變更，應考慮可能產生的新風險。第三節控制活活動第十八條業務控制。壽壽險公司應建建立制度、政政策和程序，對對產品開發、銷銷售、核保核核賠、服務質質量、咨詢投投訴、再保險險、單證印鑒鑒檔案、業務務處理系統

15、等等實施控制，確確保業務活動動正常運轉。（一）產品開發。成立產品開發領導和決策機構，明確精算責任人和法律責任人的責任；建立并實施產品開發管理程序，對新產品的開發、論證、審核等進行控制，對產品的銷售、盈利和風險情況進行定期跟蹤分析。（二）銷售管理。建立并保持書面程序，對銷售人員或機構的甄選、簽約、解約、薪酬、考核、檔案、品質管理、宣傳材料管理等進行控制；定期對銷售人員進行專業培訓和職業道德教育，建立銷售人員失信懲戒機制；對于銷售過程中已識別的風險，建立并保持控制程序，并將有關程序和要求及時通報銷售人員或機構，確保其遵守壽險公司相關的控制要求；建立并實施客戶回訪制度，按照有關規定確定客戶回訪范圍和

16、內容，對客戶反饋信息進行分析整改并定期跟蹤。（三）核保核賠管理。建立明確的核保、核賠標準，實施權責明確、分級授權、相互制約、規范操作的承保理賠管理機制；明確核保核賠人員的適任條件，定期對核保核賠人員進行培訓，確保核保核賠人員具有專業操守并勤勉盡職。（四）服務質量管理。建立并實施業務操作標準和服務質量標準，對銷售、承保、保全、理賠等活動的服務質量進行規范管理，并建立客戶服務質量考評機制。（五）咨詢投訴管理。建立并保持咨詢投訴處理程序，對咨詢投訴處理中發現的問題進行核實、分析、反饋，并進行整改和跟蹤監督。（六）再保險管理。建立并實施科學的分保管理流程，建立職責分明、互相制約的分保機制，合理確定自留

17、額和分保方式，確保及時、足額進行分保。（七）單證、印鑒、檔案管理。建立并保持控制程序，對保險單證的印刷、保管、領用、作廢和核銷，印鑒的刻制、保管、使用范圍、使用審批、使用登記、作廢和核銷以及檔案的保管實施控制；對假造重要單證、仿制印鑒等違法違規行為進行責任追究。（八）業務處理系統。建立穩定、高效、能夠對業務提供全面功能支持的業務處理系統；制定業務處理系統的管理規章、操作流程、崗位手冊和風險控制制度；實施操作權限管理，并及時根據業務和控制需要對業務處理系統進行改進。第十九條財務控制。壽險公司應建立制度、政策和程序，對財務會計制度、職務牽制、賬務處理程序、財務報告、資產、負債、預算、費用開支、財務

18、處理系統等實施控制，確保財務、會計信息真實、準確。（一）財務會計制度。根據相關法律、法規和監管部門要求，結合本公司具體情況，制定本公司的財務會計制度。（二）職務牽制。單獨設立財務會計部門，配備專職財會人員，合理設置崗位，明確崗位職責，嚴禁兼任不相容崗位，實行定期或不定期崗位輪換。（三）賬務處理程序。建立并實施規范的會計核算流程，依據真實的經濟事項進行賬務處理，對賬務處理的全過程實施有效的控制，實現賬賬、賬實和賬表相符。（四）財務報告。及時編制財務報表，確保會計信息的真實、完整、準確。（五）資產管理。制定并保持書面程序，對收付費進行控制，明確收付費的操作流程與崗位職責，對收付費行為進行定期檢查和

19、審計；妥善保管現金、有價證券、空白憑證、密押、印鑒、固定資產等，定期核對現金和銀行存款賬戶，定期盤點，確保各項資產的安全和完整。（六）負債管理。建立完善的準備金精算制度，按照有關法律法規要求及時、足額計提準備金。（七）預算控制。實行全面預算管理，建立預算制度，對預算的編制、執行、分析、考核進行明確；及時分析和控制預算差異，確保預算的執行。（八）費用管理。建立嚴格的授權批準制度和預算控制制度，控制費用支出，并定期進行費用分析。（九）財務處理系統。建立穩定、高效、安全的財務處理系統；制定財務處理系統的管理規章、操作流程、崗位手冊和風險控制制度；財務處理系統應與業務處理系統實現數據共享與無縫對接，確

20、保各項業務活動得到及時、準確的反映。第二十條資金控制。壽險公司應建立制度、政策和程序，對資金調度、投資決策、投資操作、投資風險管理等實施控制，確保資金的安全性、流動性和效益性。（一）資金調度。對資金進行統一管理和運作，嚴格實行收支兩條線，對分支機構資金實行監控，確保資金及時足額上劃集中。（二）投資決策。建立透明、規范的投資決策程序和議事規則，投資決策應遵守國家法律、法規和行政規章的規定，并兼顧資產與負債的匹配。（三）投資操作。建立規范的投資操作流程，實現前臺操作與后臺管理分離，建立并保管交易記錄，確保投資的專業化。（四）投資風險管理。建立完備的投資風險評估和控制系統，制定符合自身實際的風險控制

21、政策、措施和定量指標，開發和運用量化的風險管理模型，對資金運用的收益與風險進行適時、審慎評價。第二十一條信息技術控制。壽險公司應建立制度、政策和程序，對信息技術管理、信息安全、應急計劃等實施控制，確保信息的完整性、安全性和可用性。（一）信息技術管理。建立健全信息技術管理和風險防范制度，明確計算機信息系統開發、管理與應用部門及相關人員的職責，對計算機信息系統的項目立項、設計、開發、測試、運行和維護等實施控制。（二）信息安全管理。建立信息安全管理體系，對硬件、操作系統、應用程序和操作環境實施控制，確保信息的完整性、安全性和可用性；計算機機房建設應當符合國家的有關標準，出入計算機機房應當有嚴格的審批

22、程序和出入記錄，確保計算機硬件、各種存儲介質的物理安全；對系統數據資料采取加密措施，建立備份，異地存放，實施有效的口令管理和權限管理，定期更換用戶使用的密碼和口令；及時更新系統安全設置、病毒代碼庫、攻擊特征碼、軟件補丁程序等，通過認證、加密、內容過濾、入侵監測等技術手段，不斷完善安全控制措施；建立健全網絡管理系統，對網絡的安全、故障、性能、配置等進行有效管理，并對接入國際互聯網實施有效的安全管理；對網絡設備、操作系統、數據庫系統、應用程序等設置必要的日志。（三）應急計劃。建立計算機安全應急系統，制定詳細的應急方案，定期檢查、維護應急的設施、設備和系統，確保其處于適用狀態。第二十二條其它控制。針

23、對公司其他活動建立必要和恰當的政策和程序，確保制定的控制措施能夠有效實現控制目標，已確定的控制行為得到恰當的執行。第四節信息與與溝通第二十三條條信息。建建立并保持書書面程序，持持續識別、收收集、處理、報報告涉及公司司目標實現及及經營管理有有效運作的內內外部信息，以以確保經理層層能夠及時、準準確了解業務務信息、管理理信息、重要要風險信息；確保其他所所有員工充分分了解相關信信息，遵守涉涉及其責任和和義務的政策策和程序；確確保及時、真真實、完整的的向監管部門門和外界報告告、披露相關關信息；確保保在出現緊急急情況或重大大突發事件時時，相關信息息能夠得到及及時報告和有有效溝通。第二十四四條溝通。建建立開

24、放、有有效的內外部部溝通渠道，確確保信息及時時上傳、下達達，并在上下下級機構及部部門之間充分分交流，使相相關人員能夠夠獲取履行職職責需要的信信息；確保員員工具有反映映問題、提出出建議的通道道；確保在收收到客戶、監監管部門及其其他外部人員員反映的情況況后，采取及及時適當的應應對措施，妥妥善處理公司司與外部的關關系。第第二十五條信息的安全全、保密。壽壽險公司應適適當保持相關關信息交流與與溝通的記錄錄，并考慮信信息的安全性性和保密性要要求，對信息息報告、發布布、披露進行行授權。第二十六條條文件控制制。壽險公司司應建立并保保持必要的內內部控制體系系文件，包括括：對內部控控制體系要素素及其相互作作用的描

25、述，內內部控制政策策和目標，關關鍵崗位及其其職責與權限限，不可接受受的風險及其其預防和控制制措施，控制制程序、作業業指導、方案案和其他內部部文件等。壽險公司司應建立并保保持書面程序序，確保內部部控制體系文文件滿足下列列要求：（一）易于于查詢。（二）實施施前得到授權權人的批準。（三）定期評審，必要時予以修訂并由授權人員確認合理性。（四）所有崗位都能得到有關版本。（五）失效時，及時從所有發放處和使用處收回，或采取其他措施防止誤用。（六）及時識別、處置外來文件并進行標識，必要時轉化為內部文件。（七）留存的檔案性文件和資料應予以適當標識。第二十七條記錄控制。壽險公司應建立并保持書面程序，對內部控制相關

26、活動中所涉及記錄的標識、生成、存儲、保護、檢索、保存期限和處置進行明確。記錄應保持清晰、易于識別和檢索，并可追溯到相關的活動，以提供內部控制體系有效運行的證據。第五節監督第二十八條條持續性監監控。壽險公公司應采取措措施確保各部部門和員工在在日常經營和和履行職責的的過程中持續續獲取相關信信息（如：投投訴等），對對內部控制健健全性、合理理性、有效性性進行檢查、分分析，并評估估其實施的效效率效果，以以實現對內部部控制實時動動態的持續性性監控和控制制執行部門的的自我改善。持持續性監控應應遵循以下原原則：（一一）以目標為為基礎，確認認現有的制度度、程序和措措施是否合理理、有效和剩剩余風險的控控制水平（剩

27、剩余風險是指指沒有通過內內部控制加以以控制，但卻卻可能對公司司目標實現產產生影響的風風險）。（二）以風風險為基礎，識識別實現目標標的各類風險險，確定控制制制度、程序序和政策是否否足以對關鍵鍵風險進行管管理。（三三）以控制為為基礎，對現現有控制措施施的運行情況況進行分析，識識別差距。（四）以以過程為基礎礎，對包括業業務、財務、資資金、計算機機等控制活動動的關鍵過程程和內容進行行確認、評價價、更新、改改善和簡化。第二十九條獨立評估。壽險公司應設立內部審計機構或崗位，對內部控制的健全性、合理性和有效性實施獨立評估。內部審計部門應配備具有相應資質和能力的審計人員；應有權獲得壽險公司的所有經營、管理信息

28、；應定期或不定期根據轄屬機構的內部控制情況確定審計頻率，以及對機構和業務的審計覆蓋率，對內部控制的健全性、合理性和有效性實施檢查、評價；應對公司高級管理人員和重要崗位人員進行離任審計。第三十條缺陷報告與持續改進。對持續性監控、獨立評估及監管部門評價發現的內部控制缺陷，應及時向董事會及經理層提交書面報告，并及時進行整改糾正，對整改情況進行跟蹤監督，以持續提高內部控制體系的有效性。第四章評價方方式第三十一條條壽險公司司內部控制評評價采取壽險險公司自我評評估與監管部部門獨立評價價相結合的方方式。第第三十二條壽險公司應應根據本辦法法于每年年末末針對每一項項評價點，從從健全性、合合理性、有效效性三方面全

29、全面進行自我我評估，并填填寫內部控制制評估表、撰撰寫內部控制制年度評估報報告。監管部部門認為必要要時，可要求求壽險公司提提供經中介機機構鑒證的內內部控制評估估表和內部控控制年度評估估報告。內部控制評評估表和內部部控制年度評評估報告應于于次年3月115日前向監監管部門報送送。壽險險公司法人機機構的內部控控制評估表（具具體格式和內內容請見附件件一）和內部部控制年度評評估報告應由由法人代表簽簽字，向中國國保監會報送送。壽險險公司分支機機構的內部控控制評估表（具具體格式和內內容請見附件件二）和內部部控制年度評評估報告應由由分支機構總總經理簽字，向向中國保監會會派出機構報報送。第第三十三條內部控制評評估

30、表和內部部控制年度評評估報告應真真實、完整，不不得瞞報和虛虛報。填填寫內部控制制評估表時，應應對每一項評評價點的基本本情況進行描描述，對其健健全性、合理理性和有效性性進行評價，并并揭示存在的的內部控制缺缺陷。內內部控制年度度評估報告應應至少包括以以下內容：（一）本本單位內部控控制情況。應應覆蓋本單位位內部控制體體系范圍內的的所有活動，從從控制環境、風風險識別與評評估、控制活活動（包括業業務、財務、資資金、信息技技術、其他控控制活動）、信信息與溝通、監監督五方面分分別進行評價價。（二二）本年度完完善內部控制制的措施及上上年度內部控控制缺陷的改改善情況。（三）目目前內部控制制存在的漏洞洞和缺陷。（

31、四）下下一年度改進進內部控制的的計劃。第三十四條條監管部門門應根據風險險大小和重要要性對壽險公公司內部控制制進行抽查，實實施獨立評價價。第三三十五條中中國保監會負負責對壽險公公司法人機構構的內部控制制進行評價。根根據工作需要要，中國保監監會可授權中中國保監會派派出機構對轄轄區內壽險公公司法人機構構的內部控制制進行評價。中國保監會派出機構負責對轄區內壽險公司分支機構的內部控制及根據授權對轄區內壽險公司法人機構的內部控制進行評價。中國保監會認為必要時，可直接對壽險公司分支機構內部控制進行評價。監管部門認為必要時，可以聘請中介機構對壽險公司內部控制實施評價。第三十六條監管部門對壽險公司內部控制進行評

32、價，原則上每三年為一個評價周期，每年至少覆蓋三分之一以上的壽險公司。當壽險公司發生重大違法違規行為、經營狀況出現嚴重惡化、償付能力出現危機、管理層重大變動、重大的并購或處置、重大的營運方式改變、業務財務信息處理方式改變，或監管部門認為必要時，可以對壽險公司內部控制實施評價。第三十七條監管部門初次對壽險公司內部控制評價時，須覆蓋內部控制的所有方面。再次評價時，可根據監管重點、評價期內壽險公司內部控制的實際情況，確定評價的范圍。但在每三次再次評價周期內應覆蓋內部控制的所有方面。第五章評價程程序與方法第三十八條條監管部門門對壽險公司司內部控制的的評價包括評評價準備、評評價實施、評評價反饋和評評價報告

33、形成成四個階段。壽險公司內部控制自我評估參照執行。第三十九條評價準備。評價準備包括組建評價組、制訂評價實施方案、評價資料準備等步驟。組建評價組。組建評價組應考慮組成人員的背景和能力。必要時，可聘請業務或管理方面的專家。制訂評價實施方案。實施方案應明確本次評價的目的、范圍、準則、時間安排和相應的資源配置。評價資料準備。主要包括評價問卷、抽樣計劃、被評價機構的內部控制體系文件及相關記錄等。監管部門實施評價應在進場前與被評價機構建立初步聯系，以便確認有關評價事項和安排。第四十條評價實施。評價實施包括了解內部控制體系、實施測試與分析等步驟。評價組應按照既定的評價方案實施評價。在評價實施中應就評價組內部

34、以及評價組與被評價機構之間的溝通做出正式安排，通過適當的方法收集與評價目的、范圍和準則有關的信息，根據評價方案對被評價項目進行測試，對有關數據進行確認和分析，并予以記錄。包括：（一）了解內部控制體系。評價組應了解被評價機構內部控制體系的基本情況，確認評價范圍，確定被評價機構的內部控制體系的健全程度，然后決定實施測試所采取的方法。主要通過詢問、查閱、觀察、流程圖等方法進行，以初步評價被評價機構內部控制體系的健全性。（二）實施測試和分析。實施測試和分析是在了解內部控制體系的基礎上，評價內部控制體系的合理性和運行的有效性，主要采取符合性測試法。第四十一條評價反饋。監管部門實施內部控制評價應在對被評價

35、機構內部控制體系進行綜合評價后，與被評價機構管理層溝通，以核對數據，確認事實。第四十二條評價報告形成。評價組應根據評價實施和反饋情況，填寫內部控制評價表（內部控制評價表的格式與內容同內部控制評估表），撰寫評價報告。評價報告應重點分析以下方面：（一）被評價機構內部控制體系現狀。（二）被評價機構內部控制存在的問題。（三）評價中發現的與被評價機構內部控制年度報告、內部控制評估表不一致的方面。（四）被評價機構內部控制的趨勢分析。第四十三條符合性測試。符合性測試是獲得評價證據以證實內部控制在實際中的合理和有效，即控制措施能否達到控制目的，相關規定在實際中是否被一貫執行。符合性測試分為兩種形式：（一）業務測試。即對重要業務或典型業務進行測試，按照規定的業務處理程序進行檢查，確認有關控制點是否符合規定并得到認真執行，以判斷內部控制的遵循情況。（二）功能測試。即對某項控制的特定環節，選擇若干時期的同類業務進行檢查，確認該環節的控制措施是否一貫或持續發揮作用。第四十四條測試抽樣。抽樣樣本取決于被評價機構或被評價項目的風險、業務頻次、重要性等。可在根據業務頻次抽樣的基礎上