内部控制评价管理办法.doc

。XXXX股份有限公司内部控制评价管理办法(经XXX会议审议通过)第一章 总则第一条 为全面评价公司内部控制设计与运行情况，推动内部控制规范工作稳步进行，公司依据企业内部控制基本规范、应用指引、评价指引以及中国证监会、深圳证监局关于内控试点通知的要求，结合公司实际情况，制订本办法。第二条 内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。第三条 内部控制评价的目标是依据企业内部控制基本规范、应用指引、评价指引的规定，结合公司内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督要素，全面、客观地评价公司内部控制设计与运行的有效性。第四条 内部控制评价应遵守“全面性”、“重要性”及“客观性”的原则。全面性原则要求评价工作包括内部控制设计和运行，涵盖公司及其所属单位的各种业务和事项；重要性原则要求评价工作应当在全面评价的基础上，关注重要业务单位，重大业务事项和高风险领域；客观性原则要求评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性，评价小组成员包括业务部门骨干时，评价本部门内部控制有效性应回避。第二章 评价范围第五条 根据中国证监会上市公司监管部【2011】031号函关于做好上市公司内部控制规范试点有关工作的通知要求，纳入合并范围的母子公司营业收入、净利润、总资产三项指标应同时达到合并财务报表相应指标的50以上。第六条 公司通过“重要业务单元”、“重要业务流程”两个方面界定评价的范围。（一） 重要业务单元的界定：（1） 如果业务单元总资产、净资产、营业收入、净利润任何一项指标达到合并报表相应指标的5%，我们认定为该业务单元是重要的；（2） 如果业务单元存在特殊的风险，可能导致重大（税前利润5%）损失或错报，我们认定为该业务单元是重要的。（二） 重要业务流程（事项）的界定：（1） 如果会计科目余额（或发生额）达到合并报表相应指标的3%，我们认定与该科目直接相关的业务流程（事项）是重要的；（2） 如果某业务事项存在特别的风险，从性质上判断可能给公司带来重大影响，我们认定该业务流程（事项）是重要的。第七条 如果通过上述方法界定的范围，未能达到证监会上市部【2011】031号函的要求，则降低重要性水平，直至达到要求为止。第三章 评价内容第八条 内部控制评价应当围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行，对公司层面、业务流程层面、IT层从内部控制的设计与运行情况进行评价。第九条 内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。控制活动评价应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性进行认定和评价。内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。第四章 人员的组织与分工第十条 董事会应当对内部控制评价报告的真实性负责，对内部控制评价承担最终的责任。审计委员会承担对内部控制评价的组织、领导、监督职责，听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改意见。第十一条 公司审计部门负责内部控制评价的具体实施工作，并聘请中介机构（友联时骏）进行技术性指导、培训及重要工作底稿复核。第五章 评价程序及评价办法第十二条 内部控制评价程序一般包括：依据公司内部控制评价管理办法制定评价工作方案、组织分工、实施现场测试、汇总评价结果、汇报及认定缺陷、编报评价报告。第十三条 为保证现场测试有序、有效地进行，评价工作方案应当至少包括测试工作的目的和要求、测试工作范围及测试期间、测试工作流程及时间人员安排、抽样与结果评价、测试工作底稿编制说明等内容。第十四条 评价工作将通过访谈、调查问卷、检查、询问及讨论、穿行测试、抽样及分析、实地查验等程序进行。内部控制设计的有效性，我们主要通过调查问卷、检查、询问及讨论、穿行测试等方法进行评价。内部控制运行的有效性，我们主要通过抽样及分析、询问、实地查验等方法进行评价。第六章 缺陷类型与认定第十五条 缺陷按影响的重要程度不同分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是可能导致企业严重偏离控制目标的一个缺陷或多个缺陷的组合；重要缺陷是指可能导致企业偏离控制目标但严重程度和经济后果都低于重大缺陷的一个缺陷或多个缺陷的组合；一般缺陷是指除重大缺陷与重要缺陷以外的其他缺陷。第十六条 缺陷按照控制目标的不同分为财务报告内部控制缺陷和非财务报告内部控制缺陷。财务报告内部控制是指针对财务报告目标而设计和实施的内部控制，财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性、完整性、合理性的内部控制设计和运行缺陷。除此以外，不能合理保证实现资产安全、经营效率效益、合法合规等其他目标的控制活动缺陷为非财务报告内部控制缺陷。第十七条 在评估控制活动是否存在缺陷时，应当考虑以下因素：(一) 是否针对风险设置了合理的控制目标；(二) 是否针对控制目标设置了合理的控制活动；(三) 相关控制活动是如何运行的；(四) 相关控制活动是否得到持续一致的运行；(五) 实施相关控制活动的人员是否具备专业胜任能力。第十八条 如果不能同时满足第十七条第一、二项的要求，则存在设计层面的缺陷；如果满足第一、二项的要求而不能同时满足第四、五项的要求，则存在执行层面的缺陷。第七章 财务报告内部控制缺陷重要性评定标准第十九条 财务报告内部控制缺陷重要程度主要取决于两个方面的因素：（一）该缺陷可能导致企业的内部控制不能及时防止或发现并纠正财务报告错报的概率。（二）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。如果概率大于微小可能性（几乎不可能发生）的可能性，并且可能导致错报的金额超过重要性水平，则表示该缺陷是重要的。第二十条 从定量的标准看，公司属于盈利稳定增长的企业，以税前利润作为定量的指标，如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于税前利润的3%，则认定为不重要；如果超过3%，小于5%认定为重要；如果超过5%则认定为重大。第二十一条 如果发现的缺陷符合以下任何一条，应当认定为财务报告内部控制重大缺陷：(一) 该缺陷涉及高级管理人员任何舞弊；(二) 该缺陷表明未设立内部监督机构或内部监督机构未履行基本职能；(三) 当期财务报告存在依据第二十条认定的重大错报，控制活动未能识别该错报，或需要更正已公布的财务报告。第二十二条 如果发现的缺陷符合以下任何一条，应当认定为财务报告内部控制重要缺陷：(一) 当期财务报告存在依据第二十条认定的重要错报，控制活动未能识别该错报，或需要更正已公布的财务报告；(二) 虽然未达到和超过该重要性水平、但从性质上看，仍应引起董事会和管理层重视的错报。第二十三条 除第二十一条及第二十二条规定的缺陷外的其他财务报告内部控制缺陷应当认定为一般缺陷。第八章 非财务报告内部控制缺陷重要性评定标准第二十四条 非财务报告内部控制缺陷重要程度主要取决于两个方面的因素：（一）该缺陷可能导致公司的内部控制不能实现战略目标、资产安全、经营目标、合规等目标的概率及对控制目标的影响程度；（二）该缺陷单独或连同其他缺陷可能导致公司财产损失金额的大小。如果概率大于微小可能性（几乎不可能发生）的可能性，并且可能导致企业损失的金额超过重要性水平，则表示该缺陷是重要的。第二十五条 从定量的标准看，如果该缺陷单独或连同其他缺陷可能导致公司财产损失金额小于税前利润的1%，则认定为不重要；如果超过1%，小于3%认定为重要财产损失；如果超过3%则认定为重大财产损失。第二十六条 如果发现的缺陷符合以下任何一条，应当认定为非财务报告内部控制重大缺陷：(一) 缺乏民主决策程序，如缺乏重大问题决策、重要岗位人员聘任与解聘决策、重大项目投资决策、大额资金使用（三重一大）决策程序；(二) 决策程序不科学，如重大决策失误，给公司造成第二十五条认定的重大损失；(三) 严重违犯国家法律、法规；(四) 关键管理人员或重要人才大量流失；(五) 媒体负面新闻频现；(六) 内部控制评价的重大缺陷未得到整改；(七) 重要业务缺乏制度控制或制度系统性失效，给公司造成第二十五条认定的重大损失。第二十七条 如果发现的缺陷符合以下任何一条，应当认定为非财务报告内部控制重要缺陷：(一) 公司因管理失误发生依据第二十五条认定的重要财产损失，控制活动未能防范该失误；(二) 财产损失虽然未达到和超过该重要性水平、但从性质上看，仍应引起董事会和管理层重视。第二十八条 除第二十六条及第二十七条规定的缺陷外的其他非财务报告内部控制缺陷应当认定为一般缺陷。第九章 沟通与报告第二十九条 审计部门就评估的缺陷及拟整改的措施与相