评价内容与核心指标

1、评价内容与核心指标业务描述有效性（缺陷）评价记录一、内部环境（一）组织架构1.董事会及各专门委员会、监事会和经理层的职责权限、任职资格和议事规 则是否明确2.是否科学界定了董事会、监事会、经理层在建立与实施内部控制中的职责 分工3.董事会是否采取必要的措施促进和推动企业内部控制工作4.组织机构设置是否与企业业务特点相一致并符合内部控制的要求5.是否明确了权责分配、制定了权限指引并保持权责行使的透明度6.是否定期梳理、评估企业治理结构和内部机构设置，发现问题及时采取措 施加以优化调整（二）发展战略1.企业是否制定科学合理的发展目标和战略规划2.是否对发展战略进行可行性研究和科学论证，并报董事会和

2、股东（大）会 审议批准3.是否制定年度工作计划，编制全面预算，确保发展战略的有效实施4.是否采取有效方式将发展战略及其分解落实情况传递到内部各管理层级 和全体员工5.是否及时监控发展战略实施情况，并根据环境变化及时对发展战略做出调 整（三）人力资源政策1.人力资源政策是否有利于企业可持续发展和内部控制的有效执行2.是否制定并实施关于员工聘用、培训、辞退与辞职、薪酬、考核、健康与 安全、晋升与奖惩等方面的管理制度3.是否对关键岗位员工有强制休假制度或定期轮岗制度等方面的安排4.是否对掌握国家秘密或重要商业秘密的员工离岗有限制性的规定5.是否将有效执行内部控制纳入企业绩效考评体系（四）社会责任1.

3、是否建立严格的安全生产管理体系、操作规范和应急预案，切实做到安全 生产2.是否建立严格的产品质量控制和检验制度，并妥善处理消费者提出的投诉 和建议3.是否采取措施促进环境保护、生态建设和资源节约并实现节能减排目标4.是否依法保护员工的合法权益，保持工作岗位相对稳定，积极促进充分就 业（五）企业文化1.企业是否重视文化建设、法制教育、员工培训等工作并采取措施予以落实2.企业董事、监事、经理及其他高级管理人员是否在文化建设和履行社会责 任中起到表率作用3.企业是否制定高级管理人员职业道德准则和员工行为守则4.是否建立法律顾问制度和重*律纠纷案件备案制度，并在企业 重大经营业务事项及其合同协议等签订

4、、履行过程中有效发挥法制部门的作用（六）内部审计1.内部审计的独立性是否得以保障，审计委员会和内部审计机构是否独立、 充分地履行监督职责2.审计委员会成员履行监督职责的意见表述是否客观并有据可查3.内部审计机构是否按照审计计划完成内部审计工作并提出审计意见二、风险评估（一）风险识别1.是否建立健全风险评估机制，根据设定的控制目标，全面系统持续地收集 相关信息2.是否运用适当的技术和工具，准确、持续识别影响战略目标实现的内外部 风险3.是否结合企业的风险偏好，确定相应的风险承受度（二）风险分析1.是否运用适当的方法和技术分析风险发生的可能性和影响程度，评估其固 有风险和剩余风险2.是否对评估的风

5、险进行排序，确定重点关注和优先控制的风险3.是否运用适当的方法和技术对风险进行持续监控，及时对风险进行再识别 和再评估（三）风险应对1.是否结合剩余风险与风险承受度，权衡风险与收益，确定风险应对策略2.对于相互关联的风险，是否从风险组合观出发，综合制定风险应对措施3.是否分析、掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏 好，并采取适当的控制措施4.是否持续收集与风险变化相关的信息，进行风险识别和分析，及时调整风 险应对策略三、控制活动（一）控制活动的设计1.是否综合运用手工控制与自动控制、预防性控制与发现性控制等方法，对 各类业务事项的主要风险和关键环节设置了必要的控制措施2.各项

6、控制措施的设计是否与风险应对策略相适应（二）控制活动的运行1.针对各类业务事项的主要风险和关键环节所制定的各类控制方法和控制 措施是否得以有效实施2.对不相容职务应分离而未分离的情形，是否采取了替代控制措施予以弥补3.是否存在超越权限或不按程序和权限办理业务事项的情况4.特别授权是否履行相应程序并及时予以确认5.企业重大决策、重大事项、重要人事任免及大额资金支付业务等是否实行 集体决策审批或者会签制度（三）特殊性控制活动1.企业是否针对非常规性、非系统性业务事项制定相应的控制措施，并定期 对其执行情况进行检查分析2.是否建立重大风险预警机制和突发事件应急处理机制，相关应急预案的处 置程序和处理

7、结果是否有效四、信息与沟通（一）信息质量1.企业是否及时、准确、充分地获取与经营管理和内部控制相关的信息2.是否采取措施确保内部信息与外部信息的有用性（二）沟通制度1.企业是否建立科学规范的信息沟通制度，信息的收集、处理和传递程序是 否透明高效2.信息在企业内部各层级之间、企业与外部有关方面之间的沟通是否有效3.董事会、监事会和经理层是否能够及时掌握经营管理和内部控制的重要信 息并进行应对4.员工诉求是否有顺畅的反映渠道（三）信息系统1.企业是否建立与经营管理相适应的信息系统，利用信息技术提高对业务事 项的自动控制水平2.在信息系统的开发过程中，是否对信息技术风险进行识别、评估和防范3.信息系

8、统的一般控制是否涵盖信息系统开发与维护、访问与变更、数据输 入与输出、文件储存与保管、网络安全、硬件设备、操作人员等方面，确保信 息系统安全稳定运行4.信息系统的应用控制是否紧密结合业务事项进行，达到利用信息技术固化 流程、提高效率、减少或消除人为操纵因素的目的，确保业务事项运行的规范 性和科学性5.信息系统是否建立并保持相关信息交流与沟通的记录（四）反舞弊机制1.企业是否建立健全并有效实施反舞弊机制2.举报投诉制度和举报人保护制度是否及时准确传达至企业全体员工3.对舞弊事件和举报所涉及的问题是否及时妥善地作出处理五、内部监督（一）内部监督制度1.企业是否建立内部监督制度，通过日常监督和专项监督相结合的方法促进 内部控制的有效运行2.是否制定内部控制自我评价办法和考核奖惩办法，明确评价主体、职责权 限、工作程序和有关要求，定期组织开展内部控制自我评价工作并按规定报送 内部控制自我评价报告（二）内控缺陷认定1.企业是否制定科学的内部控制缺陷认定标准并予以一贯的执行2.是否对控制缺陷进行全面、深入地研究分析，提出并实施整改方案3.是否及时向董事会、监事会或经理层报告内部控制重大缺陷并按规定予以 披露4.对发现的内部控制重大缺陷，是否追究相关责任单位和责任人的责任5.是否建立内部控制缺陷信息数据库，并对历年发现的内部控制缺陷