企业内部控制制度之内部控制自我评价

内部控制自我评价第一节职责分离矩阵职责ABCDA×B×C×D×职责说明：×：需分离的职务A：编制评价方案B：审核评价方案C：编写自我评价报告D：审核自我评价报告第二节风险矩阵序号控制环节主要风险控制目标主要风险类别控制频率控制重要性等级控制活动法律风险资产安全风险报告风险经营风险战略风险12345678910111227-01自我评价机构设置自我评价机构设置不健全，可能导致自我评价流于形式。健全自我机构设置，职责权限明确。√按需中流程描述4.127-02评价范围内控自我评价范围不完整，可能遗漏高风险领域。内控自我评价范围完整√年度高流程描述4.227-03编制评价方案评价方案计划不合理、不完整，可能无法有效开展自我评价。评价方案合理√年度高流程描述4.327-04组成评价工作组人员配备不合理，未实行回避制度。自我评价工作组配备合理，具备胜任能力。√按需中流程描述4.427-05现场测试现场测试方法不合理，证据不充分，评价工作底稿完不整，可能导致未有效收集内部控制设计和运行是否有效的证据。现场测试方法合理，证据收集有效、充分，工作底稿真实、准确及有效。√按需中流程描述4.527-06自我评价记录内部控制自我评价过程无有效记录，可能导致不能如实反映发现的问题、不能做出客观评价。内部控制自我评价过程有效记录√按需中流程描述4.527-07缺陷认定内控缺陷的认定和汇报不及时、不准确。评价工作反映企业的经营管理状况√按需中流程描述4.627-08整改落实缺乏内部控制缺陷整改机制，可能导致内部控制设计与运行中的主要问题和重大风险无法得到及时解决和有效控制。内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制√按需高流程描述4.727-09评价报告审批内部控制自我评价报告未经有效审批内部控制自我评价报告经过有效审批按需高流程描述4.827-10内控自我评价报告内控自评报告出具不规范，披露不及时。内控自评报告编制符合要求并及时披露√√按需高流程描述4.8第三节流程描述目的促进**面业股份有限公司（以下简称公司）全面评价内部控制的设计与运行情况，规范内部控制自我评价程序和评价报告，揭示和防范风险。适用范围**面业股份有限公司。术语与定义内部控制自我评价：指董事会对内部控制的有效性进行全面评价，形成评价结论、出具评价报告的过程。重大缺陷：是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标。一般缺陷：是指除重大缺陷、重要缺陷之外的其他缺陷。关键控制活动内控自评机构公司审计部在董事会及审计委员会的领导下，制定内控评价年度计划并组织实施评价工作,对于内部控制自我评价中发现的问题或报告的缺陷，积极采取有效措施予以整改。内控自评范围内部控制自我评价的范围应涵盖公司及其附属单位的各种业务和事项，应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。纳入评价范围的业务和事项包括：内部环境的评价：以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本公司的内部控制制度，组织开展内部环境评价，对内部环境的设计及实际运行情况进行认定和评价；评价重点包括经营活动的复杂程度、管理权限的集中程度、管理行为守则的健全性和有效性、管理层对逾越既定控制制度的态度、组织文化的内容及组织成员对此的理解与认同、法人治理结构的健全性和有效性、组织各阶层人员的知识与技能、组织结构和职责划分的合理性、重要岗位人员的权责相称程度及其胜任能力、员工聘用程序及培训制度、员工业绩考核与激励机制。风险评估机制评价：以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本公司的内部控制制度，组织开展风险评估机制评价，对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。控制活动评价：以《企业内部控制基本规范》和应用指引中的控制措施为依据，结合本公司的内部控制制度，组织开展控制活动评价，对各类业务控制措施与流程的设计有效性和运行有效性进行认定和评价；关注对企业的每个作业环节是否都定有适当的政策和程序，现有的已确认的控制活动均被适当执行。信息与沟通评价：以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本公司的内部控制制度，组织开展信息与沟通评价，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。内部监督评价：以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本公司的内部控制制度，组织开展内部监督评价，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部控制自我评价小组等是否在内部控制设计和运行中有效发挥监督作用。具体包括：日常监督评价、专项监督评价和缺陷报告评价。评价方案的制定每年年初，审计部根据上年度评价报告、公司重点工作规划、公司内部监督情况和管理要求，在分析公司经营管理过程中的高风险领域和重要业务事项的基础上，确定内部控制的检查评价方法，拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，经董事会批准后实施。评价工作方案既以全面评价为主，也可根据需要采用重点评价的方式。评价工作前期准备组成评价工作组。审计部根据经批准的评价工作方案，组成内部控制自我评价工作组，具体实施内部控制自我评价工作。评价工作组应吸收公司内部相关部门熟悉情况的、参与日常监控的负责人或业务骨干参加。评价工作组成员对本部门的内部控制自我评价工作实行回避制度。公司可以委托会计师事务所等中介机构实施内部控制自我评价，但不得选择同时为公司提供内部控制审计服务的中介机构。准备必要的工作文件：主要包括缺陷汇总的模板、抽样计划、被评价部门的内控体系文件等。实施评价工作前，评价人员需要接受相关培训，培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利与义务及评价中需重点关注的问题等。事先与被评价部门或子公司联系：内部控制自我评价工作组根据内部控制自我评价计划，在现场评价前先与被评价部门、子公司建立初步联系，以便确认有关评价事项和具体安排。评价工作的实施内控评价工作组按照既定的评价方案实施评价。内控评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，对照《内部控制手册》规定的业务流程步骤、控制点，抽取一定的经济业务对被检查部门或子公司的内部控制进行测试，研究分析内部控制是否执行以及执行的有效性。内控评价应当重点测定内部控制各个组成部分是否按规定的控制步骤、方法运行，测试各控制环节运行与其内容是否相符，检查各控制环节和控制点的内容、程序、方法等是否正常运行以及相互之间的协调配合情况等；对内部控制中具体问题，特别是对差错、浪费、损失、非授权使用或滥用职权等敏感问题进行评价，找出失控的原因，提出相应的改进、补救措施。内控评价工作组应当广泛收集被评价单位内部控制设计和运行是否有效的证据，将测试情况（包括存在的问题和被检查单位已有的改正措施）如实填写评价工作底稿，由被检查单位负责人或流程负责人在工作底稿上签字确认。内部控制自我评价工作组汇总工作底稿，对评价工作底稿进行交叉复核签字，并由内部控制自我评价工作组负责人进行严格审核，对所认定的评价结果予以签字确认。所形成的现场评价报告连同评价结果向被评价单位进行通报，由被评价单位相关责任人签字确认后，提交公司审计部。审计部汇总各内部控制自我评价工作组的评价结果，对内部控制自我评价组织现场初步认定的内部控制缺陷进行全面复核、分类汇总；对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级。内部控制缺陷认定内部控制缺陷按照其成因或来源分为设计缺陷和运行缺陷。设计缺陷是指公司缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。内部控制的设计缺陷和运行缺陷，影响内部控制的设计有效性和运行有效性。内部控制缺陷按照其影响控制目标实现的严重程度分为重大缺陷、重要缺陷和一般缺陷。当存在任何一个或多个内部控制重大缺陷时，应当在内部控制自我评价报告中作出内部控制无效的结论；重要缺陷虽不会严重危及内部控制的整体有效性，但也应当引起董事会和总经理的充分关注。审计部编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，针对财务报告内部控制缺陷，还应当反映该缺陷对财务报告的具体影响，并以书面形式向审计委员会、监事会和管理层报告。重大缺陷由董事会予以最终认定。公司通过内部控制评价发现内部控制的缺陷，应当建立内部控制缺陷整改机制，明确内部各管理层级和单位整改的职责分工，确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。整改落实公司对于认定的重大缺陷，应当立即采取应对策略，切实将风险控制在可承受度之内，并落实相关责任；对于认定的重要缺陷，应当及时研究应对策略，限期解决，降低风险；对于认定的一般缺陷，应当指定责任部门及时研究解决，防止风险扩大。公司通过内部控制评价发现内部控制的缺陷，应当建立内部控制缺陷整改机制，明确内部各管理层级和单位整改的职责分工，确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。审计部应当就发现的内部控制缺陷提出切实可行的整改方案，包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的，应明确整改的近期和远期目标以及相应的整改工作内容。一般缺陷的整改方案由总经理批准，重大缺陷和重要缺陷的整改方案由审计委员会批准。审计部应当督促相关责任部门整改措施的落实情况。审计部负责人应当适时安排跟踪检查工作，并将其纳入年度内部审计工作计划。内控自我评价报告公司根据《企业内部控制基本规范》、应用指引和评价指引，设计内部控制自我评价报告的种类、格式和内容，明确内部控制自我评价报告编制程序和要求。控制自我评价报告按照编制主体、报送对象和时间，分为对内报告和对外报告。对外报告的内容、格式和时间符合中国证监会和深圳证券交易所的要求；对内报告的内容、格式和时间符合董事会的要求。审计部应当每年向审计委员会提交一次《内部控制评价报告》。评价报告应当至少应当披露下列内容：董事会对内部控制自我评价报告真实性的声明。内部控制自我评价工作的总体情况。内部控制自我评价的依据。内部控制自我评价的范围。内部控制自我评价的程序和方法。内部控制缺陷及其认定情况。内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。内部控制有效性的结论。审计部应当以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，按照规定的程序和要求，客观、公正、完整、及时地编制内部控制自我评价报告，并报送董事会和监事会。内部控制自我评价报告报经审计委员会审核、董事会批准后对外披露或报送相关部门。监事会负责对内部控制自我评价报告单独出具意见。审计部应当关注自内部控制自我评价报告基准日至内部控制自我评价报告发出日之间是否发生影响内部