公司内控制度评价手册

PAGE公司内控制度评价手册一、总则（一）目的本手册旨在建立一套科学、系统、有效的公司内控制度评价体系，规范评价工作流程，确保公司内控制度的健全性、合理性和有效性，保障公司经营活动合法合规、资产安全、财务报告及相关信息真实完整，提高公司经营效率和效果，促进公司实现发展战略。（二）适用范围本手册适用于公司总部及各下属子公司、分公司的内控制度评价工作。（三）评价依据1.国家相关法律法规，如《中华人民共和国公司法》、《中华人民共和国会计法》、《企业内部控制基本规范》及其配套指引等。2.公司内部制定的各项管理制度、业务流程、操作规范等。（四）评价原则1.全面性原则：涵盖公司所有业务活动、管理环节和职能部门，对内部控制进行全方位、全过程评价。2.重要性原则：关注重要业务事项和高风险领域，重点评价对公司经营、财务、合规等有重大影响的内部控制制度。3.客观性原则：以事实为依据，客观公正地评价内部控制的设计和运行情况，避免主观臆断和偏见。4.及时性原则：定期或不定期开展内控制度评价工作，及时发现和解决内部控制存在的问题，确保内部控制的持续有效。二、内控制度评价的组织与实施（一）评价机构与职责1.公司设立内控制度评价委员会（以下简称“评委会”），负责领导和组织公司内控制度评价工作。评委会主任由公司董事长担任，副主任由总经理担任，成员包括各副总经理、财务总监、审计总监等高级管理人员。2.评委会职责审批内控制度评价工作计划和报告。审议内控制度评价过程中发现的重大问题及解决方案。对公司内控制度的健全性、合理性和有效性进行总体评价。3.公司审计部门作为内控制度评价工作的牵头部门，负责具体组织实施内控制度评价工作，其职责如下：制定内控制度评价工作计划和方案。组建评价工作组，明确评价人员的分工和职责。组织开展内控制度的现场检查、测试和分析评价工作。撰写内控制度评价报告，向评委会汇报评价结果，并提出改进建议。跟踪督促内控制度缺陷的整改落实情况。4.各职能部门和业务单位负责配合审计部门开展内控制度评价工作，提供相关资料和信息，协助评价人员进行现场检查和测试，并对本部门、本单位内控制度的执行情况进行自查自纠。（二）评价工作计划与方案1.审计部门应根据公司年度经营计划、风险管理状况和内控制度建设情况，制定年度内控制度评价工作计划，明确评价的范围、内容、方法、时间安排等。2.评价工作计划应报评委会审批后实施。在实施过程中，如因特殊情况需要调整计划，应及时报评委会批准。3.根据评价工作计划，审计部门应制定具体的评价工作方案，明确评价的步骤、程序、方法和人员分工等。评价工作方案应具有可操作性和针对性，确保评价工作有序开展。（三）评价工作流程1.准备阶段成立评价工作组，配备具备专业知识和经验的评价人员。收集与评价相关的法律法规、政策文件、公司制度、业务流程等资料。制定评价工作底稿和调查问卷，明确评价的标准和方法。2.实施阶段开展现场检查：评价人员深入各职能部门和业务单位，通过查阅文件资料、实地观察、询问访谈等方式，对内部控制制度的执行情况进行检查。进行测试：根据内部控制的关键控制点，选取适当的样本进行测试，验证内部控制的有效性。测试方法包括穿行测试、控制测试、实质性测试等。分析评价：对检查和测试结果进行分析，评估内部控制制度的健全性、合理性和有效性，识别存在的缺陷和风险。3.报告阶段撰写评价报告：评价工作组根据评价结果，撰写内控制度评价报告。报告应包括评价的基本情况、发现的问题、原因分析、评价结论和改进建议等内容。征求意见：评价报告初稿形成后，应征求各职能部门和业务单位的意见，对反馈意见进行认真研究和分析，必要时进行补充调查和核实。审核定稿：评价报告经审计部门负责人审核后，报评委会审批。评委会对评价报告进行审议，形成最终的评价结论。4.整改阶段下达整改通知：评委会根据评价报告，下达内控制度缺陷整改通知，明确整改责任部门、整改期限和整改要求。制定整改方案：整改责任部门应针对存在的问题，制定具体的整改方案，明确整改措施、责任人及时间节点。跟踪整改落实：审计部门负责跟踪督促整改责任部门落实整改方案，定期检查整改情况，及时向评委会汇报整改进展。复查验收：整改完成后，审计部门应组织对整改情况进行复查验收，验证整改效果。对整改不到位的，应责令继续整改，直至达到要求。三、内控制度评价的内容与方法（一）评价内容1.内部环境评价治理结构：包括公司的组织架构、治理机制、决策程序等是否健全有效，是否能够保证董事会、监事会等治理机构充分发挥作用。机构设置与权责分配：各部门、各岗位的职责权限是否明确，是否存在职能交叉、推诿扯皮等现象，是否建立了有效的制衡机制。内部审计机制：内部审计机构的设置是否合理，人员配备是否充足，审计工作是否独立、有效，是否能够对公司内部控制进行监督和评价。人力资源政策：公司的人力资源招聘、培训、考核、激励等政策是否完善，是否有利于吸引和留住人才，提高员工素质和工作积极性。企业文化：公司的企业文化是否符合企业价值观和发展战略，是否能够营造积极向上、团结协作的工作氛围，促进员工对内部控制的认同和遵守。2.风险评估评价风险识别与评估机制：公司是否建立了风险识别、评估和应对的机制，是否能够及时发现内外部风险因素，并对风险进行科学评估和分类。风险应对策略：针对不同类型的风险，公司是否制定了相应的风险应对策略，如风险规避、风险降低、风险分担、风险承受等，风险应对措施是否有效。3.控制活动评价不相容职务分离控制：公司是否对不相容职务进行了合理分离，是否存在不相容职务由一人兼任的情况，不相容职务分离控制措施是否有效执行。授权审批控制：公司是否建立了明确的授权审批制度，各项业务的授权审批流程是否规范，审批权限是否合理，授权审批控制是否有效。会计系统控制：公司的会计核算是否符合国家统一的会计准则和制度，财务报告是否真实、准确、完整，会计档案管理是否规范。财产保护控制：公司是否建立了财产清查、资产保全等制度，对实物资产和无形资产的保护措施是否到位，是否定期对资产进行盘点和清查。预算控制：公司是否实行全面预算管理，预算编制、执行、调整、考核等环节的控制措施是否健全有效，预算是否能够对公司经营活动起到指导和约束作用。运营分析控制：公司是否建立了运营情况分析制度，定期对经营活动的效率、效果进行分析和评价，是否能够及时发现问题并采取措施加以解决。绩效考评控制：公司是否建立了绩效考评制度，绩效指标的设定是否合理，考评方法是否科学，绩效考评结果是否与员工薪酬、晋升等挂钩，绩效考评控制是否能够促进员工提高工作绩效。4.信息与沟通评价信息系统建设：公司是否建立了完善的信息系统，信息系统是否能够满足公司经营管理的需要，是否能够实现信息的及时、准确、共享。信息传递与沟通机制：公司内部各部门之间、公司与外部利益相关者之间的信息传递渠道是否畅通，信息沟通是否及时、有效，是否存在信息孤岛现象。反舞弊机制：公司是否建立了反舞弊机制，对舞弊行为的防范和发现措施是否有效，是否能够及时处理舞弊事件并追究相关人员责任。5.内部监督评价内部监督体系：公司是否建立了健全的内部监督体系，内部监督机构的设置是否合理，监督职责是否明确，监督工作是否能够有效开展。日常监督与专项监督：公司是否定期开展日常监督和专项监督工作，对内部控制的执行情况进行检查和评价，监督检查发现的问题是否能够及时得到整改。自我评价：公司是否定期组织开展内部控制自我评价工作，自我评价的程序和方法是否规范，自我评价报告是否真实、准确，是否能够揭示内部控制存在的问题并提出改进建议。（二）评价方法1.查阅文档：查阅公司的各项管理制度、业务流程、会议记录、文件档案、财务报表等资料，了解内部控制制度的设计和执行情况。2.问卷调查：设计内部控制调查问卷，向各职能部门和业务单位的员工发放，了解员工对内部控制制度的认知程度和执行情况。3.访谈：与公司各级管理人员、员工进行访谈，了解内部控制制度在实际工作中的执行情况，听取他们对内部控制的意见和建议。4.实地观察：到各职能部门和业务单位的工作现场进行实地观察，检查内部控制制度的执行情况，如业务操作流程、资产保管情况等。5.穿行测试：选取具有代表性的业务流程，按照规定的程序和方法进行穿行测试，检查内部控制制度是否能够有效运行。6.控制测试：根据内部控制的关键控制点，选取适当的样本进行控制测试，验证内部控制的有效性。7.实质性测试：对重要业务事项和高风险领域进行实质性测试，检查相关业务的真实性、合法性和准确性。四、内控制度评价报告（一）报告格式与内容1.内控制度评价报告应采用统一的格式，包括封面、目录、正文、附件等部分。2.报告正文应包括以下内容：评价的基本情况：介绍评价的目的、范围、依据、方法、时间等。内控制度总体评价：对公司内控制度的健全性、合理性和有效性进行总体评价，说明内部控制的整体运行情况。内控制度评价发现的问题：详细阐述评价过程中发现的内部控制缺陷，包括缺陷的描述、涉及的业务环节、影响程度等。原因分析：对发现的问题进行原因分析，找出问题产生的根源。评价结论：根据评价结果，得出公司内控制度是否有效的结论。改进建议：针对发现的问题，提出具体的改进建议，明确整改责任部门和整改期限。3.报告附件应包括评价工作底稿、调查问卷统计结果、访谈记录、实地观察记录、穿行测试和控制测试报告等相关资料，作为报告正文的支撑材料。（二）报告的编制与审核1.评价工作组应根据评价结果，按照报告格式和内容要求，撰写内控制度评价报告初稿。2.审计部门负责人对报告初稿进行审核，审核内容包括报告内容是否完整、准确，评价结论是否客观、公正，改进建议是否具有针对性和可操作性等。3.审核通过后的报告初稿报评委会审批。评委会对报告进行审议，提出修改意见，评价工作组根据评委会意见对报告进行修改完善，形成最终的内控制度评价报告。（三）报告的报送与披露1.内控制度评价报告经评委会审批后，应及时报送公司董事会和监事会，并抄送公司高级管理人员。2.根据相关法律法规和监管要求，公司应在年度报告中披露内控制度评价报告的相关内容，向社会公众公开公司内部控制的情况。五、内控制度缺陷认定与整改（一）缺陷认定标准1.重大缺陷：内部控制中存在的、可能导致企业严重偏离发展战略的一个或多个控制缺陷的组合。重大缺陷会影响公司的合规经营、财务报告真实性和资产安全，对公司经营产生重大不利影响。2.重要缺陷：内部控制中存在的、其严重程度低于重大缺陷，但仍有可能导致企业偏离发展战略的一个或多个控制缺陷的组合。重要缺陷会对公司的经营效率和效果产生较大影响。3.一般缺陷：内部控制中存在的、除重大缺陷和重要缺陷之外的其他控制缺陷。一般缺陷对公司经营的影响较小。（二）缺陷认定程序1.评价工作组在评价过程中发现内部控制缺陷后，应及时进行记录和整理，详细描述缺陷的性质、表现形式、涉及的业务环节等。2.审计部门组织相关人员对发现的缺陷进行分析和评估，根据缺陷认定标准，判断缺陷的严重程度，确定缺陷类别。3.对于重大缺陷和重要缺陷，审计部门应及时向评委会汇报，评委会组织相关部门和专家进行论证，最终确定缺陷的认定结果。（三）整改措施与跟踪1.针对认定的内部控制缺陷，整改责任部门应制定具体的整改措施，明确整改目标、整改内容、整改责任人及整改期限。整改措施应具有针对性和可操作性，能够有效消除缺陷产生的原因，提高内部控制的有效性。2.审计部门负责跟踪督促整改责任部门落实整改措施，定期检查整改情况，及时向评委会汇报整改进展。在整改过程中，如发现整改措施执行不