审计事项评价内控制度

PAGE审计事项评价内控制度一、总则（一）目的本制度旨在规范公司审计事项评价内控制度的实施，确保公司内部控制体系的有效运行，防范经营风险，提高公司治理水平和运营效率，保障公司资产安全，促进公司战略目标的实现。（二）适用范围本制度适用于公司总部及所属各子公司、分公司的审计事项评价内部控制工作。（三）基本原则1.合法性原则：审计事项评价内控制度应符合国家法律法规、监管要求以及公司内部规章制度的规定。2.全面性原则：涵盖公司各项业务活动、各个部门和岗位，对内部控制的各个环节进行全面评价。3.重要性原则：关注重要业务事项和高风险领域，重点评价对公司财务报表、经营成果和战略目标有重大影响的内部控制。4.制衡性原则：确保公司内部机构、岗位及其职责权限的合理设置和分工，坚持不相容职务相互分离，形成相互制约、相互监督的机制。5.适应性原则：内控制度应与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着公司内外部环境的变化及时进行调整和完善。（四）职责分工1.审计部门负责制定审计事项评价内控制度及相关审计计划，组织实施对公司内部控制的审计评价工作。对审计过程中发现的内部控制缺陷进行认定和分析，并提出改进建议。跟踪检查内部控制改进措施的执行情况，评估改进效果。2.各业务部门负责本部门内部控制制度的建立、健全和有效执行。配合审计部门开展审计评价工作，及时提供相关资料和信息。根据审计意见和建议，制定并落实本部门内部控制的改进措施。3.管理层负责审批审计事项评价内控制度及相关审计计划。根据审计结果，做出决策并采取相应措施，确保内部控制的持续优化。对内部控制的有效性承担最终责任。二、内部控制评价的内容与方法（一）内部控制评价的内容1.内部环境评价公司治理结构的完善程度，包括股东会、董事会、监事会等治理机构的运作情况。组织架构的合理性，各部门职责权限的划分是否清晰，是否存在职能交叉或缺失。人力资源政策的有效性，如员工招聘、培训、考核、薪酬福利等制度是否健全。企业文化建设情况，是否形成积极向上、团结协作、诚实守信的企业文化氛围。2.风险评估评价是否建立了风险识别、评估和应对机制，对公司面临的内外部风险进行全面、系统的识别和评估。风险评估方法的科学性和合理性，是否采用适当的风险评估模型和工具。风险应对策略的有效性，针对不同风险是否制定了相应的风险应对措施，如风险规避、降低、分担和承受等。3.控制活动评价各项业务流程的控制措施是否健全，包括授权审批、不相容职务分离、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。控制活动的执行是否有效，是否存在控制漏洞或执行不力的情况。对关键业务环节和高风险领域的控制是否到位，如资金管理、采购与付款、销售与收款、投资与融资等。4.信息与沟通评价信息系统的建设和运行情况，是否能够及时、准确、完整地收集、处理和传递与内部控制相关的信息。信息沟通渠道是否畅通，公司内部各部门之间、公司与外部利益相关者之间的信息交流是否顺畅。反舞弊机制的建立和执行情况，是否对舞弊行为进行有效的防范和打击。5.内部监督评价内部审计机构的设置和人员配备情况，是否具备独立性、权威性和专业性。内部审计工作的开展情况，是否定期对公司内部控制进行审计监督，审计报告是否及时、准确地反映内部控制的缺陷和问题。对内部控制缺陷的整改情况跟踪，是否建立了有效的整改机制，确保内部控制缺陷得到及时纠正。（二）内部控制评价方法1.文件审查：查阅公司各项规章制度、业务流程手册、会议记录、文件档案等，检查内部控制制度的建立和执行情况。2.访谈：与公司各级管理人员、员工进行访谈，了解他们对内部控制的认识、执行情况以及存在的问题和建议。3.问卷调查：设计内部控制调查问卷，向相关人员发放，收集他们对内部控制各方面的反馈意见。4.实地观察：到公司各部门、各业务现场进行实地观察，检查业务操作流程、人员工作状态等，了解内部控制的实际执行情况。5.穿行测试：选择若干具有代表性的业务流程，按照规定的程序和方法从头到尾进行测试，检查内部控制在实际业务中的运行情况。6.数据分析：对公司财务数据、业务数据等进行分析，通过数据比对、趋势分析等方法发现内部控制可能存在的问题。三、内部控制评价的程序（一）制定评价工作方案审计部门根据公司年度审计计划和内部控制评价工作的需要，制定详细的评价工作方案。工作方案应明确评价的目的、范围、内容、方法、步骤、人员分工以及时间安排等。（二）组成评价工作组审计部门根据评价工作方案，组建评价工作组。评价工作组应由具备专业知识和丰富经验的审计人员组成，必要时可聘请外部专家参与。（三）实施现场测试评价工作组按照评价工作方案，采用适当的评价方法，对公司内部控制进行现场测试。测试过程中，应详细记录测试情况，收集相关证据，形成工作底稿。（四）认定控制缺陷评价工作组根据现场测试结果，对发现的内部控制缺陷进行认定。控制缺陷分为设计缺陷和运行缺陷，根据缺陷的严重程度分为重大缺陷、重要缺陷和一般缺陷。（五）汇总评价结果评价工作组对各业务流程的评价结果进行汇总，形成公司内部控制评价报告初稿。报告初稿应包括评价的基本情况、内部控制缺陷情况、改进建议等内容。（六）征求意见审计部门将内部控制评价报告初稿征求各业务部门、管理层等相关人员的意见，对反馈意见进行整理和分析，必要时进行补充测试和调整。（七）出具评价报告审计部门根据征求意见后的情况，对评价报告进行修改完善，出具正式的内部控制评价报告。评价报告应经审计部门负责人审核、管理层审批后发布。（八）跟踪改进审计部门负责跟踪检查内部控制改进措施的执行情况，定期对改进效果进行评估。对未按要求落实改进措施的部门和个人，应进行督促和问责。四、内部控制缺陷的认定与整改（一）内部控制缺陷的认定标准1.重大缺陷内部控制中存在的、可能导致公司严重偏离战略目标，或对财务报表产生重大影响，或导致公司重大资产损失、重大违法违规行为的缺陷。如公司治理结构失效，关键岗位人员舞弊导致重大财务造假，重要业务流程失控等情况。2.重要缺陷内部控制中存在的、可能导致公司偏离战略目标，或对财务报表产生较大影响，或导致公司较大资产损失、较大违法违规行为的缺陷。例如，重要业务流程控制存在明显漏洞，影响公司业务正常开展，或内部控制执行存在较大偏差，对财务数据准确性有较大影响等。3.一般缺陷除重大缺陷和重要缺陷以外的其他内部控制缺陷。如一般性业务流程控制存在轻微瑕疵，但不影响整体业务运行和财务报表质量。（二）内部控制缺陷的整改1.制定整改计划：对于认定的内部控制缺陷，责任部门应根据缺陷的性质和影响程度，制定详细的整改计划，明确整改目标、整改措施、整改责任人以及整改期限。2.实施整改措施：责任部门按照整改计划组织实施整改措施，确保整改工作有序推进。在整改过程中，应及时向审计部门报告整改进展情况。3.跟踪检查整改效果：审计部门负责对整改措施的执行情况进行跟踪检查，定期评估整改效果。对整改不到位的情况，应督促责任部门继续整改，直至达到整改要求。4.整改结果报告：整改工作完成后，责任部门应向审