审计内部控制评价制度

PAGE审计内部控制评价制度一、总则（一）目的本制度旨在规范公司审计内部控制评价工作，确保公司内部控制体系的有效性、合规性和可靠性，合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。（二）适用范围本制度适用于[公司/组织名称]及其所属各部门、各子公司。（三）基本原则1.全面性原则内部控制评价应涵盖公司及其所属单位的各种业务和事项，对实现控制目标的各个方面进行全面、系统、综合评价。2.重要性原则内部控制评价应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域，重点关注对公司经营、财务、合规等方面有重大影响的内部控制。3.客观性原则内部控制评价应当以事实为依据，客观公正地反映内部控制的设计与运行情况，如实披露评价中发现的问题，避免主观臆断和片面性。4.及时性原则内部控制评价应及时进行，以便及时发现内部控制存在的缺陷，并采取有效措施加以改进，确保内部控制体系的持续有效运行。（四）依据本制度依据《企业内部控制基本规范》、《企业内部控制评价指引》以及国家有关法律法规和公司实际情况制定。二、审计内部控制评价的组织与实施（一）评价主体公司设立审计委员会，负责监督内部控制评价工作。审计部门作为内部控制评价的具体实施部门，负责组织开展内部控制评价工作，制定评价方案，组建评价工作组，实施现场测试，汇总评价结果，编制评价报告等。（二）评价周期内部控制评价工作应定期开展，原则上每年进行一次。对于发生重大事件或存在重大风险的业务和事项，应及时进行专项评价。（三）评价程序1.制定评价方案审计部门根据公司实际情况和内部控制评价工作要求，制定年度内部控制评价方案。评价方案应明确评价目的、范围、方法、步骤、人员分工、时间安排等内容。2.组建评价工作组评价工作组由审计部门人员以及具备相关业务知识和技能的人员组成。评价工作组应熟悉公司业务流程和内部控制制度，具备良好的沟通协调能力和专业素养。3.实施现场测试评价工作组通过询问、观察、检查、穿行测试等方法，对公司内部控制的设计与运行情况进行现场测试。现场测试应涵盖公司各个业务环节和重要岗位，获取充分、适当的证据，以评价内部控制的有效性。4.汇总评价结果评价工作组对现场测试获取的证据进行分析、整理，汇总评价结果，识别内部控制存在的缺陷，并对缺陷的性质和影响程度进行初步判断。5.编制评价报告审计部门根据评价工作组汇总的评价结果，编制内部控制评价报告。评价报告应包括评价目的、范围、方法、主要发现的问题、缺陷汇总及成因分析、整改建议等内容。评价报告应客观、公正、准确地反映公司内部控制的实际情况。三、审计内部控制评价的内容与方法（一）评价内容1.内部环境评价公司治理结构的健全性和有效性，包括股东会、董事会、监事会等治理机构的运作情况。组织架构的合理性，包括部门设置、职责分工、权限划分等是否明确、合理。人力资源政策的完善性，包括员工招聘、培训、考核、晋升、薪酬福利等方面的政策和程序。企业文化的建设情况，包括企业价值观、经营理念、道德规范等方面的培育和传播。2.风险评估评价风险评估机制的健全性，包括风险识别、风险分析、风险应对等环节的制度和流程。风险识别的充分性，是否对公司面临的内外部风险进行了全面、系统的识别。风险评估方法的合理性，是否采用科学、有效的方法对风险进行评估。风险应对策略的有效性，是否针对不同风险采取了合理、有效的应对措施。3.控制活动评价控制活动的设计合理性，是否针对风险评估结果制定了相应的控制措施，控制措施是否能够有效防范风险。控制活动的执行有效性，控制措施是否得到有效执行，是否存在执行偏差或违规行为。不相容职务分离控制的执行情况，是否对不相容职务进行了有效分离，防止错误和舞弊的发生。授权审批控制的执行情况，是否按照规定的权限和程序进行审批，审批流程是否规范、有效。会计系统控制的执行情况，是否建立了健全的会计核算体系，会计信息是否真实、准确、完整。财产保护控制的执行情况，是否采取了有效的财产保护措施，确保资产的安全和完整。预算控制的执行情况，是否建立了完善的预算管理制度，预算编制、执行、调整、考核等环节是否规范、有效。运营分析控制的执行情况，是否建立了有效的运营分析机制，及时发现经营管理中的问题并采取措施加以解决。绩效考评控制的执行情况，是否建立了科学合理的绩效考评体系，绩效考评结果是否与员工薪酬、晋升等挂钩，是否能够有效激励员工提高工作绩效。4.信息与沟通评价信息系统的建设情况，是否建立了完善的信息系统支持内部控制的运行，信息系统是否安全、稳定、可靠。信息传递的及时性和准确性，公司内部各部门之间、公司与外部利益相关者之间的信息传递是否及时、准确、畅通。沟通机制的有效性，是否建立了有效的沟通渠道，员工是否能够及时反馈问题和建议，管理层是否能够及时了解公司运营情况和员工需求。5.内部监督评价内部审计机构的设置和运行情况，内部审计机构是否独立、客观、公正地开展工作，是否能够有效监督内部控制的执行情况。内部审计工作的质量和效果，内部审计是否能够发现内部控制存在的问题，并提出有效的改进建议，是否能够促进公司内部控制体系的不断完善。自我评价机制的健全性，公司是否定期开展内部控制自我评价工作，自我评价报告是否真实、客观、准确。外部监督的有效性，公司是否接受外部审计机构、监管部门等的监督检查，外部监督是否能够发现公司内部控制存在的问题，并促使公司及时整改。（二）评价方法1.个别访谈法通过与公司各级管理人员、员工进行个别访谈，了解公司内部控制的设计与运行情况，获取相关信息和证据。2.问卷调查法设计内部控制调查问卷，向公司各部门、各岗位人员发放，了解他们对内部控制制度的认知程度、执行情况以及存在的问题等。3.穿行测试法选择若干具有代表性的业务流程，按照规定的程序和方法进行穿行测试，检查内部控制在实际业务中的执行情况，验证控制措施的有效性。4.实地查验法对公司的实物资产、办公场所、业务设施等进行实地查验，核实资产的真实性、完整性，检查相关控制措施的执行情况。5.抽样法从公司的业务记录、财务数据、文件资料等中抽取一定数量的样本进行检查，以验证内部控制的有效性。抽样应遵循随机原则，确保样本具有代表性。6.比较分析法将公司的实际经营情况与预算、历史数据、同行业数据等进行比较分析，检查公司经营管理的合规性和有效性，发现内部控制存在的问题。7.专题讨论法针对公司内部控制的某些重要问题或关键环节，组织相关人员进行专题讨论，集思广益，深入分析问题的原因，提出改进建议。四、审计内部控制缺陷的认定与分类（一）缺陷认定标准1.重大缺陷内部控制设计或运行存在重大漏洞，导致公司可能无法及时防范或发现严重偏离经营目标的行为。公司董事、监事和高级管理人员舞弊行为。外部审计机构发现的财务报告重大错报，而内部控制运行未能发现该错报。公司审计委员会和内部审计机构对内部控制监督无效。2.重要缺陷内部控制设计或运行存在缺陷，虽未达到重大缺陷的程度，但可能导致公司偏离经营目标的风险较高。未依照公认的会计准则选择和应用会计政策。对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制机制。对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。3.一般缺陷内部控制设计或运行存在缺陷，除重大缺陷、重要缺陷之外的其他缺陷。（二）缺陷分类内部控制缺陷按其成因分为设计缺陷和运行缺陷；按其影响程度分为重大缺陷、重要缺陷和一般缺陷。五、审计内部控制评价报告（一）报告内容内部控制评价报告应包括以下主要内容：1.基本情况公司概况，包括公司名称、组织架构、经营范围等。评价工作的组织实施情况，包括评价目的、范围、方法、程序等。2.内部控制评价的依据引用的相关法律法规和规范性文件。公司制定的内部控制制度和相关文件。3.内部控制评价的范围涵盖的业务和事项范围。涉及的部门和单位范围。4.内部控制评价的方法采用的评价方法及其说明。5.内部控制评价的结果对内部控制五要素的评价结论，包括内部环境、风险评估、控制活动、信息与沟通、内部监督。识别出的内部控制缺陷汇总，包括缺陷的性质、影响程度、成因分析等。6.改进建议针对内部控制存在的缺陷提出的改进建议，包括改进措施、责任部门、完成时间等。7.其他需要说明的事项对评价过程中发现的其他重要事项或问题的说明。（二）报告编制与报送内部控制评价报告由审计部门负责编制，经审计委员会审核后，报公司董事会审批。内部控制评价报告应在评价工作完成后[规定时间]内报送公司董事会，并按照相关规定对外披露。六、审计内部控制评价结果的应用（一）整改落实公司董事会应根据内部控制评价报告中提出的改进建议，督促相关部门制定整改方案，明确整改措施、责任人和整改期限，确保内部控制缺陷得到及时、有效的整改。整改方案应报审计委员会备案。（二）绩效考核公司应将内部控制评价结果纳入绩效考核体系，对内部控制执行情