企业内部控制与内审制度

PAGE企业内部控制与内审制度一、总则（一）目的本制度旨在建立健全公司内部控制体系，规范内部审计工作，防范经营风险，提高公司运营效率和效果，确保公司战略目标的实现，保护公司资产安全，保证财务报告及相关信息真实、完整，促进公司合规经营。（二）适用范围本制度适用于公司总部及所属各子公司、分公司等所有内设机构和全体员工。（三）制定依据本制度依据《中华人民共和国公司法》《中华人民共和国会计法》《企业内部控制基本规范》及其配套指引、《内部审计准则》等相关法律法规和行业标准制定。（四）基本原则1.全面性原则内部控制应贯穿公司决策、执行和监督全过程，覆盖公司及所属单位的各种业务和事项。内部审计应涵盖公司经营活动的各个领域，对内部控制的有效性进行全面监督和评价。2.重要性原则内部控制应在全面控制的基础上，关注重要业务事项和高风险领域。内部审计应重点关注对公司财务状况、经营成果和合规性有重大影响的关键业务环节和风险点。3.制衡性原则内部控制应在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。内部审计机构应独立于被审计对象，与其他职能部门相互监督、相互制衡。4.适应性原则内部控制应与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。内部审计应根据公司发展战略、经营环境和管理要求的变化，适时调整审计重点和方法。5.成本效益原则内部控制应权衡实施成本与预期效益，以适当的成本实现有效控制。内部审计应在保证审计质量的前提下，合理安排审计资源，提高审计工作效率，降低审计成本。二、内部控制（一）内部控制环境1.治理结构完善公司治理结构，明确股东会、董事会、监事会和管理层的职责权限，形成科学有效的职责分工和制衡机制。董事会对内部控制的建立健全和有效实施负责，监事会对董事会建立与实施内部控制进行监督，管理层负责组织领导公司内部控制的日常运行。2.机构设置与权责分配根据公司业务特点和内部控制要求，合理设置内部职能机构，明确各部门的职责权限，避免职能交叉、缺失或权责过于集中。制定各部门的岗位说明书，明确各岗位的职责、工作流程和任职要求，确保不相容岗位相互分离、制约和监督。不相容岗位主要包括：授权审批与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。3.内部审计机制设立独立的内部审计机构，配备具备专业胜任能力的内部审计人员。内部审计机构在董事会或审计委员会的领导下，对公司内部控制的有效性进行监督检查。内部审计机构应制定年度审计计划，明确审计目标、范围和重点，定期对公司内部控制进行审计，并出具审计报告。审计报告应及时报送董事会或审计委员会，并抄送管理层。4.人力资源政策制定科学合理的人力资源政策，吸引、培养和留住优秀人才，建立员工培训和职业发展规划体系，提高员工素质和业务能力。建立健全员工绩效考核制度，将员工的工作业绩与薪酬、晋升、奖励等挂钩，激励员工积极履行职责，遵守公司内部控制制度。5.企业文化培育积极向上的企业文化，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。通过宣传、培训等方式，使全体员工了解公司内部控制制度的内容和要求，自觉遵守内部控制制度，形成良好的内部控制文化氛围。（二）风险评估1.风险识别建立风险识别机制，采用定性与定量相结合的方法，全面、系统、持续地收集与公司经营管理相关的内外部信息，识别公司面临的各种风险，包括但不限于市场风险、信用风险、操作风险、流动性风险、合规风险等。定期对风险识别的方法和结果进行评估，确保风险识别的准确性和及时性。2.风险评估对识别出的风险进行评估，分析风险发生的可能性和影响程度，评估风险等级。风险评估应采用适当的方法，如风险矩阵、情景分析、敏感性分析等。根据风险评估结果，确定风险应对策略。风险应对策略包括风险规避、风险降低、风险分担和风险承受等。对于高风险业务和事项，应采取风险规避策略；对于一般风险业务和事项，应采取风险降低策略；对于部分风险可以通过保险、外包等方式转移的，应采取风险分担策略；对于风险较低且公司能够承受的，应采取风险承受策略。（三）控制活动1.不相容职务分离控制明确各岗位的职责和权限，确保不相容职务相互分离。如授权审批与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等岗位不得由同一人兼任。对不相容职务的分离情况进行定期检查和评价，发现问题及时整改。2.授权审批控制建立健全授权审批制度，明确各级管理人员的授权审批范围、权限、程序和责任。所有业务和事项都应经过适当的授权审批，未经授权不得办理。按照规定的授权审批程序进行审批操作，严禁越权审批。对于重大业务和事项，实行集体决策审批或联签制度。3.会计系统控制依据国家统一的会计准则制度，制定适合公司的会计核算办法，规范会计凭证、账簿和财务报告的处理程序，确保会计信息真实、完整、准确。加强会计人员培训，提高会计人员业务素质和职业道德水平。会计人员应具备必要的专业知识和技能，熟悉国家法律法规和公司财务制度，遵守职业道德规范。建立会计档案管理制度，妥善保管会计凭证、账簿、财务报告等会计资料，确保会计档案的安全和完整。4.财产保护控制建立健全财产管理制度，明确财产清查的范围、期限和组织程序。定期对实物资产进行清查盘点，确保账实相符。加强对财产的日常管理，采取必要的安全防范措施，如防火、防盗、防潮、防虫等，确保财产安全。对贵重资产和关键设备，应实行专人保管，并建立严格的出入库登记制度。对财产清查中发现的盘盈、盘亏、毁损等情况，应及时查明原因，按照规定进行处理，并调整相关会计记录。5.预算控制实行全面预算管理制度，明确预算编制、执行、调整、分析和考核等各环节的职责权限和工作程序。加强预算编制的科学性和准确性，根据公司战略目标和年度经营计划，结合市场情况和历史数据，合理确定预算指标。预算编制应广泛征求各部门意见，确保预算的合理性和可操作性。严格执行预算，加强对预算执行情况的监控和分析，及时发现和解决预算执行过程中出现的问题。对预算执行偏差较大的项目，应及时查明原因，采取有效措施进行调整。建立预算考核制度，将预算执行情况与部门和员工的绩效考核挂钩，激励各部门和员工积极完成预算任务。6.运营分析控制建立运营分析机制，定期收集、分析与公司经营管理相关的各种信息，如财务指标、业务数据、市场动态等，及时发现公司运营中的问题和风险。运用适当的分析方法，如比率分析、趋势分析、因素分析等，对公司运营情况进行深入分析，为管理层决策提供依据。根据运营分析结果，及时调整经营策略和管理措施，优化公司资源配置，提高公司运营效率和效果。7.绩效考评控制建立健全绩效考评制度，明确绩效考评的指标、标准、方法和程序。绩效考评指标应与公司战略目标和岗位职责相结合，具有科学性、合理性和可操作性。定期对员工的工作业绩进行考核评价，将考核结果与薪酬、晋升、奖励等挂钩，激励员工积极履行职责，提高工作绩效。加强对绩效考评结果的分析和反馈，针对考评中发现的问题，及时制定改进措施，帮助员工提升工作能力和业绩。（四）信息与沟通1.信息系统建立健全公司信息系统，确保信息系统的安全、稳定运行，满足公司内部控制的需要。信息系统应涵盖公司经营管理的各个方面，包括财务、业务、人力资源等。加强信息系统的维护和管理，定期对信息系统进行检查、评估和升级，确保信息系统的功能和性能满足公司业务发展的要求。同时，要做好信息系统的安全防护工作，防止信息泄露、篡改和丢失。2.信息传递建立信息传递渠道，确保公司内部各部门之间、公司与外部利益相关者之间信息的及时、准确传递。信息传递应遵循规定的程序和方式，确保信息传递的真实性和完整性。加强对信息传递过程的监控和管理，防止信息在传递过程中出现延误、失真等问题。对重要信息应进行加密传输或专人传递，确保信息安全。3.沟通机制建立健全内部沟通机制，加强公司内部各部门之间的沟通与协作。定期召开公司例会、部门协调会等会议，及时通报公司经营管理情况，协调解决工作中出现的问题。鼓励员工积极参与公司管理，建立员工意见反馈渠道，如设立意见箱、开展员工满意度调查等，及时收集员工的意见和建议，对合理的意见和建议应及时采纳和处理。加强与外部利益相关者的沟通与交流，如股东、债权人、监管机构、客户、供应商等，及时了解外部环境变化和利益相关者的需求，维护公司良好的形象和声誉。（五）内部监督1.日常监督各部门应定期对本部门的内部控制执行情况进行自查自纠，及时发现和解决存在的问题。自查自纠情况应形成书面报告，报送公司管理层。公司管理层应定期对公司内部控制的整体运行情况进行检查和评价，及时发现内部控制中的薄弱环节和问题，并采取有效措施进行整改。2.专项监督内部审计机构应定期或不定期对公司内部控制进行专项审计，对重点业务和高风险领域进行深入检查和评价。专项审计应制定审计方案，明确审计目标、范围、方法和步骤，确保审计工作的质量和效果。根据专项审计结果，出具审计报告，提出改进建议和措施。审计报告应及时报送董事会或审计委员会，并抄送管理层。管理层应根据审计报告提出的建议，组织相关部门进行整改，并将整改情况及时反馈给内部审计机构。3.内部控制评价公司应定期对内部控制的有效性进行自我评价，形成内部控制自我评价报告。内部控制自我评价报告应包括内部控制评价的范围、程序、方法、结果及改进建议等内容。内部控制自我评价报告应经董事会或审计委员会审核通过后，报送给监事会和管理层，并向社会公开披露（如适用）。三、内部审计制度（一）内部审计机构与人员1.机构设置设立独立的内部审计机构，直接对董事会或审计委员会负责。内部审计机构应配备与公司规模、业务范围相适应的内部审计人员，内部审计人员应具备审计、财务、经济、法律等相关专业知识和技能。2.人员职责内部审计机构负责人负责组织领导内部审计工作，制定内部审计计划，审核内部审计报告，协调内部审计与其他部门的关系等。内部审计人员应按照内部审计准则和公司内部审计制度的要求，实施审计工作，收集审计证据，编制审计工作底稿，撰写审计报告，提出审计建议，并对审计工作质量负责。（二）内部审计目标与范围1.审计目标对公司内部控制的有效性进行监督检查，评价内部控制制度的健全性、合理性和有效性，发现内部控制中的问题和缺陷，并提出改进建议，促进公司内部控制体系的不断完善。对公司财务收支、经营活动及其他经济活动的真实性、合法性和效益性进行审计监督，防范经营风险，提高公司运营效率和效果，保护公司资产安全。对公司内部管理的合规性进行审计监督，确保公司各项经营活动符合国家法律法规、政策规定和公司内部规章制度的要求。2.审计范围内部审计的范围涵盖公司总部及所属各子公司、分公司的财务收支、资产负债、经营成果、内部控制、风险管理、重大投资项目、重要经济合同等所有与公司经营管理相关的活动和事项。（三）内部审计程序1.审计计划内部审计机构应根据公司年度经营计划、内部控制评价结果、风险管理状况及其他相关因素，制定年度审计计划。年度审计计划应明确审计目标、范围、重点、时间安排和人员分工等内容。年度审计计划应报经董事会或审计委员会批准后实施。在审计计划执行过程中，如有必要，可以根据实际情况对审计计划进行调整，但应报经批准。2.审计实施内部审计人员应根据审计计划，制定具体的审计方案，明确审计步骤、方法和时间安排等。审计方案应报经内部审计机构负责人批准后实施。内部审计人员应按照审计方案的要求，实施审计工作。审计过程中，应收集充分、适当的审计证据，编制审计工作底稿，记录审计过程和结果。审计证据应包括书面证据、实物证据、视听证据、电子数据等。内部审计人员在审计过程中应保持独立性和客观性，遵守职业道德规范，不得与被审计对象串通舞弊，不得泄露审计工作中知悉的公司商业秘密和内部信息。3.审计报告审计工作结束后，内部审计人员应撰写审计报告。审计报告应包括审计概况、审计依据、审计发现的问题、审计结论、审计建议等内容。审计报告应客观、公正、准确，语言简洁明了，数据真实可靠。审计报告应征求被审计对象的意见，被审计对象应在规定的时间内反馈意见。内部审计人员应对被审计对象的反馈意见进行认真分析和研究，如与审计报告内容存在重大分歧，应进一步核实情况，必要时可以进行补充审计。审计报告经内部审计机构负责人审核后，报送给董事会或审计委员会，并抄送管理层。审计报告应及时送达被审计对象，被审计对象应按照审计报告提出的建议进行整改，并将整改情况及时反馈给内部审计机构。（四）后续跟踪1.跟踪检查内部审计机构应建立后续跟踪机制，对审计建议的执行情况进行跟踪检查。跟踪检查应定期进行，检查被审计对象是否按照审计报告提出的建议进行整改，整改措施是否有效，整改结果是否达到预期目标。跟踪检查可以采用现场检查、书面报告、问卷调查等方式进行，确保跟踪检查工作的质量和效果。2.结果处理如发现被审计对象未按照审计报告提出的建议进行整改或整改不力，内部审计机构应及时向董事会或审计委员会报告，并提出进一步的处理建议。董事会或审计委员会应根