怎样评价内部控制制度

PAGE怎样评价内部控制制度一、总则（一）目的本制度旨在建立一套科学、有效的内部控制评价体系，规范公司内部控制评价工作，确保公司内部控制制度的健全性、合理性和有效性，保障公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。（二）适用范围本制度适用于公司及所属各部门、各子公司的内部控制评价工作。（三）基本原则1.全面性原则：内部控制评价应涵盖公司所有业务活动、管理流程和环节，包括但不限于财务、采购、销售、生产、人力资源等各个领域，确保不存在内部控制空白。2.重要性原则：在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域，重点评价对公司经营管理有重大影响的内部控制制度的设计和执行情况。3.客观性原则：内部控制评价应基于客观事实，以证据为依据，避免主观臆断和偏见。评价过程和结果应真实、准确、公正，不受任何部门、个人的干扰和影响。4.及时性原则：内部控制评价应及时发现内部控制存在的问题和缺陷，并及时采取措施进行整改和完善，确保内部控制的有效性能够持续适应公司内外部环境的变化。二、内部控制评价的组织与实施（一）评价主体公司董事会对内部控制评价工作负责，监事会对董事会建立与实施内部控制进行监督，管理层负责组织实施内部控制评价工作，内部审计部门具体负责内部控制评价的组织、协调和实施工作。（二）评价周期公司原则上每年进行一次内部控制评价工作，必要时可根据实际情况进行专项评价。（三）评价人员内部控制评价工作应由具备专业知识和技能的人员组成评价小组进行实施。评价人员应熟悉公司业务流程、内部控制制度及相关法律法规和行业标准，具有良好的职业道德和独立、客观、公正的工作态度。评价小组成员应保持相对稳定，如有变动应及时进行调整。（四）评价方法1.文件审查：查阅公司各项管理制度、业务流程、操作手册、会议记录、文件档案等，检查内部控制制度的设计是否健全、合理。2.访谈：与公司各级管理人员、员工进行面对面交流，了解内部控制制度的执行情况、存在的问题及改进建议。3.问卷调查：设计内部控制调查问卷，向相关人员发放，了解其对内部控制制度的认知程度和执行情况。4.实地观察：深入公司各业务部门、经营场所，实地观察业务操作流程、人员工作状态等，检查内部控制制度的实际执行效果。5.穿行测试：选择具有代表性的业务流程，按照规定的程序和方法，对其从起点到终点进行全程跟踪，检查内部控制制度是否得到有效执行。6.数据分析：收集、整理和分析公司各类业务数据，通过数据分析发现内部控制可能存在的问题和异常情况。（五）评价程序1.制定评价方案：内部审计部门根据公司年度工作计划和实际情况，制定内部控制评价方案，明确评价的目的、范围、方法、步骤、人员分工等内容。评价方案应报经管理层批准后实施。2.组建评价小组：根据评价方案的要求，组建内部控制评价小组，明确小组成员的职责分工。3.开展评价工作：评价小组按照评价方案确定的方法和程序，对公司内部控制制度的设计和执行情况进行全面、深入的评价。在评价过程中，应收集充分、适当的证据，记录评价过程和结果。4.编制评价报告：评价工作结束后，评价小组应根据评价结果编制内部控制评价报告。评价报告应包括评价的基本情况、内部控制制度的健全性和合理性评价、内部控制制度的有效性评价、存在的问题及整改建议等内容。评价报告应经内部审计部门负责人审核签字后报管理层。5.反馈与沟通：管理层应将内部控制评价报告及时反馈给公司各部门及子公司，组织相关人员进行沟通和讨论，听取意见和建议。对于评价报告中提出的问题和整改建议，各部门及子公司应认真对待，积极采取措施进行整改。内部审计部门应跟踪整改情况，确保整改工作落实到位。6.结果运用：公司应将内部控制评价结果纳入绩效考核体系，与各部门及子公司的业绩考核、薪酬分配等挂钩。对于内部控制评价中发现的重大问题和缺陷，应追究相关人员的责任。同时，内部控制评价结果还应作为公司完善内部控制制度、优化业务流程、加强风险管理的重要依据。三、内部控制制度的健全性评价（一）内部控制环境评价1.治理结构：检查公司是否建立健全了规范的公司治理结构，明确了股东会、董事会、监事会和管理层的职责权限，形成了科学有效的决策、执行和监督机制。2.机构设置与权责分配：评估公司内部机构设置是否合理，各部门之间的职责分工是否明确，是否存在职能交叉、推诿扯皮等现象。检查公司是否制定了详细的岗位职责说明书，明确了各岗位的工作内容、职责权限、工作流程和考核标准。3.内部审计机制：审查公司是否设立了独立的内部审计部门，内部审计部门的人员配备是否充足、专业素质是否符合要求。检查内部审计部门是否制定了明确的工作章程和审计计划，是否能够独立、客观、公正地开展审计工作，对公司内部控制制度的执行情况进行监督和评价。4.人力资源政策：评价公司是否制定了合理有效的人力资源政策，包括员工招聘、培训、考核、薪酬、晋升等方面。检查公司是否注重员工的职业道德教育和专业技能培训，是否建立了激励约束机制，以提高员工的工作积极性和责任感。5.企业文化：考察公司是否培育了积极向上、团结协作、诚实守信的企业文化，企业文化是否与公司的发展战略相契合，是否能够对员工的行为起到引导和约束作用。（二）风险评估与应对评价1.风险识别与评估：检查公司是否建立了风险识别与评估机制，是否能够及时识别内外部环境变化可能带来的风险，如市场风险、信用风险、操作风险、合规风险等。评估公司是否对识别出的风险进行了科学的分析和评估，确定了风险的等级和影响程度。2.风险应对策略：审查公司是否针对不同等级的风险制定了相应的风险应对策略，如风险规避、风险降低、风险分担、风险承受等。检查公司的风险应对措施是否有效，是否能够将风险控制在可承受的范围内。（三）控制活动评价1.不相容职务分离控制：检查公司是否对不相容职务进行了合理分离，如授权审批与业务执行、业务执行与会计记录、会计记录与财产保管等。评估公司是否建立了有效的不相容职务分离制度，防止舞弊和错误的发生。2.授权审批控制：审查公司是否明确了授权审批的范围、权限、程序和责任，是否建立了规范的授权审批制度。检查公司各项业务活动是否经过适当的授权审批，授权审批是否存在越权、滥用职权等现象。3.会计系统控制：评价公司是否建立了健全的会计核算体系，会计凭证、账簿、报表等是否真实、完整、准确。检查公司是否制定了严格的财务管理制度，规范了财务收支、资金结算、成本核算等业务流程，确保财务信息的质量。4.财产保护控制：检查公司是否采取了有效的财产保护措施，如财产定期清查、资产投保、限制未经授权人员接触财产等。评估公司财产保护制度的执行情况，是否能够确保公司资产的安全完整。5.预算控制：审查公司是否建立了全面预算管理制度，是否对预算的编制、执行、调整、考核等环节进行了有效的控制。检查公司预算的准确性和合理性，预算执行情况是否得到严格监控，预算调整是否符合规定程序。6.运营分析控制：评价公司是否建立了运营分析机制，是否定期对公司的运营情况进行分析和评价，及时发现存在的问题和潜在风险。检查公司运营分析报告是否能够为管理层决策提供有力支持，是否能够促进公司提高运营效率和效果。7.绩效考评控制：检查公司是否建立了科学合理的绩效考评制度，是否明确了绩效考评的指标、标准、方法和程序。评估公司绩效考评结果是否与员工的薪酬、晋升、奖励等挂钩，是否能够激励员工积极工作，提高工作绩效。（四）信息与沟通评价1.信息系统建设：审查公司是否建立了完善的信息系统，信息系统是否能够满足公司业务发展和管理决策的需要。评估信息系统的安全性、稳定性和可靠性，是否存在信息泄露、系统故障等风险。2.信息传递与沟通：检查公司内部各部门之间、公司与外部利益相关者之间的信息传递渠道是否畅通，信息沟通是否及时、准确、有效。评估公司是否建立了信息共享平台，是否能够实现信息的实时共享和交流。3.反舞弊机制：评价公司是否建立了反舞弊机制，是否明确了反舞弊的重点领域、关键环节和工作程序。检查公司是否鼓励员工举报舞弊行为，对于发现的舞弊事件是否能够及时进行调查和处理，严肃追究相关人员的责任。（五）内部监督评价1.内部监督机制：审查公司是否建立了健全的内部监督机制，内部监督是否能够覆盖公司所有业务活动和管理流程。评估内部监督的独立性和权威性，内部监督部门是否能够独立开展监督检查工作，监督检查结果是否能够得到有效利用。2.内部审计监督：检查公司内部审计部门是否按照规定的程序和方法定期对公司内部控制制度的执行情况进行审计监督，审计报告是否能够及时、准确地反映内部控制存在的问题和缺陷。评估内部审计部门提出的审计建议是否得到有效落实，公司是否针对审计发现的问题及时进行整改。3.自我评价与持续改进：评价公司是否定期组织各部门及子公司开展内部控制自我评价工作，自我评价报告是否真实、客观、准确。检查公司是否能够根据自我评价结果和内外部环境的变化，及时对内部控制制度进行修订和完善，实现内部控制的持续改进。四、内部控制制度的合理性评价（一）内部控制制度设计的合理性1.与公司战略目标的契合度：评估内部控制制度的设计是否紧密围绕公司的战略目标展开，是否能够为公司战略的实现提供有力支持。检查内部控制制度的各项措施和要求是否与公司的业务特点、经营模式相适应，是否能够有效防范战略风险。2.控制环节的完整性：审查内部控制制度是否涵盖了公司所有重要的业务活动和管理环节，是否存在控制盲点。检查各项控制措施之间是否相互衔接、相互补充，形成了一个完整的内部控制体系。3.控制措施的适当性：评价内部控制制度所采取的控制措施是否合理、有效，是否能够达到控制目标。检查控制措施是否具有可操作性，是否能够在实际工作中得到有效执行。（二）内部控制制度执行的合理性1.制度执行的有效性：检查内部控制制度是否得到有效执行，各项控制措施是否在实际工作中发挥了应有的作用。评估公司是否存在有章不循、违规操作等现象，内部控制制度的执行效果是否符合预期目标。2.执行过程的合规性：审查公司在执行内部控制制度过程中是否严格遵守国家法律法规、行业标准和公司内部规定，是否存在违法违规行为。检查公司各项业务活动是否按照规定的程序和方法进行操作，是否存在越权审批、擅自更改业务流程等问题。3.执行监督的有效性：评价公司对内部控制制度执行情况的监督检查是否及时、有效，监督检查结果是否能够及时反馈给相关部门和人员，并督促其进行整改。检查公司是否建立了健全的执行监督机制，是否能够对内部控制制度的执行情况进行全程跟踪和监控。五、内部控制制度的有效性评价（一）内部控制目标的实现程度1.经营管理合法合规：检查公司是否遵守国家法律法规、行业标准和监管要求，是否存在违法违规行为。评估公司内部控制制度是否能够有效防范法律风险，确保公司经营管理活动合法合规。2.资产安全：审查公司是否采取了有效的资产保护措施，确保公司资产的安全完整。检查公司资产的保管、使用、处置等环节是否符合规定程序，是否存在资产流失、浪费等现象。3.财务报告及相关信息真实完整：评价公司财务报告及相关信息是否真实、准确、完整，是否能够为投资者、债权人等利益相关者提供可靠的决策依据。检查公司财务核算、信息披露等环节是否符合会计准则和相关法规的要求，是否存在财务造假、信息误导等问题。4.经营效率和效果：评估公司内部控制制度是否有助于提高公司的经营效率和效果，是否能够促进公司资源的合理配置和有效利用。检查公司各项业务流程是否顺畅，是否存在流程繁琐、效率低下等问题，内部控制制度是否能够对经营效率和效果产生积极影响。5.发展战略：审查公司内部控制制度是否与公司发展战略相匹配，是否能够为公司战略的实施提供保障。评估公司内部控制制度是否能够有效防范战略风险，促进公司实现长期可持续发展。（二）内部控制缺陷的认定1.内部控制缺陷的分类：根据内部控制缺陷的影响程度和性质，将其分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标；重要缺陷是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离控制目标；一般缺陷是指除重大缺陷、重要缺陷以外的其他控制缺陷。2.内部控制缺陷的认定标准：制定明确的内部控制缺陷认定标准，包括定性标准和定量标准。定性标准主要考虑控制缺陷对公司目标实现的影响程度、发生的可能性等因素；定量标准主要根据控制缺陷导致的财务损失、经营业绩下降等具体指标来确定。3.内部控制缺陷的识别与评估：评价小组在内部控制评价过程中，应及时识别和发现内部控制存在的缺陷，并按照认定标准对缺陷的严重程度进行评估。对于识别出的内部控制缺陷，应详细记录缺陷的性质、影响范围、可能导致的后果等信息。（三）内部控制有效性的综合评价1.内部控制有效性的总体评价：根据对内部控制制度健全性、合理性和有效性的评价结果，对公司内部控制的整体有效性进行综合评价。评价结果应明确指出公司内部控制制度是否有效，是否能够合理保证公司实现内部控制目标。2.内部控制有效性评价报告：编制内部控制有效性评价报告，报告应包括评价的基本情况、内部控制制度的健全性评价、合理性评价、有效性评价、存在