内部控制评价与监管制度

PAGE内部控制评价与监管制度一、总则（一）目的本制度旨在建立健全公司内部控制评价与监管体系，确保公司内部控制的有效性、合规性和稳健性，保护公司资产安全，提高公司运营效率和效果，促进公司战略目标的实现。（二）适用范围本制度适用于公司总部及各下属子公司、分公司，涵盖公司所有业务活动、职能部门和工作岗位。（三）基本原则1.全面性原则：内部控制评价与监管应涵盖公司所有业务流程、环节和人员，确保不留死角。2.重要性原则：根据业务活动的风险程度和对公司整体目标的影响，确定重点评价与监管领域，关注重大风险和关键环节。3.制衡性原则：通过合理设置职能部门和岗位，明确职责权限，形成相互制约、相互监督的工作机制。4.适应性原则：内部控制评价与监管制度应与公司经营规模、业务范围、竞争状况和风险水平相适应，并随着公司内外部环境的变化及时进行调整和完善。5.成本效益原则：在确保内部控制有效性的前提下，合理权衡成本与效益的关系，以适当的成本实现最佳的控制效果。二、内部控制评价（一）评价机构与人员1.公司设立内部控制评价委员会，负责领导和组织内部控制评价工作。评价委员会成员包括公司高级管理人员、各职能部门负责人等。2.评价委员会下设办公室，负责内部控制评价的具体组织实施工作。办公室设在公司内部审计部门，由内部审计部门负责人兼任办公室主任。3.公司组建内部控制评价小组，成员由内部审计人员、财务人员、业务骨干等组成。评价小组负责对公司内部控制的设计和运行有效性进行检查和评价。（二）评价范围与内容1.评价范围：内部控制评价应涵盖公司治理结构、内部机构设置与职责分工、人力资源政策、企业文化、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等各个方面。2.评价内容：内部控制设计的有效性：检查公司各项内部控制制度是否符合国家法律法规和行业标准的要求，是否涵盖了公司经营管理的各个环节，是否针对风险点设置了合理的控制措施，是否明确了各部门和岗位的职责权限，是否具有可操作性。内部控制运行的有效性：通过询问、观察、检查、穿行测试、重新执行等方法，对公司内部控制制度的执行情况进行检查，评价其是否得到有效执行，是否能够及时发现和纠正存在的问题，是否能够有效防范风险。（三）评价程序与方法1.评价准备阶段：制定年度内部控制评价工作计划，明确评价的范围、内容、方法、时间安排和人员分工等。收集与内部控制评价相关的法律法规、政策文件、行业标准、公司规章制度等资料。了解公司业务流程、组织结构、经营管理状况等基本情况，确定评价重点和关键环节。2.评价实施阶段：评价小组按照评价工作计划，对公司内部控制的设计和运行有效性进行检查和评价。采用适当的方法收集评价证据，如查阅文件资料、访谈相关人员、实地观察业务活动、抽取样本进行测试等。对收集到的评价证据进行分析和整理，形成评价工作底稿。3.评价报告阶段：评价小组根据评价工作底稿，撰写内部控制评价报告，对公司内部控制的设计和运行有效性进行总体评价，指出存在的问题和缺陷，并提出改进建议。内部控制评价报告经评价委员会审核后，报公司董事会审议。公司董事会对内部控制评价报告进行审议，并出具内部控制自我评价报告，向社会公开披露。（四）评价结果与反馈1.评价结果分类：内部控制评价结果分为有效、基本有效、存在缺陷和重大缺陷四个等级。有效：公司内部控制制度设计合理，运行有效，能够有效防范风险，实现公司战略目标。基本有效：公司内部控制制度设计基本合理，运行基本有效，但存在一些小的问题和缺陷，需要进行改进。存在缺陷：公司内部控制制度存在明显的设计或运行缺陷，对公司经营管理产生一定影响，需要及时采取措施进行整改。重大缺陷：公司内部控制制度存在严重的设计或运行缺陷，可能导致公司重大风险，对公司经营管理产生重大不利影响，必须立即进行整改。2.反馈与整改：评价委员会将内部控制评价结果反馈给公司各部门和岗位，要求其针对存在的问题和缺陷制定整改措施，限期整改。内部审计部门负责跟踪整改情况，对整改效果进行检查和评价。整改完成后，相关部门应向评价委员会提交整改报告，评价委员会对整改情况进行审核确认。三、内部控制监管（一）监管机构与职责1.公司监事会负责对公司内部控制进行监督检查，对内部控制评价工作进行指导和监督，对内部控制评价报告进行审核。2.公司内部审计部门负责具体实施内部控制监管工作，定期对公司内部控制制度的执行情况进行检查和评价，及时发现和纠正存在的问题，对内部控制评价工作进行组织和协调。3.公司各职能部门负责本部门内部控制制度的建立和执行，配合内部审计部门开展内部控制监管工作，及时向内部审计部门报告本部门内部控制制度执行过程中存在的问题。（二）监管方式与频率1.监管方式：日常监督：各职能部门在日常工作中对本部门内部控制制度的执行情况进行自我检查和监督，及时发现和纠正存在的问题。专项监督：内部审计部门根据公司经营管理的需要，定期或不定期对公司内部控制的某一领域或某一关键环节进行专项检查和评价，深入查找存在的问题和风险。风险评估：通过对公司内外部环境的分析和评估，识别公司面临的风险，评估内部控制制度对风险的防范能力，及时调整和完善内部控制制度。2.监管频率：内部审计部门每年至少对公司内部控制进行一次全面检查和评价。各职能部门应每月对本部门内部控制制度的执行情况进行一次自我检查，并向内部审计部门报告检查结果。对于重大风险领域和关键环节，内部审计部门应随时进行专项监督检查。（三）违规处理与责任追究1.对于违反内部控制制度的行为，公司将视情节轻重，给予相应的处罚，包括警告、罚款、降职、撤职等。2.对于因内部控制失效导致公司资产损失或其他重大不利后果的，公司将依法追究相关责任人的责任，包括经济赔偿责任、行政责任和刑事责任等。四、信息沟通与披露（一）信息沟通机制1.建立健全公司内部信息沟通制度，明确信息传递的渠道、方式、流程和责任，确保公司内部信息能够及时、准确、完整地传递到相关部门和人员。2.加强公司各部门之间的沟通与协作，定期召开工作协调会、业务研讨会等，及时解决工作中存在的问题，促进公司整体运营效率的提高。3.建立公司内部信息管理系统，实现公司内部信息的自动化处理和共享，提高信息传递的效率和准确性。（二）信息披露要求1.公司应按照国家法律法规和监管要求，定期对外披露公司内部控制评价报告和内部控制自我评价报告，确保信息披露的真实、准确、完整。2.公司内部控制评价报告和内部控制自我评价报告应包括公司内部控制的基本情况、评价范围与内容、评价程序与方法、评价结果与反馈、存在的问题与改进措施等内容。3.公司应在年度报告中详细披露公