合规内部控制评价制度

PAGE合规内部控制评价制度一、总则（一）目的本制度旨在建立健全公司合规内部控制评价体系，通过对公司内部控制的有效性进行全面、系统、独立的评价，及时发现内部控制缺陷，采取有效措施加以改进，确保公司经营活动合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。（二）适用范围本制度适用于公司总部及所属各子公司、分公司等分支机构。（三）评价原则1.全面性原则：评价涵盖公司所有业务活动、管理流程和内部控制环节，包括但不限于财务、采购、销售、人力资源、资产管理等各个方面。2.重要性原则：在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域，重点对可能影响财务报表真实性、资产安全性和经营有效性的内部控制进行评价。3.客观性原则：评价过程和结果应客观公正，以事实为依据，不受主观因素影响，确保评价结果真实可靠。4.及时性原则：及时对内部控制进行评价，发现问题及时反馈并采取措施加以解决，确保内部控制的有效性和适应性。（四）依据本制度依据国家相关法律法规、监管要求以及公司内部管理制度制定，主要包括但不限于《中华人民共和国公司法》、《中华人民共和国会计法》、《企业内部控制基本规范》及其配套指引等。二、评价组织与职责（一）评价领导小组公司成立合规内部控制评价领导小组（以下简称“领导小组”），由公司董事长担任组长，总经理担任副组长，成员包括各副总经理、财务总监等高级管理人员。领导小组负责审批合规内部控制评价计划、审议评价报告、对重大内部控制缺陷提出整改意见和决策等。（二）评价工作小组领导小组下设合规内部控制评价工作小组（以下简称“工作小组”），工作小组设在公司审计部门，由审计部门负责人担任组长，成员包括审计人员、财务人员、法务人员以及各业务部门相关人员。工作小组负责具体实施合规内部控制评价工作，制定评价计划、组建评价小组、实施现场测试、汇总评价结果、撰写评价报告等。（三）各部门职责1.审计部门：作为评价工作的牵头部门，负责组织协调评价工作，制定评价方案，组建评价小组，实施现场测试，汇总评价结果，撰写评价报告，跟踪整改落实情况等。2.财务部门：配合审计部门开展评价工作，提供财务数据支持，协助分析财务相关内部控制的有效性，对财务报表真实性、准确性进行审核等。3.法务部门：参与评价工作，对公司经营活动的合法性进行审查，提供法律意见和建议，协助识别和评估法律风险，审查合同及相关法律文件等。4.各业务部门：负责本部门内部控制的自我评价，配合审计部门开展现场测试工作，提供相关资料和数据，对发现的问题及时进行整改等。三、评价内容与方法（一）评价内容1.内部环境评价：包括公司治理结构、组织架构、人力资源政策、企业文化等方面，评价其是否健全、有效，是否为内部控制的有效运行提供了良好的基础。2.风险评估评价：评估公司风险识别、评估和应对的机制是否完善，是否能够及时识别内外部风险，并采取有效的风险应对措施。3.控制活动评价：对公司各项业务活动和管理流程中的控制措施进行评价，包括但不限于授权审批、不相容职务分离、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等，检查其是否有效执行。4.信息与沟通评价：评价公司信息系统的建设与运行情况，信息传递的及时性、准确性和完整性，以及内部各部门之间、公司与外部利益相关者之间的沟通是否顺畅。5.内部监督评价：检查公司内部监督机制是否健全，内部审计、纪检监察等部门的工作是否有效开展，对内部控制缺陷的发现、报告和整改是否及时。（二）评价方法1.文件审查：查阅公司各项规章制度、业务流程、合同协议、会计凭证、财务报表等相关文件资料，检查内部控制的设计和执行情况。2.问卷调查：设计内部控制调查问卷，向公司各部门员工发放，了解员工对内部控制的认知程度和执行情况，收集相关意见和建议。3.访谈：与公司各级管理人员、业务人员、财务人员、法务人员等进行访谈，了解内部控制在实际工作中的运行情况，发现存在的问题和潜在风险。4.实地观察：到公司各业务部门、分支机构进行实地观察，查看业务操作流程、工作现场环境等，直观了解内部控制的执行情况。5.穿行测试：选取具有代表性的业务流程，按照规定的程序和方法，从头到尾进行追踪，检查内部控制是否能够有效运行，是否能够实现控制目标。6.数据分析：运用数据分析工具和技术，对公司财务数据、业务数据等进行分析，识别异常情况和潜在风险，评估内部控制的有效性。四、评价程序（一）制定评价计划工作小组每年年初根据公司战略目标、业务特点、风险状况以及上一年度内部控制评价结果，制定年度合规内部控制评价计划，明确评价的范围、内容、方法、时间安排、人员分工等，报领导小组审批后实施。（二）组建评价小组根据评价计划，工作小组从公司各部门抽调熟悉业务流程、具备专业知识和技能的人员组成评价小组，明确各小组成员的职责分工。评价小组成员应保持独立性，与被评价对象不存在利益关系。（三）实施现场测试评价小组按照评价计划和确定的评价方法，对公司内部控制进行现场测试。测试过程中，评价人员应详细记录测试情况，收集相关证据，包括文件资料、访谈记录、实地观察记录、调查问卷结果等。（四）汇总评价结果评价小组对现场测试收集的证据进行整理、分析和归纳，汇总各项评价内容的测试结果，识别内部控制缺陷，并对缺陷的性质和严重程度进行评估。（五）撰写评价报告工作小组根据评价结果撰写合规内部控制评价报告，报告内容应包括评价的基本情况、评价依据、评价范围、评价方法、评价发现的主要问题及内部控制缺陷、缺陷的成因分析、整改建议等。评价报告应客观、准确、清晰，语言简洁易懂。（六）报告审议与发布评价报告初稿完成后，提交领导小组审议。领导小组对评价报告进行审核，提出修改意见和建议。工作小组根据审议意见对评价报告进行修改完善后，报领导小组批准发布。评价报告应在公司内部进行通报，并视情况向外部监管机构、股东等相关利益者披露。（七）跟踪整改落实工作小组负责对评价报告中提出的内部控制缺陷整改情况进行跟踪检查，督促各责任部门制定整改计划，明确整改措施、整改责任人、整改期限等，并定期向领导小组汇报整改进展情况。对整改不力的部门和个人，按照公司相关规定进行问责。五、内部控制缺陷认定（一）缺陷分类内部控制缺陷按照其影响程度和性质分为重大缺陷、重要缺陷和一般缺陷。1.重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重大缺陷具有以下特征：影响公司财务报表的真实性、准确性，导致财务报表重大错报；可能引发重大风险事件，对公司声誉、经营业绩、资产安全等造成严重损害；违反国家法律法规或监管要求，受到重大行政处罚等。2.重要缺陷：是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致企业偏离控制目标。重要缺陷具有以下特征：影响公司财务报表的准确性，可能导致财务报表错报；对公司经营活动产生一定影响，可能影响公司的经营效率和效果；存在一定的风险隐患，需要引起关注并及时整改。3.一般缺陷：是指除重大缺陷、重要缺陷之外的其他控制缺陷，一般不会对公司内部控制目标的实现产生实质性影响。（二）认定标准1.财务报告内部控制缺陷认定标准：根据对财务报表错报的影响程度来确定，具体可从错报金额、错报性质、错报频率等方面进行判断。例如，错报金额超过公司净利润的一定比例、错报性质涉及重大会计差错或舞弊行为、错报频率较高等情况，应认定为重大缺陷；错报金额虽未达到重大缺陷标准，但对财务报表有一定影响的，可认定为重要缺陷；错报金额较小且对财务报表影响不大的，认定为一般缺陷。2.非财务报告内部控制缺陷认定标准：综合考虑缺陷对公司经营活动、风险管理、合规经营等方面的影响程度来确定。例如，缺陷导致公司重大业务流程失控、重要资产损失、重大合规风险事件等，应认定为重大缺陷；缺陷对公司经营活动有一定影响，但未达到重大缺陷程度的，认定为重要缺陷；缺陷对公司经营活动影响较小的，认定为一般缺陷。（三）缺陷认定程序1.初步识别：评价小组在现场测试过程中，对发现的内部控制问题进行初步识别，判断是否存在控制缺陷。2.分析评估：对初步识别出的控制缺陷，评价小组从缺陷的影响范围、影响程度、发生频率等方面进行分析评估，判断其属于重大缺陷、重要缺陷还是一般缺陷。3.集体讨论：评价小组组织集体讨论，对控制缺陷的认定结果进行充分讨论和论证，确保认定结果的准确性和客观性。4