内部控制评审制度

PAGE内部控制评审制度一、总则（一）目的本制度旨在规范公司内部控制评审工作，确保公司内部控制体系的健全性、合理性和有效性，防范经营风险，提高公司治理水平和运营效率，保障公司战略目标的实现。（二）适用范围本制度适用于公司总部及各子公司、分公司的内部控制评审活动。（三）基本原则1.全面性原则内部控制评审应涵盖公司经营管理的各个层面和业务流程，包括但不限于财务、采购、销售、生产、人力资源、研发等领域，确保不存在内部控制空白点。2.重要性原则根据风险程度和业务影响范围，确定评审重点，关注对公司财务状况、经营成果和合规性有重大影响的关键业务环节和高风险领域。3.制衡性原则评审内部控制体系中各部门、各岗位之间的职责权限是否明确，是否存在相互制约和监督的机制，避免权力过度集中。4.适应性原则内部控制评审应与公司的经营规模、业务范围、竞争状况和风险水平相适应，并随着公司内外部环境的变化及时进行调整和完善。5.成本效益原则在保证内部控制有效性的前提下，合理权衡成本与效益的关系，以适当的成本实现内部控制目标，避免因过度控制而导致经营效率低下。二、内部控制评审的组织与职责（一）评审委员会公司设立内部控制评审委员会（以下简称“评审委员会”），作为内部控制评审的决策机构。评审委员会由公司高级管理人员、各相关部门负责人等组成，董事长担任主任委员。评审委员会的主要职责包括：1.审批内部控制评审计划和报告；2.审议内部控制评审中发现的重大问题及解决方案；3.监督内部控制评审工作的开展，确保评审工作的独立性、客观性和公正性；4.对内部控制体系的整体有效性进行评估和决策。（二）内部审计部门内部审计部门是公司内部控制评审的牵头部门，负责制定内部控制评审计划、组织实施评审工作、撰写评审报告等。内部审计部门的主要职责包括：1.根据公司战略目标和风险管理要求，制定年度内部控制评审计划，报评审委员会批准后实施；2.组建评审小组，明确小组成员的职责分工；3.收集、整理与内部控制相关的资料和信息，了解公司内部控制的设计和运行情况；4.运用适当的审计方法和程序，对内部控制进行测试和评价，发现内部控制缺陷；5.撰写内部控制评审报告，提出改进建议和措施，并跟踪整改情况；6.定期向评审委员会汇报内部控制评审工作进展情况和结果。（三）各业务部门各业务部门是内部控制的责任主体，负责本部门内部控制制度的建立、执行和完善，并配合内部审计部门开展内部控制评审工作。各业务部门的主要职责包括：1.根据公司内部控制制度和本部门业务特点，制定具体的内部控制操作规程；2.组织本部门员工学习和执行内部控制制度，确保各项业务活动符合内部控制要求；3.对本部门内部控制的有效性进行自我评价，及时发现并纠正存在的问题；4.配合内部审计部门开展现场评审工作，提供相关资料和信息，协助查找内部控制缺陷；5.根据内部控制评审报告和改进建议，制定本部门的整改计划并组织实施。三、内部控制评审的内容与方法（一）评审内容1.内部控制环境公司治理结构是否健全，股东会、董事会、监事会等治理机构的职责权限是否明确，运作是否规范；组织架构是否合理，部门设置和职能划分是否清晰，是否存在职能交叉或缺失的情况；人力资源政策是否完善，包括招聘、培训、绩效考核、薪酬福利等方面，是否有利于吸引和留住优秀人才，促进员工素质提升；企业文化是否倡导诚信、守法、合规等价值观，是否对员工的行为产生积极影响。2.风险评估风险评估体系是否健全，是否能够识别、评估和应对公司面临的内外部风险，包括市场风险、信用风险、操作风险、合规风险等；风险评估方法是否科学合理，是否定期对风险状况进行分析和评估，风险应对措施是否有效；风险预警机制是否建立，能否及时发现潜在风险并发出预警信号。3.控制活动各项业务流程的内部控制制度是否完善，关键控制点是否明确，控制措施是否有效；授权审批制度是否健全，授权范围、审批程序是否合理，是否存在越权审批或未经授权审批的情况；会计系统控制是否有效，财务报告是否真实、准确、完整，会计核算是否符合会计准则和相关法律法规的要求；财产保护控制是否到位，资产的采购、验收、保管、使用、处置等环节是否有相应的控制措施，是否定期进行资产清查；预算控制是否严格，预算编制、执行、调整、考核等环节是否规范，预算执行情况是否得到有效监控。4.信息与沟通信息系统是否能够及时、准确、完整地收集、处理和传递与内部控制相关的信息，信息系统的安全性和稳定性是否得到保障；内部沟通渠道是否畅通，各部门之间、员工之间是否能够及时有效地进行信息交流和共享；外部信息沟通是否良好，公司与客户、供应商、监管机构等外部利益相关者之间是否保持有效的沟通。5.内部监督内部审计机构是否独立设置，人员配备是否充足，是否具备专业的审计知识和技能；内部审计工作是否定期开展，审计范围是否覆盖公司经营管理的各个方面，审计发现的问题是否得到及时整改；自我评价机制是否健全，各业务部门是否定期对本部门内部控制的有效性进行自我评价，自我评价报告是否真实、客观；外部监督机构的监督意见是否得到重视和有效落实，是否根据外部监督意见及时改进内部控制。（二）评审方法1.文件审查查阅公司的各项规章制度、业务流程手册、财务报表、审计报告等文件资料，了解内部控制的设计和执行情况。2.问卷调查设计内部控制调查问卷，向公司员工发放，了解员工对内部控制制度的知晓程度和执行情况，收集员工的意见和建议。3.访谈与公司各级管理人员、业务人员、财务人员等进行访谈，了解内部控制在实际工作中的运行情况，询问他们对内部控制的看法和发现的问题。4.实地观察到公司各业务部门、生产车间、仓库等实地观察业务操作流程，检查内部控制措施的执行情况，观察员工的工作行为是否符合内部控制要求。5.穿行测试选择若干具有代表性的业务流程，按照业务发生的先后顺序，对其从起点到终点进行全程跟踪，检查内部控制是否能够有效防止或发现并纠正错误和舞弊。6.数据分析运用数据分析工具和技术，对公司的财务数据、业务数据等进行分析，查找数据异常情况，发现潜在的内部控制风险。四、内部控制评审的程序（一）制定评审计划内部审计部门根据公司战略目标、风险管理状况和内部控制的实际情况，每年年初制定年度内部控制评审计划。评审计划应明确评审的范围、内容、方法、时间安排、人员分工等，并报评审委员会批准。（二）实施评审工作1.组建评审小组内部审计部门根据评审计划，组建评审小组，成员应具备相关的专业知识和技能，熟悉公司业务和内部控制流程。评审小组应明确各成员的职责分工，确保评审工作有序进行。2.收集资料评审小组通过查阅文件、问卷调查、访谈等方式，收集与内部控制相关的资料和信息，了解公司内部控制的设计和运行情况。3.现场评审评审小组根据评审内容和方法，对公司各业务部门的内部控制进行现场检查和测试。在评审过程中，应详细记录评审发现的问题和证据，并与被评审部门进行沟通和确认。4.数据分析运用数据分析工具和技术，对公司的财务数据、业务数据等进行分析，为内部控制评审提供支持和参考。（三）撰写评审报告评审工作结束后，评审小组应及时撰写内部控制评审报告。评审报告应包括评审的基本情况、内部控制的总体评价、评审发现的问题及原因分析、改进建议和措施等内容。评审报告应客观、公正、准确，语言简洁明了，便于理解。（四）评审报告审批与反馈评审报告经内部审计部门负责人审核后，报评审委员会审批。评审委员会对评审报告进行审议，提出意见和建议，并做出审批决定。内部审计部门应将评审报告及时反馈给各业务部门，要求各部门针对评审发现的问题制定整改计划，并跟踪整改情况。（五）整改跟踪各业务部门应按照整改计划认真组织实施整改工作，并定期向内部审计部门汇报整改进展情况。内部审计部门应对整改情况进行跟踪检查，确保问题得到彻底整改，内部控制得到有效加强。对于整改不力的部门，应按照公司相关规定进行问责。五、内部控制缺陷的认定与分类（一）缺陷认定标准内部控制缺陷是指内部控制体系中存在的设计不健全或执行无效的情况，可能导致公司面临风险，影响公司目标的实现。内部控制缺陷的认定应遵循以下标准：1.重大缺陷内部控制中存在的重大设计缺陷或执行缺陷，可能导致公司严重偏离战略目标，对公司财务状况、经营成果和声誉造成重大负面影响；发现公司存在重大违法违规行为，或因内部控制失效导致重大损失或风险事件。2.重要缺陷内部控制中存在的重要设计缺陷或执行缺陷，可能导致公司偏离战略目标，对公司财务状况、经营成果和声誉产生较大影响；发现公司存在较大风险隐患，或因内部控制问题导致较大损失。3.一般缺陷内部控制中存在的一般设计缺陷或执行缺陷，对公司财务状况、经营成果和声誉的影响较小；发现公司存在一些轻微的内部控制问题，未对公司造成明显损失或风险。（二）缺陷分类内部控制缺陷按照其影响范围和性质可分为财务报告内部控制缺陷和非财务报告内部控制缺陷。1.财务报告内部控制缺陷影响财务报表真实性、准确性和完整性的内部控制缺陷，包括会计核算、财务报告编制、财务信息披露等方面的问题。财务报告内部控制缺陷可能导致公司财务报表出现重大错报、漏报，影响投资者、债权人等利益相关者的决策。2.非财务报告内部控制缺陷除财务报告内部控制缺陷以外的其他内部控制缺陷，包括内部控制环境、风险评估、控制活动、信息与沟通、内部监督等方面的问题。非财务报告内部控制缺陷可能影响公司的运营效率、合规性和风险管理水平，对公司的长期发展产生不利影响。六、内部控制评审结果的应用（一）完善内部控制体系根据内部控制评审结果，对公司内部控制体系进行全面评估，查找存在的薄弱环节和不足之处，及时修订和完善相关内部控制制度和流程，确保内部控制体系的有效性和适应性。（二）加强风险管理针对评审发现的风险点，进一步完善风险评估体系和风险应对措施，加强对各类风险的识别、评估和监控，提高公司风险管理水平，有效防范和化解风险。（三）绩效考核与奖惩将内部控制评审结果纳入公司绩效