内部控制评价及监督制度

PAGE内部控制评价及监督制度一、总则（一）目的本制度旨在规范公司内部控制评价及监督工作，确保公司内部控制体系的有效运行，提高公司经营管理水平，防范经营风险，保护公司及股东的合法权益。（二）适用范围本制度适用于公司总部及各子公司、分公司等所属机构。（三）基本原则1.全面性原则内部控制评价应涵盖公司经营管理的各个环节，包括但不限于财务、采购、销售、生产、人力资源等，确保全面评价内部控制体系的有效性。2.重要性原则在全面评价的基础上，应关注重要业务单位、重大业务事项和高风险领域，重点对影响内部控制目标实现的关键环节进行评价。3.客观性原则内部控制评价应依据客观事实，以法律法规、公司规章制度为标准，如实反映内部控制的设计与运行情况，避免主观臆断和人为因素的干扰。4.及时性原则内部控制评价应及时发现内部控制体系中存在的问题，并及时采取措施进行整改，确保内部控制体系的持续有效运行。二、内部控制评价的组织与实施（一）评价主体公司设立内部控制评价工作领导小组（以下简称“领导小组”），负责领导和组织公司内部控制评价工作。领导小组组长由公司董事长担任，副组长由公司总经理担任，成员包括公司其他高级管理人员。领导小组下设内部控制评价工作办公室（以下简称“办公室”），负责内部控制评价的具体组织实施工作。办公室设在公司审计部门，办公室主任由审计部门负责人担任。（二）评价周期公司内部控制评价工作原则上每年开展一次，评价期间为自然年度。如有特殊情况，可根据公司实际需要适时开展专项评价。（三）评价内容内部控制评价的内容主要包括内部控制环境、风险评估、控制活动、信息与沟通、内部监督等五个要素。具体评价内容如下：1.内部控制环境公司治理结构是否健全，股东会、董事会、监事会等治理机构是否有效运作。公司组织架构是否合理，各部门职责权限是否明确，是否存在职能交叉或缺失的情况。人力资源政策是否完善，包括员工招聘、培训、考核、晋升、薪酬福利等方面，是否有利于吸引和留住优秀人才，提高员工素质和工作积极性。企业文化建设是否良好，是否形成积极向上、团结协作、诚实守信的企业文化氛围。2.风险评估公司是否建立了风险评估机制，是否定期对内外部风险进行识别、评估和分析。风险评估的方法是否科学合理，是否能够准确识别公司面临的各类风险，包括市场风险、信用风险、操作风险、合规风险等。针对不同风险是否制定了相应的风险应对策略，风险应对措施是否有效。3.控制活动公司是否制定了涵盖各项业务活动的控制制度和流程，控制制度和流程是否健全、合理、有效。各项控制活动是否得到有效执行，是否存在控制漏洞或执行不力的情况。对关键岗位和关键业务环节是否实施了有效的不相容职务分离控制，是否存在潜在的舞弊风险。4.信息与沟通公司是否建立了有效的信息系统，信息系统是否能够及时、准确、完整地收集、处理和传递与内部控制相关的信息。公司内部各部门之间、上下级之间是否保持了良好的沟通渠道，信息传递是否及时、顺畅，是否存在信息孤岛现象。公司是否建立了有效的信息披露制度，是否及时、准确地向股东、监管机构等披露公司内部控制相关信息。5.内部监督公司是否建立了内部监督机制，内部监督机构是否健全，监督职责是否明确。内部监督工作是否定期开展，监督检查的范围、频率和方法是否合理，是否能够及时发现内部控制体系中存在的问题。对监督检查发现的问题是否及时进行整改，整改措施是否有效，整改结果是否得到跟踪和验证。（四）评价方法内部控制评价可采用多种方法，包括个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等。评价人员应根据评价内容和实际情况，合理选择评价方法，确保评价结果的客观性和准确性。（五）评价工作程序1.制定评价方案办公室根据公司实际情况和内部控制评价工作要求，制定年度内部控制评价方案，明确评价目的、范围、内容、方法、时间安排和人员分工等。评价方案报领导小组审批后实施。2.组建评价工作组办公室根据评价方案，组建内部控制评价工作组，评价工作组由公司内部审计人员、财务人员、业务人员等组成。评价工作组负责具体实施内部控制评价工作。3.实施现场测试评价工作组按照评价方案，对公司各部门、各业务环节的内部控制进行现场测试，收集相关证据，记录测试结果。现场测试可采用询问、观察、检查、重新执行等方法。4.汇总评价结果评价工作组对现场测试结果进行汇总分析，形成内部控制评价报告初稿。评价报告初稿应包括评价目的、范围、方法、发现的问题及整改建议等内容。5.征求意见办公室将内部控制评价报告初稿征求公司各部门、各子公司、分公司等相关单位的意见，各相关单位应在规定时间内反馈意见。办公室对反馈意见进行整理分析，对评价报告初稿进行修改完善。6.提交评价报告内部控制评价报告经领导小组审核通过后，提交公司董事会审议。董事会对评价报告进行审议，并形成决议。评价报告应及时向公司股东、监管机构等披露。7.跟踪整改情况办公室负责跟踪内部控制评价报告中提出的问题整改情况，定期向领导小组汇报整改进展情况。对整改不力的单位和个人，按照公司相关规定进行问责。三、内部控制监督（一）监督主体公司内部审计部门是内部控制监督的主要部门，负责对公司内部控制体系的有效性进行监督检查。同时，公司其他职能部门应按照职责分工，对本部门及所属单位的内部控制执行情况进行日常监督。（二）监督方式1.定期监督检查内部审计部门每年制定内部控制监督检查计划，明确监督检查的范围、内容、方法和时间安排等。监督检查计划报领导小组审批后实施。内部审计部门按照监督检查计划，定期对公司内部控制体系进行全面检查，出具监督检查报告。2.专项监督检查针对公司重大决策、重要业务事项、高风险领域等，内部审计部门可适时开展专项监督检查。专项监督检查应制定详细的检查方案，明确检查目的、范围、内容、方法和人员分工等。专项监督检查结束后，应出具专项监督检查报告。3.日常监督公司各职能部门应按照职责分工，对本部门及所属单位的内部控制执行情况进行日常监督。日常监督可通过内部审计、财务检查、业务检查、风险管理评估等方式进行。各职能部门应定期向内部审计部门报送日常监督情况报告。（三）监督内容内部控制监督的内容主要包括内部控制制度的执行情况、内部控制评价发现问题的整改情况、风险评估及应对措施的有效性等。具体监督内容如下：1.内部控制制度的执行情况检查公司各项内部控制制度是否得到有效执行，是否存在违反内部控制制度的行为。2.内部控制评价发现问题的整改情况跟踪内部控制评价报告中提出的问题整改情况，检查整改措施是否落实到位，整改结果是否符合要求。3.风险评估及应对措施的有效性评估公司风险评估机制的运行情况，检查风险应对措施是否有效，是否能够及时防范和化解各类风险。（四）监督结果处理1.对于监督检查发现的内部控制缺陷，内部审计部门应及时下达整改通知书，要求责任单位限期整改。整改通知书应明确整改要求、整改期限和整改责任人等。2.责任单位应按照整改通知书的要求，制定详细的整改计划，明确整改措施、整改时间和整改责任人等，并将整改计划报内部审计部门备案。3.内部审计部门负责跟踪整改计划的执行情况，定期对整改情况进行检查。整改期限届满后，责任单位应向内部审计部门提交整改报告，内部审计部门对整改结果进行验收。4.对于整改不力的责任单位和个人，公司将按照相关规定进行问责。问责方式包括警告、罚款、降职、撤职等。5.内部审计部门应定期对内部控制监督检查情况进行总结分析，形成内部控制监督检查报告。监督检查报告应包括监督检查的基本情况、发现的问题及整改情况、对公司内部控制体系有效性的评价等内容。监督检查报告报领导小组审批后，向公司董事会汇报，并抄送公司各部门、各子公司、分公司等相关单位。四、信息披露（一）披露原则公司应按照法律法规和监管机构的要求，及时、准确、完整地披露内部控制评价及监督相关信息，确保信息披露的真实性、准确性和完整性。（二）披露内容公司应在年度报告中披露内部控制评价报告，内部控制评价报告应包括以下内容：1.内部控制评价的依据、范围、程序和方法。2.内部控制评价的总体情况，包括内部控制体系的有效性评价、内部控制缺陷的认定及整改情况等。3.内部控制存在的缺陷及整改情况，包括缺陷的性质、影响程度、整改措施及整改期限等