内部控制评价制度

PAGE内部控制评价制度一、总则（一）目的本制度旨在规范公司内部控制评价工作，确保公司内部控制体系的健全性、合理性和有效性，促进公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，实现公司发展战略。（二）适用范围本制度适用于公司总部及所属各子公司、分公司。（三）评价依据1.法律法规：国家相关法律法规，如《中华人民共和国公司法》《中华人民共和国会计法》《企业内部控制基本规范》及其配套指引等。2.行业标准：符合公司所处行业的监管要求和行业通行标准。3.公司制度：公司内部制定的各项管理制度、流程和规范。（四）基本原则1.全面性原则：内部控制评价应涵盖公司及其所属单位的各种业务和事项，对实现控制目标的各个方面进行全面、系统的评价。2.重要性原则：内部控制评价应在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。3.客观性原则：内部控制评价应结合公司实际情况，实事求是，以事实为依据，客观公正地反映内部控制的有效性。4.及时性原则：内部控制评价应及时进行，对发现的内部控制缺陷及时采取措施加以纠正和完善，确保内部控制体系的持续有效运行。二、内部控制评价的组织与实施（一）评价机构公司设立内部控制评价委员会（以下简称“评价委员会”），负责领导和组织公司内部控制评价工作。评价委员会主任由公司董事长担任，副主任由公司总经理担任，成员包括公司各职能部门负责人、内部审计部门负责人等。评价委员会下设办公室，负责内部控制评价的日常工作，办公室设在公司内部审计部门。（二）职责分工1.评价委员会职责制定和修订公司内部控制评价制度；审定内部控制评价方案；审议内部控制评价报告；对内部控制评价中发现的重大问题提出整改意见和建议；其他与内部控制评价相关的重大事项。2.评价委员会办公室职责拟订内部控制评价方案；组织实施内部控制评价工作，包括组建评价工作组、收集评价证据、编制工作底稿等；对评价工作组提交的评价报告进行审核和汇总，编制内部控制评价报告初稿；跟踪督促内部控制缺陷的整改落实情况；其他与内部控制评价相关的日常工作。3.评价工作组职责根据评价方案，对公司各业务流程、内部控制环节进行现场检查和测试；收集、整理评价证据，编制评价工作底稿；对发现的内部控制缺陷进行初步认定，并提出整改建议；向评价委员会办公室提交评价报告。（三）评价周期公司内部控制评价工作原则上每年进行一次，于每年年末至次年年初期间开展。（四）评价程序1.制定评价方案评价委员会办公室根据公司实际情况和年度工作计划，拟订内部控制评价方案，明确评价的目的、范围、方法、步骤、人员分工等内容，报评价委员会审定。评价方案应具有针对性和可操作性，确保评价工作能够全面、准确地反映公司内部控制的实际情况。2.组建评价工作组评价委员会办公室根据评价方案，组建评价工作组。评价工作组应由具备专业知识和丰富经验的人员组成，包括内部审计人员、财务人员、业务骨干等。评价工作组应接受必要的培训，熟悉评价程序和方法，确保评价工作的质量。3.实施现场检查和测试评价工作组按照评价方案确定的范围和方法，对公司各业务流程、内部控制环节进行现场检查和测试。检查和测试的方法包括询问、观察、检查、穿行测试、重新执行等。评价工作组应收集充分、适当的评价证据，形成工作底稿，记录检查和测试的过程及结果。4.认定内部控制缺陷评价工作组根据现场检查和测试的结果，对发现的内部控制缺陷进行初步认定。内部控制缺陷分为设计缺陷和运行缺陷，按照影响程度分为重大缺陷、重要缺陷和一般缺陷。评价工作组应根据缺陷的性质和影响程度，提出整改建议，并及时向评价委员会办公室报告。5.汇总评价结果评价委员会办公室对评价工作组提交的评价报告进行审核，并汇总评价结果。审核过程中，应重点关注评价证据的充分性和适当性、内部控制缺陷的认定是否准确、整改建议是否合理等。审核无误后，编制内部控制评价报告初稿。6.征求意见内部控制评价报告初稿形成后，评价委员会办公室应征求公司各职能部门、所属单位的意见。各部门、各单位应认真组织讨论，提出书面意见和建议。评价委员会办公室对征求到的意见进行整理和分析，对评价报告初稿进行修改完善。7.审议评价报告评价委员会召开会议，审议内部控制评价报告。评价委员会成员应认真听取评价报告的汇报，对评价结果进行充分讨论，并发表意见。评价委员会根据审议结果，对评价报告进行审定，形成最终的内部控制评价报告。8.披露评价报告公司按照相关法律法规和监管要求，在规定的时间内对外披露内部控制评价报告。内部控制评价报告应包括公司内部控制体系的总体情况、内部控制评价的范围和方法、内部控制缺陷的认定及整改情况、对公司内部控制有效性的总体评价等内容。三、内部控制评价的内容与方法（一）评价内容1.内部环境评价治理结构：评价公司治理结构是否健全，董事会、监事会等治理机构是否有效运作，是否能够对公司经营决策进行有效监督和制衡。机构设置与权责分配：评价公司内部机构设置是否合理，各部门之间的职责分工是否明确，权责是否对等，是否存在职能交叉或缺失的情况。内部审计机制：评价公司内部审计机构是否健全，人员配备是否合理，内部审计工作是否能够独立、有效地开展，是否能够对内部控制的有效性进行监督和评价。人力资源政策：评价公司人力资源政策是否完善，是否能够吸引、留住和激励优秀人才，是否有利于员工的职业发展和公司的长远发展。企业文化：评价公司企业文化是否符合公司发展战略，是否能够营造积极向上、团结协作的工作氛围，是否能够增强员工的凝聚力和归属感。2.风险评估评价风险识别与评估：评价公司是否建立了有效的风险识别和评估机制，是否能够及时识别内外部风险因素，对风险发生的可能性和影响程度进行评估，并采取相应的风险应对措施。风险应对策略：评价公司风险应对策略是否合理，是否根据风险评估结果选择了合适的风险应对措施，如风险规避、风险降低、风险分担和风险承受等，是否能够有效控制风险。3.控制活动评价不相容职务分离控制：评价公司是否建立了不相容职务分离制度，对不相容职务是否进行了有效分离，是否能够防止错误和舞弊的发生。授权审批控制：评价公司授权审批制度是否健全，授权审批流程是否规范，是否能够确保各项业务活动在授权范围内进行，避免越权审批。会计系统控制：评价公司会计制度是否完善，会计核算是否准确、及时，财务报告是否真实、完整，是否能够有效防范财务风险。财产保护控制：评价公司财产保护制度是否健全，是否采取了有效的财产保护措施，如财产清查、资产投保等，是否能够确保公司资产的安全完整。预算控制：评价公司预算管理制度是否完善，预算编制是否科学合理，预算执行是否严格有效，是否能够对公司经营活动进行有效控制。运营分析控制：评价公司是否建立了运营分析制度，是否能够定期对公司经营活动进行分析和评价，及时发现问题并采取措施加以解决，是否能够提高公司经营效率和效果。绩效考评控制：评价公司绩效考评制度是否健全，绩效考评指标是否合理，考评过程是否公正、透明，是否能够激励员工积极工作，提高公司整体绩效。4.信息与沟通评价信息系统建设：评价公司信息系统是否健全，是否能够满足公司经营管理的需要，是否能够实现信息的及时、准确传递和共享。信息传递与沟通：评价公司内部各部门之间、公司与外部利益相关者之间的信息传递与沟通是否顺畅，是否能够及时、准确地获取和反馈信息，是否能够有效解决信息不对称问题。反舞弊机制：评价公司是否建立了反舞弊机制，是否能够及时发现和处理舞弊行为，是否能够营造诚实守信、廉洁奉公的工作环境。5.内部监督评价内部监督制度：评价公司内部监督制度是否健全，内部监督机构是否有效运作，是否能够对内部控制的执行情况进行定期检查和评价。内部审计监督：评价公司内部审计工作是否能够独立、有效地开展，是否能够对内部控制的有效性进行监督和评价，是否能够及时发现内部控制缺陷并提出整改建议。自我评价：评价公司是否定期开展内部控制自我评价工作，自我评价报告是否真实、准确，是否能够反映公司内部控制的实际情况，是否能够针对发现的问题及时采取措施加以改进。（二）评价方法1.个别访谈法：与公司内部各部门、各岗位的人员进行个别访谈，了解内部控制的执行情况和存在的问题。2.问卷调查法：设计内部控制调查问卷，向公司内部各部门、各岗位的人员发放，了解他们对内部控制的认知程度和执行情况。3.专题讨论法：组织公司内部各部门、各岗位的人员进行专题讨论，就内部控制的某一领域或某一问题进行深入探讨，分析存在的问题和原因，提出改进建议。4.穿行测试法：选择若干具有代表性的业务流程，按照业务发生的先后顺序，对其进行穿行测试，检查内部控制的执行情况是否符合规定。5.实地查验法：到公司各业务部门、各经营场所进行实地查验，检查内部控制的执行情况是否有效，是否存在违规行为。6.抽样法：从公司的各项业务活动、会计凭证、账簿记录等中抽取一定数量的样本进行检查和测试，以推断总体的内部控制情况。7.比较分析法：将公司的内部控制情况与同行业其他公司进行比较分析，找出差距和不足，提出改进措施。8.标杆法：选取行业内具有先进内部控制水平的公司作为标杆，学习借鉴其先进经验和做法，不断完善公司的内部控制体系。四、内部控制缺陷的认定与整改（一）内部控制缺陷的认定标准1.重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重大缺陷具有以下特征：涉及公司战略目标的实现；影响公司财务报表的真实性和完整性；导致公司重大资产损失或经营失败；引发重大法律纠纷或声誉损害。2.重要缺陷：是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致企业偏离控制目标。重要缺陷具有以下特征：涉及公司重要业务流程的控制；影响公司财务报表的准确性；导致公司较大资产损失或经营风险；引发较大法律纠纷或声誉影响。3.一般缺陷：是指除重大缺陷和重要缺陷之外的其他控制缺陷。一般缺陷具有以下特征：涉及公司一般业务流程的控制；对公司财务报表的影响较小；导致公司较小资产损失或经营风险；引发较小法律纠纷或声誉影响。（二）内部控制缺陷的认定程序1.初步认定：评价工作组在现场检查和测试过程中，发现内部控制存在缺陷的，应及时进行记录，并根据缺陷的性质和影响程度，初步认定为重大缺陷、重要缺陷或一般缺陷。2.审核确认：评价工作组将初步认定的内部控制缺陷提交评价委员会办公室进行审核。评价委员会办公室应组织相关人员对缺陷进行审核，审核过程中应充分收集证据，与评价工作组进行沟通，必要时可咨询外部专家意见。审核无误后，对内部控制缺陷进行最终确认。3.结果通报：评价委员会办公室将审核确认后的内部控制缺陷通报给公司各职能部门、所属单位，并要求各部门、各单位对缺陷进行分析，提出整改措施和建议。（三）内部控制缺陷的整改1.整改责任落实：公司各职能部门、所属单位应根据内部控制缺陷的整改要求，明确整改责任人，制定整改计划，确保整改工作按时、按质完成。2.整改措施制定：整改责任人应针对内部控制缺陷产生的原因，制定具体的整改措施。整改措施应具有针对性和可操作性，能够有效解决内部控制缺陷问题。3.整改过程跟踪：评价委员会办公室应定期对内部控制缺陷的整改情况进行跟踪检查，及时掌握整改工作的进展情况，协调解决整改过程中遇到的问题