内部控制制度评价流程

PAGE内部控制制度评价流程一、总则（一）目的本评价流程旨在对公司内部控制制度的健全性、合理性和有效性进行全面、系统的评价，以发现内部控制存在的缺陷和不足，提出改进建议，确保公司内部控制体系的持续优化，保障公司运营的合规性、资产的安全性和财务报告的可靠性，促进公司战略目标的实现。（二）适用范围本流程适用于公司总部及各下属子公司、分公司的内部控制制度评价工作。涵盖公司各项业务活动、管理流程以及信息系统等涉及内部控制的各个方面。（三）评价依据1.国家相关法律法规，如《中华人民共和国公司法》《中华人民共和国会计法》《企业内部控制基本规范》及其配套指引等。2.行业监管要求和标准，根据公司所处行业特点，遵循行业主管部门发布的有关内部控制的规定。3.公司内部制定的各项规章制度、业务流程、操作手册等，这些是内部控制制度的具体体现，也是评价的直接依据。（四）基本原则1.全面性原则评价应涵盖公司内部控制的各个层面和环节，包括但不限于治理结构、机构设置及权责分配、业务流程、风险评估、控制活动、信息与沟通、内部监督等要素，确保不留死角。2.重要性原则在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。对影响内部控制目标实现的关键环节和风险点进行重点评价，合理确定评价范围和重点，提高评价工作的效率和效果。3.客观性原则评价过程应实事求是，以客观事实为依据，避免主观臆断和偏见。评价人员应保持独立、公正的态度，如实反映内部控制的实际情况，确保评价结果的真实性和可靠性。4.适应性原则评价应与公司的业务性质、规模、经营管理特点及风险状况相适应。根据公司内外部环境的变化，及时调整评价的内容和方法，确保评价工作能够有效反映公司内部控制的实际状况。二、评价组织与职责（一）评价领导小组公司成立内部控制制度评价领导小组（以下简称“领导小组”），由公司董事长担任组长，总经理担任副组长，成员包括各副总经理、财务总监等高级管理人员。领导小组负责全面领导内部控制制度评价工作，审批评价计划、评价报告等重要文件，对评价工作中发现的重大问题进行决策。（二）评价工作小组领导小组下设评价工作小组，成员由内部审计部门、风险管理部门、财务部门及其他相关业务部门的人员组成。评价工作小组在领导小组的领导下，具体实施内部控制制度评价工作。其职责包括：1.制定评价计划，明确评价目标、范围、方法、步骤和时间安排等。2.组织实施现场测试和非现场测试，收集、整理评价证据。3.对收集的证据进行分析、评价，识别内部控制缺陷，提出改进建议。4.编制内部控制制度评价报告，向领导小组汇报评价工作进展情况和评价结果。（三）各部门职责1.内部审计部门负责牵头组织内部控制制度评价工作，制定评价方案和工作流程。对评价工作进行统筹协调，指导评价工作小组开展具体工作。对评价发现的问题进行深入分析，提出整改建议，并跟踪整改落实情况。定期对内部控制制度的有效性进行评估，向领导小组提交内部控制评价年度报告。2.风险管理部门协助内部审计部门开展评价工作，提供风险评估相关资料和数据。参与识别内部控制中的风险点，评估风险发生的可能性和影响程度。对评价结果进行风险分析，提出风险管理建议，促进内部控制与风险管理的有效结合。3.财务部门负责提供财务相关的内部控制制度及执行情况资料。协助评价工作小组对财务收支、资金管理、财务报告等方面的内部控制进行评价。对评价发现的财务内部控制问题提出专业意见，参与整改措施的制定和实施。4.其他业务部门负责提供本部门业务范围内的内部控制制度及执行情况资料。配合评价工作小组开展现场测试和访谈等工作，如实反映本部门内部控制的实际情况。根据评价结果，对本部门内部控制存在的问题进行整改，完善相关制度和流程。三、评价内容（一）治理结构1.检查公司股东大会、董事会、监事会等治理机构的设置是否健全，职责权限是否明确。2.评估治理机构之间的运作是否有效，是否存在相互制衡的机制，决策程序是否规范。（二）机构设置及权责分配1.审查公司内部各部门、各岗位的设置是否合理，职能是否明确，是否存在职能交叉或缺失的情况。2.检查公司是否制定了清晰的权责分配制度，各部门、各岗位的职责和权限是否得到有效落实，不相容职务是否相互分离。（三）业务流程1.对公司主要业务流程进行梳理，包括采购、生产、销售、研发、投资、筹资等环节。2.检查各业务流程是否设计合理，关键控制点是否明确，是否有相应的控制措施，如审批、授权、复核等。3.评估业务流程的执行情况，是否存在流程执行不到位、违规操作等问题。（四）风险评估1.审查公司是否建立了风险评估机制，是否定期对内外部风险进行识别、评估和分析。2.检查风险评估的方法和工具是否科学合理，风险应对策略是否有效，是否根据风险评估结果及时调整内部控制措施。（五）控制活动1.检查公司是否针对不同风险采取了相应的控制活动，如不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。2.评估控制活动的执行效果，是否能够有效防范风险，确保业务活动的正常开展。（六）信息与沟通1.审查公司是否建立了有效的信息系统，信息系统是否能够及时、准确地收集、处理和传递与内部控制相关的信息。2.检查公司内部各部门之间、公司与外部利益相关者之间的沟通渠道是否畅通，信息传递是否及时、准确，是否存在信息孤岛现象。3.评估公司是否建立了信息反馈机制，对信息沟通中发现的问题是否能够及时进行处理和改进。（七）内部监督1.检查公司是否建立了内部监督机制，内部监督机构是否健全，职责是否明确。2.评估内部监督的频率和范围是否合理，监督方法是否有效，是否能够及时发现内部控制中的问题并提出改进建议。3.审查公司对内部监督发现问题的整改情况，是否建立了整改跟踪机制，整改措施是否有效落实。四、评价方法（一）文件审查查阅公司内部规章制度、业务流程手册、操作指南、财务报表、审计报告、会议记录等文件资料，了解内部控制制度的设计和执行情况。（二）访谈与公司各级管理人员、业务人员、财务人员等进行面对面访谈，询问内部控制制度的执行情况、存在的问题及改进建议。访谈人员应覆盖不同部门和岗位，确保访谈的全面性和代表性。（三）问卷调查设计内部控制调查问卷，发放给公司相关人员，了解他们对内部控制制度的认知程度、执行情况和意见建议。通过对问卷结果的统计分析，发现内部控制存在的共性问题和薄弱环节。（四）现场观察到公司各业务部门、办公场所进行实地观察，查看业务操作流程、人员工作状态、资产保管情况等，直观了解内部控制制度的执行效果。（五）穿行测试选择若干具有代表性的业务流程，按照规定的程序和方法从头到尾进行追踪，检查相关控制措施是否得到有效执行，是否能够实现控制目标。（六）数据分析收集和分析公司的财务数据、业务数据等，通过数据分析工具和技术，发现数据异常情况，揭示内部控制可能存在的问题。例如，分析财务指标的变动趋势、业务数据的匹配性等。五、评价步骤（一）计划阶段1.内部审计部门根据公司年度工作计划和内部控制实际情况，制定内部控制制度评价计划。评价计划应明确评价的目标、范围、方法、步骤、时间安排以及人员分工等内容。2.评价计划报领导小组审批后实施。在实施过程中，如因特殊情况需要调整评价计划，应及时报领导小组批准。（二）准备阶段1.评价工作小组根据评价计划，收集与内部控制相关的文件资料，包括公司内部规章制度、业务流程、财务报表、审计报告等。2.设计评价所需的文件审查清单、访谈提纲、调查问卷等工具。3.组织评价人员进行培训，使其熟悉评价流程、方法和相关法规政策，明确评价工作的要求和纪律。（三）实施阶段1.评价人员按照分工，运用文件审查、访谈、问卷调查、现场观察、穿行测试、数据分析等方法，对内部控制制度的各个方面进行评价。2.在评价过程中，评价人员应详细记录评价证据，包括发现的问题、相关证据资料、访谈记录、调查问卷结果等。3.定期召开评价工作小组会议，沟通评价工作进展情况,讨论评价过程中发现的问题，对初步认定的内部控制缺陷进行分析和判断。（四）报告阶段1.评价工作小组根据评价结果，编制内部控制制度评价报告。评价报告应包括评价的基本情况、内部控制制度的健全性、合理性和有效性评价、发现的内部控制缺陷及分类、整改建议等内容。2.评价报告初稿形成后，征求公司各部门的意见，对反馈意见进行分析和研究，必要时进行补充调查和核实。3.评价工作小组根据征求意见后的情况，对评价报告进行修改完善，报领导小组审核。领导小组审核通过后，出具正式的内部控制制度评价报告。（五）整改阶段1.公司根据评价报告中提出的内部控制缺陷，制定整改方案，明确整改责任部门、整改措施、整改期限等。2.整改责任部门按照整改方案组织实施整改工作，定期向领导小组汇报整改进展情况。3.内部审计部门对整改情况进行跟踪检查，确保整改措施得到有效落实。对整改不力的部门和个人，按照公司相关规定进行问责。4.整改完成后，内部审计部门对整改效果进行评价，验证内部控制缺陷是否得到消除，内部控制制度是否得到完善和优化。六、内部控制缺陷认定与分类（一）缺陷认定标准1.重大缺陷内部控制中存在的、可能导致企业严重偏离控制目标的一个或多个缺陷的组合。重大缺陷可能影响公司的合规经营、财务报告可靠性、资产安全等关键方面，对公司的声誉和可持续发展造成重大不利影响。例如，公司高级管理人员舞弊导致重大财务损失，或内部控制失效导致公司违反法律法规受到重大处罚等情况。2.重要缺陷内部控制中存在的、其严重程度低于重大缺陷，但仍有可能导致企业偏离控制目标的一个或多个缺陷的组合。重要缺陷可能对公司的经营效率、效果产生较大影响，或在一定程度上影响财务报告的可靠性。例如，关键业务流程控制失效，导致业务活动出现频繁差错或延误，影响公司业绩等情况。3.一般缺陷内部控制中存在的、除重大缺陷和重要缺陷之外的其他缺陷。一般缺陷对公司的影响较小，通常不会导致公司偏离控制目标，但仍需关注并及时改进，以不断完善内部控制体系。例如，某些非关键业务流程的控制措施执行不够严格，但未对整体业务产生明显不利影响等情况。（二）缺陷分类1.设计缺陷内部控制制度在设计方面存在的缺陷，即制度本身的设计未能合理保证控制目标的实现。例如，某项业务流程缺乏必要的审批环节，或不相容职务未得到有效分离等。2.运行缺