如何评价内部控制制度

PAGE如何评价内部控制制度一、总则（一）目的本制度旨在建立一套科学、合理、有效的内部控制评价体系，规范公司内部控制评价工作，确保公司内部控制制度的健全性、合理性和有效性，保障公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高公司经营效率和效果，促进公司实现发展战略。（二）适用范围本制度适用于公司及所属各部门、各子公司的内部控制评价工作。（三）评价原则1.全面性原则内部控制评价应涵盖公司经营管理的各个层面和业务环节，包括但不限于治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等，对内部控制体系进行全面评价。2.重要性原则在全面评价的基础上，内部控制评价应关注重要业务单位、重大业务事项和高风险领域，重点关注对公司经营管理有重大影响的关键环节和风险点，合理确定评价范围和重点，提高评价工作的效率和效果。3.客观性原则内部控制评价应基于客观事实，以相关法律法规、行业标准和公司内部控制制度为依据，独立、公正地开展评价工作，确保评价结果真实、准确、可靠。4.及时性原则内部控制评价应及时发现公司内部控制存在的问题和缺陷，并及时采取措施进行整改，确保内部控制制度的有效执行和持续优化。二、内部控制评价的组织与实施（一）评价主体公司设立内部控制评价工作领导小组（以下简称“领导小组”），负责领导和组织公司内部控制评价工作。领导小组组长由公司董事长担任，副组长由公司总经理担任，成员包括公司其他高级管理人员。领导小组下设内部控制评价工作办公室（以下简称“办公室”），负责内部控制评价工作的具体组织实施。办公室设在公司内部审计部门，由内部审计部门负责人兼任办公室主任。公司所属各部门、各子公司应设立相应的内部控制评价工作小组，负责本部门、本子公司内部控制评价工作的具体实施，并向公司内部控制评价工作办公室报告工作进展情况。（二）职责分工1.领导小组职责审批公司内部控制评价工作方案；审议内部控制评价报告；对内部控制评价工作中的重大问题进行决策；领导和监督内部控制评价工作的开展。2.办公室职责制定内部控制评价工作方案；组织实施内部控制评价工作，包括组建评价工作组、制定评价工作底稿、开展现场测试、汇总评价结果等；对评价工作组提交的评价报告进行审核和汇总，形成公司内部控制评价报告初稿；跟踪内部控制缺陷整改情况，定期向领导小组报告整改工作进展；负责与外部审计机构沟通协调内部控制审计相关工作。3.评价工作组职责根据办公室制定的评价工作方案，具体实施内部控制评价工作，包括查阅文档资料、访谈相关人员、实地观察业务流程、实施穿行测试等；对发现的内部控制缺陷进行详细记录，编制评价工作底稿；向办公室提交内部控制评价报告，汇报评价工作开展情况、发现的问题及整改建议。4.各部门、各子公司内部控制评价工作小组职责负责本部门、本子公司内部控制评价工作的具体组织实施，按照公司内部控制评价工作方案的要求，开展自我评价工作；配合评价工作组开展现场测试工作，提供相关资料和数据；对本部门、本子公司存在的内部控制缺陷进行分析，提出整改措施和建议，并负责整改落实；向公司内部控制评价工作办公室提交本部门、本子公司内部控制评价报告。（三）评价周期公司内部控制评价工作每年开展一次，原则上应在年度终了后[X]个月内完成。对于发生重大风险事件或内部控制体系发生重大变化的情况，应及时开展专项内部控制评价工作。（四）评价流程1.制定评价工作方案办公室根据公司年度经营管理目标、内部控制体系建设情况及风险管理要求，制定内部控制评价工作方案。评价工作方案应明确评价目的、范围、方法、步骤、人员分工及时间安排等内容。2.组建评价工作组办公室根据评价工作方案的要求，组建评价工作组。评价工作组应由具备专业知识和丰富经验的人员组成，包括内部审计人员、财务人员、业务骨干等。评价工作组应进行必要的培训，使其熟悉评价工作的流程、方法和标准。3.实施现场测试评价工作组按照评价工作方案的要求，对公司内部控制制度的执行情况进行现场测试。现场测试应采用适当的方法，包括询问、观察、检查、穿行测试等，以获取充分、适当的证据，评价内部控制的有效性。询问：向相关人员询问内部控制制度的执行情况、存在的问题及改进建议。观察：实地观察业务活动的开展情况，检查内部控制制度的执行是否符合规定。检查：查阅相关文件、记录、报告等资料，核实内部控制制度的执行情况。穿行测试：选择若干具有代表性的业务流程，按照业务发生的先后顺序，对其从起点到终点进行全程追踪，检查内部控制制度是否能够有效运行。4.汇总评价结果评价工作组对现场测试获取的证据进行分析和整理，汇总评价结果，编制评价工作底稿。评价工作底稿应详细记录发现的内部控制缺陷，包括缺陷描述、涉及的业务流程、影响程度、原因分析等内容。5.编制评价报告办公室对评价工作组提交的数据和资料进行审核和汇总，形成公司内部控制评价报告初稿。评价报告初稿应包括评价工作的开展情况、内部控制制度的健全性和合理性评价、内部控制有效性评价、发现的内部控制缺陷及整改建议等内容。6.征求意见与审核批准评价报告初稿完成后，应征求公司各部门、各子公司及相关人员的意见。办公室根据反馈意见对评价报告进行修改完善，形成正式的内部控制评价报告。正式的内部控制评价报告经公司内部控制评价工作领导小组审核批准后，予以发布。三、内部控制评价的内容与方法（一）评价内容1.内部环境评价治理结构评价：评价公司治理结构是否健全，包括股东大会、董事会、监事会等治理机构的运作是否规范，职责权限是否明确，决策程序是否科学。机构设置及权责分配评价：评价公司内部机构设置是否合理，部门之间的职责分工是否清晰，权责是否对等，是否存在职能交叉或空白等情况。内部审计评价：评价公司内部审计机构的设置是否合理，人员配备是否充足，工作独立性和权威性是否得到保障，内部审计工作是否有效开展。人力资源政策评价：评价公司人力资源政策是否健全，包括招聘、培训、考核激励、薪酬福利等方面的政策是否合理，是否有利于吸引和留住人才，促进员工的职业发展。企业文化评价：评价公司企业文化建设是否有效，企业文化是否符合公司发展战略，是否能够凝聚员工的共识，形成良好的工作氛围。2.风险评估评价风险识别与评估机制评价：评价公司是否建立了科学有效的风险识别与评估机制，是否能够及时识别内外部风险，并对风险进行评估和分析，确定风险等级。风险应对策略评价：评价公司针对不同风险采取的应对策略是否合理，是否能够有效降低风险对公司经营管理的影响。3.控制活动评价不相容职务分离控制评价：评价公司是否对不相容职务进行了有效分离，是否存在不相容职务由同一人兼任的情况。授权审批控制评价：评价公司授权审批制度是否健全，授权审批流程是否规范，审批权限是否明确，是否存在越权审批或未经授权审批的情况。会计系统控制评价：评价公司会计核算体系是否健全，会计政策和会计估计的选择是否合理，财务报告的编制是否符合会计准则和相关法律法规的要求，财务信息是否真实、准确、完整。财产保护控制评价：评价公司是否建立了有效的财产保护制度，对资产的采购、验收、保管、使用、处置等环节是否进行了有效控制，是否定期对资产进行清查盘点，确保资产的安全完整。预算控制评价：评价公司预算管理制度是否健全，预算编制是否科学合理，预算执行是否严格，预算调整是否规范，是否能够有效发挥预算对公司经营管理的指导和控制作用。运营分析控制评价：评价公司是否建立了运营分析机制，是否能够定期对公司的经营活动进行分析和评价，及时发现问题并采取措施加以解决。绩效考评控制评价：评价公司绩效考评制度是否健全，考评指标是否合理，考评方法是否科学，考评结果是否能够有效应用于员工的薪酬调整、晋升奖励等方面，是否能够激励员工提高工作绩效。4.信息与沟通评价信息系统建设评价：评价公司信息系统建设是否能够满足公司经营管理的需要，信息系统的功能是否完善，数据是否准确、及时、安全，是否能够实现信息的有效共享。信息传递与沟通机制评价：评价公司内部信息传递和沟通渠道是否畅通，信息是否能够及时、准确地传递到相关部门和人员，是否存在信息孤岛现象。反舞弊机制评价：评价公司是否建立了反舞弊机制，是否能够及时发现和处理舞弊行为，是否对舞弊行为进行了严肃追究和整改。5.内部监督评价内部监督机制评价：评价公司内部监督机制是否健全，内部监督部门的职责权限是否明确，监督工作是否有效开展，是否能够及时发现和纠正内部控制存在的问题。自我评价与内部审计评价：评价公司是否定期开展自我评价工作，自我评价报告是否真实、准确，内部审计部门是否能够独立、客观地开展审计工作，审计报告是否能够为公司改进内部控制提供有效依据。（二）评价方法1.个别访谈法通过与公司内部各级管理人员、业务人员、财务人员等进行个别访谈，了解内部控制制度的执行情况、存在的问题及改进建议。2.问卷调查法设计内部控制调查问卷，向公司内部各部门、各子公司发放，收集相关人员对内部控制制度的评价和意见。3.文档审阅法查阅公司的各项规章制度、文件记录、财务报表、审计报告等资料，检查内部控制制度的健全性和执行情况。4.实地观察法实地观察公司业务活动的开展情况，检查内部控制制度的执行是否符合规定。5.穿行测试法选择若干具有代表性的业务流程，按照业务发生的先后顺序，对其从起点到终点进行全程追踪，检查内部控制制度是否能够有效运行。6.数据分析方法运用数据分析工具，对公司的财务数据、业务数据等进行分析，发现内部控制存在的问题和潜在风险。四、内部控制缺陷的认定与整改（一）内部控制缺陷的认定标准1.重大缺陷内部控制缺乏重要控制环节，导致公司经营管理活动无法正常开展，对公司财务报告及相关信息的真实性、完整性产生重大影响。内部控制存在重大漏洞，导致公司面临重大风险，可能造成公司重大损失或声誉损害。内部控制缺陷导致公司违反法律法规或监管要求，受到重大处罚。2.重要缺陷内部控制存在重要控制环节，但执行不到位，对公司财务报告及相关信息的真实性、完整性产生较大影响。内部控制存在一定漏洞，可能导致公司面临较大风险，对公司经营管理产生一定不利影响。内部控制缺陷导致公司部分业务活动无法有效开展，影响公司经营效率和效果。3.一般缺陷内部控制存在一般控制环节，但执行存在一些瑕疵，对公司财务报告及相关信息的真实性、完整性产生较小影响。内部控制存在一些小的漏洞，对公司经营管理的影响较小，不会导致重大风险。（二）内部控制缺陷的认定程序1.评价工作组识别缺陷评价工作组在现场测试过程中，应及时识别发现的内部控制缺陷，并记录在评价工作底稿中。2.初步认定缺陷等级评价工作组根据内部控制缺陷的认定标准，对识别出的缺陷进行初步认定，确定缺陷等级。3.征求意见与审核评价工作组将初步认定的内部控制缺陷及等级向公司各部门、各子公司及相关人员征求意见，并提交办公室审核。办公室对评价工作组提交的内部控制缺陷及等级进行审核，必要时可组织相关人员进行讨论，最终确定内部控制缺陷的等级。（三）内部控制缺陷的整改1.制定整改方案对于认定的内部控制缺陷，责任部门应根据缺陷的性质、影响程度及整改要求，制定详细的整改方案。整改方案应明确整改目标、整改措施、整改责任人、整改期限等内容。2.实施整改措施责任部门按照整改方案的要求，组织实施整改措施。整改过程中，应及时跟踪整改工作进展情况，确保整改措施得到有效执行。3.监督整改落实办公室负责对内部控制缺陷的整改情况进行监督检查，定期向领导小组报告整改工作进展。对于整改不力的部门，应及时督促其加快整改进度，确保整改工作按时完成。4.整改效果评价整改工作完成后，责任部门应提交整改报告，说明整改措施的执行情况及整改效果。办公室组织对整改效果进行评价，验证整改后的内部控制制度是否有效运行，是否能够防止类似缺陷再次发生。如整改效果未达到预期目标，应要求责任部门继续整改，直至达到整改要求。五、内部控制评价报告（一）报告内容内部控制评价报告应包括以下内容：1.评价工作的总体情况评价目的、范围、方法、步骤及人员分工等；评价工作开展的时间及过程。2.内部控制制度的健全性和合理性评价对公司内部控制制度的整体评价，包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的评价；指出内部控制制度存在的主要问题和不足之处。3.内部控制有效性评价对公司内部控制制度执行情况的评价，包括各项控制活动的执行效果、风险应对措施的有效性等；通过评价发现的内部控制有效运行的方面和存在的缺陷情况。4.发现的内部控制缺陷及整改建议详细列示发现的内部控制缺陷，包括缺陷描述、涉及的业务