内部控制评价审计制度

PAGE内部控制评价审计制度一、总则（一）目的本制度旨在建立健全公司内部控制评价审计体系，规范内部控制评价审计工作，确保公司内部控制的有效运行，保护公司资产安全，提高公司经营管理水平和风险防范能力，促进公司战略目标的实现。（二）适用范围本制度适用于公司总部及所属各子公司、分公司等各级机构。（三）基本原则1.全面性原则内部控制评价审计应涵盖公司经营管理的各个方面，包括但不限于财务、采购、销售、人力资源、生产运营等业务流程，以及内部控制环境、风险评估、控制活动、信息与沟通、内部监督等要素。2.重要性原则根据风险程度和业务影响范围，确定重点关注领域和关键控制点，对重要业务事项和高风险领域进行重点评价审计。3.客观性原则内部控制评价审计应基于客观事实，以法律法规、行业标准和公司内部规章制度为依据，独立、公正地开展工作，确保评价审计结果真实、准确。4.及时性原则及时发现和纠正内部控制存在的问题，对内部控制缺陷进行跟踪整改，确保内部控制的持续有效运行。（四）依据本制度依据《企业内部控制基本规范》、《企业内部控制评价指引》、《企业内部控制审计指引》等相关法律法规和行业标准制定。二、内部控制评价审计机构及人员（一）机构设置公司设立内部控制评价审计委员会（以下简称“委员会”），作为公司内部控制评价审计工作的决策机构。委员会成员由公司高级管理人员、内部审计部门负责人及其他相关人员组成，主任委员由公司董事长担任。委员会下设内部控制评价审计办公室（以下简称“办公室”），负责内部控制评价审计的日常组织和协调工作。办公室设在公司内部审计部门，办公室主任由内部审计部门负责人兼任。（二）职责分工1.委员会职责审议批准内部控制评价审计制度、工作计划、报告等重要文件。监督内部控制评价审计工作的开展，协调解决工作中遇到的重大问题。对内部控制评价审计结果进行审议，提出改进意见和建议。其他与内部控制评价审计相关的重大决策事项。2.办公室职责制定内部控制评价审计制度、工作计划、工作方案等具体文件。组织实施内部控制评价审计工作，包括组建评价审计小组、开展现场检查、收集审计证据、编制审计工作底稿等。对内部控制评价审计结果进行汇总分析，撰写评价审计报告，提出审计意见和建议。跟踪督促内部控制缺陷的整改落实情况，定期向委员会报告整改工作进展。负责与外部审计机构的沟通协调，配合外部审计机构开展相关工作。其他与内部控制评价审计相关的日常工作。3.评价审计小组职责按照办公室制定的工作计划和工作方案，具体实施内部控制评价审计工作，对所负责的业务领域或部门进行详细检查和评价。收集、整理审计证据，编制审计工作底稿，如实记录审计过程和发现的问题。对发现的内部控制缺陷进行初步认定，提出整改建议，并及时向办公室汇报。配合办公室完成内部控制评价审计报告的撰写工作。（三）人员配备公司配备具备专业知识和技能的内部控制评价审计人员，包括内部审计人员、财务人员、风险管理专家等。评价审计人员应具备良好的职业道德、专业素养和沟通协调能力，熟悉公司业务流程和内部控制制度。内部审计部门应定期组织评价审计人员参加培训和学习，不断提高其业务水平和综合素质，以适应内部控制评价审计工作的需要。三、内部控制评价审计内容（一）内部控制环境评价1.治理结构评价公司治理结构是否健全，董事会、监事会等治理机构是否有效运作，各治理主体之间的职责权限是否明确。2.机构设置与权责分配检查公司内部组织机构设置是否合理，部门之间的职责分工是否清晰，各项业务流程是否明确了相应的岗位和职责，是否存在职能交叉或空白的情况。3.内部审计机制评估公司内部审计机构的独立性、权威性和有效性，内部审计工作是否能够对公司内部控制的有效性进行监督和评价，是否能够及时发现和纠正内部控制存在的问题。4.人力资源政策审查公司人力资源政策是否完善,包括员工招聘、培训、考核、晋升、薪酬福利等方面的政策，是否有利于吸引和留住优秀人才，是否能够促进员工素质的提高和公司业务的发展。5.企业文化评价公司企业文化建设情况，企业文化是否符合公司战略目标，是否能够凝聚员工的向心力，是否有利于内部控制的有效执行。（二）风险评估评价1.风险识别与评估检查公司是否建立了风险识别与评估机制，是否能够及时识别内外部风险因素，对风险发生的可能性和影响程度进行评估，并确定风险等级。2.风险应对策略评估公司针对不同风险等级所采取的风险应对策略是否合理有效，包括风险规避、风险降低、风险分担和风险承受等策略，是否能够将风险控制在可承受范围内。（三）控制活动评价1.不相容职务分离控制检查公司是否对不相容职务进行了合理分离，如授权审批与业务执行、业务执行与会计记录、会计记录与财产保管等职务是否相互分离，是否存在不相容职务由一人兼任的情况。2.授权审批控制评价公司授权审批制度是否健全，授权审批的范围是否明确，审批流程是否规范，各级管理人员的审批权限是否合理，是否存在越权审批或未经授权审批的情况。3.会计系统控制审查公司会计核算体系是否健全，会计政策和会计估计是否合理，会计凭证、账簿、报表等会计资料是否真实、完整、准确，财务报告是否能够真实反映公司财务状况和经营成果。4.财产保护控制检查公司是否建立了财产保护制度，对货币资金、实物资产、无形资产等财产的保管、使用、处置等环节是否进行了有效的控制，是否采取了必要的数据安全措施，确保财产安全。5.预算控制评估公司预算管理制度是否完善，预算编制、执行、调整、考核等环节是否规范，预算是否能够对公司经营活动起到有效的控制作用，是否能够合理配置资源，提高公司经济效益。6.运营分析控制审查公司是否建立了运营分析机制，是否能够运用各种分析方法和工具，对公司经营活动的信息进行分析和比较，及时发现经营活动中存在的问题，为决策提供依据。7.绩效考评控制评价公司绩效考评制度是否健全，绩效考评指标是否合理，考评方法是否科学，考评结果是否能够与员工薪酬、晋升、奖惩等挂钩，是否能够激励员工积极工作，提高工作效率和质量。（四）信息与沟通评价1.信息系统建设检查公司信息系统建设情况，信息系统是否能够满足公司经营管理的需要，是否能够实现信息的及时、准确、完整传递，是否具备有效的安全防护措施，防止信息泄露和系统故障。2.信息传递与沟通评估公司内部各部门之间、公司与外部利益相关者之间的信息传递与沟通是否顺畅，是否建立了有效的信息沟通渠道，如内部报告制度、会议制度、信息公开制度等，信息是否能够及时、准确地传达给相关人员。3.反舞弊机制审查公司是否建立了反舞弊机制，是否明确了反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，是否能够及时发现、调查和处理舞弊行为，是否对举报人的权益进行了保护。（五）内部监督评价1.内部监督机制评价公司内部监督机制是否健全，内部监督是否能够对内部控制的有效性进行持续监督和评价，是否能够及时发现内部控制存在的缺陷和问题，并提出改进建议。2.内部审计工作检查公司内部审计机构的工作开展情况，内部审计计划是否合理，审计程序是否规范，审计报告是否真实、准确、客观，内部审计发现的问题是否得到了及时有效的整改。3.自我评价评估公司是否定期开展内部控制自我评价工作，自我评价的范围是否全面，评价方法是否科学，评价结果是否能够真实反映公司内部控制的有效性，是否能够为公司改进内部控制提供依据。四、内部控制评价审计工作程序（一）制定计划办公室每年应根据公司战略目标、经营管理重点和内部控制实际情况，制定年度内部控制评价审计工作计划。工作计划应明确评价审计的范围、内容、方法、时间安排、人员分工等事项，并报委员会批准。（二）组建小组根据工作计划，办公室组建内部控制评价审计小组。评价审计小组应由具备专业知识和技能的人员组成，成员应熟悉公司业务流程和内部控制制度。评价审计小组设组长一名，负责组织实施评价审计工作。（三）实施评价审计1.准备阶段评价审计小组收集与评价审计相关的法律法规、行业标准、公司内部规章制度等文件资料，了解公司基本情况、业务流程和内部控制制度，制定具体的评价审计工作方案。工作方案应明确评价审计的具体步骤、方法、时间安排和人员分工等内容。2.现场检查阶段评价审计小组按照工作方案，深入公司各部门、各业务环节开展现场检查。通过查阅文件资料、访谈相关人员、实地观察、问卷调查等方式，收集内部控制运行的证据，对内部控制的设计和执行情况进行评价。在现场检查过程中，评价审计人员应如实记录检查情况，编制审计工作底稿。3.缺陷认定阶段评价审计小组对现场检查发现的问题进行分析和整理，依据相关标准对内部控制缺陷进行初步认定。内部控制缺陷分为设计缺陷和运行缺陷，按照影响程度分为重大缺陷、重要缺陷和一般缺陷。评价审计小组应提出整改建议，并及时与被检查部门沟通确认。4.汇总分析阶段办公室对各评价审计小组的工作成果进行汇总分析，综合考虑公司整体内部控制情况，撰写内部控制评价审计报告初稿。报告初稿应包括评价审计的基本情况、内部控制评价审计的结果、内部控制缺陷的认定及整改建议等内容。（四）报告评价审计结果内部控制评价审计报告初稿形成后，应征求公司各部门、各子公司、分公司等相关单位的意见。评价审计小组对反馈意见进行分析研究，对报告初稿进行修改完善，形成正式的内部控制评价审计报告。正式报告经办公室审核后，报委员会审议。委员会对内部控制评价审计报告进行审议，提出审议意见。办公室根据委员会审议意见，对报告进行进一步修改完善，报公司管理层批准后，向公司内部各部门、各子公司、分公司等相关单位通报内部控制评价审计结果，并按照规定对外披露。（五）跟踪整改办公室负责跟踪督促内部控制缺陷的整改落实情况。被检查部门应按照整改建议制定整改计划，明确整改措施、责任人和整改期限，并及时向办公室报送整改情况。办公室应对整改情况进行定期检查和评估，确保整改工作按时完成，内部控制缺陷得到有效整改。对于重大内部控制缺陷，办公室应及时向委员会报告整改工作进展情况，委员会可根据整改情况对相关责任单位和责任人进行问责。五、内部控制评价审计方法（一）文件审查法通过查阅公司的规章制度、文件记录、会计凭证、账簿报表等资料，了解公司内部控制的设计和执行情况。（二）访谈法与公司各级管理人员、业务人员、财务人员等进行面对面交流，了解其对内部控制的认识和理解，以及内部控制在实际工作中的执行情况。（三）观察法实地观察公司各部门、各业务环节的工作流程和操作过程，检查内部控制是否得到有效执行，是否存在违规操作或内部控制漏洞。（四）问卷调查法设计内部控制调查问卷，向公司员工发放，了解员工对内部控制制度的知晓程度和执行情况，收集员工对内部控制的意见和建议。（五）穿行测试法选取公司重要业务流程，按照规定的业务处理程序，对从起点到终点的全过程进行追踪，检查内部控制是否能够有效防止、发现和纠正错误与舞弊。（六）抽样测试法按照一定的方法从公司业务活动或会计记录中抽取部分样本进行检查，以样本的检查结果推断总体的特征，评估内部控制的有效性。六、内部控制评价审计报告（一）报告内容内部控制评价审计报告应包括以下主要内容：1.引言简要介绍内部控制评价审计的目的、范围、依据和方法。2.公司基本情况概述公司的组织架构、业务范围、经营规模等基本信息。3.内部控制评价审计的总体情况说明内部控制评价审计工作的开展情况，包括评价审计的范围、内容、方法、时间安排等。4.内部控制评价审计结果详细阐述公司内部控制的设计和执行情况，对内部控制的有效性进行评价，指出存在的内部控制缺陷及其影响程度。5.内部控制缺陷认定及整改建议对内部控制缺陷进行分类认定，提出整改建议，明确整改责任单位和整改期限。6.其他需要说明的事项如评价审计过程中发现的其他重大问题、对公司内部控制建设的意见和建议等。（二）报告格式内部控制