审计内部控制评价制度

PAGE审计内部控制评价制度一、总则（一）目的本制度旨在规范公司审计内部控制评价工作，确保公司内部控制体系的有效性、合规性和效率性，合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。（二）适用范围本制度适用于公司总部及所属各子公司、分公司的内部控制评价工作。（三）基本原则1.全面性原则内部控制评价应涵盖公司及其所属单位的各种业务和事项，对实现控制目标的各个方面进行全面、系统、综合评价。2.重要性原则内部控制评价应在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域，重点关注对公司经营、财务、合规等方面有重大影响的关键控制点。3.客观性原则内部控制评价应结合公司实际情况，以事实为依据，客观公正地反映内部控制的有效性，避免主观臆断和片面性。4.及时性原则内部控制评价应及时发现内部控制设计和运行中的缺陷，采取有效措施加以改进，确保内部控制体系的持续有效运行。（四）依据本制度依据《企业内部控制基本规范》、《企业内部控制评价指引》等相关法律法规和行业标准制定。二、审计内部控制评价的组织与实施（一）评价主体与职责1.董事会董事会对内部控制评价报告的真实性负责，应当定期对公司内部控制的有效性进行全面评价、形成评价结论、出具评价报告。2.审计委员会审计委员会负责审查内部控制评价报告，监督内部控制评价工作，协调内部控制评价工作中的重大问题。3.内部审计机构内部审计机构负责组织实施内部控制评价工作，制定评价方案，组建评价工作组，实施现场测试，汇总评价结果，编制评价报告等。4.各职能部门各职能部门负责组织本部门的内部控制自评工作，配合内部审计机构开展内部控制评价工作，提供相关资料和信息，对发现的内部控制缺陷及时进行整改。5.公司管理层公司管理层负责组织领导内部控制评价工作，确保内部控制评价工作的顺利开展，对内部控制评价中发现的问题及时进行决策和整改。（二）评价工作组织1.成立评价领导小组由公司董事长担任组长，总经理担任副组长，各职能部门负责人为成员。评价领导小组负责领导和指导内部控制评价工作，审议评价方案、评价报告等重要事项。2.组建评价工作组内部审计机构根据评价工作需要，抽调熟悉公司业务、具备专业知识和技能的人员组成评价工作组。评价工作组负责具体实施内部控制评价工作，包括制定评价计划、开展现场测试、收集评价证据、编制评价底稿等。（三）评价工作流程1.制定评价方案评价工作组根据公司实际情况和评价目标，制定详细的内部控制评价方案。评价方案应包括评价目的、评价范围、评价方法、评价步骤、人员分工等内容。2.开展评价准备评价工作组收集与内部控制相关的文件、制度、流程、报告等资料，了解公司内部控制的设计和运行情况。同时，对公司各职能部门和业务单位进行问卷调查，了解内部控制的执行情况和存在的问题。3.实施现场测试评价工作组根据评价方案，采用询问、观察、检查、穿行测试等方法，对公司内部控制的关键控制点进行现场测试。现场测试应覆盖公司主要业务流程和重要风险领域，确保测试结果的准确性和可靠性。4.汇总评价结果评价工作组对现场测试中发现的问题进行汇总和分析，确定内部控制缺陷的性质和严重程度。同时，对公司内部控制的整体有效性进行评价，形成评价结论。5.编制评价报告内部审计机构根据评价工作组的评价结果，编制内部控制评价报告。评价报告应包括评价目的、评价范围、评价方法、评价结果、存在的问题及建议等内容。评价报告应客观、公正、准确地反映公司内部控制的有效性，为公司管理层和董事会提供决策依据。6.报告审核与批准内部控制评价报告编制完成后，应提交审计委员会审核。审计委员会审核通过后，报董事会批准。董事会对内部控制评价报告的真实性、准确性和完整性负责。三、审计内部控制评价的内容与方法（一）评价内容1.内部环境评价内部环境评价包括对公司治理结构、机构设置与权责分配、内部审计机制、人力资源政策、企业文化等方面的评价。重点关注公司治理结构的有效性、机构设置的合理性、权责分配的明确性、内部审计的独立性和权威性、人力资源政策的激励性和约束性、企业文化的凝聚力和导向性等。2.风险评估评价风险评估评价包括对公司风险识别、风险分析、风险应对等方面的评价。重点关注公司风险评估体系的健全性、风险识别的准确性、风险分析的科学性、风险应对策略的合理性和有效性等。3.控制活动评价控制活动评价包括对公司各项业务活动和管理活动中所采取的控制措施的评价。重点关注控制活动的设计是否合理、执行是否有效，是否能够有效防范和控制风险，确保公司经营管理目标的实现。4.信息与沟通评价信息与沟通评价包括对公司信息系统的建设与运行、信息传递与共享、内部沟通与外部沟通等方面的评价。重点关注信息系统的安全性、可靠性和有效性，信息传递的及时性和准确性，内部沟通的顺畅性和有效性，外部沟通的合规性和有效性等。5.内部监督评价内部监督评价包括对公司内部审计、监事会监督、管理层自我监督等方面的评价。重点关注内部监督机制的健全性、监督工作的独立性和权威性、监督结果的有效性和利用程度等。（二）评价方法1.个别访谈法通过与公司各级管理人员、业务人员、内部审计人员等进行个别访谈，了解公司内部控制的设计和运行情况，收集相关信息和证据。2.问卷调查法设计内部控制调查问卷，对公司各职能部门和业务单位进行问卷调查，了解内部控制的执行情况和存在的问题。问卷调查应覆盖公司主要业务流程和重要风险领域，确保调查结果的代表性和有效性。3.穿行测试法选择若干具有代表性的业务流程，按照业务发生的先后顺序，对业务流程中的关键控制点进行穿行测试，检查内部控制的执行情况和有效性。穿行测试应覆盖业务流程的各个环节，确保测试结果的准确性和可靠性。4.实地观察法到公司各职能部门和业务单位的工作现场进行实地观察，了解内部控制的执行情况和存在的问题。实地观察应重点关注关键控制点的执行情况，确保观察结果的真实性和客观性。5.抽样检查法按照一定的抽样方法，从公司的相关文件、记录、凭证等中抽取样本进行检查，了解内部控制的执行情况和有效性。抽样检查应确保样本的代表性和随机性，避免抽样误差。6.比较分析法将公司的内部控制情况与同行业先进企业或公司历史数据进行比较分析，找出差距和不足，提出改进建议。比较分析法应选择具有可比性的指标和数据，确保分析结果的科学性和合理性。四、审计内部控制缺陷的认定与整改（一）缺陷认定标准1.重大缺陷重大缺陷是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。重大缺陷的认定标准应根据公司的实际情况和风险承受能力确定，一般应考虑以下因素：影响公司财务报表的真实性和完整性，导致财务报表出现重大错报；影响公司经营管理的合法性和合规性，导致公司面临重大法律风险；影响公司战略目标的实现，导致公司出现重大经营损失或声誉损害。2.重要缺陷重要缺陷是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离控制目标。重要缺陷的认定标准应根据公司的实际情况和风险承受能力确定，一般应考虑以下因素：影响公司财务报表的真实性和完整性，导致财务报表出现重要错报；影响公司经营管理的合法性和合规性，导致公司面临重要法律风险；影响公司经营效率和效果，导致公司出现一定的经营损失或声誉损害。3.一般缺陷一般缺陷是指除重大缺陷和重要缺陷以外的其他控制缺陷。一般缺陷的认定标准应根据公司的实际情况和风险承受能力确定，一般应考虑以下因素：对公司财务报表的真实性和完整性影响较小，导致财务报表出现一般错报；对公司经营管理的合法性和合规性影响较小，导致公司面临一般法律风险；对公司经营效率和效果影响较小，导致公司出现较小的经营损失或声誉损害。（二）缺陷认定程序1.初步认定评价工作组在现场测试和汇总评价结果的过程中，对发现的内部控制缺陷进行初步认定，确定缺陷的性质和严重程度。2.沟通反馈评价工作组将初步认定的内部控制缺陷与公司各职能部门和业务单位进行沟通反馈，听取各方意见和建议，进一步核实缺陷的情况。3.最终认定内部审计机构根据评价工作组的沟通反馈情况，对内部控制缺陷进行最终认定，形成内部控制缺陷认定报告。内部控制缺陷认定报告应包括缺陷的描述、性质、严重程度、影响范围、形成原因等内容。（三）整改措施与跟踪1.制定整改计划针对认定的内部控制缺陷，公司各职能部门和业务单位应制定详细的整改计划，明确整改目标、整改措施、整改责任人、整改期限等内容。整改计划应具有可操作性和可衡量性，确保整改工作能够有效落实。2.实施整改工作公司各职能部门和业务单位应按照整改计划的要求，认真组织实施整改工作。整改工作应明确责任分工，加强协调配合，确保整改工作顺利推进。同时，应建立整改工作台账，及时记录整改工作的进展情况。3.跟踪整改效果内部审计机构负责对整改工作进行跟踪检查，及时了解整改工作的进展情况和整改效果。对整改工作不力的部门和单位，应及时提出批评和督促，确保整改工作按时完成。同时，应定期向审计委员会和董事会报告整改工作情况。4.整改结果评价整改工作完成后，内部审计机构应组织对整改结果进行评价。评价内容包括整改措施的执行情况、整改目标的完成情况、内部控制缺陷是否得到有效解决等。整改结果评价应形成评价报告，报审计委员会和董事会审核。五、审计内部控制评价报告（一）报告内容内部控制评价报告应包括以下内容：1.基本情况介绍公司内部控制评价的目的、范围、依据、方法、组织实施情况等基本信息。2.评价结果对公司内部控制的整体有效性进行评价，包括内部环境、风险评估、控制活动、信息与沟通、内部监督等方面的评价结果。3.存在的问题详细描述公司内部控制存在的缺陷，包括缺陷的性质、严重程度、影响范围、形成原因等内容。4.整改建议针对公司内部控制存在的问题，提出具体的整改建议，包括整改目标、整改措施、整改责任人、整改期限等内容。5.其他事项报告中还应包括其他需要说明的事项，如评价工作中发现的重大问题、对公司未来发展的影响等。（二）报告编制与审核1.报告编制内部审计机构根据评价工作组的评价结果和内部控制缺陷认定报告，编制内部控制评价报告。内部控制评价报告应内容完整、数据准确、逻辑清晰、语言规范。2.报告审核内部控