审计事项评价内控制度

PAGE审计事项评价内控制度一、总则（一）目的本制度旨在规范公司审计事项评价内控制度的相关工作，确保公司内部控制体系的有效运行，提高公司运营效率，防范经营风险，保护公司资产安全，促进公司健康稳定发展。（二）适用范围本制度适用于公司总部及各下属子公司、分公司的所有业务活动及管理流程中的内部控制评价工作。（三）基本原则1.全面性原则涵盖公司各个业务领域、各个部门及各级人员，对内部控制进行全面、系统的评价，确保不存在内部控制空白或漏洞。2.重要性原则根据业务活动的风险程度和重要性水平，确定评价重点，关注对公司财务报告、经营目标及合规性有重大影响的关键业务流程和控制环节。3.客观性原则以事实为依据，客观公正地评价内部控制的设计和执行情况，避免主观臆断和偏见。评价过程和结果应真实、准确、可靠。4.及时性原则及时发现内部控制中存在的问题，并根据变化的情况及时调整评价内容和方法，确保评价结果能够反映内部控制的实际运行状况。二、审计事项评价内控制度的职责分工（一）审计部门职责1.负责制定审计事项评价内控制度的年度工作计划，并组织实施。2.组建专业的评价团队，对公司内部控制进行独立、客观的评价，包括内部控制的设计有效性和执行有效性。3.收集、整理和分析与内部控制评价相关的资料和信息，如公司的管理制度、业务流程、财务数据等。4.对评价过程中发现的内部控制缺陷进行识别、评估和分类，提出整改建议，并跟踪整改情况。5.定期向公司管理层和董事会提交内部控制评价报告，汇报内部控制的整体情况、存在的问题及改进建议。（二）各业务部门职责1.负责本部门内部控制制度的建立、健全和完善，并确保其符合国家法律法规、行业标准及公司整体要求。2.配合审计部门开展内部控制评价工作，提供相关资料和信息，协助审计人员进行现场检查和访谈。3.根据审计部门提出的整改建议，制定本部门的整改计划，明确整改措施、责任人和整改期限，认真组织实施整改工作，并及时向审计部门反馈整改情况。（三）管理层职责1.审批审计事项评价内控制度的年度工作计划和评价报告，对内部控制评价工作给予支持和指导。2.对审计部门发现的内部控制重大缺陷进行决策，确定整改方案和资源配置，推动公司内部控制体系的持续优化。3.负责营造良好的内部控制环境，倡导全体员工遵守内部控制制度，确保内部控制文化深入人心。（四）董事会职责1.监督公司内部控制评价工作的开展情况，对内部控制评价报告进行审议。2.根据内部控制评价结果，评估公司整体风险状况，做出相应决策，以保障公司的稳健运营和股东利益。3.负责向股东及监管机构披露公司内部控制的相关信息，确保信息的真实、准确和完整。三、审计事项评价内控制度的内容与方法（一）内部控制环境评价1.公司治理结构评价检查董事会、监事会等治理机构的运作是否规范，职责是否明确，决策程序是否科学。评估独立董事的独立性和履职情况，以及董事会各专业委员会的设立和运行效果。2.企业文化与人力资源政策评价考察公司企业文化是否与公司战略目标相契合，是否能够激励员工积极参与内部控制。审查人力资源政策，包括招聘、培训、绩效考核、薪酬福利等方面，是否有利于吸引和留住优秀人才，促进员工素质的提升与内部控制的有效执行。3.内部审计与监督机制评价评价内部审计部门的独立性、权威性和人员配备情况，是否能够有效开展内部审计工作。检查公司内部监督机制，如风险管理部门、合规管理部门等的职责履行情况，以及各部门之间的监督制衡关系是否健全。（二）风险评估与应对评价1.风险识别与评估体系评价审查公司是否建立了完善的风险识别和评估机制，能够及时、准确地识别内外部风险因素。评估风险评估方法的科学性和合理性，以及风险评估结果对公司决策和内部控制措施的指导作用。2.风险应对策略评价检查公司针对不同风险所采取的应对策略，如风险规避、风险降低、风险分担和风险承受等，是否与公司风险偏好和风险承受能力相匹配。评价风险应对措施的执行效果，是否有效降低了风险发生的可能性或减轻了风险发生后的影响程度。（三）控制活动评价1.业务流程控制评价对公司主要业务流程，如采购与付款、销售与收款、生产与仓储、资金管理等进行详细审查，检查各流程中关键控制点的设置是否合理，控制措施是否有效执行。评估业务流程的信息化程度，是否利用信息技术手段提高了内部控制的效率和效果，减少了人为干预和错误发生的可能性。2.授权审批控制评价审查公司授权审批制度的建立和执行情况，明确各级管理人员的审批权限和责任，确保业务活动经过适当的授权审批。检查授权审批流程是否清晰、规范，是否存在越权审批、未经授权审批或审批流于形式等问题。3.财产保护控制评价评价公司财产保护措施，包括实物资产的定期盘点、资产记录的准确性和完整性、资产安全防护设施的配备等情况，确保公司资产的安全与完整。检查对资产减值准备计提的内部控制，是否符合会计准则和公司规定，是否能够准确反映资产的实际价值。（四）信息与沟通评价1.信息系统建设与运行评价审查公司信息系统的规划、设计和建设是否满足内部控制的要求，是否具备数据采集、处理、存储和传输的准确性、及时性和安全性。评估信息系统的运行维护情况，是否能够及时处理系统故障和数据异常，保障信息系统的稳定运行。2.信息传递与沟通机制评价检查公司内部各部门之间、上下级之间以及与外部利益相关者之间的信息传递渠道是否畅通，信息沟通是否及时、准确、完整。评价公司是否建立了有效的信息反馈机制，能够及时收集和处理内外部信息反馈，为内部控制决策提供依据。（五）内部监督评价1.内部审计工作评价对内部审计部门的工作质量进行评价，包括审计计划的制定与执行、审计程序的合规性、审计证据的充分性和适当性、审计报告的准确性和及时性等方面。检查内部审计发现问题的整改情况，以及内部审计工作对公司内部控制完善和风险防范的促进作用。2.自我评价与监督检查评价评估公司各部门开展自我评价工作的情况，是否定期对本部门内部控制的有效性进行自我评估，并及时发现和纠正存在的问题。检查公司管理层和内部监督部门对各部门内部控制的监督检查频率和力度，是否能够及时发现内部控制缺陷并采取有效措施加以改进。（六）评价方法1.文件审查法查阅公司的各项规章制度、业务流程手册、会计凭证、财务报表等文件资料，了解内部控制的设计和执行情况。2.问卷调查法设计内部控制调查问卷，向公司各级管理人员、员工发放，了解他们对内部控制的认知程度、执行情况以及存在的问题和建议。3.访谈法与公司各部门负责人、关键岗位人员进行面对面访谈，深入了解业务流程中的内部控制实际运作情况，获取第一手信息。4.观察法到公司业务现场进行实地观察，查看业务操作流程、人员工作状态、资产保管情况等，直观感受内部控制的执行效果。5.穿行测试法选择若干具有代表性的业务流程，按照业务发生的先后顺序，对关键控制点进行追踪测试，检查内部控制是否能够有效运行。6.数据分析方法运用数据分析工具，对公司财务数据、业务数据等进行分析，发现数据异常和潜在风险，验证内部控制的有效性。四、审计事项评价内控制度的工作流程（一）制定评价计划审计部门根据公司年度经营目标、风险管理状况和内部控制实际情况，制定年度审计事项评价内控制度工作计划。计划内容包括评价范围、评价内容、评价方法、时间安排、人员分工等。（二）组建评价团队根据评价工作需要，从审计部门及相关业务部门抽调具备专业知识和丰富经验的人员组成评价团队。评价团队成员应熟悉公司业务流程、内部控制制度和审计评价方法，确保评价工作的顺利开展。（三）开展现场评价1.评价团队按照评价计划，深入公司各部门、各业务环节，运用多种评价方法，对内部控制的设计和执行情况进行全面、细致的检查和评估。2.在评价过程中，及时收集相关证据，记录发现的问题和缺陷，并与被评价部门进行沟通确认，确保问题的准确性和客观性。（四）汇总分析评价结果1.评价团队对现场评价收集到的信息和证据进行汇总整理，对发现的内部控制缺陷进行分类、分析，并评估其严重程度。2.根据评价结果，撰写内部控制评价工作底稿，详细记录评价过程、发现的问题及评价结论。（五）编制评价报告1.审计部门根据汇总分析的评价结果，编制内部控制评价报告。报告内容应包括公司内部控制的整体情况、评价范围、评价方法与程序、发现的内部控制缺陷及整改建议等。2.评价报告应客观、准确、清晰，语言简洁明了，便于公司管理层和董事会理解内部控制的运行状况和存在的问题。（六）反馈与沟通1.审计部门将内部控制评价报告初稿反馈给各被评价部门，征求意见。被评价部门应在规定时间内对报告提出书面反馈意见，说明对报告中涉及本部门问题的看法和整改措施。2.审计部门对各部门反馈意见进行认真研究和分析，与相关部门进行沟通协调，达成共识后，对评价报告进行修改完善。（七）提交与审议1.审计部门将最终的内部控制评价报告提交给公司管理层和董事会。管理层应对评价报告进行审阅，了解公司内部控制的整体情况和存在的问题，并做出相应决策。2.董事会对内部控制评价报告进行审议，评估公司内部控制的有效性，对内部控制重大缺陷提出整改要求和决策意见。（八）跟踪整改1.审计部门负责对公司管理层和董事会提出的整改要求进行跟踪落实，督促各责任部门按照整改计划认真组织实施整改工作。2.各责任部门应定期向审计部门汇报整改进展情况，审计部门对整改情况进行检查和评估，确保整改工作按时完成，内部控制缺陷得到有效整改。五、审计事项评价内控制度的内部控制缺陷认定及整改（一）内部控制缺陷的分类1.设计缺陷内部控制设计存在漏洞或不合理之处，导致无法有效防范风险或实现控制目标。例如，关键业务流程中缺少必要的控制环节，授权审批制度设计不完善等。2.执行缺陷内部控制设计虽然合理，但在实际执行过程中未能有效落实到位，导致控制失效。例如，相关人员未严格按照授权审批制度进行操作，业务流程执行过程中出现偏差等。（二）内部控制缺陷的认定标准1.重大缺陷内部控制存在重大漏洞，严重影响公司财务报告的真实性、准确性和完整性，或导致公司经营目标无法实现，对公司产生重大不利影响。如财务造假、重大资产损失、违规经营等问题。2.重要缺陷内部控制存在较大缺陷，对公司财务报告或经营目标有一定影响，但尚未达到重大缺陷的程度。例如，重要业务流程控制失效，可能导致财务数据出现较大偏差或经营风险增加等。3.一般缺陷内部控制存在的缺陷对公司影响较小，不构成重要缺陷或重大缺陷。如一般性的业务操作失误、内部控制执行中的小偏差等。（三）内部控制缺陷的整改1.对于审计部门发现的内部控制缺陷，各责任部门应高度重视，认真分析缺陷产生的原因，制定切实可行的整改措施。整改措施应明确整改责任人、整改期限和整改目标，确保整改工作能够有效落实。2.整改过程中，责任部门应定期向审计部门汇报整改进展情况，及时反馈整改过程中遇到的问题和困难。审计部门对整改情况进行跟踪检查，对整改不力的部门进行督促和指导，确保整改工作按时完成。3.整改完成后，责任部门应向审计部门提交整改报告，说明整改措施的执行情况、整改效果以及对相关内部控制制度的完善情况。审计部门对整改结果进行验收