内部控制评价办法（暂行）

1、内部控制评价办法（暂行）广晟有色金属股份有限公司内部控制评价办法（暂行）x年3月目录第一章 编制目的3第二章 内部控制评价的基本3第三章 内部控制评价程序和方法41.组织形式42.评价程序53.评价方法64.评价频率7第四章 内部控制评价内容与要求71. 公司层面内部控制评价72. 流程层面内部控制评价8第五章 内部控制缺陷的认定及整改101.内部控制缺陷的分类及认定102.内部控制缺陷的汇总133.内部控制缺陷的整改134.整改结果的验证15第六章 内部控制评价报告16第一章 编制目的 本手册主要用于贯彻落实内部控制管理要求公司董事会和管理层定期或组织对公司重要内部控制管理的设计和执行情况进

2、行检查评价，及时发现内部控制缺陷，提出和实施改进方案，满足监管规则的要求，不断强化内部控制执行力，有效控制公司主要风险，持续提升管理水平。内部控制评价的基本 1. 公司层面内部控制评价 公司层面控制是指对公司控制目标的实现具有重大影响，与内部环境 、 风险评估、信息与沟通、内部监督直接相关的控制。公司层面控制是内控梳理工作的起点 是业务流程控制的基础。公司层面控制的缺陷往往会对整个内部控制的有效性产生重大影响。测试公司层面控制，应当把握重要性原则，至少应当关注： （1）与内部环境有关的控制。 （2）针对董事会、经理层凌驾于控制之上的风险而设计的控制。 （3）公司的风险评估过程。 （4）对内部信

3、息传递和财务报告流程的控制。 （5）对控制有效性的内部监督和自我评价。 公司层面控制环境是整个内控活动的前提和基础，对公司内控的效率和效果起关键作用。针对控制环境关键要素进行评价，能直接反映出各单位的公司层面控制环境建立、维护和执行情况。各单位应结合公司实际情况，将公司层面内部控制环境细分，针对具体要素，设定具体控制活动和检查方法。2. 流程层面内部控制评价 流程层面控制是指公司在实际业务操作中，综合运用各种控制手段和方法，针对具体业务和事项实施的控制。流程层面控制评价的基础是流程，从主要风险出发，按照重要性的原则，根据流程中的具体风险、管理重点和责任主体，进行控制活动的评估和内部控制的自我检

4、查和评价。 评价工作组应当按照评价指引的要求，针对所处经营环境和面临的主要风险和主要管理问题的变化，通过适当的方法（如访谈、专题讨论）收集、确认、分析相关信息，定期重新评估本单位与实现控制目标相关的风险，选定重要流程，制定、改进或更新流程风险、控制活动和检查评价方法。各单位应参考基本规范及应用指引的要求，结合公司风险评价结果，由内控评价主责部门确定内控评价所需涉及的业务流程。并完成公司业务流程评估底稿，评价控制的合理性和有效性。 内部控制评价要求。各评价工作组应按照公司内部控制评价实施方案，组织人员，兼顾全面、有重点，按时、保质开展内控评价工作。 （1）评价工作重点。结合本单位实际情况，重点考

5、虑： 1）流程和制度设计的有效性。主要检查是否涵盖了本单位经营管理中需关注的重点问题及重点风险；是否明确了各项经营活动的管理要求；风险控制措施是否存在缺陷和漏洞，能否防范经营管理中的不规范行为，有效降低和控制经营管理中的风险；是否制定了清晰、明确的业务流程，流程的起点、终点以及中间涉及的各控制点、控制标准、各个岗位间的职责分工是否明确。2）流程和制度运行的有效性。主要检查各项经营活动是否按已制定的流程xx规范执行；是否保留了完整和可靠的xx记录时，要注意验证每个业务控制环节，核实实际执行情况与流程图、流程描述及风险控制xx的描述是否一致；验证业务活动所经过的流程和控制是否有完整和可靠的xx记录

6、，是否保留了控制实施证据。在验证业务控制流程设计和执行的一致性时，从业务发生开始，抽取一定数量的样本，通过对业务申请、审批、执行、过程记录、款项收付到财务处理全过程测评，验证业务控制流程设计和执行是否一致。 （2）评价方法的选择。根据评价项目的不同，应当综合考虑选择一种或多种评价方法进行评价，获取充分、相关、可靠的证据对内部控制的有效性进行评价，并做出书面记录。第五章 内部控制缺陷的认定及整改 内控缺陷是指某个控制的设计或运行使管理层或公司员工在日常工作中不能及时预防或者查找错误，从而导致对业务的控制失效或部分失效的行为。1.内部控制缺陷的分类及认定 （1）缺陷的分类 1）内控缺陷按照缺陷类型

7、分可以分为设计缺陷和执行缺陷。设计缺陷：是指公司在设计内控系统时，可能存在设计漏洞，使某些风险的防范措施缺失或并不完整，必要的控制或者控制的必要成分缺失，导致这个控制不能满足控制目标从而导致公司发生损失的可能性增加。设计缺陷既可以是自动系统的设计缺陷，也可以是手工控制的设计缺陷。设计缺陷强调的是必要的控制或者控制的必要成分缺失，或者某个现有的控制不合理，导致这个控制不能满足控制目标。这样的缺陷称为控制设计缺陷。例如，缺少绩效考核机制、缺少合理的事前审批机制等。控制设计缺陷多在穿行测试中发现。执行缺陷：是指控制设计完好，但没有被正确地执行的控制，该部分控制已经包含在现有内控体系中，但却因为各种原

8、因在实际操作中未能被执行或未能被完整执行的控制。执行缺陷强调的是一个完好设计的控制没有如设计那样被实际运行。例如，公司具有明确的事前审批规定，但在实际操作中，并未按照要求执行相关审批等。控制执行缺陷多在控制测试中发现。 2）内控缺陷按照其影响整体控制目标实现的严重程度，可分为一般缺陷、重要缺陷和重大缺陷。 一般缺陷，是指内控设计或者运行无法使管理层或员工在执行指定任务的正常过程中，及时防止或发现错报，也称为一般内部控制缺陷。重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致公司无法及时防范或发现严重偏离整体控制目标的情形；例如：对于会计政策的选择；反舞弊的程序和

9、控制；重大交易相关的控制；财务报告关账相关的控制等。重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致公司无法及时防范或发现偏离整体控制目标的严重程度依然重大。例如: 高管舞弊，本期财务报告的重大错报未被现有内控及时发现和更正，审计委员会监督无力等。3）内控缺陷按照其对财务报告的影响分为财报相关缺陷和非财报相关缺陷。财报相关缺陷，是指内部控制缺陷造成的财务报告的潜在错报金额能够可靠地估算。如：对收入的确认，对费用的审核，对合同条款的审议的相关控制缺陷等。 非财报相关缺陷，是指流程操作步骤/控制环节的设计/不执行或执行偏差，但不构成财务报表出现潜在的错报。如绩效考核机制，会议

10、机制的相关控制缺陷等。 （2） 内部控制缺陷的认定 各单位应根据相关监管机构对公司层面控制的要求，结合访谈及测试步骤得到的结果进行考虑，识别公司现有的控制在设计和执行上是否存在缺陷。在穿行测试或抽样测试过程中如发现存在控制缺陷或者控制环节缺失时，各单位应确认发现的问题并予以记录。 存在下列情况之一，应当认定内部控制存在缺陷：未实现规定的控制目标；未执行规定的控制活动；突破规定的权限；不能及时提供控制运行有效的相关证据等。 各单位应以内控体系文件中记录的公司层面和流程层面的风险点和控制点为基础， 在访谈中需对控制设计的有效性给予特别关注，对于各领域内部重要环节可能存在的各类缺陷予以探讨和记录；在

11、测试时需要重点关注是否按照既定的控制要求进行操作；在记录缺陷时，采用统一的模板。 内部控制评价工作组应当根据现场测试获取的证据，进行认定： 1）财务报告缺陷认定： 当内部控制缺陷造成的财务报告的潜在错报金额能够可靠的估算时，一般缺陷、重要缺陷和重大缺陷可以根据内部控制缺陷对当期财务报表的影响来判定。 一般缺陷：由于内部控制缺陷导致影响财务报告真实性程度很小。 重要缺陷：由于内部控制缺陷导致影响财务报告真实性较大。 重大缺陷：由于内部控制缺陷导致严重影响财务报告真实性，造成被监管机构的处罚。 2）非财务报告缺陷的认定： 非财务报告内部控制缺陷认定应关注缺陷对业务流程有效性的影响程度、发生的可能性

12、、效率和效果方面所受到的负面影响程度来判定。 一般缺陷： 降低工作效率或效果、或加大效果的不确定性、或使之偏离预期目标。 重要缺陷：显著降低工作效率或效果、或显著加大效果的不确定性、或使之显著偏离预期目标。 重大缺陷：严重降低工作效率或效果、或严重加大效果的不确定性、或使之严重偏离预期目标。 内部控制缺陷的认定实行逐级审批确认。一般缺陷在评价工作过程中确认；重要缺陷和重大缺陷由内部控制评价工作组讨论并提出意见，其中重要缺陷报内控领导小组研究确认，重大缺陷提交董事会审议确认。2.内部控制缺陷的汇总各单位通过访谈、穿行测试等评价方法，分析出公司层面和业务流程层面控制存在的缺陷后，应分类填写收集到的

13、所有异常情况，进行汇总并形成发现问题汇总表。将相关缺陷点及其支持性文件进行统一标号，由评价主责部门归档保存。各单位汇总内控执行缺陷的同时应给出整改建议，制定具体的整改计划，保证公司的内部控制体系的持续有效运行。3.内部控制缺陷的整改 在评价过程中发现内部控制缺陷后，应进行缺陷原因分析，分析该缺陷存在的主要原因，例如：控制活动缺失、控制活动本身缺乏执行性、人为执行不利、审批不当等；并针对所发现的问题、流程管控缺陷，提出整改建议。整改建议须内容具体，切实可行。 存在缺陷的部门或单位应制定整改方案，明确整改负责部门/人以及整改的计划完成时间。整改方案应符合有针对性、可衡量、可完成、符合现实情况以及及

14、时性等原则。 （1）制定缺陷整改计划：评价工作组应要求并监督各控制缺陷的整改负责人根据已识别的缺陷的性质，结合公司的实际情况制定相应的缺陷整改计划。整改计划中需要包括以下内容：整改负责部门/个人、整改步骤、整改时间表等。制定的整改计划需要得到管理层的认可后方可实施。 （2）选择整改方式：对于已经确认需要整改的内控设计缺陷，需在已有的内控管理制度体系中补充相关规定或修改原有规定，按照公司既定的管理制度报批程序对做出的补充或修改进行审批；对于已经确认需要整改的内控执行缺陷，需加强内控的执行力度， 要求控制执行人严格按照相关规定执行。 （3）进行整改：各单位在选择好整改方式后由各缺陷对应的控制或流程

15、的责任部门负责，按照预定的整改计划进行整改。监督部门应实时监督缺陷整改的进度，并协调解决整改过程中出现的问题，监控的方式主要为定期审阅各整改负责人上报的整改计划及整改进度汇报。 （4）整改进度的定期报告：在缺陷整改的过程中，责任主体应定期就缺陷整改进度向管理层进行报告，报告的频率需要视具体要求而定。在汇报时对整改所采取的措施进行简单描述并按照整改步骤的完成情况对整改进度按照百分比的方式进行体现，同时将需要管理层关注的整改过程中出现的问题（如困难、需要协调其他部门的事项等）进行列示说明。4.整改结果的验证 整改结果验证步骤如下： （1）选定测试对象：评价工作组通过附表五内部控制缺陷统计表汇总的所

16、有控制设计及控制执行缺陷的整改情况对整改结果进行再测试。 （2）选取测试样本：评价工作组通过以下原则选取再测试的样本： 1）针对每个失效控制点独立选取样本，样本只需覆盖被测试控制点即可，不需要覆盖该领域中的其他控制； 2）必须随机选取，采用统计抽样的方法； 3）样本选取区间为整改完成后至再测试时。 （3）总结测试结果：评价工作组汇总所有再测试过程发现依然存在的缺陷。对于控制制度设计上存在缺陷整改的再测试，需要复核该整改是否符合控制制度修改的相关流程（是否得到了合理的审阅及批准等）；整改后的制度是否能够满足控制的需要，以及测试整改后的控制实施是否存在问题；对于控制执行缺陷整改的再测试，需要获取适

17、量样本并检查是否按照政策流程的要求执行。 （4）制定下一步跟进计划：对于整改未完成的部分，相应控制缺陷负责人需要制定详细的下一步跟进计划，并上报公司管理层及评价主责部门审阅。第六章 内部控制评价报告 公司年度内控评价报告应于当年12月31日之前按要求提交，内部控制评价报告应当针对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，经公司董事会审批后，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性等相关内容作出披露。 （1）内部控制评价范围应当从纳入评价范围的主要单位、业务和事项以及高风险领域三个方面进行披露，并对评价范围是否存在重大遗漏形成明确结论。如果评价范围存在重大遗漏或法定豁免，则应当披露评价范围重大遗漏的具体情况及对评价结论产生的影响以及法定豁免的相关情况。（2）内部控制评价工作依据及缺陷认定标准应当披露公司开展内部控制评价工作的具体依据以及进行缺陷认定的具体标准及其变化情况。公司应当区分财务报告内部控制和非财务报告内部控制，分别披露重大缺陷、重要缺陷和一般缺陷的认定标准。（3）内部控制缺陷认定及整改