公司內部控制評價制度

1、公司內部控制評價制度第一章總則第一條為規(guī)范內部控制評價工作，協(xié)助董事會、監(jiān)事會及公司管理層及時了解公司內部控制的有效性，發(fā)現(xiàn)公司內部控制的缺陷，提由和實施改進方案，確保內部控制有效運行，特制定本制度。第二條本辦法適用于公司以及公司直接和間接控制的分公司、控股子公司及所屬單位。本制度所稱的審計室，是指公司內部審計室或上級單位派駐的審計室。第三條本制度所稱內部控制評價，是指由審計室實施的，對公司內部控制有效性進行評價，形成評價結論，由具評價報告的過程。內部控制有效性是指公司建立與實施內部控制能夠為控制目標的實現(xiàn)提供合理的保證。第四條審計室負責組織和實施內部控制評價工作，接受公司董事會的直接領導并對

2、董事會負責。審計室負責檢查公司內部控制制度的執(zhí)行情況，評價內部控制有效性，提由完善內部控制制度的建議。第五條審計室應當根據(jù)國家有關法律法規(guī)、公司內部控制基本規(guī)范、公司內部控制評價指引和本制度要求,結合公司實際情況，對戰(zhàn)略、經(jīng)營管理的效率和效果、財務報告及相關信息真實完整、資產(chǎn)安全、合法合規(guī)等單個或整體控制目標的實現(xiàn)進行評價。所屬公司（部門）應當每年開展內部控制自查并在每年12月31日前向公司上報內部控制自查報告。審計室應于每年四月底前完成對上一年度內部控制的評估工作并向董事會提交內部控制評估報告。第六條公司實施內部控制評價，應當遵循下列原則：（一）風險導向原則。以風險評估為基礎，根據(jù)風險發(fā)生的

3、可能性和對公司單個或整體控制目標造成的影響程度確定需要評價的重點業(yè)務單元、重要業(yè)務領域或流程環(huán)節(jié)。（二）一致性原則。采用統(tǒng)一可比的評價方法和標準，保證評價結果的可比性。（三）公允性原則。以事實為依據(jù)，評價結果應當有適當?shù)淖C據(jù)支持。（四）獨立性原則。機構的確定及評價工作的組織實施應當保持相應的獨立性。（五）成本效益原則。以適當?shù)某杀緦崿F(xiàn)科學有效的評價。第七條董事會領導本公司的內部控制評價工作；監(jiān)事會對董事會實施的內部控制評價進行監(jiān)督O第八條內部控制評價包括年度評價和專項評價。年度評價是指根據(jù)內部控制目標，對公司莫一年度建立與實施內部控制有效性進行的評價。專項評價是指在特定時點對特定范圍的內部控制

4、有效性進行的評價。第二章內部控制評價的內容第九條審計室應當對與實現(xiàn)整體控制目標相關的內部環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督等內部控制要素進行全面、系統(tǒng)、有針對性的評價。（一）控制環(huán)境。指影響內部控制效果的各種綜合因素?？刂骗h(huán)境是其他控制要素發(fā)揮作用的基礎，直接影響到內部控制的貫徹執(zhí)行即內部控制目標的實現(xiàn)。控制環(huán)境一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等。（二）風險評估。指對公司可能導致內部控制目標無法實現(xiàn)的內、外因素進行評估，以確認這些因素的影響程度及發(fā)生的可能性，其評估結果可協(xié)助公司制定必要的內部控制制度。（三）控制活動。指協(xié)助管理層確保其指令已被

5、執(zhí)行的政策或程序，主要包括：核準、驗證、調節(jié)、復核、定期盤點、記錄核對、職能分工、保障資產(chǎn)安全及與計劃、預算、與前期效果的比較等內容。（四）信息及溝通。指與內部控制目標有關的財務及非財務信息在公司內部與外部傳遞的準確及時性。（五）監(jiān)督。指對內部控制的效果進行評估的過程，包括評估控制環(huán)境是否良好，風險評估是否及時、準確，內部控制活動是否適當、確實，信息及溝通系統(tǒng)是否良好順暢等監(jiān)督可分為持續(xù)性監(jiān)督及專項監(jiān)督。持續(xù)性監(jiān)督是經(jīng)營過程中的例行監(jiān)督，包括管理層的日常管理與監(jiān)督；員工履行其職責時所采取的監(jiān)督；專項監(jiān)督是由公司內部相關人員或外部相關機構就奧一特定目標進行的監(jiān)督。第十條公司實施內部控制評價，包括

6、對內部控制設計有效性和運行有效性的評價。內部控制設計有效性是指為實現(xiàn)控制目標所必需的內部控制要素都存在并且設計恰當；內部控制運行有效性是指現(xiàn)有內部控制按照規(guī)定程序得到了正確執(zhí)行。第十一條內部審計人員應實施適當?shù)膶彶槌绦颍攸c審查以下內容：（一）控制環(huán)境其審查重點為以下內容：1、經(jīng)營活動的復雜程度；2、管理權限的集中程度；3、管理行為守則的健全性和有效性；4、管理層對逾越既定控制程序的態(tài)度；5、組織文化的內容及組織成員對此的理解與認同;6、法人治理結構的健全性和有效性；7、組織各階層人員的知識與技能；8、組織結構和職責劃分的合理性；9、重要崗位人員的權責相稱程度及其勝任能力；10、員工聘用程序及

7、培訓制度；11、員工業(yè)績考核與激勵機制。（二）組織風險管理機制的健全性和有效性其審查重點為以下內容：1、可能引發(fā)風險的內外因素；2、風險發(fā)生的可能性和預計帶來的后果；3、對抗風險的能力；4、風險管理的具體方法及效果。（三）控制活動的適當性、合法性、有效性其審查重點為以下內容：1、控制活動建立的適當性；2、控制活動對風險的識別和規(guī)避；3、控制活動對組織目標實現(xiàn)的作用；4、控制活動執(zhí)行的有效性。（四）獲取及處理信息的能力其審查重點為以下內容：1、獲取財務信息、非財務信息的能力；2、信息處理的及時性和適當性；3、信息傳遞渠道的便捷與暢通；4、管理信息系統(tǒng)的安全可靠性。第十二條審計室對被評價單位內部控

8、制的有效性進行評價，應當至少涉及下列內容：（一）被評價單位內部控制是否在風險評估的基礎上涵蓋了公司層面的風險和所有重要的業(yè)務流程層面的風險。（二）被評價單位內部控制設計的方法是否適當，內部控制建設的時間進度安排是否科學、階段性工作要求是否合理。（三）被評價單位內部控制設計和運行的組織是否有效，人員配備、職責分工和授權是否合理。（四）被評價單位是否開展內部控制自查并上報有關自查報告。（五）被評價單位是否建立有利于促進內部控制各項政策措施落實和問題整改的機制。（六）被評價單位在評價期間是否由現(xiàn)過重大風險事故等。第三章內部控制評價的程序和方法第十三條審計室應當按照制定評價方案、實施評價活動、編制評價

9、報告等程序開展內部控制評價。第十四條審計室每年年初應當根據(jù)公司整體控制目標，制訂年度內部控制審計計劃，據(jù)以檢查、評估各單位的內部控制制度，報董事會審批。第十五條內部控制評價范圍的確定應當遵循風險導向、自上而下的原則來確定需要評價的分支機構、重要業(yè)務單元、重點業(yè)務領域或流程環(huán)節(jié)。第十六條審計室應當根據(jù)審批通過的評價方案組織實施內部控制評價工作，通過適當?shù)姆椒ㄊ占?、確認、分析相關信息，確定與實現(xiàn)整體控制目標相關的風險及細化控制目標，并在此基礎上辨識與細化控制目標相對應的控制活動，然后針對控制活動進行必要的測試，獲取充分、相關、可靠的證據(jù)對內部控制的有效性進行評價，并做由書面記錄。第十七條內部審計人

10、員對內部控制做由評價時，應選擇適當?shù)脑u價標準。內部審計人員應首先判斷組織已有標準的適當性。如果認為已有標準不合適，應向管理層報告；如果管理層沒有制定合適的標準，審計室可基于組織利益最大化的原則選擇適當?shù)脑u價標準。第十八條內部審計人員在評價內部控制時，按照項目的性質和需要，既可以對全部控制要素進行評價，也可以只對部分控制要素進行評價第十九條內部控制評估和測試的方法主要包括：（一）個別訪談法。根據(jù)評價需要，對被查單位員工進行單獨訪談，以獲取有關信息。（二）調查問卷法。設置問卷調查表，對不同層次的員工進行問卷調查，根據(jù)調查結果對相關項目作由評價。（三）比較分析法。通過分析、比較數(shù)據(jù)間的關系、趨勢或比

11、率來取得評價證據(jù)的方法。（四）標桿法。通過與組織內外部相同或相似經(jīng)營活動的最佳實務進行比較而對控制設計有效性進行評價的方法。（五）穿行測試法。通過抽取一份全過程的文件，了解整個業(yè)務流程執(zhí)行情況的評估評價方法。（六）抽樣法。針對具體的內部控制業(yè)務流程，按照業(yè)務發(fā)生頻率及固有風險的高低，從確定的抽樣總體中抽取一定比例的業(yè)務樣本，對業(yè)務樣本的符合性進行判斷，進而對業(yè)務流程控制運行的有效性作由評價。（七）實地查驗法。公司對財產(chǎn)進行盤點、清查，以及對存貨生、入庫等控制環(huán)節(jié)進行現(xiàn)場查驗。（八）重新執(zhí)行法。通過對莫一控制活動全過程的重新執(zhí)行來評估控制執(zhí)行情況的方法。（九）專題討論會法。召集與業(yè)務流程相關的管

12、理人員就業(yè)務流程的特定項目或具體問題進行討論及評估。第二十條審計室通過采取上述適當?shù)姆椒ǐ@取與內部控制有效性相關的證據(jù)，并保證證據(jù)的充分性和適當性。證據(jù)的充分性指獲取證據(jù)的數(shù)量應當能合理保證相關控制的有效性；證據(jù)的適當性指獲取的證據(jù)應當與相關控制的設計與運行有關，并能可靠地反映控制的實際運行狀況。第二十一條審計室應根據(jù)所收集的證據(jù)，判斷相關控制的設計與運行是否有效。公司在判斷內部控制設計與運行有效性時，應當充分考慮下列因素：（一）是否針對風險設置了合理的細化控制目標。（二）是否針對細化控制目標設置了對應的控制活動。（三）相關控制活動是如何運行的。（四）相關控制活動是否得到了持續(xù)一致的運行。（五

13、）實施相關控制活動的人員是否具備必需的權限和能力。第二十二條審計室應充分評估下列因素導致內部控制失效的風險：（一）控制活動的類型，一般包括人工控制和自動控制、預防性控制和發(fā)現(xiàn)性控制等。（二）控制活動的復雜性，通常與公司組織結構、市場環(huán)境、經(jīng)營規(guī)模、人員素質等相關。（三）管理層逾越內部控制的風險。（四）實施控制活動所需要的職業(yè)判斷的程度。（五）控制活動所針對風險事項的性質及其重要性。（六）一項控制活動對其他控制活動有效性的依賴程度。第二十三條內部控制評價機構應當根據(jù)評估結果和經(jīng)核實的證據(jù)，確認內部控制缺陷，由具評價結論，編制評價報告，報送管理層和董事會審閱。第四章內部控制缺陷的認定和評價報告第二

14、十四條審計室在內部控制評價中，應對內部控制缺陷進行分類分析。內部控制缺陷一般可分為設計缺陷和運行缺陷。設計缺陷是指缺少為實現(xiàn)控制目標所必需的控制，或現(xiàn)存控制設計不適當、即使正常運行也難以實現(xiàn)控制目標。運行缺陷是指沒有按現(xiàn)存的控制設計意圖運行，或執(zhí)行者沒有獲得必要授權或缺乏勝任能力以有效地實施控制。第二十五條審計室對內部控制評價過程中發(fā)現(xiàn)的問題，應當從定量和定性等方面進行衡量，判斷是否構成內部控制缺陷。存在下列情況之一，公司應當認定內部控制存在設計或運行缺陷：（一）未實現(xiàn)規(guī)定的控制目標。（二）未執(zhí)行規(guī)定的控制活動。（三）突破規(guī)定的權限。（四）不能及時提供控制運行有效的相關證據(jù)。第二十六條審計室應

15、當根據(jù)內部控制缺陷影響整體控制目標實現(xiàn)的嚴重程度，將內部控制缺陷分為一般缺陷、重要缺陷和重大缺陷（也稱實質性漏洞，以下統(tǒng)稱重大缺陷）。重大缺陷，是指一個或多個一般缺陷的組合，可能嚴重影響內部整體控制的有效性，進而導致公司無法及時防范或發(fā)現(xiàn)嚴重偏離整體控制目標的情形。重要缺陷，是指一個或多個一般缺陷的組合，其嚴重程度低于重大缺陷，但導致公司無法及時防范或發(fā)現(xiàn)偏離整體控制目標的嚴重程度依然重大，須引起公司管理層關注。審計室應當合理確定相關目標發(fā)生偏差的可容忍水平，從而對嚴重偏離的情形予以確定。第二十七條審計室判斷和認定內部控制缺陷是否構成重大缺陷，應當考慮下列因素：（一）影響整體控制目標實現(xiàn)的多個

16、一般缺陷的組合是否構成重大缺陷。（二）針對同一細化控制目標所采取的不同控制活動之間的相互作用。（三）針對同一細化控制目標是否存在其他補償性控制活動。第二十八條公司應當根據(jù)內部控制評價過程中發(fā)現(xiàn)的內部控制缺陷，督促相關單位或部門進行整改，并對整改結果進行核查和確認。第二十九條對于為實現(xiàn)單個或整體控制目標而設計與運行的控制不存在重大缺陷的情形，公司應當認定針對這些整體控制目標的內部控制是有效的。對于為實現(xiàn)莫一整體控制目標而設計與運行的控制存在一個或多個重大缺陷的情形，公司應當認定針對該項整體控制目標的內部控制是無效的。第三十條對于因業(yè)務流程外包等原因造成公司無法評價特定業(yè)務、特定流程的內部控制有效

17、性的情形，內部控制評價機構應當充分考慮該項業(yè)務流程及其相關控制的重要性，確定其對整體控制目標有效性評價的影響。第三十一條內部控制評價報告至少應當包括下列內容：（一）內部控制評價的目的和責任主體。（二）內部控制評價的內容和所依據(jù)的標準。（三）內部控制評價的程序和所采用的方法。（四）衡量重大缺陷嚴重偏離的定義，以及確定嚴重偏離的方法。（五）被評估的內部控制整體目標是否有效的結論。（六）被評估的內部控制整體目標如果無效，存在的重大缺陷及其可能的影響。（七）造成重大缺陷的原因及相關責任人。（八）所有在評估過程中發(fā)現(xiàn)的控制缺陷，以及針對這些缺陷的補救措施及補救措施的實施計劃等。（九）被審計單位對內部控制缺陷及異常事項整改的落實情況。第三十二條對董事會審議通過的評價報告中要求整改的事項，應進行追蹤檢查，對相關部門的整改措施進行評估，并及時撰寫落實情況報告報送董事會，同時抄報監(jiān)事會。第三十三條公司應當定期對內部控制整體有效性進行評價、由具評價報告，并向董事會、監(jiān)事會和管理層報告內部控制設計與運行環(huán)節(jié)存在的主要問題以及將要采取的整改措施。第三十四條公司應當將內部控制評價報告作為進一步完善內部控制、提高經(jīng)營管理水平和風險防范能力的重要依據(jù)。公司管理層