025内部控制评价.docx
《025内部控制评价.docx》由会员分享,可在线阅读,更多相关《025内部控制评价.docx(35页珍藏版)》请在冰豆网上搜索。
025内部控制评价
第24章内部控制评价
24.1概述
24.1.1目的
为规范公司的内部控制评价工作,及时发现公司内部控制缺陷,提出和实施改进方案,确保内部控制有效运行,制定本内控指引。
24.1.2范围
本内控指引适用于XX股份总部、分公司、项目部;公司控股子公司、合营公司、参股公司参照执行。
24.1.3依据
《中华人民共和国公司法》
《企业内部控制基本规范》
《企业内部控制应用指引》
《企业内部控制评价指引》
《XX集团股份有限公司内部控制评价管理制度》
24.2术语与定义
24.2.1内部控制评价
内部控制评价,是指由公司董事会和管理层实施的,对公司内部控制有效性进行全面评价,形成评价结论,出具评价报告的过程。
24.2.2内部控制有效性
内部控制有效性是指公司建立与实施内部控制能够为控制目标的实现提供合理的保证,包括内部控制设计有效和运行有效。
24.2.3重大缺陷
重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。
24.2.4重要缺陷
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。
24.2.5一般缺陷
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
24.3权限与职责
24.3.1权限设置
业务
事项
分公司、项目部
公司总部
内控评价
年度内部控制评价计划审批
无
董事会审计委员会
日常内部控制评价工作方案审批
无
审计部部长
年度内部控制评价工作方案审批
无
董事会审计委员会
日常内部控制评价报告审批
无
董事会审计委员会
年度内部控制评价报告审批
无
董事会
24.3.2部门/岗位职责
24.3.2.1董事会
董事会负责领导公司内部控制的设计、运行和评价工作,董事会对内部控制评价报告的真实性负责。
24.3.2.2监事会
监事会对董事会实施内部控制评价进行监督。
24.3.2.3董事会审计委员会
董事会审计委员会监督和指导内部控制评价工作,审议审计部的工作计划、方案和报告,检查和评价关键评价人员的工作,聘请外部独立评价机构,协调与外部评价机构之间的关系。
24.3.2.4审计部
审计部负责组织公司内部控制评价工作的具体执行,包括:
拟定内部控制评价计划和方案;组织内部控制评价工作组;指导内部控制评价工作的进行;根据评价结果做出内部控制缺陷认定,提出改进意见或措施,并跟踪改进结果;编制内部控制评价报告;定期向审计委员会报告工作,包括内部控制评价计划、方案、执行情况、发现的问题、内部控制评价报告等。
审计部应接受公司董事会、监事会和审计委员会的指导、检查和监督。
24.3.2.5内部控制评价工作组
负责内部控制评价工作的具体实施,职责主要有:
根据内部控制评价方案进行现场测试,收集内部控制评价的证据;初步认定内部控制缺陷;撰写内部控制评价工作底稿;起草内部控制评价报告等。
其主要权限应包括:
根据内部控制评价工作的需要,要求被评价单位及时报送相关文件资料;就内部控制评价事项的有关问题向有关单位和个人进行调查,取得有关证明资料;要求有条件的被评价单位进行内部控制评价的自查并汇报自查结果。
24.3.2.6公司职能部门和分子公司
公司各部门和分子公司负责配合审计部,对本部门和单位的内部控制进行评价。
24.4流程规范
24.4.1制定年度内部控制评价计划
1、流程图
2、风险控制矩阵
序号
流程
名称
业务目标
风险点编号
风险名称
风险描述
风险水平
控制点编号
控制活动
控制频率
控制
类型
控制
部门
控制岗位
实施文档
L24.4.1
制定年度内部控制评价计划
规范公司内部审计的内容,为公司内部审计工作的顺利开展提供依据及合理保证。
R24.1
无计划或计划不合理
内部控制评价计划编制不合理、未经适当审批或超越授权审批,可能导致相关内部控制评价计划得不到有效执行,影响内部审计活动的顺利开展
中
C24.1
审计部应根据公司经营管理需要,制定内部控制评价计划。
内部控制评价计划至少每年制定一次,并提交审计委员会审批。
每年
预防性控制:
审核
审计部
审计部部长
年度内部控制评价计划
24.4.2制定内部控制评价方案
1、流程图
2、风险控制矩阵
序号
流程名称
业务目标
风险点编号
风险名称
风险描述
风险水平
控制点编号
控制活动
控制频率
控制类型
控制部门
控制岗位
实施文档
L24.4.2
制定内部控制评价方案
参与内部控制评价的机构齐全、分工明确、责任权力清晰。
R24.2
参与内部控制评价的机构不健全、职责分工不清。
内部控制评价机构不健全、不合理,或职责分工不清,可能导致内部控制评价工作不能顺利进行。
低
C24.2
内控评价小组负责人在制定内控评价方案时,应遵照公司内部控制评价制度中对董事会、董事会审计委员会、监事会、审计部、内控评价工作组、各业务部门和分子公司等有关机构在内部控制评价方面的规定,明确参与内部控制评价工作的机构,授予其与职责相关的权限,确保机构齐全、分工明确、责任权力清晰,保证内部控制评价工作的顺利进行。
每次
预防性控制:
审核
审计部
审计部部长
内部控制评价方案
续表
序号
流程名称
业务目标
风险点编号
风险名称
风险描述
风险水平
控制点编号
控制活动
控制频率
控制类型
控制部门
控制岗位
实施文档
L24.4.2
制定内部控制评价方案
内控评价工作的内容全面,工作原则和方法科学合理。
R24.3
内部控制评价程序、方法不科学或不符合公司内部规章制度要求,可能影响内部控制评价结果的正确性。
未能对内部控制评价的内容、原则和方法进行明确界定,可能导致内部控制评价工作因缺乏指导和约束而不能顺利进行。
内部控制评价的内容不全面,原则和方法不合理,可能导致评价工作忽略关键风险,造成公司利益或声誉的损失。
低
C24.3
在制定内控评价方案时,应遵照公司内部控制评价制度,明确工作内容、原则和方法。
公司围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容。
公司根据内控评价工作的实际情况,确定工作的原则,包括:
全面性、客观性、重要性、成本效益等原则。
公司根据内部控制评价工作的需要,灵活采用工作方法,包括:
访谈法、问卷调查法、专题讨论法、穿行测试法、实地查看法等。
每次
预防性控制:
审核
审计部
审计部部长
内部控制评价方案
续表
序号
流程名称
业务目标
风险点编号
风险名称
风险描述
风险水平
控制点编号
控制活动
控制频率
控制类型
控制部门
控制岗位
实施文档
L24.4.2
制定内部控制评价方案
保证内部控制评价工作的客观、独立性。
R24.4
参与内部控制评价的人员或机构不独立。
内部控制评价人员或机构不独立可能导致评价结果不客观公正。
低
C24.4
公司实行回避制度。
评价工作组成员对本部门的内部控制评价工作应当回避。
委托外部中介机构评价时,应根据《业务外包》的规定进行。
负责内部控制设计的机构不得同时负责内控评价。
每次
预防性控制:
不相容职务分离
审计部
审计部部长
内部控制评价方案
24.4.3内部控制评价工作实施
1、流程图
2、风险控制矩阵
序号
流程名称
业务目标
风险点编号
风险
名称
风险描述
风险水平
控制点编号
控制活动
控制频率
控制类型
控制部门
控制岗位
实施文档
L24.4.3
内部控制评价工作实施
内部控制评价工作高效率、高质量、及时完成
R24.5
内部控制评价人员不称职。
内部控制评价人员不具备应有的专业知识、技能和经验,可能导致评价效率和质量低下、成本增加。
中
C24.5
审计部根据需要,召集专业人员组成评价工作组。
内部控制评价人员应具备的理论知识和专业能力主要包括:
掌握会计、审计、法律等相关专业知识,以及具备与执行内部控制评价业务相匹配的经验,并不断通过后续教育来保持和提高专业胜任能力;
具备较强的沟通能力,能恰当地与他人进行有效的沟通;
熟悉公司经营活动、内部控制及风险管理相关管理制度。
评价工作组成立后,审计部应组织进行人员培训,讲解内控评价的目的、内容、原则、方法、程序、各项要求,让参与评价人员清晰了解和熟练掌握。
每次
预防性控制:
授权控制
审计部
审计部部长
内部控制人员安排表
续表
序号
流程
名称
业务
目标
风险点编号
风险
名称
风险描述
风险水平
控制点编号
控制活动
控制频率
控制类型
控制部门
控制岗位
实施
文档
L24.4.3
内部控制评价工作实施
内部控制评价工作高效率、高质量、及时完成
R24.6
评价人员工作不尽职
内部控制评价人员不够尽职尽责,未能履行监督职能,未能发现公司存在的舞弊等影响企业健康发展的不良现象。
中
C24.6
内控评价工作组负责人对评价人员的尽职情况进行监督,并形成逐级复核制度,督促评价人员尽职,做好评价工作。
发现评价人员存在不尽职问题的,有权予以撤换,并根据对其绩效考核情况,给予一定处罚。
每次
预防性控制:
审核
、绩效考核
内部控制评价工作组
负责人
工作底稿;考核指标
R24.7
评价工作程序不合理
内部控制评价程序不科学或不符合公司内部规章制度的要求,可能影响内部控制评价结果的正确性。
中
C24.7
内控评价工作组严格按照制度规定执行工作程序,包括:
实施现场测试、编制评价底稿、认定内控缺陷、汇总评价结果、编制评价报告等。
审计部部长对评价过程和评价工作形成的底稿进行审核。
每次
预防性控制:
审核
审计部
审计部部长
工作底稿
R24.8
内控缺陷认定不能真实反映内控现状。
内控缺陷认定不能准确反映评价工作的结论,隐瞒或遗漏内控缺陷,对报告使用者形成误导。
低
C24.8
公司按照制度规定编制内控评价报告,如实反映公司内部控制状况。
报告需经审计委员会审核,并经董事会审批后方可对外披露。
每次
预防性控制:
审核
审计部
审计部部长
内部控制评价报告
续表
序号
流程名称
业务
目标
风险点编号
风险名称
风险描述
风险水平
控制点编号
控制活动
控制频率
控制类型
控制部门
控制岗位
实施文档
L24.4.3
内部控制评价工作实施
内部控制评价工作高效率、高质量、及时完成
R24.9
评价报告完成不及时。
公司不能及时完成内部控制评价工作,导致对外披露延迟,影响公司形象,或导致公司受到处罚。
低
C24.9
公司应提前规划内部控制评价工作,严格按照财政部指引要求的时间完成评价工作,披露评价报告。
年度内部控制评价报告应于基准日后4月内报出。
对不能及时完成评价报告的情况,公司根据绩效考核机制,对相关责任人员进行处罚。
每次
预防性控制:
考核
董事会审计委员会
董事会审计委员会主任
考核指标
R24.10
评价工作底稿不完善。
工作底稿未能完善保存,会导致问题不能追踪、不能落实责任的,也不符合监管部门的要求。
低
C24.10
公司制定档案部门保管内控评价工作底稿和报告。
内部控制评价工作结束后,审计部负责将内部控制评价工作文件归档。
每次
预防性控制:
不相容职务分离
档案管理部门
保管员
档案归档登记表
24.4.4内部控制缺陷整改
1、流程图
2、风险控制矩阵
序号
流程
名称
业务目标
风险点编号
风险名称
风险描述
风险水平
控制点编号
控制活动
控制频率
控制
类型
控制部门
控制
岗位
实施
文档
L24.4.4
内部控制缺陷整改流程
内部控制评价中发现的缺陷得到整改落实。
R24.11
整改措施不合理。
公司没有针对发现的缺陷制定可行的整改方案,无法纠正内控缺陷。
中
C24.11
被评价单位制定整改方案,并经过审计部审核、审计委员会审批,确保整改方案有效,能够纠正内控缺陷。
每次
预防性控制:
审核
审计部
审计部部长
内部控制缺陷整改方案。
内部控制评价工作高效率、高质量、及时完成。
R24.12
整改措施未有效执行。
内部控制的整改措施没有落到实处,导致内控缺陷无法得到纠正。
中
C24.12
审计部对整改措施情况进行监督和追踪,并向董事会审计委员会报告整改措施落实情况。
每次
预防性控制:
审核
审计部
审计部部长
内部控制缺陷整改报告
升级会员 