内部控制评价办法.docx

1、内部控制评价办法内部控制评价办法第一章 总则第一条 为建立公司内部控制体系，加强风险管理，保障公司资产安全及业务安全稳健运行，根据公司内部控制办法，参照中国银行业监督管理委员会商业银行内部控制指引和商业银行内部控制评价试行办法，制定本办法。第二条 内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、评估、测试和分析的系统性活动。第三条 内部控制体系是公司为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。第四条 内部控制评价包括过程评价与结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与

2、纠正、信息交流与反馈等要素的评价。结果评价是对内部控制主要目标实现程度的评价。第二章 内部控制评价目标和原则第五条 内部控制评价的目标是通过自我评价内部控制体系的充分性、合规性、有效性和适宜性，促使本公司切实加强内部控制体系的建设并认真执行。具体评价目标如下：1促进本公司提高风险管理水平，保证公司发展战略和经营目标的实现。2促进公司增强业务、财务和管理信息的真实性、完整性和及时性。3促进公司各级管理者和员工强化内部控制意识、严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。4促进本公司在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。第六条 为实现上述内部控

3、制评价目标，应从以下三个方面对内部控制体系进行评价:1过程和风险是否已被充分识别。2过程和风险的控制措施是否遵循相关要求并得以实施和保持。3控制措施是否有效、适宜。第七条 内部控制评价应遵循以下原则1系统性原则。评价范围应覆盖本公司内部控制活动的全过程，覆盖所有的部门和岗位。2统一性原则。评价应保持目标、范围和准则的一致，以确保评价过程、评价结果的客观与准确。3独立性原则。评价应由专门的评价小组独立进行，不受其他部门和个人干扰。4公正性原则。评价应以事实为基础，以法律法规、监管要求、本公司的规章制度为准则，客观公正，实事求是。5重要性原则。评价应依据风险和控制的重要性确定重点。6及时性原则。应

4、按照规定的时间间隔持续进行评价。当经营管理环境发生重大变化时，应及时进行评价。第三章 内部控制评价内容第八条 对内部控制体系的综合评价包括内部控制环境、风险识别与评估、业务控制措施、监督评价与纠正、信息交流与反馈五个方面。第九条 内部控制环境1. 是否制定了成文的决策规则与程序，并有效执行。2内部控制组织机构是否健全，并认真履行职责。3部门、岗位职能是否完善、规范，并符合内控管理的要求。4是否建立健全并切实落实管理人员任用机制与业绩考核机制。5员工是否了解、掌握内部控制政策、目标、操作流程及管理重点。6是否建立并落实内控工作激励约束机制第十条 风险识别与评估2是否对信用风险进行严格的识别、计量

5、、评估、监控并采取有效的风险防范措施。3是否对市场风险进行识别、计量、评估、监控并采取有效的风险防范措施。4是否对支付风险进行控制。5是否对操作风险进行严格的识别、计量、评估、监控并采取有效的风险防范措施。6是否对突发事件风险进行控制。第十一条 业务控制措施（一）岗位设置控制1是否做到财务会计业务中不相融岗位之间的相互分离。 2是否做到环付通卡业务中不相融岗位之间的相互分离。3是否做到互联网业务中不相融岗位之间的相互分离。4是否做到系统运行管理中不相融岗位之间的相互分离。（二）财务管理控制1是否按规定进行授权管理。2是否认真执行财务审批程序和审批权限。3是否严格执行集中采购管理规定，对大额采购

6、行为进行控制。4是否严格执行固定资产管理规定。5是否按规定对空白重要凭证的管理、使用进行控制。6是否按规定对业务印章等重要机具的管理、使用进行控制。7是否按规定对客户对账业务进行控制。8是否对内部备付金账务进行核对控制。（三）环付通卡业务控制1是否遵守预付卡备付金与实收货币资本比例管理规定。2是否按规定使用预付卡备付金。3是否按规定向中国人民银行分支机构报告相关信息资料。4是否按规定向备付金存管银行办理相关备案手续并提供预付卡发行和交易明细信息。5必须严格执行记名环付通卡与不记名环付通卡的存储上限的规定。重复充值时，充值后的余额不得高于预付卡存储上限。6是否按规定审查、保管购卡人、代理人和特约

7、商户相关资料。7是否存在违反规定泄露购卡人、代理人或特约商户信息情况。8是否存在违反规定代单位或个人查询、冻结、扣划预付卡内的资金及随意中断或终止持卡人的正常支付行为。9是否按规定公开披露相关事项。10是否违反规定为购卡人开具发票。11是否存在未按规定为客户办理预付卡赎回现象。12是否违反约定办理资金清算而造成特约商户经济损失。13是否对记名、不记名预付卡的发行和交易信息分别进行管理。（四）互联网支付业务控制1开立交易账户客户的资质及条件是否符合要求，是否执行实名制。2客户开立交易账户是否指定一个或多个银行账户作为该交易账户的关联账户。交易账户的名称是否与该客户所关联的银行账户名称一致。3同一

8、客户开立多个交易账户的，是否采取有效措施为这些交易账户建立关联关系。4为客户开立交易账户的，是否与客户签订书面协议，协议内容是否齐全。5个人客户开立的交易账户，是否提供有效身份证件名称、号码和姓名，并同时提供住址、电子邮件等基本信息资料。6单位客户开立交易账户的，是否提供有效注册证明文件的影印件，并提供单位名称、法定代表人姓名及其有效身份证件影印件、联系方式，以及单位地址、联系人、电话等。7客户单笔收付金额超过1万元或月收付金额累计超过5万元的，是否提供身份证件影印件并进行核实。8是否对交易账户进行有效监控，对发生的可疑和大额交易应及时记录并按规定履行报告义务。9交易账户的资金来源与运用是否符

9、合规定。10是否存在通过交易账户为客户办理现金存取业务的行为。 11是否存在个人交易账户资金余额连续10天超过5000元、单位交易账户资金余额连续10天超过2万元的现象。12是否存在违规为单位或个人查询交易账户信息或冻结、扣划交易账户资金的行为。13交易账户被冻结期间，是否执行只收不付的原则。14客户用于收款的交易账户名称或银行账户的名称，是否与其提供的有效身份证件或有效注册证明文件上记载的名称一致。15支付指令中必须记载的事项是否齐全。16是否在付款人确认付款的当日至迟次日将相应资金转入收款人交易账户或协议中指定的银行账户。与客户另行约定结算时间的，其所约定的结算时间是否超过10天。17调整

10、收费项目、收费标准时，是否提前30天通知客户。18对客户的基本信息资料和交易信息是否按会计档案要求妥善保存，保存期限是否低于5年。19是否采用适当的加密技术和措施，保证支付指令、交易数据传输的真实、完整、不可抵赖和不被窃取。20是否采取必要措施保护交易数据的完整性和可靠性。21是否采取必要措施为交易数据保密：包括对交易数据的访问应经授权和确认；交易数据方式保存是否安全；第三方获取交易数据合规性。22是否确保对互联网支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制。23日志记录是否具有不可篡改性并按会计档案的管理要求进行保存。24是否建立互联网支付业务运作重大事项报告制度。25

11、是否按本办法规定使用、止付、撤销交易账户。26是否按本办法规定处理互联网支付业务差错、公开披露相关信息的。27是否按规定及时向中国人民银行及其分支机构报送信息资料的。第十二条 监督评价与纠正1各部门是否建立健全并执行检查监督制度，并对发现问题的整改情况进行持续跟踪。2内部检查、评价发现问题是否进行全面、及时的整改。3是否对“环付通卡”、“互联网”业务监督进行管理。4监督部门或岗位是否按规定对前台办理业务的核算过程和结果进行监督、控制、核对、分析和预警。5相关部门和岗位是否按规定履行监督职能。第十三条 信息交流与反馈1管理层经营理念、职业与道德规范、管理要求及重要内控信息是否及时准确传达到相关人

12、员。2信息上报处理机制是否健全，对请示、反映的问题是否按规定的程序及时处理。3部门之间的信息交流是否畅通。4、外部信息交流渠道是否畅通。5信息数据质量控制状况。第四章 内部控制评价程序和方法第十四条 内部控制评价程序一般包括评价准备、评价实施、形成评价报告和反馈等步骤。第十五条 评价准备。在评价实施前应组成评价组。评价组的成员构成应考虑到相关人员的能力。必要时，可聘请相应的业务或管理专家。评价组应根据内部控制评价的安排制订评价方案，评价方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。评价组应准备必要的工作文件，包括评价问卷、抽查内容安排、被评价部门的相关制度及记录等。在现场评价

13、前应先与被评价部门进行沟通，以便确认有关评价事项和安排。第十六条 评价实施评价组应按照确定的评价方案实施评价。在评价实施中有必要对评价组内部以及评价组与被评价对象之间的沟通做出正式安排。在评价实施过程中，应收集与评价目的、范围和准则有关的信息，根据评价内容对被评价项目进行测试，评价证据应当予以记录。第十七条 形成评价报告评价组根据评价及测试情况，在综合评价的基础上，出具内部控制评价报告。报告内容主要包括概述、评价组工作开展情况、内部控制体系状况、综合评价、存在问题及原因、整改意见等。第十八条 评价结论反馈评价组对内部控制体系做出综合评价后，公司应召集管理层和部门负责人会议，核对数据和事实，征求

14、意见，在现行法律和政策规定基础上统一认识。第十九条 高级管理层根据评价组的结论，依据有关法律法规和内部规章制度，做出评价结论和处理决定，以书面形式正式发送被评价对象并限期改正反馈。第五章 内部控制评价运用第二十条 根据评价结果及评价报告所反映的情况，可针对内部控制体系所存在的问题的性质及严重程度分别采取以下措施。1就内部控制体系的薄弱环节和存在问题所可能引发的风险，进行提示。2要求被评价部门对内部控制体系中存在的问题进行限期整改。3建议对存在严重缺失的业务进行整顿或暂停办理该业务。第二十一条 对内部控制评价中发现的被评价对象的违规、违法行为，应根据公司有关规定，按照其违规、违法行为类型及性质，

15、采取相应处罚措施。第五章 内部控制评价组织和实施第二十二条 内部控制评价在总裁的领导下，由合规部门负责组织和实施。第二十三条 根据评价的范围，内部控制评价可分为以下层次：1对公司整体内部控制的综合评价。2对公司各部门内部控制的评价。3对具体业务活动、管理活动和支持保障活动的单项评价。第二十四条 对内部控制整体情况评价的间隔期为两年。当公司发生重大策略改变、管理层变动、重大的并购或处置、重大的运营方法改变或财务信息处理方式改变等情况，应对内部控制整体情况进行评价。第二十五条 对内部控制体系存在缺失的评价对象，合规部门应对其改进情况进行后续跟踪，责令其针对评价发现的违规或风险隐患制定纠正措施，并对纠正情况及有效性进行检查。第二十六条 内部控制评价各阶段涉及的有关记录、表格、内部控制评价报告、纠正措施及跟踪改进情况均应作为内部控制档案妥善保管。第六章 附则第二十七条 本办法由本公司负责解释与修订。第二十八条 本办法自公布之日其实施。深圳中付通电子商务有限公司2014年4月9日