建研设计:内部控制评价手册
安徽省建筑设计研究总院股份有限公司
内部控制评价手册
二零二三年七月
目录
1手册概述 ...... 1
1.1内部控制评价目标 .................................................................................................... 1
1.2内部控制评价依据 .................................................................................................... 1
1.3内部控制评价原则 .................................................................................................... 1
1.4内部控制评价范围 .................................................................................................... 2
1.5内部控制评价意义 .................................................................................................... 2
1.6手册更新及维护 ......................................................................................................... 2
1.7颁布及生效日期 ......................................................................................................... 3
2职责分工 ...... 4
2.1董事会 ............................................................................................................................. 4
2.2审计委员会 ................................................................................................................... 4
2.3内部控制归口管理部门 .......................................................................................... 4
2.4各部门/单位 ................................................................................................................. 4
3制定内控评价方案 ...... 6
3.1总述 .................................................................................................................................. 6
3.2评价方案的内容 ......................................................................................................... 6
3.3评价方案的审批 ......................................................................................................... 6
4建立内控评价工作组 ...... 7
4.1总述 .................................................................................................................................. 7
4.2工作分配及指定责任人 .......................................................................................... 7
4.3培训及启动 ................................................................................................................... 7
5开展内控评价活动 ...... 8
5.1业务访谈 ........................................................................................................................ 8
5.1.1制定访谈计划 ............................................................................................... 8
5.1.2开展业务访谈 ............................................................................................... 8
5.1.3访谈信息整理并形成访谈记录 ............................................................ 8
5.2控制测试 ........................................................................................................................ 8
5.2.1控制测试的内容 .......................................................................................... 8
5.2.2测试样本选取规则 .................................................................................. 10
5.3设计有效性判断 ...................................................................................................... 12
5.4执行有效性判断 ...................................................................................................... 13
5.4.1测试结果的评价与记录 ........................................................................ 13
5.4.2测试底稿的填写说明 ............................................................................. 15
6缺陷认定与整改 ...... 16
6.1缺陷认定标准 ........................................................................................................... 16
6.1.1内部控制缺陷的认定 ............................................................................. 16
6.1.2内部控制缺陷的分类 ............................................................................. 16
6.1.3内部控制缺陷认定标准的设计因素 ............................................... 18
6.1.4内部控制缺陷具体认定标准 .............................................................. 18
6.2缺陷汇总分析 ........................................................................................................... 20
6.2.1缺陷汇总 ...................................................................................................... 20
6.2.2缺陷水平分析 ............................................................................................ 20
6.3缺陷整改跟踪 ........................................................................................................... 21
6.3.1缺陷整改原则 ............................................................................................ 21
6.3.2制定缺陷整改方案 .................................................................................. 21
6.3.3督促缺陷整改 ............................................................................................ 22
7编制内控评价报告 ...... 23
7.1总述 ............................................................................................................................... 23
7.2评价报告的内容 ...................................................................................................... 23
7.3评价报告的审批 ...................................................................................................... 23
8附件 ...... 24
附件一:《访谈计划模板》 ...... 24
附件二:《访谈纪要模板》 ...... 25
附件三:《资料需求清单模板》 ...... 26
附件四:《内部控制评价底稿模板》 ...... 29
附件五:《内控评价缺陷表模板》 ...... 32
附件六:《内控缺陷整改方案模板》 ...... 34
附件七:《内部控制评价报告模板》 ...... 35
1手册概述
1.1内部控制评价目标
为规范和加强安徽省建筑设计研究总院股份有限公司(以下简称“总院公司”或“公司””)的内部控制评价(以下简称“内控评价”或“评价”)工作,确保内部控制体系健康稳定、持续高效运行,提高风险防范能力,根据上市监管等有关监管规定,结合公司内部控制体系建设运行和评价工作要求,制定本手册。
《内部控制评价手册》旨在明确内部控制评价的原则、职责、程序与方法,为公司内部控制评价提供指导,以推动公司内部控制评价工作的有序开展。
1.2内部控制评价依据
本手册是依据财政部等五部委联合发布的《企业内部控制基本规范》及其配套指引、国资委发布的《中央企业全面风险管理指引》,结合公司的实际情况编制而成。在内部控制日常监督和专项监督的基础上,对公司每年的内部控制设计与运行有效性进行评价并发表结论。
相关参考文件包括:
? 《中央企业全面风险管理指引》;
? 《企业内部控制基本规范》(财会[2008]7号);
? 《企业内部控制配套指引》(五部委[2010]11号);
? 《中共安徽省委宣传部关于加强省属文化企业内部控制体系建设的通知)。
1.3内部控制评价原则
(1)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及其所属单位内部控制活动的全过程及主要经营场所、部门及岗位和相关业务流程。
(2)重要性原则。评价工作应当在全面评价的基础上,依据风险和控制的重要性确定重点,关注重要业务单位、重大业务事项和高风险领域。
(3)一致性原则。评价的标准、范围、程序和方法等应保持一致,以确保评价过程的准确性及评价结果的客观性。
(4)独立性原则。评价应由具有相对独立性的内部审计机构或委托独立的外部审计师来执行。
(5)公允性原则。评价应以事实为基础,以法律法规、监管要求为准则,准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。一方面强调公司的内部控制行为要留下可供检查的轨迹,另一方面强调内部控制评价本身也应形成轨迹(证据)以支持评价结论。
1.4内部控制评价范围
本手册适用于建研设计内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素的评价工作,具体内容如下。
| 内部控制要素 | 业务模块 |
| 内部环境 | 治理结构、组织架构、企业文化、社会责任、发展战略 |
| 风险评估 | 风险评估 |
| 控制活动 | 运营管理、投资管理、产权管理、市场及商务管理、项目及实施管理、资产管理、采购管理、合同管理、法律事务管理、创新与科技管理、制度管理、信息系统管理、品牌管理、人力资源管理、全面预算管理、资金管理、关联交易管理、担保管理、税务管理、财务报告管理、综合管理 |
| 信息与沟通 | 信息与沟通 |
| 内部监督 | 内部监督 |
1.5内部控制评价意义
通过内部控制评价工作,可以及时发现内部控制缺陷,制定和实施改进方案,确保内部控制有效运行。
通过编制《内部控制评价手册》,建立一套科学、系统的内部控制体系评价的方法和规范,为公司内部控制体系评价和维护提供指引和依据,确保公司内部控制体系在意识和行为上统一。
1.6手册更新及维护
内部控制管理归口部门负责本手册的更新和维护,根据内外部环境、组织架构、管理要求的变化,结合内外部监督评价问题、各部门反馈意见和内部控制管理需要,对手册进行修订与更新。
1.7颁布及生效日期
本手册自发布之日起生效。
2职责分工
2.1董事会
董事会是内部控制评价工作的最高决策机构,对内部控制评价报告的真实性负责,主要履行以下职责:
(1)审定内部控制重大缺陷;
(2)批准内部控制评价报告;
(3)批准涉及内部控制评价的其他重大事项。
2.2审计委员会
审计委员会负责内部控制评价工作的日常运行管理,主要履行以下职责:
(1)审议内部控制重大缺陷,审定内部控制重要和一般缺陷;
(2)批准内部控制缺陷整改方案;
(3)审议年度内部控制评价报告;
(4)定期听取内部控制缺陷整改情况报告。
2.3内部控制归口管理部门
(1)建立内控评价手册,并持续更新维护;
(2)负责组织开展内部控制评价工作,客观、真实、准确揭示经营管理中存在的内控缺陷和风险隐患;
(3)制定内部控制缺陷认定标准,对评价发现的内部控制缺陷进行初步认定;
(4)编制内部控制评价报告,提交审计委员会审议,董事会审批;
(5)监督内部控制缺陷整改工作进度,并反馈给相关业务部门,推动内部控制缺陷整改工作如期完成。
2.4各部门/单位
(1)积极配合内控管理归口部门工作,按规定提供相关测试资料,及时沟通确认内部控制缺陷;
(2)针对本部门/单位存在的内部控制缺陷,负责制定并实施内部控制缺陷整改方案,并按规定反馈整改进度,对内控缺陷整改质量负直接责任。
3制定内控评价方案
3.1总述
每年实施内控设计有效性评价工作之前,由公司内控管理归口部门依据外部监管要求及相关法律法规,结合公司实际业务情况,明确评价的范围,形成内控评价方案。
3.2评价方案的内容
制定评价方案,就是根据评价范围(经营单元、业务流程)明确评价的时间、评价测试内容等具体工作要求。
由于内控评价工作涉及公司各部门、需要消耗较多人力和时间的特点,因此在正式进行评价之前,建议内控管理部门拟定内控评价计划,以便更好的规划评价工作,明确责任人,严格控制评价成本。
内控评价方案至少包含以下内容:
(1)本次内控评价工作的实施计划、时间安排、工作目标等;
(2)本次内控评价工作所关注的重点测试领域;
(3)根据公司的具体情况,分别布置本次内控评价工作的具体要求,包括所涉及到的职能部门、人员投入及相应评价负责人、评价时间等。
3.3评价方案的审批
该内控评价方案应由审计委员会批准后方可实施,批复后的相关文档应由内控管理归口部门保存留档。
4建立内控评价工作组
4.1总述
评价方案经相关领导审批后,内控管理归口部门向各部门下发内部控制自我评价工作通知,组建本次内控评价的工作小组(评价工作小组成员主要从各部门内控专员中抽调,如工作量较大或有独立性考虑的时候,也可从各部门中抽调内控专员以外的员工组成),并对评价小组进行必要的沟通和培训。内控评价工作小组一般由主要业务部门、财务部门、信息技术部门、审计部门、法律部门等成员组成。注:内控评价中的独立性考虑是指内控评价时应尽量避免评价人员评价本部门相关的内部控制。
4.2工作分配及指定责任人
针对每次内控评价的范围,内控管理部门应根据工作量、人员水平和独立性等考虑因素,分配具体的评价工作内容,指定内控评价工作的责任人。考虑到独立性问题,应尽量避免各部门的内控专员参与对本部门内部控制自我评价的具体工作,但可作为本部门内控的专家,负责协调、解疑等工作。
4.3培训及启动
内控管理归口部门应在现场评价开始前与内控评价工作小组进行沟通,明确本次评价的具体工作要求、时间安排、测试底稿填写要求,给予评价小组成员必要的培训,并宣布项目启动。
5开展内控评价活动
5.1业务访谈
(1)深入、确切的了解各流程的实际操作状况;
(2)与管理层讨论、确定目前的执行步骤是否符合公司相关规章制度的规定,是否能够应对行业的最新变化和发展;
(3)对访谈过程中了解到的风险点和控制点进行记录;
(4)对目前存在的问题进行记录。
5.1.1制定访谈计划
访谈计划需要根据各个相关领域的性质和难易程度合理规划访谈时间和访谈对象,力求提高访谈质量,降低重复访谈次数,访谈计划的制定需结合相关制度、风险控制矩阵及部门职责、岗位职责等相关信息。在访谈计划中需要填列涉及的被访谈部门、被访谈人名称及职位、计划访谈日期及时间、访谈地点等信息。访谈之前需将访谈计划发给被访谈人以便其提前准备访谈内容并安排合适的受访时间。(参考附件一:访谈计划模板)
5.1.2开展业务访谈
在与受访人确定了访谈的时间后应按照确定的访谈计划对受访人员进行访谈。
访谈形式:建议采用面对面的方式进行访谈。
5.1.3访谈信息整理并形成访谈记录
建议所有访谈内容形成书面访谈纪要,并进行编号、留档。(参考附件二:
访谈纪要模板)
5.2控制测试
5.2.1控制测试的内容
(1)测试目的:验证流程描述中所记录控制内容是否正确,各环节是否按照其相关规定进行运行,是否存在控制设计及运行缺陷;
(2)测试对象:业务模块中各子业务的所有控制点,以及子业务中的主要控制活动;
(3)测试频率:全面控制测试建议每年至少进行一次,对于一些风险较大的业务,可自行考虑是否增加测试频率;
(4)测试执行人员:需要严格贯彻内控测试的独立性原则,即某一业务流程的实际操作人员需回避该流程的任何测试;
(5)内控测试的方法分为四种:询问、观察、检查、重新执行,保障程度依次递增。
? 询问(可选):
? 首先询问控制执行人是否了解其控制目的及执行方法;
? 其次询问是否在日常工作中实际实施控制,且具体如何操作;
? 重点关注操作有哪些证据及相关文档如何保管等。
? 观察(可选):
? 观察员工执行控制步骤;
? 可能需要其他跟进测试;
? 文档记录要求:谁,什么时候,观察的结果。
? 检查(必选):
? 确定业务样本库,制定并发送资料需求清单;(参考附件三:资料需求清单模板)
? 获得控制执行相关证据(例如经签批的文件等);
? 审阅文档记录或报告,查看是否留有控制执行的痕迹(例如签字、邮件、通话记录等);
? 评价控制执行是否有效、符合规定(例如审批是否经过适当的人,在适当的时间执行等);
? 记录所获取的证据,并对测试过程、测试结果及结论进行书面记录。
? 重新执行(可选):
? 测试执行人重新执行控制操作以验证是否控制执行有效;
? 对于常见的手工控制活动不经常使用;
? 重新执行包括使用上述的三个方法。
5.2.2测试样本选取规则
(1)测试抽样数量说明:手工控制的样本量的多少通常情况下需要考虑控制活动的执行频率。
①固定频率控制活动的抽样原则如下表所示:
| 固定频率控制活动样本量 | |||
| 控制性质 | 执行频率 | 样本量 | |
| 计划无偏差 | 计划有偏差 | ||
| 人工 | 每日数次 | 25 | 40 |
| 人工 | 每日一次 | 20 | 不适用 |
| 人工 | 每周一次 | 5 | 不适用 |
| 人工 | 每月一次 | 3 | 不适用 |
| 人工 | 每季一次 | 2 | 不适用 |
| 人工 | 每半年一次 | 1 | 不适用 |
| 人工 | 每年一次 | 1 | 不适用 |
样本规模取决于预期的偏差率,当控制执行频率不是“每日数次”时,预计偏差可能是不恰当的,因此不适用增加样本量。只有每日数次的情况下才可通过增加样本量判断。对每日发生数次的控制,如果初始样本量为25个,当测试发现一项控制偏差,且该偏差不是系统性偏差时,可以扩大样本规模进行测试,所增加的样本量至少为15个。如果测试后再次发现偏差,则可以得出该控制无效的结论。如果扩大样本量没有再次发现偏差,则可以得出控制有效的结论。
②发生频率不固定的控制活动,抽样原则如下表所示。
非固定执行频率控制活动样本量手工控制预计每年发生次数
| 手工控制预计每年发生次数 | 样本量 | |
| 计划无偏差 | 计划有偏差 | |
| >250 | 25 | 40 |
| 51-250 | 20 | 不适用 |
| 16-50 | 5 | 不适用 |
| 7-15 | 3 | 不适用 |
| 3-6 | 2 | 不适用 |
| 1-2 | 1 | 不适用 |
对非固定频率样本计算的说明应清晰,能够充分体现预估全年样本总量合理的依据。例如:我们询问了该资产处置业务在1月至6月发生了6笔,因此每月平均发生1笔业务,预估1月到12月(12个月)发生次数为1*12=12次。根据非固定执行频率控制活动样本量的规定,本次抽取样本量为3个。
③有的时候还会发生这样的情况,某个控制活动的发生频率是固定的,但每个控制活动发生时,会有多次发生的现象,其控制方式是一致的,此时样本总体次数应换算为该期间所有发生次数总和,按照非固定频率对应标准来选择样本量。
例如:每月对银行存款余额调节表的控制。该控制活动的执行频率为每月一次,但公司可能有不只一个银行账户,故应考虑所有控制活动全年执行总次数,若公司有8个银行账户,8*12 =96次,按照非固定频率样本抽取数量的标准的规定,则该控制活动样本个数应为20个。
④由于系统控制是由系统自动完成的,因此系统控制活动的样本量远远低于手工控制。
| 系统控制活动的样本量 | |
| 控制类型 | 样本量 |
| 自动 | 1个 |
例如:在财务报告流程中对控制活动“会计凭证如果借贷不平无法保存”进行测试,如果此控制在系统功能中已经实现,则判断为“系统控制”。按照样本量说明抽取1个样本。抽取的样本应当是系统中关于系统自动控制的截屏。
⑤手工依赖系统控制活动,根据具体情况判断,按照人工抽样规则或系统抽样规则确定样本量。
(2)样本应尽量贯穿业务流程全过程,覆盖被测试的控制点:可侧重于财务信息相关的资料。尽量从财务部门(或业务流程的主责部门获取具体样本,如无法获取完整,可从其他相关部门获得,但应保证从其他相关部门取得的样本与
财务部门(或业务流程的主责部门)记录的业务确为同一笔业务。
如:购买大型设备入账的审核,应取得入账凭证、发票、验收报告、采购合同,试运行报告等,如从财务部门只取得入账凭证、发票,则应从相应的业务部门取得验收报告、采购合同、试运行报告等,且保证上述各相关文件中描述的业务为同一笔业务。
(3)样本的选择需考虑交易的同质性:由于内控测试是针对每个控制事项进行的,而每个控制事项可能对应多个业务类型或审批程序等控制手段。为保证测试样本完整的覆盖面,在抽取样本时应该根据业务类型的不同而选择相应的样本。针对不同的情况进行独立抽样,并对此情况进行解释说明。
如:在固定资产采购业务中,由于采购资产的类型不同导致采购的控制活动不同,如分A、B两类资产的采购的控制程序不同,A类资产采购的发生频率为每月,按照固定频率对应的样本量为3,B类采购发生频率为业务发生时,实际1月至X月发生数为180,预计全年发生数为240,按照非固定频率对应的样本量为20个,故总样本量为3+20=23个。
(4)测试样本抽取的期间应是指年初至测试时点的期间:如果这一测试期间暂无样本(如发生频率为每年一次的控制活动),且控制活动未发生改变,则可抽取以前年度的样本,用以评估测试期间该控制活动执行的有效性。如果控制活动发生改变,则需要在年末或者来年年初进行补充测试。
(5)测试要保证测试期间样本的有效性:为了避免抽样风险,测试者应在测试期间内相对均匀地选择样本。如每日多次频率下应抽取25个样本,可以将25个样本平均分布在测试期间的月份抽取,每月抽取3个;但是在样本量不多时,应选择接近测试日的样本:如每月执行1次的控制频率下应抽取3个样本,应当抽取接近测试月份的三个月的样本(即接近测试日的样本)。
(6)测试人员在抽取样本时应独立选择样本,不可任由被测试单位主动提供样本。
5.3设计有效性判断
(1)测试验证控制描述是否为真实发生。并结合每一条风险至少需有一个控制活动与其对应。若某风险没有控制活动与其相对应,则此处可作为设计有效
性缺陷。
(2)控制描述是否符合企业内部控制基本规范、应用指引相关规定,及其他行业法律法规、政策管理要求,如不符合则可识别为合规性设计有效性缺陷。
5.4执行有效性判断
5.4.1测试结果的评价与记录
(1)评价测试结果类型
测试结果共分五种:有效、失效、不适用、未发生交易和样本量不足,已经预设在测试工作底稿“测试结果”栏中,测试者只需点击下拉菜单,选中相应的选项即可。
①有效-对于每个控制活动,只有当抽取的样本达到规定的样本量且每个样本全部满足要求后,此控制活动才被认为是得到了有效执行,测试结果为“有效”。
②失效-对于某个控制活动,一旦某一个样本不满足控制活动要求时,选择测试结果为“失效”,对于每日数次发现1例失效样本,在追加15个样本测试未发现新不合格样本时结论可为“有效”。
③不适用-测试单位不存在此种情况或此项业务,选择测试结果“不适用”。例如公司不存在投资业务,或不存在报表合并的审核等控制活动,则测试结论为“不适用”。但需要写清楚不适用的原因。如“本公司不存在该业务。”
④未发生交易-控制活动所涉及的业务在测试期间尚未发生,并同时在测试结果备注中说明“经询问XX部门XX该业务在1-X月份未发生”。
⑤样本量不足-指已抽取的样本全部有效,只是由于整改或者新流程的改变导致无法满足要求的样本数量。
(2)评价测试结果的评价
? 有效
只有对所有样本达到规定的样本量且每个样本全部满足要求后,我们才认为此控制活动得到了有效执行。在以下两种情况下,可以认定某控制活动的测试结果为有效。
? 在测试中抽取了规定的样本量而且所抽样本的测试结果全部为有效,该控制活动的最终结果为有效。
? 对每日发生多次的控制,如果初始样本量为25个,当测试发现一项控制偏差,且该偏差不是系统性偏差时,可以扩大样本规模进行测试,所增加的样本量至少为15个。如果扩大样本量没有再次发现偏差,则可以得出控制有效的结论;如果测试后再次发现偏差,则可得出该控制失效的结论。
? 失效
对于某个实际执行的控制活动,一旦某一个样本的结果是失效整个标准控制活动即被认为未得到有效执行。
? 样本量不足
在测试过程中可能会遇到由于控制活动执行的时间较短,从而导致在测试中抽不到规定的样本量,同时抽到的样本经过测试全部为有效,测试执行人要将这种情况记录为“样本量不足”。
? 未发生交易
对于那些适用但在全年均未发生的控制活动,最终的测试结果为“未发生交易”。例如:核销坏账的审核,如果某单位全年均未核销过坏账,该控制活动的评估结果为“未发生交易”。
有时因在年中某一时间点开始进行整改或启用新的控制活动,在测试时,在该测试期间内新的控制活动尚未发生交易,则此时对该轮测试的判断结果应为“样本量不足”,并应在测试底稿备注栏中注明样本量不足的原因;对于控制活动自XXXX年1月1日(或之前)开始执行,而截止到本次测试时,尚未发生交易的情况,才可判断为“未发生交易”。
? 不适用
对于某些测试单位可能存在一些控制活动不适用的情况。测试人员应在测试中评价该控制活动的适用性。不适用的情况可能有:
? 某控制活动仅有上级公司执行,不适用于本公司;
? 某控制活动针对某业务制定,本公司无此项业务;
? 其他原因。
? 关于每次测试的测试评价优先顺序的特殊说明
对于一个标准控制活动对应多个样本,每个样本的检查结果可能不同,测试结果的评价顺序:
? 失效? 样本量不足? 有效? 未发生交易对于失效、样本量不足、未发生交易的,应该在测试底稿“测试结果说明”列中加以说明。
5.4.2测试底稿的填写说明
所有现场测试工作的结果都必须完整的记录在测试工作底稿中。每一个Excel工作簿对应一个业务模块的工作底稿。
每个工作薄包括填写说明、测试主表、测试副表、缺陷表。填写说明是对底稿填写规则和范式的要求;每张测试主表列示了每个业务模块的风险描述、本地控制活动、控制要素、测试要素与结论;测试副表列示了每个子业务的控制活动、测试属性、样本信息与测试结论;缺陷表列示了该业务流程评价中发现的缺陷,包括缺陷概述、缺陷具体描述、问题属性、整改跟踪等。(参考附件四:内部控制评价底稿模板)
6缺陷认定与整改
6.1缺陷认定标准
6.1.1内部控制缺陷的认定
内部控制缺陷是描述内部控制有效性的一个负向的维度。开展内部控制评价主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。缺陷认定是以恰当的方法和标准,对内部控制存在的设计和执行有效性方面的问题进行分析,从而评估内部控制缺陷对导致公司偏离风险控制目标的影响程度的过程。
6.1.2内部控制缺陷的分类
(1)按照内部控制缺陷成因或来源,分为设计缺陷和运行缺陷
设计缺陷:是指缺少为实现控制目标所必需的控制,或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷,即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。可总结为初始规划不完全,存在管理控制的盲点。
运行缺陷:是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
(2)按照具体影响内部控制目标的具体表现形式,内部控制缺陷分为财务报告类缺陷和非财务报告类缺陷
财务报告类缺陷:财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报告类内部控制缺陷是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷,即不能及时防止或发现并纠正财务报告错报的内部控制缺陷。
非财务报告类缺陷:非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全目标、经营目标及合规目标等。非财务报告类内部控制缺陷是指针对除财务报告目标之外的其他目标造成影响的内控缺陷。
(3)按照影响公司内部控制目标实现的严重程度,内部控制缺陷分为重大
缺陷、重要缺陷和一般缺陷重大缺陷:是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。具体到财务报告内部控制上,就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。
重要缺陷:是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。具体到财务报告内部控制上,就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。
一般缺陷:指一个或多个控制缺陷的组合,其严重程度尚无可能导致公司偏离控制目标。重大缺陷、重要缺陷之外的其他缺陷都属于一般缺陷。
(4)按照与控制缺陷相关的控制类型,可分为管理层面内部控制缺陷、业务流程层面内部控制缺陷
管理层面内部控制缺陷:管理层面的内部控制缺陷,虽然未必导致无效,但会增加业务流程层面控制的风险,缺陷的评估应基于管理层面的缺陷导致业务层面控制风险的可靠性。通常无法用量化的方法评价管理层面的缺陷,但应关注以下定性因素:
? 控制缺陷在公司中的普遍性,是否具有广泛性影响;
? 控制缺陷对管理层面控制各组成要素的相对重要性;
? 管理层凌驾的风险,包括考虑舞弊的可能性;
? 过往内部控制缺陷记录,表明内部控制风险增加的迹象;
? 控制运行有效性方面已发现的例外情形的性质、原因和频次;
? 缺陷可能的潜在影响。
业务流程层面内部控制缺陷:流程层面内部控制缺陷评价需要考虑定性和定量的因素。对于识别内部控制缺陷需要关注以下因素:
? 确定受缺陷影响的具体控制目标;
? 判断因控制缺陷导致控制无效的可能性;
? 评估控制缺陷导致控制无效的严重程度,并尽可能量化分析;
? 检查是否存在补偿性控制措施;
? 评价补偿性控制措施的有效性及可实现控制目标的程度;
? 确定考虑补偿性措施后未覆盖的控制目标的严重程度;? 考虑控制无效发生的可能性和严重程度,结合定性印象确定缺陷类型。
6.1.3内部控制缺陷认定标准的设计因素
公司在对内部控制缺陷认定标准设计时,从定量数据因素、定性风险因素和目标转移度等方面进行考虑。
(1)定量数据因素
通过数据分析情况确定,如:按照评价年度公司合并报表税前利润或销售收入确定内控缺陷认定标准。
(2)定性风险因素
通过定性风险评价进行判定。例如,通过对风险因素发生的可能性,结合风险影响程度和发生的可能性形成风险矩阵,将因风险因素形成的高、中、低影响与重大缺陷、重要缺陷和一般缺陷进行链接,制定内控风险评估标准。
(3)目标偏移度
从导致公司无法及时防范或发现偏离整体控制目标的程度进行判断。例如对存在问题不采取行动、有一定的可能性导致较大范围的目标偏离,认定为重要缺陷。
6.1.4内部控制缺陷具体认定标准
以下按照影响内部控制目标的具体表现形式及影响公司内部控制目标实现的严重程度分类确定缺陷认定标准。
(1)财务报告内部控制缺陷认定标准
财务报告内部控制缺陷的定量标准如下:
| 指标名称 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 利润总额 | 错报≥利润总额的10% | 利润总额的6%≤错报<利润总额的10% | 错报<利润总额的6% |
| 所有者权益 | 错报≥所有者权益的6% | 所有者权益的3%≤错报<所有者权益的6% | 错报<所有者权益的3% |
| 指标名称 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 营业收入 | 错报≥营业收入的6% | 营业收入3%≤错报<营业收入的6% | 错报<营业收入的3% |
说明:针对亏损或盈利水平不稳定状态,缺陷认定标准以所有者权益与营业收入指标孰低为准。财务报告内部控制缺陷的定性标准如下:
| 缺陷性质 | 定性标准 |
| 重大缺陷 | 1.公司董事、监事和高级管理人员舞弊并给公司造成重要损失和不利影响; 2.公司更正己经公布的财务报表中涉及利润金额导致报表性质变化(如由盈利变为亏损,或亏损变为盈利等); 3.公司当期财务报告存在重大错报,而公司内部控制过程中未发现该错报; 4.公司内部审计工作领导小组和内部审计机构对内部控制的监督无效或企业内部控制环境无效; 5.被监管机构处罚造成较大的负面影响; 6.其他对公司财务报告造成重大影响的情形。 |
| 重要缺陷 | 1.未遵循公认的企业会计准则和会计政策; 2.未建立反舞弊程序和控制措施,或中层管理人员发生舞弊; 3.对于非常规或特殊交易的账务处理未建立相应的控制机制或补偿性控制; 4.未能对编制财务报表的真实性、完整性和准确性提供合理保证; 5.其他对公司财务报告造成重要影响的情形。 |
| 一般缺陷 | 除重大缺陷、重要缺陷之外的其他控制缺陷。 |
(2)非财务报告内部控制缺陷认定标准
非财务报告内部控制缺陷的定量标准如下:
| 指标名称 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 资产损失 | 资产损失≥1000万元 | 100万元≤资产损失<1000万元 | 资产损失<100万元 |
非财务报告内部控制缺陷的定性标准如下:
| 缺陷性质 | 定性标准 |
| 重大缺陷 | 1.公司决策程序不科学或未严格履行科学的决策程序,导致重大决策失误; 2.违犯国家法律、法规,给公司造成重大损失; 3.重要业务缺乏制度控制或系统性失效,且缺乏有效的补偿性控制; 4.内部控制评价过程中发现的重大缺陷未得到整改; 5.关键管理人员或重要人才流失严重; 6.其他对公司产生重大负面影响的情形。 |
| 重要缺陷 | 1.公司决策程序不科学或未严格履行科学的决策程序,导致重要决策失误; 2.重要业务制度或系统存在缺陷; 3.关键岗位业务人员流失严重; 4.内部控制评价的重要缺陷未得到整改; 5.其他对公司产生较大负面影响的情形。 |
| 一般缺陷 | 除重大缺陷、重要缺陷之外的其他控制缺陷。 |
总院公司在应用以上标准确定一项内部控制缺陷或多项内部控制缺陷组合的缺陷等级时,应当评价补偿性控制的影响。同时结合公司经营发展的实际情况,内部控制缺陷认定标准可根据实际情况进行动态调整。
6.2缺陷汇总分析
6.2.1缺陷汇总
内部控制评价工作组根据内控评价底稿,分析汇总形成内控缺陷及整改建议。(参考附件五:内控评价缺陷表模板)
6.2.2缺陷水平分析
缺陷水平分析程序如下:
(1)根据汇总形成的公司全部控制缺陷,按照《重要业务和影响会计科目对应表》对应的会计科目,确定控制缺陷影响的会计科目;
(2)根据公司评价年度的税前利润或销售收入(或其他用于计算重要性水平的适当财务指标,如资产等),计算出重要性水平;
(3)根据相关会计科目在评价年度一定期间的发生额或全年发生额,或者根据相关会计科目的期末数,逐个确定各业务单位控制缺陷的影响水平;
(4)按照控制缺陷,对于性质相同的,将各业务单位的影响水平相加;
(5)将汇总的影响水平与相关定性、定量评价标准进行对比,确定缺陷水平;
(6)汇集无法确定影响会计科目的控制缺陷,根据《内部控制缺陷定性认定标准》,按照重要业务类型对控制缺陷进行分类归集,逐个对缺陷可能造成的影响或者已经产生的影响进行分析,确定缺陷水平。对于性质相同的多个缺陷,还需进一步进行汇总分析,综合考虑该类控制缺陷可能造成的影响或已经产生的影响,确定汇总后的缺陷水平;
(7)审计委员会对一般缺陷和重要缺陷进行审核并最终确认;
(8)董事会对重大缺陷进行审核并最终确认。
6.3缺陷整改跟踪
6.3.1缺陷整改原则
对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受范围之内,并追究有关部门或相关人员的责任。
内控缺陷整改的优先顺序:
(1)合规缺陷:企业或其员工经营管理行为不符合法律法规、监管规定、行业准则,或企业章程、规章制度、相关标准、合同,亦或国际条约、规则等的要求。
(2)管理提升:没有明确的法律法规、监管规定、行业准则要求,但企业现行的计划、组织、指挥、协调和控制等管理要素影响经营效率和效果,如业务开展无制度依据、工作计划性弱、管理幅度过大、多头领导、流程僵化等。
(3)风险提示:以现有基础或信息不足以判断所属上述两种中的某类问题,但从专业角度分析可能存在某方面风险,给予提示。
内控缺陷整改的一般策略:追责与预防相结合。一方面,追究缺陷责任部门或相关人员的责任,并通过教育宣贯等方式,强化员工“有规必依”的意识;另一方面,建立健全制度、完善制度内容、完善授权审批程序和审批权限等,优化内控体系。
6.3.2制定缺陷整改方案
内控缺陷的责任部门根据缺陷整改原则,结合缺陷整改建议,制定缺陷整改方案并落实整改。整改方案中应包括以下内容:整改负责部门/岗位、整改步骤、整改时间表等。制定的整改方案由内控管理归口部门汇总,缺陷整改方案报审计委员会批准通过后实施。(参考附件六:内控缺陷整改方案模板)
6.3.3督促缺陷整改
内控管理归口部门跟踪缺陷整改,将缺陷整改情况反馈给相关业务管理部门,定期将缺陷整改情况向专业委员会报告,报告的频率需要视具体要求而定。
内控管理归口部门根据需要,可对缺陷整改情况进行抽样检查,抽取《内控缺陷清单与改善建议》中的部分缺陷进行再测试,验证各责任部门的缺陷整改情况。
内控管理归口部门对于未按整改计划完成整改的所有缺陷落实到责任人,明确未完成整改的原因,结合公司绩效考核相关规定,对责任人采取相应的惩罚措施。
7编制内控评价报告
7.1总述
公司应当根据年度内部控制评价结果,结合内部控制评价底稿、内控缺陷清单与改善建议、缺陷整改计划等资料,以12月31日作为年度内部控制评价报告的基准日,及时编制内部控制评价报告。(参考附件七:内部控制评价报告模板)
7.2评价报告的内容
公司年度内部控制评价报告至少包括以下内容:
(1)公司管理层对内部控制评价报告真实性的声明;
(2)内部控制评价工作的总体情况;
(3)内部控制评价的依据;
(4)内部控制评价的范围;
(5)内部控制评价的程序和方法;
(6)内部控制缺陷及其认定情况;
(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
(8)内部控制有效性的结论。
内控管理归口部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
7.3评价报告的审批
该内控评价报告应由董事会批准后发布,相关文档应由内控管理归口部门保存留档。
8附件附件一:《访谈计划模板》
XXXX年内部控制评价访谈计划
| 序号 | 部门 | 职务 | 姓名 | 访谈日期 | 访谈时间 | 访谈地点 | 备注 |
| 1 | |||||||
| 2 | |||||||
| 3 |
事项说明:
(1)请各部门邀请对应人员接受访谈,确认访谈日期是否需要调整,并填写具体访谈时间,每位人员访谈时长约XX分钟。
(2)访谈地点可根据业务部门需要进行调整。
(3)请于XX月XX日下班前邮件答复。
联络人:XXX 电话:XXX 邮箱:XXX
附件二:《访谈纪要模板》
XXXX年内部控制评价访谈纪要
| 访谈时间 | XXX | 被访谈人 | XXX |
| 所属部门 | XXXX部 | 职务 | XXX |
访谈地点
| 访谈地点 | XXX会议室 |
| 访谈人 | ** ** |
| 访谈要点记录: 1.XXXX(访谈主题) XXXXXXX(详细记录)。 2.XXXX(访谈主题) XXXXXXX(详细记录)。 3. XXXX(访谈主题) XXXXXXX(详细记录)。 4.XXXX(访谈主题) XXXXXXX(详细记录)。 | |
附件三:《资料需求清单模板》
XXXX年内部控制评价资料需求清单
| 序号 | 文件名称 | 数量 | 提供方式 | 提供时间 | 提供部门 | 备注 |
| 1 | 公司章程 | 1份 | 电子版或纸质版 | |||
| 2 | 公司中长期愿景及发展战略规划 | 1份 | 电子版或纸质版 | |||
| 3 | 公司组织架构及部门职责/职能 | 1套 | 电子版 | |||
| 4 | 最新岗位定岗定编及职责说明书 | 1套 | 电子版 | |||
| 5 | 最新公司规章制度、程序文件等 | 1套 | 电子版 | |||
| 6 | 公司权限指引表 | 1套 | 电子版 | |||
| 7 | 20XX年度公司KPI指标及考核结果 | 1套 | 电子版 | |||
| 8 | 20XX年度预算及预算执行情况 | 1套 | 电子版 | |||
| 9 | 公司及各部门20XX年度/半年度工作总结报告 | 1套 | 电子版 | |||
| 10 | 20XX年度董事会/总经理办公会/党委会会议纪要/决议等 | 1套 | 纸质版 | |||
| 11 | 公司20XX年度及最近一期内外部审计报告(含附注) | 1套 | 纸质版 | |||
| 12 | 20XX年内控手册/内控评价报告/风险评估报告 | 1套 | 电子版或纸质版 | |||
| 13 | 20XX年合同台账 | 1套 | 电子版 | |||
| 14 | 20XX年法律纠纷事件台账 | 1套 | 电子版 | |||
| 15 | 20XX年资产台账 | 1套 | 电子版 | |||
| 16 | 20XX年中、年末资产盘点报告(固定资产、存货、无形资产) | 1套 | 电子版 | |||
| 17 | 20XX年废旧物资处置台账 | 1套 | 电子版 |
| 序号 | 文件名称 | 数量 | 提供方式 | 提供时间 | 提供部门 | 备注 |
| 18 | 20XX年资产处置清单 | 1套 | 电子版 | |||
| 19 | 20XX年车辆使用台账 | 1套 | 电子版 | |||
| 20 | 20XX年公务接待台账 | 1套 | 电子版 | |||
| 21 | 20XX年因公出差/出国台账 | 1套 | 电子版 | |||
| 22 | 20XX年公章使用台账 | 1套 | 电子版 | |||
| 23 | 20XX年收发文台账 | 1套 | 电子版 | |||
| 24 | 20XX年投资计划表(包括固定资产投资、股权投资、金融投资等) | 1套 | 电子版 | |||
| 25 | 20XX年计划外投资项目表 | 1套 | 电子版 | |||
| 26 | 20XX年培训计划 | 1套 | 电子版 | |||
| 27 | 20XX年培训台账 | 1套 | 电子版 | |||
| 28 | 20XX年员工招聘与退出清单 | 1套 | 电子版 | |||
| 29 | 20XX年干部选拔台账 | 1套 | 电子版 | |||
| 30 | 20XX年年度审计计划 | 1套 | 电子版 | |||
| 31 | 20XX年采购计划 | 1套 | 电子版 | |||
| 32 | 20XX年采购执行台账 | 1套 | 电子版 | |||
| 33 | 20XX年供应商评估汇总表(年/季/月度)及最新供应商目录 | 1套 | 电子版 |
事项说明:为确保内部控制评价工作顺利开展,工作组需要责任部门于XX月XX日前提供上述资料。
(1)文件名称如与公司实际情况不一致,只需提供具有相关控制内容的政策文件即可;
(2)可能存在公司一份文件涵盖了清单中多份政策文件情况,请提供相关的所有文件;
(3)此文件清单仅为入场前初步文档需求,其他资料和文档将在项目期间根据需要提请公司提供;
(4)反馈资料时,请注明是否提供,如未能提供,请在备注栏补充未能提
供的原因。
安徽省建筑设计研究总院股份有限公司 内部控制评价手册
附件四:《内部控制评价底稿模板》
| (A)控制目标 | (B)风险编号 | (C)风险描述 | (D)控制编号 | (E)标准化关键控制控制 | (F)控制文档 | (J)主责部门 | (H)管理制度 | (I)控制频率 | (J)控制类型预防/检查 | (K)控制方式人工/自动 | (L)评价测试方法 | (M)抽取样本信息 | (M)测试结论 | (O)发现问题描述 | (P)测试执行人 | (Q)测试执行时间 | (R)测试执行时间 |
| 公司名称:安徽省建筑设计研究总院股份有限公司 |
| 业务流程名称: |
安徽省建筑设计研究总院股份有限公司 内部控制评价手册
事项说明:
(1)内部控制评价底稿的用途:记述公司所有影响关键财务报表科目/注释的业务流程,及非财务报表相关但属企业内部核心业务流程、关键管控目标的符合性测试结果。
(2)内部控制评价底稿的设置:按照业务模块设置,每一个业务模块对应一个评价底稿。
(3)底稿填写总体要求:评价底稿应要素齐全、内容完整;清晰记录评价发现,包括必要的细节以支撑评价结论。
(4)评价底稿具体项目的填写说明:
a)主页面包括表头和表体两部分:表头部分填写“公司名称”和“业务流程名称”。
b)表体的A-R列填写记录该业务流程的风险和控制活动信息。
A列:控制目标。控制目标是指对流程需实现的目标有哪些。
B列:风险编号。风险描述的编号,以业务流程为单位从上至下依次为R01、R02、R03……
C列:风险描述。风险描述是指对流程中重要风险点的描述,体现流程中涉及的重要风险点。风险描述方式是:未开展XX(控制),可能导致XX (负面)结果。
D列:控制活动编号。指流程中控制活动的编号,以业务流程为单位从上至下依次为C01、C02、C03……
E列:控制活动描述。控制活动描述指流程中针对风险所采取的的控制活动,描述遵循5W1H原则。
F列: 控制文档。控制文档是指该项控制下需要输出的成果文件。
G列:控制主责部门。指风险和控制活动涉及的主责部门。
安徽省建筑设计研究总院股份有限公司 内部控制评价手册
H列: 管理制度。管理制度是指指导该项业务控制的管理制度是什么。I列: 控制频率。控制频率根据控制活动发生的频率分为不定期、每日数次、每日、每周、每月、每季度、每半年、每年。J列: 控制类型。控制类型根据控制活动的功能作用分为预防型和发现型。K列:控制方式。控制方式根据控制活动依靠人工进行控制还是依靠信息系统设定的条件进行自动控制,将控制方式分为手工控制、系统控制、手工依赖系统控制。L列: 测试方法。主要测试方法,包括:询问、观察、检查、重新执行。M列: 抽取样本信息。根据控制活动的总样本量和控制活动的控制类型,以及抽样规则,确定抽样的样本量。描述测试抽到的全部样本名称,确保样本可追溯,编号能唯一识别。
N列: 测试结论。与测试工作底稿的副表的测试结果保持一致,建立了引用关系,测试结论主要有五种,分为有效、失效、不适用、样本量不足、未发生交易。
O列: 发现问题描述。如果测试结论为失效,控制活动存在控制缺陷,在该单元格填写缺陷表中对应的缺陷描述信息,如果测试结论有效,该单元格填写无。
P列:测试执行人。填写具体测试该控制活动的人员名字。
Q列:测试执行日期。指测试实际执行的日期。
附件五:《内控评价缺陷表模板》
内控评价缺陷表
| 公司名称:安徽省建筑设计研究总院股份有限公司 | |||||||||
| 业务流程名称: | |||||||||
| A | B | C | D | E | F | G | H | I | J |
| 编码 | 缺陷概述 | 缺陷具体描述 | 问题属性 | 整改跟踪 | |||||
| 设计/执行问题 | 根本属性 | 问题类型 | 问题等级 | 迫切性 | 主责部门 | 配合部门 | |||
| 01 | |||||||||
| 02 | |||||||||
| 03 | |||||||||
填写说明:
(1)主页面包括表头和表体两部分:表头部分填写“公司名称”和“业务流程名称”。
(2)A列(编码):该业务流程的缺陷编号
(3)(3)B列(缺陷概述):缺陷描述的标题或一句话的总结概括。
(4)C列(缺陷具体描述):缺陷的详细描述,包括该缺陷的表现、支撑证据、形成原因、影响等详细具体描述。
(5)D列(设计/执行问题):指内控诊断发现的缺陷属于内控设计或内控运行层面。
(6)E列(根本属性):分为合规缺陷、管理提升、风险提示三类问题。
合规缺陷:指企业或其员工经营管理行为不符合法律法规、监管规定、行业准则,或企业章程、规章制度、相关标准、合同,亦或国际条约、规则等的要求。
管理提升:没有明确的法律法规、监管规定、行业准则要求,但企业现行的计划、组织、指挥、协调和控制等管理要素影响经营效率和效果,如业务开展无制度依据、工作计划性弱、管理幅度过大、多头领导、流程僵化等。
风险提示:以现有基础或信息不足以判断所属上述两种中的某类问题,但从
专业角度分析可能存在某方面风险,给予提示。
(7)F列(问题类型):按是否与财务相关分为财报相关和非财报相关。
(8)G列(问题等级):分为一般缺陷、重要缺陷、重大缺陷三种。重大缺陷:指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。重要缺陷:指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。一般缺陷:指除重大缺陷、重要缺陷之处的其他缺陷。
(9)H列(迫切性):根据诊断缺陷发生的概率、影响程度,综合判断需整改问题的迫切性,分为急需、重要、一般三类。
(10)I列(主责部门):填写负责该缺陷整改的主体责任部门名称。
(11)J列(配合部门):填写缺陷整改需要参与并配合的部门名称。
附件六:《内控缺陷整改方案模板》
XXXX年内控评价缺陷整改方案
| A | B | C | D | E | F | G | H | I | J |
| 序号 | 业务模块 | 缺陷等级 | 缺陷概述 | 缺陷具体描述 | 责任部门 | 整改计划 | 整改计划完成时间 | 整改状态 | 备注 |
| 1 | |||||||||
| 2 | |||||||||
| 3 |
填写说明:
(1)B-F列:B列-F列的基本信息从内控缺陷与改善建议中获取。
(2)G列(整改计划):列明内控评价缺陷整改的具体措施与步骤。
(3)H列(整改计划完成时间):明确该项缺陷整改完成预计时间。
(4)I列(整改状态):根据整改实际情况填写“未开始”、“进行中”、“已
完成”等三种整改状态。
(5)J列(备注):可结合缺陷整改状态,对缺陷整改情况作进一步说明。
附件七:《内部控制评价报告模板》
安徽省建筑设计研究总院股份有限公司
20XX年度内部控制评价报告(模板)
XXXX:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求,结合安徽省建筑设计研究总院股份公司(以下简称“建研设计”或“公司”)内部控制要求,在内部控制日常监督和专项监督的基础上,我们对公司20XX年1月1日至20XX年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、董事会声明
说明:声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
示例:
公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。
建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立与实施内部控制进行监督;审计委员会负责组织领导公司内部控制的日常运行。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。
此外,由于内外部情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,故根据本内部控制评价结论推测公司未来内部控制的有效性具有一定的风险。
二、内部控制评价工作的组织和实施
(一)内部控制评价工作的总体情况
说明:对公司内部控制评价工作开展的全过程进行概括描述。描述评价工作的组织领导体制,主要负责人及汇报途径等。以及本次内部控制评价由本单位内部组织实施,或是聘请了中介机构(名称)实施。
示例:
公司董事会授权XXX部负责内部控制评价的具体组织实施工作,对纳入评价范围的业务领域和单位进行评价(描述评价工作的组织领导体制,一般包括评价工作组织结构图、主要负责人及汇报途径等)。本次内部控制评价由本单位XXX牵头组织内部各部门和子公司共同开展,并编制内部控制评价报告,未聘请外部中介机构实施内部控制评价工作。(或是聘请了XX中介机构共同组织实施,并编制内部控制评价报告)。
(二)内部控制评价的依据
说明:公司开展内部控制评价工作所依据的法律法规和规章制度。
示例:
本评价报告根据财政部等五部委联合发布的《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的要求,按照公司内部控制评价制度,在内部控制日常监督和专项监督的基础上,对公司截至20XX年X月X日内部控制的设计与运行的有效性进行评价。
(三)内部控制评价的范围
说明:主要描述公司内部控制评价的范围,涵盖的主要风险、主要子公司和部门、具体业务模块和事项,是否存在重大遗漏。
示例:
公司本次内部控制评价的范围涵盖了公司各部门及所属子公司的各种业务和事项,重点关注下列高风险领域(列示公司根据风险评估结果确定的重大风险)。纳入评价的主要部门和子公司包括X个(明确的范围)。纳入评价重点范围的主要业务模块包括X项,分别为(根据实际情况列示评价的重点业务模块具体名称)。
上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重大遗漏。
(如存在重大遗漏)公司本年度未能对以下内部控制重要方面进行内部控制评价:(对遗漏部门(子公司)和事项未能纳入评价范围的原因、对内部控制评价报告真实完整性产生的重大影响等进行说明。)
(四)内部控制评价的程序与方法
说明:主要描述公司内部控制评价工作采取的程序,以及评价工作中采用的主要方法。
示例:
公司内部控制评价工作严格遵循基本规范、评价指引以及公司关于内部控制评价的有关
程序和要求,(描述公司开展内部控制评价工作的基本流程)。评价过程中,我们采用了(问卷调查测试、个别访谈、专题讨论、穿行测试、实地查验、抽样和比较分析)等适当方法,广泛收集公司内部控制设计和运行是否有效的证据,如实填写评价工作底稿,分析、识别内部控制缺陷。本次内控评价累计向X个部门(单位)、X项业务、X人次开展了问卷调查测试,测试工作表单X张,检查制度或文件规范数X个、覆盖X个业务流程。共组织开展了X人次访谈,其中单位领导和部门领导X人、业务主管X人。组织开展了X次专题讨论会。进行了X项业务X个穿行测试,开展了X次实地查验,进行了X项业务抽样和比较分析。其他有关内控评价工作的具体情况。
三、内部控制缺陷及其认定
说明:主要描述公司内部控制缺陷认定标准,内部控制缺陷的认定、具体缺陷描述等情况。
(一)内部控制缺陷认定标准。
说明:对公司内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准进行说明和描述。
示例:
公司根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险水平等因素,确定了公司的内部控制缺陷认定标准(具体描述公司内部控制缺陷的定性及定量标准,并以附件表格形式具体列示)。
(二)公司内部控制缺陷。
说明:具体描述公司内部控制缺陷情况(该部分为评价报告的核心内容,需具体列示)。
示例:
根据上述认定标准,结合日常监督和专项监督情况,我们发现报告期内公司共存在(X个)缺陷,其中重大缺陷(X)个,重要缺陷(X)个,一般缺陷(X)个。各项缺陷的主要内容分别逐一列示如下(分别对重大、重要、一般缺陷逐一列示,具体描述缺陷内容及缺陷依据,说明对其实现相关目标的影响程度等)。
四、内部控制缺陷整改情况
说明:描述公司针对发现的内部控制缺陷已采取的整改措施、整改效果,以及今后拟进一步采取的整改方案和措施(首次开展内控评价的单位可只描述拟采取的整改方案和措施)。
示例:
针对报告期内发现的内部控制缺陷,公司已经采取了相应的整改措施(描述整改措施的具体内容和实际效果)。经过整改,公司在报告期末仍存在(X个)缺陷,其中重大缺陷(X)个,重要缺陷(X)个,一般缺陷(X)个。重大、重要缺陷分别为(对缺陷进行描述)。
针对报告期末未完成整改的各类缺陷,公司拟进一步采取相应措施加以整改(描述对各类缺陷的计划整改时间、整改措施、整改部门、整改负责人及预期达到的效果等具体内容)。
五、内部控制有效性的结论
说明:公司内部控制是否有效的结论。
示例:
我们已经根据基本规范、评价指引以及其他相关法律法规的要求,对公司截至20XX年XX月XX日的内部控制的设计与运行的有效性进行了自我评价。
(存在重大缺陷的情形)在报告期内,公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷(描述该缺陷的性质及其对事项相关控制目标的影响程度)。由于存在上述缺陷,可能会给公司未来经营带来相关风险(描述该风险)。
(不存在重大缺陷的情形)报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得到有效执行,达到了公司的控制目标,不存在重大缺陷。
六、其他内部控制相关重大事项说明
(一)内部控制期后事项披露
说明:主要描述期后事项对内部控制有效性结论的影响。期后事项是指自内部控制评价报告基准日至内部控制评价报告发出日之间发生的可能影响内部控制有效性的事项。
(二)公司本次内控评价工作其他需要说明的事项。
20XX年XX月XX日
手册更改状态表
| 版本号 | 修改号 | 修改条款 | 批准人 | 实施日期 |
| 第一版 | 0 | 发布 | ||