张新陇：xx公司内部控制评价暂行办法(适用于集团公司下属三级公司使用)

第一篇：张新陇：xx公司内部控制评价暂行办法(适用于集团公司下属三级公司使用)

xx公司内部控制评价管理暂行办法

（适用于集团公司下属三级公司使用）

第一章 总 则

第一条 为全面评价xx公司（以下简称公司）内部控制的设计和运行情况，规范内部控制评价程序和评价报告，持续完善公司内部控制，根据财政部等五部委下发的《企业内部控制基本规范》《企业内部控制评价指引》及《xx集团公司内部控制评价管理暂行办法》《xx管理公司内部控制评价管理暂行办法》等要求，结合公司实际情况，制定本办法。

第二条 本办法所称内部控制评价，是指公司董事会对内部控制的有效性进行全面评价，形成评价结论、出具评价报告的过程。

第三条 公司实施内部控制评价应遵循下列原则：

（一）全面性原则 评价工作应当包括内部控制的设计与运行，涵盖公司各种业务和事项。

（二）重要性原则 评价工作应当在全面评价的基础上，关注重要业务部门、重大业务事项和高风险领域。

（三）客观性原则 评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

第二章 内部控制评价组织机构及职责

第四条 公司董事会负责并授权综合管理部对公司内部控制的有效性进行评价。

第五条 综合管理部负责具体组织和实施公司内部控制评价工作。

第六条 公司董事会的主要职责是审批公司年度内部控制评价报告，对内部控制评价报告的真实性负责。

（一）审批公司年度内部控制评价计划、实施方案和内部控制缺陷认定标准；

（二）指导并监督综合管理部实施内部控制评价工作，负责内部控制评价工作质量控制；

（三）审议公司内部控制评价报告；

（四）审议公司内部控制缺陷整改情况报告。第七条综合管理部的主要职责

（一）制定年度内部控制评价计划和实施方案，具体组织实施公司内部控制评价工作；

（二）制定公司内部控制缺陷认定标准，并对控制缺陷进行初步认定；

（三）按照《xx集团公司内部控制评价手册》要求，规范内部控制评价工作底稿模板，指导、协调公司各部门及所属企业内部控制评价工作；

（四）按照内部控制评价计划，开展公司内部控制独立检查；

（五）汇总各部门及所属企业内部控制评价工作底稿，结

合独立检查情况，编制公司年度内部控制评价报告；

（六）监督各部门及所属企业内部控制缺陷整改，汇总整改完成情况，并按照规定程序向公司总经理会议报告。

第八条公司各部门的主要职责：

（一）对业务领域内的内部控制进行自我评价，并将自我评价情况形成内部控制评价工作底稿报送综合管理部；

（二）参与、配合xx管理公司纪检监察工作部内部控制独立检查，包括提供资料、配合访谈、沟通与确认缺陷等；

（三）对内部控制自我评价、独立检查和外部审计发现的问题，制定并落实整改计划和方案，及时报送整改情况。

第九条 公司所属企业的主要职责

（一）对本企业的内部控制进行自我评价，并将自我评价情况及评价报告报送综合管理部；

（二）参与、配合上级部门内部控制独立检查工作，包括提供资料、配合访谈、沟通及确认缺陷。

第三章 内部控制评价内容

第十条 公司以财政部等五部委《企业内部控制基本规范》、《企业内部控制应用指引》和《企业内部控制评价指引》 为依据，结合公司各项内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通和内部监督等五个要素，从公司层面、业务流程层面和信息系统三个层面，确定内部控制评价的具体内容，对内部控制的设计与运行有效性进行全面评价。

第十一条 公司层面的评价，包括组织架构、发展战略、人力资源、企业文化（涵盖员工行为守则和管理层基调与态度）、社会责任、风险评估、信息收集、信息传递、反舞弊和内部监督机制等内容。

第十二条 公司层面评价重点关注治理结构是否形同虚设，发展战略是否可行，机构设臵是否重叠，权责分配是否明晰，不相容岗位是否分离，人力资源政策和激励约束机制是否科学合理，企业文化是否促进员工勤勉尽责，社会责任是否有效履行；经营管理过程中风险识别、风险分析、应对策略等是否科学、合理并符合公司实际；信息收集、处理和传递是否准确、及时；反舞弊机制是否健全；内部监督机制是否有效等。

第十三条 业务流程层面的评价，包括人力资源管理、销售与收款、采购与付款、项目管理、资产管理、生产管理、法律与合规、安全环保健康、财务流程、资金管理、研究与开发等企业生产经营业务流程。

第十四条 业务流程层面评价重点关注各业务流程是否通过手工控制与自动控制、预防性控制与检查性控制相结合的方法，运用不相容职务分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等各种内部控制措施，将风险控制在公司可承受度之内。

第十五条 信息系统层面的评价，包括IT治理与基础环境、信息系统开发、信息系统变更、信息系统运行与维护等流程。

第十六条 信息系统层面评价重点关注信息系统是否安全有效、系统权限设臵是否恰当、系统变更是否都得到了恰当授权并完整记录、业务持续性计划是否完善、利用信息系统实施业务流程内部控制是否有效等内容。

第十七条 内部控制评价工作应形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿遵循集团总部设计模板，内容应体现证据充分、简单易行、便于操作。

第四章 内部控制评价程序

第十八条 综合管理部制定年度内部控制评价工作计划和方案，明确独立检查的范围、检查内容、人员组织、进度安排等相关内容，提交公司董事会批准。

第十九条 公司本部及所属企业至少每年对本单位基于6月30日（年中评价）和12月31日（年度评价）的内部控制分别进行一次内部控制评价。

第二十条 公司各部门及所属企业需形成内部控制评价工作底稿，经本部门和企业负责人签字后报送综合管理部。

第二十一条 综合管理部按经批准的独立检查工作计划和方案，对检查范围内的部门和企业进行独立检查。

第二十二条 公司综合管理部进行内部控制独立检查时，可组织其他部门业务骨干人员、财务内部人员或下属企业人员

组成临时检查组。检查组综合运用访谈、观察、检查和再执行等方法，检查被评价部门和企业内部控制评价工作开展情况，并对其内部控制进行现场测试，充分收集被评价部门内部控制设计和运行是否有效的证据，按照内控评价的具体内容，认真复核评价工作底稿，确保评价质量，对发现问题进行汇总和缺陷认定，形成内部控制缺陷汇总表，提交公司总经理会议审议。

第二十三条 公司综合管理部汇总公司各部门和企业内部控制评价工作底稿，结合独立检查情况，编制公司年度内部控制评价报告。

第二十四条 综合管理部对公司各部门和企业内部控制评价和外部审计发现问题的整改情况进行监督，并将整改情况向公司董事会报告。

第二十五条 公司可以委托中介机构协助进行内部控制评价工作。

第五章 内部控制缺陷认定

第二十六条 内部控制缺陷按缺陷成因分为设计缺陷和运行缺陷。

设计缺陷是指缺少为实现控制目标所必须的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。

执行缺陷是指内部控制设计有效、合理且适当，但由于执行不当而形成的内部控制缺陷，包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效

运行等。

第二十七条 内部控制缺陷按是否可能影响财务报表错报分为财务报告内部控制缺陷和非财务报告内部控制缺陷。

财务报告内部控制缺陷是指直接影响财务报表的真实性和完整性的缺陷。

非财务报告内部控制缺陷是指不直接影响财务报表，但可能影响企业目标实现、经营效益和日常运营的缺陷。

第二十八条 内部控制缺陷按缺陷影响程度分为重大缺陷、重要缺陷和一般缺陷三个等级，具体定义如下：

（一）重大缺陷。指一个或多个控制缺陷的组合，可能导致被测试主体严重偏离控制目标。

（二）重要缺陷。指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致被测试主体偏离控制目标。

（三）一般缺陷。指除重大缺陷、重要缺陷之外的其他缺陷。

第二十九条 公司分别制定财务报告内部控制缺陷和非财务报告内部控制缺陷认定标准，并在内部控制评价报告中披露。

第三十条 公司在进行年度内部控制评价时，公司综合管理部汇总各部门和企业内部控制缺陷，编制缺陷认定汇总表，结合独立检查及缺陷整改情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，按公司缺陷认定

标准进行再次认定，提出初步认定意见，报公司总经理会议审议予以最终认定。

第三十一条 公司根据缺陷认定结果出具内部控制有效性结论。只要存在一项重大缺陷，内部控制即为无效；若仅存在重要缺陷和一般缺陷，内部控制一般仍为有效。

第六章 内部控制评价报告

第三十二条 公司以12月31日为年度内部控制评价报告的基准日。

第三十三条 内部控制评价报告至少包括以下内容，具体格式应符合集团公司的要求。

（一）管理层对内部控制报告的责任申明；

（二）内部控制评价结论；

（三）内部控制评价工作情况，包括内部控制评价范围、财务报告内部控制缺陷认定标准、非财务报告内部控制缺陷认定标准、财务报告内部控制缺陷认定及整改情况、非财务报告内部控制缺陷认定及整改情况等内容。；

（四）其他内部控制相关重大事项说明。

第三十四条 公司内部控制评价报告须经公司董事会批准后，由董事长（授权）签字，按规定时间内向xx管理公司报送。

第三十五条 公司内部控制在基准日至内部控制评价报告发出日之间发生重大变化的，综合管理部应根据其性质和影

响程度对评价结论进行相应调整，并按规定流程报公司董事会审批。

第三十六条 公司内部控制评价的有关工作计划和方案、工作底稿和评价报告等资料，应妥善保管，保管期不少于10年。

第七章 内部控制评价奖惩

第三十七条 公司根据各部门和企业内部控制评价工作的完成情况、内部控制评价工作文档正确性、完整性、内部控制缺陷整改情况等评价各部门和企业内部控制评价工作开展情况，并对相关部门和企业提出表扬或批评。

第三十八条 对独立检查时发现未报告的重要及重大缺陷的部门和企业，或外部内部控制审计时发现自我评价未发现的重大或重要缺陷的部门和企业，按照相关规定对该部门和企业进行考核扣罚。

第三十九条 对因内部控制缺陷造成损失的，按照相关规定，严肃追究责任部门或责任人的责任；构成犯罪的，移交司法机关依法追究刑事责任。

第八章 附则

第四十条 本办法由综合管理部负责解释及修订。第四十一条 本办法没有规定或与国家法律法规、规范性文件及企业章程规定不一致的，以国家法律法规、规范性文件及企业章程规定为准。

第四十二条 本办法自发布之日起实施。

附件：xx公司内部控制缺陷认定标准