《内控评价管理制度及核心指标.docx》由会员分享,可在线阅读,更多相关《内控评价管理制度及核心指标.docx(17页珍藏版)》请在三一办公上搜索。
1、内控评价管理制度及核心指标第一章总则第一条为促进XX科技股份有限公司(以下简称“公司”)开展内部控制的设计与运行情况的全面评价,规范公司内部控制评价程序和评价报告,揭示和防范风险,根据企业内部控制基本规范企业内部控制评价指引和公司章程等相关规定,制定本制度。第二条本制度所称的内部控制评价,是指由公司董事会和管理层实施的,对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制有效性是指公司建立与实施内控能够为控制目标的实现提供合理的保证程度,包括内部控制设计的有效性和内部控制运行的有效性。第三条本制度适用于公司,及公司全资子公司、控股公司、拥有实际控制权的参股公司(以下统称“
2、子公司”)。第四条公司实施内部控制评价至少应当遵循下列原则:(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及公司所属单位的各种业务和事项。(二)重要性原则。评价工作应当在全面评价的基础上,根据风险发生的可能性及其对公司内控目标的影响程度,确定需要评价的重点业务单元、重要业务领域、重要流程环节和高风险领域。(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。(四)成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。第二章职责分工第五条公司董事会负责内部控制的建立健全和有效实施,审批内控评价报告,批准涉及内控重大缺陷、重要缺陷
3、的整改意见以及决定内控评价和检讨工作的合理性和充分性等。第六条公司董事会授权审计委员会负责内控评价工作安排、成果审议和工作监督等事项,其主要职责包括:(一)审批年度内部控制评价工作计划;(二)审议内部控制评价报告;(三)审议内部控制重大缺陷整改意见;(四)监督公司经营班子组织和领导开展内部控制评价工作;(五)协调公司经营班子安排足够行政资源推进内部控制评价工作和缺陷整改工作。第七条公司监事会对董事会建立与实施内控及内控评价制度的情况进行监督,审议内控评价报告。第八条公司经营班子负责组织领导企业内部控制的日常运行,为内控评价提供必要的行政资源,制定公司内控评价工作具体实施办法,(更多内容可关注公
4、众号CIA内审师小站)协调和解决内控评价过程中出现的重大事项,听取内控评价的工作安排、工作进展和评价报告,及时掌握公司内控风险监控结果,组织实施缺陷整改工作。公司经营班子可成立内控评价领导小组落实有关具体工作。第九条公司内控评价部门为风控审计部。根据审计委员会关于内控评价的工作要求和相关制度规定,负责公司内控评价的具体组织实施工作。第十条子公司是内控评价的基本主体单位,负责本单位内控自我评价工作。第三章内部控制评价的内容第十一条公司应当根据本制度的要求,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素,确定内控评价的具体内容,对内控设计和运行情况进行全面评价。第十二条评价范围是
5、公司及各子公司所有经营环节,及贯穿于经营活动各环节之中的各项管理制度。第十三条公司实施内控评价,包括对内部控制设计有效性和运行有效性的评价。内部控制(更多内容可关注公众号CIA内审师小站)设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。第十四条公司对被评价单位内部控制的有效性进行评价,应当至少涉及下列内容:(一)被评价单位内部控制是否在风险评估的基础上涵盖了公司层面的风险和所有重要的业务流程层面的风险。(二)被评价单位内部控制设计的方法是否适当、覆盖是否全面,内部控制建设的时间进度安排是否科学、阶段性工作要求是否
6、合理。(三)被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理。(四)被评价单位是否开展内部控制自查并上报有关自查报告。(五)被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。(六)被评价单位在评价期间是否出现过重大风险事故等。(七)内部控制具体评价内容应该建立在内部核心指标体系的基础上展开,每个指标需要逐级细化,具体参考附件2。第四章内部控制评价的组织和实施第十五条内控评价按照“统一领导,分级管理”的原则进行,即公司董事会负责领导、公司风控审计部负责具体组织和实施、公司各子公司负责本单位的内控评价工作。第十六条内控评价工作应当形成工作底稿,详细记
7、录公司执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿通过一系列评价表格来实现,对每个要素核心指标进行分解、评价,并最终汇总出评价结果。第十七条公司内控评价,一般包括年度评价和日常评价。年度评价是指公司根据内控目标,对公司某一年度建立与实施内控的有效性进行的评价。日常评价是指公司在特定时点对待定范围的内控的有效性进行的评价。年度评价为定期评价,(更多内容可关注公众号ClA内审师小站)在每年年度结束后,年度报告提交董事会审议之前,应完成定期检查并将内控评价报告提交审计委员会审阅。日常评价一般为不定期评价,根据需要视具体情况而定,不受检查时间和
8、检查次数的限制。第十八条公司管理层和各部门及各子公司应负责组织相关人员按检查评价部门的要求,积极配合并及时提供所需的原始凭证、报表、操作规程和书面报告等文件资料。第五章内部控制评价的程序和方法第十九条公司内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。第二十条年度检查评价的程序(一)每年年末,公司风控审计部拟订下一年度内部控制评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,经公司经营班子确认后报审计委员会批准后实施。(二)内控评价工作组组织公司各相关部门、各子公司按工作方案进行自查,编写自查
9、评价报告。(三)公司各相关部门、各子公司将自查评价报告上报内控评价工作组。(四)公司内控评价工作组通过实施现场检查对各相关部门、各子公司自查评价报告进行审核确认和再评价。(五)公司风控审计部对再评价结果进行汇总分析,编写公司年度内控评价报告,并上报审计委员会审阅。(六)公司审计委员会审议内控评价报告,对存在缺陷和问题,以及提出的意见和措施予以研究并形成决议。(七)公司风控审计部将审计委员会审议后的内控评价报告提交公司董事会审议并形成决议。公司监事会和独立董事亦应对此报告发表意见。(八)公司董事会在年度报告披露的同时,按规定披露年度内控评价报告,并披露会计事务所对年度内控评价报告的核实评价意见。
10、(九)公司风控审计部对于检查中发现的内控缺陷及实施中存在的问题,应在向董事会报告后进行追踪,以确定相关单位及时采取适当的改进措施。第二十一条除年度检查评价外,公司风控审计部应不定期的组织开展日常内控检查评价,对于检查中发现的内控缺陷及存在问题,应督促相关部门或单位落实整改措施,并持续改进。同时,风控审计部亦应代表董事会对公司内控的建立与执行情况进行审计,以规范管理,控制和防范风险。第二十二条内控评价工作组,应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,(更多内容可关注公众号CIA内审师小站)充分收集被评价单位内部控制设计和运行是否
11、有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。第二十三条风控审计部可根据情况可以委托中介机构实施内部控制专项评价和检查工作。为公司提供内部控制审计服务的中介机构,不得同时为公司提供内部控制评价服务。第六章内部控制缺陷的认定第二十四条内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的认定,按照规定的权限和程序进行。(一)以下任何一种情况出现,都意味着内控存在设计上的缺陷:1、针对某一控制目标,缺失必要的控制点;2、已有的内控设计不当,以致即使正确按设计的要求执行控制程序,也不能始终实现控制目标。(二)以下任何一种情况出现,都意味着内控存在执行上的缺陷:1、设计
12、恰当的内控,未按照设计的要求正确执行;2、控制执行人没有取得必要的授权或缺乏必要的胜任能力。第二十五条内控缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。(一)重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。(二)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。(三)一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。缺陷认定标准,应随着公司内控水平的提高进行适当的修订。第二十六条风控审计部应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、(更多内容可
13、关注公众号CIA内审师小站)表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或管理层报告。重大缺陷应当由公司董事会予以最终认定。(附件3、附件4)第二十七条对于认定的内部控制缺陷,公司经营班子应当按照公司董事会和审计委员会的要求,组织整改并向审计委员会及时通报整改情况;内部控制缺陷已经造成损失或负面影响的,应当追究有关部门或相关人员的责任。第七章内部控制评价报告第二十八条内部控制评价报告应当分别就内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。第二十九
14、条内部控制评价报告应当包括下列内容:(一)董事会对内部控制报告真实性的声明;(二)内部控制评价工作的总体情况;(三)内部控制评价的依据;(四)内部控制评价的范围;(五)内部控制评价的程序和方法;(六)内部控制缺陷及其认定情况;(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;(八)内部控制有效性的结论。第三十条内部控制评价报告报送公司经营班子审阅,报送公司审计委员会和监事会审议,经公司董事会批准后对外披露或报送相关部门。第三十一条风控审计部应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论按程序进行相应调整。第三
15、十二条公司内部控制审计报告与内部控制评价报告同时对外披露或报送。第三十三条公司以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月报出。第三十四条公司内部控制评价的报告、工作底稿、证明材料及相关材料,由风控审计部负责整理并妥善保管。第八章内控评价的监督及奖惩措施第三十五条公司管理层和董事会应当根据评价结论对相关部门、单位或人员给予适当的奖励和惩戒。第九章附则第三十六条本制度未尽事宜,或本制度与本制度生效后不时颁布或修订的法律法规、部门规章、规范性文件及公司章程的规定相冲突的,以法律法规、部门规章、规范性文件及公司章程的规定为准。第三十七条本制度由公司风控审计部负责
16、修订和解释。第三十八条本制度经公司董事会审议通过后实施。第三十九条附件附件1:内控评价工作流程图附件2:内部控制评价核心指标附件3:内部控制缺陷认定汇总表附件4:内控缺陷及改进建议汇总表附件1附件2内部控1卿价犊心指标核心指标参考标准一、内部环境(一)组织机构董事会、监事会、管理层的相互制衡董事会及各专门委员会、监事会和管理层的职责权限、任职资格和议事规则是否明确并严格执行董事会、监事会、管理层致力于内控建设和执行1,是否科学界定了董事会、监事会、管理层在建立与实施内控的职责分工2.董事会是否采取了必要的措施促进和推动企业内控工作,按照职责分工提出内控评价意见,定期听取内除告,督促内控整改,修
17、订内控制度组织架构设置科学、精简、部人透明、权责匹配,相互制衡1.组织机构设置是否与企业业务特点相一致,能够控制盾项业务关雌制环境,各司其职、各尽其责,不存在冗余的部门或多余的控I2是否明确了权责分配,制定了权限指引并保持权责行使的透明组织机构适应性是否定期梳理,评估企业治理结构和内部机构设置,发现问题及时采取措施加以优化调整,是否定期听取董事、监事、高级管理人员和其他员工的意见,按照规定的权限和程序进行决策审批。组织架构对于公司的控制力是否通过合法有效的形式履行出资人职责,哪出资人权益,特别关注异地子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任
18、免、内控体系建设等重要事项(二)发展战略发展战略科学合理,既不激进,到位L企业是否综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况,可利用自有水平和自身优势与劣势等影响因素制定科学合理的发展战略2.是否根据发展目标制定战略规划,确定不同发展阶段的具体目标,工作任务和实施路径3.是否指定相关机构负责发展战略管理工作,是否明确管理机构的职责和履行情况4.是否对发展战略进行可行性研究和科学论证,并报董事会和股东大会审议批准发展战略有效实施1.是否制定年度工作计划,编制全面预算,确保发展战略的有效实施2.是否采取有效方式,将发展战略及其分解落实情况,传递到内部各管理层全体员工
19、发展战略科学调整是否及时监控发展战略实施清况,并根据环境变化及风险评估等情况及时对发展战略做出调整核心指标参考标准(三)人力资源政策人力资源结构合理,能够满足企业需要1.人力资源政策是否有利于企业可持续发展和内控的有效执行2.是否明确各卤位职责权限、任职条件和工作要求,选拔是否公开、公平、公正,是否因事设卤、以岗选人人力资源开发机制健全有效L是否制定并实施关于员工聘用、培训、辞退与辞职、薪酬、考核、健康与安全、晋升与奖惩等方面的管理制度2.是否建立员工培训长效机制,培训是否能满足职工和业务责位需要,是否存在员工知识老化人力资源激励约束健全有效1.是否设置科学的业绩考核指标体系,并严格考核评价,
20、以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据2.是否存在人才流失现象3.是否对关键岗位员工有强制休假制度或定期轮岗制度等方面的安排4.是否对掌握国家机密或重要商业秘密的员工寓面有限制性规定5,是否将有效执行内控纳入企业绩效考评体系(四)社会责任安全生产体系,机制健全有效1.是否建立严格的安全生产管理体系、操作规范和应急预案,切实做到安全生产2.是否落实安全生产责任,对安全生产的投入,包括人力、物力等,是否能保证及时发现、排除生产安全隐患3.发生生产安全事故,是否妥善处理,排除故障、减轻损失、追究责任,是否有迟报、谎报、瞒报重大生产安全事故现象产品质量体系健全有效是否健全质量管理体系
21、,健全产品质量控制和检验制度并严格执行,是否有良好的售后服务,能够妥善处理客户提出的投诉和建议,建立完善的客户服务体系切实履行环境保护和资源节约责任1.是否制定环境保护与资源节约制度,采取措施促进环境保护,生态建设和资源节约并实现节能减排目标2.是否实施清洁生产,合理开发利用不可再生资源促进就业和保护员工权益1.是否依法保护员工的合法权益,保持工作岗位相对稳定,积极促进充分就业,是否建立高级管理人员与员工薪酬的正常增长机制2.是否实现按劳分配,同工同酬,建立科学的员工薪酬制度和激励机制3.是否及时办理员工社会保险,足额缴纳社会保险费4.是否维护员工健康,落实休息休假制度5.是否积极开展员工职业
22、教育培训,创造平等发展机会核心指标参考标准(五)企业文化企业文化具有凝聚力和竞争力,促进企业可持续发展1.是否采取切实有效的措施,积极培育具有自身特色的企业文化,打造以主业为核心的企业名牌,促进企业长远发展2.企业董事、监事、高级管理人员是否在文化建设和履行社会责任中起到表率作用,是否促进文化建设在内部各层级的有效沟通3.是否做得文化建设与发展战略的有机结合,使员工自身价值在企业发展中得到充分体现4.是否重视并购重组后的企业文化建设,平等对待被并购方的员工,促进并购双方的文化融合企业文化评估具有客观性、实效性1.是否建立企业文化评估制度,重点对董事、监事、高级管理人员在企业文化建设中的责任履行
23、情况,全体员工对企业核心价值观的认同感,企业经营管理行为与企业文化的一致性,企业品牌的社会影响力,参与企业并购重组各方文化的融合度,以及员工对企业未来发展的信心做出评估2.是否真的结果是否巩固和发展文化建设成果,进而研究影响企业文化建设的不利因素,分析深层次的原因,及时采取措施加以改进二、风险评估目标设定1,企业层面是否有明确的目标,目标是否具有广泛的认识基础,企业战略是否与企业目标相匹配2.业务层面,各业务层面目标是否与企业目标一致,各业务层面目标是否衔接一致,各业务层面目标是否具有操作指导性3.是否结合企业的风险偏好,确定相应的风睑承受度风险识别1.目标是否层层分解并确立关键业务或事项2.
24、是否持续性的收集相关信息,内外部风险识别机制是否健全,是否识别影响公司目标事项的风险3.是否根据关键业务或事项分析关键成功因素4.是否识别影响公司目标实现的风险风睑分析1.风险分析技术方法的适用性2结合风睑发生可能性和影响程度标准划分风险等级的准确性3.风险发生后负面影响判断的准确性风睑应对L风险应对策略与公司战略、企业文化的一致性2.风险承受度与风险应对策略的匹配程度三、控制活动(一)控制活动的设计核心指标参考标准控制措施足以覆盖企业重要风险,不存在控制缺失、控制过度1.是否针对企业内部环境设立了相应的控制措施2.各项控制措施的设计是否与风险应对策略相适应3.各项主要义务控制措施是否完整、恰
25、当4.是否针对非常规性、非系统性业务事项制定相应的控制措施,并定期对其执行情况进行检查分析5.是否建立重大风险预警机制和突发事件应急处理机制,相关应急预案的处置程序和处理结果是否有效(二)控制活动的运行控制活动运行符合控制措施规定针对各类业务事项的主要风睑和关键环节所制定的各类控制方法和控制措施是否得以有效实施四、信息与沟通信息收集处理何传递及时、准确、适用是否有透明高效的信息收集、处理、传递程序,合理筛选、核对、整合与经营管理和内部控制相关信息反舞弊机制健全1.是否建立健全并有效实施的反舞弊机制2.举报投诉制度和举报人保护制度是否及时、准确传达到企业全体员工3.对舞弊事件和举报所涉及的问题是
26、否及时、妥善作出处理沟通顺畅1.信息在企业内部各层级之间,企业与外部有关方之间的沟通是否有效2.董事会、监事会和管理层是否能够及时掌握经营管理和内控的重要信息并进行应对3.员工诉求是否有顺畅的反映渠道利用信息化程度1.企业是否建立与经营管理相适应的信息系统,利用信息技术提高对业务事项的自动控制水平2.在信息系统的开发过程中,是否对信息技术风睑进行识别、评估和防范3.信息系统的一般控制是否涵盖信息系统开发与维护、询问与变更、数据输入与输出、文件储存与保管、网络安全、硬件设备、操作人员等方面,确保信息系统安全稳定运行4.信息系统的应用控制是否紧密结合业务事项进行,利用信息技术固化流程,提高效率,减
27、少或消除人为操纵因素5.信息系统是否建立并保持相关信息交流与沟通的记录五、内部监督内部监督能够覆盖并监控企业日常业务活动1.管理层是否定期与内控机构沟通评价结果,并积极整改2.是否落实职能部门和所属单位在日常监督中的责任,及时识别环境和业务变化核心指标参考标准3 .日常监督的内容是否为经过分析确认的关键控制并有效控制,是否按重要程度将发行问题如实反馈给内控机构,是否积极采取整改措施4 .日常监督用以证明内控有效性的信息是否适当和充分,监督人员是否具有胜任能力和客观性5 .内部审计的独立性是否得以保障,审计委员会和内审机构是否独立,充分履行监督职责,审计监督与内控沟通是否顺畅6 .是否开展了必要
28、的专项监督7 .内控机构是否追踪重大风险和重要业务,是否制定内控自我评价办法和考核奖惩办法,明确评价主体、职责权限、工作程序和有关要求,定期组织开展内控自我评价,报送评价报告,合理认定内控缺陷并分析原因,提出整改方案建议。内控缺陷认定科学、客观、合理,且报送机制健全1 .内控机构是否制定科学的内控缺陷认定标准并予以一贯的执行2 .是否对控制缺陷进行全面、深入的探究分析,提出并实施整改方案,采取适当的形式及时向董事会、监事会或管理层报告,监督业务部门整改,重大缺陷按规定予以披露3 .对发现的内控重大缺陷,是否追究相关责任单位和责任人的责任4 .是否建立内控缺陷信息数据库,并对历年发现内控缺陷及其
29、整改情况进行跟踪检查内控建设与评价文档妥善保管1 .是否采取书面或其他适当方式对内控的建立与实施情况进行记录2 .是否妥善保管内控相关记录和资料,确保内控建立于实施过中的可验证性3 .对暂未建立健全的有关内控文档或记录,是否有证据表明已实施了有效控制或者替代控制措施附件3内部控制缺陷认定始赛被评价单位:评价期间:年月日至年月B经检查小组判定,缺陷合计个,其中一般缺陷各,重要缺陷各;重大缺陷个。缺陷事项描述判定依据(流程/控制点/判定相关资料及原因)缺陷等级缺陷等级标准:C:一般缺陷:直接财产损失?万-?万元或受到省级(含)以下政府部门处罚单未对公司定期报告披露造成负面影响。B:重要缺陷:直接财产损失?万一?万元或受到国家政府部门处罚单未对公司定期报告披露造成负面影响OA:重大缺陷:直接财产损失?万元以上,或已经对外正式披露并对公司定期报告披露造成负面影响。附件4内控缺陷及改进议汇总衰序号缺陷描述缺陷类型缺陷性质风险及影响整改建议责任部门/责任人管理层整改it划酬完成期限备注三:审核:
