1、方法-008 内部控制评价管理方法这里是页脚这里是页眉这里是页脚中国XXX集团一体化管理体系三层次文件内部控制评价管理方法XXX/审计部-方法-008-2023版本实施日期审核批准三2023.3.1XXX 16 这里是页脚内部控制评价管理方法1目的和范围为了促进中国XXX集团(以下简称“XXX或“公司)全面评价公司内部控制的设计与运行情况,推动内部管理提升和完善内控体系建设,标准内部控制评价程序和评价报告,及时揭示和防范风险,提高公司经营管理水平和风险防范能力,保障国有资产的安全,根据企业内部控制根本标准、企业内部控制应用指引、企业内部控制评价指引及XXX集团内部控制评价管理方法要求,结合XX
2、X的实际情况,特制定本方法。本方法属于公司管理体系三层次文件中的第二级,其上级文件为审计管理程序。此文件不需二级单位编制实施细那么。本方法适用于中国XXX及其所属的各二级单位及直管项目部内部控制评价管理。2相关术语2.1本方法所称的内部控制评价是指对公司内部控制有效性进行全面评价,形成评价结论,出具评价报告的过程;内部控制有效性是指公司建立与实施内部控制能够为控制目标的实现提供合理的保证。3本方法主要应对的风险点3.1审计体系不健全、保障机制不到位,可能导致内部审计工作难以持续健康开展;3.2审计机构设置不科学、人员结构不合理,可能导致内部审计工作难以有效开展;3.3审计程序不标准、标准不统一
3、,可能导致内部审计工作质量难以可靠控制。3.4审计责权不清晰、奖惩不到位,可能导致内部审计工作效率和效果难以满足需要;4公司实施内部控制评价,应当遵循以下原那么4.1全面性原那么。评价工作应当包括内部控制的设计与运行和监督的全过程,涵盖公司及其所属各单位的各种业务和事项。4.2重要性原那么。评价工作应当在全面控制评价的根底上,着眼于风险,突出重点。4.3客观性原那么。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计的恰当性和运行的有效性。4.4风险导向原那么。内部控制评价应当以风险评估为根底,根据风险发生的可能性和对公司单个或整体控制目标造成的影响程度来确定需要评价的重点项目(单
4、位)、重要业务领域、关键流程环节。4.5公允性原那么。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。4.6独立性原那么。内部控制评价机构确实定及评价工作的组织实施应当保持相应的独立性。5 内部控制评价机构设置与职责分工5.1 公司党组织、主要负责人负责领导公司的内部控制评价工作,对内部控制评价报告的真实性负责。其主要职责包括:审阅批准公司内部控制标准实施工作方案;批准由公司管理层提交的涉及内部控制整改的重大决策、重大风险、重大事项;审议批准公司年度内部控制自我评价报告。5.2 管理层负责组织领导公司内部控制制度的设计与运行。对内部控制制度的有效执行承当责任。其主要职责包括:审议公
5、司内部控制制度设计方案、批准执行;协调和解决公司内部控制评价过程中出现的重大、重要事项;听取和了解公司日常内部控制风险监控结果,负责组织内部控制日常运行情况的 检查,根据内部控制缺陷情况,审议内部控制整改方案和措施,对整改正程中出现的相关重大事项按照相关授权进行决策;审议公司年度内部控制评价报告,并提出相关意见和建议。5.3 公司企业管理部是内部控制制度设计与运行组织的主责部门,其他各职能部门是内部控制制度设计与运行的主责部门。审计部为公司内部控制评价工作的主责部门,负责内部控制测试、监督检查与评价工作,编制公司内部控制自我评价报告。其主要职责包括:制定年度内部控制评价工作方案;落实公司内部控
6、制标准实施工作方案中有关内部控制评价工作并组织实施;对公司总部各职能部门、各单位内部控制的建立和运行情况进行监督评价,编制 公司内部控制自我评价报告;对各单位内部控制工作进行监督检查,指导各单位开展内部控制自我评价工作,出具内部控制自我评价报告;配合上级机构或业务主管部门加强内部控制评价工作的沟通联系,按规定报送相关资料等。5.4 公司总部各职能部门和各单位是内部控制评价的参与单位。各单位在公司总部各职能部门的指导下负责组织对本单位内部控制的自查和完善整改工作;按要求上报内部控制自查报告和整改方案及整改结果。审计部在XXX集团的指导下负责组织对各职能部门、各单位内部控制的测试、监督检查和评价工
7、作,对发现的内部控制设计和运行缺陷提出整改意见,并监督其落实整改情况;按要求上报年度内部控制自我评价报告。6内部控制评价工作内容6.1 公司应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,针对内部控制设计与运行情况进行全面评价。6.2公司组织开展内部控制环境评价,主要以组织架构、开展战略、人力资源、企业文化、社会责任等应用指引为依据,结合公司的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。6.3 公司组织开展风险评估机制评价,以企业内部控制根本标准有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合公司的内部控制制度,对日常经
8、营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。6.4公司组织开展控制活动评价,以企业内部控制 根本标准和各项应用指引中的控制措施为依据,结合公司的内部控制制度,对公司各种业务和事项相关控制措施的设计和执行情况进行认定和评价。6.5公司组织开展信息与沟通评价,主要以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合公司对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。6.6公司组织开展内部监督评价,以企业内部控制根本标准有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,
9、结合公司对各项业务事项进行日常监督和专项监督的相关控制措施,对公司内部监督机制的有效性进行认定和评价。6.7按照XXX集团的要求,内部控制评价工作要形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。7内部控制评价工作内容7.1 公司应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,针对内部控制设计与运行情况进行全面评价。7.2 公司组织开展内部控制环境评价,主要以组织架构、开展战略、人力资源、企业文化、社会责任等应用指引为依据,结合公司的内部控制制度,对内部环境的设计及实际运行情况进行认定和
10、评价。7.3公司组织开展风险评估机制评价,以企业内部控制根本标准有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合公司的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。7.4公司组织开展控制活动评价,以企业内部控制 根本标准和各项应用指引中的控制措施为依据,结合公司的内部控制制度,对公司各种业务和事项相关控制措施的设计和执行情况进行认定和评价。7.5公司组织开展信息与沟通评价,主要以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合公司对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实
11、施内部控制的有效性等进行认定和评价。7.6公司组织开展内部监督评价,以企业内部控制根本标准有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合公司对各项业务事项进行日常监督和专项监督的相关控制措施,对公司内部监督机制的有效性进行认定和评价。7.7按照XXX集团的要求,内部控制评价工作要形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。8 内部控制评价的程序和方法8.1 公司开展内部控制评价的程序一般包括:制定评价工作方案、实施评价活动(即组成检查工作组、实施现场测试、认定控制缺陷、汇总评价结果等)、编制评价报告等环节
12、。根据公司机构设置及职责分工,审计部负责公司内部控制评价的具体组织实施工作。8.2 公司在实施内部控制评价工作过程中,应拟定评价工作方案,明确纳入评价工作的范围和业务事项,协调、指导各职能部门完善评价工作底稿,明确评价进度安排、人员组织等相关内容。制订评价实施方案。实施方案应明确本次评价工作的目的、范围、组织、标准、方法、进度安排和相应的资源配置;内部控制评价范围确实定应当遵循风险导向、自上而下的原那么来确定需要评价的项目(单位)、重要业务领域、关键流程环节;准备必要的工作文件。主要包括评价问卷、抽样方案、被评价单位的内部控制体系文件及相关记录,发出评价通知等。8.3 根据评价工作方案,组成内
13、控评价工作组,具体实施内部控制评价工作。8.4 内控评价工作组应当对被评价单位进行现场测试,通过综合运用个别访谈、调查问卷、专项讨论、穿行测试、实地查验、抽样和比拟分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。8.5 各单位在日常经营管理中,结合本单位的内部控制制度,按照各职能部门有关内部控制自我检查的工作部署,对本单位内部控制设计和运行情况进行梳理,形成自我检查报告,在规定期限内上报自查报告,相关职能部门汇总后上报审计部;针对内控缺欠,及时进行整改和完善。各职能部门应结合公司的内部控制制度,对各单位内部控制设计
14、和运行的有效性进行不定期的检查、监督,针对检查、监督过程中梳理出的控制缺陷进行汇总并下发整改意见,各单位要在整改意见下发后认真部署,进一步完善内部控制制度,并在规定期限内上报缺陷整改报告。各职能部门将根据整改实施情况对各单位内控缺陷整改结果进行回访检查。8.6 审计部根据公司内部控制评价工作方案实施结果,汇总经核实的证据、认定控制缺陷、出具评价结论,编制公司年度内部控制自我评价报告,并按规定程序报送公司主管领导审批。9 内部控制缺陷认定标准9.1 内部控制缺陷认定在一定程度上决定内部控制评价的成效。内部控制缺陷包括设计缺陷和运行缺陷。内部控制缺陷的认定,以日常各职能部门监督和专项监督为根底,结
15、合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。9.2 公司在日常监督、专项监督和年度评价工作中,应当充分发挥各职能部门监督和内部控制评价工作组的作用,根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。9.3 依据企业内部控制根本标准、企业内部控制评价指引等要求,结合公司规模、行业特征、风险水平等因素,并根据XXX集团内部控制评价管理方法对重大缺陷、重要缺陷、一般缺陷的认定标准,按其经营管控目标分为财务报告内部控制缺陷和非财务报告内部控制缺陷。财务报告内部控制缺陷的认定标准1定性标准重大缺陷,是指单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中的重大错报。出现以下情形的认定为重大缺陷: 董事、监事和高级管理人员舞弊;公司更正已对外公布的财务报告;注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;公司内部监督部门对内部控制的监督无效等。重要缺陷,是指单独或连同其他缺陷导致不能及时防止或发现并纠正财务报告中虽然未到
