企业内部控制评价手册模版

内部控制评价手册

xxxx股份有限公司

目录

第一章手册说明 (1)

一目的、意义及原则 (1)

二法律依据与标准 (1)

三适用范围 (1)

四内部控制机构、职责与权限 (2)

五编写、使用、维护与发布 (3)

第二章内部控制评价概述 (5)

一评价原则 (5)

二评价程序 (5)

三评价频率 (5)

第三章评价准备 (6)

一制定评价工作方案 (6)

二内部控制评价方案的参考格式 (6)

三组成评价工作组 (9)

第四章编制评价报告 (10)

一内部控制缺陷类型 (10)

二内部控制缺陷等级 (10)

三内部控制缺陷认定 (11)

四内部控制评价报告 (13)

五内部控制评价报告的参考格式 (14)

第五章评价实施 (18)

一内部控制评价方法 (18)

二内部控制评价工作底稿 (19)

第六章监督与改进 (30)

一改进建议实施方案 (30)

二内部控制评价的考核 (31)

第一章手册说明

一目的、意义及原则

为了促进企业全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，xxxx股份有限公司（以下称“公司”）按照财政部等五部委《企业内部控制基本规范》、《企业内部控制评价指引》的基本要求，汲取国内外其他公司内部控制体系建设的先进经验，根据公司内部控制管理实际编制和实施《内部控制评价手册》（以下简称《手册》）。

通过本《手册》，建立统一、规范的内部控制评价程序、标准，明确评价职责权限，为公司内部控制评价提供指引。

本《手册》编写遵循以下原则：

1）贯彻落实公司有关内部控制的基本要求和公司《内部控制管理手册》，将风险评估、流程控制、监督评价及管理改进的基本内容具体落实到内部控制评价工作中去，力求将内部控制和风险控制理念转化为企业管理的实际行动。

2）以强化风险控制力为主线，按照《内部控制管理手册》的要求，从风险评估结果和提高经营效率的角度出发，将主要风险细化到具体的管控流程，制定相应的控制措施和检查方法。各责任部门、单位通过对风险控制效率、效果的评价和检查，持续改进管控活动。

3）建立内部控制评价与改进机制，将自我评价、改进的方法和理念引入内部控制检查评价工作，促使公司各单位在管理过程中，不断进行自我总结和自我完善。

二法律依据与标准

本《手册》编写依据的法律、法规、部门规章和指引。

1）《企业内部控制基本规范》；

2）《企业内部控制评价指引》；

3）《内部控制管理手册》。

三适用范围

本《手册》所描述的内部控制体系覆盖并适用于：

1）公司及城市事业部（系指全资子公司、分公司及其他虚拟主体的统称）、控股子公司各部门；

2）公司内部控制体系所涉及的年度评价活动、专项评价活动参照本手册。

本《手册》与《内部控制管理手册》共同构成公司的内部控制体系。

四内部控制机构、职责与权限

公司内部控制和风险管理体系工作，在董事会领导下形成决策、管理、执行、监督四个层次的管理架构：

1.决策机构

1）董事会对内部控制评价承担最终的责任，应当对《内部控制评价报告》的真实性负责；

2）董事会授权审计委员会承担对内部控制评价的组织、领导、监督职责；

3）董事会应听取《内部控制评价报告》，审定内部控制重大缺陷、重要缺陷整改意见，对内部控制部门在督促整改中遇到的困难积极协调，排除障碍。

2.管理机构

1）经理层应负责组织实施内部控制评价工作。经理层授权审计部实施内部控制评价的具体执行工作，并积极支持和配合内部控制评价的开展，创造良好的环境和条件；

2）经理层应结合日常掌握的业务情况，为内部控制评价方案提出应重点关注的业务或事项，审定《内部控制评价方案》和听取《内部控制评价报告》；

3）经理层对测试结果进行汇总、确认和分析，并向董事会汇报；

4）经理层应按照董事会的整改意见积极采取有效措施予以整改；

5）经理层协助董事会秘书处理对外披露相关事宜。

3.内部控制评价机构

1）审计部牵头，由公司各职能部门、城市事业部、控股子公司组成内部控制评价工作小组，内部控制评价工作小组根据经理层授权承担内部控制评价的具体组织实施任务，通过复核、汇总、分析内部监督资料，结合经理层要求，拟订合理评价工作方案并认真组织实施；

2）内部控制评价工作小组负责内部控制评价的具体实施工作，包括评价工作的组织、协调、指导；

3）内部控制评价工作小组对于评价过程中发现的重大问题，应及时与董事会、审计委员会或经理层沟通，并认定内部控制缺陷，拟订整改方案，编写《内部控制评价报告》，及时向董事会、审计委员会或经理层报告；

4）内部控制评价工作小组督促本公司各职能部门，城市事业部、控股子公司对内部控制评价结果进行整改；

5）内部控制评价工作小组根据评价和整改情况拟订内部控制考核方案。

4.执行机构

公司各职能部门以及城市事业部、控股子公司负责组织本部门的内部控制自查、测试和评价工作，对发现的设计和运行缺陷提出整改方案及具体整改计划，积极整改，并报送内部控制管理机构复核，配合审计部及外部审计师开展企业层面的内部控制评价工作。

5.监督机构

监事会负责对董事会建立与实施内部控制进行监督，审议《内部控制评价报告》，并发表独立意见。

五编写、使用、维护与发布

1）《手册》由审计部组织编写，董事会审计委员会审定，办公室发布。

2）《手册》须按发放范围统一发放。发放范围由审计部提出，经董事会审计委员会批准执行。包括公司领导、公司各部门、下属单位等；

3）《手册》包括纸质版和电子版两种。电子版的配发范围为业务流程管理信息系统的覆盖范围；纸质版的配发范围为公司及下属单位及特殊使用者；

4）本《手册》是公司重要文件，属公司机密。各单位应按相关要求正确使用，未经允许，不得复印，不得对外泄露。在使用过程中遇到疑难问题，及时向审计部咨询；

5）《手册》的维护是一项长期性、经常性的重要工作，需要公司各部门、下属单位高度重视，积极参与，大力配合；

6）《手册》的修订、维护由审计部负责。审计部每年将根据国家新出台的相关法律法规的要求、内外部审计对公司内部控制的评价、公司内部控制管理中出现的新问题以及公司各部门、下属单位反馈的意见及建议等，对《手册》进行修订，经董事会审计委员会审议批准执行；

7）审计部应及时掌握《手册》的执行情况，并采取有效措施确保内部控制管理体系的有效运行。

表1：《内部控制评价手册》维护记录

第二章内部控制评价概述

内部控制评价，是指公司董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。

一评价原则

公司在实施内部控制评价时至少应遵循以下原则：

1．全面性原则。全面性原则强调的是内部控制评价的涵盖范围应当全面，具体来说，是指评价工作应当包括内部控制的设计与运行，涵盖公司各部门、下属单位的各种业务和事项。

2．重要性原则。重要性原则强调内部控制评价在全面性的基础之上，着眼于风险，突出重点。具体来说，主要体现在制定和实施评价方案、分配评价资源的过程中，它的核心要求包括两个方面：一是要坚持风险导向的思路，着重关注那些影响内部控制目标实现的高风险领域和风险点；二是要坚持重点突出的思路，着重关注那些重要的业务事项和关键的控制环节，以及重要业务单位。

3．客观性原则。客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。只有在内部控制评价工作方案制定、实施全过程中始终坚持客观性，才能保证评价结果的客观性。

二评价程序

1.评价准备：审计部制定评价工作方案，组成评价工作组。

2.评价实施：评价工作组开展现场检查测试。按要求填写工作底稿（控制环境及控制活动评价工作底稿）、对发现的内部控制缺陷进行初步认定、提出修改建议。

3.汇总评价结果、编制评价报告：审计部对初步认定的内部控制缺陷进行全面复核、分类汇总、综合分析、判定缺陷等级、编制《内部控制评价报告》，并报送公司经理层、董事会和监事会，由董事会最终审定后按适用规则对外披露。

4.监督与改进：审计部组织实施整改工作。

三评价频率

公司每年对内部控制进行评价并按适用规则予以披露。内部控制自我评价的方式、范围、程序和频率，由公司根据经营环境变化、业务发展状况、复杂程度、实际风险评估结果等自行确定。国家有关法律法规另有规定的，从其规定。