最新内部控制考核评价方案.docx

最新内部控制考核评价方案.docx

《最新内部控制考核评价方案.docx》由会员分享，可在线阅读，更多相关《最新内部控制考核评价方案.docx（21页珍藏版）》请在冰豆网上搜索。

最新内部控制考核评价方案

　　一、评价范围

　　根据《江苏吴中实业股份有限公司内部控制评价制度》规定，股份公司内部控制评价分为自我评价和独立评价两部分，20XX年的内部控制评价工作依照此原则进行。

　　自我评价工作由股份公司组成评价工作组选取部分单位进行。

20XX年度自我评价选择的样本单位为股份公司总部、江苏吴中医药集团有限公司（包含总部、苏州制药厂、中凯生物制药厂）、江苏吴中医药销售有限公司、江苏吴中进出口有限公司、江苏中吴置业有限公司（包含红玺项目）、苏州隆兴置业有限公宿迁市苏宿置业有限公司、苏州兴瑞贵金属材料有限公司。

　　苏州中吴物业管理有限公司、江苏吴中苏药医药开发有限公司、江苏吴中海利国际贸易有限公司因属于公司非重要业务以及高风险领域，因此不纳入本次自我评价范围。

　　独立评价选择的样本单位为股份公司总部、江苏吴中医药集团有限公司（包含总部、苏州制药厂）、江苏吴中医药销售有限公司、江苏吴中进出口有限公司、江苏中吴置业有限公司（包含红玺项目）、苏州隆兴置业有限公司、宿迁市苏宿置业有限公司、苏州兴瑞贵金属材料有限公司。

　　二、工作任务

　　本次评价工作主要包括公司层面和业务层面两个层面的评价工作。

　　在公司层面，对内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面从内部控制的设计有效性和运行有效性两方面进行全面系统评价。

　　在业务层面，对为确保战略目标、经营管理的效率和效果、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标实现所设置的内部控制活动进行评价。

　　对股份公司总部以企业层面的控制是否有效为主线，包括内部环境、风险评估、信息与沟通、内部监督等;对下属企业以业务层面控制是否有效为主线，对主要业务活动控制的设计与执行的有效性进行评价，并关注企业层面的控制活动。

　　评价工作重点关注以下内容：

　　1.被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。

　　2.被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。

　　3.被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。

　　4.被评价单位是否开展内部控制自查并上报有关自查报告。

　　5.被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

　　6.被评价单位在评价期间是否出现过重大风险事故等。

　　三、主要工作流程

　　1.内部控制自我评价

　　自我评价由所属各单位按照股份公司统一安排，自行开展。

内控评价部门审计部制定年度内部控制评价工作方案，提交董事会审议，根据工作方案的时间安排启动内部控制自我评价，下发内部控制自我评价表。

　　总部及所属各分子公司接到自我评价表后，按内部控制评价制度的相关要求，成立自我评价工作小组，制定工作实施方案，组织本单位（部门）进行自我评价工作。

评价结果经部门负责人及所属领导审批确认后上报审计部汇总，股份公司内控评价工作组将对各单位的自我评价情况进行分析和审核，并报内部控制领导小组审阅。

　　2.内部控制独立评价

　　内部控制独立评价，由股份公司内控评价工作组综合运用访谈、测试和比较分析等方法，广泛收集内部控制设计和运行是否有效的证据，研究分析内部控制缺陷，对各单位内部控制的有效性进行评价。

股份公司内控评价工作组对现场各小组初步认定的内部控制缺陷进行全面复核、分类汇总，初步确认综合独立评价结果，报经内部控制领导小组审阅。

同时结合提出的内控缺陷整改建议，组织内部控制缺陷整改，跟踪整改落实情况。

　　3、内部控制评价报告编制

　　内控评价部门审计部在协调各部门完成内部控制自我评价工作及内控评价工作组完成独立测试工作后，结合内部控制评价工作底稿和内部控制缺陷汇总表，形成书面的《内部控制自我评价报告》，呈交内部控制领导小组、总经理办公会、董事会审阅。

　　第一章总则

　　第一条为规范和加强对内部控制的评价，督促进一步建立内部控制体系，健全内部控制机制，为全面风险管理体系的建立奠定基础，保证公司稳健运行，根据《企业内部控制基本规范》，制定本办法。

　　第二条内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。

　　内部控制评价包括过程评价和结果评价。

过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。

结果评价是对内部控制主要目标实现程度的评价。

　　第三条内部控制体系是为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。

　　第四条内部控制评价人员应接受有关内部控制评价知识和技能的培训，具备相应的资质和能力。

　　第二章评价目标和原则

　　第五条内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行：

（一）过程和风险是否已被充分识别。

（二）过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。

　　（三）控制措施是否有效。

　　（四）控制措施是否适宜。

　　第六条内部控制评价应遵循以下原则：

（一）全面性原则。

评价范围应覆盖内部控制活动的全过程及所有的系统、部门和岗位。

（二）统一性原则。

评价的准则、范围、程序和方法等应保持一致，以确保评价过程的准确及评价结果的客观和可比。

　　（三）独立性原则。

评价应由公司专职人员独立进行。

　　（四）公正性原则。

评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。

　　（五）重要性原则。

评价应依据风险和控制的重要性确定重点，关注重点区域和重点业务。

　　（六）及时性原则。

评价应按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，应及时重新评价。

　　第三章评价内容

　　第一节内部控制环境

　　第六条公司治理。

　　公司应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作，分权制衡。

（一）完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序。

（二）明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中

　　的责任。

　　（三）建立独立董事制度，对董事会讨论事项发表客观、公正的意见。

　　（四）建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。

　　第七条董事会、监事会和高级管理层责任。

　　董事会负责保证公司建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保公司在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。

　　监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害公司利益的行为并监督执行。

　　高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

　　董事会和高级管理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。

　　第八条内部控制政策。

　　公司应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。

内部控制政策应：

（一）与公司的经营宗旨和发展战略相一致;

（二）体现持续改进内部控制的要求;

　　（三）符合现行法律法规和监管要求;

　　（四）体现出侧重控制的风险类型;

　　（五）体现出对不同地区、行业、产品的风险控制要求;

　　（六）传达给适用岗位的员工，指导员工实施风险控制措施;

　　（七）可为风险相关方所获取，并寻求互利合作;

　　（八）定期进行评审，确保其持续的适宜性和有效性。

　　第十三条内部控制目标。

　　公司应在相关职能和层次上建立并保持内部控制目标。

内部控制目标应符合内部控制政策，并体现对持续改进的要求。

　　在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监管部门的内部控制指标要求。

内部控制目标应可测量。

有条件时，目标应用指标予以量化。

　　第十四条组织结构。

　　公司应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并形成文件予以传达。

特别应考虑：

（一）建立相应的授权体系，实行统一法人管理和法人授权。

（二）必要的职责分离，以及横向与纵向相互监督制约关系。

　　（三）涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。

　　（四）明确关键岗位、特殊岗位、不相容岗位及其控制要求。

　　（五）建立关键岗位定期或不定期的人员轮换和强制休假制度。

　　公司应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。

　　公司应设立全行系统垂直管理、具有充分独立性的内部审计部门。

内部审计部门应配备具有相应资质和能力的审计人员;应有权获得公司的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总部内部审计负责人的聘任和解聘应当经董事会或监事会同意。

　　第十五条企业文化。

　　公司应培育健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。

特别应向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。

　　第十六条人力资源。

　　公司应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。

　　公司应明确与风险和内部控制有关人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。

　　高级管理人员必须满足监管机构对高级管理人员资质的要求。

　　公司应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。

培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。

对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。

　　第二节风险识别与评估

　　第十七条经营管理活动风险识别与评估。

　　建立和保持书面程序，以持续对各类风险进行有效的识别与评估。

　　应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。

风险可接受时，应监测并定期评审，以确保其持续可接受;风险不可接受时，应制定控制措施。

　　对各类风险进行识别与评估时应充分考虑内部和外部因素。

其中，内部因素包括组织结构的复杂程度、业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。

　　当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

　　风险识别与评估应：

（一）依据业务范围、性质和时限主动进行。

（二）评估风险的后果、概率和风险级别。

　　（三）必要时开发并运用风险量化评估的方法和模型。

　　第十八条法律法规、监管要求和其他要求的识别。

　　应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。

　　应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。

　　第十九条内部控制方案。

　　制定内部控制方案，以控制已识别的不可接受风险。

内部控制措施方案应包括以下内容：

（一）为实现对风险的控制而规定的相关职责与权限。

（二）控制的策略、方法、资源需求和时限要求。

　　若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑可能产生的新风险。

　　第三节内部控制措施

　　第二十条运行控制。

　　应确定需要采取控制措施的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。

　　控制措施包括：

　　1.高层检查。

董事会与高级管理层应要求下级部门及时报告经营管理情况和特别情况，以检查内部控制的实施状况以及在实现内部控制目标方面的进展。

高级管理层应根据检查情况提出内部控制缺失情况，督促职能管理部门改进。

　　2.行为控制。

各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。

　　3.实物控制。

主要的控制措施包括实物限制、双重保管和定期盘存等。

　　4.风险暴露限制的审查。

审查遵循风险暴露限制方面的合规性，违规时继续跟踪检查。

　　5.审批与授权。

根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级的管理责任。

　　6.验证与核实。

验证各项业务、管理活动以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，并向职能管理部门报告。

　　7.不兼容岗位的适当分离。

实行适当的职责分工，认定潜在的利益冲突并使之最小化。

　　第二十一条计算机系统环境下的控制。

　　应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。

明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

　　第四节监督评价与纠正

　　第二十三条内部控制绩效监测。

　　应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。

监测内容包括：

（一）内部控制目标实现程度。

（二）法律、法规及监管要求的遵循程度。

　　（三）事故、险情和其他不良的内部控制绩效的历史情况。

　　第二十四条违规、险情、事故处置和纠正及预防措施。

　　应建立并保持书面程序，对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定，包括：

（一）发现违规、险情、事故并及时报告，必要时，可越级报告。

（二）及时处置违规、险情、事故。

　　（三）制定纠正与预防措施，防止违规、险情、事故的发生和再发生，并与问题的大

　　小和风险危害程度相一致。

　　（四）纠正与预防措施在实施之前应进行风险评估。

　　（五）实施并跟踪、验证纠正与预防措施。

　　（六）险情和事故的责任追究。

　　第二十五条内部控制体系评价。

　　应建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。

程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。

　　评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等，覆盖体系范围内的所有活动。

　　可根据评价结果确定内部控制水平的等级。

被评价机构的管理者应采取措施消除违规原因，并验证所采取措施的效果。

　　评价应由与评价的活动无直接责任的人员进行，评价人员应具备相应的知识，能够胜任评价工作。

　　第二十六条管理评审。

　　董事会应采取措施保证定期对内部控制状况进行评审，确保体系得到持续、有效的改进。

（一）管理评审应包括以下方面的内容：

　　1.内部控制体系评价的结果。

　　2.内部控制政策执行情况和内部控制目标实现情况。

　　3.对内部控制体系有重要影响的外部信息，如法律、法规的重大变化。

　　4.组织结构的重大调整。

　　5.事故和险情以及重大纠正和预防措施的状况。

　　6.以往管理评审的跟踪情况。

　　7.内部控制体系改进的建议。

（二）管理评审应就以下方面提出改进措施并落实：

　　1.内部控制体系及其过程的改进。

　　2.内部控制政策、目标的变更。

　　3.与内部控制有关资源的需求。

　　第二十七条持续改进。

　　商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等，持续提高内部控制体系有效性。

　　第五节信息交流与反馈

　　第二十八条交流与沟通。

　　应建立并保持信息交流与沟通的程序，明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反愧披露的渠道和方式。

　　应识别其内部和外部的风险相关方，考虑他们的要求和目标，建立与这些相关方进行信息交流的机制，确保：

（一）董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。

（二）所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。

　　（三）险情、事故发生时，相关信息能得到及时报告和有效沟通。

　　（四）及时、真实、完整地向监管机构和外界报告、披露相关信息。

　　（五）国内外经济、行业动态信息的取得和处理，并及时把与企业既定经营目标有关的信息提供给各级管理层。

　　信息交流与沟通应考虑信息的安全性和保密性要求。

相关信息报告、发布、披露应经过授权。

　　为保持信息交流沟通的可追溯性，必要时，应保持相关信息交流与沟通的记录。

第二十九条内部控制体系对文件的要求。

　　建立和保持文件化体系是实现信息交流与反馈的重要途径。

公司应建立并保持必要的内部控制体系文件，包括：

（一）对内部控制体系要素及其相互作用的描述。

（二）内部控制政策和目标。

　　（三）关键岗位及其职责与权限。

　　（四）不可接受的风险及其预防和控制措施。

　　（五）控制程序、作业指导、方案和其他内部文件。

　　第三十条文件控制。

　　应建立并保持书面程序，以确保内部控制体系所要求的文件满足下列要求：

（一）易于查询。

（二）实施前得到授权人的批准。

　　（三）定期评审，必要时予以修订并由授权人员确认其适宜性。

　　（四）所有相关岗位都能得到有效版本。

　　（五）失效时，及时从所有发放处和使用处收回，或采取其他措施防止误用。

　　（六）及时识别、处置外来文件并进行标识，必要时转化为内部文件。

　　（七）留存的档案性文件和资料应予以适当标识。

　　第三十一条记录控制。

　　应建立并保持书面程序，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。

　　记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。

　　第四章评价程序和方法

　　第三十二条内部控制评价程序一般包括评价准备、评价实施、评价报告形成和反馈等步骤。

　　第三十三条评价准备。

　　组成评价组。

评价组应考虑组成人员的背景和能力。

必要时，可聘请业务或管理方面的专家。

　　制订评价实施方案。

实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。

　　准备必要的工作文件。

主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。

　　在现场评价前应先与被评价机构建立初步联系，以便确认有关评价事项和安排。

第三十四条评价实施。

　　评价组应按照既定的评价方案实施评价。

在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排，通过适当的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以记录。

　　评价实施的具体方法见第三十九条至四十三条。

　　第三十五条评价报告形成。

　　评价组根据评价实施情况，撰写评价报告，应重点分析以下方面：

（一）被评价机构内部控制体系现状、存在问题及趋势分析。

（二）同类企业比较（如适用）。

　　（三）可能的谅解因素。

　　第三十六条评价反溃

　　对被评价机构内部控制体系进行综合评价后，应与被评价机构管理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。

　　第三十八条内部控制评价方法是为实现评价目的，对被评价机构内部控制体系进行分析和评价而采取的技术和手段的总称。

　　第三十九条内部控制评价实施包括：

　　了解内部控制体系。

应了解被评价机构内部控制体系的基本情况，确认评价范围，确定被评价机构的内部控制体系的健全程度，然后决定实施测试所采取的方法。

　　实施测试和分析。

实施测试和分析是在了解内部控制体系的基础上，评价内部控制体系的运行与绩效。

具体可以采取符合性测试和指标分析等，其中，对内部控制过程评价主要采取符合性测试法;对内部控制结果评价，主要采取指标分析法。

　　第四十条了解内部控制体系。

　　了解被评价机构内部控制体系主要通过询问、查阅、观察、流程图等方法进行，以初步评价被评价机构内部控制体系的充分性和合规性。

　　第四十一条符合性测试。

　　符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性，即相关规定在实际中是否被一贯执行，控制措施能否达到控制目的，控制措施是否恰当。

符合性测试分为两种形式：

（一）业务测试，即对重要业务或典型业务进行测试，按照规定的业务处理程序进行检查，确认有关控制点是否符合规定并得到认真执行，以判断内部控制的遵循情况。

（二）功能测试，即对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。

　　符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。

第四十二条测试抽样。

　　抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。

可在根据业务频次抽样的基础上，结合被评价项目的风险和重要性进行调整。

　　第四十三条指标分析。

　　应收集被评价机构内部控制结果指标的相关信息，进行核实、对比分析和趋势分析，从而对内控目标实现情况做出评价。

　　第五章评分标准和评价等级

　　第四十四条内部控制评价采取评分制。

对内部控制的过程和结果分别设置一定的标准分值，并根据评价得分确定被评价机构的内部控制等级。

　　第四十五条内部控制过程评价的标准分为500分，其中：

内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。

上述五部分评价得分加总除以5，得到过程评价的实际得分。

（需根据情况修改）

　　第四十六条在对内部控制过程评价时，应按照第三章评价内容的要求，结合本办法

　　第八条的四个方面展开，转换为具体评价问题，并根据测试情况对被评价项目进行评分。

第四十七条初次实施内部控制评价时，须对所有业务活动、管理活动和支持保障活动进行评价。

　　第四十八条内部控制过程评价的具体评分标准如下：

（一）被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。

（二）在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要

　　求的，可得该项分值的百分之三十。

　　（三）在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。

　　（四）在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。

　　第四十九条在测试过程中遇有业