第一篇:電梯企業內部控制評價指引
企業內部控制評價指引
第一章
總則
第一條 為了促進企業全面評價內部控制的設計與運行情況,規范內部控制評價程序和評價報告,揭示和防范風險,根據有關法律法規和《企業內部控制基本規范》,制定本指引。
第二條 本指引所稱內部控制評價,是指企業董事會或類似權力機構對內部控制的有效性進行全面評價、形成評價結論、出具評價報告的過程。
第三條 企業實施內部控制評價至少應當遵循下列原則:
(一)全面性原則。評價工作應當包括內部控制的設計與運行,涵蓋企業及其所屬單位的各種業務和事項。
(二)重要性原則。評價工作應當在全面評價的基礎上,關注重要業務單位、重大業務事項和高風險領域。
(三)客觀性原則。評價工作應當準確地揭示經營管理的風險狀況,如實反映內部控制設計與運行的有效性。
第四條 企業應當根據本評價指引,結合內部控制設計與運行的實際情況,制定具體的內部控制評價辦法,規定評價的原則、內容、程序、方法和報告形式等,明確相關機構或崗位的職責權限,落實責任制,按照規定的辦法、程序和要求,有序開展內部控制評價工作。
企業董事會應當對內部控制評價報告的真實性負責。
第二章 內部控制評價的內容
第五條 企業應當根據《企業內部控制基本規范》、應用指引以及本企業的內部控制制度,圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素,確定內部控制評價的具體內容,對內部控制設計與運行情況進行全面評價。
第六條 企業組織開展內部環境評價,應當以組織架構、發展戰略、人力資源、企業文化、社會責任等應用指引為依據,結合本企業的內部控制制度,對內部環境的設計及實際運行情況進行認定和評價。
第七條 企業組織開展風險評估機制評價,應當以《企業內部控制基本規范》有關風險評估的要求,以及各項應用指引中所列主要風險為依據,結合本企業的內部控制制度,對日常經營管理過程中的風險識別、風險分析、應對策略等進行認定和評價。
第八條 企業組織開展控制活動評價,應當以《企業內部控制基本規范》和各項應用指引中的控制措施為依據,結合本企業的內部控制制度,對相關控制措施的設計和運行情況進行認定和評價。
第九條 企業組織開展信息與溝通評價,應當以內部信息傳遞、財務報告、信息系統等相關應用指引為依據,結合本企業的內部控制制度,對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性,以及利用信息系統實施內部控制的有效性等進行認定和評價。
第十條 企業組織開展內部監督評價,應當以《企業內部控制基本規范》有關內部監督的要求,以及各項應用指引中有關日常管控的規定為依據,結合本企業的內部控制制度,對內部監督機制的有效性進行認定和評價,重點關注監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。
第十一條 內部控制評價工作應當形成工作底稿,詳細記錄企業執行評價工作的內容,包括評價要素、主要風險點、采取的控制措施、有關證據資料以及認定結果等。
評價工作底稿應當設計合理、證據充分、簡便易行、便于操作。
第三章 內部控制評價的程序
第十二條 企業應當按照內部控制評價辦法規定的程序,有序開展內部控制評價工作。內部控制評價程序一般包括:制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。
企業可以授權內部審計部門或專門機構(以下簡稱內部控制評價部門)負責內部控制評價的具體組織實施工作。
第十三條 企業內部控制評價部門應當擬訂評價工作方案,明確評價范圍、工作任務、人員組織、進度安排和費用預算等相關內容,報經董事會或其授權機構審批后實施。
第十四條 企業內部控制評價部門應當根據經批準的評價方案,組成內部控制評價工作組,具體實施內部控制評價工作。評價工作組應當吸收企業內部相關機構熟悉情況的業務骨干參加。評價工作組成員對本部門的內部控制評價工作應當實行回避制度。
企業可以委托中介機構實施內部控制評價。為企業提供內部控制審計服務的會計師事務所,不得同時為同一企業提供內部控制評價服務。
第十五條 內部控制評價工作組應當對被評價單位進行現場測試,綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法,充分收集被評價單位內部控制設計和運行是否有效的證據,按照評價的具體內容,如實填寫評價工作底稿,研究分析內部控制缺陷。
第四章 內部控制缺陷的認定
第十六條 內部控制缺陷包括設計缺陷和運行缺陷。企業對內部控制缺陷的認定,應當以日常監督和專項監督為基礎,結合年度內部控制評價,由內部控制評價部門進行綜合分析后提出認定意見,按照規定的權限和程序進行審核后予以最終認定。
第十七條 企業在日常監督、專項監督和年度評價工作中,應當充分發揮內部控制評價工作組的作用。內部控制評價工作組應當根據現場測試獲取的證據,對內部控制缺陷進行初步認定,并按其影響程度分為重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標。
重要缺陷,是指一個或多個控制缺陷的組合,其嚴重程度和經濟后果低于重大缺陷,但仍有可能導致企業偏離控制目標。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具體認定標準,由企業根據上述要求自行確定。
第十八條 企業內部控制評價工作組應當建立評價質量交叉復核制度,評價工作組負責人應當對評價工作底稿進行嚴格審核,并對所認定的評價結果簽字確認后,提交企業內部控制評價部門。
第十九條 企業內部控制評價部門應當編制內部控制缺陷認定匯總表,結合日常監督和專項監督發現的內部控制缺陷及其持續改進情況,對內部控制缺陷及其成因、表現形式和影響程度進行綜合分析和全面復核,提出認定意見,并以適當的形式向董事會、監事會或者經理層報告。重大缺陷應當由董事會予以最終認定。
企業對于認定的重大缺陷,應當及時采取應對策略,切實將風險控制在可承受度之內,并追究有關部門或相關人員的責任。
第五章 內部控制評價報告
第二十條 企業應當根據《企業內部控制基本規范》、應用指引和本指引,設計內部控制評價報告的種類、格式和內容,明確內部控制評價報告編制程序和要求,按照規定的權限報經批準后對外報出。
第二十一條 內部控制評價報告應當分別內部環境、風險評估、控制活動、信息與溝通、內部監督等要素進行設計,對內部控制評價過程、內部控制缺陷認定及整改情況、內部控制有效性的結論等相關內容作出披露。
第二十二條 內部控制評價報告至少應當披露下列內容:
(一)董事會對內部控制報告真實性的聲明。
(二)內部控制評價工作的總體情況。
(三)內部控制評價的依據。
(四)內部控制評價的范圍。
(五)內部控制評價的程序和方法。
(六)內部控制缺陷及其認定情況。
(七)內部控制缺陷的整改情況及重大缺陷擬采取的整改措施。
(八)內部控制有效性的結論。
第二十三條 企業應當根據年度內部控制評價結果,結合內部控制評價工作底稿和內部控制缺陷匯總表等資料,按照規定的程序和要求,及時編制內部控制評價報告。
第二十四條 內部控制評價報告應當報經董事會或類似權力機構批準后對外披露或報送相關部門。
企業內部控制評價部門應當關注自內部控制評價報告基準日至內部控制評價報告發出日之間是否發生影響內部控制有效性的因素,并根據其性質和影響程度對評價結論進行相應調整。第二十五條 企業內部控制審計報告應當與內部控制評價報告同時對外披露或報送。
第二十六條 企業應當以12月31日作為年度內部控制評價報告的基準日。內部控制評價報告應于基準日后4個月內報出。
第二十七條 企業應當建立內部控制評價工作檔案管理制度。內部控制評價的有關文件資料、工作底稿和證明材料等應當妥善保管。
第二篇:企業內部控制評價指引
附件1:
企業內部控制評價指引
(征求意見稿)
第一章總則
第一條為了規范企業內部控制評價,全面評估內部控制設計與運行情況,編制內部控制評價報告,根據有關法律法規和《企業內部控制基本規范》,制定本指引。
第二條本指引所稱內部控制評價,是指企業董事會(或類似決策機構)或其授權機構,對內部控制設計與運行的有效性進行綜合評估的過程。
第三條企業應當根據《企業內部控制基本規范》和本評價指引,結合本企業的實際情況,制定內部控制評價辦法,明確內部控制評價的原則和內容、程序和方法、以及報告形式等相關內容,確保內部控制評價工作落到實處。
企業主要負責人應當對內部控制評價結論的真實性負責。第四條企業應當建立內部控制評價結果分析利用和考核制度,將內部控制評價結果和整改情況作為內部績效考評的重要依據。
第二章評價的原則和內容
第五條企業實施內部控制評價,至少應當遵循全面性、重要性和獨立性原則,確保評價工作標準統一、客觀公正。
全面性,是指評價工作應當包括內部控制的設計與運行,涵蓋企 業及其所屬單位的各種業務和事項。
重要性,是指在全面評價的基礎上關注重要高風險領域。獨立性,是指評價工作應當于內部控制的設計與運行相互分離。第六條企業內部控制評價應當以內部環境為基礎,重點關注:治理結構是否形同虛設;發展戰略是否可行;機構設臵是否重疊;權責分配是否明晰;不相容崗位是否分離;人力資源政策和激勵約束機制是否科學合理;企業文化是否促進員工勤勉盡責;社會責任是否有效履行等。
第七條企業內部控制評價應當以生產經營活動為重點,至少關注:資金的籌集、投放和營運過程是否存在資金鏈斷裂;資產運行中是否存在效能低下或資產流失;采購與銷售環節是否存在舞弊行為;研發項目是否經過科學論證;工程項目是否存在商業賄賂等。
第八條企業內部控制評價應當兼顧控制手段,至少關注:全面預算是否具有約束力;合同履行是否存在糾紛;信息系統是否與內部控制有機結合;內部報告是否及時傳遞和有效溝通等。
第三章評價的程序和方法
第九條企業應當指定內部審計機構或其他機構具體組織實施內部控制評價工作,根據內部控制評價辦法制定評價方案,組成評價小組,明確分工和進度安排,采取現場檢查等方式開展內部控制評價。
企業可以借助中介機構或外部專家實施內部控制評價,參與企業內部控制評價的中介機構不得同時為同一企業提供內部控制審計服務。第十條企業開展內部控制評價,應當編制工作底稿。工作底稿應當由評價小組直接填寫,指定專人嚴格復核。
第十一條評價小組可以綜合運用個別訪談、調查問卷、專題討論、穿行測試、統計抽樣、比較分析等多種方法,廣泛收集被評價單位內部控制設計和有效運行的證據,研究認定內部控制設計缺陷和運行缺陷。
評價小組研究認定的內部控制缺陷,應當按照規定的權限和程序報經審批后確定。
第十二條企業應當對內部控制缺陷進行綜合判斷,按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標的情形。
重要缺陷,是指一個或多個控制缺陷的組合,其嚴重程度和經濟后果低于重大缺陷,但仍有可能導致企業偏離控制目標的情形。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。第十三條重大缺陷應當根據本指引第五條、第六條、第七條規定和重大缺陷的定義,結合企業實際情況,具體加以認定。
重要缺陷和一般缺陷由企業自行確定。
第十四條企業應當建立內部控制缺陷整改機制,明確內部各管理層級和單位整改的職責分工,確保內部控制設計與運行中的主要問題和重大風險得到及時解決和有效控制。
董事會負責重大缺陷的整改,接受監事會的監督。經理層負責重 要缺陷的整改,接受董事會的監督。內部有關單位負責一般缺陷的整改,接受經理層的監督。
第四章內部控制評價報告
第十五條企業應當根據內部控制評價結果和整改情況,編制內部控制評價報告。內部控制評價報告至少應當包括下列內容:
(一)組織實施內部控制評價的總體情況。
(二)內部控制責任主體的聲明。
(三)內部控制評價的范圍和內容。
(四)內部控制評價的標準和依據。
(五)內部控制評價的程序和方法。
(六)內部控制重大缺陷及其認定情況。
(七)內部控制重大缺陷的整改措施及責任追究情況。
(八)內部控制有效性的結論。
存在一個或多個內部控制重大缺陷的,應當作出內部控制無效的結論。
第十六條企業內部控制評價報告應當報企業經理層審核、董事會審定后公布。
第十七條企業應當以12月31日作為內部控制評價報告的基準日,也可選擇6月30日為基準日。
內部控制評價報告應于基準日后4個月內報出。
第三篇:企業內部控制評價指引
附件1:
企業內部控制評價指引
(征求意見稿)第一章
總 則
第一條
為規范企業內部控制評價工作,及時發現企業內部控制缺陷,提出和實施改進方案,確保內部控制有效運行,根據國家有關法律法規和《企業內部控制基本規范》,制定本指引。
第二條
本指引適用于中華人民共和國境內設立的大中型企業。第三條
本指引所稱內部控制評價,是指由企業董事會和管理層實施的,對企業內部控制有效性進行評價,形成評價結論,出具評價報告的過程。
內部控制有效性是指企業建立與實施內部控制能夠為控制目標的實現提供合理的保證。
第四條
企業應當根據國家有關法律法規和《企業內部控制基本規范》的要求,結合企業實際情況,對戰略目標、經營管理的效率和效果目標、財務報告及相關信息真實完整目標、資產安全目標、合法合規目標等單個或整體控制目標的實現進行評價。
第五條
企業實施內部控制評價,應當遵循下列原則:
(一)風險導向原則。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。
(二)一致性原則。內部控制評價應當采用統一可比的評價方法和標準,保證評價結果的可比性。
(三)公允性原則。內部控制評價應當以事實為依據,評價結果應當有適當的證據支持。
(四)獨立性原則。內部控制評價機構的確定及評價工作的組織實施應當保持相應的獨立性。
(五)成本效益原則。內部控制評價應當以適當的成本實現科學有效的評價。
第六條
企業董事會及其審計委員會負責領導本企業的內部控制評價工作。監事會對董事會實施內部控制評價進行監督。
第七條
企業可以授權內部審計部門負責組織和實施內部控制評價工作。具備條件的企業,可以設立專門的內部控制評價機構(以下合稱內部控制評價機構)。
第八條
企業內部控制評價,一般包括評價和專項評價。評價是指企業根據內部控制目標,對企業某一建立與實施內部控制的有效性進行的評價;專項評價是指企業在特定時點對特定范圍的內部控制的有效性進行的評價。
第二章
內部控制評價的內容和標準
第九條
企業應當對與實現整體控制目標相關的內部環境、風險評估、控制活動、信息與溝通、內部監督等內部控制要素進行全面系統、有針對性的評價。
第十條
企業實施內部控制評價,包括對內部控制設計有效性和運行有效性的評價。
內部控制設計有效性是指為實現控制目標所必需的內部控制要素都存在并且設計恰當;內部控制運行有效性是指現有內部控制按照規定程序得到了正確執行。
第十一條
應用信息系統加強內部控制的企業,應當對信息系統的有效性進行評價,包括信息系統一般控制評價和信息系統應用控制評價。
一般控制評價應當著重考慮與信息系統開發有關的信息技術控制目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控制的要求,是否有利于企業內部控制目標的實現,并以此評價信息系統的安全性、可靠性和合理性。
應用控制評價應當結合企業業務流程特點,著重考慮信息系統中與業務流程相關的控制點,并以此評價相關應用系統操作數據的真實性、準確性和合規性。
第十二條
企業應當根據《企業內部控制基本規范》及其應用指引的有關規定,建立與實施內部控制,并以此為依據和標準組織開展內部控制評價工作。
第十三條
企業集團對被評價單位內部控制的有效性進行評價,應當至少涉及下列內容:
(一)被評價單位內部控制是否在風險評估的基礎上涵蓋了企業層面的風險和所有重要的業務流程層面的風險。
(二)被評價單位內部控制設計的方法是否適當,內部控制建設的時間進度安排是否科學、階段性工作要求是否合理。
(三)被評價單位內部控制設計和運行的組織是否有效,人員配備、職責分工和授權是否合理。
(四)被評價單位是否開展內部控制自查并上報有關自查報告。
(五)被評價單位是否建立有利于促進內部控制各項政策措施落實和問題整改的機制。
(六)被評價單位在評價期間是否出現過重大風險事故等。
第三章
內部控制評價的程序和方法
第十四條
企業應當按照制定評價方案、實施評價活動、編制評價報告等程序開展內部控制評價。
第十五條
內部控制評價機構應當根據企業整體控制目標,制定內部控制評價工作方案,明確評價目的、范圍、組織、標準、方法、進度安排和費用預算等內容,報管理層和董事會審批。
第十六條
內部控制評價范圍的確定應當遵循風險導向、自上而下的原則來確定需要評價的分支機構、重要業務單元、重點業務領域或流程環節。
第十七條
內部控制評價機構應當根據審批通過的評價方案組織實施內部控制評價工作,通過適當的方法收集、確認、分析相關信息,確定與實現整體控制目標相關的風險及細化控制目標,并在此基礎上辨識與細化控制目標相對應的控制活動,然后針對控制活動進行必要的測試,獲取充分、相關、可靠的證據對內部控制的有效性進行評價,并做出書面記錄。
第十八條
內部控制評估和測試的方法主要包括:
(一)個別訪談法。是指企業根據檢查評價需要,對被查單位員工進行單獨訪談,以獲取有關信息。
(二)調查問卷法。是指企業設臵問卷調查表,分別對不同層次的員工進行問卷調查,根據調查結果對相關項目作出評價。
(三)比較分析法。是指通過分析、比較數據間的關系、趨勢或比率來取得評價證據的方法。
(四)標桿法。是指通過與組織內外部相同或相似經營活動的最佳實務進行比較而對控制設計有效性評價的方法。
(五)穿行測試法。是指通過抽取一份全過程的文件,來了解整個業務流程執行情況的評估評價方法。
(六)抽樣法。是指企業針對具體的內部控制業務流程,按照業務發生頻率及固有風險的高低,從確定的抽樣總體中抽取一定比例的業務樣本,對業務樣本的符合性進行判斷,進而對業務流程控制運行的有效性作出評價。
(七)實地查驗法。是指企業對財產進行盤點、清查,以及對存貨出、入庫等控制環節進行現場查驗。
(八)重新執行法。是指通過對某一控制活動全過程的重新執行來評估控制執行情況的方法。
(九)專題討論會法。是指通過召集與業務流程相關的管理人員就業務流程的特定項目或具體問題進行討論及評估的一種方法。
第十九條
企業應當根據通過評估和測試獲取與內部控制有效性相關的證據,并合理保證證據的充分性和適當性。
證據的充分性是指獲取證據的數量應當能合理保證相關控制的有效;證據的適當性是指獲取的證據應當與相關控制的設計與運行有關,并能可靠地反映控制的實際運行狀況。
第二十條
企業應當根據所收集的證據,判斷相關控制的設計與運行是否有效。企業在判斷內部控制設計與運行有效性時,應當充分考慮下列因素:
(一)是否針對風險設臵了合理的細化控制目標。
(二)是否針對細化控制目標設臵了對應的控制活動。
(三)相關控制活動是如何運行的。
(四)相關控制活動是否得到了持續一致的運行。
(五)實施相關控制活動的人員是否具備必需的權限和能力。第二十一條 企業應當充分評估下列因素導致內部控制失效的風險:
(一)控制活動的類型,一般包括人工控制和自動控制、預防性控制和發現性控制等。
(二)控制活動的復雜性,通常與企業組織結構、市場環境、經營規模、人員素質等相關。
(三)管理層逾越內部控制的風險。
(四)實施控制活動所需要的職業判斷的程度。
(五)控制活動所針對風險事項的性質及其重要性。
(六)一項控制活動對其他控制活動有效性的依賴程度。第二十二條
企業應當及時記錄開展內部控制評價工作的方法和程序,并以適當形式妥善保存相關證據。
第二十三條
內部控制評價機構應當根據評估結果和經核實的證據,確認內部控制缺陷,出具評價結論,編制評價報告,報送管理層和董事會審閱。
第四章
內部控制缺陷認定和評價報告
第二十四條 企業在內部控制評價中,應對內部控制缺陷進行分類分析。內部控制缺陷一般可分為設計缺陷和運行缺陷。
(一)設計缺陷是指缺少為實現控制目標所必需的控制,或現存控制設計不適當、即使正常運行也難以實現控制目標。
(二)運行缺陷是指現存設計完好的控制沒有按設計意圖運行,或執行者沒有獲得必要授權或缺乏勝任能力以有效地實施控制。
第二十五條
企業對內部控制評價過程中發現的問題,應當從定量和定性等方面進行衡量,判斷是否構成內部控制缺陷。
存在下列情況之一,企業應當認定內部控制存在設計或運行缺陷:
(一)未實現規定的控制目標。
(二)未執行規定的控制活動。
(三)突破規定的權限。
(四)不能及時提供控制運行有效的相關證據。
第二十六條
企業應當根據內部控制缺陷影響整體控制目標實現的嚴重程度,將內部控制缺陷分為一般缺陷、重要缺陷和重大缺陷(也稱實質性漏洞,以下統稱重大缺陷)。
重大缺陷,是指一個或多個一般缺陷的組合,可能嚴重影響內部整體控制的有效性,進而導致企業無法及時防范或發現嚴重偏離整體控制目標的情形。
重要缺陷,是指一個或多個一般缺陷的組合,其嚴重程度低于重大缺陷,但導致企業無法及時防范或發現偏離整體控制目標的嚴重程度依然重大,須引起企業管理層關注。
內部控制評價機構和管理層應當合理確定相關目標發生偏差的可容忍水平,從而對嚴重偏離的情形予以確定。
第二十七條
企業判斷和認定內部控制缺陷是否構成重大缺陷,應當考慮下列因素:
(一)影響整體控制目標實現的多個一般缺陷的組合是否構成重大缺陷。
(二)針對同一細化控制目標所采取的不同控制活動之間的相互作用。
(三)針對同一細化控制目標是否存在其他補償性控制活動。第二十八條
企業應當根據內部控制評價過程中發現的內部控制缺陷,督促相關單位或部門進行整改,并對整改結果進行核查和確認。
第二十九條
對于為實現單個或整體控制目標而設計與運行的控制不存在重大缺陷的情形,企業應當認定針對這些整體控制目標的內部控制是有效的。
對于為實現某一整體控制目標而設計與運行的控制存在一個或多個重大缺陷的情形,企業應當認定針對該項整體控制目標的內部控制是無效的。
第三十條
對于因業務流程外包等原因造成企業無法評價特定業務、特定流程的內部控制有效性的情形,內部控制評價機構應當充分考慮該項業務流程及其相關控制的重要性,確定其對整體控制目標有效性評價的影響。
第三十一條
企業應當結合年末控制缺陷的整改結果,編制內部控制評價報告。
內部控制評價報告至少應當包括下列內容:
(一)內部控制評價的目的和責任主體。
(二)內部控制評價的內容和所依據的標準。
(三)內部控制評價的程序和所采用的方法。
(四)衡量重大缺陷嚴重偏離的定義,以及確定嚴重偏離的方法。
(五)被評估的內部控制整體目標是否有效的結論。
(六)被評估的內部控制整體目標如果無效,存在的重大缺陷及其可能的影響。
(七)造成重大缺陷的原因及相關責任人。
(八)所有在評估過程中發現的控制缺陷,以及針對這些缺陷的補救措施及補救措施的實施計劃等。
第三十二條
企業可以根據被評估的整體控制目標的不同,適當調整評價報告的內容。
企業應當在評價報告中明確財務報表日之后截至內部控制評價日發生的、可能影響財務報告控制目標有效性的所有重大變化。
第三十三條
企業應當定期對內部控制整體有效性進行評價、出具評價報告,并向董事會、監事會和管理層報告內部控制設計與運行環節存在的主要問題以及將要采取的整改措施。
第三十四條
企業應當將內部控制評價報告作為進一步完善內部控制、提高經營管理水平和風險防范能力的重要依據。
企業對于內部控制評價報告中列示的問題,應當采取適當的措施進行改進,并追究相關人員的責任。
企業管理層和董事會應當根據評價結論對相關單位、部門或人員實施適當的獎勵和懲戒。
第五章
附 則
第三十五條 本指引由中華人民共和國財政部會同國務院其他有關部門解釋。
第三十六條 本指引的實施細則由中華人民共和國財政部會同國務院其他有關部門另行制定。
第三十七條 本指引自
****年**月**日起施行。
第四篇:企業內部控制評價指引(模版)
企業內部控制評價指引》及工程項目等5項內部控制應用指引意見的通知 財會便[2009]7號
頒布時間:2009-1-14發文單位:財政部會計司
企業內部控制標準委員會委員、咨詢專家,各企業,會計師事務所等有關單位:
在修改完善組織架構等10個應用指引項目并征求意見的基礎上,我們又調整修改了《企業內部控制評價指引》和工程項目等5個應用指引,現征求意見。請于2009年2月6日前將意見反饋至企業內部控制標準委員會秘書處(設在財政部會計司)。
附件:1.《企業內部控制評價指引》(征求意見稿)
2.《企業內部控制應用指引第xx號——工程項目》(征求意見稿)等
企業內部控制標準委員會秘書處(財政部會計司)二〇〇九年一月十四日
附件1:
企業內部控制評價指引(征求意見稿)
第一章
總 則
第一條
為了規范企業內部控制評價,全面評估內部控制設計與運行情況,編制內部控制評價報告,根據有關法律法規和《企業內部控制基本規范》,制定本指引。
第二條
本指引所稱內部控制評價,是指企業董事會(或類似決策機構)或其授權機構,對內部控制設計與運行的有效性進行綜合評估的過程。
第三條
企業應當根據《企業內部控制基本規范》和本評價指引,結合本企業的實際情況,制定內部控制評價辦法,明確內部控制評價的原則和內容、程序和方法、以及報告形式等相關內容,確保內部控制評價工作落到實處。
企業主要負責人應當對內部控制評價結論的真實性負責。
第四條
企業應當建立內部控制評價結果分析利用和考核制度,將內部控制評價結果和整改情況作為內部績效考評的重要依據。
第二章
評價的原則和內容
第五條
企業實施內部控制評價,至少應當遵循全面性、重要性和獨立性原則,確保評價工作標準統一、客觀公正。
全面性,是指評價工作應當包括內部控制的設計與運行,涵蓋企業及其所屬單位的各種業務和事項。
重要性,是指在全面評價的基礎上關注重要高風險領域。
獨立性,是指評價工作應當于內部控制的設計與運行相互分離。
第六條
企業內部控制評價應當以內部環境為基礎,重點關注:治理結構是否形同虛設;發展戰略是否可行;機構設置是否重疊;權責分配是否明晰;不相容崗位是否分離;人力資源政策和激勵約束機制是否科學合理;企業文化是否促進員工勤勉盡責;社會責任是否有效履行等。
第七條
企業內部控制評價應當以生產經營活動為重點,至少關注:資金的籌集、投放和營運過程是否存在資金鏈斷裂;資產運行中是否存在效能低下或資產流失;采購與銷售環節是否存在舞弊行為;研發項目是否經過科學論證;工程項目是否存在商業賄賂等。
第八條
企業內部控制評價應當兼顧控制手段,至少關注:全面預算是否具有約束力;合同履行是否存在糾紛;信息系統是否與內部控制有機結合;內部報告是否及時傳遞和有效溝通等。
第三章
評價的程序和方法
第九條
企業應當指定內部審計機構或其他機構具體組織實施內部控制評價工作,根據內部控制評價辦法制定評價方案,組成評價小組,明確分工和進度安排,采取現場檢查等方式開展內部控制評價。
企業可以借助中介機構或外部專家實施內部控制評價,參與企業內部控制評價的中介機構不得同時為同一企業提供內部控制審計服務。
第十條
企業開展內部控制評價,應當編制工作底稿。工作底稿應當由評價小組直接填寫,指定專人嚴格復核。
第十一條
評價小組可以綜合運用個別訪談、調查問卷、專題討論、穿行測試、統計抽樣、比較分析等多種方法,廣泛收集被評價單位內部控制設計和有效運行的證據,研究認定內部控制設計缺陷和運行缺陷。
評價小組研究認定的內部控制缺陷,應當按照規定的權限和程序報經審批后確定。
第十二條
企業應當對內部控制缺陷進行綜合判斷,按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標的情形。
重要缺陷,是指一個或多個控制缺陷的組合,其嚴重程度和經濟后果低于重大缺陷,但仍有可能導致企業偏離控制目標的情形。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。
第十三條
重大缺陷應當根據本指引第五條、第六條、第七條規定和重大缺陷的定義,結合企業實際情況,具體加以認定。
重要缺陷和一般缺陷由企業自行確定。
第十四條
企業應當建立內部控制缺陷整改機制,明確內部各管理層級和單位整改的職責分工,確保內部控制設計與運行中的主要問題和重大風險得到及時解決和有效控制。
董事會負責重大缺陷的整改,接受監事會的監督。經理層負責重要缺陷的整改,接受董事會的監督。內部有關單位負責一般缺陷的整改,接受經理層的監督。
第四章
內部控制評價報告
第十五條
企業應當根據內部控制評價結果和整改情況,編制內部控制評價報告。內部控制評價報告至少應當包括下列內容:
(一)組織實施內部控制評價的總體情況。
(二)內部控制責任主體的聲明。
(三)內部控制評價的范圍和內容。
(四)內部控制評價的標準和依據。
(五)內部控制評價的程序和方法。
(六)內部控制重大缺陷及其認定情況。
(七)內部控制重大缺陷的整改措施及責任追究情況。
(八)內部控制有效性的結論。
存在一個或多個內部控制重大缺陷的,應當作出內部控制無效的結論。
第十六條
企業內部控制評價報告應當報企業經理層審核、董事會審定后公布。
第十七條
企業應當以12月31日作為內部控制評價報告的基準日,也可選擇6月30日為基準日。
內部控制評價報告應于基準日后4個月內報出。
附件2:
企業內部控制應用指引第xx號——工程項目(征求意見稿)
第一章
總 則
第一條
為了規范工程項目管理,提高工程項目質量,保證工程項目進度,防范商業賄賂,根據有關法律法規和《企業內部控制基本規范》,制定本指引。
第二條
本指引所稱工程項目,是指企業自行或者委托其他單位所進行的建造、安裝活動。
第三條
企業至少應當關注工程項目的下列風險:
(一)缺乏科學論證,盲目上馬,可能導致工程失敗。
(二)存在商業賄賂舞弊行為,可能導致工程質量低劣和安全隱患。
(三)項目資金不到位,可能導致建設項目延期或中斷。
第四條
企業應當加強工程項目的監控,明確工程立項、招標、建設、驗收等環節的主要風險點,采取相應措施,實施有效控制。
第二章
立項與招標
第五條
企業應當根據發展戰略和投資計劃,提出項目建議書,進行可行性研究,編制可行性研究報告,重點關注國家產業政策和環境保護要求等因素。
企業可以委托專業機構開展可行性研究,并組織專業人員對可行性研究報告進行評審,出具評審意見。
第六條
企業應當按照規定的權限和程序對工程項目進行決策。重大工程項目,應當報經董事會或者類似決策機構集體審議批準,任何個人不得單獨決策或者擅自改變集體決策意見。
工程項目決策失誤應當實行責任追究制度。
第七條
企業應當根據項目性質和標的金額,明確招標范圍和要求,規范招標程序,不得人為肢解工程項目規避招標。
企業通常應當采用招標形式確定設計單位和施工單位,明確工程項目預期實現的目標和具體要求,確保招標過程公開、公正、透明。
第三章
建設與驗收
第八條
企業應當加強工程項目建設過程和驗收環節的監控,落實責任制,實行嚴格的概預算管理,嚴把質量關,確保工程項目達到設計要求。
第九條
企業應當實行嚴格的工程監理制度。工程監理人員應當深入施工現場,監控工程進度和質量,及時發現和糾正建設過程中的問題。
工程監理人員應當具備相應的資質和良好的職業操守。
第十條
企業應當加強對工程價款結算的管理,明確價款結算的條件、方式和金額等內容,確保工程款項按合同約定或工程進度及時、準確支付。
第十一條
企業應當嚴格控制工程變更。確需變更的工程項目,應當按照規定的權限和程序進行審批。
第十二條
企業應當及時編制竣工決算,開展決算審計,組織專業人員進行竣工驗收,重點關注項目投資額、概預算執行、資金管理、工程質量等內容。
驗收合格的工程項目,應當編制財產清單,及時辦理資產移交手續。
第四章
評估與披露
第十三條 企業應當建立工程項目評估制度,加強對工程立項、招標、建設和驗收過程的跟蹤管理和全面評估,發現異常情況,應當及時報告,采取措施妥善處理。
第十四條
企業應當披露重大在建項目的主要風險等內容。
企業內部控制應用指引第xx號——全面預算(征求意見稿)
第一章
總 則
第一條
為了促進企業加強全面預算管理,實現發展戰略和生產經營目標,根據有關法律法規和《企業內部控制基本規范》,制定本指引。
第二條
本指引所稱全面預算,是指企業對一定期間的各項生產經營活動作出的預算安排。
第三條
企業至少應當關注全面預算管理的下列風險:
(一)缺乏預算或預算編制不完整,可能導致企業盲目經營。
(二)預算執行不力,可能導致企業無法實現生產經營目標。
第四條
企業應當建立全面預算管理制度,強化預算約束,明確預算編制、執行、考核等環節的主要風險點,采取相應措施,實施有效控制。
第二章
編制、執行與考核
第五條
企業應當根據發展戰略和生產經營目標,綜合考慮預算期內市場環境變化等因素,按照上下結合、分級編制、逐級匯總的程序,編制全面預算。
預算編制應當科學合理、符合實際,避免預算指標過高或過低。
第六條
企業應當在預算開始前編制完成全面預算,按照規定的權限和程序審核批準后,以文件形式下達執行。
企業應當將預算指標層層分解,落實到內部各部門、各環節和各崗位,確保預算剛性,嚴格預算執行。
第七條
企業應當建立預算執行情況的預警機制和報告制度,確定預警和報告指標體系,密切跟蹤預算實施進度和完成情況,采取有效方式對預算執行情況進行分析和監控,發現預算執行差異,及時采取改進措施。
第八條
企業批準下達的預算應當保持穩定,不得隨意調整。由于市場環境、國家政策或不可抗力等客觀因素,導致預算執行發生重大差異確需調整預算的,應當履行嚴格的審批程序。
第九條
企業應當建立嚴格的預算執行考核獎懲制度,堅持公開、公正、透明的原則,對所有預算執行單位和個人進行考核,切實做到有獎有懲、獎懲分明,促進企業實現全面預算管理目標。
第三章
評估與披露
第十條 企業應當建立全面預算管理評估制度,對預算編制、執行、考核的過程和結果進行全面評估,發現異常情況,應當及時報告。
第十一條
企業應當披露預算執行情況和全面預算管理中的主要風險等內容。
企業內部控制應用指引第xx號——合同(征求意見稿)
第一章
總 則
第一條
為了促進企業加強合同管理,維護企業合法權益,根據有關法律法規和《企業內部控制基本規范》,制定本指引。
第二條
本指引所稱合同,是指企業與自然人、法人及其他組織之間設立、變更、終止民事權利義務關系的協議。
企業與職工簽訂的勞動合同,不適用本指引。
第三條
企業至少應當關注合同管理的下列風險:
(一)未簽訂合同或合同內容存在重大疏漏,可能導致企業合法權益受到侵害,經濟利益受損。
(二)合同履行不力,可能導致經濟糾紛或法律訴訟,損害企業信譽和形象。
第四條
企業應當建立合同管理制度,明確合同簽署與履行過程中的主要風險點,采取相應措施,實施有效控制。
第二章
合同的簽署
第五條
企業對外發生的重要經濟行為,均應簽訂相關合同。合同簽署前,應當了解調查對方當事人的主體資格、信用狀況等有關情況,確保對方當事人具備履約能力。
合同標的物涉及重大事項的,應當進行充分協商,堅持自愿、平等、互利原則,明確雙方的權利義務和違約責任。技術含量較高或法律關系復雜的合同,應當組織專業人員參與談判。
第六條
企業應當根據協商、談判的結果,擬訂合同文本。合同文本應當符合國家有關法律法規的規定,切實做到條款內容完整,表述嚴謹準確,相關手續齊備,避免出現重大疏漏。
第七條
企業應當建立合同審核和內部會簽制度,重點審核合同的合規性、經濟性、可行性、嚴密性等相關內容。合同文本涉及相關部門或人員的,應當履行內部審核會簽程序。
第八條
企業應當按照規定的權限和程序與對方當事人簽署合同。正式對外訂立的合同,應當由企業法定代表人或其授權人簽名并加蓋有關印章。
第三章
合同的履行
第九條
企業應當嚴格履行合同,同時監控對方當事人的履約情況。
合同履行過程中出現違約情形的,應當嚴格按照合同違約條款承擔或追究違約責任。
第十條
合同一經簽署,不得隨意變更。因政策調整、市場變化等客觀因素確需變更的,應由雙方協商一致,按照規定的權限和程序辦理變更或終止手續。
第十一條
企業應當建立合同糾紛處理制度。在合同履行過程中發生糾紛的,應當根據國家有關法律法規,在規定時效內與對方協商解決。協商無效的,應當按照合同約定選擇仲裁或訴訟方式解決。
第四章
評估與披露
第十二條 企業應當建立合同管理評估制度,定期對合同簽署與履行情況進行全面評估,發現異常情況,應當及時報告。
第十三條
企業應當披露重大合同的履行情況、合同糾紛、法律訴訟以及合同履行中的其他風險等內容。
企業內部控制應用指引第xx號——內部報告(征求意見稿)
第一章
總 則
第一條
為了促進企業有效報告經營管理信息,揭示生產經營管理過程中存在的主要問題和風險,及時采取應對措施,根據《企業內部控制基本規范》,制定本指引。
第二條
本指引所稱內部報告,是指企業內部層級之間傳遞內部經營管理信息的過程。
第三條
企業至少應當關注內部報告的下列風險:
(一)內部報告信息不準確,可能導致決策失誤。
(二)內部報告信息傳遞不及時、不通暢,可能導致風險失控。
第四條
企業應當建立科學的內部報告機制和信息系統,明確報告內容、傳遞的方式和有效使用等相關要求,落實責任制,確保內部報告信息及時溝通。
第二章
內部報告的形成
第五條
企業應當以經營快報等方式,規定不同級次內部報告的指標體系,反映經營管理的主要情況。經營快報的內容和形式應當簡潔明了,通俗易懂,便于管理人員掌握相關信息,及時作出決策。
第六條
企業應當充分利用信息技術,采集、匯總、生成內部報告信息,構建科學的內部報告網絡體系。企業內部各級次均應當指定專人負責內部報告工作,規定不同級次報告的時點,確保在同一時點上形成分級和匯總信息。
重要風險信息可以直接報告高級管理人員。
第七條
企業應當拓寬內部報告渠道,通過多種有效方式,鼓勵員工為企業經營發展提供合理化建議,反映和舉報生產經營中的違規、舞弊行為。
第三章
內部報告的使用
第八條
企業各級管理人員應當充分利用內部報告,管理和指導企業的生產經營,嚴格績效考核和責任追究制度,確保企業實現發展目標。
第九條
企業對于內部報告反映出的經營管理中存在的突出問題和重大風險,應當啟動應急預案。
第十條
企業應當建立內部報告的評估制度,對內部報告的形成和使用進行全面評估,重點關注報告信息的準確性和溝通機制的有效性。對于內部報告中發現的問題,應當及時采取改進措施,充分發揮內部報告在經營管理中的重要作用。
企業內部控制應用指引第xx號——信息系統(征求意見稿)
第一章
總
則
第一條
為了發揮信息系統在企業內部控制中的作用,實現信息系統與內部控制的有機結合,根據有關法律法規和《企業內部控制基本規范》,制定本指引。
第二條
本指引所稱信息系統,是指企業利用計算機和通信技術,對內部控制進行集成、轉化和提升,形成由人員、硬件、軟件、信息、運行規程等組成的管理平臺。
第三條
企業建立與實施內部控制,應當利用現代管理手段,開發信息系統,優化管理流程,減少人為操縱因素,不斷提高內部控制效能。
第四條
企業應當加強信息系統建設的組織領導,加大投入,明確相關部門和單位的職責權限,建立有效的工作機制。
企業應當指定專門機構對信息系統建設實施歸口管理,可以委托專業服務機構從事信息系統的開發、運行與維護等工作。
企業負責人對信息系統建設負責。
第五條
企業利用信息系統實施內部控制,至少應當關注下列風險:
(一)缺乏信息系統建設整體規劃或規劃不當,可能導致重復建設,形成信息孤島,影響企業發展目標的實現。
(二)開發不合理或不符合內部控制要求,可能導致無法利用信息系統實施有效控制。
(三)授權管理不當,可能導致非法操作和舞弊。
(四)安全維護措施不當,可能導致信息泄漏或毀損,系統無法正常運行。
第六條
企業應當根據發展戰略,結合組織架構、業務范圍、地域分布、技術能力等因素,制定信息系統建設整體規劃,進行統籌安排,明確系統開發、運行與維護中的主要風險點,采取相應措施,實施有效控制。
第二章
信息系統的開發
第七條
企業信息系統歸口管理部門應當根據信息系統建設整體規劃,提出信息系統項目建設方案,按規定的權限和程序審批后實施。
第八條
企業開發信息系統,應當明確提出開發需求和關鍵控制點,采取多種方式與開發單位進行充分溝通,為系統開發奠定良好基礎。
企業應當加強信息系統開發全過程的跟蹤管理。
第九條
企業應當組織專業機構對開發完成的信息系統進行驗收測試,驗收測試與系統開發應當相互分離,確保在功能、性能、控制要求和安全性等方面滿足開發需求。
驗收通過的信息系統,應當按照規定的權限和程序審批后上線實施。
第十條
企業應當切實做好信息系統上線前的各項準備工作,培訓業務操作和系統管理人員,制定科學的上線計劃和新舊系統轉換方案,考慮應急預案,確保新舊系統順利切換和平穩銜接。
第三章
信息系統的運行與維護
第十一條
企業應當加強信息系統運行與維護的管理,跟蹤和發現系統運行中存在的問題,不斷進行調整和完善。
企業應當建立系統數據定期備份制度,明確備份范圍、備份頻度、備份方法、備份責任人、備份存放地點、備份有效性檢查等內容。
第十二條
企業應當根據業務性質、重要性程度、涉密情況等確定信息系統的安全等級,采用相應的制度和技術手段,確保信息系統安全、穩定、高效運行。
企業應當建立信息系統安全保密和泄密責任追究制度。
第十三條
企業應當綜合利用防火墻、路由器等網絡設備,漏洞掃描、入侵檢測等軟件技術,以及遠程訪問安全策略等手段加強網絡安全,防范來自網絡的攻擊和非法侵入。
通過網絡傳輸的涉密或者關鍵數據,應當采取加密傳輸等措施確保信息傳遞的保密性、準確性和完整性。
第十四條
企業應當加強服務器等關鍵信息設備的管理,建立良好的物理環境,指定專人負責檢查,及時處理異常情況,任何人未經授權不得接觸關鍵信息設備。
第四章
評估與披露
第十五條 企業應當建立利用信息系統實施內部控制的評估制度,對信息系統開發、運行與維護的全過程進行評估,發現異常情況,應當及時報告。
第十六條
企業應當披露利用信息系統實施內部控制的情況及存在的主要問題。
第五篇:企業內部控制評價指引
企業內部控制評價指引
第一章 總 則
第一條 為了促進企業全面評價內部控制的設計與運行情況,規 范內部控制評價程序和評價報告,揭示和防范風險,根據有關法律法 規和《企業內部控制基本規范》,制定本指引。
第二條 本指引所稱內部控制評價,是指企業董事會或類似權力 機構對內部控制的有效性進行全面評價、形成評價結論、出具評價報 告的過程。
第三條 企業實施內部控制評價至少應當遵循下列原則:
(一)全面性原則。評價工作應當包括內部控制的設計與運行,涵蓋企業及其所屬單位的各種業務和事項。
(二)重要性原則。評價工作應當在全面評價的基礎上,關注重 要業務單位、重大業務事項和高風險領域。
(三)客觀性原則。評價工作應當準確地揭示經營管理的風險狀 況,如實反映內部控制設計與運行的有效性。
第四條 企業應當根據本評價指引,結合內部控制設計與運行的 實際情況,制定具體的內部控制評價辦法,規定評價的原則、內容、程序、方法和報告形式等,明確相關機構或崗位的職責權限,落實責 任制,按照規定的辦法、程序和要求,有序開展內部控制評價工作。
企業董事會應當對內部控制評價報告的真實性負責。
第二章 內部控制評價的內容
第五條 企業應當根據《企業內部控制基本規范》、應用指引以 及本企業的內部控制制度,圍繞內部環境、風險評估、控制活動、信 息與溝通、內部監督等要素,確定內部控制評價的具體內容,對內部 控制設計與運行情況進行全面評價。
第六條 企業組織開展內部環境評價,應當以組織架構、發展戰 略、人力資源、企業文化、社會責任等應用指引為依據,結合本企業 的內部控制制度,對內部環境的設計及實際運行情況進行認定和評價。
第七條 企業組織開展風險評估機制評價,應當以《企業內部控 制基本規范》有關風險評估的要求,以及各項應用指引中所列主要風 險為依據,結合本企業的內部控制制度,對日常經營管理過程中的風 險識別、風險分析、應對策略等進行認定和評價。
第八條 企業組織開展控制活動評價,應當以《企業內部控制基 本規范》和各項應用指引中的控制措施為依據,結合本企業的內部控 制制度,對相關控制措施的設計和運行情況進行認定和評價。
第九條 企業組織開展信息與溝通評價,應當以內部信息傳遞、財務報告、信息系統等相關應用指引為依據,結合本企業的內部控制 制度,對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財 務報告的真實性、信息系統的安全性,以及利用信息系統實施內部控
制的有效性等進行認定和評價。
第十條 企業組織開展內部監督評價,應當以《企業內部控制基 本規范》有關內部監督的要求,以及各項應用指引中有關日常管控的 規定為依據,結合本企業的內部控制制度,對內部監督機制的有效性 進行認定和評價,重點關注監事會、審計委員會、內部審計機構等是 否在內部控制設計和運行中有效發揮監督作用。
第十一條 內部控制評價工作應當形成工作底稿,詳細記錄企業
執行評價工作的內容,包括評價要素、主要風險點、采取的控制措施、有關證據資料以及認定結果等。
評價工作底稿應當設計合理、證據充分、簡便易行、便于操作。
第三章 內部控制評價的程序
第十二條 企業應當按照內部控制評價辦法規定的程序,有序開展內部控制評價工作。
內部控制評價程序一般包括:制定評價工作方案、組成評價工作 組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等 環節。
企業可以授權內部審計部門或專門機構(以下簡稱內部控制評價部門)負責內部控制評價的具體組織實施工作。
第十三條 企業內部控制評價部門應當擬訂評價工作方案明確 評價范圍、工作任務、人員組織、進度安排和費用預算等相關內容,報經董事會或其授權機構審批后實施。
第十四條 企業內部控制評價部門應當根據經批準的評價方案,組成內部控制評價工作組,具體實施內部控制評價工作。評價工作組 應當吸收企業內部相關機構熟悉情況的業務骨干參加。評價工作組成 員對本部門的內部控制評價工作應當實行回避制度。
企業可以委托中介機構實施內部控制評價。為企業提供內部控制 審計服務的會計師事務所,不得同時為同一企業提供內部控制評價服 務。
第十五條 內部控制評價工作組應當對被評價單位進行現場測 試,綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法,充分收集被評價單位內部控制設計和運行是 否有效的證據,按照評價的具體內容,如實填寫評價工作底稿,研究 分析內部控制缺陷。
第四章 內部控制缺陷的認定
第十六條 內部控制缺陷包括設計缺陷和運行缺陷。企業對內部 控制缺陷的認定,應當以日常監督和專項監督為基礎,結合內部 控制評價,由內部控制評價部門進行綜合分析后提出認定意見,按照 規定的權限和程序進行審核后予以最終認定。
第十七條 企業在日常監督、專項監督和評價工作中,應當 充分發揮內部控制評價工作組的作用。內部控制評價工作組應當根據 現場測試獲取的證據,對內部控制缺陷進行初步認定,并按其影響程 度分為重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重 偏離控制目標。重要缺陷,是指一個或多個控制缺陷的組合,其嚴重程度和經濟后果低于重大缺陷,但仍有可能導致企業偏離控制目標。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具體認定標準,由企業根據上述要求自行確定。
第十八條 企業內部控制評價工作組應當建立評價質量交叉復核制度,評價工作組負責人應當對評價工作底稿進行嚴格審核,并對所認定的評價結果簽字確認后,提交企業內部控制評價部門。
第十九條 企業內部控制評價部門應當編制內部控制缺陷認定匯總表,結合日常監督和專項監督發現的內部控制缺陷及其持續改進 情況,對內部控制缺陷及其成因、表現形式和影響程度進行綜合分析 和全面復核,提出認定意見,并以適當的形式向董事會、監事會或者 經理層報告。重大缺陷應當由董事會予以最終認定。
企業對于認定的重大缺陷,應當及時采取應對策略,切實將風險
控制在可承受度之內,并追究有關部門或相關人員的責任。
第五章 內部控制評價報告
第二十條 企業應當根據《企業內部控制基本規范》、應用指引 和本指引,設計內部控制評價報告的種類、格式和內容,明確內部控 制評價報告編制程序和要求,按照規定的權限報經批準后對外報出。第二十一條 內部控制評價報告應當分別內部環境、風險評估、控制活動、信息與溝通、內部監督等要素進行設計,對內部控制評價 過程、內部控制缺陷認定及整改情況、內部控制有效性的結論等相關 內容作出披露。
第二十二條 內部控制評價報告至少應當披露下列內容:
(一)董事會對內部控制報告真實性的聲明。
(二)內部控制評價工作的總體情況。
(三)內部控制評價的依據。
(四)內部控制評價的范圍。
(五)內部控制評價的程序和方法。
(六)內部控制缺陷及其認定情況。
(七)內部控制缺陷的整改情況及重大缺陷擬采取的整改措施。
(八)內部控制有效性的結論。
第二十三條 企業應當根據內部控制評價結果,結合內部控 制評價工作底稿和內部控制缺陷匯總表等資料,按照規定的程序和要 求,及時編制內部控制評價報告。
第二十四條 內部控制評價報告應當報經董事會或類似權力機 構批準后對外披露或報送相關部門。
企業內部控制評價部門應當關注自內部控制評價報告基準日至 內部控制評價報告發出日之間是否發生影響內部控制有效性的因素,并根據其性質和影響程度對評價結論進行相應調整。
第二十五條 企業內部控制審計報告應當與內部控制評價報告
同時對外披露或報送。
第二十六條 企業應當以 12 月 31 日作為內部控制評價報告 的基準日。
內部控制評價報告應于基準日后 4 個月內報出。
第二十七條 企業應當建立內部控制評價工作檔案管理制度。內部控制評價的有關文件資料、工作底稿和證明材料等應當妥善保管。
點擊咨詢 