下载文档第一篇:企业内部控制评价指引
企业内部控制评价指引
第一章 总 则
第一条 为了促进企业全面评价内部控制的设计与运行情况,规 范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法 规和《企业内部控制基本规范》,制定本指引。
第二条 本指引所称内部控制评价,是指企业董事会或类似权力 机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报 告的过程。
第三条 企业实施内部控制评价至少应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重 要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状 况,如实反映内部控制设计与运行的有效性。
第四条 企业应当根据本评价指引,结合内部控制设计与运行的 实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责 任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业董事会应当对内部控制评价报告的真实性负责。
第二章 内部控制评价的内容
第五条 企业应当根据《企业内部控制基本规范》、应用指引以 及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信 息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部 控制设计与运行情况进行全面评价。
第六条 企业组织开展内部环境评价,应当以组织架构、发展战 略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业 的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
第七条 企业组织开展风险评估机制评价,应当以《企业内部控 制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风 险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风 险识别、风险分析、应对策略等进行认定和评价。
第八条 企业组织开展控制活动评价,应当以《企业内部控制基 本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控 制制度,对相关控制措施的设计和运行情况进行认定和评价。
第九条 企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制 制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财 务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控
制的有效性等进行认定和评价。
第十条 企业组织开展内部监督评价,应当以《企业内部控制基 本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的 规定为依据,结合本企业的内部控制制度,对内部监督机制的有效性 进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是 否在内部控制设计和运行中有效发挥监督作用。
第十一条 内部控制评价工作应当形成工作底稿,详细记录企业
执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
评价工作底稿应当设计合理、证据充分、简便易行、便于操作。
第三章 内部控制评价的程序
第十二条 企业应当按照内部控制评价办法规定的程序,有序开展内部控制评价工作。
内部控制评价程序一般包括:制定评价工作方案、组成评价工作 组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等 环节。
企业可以授权内部审计部门或专门机构(以下简称内部控制评价部门)负责内部控制评价的具体组织实施工作。
第十三条 企业内部控制评价部门应当拟订评价工作方案明确 评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。
第十四条 企业内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组 应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成 员对本部门的内部控制评价工作应当实行回避制度。
企业可以委托中介机构实施内部控制评价。为企业提供内部控制 审计服务的会计师事务所,不得同时为同一企业提供内部控制评价服 务。
第十五条 内部控制评价工作组应当对被评价单位进行现场测 试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是 否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究 分析内部控制缺陷。
第四章 内部控制缺陷的认定
第十六条 内部控制缺陷包括设计缺陷和运行缺陷。企业对内部 控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部 控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照 规定的权限和程序进行审核后予以最终认定。
第十七条 企业在日常监督、专项监督和年度评价工作中,应当 充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据 现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程 度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重 偏离控制目标。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准,由企业根据上述要求自行确定。
第十八条 企业内部控制评价工作组应当建立评价质量交叉复核制度,评价工作组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认后,提交企业内部控制评价部门。
第十九条 企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进 情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析 和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者 经理层报告。重大缺陷应当由董事会予以最终认定。
企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险
控制在可承受度之内,并追究有关部门或相关人员的责任。
第五章 内部控制评价报告
第二十条 企业应当根据《企业内部控制基本规范》、应用指引 和本指引,设计内部控制评价报告的种类、格式和内容,明确内部控 制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。第二十一条 内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价 过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关 内容作出披露。
第二十二条 内部控制评价报告至少应当披露下列内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
第二十三条 企业应当根据年度内部控制评价结果,结合内部控 制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要 求,及时编制内部控制评价报告。
第二十四条 内部控制评价报告应当报经董事会或类似权力机 构批准后对外披露或报送相关部门。
企业内部控制评价部门应当关注自内部控制评价报告基准日至 内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第二十五条 企业内部控制审计报告应当与内部控制评价报告
同时对外披露或报送。
第二十六条 企业应当以 12 月 31 日作为年度内部控制评价报告 的基准日。
内部控制评价报告应于基准日后 4 个月内报出。
第二十七条 企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管。
第二篇:企业内部控制评价指引(模版)
企业内部控制评价指引》及工程项目等5项内部控制应用指引意见的通知 财会便[202_]7号
颁布时间:202_-1-14发文单位:财政部会计司
企业内部控制标准委员会委员、咨询专家,各企业,会计师事务所等有关单位:
在修改完善组织架构等10个应用指引项目并征求意见的基础上,我们又调整修改了《企业内部控制评价指引》和工程项目等5个应用指引,现征求意见。请于202_年2月6日前将意见反馈至企业内部控制标准委员会秘书处(设在财政部会计司)。
附件:1.《企业内部控制评价指引》(征求意见稿)
2.《企业内部控制应用指引第xx号——工程项目》(征求意见稿)等
企业内部控制标准委员会秘书处(财政部会计司)二〇〇九年一月十四日
附件1:
企业内部控制评价指引(征求意见稿)
第一章
总 则
第一条
为了规范企业内部控制评价,全面评估内部控制设计与运行情况,编制内部控制评价报告,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条
本指引所称内部控制评价,是指企业董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评估的过程。
第三条
企业应当根据《企业内部控制基本规范》和本评价指引,结合本企业的实际情况,制定内部控制评价办法,明确内部控制评价的原则和内容、程序和方法、以及报告形式等相关内容,确保内部控制评价工作落到实处。
企业主要负责人应当对内部控制评价结论的真实性负责。
第四条
企业应当建立内部控制评价结果分析利用和考核制度,将内部控制评价结果和整改情况作为内部绩效考评的重要依据。
第二章
评价的原则和内容
第五条
企业实施内部控制评价,至少应当遵循全面性、重要性和独立性原则,确保评价工作标准统一、客观公正。
全面性,是指评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
重要性,是指在全面评价的基础上关注重要高风险领域。
独立性,是指评价工作应当于内部控制的设计与运行相互分离。
第六条
企业内部控制评价应当以内部环境为基础,重点关注:治理结构是否形同虚设;发展战略是否可行;机构设置是否重叠;权责分配是否明晰;不相容岗位是否分离;人力资源政策和激励约束机制是否科学合理;企业文化是否促进员工勤勉尽责;社会责任是否有效履行等。
第七条
企业内部控制评价应当以生产经营活动为重点,至少关注:资金的筹集、投放和营运过程是否存在资金链断裂;资产运行中是否存在效能低下或资产流失;采购与销售环节是否存在舞弊行为;研发项目是否经过科学论证;工程项目是否存在商业贿赂等。
第八条
企业内部控制评价应当兼顾控制手段,至少关注:全面预算是否具有约束力;合同履行是否存在纠纷;信息系统是否与内部控制有机结合;内部报告是否及时传递和有效沟通等。
第三章
评价的程序和方法
第九条
企业应当指定内部审计机构或其他机构具体组织实施内部控制评价工作,根据内部控制评价办法制定评价方案,组成评价小组,明确分工和进度安排,采取现场检查等方式开展内部控制评价。
企业可以借助中介机构或外部专家实施内部控制评价,参与企业内部控制评价的中介机构不得同时为同一企业提供内部控制审计服务。
第十条
企业开展内部控制评价,应当编制工作底稿。工作底稿应当由评价小组直接填写,指定专人严格复核。
第十一条
评价小组可以综合运用个别访谈、调查问卷、专题讨论、穿行测试、统计抽样、比较分析等多种方法,广泛收集被评价单位内部控制设计和有效运行的证据,研究认定内部控制设计缺陷和运行缺陷。
评价小组研究认定的内部控制缺陷,应当按照规定的权限和程序报经审批后确定。
第十二条
企业应当对内部控制缺陷进行综合判断,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标的情形。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。
第十三条
重大缺陷应当根据本指引第五条、第六条、第七条规定和重大缺陷的定义,结合企业实际情况,具体加以认定。
重要缺陷和一般缺陷由企业自行确定。
第十四条
企业应当建立内部控制缺陷整改机制,明确内部各管理层级和单位整改的职责分工,确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。
董事会负责重大缺陷的整改,接受监事会的监督。经理层负责重要缺陷的整改,接受董事会的监督。内部有关单位负责一般缺陷的整改,接受经理层的监督。
第四章
内部控制评价报告
第十五条
企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告。内部控制评价报告至少应当包括下列内容:
(一)组织实施内部控制评价的总体情况。
(二)内部控制责任主体的声明。
(三)内部控制评价的范围和内容。
(四)内部控制评价的标准和依据。
(五)内部控制评价的程序和方法。
(六)内部控制重大缺陷及其认定情况。
(七)内部控制重大缺陷的整改措施及责任追究情况。
(八)内部控制有效性的结论。
存在一个或多个内部控制重大缺陷的,应当作出内部控制无效的结论。
第十六条
企业内部控制评价报告应当报企业经理层审核、董事会审定后公布。
第十七条
企业应当以12月31日作为内部控制评价报告的基准日,也可选择6月30日为基准日。
内部控制评价报告应于基准日后4个月内报出。
附件2:
企业内部控制应用指引第xx号——工程项目(征求意见稿)
第一章
总 则
第一条
为了规范工程项目管理,提高工程项目质量,保证工程项目进度,防范商业贿赂,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条
本指引所称工程项目,是指企业自行或者委托其他单位所进行的建造、安装活动。
第三条
企业至少应当关注工程项目的下列风险:
(一)缺乏科学论证,盲目上马,可能导致工程失败。
(二)存在商业贿赂舞弊行为,可能导致工程质量低劣和安全隐患。
(三)项目资金不到位,可能导致建设项目延期或中断。
第四条
企业应当加强工程项目的监控,明确工程立项、招标、建设、验收等环节的主要风险点,采取相应措施,实施有效控制。
第二章
立项与招标
第五条
企业应当根据发展战略和投资计划,提出项目建议书,进行可行性研究,编制可行性研究报告,重点关注国家产业政策和环境保护要求等因素。
企业可以委托专业机构开展可行性研究,并组织专业人员对可行性研究报告进行评审,出具评审意见。
第六条
企业应当按照规定的权限和程序对工程项目进行决策。重大工程项目,应当报经董事会或者类似决策机构集体审议批准,任何个人不得单独决策或者擅自改变集体决策意见。
工程项目决策失误应当实行责任追究制度。
第七条
企业应当根据项目性质和标的金额,明确招标范围和要求,规范招标程序,不得人为肢解工程项目规避招标。
企业通常应当采用招标形式确定设计单位和施工单位,明确工程项目预期实现的目标和具体要求,确保招标过程公开、公正、透明。
第三章
建设与验收
第八条
企业应当加强工程项目建设过程和验收环节的监控,落实责任制,实行严格的概预算管理,严把质量关,确保工程项目达到设计要求。
第九条
企业应当实行严格的工程监理制度。工程监理人员应当深入施工现场,监控工程进度和质量,及时发现和纠正建设过程中的问题。
工程监理人员应当具备相应的资质和良好的职业操守。
第十条
企业应当加强对工程价款结算的管理,明确价款结算的条件、方式和金额等内容,确保工程款项按合同约定或工程进度及时、准确支付。
第十一条
企业应当严格控制工程变更。确需变更的工程项目,应当按照规定的权限和程序进行审批。
第十二条
企业应当及时编制竣工决算,开展决算审计,组织专业人员进行竣工验收,重点关注项目投资额、概预算执行、资金管理、工程质量等内容。
验收合格的工程项目,应当编制财产清单,及时办理资产移交手续。
第四章
评估与披露
第十三条 企业应当建立工程项目评估制度,加强对工程立项、招标、建设和验收过程的跟踪管理和全面评估,发现异常情况,应当及时报告,采取措施妥善处理。
第十四条
企业应当披露重大在建项目的主要风险等内容。
企业内部控制应用指引第xx号——全面预算(征求意见稿)
第一章
总 则
第一条
为了促进企业加强全面预算管理,实现发展战略和生产经营目标,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条
本指引所称全面预算,是指企业对一定期间的各项生产经营活动作出的预算安排。
第三条
企业至少应当关注全面预算管理的下列风险:
(一)缺乏预算或预算编制不完整,可能导致企业盲目经营。
(二)预算执行不力,可能导致企业无法实现生产经营目标。
第四条
企业应当建立全面预算管理制度,强化预算约束,明确预算编制、执行、考核等环节的主要风险点,采取相应措施,实施有效控制。
第二章
编制、执行与考核
第五条
企业应当根据发展战略和生产经营目标,综合考虑预算期内市场环境变化等因素,按照上下结合、分级编制、逐级汇总的程序,编制全面预算。
预算编制应当科学合理、符合实际,避免预算指标过高或过低。
第六条
企业应当在预算开始前编制完成全面预算,按照规定的权限和程序审核批准后,以文件形式下达执行。
企业应当将预算指标层层分解,落实到内部各部门、各环节和各岗位,确保预算刚性,严格预算执行。
第七条
企业应当建立预算执行情况的预警机制和报告制度,确定预警和报告指标体系,密切跟踪预算实施进度和完成情况,采取有效方式对预算执行情况进行分析和监控,发现预算执行差异,及时采取改进措施。
第八条
企业批准下达的预算应当保持稳定,不得随意调整。由于市场环境、国家政策或不可抗力等客观因素,导致预算执行发生重大差异确需调整预算的,应当履行严格的审批程序。
第九条
企业应当建立严格的预算执行考核奖惩制度,坚持公开、公正、透明的原则,对所有预算执行单位和个人进行考核,切实做到有奖有惩、奖惩分明,促进企业实现全面预算管理目标。
第三章
评估与披露
第十条 企业应当建立全面预算管理评估制度,对预算编制、执行、考核的过程和结果进行全面评估,发现异常情况,应当及时报告。
第十一条
企业应当披露预算执行情况和全面预算管理中的主要风险等内容。
企业内部控制应用指引第xx号——合同(征求意见稿)
第一章
总 则
第一条
为了促进企业加强合同管理,维护企业合法权益,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条
本指引所称合同,是指企业与自然人、法人及其他组织之间设立、变更、终止民事权利义务关系的协议。
企业与职工签订的劳动合同,不适用本指引。
第三条
企业至少应当关注合同管理的下列风险:
(一)未签订合同或合同内容存在重大疏漏,可能导致企业合法权益受到侵害,经济利益受损。
(二)合同履行不力,可能导致经济纠纷或法律诉讼,损害企业信誉和形象。
第四条
企业应当建立合同管理制度,明确合同签署与履行过程中的主要风险点,采取相应措施,实施有效控制。
第二章
合同的签署
第五条
企业对外发生的重要经济行为,均应签订相关合同。合同签署前,应当了解调查对方当事人的主体资格、信用状况等有关情况,确保对方当事人具备履约能力。
合同标的物涉及重大事项的,应当进行充分协商,坚持自愿、平等、互利原则,明确双方的权利义务和违约责任。技术含量较高或法律关系复杂的合同,应当组织专业人员参与谈判。
第六条
企业应当根据协商、谈判的结果,拟订合同文本。合同文本应当符合国家有关法律法规的规定,切实做到条款内容完整,表述严谨准确,相关手续齐备,避免出现重大疏漏。
第七条
企业应当建立合同审核和内部会签制度,重点审核合同的合规性、经济性、可行性、严密性等相关内容。合同文本涉及相关部门或人员的,应当履行内部审核会签程序。
第八条
企业应当按照规定的权限和程序与对方当事人签署合同。正式对外订立的合同,应当由企业法定代表人或其授权人签名并加盖有关印章。
第三章
合同的履行
第九条
企业应当严格履行合同,同时监控对方当事人的履约情况。
合同履行过程中出现违约情形的,应当严格按照合同违约条款承担或追究违约责任。
第十条
合同一经签署,不得随意变更。因政策调整、市场变化等客观因素确需变更的,应由双方协商一致,按照规定的权限和程序办理变更或终止手续。
第十一条
企业应当建立合同纠纷处理制度。在合同履行过程中发生纠纷的,应当根据国家有关法律法规,在规定时效内与对方协商解决。协商无效的,应当按照合同约定选择仲裁或诉讼方式解决。
第四章
评估与披露
第十二条 企业应当建立合同管理评估制度,定期对合同签署与履行情况进行全面评估,发现异常情况,应当及时报告。
第十三条
企业应当披露重大合同的履行情况、合同纠纷、法律诉讼以及合同履行中的其他风险等内容。
企业内部控制应用指引第xx号——内部报告(征求意见稿)
第一章
总 则
第一条
为了促进企业有效报告经营管理信息,揭示生产经营管理过程中存在的主要问题和风险,及时采取应对措施,根据《企业内部控制基本规范》,制定本指引。
第二条
本指引所称内部报告,是指企业内部层级之间传递内部经营管理信息的过程。
第三条
企业至少应当关注内部报告的下列风险:
(一)内部报告信息不准确,可能导致决策失误。
(二)内部报告信息传递不及时、不通畅,可能导致风险失控。
第四条
企业应当建立科学的内部报告机制和信息系统,明确报告内容、传递的方式和有效使用等相关要求,落实责任制,确保内部报告信息及时沟通。
第二章
内部报告的形成
第五条
企业应当以经营快报等方式,规定不同级次内部报告的指标体系,反映经营管理的主要情况。经营快报的内容和形式应当简洁明了,通俗易懂,便于管理人员掌握相关信息,及时作出决策。
第六条
企业应当充分利用信息技术,采集、汇总、生成内部报告信息,构建科学的内部报告网络体系。企业内部各级次均应当指定专人负责内部报告工作,规定不同级次报告的时点,确保在同一时点上形成分级和汇总信息。
重要风险信息可以直接报告高级管理人员。
第七条
企业应当拓宽内部报告渠道,通过多种有效方式,鼓励员工为企业经营发展提供合理化建议,反映和举报生产经营中的违规、舞弊行为。
第三章
内部报告的使用
第八条
企业各级管理人员应当充分利用内部报告,管理和指导企业的生产经营,严格绩效考核和责任追究制度,确保企业实现发展目标。
第九条
企业对于内部报告反映出的经营管理中存在的突出问题和重大风险,应当启动应急预案。
第十条
企业应当建立内部报告的评估制度,对内部报告的形成和使用进行全面评估,重点关注报告信息的准确性和沟通机制的有效性。对于内部报告中发现的问题,应当及时采取改进措施,充分发挥内部报告在经营管理中的重要作用。
企业内部控制应用指引第xx号——信息系统(征求意见稿)
第一章
总
则
第一条
为了发挥信息系统在企业内部控制中的作用,实现信息系统与内部控制的有机结合,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条
本指引所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升,形成由人员、硬件、软件、信息、运行规程等组成的管理平台。
第三条
企业建立与实施内部控制,应当利用现代管理手段,开发信息系统,优化管理流程,减少人为操纵因素,不断提高内部控制效能。
第四条
企业应当加强信息系统建设的组织领导,加大投入,明确相关部门和单位的职责权限,建立有效的工作机制。
企业应当指定专门机构对信息系统建设实施归口管理,可以委托专业服务机构从事信息系统的开发、运行与维护等工作。
企业负责人对信息系统建设负责。
第五条
企业利用信息系统实施内部控制,至少应当关注下列风险:
(一)缺乏信息系统建设整体规划或规划不当,可能导致重复建设,形成信息孤岛,影响企业发展目标的实现。
(二)开发不合理或不符合内部控制要求,可能导致无法利用信息系统实施有效控制。
(三)授权管理不当,可能导致非法操作和舞弊。
(四)安全维护措施不当,可能导致信息泄漏或毁损,系统无法正常运行。
第六条
企业应当根据发展战略,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,进行统筹安排,明确系统开发、运行与维护中的主要风险点,采取相应措施,实施有效控制。
第二章
信息系统的开发
第七条
企业信息系统归口管理部门应当根据信息系统建设整体规划,提出信息系统项目建设方案,按规定的权限和程序审批后实施。
第八条
企业开发信息系统,应当明确提出开发需求和关键控制点,采取多种方式与开发单位进行充分沟通,为系统开发奠定良好基础。
企业应当加强信息系统开发全过程的跟踪管理。
第九条
企业应当组织专业机构对开发完成的信息系统进行验收测试,验收测试与系统开发应当相互分离,确保在功能、性能、控制要求和安全性等方面满足开发需求。
验收通过的信息系统,应当按照规定的权限和程序审批后上线实施。
第十条
企业应当切实做好信息系统上线前的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。
第三章
信息系统的运行与维护
第十一条
企业应当加强信息系统运行与维护的管理,跟踪和发现系统运行中存在的问题,不断进行调整和完善。
企业应当建立系统数据定期备份制度,明确备份范围、备份频度、备份方法、备份责任人、备份存放地点、备份有效性检查等内容。
第十二条
企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,采用相应的制度和技术手段,确保信息系统安全、稳定、高效运行。
企业应当建立信息系统安全保密和泄密责任追究制度。
第十三条
企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术,以及远程访问安全策略等手段加强网络安全,防范来自网络的攻击和非法侵入。
通过网络传输的涉密或者关键数据,应当采取加密传输等措施确保信息传递的保密性、准确性和完整性。
第十四条
企业应当加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检查,及时处理异常情况,任何人未经授权不得接触关键信息设备。
第四章
评估与披露
第十五条 企业应当建立利用信息系统实施内部控制的评估制度,对信息系统开发、运行与维护的全过程进行评估,发现异常情况,应当及时报告。
第十六条
企业应当披露利用信息系统实施内部控制的情况及存在的主要问题。
第三篇:企业内部控制评价指引
附件1:
企业内部控制评价指引
(征求意见稿)第一章
总 则
第一条
为规范企业内部控制评价工作,及时发现企业内部控制缺陷,提出和实施改进方案,确保内部控制有效运行,根据国家有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条
本指引适用于中华人民共和国境内设立的大中型企业。第三条
本指引所称内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。
内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。
第四条
企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。
第五条
企业实施内部控制评价,应当遵循下列原则:
(一)风险导向原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。
(二)一致性原则。内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。
(三)公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。
(四)独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。
(五)成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。
第六条
企业董事会及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督。
第七条
企业可以授权内部审计部门负责组织和实施内部控制评价工作。具备条件的企业,可以设立专门的内部控制评价机构(以下合称内部控制评价机构)。
第八条
企业内部控制评价,一般包括评价和专项评价。评价是指企业根据内部控制目标,对企业某一建立与实施内部控制的有效性进行的评价;专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。
第二章
内部控制评价的内容和标准
第九条
企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。
第十条
企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。
内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。
第十一条
应用信息系统加强内部控制的企业,应当对信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统应用控制评价。
一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。
应用控制评价应当结合企业业务流程特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。
第十二条
企业应当根据《企业内部控制基本规范》及其应用指引的有关规定,建立与实施内部控制,并以此为依据和标准组织开展内部控制评价工作。
第十三条
企业集团对被评价单位内部控制的有效性进行评价,应当至少涉及下列内容:
(一)被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。
(二)被评价单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。
(三)被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理。
(四)被评价单位是否开展内部控制自查并上报有关自查报告。
(五)被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。
(六)被评价单位在评价期间是否出现过重大风险事故等。
第三章
内部控制评价的程序和方法
第十四条
企业应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。
第十五条
内部控制评价机构应当根据企业整体控制目标,制定内部控制评价工作方案,明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容,报管理层和董事会审批。
第十六条
内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。
第十七条
内部控制评价机构应当根据审批通过的评价方案组织实施内部控制评价工作,通过适当的方法收集、确认、分析相关信息,确定与实现整体控制目标相关的风险及细化控制目标,并在此基础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进行必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并做出书面记录。
第十八条
内部控制评估和测试的方法主要包括:
(一)个别访谈法。是指企业根据检查评价需要,对被查单位员工进行单独访谈,以获取有关信息。
(二)调查问卷法。是指企业设臵问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目作出评价。
(三)比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。
(四)标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。
(五)穿行测试法。是指通过抽取一份全过程的文件,来了解整个业务流程执行情况的评估评价方法。
(六)抽样法。是指企业针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性作出评价。
(七)实地查验法。是指企业对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。
(八)重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。
(九)专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。
第十九条
企业应当根据通过评估和测试获取与内部控制有效性相关的证据,并合理保证证据的充分性和适当性。
证据的充分性是指获取证据的数量应当能合理保证相关控制的有效;证据的适当性是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运行状况。
第二十条
企业应当根据所收集的证据,判断相关控制的设计与运行是否有效。企业在判断内部控制设计与运行有效性时,应当充分考虑下列因素:
(一)是否针对风险设臵了合理的细化控制目标。
(二)是否针对细化控制目标设臵了对应的控制活动。
(三)相关控制活动是如何运行的。
(四)相关控制活动是否得到了持续一致的运行。
(五)实施相关控制活动的人员是否具备必需的权限和能力。第二十一条 企业应当充分评估下列因素导致内部控制失效的风险:
(一)控制活动的类型,一般包括人工控制和自动控制、预防性控制和发现性控制等。
(二)控制活动的复杂性,通常与企业组织结构、市场环境、经营规模、人员素质等相关。
(三)管理层逾越内部控制的风险。
(四)实施控制活动所需要的职业判断的程度。
(五)控制活动所针对风险事项的性质及其重要性。
(六)一项控制活动对其他控制活动有效性的依赖程度。第二十二条
企业应当及时记录开展内部控制评价工作的方法和程序,并以适当形式妥善保存相关证据。
第二十三条
内部控制评价机构应当根据评估结果和经核实的证据,确认内部控制缺陷,出具评价结论,编制评价报告,报送管理层和董事会审阅。
第四章
内部控制缺陷认定和评价报告
第二十四条 企业在内部控制评价中,应对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。
(一)设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。
(二)运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。
第二十五条
企业对内部控制评价过程中发现的问题,应当从定量和定性等方面进行衡量,判断是否构成内部控制缺陷。
存在下列情况之一,企业应当认定内部控制存在设计或运行缺陷:
(一)未实现规定的控制目标。
(二)未执行规定的控制活动。
(三)突破规定的权限。
(四)不能及时提供控制运行有效的相关证据。
第二十六条
企业应当根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷(也称实质性漏洞,以下统称重大缺陷)。
重大缺陷,是指一个或多个一般缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。
重要缺陷,是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大,须引起企业管理层关注。
内部控制评价机构和管理层应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。
第二十七条
企业判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因素:
(一)影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。
(二)针对同一细化控制目标所采取的不同控制活动之间的相互作用。
(三)针对同一细化控制目标是否存在其他补偿性控制活动。第二十八条
企业应当根据内部控制评价过程中发现的内部控制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确认。
第二十九条
对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形,企业应当认定针对这些整体控制目标的内部控制是有效的。
对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形,企业应当认定针对该项整体控制目标的内部控制是无效的。
第三十条
对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效性的情形,内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性,确定其对整体控制目标有效性评价的影响。
第三十一条
企业应当结合年末控制缺陷的整改结果,编制内部控制评价报告。
内部控制评价报告至少应当包括下列内容:
(一)内部控制评价的目的和责任主体。
(二)内部控制评价的内容和所依据的标准。
(三)内部控制评价的程序和所采用的方法。
(四)衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法。
(五)被评估的内部控制整体目标是否有效的结论。
(六)被评估的内部控制整体目标如果无效,存在的重大缺陷及其可能的影响。
(七)造成重大缺陷的原因及相关责任人。
(八)所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及补救措施的实施计划等。
第三十二条
企业可以根据被评估的整体控制目标的不同,适当调整评价报告的内容。
企业应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。
第三十三条
企业应当定期对内部控制整体有效性进行评价、出具评价报告,并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。
第三十四条
企业应当将内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。
企业对于内部控制评价报告中列示的问题,应当采取适当的措施进行改进,并追究相关人员的责任。
企业管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。
第五章
附 则
第三十五条 本指引由中华人民共和国财政部会同国务院其他有关部门解释。
第三十六条 本指引的实施细则由中华人民共和国财政部会同国务院其他有关部门另行制定。
第三十七条 本指引自
****年**月**日起施行。
第四篇:企业内部控制评价指引
附件1:
企业内部控制评价指引
(征求意见稿)
第一章总则
第一条为了规范企业内部控制评价,全面评估内部控制设计与运行情况,编制内部控制评价报告,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称内部控制评价,是指企业董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评估的过程。
第三条企业应当根据《企业内部控制基本规范》和本评价指引,结合本企业的实际情况,制定内部控制评价办法,明确内部控制评价的原则和内容、程序和方法、以及报告形式等相关内容,确保内部控制评价工作落到实处。
企业主要负责人应当对内部控制评价结论的真实性负责。第四条企业应当建立内部控制评价结果分析利用和考核制度,将内部控制评价结果和整改情况作为内部绩效考评的重要依据。
第二章评价的原则和内容
第五条企业实施内部控制评价,至少应当遵循全面性、重要性和独立性原则,确保评价工作标准统一、客观公正。
全面性,是指评价工作应当包括内部控制的设计与运行,涵盖企 业及其所属单位的各种业务和事项。
重要性,是指在全面评价的基础上关注重要高风险领域。独立性,是指评价工作应当于内部控制的设计与运行相互分离。第六条企业内部控制评价应当以内部环境为基础,重点关注:治理结构是否形同虚设;发展战略是否可行;机构设臵是否重叠;权责分配是否明晰;不相容岗位是否分离;人力资源政策和激励约束机制是否科学合理;企业文化是否促进员工勤勉尽责;社会责任是否有效履行等。
第七条企业内部控制评价应当以生产经营活动为重点,至少关注:资金的筹集、投放和营运过程是否存在资金链断裂;资产运行中是否存在效能低下或资产流失;采购与销售环节是否存在舞弊行为;研发项目是否经过科学论证;工程项目是否存在商业贿赂等。
第八条企业内部控制评价应当兼顾控制手段,至少关注:全面预算是否具有约束力;合同履行是否存在纠纷;信息系统是否与内部控制有机结合;内部报告是否及时传递和有效沟通等。
第三章评价的程序和方法
第九条企业应当指定内部审计机构或其他机构具体组织实施内部控制评价工作,根据内部控制评价办法制定评价方案,组成评价小组,明确分工和进度安排,采取现场检查等方式开展内部控制评价。
企业可以借助中介机构或外部专家实施内部控制评价,参与企业内部控制评价的中介机构不得同时为同一企业提供内部控制审计服务。第十条企业开展内部控制评价,应当编制工作底稿。工作底稿应当由评价小组直接填写,指定专人严格复核。
第十一条评价小组可以综合运用个别访谈、调查问卷、专题讨论、穿行测试、统计抽样、比较分析等多种方法,广泛收集被评价单位内部控制设计和有效运行的证据,研究认定内部控制设计缺陷和运行缺陷。
评价小组研究认定的内部控制缺陷,应当按照规定的权限和程序报经审批后确定。
第十二条企业应当对内部控制缺陷进行综合判断,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标的情形。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。第十三条重大缺陷应当根据本指引第五条、第六条、第七条规定和重大缺陷的定义,结合企业实际情况,具体加以认定。
重要缺陷和一般缺陷由企业自行确定。
第十四条企业应当建立内部控制缺陷整改机制,明确内部各管理层级和单位整改的职责分工,确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。
董事会负责重大缺陷的整改,接受监事会的监督。经理层负责重 要缺陷的整改,接受董事会的监督。内部有关单位负责一般缺陷的整改,接受经理层的监督。
第四章内部控制评价报告
第十五条企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告。内部控制评价报告至少应当包括下列内容:
(一)组织实施内部控制评价的总体情况。
(二)内部控制责任主体的声明。
(三)内部控制评价的范围和内容。
(四)内部控制评价的标准和依据。
(五)内部控制评价的程序和方法。
(六)内部控制重大缺陷及其认定情况。
(七)内部控制重大缺陷的整改措施及责任追究情况。
(八)内部控制有效性的结论。
存在一个或多个内部控制重大缺陷的,应当作出内部控制无效的结论。
第十六条企业内部控制评价报告应当报企业经理层审核、董事会审定后公布。
第十七条企业应当以12月31日作为内部控制评价报告的基准日,也可选择6月30日为基准日。
内部控制评价报告应于基准日后4个月内报出。
第五篇:电梯企业内部控制评价指引
企业内部控制评价指引
第一章
总则
第一条 为了促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条 本指引所称内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 企业实施内部控制评价至少应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
第四条 企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业董事会应当对内部控制评价报告的真实性负责。
第二章 内部控制评价的内容
第五条 企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
第六条 企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
第七条 企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
第八条 企业组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
第九条 企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十条 企业组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本企业的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
第十一条 内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
评价工作底稿应当设计合理、证据充分、简便易行、便于操作。
第三章 内部控制评价的程序
第十二条 企业应当按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
企业可以授权内部审计部门或专门机构(以下简称内部控制评价部门)负责内部控制评价的具体组织实施工作。
第十三条 企业内部控制评价部门应当拟订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。
第十四条 企业内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所,不得同时为同一企业提供内部控制评价服务。
第十五条 内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第四章 内部控制缺陷的认定
第十六条 内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
第十七条 企业在日常监督、专项监督和评价工作中,应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准,由企业根据上述要求自行确定。
第十八条 企业内部控制评价工作组应当建立评价质量交叉复核制度,评价工作组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认后,提交企业内部控制评价部门。
第十九条 企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。
第五章 内部控制评价报告
第二十条 企业应当根据《企业内部控制基本规范》、应用指引和本指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。
第二十一条 内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
第二十二条 内部控制评价报告至少应当披露下列内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
第二十三条 企业应当根据内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
第二十四条 内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。
企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。第二十五条 企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。
第二十六条 企业应当以12月31日作为内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。
第二十七条 企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管。
