第5部分-内部控制检查评价与考核办法a(e).doc

内部控制检查评价与考核办法 第一章 总 则 第一条 为加强和正确评价股份公司内部控制，遵循国内外监管要求，根据《内部控制手册》（以下简称内控手册）有关规定，特制定本办法。 第二条 内部控制检查评价与考核工作的领导和职责分工 股份公司内部控制领导小组（以下简称股份公司内控领导小组）统一领导股份公司内部控制检查评价与考核工作。 股份公司内部控制领导小组办公室（以下简称股份公司内控办公室）负责指导或组织日常检查评价，组织股份公司年度综合检查评价；根据需要组织专项检查评价；督促整改，编制股份公司自我评价报告；拟订考核方案并报告股份公司内控领导小组。 第三条 内部控制检查评价依据和目的 内部控制检查评价以股份公司内控手册或其实施细则为依据，获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性，对相关控制的设计和运行是否有效做出评价。 设计和运行有效应包括以下几个方面： （1）股份公司内控手册及其实施细则涵盖了所有重要业务，并根据风险设置了合理的细化控制目标和对应的控制活动； （2）控制活动得到了持续一致的运行，相关岗位具备控制必需的权限和能力； （3）部门职责体现内控要求。 第四条 股份公司内部控制检查评价机制和形式 股份公司实行“总部检查评价”和“单位自查”两级内部控制检查评价机制。其中，“总部检查评价”包括“股份公司年度综合检查评价”和“审计部独立检查评价”；“单位自查”包括“企业内控自查”和“总部部门内控自查”。 “股份公司年度综合检查评价”是股份公司内控领导小组组织对各单位内部控制实施情况的综合检查与评价，每年根据管理需要和外部监管要求，选取一定数量的总部有关部门、分（子）公司、研究院，进行检查评价。 “审计部独立检查评价”是审计部每年对总部有关部门及至少对25家分（子）公司、研究院内部控制的实施情况进行独立检查评价。检查评价结果报股份公司内控领导小组审定后，作为股份公司年度综合检查评价的组成部分。 “总部检查评价”每次检查区间须与上一检查区间衔接，股份公司内控领导小组与审计部不重复检查同一单位。 “企业内控自查”由企业（包括分（子）公司、研究院）内控办和内审部门组织的内控综合检查评价，以及责任部门内控流程测试两部分组成。其中，内控综合检查评价至少每年组织一次；内控流程测试至少每半年组织一次。 “总部部门内控自查”是总部有关部门至少每半年对责任业务流程和控制点的有效性进行测试，结合日常专业管理，对分（子）公司或研究院的执行情况适当抽查。 “总部检查评价”和“单位自查”是日常监督的重要组成部分。 “专项检查评价”是专项监督的表现形式，一般是指股份公司、分（子）公司、研究院在发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的检查。明确评价、范围、组织、标准、方法、进度安排等内容，”按照业务流程中列示的“不相容岗位”对照实际工作（含ERP系统中）检查；“控制点执行情况”应根据控制点要求，对以下情况检查评价： （1）执行规定的控制步骤或控制方法; （2）执行规定的权限； （3）及时提供有效的控制点相关资料； （4）实现规定的控制目标。 对于财务报告相关控制点未执行的，应判断对会计报表的影响。 内控手册中参照执行控制点的检查评价，以被参照业务流程控制点最差评价结果为准。 第十二条 内部控制缺陷认定 （一）内控缺陷按照成因分为设计缺陷和运行缺陷。设计缺陷指内控手册及其实施细则设计不科学、不适当，即使正常运行也难以实现控制目标。运行缺陷指内控手册及其实施细则设计比较科学、适当，但在实际运行中没有严格执行，导致内部控制运行与设计脱节，未能有效实施控制、实现控制目标。对于检查中发现的未能分析重要风险且缺少控制目标和对应的控制活动，应认定为设计缺陷。 （二）内部控制缺陷按照表现形式划分为财务报告缺陷和内部管理缺陷。 1.财务报告缺陷认定 财务报告缺陷，包括影响会计报表缺陷、其他会计信息质量缺陷、IT控制缺陷和内控重大事故事件缺陷四个部分。 （1）影响会计报表缺陷。 影响会计报表缺陷，是指财务报告相关控制点发生错报事项对利润表及资产负债表项目等影响的合理估计超出可容忍的范围。合理估计指计算错报事项影响会计报表潜在错报的金额，可容忍的范围依据股份公司及被检查单位的资产、收入情况确定。 （2）其他会计信息质量缺陷。 其他会计信息质量缺陷是指不直接影响会计报表，但不符合涉及财务信息内部控制要求的重点事项，且存在较大风险。 （3）IT控制缺陷。 IT控制缺陷是指在IT整体控制、一般性控制和应用控制任一方面失效，导致系统蕴藏较大风险、或不能发挥系统自动控制功能、或数据错误超出可容忍的程度等。 （4）内控重大事故事件缺陷。 内控重大事故事件，是指由于未经授权