内部控制评价办法（暂行）.docVIP

广晟有色金属股份有限公司 内部控制评价办法（暂行） 2013年3月 目录 第一章 编制目的 3 第二章 内部控制评价的基本 3 第三章 内部控制评价程序和方法 4 1.组织形式 4 2.评价程序 5 3.评价方法 6 4.评价频率 7 第四章 内部控制评价内容与要求 7 1. 公司层面内部控制评价 7 2. 流程层面内部控制评价 8 第五章 内部控制缺陷的认定及整改 10 1.内部控制缺陷的分类及认定 10 2.内部控制缺陷的汇总 13 3.内部控制缺陷的整改 13 4.整改结果的验证 15 第六章 内部控制评价报告 16 第一章 编制目的 本手册主要用于贯彻落实内部控制管理要求公司董事会和管理层定期或组织对公司重要内部控制管理的设计和执行情况进行检查评价，及时发现内部控制缺陷，提出和实施改进方案，满足监管规则的要求，不断强化内部控制执行力，有效控制公司主要风险，持续提升管理水平。 内部控制评价的基本 1. 公司层面内部控制评价 公司层面控制是指对公司控制目标的实现具有重大影响，与内部环境 、 风险评估、信息与沟通、内部监督直接相关的控制。公司层面控制是内控梳理工作的起点 是业务流程控制的基础。公司层面控制的缺陷往往会对整个内部控制的有效性产生重大影响。 测试公司层面控制，应当把握重要性原则，至少应当关注： （1）与内部环境有关的控制。 （2）针对董事会、经理层凌驾于控制之上的风险而设计的控制。 （3）公司的风险评估过程。 （4）对内部信息传递和财务报告流程的控制。 （5）对控制有效性的内部监督和自我评价。 公司层面控制环境是整个内控活动的前提和基础，对公司内控的效率和效果起关键作用。针对控制环境关键要素进行评价，能直接反映出各单位的公司层面控制环境建立、维护和执行情况。各单位应结合公司实际情况，将公司层面内部控制环境细分，针对具体要素，设定具体控制活动和检查方法。 2. 流程层面内部控制评价 流程层面控制是指公司在实际业务操作中，综合运用各种控制手段和方法，针对具体业务和事项实施的控制。流程层面控制评价的基础是流程，从主要风险出发，按照重要性的原则，根据流程中的具体风险、管理重点和责任主体，进行控制活动的评估和内部控制的自我检查和评价。 评价工作组应当按照《评价指引》的要求，针对所处经营环境和面临的主要风险和主要管理问题的变化，通过适当的方法（如访谈、专题讨论）收集、确认、分析相关信息，定期重新评估本单位与实现控制目标相关的风险，选定重要流程，制定、改进或更新流程风险、控制活动和检查评价方法。各单位应参考《基本规范》及《应用指引》的要求，结合公司风险评价结果，由内控评价主责部门确定内控评价所需涉及的业务流程。并完成公司业务流程评估底稿，评价控制的合理性和有效性。 内部控制评价要求。各评价工作组应按照公司内部控制评价实施方案，组织人员，兼顾全面、有重点，按时、保质开展内控评价工作。 （1）评价工作重点。结合本单位实际情况，重点考虑： 1）流程和制度设计的有效性。主要检查是否涵盖了本单位经营管理中需关注的重点问题及重点风险；是否明确了各项经营活动的管理要求；风险控制措施是否存在缺陷和漏洞，能否防范经营管理中的不规范行为，有效降低和控制经营管理中的风险；是否制定了清晰、明确的业务流程，流程的起点、终点以及中间涉及的各控制点、控制标准、各个岗位间的职责分工是否明确。 2）流程和制度运行的有效性。主要检查各项经营活动是否按已制定的流程文档规范执行；是否保留了完整和可靠的文档记录时，要注意验证每个业务控制环节，核实实际执行情况与流程图、流程描述及风险控制文档的描述是否一致；验证业务活动所经过的流程和控制是否有完整和可靠的文档记录，是否保留了控制实施证据。在验证业务控制流程设计和执行的一致性时，从业务发生开始，抽取一定数量的样本，通过对业务申请、审批、执行、过程记录、款项收付到财务处理全过程测评，验证业务控制流程设计和执行是否一致。 （2）评价方法的选择。根据评价项目的不同，应当综合考虑选择一种或多种评价方法进行评价，获取充分、相关、可靠的证据对内部控制的有效性进行评价，并做出书面记录。 第五章 内部控制缺陷的认定及整改 内控缺陷是指某个控制的设计或运行使管理层或公司员工在日常工作中不能及时预防或者查找错误，从而导致对业务的控制失效或部分失效的行为。 1.内部控制缺陷的分类及认定 （1）缺陷的分类 1）内控缺陷按照缺陷类型分可以分为设计缺陷和执行缺陷。 设计缺陷：是指公司在设计内控系统时，可能存在设计漏洞，使某些风险的防范措施缺失或并不完整，必要的控制或者控制的必要成分缺失，导致这个控制不能满足