2010年E-1内部控制检查评价与考核办法第一章总则第一条为加强和正确评价XX集团内部控制,遵循国内外监管要求,根据《内部控制手册》(以下简称内控手册)有关规定,特制定本办法。第二条内部控制检查评价与考核工作的领导和职责分工XX集团内部控制领导小组(以下简称XX集团内控领导小组)统一领导XX集团内部控制检查评价与考核工作。XX集团内部控制领导小组办公室(以下简称XX集团内控办公室)负责指导或组织日常检查评价,组织XX集团年度综合检查评价;根据需要组织专项检查评价;督促整改,编制XX集团自我评价报告;拟订考核方案并报告XX集团内控领导小组。第三条内部控制检查评价依据和目的内部控制检查评价以XX集团内控手册或其实施细则为依据,获取与内部控制有效性相关的证据,并合理保证证据的充分性和适当性,对相关控制的设计和运行是否有效做出评价。2009年E-2设计和运行有效应包括以下几个方面:(1)XX集团内控手册及其实施细则涵盖了所有重要业务,并根据风险设置了合理的细化控制目标和对应的控制活动;(2)控制活动得到了持续一致的运行,相关岗位具备控制必需的权限和能力;(3)部门职责体现内控要求。第四条XX集团内部控制检查评价机制和形式XX集团实行“总部检查评价”和“单位自查”两级内部控制检查评价机制。其中,“总部检查评价”包括“XX集团年度综合检查评价”和“审计部独立检查评价”;“单位自查”包括“企业内控自查”和“总部部门内控自查”。“XX集团年度综合检查评价”是XX集团内控领导小组组织对各单位内部控制实施情况的综合检查与评价,每年根据管理需要和外部监管要求,选取一定数量的总部有关部门、分(子)公司、研究院,进行检查评价。“审计部独立检查评价”是审计部每年对总部有关部门及至少对25家分(子)公司、研究院内部控制的实施情况进行独立检查评价。检查评价结果报XX集团内控领导小组审定后,作为XX集团年度综合检查评价的组成部分。2010年E-3“总部检查评价”每次检查区间须与上一检查区间衔接,XX集团内控领导小组与审计部不重复检查同一单位。“企业内控自查”由企业(包括分(子)公司、研究院)内控办和内审部门组织的内控综合检查评价,以及责任部门内控流程测试两部分组成。其中,内控综合检查评价至少每年组织一次;内控流程测试至少每半年组织一次。“总部部门内控自查”是总部有关部门至少每半年对责任业务流程和控制点的有效性进行测试,结合日常专业管理,对分(子)公司或研究院的执行情况适当抽查。“总部检查评价”和“单位自查”是日常监督的重要组成部分。“专项检查评价”是专项监督的表现形式,一般是指XX集团、分(子)公司、研究院在发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,XX集团内控办公室组织总部有关部门、审计部对内部控制的某一或者某些方面进行有针对性的检查评价。分(子)公司、研究院根据本单位需要组织相关部门进行专项检查评价。第五条内部控制检查评价方法内部控制检查评价方法主要包括:个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、2009年E-4重新执行法、专题讨论会法等。内部控制检查评价应综合运用上述方法,充分利用ERP系统自带的检查功能,并在条件具备时,开发在线检查方法。第六条本办法适用于XX集团总部各部门,各分(子)公司、研究院。各单位可参照本办法,结合实际,制定本单位内部控制检查评价与考核办法。第七条审计部按照本办法独立进行内部控制检查评价。第二章XX集团年度综合检查评价第八条年度综合检查评价内容及评分检查评价一般采用定量评价方法,检查评价报告应在量化评价基础上侧重定性结论。(一)对企业的检查评价内容及评分对企业的检查评价满分100分。包括:1.内部环境检查评价满分10分,是综合评价被检查单位制约内部控制建立与执行的各种内部因素;2.企业自查检查评价满分20分,是检查、验证被检查单位日常监督开展的情况和效果;3.业务流程检查评价满分70分,是检查评价各项业务控制2010年E-5活动的执行情况是否符合内控手册或其实施细则。此外,按照有关标准,认定内部控制缺陷(参见第十二、三条)后修正综合检查评分。具体修正标准如下:一般缺陷:扣减检查评价得分的1%;重要缺陷:扣减检查评价得分的50%;实质漏洞:检查评价得分为零。对于多个内部控制缺陷,按扣减比例累加修正检查评价评分。(二)对总部部门的检查评价内容及评分对总部部门的检查评价满分100分。其中,公司层面内部控制要素检查评价30分、自查情况检查评价20分、适用业务流程(控制点)执行情况检查评价50分。内部控制缺陷评分同(一)。第九条检查评价程序及要求(一)制定“内控检查评价指引”。XX集团内控办公室根据外部监管要求和内部管理需要,负责制定“内控检查评价指引”,明确具体“检查步骤及方法”、内控缺陷标准等内容,并会同有关部门对检查人员进行培训。(二)制定检查评价工作方案。检查评价工作方案应充分考虑检查评价的效率和效果,由2009年E-6XX集团内控办公室根据内部监督要求制定,明确评价目的、范围、组织、标准、方法、重点和进度安排等内容,尽量涵盖XX集团层面的风险和所有重要的业务流程层面的风险,报XX集团内控领导小组批准后,组织检查人员对有关单位进行现场检查评价。(三)现场检查和评价。检查人员检查和评价过程中,遇到问题应及时向XX集团内控办公室报告。XX集团内控办公室应及时协调和研究解决现场检查评价中遇到的问题。对检查人员做出的检查评价结论,被检查单位不得以任何形式施加影响;对检查评价结论有不同意见,可向XX集团内控办公室书面反映,由XX集团内控办公室会同有关部门研究解决方案并报XX集团内控领导小组审定。(四)检查评价结果复核与确认。XX集团内控办公室根据检查评价结果下达整改通知,督促整改。被检查单位应就未执行的控制点及内部控制缺陷制定整改方案,并认真落实整改。整改情况及结果经内控领导小组组长签字后,向XX集团内控办公室反馈。XX集团内控办公室会同有关部门对现场检查评价结果统一复核和确认,结合日常监督等情况,形成XX集团内部控制自2010年E-7我评价报告。第十条检查人员(一)检查评价应充分考虑检查人员的职业道德和专业胜任能力。职业道德指认真履行检查义务,听从检查安排,公允地表达意见。专业胜任能力指至少在某一类控制活动或内控要素方面具备足够的知识和经验,熟练掌握XX集团内部控制要求,并恰当地表达意见。(二)检查人员拥有以下权利:1.查阅被检查单位与内控流程(要素)相关的全部资料。2.访谈被检查单位与内控流程(要素)相关的各级人员。3.对于检查发现的问题有权要求被检查单位提供相关佐证资料。4.对于ERP等信息系统相关的检查有权获得最大查询权限。5.对于检查事项,要求被检查单位给予必要的积极配合。(三)检查人员应履行以下义务:1.检查前应当充分了解被检查单位:基本情况(生产经营业务范围、组织机构及其职能、总经理班子成员及其分工、财务管理核算体制等)及检查年度变化情况;检查年度生产经营计划和预算完成情况;内部控制实施情况(内控宣传培训、实2009年E-8施细则及相关制度修订完善、日常内控工作机制、利用信息化技术实施内部控制、单位自查评价及整改);最近一次内部控制及审计或财务稽核查出问题的整改情况等。2.遵循客观、公正、公平原则,以提高检查工作质量和效率为中心,结合被检查单位整体情况,参照“内控检查评价指引”的内容及要求检查。检查发现的问题应当如实反映,及时沟通,重大问题应当及时报告。3.按时完成检查工作,包括按要求填写检查工作底稿、汇总检查评价结果并与被检查单位交换意见,通报检查评价情况。4.检查中注意收集内控手册执行中存在的问题,提出对XX集团内控手册设计和内控工作开展的意见和建议。5.检查人员应当遵守工作纪律,不得接受被检查单位以任何形式赠送的礼金或礼品,不得到国家明示的风景名胜地区观光、游览。第十一条业务流程现场检查评价要求检查人员根据被检查单位适用业务流程和控制点,结合业务实际发生情况进行检查评价。抽取样本应结合被检查单位的管理层级和产(股)权结构情况,覆盖足够的所属单位(子公司)数量和业务量。财务报告相关控制点检查样本抽取数量,还要根据业务发2010年E-9生频率高低及相关会计科目的重要性确定。检查记录内容应保证可复核性。对于“未执行”的控制点,应详细记录具体未执行原因,并复印留存有关抽查样本及相关证明材料。控制点的检查评价,包括“不相容岗位(职务)分离情况”和“控制点执行情况”两项内容。两项检查评价全部合格的控制点视为“有效执行”。其中,“不相容岗位(职务)分离情况”按照业务流程中列示的“不相容岗位”对照实际工作(含ERP系统中)检查;“控制点执行情况”应根据控制点要求,对以下情况检查评价:(1)执行规定的控制步骤或控制方法;(2)执行规定的权限;(3)及时提供有效的控制点相关资料;(4)实现规定的控制目标。对于财务报告相关控制点未执行的,应判断对会计报表的影响。内控手册中参照执行控制点的检查评价,以被参照业务流程控制点最差评价结果为准。第十二条内部控制缺陷认定(一)内控缺陷按照成因分为设计缺陷和运行缺陷。设计2009年E-10缺陷指内控手册及其实施细则设计不科学、不适当,即使正常运行也难以实现控制目标。运行缺陷指内控手册及其实施细则设计比较科学、适当,但在实际运行中没有严格执行,导致内部控制运行与设计脱节,未能有效实施控制、实现控制目标。对于检查中发现的未能分析重要风险且缺少控制目标和对应的控制活动,应认定为设计缺陷。(二)内部控制缺陷按照表现形式划分为财务报告缺陷和内部管理缺陷。1.财务报告缺陷认定财务报告缺陷,包括影响会计报表缺陷、其他会计信息质量缺陷、IT控制缺陷和内控重大事故事件缺陷四个部分。(1)影响会计报表缺陷。影响会计报表缺陷,是指财务报告相关控制点发生错报事项对利润表及资产负债表项目等影响的合理估计超出可容忍的范围。合理估计指计算错报事项影响会计报表潜在错报的金额,可容忍的范围依据XX集团及被检查单位的资产、收入情况确定。(2)其他会计信息质量缺陷。其他会计信息质量缺陷是指不直接影响会计报表,但不符合涉及财务信息内部控制要求的重点事项,且存在较大风险。2010年E-11(3)IT控制缺陷。IT控制缺陷是指在IT整体控制、一般性控制和应用控制任一方面失效,导致系统蕴藏较大风险、或不能发挥系统自动控制功能、或数据错误超出可容忍的程度等。(4)内控重大事故事件缺陷。内控重大事故事件,是指由于未经授权、舞弊或IT控制不善等原因造成直接财产损失或造成重大负面影响。2.内部管理缺陷认定内部管理缺陷,是指不直接影响财务报告,但不符合XX集团内部管理要求、对XX集团整体目标实现产生不利影响的事项。(三)根据影响整体控制目标实现的严重程度,内部控制缺陷分为一般缺陷、重要缺陷和实质漏洞。实质漏洞,是指一个或多个一般缺陷的组合,可能严重影响内部整体控制的有效性,进而导致无法及时防范或发现严重偏离XX集团整体控制目标的情形。重要缺陷,是指一个或多个一般缺陷的组合,其严重程度低于实质漏洞,但导致无法及时防范或发现偏离XX集团整体控制目标的严重程度依然重大,须引起管理层关注。一般缺陷是指除实质漏洞、重要缺陷以外的其他控制缺陷。当存在任何一个或多个内部控制实质漏洞时,应当在内部控制检查评2009年E-12价报告中作出内部控制无效的结论。第十三条对于被检查单位所属控股子公司应重点检查其内部环境、内控制度建设情况,及重点业务流程。业务流程可以根据其控股子公司自行制定的内控制度检查,未执行控制点与内控缺陷,扣减被检查单位相对应的分数;控股子公司未建立内控制度的,被检查单位视同存在重要缺陷。第十四条XX集团内部控制检查评价报告XX集团内部控制检查评价报告包括“现场检查评价报告”和“XX集团自我评价报告”两个层次。(一)现场检查评价报告现场检查评价报告是检查人员根据现场检查评价结果,综合评价被检查单位内部控制有效性。现场检查评价报告至少包括以下内容:检查评价整体情况、内部环境