集团公司内部控制有效性评价管理业务流程--内控.docx

1、内部控制有效性评价管理业务流程 一、 业务目标 l 监督内部控制制度设计与执行的有效性，促进构建完善的内部控制体系； l 检查、发现内部控制缺陷，提出改进建议并跟踪改进结果； l 确保内控测试与评价工作的程序合规、方法合理、评价结果客观、整改建议可行。 二、业务风险 l 未能对内部控制制度设计与执行的有效性实行有效监督，无法及时发现内部控制的缺陷、及时完善内部控制体系，以致损害公司利益或声誉； l 未能发现内部控制制度执行中存在的问题，测试已确认的整改措施未予实施或建议未予采纳，导致企业运营中存在的违规行为得不到及时有效的纠正； l 内控测试与评价的工作程序不合规、不适当，导致检查、评价结果与

2、实际情况不符，整改建议或改善方案不切实际。 三、 业务范围 该子流程主要描述了xx股份有限公司（以下简称“股份公司”）关于内部控制有效性评价管理的相关流程，主要包括内部控制有效性评价的启动、内部控制有效性评价活动的实施、内部控制有效性自评估报告的编制、内部控制有效性评价文件归档等。根据股份公司董事会授权，审计局具体组织实施企业内部控制自我评价事宜。 四、 业务流程描述 1 内部控制有效性评价的启动 1.1 股份公司审计局制定年度审计工作计划表报审计委员会会议审议，并在会议纪要中记录审议结果。 年度审计工作计划表的制定根据外部监管要求、管理层需求与自身职能定位，以风险为导向、内控为主线，主要包括

3、内部审计年度工作目标、审计工作思路、年度审计项目计划的编制原则及依据、审计计划的确定范围和具体方法、需要执行的具体审计项目及先后顺序等信息。 1.2 股份公司审计局依据经审计委员会审议通过的年度审计工作计划表启动内部控制测试工作，编写内部控制测试工作通知，经股份公司总经理审批并签字确认后转发各级子（分）公司及各职能部门和业务板块。内部控制测试工作通知包括测试目的、测试标准、样本选取时间范围、组织方式、工作要求、工作纪律等信息。 1.3 股份公司及二三级子（分）公司审计部门负责人指定专人编写内部控制测试实施方案，报各级审计部门负责人审核并通过多种方式（如书面签字、邮件记录等）批准实施。（内部控制

4、测试实施方案的编写遵循风险导向、自上而下的原则，内容包括确定内部控制测试的重点单位或部门、重要业务流程或控制点，以及测试人员名单及分工。） 1.3.1 根据内部控制测试实施方案，股份公司审计局组织测试组，负责对事业部和股份公司总部各业务部门内部控制的执行情况进行测试、评价，每年至少组织一次。 1.3.2 各级子（分）公司审计部门按股份公司审计局内部控制测试工作通知的要求和自身内部控制测试实施方案，组织测试组，负责对内控有效性自行测试、评价，每年至少组织一次。未设置审计部门的子（分）公司由上级审计部门组织实施。 1.4 测试组在实施测试过程中，如需根据实际情况调整变更内部控制测试实施方案，报审计

5、部门负责人审核并通过多种方式（如书面签字、邮件记录等）批准后实施。 2 内部控制有效性评价活动的实施 2.1 审计局依据外部监管机构内控指引对内控监督的要求以及行业的特点，编制并定期评估更新内部控制测试手册及测试底稿模版（包括手册总册、各流程测试分册和缺陷评价分册），经股份公司审计局局长审核并通过多种方式批准（如书面签字、邮件记录等）后，作为内部控制有效性评价的操作依据和评价标准。 2.2 审计局组织测试组成员针对内部控制测试手册及测试底稿模板进行技术标准培训。 2.3 审计局总体督导及技术支持测试组进行内部控制测试工作，形成问题解答文件（邮件记录等），确保内控测试有效进行。 2.4 测试人员

6、采用询问、观察、检查、重新执行等方法，对照内部控制测试手册规定的业务流程步骤、控制点和监督检查方法，抽取一定的经济业务样本对被测试单位或部门的内部控制进行测试，检查内部控制的制定及执行的有效性。测试人员以测试记录为依据，按照内部控制评价方法，从不相容职务是否相互分离、是否在授权批准范围内履行职责以及是否一贯有效的执行等方面，对所测试的控制点和流程进行评价。 2.5 测试人员将测试情况记录于内部控制测试底稿，包括测试样本说明、 描述控制的人员信息、有效性结论、测试结果说明、测试人信息、测试时间、控制缺陷、整改建议等信息。 2.6 测试组组长负责复核测试组其他人员的内部控制测试底稿，测试组组长的内

7、部控制测试底稿由测试组其他人员负责复核，并在内部控制测试底稿上记录复核意见和复核人签名。对于存在问题的底稿，复核人员应在复核意见中加以说明，并要求相关人员补充内容或重新编制底稿。 2.7 测试组将测试结果告知被测试单位或部门负责人，并与其交换意见，被测试单位或部门负责人对测试、评价结论提出书面反馈意见并签字确认。 3 内部控制有效性自评估报告的编制 3.1 各二级子（分）公司审计部门对本级及下级公司确认后的内部控制测试底稿进行审核汇总，编制本级及下级公司的测试结果汇总表（包括公司简称、流程名称、测试的控制活动数量、达标数、未达标数、样本量不足数、未发生交易数、不适用数量等信息）和缺陷评价表（包

8、括控制流程名称、标准控制活动及编号、发现的内控缺陷、结论、涉及实体等信息），经本级审计部门负责人复核确认后上报股份公司审计局。 3.2 各二级子（分）公司审计部门组织编制内控测试工作总结，经本级审计部门负责人审核确认后，向股份公司审计局上报，内容包括但不限于：分析测试结果（包括各单位测试结果的比较、各流程的测试情况），揭示主要缺陷，发现重大风险，判断本企业的关键控制点，提出具体的、可操作的改进建议；并根据本企业所属的业务板块，分析评价该板块的高风险领域；对下一步内控测试工作的具体建议。 3.3 股份公司审计局对各单位上报的内控测试结果（包括测试结果汇总表、缺陷评价表、内控测试工作总结）进行评价

9、并形成管理建议，编写xx股份公司内控测试质量评估及管理建议，内容包括但不限于：测试基本情况、存在问题、评价结论、改进建议等，报股份公司总经理审核并签署批准意见后转发至各级公司及各职能部门和业务板块。 3.4 根据经股份公司总经理审批后的xx股份公司内控测试质量评估及管理建议，各级公司自行进行整改或落实，对测试中发现的问题采取纠正措施，在规定的期限内（如：三个月）向审计部门反馈整改的实施情况。各级审计部门对整改后的结果进行抽样测试，并将经各级审计部门负责人审核后的测试结果汇总提交股份公司审计局。 3.5 每年年末，审计局根据内部控制有效性评价结果和整改结果，编写xx股份公司内控自评估报告（包括内

10、控自评估的目的和责任主体、内容和所依据的标准、评估程序和方法、评估结论等信息），报股份公司审计委员会会议审核、董事会会议审批，并在会议纪要内记录审议结果。 4 内部控制有效性评价文件的归档 4.1 测试小组执行内部控制检查工作结束后，将内控控制有效性测试、评价形成的工作底稿与文件进行分类整理，按照xx股份有限公司内部审计管理第3号-审计档案管理的要求装订成册，交总经理办公室归档管理。 五、相关制度目录 1 国际内部审计师协会颁布的内部审计实务标准； 2 中国内部审计协会颁布的中国内部审计准则； 3 财政部等五部委联合发布的企业内部控制基本规范； 4 xx股份有限公司内部审计管理体系文件； 5 xx股份有限公司内部控制测试技术指导手册； 六、主要控制点 1 内部控制测试工作通知、实施方案的编制与审批 2 内部控制测试手册及测试底稿模版的评估与审批 3 测试底稿的编制与复核 4 内部控制有效性自评估报告的编制与审核 七、检查资料 1 年度审计工作计划表 2 内部控制测试工作通知 3 内部控制测试实施方案 4 内部控制测试手册及测试底稿模版 4 内部控制测试底稿 5 测试结果汇总表 6 缺陷评价表 7 内控测试工作总结 8 xx股份公司内控测试质量评估及管理建议 9 xx股份公司内部控制自评估报告 10 审计委员会和董事会会议纪要