1、编号问题受访人一般控制活动一般控制证据E1.1E1.1企企业业治治理理结结构构E1.1.a是否建立了规范的公司治理结构?E1.1.1建立了股东大会、董事会、监事会、管理层为架构的决策、监督、执行的治理体系。公司治理结构图E1.1.2建立了符合企业治理需求的专业委员会,包括:审计、提名、薪酬等等。公司治理结构图E1.1.b是否建立了合理的议事规则,明确各自的职责权限?E1.1.3明确股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。公司章程E1.1.4明确董事会对股东(大)会负责,依法行使企业的经营决策权。董事会议事规则E1.1.5明
2、确监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。监事会议事规则E1.1.6明确提名委员会是董事会按照股东大会决议设立的专门工作机构,主要负责对公司董事和经理人员的人选,选择标准和程序进行选择并提出建议。提名委员会实施细则E1.1.7明确审计委员会是董事会按照股东大会决议设立的专门工作机构,主要负责公司内、外部审计的沟通、监督和核查工作。审计委员会实施细则E1.1.8明确薪酬委员会,是董事会按照股东大会决议设立的专门工作机构,主要负责制定公司董事及经理人员的考核标准并进行考核,负责制定、审查公司董事及经理人员的薪酬政策与方案,对董事会负责。薪酬委员会实施细则E1.1
3、.9针对重大决策、重大事项、重要人事任免及大额资金支付业务等,均通过集体决策审批或者会签。各会及下属专业委员会的议事规则、审批权限表E1.1.c各职能机构是否各司其职、制衡机制是否有效运作?E1.1.10依据公司章程,股东(大)会履行其职责,召开相关会议对重大事项进行表决。股东大会决议E1.1.11依据议事规则,董事会行使其经营决策权。董事会决议E1.1.12依据议事规则,监事会行使其监督权。监事会决议E1.1.13依据议事规则,各专业委员会行使其专业职责。专业委员会会议纪要/专业委员会会议决议E1.1.d内控是否建立实施及日常工作是否经适当的机构具体负责并有效执行?E1.1.14企业指定内审
4、部负责组织协调内控建立实施及日常工作。内审部管理职责说明编号问题受访人一般控制活动一般控制证据E1.3组组织织架架构构E1.3.a管理层是否建立了清晰合理的组织架构?E1.3.1每年末的年度总结会议中,内审部将提交依据当年度的绩效情况等对组织结构(具体包括:机构设置、人员编制、职责权限、工作程序等方面)合理性的评估。其评估考虑因素为:权责是否对等、架构是否精简高效、运转是否协调等。年度内部控制自我评价报告、年度总结会议纪要管理层依据该评估报告确定组织结构调整与否。E1.3.2组织结构的设计充分考虑了不相容职责分离的原则,从控制设计角度充分预防舞弊的发生,并确保了决策、执行、监督职能的相互分离、
5、有机协调。年度内部控制自我评价报告、年度总结会议纪要岗位职责说明E1.3.3当企业运作等方面出现重大变化时(例如介入某一新业务),对该方面的风险评估工作将包括对现有组织结构是否符合该变化需求的评估。重大事项风险评估报告E1.3.b管理层是否明确了各职能部门和子公司实体的职责权限?E1.3.4编制各部门、各职位的职责说明岗位职责说明书E1.3.5编制各公司实体的管理职责,明确上级公司对下级公司的管理职责。管理职责说明E1.3.6制定对子公司控制的制度、程序,确保其重要风险领域(如:发展战略、重大决策、重大投融资、重要人事任免、大额资金使用、年度预算)被适当控制。NA具体控制程序请参见“对子公司的
6、控制”流程。E1.3.7通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权内部管理手册及相关颁发记录E1.3.c管理层建立和维持的组织架构是否有助于运营、内部控制等方面的报告和沟通渠道的有效性?E1.3.8建立了业务部门、职能部门对运营、内部控制等方面的报告与沟通机制业务部门、职能部门对运营、内控事项的汇报记录E1.3.9建立了公司高管、董事会、各专业委员会对运营、内部控制等方面的了解与沟通机制公司高管、董事会、各专业委员会审阅运营、内控事项的记录E1.3.d管理层是否建立了恰当的机制确保组织架构运行的有效?E1.3.10每年初,依据企业发展
7、战略和经营计划,指定专门部门拟定各级人员(董事、监事、高级管理人员等)的目标任务书,以明确各级人员的年度业绩指标。目标任务书E1.3.11指定专门的部门,通过制定阶段性工作计划并定期执行考核,形成考核报告的方式,验证组织架构运行效果和效率。阶段性工作计划、阶段性工作计划考核报告E1.3.12每年末,依据绩效考核管理制度,由指定部门负责针对各级人员进行年度业绩考核工作,形成绩效考核表,最终形成年度绩效考核报告。绩效考核管理制度、绩效考核表、绩效考核报告E1.5人人力力资资源源政政策策E1.5.a是否建立了完备的人力资源政策?E1.5.1建立了完备的人力资源政策,包括:人员招聘录用制度、培训管理制
8、度、辞退与辞职制度、薪酬管理制度、绩效考核管理制度、晋升与奖惩制度、关键员工强制休假和定期岗位轮换制度、关键员工离岗规定-员工的聘用、培训、辞退与辞职。-员工的薪酬、考核、晋升与奖惩。-关键岗位员工的强制休假制度和定期岗位轮换制度。-掌握国家秘密或重要商业秘密的员工离岗的限制性规定。-有关人力资源管理的其他政策。E1.5.b人力资源配置是否合理、充分?E1.5.2每年初,人力资源部依据企业发展战略,结合人力资源现状与未来需求预测,拟定年度人力资源总体规划,并提交适当责任人员审批,以确保人力资源配置合理、充分。年度人力资源总体规划E1.5.3每年初,人力资源部依据经审批的年度人力资源总体规划对现
9、有的岗位职责说明书进行建立/更新工作,以明确各岗位有明确的能力框架要求,从而确保招聘/晋升工作的以岗选人,避免因人设事。年度人力资源总体规划、岗位职责说明书E1.5.4人力资源部定期(每年)对当年度人力资源总体规划的执行情况进行评估,并形成年度人力资源总体规划评估报告,以查找人力资源管理中的主要问题、明确未来的措施。年度人力资源总体规划评估报告E1.5.c企业是否重视职业道德修养和专业胜任能力?E1.5.5对关键人员(财务、内审、IT)进行必要的背景调查,主要调查职业道德修养和专业胜任能力等方面信息关键人员背景调查资料E1.5.6颁布了员工手册,其内容包含:员工诚信和道德修养、考勤、休假、离职
10、、劳动合同管理、人事档案管理、劳动纪律、招聘中对关键人员的背景调查及职业道德修养、专业能力的要求。员工手册E1.5.7通过各种方式(培训、宣讲、考核等)以传递企业对职业道德修养、专业胜任能力的重视。培训记录、宣讲记录、考试记录等等E1.5.d管理层建立的人力资源政策是否能够证明其关于诚信和道德价值及能力的承诺?E1.5.8编制并颁布了员工手册员工手册编号问题受访人一般控制活动一般控制证据E1.5.9员工手册包含:员工诚信和道德价值、考勤、休假、离职、劳动合同管理、人事档案管理、劳动纪律、招聘中对关键人员的背景调查要求、晋升时对人员诚信与道德价值及能力的要求员工手册相关规定E1.5.10所有员工
11、了解员工手册并签名确认员工签名确认表E1.5.e员工的招聘和关键人员的保留是否遵照了诚信原则以及遵循了该岗位所必需的能力要求?E1.5.11编制并颁布了人员招聘录用制度人员招聘录用制度E1.5.12对关键人员(财务、内审、IT等)进行必要的背景调查关键人员背景调查资料E1.5.13企业所拟定的绩效考核标准,充分关注了被考核人员的诚信度、岗位能力等方面。绩效考核表E1.5.f管理层是否为员工提供渠道,使其可以得到与工作相关的工具及培训?E1.5.14编制并颁布了培训管理制度培训管理制度E1.5.15关键人员(财务、内审、IT)接受持续的专业培训员工培训计划与培训记录E1.5.g员工的绩效考核与公
12、司的薪酬制度,包括影响高级管理层的制度,能够支持公司目标的实现季度有考核,员工由部长考核、部长由E1.5.16编制并颁布了绩效考核管理制度、绩效考核指标体系,从而从制度规范、量化指标方面为绩效考核提供了规则、方法。绩效考核管理制度、绩效考核指标体系年终有考核情况变化,业绩指标可能未及时调整(如世博会对上海酒店的影响)E1.5.17编制并颁布了薪酬管理制度,该管理制度与其绩效表现相挂钩。薪酬管理制度E1.6企企业业文文化化E1.6.a诚信和道德价值E1.6.1高级管理层制定了清晰成文的道德标准并被所有员工所理解E1.6.2编制并颁布了不同层次人员(董事、高级管理人员、中层管理人员、一般员工)的道
13、德规范和行为准则不同层级人员的道德规范和行为准则E1.6.3所有人员了解道德规范和行为准则并签名确认签名确认表E1.6.4采取公司网站发布、培训等方式使所有员工理解培训记录、公司网站宣传记录E1.6.b管理哲学及经营风格E1.6.5管理哲学与经营风格强调风险意识,重视稳健经营E1.6.6所聘关键人员具备与职责相匹配的职业资格及专业经验关键人员个人档案E1.6.7编制并颁布了举报投诉机制举报投诉机制E1.6.8编制并颁布了员工就会计和审计事项提出意见的程序员工就会计和审计事项提出意见的程序E1.6.c管理层的态度是否支持采用合法的、客观的方法来选择政策、制度?编号问题受访人一般控制活动一般控制证
14、据E1.6.9政策、制度的出台经过适当的审批。重大的政策、制度需要提请相关委员会、董事会审批通过。政策、制度审批程序E1.6.d管理层有建立和清晰说明内部控制目标及与之相关的内部控制E1.6.10编制并颁布了管理层内控自我评估制度。管理层内控自我评估制度E1.6.11建立了每年自我评估机制,持续验证内部控制体系的有效性。每年的管理层自我评估记录编号问题受访人一般控制活动一般控制证据编号问题受访人一般控制活动一般控制证据E1.7社社会会责责任任E1.7.a管理层态度E1.7.1管理层的态度支持企业对社会的责任E1.7.2通过各种方式(培训、宣讲、考核等)以传递企业对应承担的社会责任(如安全生产、
15、产品质量、环境保护与资源节约等)的重视。培训记录、宣讲记录、考试记录等等E1.7.b安全生产E1.7.1建立了完备的安全生产的规定,明确了相关职责E1.7.2根据国家有关安全生产的规定,并结合企业实际情况,由风险管理委员会牵头,企业发展部拟定必要的安全生产规定,包括:安全生产操作规范、安全生产责任制、重大事故应急预案等等。安全生产操作规范、安全生产责任制、重大事故应急预案等等E1.7.c是否投入足够的安全生产工作经费?E1.7.3每年度,依据年度风险评估报告或其他相应指引,各责任部门将在编制相关预算时充分考虑安全生产方面的经费需求。费用预算表具体控制程序请参见“预算”流程。E1.7.d安全生产
16、相关要求是否被所有员工所理解?E1.7.4所有人员了解安全生产的相关规定,并签名确认。签名确认表E1.7.5采取公司网站发布、培训等方式使所有员工理解。培训记录、公司网站宣传记录E1.7.e是否建立了必要的产品质量制度?E1.7.6建立了完备的质量管理制度,明确了相关职责E1.7.7根据国家和行业相关质量标准,并结合企业实际情况,由风险管理委员会牵头,企业发展部拟定必要的精细化管理制度(如质量控制和检验制度、产品售后服务制度、缺陷产品召回制度等等),以确保产品质量。有关的精细化管理制度(如质量控制和检验制度、产品售后服务制度、缺陷产品召回制度等等)E1.7.f产品质量相关要求是否被所有员工所理
17、解?E1.7.8所有人员了解产品质量的相关规定,并签名确认。签名确认表E1.7.9采取公司网站发布、培训等方式使所有员工理解。培训记录、公司网站宣传记录E1.7.g是否建立了环境保护与资源节约相关制度?E1.7.10建立了完备的环境保护与资源节约制度,明确了相关职责E1.7.11根据国家有关环境保护规定,并结合企业实际情况,由风险管理委员会牵头,企业发展部拟定必要的制度(如废料回收和循环利用制度、环境评估和环保监察制度、重大环保事件应急预案等等),以落实环保职责。有关的制度(如废料回收和循环利用制度、环境评估和环保监察制度、重大环保事件应急预案等等)E1.7.h是否投入足够的环境保护与资源节约
18、工作经费?E1.7.12每年度,依据年度风险评估报告或其他相应指引,各责任部门将在编制相关预算时充分考虑环境保护与资源解决方面的经费需求。费用预算表具体控制程序请参见“预算”流程。E1.7.13每年度,企业发展部牵头进行现有管理体系的年度评估工作,结合企业的发展、科技进步等因素,从流程改造入手,以进一步降低能耗和污染排放水平,实现清洁生产。最终形成管理体系年度评估报告。管理体系年度评估报告E1.7.14根据年度风险评估的结果,内审拟定专项审计计划,不定期进行环保检查,以发现问题,并及时采取措施。风险评估底稿、专项审计计划、审计底稿E1.7.i环境保护及资源节约相关要求是否被所有员工所理解?E1
19、.7.15所有人员了解环境保护及资源节约的相关规定,并签名确认。签名确认表E1.7.16采取公司网站发布、培训等方式使所有员工理解。培训记录、公司网站宣传记录E1.8法法制制建建设设E1.8.a管理层是否建立了必要的法律制度?E1.8.1依据有关规定,法律部建立了法律顾问制度、重大法律纠纷备案制度等必要的管理制度。法律顾问制度、重大法律纠纷备案制度E1.8.2法律部定期评估企业所适用的法律法规,并据此形成企业的法律规章制度。E1.8.b管理层是否对重要法律制度进行宣传?E1.8.3法律部定期对公司员工进行法律制度及意识的普及培训培训记录E1.8.4编制并颁发公司法务指引公司法务指引E1.7.1
20、2费用预算表编号问题受访人一般控制活动一般控制证据编号问题受访人一般控制活动一般控制证据E6反舞弊E6.1反舞弊控制环境E6.1.a是否有成文的制度监控企业对诚信和道德价值的遵循?E6.1.1编制并颁布了反舞弊制度、举报投诉机制、对会计与审计事务提出意见的程序、举报人保护制度。反舞弊制度、举报投诉机制、对会计与审计事务提出意见的程序、举报人保护制度E6.1.2反舞弊制度、举报投诉机制包括:欺诈行为定义、追踪与处理的方法、调查的措施、重大违规行为的汇报对象与路径反舞弊制度、举报投诉机制的相关规定E6.1.b公司是否对不同层次的员工开展反舞弊和商业道德规范的培训?E6.1.3对不同层次员工开展了反
21、舞弊和商业道德规范的培训针对不同层次员工反舞弊和道德规范的培训记录E6.1.4培训内容包括:a.什么构成舞弊行为;b.个人有责任和义务报告实际存在的或可疑的舞弊/不正当行为;c.当违背时将受到制裁反舞弊和商业道德规范的培训资料E6.1.c任何违反诚信和道德价值的行为是否都被及时发现并由公司恰当的人员跟进修正?E6.1.5建立了举报热线和举报邮箱举报投诉机制中的相关规定E6.1.6每年测试举报系统以确保它们如预期那样工作每年举报系统的测试记录E6.1.7明确了处理各类违反公司道德规范行为的负责部门与事件汇报路径道德规范和行为准则的相关规定E6.1.d是否有专门部门负责管理员工举报并确保举报程序的
22、正常运行?E6.1.8有专门部门和人员负责接收举报,且对举报内容进行调查及核实举报事件调查记录E6.1.9重要举报及时送交给法律顾问和审计委员会送交给法律顾问、审计委员会的举报文件E6.1.10实施了适当措施防止未经授权的人员获得举报文档,如书面文档加锁保存,电子文档设置密码等举报投诉机制的有关举报文档保管的规定E6.1.11所有举报文件由法律部或内审部妥善保管,并禁止对外泄露举报文件的保管记录E6.1.e员工举报是否被独立、合理、及时地复查及跟进?E6.1.12员工举报的处理流程的设计考虑了定期实行、独立性以及复查三个层面反舞弊制度、举报投诉机制的相关规定E6.1.13对于员工举报的调查处理
23、过程有完整的书面记录举报事件调查记录E6.1.14举报事件的调查过程中采取事件样本测试,间歇性实地走访等方法以确保获取完整正确的信息举报事件调查记录E6.1.15记录了所有已报告的事件及已实施的措施报告事项的解决日志E6.1.16对于举报的调查结果和回复在公司内网或内部刊物上公布供员工了解公司内网或内部刊物上的相关内容E6.1.f与财务报告相关的举报是否及时反馈到财务负责人?E6.1.17如果举报内容涉及会计或财务报告问题将按照对会计和审计事务提出意见的程序送交给财务负责人和内审部对会计和审计事务提出意见的程序、涉及会计或财务报告问题的举报文件呈报记录E6.1.g审计委员会作为第三当事人,是否
24、能够收到有关反舞弊的投诉?E6.1.18公司将审计委员会成员的联系邮箱公布在内、外网,员工或外部人员可以直接向审计委员会进行实名或匿名举报公司内、外网的公布界面E6.1.19定期将收到的员工举报以及相应的调查结果汇报给审计委员会定期举报事件调查结果的汇报记录E6.1.h对关键岗位员工是否进行有效的背景调查并存档?E6.1.20人力资源部对关键岗位员工进行背景调查并且存档关键岗位员工背景调查表、背景调查存档记录E6.1.21背景调查包括:学历背景、就业历史、犯罪记录关键岗位员工背景调查表E6.1.i员工晋升过程中是否考虑诚信和反舞弊的因素?E6.1.22在对员工晋升评审中考虑员工诚信以及对道德规
25、范和行为准则的遵循情况绩效考核管理制度的相关规定道德规范和行为准则E6.1.j审计委员会和董事会对反舞弊是否进行有效监管?E6.1.23审计委员会或董事会对以下内容进行评估:a.管理层识别舞弊风险的能力;b.执行反舞弊措施;c.管理层基调的合理性对审计委员会的报告:每年管理层自我评估的成果、内部审计的成果、反欺诈方面的调查结果E6.1.24董事会、审计委员会及公司高管,直接参与反舞弊制度和道德规范的制订、审批和宣传工作反舞弊制度等的审批和宣传记录E6.1.25审计委员会通过内部、外部审计结果评估管理层的能力审计委员会就重大审计发现、特殊会计原则与政策、非常规交易同内部、外部审计讨论的会议记录E
26、6.1.k已经发现的舞弊行为是否得到及时的调查和补救?E6.1.26法律部/内审部具备反舞弊调查的专业能力和经验从事反舞弊调查人员的简历E6.1.27舞弊调查人员接受反舞弊调查培训反舞弊调查培训记录E6.2舞弊风险评估E6.2.a是否进行有效的舞弊风险评估,以避免因舞弊行为造成的财务错报?E6.2.1管理层,审计委员会或董事会讨论和研究了可能发生的舞弊类型和识别这些舞弊的方法针对舞弊风险的讨论会议纪要编号问题受访人一般控制活动一般控制证据E6.2.2管理层的风险评估流程包含了舞弊发生可能性和重要性的综合考虑舞弊风险评估报告E6.2.3管理层的风险评估流程包含了对公司的重要下属单位和过程的综合考
27、虑舞弊风险评估报告E6.2.4审计委员会考虑了管理层越权风险审计委员会对管理层舞弊风险评估结果的评价文档E6.3反舞弊控制活动E6.3.a在流层层面,针对舞弊风险高的环节,是否建立和实施有效的控制措施?E6.3.1流程层面已经确认的舞弊风险,管理层规划了相应的控制措施控制矩阵中与舞弊相关的控制活动E6.3.2对流程层面舞弊风险较高的环节进行监督和测试流程层面穿行、管理层测试底稿E6.4反舞弊信息与沟通E6.4.a管理者是否定期回顾反舞弊流程,以确保舞弊风险如何控制、纠正、鉴别、处理的信息的一致性以及有效性?E6.4.1对书面反舞弊流程进行了设计有效性测试反舞弊制度的穿行测试底稿E6.4.2定期
28、根据公司业务发展与变化对反舞弊流程进行回顾,及时修订反舞弊制度的修订记录E6.4.b管理层是否将信息系统因素融入对舞弊风险评估和监控的思考中去?E6.4.3考虑到信息系统人员对计算机程序的不当修改,如财务报告的篡改对信息系统系统相关风险的分析记录E6.4.4考虑到系统的越权风险,即通过计算机系统越过控制活动对信息系统系统相关风险的分析记录E6.4.5考虑到计算机系统内的授权体系和信息安全对信息系统系统相关风险的分析记录E6.4.6委派专业人士来进行计算机被滥用的调查计算机滥用调查报告E6.4.c是否设置了信息主管部门来确保足够的能力来收集关于舞弊的资料?E6.4.7成立了信息化发展委员会公司组
29、织架构图E6.4.8信息化发展委员会进行计算机系统的调查,包含计算机对突发事件的反应能力,在足够长时期内保留运行记录等对信息系统运行情况的调查报告E6.5舞弊的监督E6.5.a是否利用内部审计加强对舞弊风险的监控?E6.5.1内部审计在计划和实施年度审计计划时事先充分确认和找出舞弊风险年度审计计划E6.5.2内部审计计划考虑了:欺诈性财务报告、资产盗用、未经授权的收据和支出、高级管理层的舞弊年度审计计划制度依据E6.5.3内审部进行了针对舞弊行为的专项调查反舞弊专项审计报告编号问题受访人一般控制活动一般控制证据编号问题受访人一般控制活动一般控制证据E1.2审计委员会E1.2.aE1.2.a是是
30、否否建建立立了了合合理理的的议议事事规规则则,明明确确职职责责权权限限?E1.2.1明确审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等审计委员会实施细则E1.2.2明确了审计委员会监控财务报告及相关控制有效性的职责审计委员会实施细则E1.2.3审计委员会可单独与内、外部审计师开会讨论相关事项审计委员会实施细则E1.2.b审计委员会负责人资格是否符合独立性要求?E1.2.4存在确保董事独立性的控制活动,包括:聘请时通过公司律师进行独立性调查,调查资料应涵盖独立董事不能从上市公司接受咨询、顾问或其他酬劳方面的费用;独立董事不能是公司或
31、者分支机构的关联方等董事独立性调查问卷、律师意见函等E1.2.5在相关制度中明确对独立性的要求(如包括在章程、委员会制度文档和就职以及后续培训中等)董事会议事规则的相关规定、后续培训资料等E1.2.6采取适当的确保/证明董事独立性的措施,如年度声明(声明面对冲突时成员自动放弃讨论和投票表决,商业利益注册等)董事独立性年度声明E1.2.c审计委员会负责人资格是否符合专业能力胜任要求?E1.2.7审计委员会负责人的专业能力的具体要求包括:1)了解公认会计准则和财务报表;2)会计处理类似的上市公司的财务报表的准备或审计的经验;3)以及这些准则的应用经验,如会计估计、预提和准备;4)内部会计控制的经验
32、;和了解审计委员会的职能。审计委员会负责人简历E1.2.8存在流程来确保财务专家符合所要求的标准财务专家调查问卷、律师确认函E1.2.d审计委员会运作是否有效?E1.2.9建立明确的年度工作计划,该计划涵盖了审计委员会实施细则中的重点工作内容,包括:财务报告的监督、内部控制的监督、内审/外审的沟通与协调等等。审计委员会年度工作计划E1.2.10审计委员会执行了年度工作计划,恰当履行了其职责。审计委员会会议纪要/审计委员会会议决议E1.4内部审计E1.4.a是否明确了内部审计的职能?E1.4.1制订内部审计章程(获得审计委员会批准),内审章程应包括以下内容:目标、工作范围、义务、独立性、职责、权
33、利及审计实务标准等,并应就内部审计章程与高级管理层及业务部门进行沟通。内部审计章程E1.4.2内审人员有权审核公司运营的各个方面,并有权接触各种文档记录、任何员工及管理层。内部审计章程E1.4.3通过内部审计章程和/或宣讲等形式与管理层和业务部门就内部审计的角色和责任进行沟通,并得到清晰的理解。内部审计章程、宣讲记录、会议纪要等等E1.4.b内内审审人人员员是是否否具具有有独独立立性性?E1.4.4必要时,内审人员能够直接接触董事会和审计委员会。内部审计章程E1.4.5审计委员会每年至少与内部审计负责人单独会晤一次。内部审计章程、会谈记录内部审计负责人与审计委员会有直接的汇报关系。审计委员会负
34、责内审负责人的任命和薪酬。E1.4.8审计委员会审阅和批准内部审计的预算、人员级别和内审计划,并在全年定期获知内审计划的执行情况。内部审计章程、审计委员会会议决议(涵盖内审年度预算、计划)、审计委员会会议纪要(涵盖内审工作汇报内容的)E1.4.9内审人员不执行任何业务或管理职能。内部审计章程E1.4.c内审组织结构是否具有独立性?E1.4.10明确定义并记录内审部门的组织结构,汇报关系以及职责分工。内部审计章程E1.4.11在以下方面建立适当的结构和协调机制:招聘和薪酬政策、培训和职业发展、工作方法、质量保证、业绩考核、年度计划和预算等。内部审计章程E1.4.d内审人员是否具有专业胜任能力?内
35、审部门拥有足够具备必要技能、相关经验及专业资格的内审人员,来完成规定的内部审计工作(例如以下方面的专业技能:信息技术、资金管理、税务、会计准则等)。E1.4.13内审部门根据公认的专业标准,采用适当的审计方法(例如:由国际注册内部审计师协会颁布的内部审计实务标准)。该方法至少应包括如何确定审计范围、制订审计计划、记录测试步骤和结果、保存工作底稿、表述审计发现和结论等内容。内审管理制度E1.4.14正式记录审计方法和过程。内审管理制度、审计底稿E1.4.15在各个层面建立正式的质量控制程序,以确保高质量的审计工作,例如:单个报告的审核,审计负责人的定期审核,年度部门评估或定期外部评价。内审管理制
36、度、审计底稿E1.4.16作为高层次的监督职能部门,内审部门定期进行整个公司范围的风险评估以作为制定和执行内审计划的基础。内审管理制度、风险评估底稿编号问题受访人一般控制活动一般控制证据E2.1风险评估程序建立/更新E2.1.a管理层是否建立/更新风险评估程序,以确保其完整性、合理性?E2.1.1由风险管理委员会牵头,企业发展部负责建立及定期(每年)更新风险评估制度,以确保评估程序(通常包括:目标设定、风险识别、风险分析、风险应对)的完整性、适当性。风险评估制度编号问题受访人一般控制活动一般控制证据E2.1.2风险评估制度经风险管理委员会审批后,提交给董事会批准并予以颁布。风险评估制度、董事会
37、决议、颁布记录E2.2目标设定E2.2.a企业整体目标设定与战略目标是否一致?E2.2.1每年第四季度初,董事会根据宏观经济环境、行业形势、产品竞争力、企业发展战略和本年度的实际经营情况等进行预测,提出下年度企业的经营目标、财务报告目标、合规性目标、资产安全完整目标等等。并通过预算工作将该等整体目标进行细化。董事会决议、年度预算编制指引具体的流程控制参见“预算”流程。E2.2.b流程层面的目标与企业整体目标及战略目标是否一致?E2.2.2流程层面的目标在所有层次管理人员的参与下制订,以确保与战略目标、整体目标的一致性。年度预算编制指引、年度预算具体的流程控制参见“预算”流程。E2.2.c企业整
38、体目标、流程层面目标是否被有效地传递到各级人员?E2.2.3预算委员会对审批后的集团经营预算表、集团资本性支出预算表、集团财务预算表进行指标分解,并逐级下达给集团各公司、职能部门等预算执行单位,并由后者对预算目标进行进一步分解后下达给各下属部门,并由其严格遵照执行。各预算表的分解指标、颁布记录具体的流程控制参见“预算”流程。E2.3风险识别E2.3.a风险管理初始信息的收集工作是否全面、持续?E2.3.1依据风险评估制度,针对企业所面临的不同风险类型(战略、财务、市场、运营、法律等),对应的主要责任部门承担全面系统地持续收集初始信息的工作,并定期通过风险管理初始信息表的形式汇总至企业发展部。风
39、险评估制度、风险管理初始信息表E2.3.2根据风险评估制度的要求,各责任部门进行初始信息收集、筛选、提炼的工作,将借鉴行业标准、最佳实务操作,收集相关风险案例,并结合企业历年进行风险评估所累积的历史风险管理初始信息。并且,收集工作既需要考虑影响目标实现的内部风险点,也需要关注外部风险点。风险评估制度、风险管理初始信息表E2.3.b风险识别的方法是否客观、合理?编号问题受访人一般控制活动一般控制证据E2.3.3每年初,由企业发展部牵头,各责任部门参与,根据整体目标、流程层面目标,并参照风险管理初始信息表中的信息进行相应的风险识别工作,从而建立/更新年度风险清单,并报送风险管理委员会批复。年度风险
40、清单E2.3.4当出现重大变化(例如:企业经营模式发生重大变动;企业所使用的信息技术发生重大变动;关键人员变动;企业所适用的会计准则发生重大变动;购并的发生、金融工具的使用等等涉及到复杂的会计处理要求的事项发生;等等)时,企业发展部将针对该等变化进行风险识别、分析、应对策略选择等工作,相应更新年度风险清单、风险分析底稿、风险图、风险分析报告后报风险管理委员会批复。年度风险清单、风险分析底稿、风险图、风险分析报告E2.4风险分析E2.4.a风险分析的方法是否客观、合理?E2.4.1根据风险评估制度的要求,企业发展部牵头进行的风险分析工作采取定性(如:问卷调查、集体讨论、专家咨询、情景分析、政策分
41、析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等)与定量(统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等)相结合的方法。风险分析的工作通过风险分析底稿予以实现。风险评估制度、风险分析底稿E2.4.2对于所识别的风险清单,在定性与定量相结合的分析基础之上,企业发展部牵头按照风险发生的可能性及影响程度进行分析、排序,形成风险图,以确保主要风险的重点和优先控制。在此基础上,提出初步的风险应对策略,最终形成风险评估报告草案。风险评估制度、风险分析底稿、风险图、风险评估报告草案E2.4.b风险分析工作是否考虑了相关参与人员的胜任能力?E2.4.3
42、风险管理委员会的成员均是风险管理方面的专业人士。风险管理委员会人员的简历、相关资质证书E2.4.4风险分析工作参与人员熟悉相关风险管理的要求,熟悉、了解其工作领域的整体操作流程。相关参与人员的简历、风险管理培训记录、年度绩效评估表E2.4.5定期对参与人员进行评价工作,以确定其胜任能力。定期考核记录、年度评价表格E2.5风险应对E2.5.a风险应对策略是否能够正确选择以确保对公司风险的控制?E2.5.1风险评估制度中明确风险规避、风险降低、风险分担、风险承受等风险应对策略适用的环境和应用的方式,从而为应对策略的选择提供了原则及实例上的指引。风险评估制度E2.5.2风险评估报告草案中针对企业所面
43、临主要风险点(即,风险图中所列示)的应对策略的选择,均充分说明了选择的理由。风险报告草案编号问题受访人一般控制活动一般控制证据E2.5.b企业是否采取了适当的措施以避免个人风险偏好而影响应对策略的合理性?E2.5.3风险评估报告草案将根据审批权限表的规定,经过适当的审核、批准程序,以避免因个人风险偏好而造成企业经营方面损失风险。经审批通过形成风险评估报告。审批权限表、审批表单/决议、风险评估报告E2.5.4经审批通过的风险评估报告通过适当的形式(通知、宣讲、培训等等)将年度风险清单、对应的应对策略传递给企业各级人员,以便各级人员充分理解企业所面临的风险以及应对的措施,做好事先防范工作。通知、宣
44、讲、培训记录E2.5.5由风险管理委员会负责,指定企业发展部设立独立的沟通渠道(电话、信箱、邮箱)以接受各级人员对所颁布的年度风险清单及其应对策略的质询、建议,从而,进一步确保应对策略的适用性,避免实际操作中可能发生的问题。独立的沟通渠道(电话、信箱、邮箱)颁布记录编号问题受访人一般控制活动一般控制证据E3.1与风险评估一体化E3.1.a控制活动的设计是否有效降低了内控目标潜在风险?E3.1.1依据风险评估的结果,企业针对重点风险的现有控制活动进行了梳理、评价工作。对于现有控制活动设计不合理、缺失的,依据内控建立与实施5项原则(全面、重要、制衡、适应、成本效益)及内控设计4要素(完整、准确、有
45、效、接触限制)的要求,新建/更新了控制活动,从而将风险控制在可承受度之内,为内控目标实现提供了合理保证。最终,形成控制活动设计评估及整改报告。控制活动设计评估及整改报告E3.2控制活动的选择和建立E3.2.a控制活动的选择符合内控建立与实施的5原则E3.2.1企业在对现有控制活动设计评估、建立时,是否依据内控建立与实施5项原则(全面、重要、制衡、适应、成本效益)及内控设计4要素(完整、准确、有效、接触限制)的要求进行?NAE3.2.2公司目前采取的控制活动包括不相容职责分离、授权、审核批准、会计系统、财产保护、预算、运营分析、内部报告、绩效考核、信息技术等等形式。NAE3.2.3对于上述控制活
46、动的选择充分考虑了成本效益原则,综合采用预防性控制和发现性控制、手工控制和自动控制相结合的方法,将风险控制在可承受范围之内。NAE3.2.b不相容职务是否实现了分离?编号问题受访人一般控制活动一般控制证据E3.2.4根据企业整体目标和职能任务,按照科学、精简、高效的原则,合理设置职能部门和工作岗位,明确各部门、各岗位的职责权限。部门、岗位职责说明书E3.2.5企业在确定职责分工过程中,充分考虑了不相容职务相互分离的制衡要求。不相容职务通常包括:授权、批准、业务经办、会计记录、财产保管、稽核检查等。部门、岗位职责说明书E3.2.6企业指定部门(内审部)不定期根据各项经济业务与事项的流程和特点,系
47、统、完整地分析、梳理执行该经济业务与事项涉及的不相容职务,并结合岗位职责分工提出分离措施,形成不相容职务清单及分离意见书。不相容职务清单及分离意见书E3.2.7结合岗位特点和重要程度,企业明确了财会等关键岗位员工轮岗的期限和有关要求,建立了规范的岗位轮换制度。对关键岗位的员工,实行强制休假制度,并确保在最长不超过五年的时间内进行岗位轮换,防范并及时发现岗位职责履行过程中可能存在的重要风险,以强化职责分工控制的有效性。关键员工强制休假和定期岗位轮换制度E3.2.8对内控所涉及的重要岗位设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为
48、内部审计的重点。岗位职责说明书E3.2.9企业指定部门(内审部)不定期抽查不相容职责分离的执行情况,形成抽查记录。不相容职责的抽查记录E3.2.c授权审批控制是否合理、有效?E3.2.10根据职责分工,企业明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容,形成授权审批制度及审批权限表。企业内部各级管理人员必须在授权范围内行使职权和承担责任,业务经办人员必须在授权范围内办理业务。授权审批制度、审批权限表E3.2.11授权审批制度及审批权限表的设计考虑了常规性授权和临时性授权。对于临时性授权,规范临时性授权的范围、权限、程序、责任和相关的记录措施。授权审批制度、审批权限表E
49、3.2.12为提高权限的透明度,加强对权限行使的监督和管理,企业根据常规性授权编制权限指引并以适当形式予以公布。常规授权指引及其颁布记录E3.2.13对于金额重大、重要性高、技术性强、影响范围广的经济业务与事项,按照授权审批制度、审批权限表的规定,企业实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策意见。授权审批制度、审批权限表E3.2.14企业各部门、各岗位按照规定的授权和程序,对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查,通过签署意见并签字或者签章,做出批准、不予批准或者作其他处理的决定。授权审批制度、审批权限表E3.2.d会计系
50、统控制是否合理、有效?编号问题受访人一般控制活动一般控制证据E3.2.15企业建立了的会计管理制度,明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序,规范会计政策的选用标准和审批程序,建立、完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能,确保企业财务报告真实、可靠和完整。会计管理制度、“会计核算”、“财务报告编制与披露”流程具体流程控制请参见“会计核算”、“财务报告编制与披露”流程。E3.2.16企业依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人具备会计师以上专业技术职务资格。财务部组织结构图、会计
浙ICP备2021020529号-1 | 浙B2-20240490 
