企业内部控制评价手册模版.docx

1、公司内部控制评价手册 内部控制评价手册 xxxx股份有限公司 12 目 录 第一章 手册说明 1 一 目的、意义及原则 1 二 法律依据与标准 1 三 适用范围 1 四 内部控制机构、职责与权限 2 五 编写、使用、维护与发布 3 第二章 内部控制评价概述 5 一 评价原则 5 二 评价程序 5 三 评价频率 5 第三章 评价准备 6 一 制定评价工作方案 6 二 内部控制评价方案的参考格式 6 三 组成评价工作组 9 第四章 编制评价报告 10 一 内部控制缺陷类型 10

2、二 内部控制缺陷等级 10 三 内部控制缺陷认定 11 四 内部控制评价报告 14 五 内部控制评价报告的参考格式 15 第五章 评价实施 19 一 内部控制评价方法 19 二 内部控制评价工作底稿 20 第六章 监督与改进 31 一 改进建议实施方案 31 二 内部控制评价的考核 32 第一章 手册说明 一 目的、意义及原则 为了促进企业全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，xxxx股份有限公司（以下称“公司”）按照财政部等五部委《企业内部控制基本规范》、《企业内部控制评价指引》的基本要求，汲取国内外其他公司内部控

3、制体系建设的先进经验，根据公司内部控制管理实际编制和实施《内部控制评价手册》（以下简称《手册》）。 通过本《手册》，建立统一、规范的内部控制评价程序、标准，明确评价职责权限，为公司内部控制评价提供指引。 本《手册》编写遵循以下原则： 1）贯彻落实公司有关内部控制的基本要求和公司《内部控制管理手册》，将风险评估、流程控制、监督评价及管理改进的基本内容具体落实到内部控制评价工作中去，力求将内部控制和风险控制理念转化为企业管理的实际行动。 2）以强化风险控制力为主线，按照《内部控制管理手册》的要求，从风险评估结果和提高经营效率的角度出发，将主要风险细化到具体的管控流程，制定相应的控制措施和检

4、查方法。各责任部门、单位通过对风险控制效率、效果的评价和检查，持续改进管控活动。 3）建立内部控制评价与改进机制，将自我评价、改进的方法和理念引入内部控制检查评价工作，促使公司各单位在管理过程中，不断进行自我总结和自我完善。 二 法律依据与标准 本《手册》编写依据的法律、法规、部门规章和指引。 1） 《企业内部控制基本规范》； 2） 《企业内部控制评价指引》； 3） 《内部控制管理手册》。 三 适用范围 本《手册》所描述的内部控制体系覆盖并适用于： 1） 公司及城市事业部（系指全资子公司、分公司及其他虚拟主体的统称）、控股子公司各部门； 2） 公司内部控制体系所涉及

5、的年度评价活动、专项评价活动参照本手册。 本《手册》与《内部控制管理手册》共同构成公司的内部控制体系。 四 内部控制机构、职责与权限 公司内部控制和风险管理体系工作，在董事会领导下形成决策、管理、执行、监督四个层次的管理架构： 1.决策机构 1） 董事会对内部控制评价承担最终的责任，应当对《内部控制评价报告》的真实性负责； 2） 董事会授权审计委员会承担对内部控制评价的组织、领导、监督职责； 3） 董事会应听取《内部控制评价报告》，审定内部控制重大缺陷、重要缺陷整改意见，对内部控制部门在督促整改中遇到的困难积极协调，排除障碍。 2.管理机构 1） 经理层应负责组织

6、实施内部控制评价工作。经理层授权审计部实施内部控制评价的具体执行工作，并积极支持和配合内部控制评价的开展，创造良好的环境和条件； 2） 经理层应结合日常掌握的业务情况，为内部控制评价方案提出应重点关注的业务或事项，审定《内部控制评价方案》和听取《内部控制评价报告》； 3） 经理层对测试结果进行汇总、确认和分析，并向董事会汇报； 4） 经理层应按照董事会的整改意见积极采取有效措施予以整改； 5） 经理层协助董事会秘书处理对外披露相关事宜。 3.内部控制评价机构 1） 审计部牵头，由公司各职能部门、城市事业部、控股子公司组成内部控制评价工作小组，内部控制评价工作小组根据经理层授权承

7、担内部控制评价的具体组织实施任务，通过复核、汇总、分析内部监督资料，结合经理层要求，拟订合理评价工作方案并认真组织实施； 2） 内部控制评价工作小组负责内部控制评价的具体实施工作，包括评价工作的组织、协调、指导； 3） 内部控制评价工作小组对于评价过程中发现的重大问题，应及时与董事会、审计委员会或经理层沟通，并认定内部控制缺陷，拟订整改方案，编写《内部控制评价报告》，及时向董事会、审计委员会或经理层报告； 4） 内部控制评价工作小组督促本公司各职能部门，城市事业部、控股子公司对内部控制评价结果进行整改； 5） 内部控制评价工作小组根据评价和整改情况拟订内部控制考核方案。 4.执行

8、机构 公司各职能部门以及城市事业部、控股子公司负责组织本部门的内部控制自查、测试和评价工作，对发现的设计和运行缺陷提出整改方案及具体整改计划，积极整改，并报送内部控制管理机构复核，配合审计部及外部审计师开展企业层面的内部控制评价工作。 5.监督机构 监事会负责对董事会建立与实施内部控制进行监督，审议《内部控制评价报告》，并发表独立意见。 五 编写、使用、维护与发布 1） 《手册》由审计部组织编写，董事会审计委员会审定，办公室发布。 2） 《手册》须按发放范围统一发放。发放范围由审计部提出，经董事会审计委员会批准执行。包括公司领导、公司各部门、下属单位等； 3） 《手册》包

9、括纸质版和电子版两种。电子版的配发范围为业务流程管理信息系统的覆盖范围；纸质版的配发范围为公司及下属单位及特殊使用者； 4） 本《手册》是公司重要文件，属公司机密。各单位应按相关要求正确使用，未经允许，不得复印，不得对外泄露。在使用过程中遇到疑难问题，及时向审计部咨询； 5） 《手册》的维护是一项长期性、经常性的重要工作，需要公司各部门、下属单位高度重视，积极参与，大力配合； 6） 《手册》的修订、维护由审计部负责。审计部每年将根据国家新出台的相关法律法规的要求、内外部审计对公司内部控制的评价、公司内部控制管理中出现的新问题以及公司各部门、下属单位反馈的意见及建议等，对《手册》进行修订，

10、经董事会审计委员会审议批准执行； 7） 审计部应及时掌握《手册》的执行情况，并采取有效措施确保内部控制管理体系的有效运行。 公司内部控制评价手册 表1：《内部控制评价手册》维护记录 修 订 记 录 日期： 年 月 日 修订人： 审批人： 原文： 修订原因： 修订： 修 订 记 录 日期 年 月 日 修订人： 审批人： 原文： 修订原因： 修订： 修 订 记 录 日期： 年 月

11、 日 修订人： 审批人： 原文： 修订原因： 修订： 第二章 内部控制评价概述 内部控制评价，是指公司董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。 一 评价原则 公司在实施内部控制评价时至少应遵循以下原则： 1．全面性原则。全面性原则强调的是内部控制评价的涵盖范围应当全面，具体来说，是指评价工作应当包括内部控制的设计与运行，涵盖公司各部门、下属单位的各种业务和事项。 2．重要性原则。重要性原则强调内部控制评价在全面性的基础之上，着眼于风险，突出重点。具体来说，主要体现在制

12、定和实施评价方案、分配评价资源的过程中，它的核心要求包括两个方面：一是要坚持风险导向的思路，着重关注那些影响内部控制目标实现的高风险领域和风险点；二是要坚持重点突出的思路，着重关注那些重要的业务事项和关键的控制环节，以及重要业务单位。 3．客观性原则。客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。只有在内部控制评价工作方案制定、实施全过程中始终坚持客观性，才能保证评价结果的客观性。 二 评价程序 1.评价准备：审计部制定评价工作方案，组成评价工作组。 2.评价实施：评价工作组开展现场检查测试。按要求填写工作底稿（控制环境及控制活

13、动评价工作底稿）、对发现的内部控制缺陷进行初步认定、提出修改建议。 3.汇总评价结果、编制评价报告：审计部对初步认定的内部控制缺陷进行全面复核、分类汇总、综合分析、判定缺陷等级、编制《内部控制评价报告》，并报送公司经理层、董事会和监事会，由董事会最终审定后按适用规则对外披露。 4.监督与改进：审计部组织实施整改工作。 三 评价频率 公司每年对内部控制进行评价并按适用规则予以披露。内部控制自我评价的方式、范围、程序和频率，由公司根据经营环境变化、业务发展状况、复杂程度、实际风险评估结果等自行确定。国家有关法律法规另有规定的，从其规定。 第三章 评价准备 审计部应对内部控制评价工

14、作进行充分准备，应当根据企业内部监督情况和管理要求，分析企业经营管理过程中的高风险领域和重要业务事项，确定检查评价方法，制定科学合理的评价工作方案，经审计委员会审议；组成评价工作组，评价工作组在审计部领导下，具体承担内部控制检查评价任务。评价工作组成员对本部门的内部控制评价工作应当实行进行回避。 公司可以委托专业咨询机构实施内部控制评价。为公司提供内部控制审计服务的会计师事务所，不得为公司提供内部控制评价服务。 一 制定评价工作方案 评价工作方案既以全面评价为主，也可以根据需要采用重点评价的方式。评价方式的选择可参考下述原则：内部控制建立与实施初期，实施全面综合评价有利于推动内部控制工作

15、的深入有效开展；内部控制系统趋于成熟后，公司要在全面评价的基础上，更多地采用重点评价或专项评价，以提高内部控制评价的效率和效果。 评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。一般包括以下内容： 1．内部控制评价的总体目标。全面评价公司内部控制设计和运行情况应达到的效果。 2．内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度。 3．内部控制评价的范围。一般包括： 1）主体范围，内部控制评价所涵盖的被评价单位。 2）业务范围，纳入评价范围的业务事项，及重点关注的高风险领域。 3）时间范围，在一定时间范围内（一般为一年）

16、所发生业务事项。 内部控制评价的范围如有所遗漏的，应说明原因，及其对《内部控制评价报告》真实、完整性产生的重大影响等。 4．具体评价方法和程序。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。 5．组织及时间安排。明确企业内部控制评价工作的组织、领导体制、进度安排。 6．工作要求。包括对被评价单位准备资料等的具体要求。 二 内部控制评价方案的参考格式: xxxx股份有限公司20XX年度内部控制自我评价方案 为贯彻落实公司有关内部控制的基本要求和公司《内部控制评价手册》，审计部组织开展对20XX年内部控制设计与运行有效性的自我评价工作，为使内部控制评价工作

17、有序、有效的开展，依据《企业内部控制基本规范》、各项应用指引以及本公司的《内部控制管理手册》，结合公司实际情况，制定本工作方案。 一)内部控制评价的总体目标 全面评价公司内部控制设计和运行的有效性。及时发现各层面可能存在的缺陷和不足，进一步规范和加强公司各部门、下属单位的内部控制建设工作，提高经营管理水平和风险防范能力。 二)内部控制评价的依据 《企业内部控制基本规范》、各项应用指引、《内部控制管理手册》、《内部控制评价手册》以及本公司各项管理制度。 三)内部控制评价范围 1．主体范围。公司各部门、下属单位； 2．业务范围。公司层面的控制环境及与生产经营有关的所有业务活动； 3

18、．时间范围。20XX年1月1日至20XX年12月31日。 四)具体评价程序和方法 公司各部门、下属单位应依据公司所处的经营环境及面临的主要管控问题，对所负责的业务和管理流程进行回顾、分析、梳理，确定主要流程设计是否合理，运行中的风险是否得到有效控制，在评价过程中应关注以下方面： 1.流程和制度是否涵盖了公司经营管理中需关注的重点问题及重点风险；是否明确了各项经营活动的管理要求；风险控制措施是否存在缺陷和漏洞，能否防范经营管理中的不规范行为，有效降低和控制经营管理中的风险；是否制定了清晰、明确的业务流程，流程的起点、终点以及中间涉及的各控制点、控制标准、各个岗位间的职责分工是否明确。 2

19、流程和制度实际执行与流程文档的描述存在什么差异；实际执行中各项流程文档是否有效地涵盖和控制了经营活动中的主要风险点；各个岗位的相关人员是否理解掌握内部控制流程文档的控制要求、本岗位的主要职责、主要风险点以及相应的控制措施；能否有效地控制当前公司经营过程中存在的风险，解决公司在经营活动中的突出问题。 3.在验证控制环境时，以访谈形式或相关业务情况进行确认。 4.在验证业务控制流程设计和执行的一致性时，从业务发生开始，抽取一定数量的样本，通过对业务申请、审批、执行、过程记录、款项收付到财务处理全过程的测评，验证业务控制流程设计和执行是否一致。 具体方法主要包括： 1．访谈与查阅会议纪录相

20、结合 通过与被评价公司的领导和主要职能部门的访谈，了解评价期间的重大投资决策、公司的发展趋势、内部控制执行情况及有关重大事项。 查阅重要会议纪录，包括股东会会议记录、董事会会议记录及总裁办公会会议纪要等，以进一步了解有关信息。 2．现场与非现场评价相结合 对没有实施现场评价的公司，主要采用分析性复核的方式进行评价，必要时，对发现的重大问题延伸至现场测试评价。 3．穿行测试、抽查、详查相结合 根据所穿行事项发生频率及重要程度等，确定进行穿行测试的次数；在穿行测试的基础上，对关键控制，至少抽取按抽样标准规定数量的样本进行测试；与形成自评结论直接相关的事项，实施详细检查。 4．利用以往

21、评价的结果 在一定限度内利用各公司自评报告及底稿、以往内部审计等审计事项的结果，特别是对自评报告、管理建议书中所提出的问题予以重点关注。 5．充分关注被评价公司的行业特点，有针对性的制定简便有效的程序进行评价，获取充分、适当的证据，以支持所形成的评价意见。 五)组织和时间安排 1.评价工作组成员如下： 评价工作组组长：审计部负责人 按专业分××个工作小组负责××部门或××单位的评价工作： 序号 工作小组组长 成员 负责单位或部门 备注 1 2 3 4 …. 。。

22、工作小组组长在现场评价过程中与其他小组沟通检查情况，并向组长汇报沟通发现的问题，及时修订评价计划，以使项目顺利进行。 2.时间安排 1.现场测试： 年 月 日— 月 日； 2.缺陷认定及形成报告： 年 月 日— 月 日。 现场评价报告于 月 日报审计部。 六)工作要求： 1.公司的部门、职能、业务、重要流程和制度、关键岗位等发生重大变动时，应及时调整和完善自评计划。 2.在评价工作开展前，应认真讨论研究存在的主要管控问题（风险），对于因新增业务等情形导致流程增加，应当按照《内部控制评价手册》规定，经内部控制评价工作组审核后，纳入评价范围。 3.各单位

23、要将评价所需资料准备齐全，并对本部门主要经营活动领域的内控措施执行情况进行自查，并在现场测试前递交自查报告。 三 组成评价工作组 审计部根据经批准的评价方案，挑选公司各部门、下属单位中具备独立性、业务胜任能力和职业道德素养的评价人员具体承担内部控制检查评价任务。评价工作组成员应当熟悉公司整体或具体业务情况，一般为各单位业务骨干。企业应根据自身条件，尽量建立长效内部控制评价培训机制。 第四章 编制评价报告 评价工作组汇总评价人员的工作底稿，初步认定内部控制缺陷及整改建议，形成现场评价报告。评价工作底稿应进行交叉复核签字，由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评

24、价报告向被评价单位进行通报，由被评价单位相关责任人签字确认后，提交审计部。 审计部汇总各评价工作组的评价结果，对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总；结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见（针对财务报告内部控制的缺陷，一般还应当反映缺陷对财务报告的具体影响），判定缺陷等级，编制内部控制缺陷认定汇总表。 一 内部控制缺陷类型 按照内部控制缺陷成因或来源，内部控制缺陷包括设计缺陷和运行缺陷。 1．设计缺陷。是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行

25、也难以实现控制目标。 2．运行缺陷。是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。 存在下列情况之一，应当认定内部控制存在设计或运行缺陷：未实现规定的控制目标；未执行规定的控制活动；突破规定的权限；不能及时提供控制运行有效的相关证据；管理要求没有嵌入相关流程、制度。 二 内部控制缺陷等级 董事会根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险水平等因素，研究确定了适用本公司的内部控制缺陷具体认定标准。 1.重大缺陷。是指一个或多

26、个控制缺陷的组合，可能导致公司严重偏离控制目标。导致公司无法及时防范或发现严重偏离整体控制目标的情形。应当在《内部控制评价报告》中做出内部控制无效的结论。 2.重要缺陷。是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离控制目标。导致公司无法及时防范或发现偏离整体控制目标的严重程度依然重大。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制的整体有效性，但也应当引起董事会、经理层的充分关注。 3.一般缺陷。是指除重大缺陷、重要缺陷以外的其他控制缺陷。 三 内部控制缺陷认定 公司制定了适用于本公司的如下内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的

27、调整及相应原因；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。并考虑以下因素： 1）影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷； 2）针对同一控制目标所采取的不同控制活动之间的相互作用； 3）针对同一控制目标是否存在其他补偿性控制活动或替代控制活动。 缺陷分类 影响程度 定量分析 定性分析 一般缺陷 资产总额潜在错报 错报<资产总额的0.1% 除重大缺陷、重要缺陷之外的其他缺陷 经营收入潜在错报 错报<经营收入的0.1%或<10万元 税前利润潜在错报 错报<利润总额的1%或<10万元 重要缺陷 资产总额潜在错报 资

28、产总额的0.1%≤错报＜资产总额的0.5% 严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标 经营收入潜在错报 经营收入的0.1%≤错报＜经营收入的0.5%或 10万元≤且＜100万元 税前利润潜在错报 利润总额的1%≤错报＜利润总额的3%或 10万元≤且＜100万元 重大缺陷 资产总额潜在错报 错报≥资产总额的0.5% 导致企业严重偏离控制目标 经营收入潜在错报 错报≥经营收入的0.5%或100万元（含）以上 税前利润潜在错报 错报≥利润总额的3%或100万元（含）以上 对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形，应

29、当认定针对这些整体控制目标的内部控制是有效的；对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形，应当认定针对该项整体控制目标的内部控制是无效的。对内部控制缺陷的认定意见向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。公司对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。 评价过程中还应关注内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷，说明公司有足够的测试样本显示，与该重大缺陷相关的内部控制设计及运行有效。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，公司

30、须责成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明董事会拟采取的措施。 公司内部控制评价手册 内部控制缺陷认定汇总表 单位名称：xxxx股份有限公司 认定时间： 流程编号 流程名称 主管部门 样本量 未按要求执行 缺陷类型 缺陷等级 对报表影响 改进建议 1设计/2执行 1重大/2重要/3一般 报表项目 影响金额 （万元） 1有/2无 个 个 1 2 1 2 3 1 2 　 　 　 　 　 　 　 　 　 　 　 　 20 8 2

31、6 　 　 √ 　 　 √ 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 内部控制缺陷认定汇总表使用说明： 1）流程基本信息：流程的名称、编号、主管部门等与流程框架一致； 2）样本量、未按

32、要求执行：是评价工作底稿的汇总数； 3）缺陷类型：应当认定内部控制存在设计或运行缺陷： 4）缺陷等级：按照影响公司整体内部控制目标实现的严重程度，分为重大缺陷、重要缺陷和一般缺陷。对影响财务报告的写明影响报表项目及影响金额； 5）改进建议：对应评价工作底稿中“对本流程有何改进建议”填写。 四 内部控制评价报告 《内部控制评价报告》是内部控制评价的最终体现，按照编制主体、报送对象和时间，分为对内报告和对外报告。对外报告的使用者包括政府有关监管部门、投资者以及其他利益相关者、中介机构和研究机构等，其内容、格式等强调符合披露要求，时间具有强制性；对内报告则主要以符合公司董事会（审计

33、委员会）、经理层需要为主，编制主体层级更多、内容上更加详尽、格式更加多样，时间可以定期或不定期。在使用《内部控制评价报告》时，还应注意与内部控制注册会计师审计报告、内部控制监管信息、财务报告信息等相关信息结合使用，以起到全面分析、综合判断、相互验证的效果。 审计部以汇总的评价结果、所认定内部控制缺陷及整改建议为基础，综合内部控制工作整体情况，客观、公正、完整地编制《内部控制评价报告》，并报送经理层、董事会（审计委员会）和监事会，由董事会最终审定后对外披露。内部控制评价对外报告一般包括以下内容： 1．董事会声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报

34、告内容不存在任何虚假记载、误导性陈述或重大遗漏。 2．内部控制评价工作的总体情况。明确公司内部控制评价工作的组织、领导体制、进度安排，是否聘请会计师事务所对内部控制有效性进行独立审计。 3．内部控制评价的依据。说明公司开展内部控制评价工作所依据的法律法规和规章制度。 4．内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对《内部控制评价报告》真实完整性产生的重大影响等。 5．内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。 6．内部控制

35、缺陷及其认定。描述适用本公司的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。 7．内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷，说明公司有足够的测试样本显示，与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷，公司拟采取的整改措施及预期效果。 8．内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效结论；对存在重大缺陷的情形，不得做出内部控制有效的结论，并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来生产

36、经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，公司须责成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明董事会拟采取的措施。 五 内部控制评价报告的参考格式: xxxx股份有限公司20××年度内部控制评价报告 xxxx股份有限公司全体股东： 根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称企业内部控制规范体系），结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司20XX年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。 一

37、 重要声明 按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露《内部控制评价报告》是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。 公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导

38、致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。 二、 内部控制评价结论 根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷〔由于存在财务报告内部控制重大缺陷〕，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制〔公司未能按照企业内部控制规范体系和相关规定的要求在所有重大方面保持有效的财务报告内部控制〕。 根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现〔发现 个〕非财务报告内部控制重大

39、缺陷。 自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。〔若发生影响内部控制有效性评价结论的因素，则需描述相关因素的性质、对评价结论的影响及董事会拟采取的应对措施〕。 三、 内部控制评价工作情况 （一） 内部控制评价范围 公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括：〔若单位或级次众多，可以考虑按照层级、业务分部、板块等形式披露〕，纳入评价范围单位资产总额占公司合并财务报表资产总额的 %，营业收入合计占公司合并财务报表营业收入总额的 %；纳入评价范围的主要业务和事项包括:〔具体描述纳

40、入评价范围的主要业务和事项〕；重点关注的高风险领域主要包括〔具体描述重点关注的高风险领域〕。 上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。〔如存在重大遗漏〕公司本年度由于〔原因〕未能对构成内部控制重要方面的〔具体描述应纳入而未纳入评价范围的主要单位/业务/事项/高风险领域的名称〕进行内部控制评价，由于上述评价范围的重大遗漏，〔描述对内部控制评价范围完整性及对评价结论的影响〕。〔如存在法定豁免〕本年度，公司根据〔法律法规的相关豁免规定〕，未将〔具体描述未纳入评价范围的缘由及涉及单位/业务/事项/高风险领域的名称〕纳入内部控制评价范围。 （二）

41、 内部控制评价工作依据及内部控制缺陷认定标准 公司依据企业内部控制规范体系及〔具体描述除企业内部控制规范体系之外的其他内部控制评价的依据〕组织开展内部控制评价工作。 公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致〔做出调整的，应描述调整原因，具体调整情况，及调整后标准〕。公司确定的内部控制缺陷认定标准如下： 1. 财务报告内部控制缺陷认定标准 公司确定的财务报告内部控制缺陷评价的定量标准如下：

42、 〔按照重大缺陷、重要缺陷和一般缺陷分别描述公司财务报告内部控制缺陷的定量标准，若定量标准包括多个量化指标，需指出具体如何应用这些指标，如孰低原则或分别情形适用〕 公司确定的财务报告内部控制缺陷评价的定性标准如下： 〔按照重大缺陷、重要缺陷和一般缺陷分别描述公司财务报告内部控制缺陷的定性标准〕 2. 非财务报告内部控制缺陷认定标准 公司确定的非财务报告内部控制缺陷评价的定量标准如下： 〔按照重大缺陷、重要缺陷和一般缺陷分别描述公司非财务报告内部控制缺陷的定量标准，若定量标准包括多个量化指标，需指出具体如何应用这些指标，如孰低原则或分别情形适用〕 公司确定的非财务报告内部控制缺陷评

43、价的定性标准如下： 〔按照重大缺陷、重要缺陷和一般缺陷分别描述公司非财务报告内部控制缺陷的定性标准〕 （三） 内部控制缺陷认定及整改情况 1. 财务报告内部控制缺陷认定及整改情况 根据上述财务报告内部控制缺陷的认定标准，报告期内公司存在〔不存在〕财务报告内部控制重大缺陷〔数量 个〕、重要缺陷〔数量 个〕〔若适用〕（含上年度末未完成整改的财务报告内部控制重大缺陷、重要缺陷）。 具体的重大和重要缺陷分别为〔若适用，重大缺陷与重要缺陷分别披露〕： 缺陷1： （1) 缺陷性质及影响 〔具体描述重大缺陷的具体内容，缺陷分类（设计缺陷/运行缺陷)，发生时间、产生原因及对实现控制目标的影

44、响〕 （2) 缺陷整改情况 〔整改开始时间、已采取的整改措施、整改后运行时间、整改后运行有效性的评价结论〕 （3) 整改计划（适用于内部控制评价报告基准日未完成整改的情况）： 〔拟采取的具体整改计划、整改责任人、预计完成时间〕 经过上述整改，于内部控制评价报告基准日，公司发现〔未发现〕未完成整改的财务报告内部控制重大缺陷〔数量 个〕、重要缺陷〔数量 个〕。 2. 非财务报告内部控制缺陷认定及整改情况 根据上述非财务报告内部控制缺陷的认定标准，报告期内发现〔未发现〕公司非财务报告内部控制重大缺陷〔数量 个〕、重要缺陷〔数量 个〕〔若适用〕（含上年度末未完成整改的非财务报告内

45、部控制重大缺陷、重要缺陷）。 具体的重大和重要缺陷分别为〔若适用，重大缺陷与重要缺陷分别披露〕： 缺陷1： （1) 缺陷性质及影响 〔具体描述重大缺陷的具体内容，缺陷分类（设计缺陷/运行缺陷)，发生时间、产生原因及对实现控制目标的影响〕 （2) 缺陷整改情况 〔整改开始时间、已采取的整改措施、整改后运行时间、整改后运行有效性的评价结论〕 （3) 整改计划（适用于内部控制评价报告基准日未完成整改的情况） 〔拟采取的具体整改计划、整改责任人、预计完成时间〕 经过上述整改，于内部控制评价报告基准日，公司存在〔不存在〕未完成整改的非财务报告内部控制重大缺陷〔数量 个〕、重要缺陷〔数

46、量 个〕。 四、 其他内部控制相关重大事项说明 〔若适用，需披露可能对投资者理解《内部控制评价报告》、评价内部控制情况或进行投资决策产生重大影响的其他内部控制信息。与内部控制无关的重大事项不需要在此披露〕 董事长（已经董事会授权）：〔签名〕 〔公司签章〕 xxxx股份有限公司 20××年××月××日 第五章 评价实施 评价工作组应当根据公司批准的评价方案，参照本手册规定的内容和要求，组织进行现场测试。 1）了解被评价单位基本情况。评价工作组充分与被评价单位进行沟通，了解其经营业务范围、企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工、评价期间内生产经营

47、计划和预算完成情况、财务管理核算体制、内部控制工作概况、最近一年内部监督（包括内部控制评价）发现问题的整改情况等。 2）确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量，并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。 3）开展现场检查测试。评价工作组根据评价人员分工，综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试，按要求填写工作底稿、记录相关测试结果，并对发现的内部控制缺陷进行初步认定，提出改进建议。 一 内部控制评价方法 根据评价的具体内容，应当综合考虑选择一种或多种评价方法，获取充分、相

48、关、可靠的证据对内部控制的有效性进行评价。评价方法主要包括： 1.个别访谈法：主要用于了解公司内部控制的现状，在企业层面评价及业务层面评价的了解阶段经常使用。访谈前应根据内部控制评价需求形成访谈提纲，撰写访谈纪要，记录访谈的内容。对于同一问题应注意不同人员的解释是否不同。如分别访谈人力资源中心和关键岗位员工，是否有员工流失现象。 2.调查问卷法：调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围，包括企业各个层级员工，应注意事先保密性，题目尽量简单易答（如答案只需为“是”、“否”、“有”、“没有”等等）。 3.穿行测试法：是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从

49、最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程（例如，在保险公司的内部控制评价中，选取一笔保险新单，追踪其从投保申请到财务入账的全过程），以此了解控制措施设计的有效性，并识别出关键控制点。 4.抽样法：针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性做出评价； 5.实地查验法：是针对业务层面控制，主要对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验； 6.比较分析法：通过分析、比较数据间的关系、趋势或比率来取得评价证据

50、的方法，数据分析可以是与历史数据、行业（公司）标准数据或行业最优数据等进行比较； 7.专题讨论会法：通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。 此外，还可以使用观察、重新执行等方法，也可以利用信息系统开发检查方法，或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的，应在方法上注意与人工控制、发现性控制的区别。 二 内部控制评价工作底稿 评价工作底稿是控制活动检查评价的主要工具，用于详细记录和说明评价过程中具体业务和管理流程的基本信息、抽样标准及样本量、流程执行的缺陷情况和相关制度的保障情况。 1.控制环境评价工作底稿模