投资泰达 INVESTMENT
公司治理 / Corporate Governance

内部控制评价手册

二〇一四年十二月

 

 

 

 

 

 

 

 

 



第一章    

1.1 编制目的

为加强和规范天津泰达股份有限公司(以下简称“泰达股份”或“公司”)内部控制评价工作,确保内部控制体系健康稳定、持续高效运行,切实提高公司经营管理水平和风险防范能力,根据国家法律法规有关规定,结合公司实际情况,编制本手册。

1.2 编制依据

l  《企业内部控制基本规范》;

l  《企业内部控制应用指引》;

l  《企业内部控制评价指引》;

l  《企业内部控制审计指引》;

l  《深圳证劵交易所上市公司内部控制指引》;

l  天津泰达股份有限公司内部控制手册》。

1.3 适用范围和注意事项

本手册所构建的内部控制评价体系适用于:

1、泰达股份相关业务和管理活动;

2、各子公司应遵循本手册,如遇不适用或例外情况,参照本手册原则另行编制。

公司各部门、各子公司应根据所承担的管理职责,对照本手册的要求,进行内部控制检查评价,及时改进缺陷,完善相关管理制度和流程,有效控制风险。

       由于本项目以及内部控制本身的局限性,本手册所涉及的内容,可能并未涵盖所有重要的内部控制环境要素和控制流程,同时所涉内容并非一成不变,公司、各子公司将对照本手册的具体要求,适时调整、补充和完善。

1.4 名词术语释义

内部控制评价,是指公司董事会和经营层实施的,对内部控制的有效性进行全面评价,形成评价结论,出具评价报告的过程。

内部控制有效性,是指公司建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。

内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计适当。

内部控制的运行有效性,是指现有内部控制按照规定程序得到了正确执行。

补偿性控制,是针对某些环节的不足或缺陷而采取的控制措施。其目的是排除损失、错误和舞弊,把风险水平限制在一定的范围内。例如:岗位轮换、不定期盘点、 突击检查等。

内部控制缺陷,是指企业内部控制的设计或运行无法合理保证内部控制目标的实现。

1.5 基本要求

公司董事会应当根据国家法律法规和监管规则要求,结合实际情况,围绕公司战略目标、经营管理的效率和效果目标、财务报告目标、资产安全目标、合规目标等单个或整体控制目标的实现程度,组织实施对公司内部控制系统设计和执行的有效性进行定期或不定期的检查、分析、评估、改进,以合理保证公司目标实现。

1.6 生效及更新

1、本手册经公司总经理办公会审核、报董事会审批后正式生效。

2、本手册根据公司内外部环境、组织架构、管理要求和管理问题、重大风险的变化以及公司各部门、各分子公司的改进建议、内外部检查评价的结果,适时更新。一般每年集中更新一次,更新后的内控评价手册经公司总经理办公会审核、董事会审批后正式生效。除年度集中更新外,公司可根据需要组织相关部门进行个别修订。

第二章  控制评价原则

2.1 全面性原则

评价工作应当包括内部控制的设计与运行,涵盖公司及子公司的各种业务和事项。

全面性包括:

1、公司各内设机构、各子公司全部开展自查工作;

2、评价工作涵盖内部控制的全过程,包括决策、执行和监督;

3、对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、针对性的评价。

2.2 重要性原则

评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。

重要性含义:

1、在全面开展的基础上,对公司各内设机构、子公司的重要流程进行内部控制测试;

2、参照《企业内部控制应用指引》强调的控制点,突出重点。

2.3 客观性原则

评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。

公司各内设机构、子公司应在自查工作的基础上,准确地揭示经营管理中存在的问题和风险状况,在内部控制自查报告中如实反映、准确描述内部控制缺陷,客观评价内部控制设计与运行的有效性。

2.4 以风险为导向原则

评价工作应当以风险为基础,根据风险发生的可能性和对公司内部控制目标影响的程度确定需要评价的重点业务单元、重要业务领域和重要流程环节。

2.5 一致性原则

内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。

第三章  组织与职责分工

3.1  内部控制评价的组织机构

1、健全和有效实施内部控制,并评价其有效性是公司董事会的责任。

2、在董事会审计委员会的领导下,公司成立内部控制评价工作小组,内部控制评价工作小组由公司总经理牵头、内部审计部具体组织实施。公司各内设机构、子公司的业务骨干负责公司内部控制评价具体实施工作。内部控制评价工作组成员应具有专业胜任能力,具有丰富的管理控制经验,熟练掌握自我评价的方法和工具。

3.2 内部控制评价的职责分工

1、董事会负责公司内部控制的建立健全和有效实施,审定和批准内部控制评价报告,对内部控制评价承担最终的责任。

2、董事会审计委员会负责监督内部控制评价工作情况,听取和审议内部控制评价报告,并提出相关意见和建议。

3、监事会负责对董事会建立与实施内部控制进行监督,对内部控制评价报告进行审议,并发表独立意见。

4、经理层负责组织实施内部控制评价,对内部控制评价工作统一部署、统一安排,指导和监督内部控制评价工作开展,并听取内部控制评价报告。

5、内部控制评价工作小组负责内部控制评价的组织和实施工作,并编报内部控制评价报告。具体职责主要包括:制定内部控制评价工作方案;组织、协调、指导公司内部控制评价工作;组织和实施现场测试,认定控制缺陷,提交测试报告。

6、内部审计部是内部控制评价归口管理部门,具体负责公司内部控制评价日常管理和监督工作。汇总公司的评价工作结果并向公司内部控制评价工作小组汇报;督促整改内部控制缺陷。

7、参与评价的公司各内设机构、子公司具体职责主要包括:负责组织本部

室或本公司的内部控制自查工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送内部控制评价工作小组复核,编制内部控制自评报告,配合内部控制评价工作小组和外部审计师的内部控制审计工作。

公司各内设机构、子公司应负责组织相关人员,积极配合并及时提供所需的相关文件资料。

第四章  内部控制评价的主要内容

4.1 内部控制评价工作内容

公司的内部控制评价工作包括对公司层面和业务层面的内部控制设计和运行情况进行全面评价。

1、公司内部控制评价包括公司治理结构、人力资源、发展战略、资金活动、 资产管理、合同管理、采购、销售等生产经营管理的各项业务和事项。重点关注经营管理过程中的高风险领域和重要业务事项。

2、公司每年将根据自身的业务变化情况、当年国内外环境变化、监管机构的关注重点、当年的管控重点、公司当年风险评估结果、外部审计师关注的重点以及以前年度审计发现的缺陷等,调整公司各内设机构、子公司当年的评价工作内容和重点。

3、按照《企业内部控制基本规范》、《企业内部控制评价指引》、《深圳证劵交易所上市公司内部控制指引》和公司《内部控制手册》对各流程管控点和控制活动的要求,公司各内设机构、子公司应至少每年进行一次自查。当公司整体环境发生重大变化或部门职责、流程、人员等发生重大变动时,可以适当的增加公司范围或内设机构范围内自我评价的次数。

4.2 公司层面内容

公司层面内部控制评价主要包括与内部环境、风险评估、信息与沟通、内部监督等要素直接相关的内部控制进行评价。

4.3 公司业务层面内容

业务层面内部控制评价主要包括与资金营运、筹资管理、投资管理、采购业务、固定资产管理、无形资产管理、存货管理、销售业务、项目开发管理、工程项目、担保业务、财务报告、全面预算、税务管理、合同管理、人力资源管理、信息系统管理、信息披露、内部审计管理等相关的内部控制进行评价。

第五章  内部控制评价工作程序

5.1 制定工作方案

在每年评价工作开始前,公司内部控制评价工作小组应当根据内部监督情况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定评价方法,制定科学合理的内部控制评价工作方案,明确评价范围、工作任务、人员组织、进度安 排等相关内容,报经公司经理层审批后实施。

5.2 各单位自查

公司各内设机构、子公司对照内部控制评价工作方案,对本部室或本公司各项业务内部控制的设计和执行情况进行全面自查,并整理归档相关设计和运行的证据材料。

1、各内设机构、子公司对照《内部控制手册》完成工作底稿。

工作底稿是各内设机构、子公司开展自查工作进行流程改进的方法和依据,是在评价过程中,用以记录执行过程、内容及支撑评价结果的一系列工作文档。

       各内设机构、子公司对照自查工作底稿中的控制点对本部室、子公司的控制设计和控制执行情况逐项检查。对于年度内多次发生的控制事项,应检查是否达 到一贯执行;对于没有建立的制度,考虑是否需要补充;对于虽无工作底稿中提到的制度或控制措施,但有相应的替代措施,应考虑替代措施是否为最优控制措施,是否应进一步改进和加强规范管理。

2、各内设机构、子公司编制自查报告

各内设机构以部室为单位编制,子公司以公司为单位编制。 各内设机构、子公司编制的自查报告应包含的要素有:年度内部控制建设及风险管控情况;年度内部控制检查监督工作开展情况;发现的流程管控缺陷;改进建议及提出相应的改进措施;明确改进负责部室/人以及改进的计划完成时间;内部控制评价期后事项披露等。

报告撰写人、部门负责人签字确认,以确保自查工作的准确性和真实性。自查报告应当附上自查工作底稿,作为自查的原始记录和依据。

5.3 汇总自查报告

根据各部室、子公司报送的自查报告,内部审计部对各内设机构、子公司自查报告和工作底稿填报的真实性、准确性、完整性进行复核、分析和汇总,对发 现的各类缺陷做重点分析。

5.4 实施现场检查测试

公司内部控制评价工作小组对公司各内设机构、子公司的自查工作进行检查审核,综合运用抽样法、穿行测试法、实地查验法等评价方法对内部控制设计和运行的有效性进行现场检查测试,对自查中发现的各类缺陷做重点测试,按要求填写测试工作底稿,记录相关测试结果,评价相关内部控制设计与运行情况,确保自我评价的工作质量。

评价人员应遵循客观、公正、公平原则,如实反映测试中发现的问题,并及时与被评价单位进行沟通。

评价工作底稿应由复核人(一般为各评价测试小组负责人)审核后签字确认。评价测试小组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认后, 提交内部控制评价结果。

重点测试步骤:

1、确定关键控制点设计是否合理

评价测试小组通过访谈、分析,了解关键控制环节设计和风险点情况,确定被测试的风险控制点是否设计合理,是否能够有效地控制风险。

2、实施现场测试

1)选取重点单位、重要流程的原则

①重点单位选取原则:能够体现公司内部控制管理的重心和核心;侧重于对合并财务报告的影响。

 ②重要流程选取原则:选取能够涵盖公司各板块的主要业务流程;能够体现公司内部控制的重心和核心;能够涵盖各重点部室、子公司重大风险的流程;侧重于对财务报告认定有重大影响的流程。

2)测试步骤

根据业务活动或控制程序的流程描述,由具体测试人员实施以下测试步骤:

①访谈相关工作人员;

②检查相关控制证据;

③观察实际操作流程;

④进行流程的再执行。

5.5 认定内部控制缺陷

内部控制评价工作小组综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,收集公司内部控制设计与运行的有效性的相关证据,对内部控制缺陷进行初步认定。

内部审计部汇总编辑内部控制缺陷认定表,结合日常监督和专项监督发现的 内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷由董事会予以最终认定。

对于发现的重大缺陷,将要求有关责任单位及时采取应对措施,将风险控制在可承受度之内,并按公司的有关规定追究有关部室或相关人员的责任。

       公司在下一年度的内部控制检查评价中或组织专项检查对上一年度的缺陷整改情况进行检查,以确认整改工作的效果以及控制措施运行的有效性。

5.6 缺陷改进

公司对于发现的内部控制缺陷,将督促各内设机构、子公司制定相应的整改方案,明确整改的目标、内容、程序、时间、负责人等,并由内部审计部监督实施。

1、针对发现的内部控制缺陷,各内设机构、子公司制定内部控制缺陷整改方案和工作计划;

2、各内设机构、子公司对内部控制缺陷进行整改;

3、在评价报告中详细反映发现的缺陷、产生原因、影响程度,针对无法解决的控制缺陷应说明原因、整改计划。

5.7 编制内部控制评价报告

公司汇总年度评价结果,结合内部控制评价工作底稿和发现内部控制缺陷的整改情况,按照规定的格式、时间等要求,编制公司内部控制评价报告,并报送公司董事会最终审定后对外披露。

内部控制评价报告的要素:董事会对内部控制报告真实性的声明;内部控制评价工作的总体情况;内部控制评价的依据;内部控制评价的范围;内部控制评价的程序和方法;内部控制缺陷及其认定情况;内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;内部控制有效性的结论等。

1、内部控制评价报告应当分内部环境、风险评估、控制活动、信息与沟通、 内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。

2、公司对外报告的内部控制评价报告应根据监管机构每年确定的格式和内容要求撰写和披露。

3、公司各内设机构、子公司的内部控制自查报告根据公司当年的管理重点撰写,准确地揭示经营管理中存在的问题和风险状况,在内部控制评价报告中如实反映、准确描述内部控制缺陷。

4、公司应当根据内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制年度内部控制评价报告。

5、内部控制评价报告应当报经董事会批准后对外报出。

内部控制评价工作小组应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。

6、公司以每年1231日作为内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内向相关外部监管机构提交及报送。

第六章  自我评价方法

6.1 个别访谈法

个别访谈,指根据检查与评价需要,调查员与被评价单位员工单独进行的访谈活动,以获取有关信息。

个别访谈法主要用于了解企业内部控制现状,一般在企业层面评价及业务层面评价的了解阶段使用。个别访谈法具有保密性强,访谈形式灵活,访问表回收率高等优点,但也面临访谈人员能力要求较高、访谈时间较长、样本较小等不利因素。

6.2 调查问卷法

调查问卷是指通过设置问卷调查表,分别对不同岗位、不同层次的员工进行问卷调查,根据调查结果对相关项目作出评价。它是书面访问调研的一种重要形式,主要用于对企业层面进行评价。

调查问卷法是运用最广泛、最基础的一种内部控制评价方法,具有节省时间、人力和经费;简单、易操作;便于数据统计处理与分析等。但也存在调查问卷设计过于简单、对问题无法深入探讨、调查结果广而不深的缺陷。

6.3 穿行测试法

穿行测试法,也称全过程测试法、遵循测试法,是指在企业业务流程中,任意选取一份全过程的文件作为样本,并追踪该样本从起点到终点的全过程,以了解整个业务流程的执行情况的评价方法。主要应用于对业务流程和具体业务的测试和评价,是一种简便易行的评价方法。

6.4 抽样法

抽样法,是指针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,按一定比例从确定的抽样总体中抽取一定数量的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性作出评价。

抽样法分为随机抽样和非随机抽样。随机抽样是按机会均等原则从样本库中选取一定数量的样本,而非随机抽样是指抽样时不遵循随机原则,而是人工选取或按某一特定标准从中选取一定数量的样本。

6.5 实地查验法

实地查验法主要针对业务层面控制,通过对企业财产进行盘点、清查,以及针对业务流程中的各个控制环节进行现场查验等方式,进行控制测试。如现场查验存货出、入库环节。

6.6 比较分析法

比较分析法也称对比分析法,是指通过分析企业经营中的各类数据、行业标准数据或行业最优数据,比较数据间的关系、比率和趋势来进行有效评价。

6.7 重新执行法

重新执行法,又称重复执行法,是指评价人员根据有关资料和业务处理程序,以人工方式或使用计算机辅助审计技术,重新处理一遍业务,并比较其结果,进而判断企业内部控制执行的有效性,是一种通过对某一控制活动全过程的重新执行来评估内部控制执行情况的方法。

6.8 专题讨论法

专题讨论法是指集中与业务流程有关的专业人员就内部控制执行情况或控制缺陷进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。比如,对于同时涉及企业多个业务部门的控制缺陷,由内部控制管理部门组织召开专题讨论会议,综合各方面意见,研究确定整改方案。

以上列举的内部控制评价方法通常不可以单独使用,评价工作组开展内部控制评价工作时应结合公司的具体情况,区别内部控制设计和执行,综合运用以上内部控制的评价方法。评价组也可以根据评价工作的需要与公司的特定情况应用其他有效的评价方法。

第七章  内部控制缺陷认定

7.1 内部控制缺陷的分类

1、根据缺陷的成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。

1)设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。

2)运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。

2、根据影响内部控制目标的具体表现形式,内部控制缺陷可以分为财务报告内部控制缺陷和非财务报告内部控制缺陷。

1)财务报告内部控制缺陷,是指在会计确认、计量、记录和报告过程中出现的,对财务报告的真实性、准确性和完整性产生直接影响的控制缺陷。

2)非财务报告内部控制缺陷,是指虽不直接影响财务报告的真实性、准确性和完整性,但对企业经营管理的合法合规、资产安全、经营的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。

3、按照影响企业内部控制目标实现的严重程度,内部控制缺陷可分为重大缺陷、重要缺陷和一般缺陷。

1)重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。

当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。

2)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。

3)一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。

7.2 内部控制缺陷认定的范围和内容

内部控制缺陷认定是指通过公认的、科学的、合理的方法和标准,对企业内部控制设计和运行中存在的问题进行分析和评价,确定内部控制缺陷的重要性和对企业控制目标的影响程度的过程。

公司内部控制缺陷认定的范围应当包括在日常监督、专项监督过程中发现的控制缺陷,以及公司在年度内部控制评价及测试过程中发现的控制缺陷;根据内部控制缺陷的成因和来源不同,内部控制缺陷认定的具体内容包括公司层面和业务层面的设计有效性控制缺陷和运行有效性控制缺陷。

7.3 内部控制缺陷的认定标准

内部控制缺陷认定标准是企业内部控制评价结论形成的依据。对于内部控制评价过程中发现的控制缺陷,公司应当根据评价指引,结合自身的实际情况和关注重点,制定适应企业的内部控制重大缺陷、重要缺陷和一般缺陷的认定标准。

鉴于内部控制缺陷的表现形式和影响目标不同,可从财务报告与非财务报告两个 方面来区分内部控制缺陷的认定标准。

1、财务报告内部控制缺陷

财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。

财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。

财务报告内部控制缺陷的认定标准,可由该缺陷可能导致财务报表错报的重要程度来确定。

2、非财务报告内部控制缺陷

非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制,如战略目标、经营目标、合规目标等。

3、重大缺陷定性标准

1)董事、监事和高级管理人员舞弊(无论舞弊是否重大);

2)已经发现并报告给管理层的重大内部控制缺陷,在经过合理的时间后,并未加以改正;

3)控制环境无效;

4)影响收益趋势的缺陷;

5)外部审计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;

6)可能导致监管机构处罚的缺陷;

7)可能导致企业出现重大损失的缺陷;

8)审计委员会和内部审计机构对内部控制的监督无效。

9)其他可能影响报表使用者正确判断的缺陷。

4、财务报告内部控制缺陷定量标准

       缺陷分类

指标内容

一般缺陷

重要缺陷

重大缺陷

资产总额存在错报

错报的资产总额低于公司最近一期经审计总资产的0.5%

资产总额的0.5%﹤错报金额﹤资产总额的10%

错报的资产总额占公司最近一期经审计总资产的10%以上,涉及的资产总额同时存在账面值和评估值的,以较高者作为计算数据;

净资产总额存在错报

错报的净资产占公司最近一期经审计净资产的0.5%以下;

净资产总额的0.5%﹤错报金额﹤净资产总额的10%,且绝对金额小于1000万元

错报的净资产占公司最近一期经审计净资产的10%以上,且绝对金额超过1000万元;

营业收入存在错报

错报的营业收入占公司最近一个会计年度经审计营业收入的0.5%以下;

营业收入的0.5%﹤错报金额﹤营业收入的10%,且绝对金额小于1000万元

错报的营业收入占公司最近一个会计年度经审计营业收入的10%以上,且绝对金额超过1000万元;

净利润存在错报

错报的净利润占公司最近一个会计年度经审计净利润的3%以下;

净利润的3%﹤错报金额﹤净利润的10%,且绝对金额小于100万元

错报的净利润占公司最近一个会计年度经审计净利润的10%以上,且绝对金额超过100万元;

5、非财务报告内部控制缺陷定量标准

缺陷分类

安全

营运

环境

一般缺陷

严重影响职工或其他人员的健康;

营运减慢,受到法规惩罚或被罚款;在时间、人力或成本方面超出预算的10%

对环境造成中等影响;出现个别投诉事件,需要执行一定程度的补救措施;

重要缺陷

死亡39人,重伤1049人,直经损失1000万至5000万;

无法达到部分营业目标或关键业绩指标受到监管者的限制;在时间、人力或成本方面超出预算的30%

造成主要环境影响,需要较长时间来恢复;大规模的公众投诉,应执行重大的补救措施;

重大缺陷

死亡1029人,重伤5099人,直经损失5000万至1亿;

无法达到所有的营运目标或关键指标,违规操作使业务受到中止;在时间、人力或成本方面超出预算的50%

无法弥补的灾难性的环境损害;激起公众的愤怒,潜在的大规模公众法律投诉;

7.4 内部控制缺陷认定的程序

内部控制缺陷认定应当针对公司层面和业务层面内部控制缺陷分别开展,具体包括单个控制缺陷评估、控制缺陷汇总评估、缺陷结果认定三个阶段。

1、单个控制缺陷评估阶段

对于识别的单个内部控制缺陷一般采取以下评价步骤:

1)确定受缺陷影响的具体控制目标,分析控制缺陷与财务报告错报或漏报的直接相关性;

2)根据确定的缺陷认定标准,评估控制缺陷导致控制无效的严重程度;

3)计算潜在影响金额;

4)检查是否存在补偿性控制措施;

6)确定考虑补偿性控制活动后的潜在影响金额;

7)根据错报发生的可能性和潜在影响程度,判断缺陷类型;

8)考虑定性因素;

9)考虑控制无效发生的可能性和严重程度,确定缺陷类型。

2、控制缺陷汇总评估阶段

针对同一控制目标(如同一会计科目、同一业务活动或同一主题)的多个一般缺陷和重要缺陷,采用定性或定量的方法对多个缺陷之间的相关性进行分析,确定具有相互作用的多个缺陷汇总后的综合影响程度。

3、缺陷结果认定阶段

整理单个缺陷分析结果和汇总分析结果,确定控制缺陷等级及类别。

4、内部控制缺陷评价流程图

流程图见下页。

7.5 内部控制缺陷的报告与整改

1、内部控制缺陷的报告

内控评价工作小组对发现的内部控制缺陷及其认定情况,以适当的形式向董事会、监事会或经理层报告,以使管理层及有关部室、子公司能够有效地整改、完善内部控制。

对于一般缺陷和重要缺陷,应当向企业经理层报告,并视情况向董事会及其审计委员会、监事会报告;对于重大缺陷,应当及时向董事会及其审计委员会、监事会和经理层报告。

一般缺陷应定期(至少每年)报告,重要缺陷和重大缺陷应立即报告。

2、内部控制缺陷的整改

内部控制缺陷认定结束后,内控评价工作小组应根据缺陷评价和认定结果,与缺陷相关的部室、分(子)公司沟通,确定缺陷整改的先后顺序,制定整改方案。

内控评价工作小组针对每个内部控制缺陷,提出整改建议。整改建议要具体、切实可行,一般包括整改目标、内容、步骤、措施、方法、期限、责任人等,整改期限超过一年的,还应在整改方案中明确近期目标、远期目标及对应的整改工作任务等。 在整改方案实施过程中,还应对整改措施的落实情况进行监督。

8.1 内部控制评价工作底稿总体要求

根据《企业内部控制评价指引》的要求,内部控制评价工作底稿应详细记录企业执行评价工作的内容,应当设计合理、证据充分、简便易行、便于操作。

8.2 内部控制评价工作底稿模板

8.2.1 风险控制矩阵

总部风险控制矩阵见《内控手册(总部适用)》,子公司风险控制矩阵见各板块内控手册。

8.2.2 ****内部控制设计有效性评价表

****内部控制设计有效性评价表

被评价单位:                   评价期间:自      日至     

评价人:                    评价日期:

复核人:                    复核日期:

控制编号

控制措施要点

测试与评价方法

测试记录

设计是否有效

工作底稿索引

8.2.3 ****内部控制运行有效性评价表

****内部控制运行有效性评价表

被评价单位:                   评价期间:自      日至     

评价人:                    评价日期:

复核人:                    复核日期:

控制编号

控制措施要点

内部控制性质

控制频率

影响报表账户

影响报表认定

测试记录

运行是否有效

工作底稿索引

存在/发生

完整性

权利和义务

计价和分摊

表达与披露

8.2.4 ****测试文档

****测试文档

被评价单位:                   评价期间:自      日至     

评价人:                    评价日期:

复核人:                    复核日期:

子流程名称

控制活动编号

标准控制措施

实际控制活动

控制频率

样本量说明

测试类型

测试记录

测试结论

测试说明

注:

1、样本量说明应注明样本规模和选取样本量的方法;

2、测试类型包括询问、观察、检查、和重新执行;

8.2.5 ****穿行测试表

****穿行测试表

被评价单位:                   评价期间:自      日至     

评价人:                    评价日期:

复核人:                    复核日期:

控制活动编号

标准控制措施

实际控制活动

测试步骤及发现

查阅的证据

测试发现事项及说明

工作底稿索引

8.2.6 访谈记录表

访谈记录表

被评价部门

索引号

被访谈人

访谈时间

被访谈人岗位

访谈人

访谈地点

访谈内容:

被访谈人(签名)

访谈人(签名)

8.2.7 内控缺陷认定表

内控缺陷认定表

被评价单位:                   评价期间:自      日至     

评价人:                    评价日期:

复核人:                    复核日期:

流程名称

控制活动编号

主要风险

缺陷描述

责任人认定

8.2.8 内控缺陷评估分析表

内控缺陷评估分析表

被评价单位:                   评价期间:自      日至     

评价人:                    评价日期:

复核人:                    复核日期:

序号

流程名称

控制活动编号

标准控制措施

实际控制活动

例外描述及例外产生的原因

缺陷类型

影响财务报告认定

影响财务报表项目

影响财务报表金额

定量判断结果

定性判断结果

相关责任人意见

缺陷评估类别

整改建议

整改责任部门

备注

注:缺陷类型包括设计缺陷和运行缺陷;缺陷评估类别包括重大缺陷、重要缺陷和一般缺陷。

第九章  评价报告模板

9.1 各部门自查报告模板

XX 部门内部控制自查结果汇总报告(模板

根据天津泰达股份股份有限公司内部控制自查工作安排,结合 XX 部(部门名称)的控制目标和管控重点,我们对截至20XX XX XX 日的内部控制有效性进行了自查。

一、年度本部门内部控制体系建设总体情况

阐述本部门在本年度内部控制制度体系、流程体系建设方面完成的工作情况,包括制度与流程新增、修改、废除等情况,并阐述是否按照年初制定的计划完成了本年的体系建设任务。

二、本次自查的主要内容(描述自查方式、重点自查的业务流程等)

阐述本次自查所涉及的《内部控制手册(总部适用)》相关内容,采用的自查方式以及重点自查的业务流程等。

三、发现的内部控制缺陷

结合自查情况,我们发现报告期内存在〔数量〕个内部控制缺陷,其中设计缺 陷〔数量〕个,运行缺陷〔数量〕个。分别为:

四、改进建议及相应的改进措施(需明确责任人及计划完成时间)

五、内部控制自查结论

(不存在重大缺陷的情形)

经过自查,报告期内,XX 部对纳入自查范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷,但仍存在 XX 个重要缺陷和 XX 个一般缺陷。

(存在重大缺陷的情形)

经过自查,报告期内,公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷〔描述该缺陷的性质及其对实现相关控制目标的影响程度〕。由于存在上述缺陷,可能会给公司未来生产经营带来相关风险〔描述该风险〕。

部门负责人(签字)

                                                   XX 部门

20××年××月××日

9.2 子公司自查报告模板

XX 公司内部控制自查结果汇总报告(模板)

根据天津泰达股份股份有限公司内部控制自查工作安排,结合 XX 公司(公司名称)的控制目标和管控重点,我们对截至 XX X X 日的内部控制有效性进行了自我评价。

一、年度本公司内部控制体系建设总体情况

阐述本公司在本年度内部控制制度体系、流程体系建设方面完成的工作情况,包括制度与流程新增、修改、废除等情况,并阐述是否按照年初制定的计划完成了本年度的体系建设任务。

二、内部控制自查的总体情况

(一)自查采取的主要方式

(二)自查范围

内部控制自查的范围涵盖了公司及其子公司的 XX 业务和事项,重点关注本年度所识别的重要风险相关的业务领域。

纳入自查范围的单位包括:〔描述公司及其子公司的明确范围〕

(三)自查的主要内容

阐述本次自查所涉及的《公司内部控制应用手册》相关内容以及重点自查的业务流程等。

上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重大遗漏。

(如存在重大遗漏)

公司本年度未能对以下构成内部控制重要方面的单位或业务(事项)进行内部控制评价:〔逐条说明未纳入评价范围的重要单位或业务(事项),包括单位、或业务(事项)描述、未纳入的原因、对内部控制评价报告真实完整性产生的重大影响等〕。

三、发现的内部控制缺陷

结合日常监督和专项监督情况,我们发现报告期内存在〔数量〕个缺陷,其中重大缺陷〔数量〕个,重要缺陷〔数量〕个,一般缺陷〔数量〕个。分别为:

四、内部控制缺陷的整改情况

针对报告期内发现的内部控制缺陷(含上一期间未完成整改的内部控制缺陷), 公司采取了相应的整改措施〔描述整改措施的具体内容和实际效果〕。

经过整改,公司在报告期末仍存在〔数量〕个缺陷,其中重大缺陷〔数量〕个,重要缺陷〔数量〕个。重大缺陷分别为:〔对重大缺陷进行描述〕。

针对报告期末未完成整改的重大缺陷,公司拟进一步采取相应措施加以整改〔描述整改措施的具体内容及预期达到的效果〕。

五、内部控制自查结论

(不存在重大缺陷的情形)

经过自查,报告期内,XX 公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷。

(存在重大缺陷的情形)

经过自查,报告期内,公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷〔描述该缺陷的性质及其对实现相关控制目标的影响程度〕。由于存在上述缺陷,可能会给公司未来生产经营带来相关风险〔描述该风险〕。

六、下一年度内部控制工作计划

阐述公司下一年度计划在内部控制体系建设、完善、评价或专项风险管控等方面的工作安排及时间表。

(子公司)法人代表(签名)

XX 公司

20××年××月××日

9.3 公司评价报告模板

天津泰达股份有限公司

20XX 年度内部控制评价报告(模板)

(根据监管机构当年发布的模板更新)

天津泰达股份有限公司全体股东:

根据《企业内部控制基本规范》等法律法规的要求,我们对本公司(下称“公司”) 内部控制的有效性进行了自我评价。

一、董事会声明

公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。

建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导公司内部控制的日常运行。

公司内部控制的目标是:合理保证经营合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在固有局限性,故仅能对达到上述目标提供合理保证。

二、内部控制评价工作的总体情况

公司董事会授权内部审计机构负责内部控制评价的具体组织实施工作,对纳入评价范围的高风险领域和单位进行评价〔描述评价工作的组织领导体制,一般包括评价工作组织结构图、主要负责人及汇报途径等〕。

公司聘请会计事务所〔会计师事务所名称〕对公司内部控制有效性进行独立审计。

三、内部控制评价的依据

本评价报告旨在根据中华人民共和国财政部等五部委联合发布的《企业内部控制基本规范》(下称“基本规范”)及《企业内部控制评价指引》(下称“评价指引”)的要求,结合企业内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,对公司截至20××年 12 31 日内部控制的设计与运行的有效性进行评价。

四、内部控制评价的范围

内部控制评价的范围涵盖了公司及其子公司的各种业务和事项,重点关注下列高风险领域:〔列示公司根据风险评估结果确定的主要风险〕

纳入评价范围的业务和事项,包括公司内部控制手册中涉及公司层面控制的组织架构、发展战略、人力资源、社会责任、企业文化,业务层面控制中涉及资金活动、采购活动、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统(根据实际情况调整)等各类内控流程。上述业务和事项的内部控制涵盖了公司经营管理的主要方面和风险应对措施,不存在重大遗漏。

(如存在重大遗漏)

公司本年度未能对以下构成内部控制重要方面的单位或业务(事项)进行内部控制评价:〔逐条说明未纳入评价范围的重要单位或业务(事项),包括单位、或业务(事项)描述、未纳入的原因、对内部控制评价报告真实完整性产生的重大影响等〕

五、内部控制评价的程序和方法

内部控制评价工作严格遵循基本规范、评价指引及公司内部控制评价办法规定的程序执行。主要包括以下几个步骤:制定内部控制检查评价方案、成立内部控制检查评价工作组、各内设机构、子公司进行自查、实施现场检查与评价、认定内部控制缺陷、复核确认并出具现场评价结论、汇总分析检查评价结果、编制内部控制检查评价报告,报告与披露。

评价过程中,我们采用了个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等适当方法,广泛收集公司内部控制设计和运行是否有效的证据,如实填写评价工作底稿,分析、识别内部控制缺陷〔说明评价方法的适当性及证据的充分性〕。

六、内部控制缺陷及其认定

公司董事会根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险水平等因素,研究确定了适用本公司的内部控制缺陷具体认定标准,并与以前年度保持了一致〔描述公司内部控制缺陷的定性及定量标准〕,或作出了调整〔描述具体调整标准及原因〕。

根据上述认定标准,结合日常监督和专项监督情况,我们发现报告期内存在〔数 量〕个缺陷,其中重大缺陷〔数量〕个,重要缺陷〔数量〕个。重大缺陷分别为:〔对重大缺陷进行描述,并说明其对实现相关控制目标的影响程度〕。

七、内部控制缺陷的整改情况

针对报告期内发现的内部控制缺陷(含上一期间未完成整改的内部控制缺陷),公司采取了相应的整改措施〔描述整改措施的具体内容和实际效果〕。对于整改完成的重大缺陷,公司有足够的测试样本显示,与重大缺陷〔描述该重大缺陷〕相关的内部控制设计且运行有效(运行有效的结论需提供 90 天内有效运行的证据)。

经过整改,公司在报告期末仍存在〔数量〕个缺陷,其中重大缺陷〔数量〕个, 重要缺陷〔数量〕个。重大缺陷分别为:〔对重大缺陷进行描述〕。

针对报告期末未完成整改的重大缺陷,公司拟进一步采取相应措施加以整改〔描述整改措施的具体内容及预期达到的效果〕。

八、内部控制有效性的结论

公司已经根据基本规范、评价指引及其他相关法律法规的要求,对公司截至20XX 12 31 日的内部控制设计与运行的有效性进行了自我评价。

       (存在重大缺陷的情形)

报告期内,公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷〔描述该缺陷的性质及其对实现相关控制目标的影响程度〕。由于存在上述缺陷,可能会给公司未来生产经营带来相关风险〔描述该风险〕。

       (不存在重大缺陷的情形)

报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间〔是/否〕发生对评价结论产生实质性影响的内部控制的重大变化。〔如存在,描述该事项对评价结论的影响及董事会拟采取的应对措施〕。

我们注意到,内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。〔简要描述下一年度内部控制工作计划〕未来期间,公司将继续完善内部控制制度,规范内部控制制度执行,强化内部控制监督检查,促进公司健康、可持续发展。

董事长:(签名)

天津泰达股份有限公司

20××年××月××日

附件:

测试样本量的确定方法

1、频率固定控制活动样本量的确定方法

控制类型

控制运行频率

样本量

手工控制

每年1

1

手工控制

每季1

2

手工控制

每月1

5

手工控制

每周1

10

手工控制

每天1

30

手工控制

每天多次

50

2、频率不固定控制活动样本量的确定方法

控制类型

年发生次数

折合频率

样本量

手工控制

200

每天多次

50

手工控制

50-200

每天1

30

手工控制

15-20

每周1

10

手工控制

15

每月1

5

3、自动控制样本量由评价人员根据经验确定,一般可根据控制运行频率,参照手工控制确定。