建工集团内部控制评价手册.docx

《建工集团内部控制评价手册.docx》由会员分享，可在线阅读，更多相关《建工集团内部控制评价手册.docx（27页珍藏版）》请在三一办公上搜索。

1、建工集团内部限制评价手册目录一、手册蜂3（一）目的3（二）适用范围和留意事项3（三）评价依据3（四）遵循原则3（五）手册制定及更新4二、内部限制评价工作流程5（一）评价启动和打算阶段5（二）内部限制评价实施阶段5（三）内部限制缺陷的认定及整改阶段6（四）评价报告编制及汇总阶段6三、内部限制评价内容及要求7（一）内部限制评价内容7（二）内部限制评价要求8四、内部限制评价测试方法10（一）访谈10（二）穿行测试：11（三）限制测试12五、内部限制缺陷的认定及整改16（一）内部限制缺陷的分类及认定16（二）内部限制缺陷的汇总18（三）内部限制缺陷的整改18（四）整改结果的验证19六、内部限制评价报告

2、20七、附表21附表一：企业层面-内部限制评估底稿22附表二：流程层面-风险限制矩阵及限制测试底稿23附表三：流程层面-内部限制评价工作底稿24附表四：内部限制评价缺陷及跟踪整改汇总表26附表五：内部限制评价缺陷统计表27一、 手册概述（一）目的建工集团依据国家有关部门和上市公司监管机构关于建立和完善企业内控体系的有关要求，结合企业内部限制设计与运行的实际状况，编制本内部限制评价手册，用以指导全系统内部限制自我评价（以下简称“内控评价”）工作，以推动和规范全公司内控评价工作。（二）适用范围和留意事项本内部限制评价手册适用于建工集团及下属各单位内控评价工作。由于内部限制本身的局限性，本手册并未涵

3、盖全部的内部限制环境耍素和限制流程，所涉内容并非一成不变，各单位应依据企业内部限制基本规范和企业内部限制评价指引的要求，结合单位自身业务、管理实际，参照本手册的基本内容要求，开展内控评价工作。（三）评价依据1 .财政部等五部委企业内部限制基本规范、企业内部限制应用指引、企业内部限制评价指引。2 .国资委中心企业全面风险管理指引。3 .上交所上海证券交易所上市公司内部限制指引。4 .监管部门相关规定。5 .股份公司内部限制体系运行管理方法、内部限制流程汇编等内控体系文件。6 .股份公司及所属单位各项管理制度。7 .业务流程及说明、限制文档、风险矩阵、风险库、缺陷跟踪报告等。8 .各项管理、技术规

4、范和标准等其他有关规定。（四）遵循原则内控评价应遵循以下原则：9 .全面性原则：涵盖企业及其所属单位的业务事项的内部限制设计和运行。10 重要性原则：在全面评价的基础上，关留意耍业务单位、重大业务事项和高风险领域。11 客观性原则：精确地揭示经营管理的风险状况，照实反映内部限制设计与运行的有效性。12 整改提高原则：重点查找整改企业存在的限制缺陷，促进企业提高管理水平。（五）手册制定及更新本手册由股份公司内部限制评价主责部门依照相关法律法规，结合股份公司内、外部状况和公司内部限制管理要求制定，并下发各单位参照实施。本手册将依据内外部环境、组织架构、管理要求、重大风险的改变及内外部检查评价的结果

5、以及执行中的问题，适时更新、完善。二、 内部限制评价工作流程依据企业内部限制评价指引的要求，内部限制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定限制缺陷、汇总评价结果、编报评价报告等环节。依据推动内容分为内控评价启动和打算阶段、内控评价实施阶段、内控缺陷认定及整改阶段和评价报告编制及汇总阶段等。(一)评价启动和打算阶段本阶段工作主要包括编制评价工作方案，确定内控评价工作机构，确定评价工作运用的文档模板，开展评价人员培训，召开内控评价工作启动会等。1 .编制内控评价工作方案各单位应依据相关法律法规、监管要求及股份公司内部限制评价工作总体支配，结合企业实际状况，由评价主责

6、部门制定企业内控评价工作方案，经董事会审批后以公司文件发布实施。内控评价方案应至少包含以下内容：(1)内控评价工作的目标、方法、机构、人员组织、时间支配等；(2)内控评价工作所关注的重点测试领域；(3)依据公司的具体状况，支配部署有关内控评价工作。2 .确定内部限制评价工作机构各单位应依据内控评价的要求，结合企业实际状况，明确组织领导，确定内部限制评价工作组，落实相应的工作职责，具体组织开展本单位内部限制评价工作。评价机构的组成和人员数量、结构，应结合业务内容、工作量、人员水平和独立性等因素考虑。评价工作组成员至少应包括主要业务管理部门人员。注：内控评价的独立性是指内控评价时应尽量避开评价人员

7、评价本部门相关的内部限制。(二)内部限制评价实施阶段内部限制评价工作实施的主要程序如下：3 .各单位评价工作组应当依据批准的评价方案，参照本手册规定的内容和耍求，开展对本单位职责范围内的内控评价工作。各单位应召开内控评价工作会，进行宣扬、动员，对开展内控评价作出部署，提出要求。4 .各单位应依据公司所处的经营环境及面临的主要管控问题,识别和评估本单位业务和管理流程中的风险事项，从而确定本单位的主要管理问题和风险管控重点。5 .各单位应在内控评价实施过程中,选择适当的评价方法进行必要的测试,获得充分、相关、牢靠的证据对内部限制的有效性进行评价，对自身的关键限制点进行测试.6 .评价工作组人员应针

8、对流程中存在的具体风险点，评价限制措施是否设计有效、限制是否到位，是否能够合理保证限制目标的实现等进行检查评价，如存在异样，则进一步分析缘由，得出评价结果，并做出记录，确认内控缺陷和不足。股份公司总部评价工作组在评价实施阶段，将选派工作人员对所属单位进行抽查，检查评价工作的开展，确保评价质量。抽查内容主要为对各单位报送的自我检查评价工作底稿和评价报告进行真实性、合理性的抽查和复核。（三）内部限制缺陷的认定及整改阶段各单位应对评价过程中的异样缘由进行分析，找到差距，分析可能带来的后果，并进行缺陷认定。对内部限制缺陷的认定，应当由各单位评价工作组进行综合分析后提出认定看法，依据规定的权限和程序进行

9、审核后予以最终认定。认定的限制缺陷，需提出整改建议。整改建议须内容具体，切实可行。存在缺陷的部门或单位应制定整改方案。整改方案应符合有针对性、可衡量、可完成、符合现实状况以及刚好性等原则。各单位须填写附表四内部限制评价缺陷及跟踪整改汇总表，依据整改方案进行整改。（四）评价报告编制及汇总阶段在内部限制评价实施和内控缺陷梳理及整改工作完成后，各单位应依据基本规范、应用指引和评价指引的要求，编写本单位内部限制评价报告。评价报告应当依据年度内部限制评价结果，结合内部限制评价工作底稿和内部限制缺陷汇总表等资料，依据规定的程序和要求，刚好编制。经本单位董事会或单位权力机构批准后报送股份公司内部限制评价工作

10、组。总部内控评价工作组将在抽查和复核的基础上，分析、汇总股份公司总部和各单位的内部限制检查评价结果，综合推断公司整体限制的有效性，编制股份公司内部限制评价报告，提交公司管理层和董事会审议通过后对外披露。三、 内部限制评价内容及要求(一)内部限制评价内容内控评价工作主耍分为企业层面内部限制评价和流程层面内部限制评价两个方面进行，具体介绍如下：1 .企业层面内部限制评价企业层面限制是指对企业限制目标的实现具有重大影响，与内部环境、风险评估、信息与沟通、内部监督干脆相关的限制。企业层面限制是内控梳理工作的起点，是业务流程限制的基础。企业层面限制的缺陷往往会对整个内部限制的有效性产生重大影响。测试企业

11、层面限制，应当把握重要性原则，至少应当关注：(1)与内部环境有关的限制。(2)针对董事会、经理层凌驾于限制之上的风险而设计的限制。(3)企业的风险评估过程。(4)对内部信息传递和财务报告流程的限制。(5)对限制有效性的内部监督和自我评价。企业层面限制环境是整个内控活动的前提和基础，对企业内控的效率和效果起关键作用。针对限制环境关键要素进行评价，能干脆反映出各单位的企业层面限制环境建立、维护和执行状况。各单位应结合企业实际状况，将企业层面内部限制环境细分，针对具体要素，设定具体限制活动和检查方法，并完成附表一企业层面一内部限制评估底稿，评价限制的合理性和有效性。2 .流程层面内部限制评价流程层面

12、限制是指企业在实际业务操作中，综合运用各种限制手段和方法，针对具体业务和事项实施的限制。流程层面限制评价的基础是流程，从主要风险动身，依据重要性的原则，依据流程中的具体风险、管理重点和责任主体，进行限制活动的评估和内部限制的自我检查和评价。评价工作组应当依据评价指引的要求，针对所处经营环境和面临的主要风险和主耍管理问题的改变，通过适当的方法(如访谈、专题探讨)收集、确认、分析相关信息，重新评估本单位与实现限制目标相关的风险，选定重要流程，制定、改进或更新流程风险、限制活动和检查评价方法，完成附表二流程层面一风险限制矩阵及限制测试底稿。各单位应参考基本规范及应用指引的要求，结合公司风险评价结果，

13、由内控评价主责部门确定内控评价所需涉及的业务流程。现有业务流程划分如下：限制活动D资本运营流程2）选购管理流程3）财务管理流程4）公司治理流程5）综合管理流程6）平安质量环保流程7）人力资源管理流程8）管理结构流程9）法律事务管理流程10）合同管理流程11）国内业务管理流程12）国际业务管理流程13）运营监控流程14）信息管理流程15）战略管理流程（二）内部限制评价要求各单位评价工作组应依据公司内部限制评价实施方案，组织人员，兼顾全面、有重点,按时、保质开展内控评价工作。1 .评价工作重点。结合本单位实际状况，重点考虑：（1）流程和制度设计的有效性。主要检查是否涵盖了本单位经营管理中需关注的重

14、点问题及重点风险；是否明确了各项经营活动的管理耍求；风险限制措施是否存在缺陷和漏洞，能否防范经营管理中的不规范行为，有效降低和限制经营管理中的风险；是否制定了清楚、明确的业务流程，流程的起点、终点以及中间涉及的各限制点、限制标准、各个岗位间的职责分工是否明确0（2）流程和制度运行的有效性。主要检查各项经营活动是否按已制定的流程文档规范执行；是否保留了完整和牢靠的文档记录时，耍留意验证每个业务限制环节，核实实际执行状况与流程图、流程描述及风险限制文档的描述是否一样；验证业务活动所经过的流程和限制是否有完整和牢靠的文档记录，是否保留了限制实施证据。在验证业务限制流程设计和执行的一样性时，从业务发生

15、起先，抽取肯定数量的样本，通过对业务申请、审批、执行、过程记录、款项收付到财务处理全过程测评，验证业务限制流程设计和执行是否一样。2 .评价方法的选择。依据评价项目的不同，应当综合考虑选择一种或多种评价方法进行评价，获得充分、相关、牢靠的证据对内部限制的有效性进行评价，并做出书面记录。四、内部限制评价测试方法内部限制评价和测试通常采纳如下几种方法：(1)个别访谈法：依据内控评价须要，对被评价部门负责人或员工进行单独访谈，以获得有关信息。(2)标杆法：通过将被评价部门(项目)，与公司内外部相同或相像经营活动的最佳实务进行比较，从而对限制设计的有效性进行评价。(3)穿行测试法：通过抽取一套贯穿流程

16、全过程的业务记录文档，来了解整个业务流程执行的状况。(4)抽样法：针对具体的内部限制业务流程，依据业务发生频率及所管控风险的凹凸，从确定的抽样总体中抽取肯定比例的业务样本，对业务样本的符合性进行推断，进而对业务流程限制运行的有效性做出评价。(5)实地查验法：公司对财产进行盘点、清查，以及对存货出、入库等限制环节进行现场查验。(6)专题探讨法：通过召集与业务流程相关的相关人员就业务流程的特定项目或具体问题进行探讨及评估。内部限制评价测试时应重点关注公司识别出的企业层面和流程层面的风险及其应对措施，实行访谈法、穿行测试法等方法，对企业现有内部限制的设计与运行的有效性进行穿行测试评价，同时应采纳标杆

17、法、抽样法、实地检查法等手段针对公司的业务管理流程及其内部限制措施运行的有效性进行限制测试评价。(一)访谈访谈(个别访谈法)，访谈工作是指通过干脆的、单独的访问，对公司的战略、业务、流程、制度、人事等方面进行全方位的了解，通过沟通找到目前工作中的重点、难点或者障碍，明确评价工作的关注要点和关键环节。1 .访谈目的：(1)深化、准确地了解各流程的实际操作状况；(2)与管理层探讨、确定目前的执行步骤是否符合公司相关规章制度的规定，是否能够应对行业的最新改变和发展；(3)对访谈过程中了解到的风险点和限制点进行记录；(4)对目前存在的问题进行记录；(5)对存在问题或可能的风险的解决方案或思路进行初步沟

18、通。2 .制定访谈支配：内控评价工作组需制定企业层面限制相关领域和流程层面各业务流程的访谈支配。访谈支配应当建立在批阅了企业层面和业务层面相关限制文档的基础上，如内控体系文件等，以便能够在访谈之前对被评价单位的限制活动有一个较为全面的相识和理解，从而更有针对性的发问，有助于节约访谈时间。访谈支配须要依据各个相关领域和各个业务流程的特点，有针对性地支配访谈对象，合理规划访谈时间，保证访谈质量，降低重复访谈次数。在访谈支配中须要填列涉及的限制领域(企业层面限制访谈)或业务流程名称和流程负责人(业务层面限制访谈)、被访谈部门、被访谈人名称及职位、支配访谈日期刚好间、主要访谈内容以及访谈人信息。访谈之

19、前需将访谈支配发给被访谈人以便其提前打算访谈内容并支配合适的受访时间。3 .访谈内容：了解内控体系文件所描述的企业层面各领域的风险和限制状况，确认实际的风险点和限制点是否发生改变。在访谈过程中须要依据流程涉及到的业务，对风险点和限制活动进行访谈。4 .访谈形式：采纳面对面的方式进行访谈。5 .访谈记录：全部访谈内容形成书面访谈纪耍，并进行编号、留档。6 .依据访谈结果更新企业层面-内部限制评价底稿：依据访谈获得的信息，填制或更新企业层面-内部限制评价底稿，具体格式请参见附表一企业层面-内部限制评估底稿。(二)穿行测试：穿行测试主要运用穿行测试法。通过抽取一套贯穿流程全过程的业务记录文档，来了解

20、整个业务流程执行的状况，主要测试内部限制设计的有效性。穿行测试是对流程描述的检测。流程描述是对公司现有业务流程现状的记录，即每个步骤的具体工作内容、关注要点以及每个步骤运用的表单。1 .测试目的：验证限制描述或流程描述中所记录的限制内容是否正确，各环节是否依据其相关规定运行，是否存在限制设计及执行缺陷。2 .测试对象：各公司层面限制领域和业务流程各子流程的全部限制点，包括关键限制点和非关键限制点。3 .测试频率：穿行测试为每年进行一次。4 .测试执行人员：须要严格贯彻内控测试的独立性原则，即某一限制的实际操作人员须要回避相关限制的任何测试。5 .样本选取原则：(1)样本必需能够代表该领域或该子

21、流程的典型业务及操作流程(2)样本须要尽可能覆盖该领域或该子流程的全部限制点；(3)对于那些的确无法被覆盖的限制点，可以单独选取额外样本进行测试；(4)必需随机选取，采纳统计抽样的方法。6 .样本数量：依据在风险识别和限制识别工作过程中划分出的各个业务子流程，并对每个子流程中的限制点选取一个样本进行测试。7 .记录样本：(1)对于穿行测试过程中取得全部样本资料，均须要进行复印、编号，并单独存档保管；(2)记录测试结果(异样/无异样/不适用)；(3)对于出现异样的限制点，须要具体描述样本的异样特征，并标注相应留档纸质文档编号。(三)限制测试限制测试须要综合运用抽样法、标杆法和实地查验法。针对具体

22、的内部限制业务流程,依据业务发生频率及所管控风险的凹凸，从确定的抽样总体中抽取肯定比例的业务样本，参照限制的标准程序或最佳实践，对业务样本进行实地查验，并对其符合性进行推断，进而对业务流程限制运行的有效性做出评价的测试。限制测试的主要评价对象是限制点，尤其是符合性测试中证明为有效的关键限制点。限制点是指管理层在日常运营过程中为达到有效抑制来自内部和外部的不同风险，保证整个经营活动结果运行的正确性，而设置的环节。例如对经营活动中产生的各类数字进行复核，或对各类经济活动进行事前审批和事后检查等。关键限制点是指管理层所依靠的，在合理的范围内支持管理层防范和发觉重大风险的限制点。关键限制点的失败不仅影

23、响管理层实现流程目标的实力，还影响财务报表限制目标。每一条风险至少需有一个关键限制点与其对应。若某风险没有关键限制点与其相对应，则此处干脆确认为限制设计缺陷，进入缺陷记录及评价步骤。1 .测试目的：确认各子流程中关键限制点是否执行有效。2 .测试对象：各子流程中的关键限制点。3 .测试频率：全面限制测试建议每年至少进行一次；对于一些风险较大的子流程，可自行考虑是否增加测试频率。4 .测试执行人员：须要严格贯彻内控测试的独立性原则，即某一子流程的实际操作人员须要回避该子流程的任何测试。5 .测试方法：共有四种测试方法可供选择：- 询问(可选)：(1)首先询问限制执行人是否了解其限制目的及执行方法

24、；(2)其次询问是否在日常工作中实际实施限制，且具体如何操作；(3)重点关注操作有哪些证据及相关文档如何保管等。- 视察(可选)：(1)视察员工执行限制步骤；(2)可能须要其他跟进测试；(3)文档记录要求：谁，什么时候，视察的结果。- 批阅、检查限制执行证据(必选)：(1)获得限制执行相关证据(例如经签批的文件等)；(2)批阅文档记录或报告，查看是否留有限制执行的痕迹(例如签字、邮件、通话记录等)；(3)评价限制执行是否有效、符合规定(例如审批是否经过适当的人，在适当的时间执行等)；(4)记录所获得的证据，并对测试过程、测试结果及结论进行书面记录。测试执行人重新执行限制操作以验证是否限制执行有

25、效(可选)：例如：测试执行人重新计算当月住房公积金，以验证所计提及上交的住房公积金是否正确。6 .制定限制测试支配：由于业务层面的限制测试存在样本选取数量较为困难、须要消耗较多人力和时间，因此在正式进行限制测试之前，应拟定限制测试支配，以便更好地实施测试工作，明确责任人，严格限制测试成本。7 .样本选取原则：(1)针对每个关键限制点独立选取样本，样本只需覆盖被测试限制点即可，不须要覆盖流程中的其他限制活动；(2)必需随机选取，采纳统计抽样的方法；(3)避开选取穿行测试中已经测试的样本；若穿行测试中测试的为唯一样本，则限制测试结果可以干脆依据穿行测试结果确认。8 .样本数量与测试结论：(1)针对

26、每年发生一次的业务，干脆选取该笔业务；若该笔业务出现异样，则该限制点测试结论为限制失效；(2)针对发生频率介于每年一次至每季度一次的业务，随机抽取当年发生的不少于2个样本；若任何一个样本出现异样，则该限制点测试结论为限制失效；(3)针对发生频率介于每季度一次至每月一次的业务，在全年随机选取不少于4个样本；若任何一个样本出现异样，则该限制点测试结论为限制失效；(4)针对发生频率介于每月一次至每周一次的业务，在全年随机抽取不少于12个样本；若任何一个样本出现异样，则该限制点测试结论为限制失效；(5)针对发生频率介于每周一次至每天一次的业务，在全年随机抽取不少于20个样本；若2个或以上样本存在异样，

27、则测试结论为限制失效；若其中一个样本出现异样，需增加不少于3个样本进行补充测试，补充样本的任何一个出现异样，则测试结论为限制失效；(6)针对每天多次发生的业务(常规业务)，在全年随机抽取不少于30个样本；若2个或以上样本存在异样，则测试结论为限制失效；若1个样本出现异样，需增加不少于15个样本进行补充测试，补充样本的任何一个出现异样，则测试结论为限制失效；其余状况均视为限制被有效执行。样本数量和测试结论的确定可参见下表:发生频率初始样本数量(不少于)异样样本数量补充样本数量新异样样本数量测试结论每年一次10一限制有效1一限制失效每年一次以上至每季度一次20一限制有效1限制失效每季度一次以上至每

28、月一次40限制有效1限制失效每月一次以上至每周一次120限制有效1一一限制失效每周一次以上至每天一次200限制有效130限制有效1限制失效2限制失效每天多次300一一限制有效1150限制有效1限制失效2限制失效9 .记录样本：(1)对于限制测试过程中取得的无异样样本，不须要复印留底;(2)对于存在异样内容的样本，均须要进行复印、编号，并单独存档保管；(3)采纳附表三流程层面一内部限制评价工作底稿模板进行样本记录；(4)依据附表三，描写全部进行测试的限制行动步骤；(5)依据附表三，描述取样方法及取样数量(例如随机选取)；(6)对于个别限制步骤采纳的替代样本，须要描述替代样本、替代样本的选取方法,

29、以及采纳替代样本的缘由(原有样本为何不适用)；(7)依据附表三列示内容，填写每个样本全部特征(包括异样部分)，并标注相应留档纸质文档编号；(8)须耍在底稿中简要描述造成样本异样的缘由(如“XX办事处2011年XX周的办事处周报中没有包含排产合同转正的状况及各项目回款的状况等)，并标注相应留档纸质文档编号；注：在每张底稿上都应标注测试结论(限制有效或限制失效)。五、内部限制缺陷的认定及整改内控缺陷是指某个限制的设计或运行使管理层或公司员工在日常工作中不能刚好预防或者查找错误，从而导致对业务的限制失效或部分失效的行为。(一)内部限制缺陷的分类及认定1 .缺陷的分类(1)内控缺陷依据缺陷类型分可以分

30、为设计缺陷和执行缺陷。设计缺陷：是指公司在设计内控系统时，可能存在设计漏洞，使某些风险的防范措施缺失或并不完整，必耍的限制或者限制的必耍成分缺失，导致这个限制不能满意限制目标从而导致公司发生损失的可能性增加。设计缺陷既可以是自动系统的设计缺陷，也可以是手工限制的设计缺陷。设计缺陷强调的是必要的限制或者限制的必要成分缺失，或者某个现有的限制不合理，导致这个限制不能满意限制目标。这样的缺陷称为限制设计缺陷。例如，缺少绩效考核机制、缺少合理的事前审批机制等。限制设计缺陷多在穿行测试中发觉。执行缺陷：是指限制设计完好，但没有被正确地执行的限制，该部分限制已经包含在现有内控体系中，但却因为各种缘由在实际

31、操作中未能被执行或未能被完整执行的限制。执行缺陷强调的是一个完好设计的限制没有如设计那样被实际运行。例如，公司具有明确的事前审批规定，但在实际操作中，并未依据要求执行相关审批等。限制执行缺陷多在限制测试中发觉。(2)内控缺陷依据其影响整体限制目标实现的严峻程度，可分为一般缺陷、重要缺陷和重大缺陷。一般缺陷，是指内控设计或者运行无法使管理层或员工在执行指定任务的正常过程中，刚好防止或发觉错报，也称为一般内部限制缺陷。重大缺陷，是指一个或多个一般缺陷的组合，可能严峻影响内部整体限制的有效性，进而导致企业无法刚好防范或发觉严峻偏离整体限制目标的情形；例如：对于会计政策的选择；反舞弊的程序和限制；重大

32、交易相关的限制；财务报告关账相关的限制等。重要缺陷，是指一个或多个一般缺陷的组合，其严峻程度低于重大缺陷，但导致企业无法刚好防范或发觉偏离整体限制目标的严峻程度依旧重大。例如：高管舞弊，本期财务报告的重大错报未被现有内控刚好发觉和更正，审计委员会监督无力等。(3)内控缺陷依据其对财务报告的影响分为财报相关缺陷和非财报相关缺陷。财报相关缺陷，是指内部限制缺陷造成的财务报告的潜在错报金额能够牢靠地估算。如：对收入的确认，对费用的审核，对合同条款的审议的相关限制缺陷等。非财报相关缺陷，是指流程操作步骤/限制环节的设计/不执行或执行偏差，但不构成财务报表出现潜在的错报。如绩效考核机制，会议机制的相关限

33、制缺陷等。2 .内部限制缺陷的认定各单位应依据国资委、财政部、证监会、上海证券交易所等监管机构对企业层面限制的要求，结合访谈及测试步骤得到的结果进行考虑，识别公司现有的限制在设计和执行上是否存在缺陷。在穿行测试或抽样测试过程中如发觉存在限制缺陷或者限制环节缺失时，各单位应确认发觉的问题并予以记录。存在下列状况之一，应当认定内部限制存在缺陷：未实现规定的限制目标；未执行规定的限制活动；突破规定的权限；不能刚好供应限制运行有效的相关证据等。各单位应以内控体系文件中记录的企业层面和流程层面的风险点和限制点为基础，在访谈中需对限制设计的有效性赐予特殊关注，对于各领域内部重耍环节可能存在的各类缺陷予以探

34、讨和记录；在测试时须要重点关注是否依据既定的限制要求进行操作；在记录缺陷时，采纳统一的模板(参见附表四内部限制评价缺陷及跟踪整改汇总表)，作为本步骤的记录文档。内部限制评价工作组应当依据现场测试获得的证据，进行认定：(1)财务报告缺陷认定：当内部限制缺陷造成的财务报告的潜在错报金额能够牢靠的估算时，一般缺陷、重要缺陷和重大缺陷可以依据内部限制缺陷对当期财务报表的影响来判定。一般缺陷：由于内部限制缺陷导致影响财务报告真实性程度很小。重要缺陷：由于内部限制缺陷导致影响财务报告真实性较大。重大缺陷：由于内部限制缺陷导致严峻影响财务报告真实性，造成被监管机构的惩罚。(2)非财务报告缺陷的认定：非财务报

35、告内部限制缺陷认定应关注缺陷对业务流程有效性的影响程度、发生的可能性、效率和效果方面所受到的负面影响程度来判定。缺陷认定等级发生的可能性负面影响程度一般缺陷中等降低工作效率或效果、或加大效果的不确定性、或使之偏离预期目标重要缺陷较高显著降低工作效率或效果、或显著加大效果的不确定性、或使之显著偏离预期目标重大缺陷高严峻降低工作效率或效果、或严峻加大效果的不确定性、或使之严峻偏离预期目标内部限制缺陷的认定实行逐级审批确认。一般缺陷在评价工作过程中确认；重要缺陷和重大缺陷由内部限制评价工作组探讨并提出看法，其中重耍缺陷报内控领导小组探讨确认，重大缺陷提交董事会审议确认。（二）内部限制缺陷的汇总各单位

36、通过访谈、穿行测试、及限制测试等评价方法，分析出企业层面和流程层面限制存在的缺陷后，应分类填写收集到的全部异样状况，进行汇总并形成发觉问题汇总表。对已发觉的缺陷建议在附表五内部限制缺陷统计表中进行记录及标注，将相关缺陷点及其支持性文件进行统一标号，由评价主责部门归档保存。各单位汇总内控执行缺陷的同时应给出整改建议，制定具体的整改支配，保证公司的内部限制体系的持续有效运行。（三）内部限制缺陷的整改在评价过程中发觉内部限制缺陷后，应进行缺陷缘由分析，分析该缺陷存在的主耍缘由，例如：限制活动缺失、限制活动本身缺乏执行性、人为执行不利、审批不当等；并针对所发觉的问题、流程管控缺陷，提出整改建议。整改建

37、议须内容具体，切实可行。存在缺陷的部门或单位应制定整改方案，明确整改负责部门/人以及整改的支配完成时间。整改方案应符合有针对性、可衡量、可完成、符合现实状况以及刚好性等原则。1 .制定缺陷整改支配:评价工作组应要求并监督各限制缺陷的整改负责人依据已识别的缺陷的性质，结合公司的实际状况制定相应的缺陷整改支配。整改支配中须要包括以下内容：整改负责部门/个人、整改步骤、整改时辰表等。制定的整改支配须要得到管理层的认可后方可实施。2 .选择整改方式：对于已经确认须要整改的内控设计缺陷，需在已有的内控管理制度体系中补充相关规定或修改原有规定，依据公司既定的管理制度报批程序对做出的补充或修改进行审批；对于

38、已经确认须要整改的内控执行缺陷，需加强内控的执行力度，要求限制执行人严格依据相关规定执行。3,进行整改：各单位在选择好整改方式后由各缺陷对应的限制或流程的责任部门负责，依据预定的整改支配进行整改。监督部门应实时监督缺陷整改的进度，并协调解决整改过程中出现的问题，监控的方式主要为定期批阅各整改负责人上报的整改支配及整改进度汇报。4 .整改进度的定期报告：在缺陷整改的过程中，主责部门应定期就缺陷整改进度向管理层进行报告，报告的频率须要视具体要求而定。在汇报时对整改所实行的措施进行简洁描述并依据整改步骤的完成状况对整改进度依据百分比的方式进行体现，同时将须耍管理层关注的整改过程中出现的问题（如困难、

39、须要协调其他部门的事项等）进行列示说明。(四)整改结果的验证整改结果验证步骤如下：1 .选定测试对象：评价工作组通过附表五内部限制缺陷统计表汇总的全部限制设计及限制执行缺陷的整改状况对整改结果进行再测试。2 .选取测试样本：评价工作组通过以下原则选取再测试的样本：(1)针对每个失效限制点独立选取样本，样本只需覆盖被测试限制点即可，不须要覆盖该领域中的其他限制；(2)必需随机选取，采纳统计抽样的方法；(3)样本选取区间为整改完成后至再测试时。3 .总结测试结果：评价工作组汇总全部再测试过程发觉依旧存在的缺陷。对于限制制度设计上存在缺陷整改的再测试，须要复核该整改是否符合限制制度修改的相关流程(是

40、否得到了合理的批阅及批准等)；整改后的制度是否能够满意限制的须要，以及测试整改后的限制实施是否存在问题；对于限制执行缺陷整改的再测试，须耍获得适量样本并检查是否依据政策流程的要求执行。4 .制定下一步跟进支配：对于整改未完成的部分，相应限制缺陷的整改负责人须耍制定具体的下一步跟进支配，上报公司管理层及评价主责部门批阅、备案。六、内部限制评价报告各单位应按要求撰写内部限制评价报告，内控评价报告应当以12月31日作为年度内部限制评价报告的基准日，内部限制评价报告应当针对内部环境、风险评估、限制活动、信息与沟通、内部监督等耍素，对内部限制评价过程、内部限制缺陷认定及整改状况、内部限制有效性等相关内容

41、作出披露。股份公司将依据各单位的内控评价报告，分析、汇总编制股份公司总体内控评价报告，经公司总裁办公会、董事会审议后对外披露或报送。报告内容应包括：1 .董事会对内部限制报告真实性的声明:声明董事会及全体董事对报告内容的真实性担当个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。2 .内部限制评价工作的总体状况：内部限制定量和定性评价的总体综合状况。3 .内部限制评价的标准和依据：表述内部限制评价依据的的法律法规、政策指引及企业内部制度等。4 .内部限制评价的范围和内容：指评价工作的具体范围，包括内部限制系统企业层面与流程层面的评价。5 .内部限制评价的程序和方法：指企业在

42、评价过程中的工作程序和方法。6 .内部限制缺陷及其认定状况：企业管理层对缺陷的认定状况。包括：重大缺陷、重要缺陷和一般缺陷的认定状况，设计缺陷和执行缺陷的划分，财报缺陷和非财报缺陷的认定。7 .内部限制缺陷的整改状况及重大缺陷拟实行的的整改措施及建议:限制缺陷的风险级别，拟实行的的整改措施及建议，整改措施及建议须内容具体，切实可行。8 .内部限制有效性的结论：对本次内控评价有效性的最终结论。同时，内部限制评价工作组应当关注自内部限制评价报告基准日（12月31日）至内部限制评价报告发出日之间是否发生影响内部限制有效性的因素，并将其上报股份公司，股份公司将依据其性质和影响程度对评价结论进行相应调整

43、。七、附表附表一：企业层面-内部限制评估底稿附表二：流程层面-风险限制矩阵及限制测试底稿附表三：流程层面-内部限制评价工作底稿附表四：内部限制评价缺陷及跟踪整改汇总表附表五：内部限制评价缺陷统计表附表一：企业层面-内部限制评估底稿公司名称：XXX年度：20XX年评价人员：XXX涉及领域及涌试步骤实际限制状况限制胡域子胡域访谈内容及涌试步骤风险点描述实际限制点描述负责部门企业层面限制证据发货问JK（例）A.1_组织架构和权责安排（例）董事会（例）1、获得董事会章程，了解董事会议事规则，董事会职责等2、获得某次董事会会议的文档记录（事先拟定的议题、事先对全部董事的通知及向其供应的资料、签字确认的会

44、议记录），检查是否与议事规则要求相一样；3、查阅董事会章程中对董事长授权的内容是否恰当；4、检查是否在董事会章程中明确量事会对内控体系的职责，职责是否完备。（例）公司没有明确董事会任职条件、职责权限、议事规则和工作程序，或治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。附表二：流程层面-风险限制矩阵及限制测试底稿公司名称：XXX年度：20XX年评价人员：XXX一级流程编号（例）FM一级流程名称（例）财务管理二级流程编号（例）FM.01二级流程名称（例）资金管理三皴流程编号（例）Fi.01.02三级流程名称（例）银行余额调整表的编制及审批流程目标编号

45、限制目标风险号风险描述限制号限制活动简描述该限制涉及的部门及负责人是否为关健限制限制率穿行涌试底稿限制设计是否发觉异祥关健限制说试底稿限制执行是否发觉异祥窝试结论发觉问题描述管理层回应（例）TOl（例）确保公司应收账款能够刚好收回。（例）R（）1（例）公司的银行收付款交易记入了不恰当的会计期间。（例）C01（例）每月由出纳依据银行对账单和企业账面数编制银行余额调整表，由资金主管对全部账户进行逐笔核对，并对调整表进行审核。审核无误后，在银行余额调整表上签字确认。（例）财务管理部经理（例）是（例）每月发生（例）FM_01_02_WTl银行余额调整表（例）异样（例）FM_01_02_TOC-1（例）异样（例）限制无效（例）编制完毕后会计没有在银行余额调整表上签字确认。也没有经过相关的财务经理审核和签字。（例）认可，打算整改附表三：流程层面-内部限制评价工作底稿公司名称：XXX 年度：20XX年 一级流程编号 二级流程编号 三皴流程编号（例）FM（例）FM. 01（例）FM. 01.02具体限制涌试文档编码一级流程名称二级流程名称三皴流程名称（例）FM_01_02_T0C-l（例）财务管理（例）资金管理（例）银行余额调整赛的编制及审批流程评价人员 批阅人 完成日期抽样标准1、抽样方法（例）取得测试期间全部月份的银行余额调整表及其附件（银行对账单）。2、样品数量描