首页 > 范文大全 > 工作计划 > 内部控制评价和监督制度_内部控制考核评价方案三篇

内部控制评价和监督制度_内部控制考核评价方案三篇

发布时间：2020-06-22 来源：工作计划

小中大

字号：

手机查看

【www.jxscct.com--工作计划】

　　所谓内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。查查通作文网为大家整理的相关的内部控制评价和监督制度_内部控制考核评价方案供大家参考选择。

　　内部控制评价和监督制度_内部控制考核评价方案篇一

　　第一章总则

　　第一条为规范和加强对内部控制的评价，督促进一步建立内部控制体系，健全内部控制机制，为全面风险管理体系的建立奠定基础，保证公司稳健运行，根据《企业内部控制基本规范》，制定本办法。

　　第二条内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。

　　内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。

　　第三条内部控制体系是为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。

　　第四条内部控制评价人员应接受有关内部控制评价知识和技能的培训，具备相应的资质和能力。

　　第二章评价目标和原则

　　第五条内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行：

　　(一)过程和风险是否已被充分识别。

　　(二)过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。

　　(三)控制措施是否有效。

　　(四)控制措施是否适宜。

　　第六条内部控制评价应遵循以下原则：

　　(一)全面性原则。评价范围应覆盖内部控制活动的全过程及所有的系统、部门和岗位。

　　(二)统一性原则。评价的准则、范围、程序和方法等应保持一致，以确保评价过程的准确及评价结果的客观和可比。

　　(三)独立性原则。评价应由公司专职人员独立进行。

　　(四)公正性原则。评价应以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。

　　(五)重要性原则。评价应依据风险和控制的重要性确定重点，关注重点区域和重点业务。

　　(六)及时性原则。评价应按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，应及时重新评价。

　　第三章评价内容

　　第一节内部控制环境

　　第六条公司治理。

　　公司应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构，保证各机构规范运作，分权制衡。

　　(一)完善股东大会、董事会、监事会及下设的议事和决策机构，建立议事规则和决策程序。

　　(二)明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中

　　的责任。

　　(三)建立独立董事制度，对董事会讨论事项发表客观、公正的意见。

　　(四)建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。

　　第七条董事会、监事会和高级管理层责任。

　　董事会负责保证公司建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保公司在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。

　　监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害公司利益的行为并监督执行。

　　高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。

　　董事会和高级管理层还应培育良好的内部控制文化，提高员工的风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。

　　第八条内部控制政策。

　　公司应在各项业务和管理活动中制定明确的内部控制政策，规定内部控制的原则和基本要求，并为制定和评审内部控制目标提供指导。内部控制政策应：

　　(一)与公司的经营宗旨和发展战略相一致;

　　(二)体现持续改进内部控制的要求;

　　(三)符合现行法律法规和监管要求;

　　(四)体现出侧重控制的风险类型;

　　(五)体现出对不同地区、行业、产品的风险控制要求;

　　(六)传达给适用岗位的员工，指导员工实施风险控制措施;

　　(七)可为风险相关方所获取，并寻求互利合作;

　　(八)定期进行评审，确保其持续的适宜性和有效性。

　　第十三条内部控制目标。

　　公司应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策，并体现对持续改进的要求。

　　在建立和评审内部控制目标时，应考虑法律法规、监管要求和其他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监管部门的内部控制指标要求。内部控制目标应可测量。有条件时，目标应用指标予以量化。

　　第十四条组织结构。

　　公司应建立分工合理、职责明确、报告关系清晰的组织结构，明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并形成文件予以传达。特别应考虑：

　　(一)建立相应的授权体系，实行统一法人管理和法人授权。

　　(二)必要的职责分离，以及横向与纵向相互监督制约关系。

　　(三)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。

　　(四)明确关键岗位、特殊岗位、不相容岗位及其控制要求。

　　(五)建立关键岗位定期或不定期的人员轮换和强制休假制度。

　　公司应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门，明确其责任、权限和报告路线。

　　公司应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员;应有权获得公司的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总部内部审计负责人的聘任和解聘应当经董事会或监事会同意。

　　第十五条企业文化。

　　公司应培育健康的企业文化，对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职业道德水准，规范员工职业行为。

　　第十六条人力资源。

　　公司应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。

　　公司应明确与风险和内部控制有关人员的适任条件，明确有关教育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。

　　高级管理人员必须满足监管机构对高级管理人员资质的要求。

　　公司应制定并保持培训计划，以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审，并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中的风险。

　　第二节风险识别与评估

　　第十七条经营管理活动风险识别与评估。

　　建立和保持书面程序，以持续对各类风险进行有效的识别与评估。

　　应识别并确定常规和非常规的业务和管理活动，并识别这些活动中的风险(无论是否由内部产生)，考虑其类型、来源及其影响范围，特别应考虑计算机系统的运用可能带来的风险。

　　应依据法律法规、监管要求以及内部控制政策确定风险是否可接受，以确定是否进一步采取措施。风险可接受时，应监测并定期评审，以确保其持续可接受;风险不可接受时，应制定控制措施。

　　对各类风险进行识别与评估时应充分考虑内部和外部因素。其中，内部因素包括组织结构的复杂程度、业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。

　　当环境和条件发生变化时，应及时对风险进行再识别和再评估，以确保任何新的和以前未曾予以控制的风险得到识别和控制。

　　风险识别与评估应：

　　(一)依据业务范围、性质和时限主动进行。

　　(二)评估风险的后果、概率和风险级别。

　　(三)必要时开发并运用风险量化评估的方法和模型。

　　第十八条法律法规、监管要求和其他要求的识别。

　　应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序，作为风险识别与评估、制订控制目标和控制方案的依据。

　　应及时更新法律法规、监管要求和其他要求的信息，并将这些信息传达给相关员工和其他风险相关方。

　　第十九条内部控制方案。

　　制定内部控制方案，以控制已识别的不可接受风险。内部控制措施方案应包括以下内容：

　　(一)为实现对风险的控制而规定的相关职责与权限。

　　(二)控制的策略、方法、资源需求和时限要求。

　　若涉及到组织结构、流程、计算机系统等方面的重大变更，应考虑可能产生的新风险。

　　第三节内部控制措施

　　第二十条运行控制。

　　应确定需要采取控制措施的业务和管理活动，依据所策划的控制措施或已有的控制程序对这些活动加以控制。

　　控制措施包括：

　　1.高层检查。董事会与高级管理层应要求下级部门及时报告经营管理情况和特别情况，以检查内部控制的实施状况以及在实现内部控制目标方面的进展。高级管理层应根据检查情况提出内部控制缺失情况，督促职能管理部门改进。

　　2.行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整改措施。

　　3.实物控制。主要的控制措施包括实物限制、双重保管和定期盘存等。

　　4.风险暴露限制的审查。审查遵循风险暴露限制方面的合规性，违规时继续跟踪检查。

　　5.审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权，明确各级的管理责任。

　　6.验证与核实。验证各项业务、管理活动以及所采用的风险管理模型结果，并定期核实相关情况，及时发现需要修正的问题，并向职能管理部门报告。

　　7.不兼容岗位的适当分离。实行适当的职责分工，认定潜在的利益冲突并使之最小化。

　　第二十一条计算机系统环境下的控制。

　　应考虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、系统运行和系统环境的安全。

　　第四节监督评价与纠正

　　第二十三条内部控制绩效监测。

　　应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效进行持续监测。监测内容包括：

　　(一)内部控制目标实现程度。

　　(二)法律、法规及监管要求的遵循程度。

　　(三)事故、险情和其他不良的内部控制绩效的历史情况。

　　第二十四条违规、险情、事故处置和纠正及预防措施。

　　应建立并保持书面程序，对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定，包括：

　　(一)发现违规、险情、事故并及时报告，必要时，可越级报告。

　　(二)及时处置违规、险情、事故。

　　(三)制定纠正与预防措施，防止违规、险情、事故的发生和再发生，并与问题的大

　　小和风险危害程度相一致。

　　(四)纠正与预防措施在实施之前应进行风险评估。

　　(五)实施并跟踪、验证纠正与预防措施。

　　(六)险情和事故的责任追究。

　　第二十五条内部控制体系评价。

　　应建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。

　　评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等，覆盖体系范围内的所有活动。

　　可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因，并验证所采取措施的效果。

　　评价应由与评价的活动无直接责任的人员进行，评价人员应具备相应的知识，能够胜任评价工作。

　　第二十六条管理评审。

　　董事会应采取措施保证定期对内部控制状况进行评审，确保体系得到持续、有效的改进。

　　(一)管理评审应包括以下方面的内容：

　　1.内部控制体系评价的结果。

　　2.内部控制政策执行情况和内部控制目标实现情况。

　　3.对内部控制体系有重要影响的外部信息，如法律、法规的重大变化。

　　4.组织结构的重大调整。

　　5.事故和险情以及重大纠正和预防措施的状况。

　　6.以往管理评审的跟踪情况。

　　7.内部控制体系改进的建议。

　　(二)管理评审应就以下方面提出改进措施并落实：

　　1.内部控制体系及其过程的改进。

　　2.内部控制政策、目标的变更。

　　3.与内部控制有关资源的需求。

　　第二十七条持续改进。

　　商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等，持续提高内部控制体系有效性。

　　第五节信息交流与反馈

　　第二十八条交流与沟通。

　　应建立并保持信息交流与沟通的程序，明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反愧披露的渠道和方式。

　　应识别其内部和外部的风险相关方，考虑他们的要求和目标，建立与这些相关方进行信息交流的机制，确保：

　　(一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。

　　(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。

　　(三)险情、事故发生时，相关信息能得到及时报告和有效沟通。

　　(四)及时、真实、完整地向监管机构和外界报告、披露相关信息。

　　(五)国内外经济、行业动态信息的取得和处理，并及时把与企业既定经营目标有关的信息提供给各级管理层。

　　信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。

　　为保持信息交流沟通的可追溯性，必要时，应保持相关信息交流与沟通的记录。第二十九条内部控制体系对文件的要求。

　　建立和保持文件化体系是实现信息交流与反馈的重要途径。公司应建立并保持必要的内部控制体系文件，包括：

　　(一)对内部控制体系要素及其相互作用的描述。

　　(二)内部控制政策和目标。

　　(三)关键岗位及其职责与权限。

　　(四)不可接受的风险及其预防和控制措施。

　　(五)控制程序、作业指导、方案和其他内部文件。

　　第三十条文件控制。

　　应建立并保持书面程序，以确保内部控制体系所要求的文件满足下列要求：

　　(一)易于查询。

　　(二)实施前得到授权人的批准。

　　(三)定期评审，必要时予以修订并由授权人员确认其适宜性。

　　(四)所有相关岗位都能得到有效版本。

　　(五)失效时，及时从所有发放处和使用处收回，或采取其他措施防止误用。

　　(六)及时识别、处置外来文件并进行标识，必要时转化为内部文件。

　　(七)留存的档案性文件和资料应予以适当标识。

　　第三十一条记录控制。

　　应建立并保持书面程序，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。

　　记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。

　　第四章评价程序和方法

　　第三十二条内部控制评价程序一般包括评价准备、评价实施、评价报告形成和反馈等步骤。

　　第三十三条评价准备。

　　组成评价组。评价组应考虑组成人员的背景和能力。必要时，可聘请业务或管理方面的专家。

　　制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。

　　准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。

　　在现场评价前应先与被评价机构建立初步联系，以便确认有关评价事项和安排。第三十四条评价实施。

　　评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排，通过适当的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以记录。

　　评价实施的具体方法见第三十九条至四十三条。

　　第三十五条评价报告形成。

　　评价组根据评价实施情况，撰写评价报告，应重点分析以下方面：

　　(一)被评价机构内部控制体系现状、存在问题及趋势分析。

　　(二)同类企业比较(如适用)。

　　(三)可能的谅解因素。

　　第三十六条评价反溃

　　对被评价机构内部控制体系进行综合评价后，应与被评价机构管理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。

　　第三十八条内部控制评价方法是为实现评价目的，对被评价机构内部控制体系进行分析和评价而采取的技术和手段的总称。

　　第三十九条内部控制评价实施包括：

　　了解内部控制体系。应了解被评价机构内部控制体系的基本情况，确认评价范围，确定被评价机构的内部控制体系的健全程度，然后决定实施测试所采取的方法。

　　实施测试和分析。实施测试和分析是在了解内部控制体系的基础上，评价内部控制体系的运行与绩效。具体可以采取符合性测试和指标分析等，其中，对内部控制过程评价主要采取符合性测试法;对内部控制结果评价，主要采取指标分析法。

　　第四十条了解内部控制体系。

　　了解被评价机构内部控制体系主要通过询问、查阅、观察、流程图等方法进行，以初步评价被评价机构内部控制体系的充分性和合规性。

　　第四十一条符合性测试。

　　符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性，即相关规定在实际中是否被一贯执行，控制措施能否达到控制目的，控制措施是否恰当。符合性测试分为两种形式：

　　(一)业务测试，即对重要业务或典型业务进行测试，按照规定的业务处理程序进行检查，确认有关控制点是否符合规定并得到认真执行，以判断内部控制的遵循情况。

　　(二)功能测试，即对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。

　　符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。第四十二条测试抽样。

　　抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上，结合被评价项目的风险和重要性进行调整。

　　第四十三条指标分析。

　　应收集被评价机构内部控制结果指标的相关信息，进行核实、对比分析和趋势分析，从而对内控目标实现情况做出评价。

　　第五章评分标准和评价等级

　　第四十四条内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值，并根据评价得分确定被评价机构的内部控制等级。

　　第四十五条内部控制过程评价的标准分为500分，其中：内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。上述五部分评价得分加总除以5，得到过程评价的实际得分。(需根据情况修改)

　　第四十六条在对内部控制过程评价时，应按照第三章评价内容的要求，结合本办法

　　第八条的四个方面展开，转换为具体评价问题，并根据测试情况对被评价项目进行评分。第四十七条初次实施内部控制评价时，须对所有业务活动、管理活动和支持保障活动进行评价。

　　第四十八条内部控制过程评价的具体评分标准如下：

　　(一)被评价对象的过程和风险已被充分识别的，可得该项分值的百分之二十。

　　(二)在满足前项的基础上，被评价项目的过程和对风险的控制措施被规定并遵循要求的，可得该项分值的百分之三十。

　　(三)在满足前两项的基础上，被评价项目的规定得到实施和保持，可再得该项分值的百分之三十。

　　(四)在满足前三项的基础上，被评价项目在实现风险控制的结果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。

　　第四十九条在测试过程中遇有业务缺项或问题"不适用"时，应将涉及到的分值在评价项目总分中扣减。为了保持可比性，在得出其余适用项的总分后，还应将该评价项目的总得分进行调整。

　　调整后评价项目总得分=所有适用项目得分/(评价项目总分-不适用项目总分)×100%单项分值小计和总分分值有小数时四舍五入。

　　第五十条若涉及到需要采取抽样测试确定评价结论的，应根据以下情况确定：

　　(一)如果在抽样范围内未发现违规，该项评价得满分;在抽样范围内，发现两项以上违规(含两项)，该项评价不得分;仅发现一项违规的，应扩大一倍抽样，在扩大抽样范围内未发现新的违规的，可得该评价项目分值的50%，在扩大抽样范围内又发现新的违规的，该评价项目不得分。

　　(二)发现险情或事故的，直接扣除该评价项目的分值。

　　第五十一条内部控制的结果评价。结果评价主要评价内部控制目标的实现情况，对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括XXXX项指标：XXX、XXX等，。内控结果评价指标的标准分值为500分，转化为百分制后得出实际得分。(需根据情况修改)

　　第五十二条根据过程评价和结果评价综合确定内部控制体系的总分。其中，过程评价的权重为70%，结果评价的权重为30%，两项得分加总得出综合评价总分。

　　第五十三条根据综合评价总分确定被评价机构的内部控制体系评价等级，应按评分标准对被评价机构内部控制项目逐项计算得分，确定评价等级。定级标准为：

　　一级：综合评分90分以上(含90分)。指被评价机构有健全的内部控制体系，在各个环节均能有效执行内部控制措施，能对所有风险进行有效识别和控制，无任何风险控制盲点，控制措施适宜，经营效果显著。

　　二级：综合评分80-89分。指被评价机构内部控制体系比较健全，在各个环节能够较好执行内部控制措施，能对主要风险进行识别和控制，控制措施基本适宜，经营效果较好

　　三级：综合评分70-79分。指被评价机构内部控制体系一般，虽建立了大部分内部控制，但缺乏系统性和连续性，在内部控制措施执行方面缺乏一贯的合规性，存在少量重大风险，经营效果一般。

　　四级：综合评分60-69分。被评价机构内部控制体系较差，内部控制体系不健全或重要的内部控制措施没有贯彻执行或无效，管理方面存在重大问题，业务经营安全性差。五级：综合评分60分以下(不含60分)。被评价机构内部控制体系很差，内部控制体系存在严重缺失或内部控制措施明显无效，存在明显的管理漏洞，经营业务失控，存在重大金融风险隐患。

　　上述等级也适用于单项评级，单项评级结果主要用于对比分析。

　　第五十四条若被评价机构在评价期内发生重大责任事故，应在上述评级的基础上下调一级。

　　重大责任事故包括：(需根据情况修改)

　　第五十五条内部控制体系连续在三个评价期内得不到改善的机构，其内部控制评价等级应适当下调。

　　内部控制评价和监督制度_内部控制考核评价方案篇二

　　第一章总则

　　第一条为建立公司内部控制体系，加强风险管理，保障公司资产安全及业务安全稳健运行，根据公司《内部控制办法》，参照中国银行业监督管理委员会《商业银行内部控制指引》和《商业银行内部控制评价试行办法》，制定本办法。

　　第二条内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、评估、测试和分析的系统性活动。

　　第三条内部控制体系是公司为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。

　　第四条内部控制评价包括过程评价与结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等要素的评价。结果评价是对内部控制主要目标实现程度的评价。

　　第二章内部控制评价目标和原则

　　第五条内部控制评价的目标是通过自我评价内部控制体系的充分性、合规性、有效性和适宜性，促使本公司切实加强内部控制体系的建设并认真执行。具体评价目标如下：

　　1.促进本公司提高风险管理水平，保证公司发展战略和经营目1

　　标的实现。

　　2.促进公司增强业务、财务和管理信息的真实性、完整性和及时性。

　　3.促进公司各级管理者和员工强化内部控制意识、严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。

　　4.促进本公司在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。

　　第六条为实现上述内部控制评价目标，应从以下三个方面对内部控制体系进行评价:

　　1.过程和风险是否已被充分识别。

　　2.过程和风险的控制措施是否遵循相关要求并得以实施和保持。

　　3.控制措施是否有效、适宜。

　　第七条内部控制评价应遵循以下原则

　　1.系统性原则。评价范围应覆盖本公司内部控制活动的全过程，覆盖所有的部门和岗位。

　　2.统一性原则。评价应保持目标、范围和准则的一致，以确保评价过程、评价结果的客观与准确。

　　3.独立性原则。评价应由专门的评价小组独立进行，不受其他部门和个人干扰。

　　4.公正性原则。评价应以事实为基础，以法律法规、监管要求、本公司的规章制度为准则，客观公正，实事求是。

　　5.重要性原则。评价应依据风险和控制的重要性确定重点。2

　　6.及时性原则。应按照规定的时间间隔持续进行评价。当经营管理环境发生重大变化时，应及时进行评价。

　　第三章内部控制评价内容

　　第八条对内部控制体系的综合评价包括内部控制环境、风险识别与评估、业务控制措施、监督评价与纠正、信息交流与反馈五个方面。

　　第九条内部控制环境

　　1.是否制定了成文的决策规则与程序，并有效执行。

　　2.内部控制组织机构是否健全，并认真履行职责。

　　3.部门、岗位职能是否完善、规范，并符合内控管理的要求。

　　4.是否建立健全并切实落实管理人员任用机制与业绩考核机制。

　　5.员工是否了解、掌握内部控制政策、目标、操作流程及管理重点。

　　6.是否建立并落实内控工作激励约束机制

　　第十条风险识别与评估

　　2.是否对信用风险进行严格的识别、计量、评估、监控并采取有效的风险防范措施。

　　3.是否对市场风险进行识别、计量、评估、监控并采取有效的风险防范措施。

　　4.是否对支付风险进行控制。

　　5.是否对操作风险进行严格的识别、计量、评估、监控并采取3

　　有效的风险防范措施。

　　6.是否对突发事件风险进行控制。

　　第十一条业务控制措施

　　(一)岗位设置控制

　　1.是否做到财务会计业务中不相融岗位之间的相互分离。

　　2.是否做到环付通卡业务中不相融岗位之间的相互分离。

　　3.是否做到互联网业务中不相融岗位之间的相互分离。

　　4.是否做到系统运行管理中不相融岗位之间的相互分离。

　　(二)财务管理控制

　　1.是否按规定进行授权管理。

　　2.是否认真执行财务审批程序和审批权限。

　　3.是否严格执行集中采购管理规定，对大额采购行为进行控制。

　　4.是否严格执行固定资产管理规定。

　　5.是否按规定对空白重要凭证的管理、使用进行控制。

　　6.是否按规定对业务印章等重要机具的管理、使用进行控制。

　　7.是否按规定对客户对账业务进行控制。

　　8.是否对内部备付金账务进行核对控制。

　　(三)环付通卡业务控制

　　1.是否遵守预付卡备付金与实收货币资本比例管理规定。

　　2.是否按规定使用预付卡备付金。

　　3.是否按规定向中国人民银行分支机构报告相关信息资料。

　　4.是否按规定向备付金存管银行办理相关备案手续并提供预付4

　　卡发行和交易明细信息。

　　5.必须严格执行记名环付通卡与不记名环付通卡的存储上限的规定。重复充值时，充值后的余额不得高于预付卡存储上限。

　　6.是否按规定审查、保管购卡人、代理人和特约商户相关资料。

　　7.是否存在违反规定泄露购卡人、代理人或特约商户信息情况。

　　8.是否存在违反规定代单位或个人查询、冻结、扣划预付卡内的资金及随意中断或终止持卡人的正常支付行为。

　　9.是否按规定公开披露相关事项。

　　10.是否违反规定为购卡人开具发票。

　　11.是否存在未按规定为客户办理预付卡赎回现象。

　　12.是否违反约定办理资金清算而造成特约商户经济损失。

　　13.是否对记名、不记名预付卡的发行和交易信息分别进行管理。

　　(四)互联网支付业务控制

　　1.开立交易账户客户的资质及条件是否符合要求，是否执行实名制。

　　2.客户开立交易账户是否指定一个或多个银行账户作为该交易账户的关联账户。交易账户的名称是否与该客户所关联的银行账户名称一致。

　　3.同一客户开立多个交易账户的，是否采取有效措施为这些交易账户建立关联关系。

　　4.为客户开立交易账户的，是否与客户签订书面协议，协议内容是否齐全。

　　5.个人客户开立的交易账户，是否提供有效身份证件名称、号码和姓名，并同时提供住址、电话、电子邮件等基本信息资料。

　　6.单位客户开立交易账户的，是否提供有效注册证明文件的影印件，并提供单位名称、法定代表人姓名及其有效身份证件影印件、联系方式，以及单位地址、联系人、电话等。

　　7.客户单笔收付金额超过1万元或月收付金额累计超过5万元的，是否提供身份证件影印件并进行核实。

　　8.是否对交易账户进行有效监控，对发生的可疑和大额交易应及时记录并按规定履行报告义务。

　　9.交易账户的资金来源与运用是否符合规定。

　　10.是否存在通过交易账户为客户办理现金存取业务的行为。

　　11.是否存在个人交易账户资金余额连续10天超过5000元、单位交易账户资金余额连续10天超过2万元的现象。

　　12.是否存在违规为单位或个人查询交易账户信息或冻结、扣划交易账户资金的行为。

　　13.交易账户被冻结期间，是否执行只收不付的原则。

　　14.客户用于收款的交易账户名称或银行账户的名称，是否与其提供的有效身份证件或有效注册证明文件上记载的名称一致。

　　15.支付指令中必须记载的事项是否齐全。

　　16.是否在付款人确认付款的当日至迟次日将相应资金转入收款人交易账户或协议中指定的银行账户。与客户另行约定结算时间的，其所约定的结算时间是否超过10天。

　　17.调整收费项目、收费标准时，是否提前30天通知客户。

　　18.对客户的基本信息资料和交易信息是否按会计档案要求妥善保存，保存期限是否低于5年。

　　19.是否采用适当的加密技术和措施，保证支付指令、交易数据传输的真实、完整、不可抵赖和不被窃龋

　　20.是否采取必要措施保护交易数据的完整性和可靠性。

　　21.是否采取必要措施为交易数据保密：包括对交易数据的访问应经授权和确认;交易数据方式保存是否安全;第三方获取交易数据合规性。

　　22.是否确保对互联网支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制。

　　23.日志记录是否具有不可篡改性并按会计档案的管理要求进行保存。

　　24.是否建立互联网支付业务运作重大事项报告制度。

　　25.是否按本办法规定使用、止付、撤销交易账户。

　　26.是否按本办法规定处理互联网支付业务差错、公开披露相关信息的。

　　27.是否按规定及时向中国人民银行及其分支机构报送信息资料的。

　　第十二条监督评价与纠正

　　1.各部门是否建立健全并执行检查监督制度，并对发现问题的整改情况进行持续跟踪。

　　2.内部检查、评价发现问题是否进行全面、及时的整改。

　　3.是否对“环付通卡”、“互联网”业务监督进行管理。

　　4.监督部门或岗位是否按规定对前台办理业务的核算过程和结果进行监督、控制、核对、分析和预警。

　　5.相关部门和岗位是否按规定履行监督职能。

　　第十三条信息交流与反馈

　　1.管理层经营理念、职业与道德规范、管理要求及重要内控信息是否及时准确传达到相关人员。

　　2.信息上报处理机制是否健全，对请示、反映的问题是否按规定的程序及时处理。

　　3.部门之间的信息交流是否畅通。

　　4.内、外部信息交流渠道是否畅通。

　　5.信息数据质量控制状况。

　　第四章内部控制评价程序和方法

　　第十四条内部控制评价程序一般包括评价准备、评价实施、形成评价报告和反馈等步骤。

　　第十五条评价准备。

　　在评价实施前应组成评价组。评价组的成员构成应考虑到相关人员的能力。必要时，可聘请相应的业务或管理专家。

　　评价组应根据内部控制评价的安排制订评价方案，评价方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。

　　评价组应准备必要的工作文件，包括评价问卷、抽查内容安排、被评价部门的相关制度及记录等。

　　在现场评价前应先与被评价部门进行沟通，以便确认有关评价事项和安排。

　　第十六条评价实施

　　评价组应按照确定的评价方案实施评价。在评价实施中有必要对评价组内部以及评价组与被评价对象之间的沟通做出正式安排。在评价实施过程中，应收集与评价目的、范围和准则有关的信息，根据评价内容对被评价项目进行测试，评价证据应当予以记录。

　　第十七条形成评价报告

　　评价组根据评价及测试情况，在综合评价的基础上，出具内部控制评价报告。报告内容主要包括概述、评价组工作开展情况、内部控制体系状况、综合评价、存在问题及原因、整改意见等。

　　第十八条评价结论反馈

　　评价组对内部控制体系做出综合评价后，公司应召集管理层和部门负责人会议，核对数据和事实，征求意见，在现行法律和政策规定基础上统一认识。

　　第十九条高级管理层根据评价组的结论，依据有关法律法规和内部规章制度，做出评价结论和处理决定，以书面形式正式发送被评价对象并限期改正反溃

　　第五章内部控制评价运用

　　第二十条根据评价结果及评价报告所反映的情况，可针对内部控制体系所存在的问题的性质及严重程度分别采取以下措施。

　　1.就内部控制体系的薄弱环节和存在问题所可能引发的风险，进行提示。

　　2.要求被评价部门对内部控制体系中存在的问题进行限期整改。

　　3.建议对存在严重缺失的业务进行整顿或暂停办理该业务。第二十一条对内部控制评价中发现的被评价对象的违规、违法行为，应根据公司有关规定，按照其违规、违法行为类型及性质，采取相应处罚措施。

　　第五章内部控制评价组织和实施

　　第二十二条内部控制评价在总裁的领导下，由合规部门负责组织和实施。

　　第二十三条根据评价的范围，内部控制评价可分为以下层次：

　　1.对公司整体内部控制的综合评价。

　　2.对公司各部门内部控制的评价。

　　3.对具体业务活动、管理活动和支持保障活动的单项评价。第二十四条对内部控制整体情况评价的间隔期为两年。当公司发生重大策略改变、管理层变动、重大的并购或处置、重大的运营方法改变或财务信息处理方式改变等情况，应对内部控制整体情况进行评价。

　　第二十五条对内部控制体系存在缺失的评价对象，合规部门应

　　对其改进情况进行后续跟踪，责令其针对评价发现的违规或风险隐患制定纠正措施，并对纠正情况及有效性进行检查。

　　第二十六条内部控制评价各阶段涉及的有关记录、表格、内部控制评价报告、纠正措施及跟踪改进情况均应作为内部控制档案妥善保管。

　　第二十七条

　　第二十八条

　　第六章附则本办法由本公司负责解释与修订。本办法自公布之日其实施。深圳中付通电子商务有限公司

　　内部控制评价和监督制度_内部控制考核评价方案篇三

　　第一章总则

　　第一条为规范中国泛海控股集团有限公司(以下简称“集团公司”)及所属各公司内部控制评价工作，及时发现风险管理与内部控制缺陷，并提出改进方案，确保风险管理与内部控制有效运行，根据财政部等五部委发布的《企业内部控制基本规范》、《企业内部控制评价指引》相关规定，结合集团实际情况，制定本办法。

　　第二条本办法所称内部控制评价，是指在集团公司董事会和管理层领导下，由内部控制评价部门对集团风险管理与内部控制有效性进行定期或不定期评价，形成评价结论，出具评价报告的过程。

　　第三条本办法适用于集团公司、所属各公司及受托管理公司(以下总称为“集团”)的内部控制评价管理工作。集团公司所属上市公司、公众公司风险管理工作按照国家法律法规和监管部门的规定要求，结合实际分别制定。三级及以下公司内部控制评价工作，由所属各公司负责。

　　第四条内部控制评价，遵循下列原则：

　　(一)全面性原则。评价工作应当包括风险管理与内部控制的设计和运行，涵盖集团及所属各公司的各种业务和事项。

　　(二)重要性原则。评价工作应当在全面评价的基础上，关注重

　　要业务事项、高风险领域和重要流程环节。

　　(三)客观性原则。评价工作应当准确提示经营管理的风险状况，如实反映风险管理与内部控制设计与运行的有效性。

　　(四)成本效益原则。风险评价监督应当以适当的成本实现科学有效的评价。

　　(五)及时性原则。评价工作应按照规定的时间持续进行，当经营管理环境发生重大变化时，应及时进行重新评价。

　　第二章组织与职责分工

　　第五条集团公司董事会是内部控制评价的最高决策机构，其主要职责包括：

　　(一)审阅和批准集团公司管理层提交的内部控制评价报告。

　　(二)批准由集团公司管理层提交的涉及内部控制整改的重大决策、重大风险、重大事项报告。

　　(三)审议和批准内部控制评价相关制度。

　　第六条集团公司监事会对董事会实施内部控制评价进行监督。

　　第七条集团公司管理层负责内部控制评价直接领导工作，其主要职责包括：

　　(一)审阅和批准内部控制评价工作计划和方案。

　　(二)审阅内部控制评价报告，并提出相关意见和建议。

　　(三)协调和解决集团跨部门的内部控制评价过程中出现的重大

　　事项。

　　(四)听取和了解内控整改过程中出现的相关重大事项，并按照董事会的授权进行决策。

　　第八条集团公司风险控制总监负责组织和指导内部控制评价工作，其职责包括：

　　(一)组织起草并审核内部控制评价工作计划和方案。

　　(二)组织和指导集团开展风险管理与内部控制评价的工作。

　　(三)组织起草内部控制评价报告。

　　(四)对于内部控制评价识别出的缺陷提出整改建议。

　　第九条集团公司风险控制管理总部(以下简称“风险控制管理总部”)是内部控制评价归口管理部门，负责内部控制评价日常管理和监督工作，其主要职责包括：

　　(一)制定内部控制评价工作计划和方案。

　　(二)汇总、整理、分析集团各部门、所属各公司上报内部控制自评价报告。

　　(三)通过现场检查等方式对集团各部门、所属各公司内控自评价报告进行审核确认和再评价。

　　(四)编制集团内部控制评价报告，上报管理层、董事会。

　　(五)对集团各部门、所属各公司内控整改落实情况进行后续跟踪。

　　第十条集团公司各部门、所属各公司是内部控制评价的参与部门，其主要职责包括：

　　(一)参与本单位的内部控制评价工作。

　　(二)实施本单位内控自我评价，填写内部控制自我评价表并撰写内控自评报告，报送集团风险控制管理总部汇总、审核。

　　(三)提供可靠信息资料配合集团风险控制管理总部进行内控审核和再评价。

　　第三章内部控制评价的内容

　　第十一条内部控制评价应当根据本管理办法，从内部环境、风险评估、控制活动、信息与沟通、内部监督等方面，确定评价的具体内容，对风险管理与内部控制设计与运行情况进行全面评价。

　　第十二条内部控制评价，包括对内部控制设计有效性和运行有效性的评价。

　　内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

　　第十三条利用信息系统加强内部控制的，应当对信息系统的有效性进行评价，包括信息系统一般评价和信息系统应用控制评价。

　　一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业风险管理与内部控制的要求，是否有利于集团控制目标的实现，并以此评价信息系统的安全性、可靠性和合规性。

　　应用控制评价应结合业务流程的特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。

　　第十四条对风险管理与内部控制有效性的评价，应当至少涉及下列内容：

　　(一)公司治理结构是否完善，是否形成科学有效的的职责分工和制衡机制，是否构建科学的管理体系和决策机制。

　　(二)组织机构设置是否合理，组织间的配合沟通是否通畅，是否存在信息滞后的情况。

　　(三)所有重要的业务事项是否建立规范、完善的流程和制度约束，是否得到了有力执行。

　　(四)公司经营和管理中存在的重大和重要风险是否制定有效的控制措施。

　　(五)是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

　　(六)在评价期间是否出现过重大风险事故等。

　　第四章内部控制评价的程序和方法

　　第十五条内部控制评价程序一般包括：制定评价工作方案、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

　　第十六条内部控制评价，分为定期评价和不定期评价。定期评

　　价为年度评价，以12月31日为基准日，是指集团在每年1月初至年度报告提交董事会审议前，根据风险管理和内部控制目标，对上一年度风险管理与内部控制的有效性进行评价;

　　不定期评价是指集团根据实际工作需要或领导的指示在不特定的时点对特定范围的风险管理与内部控制的有效性进行评价。

　　第十七条定期检查评价的程序

　　(一)风险控制管理总部根据集团的内部控制整体目标，制定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容。

　　(二)风险控制管理总部组织集团各部门、所属各公司按工作方案进行自查，编写自查评价报告。

　　(三)集团公司各部门、所属各公司将自查评价报告报风险控制管理总部。

　　(四)风险控制管理总部通过现场检查等方式对集团各部门、所属各公司自查评价报告进行审核确认和再评价。

　　(五)风险控制管理总部对再评价结果进行汇总分析，编写年度内部控制评价报告，并上报集团管理层审核。

　　(六)管理层审核内部控制评价报告，并对存在的缺陷和问题，提出的整改意见和措施。

　　(七)管理层审核后，内部控制评价报告报集团公司董事会进行审议并形成决议。

　　(八)风险控制管理总部对于检查中发现的控制缺陷及实施中存

　　在的问题，应在集团公司董事会批准后进行跟踪，以确保相关单位已及时采取适当的改进措施。

　　第十八条除定期检查评价外，风险控制管理总部应根据实际工作需要在报经相关领导批准后或者根据领导的直接指示，不定期组织开展风险控制检查评价，促进各单位风险控制的持续改善。同时，风险控制管理总部亦应对集团风险控制的建立与执行情况进行不定期检查评价，以规范管理，控制和防范风险。

　　第十九条检查评价部门开展风险控制检查评价时，应当对被评价单位进行现场测试等方式，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析控制缺陷。

　　第二十条集团应当通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。

　　证据的充分性是指获取证据的数量应当能合理保证相关控制的有效;证据的适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠的反映控制的实际运行情况。

　　第二十一条集团应当充分评估下列因素导致内部控制失效的风险：

　　(一)控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。

　　(二)控制活动的复杂性，通常与企业组织结构、市场环境、经

　　营规模、人员素质等相关。

　　(三)管理层逾越内部控制的风险。

　　(四)实施控制活动所需要的职业判断的程度。

　　(五)控制活动所针对风险事项的性质及其重要性。

　　(六)一项控制活动对其他控制活动有效性的依赖程度。

　　第二十二条风险控制评价人员应当及时记录开展风险控制评价工作的方法和程序，并以适当形式妥善保存相关证据。

　　第五章控制缺陷认定

　　第二十三条控制缺陷包括设计缺陷和运行缺陷。集团对控制缺陷的认定，按照规定的权限和程序进行。

　　(一)设计缺陷，是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。

　　(二)运行缺陷，是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效实施控制。

　　第二十四条对内部控制评价过程中发现的问题，应从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。

　　存在下列情况之一，应当认定内部控制存在设计或运行缺陷：

　　(一)未实现规定的控制目标。

　　(二)未执行规定的控制活动。

　　(三)突破规定的权限。

　　(四)不能及时提供控制运行有效的相关证据。

　　第二十五条根据内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。

　　重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

　　重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

　　一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

　　第二十六条风险控制管理总部根据集团公司各部门、所属各公司上报的内控自查评价报告中所认定的控制缺陷，编制内部控制缺陷认定汇总表，结合日常监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并作为内部控制评价报告的重要组成部分，向集团公司董事会、监事会或经理层报告。重大缺陷应当由集团公司董事会予以最终认定。

　　集团对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受范围之内。

　　第六章内部控制评价报告

　　第二十七条内部控制评价报告应当分别从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价

　　过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。

　　第二十八条内部控制评价报告一般至少应当包括下列内容：

　　(一)内部控制评价工作的总体情况。

　　(二)内控控制评价的依据。

　　(三)内部控制评价的范围。

　　(四)内部控制评价的程序和方法。

　　(五)内部控制缺陷及其认定情况。

　　(六)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。

　　(七)内部控制有效性的结论。