集团公司内部控制评价与考核管理办法.docx

集团有限公司内部控制评价与考核管理办法第一章总则第一条为进一步规范集团公司内部控制评价工作，充分发挥内控考核的激励约束作用，促进风险内控体系不断改进和完善，提升风险管理能力与水平，根据X集团有限公司暨X有限公司内部控制评价与考核管理办法（X号）要求，结合X集团有限公司内部控制与风险管理办法（X号）等，制定本办法。第二条本办法适用于集团公司总部及所属各单位（以下统称各单位）。第三条本办法所称内部控制评价（以下简称内控评价）是指集团公司及各单位对内部控制的有效性进行评价、形成评价结论、出具评价报告的过程。本办法所称内部控制考核（以下简称内控考核），是指集团公司对各单位进行的风险内控工作考核，考核内容涵盖风险内控体系建设与运行、重大风险管控，内控评价组织与实施、内控缺陷整改、内控管理成效等方面。第四条内控评价按照内容覆盖面不同分为整体评价和专项评价。整体评价是指根据内部控制目标，针对风险内控体系有效性进行的全面评价，一般每年度开展一次；专项评价是指以风险为导向，基于内外部环境变化或管理需要，针对内部控制某一方面或局部开展的评价，视实际情况，不定期开展。内控评价按照实施主体不同分为自我评价和监督评价。自我评价由集团公司统筹安排，各单位自行组织实施，属于整体评价范畴；监督评价以集团公司或上一级单位为实施主体，围绕年度重点工作、高风险领域以及一个或几个业务事项，选取部分单位开展，属于专项评价范畴。第五条内控评价应遵循全面性、重要性、客观性原则，涵盖主要单位、业务领域和事项，突出重要单位、重大业务事项和高风险领域，客观揭示经营管理中存在的风险，如实反映内部控制设计与运行的有效性。第二章职责与分工第六条董事会对内控评价承担最终责任，对内控评价报告的真实性负责。审批年度内控评价工作方案，审定内部控制重大缺陷及整改方案，批准向上级单位报送的内控评价报告等。第七条经理层领导内控评价工作开展。审议年度内控评价工作方案，组织推进集团公司内控评价工作。听取内控评价及内控缺陷情况报告，协调、解决内控评价及缺陷整改工作中遇到的困难，批准年度内控考核结果。第八条董事会授权风险内控牵头部门负责内控评价工作的具体组织实施。风险内控牵头部门负责拟订内控评价及考核工作方案，组织集团公司本级及各单位开展内控自我评价、选取部分单位开展内控监督评价，对各单位风险内控工作进行考核,组织开展系统性缺陷整改，编写内控评价报告。第九条总部各部门选派业务骨干参与内控评价工作，负责本部门内控缺陷整改，指导、督促职责范围内所属各单位内控缺陷整改，协助开展风险内控工作专项考核。负责或协助开展职责范围内的内控专项评价工作。根据实际情况，内控专项评价可与业务工作的日常监督检查合并进行。第十条各单位应逐级落实内控评价责任，建立长效工作机制，组织开展本单位自我评价、接受上级单位监督评价，认定并整改内控缺陷，编制、报送内控评价报告等相关资料。第H一条内控评价工作可委托专业机构实施或协助开展，为企业提供内控审计的会计师事务所不得同时为企业提供内控评价服务。第三章内控评价要求第十二条内控自我评价应按照股份公司要求，充分考虑不同层级工作定位，以风险为导向，兼顾各单位战略目标及本单位整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，从内部控制设计有效性和运行有效性两方面进行评价。内部控制的设计有效性和运行有效性同等重要。第十三条内部控制设计有效性是指企业内部控制程序完善且科学高效，能够为控制目标的实现提供合理保证。判断内部控制设计是否有效，至少应考虑以下因素：第一，是否充分考虑了企业所处行业状况、业务特点、发展阶段及风险管理要求；第二，是否围绕发展战略目标，遵循合法、合规要求，保证资产安全，信息真实完整，提升管理效率和效果；第三，是否覆盖了所有业务领域，突出了关键环节和高风险领域的风险管控。第十四条内部控制运行有效性是指企业能够正确、有效执行设计的内部控制程序，为控制目标的实现提供合理保证。判断内部控制运行是否有效，至少应考虑以下因素：第一，相关控制在评价期内是否得以运行，并与设计要求Ib致；第二，相关控制运行与设计要求不完全一致，是否存在补偿控制或替代性措施；第三，实施控制的人员是否具备必要的权限和能力。第十五条内控自我评价包括对公司层面和业务层面的评价。公司层面评价包括对内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素的评价；业务层面评价包括对预算管理、财务管理、资产管理、投资管理、经营承揽、采购管理、项目管理、合同管理等业务控制活动的评价(主要关注重点详见附件1)。第十六条除上述基本内容外，内控自我评价应关注以下方面：(一)是否明确风险内控工作机构和业务人员，机构和人员的配备、职责分工和授权是否合理；(一)风险内控体系是否涵盖了企业层面的风险和所有重要业务流程层面的风险，企业层面与流程层面的风险信息是否识别充分、与战略匹配；(三)是否建立完善重大风险评估、监测、报告机制，重大风险的过程监控及管控策略调整机制能否得到落实;（四）内控缺陷整改机制是否建立并有效运行；（五）评价期内是否出现重大风险事件。第十七条内控监督评价主要围绕重点业务、关键环节和重要岗位开展，年度重大风险、经营管理工作重点、新兴业务、缺陷问题高发领域需高度关注。海外资产应纳入监督评价范围,重点对海外项目的重大决策、重大项目安排、大额资金运作以及境外子企业公司治理等进行监督评价（关注要点及工作程序详见附件2）。第四章内控评价程序第十八条内控自我评价程序主要包括：制订评价工作方案、成立评价工作组、实施现场测试、认定内控缺陷、汇总评价成果、编制评价报告等环节（评价流程详见附件3）o第十九条根据股份公司管控要求，集团公司制订内控自我评价工作方案，明确工作标准，组织开展业务培训，对公司本级实施自我评价。第二十条各单位应及时传达落实集团公司工作要求，组织开展业务培训，制定本单位内控自我评价实施方案，明确评价范围、工作任务、人员组织、进度安排、费用预算等相关内容,报经总经理办公会批准后实施。第二十一条根据经批准的评价实施方案，本着突出业务特点，反映关键问题的原则，集团公司成立评价工作组，组织集团公司总部开展自我评价工作。评价工作组由总部各部门业务骨干或抽调各单位风险内控工作人员组成，工作组成员对本部门或单位的评价工作实行回避制度。各单位应在集团公司下发的评价实施方案指导模板基础上,充分发挥自主和创新权，设计、完善本单位自我评价工作底稿,组织实施自我评价工作。第二十二条内控自我评价应收集分析评价所需文件资料，开展现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法进行评价。评价过程中应突出问题导向，重视人员访谈，以获取充分、可靠的证据对内部控制有效性进行评价，并做书面记录。第二十三条根据现场测试获取的证据，结合日常监督检查、专项评价等工作成果，评价工作组对发现问题的表现形式、性质、成因和影响程度进行统筹考虑，综合判断，根据内控缺陷认定标准，提出内控缺陷初步认定意见，在与相关部门、单位进行充分交流后，认定内控缺陷，编制内控缺陷汇总表。评价工作组负责人应当对评价结果严格审核并签字确认。涉及重大缺陷，应及时向本单位经理层报告，并由总经理办公会予以最终认定。第二十四条集团公司总部各部门及各单位应结合评价工作开展情况及认定的评价结果，按上级单位要求编制内控自我评价报告，经总经理办公会、董事会审议，连同评价工作底稿及相关证据材料等，在规定时间内上报。报告基准日至报送日之间发生影响内部控制有效性因素，应根据性质和影响程度对评价结论进行调整。集团公司及各单位负责人对提交资料的真实性和完整性作出书面承诺。第二十五条集团公司组织对各单位自我评价结果进行审定,综合考虑风险内控工作开展情况，重大风险事件，工作创新和效果，评价底稿质量，评价工作组织及实施情况、内控缺陷认定及整改组织等方面的工作内容、程序和成果。第二十六条内控监督评价在各单位全面自评基础上，结合公司法人治理架构，逐级进行。既可单独开展，也可与内控缺陷整改检查等工作同步实施。集团公司每年选取三分之一左右单位开展内控监督评价，确保三年全覆盖。各单位应落实集团公司工作要求，及时提供相关文件、资料，配合现场调研、访谈，开放业务操作系统临时查询权限。第二十七条风险内控牵头部门要加强对内控评价工作资料的归类管理，有关文件、材料、工作底稿和评价证据等需妥善保管。第五章缺陷认定和整改第二十八条内控缺陷包括设计缺陷和运行缺陷，按影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重要缺陷是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。第二十九条内控缺陷认定标准是开展内控评价，识别和认定内控缺陷的重要依据。集团公司根据内部控制规定，结合企业实际，制定并发布适合自身的内控缺陷认定程序和标准（详见附件4）o第三十条对于认定的内控缺陷，贯彻“即发现、即整改”原则，及时组织实施整改。如果不能立即完成整改，应制定内控缺陷整改方案，明确整改内容、措施、期限、责任人员等，尽快完成整改工作。对于影响程度不构成缺陷，但可进行管理提升和优化的问题，可以管理建议形式提出。第三十一条重视对内控缺陷的分析，区分缺陷性质，采取不同方式和策略开展缺陷整改工作。对于共性缺陷和重复性缺陷，在围绕具体缺陷进行整改同时，应坚持问题导向，深入分析缺陷形成原因，找准风险源，以点带面，举一反三，开展普遍性排查和全面整改，确保缺陷整改工作效果。第三十二条加强内控缺陷整改工作协同。基于纵向业务流程，集团公司总部各部门及各单位应结合本级工作定位和管理边界，抓好抓实权责范围内的缺陷整改工作；加强横向工作协同，风险内控牵头部门和各专业部门应做好工作统筹和分工协作，从风险管理角度和业务归口管理角度，分别落实权责范围内的缺陷整改工作。各层级风险内控牵头部门要加强与内部审计、财务监察、合规管理、纪检巡视巡察等部门的工作沟通交流，重视吸收利用内外部审计、检查工作成果，围绕具体问题，从不同角度深入剖析，提出解决方案，不断完善相应工作机制，优化管理体系，提升管理效果。第三十三条加强对缺陷整改工作的指导、监督和过程管控要求，集团公司要组织督促所属单位开展缺陷整改工作自查，选取部分单位开展现场监督抽查。对已经整改完成的内控缺陷,风险内控牵头部门应组织进行复核，并关注缺陷整改后的实际效果。第三十四条风险内控牵头部门要重视对内控缺陷数据的整理、归类、分析和研究，逐步建立健全本单位内控缺陷数据库（数据库模板详见附件5）。第六章内控考核第三十五条内控考核由风险内控牵头部门组织实施，是集团公司子分公司负责人绩效考核的组成部分，考核对象为集团所属各单位，主要包括部门专项内控考核、年度工作综合考核、内控审计缺陷认定等三个方面。集团公司风险内控牵头部门根据本办法，结合年度工作重点，编制年度内控考核实施方案，开展内控考核工作。第三十六条部门专项内控考核由风险内控牵头部门组织设计考核内容，集团公司总部各部门按工作归口从管理制度、流程的健全及规范运行情况，贯彻落实集团公司管理要求及工作部署情况，风险管控科学有效及主要专项指标完成情况等方面对各单位进行考核评定。第三十七条年度工作综合考核由风险内控牵头部门组织设计并实施，主要从年度风险内控整体工作情况，重大风险管控,内控自我评价筹备及工作底稿设计，评价工作开展及缺陷认定、上年度内控缺陷整改、内控自我评价报告、管理创新与成效、内控监督评价情况等方面进行综合考核评定。内控监督评价如果发现内控自我评价严重失实或存在较大管理问题及风险事件，视情节严重情况扣减5-20分，纳入综合考核结果。第三十八条内控审计缺陷认定为扣分项，在股份公司年度内控审计工作中，若被审计单位存在重大、重要缺陷，影响集团公司内控考核得分的，按重大缺陷扣40分/条，重要缺陷扣10分/条，一般缺陷的不扣分。第三十九条内部控制考核满分为350分。其中：专项内控考核90分，年度工作综合考核260分（含50分改革发展与创新加分项），实际纳入综合考核的为300分。内部控制与风险管理考核结果分为A、B两个等级，考核得分270分（含）以上为A级，绩效考核中不予扣分；考核得分270分（不含）以下为B级，绩效考核扣减分数二（270-实际得分）/3,扣满10分为止。第四十条考核年度内发生改制重组、合并、分立的单位，视实际情况决定是否进行考核并在年度方案中确定。考核年度内注销的单位，不再实施考核。考核年度内新设立单位，不进行考核。第四十一条考核工作完成后，应及时开展年度评价及考核工作的总结分析，并予以通报。对于考核优秀的单位，应开展专项分析提炼，总结推广经验；对于管理基础薄弱，内控缺陷问题较多单位，要加强指导帮扶，关注工作动态，适时开展现场督导。第七章附则第四十二条各单位应参照本办法制定内控评价工作实施细则，并报集团公司备案。第四十三条本办法由集团公司发展规划部负责解释。第四十四条本办法自发布之日起施行。附件：L内控自我评价主要关注重点（参考）2 .内控监督评价关注要点及工作程序（参考）3 .内控评价与考核流程图4 .内控缺陷认定程序及标准5 ,内控缺陷数据库（模板）