集团内部控制制度检查评价与考核办法

内部控制检查评价与考核办法

第一章 总 则

第一条 为加强和正确评价XX 集团内部控制，遵循国内外监管要求，根据《内部控制手册》（以下简称内控手册）有关规定，特制定本办法。

第二条 内部控制检查评价与考核工作的领导和职责分工 XX 集团内部控制领导小组（以下简称XX 集团内控领导小组）统一领导XX 集团内部控制检查评价与考核工作。

XX 集团内部控制领导小组办公室（以下简称XX 集团内控办公室）负责指导或组织日常检查评价，组织XX 集团年度综合检查评价；根据需要组织专项检查评价；督促整改，编制XX 集团自我评价报告；拟订考核方案并报告XX 集团内控领导小组。

第三条 内部控制检查评价依据和目的

内部控制检查评价以XX 集团内控手册或其实施细则为依据，获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性，对相关控制的设计和运行是否有效做出评价。

2010年 E－1

设计和运行有效应包括以下几个方面：

（1）XX 集团内控手册及其实施细则涵盖了所有重要业务，并根据风险设臵了合理的细化控制目标和对应的控制活动；

（2）控制活动得到了持续一致的运行，相关岗位具备控制必需的权限和能力；

（3）部门职责体现内控要求。

第四条 XX集团内部控制检查评价机制和形式

XX 集团实行“总部检查评价”和“单位自查”两级内部控制检查评价机制。其中，“总部检查评价”包括“XX 集团年度综合检查评价”和“审计部独立检查评价”；“单位自查”包括“企业内控自查”和“总部部门内控自查”。

“XX 集团年度综合检查评价”是XX 集团内控领导小组组织对各单位内部控制实施情况的综合检查与评价，每年根据管理需要和外部监管要求，选取一定数量的总部有关部门、分（子）公司、研究院，进行检查评价。

“审计部独立检查评价”是审计部每年对总部有关部门及至少对25家分（子）公司、研究院内部控制的实施情况进行独立检查评价。检查评价结果报XX 集团内控领导小组审定后，作为XX 集团年度综合检查评价的组成部分。

2009年 E －2

“总部检查评价”每次检查区间须与上一检查区间衔接，XX 集团内控领导小组与审计部不重复检查同一单位。

“企业内控自查”由企业（包括分（子）公司、研究院）内控办和内审部门组织的内控综合检查评价，以及责任部门内控流程测试两部分组成。其中，内控综合检查评价至少每年组织一次；内控流程测试至少每半年组织一次。

“总部部门内控自查”是总部有关部门至少每半年对责任业务流程和控制点的有效性进行测试，结合日常专业管理，对分（子）公司或研究院的执行情况适当抽查。

“总部检查评价”和“单位自查”是日常监督的重要组成部分。

“专项检查评价”是专项监督的表现形式，一般是指XX 集团、分（子）公司、研究院在发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，XX 集团内控办公室组织总部有关部门、审计部对内部控制的某一或者某些方面进行有针对性的检查评价。分（子）公司、研究院根据本单位需要组织相关部门进行专项检查评价。

第五条 内部控制检查评价方法

内部控制检查评价方法主要包括：个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、2010年 E－3

重新执行法、专题讨论会法等。内部控制检查评价应综合运用上述方法，充分利用ERP 系统自带的检查功能，并在条件具备时，开发在线检查方法。

第六条 本办法适用于XX 集团总部各部门，各分（子）公司、研究院。

各单位可参照本办法，结合实际，制定本单位内部控制检查评价与考核办法。

第七条 审计部按照本办法独立进行内部控制检查评价。

第二章 XX集团年度综合检查评价

第八条 年度综合检查评价内容及评分

检查评价一般采用定量评价方法，检查评价报告应在量化评价基础上侧重定性结论。

（一）对企业的检查评价内容及评分

对企业的检查评价满分100分。包括：

1. 内部环境检查评价满分10分，是综合评价被检查单位制约内部控制建立与执行的各种内部因素；

2. 企业自查检查评价满分20分，是检查、验证被检查单位日常监督开展的情况和效果；

3. 业务流程检查评价满分70分，是检查评价各项业务控制2009年 E －4

活动的执行情况是否符合内控手册或其实施细则。

此外，按照有关标准，认定内部控制缺陷（参见第十二、三条）后修正综合检查评分。具体修正标准如下：

一般缺陷：扣减检查评价得分的1%；

重要缺陷：扣减检查评价得分的50%；

实质漏洞：检查评价得分为零。

对于多个内部控制缺陷，按扣减比例累加修正检查评价评分。

（二）对总部部门的检查评价内容及评分

对总部部门的检查评价满分100分。其中，公司层面内部控制要素检查评价30分、自查情况检查评价20分、适用业务流程（控制点）执行情况检查评价50分。

内部控制缺陷评分同（一）。

第九条 检查评价程序及要求

（一）制定“内控检查评价指引”。

XX 集团内控办公室根据外部监管要求和内部管理需要，负责制定“内控检查评价指引”，明确具体“检查步骤及方法”、内控缺陷标准等内容，并会同有关部门对检查人员进行培训。

（二）制定检查评价工作方案。

检查评价工作方案应充分考虑检查评价的效率和效果，由2010年 E－5

XX 集团内控办公室根据内部监督要求制定，明确评价目的、范围、组织、标准、方法、重点和进度安排等内容，尽量涵盖XX 集团层面的风险和所有重要的业务流程层面的风险，报XX 集团内控领导小组批准后，组织检查人员对有关单位进行现场检查评价。

（三）现场检查和评价。

检查人员检查和评价过程中，遇到问题应及时向XX 集团内控办公室报告。XX 集团内控办公室应及时协调和研究解决现场检查评价中遇到的问题。

对检查人员做出的检查评价结论，被检查单位不得以任何形式施加影响；对检查评价结论有不同意见，可向XX 集团内控办公室书面反映，由XX 集团内控办公室会同有关部门研究解决方案并报XX 集团内控领导小组审定。

（四）检查评价结果复核与确认。

XX 集团内控办公室根据检查评价结果下达整改通知，督促整改。被检查单位应就未执行的控制点及内部控制缺陷制定整改方案，并认真落实整改。整改情况及结果经内控领导小组组长签字后，向XX 集团内控办公室反馈。

XX 集团内控办公室会同有关部门对现场检查评价结果统一复核和确认，结合日常监督等情况，形成XX 集团内部控制自2009年 E －6

我评价报告。

第十条 检查人员

（一）检查评价应充分考虑检查人员的职业道德和专业胜任能力。职业道德指认真履行检查义务，听从检查安排，公允地表达意见。专业胜任能力指至少在某一类控制活动或内控要素方面具备足够的知识和经验，熟练掌握XX 集团内部控制要求，并恰当地表达意见。

（二）检查人员拥有以下权利：

1. 查阅被检查单位与内控流程（要素）相关的全部资料。

2. 访谈被检查单位与内控流程（要素）相关的各级人员。

3. 对于检查发现的问题有权要求被检查单位提供相关佐证资料。

4. 对于ERP 等信息系统相关的检查有权获得最大查询权限。

5. 对于检查事项，要求被检查单位给予必要的积极配合。

（三）检查人员应履行以下义务：

1. 检查前应当充分了解被检查单位：基本情况（生产经营业务范围、组织机构及其职能、总经理班子成员及其分工、财务管理核算体制等）及检查年度变化情况；检查年度生产经营计划和预算完成情况；内部控制实施情况（内控宣传培训、实2010年 E－7

施细则及相关制度修订完善、日常内控工作机制、利用信息化技术实施内部控制、单位自查评价及整改）；最近一次内部控制及审计或财务稽核查出问题的整改情况等。

2. 遵循客观、公正、公平原则，以提高检查工作质量和效率为中心，结合被检查单位整体情况，参照“内控检查评价指引”的内容及要求检查。检查发现的问题应当如实反映，及时沟通，重大问题应当及时报告。

3. 按时完成检查工作，包括按要求填写检查工作底稿、汇总检查评价结果并与被检查单位交换意见，通报检查评价情况。

4. 检查中注意收集内控手册执行中存在的问题，提出对XX 集团内控手册设计和内控工作开展的意见和建议。

5. 检查人员应当遵守工作纪律，不得接受被检查单位以任何形式赠送的礼金或礼品，不得到国家明示的风景名胜地区观光、游览。

第十一条 业务流程现场检查评价要求

检查人员根据被检查单位适用业务流程和控制点，结合业务实际发生情况进行检查评价。

抽取样本应结合被检查单位的管理层级和产（股）权结构情况，覆盖足够的所属单位（子公司）数量和业务量。

财务报告相关控制点检查样本抽取数量，还要根据业务发2009年 E －8

生频率高低及相关会计科目的重要性确定。

检查记录内容应保证可复核性。对于“未执行”的控制点，应详细记录具体未执行原因，并复印留存有关抽查样本及相关证明材料。

控制点的检查评价，包括“不相容岗位（职务）分离情况”和“控制点执行情况”两项内容。两项检查评价全部合格的控制点视为“有效执行”。其中，“不相容岗位（职务）分离情况”按照业务流程中列示的“不相容岗位”对照实际工作（含ERP 系统中）检查；“控制点执行情况”应根据控制点要求，对以下情况检查评价：

（1）执行规定的控制步骤或控制方法;

（2）执行规定的权限；

（3）及时提供有效的控制点相关资料；

（4）实现规定的控制目标。

对于财务报告相关控制点未执行的，应判断对会计报表的影响。

内控手册中参照执行控制点的检查评价，以被参照业务流程控制点最差评价结果为准。

第十二条 内部控制缺陷认定

（一）内控缺陷按照成因分为设计缺陷和运行缺陷。设计2010年 E－9

缺陷指内控手册及其实施细则设计不科学、不适当，即使正常运行也难以实现控制目标。运行缺陷指内控手册及其实施细则设计比较科学、适当，但在实际运行中没有严格执行，导致内部控制运行与设计脱节，未能有效实施控制、实现控制目标。对于检查中发现的未能分析重要风险且缺少控制目标和对应的控制活动，应认定为设计缺陷。

（二）内部控制缺陷按照表现形式划分为财务报告缺陷和内部管理缺陷。

1. 财务报告缺陷认定

财务报告缺陷，包括影响会计报表缺陷、其他会计信息质量缺陷、IT 控制缺陷和内控重大事故事件缺陷四个部分。

（1）影响会计报表缺陷。

影响会计报表缺陷，是指财务报告相关控制点发生错报事项对利润表及资产负债表项目等影响的合理估计超出可容忍的范围。合理估计指计算错报事项影响会计报表潜在错报的金额，可容忍的范围依据XX 集团及被检查单位的资产、收入情况确定。

（2）其他会计信息质量缺陷。

其他会计信息质量缺陷是指不直接影响会计报表，但不符合涉及财务信息内部控制要求的重点事项，且存在较大风险。 2009年 E －10

（3）IT 控制缺陷。

IT 控制缺陷是指在IT 整体控制、一般性控制和应用控制任一方面失效，导致系统蕴藏较大风险、或不能发挥系统自动控制功能、或数据错误超出可容忍的程度等。

（4）内控重大事故事件缺陷。

内控重大事故事件，是指由于未经授权、舞弊或IT 控制不善等原因造成直接财产损失或造成重大负面影响。

2. 内部管理缺陷认定

内部管理缺陷，是指不直接影响财务报告，但不符合XX 集团内部管理要求、对XX 集团整体目标实现产生不利影响的事项。

（三）根据影响整体控制目标实现的严重程度，内部控制缺陷分为一般缺陷、重要缺陷和实质漏洞。实质漏洞，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致无法及时防范或发现严重偏离XX 集团整体控制目标的情形。重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于实质漏洞，但导致无法及时防范或发现偏离XX 集团整体控制目标的严重程度依然重大，须引起管理层关注。一般缺陷是指除实质漏洞、重要缺陷以外的其他控制缺陷。当存在任何一个或多个内部控制实质漏洞时，应当在内部控制检查评2010年 E－11

价报告中作出内部控制无效的结论。

第十三条 对于被检查单位所属控股子公司应重点检查其内部环境、内控制度建设情况，及重点业务流程。业务流程可以根据其控股子公司自行制定的内控制度检查，未执行控制点与内控缺陷，扣减被检查单位相对应的分数；控股子公司未建立内控制度的，被检查单位视同存在重要缺陷。

第十四条 XX集团内部控制检查评价报告

XX 集团内部控制检查评价报告包括“现场检查评价报告”和“XX 集团自我评价报告”两个层次。

（一）现场检查评价报告

现场检查评价报告是检查人员根据现场检查评价结果，综合评价被检查单位内部控制有效性。现场检查评价报告至少包括以下内容：检查评价整体情况、内部环境、单位自查情况、业务流程检查评价、内部控制缺陷认定，以及对被检查单位提出的意见和建议等。其中，检查评价整体情况应评价被检查单位内部控制整体控制目标是否有效及其有效程度；对发现的问题应深入分析，阐明评价依据。

（二）XX 集团自我评价报告

XX 集团内控办公室根据年度综合检查评价和其他监督检查评价结果等，结合整改情况，形成XX 集团自我评价报告，至2009年 E －12

少包括以下内容：

1.XX 集团实施内部控制及其评价的总体情况；

2. 对内部控制的认识和对内部控制责任主体的声明；

3. 内部控制评价的标准和依据；

4. 内部控制评价的程序和方法；

5. 作出在资产负债表日本企业内部控制是否有效的评价结论，并声明有充分、适当的证据支持这一评价结论；

6. 如存在内部控制实质漏洞，应当对其成因、具体表现及其影响后果作出充分说明；

7. 声明是否对上一年度的和本年度已经发现的内部控制实质漏洞采取改进措施以及采取了何种改进措施，并追究责任单位和责任人的责任；

8. 声明自资产负债表日至内部控制评价报告发出日之间是否发生对评价结论产生实质性影响的内部控制的重大变化。

第十五条 检查评价资料整理归档

现场检查评价完成后，应当整理被检查单位的检查评价资料（包括现场检查评价报告、检查工作底稿、未执行控制点及内控缺陷认定的相关佐证材料等），按照相关要求装订，及时交XX 集团内控办公室。

第十六条 为确保年度综合检查评价的独立、客观和公正，2010年 E－13

参加年度检查评价人员发生的差旅费、住宿费等费用统一由总部负担。

第三章 单位自查

第十七条 单位自查是企业和总部部门在日常工作中利用内部控制查错纠弊、加强管理、防范风险的自我测试与检查的监督方式。

总部有关部门应依据自查结果形成书面报告，经部门主任审定后，于每年8月1日和次年2月1日前报XX 集团内控办公室。重大问题向XX 集团内控领导小组汇报。

企业每年应依据内控综合检查和内控流程测试情况编写内控自查报告，经本企业内控领导小组组长签字确认后，于每年2月1日前报XX 集团内控办公室。企业应当将内控执行情况纳入考核，制定具体奖惩措施考核兑现。

单位自查参照《关于企业内控自查的指导意见》（石化股份内控„2008‟17号）和《总部层面内部控制检查评价与考核实施细则》（石化股份财„2007‟407号）。

第四章 内部控制考核

第十八条 考核与兑现

2009年 E －14

XX 集团设立“内控制度执行”考核指标，纳入对各直属单位领导班子的年度绩效考核，设1-2分、2-3分、3-5分三个扣分档次。

XX 集团内控办公室根据内部控制执行情况、日常监督、专项检查评价和年度检查评价结果及其整改情况，拟定考核扣分方案，报内控领导小组审定后进行考核兑现。

第五章 对外披露

第十九条 年度内部控制自我评价报告经XX 集团内控领导小组、董事会审定后按照国内外有关监管要求对外披露。

内部控制检查评价中发现的与财务报告相关的问题，整改后3个月内完全符合内部控制要求的，对外披露作出整改有效说明。

第六章 附 则

第二十条 本办法由XX 集团内控办公室负责解释。

2010年 E－15