22.2内控监察
1.1概述
规定了XX股份有限公司集团总部及其下属公司(下属公司是指XX股份有限公司投资(参股或控股)或托管或由上海XX有限公司托管的公司)的内部控制监察管理过程。旨在确保内控措施有效实施,查找控制缺陷,降低企业风险,不断完善企业内部控制体系。
1.2适用范围
适用于XX股份有限公司集团总部及其下属公司。
1.3相关制度
风险管理评价指引。
1.4职责分工
风险管理部:制定内控评价工作方案,组成内控评价小组,编制内控评价报告,向被评价部门提出整改意见。
内控评价小组:调查被评价单位或部门的情况,确定检查评价范围和重点,然后进行现场测试,最后完成现场评估报告。
被评价部门:配合评价小组的工作,部门负责人须确认发现的控制缺陷和现场评估报告;根据下发的整改意见展开整改。
董事会或其授权机构:审批内部控制评价工作方案,审定内控评价报告后并披露。
1.5
流程图
1.6控制目标
序号 内控手册唯一具体控制目标编号 控制目标 目标类别
1 22.2-CT1 确保制定合理内控评价方案 经营效率目标
2 22.2-CT2 确保配合合理工作组成员 经营效率目标
3 22.2-CT3 确保评价工作合理有效 经营效率目标
4 22.2-CT4 确保内控资料得到妥善保管 经营效率目标
1.7控制矩阵
风险编号 风险描述 对应控制目标编号 关键控制措施编号 关键控制措施 不相容职务 控制活动类型 对应制度 控制痕迹 会计报表认定 会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露
1 2 3 4 5
22.2-R1 内控评价工作方案的设计和调整不合理,导致未发现企业经营管理过程中的重大风险,使内控工作无法达到预期效果 22.2-CT1 22.2-CA1 风险管理部应当根据公司内部监督情况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作方案 预防型 风险管理评价指引 评价工作方案 ? ? ? ? ?
22.2-R2 评价工作方案的内容不明确,导致内控资源分配不合理,影响内控评价工作的正常开展 22.2-CT1 22.2-CA2 评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既可以全面评价为主,也可以根据需要采用重点评价的方式。 预防型 风险管理评价指引 评价工作方案 ? ? ? ? ?
22.2-R3 内控评价工作方案未经董事会审批,导致计划不合理,不能达到实际效果,并浪费公司资源 22.2-CT1 22.2-CA3 评价工作方案制定完成后,须经过董事会审核批准后实施 编制/审批 预防型 风险管理评价指引 评价工作方案 ? ? ? ? ?
22.2-R4 评价工作组成员组成不合理,导致存在的企业风险无法被发现,影响内控监察的效果 22.2-CT2 22.2-CA4 评价工作组成员应当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加 预防型 风险管理评价指引 评价小组人员名单 ? ? ? ? ?
22.2-R5 评价工作组成员不具备相应的胜任能力,导致无法查出相应问题,评价工作效果不显著 22.2-CT2 22.2-CA5 内部控制评价小组根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价 预防型 风险管理评价指引 评价小组人员名单 ? ? ? ? ?
22.2-R6 未对被评价部门或单位基本情况进行调查,导致评价范围和重点不符合部门实际情况,最终评价结果不准确 22.2-CT3 22.2-CA6 评价小组实施评价前须对被评价部门或单位基本情况进行了解,根据掌握的情况进一步确定评价范围、检查重点和抽样数量 预防型 风险管理评价指引 ? ? ? ? ?
22.2-R7 现场测试未填写工作底稿、记录相关测试结果,导致查出的内部控制缺陷无证可查 22.2-CT3 22.2-CA7 评价人员对现场测试完后,须按要求填写工作底稿、记录等相关测试结果,对发现的内部控制缺陷进行初步认定 预防型 风险管理评价指引 评价底稿 ? ? ? ? ?
22.2-R8 评价底稿未进行交叉复核签字,可能导致控制缺陷有遗漏或重复,影响评价结果准确性 22.2-CT3 22.2-CA8 评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认 预防型 风险管理评价指引 评价底稿 ? ? ? ? ?
22.2-R9 内控评价人员未与被评价单位及时有效地沟通所发现的问题或内控缺陷,导致被评价单位不认可相关问题或缺陷,影响内控评价的客观性、准确性 22.2-CT3 22.2-CA9 评价工作组将评价结果及现场评价报告向被评价部门或单位进行通报,由被评价部门或单位相关责任人签字确认后,提交风险管理部 执行/确认 预防型 风险管理评价指引 评价报告 ? ? ? ? ?
22.2-R10 评价结果及现场评价报告未由被评价单位相关责任人签字确认,导致评价报告失去可信度 22.2-CT3 22.2-CA10 评价结果及现场评价报告应当由被评价单位相关责任人签字确认 评价/确认 预防型 风险管理评价指引 《风险管理考核与评价记录》 ? ? ? ? ?
22.2-R11 内部控制评价频率偏低,导致无法及时查出新的控制缺陷,并及时整改 22.2-CT3 22.2-CA11 公司应根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等对评价频率进行调整,根据控制缺陷及时调整控制措施,以达到内部控制有效 预防型 风险管理评价指引 评价工作方案 ? ? ? ? ?
22.2-R12 对于发现的内控问题相关责任部门未采取整改措施或整改不力,导致内控评价流于形式,无法达到内控目标 22.2-CT3 22.2-CA12 对于认定的内部控制缺陷,风险管理部应当结合董事会和审核委员会要求,提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,公司应当追究相关人员的责任 发现型 风险管理评价指引 后续跟踪测试表
22.2-R13 未对内控重大缺陷或内控执行不力等造成企业重大损失的事项予以追责,导致问题责任不清、内控建设不受重视 22.2-CT3 22.2-CA13 对发现存在内控重大缺陷或者内控执行不力的单位或部门应当予以追责,追责应当与该单位或部门领导的绩效考核相挂钩 预防型 风险管理评价指引 员工KPI工作目标考核表
22.2-R14
未将内控建设与评价工作的文档妥善有序保管,导致内部控制评价的相关文件资料、工作底稿、证明材料及报告等遗失 22.2-CT4 22.2-CA14 风险管理部负责妥善保管内部控制评价的相关文件资料、工作底稿、证明材料及报告等,并定期归档。 预防型 风险管理评价指引 评价资料清单