集团有限公司内部控制管理办法附内部控制缺陷认定标准及评价报告.docx

《集团有限公司内部控制管理办法附内部控制缺陷认定标准及评价报告.docx》由会员分享，可在线阅读，更多相关《集团有限公司内部控制管理办法附内部控制缺陷认定标准及评价报告.docx（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、施为依据，结合X集团制度，对各项业务处理程序的授权批准、 职责分工、财产保护、预算控制、风险化解及处置等控制措施的 设计与运行情况进行认定和评价。第二十八条 信息与沟通是及时、准确地收集、传递与内部 控制相关的信息，确保信息在内、外部之间进行有效沟通。信息与沟通评价包括：以各项法律法规、行业规范为依据, 结合X集团制度，对信息收集、处理和传递的及时性、反舞弊机 制的健全性、财务报告的真实性、信息系统的安全性，以及利用 信息系统实施内部控制的有效性等进行认定和评价。第二十九条内部监督是对内部控制建立与实施情况进行监 督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以 改进的过程。内部监督评

2、价包括：以各项法律法规、行业规范中有关日常 管控的规定为依据，结合X集团制度，对内部监督机制的有效性 进行认定和评价，重点关注监事会、审计与风险管理委员会、内 部审计机构等是否在内部控制设计和运行中有效发挥监督作用。第五章内部控制监督与评价第三十条X集团根据集团公司及公司实际设定的标准和依 据，开展内部控制监督评价工作。第三十一条 法律风控部统筹推进内部控制评价的具体组织 实施任务。包括：1.拟订评价工作方案并认真组织实施；2.初步 认定内部控制缺陷，并与各职能部门沟通后提交x集团有关决策 会议审议；3.拟订整改方案，编写内部控制评价报告，经董事会 审议批准后报上级单位备案；4.督促各部门、所

3、属企业对内、外 部内控评价的缺陷进行整改。第三十二条 各职能部门应按照职责分工落实内部控制评价 责任，负责组织本部门的内控自查、测试和评价工作，对发现设 计和运行缺陷提出整改方案及具体整改计划并落实整改。第三十三条法律风控部结合x集团情况拟订重大缺陷、重 要缺陷、一般缺陷的认定标准，并将相关标准提交x集团有关决 策会议审议。第三十四条 对自评发现的内部控制缺陷，各部门分析缺陷 的性质和产生原因，提出整改方案，促进内部控制持续优化。为 进一步提升x集团精细化管理水平，对不构成一般缺陷的事项也 应予以关注并加以整改。第三十五条内部控制评价程序包括：制定评价工作方案、 组建评价工作组、实施现场测试、

4、认定控制缺陷、汇总评价结果、 编制评价报告、反馈及跟踪整改情况等环节。各部门应综合运用 抽样法、实地查验法、对比分析法、文档查看法、调查问卷法、 个别访谈法、穿行测试法、重新执行法等，对X集团内部控制建 设和执行情况进行自评价。每年年末或下一年度第一季度，X集 团法律风控部一般按以下步骤组织实施内控自评价。1 .制定评价工作方案。方案应明确评价主体范围、工作任务、 人员组织、进度安排等相关内容，经董事会或其授权机构批准后 实施。2 .组成评价工作组。法律风控部根据经批准的评价方案，组 织挑选评价人员。工作组成员应当吸收x集团内部相关部门熟悉 情况的业务骨干参加。工作组成员对本部门的内部控制评价

5、工作 应当实行回避。根据情况，法律风控部可以委托中介机构实施内 部控制评价工作。但为x集团提供内部控制评价服务的中介机构, 不得同时为x集团提供内部控制审计服务。3 .实施现场测试。(1) 了解被评价部门基本情况。工作组与被评部门进行充 分沟通，了解其组织机构、工作标准、岗位职责和预算完成情况， 内部控制工作概况等。(2)确定检查评价范围和重点。工作组根据掌握的情况进 一步确定评价范围、检查重点和抽样数量，并结合工作组人员情 况进行分工。(3)开展现场检查测试。工作组人员运用各种评价方法对 内部控制设计与运行的有效性进行现场检查测试，按要求填写工 作底稿、记录相关测试结果，并对发现的内部控制缺

6、陷进行初步 认定。4 .认定控制缺陷。工作组汇总评价人员的工作底稿，工作底 稿应进行交叉复核，初步确认内部控制缺陷。对内部控制缺陷的 认定，应当以日常监督和专项监督为基础，结合年度内控控制目 标，按照规定的权限和程序进行审核后予以最终认定。5 .编制评价报告(1)工作组应根据评价情况，汇总分析，共同编制公司内部控制评价报告。内部控制评价报告应当包括内部控制环境、风 险评估、控制活动、信息与沟通、内部监督等要素。(2)法律风控部对工作组评价人员现场初步认定的内部控 制缺陷及内部控制评价报告进行全面复核、分类汇总，在此基础 上综合内部控制工作整体情况，客观、公正、完整地编制内部控 制评价报告。(3

7、)内部控制评价报告应报审计与风险管理委员会审议， 并提交公司董事会批准后，方可对外披露或报送相关部门。(4)工作组在评价过程中发现业务流程的设计内容与x集 团经营运作需要不相符时，应及时反馈修改意见。(5)工作组应当关注自内部控制评价报告基准日至内部控 制评价报告发出日之间是否发生影响内部控制有效性的因素，并 根据其性质和影响程度对评价结论进行相应调整。x集团以每年 12月31日作为年度内部控制评价报告的基准日，且内部控制评 价报告不得迟于基准日后4个月内完成。6.报告反馈及跟踪。(1)对于认定的内部控制缺陷，法律风控部应结合董事会 要求，提出整改建议，组织、督促各部门落实整改，建立整改台 账

8、，并跟踪其整改落实情况，按照上级要求上报整改报告及相关 资料。已造成损失的，应当追究相关人员的责任。（2）各部门应明确内部控制缺陷的责任人和完成时限，对整改效果进行跟踪，并将整改结果及时报送法律风控部。（3）法律风控部应收集整理归档内部控制评价有关的文件 材料、工作底稿和证明材料等，并按公司相关管理规定进行妥善 保管。第六章附则第三十六条本办法所列条款如与国家相关法规、行业规范 不符，按国家相关法规、行业监管规定执行。第三十七条所属企业应根据企业实际制定内部控制缺陷认 定标准，并进行内部控制自评，在每年3月15日前将上一年度 的企业内部控制评价报告报法律风控部备案。第三十八条 本办法由法律风控

9、部负责解释。第三十九条本办法自印发之日起实施。附件：1.x集团有限公司内部控制缺陷认定标准2.内部控制评价报告（模板）附件1:集团有限公司内部控制缺陷认定标准根据企业内部控制基本规范及其配套指引的有关规 定，结合公司规模结构、经营特点、行业特点、风险水平等 因素，确定公司内部控制缺陷认定标准。一、内部控制缺陷的分类（一）按照内部控制缺陷成因或来源，内部控制缺陷包 括设计缺陷和运行缺陷。1 .设计缺陷：指缺少为实现控制目标所必须的控制，或 现存控制设计不适当，即使正常运行也难以实现控制目标。2 .运行缺陷：指设计有效（合理且适当）的内部控制由 于运行不当包括未按设计方式或意图运行、运行的时间或频

10、 率不当、没有得到一贯有效运行、执行人员缺乏必要授权或 专业胜任能力等，无法有效实现控制目标。（二）按照影响公司内部控制目标实现的严重程度，分 为重大缺陷、重要缺陷和一般缺陷。1 .重大缺陷，是指一个或多个控制缺陷的组合，可能导 致公司严重偏离控制目标。当存在任何一个或多个内部控制 重大缺陷时，应当在内部控制评价报告中做出内部控制无效 的结论。2 .重要缺陷，是指一个或多个控制缺陷的组合，其严重 程度低于重大缺陷，但仍有可能导致公司偏离控制目标。重 要缺陷的严重程度低于重大缺陷，不会严重危及内部控制的 整体有效性，但也应当引起执行董事、经理层的充分关注。3 .一般缺陷，是指除重大缺陷、重要缺陷

11、以外的其他控 制缺陷。（三）按照影响公司内部控制目标的具体表现形式，将 内部控制缺陷分为财务报告缺陷和非财务报告缺陷，缺陷主 要以定性和定量分析划分。1 .财务报告缺陷，主要是指不能合理保证财务报告可靠 性的内部控制设计和运行缺陷。换句话说，财务报告缺陷, 是指不能及时防止或发现并纠正财务报告错报的内部控制 缺陷。2 .非财务报告缺陷，是指虽不直接影响财务报告的真实 性和完整性，但对企业经营管理的合法合规、资产安全、经 营效率和效果以及发展战略等控制目标的实现存在不利影 响的其他控制缺陷。二、内部控制缺陷的认定标准（一）设计性缺陷和执行性缺陷的认定虽然设计性缺陷和执行性缺陷的一般认定程序有差异

12、, 但是两部分工作没有绝对的界限，可能在设计性缺陷的认定 过程中发现执行性缺陷，也可能在执行性缺陷认定程序中发 现设计性缺陷。所以，缺陷认定程序时，应当注意全方位的 分析与评估控制的涉及和执行有效性，识别内部控制缺陷。1 .设计性缺陷认定根据“目标认定-风险识别与评估-控制识别-缺陷认定”的思路对设计性缺陷进行识别认定。需要对公司整体层面和各业务流程层面的合法合规、资 产安全、财务报告及相关信息真是完整、提高经营效率和效 果以及促进公司实现发展战略等目标进行分析，识别公司在 实现目标的过程中的风险。若未设置相应的控制措施对相应 风险进行控制或者所设置的控制措施不能起到实质的控制 作用，则认定为

13、设计性缺陷。设计性缺陷是被完成后，需要留出整改的时间。待整改 完成后，需要对整改后新的控制点进行整改情况跟踪，并且 对新的控制点执行设计有效性测试。2 .执行性缺陷认定按照“制定内部控制测试计划-执行内部控制测试-内部 控制测试结果分析-缺陷认定”的思路对执行性缺陷进行认 定。通过已经识别并梳理的内部控制关键控制点，制定每个 期间的测试计划，对所需抽取的样本进行复核，汇总整理测 试结果，分析所发现的例外事项，即执行的过程中与预先设 置的控制点不一致的情况，最终确定执行性缺陷。执行性缺陷的发现一般基于已经设置并且已经执行过 一段期间的控制活动，但并不保证该控制活动不存在设计性缺陷。(二)内部控制

14、缺陷的重要性和影响程度是相对于内部 控制目标而言的。按照内部控制缺陷对财务报告目标和其他 内部控制目标实现影响的具体表现形式，区分财务报告内部 控制缺陷和非财务报告内部控制缺陷，分别制定认定标准。1 .财务报告内部控制缺陷的认定财务报告内部控制是指针对财务报告目标而涉及和实 施的内部控制。由于财务报告内部控制的目标集中体现为财 务报告的可靠性，因而财务报告内部控制的缺陷主要是指不 能合理保证财务报告可靠性的内部控制设计和运行缺陷。根据缺陷可能导致的财务报告错报的重要程序，公司采 用定性和定量相结合的方法将缺陷划分确定为重大缺陷、重要缺陷和一般缺陷。缺陷定义认定标准定量标准定性标准重大缺陷至一个

15、或多 个控制缺陷 的组合，可 能导致企业 严重偏离控 制目标该缺陷造成的财务报表错报金额落在如下 区间：1 .错报金额才当年合并报表利润总额的5% ；2 .错报金额N当年合并报表资产总额的1% ；3 .错报金额当年合并报表营业收入总额的1% ；4 .错报金额 力 当年合并报表所有者权益总额 的1%OL如果存在包括但不限于下列问题的， 考虑是否存在财务报告内部控制重大缺 陷：(1)公司董事、监事和高级管理人员舞 弊；(2)公司更正已公布的财务报告，且更 正前信息已影响报告使用者作出正确判 断的；(3)外部审计发现当期财务报告存在重 大错报，而内部控制在运行过程中未能重要缺陷是指一个或 多个控制缺

16、 陷的组合， 其严重程度 低于重大缺 陷，单仍有该缺陷造成的财务报表错报金额落在如下 区间：5 .当年合并报表利润总额的3%W错报金额当年合并报表利润总额的5% ；6 .当年合并报表资产总额的0.5%W错报金额 当年合并报表资产总额的1% ；发现该错报；(4)公司会计报告已经或很可能被注册 会计师出具否定意见或拒绝表示意见；(5)公司内部监督无效。2.如果存在包括但不限于卜列问题的， 考虑是否存在财务报告内部控制重要缺可能导致公 司偏离控制 目标7.当年合并报表营业收入的0.5%W错报金额当年合并报表营业收入总额的1% ；8.当年合并报表所有者权益总额的0.5%0错 报金额 当年合并报表所有者

17、权益总额的1%O陷：(1)公司中层管理人员舞弊、其他员工 发生较严重集体舞弊行为，并对企业造 成较大损失；(2)公司更正已公布的财务报告，并对 公司造成较大影响；(3)外部审计发现当期财务报告存在重 要错报，而内部控制在运行过程中未能 发现该错报；(4)沟通后的重大缺陷没有在合理期间 得到纠正。3.不构成重大缺陷和重要缺陷的内部控 制缺陷，应认定为一般缺陷。一般 缺陷是指除重大 缺陷、重要 缺陷以外的 其他控制缺 陷该缺陷造成的财务报表错报金额落在如下 区间：9 .错报金额 当年合并报表利润总额的5% ；10 .错报金额 当年合并报表资产总额的0.5% ；11 .错报金额 当年合并报表营业收入

18、的0.5% ；12 .错报金额 当年合并报表所有者权益总 额的0.5%o注：定量标准中所指的财务指标值均为公司最近一期经审计的合并报表数据。2 .非财务报告内部控制缺陷的认定非财务报告内部控制是指针对除财务报告目标之外的 其他目标的内部控制。这些目标一般包括战略目标、资产安 全、经营目标、合规目标等。公司非财务报告缺陷认定主要 依据缺陷涉及业务性质的严重程度、直接或潜在负面影响的性质、影响的范围等因素来确定。缺陷定义认定标准定量标准定性标准至一个或多 个控制缺陷该缺陷造成的财产损失落在如下区 间：1 .缺乏民主决策程序，如缺乏“三重一大”决 策程序；2 .决策程序导致重大失误，如决策失误，导致

19、 并购不成功；3 .违反国家法律、法规，受到政府部门处罚， 且对公司定期报告披露造成重大负面影响；重大的组合，可1.财产损失N利润总额的5%4.管理人员和技术人员流失严重，给企业造成缺陷能导致企业 严重偏离控 制目标2 .财产损失与资产总额1%3 .财产损失经营收入总额1%4 .财产损失2所有者权益总额1%损失；5 .媒体负面缺乏制度控制活制度系统性时效， 造成按定量标准认定的重大损失；6 .重要业务缺之制度控制至或制度系统性失 效，造成按定量标准认定的重大损失；7 .已经发现并报告给管理层的非财务报告内部 控制重大缺陷在合理的时间内未得到整改；机制O第五条X集团建立内部控制组织架构，明确企业

20、主要领导 是企业内控体系监管工作第一责任人，负责组织领导建立健全覆 盖各业务领域、部门、岗位，涵盖各级子企业全面有效的内控体 系。并明确汇报机制，根据发展战略规划，按照战略目标确定X 集团内部控制规范建设整体目标。第六条董事会决定X集团内部控制管理工作的重大方针和政策，保证内部控制管理体系建立健全和有效实施，并 在每年4月30日之前审议和批准X集团的上一年度内控评价报 告。根据董事会的授权，总经理负责x集团内部控制管理工作的 具体执行，并根据实际将有关事项提交总经理办公会审议，具体 包括：1 .批准内部控制建设与实施的工作计划；2 .批准年度内部控制评价的工作方案；3 .批准x集团内部控制的重

21、大决策、重大风险、重大事件和 重要业务流程的判断标准或判断机制；4 .审阅和批准x集团内部控制评价报告；5 .批准内部控制重要、重大缺陷认定报告（含缺陷整改方案）;6 .批准内部控制与风险管理的重要文档及重大、重要报告；7 .批准内部控制组织架构设计及职责方案；8 .督导x集团内部控制与风险管理文化的培育；8.出现重大安全生产、环保、产品质量服务事 故。重要 缺陷是指一个或 多个控制缺 陷的组合， 其严重程度 低于重大缺 陷，单仍有 可能导致公 司偏离控制 目标该缺陷造成的财产损失落在如下区间：5 .利润总额的3%W财产损失 利润总 额的5%6 .资产总额0.5%W财产损失 资产总 额1%7

22、.经营收入0.5%W财产损失 经营收 入总额1%8 .所有者权益总额0.5% W财产损失 所有者权益总额1%9 .民主决策程序存在单不够完善或决策程序出 现失误；10 .违反国家法律、法规，收到政府部门处 罚，但未对公司定期报告披露造成显著负面 影响；11 .重要业务制度执行中存在较大缺陷；12 .关键敢为业务人员流失严重；13 .媒体出现负面新闻，石较大不良影响；14 .重要业务缺乏有效制度控制，造成按定量 标准认定的较大损失；15 .已经发现并报告给管理层的非财务报告内 部控制重要缺陷在合理的时间内未得到整 改；16 .公司出现较大安全生产、环保、产品质量 或服务事故。一般 缺陷是指除重大

23、 缺陷、重要 缺陷以外的 其他控制缺 陷该缺陷造成的财产损失落在如下区 间：9 .财产损失净利润总额的3%财产损失资产总额0.5%10 .财产损失（经营收入0.5%11 .财产损失（所有者权益额0.5%17 .公司决策程序效率不高，影响公司生产经 营效果。18 .公司员工违反内部规章，给公司造成一般 损失；19 .媒体出现负面新闻，但影响不大；20 .公司一般业务制度或系统存在缺陷；21 .公司一般缺陷未得到整改。注：定量标准中所致的财务指标值均为公最近一期经审计的合并报表数据。三、内部控制缺陷的认定程序法律风控部编制内部控制缺陷认定汇总表，结合日常监 督和专项监督发现的内部控制缺陷及其持续改

24、进情况，对内 部控制缺陷及其成因、表现形式和影响程序进行综合分析和 全面复核，提出认定意见，并以适当的形式向执行董事、监 事或者经理层报告。重大缺陷应当由执行董事予以最终认定。四、内部控制文档记录与保管公司各部门应当以书面或其他适当的方式，妥善保存内部控制建立与实施过程中的相关记录或资料，确保内部控制 建立与实施过程的可验证性。（一）内控文档按内部控制要素分为以下五类：1 .内部环境文档包括组织结构图、权限指引表、部门及 岗位职责说明、员工手则、执行董事和监事成员履历、发展 战略规划等。2 .风险评估文档包括风险评估制度、风险评估过程记录、 风险评估报告等。3 .控制活动文档包括各项控制流程文

25、档。4 .信息与沟通文档包括财务报告，经营分析报告，执行 董事及专业委员会会议、总经理办公会议、经营例会等重要 会议纪要、举报投诉记录等。5 .内部监督文档包括审计计划、审计项目计划、年度内 部审计工作总结、审计报告、审计意见书、审计决定书、整 改情况说明材料、员工合理化建议记录，专项监督实施方案 和过程记录、专项监督报告、内部控制自我评价报告及相关 资料等。（二）内控文档按行程过程分为设计文档、执行文档和 测试文档。涉及文档按“谁设计，谁保留”的原则，由设计 部门保留，各部门和单位保留操作细则和本岗位职责和权限 指引等。执行文档由执行机构保留，保存期限遵从有关专业 要求。测试文档按照“谁测试

26、，谁保留”的原则，由负责测试部门保留。附件2：X公司X年度内部控制评价报告根据企业内部控制基本规范关于加强监管企业内控 体系建设与监督工作的实施意见（x号）等有关要求，对本 公司内部控制的有效性进行了自我评价。一、内控体系建设及执行情况（一）内控环境搭建情况。包括但不限于组织架构及 履职情况。内控体系工作机制建立和完善情况、职能部门 对内控、风险管理和合规管理监督的职责及履职情况、制 度建设及执行情况、内控文化普及情况等。（二）风险评估工作开展情况。包括但不限于风险评 估标准、风险管理的过程等。（三）控制活动开展情况。包括但不限于控制活动的 分类、关注要点、措施等。（四）信息与沟通情况。信息系

27、统覆盖的子企业和业 务范围情况，以及管控措施嵌入、功能实现、集成应用等 情况。（五）内控监督工作开展情况。董事会对企业年度内 控体系有效性的评价意见、内控审计工作等。二、内控评价的范围（一）内控评价的范围涵盖了公司及所属企业的重点 业务和事项，重点关注下列高风险区域（列示企业根据风 险评估结果确定的前“十大”主要风险，风险分类详见附件）:1.2.（二）纳入评价范围的企业（三）纳入评价范围的业务和事项三、内部控制缺陷及认定根据内部控制缺陷认定标准，结合日常监督和专项监督 情况，发现报告期内存在 个缺陷，其中重大缺陷个，重要缺陷 个。重大缺陷分别为（对重大缺陷进行描述，并说明其对实现相关控制目标的

28、影响）四、内控缺陷的整改情况针对报告期内发现的内控缺陷，公司采取了相应的整改 措施（描述整改措施的具体内容和实际效果）。经过整改，公司目前仍存在 个缺陷，其中重大缺陷个，分别为（对重大缺陷进行描述）针对未完成整改的重大缺陷，公司拟进一步采取相应措 施加以整改（描述整改措施的具体内容及预期达到的效果）五、内控控制有效性的结论公司已经根据基本规范及其他相关法律法规的要求，对 公司截至X年12月31日的内部控制设计与运行的有效性进行了自我评价。（存在重大缺陷的情形）报告期内，公司在内部控制设 计与运行方面尚存在未完成整改的重大缺陷（描述该缺陷的 性质及对其实现相关控制目标的影响程度）。由于存在上述

29、缺陷，可能会对公司未来带来相关风险（描述该风险）。（不存在重大缺陷的情形）报告期内，公司对纳入评价 范围的业务与事项均已建立了内部控制，并得以有效执行, 达到了公司内部控制的目标，不存在重大缺陷。内部控制应当与公司经营规模、业务范围、竞争状况和 风险水平等相适应，并随着情况的变化及时加以调整（简要 描述下一年度内控工作计划）9 .批准内部控制管理相关制度；10 .批准其他涉及内部控制管理的有关事项。第七条 法律风控部是内部控制规范建设的归口管理部门， 统筹协调各部门推进x集团内部控制建设日常管理和监督工作, 组织实施x集团及所属企业的内部控制检查、监督与评价。其主 要职责包括：11 拟订内部控

30、制建设年度工作计划；12 组织x集团内部控制体系的建立、实施与完善；13 组织内部控制手册的编写工作；14 组织查找内控缺陷，对内部控制建设工作中出现的重要问 题提出解决方案并汇报；15 组织编制并审核x集团年度内部控制评价的工作方案；16 组织实施内部控制评价工作，并对过程中违规违纪事件根 据有关规定进行处理；17 组织审核x集团内部控制评价报告；18 组织审核其他需要提交董事会或者总经理办公会解决的 相关重要事项、文档；19 其他涉及内部控制规范建设的事项。第八条 各部门是内部控制规范建设的具体实施部门，具体 负责各自职能范围内的内控控制规范建设的日常管理，针对具体 业务流程进行内控控制检

31、查与评价。各部门主要职责包括：1 .负责内部控制建设年度工作计划中涉及本部门职能的工作安排；2 .建立涉及本部门职能的内部控制体系的制度、业务流程建 立、实施与完善；3 .负责各自职能范围内内部控制手册的编写工作；4 .查找公司的内控缺陷，对内部控制建设工作中出现的重要 问题提出意见、建议；5 .编制、审核x集团年度内部控制评价工作方案中涉及本部 门职能的部分；6 .实施涉及本部门职能范围的内部控制评价工作，并对过程 中违规违纪事件根据有关规定移交有关部门进行处理；7 .审核内部控制评价报告涉及本部门职能的部分；8 .审核涉及本部门职能的其他需要提交董事会或者总经理 办公会解决的相关重要事项、

32、文档；9 .其他涉及本部门职能范围内的内部控制规范建设事项。第九条 x集团所属企业按分级管理的原则对所辖业务涉 及的内部控制建设管理工作负责，主要履行以下职责：1 .负责组织制定本企业的内部控制制度及流程；2 .负责执行本企业的内部控制制度及流程，并根据本业务及 管理变化情况，开展风险评估，对照风险点制定或完善相应的内 部控制措施，及时更新内部控制流程文档，确保内部控制有效;3 .根据x集团内部控制工作整体部署，负责组织落实本年度内部控制相关工作;4 .负责向x集团法律风控部提供本业务内部控制相关信息, 主要包括内部控制设计、运行情况和对内部控制检查情况，如遇内部控制重大变化应及时沟通；5 .

33、按照x集团年度内部控制评价方案，执行内部控制检查工 作，完成内部控制检查底稿。提出所辖业务内部控制缺陷的初步 认定及内部控制缺陷整改方案，并在决策完成后五个工作日内报 x集团备案；6 .负责培育员工良好的内部控制管理素质；7 .其他涉及企业内部控制管理的工作。第十条 x集团所属企业在实施内部控制时应按规定记录 相关内部控制文档，文档的编制方法应符合本办法的要求。主要 包括：1 . X集团及各所属企业的各项规章制度；2 .各项业务生成的各种原始资料；3 .与内部控制相关的各项记录及会议资料；4 .内部控制自我检查及评价过程中的资料；5 .其他相关材料。第十一条x集团各部门负责人负责配合组织实施本

34、部门内 部控制评价。审定内部控制评价方案，审核内部控制评价报告, 对内部控制评价中发现的问题或缺陷，积极采取有效措施整改。第十二条x集团各部门应负责组织本部门的内控自查、测试 和评价工作，对发现设计和运行缺陷提出整改方案及具体整改计划，积极整改，并报送工作组复核，配合工作组开展X集团层面 的内控评价工作。第十三条 X集团所属企业内部控制建设岗位的所有人员 应具备相应的职业道德和任职能力，拥有完整专业的知识和对应 的业务熟悉程度。第十四条X集团所属企业应参照X集团内控工作开展情况 逐级落实内部控制评价责任，建立日常监控机制，开展内控自查、 测试和定期检查评价，发现问题并认定内部控制有缺陷的，需拟

35、 定整改方案和计划，进行整改，编制并上报内部控制评价报告（详 见附件2）。同时应制定相关制度，对内部控制执行和整改情况考 核。第三章内部控制的建立与实施第十五条建立和实施内部控制，遵循以下基本原则：1 .全面性原则。内部控制应当贯穿决策、执行和监督全过程， 覆盖企业及其所属单位的各种业务和事项。2 .重要性原则。内部控制应当在全面控制的基础上，关注重 要业务事项和高风险领域。3 .制衡性原则。内部控制应当在治理结构、机构设置及权责 分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营 效率。4 .适应性原则。内部控制应当与企业经营规模、业务范围、 竞争状况和风险水平等相适应，并随着情况的变

36、化及时加以调整。5 .成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。第十六条建立和实施有效的内部控制，应当包括下列要素:1 .内部环境。内部环境是企业实施内部控制的基础，一般包 括治理结构、机构设置及权责分配、内部审计、人力资源政策、 企业文化等。2 .风险评估。风险评估是企业及时识别、系统分析经营活动 中与实现内部控制目标相关的风险，合理确定风险应对策略。3 .控制活动。控制活动是企业根据风险评估结果，采用相应 的控制措施，将风险控制在可承受度之内。4 .信息与沟通。信息与沟通是企业及时、准确地收集、传递 与内部控制相关的信息，确保信息在企业内部、企业与外部之间

37、 进行有效沟通。5 .内部监督。内部监督是企业对内部控制建立与实施情况进 行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当 及时加以改进。第十七条控制措施一般包括：不相容职务分离控制、授权 审批控制、业务程序控制、人员素质控制、重大风险预警控制、 总法律顾问控制、会计系统控制、财产保护控制、预算控制、运 营分析控制、绩效考评控制和审计检查控制等。第十八条 法律风控部组织编制内部控制管理手册，从内部 环境、风险评估、控制活动、信息与沟通、内部监督五个方面建立完善内部控制。业务流程是内部控制管理手册编制、更新的重 要依据，X集团各职能部门应在制定、修订规章制度时编制和更 新对应业务流程文件

38、，并纳入规章制度中。第十九条当发生下列事项时，应修订完善内部控制管理手 册及相关内部控制体系文件：1 .国家相关法律法规、外部监管要求等发生变化时。2 .公司发展战略、组织机构、管理职责、规章制度、信息系 统等发生较大调整和变化时。3 .业务管理要求发生重大变化时。4 .发生重大内控缺陷事件时，需新增、修订和完善对应内部 控制规范内容。5 .其他需修订和完善内部控制体系文件的事项。第二十条法律风控部牵头各有关部门在x集团整体内部控 制框架下，牵头梳理规范x集团关键业务流程和控制措施，使员 工掌握企业规章制度、业务流程、关键控制点等情况，明确权责 分配，正确行使职权。第二十一条 各部门应以书面或

39、者其他适当的形式，妥善保 存内部控制建立与实施过程中的相关记录或者资料，确保内部控 制建立与实施过程的可验证性。第二十二条各部门应通力配合，加强内部控制信息化建设 力度，推动公司“三重一大”、投资和项目管理、财务和资产、物 资采购、全面风险管理、人力资源等信息系统的集成应用，逐步实现内部控制与业务信息系统互联互通、有机融合。第二十三条各部门应梳理和规范业务系统的审批流程及各 层级管理人员权限设置，将内部控制管控措施嵌入各类业务信息 系统，确保自动识别并终止超越权限、逾越程序和审核材料不健 全等行为，促使各项经营管理决策和执行活动可控制、可追溯、 可检查，有效减少人为违规操纵因素。第四章内部控制

40、的评价内容第二十四条内部控制评价工作主要依据X集团制度和工作 流程，围绕内部环境、风险评估、控制活动、信息与沟通和内部 监督等要素，对内部控制设计和运行情况进行全面评价。第二十五条内部环境是实施内部控制的基础。内部环境评价的内容包括：治理结构、机构设置及权责分配、 人力资源、企业文化和社会责任等，结合集团公司内控制度对内 部环境的设计和运行情况进行认定和评价。第二十六条风险评估是及时识别、系统分析经营活动中与 实现内部控制目标相关的风险，合理确定风险应对策略的过程。风险评估评价的内容包括：以X集团日常管控过程发现的主 要风险为依据，结合X集团内控制度，对日常经营管理过程中的 风险识别、风险分析、风险应对政策等进行认定和评价。第二十七条控制活动是根据风险评估结果，采用相应的控 制措施,将风险控制在可承受范围之内，达到控制目标的全过程。控制活动评价包括：以各项法律法规、行业规范中的控制措