内部控制评价管理办法.doc

内部控制评价管理办法第一章总则第一条为建立单位内控运行长效机制,提升内控管理水平,提高内控执行力,进一步完善内控体系,根据相关法律法规,特制定本办法。第二条内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。其包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。第三条单位内部控制评价的目标主要包括:(一)促进单位遵守国家法律法规及相关监管机构的监管要求。(二)促进单位提高风险管理水平,保证发展战略和经营目标的实现。(三)促进单位增强业务、财务和管理信息的真实性、完整性和及时性。(四)促进单位管理者和职工强化内部控制意识,严格贯彻落实各项控制措施,确保内部控制体系得到有效运行。(五)促进单位在出现业务创新、机构重组及新设等重大变化时,及时有效地评估和控制可能出现的风险。第四条单位内部控制管理评价根据充分性、合规性、有效性和适宜性要求,注重过程控制、结果考核、过失弥补三个环节,从以下方面进行:(一)过程和风险是否已被充分识别。(二)过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。(三)控制措施是否有效。(四)控制措施是否适宜。第五条单位内部控制评价遵循以下原则:(一)全面性原则。评价范围覆盖单位内部控制活动的全过程及所有的部门和岗位。(二)统一性原则。评价的准则、范围、程序和方法等保持一致,确保评价过程的准确及评价结果的客观和可比。(三)独立性原则。评价由内控管理领导小组独立进行。(四)公正性原则。评价以事实为基础,以法律法规、监管要求为准则,客观公正,实事求是。(五)重要性原则。评价依据风险和控制的重要性确定重点,关注重点区域和重点业务。(六)及时性原则。评价按照规定的时间间隔持续进行,当经营管理环境发生重大变化时,及时重新评价。第六条内部控制评价的主体是单位内部控制评价的实施者,主要是单位设立的内控管理领导小组,负责评价全单位内部控制总体执行情况。第七条内部控制评价的客体是单位内部控制评价的对象。内部控制要素包括:控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。第八条本办法适用于单位为内部各股室。第二章评价内容第一节内部控制环境第九条内部控制环境是指单位内部控制意识,以及与之相关的行为、政策和程序。单位内部控制环境评价内容包括:组织机构、内部文化、人力资源等。第十条组织机构。单位各部门之间、单位与各单位之间要建立分工合理、职责明确、报告关系清晰的组织结构。明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限。重点关注:(一)组织机构的设立是否满足本单位业务运营及管理的需要;(二)各专项业务职责是否清晰、权责是否明确、报告关系是否顺畅;(三)岗位分离措施是否正确并得到严格执行;第十一条单位文化。单位各部门、各股室是否按照单位的要求向职工正确传达并广泛宣传遵守法律法规和实施内部控制的重要性,引导职工树立合规意识和风险意识;是否在工作中不断提高职工的职业道德规范水准,规范职工的职业行为。第十二条人力资源。人力资源部门应完善人力资源政策和程序,确保与风险和内部控制有关人员具备相应的能力和意识。这些政策包括:(一)与风险和内部控制有关人员的适任条件得到严格执行;(二)单位各项激励奖惩措施是否得到执行;(三)是否严格执行员工引进、退出、选拔、专业技术职务管理处罚等人员适用规定;(四)各项薪酬、福利、绩效考核政策是否正确执行。第二节风险识别与评估第十三条风险识别与评估。各股室是否严格执行以书面程序,持续对各类风险进行有效的识别和评估。单位面临的风险主要包括信用风险、市场风险、操作风险、流动性风险、法律风险及声誉风险等。第十四条各股室根据法律法规、监管要求及单位内部控制制度确定风险是否可以接受,以确定是否进一步采取措施。对识别的可接受风险是否进行定期评审;对不可接受风险是否及时制定相应的控制措施。第十五条各股室应对环境和条件发生变化的风险进行再识别和再评估,应根据更新的法律法规和监管要求相应更新风险控制措施,并及时传达给相关部门和职工。第三节内部控制措施第十六条内部控制措施包括运行控制、计算机系统环境下的控制和应急准备与处置。第十七条各股室依照法律法规对各项业务和管理活动采取控制措施。第十八条计算机系统环境下的控制评价。对计算机信息系统硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制,确保信息的完整性、安全性和可用性,针对信息安全管理体系进行评价。第十九条应急准备与处置评价。对意外事件和紧急情况可能发生时的应急处置预案和程序进行评价。(一)是否定期检查、维护应急的设施、设备和系统。(二)应急预案是否与意外