某公司内部控制手册

2008 年年 9 月月 青岛海尔股份有限公司青岛海尔股份有限公司 内部控制手册附录内部控制手册附录 3 3 - -管理层自我评估指引管理层自我评估指引 (1)(1)（Beta 6.0） 2008 年年 9 月月 版本控制表：版本控制表： 文档名称文档名称: 青岛海尔股份有限公司管理层 CSA 指引 作作 者者: 青岛海尔股份有限公司内控部 所有者所有者: 青岛海尔股份有限公司 审阅者审阅者: 股份公司总经理、财务负责人 授权自授权自: 首次发布部门首次发布部门: 最后更新部门最后更新部门: 文档修改记录：文档修改记录： 版本号版本号更改日期更改日期作者作者/修订者修订者描述描述 Beta 1.02008 年 3 月海尔内控项目组修订指引职责部分 Beta 2.02008 年 3 月海尔内控项目组 修订指引具体操作指引 部分 Beta 3.02008 年 4 月海尔内控项目组修订指引附件内容 Beta 4.02008 年 5 月海尔内控项目组修订指引附件内容 Beta 5.02008 年 8 月海尔内控项目组修订指引附件内容 Beta 6.02008 年 8 月海尔内控项目组根据反馈，修订指引 青岛海尔股份有限公司 CSA 手册 - 1 - 目录目录 前言2 第一章 管理层自我评估(CSA)基本框架3 一.总体介绍.3 二.CSA 的实施前提.4 三.管理层自我评估(CSA)的主要内容 4 四.CSA 的类型 5 五.各部门 CSA 职责7 六.CSA 的质量控制.8 第二章 CSA 工作指引9 一.启动阶段.9 二.实施阶段.10 1.实施控制的自我评价.10 2.流程负责人审阅14 3.内控人员审阅15 4.注意事项.16 三.结果汇总和报告阶段.17 1.汇总 CSA 结果17 2.复核 CSA 工作完成情况清单18 3.汇报 CSA 成果18 四.后续跟踪阶段18 附件19 附件一 术语解释 .20 附件二公司层面控制及流程评估指引和问卷.21 附件三 岗位 CSA 指引50 附件四 对不适用控制的解释模板51 附件五 流程负责人清单模板 .52 附件六 流程/部门 CSA 实施计划模板53 附件七 流程负责人审核记录模板54 附件八 整改行动方案模板.55 附件九 内控人员审阅 CSA 结果（模板）.56 附件十 CSA 人员工作完成情况检查清单模板.58 附件十一 流程负责人承诺模板60 青岛海尔股份有限公司 CSA 手册 - 2 - 前言前言 青岛海尔股份有限公司（以下简称“股份公司”）高度重视风险管理和内部控制建 设工作。为了保证公司战略、运营、财务报告及法律遵循目标的实现，股份公司管理 层组织建立实施了风险管理及内部控制体系。该体系以流程说明和风险控制文档的形 式将风险与业务流程、控制活动以及各岗位执行人进行了匹配，为股份公司实现从最 小业务单元（各岗位）执行风险管控奠定了基础。 同时，股份公司管理层深刻认识到，风险管控不是某一部门的独有职责，该工作 涉及到公司各业务单元及每一个员工，保证内控体系完善且正常运转，需要业务部门、 内控部门及财务部门的共同努力。每一个岗位的员工都别赋予了风险管控的职责，通 过大家对制定、流程的遵循，在日常工作中切实避免公司潜在损失，提供工作的效率 和效果。 为了唤起全体员工对内控工作的主人翁精神，协助大家理解自身岗位在内控中的 具体职责和工作，股份公司根据流程及控制描述文档制定了一系列管理层自我评估 CSA（control self assessment）工具，该工具不仅是各岗位员工日常工作的参考也 是公司进行统一的内控有效性评估的操作工具。 管理层自我评估指引将全球最佳实践经验和股份公司实际相结合，对内部控 制自我评估的方法、评估步骤、主要评估工具和填写要求予以阐述，是公司管理层、 各部门管理层及所有岗位人员进行内控自评的操作指南；同时，本指引也为内控 人员对 CSA 进行质量提供了工作指引和相关工具。 本手册由股份公司 XXX 审批颁布。 青岛海尔股份有限公司 CSA 手册 - 3 - 第一章第一章 管理层自我评估管理层自我评估(CSA)基本框架基本框架 一一. .总体介绍总体介绍 CSA（Control Self Assessment），即管理层（内部控制）自我评估，是国际通用的 对公司风险管理及内部控制体系设计和执行有效性进行检查的工具。全面系统化的 CSA 机制是由员工根据确定的流程和职责，运用统一的方法对业务风险和内部控制进 行持续评估的活动，该过程融合了从高级管理层至各岗位员工的工作成果，反应了集 体的观点和智慧。 根据 COSO 内部控制框架，股份公司订立了自己的内部控制体系，包括：内部环境、 风险评估、控制活动、信息和沟通以及内部监督五方面内容（具体内容，请参见青 岛海尔内部控制手册）。完善的内控体系不仅包括对制度、流程的建立和更新，更 需要将内控要求在员工中有效传达，需要就控制执行情况进行时时监控。股份公司内 部监督采用两种方式：管理层自我评估（CSA）、内控部独立测试。 内控部独立测试相比，管理层执行内部控制自我检查评估更有利于风险管理及内部控 制知识和要求在全公司范围内传达，其检查评估范围往往更加广泛，项目成本相对较 低。 总之，实施 CSA 程序，不仅是员工对自身内控工作的检查，更是将内控工作与企业文 化融合的有效途径，其主要目标包括： 不断完善内部控制体系，加强风险管控，提升股东价值 实现实时地内部监督，发现问题及时纠偏 明确员工的内部控制责任，增强各层级员工对内部控制的认知和责任感 将内部控制理念融入企业文化 青岛海尔股份有限公司 CSA 手册 - 4 - 二二.CSA 的实施前提的实施前提 内部控制体系的建立是开展管理层自我评估的前提。股份公司内部控制体系建设维护 的主要工作包括： 明确高级管理层的内部控制体系管理职责； 确定股份国内公司内部控制体系框架及标准； 根据公司目标识别、评估风险，制定风险应对措施； 将风险与业务流程匹配，确认风险集中的业务流程为内部控制改进的重点； 识别业务流程中关键控制活动、执行岗位，将风险与控制匹配，明确控制负责 人（Control owner）和流程负责人（Process owner）； 根据现有差异制定行动计划，将改进后的控制措施以制度及流程文档的形式向 全体员工公布； 对所有制度、流程说明文档及风险控制文档统一管理，每年由业务部门、内控 部门共同审阅，保证文档与实际一致； 建立在全公司范围内共享的信息平台，确保员工能时时了解内控制度和要求。 股份公司已编制有制定内部控制手册，制定了明确、统一的内部控制要求，为每 项控制活动指定负责人（该负责人可能为多个）并将内控标准向全体员工有效传达。 三三.管理层自我评估管理层自我评估(CSA)的主要内容的主要内容 CSA 问卷主要涵盖两方面内容： 流程中的关键控制活动 股份公司制度、规定的要求 系统化的 CSA 程序主要包括： 为每个主要组成部分或流程建立问卷，内容涵盖关键的公司层面和业务流程层 面的控制活动和公司规定。 为每个组成部分或流程指定责任人，确保控制按要求执行。该责任人通常是部 门领导。 青岛海尔股份有限公司 CSA 手册 - 5 - 在每个组成部分或流程中，为每个独立控制指定责任人，该责任人通常负有对 控制的监管责任。 要求所有控制责任人评估所负责控制的有效性和合规性。 控制责任人作出的评估需要经过直接领导和流程责任人的审阅（如直接领导即 为流程负责人，则仅需 1 次审阅），从而在控制流程层面做出对控制的整体评 估。 相应层级的内控人员对公司自我评估结果进行质量验证，审阅自我评估的文档 并执行测试，以验证自评结果的准确性和内控体系运行的有效性。 各部门针对识别出的控制缺陷制定行动方案，定期追踪该方案的进展状况确保 其顺利完成。 各部门将整改结果上报公司管理层，重新评估该领域风险管控情况，确保问题 解决。 公司总经理或主管内控工作的副总经理依据以上自评结果和问题整改评估结果 对各部门的内控工作进行评估。 四四.CSA 的类型的类型 股份公司 CSA 依据使用者和评估内容不同，分为公司层面 CSA 和流程层面 CSA；流 程层面 CSA 又分为流程负责人评估（流程 CSA）和控制负责人评估（岗位 CSA）。 公司层面 CSA 主要包括涵盖以下内容： 公司治理：董事会、监事会、独立董事、审计委员会、管理层 内控部的职能和工作程序 人力资源部政策及程序 企业文化 反舞弊机制以 信息系统总体控制 流程层面 CSA 涵盖了公司的主要业务流程，包括：营销管理、销售与收款、采 购及付款、研发、生产与存货管理、工程及固定资产、成本及费用、资金管理、 投资管理、税务管理、期末关账、财务报告及信息披露。 流程负责人评估的主要目标是从全流程整体把握控制情况，即利用 COSO 框架，从部门内部环境，如人员、职责、权限等，风险评估，如绩效分析 青岛海尔股份有限公司 CSA 手册 - 6 - 追踪，信息系统和沟通渠道、内部监督等方面综合评估本流程/本部门内部 控制的有效性。 控制负责人自我评估则是针对每一具体控制活动，每一岗位的评估。岗位 自评能有力推动员工清晰了解自身的内部控制职责，增强内控意识，保证 将目标、风险控制落实到最小业务单元人，实现精细化内部控制建设监督。 分层级的控制标准和 CSA：为指导股份公司范围内不同业务单元、不同规模公司的内 部控制建设工作，股份管理层颁布了内部控制通用标准和内部控制具体标准。 通用标准是股份公司全体员工（各循环相关人员）及股份公司共享服务部门必 须遵循的通用要求，不涉及具体岗位和操作步骤，是指导性原则。 具体是精细化的内部控制操作规范，对控制的具体内容、操作方式、执行人、 发生频率、文档证据等清晰定义适用范围。 CSA 问卷与通用标准和具体标准的对应关系如下： 通用标准通用标准具体标准具体标准 公司层面控制评估指引 流程层面自我评估 流程负责人 评估问卷 公司层面控制评估指引 流程层面自我评估 流程负责人 评估问卷 流程层面自我评估 岗位 CSA 由内控部制定年度 CSA 计划，保证每年在全公司范围内至少应组织一次 CSA，范围 涵盖公司层面控制和流程层面控制。由股份公司管理层授权内控部内控体系建设推进 组牵头组织，各子公司、业务部门均需参与。内控部内控体系建设推进组汇总各公司 的评估结果，形成股份公司内控体系自我评估的整体结论。股份公司总经理及财务负 责人可委托内控部内控体系建设监督组进行 CSA 质量审核，现场督导各公司自我评估 工作开展。子公司、职能部门负责人是内控建设自评的第一责任人，应对自评发现的 控制缺陷制定整改方案并监督执行。 各部门根据需要，也可以利用 CSA 工具组织本部门内控自评。部门的内控自评计划、 自评工作记录、评估结果和整改方案均需报公司内控部审阅备案。内控部指导部门自 行组织的自我评估，对重大缺陷上报相关领导，追踪问题解决情况并在年度总体评估 时予以考虑。 青岛海尔股份有限公司 CSA 手册 - 7 - 五五.各部门各部门 CSA 职责职责 公司总经理或主管内控的副总经理的职责 为实现控制自评目标提供持续、积极、全力的支持。 成为控制自评有效实施的责任人和主要推动者，通过以下方式参与控制自评： 风险评估 就内部控制框架及标准要求进行评估并批准实施 对控制自评予以审阅 监控整改行动方案的执行 确保所有的流程责任人和控制责任人理解流程和控制措施，至少需熟知自身岗 位承担的内控工作和必要性。 确保所有流程责任人和控制责任人了解 CSA 程序，各阶段内容和完成控制自评 的必要性。 保证具备分发控制自评问卷至控制责任人和收集问卷反馈的流程。 流程责任人（部门负责人）的职责 确保本部门所有控制责任人理解流程和控制措施，至少需熟知自身岗位承担的 内控工作和必要性。 本部门控制遵循股份公司要求，保证设计和执行有效。 同股份公司内控部保持联系，就工作进展和问题及时咨询沟通。 建立本部门完成 CSA 的详细行动计划和时间表。 与计划和时间表对比，监控 CSA 自评的进展状况。 监督和确保控制责任人完成控制自评问卷。 进行质量审阅，只接受满足质量标准和更佳业务指引的控制自评。 完成流程 CSA，总体评价流程部门的内控情况。 与控制责任人针对识别出的控制缺陷讨论并确定行动方案。 控制责任人的职责 了解本岗位的控制责任和具体要求。 了解 CSA 的必要性和工作程序。 评估所负责控制的有效性和合规性，保证自我评估客观公正。 青岛海尔股份有限公司 CSA 手册 - 8 - 与流程责任人针对识别出的控制缺陷讨论并确定行动方案。 实施行动方案。 股份公司内控部职责 协助管理层进行年度风险评估，根据评估结果制定年度内控工作计划。 协助管理层制定年度 CSA 时间表，在项目过程中监督进展情况。 协助管理层制定并更新流程控制描述文档，CSA 问卷等。 协助制定并更新 CSA 检查清单(CSA checklist)。 接受管理层委托，就各部门控制自评结果进行独立的质量审核，就各部门自评 工作的有效性进行评价并书面报告管理层，监督整改方案的实施。 对获得“需加强的”或更低评分等级的流程，协助相应流程责任人完成行动方案。 定期向各流程负责人了解行动方案状态，在日常管理会议中进行通报。 六六.CSA 的质量控制的质量控制 为了保证自我测评结果的准确性，股份公司建立了 CSA 质量审核程序。 流程负责人或（部门领导）进行审核，或者指派控制自评人的直属领导进行审 核，根据流程或（部门领导）确定的测试范围、方法和样本量对自评结果进行 检查，填写审核记录。 相应层级的内控人员对 CSA 进行审核，确认业务部门 CSA 评估结果的有效性。 内控部进行 CSA 质量审核的方法与通常的内控测试一致（具体工作程序见青 岛海尔股份有限公司内部控制制度。内控部审阅结果需形成报告，向公司高 级管理层汇报。 青岛海尔股份有限公司 CSA 手册 - 9 - 第二章第二章 CSA 工作指引工作指引 根据年度计划，各公司/部门开展 CSA 的具体工作程序包括： 启动阶段：管理层审阅并下发 CSA 指引及问卷，流程/部门负责人确认本流程/ 部门岗位和主要业务流程是否与 CSA 指引及问卷中的内容一致。各部门制定具 体 CSA 计划。 实施阶段：相应人员自评并填写问卷，交给直属领导、流程/部门负责人、相应 层级的内控人员测试审阅，并且管理层针对 CSA 发现问题制定整改行动方案 结果汇总和报告阶段：CSA 结果汇总并上报管理层及审计委员会 后续跟踪阶段：对整改行动方案的监督及汇报 股份公司管理层自我评估（CSA）循环如下图所示： 青岛海尔内部控制评价体系青岛海尔内部控制评价体系 一一. 启动阶段启动阶段 公司管理层在内控部门协助下定期（每季度）对流程文档、CSA 问卷进行评估，根据 业务流程的变化予以更新。在公司负责人审阅批准更新后的流程文档和 CSA 问卷后， 由各级管理层以书面或电子的形式下发给下属各单位，实施控制的自我评估。 青岛海尔股份有限公司 CSA 手册 - 10 - 在具体实施 CSA 之前，股份公司内控部应编制“流程负责人清单”（见附件五），确 保为所有流程都指定了负责人。 流程/部门负责人应确认本流程/部门内的岗位和主要业务流程是否与管理层下发 的流程文档和 CSA 问卷一致。如果不一致，应及时向公司管理层汇报，要求更 新。流程文档和 CSA 问卷更新后，交内控部统一存档。 各流程/部门负责人应编制本流程/部门的 CSA 实施计划（见附件六），确定各 相关人员应负责的公司层面控制和流程层面控制评估的范围和计划完成的时间。 二二. 实施阶段实施阶段 1.实施控制的自我评价实施控制的自我评价 各流程负责人对本流程控制执行及 CSA 评估效果全面负责，根据 CSA 实施计划（见 附件六）监督相关人员完成自我评估。控制负责人依计划填写岗位 CSA 问卷，流程负 责人填写流程 CSA 问卷。 就 CSA 实施过程中遇到的问题，应咨询内控部人员。 1） 公司层面公司层面 CSA 评分等级说明评分等级说明 公司层面 CSA 评价等级分为三等：“是”、“否”、“不适用”。在进行自我评估时， 评估人首先应在“现状”一栏填列本公司/部门本年/（季/日）的具体执行情况或措施， 包括发生次数等。在进行公司层面控制自我评估时，应将实际执行的控制与自评内容 进行对比。如果分公司/部门未能设计相应的控制确保达到自评内容中的要求，则为控 制设计不适当；如果分公司/部门设计了相应的控制并指定了实施该控制的负责人，但 日常工作中并未严格按照控制描述实施控制，则为控制实施不当。 根据设计和实施两个维度的评价，通过以下矩阵得出某控制要求的得分。如果控制设 计不适当，得分为 5 分；如果控制设计适当但是缺乏有效的实施，得分为 4 分；如果 控制设计适当且执行有效，得分为 1 分。 青岛海尔股份有限公司 CSA 手册 - 11 - 具体得分标准如下： 设计是否适当设计是否适当 实施是否适当实施是否适当 是是否否 是15 否45 注：如设计是否适当和实施是否适当任意一栏填写为不适用，则该控制点不计入评分汇总和平 均分计算。 同时，对于不适用本部门的控制措施，自评人需要注明不适用的原因（见附件四）， 及时通知内控部，判断原因是否合理、可接受。 2） 流程层面流程层面 CSA 评分等级说明评分等级说明 管理层下发 CSA 问卷时，需要对评分标准及含义进行说明。为了协助自评人理解评价 标准，可根据业务规模等确定重要性水平，如定义 1 百万为需关注的金额，则对 1 百 万以下的交易的控制未充分执行，对管理层来说是可接受的。同样，重要性水平也包 括对关注的业务或事项的说明，如管理层认为资产安全性比较关注，则可以要求对此 类控制必须严格执行，一切不遵循均是“需加强的”。 对流程层面的每个控制点实施自我评价应遵循以下步骤： 青岛海尔股份有限公司 CSA 手册 - 12 - 实施控制的自 我评价 该控制点评分为 5“不存在的” 或4“较弱的” 否 是 是否一直（整个评估期间） 执行控制 否 该控制点评分为 1“好的” 是 是 否 否 是 是否理解本岗位控制职责、 目标和操作规范？ 该控制的运行是否能够发现 并纠正所有重大例外事项 该控制的运行是否能够发现 并纠正所有重大里外事项 该控制点评分为 3“需加强的” 是 该控制点评分 为4“较弱的” 否 该控制点评分 为4“较弱的” 是否保留所有执行证据 是 该控制点评分为 3“需加强的” 是否能提供替代性证据 该控制点评分为 2“可接受的” 否 青岛海尔股份有限公司 CSA 手册 - 13 - 具体评分标准解释和举例如下表所示： 分数分数评分等级评分等级含义含义 1.好的好的 “我总是检查并留有签字我总是检查并留有签字” 总是实施控制并留有证据。 例如，对于报销的审批活动，“好的”意味着我对所有样本的报销表 格均进行了检查并留有签字。 2.可接受的可接受的 “我总是检查，但部分单据未签字我总是检查，但部分单据未签字” 总是实施控制，虽然未能按规定保留控制实施证据，但是保留了替代 性的证据。 例如，对于报销的审批活动，“可接受的”意味着虽然我未在部分报 销表格签字，但我保存着当时审批的其他证据（如审批邮件等）。 3.需加强的需加强的 “我并非总是对每张单据检查，但我月末进行汇总查看且留有签字我并非总是对每张单据检查，但我月末进行汇总查看且留有签字” 未能有效执行关键控制，但实施了同一控制目标下的其他控制作为补 偿性控制，能部分地达到该控制目标。该补偿性控制有效实施。 例如，对于报销的审批活动，“需加强的” 意味着有超过 2 个以上的 单据样本未签字，且我也没有保留当时审批的其他证据（假定该控制 为每日发生）。但是我每月审阅当月所有的报销记录并签字，每个月 都对当月的报销记录汇总表进行了审阅和签字确认，评估总体合理性。 4.较弱的较弱的 “我并非总是对每张单据检查，但我月末进行汇总查看，只是部分月份我并非总是对每张单据检查，但我月末进行汇总查看，只是部分月份 没有签字没有签字” 管理层未能有效执行关键控制，但实施了同一控制目标下的其他控制 作为补偿性控制，能部分地达到该控制目标。补偿性控制已实施，但 是未能按规定保留实施证据，而只能提供替代性证据。 例如，对于报销的审批活动，“需加强的” 意味着有超过 2 个以上的 单据样本未签字，且我也没有保留当时审批的其他证据（假定该控制 为每日发生），或采取其他措施降低风险。 5.不存在的不存在的“我没有实施控制活动我没有实施控制活动” 同时，对于不适用本部门的控制措施，自评人需要注明不适用的原因（见附件四）， 如流程变更、系统变化等；流程/部门负责人审阅该原因是否真实合理，签字确认。对 由于职责或流程变更造成 CSA 不适用的情况，需及时上报内控部和公司领导，对流程 和 CSA 进行更新。 青岛海尔股份有限公司 CSA 手册 - 14 - 2.流程负责人审阅流程负责人审阅 控制负责人完成 CSA 问卷后，流程负责人需执行适当的审阅程序，包括：将流程岗位 CSA 结果与岗位 CSA 汇总结果比对；执行检查程序；对 CSA 结果进行验证，确保 控制负责人自评结果公正、客观 （本人）能够评估流程总体控制情况 该审阅可以由流程负责人（部门负责人） 执行，也可以由部门负责人委派控制责任人 的直接领导执行。但审阅的范围、方法及结果需要由流程负责人确认签字。审阅程序 如下： 确定需要审阅的控制活动 审阅人应关注高风险领域（业务流程），以及对达成流程或运营目标起关键 作用的控制，这些控制通常用于保证流程或运营按照预期计划执行。同时对 历史上出现问题较多的控制也应适当选择。 关键控制的例子： 重大交易、重要业务或项目的授权审批 向高管层定期报告 适当的职责分离 资产的安全的保护 确定审阅的测试方法 有三种方法用于测试实际执行的控制是否符合流程文档描述或制度规定。 抽样检查：这种方法要求控制执行留有书面证据，如审批记录、管理层 报告、会议记录等。 观察：这种方法要求审阅者亲身体验控制的整个过程。 访谈：审阅者访谈控制责任人以更好地理解流程或控制。 使用何种方法进行审阅取决于流程责任人的判断，理由应在审核记录上写明。 青岛海尔股份有限公司 CSA 手册 - 15 - 确定测试样本量 测试的样本规模和交易数量取决于审阅者的评估，以下是一些考虑因素： 交易量 影响金额 流程复杂度 以前的测试结果 流程变更的频率 进行测试 审阅者在测试过程中不应带有任何偏见，应当随机选择接受访谈的员工及所 在部门，测试样本应该涵盖整个自我评估期间而非局限于某些特别时间。 审阅记录 审阅人应当记录其执行的所有测试的结果（请参见附件七）。这不仅能帮助 他对所负责流程进行整体评估，还能作为计划未来审阅的基础。测试结 果文档记录应当予以保存作为质量审阅的证据。 在审阅之后，流程负责人需要针对 CSA 中发现的问题制定整改行动方案（请参见附件 八）。 3.内控人员审阅内控人员审阅 相应层级的内控人员对 CSA 进行审核，确认业务部门 CSA 评估结果的有效性。内控 部进行 CSA 质量审核的方法与通常的内控测试一致（具体工作程序见“内控部制度”） ，在测试范围（抽查的控制数量）和样本量选择上可以根据风险等级确定。内控部审 阅结果需形成报告（参见附件九），向公司高级管理层汇报。 青岛海尔股份有限公司 CSA 手册 - 16 - 4.注意事项注意事项 在 CSA 完成之前，各参与人员都应参照 CSA 人员工作完成情况检查清单（附件十）， 确保应该实施的工作都已完成。 流程/部门负责人应填写承诺表（请参见附件十一），书面确认已经审阅了本流程/部门 CSA 调查问卷，确认其评估结果真实反映了本流程/部门的现有流程和控制情况；并且 书面确认已经已就本部门内控工作进行检查，对发现的内控差异真实上报和制定行动 计划。 CSA 过程需形成规范的书面记录，各部门自查记录、领导审核记录及行动方案等均由 股份公司管理层指定的部门统一归档管理。 青岛海尔股份有限公司 CSA 手册 - 17 - 三三. 结果汇总和报告阶段结果汇总和报告阶段 1.汇总汇总 CSA 结果结果 由于部门内可由多人执行同一控制，各部门下涉及多个控制，因此需要对 CSA 结果进 行汇总。通常使用简单算术平均分作为汇总分值，由流程/部门负责人负责对本流程/部 门的所有控制得分进行汇总。 举例如下： 对控制控制 C1，有 6 位采购经理进行评价，其中 5 位已经评价了控制的有效性和合规性， 1 人确认该控制不适用。自评人均对评估表签字确认。平均分汇总过程如下： 评分级别评分级别好的 （1） 可接受的 （2） 需加强的 （3） 较弱的 （4） 不存在 （5） 不适用 （*） 控制控制 C1 是否所有采购人员均仅通过 SAP 系统下达采购订单，不存系统外订单？ 控制 3.12 得到各种评分等 级的次数（评价的人数） 211011 该部门控制 C1 的加权分数 1 0.40.40.601- 控制控制 C1 的得分的得分 2 2.40 （*） 不适用的控制不进行评分汇总和平均分计算。 因此，得出控制控制 3.12 得分为 2.40，相当于“可接受的”。 对股份公司下属多家事业部的评估结果，以及由不同部门执行同样控制的评估结果均 可采用此方法计算，形成总体评估结果。如某项控制评估后确定“不适用”，则该控 制不应进行评分汇总和平均分计算。 出于谨慎性考虑，股份公司日常也可以采用更为严格的评分方法，即汇总得分取最小 值，如某控制点有三个问题，其中一个自评为“需加强的”，则控制总体自评结果为 3 分。同样，如果三名员工同时进行自评，一人评价为“需加强的”，则控制总体评 价为 3 分。 1 单项加权分数 = 该评分级别的分数 该控制得到该评分等级的次数 /该控制被评价的总次数。如对 于某实施评估人来说，该控制点不适用，则该结果不参与汇总计算。 2 控制 C1 的得分 = 各评分等级下控制 C1 的加权分数之和 青岛海尔股份有限公司 CSA 手册 - 18 - 2.复核复核 CSA 工作完成情况清单工作完成情况清单 管理层应检查各参与 CSA 人员的工作完成情况检查清单（附件十），确保应执行的工 作都已经完成了。 3.汇报汇报 CSA 成果成果 最后，管理层应将评估结果及时汇报给董事会或审计委员会。并且将 CSA 评估文档提 交给内控部，由内控部开始实施内控独立测评（参见内控手册）。 四四. 后续跟踪阶段后续跟踪阶段 各流程/部门负责人应监控对 CSA 发现问题的整改措施实施情况。通常而言： 若控制的评级为“可接受的”，则无需针对整改措施进行特别的测试，只需在 下一次的 CSA 中关注整改措施的实施情况即可； 若控制的评级为“需加强的”，各流程/部门负责人应监控在 6 个月内完成整改， 并对整改后的控制进行管理层自我评估。 若控制的评级为“较弱的”或“不存在的”，各流程/部门负责人应监控在 3 个 月内完成整改，并对整改后的控制进行管理层自我评估。 相应层级的内控部应协助流程/部门负责人监控整改方案的实施，定期向各流程负责人 了解行动方案状态，在日常管理会议中进行通报。 以上整改措施的实施结果都应及时汇报给董事会或审计委员会。 青岛海尔股份有限公司 CSA 手册 - 19 - 附件附件 附件序号附件序号文档名称文档名称适用岗位适用岗位 附件一术语解释所有人员 附件二公司层面控制及流程评估指引和问卷所有人员 附件三岗位 CSA 指引所有人员 附件四不适用控制点说明模板所有人员 附件五流程负责人清单模板流程负责人 附件六流程/部门 CSA 实施计划模板流程负责人 附件七流程负责人审核记录模板流程负责人 附件八整改行动方案模板所有人员 附件九内控人员审阅 CSA 结果内控部 附件十CSA 人员工作完成情况检查清单模板所有人员 附件十一流程负责人承诺模板流程负责人 青岛海尔股份有限公司 CSA 手册 - 20 - 附件一附件一 术语解释 1. 风险 任何负面的、可能影响企业达成既定目标的事件即为风险。 2. 流程 为实现某项业务职能或目标的相关工作的组合（例如，采购计划，货物存储）。 3. 控制 为协助管理层达成业务目标，将企业风险超过管理层可接受水平从而影响企业运营的 可能性降至最低，实施的检查、运营或管理活动。 4. 控制框架 管理层在某个业务流程中建立的防止组织风险的控制组合。 5. 控制责任人 即控制负责人。每个控制都应清晰指定责任人。流程责任人需要在识别出负责流程的 关键控制责任人，由控制责任人定期评估自身工作（控制）的有效性。例如，采购经 理是下达采购订单的控制责任人，确保所有采购业务均获得相应授权人员的审批。 6. 流程责任人 流程责任人是保证某一流程控制设计和执行有效的整体负责人，需要指定控制责任人， 评估控制责任人自评效果并评估该流程/部门的整体控制环境。在内控体系中确定“流 程责任人”十分关键。例如，采购部负责人是所有采购活动的流程责任人。 7. 控制自评 控制责任人、流程责任人对与其相关的控制活动的持续评估。CSA 是依据公司控制框 架、控制要求和制度规定制定的系统化方法，保证管理层了解并关注风险和控制的持 续改进。 青岛海尔股份有限公司 CSA 手册 - 21 - 附件二附件二公司层面控制及流程评估指引和问卷 1、公司层面评估指引和问卷 董事会自评指引董事会自评指引 本指引列出了所有事关董事会有效性的关键因素，要求每个董事会成员回答 7 个 领域共计 29 个问题。每个发现的薄弱环节都应当得到关注并进一步调查问题来 源，采取跟进措施，监督问题解决。 序号序号自评内容自评内容现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 结构与组成 1. 董事会成员理解自己以及其他成员 的角色，并且具备职责所需的技能 和经验 2. 董事会的规模对于企业是适当的 3. 董事会具有完善的技能、经验、资 质、知识组成，且没有重大的技能、 经验、资质、知识方面的缺失 4. 重要的董事会成员和管理层成员有 更替计划、接班人计划 5. 董事会下设专业委员会的组成适当， 工作负责，能够清晰完整的向董事 会做出汇报 角色与关系 6. 董事会知晓与外界各方的联系如投 资者、监管机构等，并能有效的与 利益相关方进行沟通和反馈 7. 董事会定义了外部利益相关方，并 确保公司的相关计划适当的通知到 各方 8. 董事会主席与 CEO 等高级管理层能 精诚合作，根据自身经验和技能指 导管理层工作 9. 董事会积极且建设性的对各类事件、 监管者的报告进行回应，以增加透 明性 10. 董事会主席的领导风格和思路能够 促进更富成效的决策、更富建设性 的讨论，能使整个董事会成为一个 团队 青岛海尔股份有限公司 CSA 手册 - 22 - 序号序号自评内容自评内容现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 11. 执行董事作为一个董事的工作卓有 成效，自觉遵循道德要求和对股东 的承诺 12. 非执行董事能为战略的设定有效的 贡献自己的力量，并且监督管理层 的工作，提供支持建议，提出挑战 董事会议 13. 董事会议能够鼓励对公司事项的讨 论，对问题的探究，并能在公开和 保密之间保持适当的平衡 14.董事会议召开次数足够多，且会议 具备质量高、细节丰富的信息 15. 董事会的循环日程覆盖了所有公司 的重要事项，并列明优先级。这些 事项包括但不限于公司战略的执行、 风险因素、品牌美誉度的提升 信息与决策制定 16.董事会能够行使公司章程赋予的权 利 17. 董事会成员能以合作、客观的态度 制定符合公司利益的决策，并以企 业获得成功为己任 18.董事会对于董事会议之间发生的运 营事项能够获得信息量充足的报告 19. 董事会成员能够获得适当的信息访 问权限，能够获得充分的信息支持 决策 20. 为了董事会能够充分而且适当进行 检查，董事会对有关信息的获取必 须有足够的时间提前量 战略制定 21. 所有董事会成员都参与讨论并支持 公司战略，公司的标准、价值观、 行为准则能使董事会建立自上至下 一致的管理层基调 22. 所有的董事会成员都清楚地了解公 司财务、人力资源、组织结构关系 等对公司战略目标达成至关重要的 因素 有效的监控 23. 董事会负责内部控制的建立健全和 有效实施，有证据证明董事会知晓 且履行职责 青岛海尔股份有限公司 CSA 手册 - 23 - 序号序号自评内容自评内容现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 24. 董事会具有明确、适当的沟通汇报 路线，包括董事会内部、董事会与 高级管理层之间，能够保证及时发 现并处理相关事项 25. 董事会建立了有效的风险管理机制， 能够在战略目标制定时予以考虑执 行 绩效 26.董事会为自己设定目标，每年评估 目标达成情况 27.董事会的每个成员都会进行年度绩 效评估 28.董事会评估各专业委员会的年度绩 效，提议或决定委员的更替 29. 董事会审阅审计委员会提交的年度 自我评估报告，对其绩效如独立性、 胜任能力等进行评估 监事会自评指引监事会自评指引 本指引按照青岛海尔股份有限公司监事会议事规则编制，监事会可根据本指 引评估自身工作实务的有效性。每个发现的薄弱环节都应当得到关注并进一步调 查问题来源，采取跟进措施，监督问题解决。 序号序号自评内容自评内容现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 结构与组成 1. 监事会的规模对于企业是适当的 2. 公司职工代表在监事会的比例不低于 三分之一 3. 所有监事会成员理解自己的角色，并 拥有角色所需的经验和技能 4. 监事会知识、技能、经验结构合理， 能够充分履行职责 角色与关系 5. 监事会成员满足公司法、公司章程等 法律法规对独立性的要求 6. 监事会明确了内外部相关方，并能与 各方进行通畅的沟通 青岛海尔股份有限公司 CSA 手册 - 24 - 序号序号自评内容自评内容现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 7. 监事会明确了解法规及赋予 的监督职责 监事会议 8. 监事会议召开的次数足够多，且会议 具备高质量、细节丰富的信息 9. 监事会议日程内容丰富，应覆盖所有 与职责相关的重要事项，且会议得到 记录和保存 信息与决策制定 10. 监事会能够获得适当的资源，行使公 司法、公司章程等法律法规赋予的权 利 11.监事会的监督能对董事、高级管理层 的绩效评价产生重要影响 12.监事会有获得进行财务内控或者其他 专项调查所需信息的权限 13.监事会能够及时获知公司重大经营决 策、内部控制建设等相关信息 绩效评估 14.监事会为自己设定目标，并进行年度 评估目标达成情况 15.监事会的每个成员都会进行年度绩效 评估 16.监事会自觉接受股东对其履职表现的 评估 独立董事自评指引独立董事自评指引 本指引依据青岛海尔股份有限公司独立董事制度（2007 年修订）编写，要 求每个独立董事成员回答 5 个领域共计 16 个问题。每个发现薄弱环节都应当得 到关注并进一步调查问题来源，以便采取跟进措施。 序号序号自评内容自评内容现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 结构与组成 1. 独立董事的数量和专业知识结构符 合公司规定 2.独立董事的知识、能力、经验及专 青岛海尔股份有限公司 CSA 手册 - 25 - 序号序号自评内容自评内容现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 业水平对于公司是适当的，且没有 重大的缺陷 3. 独立董事充分理解自己的职责 角色与关系 4. 独立董事能够充分行使法律、法规、 公司章程、规定赋予的职权 5. 独立董事能够充分行使法律、法规、 公司章程、规定赋予的职权以外的 特别职权 6. 独立董事能够获得足够的信息以行 使自己的职权 7. 独立董事能够获得充分的行政支持 以开展自身工作 独立性 8. 独立董事在资质上符合法律法规以 及公司规定的要求 9. 独立董事的产生程序上符合法律法 规以及公司规定的要求 10.独立董事的经济独立性在实质上符 合法律法规以及公司规定的要求 11.独立董事能够独立的行权，不受利 益相关方的影响 独立意见 12. 独立董事应公允、客观的就法律、 法规、公司章程规定的事项发表独 立意见，并充分考虑独立意见对决 策的影响 13.董事会为独立董事提供充分的信息、 资料以协助独立董事发表独立意见 14.公司建立独立董事责任保险制度， 并且制度得到有效落实 青岛海尔股份有限公司 CSA 手册 - 26 - 审计委员会自评指引审计委员会自评指引 本指引概述了审计委员会的工作实务，并可用于审计委员会履行其职责有效性的 评估。同时，审计委员会亦可通过寻求来自管理层、内审部门、法务部门以及外 部审计师的反馈以提升自身工作绩效。 序号序号自评内容自评内容 其他参其他参 与者与者 现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 结构与组成 1. 董事会周期性的审阅委员会 成员的经验和技能的综合水 平来保持适当的平衡 董事会 2. 委员会的成员由董事会、二 分之一以上独立董事或全体 董事会提名委员会任命 董事会 3. 委员会的规模对组织是恰当 的能够满足国内外法规要求， 可以适当的履行职责 董事会 4. 至少有一名独立董事具有会 计或相关财务的专长。 董事会 5. 成员符合公司任命期限的规 定 董事会 独立性 6. 审计委员会成员在提名和选 择的时候充分考虑了独立性 要求 提名委 员会 7. 委员会的所有成员符合法规、 股票交易等要求独立于管理 层 董事会 8. 审计委员会成员的独立性符 合法律法规的要求。对独立 性存在影响方面包括，但不 限于：前雇员关系、商业关 系、薪酬委员会交叉任职、 亲属等。 9. 审计委员会成员理解影响独 立性的具体事项，当此类情 况出现时需及时向董事会汇 报 权利 10.具有董事会的授权执行相关 的活动 董事会 11.具有与管理层人员、公司职 员和相关信息不受限的接触 管理层 青岛海尔股份有限公司 CSA 手册 - 27 - 序号序号自评内容自评内容 其他参其他参 与者与者 现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 权利 12. 有权利建立程序来处理员工 的关注事项，以及公司获悉 的有关会计、内控和审计事 项的投诉。（如：道德热线/ 检举热线的建立） 董事会 组织 会议 13. 委员会的成员能够参加会议。 高级管理层和外部内部的审 计师在必要时被邀请参加会 议 14. 委员会定期开例会，在需要 时召开临时会议。（每年至 少 3 或 4 次会议是比较合适 的） 15. 会议的日程和材料在会前充 分的准备和分发，以使委员 会的成员为会议做准备。 委员会 秘书 16. 会议纪要向董事会、审计委 员会的成员（适当时包括外 部和内部审计师）及时分发 委员会 秘书 17. 主席或委员会的其他成员参 加批准财务报告的董事会会 议 董事会/ 委员会 主席 18. 委员会的成员参加每一次的 委员会会议，如未能出席， 则确保已将会议内容、资料 和决议传达缺席成员 19.委员会与内部法律顾问定期 会晤 法律顾 问 20. 为新的委员会成员提供充足 的背景信息和培训，以使其 有效的履行职责。 委员会 主席/委 员会秘 书 21.委员会具有足够的资源来履 行其职责 委员会 主席 内部控制与风险管理 22.评估管理层建立的“控制文化” 23. 理解管理层实施的控制体系： 交易授权，数据记录，财务 报告相关准则的遵循等 管理层 24.关注外部和内部审计师对内 部控制的建议是否被管理层 管理层 青岛海尔股份有限公司 CSA 手册 - 28 - 序号序号自评内容自评内容 其他参其他参 与者与者 现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 实施 25. 关注管理层如何审核有关电 子数据处理和计算机安全的 控制的充分性 管理层 /IT 部门 道德与法规遵从 26.审核管理层监控公司遵循法 规的程序 管理层 27. 审核管理层和法律顾问就影 响财务报告的法规遵循事项 的跟进 管理层/ 法律顾 问 28.审核执法机构在任何检查中 的发现事项 管理层监督与内部审计制度 29.审核内部审计的业务和人员 结构，批准内部审计章程 内部审 计 30. 审与管理层讨论，共同决定 内控部内控监督组组长的任 命、更换或者辞退 管理层 31.与内控部内控监督组组长周 期性的单独会晤 内控监 督组 32. 审核的重大发现并确保管理 层内控监督组及时的做出了 反应 内控监 督组/管 理层 33.批准内控监督组制定的内控 评估计划（年度） 内控监 督组 34.审核内控监督组的培训计划 内部审 计/管理 层 与外部审计师关系 35. 审核审计师的资质、业绩和 薪酬，并在董事会任命时推 荐审计师 外部审 计师 36.考虑外部审计师的独立性， 和存在的任何利益冲突 外部审 计师 37. 审核外部审计师提议的审计 范围和方法。调查审计计划 后续调整的原因 外部审 计师 38. 讨论任何审计问题，包含审 计范围的限制或者禁止获取 必要信息 外部审 计师 39.审核外部审计师对管理层出 具的报告，并确保管理层采 外部审 计师/管 青岛海尔股份有限公司 CSA 手册 - 29 - 序号序号自评内容自评内容 其他参其他参 与者与者 现状现状 设计是否适设计是否适 当（是当（是/否否/ 不适用）不适用） 执行是否适执行是否适 当（是当（是/否否/ 不适用）不适用） 跟进措施跟进措施 取了相应措施理层 40.调查外部审计师预期对内部 审计工作的依赖程度 外部审 计师/内 部审计 师 41. 调查除了使用主审会计师事 务所外对其它审计或会计公