《内部控制管理办法》

《内部控制管理办法》

第一章总则

第一条目的

为了加强和规范集团内部控制规范建设，提高集团经营管理水平

和风险防范能力，促进集团可持续发展，同时规范内部控制评价程序,

依据国家有关法律法规、《企业内部控制基本规范》及其配套指引和

集团《内部审计管理办法》等相关制度要求制定本办法。

第二条适应范围

本办法适应于奥凯煤'业集团及纳入合并报表范围内的子公司。第

三条术语

本管理办法所称内部控制，是由集团及其各单位、董事会、监事

会、管理层和全体员工实施的、旨在实现控制H标的过程。内部控制

的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相

关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

第四条基本原则

内部控制建设应当围绕内部环境、风险评估、控制活动、信息与

沟通、内部监督等五个要素进行。并且遵循全面性、重要性、原则制、

制衡性、适应性及成本效益原则进行具体实施。

第二章实施步骤

第五条集团应当根据国家有关法律法规和公司章程，建立规范的

公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限,

形成科学有效的职责分工和制衡机制。

第六条集团须建立内部控制组织架构并明确汇报机制；根据集团

发展战略规划，按照战略目标确定集团内部控制规范建设整体目标。

第七条集团经营管理中心下属审计组织负责内部控制规范建设

推进工作，并按规定向董事长及相关领导汇报建设进度。内部控制规

范建设包括设计、运行和评价，经营管理中心负责《内部控制管理手

册》和《内部控制评价手册》的编制，且协助各职能中心、分公司负

责《内部控制制度手册》的编制。

第八条董事会（董事长）负责决策公司内部控制管理工作的重大

方针和政策，保证内部控制的建立健全和有效实施，在出现重大内部

控制缺陷时，及时决策内部控制缺陷解决方案。具体包括：

1、批准内部控制建设与实施的工作计划；

2、批准年度内部控制自我评价的工作方案；

3、批准集团内部控制的重大决策、重大风险、重大事件和重要

业务流程的判断标准或判断机制；

4、审阅和批准集团内部控制自我评价报告；

5、批准内部控制重要、重大缺陷认定报告（含缺陷整改方案）：

6、批准内部控制与风险管理的重要文档及重大、重要报告；

7、批准内部控制组织架构设计及职责方案；

8、督导集团内部控制与风险管理文化的培育：

9、批准按照公司章程规定由董事会（董事长）批准的内部控制

管理相关制度以及其他事项。

第九条集团经营管理中心审计组织对董事会（董事长）负责，是

其内部控制规范建设的常设机构，负责集团内部控制建设日常管理和

监督工作，并组织实施集团各单位的内部控制自我检查与整个集团的

内部控制自我评价工作。其主要职责包括•：

1、组织审议内部控制建设工作计戈IJ;

2、组织实施集团内部控制体系的建立、实施与完善；

3、组织内部控制手册的编写工作；

4、对内部控制建设工作中出现的重要问题提出解决方案并汇报:

5、组织编制并审核年度内部控制自我评价的工作方案；

6、组织实施内部控制自我评价工作，并对过程中违规违纪事件

进行调查和处理；

7、组织审核内部控制自我评价报告；

8、审核其他需要提交董事会（董事长）解决的相关内部控制重

要事项及文档。第十条各职能中心、分公司按分级管理的原则对所辖

业务涉及的内部控制建设（设计、运行和自我检查）管理工作的有效

性负责，负责主持内部控制管理的日常工作，集团各职能中心、分公

司为内部控制管理执行机构，主要履行以下职责：

1、负责组织制定本组织的内部控制制度及流程；

2、负责执行本组织的内部控制制度及流程，并根据本业务及管

理变化情况，开展风险评估，对照风险点，制定或完善相应的内部控

制措施，及时更新内部控制流程义档，确保内部控制有效；

3、根据公司内部控制工作整体部署，负责组织落实本年度内部

控制相关工作;

4、负责向集团经营管理中心提供本业务内部控制相关信息，主

要包括内部控制设计、运行情况和对内部控制自我检查情况，如遇内

部控制重大变化应及时沟通；

5、按照集团年度内部控制评价方案，执行内部控制自我检查工

作，完成内部控制自我检查底稿；并按照集团《内部控制评价手册》

提出所辖业务内部控制缺陷的初步认定（含内部控制缺陷整改方案）,

报经集团内控管理部门及决策机构批准后进行内部控制的整改；

6、负责培育员工良好的内部控制管理素质。

第十一条集团各职能中心、分公司在实施内部控制时应按规定记

录相关内部控制文档，文档的编制方法应符合《内部控制评价手册》

所附要求。主要包括：

1、集团及各职能中心、分公司的各项规章制度；

2、各项业务生成的各种原始资料；

3、与内部控制相关的各项记录及会议资料；

4、内部控制自我检查及评价过程中的资料“

第十二条集团各职能中心、分公司内部控制建设岗位的所有人员

应具备相应的职业道德和任职能力，拥有完整专业的知识和对应的业

务熟悉程度。

第三章奖惩

第十三条对于违反内部控制相关规范的行为导致内部控制发生

重要或重大缺陷时，包括设计和运行活动中的相关人员或单位，按规

定给予惩罚。

第十四条在内部控制建设中有突出贡献的，应给予表扬或奖励。

第十五条未经授权批准或许可，任何个人或权属单位不得对外公

布涉及内部控制过程的保密文件，凡擅自泄露的，应追究有关人员的

责任。

第四章附则

第十六条本办法未尽事宜按照公司章程、《企业内部控制基本规

范》及其配套指引的相关规定执行。

第十七条本办法解析权属经营管理中心审计组织所有。第十八条

本办法自颁布批准之日起实施。

第二篇：内部控制体系运行管理办法内部控制体系运行管理办法

（试行）中铁XX局内部控制体系运行管理办法（试行）

第一章总则第一条为了加强对公司内部控制体系的运行管理，根

据局的相关要求并结合公司实际，特制定本办法。第二条本办法所称

内部控制是指由公司董事会、监事会、经理层和全体员工实施的、旨

在实现控制目标的过程U内部控制体系是指为实现内部控制目标和防

范风险，保证内部控制工作有效运行的组织结构、管理制度和业务流

程等。第三条内部控制体系运行管理包括以下内容：

（一）内部控制体系的日常维护；

（二）内部控制体系的有效运行；

（三）内部控制体系的监督评价；

（四）内部控制体系的持续改进。所属各单位要按照公司内部控

制体系的相关第四条公司各部门、要求开展各项工作，并及时反馈信

息，确保内部控制体系的有效运行和持续改进。组织机构及管理管理

职责第二章组织机构及管理职责监第五条公司董事会负责内部控制

体系的建立健全和有效实施。事会对董事会建立与实施内部控制情况

进行监督。（由公司内控审计监察部第六条公司董事会审计委员会负

责审查具体负责）、监督企业内部控制体系的有效实施，开展内部控

制的自我评价，协调审计单位对公司内部控制实施情况的审计及其他

相关事宜。2由公司总经理任组长，分管内控、第七条公司设立内控

领导小组，审计、财务工作的公司领导任副组长，企业发展部、内控

审计监察部、财务部、董监办、公司办、人资部、市场开发部、工程

部、技开部、安质部、合同部、机电部、物资部、法律事务部、宣传

部、组织部、工会办、团委、行管部、社管部、试验检测中心等部门

负责人任组员。领导小组负责组织领导内部控制体系的日常运行，定

期听取内控工作进展情况报告，对内控体系运行中的重要事项进行决

策。由公司总会计师第八条公司内控领导小组下设内控评价工作组，

任组长，内控审计监察部部长任副组长，组员由内控审计监察部、财

务部、企业发展部等相关部门业务管理人员组成，内控评价工作组负

责全公司内控体系运行的专项监督与评价工作。主要第九条局企业发

展部是内部控制体系运行的归口管理部门，职责是：

（一）负责组织内部控制体系的日常维护管理和不断改进完善；

（一）负贡组织执行层面的各项管理制度、业务管理流程的评审；

（三）负责组织公司层面重大、重要风险的定期评估，建立风险

库和风险事件库，并编写《全面风险管理报告》;

（四）负责组织内部控制相关知识培训；

（五）负责指导监督内部控制体系的建立和完善。第十条公司内

控审计监察部是内部控制体系评价的归口管理部门。主要职责是：

（一）负责组织实施内部控制体系评价，负责内部控制评价方案

的制定；3

（二）负责开展内部控制专项监督检查工作；

（三）负责拟定年度内部控制体系评价方案，内部控制评价记录、

实施证据等相关资料的收集汇总；

（四）负责组织编写《中铁xx局内部控制自我评价报告》。第十

一条公司机关各部门、第十一各分公司是内部控制体系运行的执行机

构，主要职责是：

（一）在日常经营管理活动中，负责职责范围内的管理制度、业

务流程的执行，并提出改进意见和建议；

（二）结合各项业务活动和监督检查工作，开展内部控制体系的

日常监督检查；

（三）负责职责范围内的业务流程及相关制度执行情况的自我监

督与评价；

（四）协助参与公司内部控制评价，提供评价所需证据资料；

（五）负责职责范围内缺陷确认，并按期完成整改及监督整改；

（六）负责编写职责范围内《内部控制自我评价报告》。第十一

第十二条公司各部门、分公司、项目部要确定具体的内控工作负责人,

明确管理职责，开展内部控制体系运行管理工作。

第三章日常维护

第十三条内部控制体系的日常维护是从内部控制体系的设计和

运行两方面，不断改进和完善内部控制体系文件、各项管理制度以及

改进控制活动的过程。第十四第十四条当发生下列事项时，应修改和

完善内部控制体系文件：4

（一）国家法律法规、行业从业规定、监管部门、股份公司和局

要求等发生变化；

（二）《企业内部控制基本规范》《配套指引》发生变化；、

（三）公司战略调整、业务范围、组织机构、管理职责等内部环

境发生调整变化；

（四）内部控制监督评价以及外部监督发现存在缺陷；

（五）公司董事会、监事会和经理层提出要求；

（六）机关各部门在口常管理活动中发现问题；

（七）发生内部控制重大失控事件；

（八）其

他。第十五条公司各部门发现需要增加新的业务流程或某项管理

制度和业务流程存在缺陷时，应及时提出改进完善意见和建议，并记

录整理，同时提交局企业发展部重新发布。第十六第十六条局企业发

展部负责《内控手册》的修改完善，各归口部门负责管理制度和业务

流程的修改、增加并交企业发展部汇总，企业发展部应及时将修改完

善后的内控体系文件发布实施。监督与评价的原则、依据、第四章监

督与评价的原则、依据、内容和方法第十七第十七条内部控制体系监

督是指对建立与实施内部控制的情况进行常规、持续的监督检查的过

程。第十八条第十八内部控制体系评价是指从整体上对内部控制建立

和实施的有效性进行全面评价，形成评价结论，出具评价报告的过程。

第十九条内部控制体系监督评价应遵循以下原则：

（一）全面性原则。包括内部控制的设计与实施，涵盖公司各项

业5务。

（二）重要性原则。在全面评价的基础上，关注重要业务单位、

重要业务事项和高风险领域。

（三）客观性原则。准确提示经营管理的风险状况，如实反映内

部控制设计及运行的有效性和存在的缺陷。

（四）风险导向性原则。以风险评估为基础，根据风险发生的可

能性和对整体或单个控制目标造成的影响程度，确定监督评价的重点

业务单元、重要业务领域或流程环节。

（五）一致性原则。采用统一可比的方法和标准，保证监督评价

结果的可比性。

（六）成本效益性原则。以适当的成本实现科学有效的监督评价。

第二十条内部控制体系监督评价的主要依据：二十条

（一）国家相关法律法规、《企业内部控制基本规范》及《企业

内部控制评价指引》《中央企业全面风险管理指引》和以及行业从业

规定、监管部门相关规定等；

（二）《中铁XX局内部控制手册》;

（三）公司各项管理制度；

（四）业务管理流程及说明、控制文档、风险矩阵、风险库、缺

陷跟踪报告等；

（五）各项管理技术规范等其他有关规定。第二十一实现控制目

标和第二十一条内部控制体系监督与评价的内容是：关的内部环境、

风险评估、控制活动、信息与沟通、内部监督笔要素。第二十二并综

合运第二十二条内部控制监督与评价的总体方法是抽样法，6用个别

访谈法、调查问卷法、比较分析法、专题讨论会等方法，针对业务流

程，按照业务发生频率及固有风险的高低，抽样一定比例的业务样本,

对业务样本的符合性进行判断，对业务流程的有效性实施监督与评

价。第二十三条根据业务频次抽样量参考如下标准：第二十三序号

123456业务发生频率每年一次每年一次以上至每季度一次每季度一

次以上至每月一次每月一次以上至每周一次每周一次以上至每天一

次每天多次抽样数量不少于1笔2笔4笔12笔20笔30笔第五章监

督实施第二十四实施本系统及职责第二十四条公司各部门按照监督

工作的要求，范围内的内部控制体系运行情况日常监督，每半年形成

一次本系统内部控制工作《监督情况通报》，提交公司内控审计监察

部，内控审计监察部应做好相关资料和记录的收集汇总。第二十五第

二十五条内部控制体系监督工作应关注：

（一）政策影响、管理薄弱、业务复杂、高危作业等重点部门、

单位和项目。

（二）战略规划、重大决策、财务预算、安全质量、环境保护、

海外经营、成本控制、合同管理、法律事务、项目管理、社会责任、

信息化安全等高风险业务领域，不相容职权分离、反舞弊等高风险环

节。

（三）重耍业务流程的关键控制点的控制措施制定及执行情况。

（四）企业发展战略、组织结构、经营活动、业务流程、关键岗

位7等发生较大调整或变化，风险评估结果等。第六章评价实施第二

十六于每第二十六条公司内部控制体系评价通常情况每年进行一次，

年12月10日前完成对本年度内部控制体系的评价。第二十七条内部

评价基本程序是：制定评价工作方案，组成评价第二十七工作组，收

集整理监督资料•，实施评价和提出初步缺陷意见，召开评价会议，缺

陷认定，汇总评价结果，编写、审批《自我评价报告》等。第二十八

条公司内部控制评价工作组在内控领导小组的领导下，开展内部控制

体系专项监督与评价工作。第二十九条评价工作组结合监督工作情

况，依据第二十二条的规定抽查内部控制运行相关资料，必要时进行

现场测试或要求提供补充资料。判断内部控制的设计与运行是否有

效，并按照《中铁xx局内部控制评价基本评分标准》（附件1）进行

综合评分。评价的结果纳入公司绩效考核。第三十条评价内部控制有

效性，应当充分考虑下列因素：

（一）是否针对重大、

重要风险设置了合理的细化控制目标；

（一）是否针对细化控制目标设置了对应的控制流程；

（三）相关控制活动是否有效运行；

（四）相关控制活动是否得到了持续改进；

（五）实施相关控制活动的人员是否具备必需的权限和能力等。

第三十一条公司内控审计监察部于每年12月5前组织召开内部控制

评价会议，公司内控体系领导小组成员，各部门负责人及工作组成员

参加会议。会议主要议程：8

（一）听取各部门内部控制体系运行及监督情况汇报；

（二）听取公司内部控制评价情况的汇报；

（三）讨论确认存在的缺陷；

（四）对存在的缺陷整改提出措施、落实责任、明确整改时限等。

第三十二条公司内控审计监察部根据年度监督评价结果，第三十二组

织编写《中铁xx局内部控制自我评价报告》，并提交公司总经理办公

会和董事会审议，经董事会审批后，于每年12月10日前上报股份公

司审计部。第三十三第三十三条内部控制评价以每年的11月30日为

评价基准口。

第七章缺陷认定

第三十四条内部控制缺陷发现以监督为主，评价发现为辅。内部

控制缺陷分为财务报告和非财务报告缺陷，包括设计缺陷、运行缺陷。

分为重大缺陷、重要缺陷和一般缺陷。缺陷认定一般标准见附件2。

第三十五条内部控制缺陷认定实行逐级审批确认。一般缺陷由公

司各部门在监督工作过程中确认；重要缺陷和重大缺陷由内部控制评

价工作组熨核讨论并提出意见，重要缺陷报公司内控领导小组研究并

确认；重大缺陷提交公司董事会审议确认。

第三十六条公司内控审计监察部负责对已确认缺陷汇总、统计、

分析，提出整改意见和建议，经分管领导批准，通报全公司。

第三十七条公司各部门、分公司应对确认的缺陷拟定整改计划和

方案，明确负责人和相关人员，规定整改时限，做好整改及监督整改

工作。并将整改结果及时反馈公司内控审计监察部，必要时评价工作

组对整改情况进行抽查，跟踪整改。

第八章奖罚

第三十八条内控评价工作组根据内部控制评价结果定期对各部

门、分公司内控体系的建立与运行情况进行通报。对得分较高的部门

和单位予以表扬，对较差的部门和单位提出批评，对存在的缺陷耍求

限期整改。并将评价结果纳入各部门、各单位的年度绩效考核。凡外

部审计中发现重大缺陷，由相关部门和单位的负责人负领导责任，公

司将对相关部门和单位的负责人给予相应处罚。第九章附则自第三十

九条本办法自公司内控体系文件审议通过之口起生效，发布之口起执

行，同时报股份公司备案。第四十条本办法由局企业发展部负责解释。

10附件1：中铁XX局内部控制评价基本评分标准评价项目及权重分

项权重分值评价标准评分原则建立了以部门（或各单位）主要负责人

为第一责任人的内控体系，设置了部门（或单位）的内部控制协调人,

并参与内部控制管理的5相关工作，编写了职责范围内的《内部控制

内部控制体系管理情况内部控制设计合理性评价（30分）对流程/业

务进行抽样评价，1。按照违规率评分：5%（含）以下，得分8U%（含）

以上；5%（不含）~10%（含），得分50%（含）~80%（不含）；结合

内外部环境等变化，对本单位或本部门的制度与流程进行了及时更新

和维护。10%（不含）~20%（含），得5分50%（不含）以下；20%

（不含）以上，得分0。执行有效性评价风险管理情况定期或不定期

组织开展了系统的风险评估20工作，识别了重大、重耍风险，建立

了风险5库，评估结果客观、真实。11自我评价报告》。10每出现1

个未达标部门/单位，扣1分。尚未建立内部控制体系，此项得分为0o

部门及岗位的内部控制责任明确，岗位人员及权责设置合理5本单

位、本部门各项业务管理活动，都有明确的制度规定，管理职责到位。

工作流程有清晰的描述，制定了规范的业务业务管理体系20情况流

程，并识别了关键控制点，明确了控制措5施。每出现1个未达标业

务，1扣分，扣完为止。评价项目及权重（70分）分项权重评价标准

分值评分原则把重大风险与业务流程关键控制点对接，有效执行重

大、重要风险控制措施，重大、重5耍风险可控。

定期收集风险事件和损失事件，对本部门或归口管理业务领域内

发生的重大风险事件，建立风险事件库，及时向领导及相关部门沟通。

重大风险控制措施实施有效，避免重大风险损失、重大违规事件的发

生。对发生的重大事件，及时采取应急控制措施，有效控制事5态恶

化，并针对类似事件，组织制定了应急预案。5每发生一次重大风险

损失事件或重大违规事件扣10分。未采取措施扣3分，未制定预案

扣2分。对流程进行抽样检查，按照违规率评分：根据本单位的业务

流程及控制措施，在业务流程执行情况40管理活动中，严格执行业

务流程，确保各项管理制度有效落实，管理权限有效执行，管理程序

符合规定。405%（含）以下，得分80%（含）；5%（不含）~10%（含）,

得分50%（含）~80%（不含）；10%（不含）~20%（含），得分50%

（不含）以下；20%（不含）以上，得分0。缺陷整改情况10对审计、

监督和评价中发现的缺陷，严格按规定的程序进行整改，整改效果符

合要求。10整改效果未达到要求扣3分，未按要求实施整改扣5分。

评价等级等级得分a级85-100分b级60-84分c级59以下注：按

照上述对被评价部门和单位的相关项目进行评价打分加总，分为“a、

b、c”三档，纳入业绩考核。12附件2：中铁xx局内部控制缺陷认

定一般标准

一、财务报告缺陷的认定1.当内部控制缺陷造成的财务报告的潜

在错报金额能够可靠的估算时，重大缺陷、重要缺陷、一般缺陷可以

根据内部控制缺陷对当期财务报表的影响来判定。一般缺陷：由于内

部控制缺陷导致影响了财务报告的真实性，程度很小。重耍缺陷：由

于内部控制缺陷导致较大程度影响了财务报告的真实性。重大缺陷：

由于内部控制缺陷导致严重影响了财务报告的真实性，造成被监管机

构处罚。

二、非财务报告缺陷的认定非财务报告内部控制缺陷是指流程操

作步骤、控制环节的设计、不执行或执行偏差，但不构成财务报表出

现潜在的错报。缺陷认定应关注缺陷对业务流程有效性的影响程度、

发生的可能性、效率和效果方面所受到的负面影响程度来判定。缺陷

认定等级发生的可能性重大缺陷重要缺陷一般缺陷13负面影响程度

严重降低工作效率或效果、或严重加大效果的不确定性、或使之严重

偏离预期目标显著降低工作效率或效果、或显著加大效果的不确定

性、或使之显著偏离预期目标降低工作效率或效果、或加大效果的不

确定性、或使之偏离预期目标高较高中等

第三篇：内部控制评价办法内部控制评价办法

第一章总则

第一条为规范和加强对内部控制的评价，督促进一步建立内部控

制体系，健全内部控制机制，为全面风险管理体系的建立奠定基础，

保证公司稳健运行，根据《企业内部控制基本规范》，制定本办法。

第二条内部控制评价是指对内部控制体系建设、实施和运行结果

独立开展的调查、测试、分析和评估等系统性活动。

内部控制评价包括过程评价和结果评价。过程评价是对内部控制

环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流

与反馈等体系耍素的评价。结果评价是对内部控制主耍目标实现程度

的评价。

第三条内部控制体系是为实现经营管理目标，通过制定并实施系

统化的政策、程序和方案，对风险进行有效识别、评估、控制、监测

和改进的动态过程和机制。

第四条内部控制评价人员应接受有关内部控制评价知识和技能

的培训，具备相应的资质和能力。

第二章评价目标和原则

第五条内部控制评价应从充分性、合规性、有效性和适宜性等四

个方面进行：

（一）过程和风险是否已被充分识别。

（二）过程和风险的控制措施是否遵循相关要求、得到明确规定

并得以实施和保持。

（三）控制措施是否有效。

（四）控制措施是否适宜。

第六条内部控制评价应遵循以下原则：

（一）全面性原则。评价范围应覆盖内部控制活动的全过程及所

有的系统、部门和岗位。

（二）统一性原则。评价的准则、范围、程序和方法等应保持一

致，以确保评价过程的准确及评价结果的客观和可比。

（三）独立性原则。评价应由公司专职人员独立进行。

（四）公正性原则。评价应以事实为基础，以法律法规、监管要

求为准则，客观公正，实事求是。

（五）重要性原则。评价应依据风险和控制的重要性确定重点，

关注重点区域和重点业务。

（六）及时性原则。评价应按照规定的时间间隔持续进行，当经

营管理环境发生重大变化时，应及时重新评价。

第三章评价内容第一节内部控制环境

第六条公司治理。

公司应建立以股东大会、董事会、监事会、高级管理层等为主体

的公司治理组织架构，保证各机构规范运作，分权制衡。

（一）完善股东大会、董事会、监事会及下设的议事和决策机构,

建立议事规则和决策程序。

（二）明确董事会和董事、监事会和监事、高级管理层和高级管

理人员在内部控制中

的责任。

（三）建立独立董事制度，对董事会讨论事项发表客观、公正的

意见。

（四）建立外部监事制度，对董事会、董事、高级管理层及其成

员进行监督。

第七条董事会、监事会和高级管理层责任。

董事会负责保证公司建立并实施充分而有效的内部控制体系；负

责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确

保公司在法律和政策的框架内审慎经营，明确设定可接受的风险程

度，确保高级管理层采取必耍措施识别、计量、监测并控制风险；负

责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有

效性进行监测和评估。

监事会负责监督董事会、高级管理层完善内部控制体系；负责监

督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负

责要求董事、董事长及高级管理人员纠正其损害公司利益的行为并监

督执行。

高级管理层负责制定内部控制政策，对内部控制体系的充分性与

有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、

监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证

内部控制的各项职责得到有效履行。

董事会和高级管理层还应培育良好的内部控制文化，提高员工的

风险意识和职业道德素质，建立通畅的内外部信息沟通渠道，确保及

时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。

第八条内部控制政策。

公司应在各项业务和管理活动中制定明确的内部控制政策，规定

内部控制的原则和基本耍求，并为制定和评审内部控制目标提供指

导。内部控制政策应：

（一）与公司的经营宗旨和发展战略相一致；

（二）体现持续改进内部控制的要求；

（三）符合现行法律法规和监管要求；

（四）体现出侧重控制的风险类型；

（五）体现出对不同地区、行业、产品的风险控制耍求；

（六）传达给适用岗位的员工，指导员工实施风险控制措施；

（七）可为风险相关方所获取，并寻求互利合作；

（八）定期进行评审，确保其持续的适宜性和有效性"

第十三条内部控制目标。

公司应在相关职能和层次上建立并保持内部控制目标。内部控制

目标应符合内部控制政策，并体现对持续改进的要求。

在建立和评审内部控制目标时，应考虑法律法规、监管要求和其

他要求，以及技术、财务、经营和风险相关方等因素，尤其应考虑监

管部门的内部控制指标耍求。

内部控制目标应可测量。有条件时，目标应用指标予以量化。

第十四条组织结构。

公司应建立分工合理、职责明确、报告关系清晰的组织结构，明

确所有与风险和内部控制有关的部门、岗位、人员的职责和权限，并

形成文件予以传达。特别应考虑：

（一）建立相应的授权体系，实行统一法人管理和法人授权。

（二）必要的职责分离，以及横向与纵向相互监督制约关系。

（三）涉及资产、负债、财务和人员等重要事项变动均不得由一

个人独自决定。

（四）明确关键岗位、特殊岗位、不相容岗位及其控制耍求。

（五）建立关键岗位定期或不定期的人员轮换和强制休假制度。

公司应设立负有内部控制体系建立、实施特殊责任的专门委员会

或部门，明确其责任、权限和报告路线。

公司应设立全行系统垂直管理.、具有充分独立性的内部审计部

门。内部审计部门应配备具有相应资质和能力的审计人员；应有权获

得公司的所有经营、管理信息；应根据对辖属机构的风险评级结果确

定审计频率，以及对机构和业务的审计覆盖率，定期或不定期对内部

控制的健全性和有效性实施检查、评价；应及时向董事会或董事会审

计委员会提交审计报告；董事会及高级管理层应保证审计报告中指出

的内部控制的缺失得到及时纠正整改；总部内部审计负责人的聘任和

解聘应当经董事会或监事会同意。

第十五条企业文化。

公司应培育健康的企业文化，对企业文化的内涵及其策划、渗透、

评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施

内部控制的重要性，引导员工树立合规意识和风险意识，提高员工职

业道德水准，规范员工职业行为。

第十六条人力资源。

公司应完善人力资源政策和程序，确保与风险和内部控制有关人

员具备相应的能力和意识。

公司应明确与风险和内部控制有关人员的适任条件，明确有关教

育、工作经历、培训和技能等方面的要求，以确保相关人员的胜任。

高级管理人员必须满足监管机构对高级管理人员资质的耍求。

公司应制定并保持培训计划，以确保高级管理层和全体员工能够

完成其承担的内部控制方面的任务和职责。培训计划应定期评审，并

应考虑不同层次员工的耿责、能力和文化程度以及所面临的风险。对

员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理

处罚等日常人事管理做出详细规定，并充分考虑人力资源管理过程中

的风险。

第二节风险识别与评估

第十七条经营管理活动风险识别与评估。

建立和保持书面程序，以持续对各类风险进行有效的识别与评

估。

应识别并确定常规和非常规的业务和管理活动，并识别这些活动

中的风险（无论是否由内部产生），考虑其类型、来源及其影响范围,

特别应考虑计算机系统的运用可能带来的风险。

应依据法律法规、监管要求以及内部控制政策确定风险是否可接

受，以确定是否进一步采取措施。风险可接受时，应监测并定期评审,

以确保其持续可接受；风险不可接受时，应制定控制措施。

对各类风险进行识别与评估时应充分考虑内部和外部因素。其

中，内部因素包括组织结构的复杂程度、业务性质、机构变革以及员

工的流动等；外部因素包括经济形势的波动、行业变动趋势等。

当环境和条件发生变化时，应及时对风险进行再识别和再评估，

以确保任何新的和以前未曾予以控制的风险得到识别和控制。

风险识别与评估应：

（一）依据业务范围、性质和时限主动进行。

（二）评估风险的后果、概率和风险级别。

（三）必耍时开发并运用风险量化评估的方法和模型。

第十八条法律法规、监管要求和其他要求的识别。

应建立并保持识别和获取适用法律法规、监管要求和其他要求的

程序，作为风险识别与评估、制订控制目标和控制方案的依据。

应及时更新法律法规、监管要求和其他要求的信息，并将这些信

息传达给相关员工和其他风险相关方。

第十九条内部控制方案。

制定内部控制方案，以控制已识别的不可接受风险。内部控制措

施方案应包括以下内容：

（一）为实现对风险的控制而规定的相关职责与权限。

（二）控制的策略、方法、资源需求和时限要求。

若涉及到组织结构、流程、计算机系统等方面的重大变更，应考

虑可能产生的新风险。

第三节内部控制措施

第二十条运行控制。

应确定需要采取控制措施的业务和管理活动，依据所策划的控制

措施或已有的控制程序对这些活动加以控制。

控制措施包括：

1.高层检查。董事会与高级管理层应要求下级部门及时报告经营

管理情况和特别情况，以检查内部控制的实施状况以及在实现内部控

制目标方面的进展。高级管理层应根据检查情况提出内部控制缺失情

况，督促职能管理部门改进。

2.行为控制。各级职能管理部门审查每天、每周或每月收到的经

营管理情况和特别情况专项报表或报告，提出问题，要求采取纠正整

改措施。

3.实物控制。主要的控制措施包括实物限制、双重保管和定期盘

存等。

4.风险暴露限制的审查。审查遵循风险暴露限制方面的合规性，

违规时继续跟踪检查。

5•审批与授权。根据若干限制条件对各项业务、管理活动进行审

批与授权，明确各级的管理贡任。

6.验证与核实。验证各项业务、管理活动以及所采用的风险管理

模型结果，并定期核实相关情况，及时发现需要修正的问题，并向职

能管理部门报告。

7.不兼容岗位的适当分离。实行适当的职责分工，认定潜在的利

益冲突并使之最小化。

第二十一条计算机系统环境下的控制。

应考虑计算机系统环境下的业务运行特征，建立信息安全管理体

系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采

购、安全和使用实施控制，确保信息的完整性、安全性和可用性。明

确计算机信息系统开发部门、管理部门与应用部门的职责，建立和健

全计算机信息系统风险防范的制度，确保计算机信息系统设备、数据、

系统运行和系统环境的安全。

第四节监督评价与纠正

第二十三条内部控制绩效监测。

应建立并保持书面程序，通过适宜的监测活动，对内部控制绩效

进行持续监测。

监测内容包括：

（-）内部控制目标实现程度。

（二）法律、法规及监管要求的遵循程度。

（三）事故、险情和其他不良的内部控制绩效的历史情况。

第二十四条违规、险情、事故处置和纠正及预防措施。

应建立并保持廿面程序，对违规、险情、事故的发现、报告、处

置和纠正及预防措施做出规定，包括：

（一）发现违规、险情、事故并及时报告，必要时，可越级报告。

（二）及时处置违规、险情、事故。

（三）制定纠正与预防措施，防止违规、险情、事故的发生和再

发生，并与问题的大

小和风险危害程度相一致。

（四）纠正与预防措施在实施之前应进行风险评估。

（五）实施并跟踪、验证纠正与预防措施。

（六）险情和事故的责任追究。

第二十五条内部控制体系评价。

应建立并保持书面程序，对内部控制体系实施评价，确保内部控

制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、

准则、范围、频率、方法以及职责与要求。

评价应考虑活动的风险评估结果、业务和管理流程和以前的评价

结果等，覆盖体系范围内的所有活动。

可根据评价结果确定内部控制水平的等级。被评价机构的管理者

应采取措施消除违规原因，并验证所采取措施的效果"

评价应由与评价的活动无直接责任的人员进行，评价人员应具备

相应的知识，能够胜任评价工作。

第二十六条管理评审。

董事会应采取措施保证定期对内部控制状况进行评审，确保体系

得到持续、有效的改进。

（一）管理评审应包括以下方面的内容：

L内部控制体系评价的结果。

2.内部控制政策执行情况和内部控制目标实现情况。

3.对内部控制体系有重要影响的外部信息，如法律、法规的重大

变化。

4.组织结构的重大调整。

5.事故和险情以及重大纠正和预防措施的状况。

6.以往管理评审的跟踪情况。

7.内部控制体系改进的建议。

（二）管理评审应就以下方面提出改进措施并落实：

1.内部控制体系及其过程的改进。

2.内部控制政策、目标的变更。

3.与内部控制有关资源的需求。

第二十七条持续改进。

商业银行应利用内部控制政策、内部控制目标、评价结果、绩效

监测和数据分析、纠正和预防措施以及管理评审等，持续提高内部控

制体系有效性。

第五节信息交流与反馈

第二十八条交流与沟通。

应建立并保持信息交流与沟通的程序，明确对财务、管理、业务、

重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反

馈、披露的渠道和方式。

应识别其内部和外部的风险相关方，考虑他们的要求和目标，建

立与这些相关方进行信息交流的机制，确保:

（一）董事会和高级管理层能够及时了解也务信息、管理信息以

及其他重要风险信息。

（二）所有员工充分了解相关信息、遵守涉及其责任和义务的政

策和程序。

（三）险情、事故发生时，相关信息能得到及时报告和有效沟通。

（四）及时、真实、完整地向监管机构和外界报告、披露相关信

息。

（五）国内外经济、行业动态信息的取得和处理，并及时把与企

业既定经营目标有关的信息提供给各级管理层。

信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报

告、发布、披露应经过授权。

为保持信息交流沟通的可追溯性，必耍时，应保持相关信息交流

与沟通的记录。

第二十九条内部控制体系对文件的要求。

建立和保持文件化体系是实现信息交流与反馈的重要途径。公司

应建立并保持必要的内部控制体系文件，包括：

（一）对内部控制体系要素及其相互作用的描述。

（二）内部控制政策和目标。

（三）关键岗位及其职责与权限。

（四）不可接受的风险及其预防和控制措施。

（五）控制程序、作业指导、方案和其他内部文件。

第三十条文件控制。

应建立并保持书面程序，以确保内部控制体系所要求的文件满足

下列要求：

（一）易于查询。

（二）实施前得到授权人的批准。

（三）定期评审，必要时予以修订并由授权人员确认其适宜性。

（四）所有相关岗位都能得到有效版本。

（五）失效时，及时从所有发放处和使用处收回，或采取其他措

施防止误用。

（六）及时识别、处置外来文件并进行标识，必耍时转化为内部

文件。

（七）留存的档案性文件和资料应予以适当标识。

第三H■■一条记录控制。

应建立并保持书面程序，以规定内部控制相关活动中所涉及记录

的标识、生成、贮存、保护、检索、保存期限和处置。

记录应保持清晰、易于识别和检索，以提供符合要求和内部控制

体系有效运行的证据，并可追溯到相关的活动。

第四章评价程序和方法

第三十二条内部控制评价程序一般包括评价准备、评价实施、评

价报告形成和反馈等步骤。

第三十三条评价准备。

组成评价组。评价组应考虑组成人员的背景和能力。必要时，可

聘请业务或管理方面的专家。

制订评价实施方案。实施方案应明确本次评价的目的、范围、准

则、时间安排和相应的资源配置。

准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机

构的内部控制体系文件及相关记录等。

在现场评价前应先与被评价机构建立初步联系，以便确认有关评

价事项和安排。

第三十四条评价实施。

评价组应按照既定的评价方案实施评价。在评价实施中应就评价

组内部以及评价组与被评价机构之间的沟通做出正式安排，通过适当

的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被

评价项目进行测试，对有关数据进行确认和分析，并予以记录。

评价实施的具体方法见第三十九条至四十三条。

第三十五条评价报告形成。

评价组根据评价实施情况，撰写评价报告，应重点分析以下方面:

（一）被评价机构内部控制体系现状、存在问题及趋势分析。

（二）同类企业比较（如适用）。

（三）可能的谅解因素。

第三十六条评价反馈。

对被评价机构内部控制体系进行综合评价后，应与被评价机构管

理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。

第三十八条内部控制评价方法是为实现评价目的，对被评价机构

内部控制体系进行分析和评价而采取的技术和手段的总机

第三十九条内部控制评价实施包括：

了解内部控制体系。应了解被评价机构内部控制体系的基本情

况，确认评价范围，确定被评价机构的内部控制体系的健全程度，然

后决定实施测试所采取的方法。

实施测试和分析。实施测试和分析是在了解内部控制体系的基础

上，评价内部控制体系的运行与绩效。具体可以采取符合性测试和指

标分析等，其中，对内部控制过程评价主要采取符合性测试法：对内

部控制结果评价，主要采取指标分析法。

第四十条了解内部控制体系。

了解被评价机构内部控制体系主要通过询问、查阅、观察、流程

图等方法进行，以初步评价被评价机构内部控制体系的充分性和合规

性。

第四十一条符合性测试。

符合性测试是获得评价证据以证实内部控制在实际中的合规性、

有效性和适宜性，即相关规定在实际中是否被一贯执行，控制措施能

否达到控制目的，控制措施是否恰当。符合性测试分为两种形式：

（一）业务测试，即对重要业务或典型业务进行测试，按照规定

的业务处理程序进行检查，确认有关控制点是否符合规定并得到认真

执行，以判断内部控制的遵循情况。

（一）功能测试，即对某项控制的特定环节，选择若干时期的同

类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。

符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和

压力测试法等。

第四十二条测试抽样。

抽样样本取决于被评价机构或被评价项目的风险、业务频次、重

要性等。可在根据业务频次抽样的基础上，结合被评价项目的风险和

重要性进行调整。

第四十三条指标分析。

应收集被评价机构内部控制结果指标的相关信息、，进行核实、对

比分析和趋势分析，从而对内控目标实现情况做出评价。

第五章评分标准和评价等级

第四十四条内部控制评价采取评分制。对内部控制的过程和结果

分别设置一定的标准分值，并根据评价得分确定被评价机构的内部控

制等级。

第四十五条内部控制过程评价的标准分为500分，其中。内部控

制环境100分、风险识别与评估100分、内部控制措施100分、信息

交流与反馈100分、监督评价与纠正100分。上述五部分评价得分加

总除以5,得到过程评价的实际得分。（需根据情况修改）

第四十六条在对内部控制过程评价时，应按照第三章评价内容的

要求，结合本办法第八条的四个方面展开，转换为具体评价问题，并

根据测试情况对被评价项目进行评分。

第四十七条初次实施内部控制评价时，须对所有业务活动、管理

活动和支持保障活动进行评价。

第四十八条内部控制过程评价的具体评分标准如下:

（一）被评价对象的过程和风险已被充分识别的，可得该项分值

的百分之二十。

（二）在满足前项的基础上，被评价项目的过程和对风险的控制

措施被规定并遵循要

求的，可得该项分值的百分之三十。

（三）在满足前两项的基础上，被评价项目的规定得到实施和保

持，可再得该项分值的百分之三十。

（四）在满足前三项的基础上，被评价项目在实现风险控制的结

果方面，控制措施有效且适宜的，可再得该项分值的百分之二十。

第四十九条在测试过程中遇有业务缺项或问题“不适用”时，应将

涉及到的分值在评价项目总分中扣减。为了保持可比性，在得出其余

适用项的总分后，还应将该评价项目的总得分进行调整。

调整后评价项目总得分;所有适用项目得分/（评价项目总分-不

适用项目总分）X100%

单项分值小计和总分分值有小数时四舍五人。

第五十条若涉及到需要采取抽样测试确定评价结论的，应根据以

下情况确定：

（一）如果在抽样范围内未发现违规，该项评价得满分；在抽样

范围内，发现两项以上违规（含两项），该项评价不得分；仅发现一

项违规的，应扩大一倍抽样，在力'大抽样范围内未发现新的违规的，

可得该评价项目分值的50%,在扩大抽样范围内又发现新的违规的，

该评价项目不得分。

（二）发现险情或事故的，直接扣除该评价项目的分值。

第五十一条内部控制的结果评价。结果评价主要评价内部控制目

标的实现情况，对这些指标的量化评价可以通过非现场的方式进行。

结果评价主要包括XX项指标：XX、XX等，。内控结果评价指标的标准

分值为500分，转化为百分制后得出实际得分。（需根据情况修改）

第五十二条根据过程评价和结果评价综合确定内部控制体系的

总分。其中，过程评价的权重为70%,结果评价的权重为30%,两

项得分加总得出综合评价总分。

第五十三条根据综合评价总分确定被评价机构的内部控制体系

评价等级，应按评分标准对被评价机构内部控制项目逐项计算得分，

确定评价等级。定级标准为：

一级。综合评分90分以上（含90分）。指被评价机构有健全的

内部控制体系，在各个环节均能有效执行内部控制措施，能对所有风

险进行有效识别和控制，无任何风险控制盲点，控制措施适宜，经营

效果显著。

二级。综合评分80—89分。指被评价机构内部控制体系比较健

全，在各个环节能够较好执行内部控制措施，能对主要风险进行识别

和控制，控制措施基本适宜，经营效果较好

三级。综合评分70-79分。指被评价机构内部控制体系一般，虽

建立了大部分内部控制，但缺乏系统性和连续性，在内部控制措施执

行方面缺乏一贯的合规性，存在少量重大风险，经营效果一般。

四级。综合评分60—69分。被评价机构内部控制体系较差，内

部控制体系不健全或重要的内部控制措施没有贯彻执行或无效，管理

方面存在重大问题，业务经营安全性差。

五级。综合评分60分以下（不含60分）。被评价机构内部控制

体系很差，内部控制体系存在严重缺失或内部控制措施明显无效，存

在明显的管理漏洞，经营业务失控，存在重大金融风险隐患。

上述等级也适用于单项评级，单项评级结果主耍用于对比分析。

第五十四条若被评价机构在评价期内发生重大责任事故，应在上

述评级的基础上下调一级。

重大责任事故包括：（需根据情况修改）

第五十五条内部控制体系连续在三个评价期内得不到改善的机

构，其内部控制评价等级应适当下调。

第四篇：内部控制实施办法辽宁锦华机电有限公司内部控制实施

办法内部控制实施办法

第一章总则

第一条为了加强和规范公司内部控制，提高经营管理水平和风险

防范能力，促进公司可持续发展，维护社会主义市场经济秩序和社会

公众利益，促进公司内部控制的建立、健全，根据《中华人民共和国

公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其

他有关法律法规，并结合公司的实际情况，制订本办法。

第一条本办法所称内部控制，是指为实现控制目标，合理保证公

司经营管理合法合规、资产安全、财务报告及相关资料真实完整，提

高运营效率和效果，促进本单位实现发展战略而采取的各种政策和程

序。

第三条本办法所称内部控制审计是指审计人员对被审计单位内

部控制建立的健全性、制定的合理性及执行的有效性的测评与评价活

动。目的是合理保证：

（一）遵守国家法律、法规、公司有关制度；

（二）信息披露的真实、准确、完整以及信息传递的及时性；

（三）资产的安全和完整性；

（四）经济有效的使用资源；

（五）提高运营效率和实现目标；

（六）促进发展战略实现。

-1辽宁锦华机电有限公司内部控制实施办法

（十）员工聘用程序及培训制度；

（十一）员工业绩考核及激励机制。

第九条控制活动主要包括不相容职务分离、授权审批、明确业务

流程、会计系统控制、财产保护控制、预算控制、经营分析控制、绩

效考评控制和独立业务审核等。主要审查以下内容：

（一）责任控制。主要各部门和经办人员的职责是否经过恰当授

权，各种岗位制赋予各职能部门和经办人员的责任是否达到分工明

确、职责分明的目的，是否以此为基础建立健全绩效考核标准。

（一）内部牵制。主要检查不相容职务是否分离，交易和事项的

处理是否遵循必须经过两个以上的人员或部门来完成，是否经过复

核，以防止差错、舞弊的发生。

（三）会计制度。主要通过账证、账账、账表之间的相符关系，

检查会计数据的可靠性；通过账实核对检查账实是否相符和会计数据

的真实性；通过检查会计记账依据的业务记录及其审批，评价会计业

务处理的合法性和业务本身的真实性，并与其它控制的有效性互相印

证等。

（四）生产经营各个环节的控制。主要对各单位生产经营和管理

所必须经过的环节和业务操作的控制进行审计，包括成本控制、购销

控制、物资控制、生产经营过程的控制等。

（五）财产、凭单控制。主要对各单位财产物资的保管、清点、

验收、领用以及计划、合同、单据等环节进行审计。

第十条风险管理包括识别和分析影响组织目标实现的各类风

-3辽宁锦华机电有限公司内部控制实施办法估方法，决策是否稳

健；

（三）信息传递渠道的便捷与畅通是否存在低效率现象；

（四）管理信息系统的安全可靠性；

（五）明确反舞弊工作的重点领域、关键环节和反舞弊工作职责

权限；

（六）在应用计算机进行信息处理的条件下，应当对计算机系统

的内部环境、风险评估、控制活动、信息与沟通、内部监督等进行审

计和测评。

第十二条内部监督主要包括董事会、监事会及管理层对内控制度

的监督检查（内部控制的自我评估）、审计机构或其他指定部门实施

的独立监督等。主要审查以下内容：

（一）内部控制监督制度的建立与执行情况；

（二）内部控制缺陷认定标准的制定情况；

（三）审查和验证内部控制自我评价报告及自我评估系统缺陷处

理情况；

（四）内部审计的机构设置、工作情况和独立实施监督情况。第

十三条内部控制审计应关注的其他内容：

（一）所在行业的状况及近期的经营变化；

（二）各级管理人员的诚信、能力及发生舞弊的可能性；

（三）内部控制自我评估的方法和证据；

（四）对重要性水平、固有风险及其他与确定内部控制重大缺陷

有关的因素的判断；

-5辽宁锦华机电有限公司内部控制实施办法和评价。

第十八条初步评价内部控制。了解内部控制情况后，应当对内部

控制进行初步评价包括：

（-）分析可能发生错弊的业务环节和活动领域；

（二）初步评价相关内部控制的合理性和运行的有效性；

（三）确定内部控制风险水平。

第十九条进行符合性测试。审计人员应当根据内部控制的性质及

其执行的时间和频率，运用检查、询问、现场观察、穿行测试等方法,

对内部控制进行符合性测试，主耍包括：

（一）按照业务流程检查各项内部控制的规定是否得到执行；

（二）选择有关经济业务，检查流程中的关键控制点真正发挥作

用；

（三）重复执行内部控制程序，复核验证与该业务有关的控制程

序的遵循情况。

对内部控制执行情况进行符合性测试后，应综合内部控制初步评

价情况、符合性测试情况等，分析被审计单位内部控制的健全性和有

效性，并据此确定实质性测试的范围、重点和方法。

第二十条进行实质性测试。包括。

（一）测试内部控制的健全性。检查测试内部控制措施是否存在;

控制程序是否具备可操作性：是否存在失控环节，失控的性质、原因

及影响；内部控制的局限性等。

（二）测试内部控制的有效性。检查测试有滚经济业务活动的运

-7辽宁锦华机电有限公司内部控制实施办法效。

第二十四条评价特定内部控制未得到遵循的风险时，应当考虑以

下因素：

（-）交易数量和性质发生的变化，以及对内部控制的设计和执

行产生的不利影响；

（二）内部控制发生的变化；

（三）特定内部控制的复杂程序；

（四）特定内部控制对其他内部控制有效性的依赖程度；

（五）执行或监控内部控制的关键人员发生变动。

第二十五条审计人员应对被审计单位内部控制调查、测试和评价

的过程及结果与被审计单位进行沟通，征求被审计单位的意见。

第四章内部控制审计报告

第二十六条内部审计机构和人员应当按照审计工作程序报告内

部控制审计结果，出具内部控制审计报告，并附被审计单位对审计报

告的反馈意见。

审计报告主耍包括以下内容：

（一）审查和评价内部控制目的、范围、依据及实施的主要程序;

（二）内部控制重大缺陷、重要缺陷和一般缺陷及其认定情况；

（三）对内部控制的评价；

（四）审计意见及改善内部控制的建议；

如内部控制设计作为其他审计项目的一个程序时，可不单独形成

审计报告，将结果在有关审计工作底稿或审计报告中予以反映。

第五篇：金融资产管理公司内部控制办法贬政部中国银行业监督

管理委员会关于印发《金融资产管理公司内部控制办法》的通知

【颁布日期】

xx-12-31【文号】

财金[xx]136号【字体显示】

大中小中国华融资产管理公司，中国长城资产管理公司，中国东

方资产管理公司，中国信达资产管理公司：

为规范金融资产管理公司经营管理活动，建立健全内部控制机

制，增强自我约束能力，保隙安全稳健运行，财政部和银监会制定了

《金融资产管理公司内部控制办法》，现予以印发，请遵照执行。

附件：

金融资产管理公司内部控制办法

第一章总则

第一条为规范金融资产管理公司（以下简称资产公司）经营管理

活动，建立健全内部控制机制，增强自我约束能力，保障安全稳健运

行，依据有关法律法规，制定本办法。

第二条资产公司内部控制是资产公司为实现经营目标，根据经营

环境变化，通过制定和实施一系列制度、程序和办法，对经营与管理

过程中的风险进行事前防范、事中控制、事后监督和纠正的动态过程

和机制。

第三条资产公司内部控制的目标是：

（一）确保国家法律法规和资产公司内部规章制度的贯彻执行。

（二）确保资产公司发展战略和经营目标的充分实施。

（三）确保风险管理体系的全面有效。

（四）确保资产公司'忆务记录、财务信息和其他管理信息的及时、

真实和完整。

第四条资产公司内部控制应贯彻全面、审慎、合理、有效、制衡、

独立的原则。

（一）内部控制应覆盖资产公司的所有业务、部门和人员，渗透

到决策、执行、评价、监督、反馈等各个环节，任何决策或操作均应

有案可查，做到事前、事中、事后控制相统一。

（二）内部控制应以防范风险、审慎经营为出发点，资产管理和

处置工作，以及其他各项业务的经营管理，应体现“内控优先”的要

求。

（三）内部控制应符合国家有关法律法规，与资产公司经营规模、

业务范围和风险特点相适应，采取合理措施、以合理成本实现内部控

制目标。

（四）内部控制应确保有效性，公司部门、分支机构和员工不得

拥有不受内部控制约束的权利，内部控制存在的问题应能够得到及时

反馈和纠正。

（五）资产公司部门和岗位的设置应权责分明，决策、执行、评

价、监督、反馈等环节相互分离、有效制衡。

（六）内部控制的监督、评价部门应保持一定的独立性，并有直

接向决策层报告的渠道。

第五条内部控制应包括以下要素：

（一）内部控制环境，包括浓厚的监督和控制文化氛围、良好的

公司治理机制、分工合理的组织架构、科学有效的激励约束机制，为

内部控制的有效性提供必要的前提条件。

（二）风险识