建工集团内部控制评价手册

建工集团内部控制评价手册

目录

一、手册概述..............................................3

（一）目的....................................................3

（二）适用范围和注意事项.....................................3

（三）评价依据................................................3

（四）遵循原则.................................................3

（五）手册制定及更新..........................................4

二、内部控制评价工作流程..................................5

（一）评价启动和准备阶段......................................5

（二）内部控制评价实施阶段...................................5

（三）内部控制缺陷的认定及整改阶段..............................6

（四）评价报告编制及汇总阶段....................................6

三、内部控制评价内容及要求................................7

（一）内部控制评价内容.......................................7

（二）内部控制评价要求.........................................8

四、内部控制评价测试方法..................................9

（一）访谈....................................................9

（二）穿行测试:................................................10

（三）控制测试...................................................11

五、内部控制缺陷的认定及整改.............................15

（一）内部控制缺陷的分类及认定.................................15

（二）内部控制缺陷的汇总.........................................17

（三）内部控制缺陷的整改...........................................17

（四）整改结果的验证.............................................18

六、内部控制评价报告.....................................19

七、附表.................................................20

附表一：企业层面一内部控制评估底稿..............................21

附表二：流程层面一风险控制矩阵及控制测试底稿...................22

附表三：流程层面-内部控制评价工作底稿...........................23

附表四:内部控制评价缺陷及跟踪整改汇总表........................25

附表五:内部控制评价缺陷统计表...................................26

一、手册概述

（一）目的

建工集团按照国家有关部门和上市公司监管机构关于建立和完善企业内控体系的有

关要求，结合企业内部控制设计与运行的实际情况，编制本《内部控制评价手册》，用以指

导全系统内部控制自我评价（以下简称“内控评价”）工作，以推动和规范全公司内控评价

工作。

（二）适用范围和注意事项

本《内部控制评价手册》适用于建工集团及下属各单位内控评价工作.

由于内部控制本身的局限性，本手册并未涵盖所有的内部控制环境要素和控制流程，所

涉内容并非一成不变，各单位应按照《企业内部控制基本规范》和《企业内部控制评价指引》

的要求，结合单位自身业务、管理实际，参照本手册的基本内容要求，开展内控评价工作.

（三）评价依据

lo财政部等五部委《企业内部控制基本规范》、《企业内部控制应用指引》、《企

业内部控制评价指引》。

2o国资委《中央企业全面风险管理指引》。

3.上交所《上海证券交易所上市公司内部控制指引》。

40监管部门相关规定。

5o股份公司《内部控制体系运行管理办法》、《内部控制流程汇编》等内控体系文

件。

6o股份公司及所属单位各项管理制度。

7.业务流程及说明、控制文档、风险矩阵、风险库、缺陷跟踪报告等。

8o各项管理、技术规范和标准等其他有关规定。

（四）遵循原则

内控评价应遵循以下原则：

1.全面性原则：涵盖企业及其所属单位的业务事项的内部控制设计和运行。

2.重要性原则:在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领

域。

3o客观性原则：准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的

有效性.

40整改提高原则：重点查找整改企业存在的控制缺陷，促进企业提高管理水平。

（五）手册制定及更新

本手册由股份公司内部控制评价主责部门依照相关法律法规，结合股份公司内、外部

情况和公司内部控制管理要求制定，并下发各单位参照实施。

本手册将根据内外部环境、组织架构、管理要求、重人风险的变化及内外部检查评价

的结果以及执行中的问题，适时更新、完善.

二、内部控制评价工作流程

根据《企业内部控制评价指引》的要求，内部控制评价程序一般包括:制定评价工作方

案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环

节。按照推进内容分为内控评价启动和准备阶段、内控评价实施阶段、内控缺陷认定及整

改阶段和评价报告编制及汇总阶段等。

(一)评价启动和准备阶段

本阶段工作主要包括编制评价工作方案，确定内控评价工作机构，确定评价工作使用

的文档模板，开展评价人员培训，召开内控评价工作启动会等.

1。编制内控评价工作方案

各单位应依据相关法律法规、监管要求及股份公司内部控制评价工作总体安排，结合

企业实际情况，由评价主责部门制定企业内控评价工作方案，经董事会审批后以公司文件

发布实施.

内控评价方案应至少包含以下内容：

(1)内控评价工作的目标、方法、机构、人员组织、时间安排等；

(2)内控评价工作所关注的重点测试领域；

(3)根据公司的具体情况，安排部署有关内控评价工作。

2。确定内部控制评价工作机构

各单位应根据内控评价的要求，结合企业实际情况，明确组织领导，确定内部控制评价

工作组，落实相应的工作职责，具体组织开展本单位内部控制评价工作。

评价机构的组成和人员数量、结构，应结合业务内容、工作量、人员水平和独立性等

因素考虑。评价工作组成员至少应包括主要业务管理部门人员。

注:内控评价的独立性是指内控评价时应尽量避免评价人员评价本部门相关的内部控

制.

(二)内部控制评价实施阶段

内部控制评价工作实施的主要程序如下：

lo各单位评价工作组应当根据批准的评价方案，参照本手册规定的内容和要求，开

展对本单位职贡范围内的内控评价工作。各单位应召开内控评价工作会，进行宣传、动员，

对开展内控评价作出部署，提出要求。

2.各单位应依据公司所处的经营环境及面临的主要管控问题，识别和评估本单位业务

和管理流程中的风险事项，从而确定本单位的主要管理问题和风险管控重点。

3o各单位应在内控评价实施过程中，选择适当的评价方法进行必要的测试，获取充

分、相关、可靠的证据对内部控制的有效性进行评价，对自身的关键控制点进行测试.

4o评价工作组人员应针对流程中存在的具体风险点，评价控制措施是否设计有效、

控制是否到位，是否能够合理保证控制目标的实现等进行检查评价，如存在异常，则进一

步分析原因，得出评价结果，并做出记录，确认内控缺陷和不足。

股份公司总部评价工作组在评价实施阶段，将选派工作人员对所属单位进行抽查，检查

评价工作的开展，确保评价质量.抽查内容主要为对各单位报送的自我检查评价工作底稿和

评价报告进行真实性、合理性的抽查和复核。

（三）内部控制缺陷的认定及整改阶段

各单位应对评价过程中的异常原因进行分析，找到差距，分析可能带来的后果，并进行

缺陷认定。

对内部控制缺陷的认定,应当由各单位评价工作组进行综合分析后提出认定意见，按照

规定的权限和程序进行审核后予以最终认定。

认定的控制缺陷，需提出整改建议。整改建议须内容具体，切实可行。存在缺陷的部门

或单位应制定整改方案。整改方案应符合有针对性、可衡量、可完成、符合现实俏况以及

及时性等原则。各单位须填写附表四《内部控制评价缺陷及跟踪整改汇总表》，按照整改

方案进行整改.

（四）评价报告编制及汇总阶段

在内部控制评价实施和内控缺陷梳理及整改工作完成后，各单位应按照《基本规范》、

《应用指引》和《评价指引》的要求，编写本单位《内部控制评价报告》.评价报告应当根

据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按

照规定的程序和耍求，及时编制，经本单位董事会或单位权力机构批准后报送股份公司内部

控制评价工作组.

总部内控评价工作组将在抽查和复核的基础上，分析、汇总股份公司总部和各单位的

内部控制检查评价结果，综合判断公司整体控制的有效性，编制股份公司内部控制评价报告,

提交公司管理层和董事会审议通过后对外披露。

三、内部控制评价内容及要求

(一)内部控制评价内容

内控评价工作主要分为企业层面内部控制评价和流程层面内部控制评价两个方面进

行，具体介绍如下：

lo企业层面内部控制评价

企业层面控制是指对企业控制目标的实现具有重大影响，与内部环境、风险评估、信

息与沟通、内部监督直接相关的控制。企业层面控制是内控梳理工作的起点，是业务流程

控制的基础。企业层面控制的缺陷往往会对整个内部控制的有效性产生重大影响。

测试企业层面控制,应当把握重要性原则，至少应当关注：

(1)与内部环境有关的控制。

(2)针对董事会、经理层凌驾于控制之匕的风险而设计的控制。

(3)企业的风险评估过程。

(4)对内部信息传递和财务报告流程的控制。

(5)对控制有效性的内部监督和自我评价.

企业层面控制环境是整个内控活动的前提和基础，对企业内控的效率和效果起关键作

用.针对控制环境关键要素进行评价，能直接反映出各单位的企业层面控制环境建立、维护

和执行情况。

各单位应结合企业实际情况，将企业层面内部控制环境细分，针对具体要素，设定具体

控制活动和检查方法，并完成附表一《企业层面一内部控制评估底稿》，评价控制的合理

性和有效性。

2o流程层面内部控制评价

流程层面控制是指企业在实际业务操作中，综合运用各种控制手段和方法，针对具体业

务和事项实施的控制。流程层面控制评价的基础是流程，从主要风险出发，按照重要性的原

则，根据流程中的具体风险、管理重点和责任主体，进行控制活动的评估和内部控制的自

我检查和评价.

评价工作组应当按照《评价指引》的要求，针对所处经营环境和面临的主要风险和主

要管理问题的变化，通过适当的方法(如访谈、专题讨论)收集、确认、分析相关信息，重

新评估本单位与实现控制目标相关的风险，选定重要流程，制定、改进或更新流程风险、

控制活动和检查评价方法，完成附表二《流程层面一风险控制矩阵及控制测试底稿》。

各单位应参考《基本规范》及《应用指引》的要求，结合公司风险评价结果，由内控

评价主责部门确定内控评价所需涉及的业务流程。现有业务流程划分如下：

控制活动1)资本运营流程

2)采购管理流程

3)财务管理流程

4)公司治理流程

5)综合管理流程

6)安全质量环保流程

7)人力资源管理流程

8)管理结构流程

9)法律事务管理流程

10）合同管理流程

11）国内业务管理流程

12）国际业务管理流程

13）运营监控流程

14）信息管理流程

15）战略管理流程

（二）内部控制评价要求

各单位评价工作组应按照公司内部控制评价实施方案，组织人员，兼顾全面、有重点,

按时、保质开展内控评价工作。

1.评价工作重点。结合本单位实际情况，重点考虑：

（1）流程和制度设计的有效性。主要检查是否涵盖了本单位经营管理中需关注的重点

问题及重点风险；是否明确了各项经营活动的管理要求；风险控制措施是否存在缺陷和漏

洞，能否防范经营管理中的不规范行为，有效降低和控制经营管理中的风险；是否制定了

清晰、明确的业务流程，流程的起点、终点以及中间涉及的各控制点、控制标准、各个岗

位间的职责分工是否明确。

（2）流程和制度运行的有效性.主要检查各项经营活动是否按已制定的流程文档规范

执行；是否保留了完整和可靠的文档记录时，耍注意验证每个业务控制环节，核实实际执

行情况与流程图、流程描述及风险控制文档的描述是否一致；验证业务活动所经过的流程

和控制是否有完整和可靠的文档记录，是否保留了控制实施证据。在验证业务控制流程设

计和执行的一致性时，从业务发生开始，抽取一定数量的样本，通过对业务申请、审批、执

行、过程记录、款项收付到财务处理全过程测评，验证业务控制流程设计和执行是否一致。

2.评价方法的选择.根据评价项目的不同，应当综合考虑选择一种或多种评价方法进

行评价，获取充分、相关、可靠的证据对内部控制的有效性进行评价，并做出书面记录.

四、内部控制评价测试方法

内部控制评价和测试通常采用如下几种方法：

(1)个别访谈法：根据内控评价需要，对被评价部门负责人或员工进行单独访谈，以

获取有关信息。

(2)标杆法：通过将被评价部门(项目)，与公司内外部相同或相似经营活动的最

佳实务进行比较，从而对控制设计的有效性进行评价。

(3)穿行测试法：通过抽取一套贯穿流程全过程的业务记录文档,来了解整个业务流程

执行的情况。

(4)抽样法：针对具体的内部控制业务流程，按照业务发生频率及所管控风险的高

低,从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对

业务流程控制运行的有效性做出评价。

(5)实地查验法：公司对财产进行盘点、清查，以及对存货出、入库等控制环节进

行现场查验。

(6)专题讨论法:通过召集与业务流程相关的相关人员就业务流程的特定项目或具体

问题进行讨论及评估。

内部控制评价测试时应重点关注公司识别出的企业层面和流程层面的风险及其应对

措施，采取访谈法、穿行测试法等方法，对企业现有内部控制的设计与运行的有效性进行

穿行测试评价，同时应采用标杆法、抽样法、实地检查法等手段针对公司的业务管理流程

及其内部控制措施运行的有效性进行控制测试评价.

(一)访谈

访谈(个别访谈法)，访谈工作是指通过直接的、单独的访问，对公司的战略、业务、

流程、制度、人事等方面进行全方位的了解，通过交流找到目前工作中的重点、难点或者

障碍，明确评价工作的关注要点和关键环节。

lo访谈目的：

(1)深入、确切地了解各流程的实际操作状况；

(2)与管理层讨论、确定口前的执行步骤是否符合公司相关规章制度的规定，是否能

够应对行业的最新变化和发展；

(3)对访谈过程中了解到的风险点和控制点进行记录；

(4)对目前存在的问题进行记录；

(5)对存在问题或可能的风险的解决方案或思路进行初步沟通。

2。制定访谈计划：

内控评价工作组需制定企业层面控制相关领域和流程层面各业务流程的访谈计划。访

谈计划应该建立在审阅了企业层面和业务层面相关控制文档的基础上，如内控体系文件

等，以便能够在访谈之前对被评价单位的控制活动有一个较为全面的认识和理解，从而更有

针对性的发问，有助于节省访谈时间。

访谈计划需要根据各个相关领域和各个业务流程的特点，有针对性地安排访谈对象,

合理规划访谈时间，保证访谈质量，降低重复访谈次数。在访谈计划中需要填列涉及的控制

领域(企业层面控制访谈)或业务流程名称和流程负责人(业务层面控制访谈)、被访谈部

门、被访谈人名称及职位、计划访谈日期及时间、主要访谈内容以及访谈人信息.访谈之前

需将访谈计划发给被访谈人以便其提前准备访谈内容并安排合适的受访时间。

3.访谈内容：了解内控体系文件所描述的企业层面各领域的风险和控制情况，确认实

际的风险点和控制点是否发生变化。在访谈过程中需耍按照流程涉及到的业务，对风险点

和控制活动进行访谈。

4.访谈形式：采用面对面的方式进行访谈。

5.访谈记录：所有访谈内容形成书面访谈纪要，并进行编号、留档。

6。根据访谈结果更新《企业层面一内部控制评价底稿》：根据访谈获取的信息，填制

或更新《企业层面-内部控制评价底稿》，具体格式请参见附表一《企业层面一内部控制评

估底稿》。

(二)穿行测试：

穿行测试主要运用穿行测试法.通过抽取一套贯穿流程全过程的业务记录文档，来了解

整个业务流程执行的情况，主要测试内部控制设计的有效性。

穿行测试是对流程描述的检测.流程描述是对公司现有业务流程现状的记录，即每个步

骤的具体工作内容、关注耍点以及每个步骤使用的表单.

1。测试目的：验证控制描述或流程描述中所记录的控制内容是否正确，各环节是否

按照其相关规定运行，是否存在控制设计及执行缺陷。

2.测试对象:各公司层面控制领域和业务流程各子流程的所有控制点,包括关键控制

点和非关键控制点。

3O测试频率:穿行测试为每年进行一次。

4.测试执行人员：需要严格贯彻内控测试的独立性原则，即某一控制的实际操作人员

需要回避相关控制的任何测试。

5o样本选取原则：

(1)样本必须能够代表该领域或该子流程的典型业务及操作流程

(2)样本需要尽可能覆盖该领域或该子流程的所有控制点；

(3)对于那些确实无法被覆盖的控制点，可以单独选取额外样本进行测试；

(4)必须随机选取，采用统计抽样的方法。

6.样本数量：根据在风险识别和控制识别工作过程中划分出的各个业务子流程，并对

每个子流程中的控制点选取一个样本进行测试。

7.记录样本：

(1)对于穿行测试过程中取得所有样本资料，均需要进行复印、编号,并单独存档保

管；

(2)记录测试结果(异常/无异常/不适用)；

(3)对于出现异常的控制点，需要详细描述样本的异常特征，并标注相应留档纸质文

档编号。

(三)控制测试

控制测试需耍综合运用抽样法、标杆法和实地杳验法。针对具体的内部控制业务流程,

按照业务发生频率及所管控风险的高低，从确定的抽样总体中抽取一定比例的业务样本，

参照控制的标准程序或最佳实践，对业务样本进行实地查验，并对其符合性进行判断，进

而对业务流程控制运行的有效性做出评价的测试。

控制测试的主要评价对象是控制点，尤其是符合性测试中证明为有效的关键控制点。

控制点是指管理层在日常运营过程中为达到有效抑制来自内部和外部的不同风险，保

证整个经营活动结果运行的正确性，而设置的环节。例如对经营活动中产生的各类数字进行

复核，或对各类经济活动进行事前审批和事后检查等。

关键控制点是指管理层所依赖的，在合理的范围内支持管理层防范和发现重大风险的

控制点。关键控制点的失败不仅影响管理层实现流程目标的能力，还影响财务报表控制目

标。

每一条风险至少需有一个关键控制点与其对应。若某风险没有关键控制点与其相对

应，则此处直接确认为控制设计缺陷，进入缺陷记录及评价步骤。

lo测试目的：确认各子流程中关键控制点是否执行有效。

2.测试对象：各子流程中的关键控制点。

3.测试频率：全面控制测试建议每年至少进行一次；对于一些风险较大的子流程，可

自行考虑是否增加测试频率。

4.测试执行人员：需要严格贯彻内控测试的独立性原则，即某一子流程的实际操作人

员需要回避该子流程的任何测试。

5.测试方法：

共有四种测试方法可供选择:

■询问(可选)：

(1)首先询问控制执行人是否了解其控制目的及执行方法；

(2)其次询问是否在日常工作中实际实施控制，且具体如何操作；

(3)重点关注操作有哪些证据及相关文档如何保管等。

■观察(可选)：

(1)观察员工执行控制步骤；

(2)可能需要其他跟进测试；

(3)文档记录要求：谁，什么时候，观察的结果v

■审阅、检查控制执行证据(必选)：

(1)获得控制执行相关证据(例如经签批的文件等)；

(2)审阅文档记录或报告，查看是否留有控制执行的痕迹(例如签字、邮件、通话记

录等)；

(3)评价控制执行是否有效、符合规定(例如审批是否经过适当的人，在适当的时间执

行等)；

(4)记录所获取的证据，并对测试过程、测试结果及结论进行书面记录。

・测试执行人重新执行控制操作以验证是否控制执行有效(可选)：例如：测试执

行人重新计算当月住房公积金，以验证所计提及上交的住房公积金是否正确.

6.制定控制测试计划：

由于业务层面的控制测试存在样本选取数量较为复杂、需要消耗较多人力和时间，因

此在正式进行控制测试之前，应拟定控制测试计划，以便更好地实施测试工作，明确责任人,

严格控制测试成本。

7。样本选取原则：

(1)针对每个关键控制点独立选取样本，样本只需覆盖被测试控制点即可，不需要

覆盖流程中的其他控制活动；

(2)必须随机选取，采用统计抽样的方法；

(3)避免选取穿行测试中已经测试的样本；若穿行测试中测试的为唯一样本,则控制

测试结果可以直接根据穿行测试结果确认。

8。样本数量与测试结论：

(1)针对每年发生一次的业务，直接选取该笔业务；若该笔业务出现异常，则该控制

点测试结论为控制失效；

(2)针对发生频率介于每年一次至每季度一次的业务，随机抽取当年发生的不少于2

个样本；若任何一个样本出现异常,则该控制点测试结论为控制失效；

(3)针对发生频率介于每季度一次至每月一次的业务，在全年随机选取不少于4个

样本；若任何一个样本出现异常，则该控制点测试结论为控制失效；

(4)针对发生频率介于每月一次至每周一次的业务，在全年随机抽取不少于12个样本;

若任何一个样本出现异常，则该控制点测试结论为控制失效；

(5)针对发生频率介于每周一次至每天一次的业务，在全年随机抽取不少于20个样

本；若2个或以上样本存在异常，则测试结论为控制失效；若其中一个样本出现异常，需增

加不少于3个样本进行补充测试，补充样本的任何一个出现异常，则测试结论为控制失效;

(6)针对每天多次发生的业务(常规业务)，在仝年随机抽取不少于30个样本；若2

个或以上样本存在异常，则测试结论为控制失效；若1个样本出现异常,需增加不少于15

个样本进行补充测试，补充样本的任何一个出现异常，则测试结论为控制失效；其余情况均

视为控制被有效执行.

样本数量和测试结论的确定可参见下表：

初始样本

发生异常样补充样新异常样

数量(不测试结论

频率本数量本数量本数量

少于)

0——控制有效

每年一次1

1——控制失效

每年一次以上0—一控制有效

2

至每季度一次1—一控制失效

每季度一次以0——控制有效

4

上至每月一次1——控制失效

每月一次以上0——控制有效

12

至每周一次1—一控制失效

0——控制有效

每周一次以上0控制有效

2013

至每天一次>1控制失效

>2—一控制失效

0——控制有效

0控制有效

每天多次3()115

>1控制失效

>2——控制失效

9o记录样本：

(1)对于控制测试过程中取得的无异常样本，不需要复印留底；

(2)对于存在异常内容的样本，均需要进行复印、编号，并单独存档保管;

(3)采用附表三《流程层面一内部控制评价工作底稿模板》进行样本记录；

(4)根据附表三，描写所有进行测试的控制行动步骤；

(5)根据附表三，描述取样方法及取样数最(例如随机选取)；

(6)对于个别控制步骤采用的替代样本，需要描述替代样本、替代样本的选取方法,

以及采用替代样本的原因(原有样本为何不适用)；

(7)根据附表三列示内容，填写每个样本所有特征(包括异常部分)，并标注相应

留档纸质文档编号；

(8)需要在底稿中简要描述造成样本异常的原因(如“XX办事处2011年XX周的《办

事处周报》中没有包含排产合同转正的情况及各项目回款的情况等)，并标注相应留档纸

质文档编号；

注：在每张底稿上都应标注测试结论(控制有效或控制失效)。

五、内部控制缺陷的认定及整改

内控缺陷是指某个控制的设计或运行使管理层或公司员工在日常工作中不能及时预

防或者查找错误，从而导致对业务的控制失效或部分失效的行为。

(一)内部控制缺陷的分类及认定

lo缺陷的分类

(1)内控缺陷按照缺陷类型分可以分为设计缺陷和执行缺陷。

设计缺陷:是指公司在设计内控系统时，可能存在设计漏洞，使某些风险的防范措施缺

失或并不完整，必要的控制或者控制的必要成分缺失，导致这个控制不能满足控制目标从

而导致公司发生损失的可能性增加。

设计缺陷既可以是自动系统的设计缺陷，也可以是手工控制的设计缺陷.设计缺陷强调

的是必要的控制或者控制的必要成分缺失，或者某个现有的控制不合理，导致这个控制不

能满足控制目标。这样的缺陷称为控制设计缺陷。例如，缺少绩效考核机制、缺少合理的

事前审批机制等.控制设计缺陷多在穿行测试中发现。

执行缺陷：是指控制设计完好，但没有被正确地执行的控制，该部分控制已经包含在

现有内控体系中，但却因为各种原因在实际操作中未能被执行或未能被完整执行的控制。

执行缺陷强调的是一个完好设计的控制没有如设计那样被实际运行。例如，公司具有

明确的弁前审批规定，但在实际操作中，并未按照要求执行相关审批等。控制执行缺陷多

在控制测试中发现。

(2)内控缺陷按照其影响整体控制目标实现的严重程度，可分为一般缺陷、重要缺陷

和重大缺陷。

一般缺陷，是指内控设计或者运行无法使管理层或员工在执行指定任务的正常过程

中，及时防止或发现错报，也称为一般内部控制缺陷。

重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进

而导致企业无法及时防范或发现严重偏离整体控制目标的情形；例如:对于会计政策的选择;

反舞弊的程序和控制;重大交易相关的控制;财务报告关账相关的控制等。

重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业

无法及时防范或发现偏离整体控制目标的严重程度依然重大。例如：高管舞弊，本期财

务报告的重大错报未被现有内控及时发现和更正，审计委员会监督无力等。

(3)内控缺陷按照其对财务报告的影响分为财报相关缺陷和非财报相关缺陷。

财报相关缺陷，是指内部控制缺陷造成的财务报告的潜在错报金额能够可靠地估算.

如：对收入的确认，对费用的审核，对合同条款的审议的相关控制缺陷等。

非财报相关缺陷，是指流程操作步骤/控制环节的设计/不执行或执行偏差，但不构成

财务报表出现潜在的错报。如绩效考核机制，会议机制的相关控制缺陷等。

2.内部控制缺陷的认定

各单位应根据国资委、财政部、证监会、上海证券交易所等监管机构对企业层面控

制的要求，结合访谈及测试步骤得到的结果进行考虑，识别公司现有的控制在设计和执行上

是否存在缺陷.在穿行测试或抽样测试过程中如发现存在控制缺陷或者控制环节缺失时，各

单位应确认发现的问题并予以记录。

存在下列情况之一，应当认定内部控制存在缺陷：未实现规定的控制目标;未执行规定

的控制活动;突破规定的权限；不能及时提供控制运行有效的相关证据等。

各单位应以内控体系文件中记录的企业层面和流程层面的风险点和控制点为基础，在

访谈中需对控制设计的有效性给予特别关注，对于各领域内部重要环节可能存在的各类缺

陷予以探讨和记录；在测试时需要重点关注是否按照既定的控制要求进行操作;在记录缺陷

时，采用统一的模板(参见附表四《内部控制评价缺陷及跟踪整改汇总表》)，作为本步

骤的记录文档。

内部控制评价工作组应当根据现场测试获取的证据，进行认定：

(1)财务报告缺陷认定：

当内部控制缺陷造成的财务报告的潜在错报金额能够可靠的估算时，一般缺陷、重要

缺陷和重大缺陷可以根据内部控制缺陷对当期财务报表的影响来判定。

一般缺陷：由于内部控制缺陷导致影响财务报告真实性程度很小.

重要缺陷：由于内部控制缺陷导致影响财务报告真实性较大。

重大缺陷：由于内部控制缺陷导致严重影响财务报告真实性，造成被监管机构的处罚。

(2)非财务报告缺陷的认定：

非财务报告内部控制缺陷认定应关注缺陷对业务流程有效性的影响程度、发生的可能

性、效率和效果方面所受到的负面影响程度来判定。

缺陷认定发生的

负面影响程度

等级可能性

降低工作效率或效果、或加大效果的不确定性、或使之偏

一般缺陷中等

离预期目标

显著降低工作效率或效果、或显著加大效果的不确定性、

重要缺陷较高

或使之显著偏离预期目标

严重降低工作效率或效果、或严重加大效果的不确定性、

重大缺陷高

或使之严重偏离预期目标

内部控制缺陷的认定实行逐级审批确认。一般缺陷在评价工作过程中确认;重要缺陷和

重大缺陷由内部控制评价工作组讨论并提出意见，其中重要缺陷报内控领导小组研究确认，

重大缺陷提交董事会审议确认。

（二）内部控制缺陷的汇总

各单位通过访谈、穿行测i心及控制测试等评价方法，分析出企业层面和流程层面控

制存在的缺陷后，应分类填写收集到的所有异常情况，进行汇总并形成发现问题汇总表。

对已发现的缺陷建议在附表五《内部控制缺陷统计表》中进行记录及标注，将相关缺陷点

及其支持性文件进行统一标号,由评价主责部门归档保存.

各单位汇总内控执行缺陷的同时应给出整改建议，制定具体的整改计划，保证公司的

内部控制体系的持续有效运行。

（三）内部控制缺陷的整改

在评价过程中发现内部控制缺陷后，应进行缺陷原因分析，分析该缺陷存在的主要原

因，例如:控制活动缺失、控制活动本身缺乏执行性、人为执行不利、审批不当等；并针对

所发现的问题、流程管控缺陷，提出整改建议。整改建议须内容具体，切实可行.

存在缺陷的部门或单位应制定整改方案，明确整改负责部门/人以及整改的计划完成

时间.整改方案应符合有针对性、可衡量、可完成、符合现实情况以及及时性等原则.

lo制定缺陷整改计划：评价工作组应要求并监督各控制缺陷的整改负责人根据已识

别的缺陷的性质，结合公司的实际情况制定相应的缺陷整改计划。整改计划中需要包括以

下内容：整改负责部门/个人、整改步骤、整改时间表等。制定的整改计划需要得到管理

层的认可后方可实施。

2。选择整改方式：对于已经确认需要整改的内控设计缺陷，需在已有的内控管理制

度体系中补充相关规定或修改原有规定，按照公司既定的管理制度报批程序对做出的补充

或修改进行审批;对于已经确认需要整改的内控执行缺陷，需加强内控的执行力度，要求控

制执行人严格按照相关规定执行。

3.进行整改：各单位在选择好整改方式后由各缺陷对应的控制或流程的责任部门负

责，按照预定的整改计划进行整改。监督部门应实时监督缺陷整改的进度，并协调解决整

改过程中出现的问题，监控的方式主要为定期审阅各整改负责人上报的整改计划及整改进

度汇报。

4.整改进度的定期报告：在缺陷整改的过程中，主责部门应定期就缺陷整改进度向管

理层进行报告，报告的频率需要视具体要求而定。在汇报时对整改所采取的措施进行简单描

述并按照整改步骤的完成情况对整改进度按照百分比的方式进行体现，同时将需要管理层

关注的整改过程中出现的问题（如困难、需要协调其他部门的事项等）进行列示说明。

(四)整改结果的验证

整改结果验证步骤如下：

1.选定测试对象:评价工作组通过附表五《内部控制缺陷统计表》汇总的所有控制设

计及控制执行缺陷的整改情况对整改结果进行再测试.

2.选取测试样本：评价工作组通过以下原则选取再测试的样本：

(1)针对每个失效控制点独立选取样本，样本只需覆盖被测试控制点即可，不需要覆

盖该领域中的共他控制，

(2)必须随机选取，采用统计抽样的方法；

(3)样本选取区间为整改完成后至再测试时.

3.总结测试结果:评价工作组汇总所有再测试过程发现依然存在的缺陷。对于控制制

度设计上存在缺陷整改的再测试，需要复核该整改是否符合控制制度修改的相关流程(是

否得到了合理的审阅及批准等)；整改后的制度是否能够满足控制的需要，以及测试整改

后的控制实施是否存在问题；对于控制执行缺陷整改的再测试，需要获取适量样本并检查

是否按照政策流程的要求执行。

4.制定下一步跟进计划：对于整改未完成的部分，相应控制缺陷的整改负责人需要制

定详细的下一步跟进计划,上报公司管理层及评价主责部门审阅、备案。

六、内部控制评价报告

各单位应按要求撰写内部控制评价报告，内控评价报告应当以12月31日作为年度

内部控制评价报告的基准日，内部控制评价报告应当针对内部环境、风险评估、控制活动、

信息与沟通、内部监督等要素，对内部控制评价过程、内部控制缺陷认定及整改情况、内

部控制有效性等相关内容作出披露.股份公司将根据各单位的《内控评价报告》，分析、汇

总编制股份公司总体《内控评价报告》，经公司总裁办公会、董事会审议后对外披露或报

送C

报告内容应包括：

1。董事会对内部控制报告真实性的声明:声明苗事会及全体董事对报告内容的真实性

承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。

2.内部控制评价工作的总体情况：内部控制定量和定性评价的总体综合情况。

3.内部控制评价的标准和依据：表述内部控制评价依据的的法律法规、政策指引及企

业内部制度等。

4.内部控制评价的范围和内容：指评价工作的具体范围，包括内部控制系统企业层面

与流程层面的评价。

5.内部控制评价的程序和方法：指企业在评价过程中的工作程序和方法.

6o内部控制缺陷及其认定情况：企业管理层对缺陷的认定情况.包括：重大缺陷、重

要缺陷和一般缺陷的认定情况，设计缺陷和执行缺陷的划分，财报缺陷和非财报缺陷的认

定。

7.内部控制缺陷的整改情况及重大缺陷拟采取的的整改措施及建议:控制缺陷的风险

级别,拟采取的的整改措施及建议，整改措施及建议须内容具体，切实可行。

8o内部控制有效性的结论：对本次内控评价有效性的最终结论.

同时，内部控制评价工作组应当关注自内部控制评价报告基准日（12月31日）至内

部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并将其上报股份公司，

股份公司将根据其性质和影响程度对评价结论进行相应调整。

七、附表

附表一：《企业层面一内部控制评估底稿》

附表二：《流程层面-风险控制矩阵及控制测试底稿》

附表三：《流程层面-内部控制评价工作底稿》

附表四：《内部控制评价缺陷及跟踪整改汇总表》

附表五：《内部控制评价缺陷统计表》

附表一:企业层面-内部控制评估底稿

公司名称：XXX

年度：20XX年

评价人员：XXX

涉及叙域及窝试步暴实际控制情况

控制领域子领域访谈内容及窝试步舞风险点描述实际控制负责企曼层面控制澳现问JH

点描述部门证据

（例）A。1_（例）董（例）h获取it事会章程，了解董事会（例）公司没有明确■事会

组织架构和事会议事规则.董事会职责等任职条件、职责权限、议事

权费分配2、获取某次*事会会议的文档记录规则和工作程序,或治理结

（事先拟定的议辱!、事先对所有■事构形同虚设.缺乏科学决策、

的通知及向其提供的资料、签字确“良性运行机制和执行力.可

的会阪记录），尊也是白与双事疑则案能号致企业经莒失败.难以

求相一致：实现发展战略。

3、查阅*事会章程中对董事长授权的

内容是否恰当；

1、杨有是否在■事会章程中明确*事

会对内控体系的职责，职责是否完备。

附表二:流程层面一风险控制矩阵及控制测流底稿

公司名称：XXX

年度120XX年

评价人员：XXX

一级流程缰号（WF1一级流程名称（例）财务管理

二级流程编号（例）FM.01二级流程名称（例）资金管理

三堀流程编号（例）FM.01.02三圾流程名称（例）银行余额调节覆的塌制及审批流程

目标编控制目标风险反险描述控制控制活动筒描述该控制是否控制穿行谢控制设关・控制执X发现问用描述管理

号♦号・号涉及的为关频率试底稿计是否控制行是否试展囱

部门及as发现异测试发现异结应

负责人制常底稿常论

（例）（例）〉（例）（例）公,例）（例：每月由出纳根（例）财（例）（例）（伊）（例）（例）（例）倒（例）编制完（例）认

1X）1保公司应RO1司的根行COI据银行对瓶单和企务管理是每月FM.OI界常FM_O亓常控毕后会计没有可•准

-O2.WLO2.

收账款能收付款交业底面数编制银行部经理发生制在£嘏行余领备然改

TI4银TOC

够及时收易记入了余戴调节表,由资金无溯节表3上签

行余额—1

回.不恰当的主管对所有账户迸效字确认.也没

调节

会计期行逐笔核对,并对调有经过相关的

表）

间.节表进行审核。审核财务经理审核

无误后，在银行余额和签字。

调节支上签字眄认。

附表三：流程层面一内部控制评价工作底稿

公司名称：XXX

年度：20XX年

一级流程竭号（例）FM一级流程名称（例）财务管理

二级流程第号（例）FM.01二级流程名称（例）资金管理

三级流程靖号（例）FM.01.02三级流程名称（例）银行余额调节表的第断及审批流程

一、详的控制泅试文档金码（例）叫一O1_O2_TOC-1

二、评价人员XXXX

审同人XXXX

完成日期XXXX/XX/XX

三、抽样标准1、抽样方法（例）取得测试期间所有月份的侬行余额调节表及其附件（极行对账单）。

2、样品数■描述（例）本年度12个月,本控制为月度控制,因此随机抽取两个样本

3、抽样涉及期间（例）20XX/r20XX/12

1、抽样另祥（如

适用）（例）不适用

四控制测试步建

控制点0号控制点内容

（例）每月根行出纳收到假行邮寄的银行对账单后,对所有随行账户纸制，:圾行余额调节表》

CO1

并加,名章确认,资产财务部经理审核无误后签字竟认。

（例）获得样本月份所有的银行余额调节表,与财务系统中的银行账户进行比较,检查是否

步照1

祥本月所有的银行账户（包括零余颔账户和非活跃账户）

步界2（例:，检杳蜷行对账单和假行帐的矍异均正确地记录在词节项上。

步骤3（例:，检查调节项是否合理（是否存在长期未调事项）

步舞1（例）检查余额调节表是否经资产财务部经理签字复核。

五、控制测试结论根据下面的测试.我们认为:FM0102（01（例）控制失效

六、理组漓试记录

步舞步骤步SR步骤*

步票号1234注

样本描述

差

月份银行名法对账隼金皱账面余频异

1（#1）194,795,（例）194,795X

（2009/1/1（例）浦东发展网北支行42.42N/AN；AN1

（例）800.302.（例）

V4X

（例）工商银行闸北支行（基本户）43800,302.48—­JN1

（例）20.529。（例）20529。NL