为规范和加强安徽省建筑设计研究总院股份有限公司（以下简称“总院公司”或“公司””）的内部控制评价（以下简称“内控评价”或“评价”）工作，确保内部控制体系健康稳定、持续高效运行，提高风险防范能力，根据上市监管等有关监管规定，结合公司内部控制体系建设运行和评价工作要求，制定本手册。

　　《内部控制评价手册》旨在明确内部控制评价的原则、职责、程序与方法，为公司内部控制评价提供指导，以推动公司内部控制评价工作的有序开展。

　　本手册是依据财政部等五部委联合发布的《企业内部控制基本规范》及其配套指引、国资委发布的《中央企业全面风险管理指引》，结合公司的实际情况编制而成。在内部控制日常监督和专项监督的基础上，对公司每年的内部控制设计与运行有效性进行评价并发表结论。

　　（1）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司及其所属单位内部控制活动的全过程及主要经营场所、部门及岗位和相关业务流程。

　　（2）重要性原则。评价工作应当在全面评价的基础上，依据风险和控制的重要性确定重点，关注重要业务单位、重大业务事项和高风险领域。

　　（3）一致性原则。评价的标准、范围、程序和方法等应保持一致，以确保评价过程的准确性及评价结果的客观性。

　　通过内部控制评价工作，可以及时发现内部控制缺陷，制定和实施改进方案，确保内部控制有效运行。

　　通过编制《内部控制评价手册》，建立一套科学、系统的内部控制体系评价的方法和规范，为公司内部控制体系评价和维护提供指引和依据，确保公司内部控制体系在意识和行为上统一。

　　内部控制管理归口部门负责本手册的更新和维护，根据内外部环境、组织架构、管理要求的变化，结合内外部监督评价问题、各部门反馈意见和内部控制管理需要，对手册进行修订与更新。

　　董事会是内部控制评价工作的最高决策机构，对内部控制评价报告的真实性负责，主要履行以下职责：

　　审计委员会负责内部控制评价工作的日常运行管理，主要履行以下职责： （1）审议内部控制重大缺陷，审定内部控制重要和一般缺陷；

　　（2）负责组织开展内部控制评价工作，客观、真实、准确揭示经营管理中存在的内控缺陷和风险隐患；

　　（4）编制内部控制评价报告，提交审计委员会审议，董事会审批； （5）监督内部控制缺陷整改工作进度，并反馈给相关业务部门，推动内部控制缺陷整改工作如期完成。

　　（1）积极配合内控管理归口部门工作，按规定提供相关测试资料，及时沟通确认内部控制缺陷；

　　（2）针对本部门/单位存在的内部控制缺陷，负责制定并实施内部控制缺陷整改方案，并按规定反馈整改进度，对内控缺陷整改质量负直接责任。

　　每年实施内控设计有效性评价工作之前，由公司内控管理归口部门依据外部监管要求及相关法律法规，结合公司实际业务情况，明确评价的范围，形成内控评价方案。

　　制定评价方案，就是根据评价范围（经营单元、业务流程）明确评价的时间、评价测试内容等具体工作要求。

　　由于内控评价工作涉及公司各部门、需要消耗较多人力和时间的特点，因此在正式进行评价之前，建议内控管理部门拟定内控评价计划，以便更好的规划评价工作，明确责任人，严格控制评价成本。

　　（3）根据公司的具体情况，分别布置本次内控评价工作的具体要求，包括所涉及到的职能部门、人员投入及相应评价负责人、评价时间等。

　　该内控评价方案应由审计委员会批准后方可实施，批复后的相关文档应由内控管理归口部门保存留档。

　　评价方案经相关领导审批后，内控管理归口部门向各部门下发内部控制自我评价工作通知，组建本次内控评价的工作小组（评价工作小组成员主要从各部门内控专员中抽调，如工作量较大或有独立性考虑的时候，也可从各部门中抽调内控专员以外的员工组成），并对评价小组进行必要的沟通和培训。内控评价工作小组一般由主要业务部门、财务部门、信息技术部门、审计部门、法律部门等成员组成。

　　注：内控评价中的独立性考虑是指内控评价时应尽量避免评价人员评价本部门相关的内部控制。

　　针对每次内控评价的范围，内控管理部门应根据工作量、人员水平和独立性等考虑因素，分配具体的评价工作内容，指定内控评价工作的责任人。考虑到独立性问题，应尽量避免各部门的内控专员参与对本部门内部控制自我评价的具体工作，但可作为本部门内控的专家，负责协调、解疑等工作。

　　内控管理归口部门应在现场评价开始前与内控评价工作小组进行沟通，明确本次评价的具体工作要求、时间安排、测试底稿填写要求，给予评价小组成员必要的培训，并宣布项目启动。

　　（2）与管理层讨论、确定目前的执行步骤是否符合公司相关规章制度的规定，是否能够应对行业的最新变化和发展；

　　访谈计划需要根据各个相关领域的性质和难易程度合理规划访谈时间和访谈对象，力求提高访谈质量，降低重复访谈次数，访谈计划的制定需结合相关制度、风险控制矩阵及部门职责、岗位职责等相关信息。在访谈计划中需要填列涉及的被访谈部门、被访谈人名称及职位、计划访谈日期及时间、访谈地点等信息。

　　访谈之前需将访谈计划发给被访谈人以便其提前准备访谈内容并安排合适的受访时间。（参考附件一：访谈计划模板）

　　建议所有访谈内容形成书面访谈纪要，并进行编号、留档。（参考附件二：访谈纪要模板）

　　（1）测试目的：验证流程描述中所记录控制内容是否正确，各环节是否按照其相关规定进行运行，是否存在控制设计及运行缺陷；

　　（2）测试对象：业务模块中各子业务的所有控制点，以及子业务中的主要控制活动；

　　（3）测试频率：全面控制测试建议每年至少进行一次，对于一些风险较大的业务，可自行考虑是否增加测试频率；

　　（4）测试执行人员：需要严格贯彻内控测试的独立性原则，即某一业务流程的实际操作人员需回避该流程的任何测试；

　　（5）内控测试的方法分为四种：询问、观察、检查、重新执行，保障程度依次递增。

　　? 确定业务样本库，制定并发送资料需求清单；（参考附件三：资料需求清单模板）

　　? 审阅文档记录或报告，查看是否留有控制执行的痕迹（例如签字、邮件、通话记录等）；

　　? 评价控制执行是否有效、符合规定（例如审批是否经过适当的人，在适当的时间执行等）；

　　样本规模取决于预期的偏差率，当控制执行频率不是“每日数次”时，预计偏差可能是不恰当的，因此不适用增加样本量。只有每日数次的情况下才可通过增加样本量判断。对每日发生数次的控制，如果初始样本量为25个，当测试发现一项控制偏差，且该偏差不是系统性偏差时，可以扩大样本规模进行测试，所增加的样本量至少为15个。如果测试后再次发现偏差，则可以得出该控制无效的结论。如果扩大样本量没有再次发现偏差，则可以得出控制有效的结论。

　　③有的时候还会发生这样的情况，某个控制活动的发生频率是固定的，但每个控制活动发生时，会有多次发生的现象，其控制方式是一致的，此时样本总体次数应换算为该期间所有发生次数总和，按照非固定频率对应标准来选择样本量。

　　例如：每月对银行存款余额调节表的控制。该控制活动的执行频率为每月一次，但公司可能有不只一个银行账户，故应考虑所有控制活动全年执行总次数，若公司有8个银行账户，8*12 =96次，按照非固定频率样本抽取数量的标准的规定，则该控制活动样本个数应为20个。

　　④由于系统控制是由系统自动完成的，因此系统控制活动的样本量远远低于手工控制。

　　⑤手工依赖系统控制活动，根据具体情况判断，按照人工抽样规则或系统抽样规则确定样本量。

　　（2）样本应尽量贯穿业务流程全过程，覆盖被测试的控制点：可侧重于财务信息相关的资料。尽量从财务部门（或业务流程的主责部门获取具体样本，如无法获取完整，可从其他相关部门获得，但应保证从其他相关部门取得的样本与财务部门（或业务流程的主责部门）记录的业务确为同一笔业务。

　　如：购买大型设备入账的审核，应取得入账凭证、发票、验收报告、采购合同，试运行报告等，如从财务部门只取得入账凭证、发票，则应从相应的业务部门取得验收报告、采购合同、试运行报告等，且保证上述各相关文件中描述的业务为同一笔业务。

　　（3）样本的选择需考虑交易的同质性：由于内控测试是针对每个控制事项进行的，而每个控制事项可能对应多个业务类型或审批程序等控制手段。为保证测试样本完整的覆盖面，在抽取样本时应该根据业务类型的不同而选择相应的样本。针对不同的情况进行独立抽样，并对此情况进行解释说明。

　　如：在固定资产采购业务中，由于采购资产的类型不同导致采购的控制活动不同，如分 A、B两类资产的采购的控制程序不同，A类资产采购的发生频率为每月，按照固定频率对应的样本量为3，B类采购发生频率为业务发生时，实际1月至X月发生数为180，预计全年发生数为240，按照非固定频率对应的样本量为20个，故总样本量为3+20＝23个。

　　（4）测试样本抽取的期间应是指年初至测试时点的期间：如果这一测试期间暂无样本（如发生频率为每年一次的控制活动），且控制活动未发生改变，则可抽取以前年度的样本，用以评估测试期间该控制活动执行的有效性。如果控制活动发生改变，则需要在年末或者来年年初进行补充测试。

　　（5）测试要保证测试期间样本的有效性：为了避免抽样风险，测试者应在测试期间内相对均匀地选择样本。如每日多次频率下应抽取25个样本，可以将25个样本平均分布在测试期间的月份抽取，每月抽取3个；但是在样本量不多时，应选择接近测试日的样本：如每月执行1次的控制频率下应抽取3个样本，应当抽取接近测试月份的三个月的样本（即接近测试日的样本）。

　　（6）测试人员在抽取样本时应独立选择样本，不可任由被测试单位主动提供样本。

　　（1）测试验证控制描述是否为真实发生。并结合每一条风险至少需有一个控制活动与其对应。若某风险没有控制活动与其相对应，则此处可作为设计有效性缺陷。

　　（2）控制描述是否符合企业内部控制基本规范、应用指引相关规定，及其他行业法律法规、政策管理要求，如不符合则可识别为合规性设计有效性缺陷。

　　测试结果共分五种：有效、失效、不适用、未发生交易和样本量不足，已经预设在测试工作底稿“测试结果”栏中，测试者只需点击下拉菜单，选中相应的选项即可。

　　①有效－对于每个控制活动，只有当抽取的样本达到规定的样本量且每个样本全部满足要求后，此控制活动才被认为是得到了有效执行，测试结果为“有效”。

　　②失效－对于某个控制活动，一旦某一个样本不满足控制活动要求时，选择测试结果为“失效”，对于每日数次发现1例失效样本，在追加15个样本测试未发现新不合格样本时结论可为“有效”。

　　例如公司不存在投资业务，或不存在报表合并的审核等控制活动，则测试结论为“不适用”。但需要写清楚不适用的原因。如“本公司不存在该业务。” ④未发生交易－控制活动所涉及的业务在测试期间尚未发生，并同时在测试结果备注中说明“经询问XX部门XX该业务在1-X月份未发生”。

　　⑤样本量不足－指已抽取的样本全部有效，只是由于整改或者新流程的改变导致无法满足要求的样本数量。

　　只有对所有样本达到规定的样本量且每个样本全部满足要求后，我们才认为此控制活动得到了有效执行。在以下两种情况下，可以认定某控制活动的测试结果为有效。

　　? 在测试中抽取了规定的样本量而且所抽样本的测试结果全部为有效，该控制活动的最终结果为有效。

　　? 对每日发生多次的控制，如果初始样本量为25个，当测试发现一项控制偏差，且该偏差不是系统性偏差时，可以扩大样本规模进行测试，所增加的样本量至少为15个。如果扩大样本量没有再次发现偏差，则可以得出控制有效的结论；如果测试后再次发现偏差，则可得出该控制失效的结论。

　　对于某个实际执行的控制活动，一旦某一个样本的结果是失效整个标准控制活动即被认为未得到有效执行。

　　在测试过程中可能会遇到由于控制活动执行的时间较短，从而导致在测试中抽不到规定的样本量，同时抽到的样本经过测试全部为有效，测试执行人要将这种情况记录为“样本量不足”。

　　对于那些适用但在全年均未发生的控制活动，最终的测试结果为“未发生交易”。例如：核销坏账的审核，如果某单位全年均未核销过坏账，该控制活动的评估结果为“未发生交易”。

　　有时因在年中某一时间点开始进行整改或启用新的控制活动，在测试时，在该测试期间内新的控制活动尚未发生交易，则此时对该轮测试的判断结果应为“样本量不足”，并应在测试底稿备注栏中注明样本量不足的原因；对于控制活动自XXXX年1月1日（或之前）开始执行，而截止到本次测试时，尚未发生交易的情况，才可判断为“未发生交易”。

　　对于某些测试单位可能存在一些控制活动不适用的情况。测试人员应在测试中评价该控制活动的适用性。不适用的情况可能有：

　　对于一个标准控制活动对应多个样本，每个样本的检查结果可能不同，测试结果的评价顺序：

　　对于失效、样本量不足、未发生交易的，应该在测试底稿“测试结果说明”列中加以说明。

　　所有现场测试工作的结果都必须完整的记录在测试工作底稿中。每一个Excel工作簿对应一个业务模块的工作底稿。

　　每个工作薄包括填写说明、测试主表、测试副表、缺陷表。填写说明是对底稿填写规则和范式的要求；每张测试主表列示了每个业务模块的风险描述、本地控制活动、控制要素、测试要素与结论；测试副表列示了每个子业务的控制活动、测试属性、样本信息与测试结论；缺陷表列示了该业务流程评价中发现的缺陷，包括缺陷概述、缺陷具体描述、问题属性、整改跟踪等。（参考附件四：内部控制评价底稿模板）

　　内部控制缺陷是描述内部控制有效性的一个负向的维度。开展内部控制评价主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。

　　缺陷认定是以恰当的方法和标准，对内部控制存在的设计和执行有效性方面的问题进行分析，从而评估内部控制缺陷对导致公司偏离风险控制目标的影响程度的过程。

　　设计缺陷：是指缺少为实现控制目标所必需的控制，或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷，即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。可总结为初始规划不完全，存在管理控制的盲点。

　　运行缺陷：是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。

　　（2）按照具体影响内部控制目标的具体表现形式，内部控制缺陷分为财务报告类缺陷和非财务报告类缺陷

　　财务报告类缺陷：财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报告类内部控制缺陷是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷，即不能及时防止或发现并纠正财务报告错报的内部控制缺陷。

　　非财务报告类缺陷：非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全目标、经营目标及合规目标等。非财务报告类内部控制缺陷是指针对除财务报告目标之外的其他目标造成影响的内控缺陷。

　　（3）按照影响公司内部控制目标实现的严重程度，内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷

　　重大缺陷：是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。具体到财务报告内部控制上，就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。

　　重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标。具体到财务报告内部控制上，就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。

　　一般缺陷：指一个或多个控制缺陷的组合，其严重程度尚无可能导致公司偏离控制目标。重大缺陷、重要缺陷之外的其他缺陷都属于一般缺陷。

　　（4）按照与控制缺陷相关的控制类型，可分为管理层面内部控制缺陷、业务流程层面内部控制缺陷

　　管理层面内部控制缺陷：管理层面的内部控制缺陷，虽然未必导致无效，但会增加业务流程层面控制的风险，缺陷的评估应基于管理层面的缺陷导致业务层面控制风险的可靠性。通常无法用量化的方法评价管理层面的缺陷，但应关注以下定性因素：

　　业务流程层面内部控制缺陷：流程层面内部控制缺陷评价需要考虑定性和定量的因素。对于识别内部控制缺陷需要关注以下因素：

　　1.公司董事、监事和高级管理人员舞弊并给公司造成重要损失和不利影 响； 2.公司更正己经公布的财务报表中涉及利润金额导致报表性质变化（如 由盈利变为亏损，或亏损变为盈利等）； 3.公司当期财务报告存在重大错报，而公司内部控制过程中未发现该错 报； 4.公司内部审计工作领导小组和内部审计机构对内部控制的监督无效或 企业内部控制环境无效； 5.被监管机构处罚造成较大的负面影响； 6.其他对公司财务报告造成重大影响的情形。

　　1.未遵循公认的企业会计准则和会计政策； 2.未建立反舞弊程序和控制措施，或中层管理人员发生舞弊； 3.对于非常规或特殊交易的账务处理未建立相应的控制机制或补偿性控 制； 4.未能对编制财务报表的真实性、完整性和准确性提供合理保证； 5.其他对公司财务报告造成重要影响的情形。

　　1.公司决策程序不科学或未严格履行科学的决策程序，导致重大 决策失误； 2.违犯国家法律、法规，给公司造成重大损失； 3.重要业务缺乏制度控制或系统性失效，且缺乏有效的补偿性控 制； 4.内部控制评价过程中发现的重大缺陷未得到整改； 5.关键管理人员或重要人才流失严重； 6.其他对公司产生重大负面影响的情形。

　　1.公司决策程序不科学或未严格履行科学的决策程序，导致重要 决策失误； 2.重要业务制度或系统存在缺陷； 3.关键岗位业务人员流失严重； 4.内部控制评价的重要缺陷未得到整改； 5.其他对公司产生较大负面影响的情形。

　　总院公司在应用以上标准确定一项内部控制缺陷或多项内部控制缺陷组合的缺陷等级时，应当评价补偿性控制的影响。同时结合公司经营发展的实际情况，内部控制缺陷认定标准可根据实际情况进行动态调整。

　　（1）根据汇总形成的公司全部控制缺陷，按照《重要业务和影响会计科目对应表》对应的会计科目，确定控制缺陷影响的会计科目；

　　（2）根据公司评价年度的税前利润或销售收入（或其他用于计算重要性水平的适当财务指标，如资产等），计算出重要性水平；

　　（3）根据相关会计科目在评价年度一定期间的发生额或全年发生额，或者根据相关会计科目的期末数，逐个确定各业务单位控制缺陷的影响水平； （4）按照控制缺陷，对于性质相同的，将各业务单位的影响水平相加； （5）将汇总的影响水平与相关定性、定量评价标准进行对比，确定缺陷水平；

　　（6）汇集无法确定影响会计科目的控制缺陷，根据《内部控制缺陷定性认定标准》，按照重要业务类型对控制缺陷进行分类归集，逐个对缺陷可能造成的影响或者已经产生的影响进行分析，确定缺陷水平。对于性质相同的多个缺陷，还需进一步进行汇总分析，综合考虑该类控制缺陷可能造成的影响或已经产生的影响，确定汇总后的缺陷水平；

　　对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受范围之内，并追究有关部门或相关人员的责任。

　　（1）合规缺陷：企业或其员工经营管理行为不符合法律法规、监管规定、行业准则，或企业章程、规章制度、相关标准、合同，亦或国际条约、规则等的要求。

　　（2）管理提升：没有明确的法律法规、监管规定、行业准则要求，但企业现行的计划、组织、指挥、协调和控制等管理要素影响经营效率和效果，如业务开展无制度依据、工作计划性弱、管理幅度过大、多头领导、流程僵化等。

　　（3）风险提示：以现有基础或信息不足以判断所属上述两种中的某类问题，但从专业角度分析可能存在某方面风险，给予提示。

　　内控缺陷整改的一般策略：追责与预防相结合。一方面，追究缺陷责任部门或相关人员的责任，并通过教育宣贯等方式，强化员工“有规必依”的意识；另一方面，建立健全制度、完善制度内容、完善授权审批程序和审批权限等，优化内控体系。

　　内控缺陷的责任部门根据缺陷整改原则，结合缺陷整改建议，制定缺陷整改方案并落实整改。整改方案中应包括以下内容：整改负责部门/岗位、整改步骤、整改时间表等。制定的整改方案由内控管理归口部门汇总，缺陷整改方案报审计委员会批准通过后实施。（参考附件六：内控缺陷整改方案模板）

　　内控管理归口部门跟踪缺陷整改，将缺陷整改情况反馈给相关业务管理部门，定期将缺陷整改情况向专业委员会报告，报告的频率需要视具体要求而定。

　　内控管理归口部门根据需要，可对缺陷整改情况进行抽样检查，抽取《内控缺陷清单与改善建议》中的部分缺陷进行再测试，验证各责任部门的缺陷整改情况。

　　内控管理归口部门对于未按整改计划完成整改的所有缺陷落实到责任人，明确未完成整改的原因，结合公司绩效考核相关规定，对责任人采取相应的惩罚措施。

　　公司应当根据年度内部控制评价结果，结合内部控制评价底稿、内控缺陷清单与改善建议、缺陷整改计划等资料，以12月31日作为年度内部控制评价报告的基准日，及时编制内部控制评价报告。（参考附件七：内部控制评价报告模板） 7.2评价报告的内容

　　内控管理归口部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。

　　该内控评价报告应由董事会批准后发布，相关文档应由内控管理归口部门保存留档。

　　（1）文件名称如与公司实际情况不一致，只需提供具有相关控制内容的政策文件即可；

　　（2）可能存在公司一份文件涵盖了清单中多份政策文件情况，请提供相关的所有文件；

　　（3）此文件清单仅为入场前初步文档需求，其他资料和文档将在项目期间根据需要提请公司提供；

　　（1）内部控制评价底稿的用途：记述公司所有影响关键财务报表科目/注释的业务流程，及非财务报表相关但属企业内部核心业

　　（2）内部控制评价底稿的设置：按照业务模块设置，每一个业务模块对应一个评价底稿。

　　（3）底稿填写总体要求：评价底稿应要素齐全、内容完整；清晰记录评价发现，包括必要的细节以支撑评价结论。

　　a）主页面包括表头和表体两部分：表头部分填写“公司名称”和“业务流程名称”。

　　B列：风险编号。风险描述的编号，以业务流程为单位从上至下依次为R01、R02、R03…… C列：风险描述。风险描述是指对流程中重要风险点的描述，体现流程中涉及的重要风险点。风险描述方式是：未开展XX（控制），

　　D列：控制活动编号。指流程中控制活动的编号，以业务流程为单位从上至下依次为C01、C02、C03…… E列：控制活动描述。控制活动描述指流程中针对风险所采取的的控制活动，描述遵循5W1H原则。

　　I列： 控制频率。控制频率根据控制活动发生的频率分为不定期、每日数次、每日、每周、每月、每季度、每半年、每年。

　　K列：控制方式。控制方式根据控制活动依靠人工进行控制还是依靠信息系统设定的条件进行自动控制，将控制方式分为手工控

　　M列： 抽取样本信息。根据控制活动的总样本量和控制活动的控制类型，以及抽样规则，确定抽样的样本量。描述测试抽到的全

　　N列： 测试结论。与测试工作底稿的副表的测试结果保持一致，建立了引用关系，测试结论主要有五种，分为有效、失效、不适

　　O列： 发现问题描述。如果测试结论为失效，控制活动存在控制缺陷，在该单元格填写缺陷表中对应的缺陷描述信息，如果测试

　　（3）（3）B列（缺陷概述）：缺陷描述的标题或一句线）C列（缺陷具体描述）：缺陷的详细描述，包括该缺陷的表现、支撑证据、形成原因、影响等详细具体描述。

　　（5）D列（设计/执行问题）：指内控诊断发现的缺陷属于内控设计或内控运行层面。

　　合规缺陷：指企业或其员工经营管理行为不符合法律法规、监管规定、行业准则，或企业章程、规章制度、相关标准、合同，亦或国际条约、规则等的要求。

　　管理提升：没有明确的法律法规、监管规定、行业准则要求，但企业现行的计划、组织、指挥、协调和控制等管理要素影响经营效率和效果，如业务开展无制度依据、工作计划性弱、管理幅度过大、多头领导、流程僵化等。

　　风险提示：以现有基础或信息不足以判断所属上述两种中的某类问题，但从专业角度分析可能存在某方面风险，给予提示。

　　重要缺陷：指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

　　（9）H列（迫切性）：根据诊断缺陷发生的概率、影响程度，综合判断需整改问题的迫切性，分为急需、重要、一般三类。

　　（4）I列（整改状态）：根据整改实际情况填写“未开始”、“进行中”、“已完成”等三种整改状态。

　　根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求，结合安徽省建筑设计研究总院股份公司（以下简称“建研设计”或“公司”）内部控制要求，在内部控制日常监督和专项监督的基础上，我们对公司20XX年1月1日至20XX年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。

　　说明：声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。

　　公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带责任。

　　建立健全并有效实施内部控制是公司董事会的责任；监事会对董事会建立与实施内部控制进行监督；审计委员会负责组织领导公司内部控制的日常运行。

　　公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。

　　此外，由于内外部情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，故根据本内部控制评价结论推测公司未来内部控制的有效性具有一定的风险。

　　说明：对公司内部控制评价工作开展的全过程进行概括描述。描述评价工作的组织领导体制，主要负责人及汇报途径等。以及本次内部控制评价由本单位内部组织实施，或是聘请了中介机构（名称）实施。

　　公司董事会授权 XXX部负责内部控制评价的具体组织实施工作，对纳入评价范围的业务领域和单位进行评价（描述评价工作的组织领导体制，一般包括评价工作组织结构图、主要负责人及汇报途径等）。

　　本次内部控制评价由本单位 XXX牵头组织内部各部门和子公司共同开展，并编制内部控制评价报告，未聘请外部中介机构实施内部控制评价工作。（或是聘请了XX中介机构共同组织实施，并编制内部控制评价报告）。

　　本评价报告根据财政部等五部委联合发布的《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的要求，按照公司内部控制评价制度，在内部控制日常监督和专项监督的基础上，对公司截至20XX年X月X日内部控制的设计与运行的有效性进行评价。

　　说明：主要描述公司内部控制评价的范围，涵盖的主要风险、主要子公司和部门、具体业务模块和事项，是否存在重大遗漏。

　　公司本次内部控制评价的范围涵盖了公司各部门及所属子公司的各种业务和事项，重点关注下列高风险领域（列示公司根据风险评估结果确定的重大风险）。纳入评价的主要部门和子公司包括X个（明确的范围）。纳入评价重点范围的主要业务模块包括X项，分别为（根据实际情况列示评价的重点业务模块具体名称）。

　　（如存在重大遗漏）公司本年度未能对以下内部控制重要方面进行内部控制评价：（对遗漏部门（子公司）和事项未能纳入评价范围的原因、对内部控制评价报告真实完整性产生的重大影响等进行说明。）

　　说明：主要描述公司内部控制评价工作采取的程序，以及评价工作中采用的主要方法。

　　公司内部控制评价工作严格遵循基本规范、评价指引以及公司关于内部控制评价的有关程序和要求，（描述公司开展内部控制评价工作的基本流程）。

　　评价过程中，我们采用了（问卷调查测试、个别访谈、专题讨论、穿行测试、实地查验、抽样和比较分析）等适当方法，广泛收集公司内部控制设计和运行是否有效的证据，如实填写评价工作底稿，分析、识别内部控制缺陷。

　　本次内控评价累计向X个部门（单位）、X项业务、X人次开展了问卷调查测试，测试工作表单X张，检查制度或文件规范数X个、覆盖X个业务流程。共组织开展了X人次访谈，其中单位领导和部门领导X人、业务主管X人。组织开展了X次专题讨论会。进行了X项业务X个穿行测试，开展了X次实地查验，进行了X项业务抽样和比较分析。其他有关内控评价工作的具体情况。

　　说明：主要描述公司内部控制缺陷认定标准，内部控制缺陷的认定、具体缺陷描述等情况。

　　说明：对公司内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准进行说明和描述。

　　公司根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险水平等因素，确定了公司的内部控制缺陷认定标准（具体描述公司内部控制缺陷的定性及定量标准，并以附件表格形式具体列示）。

　　说明：具体描述公司内部控制缺陷情况（该部分为评价报告的核心内容，需具体列示）。

　　根据上述认定标准，结合日常监督和专项监督情况，我们发现报告期内公司共存在（X个）缺陷，其中重大缺陷（X）个，重要缺陷（X）个，一般缺陷（X）个。各项缺陷的主要内容分别逐一列示如下（分别对重大、重要、一般缺陷逐一列示，具体描述缺陷内容及缺陷依据，说明对其实现相关目标的影响程度等）。

　　说明：描述公司针对发现的内部控制缺陷已采取的整改措施、整改效果，以及今后拟进一步采取的整改方案和措施（首次开展内控评价的单位可只描述拟采取的整改方案和措施）。

　　针对报告期内发现的内部控制缺陷,公司已经采取了相应的整改措施（描述整改措施的具体内容和实际效果）。经过整改，公司在报告期末仍存在（X个）缺陷，其中重大缺陷（X）个，重要缺陷（X）个，一般缺陷（X）个。重大、重要缺陷分别为（对缺陷进行描述）。

　　针对报告期末未完成整改的各类缺陷，公司拟进一步采取相应措施加以整改（描述对各类缺陷的计划整改时间、整改措施、整改部门、整改负责人及预期达到的效果等具体内容）。

　　我们已经根据基本规范、评价指引以及其他相关法律法规的要求，对公司截至 20XX年XX月XX日的内部控制的设计与运行的有效性进行了自我评价。

　　（存在重大缺陷的情形）在报告期内，公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷（描述该缺陷的性质及其对事项相关控制目标的影响程度）。由于存在上述缺陷，可能会给公司未来经营带来相关风险（描述该风险）。

　　（不存在重大缺陷的情形）报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，并得到有效执行，达到了公司的控制目标，不存在重大缺陷。

　　说明：主要描述期后事项对内部控制有效性结论的影响。期后事项是指自内部控制评价报告基准日至内部控制评价报告发出日之间发生的可能影响内部控制有效性的事项。

打印本文   关闭窗口