浙江物产金属集团有限公司内部控制测试及自我评价实施细则1综述1.1目的为进一步加强公司内部控制，提升公司全面风险管理水平，实现公司健康、良性发展，特制定本细则，规范公司开展内部控制测试及自我评价工作。

本实施细则主要用于定期或不定期地对公司层面及主要业务流程的内部控制设计和运行情况进行检查评价，及时发现内部控制缺陷，提出和实施整改方案，从而不断加强内部控制有效性，有效管理公司主要风险，持续提升综合管理水平。

1.2要求（1）通过内部控制测试与自我评价，加强公司《内部控制手册》的完善及贯彻落实，将规范的工作流程及风控文档应用到实际管理工作及业务开展中，力求将风控理念转化为企业管理的实际行动。

（2）强化流程风险控制，突出公司重点业务，将流程中的风险点和控制点进行梳理和提炼，在执行过程中通过标准控制活动来有效控制风险的目的。

（3）建立内部控制测试与自我评价机制，将测试方法和理念引入内部控制测试与自我评价工作中，促使公司各单位在开展内部控制活动过程中，不断进行自我总结和完善。

1.3注意事项（1）每年末，审计风控中心确定内部控制测试与自我评价范围，公司各单位应对照本细则的要求，配合审计风控中心开展内部控制测试与自我评价工作，及时发现并改进缺陷，完善相关制度、流程及风控文档等。

（2）进行公司层面内部控制测试，应当以国家五部委发布的《企业内部控制配套指引》为基础，从内部环境、风险评估、控制活动、信息与沟通及内部监督五个要素展开；进行流程层面内部控制测试，应当突出重点业务和核心流程，而并非涵盖所有的工作流程。

（3）公司应当将内部控制测试与自我评价的结果纳入年度风险管理绩效考核，详见《风险管理绩效考核管理办法》。

（4）各子公司可参照本细则，在审计风控中心的要求下结合《连锁子公司内部控制手册》自行开展内部控制测试与自我评价工作。

2内部控制测试与自我评价的基本要求2.1 责任主体公司风险管理委员会为内部控制测试与自我评价最高权力机构，授权审计风控中心具体组织和实施内部控制测试与自我评价工作。

2.2 测试与自我评价原则在测试与自我评价时应遵循以下原则：（1）全面性原则。

测试与自我评价工作应当包括内部控制的设计与运行，涵盖公司的主要管理职能及核心业务。

（2）重要性原则。

测试与自我评价工作应当在全面评价的基础上，关注重要业务单位、重点业务事项和高风险领域。

（3）客观性原则。

测试与自我评价工作应当准确的揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

（4）以风险为导向的原则。

测试与自我评价工作应当以风险为基础，根据风险发生的可能性以及风险发生后影响程度确定需要评价的重点业务及重点流程。

（5）及时性原则。

公司应每年应进行至少一次内部控制测试与自我评价，时间一般为每年12月份进行。

同时，当公司内外部环境发生重大变化、部门或下属单位的职责、流程、关键岗位等发生重大变动时，应就及时相关流程进行专项内部控制测试。

2.3 测试与自我评价类型测试与自我评价应分为年度评价和专项评价，年度评价是指公司每年末对本年度内建立与实施内部控制的有效性进行的评价；专项评价是指公司在特定时点对特定范围的内部控制有效性进行的评价。

2.4 测试与自我评价的层次内部控制测试与自我评价应当包括两个层次：第一个层次是公司层面的测试与自我评价，包括内部环境、控制活动、信息与沟通、内部监督五个要素，在《内部控制五要素评价表》中占80分分值；第二个层次是流程层面的测试与自我评价，针对重点业务和核心流程开展穿行测试，在《内部控制五要素评价表》中占20分分值。

3测试与自我评价的程序与方法内部控制的测试与自我评价包括评价准备、评价实施、评价反馈和评价报告四个阶段。

3.1评价准备阶段（1）审计风控中心按照本细则规定的有关内容，制订年度或专项内部控制测试与自我评价工作方案，报总会计师批准方可下发执行。

工作方案主要内容至少应包括：①评价目的、范围及主要内容；②内部控制自我评价工作小组成员；③各单位风险管理兼职人员整理审计证据、填写问卷及风控文档的时间安排；④审计风控中心测试、评价和编制报告的时间安排等。

（2）组织成立内部控制测试与自我评价工作小组，其成员为各单位责任人。

3.2评价实施阶段公司各单位应根据经批准的评价方案，参照本细则规定的内容和要求，开展本单位的内部控制测试工作，并做出书面记录，认定内部控制缺陷。

（1）填写《内部控制五要素评价表》。

审计风控中心负责将评价表电子版或纸质版分别发给公司高层管理人员、各部门责任人及风险管理兼职人员，并及时进行回收和统计。

统计分值权重为：高层管理人员占50%，各部门责任人占30%，风险管理兼职人员占20%。

（2）填写《流程风控文档》。

各部门兼职人员填写各自部门《流程风控文档》中的“操作现状”、“缺陷描述”及“改进建议”，经部门责任人审核后提交审计风控中心。

（3）穿行测试。

各部门兼职人员针对被测试的流程，收集至少2套审计证据交给审计风控中心进行穿行测试。

审计风控中心将审计证据与《流程风控文档》进行核对，查看流程实际操作步骤、签字顺序是否与流程图一致，是否按照《流程风控文档》中的控制点进行风险点控制，审计证据（或表单）的设计是否符合内部控制要求等。

若发现缺陷，及时进行缺陷记录并填写《流程内部控制缺陷汇总表》（见附录二）。

（4）缺陷认定。

审计风控中心针对《内部控制五要素评价表》统计结果及《内部控制缺陷汇总表》进行分析，初步对公司层面及流程层面内部控制缺陷并进行缺陷认定，经工作小组讨论后确认重大缺陷、重要缺陷及一般缺陷，并对所缺陷认定的结果进行签字确认。

内部控制缺陷包括设计缺陷和运行缺陷。

设计缺陷主要指规章制度、流程步骤、控制点、审计证据设计的不合理，运行缺陷主要指在执行过程中的执行力缺陷。

缺陷等级分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷是指一个或多个控制缺陷的组合，或者可能导致公司严重偏离控制目标的缺陷；重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和可能造成的后果低于重大缺陷；一般缺陷是指除重大缺陷、重要缺陷之处的其他缺陷，可能带来的影响较小。

3.3评价反馈阶段（1）对于认定的重大缺陷和重要缺陷，由审计风控中心提出整改建议，形成《内部控制缺陷整改意见书》，经评价工作小组、总会计师、风险管理委员会审批后印发相关单位进行整改。

被整改单位应在要求时间内完成整改，并将《内部控制缺陷整改结果报告》反馈至审计风控中心。

（2）对于认定的一般缺陷，由缺陷对应部门编制《内部控制缺陷整改意见书》，经审计风控中心审核后实施整改，并将《内部控制缺陷整改结果报告》反馈至审计风控中心。

（3）审计风控中心负责对缺陷整改情况进行监督，若发现整改不力、整改效果严重不符合要求的，向总会计师及被整改单位分管领导报告。

3.4评价报告阶段（1）内部控制综合水平评价。

内部控制综合水平分为“A、B、C、D、E”五档，其分值来自于《内部控制五要素评价表》最终得分。

各等级的含义如下：A级：内部控制体系完善且运行良好，组织机构运转顺畅，管理职责落实清晰，制度流程规范，全面有效地开展了内部控制工作，内部控制效果好，未发生影响本单位经营管理目标的重大风险；B级：内部控制体系基本完善且运行基本正常，组织职能、制度与流程体系已初步落实，按照公司要求开展了内部控制工作，内部控制效率和效果较好，对重大风险与突发事件处理及时有效。

C级：内部控制体系不够完善且运行不够顺畅，相关的组织职能、制度与流程体系需要进一步完善，内部控制工作的开展与公司要求还有一定差距，对重大风险与突发事件的处理还有待完善。

D级：内部控制体系不健全且运行效果不太好，相关的组织职能、制度与流程体系尚未落实，尚未系统地开展内部控制工作，无法应对重大风险与突发事件。

E级：内部控制体系形同虚设且没有运行，尚未建立相关的组织职能、制度与流程体系，未按照公司要求开展内部控制工作，无法应对重大风险与突发事件。

（2）内部控制测试工作完毕后，审计风控中心负责编制年度《内部控制自我评价报告》，经总会计师审批后呈报公司领导。

《内部控制自我评价报告》模板参见附录三。

4 相关责任及考核（1）公司风险管理委员会对于内部控制评价报告中列示的缺陷，应当督促相关单位采取适当的措施进行整改，对重大缺陷应并追究相关人员的责任。

（2）公司人力资源部及审计风控中心应当将评价结果纳入对相关部门、单位的风险管理考核，详细参见《风险管理考核管理办法》。

附录一内部控制五要素评价表附录二：内部控制缺陷汇总表附录三：《内部控制自我评价报告》模板浙江物产金属集团有限公司XX年内部控制自我评价报告为了提升公司风险管理与内部控制综合水平，公司与XX年XX月XX日至XX日开展了内部控制测试与自我评价活动，现对自我评价结果进行报告。

一、内部控制测试与自我评价的依据（1）理论依据来自国家五部委2008年发布的《企业内部控制基本规范》及2010年发布的《企业内部控制评价指引》。

（2）公司《内部控制测试与自我评价实施细则》。

（3）以公司实际经营管理现状、重点管理事项及业务流程为基本依据，突出高风险领域和内部控制重要环节。

二、内部控制测试与自我评价的层次与范围（1）内部控制测试与自我评价分为公司层面评价与流程层面评价。

公司层面评价是对内部控制五要素的评价，包括内部环境、风险评估、控制活动、信息与沟通、内部监督；流程层面评价是对公司核心流程内部控制情况的评价。

（2）本次被纳入内部控制测试与自我评价的单位包括：〔列示本次被测试单位〕本次被纳入内部控制测试与自我评价范围的业务流程为：〔列示本次被测试的流程名称〕三、内部控制测试与自我评价的程序和方法内部控制测试与自我评价工作严格遵循公司《内部控制测试与自我评价实施细则》规定的程序执行〔简述公司开展内部控制检查评价工作的基本流程〕。

评价过程中，我们采用了（个别访谈、调查问卷、专题讨论、穿行测试、抽样和比较分析）等适当方法，收集公司内部控制设计和运行是否有效的证据，如实填写评价工作底稿（《内部控制五要素评价表》及《流程风控文档》），通过评价工作小组会议形式分析并认定内部控制缺陷。

四、内部控制评价工作的总体情况公司风险管理委员会授权审计风控中心负责本次内部控制测试与自我评价的具体组织实施工作，对公司层面内部控制及核心流程的内部控制进行了测试。

〔简述评价工作的组织与实施过程。

〕经过综合测试与评价，公司整体内部控制水平为A/B/C/D/E级，其具体表现为：（对公司内部控制综合水平进行整体性描述）五、缺陷情况及整改建议通过本次内部控制测试，发现公司存在X个内部控制缺陷，其中重大缺陷X个，重要缺陷X个，一般缺陷X个。

具体如下：〔逐条描述公司层面及流程层面内部控制缺陷及相应整改建议、整改时间要求等。

〕六、内部控制有效性的结论根据本次内部控制测试与自我评价，我们认为公司的内部控制体系基本建立，运行情况基本良好，但仍存在一定不足，需要后续不断加强。