内控评价各部门需提供的资料
一、基础资料
1. 企业简介；（综合部）
2. 组织机构设置情况；（劳人部）
3. 内部控制管理框架；（战略规划部）
4. 业务流程清单；（各部门）
5. 各项管理制度清单；（各部门）
6. 风险评估过程及公司层面重大重要风险；（战略规
划部）
7、其他
二、业务部门内部控制评价报告内部控制评价的内容包括：内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素等。

（一）内部环境。

内部控制评价的主要内容，一般分为公司组织结构和经营特点、治理结构和议事规则、机构设置和权责分配、管理层倡导的企业文化、人力资源政策及其执行等方面的审查和评价。

具体内容包括但不限于：
1. 法人治理结构的适当性和健全性。

审查是否根据国家有关法律法规和企业章程，建立规范的法人治理结构和议事规则，是否明确了决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

2. 经营目标的科学性和合理性。

评价是否根据经营管理的需
要，科学、合理地确定了组织或部门的总体目标或分项
目标，是否根据管理需求确定了各个层级、各项业务、不同岗位的内部控制目标。

3. 组织结构和职责分工的合理性和严密性。

主要评价是否建立了保证内部控制目标实现的相应的组织结构，各职能部门及人员分工是否合理、职责是否明确。

4. 控制态度。

评价管理层对内部控制是否重视，是否存在经常逾越既定控制程序的行为。

5. 人力资源政策及执行。

评价不同层次员工的能力和文化程度是否胜任岗位需要，是否建立了相关的聘用、培训、调动、解聘、退休、业绩考核和薪酬支付、福利等方面的制度。

6. 企业文化的先进性。

评价是否培育和形成了积极、健康、诚实守信的企业文化，员工对企业文化是否理解和认同，是否引导和规范了员工行为，并形成整体团队的向心力。

（二）风险评估。

评价重点关注公司识别出的风险及其应对措施，并对日常经营管理过程中的风险识别、风险分析、应对策略等机制的设计与实施的有效性进行评价。

具体内容包括但不限于：
1. 风险识别。

评价是否对影响企业经营目标实现的内外部风险因素进行了识别和确认。

内部风险因素主要有治理结构的缺陷、经营规模的扩张、产业结构、财务状况、资产的流动性、组织结构变化和人力资源不足等；外部风险因素主要有国家法律法
规及政策的变化、经济形势变化、科技进步、行业竞争和市场变化等因素。

2. 风险衡量。

主要评价对风险发生的可能性及其预计后果是否进行了科学衡量和评估。

3. 风险应对。

评价是否针对已经识别和评估的各项风险采取了相应的控制措施，是否建立了风险管理机制，是否制定了重大、突发事项的应急预案。

对于战略风险、财务风险、运营风险和法律风险是否采取了风险承担、风险规避、风险转换、风险控制等应对措施。

（三）控制活动。

评价主要针对公司的业务管理流程及其控制措施和风险矩阵的设计与运行情况进行测试评价。

具体内容包括但不限于：
1. 不相容职务分离。

评价单位的岗位职责是否进行了合理的分工，不相容职务是否得到分离。

不相容职务应当分离的有：授权批准与执行业务分离，业务经办与审核监督分离，业务经办与会计记录分离，财产保管与会计记录分离，业务经办与财产保管分离等。

2. 授权审批控制。

主要评价是否建立了授权审批控制，组织管理层和经办人员是否在授权范围内行使职权和办理业务，各职能部门和经办人员的岗位职责是否分工明确，职责分明。

3. 会计控制。

主要评价是否依据会计法、会计准则及会计制度，制定并执行适合本单位的会计政策、会计制度及相应的会计
核算体系，是否制定并执行明确的会计凭证、会计账簿、财务会计报告的处理程序和方法。

4. 全面预算管理。

评价是否实行全面预算管理，是否严格执行预算的编制、审核、执行、分析、调整和考核的相关程序。

5. 实物资产管理。

评价是否对实物资产的验收、保管、领用、发出、内部调拨、盘点、处置等环节建立了相关制度，各项制度是否得到有效执行。

6. 工程项目管理。

评价是否建立和执行标前评审制度，施工合同的谈判、评审、审批和订立是否按规定程序进行，施工方案是否进行优化和论证，施工进度计划是否得到有效控制，工程结算是否及时办理，是否及时对应收账款进行记录、催收与核对，是否建立并执行完善的索赔与反索赔制度。

7. 成本费用控制。

评价是否建立以责任成本为核心的内部责任成本核算体系，成本核算制度是否健全，成本核算基础工作是否完善，成本费用支出是否真实、合理、合法，劳务分包是否推行准入制并严格合同管理，是否发生超结算和超付款行为，是否对物资消耗和机械租赁实行控制。

8. 安全质量管理。

评价是否建立并执行安全质量生产责任制度和安全质量事故处理制度，施工人员是否按安全质量生产责任的要求落实职责，是否定期或不定期对施工工序、施工机械、计量检测设备和工具仪器进行严格的监督、检查。

9. 环境管理。

评价是否编制切实可行的环境管理方案，在场
容管理、消防保安、卫生防疫等方面是否严格执行其管理标准，是否定期、不定期对执行情况进行检查、监督和考核。

10. 物资采购管理。

主要评价物资采购控制制度是否健全，是否编制科学合理的采购计划并履行审批程序，是否实行集中招标采购，合同履行是否到位。

11. 分包合同管理。

评价在合同订立、执行方面是否存在违法违规行为，是否符合公司合同管理的有关规定，合同内容是否完整，权利义务是否明确，合同条款履行和监控是否到位，合同纠纷处理是否妥当。

12. 投资与担保。

评价是否建立并执行了透明、规范的投资和担保决策程序，是否对风险进行了充分论证和评估，投资资产管理是否安全，是否对被担保单位进行日常监测，相关财产和权属证明是否得到妥善保管。

13. 信息系统管理。

评价是否建立健全信息技术管理制度和信息安全管理制度，是否对单位信息系统的开发、测试、运行和维护等实施了有效控制，是否对网络的安全、故障、性能和配置等进行了有效管理。

14. 重大风险预警管理。

评价是否对重大风险进行持续不断的
监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施。

（四）信息沟通。

评价是对公司信息收集、处理和传递的
及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的
安全性以及利用信息系统实施内部控制的有效性等进行认定和评
价。

具体内容包括但不限于：
1. 信息的识别与评估。

评价是否能识别、收集、处理与经营目标实现相关的行业政策、业主信息、市场营销、工程管理、经济动态、重要风险等方面的信息，是否能及时向管理层及相关人员报告和披露。

2. 信息处理的及时性与适当性。

评价信息传递的时间、速度以及如何处理，处理方式是否恰当。

3. 信息的安全和保密性。

评价是否对信息的交流和沟通进行了记录，是否根据安全性和保密性的要求对信息的报告、发布、披露进行适当的授权。

4. 沟通的开放性和有效性。

评价单位上下级之间、相关部门之间的信息沟通渠道是否畅通有效。

（五）内部监督评价。

主要是对内部控制监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

三、评价表格
附件3:流程层面-风险控制矩阵及控制测试底稿
公司名称：XXX
年度：20XX年
评价人员：XXX
7
附件4: 流程层面-内部控制评价工作底稿
公司名称：XXX
年度：20XX年
一级流程编号（例）FM一级流程名称（例）财务管理
二级流程编号（例）FM.01二级流程名称（例）资金管理
银行余额调节表的编制及审批
三级流程编号（例）FM.01.02三级流程名称
（例）流程
详细控制测试文档编码（例）FM_01_02_TOC-1
评价人员
XXXX
8
审阅人
xxxx
完成日期
四、控制测试步骤
9
五、控制测试结论
六、详细测试记录
根据下面的测试，我们认为: FM_01_02_C01（例）控制失效
10
代表无例外或无异常情况
不适用
N/A
x 代表例外或异常情况，要在下面详细说明
（例）N1:所有月份的银行余额调节表，均没有人签字，但财务经理声称每月均有复核
例）N2: 当税务账户的银行余额与银行对账单没有差异时，公司不编制银行余额调节表
附件5:内部控制评价缺陷及跟踪整改汇总表公司名称：XXX
单位盖章: 日期:
附件6:内部控制评价缺陷统计表
公司名称：XX
XXX
编制人：
XXX
审批人：
XXX
日期：
单位盖章：
注：在相应的栏目中填写认定缺陷的数字
附件7：流程层面-内部评价穿行测试底稿
公司名称：XXX
年度：20XX年
流程名称：
编制人：XXX
XXX
编制日期：
审阅人：XXX
审阅日期：XXX。