上市公司内控公司级控制评估调查问卷

《上市公司内控公司级控制评估调查问卷》由会员分享，可在线阅读，更多相关《上市公司内控公司级控制评估调查问卷（16页珍藏版）》请在装配图网上搜索。

1、公司级控制评估调查问卷调查对象:_职位: _日期: _简介1992年反虚假财务报告委员会 (COSO) 建立了一个对内部控制进行评估的模型。此模型已被普遍采用作为内部控制的框架，并已广泛被认可为组织机构衡量其内控有效性的正式标准。COSO模型将内部控制定义为“一个受公司的董事会、管理层及其它人员影响的流程，目的是为公司目标的实现（包括财务报告的可靠性）提供合理保证。”COSO确定了以下五个要素，以支持公司的使命、策略及有关业务目标的实现。 控制环境 风险评估 控制活动 信息与沟通 监督在一个有效的内控制度下，以上COSO要素能为完善的内控奠定基础。以下将要进行的调查，目的是根据五个COSO要素

2、，对公司的内部控制系统进行评估。此调查将协助识别一些领域，这些领域是公司、营业单位或职能部门需要对控制特别关注的。此调查亦将协助确定营业单位或职能部门所完成的文件记录及测试工作的范畴，并作为公司衡量其改进成效的一个有价值的基准。说明此问卷每一部分的开头均提供了有关COSO要素的解释。此问卷包含若干与该要素有关的控制陈述。请就每一项控制陈述，根据你所知道的、你的经验及你所相信的事实陈述你的意见，并进行评分：1分空白：表示控制不存在；2分较差：表示虽然有控制但是需要明显改善；3分一般：表示有一定的控制；4分较好：表示控制比较好；5分完善：表示控制非常完善。若你认为某一控制陈述对应的问题与你不相关，

3、请选“不了解”。在每一部分的最后均预留空白位置供你陈述自己的看法，以说明：1） 本调查问卷未涵盖的公司的主要风险或者问题；2） 本调查问卷未涵盖的公司已有的主要控制及其实行情况；3） 对公司的改进建议或者意见；以及4） 其他。为便于被调查人畅所欲言，直接提出问题，此调查问卷的内容将不对公司公开。本调查问卷虽然需要被调查者署名，但这仅用于甫瀚公司的咨询师了解被调查人的意见，以便与被调查人进行进一步的访谈与交流。甫瀚公司汇总调查问卷的结果后，会将分析结果作为内部控制评估报告的一部分提供给公司，而被调查人的陈述及评分将不会报告给公司。为了保护被调查人的利益，请被调查人将填好的调查问卷密封于信封内，在

4、 年 月 日下班以前，交给内控部。如对此调查问卷的内容有任何问题或意见，请联络控制环境控制环境会受公司的历史及文化影响，能树立公司的管理气氛，并影响着员工的内部控制意识。在内部控制中，控制环境是所有其它内控要素的基础，并对内控的其它更具体的元素有潜移默化的影响，包括更详细的控制活动及如何对控制进行监督等。内部控制完善的公司会努力吸引人才、在公司内培养诚实正直的工作态度及控制意识，并树立积极的“管理高层的态度”。这些公司会建立相应的政策及程序，包括书面的道德行为准则，在员工朝着公司的目标共同迈进的同时，培养他们的共同价值及团队精神。控制环境是根据以下因素进行评估的： 正直及道德标准 对员工能力的

5、要求 董事会 / 审计委员会 管理层的理念及经营风格 组织架构 授权及职责分配 人力资源政策及实行正直及道德标准一间公司的目标及实现目标的方法是取决于他们的偏好、价值判断及管理层的风格。这些偏好及价值判断会转化为行为准则，并反映管理层的诚信及对道德价值的坚持。这些行为不应仅是指遵守法规而已。诚信及道德价值均是控制环境的重要元素，影响着其它内控要素的设计、管理及监督工作。完善较好一般较差空白1. 公司编制了员工行为手册及/或其它道德政策，列明了企业的价值观，企业要求员工遵守的道德标准，包括但不限于员工在商业行为中的行为标准、反收受贿赂要求，避免与公司利益发生冲突的要求。公司有效地向员工传达了公司

6、的价值观及这些要求。54321不了解2. 公司高管层有明确的态度要求员工遵守员工行为手册及/或其它道德政策的要求。董事会及高级管理人员口头上及行动上显示他们对正直及道德标准的关注。54321不了解3. 管理层与所有有关人士，包括供应商、客户、投资者、债权人、保险公司、竞争对手及审计师等进行的商业交易均符合高水平的道德标准，没有不正当的行为，如收受贿赂，侵害公司利益等。公司对外明确了公司对道德标准的坚持，包括但不限于在公司网站上表明公司的价值观，对道德标准的要求等。54321不了解4. 公司中的所有人员均了解管理层对道德标准的态度及要求，。所有管理人员在他们的日常工作中的表现均符合正直及道德标准

7、的要求。54321不了解5. 管理层会及时并公正地处理及解决违反员工行为手册及道德标准的事件。54321不了解6. 不存在管理层干预或者违反已有控制的情况。54321不了解7. 管理层和董事会/审计委员会定期审阅更新道德标准和行为准则。54321不了解意见：对员工能力的要求管理层必须明确各项工作所需的能力水平，并具体列出所需的知识及技能。个别员工的培训及经验可能会影响所需的知识及技能。建立知识及技能水平时需考虑很多因素，当中包括在某项特定工作上所需应用的判断性质和程度。监督程度和个别员工能力，二者有此消彼长的关系。完善较好一般较差空白8. 员工的能力能够满足其职责需要，并且有恰当的培训来帮助他

8、们提高能力，持续的满足其职责需要。54321不了解9. 重要管理人员有足够的知识及经验去履行他们的职责。54321不了解10. 管理层拥有丰富广泛的经验，有不同的能力背景，例如会计、金融、系统、运营、市场等。54321不了解11. 存在正式的岗位描述或其它工作说明，并得到有效的传达。54321不了解意见董事会与审计委员会公司的董事会和其下设的审计委员会大大影响控制环境及“管理高层的态度”。当中的因素包括董事会/审计委员会是否独立于管理层、其成员所具备的经验及水平、他们参与及监督有关活动的程度，以及他们的行动是否适当。完善较好一般较差空白12. 董事会 / 审计委员会会充分监督管理层对风险的识别

9、与控制。54321不了解13. 董事会对管理层的决策，如策略措施及主要交易，及对经营结果的解释提出有建设性的质疑。54321不了解14. 有向董事会及时汇报重大事件的程序，包括但不限于对重大事件有明确定义，对于汇报渠道有明确说明。54321不了解15. 审计委员会独立于管理层。54321不了解16. 有审计委员会章程。54321不了解17. 审计委员会同财务负责人及内外部审计师定期及时的召开会议。54321不了解18. 董事会/审计委员会成员能够及时、充分的知晓敏感信息、调查研究结果以及对被举报的不正当事项的调查结果。54321不了解19. 有足够的及时的信息提供给董事会/审计委员会成员，这些

10、信息用于监管以下方面：管理层的目标和策略、公司财务状况和经营效果、重要协议的条款。54321不了解20. 董事会/审计委员会成员根据发现的问题采取行动。54321不了解21. 审计委员会建立了相关的匿名或者公开的举报制度，以方便员工检举和质疑关于会计、审计方面或者有关不正当交易的事项。54321不了解意见管理层的理念及经营风格管理层的理念及经营风格会影响公司的管理方式，包括能够接受的商业风险类型。不同公司的管理层愿意承担风险的程度均有所不同，经营的正规程度亦各异。完善较好一般较差空白22. 高级管理人员希望尽量减少风险，并更全面地分析及审慎审批涉及高风险的交易。54321不了解23. 公司管理

11、人员没有面临完成不切实际的业绩目标的压力，或者该压力有恰当的控制。54321不了解24. 公司不会为完成收益目标而做出不符合公司利益（包括长期及短期利益）的决策。54321不了解25. 公司非常注重所有领域中的内部控制设计及运行的有效性。54321不了解26. 公司认同财务部门的重要性，并表示了对财务报告及资产安全可靠性的关注。54321不了解27. 公司对于财务报告的要求有着强烈的道德意识及要求，包括选择适当的会计处理方式（例如，选择保守的还是自由的会计政策；会计政策是否被误用；重要的财务信息是否得到正确的披露；或财务记录是否被人为操纵或误报）。54321不了解28. 重要岗位，例如业务部门

12、、财务部门及数据处理部门，的员工流动率被控制在最小范围内。54321不了解意见：组织架构公司的组织架构提供了框架，公司透过这框架来规划、执行、控制及监督那些用以实现公司目标的活动。确定重要的权限和职责范围以及建立适当的报告路线，对于建立一个恰当的组织架构均是非常重要的。完善较好一般较差空白29. 在你所属的部门中的管理人员及重要人员 (主要流程负责人) 能就重大事件与高级管理人员交流。54321不了解30. 高级管理人员及中层管理人员之间有频繁的交流。54321不了解31. 重要管理人员的责任得到清晰的界定，他（她）们对这些责任也有足够的了解。54321不了解意见：职权及责任的分配这个要素涉及

13、公司运作活动的职权分配及责任委派，以及建立相关的报告关系及权限规则。每一位员工都必须清楚他/她的行动会牵连及影响有关目标的实现。完善较好一般较差空白32. 公司内部有合理的职责分工及职权委派，以处理营运活动及遵守法规要求。54321不了解33. 公司既存在恰当的授权（将权利授予恰当的管理人员），也存在必要的高级管理人员的介入参与。两者结合以有效的进行日常运营及解决面临的复杂问题。54321不了解34. 公司拥有适当的员工人数，特别是在数据处理部门及会计部门，并且员工均拥有与公司规模、性质、业务及系统复杂程度相符的所需技能水平。54321不了解意见：人力资源政策及实施员工可通过人力资源政策获悉公

14、司对员工的正直、道德操守及能力水平方面的期望。这些政策涉及招聘、协助新员工适应环境、培训、评估、辅导、晋升、薪酬及补偿措施。完善较好一般较差空白35. 在员工的招聘、培训、晋升及薪酬等方面均有相关政策及程序，且确保所有公司聘请的员工均没有可疑的背景并且符合职位的要求。54321不了解36. 新加入你所属部门的员工均清楚了解他们的职责及管理层的期望。54321不了解37. 主管人员定期与普通员工会面，考察其工作表现及讨论可作出改进的机会。 54321不了解38. 管理人员及员工就业绩监督方法达成共识。54321不了解39. 人事政策强调了对道德标准的遵守。54321不了解40. 所有员工均了解公

15、司的留任及晋升准则。54321不了解意见：风险评估所有公司不论其规模、结构、性质或所在行业，其组织内部各个层面都面临不同风险。管理层必须审慎地接受风险并确定可接受的风险量，然后致力将各层面的风险保持在可接受的水平之内。风险评估可以正规或非正规地进行，但公司应识别风险、为风险作优先排序、并传达给有关人员知道。风险评估是根据以下因素进行的： 公司级目标 流程级目标 风险识别与风险分析公司级目标有关目标可以予以清楚说明，也有不用特别明示的，例如继续保持已往的绩效水平。在公司层面，有关目标通常可见于公司的使命及价值声明。具体的目标源自公司的大体策略。公司层面的目标是与那些为各项活动而制定的更具体目标联

16、系并结合的。完善较好一般较差空白41. 管理层已确立公司愿景、策略及业务目标并清楚地传达给员工。54321不了解42. 为实现公司级目标而制定的关键绩效指标及衡量准则已有效地传达给员工，并得到一致的理解。54321不了解43. 业务计划和预算与公司级目标、战略计划和当前情况相符。54321不了解意见：流程级目标较为具体的目标源自公司的整体策略。公司级的目标必须细分为各个流程级目标，与整体策略一致，并与组织机构内的活动相联系。流程级的目标必须清晰，并易于让采取行动及负责的人员明白，以便他们实现这些目标。有关目标亦必须是可衡量的。完善较好一般较差空白44. 业务单位及部门层面一般都有充足的资源来实

17、现这些领域中的流程目标，若资源不足，亦已有计划获取所需资源。54321不了解45. 每个业务单位及每个业务单位中的部门均制定有预算，而这些单位及部门均有与公司级目标一致的业绩衡量措施。54321不了解46. 根据每个业务单位及部门的流程负责人提供的资料，制定各业务单位及部门的计划、预算及活动。54321不了解意见：风险识别与风险分析识别及分析风险是一个持续进行的流程，是一个有效的内控系统的关键要素。管理层必须谨慎地集中关注公司所有层面的风险，并采取必要的行动予以管理。公司应同时在公司层面及流程层面上识别及评估风险。完善较好一般较差空白47. 已建立有关流程来识别由环境因素 (整体业务环境、新竞

18、争对手等) 引致的风险，并即时向管理层汇报这些风险。54321不了解48. 已建立有关流程来识别由内部因素 (新的电脑系统、重要人员的变动等) 引致的风险，并即时向管理层汇报这些风险。54321不了解49. 风险分析流程全面及恰当，包括估计风险的重要性、评估风险发生的可能性和频率及决定必要措施。54321不了解50. 风险分析结果已传达至适当的管理层成员及那些直接受这些风险影响的人员。54321不了解 意见：应变管理经济，工业以及政策环境在变化，公司的活动也在发展演变，这就需要专门的机构来发现变化并采取相应措施。完善较好一般较差空白51. 存在专门机构来及时预测及发现影响公司或操作层目标的日常

19、事务和活动之变化，并采取相应措施（通常由最易受变化影响的活动的负责经理实施）。54321不了解52. 管理系统中存在一个正规流程，来快速及时地撰写和汇报有关财务状况中重大变化，或运营结果等信息。例如，如果与主要供应商的关系出现问题时，应与适当管理层及时交流。54321不了解控制活动控制活动是为确保管理层的指示能够达成而确立的政策与程序。控制活动会根据相关风险的性质而有所不同，执行控制活动可确保风险已减低至可接受的水平。控制活动要素是根据以下因素进行评估： 政策及程序 信息系统控制政策及程序控制活动通常涉及两个元素：一项指明该做什么的政策，以及影响该政策的若干程序。很多时候，政策均是透过口头传达

20、的。若政策能够持续实施而员工又对政策有充分了解，沟通渠道亦只涉及有限的管理层面，非书面的政策也可以是有成效的。不论政策是否有书面记录，均必须严谨并贯彻地实施。若只是机械式地执行一个程序而没有持续关注政策所针对的情况，这个程序便没有作用。完善较好一般较差空白53. 已为所有关键的业务流程制定有关的政策及程序（不论是否有正式的文件记录）。54321不了解54. 所有关键的业务流程的政策及程序均有正式的文件记录。54321不了解55. 对政策及程序的例外情况采取适当并及时的行动。54321不了解56. 适时地更新及检讨有关政策及程序。54321不了解57. 已有控制活动在正确的应用和执行中。5432

21、1不了解58. 建立完善的保护资产的控制以及完善的防止未授权的资产接触的实物性控制54321不了解意见：信息系统控制信息系统控制分为两类：基础设施控制及应用系统控制。这些控制适用于所有层面的系统，由公司的整体网络至直接用户的电脑环境。完善较好一般较差空白59. 存在预防措施，合理保护信息系统及财务和其它记录不因火灾或其它原故遭受实物破坏。54321不了解60. 充分的职责分离及对信息系统的存取限制。54321不了解61. 处理程式及数据档案有充分的控制。54321不了解62. 适当地限制在线的电脑档案存取权限。54321不了解63. 已制定及记录有效的意外事故计划，以应付突发性的服务中断。54

22、321不了解64. 定期对意外事故及灾难应变计划进行测试，以确保它们是适时的、可行的和有效的。54321不了解意见： 信息及沟通相关的信息必须通过指定的形式及在指定时间内传达至相关的人员，以便各人履行他们的职责。高级管理人员必须向所有人员明确传达一个信息，说明他们必须严谨地履行控制的职责，并且他们须有向上传达重要信息的途径。此外也需与诸如客户、供应商、规管机关及股东等外部人士进行有效的沟通。信息及沟通是根据以下因素进行评估： 信息的质量 沟通的有效性信息的质量透过信息系统识别、获取、处理及汇报信息。信息收集的机制可以是系统自动化、人工化、或两者结合使用。信息收集机制可以是正规或非正规的。若公司

23、于快速变更的环境中运作，信息与需要的一致性便更为重要。一个有效的信息收集机制不单只识别及获取所需的财务及非财务信息，也必须在特定时间内以特定方法处理及汇报有关信息，以便对公司的活动进行控制。完善较好一般较差空白65. 管理层对建立必要的信息系统提供支持，例如提供足够的资源。54321不了解66. 充分详细并及时地为适当人员提供信息，以便他们能有效率及有效地履行他们的职责。54321不了解67. 公司根据信息系统的策略计划，制定或修改其信息系统 与公司的整体信息需求配合。54321不了解68. 你所收到的信息量及性质能帮助你有效及有效率地执行工作。54321不了解意见：沟通的有效性沟通是信息处理

24、中不可或缺的一环。公司必须为适当的人员提供信息，以便他们能履行他们在财务报告上的职责。沟通的范围必须广泛，当中包括公司的期望、个别人士及团体的职责，以及其它重要事宜。完善较好一般较差空白69. 有畅通的沟通渠道，确保重要信息正确地自下向上通报。54321不了解70. 管理层乐于接受员工就改善生产力、质量或其它类似改进所提出的建议。54321不了解71. 管理层与客户、供应商、法律机关及其它外部人士进行沟通后，有及时和适当的跟进行动。54321不了解意见：监督公司需要对内部控制系统进行监督一个评估系统运作质量的流程。这是通过持续的监督活动、独立的评价或两者的综合运用而完成的。内部控制的缺陷应自下

25、而上地汇报，而重大事件则应向高级管理人员和董事会汇报。监督是根据以下因素进行评估的： 持续监督 独立评价 缺陷报告持续监督持续的监督程序是建立在公司日常的经常性运作活动当中。监督程序是公司不可或缺的一部分，一般来说较那些与独立评价（审计）有关的程序更为有效。由于独立评价是在事情发生后进行的，因此持续的控制工作能更快地发现问题。公司应着重有什么方法能改善它的持续控制活动，并强调将控制活动“篏入”控制之中而非“附加”在控制之上。完善较好一般较差空白72. 在相关人员履行其日常职责时，管理层定期从相关人员处获取内部控制系统是否按预期执行的证据。54321不了解73. 公司定期将记录的数量与实物资产作

26、比对 (存货、固定资产、现金等)。54321不了解74. 公司积极回应内部及外部审计的建议，并按建议实施有关措施以强化内部控制。54321不了解意见：独立评价独立评价为管理层提供内控系统有效性的合理保证的程度取决于管理层的判断。在做出这个决定时，管理层应考虑以下因素：发生的变化的性质和程度以及与这些变化有关的风险；执行控制的人员的能力及经验；以及持续监督的结果。完善较好一般较差空白75. 公司已设立了内部审计职能来充分监督及处理公司的风险。54321不了解76. 内部审计人员有足够的经验及技能了解公司的运作。54321不了解77. 公司的所有重要风险项目均已进行内部审计。54321不了解78.

27、 内部审计的职能在加强和监控公司行为方面有效54321不了解意见：缺陷报告一间公司的内部控制系统中的缺陷有很多来源，包括公司的持续监督程序、对内部控制系统及外部人士的独立评价。“缺陷”一词从广义上来说，是指内部控制系统中出现的值得关注的情况。因此，一个缺陷可以代表一个已察觉的、潜在的或真实的弱点，或一个强化控制系统的机会，增加实现公司目标的可能性。完善较好一般较差空白79. 有及时地记录及汇报已识别的内部控制缺陷的程序。54321不了解80. 有适当的汇报程序，员工知道在发现缺陷时应向谁汇报。54321不了解81. 若发现控制缺陷，公司会采取适当的跟进行动。54321不了解意见：声明作为泛华保险服务集团有限公司（简称“公司”）的员工，我理解并承认这份调查问卷，包括我的回复，是公司对其内部控制评价（与财务报告相关）的重要组成部分之一，我将就我的回复与公司管理层其他成员及其顾问进行讨论。我据此声明，我已就我所知所信完整并准确地回复了本份调查问卷里的每个问题。_签名- 完 - 16 -