【正文】 .........................................................................................50附件四 對不適用控制的解釋模板 ........................................................................................51附件五 流程負(fù)責(zé)人清單模板 ...............................................................................................52附件六 流程/部門 CSA 實施計劃模板 ..................................................................................53附件七 流程負(fù)責(zé)人審核記錄模板 ........................................................................................54附件八 整改行動方案模板 ...................................................................................................55附件九 內(nèi)控人員審閱 CSA 結(jié)果（模板） ...........................................................................56附件十 CSA 人員工作完成情況檢查清單模板 .....................................................................58附件十一 流程負(fù)責(zé)人承諾模板 ............................................................................................602 / 62前言 青島海爾股份有限公司（以下簡稱“股份公司”）高度重視風(fēng)險管理和內(nèi)部控制建設(shè)工作。為了保證公司戰(zhàn)略、運營、財務(wù)報告及法律遵循目標(biāo)的實現(xiàn)，股份公司管理層組織建立實施了風(fēng)險管理及內(nèi)部控制體系。同時，股份公司管理層深刻認(rèn)識到，風(fēng)險管控不是某一部門的獨有職責(zé)，該工作涉及到公司各業(yè)務(wù)單元及每一個員工，保證內(nèi)控體系完善且正常運轉(zhuǎn)，需要業(yè)務(wù)部門、內(nèi)控部門及財務(wù)部門的共同努力。為了喚起全體員工對內(nèi)控工作的主人翁精神，協(xié)助大家理解自身崗位在內(nèi)控中的具體職責(zé)和工作，股份公司根據(jù)流程及控制描述文檔制定了一系列管理層自我評估——CSA（control self assessment）工具，該工具不僅是各崗位員工日常工作的參考也是公司進(jìn)行統(tǒng)一的內(nèi)控有效性評估的操作工具。本手冊由股份公司 XXX 審批頒布。全面系統(tǒng)化的CSA 機(jī)制是由員工根據(jù)確定的流程和職責(zé)，運用統(tǒng)一的方法對業(yè)務(wù)風(fēng)險和內(nèi)部控制進(jìn)行持續(xù)評估的活動，該過程融合了從高級管理層至各崗位員工的工作成果，反應(yīng)了集體的觀點和智慧。完善的內(nèi)控體系不僅包括對制度、流程的建立和更新，更需要將內(nèi)控要求在員工中有效傳達(dá)，需要就控制執(zhí)行情況進(jìn)行時時監(jiān)控。內(nèi)控部獨立測試相比，管理層執(zhí)行內(nèi)部控制自我檢查評估更有利于風(fēng)險管理及內(nèi)部控制知識和要求在全公司范圍內(nèi)傳達(dá)，其檢查評估范圍往往更加廣泛，項目成本相對較低。股份公司內(nèi)部控制體系建設(shè)維護(hù)的主要工作包括：? 明確高級管理層的內(nèi)部控制體系管理職責(zé)；? 確定股份國內(nèi)公司內(nèi)部控制體系框架及標(biāo)準(zhǔn)；? 根據(jù)公司目標(biāo)識別、評估風(fēng)險，制定風(fēng)險應(yīng)對措施；? 將風(fēng)險與業(yè)務(wù)流程匹配，確認(rèn)風(fēng)險集中的業(yè)務(wù)流程為內(nèi)部控制改進(jìn)的重點；? 識別業(yè)務(wù)流程中關(guān)鍵控制活動、執(zhí)行崗位，將風(fēng)險與控制匹配，明確控制負(fù)責(zé)人（Control owner）和流程負(fù)責(zé)人（Process owner）；? 根據(jù)現(xiàn)有差異制定行動計劃，將改進(jìn)后的控制措施以制度及流程文檔的形式向全體員工公布；? 對所有制度、流程說明文檔及風(fēng)險控制文檔統(tǒng)一管理，每年由業(yè)務(wù)部門、內(nèi)控部門共同審閱，保證文檔與實際一致；? 建立在全公司范圍內(nèi)共享的信息平臺，確保員工能時時了解內(nèi)控制度和要求。三. 管理層自我評估(CSA)的主要內(nèi)容CSA 問卷主要涵蓋兩方面內(nèi)容：? 流程中的關(guān)鍵控制活動? 股份公司制度、規(guī)定的要求系統(tǒng)化的 CSA 程序主要包括：? 為每個主要組成部分或流程建立問卷，內(nèi)容涵蓋關(guān)鍵的公司層面和業(yè)務(wù)流程層面的控制活動和公司規(guī)定。該責(zé)任人通常是部門領(lǐng)導(dǎo)。? 要求所有控制責(zé)任人評估所負(fù)責(zé)控制的有效性和合規(guī)性。? 相應(yīng)層級的內(nèi)控人員對公司自我評估結(jié)果進(jìn)行質(zhì)量驗證，審閱自我評估的文檔并執(zhí)行測試，以驗證自評結(jié)果的準(zhǔn)確性和內(nèi)控體系運行的有效性。? 各部門將整改結(jié)果上報公司管理層，重新評估該領(lǐng)域風(fēng)險管控情況，確保問題解決。四. CSA 的類型股份公司 CSA 依據(jù)使用者和評估內(nèi)容不同，分為公司層面 CSA 和流程層面 CSA；流程層面 CSA 又分為流程負(fù)責(zé)人評估（流程 CSA）和控制負(fù)責(zé)人評估（崗位 CSA）。? 流程負(fù)責(zé)人評估的主要目標(biāo)是從全流程整體把握控制情況，即利用 COSO框架，從部門內(nèi)部環(huán)境，如人員、職責(zé)、權(quán)限等，風(fēng)險評估，如績效分析6 / 62追蹤，信息系統(tǒng)和溝通渠道、內(nèi)部監(jiān)督等方面綜合評估本流程/本部門內(nèi)部控制的有效性。崗位自評能有力推動員工清晰了解自身的內(nèi)部控制職責(zé)，增強(qiáng)內(nèi)控意識，保證將目標(biāo)、風(fēng)險控制落實到最小業(yè)務(wù)單元人，實現(xiàn)精細(xì)化內(nèi)部控制建設(shè)監(jiān)督。? 通用標(biāo)準(zhǔn)是股份公司全體員工（各循環(huán)相關(guān)人員）及股份公司共享服務(wù)部門必須遵循的通用要求，不涉及具體崗位和操作步驟，是指導(dǎo)性原則。CSA 問卷與通用標(biāo)準(zhǔn)和具體標(biāo)準(zhǔn)的對應(yīng)關(guān)系如下：通用標(biāo)準(zhǔn) 具體標(biāo)準(zhǔn)公司層面控制評估指引流程層面自我評估 – 流程負(fù)責(zé)人評估問卷公司層面控制評估指引流程層面自我評估 – 流程負(fù)責(zé)人評估問卷流程層面自我評估 – 崗位 CSA由內(nèi)控部制定年度 CSA 計劃，保證每年在全公司范圍內(nèi)至少應(yīng)組織一次 CSA，范圍涵蓋公司層面控制和流程層面控制。內(nèi)控部內(nèi)控體系建設(shè)推進(jìn)組匯總各公司的評估結(jié)果，形成股份公司內(nèi)控體系自我評估的整體結(jié)論。子公司、職能部門負(fù)責(zé)人是內(nèi)控建設(shè)自評的第一責(zé)任人，應(yīng)對自評發(fā)現(xiàn)的控制缺陷制定整改方案并監(jiān)督執(zhí)行。部門的內(nèi)控自評計劃、自評工作記錄、評估結(jié)果和整改方案均需報公司內(nèi)控部審閱備案。7 / 62五. 各部門 CSA 職責(zé)公司總經(jīng)理或主管內(nèi)控的副總經(jīng)理的職責(zé)? 為實現(xiàn)控制自評目標(biāo)提供持續(xù)、積極、全力的支持。? 確保所有流程責(zé)任人和控制責(zé)任人了解 CSA 程序，各階段內(nèi)容和完成控制自評的必要性。流程責(zé)任人（部門負(fù)責(zé)人）的職責(zé)? 確保本部門所有控制責(zé)任人理解流程和控制措施，至少需熟知自身崗位承擔(dān)的內(nèi)控工作和必要性。? 同股份公司內(nèi)控部保持聯(lián)系，就工作進(jìn)展和問題及時咨詢溝通。? 與計劃和時間表對比，監(jiān)控 CSA 自評的進(jìn)展?fàn)顩r。? 進(jìn)行質(zhì)量審閱，只接受滿足質(zhì)量標(biāo)準(zhǔn)和更佳業(yè)務(wù)指引的控制自評。? 與控制責(zé)任人針對識別出的控制缺陷討論并確定行動方案。? 了解 CSA 的必要性和工作程序。8 / 62? 與流程責(zé)任人針對識別出的控制缺陷討論并確定行動方案。股份公司內(nèi)控部職責(zé)? 協(xié)助管理層進(jìn)行年度風(fēng)險評估，根據(jù)評估結(jié)果制定年度內(nèi)控工作計劃。? 協(xié)助管理層制定并更新流程控制描述文檔，CSA 問卷等。? 接受管理層委托，就各部門控制自評結(jié)果進(jìn)行獨立的質(zhì)量審核，就各部門自評工作的有效性進(jìn)行評價并書面報告管理層，監(jiān)督整改方案的實施。? 定期向各流程負(fù)責(zé)人了解行動方案狀態(tài)，在日常管理會議中進(jìn)行通報。? 流程負(fù)責(zé)人或（部門領(lǐng)導(dǎo)）進(jìn)行審核，或者指派控制自評人的直屬領(lǐng)導(dǎo)進(jìn)行審核，根據(jù)流程或（部門領(lǐng)導(dǎo)）確定的測試范圍、方法和樣本量對自評結(jié)果進(jìn)行檢查，填寫審核記錄。內(nèi)控部進(jìn)行 CSA 質(zhì)量審核的方法與通常的內(nèi)控測試一致（具體工作程序見《青島海爾股份有限公司內(nèi)部控制制度》。9 / 62第二章 CSA 工作指引根據(jù)年度計劃，各公司/部門開展 CSA 的具體工作程序包括：? 啟動階段：管理層審閱并下發(fā) CSA 指引及問卷，流程/ 部門負(fù)責(zé)人確認(rèn)本流程/部門崗位和主要業(yè)務(wù)流程是否與 CSA 指引及問卷中的內(nèi)容一致。? 實施階段：相應(yīng)人員自評并填寫問卷，交給直屬領(lǐng)導(dǎo)、流程/部門負(fù)責(zé)人、相應(yīng)層級的內(nèi)控人員測試審閱，并且管理層針對 CSA 發(fā)現(xiàn)問題制定整改行動方案? 結(jié)果匯總和報告階段：CSA 結(jié)果匯總并上報管理層及審計委員會? 后續(xù)跟蹤階段：對整改行動方案的監(jiān)督及匯報股份公司管理層自我評估（CSA）循環(huán)如下圖所示：青島海爾內(nèi)部控制評價體系一. 啟動階段公司管理層在內(nèi)控部門協(xié)助下定期（每季度）對流程文檔、CSA 問卷進(jìn)行評估，根據(jù)業(yè)務(wù)流程的變化予以更新。10 / 62在具體實施 CSA 之前，股份公司內(nèi)控部應(yīng)編制 “流程負(fù)責(zé)人清單”（見附件五），確保為所有流程都指定了負(fù)責(zé)人。如果不一致，應(yīng)及時向公司管理層匯報，要求更新。? 各流程/部門負(fù)責(zé)人應(yīng)編制本流程/部門的 CSA 實施計劃（見附件六），確定各相關(guān)人員應(yīng)負(fù)責(zé)的公司層面控制和流程層面控制評估的范圍和計劃完成的時間。控制負(fù)責(zé)人依計劃填寫崗位 CSA 問卷，流程負(fù)責(zé)人填寫流程 CSA 問卷。1） 公司層面 CSA 評分等級說明公司層面 CSA 評價等級分為三等： “是”、“否”、“不適用”。在進(jìn)行公司層面控制自我評估時，應(yīng)將實際執(zhí)行的控制與自評內(nèi)容進(jìn)行對比。根據(jù)設(shè)計和實施兩個維度的評價，通過以下矩陣得出某控制要求的得分。具體得分標(biāo)準(zhǔn)如下：11 / 62設(shè)計是否適當(dāng)實施是否適當(dāng) 是 否是 1 5否 4 5注：如設(shè)計是否適當(dāng)和實施是否適當(dāng)任意一欄填寫為不適用，則該控制點不計入評分匯總和平均分計算。2） 流程層面 CSA 評分等級說明管理層下發(fā) CSA 問卷時，需要對評分標(biāo)準(zhǔn)及含義進(jìn)行說明。同樣，重要性水平也包括對關(guān)注的業(yè)務(wù)或事項的說明，如管理層認(rèn)為資產(chǎn)安全性比較關(guān)注，則可以要求對此類控制必須嚴(yán)格執(zhí)行，一切不遵循均是“需加強(qiáng)的”。? 例如，對于報銷的審批活動，“好的”意味著我對所有樣本的報銷表格均進(jìn)行了檢查并留有簽字。? 例如，對于報銷的審批活動，“可接受的”意味著雖然我未在部分報銷表格簽字，但我保存著當(dāng)時審批的其他證據(jù)（如審批郵件等）。該補(bǔ)償性控制有效實施。但是我每月審閱當(dāng)月所有的報銷記錄并簽字，每個月都對當(dāng)月的報銷記錄匯總表進(jìn)行了審閱和簽字確認(rèn)，評估總體合理性。補(bǔ)償性控制已實施，但是未能按規(guī)定保留實施證據(jù)，而只能提供替代性證據(jù)。5. 不存在的 “我沒有實施控制活動 ”同時，對于不適用本部門的控制措施，自評人需要注明不適用的原因（見附件四），如流程變更、系統(tǒng)變化等；流程/部門負(fù)責(zé)人審閱該原因是否真實合理，簽字確認(rèn)。14 / 622. 流程負(fù)責(zé)人審閱控制負(fù)責(zé)人完成 CSA 問卷后，流程負(fù)責(zé)人需執(zhí)行適當(dāng)?shù)膶忛喅绦?，包括：將流程崗位CSA 結(jié)果與崗位 CSA 匯總結(jié)果比對；執(zhí)行檢查程序；對 CSA 結(jié)果進(jìn)行驗證，確保?控制負(fù)責(zé)人自評結(jié)果公正、客觀?（本人）能夠評估流程總體控制情況該審閱可以由流程負(fù)責(zé)人（部門負(fù)責(zé)人） 執(zhí)行，也可以由部門負(fù)責(zé)人委派控制責(zé)任人的直接領(lǐng)導(dǎo)執(zhí)行。審閱程序如下：① 確定需要審閱的控制活動審閱人應(yīng)關(guān)注高風(fēng)險領(lǐng)域（業(yè)務(wù)流程），以及對達(dá)成流程或運營目標(biāo)起關(guān)鍵作用的控制，這些控制通常用于保證流程或運營按照預(yù)期計劃執(zhí)行。關(guān)鍵控制的例子：?重大交易、重要業(yè)務(wù)或項目的授權(quán)審批?向高管層定期報告?適當(dāng)?shù)穆氊?zé)分離?資產(chǎn)的安全的保護(hù)② 確定審閱的測試方法有三種方法用于測試實際執(zhí)行的控制是否符合流程文檔描述或制度規(guī)定。?觀察：這種方法要求審閱者親身體驗控制的整個過程。使用何種方法進(jìn)行審閱取決于流程責(zé)任人的判斷，理由應(yīng)在審核記錄上寫明。⑤ 審閱記錄審閱人應(yīng)當(dāng)記錄其執(zhí)行的所有測試的結(jié)果（請參見附件七）。測試結(jié)果文檔記錄應(yīng)當(dāng)予以保存作為質(zhì)量審閱的證據(jù)。3. 內(nèi)控人員審閱相應(yīng)層級的內(nèi)控人員對 CSA 進(jìn)行審核，確認(rèn)業(yè)務(wù)部門 CSA 評估結(jié)果的有效性。內(nèi)控部審閱結(jié)果需形成報告（參見附件九），向公司高級管理層匯報。流程/部門負(fù)責(zé)人應(yīng)填寫承諾表（請參見附件十一），書面確認(rèn)已經(jīng)審閱了本流程 /部門CSA 調(diào)查問卷，確認(rèn)其評估結(jié)果真實反映了本流程/ 部門的現(xiàn)有流程和控制情況；并且書面確認(rèn)已經(jīng)已就本部門內(nèi)控工作進(jìn)行檢查，對發(fā)現(xiàn)的內(nèi)控差異真實上報和制定行動計劃。17 / 62三. 結(jié)果匯總和報告階段1. 匯總 CSA 結(jié)果由于部門內(nèi)可由多人執(zhí)行同一控制，各部門下涉及多個控制，因此需要對 CSA 結(jié)果進(jìn)行匯總。舉例如下：對控制 C1，有 6 位采購經(jīng)理進(jìn)行評價，其中 5 位已經(jīng)評價了控制的有效性和合規(guī)性，1 人確認(rèn)該控制不適用。平均分匯總過程如下：評分級別 好的（1）可接受的（2）需加強(qiáng)的（ 3）較弱的（4）不存在（5）不適用（*）控制 C1是否所有采購人員均僅通過 SAP 系統(tǒng)下達(dá)采購訂單，不存系統(tǒng)外訂單？控制 得到各種評分等級的次數(shù)（評價的人數(shù)） 2 1 1 0 1 1該部門控制 C1 的加權(quán)分?jǐn)?shù) 1 0 1 控制 C1 的得分 2 （*） 不適用的控制不進(jìn)行評分匯總和平均分計算。對股份公司下屬多家事業(yè)部的評估結(jié)果，以及由不同部門執(zhí)