内部控制评价管理制度

1内部控制评价管理制度（经2012年10月24日召开的公司第五届董事会第十五次会议批准）第一章总则第一条按照财政部、证监会、审计署、银监会、保监会五部委联合发布的《企业内部控制基本规范》、《企业内部控制应用指引》和《企业内部控制评价指引》的要求，为客观公正地评价公司总部及分公司、子公司（以下简称“各单位”）的内部控制状况，规范内部控制评价程序和评价报告，揭示和防范风险，促进各单位内部控制水平的提高，制定本制度。第二条本制度所称的内部控制评价是指公司董事会依据统一的、标准化的、模块化的内部控制评价技术和工具，对内部控制的设计及执行有效性进行全面评价，形成评价结论，出具评价报告的过程。第三条本制度对公司内部控制评价的目标、范围和内容；原则和标准；组织及职能；形式、程序和方法；内部控制缺陷；内部控制评价报告；内部控制评价结果的披露、使用及档案管理等内容进行规范，作为公司开展内控评价工作的指导。第四条在内部控制评价工作中，公司至少应当关注下列风险：（一）内控评价工作落实不到位，可能导致内控有效性评价工作未得到有效履行。（二）内控评价工作流于形式，可能导致内控失效。第二章内部控制评价的目标、范围和内容第五条内部控制评价的目标：通过对公司内部控制设计及运行的健全性、合规性、有效性和适宜性进行评价，促使公司切实加强内部控制体系的建设并认真执行，并考核内部控制目标实现与否。具体评价目标如下：1、建立健全内部控制机制，保障内部控制体系有效实施。2、确保公司经营业务的合法合规性。3、保障公司资产的安全完整性。4、增强公司财务信息和管理信息的真实完整性。5、为公司提高风险管理水平提供信息服务和决策支持。6、提高公司经营效率和效果，促进企业实现发展战略。第六条内部控制评价的范围和内容：内部控制评价范围公司总部、分公司、子公司。评价内容的确定应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行。年度综合评价时，将按照风险高低或重要性原则来选择。既可以针对某一经营单位实体展开，也可以针对某一要素、某一流程或某一领域具体展开。第三章内部控制评价原则和标准第七条公司实施内部控制评价工作遵循的原则：（一）全面性原则。评价工作应当包括公司内部控制设计与运行，涵盖公司及其所属单位的各种业务和事项。（二）重要性原则。评价工作应当在全面评价的基础上，关注重要、重大业务事项和高风险领域。（三）客观性原则。评价工作应当准确揭示经营管理的风险状况，如实反映内部控制设2计与运行的有效性。（四）统一性原则。评价的准则、范围、程序和方法等应保持一致，以确保评价过程的准确及评价结果的客观和可比。（五）公正性原则。评价应以事实为基础，以法律法规、监管要求为准则，客观公正、实事求是。（六）及时性原则。评价工作应按照规定的时间持续进行，当经营管理环境发生重大变化时，应及时进行重新评价。（七）风险为导向的原则。评价工作应当以风险为基础，根据风险发生的可能性和对公司内控目标影响的程度确定需要评价的重点业务单元、重要业务领域和重要流程环节。(八)独立性原则。内部控制评价工作的组织实施应保持相应的独立性。第八条内部控制评价的标准：公司内部控制评价应按照财政部、证监会、审计署、银监会、保监会五部委联合发布的《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的要求，依据《内部控制手册》及《自评价手册》并参照国际通行的COSO内部控制框架进行。第四章内部控制评价组织及职能第九条公司董事会是公司内部控制评价的最高决策机构和最终责任者，其主要职责包括：（一）审阅和批准由公司管理层提交的内部控制自我评价报告；（二）批准由公司管理层提交的涉及内部控制缺陷整改的重大决策、重大风险、重大事项；（三）监督管理层实施内控缺陷的整改。具体职责由董事会审核委员会实际履行。（四）对内部控制评价报告的真实性负责。第十条公司内控建设领导小组是公司内部控制评价的领导机构和直接责任者，其主要职责包括：（一）审议内部控制评价工作方案；（二）审议年度内控自我评价报告，并提出相关意见和建议；（三）了解公司日常内部控制风险监控结果，根据内控缺陷情况，审议内控整改方案和措施；（四）协调和解决公司跨部室（单位）的内部控制评价过程中出现的重大事项。第十一条审计部是公司内部控制评价的归口管理部门，负责组织、实施、指导各单位的内部控制体系自评价工作。同时，公司设立内控自评价工作人员库，成员为公司本部各部室、分公司和子公司负责人及业务骨干。在此基础上，组成公司内控自评价工作小组。审计部与公司内控自评价工作小组共同开展自评价工作，其主要职责包括：（一）确定开展年度内部控制设计和运行有效性评价的工作范围和方法；（二）实施内部控制设计和执行的有效性评价，分析其设计和执行的有效性；并跟进监督公司内控缺陷整改工作。具体实施的主要工作包括：1、确定公司内控自评价工作方案；2、召开内部控制有效性评价启动会；33、组织实施内控有效性的测试工作；4、整理内部控制评价工作底稿；5、与被评价单位沟通确认内控缺陷；6、提出整改建议并监督、检查完成情况；7、编写内控自评价报告；8、配合中介机构对公司内部控制体系进行审计。第十二条各单位作为被评价的主体，其主要职责包括：（一）配合开展公司内部控制自评价和内控审计工作；（二）提交本单位内部控制自评价工作底稿的建议稿；（三）进行本单位内控缺陷整改；（四）提供测评所需资料，并对资料的真实性和整性负责。（五）提供自评价和内控审计所必需的办公条件等。各单位负责人为本单位内控自评价的第一责任人。各单位须保证内控自评价工作人员接受公司专业培训，服从公司内控自评价工作安排。第五章内部控制评价的程序和方法第十三条公司内控全面评价是以审计部和内控自评价工作小组为主导实施，采用交叉复核方式进行的内部控制综合评价。内控综合评价每年进行一次，并于年度财务报告披露前一个月完成。第十四条内部控制评价分为准备、实施和总结三个阶段。（一）准备阶段主要包括制定内控评价工作方案、确定内控评价工作底稿、召开启动会等工作内容。内控评价工作方案应由审计部牵头与公司内控自评价工作小组共同拟定，报经董事会或其授权机构审批后实施，主要包括评价目的、范围、工作任务、人员组织、方法、程序、时间安排和资源配置等内容。各单位按照公司统一的标准模板提交内控自评价工作底稿建议稿，公司审计部初审后汇同公司自评价工组人员与各单位就相关内容进行沟通，确定公司内控自评价工作底稿。（二）实施阶段主要包括实施现场测试、认定控制缺陷等工作。1、现场测试内控自评价工作小组依据内控自评价工作底稿，审阅控制相关制度规定等资料，初步分析控制设计有效性；通过访谈等方法测试控制执行情况并记录于内控评价工作底稿中。实施内控评价时应建立评价质量交叉复核制度，负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认。内部控制评价使用的方法主要包括以下几种：个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法、专题讨论会法。2、内控缺陷认定针对测试中发现的问题和缺陷，内控自评价工作小组应与被评价单位或部门负责人、业务流程负责人进行充分沟通，由被评价单位负责人签字确认。内控自评价工作小组根据已确4认的内控缺陷提出内控整改建议，被评价单位制定缺陷整改计划，并组织实施。评价工作小组根据整改计划对整改情况进行持续跟进。（三）总结阶段。主要包括汇总评价结果、编报内控自评价报告等工作内容。公司自评价工作小组应于现场评测结束10个工作日内根据内控评价结果，结合内控评价工作底稿等资料，依据其测评范围分别出具各单位的内控自评价报告。审计部负责编制公司内部控制评价报告，经公司内控建设领导小组审核后，报审核委员会审议，报董事会批准。第六章内部控制缺陷第十五条内部控制缺陷是指内部控制的设计存在漏洞，不能有效防范错误与舞弊，或者内控的运行存在弱点和偏差，不能及时发现并纠正错误与舞弊的情形。内部控制缺陷包括设计缺陷和运行缺陷。第十六条公司内控自评价工作小组应根据现场测试获取的证据对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形；重要缺陷是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形；一般缺陷是指除重大缺陷、重要缺陷之外的其他控制缺陷。第十七条判断和认定内部控制缺陷是否构成重大缺陷，应当考虑下列因素：（一）影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。（二）针对同一细化控制目标所采取的不同控制活动之间的相互作用。（三）针对同一细化控制目标是否存在其他补偿性控制活动。第十八条内控缺陷按其类型分为财务报告缺陷和非财务报告缺陷。对于财务报告内部控制缺陷，可由该缺陷可能导致财务报表错报的重要程度来确定，这种重要程度主要取决于两方面因素：一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报；二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。财务报告内部控制缺陷通过定量和定性的方式予以确定。非财务报告内部控制缺陷的认定，根据公司自身的实际情况，参照财务报告内部控制缺陷的认定标准，确定非财务报告内部控制缺陷的定性认定标准。内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。第十九条公司内部控制缺陷认定标准见附表《内部控制缺陷认定标准》。第二十条公司对内部控制缺陷的认定，应当以各单位内部日常监督和自评价为基础，结合内部控制检查评价的综合分析，按照规定的权限程序由内部控制自评价小组编制内部控制缺陷汇总表进行汇总后，提出认定意见，并根据管理权限报经内控建设领导小组、董事会审议、审批。重要缺陷和一般缺陷由内控建设领导小组最终认定，重大缺陷应由董事会最终认定。对于认定的重大缺陷，应当及时采取应对措施，确保将风险控制在可承受范围之内。第七章内部控制评价报告第二十一条内部控制评价报告应包括以下内容：（一）内部控制评价基本情况，描述内部控制评价工作的基本情况，包括评价目标、评价依据、范围、程序、方法等。（二）内部控制评价的总体结论，描述内部控制评价项目的重要发现和评价结论，以便于报告使用者全面了解内部控制评价的发现和结论。（三）内部控制评价主要发现和建议，包括对内部控制缺陷或例外情况的具体描述、可5能造成的影响、改进建议以及内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。公司年度评价报告还应包括董事会对内部控制报告真实性的声明。第二十二条公司以12月31日为年度内部控制评价报告的基准日。第八章内部控制评价结果的披露、使用及档案管理第二十三条内部控制自我评价报告报经董事会批准后，由董秘办负责进行信息披露。第二十四条内部控制评价的结果为各单位内部控制与风险考核提供重要依据，并与公司对各单位的全年业绩考核挂钩。第二十五条未经授权批准或许可，任何个人或单位不得对外公布内部控制评价结果，凡擅自公布内部控制评价结果，给公司声誉和经济造成损失的，追究有关人员的责任。第二十六条内部控制评价应在项目完成后由审计部进行归档处理，负责档案收集、整理立卷、保管和移交。第九章附则第二十七条本制度由公司审计部负责解释和修订。本制度所依据的国家相关法律法规的相关内容修订时，依据修订后的相关法律法规内容执行，本制度亦随之相应进行调整。第二十八条本制度自审核委员会审议通过并报董事会批准之日起施行。附表内部控制缺陷认定标准项目重大缺陷重要缺陷一般缺陷一、非财务报告内部控制缺陷定性标准1.董事会（类似权力机构）及其专业委员、监事会、经理层职责权限、任职资格和议事规则缺乏明确规定，或未按照权限和职责履行。1.未落实“三重一大”政策要求，缺乏民主决策程序。1.领导班子成员在经营管理中职责权限不清、交叉任职或内部控制建立和实施中分工不当。2.因决策程序不科学或失误，导致重大并购失败，或者新并购的单位不能持续经营。2.未开展风险评估，内部控制设计未覆盖重要业务和关键风险领域，不能实现控制目标。2.企业负责人未履