浙江东方:内部控制评价管理制度2019-04-30
浙江东方金融控股集团股份有限公司
内部控制评价管理制度
(修订稿)
第一章 总则................................................................................................................ 2
第二章 管理职责........................................................................................................ 2
第三章 内部控制评价原则与组织............................................................................ 3
第四章 内部控制评价内容和范围............................................................................ 4
第五章 内部控制评价程序和方法............................................................................ 5
第六章 内部控制缺陷的认定.................................................................................... 6
第七章 年度内部控制自我评估报告的编制和审批................................................ 8
第八章 内控评价文档管理........................................................................................ 9
第九章 附 则............................................................................................................ 9
1
� 第一章 总则
第一条 目的:为了合理保证浙江东方金融控股集团股份有限公司(以下简
称“公司”)内部控制体系的建立健全及其持续有效的执行,促进公司内部控制
目标的实现,以及满足上市监管机构对公司内部控制的要求,公司需要定期全面
评价内部控制的设计和运行情况,揭示和防范风险。根据财政部《内部控制基本
规范》及其指引、《上海证券交易所上市公司内部控制指引》等有关法律法规的
规定,结合公司实际情况,特制定本制度。
第二条 适用范围:本制度适用范围为公司及其分、子公司。
第二章 管理职责
第三条 董事会的责任
董事会负责内部控制的建立健全,负责审查企业内部控制,监督内部控制的
有效实施和内部控制自我评估情况,协调内部控制审计及其他相关事宜等。
董事会对内部控制评价报告的真实性负责。
第四条 经理层的责任
1、经理层负责领导公司内部控制的日常运行,指定适当的机构具体负责组
织协调内部控制的建立实施及日常工作;
2、经理层为内部控制评价方案提出应重点关注的业务或事项;
3、经理层负责最终确认需整改的内部控制缺陷,并确定整改责任人。
第五条 各部门及分、子公司的责任
1、各部门负责人为内部控制第一责任人,应当按照法律法规的要求建立和
不断完善各自的内部控制体系,并在日常工作中按照既定程序操作和运营;
2、各部门负责人为各部门内控流程自我评价工作的负责人,并对其真实性
负责;
3、在内部控制评价过程中,各部门应及时向监察审计部提供内控制度的变
化信息,与监察审计部共同更新内部控制制度,并定期确认内部控制制度的持续
正确性;
4、公司所属分、子公司负责人,负责逐级落实内部控制评价责任,并对其
真实性负责。
第六条 监察审计部的职责
2
� 监察审计部是内部控制评价的归口管理部门,负责公司内部控制评价日常管
理和监督工作,其主要职责包括:
1、根据公司内控制度流程的变化情况,与相关部门共同更新内部控制制度,
确保内部控制制度的持续正确;
2、制定内部控制评价工作方案;
3、组成内控评价小组;
4、汇总各部门及分、子公司的内部控制自我评价测试结果并进行备案;
5、收集、整理内控评价小组的内部控制评价工作底稿和评价报告;
6、按照内控评价小组形成的内部控制有效性结论,编写年度内部控制自我
评价报告,报董事会审议批准;
7、内部控制评价文件的归档管理。
第七条 内控评价小组的职责:
内控评价小组具体负责内部控制自我评价工作,其主要职责包括:
1、根据内部控制评价方案进行现场测试,收集内部控制评价的证据;
2、收集、整理和填制内部控制评价测试底稿;
3、研究分析并初步认定内部控制缺陷。
第三章 内部控制评价原则与组织
第八条 全面性原则。内部控制评价工作应当包括内部控制的设计与运行,
涵盖公司的各类业务和事项。
第九条 重要性原则。内部控制评价工作应当在全面评价的基础上,关注重
要的业务单位、重大业务事项和高风险领域。
第十条 客观性原则。内部控制评价工作应当准确揭示经营管理的风险状况,
如实反映内部控制设计与运行的有效性。
第十一条 内部控制评价的组织。公司将根据实际情况,在以下二种组织中
选择其一:
第一种:根据《年度内部控制评价工作方案》的安排,由各部门、各分子公
司各自负责开展内控运行有效性的自我评价测试,完成相关测试底稿并按工作计
划规定的时限提交监察审计部汇总;监察审计部开展内控测试底稿的抽查复核工
作,确认内控缺陷,并提出缺陷整改方案。根据经经理层最终批准的内部控制缺
3
�陷整改汇总,按时完成内控缺陷的整改。
第二种:根据《年度内部控制评价工作方案》的安排,由监察审计部牵头组
成公司内部控制评价小组,评价小组应当吸收公司内部相关机构熟悉情况的业务
骨干参加,评价小组成员对本部门的内部控制评价工作应当回避。公司可以委托
中介机构实施内部控制评价,参与公司内部控制评价的中介机构不得同时为公司
提供内部控制审计服务。
第四章 内部控制评价内容和范围
第十二条 公司根据《企业内部控制基本规范》及其指引的相关要求,对内
部控制设计与运行情况进行全面评价。
第十三条 公司的内部控制制度围绕内部环境、风险评估、控制活动、信息
与沟通、内部监督等要素,确定了公司层面、流程层面以及 IT 层面的关键控制
活动,内部控制评价主要针对关键控制活动的设计完整性和执行有效性进行。
1、内部环境评价,是内部控制评价的基础,应当以组织架构、发展战略、
人力资源、企业文化、社会责任等应用指引为依据,结合公司的内部控制制度,
对内部环境的设计及实施运行情况进行认定和评价。重点关注:治理结构是否形
同虚设;发展战略是否可行;机构设置是否重叠;权责分配是否明晰;不相容岗
位是否分离;人力资源政策和激励约束机制是否科学合理;企业文化是否促进员
工勤勉尽责;社会责任是否有效履行等。
2、风险评估机制评价,应当以基本规范有关风险评估的要求,以及各项应
用指引中所列主要风险为依据,结合公司的内部控制制度,对日常经营管理过程
中的风险识别、风险分析、应对策略等风险管理效果进行评价。
3、控制活动评价,应当以基本规范和各项应用指引中的控制措施为依据,
结合公司的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
4、信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应
用指引为依据,结合公司的内部控制制度,对信息收集、处理和传递的及时性、
反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系
统实施内部控制的有效性等进行认定和评价。
5、内部监督评价,应当以基本规范中有关内部监督的要求,以及各项应用
指引中有关日常管控的规定为依据,结合公司的内部控制制度,对内部监督机制
4
�的有效性进行认定和评价,重点关注董事会、监察审计部等是否在内部控制设计
和运行中有效发挥监督作用。
第十四条 公司内部控制制度应根据基本规范和应用指引的要求,结合公司
的实际,识别出主要风险点和关键控制活动,并针对关键控制活动设计了测试模
板。
第十五条 对于在测试年度内肯定会发生变化并且有清晰变更计划的控制活
动,在该控制活动发生变化前可不纳入内控测试范围。
第五章 内部控制评价程序和方法
第十六条 年度内部控制评价测试工作一般包括:制定评价工作方案、组成
评价小组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
监察审计部拟定公司《年度内部控制评价工作方案》,明确评价范围、内控流程
分工以及工作时间表。《年度内部控制评价工作方案》报董事会或其授权机构审
批后实施。
第十七条 内控评价小组根据独立测试后的结果,同时结合监察审计部专项
审计项目发现的内部控制缺陷及其持续改进情况、结合其它从内部和外部渠道报
告的缺陷,考虑它们对内部控制的影响,编制公司的内控缺陷认定及整改建议汇
总,对公司的内部控制缺陷及其成因、表现形式和影响程度进行综合分析,提出
认定意见和整改建议。
第十八条 内控评价小组编制的内控缺陷认定及整改建议汇总初稿须再次与
相关流程负责人或部门进行充分沟通,以确认缺陷事实、整改建议的可行性、整
改建议能否满足内部控制的要求、并落实整改责任人和整改完成时间。内控评价
小组将沟通后的内控缺陷认定及整改建议汇总提交分管领导审批。
第十九条 内部控制缺陷整改情况跟踪
内控缺陷认定及整改建议汇总经分管领导审批后,内控评价小组向公司内部
各相关责任单位发放,各责任单位应当及时采取应对策略落实整改。对于认定的
重大缺陷,应当立即采取措施将风险控制在可承受范围之内,并追究有关部门或
相关人员的责任。
监察审计部对内部控制缺陷是否得到有效整改保持持续监督,监督可以使用
访谈、查阅或抽查的方式进行,并形成监督记录的工作底稿。
5
� 监察审计部根据内控缺陷整改情况的监督记录,编制内部控制缺陷整改情况
汇总,以作为编制《年度内部控制自我评价报告》的支持。
第六章 内部控制缺陷的认定
第二十条 内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的
认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由监察审计
部进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认
定。
第二十一条 公司在日常监督、专项监督和年度评价工作中,应当充分发挥
内控评价小组的作用。内控评价小组应当根据现场测试获取的证据,对内部控制
缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。根据
基本规范和评价指引对重大缺陷、重要缺陷、一般缺陷的认定要求,结合公司实
际,公司确定了具体的内部控制缺陷的认定标准。公司内部控制缺陷认定标准分
为财务报告内部控制缺陷认定标准和非财务报告内部控制缺陷认定标准。
(一)财务报告内部控制缺陷认定标准
公司分别按定性标准和定量标准划分确定重大缺陷、重要缺陷和一般缺陷。
1、定性标准
重大缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报
告中的重大错报。
出现下列情形的,认定为重大缺陷:
(1)控制环境无效;
(2)董事、监事和高级管理人员舞弊行为;
(3)外部审计发现的重大错报不是由公司首先发现的;
(4)已经发现并报告给管理层的重大缺陷在合理的时间后未加以改正;
(5)公司审计委员会和监察审计部对内部控制的监督无效;
(6)其他可能影响报表使用者正确判断的缺陷。
重要缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报
告中虽然未达到和超过重要性水平,仍应引起管理层重视的错报。
一般缺陷:不构成重大缺陷或重要缺陷的其他内部控制缺陷。
2、定量标准
6
� (1)符合下列条件之一的,可以认定为重大缺陷:
项目 缺陷影响
利润总额潜在错报 错报≥利润总额 5%
资产总额潜在错报 错报≥资产总额 1%
经营收入潜在错报 错报≥经营收入总额 1%
所有者权益潜在错报 错报≥所有者权益总额 1%
直接财产损失 1000 万元及以上
(2)符合下列条件之一的,可以认定为重要缺陷:
项目 缺陷影响
利润总额潜在错报 利润总额 3%≤错报<利润总额 5%
资产总额潜在错报 资产总额 0.5%≤错报<资产总额 1%
经营收入潜在错报 经营收入总额 0.5%≤错报<经营收入总额 1%
所有者权益潜在错报 所有者权益总额 0.5%≤错报<所有者权益总额 1%
直接财产损失 500 万元(含 500 万元)~1000 万元
(3)符合下列条件之一的,可以认定为一般缺陷:
项目 缺陷影响
利润总额潜在错报 错报<利润总额 3%
资产总额潜在错报 错报<资产总额 0.5%
经营收入潜在错报 错报<经营收入总额 0.5%
所有者权益潜在错报 错报<所有者权益总额 0.5%
直接财产损失 10 万元(含 10 万元)~500 万元
(二)非财务报告内部控制缺陷的认定标准
公司分别按定性标准和定量标准划分确定重大缺陷、重要缺陷和一般缺陷。
1、定性标准
出现以下情形的,认定为重大缺陷,其他情形按影响程度分别确定为重要缺
陷或一般缺陷。
(1)违反国家法律、法规或规范性文件并受到处罚;
(2)缺乏决策程序或决策程序不科学,导致重大失误;
(3)重要业务缺乏制度控制或制度系统性失败;
7
� (4)内部控制评价的结果特别是重大或重要缺陷未得到整改;
(5)其他对公司影响重大的情形。
2、定量标准
缺陷类型 直接财产损失金额
一般缺陷 小于人民币 500 万元
重要缺陷 人民币 500 万元(含 500 万元)-人民币 1000 万元
重大缺陷 人民币 1000 万元及以上
第七章 年度内部控制自我评估报告的编制和审批
第二十二条 每年 12 月 31 日作为《年度内部控制自我评价报告》的基准日。
监察审计部根据内控测试工作底稿、内控缺陷认定及整改建议汇总、内部控制缺
陷整改情况汇总以及监察审计部本年度的专项审计报告等资料,编制公司上年度
的内部控制自我评价报告。
第二十三条 年度内部控制评价报告应当分别内部环境、风险评估、控制活
动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺
陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。年度内部控制
评价报告至少应当披露下列内容:
1、董事会对内部控制报告真实性的声明
2、内部控制评价工作的总体情况
3、内部控制评价的依据
4、内部控制评价的范围
5、内部控制评价的程序和方法
6、内部控制缺陷及其认定情况
7、内部控制缺陷的整改情况或拟采取的整改措施
8、内部控制有效性的结论
第二十四条 监察审计部应当关注自内部控制评价报告基准日至内部控制评
价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程
度对评价结论进行相应调整。
第二十五条 《年度内部控制自我评价报告》经公司领导办公会议审议后,
提交董事会审议批准。
8
� 第二十六条 董事会作为公司内控制度之完整合理、实施有效之责任主体,
应对公司披露内控自我评价报告进行决议。
第八章 内控评价文档管理
第二十七条 所有内部控制评价工作,都应形成工作底稿。
第二十八条 个别访谈法要形成访谈纪要,与被评价主体治理层、高管层形
成的访谈纪要需得到对方签字确认。
第二十九条 对调查问卷应进行统计分析,并形成书面的分析报告。调查问
卷分析报告和调查问卷原件都应作为评价工作底稿。
第三十条 穿行测试应记录流程中每个关键控制点的运行状况,并得出控制
是否执行的结论。
第三十一条 进行抽样时,对每个样本的相关情况都应做出详细记录。在记
录量过大的情况下,也可用样本文档复印件代替对样本情况的详细记录,但应在
复印件上注明相关控制的情况,并形成抽样情况汇总表。
第三十二条 对实地或文档进行查验查看时,应记录查验的过程和结果,可
以书面记录,也可以复印、拍照、摄像等。
第三十三条 比较分析法应形成分析报告,分析报告中至少包括分析目的、
分析方法、分析数据来源、分析过程、分析结论等。
第三十四条 专题分析应形成专题分析报告,专题分析报告至少应包括专题
分析的目的、参加分析的人员及主要观点、讨论过程、最后的结论,分析报告应
得到参加分析人员的签字认可。
第三十五条 重新执行应由两人同时记录执行过程和结果,并相互核对,得
出一个评价结论。
第三十六条 监察审计部负责内部控制评价文档的归档管理,对内部控制评
价的有关文件资料、工作底稿和证明材料等的电子文档及纸质文档进行妥善保管,
保存时间不少于 10 年。
第九章 附 则
第三十七条 本制度由公司本级监察审计部负责解释和修订。
第三十八条 本制度自公司董事会审议通过之日起实施。
9
�
