江西水泥:内部控制评价制度(2014年6月)2014-06-10
江西万年青水泥股份有限公司
内部控制评价制度
第一章 总则
第一条 为了促进江西万年青水泥股份有限公司(以下简称“公
司”)的全面评价内控设计与运行情况,规范内部评价程序和评价报
告,揭示和防范风险,根据《企业内部控制基本规范》(财会[2008]
7号)、《企业内部控制评价指引》(财会[2001]11 号)和公司章程等
相关规定,制定本制度。
第二条 本制度所称的内部控制评价,是指公司董事会对内部控
制的有效性进行全面评价,形成评价结论,出具评价报告的过程。
第三条 内部控制评价的范围
内部控制评价范围为公司本部及下属分公司、子公司(以下统称
为公司所属单位)全部经营活动和业务活动。
第四条 公司实施内部控制评价至少应遵循下列原则:
(一)全面性原则。评价工作应当包括内控设计与运行,涵盖公
司及所属单位的各种业务与事项。
(二)重要性原则。评价工作应当建立在全面评价的基础上,根
据风险发生的可能性及其对公司内控目标的影响程度,确定需要评价
的重点业务单元、重要业务领域、重要流程环节和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理风险状况,
如实反映内部控制设计与运行的有效性。
第二章 职责分工
� 第五条 公司董事会是公司内部控制评价工作的决策机构,对内
部控制评价报告的真实性负责。负责制定公司内部控制基本管理制度
和规章,审批内部控制评价报告,批准涉及内部控制重大缺陷、重要
缺陷的整改意见以及决定内部控制评价和检查工作的合理性和充分
性等。
第六条 公司董事会授权审计委员会负责内部控制评价的组织、
领导、监督工作,其主要职责包括:
(1) 制订内部控制评价方案;
(2) 制订内部控制评价报告;
(3) 制订重大缺陷、重要缺陷整改意见;
(4) 推进公司内部控制评价体系,管理部门的内部控制评价工
作;
(5) 协调公司经理层安排充足的行政资源推进内部控制评价工
作和缺陷整改工作。
第七条 公司监事会对董事会建立与实施内部控制及内部控制
评价制度情况进行监督,审议内部控制评价报告。
第八条 公司经理层负责为内部控制评价提供必要的行政资源,
协调和解决内部控制评价过程中出现的重大事项,听取内部控制评价
的工作安排、工作进展和评价报告,及时掌握公司日常内部控制风险
监控结果,组织实施缺陷整改工作。
第九条 公司运营管理部负责根据审计委员会关于内部控制评
价的工作要求,负责公司内部控制评价的具体组织实施工作。公司各
�职能部门均为内部控制评价组织实施协助部门,既是被评价的主体同
时也是公司内控评价的协助者,负责落实内控评价方案要求的本部门
业务范围内的内控自评价工作和接受评价测试。
第十条 公司所属单位是内部控制评价的基本主体,负责本单位
内部控制评价自我评价工作。人力资源部负责内部控制执行的考核工
作,将内部控制建立、维护、执行情况纳入考核细则,对于存在重大
缺陷、缺陷整改不到位的部门或单位给予考核。
第三章 内部控制评价的主要内容
第十一条 内部控制评价工作主要依据公司内部控制制度和工
作程序,围绕内部环境、风险评估、控制活动、信息与沟通、内部监
督等要素,对内部控制设计和运行情况进行全面评价。
第十二条 内部环境是公司实施内部控制的基础,内部环境评价
的内容包括治理结构、机构设臵及权责分配、内部审计、人力资源、
企业文化、社会责任。
第十三条 风险评估是公司及时识别、系统分析经营活动中与实
现内部控制目标相关的风险,合理确定风险应对策略的过程。风险评
估评价的内容包括目标设定、信息收集、风险识别、风险分析、风险
应对等。
第十四条 控制活动是公司根据风险评估结果,采用相应的控制
措施,将风险控制在可承受度之内,达到控制目标的全过程。控制活
动评价对各项业务处理程序的授权批准、职责分工、财产保护、会计
处理、预算管理、运营管理、绩效考评等控制措施的设计与运行情况
�进行认定和评价。
第十五条 信息与沟通是公司及时、准确地收集、传递与内部控
制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。
信息与沟通评价对信息收集、处理和传递的及时性、反舞弊机制的健
全性、财务报告的真实性、信息系统的安全性、举报投诉制度的有效
性,以及利用信息系统实施内部控制的有效性等进行认定与评价。
第十六条 内部监督是公司对内部制定建立与实施情况进行监
督检查、评价内部控制的有效性,发现内部控制缺陷,及时加以改进
的过程。内部监督评价对内部监督机制的有效性进行认定和评价,重
点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和
运行中有效发挥监督作用。
第十七条 内部控制评价工作应当形成评价记录,详细记录公司
执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、
有关证据资料以及认定结果等。
第四章 内部控制评价的程序
第十八条 公司内部控制评价程序包括:制定评价工作方案、组
成评价小组、实施现场测试、认定控制缺陷、汇总评价结果、编制评
价报告等环节。
第十九条 公司内部评价程序
1、每年年初,公司运营管理部拟制内部控制评价总体方案,明
确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,
经公司经理层确认后报审计委员会批准后实施。各子公司依据公司总
�方案的要求,制订子公司评价方案。
2、公司职能部门、各子公司每年9月份前,依据评价方案安排,
制定内部控制内控评价计划,组成内部控制评价小组,实施内控自查
与内控运行情况穿行测试工作,形成缺陷汇总表,认定缺陷程度,制
定缺陷整改方案。
3、各子公司必须将内控评价计划、内控缺陷汇总表、评价报告
等相关评价资料报公司运营管理部备案。
4、公司运营管理部每年在子公司完成内控自查与测试后,根据
业务重点,有针对性的对子公司开展内控现场测试工作,对其在经营
活动、内控设计和运行的有效性进行测试。
5、公司职能部门、各子公司在规定的时间内完成整改,并在年
末前对整改情况加以验证,形成在报告期内完整的内部控制评价报
告。
第二十条 评价小组应当由内部相关部门熟悉公司业务流程和
管理程序的人员参加。评价小组人员对本部门的内部控制评价工作应
当实行回避制度。公司根据生产经营需求,也可以委托中介机构实施
内部控制评价检查工作。为公司提供内部控制审计服务的会计师事务
所,不得同时为公司提供内部控制评价服务。
第二十一条 内部控制评价小组应当对被评价单位进行现场测
试,评价可采用综合运用访谈、调查问卷、专题讨论、交叉测试、抽
样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否
有效的证据,按照评价的具体内容,如实填写评价记录,分析内部控
�制是否存在缺陷。
第五章 内部控制缺陷的认定
第二十二条 内部控制缺陷的分类:
(一)按照内部控制缺陷的成因与来源,内部控制缺陷分为:设
计缺陷与运行缺陷。
1、设计缺陷:指的是公司缺少为实现控制目标所必须的控制,
或现存实际控制设计不适当,即使正常运行也难以实现控制目标。
2、运行缺陷:指设计有效(合理且适当)的内部控制,由于运
行不当(包括不恰当的人执行、未按设计方式运行、运行时间或频率
不当、没有得到一贯有效执行等方面),而形成的内部缺陷。
(二)按照影响公司内部控制目标实现的严重程度,内部控制缺
陷分为:重大缺陷、重要缺陷、一般缺陷。
1、重大缺陷:指一个或多个缺陷的组合,可能导致公司严重偏
离控制目标,当存在一个或多个内部控制重大缺陷时,应当在评价报
告中作出内部控制无效的结论。
2、重要缺陷:指一个或多个缺陷的组合,其影响程度低于重大
缺陷,但仍有可能导致公司偏离控制目标。重要缺陷严重程度低于重
大缺陷,不会严重危及内部控制的整有效性,但应当引起董事会、管
理层的重视。
3、一般缺陷:是指重大缺陷、重要缺陷以外的其他缺陷。
(三)按照具体影响内部控制目标的具体形式,内部控制缺陷分
为:财务报告缺陷和非财务报告缺陷。
� 1、财务报告缺陷:指不能合理保证财务报告可靠性的内部控制
设计和运行缺陷。缺陷的严重程度主要取决于可能导致的财务报告错
报的重要程度。
2、非财务报告内部控制是指针对除财务报告目标之外的其他目
标的内部控制(战略目标、资产安全、经营目标、合规目标等)。非
财务报告评价应当作为公司内部控制评价的重点。
第二十三条 内部控制缺陷的评价标准
(一)内部控制缺陷的重要程度是相对控制目标而言,公司按照
对财务报告目标和其他内部控制目标实现的具体表现形式,区分财务
报告内部控制缺陷和非财务报告内部控制缺陷,分别制定内部控制缺
陷的评价标准。
(二)财务报告内部控制缺陷的评价标准
评定标准
缺陷类别 缺陷定义
定量标准 定性标准
1、公司控制环境无效;
财务报表错误金额落在以下区 2、董事、监事和高级管理人员舞弊;
指 一 个 或 多 间: 3、审计发现当期财务报告存在重大错报,而内部控制在运
个 缺 陷 的 组 1、错报≥利润总额的 5% 行过程中未能发现该错报;
重大缺陷 合,可能导致 2、错报≥资产总额的 3% 4、董事会及其审计委员会和审计机构对内部控制监督无
公 司 严 重 偏 3、错报≥经营收入总额的 1% 效;
离控制目标 4、错报≥所有者权益总额的 5、已报告给管理层的重大缺陷在经过合理的时间后,并未
1% 加以改进;
6、影响关联交易总额超过股东大会批准的关联交易额度。
� 在以下领域存在缺陷,经综合分析不能合理保证财务报表
财务报表错误金额落在以下区
信息真实、准确、可靠的,认定为重要缺陷:
指 一 个 或 多 间:
1、反舞弊程序和控制;
个 缺 陷 的 组 1、利润总额的 3%≤错报<利
2、非常或非系统交易;
合,其影响程 润总额的 5%
3、期未财务报告流程的;
度 低 于 重 大 2、资产总额的 0.5%≤错报<
重要缺陷 4、财务报告相关信息系统;
缺陷,但仍有 资产总额的 3%
5、财务报告的可靠性产生重大影响的合规性监管职能失
可 能 导 致 公 3、经营收入总额的 0.5%≤错
效;
司 严 重 偏 离 报<经营收入总额的 1%
6、受到国家政府部门处罚但未对本公司定期报告披露造成
控制目标 4、所有者权益总额的 0.5%≤
负面影响;
错报<所有者权益总额的 1%
财务报表错误金额落在以下区
间:
指重大缺陷、
1、错报<利润总额的 3%
重要缺陷以 受到省级(含)政府部门处罚但未对本公司定期报告披露
一般缺陷 2、错报<资产总额的 0.5%
外的其他缺 造成负面影响;
3、错报<经营收入总额的 0.5%
陷
4、错报<所有者权益总额的
0.5%
(二)非财务报告内部控制缺陷的评价标准
评定标准
缺陷类别 缺陷定义
定量标准 定性标准
1、规章制度严重缺失,管理层凌驾于内部控制之
上;
1、连续 3 年以上未维护、更新内控 2、经营活动严重违反国家法律、法规;
指一个或多个缺 体系文件,未形成完整的抽样底稿 3、缺乏民主决策程序,决策程序导致重大失误;
陷的组合,可能 2、公司通迅系统(网络、电话)、 4、中高级管理人员和中高级技术人员非正常流
重大缺陷
导致公司严重偏 财务信息系统、OA 信息平台、生产 失;
离控制目标 线自动控制系统等重要公共 IT 系统 5、媒体负面新闻频现,或者对公司已经对外正式
或平台连续中断达 72 小时以上 披露定期报告造成负面影响;
6、重要业务缺乏制度或制度执行失效;
7、内控重大或重要缺陷未得到整改。
1、规章制度不完善,无法指导生产管理;
1、连续 2 年以上未维护、更新内控 2、决策程序导致一般失误 ;
指一个或多个缺
体系文件,未形成完整的抽样底稿 3、违反公司内部规章制度,导致公司经济损失;
陷的组合,其影
2、公司通迅系统(网络、电话)、 4、关键岗位业务人员严重流失;
响程度低于重大
重要缺陷 财务信息系统、OA 信息平台、生产 5、媒体负面新闻影响,涉及局部区域;
缺陷,但仍有可
线自动控制系统等重要公共 IT 系统 6、重要业务制度或系统存在缺陷;
能导致公司严重
或平台连续中断达 48 小时以上,但 7、信息传递渠道不通畅,生产经营管理指令执行
偏离控制目标
未达到 72 小时 经常出现偏差;
8、内控重要或一般缺陷未得到整改。
� 1、未维护、更新内控体系文件,未
形成完整的抽样底稿 1、决策程序效率不高;
2、公司通迅系统(网络、电话)、 2、违反公司内部规章制度,未造成公司经济损失;
指重大缺陷、重 财务信息系统、OA 信息平台、生产 3、一般岗位业务人员严重流失;
一般缺陷 要缺陷以外的其 线自动控制系统等重要公共 IT 系统 4、媒体负面新闻影响,但影响不大;
他缺陷 或平台不稳定,偶尔中段,但均能 5、一般业务制度或系统存在缺陷;
在 24 小时以内恢复正常运行 6、一般缺陷未得到整改;
3、信息传递渠道不通畅,生产经营 7、存在其他缺陷。
管理指令执行偶尔出现偏差
(三)定量和定性标准均可成为独立评价指标,评价遵循就近原
则
第二十四条 内部控制缺陷的认定,可以是日常监督、专项监督
结果,也可以是日常、专项监督、年度内部控制评价后进行综合分析
后提出认定意见,并按照规定的权限和程序进行审核后予以认定。
1、日常监督是指公司对建立与实施内部控制的情况进行常规、
持续的监督检查;
2、专项监督是指在公司发展战略、组织结构、经营活动、业务
流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的
某一或者某些方面进行有针对性的监督检查。
第二十五条 内部控制评价小组应当根据现场测试获得的证据,
对内部控制缺陷进行初步认定。
第二十六条 内部控制评价小组应当建立评价质量交叉复核制
度,评价小组负责人对评价工作底稿进行严格审核,并对所认定的评
价结果签字确认后,提交公司运营管理部。
第二十七条 公司运营管理部负责编制内部控制缺陷认定汇总
表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情
况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和
�全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经
理层报告。重大缺陷应当由董事会予以最终认定。
第二十八条 对于最后认定的内部控制缺陷,公司经理层按照公
司董事会和审计委员会的要求,组织整改并向审计委员会及时通报整
改情况,如内部控制缺陷给公司造成损失或负面影响的,将追究相关
责任部门或相关人员的责任。
第六章 内部控制评价报告
第二十九条内部控制评价报告应分别就内部环境、风险评估、控
制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过
程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内
容作出披露。
第三十条 内部控制评价报告包括下列内容:
(一) 董事会对内部控制评价报告真实性的声明;
(二) 内部控制评价工作的总体情况;
(三) 内部控制评价的依据;
(四) 内部控制评价的范围;
(五) 内部控制评价的程序与方法;
(六) 内部控制缺陷及其认定情况;
(七) 内部控制缺陷的整改情况及重大缺陷拟采取的整改措
施;
(八) 内部控制的有效性结论。
第三十一条公司运营管理部根据年度内部控制评价结果,结合
�内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程
序和要求,及时编制内部控制评价报告。
第三十二条 内部控制评价报告报送公司经理层审阅后,由证券
部负责报送公司审计委员会和监事会进行审议,经公司董事会批准
后,对外披露或报送相关部门。
第三十三条 公司应当关注自内部控制评价报告基准日至内部
控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根
据其性质和影响程度对评价结论进行相应的调整。
第三十三条 公司内部控制审计报告应当与内部控制评价报告
同时对外披露或报送。
第三十四条 公司以 12 月 31 日作为年度内部控制评价报告的基
准日。
内部控制评价报告应当于基准日后 4 个月内向公司董事会提交
并报出。
第三十五条 内部控制评价的相关文件资料、记录和证明材料等
由公司运营管理部负责整理归档并妥善保管。
第七章 内部控制缺陷的整改
第三十六条 缺陷涉及的相关部门和单位针对内部控制缺陷情
况以及整改建议进行整改,重大缺陷需要拟定整改计划,报公司董事
会审批并落实。整改计划包括但不限于:
(一)整改范围;按照确认的缺陷清单逐项分析并进行整改;
(二)整改责任人:缺陷涉及部门或单位负责人为整改的第一责
�任人;
(三)整改措施:包括整改方法、完成整改的时间等。
(四)整改成果的验收:公司运营管理部和监察审计部共同负责
重大缺陷的整改验收成果,对照缺陷清单确认是否有效整改。
第七章 附则
第三十七条 本制度未尽事宜,或本制度与本制度与本制度生效
后颁布或修订的法律法规、部门规章、规范性文件及《公司章程》的
规定 相冲突的,以法律法规、部门规章、规范性文件及《公司章程》
的规定为准。
第三十八条 本制度由公司董事会修订和解释。
第三十九条 本制度自 2014 年 6 月 6 日公司董事会审议通过之
日起生效。
�
