海南高速:内部控制评价管理办法2020-12-09
内部控制评价管理办法
海南高速公路股份有限公司
内部控制评价管理办法
第一章 总则
第一条 为了全面评价海南高速公路股份有限公司(以下称“公司”)内部控制的
设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,确保内部控制
有效运行,依据《企业内部控制基本规范》《企业内部控制评价指引》《深圳证券交易所
上市公司内部控制指引》《公开发行证券的公司信息披露编报规则第21号-年度内部控制
评价报告的一般规定》等法律法规,制定本制度。
第二条 本制度所称内部控制评价,是指由公司董事会或其授权机构实施的,对公
司内部控制的设计和实施有效性进行全面评价,形成评价结论,出具评价报告的过程。
第三条 公司内部控制评价,一般包括年度评价和专项评价。年度评价是指公司根
据内部控制目标,对公司某一年度建立或实施内部控制的有效性进行的评价;专项评价
是指公司在特定时点对特定范围的内部控制有效性进行的评价。
第四条 年度评价为定期评价,在每年年度结束后至年度报告提交董事会审议之
前,应完成定期检查并编制内部控制评价报告。专项评价一般为不定期评价,根据需要
视具体情况而定,不受检查时间和检查次数的限制。
第五条 公司实施内部控制评价应遵循下列原则:
(一)全面性原则:评价工作应当包括内部控制的设计与运行,涵盖公司及所属子
(分)公司的各种业务和事项。
(二)重要性原则:评价工作应当在全面评价的基础上,重点关注重要业务单位、
重大业务事项和高风险领域。
(三)客观性原则:评价工作应当准确地揭示经营管理的风险状况,如实反映内部
控制设计与运行的有效性。
(四)风险导向原则:评价工作应当以风险为基础,根据风险发生的可能性和对公
司内控目标影响的程度,确定需要评价的重点业务单元、重要业务领域和重要流程环节。
(五)及时性原则:评价工作应按照规定的时间持续进行,当经营管理环境发生重
大变化时,应及时进行重新评价。
1
� 内部控制评价管理办法
第二章 组织管理
第六条 内部控制评价按照“统一领导,分级管理”的原则进行,即公司董事会负
责领导、审计督察部负责具体组织实施、公司各职能部门和所属子(分)公司负责本单位
的内部控制评价工作。
第七条 内部控制评价的职责分工:
(一)董事会负责公司内部控制的设计和评价工作;审核批准公司内部控制评价报
告;对公司内部控制重大缺陷进行最终认定。
(二)董事会审计委员会对内部控制评价工作进行指导,监督内部控制自我评价活
动。
(三)监事会对董事会实施内部控制评价进行监督。
(四)审计督察部负责落实董事会关于内部控制自我评价的工作要求,负责公司内
部控制自我评价的具体组织实施工作,重要、重大缺陷应向公司管理层报告。
(五)公司各职能部门和所属子(分)公司是内部控制自我评价的主体单位,负责
本单位内部控制自我评价工作,并在规定时间内按要求将评价工作情况和相关底稿资料
报送审计督察部。
第三章 内部控制评价内容
第八条 公司应当根据《企业内部控制基本规范》、应用指引以及本管理制度,围
绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价
的具体内容,对内部控制设计与运行情况进行全面评价。
第九条 公司及所属子(分)公司对内部控制的评价包括设计有效性和运行有效性
的评价。
内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计
恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。
第十条 公司组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企
业文化、社会责任等应用指引为依据,结合本公司的内部控制制度,对内部环境的设计
及实际运行情况进行认定和评价。
2
� 内部控制评价管理办法
第十一条 公司组织开展风险评估机制评价,应当以《企业内部控制基本规范》有
关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本公司的内部控制
制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
第十二条 公司组织开展控制活动评价,应当以《企业内部控制基本规范》和各项
应用指引中的控制措施为依据,结合本公司的内部控制制度,对相关控制措施的设计和
运行情况进行认定和评价。
第十三条 公司组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息
系统等相关应用指引为依据,结合本公司的内部控制制度,对信息收集、处理和传递的
及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息
系统实施内部控制的有效性等进行认定和评价。
第十四条 公司组织开展内部监督评价,应当以《企业内部控制基本规范》有关内
部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本公司的内部控
制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、审
计督察部等是否在内部控制设计和运行中有效发挥监督作用。
第十五条 内部控制评价工作应当形成工作底稿,详细记录公司执行评价工作的内
容。
第四章 内部控制评价的组织实施
第十六条 公司内部控制评价程序包括:制定评价工作方案、组成评价工作组、实
施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十七条 审计督察部应当拟订评价工作方案,明确评价范围、工作任务等相关内
容,分别报经分管领导、总经理、董事长审批后实施。
第十八条 审计督察部应当根据经批准的评价方案,成立内部控制评价工作组,具
体组织内部控制评价工作。
第十九条 公司各职能部门和子(分)公司根据评价工作方案和评价工作通知,
开展本单位内部控制评价工作,初步认定内部控制缺陷,并将内控评价结果报送审计督
察部。
第二十条 在开展内部控制自我评价工作时,应当进行现场测试,采用个别访谈、
调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集内部控
3
� 内部控制评价管理办法
制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分
析内部控制缺陷。
第二十一条 审计督察部汇总公司内部控制评价结果,客观、公正、完整地编制内
部控制评价报告,并按权限报批。
第二十二条 公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计
服务的会计师事务所,不得同时为同一公司提供内部控制评价服务。
第五章 内部控制缺陷的认定
第二十三条 内部控制缺陷的分类
(一)内部控制缺陷按其成因分为设计缺陷和运行缺陷。
设计缺陷是指内部控制设计不科学、不适当,即使正常运行也难以实现控制目标。
运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当,包括未按设计的
方式或意图运行、运行的时间或频率不当、没有得到一贯有效运行、执行人员缺乏必要
授权或专业胜任能力等,无法有效实现控制目标。
(二)内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,
但仍有可能导致公司偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
(三)内部控制缺陷按其表现形式分为财务报告内部控制缺陷和非财务报告内部控
制缺陷。
财务报告内部控制缺陷,是指在会计确认、计量、记录和报告过程中出现的,对财
务报告的真实性和完整性产生直接影响的控制缺陷。
非财务报告内部控制缺陷,是指虽不直接影响财务报告的真实性和完整性,但对公
司经营管理的合法合规、资产安全、运营的效率和效果等控制目标的实现存在不利影响
的其他缺陷。
第二十四条 公司分别制定财务报告内部控制缺陷和非财务报告内部控制缺陷认
定标准,并在内部控制评价报告中披露。
4
� 内部控制评价管理办法
第二十五条 对于评价工作中认定的内部控制缺陷,审计督察部应当结合董事会和
审计委员会要求,提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况。
(一)对于认定为重大缺陷,立即采取应对策略,切实将风险控制在可承受度之内,
并落实相关责任。
(二)对于认定为重要缺陷,及时研究应对策略,限期解决,降低风险。
(三)对于认定为一般缺陷,由责任部门及时研究解决,防止风险扩大。
第二十六条 被评价单位对于评价工作中认定的内部控制缺陷应组织人员进行整
改,落实整改责任人、整改举措等,并将整改情况报送审计督察部。
第六章 子(分)公司内控评价工作要求
第二十七条 子(分)公司可以根据本制度并结合自身实际情况制定相关实施细则
或者参照本制度执行。
第二十八条 子(分)公司围绕本单位内部环境、风险评估、控制活动、信息与沟
通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行
全面评价。
第二十九条 子(分)公司应将内控评价报告等资料报送审计督察部。审计督察部
必要时可以对子(分)公司内部控制评价工作情况进行抽查和复核。
第三十条 子(分)公司内控评价报告至少应包括以下内容:
(一)内部控制评价工作的总体情况;
(二)内部控制评价的依据;
(三)内部控制评价的范围(包括:涵盖的单位、主要业务事项等);
(四)内部评价的程序和方法;
(五)内部控制缺陷及其认定情况;
(六)内部控制缺陷的整改情况(包括:上年度认定内部控制缺陷的整改完成情况;
以及本年度发现内控缺陷的整改举措、整改进度情况等);
(七)内部控制有效性的结论;
(八)其他内控评价情况。
第三十一条 子(分)公司应妥善保管好本单位年度内控评价相关资料。
第七章 内部控制评价报告
5
� 内部控制评价管理办法
第三十二条 公司的内部控制评价报告包括年度内部控制评价报告和专项内部控
制评价报告两种。
第三十三条 公司应当根据年度内部控制评价结果,结合内部控制评价工作底稿和
内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制年度内部控制评价报告。
第三十四条 年度内部控制评价报告的编制程序如下:
(一)审计督察部按照《企业内部控制评价指引》及本制度要求,制定评价工作方
案、组织实施评价工作,并汇总评价结果,在此基础上编报评价报告初稿。
(二)审计督察部负责人对内部控制评价报告进行审核,出具复核意见后上报分管
领导。
(三)审计督察部分管领导对内部控制评价报告进行审核,并出具审核意见后,提
交总经理办公会。
(四)总经理办公会对内部控制评价报告进行审议,并出具会议纪要后,提交董事
会。
(五) 董事会对内部控制评价报告进行审议,并出具会议纪要。
(六)董事会在年度报告披露的同时,按规定披露年度内部控制评价报告。
第三十五条 公司年度内部控制评价报告应包括以下要素:
(一)标题
(二)收件人
(三)引言段
(四)重要声明
(五)内部控制评价结论
(六)内部控制评价工作情况(含内部控制评价范围、内控评价工作依据及内部控
制缺陷认定标准、内部控制缺陷认定及整改情况等)
(七)其他内部控制相关重大事项说明
第三十六条 年度内部控制评价报告应当报经董事会批准后对外披露或报送相关
部门。
审计督察部应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间
是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调
整。
6
� 内部控制评价管理办法
第三十七条 公司内部控制审计报告应当与年度内部控制评价报告同时对外披露
或报送。
公司应当以 12 月 31 日作为年度内部控制评价报告的基准日。年度内部控制评价报
告应于基准日后 4 个月内报出。
第三十八条 除定期检查评价外,审计督察部根据实际需要可不定期组织开展专项
内部控制评价,专项内部控制评价报告的编制程序和内容参考年度内部控制评价报告。
第三十九条 公司内部控制评价的有关文件资料、工作底稿和证明材料等由公司审
计督察部负责整理归档。
第八章 内部控制评价的监督及奖惩
第四十条 公司内部控制评价活动由公司监事会监督,如相关单位对检查评价的过
程或结果的公正性存在质疑,可以向公司监事会反映。
第四十一条 公司管理层和董事会应当根据评价结论,对相关单位、部门或人员实
施适当的奖励和惩戒。
第九章 附则
第四十二条 本制度适用于公司及所属子(分)公司。
第四十三条 本制度在内部控制管理手册中对应的流程图为:14.02.03内控评价。
第四十四条 本制度由公司审计督察部负责解释和修订。
第四十五条 本制度自下发之日起执行。
附件1:内部控制缺陷认定标准
7
� 内部控制评价管理办法
附件1:
内部控制缺陷认定标准
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要
求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制
和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,具体
如下:
一、财务报告内部控制缺陷认定标准
(一)财务报告内部控制缺陷评价的定量标准:
缺陷
类别 资产总额 利润总额
缺陷指标
错报≥利润总额的 5%,
重大缺陷 错报≥资产总额 1%
且不低于 1000 万元
资产总额 0.5%≤错报﹤ 利润总额的 3%≤错报﹤利润总额
重要缺陷
资产总额 1% 的 5%,且不低于 500 万元
一般缺陷 错报﹤资产总额 0.5% 除重大和重要缺陷之外的缺陷
(二)财务报告内部控制缺陷评价的定性标准:
(1)重大缺陷:
①控制环境无效;
②董事、监事和高级管理人员舞弊并给企业造成重要损失和不利影响;
③对已经公告的财务报告出现的重大差错进行错报更正;
④注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现
该错报;
8
� 内部控制评价管理办法
⑤审计委员会以及内部审计部门对财务报告内部控制监督无效。
重要缺陷:
①未依照公认会计准则选择和应用会计政策;
②未建立反舞弊程序和控制措施;
③对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有
相应的补偿性控制;
④对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务
报表达到真实、完整的目标。
一般缺陷:
不构成重大缺陷或重要缺陷的其他内部控制缺陷。
二、非财务报告内部控制缺陷认定标准
(一)非财务报告内部控制缺陷评价的定量标准:
重大缺陷:直接财产损失≥1000 万元;
重要缺陷:500 万元≤直接财产损失<1000 万元;
一般缺陷:直接财产损失<500 万元。
(二)非财务报告内部控制缺陷评价的定性标准:
重大缺陷:
①公司决策程序导致重大失误;
②公司严重违反国家法律法规;
③公司高级管理人员和高级技术人员流失严重;
④公司内部控制评价的结果特别是重大缺陷未得到整改;
⑤涉及公司生产经营的重要业务缺乏制度控制或制度系统失效。
重要缺陷:
①公司决策程序导致出现较大失误;
9
� 内部控制评价管理办法
②违反上市公司信息披露等其他相关规定受监管部门通报批评或谴责;
③公司关键岗位业务骨干流失严重;
④公司内部控制评价结果特别是重要缺陷未得到整改;
⑤涉及公司生产经营的重要业务业务制度或系统存在缺陷。
一般缺陷:
不构成重大缺陷或重要缺陷的其他内部控制缺陷。
10
�
