云南能投:云南能源投资股份有限公司内部控制评价管理办法(2022年6月制定)2022-06-03
云南能源投资股份有限公司
内部控制评价管理办法
第一章 总 则
第一条 为规范云南能源投资股份有限公司(以下简称“公司”)内部控制评价工作,建立健全评价
机制,促进内部控制评价有效、有序开展,根据《公司法》《企业内部控制基本规范》及其配套指引
规定,并结合公司实际情况及《内部控制管理手册》,制定本办法。
第二条 本办法适用于公司及各所属公司。
本办法提及的“所属公司”,是指受公司实际控制的各级企业。
本办法的内控评价操作程序和具体要求主要对公司层面进行规范,所属公司参照执行。
第三条 本办法所称内部控制评价(以下简称“内控评价”)是公司董事会或类似权力机构对
公司内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第四条 内部控制评价原则。
(一)全面性原则:评价工作包括内部控制的设计与运行,涵盖公司及所属公司的各类业务和
事项。
(二)重要性原则:评价工作在全面评价的基础上,关注重要业务单位、重大业务事项和高风
险领域。
(三)客观性原则:评价工作应以事实为依据,客观揭示经营管理的风险状况,如实反映内部
控制设计与运行有效性。
第二章 工作机构及职责
第五条 公司依据组织架构层次建立分级内控评价的组织体系,按管理职责对公司及所属公司的
内控评价进行管理。
(一)公司主要负责内控评价的组织、统筹、制度建设和公司的评价,工作机构主要包括:董事
会、总经理办公会、内部控制评价部门、其他部室,根据需要可以聘请独立第三方中介机构参与。
(二)所属公司按照各公司的情况,依据公司架构建立各公司的内控评价组织体系,根据公司
统筹安排,组织好各所属公司的内控评价工作,并将评价报告经所属公司有权决策机构批准后向公
司报备。
第六条 公司董事会对内控评价报告的真实性负责,其在内控评价方面的主要职责包括:
(一)负责公司内控评价工作的领导和监督;
(二)负责内控缺陷认定标准的审批并负责重大缺陷的最终认定;
(三)负责内控评价报告的审批。
第七条 公司监事会对董事会建立与实施内部控制进行监督。
第八条 公司总经理办公会在内控评价方面的主要职责包括:
(一)审批公司内控评价工作方案;
(二)审议公司内控缺陷认定标准;
(三)审议内控评价报告及相关工作成果。
第九条 公司内控评价部门牵头成立内控评价工作组,负责内控评价工作的具体组织实施, 主
要职责包括:
(一)负责公司内控评价制度建设;
(二)拟订公司内控评价工作方案;
� (三)依据公司内控评价工作方案实施现场测评,并规范记录评价底稿;
(四)依据确定的公司内控缺陷认定标准,进行内控缺陷的初步认定;
(五)依据评价底稿及缺陷记录,编制公司内控评价报告;
(六)按照公司董事会认定的内控缺陷,监督整改过程和结果;
(七)牵头组织公司内控评价培训;
(八)负责公司内控评价工作资料的整理归档。
第十条 公司各部室负责配合内控评价工作的开展,负责开展本部室的自我测评工作,并根据内
控评价发现的缺陷,及时进行整改。
第三章 内部控制评价的内容
第十一条 内控评价根据《企业内部控制基本规范》及其配套指引、公司内部控制制度, 围绕
内部环境、风险评估、控制活动、信息与沟通和内部监督等五要素,确定内部控制评价的具体内容,
对内部控制设计与运行情况进行全面评价。
(一)内部环境评价:以组织架构、发展战略、人才资源、企业文化、社会责任等应用指引为
依据,结合公司内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
(二)风险评估机制评价:以《企业内部控制基本规范》有关风险评估的要求,各项应用指引
中所列主要风险为依据,结合公司内部控制制度,对日常经营管理过程中的风险识别、风险分析、
应对策略等进行认定和评价。
(三)控制活动评价:以《企业内部控制基本规范》和各项应用指引中的控制措施为依据, 结合公司
内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
(四)信息与沟通评价:以内部信息传递、财务报告、信息系统等相关应用指引为依据, 结合
公司内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、
信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
(五)内部监督评价:应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用
指引中有关日常管控的规定为依据,结合公司内部控制制度,对内部监督机制的有效性进行认定和
评价,重点关注监事会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
第十二条 内部控制评价范围,主要依据对合并财务报告重要性水平及风险评估的结果确定,管
理层从经营及风险角度认为必要的内控可纳入评价范围,或采用定量指标和定性综合确定评价范围。
第十三条 内部控制评价依据,主要包括:
(一)财政部等五部委颁发的《企业内部控制基本规范》;
(二)财政部等五部委颁发的《企业内部控制应用指引》;
(三)财政部等五部委颁发的《企业内部控制评价指引》;
(四)公司规章制度体系;
(五)公司《内部控制管理手册》。
第四章 内部控制评价方法
第十四条 内控评价的方法包括个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和
比较分析等,在内控评价中,应该根据控制的性质以及专业判断,充分收集相关证据,综合运用上
述评价方法。
第十五条 采取抽样进行评价,应根据成本效益原则,针对具体的业务流程,选择适当的抽样方
法。
第十六条 针对测试中识别出的存在重大缺陷的内部控制,需及时采取应对策略,进行整改并重
�新执行抽样测试,保证新的控制有足够长的运行时间,否则应当将其视为内部控制在基准日存在重
大缺陷。
第五章 内部控制缺陷类别及认定标准
第十七条 内控缺陷按照成因或来源分为:
(一)设计缺陷:在内部控制设计时,缺少为实现控制目标所必需的措施,或现有的措施不能
满足控制要求,表现为规章制度缺失、不相容职责未有效分离、控制设计不合理等。
(二)运行缺陷:设计合理及有效的内部控制未被正确地执行,表现为未按设计方式运行、执行人因未
获得必要授权或缺乏胜任能力无法实施等。
第十八条 内控缺陷按照影响企业内部控制目标实现的严重程度分为:
(一)重大缺陷:一个或多个控制缺陷的组合,可能导致业务单位严重偏离控制目标。凡有下
列情形之一的,内部控制可能存在重大缺陷:
1. 缺乏民主决策程序或决策程序不科学;
2. 内部控制环境失效;
3. 高级管理层成员发生舞弊;
4. 未能及时发现或有效应对重大风险,造成严重后果;
5. 违反国家法律、法规有关规定;
6. 管理报告中存在重大错报;
7. 内部控制监督失效;
8. 关键岗位的管理人员或技术人员流失严重;
9. 在主要媒体出现负面新闻;
10. 发生重大安全生产事故;
11. 重要业务管理或操作人员明显不胜任;
12. 制度缺失、设计不合理或系统性失效,对经营活动产生重大影响。
(二)重要缺陷:一个或多个控制缺陷的组合,其严重程度或经济后果低于重大缺陷,但有可
能导致业务单位偏离控制目标。凡有下列情形之一的,内部控制可能存在重要缺陷:
1. 管理决策程序不完善;
2. 未能及时发现或有效应对重大风险,尚未造成一定后果;
3. 企业各类管理报告中存在重要错报;
4. 内部控制监督不力;
5. 所属各级单位内控评价报告与实际不符或故意隐瞒信息;
6. 管理人员或技术人员流失较多,对经营产生一定影响;
7. 在媒体上出现负面信息;
8. 业务管理不合理或操作人员不胜任;
9. 制度缺失或设计不合理,对部分经营活动产生重要影响。
(三)一般缺陷:由于控制设计不合理或执行不到位,造成负面影响和目标偏离,未构成重大
或重要缺陷的,通常认定为一般缺陷。
第十九条 内控缺陷按照影响内部控制目标的具体表现形式分为:
(一)财务报告内部控制缺陷:指不能合理保证财务报告可靠性的内部控制设计和运行缺陷,
即不能及时防止或发现并纠正财务报表错报的内部控制缺陷;
(二)非财务报告内部控制缺陷:指不能保证除财务报告目标之外的其他目标的内部控制设计
和运行缺陷,这些目标包括战略目标、经营目标、合规目标等。
� 第二十条 财务报告和非财务报告内部控制缺陷的认定标准详见附件。
第二十一条 内控缺陷的质量认定控制。内控评价工作组内部应对工作成果进行签字确认, 并
建立质量交叉复核机制。
第二十二条 内部控制缺陷认定表应由被评价单位负责人签字确认。
第二十三条 对于经公司董事会认定的重大缺陷,应当按照公司规定,追究相关部门或人员的责
任。
第六章 内部控制评价的程序和要求
第二十四条 年度内控评价具体操作程序如下:
(一)工作组拟定内控评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预
算等相关内容报公司总经理办公会审批通过后执行;
(二)工作组根据工作方案,组织内控评价培训,启动内控评价工作;
(三)公司各部室开展自我测评,并将工作成果报公司工作组;
(四)工作组依据工作方案实施现场测评;
(五)工作组负责汇总评价结果,编制内控评价报告,报公司总经理办公会审议并经公司董事
会审批;
(六)经董事会审批的内控评价报告向监管部门报送。
第二十五条 内控评价工作应当形成工作底稿,详细记录评价工作的内容,包括评价要素、主要风
险点、采取的控制措施、有关证据资料以及认定结果等,所收集的相关证据资料应与所执行的评价工作
配套。
第二十六条 内控评价工作组应当对评价质量进行交叉复核,评价工作组负责人应当对评价工作
底稿进行严格审核,并对所认定的评价结果签字确认后,提交内部控制评价部门。
第二十七条 内控评价工作人员应当按照公司相关规定,严格履行保密义务。
第七章 内部控制评价报告
第二十八条 工作组应及时关注外部监管机构对年度内部控制评价报告格式与内容规范的动态
变化。根据外部监管机构的相关规定以及年度内部控制评价结果,结合内控评价工作底稿和内控缺
陷汇总表等资料,按照规定的程序和要求,及时编制内控评价报告。
第二十九条 内控评价报告应按内部环境、风险评估、控制活动、信息与沟通、内部监督等要素
进行设计,对内控评价过程、内部控制缺陷认定及整改情况、内控有效性的结论等相关内容作出披
露。
第三十条 内控评价报告包括但不限于以下内容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据;
(四)内部控制评价的范围;
(五)内控评价的程序和方法;
(六)内控评价缺陷及其认定情况;
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
(八)内部控制有效性的结论。
第三十一条 年度内控评价报告的基准日为 12 月 31 日,内控评价报告应于基准日 4 个月内
报出。
� 第八章 内部控制缺陷的整改
第三十二条 经公司各部室审核确认存在的内控缺陷,责任部室应立即组织整改。
第三十三条 内控缺陷整改后应保证一定的有效运行期。未经再测试或未获得有效执行证据,不
得认定原内控缺陷事项已整改完成。
第三十四条 公司每次内部控制评价工作应将上一期间内部控制的缺陷整改情况进行补充测试,
纳入本期内控评价范围,并在内控评价报告中对整改情况进行披露。
第九章 内控评价档案管理
第三十五条 内控评价工作过程形成的文件资料,包括工作底稿、评价报告、缺陷证明材料、缺
陷汇总表、缺陷报告等,由工作组负责收集、整理,并按照公司规定进行归档。
第十章 附 则
第三十六条 本办法由公司董事会负责解释。
第三十七条 本办法经公司总经理办公会审议后,报董事会审批通过,自公布之日起施行。
� 附件:内部控制缺陷认定标准
(1)财务报告内部控制缺陷认定标准
a.公司确定的财务报告内部控制缺陷评价的定量标准如下:
一般缺陷 重要缺陷 重大缺陷
营业收入的2%≤错 错报≥营业收入
营业收入错报 错报<营业收入的2%
报<营业收入的5% 的5%
错报<资产总额的 资产总额0.5%≤错 错报≥资产总额
资产总额错报
0.5% 报<资产总额的1% 1%
内部控制缺陷可能导致或导致的损失与公司利润表相关的,以营业收入指标衡量 ;
内部控制缺陷可能导致或导致的损失与公司资产管理相关的,以资产总额指标衡量。
b.公司确定的财务报告内部控制缺陷评价的定性标准如下:
财务报告重大缺陷包括:①公司董事、监事及高级管理人员舞弊;②公司对内部控
制的监督无效;③注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程
中未能发现该错报;④控制环境无效。
财务报告重要缺陷包括:①未依照公认会计准则选择和应用会计政策、未建立反舞
弊程序和控制措施;②对于非常规或特殊交易的账务处理没有建立相应的控制机制或没
有实施且没有相应的补偿性控制;③对于期末财务报告过程的控制存在一项或多项缺陷
且不能合理保证编制的财务报表达到真实、准确的目标。
财务报告一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
(2) 非财务报告内部控制缺陷认定标准
a.公司确定的非财务报告内部控制缺陷评价的定量标准如下:
一般缺陷 重要缺陷 重大缺陷
造成公司直接财 直接财产损失<上年 上年经审计净资产 直接财产损失≥上
产损失 经审计净资产的0.5% 0.5%≤直接财产损失< 年经审计净资产2%
� 上年经审计净资产2%
b.公司确定的非财务报告内部控制缺陷评价的定性标准如下:
重大缺陷:①违反国家法律、行政法规和规范性文件,引起政府或监管机构立案或
引发重大诉讼;②“三重一大”事项未经过集体决策程序或因决策程序不科学、不合理,
导致发展战略或决策出现重大失误;③媒体负面报道频现;④涉及公司投资、采购、销
售、财务等重要业务缺乏制度控制或制度系统失效;⑤信息披露内部控制失效,导致公
司被监管部门公开谴责及以上处罚;⑥内部控制评价的结果特别是重大缺陷或重要缺陷
未得到整改。
重要缺陷:①未开展风险评估,内部控制设计未覆盖重要业务和关键风险领域,不
能实现控制目标;②内部信息沟通存在严重障碍,对外信息披露未经授权,信息内容不
真实,遭受外部监管机构公开谴责以下处罚;③合同履行不力、商业秘密和知识产权保
护不力,导致重大经济纠纷或法律诉讼,给企业带来经济损失的同时严重损害企业形象
和信誉。
一般缺陷:指除重大缺陷、重要缺陷之外的其他缺陷。
�
