华天科技:内部控制评价管理制度2023-02-21
天水华天科技股份有限公司
内部控制评价管理制度
二〇二三年二月
� 天水华天科技股份有限公司 内部控制评价管理制度
内部控制评价管理制度
第一章 总则
第一条 为保证天水华天科技股份有限公司(以下简称“公司”)内部控制制
度的建立健全和有效执行,促进公司规范运作和健康发展,根据《企业内部控制
基本规范》《企业内部控制应用指引》《企业内部控制评价指引》《公开发行证券
的公司信息披露编报规则第 21 号——年度内部控制评价报告的一般规定》《深圳
证券交易所上市公司自律监管指引第 1 号——主板上市公司规范运作》等规范性
文件及本公司相关规定,制定本制度。
第二条 本制度所称的内部控制评价是指公司董事会对公司内部控制的有效
性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 公司实施内部控制评价应遵循以下原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司的
主要业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、
重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反
映内部控制设计与运行的有效性。
第四条 本制度适用于公司及其控股子公司。
第二章 内部控制评价的组织体系
第五条 公司董事会为内部控制评价工作的最高决策机构和最终责任者,对
内部控制的建立健全和有效实施负责,其主要职责包括:
(一)审议批准公司内部控制评价管理制度;
(二)负责最终认定公司内部控制重大缺陷和重要缺陷,审批重大和重要内
部控制缺陷的整改方案、整改结果及有关报告;
-1-
� 天水华天科技股份有限公司 内部控制评价管理制度
(三)审议批准公司年度内部控制评价报告。
公司董事会及全体董事对年度内部控制评价报告的真实性、准确性、完整性
承担个别和连带的法律责任。
第六条 公司监事会对内部控制的建立、实施及评价进行监督,审议年度内
部控制评价报告。
第七条 公司董事会授权审计委员会负责内部控制评价管理的组织领导、统
筹协调和工作监督等事项,其主要职责包括:
(一)审议公司内部控制评价管理制度;
(二)审议批准年度内部控制评价工作计划;
(三)审议批准内部控制评价工作方案,并提出指导意见;
(四)监督内部控制评价情况,审议内部控制缺陷认定,审定内部控制一般
缺陷及其整改方案和整改结果报告;
(五)审议年度内部控制评价报告;
(六)法律法规、《公司章程》和董事会授权的其他内部控制事项。
第八条 审计办公室是公司内部控制评价归口管理部门,负责具体组织实施、
汇报、协调内部控制评价工作,其主要职责包括:
(一)持续完善公司内部控制评价相关制度;
(二)编制年度内部控制评价工作计划;
(三)编制公司内部控制评价工作方案;
(四)组织开展内部控制评价,完成内部控制评价相关工作;
(五)编制公司年度内部控制评价报告;
(六)督导公司内部控制缺陷整改,跟踪整改情况并按要求报告。
第九条 公司及其控股子公司是其内部控制建设、运行、评价的主体单位,
应当逐级落实内部控制的主体责任,建立日常监控机制,认真开展内控自查、定
期检测评价及缺陷整改工作,接受公司的内部控制评价与监督,并对内部控制评
价结果的真实性负责。
第十条 公司及控股子公司各部门是内部控制评价实施部门,其主要职责包
括:
(一)对本部门职责范围内的内部控制进行自查测试,并将自查底稿报送审
-2-
� 天水华天科技股份有限公司 内部控制评价管理制度
计办公室;
(二)参与、配合审计办公室组织的内部控制现场测试,包括确定内控协调
员及评价工作组成员、提供资料、配合访谈、沟通与确认缺陷等;
(三)负责本部门职责范围内的内部控制缺陷整改工作,并及时向审计办公
室报送整改情况;
(四)配合完成与内部控制评价有关的其他工作。
第十一条 公司内部控制评价工作组是公司内部控制评价的主要工作机构
(临时机构),负责具体实施内部控制评价工作,其主要职责包括:
(一)对公司内部控制进行现场测试,独立评价内部控制设计和运行的有效
性,对内部控制评价的一般缺陷、重要缺陷、重大缺陷进行初步认定并提出改进
建议,编制评价工作底稿;
(二)对公司及其控股子公司内部控制评价工作情况进行抽查和复核。
第三章 内部控制评价的内容
第十二条 公司围绕内部环境、风险评估、控制活动、信息与沟通、内部监
督等要素,结合《企业内部控制基本规范》与公司的相关制度,确定内部控制评
价的具体内容,对内部控制设计与运行情况进行全面评价。
第十三条 内部环境评价内容:以组织架构、发展战略、人力资源、企业文
化、社会责任等《企业内部控制应用指引》为依据,结合公司及其控股子公司相
关制度,对公司内部环境的设计及运行情况进行认定和评价。
第十四条 风险评估评价内容:根据《企业内部控制基本规范》有关风险评
估的要求,以《企业内部控制应用指引》中所列主要风险为依据,对公司风险识
别、风险分析、风险应对等设计与运行情况进行认定和评价。
第十五条 控制活动评价内容:以《企业内部控制基本规范》和《企业内部
控制应用指引》的控制措施为依据,对公司各项业务处理程序的授权批准、职责
分工、实物控制、凭证与记录控制、独立检查程序等控制措施的设计与运行情况
进行认定和评价。
第十六条 信息与沟通评价内容:以内部信息传递、财务报告、信息系统等
-3-
� 天水华天科技股份有限公司 内部控制评价管理制度
相关《企业内部控制应用指引》为依据,对公司信息收集、处理和传递的及时性、
财务报告的真实性、信息系统的安全性以及利用信息系统实施内控的有效性进行
认定和评价。
第十七条 内部监督评价内容:以《企业内部控制基本规范》有关内部监督
的要求,以及《企业内部控制应用指引》中有关日常管控的规定为依据,结合公
司的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、
审计委员会、审计办公室等是否在内部控制设计和运行中有效发挥监督作用。
第十八条 内部控制评价工作应当形成工作底稿,详细记录公司执行评价工
作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认
定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。
第四章 内部控制评价程序
第十九条 公司内部控制评价程序包括:制定评价工作方案、组成评价工作
组、实施现场测试、汇总评价结果、编报评价报告等环节。
第二十条 制定评价工作方案。审计办公室根据公司内部监督情况和管理要
求,分析公司经营管理过程中的高风险领域和重要业务事项,拟定评价工作方案,
明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经审
计委员会审批后实施。
第二十一条 组成评价工作组。审计办公室根据工作方案组成内部评价工作
组,评价工作组成员由公司具备独立性、业务胜任能力和职业道德素养的业务骨
干组成,具体承担内部控制检查评价任务。评价工作组成员对本部门的内部控制
评价工作应当实行回避原则。公司可以委托中介机构实施内部控制评价。为公司
提供内部控制审计服务的会计师事务所,不得同时为其提供内部控制评价服务。
第二十二条 实施现场测试。内部控制评价工作组对被评价单位或部门进行
现场测试,可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、
抽样和比较分析等方法,充分收集被评价单位或部门内部控制设计和运行是否有
效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺
陷。
-4-
� 天水华天科技股份有限公司 内部控制评价管理制度
第二十三条 汇总评价结果。评价工作组汇总各被评价单位或部门的评价结
果,初步判定缺陷等级。
第二十四条 报告反馈与跟踪阶段。内部控制评价工作组编制专项内部控制
评价报告,并上报审计委员会审议。对于认定的内部控制缺陷,审计办公室结合
董事会和审计委员会要求,提出整改建议,要求责任部门及时整改,并跟踪其整
改落实情况;已造成损失或负面影响的,公司应当追究相关人员的责任。
第五章 内部控制缺陷分类
第二十五条 公司对内部控制缺陷的认定,应当以日常监督和专项监督为基
础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,
按照规定的权限和程序进行审核后予以最终认定。
第二十六条 按照内部控制缺陷的成因或来源,公司将内部控制缺陷分为设
计缺陷和运行缺陷两类:
(一)设计缺陷:指公司缺少为实现控制目标所必需的内部控制,或现存的
内部控制不合理及未能满足控制目标。
(二)运行缺陷:运行缺陷是指设计合理及有效的内部控制,但在运作上没
有被正确地执行,包括不恰当的人员执行,未按设计的方式运行等。
第二十七条 按照影响内部控制目标实现的严重程度,公司将内部控制缺陷
分为重大缺陷、重要缺陷和一般缺陷:
(一)重大缺陷:指一个或多个控制缺陷的组合,可能导致公司严重偏离控
制目标。
(二)重要缺陷:指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,
但仍有可能导致公司偏离控制目标。
(三)一般缺陷:指除重大缺陷和重要缺陷之外的其他缺陷。
第六章 内部控制缺陷的认定标准
第二十八条 按照内部控制缺陷对控制目标实现影响的具体表现形式,区分
-5-
� 天水华天科技股份有限公司 内部控制评价管理制度
为财务报告内部控制缺陷和非财务报告内部控制缺陷,分别制定内部控制缺的认
定标准。
第二十九条 财务报告内部控制缺陷认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。跟据缺
陷可能导致的财务报告错报的重要程度,公司采用定性和定量相结合的方法将缺
陷划分为重大缺陷、重要缺陷和一般缺陷。
一、财务报告内部控制缺陷评价的定性标准:
(一)重大缺陷认定标准:
1、公司董事、监事和高级管理人员舞弊;
2、公司更正已公布的财务报告;
3、注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中
未能发现该错报;
4、公司审计委员会和内部审计机构对内部控制的监督无效。
(二)重要缺陷认定标准:
1、未依照公认会计准则选择和应用会计政策;
2、未建立反舞弊程序和控制措施;
3、对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施
且没有相应的补偿性控制;
4、对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制
的财务报表达到真实、准确的目标。
(三)一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
二、财务报告内部控制缺陷评价的定量标准:
定量标准以营业收入、资产总额作为衡量指标。内部控制缺陷可能导致或导
致的损失与利润报表相关的,以营业收入指标衡量。如果该缺陷单独或连同其他
缺陷可能导致的财务报告错报金额小于营业收入的 0.5%,则认定为一般缺陷;
如果超过营业收入的 0.5%但小于 1%认定为重要缺陷;如果超过营业收入的 1%,
则认定为重大缺陷。
内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡
量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额
-6-
� 天水华天科技股份有限公司 内部控制评价管理制度
的 0.5%,则认定为一般缺陷;如果超过资产总额 0.5%但小于 1%则认定为重要缺
陷;如果超过资产总额 1%,则认定为重大缺陷。
第三十条 非财务报告内部控制缺陷认定标准
非财务报告缺陷认定主要以缺陷对业务流程有效性的影响程度和发生的可
能性作判定。公司采用定性和定量相结合的方法将缺陷划分为重大缺陷、重要缺
陷和一般缺陷。
一、非财务报告内部控制缺陷评价的定性标准:
(一)重大缺陷认定标准:
如果缺陷发生的可能性高,会严重降低工作效率或效果、或严重加大效果的
不确定性、或使之严重偏离预期目标为重大缺陷;
(二)重要缺陷认定标准:
如果缺陷发生的可能性较高,会显著降低工作效率或效果、或显著加大效果
的不确定性、或使之显著偏离预期目标为重要缺陷;
(三)一般缺陷认定标准:
如果缺陷发生的可能性较小,会降低工作效率或效果、或加大效果的不确定
性、或使之偏离预期目标为一般缺陷。
二、非财务报告内部控制缺陷评价的定量标准:
非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价
的定量标准执行。
第三十一条 公司内部控制评价工作组建立评价质量交叉复核制度,评价工
作组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认
后,提交审计办公室。
第三十二条 公司内部控制评价部门应当编制内部控制缺陷认定汇总表,结
合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷
及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以
适当的形式向董事会、监事会或者经理层报告。重大缺陷和重要缺陷应当由董事
会予以最终认定。
公司对于认定的重大缺陷和重要缺陷,应当及时采取应对策略,切实将风险
控制在可承受度之内,并追究有关部门或相关人员的责任。
-7-
� 天水华天科技股份有限公司 内部控制评价管理制度
第七章 内部控制评价报告
第三十三条 公司审计办公室根据相关法律、法规的要求,结合年度内部控
制评价,编制公司年度内部控制评价报告,提交审计委员会审核。
第三十四条 内部控制评价报告至少应当包括以下内容:
(一)董事会对内部控制评价报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制存在的缺陷及其认定情况;
(五)对内部控制缺陷的整改情况;
(六)对内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
第三十五条 内部控制评价报告应当经审计委员会审核,监事会、董事会审
议后对外披露或报送相关部门。
公司董事会应当在审议年度报告的同时,对内部控制自我评价报告形成决议。
监事会和独立董事应当对内部控制自我评价报告发表意见,保荐人或独立财务顾
问(如有)应当对内部控制自我评价报告进行核查,并出具核查意见。
公司应当在年度报告披露的同时,在符合条件媒体上披露内部控制自我评价
报告和内部控制审计报告,法律法规另有规定的除外。
第三十六条 公司内部控制评价部门应当关注自内部控制评价报告基准日至
内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性
质和影响程度对评价结论进行相应调整。
第三十七条 公司应当以每年的 12 月 31 日作为年度内控制度评价报告的基
准日。年度内部控制评价报告应当于基准日后 4 个月内报出。
第三十八条 内部控制评价的工作底稿、证明材料、内部控制评价报告等有
关文件资料由审计办公室负责保存,保存时间不少于 10 年。
-8-
� 天水华天科技股份有限公司 内部控制评价管理制度
第八章 附则
第三十九条 本制度未尽事宜,按照法律法规、规范性文件及《公司章程》
的规定执行。本制度与法律法规、规范性文件及《公司章程》的有关规定不一致
时,以法律法规、规范性文件及《公司章程》的规定为准。
第四十条 本制度经公司董事会审议通过后施行。公司原《内部控制缺陷认
定标准》同时废止。
第四十一条 本制度由公司董事会负责解释。
二〇二三年二月二十日
-9-
�
