沪电股份:内部控制审计制度(2020年3月)2020-03-26
沪士电子股份有限公司
内部控制审计制度
(经第六届董事会第十五次会议审议通过)
第一章 总则
第一条 为规范沪士电子股份有限公司内部控制制度评审活动,保证审计工作质量,
根据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》、
《深圳证券交易所上市公司规范运作指引》、《企业内部控制基本规范》、
《中国内部审计准则》,结合公司实际,制定本制度。
第二条 本制度所称内部控制,是指公司为实现经营目标,保护资产安全完整,保
证遵循国家法律法规,提高组织运营的效率及效果而采取的各种政策和程
序。公司内部控制是由董事会、监事会、经理层和全体员工实施的,由于
人为错误、串通舞弊、环境变化及成本效益原则等因素的影响,内部控制
可能无法发挥其应有的作用。
第三条 建立健全内部控制并保持其有效运作,是被审计单位的责任,审计部负责
公司内部控制的监督检查,责任是对内部控制进行测试与评价。
第四条 企业应当建立内部控制实施的激励约束机制,将各责任单位和全体员工实
施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。审计委
员会监督及评估内部审计工作。内部审计部门对审计委员会负责,向审计
委员会报告工作。
第五条 内部控制审计是审计人员在实施审计过程中对被审计单位内部控制制度的
健全性、合理性及内部控制过程的有效性所进行的测试与评价活动,目的
是合理保证被审计单位实现以下目标:
(一) 遵守国家有关法律法规和公司内部规章制度;
(二) 公司信息披露的真实、准确、完整和公平;
(三) 资产的安全、完整;
(四) 提高公司经营的效益及效率;
(五) 实现经营目标。
1
�第六条 内部控制审计既可以作为独立的审计项目实施,也可以作为实施其他审计
项目的重要程序。
内部审计人员获取的审计证据应当具备充分性、相关性和可靠性。内部审
计人员应当将获取审计证据的名称、来源、内容、时间等信息清晰、完整
地记录在工作底稿中。
内部控制审计部门应当建立工作底稿制度,并依据有关法律、法规的规定,
建立相应的档案管理制度,明确内部审计工作报告、工作底稿及相关资料
的保存时间。
第二章 内部控制审计范围
第七条 内部控制包括控制环境、风险评估、控制活动、信息及沟通、监督五要素,
贯穿于公司经营活动的全过程。
第八条 控制环境主要包括企业经济性质和经营类型、管理层的经营理念、组织文
化、法人治理结构和议事规则、组织结构、职责分工及人员配置、人力资
源政策及其执行。重点审查:
(一) 组织的管理哲学和经营风格;
(二) 诚信原则和道德价值观;
(三) 经营活动的复杂程度;
(四) 管理权限的集中程度;
(五) 管理层对逾越既定控制程序的态度;
(六) 法人治理结构的健全性和有效性;
(七) 组织结构和职责划分的合理性;
(八) 组织各阶层人员的知识与技能;
(九) 权责匹配程度以及人力资源政策;
(十) 员工业绩考核与激励机制的有效性;
(十一) 员工聘用程序及培训制度的有效性;
(十二) 员工对企业文化内容的理解和认同程度。
第九条 风险评估主要包括识别和分析影响组织目标实现的各类风险、对业务流程
进行风险评估、及时调整风险应对策略,建立风险管理体系。重点审查:
2
� (一) 确定风险、评估风险的重要性;
(二) 可能引发风险的内外因素;
(三) 风险发生的可能性和预计带来的后果,对抗可能发生风险的能力和
业务层面的可接受风险水平;
(四) 风险管理机制的健全性和有效性。
第十条 企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警
标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、
规范处置程序,确保突发事件得到及时妥善处理。
第十一条 控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在
可承受度之内。控制活动主要包括不相容职务分离、授权审批、会计系统
控制、财产保护控制、预算控制、运营分析控制、绩效考评控制。重点审
查:
(一) 不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所
涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其
责、相互制约的工作机制;
(二) 授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗
位办理业务和事项的权限范围、审批程序和相应责任;
(三) 会计系统控制要求企业严格执行国家统一的会计准则制度,加强会
计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,
保证会计资料真实完整;
(四) 财产保护控制要求企业建立财产日常管理制度和定期清查制度,采
取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安
全;
(五) 预算控制要求企业实施全面预算管理制度,明确各责任单位在预算
管理中的职责权限,规范预算的编制、审定、下达和执行程序,强
化预算约束;
(六) 运营分析控制要求企业建立运营情况分析制度,经理层应当综合运
用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、
对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的
问题,及时查明原因并加以改进;
(七) 绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指
标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和
3
� 客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降
级、调岗、辞退等的依据。
第十二条 信息与沟通主要包括建立信息与沟通制度,明确内部控制相关信息的收集、
处理和传递程序,及时、准确、完整地记录所有信息、保证管理信息系统
的安全可靠及有序运行,建立反舞弊机制。重点审查:
(一) 各部门间信息的传递方式;
(二) 各类经济业务的会计处理程序和所依据信息的来源;
(三) 管理信息系统控制流程获取及处理信息的能力以及信息传递渠道畅
通情况;
(四) 信息处理的及时性、适当性,信息系统的安全可靠性;
(五) 明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中
的职责权限。
第十三条 监督主要包括董事会、监事会及管理层对内控制度的监督检查(内部控制的
自我评估)、审计机构或指定纪检监察机构实施的独立监督。审计机构重点
审查:
(一) 对内部控制及经营活动监督、检查和评价而实施再控制情况;
(二) 内部控制自我评估系统缺陷处理情况;
(三) 内部审计的设置和工作情况。
第十四条 内部控制审计关注的其他内容
(一) 所在行业状况及近期的经营变化;
(二) 管理当局的诚信、能力及发生舞弊的可能性;
(三) 管理当局评价内部控制有效性的方法和证据;
(四) 对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因
素的初步判断;
(五) 交易的性质和金额。
第十五条 审计机构对内部控制实施审计监督,可对全部内部控制要素实施测试评价,
也可对部分内部控制要素实施测试评价。
4
� 第三章 内部控制审计的程序和方法
第十六条 内部控制审计应遵循:
(一) 对内部控制进行调查了解,描述内部控制;初步评价内部控制风险;
(二) 对内部控制的执行情况进行符合性测试及实质性测试;
(三) 内部控制综合评价。
第十七条 调查内部控制。
(一) 查阅各项管理制度和相关文件;
(二) 询问管理人员和其他有关人员;
(三) 检查经营管理过程中形成的文件和记录;
(四) 观察业务活动和内部控制的实际运行情况。调查时,应当考虑被审
计单位业务规模、复杂程度、控制类型和控制程序等,恰当地确定
调查范围;关注控制环节、控制执行记录和控制程序运用的连续性。
第十八条 描述内部控制。采用文字记录、调查表、业务流程图的形式将调查的内部
控制运行情况加以记录、描述,以供测试和评价;根据现有内部控制描述
有关业务的流程和控制点,与理想模式比较,结合专业判断,着重描述应
设立的控制点,特别是关键控制点设立情况。
第十九条 了解内部控制设置情况后,应当初步评价内部控制风险,确定符合性测试
的范围。
(一) 分析可能发生错弊的业务环节和活动领域;
(二) 初步评价相关内部控制的合理性和运行的有效性;
(三) 确定内部控制风险水平。
第二十条 进行符合性测试。
(一) 按照业务流程检查各项内部控制规定是否得到执行;
(二) 选择有关经济业务,检查流程中的关键控制点是否真正发挥作用;
(三) 重新执行有关内部控制。符合性测试可运用检查、询问、现场观察、
穿行测试等方法。审计人员应当根据内部控制的性质及其执行的时
5
� 间和频率,合理确定符合性测试的性质、时间和范围。
第二十一条 对内部控制执行情况进行符合性测试后,综合分析被审计单位内部控制的
健全性和有效性,提出内部控制测评结果,并据此确定实质性测试的范围、
重点和方法。
第二十二条 测试内部控制的健全性。依据授权原则、效益性原则,检查评价内部控制
健全性,并考虑以下因素:控制措施是否存在;控制程序是否具备可操作
性;是否存在失控环节,失控的性质和原因、影响;内部控制的局限性。
第二十三条 测试内部控制的有效性。在健全性测试基础上进行符合有效性测试,可采
取检查、监盘、观察、计算、分析性复核、查询及函证等审计方法,测试
有关经济业务活动的运行与相关内部控制的符合程度,评价控制措施是否
得到贯彻执行,是否达到预期目标;是否存在不遵循内部控制制度处理业
务的重大事项,有无因制度失控而造成重大经济损失或资产严重流失等事
项。
第二十四条 在评价内部控制健全性和有效性时,应当考虑内部控制的固有限制。
(一) 内部控制的设置和运行受制于成本效益原则;
(二) 内部控制一般仅针对常规业务活动而设置;
(三) 即使是设置完善的内部控制,也可能因有关人员的疏忽、误解和判
断错误、相互勾结、内外串通而失效;
(四) 内部控制可能因执行人员滥用职权或屈从于外部压力而失效;
(五) 内部控制可能因经营环境、业务性质的改变而削弱或失效。
第二十五条 综合评价内部控制。评价内部控制设置的适用性、健全性、合理性以及控
制的有效性,能否保证经营目标的实现和规范化管理。
(一) 评价内部控制的适用性、科学性,即内部控制是否有利于促进本单
位发展,有利于推进管理创新和技术创新,增强企业的核心竞争力;
(二) 披露各项控制措施存在的缺陷,对相应的业务系统内部控制的影响,
揭示面临的风险和可能产生的后果;
(三) 对内部控制的健全性、有效性进行整体的分析与评价,针对内部控
制存在的缺陷、薄弱环节,提出加强和完善的建议。
6
�第二十六条 遵循全面性原则、重要性原则、合法性原则、制衡性原则、适时性原则、
成本效益原则。在评价特定内部控制未得到遵循的风险时,审计人员应当
考虑以下因素:
(一) 交易数量和性质发生的变化,以及对特定内部控制的设计和执行产
生的不利影响;
(二) 内部控制发生的变化;
(三) 特定内部控制的复杂程度;
(四) 特定内部控制对其他内部控制有效性的依赖程度;
(五) 执行或监控内部控制的关键人员发生变动。
第二十七条 审计人员对内部控制进行评价时选择适当的标准:应选择组织已有的标准,
如果认为已有标准不合适,应向适当的管理层报告;如果管理层没有制定
合适的标准,审计人员可以基于组织利益最大化的原则选择适当的评价标
准。
第二十八条 审计人员应将对被审计单位内部控制调查、测试和评价的过程及结果与被
审计单位进行沟通,征求被审计单位的意见。
第四章 内部控制审计报告
第二十九条 内部审计机构应当按照企业内部审计工作程序报告内部控制审计结果,出
具内部控制审计报告(如作为其他审计项目的一个程序时,可将结果在有关
审计工作底稿或审计报告中予以反映),并附被审计单位对审计报告的反馈
意见。
审计报告主要包括以下内容:
(一) 审查和评价内部控制的目的、范围、依据、主要实施程序;
(二) 对内部控制的评价;
(三) 审计意见及改善内部控制的建议。
第三十条 内部控制审计报告应当披露在审计中发现的内部控制缺陷,分析缺陷的性
质和产生的原因,提出整改意见或建议;对发现的内部控制重大缺陷或存
7
� 在重大风险,采取适当的形式及时向董事会(或权力机构)报告,提出追究
相关责任单位或者责任人责任的建议。对内部控制比较健全有效的单位,
提出表扬和奖励的建议。
第三十一条 内部审计人员应根据审计报告中反映的问题进行后续审计,并撰写落实情
况报告,对被审计单位的整改措施进行评价。
第三十二条 年度终了,审计机构应对本年度审计过程中发现的内部控制的缺陷及异常
事项、相应的处理建议及整改情况进行总结,在审计机构工作报告里专题
陈述。
第五章 奖罚
第三十三条 被审计单位应对内部控制的健全性和有效性负责,对所提供资料的真实性、
完整性负责。被审计单位内部控制程序出现严重缺陷和出现重大违反国家
财经法纪的行为,应按照规定依法追究被审计单位相关责任人的责任。
第三十四条 被审计单位拒绝、阻碍内部控制审计,或拒绝、拖延提供相关资料或证明
材料,提供虚假资料的,上级单位应当及时予以处理,给予通报批评、警
告及追究有关责任人行政责任;涉嫌犯罪的,依法移交司法机关处理。
第三十五条 审计人员利用职权谋取私利、玩忽职守、徇私舞弊、贪污受贿、泄露秘密
的,以及由于未履行职责出现重大审计事项错漏、对严重内控缺陷、重大
违纪、违法事项不披露的,应当给予行政或纪律处分,涉嫌犯罪的,依法
移交司法机关处理。
第三十六条 内部审计机构和审计人员为公司避免或挽回重大经济损失,提出的管理建
议被采纳后取得显著经济效益,公司应给予表彰和奖励。
第六章 附则
第三十七条 本制度由董事会负责解释。
第三十八条 本制度自下发之日起执行。
8
� 沪士电子股份有限公司董事会
二〇二〇年三月二十四日
9
�
