陕西中天火箭技术股份有限公司
             内部控制评价管理办法
                    第一章       总 则

    第一条   为规范内部控制评价工作，促进公司内部控制

不断完善并有效实施，有效揭示和防范风险，发现公司内部

控制的缺陷，确保内部控制有效运行，特制定本办法。

    第二条   本办法适用于公司，及公司全资子公司、控股

公司、拥有实际控制权的参股公司（以下统称“子公司”）。

    第三条   本制度所称内部控制评价，是指由公司董事会

和管理层实施的，对内部控制的有效性进行全面评价、形成

评价结论、出具评价报告的过程。

    内部控制有效性是指公司建立与实施内控能够为控制

目标的实现提供合理的保证程度。

    第四条 公司董事会负责内部控制的建立健全和有效实

施，审批内控评价报告，批准涉及内控重大缺陷、重要缺陷

的整改意见以及决定内控评价和检讨工作的合理性和充分

性等。董事会授权审计委员会负责内控评价工作安排、成果

审议和工作监督等事项。

    监事会对董事会实施的内部控制评价进行监督。

    第五条内部审计部负责组织和实施内部控制评价工作，

                             1
接受公司董事会审计委员会的直接领导并对董事会审计委

员会负责。

    第六条   公司实施内部控制评价，应当遵循下列原则：

    （一）全面性原则。评价范围应包括内部控制的设计与

运行的全过程，覆盖公司及所属公司的各种业务。

    （二）重要性原则。评价应结合风险控制的具体情况，

关注重点业务领域和关键控制环节。

    （三）客观性原则。评价以法律法规、规章制度、业务

流程的控制手持为准则，以事实为基础，如实反映业务风险

状况。

    （四）及时性原则。评价应按照规定的时间间隔持续进

行，当经营管理环境发生重大变化时，应及时进行再评价。

    第七条   内部控制评价包括年度评价和专项评价。

    年度评价是指根据内部控制目标，对公司某一年度建立

与实施内部控制有效性进行的评价。

    专项评价是指在特定时点对特定范围的内部控制有效

性进行的评价。

             第二章   内部控制评价的内容

    第八条   内部审计部作为公司内控评价部门，应当对与

实现整体控制目标相关的内部环境、风险评估、控制活动、

                          2
信息与沟通、内部监督等内部控制要素进行全面、系统、有

针对性的评价。

    （一）控制环境。指影响内部控制效果的各种综合因素。

控制环境是其他控制要素发挥作用的基础，直接影响到内部

控制的贯彻执行即内部控制目标的实现。控制环境一般包括

治理结构、机构设置及权责分配、内部审计、人力资源政策、

企业文化等。

    （二）风险评估。指对公司可能导致内部控制目标无法

实现的内、外因素进行评估，以确认这些因素的影响程度及

发生的可能性，其评估结果可协助公司制定必要的内部控制

制度。

    （三）控制活动。指协助管理层确保其指令已被执行的

政策或程序，主要包括：核准、验证、调节、复核、定期盘

点、记录核对、职能分工、保障资产安全及与计划、预算、

与前期效果的比较等内容。

    （四）信息及沟通。指与内部控制目标有关的财务及非

财务信息在公司内部与外部传递的准确及时性。

    （五）监督。指对内部控制的效果进行评估的过程，包

括评估控制环境是否良好，风险评估是否及时、准确，内部

控制活动是否适当、确实，信息及沟通系统是否良好顺畅等。

                           3
    第九条   公司实施内部控制评价，包括对内部控制设计

有效性和运行有效性的评价。

    内部控制设计有效性是指为实现控制目标所必需的内

部控制要素都存在并且设计恰当；内部控制运行有效性是指

现有内部控制按照规定程序得到了正确执行。

    第十条内控评价人员应实施适当的审查程序，重点审查

以下内容：

    （一）控制环境

    其审查重点为以下内容：

    1.经营活动的复杂程度；

    2.管理权限的集中程度；

    3.管理行为守则的健全性和有效性；

    4.管理层对逾越既定控制程序的态度；

    5.组织文化的内容及组织成员对此的理解与认同；

    6.法人治理结构的健全性和有效性；

    7.组织各阶层人员的知识与技能；

    8.组织结构和职责划分的合理性；

    9.重要岗位人员的权责相称程度及其胜任能力；

    10.员工聘用程序及培训制度；

    11.员工业绩考核与激励机制。

                          4
    （二）组织风险管理机制的健全性和有效性

    其审查重点为以下内容：

    1.可能引发风险的内外因素；

    2.风险发生的可能性和预计带来的后果；

    3.对抗风险的能力；

    4.风险管理的具体方法及效果。

    （三）控制活动的适当性、合法性、有效性

    其审查重点为以下内容：

    1.控制活动建立的适当性；

    2.控制活动对风险的识别和规避；

    3.控制活动对组织目标实现的作用；

    4.控制活动执行的有效性。

    （四）获取及处理信息的能力

    其审查重点为以下内容：

    1.获取财务信息、非财务信息的能力；

    2.信息处理的及时性和适当性；

    3.信息传递渠道的便捷与畅通；

    4.管理信息系统的安全可靠性。

    第十一条   内部审计部对被评价单位内部控制的有效

性进行评价，应当至少涉及下列内容：

                         5
    （一）被评价单位内部控制是否在风险评估的基础上涵

盖了公司层面的风险和所有重要的业务流程层面的风险。

    （二）被评价单位内部控制设计的方法是否适当，内部

控制建设的时间进度安排是否科学、阶段性工作要求是否合

理。

    （三）被评价单位内部控制设计和运行的组织是否有效，

人员配备、职责分工和授权是否合理。

    （四）被评价单位是否开展内部控制自查并上报有关自

查报告。

    （五）被评价单位是否建立有利于促进内部控制各项政

策措施落实和问题整改的机制。

    （六）被评价单位在评价期间是否出现过重大风险事故

等。

            第三章   内部控制评价的程序和方法

       第十二条   内控评价按照“统一领导，分级管理”的原

则进行，即公司董事会负责领导、公司内部审计部负责具体

组织和实施、公司各子公司负责本单位的内控评价工作。

       第十三条公司管理层和各部门及各子公司应负责组织

相关人员按检查评价部门的要求，积极配合并及时提供所需

的原始凭证、报表、操作规程和书面报告等文件资料。

                             6
    第十四条   内部控制评价程序一般包括：制定评价工作

方案、组成评价工作组、实施现场测试、认定控制缺陷、汇

总评价结果、编报评价报告等环节。

    第十五条内控评价的程序

    （一）内部审计部拟订内部控制评价工作方案，明确评

价范围、工作任务、人员组织、进度安排等相关内容。

    （二）内控评价工作组组织公司各相关部门、各子公司

按工作方案进行自查，编写自查评价报告。

    （三）公司各相关部门、各子公司将自查评价报告上报

内控评价工作组。

    （四）公司内控评价工作组通过实施现场检查对各相关

部门、各子公司自查评价报告进行审核确认和再评价。

    （五）内部审计部对再评价结果进行汇总分析，编写公

司年度内控评价报告，并上报审计委员会审阅。

    （六）公司审计委员会审议内控评价报告，对存在缺陷

和问题，以及提出的意见和措施予以研究并形成决议。

    （七）内部审计部将审计委员会审议后的内控评价报告

提交公司董事会审议并形成决议。

    （八）公司董事会在年度报告披露的同时，按规定披露

年度内控评价报告。

                          7
    第十六条   内部控制评估和测试的方法主要包括：

    （一）个别访谈法。根据评价需要，对被查单位员工进

行单独访谈，以获取有关信息。

    （二）调查问卷法。设置问卷调查表，对不同层次的员

工进行问卷调查，根据调查结果对相关项目作出评价。

    （三）比较分析法。通过分析、比较数据间的关系、趋

势或比率来取得评价证据的方法。

    （四）标杆法。通过与组织内外部相同或相似经营活动

的最佳实务进行比较而对控制设计有效性进行评价的方法。

    （五）穿行测试法。通过抽取一份全过程的文件，了解

整个业务流程执行情况的评估评价方法。

    （六）抽样法。针对具体的内部控制业务流程，按照业

务发生频率及固有风险的高低，从确定的抽样总体中抽取一

定比例的业务样本，对业务样本的符合性进行判断，进而对

业务流程控制运行的有效性作出评价。

    （七）实地查验法。公司对财产进行盘点、清查，以及

对存货出、入库等控制环节进行现场查验。

    （八）重新执行法。通过对某一控制活动全过程的重新

执行来评估控制执行情况的方法。

    （九）专题讨论会法。召集与业务流程相关的管理人员

                          8
就业务流程的特定项目或具体问题进行讨论及评估。

   第十七条       内部审计部通过采取上述适当的方法获取

与内部控制有效性相关的证据，并保证证据的充分性和适当

性。

    证据的充分性指获取证据的数量应当能合理保证相关

控制的有效性；证据的适当性指获取的证据应当与相关控制

的设计与运行有关，并能可靠地反映控制的实际运行状况。

   第十八条       内部审计部应根据所收集的证据，判断相关

控制的设计与运行是否有效。公司在判断内部控制设计与运

行有效性时，应当充分考虑下列因素：

    （一）是否针对风险设置了合理的细化控制目标。

    （二）是否针对细化控制目标设置了对应的控制活动。

    （三）相关控制活动是如何运行的。

    （四）相关控制活动是否得到了持续一致的运行。

    （五）实施相关控制活动的人员是否具备必需的权限和

能力。

   第十九条       内部控制评价机构应当根据评估结果和经

核实的证据，确认内部控制缺陷，出具评价结论，编制评价

报告，报送管理层和董事会审阅。

         第四章    内部控制缺陷的认定和评价报告

                             9
    第二十条   按照内部控制缺陷成因或来源，内部控制缺

陷分为设计缺陷和运行缺陷。

    设计缺陷是指缺少为实现控制目标所必需的控制，或现

存控制设计不适当、即使正常运行也难以实现控制目标。

    运行缺陷是指设计有效的内部控制由于运行不当（包括

由不恰当的人执行、未按设计的方式运行、运行的时间或频

率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。

    第二十一条   根据内部控制缺陷影响整体控制目标实

现的严重程度，将内部控制缺陷分为重大缺陷、重要缺陷和

一般缺陷。

    重大缺陷，是指一个或多个关键控制缺陷的组合，可能

导致公司严重偏离控制目标。当存在任何一个或多个内控控

制重大缺陷时，应当在内部控制评价报告中出具内部控制无

效的结论。

    重要缺陷，是指一个或多个重要控制缺陷的组合，其严

重程度低于重大缺陷，但仍有可能导致公司偏离控制目标。

重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制

整体有效性，但应当引起董事会、经营层的充分关注。

    一般缺陷，指不构成重大缺陷、重要缺陷的内部控制缺

陷。

                          10
    第二十二条         按照影响内部控制目标的具体表现形式，

内部控制缺陷分为财务报告缺陷和非财务报告缺陷。

    第二十三条         内部控制缺陷认定标准

    根据《内部控制基本规范》及评价指引，结合公司规模、

行业特征、风险水平等因素，确定适用公司的内部控制缺陷

具体认定标准：

    （一）财务报告内部控制缺陷的认定标准




                                           认定标准
缺陷等级
                 定量标准                             定性标准
                                    1.公司领导人员存在舞弊，财务报告有重大
                                    虚假记载、重大遗漏或者瞒报；
                                    2.外部审计监督发现公司当期财务报告存
           影响资产、营业收入、 在严重影响报告使用者正确判断的重大错
           利润总额的错报、漏报 报，而公司内部控制运行过程中未能发现该
  重大     金额，超过本公司资       错报；
           产、营业收入、利润总 3.内部审计监督部门对公司内部控制的监
           额的 2%以上。            督无效；
                                    4.严重违反会计法律法规和会计准则、行
                                    业财务制度，受到国家机关在行业以上范
                                    围内的通报、处罚。
                                    1.外部审计监督发现公司当期财务报告存
           影响资产、营业收入、
                                    在较为严重影响报告使用者正确判断的重
           利润总额的错报、漏报
                                    要错报，而公司内部控制运行过程中未能发
  重要     金额，超过本公司资
                                    现该错报；
           产、营业收入、利润总
                                    2.内部审计监督部门对公司内部控制的监
           额的 1%以上、小于 2%。
                                    督不到位；
                                      11
                                  3.违反会计法律法规和会计准则、行业财
                                  务制度，受到国资管理部门通报、处罚。
           影响资产、营业收入、
           利润总额的错报、漏报
                                  不构成重大缺陷、重要缺陷的其他定性内部
 一般      金额，低于本公司资
                                  缺陷。
           产、营业收入、利润总
           额的 1%以下。

    （二）非财务报告内部控制缺陷的认定标准


                                         认定标准
缺陷等级
                    定量标准                        定性标准

                                   1.严重偏离公司战略或经营目标，对战略
                                   或经营目标的实现产生严重负面影响；
                                   2.严重违反国家法律法规，已受到或可能
                                   受到司法机关或者省级以上监管机构的立
                                   案调查、处罚；
                                   3.发生后果严重的重大质量问题、安全环
           1.造成直接经济损失单
                                   保事故、失泄密事件；
           项超过1000万元以上；
                                   4.经营管理违法违规或者重要业务内控失
           2.造成直接经济损失单
 重大                              效引发重大纠纷或诉讼案件；
           项超过500万元以上，
                                   5.决策程序缺失或者不科学，导致重大失
           且对公司造成严重负面
                                   误或损失；
           影响。
                                   6.发生涉及公司的重大负面舆情或者负面
                                   新闻频现；
                                   7.重要业务缺乏制度控制或制度系统性失
                                   效；
                                   8.内部控制重大缺陷或者多项重要缺陷未
                                   在合理期限内得到整改。
           1.造成直接经济损失单 1.偏离公司战略或经营目标，对战略或经
           项超过500万元以上；     营目标的实现产生较大负面影响；
 重要
           2.造成直接经济损失单 2.违反国家法律法规、国资管理部门重要
           项超过100万元以上，     规章制度，已受到或可能受到国资管理部

                                    12
         且对公司造成较大负面 门内部通报、处罚；
         影响。                 3.发生后果比较严重的质量问题、安全环
                                保事故、失泄密事件；
                                4.经营管理违法违规或者重要业务内控不
                                到位引发重要纠纷或诉讼案件；
                                5.发生涉及公司未造成重大影响的负面舆
                                情；
                                6.决策程序缺失或者不科学，导致重要失
                                误或损失；
                                7.重要业务缺乏部分制度控制或制度部分
                                失效；
                                8.内部控制重要缺陷或者多项一般缺陷未
                                在合理期限内得到整改。
         不构成重大缺陷和重要
                                不构成重大缺陷和重要缺陷的其他定性内
  一般   缺陷的其他定量内部控
                                部控制缺陷。
         制缺陷。

    第二十四条      内部审计部负责编制内部控制缺陷认定

汇总表，结合日常监督和专项监督发现的内部控制缺陷及其

持续改进情况，对内部控制缺陷及其成因、表现形式和影响

程度进行综合分析和全面复核，提出认定意见，并向董事会

报告。重大缺陷应当由董事会予以最终认定。

    第二十五条      对于为实现单个或整体控制目标而设计

与运行的控制不存在重大缺陷的情形，公司应当认定针对这

些整体控制目标的内部控制是有效的。

    对于为实现某一整体控制目标而设计与运行的控制存

在一个或多个重大缺陷的情形，公司应当认定针对该项整体

控制目标的内部控制是无效的。
                                 13
       第二十六条   对于因业务流程外包等原因造成公司无

法评价特定业务、特定流程的内部控制有效性的情形，内部

控制评价机构应当充分考虑该项业务流程及其相关控制的

重要性，确定其对整体控制目标有效性评价的影响。

    第二十七条      内部控制评价报告至少应当包括下列内

容：

    (一)董事会对内部控制报告真实性的声明。

    (二)内部控制评价工作的总体情况。

    (三)内部控制评价的依据。

    (四)内部控制评价的范围。

    (五)内部控制评价的程序和方法。

    (六)内部控制缺陷及其认定情况。

    (七)内部控制缺陷的整改情况及重大缺陷拟采取的整

改措施。

    (八)内部控制有效性的结论。

       第二十八条内部控制评价报告报送公司经营班子审阅，

报送公司审计委员会审议，经公司董事会批准后对外披露或

报送相关部门。

    公司以 12 月 31 日作为年度内部控制评价报告的基准日，

内部控制评价报告应于基准日后 4 个月内报出。

                            14
    第二十九条        对董事会审议通过的评价报告中要求整

改的事项，内部审计部应进行追踪检查，对相关部门的整改

措施进行评估，并及时撰写落实情况报告报送董事会，同时

抄报监事会。

    第三十条        公司管理层和董事会应当根据评价结论对

相关单位、部门或人员实施适当的奖励和惩戒。

    第三十一条       在内部控制评价的实施过程中，评价人员

可以采用文字叙述、调查问卷、流程图等方法对内部控制进

行描述和评价，相关人员应编制工作底稿，整理并妥善保管。

                        第五章        附   则

       第三十二条    本办法自董事会批准之日起施行。

       第三十三条    本办法由内部审计部负责解释，本办法未

尽事宜，或本办法与本办法生效后颁布或修订的法律法规、

部门规章、规范性文件及《公司章程》的规定相冲突的，以

法律法规、部门规章、规范性文件及《公司章程》的规定为

准。




                                 15