中原高速:内部控制评价制度2013-10-25
河南中原高速公路股份有限公司
内部控制评价制度
第一章 总 则
第一条 为规范河南中原高速公路股份有限公司(以下简称“公
司”)内部控制评价工作,及时发现公司内部控制缺陷,提出和实施
改进方案,确保内部控制有效运行,根据国家有关法律法规和《企业
内部控制基本规范》及《企业内部控制评价指引》,制定本制度。
第二条 本制度所称内部控制评价,是指由公司董事会对公司内
部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
内部控制有效性是指公司建立与实施内部控制能够为控制目标
的实现提供合理的保证。
第三条 公司实施内部控制评价,应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,
并涵盖公司及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重
要业务单位、重大业务事项和高风险领域。在制订和实施评价工作方
案、分配评价资源的过程之中,应当坚持风险导向的原则,着重关注
那些影响内部控制目标实现的高风险领域和风险点;坚持重点突出的
思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业
务单位。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状
1
�况,如实反映内部控制设计与运行的有效性。
(四)及时性原则。评价工作应当在规定的时间内做出评价结论,
并在整改期内及时整改缺陷,评价结论应当基于评价报告基准日及时
反映内部控制的重大变化。
(五)一致性原则。评价工作组织、评价程序、方法、缺陷认定
标准等一经确定,应当在不同的评价期间保持相对一致,保证评价结
果的可比性。
(六)独立性原则。内部控制评价机构的确定及评价工作的组织
实施应当保持相应的独立性。
(七)成本效益原则。内部控制评价应当以适当的成本实现科学
有效的评价。
第四条 董事会及其审计委员会负责领导本公司的内部控制评
价工作,对内部控制评价报告的真实性负责。公司监事会对董事会实
施内部控制评价进行监督。内部审计部门负责组织和实施内部控制评
价工作。
第五条 公司内部控制评价,包括年度评价和专项评价。
年度评价是指公司根据内部控制目标,对公司会计年度建立与实施
内部控制的有效性进行的评价;专项评价是指公司在特定时点对特定范
围的内部控制的有效性进行的评价。
第二章 内部控制评价内容与范围
第六条 公司围绕与实现整体控制目标相关的内部环境、风险评
2
�估、控制活动、信息与沟通、内部监督等内部控制要素,确定内部控
制评价的具体内容,对内部控制设计与运行情况进行全面系统、有针
对性的评价。
第七条 实施内部控制评价,包括对内部控制设计有效性和运行
有效性的评价。
内部控制设计有效性是指为实现控制目标所必需的内部控制要
素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照
规定程序得到了正确执行。
第八条 内部审计部门对内部控制的有效性进行评价时,应涉及
下列内容:
(一)内部控制是否在风险评估的基础上涵盖了公司层面的风险
和所有重要的业务流程层面的风险。
(二)内部控制设计的方法是否适当,内部控制建设的时间进度
安排是否科学、阶段性工作要求是否合理。
(三)内部控制设计和运行的组织是否有效,人员配备、职责分
工和授权是否合理。
(四)是否开展内部控制自查并上报有关自查报告。
(五)是否建立有利于促进内部控制各项政策措施落实和问题整
改的机制。
(六)在评价期间是否出现过重大风险事故等。
第九条 内部控制评价范围的确定应当遵循风险导向、自上而下
的原则来确定需要评价的分、子公司、重要业务单元、重点业务领域
3
�或流程环节。
第三章 内部控制评价程序、方法
第十条 公司内控自我评价应当以日常监督(自查)、专项监督审
计、年度综合自我评价三种方式分别展开。年度综合自我评价制定评
价工作方案、组成评价工作组、实施现场检查测试、认定控制缺陷、
提出整改意见、落实整改完成情况、汇总评价结果、编报评价报告等
程序开展内部控制评价。
第十一条 内部审计部门根据公司整体控制目标,制定内部控制
评价工作方案,明确评价目的、范围、组织、标准、方法、进度安排
和费用预算等内容,报董事会或其授权机构审批。
第十二条 内部审计部门根据审批通过的评价方案组织实施内
部控制评价工作,通过适当的方法收集、确认、分析相关信息,确定
与实现整体控制目标相关的风险及细化控制目标,并在此基础上识别
与细化控制目标相对应的控制活动,然后针对控制活动进行必要的测
试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,
按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺
陷。
第十三条 内部控制评价测试的方法主要包括:
(一)个别访谈法。是指根据检查评价需要,对被检查单位员工
进行单独访谈,以获取有关信息。
(二)调查问卷法。是指设置问卷调查表,分别对不同层次的员
4
�工进行问卷调查,根据调查结果对相关项目作出评价。
(三)比较分析法。是指通过分析、比较数据间的关系、趋势或
比率来取得评价证据的方法。
(四)标杆法。是指通过与组织内外部相同或相似经营活动的最
佳实务进行比较而对控制设计有效性评价的方法。
(五)穿行测试法。是指通过抽取一份全过程的文件,来了解整
个业务流程执行情况的评价方法。
(六)抽样法。是指针对具体的内部控制业务流程,按照业务发
生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务
样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有
效性作出评价。
(七)实地查验法。是指对财产进行盘点、清查,以及对存货出、
入库等控制环节进行现场查验。
(八)重新执行法。是指通过对某一控制活动全过程的重新执行
来评价执行情况的方法。
(九)专题讨论会法。是指通过召集与业务流程相关的管理人员
就业务流程的特定项目或具体问题进行讨论及评价的一种方法。
第十四条 根据通过评价测试获取与内部控制有效性相关的证
据,判断相关控制的设计与运行是否有效。在判断内部控制设计与运
行有效性时,考虑下列因素:
(一)是否针对风险设置了合理的细化控制目标。
(二)是否针对细化控制目标设置了对应的控制活动。
5
� (三)相关控制活动是如何运行的。
(四)相关控制活动是否得到了持续有效的运行。
(五)实施相关控制活动的人员是否具备必要的授权和专业胜任
能力。
第十五条 充分评估下列因素导致内部控制失效的风险:
(一)控制活动的类型,一般包括人工控制和自动控制、预防性
控制和发现性控制等。
(二)控制活动的复杂性,通常与企业组织结构、市场环境、经
营规模、人员素质等相关。
(三)管理层凌驾内部控制的风险。
(四)实施控制活动所需要的职业判断的程度。
(五)控制活动所针对风险事项的性质及其重要性。
(六)一项控制活动对其他控制活动有效性的依赖程度。
第十六条 及时记录开展内部控制评价工作的方法和程序,并以
适当形式妥善保存相关证据。
第四章 内部控制缺陷认定标准
第十七条 在内部控制评价中,应对内部控制缺陷进行分类分
析。内部控制缺陷一般可分为设计缺陷和运行缺陷。
(一)设计缺陷是指缺少为实现控制目标所必需的控制,或现存
控制设计不适当、即使正常运行也难以实现控制目标。
(二)运行缺陷是指设计有效(合理且适当)的内部控制由于运
6
�行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间
或频率不当,没有得到一贯有效运行等)而形成的内部控制缺陷。
第十八条 根据内部控制缺陷影响整体控制目标实现的严重程
度,将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重
偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济
后果低于重大缺陷,但仍有可能导致企业偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
第十九条 公司在确定内部控制缺陷的认定标准时,应当充分考
虑内部控制缺陷的重要性及其影响程度。按照内部控制缺陷对财务报
告目标和其他内部控制目标实现影响的具体表现形式,区分财务报告
内部控制缺陷和非财务报告内部控制缺陷。财务报告内部控制缺陷认
定标准直接取决于该内部控制缺陷的存在可能导致的财务报告错报
的影响程度,非财务报告内部控制缺陷认定取决于对除财务报告目标
之外的其他目标实现的影响程度。公司对财务报告内部控制缺陷认定
与非财务报告内部控制缺陷认定均制定了定量标准与定性标准,具体
认定标准如下:
(一)财务报告内控缺陷定量标准
如果该缺陷单独或连同其他缺陷可能导致利润总额潜在错报小
于利润总额的 5%或资产总额潜在错报小于资产总额的 0.3%,则认定
为一般缺陷;如果利润总额潜在错报大于等于利润总额的 5%、小于
7
�10%或资产总额潜在错报大于等于资产总额的 0.3%、小于 0.5%,则认
定为重要缺陷;如果利润总额潜在错报大于等于利润总额的 10%或资
产总额潜在错报大于等于资产总额的 0.5%,则认定为重大缺陷。
(二)财务报告内控缺陷定性标准
发生以下任一情形通常被认定为重大缺陷:发现管理层存在的任
何程度的舞弊;影响收益趋势的缺陷;影响关联交易总额超过股东大
会批准的关联交易额度的缺陷;外部审计发现的重大错报不是由公司
首先发现的;审计委员会和内部审计机构对内部控制的监督无效。
(三)非财务报告内控缺陷定量标准
如果该缺陷单独或连同其他缺陷可能导致的资产损失金额大于
10 万元但小于 3000 万元,则认定为一般缺陷;如果产生资产损失金
额大于 3000 万元(含 3000 万元)但小于 5000 万元,则认定为重要缺
陷;如果大于 5000 万元(含 5000 万元),则认定为重大缺陷。
(四)非财务报告内控缺陷定性标准
如果公司受到省级(含省级)以下政府部门处罚但未对本公司定
期报告披露造成负面影响,认定为一般缺陷;如果受到国家政府部门
处罚但未对本公司定期报告披露造成负面影响,认定为重要缺陷;如
果受到国家政府部门处罚,已经对外正式披露并对本公司定期报告披
露造成负面影响,缺乏决策程序或决策程序不科学导致重大失误,重
要业务缺乏制度控制或制度系统性失败,或者内部控制评价确认的重
大或重要缺陷未得到整改,则认定为重大缺陷。
第二十条 公司可以根据被评估的整体控制目标的不同和风险
8
�承受能力的变化,适当调整内部控制缺陷认定标准,但必须报董事会
批准,并对外进行披露。
第五章 评价报告
第二十一条 审计部负责汇总内部评价缺陷清单,并对各内控责
任单位下发整改通知,经过整改跟踪检查,发现整改不及时并影响公
司内部控制有效性结论的,追究内控责任人的相关责任。
第二十二条 内部审计部门根据评估结果和经核实的证据,结合
年末控制缺陷的整改结果,对内部控制缺陷及其成因、表现形式和影
响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向
董事会、监事会报告,并通报管理层。重大缺陷由董事会予以最终认
定。
第二十三条 审计部依据审批通过的内部控制缺陷认定结果编
制年度内部控制评价报告。内部控制评价报告应当分别对内部环境、
风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内
部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的
结论等相关内容作出披露。
内部控制评价报告一般应当包括下列内容:
(一)董事会声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
9
� (五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定。
(七)内部控制缺陷的整改情况。
(八)内部控制有效性的结论。
第二十四条 内部控制评价报告应当报经董事会批准后对外披
露。
在评价报告中应关注财务报表日之后至内部控制评价报告报出
日发生的、可能影响内部控制目标有效性的因素,并根据其性质和影
响程度对评价结论进行相应调整。
公司应当以 12 月 31 日作为年度内部控制评价报告的基准日。
内部控制评价报告应于基准日后 4 个月内报出,并与内部控制
审计报告同时对外披露或报送。
第二十五条 内部审计部门定期对内部控制整体有效性进行评
价、出具评价报告,向董事会、监事会报告,并通报管理层内部控制
设计与运行环节存在的主要问题以及将要采取的整改措施。
第二十六条 公司董事会和管理层将内部控制评价报告作为进
一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。
对于内部控制评价报告中列示的控制缺陷,应当采取适当的措施
进行整改,并追究相关人员的责任。
管理层应当根据评价结论对相关单位、部门或人员实施适当的奖
励和惩戒。
10
� 公司建立内部控制评价工作档案管理制度。内部控制评价的有关
文件资料、工作底稿和证明材料等由审计部妥善保管。
第六章 附 则
第二十七条 本制度由公司审计部制定报董事会审议通过后实
施,修改时亦同。
第二十八条 本制度由公司审计部门负责解释。
第二十九条 本制度未尽事宜,按照国家有关法律、法规和《公
司章程》、《企业内部控制基本规范》的规定执行。
第三十条 本制度自公司董事会通过之日起执行。
11
�
