九有股份:内部控制评价管理办法2016-11-15
深圳九有股份有限公司内部控制评价管理办法
第一章 总 则
第一条 为有效推动深圳九有股份有限公司(以下简称“公司”)内部控
制体系建设,指导和促进本部及子公司开展内部控制评价工作,规范内部控制评
价程序和评价报告,揭示和防范风险,根据财政部等五部委下发的《企业内部控
制基本规范》、《企业内部控制应用指引》及《企业内部控制评价指引》、《上
市公司内部控制指引》,结合《深圳九有股份有限公司风险管理办法》,制定本
办法。
第二条 本办法适用于公司及所属全资、控股子公司(所属全资、控股子
公司以下统称“子公司”)。子公司可结合本办法制定相应的实施细则。
第三条 本办法所称内部控制评价,是指公司内各单位对内部控制体系设
计的合理性、运行的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第四条 公司及所属子公司、部门应当结合工作开展情况,对为确保公司
战略、资产安全、经营合法合规等各项目标的实现所设置的内部控制进行评价。
第五条 内部控制评价应遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司
的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单
位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实
反映内部控制设计与运行的有效性。
(四)独立性原则。评价工作实施要保持相应独立性,评价结果应当有适
当的证据支持。
(五)适用性原则。评价结论应考虑各单位规模大小、业务复杂程度、内
控体系建设的进度等因素,保证评价结果的相对公平与客观。
第二章 内部控制评价的职责与分工
第六条 公司董事会承担对内部控制评价的领导职责,负责制定公司内部
1
�控制缺陷认定标准,审定内部控制重大缺陷并批准整改方案,审议批准年度内部
控制评价报告,并对报告的真实性负责。
第七条 公司董事会审计委员会负责审查和监督内部控制的有效实施,指
导和监督公司开展内部控制评价工作,审议公司年度内部控制评价报告和内部控
制重大缺陷及其整改方案,向董事会提出建议,并对董事会负责。
第八条 公司管理层负责组织开展内部控制评价工作,审定内部控制评价
方案、听取内部控制评价报告,组织整改内控评价中发现的问题和缺陷,协调、
解决内部控制监督整改部门在督促整改工作中遇到的困难。
第九条 公司内控评价部门根据授权负责公司内部控制评价工作的具体组
织实施。根据管理层的要求,拟订内部控制评价工作方案并按照方案组织实施,
编写公司年度内部控制评价报告。对于评价中发现的重大问题,及时向管理层报
告。制定内部控制评价中所发现的内部控制缺陷的整改方案,监督所属子公司、
部门对缺陷进行整改,并复核整改结果。
第十条 公司各部门负责实施本部门的内部控制自我评价工作,对发现并
确认的内部控制缺陷,提交内部控制评价部门汇总。内部控制评价部门向管理层
汇报后,统一制定整改方案,组织整改。
第十一条 子公司应明确内部控制评价部门,逐级落实内部控制评价责任,
建立日常监控机制,开展内部控制自我评价,发现、认定内部控制缺陷,制订整
改计划,并对内部控制缺陷实施整改。同时,配合公司开展内部控制评价工作,
向公司报送内部控制自我评价报告。
子公司董事会对本单位内部控制自我评价结果的真实性负责。
第十二条 公司及子公司也可以委托中介机构实施内部控制评价,但为本
单位提供内部控制审计服务的会计师事务所不得同时为本单位提供内部控制评
价服务。
第三章 内部控制评价的内容
第十三条 公司应当根据《企业内部控制基本规范》、应用指引以及本办
法,围绕与实现公司整体控制目标相关的内部环境、风险评估、控制活动、信息
与沟通、内部监督等要素,确定内部控制评价的具体内容,从内部控制设计有效
性和执行有效性两方面进行评价。
2
� 第十四条 公司组织开展内部环境评价,应当以公司治理、组织架构、发
展战略、授权管理、人力资源、企业文化等为重点,依据《企业内部控制基本规
范》相关规定和相应的应用指引,结合公司各项内部管理制度,对内部环境的设
计及实际运行情况进行认定和评价。
第十五条 公司组织开展风险评估评价,应当依照《企业内部控制基本规
范》有关风险评估的规定、公司《风险评估管理办法》以及各项应用指引中所列
主要风险,结合公司风险管理制度,对公司经营管理过程中的风险识别、风险分
析、风险应对策略等进行认定和评价。
第十六条 公司组织开展控制活动评价,应当以《企业内部控制基本规范》
及各项应用指引中的控制措施为依据,结合公司内部控制相关要求及本单位业务
特点,对相关控制措施的设计和运行情况进行认定和评价。
第十七条 公司组织开展信息与沟通评价,应当以《企业内部控制基本规
范》、《上市公司内部控制指引》的相关规定和内部信息传递、财务报告、信息
系统等相关应用指引为依据,结合公司内部管理制度和工作需求,对信息收集、
处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安
全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十八条 公司组织开展内部监督评价,应当以《企业内部控制基本规范》
有关内部监督的要求,结合公司有关内部监督制度规定,对内部监督机制的有效
性进行认定和评价,重点关注监事会、审计委员会、审计机构等是否在内部控制
设计和运行过程中有效发挥监督作用。
第四章 内部控制评价的程序与方法
第十九条 内部控制评价程序一般包括:制定评价工作方案、组成评价工
作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第二十条 公司内部控制评价工作由公司各部门及子公司分别开展。公司
内控评价部门负责组织和督导公司各部门开展内部控制自我评价。子公司内控评
价部门按照授权,负责组织实施本单位的内部控制自我评价。
第二十一条 公司及子公司内控评价部门应当结合各单位实际情况,按照
本办法制订内部控制评价工作方案,明确评价范围、工作任务、人员组织、进度
安排和费用预算等相关内容,报总经理办公会批准后实施。
3
� 子公司制订的内部控制评价工作方案应报公司内控评价部门备案。
第二十二条 公司及子公司内控评价部门根据经批准的评价工作方案,组
成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当由公司各
部门熟悉公司情况、业务能力强、参与内部控制工作的负责人或业务骨干参加。
工作组成员对本部门或单位的内部控制评价工作应当实行回避制度。
第二十三条 内部控制评价工作组根据内部控制评价工作方案组织实施评
价工作,通过适当的方法收集、分析相关信息,确定与实现整体控制目标相关的
风险及具体控制目标,辨识与具体控制目标相对应的控制活动。
工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、
专题讨论、穿行测试、实地查验、抽样和比较分析等方法,获取充分、可靠的证
据对内部控制设计和运行的有效性进行评价,并做出书面记录。
第二十四条 根据现场测试获取的证据,内部控制评价工作组对发现的内
部控制缺陷进行初步认定,结合日常监督和专项监督发现的内部控制缺陷及其持
续改进情况,对缺陷及其成因、表现形式和影响程度进行综合分析,根据缺陷认
定标准,提出认定意见,编制内部控制缺陷汇总表。
第二十五条 内部控制评价工作应当形成工作底稿,详细记录公司执行评
价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以
及认定结果等。
评价工作底稿应当设计合理、证据充分、简便易行、便于操作。所编制或填
写的工作底稿应当内容完整、格式规范、标识一致、记录清晰、结论明确。
第二十六条 内部控制评价工作组应当建立评价质量交叉复核制度,内部控
制评价工作组负责人应当对评价工作底稿进行严格复核,对所认定的评价结果签
字确认。
第二十七条 子公司应按照本办法规定的程序和方法,认真、有序开展内部
控制自我评价工作,编制本单位内部控制评价报告,经董事会审议、董事长签字
后报公司内部控制评价工作组。
第二十八条 公司内部控制评价工作组应对公司整体内部控制状况进行客
观评价,编制公司年度内部控制评价报告。
4
� 第五章 内部控制缺陷的认定与整改
第二十九条 内部控制缺陷按其类型分为设计缺陷和执行缺陷。
设计缺陷是指内部控制无设计、设计不科学、不适当,即使正常运行也难以
实现控制目标。
执行缺陷是指内部控制设计比较科学、适当,但在实际运行过程中没有严格
按照设计意图执行,导致内部控制运行与设计相脱节,未能有效实施控制、实现
控制目标。
第三十条 内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。
重要缺陷是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大
缺陷,但仍有可能导致公司偏离控制目标。
一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。
第三十一条 判断和认定内部控制缺陷是否构成重大、重要缺陷时应考虑下
列因素:
(一)影响整体控制目标实现的多个一般缺陷的组合是否构成重大、重要缺
陷;
(二)针对同一细化控制目标所采取的不同控制活动之间的相互作用;
(三)针对同一细化控制目标是否存在其他补偿性控制活动;
(四)是否在评价期间已经发生或者在可预见的期限内必然发生重大风险事
故。
第三十二条 公司内控缺陷认定标准应当区分财务报告与非财务报告,并制
定详细的定量与定性认定标准,标准应符合公司实际并具有可操作性。认定标准
一旦制定,应具有一定的延续性和稳定性,不得随意改动。
第三十三条 公司对内部控制缺陷的认定,应当以日常监督和专项监督为基
础,结合年度内部控制评价,由内控评价部门进行综合分析后提出认定意见,并
以适当的形式向董事会、监事会或者管理层报告。重大缺陷应当由董事会予以最
终认定。
第三十四条 对于认定的内部控制缺陷,由内控评价部门组织责任部门、
单位制订缺陷整改方案并及时整改。缺陷整改方案内容包括但不限于整改责任人、
5
�目标、内容、步骤、措施和期限等。
对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受
度之内。
第三十五条 公司及子公司应当建立内部控制缺陷整改机制,明确各管理
层级对缺陷整改的职责分工。
董事会(或董事会审计委员会)负责对重大缺陷的落实整改,接受监事会
的监督;
管理层负责对重要缺陷的落实整改,接受董事会的监督;
各部门负责对一般缺陷实施整改,接受管理层的监督。
内控评价部门负责组织、监督责任单位实施整改,汇总和编制内部控制缺
陷整改报告。
第三十六条 公司及子公司应当建立内部控制责任追究机制。对于内部控
制重大缺陷,需落实责任,由内控评价部门根据缺陷所造成损失的轻重和影响程
度,追究有关部门或相关人员的责任。
第六章 内部控制评价的结果与报告
第三十七条 公司内部控制评价结果分为四类:控制有效、基本有效、部
分有效、基本无效。
第三十八条 控制有效。被评价单位有健全的内部控制体系,在各个环节
均能有效执行内部控制措施,能对影响公司运营的各类风险进行有效识别和控制,
无明显的风险控制盲点,控制措施适宜,经营效果显著。
第三十九条 基本有效。被评价单位内部控制体系比较健全,在各个环节
能够较好执行内部控制措施,能对主要风险进行识别和控制,控制措施基本适宜,
经营效果较好。
第四十条 部分有效。被评价单位内部控制体系较差,内部控制体系不健
全或重要的内部控制措施没有严格贯彻执行,管理方面存在较大问题,经营效果
较差。
第四十一条 基本无效。被评价单位内部控制体系很差,内部控制体系存
在严重缺失或内部控制措施明显无效,存在明显的管理漏洞,经营业务失控,存
在重大内部控制缺陷。
6
� 第四十二条 公司应当根据内部控制评价结果,结合内部控制评价工作底
稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评
价报告。
第四十三条 内部控制评价报告应当对内部控制评价过程、内部控制缺陷
认定及整改情况、内部控制有效性的结论等内容做出披露。
内部控制评价报告至少应包括下列内容:
(一)董事会对内部控制评价报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的范围和依据。
(四)内部控制评价的程序和方法。
(五)内部控制缺陷及其认定情况。
(六)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(七)内部控制有效性的结论。
第四十四条 内部控制评价报告应当报经董事会批准后对外披露或报送相
关部门。
第四十五条 内部控制评价报告按照编制主体、报送对象和时间,分为对
内报告和对外报告。
对内报告的编制主体为各子公司,可以定期不定期编制,内容应以符合董
事会、管理层管理需要为主。
对外报告的编制主体为公司,一般为年度报告,编制基准日为每年的 12
月 31 日,编制内容、格式既要满足公司管理需要,更要符合外部监管和披露要
求。
第四十六条 公司编制的对外内部控制评价报告,应严格按规定时间和要
求对外披露,并报送有关监管部门。报告基准日至报出日之间发生影响内部控制
有效性的因素,应根据其性质和影响程度对评价结论进行相应调整。
子公司编制的年度内部自我评价报告,一般应于下一年度的 1 月 31 日前完
成,提交公司内控管理部门。
第四十七条 公司的内部控制自我评价,每年须经外部审计机构进行审计,
出具《内部控制评价鉴证报告》,同时公开披露《内部控制自我评价报告》。
7
� 第四十八条 公司应加强内部控制评价工作档案管理。内部控制评价的有
关文件资料、工作底稿和证明材料等应当妥善保管。
第七章 附 则
第四十九条 本办法由公司内控评价部门负责解释。
第五十条 本办法自董事会审议通过后实施。
深圳九有股份有限公司董事会
2016 年 11 月 14 日
8
�
