上海机电:内部控制评价手册2013-04-25
上海机电股份有限公司
内部控制评价手册
� 目 录
第一章 概述 ....................................................... 1
一、目的............................................................ 1
二、相关参考文件.................................................... 1
三、定义............................................................ 2
第二章 内部控制评价的原则及内容 .................................... 2
一、内部控制评价的原则.............................................. 2
二、内部控制评价的内容.............................................. 2
第三章 内部控制评价的机构职责 ...................................... 3
一、董事会或审计委员会.............................................. 3
二、管理层.......................................................... 3
三、内控部.......................................................... 4
四、各职能部门...................................................... 4
第四章 内部控制评价的工作程序 ...................................... 5
一、制定工作方案.................................................... 5
二、组建评价工作组.................................................. 5
三、评价实施........................................................ 5
四、编制内部控制评价报告............................................ 7
五、文档保管........................................................ 8
第五章 附则 ....................................................... 8
� 第一章 概述
一、目的
为规范上海机电股份有限公司(以下简称“机电股份”或“公司”) 内部
控制评价程序和评价报告,统一内部控制评价标准,提高内部控制评价水平,
促进公司内部控制体系不断完善,特制定本手册及配套指引。
本手册及配套指引遵循了国资委、财政部、证券监督管理机构关于建立企
业全面风险管理和完善企业内控体系的相关要求,即:
《企业内部控制基本规范》第六条:企业应当根据有关法律法规、本规范
及其配套办法,制定本企业的内部控制制度并组织实施。
《企业内部控制评价指引》第四条:企业应当根据本评价指引,结合内部
控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、
内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任
制,按照规定的办法、程序和要求,有序开展内部控制评价工作。企业董事会
应当对内部控制评价报告的真实性负责。
《上海证券交易所上市公司内部控制指引》第三条:在本所上市的公司应
当按照法律、行政法规、部门规章以及本所股票上市规则的规定建立健全内部
控制制度,保证内控制度的完整性、合理性及实施的有效性,以提高公司经营
的效果与效率,增强公司信息披露的可靠性,确保公司行为合法合规。
二、相关参考文件
国资委《中央企业全面风险管理指引》
财政部《企业内部控制基本规范》
财政部《企业内部控制评价指引》
上交所《上海证券交易所上市公司内部控制指引》
1
� COSO《内部控制-整合框架》
国家其他法律法规
三、定义
内部控制评价是指公司董事会对内部控制的有效性进行全面评价、形成评
价结论、出具评价报告的过程。
第二章 内部控制评价的原则及内容
一、内部控制评价的原则
全面性原则 :评价覆盖范围应当全面,包括内部控制的设计与运行,涵盖
公司本部各种业务和事项。
重要性原则 :在全面评价的基础上,要坚持风险导向原则,重点关注重要
业务单位、重大业务事项和高风险领域。
客观性原则 :评价工作要准确揭示公司经营管理的风险状况,如实反映内
部控制设计与运行的有效性。
二、内部控制评价的内容
本手册及配套指引之评价内容为上海机电股份有限公司内部控制体系。该
体系参照《企业内部控制基本规范》及其配套指引、《中央企业全面风险管理
指引》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市
公司内部控制指引》以及《COSO 企业风险管理整合框架》的要求建设,包括
内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面:
1、内部环境。包括公司治理、组织结构、战略管理、人力资源政策、企业
文化、社会责任及内部审计等内容。
2
� 2、风险评估。包括日常经营管理过程中的目标设定、风险识别、 风险分
析、风险评价、风险应对等方面。
3、控制活动。包括公司各类业务的控制措施,流程的设计有效性和运行有
效性。
4、信息与沟通。包括反舞弊机制的健全性,信息报告与披露的有效性,信
息收集、处理和传递的及时性等方面。
5、内部监督。包括日常监督、专项监督、内部控制评价和缺陷报告与跟踪
机制的健全性、有效性,内部监督运行情况与结果的沟通,内部控制缺陷评估
的客观性、合理性,监督整改措施的及时性、有效性。
第三章 内部控制评价的机构职责
一、董事会或审计委员会
负责审议批准《上海机电股份有限公司内部控制评价手册》(简称“内控
评价手册”)并予以发布;
负责公司内部控制评价工作的组织、领导和监督,对内部控制评价承担最
终责任;
负责审定公司内部控制评价方案,认定内部控制重大缺陷;
定期听取内部控制检查监督工作报告,对评价过程中遇到的困难,积极协
调, 排除障碍;
负责审议年度内部控制评价报告初稿,批准通过后予以发布和披露。
二、管理层
根据内控评价手册,审议《上海机电股份有限公司内部控制评价手册配套
指引》(简称“配套指引”),批准后发布;
3
� 负责对内控评价工作组提交的测试结果进行讨论分析,按照规定程序和标
准对内控缺陷的性质进行评估;
负责监督公司内部控制缺陷的整改情况。
三、内控部
负责编制《上海机电股分有限公司内部控制评价手册》及其配套指引初稿;
负责每年拟定内部控制评价工作方案并组织实施;
根据公司内部控制制度,对内部控制设计与运行的有效性进行监督检查及
全面评价;
对评价中发现的内部控制缺陷,按照本手册规定程序进行报告;对于重大
问题,有权直接向董事会或审计委员会汇报;
汇总评价结果,编写内部控制检查监督工作报告及年度内部控制评价报告
初稿;
协调、沟通外部审计师的内部控制审计工作;
跟踪各职能部门对内部控制缺陷的整改情况,评价缺陷整改进度与效果。
四、各职能部门
按照公司内控评价手册及其配套指引的规范和要求,积极支持和配合公司
的内部控制评价工作;
对评价中发现的内部控制缺陷,及时制定整改方案及具体整改计划并积极
落实。
4
� 第四章 内部控制评价的工作程序
一、制定工作方案
内控部每年年初制定内部控制评价工作方案,明确评价范围、工作任务、
人员组织、进度安排和费用预算等相关内容,报经董事会或审计委员会审批后
实施。实施过程中的重大工作方案调整应及时报董事会或审计委员会批准。
内控部也可根据实际情况,提议委托中介机构实施内部控制评价。但企业
所选择的提供内部控制评价服务的中介机构不得与提供内部控制审计服务的中
介机构相同。
二、组建评价工作组
内控部根据经批准的评价方案,向各部门下发内部控制自我评估工作通知,
从各部门抽调熟悉情况的业务骨干组成内部控制评价工作组,具体实施内部控
制评价工作。内控部部长担任评价工作组总负责人。评价工作组成员对本部门
的内部控制评价工作应当实行回避制度。
内控部应给予评价工作组组员必要的培训与沟通,明确评估工作的具体方
法、时间安排、底稿编制要求等事项。
三、评价实施
1、评价工作组依据公司运营情况构建内部控制体系框架或模块,明确各流
程或模块的主责岗位。评价工作组组员查阅资料获取相关信息,编制访谈提纲,
并据此同相关岗位工作人员进行访谈,记录访谈过程,明确公司内部控制的管
理现状,其后整理成流程文件,并识别、提炼出流程中相应的控制点及该控制
点缺失可能造成的风险。
2、评价工作组测试人员根据内部控制评价依据和范围,按照穿行测试与控
制测试步骤和抽样标准开展测试工作。穿行测试主要针对内控梳理中所记录的
5
�流程描述内容是否正确,各环节是否按照其相关规定进行运行,是否存在控制
设计缺陷进行验证;控制测试可采用询问、观察、检查、重新执行等方法,针
对内控梳理中识别出的控制点抽取一定的经济业务样本进行测试。测试人员应
认真填写测试底稿、记录测试结果,并对发现的内部控制缺陷进行初步认定。
3、评价工作组组长或经其授权的人员负责复核测试人员的测试底稿,评价
工作组组长的测试底稿由其他授权人员负责复核,复核人员应在测试底稿上记
录复核意见并签名。对于存在问题的底稿,复核人员应在复核意见中加以说明,
并要求相关人员补充内容或修改底稿。
4、确认与评估内部控制缺陷
(1)依据内部控制评价标准和企业内部管理制度,评价工作组对现场测试
中发现的各类问题进行研究和确定,汇总测试结果,初步形成发现问题汇总表,
汇总表中应当明确各缺陷的成因、表现形式及影响程度。
(2)评价工作组就现场测试结果与被测试部门充分交换意见,被测试部门
对测试结果提出书面反馈意见,对被测试部门持有异议的内容,评价工作组应
进行研究核实,正式形成发现问题汇总表。
(3)评价工作组与被测试部门意见不一致时,由公司领导协调调查,以判
定缺陷存在的真实性。
(4)管理层对评价工作组提交的测试结果进行讨论分析,按照规定程序和
标准对内控缺陷的性质进行评估,其中重大缺陷应当由董事会予以最终认可。
5、缺陷整改跟踪
内部控制缺陷确认与评估工作完成后,内控部明确各缺陷整改主责部门与
整改涉及部门,涉及部门应当听取主责部门统一调配,内控部同时明确的还应
当包括缺陷整改完成的截止日期。以上事项报公司领导批准后,各部门负责拟
定本部门缺陷整改的方案与计划,明确整改方法、整改时间安排、整改责任人
等事项。内控部应当跟踪各部门缺陷整改情况,并将整改结果定期向公司领导
6
�和审计委员会汇报。整改完成后,内控部应当就整改效果执行再测试,确认整
改成果。
公司具体内部控制评价实施办法见《上海机电股份有限公司内部控制评价
手册配套指引》。
四、编制内部控制评价报告
1、内部控制评价报告的内容
公司内部控制评价报告的格式与内容应按照外部监管要求进行编制,一般
包括以下几项内容:
(1)董事会对内部控制评价报告真实性的声明。
(2)内部控制评价工作的总体情况。描述评价工作的目标、组织机构、工
作内容、时间进度等。
(3)内部控制评价的依据。描述内部控制评价所参照的规范和制度文件。
(4)内部控制评价的范围。描述内部控制评价所涵盖的业务流程或模块。
评价范围若有重大遗漏,应说明原因,及其对评价报告真实完整性产生的影响
等。
(5)内部控制评价的程序和方法。描述内部控制评价工作程序,以及评价
过程中采用的主要方法。
(6)内部控制缺陷及其认定情况。描述公司采用的内部控制缺陷评估标准,
评价中发现的内控缺陷及其严重程度,并对重大缺陷内容进行详细描述。
(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。描述本年度、
以前年度发现的内控缺陷的整改情况,以及已经取得的效果;对报告期末仍存
在的重大缺陷,进一步说明拟采取的整改措施和具体整改计划。
(8)内部控制有效性的结论。说明公司报告期内是否存在重大缺陷,若存
在重大缺陷,应进一步描述该缺陷的性质、对相关控制目标的影响程度以及可
能会对公司未来经营带来的风险;若评价报告基准日至报告发出日之间发生对
7
�评价结论产生实质性影响的内部控制重大变化,应进一步描述该变化对评价结
论的影响及董事会拟采取的应对措施。
2、内部控制评价报告的编制与报送
内控部根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控
制发现问题汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报
告初稿。
内部控制评价报告初稿经董事会批准定稿后,才能对外披露或报送有关部
门。
公司应当以 12 月 31 日作为年度内部控制评价报告的基准日。内部控制评
价报告应于基准日后 4 个月内报出。内部控制审计报告应当与内部控制评价报
告同时对外披露或报送。
五、文档保管
需归档管理的文档记录包括内部控制评价程中形成的通知、工作方案、测
试底稿、发现问题汇总表、评价报告等文件资料。内控部参照《审计工作底稿》
的要求对文件资料进行分类汇总、整理归档。
第五章 附则
一、本手册自上海机电股份有限公司董事会批准之日起施行。
二、本手册由上海机电股份有限公司内控部负责解释。
三、 公司内部控制评价具体实施细则见《上海机电股份有限公司内部控制
评价手册配套指引》。
8
�
