马应龙:内部控制评价办法2015-04-25
马应龙药业集团股份有限公司
内部控制评价办法
第一章 总则
第一条 为规范马应龙药业集团股份有限公司(以下简称:公司)内部控制评价工
作,及时查找、分析内部控制缺陷,并有针对性地督促落实整改,促进公司内控体系
的不断完善,根据财政部《企业内部控制基本规范》及配套指引,特制定本办法。
第二条 本办法所称内部控制评价,是指公司董事会和管理层对公司内部控制的
有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 本办法适用于马应龙药业集团股份有限公司,全资及控股子公司(以下简
称“所属子公司”)视需要结合自身实际状况制定相应的内部控制自我评价办法予以规范。
第四条 公司实施内部控制评价遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖集团本部及
所属子公司的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,着眼于风险,突出重点,
关注影响控制目标的高风险领域、重要业务单位、重大业务事项、关键控制环节和风
险点。
(三)客观性原则。评价工作应当准确的揭示经营管理的风险状况,如实反映内
部控制设计与运行的有效性。
(四)一致性原则。内部控制评价应当采用统一可比的评价方法和标准,保证评
价结果的可比性。
第五条 公司根据本办法规定的原则、组织保障、职责安排、内容、程序、方法
和报告形式,有序开展内部控制评价工作。
第二章 内部控制评价的组织机构和职责
� 第六条 公司董事会及其审计委员会负责领导本公司的内部控制评价工作,监事
会对董事会实施内部控制评价进行监督。公司经理层授权审计部承担内部控制评价的
具体组织实施任务,公司各职能部门及所属子公司(以下称“内控评价责任单位”)应逐级
落实内部控制评价责任。
第七条 公司董事会应对内部控制评价报告的真实性负责,董事会可通过审计委
员会来承担对内部控制评价的组织、领导、监督职责,主要包括:
(一) 审议和批准内部控制基本管理制度和规章;
(二) 审定内部控制重大缺陷及整改意见,视需要协调整改事项;
(三)听取、审议和批准公司内部控制评价报告。
第八条 公司监事会负责审议内部控制评价报告,对董事会建立与实施内部控制
进行监督。
第九条 公司经理层负责授权审计部具体组织实施内部控制评价工作,支持和配合
内部控制评价的开展,审阅评价方案并听取内部控制评价报告,对于评价中发现的问
题或报告的缺陷,按照董事会或审计委员会的整改意见采取有效措施予以整改。
第十条 审计部根据授权牵头成立内部控制评价工作小组(以下简称“评价工作小组”),
评价工作小组具体实施内部控制评价工作,其主要职责包括:
(一)负责拟定《内部控制评价办法》及配套的管理细则;
(二)拟定内部控制评价工作方案,组织实施内控测试和评价工作;
(三)提出内部控制缺陷及整改意见,与内控评价责任单位沟通,视情况向董事
会及审计委员会、经理层、监事会报告;
(四)根据年度内部控制评价结果编写内部控制评价报告,报送董事会审议;
(五)与外部审计师沟通,督促内控评价责任单位对内、外部内控评价过程中认
定的内部控制缺陷进行整改。
第十一条 内控评价责任单位是内部控制评价的参与单位及完成内控缺陷整改任
务的责任主体,其主要职责包括:
(一)负责本组织机构内部控制的建立健全和有效实施;
(二)负责成立内控小组,由负责人任组长,内部设置内控专员,组织本组织机
�构的内控自查、测试和评价工作;
(三)提供可靠信息资料配合评价工作小组进行内部控制测评和检查工作;
(四)根据评价工作小组提出的整改意见提出具体整改措施,及时完成各项缺陷
整改工作,并根据整改进度情况报送内部控制评价工作小组。
第三章 内部控制评价的依据和内容
第十二条 评价工作小组根据《企业内部控制基本规范》及应用指引、公司各项
内控管理制度,考虑公司自身的经营特点、业务模式以及风险管理要求、结合内部控
制的目标,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确
定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。具体内容包
括:组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、
资产管理、销售业务、研究与开发、工程项目、业务外包、财务报告、全面预算、合
同管理、内部信息传递、信息系统、对外担保、信息披露、对子公司的控制等内容。
第四章 内部控制评价的方法和程序
第十三条 内部控制评估和测试的方法主要包括:个别访谈法、调查问卷、专题
讨论、穿行测试、实地查验、抽样和比较分析等方法。评价成员在进行现场测试时应
综合运用,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具
体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第十四条 内部控制评价程序包括:制定评价工作方案、成立评价工作组、实施
现场测试和评价、汇总评价结果、编报评价报告等,主要分为四个阶段:
(一)准备阶段
1、制订评价工作方案。审计部应当根据公司内部监督情况和管理要求,分析企
业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,拟订评价工作
方案。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排等相关
内容。评价工作方案既以全面评价为主,也可以根据需要采用重点评价的方式。
2、组成内部控制评价工作小组。评价工作小组成员应当吸收公司内部相关机构
熟悉情况各部门人员参加,但评价组成员对本部门的内控评价工作应当实行回避。评
价工作小组成员应当具备独立性、业务胜任能力和职业道德素养。
� (二)实施阶段
1、了解被评价单位(业务)基本情况。充分沟通企业文化和发展战略、组织机构
设置及职责分工、领导层成员构成及分工等基本情况。
2、确定检查评价范围和重点。评价工作小组根据掌握的情况进一步确定评价范
围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分
工情况可以根据需要进行适时调整。
3、开展现场检查测试。评价工作小组根据评价人员分工,综合运用各种评价方
法进行现场检查测试,广泛收集被评价单位内部控制设计和运行有效性的证据,按要
求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定,评价
工作底稿应进行交叉复核签字。
(三)内部控制缺陷的认定、报告、整改阶段
1、内部控制缺陷的认定
内部控制评价工作小组应当编制内部控制缺陷认定汇总表,结合日常监督和专项
监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和
影响程度进行综合分析和全面复核,并按其影响程度分为重大缺陷、重要缺陷和一般
缺陷,提出认定意见,由评价工作小组组长审核确认,重大缺陷由董事会认定。
2、内部控制缺陷的报告
内部控制缺陷报告采取书面形式,可以单独报告,也可以作为内部控制评价报告
的一个重要组成部分。内部控制缺陷的报告途径:
(1)内部控制缺陷由评价工作小组组长审核确认后立即向内部控制缺陷责任单
位报告,并应定期(至少每年一次)向董事会及审计委员会、监事会报告,重大缺陷应
立即向董事会及审计委员会、监事会报告,并由董事会认定。
(2)存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之
上的情形,应当立即向董事会及审计委员会、监事会报告。
3、内部控制缺陷的整改和跟踪
(1)内控缺陷的整改要求
公司对于认定的内部控制缺陷,应当及时采取整改措施,切实将风险控制在可承
受度之内。
� 公司内部控制评价工作小组应当就发现的内部控制缺陷提出整改意见,评价工作
小组组长审核确认,重大缺陷的整改意见由董事会批准。
整改责任单位应在收到整改通知之日起进行整改,根据整改意见提出具体整改措
施并按规定的时间要求完成整改。
整改责任单位对于评价工作小组提出的内部控制一般缺陷、重要缺陷及整改意见
有异议的,报公司董事会认定。
(2)内控缺陷整改落实情况的跟踪
在整改过程中,整改责任单位应当与评价工作小组保持积极的沟通。同时,评价
工作小组应适时监督整改责任单位的整改情况,确保整改有效进行。
整改责任单位应当在内控缺陷整改运行一段时间后(一般为自整改之日起3个月),
向内控评价工作小组提交整改落实情况的书面报告。评价工作小组在收到整改责任单
位书面报告后,安排复查,确认缺陷整改完成情况,形成缺陷整改完成情况汇总表,
按缺陷报告途径对缺陷的整改完成情况进行报告。
(四)编制年度内部控制评价报告阶段
评价工作小组根据年度评价结果,以汇总集团本部及所属子公司内部控制缺陷及
整改完成情况为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控
制评价报告,报送公司董事会及审计委员会、监事会,由董事会最终审定后报送有关
监管部门。
第五章 内部控制缺陷的认定标准
第十五条 在内部控制评价中,按照内部控制缺陷成因或来源,内部控制缺陷包
括设计缺陷和运行缺陷。
设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,
即使正常运行也难以实现控制目标。
运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人
执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内
部控制缺陷。
第十六条 公司在内控评价工作中,应根据现场测试获取的证据,对内部控制缺
�陷进行初步认定,根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制
缺陷分为重大缺陷、重要缺陷和一般缺陷。
(一) 重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目
标。
(二) 重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但
仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及
内部控制的整体有效性,但也应当引起董事会、管理层的充分关注。
(三) 一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。
第十七条 按照具体影响内部控制目标的具体表现形式,还可以将内部控制缺陷
分为财务报告缺陷和非财务报告缺陷。
第十八条 内部控制缺陷认定标准包括定性标准和定量标准,定量标准即涉及金
额大小,公司一般按资产总额、销售收入及利润总额等的比率确定;定性标准,即涉
及业务性质的严重程度,可根据其直接或潜在负面影响的性质,影响的范围,影响的
程度等因素确定。
第六章 内部控制评价的结论
第十九条 内部控制评价的结论分为设计有效性和运行有效性两个方面。
(一) 设计有效性
设计有效性是指为实现控制目标所必需设置的控制措施设计适当并投入实施。设
计有效性的评估结果分为四种:有效、部分有效、无效和不适用。
1、有效:控制活动的设计能够完全满足控制目标。
2、部分有效:控制活动的设计不能完全满足(即部分满足)控制目标。
3、无效:未针对控制目标设计相关的控制活动。
4、不适用:无控制目标相关的业务事项。
(二) 运行有效性
运行有效性是在控制活动设计有效的前提下,得到持续有效的运行。运行有效性
的评估结果分为三种:有效、无效和不适用。
1、有效:控制活动得到持续有效的执行。
� 2、无效:控制活动未持续有效地执行,或者经理层突破规定的权限执行控制活
动。
3、不适用:评估期间或测试期间内无相关业务事项发生,故该控制活动没有发
生。
第七章 内部控制评价报告
第二十条 公司内部控制评价工作小组负责根据年度内部控制评价结果,结合内
部控制评价工作底稿和内部控制缺陷汇总表以及缺陷整改完成情况汇总表等资料,及
时编制内部控制自我评价报告。内部控制评价报告至少应当披露下列内容:
(一)董事会对内部控制报告真实性的声明。声明董事会及全体董事对报告内容
的真实性、准确性、完整性承担责任,保证报告内容不存在任何虚假记载、误导性陈
述或重大遗漏。
(二)内部控制评价工作的总体情况。明确公司内部控制评价工作的组织、领导
体制、进度安排,是否聘请会计师事务所对内部控制有效性进行独立审计。
(三)内部控制评价的依据。说明公司开展内部控制评价工作所依据的法律法规
和规章制度。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。描述适用本公司的内部控制缺陷具体认定标
准,并声明与以前年度保持一致或做出的调整及相应原因;根据内部控制缺陷认定标
准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。对于评价期间发
现、期末已完成整改的重大缺陷,说明公司有足够的测试样本显示,与该重大缺陷相
关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷,公司拟采取的整
改措施及预期效果。
(八)内部控制有效性的结论。对不存在重大缺陷的情形,出具评价期末内部控
制有效结论;对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重
大缺陷的性质及其对实现相关控制目标的影响程度,可能给公司未来生产经营带来相
关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的,
�董事会秘书处须责成评价工作小组予以核实,报董事会认定,并根据核查结果对评价
结论进行相应调整,说明董事会拟采取的应对措施。
第二十一条 内部控制自我评价报告应当报经董事会审议批准后对外披露。
第二十二条 公司以12月31日作为年度内部控制自我评价报告的基准日。内部控
制自我评价报告应于基准日后4个月内与内部控制审计报告同时报出。公司内部控制
评价工作小组需关注自内部控制自我评价报告基准日至内部控制自我评价报告发出
日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进
行相应调整。
第八章 附则
第二十三条 内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保
管,年度报告应永久保存。
第二十四条 内控评价中有关奖惩依据《内控管理绩效考核细则》执行。
第二十五条 本办法自公布之日起执行,由审计部负责解释。
�
