中远海发:中远海发内部控制管理办法2021-08-17
中远海运发展股份有限公司
内部控制管理办法
(经第六届董事会第四十次会议审议通过)
第一章 总则
第一条 为规范中远海运发展股份有限公司(以下简称
“公司”)内部控制工作,健全公司内部控制组织架构与职能,
明确内部控制工作目标、原则、内容与方法,建立健全内部
控制体系并推动其有效运行,提升公司风险防控能力,根据
财政部等五部委发布的《企业内部控制基本规范》(财会
〔2008〕7 号)及《配套指引》(财会〔2010〕11 号)、上交
1
所关于上市公司内部控制的有关规定 、香港交易所《主板上
市规则》及国资委、集团公司相关文件、管理办法等相关规
定,结合公司实际,制定本办法。
第二条 内部控制的定义
本办法所称内部控制,是指由公司董事会、监事会、管
理层和全体员工实施的、旨在实现控制目标的过程。
第三条 内部控制主要目标
公司内部控制的总体目标是合理保证公司经营管理合
法合规、资产安全、财务报告及相关信息真实完整,提高经
1
包括《上海证券交易所上市公司内部控制指引》(上证上字〔2006〕460 号)、《关于 2012 年主板上市公
司分类分批实施企业内部控制规范体系的通知》(财办会[2012]30 号)、《公开发行证券的公司信息披露编
报规则第 21 号——年度内部控制评价报告的一般规定》(2014 年发布)、《上市公司定期报告工作备忘录
第一号 年度内部控制信息的编制、审议和披露(2015 年 12 月修订)》等现有规定。
-1-
�营效率和效果,促进公司实现战略目标。
(一)合规目标。确保公司治理、经营管理、财务报告
等符合外部监管和内部规章制度的要求,促进内部控制整体
有效,各项经营管理活动合法合规。
(二)管理提升目标。建立、健全公司各项业务管理机
制和管控渠道,优化公司内部风险管控方法与程序,促进管
理水平持续提升,管理效率与效益不断提高。
(三)价值创造目标。通过强化内部控制,帮助企业提
升风险管理能力,减少风险损失、创造风险收益。
第四条 内部控制与风险管理的关系
内部控制管理是针对公司内部可控风险的有效防范体
系,主要聚焦在公司的运营和对于相关法律法规的遵从性,
是诸多风险应对方法中最核心的一种方法。
风险管理的范畴大于内部控制管理,风险管理还针对公
司外部的各种风险开展风险应对管理。
内部控制管理和风险管理是公司治理的有机组成部分,
内部控制是风险管理的重要组成部分。
第五条 公司建立与实施内部控制,应当遵循下列原
则:
(一)全面性原则:内部控制应当贯穿决策、执行和
监督全过程,覆盖公司及所属单位的各种业务和事项。
(二)重要性原则:内部控制应当在全面控制的基础
-2-
�上,关注重要业务事项和高风险领域。
(三)制衡性原则:内部控制应当在治理结构、机构
设置及权责分配、业务流程等方面形成相互制约、相互监
督,同时兼顾运营效率。
(四)适应性原则:内部控制应当与公司经营规模、
业务范围、竞争状况和风险水平等相适应,并随着情况的
变化及时加以调整。
(五)成本效益原则:内部控制应当权衡实施成本与
预期效益,以适当的成本实现有效控制。
第六条 公司建立和实施有效的内控管理时,应考虑以
下基本要素:
(一)内部环境
内部环境是公司实施内部控制的基础,包括治理结构、
机构设置及权责分配、战略规划制定、人力资源政策、公司
文化等。
(二)风险评估
风险评估是公司及时识别、系统分析经营活动中与实
现内部控制目标相关的内部风险和外部风险,结合风险承
受度,权衡风险与收益,合理确定风险应对策略。公司应
采用定性与定量相结合的方法,按照风险发生的可能性及
其影响程度等,对识别的风险进行评估和排序,确认公司
需重点关注和优先管理的风险,综合运用风险规避、风险
-3-
�降低、风险分担和风险承受等风险应对策略,按照全面风
险管理流程,实现对风险的有效控制。
(三)控制活动
控制活动是公司根据对公司治理、经营活动的风险评估
结果,通过手工控制与自动控制、预防性控制与发现性控制
相结合等方法,运用相应的控制措施,将风险控制在可承受
度之内。控制措施一般包括:不相容职务分离控制、授权审
批控制、会计系统控制、财产保护控制、预算控制、运营分
析控制和绩效考评控制等。
(四)信息与沟通
信息与沟通是公司及时、准确地收集、传递与内部控制
相关的信息,确保信息在公司内部、公司与外部之间进行有
效沟通。
(五)监督与评价
内部监督是公司对内部控制建立与实施情况进行监督
检查,评价内部控制的有效性,发现内部控制缺陷,应及时
加以改进。
第七条 日常内部控制体系建设是一个有机、完整的闭
环,包含体系规划、规章制度建设、流程执行、内控监督检
2
查、内控评价 、缺陷整改、体系完善等多个环节。
第八条 本办法适用于公司及所属单位,所属单位包括
2
本《办法》提及的内控评价或内部控制评价均指内部控制自我评价含义。
-4-
�公司各级全资、控股子公司以及其他有实际控制权的联营单
位等。公司事业部视同全资所属单位管理。各所属单位可根
据实际情况及相应监管要求,参照本办法制定适用于本单位
的内部控制管理制度,并向公司负责内控管理的部门备案。
第二章 内部控制管理机构和职责
第九条 公司董事会及其风险控制委员会、监事会、经营
管理层、法务合规与风险管理委员会、法务与风险管理部、
监察审计部、各业务和职能部门及各所属单位共同构成公司
内部控制组织架构,分别履行内部控制相关的决策、执行、
监督等方面职责权限,形成科学有效的职责分工和协作机制。
第十条 董事会是公司内部控制的最终负责和最高决策
机构,具体职责包括:
(一)决定公司的内部控制体系,对公司内部控制的实
施进行总体监控;
(二)批准公司内部控制基本制度;
(三)批准公司内部控制工作规划;
(四)审议和批准公司对外披露的《内部控制年度工作
报告》、《内部控制评价报告》、《内部控制审计报告》等内控
相关独立报告及内控相关披露信息;
(五)负责组织、实施年度《企业管治报告》中关于内
-5-
� 3
部控制有效性的内容 ;
(六)其他内控控制建立健全和有效实施的工作。
第十一条 董事会风险控制委员会是董事会的专门工作
机构,对拟提交董事会审议的内部控制相关议案按照议事规
则审议,为董事会提供内部控制等方面的决策支持,对董事
会负责。
第十二条 监事会对董事会建立与实施内部控制进行监
督。
第十三条 总经理办公会作为经营管理层负责全面统筹
和领导公司内部控制体系建设,组织公司内控的日常运行,
具体职责包括:
(一)对公司内部控制基本制度、内部控制工作规划进
行初步审定;
(二)对公司《内部控制年度工作报告》、《内部控制评
价报告》等内控相关报告进行初步审定;
4
(三)批准公司《内控管理手册》 ;
(四)批准公司内控缺陷具体认定标准以及年度内部控
制评价实施方案;
(五)批准内部控制考核体系、方案与考核结果;
(六)授权公司内设部门负责履行内控管理有关的职责。
第十四条 法务合规与风险管理委员会(以下简称“委员
3
根据香港交易所《主板上市规则》Appendix 14 企业管治守则与企业管治报告 C.2 风险管理与内部控制
4
以下简称“《内控手册》”
-6-
�会”)是公司总经理办公会下对公司风险管理、合规经营、法
务和内控管理进行审议的专业委员会,涉及内部控制的专业
审议事项包括:
(一)定期审议公司、各所属单位内部控制工作报告,
并评估和提出改进措施;
(二)研究制订、组织推动公司内部控制评价和评估审
计等相关工作,以及内部检查、举报或外部监管发现的
重大内控缺陷的整改落实;
(三)审议内部控制有关的规章制度。
第十五条 法务与风险管理部(以下简称“法风部”或“内
控管理部门”)是公司内部控制工作牵头管理部门,负责具体
组织开展公司内部控制体系的建设与运行维护工作,具体职
责包括:
(一)组织起草或按需要定期更新修订内部控制基本制
度和流程;
(二)组织协调公司内控管理体系的搭建与运行维护,
统一和规范公司内部控制工作;
(三)拟定公司内部控制工作规划、年度工作计划,经
公司审批同意后并组织实施;
(四)负责拟定公司内控缺陷的具体认定标准,并对公
司在内控评价中发现的内部缺陷提出认定意见;
(五)组织开展公司及各所属单位内部控制有效性评价
-7-
�工作,统筹编制公司年度《内部控制评价报告》;
(六)研究建立内部控制考核体系与方案,经公司审批
同意后、组织开展公司内部控制考核工作;
(七)定期或不定期拟定公司内部控制工作报告,并向
风管委、公司经营管理层、董事会及其风险控制委员会进行
汇报;
(八)对公司各业务、职能部门和各所属单位内部控制
相关工作进行组织、协调、指导与监督;
(七)负责内部控制信息化建设规划、需求提出及推广
应用;
(九)组织开展内部控制管理方面的培训与内部控制管
理文化建设;
(十)完成公司董事会及其专业委员会、经营管理层、
风管会交办的有关内部控制的其他工作。
第十六条 公司各业务及职能部门是内部控制的第一道
防线,负责具体实施内控控制工作,与公司内控管理部门共
同开展公司内部控制体系的建设及运行维护工作,具体职责
包括:
(一)负责职责范围内的规章制度、管理规程的拟定、
适时修订与实施落实,建立、健全内部控制机制;
(二)组织开展职责范围内的内部控制自查、自评、自
纠及问题整改工作;
-8-
� (三)负责职责范围内的对各所属单位相关业务的内部
控制工作进行指导和监督;
(四)负责职责范围内《内控手册》的定期梳理、更新;
(五)负责按照内控管理部门的工作统筹安排,配合完
成年度内控评价、内控审计等工作,完成对缺陷和管理提升
建议的认定确认、并提出整改方案;
(六)对内部控制评价、内控审计发现的缺陷和管理提
升建议,根据整改方案按时整改;
(七)落实和配合完成其他内部控制日常工作。
第十七条 监察审计部作为公司的内控监督机构,对公
司和各所属单位内部控制工作进行独立监督。
第十八条 各所属单位应按照公司要求、结合公司实际,
完善公司治理,建立健全内部控制组织与职能,推动内部控
制各项工作有序开展。
各所属单位应按照公司内控管理部门的工作统筹安排,
配合完成年度内控评价、内控审计等工作,完成对缺陷和管
理提升建议的认定确认、并提出整改方案;对内部控制评价、
内控审计发现的缺陷和管理提升建议,根据整改方案按时整
改。
第三章 内部控制活动
-9-
� 第十九条公司内控管理应涵盖公司经营管理活动中的
所有环节和流程,在公司已构建的全面风险管理体系支撑下,
在公司各业务、职能部门在充分准确识别和评估经营活动中
面临的主要风险的基础上,公司各部门、各所属单位应相应
采取至少覆盖以下的内控活动:
(一)公司治理
依照国家有关法律法规和公司章程,建立规范的公司治
理结构和议事规则,明确决策、执行、监督等方面的职责权
限,形成科学有效的职责分工和制衡机制。
股东大会享有法律法规和公司章程规定的合法权利,依
法行使公司经营方针、筹资、投资、利润分配等重大事项的
表决权。
董事会对股东大会负责,依法行使公司的经营决策权。
监事会对股东大会负责,监督公司董事、经理和其他高
级管理人员依法履行职责。
总经理办公会负责组织实施股东大会、董事会决议事项,
主持公司的经营管理工作。
(二)组织结构
组织结构,是公司董事会、监事会、经营管理层和公司
内部各层级机构设置、人员编制、职责权限、工作程序和相
关要求的制度安排。
董事会、监事会和经营管理层、各职能部门的职责权
-10-
�限、任职条件、议事规则和工作程序,明确授权机制,确
保决策、执行和监督相互分离,形成制衡。
(三)发展战略
发展战略,是公司在对现实状况和未来趋势进行综合分
析的基础上,制定并实施的发展目标与战略规划。
根据发展目标制定战略规划,战略规划应当明确发展
的阶段性和发展程度,确定每个发展阶段的具体目标和工
作任务。制定年度工作计划,编制全面预算,将发展战略
分解、落实到经营水平、资产负债规模、收入及利润增长
幅度、投资回报要求、技术创新、品牌建设、人才建设、
制度建设、公司文化、社会责任等各个方面,确保发展战
略的有效实施。
(四)人力资源
人力资源,是公司组织经营活动而聘用的全体员工。
根据公司发展战略,结合人力资源现状和未来需求预
测,建立人力资源发展目标,制定人力资源总体规划和能
力框架体系,优化人力资源整体布局。明确人力资源的引
进、开发、使用、退出等管理要求,实现人力资源的合理
配置,全面提升公司核心竞争力。
(五)社会责任
社会责任,是公司在发展过程中应当履行的社会职责和
义务,主要包括安全生产、环境保护、资源节约、促进就业、
-11-
�员工权益保护等。
公司应当重视履行社会责任,切实做到经济效益与社
会效益、短期利益与长远利益、自身发展与社会发展相互
协调,实现公司与员工、公司与社会、公司与环境的健康
和谐发展。
(六)公司文化
公司文化,是公司在经营实践中逐步形成的,为整体
团队所认同并遵守的价值观、经营理念和公司精神,以及
在此基础上形成的行为规范的总称。
公司应当根据发展战略和实际情况,总结优良传统,
挖掘文化底蕴,提炼核心价值,确定文化建设的目标和内
容,形成公司文化规范,使其构成员工行为守则的重要组
成部分。
(七)投资业务
根据国家法律法规、宏观经济政策、市场环境等因素,
结合公司发展需求,确定投资战略目标和规划,建立和完善
投资管理制度,拟定投资方案,重点关注投资项目的收益和
风险。公司选择投资项目应当突出主业,谨慎从事股票投资
或衍生金融产品投资。
公司应按照规定的权限和程序对投资项目进行决策审
批,重点审查投资方案是否可行、投资项目是否符合国家产
业政策及相关法律法规的规定、是否符合公司投资战略目标
-12-
�和规划、是否具有相应的资金能力、投入资金能否按时收回、
预计收益能否实现、以及投资和并购风险是否可控等。
公司应指定专门机构或人员对投资项目进行跟踪管理,
及时收集被投资方经审计的财务报告等相关资料,定期组织
投资效益分析,关注被投资方的财务状况、经营成果、现金
流量以及投资合同履行情况,发现异常情况,应当及时报告
并妥善处理。
(八)资金活动
资金活动,是公司筹资、投资和资金营运等活动的总称。
公司应建立和完善严格的资金管理制度,加强资金活
动的集中归口管理,明确筹资、投放、营运等各环节的职
责权限和岗位分离要求,定期检查和评价投融资活动情
况,确保资金活动安全有效运行。
加强资金营运全过程的管理,统筹协调内部各机构在
经营过程中的资金需求,切实做好资金的综合平衡,全面
提升资金营运效率。
加强对融资活动的会计控制,合理确定筹资规模、筹
资结构和筹资方式,降低资金成本,防范和控制财务风
险,确保筹措资金的合理、有效使用。
(九)财务报告
财务报告,是公司对外提供的反映公司某一特定日期财
务状况和某一会计期间经营成果、现金流量的文件,包括财
-13-
�务报表和其他应当在财务报告中披露的相关信息和资料。
公司应当严格执行会计法律法规和国家统一的会计准
则制度,加强对财务报告编制、对外提供和分析利用全过程
的管理,明确相关工作流程和要求,落实责任制,确保财务
报告合法合规、真实完整和有效利用。
(十)全面预算
全面预算,是公司对一定期间经营活动、投资活动、财
务活动等做出的预算安排。
加强全面预算工作的组织领导,明确预算管理体制以
及各预算执行单位的职责权限、授权批准程序和工作协调
机制。通过预算编制、执行、分析、考核等环节的管理,
明确预算项目,建立预算标准,规范预算的编制、审定、
下达和执行程序,及时分析和控制预算差异,采取改进措
施,确保预算的执行。
(十一)采购业务
采购,是指购买物资(或劳务)及支付款项等相关活动。
结合公司实际情况,全面梳理采购业务流程,建立和完善采
购业务相关的管理制度和办法,统筹安排采购计划,明确请
购、审批、购买、验收、付款等环节的职责和审批权限,按
照规定的审批权限和程序办理采购业务,定期检查和评价采
购过程中的薄弱环节,采取有效控制措施,确保满足公司经
营管理需要。
-14-
� (十二)资产管理
公司资产,是公司拥有或控制的存货、固定资产和无形
资产总称。
公司应当建立固定资产采购和处置的相关制度,确定
固定资产处置的范围、标准、程序和审批权限等相关内
容,确保固定资产合理利用。
公司应当制定适当的存货和固定资产盘点制度,明确
盘点范围、方法、人员、频率、时间等。根据盘点结果及
时填写存货和固定资产盘点表,并与账簿记录核对。对账
实不符,盘盈、盘亏的,应分析原因并及时进行处理。
(十三)合同管理
合同,是公司与自然人、法人及其他组织等平等主体之
间设立、变更、终止民事权利义务关系的协议。
公司应当加强合同管理,确定合同归口管理机构,明
确合同拟定、审批、执行等环节的程序和要求,定期检查
和评价合同管理中的薄弱环节,促进合同有效履行,切实
维护公司的合法权益。
(十四)内部信息传递
内部信息传递,是公司内部各管理层级之间通过内部报
告形式传递经营管理信息的过程。
公司应当加强内部报告管理,建立科学的内部信息传
递机制,明确内部信息传递的内容、保密要求、传递方式
-15-
�以及各管理层级的职责权限等,促进内部报告的有效利
用,充分发挥内部报告的作用。
(十五)信息系统
信息系统,是公司利用计算机和通信技术,对内部控制
进行集成、转化和提升所形成的信息化管理平台。
根据公司内部控制要求,结合组织架构、业务范围、地
域、技术能力等因素,制定信息系统建设整体规划,加大投
入力度,有序组织信息系统开发、运行与维护,优化管理流
程,防范经营风险,全面提升公司现代化管理水平。
对信息系统建设实施归口管理,明确职责权限,建立有
效工作机制,开展信息系统的开发、运行和维护工作。
(十六)对所属公司的管理控制
公司对所属单位的管理控制,至少应包括下列控制活动:
1、依法建立对所属单位的控制架构及制度,确定控股子
公司章程的主要条款,选任董事、监事及重要高级管理人员;
2、依据公司的战略规划和风险管理政策,协调、督导所
属单位的经营策略和风险管理策略;
3、要求所属单位建立和实施重大事项报告制度;
4、公司对所属单位内部控制建设情况进行监督、并组织
实施评价;
5、公司要求各所属单位及时向公司报送其董事会决议、
股东会决议等重要文件;
-16-
� 6、定期取得并分析所属单位的财务报告和工作管理报
告并根据相关规定,委托会计事务所审计控股子公司的财务
报告及内部控制;
7、制定并实施对所属单位及其高级管理人员的绩效考
核制度。
(十七)内控活动也应覆盖会计控制、销售业务、租赁
业务、商业保理业务、经纪业务、担保业务、业务外包、工
程项目、安全环保以及研究开发等经营管理活动中的所有环
节和流程。
第四章 内部规章制度
第二十条 内部规章制度,是指公司为保证经营活动依
法、合规与高效,按照规定程序制定的各类规范经营与管
理行为、对企业与员工具有普遍约束力的规范性文件,包
括公司治理文件、管理规章、业务规定、管理细则以及政
策规范等。
第二十一条 内部规章制度和《内控手册》组成完整的
内控文件,是相辅相成的,规章制度是内控活动的重要要
素。
制定或修订内部规章制度时,应在“制度起草说明中”
注明所涉及《内控手册》的相应流程、并评估是否需要修
-17-
�订《内控手册》相关内容,如需要,应同时或安排年度定
期时修订或完善《内控手册》,保证《内控手册》与内部规
章制度的相互配合。
第五章 内部控制管理手册
第二十二条 《内控手册》的内涵。
公司应根据实际情况,按照《企业内部控制基本规
范》及配套的应用指引,通过定期盘点公司经营管理的流
程、识别和评估各个流程的控制目的、梳理形成实现控制
5
目的的控制活动 ,并将上述成果通过编写《内控手册》(全
称“《内部控制管理手册》”)予以固化,从而形成公司内控
管理体系的长效化机制。
第二十三条 《内控手册》在内控管理体系中的地位。
《内控手册》是内部控制管理准则性文件,是内控管
理体系的组成文件。公司全体员工应遵照《内控手册》及
相应内部规章制度,履行内部控制职责,保障内控目的及
目标的全面实现。
如果公司制度出现新变化或废止或不适用的情形,则
按照最新制度优先适用的原则开展有关流程的内控管理。
第二十四条 内控管理体系的更新与完善机制。
5
包括控制活动的相关制度、控制频率、负责部门及其岗位、涉及的系统、控制的方式、相关报告/表单等
-18-
� 根据实际管理需要,公司《内控手册》可定期(一般
为一年)更新、不定期更新;《内控手册》的定期更新一般
安排在年度内控评价现场测试前完成。
公司内控管理部门负责组织、协调《内控手册》的更
新工作。公司各业务及职能部门按照其部门对应职责负责
对《内控手册》对应流程进行相应更新,更新包括新增、
修订以及删减。
第二十五条《内控手册》的更新步骤。
(一)第一步:梳理流程。
根据最新监管要求、内部经营情况变动、规章制度变
6
化情况以及缺陷整改情况 等情况,梳理公司新增或发生变
化的经营管理流程,并进行流程的具体描述。
(二)第二步:识别与评估风险。
根据当年外部经济环境和监管要求,内部风险管理偏
好,识别并评估新增或变化流程的主要风险,由此形成内
部控制目的;对既有流程已识别的风险进行再评估,确认
各流程风险识别与评估的正确性、完整性。
(三)第三步:完成内部控制活动各要素的梳理与编
写,包括相关内部规章制度、控制频率、负责部门及其岗
位、涉及的信息系统、控制的方式、相关报告/表单等。
(四)第四步:如适用,则完成公司《内控手册》体
6
指对上一年内控评价与内控审计等监督评价工作中发现的内控缺陷与提升性建议的落实整改情况。
-19-
�系中其他相应部分的更新,比如内控流程图、流程涉及相
关部门职责的描述等。
第二十六条 《内控手册》的使用及其与内控评价的关
系。
公司《内控手册》为内部控制评价工作建立了评价的
方法与机制,是内控评价工具的规划化和标准化,是内控
自评价活动的基础。
第二十七条 《内控手册》的发布。《内控手册》新建
或者修订后,经公司授权机构审批通过后发布执行。
第六章 内部控制的监督与内控评价
第一节 内控缺陷的定义与认定标准
第二十八条 内控缺陷的定义
内部控制缺陷是指公司内部控制的设计或运行无法合
理保证内部控制目标的实现。
第二十九条 内控缺陷的认定标准
(一)内部控制缺陷按其成因分为设计缺陷和运行缺陷。
(二)内部控制缺陷按其影响程度分为重大缺陷、重要
缺陷和一般缺陷;公司还应区分财务报告内部控制缺陷和非
财务报告内部控制缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致
-20-
�公司严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程
度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制
目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
(三)公司应制定重大缺陷、重要缺陷和一般缺陷的具
体认定标准;公司通常参照执行上一年度公开披露的《内部
控制评价报告》中使用的内控缺陷具体认定标准,并根据实
际情况予以调整完善。
第二节 内部控制的监督
第三十条 内部控制监督工作的制度建设
公司应根据《企业内部控制基本规范》及其《配套指引》,
制定内部控制监督制度或相关实施规定,明确内部审计机构
在内部监督中的职责权限,规范内部监督的程序、方法和要
求。
第三十一条 内部控制监督的内涵
内部控制监督是公司内部审计机构对公司内部控制的
有效性进行的监督检查。
第三十二条 内部控制监督的实施
内部控制监督分为日常监督、专项监督。
内部审计机构对内控监督检查中发现的内部控制缺陷,
-21-
�应按公司内部审计工作程序进行报告;对监督检查中发现的
内部控制重大缺陷,有权直接向董事会及其审计委员会、监
事会报告。
第三节 内部控制评价
第三十三条 内部控制评价的定义
内部控制评价(以下简称“内控评价”),是公司董事会
或授权机构对内部控制的有效性进行全面评价、形成评价结
论、出具《内部控制评价报告》的过程。
第三十四条 内控评价的目标
通过对公司内部控制有效性的评价及持续改进,实现以
下目标:
(一)持续维护和改进内部控制管理机制,不断提高业
务和管理体系对实现公司战略目标的保证能力和风险防范
能力;
(二)规范梳理、展示卓越管理成果,提升公司核心竞
争力,维护公司的信誉;
(三)更好地满足经营管理层对管理状况和综合管理信
息的需要,为绩效评价提供更全面、更合理的依据、标准、
数据和资料;
(四)及时、主动地识别管理流程中的固有风险、内部
控制缺陷以及改进措施,有效防范和消除风险点及舞弊发生
的根源;
-22-
� (五)按照统一的标准规范梳理和保存内部控制活动的
轨迹和记录资料,为验证操作风险与内部控制管理效果提供
举证支持和工作方便。
第三十五条 内控评价的依据
内控评价应依据《企业内部控制基本规范》及其《配套
指引》、以及公司的内部规章制度。
第三十六条 公司开展内部控制评价至少应遵循下列原
则:
(一)全面性原则:内控评价范围应包括内控体系的
设计与运行,涵盖经营及管理的全业务、全事项。
(二)重要性原则:内控评价应在全面评价的基础
上,重点关注重要业务、重大事项和高风险领域。
(三)客观性原则:应当准确揭示经营管理的风险状
况,如实反映内控设计与运行的有效性。
第三十六七条 内控评价的内容
内控评价应围绕内部环境、风险评估、控制活动、信
息与沟通、内部监督等要素,确定评价的具体内容,对内
部控制设计与运行情况进行全面评价。
(一)内部控制设计有效性是指为实现控制目标所必
需的控制要素都存在并且设计恰当;
(二)内部控制运行有效性是指现有内部控制按照规
定程序得到正确执行。
-23-
� 第三十八条 内控评价的具体组织实施主体
公司授权法风部负责公司整体内部控制评价的具体组
织、实施及持续跟踪工作,具体包含如下工作内容:
(一)拟定公司内部控制评价相关制度或规定;
(二)统筹公司内控评价整体工作;
(三)根据需要,组织选聘外部咨询机构提供内部控
制评价服务;
(四)组织各部门、各单位开展内控评价工作;
(五)对发现的内部缺陷提出认定意见,协调形成内
控缺陷与提升性建议整改落实方案;
(六)根据内控评价结果,组织编写《内部控制评价
报告》(董事会汇报版本、公开披露版本);
(七)向公司总经理办公会、董事会及下设的风控会
汇报公司内部控制工作情况、《内部控制评价报告》(董事
会汇报版本、公开披露版本);
(八)将内部控制评价工作发现的内部控制缺陷、管
理提升建议和配套整改方案录入信息管理系统;
(九)定期对内控缺陷整改情况进行跟踪与督导,并
予以验收确认,在信息系统中记录整改结果。
第三十九条 内控评价程序
公司按照内部控制评价工作相关规定的程序,有序开展
内部控制评价工作;内控评价程序一般包括:制定评价工作
-24-
�方案、组成评价工作组、实施现场测试、认定控制缺陷、汇
总评价结果、编报《内部控制评价报告》等环节。
(一)制定评价工作方案
评价工作方案,包括评价范围、工作任务、人员组织、
进度安排和费用预算等相关内容,经公司审批后实施。
(二)组成评价工作组内控管理部门应根据经批准的评
价工作方案,组成内部控制评价工作组,具体实施内部控制
评价工作。
评价工作组应当吸收公司内部相关部门或单位熟悉情
况的业务骨干参加。评价工作组成员对本部门或本单位的内
部控制评价工作应当实行回避制度。
公司也可以委托中介机构实施内部控制评价。为公司提
供内部控制审计服务的会计师事务所,不得同时为公司提供
内部控制评价服务。
(三)实施现场测试
内部控制评价工作组应对被评价主体进行现场测试,综
合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查
验、抽样和比较分析等方法,充分收集被评价主体内部控制
设计和运行是否有效的证据,按照评价的具体内容,如实填
写评价工作底稿,研究分析内部控制缺陷。
公司内部控制评价工作组应当建立评价质量交叉复核
制度,评价工作组负责人应当对评价工作底稿进行严格审核,
-25-
�并对所认定的评价结果签字确认后,提交公司内控管理部门。
(四)内部控制缺陷的认定与清单汇总
公司对内控评价发现的内部控制缺陷的认定,应以日常
监督和专项监督为基础,结合年度内部控制评价工作结果。
内部控制评价工作组应当根据现场测试获取的证据,对
内部控制缺陷进行初步认定;公司各部门、各所属单位作为
被评价主体与内控评价工作组就初步认定的内控缺陷进行
充分讨论,经讨论认定后,应提出整改方案;内控管理部门
进行综合分析后提出认定意见、并编制缺陷认定汇总表;公
司总经理办公会、董事根据内部管理部门提供的缺陷认定汇
总表,分别负责一般缺陷的最终认定、非一般缺陷(重要缺
陷与重大缺陷)的最终认定。对于认定的重大缺陷,公司应
及时采取应对策略,切实将风险控制在可承受度之内,并按
照有关责任追究制度追究有关部门或相关人员的责任。
(五)编制内部控制评价报告
公司应根据年度内部控制评价结果,结合内部控制评价
工作底稿和内部控制缺陷汇总表等资料,按照《企业内部控
制基本规范》及其《配套指引》,编写《内部控制评价报告》
(汇报董事会版)。公司年度《内部控制评价报告》基准日为
每年的 12 月 31 日。
此外,公司作为在沪、港两地交易所上市的公司,还应
按照上海证券交易所、港交所以及《企业内部控制基本规范》
-26-
�及其《配套指引》规定程序和要求,及时编制《内部控制评
价报告》(公开披露版)、《公司管治报告》中内控管理的有关
内容。
公司按照上交所有关规定编制的《内部控制评价报告》
(公开披露版)应包括如下要素:标题、收件人、引言段、
7
内部控制评价结论、内部控制评价工作情况 、其他内部控制
相关重大事项说明;具体可参考上交所最新提供的报告编制
8
模板 。公司披露的《内部控制评价报告》须经过董事会的审
议通过。
公司根据港交所《主板上市规则》规定编制的《公司管
治报告》中,应叙述公司在报告期内遵守关于风险管理与内
9
部控制的守则条文情况 。
第四节 内控缺陷与提升性建议的整改落实
第四十条 内控缺陷和提升性问题的范围。
包括内控评价、内控审计、内控监督以及外部检查中发
现的所有内控缺陷和提升性问题。
第四十一条 整改标准。
(一)内控评价和内控审计过程中外部中介机构或内控
监督评价牵头部门与责任部门确认的整改目标方案;
7
包括内控评价的范围、内部控制评价工作依据及内部控制缺陷认定标准、内部控制缺陷认定及整改情况
等
8
目前的报告编制参考模板如《公开发行证券的公司信息披露编报规则第 21 号——年度内部控制评价报
告的一般规定》
9
具体参照《主板上市规则》中关于有关内部控制的有关条文编写。
-27-
� (二)从根本上、实质上解决缺陷和问题,杜绝因整改
不到位或部分完成导致的同类、同质缺陷反复出现。
第四十二条 整改时限。
各部门、各所属单位应在整改方案确定的时限范围内及
时整改、应改尽改、能改快改。
如无客观原因,内控评价发现的内控缺陷均须在《内部
控制评价报告》基准年度的次年度内完成整改。
第四十三条 缺陷整改的复核与验收。
公司本部及各所属单位的内控管理部门履行缺陷整改
完成情况的监督、复核与验收职责,包括对各缺陷对应责任
部门的整改完成情况、支持文档和实际成效开展复核与验收
工作,逐一对照整改标准进行确认,并对相关资料进行留档
管理与台账记录。
第四十四条 缺陷整改成效检验。
缺陷对应的各责任部门、所属单位需在缺陷整改计划完
成后,通过规章制度发布、流程更新及员工培训等方式,完
成缺陷整改成果落地。
缺陷整改完成并运行适当时间后,各责任部门、所属单
位应自我检验评估整改成效,或者协同内控管理部门,抽样
实施穿行测试,检验已更新制度和流程的执行情况及实际成
效。
-28-
� 第七章 内部控制的外部审计
第四十五条 内部控制审计,是指公司委托会计师事务
所,对特定基准日内部控制设计与运行的有效性进行审
计。
公司授权内控管理部门或内部审计部门负责内控审计
师的组织选聘工作、以及后续组织配合内控审计工作。
第四十六条 注册会计师应与公司沟通内控审计过程中
识别的所有控制缺陷,沟通对象一般为公司内控管理部
门、财务管理部门以及内部审计部门;对于其中的重大缺
陷和重要缺陷,应以书面形式与董事会和经理层沟通;书
面沟通应当在注册会计师出具内部控制审计报告之前进
行。
第四十七条 注册会计师应根据《企业内部控制指引》
开展内控审计工作,出具《内部控制审计报告》;对财务报
告内部控制的有效性发表审计意见,并对内部控制审计过
程中注意到的非财务报告内部控制的重大缺陷,在内部控
制审计报告中增加“非财务报告内部控制重大缺陷描述
段”予以披露。
第八章 内部控制的信息披露
-29-
� 第四十八条 内部控制管理信息披露是指公司作为信息
10
披露义务人按照《上市公司信息披露管理办法》 以及《企
业内部控制基本规范》及《配套指引》、上交所关于上市公
司内部控制的有关规定、香港交易所《主板上市规则》以
及《公司信息披露管理办法》,向公司股东、社会公众和监
管机构披露内部控制管理状况的行为。内部控制管理信息
披露是公司作为上市公司履行披露义务的一部分。
第四十九条 公司内审部门在内部控制的检查监督中如
发现内部控制存在重大缺陷或存在重大风险,应及时向董
事会报告。同时,依照相关法律法规,及时发布公告。
第五十条 董事会应根据内部控制检查监督工作报告及
相关信息、内控评价工作结果,评价公司内部控制的建立
和实施情况,审议内控相关年度《内部工作评价报告》。
第五十一条 内控报告的披露。公司作为上交所上市公
司,根据有关规定,在披露公司年报的同时,披露年度
《内部控制评价报告》、注册会计师出具的《内部控制审计
报告》。《内部控制评价报告》应于基准日后 4 个月内编制
完成并披露。
公司披露年度《内部控制评价报告》的编制和披露需
10
最新版本为中国证券监督管理委员会令【第 182 号令】,于 2021 年 5 月 1 日起施
行。
-30-
�按照上交所规定的公告编制软件以及披露方式进行。
第五十二条 公司年度报告有关内部控制的信息披露要
求。公司作为上交所上市公司,根据有关规定,若存在如
下情形的,需要在公司年度报告中的指定章节披露有关内
控信息:
(一)报告期内发现公司内部控制存在重大缺陷;
(二)会计师事务所出具非标准意见的内部控制审计
报告或者内部控制审计报告与董事会的《内部控制评价报
告》意见不一致的;
(三)公司在报告期内聘请了内部控制审计会计师事
务所的情形。
第九章 内控培训学习与内控文化建设
第五十三条 内控体系建设涉及公司经营管理的全员全
过程,是一项复杂的系统性工程。做好内控体系建设方案的
培训工作,是内控管理工作的顺利开展和目标任务的实现的
保障。
第五十四条 内控体系运行期间,应就内控文件(内部规
章制度及《内控手册》)有计划分层级地开展培训工作,保障
运行期能充分检验内控体系设计的有效性。
第五十五条 内控管理部门应组织或协助内控培训学习
-31-
�工作。
第五十六条 各部门各业务环节也应组织或参与内控文
件的学习,保障内控体系执行的有效性。
第十章 内部控制管理考核
第五十七条 内控管理部门负责研究拟定公司内部控制
管理考核机制,设计考核指标、制订考核方案,每年组织对
公司各业务及职能部门、各所属单位进行内部控制考核。
第五十八条 内控考核内容包括内部控制管理体系建设
情况及运行情况两方面。
第五十九条 各所属单位应根据公司的要求,结合本单
位实际,传导内部控制管理考核机制。
第六十条 公司任何人员严重违反内部控制管理规定,
或因内部控制不当而导致公司出现重大风险事故,造成公司
资产损失、人员伤亡或者恶劣影响的,将根据国家相关法律
法规、集团及公司相关规定,追究相关人员责任。
第十一章 内部控制管理体系的档案管理
第六十一条 按照《公司档案管理办法》,公司应妥善留
痕保存内部控制建立与实施过程中的相关记录或者资料。
第六十二条 内部控制有关的资料包括内部规章制度、
-32-
�《内控手册》、内部控制内部监督报告、内控评价工作方案、
内控评价工作底稿、内控缺陷认定与整改方案、《内部控制评
价报告》、内控缺陷整改落实记录、内控考核实施文件等。
第六十三条 根据有关外部监管规定,内部控制有关资
料和记录保存时间不少于十年。
第十二章 附则
第六十四条 本办法自公布之日起施行。公司原《内部
控制与风险管理办法》废止。有关内控管理的规定,若本
办法与公司《操作风险与内部控制管理试行办法》都有涉
及,以本办法为准。
第六十五条 本办法由公司法务与风险管理部负责草
拟、修订和解释。
-33-
�
