镇海股份:内部控制评价制度2019-08-22
内部控制评价制度
镇海石化工程股份有限公司
内部控制评价制度
第一章 总则
第一条 为规范镇海石化工程股份有限公司(以下简称“公司”)内部控制评
价工作,全面评价公司内部控制的设计和运行情况,揭示和防范经营风险,满足
外部监管机构对于公司内部控制相关信息的需求,促进公司健康可持续发展,根
据《企业内部控制基本规范》、《企业内部控制评价指引》及其他配套指引、《上
市公司治理准则》、《上海证券交易所上市公司规范运作指引》等相关法律、法规
和《公司章程》,结合公司实际,制订本制度。
第二条 内部控制评价是指由公司组织实施,对企业内控的有效性进行全面
评价,形成评价结论,出具评价报告的过程。
第三条 本制度所称内部控制评价,主要分为三个层面的工作:
(一)管理层进行内部控制自查工作,即内部控制自我评估;
(二)公司审计委员会授权公司审计部为执行内部控制检查监督工作的专门
机构。审计部基于管理层的内部控制自我评估工作,对内部控制执行检查监督;
(三)基于上述(一)、(二)两方面,公司董事会根据内部控制检查监督工
作报告及相关信息,评价公司内部控制的建立和实施情况。公司董事会审计委员
会应形成内部控制自我评价报告草案并报董事会审议。公司董事会在审议年度财
务报告等事项的同时,应对公司内部控制自我评价报告形成决议并披露。
第四条 公司实施内部控制评价,应遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及
所属公司的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、
重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反
映内部控制设计与运行的有效性。
(四)及时性原则。评价工作按照规定的时间进行,当经营管理环境或业务
� 内部控制评价制度
发生重大变化时,应及时进行重新评价。
(五)风险导向原则。评价工作应以风险为基础,根据风险发生的可能性和
风险对控制目标的影响程度确定重点业务单元、重要业务和重要流程。
第五条 内控评价的范围为公司本部及其控股子公司全部经营活动和业务流
程。
第二章 内部控制评价组织框架及职责
第六条 公司董事会为内部控制评价工作的决策机构和最终责任机构,对内
部控制制度的建立和有效实施负责,负责审议批准和对外披露年度内部控制评价
报告,对内部控制评价报告的真实性负责。公司董事会在内控评价工作中的具体
职责包括:
(一)指导、监督内控评价工作的开展;
(二)审批内控自我评价报告;
(三)监督公司管理层对内控缺陷进行整改等。
第七条 公司监事会对内部控制制度建立和实施进行监督,审核年度内部控
制评价报告。
第八条 公司董事会下设审计委员会对内部控制评价工作进行指导,监督内
部控制自我评价情况,主要职责如下:
(一)审批内部控制评价工作方案,并提出指导意见;
(二)了解日常内部控制风险监控结果,审核并确认重大缺陷和重要缺陷,
根据内控缺陷情况,审批内控整改方案和措施;
(三)审议并向董事会提交年度内部控制评价报告;
(四)听取和了解内控整改过程中出现的相关重大事项,并按照董事会授权
进行决策;
(五)法律法规、公司章程和董事会授权的其他事项。
第九条 审计部负责内控评价的具体组织实施,客观评价内控设计及执行的
有效性,督促整改评价中发现的内控缺陷,编制公司内控自我评价报告。其主要
职责包括:
2
� 内部控制评价制度
(一)制定年度内控评价工作计划;
(二)制定内控评价具体工作方案;
(三)组织实施公司各职能部门、子公司的内控评价工作;
(四)针对内控缺陷,与具体业务管理部门进行协商并提出改善建议;
(五)汇总、分析内控评价结果,出具内控自我评价报告;
(六)根据认定的内控缺陷下发整改意见书并跟踪缺陷整改的落实情况。
第十条 公司各职能部门、子公司在内控评价工作中的具体职责包括:
(一)对业务领域内的内部控制进行自我评价,并将自我评价情况报送审计
部;
(二)参与、配合审计部组织的内部控制独立检查,包括确定内控协调员参
加评价工作组的业务骨干、提供资料、配合访谈、沟通与确认缺陷等;
(三)对内部控制自我评价、内控独立检查和外部审计发现的问题,制定并
落实整改计划和方案,及时向审计部门报送整改情况;
(四)配合完成与内部控制评价有关的其他工作。
第三章 内部控制评价内容
第十一条 公司根据《企业内部控制基本规范》、应用指引以及本公司的内部
控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,
确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
第十二条 内部环境评价,应以组织架构、发展战略、人力资源、企业文化、
社会责任等应用指引为依据,结合公司内部控制制度,对公司治理结构、机构设
置及权责分配、内部监督、人力资源政策、企业文化等内部环境的设计及实际运
行情况进行认定和评价。
内部环境评价重点关注治理结构是否形同虚设,发展战略是否可行,机构设
置是否重叠,权责分配是否明晰,不相容岗位是否分离,人力资源政策和激励约
束机制是否科学合理,企业文化是否促进员工勤勉尽责,社会责任是否有效履行。
第十三条 风险评估评价,应以《企业内部控制基本规范》有关风险评估的
要求,以及各项应用指引所列主要风险为依据,结合公司及所属公司的内部控制
3
� 内部控制评价制度
制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评
价。
第十四条 控制活动评价,应当以《企业内部控制基本规范》和各项应用指
引的控制措施为依据,结合公司及所属公司的内部控制制度,对相关业务控制措
施的设计与运行有效性进行认定和评价。控制活动评价,包括人力资源管理、销
售管理、采购管理、期货管理、项目管理、资产管理、生产管理、合同管理、财
务管理、资金管理、预算管理等公司生产经营业务流程。
控制活动评价重点关注各业务流程是否通过手工控制与自动控制、预防性控
制与检查性控制相结合的方法,运用不相容职务分离、授权审批控制、会计系统
控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等各种内部控制
措施,将风险控制在公司可承受度之内。
第十五条 信息与沟通评价,应当以内部信息传递、财务报告、信息系统等
相关应用指引为依据,结合公司及所属公司的内部控制制度,对信息收集、处理
和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,
以及利用信息系统实施内部控制的有效性等进行认定和评价。
信息系统的安全性评价重点关注系统权限设置是否恰当、系统变更是否都得
到了恰当授权并完整记录、业务持续性计划是否完善、利用信息系统实施业务流
程内部控制是否有效等内容。
第十六条 内部监督评价,应当以《企业内部控制基本规范》有关内部监督
的要求及各项应用指引中有关日常管控的规定为依据,结合公司及所属公司的内
部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计
委员会、审计部门等是否在内部控制设计和运行中有效发挥监督作用。
第十七条 内控评价工作以工作底稿的形式记录评价内容,包括评价要素、主
要风险点、采取的控制措施、有关证据资料、认定结果等。评价工作底稿应当设
计合理,证据充分、简单易行、便于操作。
第四章 内部控制评价的实施程序
第十八条 内部控制评价程序一般包括:制定评价工作方案、组成评价工作
4
� 内部控制评价制度
组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十九条 开展内部控制评价工作前,公司审计部拟定评价工作方案,明确
评价范围、工作任务、人员组织、进度安排、费用预算和缺陷认定标准等相关内
容,报经审计委员会审批后实施。
第二十条 公司审计部根据经批准的评价工作方案,组成内部控制评价工作
组,具体实施内部控制评价工作。评价工作组成员由公司各部门熟悉情况的业务
骨干组成。评价工作组成员对本部门的内部控制评价工作实行回避制度。
公司亦可以委托中介机构实施内部控制评价。提供内部控制审计服务的会计
师事务所,不得同时提供内部控制评价服务。
第二十一条 内部控制评价工作组对被评价单位进行现场测试,可综合运用
个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,
充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内
容,如实填写评价工作底稿,研究分析内部控制缺陷。
第二十二条 公司各分公司、各部门是内部控制评价的基本主体单位,负责
本机构内部控制评价工作。
第五章 内部控制缺陷的认定
第二十三条 内部控制缺陷的分类:
(一)内部控制缺陷按其成因分为设计缺陷和运行缺陷。
设计缺陷是指内部控制设计不科学、不适当,即使正常运行也难以实现控制
目标。运行缺陷是指内部控制设计有效、合理且适当,但由于执行不当而形成的
内部控制缺陷,包括由不恰当的人执行、未按设计的方式运行、运行的时间或频
率不当、没有得到一贯有效运行等,导致内部控制运行与设计脱节,未能有效实
施控制、实现控制目标。
(二)内部控制缺陷按其表现形式分为财务报告内部控制缺陷和非财务报告
内部控制缺陷。
财务报告内部控制缺陷,是指在会计确认、计量、记录和报告过程中出现的,
对财务报告的真实性和完整性产生直接影响的控制缺陷。非财务报告内部控制缺
5
� 内部控制评价制度
陷,是指虽不直接影响财务报告的真实性和完整性,但对公司经营管理的合法合
规、资产安全、运营的效率和效果等控制目标的实现存在不利影响的其他缺陷。
(三)内部控制按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目
标。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重
大缺陷,但仍有可能导致公司偏离控制目标。一般缺陷,是指除重大缺陷、重要
缺陷之外的其他缺陷。
第二十四条 公司分别制定财务报告内部控制缺陷和非财务报告内部控制缺
陷认定等级标准,并在内部控制评价报告中披露。
第二十五条 公司董事会根据基本规范、评价指引对重大缺陷、重要缺陷和
一般缺陷的认定要求,结合公司规模、行业特征、风险水平等因素,确定了适用
公司的内控缺陷具体认定标准。
(一)财务报告内控缺陷认定标准
1.公司确定的财务报告内控缺陷评价的定量标准如下:
指标名称 重大缺陷 重要缺陷 一般缺陷
可能导致
错报金 额 ≥ 税前 利 润的 税前利润的 2.5%≤错报 错报金额<税
的税前利
5% 金额<税前利润的 5% 前利润的 2.5%
润错报
可能导致
错报金 额 ≥收入 总 额的 收入总额的 0.5%≤错报 错报金额<收
的收入总
1% 金额<收入总额的 1% 入总额的 0.5%
额错报
可能导致
错报金 额 ≥资产 总 额的 资产总额的 0.5%≤错报 错报金额<资
的资产总
1% 金额<资产总额的 1% 产总额的 0.5%
额错报
可能导致 净资产总额的 0.5%≤错 错报金额<净
错报金 额 ≥净资 产 总额
的净资产 报金额<净资产总额的 资 产 总 额 的
的 1%
总额错报 1% 0.5%
上述标准直接取决于该内控缺陷的存在可能导致的财务报告错报的重要程
度。这种重要程度主要取决于两个因素:
(1)该缺陷是否会导致内控不能及时防止或发现并纠正财务报告错报;
6
� 内部控制评价制度
(2)该缺陷单独或连同其他缺陷组合可能导致的潜在错报金额的大小。
2.公司确定的财务报告内控缺陷评价的定性标准如下:
出现下列情形的,认定为存在财务报告内控重大缺陷:
(1)公司董事、监事和高级管理人员存在滥用职权、贪污受贿、挪用公款
等重大舞弊;
(2)已经发现并报告给管理层的重大内部控制缺陷,在经过合理的时间后,
未加以改正;
(3)控制环境无效;
(4)影响收益趋势的缺陷;
(5)外部审计师发现当期财务报表存在重大错报,而内部控制在运行过程
中未能发现该错报;
(6)可能导致监管机构处罚的缺陷;
(7)可能导致企业出现重大损失的缺陷;
(8)审计委员会和内部审计机构对内部控制的监督无效;
(9)其他可能影响报表使用者正确判断的缺陷。
重要缺陷:
(1)关键岗位人员存在贪污受贿、挪用公款等舞弊行为;
(2)由会计差错导致的公司审计委员会和内部审计机构的处罚;
(3)可能对财务报告可靠性产生重大影响的内部控制检查职能失效;
(4)被发现并报告给管理层的重要缺陷未在合理期间内得到改正的;
(5)由一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企
业无法及时防范或发生偏离整体控制目标的严重程度依然重要的。
一般缺陷:
(1)一般管理人员发生贪污受贿、挪用公款等舞弊行为;
(2)由会计差错导致的公司财务部处罚;
(3)对财务报告产生影响的内部控制运行有效性失效;
(4)被发现并报告给管理层的一般缺陷未在合理的期间得到改正。
(5)除重大缺陷、重要缺陷之外的其他控制缺陷。
7
� 内部控制评价制度
(二)非财务报告内控缺陷认定标准
1.公司确定的非财务报告内部控制缺陷评价的定量标准如下:
重大缺陷定量标 重要缺陷定 一般缺陷
指标名称
准 量标准 定量标准
在人力、时 在人力、时间 在人力、时
在人力、时间或成
间或成本方面超 或成本方面超出 间或成本方面
本方面超出预算 50%
出预算的比例 预算 30% 超出预算 10%
无法达到所有的 无法达到部
是否达到营 运营受阻,
运营目标或关键指标, 分 运 营 目 标 或 关
运目标及是否受 收到处罚或被
违规操作使业务受到 键 业 绩 指 标 受 到
到处罚 罚款
中止 限制
2.公司确定的非财务报告内部控制缺陷评价的定性标准如下:
出现下列情形的,认定为公司存在非财务报告相关内控的重大缺陷:
(1)决策程序导致重大失误;
(2)重要业务缺乏制度控制或系统性失效,且缺乏有效的补偿性控制;
(3)公司中高级管理人员流失严重;
(4)内部控制评价的结果特别是重大缺陷未得到整改;
(5)其他对公司产生重大负面影响的情形。
重要缺陷:
(1)决策程序导致出现一般性失误;
(2)重要业务制度或系统存在缺陷;
(3)关键岗位业务人员流失严重;
(4)内部评价的结果特别是重要缺陷未得到整改;
(5)其他对公司产生较大负面影响的情形。
一般缺陷:
(1)决策程序效率不高;
(2)一般业务制度或系统存在缺陷;
(3)一般岗位业务人员流失严重;
8
� 内部控制评价制度
(4)一般缺陷未得到整改。
第二十六条 内部控制评价工作组根据现场测试获取的证据,对内部控制缺
陷进行初步认定。内部控制评价工作组建立评价质量交叉复核制度,评价工作组
负责人对评价工作底稿进行审核,并对所认定的评价结果签字确认后,提交审计
部。
第二十七条 审计部负责编制内部控制缺陷认定汇总表,结合日常监督和专
项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现
形式和影响程度进行综合分析和全面复核,提出初步认定意见,并向高管层、董
事会审计委员会报告。重大、重要缺陷由董事会予以审议并最终认定。
第二十八条 公司根据缺陷认定结果出具内部控制有效性结论。如果出现严
重的重大缺陷,且未得到整改,则说明公司内部控制为无效;除此之外,若仅存
在重要缺陷或一般缺陷,且都得到整改,则说明公司内部控制一般为有效。
第二十九条 公司各部门及下属分、子公司对于认定的缺陷,应当及时采取
应对策略,提出整改方案,进行整改并形成整改报告,切实将风险控制在可承受
范围内。对于认定的缺陷进行整改,公司审计部门协调公司内部控制缺陷的整改
工作。对于公司存在的重大缺陷,由管理层负责整改,并接受董事会、审计委员
会、监事会的监督。
第三十条 公司各分管领导是各分管业务范围内部控制缺陷整改的具体负责
人,在整改中要根据《企业内部控制基本规范》及其相关指引,按内部控制缺陷
清单逐项分析、整改。
第三十一条 为确保整改实施进度及整改效果,在整改期间公司审计部门要
对相关部门的整改进行跟踪和指导,形成内部控制整改实施情况报告,向总经理
汇报。公司董事会应督促缺陷的整改过程,并持续完善公司内控体系建设。
第六章 内部控制评价报告及披露
第三十二条 审计部应每年对公司的内部控制进行一次检查监督,公司各部
门、单位应积极配合审计部的检查监督。公司还应不定期对公司内部控制开展专
项检查监督工作。
9
� 内部控制评价制度
第三十三条 审计部对公司内部控制运行情况进行检查监督,并将检查中发
现的内部控制缺陷和异常事项、改进建议及解决进展情况形成内部控制报告,向
公司董事会报告。
第三十四条 内部控制评价报告的格式、内容应当符合监管机构的要求。评
价报告至少应包括以下内容:
(一)对照有关规定,说明公司内部控制制度是否健全和有效运行,是否存
在缺陷;
(二)说明重点关注的控制活动的自查和评估情况;
(三)说明内部控制缺陷和异常事项的改进措施。
第三十五条 公司董事会应在审议公司年度财务报告等事项的同时,对公司
内部控制自我评价报告形成决议。
第三十六条 内部控制评价报告报经董事会批准后对外披露或报送。审计部
应关注内部控制评价报告基准日至内部控制评价报告发出日之间发生的影响内
部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第三十七条 中介机构对公司进行年度审计时,应参照有关的规定,就公司
内部控制评价报告出具内部控制审计报告。
第三十八条 如中介机构对公司内部控制有效性表示异议的,公司董事会应
针对该审核意见涉及事项做出专项说明。
第三十九条 内部控制审计报告应当与内部控制评价报告同时对外披露或报
送。
第四十条 公司以 12 月 31 日作为年度内部控制评价报告的基准日。内部控
制自我评价报告于基准日后 4 个月内报出。
第四十一条 内部控制评价的有关文件资料、工作底稿和证明材料等应当妥
善保管。
第七章 附则
第四十二条 本制度未尽事宜,依照国家有关法律、法规、规范性文件以及
本公司章程的有关规定执行。本制度与有关法律、法规、规范性文件以及本公司
10
� 内部控制评价制度
章程的有关规定不一致的,以有关法律、法规、规范性文件以及本公司章程的规
定为准。
第四十三条 本制度由董事会负责解释。
第四十四条 本制度由董事会审议通过后生效。
镇海石化工程股份有限公司
2019 年 8 月 20 日
11
�
