甘肃能化:内部控制评价管理办法2023-08-24
甘肃能化股份有限公司
GANSU ENERGY CHEMICAL CO.,LTD
内部控制评价管理办法
2023 年 8 月
� 目 录
第一章 总 则........................................................ 2
第二章 内部控制评价内容 ............................................ 3
第三章 内部控制评价程序及组织职能体系 ............................... 6
第四章 内部控制评价方法 ............................................ 10
第五章 内部控制缺陷评价 ............................................ 11
第六章 内部控制评价报告 ............................................ 16
第七章 内部控制评价监督和改进 ..................................... 18
第八章 附 则 ...................................................... 19
第五条
1
� 第一章 总 则
第一条 为了促进甘肃能化股份有限公司(以下简称“公司”)全面评价内部
控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范重大风
险及重要风险,根据《甘肃能化股份有限公司内部控制基本规范》规定,参照《企
业内部控制评价指引》等配套指引,结合公司实际情况,制定本办法。
第二条 本办法所称内部控制评价,是指由公司董事会组织实施的,对公司内
部控制的有效性进行评价,以形成评价结论,出具评价报告的过程。
第三条 本办法适用于公司总部及所属子企业内部控制评价机构、内部评价人
员直接从事或负责协调的内部评价活动。
第四条 公司内部控制评价的目标是通过对公司内部控制关于体系结构的健
全性、制度性安排的合理性和执行绩效的有效性进行自我评价,促使公司切实加
强内部控制体系建设并认真执行,保证内部控制体系得以持续、有效改进。具体
目标包括:
(一)强化内部控制意识,建立健全内部控制机制,严格落实各项控制措施,
确保内部控制体系有效运行;
(二)提高风险管理水平,为实现公司发展战略和经营目标提供保障;
(三)增强公司业务、财务和管理信息的真实、完整和及时性;
(四)保障公司资产的安全和完整;
(五)确保公司各项活动的合法合规性;
(六)为公司的风险管理提供信息服务和决策支持。
第五条 为确保公司内部控制评价能够定位准确、客观,公司实施内部控制评
价工作,应遵循下列原则:
2
� (一)全面性原则。即评价工作应当包括内部控制的设计与运行,涵盖公司
及其所属子企业的各种业务和事项。
(二)重要性原则。即评价工作应当在全面控制的基础上,关注重要业务单
位、重大事项和高风险领域。主要体现在制定和实施评价工作方案、分配评价资
源的过程之中,它的核心要求主要包括两个方面:一是坚持风险导向的思路,着
重关注那些影响内部控制目标实现的高风险领域和风险点;二是坚持突出重点的
思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。
(三)客观性原则。即评价工作应当准确揭示经营管理的风险状况,如实反
映内部控制设计与运行的有效性。
第六条 公司依据《甘肃能化股份有限公司内部控制基本规范》规定及要求,
建立公司内部控制评价组织职能体系及工作机制。
第七条 内部控制评价遵循的基本程序包括五个阶段:组织与准备、评价范围
与内容的确定、内部控制测试、缺陷评估与评估报告。
第八条 内部控制评价一般包括:年度评价和专项评价。年度评价是公司及子
企业各责任单位根据内部控制目标,对年度建立与实施内部控制的有效性进行评
价;专项评价是指公司及子企业各责任单位在特定时点对特定范围的内部控制有
效性进行的评价。
上述内部控制自我评价,按照有关国家法规的规定及公司内部控制要求,出
具内部控制自我评估报告。
第二章 内部控制评价内容
第九条 公司针对与实现整体目标相关的内部环境、风险评估、控制活动、信
息与沟通、内部监督等五要素进行全面系统、有针对性的评价。
上述控制要素按业务活动内容划分,包括:组织架构、发展战略、人力资源、
3
�社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、
工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传
递、信息系统等18个方面,风险评估及内部监督始终须贯穿于各项业务活动。
第十条 内部控制环境评价应重点关注组织架构、发展战略、人力资源、社会
责任、企业文化等五大基础制度建设与运行情况。具体包括:
(一)组织架构方面:重点关注公司及子企业各责任单位的董事会、监事会、
经理层形成制衡机制;董事会、监事会、经理层致力于内部控制制度建设和执行;
组织机构设置科学、精简、高效、透明、权责匹配、相互制衡,能为内部控制建
立和执行提供强有力的组织机构保障和工作机制保障;组织架构适应性;组织架
构对子企业的控制力;健全和完善内部审计制度,重视和加强其内部审计监督工
作等情况。
(二)发展战略方面:重点关注公司及子企业各责任单位的发展战略科学合
理,既不缺乏也不激进;发展战略有效实施;发展战略科学调整等情况。
(三)人力资源政策方面:重点关注公司及子企业各责任单位人力资源结构
合理、能够满足公司需要;人力资源开发机制健全有效;人力资源激励约束机制
健全有效等情况。
(四)社会责任方面:重点关注公司及子企业各责任单位安全生产体系、机
制健全有效;产品质量体系健全有效;切实履行环境保护和资源节约责任,促进
就业和保护员工权益等情况。
(五)企业文化:重点关注公司及子企业各责任单位企业文化具有凝聚力和
竞争力,促进公司高质量发展;企业文化评估具有客观性、实效性等情况。
第十一条 风险评估评价,按照公司有关风险评估框架要求,以列示的主要风
险为依据,对日常经营管理过程中相关的目标设定、风险识别、风险分析和应对
策略等进行认定和评价。重点关注公司及子企业各责任单位的目标设定、风险识
4
�别、风险分析和风险应对策略等机制运转情况。
第十二条 内部控制活动评价,重点关注公司及子企业各责任单位的资金活动、
采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、
财务报告、全面预算、合同管理等相关控制措施的设计与运行情况。主要包括:
(一)控制活动的设计方面:重点关注以上各项业务活动的控制措施足以覆
盖公司重要风险,不存在控制缺失、控制过度的情况;
(二)控制活动的运行方面:重点关注以上各项业务控制活动运行符合控制
措施规定。
第十三条 信息与沟通评价,重点关注公司及子企业各责任单位的内部信息传
递、信息系统等相关措施设计与运行等情况,主要包括:
(一)信息收集处理和传递及时、准确、适用;
(二)反舞弊机制健全;
(三)沟通顺畅;
(四)利用信息化程度。
第十四条 内部监督评价,重点关注监事会、审计委员会、内部审计机构等内
部监督机构在内部控制设计和运行中发挥监督作用的情况。主要关注内部监督能
够覆盖并监控公司及子企业各责任单位的日常业务活动。
内部监督评价主要包括持续性监督检查评价、专项监督检查评价和缺陷报道
和追查行动评价。
持续性监督检查,是指公司及子企业各责任单位组织的对建立和实施内部控
制的整体性情况所进行的持续的、全面的、系统的、动态的监督检查。
专项监督检查,是指公司及子企业各责任单位组织的对内部控制建立与实施
的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。
5
� 缺陷的报道和追查行动评价主要关注发现的内部控制缺失(设计和执行中的
缺陷)是否进行汇集并进行报道;报道的方式方法是否适当,或直接告诉职工或
其上级,或向更高层的主管和董事会报告等;是否调查了发现问题的原因,是否
针对缺失采取了更正措施,是否对更正行为效果进行了追查。
第十五条 公司实施内部控制评价,包括对内部控制设计有效性和运行有效性
的评价。
内部控制设计有效性评价是指为实现控制目标所必需的内部控制要素都存在
并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确
执行。
公司实施内部控制评价,可以包括对内部控制设计及运行过程中的经济性进
行评价。经济性是指在为内部控制有效性提供合理保证的前提下降低运行成本。
第三章 内部控制评价程序及组织职能体系
第十六条 公司内部控制评价程序指对内部控制制度进行评价的具体步骤,主
要包括组织与准备、评价范围与内容确定、内部控制测试、缺陷评价与评价报告。
第十七条 为了有效开展内部控制评价,需要做好组织与准备工作,确定内部
控制评价的组织职能体系及工作机制。具体包括建立内部控制评价组织机构、确
定评价人员、编制评价工作方案等。
(一)公司内部控制评价工作在公司审计委员会的领导下统一进行;
1.公司董事会是内部控制评价的最高决策机构和最终责任者,其主要职责包
括:
(1)审阅和批准公司内部控制评价报告;
(2)批准由公司管理层提交的涉及内部控制整改的重大决策、重大风险、重
大事项;
6
� (3)审议和批准按照公司章程规定由董事会批准的内部控制管理相关制度和
规章。
2.公司审计委员会是内部控制评价的领导机构,其主要职责包括:
(1)审议公司内部控制评价报告,发表专项意见,并向董事会报告;
(2)监督公司内部控制有效实施和内部控制评价情况。
3.公司成立内部控制评价工作领导小组,具体领导和协调公司实施内部控制
评价工作,并向董事会及董事会审计委员会汇报。其主要职责包括:
(1)审议和批准公司内部控制评价工作方案;
(2)审议公司内部控制评价报告,并提出相关意见和建议;
(3)了解公司日常内部控制风险监控结果,根据内控缺陷情况,审议内控缺
陷整改方案和措施;
(4)协调和解决公司跨部门的内部控制评价过程中出现的重大事项;
(5)听取和了解内控缺陷整改过程中出现的相关重大事项,并按照董事会授
权进行组织领导和协调。
4.公司内部控制评价小组具体负责公司内部控制评价工作。其主要职责为:
(1)组织建立内部控制体系评价方法;
(2)组织制定内部控制体系评价整体工作方案;
(3)负责实施内控测试工作,组织制定评价测试实施方案;
(4)组织确定参加评价测试的队伍,并负责评价测试人员的培训和对其他测
试人员的培训;
(5)组织开展上市公司自我评价;
(6)负责例外事项改进工作;
7
� (7)负责缺陷评估;
(8)负责组织汇总编制内部控制评价报告,对上市公司内部控制有效性进行
评价。
(二)公司内部控制评价工作小组成员由公司风险防控审计部、资产财务部、
人力资源部、证券部、综合办公室等职能部门熟悉公司重大业务事项和重要业务
控制流程的业务骨干组成;
1.评价人员主要包括测试人员和缺陷评估人员;评价人员要求具有一定的专
业知识,熟知内部控制体系评价的相关规定,并具有一定的工作经验及职业判断
能力,除此之外在人员配置上应有相对的独立性,并保持相对稳定。
2.测试形式包括评价测试和自我测评。
评价测试是由测试人员针对公司内部控制设计、运行的有效性和运行的经济
性具体实施的检查过程。重点针对高风险领域、例外事项频发领域、重要业务环
节以及新建单位等。
自我测评是由公司针对本单位内部控制设计、运行的有效性和运行的经济性
实施的检查过程。
(三)评价工作方案由公司内部控制评价工作小组或董事会委托会计师事务
所负责编制,并牵头组织公司内部控制评价工作实施;
1.编制评价工作方案的目的是为了更好地组织实施测试,明确测试的目的及
范围,合理安排测试组成员的组成及分工,规范测试方法和程序;
2.方案的基本要素包括测试基本要求、测试的组织实施、测试组总结报告、
汇报沟通及质量控制。
(1)测试基本要求包括立项依据、测试目标、组织方式、测试范围、测试内
容、测试期间和依据、测试组织、测试基本方法及样本量确定、测试计划安排及
8
�人员分组等;
(2)测试组织实施包括测试准备、测试实施两个阶段;
(3)测试组总结报告记录工作底稿、审核审理、对测试结果汇总分析报告;
(4)汇报沟通及质量控制包括沟通机制、汇报机制和质量控制。
(四)测试过程中的沟通与协调工作。主要包括:
1.沟通的有关方面主要包括:风险管理部门与测试组的沟通,测试人员与被
测试单位的之间的沟通等。
2.沟通的主要内容包括:法律法规的变化,评价程序、方法和标准的变化,
评价范围的确定及其变化,测试结果,缺陷评估结果。
第十八条 评价范围的确定
测试范围的确定以“自上而下、风险导向”的基本方法,按照一定方法和程
序将公司层面、业务活动层面、信息系统总体控制测试的范围确定下来。测试范
围确定的程序包括公司层面重要风险和关键控制确定、测试范围的确定等三个方
面。
第十九条 内部控制测试是按照规定的程序、方法和标准对公司内部控制体系
设计有效性和执行的有效性、经济性进行检查。
测试主要包括:根据设计有效性、运行有效性和运行的经济性评价要求,对
公司层面、业务活动层面和信息系统总体控制有效性、经济性分别进行测试;对
测试发现的例外事项进行分类说明;根据测试结果编制测试报告。
第二十条 缺陷认定或评估
缺陷评估是以规定的程序、方法和标准,对内部控制测试发现的例外事项进
行综合分析,进而评估内部控制是否存在缺陷以及导致财务报告错报的影响程度
和发生可能性的过程。缺陷评估是以单个控制缺陷分析为基础,由于与特定会计
9
�科目、披露事项以及COSO要素相关的多个控制缺陷增加了错报的可能性,还应对
控制缺陷进行汇总,以此确定汇总后的缺陷是否构成重要缺陷或重大缺陷。
第二十一条 内部控制评价报告
评价报告是在测试和缺陷评估结果的基础上,根据公司内部控制管理的不同
需求,对内部控制有效性、经济性进行综合或者单独评价及报告的过程。报告内
容一般包括审查和评价内部控制的目的、范围、审计结论、审计决定、改善建议、
反馈意见等内容。报告应突出被评价单位组织现行内部控制制度状况,现行制度
执行情况,存在的问题及其影响,应予改进的建议等。在评价报告基础上,还应
撰写一份致管理部门的意见书或改进建议书。评价报告及意见书,既可以作为管
理者改进内部控制、加强经营管理的依据,也可作为评价人员履行职责的依据,
还可以作为下次评价选择重点或线索的依据。
第四章 内部控制评价方法
第二十二条 内部控制评价方法主要指在内部控制评价中经常使用或专门使
用的一些评价技术。如制度调查法、制度描述法、制度测试法、制度评价法、自
我评价法和评价工具等。
第二十三条 内部控制制度调查法旨在了解评价公司已经建立的制度及各项
制度设计有效性等。调查方法主要包括审阅(查阅)法、询问法、观察法和调查
表法。
第二十四条 制度描述法即在制度调查的基础上,用明确的文字或通过制表绘
图方式将现行制度准确地表达出来,以助于更加清晰地了解。制度描述法主要包
括文字说明法、制表法和绘制流程图法。
第二十五条 制度测试方法主要是指对内部控制进行符合性测试的方法。主要
包括检查证据法、重新处理法和实地观察法。
10
� 第二十六条 内部评价方法主要是进行符合性测试以后,对内部控制可信赖程
度和薄弱环节所使用的评价方法。
第二十七条 内部控制自我评价方法是指在内部评价机构和人员的协调下,由
公司所属各运营单位管理阶层组织,定期开会,通过思考,坦诚沟通,找出作业
流程或控制中的问题所在,并提出改善的行动方案。自我评价无论采取任何形式,
其相同特征是:都关注业务的过程和控制的成效;均由管理部门和职员共同进行
的自我评价;用规范的方法开展评价活动。
第二十八条 内部控制(评估)评价工具,一种是供组织全体控制事务使用的
“组成要素评估工具”,另一种则是作业层检讨使用的风险评估工具。前者评价
工具主要包括内部控制组成要素个别评估表、风险评估及控制活动底稿和内部控
制整体评估表。
第五章 内部控制缺陷评价
第二十九条 内部控制缺陷评估包括公司层面控制评价、业务活动层面控制缺
陷评价和信息系统总体控制缺陷评价。
内部控制缺陷,按照缺陷来源或产生的原因分类,一般包括:
(一)设计缺陷;
(二)运行缺陷。
第三十条 公司层面控制缺陷通常不会直接导致财务报告错报,但会增加业务
活动层面财务报告错报的可能性。因此,公司层面控制缺陷评价一般很难使用量
化的方法,主要采用定性分析,即逐项分析缺陷发生的原因、缺陷的性质、缺陷
的影响程度和错报发生的可能性等因素,从而判断缺陷的类别。
缺陷评价的程序一般分为两个阶段,即例外事项分析阶段和单项业务缺陷评
价阶段。
11
� 在例外事项分析阶段,首先对例外事项进行汇总整理,纳入缺陷评价的是未
整改或已整改但未达到合理运行时间的例外事项。其次应当与测试人员及所属单
位相关人员进行必要的沟通,对例外事项的发生原因及未整改原因进行分析。
在单个缺陷评价阶段,首先控制缺陷与财务报告错报或漏报的关联程度进行
定性分析,如果该缺陷对财务报告的错报或漏报没有直接影响,根据该缺陷发生
的原因、性质以及造成的影响,确认为一般缺陷。然后依据公司层面评价判断(认
定)标准,首先分析控制缺陷是否属于重大缺陷的范畴,属于此范畴的,进行重
大缺陷分析;如果不属于此范畴,进行重要缺陷和一般缺陷分析。
针对属于重大缺陷范畴的控制缺陷,判断是否存在有效的补充、冗余或补偿
控制,再进行定性分析,考虑可能性和影响程度等因素后,如果一个谨慎的管理
者认为该控制缺陷对财务报告产生重大错报,该控制缺陷确认为重大缺陷。对不
属于重大缺陷的控制缺陷,判断是否存在有效的补充、冗余或补偿控制,再进行
定性分析,考虑可能性和影响程度等因素后,如果一个谨慎的管理者认为该控制
缺陷对财务报告产生的影响水平低于重大缺陷造成的影响,但足以引起公司财务
报告监管人员的注意,该控制缺陷确认为重要缺陷。对于不属于重大缺陷和重要
缺陷的控制缺陷,如果一个谨慎的管理者认为其对财务报告产生的影响水平低于
重要缺陷造成的影响,但也应引起公司管理部门的关注,该控制缺陷确认为一般
缺陷。
第三十一条 业务活动层面的缺陷评价应采用定量判断和定性分析相结合的
方法。其中定量判断适用于能够采用量化指标分析对财务报告错报的影响程度的
控制缺陷。定性分析则是在定量判断的基础上,通过考虑相关定性因素后,确定
控制缺陷导致财务报告错报的影响程度以及错报发生的可能性。
业务层面的缺陷评价程序同样分为例外事项分析阶段和单个缺陷评估阶段。
例外事项分析的具体工作步骤与公司层面的控制缺陷一致。
单个缺陷评价阶段的相应步骤包括定性分析和定量判断。
12
� 定性分析阶段首先对控制缺陷与财务报告错报或漏报的关联程度进行定性分
析,如果该缺陷对财务报告的错报或漏报没有直接影响,可根据该缺陷发生的原
因、性质以及造成的影响,确认为一般缺陷。
定量判断中首先按照前述测试过程,确定关键控制影响会计科目及总体影响
水平,并确定该缺陷的实际偏差率上限。其次,将总体影响水平乘以实际偏差率
上限,确定经调整影响水平。最后,取得公司当年的税前利润,乘以前述确定的
相应比率计算出一般性水平;乘以前述确定的相应比例计算出重要性水平。将单
个控制缺陷的经调整影响水平与一般性、重要性水平进行比较,初步确定缺陷类
别。属于一般缺陷的,进行一般缺陷分析;属于重要缺陷的,进行重要缺陷分析;
属于重大缺陷的,进行重大缺陷分析。
第三十二条 信息系统总体控制缺陷评价主要采用定性分析的方法,所以对信
息系统总体评价控制缺陷的认定,应当与应用系统控制缺陷评价密切结合。
信息系统总体控制缺陷评价以信息系统总体控制测试发现的例外事项为基础,
缺陷评价的程序同样可以分为例外事项分析阶段和单个缺陷评价阶段。
例外事项分析阶段的具体工作步骤与公司层面的控制缺陷一致。
单个缺陷评价阶段的相应步骤包括:
首先,进行冗余或补充性控制的判断。检查存在例外事项的控制是否存在补
充控制或冗余控制,是否能有效减轻控制缺陷的严重性。如果存在补充控制或冗
余控制,并且这些控制运行有效,那么进行定性分析;如果不存在补充控制或冗
余控制,或存在的补充控制或冗余控制经过测试后,表明控制运行存在缺陷,那
么需要结合应用系统控制缺陷进行分析。
其次,结合应用系统控制缺陷,按照不同的缺陷类型进行分析。判断是否存
在与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷。如果总
体控制缺陷没有导致应用系统层面的控制缺陷,那么进行定性分析。
13
� 最后,进行定性分析。对于上述需要进行定性分析的控制缺陷执行此过程,
在定性分析的过程中,主要考虑如下七个因素:信息系统总体控制与应用系统和
数据的关联程度;应用系统和数据中存在的普遍性,包括信息系统总体控制缺陷
有或由其引起的信息系统应用系统控制的数量;控制缺陷会负面影响应用系统控
制的可能性;控制缺陷的性质与分布程度;信息系统总体控制缺陷是否与易受损
失或舞弊影响的会计科目和披露事项的应用系统和控制相关;在信息系统总体控
制的运行有效性中,已知或者发现的例外情况的原因和频率;过去年度及当年发
生的错报,这些错报与信息系统总体控制缺陷影响的应用控制有关。
第三十三条 内部控制缺陷的认定标准
根据本公司的性质、经营管理特点以及重要业务风险等,将内部控制缺陷按
其影响程度分为重大缺陷、重要缺陷和一般缺陷。具体分类如下:
(一)财务报告内部控制缺陷认定标准;
1.定性标准
重大缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报
告中的重大错报。出现下列情形的,认定为重大缺陷:
A.公司管理层存在任何程度的舞弊;
B.控制环境无效;
C.发现并报告管理层的重大内控缺陷在经过合理的时间后,并未加以改正;
D.关联交易总额超过股东会批准的交易额度的缺陷;
E.审计发现的重大错报不是由公司首先发现的;
F.其他影响报表使用者正确判断的缺陷。
重要缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报
告中虽然未达到和超过重要性水平,仍应引起管理层重视的错报。
14
� 一般缺陷:不构成重大缺陷或重要缺陷的其他内部控制缺陷。
2.定量标准
具体分类如下:
项目/重要程度 一般缺陷 重要缺陷 重大缺陷
合并会计报表利润总额的1%
错 报≤合 并会 计报 错报﹥合并会计报
利润总额潜在错报 ﹤错报≤合并会计报表利润
表利润总额的1% 表利润总额的2%
总额的2%
合 并 会 计报 表 资产 总 额的
错 报≤合 并会 计报 错报﹥合并会计报
资产总额潜在错报 0.15%﹤错报≤合并会计报表
表资产总额的0.15% 表资产总额的0.3%
资产总额的0.3%
错 报≤合 并会 计报 合并会计报表营业收入总额 错报﹥合并会计报
营业收入潜在错报 表 营业收 入总 额的 的0.15%﹤错报≤合并会计报 表营业收入总额的
0.15% 表营业收入总额的0.3% 0.3%
合 并 会 计报 表 权益 总 额的
错 报≤合 并会 计报 错报﹥合并会计报
所有者权益潜在错报 0.15%﹤错报≤合并会计报表
表权益总额的0.15% 表权益总额的0.5%
权益总额的0.5%
(二)非财务报告内部控制缺陷认定标准;
公司分别按定性标准和定量标准划分确定重大缺陷、重要缺陷和一般缺陷。
1.定性标准
出现以下情形的,认定为重大缺陷,其他情形按影响程度分别确定为重要缺
陷或一般缺陷。
A.违反法律、法规较严重;
B.除政策性亏损原因外公司连年亏损,持续经营受到挑战;
15
� C.重要业务缺乏制度控制或制度系统性失败;
D.重大决策程序不科学;
E.公司管理人员纷纷离开或关键岗位人员流失严重;
F.被媒体频频曝光负面新闻;
G.内控评价结果特别是重大或重要缺陷未得到整改。
2.定量标准
具体分类如下:
缺陷认定登记 直接财产损失金额 重大负面影响
受到省级(含省级)以下政府部门处
一般缺陷 100万元(含100万元)以下 罚但未对本公司定期报告披露造成
负面影响
受到国家政府部门处罚但未对本公
重要缺陷 100万元至300万元
司定期报告披露造成负面影响
已经对外正式披露并对本公司定期
重大缺陷 300万元以上
报告披露造成负面影响
第六章 内部控制评价报告
第三十四条 内部控制评价报告是将评价人员在对内部控制过程中的发现、查
明的事实、获得的结论与建议,以书面文字形式通知组织有关的管理层的过程。
报告将评价结果转达成建议改善或通知纠正的手段,当做提供有关方面作决定的
行动的根据。因此,报告的基本作用是促请有关管理层及时采取增进效能与效率
的行动。
第三十五条 公司内部控制评价小组或董事会委托的会计师事务所负责汇总
草拟内部控制评价报告,经内控评价工作领导小组审核修订后,提交公司董事会
16
�审计委员会审议。
第三十六条 报告编制必须符合以下要求:
客观性:依据审计事实客观做出判断,不偏不倚;
充分性:资料完备,说理透彻;依据充分,内容明确;
合理性:内容繁简得当,结构符合逻辑,文字表达流畅;
及时性:评价完成后及时撰写。
第三十七条 报告的编写方法主要包括起草、复核、协调和审定签发等。
评价人员负责起草各自单项业务评价报告,并由单项业务评价小组负责人复
核,复核后的报告在提交公司评价小组前,必须和被审计单位管理层就报告内容
进行详细的讨论。协调后,应视需要对报告进行删改和修饰后报公司评价小组,
由公司评价小组再行安排有关人员汇总出具公司整体评价报告,报请公司评价工
作领导小组审定修订,提交公司董事会审议签发。
第三十八条 公司整体内部控制评价报告至少应当披露下列内容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据;
(四)内部控制评价的范围;
(五)内部控制评价的程序和方法;
(六)内部控制缺陷及其认定情况;
(七)内部控制缺陷的整改情况及重大缺陷应采取的整改措施。
(八)内部控制有效性的结论。
17
� 阐述发现与结果时,应说明现状情况(调查与测试结果)、标准要求、现状
与标准比较后的差异所在、差异对组织的影响和差异存在的原因。
第三十九条 根据内部控制评价中发现的重大缺陷,可视需要在报告的基础上
撰写“管理意见书”或“内部控制缺陷通知”报送给有关管理层。以阐明缺陷、
原因、影响及应采取的补救措施或改进建议。作为管理层改进内部控制、加强经
营管理的根据,也可作为评价人员履行职责的依据。
第四十条 内部控制评价报告的披露按照国家有关规定执行:
(一)公司年度报告披露的同时,披露年度内部控制评价报告以及会计师事
务所对内部控制评价报告的审计意见;
(二)公司以12月31日作为年度内部控制评价报告的基准日的,内部控制评
价报告应于基准日后4个月内报出。
第七章 内部控制评价监督和改进
第四十一条 公司内部控制评价涉及公司总部各职能部门和所属子企业各责
任单位的,及时提供全面和准确的资料,保证内部控制评价工作的顺利开展,因
迟报、漏报、瞒报等影响重大风险的妥善处置,造成严重后果,将追究有关人员
的责任。
第四十二条 公司对内部控制评价资料进行妥善保管,按照公司档案管理规定
及时进行归档并保存。
未经授权批准或许可,任何个人或权属单位不得对外公布内部控制评价结果,
凡擅自公布内部控制评价结果,给公司声誉和经济造成损失,将追究有关人员的
责任。
第四十三条 公司开展内部控制评价工作机制的全面评估工作,通过评估持续
改进内部控制评价工作的工作效率和工作质量。
18
� 第八章 附 则
第四十四条 本办法由公司董事会发布并解释。
第四十五条 本办法经公司董事会审议通过之日起实施。
19
�
