万向钱潮:万向钱潮股份公司内部控制管理办法(2024年12月制订)2024-12-31
实施日期
万 向 钱 潮 股 份 公 司 文件编号 Q/QC G00027-2024
内部控制管理办法 版本号 A
修改水平 0
1. 总则
1.1 为加强和规范万向钱潮股份公司(以下简称“万向钱潮”)内部控制,保证公司经营管
理合法合规、资产安全、财务报告及相关信息真实、准确、完整,提高经营效率和效果,实
现发展战略目标,提升风险管控能力,促进规范运作和可持续发展。根据法律、法规及证监
会的相关要求,结合公司实际,特制定《内部控制管理办法》(以下简称“本办法”)。
1.2 本办法所称内部控制,是由万向钱潮董事会、监事会、经理层、各公司和全体员工共同
实施的、旨在实现控制目标的过程。
1.3 万向钱潮及各公司(含拥有实际控制权的分、子、孙公司,以下同),适用本办法。
1.4 内部控制的目标是合理保证万向钱潮及各公司经营管理合法合规、资产安全、财务报告
及相关信息真实完整,提高经营效率和效果,促进万向钱潮及各公司实现发展战略。
1.5 内部控制应当充分考虑以下基本要素:
1.5.1 内部环境:内部环境是影响、制约公司内部控制建立与执行的各种内部因素的总称,是
万向钱潮及各公司建立与实施内部控制的基础。内部环境一般包括治理结构、机构设置及权
责分配、内部审计、人力资源制度和公司文化等。
1.5.2 风险评估:风险评估是指及时识别、科学分析和评价影响公司内部控制目标实现的各种
不确定因素并采取应对策略的过程。风险评估由目标设定、风险识别、风险分析和风险应对
构成,是内部控制的重要环节。在万向钱潮及各公司生产经营过程中,只有进行科学的风险
评估,自觉地将风险控制在可承受范围之内,才能实现健康可持续发展。
1.5.3 控制活动:控制活动是指结合具体业务和事项,运用相应的控制政策和程序实施控制。
控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、
预算控制、运营分析控制和绩效考评控制等。
1.5.4 信息与沟通:信息与沟通是指万向钱潮及各公司及时、准确、完整收集整理与公司经
营管理相关的各种内外部信息,并借助信息技术,促使这些信息以恰当的方式在各个层级之
间进行及时传递、有效沟通和正确使用的过程。
1.5.5 内部监督:内部监督是内部控制得以有效实施的机制保障,在内部控制构成要素中,
对内部控制制度的建立与实施和内部控制系统的评价与报告,具有十分重要的作用。
1.6 内部控制应当遵循以下基本原则:
1.6.1 合法性原则:内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要
求。
1.6.2 全面性原则:内部控制应当贯穿决策、执行和监督全过程,覆盖万向钱潮及各公司的
1
� 实施日期
万 向 钱 潮 股 份 公 司 文件编号 Q/QC G00027-2024
内部控制管理办法 版本号 A
修改水平 0
各种业务和事项。
1.6.3 重要性原则:内部控制应在全面控制的基础上,重点关注重要业务事项和高风险领域。
1.6.4 制衡性原则:内部控制应在治理结构、机构设置、权责分配、业务流程等方面相互制
约、相互监督、同时兼顾运营效率。
1.6.5 适应性原则:内部控制应与经营规模、业务范围、竞争状况和风险水平等相适应,并
随着情况的变化加以调整。
1.6.6 成本效益原则:实施内部控制必须权衡成本与效益,以适当的成本实现有效控制。
1.6.7 有效性原则:内部控制制度应具有高度的权威性,公司全体人员应自觉维护内部控制
制度的有效执行,内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
2. 内部环境
2.1 公司应根据有关法律法规和企业章程,建立规范的治理结构和议事规则,明确决策、执
行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
2.2 董事会负责内部控制的建立健全和有效实施,主要职责包括:
2.2.1 审议批准内部控制监督管理基本制度;
2.2.2 审议批准年度《内部控制自我评价报告》;
2.2.3 督导万向钱潮内部控制文化的培育;
2.2.4 审议批准内部控制的其它重大事项。
2.3 董事会下设审计与考核委员会,对公司内部控制进行监督评价,主要职责包括:
2.3.1 监督内部控制的有效实施和内部控制自我评价情况;
2.3.2 协调内部控制审计和其他事宜等。
2.4 监事会对董事会建立和实施内部控制进行监督,主要职责包括:
2.4.1 通过参与内部控制事项决策的相关会议,对董事会、经理层有关内部控制建设、运行
与评价工作进行监督;
2.4.2 审议年度《内部控制自我评价报告》,并发表意见;
2.4.3 监督内部控制缺陷的认定情况;
2.4.4 监督内部控制管理的其他重大事项。
2.5 经理层负责组织领导内部控制的日常运行,主要职责包括:
2.5.1 落实、推进内部控制体系建设工作,培育与宣贯内部控制文化;
2.5.2 审核需提交董事会审议的事项;
2.5.3 经董事会授权或相关制度规定的其他内部控制职责。
2
� 实施日期
万 向 钱 潮 股 份 公 司 文件编号 Q/QC G00027-2024
内部控制管理办法 版本号 A
修改水平 0
2.6 审计稽核部是万向钱潮内部控制监督管理主管部门,负责内部控制监督管理工作的组织、
协调和指导工作,其主要职责包括:
2.6.1 统筹拟定、修订内部控制监督管理的相关规章制度;
2.6.2 统筹实施万向钱潮年度内部控制评价工作,监督各公司开展年度内部控制评价工作;
2.6.3 根据监管要求,提请董事会聘请会计师事务所对万向钱潮内部控制进行审计并出具内
部控制审计报告;
2.6.4 对万向钱潮及各公司内部控制建设及执行情况开展审计监督;
2.6.5 负责指导、协助各公司持续优化业务流程,完善内部控制体系;
2.6.6 负责万向钱潮内部控制文化培育和宣贯的具体工作;
2.6.7 负责其它内部控制监督管理事项。
2.7 万向钱潮各职能部门及下属分公司、子公司是内部控制的第一责任主体,在内部控制建
设和执行过程中履行相应的管理职责,负担内部控制主体责任,其主要职责包括:
2.7.1 拟定、修订、完善内部规章制度,持续优化业务流程,完善内部控制体系;
2.7.2 督促员工按照内部控制要求开展工作;
2.7.3 对内部控制建设及执行情况进行检查及评价;
2.7.4 配合万向钱潮审计稽核部开展内部控制监督管理工作;
2.7.5 负责本部门、本公司的内部控制文化建设工作;
2.7.6 协助落实其他内部控制事项。
2.8 万向钱潮应当制定和实施有利于公司可持续发展的人力资源政策。人力资源政策应当包
括下列内容:
2.8.1 员工的聘用、培训、辞退与辞职;
2.8.2 员工的薪酬、考核、晋升与奖惩;
2.8.3 建立部门或员工提出对公司人力资源制度改进、优化、完善的意见、建议的通道;
2.8.4 关键岗位员工的强制休假制度和定期岗位轮换制度;
2.8.5 掌握公司商业秘密的员工离岗的限制性规定及离职后跟踪、监督;
2.8.6 有关人力资源管理的其他政策。
3. 风险评估管理
3.1 公司应当建立科学有效的内部控制风险评估管理体系,通过系统地评估和审查组织内部
的风险和控制措施,以识别和缓解潜在风险,确保组织目标的实现。
3.2 内部控制风险评估应当遵循以下原则:
3
� 实施日期
万 向 钱 潮 股 份 公 司 文件编号 Q/QC G00027-2024
内部控制管理办法 版本号 A
修改水平 0
3.2.1 合法性原则。评估工作应当符合法律法规的规定以及有关政府监管部门的要求。
3.2.2 全面性原则。评估工作应当包括经济活动决策和执行全过程,涵盖万向钱潮及各公司
的各种经济业务。
3.2.3 重要性原则。评估工作应当在全面评估的基础上,关注重要经济活动的风险。
3.2.4 适应性原则。评估工作应当根据万向钱潮及各公司实际情况,随外部经济环境变化、
公司经济活动的调整和管理要求,不断完善和调整。
3.3 风险评估一般按照目标设定、风险识别、风险分析、风险应对等程序进行。
3.4 目标设定是风险识别、风险分析和风险应对的前提。公司根据战略目标,设定相关的经
营目标、财务报告目标、合规性目标与资产安全完整目标,并根据设定的目标合理确定公司
整体风险承受能力和具体业务层次上可接受的风险水平。
3.5 公司在充分调研和科学分析的基础上,准确识别影响内部控制目标实现的内部风险因素
和外部风险因素。
3.6 应当关注的内部风险因素一般包括:
3.6.1 董事、监事等其他高级管理人员职业操守、员工专业胜任能力、员工管理及培养、员
廉洁合规意识、团队精神等人员素质因素;
3.6.2 经营方式、资产管理、业务流程设计等管理因素;
3.6.3 财务状况、经营成果、现金流量等财务因素;
3.6.4 研究开发、技术投入、信息技术运用等技术创新因素;
3.6.5 营运安全、员工健康、环境污染等安全环保因素;
3.6.6 其他有关内部风险因素。
3.7 应当关注的外部风险因素一般包括:
3.7.1 经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济
因素;
3.7.2 法律法规、监管要求等法律及政策因素;
3.7.3 文化传统、社会信用、教育基础、消费者行为、行业负面舆情等社会因素;
3.7.4 技术进步、工艺改进等科技因素;
3.7.5 自然灾害、环境状况等自然环境因素;
3.7.6 其他有关外部风险因素。
3.8 公司针对已识别的风险因素,从风险发生的可能性和影响程度两个方面进行分析。公司
根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准。
4
� 实施日期
万 向 钱 潮 股 份 公 司 文件编号 Q/QC G00027-2024
内部控制管理办法 版本号 A
修改水平 0
3.9 公司根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。公
司应当合理分析、准确掌握董事及其他高级管理人员、关键岗位员工的风险偏好,采取适当
的控制措施,避免因个人风险偏好给公司经营带来重大损失。
3.10 公司根据风险分析情况,结合风险成因、公司整体风险承受能力和具体业务层次上的可
接受风险水平,确定风险应对策略。
3.11 风险应对策略一般包括风险回避、风险承担、风险降低和风险分担等。
3.12 公司对超出整体风险承受能力或者具体业务层次上的可接受风险水平的风险,应当实行
风险回避。
3.13 公司应当结合不同发展阶段及业务情况,持续收集与风险变化相关的信息,进行风险识
别和风险分析,及时调整风险应对策略。
3.14 万向钱潮及各公司建立经济活动、业务活动内部控制风险定期评估机制,经济活动风险
评估至少每年进行一次,外部环境、经济活动或管理要求等发生重大变化时应重新进行评估。
4. 内部控制措施
4.1 董事会或经理层应根据国家有关法规规定,及时改进内部控制,调整机构、岗位设置和
职责分工,完善授权体系。
4.2 内部控制体系运行按照“集中、分类、分层”的管理模式,从三方面不断改进和完善:
4.2.1 集中管理
万向钱潮统一领导内部控制体系建设、实施和评价工作,制定和推动实施内部控制建设规划,
制定和维护“本办法”,组织内部控制评价等工作。
4.2.2 分类管理
4.2.2.1 职能部门在职责范围内,根据《内部控制管理办法》实行分类管理。
4.2.2.2 各公司应参照万向钱潮制度分类管理方式,结合本公司具体业务、组织架构及客观
情况等,落实分类管理工作。
4.2.3 分层管理
4.2.3.1 各层级按照上级的要求,开展本层级的内部控制体系建设工作。
4.2.3.2 各层级内部控制日常管理机构负责牵头组织本层级的内控制度的实施和修订工作。
4.2.3.3 各层级负责完成本层级的内部控制评价工作。
4.3 各公司应当根据不相容职务分离控制要求,全面系统地分析、梳理业务流程中所涉及的
不相容职务,实施相应的系统及系统外分离措施,形成各司其职、各负其责、相互制约的工
作机制。
5
� 实施日期
万 向 钱 潮 股 份 公 司 文件编号 Q/QC G00027-2024
内部控制管理办法 版本号 A
修改水平 0
4.4 各公司应当根据授权审批控制要求,根据常规授权和特别授权的规定,明确各岗位办理
业务和事项的权限范围、审批程序和相应责任。公司各级管理人员应当在授权范围内行使职
权和承担责任。常规授权是指公司在日常经营管理活动中按照既定的职责和程序进行的授权,
针对的是公司中经常发生的、涉及范围较广的日常经营业务。特别授权是指公司在特殊情况、
特定条件下进行的应急性授权,针对的是公司中不经常发生的,较为重要的特殊的经济业务。
4.5 各公司应当根据会计系统控制要求,严格执行国家统一的会计准则制度,加强会计基础
工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。公司
依法设置会计机构,配备会计从业人员。
4.6 各公司应当根据财产保护控制要求,建立财产日常管理制度和定期清查制度,采取财产
记录、实物保管、定期盘点、账实核对等措施,确保财产安全。
公司严格限制未经授权的人员接触和处置财产。
4.7 各公司应当根据预算控制要求,建立全面预算管理制度。根据相关法律法规及本规范的
要求,公司制订《万向钱潮预算管理制度》,规范预算的编制、审核和执行的程序,强化对
预算的约束。
4.8 各公司应当根据运营分析控制要求,建立运营情况分析制度,经理层应当综合运用生产、
采购、投资、筹资、财务等方面的信息,定期开展运营情况分析,发现存在的问题,及时查
明原因并加以改进。
4.9 各公司应当根据绩效考评控制要求建立和实施绩效考评制度,科学设置考核指标体系,
对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员
工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
4.10 各职能部门及各公司应将法律法规等外部监管要求转化为内部规章制度,持续完善内部
管理制度体系。在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求,明确
重要业务领域和关键环节的控制要求和风险应对措施。当发生下列事项时,应修订和完善制
度:
4.10.1 国家相关法律法规、规章制度、行业从业规定、监管部门要求及政策等发生变化。
4.10.2 战略调整、组织机构及管理职责等内部环境发生调整变化。
4.10.3 新业务实施、技术更迭、业务管理要求等发生变化。
4.10.4 根据风险评估结果,重大风险或重要风险发生变化。
4.10.5 现行制度未对经营活动实现有效控制,造成重要及以上缺陷,甚至失控情况。
4.10.6 基于纠纷、突发事件等反映出内部控制存在问题的事项。
6
� 实施日期
万 向 钱 潮 股 份 公 司 文件编号 Q/QC G00027-2024
内部控制管理办法 版本号 A
修改水平 0
4.10.7 其他造成现行制度无法规范内部控制的事项。
4.11 万向钱潮及各公司每年按照对应职责组织开展内部控制培训,主要包括《内部控制管理
办法》《内部控制评价手册》及相关内容,确保对各项内部控制措施及评价方法掌握到位。
5. 信息与沟通
5.1 公司应充分发挥信息技术在信息与沟通中的作用。加强对信息系统开发与维护、访问与
变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定
运行。
5.2 运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与
信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
6. 内部控制监督管理
6.1 监督管理是指公司对其内部控制的健全性、合理性和有效性进行监督检查与评估,做出
相应处理的过程。
6.2 万向钱潮审计稽核部应当将内部控制监督管理工作纳入年度工作计划,加强对各公司、
职能部门内部控制的指导和监督。
6.3 万向钱潮审计稽核部每年应根据《内部控制评价手册》并结合万向钱潮实际情况,对各
部门及各公司内部控制建设及执行情况开展审计监督,确保内部控制的贯彻实施。
6.4 万向钱潮审计稽核部应根据上市公司内部控制的有关规定及监管合规要求定期提请董事
会聘任会计师事务所对财务报告内部控制的有效性进行审计。
7. 内部控制评价
7.1 内部控制评价是指由公司对其内部控制设计和运行的有效性进行全面评价,识别控制缺
陷,形成评价结论,出具评价报告的过程。内部控制评价的频率根据公司实际确定,各公司
每个自然年度应至少进行一次内部控制自我评价,必要时可以针对特定业务或事项开展专项
评价。
7.2 万向钱潮审计稽核部根据上市及监管合规要求,结合各公司的年度内部控制自我评价工
作,每年统筹组织完成万向钱潮年度内部控制评价工作。
7.3 各公司应根据《内部控制评价手册》及本办法的要求,对内部控制设计的有效性及内部
控制运行的有效性进行评价,并将内部缺陷进行分类及汇总。
7.4 各职能部门及各公司应及时分析内部控制缺陷的性质和产生的原因,制订缺陷整改计划,
明确整改措施、完成时间,并按计划落实整改。
7.5 各公司应每年编制内部控制评价工作底稿,出具内部控制自我评价报告,并按要求向万
7
� 实施日期
万 向 钱 潮 股 份 公 司 文件编号 Q/QC G00027-2024
内部控制管理办法 版本号 A
修改水平 0
向钱潮提交年度内部控制工作底稿及内部控制自我评价报告。
7.6 万向钱潮审计稽核部应结合各公司的内部控制评价工作底稿及内部控制自我评价报告,
编制万向钱潮年度内部控制评价报告,报万向钱潮董事会审批。
8. 其他
8.1 万向钱潮各部门和各公司应当积极配合审计稽核部开展工作,如实及按要求提供内部控
制评价、审计所需的相关数据及资料,并对所提供数据及资料的真实性、完整性和准确性负
责,不得以任何形式干扰万向钱潮开展内部控制监督管理工作。
8.2 万向钱潮各部门及各公司相关人员有下列行为之一的依据法律或公司相关制度给予相应
处理。情节严重的,移送司法机关追究相应责任。
8.2.1 未经授权或者采取其他不法方式侵占、挪用、盗窃公司资产,牟取不当利益;
8.2.2 在财务报告和信息披露等方面存在的虚假记载、误导性陈述或重大遗漏等;
8.2.3 董事、监事、经理及其他高级管理人员滥用职权;
8.2.4 相关机构或人员串通舞弊;
8.2.5 存在侵犯商业秘密、人身伤害、非国家工作人员行贿或受贿、非法经营同类营业罪
等违法犯罪行为;
8.2.6 其他违法、违规或违反公司规章制度之行为。
9. 附则
9.1 本办法如有未尽事宜,详见万向钱潮及下属各公司管理制度。
9.2 本办法自董事会审议通过之日起生效。
10. 附件
序号 附件名称 贮存方式 保存部门 保存期限
1 内部控制评价手册 纸媒介/原件 审计稽核部 永久
8
�附件:
万 向 钱 潮 股 份 公 司
内部控制评价手册
前言
内部控制评价(以下简称“内控评价”)是指由内部控制评价机构负责具体实施的,对公司
内部控制的有效性进行评价,发现内部控制中存在的缺陷,形成评价结论,提出整改建议或
意见,出具评价报告,促进内部控制制度在实际工作中得到有效执行的过程。
为了促进公司内部控制评价工作的有效运行,根据财政部《企业内部控制基本规范》《企业
内部控制评价指引》等有关规定,并结合《内部控制管理办法》及本公司实际情况,特编制
《内部控制评价手册》。
第一章 总则
1. 内部控制评价的组织与职责
1.1 董事会
董事会通过审计与考核委员会承担对内部控制评价的组织、领导和监督职责,形成万向钱潮
的年度《内部控制评价报告》并对该报告的真实性负责。董事会审定内控重大缺陷、重要缺
陷;对审计稽核部在督促整改中遇到的困难,积极协调,排除障碍。
1.2 监事会
监事会负责对公司建立内部控制制度与实施内部控制进行监督,并有听取、获取公司内部控
制相关报告的权利。
1.3 经理层
经理层负责组织实施内部控制评价,也可授权审计稽核部具体组织实施。经理层的相关职责
包括:
1.3.1 负责审定内部控制评价实施方案;
1.3.2 审议公司内部控制评价报告;
1.3.3 及时对内部控制缺陷进行督促整改。
1.4 审计稽核部
审计稽核部是万向钱潮内部控制评价的主管部门,负责内部控制评价的整体设计、组织实施、
协调及指导等工作。主要管理职责如下:
1.4.1 提出万向钱潮内部控制评价组织机构设置及职责分工的建议方案;
1.4.2 指导、协调职能部门和各公司完成其内部控制评价/检查工作;
1.4.3 监督、检查职能部门和各公司内部控制评价/检查的工作质量;
1.4.4 开展万向钱潮内部缺陷认定工作,向董事会及监事会提交重大缺陷和重要缺陷认定结
果;
1.4.5 整理万向钱潮内部控制评价结果,编制内部控制评价报告。
1.5 职能部门
万向钱潮各职能部门是内部控制评价协助部门,配合审计稽核部完成内部控制评价工作。主
9
� 万 向 钱 潮 股 份 公 司
内部控制评价手册
要管理职责如下:
1.5.1 确定内部控制评价协调人员,协助完成内部控制评价工作;
1.5.2 提供可靠信息资料配合内部控制评价小组进行内部控制测评与检查工作,并为此资料
真实性、完整性、有效性负责;
1.5.3 对分管流程定期、不定期组织穿行测试,并将结果报审计稽核部;
1.5.4 对内部控制评价中发现的分管流程的内控缺陷,拟定改进方案,实施整改,整改后进
行补充测试,确认已解决相应内部控制缺陷。
1.6 各公司
各公司是内部控制评价执行的第一责任主体,负责建立日常监督机制,定期、不定期开展内
部控制评价,编制本公司内部控制评价报告并报审计稽核部,对本公司内部控制执行和整改
情况进行考核。
2. 内部控制评价的基本原则
2.1 全面性原则
内部控制评价的范围包括内部控制的设计和运行,涵盖万向钱潮及各公司的各种业务和事项。
2.2 重要性原则
内部控制评价应在全面评价的基础上,依据风险和控制的具体情况确定工作重点,关注本会
计年度高风险领域和风险因素,关注重要业务事项和关键控制环节,关注重要业务公司。
2.3 客观性原则
内部控制评价工作应准确地揭示经营管理的风险状况,如实、完整反映内部控制设计和运行
的有效性。评价的准则、范围、程序和方法等应保持相对一致,以保证评价结果的客观性。
3. 内部控制评价的依据与目的
内部控制评价以国家相关法律、法规、《内部控制管理办法》等为依据,对内控体系的设计
和运行的有效性进行评价。
4. 内部控制评价的内容
内部控制评价工作包括对公司层面和业务层面的内部控制设计和运行情况的全面评价。
4.1 公司层面的内部控制评价
公司层面内部控制评价主要包括:内部环境、风险评估、控制活动、信息与沟通、内部监督
五个方面。
4.1.1 内部环境。包括公司治理、组织结构、战略管理、人力资源政策、企业文化、社会责
任及内部审计等内容。
4.1.2 风险评估。包括日常经营管理过程中的目标设定、风险识别、风险分析、风险评价、
风险应对等方面。
4.1.3 控制活动。包括公司各类业务的控制措施,流程设计的有效性和运行的有效性。
4.1.4 信息与沟通。包括反舞弊机制的健全性,信息报告和披露的有效性,信息收集、处理
10
� 万 向 钱 潮 股 份 公 司
内部控制评价手册
和传递的及时性等方面。
4.1.5 内部监督。包括:日常监督、专项监督、内控评价和缺陷报告;跟踪机制的健全性、
有效性;内部监督运行情况与结果的沟通;内部控制缺陷评估的客观性、合理性;监督整改
措施的及时性、有效性。
4.2 业务层面的内部控制评价
业务层面内部控制评价主要包括:研究与开发、生产组织、资金活动、采购业务、资产管理、
销售业务、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系
统等及时性、有效性、效益和效率方面的评价。
5. 内部控制评价的类型
内部控制评价的类型包括如下三种:
5.1 年度自我评价
年度自我评价由审计稽核部组织实施,根据公司管理需要和外部监管要求,对万向钱潮及一
定数量的各公司进行评价。
5.2 各公司自我评价
各公司按照各自的内控评价管理办法组织开展内部控制自我评价。各公司自我评价每年至少
组织一次。
5.3 其他检查评价
按照董事会安排,开展其他检查评价工作。
6. 对评价人员的要求
审计稽核部应充分考察候选评价人员的职业道德和专业胜任能力。评价人员应遵循独立、客
观、公正、廉洁、保密等基本原则,至少在某一类控制活动或内控要素方面具备足够的知识
和经验,熟练掌握《内部控制管理办法》,并恰当地表达意见。
6.1 评价人员拥有的权利
6.1.1 查阅被评价公司与内控流程相关的全部资料。
6.1.2 访谈被评价公司与内控流程相关的各级人员。
6.1.3 对发现的问题,有权要求被评价公司进一步提供相关佐证资料。
6.1.4 对检查事项,有权要求被评价公司给予必要的积极配合。
6.2 评价人员应履行的义务
6.2.1 评价人员应充分了解被评价公司的基本情况,检查年度生产经营计划和预算完成情况,
检查年度决算报告/财务报表,内部控制实施情况,上级部门及审计或财务稽核查出问题的整
改情况等;
6.2.2 严格按照内控评价方案的要求进行评价,发现的问题应当如实反映,及时沟通,重大
问题应当及时报告;
6.2.3 评价人员应对本部门或可能存在利益冲突的部门的内部控制评价工作进行回避;
11
� 万 向 钱 潮 股 份 公 司
内部控制评价手册
6.2.4 评价人员应当遵守工作纪律,不得接受被评价公司以任何形式赠送的礼金、礼品或宴
请;
6.2.5 评价人员应对所掌握的各类数据、资料、个人隐私等进行严格保密。
第二章 内部控制评价程序
1. 年度自我评价
1.1 年度评价方案的制定和审批
审计稽核部拟定年度内部控制评价方案,上报董事会。年度内部控制评价方案的内容应包括
评价范围、评价目的、评价重点、评价程序、抽样比例、人员组织、日程安排等。
1.2 评价工作底稿的设计和审核
内部控制评价工作组收集被评价公司的基本情况,结合被评价公司的内控手册及相关制度,
按照内部控制评价手册的要求,设计评价工作底稿并报评价工作组组长审核。
1.3 实施现场检查测试
内部控制评价工作组应当按照内控评价方案对被评价公司进行测试,综合运用个别访谈、调
查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价公司内
部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿。
1.4 认定控制缺陷
审计稽核部应当编制内部控制缺陷认定汇总表,按照缺陷认定标准对缺陷等级进行初步认定,
对重要缺陷、重大缺陷由责任公司进行分析,提出缺陷的成因、表现形式、影响程度及整改
方案,经内控评价组复核后上报董事会审批。
1.5 缺陷的整改与验证
针对检查出来的内部控制缺陷,被评价公司应及时整改并书面上报整改结果,对整改期限内
确实无法整改的缺陷,应上报整改方案。审计稽核部应对被评价公司的整改情况进行跟踪验
证。
公司对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受范围之内,并
追究有关部门或相关人员的责任。
1.6 内部控制评价报告的编制与审批
审计稽核部应当根据年度内部控制评价结果,结合内控评价工作底稿和内部控制缺陷汇总表
等资料,按照规定的程序和要求,及时编制内部控制评价报告。
内部控制评价报告应当报送经理层、监事会,经董事会审批后对外披露或报送相关部门。
1.7 年度评价的其他方式
年度评价也可以委托外部中介机构实施,但已提供内部控制审计服务的会计师事务所,不得
同时为本公司提供内部控制评价服务。
2. 各公司的自我评价
各公司每年应至少组织一次自我评价,对检查发现的内部控制缺陷及时进行整改,评价报告
12
� 万 向 钱 潮 股 份 公 司
内部控制评价手册
及缺陷整改报告经本公司负责人审批后上报万向钱潮审计稽核部备案。
第三章 内部控制评价方法
1. 内部控制评价方法
1.1 符合性测试
对重要业务或典型业务进行测试,按照规定的业务处理程序进行检查,确认有关控制点是否
符合规定并得到认真执行,以判断内部控制的遵循情况;对某项控制的特定环节,选择若干
时期的同类业务进行检查,确认该环节的控制措施是否一贯或持续发挥作用。
1.2 抽样法
抽样方法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样
本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。
1.3 个别访谈法
根据检查与评价需要,对重点或关键岗位员工进行单独访谈,以获取有关信息。
1.4 调查问卷法
针对重要风险或控制问题设计问卷调查表,分别对不同层次、不同岗位的员工进行问卷调查,
根据调查结果对相关项目做出评价。
1.5 穿行测试法
抽取一份全过程的文件作为样本,并追踪该样本从起点到终点的全过程,以了解整个业务流
程执行情况。
1.6 比较分析法
通过分析企业经营中的各类数据、行业标准数据或行业最优数据,比较数据间的关系、趋势
或比率来取得评价证据。
1.7 标杆法
通过与行业内具有相同或相似经营活动的标杆企业进行比较,从而对内部控制设计有效性进
行评价。
1.8 实地查验法
对财产进行实地盘点、清查,以及对存货出、入库等控制环节进行现场查验。
1.9 重新执行法
通过对某一控制活动全过程的重新执行来评估控制执行情况。
1.10 专题讨论会法
通过召集与业务流程相关的管理人员就内部控制执行情况或控制缺陷进行分析。
根据评价项目的不同,评价人员应当综合考虑选择一种或多种评价规则进行检查测试,充分
利用信息系统自带的检查/校验功能,获取充分、相关、可靠的证据对内部控制的有效性进行
评价,并作出书面记录。
2. 控制测试的抽样要求
13
� 万 向 钱 潮 股 份 公 司
内部控制评价手册
根据成本效益的原则,评价人员可采取抽样测试的方法,即:针对具体的内部控制业务流程,
从确定的样本总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务
流程控制运行的有效做出评价。
样本数量和抽样方式,应根据测试的具体事项特点和评价人员经验确定,以保证样本具有足
够的代表性。同时还应结合被评价公司的管理层级和产(股)权结构情况,覆盖足够的各公
司数量和业务量。
2.1 最小样本量
样本量应按照业务发生频率及固有风险的高低综合确定,并符合控制测试最小样本量的要求。
年度评价最小样本量要求
重点检查流程 一般检查流程
控制活动的频率
关键控制点 一般控制点 关键控制点 一般控制点
每年一次 1 1 1 1
每季度一次/每年多次 3 2 2 1
每月一次及以上 6 3 3 1
对于特殊或非常重要的流程和业务活动(含“三重一大”事项),应按所涉金额大小或业务
重要性选择或增加样本量直至全部选取。
2.2 抽样方法
2.2.1 随机挑选
如果被评价流程中全年的业务活动特点较一致,可以选择“随机挑选”的抽样方法。
2.2.2 间隔挑选
如果业务活动有较大的变化,或存在明显的细分特征,则可以考虑使用“间隔挑选”,从不
同特点的业务活动中分别抽取样本,以保证样本整体具有代表性。
2.2.3 其他方式
对于特殊或非常重要的流程和业务活动,应按所涉金额大小或业务重要性选择或增加样本量
直至全部选取。
第四章 内部控制缺陷的认定
1. 内部控制缺陷的分类
1.1 按照内部控制缺陷成因,可分为设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也
难以实现控制目标。运行缺陷是指现存设计完好的控制没有按照规定的程序和要求进行,或
执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。
1.2 按照对控制目标实现的影响表现形式,可分为财务报告控制缺陷和非财务报告控制缺陷。
14
� 万 向 钱 潮 股 份 公 司
内部控制评价手册
财务报告控制缺陷是指不能及时防止或发现并纠正财务报表错报的内部控制缺陷。非财务报
告控制缺陷是指不直接影响财务报告,但不符合内部管理要求、不能合理保证公司整体控制
目标实现的内部控制缺陷。
1.3 按对控制目标实现的影响严重程度,可分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标的情形。如果为
实现某一控制目标而设计与运行的控制存在一个或多个重大缺陷的情形,应当认定针对该控
制目标的内部控制是无效的。重要缺陷是指一个或多个控制缺陷的组合,其严重程度和经济
后果低于重大缺陷,但仍有可能导致公司偏离控制目标的情形,应当引起董事会、经理层的
充分关注。一般缺陷是指除重大缺陷、重要缺陷之外的其他控制缺陷。
2. 内部控制缺陷的认定标准
2.1 是否存在内部控制缺陷的认定
存在下列情况之一, 应当认定内部控制存在设计或运行缺陷:
2.1.1 未对业务风险做出揭示;
2.1.2 未实现规定的控制目标;
2.1.3 未执行规定的控制活动;
2.1.4 突破限定的权限;
2.1.5 不能及时提供控制运行有效的相关证据;
2.1.6 管理要求未嵌入相关制度、流程。
2.2 财务报告内部控制缺陷的认定标准
(1)定性标准
2.2.1 被评价公司具备以下特征之一的缺陷,应定为重大缺陷:
2.2.1.1 董事、监事和高级管理人员舞弊;
2.2.1.2 更正已公布的财务报告(非一般性文字描述错误);
2.2.1.3 外部审计发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错
报;
2.2.1.4 重大缺陷在合理期间未能得到整改;
2.2.1.5 被监管机构处罚造成较大的负面影响;
2.2.1.6 其他可能严重影响报表使用者正确判断的缺陷。
2.2.2 被评价公司具备以下特征之一的缺陷,应定为重要缺陷:
2.2.2.1 未建立反舞弊程序和控制措施,或中层管理人员发生舞弊;
2.2.2.2 未依照会计准则选择和应用会计政策,其严重程度达不到重大缺陷;
2.2.2.3 已公布的财务报告存在一般性文字描述错误,需更正并重新披露。
2.2.3 一般缺陷指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
(2)定量标准
15
� 万 向 钱 潮 股 份 公 司
内部控制评价手册
根据该内部缺陷可能导致被检查公司财务报表错报(包括漏报)的重要程度,确定缺陷等级
标准:
财务报告单个内部控制缺陷的认定定量标准
项目
一般缺陷 重要缺陷 重大缺陷
缺陷等级
利润总额的3%≤ 错报≥利润总额
错报<利润总
利润总额潜在错报 错报<利润总额 的5%
额的3%
的5%
资产总额的0.5% 错报≥资产总额
错报<资产总
资产总额潜在错报 ≤错报<资产总 的1%
额的0.5%
额的1%
经营收入总额的 错报≥经营收入
错报<经营收
经营收入潜在错报 0.5%≤错报<经 总额的1%
入总额的0.5%
营收入的1%
项目
一般缺陷 重要缺陷 重大缺陷
缺陷等级
所有者权益总额
错报<所有者 错报≥所有者权
所有者权益潜在错 的0.5%≤错报<
权益总额的 益总额的1%
报 所有者权益总额
0.5%
的1%
上述重要程度主要取决于两个方面的因素:①该缺陷是否具备合理可能性导致公司的内部控
制不能及时防止或发现并纠正财务报告错报;②该缺陷单独或连同其他缺陷可能导致的潜在
错报金额的大小。潜在错报金额根据潜在错报率和相应会计科目同项累计发生额计算,潜在
错报率根据错报样本数量和抽取样本总量确定。
2.3 非财务报告内部控制缺陷的认定标准
(1)定性标准
2.3.1 被评价公司具备以下特征之一的缺陷,应定为重大缺陷:
2.3.1.1 公司决策程序不科学,导致重大决策失误,给公司造成重大财产损失;
2.3.1.2 违反国家法律、法规,如环境污染、严重破坏当地自然环境、不按规定进行信息上
报或披露等;
2.3.1.3 各公司缺乏内部控制建设;
2.3.1.4 被媒体曝光负面新闻或引发公司的舆情危机等,产生较大负面影响;
16
� 万 向 钱 潮 股 份 公 司
内部控制评价手册
2.3.1.5 对已经发现并报告给管理层的重大或重要内部控制缺陷在经过合理的时间后,并未
加以改正;
2.3.1.6 运营出现大范围的中断,并造成大规模的用户流失;
2.3.1.7 发生重大负面事项(包括安全事故等),并对定期报告披露造成负面影响。
2.3.2 被评价公司具备以下特征之一的缺陷,应定为重要缺陷:
2.3.2.1 重大决策未执行规范程序;
2.3.2.2 公司决策程序不科学,导致重要决策失误,并造成一般财产损失;
2.3.2.3 各公司未建立恰当的管理制度,管理散乱;
2.3.2.4 关键岗位业务人员流失严重;
2.3.2.5 对已经发现并报告给管理层的一般内部控制缺陷未及时有效整改;
2.3.2.6 其他对万向钱潮及各公司影响较大的情形。
2.3.3 一般缺陷指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
(2)定量标准
根据该内部缺陷导致的直接财产损失金额,确定缺陷等级标准:
非财务报告单个内部控制缺陷的认定定量标准
项目
一般缺陷 重要缺陷 重大缺陷
缺陷等级
最近一期经审计的
财产损失金额
合并财务报表资产 财产损失金额≥最
<最近一期经
总额0.5%≤财产损 近一期经审计的合
直接财产损失金额 审计的合并财
失金额<最近一期 并财务报表资产总
务报表资产总
经审计的合并财务 额的1%
额的0.5%
报表资产总额的1%
较大事故一起或一 重大事故一起或较
安全事故 一般事故一起
般事故两起 大事故两起
较大突发环境事件 重大突发环境事件
一般突发环境
环保事故 一起或一般突发环 一起或较大突发环
事件一起
境事件两起 境事件两起
3. 内部控制缺陷的审定与整改
3.1 内部控制缺陷的复核、分析与汇总
17
� 万 向 钱 潮 股 份 公 司
内部控制评价手册
审计稽核部应收集万向钱潮年度自我评价、各公司自我评价、专项评价和职能部门日常工作
中发现的内部控制缺陷,进行综合分析和复核,并编制内部控制缺陷认定汇总表。
3.2 内部控制缺陷的审定
审计稽核部应将内部控制缺陷认定汇总表上报经理层、董事会,重大缺陷由董事会最终审定。
3.3 内部控制缺陷的整改
针对检查出来的内部控制缺陷,被评价公司应及时整改并上报整改结果,整改结果中应明确
列示已经整改完毕的缺陷、尚未整改完毕的缺陷及整改期限内不能整改的缺陷,对整改期限
内确实无法整改的缺陷,应上报整改方案。审计稽核部应对被评价公司的整改情况进行跟踪
验证。
第五章 内部控制评价报告
1. 内部控制评价报告的编制与审批
审计稽核部根据年度自我评价情况,结合各公司自我评价和其他检查评价的相关资料(评价
报告、认定的内部控制缺陷及佐证材料、缺陷整改实施情况以及其他相关资料等),按照监
管机构的要求,编制年度《内部控制自我评价报告》。
审计稽核部应当关注自内部控制评价报告基准日(12月31日)至内部控制评价报告发出日之
间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
年度内部控制评价报告需经公司经理层审议,董事会审批。
各公司自我评价报告可参照以上内容执行,对各公司的检查结果采用通报形式下发。
2. 内部控制评价报告的报送与披露
内部控制评价报告按照监管机构要求进行报送并对外披露。
第六章 内部控制评价的考核与监督
1. 内部控制评价的考核
内部控制评价考核是推动万向钱潮及各公司落实内部控制责任、推动持续改进或优化管理的
重要手段。内部控制评价结果应纳入对职能部门及各公司的绩效考核。
2. 内部控制评价的监督
被评价公司对评价过程或结果存在质疑,可以向公司经理层或董事会反映。
公司申请复核并提供事实证据,公司秉持“以事实为准绳,有错必纠”的原则进行调查,并
及时向当事人说明复核情况。
第七章 附则
1.本手册如有未尽事宜,作出补充规定,补充规定与本手册具有同等效力。
2.本手册自董事会审议通过之日起生效。
18
�
