太阳能:中节能太阳能股份有限公司内部控制评价实施细则2024-10-30
中节能太阳能股份有限公司
内部控制评价实施细则
第一章 总则
第一条 为规范和指导中节能太阳能股份有限公司(以下简
称太阳能公司)全系统开展内部控制评价工作,构建和完善内部
控制评价体系,根据《中节能太阳能股份有限公司内部控制评价
办法》,结合国家有关法律法规,制定本实施细则。
第二条 本实施细则适用于太阳能公司及所属各级全资、控
股子公司。
第三条 公司董事会审计与风险控制委员会或类似决策机构
是内控评价工作的最终责任人,对本公司的内部控制评价工作结
果负责。
第四条 太阳能公司内部控制评价包括年度评价和专项评
价。年度评价是指太阳能公司按照上市工作监管要求,结合年度
内部控制评价的工作要求,围绕公司内部控制目标,对公司年度
内建立与实施内部控制的有效性进行的评价;专项评价是太阳能
公司在特定时点对特定范围的内部控制有效性进行监督评价。
太阳能公司年度评价以12月31日为基准日,每年定期组织一
次。专项评价不定期开展,评价对象可以是某大区或几家子公司,
也可以针对某一要素、某一流程或某一业务领域在全系统范围内
开展。
� 第五条 本实施细则重点对太阳能公司统一组织的年度内部
控制评价工作流程及方法予以规范,太阳能公司开展专项监督评
价及各大区、子公司自行组织的本单位内部控制自我评价,可在
年度评价程序的基础上适当简化。
第二章 内部控制评价工作的组织方式
第六条 太阳能公司建立内部控制评价工作组织领导机制,
负责监督和指导本公司的内部控制评价工作。太阳能公司内部控
制评价工作接受董事会审计与风险控制委员会的业务指导和工
作监督。各大区、子公司应当根据自身实际明确内部控制评价工
作的领导机构及分管领导。
第七条 按照授权,太阳能公司审计部为内部控制评价工作
的牵头部门,负责统一组织实施全系统的年度内部控制评价工
作,以及根据需要和工作重点组织实施不定期的专项监督评价。
各部门及各级子公司对太阳能公司审计部组织的评价工作应予
以配合。
第八条 各大区、子公司审计部或专门机构负责本公司内部
控制评价工作的具体组织实施。未设立内审部门或专门机构的大
区以采取设立内部控制评价非常设机构的方式,组成联合评价小
组承担本公司的年度自评工作。
各大区、子公司在组织机构职能设置中应当考虑内部控制评
价工作的需要,设立相应的专、兼职岗位,负责本公司日常的内
�控管理监督与评价工作。
第九条 太阳能公司年度内部控制评价按照年度内部控制评
价方案,公司本部与各大区、子公司分别组织开展,采取评价小
组现场检查方式。
第十条 太阳能公司本部每年均应纳入现场检查范围,各大
区、子公司现场检查范围以年度内部控制评价方案为准。
第三章 内部控制评价的具体内容
第十一条 太阳能公司内部控制评价工作应当围绕内部环
境、风险评估、控制活动、信息与沟通、内部监督五个方面开展,
准确揭示风险状况,如实反映内部控制的有效性,最终形成内部
控制评价工作底稿和评价报告。
第十二条 对内部环境的评价,重点关注以下方面:组织架
构、发展战略、人力资源、社会责任和企业文化。
(一)对组织架构的评价主要涉及公司治理结构的设置及管
理和组织架构的设置及运行。核心指标及评价内容如下:
核心指标 评价内容 涉及业务
董事会、监事 1、董事会及各专门委员会、监事会和经理层的职责权限、 公司治理结构
会、经理层的 任职资格和议事规则是否明确并严格执行 设置及管理
相互制衡 2、三重一大事项是否按照规定的权限和程序实行集体决策 决策机制
董事会、监 3、是否科学界定了董事会、监事会、经理层在建立与实施
内控体系建设
事会、经理 内部控制中的职责分工
层致力于内 4、公司是否采取必要的措施促进和推动企业内部控制工作,
部控制建设 按照职责分工提出内部控制评价意见,定期听取内部控制报 内控体系建设
和执行 告,督促内部控制整改,修订内部控制要求
组织机构设 5、组织机构设置是否与公司业务特点相一致,能够控制各 公司组织架构
�置科学、精 项业务关键控制环节,各司其职、各尽其责,避免职能交叉、
简、高效、 缺失或权责过于集中
透明、权责 内控体系建
6、明确职责,制定组织结构图、业务流程图、职位说明书
匹配、相互 设、内控手册
和权限指引等,保障权责行使的准确性和透明度
制衡 制定
7、是否定期梳理、评估企业治理结构和内部机构设置,发
组织机构适 现问题及时采取措施加以优化调整,是否定期听取董事、监 公司组织架构
应性 事、高级管理人员和其他员工的意见,按照规定的权限和程 评估
序行使决策审批
8、是否通过合法有效的形式履行出资人职责、维护出资人
组织架构
权益,特别关注异地、境外子公司的发展战略、年度财务决
对子公司的 公司运营管理
算、重大投融资、重大担保、大额资金使用、主要资产处置、
控制力
重要人事任免、内部控制体系建设等重要事项
(二)对发展战略的评价主要涉及战略制定与实施、战略评
估与调整业务。核心指标及评价内容如下:
核心指标 评价内容 涉及业务
1、公司是否综合考虑宏观经济政策、国内外市场需求变化、
技术发展趋势、行业及竞争对手状况、可利用资源水平和自
发展战略科
身优势与劣势等影响因素制定科学合理的发展战略
学合理,既
2、是否根据发展目标制定战略规划,确定不同发展阶段的
不缺乏也不 战略规划制定
具体目标、工作任务和实施路径
激进,且实
3、是否设立战略委员会或指定相关机构负责发展战略管理
施到位
工作,是否明确战略委员会的职责和议事规则并按规定履行
职责
4、是否制定年度工作计划,编制全面预算,确保发展战略
发展战略有 的有效实施
战略规划实施
效实施 5、是否采取有效方式将发展战略及其分解落实情况传递到
内部各管理层级和全体员工
发展战略科 6、是否及时监控发展战略实施情况,并根据环境变化及风 战略规划评估
学调整 险评估等情况及时对发展战略做出调整 及调整
(三)对人力资源政策的评价主要涉及人才规划制定、人才
选拔、人才开发与培养,及人才的激励约束机制建设等业务。核
�心指标及评价内容如下:
核心指标 评价内容 涉及业务
1、是否结合企业发展战略,制定人力资源总体规划和能力框
架体系,以保障企业可持续发展和内部控制的有效执行
人力资源结
2、是否根据人力资源总体规划,制定年度人力资源需求计划, 人才规划制定
构合理、能够
完善人力资源引进制度,按照计划、制度和程序组织人力资
满足企业需
源引进工作
要
3、是否明确各岗位职责权限、任职条件和工作要求,选拔是
人才选拔
否公开、公平、公正,是否因事设岗、以岗选人
4、是否制定实施关于员工聘用、培训、辞退与辞职、薪酬、
人力资源开
考核、健康与安全、晋升与奖惩等方面的管理制度 人才开发与培
发机制健全
5、是否建立员工培训长效机制,培训是否能满足职工和业务 养
有效
岗位需要,是否存在员工知识老化
6、是否设置科学的业绩考核指标体系,并严格考核评价,以
此作为确定员工薪酬、职级调整和解除劳动合同等的重要依
据
人力资源约
7、是否对关键岗位员工有定期轮岗制度等方面的安排并执行 人才约束激励
束机制健全
到位 机制
有效
8、是否存在人才流失现象
9、是否对掌握重要商业秘密的员工离岗有限制性的规定
(四)对社会责任的评价主要涉及安全生产管理、质量管理、
环境保护、职工权益及企业履行社会责任等业务。核心指标及评
价内容如下:
核心指标 评价内容 涉及业务
1、是否建立严格的安全生产体系、操作规范和应急预案,强
化安全生产责任追究,切实做到安全生产
安全生产体
2、是否落实安全责任制,对安全管理的投入,包括人力、物
系、机制健全 安全生产管理
力等,是否能保证及时发现、排除生产安全隐患
有效
3、发生安全事故,是否妥善处理,排除故障,减轻损失,追究责任。
是否有迟报、谎报、瞒报重大安全事故现象
产品/服务质 4、是否建立严格的产品/服务质量控制和检验制度并严格执
质量管理
量体系健全 行,是否有健全的客户服务体系,能够妥善处理客户提出的
�有效 投诉和建议
切实履行环
5、是否制定环境保护与资源节约制度,采取措施促进环境保
境保护和资 环境保护
护和资源节约并实现节能减排目标
源节约责任
6、是否依法保护员工的合法权益,保持工作岗位相对稳定,
促进充分就业
促进就业和
7、是否实现按劳分配、同工同酬、建立科学的员工薪酬制度
保护员工权 职工权益保护
和激励机制,是否建立员工薪酬的正常增长机制
益
8、是否及时办理员工社会保险,足额缴纳社会保险费;维护
员工健康,落实休息休假制度
履行社会责 社会责任履行
9、是否积极履行社会公益方面的责任和义务
任 及报告
(五)对企业文化的评价主要涉及企业文化建设及企业文化
评估业务。核心指标及评价内容如下:
核心指标 评价内容 涉及业务
1、是否采取切实有效的措施,积极培育具有企业自身特色的
企业文化,打造以主业为核心的企业品牌,促进企业长远发
展
企业文化具
2、企业董事、监事、及其他高级管理人员是否在文化建设和
有凝聚力和
履行社会责任中起到表率作用,促进文化建设在内部各层级
竞争力,促进 企业文化建设
的有效沟通
企业可持续
3、是否做到文化建设与发展战略的有机结合,使员工自身价
发展
值在企业发展中得到充分体现
4、是否重视并购重组子公司的文化建设,平等对待各方员工,
促进双方的文化融合
5、是否建立企业文化评估制度,重点对董事、监事、经理和
其他高级管理人员在企业文化建设中的责任履行情况、全体
员工对企业核心价值观的认同感、企业经营管理行为与企业
企业文化评 文化的一致性、企业品牌的社会影响力、参与企业并购重组
估具有客观 各方文化的融合度,以及员工对企业未来发展的信心做出评 企业文化评估
性、实效性 估
6、是否针对评估结果巩固和发扬文化建设成果、进而研究影
响企业文化建设的不利因素,分析深层次的原因,及时采取
措施加以改进
� 第十三条 风险评估是公司及时识别、系统分析经营活动中
与实现内部控制目标相关的风险,合理确定风险应对策略的过
程,是风险管理的基础。对风险评估的评价包含以下四个方面:
目标设定、风险识别、风险分析和风险应对策略。各项核心指标
及评价内容如下:
核心指标 评价内容 涉及业务
1.企业层面:是否有明确的目标,目标是否具有广泛的认知
基础、企业战略是否与企业目标相匹配
控 制 目 标 设 2.业务层面:各业务层面目标是否与企业目标一致,各业务 内控目标的评
定 层面目标是否衔接一致,各业务层面目标是否具有操作指导 估与设定
性
3.是否结合企业的风险偏好,确定相应的风险承受度
4.目标是否层层分解并确立关键业务或事项
5.是否持续收集相关信息,内外部风险识别机制是否健全,
风险识别 全面风险管理
是否识别影响公司目标实现的风险
6.是否根据关键业务或事项分析关键成功因素
7.风险分析技术方法的适用性
8.结合风险发生可能性和影响程度标准划分风险等级的准确
风险分析 全面风险管理
性
9.风险发生后负面影响判断的准确性
10.风险应对策略与公司战略、企业文化的一致性,风险应对
风险应对 全面风险管理
策略的可行性
第十四条 控制活动评价是企业全面内部控制评价的主体内
容,涉及经营管理的方方面面。对控制活动的评价从内控设计和
运行的有效性两方面开展。核心指标及评价内容如下:
核心指标 评价内容 涉及业务
内控设计:控制 1.是否针对企业内部环境设立了相应的控制措施 不同行业有所
� 措施全面覆盖 2.各项控制措施的设计是否与风险应对策略相适应 不同,一般包
企业重要风险, 3.各项主要业务控制措施是否完整、恰当 括:资金活动、
不存在控制缺 4.是否针对日常规定非系统性业务事项制定相应的控制 采购业务、资
失、控制过度 措施,并定期对其执行情况进行检查分析 产管理、销售
业务、研究与
开发、工程项
目、业务外包、
5.是否建立重大风险预警机制和突发事件,相关应急预案 财务报告、全
的处置程序和处理结果是否有效 面预算、合同
管理、内部信
息传递、信息
系统建设等
内控运行:控制 针对以上业务
6.针对各类业务事项的主要风险和关键环节所制定的各
活动运行符合 事项的控制结
类控制方法和控制措施是否得以有效实施
控制措施规定 果
第十五条 已编制完成内部控制手册的公司,对控制活动的
评价以手册中已梳理完成的各项业务流程为基础开展。尚未完成
内部控制手册编制的公司,对控制活动的评价从内部管理制度入
手,结合公司主要经营业务进行评价。
第十六条 对信息与沟通控制的评价包括:信息收集、处理
和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信
息系统的安全性,以及利用信息系统实施内部控制的有效性。核
心指标及评价内容如下:
核心指标 评价内容 涉及业务
信息收集、处理和
1.是否有透明高效的信息收集、处理、传递程序,合理筛 内部信息传递
传递及时、准确、
选、核对、整合与经营管理和内部控制相关信息 机制
适用
2.是否建立健全并有效实施反舞弊机制
反舞弊机制建
反舞弊机制健全 3.举报投诉制度和举报人保护制度是否及时准确传达至
设
企业全体员工
� 4.对舞弊事件和举报所涉及的问题是否及时、妥善地作出
处理
5.信息在企业内部、企业与外部有关方面之间的沟通是否
有效
内外部沟通机
沟通顺畅 6. 领导班子会和经理层是否能够及时掌握经营管理和内
制建设
部控制的重要信息并进行应对
7.员工诉求是否有顺畅的反应渠道
8.是否有制度明确公司信息化建设工作的组织机构,是否
建立了适当的企业信息化建设工作组织机构,是否明确了
信息化建设工作的组织机构的管理职责和工作规定
9.信息化规划的制定和审批工作是否恰当,是否有信息化
工作的长远规划和短期工作计划,并经主管领导批准后在
企业中颁布实施
10.企业是否建立与经营管理相适应的信息系统,利用信
息技术提高对业务事项自动控制水平
11.在信息系统的开发过程中,是否对信息技术风险进行 信息规划制定及
信息化建设情况
识别、评估和防范 实施
12.信息系统的一般控制是否涵盖信息系统开发与维护、
访问与变更、数据输入与输出、文件存储与保管、网络安
全、硬件设备、操作人员等方面,确保信息系统安全稳定
运行
13.信息系统的应用控制是否紧密结合业务事项进行,利
用信息技术固化流程,提高效率,减少或消除人为操纵因
素
14.信息系统是否建立并保持相关信息交流与沟通的记录
第十七条 对内部监督进行评价应当关注公司决策机构、监
督机构、内部审计机构等是否在内部控制设计和运行过程中有效
发挥监督作用。内部监督评价的核心指标及评价内容如下:
核心指标 评价内容 涉及业务
1.管理层是否定期与内部控制机构沟通评价结果,并积极
内部监督能够 内控体系建设
整改
覆盖并监控企
2.是否落实各职能部门和所属单位在日常监督中的责任,
业日常业务活 内控体系建设
及时识别环境和业务变化
动
3.日常监督的内容是否为经过分析确认的关键控制并有效 内控体系建设
� 控制,是否按重要程度将发现问题如实反馈内部控制机构,
是否积极采取整改措施
4.日常监督用以证明内部控制有效性的监督人员是否具有 履行内控监督
胜任能力和客观性 人员的资格
5.内部审计的独立性是否得以保障,审计委员会和内部审
内审工作
计机构是否独立、充分地履行监督职责
内部监督能够
6.是否开展了必要的专项监督 专项监督
覆盖并监控企
7.内部控制机构是否制定内部控制自我评价办法和考核奖
业日常业务活
励办法,明确评价主体、职责权限、工作程序和有关要求,
动 内控体系建设
定期组织开展内部控制自我评价,报送自我评价报告,合
理认定内部控制缺陷并分析原因,提出整改方案建议
8.内部控制机构是否制定科学的内部控制缺陷标准并予以
一贯地执行
对内部控制缺 9.是否对控制缺陷进行全面、深入地研究分析,提出并实
陷管理科学、 施整改方案,采取适当的形式及时向领导班子会或管理层
客观、合理, 汇报并督促业务部门整改重大缺陷,并按规定予以披露 内控体系建设
且报送机制健 10.对发现的内部控制重大缺陷,是否追究相关责任单位和
全 责任人的责任
11.是否建立内部控制缺陷信息数据库,并对历年发现的内
部控制缺陷及其整改情况进行跟踪检查
12.是否采取书面或其他适当方式对内部控制的建立与实
施情况进行记录
内部控制建设
13.是否妥善保存内部控制相关记录和资料,确保内部控制 内控体系建设
与评价文档妥
建立与实施过程的可验证性 及档案管理
善保管
14.对暂未建立健全的有关内部控制文档或记录,是否有证
据表明已实施了有效控制或者替代控制措施
第十八条 实际评价工作中,各公司应在以上列示的评价内
容的基础上,结合本公司性质、特点及主要经营业务,确定评价
的具体内容,并在实施方案中予以明确。
第四章 内部控制评价的方法
第十九条 太阳能公司开展内部控制评价,应当根据评价目
�标及评价内容,综合考虑选择一种或多种评价方法,获取充分、
相关、可靠的证据对内部控制的有效性进行评价,并做出书面记
录。
第二十条 常用的内部控制评价方法主要有:个别访谈法、
调查问卷法、专题讨论会法、穿行测试法、实地查验法、抽样法
和比较分析法。
(一)个别访谈法。即根据检查评价需要,对重点或关键岗
位进行单独访谈,以获取有关信息;
(二)调查问卷法。针对重要风险或控制问题设计问卷调查
表,分别对不同层级的人员进行问卷调查,根据调查结果对相关
项目做出评价;
(三)专题讨论会法。通过召集与业务流程相关的管理人员
就业务流程的特定项目或具体问题进行讨论及评估的一种方法;
(四)穿行测试法。通过抽取一份全过程的文件,来了解整
个业务流程执行情况的评估评价方法;
(五)实地查验法。对财产进行盘点、清查,以及对存货出、
入库等控制环节进行现场查验;
(六)抽样法。针对具体的内部控制业务流程,按照业务发
生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的
业务样本,对业务样本的符合性进行判断,进而对业务流程控制
运行的有效性做出评价;
(七)比较分析法。通过分析、比较数据间的关系、趋势或
�比率来取得评价证据的方法。
第二十一条 通常情况下,对内部环境、风险评估、信息与
沟通和内部监督的评价仅需运用上述一至两种方法,而对控制活
动的评价则需要运用以上所有的方法。
第五章 内部控制评价的工作程序
第二十二条 太阳能公司内部控制评价程序分为以下三个阶
段:准备阶段、实施阶段、报告阶段。
第二十三条 准备阶段的主要任务有:制定评价工作方案;
组成评价项目工作组;下发工作通知或召开启动会。
第二十四条 太阳能公司组织开展年度评价应当制定统一的
内部控制评价工作方案。评价方案应当以内部控制目标为依据,
结合企业内部监督情况和管理要求而编制。方案至少应当包括以
下内容:评价目标;评价范围;评价方法;评价重点;评价期间;
工作分工及其他。
第二十五条 内部控制评价的范围包括太阳能公司总部各部
门及各级子公司。对评价重点的确定,应当同时遵循全面性和重
要性原则,在全面评价的基础上,关注重要业务单位、重大业务
事项和高风险领域。
重要业务单位以“营业收入”、“资产总额”和“利润总额”
三项指标为标准。凡其中任一指标达到太阳能合并报表的5%以
上,即视为重要业务单位。
� 重大业务事项一般指与企业主要经营指标相关的流程。如与
营业收入相关的销售业务,与资产相关的采购业务、实物资产管
理、资金活动等。公司确定重大业务要立足于所处行业,根据不
同行业特性分析确定相应的重大业务。
对高风险领域的认定,应当以风险评估结果为依据,同时关
注合法合规、资产安全、提高经营效率和效果、促进企业实现发
展战略等方面。高风险领域的识别不限于重要业务单位。
第二十六条 年度内部控制评价方案应报经太阳能公司管理
层批准后组织实施。
第二十七条 各大区、子公司应当结合各自实际情况,依据
太阳能公司统一方案制订本单位的内部控制自我评价实施方案,
明确评价范围、工作任务、人员组织及分工、进度安排等相关内
容,报本公司相应内部决策机构批准后实施,同时报太阳能公司
审计部备案。
第二十八条 太阳能公司及各大区、子公司应根据经批准的
评价方案,选择适当人员,组成内部控制评价项目工作组,具体
实施内部控制评价工作。太阳能公司内部控制评价工作实行项目
主审负责制。工作组组长由审计部负责人担任,项目主审由审计
部指定人员担任,成员一般由审计部、各部门或单位业务骨干及
中介机构人员担任。
第二十九条 太阳能公司组织实施的全系统年度内部控制评
价,必要时可聘请具有相应资质的社会中介机构协助。选聘中介
�机构的办法和程序按照太阳能公司有关规定执行。审计部根据已
确定的评价目标、范围和具体要求,与选定的中介机构签订业务
委托书。
第三十条 公司聘请的中介机构,不得既为本公司提供内部
控制咨询服务又提供内部控制评价服务。
第三十一条 工作组在实施评价工作前,应当视需要组织工
作组成员进行相关培训和学习,内容一般包括内部控制专业知识
及相关规章制度、评价工作流程、检查评价方法、工作底稿填写
要求、缺陷认定标准及评价中需重点关注的问题等。
第三十二条 太阳能公司开展年度内部控制评价工作,应提
前五个工作日召开启动会或下发工作通知,提前对评价工作做出
部署,并明确相关要求。
第三十三条 实施阶段的主要任务为:各公司组织自评;工
作组实施现场检查、测试;复核并汇总自评和测试结果;认定内
部控制缺陷。
第三十四条 各大区、子公司开展自评的工作步骤包括:
(一)实施自评,编制并填写自评工作底稿;
(二)缺陷汇总,初步认定;
(三)编制并上报自评报告。
第三十五条 内控评价工作应当依据已编制完成的内部控制
手册或经过梳理的制度文件中各项业务的控制措施,采用适当的
评价方法对本公司的内部控制设计和执行情况进行检查,并填写
�自评工作底稿。
第三十六条 自评工作底稿是公司开展自评工作、进行流程
改进的方法和依据,是在评价过程中,用以记录执行过程、内容
及支撑评价结果的工作文档。工作底稿应详细记录公司执行评价
工作的内容,包括评价要素、主要风险点、采取的控制措施、有
关证据资料以及认定结果等。(太阳能公司内部控制评价工作底
稿格式以年度评价工作要求为准)
第三十七条 自评完成后,公司对于发现的缺陷,应当编写
内部控制缺陷汇总表、内部控制缺陷认定汇总表,对缺陷进行初
步认定,相关业务人员或部门确认缺陷,公司负责人进行审核签
字。(内部控制缺陷汇总表和内部控制缺陷认定汇总表格式以年
度评价工作要求为准)
第三十八条 各大区、子公司根据自评结果编制完成内部控
制自我评价报告,按照太阳能公司内部控制自我评价时间要求及
时上报。
第三十九条 自评报告至少包含以下内容:
(一)年度内部控制建设及风险管控情况;
(二)年度内部控制检查监督工作开展情况;
(三)发现的内部控制缺陷及原因分析;
(四)改进建议及相应的改进措施;
(五)明确改进负责部门/人以及改进的计划完成时间。
第四十条 各大区、子公司应将自评工作底稿、缺陷汇总表、
�缺陷认定汇总表作为自评的原始记录和依据随第一经营负责人
签字后的自评报告一并上报太阳能公司。
第四十一条 太阳能公司根据内控评价结果确定是否开展现
场评价工作。如开展现场评价工作应按照如下步骤:
(一)了解被评价单位情况,制定项目实施计划;
(二)实施现场测试,编制工作底稿;
(三)内部控制缺陷汇总、初步认定;
(四)评价工作底稿复核;
(五)编制完成被评价单位的内部控制评价报告。
第四十二条 项目小组进驻现场后,应当对被评价单位的基
本情况进行了解,编写项目实施计划,确定具体的检查评价内容、
检查重点和抽样数量等,并结合评价项目小组人员的专业背景进
行合理分工。
第四十三条 评价人员根据分工,综合运用各种评价方法对
被评价单位内部控制设计与运行的有效性进行现场检查,填写评
价工作底稿、记录相关测试结果。
第四十四条 评价人员应遵循客观、公正、公平原则,如实
反映测试中发现的问题,并及时与被评价单位进行沟通。
第四十五条 对于发现的缺陷,工作小组应当编写缺陷汇总
表、内部控制缺陷认定汇总表,对缺陷进行初步认定。被评价单
位相关部门对缺陷进行确认,单位负责人进行审核签字。
第四十六条 评价工作底稿应建立两级复核机制,分别为评
�价小组内部交叉复核、工作组组长重点复核。
(一)现场测试评价完成后,评价项目小组成员之间应对评
价工作底稿进行详细的交叉复核。
(二)工作组组长对评价工作底稿进行重点复核,对所认定
的评价结果签字确认。重点复核主要是对内部控制评价工作底稿
中重要业务的内部控制评价程序实施情况、内部控制评价缺陷认
定表进行复核。
第四十七条 工作组组长应在现场评价工作完成后出具报
告。
第四十八条 各单位评价工作全部完成后,项目主审应组织
相关人员对自评和检查发现的问题进行全面复核及汇总分析,认
定内部控制缺陷。
第四十九条 评价人员应当对自评报告及自评工作底稿的真
实性、准确性、完整性进行复核、分析和汇总,对发现的各类缺
陷做重点分析。
评价项目工作组编制完成太阳能公司内部控制缺陷认定汇
总表,同时考虑日常监督和专项监督发现的内部控制缺陷及其持
续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进
行综合分析,对照认定标准提出认定意见,并以适当的形式向公
司决策机构报告。
第五十条 太阳能公司重大缺陷由董事会予以最终认定,重
要缺陷由经理层最终认定,一般缺陷由太阳能公司审计部认定。
� 第五十一条 报告阶段的主要任务有:编制内控评价报告;
报告征求意见及上报审批;对外报送报告。
第五十二条 内部控制缺陷认定完成后,项目主审应当根据
内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷
汇总表等资料,按照规定的内容、格式等要求,在十个工作日内
编制完成内部控制评价报告初稿。
第五十三条 内部控制评价报告应当按照太阳能公司《内部
控制评价办法》所规定的内容,分别内控五要素,对内部控制评
价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论
等内容作出披露。报告要素应当客观、完整。
第五十四条 内部控制评价报告初稿,经评价项目工作组组
长审核修改后,形成征求意见稿正式征求相关单位的意见。有关
单位应在规定时日内提出书面反馈意见。
第五十五条 项目主审根据各单位反馈意见在规定时日内对
评价报告完成修改定稿,经评价项目工作组组长审核后,逐级履
行上报审批程序。
第五十六条 太阳能公司年度内部控制评价报告应经董事会
审计与风险控制委员会审议通过、报董事会批准后,经董事长签
字对外报出。
第五十七条 太阳能公司年度内部控制评价报告,应在规定
时间内报送有关监管部门。报告基准日至报出日之间发生影响内
部控制有效性的因素,应根据其性质和影响程度对评价结论进行
�相应调整。
第六章 内部控制缺陷认定的一般标准
第五十八条 内部控制缺陷包括设计缺陷和执行缺陷,按其
影响程度分为重大缺陷、重要缺陷和一般缺陷。
设计缺陷,是指内部控制设计不科学、不适当,即使正常运
行也难以实现控制目标。
执行缺陷,是指内部控制设计比较科学、适当,但在实际执
行过程中没有严格按照设计意图执行,导致内部控制运行与设计
相脱节,未能有效实施控制、实现控制目标。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司
严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和
经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
第五十九条 对内部控制缺陷的认定应当根据不同的分类明
确不同的标准。
第六十条 内部控制的设计有效性,是指为实现控制目标所
必需的内部控制要素都存在并且设计合理、恰当。评价内控设计
有效性的因素包括:
(一)存在性:过程和风险已被充分识别,过程和风险的控
制措施得到明确规定并得以保持;
(二)合理性:内部控制的设计在符合内部控制原理的同时,
�本着客观、公平、公正的原则制定,对内部决策机构、经理层和
员工具有执行的基础和约束力;
(三)恰当性:内部控制的设计结合企业自身的环境条件、
业务范围、经营模式等进行风险识别和评估,确定主要及重大风
险控制措施,从而有利于实现控制目标。
第六十一条 内部控制的运行有效性,是指现有内部控制按
照规定程序得到了正确执行。评价运行有效性的因素包括:
(一)相关控制是否得到持续一致的运行;
(二)相关控制是否由适当的人员执行(执行人员具有相应
的权限和能力);
(三)相关控制是否在适当的时间被执行(例如,某交易在
发生前得到相应的授权和审批,而不是在事后补齐授权审批手
续);
(四)执行方式恰当(例如,某控制按规定应执行管理层审
批程序,但实际执行人仅进行审阅,没有批示决策意见,则该控
制执行不当);
(五)执行结果进行了适当的记录(重要控制环节需要签字、
邮件、会议纪要等记录);
(六)执行时发现的差异及时得到了跟进(例如对账环节,
核对并不是最终目的,最终目的是核对过程中发现的差异均进行
了调查跟进)。
第六十二条 按照影响内部控制目标的具体表现形式,可以
�将内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部
控制缺陷。
财务报告缺陷是指影响财务报告及相关信息真实性、完整性
的内部控制缺陷。
(一)定量标准:
缺陷等级 定量标准
重大缺陷 错报金额≥资产总额的 3%;或错报金额≥利润总额的 5%
资产总额的 1%≤错报金额<资产总额的 3%;
重要缺陷
或利润总额的 3%≤错报金额<利润总额的 5%
一般缺陷 错报金额<资产总额的 1%;或错报金额<利润总额的 3%
(二)定性标准:
1.重大缺陷:
(1)公司董事、监事和管理层存在舞弊行为;
(2)公司会计报表、财务报告及信息披露等方面发生重大
违规事件,或当年财务报表被注册会计师出具否定意见或无法表
示意见;
(3)当期财务报告存在重大错报,且内部控制运行未能发
现该错报;
2.重要缺陷:
(1)未建立反舞弊程序和控制措施;
(2)未依照规定会计准则选择和应用会计政策;
(3)对于编制期末财务报告过程的控制存在一项或多项缺
陷且不能合理保证编制的财务报表达到真实、准确的目标。
3.一般缺陷:
未构成重大缺陷、重要缺陷标准的其他内部控制缺陷。
第六十三条 非财务报告缺陷是指相关控制不能及时防止或
�发现并纠正影响经营的效率效果、遵守法律法规、实现发展战略
以及影响保护资产安全中与报告可靠性目标无关的内部控制目
标。
(一)定量标准:
缺陷等级 缺陷造成的直接财务净损失
评价期内因内部控制设计不健全或运行不规范等
重大缺陷 因素导致直接财务净损失总额大于等于最近一次
年度财务决算审计的净资产总额的 3%;
评价期内因内部控制设计不健全或运行不规范等
重要缺陷 因素导致直接财务净损失总额大于等于最近一次
年度财务决算审计的净资产总额的 1%而小于 3%
评价期内因内部控制设计不健全或运行不规范等
一般缺陷 因素导致直接财务净损失总额小于最近一次年度
财务决算审计的净资产总额的 1%;
(二)定性标准:
1.重大缺陷:
(1)违反国家法律、法规或规范性文件;
(2)违反决策程序,或“三重一大”等重大决策程序不科
学,导致重大决策失误;
(3)董事、监事、高级管理层违反法律法规、公司治理授
权等规定,造成重大损失;
(4)公司未对安全生产实施管理,造成重大人员伤亡的安
全责任事故;
(5)媒体负面新闻频现,对公司造成重大影响;
(6)关键岗位人员流失严重;
(7)重要业务缺乏制度控制,或制度系统性失效、或重要
业务违反法律法规,造成重大损失;
(8)内部控制评价的结果特别是重大或重要缺陷未得到整
�改;
(9)其他对公司影响重大的情形。
2.重要缺陷:
(1)违反法律法规或决策程序,导致出现的决策失误,对
公司造成较大损失;
(2)重要业务缺乏制度控制或设计存在较大缺陷;
(3)其他对公司产生较大负面影响的情形。
3.一般缺陷:
未构成重大缺陷、重要缺陷标准的其他内部控制缺陷。
第六十四条 内部控制缺陷应在进行设计缺陷和运行缺陷、
财务报告缺陷和非财务报告缺陷分类认定的基础上,按照影响程
度进一步认定重大缺陷、重要缺陷和一般缺陷。
太阳能公司和各大区、子公司应当分别制定各自层面的重大
缺陷、重要缺陷和一般缺陷认定标准,缺陷认定标准应经董事会
或类似决策机构批准。
第七章 内部控制缺陷的报告及整改
第六十五条 太阳能公司内部控制缺陷报告应当采取书面形
式,可以单独报告,也可以作为内部控制评价报告的一个重要组
成部分。内部控制的一般缺陷、重要缺陷至少每年报告一次,重
大缺陷立即报告。
第六十六条 对于重大缺陷及其整改方案,应向公司董事会
审计与风险控制委员会、监事会及第一经营负责人报告,并经董
�事会审议批准。
第六十七条 对于重要缺陷和一般缺陷,应向公司第一经营
负责人报告,并视情况考虑是否需要向董事会、监事会报告。
第六十八条 如果出现不适合向公司第一经营负责人报告的
情形,例如存在与管理层舞弊相关的内部控制缺陷,或存在管理
层凌驾于内部控制之上的情形,应当直接向董事会、监事会报告。
第六十九条 企业对于认定的内部控制缺陷,应当及时落实
整改。评价项目工作组应当根据评价结果,及时分析缺陷性质和
产生原因,就发现的内部控制缺陷提出整改建议。
第七十条 太阳能公司审计部是内部控制缺陷整改工作的牵
头组织部门。应当在年度内部控制评价报告提交后,根据认定的
内控缺陷及其整改建议,组织责任部门、单位制订包括整改责任
人、目标、内容、步骤、措施和期限在内的整改方案,及时进行
整改,并向集团公司按季度上报整改工作进度。
第七十一条 各大区、子公司应当根据制订的整改方案组织
实施本单位的整改工作,确保在规定时间内整改到位,并向太阳
能公司审计部按季度上报整改工作进度。
第七十二条 在整改方案实施过程中,太阳能公司审计部应
当对整改措施的落实情况进行监督,并填写缺陷跟踪表。各大区、
子公司应当保证相对合理的时间来实施整改措施,在新的控制措
施运行一段时间以后,复核评价其运行的有效性。
� 第八章 资料归档
第七十三条 内部控制评价资料应在项目完成后由审计部进
行归档,项目主审负责档案收集、整理立卷,档案的所有权归属
于太阳能公司。各大区、子公司组织开展内部控制评价工作的部
门,负责档案收集、整理立卷,单独保管,以备上级单位调阅检
查。
第七十四条 内部控制评价档案应视同会计档案管理,参照
会计档案的保管办法、保管期限、档案保密和借阅、档案移交和
销毁等规定执行。
第九章 附则
第七十五条 各大区、子公司可根据本实施细则,结合自身
实际情况,制定本单位相关制度。
第七十六条 本实施细则由太阳能公司审计部负责解释。
第七十七条 本实施细则自公司第十一届董事会第十次会议
审议通过后生效实施。原《中节能太阳能股份有限公司内部审计
管理办法》(太阳能〔2016〕224号)同时废止。
�
