丽江股份:内部控制评价管理制度-2024年修订2024-01-20
丽江玉龙旅游股份有限公司
内部控制评价管理制度
第一章 总则
第一条 为了促进丽江玉龙旅游股份有限公司(以下简称“股份
公司”或“公司”)全面评价公司内部控制的设计和运行情况,规范
内部控制评价程序和评价报告,揭示和防范经营风险,根据《企业内
部控制基本规范》、《企业内部控制评价指引》等有关法律、法规的规
定,并结合本公司实际情况,特制定本制度。
第二条 本制度所称内部控制评价,是指公司董事会和管理层实
施的,对内部控制的有效性进行全面评价、形成评价结论、出具评价
报告的过程。
第三条 本制度适用于公司各部门和下属控股子公司(以下简称
“各部门、各单位”)。
第二章 内部控制评价工作原则
第四条 公司实施内部控制评价工作,遵循下列原则:
(一)全面性原则。评价工作范围包括公司内部控制的设计与运
行,涵盖公司及其所属单位的各种业务和事项。
(二)客观、一致性原则。评价工作应准确揭示经营管理的风险
状况,如实反映内部控制设计与运行的有效性;评价的准则、范围、
程序和方法等应保持一致,以确保评价结果的客观、可比性。
(三)重要性原则。评价应坚持全面性的同时,关注重点区域、
重点业务和重要流程,特别是重大投资项目、担保项目、关联方交易、
大额资金运作、融资项目、募集资金使用、大额营销业务、舞弊以及
其他重大和高风险领域。
第 1 页 共 13 页
� (四)及时性原则。评价工作按照规定的时间持续进行,当经营
管理环境发生重大变化时,应及时进行重新评价。
(五)以风险为导向的原则。评价工作以风险为基础,根据风险
发生的可能性和对公司内控目标影响的程度确定需要评价的重点业
务单元、重要业务领域和重要流程环节。
第三章 内部控制评价机构与职能
第五条 公司董事会是公司内部控制评价的最高决策机构和最
终责任者,其主要职责包括:
(一)审阅和批准公司内部控制评价报告;
(二)批准由公司管理层提交的涉及内部控制整改的重大决策、
重大风险、重大事项;
(三)审议和批准按照公司章程规定由董事会批准的内部控制管
理相关制度和规章。
第六条 董事会审计委员会是公司内部控制评价的领导机构,其
主要职责包括:
(一)审议内部审计部的工作计划、方案和报告,检查和评价关
键评价人员的工作,聘请外部独立评价机构,协调与外部评价机构之
间的关系;
(二)审议公司内部控制评价报告,重要和重大缺陷认定报告,
发表专项意见,并向董事会报告;
(三)监督公司内部控制的有效实施和内部控制评价情况。
第七条 公司内部控制评价领导小组是公司内部控制评价的主
要工作机构,内部控制评价领导小组组长由公司董事长担任,成员由
公司管理层组成,其主要职责包括:
第 2 页 共 13 页
� (一)审议和批准公司内部控制评价工作方案;
(二)审议公司内部控制评价报告,并提出相关意见和建议;
(三)了解公司日常内部控制风险监控结果,根据内控缺陷情况,
审议内控缺陷整改方案和措施;
(四)协调和解决公司跨部门的内部控制评价过程中出现的重大
事项;
(五)听取和了解内控缺陷整改过程中出现的相关重大事项,并
按照董事会授权进行决策。
第八条 公司内部控制评价工作小组是在内部控制评价工作领
导小组的领导下,具体负责公司内部控制评价工作实施的临时办事机
构。
公司内部控制评价工作小组由公司分管内部审计部领导牵头,工
作组成员由公司内部审计部、财务部、人力资源部等熟悉公司业务和
控制流程的业务骨干组成,其主要职责为:
(一)实施内控测试和评价工作,编制评价工作底稿和起草内部
控制评价报告;
(二)提出内控缺陷整改建议,与各单位、各部门负责人和管理
层沟通确定内控缺陷整改计划;
(三)在内控测试评价实施过程中,根据各流程的实际执行情况,
通过与相关流程负责人的沟通,整理并完善公司相应业务的《内部控
制管理手册》;
(四)根据现场测试获得的证据,对发现的内部控制缺陷及成因、
表现形式和影响程度进行综合分析和全面复核,按照内控缺陷的评价
标准,将其分为重大缺陷、重要缺陷和一般缺陷,并提出认定意见和
第 3 页 共 13 页
�整改意见,编制《评价缺陷汇总表》(详见表单一),督促相关单位或
部门提出整改措施,并以书面形式向内部控制评价领导小组报告。
第九条 公司内部审计部是内部控制评价归口管理部门,负责公
司内部控制评价日常管理和监督工作,其主要职责包括:
(一)制定内部控制评价工作方案,明确评价范围、工作任务、
人员组织、进度安排和费用预算等相关内容;
(二)根据内部控制评价工作方案,组织内部控制评价工作小组
实施内部控制评价工作;
(三)汇总分析各部门各单位内部控制自我评估表和自我评估报
告;
(四)收集、复核、整理内部控制评价工作小组独立性测试评价
工作底稿和评价报告;
(五)按照内部控制评价工作小组形成的内部控制有效性结论,
编写《公司内部控制评价报告》。
第十条 公司各单位各部门是内部控制评价的参与单位及完成
内控缺陷整改任务的责任主体,应指定内控专员负责本部门的内部控
制评价及自我评估工作,其主要职责包括:
(一)负责本单位本部门内部控制自我评估工作,按照公司内部
控制评价工作小组的工作安排,填写本单位本部门内部控制自我评估
表(详见表单二)和内部控制自我评估报告,报送内部审计部;
(二)按照公司内控缺陷整改工作计划,及时完成各项流程所涉
及到本单位、本部门的缺陷整改工作,并根据整改进度情况填写《内
控缺陷整改进度一览表》(详见表单三)报送内部审计部;
(三)提供可靠信息资料配合内部控制评价工作小组进行内部控
第 4 页 共 13 页
�制测评和检查工作。
第四章 内部控制评价工作内容
第十一条 公司内部控制评价主要包括以下工作内容:
(一)各单位各部门的内部控制自我评估;
(二)内部控制评价工作小组的独立性测试评价;
(三)内部控制评价工作小组关于内控缺陷的汇总和认定;
(四)内部控制缺陷整改;
(五)内部控制评价报告编制;
(六)内部控制评价报告的信息披露。
第十二条 公司的内部控制评价工作主要依据公司内部控制制
度和工作程序,紧紧围绕对内部环境、风险评估、控制活动、信息沟
通、内部监督等要素评价的具体内容,对内部控制设计和运行情况进
行全面评价。
第十三条 公司内部审计部根据批准的评价方案,会同相关职能
部门组织内部控制评价工作小组,具体实施内部控制评价工作,内部
控制评价工作小组吸收企业内部控制熟悉情况的业务骨干参加,必要
时可聘请外部专业机构和人士协助。
第十四条 公司内部控制缺陷包括设计缺陷和运行缺陷,公司对
内部控制缺陷的认定,以各单位各部门内部日常监督和专项监督为基
础,结合内部控制评价工作小组的年度综合分析,按照规定的权限程
序进行汇总后,由公司内部控制评价工作领导小组认定。
第十五条 公司内部控制评价工作小组应对独立性测试评价工
作底稿进行严格审核,对所认定的评价结果进行签字确认,并结合日
常监督和专项监督发现的内部控制缺陷及其持续改进情况进行综合
第 5 页 共 13 页
�分析。对于认定的重大缺陷,及时采取应对措施,确保将风险控制在
可承受范围之内。
第十六条 公司根据年度内部控制评价工作小组评价结果,结合
内部控制自我评估表和内部控制缺陷汇总表等资料,按照规定的程序
和要求,及时编制公司内部控制评价报告。
第十七条 公司应建立健全内部控制评价工作档案管理机制,妥
善保管内部控制评价的有关文件资料、工作底稿和证明材料等。
第十八条 公司内部控制评价工作小组应综合运用个别访谈、调
查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,
收集公司内部控制设计与运行的有效性的相关证据,如实填写内部控
制缺陷并进行分析、研究。
第五章 内部控制评价程序
第十九条 公司内部审计部负责制定公司年度内部控制评价工
作方案,明确内控评价主体范围、工作任务、人员组织、进度安排和
费用预算等相关内容,报经公司内部控制评价工作领导小组审批后实
施。
第二十条 公司内部审计部会同相关职能部门共同组织内控评
价专门机构负责内部控制评价的具体实施工作,有序开展内部控制评
价。内部控制评价一般包括内控评价准备阶段、实施阶段和报告阶段,
其主要工作程序为:
(一)制定内部控制评价工作计划和方案,报送公司内部控制评
价领导小组审议批准;
(二)组织成立内部控制评价工作小组,实施独立的测试评价工
作;
第 6 页 共 13 页
� (三)各单位各部门按照内部控制评价工作小组的安排开展本单
位和本部门内部控制自我评估,并在规定时间内提交内部控制自我评
估表和报告;
(四)内部审计部汇总和统计各单位各部门内部控制自我评估表
和报告;
(五)内部控制评价工作小组根据各单位各部门内部控制自我评
估表和评估报告,确定内部控制独立性测评的重点范围和工作计划,
并具体实施分析和评价;
(六)内部控制评价小组汇总和分析内部控制缺陷,指导各单位
各部门进行整改和完善内部控制相关制度和工作程序,并持续根据内
外部环境变化修订和更新内部控制手册;
(七)审计部编制并修订内部控制评价报告;
(八)内部控制评价报告经内部审核后报董事会审议,经董事会
审议通过后,进行信息披露。
第六章 内部控制缺陷的认定
第二十一条 公司在确定内部控制缺陷的认定标准时,应当充分
考虑内部控制缺陷的重要性及其影响程度。
第二十二条 内部控制缺陷的分类从环节上分为设计缺陷和运行
缺陷,从与财务报告关系分为财务报告内控缺陷和非财务报告内控缺
陷,从程度上分为重大缺陷、重要缺陷、一般缺陷。
第二十三条 内部控制缺陷认定标准的制定包括财务报告内控缺
陷认定标准和非财务报告内控缺陷认定标准两类。
第二十四条 内部控制缺陷认定标准包括定性标准和定量标准,
定量标准即涉及金额大小,即可以根据造成直接损失绝对金额制定,
第 7 页 共 13 页
�也可以根据直接损失占本公司资产总额、销售收入及利润等的比率确
定;定性标准,即涉及业务性质的严重程度,可根据其直接或潜在负
面影响的性质,影响的范围,影响的程度等因素确定。
第二十五条 公司内部控制缺陷认定标准由内部审计部草拟,经
过内部审核后提交董事会最终认定通过,并作为内控缺陷认定评价的
依据。
第二十六条 公司对内部控制缺陷的认定应当以日常监督和专项
监督为基础,由公司内部控制评价机构进行综合分析后提出认定意见,
董事会予以最终认定。
第二十七条 公司在日常监督、专项监督和年度评价工作中,应
当充分发挥内部控制评价工作小组的作用,内部控制评价工作小组根
据现场测试获取的证据,对内部控制缺陷进行初步判断。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严
重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济
后果低于重大缺陷,但仍有可能导致公司偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
第二十八条 财务报告内部控制可能存在重大缺陷的一些迹象:
(一)董事、监事和高级管理人员舞弊;
(二)公司更正已公布的财务报告;
(三)注册会计师发现当期财务报告存在重大错报,而内部控制
在运行过程中未能发现该错报;
(四)公司审计委员会和内部审计机构对内部控制的监督无效。
第二十九条非财务报告内部控制可能存在重大缺陷的一些迹象:
第 8 页 共 13 页
� (一)企业缺乏民主决策程序,如重大事项缺乏集体决策程序;
(二)企业决策程序不科学,如决策失误,导致并购不成功;
(三)违犯国家法律、法规,如环境污染;
(四)管理人员或核心员工纷纷流失;
(五)媒体负面新闻频现;
(六)内部控制评价的结果特别是重大或重要缺陷未得到整改;
(七)重要业务缺乏制度控制或制度系统性失效。
第三十条 非财务报告内部控制缺陷认定标准一经确定,必须在
不同评价期间保持一致,不得随意变更。
第三十一条 内部控制评价机构需编制内部控制缺陷认定汇总
表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,
对内部控制缺陷及其影响程度进行综合分析和全面复核。重大缺陷的
最终认定以及对相关部门的问责由董事会或其授权机构负责。
第七章 内部控制缺陷的报告与整改
第三十二条 内部控制缺陷报告应当采取书面形式,可以单独报
告,也可以作为内部控制评价报告的一个重要组成部分。
第三十三条 内部控制缺陷的报告途径:
(一)内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,
重大缺陷应立即报告。
(二)对于重大缺陷及其认定理由,应向董事会(审计委员会)、
监事会报告,并由董事会最终认定。
(三)对于一般缺陷和重要缺陷,向公司经理层报告,并视情况
考虑是否需要向董事会(审计委员会)、监事会报告;对于认定为重
要缺陷还是重大缺陷尚不能确定的内部控制缺陷,向董事会(审计委
第 9 页 共 13 页
�员会)报告,由其最终认定缺陷等级。
第三十四条 公司对于认定的内部控制缺陷,应当及时采取整改
措施,切实将风险控制在可承受度之内,并追究有关机构或相关人员
的责任。
第三十五条 公司内部控制评价机构应当就发现的内部控制缺
陷提出整改建议,并报经理层、董事会(审计委员会)、监事会批准。
获批后,应制定切实可行的整改方案,包括整改目标、内容、步骤、
措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远
期目标以及相应的整改工作内容。
第三十六条 对公司在日常监督、专项监督和年度评价工作中发
现的内部控制缺陷,由相关业务主管部门或内部控制评价机构下发整
改通知书。
第三十七条 对存在整改事项的单位或部门,自接到整改通知书
之日起一个月内,应按照整改通知书要求,以书面形式上报整改责任
人、整改期限、整改措施、整改方法和期限,整改情况上报内部控制
评价部门。
第八章 内部控制评价报告
第三十八条 内部控制评价报告是内部控制评价的最终体现,包
括日常报告、专项报告和年度报告。
第三十九条 公司年度内部控制评价报告根据《企业内部控制基
本规范》、应用指引和本制度,并参照相关监管部门和深圳证券交易
所的通知、指引、问答及工作备忘录等,设计内部控制自我评价报告
的内容,明确内部控制评价报告编制程序和要求,按照规定的权限报
经批准后对外报出。
第 10 页 共 13 页
� 第四十条 年度内部控制评价报告至少应当披露下列内容:
(一)董事会对内部控制报告真实性的声明。声明董事会及全体
董事对报告内容的真实性、准确性、完整性承担个别及连带责任,保
证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
(二)内部控制评价工作的总体情况。明确公司内部控制评价工
作的组织、领导体制、进度安排,是否聘请会计师事务所对内部控制
有效性进行独立审计。
(三)内部控制评价的依据。说明公司开展内部控制评价工作所
依据的法律法规和规章制度。
(四)内部控制评价的范围。描述内部控制评价所涵盖的被评价
单位,以及纳入评价范围的业务事项,及重点关注的高风险领域。内
部控制评价的范围如有所遗漏的,应说明原因,及其对内部控制评价
报告真实完整性产生的重大影响等。
(五)内部控制评价的程序和方法。描述内部控制评价工作遵循
的基本流程,以及评价过程中采用的主要方法。
(六)内部控制缺陷及其认定情况。描述适用本公司的内部控制
缺陷具体认定标准,并声明与以前年度保持一致或做出的调整及相应
原因;根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、
重要缺陷和一般缺陷。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
对于评价期间发现、期末已完成整改的重大缺陷,说明公司有足够的
测试样本显示,与该重大缺陷相关的内部控制设计且运行有效。针对
评价期末存在的内部控制缺陷,公司拟采取的整改措施及预期效果。
(八)内部控制有效性的结论。对不存在重大缺陷的情形,出具
第 11 页 共 13 页
�评价期末内部控制有效结论;对存在重大缺陷的情形,不得作出内部
控制有效的结论,并需描述该重大缺陷的性质及其对实现相关控制目
标的影响程度,可能给公司未来经营带来相关风险。自内部控制评价
报告基准日至内部控制评价报告发出日之间发生重大缺陷的,公司须
责成内部控制评价机构予以核实,并根据核查结果对评价结论进行相
应调整,说明董事会拟采取的措施。
第四十一条 公司内部控制评价机构负责根据年度内部控制评
价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,
及时编制内部控制自我评价报告。
第四十二条 内部控制自我评价报告应当报经董事会审议批准后
对外披露。公司董事审议该报告,需要亲笔填写《关于〈董事会关于
公司内部控制的自我评估报告〉审议的工作底稿》,该底稿的具体规
格应参照公司所属证券交易所公布的当年度定期报告披露要求。
第四十三条 公司以 12 月 31 日作为年度内部控制自我评价报告
的基准日。内部控制自我评价报告应于基准日后 4 个月内与内部控制
审计报告同时报出。公司内部控制评价机构需关注自内部控制自我评
价报告基准日至内部控制自我评价报告发出日之间是否发生影响内
部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应
调整。
第四十四条 内部控制评价的有关文件资料、工作底稿和证明材
料等应当由内部审计机构妥善保管,保存时间不少于十年,年度报告
应永久保存。
第九章 内部控制评价监督和改进
第 12 页 共 13 页
� 第四十五条 公司内部控制评价涉及的单位和部门应及时提供
全面和准确的资料,保证内部控制评价工作的顺利开展,因迟报、漏
报、瞒报等影响重大风险的妥善处置,造成严重后果,将追究有关人
员的责任。
第四十六条 未经授权批准或许可,任何个人或权属单位不得对
外公布内部控制评价结果,凡擅自公布内部控制评价结果,给公司声
誉和经济造成损失,将追究有关人员的责任。
第四十七条 公司应开展内部控制评价工作机制的全面评估工
作,通过评估持续改进内部控制评价工作的工作效率和工作质量。
第十章 附 则
第四十八条 本管理制度由公司审计部负责制订、修订及解释,
报董事会审议通过之日起生效。
第四十九条 本制度自董事会审议通过之日起执行。
丽江玉龙旅游股份有限公司
2024 年 1 月 18 日
第 13 页 共 13 页
�
