申华控股:申华控股内部控制评价制度(2024年12月修订)2024-12-21
辽宁申华控股股份有限公司
内部控制评价制度
(2024 年 12 月修订)
第一章 总 则
第一条 为了规范辽宁申华控股股份有限公司(以下简称“公司”)内部控制
评价工作,根据财政部等五部委联合发布的《企业内部控制基本规范》、《企业内
部控制应用指引》和《企业内部控制评价指引》等有关法规规定,结合公司实际
情况制定本制度。
第二条 本制度所称内部控制评价,是指公司董事会对内部控制的有效性进
行全面评价,形成评价结论,出具评价报告的过程。
第三条 内部控制评价对象是内部控制的有效性,即建立与实施内部控制对
实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行
的有效性。
第四条 实施内部控制评价应遵循下列原则:
(一)全面性原则。评价工作包括内部控制的设计与运行,涵盖公司及各级
子公司的各种业务和事项。
(二)重要性原则。在全面评价的基础上,重点关注高风险领域和风险点、
重要的业务事项和关键的控制环节以及重要的产业板块。
(三)客观性原则。准确地揭示各个管理环节的风险状况,如实反映内部控
制设计与运行的有效性。
第五条 本制度适用于公司本部、各分公司,以及公司所属的各级控股子公
司(以下简称“各单位”)。
第二章 职责分工
第六条 公司董事会对内部控制评价的最终结果负责,在内部控制评价工作
中的主要负责:
(一)审定公司基本的内控管理制度。
(二)审批内部控制评价报告。
(三)授权公司董事会审计委员会领导和监督内部控制评价工作。
1
� 第七条 董事会审计委员会代表公司董事会审议公司内部控制评价报告,审
定内部控制重大缺陷、重要缺陷的整改意见,有权对公司内部控制评价工作进行
监督和指导。
第八条 公司总裁办公会在内部控制评价工作中的主要负责:
(一)授权审计内控部负责公司内部控制监督、检查和评价工作。
(二)审批公司内部控制评价方案。
(三)听取内部控制评价报告,协调和解决内部控制评价过程中出现的重大
事项,及时了解公司内部控制监控结果,组织实施缺陷整改工作。
第九条 内部控制评价小组是公司非常设的内部控制评价机构,由审计内控
部牵头组建,小组成员由各职能部门、业务公司等熟悉公司内部管理的部门负责
人或业务骨干组成。具体负责拟定内部控制评价方案并组织实施。
内部控制评价小组可根据工作需要成立若干内部控制测试小组,具体负责各
自范围内的内部控制评价工作。
第十条 公司各单位负责组织本单位的内部控制自我评价工作。公司下属的
三级子公司由各业务公司负责逐级落实内部控制自我评价责任。
第三章 内部控制评价的内容
第十一条 公司根据《企业内部控制基本规范》、《企业内部控制评价指引》
以及公司内部控制管理制度,围绕内部环境、风险评估、控制活动、信息与沟通、
内部监督等内部控制要素,确定内部控制评价的具体内容,对内部控制设计与运
行情况进行客观的评价。
第十二条 内部环境是公司内部控制实施的基础,内部环境评价的内容包括:
组织架构、发展战略、人力资源、内部审计、企业文化、社会责任等。
第十三条 风险评估是公司及时识别、系统分析经营活动中与实现内部控制
目标相关的风险,合理确定风险应对策略的过程。风险评估评价的内容包括对目
标设定、风险识别、风险分析、风险应对策略等进行的认定和评价。
第十四条 控制活动是公司根据风险评估结果,采取相应的控制措施,将风
险控制在可承受范围内,达到控制目标的过程。控制活动评价包括对各类业务控
制措施与流程的设计有效性和运行有效性进行的认定和评价。
第十五条 信息与沟通是公司及时、准确地收集、传递与内部控制有关的信
息,确保信息在公司内部、公司与外部进行有效沟通。信息与沟通评价包括对信
息收集、处理和传递的及时性,反舞弊机制的健全性,财务报告的真实性,信息
2
�系统的安全性,以及利用信息系统实施内部控制的有效性等进行的认定和评价。
第十六条 内部监督是公司对内部控制建立与实施情况进行监督检查,评价
内部控制的有效性,发现内部控制缺陷及时加以改进的过程。内部监督评价是对
内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部控
制评价小组等是否在内部控制设计和运行中有效发挥监督作用。
第十七条 内部控制评价工作应当形成工作底稿,详细记录执行评价工作的
内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定的
结果等。
第四章 内部控制评价的程序
第一节 准备阶段
第十八条 拟订内部控制评价方案。内部控制评价小组根据公司内部监督情
况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定内
部控制评价方法,拟订年度内部控制评价方案,经公司总裁办公会批准后实施。
内部控制评价方案明确评价范围、工作任务、人员组织、进度安排和费用预
算等相关内容。评价工作方案既可以采用全面评价方式,也可以采用重点评价方
式。
第十九条 成立内部控制测试小组。内部控制评价小组根据经批准的内部控
制评价方案,组成若干内部控制测试小组,具体实施内部控制评价工作。内部控
制测试小组成员对本部门的内部控制评价工作实行回避制度。
公司可以委托会计师事务所等中介机构实施内部控制评价,但不得选择同时
为公司提供内部控制审计服务的中介机构。
第二节 实施阶段
第二十条 内部控制评价包括各单位的内部控制自评和内部控制测试小组独
立测试两个部分。
内部控制自评,是指各单位对内部控制的有效性进行自我评估的过程。
内部控制测试小组的独立测试,是指内部控制测试小组综合运用个别访谈、
专题讨论、调查问卷和比较分析等方法,广泛收集内部控制设计和运行是否有效
的证据,研究分析内部控制缺陷,对内部控制的有效性进行评价的过程。
第二十一条 开展内部控制自我评价。
(一)发起内部控制评价
3
� 内部控制评价工作启动后,内部控制评价小组向各自评单位下发《内部控制
自我评估表》。
(二)执行内部控制自我评估
各单位收到《内部控制自我评估表》后,组织本单位相关人员针对本单位负
责的控制活动,根据其日常工作的情况,对控制活动的设计有效性和运行有效性
进行自我评估,并将填制完成的《内部控制自我评估表》提交给单位负责人审核
确认。
第二十二条 执行内部控制独立测试。
各单位完成内部控制自我评估工作后,内部控制评价小组检查各单位上报的
《内部控制自我评估表》,根据需要选取全部或部分单位进行独立测试。内部控
制测试小组应当按以下步骤对被评价单位进行现场测试:
(一)了解被评价单位基本情况。与被评价单位充分沟通企业文化、发展战
略、组织机构设置及职责分工、领导层成员构成及分工、经营计划及预算的完成
情况、内部控制工作概括等基本情况。
(二)确定评价的范围和重点。根据所了解的情况进一步确定评价范围、检
查重点和抽样数量,并结合测试人员的专业背景进行合理分工。
(三)开展现场检查测试。根据测试人员分工,综合运用各种评价方法对内
部控制设计与运行的有效性进行现场检查测试,并按要求填写工作底稿、记录相
关测试结果,对发现的内部控制缺陷进行初步认定。
第三节 报告和反馈
第二十三条 内部控制测试小组汇总工作底稿,初步认定内部控制缺陷,形
成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价测试小组负责人
进行严格审核。现场评价报告连同评价结果向被评价单位进行通报,由被评价单
位相关责任人签字确认后,提交公司内部控制评价小组。
第二十四条 内部控制评价小组汇总各单位的《内部控制自我评估表》和内
部控制测试小组的评价结果,对现场初步认定的内部控制缺陷进行全面复核、分
类汇总;对缺陷的成因、表现形式及风险程度等进行定量或定性的综合分析,按
照对控制目标的影响程度判定缺陷等级。
第二十五条 内部控制评价小组以汇总的评价结果和认定的内部控制缺陷为
基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,
并报送公司总裁办公会、董事会审计委员会和董事会,由董事会最终审定后对外
4
�披露。
第二十六条 对于认定的内部控制缺陷,内部控制评价小组应当根据公司的
管理要求,提出整改建议,拟订整改方案,按规定程序和权限报经批准后,督促
被评价单位及时整改,并跟踪其整改方案的落实情况。已经造成损失或负面影响
的,应追究相关人员的责任。
第五章 内部控制缺陷的认定
第二十七条 内部控制缺陷按其成因和来源分为设计缺陷和运行缺陷,设计
缺陷是指控制缺失和控制设计不适当。运行缺陷是指设计有效但运行不当。
内部控制缺陷按其影响控制目标实现的严重程度分为重大缺陷、重要缺陷和
一般缺陷;按其影响内部控制目标的具体表现形式,分为财务报告缺陷和非财务
报告缺陷。
第二十八条 财务报告内部控制缺陷的认定。
(一)定性标准:
重大缺陷:高级管理人员存在任何形式的舞弊;外部审计发现当期财务报告
存在重大错报,而在内部控制运行过程中未能发现该错报;董事会审计委员会和
审计内控部未能有效发挥监督职能。
重要缺陷:未完全按照企业会计准则选择和应用会计政策;未建立反舞弊程
序和控制措施;对于期末财务报告过程的控制存在一项或多项控制缺陷,不能合
理保证财务报告的真实、准确,导致财务报表出现重要错报。
一般缺陷是指除重大缺陷、重要缺陷之外的其他控制缺陷。
(二)定量标准:
重大缺陷:在考虑补偿性控制措施和实际偏差率后,该缺陷总体影响水平高
于同期合并会计报表资产总额的 1%。
重要缺陷:在考虑补偿性控制措施和实际偏差率后,该缺陷总体影响水平低
于同期合并会计报表资产总额的 1%,但高于同期合并会计报表资产总额的 0.5%。
一般缺陷:在考虑补偿性控制措施和实际偏差率后,该缺陷总体影响水平低
于同期合并会计报表资产总额的 0.5%。
第二十九条 非财务报告内部控制缺陷的认定。
(一)定性标准:
重大缺陷:发生严重违反国家法律法规的事项;公司重要业务缺乏制度控制
或制度体系失效;信息系统的安全存在重大隐患;内部控制重大缺陷未完成整改。
5
� 重要缺陷:公司一般业务缺乏制度控制或制度体系失效;信息系统的安全存
在隐患;内部控制重要缺陷未完成整改。
其他情形可按照其影响程度分别确定为重要缺陷或一般缺陷。
(二)定量标准:
按照缺陷可能造成的直接财产损失的绝对额或潜在负面影响等因素确定。
重大缺陷:直接财产损失金额高于同期合并会计报表资产总额的 0.3%。
重要缺陷:直接财产损失金额高于同期合并会计报表资产总额的 0.1%,低
于同期合并会计报表资产总额的 0.3%。
一般缺陷:直接财产损失金额低于同期合并会计报表资产总额的 0.1%。
第三十条 内部控制评价小组编制内部控制缺陷认定汇总表,结合日常监督
和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、
表现形式和影响程度等进行综合分析和全面复核,提出认定意见。针对财务报告
内部控制缺陷,还应当反映该缺陷对财务报告的具体影响,按照管理层级逐级进
行书面汇报,重大缺陷由董事会予以最终认定。
第三十一条 内部控制评价小组报告内部控制缺陷应当遵循以下原则:
(一)一般缺陷和重要缺陷定期(至少每年)报告。
(二)重大缺陷立即报告。
(三)一般缺陷和重要缺陷直接向总裁办公会报告,并视情况考虑是否需要
向董事会审计委员会和董事会报告。
第三十二条 公司对于认定的重要缺陷和重大缺陷,应当及时采取应对策略,
切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。
一般缺陷和重要缺陷的整改方案由公司总裁批准,重大缺陷的整改方案由董
事会审计委员会或董事会批准。
第六章 内部控制评价报告
第三十三条 根据《企业内部控制基本规范》和《企业内部控制评价指引》,
设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和
要求。
第三十四条 内部控制评价报告应当分别内部环境、风险评估、控制活动、
信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认
定及整改情况、内部控制有效性的结论等相关内容作出披露。
第三十五条 内部控制评价报告至少应当披露下列内容:
6
� (一)董事会对内部控制评价报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
第三十六条 公司应当根据内部控制评价结果,结合内部控制评价工作底稿
和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价
报告。
第三十七条 内部控制评价报告报经董事会批准后对外披露或报送相关部门。
第三十八条 内部控制评价小组应当关注自内部控制评价报告基准日至内部
控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和
影响程度对评价结论进行相应调整。
第三十九条 内部控制审计报告与内部控制评价报告同时对外披露或报送。
第四十条 公司以 12 月 31 日作为年度内部控制评价报告的基准日。内部控
制评价报告于基准日后 4 个月内报出。
第四十一条 内部控制评价的有关文件资料、工作底稿和证明材料等按照公
司《内部审计档案管理制度》的规定进行保管。
第七章 附 则
第四十二条 本制度未涉及的内容,按国家有关部门及公司的相关规定执行。
第四十三条 本制度由公司董事会负责解释和修订。
第四十四条 本制度自发布之日起实施。
辽宁申华控股股份有限公司
二〇二四年十二月
7
�
