广安爱众:四川广安爱众股份有限公司内部控制评价管理制度(修订稿)2024-03-14
四川广安爱众股份有限公司
内部控制评价管理制度(修订稿)
第一章 总 则
第一条 目的
为规范四川广安爱众股份有限公司(以下简称"公司")内部控
制评价工作,及时发现公司内部控制缺陷,提出和实施改进方
案,确保内部控制有效运行,依据《公司法》《企业内部控制基本
规范》《上海证券交易所股票上市规则》《上海证券交易所上市公
司内部控制指引》等法律法规及规范性文件的规定,并结合本公
司的实际情况,特制定本制度。
第二条 适用范围
本制度适用于公司总部、各子(分)公司的内部控制评价工
作。
第三条 关键术语
内部控制评价:是指由公司董事会和管理层实施的,对公司
内部控制有效性进行全面评价,形成评价结论,出具评价报告的
过程。
内部控制有效性:是指公司建立与实施内部控制,能够为控
制目标的实现提供合理的保证。
第四条 基本原则
— 1 —
� (一)全面性原则。评价工作应当包括内部控制的设计与运
行,涵盖公司及其所属单位的各种业务和事项。
(二)风险导向原则。内部控制评价应当以风险评估为基础,
根据风险发生的可能性和对公司、子(分)公司单个或整体控制
目标造成的影响程度来确定需要评价的重点业务单元、重要业务
领域或流程环节。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险
状况,如实反映内部控制设计与运行的有效性。
第五条 公司实施内部控制评价,必须关注以下业务风险:
(一)公司组织架构不合理,内部控制评价人员未能保持适当
的独立性、客观性,影响内部控制评价工作的有效性;
(二)受内部控制评价人员自身业务素质的限制,评价质量达
不到专业要求,导致不恰当的判断。
第六条 评价依据和标准
1、财政部等五部委颁布的《企业内部控制基本规范》《企业内
部控制应用指引》(简称:“应用指引”)、《企业内部控制评价指
引》 (简称:“评价指引”)。
2、公司上市地上海证券交易所颁布的《上海证券交易所股票
上市规则》《上海证券交易所上市公司内部控制指引》等规章。
3、公司、子(分)公司内部控制手册、公司相关制度、流
程文件等。
第二章 内部控制评价的组织
— 2 —
� 第七条 内部控制评价按照“统一领导、分级管理”的原则进
行, 即公司董事会负责统一领导、公司审计法务部负责具体组
织和实施、公司下属子(分)公司负责本单位的内部控制评价工
作。股份公司、总部、子(分)公司层面指定主要责任部门和责
任人组织开展内部控制评价工作。
第八条 内部控制评价的职责
(一)董事会负责公司内部控制体系的设计、运行和评价工
作,董事会对内部控制报告的真实性负责。
(二)董事会审计委员会对具体开展内部控制评价工作进行组
织,监督内部控制自我评价情况,并审阅审计法务部提交的内部
控制评价报告。
(三)监事会对董事会实施内部控制评价进行监督。
(四)审计法务部具体负责对公司内部控制进行评价。
(五)公司各部门、子(分)公司作为内控自评的实施部门。
第九条 公司在每年开展内部控制评价前成立内部控制评价
的专门机构,负责具体开展本次内部控制评价工作,股份公司、
总部、子(分)公司层面的内部控制评价专门机构的人员构成及
相应职责如下:
(一)公司内部控制评价工作领导小组是公司内部控制评价的
主要工作机构,内部控制评价工作领导小组组长由公司董事长担任,
成员由公司管理层组成,其具体职责为:负责组织落实公司内控体
系建设和部署与内控相关的重大活动;研究处理内控工作中出现
的重大问题;审定公司内部缺陷认定标准;推动内控工作开展;
— 3 —
�监督内控体系工作的整体进程;研究业务流程、关键控制点与组
织架构的优化、重组等。
(二)公司内部控制评价工作小组是在内部控制评价工作领导
小组的领导下,具体负责公司内部控制评价工作实施的机构。公司
审计法务部作为内部控制评价工作小组的牵头部门,其具体职责
为:负责组织成立股份公司内部控制建设与自评工作小组,具体
落实公司内控体系建设与自评工作的开展、推进、协调等事项;
负责制定和调整公司内部缺陷认定标准;负责对公司流程、制度
优化等工作的跟进,并向领导小组提出相关解决方案及建议;组
织和实施公司各级人员的内控培训工作;协调督办各部门、控股
子公司开展内控建设和自评工作; 负责向内控领导小组提交各
阶段的工作报告及专项汇报。
审计法务部负责人作为公司内控建设与自评工作小组组长和
联络人,负责与各单位进行对口联系,传达公司指令,组织公司
本部开展内控自评工作,组织测试小组抽查核实各业务单元自评
报告;收集并统一对外报送与内控建设相关的资料。
(三)股份公司本部及下属各单位成立本单位内部控制建设与
自评工作实施小组。股份公司本部由股份公司总经理担任组长,
各部门负责人担任成员;各子(分)公司由子(分)公司董事长
(经理)担任组长,各部门负责人担任成员。其具体职责为:根据
上市公司监管机构、公司内部控制体系建设领导小组、内部控制
建设与自评工作领导小组的要求报送相关材料;积极配合公司内
控测试工作及中介机构审计工作的开展,安排本部门人员按时参
— 4 —
�与访谈,提供支持性文档;积极落实内控缺陷整改方案,并按有
关要求及时、真实、准确、完整报送整改结果;负责组织本单位
内部控制自评工作并形成自评报告;负责在实施本单位内部控制
自评工作中对公司制定的内部缺陷认定标准的修订提出建议。
第十条 公司可以委托中介机构实施内部控制自我评价工
作,公司董事会对中介机构做出的内部控制自我评价报告的真实
性负责。为公司提供内部控制审计服务的会计师事务所,不得同
时为同一公司提供内部控制评价服务。
第三章 内部控制评价的内容
第十一条 公司针对内部环境、风险评估、控制活动、信息
与沟通、内部监督等内部控制要素,确定内部控制评价的具体内
容,对内部控制设计与运行情况进行全面评价。
第十二条 公司组织开展内部环境评价以组织架构、发展战
略、人力资源、企业文化、社会责任等应用指引为依据,结合公
司的内部控制制度,对内部环境的设计及实际运行情况进行认定
和评价。
第十三条 公司以《企业内部控制基本规范》有关风险评估的
要求组织开展风险评估机制评价,以各项应用指引中所列主要风
险为依据,结合公司内部控制制度,对日常经营管理过程中的风
险识别、风险分析、应对策略等进行认定和评价。
第十四条 公司以《企业内部控制基本规范》和各项应用指引
中的控制措施为依据组织开展控制活动评价,结合公司内部控制
— 5 —
�制度,对相关控制措施的设计和运行情况进行认定和评价。
第十五条 公司以内部信息传递、财务报告、信息系统等相
关应用指引为依据组织开展信息与沟通评价,结合公司内部控制
制度,对信息收集、处理和传递的及时性,反舞弊机制的健全
性,财务报告的真实性,信息系统的安全性,以及利用信息系统
实施内部控制的有效性等进行认定和评价。
第十六条 公司以《企业内部控制基本规范》有关内部监督的
要求组织开展内部监督评价,以及各项应用指引中有关日常管控
的规定为依据,结合公司内部控制制度,对内部监督机制的有效
性进行认定和评价,重点关注监事会、审计委员会、审计法务部
等是否在内部控制设计和运行中发挥监督作用。
第十七条 内部控制评价工作通过工作底稿详细记录公司执
行评价工作的内容,包括评价要素、主要风险点、采取的控制措
施、有关证据资料和认定结果等。评价工作底稿的使用要满足设
计合理、证据充分、简便易行、便于操作的要求。
第十八条 公司实施内部控制评价,包括对内部控制设计有
效性和运行有效性的评价。内部控制设计有效性是指,为实现控
制目标所必需的内部控制要素都存在并且设计恰当;内部控制运
行有效性是指,现有内部控制按照规定程序得到有效执行。
第十九条 公司内部控制有效性评价重点关注下列内容:
(一)内部控制是否在风险评估的基础上涵盖了公司层面的风
险和所有重要业务流程层面的风险;
(二)内部控制设计的方法是否适当,内部控制建设的时间进
度安排是否科学、阶段性工作要求是否合理;
— 6 —
� (三)内部控制设计和运行的组织是否有效,人员配备、职责
分工和授权是否合理;
(四)是否开展内部控制自查并上报有关自查报告;
(五)是否建立有利于促进内部控制各项政策措施落实和问题
整改的机制;
(六)在评价期间是否出现过重大风险事故。
第四章 内部控制评价的程序及方法
第二十条 内部控制评价程序将采用从上至下、以风险为基
础的系统化、合理化的评估顺序原则,对企业风险进行评定后分
为高、中、低三个等级,然后将此评定结果作为确定评估工作顺
序与方法的基础。
第二十一条 内部控制评价工作小组通过对被评价单位进行
现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测
试、实地查验、抽样和比较分析等方法,充分收集被评价单位内
部控制设计和运行是否有效的证据,按照评价的具体内容,如实
填写评价工作底稿及分析内部控制缺陷。
(一)抽样法。是指公司针对具体的内部控制业务流程,按照
业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定
比例的业务样本,对业务样本的符合性进行判断,进而对业务流
程控制运行的有效性做出评价。
(二)穿行测试法。是指通过抽取一份全过程的文件,来了解
整个业务流程执行情况的评估评价方法。
— 7 —
� (三)个别访谈法。是指根据内部控制检查评价需要,对被查
部门、子公司员工进行单独访谈,以获取有关信息。
(四)比较分析法。是指通过分析、比较数据间的关系、趋势
或比率来取得评价证据的方法。
(五)实地查验法。是指企业对财产进行盘点、清查,以及对
存货出、入库等控制环节进行现场查验。
(六)专题讨论会法。是指通过召集与业务流程相关的管理人
员就业务流程的特定项目或具体问题进行讨论及评估的一种方
法。
(七)重新执行法。是指通过对某一控制活动全过程的重新执
行来评估控制执行情况的方法。
第二十二条 评价工作组对评价单位现场测试时,应综合运
用上述评价方法,充分收集相关证据,以评价内部控制设计和运
行是否有效,并研究分析内控控制缺陷:
(一)检查前:比较分析、个别访谈、预抽样;
(二)实施检查:抽样、穿行测试、实地查验、个别访谈、比
较分析;
(三)疑难问题:专家讨论会;
(四)佐证不足怀疑结果:重新执行、扩大抽样。
第二十三条 内部控制评价的测试样本量选取
(一)抽样方法与原则
控制测试原则上采取"随机抽样"的方法,同时兼顾以下原
则:
1、时间分布比较均匀:如涉及的经济业务在检查区间内各
— 8 —
�月基本均匀发生;
2、品种比较齐全:如销售业务应包括各种产品样本;
3、金额分布合理:包括大中小金额;
4、业务对象分布合理:如采购、销售业务尽量覆盖全部供
应商或客户;借款应覆盖各币种、各银行的借款;
5、业务发生单位分布合理:指被检查企业如果有很多单位
都发生同一类经济业务,应尽量覆盖。
(二)抽样数量的选取
1、样本量选择标准如下表所示:
手工控制标准样本量
控制发 控制发
低 自动控制标准样本
生频率 生数量 中风 高风 量
风险注 1
险 险
每年一次 1 1 1 1
每季一次 2-4 2 2 2 如果信息系统总
每月一次 5-12 2 2 5 体控制(ITGC)有
每周一次 13-52 5 10 15 效,每个自动控制测试按
每日一次 53-250 10 20 30 各交易类 型抽取一个样
本;
如果信息系统总
体控制(ITGC)无效,
每日多次 超过 250 15 25 40 则需在年底前45 天内,对
所有关键自动控制分别再
抽取一个样本进行测试。
针对测试中识别出的存在重大缺陷的内部控制,需及时进行
整改并重新执行抽样测试,并保证新的控制措施有足够长的运行
时间,否则应当将其视为内部控制在基准日(12 月 31 日)存在重
大缺陷。
2、重新执行抽样测试的样本量需满足以下要求:
— 9 —
� 整改后控制运
控制发生 手工控制 自动控制
行的最短期间
频率 最少测试样本 最少测试样
或
量 本量
最少运行次数
季一次 2 个季度 2
与以上标准
每月一次 2 个月 2
每周一次 5 周 5 样本量一致
每日一次 20 天 20
25 次 25
每日多次
(通常不少于 15
天)
3、抽样记录
现场测试时,自我评价工作小组分别根据以下要求确定各控
制点的评价方法及样本量:
样本量:根据内控自我评价工作底稿模板中的“控制点发生
频率”,并参考上述要求进行抽取并进行测试;抽取样本的测试
结果需详细记录在内控自我评价工作底稿模板中的“抽样记录表”
中;
评价方法:根据内控自我评价工作底稿模板中的“测试步骤”
进行评价;并如实填写内控自我评价工作底稿模板中的“测试记
录”。
第五章 内部控制评价的实施
第二十四条 公司内部控制评价,一般包括年度评价和日常
评价。年度评价是指公司根据内部控制目标,对公司某一年度建
立与实施内部控制的有效性进行的评价;日常评价是指公司在特
定时点对特定范围的内部控制的有效性进行的评价。
— 10 —
� 第二十五条 年度评价为定期评价,在每年年度结束后至年
度报告提交董事会审议之前,完成定期检查并将内部控制评价报
告提交董事会审计委员会审阅;日常评价一般为不定期评价,根
据需要视具体情况而定,不受检查时间和检查次数的限制。年度
评价主要程序如下:
(一)提出内控自我评价总体目标。内控工作领导小组根据证
监会对上市公司内部控制相关要求,下达内控自我评价要求,并
提出内控自我评价的总体目标,要求内控自评工作小组拟定内部
控制自评计划,对内部控制活动进行自我评定。
(二)拟定自评工作计划和工作底稿。内控自评工作小组按照
内控工作领导小组提出的内控自我评价的总体目标,并结合证监
会和交易所对内控自评工作的要求以及本公司内控自评工作的实
际情况,拟定内部控制自评计划,对内部控制活动进行自我评
定。
内控自评计划应包括以下部分:评价范围及内容(见本制度第
三章);评价实施计划:确定内控自评各步骤的具体实施计划、实
施时间、参与人员等。
内控自评小组同时拟定自评工作底稿,工作底稿按照开展自
评的部门及单位、开展自评的业务单元进行分类。
(三)下发内部控制自评通知。内控自评领导小组接到内控自
评工作小组提交的内部控制自评计划后,对自评计划进行审批,
审查内部控制自评计划安排是否合理,评价对象和评价内容是否
全面等。内部控制自评计划通过公司内控自评领导小组审批之
后,内控自评工作小组下发内部控制自评通知,并附内控自评计
— 11 —
�划及相关资料,通知各内控自评实施小组根据计划安排,配合内
控自评工作。
(四)执行内控自评计划。内控自评工作小组按内部控制自评
计划安排执行内部控制自评工作;内控自评实施小组应积极主动
配合内控评价工作,提供真实材料和数据;内控自评工作小组对
评价过程产生的数据、报告、处理意见及其他材料进行收集记录
和存储。
(五)现场测试及认定控制缺陷。内控自评工作小组根据内控
自评计划的安排开展现场测试工作,对发现的内部控制缺陷及成
因、表现形式和影响程度进行综合分析和全面复核,提出认定意
见和整改意见,同时填写工作底稿;各单位内控实施小组根据职
责要求配合开展现场测试工作;现场测试的方法可参照股份公司
《内控自我评价工作方案》中评价方法及抽样说明执行,或根据"
内控自评工作计划"的要求开展。内控缺陷认定的依据是股份公
司《内控自我评价工作方案》中有关内控缺陷的评价标准。
(六)编制内部控制自我评价报告。内控自评工作小组将各单
位内控自评工作的情况进行汇总整理,汇总缺陷评价及认定结
果、编写评价报告。内控自评工作小组根据内部控制自我评价工
作结果,结合评价工作底稿和内控缺陷汇总表等资料,按照内控
规范、指引的要求编制内部控制自我评价报告。内部控制自我评
价报告应从内控设计有效性及内控执行有效性两个层面分别进
行。内控自评工作小组组长对内部控制自我评价报告(初稿)进行
审核,审核无误后下发各单位征求意见。
(七)沟通反馈意见。内控自评工作小组与各单位内控自评实
— 12 —
�施小组就内控自我评价报告(初稿)进行沟通,征求意见;各单位
内控自评实施小组应审核内部控制自评报告的有关信息和数据是
否准确,内容是否完整、真实的反映实际情况;各单位内控自评
实施小组对内部控制自评报告若存在异议,应在规定时间内书面
反馈内控自评工作小组。
(八)审核修订。股份公司内控自评工作小组对修订后的内部
控制自评报告进行审核,审核通过则提交内控自评领导小组进行
审核;内控自评领导小组接到内部控制自评报告后,对内部控制
自评报告进行讨论、审核,审议报告内容是否完整、准确,评价
过程是否公平、公正,并对内部控制自评结果进行讨论、论证,
内控自评领导小组审核通过则交董事会进行审定;董事会接到内
控自评领导小组审核通过后的内部控制自评报告后,对内部控制
自评报告进行审定;(董事会审计委员会)。
(九)年度内部控制评价报告披露。董事会审批通过后,交由
证券投资部按照上市公司信息发布规则,以及股份公司信息披露
制度,将内部控制自评报告报送证券监管部门,进行信息披露工
作,并同时披露会计师事务所对年度内部控制评价报告的审计意
见。
(十)实施整改。各内控自评实施小组对确认的本单位内部缺
陷按照内控自评工作小组提出的整改要求进行整改,并将整改情
况定期报送至内控自评工作小组。内控自评工作小组定期及不定
期对各单位整改情况进行监控,并定期向内控自评领导小组汇
报,同时在公司内部进行通报。
(十一)资料存档。内控自评工作小组对内部控制自评过程和
— 13 —
�有关决议中产生的文件和资料进行收集、归档。内部控制评价的
有关文件资料、工作底稿和证明材料等应当妥善保管,相关档案
的保存时间不少于十年。
第六章 内控缺陷的认定和整改
第二十六条 内部控制缺陷按照成因或来源,包括设计缺陷
和运行缺陷。内部控制评价工作小组以日常监督和专项监督为基
础,结合年度内部控制评价进行综合分析后对公司内部控制缺陷
的认定提出意见,公司相关领导和部门按照规定的权限和程序进
行审核后最终认定内部控制缺陷。
第二十七条 内部控制评价工作小组根据现场测试获取的证
据, 对内部控制缺陷进行初步认定,并按其影响程度分为重大
缺陷、重要缺陷和一般缺陷。
第二十八条 按照具体影响内部控制目标的具体表现形式,
内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制
缺陷。
第二十九条 内部缺陷的确定原则
对内部控制缺陷的认定,应当以日常监督和专项监督为基
础,结合年度内部控制自我评价,由自我评价工作小组进行综合
认定后提出认定意见,按照规定的权限和程序进行审核,由董事
会予以最终认定。
第三十条 内部控制评价工作小组对评价质量进行交叉复
核,评价工作组负责人对评价工作底稿进行严格审核,并对所认
定的评价结果签字确认后,提交审计法务部。
— 14 —
� 第三十一条 内部控制评价工作小组编制内部控制缺陷认定
汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续
改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行
综合分析和全面复核,提出认定意见,由审计法务部根据缺陷的
性质和影响,并按以下要求进行报告:
对于一般缺陷,向公司管理层汇报;
重要缺陷在认定后,向管理层和审计委员会汇报,必要时向
董事会汇报;
重大缺陷在认定后,向管理层、审计委员会和董事会汇报。
公司对认定的重大缺陷及时采取应对策略,切实将风险控制
在可承受范围之内,并追究有关部门或相关人员的责任。
第三十二条 内控缺陷的详细认定参照《四川广安爱众股份
有限公司内部控制缺陷管理规定》。
第三十三条 为了确保整改按时有效执行,明确缺陷整改责
任主体是关键。一般缺陷,由缺陷发现单位或部门自行整改;重
要缺陷,由缺陷发现单位或部门提出整改建议,包括整改时限,
报审计法务部审核同意后实施;重大缺陷,由审计法务部提出整
改建议,包括整改时限,报公司管理层批准后实施。
审计法务部负责跟进缺陷整改工作,整改措施落实后经过一
定时期的运行,进行跟进测试,评价整改是否有效。
第七章 内部控制评价报告
第三十四条 公司内部控制评价报告的种类包括年度内部控
制评价报告和日常内部控制评价报告。
— 15 —
� 第三十五条 年度内部控制评价报告的编制程序如下:
(一)内部控制评价工作小组按照评价指引及本制度的要求制
定评价工作方案、实施现场测试、认定控制缺陷并汇总评价结
果,在此基础上编报评价报告初稿;
(二)内部控制评价工作小组对评价报告初稿进行交叉复核,
并经负责人复核后上报公司内部控制评价领导小组审批后提交董
事会审计委员会审阅;
(三)董事会审计委员会审阅内部控制评价报告,对存在的缺
陷、问题和提出的应对措施进行评估后形成内部控制评价报告草
案并提交董事会;
(四)董事会根据审计委员会提交的内部控制评价报告草案及
相关信息,对公司内部控制的有效性进行自我评价,形成内部控
制评价报告,公司监事会和独立董事对该报告发表意见;
(五)董事会在年度报告披露的同时,按规定披露年度内部控
制评价报告,并披露会计师事务所对年度内部控制评价报告的审
计意见;
(六)内部控制评价工作小组向董事会审计委员会报告后对内
部控制缺陷及实施中存在的问题保持持续关注,以确定相关单位
已采取适当的改进措施。
第三十六条 年度内部控制评价报告应当从控制环境、风险
评估、控制活动、信息与沟通、内部监督等要素进行设计,对内
部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效
性的结论等相关内容做出披露。
第三十七条 年度内部控制评价报告至少应当披露下列内
— 16 —
�容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据;
(四)内部控制评价的范围;
(五)内部控制评价的程序和方法;
(六)内部控制缺陷及其认定情况;
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措
施;
(八)内部控制有效性的结论。
第三十八条 公司应当根据年度内部控制评价结果,结合内
部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的
程序和要求,及时编制年度内部控制评价报告。
第三十九条 年度内部控制评价报告应当报经董事会批准后
对外披露或报送相关部门。审计法务部应当关注自内部控制评价
报告基准日至内部控制评价报告发出日之间是否发生影响内部控
制有效性的因素,并根据其性质和影响程度对评价结论进行相应
调整。
第四十条 公司内部控制审计报告应当与年度内部控制评价
报告同时对外披露或报送。公司应当以 12 月 31 日作为年度内
部控制评价报告的基准日,年度内部控制评价报告应于基准日后
4 个月内报出。
第四十一条 除定期检查评价外,审计法务部应不定期组织
开展日常内部控制评价,日常内部控制评价报告的编制程序和内容
— 17 —
�可参考年度内部控制评价报告。
第四十二条 内部控制评价的有关文件资料、工作底稿和证
明材料等资料作为内部控制档案妥善保管。审计法务部负责内部
控制评价工作档案的管理工作。
第八章 内部控制评价的监督
第四十三条 公司所有内部控制评价活动都由董事会及审计
委员会统一负责监督,如相关单位对内控检查评价的过程或结果
的公正性存在质疑,可以向董事会及审计委员会反映。
第四十四条 内控体系评价结果应纳入公司对各部门、子
(分)公司的考核体系。内部建设与自评工作小组对评价检查结
果汇总并提出初步处理意见,上报内部建设与自评工作领导小组
审议决定后,送交公司人力资源部,对相关人员进行考核。
第九章 附则
第四十五条 本制度由董事会通过后发布,修改程序亦同。
第四十六条 本制度由公司内部审计机构负责解释。
第四十七条 本制度自发布之日起实施,原2013年版《内部控
制评价管理制度》同时废止。
— 18 —
�
