公司内部控制年度评价报告

共43页第1页公司内部控制年度评价报告董事会全体成员保证本报告内容真实、准确和完整，没有虚假记载、误导性陈述或重大遗漏。*股份有限公司全体股东：*股份有限公司董事会（以下简称“董事会”）对建立和维护充分的财务报告相关内部控制制度负责。财务报告相关内部控制的目标是保证财务报告信息真实完整和可靠、防范重大错报风险。由于内部控制存在固有局限性，因此仅能对上述目标提供合理保证。董事会已按照《企业内部控制基本规范》要求对财务报告相关内部控制进行了评价，并认为其在*年12月31日有效。我公司在内部控制自我评价过程中发现的与非财务报告相关的内部控制缺陷情况包括:缺乏内部控制运行管理相关制度；缺乏定期轮岗机制；缺乏公司品牌危机处理机制；缺乏*项目后评估制度；缺乏备份系统设备硬件运行情况的日常检查工作；缺乏员工登录外网的违规记录以及监控。公司对以上缺陷采取如下整改措施：根据有关法律法规、企业内部控制基本规范及其配套指引，制定适合本公司的内部控制制度；将成立轮岗梳理小组并判定需轮岗关键岗位，定期对关键岗位实施轮岗；对危机处理工作实行领导负责制和责任追踪制，危机发生及处理纳入部门考核体系，编制危机事件处理共43页第2页方案以及危机后评估总结报告；公司正在建立*项目后评估小组,落实*项目决策并将项目后评估结果纳入绩效考核；借鉴标杆企业系统安全管理经验以及信息系统数据备份与恢复的管理程序，制定系统环境以外变化的备份策略；编写《外网监督违规记录表》并接受监控。我公司聘请的*国际会计师事务所已对公司财务报告相关内部控制的有效性进行了审计，出具了标准无保留审计意见。关于*年度内部控制自评价具体情况参见附件。董事长：（签名）*股份有限公司[日期]共43页第3页附件：第一部分内部控制实施及评价的总体情况一、内部控制评价工作的组织*年，公司继续依据《企业内部控制基本规范》等法律法规要求及公司内部《公司章程》等管理制度为指导，以全面性、重要性、制衡性、适应性、成本效益为原则，进一步健全并持续改进风险防范机制、内部控制体系，确保公司稳健运行。为了做好此次内部控制评价工作，公司成立了以董事长为组长的内部控制规范领导小组，成立了以分管副总裁为组长的内部控制规范工作小组。董事会授权风险管理部负责具体组织实施工作。公司各事业部、部门分别抽调对企业情况熟、业务能力强的专职人员组成了流程评价小组。为博采众长、确保评价工作全面系统和更专业，聘请了深圳市*企业风险管理技术有限公司作为专业咨询服务机构，协助实施内部控制评价工作；聘请了*国际会计师事务所有限公司对公司内部控制有效性进行独立审计。二、内部控制评价的依据本评价报告是依据中华人民共和国财政部等五部委联合发布的《企业内部控制基本规范》(下称“基本规范”)、《企业内部控制应用指引》(下称“应用指引”)、《企业内部控制评价指引》(下称“评价指引”)、深交所《深交所上市公司内部控制指引》(下称“深交所指引”)、《香港联合交易所有限公司证券上市规则》第13.09条、共43页第4页以及香港会计师公会公布的《内部监控与风险管理的基本架构》的要求，结合公司内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，对公司截至*年12月31日内部控制的设计与运行的有效性进行评价。三、内部控制实施程序为确保内控评价工作有序开展，内控评价小组制定了详细的内控评价工作实施方案,共历时8个月，具体工作程序包括：1）制定内部控制评价工作方案公司内部控制评价工作的目标是：确保合规、防范风险、提升管理。评价工作小组根据公司实际情况和管理要求，分析公司经营管理过程中的高风险和重要业务事项，制定了科学合理的评价工作方案，工作方案包括公司内部控制评价范围、评价时间、人员组成、以及相关规章制度、评价流程、评价方法、工作底稿填写要求、样本抽取检验要求、缺陷认定标准、评价人员权利义务、纪律要求及评价中需重点关注的问题等，经内控评价领导小组批准后实施。评价工作方案以全面评价为主，涵盖了上述*年梳理的所有内部控制流程模块和主要制度，重点关注了高风险领域和重要业务事项。2）成立内部控制评价工作组织根据上述评价范围及业务事项，针对每个业务流程成立了对应的内控评价工作小组，评价工作小组由风险管理部成员、各部门专门抽调专员、*咨询顾问联合组成。评价工作组成员对本部门的内部控制评价实行回避制度。共43页第5页3）组织实施自我评价工作a）采用了与管理层访谈及风险问卷调查相结合、根据对整个行业的风险调研、对竞争对手信息分析以及与审计部门、风险管理部门沟通相结合的方式全面开展公司层面风险评估。通过高层人员访谈及中层、基层风险问卷调查相结合的方式，确保风险识别与评估涵盖了公司管理各个层级及主要领域。在此基础上经过专业机构对风险访谈纪要、风险调查问卷的整理、分析，确保风险识别范围的完整性、评估结果的合理性与真实性。公司层面风险评估包括了公司战略、运营、法律、市场及财务领域的风险，涉及：董事会及各委员会的议事规则、人力资源、反舞弊体系、内部审计、效能监察、投资者关系、企业文化发展、社会责任、安全与环保、信息保密、信息收集与沟通、报告与披露等方面。b）根据公司层面风险评估的结果，确定出公司的业务流程评估范围，主要涉及到公司的16项业务循环，分别为：战略管理、市场营销与品牌管理、信用销售管理（包括融资租赁销售及按揭销售）、采购及外包管理、资金活动与担保管理、资产管理、*项目管理、财务报告与税务管理、人力资源、投资管理、研究与开发管理、生产与成本管理、质量与安全管理、全面预算管理、合同管理、信息系统管理。c）实施业务流程层面风险及内部控制设计有效性评估。采用业务流程关键负责人访谈梳理公司主要业务流程，并对每个业务流程确定流程控制目标、识别威胁目标实现的风险，与公司目前的控制措施共43页第6页进行匹配、穿行测试来评价内控设计有效性。d）对每个业务流程的关键控制、重要控制及一般控制点采用询问、观察、检查、重新执行等测试方式评价内控执行有效性。4）评价工作组做出评价结论内控评价工作小组组长汇总评价结果，对现场初步认定的内部控制缺陷进行全面复核、分类汇总，对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级，根据缺陷的综合影响出具自我评价结论。对于认定的内部控制缺陷，评价工作组就部门提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，追究相关人员的责任。5）编制内部控制自我评价报告。内部控制评价工作小组根据已汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制整体情况，客观、公正、完整地编报内部控制评价报告。6）审议批准内部控制自评价报告。内部控制自我评价报告编制完成后报送公司经理层、董事会和监事会审议批准，由董事会最终审定后对外披露或以其他形式加以合理利用。A股及H股内控监管要求差异说明：本公司的H股于*年12月23日在香港联交所主板挂牌上市。本公司严格按照《公司法》、《证券法》和中国证监会有关法规的要共43页第7页求以及《香港上市规则》附录十四《企业管治常规守则》的原则及守则条文，不断完善公司法人治理结构、规范公司运作，健全内控制度，保障公司股东大会、董事会、监事会操作规范、运作有效，实施完善的管治和披露措施，保障本公司的持续健康发展，不断提升企业价值，维护了全体股东和公司的利益。公司治理的实际情况与中国证监会等五部委发布的有关上市公司治理的规范性文件基本不存在差异。在财务报告内部控制信息披露责任主体、财务报告内部控制建立健全及自我评价范围、外部审计相关要求等方面保持一致。四、内部控制评价主要内容及结论（一）内部控制环境1）公司治理结构公司设立了股东大会、董事会和监事会，分别作为公司的权力机构、执行机构、监督机构，并根据权力机构、执行机构和监督机构相互独立、相互制衡、权责明确的原则，建立健全了公司的法人治理结构，实现规范运作。公司设立由董事会、风险控制委员会、审计委员会、风险管理部、审计部和各相关专业管理部门构成的涵盖总部及各分子公司范围的内控管理组织体系。a)公司股东大会是公司的最高权力机构，公司通过不断完善《公司章程》中关于股东大会及其议事规则的条款，确保股东尤其是中小股东充分行使平等权利。共43页第8页b)公司董事会是公司内部控制管理的最高决策机构，对股东大会负责，严格按照《公司章程》及《董事会议事规则》等制度，在规定职责范围内行使经营决策权，并负责公司内部控制体系的建立和监督，对公司内部控制建立健全和有效实施负责。公司董事会由7名董事组成，其中4名独立董事。c)公司监事会是公司的监督机构，严格按照《公司章程》及《监事会议事规则》等制度履行职责，对公司董事、CEO及其他高级管理人员的行为及各事业部、控股子公司的内部控制运行情况、财务状况进行监督、检查，并向股东大会负责。监事会由3名监事组成，其中1名为职工代表。d)公司经营管理层负责领导公司内部控制的日常执行，通过指挥、协调、管理、监督各职能部门、事业部及控股子公司行使经营管理权力，保证公司的正常经营运转。e)公司CEO办公会下设风险控制委员会，是公司内部控制与风险管理工作的最高协调及议事机构，由公司管理人员组成。委员会主任由公司分管风控副总裁担任，委员由分管市场、营运、财务、技改的副总裁及风险管理部门、品牌管理部门、*部门、干部管理部门和审计部门负责人担任。f)公司设立风险管理部，是内控与风险管理的综合管理部门，是风险控制委员会日常工作机构，主要负责组织内部控制体系建设、制度和规范的制定与实施、内部控制制度及文档（矩阵、流程图、流共43页第9页程描述、内部控制手册）的维护与更新、内部控制评价工作的组织与实施等其他风险控制委员会指定的与内部控制有关的日常工作。g)公司董事会下设审计委员会，是由公司董事组成的专门工作机构，向董事会负责并报告工作，代表董事会评价和监督财务会计报告过程和内部控制。h)审计部是审计委员会的日常工作机构。审计部除开展针对财务收支、经营绩效、经济责任、基建*管理及合同等工作的审计外，在内部控制评价方面的主要职责包括：制定年度内控评价计划与方案、负责内部控制评价手册及测试底稿的维护与更新、出具内部控制评价报告、内部控制独立评审、协助外部审计机构完成内控审计、对外部审计师出具的内部控制评审意见进行确认等其它工作。i)公司总部各职能部门负责本部门所管辖业务涉及的内部控制工作，为内控工作的职能管理部门，对本业务内部控制的建设、实施、维护及监督进行自上而下的纵向管理。j)公司总部及事业部各部门须设立内控与风险管理的专职或兼职岗位，负责本部门内部控制与风险管理日常工作的组织协调、指导及监督工作。2）管理层理念与经营风格、诚信与道德价值观公司通过召开年度工作会议、相关专题会议、听取生产经营状况汇报、内控系统评估等方式及时了解具体的经营情况，发现内部控制不足，采取跟进措施并且监督执行情况。共43页第10页公司管理层与外部审计师不定期进行会谈，内容包括财务报告相关问题和内部控制缺陷。公司管理层严格遵循《会计法》、《财务会计报告条例》、《企业会计制度》等相关法律法规规定。公司管理层高度重视审计报告中提到的审计调整及管理建议，并组织相关部门进行讨论、改进与落实。公司制定高级管理人员道德规范相关条款，对于高级管理人员的理念与正直、公平原则、利益冲突处理、披露、保密等方面提出明确的要求和应遵守的准则，并及时向外披露其变化和废止情况。公司已在组织内部对道德守则和员工行为准则建立了沟通机制，包括通过文件、规章制度、会议、培训、OA办公系统、电子邮件等方式传达道德准则。公司管理层及员工入职时签署对道德准则的知晓与遵循的书面确认书，包括个人知晓组织期望的声明、对道德准则的遵循、承诺本人声明没有任何虚假。公司已建立相应政策并对违反道德守则或行为准则的行为采取恰当的惩戒性行动。3)人力资源公司重视人力资源建设，根据发展战略，结合公司人力资源现状和未来需求预测，建立人力资源发展目标，制定人力资源总体规划，明确人力资源的引进、开发、使用、培养、考核、激励、退出等管理要求，实现