搜索
内部控制评价制度第一章总则第一条编制目的和意义作为上工申贝(集团)股份有限公司(以下简称“上工申贝”或“公司”)内部控制体系建设的组成部分,为确保公司内部控制体系的有效运行,提高公司内部控制与经营管理水平,促进公司健康、可持续发展,为公司增加价值并提高公司运作效率,特制定《内部控制评价制度》(以下简称“本制度”)。公司旨在通过本制度明确公司内部控制评价、评估汇总和报告的工作流程和管理体系,明确内部控制评价工作的职责体系,将内部控制评价工作落实到公司的各个层面,实现对内部控制体系有效性的持续监控。内部控制评价作为内部控制监控的重要手段之一,帮助管理层确保公司内部控制体系有效地设计并且持续有效地运作。公司内各单位要对其负责的控制活动根据本制度进行自评,内部控制评价小组要根据本制度对公司的内部控制进行独立测试。通过自评与独立测试相结合,形成有效的内部控制自我评价体系和持续监督体系,确保内部控制的持续有效,最终实现公司内部控制的总体目标。本制度适用于公司本部及直属分公司、公司范围内的全资和控股子公司。其他参股公司可在适用情况下参照执行。第二条编制基础和依据本制度依据财政部、证监会、审计署、银监会、保监会颁布的《企业内部控制基本规范》、《企业内部控制评价指引》等有关法规规定,并结合公司的具体情况编制而成。第二章内部控制评价的组织机构第三条内部控制评价组织机构组长:董事长副组长:总经理成员:各业务分管副总、董秘内部控制评价的参与主体及其各自的职责包括:公司董事会:负责对内部控制的有效性进行全面评价、形成结论,出具报告,并对内控评价报告的真实性负责。董事会授权公司审计部为公司内控评价部门,负责内部控制评价的具体组织实施工作,对控制缺陷进行分析、复核、报告及跟踪,向董事会、监事会或者经理层报告发现的内控缺陷。公司审计部应组建内控评价小组,领导评价小组实施内部控制独立测试工作,并完成评价工作底稿。内控评价小组由公司审计部负责牵头,并吸纳企业内部相关职能部门(如:财务、人力资源、董办等部门)熟悉情况的业务骨干组成。也可以委托中介机构参与独立测试的工作。公司内控评价小组工作成员:审计部骨干、财务部门骨干、人力资源部门骨干、经营管理部骨干、办公室骨干。公司各职能部门、分公司及控股子公司:成立内控业务小组,由公司各职能部门正职、分公司及控股子公司一把手任组长,公司各职能部门副职、分公司及控股子公司的副职任内控联络员,内控业务小组主要负责实施内部控制自评工作,并填制内部控制自评问卷或底稿,上报公司审计部。第三章内部控制评价范围第四条依据全面性、重要性和客观性的原则,内部控制评价的范围是公司合并报表范围内的各级公司。第五条公司评价包括公司层面和业务层面开展内部控制自我评价工作。在公司层面,对内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面从内部控制的设计有效性和运行有效性两方面进行全面系统评价。在业务层面,对为确保战略目标、经营管理的效率和效果、财务报告及相关信息的真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标实现所设置的内部控制活动进行评价。第四章内部控制评价的整体工作流程第六条内部控制评价的流程内部控制评价程序包括:制定内部控制评价工作方案、执行内部控制现场测试、汇总控制缺陷和行动计划、内部控制缺陷认定和编报评价报告等环节。内部控制评价的整体工作流程如下图所示:内部控制评价工作流程审计委员会/董事会审计部内控评价小组各职能部门/分子公司审计委员会审批设计是否有效制定内部控制评价工作方案开始组建内控评价小组内部控制自评内部控制独立测试运行是否有效提出控制缺陷和整改建议提出整改计划和任务内部控制缺陷认定是否为重大缺陷董事会认定报告YES董事会审批YESYESNONONO结束内控评价方案执行内控测试控制缺陷和行动计划内控缺陷认定评价报告第五章制定内部控制评价工作方案第七条内部控制评价工作方案每年由公司审计部负责内部控制评价工作。公司审计部根据国家法律法规要求、公司经营特点、发展目标及年度工作重点制定内部控制评价工作方案,其中包括公司各职能部门、分公司及控股子公司对内控设计有效性和运行有效性的自我评价工作计划和内控评价小组的独立测试计划。内部控制评价工作方案应当明确评价目的、范围、组织、标准、方法、进度安排和人员预算等内容,报经理层和董事会审计委员会审批通过。第八条组建内部控制评价小组公司审计部应当根据经董事会审计委员会批准的评价方案,组成内部控制评价小组,具体实施内部控制评价工作。评价小组可以吸收公司职能部门、分公司及控股子公司(如财务、人力资源等)熟悉情况的业务骨干参加。评价小组成员对本部门的内部控制评价工作应当实行回避制度。第六章执行内部控制评价第九条内部控制评价的内容内部控制评价包含两大部分:一是公司各职能部门、分公司及控股子公司的内控自评;二是内控评价小组的独立测试。各职能部门、分公司及控股子公司的内控自评主要是由职能部门、分公司及控股子公司对内部控制有效性进行自我评估的过程。公司审计部负责组织协调各职能部门、分公司及控股子公司进行内控自评并在各部门、分公司及控股子公司进行内控自评的过程中提供业务指导。内控评价小组独立测试是由内控评价小组综合运用访谈、测试和比较分析等方法,广泛收集内部控制设计和运行是否有效的证据,研究分析内部控制缺陷,对内部控制的有效性进行评价的过程。内部控制独立测试由审计部牵头组成的内控评价小组执行,各职能部门、分公司及控股子公司必须接受业务指导、予以配合和协助。第十条内部控制评价的对象公司内部控制评价的对象涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的所有内部控制活动及内控评价部门依据全面性、重要性和客观性的原则确定的公司合并报表范围内其他业务实体的内部控制活动。公司内部控制手册针对各业务流程,确定了相应的风险、控制目标和控制活动。公司内部控制手册中的风险来源于各个业务流程中的风险以及公司日常经营业务中面临的特定风险。控制目标是指公司为达到资源合理组织、整合与利用,并规避及防范经营业务中可能的风险所须达到的目标。控制活动根据其发生的时点,可分为预防型控制和检查型控制两大类,其中:(一)预防型控制是事前控制,是指采取措施以预防控制目标未能实现的情况;(二)检查型控制是事后控制,是指采取措施以发现和纠正控制目标未能实现的情况。控制活动根据其操作方式,又可分为手工控制和系统控制两大类,其中:(一)手工控制是通过人工操作(包括人工对系统的操作)来执行的控制活动。手工控制的有效性依赖于执行控制活动的执行人的胜任能力和尽责程度。培训和专业经验的培养对于手工控制的执行人非常重要,因为手工控制可能由于执行人缺乏培训和专业经验而导致控制活动未得到持续、有效地执行。(二)系统控制是完全基于系统的操作和运行、不介入任何人工干预来执行的控制活动。系统控制的有效性依赖于有效的通用计算机控制环境。第十一条内部控制评价的结论内部控制评价的结论将分为设计有效性和运行有效性两个方面。(一)设计有效性设计有效性是指为实现控制目标所必需设置的控制措施设计适当并投入实施。设计有效性的评估结果分为四种:有效、部分有效、无效和不适用。有效:控制活动的设计能够完全满足控制目标。部分有效:控制活动的设计不能完全满足(即部分满足)控制目标。无效:未针对控制目标设计相关的控制活动。不适用:无控制目标相关的业务事项。(二)运行有效性运行有效性是在控制活动设计有效的前提下,得到持续有效的运行。运行有效性的评估结果分为三种:有效、无效和不适用。有效:控制活动得到持续有效的执行。无效:控制活动未持续有效地执行,或者管理层突破规定的权限执行控制活动。不适用:评估期间或测试期间内无相关业务事项发生,故该控制活动没有发生。(三)控制缺陷类型与内部控制的设计有效性和运行有效性相应,内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,公司现有控制措施设计不适当,即使正常运行也难以完全实现控制目标。运行缺陷是指在内部控制设计有效的前提下,没有按设计意图持续有效运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制,导致控制目标不能完全实现。第十二条各职能部门、分公司及控股子公司内部控制自我评价流程内部控制自我评价流程各职能部门内控评级部门/审计部结束开始在《内部控制自我评估表》“说明”列中填写整改方案、责任人设计是否有效《本年度自我评估表》根据审计委员会批准的内控评价方案启动当年自评工作职能部门/分子公司内控业务小组负责人/内控业务小组组长发放本年度《本年度自我评估表》发放本年度《本年度自我评估表》运行是否有效单位内部讨论审核《内部控制自我评估表》提交本年度《内部控制自我评估表》《本年度自我评估表》督促整改,确认整改结果YESNOYES第十三条开展内部控制自评公司审计部根据年度内部控制评价工作方案的时间安排,发布统一通知启动公司年度内部控制自评工作。(一)发起内部控制自我评估每年,内部控制自评工作启动后,公司审计部向各职能部门下发《内部控制自我评估表》。(二)执行内部控制自我评估各职能部门、分公司及控股子公司接到《内部控制自我评估表》后,组织本部门内控业务小组针对本部门、本公司负责的控制活动,根据其日常工作的情况,确认内部控制活动是否发生变化,并对控制活动的设计有效性和运行有效性进行自我评估,并将填制完成的《内部控制自我评估表》提交给部门负责人(内控业务小组组长)审核确认。各部门、分公司及控股子公司内控业务小组在进行内部控制自我评估时,若发现属于其他部门、其他公司负责的控制活动,须及时与审计部联系,告知不属于本部门、本公司负责的控制活动,由审计部核实后再联系相应的职能部门及公司。审计部应检查以确保各流程《内部控制自我评估表》填写的完整性。内部控制自评工作开展过程中,各职能部门、分公司及控股子公司须按要求及时提交《内部控制自我评估表》,审计部对《内部控制自我评估表》的提交情况进行跟踪统计,对逾期未提交《内部控制自我评估表》或未按要求填写《内部控制自我评估表》的部门及公司由审计部进行考核。第十四条控制缺陷和行动计划在自评工作中,设计有效性和运行有效性评估结果为“部分有效”或“无效”时,针对内部控制自评过程中发现的内部控制缺陷,各职能部门、分公司及控股子公司需要在内部(内控业务小组)开展讨论,拟定整改计划,并细分至具体整改任务,包括落实到具体整改任务责任人、预计完成时间等,在《内部控制自我评估表》“说明”列中记录控制缺陷的相关信息,包括控制缺陷描述、提取的样本信息、控制缺陷种类和问题初步改善方案。《内部控制自我评估表》经过单位负责人(内控业务小组组长)审批确认后,交公司审计部汇总。如整改计划和整改任务涉及多个部门而无法由单个部门单独确定时,该部门应及时与内控评价部门进行沟通,在审计部协调下通过研讨会确定跨部门控制缺陷的整改计划,落实整改任务。各单位的内控缺陷整改计划制订后,由部门正职、所属分管领导审批通过后,下发执行整改。各部门正职、各公司一把手(内控业务小组组长)应定期督促、检查本部门、本公司缺陷整改进度,填写整改进度自查表,按要求报审计部。审计部对整改结果进行核查和确认,并将整改进度和整改状态填写至《整改进度跟踪表》,交公司领导审阅。第十五条内部控制独立测试工作流程内部控制评价工作组应当根据《企业内部控制基本规范》、应用指引以及公司的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,结合各部门内部控制自我评估结果对内部控制设计与运行情况进行全面监督检查。内部控制独立测试工作流程具体步骤如下图所示。内部控制独立测试流程内控评价部门/审计部各职能部门/分子公司控制是否发生变动填制《控制缺陷整改通知书》内部控制自我评价流程结束执行本年度内部控制独立测试开始内控业务小组内控业务小组组长内控评价小组内控评价小组组长设计是否有效运行是否有效审批内控独立测试底稿填制《控制缺陷整改通知书》审计部填写部分下发《控制缺陷整改通知书》审批通过形成控制缺陷整改计划派发整改任务督促整改并检查确认整改结果准备内