内部控制评价制度框架 - 制度旨在规范公司内部控制评价工作 确保内部控制有效运行 依据《公司法》及《企业内部控制基本规范》等法律法规制定 [1] - 内部控制评价由董事会和管理层实施 是对公司内部控制有效性进行全面评价并出具报告的过程 [1] - 制度适用于公司及全资或控股子公司 [1] 评价原则 - 全面性原则：评价涵盖所有业务和事项的设计与运行 [1] - 重要性原则：重点关注重要业务单位、重大事项和高风险领域 [1] - 客观性原则：准确揭示风险状况并如实反映内部控制有效性 [1] - 制衡性原则：保证机构、岗位及职责权限合理设置 确保权责分明且相互监督 [2] - 适应性原则：制度随外部环境变化和业务调整不断修订完善 [2] - 成本效益原则：权衡实施成本与预期效益 以适当成本完成有效评价 [2] 组织与实施架构 - 董事会负责领导评价工作 授权审计部具体组织实施 [2] - 董事会审计委员会负责指导监督评价工作并审阅报告 [2] - 管理层负责组织整改经董事会认定的内部控制缺陷 [3] - 审计部牵头组织实施 并对子公司评价工作进行指导监督 [3] - 各职能部门参与评价 配合审计部工作并落实整改 [3] 评价类型与流程 - 评价包括年度评价和日常评价 年度评价为定期 在日常年度结束后至年报提交董事会前完成 日常评价为不定期且不受时间次数限制 [4] - 评价程序包括制定方案、组成工作组、实施测试、认定缺陷、汇总结果和编报报告 [6] - 年度评价具体流程包括召开测评会议、审计部制定方案、推进各部门评价、编制报告提交总经理办公会和审计委员会审议 最终由董事会审议并披露 [6][7] - 审计部可不定期检查评价 并可委托中介机构实施 但提供内部控制审计服务的会计师事务所不得同时提供评价服务 [7] 评价内容与标准 - 评价围绕内部环境、风险评估、控制活动、信息沟通和内部监督五要素展开 [4][5] - 内部环境评价依据组织架构、发展战略、人力资源等应用指引 [4] - 风险评估评价依据《基本规范》要求和应用指引所列主要风险 [5] - 控制活动评价依据《基本规范》和应用指引的控制措施 [5] - 信息沟通评价依据内部信息传递、财务报告、信息系统等应用指引 [5] - 内部监督评价重点关注审计委员会和内部审计机构的监督作用 [5] - 评价范围涵盖公司各部门及所有营运环节和管理制度 [6] 缺陷认定标准 - 缺陷分为设计缺陷和运行缺陷 认定以日常和专项监督为基础 由审计部综合分析后提出意见 [8] - 按影响程度分为重大缺陷、重要缺陷和一般缺陷 [8] - 财务报告内部控制缺陷定量标准：重大缺陷为错报≥利润总额5%或资产总额0.5% 重要缺陷为3%≤错报<5%或0.3%≤错报<0.5% 一般缺陷为错报<3%或<0.3% [8][9] - 非财务报告内部控制缺陷定量标准：重大缺陷为直接财产损失≥利润总额5%或资产总额0.5% 重要缺陷为3%≤损失<5%或0.3%≤损失<0.5% 一般缺陷为损失<3%或<0.3% [9] - 定性标准包括高级管理人员舞弊、财务报告重大错报、审计委员会监督无效、重大安全事故、决策失误、关键人员流失及缺陷未整改等情形 [8][9] 评价报告要求 - 年度内部控制评价报告依据法律法规及上交所规定出具 需经审计委员会审议 [10] - 报告需分要素设计 披露评价过程、缺陷认定及整改情况、有效性结论等内容 [11] - 报告至少包括董事会声明、评价总体情况、依据范围程序方法、缺陷认定、上年度整改情况、本年度整改措施及有效性结论 [13] - 报告基准日为每年12月31日 需在基准日后4个月内报出 [12] - 董事会审议报告并形成决议 披露时需同时披露会计师事务所核实意见 [11] 监督与考核机制 - 所有评价活动由董事会审计委员会统一监督 相关单位可对其公正性提出质疑 [14] - 董事会根据评价结论对相关单位、部门或人员实施奖励和惩戒并纳入考核 [14] - 当内部控制存在重大缺陷或风险时 董事会需及时向上交所报告并披露 公告需披露缺陷、后果及措施 审计委员会需督促整改并披露完成情况 [14] 制度实施与责任 - 评价文件资料需妥善保管 [12] - 董事会及全体董事对年度内部控制评价报告的真实性、准确性、完整性承担个别和连带法律责任 [15] - 制度经董事会审议通过后生效 解释权归属董事会 [17] - 制度未尽事宜或与法律法规冲突时 依照相关法律法规及公司章程执行 [17]