獐子岛集团股份有限公司内部控制评价管理办法(2024年5月修订)
第一章 总 则第一条 为促进獐子岛集团股份有限公司(以下简称“公司”)全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据《企业内部控制基本规范》《企业内部控制评价指引》《深圳证券交易所上市公司自律监管指引第1 号—主板上市公司规范运作》等有关规定,结合公司实际情况,制定本办法。
第二条 本办法所称的内部控制评价是指对公司内部控制的有效性进行全面评价,形成评价结论,出具评价报告的过程。第三条 公司实施内部控制评价遵循下列原则:
(一)全面性原则。评价工作包括内部控制的设计与运行,涵盖公司及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应在全面评价的基础上关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
(四)一致性原则。由公司制定统一的评价方案,确保评价采用一致的程序、方法和标准,保证评价过程的规范化和评价结果的可比性。
第四条 本办法适用于公司、所属全资及控股子公司(以下简称“子公司”)。
第二章 内部控制评价的组织及职责
第五条 公司董事会全面领导内部控制评价工作,承担管理责任,审批内部控制年度工作计划与年度评价报告,并对公司内部控制评价报告的真实性负责。
第六条 公司审计委员会负责指导公司内部控制评价工作,监督内部控制评价情况,对公司内部控制有效性出具书面的评估意见,并向董事会报告。
第七条 公司监事会负责监督公司内部控制的建立、实施及评价,对公司内部控制评价报告发表意见。
第八条 公司总裁办公会负责组织、协调公司内部控制工作的落实,其主要职责包括:
(一)审批公司内部控制评价工作方案;
(二)审核公司内部控制评价报告;
(三)管理内部控制评价工作,审核内部控制缺陷认定,组织实施缺陷整改工作;
(四)按照董事会授权协调和解决内部控制评价过程中出现的重大事项。第九条 公司审计监察部是公司内部控制评价工作的归口管理部门,其主要职责包括:
(一)持续完善公司内部控制评价相关制度;
(二)编制公司内部控制评价工作方案;
(三)组织开展内部控制评价工作;
(四)编制公司内部控制评价报告;
(五)督导公司内部控制缺陷整改,跟踪整改情况并按要求报告。第十条 公司各分子公司按内部控制管理部门要求开展内控自查、测试和评价工作,其主要职责包括:
(一)逐级落实内部控制评价责任,建立日常监控机制;
(二)依据公司内部控制评价程序,组织开展本公司内部控制评价工作;
(三)编制本公司内部控制评价报告,经本公司的决策机构批准后,按规定上报公司,并对本公司内部控制评价结果的真实性负责;
(四)对评价发现的内部控制缺陷,制定整改方案,明确整改责任,按要求报送内部控制缺陷整改完成情况。
第十一条 公司各职能部门负责本部门职责范围内的内部控制评价工作,其主要职责包括:
(一)按照公司内部控制建设与评价工作的总体部署,开展本部门内部控制建设与自查工作;
(二)根据内部控制标准与管理要求,对本部门职责范围内的制度进行梳理,落实内部控制基本要求,建立内部控制标准与制度对应关系,检查相关内部控制标准执行情况;
(三)配合公司审计监察部开展内部控制评价工作;
(四)负责落实本部门职能范围内的内部控制缺陷整改工作。
第三章 内部控制评价内容
第十二条 公司内部控制评价工作根据《企业内部控制基本规范》、应用指引以及公司内
部控制制度,结合公司实际情况,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。第十三条 公司组织开展内部环境评价,应当以组织架构、发展战略、人力资源、公司文化、社会责任等应用指引为依据,结合公司内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。第十四条 公司组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本公司的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
第十五条 公司组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本公司的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
第十六条 公司组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本公司的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十七条 公司组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本公司的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
第十八条 内部控制评价工作要形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、及时更新、简便易行、便于操作和保存。
第四章 内部控制评价程序
第十九条 公司实施内部控制评价的程序包括:制定评价工作方案、成立评价工作小组、初步内部控制评价、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告等环节。
(一)准备阶段
1.制定评价工作方案。根据公司年度工作重点和内部监督管理要求,公司内部控制管理部门、审计监察部分别制订内部控制自评方案、内部控制评价方案。评价方案应尽可能明确评价
范围、评价任务、人员组织、评价流程进度安排等相关内容。
2.成立评价工作组。公司审计监察部根据内控评价方案挑选具备独立性、内控知识、业务胜任能力和相关经验的人员或中介机构人员组成。
(二)实施阶段
1.开展自查评价。公司各职能部门或分子公司根据内部控制管理部门的内部控制自评方案工作要求,开展内控自查和评价工作,并向内部控制管理部门提交内部控制评价情况报告、内控自评调查表和整改方案。由内部控制管理部门负责跟踪落实各单元的整改情况。
2.确定检查范围和重点。审计监察部应了解被评价单位内控体系基本情况,在结合被评价单位自查评价结果、经营管理重要领域和关键环节的基础上,确定实施内部控制评价的具体范围、检查重点等
3.开展现场检查测试。评价工作组对被评价单位部门进行现场测试,运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,如实填写评价工作底稿,通过定量和定性相结合的方法对发现的内部控制缺陷进行初步认定,并与被评价单位沟通、确认。
4.交叉复核评价结果。内部控制管理部门应对评价工作底稿进行复核,公司审计监察部负责人对内控评价结果进行复核。
(三)编制评价报告阶段
1.汇总评价结果。公司审计部门对评价工作组初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因表现形式及风险程度进行综合分析后,按本办法内部控制缺陷认定标准判定缺陷等级。
2.编制评价报告。公司审计监察部以评价结果和认定的内部控制缺陷为基础,结合内部控制评价工作的整体情况,客观、公正、完整地编制内部控制评价报告,报董事会最终审定。
(四)报告反馈和跟踪阶段
1.制定整改方案。公司各职能部门和分子公司根据董事会认定的内部控制缺陷,制定具体的整改方案(包括整改目标内容、措施、责任人和期限),报公司审计监察部备案。
2.跟踪整改。存在整改事项的公司各职能部门或分子公司,应以书面形式将整改情况报告给公司审计监察部备案,公司审计监察部跟踪其整改落实情况。
第五章 内部控制评价的时间、对象和内容
第二十条 公司每年定期对内部控制有效性进行评价。第二十一条 内部控制评价对象包括公司各职能部门和实际控制管理的分子公司。第二十二条 内部控制评价分为专项评价和自查评价。
(一)专项评价,是指由公司审计委员会牵头组织,成立跨部门的内部控制评价工作组或委托中介机构,对公司各职能部门或子公司开展的内部控制评价。
(二)自查评价,是指公司各职能部门和分子公司根据本办法自行开展的内部控制评价。
第六章 内部控制缺陷分类与标准
第二十三条 公司对内部控制缺陷的认定,由公司内审部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
第二十四条 内部控制缺陷的分类:
(一)按照内部控制缺陷成因或来源,分为设计缺陷和运行缺陷。
(1)设计缺陷,是指缺少为实现控制目标所必需的控制,或现有控制设计不适当,即使正常运行也难以实现预期控制目标。
(2)运行缺陷,是指设计有效 (合理且适当)的内部控制由于运行不当,包括未按设计的方式或意图运行、运行的时间或频率不当、没有得到一贯有效运行、执行人员缺乏必要授权或专业胜任能力等,无法有效实现控制目标。
(二)按照影响公司内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
(1)重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。认定标准包括但不限于:
1) 缺乏民主决策程序,如缺乏“三重一大”决策程序等。
2) 民主决策程序不科学而导致的重大决策失误。
3) 违反法律法规并使公司受到处罚。
4) 重要业务缺乏制度或制度控制失效。
5) 媒体负面新闻频现。
6) 发生重大违约事件。
7) 发生重大及以上安全生产、环保事故等。
8) 内部控制评价中的重大缺陷未得到整改等。
(2)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度或经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。认定标准包括但不限于:
1) 民主决策程序不完善,导致出现一般失误。
2) 不相容职务未分离控制。
3) 违反公司内部规章并造成国有资产损失。
4) 重要业务制度或制度控制存在缺陷。
5) 媒体出现负面新闻但仅涉及公司局部区域。
6) 发生一般违约事件。
7) 发生较大安全生产、环保事故等。
8) 内部控制评价中的重要缺陷未得到整改等。
(3)一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。认定标准包括但不限于:
1) 民主决策程序效率不高。
2) 不相容职务虽分离控制但设置不完善。
3) 违反公司内部规章制度但未形成损失。
4) 一般业务制度或制度控制存在缺陷。
5) 媒体出现负面新闻但影响不大。
6) 发生一般安全生产、环保事故等。
7) 内部控制评价中的一般缺陷未得到整改。
8) 存在其他细微缺陷等。
(三)按照影响内部控制目标的具体表现形式,内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
1.财务报告内部控制缺陷认定标准
对于财务报告相关内部控制缺陷,可由该缺陷可能导致财务报表错报的重要程度来确定,该等重要程度主要取决于两方面因素:一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。除不可抗力因素外,公司确定的财务报告内部控制缺陷评价的定量标准如下:
(1)重大财务报告相关内控缺陷:为财务报告层面重要性水平。一般情况下,以税前利润的5%为标准,即大于税前利润5%的,为重大缺陷。
(2)重要财务报告相关内控缺陷:为会计科目层面重要性水平。一般情况,以税前利润
的2.5%为标准,即大于税前利润2.5%且小于5%的,为重要缺陷。
(3)一般财务报告相关内控缺陷:低于上述重要性水平的其他潜在错报和漏报金额。同时,本公司将结合公司实际情况,考虑如下辅助指标:
(1)重大缺陷:该等缺陷的可能导致的直接损失占本企业资产总额0.25%、销售收入0.5%或税前利润5%以上,则为重大缺陷。
(2) 重要缺陷:该等缺陷的可能导致的直接损失占本企业资产总额0.125%、销售收入0.25%或税前利润2.5%以上但小于重大缺陷定量标准的,则为重要缺陷。
(3)一般缺陷:小于上述缺陷以外的,为一般缺陷。
公司确定的财务报告内部控制缺陷评价的定性标准如下:
(1)如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报,则将该缺陷认定为重大缺陷。
如下迹象通常表明财务报告内部控制可能存在重大缺陷,包括但是不限于:
? 该缺陷可能导致对已经签发的财务报告进行更正和追溯;
? 当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;
? 审计委员会或内部审计职能对内部控制的监督无效;
? 董事、监事和高级管理层的舞弊行为;
? 风险管理职能无效;
? 控制环境无效;
? 重大缺陷未及时在合理期间得到整改;
(2)一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报,就应将该缺陷认定为重要缺陷。
(3)不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一般缺陷。
2.非财务报告内部控制缺陷认定标准
除不可抗力外,公司确定的非财务报告内部控制缺陷评价的定量标准如下:
(1)重大缺陷:该等缺陷的可能导致的直接损失占本企业资产总额0.25%、销售收入0.5%或税前利润5%以上,则为重大缺陷。
(2)重要缺陷:该等缺陷的可能导致的直接损失占本企业资产总额0.125%、销售收入0.25%或税前利润2.5%以上但小于重大缺陷定量标准的,则为重要缺陷。
(3)一般缺陷:小于上述缺陷以外的,为一般缺陷。
公司确定的非财务报告内部控制缺陷评价的定性标准如下:
(1)重大缺陷:对存在的问题不采取任何行动有较大的可能导致严重的偏离控制目标的行为;
(2)重要缺陷:对存在的问题不采取任何行动有一定的可能导致较大的负面影响和目标偏离度;
(3)一般缺陷:对存在的问题不采取任何行动可能导致较小范围的目标偏离。
第七章 内部控制评价报告
第二十五条 公司根据《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》《公开发行证券的公司信息披露编报规则第21号—年度内部控制评价报告的一般规定》及公司相关制度,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。
第二十六条 内部控制评价报告包括内部环境、风险评估、控制活动、信息与沟通和内部监督等要素,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
第二十七条 内部控制评价报告至少包括下列内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
第八章 附则
第二十八条 本办法未尽事宜,按照国家有关法律、法规和《公司章程》规定执行;本制度如与国家日后颁布的法律、法规或经合法程序修改后的章程相抵触的,按照国家有关法律、
法规和《公司章程》规定执行,并立即修订,报董事会会议审议通过。
第二十九条 本制度解释权归公司董事会。第三十条 本制度自董事会决议通过之日起执行,修改时亦同。
獐子岛集团股份有限公司董事会
二零二四年五月十七日