中国国际航空股份有限公司
内部控制评价管理办法
第一章 总 则
第一条 为规范中国国际航空股份有限公司(以下简称
“公司”)内部控制评价工作,促进公司科学、全面地评价
内部控制的设计与运行情况,揭示和防范风险,根据《企业
内部控制基本规范》及《企业内部控制评价指引》等规定,
结合公司实际,制定本办法。
第二条 本办法适用于公司管理层、管理支持部门、分
公司、事业管理单位(以下简称“各单位”)。
第三条 内部控制评价围绕公司内部环境、风险评估、
控制活动、信息与沟通、内部监督等要素开展。
第四条 内部控制评价的目标
(一)遵守国家法律法规及证监会等监管机构的监管要
求;
(二)改进和完善内部控制体系,及内部控制制度的健
全性和合理性;
(三)强化各级管理人员和员工的内部控制意识,严格
贯彻落实各项控制措施,确保内部控制体系运行的有效性;
(四)及时有效评估公司在经营发展中可能出现的风
险,并采取措施加以防范,提高运行的效率和效果;
(五)提高风险管理水平,促进发展战略和经营目标的
实现。
第五条 内部控制评价的原则
(一)全面性原则,评价内容包括内部控制的设计与运
行,评价范围包括控制环境、风险评估、控制活动、信息与
沟通、内部监督;
(二)重要性原则,在全面评价的基础上,关注重要业
务单位、重大业务事项和高风险领域;
(三)客观性原则,准确揭示经营管理的风险状况,如
实反映内部控制的有效性;
(四)风险导向性原则,以风险评估为基础,依据风险
发生的可能性和对公司内部控制目标的影响程度,确定实施
内部控制评价的范围;
(五)一致性原则,评价的标准、程序保持一致,确保
评价过程的规范性及评价结果的客观性;
(六)独立性原则,遵循内部控制建设与监督评价职责
相分离的原则,由独立于内部控制建设的内部人员、内部机
构或受托的独立外部机构执行;
(七)公允性原则,以法律法规、监管要求及公司制度
为依据,以事实为基础,公平公正、合理适当;
(八)及时性原则,按照规定的时间执行,并按时出具
内部控制评价报告;及时进行内部控制缺陷整改再评价;及
时反映业务流程的变化情况。
第二章 组织体系与职责分工
第六条 内部控制评价的组织体系包含公司董事会及
其下设的审计和风险管理委员会、公司管理层、公司审计部
及各单位内部控制评价工作组。
第七条 公司董事会及其下设的审计和风险管理委员
会是内部控制评价的最高决策机构和最终责任者,根据《中
国国际航空股份有限公司章程》、《中国国际航空股份有限公
司董事会议事规则》和《中国国际航空股份有限公司董事会
审计和风险管理委员会工作细则》履行职责。
第八条 公司管理层是内部控制评价的管理责任主体,
主要履行以下职责:
(一)负责组织实施内部控制评价工作,组织制定、修
订内部控制评价管理办法,为内部控制评价工作创造良好的
环境和条件;
(二)审阅内部控制评价工作方案;
(三)审阅内部控制自我评价报告;
(四)督促内部控制缺陷整改工作。
第九条 公司审计部是公司内部控制评价的责任部门,
主要履行以下职责:
(一)协助公司管理层制定、修订内部控制评价管理办
法;
(二)制定年度内部控制评价工作方案;
(三)评价公司及下属各单位内部控制体系的健全性、
合理性、执行的有效性,保证内部控制评价工作质量;
(四)跟踪、评价公司内部控制缺陷的整改情况;
(五)分析、汇总公司内部控制评价结果,编制《中国
国际航空股份有限公司年度内部控制自我评价报告》(以下
简称《公司年度内部控制自评报告》),向公司管理层、董
事会及其下设的审计和风险管理委员会报告年度内部控制
评价情况;
(六)根据内部控制评价情况,向人力资源部提供相关
绩效考核依据。
第十条 各单位内部控制评价工作组是各单位内部控
制评价的责任主体,主要履行以下职责:
(一)依据公司内部控制评价程序,评价本单位内部控
制体系的健全性、合理性和有效性;
(二)完成本单位的内部控制评价报告;
(三)跟踪、督促、评价本单位内部控制缺陷的整改情
况;
(四)协助公司审计部完成公司内部控制评价工作。
第三章 内部控制评价形式
第十一条 公司内部控制评价实施分为各单位内部控
制评价和公司整体内部控制评价两个层次。
第十二条 各单位内部控制评价
各单位内部控制评价工作组定期组织评价本单位职责
范围内的内部控制的有效性,保证职责范围内的内部控制体
系设计和运行有效,防止发生重大或重要内部控制缺陷,确
保一般内部控制缺陷的及时整改。
第十三条 公司整体内部控制评价
公司审计部组织完成对公司整体内部控制体系的健全
性、合理性和执行的有效性的评价工作,确保工作质量符合
公司整体内部控制评价工作的要求。
公司审计部根据公司整体内部控制评价和各单位内部
控制评价的结果,综合评估公司内部控制的有效性,完成《公
司年度内部控制自评报告》。
第四章 内部控制评价的工作程序
第十四条 根据公司总体战略目标、公司内部控制年度
建设情况和以前年度发现的内部控制缺陷等,编制内部控制
评价工作方案,确定评价目标、范围、内容和重点、以及时
间安排、人员分工和实施计划等。内部控制评价工作方案经
公司管理层审批后,向董事会审计和风险管理委员会汇报。
第十五条 在内部控制评价工作开始前10个工作日下
发经公司主管领导审批后的《内部控制评价通知》。
第十六条 成立公司内部控制评价工作组。内部控制评
价工作组成员要满足内部控制评价的独立性、业务胜任能力
和职业道德要求,对公司内部相关业务单位具备一定熟悉
度。评价工作组成员不得评价本人负责的业务流程和关键控
制点。
第十七条 开展内部控制评价
(一)收集与被评价单位风险领域及业务流程相关的内
部控制文档(包含流程描述、内部控制矩阵、流程图等),
全面了解业务和内部控制流程;
(二)审阅被评价业务流程的内部控制文档,确定重点
关注事项;
(三)以内部控制评价所关注的重大风险和关键控制点
为中心,识别各单位实际操作与现行内部控制文档可能存在
的差异等;
(四)评价内部控制设计的有效性;
(五)评价内部控制执行的有效性。
第十八条 确认内部控制缺陷
(一)编制《内部控制缺陷讨论表》,记录内部控制设
计缺陷和执行缺陷,提出缺陷整改建议;
(二)经与内部控制流程负责人(高级经理级(含)以
上)就发现的内部控制设计缺陷、执行缺陷及相应的整改建
议进行沟通,由内部控制流程负责人对发现的内部控制缺陷
及整改建议进行确认,并在《内部控制缺陷讨论表》上签字;
(三)被评价单位相关业务责任人根据《内部控制缺陷
讨论表》,制定整改方案,报公司审计部和公司财务部审批
后实施整改工作;
(四)对整改后的内部控制执行情况进行再测试,评估
整改建议的落实情况及整改的有效性。
第十九条 更新内部控制评价工作
根据公司内部控制自我评价工作需要,可安排年度中期
内部控制评价。执行年度中期内部控制评价后,年末需对内
部控制评价工作进行更新,以全面评价该年度内部控制是否
持续有效。
(一)更新内部控制评价的工作范围包括新增的内部控
制文档、业务流程;上年度存在内部控制缺陷的流程;上次
测试至本次测试期间执行的内部控制;依据财务报告审计结
果需进行更新内部控制评价的流程;
(二)更新内部控制评价的内容包括新增的内部控制制
度、业务流程内部控制的健全性、合理性,以及执行的有效
性;内部控制设计缺陷整改的有效性;内部控制执行缺陷整
改的有效性;上次测试至本次测试期间内部控制执行的有效
性;
(三)内部控制评价工作组根据更新内部控制评价结
果,更新内部控制评价工作底稿,记录相关测试结果。
第二十条 复核工作底稿
公司内部控制评价工作实行工作底稿两级复核制度。内
部控制评价工作组组长对内部控制评价工作组成员完成的
工作底稿进行严格审核,并对所认定的评价结果签字确认,
公司审计部领导对内部控制评价工作底稿承担审核批准职
责。
第五章 内部控制缺陷的认定及内部控制评价结论
第二十一条 内部控制缺陷的分类
(一)重大缺陷是指一个或多个一般缺陷的组合,可能
严重影响整体控制的有效性,进而导致公司无法及时防范或
发现严重偏离整体控制目标的情况;
(二)重要缺陷是指一个或多个一般缺陷的组合,其严
重程度低于重大缺陷,但依然存在导致公司无法及时防范或
发现偏离整体控制目标的重大可能;
(三)一般缺陷是指除重大缺陷、重要缺陷之外的其他
缺陷,对整体控制有效性的影响程度较低,可以通过其它有
效控制,或管理层采取及时行动来规避或降低一般缺陷对控
制目标的影响。
第二十二条 内部控制缺陷的量化标准
结合日常审计和监督工作结果,从不能防止或发现错误
的合理可能性和潜在问题的影响程度,结合已识别的补偿性
控制,以缺陷量化分值作为判断每个内部控制缺陷级别的量
化标准。缺陷量化分值=风险控制要素×影响程度×补偿有
效性分值,分值在1至3分区间内为一般缺陷、在4至6分区间
内为重要缺陷、在7至9分区间内为重大缺陷。
(一)风险控制要素即控制点不能防止或不能发现错误
的可能性,内容包括该控制点发生内部控制事故的概率、控
制活动发生的频率及该控制发生舞弊的可能性,分值为1分、
2分、3分,分值越高,可能性越大;
(二)影响程度包括对公司声誉、人力资源、服务质量、
安全运营、经营环境、信息系统、法律风险和财务方面的影
响,分值为1分、2分、3分,分值越高,影响程度越大;
(三)补偿有效性即在评估过程中是否发现对内部控制
缺陷存在补偿性控制,且测试结果是否有效,分值为0.5分
和1分,分值越高,补偿性控制越弱。
第二十三条 发生以下情况,直接认定重大缺陷
(一)发生由于公司内部控制缺陷导致的重大飞行安全
事故,致旅客或本公司员工死亡;
(二)信息系统受到重大威胁导致生产系统瘫痪,补偿
措施失效,导致无法进行正常生产运营;
(三)公司高管层发生舞弊行为;
(四)公司经营违反国家法律、法规;
(五)进行内部控制审计的会计师事务所发现当期财务
报告存在重大错报,公司在内部控制过程中未能发现该错
报;
(六)由于会计报表及其附注存在重大不真实、不准确
或不完整,审计师出具否定意见报告;
(七)财务报告审计师出具重大审计调整。
第二十四条 公司审计部负责对内部控制缺陷及其成
因、表现形式和影响程度进行综合分析和全面复核,提出认
定意见,向公司管理层报告,对于重大或重要内部控制缺陷,
在履行公司报告程序后,向董事会及其下设的审计和风险管
理委员会报告。
第二十五条 公司对于认定的重大或重要缺陷,及时采
取应对策略,切实将风险控制在可承受范围之内,并追究有
关部门或相关人员的责任。
第二十六条 内部控制评价结论包括内部控制有效和
内部控制无效。
(一)内部控制有效包括内部控制优秀、良好、合格和
较弱;
1.优秀指相关业务领域的重大风险均得到有效控制,内
部控制评价过程中未发现重大或重要缺陷,发现的一般控制
缺陷的数量少于关键控制点总数的 5%;
2.良好指相关业务领域的重大风险均得到有效控制,内
部控制评价过程中未发现重大或重要缺陷,发现的一般控制
缺陷的数量占关键控制点总数的 5%至 10%(含 5%);
3.合格指相关业务领域均有重大风险控制措施,内部控
制评价过程中未发现重大缺陷,但发现 1 至 2 个重要缺陷,
或发现的一般控制缺陷的数量占关键控制点总数的 10%至
15%(含 10%);
4.较弱指相关业务领域均有重大风险控制措施,内部控
制评价过程中未发现重大缺陷,但发现 2 至 4 个重要缺陷,
或发现的一般控制缺陷的数量占关键控制点总数的 15%以上
(含 15%)。
(二)内部控制无效指关键控制点的设计与运行对于实
现公司整体内部控制目标存在一个或多个重大缺陷,或内部
控制评价过程中发现的重要缺陷的数量超过 5 个(含 5 个)。
第六章 内部控制评价报告
第二十七条 《公司年度内部控制自评报告》的编制
公司审计部根据公司整体内部控制评价结果,汇总内部
控制缺陷发现及整改情况,编制《公司年度内部控制自评报
告》,对公司整体内部控制有效性做出评价。《公司年度内
部控制自评报告》内容包括:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的目的和责任主体;
(四)公司内部控制体系建设基本情况;
(五)内部控制评价的基本情况;
(六)内部控制评价的工作范围和所依据的标准;
(七)内部控制评价的工作程序和所采用的方法;
(八)内部控制评价过程中所发现的内部控制缺陷及造
成缺陷的原因、相应的补救/拟整改措施及进展情况;
(九)内部控制评价结论;
(十)公司聘请的外部机构对内部控制情况进行内部控
制审计的结论。
第二十八条 《公司年度内部控制自评报告》的报送
(一)《公司年度内部控制自评报告》报公司管理层、
监事会、董事会审计和风险管理委员会审阅,董事会审议;
(二)公司以每年 12 月 31 日作为年度《公司年度内部
控制自评报告》的基准日。内部控制评价工作组应当关注内
部控制评价报告基准日至《公司年度内部控制自评报告》发
出日之间是否发生影响内部控制有效性的因素,必要时,根
据其性质和影响程度对评价结论按程序进行相应调整;
(三)《公司年度内部控制自评报告》根据证券监管机
构和相应要求予以披露。
第二十九条 内部控制评价工作的文档管理
《公司年度内部控制自评报告》作为公司永久性档案保
存;内部控制评价的有关文件资料、工作底稿和证明材料等
作为公司短期档案保存,保存期限不少于10年。
第七章 绩效考核及责任追究
第三十条 内部控制管理工作纳入公司绩效考核体系。
公司人力资源部门会同公司审计部和公司财务部,确定
内部控制评价结果对绩效考核的影响,并将其纳入公司总体
绩效考核方案。
第三十一条 公司各单位内部控制建设情况、内部控制
缺陷的等级和数量、内部控制缺陷整改情况、内部控制文档
的维护情况与绩效考核挂钩。根据发现内部控制缺陷的情况
和公司相关制度,追究有关人员责任。
第三十二条 年度内部控制评价工作结束后,公司审计
部根据各单位内部控制评价情况,向公司人力资源部提供当
年内部控制绩效考核依据。
第八章 附 则
第三十三条 公司所属投资企业应依照本办法制定本
企业的内部控制评价制度。
第三十四条 航空安全内部控制评价的内容参见《航空
安全管理手册》。
第三十五条 本办法经董事会批准后生效。
第三十六条 本办法由公司审计部负责解释。
