信息披露文件
福建东百集团股份有限公司
内部控制评价管理办法
(2015 年 4 月)
第一章 总则
第一条 为防范福建东百集团股份有限公司(以下简称“公司”)内
部风险,建立健全内部控制体系,全面、正确评价内部控制设计和运行
情况,提高公司经营管理水平和风险管控能力,促进公司规范运作和可
持续发展,根据有关法律法规和《企业内部控制基本规范》及其配套指
引的要求,结合本公司实际,制定本办法。
第二条 本办法适用于公司、及持续经营的子公司及其各职能部门。
第三条 本办法所称的内部控制评价(以下简称“评价”)是指由公
司董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价
报告的过程。
内部控制有效性,是指公司建立与实施内部控制对实现控制目标提
供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效
性。
内部控制设计有效性是指为实现控制目标所必需的内部控制要素都
存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程
序得到了正确执行。
第四条 公司实施内部控制评价应遵循以下基本原则:
(一)全面性原则。内部控制评价工作应包括内部控制的设计与运行,
涵盖公司及各单位的各种业务和事项。
(二)重要性原则。内部控制评价工作应在全面评价的基础上,关注
- 1 -
信息披露文件
重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。内部控制评价工作应准确地揭示经营管理的风险
状况,如是反映内部控制设计与运行的有效性。
(四)成本效益原则。内部控制评价工作应权衡实施成本与预期效益,
以适当的成本实现有效评价,提高评价工作的效率。
第二章 内部控制评价的组织及职责
第五条 公司董事会对公司内部控制评价报告的真实性负责,审议公
司年度内部控制评价报告和内部控制重大缺陷认定标准。
第六条 公司审计委员会负责内部控制评价的组织、领导、监督工作,
其主要职责包括:
(一)审议内部控制评价工作方案;
(二)审阅内部控制自我评价报告;
(三)审议内部控制重大缺陷、重要缺陷整改方案;
(四)评估内部控制评价的结果,推进内部控制评价工作和缺陷整改
工作。
第七条 公司监事会审议内部控制评价报告,对董事会建立与实施内
部控制进行监督。
第八条 公司内部评价机构负责内控评价工作的具体组织实施,其
职责主要包括:
(一) 制定内部控制评价工作方案,明确评价范围、工作任务、人员
组织、进度安排等相关内容;
(二) 根据内部控制评价工作方案,组织成立内部控制评价工作小
组,依据方案实施内部控制评价工作;
- 2 -
信息披露文件
(三)对于评价过程中发现的问题,认定内部控制缺陷并拟订整改方
案,督促公司责任单位对内部控制评价过程中认定的内部控制缺陷进行
整改;
(四)拟订内部控制考核方案并根据评价和整改情况提出内部控制
评价奖惩建议;
(五)根据内部控制有效性结论,编写《公司内部控制评价报告》。
第九条 公司各职能部门应积极配合内部评价机构及外部审计机构
开展公司内控评价工作,具体职责主要包括:
(一)负责组织本部门的内控自查、测试和评价工作;
(二)对发现的设计和运行缺陷提出整改方案及具体整改计划,积极
整改,并报送内部评价机构复核;
第十条 各子公司落实内部控制评价责任,建立日常监控机制,开
展内控定期自查、测试和评价工作,发现问题并认定内部控制缺陷的,
需拟订整改方案和计划,报审计委员会审定后督促整改,编制内部控制
评价报告,对内部控制的执行和整改情况进行考核。
第三章 内部控制评价的内容及程序
第十一条 公司内部控制评价工作应依据《基本规范》、《评价指引》、
公司内部控制管理手册,以及公司相关管理制度,采用规定的评价程序,
围绕内部环境、风险评估、控制活动、信息与沟通和内部监督五个基本
要素,对其内部控制设计和运行的有效性进行全面评价。
第十二条 公司内部控制评价程序包括:制定年度内部控制评价方
案、组成评价工作组、实施现场测试、认定内部控制缺陷、汇总形成评
价结果、编制内部控制自我评价报告。
- 3 -
信息披露文件
第十三条 公司内部评价机构制定年度内部控制评价方案,明确评
价范围、评价内容、人员组织、时间进度安排等相关内容,经审批后组
织实施。
第十四条 公司内部评价机构应依据经批准的年度内部控制评价方
案,牵头组建内部控制评价工作组,具体实施评价工作。工作组应吸收
公司的业务骨干参加,但工作组成员不得评价本部门所负责实施的内部
控制。公司可以委托中介机构实施内部控制评价工作;但为公司提供内
部控制建设咨询的中介机构,不得同时为公司提供内部控制评价服务。
第十五条 评价人员应对被评价部门、单位的内部控制进行实施现
场测试,根据公司统一下发的评价工作底稿中的要求,综合运用个别访
谈、实地查验、穿行测试、抽样测试、专题研讨等恰当的方式,充分收
集内部控制设计和运行有效性的证据。
第十六条 现场测试工作的相关发现,应在评价工作底稿中进行如
实填写;所获取的内部控制设计与运行的相关证据,应形成纪录;对于
控制偏差的相关证据,应进行留档。现场测试所形成的评价工作底稿和
相关记录应进行交叉审核,并由执行人和审核人签字确认。
第四章 内部控制缺陷认定与整改
第十七条 内部控制缺陷按成因划分为设计缺陷和执行缺陷。
(一)设计缺陷指缺少为实现控制目标所必须的控制,或现有的控制
措施设计不当,即使正常运行也难以实现预期的控制目标。
(二)执行缺陷指设计恰当的控制措施未能按照设计意图运行,或执
行人员没有获得必要的授权或缺乏胜任能力,导致无法有效地实施内部
控制。
- 4 -
信息披露文件
第十八条 内部控制缺陷按严重程度划分为重大缺陷、重要缺陷和
一般缺陷。
(一)重大缺陷指一个或多个缺陷的组合,可能导致公司严重偏离控
制目标。
(二)重要缺陷指一个或多个缺陷的组合,其严重程度和经济后果低
于重大缺陷,但仍有可能导致公司偏离控制目标。
(三)一般缺陷指除了重大缺陷、重要缺陷之外的其他缺陷。
第十九条 公司对内部控制缺陷的认定,应以日常监督和专项监督
为基础,结合年度内部控制评价情况,由内部评价机构对缺陷的成因、
影响程度等方面进行综合分析后提出初步认定意见,编制内部控制缺陷
汇总表,由内部评价机构负责人签字确认,并经审核后予以最终认定。
第二十条 内部控制重大缺陷由董事会负责最终认定。公司对于认
定的重大缺陷,相关责任部门应按审计委员会批准的缺陷整改方案及时
进行整改,公司内部控制工作小组定期跟踪整改情况,并向公司内部控
制领导小组汇报。重大缺陷整改完毕后,责任部门应提交整改报告。必
要时公司可安排实施专项监督程序,确保重大缺陷已完成整改。对于造
成严重经济损失、不良后果的内部控制重大缺陷,公司将追究有关部门
或人员的责任。
第五章 内部控制评价报告
第二十一条 公司应依据《基本规范》、《应用指引》和《评价指引》
的要求,明确年度内部控制自我评价报告的格式、内容、编制程序等方
面,按照本办法规定的权限报经批准后对外披露和报出。
第二十二条 公司年度内部控制评价报告应对内部环境、风险评估、
- 5 -
信息披露文件
控制活动、信息与沟通和内部监督五个要素的建立健全和实施情况进行
评价,并至少应包含以下内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序与方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性结论。
第二十三条 公司内部评价机构应根据年度内部控制建立健全的情
况,和内部控制自我评价的结果,结合内部控制评价工作底稿以及内部
控制缺陷汇总表等资料,及时编制年度内部控制自我评价报告,上报公
司内部控制领导小组、审计委员会审核后,提交董事会审议。年度内部
控制自我评价报告经由董事会审议后对外披露或报送相关部门。
第二十四条 公司以每年 12 月 31 日作为年度内部控制自我评价报
告的基准日,年度内部控制自我评价报告应于基准日后四个月内报出。
公司应关注年度内部控制自我评价报告基准日至报出日之间是否发生影
响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相
应调整。评价结论一经调整,年度内部控制自我评价报告应履行原有的
审批程序后方可对外披露或报送。
第二十五条 公司年度内部控制自我评价报告应与年度内部控制审
计报告同时对外披露或报送。
- 6 -
信息披露文件
第二十六条 内部控制评价的有关文件资料,包括但不限于:评价
方案、工作底稿、相关的支持性证据、缺陷汇总表、缺陷整改方案等,
应根据公司相关的管理制度要求妥善归档和保管。
第六章 附则
第二十七条 本制度未尽事宜,按照国家、上海证券交易所有关法
律法规、规范性文件和公司章程等相关规定执行。
第二十八条 本制度由公司内部评价机构负责解释,自董事会决议
通过之日起实施。
- 7 -