中粮资本控股股份有限公司
内部控制评价管理办法
第一章 总 则第一条 为全面、有效评价中粮资本控股股份有限公司(以下简称“公司”)内部控制的设计与运行情况,规范内部控制评价程序,揭示和防范风险,促进公司持续、健康发展,依据财政部等五部委颁发的《企业内部控制基本规范》及其配套指引、深圳证券交易所发布的《上市公司规范运作指引》等法律法规及规范性文件的有关要求,制定本办法。
第二条 本办法所称内部控制评价,是指在董事会领导下,公司对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 公司及下属企业实施内部控制评价遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及其所属企业的各种业务和事项,并覆盖内部控制各个要素。
(二)重要性原则。评价工作应当在全面评价的基础上,突出重点,关注影响控制目标的高风险领域、重要业务(单位)、重大事项、关键控制环节和风险点。
(三)客观性原则。评价工作应当客观地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
(四)成本效益原则。评价工作应当权衡实施成本与预期效益,以适当的成本实现有效评价,提高评价工作效率和效果。
(五)统一管理,分级负责原则。在公司的统一领导下,按照集中、分层、分类的管理模式,公司审计部负责执行公司年度内部控制评价工作,各所属企业审计部门在其职责范围内负责本单位相关内部控制工作,确保公司内部控制整体目标的实现。
第四条 公司董事会对内部控制自我评价报告的真实性负责。
第二章 内部控制评价的组织和职责
第五条 公司审计部在董事会和审计委员会的领导下,负责内部控制评价的
组织、管理、汇报等工作。第六条 公司按经批准的内部控制评价工作方案,组成内部控制评价工作组,具体实施内部控制评价工作。第七条 公司内部控制的设计和评价应保持分离,以保证足够的独立性。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
第八条 公司可以聘请中介机构协助公司实施内部控制评价。为公司提供内部控制审计服务的会计师事务所,不得同时为公司提供内部控制评价服务。
第九条 内部控制评价中相关主体的职责和任务。
(一)董事会职责
1.审核并批准公司内部控制评价计划;
2.审核并批准公司与内部控制评价有关的制度;
3.认定公司内部控制重大缺陷;
4.审核并批准公司内部控制评价结果及有关报告。
(二)董事会审计委员会
1.审核公司内部控制评价计划,并提交董事会批准;
2.监督公司内部控制制度的实施及评价工作,并向董事会汇报;
3.审核公司与内部控制评价有关的标准;
4.审核并批准公司内部控制评价结果及有关报告;
5.与外部中介机构沟通发现的内部控制问题与改进方法;
6.完成董事会交办的其他工作。
(三)公司审计部职责
1.制定年度内部控制评价工作计划及方案;
2.组织并实施内控评价测试,编写内控评价报告;
3.负责公司本部各职能部门内控评价执行工作;
4.针对内部控制缺陷提出整改建议,跟踪并检查验收整改情况;
5.指导所属企业审计部门开展年度内部控制评价工作,督促工作进展并收集汇总相关工作材料;
6.定期向审计委员会汇报内部控制监督、检查情况;
7.与外部监管机构、审计机构就内部控制评价相关事项进行沟通协调。
(四)公司其他部门职责
1.配合审计部开展本部门内部控制评价工作;
2.落实职责范围内的缺陷整改工作;
3.指导和监督下级对口部门内部控制评价工作。
(五)所属企业职责
1.根据上市公司要求,建立完善相应的内部控制评价机制与制度;
2.所属企业审计部应结合上市公司和相关监管部门要求,开展本公司年度内部控制评价工作,作为上市公司整体年度内部控制评价工作的一部分;
3.发现内部控制问题并认定内部控制是否存在缺陷;
4.编制本单位年度内部控制评价报告;
5.根据公司统一安排,向公司审计部提交年度内控评价工作相关材料;
6.对内部控制的执行和整改情况进行监督落实。
第三章 内部控制评价的依据和内容
第十条 公司根据《企业内部控制基本规范》及其配套指引以及公司制定的内部审计制度,结合上市监管要求,围绕公司内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与执行情况进行全面评价。
第十一条 内部控制的目标包括经营合规目标、资产安全目标、报告可靠目标、经营效率效果目标和战略实现目标。
第十二条 公司组织开展内部环境评价,应当以公司治理、组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合公司的内部控制制度,对内部环境的设计及实施运行情况进行认定和评价。
(一)公司治理评价从法人治理结构及公司日常管理的规范性等方面进行;
(二)组织架构评价从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行;
(三)发展战略评价从发展战略的制定合理性、有效实施和适当调整等方面进行;
(四)人力资源评价从企业人力资源引进结构合理性、开发机制、激励约束
机制等方面进行;
(五)企业文化评价从建设和评估两方面进行,以促进道德价值观的提升,为内部控制的完善夯实人文基础;
(六)社会责任评价从促进就业、员工权益保护等方面进行。
第十三条 公司组织开展风险评估机制评价,应当根据《企业内部控制基本规范》及其配套指引、《中央企业全面风险管理指引》等有关要求,结合公司的内部控制制度,对公司日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
第十四条 公司组织开展控制活动评价,应当以《企业内部控制基本规范》及其配套指引中的控制措施为依据,对公司各类业务的控制措施与流程的设计和执行情况进行认定和评价。
第十五条 公司组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十六条 公司组织开展内部监督评价,应当以《企业内部控制基本规范》及其配套指引以及有关内部监督的要求为依据,结合公司内部控制制度,对内部监督机制的充分性和有效性进行认定和评价,重点关注监事会、董事会审计委员会、内部审计部门等是否在内部控制设计和执行中有效发挥监督作用。
第四章 内部控制评价的程序和方法
第十七条 内部控制评价工作一般包括四个阶段,即准备阶段,实施阶段,汇总评价结果、编制评价报告阶段,报告反馈和跟踪阶段。
第十八条 准备阶段工作包括制定方案、组成工作组等。
1.制定评价工作方案。方案应当明确评价主体范围、工作任务、人员组织、评价依据、评价基本方法、评价期间、评价测试内容、风险控制点、评价标准、进度安排和费用预算等相关内容。
2.组成评价工作组。审计部根据年度内部控制评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价,可吸收公司内部熟悉情况的
业务骨干参加工作组。评价组成员应保持独立性原则,对本部门的内控评价工作实行回避。公司可以委托中介机构实施内部控制评价,但为公司提供内部控制审计服务的会计师事务所,不得同时为公司提供内部控制评价服务。第十九条 实施开展内部控制评价工作。
1.了解被评价单位(部门)基本情况。充分了解企业发展战略和环境、领导层成员构成及分工、部门设置及职责分工等基本情况。
2.确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
3.下发评价通知。评价工作组在实施评价前,应提前15个工作日以邮件或书面形式,向被评价部门或单位下发评价通知。
4.资料准备及收集。被评价部门或单位收到评价通知后,须在评价工作组进场前按要求准备并提供资料清单中列明的相关材料。
5.开展现场检查测试。评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,测试方法包括个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。评价工作组应充分收集被评价对象内部控制管理体系的设计和执行是否有效的证据,按照评价的具体内容进行评价测试。
6.形成工作底稿。评价工作组详细记录执行评价工作内容,包括评价要素、评价标准、评价和测试方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等,形成测试底稿。
第二十条 汇总评价结果,编制评价报告。
1.评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作组将评价结果及现场评价报告向被评价单位(部门)进行沟通,由被评价单位(部门)相关责任人确认后,提交公司内部控制评价部门。
2.汇总评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
3.以汇总的评价结果和认定的内部控制缺陷为基础,编制内部控制评价报告,
并报送公司经理层、董事会和监事会,由董事会最终审定后对外披露。第二十一条 报告反馈和跟踪。对于认定的内部控制缺陷,审计部应当结合董事会和审计委员会要求,提出整改建议,要求责任单位(部门)提交整改报告,并跟踪其整改落实情况;已经造成损失或负面影响的,公司应当追究相关人员的责任。
第五章 内部控制缺陷认定第二十二条 财务报告内部控制缺陷分类。公司内部控制缺陷从性质上分为设计缺陷和执行缺陷;从与财务报告关系分为财务报告内控缺陷和非财务报告内控缺陷;从影响程度上分为重大缺陷、重要缺陷和一般缺陷。
(一)重大缺陷是指一个或多个控制缺陷的组合,可能导致被评价单位严重偏离控制目标。
(二)重要缺陷是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致被评价单位偏离控制目标。
(三)一般缺陷指除重大、重要缺陷以外的其他缺陷。
第二十三条 财务报告内部控制缺陷评价的定量和定性标准。
(一)定量标准
重大缺陷:内部控制缺陷可能造成利润总额错漏≥利润总额的5%;资产总额错漏≥资产总额的1%。
重要缺陷:利润总额的3%≤错漏<利润总额的5%;资产总额的0.5%≤错漏<资产总额的1%。
一般缺陷:内部控制缺陷可能造成利润总额错漏<利润总额的3%;内部控制缺陷可能造成资产总额错漏<资产总额的0.5%。
(二)定性标准
1.重大缺陷:
(1)董事、监事和高级管理人员舞弊;
(2)企业更正已公布的财务报告,以更正由于舞弊或错误导致的重大错报;
(3)当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错
报;
(4)审计委员会和内部审计机构对内部控制的监督无效。
2.重要缺陷:
(1)企业重述以前公布的财务报表,以更正由错误导致的重要错报;
(2)当期财务报表存在重要错报,而内部控制在运行过程中未能发现该错报;
(3)受控制缺陷影响存在、其严重程度不如重大缺陷但足以引起审计委员会、董事会关注。
3.一般缺陷:未构成重大缺陷、重要缺陷标准的其他内部控制缺陷。
第二十四条 非财务报告内部控制缺陷评价的定量和定性标准。
(一)定量标准
重大缺陷:内部控制缺陷可能造成利润总额错漏≥利润总额的5%;资产总额错漏≥资产总额的1%。
重要缺陷:利润总额的3%≤错漏<利润总额的5%;资产总额的0.5%≤错漏<资产总额的1%。
一般缺陷:内部控制缺陷可能造成利润总额错漏<利润总额的3%;内部控制缺陷可能造成资产总额错漏<资产总额的0.5%。
(二)定性标准
1.重大缺陷:缺乏民主决策程序,如缺乏“三重一大”决策程序;企业决策程序不科学,如决策失误,导致并购不成功; 严重违反法律、法规、规章、政府政策、其他规范性文件等,导致中央政府或监管机构的调查,并被处以罚款或罚金,或被限令行业退出、吊销营业执照、强制关闭等;管理人员或技术人员纷纷流失;媒体负面新闻频现;重要业务缺乏制度控制或制度系统性失效;其他对公司造成重大影响的情形。
2.重要缺陷:违反法律、法规、规章、政府政策、其他规范性文件等,导致地方政府或监管机构的调查,并被处以罚款或罚金,或被责令停业整顿等;负面消息在某区域流传,企业声誉受到严重损害。
3.一般缺陷:未构成重大缺陷、重要缺陷标准的其他内部控制缺陷。
第六章 内部控制缺陷的报告与整改第二十五条 内部控制缺陷的报告途径
(一)内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告;
(二)对于重大缺陷和重要缺陷及整改方案,应向董事会(审计委员会)、监事会、管理层报告;
(三)对于一般缺陷,向公司管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
第二十六条 审计部应当就发现的内部控制缺陷提出整改建议,并由督导责任部门(人员)制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。
第二十七条 被评价单位的整改工作须在规定期限内完成,按时向审计部反馈整改情况。整改情况反馈须对照内部控制缺陷逐项说明落实整改措施的情况及效果,同时提供必要的证明材料。
第二十八条 审计部跟踪监督被评价单位的整改情况,并对其整改效果出具验证意见。验证方式可根据具体情况采取书面验证或现场验证的方式进行。被评价单位的缺陷整改情况,审计部及时向公司管理层、董事会及审计委员会汇报。
第七章 内部控制评价报告
第二十九条 内部控制评价报告至少应当包括下列内容:
(一)董事会对内部控制报告真实性的声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏;
(二)内部控制评价结论。对年度内控制评价工作的结论进行总体概括,重点披露是否存在重大缺陷。对不存在重大缺陷的情形,出具评价期末内部控制有效结论;对存在重大缺陷的情形,不得作出内部控制有效的结论。
(三)内部控制评价工作情况。
1.内部控制评价的范围。描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项,及重点关注的高风险领域。内部控制评价的范围如有所遗
漏的,应说明原因,及其对内部控制评价报告真实完整性产生的重大影响等;
2.内部控制评价的依据及缺陷认定标准。说明公司开展内部控制评价工作所依据的法律法规和规章制度。描述适用本公司的内部控制缺陷具体认定标准,并声明与以前年度保持一致或做出的调整及相应原因;
3.内部控制缺陷认定及整改情况。根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷,针对发现的内控缺陷逐项披露,包括缺陷性质及影响、缺陷整改情况、整改计划等。
(四)其他内部控制相关重大事项说明。包括可能对投资人理解内控评价报告产生重大影响的其他内部控制信息等。
第三十条 公司审计部负责根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,及时编制内部控制评价报告。
第三十一条 内部控制评价报告应当报经董事会审议批准后对外披露。
第三十二条 公司以12月31日作为年度内部控制自我评价报告的基准日,并于年度结束4个月内,结合上市公司年度报告披露时间进行报告和披露。
第八章 内部控制评价档案的归档
第三十三条 内部控制评价的有关资料,包括评价工作计划、工作底稿和相关支持性证据、缺陷汇总及整改跟踪表、评价报告等,由审计部根据公司档案管理要求妥善归档和保管。
第九章 附 则
第三十四条 评价人员应以客观、公正的态度执行评价工作,如果因不当行为导致评价结果不符合事实,应追究相关评价人员责任。
第三十五条 本办法自董事会审议通过之日起实施。
第三十六条 本办法由公司审计部负责解释和修改。