泽达易盛(天津)科技股份有限公司
内部控制评价制度
第一章 总则第一条 为规范泽达易盛(天津)科技股份有限公司(以下简称“公司”)的内部控制评价工作,及时发现公司内部控制缺陷,确保内部控制有效运行,提高公司内部控制与经营管理水平,促进公司健康可持续发展,根据《企业内部控制基本规范》、《企业内部控制评价指引》、《上海证券交易所上市公司内部控制指引》、《科创板上市公司信息披露工作备忘录第七号——年度报告相关事项》、《泽达易盛(天津)科技股份有限公司章程》(以下简称“公司章程”)等有关规定,并结合公司实际情况制定本制度。第二条 本制度所称内部控制评价,是指公司董事会对内部控制的设计和执行有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制有效性是指建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。内部控制设计有效性是指实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。第三条 本制度适用于公司各内部机构、控股子公司以及具有重大影响的参股公司。第四条 公司实施内部控制评价应当遵循以下原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及其所属单位的各项业务和事项。 (二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。 (三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。第五条 公司内部控制评价,包括:日常监督、专项监督、半年度评价和年度评价。内部监督,分为日常监督和专项监督。日常监督是指公司对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
半年度评价/年度评价是指公司根据内部控制目标,对公司半年度/某一年度建立与实施内部控制的有效性进行的评价。半年度评价/年度评价为定期评价。在每半个会计年度结束后,向董事会提交内部控制检查监督工作报告。在每个会计年度结束后至年度报告提交董事会审议前,完成年度评价工作并将《内部控制自我评价报告》交董事会和审计委员会审核。
第二章 内部控制评价的职责与权限
第六条 公司董事会是公司内部控制评价工作的最高决策机构和最终责任者,对公司内部控制制度的制定和有效执行负责。其主要职责包括:
(一)对内部控制评价过程中发现的重大缺陷进行最终认定,对评价中发现的所有内部控制缺陷进行审定和处理;
(二)审议和批准《内部控制自我评价报告》。
第七条 公司审计委员会负责指导和监督内审部工作。公司董事会授权审计委员会负责内部控制评价的组织、领导、监督工作,其主要职责包括:
(一)审议内部控制评价工作方案,并提出指导意见;
(二)检查和评价内审人员的工作;
(三)审议并向董事会提交《内部控制自我评价报告》;
(四)协调公司管理层安排足够行政资源推进内部控制评价工作和缺陷整改工作;
(五)法律法规、公司章程和董事会授权的其他事项。
第八条 公司各内部机构或者职能部门、控股子公司以及具有重大影响的参股公司负责配合内审部依法履行职责,协助、支持和配合内部控制评价工作,按要求整改内部控制缺陷,不得妨碍内审部的工作。
第九条 公司内审部负责对公司内部控制制度的建立和实施、公司财务报告的可靠性等情况进行检查监督。内审部对审计委员会负责,向审计委员会报告工作。董事会授权内审部为内部控制评价的归口管理部门,负责公司内部控制评价的具体组织实施工作,其主要职责包括:
(一)对公司各内部机构、控股子公司、分公司以及具有重大影响的参股公司的内部控制制度的完整性及其实施的有效性进行检查和评估,具体包括:
制定内部控制评价工作方案;组成内部控制评价工作组;根据内部控制评价方案进行现场测试,收集内部控制评价的证据;收集、填制和整理内部控制评价工作底稿;研
究分析并初步认定内部控制缺陷;编写《内部控制自我评价报告》;
(二)对公司各内部机构、控股子公司、分公司以及具有重大影响的参股公司的财务报告的可靠性进行审计;
(三)协助建立健全反舞弊机制,确定反舞弊的重点领域、关键环节和主要内容,并在内部审计过程中合理关注和检查可能存在的舞弊行为;
(四)及时向审计委员会报告内部审计计划的执行情况以及内部审计工作中发现的问题。
第三章 内部控制评价的内容
第十条 公司内部控制自我评价根据《企业内部控制基本规范》及应用指引、公司《内部控制手册》,围绕内部控制的目标及内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。 内部环境评价,是以《企业内部控制基本规范》和组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合公司《内部控制手册》,对内部环境的设计及实际运行情况进行认定和评价。 风险评估机制评价,是以《企业内部控制基本规范》有关风险评价的要求,以及各项应用指引中所列主要风险为依据,结合公司《内部控制手册》,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。 控制活动评价,是以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合公司《内部控制手册》,对相关控制措施的设计和运行情况进行认定和评价。 信息与沟通评价,是以《企业内部控制基本规范》和内部信息传递、财务报告、信息系统等相关应用指引为依据,结合公司《内部控制手册》,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。 内部监督评价,是以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合公司《内部控制手册》,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内审部等是否在内部控制设计和运行中有效发挥监督作用。
第十一条 内部控制自我评价工作应当形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第十二条 内审部负责整理归档并妥善保管内审部的工作资料,包括内部控制检查监督工作报告、工作底稿及相关资料,保存时间不少于十年。
第四章 内部控制评价的程序
第十三条 公司内部控制评价程序主要包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十四条 制订内部控制评价工作方案:内审部根据内部监督情况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制订科学合理的评价工作方案,经公司审计委员会批准后实施。评价工作方案应明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。
第十五条 组成内部控制评价工作组:内审部根据经批准的评价方案组成评价工作组,具体组织实施内部控制评价工作。评价工作组成员应熟悉内部控制专业知识及相关管理制度、业务流程及需要重点关注的问题、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准等内容。公司实施内部控制评价可以委托中介机构,但不得选择同时为公司提供内部控制审计服务的会计师事务所。
第十六条 实施内部控制评价现场测试:内部控制评价工作组实施现场测试应提前书面通知被评价单位,通知内容至少包括:评价的目的、依据、原则、内容、时间安排及被评价单位应做的准备工作等。内部控制评价工作组对被评价单位进行现场测试,综合运用个别访谈、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。内审部获取的审计证据应当具备充分性、相关性和可靠性。内部审计人员应当将获取审计证据的名称、来源、内容、时间等信息清晰、完整地记录在工作底稿中。
第十七条 评价工作组将评价结果向被评价单位进行反馈,由被评价单位各流程负责人确认。对审查过程中发现的内部控制缺陷,督促相关责任部门制定整改措施和整改时间,并进行内部控制的后续审查,监督整改措施的落实情况。
第五章 内部控制缺陷认定与整改
第十八条 公司对内部控制缺陷的认定,以日常监督和专项监督为基础,以结合年度内部控制评价为主,由内审部进行综合分析后提出认定意见,报审计委员会审核后由董事会予以最终认定。
第十九条 内部控制缺陷的分类
(一)按照内部控制缺陷成因或来源,内部控制缺陷分为设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。 (二)按照影响公司内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一个或多个关键控制缺陷的组合,可能导致公司严重偏离控制目标。重要缺陷,是指一个或多个重要控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致公司偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。 (三)按照影响内部控制目标的具体表现形式,内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制缺陷。 财务报告内部控制缺陷,是指在会计确认、计量、记录和报告过程中出现的,对财务报告的真实性和完整性产生直接影响的控制缺陷。 非财务报告内部控制缺陷,是指虽不直接影响财务报告的真实性和完整性,但对公司经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。
第二十条 内部控制缺陷认定标准:公司董事会或审计委员会根据《内部控制基本规范》及评价指引,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,从定量和定性两个维度研究确定适用本公司的内部控制缺陷具体认定标准。
第二十一条 内部控制评价工作组建立评价质量交叉复核制度,评价工作组负责人对评价工作底稿进行严格审核,并对所认定的评价结果书面确认后,由内审部存档。
第二十二条 内审部编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷由董事会予以最终认定。
第二十三条 对于认定的重大缺陷,公司应及时采取应对策略,明确整改责任人、整改措施及整改工作时间要求,切实将风险控制在可承受度之内。缺陷整改责任人应积极落实整改措施,在《内部控制自我评价报告》基准日前将缺陷整改到位,并严格
落实规范性要求。第二十四条 缺陷整改责任人必须在不晚于内部控制评价报告日的规定时间内提交书面整改报告,整改报告内容至少包括:整改开始时间、已采取的整改措施、整改后运行时间等;若涉及《内部控制自我评价报告》基准日前未完成整改的重大缺陷,则整改报告内容还应包括拟采取的具体整改计划、整改责任人、预计完成时间等。第二十五条 公司对于认定的重大缺陷,应追究有关责任单位或者责任人的责任。第二十六条 报告期内若发现公司内部控制存在重大缺陷的,公司在年度报告“公司治理”章节中披露具体情况,包括缺陷发生的时间、对缺陷的具体描述、缺陷对财务报告的潜在影响,已实施或拟实施的整改措施、整改时间、整改责任人及整改效果。公司若按要求披露内控评价报告的,应在年度报告“公司治理”章节中提供相应的查询索引。
第二十七条 公司将内部控制制度的健全完备和有效执行情况,作为对公司各部门(含分支机构)、控股子公司的绩效考核重要指标之一。
第六章 内部控制自我评价报告
第二十八条 公司严格按照《企业内部控制评价指引》的要求做好内部控制评价工作,并按照《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》的要求,编制年度内控评价报告。
第二十九条 《内部控制自我评价报告》分别以内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。第三十条《内部控制自我评价报告》至少披露下列内容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据;
(四)内部控制评价的范围;
(五)内部控制评价的程序和方法;
(六)内部控制缺陷及其认定情况(如适用);
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施(如适用);
(八)内部控制有效性的结论(即:内部控制制度是否建立健全和有效实施);
(九)上一年度内部控制存在的缺陷和异常事项的改进情况(如适用)。
第三十一条 公司根据内部控制评价结果,结合内部控制评价工作底稿和内部控制
缺陷汇总表等资料,按照规定的程序和要求,及时编制《内部控制自我评价报告》。第三十二条 公司董事会在审议年度财务报告等事项的同时,对《内部控制自我评价报告》形成决议。监事会和独立董事对《内部控制自我评价报告》发表意见。内审部关注内部控制自我评价报告基准日至《内部控制自我评价报告》发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。第三十三条 《年度内部控制自我评价报告》经董事会审议通过后,与年度报告一并对外披露,并披露会计师事务所对内部控制自我评估报告的核实评价意见。
第三十四条 若会计师事务所出具非标准意见的内部控制审计报告或者内部控制审计报告与董事会的内控评价报告意见不一致的,公司应当在年度报告“公司治理”章节中予以说明,并解释原因。
第三十五条 公司使用上海证券交易所提供的公告编制软件,编写年度内控评价报告或关于未披露内控评价报告的说明,并通过上海证券交易所公司业务管理系统提交。
第三十六条 公司以12月31日作为年度《内部控制自我评价报告》的基准日。
第七章 附则
第三十七条 本制度未尽事宜,依照国家有关法律、法规、规范性文件以及公司章程的有关规定执行。本制度与有关法律、法规、规范性文件以及公司章程的有关规定不一致的,以有关法律、法规、规范性文件以及公司章程的规定为准。
第三十八条 本制度自董事会审议通过之日起生效并执行,修改时亦同。
第三十九条 本制度由董事会负责修订和解释。
泽达易盛(天津)科技股份有限公司
2020年8月