内蒙古天首科技发展股份有限公司
内部控制评价制度(经公司2022年3月22日董事会审议通过)
第一章 总 则第一条 为了内蒙古天首科技发展股份有限公司(以下简称“公司”)自我完善内控体系、提升企业市场形象和公众认可度、实现与市场监管的协调互动、对内部控制有效性发表意见。根据《企业内部控制基本规范》《企业内部控制评价指引》《企业内部控制规范讲解》《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》等有关法律法规,制定了本制度。第二条 内部控制评价是指公司董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。第三条 内部控制评价的原则:
(一)全面性原则。全面性原则强调的是内部控制评价的涵盖范围需要全面,具体来说,是指内部控制评价工作需要包括内部控制的设计与运行,涵盖公司及其所属公司的各种业务和事项;
(二)重要性原则。重要性原则强调内部控制评价需要在全面性的基础之上,着眼于风险,突出重点。具体来说,主要体现在制订和实施评价工作方案、分配评价资源的过程之中,它的核心要求主要包括两个方面:一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点;二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位;
(三)客观性原则。客观性原则强调内部控制评价工作需要准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制定、实施的全过程中始终坚持客观性,才能保证评价结果的客观性。
第四条 内部控制评价是对内部控制有效性发表意见,内部控制有效性是指建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
第五条 内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与
沟通、内部监督五要素进行。
(一)内部环境评价包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行;发展战略可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行;人力资源评价需要重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行;企业文化评价应从建设和评估两方面进行,从而促进诚信、道德价值观的提升,为内部控制的完善夯实人文基础;社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行;
(二)风险评估评价是对日常经营管理过程中的目标设定与落实、风险识别和评估、风险分析与报告、风险监测与应对策略等进行认定和评价;
(三)控制活动评价是对公司各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价;
(四)信息与沟通评价是对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价;
(五)内部监督评价是对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。
第六条 公司本部及控股子公司依照本规定接受内部控制评价监督。
第二章 岗位职责与权限
第七条 公司审计部具有独立行使对内部控制系统建立与运行过程、结果进行监督的权力。
第八条 内审人员应具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养。
第九条 审计部负责内部控制评价的组织实施工作:
(一)对公司各内部机构、控股子公司以及对公司具有重大影响的参股公司的内部控制制度的完整性、合理性及其实施的有效性进行检查和评估;
(二)对公司各内部机构、控股子公司以及对公司具有重大影响的参股公司的会计资料及其他有关经济资料,以及所反映的财务收支及有关的经济活动的合
法性、合规性、真实性和完整性进行审计,包括但不限于财务报告、业绩快报、自愿披露的预测性财务信息等;
(三)协助建立健全反舞弊机制,确定反舞弊的重点领域、关键环节和主要内容,并在内部审计过程中合理关注和检查可能存在的舞弊行为;
(四)至少每季度向董事会或者审计委员会报告一次,内容包括但不限于内部审计计划的执行情况以及内部审计工作中发现的问题;并至少每年向其提交一次内部审计报告;
(五)组织编写内部控制评价报告;
(六)与外部审计师沟通,督促各部门、控股子公司对内、外部内控评价进行整改;
审计部对审查过程中发现的内部控制缺陷,应当督促相关责任部门制定整改措施和整改时间,并进行内部控制的后续审查,监督整改措施的落实情况。
审计部在审查过程中如发现内部控制存在重大缺陷或者重大风险,应当及时向董事会或者审计委员会报告。
审计部与公司其他职能部室就监督与评价内部控制系统方面保持协调一致,在工作中相互配合、相互制约,在效率效果上满足公司对内部控制系统进行监督与评价所提出的有关要求;
公司董事会和经营层的职责是支持,授予审计部足够的权限来保证内部控制评价工作的顺利开展。
第十条 审计部主管领导负责组织内部控制评价工作,审计委员会对内部控制评价工作进行领导和监督。审计委员会和主管领导负责审议内部控制评价报告,董事会审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。
第十一条 经营层负责结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项,审定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或报告的缺陷,应按照监事会或审计委员会的整改意见积极采取有效措施予以整改。
第十二条 各部门负责组织本部门的内控自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送审计部复核,配合审计部及外部审计师开展公司层面的内控评价工作。
第十三条 公司控股子公司,负责逐级落实内部控制评价责任,建立日常监控机制,开展内控自查、测试和定期检查评价,发现问题并认定内部控制的缺陷,需拟订整改方案和计划,报控股子公司经营层审定后,督促整改,编制内部控制评价报告,对内部控制的执行和整改情况进行汇总报告。
第三章 内部控制评价管理
第十四条 公司应根据自身经营特点制定年度内部控制检查监督计划,并作为评价内部控制运行情况的依据。
第十五条 公司内部控制评价需要以经营和管理活动为重点,主要关注:资金的筹集、投放和营运过程是否存在资金链断裂;收购和出售资产是否存在舞弊行为、资产运行中是否存在效能低下或资产流失;采购与销售环节是否存在舞弊行为;研发项目是否经过科学论证;工程项目是否存在商业贿赂;业务外包环节承包方选择是否合规、合理、能否发挥业务外包专业优势等。
第十六条 内部评价应该重点关注的控制活动主要包括:控股子公司的管理控制、关联交易的内部控制、从事衍生品交易的内部控制、提供财务资助的内部控制、对外担保的内部控制、募集资金使用的内部控制、委托理财的内部控制、重大投资的内部控制、信息披露的内部控制,以及业务外包的内部控制等。
第十七条 公司内部控制评价需要兼顾控制手段,至少关注:全面预算是否具有约束力;合同履行是否存在纠纷;信息系统是否与内部控制有机结合;内部报告是否及时传递和有效沟通等。
第十八条 公司审计部具体组织实施内部控制评价工作,直接对董事会、审计委员会、公司领导负责,定期或不定期检查公司内部控制体系,评估其设计和执行的效果、效率,并及时结合董事会、审计委员会、公司领导要求提出改进建议。审计部依据本制度制定评价方案,组成评价工作组,明确分工和进度安排,采取现场检查等方式开展全面内部控制评价。
第十九条 根据实际情况,公司可要求各职能部室和控股子公司建立内部控制自查机制,并积极配合审计部的内部控制评价工作。审计部根据内部控制自评实施细则进行审阅和抽测。在需要的情况下,公司可以借助中介机构或外部专家实施内部控制评价,参与公司内部控制评价的中介机构不得同时为公司提供内部控制审计服务。
第二十条 审计部开展内部控制评价,需要编制工作底稿。工作底稿需要由评价人员填写、记录相关测试结果并对发现的内部控制缺陷进行初步认定,评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。
第二十一条 评价工作组对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第二十二条 评价工作组研究认定的内部控制缺陷,按照规定的权限和程序报经审批后确定。
第二十三条 公司对内部控制缺陷进行综合判断,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。
(一)重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标的情形;
(二)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标的情形;
(三)一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。
第二十四条 公司建立内部控制缺陷整改机制,明确内部各管理层级和公司整改的职责分工,确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。
第二十五条 评价工作组就发现的内部控制缺陷提出整改建议,并报经营层、董事会(审计委员会)、监事会批准。获批后,应制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。
第二十六条 评价工作组按照整改方案要求责任部门或控股子公司及时整改,并跟踪其整改落实情况、反馈跟踪意见;对已经造成损失或负面影响的,公司应追究相关人员的责任。
第二十七条 审计部在年度结束后向董事会、审计委员会提交内部控制评价报告;公司董事会或者其审计委员会应当根据内部审计部门出具的评价报告及相关资料,对与财务报告和信息披露事务相关的内部控制制度的建立和实施情况出具年度内部控制评价报告。
第二十八条 内部控制评价报告与公司年报同时披露,至少包括如下内容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制缺陷及其认定情况;
(五)对上一年度内部控制缺陷的整改情况;
(六)对本年度内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
第二十九条 建立内部控制评价工作档案管理制度。检查监督部门的工作资料,包括内部控制检查监督工作报告、工作底稿及相关资料,保存时间不少于十年。
第三十条 各部门在内控制度执行过程中,发现的问题,需各部门以请示的方式提出完善方案,报部门负责人审核,审计部进行进一步调查、研究后,组织相关部门进行内控制度的修订。
第四章 附则
第三十一条 本规定由公司审计部负责解释。
第三十二条 本规定自公司董事会审议通过之日起生效并实施。