山东新能泰山发电股份有限公司
内部控制评价管理办法
(经公司2022年4月26日召开的第九届董事会第十次会议审议通过)
第一章 总 则第一条 为促进山东新能泰山发电股份有限公司(以下简称“公司”)内部控制评价工作,规范内部控制评价程序和评价报告,揭示和防范风险,根据《企业内部控制基本规范》、《企业内部控制评价指引》等有关法律法规,结合公司的实际情况,制定本办法。
第二条 本办法所称内部控制评价,是指公司董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 内部控制评价原则
(一)全面性原则。评价工作应当包括内部控制的设计与执行,涵盖公司及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应依据风险和控制的具体情况,在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与执行的有效性。
(四)一致性原则。评价工作应当采用统一可比的评价方法和标准,确保内部控制评价底稿、异常发现清单、缺陷清单及内部控制评价报告等的可比性。
(五)及时性原则。评价工作应在规定的时间内及时完成,当经营管理环境发生重大变化时应及时评价。
(六)成本效益原则。内部控制评价应以适当的成本实现科学有效的评价。
第四条 本办法适用于公司本部及系统各单位(含分公司、参股企业、委托管理企业、投资监管企业等),系统各单位可根据本单位的实际情况相应制定相关制度办法或实施细则,并按照本单位法人治理结构经有权决策机关审议批准实施。
第二章 职责分工
第五条 公司董事会是公司内部控制评价工作的最高决策机构和最终责任者,负责审批公司内部控制评价管理制度,审批内部控制评价报告,批准涉及内部控制重大缺陷、重要缺陷的整改意见以及决定内部控制评价和检讨工作的合理性和充分性等。
第六条 公司董事会授权董事会审计委员会负责内部控制评价的领导、组织、监督工作,其主要职责包括:
(一)指导内部控制评价制度建设;
(二)审议内部控制评价报告;
(三)审议批准公司内部控制重大缺陷的认定意见、责任追究处理意见以及整改意见;
(四)协调公司经理层安排足够行政资源推进内部控制评价工作和缺陷整改工作。
第七条 公司监事会审议内部控制评价报告,对董事会
建立与实施内部控制进行监督。
第八条 公司内部控制领导小组的主要职责包括:
(一)审议《内部控制评价管理办法》;
(二)审议批准公司内部控制重要缺陷及一般缺陷的认定意见、责任追究处理意见以及整改意见;
(三)审议批准公司内部控制评价方案;
(四)审议公司内部控制评价报告;
(五)指导内部控制评价开展和缺陷整改工作;
(六)协调内部控制评价和缺陷整改中的重要问题。
第九条 公司经理层应支持内部控制评价的实施,并对内部控制评价所发现的问题做出整改完善决策,其主要职责包括:
(一)负责组织实施内部控制评价工作,并积极支持和配合内部控制评价的开展,创造良好的环境和条件;
(二)经理层结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项;
(三)听取内部控制评价报告;
(四)对于内部控制评价中发现的问题或报告的缺陷,要按照董事会或董事会审计委员会的整改意见积极采取有效措施予以整改。
第十条 公司内部审计机构负责内部控制评价的管理和组织实施工作,主要职责包括:
(一)制订并定期修订公司《内部控制评价管理办法》等相关制度;
(二)负责编制公司内部控制缺陷认定标准;
(三)负责编制公司内部控制评价方案,并对所属企业内部控制评价方案的编制和上报时间等作出具体要求;
(四)负责组织开展公司本部内部控制评价工作,编制公司本部内部控制评价报告。针对内部控制缺陷,配合内控制度建设归口部门督促公司各部门进行整改;指导、监督和检查各单位的内部控制评价工作;
(五)不定期抽查所属各基层企业的内部控制评价工作,针对具体内部控制缺陷,协调有关单位的负责部门督促各单位进行整改;
(六)负责分析汇总各单位内部控制评价结果。
第十一条 公司各部门配合内部审计机构开展内部控制评价工作,主要职责包括:
(一)配合开展内部控制评价工作,提供相关资料;
(二)对内部控制评价过程中发现的内部控制缺陷进行整改,并及时报送缺陷整改情况。
第十二条 各单位的主要职责包括:
(一)负责制定及定期修订本单位的内部控制缺陷认定标准并上报备案;
(二)明确本单位内部控制评价归口管理部门及其职责,并与内部控制建设部门进行适当职责分离;
(三)负责本单位的内部控制评价工作,编制内部控制评价底稿、异常发现清单、缺陷清单及内部控制评价报告并上报;
(四)对内部控制评价过程中发现的内部控制缺陷进行整改,并及时上报缺陷整改计划及整改情况;
(五)配合上级公司组织的内部控制评价抽查工作,提供相关资料;
第三章 内部控制评价的内容
第十三条 内部控制评价工作主要依据公司内部控制制度和工作程序,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制设计和执行情况进行全面评价。
第十四条 内部环境是公司实施内部控制的基础。公司组织开展组织架构、发展战略、人力资源、企业文化、社会责任等内部环境评价,结合公司的内部控制制度,对内部环境的设计及实际执行情况进行认定和评价。
第十五条 风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的过程。风险评估评价的内容包括目标设定、信息收集、风险识别、风险分析、风险应对等。
第十六条 控制活动是公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内,达到控制目标的全过程。控制活动评价对各项业务处理程序的授权批准、职责分工、实物控制、凭证与记录的设置和运用、独立检查程序等控制措施的设计与执行情况进行认定和评价。
第十七条 信息与沟通是公司及时准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之
间进行有效沟通。信息与沟通评价对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十八条 内部监督是公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进的过程。内部监督评价对内部监督机制的有效性进行认定和评价,重点关注监事会、董事会审计委员会、内部审计机构等是否在内部控制设计和执行中有效发挥监督作用。
第十九条 内部控制评价工作应形成工作底稿,详细记录公司执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第二十条 公司设计了内部评价核心指标体系及相应的参考标准(见附件)。具体评价内容在公司建立的内部控制核心指标体系的基础上展开。
第二十一条 工作底稿是通过一系列评价表格来体现的,通过对每个要素核心指标的分别分解、评价,最终汇总出评价结果。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。
第四章 内部控制评价的程序
第二十二条 内部控制评价程序一般包括:制订评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。
第二十三条 制订评价工作方案。
(一)每年年末,内部审计机构根据公司内部监督情况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,制订科学合理的内部控制评价工作方案,经内部控制领导小组批准后实施。
(二)评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。
(三)评价工作方案既以全面评价为主,也可以根据需要采用重点评价或专项评价的方式。
第二十四条 组成评价工作组。
(一)公司内部审计机构应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。
(二)评价工作组成员由对公司内部相关机构熟悉情况、参与日常监控的负责人或业务骨干组成。评价人员具备独立性、业务胜任能力和职业道德素养。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
(三)公司根据情况可以委托中介机构实施内部控制评价检查工作。为公司提供内部控制审计服务的会计师事务所,不得同时为公司提供内部控制评价服务。
第二十五条 实施现场测试
(一)了解被评价单位基本情况。评价工作组与被评价单位进行充分沟通,了解其经营业务范围、企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工、评价期间内生产经营计划和预算完成情况、财务管理核算体
制、内部控制工作概况、最近一年内部监督(包括内部控制评价)发现问题的整改情况等。
(二)确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
(三)开展现场检查测试。评价工作组根据评价人员分工,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等各种评价方法对内部控制设计与执行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。
评价人员应遵循客观、公正、公平原则,如实反映检查测试中发现的问题,并及时与被评价单位进行沟通。
评价工作中成员之间应注意互相沟通、协调,以获取更有价值的发现。
第二十六条 汇总评价结果、编制评价报告
(一)评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认。
(二)评价工作组对初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺
陷等级。
(三)评价工作组以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送公司经理层、董事会和监事会,由董事会最终审定后对外披露。
第二十七条 报告反馈和跟踪
对于认定的内部控制缺陷,内部审计机构应当结合董事会和董事会审计委员会要求,提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,公司应当追究相关人员的责任。
第五章 内部控制缺陷的认定
第二十八条 按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和执行缺陷。
(一)设计缺陷是指公司缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常执行也难以实现控制目标。
(二)执行缺陷是指设计有效(合理且适当)的内部控制由于执行不当(包括由不恰当的人执行、未按设计的方式执行、执行的时间或频率不当、没有得到一贯有效执行等)而形成的内部控制缺陷。
(三)内部控制存在设计缺陷和执行缺陷,会影响内部控制的设计有效性和执行有效性。
第二十九条 按照影响公司内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
(一)重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。
(二)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致公司偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。
(三)一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。
(四)将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要内部控制评价人员充分运用职业判断。
第三十条 按照具体影响内部控制目标的具体表现形式,还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
第三十一条 内部控制缺陷的认定标准
内部控制缺陷的认定标准以战略目标、经营目标、财务报告目标、资产安全目标以及合法合规目标五个维度为核心。
第三十二条 内部控制缺陷的认定标准包括定性标准和定量标准:
定性标准,按照公司规定,具有以下特定的缺陷,至少定为重大缺陷:(一)发现公司管理层存在的任何程度的舞
弊;(二)已经发现并报告给管理层的重大内部控制缺陷在经过合理的时间后,并未加以改正;(三)控制环境无效;(四)影响收益趋势的缺陷;(五)影响关联交易总额超过股东会批准的关联交易额度的缺陷;(六)外部审计发现的重大错报不是由公司首先发现的;(七)其他可能影响报表使用者正确判断的缺陷。
定量标准,即涉及金额大小,即可以造成直接损失的绝对金额制定,也可以根据造成直接损失的绝对金额制定,也可以根据直接损失占本公司资产总额、销售收入及利润等的比率确定。定量标准应以营业收入、利润总额、资产总额三个维度作为确定内部控制缺陷认定标准的依据。
第三十三条 内部控制缺陷的认定采取定性标准和定量标准相结合的方式开展。在内部控制五个目标中,影响财务报告目标和资产安全目标的内部控制缺陷的认定主要以定量标准为主,定性标准为辅;影响公司战略目标、经营目标、合法合规目标的内部控制缺陷的认定主要以定性标准为主,并对定量标准进行综合考虑。
第三十四条 内部控制缺陷的报告与整改
(一)内部控制缺陷报告的格式和途径
(1)内部控制缺陷报告应当采取书面形式,可以单独报告,也可以作为内部控制评价报告的一个重要组成部分。
(2)内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。
(3)对于重大缺陷和重要缺陷及整改方案,应向董事
会审计委员会、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形,如存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之上的情形,应当直接向董事会审计委员会、监事会报告。
(4)重要缺陷并不影响公司内部控制的整体有效性,但是应当引起董事会和管理层的重视。对于一般缺陷,可以向内部控制领导小组组长报告,并视情况考虑是否需要向董事会审计委员会、监事会报告。
(二)内部控制缺陷整改方案及期限
(1)对于认定的内部控制缺陷,公司经理层应当按照公司董事会和董事会审计委员会的要求,组织整改并向董事会审计委员会及时通报整改情况;内部控制缺陷已经造成损失或负面影响的,应当追究有关部门或相关人员的责任。
(2)内部审计机构应当就发现的内部控制缺陷提出整改建议,并报内部控制领导小组、董事会审计委员会批准。
(3)获批后,应制订切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。
(4)整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。
(5)在整改工作中遇到协调困难甚至阻碍的,内部审计机构有权直接向董事会审计委员会报告,董事会审计委员会应给予足够的支持和帮助。
第六章 内部控制评价报告
第三十五条 内部控制评价报告应当分别就内部环境、
风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
第三十六条 内部控制评价对外报告一般包括以下内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
第三十七条 内部控制评价报告的编制和报送
(一)内部控制评价报告的编制时间
(1)公司内部控制评价报告分为定期内部控制评价报告和非定期内部控制评价报告。
(2)公司以每年12月31日作为基准日定期进行内部控制评价并发布内部控制评价报告。内部控制评价报告应当于次年的第一季度内向公司董事会提交,并于基准日后4 个月内报出。
(3)非定期内部控制评价报告是因特殊事项或原因而对外发布的内部控制评价报告。
(二)内部控制评价报告的编制主体
(1)内部控制评价报告的编制主体包括公司本部和所属各单位。
(2)所属单位内部控制评价报告属于对内报告;公司在对各单位及本部评价报告汇总、复核、评价、分析后,以合并范围编制内部控制评价报告,是对整个公司内部控制设计有效性和执行有效性的总体评价,可以是对内或对外报告。
(三)内部控制评价报告的编制程序:
(1)内部审计机构对工作底稿进行复核,根据认定并按照规定的权限和程序审批确定的内部控制缺陷,判断内部控制的有效性。
(2)内部审计机构搜集整理编制内部控制评价报告所需的相关资料。
(3)内部审计机构根据有关资料撰写内部控制评价报告。
(4)内部控制评价报告上报经理层审核、董事会审批后确定。
(四)评价报告的报送
公司内部控制评价报告应按规定报送公司信息披露归口部门。
第三十八条 内部控制评价报告的披露和使用
(一)评价报告的披露
根据有关规定,公司向社会披露内部控制评估报告,满足投资者及利益相关者了解公司治理水平、管理规范化和抵御各类风险的能力的需要,更好地服务于他们做出投资决策
和相关决策。
(二)评价报告的使用
(1)公司内部控制评价对外报告的使用者包括政府有关监管部门、投资者以及其他利益相关者、中介机构和研究机构等。
(2)对内报告主要是公司董事会审计委员会、各层级管理者以及有关监管部门。
(三)在使用内部控制评价报告时,应注意与内部控制注册会计师审计报告、内部控制监管信息、财务报告信息等相关信息结合使用,以起到全面分析、综合判断、相互验证的效果。
第三十九条 根据工作档案管理制度的规定,内部控制评价的有关文件资料、工作底稿和证明材料等由公司内部审计机构负责整理归档并妥善保管。
第七章 内部控制评价的监督及奖惩
第四十条 公司所有内部控制评价活动都由董事会或董事会审计委员会统一负责监督,如相关单位对检查评价的过程或结果的公正性存在质疑,可以向董事会或董事会审计委员会反映。
第四十一条 公司管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。
第八章 附 则
第四十二条 本办法由公司负责解释。
第四十三条 本办法自印发之日起施行,原《山东新能泰山发电股份有限公司内部控制评价管理办法》予以废止。
附件:内部控制评价核心指标
内部控制评价核心指标
| 核心指标 | 参考标准 |
| 一、内部环境 | |
| (一)组织架构 | |
| 董事会、监事会、经理层的相互制衡 | 董事会及各专门委员会、监事会和经理层的职责权限、任职资格和议事规则是否明确并严格履行 |
| 董事会、监事会、经理层致力于内部控制建设和执行 | 1.是否科学界定了董事会、监事会、经理层在建立与实施内部控制中的职责分工 |
| 2.董事会是否采取必要的措施促进和推动公司内部控制工作,按照职责分工提出内部控制评价意见,定期听取内部控制报告,督促内部控制整改,修订内部控制要求 | |
| 组织机构设置科学、精简、高效、透明、权责匹配、相互制衡 | 1.组织机构设置是否与公司业务特点相一致,能够控制各项业务关键控制环节,各司其职、各尽其责,不存在冗余的部门或多余的控制 |
| 2.是否明确了权责分配、制定了权限指引并保持权责行使的透明度 | |
| 组织架构适应性 | 是否定期梳理、评估公司治理结构和内部机构设置,发现问题及时采取措施加以优化调整,是否定期听取董事、监事、高级管理人员和其他员工的意见,按照规定的权限和程序进行决策审批 |
| 组织架构对子公司的控制力 | 是否通过合法有效的形式履行出资人职责、维护出资人权益,特别关注异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项 |
| (二)发展战略 | |
| 发展战略科学合理,既不缺乏也不激进,且实施到位 | 1.公司是否综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素制定科学合理的发展战略 |
| 2.是否根据发展目标制定战略规划,确定不同发展阶段的具体目标、工作任务和实施路径 | |
| 3.是否设立战略委员会或指定相关机构负责发展战略管理工作,是否明确战略委员会的职责和议事规则并按规定履行职责 | |
| 4.是否对发展战略进行可行性研究和科学论证,并报董事会和股东(大)会审议批准 | |
| 核心指标 | 参考标准 |
| 发展战略有效实施 | 1.是否制定年度工作计划,编制全面预算,确保发展战略的有效实施 |
| 2.是否采取有效方式将发展战略及其分解落实情况传递到内部各管理层级和全体员工 | |
| 发展战略科学调整 | 是否及时监控发展战略实施情况,并根据环境变化及风险评估等情况及时对发展战略做出调整 |
| (三)人力资源政策 | |
| 人力资源结构合理、能够满足公司需要 | 1.人力资源政策是否有利于公司可持续发展和内部控制的有效执行 |
| 2.是否明确各岗位职责权限、任职条件和工作要求,选拔是否公开、公平、公正,是否因事设岗、以岗选人 | |
| 人力资源开发机制健全有效 | 1.是否制定并实施关于员工聘用、培训、辞退与辞职、薪酬、考核、健康与安全、晋升与奖惩等方面的管理制度 |
| 2.是否建立员工培训长效机制,培训是否能满足职工和业务岗位需要,是否存在员工知识老化 | |
| 人力资源激励约束机制健全有效 | 1.是否设置科学的业绩考核指标体系,并严格考核评价,以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据 |
| 2.是否存在人才流失现象 | |
| 3.是否对关键岗位员工有强制休假制度或定期轮岗制度等方面的安排 | |
| 4.是否对掌握国家秘密或重要商业秘密的员工离岗有限制性的规定 | |
| 5.是否将有效执行内部控制纳入公司绩效考评体系 | |
| (四)社会责任 | |
| 安全生产体系、机制健全有效 | 1.是否建立严格的安全生产管理体系、操作规范和应急预案,切实做到安全生产 |
| 2.是否落实安全生产责任,对安全生产的投人,包括人力、物力等,是否能保证及时发现、排除生产安全隐患 | |
| 3.发生生产安全事故,是否妥善处理,排除故障,减轻损失,追究责任。是否有迟报、谎报、瞒报重大生产安全事故现象 | |
| 产品质量体系健全有效 | 是否建立严格的产品质量控制和检验制度并严格执行.是否有良好的售后服务,能够妥善处理消费者提出的投诉和建议 |
| 核心指标 | 参考标准 |
| 促进就业和保护员工权益 | 1.是否依法保护员工的合法权益,保持工作岗位相对稳定,积极促进充分就业 |
| 2.是否实现按劳分配、同工同酬、建立科学的员工薪酬制度和激励机制,是否建立高级管理人员与员工薪酬的正常增长机制 | |
| 3.是否及时办理员工社会保险,足额缴纳社会保险费 | |
| 4.是否维护员工健康,落实休息休假制度 | |
| 5.是否积极开展员工职业教育培训,创造平等发展机会 | |
| (五)企业文化 | |
| 企业文化具有凝聚力和竞争力,促进公司可持续发展 | 1.是否采取切实有效的措施,积极培育具有自身特色的企业文化,打造以主业为核心的企业品牌,促进公司长远发展 |
| 2.公司董事、监事、经理及其他高级管理人员是否在文化建设和履行社会责任中起到表率作用,是否促进文化建设在内部各层级的有效沟通 | |
| 3.是否做到文化建设与发展战略的有机结合,使员工自身价值在公司发展中得到充分体现 | |
| 4.是否重视并购重组后的企业文化建设,平等对待被并购方的员工,促进并购双方的文化融合 | |
| 企业文化评估具有客观性、实效性 | 1.是否建立企业文化评估制度,重点对董事、监事、经理和其他高级管理人员在企业文化建设中的责任履行情况、全体员工对公司核心价值观的认同感、公司经营管理行为与企业文化的一致性、公司品牌的社会影响力、参与公司并购重组各方文化的融合度,以及员工对公司未来发展的信心做出评估 |
| 2.是否针对评估结果是否巩固和发扬文化建设成果,进而研究影响企业文化建设的不利因素,分析深层次的原因,及时采取措施加以改进 | |
| 二、风险评估 | |
| 目标设定 | 1.公司层面,是否有明确的目标、目标是否具有广泛的认识基础、公司战略是否与公司目标相匹配 |
| 2.业务层面,各业务层面目标是否与公司目标一致、各业务层面目标是否衔接一致、各业务层面目标是否具有操作指导性 | |
| 3.是否结合公司的风险偏好,确定相应的风险承受度 | |
| 核心指标 | 参考标准 |
| 风险识别 | 1.目标是否层层分解并确立关键业务或事项 |
| 2.是否持续性的收集相关信息,内外部风险识别机制是否健全,是否识别影响公司目标实现的风险 | |
| 3.是否根据关键业务或事项分析关键成功因素 | |
| 4.是否识别影响公司目标实现的风险 | |
| 风险分析 | 1.风险分析技术方法的适用性 |
| 2.结合风险发生可能性和影响程度标准划分风险等级的准确性 | |
| 3.风险发生后负面影响判断的准确性 | |
| 风险应对 | 1.风险应对策略与公司战略、企业文化的一致性 |
| 2.风险承受度与风险应对策略的匹配程度 | |
| 三、控制活动 | |
| (一)控制活动的设计 | |
| 控制措施足以覆盖公司重要风险,不存在控制缺失、控制过度 | 1.是否针对公司内部环境设立了相应的控制措施 |
| 2.各项控制措施的设计是否与风险应对策略相适应 | |
| 3.各项主要业务控制措施是否完整、恰当 | |
| 4.是否针对非常规性、非系统性业务事项制定相应的控制措施并定期对其执行情况进行检查分析 | |
| 5.是否建立重大风险预警机制和突发事件应急处理机制,相关应急预案的处置程序和处理结果是否有效 | |
| (二)控制活动的执行 | |
| 控制活动执行符合控制措施规定 | 针对各类业务事项的主要风险和关键环节所制定的各类控制方法和控制措施是否得以有效实施 |
| 四、信息与沟通 | |
| 信息收集处理和传递及时、准确、适用 | 是否有透明高效的信息收集、处理、传递程序,合理筛选、核对、整合与经营管理和内部控制相关信息 |
| 反舞弊机制健全 | 1.是否建立健全并有效实施反舞弊机制 |
| 2.举报投诉制度和举报人保护制度是否及时、准确传达至公司全体员工 | |
| 3.对舞弊事件和举报所涉及的问题是否及时、妥善地作出处理 | |
| 核心指标 | 参考标准 |
| 沟通顺畅 | 1.信息在公司内部各层级之间、公司与外部有关方面之间的沟通是否有效 |
| 2.董事会、监事会和经理层是否能够及时掌握经营管理和内部控制的重要信息并进行应对 | |
| 3.员工诉求是否有顺畅的反映渠道 | |
| 利用信息化程度 | 1.公司是否建立与经营管理相适应的信息系统,利用信息技术提高对业务事项的自动控制水平 |
| 2.在信息系统的开发过程中,是否对信息技术风险进行识别、评估和防范 | |
| 3.信息系统的一般控制是否涵盖信息系统开发与维护、访问与变更、数据输人与输出、文件储存与保管、网络安全、硬件设备、操作人员等方面,确保信息系统安全稳定执行 | |
| 4.信息系统的应用控制是否紧密结合业务事项进行,利用信息技术固化流程、提高效率、减少或消除人为操纵因素 | |
| 5.信息系统是否建立并保持相关信息交流与沟通的记录 | |
| 五、内部监督 | |
| 内部监督能够覆盖并监控公司日常业务活动 | 1.管理层是否定期与内部控制机构沟通评价结果,并积极整改 |
| 2.是否落实职能部门和所属单位在日常监督中的责任,及时识别环境和业务变化 | |
| 3.日常监督的内容是否为经过分析确认的关键控制并有效控制,是否按重要程度将发现问题如实反馈给内部控制机构,是否积极采取整改 | |
| 4.日常监督用以证明内部控制有效性的信息是否适当和充分,监督人员是否具有胜任能力和客观性 | |
| 5.内部审计的独立性是否得以保障,董事会审计委员会和内部审计机构是否独立、充分地履行监督职责,审计监督与内部控制沟通是否顺畅 | |
| 6.是否开展了必要的专项监督 | |
| 7.内部控制机构是否追踪重大风险和重要业务,是否制定内部控制自我评价办法和考核奖惩办法,明确评价主体、职责权限、工作程序和有关要求,定期组织开展内部控制自我评价,报送自我评价报告,合理认定内部控制缺陷并分析原因,提出整改方案建议 | |
| 核心指标 | 参考标准 |
| 内部控制缺陷认定科学、客观、合理,且报送机制健全 | 1.内部控制机构是否制定科学的内部控制缺陷认定标准并予以一贯的执行 |
| 2.是否对控制缺陷进行全面、深人地研究分析,提出并实施整改方案,采取适当的形式及时向董事会、监事会或者经理层报告,督促业务部门整改,重大缺陷并按规定予以披露 | |
| 3.对发现的内部控制重大缺陷,是否追究相关责任单位和责任人的责任 | |
| 4.是否建立内部控制缺陷信息数据库,并对历年发现的内部控制缺陷及其整改情况进行跟踪检查 | |
| 内部控制建设与评价文档妥善保管 | 1.是否采取书面或其他适当方式对内部控制的建立与实施情况进行记录 |
| 2.是否妥善保存内部控制相关记录和资料,确保内部控制建立与实施过程的可验证性 | |
| 3.对暂未建立健全的有关内部控制文档或记录,是否有证据表明确已实施了有效控制或者替代控制措施。 |