云南旅游股份有限公司内部控制评价管理办法
第一章 总 则第一条 为规范云南旅游股份有限公司(以下简称:公司)内部控制评价工作,促进内控自我评价工作有序开展,及时发现公司内控缺陷,提出和实施改进方案,确保内部控制有效运行,根据公司《内部控制制度》、《内部审计制度》,制定本办法。第二条 本办法所称内部控制评价,是指公司董事会及所属审计委员会对公司内部控制设计和运行的有效性进行全面评价、进而发现缺陷、提出整改措施或建议,出具评价报告、形成评价结论,促进内控体系得到有效执行、持续改进的过程。第三条 本办法适用于公司及所属企业的内部控制评价。第四条 内部控制评价应当遵循下列原则:
(一)全面性原则:评价工作包括内部控制的设计与运行,涵盖公司及其所属企业的各种业务和事项。
(二)重要性原则:评价工作在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则:评价工作准确地揭示经营管理的风险状况,如实反映内部控制设计与运行有效性。
(四)以风险为导向的原则:评价工作以风险为基础,根据风险发生的可能性和对内控目标影响的程度确定需要评价的重点业务单元、重要业务领域和重要流程环节。
(五)成本效益原则:内部控制评价工作将权衡实施成本与预期效益的关系,以适当成本实现有效评价,提高评价工作效率和效果,根据内控评价结果及时做出评价结论。
第二章 内部控制评价机构和职责
第五条 公司董事会对内部控制评价承担最终责任,对内部控制评价报告的真实性、准确性和完整性负责,其主要职责包括:
(一)负责公司年度内部控制评价报告的审核、批准;
(二)负责重大内部控制缺陷的最终认定,对内部控制缺陷整改意见进行审批;
(三)董事会对内部控制报告真实性负责,同时公司全体董事应保证提供的年度内部控制评价报告不存在虚假记载、误导性陈述或重大遗漏,并就年度内部控制评价报告的真实性、准确性、完整性承担个别和连带的法律责任;
(四)根据相关法规要求,对外披露年度内部控制评价报告。
第六条 公司监事会对建立与实施内部控制评价体系进行监督,有权听取、获取公司内部控制评价相关报告并发表意见。
第七条 审计委员会是公司内部控制评价的领导机构,其主要职责包括:
(一)组织落实公司内部控制体系建设和重大部署,研究处理内控工作中出现的重大问题;
(二)研究业务流程、关键控制点与组织架构的优化、重组,推动内部控制工作开展,监督内控体系整体进程;
(三)审议公司内部控制评价报告,并报董事会批准;
(四)负责重要内部控制缺陷的最终认定,确定内部控制缺陷整改意见,报董事会审议;
(五)按照董事会审议的内部控制缺陷整改意见,组织、监督整改过程和结果,并向董事会报告整改落实情况。
第八条 内部控制评价工作小组负责内部控制评价工作的具体实施,工作小组由公司审计部牵头,各职能中心(部门)内控人员组成,其主要职责包括:
(一)实施内部控制测试和评价工作,形成评价工作底稿和内控缺陷汇总表;
(二)对发现的内部控制缺陷进行认定和复核,提出整改建议;
(三)根据内部控制自我评价工作结果,编制内控评价报告,提交审计委员会审议。
(四)监督各职能中心(部门)编制和修订其业务及职责归口对应的《内部控制管理手册》《内部控制评价手册》,经公司审计委员会审议、董事会审批后实施。
第九条 审计部是内部控制评价的业务管理部门,根据授权负责内部控制评价的日常管理和监督工作,其主要职责包括:
(一)组织、协调内部控制评价准备工作;
(二)制定内控评价工作方案,确定内部控制评价的范围、方法、时间进度安排;
(三)组织、安排、督促和检查各职能中心(部门)的内部控制自我评价推进工作;
(四)监督内部控制缺陷的整改落实情况,并向审计委员会报告;
(五)监督检查公司内部控制建设情况,并向审计委员会及监事会汇报进展情况;
(六)指导和监督所属企业开展内部控制评价工作。
第十条 各职能中心(部门)负责组织和配合内部控制评价小组开展本中心(部门)的内部控制自我评价工作,并根据内控评价发现的缺陷,及时进行整改。
第十一条 所属企业应当建立本企业内部控制评价体系,组织开展本企业内控评价工作,内控评价报告报公司审计部备案。向审计部提供真实、可靠的信息资料,配合审计部的监督和检查。
第三章 内部控制评价内容
第十二条 公司实施内部控制评价,应当关注下列业务风险:
(一)组织架构不合理,内部控制评价人员未能保持适当的独立性、客观性,可能影响内部控制评价工作的有效性;
(二)内部控制评价程序、方法不够科学或不符合公司内部规章制度的要求,可能影响内部控制评价结果的正确性;
(三)内部控制评价人员不够尽职尽责,未能履行监督职能,未能发现公司存在的舞弊等影响企业健康发展的不良现象;
(四)内部控制评价人员的业务技能和评价质量达不到专业要求,可能导致不恰当的判断。
第十三条 内部控制评价工作根据《企业内部控制基本规范》及其配套指引的规定,结合公司内部控制相关制度开展,对内部控制的设计和运行情况进行全面评价,主要包括以下内容:
(一)内部环境评价:从组织架构、发展战略、人力资源、企业文化、社会责
任和反舞弊等方面对内部环境的设计及实际运行情况进行认定和评价;
(二)风险评估评价:以内部控制主要风险为依据,结合公司实际生产经营情况和信息积累,对日常经营管理过程中的风险识别、风险分析、风险策略等进行认定和评价;
(三)控制活动评价:从资金营运管理、筹资管理、募集资金管理、投资管理、采购管理、资产管理、销售与资产出租管理、工程项目管理、担保业务、关联交易管理、财务报告、全面预算管理、法务和合同管理等方面,对相关控制措施的设计和运行情况进行认定和评价;
(四)信息与沟通评价:从内部信息传递、信息披露及控制、信息系统等方面,对信息收集、处理和传递的及时性,财务报告的真实性,信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
(五)内部监督评价,从组织架构、风险评估、内部审计与监督等方面,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
第十四条 内部控制评价的范围应当结合重要性水平和风险评估的结果确定,从经营及风险角度,定量和定性综合确定评价范围。
第十五条 为提升公司财务报告内部控制有效性,防范舞弊风险,内部控制评价应关注下列重点领域:
(一)资金资产活动相关舞弊和错报的风险与控制。
(二)收入相关舞弊和错报的风险与控制。
(三)成本费用相关舞弊和错报的风险与控制。
(四)投资活动相关舞弊和错报的风险与控制。
(五)关联交易相关舞弊和错报的风险与控制。
(六)重要风险业务和重大风险事件相关的风险与控制。
(七)财务报告编制相关的风险与控制。
第四章 内部控制评价程序
第十六条 内部控制评价的一般程序:
(一)审计部按审计委员会的部署和要求,制定内控评价工作方案,明确评价
范围、工作任务、人员组成、进度安排和费用预算等内容,报审计委员会审批后实施;
(二)审计部牵头各职能中心(部门)业务骨干组成内控评价工作小组,下发评价通知;
(三)各职能中心(部门)组织开展内控自我评价工作,并在规定时间内提交本中心(部门)内部控制自我评价报告;
(四)评价工作小组结合各中心(部门)自评报告,确定内控测试重点和计划,实施现场测试;
(五)评价工作小组认定控制缺陷,涉及重要缺陷和重大缺陷,分别报审计委员会、董事会最终认定;
(六)评价工作小组汇总评价结果,编制内控评价报告;
(七)内控评价报告提交审计委员会审议,报董事会批准;
(八)对外信息披露。
所属企业内部控制评价由相关职能部门牵头制定方案和成立评价工作小组,内控缺陷及整改措施和内控评价报告经所在公司相关领导批准后报公司审计部统一汇总。第十七条 各职能中心(部门)按照职责分工,依据相关制度规定及内控管理手册控制矩阵,对本中心(部门)负责或参与内控流程的设计和运行情况进行评估,将发现的内控缺陷制定整改意见和计划,报送内控评价工作小组。
第十八条 内部控制评价工作小组综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析的方法,收集内控设计和运行是否有效的证据,对内控缺陷进行分析、研究。第十九条 内部控制评价工作小组应当形成评价工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、财务的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。第二十条 内部控制评价工作小组应当建立评价质量交叉复核制度,评价工作小组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认。第二十一条 内部控制评价报告应分内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、整改情况、内部控制是否
有效等内容进行披露。内部控制评价报告至少应当披露以下内容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据;
(四)内部控制评价的范围;
(五)内部控制评价的程序和方法;
(六)内部控制缺陷认定标准及认定情况;
(七)内部控制缺陷的整改情况及重大缺陷采取的应对措施;
(八)内部控制有效性的结论。
监事会和独立董事应对公司内部控制评价报告发表意见。
第二十二条 内部控制评价工作小组应当关注自评价基准日至评价报告发出日之间是否发生影响内控有效性的因素,并根据其性质和影响程度考虑对评价结论进行相应调整。
第二十三条 公司可以委托外部中介机构实施内部控制评价,出具鉴证(或审计)报告,为公司提供内控审计服务的中介机构,不得同时为公司提供内部控制评价服务。
第五章 内部控制缺陷认定
第二十四条 公司对内部控制缺陷的认定,以各职能中心(部门)和各所属企业内部日常监督和专项监督为基础,结合内部控制综合分析评价,由内部控制评价工作小组提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
第二十五条 内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或现有控制设计不适当,即使正常运行也难以实现控制目标;运行缺陷是指设计有效的内部控制由于运行不当而形成的内部控制缺陷。内控缺陷认定应分别从内控设计有效性和运行有效性两个层面进行。
第二十六条 内部控制缺陷按影响程度分为重大缺陷、重要缺陷和一般缺陷。
(一)重大缺陷:一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标;
(二)重要缺陷:一个或多个控制缺陷的组合,其严重程度或经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标;
(三)一般缺陷:除重大缺陷、重要缺陷外的其他缺陷。
(四) 内部控制缺陷的认定标准应当从定性和定量两方面综合认定。定性标准包括但不限于控制环境、内部监督、会计政策运用、财务报表重大错报、制度缺陷、行政处罚、舞弊等;定量标准可结合财务报表关键指标比例制定。第二十七条 内部控制评价工作小组应当结合日常监督和专项监督发现的内控缺陷,编制内控缺陷认定汇总表,对缺陷及成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见和整改建议报董事会审议,并持续跟进缺陷整改情况。第二十八条 对于认定的重大缺陷,公司应当及时采取应对策略,切实将风险控制在可承受的范围之内。对于认定的重要风险,也应当引起董事会和经理层的充分关注予以纠正。
第六章 内部控制评价监督和管理
第二十九条 公司至少每年组织开展一次内部控制评价工作,形成内部控制评价报告,并按证券监管要求和公司《信息披露管理制度》规定进行披露。年度内部控制评价报告应当以12月31日作为基准日,在基准日后4个月内报出。
第三十条 公司各职能中心(部门)和所属企业应当配合内部控制评价小组和审计部工作,及时提供全面、准确的内部控制评价资料,保证内控评价工作的顺利开展。
第三十一条 未经授权批准或许可,任何单位和个人不得对外公布内部控制评价结果。
第三十二条 公司应当建立健全内部控制评价工作档案管理机制,对评价过程中形成的工作底稿、证明材料、缺陷汇总表、整改报告、评价报告等文件资料妥善保管,保管期限按照公司《档案管理办法》相关规定执行。
第七章 附 则
第三十三条 本办法由公司董事会负责解释。
第三十四条 本办法自董事会审议通过之日起执行。
2022年12月30日