中国海诚工程科技股份有限公司2022年度内部控制自我评价报告
一、董事会声明
中国海诚工程科技股份有限公司全体股东:
中国海诚工程科技股份有限公司(以下简称“中国海诚”或“公司”)董事会按照财政部、证监会等部门联合发布的《企业内部控制基本规范》(财会[2008]7号)及其配套指引的规定和其他内部控制监管要求(以下简称企业内部控制规范体系),结合本公司内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,对2022年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导公司内部控制的日常运行。公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,公司不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日期间,公司未发生影响内部控制有效性评价结论的因素。
随着公司内部控制环境的变化以及未来经营发展的需要,根据外部环境变化、
监管的相关新要求,公司需不断深化内部控制管理,进一步完善内部控制制度,使之始终适应公司发展的需要和国家有关法律法规的要求,保证公司持续、健康、稳定发展。
二、内部控制评价工作的总体情况
(一)评价目的
根据《企业内部控制基本规范》(以下简称“基本规范”)、《企业内部控制应用指引》(以下简称“应用指引”)以及《企业内部控制评价指引》(以下简称“评价指引”)等相关要求,为规范和完善企业的内控和风险管理体系,公司在内部控制日常监督和专项监督的基础上,于2023年1月启动内控体系评价工作。此次评价工作主要是对内控体系运行的有效性进行测试,检查并解决内控体系在运行过程中存在的问题,从而规范业务操作程序,确保内控体系得到一贯、有效的执行,不断提高公司管理水平,同时满足监管部门的相关要求。
(二)评价依据
本评价报告的依据是中华人民共和国财政部等五部委联合发布的《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》(下称“审计指引”)、深圳证券交易所发布的《深圳证券交易所上市公司内部控制指引》(下称“深交所指引”)以及《COSO企业风险管理整合框架》。
公司依据上述指引文件以及公司的内部控制制度,在内部控制日常监督和专项监督的基础上,对公司及所属单位截至2022年12月31日内部控制的设计与运行的有效性进行评价。
(三)组织机构和组织形式
内部控制评价的参与主体及其各自的职责包括:
董事会负责对内部控制的有效性进行全面评价、形成结论,出具报告,对内控评价报告的真实性负责。
董事会指定风险管理中心为内控评价部门,负责内部控制评价工作的具体组织实施,包括对控制缺陷进行分析、复核、报告及跟踪,并向董事会、监事会或者经理层报告发现的内控缺陷。
风险管理中心牵头组建内控评价小组,组织公司总部各部门、上海本部和各
子公司进行内部控制自评,并完成评价工作底稿,由风险管理中心组织总部各部门进行监督评价。
三、内部控制评价的范围及内容
(一)纳入评价范围对象情况
按照重要性原则,此次内部控制评价的范围涵盖了中国海诚主要业务和事项,从组织结构上看,包括行政管理中心、人力资源管理中心、财务资金管理中心、董事会办公室、风险管理中心、市场拓展中心、战略运营中心、成本合约中心、技术研发中心、EIM数创中心、安全生产监管部等职能部门、上海本部和各子公司相关部门。结合近几年风险评估得出的公司所面临的前几大风险,公司重点关注了以下几大高风险领域:战略管理风险、总承包项目管理风险、海外业务风险、法律纠纷风险、人力资源管理风险、财务管理风险、客户信用风险、合规经营管理风险等。
此次纳入评价范围的业务和事项主要包括:组织架构、发展战略、社会责任、企业文化、风险管理、内部信息传递、内部监督、人力资源、资金活动、非主营业务采购、资产管理、担保业务、财务报告、全面预算、合同管理、综合管理、市场拓展、研究与开发、工程总承包管理(或工程管理、设计、咨询、监理)、信息系统等各方面的关键控制,涵盖了公司经营管理的各个层级和主要业务环节,不存在重大遗漏。重点关注组织架构、人力资源管理、资产管理、资金活动、工程总承包管理、合同管理和非主营业务采购管理等。
(二)中国海诚内控评价内容
1.公司层面
(1)组织架构
根据上级公司要求,中国海诚总部新设安全生产监管部;为深入贯彻落实党中央、国务院关于“碳达峰、碳中和”的重大战略决策,公司拟通过非公开发行股票的方式募集资金投入双碳科创中心项目。根据新设部门架构及职能,拟定部门职责、岗位职责及人员配置等。
2022年上半年,中国海诚下属南宁公司、北京公司和成都公司均进行组织机构改革,总部听取了三家子公司机构改革方案的汇报并反馈意见反馈,总部人
力资源管理中心针对岗位体系设计、干部选拔任用(竞聘)等人力资源工作提供指导。
(2)发展战略
公司制定了《战略规划管理办法》,明确了战略规划管理过程中的职责、权限及工作流程等,旨在规范公司战略规范管理工作,确保公司战略目标的实现。对照《中国海诚工程科技股份有限公司“十四五”发展战略与规划》,公司于2022年末开展2021—2022年“十四五”规划执行情况综合评估工作,认真回顾分析2021—2022年“十四五”规划执行情况,结合内外部政策、行业和区域等环境变化,为下一步公司“十四五”发展规划的滚动调整做好准备。同时,根据公司发展规划及总体经营目标,制定年度工作计划,从全局性、长远性和可行性出发,并督促各部门及下属单位遵照实施。
(3)社会责任
公司成立了职工代表大会以及工会,采取集中商议、民主决策的方式维护员工利益;公司修订并完善了一系列人力资源管理制度,组织各类技能培训活动,充分关注公司员工的职业发展、薪酬福利、身体健康等各方面福祉。公司积极参与社会公益事业,参与社区帮困基金的筹备建设,帮助困难群体;组织无偿献血等公益活动;鼓励员工志愿服务社会;不断为社会提供就业机会;公司还设立了帮困基金,对员工及其亲属的重大疾病、突然灾祸、子女上学等困难事项进行帮扶;公司还积极参与社会帮扶结对活动,总部与上海市金山区亭林镇亭西村党总支部进行点对点的一对一的结对帮扶等;通过上海市经信委联络了崇明一个村的党支部进行点对点的一对一的帮扶等。公司在主营业务发展方面积极倡导低碳节能理念,积极拓展如清洁能源、垃圾焚烧、污染治理等方面的业务,帮助业主在建筑设计方面融入绿色节能技术。这些措施帮助公司将经营目标和社会目标统一,助力公司更好地实现社会价值,为社会的和谐发展作出了贡献。
(4)企业文化
公司管理层积极推动企业文化宣传、建设工作,履行相应职责,形成自上而下推动、宣传机制。公司成立了企业文化建设领导小组,公司主要负责人任企业文化建设领导小组组长,工会、团委、相关职能部门主要负责人为领导小组成员,下设管理办公室(设在行政管理中心),作为公司企业文化建设的办事机构。
公司结合发展战略,修订《中国海诚企业文化手册》(2022版),优化公司的文化特质和精神谱系,统一公司文化理念系统。举办“喜迎二十大 奋楫新征程”企业文化周和“立足新时代 踔厉向未来”职工艺术节活动,进一步培育企业共同价值观。
为提升公司品牌形象、做好品牌展示中心的运维管理,公司制定了《中国海诚品牌展示中心管理办法》,明确管理职责,确保展示中心运营有条不紊,环境整洁有序。
公司持续打造学习型组织,建立与公司战略相适应、与岗位工作相匹配、与职业发展相衔接的人才培养体系。构建公司及下属单位两级培训管理构架:公司总部负责本级及下属单位人才培养管理,组织开展《管理者财务管理思维》《降本增效-精益管理落地的实战抓手》《数实融合助力制造业数字化转型》等线下专题培训,结合人力资源管理平台建设,酝酿配置培训培养模块,建立员工学习地图;下属单位完善各自人才培养目标及制度办法,组织开展培训活动。
(5)风险管理
公司制定了《全面风险管理制度》。董事会是公司全面风险管理工作的最高决策机构。公司风险管理中心与其他职能部门、生产部门一起形成了覆盖事前、事中和事后的风险管理与内部控制体系,根据设定的控制目标,全面、系统、持续地收集相关信息,结合公司实际情况及时进行风险评估。
1)风险识别
在收集信息上,风险管理中心负责定期组织公司各职能部门、生产部门和子公司全面系统、持续地收集内外部信息,识别出公司内部和外部存在的,影响部门业务活动层面目标实现的各个风险要素及其重大性和相互关系,对收集的数据进行整理、分析,从评估风险的严重性、发生的可能性,确定各自相应的风险承受度。
2)风险分析
在风险识别基础上,公司对风险进行统一综合管理,站在全局立场,采用定量、定性指标,从风险发生可能性、影响程度两个维度对战略风险、人力资源风险、财务风险、市场风险、运营风险、合规风险、法律风险开展定性评分,进行全面风险识别和分析。
3)风险应对根据风险识别和分析活动得出的重大风险,公司制订相应的管理策略、应对方案和整改方案,以使风险控制在可承受范围内。风险管理中心汇总分析风险评估结果形成风险评估报告。完成报告后,风险管理中心通过对总部各部门、上海本部和各子公司的日常持续监控,及时发现内部控制的重大设计缺陷和执行缺陷;通过定期的有效性检查,判断公司内部控制体系建立和实施的有效性。
(6)内部信息传递
1)信息收集与沟通公司积极加强内部报告管理,全面梳理内部信息传递过程中的薄弱环节,建立科学的内部信息传递机制,明确内部信息传递的内容、传递方式、传递范围以及各管理层级和重要岗位的职责权限等,促进内部报告的有效利用,充分发挥内部报告的作用。
公司制定了《公文处理管理办法》,明确了公司信息交流的渠道种类,规定公文可以分为决定、公告、通知、通报、报告、请示、批复、意见、函、会议纪要、签报,明确了各种类的定义、适用目的和范围、格式、行文规则,并建立起收文、发文的传递渠道,确保内部、外部信息传递及时、有效、保密、安全。2)信息报告与披露公司制定了《信息披露管理制度》,规定公司董事长是信息披露事务的第一责任人,董事会秘书负责信息披露具体事务的协调工作。《信息披露管理制度》明确了信息披露的基本原则,信息披露的内容,各部门及相关人员的职责,信息披露的程序,相关人员买卖公司股份的申报要求,监管部门发文的通报流程以及信息披露的保密措施等,有效提高了信息披露事务管理水平和信息披露质量,保护了公司、股东、客户、债权人及其他利益相关人的合法权益,做到了信息披露的及时、准确和完整。3)反舞弊公司纪检部和风险管理中心共同执行本单位反舞弊工作。公司纪检部归口管理信访工作,制定了《信访举报工作管理办法》。公司鼓励员工举报和投诉公司内部的违法违规、舞弊和其他有损公司形象的行为,畅通信访举报渠道,并对投诉举报信息及时受理、依规依纪进行查办处理。收到举报信件时,纪检部经办人
进行登记,并呈报至相关领导审阅,由纪检部及相关部门联合调查核实举报内容,对举报内容进行认定,需要立案的进行立案处理,涉及到严重的违法违纪事项将移交相关司法部门处理。2022年公司下发了《关于进一步加强招采业务专项监督工作的通知》《关于进一步规范公务接待工作的通知》等工作要求,对工作内容及纪律规章进行再部署、再强调。修订发布了《中国海诚发包、采购过程中实施签订〈廉洁承诺书〉的规定》《中国海诚对党员干部开展廉洁谈话的实施办法》等制度,制定了《年度廉洁谈话计划》,聚焦“一把手”、关键岗位、关键人员、关键环节的廉洁责任落实。4)信息保密公司制定了《中国海诚保密管理办法》《中国海诚商业秘密保护实施细则》《中国海诚工作秘密管理实施细则》,加强对公司保密信息的管理。为加强公司内幕信息管理,维护信息披露公平原则,保护广大投资者的合法权益,公司制定了《内幕信息知情人管理制度》,制度规定了内幕信息以及内幕信息知情人的范围,公司对内幕信息知情人进行登记备案管理,内幕信息知情人负有保密责任,泄露内幕信息将会受到相关处罚。
(7)内部监督
公司对内部控制的监督主要包括监事会、董事会专门委员会、独立董事及公司内部审计相关部门的监督。1)监事会根据《公司章程》的规定,监事会严格依照法定程序对公司董事、高级管理人员进行监督,检查公司财务、有效行使《公司章程》和股东大会授予的权力。2)董事会专门委员会公司董事会下设审计委员会,通过对公司与财务报表相关的内部控制制度的执行情况进行监督,确保内部控制制度得到贯彻实施,切实保障公司规章制度的贯彻执行,降低公司经营风险,强化内部控制,优化公司资源配置,完善公司的经营管理工作。
公司董事会下设薪酬与考核委员会,根据董事会薪酬与考核委员会工作细则中相关规定的要求,对公司董事、高级管理人员的履职情况进行检查,同时审查公司绩效考核、工资奖金发放及福利发放情况。公司董事会下设提名委员会,根据公司董事会审议通过的工作细则中相关规定的要求,对公司董事及高级管理人员的人选、聘任标准和程序进行监督并提出建议。公司董事会下设战略委员会,主要负责对公司长期发展战略和重大投资融资决策进行研究并提出建议。3)独立董事公司独立董事严格按照《公司章程》《独立董事工作制度》《独立董事年报工作制度》及相关法律法规的要求,勤勉尽职,积极参加董事会会议,深入了解公司发展及经营状况,并对公司关联交易、聘任会计师事务所、对外担保、利润分配方案等重大事项发表独立意见。在年报编制过程中,独立董事与公司及负责审计的会计师事务所进行充分沟通,切实履行监督检查职责,对公司决策的科学性、规范化起到了积极作用,促进公司治理结构的逐步完善,维护公司的整体利益和全体投资者的合法权益。4)公司内部审计相关部门公司发布《内部审计管理制度》《经济责任审计管理办法》明确公司风险管理中心负责内部审计工作,同时规定了审计职责,审计工作程序等。公司风险管理中心配备了专业的审计人员,通过日常监督和专项监督以及内部控制评价,定期或不定期对公司内部各单位进行审计、检查,及时向经营层报告。及时发现并组织纠正公司及下属单位生产经营中存在的问题,为公司的生产经营运作服务。为完善内控体系建设以及全面风险管理,风险管理中心还制定了《全面风险管理制度》,本年组织开展总部和上海本部《内控手册》更新工作。公司风险管理中心本年度开展了内部控制评审、经济责任审计、专项审计和业绩快报审核。通过审计及时发现并提出影响经营管理和内部控制等方面的问题,研究解决方案,为完善内部控制制度、防范经营风险、提高企业经济效益等起到了积极的作用。
此外,公司制定了《“三重一大”决策制度实施办法》,以规范项目重大决策、重要干部任免、重大项目安排和大额度资金的使用,加强对项目决策“三重一大”事项的风险防控和监督管理。
2.业务流程层面
业务流程层面内部控制设计与运行主要包括人力资源、资金活动、非主营业务采购、资产管理、担保业务、财务报告、全面预算、合同管理、综合管理、市场拓展、研究与开发、工程总承包管理、工程设计管理、工程设计管理、工程咨询管理、工程监理管理等业务模块所包含的控制措施,具体如下:
(1)人力资源
公司人力资源管理中心作为人力资源的归口管理部门,负责公司人力资源政策的制定以及人力资源的引进、开发、使用、退出全方位的管理协调工作。2022年,公司修编了《中国海诚企业领导人员管理规定》《中国海诚所属单位负责人薪酬管理办法》《中国海诚返聘人员管理规定》等规章制度。
公司以战略目标为导向,创新赋能为指引,对接科技、数字化等子规划,编制“十四五”人力资源发展规划,持续优化工资总额分配机制并指导下属单位工资总额二次分配办法,深化核心人才激励机制,实施限制性股票激励计划项目。整合人力资源基础数据、规范流程,搭建人力资源管理平台实现人力资源管理的规范化、体系化和科学化管理。
(2)资金活动
1)资金管理
公司发布了《财务会计管理制度》《总部出差管理规定 》《总部费用报销支付管理办法》《工程总承包项目财务管理办法》《财务分析管理制度》《资金管理办法》《全面预算管理制度》和《应收账款管理制度》等一系列财务管理制度,用以规范日常财务管理及会计核算等工作。
2)投资管理
公司建立了较为完善和科学的对外投资决策程序,实行重大投资决策的责任制度,2022年完成修订《投资管理制度》,进一步完善投资管理制度和流程,扎实开展项目可行性研究论证,明确履行投资决策程序,落实承担投资管理主体责任。
(3)非主营业务采购
公司发布了《总部非主营业务采购管理办法》等与非主营业务采购相关的管理制度,明确了各个部门在非主营业务采购过程中的职责、权限及工作流程等,旨在确保非主营业务采购各个环节实施的合理性和规范性。
(4)资产管理
公司制定了《总部固定资产管理办法》,使资产管理的登记、转移、调拨、处置各项管理流程更规范和精细。在公司数字平台统一管理,通过数字化、可视化的资产档案,为预算管理和资产更新工作提供数据支撑。
此外,公司制定了存货、固定资产、在建工程、无形资产等实物资产的控制制度并严格执行。
(5)担保业务
公司制定了《对外投资管理制度》《对外担保管理办法》,严格控制投资风险及对外担保行为,防范潜在风险,避免和减少可能发生的损失。
(6)财务报告
公司建立了《财务会计管理制度》等制度,对会计核算及财务报告等工作进行规范。
公司财务部按照公司统一会计政策和会计估计编制财务会计报告,下属单位报送的财务信息以及会计资料必须经过各自财务负责人以及公司领导的复核以及审批,以确保子公司财务数据的准确性与可靠性。财务报告编制完成后,装订成册,加盖公章,由财务部负责人、总会计师或分管会计工作的负责人、董事长签名并盖章。
(7)全面预算
公司成立预算管理小组和预算管理委员会,负责公司全面预算管理工作;公司建立了《全面预算管理制度》,对预算编制、审核、修及调整内容进行了明确和规范。公司预算的编制,坚持“先业务后财务”的预算编报流程,按照“自下而上、上下结合、分级编制、逐级汇总、统筹平衡”的程序进行,相关职能部门及下属单位积极参与到预算管理工作当中。全面预算管理领导小组组织召开年度预算评审会议对各下属企业年度初步预算方案进行逐户评审,形成各下属企业年度预算指导意见并下达各下属单位。各级企业动态监控预算执行情况,反馈预算
执行的进度与效果,及时发现和纠正预算执行中存在的偏差与问题。全面预算管理工作小组根据各级企业预算执行情况,进行汇总分析形成整体预算执行情况报告,向全面预算管理领导小组和党委会、总裁办公会专题汇报。
(8)合同管理
公司制定了《工程总承包项目管理办法》《工程总承包项目风险控制指导原则》《工程总承包项目投标及合同评审管理规定》《非总包合同评审管理规定》《合同管理制度》等制度,明确了合同管理机构与职责、合同的签订、合同的审查与批准、合同履行、合同变更与解除、合同纠纷处理、合同文本管理、奖惩事项等。
公司实行法人授权委托制度,签订合同由法定代表人或凭法人的委托授权书方可签订,委托代理人必须在授权范围和权限内签订合同,不得超过代理权限,不得与自己代理的其他人签订合同。无法人授权委托,任何人无权代表公司签订合同。对于大额合同标的或非常规合同或具有重大影响的或对于涉及担保、预付款、各类保证金、授信额度等资金运作的或特殊的合同,召开由有关部门负责人、公司相关职能部门、公司相关领导等参加的专题评审会议,对合同的主要内容进行讨论和审查。
(9)综合管理
公司行政管理中心负责收文发文等公文及公司印章的管理及总部档案的归档的保管工作。公司各部门印章共分五类,按类别由各部门指定专人保管,其中:
A类印章(公章、法定代表人名章等)和B类章(合同专用章)由行政管理中心专人管理。印章使用实行审批制度,根据用章类别填写用印申请,按照流程规定,报公司领导批准后予以用印。
公司发布了《公文处理管理办法》《总部印章管理办法》《总部文书档案管理办法》《上海本部用印管理暂行规定》《上海本部项目印章管理规定》《成品文件图纸登记表填写及初步设计、施工图设计出图专用印章使用管理规定》等制度文件,对公文、印章、文书档案等使用、保管程序进行了明确和规范。
公司发布了《品牌展示馆管理办法》,对展示馆管理、使用等进行明确和规范。升级了保密制度、发布保密管理办法、秘密保护实施细则、秘密管理实施细则,进一步规范公司的保密管理。
(10)市场拓展
公司发布了《市场拓展管理制度》《市场拓展战略协议管理办法 》《市场危机公关工作机制及舆情处置预案》《海外市场拓展管理制度》《海外市场开拓战略协议管理办法》等一系列制度,用以规范日常市场拓展、海外市场管理等工作。
(11)研究与开发
公司发布了《中国海诚“十四五”科技发展规划》,规划明确了公司2021—2025年科技发展目标和重点任务,明确公司要重归以“核心工艺技术”为中心的工程服务,通过实现数字化转型提升轻工领域智慧工程集成能力。
公司发布了《中国海诚科技创新基金及基金项目管理办法》《关于做好2022年度研发费用预算执行及相关工作落实的通知》等一系列制度和通知 ,对科技创新基金项目的申报和管理、研发费用预算作出了相关规定。
(12)工程总承包管理
公司发布了《工程总承包项目评审管理办法》《工程总承包项目施工分包招标管理规定》《工程总承包项目管理办法》《工程总承包项目风险控制指导原则》《合同管理制度》《工程总承包项目经理责任制实施办法》《工程总承包项目团队组建及管理办法》等一系列与工程总承包项目相关的管理制度,明确了各个部门在总承包项目过程中的职责、权限及工作流程等,旨在确保工程总承包项目各个环节实施的合理性和规范性。
针对项目各阶段分别制定了相应的程序,如设计阶段过程控制要求按照《设计控制程序》及《工程总承包项目管理办法》执行;设备材料采购过程控制按照《设备材料采购控制程序》及《工程总承包项目物资采购管理办法》执行;施工阶段过程控制按照《工程总承包项目物资采购管理办法》《试运行/验收控制程序》执行;项目费用控制按照《总承包项目成本管理办法(试行)》《项目费用控制程序》执行等。
总承包项目的环境和安全管理方面,对每个总包项目的实施过程进行策划,保证项目的环境和职业健康安全管理体系符合国家法律法规要求、合同文件、公司管理体系的要求,及《安全生产监督管理办法(2021版)》《中国海诚工程项目现场VIS手册》执行。在项目实施前编制《项目职业健康安全(EHS)实施计划》
等项目策划文件,并对项目施工工序过程中存在的重大危险源和环境因素进行辨识和识别,并根据识别出的重大危险源编制专项方案,同时落实安全防范措施,在施工过程中实时监控安全措施的落实情况,确保施工过程中的安全管理受控,保证现场施工人员的安全。技术质量管理方面,公司发布了建筑、结构、电气、暖通、给排水、动力专业统一技术措施专业技术规定共7册,对各专业的设计要求作出相关规定,加以规范日常的设计工作,确保项目技术质量。同时组织部分单位对其质量体系文件进行了梳理和修订,包括但不限于修订质量管理手册相关内容、作业手册中的作业流程和记录要求等。
(13)工程设计管理
公司组织修订并发布了《设计手册》(2022版),共包含:《设计控制程序(I)》《工程设计技术人员岗位职责及任职资格规定》《工程项目设计管理类别划分规定》《工程咨询、设计提纲编写规定》等20个制度。通过对工程咨询设计全过程,包括:设计策划、设计接口、设计输入、设计输出、设计评审、设计验证、设计确认、设计成品交付、设计更改和后期服务等过程的控制,确保各设计阶段的设计成品文件和技术服务满足现行有效的法律、法规、标准规范和合同规定的质量要求。
(14)工程咨询管理
公司修订并发布了QEHSB7.3-4《造价咨询过程控制程序》,明确了造价咨询的程序、工作流程以及相关人员在造价咨询过程中的职责权限等,规范了工程造价咨询的范围、内容、格式、深度要求和质量标准等,使工程造价咨询服务处于受控状态,确保造价咨询服务质量符合规定要求。同时,对工程造价咨询文件的交付和资料归档的时间节点及管控措施进行了明确,有效地保证了资料的完整性和准确性。
3. IT流程层面
公司制定了《软件管理办法》,明确了软件的采购、使用、维护和管理。公司EIM数创中心负责对机房硬件及应用进行日常维护和检查工作,每周对计算机机房服务器的运行情况进行检查;公司采取了安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏,特别注重加强对服务器等关键部位的防护。
对于机密文件,在传输过程中可采取加密的措施确保文件的安全。各信息系统上线投入使用后,对数据保真、有效性从审批流上进行了整体优化,能够在业务流转中进行及时发现、并纠正,能够进一步提高数据的真实有效性。公司通过将以上控制措施融入到各业务模块的相应流程中,使公司流程层面的控制活动得到真正有效的设计和运行。上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重大遗漏。2022年内部控制评价由总部各有关部门、上海本部和各子公司根据自身岗位职责自评,风险管理中心在此基础上进行了抽测,评价范围覆盖了上述公司层面、流程层面所有流程。
四、内部控制评价的程序和方法
为确保内控评价工作有序开展,内控评价小组制定了详细的内控评价工作实施方案,具体工作程序包括:
(一)内部控制评价工作方案
1.工作方案
公司内部控制评价工作的目标是:确保合规、防范风险、提升管理。评价工作小组根据公司实际情况和管理要求,分析公司经营管理过程中的高风险和重要业务事项,制定科学合理的评价工作方案,工作方案包括公司内部控制评价范围、评价时间、人员组成,以及评价方法、缺陷认定标准以及评价中需重点关注的问题等,经内控评价领导小组批准后实施。中国海诚的评价工作方案基本覆盖了所有内控体系,全面地检测了内控执行的有效性,此外还重点关注了以前年度开展内控自我评价工作时发现的问题。
根据上述评价范围及业务事项,针对实施评价的业务流程成立内控评价工作小组,评价工作小组由公司各部门骨干、风险管理中心组成。
2.评价时点
本次内部控制评价报告的基准日为2022年12月31日。
3.实施程序和成果
(1)启动准备阶段
1)1月5日前,研究2022年度内控评价工作方案。
2)1月29日前,编制《内部控制测试资料清单》模板,准备测试资料。
(2)测试评价阶段
1月30日-2月17日,采用抽样法,综合运用个别访谈法、调查问卷、穿行测试、比较分析、专题讨论等方法,分别对公司总体层面和业务流程层面的内部控制设计及运行情况进行全面测试与评价。
(3)评价结论阶段
3月底前,公司风险管理中心对现场初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级,根据缺陷的综合影响出具评价结论,完成《内部控制缺陷汇总表》。
(4)评价报告及审批阶段
3月下旬,公司根据内部控制评价结果,编制内部控制评价报告,并上报党委会、总裁办公会审议,4月底前,将内部控制评价报告报审计委员会、董事会批准后正式上报中轻集团。
(二)组织实施自我评价工作
此次自我评价工作的评价程序包括:收集基础资料,对资料进行查阅和分析,针对内部控制要素和重点控制活动的运行状况进行分析,编制内部控制评价测试底稿,汇总测试评价结果。
本次评价的方法分为四种:询问、观察、检查、重新执行。
询问:访谈控制活动人员,了解控制相关的流程现状和相关制度规范;
观察:控制活动的执行现状和结果,包括在观察的同时进行询问;
检查:控制活动的设计和执行是否有效,如是否存在相关制度规范业务活动;关键控制活动执行是否及时、正确、完整;是否不相容岗位职责分离、是否经授权审批、是否关键控制点存在执行监控;如果涉及财务,相关账务处理是否正确、及时、完整,会计凭证是否经审批等;包括在检查的同时进行观察和询问;
重新执行:将相关控制重新执行一次,重新执行包括使用上述的三个方法。
(三)评价工作组做出评价结论
内控评价工作小组组长汇总评价结果,对现场初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因、表现形式及风险程度进行定量或定性的综
合分析,按照对控制目标的影响程度判定缺陷等级,根据缺陷的综合影响出具自我评价结论。对于认定的内部控制缺陷,评价工作组就部门提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,追究相关人员的责任。
(四)编制内部控制评价报告
内部控制评价工作小组根据已汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制整体情况,客观、公正、完整地编报内部控制评价报告。
(五)审议批准内部控制评价报告
内部控制自我评价报告编制完成后报送公司党委会、总裁办公会和董事会审议批准,由董事会最终审定后对外披露或以其他形式加以合理利用。
五、内部控制缺陷及其认定
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。
按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一个或多个控制缺陷组合,可能导致企业严重偏离控制目标。重要缺陷是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致偏离控制目标。一般缺陷是指除重大缺陷、重要缺陷外的其他缺陷。
(一)财务报告内控缺陷认定标准
财务报告内部控制缺陷是指不能及时防止或发现并纠正财务报告错误的内部控制缺陷。公司从定量和定性两个方面确定财务报告内控缺陷的认定标准。
定量标准:
| 一般缺陷 | 重要缺陷 | 重大缺陷 | |
| 定量标准 (影响程度) | <税前利润2.5% | ≥税前利润2.5% 且<税前利润5% | ≥税前利润5% |
定性标准:
除考虑定量标准外,公司在进行财务报告内部控制自我评价时,还对可能存在的内部控制缺陷分析以下因素:
1.是否涉及管理层任何程度的舞弊;2.是否存在会计基础缺陷;3.是否存在财务报告相关的关键信息系统缺陷;4.是否对公司的经营管理造成重大影响,例如对以下因素的影响:生产安全、质量、合规性,以及可能需要高级管理层介入处理;
5.该项控制与其他控制的相互作用或关系,该项缺陷与其他缺陷之间的相互作用;6.控制缺陷在未来可能产生的影响。以下迹象通常表明财务报告内部控制可能存在重大缺陷:
1.董事、监事和高级管理人员舞弊;
2.重述以前公布的财务报表,以更正由于舞弊或错误导致的重大错报;
3.发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;
4.企业审计委员会和内部审计机构对内部控制的监督无效;
5.针对同一重要账户、列报及其相关认定或内部控制要素存在多项缺陷;
6.本年度内受到监管机构的处罚;
7.发生重大损失,能够合理证明该损失是由于一个或多个控制缺陷而导致。
以下迹象通常表明财务报告内部控制可能存在重要缺陷:
1.未依照公认会计准则选择和应用会计政策;
2.未建立反舞弊程序和控制措施;
3.对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制;
4.对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。
一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
(二)非财务报告内控缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全、经营目标、合规目标等。公司从定量和定性两个方面确定非财务报告内控缺陷的认定标准。
定量标准:
| 一般缺陷 | 重要缺陷 | 重大缺陷 | |
| 定量标准 (影响程度) | <税前利润2.5% | ≥税前利润2.5% 且<税前利润5% | ≥税前利润5% |
定性标准:
非财务报告缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性作判定。如果缺陷发生的可能性较小,会降低工作效率或效果,或加大效果的不确定性,或使之偏离预期目标为一般缺陷;如果缺陷发生的可能性较高,会显著降低工作效率或效果,或显著加大效果的不确定性,或使之显著偏离预期目标为重要缺陷;如果缺陷发生的可能性高,会严重降低工作效率或效果,或严重加大效果的不确定性,或使之严重偏离预期目标为重大缺陷。以下迹象通常表明非财务报告内部控制可能存在重大缺陷:
1.企业缺乏民主决策程序;
2.企业决策程序不科学;
3.违反国家法律、法规;
4.管理人员或技术人员纷纷流失;
5.媒体负面新闻频现;
6.内部控制评价的结果特别是重大或重要缺陷未得到整改;
7.重要业务缺乏制度控制或制度系统性失效。
六、评价结果
(一)执行情况
1.总体情况
通过对公司重点业务流程进行有效性测试,全部达标的测试对象314个,实际执行与现有流程不一致的测试对象2个,未达标的测试对象0个,共计316个,具体测试结果如表《内控测试结果统计表》《内控测试缺陷统计表》所示。
内控测试结果统计表
| 测试结果 | 控制有效 | 未达标流程 | 总计 | ||
| 模块名称 | 实际执行与 现有流程一致 | 实际执行与现有流程不一致 | 小计 | ||
| 组织架构 | 6 | 1 | 7 | 0 | 7 |
| 发展战略 | 9 | 0 | 9 | 0 | 9 |
| 社会责任 | 7 | 0 | 7 | 0 | 7 |
| 企业文化 | 3 | 0 | 3 | 0 | 3 |
| 风险管理 | 8 | 0 | 8 | 0 | 8 |
| 内部信息传递 | 19 | 0 | 19 | 0 | 19 |
| 内部监督 | 14 | 0 | 14 | 0 | 14 |
| 人力资源 | 25 | 0 | 25 | 0 | 25 |
| 资金活动 | 26 | 0 | 26 | 0 | 26 |
| 非主营业务采购 | 16 | 0 | 16 | 0 | 16 |
| 资产管理 | 14 | 0 | 14 | 0 | 14 |
| 担保业务 | 10 | 0 | 10 | 0 | 10 |
| 财务报告 | 21 | 0 | 21 | 0 | 21 |
| 全面预算 | 10 | 0 | 10 | 0 | 10 |
| 合同管理 | 10 | 0 | 10 | 0 | 10 |
| 综合管理 | 14 | 0 | 14 | 0 | 14 |
| 市场拓展 | 10 | 0 | 10 | 0 | 10 |
| 研究与开发 | 24 | 0 | 24 | 0 | 24 |
| 工程总承包管理 | 58 | 1 | 59 | 0 | 59 |
| 信息系统 | 10 | 0 | 10 | 0 | 10 |
| 合计 | 314 | 2 | 316 | 0 | 316 |
内控测试缺陷统计表
| 流程名称 | 缺陷类别 | 缺陷数量 | 缺陷等级 | 缺陷种类 |
| 组织架构 | 执行缺陷 | 1 | 一般缺陷 | 非财报缺陷 |
| 工程总承包管理 | 执行缺陷 | 1 | 一般缺陷 | 非财报缺陷 |
2.实际执行与现有流程不一致情况问题一:个别子公司部分管理制度未能及时更新
(1)问题归属及风险等级
组织架构——公司治理(一般)
(2)问题描述
经查阅资料发现,个别子公司《岗位管理制度》和《固定资产管理制度》未能及时更新。
(3)整改建议
有关子公司正在组织修订相关程序文件与管理制度,管理制度将定期更新。
问题二:个别子公司项目管理计划的评审单,缺少部分评审部门的签字
(1)问题归属及风险等级
工程总承包管理——组织管理(一般)
(2)问题描述
经查阅资料发现,个别子公司管理计划的评审单,缺少部分评审部门的签字。
(3)整改建议
有关子公司评审部门在项目管理计划评审单中补充评审签字,后续项目严格按制度执行。
(二)整改情况
(1)内控缺陷整改完成情况(截至2022年12月31日)
以前年度内控缺陷整改完成情况一览表
| 部门或单位名称 | 整改建议 | 采纳数 | 累计完成 | 整改尚待完成 |
| 2022年1-3月内控自评发现缺陷(一般缺陷) | ||||
| 部分子公司 | 3 | 3 | 3 | 0 |
| 合计 | 3 | 3 | 3 | 0 |
| 2021年2-3月内控自评发现缺陷(一般缺陷) | ||||
| 上海本部 | 1 | 1 | 0 | 1 |
| 部分子公司 | 7 | 7 | 7 | 0 |
| 合计 | 8 | 8 | 7 | 1 |
2022年1-3月内控自评发现的一般缺陷共3项,至2022年底,累计整改完成3项;2021年2-3月内控自评发现的一般缺陷共8项,至2022年底,累计整改完成7项,其他1项已采取措施,正在积极有序整改,2023年将继续推进整改相关工作。
(2)新增和修订规章制度(不包括体系文件)
2022年,中国海诚总部各职能部门集中新编、修订、升级各项制度,已正式
发布制度60余项。上海本部和各子公司也在总部制度的指导下,结合各自组织机构改革、审计、内控评价、风险排查整改等基本完善了本单位各项制度,全面提升了公司制度的有效性,完备制度体系维度,打通各项业务流程,形成有章可循的管理后盾,有效提升企业管理水平,增强企业竞争力,为合规经营打下坚实基础。
七、内部控制有效性结论
公司根据基本规范、评价指引及其他相关法律法规的要求,对公司截至2022年12月31日的内部控制设计与运行的有效性进行了评价。报告期内,公司在内部控制设计与运行方面不存在尚未完成整改的实质性漏洞;公司对纳入评价范围的业务与事项均已建立了内部控制并有效执行,达到了内部控制的目标,不存在实质性漏洞;自内部控制评价报告基准日至内部控制评价报告发出日之间未发生对评价结论产生实质性影响的内部控制的重大变化。
同时,公司理解,内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着内外部环境的变化及时加以调整。未来期间,公司将继续完善内部控制制度,规范内部控制制度执行,强化内部控制监督检查,促进公司健康、可持续发展。
董事长:赵国昂中国海诚工程科技股份有限公司
2023年4月25日