第一章总则第一条为加强和规范华天酒店集团股份有限公司(以下简称“公司”)内部控制,完善自我约束机制,提高风险防范能力,促进公司可持续发展,根据《中华人民共和国公司法》《中华人民共和国证券法》《企业内部控制基本规范》等法律法规和《公司章程》规定,结合公司实际,制订本制度。
第二条本制度所称内部控制是由公司董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
第三条内部控制管理目标
(一)确保公司经营管理合法合规,以及内部规章制度的贯彻执行;
(二)建立良性的内部环境,提高经营效率和效果,促进公司实现发展战略;
(三)建立切实有效的风险管理机制,从而保证公司的经营管理和资产的安全;
(四)保证内部、外部的信息有效沟通,财务报告及相关信息的真实、完整。
第四条公司的内部控制管理工作应遵循以下原则:
(一)全面性原则:公司内部控制贯穿决策、执行和监
督全过程,覆盖公司及所属全资及控股子公司(以下简称“子公司”)的各种业务和事项。
(二)重要性原则:公司内部控制在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则:公司内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则:内部控制要结合公司实际情况,与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着外部经济环境变化和内部经营管理需要及时加以调整。
(五)成本效益原则:公司内部控制权衡实施成本与预期效益,并以适当的成本实现有效控制。
(六)统一管理、分级负责原则。内控管理按照安全风控部的综合管理和相关专业部门职能管理相结合的方式,由公司统一领导,各部门、子公司分级负责开展工作。
第五条本制度适用于公司各部门、子公司。各子公司参照本制度,结合实际,制定相应制度。
第二章内部控制的总体框架
第六条内部控制基本要素
(一)内部环境。内部环境是公司实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等;
(二)风险评估。风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略;
(三)控制活动。控制活动是公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内;
(四)信息与沟通。信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通;
(五)内部监督评价。内部监督评价是公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性。发现的内部控制缺陷,应当及时加以改进。
第七条内部控制制度的层次
(一)公司层面:公司按照法律、法规、规章及其配套办法、指引,建立健全内部控制制度,保证其完整性、合理性;
(二)各单位(部门)层面:在符合公司总体战略目标的基础上,针对自身业务环节的特点,建立相应的专业管理制度;
(三)各类业务层面:内部控制涵盖公司经营活动中所有的业务环节,主要包括但不限于以下:
1.组织架构环节:包括股东大会、董事会、监事会、经理层和公司内部各层级机构设置、职责权限、人员编制、工
作程序的建立、评估、修订等;
2.发展战略环节:包括发展战略的分析、制订、实施与调整;
3.人力资源环节:包括人力资源的规划、引进、开发、使用、退出等;
4.社会责任环节:包括安全生产、产品质量、环境保护与节约资源、促进就业与员工权益保护等;
5.公司文化环节:包括公司文化的建设、评估与改进等;
6.资金活动环节:包括筹资、投资、资金运营等;
7.采购业务环节:包括计划、申购、审批、采购、验收、付款、评估等;
8.资产管理环节:包括固定资产、存货管理及无形资产等;
9.销售业务环节:包括市场与客户开发、信用管理、业务谈判、订单处理、发货与退货处理、开票与收款、记账等;
10.工程项目环节:包括项目的立项、招标、造价、建设、验收、评估等;
11.担保业务环节:包括调查、评估、审批、执行与监控等;
12.业务外包环节(不涉及工程项目外包):包括对承包方的选择、审批,以及业务外包的实施、控制、验收、评估等;
13.全面预算环节:包括预算的编制、执行与考核等;
14.合同管理环节:包括合同的前期资信调查、谈判、订立、履行、评估等;
15.财务报告环节:包括财务报告的编制、对外提供与分析利用等;
16.内部信息传递环节:包括内部报告的内容设计、及时形成、传递范围和方式与时效、密级分类与使用安全等;
17.信息系统环节:包括信息系统的规划、开发、运行与维护、安全管理等。
第八条公司、子公司制定本单位组织结构图、岗位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。
第三章内部环境
第九条公司的内部环境是公司实施内部控制的基础,包括公司的治理结构、机构设置及权责分配、人力资源政策、激励约束机制、企业文化等。
第十条公司董事会是内部控制的决策机构,负责公司内部控制的建立健全和有效实施,对内部控制的有效性承担最终责任。公司董事会下设审计委员会。审计委员会负责审查公司内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
第十一条公司监事会对董事会建立与实施内部控制进
行监督,对公司财务情况和内部控制建设及执行情况实施必要的检查,督促董事会、经理层及时纠正内部控制缺陷。
第十二条公司经理层负责内部控制具体管理制度的有效实施,及时纠正内部控制存在的缺陷和问题。
第十三条公司各部门、子公司负责建立健全公司和本单位的内部控制基本管理制度,组织本单位内部控制的有效实施,及时纠正本单位内部控制存在的缺陷和问题,并对本单位内部控制不力、不及时纠正内部控制缺陷等承担相应责任。各单位主要负责人为本单位内部控制管理工作第一责任人,各单位应确定内部控制管理工作分管领导和内控管理人员(联络员),负责日常内控管理工作和内部控制制度的持续更新,参与和配合年度内部控制评价工作。
第十四条安全风控部负责拟定公司内部控制基本制度;组织各单位识别、评估风险,设置关键控制措施,制定相应内部控制制度;督促各单位有效实施和不断完善内部控制制度。
第十五条公司制定和实施符合公司发展目标的人力资源政策,建立有效的激励约束机制,将各单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
第十六条公司规范文化建设,树立风控优先的理念,倡导守法、诚信,培育积极向上的价值观和社会责任感。
第四章风险评估第十七条公司各部门、子公司应当根据设定的控制目标,广泛收集与风险管理相关信息。
第十八条公司开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。
第十九条识别内部风险,重点关注下列因素:
(一)董事、监事及高级管理人员的职业操守、员工专业胜任能力等人力资源因素;
(二)组织机构、经营方式、资产管理、业务流程等管理因素;
(三)财务状况、经营成果、现金流量等财务因素;
(四)安全生产、环境保护、员工健康等安全环保因素;
(五)其他有关内部风险因素。
第二十条识别外部风险,重点关注下列因素:
(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;
(二)法律法规、监管要求等法律因素;
(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;
(四)自然灾害、环境状况等自然环境因素;
(五)其他有关外部风险因素。
第二十一条风险评估应采用定性与定量相结合的方
法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。风险评估标准详见附件1。
进行风险分析时,应当充分吸收专业人员或邀请第三方中介机构组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性,避免因个人风险偏好给公司经营带来重大损失。
第二十二条公司根据风险分析的结果,结合风险承受度,权衡风险与收益,综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
第五章控制活动
第二十三条公司结合风险评估结果,通过手工控制与自动控制、预防性控制与检查性控制相结合的方法,将风险控制在可承受度之内。采取的控制措施主要包括但不限于以下:
(一)不相容职务分离控制。将业务流程中所涉及的不相容职务相互分离,形成各司其职、各负其责、相互制约的工作机制;
(二)授权审批控制。根据常规授权和特别授权的规定,明确各岗位权限范围、审批程序和相应责任,各级管理人员应当在授权范围内行使职权和承担责任。公司对于重大的业务和事项实行集体决策审批制度;
(三)会计系统控制。严格执行国家统一的会计准则,
加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。公司依法设置会计机构,配备会计专业人员;
(四)财产保护控制。建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。
(五)预算控制。实施全面预算管理制度,明确各预算责任主体在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
(六)运营分析控制。建立运营情况分析制度,经营管理部门应当综合运用生产、购销、投资、筹资、财务等方面的信息,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进;
(七)绩效考评控制。建立和实施绩效考评制度,科学设置考核指标体系,对公司及各单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据;
(八)重大风险预警机制和突发事件应急处理机制。公司对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
第二十四条公司应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
第六章重点关注的控制活动第二十五条公司应当对控股子公司实行严格的管理控制,至少应当包括下列控制活动:
(一)建立公司对控股子公司控制的架构,确定控股子公司章程的主要条款,明确向控股子公司委派董事、监事及重要管理人员的选任方式和职责权限等;
(二)依据公司战略规划,协调控股子公司的经营策略和风险管理策略,督促控股子公司制定相关业务经营计划和风险管理程序;
(三)制定控股子公司的业绩考核与激励约束制度;
(四)制定控股子公司重大事项报告制度。要求控股子公司及时向公司报告重大业务事项、重大财务事项及其他可能对股票交易价格产生重大影响的信息;
(五)要求控股子公司定期向公司提供财务报告和管理报告;
(六)要求控股子公司及时向公司报送其董事会决议、股东大会决议等重要文件。公司应当定期和不定期地对控股子公司内部控制制度的实施及其检查监督工作进行评价。
第二十六条公司应加强资金的内部控制,实行募集资金与其他资金分开管理,严格执行证监会、证券交易所对募集资金的相关管理规定。募集资金使用的内部控制应遵循规范、安全、高效、透明的原则,遵守承诺。公司建立募集资
金管理制度,明确募集资金存储、审批、使用、变更、监督和责任追究等内容。
第二十七条公司关联交易的内部控制应遵循平等、自愿、等价、有偿、公平、公开、公允的原则,不得损害公司和其他股东的合法权益。公司制定关联交易制度,明确公司股东大会、董事会、经理层对关联交易事项的审批权限,规定关联交易事项的审议程序和回避表决要求。
第二十八条公司对外担保的内部控制应遵循合法、平等、自愿、公平、互利、诚信的原则,严格控制担保风险。公司应制定担保管理制度,明确对外担保事项的审批权限,建立违反审批权限和审议程序的责任追究机制。
第二十九条公司重大投资的内部控制应遵循合法、审慎、安全、有效的原则,控制投资风险、注重投资收益。公司应制定投资管理制度,明确股东大会、董事会对重大投资的审批权限以及相应的审议程序。
第三十条公司应按照《深圳证券交易所股票上市规则》所明确的重大信息的范围和内容做好信息披露工作,建立信息披露事务管理制度。
第七章信息与沟通
第三十一条建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,建立明确的管理报告体系,确保信息及时沟通,促进内部控制有效运行。
第三十二条对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。
内部信息主要来自于:财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道。
外部信息主要来自于:行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道。
第三十三条将内部控制相关信息在各单位、业务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中若发现问题,应当及时加以解决。
第三十四条利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。加强对信息系统开发与维护、访问与变更、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
第三十五条建立反舞弊机制,开展多种反舞弊教育,防范重点领域、关键环节舞弊案件的发生和实施补救。建立举报投诉、举报人保护等制度,设置举报专线和专用邮箱,明确举报投诉处理程序和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。
第八章内部控制的检查监督
第三十六条公司对内控制度的落实情况进行定期和不定期的检查,发现内控制度是否存在缺陷和实施中是否存在问题,并及时予以改进,确保内控制度的有效实施。内部控制缺陷认定标准详见附件2。
第三十七条公司各部门在各自业务监管范围内对子公司落实内部控制基本管理制度情况进行专项检查,及时通报检查情况,并督导跟进整改。
第三十八条内部检查监督应当涵盖公司经营活动中与财务报告和信息披露事务相关的所有业务环节,包括:销货与收款、采购及付款、存货管理、固定资产管理、资金管理、投资与融资管理、人力资源管理、信息系统管理和信息披露事务管理等。
第三十九条内部检查监督部门应当对公司内部控制运行情况进行检查监督,并将检查中发现的内部控制缺陷和异常事项、改进建议及解决进展情况等形成内控检查监督工作报告,向董事会通报。
第四十条公司董事会应当根据内部检查监督部门提交的工作报告及相关资料,对与财务报告和信息披露事务相关的内部控制制度的建立和实施情况出具年度内部控制自我评价报告。
第四十一条会计师事务所在对公司进行年度审计时,应当参照有关主管部门的规定,就公司财务报告内部控制情
况出具内控审计报告。
第四十二条公司应当将内部控制制度的健全完备和有效执行情况,作为对公司各部门、子公司的绩效考核重要指标之一。公司应当建立责任追究机制,对违反内部控制制度和影响内部控制制度执行的有关责任人予以查处。
第九章附则
第四十三条本制度未尽事宜,按国家有关法律、法规及《公司章程》的有关规定执行。本制度如遇国家法律、法规颁布和修订以及《公司章程》修改,致使本制度的内容与上述法律、法规和《公司章程》的规定相抵触,按国家有关法律、法规和《公司章程》的规定执行。安全风控部根据有关法律、法规的规定及公司实际情况,对本制度进行修订并报党委会、总办会、董事会批准。
第四十四条本制度由公司董事会负责解释。
第四十五条本制度自董事会审议通过之日起执行。原2007年6月披露的《内部控制基本规范》同时废止。
附:1.华天酒店集团股份有限公司风险评估标准
2.华天酒店集团股份有限公司内部控制缺陷认定标准
附件1
第一章总则第一条为加强和规范华天酒店集团股份有限公司(以下简称“公司”)的全面风险管理工作,提高风险辨识、评估和防范能力,为风险评估提供依据,合理保证公司经营目标的实现,促进公司可持续发展,结合公司实际,制定本标准。
第二条本标准适用于公司对风险和风险产生的危害进行的合理评估。各分子公司可根据本单位所处行业及主要风险情况制定适合本单位的风险评估标准。
第二章风险评级及划分
第三条风险是指未来的不确定性对企业实现经营目标的影响,风险评级(R)是对风险隐患程度大小的描述,主要是从每个风险点的发生可能性(L)和其一旦发生后对公司目标实现的影响程度(S)两个方面来进行综合评估。
第四条风险评级(R)按综合评分分值分为轻微风险、一般风险、中等风险、重大风险、特别重大风险。具体如下:
-15-
风险评级
| 风险评级 | 分值 |
| 轻微风险 | <4 |
-16-
一般风险
| 一般风险 | 4-8 |
| 中等风险 | 9-14 |
| 重大风险 | 15-19 |
| 特别重大风险 | 20-25 |
第三章风险综合评分的计算第五条针对每一个风险点,从风险发生可能性和风险发生影响程度两个方面进行评估,并给出相应的分值,最终综合评分为这两方面得分的乘积。计算公式如下:
风险综合评分(R)=风险发生可能性(L)x风险影响程度(S)
第六条风险发生可能性(L)
(一)风险发生可能性:指某一风险发生的概率或频率。在考虑风险发生的可能性时,可从相对发生概率和绝对发生次数两个指标考虑,结合风险点实际情况选取一项指标进行评分:
1.该风险相对发生概率
| 评分等级 | 评分等级 | 1=极低 | 2=低 | 3=中等 | 4=高 | 5=极高 |
| 发生概率 | 定量 | 发生风险概率<10% | 发生风险概率在10%-30% | 发生风险概率在30%-60% | 发生风险概率在60%-90% | 发生风险概率>90% |
| 定性 | 在极少情况下才会发生 | 在较少情况下会发生 | 发生频率中等 | 发生频率较普通偏高 | 发生很频繁 |
注:风险发生的概率是指经营运作中重复做某项活动时风险发生的次数占活动发生总量的比率。
2.该风险绝对发生次数
-17-评分等级
| 评分等级 | 评分等级 | 1=极低 | 2=低 | 3=中等 | 4=高 | 5=极高 |
| 发生概率 | 定量 | 5年内可能发生1次 | 3-5年内可能发生1次 | 2-3年内至少发生1次 | 半年至2年内至少发生1次 | 半年内至少发生1次 |
| 定性 | 业务极少发生,发生风险的绝对数量非常少 | 业务较少发生,发生风险的绝对数量很少 | 业务发生频率中等,发生风险的绝对数量不太多 | 业务发生频率偏高,风险发生的绝对数量较多 | 业务发生很频繁,风险发生绝对数量很多 |
第七条风险发生影响程度(S)
(一)风险发生影响程度:指风险失去控制后可能对公司产生的影响程度,影响包括对公司人、财、物及持续发展的影响、政治、社会、环境影响,等等。
(二)对于风险的评估应该与企业的战略目标紧密相连,并关注那些对企业战略目标实现有重要影响的风险。从以下定量或定性的任意一方面进行考虑,并给出相应分值。如果判断一项风险涉及到两个方面或以上,则以评分最高者的分值作为影响程度的分值(取其高原则)。
(三)风险发生的影响程度应综合考虑多方面因素,按照如下方式进行分析(以下数据仅为评分的参考标准,根据实际情况自行评判):
-18-评分等级
| 评分等级 | 1=极轻微 | 2=轻微 | 3=一般 | 4=重要 | 5=重大 |
| 战略影响 | ?对企业战略目标的实现产生极轻微的影响,没有对战略目标的实现产生影响 | ?较小的影响企业战略计划的实施 | ?在一定程度上影响企业战略计划的实施,对战略目标的实现产生较小的影响,通过企业的调整可以挽回 | ?较大的影响企业战略计划的实施,对战略目标的实现产生一定的影响,需要通过较大的调整才能够挽回 | ?重大的影响企业战略计划的实施,对战略目标的实现产生很大的影响,不一定能够通过调整进行挽回 |
| 市场影响 | ?对企业的市场份额及社会形象产生极轻微的影响 | ?较小的影响企业的市场份额?较小的影响企业的销售额?较小的影响产品声誉?较小的影响企业的社会形象?损失了少量的客户基础 | ?在一定程度上影响企业的市场份额?在一定程度上影响企业的销售额?在一定程度上影响产品声誉?短期或有限的社会形象的下降?损失了一定程度的客户基础 | ?较大的影响企业的市场份额?较大的影响企业的销售额?较大的影响产品声誉?暂时的社会形象的下降,但是通过补救措施可以恢复?损失了一块较大的客户基础 | ?在很大程度上影响企业的市场份额?在很大程度上影响企业的销售额?在很大程度上影响产品声誉?公司的社会形象有重大的下降,需要通过较大的补救措施才能够恢复?损失了重大的客户基础 |
-19-
运营影响
| 运营影响 | ?对企业的运营产生极轻微的影响,基本没有造成人员的伤亡或经济损失?普通员工即可以处理该问题,不需要经理级人员参与 | ?在运营系统上的损失导致较小的营运中断,时间长达1-2天,影响范围较小?成本有限的增加对收入和利润产生的影响相对较小?某些员工流失,职位空缺期长至1个月,职位空缺范围在5%内?造成轻微的人员受伤,造成1人轻伤?普通员工具体处理该问题,经理级人员需要给予一定的指导意见 | ?在运营系统上的损失导致较大的营运中断,时间长达3天,在一定范围内影响运营?成本短期的上升对当前的所得和盈利率产生影响?一定数量的员工流失或无法招聘到,职位空缺期长至1-3个月,职位空缺范围在5-10%内?造成少量的人员受伤,造成1至4人轻伤?需要经理级人员对该问题进行处理,但不需要花费很多时间 | ?在运营系统上的损失导致重大的营运中断,时间长达3-5天,在较大范围内影响运营?承受过多的成本对当前的所得和盈利率产生影响?较大数量的员工流失或无法招聘到,职位空缺期长至3个月,职位空缺范围在10%-20%内?造成一定范围的人员受伤,造成5人以上轻伤,或者出现1至2人重伤?需要经理级人员直接处理该事项并上报分 | ?在运营系统上的损失导致严重的影响或正常营运的中断,时间长达5天以上,在很大范围内影响运营?过多的成本严重地影响长期的盈利率和生存能力?相当大数量的员工流失或无法招聘到,职位空缺期超过3个月,职位空缺范围超过20%?造成大范围的人员轻伤,或3人以上重伤,或者出现死亡的情况?需要直接上报分管领导及以上人员并由其直接处理 |
-20-管领导及以上人员
| 管领导及以上人员 | |||||
| 合规影响 | ?对企业的合规行为产生极轻微的影响 | ?在一些不严重并且是独立的案例中,未能遵循法律和法规的要求 | ?在某些情况下,未能遵循法律和法规的要求 | ?未能遵循法律和法规的要求,虽然重大但仍可恢复 | ?未能遵循法律和法规的要求,并且十分严重,影响公司的持续经营 |
| 财务影响 | ?极轻微的财务损失:企业直接财产损失占资产总额的2‰以下 | ?轻微的财务损失:企业直接财产损失占资产总额的2‰(含)-5‰(不含)之间 | ?中等的财务损失:企业直接财产损失占资产总额的5‰(含)-0.25%(不含)之间 | ?重大的财务损失:企业直接财产损失占资产总额的0.25%(含)-0.5%(不含)之间 | ?特大的财务损失:企业直接财产损失占资产总额的0.5%以上 |
附件2
第一章总则第一条为建立建全华天酒店集团股份有限公司(以下简称“公司”)内部控制制度,全面评价内部控制的设计与运行情况,根据《企业内部控制基本规范》《企业内部控制评价指引》等有关规定,结合公司规模、行业特点、内部控制环境、风险承受度等因素,制订本认定标准。
第二章内部控制评价范围第二条公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
(一)纳入评价范围的主要单位包括:全部纳入合并范围的全资及控股子公司。
(二)纳入评价范围的单位占比:
-21-
指标
| 指标 | 占比(%) |
| 纳入评价范围单位的资产总额占公司合并财务报表资产总额之比 | 100 |
| 纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比 | 100 |
(三)纳入评价范围的主要业务和事项包括:
组织架构、发展战略、人力资源、社会责任、企业文化、
资金活动、采购业务、资产管理、销售业务、研究与开发、担保业务、财务报告、全面预算、合同管理、内部信息传递、信息系统。
第三章内部控制缺陷分类第三条内部控制缺陷按其成因分为设计缺陷和运行缺陷。
第四条按照影响公司内部控制目标实现的程度,内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。
(一)一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。
(二)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、管理层的充分关注。
(三)重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。
第四章内部控制缺陷认定标准
第五条按照对财务报告内部控制目标和其他内部控制目标实现的影响具体表现形式,区分财务报告内部控制缺陷和非财务报告内部控制缺陷,从定性和定量两方面考虑,分
别制订相应的缺陷认定标准并判断是否属于重大缺陷、重要缺陷和一般缺陷。
(一)财务报告内部控制缺陷认定标准对于财务报告内部控制缺陷,通过定性和定量的方法将缺陷分为一般缺陷、重要缺陷和重大缺陷。
1.定性标准
(1)一般缺陷:不构成重大缺陷或重要缺陷的其他内部控制缺陷。
(2)重要缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平,仍应引起管理层重视的错报。
(3)重大缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中的重大错报。出现下列情形的,认定为重大缺陷。
①控制环境无效。
②董事、监事和高级管理人员在公司经营管理活动过程中发生的舞弊行为。
③外部审计发现当期财务报告存在重大错报,公司在运行过程中未能发现该错报。
④已经发现并报告给管理层的重大缺陷在合理的时间内未加以改正。
⑤公司董事会预算与审计委员会和审计部对内部控制
的监督无效。
⑥其他可能影响报表使用者正确判断的缺陷。
2.定量标准
-24-指标名称
| 指标名称 | 一般缺陷的标准 | 重要缺陷的标准 | 重大缺陷的标准 |
| 营业收入潜在错报 | 潜在错报<营业收入总额的0.5% | 营业收入总额的0.5%≤潜在错报<收入总额的1% | 潜在错报≥营业收入总额的1% |
| 利润总额潜在错报 | 潜在错报<利润总额的5% | 利润总额的5%≤潜在错报<利润总额的10% | 潜在错报≥利润总额的10% |
| 资产总额潜在错报 | 潜在错报<资产总额的0.5% | 资产总额的0.5%≤潜在错报<资产总额的1% | 潜在错报≥资产总额的1% |
| 所有者权益潜在错报 | 潜在错报<所有者权益总额0.2% | 所有者权益总额的0.2%≤潜在错报<所有者权益总额的0.5% | 潜在错报≥所有者权益总额的0.5% |
说明:以上各项参考指标之间是“或”的关系,只要有一项指标的潜在错报达到重大缺陷的认定标准,则该项缺陷应被认定为重大缺陷。
(二)非财务报告缺陷的认定标准非财务报告缺陷的认定按定性标准和定量标准划分为一般缺陷、重大缺陷和重要缺陷。
1.定性标准
(1)一般缺陷:不属于重大缺陷和重要缺陷范畴的其他缺陷。
(2)重要缺陷:
①违反法律、法规、规章、政府政策、其他规范性文件
等,导致地方政府或监管机构的调查,并责令停业整顿等;
②战略与运营目标或关键业绩指标执行不合理,严重偏离,对战略与运营目标的实现产生明显的消极作用;
③公司因管理失误发生依据下述定量标准认定的重要财产损失,控制活动未能防范该失误;
④财产损失虽然未达到和超过该重要性水平,但从性质上看,仍应引起董事会和管理层重视。
(3)重大缺陷
①严重违反法律、法规、规章、政府政策、其他规范性文件等,导致中央政府或监管机构的调查,并被限令行业退出、吊销营业执照、强制关闭等;
②战略与运营目标或关键业绩指标的执行不合理,严重偏离且存在方向性错误,对战略与运营目标的实现产生严重负面作用;
③重要业务缺乏制度控制或制度系统失效,给公司造成按下述定量标准认定的重大损失。
2.定量标准
-25-指标名称
| 指标名称 | 一般缺陷定量标准 | 重要缺陷定量标准 | 重大缺陷定量标准 |
| 直接财产损失金额 | 财产损失金额<资产总额的0.25% | 资产总额的0.25%≤财产损失金额<资产总额的0.5% | 财产损失金额≥资产总额的0.5% |