哈尔滨哈投投资股份有限公司
内部控制管理办法
(经2020年6月29日第九届董事会第23次临时会议审议通过)
第一章 总则第一条 目的和依据 为加强和规范哈尔滨哈投投资股份有限公司(以下简称“公司”)内部控制,保证公司经营管理合法合规、资产安全、财务报告及相关信息真实、准确、完整,提高经营效率和效果,实现发展战略目标,提升公司风险管控能力,促进规范运作和可持续发展。根据财政部、证监会等国家五部委联合下发的《企业内部控制基本规范》(以下简称“基本规范”)、《企业内部控制应用指引》(以下简称“应用指引”)、《企业内部控制评价指引》(以下简称“评价指引”)等有关法律、法规的相关的要求,并结合公司实际,特制定《内部控制管理办法》(以下简称“本办法”)。
第二条 适用范围本办法适用于公司本部及所属分、子公司。第三条 术语定义
一、内部控制,是由公司董事会、监事会、经营层和全体员工实施的、旨在实现控制目标的过程。
二、内部控制评价,是指公司董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
三、内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
第四条 内部控制五要素
内部控制包括以下五项基本要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
第五条 建立与实施内部控制的原则
一、全面性原则:内部控制应当贯穿决策、执行和监督全过程,覆盖公司本部及所属分、子公司的各种业务和事项。
二、重要性原则:内部控制在兼顾全面的基础上,格外关注重要业务事项和高风险领域。
三、制衡性原则:内部控制应在治理结构、机构设置、权责分配、业务流程等方面相互制约、相互监督、同时兼顾运营效率。
四、适应性原则:内部控制与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。
五、成本效益原则:实施内部控制必须权衡成本与效益,以适当的成本实现有效控制。
六、统一管理,分级负责原则:按照集中、分类、分层管理的模式,公司本部及所属分、子公司在其职责范围内负责落实具体内部控制工作,确保公司内部控制整体目标的实现。
第二章 组织机构与职责
第六条 内部控制组织机构
公司设立由董事会、监事会、经营层、审计部、本部各部室及所属分、子公司构成的内部控制组织机构。
第七条 董事会内部控制职责
董事会是内部控制的最高决策机构,主要职责包括:
一、建立健全公司本部及所属分、子公司的内部控制组织机构,监督其设立与运行情况;
二、批准公司内部控制建设总体目标和规划;
三、审批“本办法”及《公司内部控制缺陷认定标准》;
四、认定内部控制重大或重要缺陷,并审批整改方案;
五、审批年度《内部控制评价报告》,并对评价结果承担最终责任;
六、决策公司内部控制管理的其他重大事项。
董事会下设审计委员会,负责审查、监督内部控制的有效实施和评价情况,协调内部控制审计及其他相关事宜。第八条 监事会内部控制职责
监事会是内部控制的监督机构,主要职责包括:
一、通过参与内部控制事项决策的相关会议,对董事会、经营层有关内部控制建设、运行与评价工作进行监督;
二、审议年度《内部控制评价报告》,并发表意见;
三、监督公司内部控制缺陷的认定情况;
四、监督公司内部控制管理的其他重大事项。
第九条 经营层内部控制职责经营层是内部控制的决策及执行机构,主要职责包括:
一、领导公司本部及所属分、子公司的内部控制管理工作,负责组织公司内部控制的建设、运行与评价,并监督其执行效果;
二、审核“本办法”及《内部控制缺陷认定标准》,提请董事会审批后,组织开展规划及落实工作,推动公司内部控制体系良好运行;
三、审批《内部控制手册》及《内部控制评价手册》的制定和修订;
四、结合公司实际情况,提出应重点关注的业务或事项,并审批内部控制评价方案;
五、审核年度《内部控制评价报告》,并提交董事会审议;
六、对内部控制评价中发现的问题或缺陷,按照董事会或审计委员会的整改意见积极采取有效措施予以整改;
七、认定年度排名前十位的风险领域,并审批风险评估报告;
八、决策内部控制的其他重大事项,并完成董事会交办的其他工作。
第十条 审计部内部控制职责
审计部是公司内部控制常设工作机构,主要职责包括:
一、负责内部控制建设、运行与评价,并监督、检查所属分、子公司内部控制相关工作的完成情况;
二、制定和修订“本办法”及《内部控制缺陷认定标准》;
三、指导并审核《内部控制手册》与《内部控制评价手册》中相关控制点的修订内容,并推动其落实情况;
四、拟定公司内部控制评价方案,组织开展评价工作,并编写《内部控制评价报告》;
五、协调、配合会计师事务所进行内部控制审计工作;
六、组织汇总分析内部控制评价结果,拟订整改方案并跟踪整改落实情况;
七、组织开展风险评估工作,并根据评估结果,确定年度重点关注风险领域,汇总编制《年度风险评估报告》报经营层审批;
八、组织内部控制相关知识培训;
九、完成公司各级领导机构交办的内部控制相关工作。
第十一条 本部各部室内部控制职责本部各部室是内部控制实施的运行机构和责任主体,其主要职责是:
一、按照公司内部控制建设与运行工作的总体部署,确定各部室内部控制的工作内容;
二、对职责范围内的内部控制制度进行梳理,落实内部控制基本要求,建立与《内部控制手册》相对应的制度,并检查其执行情况;
三、报送内部控制管理制度至公司综合办公室,由其统一上报经营层,按规定的权限和程序履行审批手续;
四、根据实际业务变化情况,对《内部控制手册》及《内部控制评价手册》内容提出修订意见,并报部门主管领导审核;
五、配合审计部开展内部控制评价工作;
六、对评价工作中发现的设计及运行缺陷提出整改方案,报送审计部复核,落实内部控制缺陷整改工作,并自查整改效果;
七、配合审计部完成风险评估及内部控制专项检查等工作。
第十二条 所属分、子公司内部控制职责
所属分、子公司是内部控制实施的运行与评价机构和责任主体,其主要职责是:
一、按照公司统一部署,建立和完善本单位的内部控制管理体系;
二、负责审批其内部控制管理制度,并报公司审计部备案;
三、设立内部控制日常工作机构,负责与公司审计部工作对接;组织制定及修订本单位的《内部控制手册》、《内部控制评价手册》,确保与相关制度相对应,并定期自查内部控制管理工作及制度的执行情况;
四、按照公司工作统一要求,定期开展内部控制评价工作,编写本单位年度《内部控制评价报告》,并对其真实性负责;
五、对评价工作中发现的设计及运行缺陷提出整改方案,报送公司审计部复核,落实内部控制缺陷整改工作,并自查整改效果;
六、按照公司风险评估工作要求,组织开展风险评估,并编写本单位年度风险评估报告;
七、配合公司审计部做好内部控制相关监督检查工作;
八、各单位总经理(厂长)为本单位内部控制第一责任人,对单位内部控制的建立健全和有效实施负责。
第三章 内部控制管理
第十三条 内部控制体系框架
建立健全有效的内部控制体系是风险管理的一种手段和方式,通过内部控制将风险降低到可接受的程度内。公司的内部控制体系以《企业内部控制基本规范》及其配套指引为依据,以管理和业务流程为主线,按照以下五项基本要素构建。
一、内部环境:是公司建立与实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
二、风险评估:由目标设定、风险识别、风险分析和风险应对构成,是内部控制的重要环节,在公司生产经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现公司的可持续发展。
三、控制活动:是指结合具体业务和事项,运用相应的控制政策和程序实施控制。控制措施一般包括:不相容职务分离控制,授权审批控制、会计系统控制,财产保护控制、预算控制、运营分析控制、绩效考评控制等。
四、信息与沟通:是指公司及时、准确、完整收集整理与公司经营管理相关的各种内外部信息,并借助信息技术,促使这些信息以恰当的方式在公司各个层级之间进行及时传递、有效沟通和正确使用的过程。
五、内部监督:是公司内部控制得以有效实施的机制保障,在内部控制构成要素中,对内部控制制度的建立与实施和内部控制系统的评价与报告,具有十分重要的作用。
上述内容以《内部控制手册》的形式体现。
第十四条 内部控制体系运行
内部控制体系运行按照“集中、分类、分层”的管理模式,从三方面不断改进和完善。
一、集中管理
公司统一领导内部控制体系建设、实施和评价工作,制定和推动实施内部控制建设规划,制定和维护“本办法”,组织修订公司本部及所属分、子公司的《内部控制手册》和《内部控制评价手册》,组织内部控制评价等工作。
二、分类管理
(一)本部各部室在职责范围内,对《内部控制手册》内容实行分类管理,将其分为若干类别,每一类别确定一个主要负责部门,内容与之相对应。
(二)所属分、子公司应参照公司《内部控制手册》分类管理方式,结合本单位具体业务,落实分类管理工作。
三、分层管理
(一)各层级按照上级的要求,开展本层级的内部控制体系建设工作。
(二)各层级内部控制日常管理机构负责牵头组织本层级的《内部控制手册》和《内部控制评价手册》的实施和修订工作。
(三)各层级负责完成本层级的内部控制评价,并配合公司审计部开展相应内部控制抽查工作。
第十五条 内部控制手册的修订
一、当发生下列事项时,应修订和完善《内部控制手册》及《内部控制评价手册》:
(一)国家相关法律法规、规章制度、行业从业规定、监管部门要求等发生变化;
(二)战略调整、组织机构及管理职责等内部环境发生调整变化;
(三)新业务实施、业务管理要求发生变化;
(四)根据风险评估结果,重大风险或重要风险发生变化;
(五)发生内部控制重大失控事件;
(六)其他事项。
二、修订流程
(一)在上述事项发生时,或年度(半年度)内部控制评价工作完成后,由本部各部室自行提出,或根据审计部内部控制评价工作人员反馈的优化建议,对《内部控制手册》及《内部控制评价手册》进行同步修订。
(二)修订程序应为:各部室填报修订审批单 → 部门主管领导审核 → 审计部审核 → 公司经营层联合审批 → 审计部统一修订手册 → 下发最新版本手册。
(三)所属分、子公司《内部控制手册》及《内部控制评价手册》的修订,应由其内部控制日常工作机构在管理范围内,按照各单位内部控制管理制度规定履行相应审批程序,修订后的手册及审批单报公司审计部备案。
第十六条 内部控制培训
公司及所属分、子公司每年按照对应职责组织开展内部控制培训,内容主要包括《内部控制手册》、《内部控制评价手册》及相关内容,确保各项内部控制措施及评价方法被理解到位。
第十七条 内部控制监督检查
一、公司及所属分、子公司内部控制监督部门在各自职责范围内开展监督工作,由日常监督和专项监督构成:日常监督是指对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或某些方面进行有针对性的监督检查。
二、监督内容为实现控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。
三、监督检查工作应重点关注:
(一)政策影响、管理薄弱、业务复杂、高危作业等重点部门、单位和项目;
(二)重要业务流程的控制措施制定及执行情况、不相容职务分离、反舞弊等;
(三)公司组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化;
(四)内部控制的组织建设情况、组织协调能力等;
(五)国家法律法规、部门规章等变化和修改;
(六)内部控制评价发现的重大和重要缺陷的整改情况。
四、综合运用个别访谈、比较分析、调查问卷、抽样等方法、及专题讨论会等方式,对内部控制建立和运行情况进行检查。
五、监督工作应明确监督的重点、范围、程序及方法等。监督结果应定期形成书面报告,说明监督的内容、范围、方式、检查的情况、意见说明等,报告应向公司审计部备案。
第四章 内部控制评价
第十八条 内部控制评价原则
一、全面性原则。内部控制评价的涵盖范围应当全面,评价工作应当包括内部控制的设计与运行,涵盖公司及所属分、子公司的各种业务和事项。
二、重要性原则。内部控制评价应当在全面性的基础之上,着眼于风险,突出重点。关注影响控制目标的高风险领域、重要业务单元、重大业务事项、关键控制环节和风险点。
三、客观性原则。内部控制评价工作应当准确揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。
第十九条 内部控制评价依据
依据“基本规范”、“评价指引”、公司《内部控制手册》、《内部控制评价手册》及相关管理制度,采用规定的评价程序,围绕内部控制的目标及五个基本要素,确定内部控制评价的具体内容,对内部控制设计与运行的有效性进行全面评价。
第二十条 内部控制评价实施主体
一、公司审计部制定内部控制评价方案,报经营层审批后组织实施。
二、所属分、子公司按照公司下发的内部控制评价方案制定本单位内部控制评价方案,并由其内部控制评价机构组织实施。
第二十一条 内部控制评价程序
制定年度内部控制评价计划和范围、编制内部控制评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编写《内部控制评价报告》等。具体分为以下阶段:
一、准备阶段
(一)制定评价工作方案。内部控制评价机构应当根据公司内部控制监督情况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定检
查评价方法,制定科学合理的评价工作方案,经经营层批准后实施。评价工作方案应当明确评价主体范围、工作任务、进度安排等相关内容。评价工作方案既可以全面评价为主,也可以根据需要采用重点评价的方式。
(二)组成评价工作组。公司审计部负责本部内部控制评价工作;所属分、子公司具体承担其内部控制评价任务。内部控制评价机构根据经批准的评价方案,挑选具备独立性,且业务能力强、职业道德素养高的评价人员实施评价。评价工作组成员应当吸收公司内部相关机构熟悉情况、参与日常评价活动的业务骨干参加,但评价组成员对本部门的内部控制评价工作应当实行回避。
二、实施阶段
(一)了解及沟通被评价单位各类业务单元的基本情况。
(二)确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
(三)开展现场检查测试。评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写《内部控制测试记录表》,详细记录公司执行评价工作的内容,包括评价要素、评价标准、评价和测试方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等,并对发现的内部控制缺陷进行初步认定。
三、汇总评价结果、编制评价报告阶段
(一)评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。内部控制测试记录表应进行交叉复核签字,并由评价工作组负责人审核后签字确认。评价工作组将评价结果向被评价单位进行通报,由被评价单位相关责任人签字确认后,提交公司内部控制评价机构。
(二)内部控制评价机构汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
(三)内部控制评价机构以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制《内部控制评价报告》,并报送公司经营层、董事会和监事会,由董事会最终审批后对外披露。
四、整改阶段
对于认定的内部控制缺陷,内部控制评价机构应当结合董事会和审计委员会要求,提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,公司应当追究相关人员的责任。第二十二条 内部控制评价方法内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行有效性的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
一、个别访谈法
个别访谈法主要用于了解公司内部控制的现状,在公司层面评价及业务层面评价的了解阶段使用。访谈前应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈的内容。
二、调查问卷法
调查问卷法主要用于公司层面评价。调查问卷应尽量扩大对象范围,包括公司各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等)。
三、穿行测试法
穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制流程和控制措施设计的有效性,并识别出关键控制点。
四、抽样法
抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。
五、实地查验法
实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。
六、比较分析法
比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。
七、专题讨论法
对于同时涉及财务、业务、信息技术等方面的控制缺陷,需由内部控制管理部门组织召开专题讨论会议,综合内部各机构、各方面的意见,研究确定缺陷整改方案。
八、其他方法
包括观察、重新执行等方法。
第二十三条 内部控制缺陷的认定
一、公司在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其影响程度。
二、内部控制缺陷的分类从环节上分为设计缺陷和运行缺陷,从与财务报告关系分为财务报告内部控制缺陷和非财务报告内部控制缺陷,从程度上分为重大缺陷、重要缺陷、一般缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
三、内部控制缺陷认定标准的制定包括财务报告内部控制缺陷认定标准和非财务报告内部控制缺陷认定标准两类。
四、内部控制缺陷认定标准包括定性标准和定量标准,定量标准即涉及金额大小,既可以根据造成直接损失绝对金额制定,也可以根据直接损失占本公司资产总额、销售收入及利润等的比率确定;定性标准,即涉及业务性质的严重程度,可根据其直接或潜在负面影响的性质、影响的范围、影响的程度等因素确定。
五、公司《内部控制缺陷认定标准》由董事会最终审批通过,并作为内部控制缺陷认定评价的参考依据。
六、公司对内部控制缺陷的认定应当以日常监督和专项监督为基础,内部控制评价工作组根据现场测试获取的证据,对内部控制缺陷进行初步判断,由公司
内部控制评价机构进行综合分析后提出认定意见,报请经营层审核后,董事会予以最终认定。
七、内部控制评价机构需编制《内部控制缺陷认定汇总表》,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其影响程度进行综合分析和全面复核。重大缺陷的最终认定以及对相关部门的问责由董事会或其授权机构负责。第二十四条 内部控制缺陷的整改
一、内部控制缺陷整改报告应当采取书面形式,可以单独报告,也可以作为内部控制评价报告的一个重要组成部分。
二、内部控制缺陷的报告途径
(一)内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。
(二)对于重大缺陷和重要缺陷及整改方案,应向经营层、董事会报告并审定。
(三)对于一般缺陷,向公司经营层报告,并视情况考虑是否需要向董事会报告。
三、对于认定的内部控制缺陷,应当及时采取整改措施,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
四、内部控制评价机构应当就日常监督、专项监督和年度评价工作中发现的内部控制缺陷提出整改建议,由内部控制评价机构下发整改通知书,制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。
五、对存在整改事项的单位或业务流程部门,应及时按照整改通知书要求,以书面形式上报整改责任人、整改期限、整改措施、整改方法和期限,整改情况上报公司审计部。
第二十五条 内部控制评价报告
一、《内部控制评价报告》是内部控制评价的最终体现,按照编制主体、报送对象和时间,分为对内报告和对外报告。
二、公司对外报告根据“基本规范”、“应用指引”、“评价指引”和“本办法”,并参照相关监管部门和上海证券交易所的通知、指引、问答及工作备忘录等,设计《内部控制评价报告》的内容,明确编制程序和要求,按照规定的权限报经批准后对外报出。
三、《内部控制评价报告》至少应当披露下列内容:
1、董事会对内部控制评价报告真实性的声明;
2、内部控制评价工作的总体情况;
3、内部控制评价的依据;
4、内部控制评价的范围;
5、内部控制缺陷及其认定情况;
6、内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
7、内部控制有效性的结论。
四、公司内部控制评价机构负责根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,及时编制《内部控制评价报告》。
第二十六条 内部控制审计
公司委托会计师事务所对公司进行内部控制评价审计工作,由其编制《内部控制审计报告》,经公司董事会审议后与《内部控制评价报告》同时对外披露。
第二十七条 内控报告对外披露
一、《内部控制评价报告》应参照上海证券交易所公布的当年度定期报告披露要求进行填报,经董事会审议批准后对外披露。
二、公司以12月31日作为年度内部控制评价报告的基准日。《内部控制评价报告》应于基准日后4个月内对外披露,公司内部控制评价机构需关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第五章 内部控制文档管理
第二十八条 内部控制文档的保存
各级内部控制建设及评价部门应按照公司《档案管理办法》的要求,以书面或者其他适当形式妥善保存内部控制建立、实施和评价过程中的相关记录或者资
料,保存时间不少于十年,年度报告应永久保存。确保内部控制建立、实施和评价过程的可验证性。内部控制文档以年度为单位进行保存,主要包括《内部控制手册》(电子版)、《内部控制评价手册》(电子版)、手册更新记录、评价工作底稿、年度评价报告(含审批记录)、缺陷整改相关材料及重要过程文档等。公司审计部及所属分、子公司分别进行保存。第二十九条 内部控制文档的保密内部控制档案严格按照国家和公司的相关规定进行保密管理,并按公司《档案管理办法》履行借阅、复印、封存、销毁等审批手续。
第六章 附则第三十条 本办法由公司董事会审议批准,公司经营层、审计部负责解释。 第三十一条 本办法已包含公司内部控制评价管理办法,通过董事会审议后,经公司第六届董事会第十五次会议审议通过的《哈尔滨哈投投资股份有限公司内部控制评价管理办法》废止。
第三十二条 本办法自颁布之日起实施,至下一次修订前有效。