内部受控文件厦门钨业股份有限公司制度文件编号:XTC XX X XXX - XXXX
厦门钨业
内部控制评价办法
版本:2.02025-03-21
厦门钨业股份有限公司
审计部(版权所有,翻版必究)Copyright ? XIAMEN TUNGSTEN CO., LTD All Rights Reserved
目 录
1 目的 ...... 1
2 适用范围 ...... 1
3 定义 ...... 1
4 职责分工 ...... 1
4.1 董事会 ................................................................................................................................. 1
4.2 董事会审计委员会 ............................................................................................................. 1
4.3 审计部 ................................................................................................................................. 1
4.4 被审计单位 ......................................................................................................................... 2
5 内部控制评价的原则 ...... 2
6 内部控制评价范围和内容 ...... 2
6.1 评价范围 ............................................................................................................................. 2
6.2 评价内容 ............................................................................................................................. 2
7 内部控制评价的程序 ...... 3
7.1 内部控制评价流程图 ......................................................................................................... 3
7.2 制定评价工作方案 ............................................................................................................. 4
7.3 组成评价工作组 ................................................................................................................. 5
7.4 实施现场测试 ..................................................................................................................... 5
7.5 完成评价底稿 ..................................................................................................................... 8
7.6 认定控制缺陷 ..................................................................................................................... 8
7.7 汇总评价结果 ................................................................................................................... 10
7.8 反馈评价结果 ................................................................................................................... 10
8 内部控制缺陷的整改 ...... 10
9 内部控制评价报告 ...... 11
10 通则 ...... 12
厦门钨业股份有限公司 审计部
1 目的为促进厦门钨业股份有限公司(以下简称“厦门钨业”或“公司”)全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法规和《企业内部控制基本规范》(财会〔2008〕7号)、《企业内部控制评价指引》制定本办法。2 适用范围本办法适用于公司、分公司、全资子公司、控股子公司(以下统称“被审计单位”)。3 定义内部控制评价是对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程,内部控制有效性包括内部控制设计的有效性和内部控制运行的有效性。4 职责分工
4.1 董事会
4.1.1 审议批准公司内部控制评价报告,并对内部控制评价报告的真实性负责。
4.1.2 审议批准《厦门钨业内部控制评价办法》。
4.2 董事会审计委员会
4.2.1 审议《厦门钨业内部控制评价办法》。
4.2.2 审议批准公司内部控制评价方案。
4.2.3 督促实施公司内部控制评价计划。
4.2.4 审议公司内部控制评价报告,向董事会提交年度内部控制评价报告审议稿。
4.3 审计部
公司授权审计部负责内部控制评价的具体组织实施工作,具体职责如下:
4.3.1 负责开展内部控制测试和评价,编制工作底稿,形成缺陷汇总表。
4.3.2 向董事会审计委员会报告内控评价方案及内部控制评价报告。
4.3.3 及时向董事会审计委员会报告发现内部控制存在的重大缺陷或者重大风险。
厦门钨业股份有限公司 审计部
4.3.4 督促相关责任部门制定内控缺陷整改方案,并监督落实整改。
4.4 被审计单位
4.4.1 提供可靠信息资料,配合内控评价小组进行内部控制评价工作,并与内部控制评
价小组沟通,对现场测试结论达成一致意见。
4.4.2 开展内部控制缺陷整改工作,并及时将整改结果报送审计部。5 内部控制评价的原则实施内部控制评价遵循下列原则:
(1)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖被审计单位的各种业务和事项。
(2)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(3)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。6 内部控制评价范围和内容
审计部每年应结合各单位业务情况和管理需要,确定评价范围和检查重点,确保内部控制评价覆盖范围的合理性、全面性,并重点关注高风险领域。
6.1 评价范围
内部控制评价范围包括公司、资产或营业收入占合并资产或营业收入总比例较高的子公司。纳入评价范围单位的资产总额占公司合并财务报表资产总额的比例不低于80%,营业收入合计占公司合并财务报表营业收入总额的比例不低于80%。
6.2 评价内容
内部控制评价应当根据财政部等五部委联合发布的《企业内部控制基本规范》和《企业内部控制评价指引》,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,结合《厦门钨业内部控制基本规范》的内部控制体系,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
厦门钨业股份有限公司 审计部
(1)公司组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合被审计单位内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
(2)公司组织开展风险评估机制评价,应当以《企业内部控制基本规范》组织开展有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合厦门钨业《全面风险管理制度》以及其他内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
(3)公司组织开展控制活动评价,应当以《企业内部控制基本规范》和应用指引的各项控制措施为依据,结合厦门钨业的内部控制制度,对投资活动、采购业务、研究开发、生产制造、销售业务等业务控制措施的设计和运行情况进行认定和评价。
(4)公司组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,对信息收集、处理和传递的及时性、财务报告的真实性、信息系统及数据的安全性、反舞弊机制的健全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
(5)公司组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,结合内部控制制度,对内部监督机制的有效性进行认定和评价。7 内部控制评价程序
公司内部控制评价应当按照本办法规定的程序,有序开展工作。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告等环节。
7.1 内部控制评价流程图
厦门钨业股份有限公司 审计部
7.2 制定评价工作方案
厦门钨业股份有限公司 审计部
7.2.1 审计部应当根据国家法律法规要求、企业自身经营特点、发展目标及管理要求,
制定科学合理的内控评价工作方案,经董事会审计委员会批准后实施。
7.2.2 评价工作方案应当明确评价范围、工作任务、人员组织、进度安排和费用预算等
相关内容。
7.2.3 内部控制评价应当根据《企业内部控制基本规范》,以风险为导向,在风险评估
的基础上,分析被审计单位业务流程和管理需要,梳理各业务循环的风险和关键控制点,明确各单位的评价重点和审计方法,并相应完善审计底稿的模板。
7.3 组成评价工作组
7.3.1 审计部根据评价工作方案,挑选具备独立性、业务胜任能力和职业道德素养的评
价人员组成评价工作组,明确评价人员的工作职责和分工。评价工作组具体实施内部控制评价工作。
7.3.2 评价工作组应当吸收公司内部熟悉情况的业务骨干参加,但评价工作组成员对其
所在部门的内部控制评价工作应当实行回避。
7.3.3 公司可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计
师事务所,不得同时为同一企业提供内部控制评价服务。提供内部控制评价服务的中介机构按照《厦门钨业总部服务类采购管理规定》进行选聘。
7.4 实施现场测试
7.4.1 评价工作组按照人员分工,综合运用个别访谈、调查问卷、专题讨论、穿行测试、
实地查验、抽样和比较分析等方法对内部控制设计与运行的有效性进行现场检查测试,按要求编制工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。
7.4.2 测试样本选取规则
(1)样本应尽量贯穿业务流程全过程。样本可从财务部门或业务主责部门获取。
(2)样本的选择需考虑交易的同质性。由于内控测试是针对每个控制事项进行的,而每个控制事项可能对应多个业务类型或审批程序等控制手段。为保证测试样本覆盖面完整,在抽取样本时应当根据业务类型的不同而选择相应的样本,针对不同的情况进行
厦门钨业股份有限公司 审计部
独立抽样。
(3)测试要保证测试期间样本的有效性。测试样本抽取的期间应包括年初至测试时点的期间。如果这一测试期间暂无样本(如发生频率为每年一次的控制活动),且控制活动未发生改变,则可抽取以前年度的样本,用以评估测试期间该控制活动执行的有效性。如果控制活动发生改变,则需要在年末或者来年年初进行补充测试。为了避免抽样风险,测试者应在测试期间内相对均匀地选择样本。
(4)测试人员在抽取样本时应独立选择样本。
7.4.3 测试结果的评价
测试结果的评价共分为四种:控制有效、控制无效、样本量不足和未发生交易。
(1)控制有效:对于某个控制事项,当抽取的样本达到规定的样本量时,样本全部满足要求,此控制事项被认为得到有效执行,测试结果为“控制有效”;若初始样本量达到20个以上的控制事项,出现不超过1个的异常样本,可扩充样本量,抽取新的测试样本,新样本全部满足要求,测试结果仍可评价为“控制有效”。
(2)控制无效:对于某个控制事项,抽取样本达到规定样本量时,若出现2个及以上样本不满足控制要求时,测试结果评价为“控制无效”;若初始样本量达到20个以上的控制事项出现了1个异常样本,扩充测试样本量后仍存在异常样本,测试结果仍评价为“控制无效”。
(3)样本量不足:已抽取的样本全部满足要求,只是由于整改或者流程调整导致无法满足要求的样本数量的情形。
(4)未发生交易:控制事项所涉及的业务在测试期间尚未发生的情形,需同时在测试结果备注中说明“经询问XX部门XX该业务在X-X月份未发生”。
7.4.4 设计有效性测试方法
为验证内部控制设计是否有效,要求每年至少进行一次穿行测试。穿行测试样本选取原则 :
(1)样本必须能够代表该流程(或子流程)的典型业务及操作过程;
(2)样本需要尽可能覆盖该流程(或子流程)的所有控制点;
(3)对于上述样本确实无法覆盖的控制点,可以单独选取额外样本进行测试。
7.4.5 运行有效性测试方法
厦门钨业股份有限公司 审计部
(1)针对样本量充足的固定频率的手工控制事项,按下图所示要求抽取样本,样本量及测试有效性的评价结论对应如图所示:
| 手工控制事项 执行频率 | 初始样本量 (不少于) | 异常 样本数量 | 补充 样本数量 | 新异常 样本数量 | 测试结论 |
| 每日多次 | 25 | 0 | — | — | 控制有效 |
| 1 | 15 | 0 | 控制有效 | ||
| ≥ 1 | 控制无效 | ||||
| ≥ 2 | — | — | 控制无效 | ||
| 每日一次或 每周一次以上 | 20 | 0 | — | — | 控制有效 |
| 1 | 8 | 0 | 控制有效 | ||
| ≥ 1 | 控制无效 | ||||
| ≥ 2 | — | — | 控制无效 | ||
| 每周一次或 每月一次以上 | 12 | 0 | — | — | 控制有效 |
| 1 | — | — | 控制无效 | ||
| 每月一次或 每季度一次以上 | 4 | 0 | — | — | 控制有效 |
| 1 | — | — | 控制无效 | ||
| 每季一次或 每半年一次以上 | 2 | 0 | — | — | 控制有效 |
| 1 | — | — | 控制无效 | ||
| 每年一次 | 1 | 0 | — | — | 控制有效 |
| 1 | — | — | 控制无效 |
(2)针对非固定频率的手工控制事项,其抽取的样本量及测试结论对应如下所示:
| 手工控制事项 预计每年发生次数 | 初始样本量 (不少于) | 异常 样本数量 | 补充 样本数量 | 新异常 样本数量 | 测试结论 |
| > 250 | 25 | 0 | — | — | 控制有效 |
| 1 | 15 | 0 | 控制有效 | ||
| ≥ 1 | 控制无效 | ||||
| ≥ 2 | — | — | 控制无效 | ||
| 51-250 | 20 | 0 | — | — | 控制有效 |
| 1 | 8 | 0 | 控制有效 | ||
| ≥1 | 控制无效 | ||||
| ≥ 2 | — | — | 控制无效 | ||
| 16-50 | 12 | 0 | — | — | 控制有效 |
| 1 | — | — | 控制无效 | ||
| 7-15 | 4 | 0 | — | — | 控制有效 |
| 1 | — | — | 控制无效 | ||
| 3-6 | 2 | 0 | — | — | 控制有效 |
| 1 | — | — | 控制无效 | ||
| 1-2 | 1 | 0 | — | — | 控制有效 |
| 1 | — | — | 控制无效 |
7.4.6 由于自动控制是由系统自动完成的,因此自动控制活动的样本均按1个样本量予
厦门钨业股份有限公司 审计部
以抽取。抽取的样本应当是系统中自动控制的截屏。
7.5 完成评价底稿
7.5.1 内控评价人员应遵循客观、公正、公平原则,如实反映检查测试中发现的问题,
并在评价底稿中记录评价工作内容,包括评价要素、主要风险点、采取的控制措施、样本清单以及测试结论。
7.6 认定控制缺陷
7.6.1 内部控制缺陷的分类
(1)按照其成因分为设计缺陷和运行缺陷。
a)设计缺陷,是指缺少为实现控制目标所必需的控制,或现有控制设计不适当、即使正常运行也难以实现预期的控制目标。
b)运行缺陷,是指现存设计的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制。
(2)按照其对财务报告的影响分为财务报告内控缺陷和非财务报告内控缺陷。
a)财务报告内控缺陷,是指在会计确认、计量、记录和报告过程中出现的,对财务报告的真实性和完整性产生直接影响的控制缺陷。
b)非财务报告内控缺陷,是指虽不直接影响财务报告的真实性和完整性,但对企业经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。
(3)按照其影响整体控制目标实现的严重程度,可分为重大缺陷、重要缺陷、一般缺陷。
a)重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。
b)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。
c)一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
7.6.2 内部控制缺陷的认定标准
公司在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其
厦门钨业股份有限公司 审计部
影响程度。公司对内部控制缺陷的认定标准,应当以日常监督和专项监督为基础,由公司审计部进行综合分析后提出认定意见,报请董事会审计委员会审核后,董事会予以最终认定,并作为内控缺陷认定评价的参考依据。
(1)内部控制缺陷认定标准包括财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准两类。财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准均包括定量标准和定性标准。
a)定量标准,即涉及金额的大小,可以根据造成直接损失的绝对金额确定,也可以根据直接损失占本公司资产总额、销售收入及利润等的比率确定。
b)定性标准,即涉及业务性质的严重程度,可根据其直接或潜在负面影响的性质、范围、程度等因素确定。
(2)非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。
7.6.3 内部控制缺陷的认定
(1)内控评价工作组应编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以书面形式向董事会、审计委员会、监事会或者管理层报告。
(2)内部控制缺陷的认定实行逐级审批确认。评价工作组根据现场测试获取的证据,对内部控制缺陷进行初步认定。一般缺陷在评价工作过程中确认;重要缺陷和重大缺陷由评价工作组讨论并提出意见,其中重要缺陷报管理层研究确认,重大缺陷提交董事会审议确认。
(3)财务报告内部控制可能存在重大缺陷的一些迹象:
a)董事、监事和高级管理人员舞弊。b)公司更正已公布的财务报告。c)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报。
d)公司董事会审计委员会和内部审计机构对内部控制的监督无效。
(4)非财务报告内部控制可能存在重大缺陷的一些迹象:
厦门钨业股份有限公司 审计部
a)违反国家法律法规。b)公司缺乏民主决策程序,如缺乏“三重一大”决策程序。c)信息披露内部控制失效,导致公司被监管部门公开谴责。d)内部控制评价的结果特别是重大或重要缺陷未得到整改。e)重要业务缺乏制度控制或制度系统失效。
7.7 汇总评价结果
7.7.1 内控评价底稿是形成内控自我评价报告的依据,评价工作组应交叉检查工作底
稿,汇总评价人员的工作底稿,初步认定内部控制缺陷。
7.7.2 评价工作组分析、汇总评价结果和认定内部控制缺陷,综合判断公司整体控制的
有效性,编制公司内部控制评价缺陷汇总表,缺陷汇总表需被审计单位盖章确认。
7.8 反馈评价结果
7.8.1 评价工作组应召开审计反馈会,向被审计单位和被审计人员通报审计情况,沟通
内控评价发现的问题。
7.8.2 评价工作组应向厦门钨业总部各职能部门反馈内控评价发现的内控缺陷问题,促
进各职能部门健全内部控制制度,并通过举一反三进一步规范内部控制执行。8 内部控制缺陷整改
8.1内控评价工作组在评价过程中发现内部控制缺陷后,应分析该缺陷存在的主要原因,提出整改建议,必要时下发整改通知书。
8.2被审计单位自接到内控缺陷整改清单起15日内,制定有针对性的整改方案并报送审计部。被审计单位收到内控缺陷报告30天内完成整改报告,并将整改报告和整改证明材料一起报送审计部。审计整改流程和要求按《厦门钨业审计问题整改管理办法》执行。
8.3审计部负责跟踪审计问题整改落实情况,各单位整改负责人应按要求及时报告整改完成进度和未能及时完成的原因。
8.4审计部定期就缺陷整改情况向管理层报告,报告不仅要对整改方案的完成进度予以说明,同时要关注整改过程中出现的问题(如困难、需要协调其他部门的事项等)。
厦门钨业股份有限公司 审计部
9 内部控制评价报告
9.1公司审计部负责根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,及时编制内部控制评价报告上报董事会审计委员会审议。评价报告应符合相关监管部门和上海证券交易所的规定和要求。
9.2内部控制评价报告应当报经公司董事会审议批准后对外披露或报送相关部门。内部控制评价报告至少应当披露下列内容:
(1)董事会对内部控制报告真实性的声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
(2)内部控制评价工作的总体情况。明确公司内部控制评价工作的组织、领导机
制、进度安排,是否聘请会计师事务所对内部控制有效性进行独立审计。
(3)内部控制评价的依据。说明公司开展内部控制评价所依据的法律法规和规章制度。
(4)内部控制评价的范围。描述内部控制评价所涵盖的被评价单位,纳入评价范围的业务事项,以及重点关注的高风险领域。内部控制评价的范围如有所遗漏的,应说明原因,及其对内部控制评价报告真实完整性产生的重大影响等。
(5)内部控制评价的程序和方法。描述公司在评价过程中的工作程序和方法。
(6)内部控制缺陷及其认定情况。描述适用本公司的内部控制缺陷具体认定标准,并声明与以前年度保持一致或做出的调整及相应原因;根据内部控制缺陷认定标准,确定期末存在的重大缺陷、重要缺陷和一般缺陷。
(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。对于评价期间发现但期末已完成整改的重大缺陷,说明公司有足够的测试样本显示与该重大缺陷相关的内部控制设计、运行有效。针对评价期末存在的内部控制缺陷,说明控制缺陷的风险级别,及公司对重大缺陷拟采取的整改措施及预期效果。
(8)内部控制有效性的结论。对不存在重大缺陷的情形,出具评价期末内部控制有效的结论;对存在重大缺陷的情形,不得做出内部控制有效的结论,并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度,可能给公司未来生产经营带来相关风
厦门钨业股份有限公司 审计部
险。
9.3公司以每年的12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。
9.4公司应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
9.5内部控制评价的有关文件资料、工作底稿和证明材料等由审计部妥善保管,年度报告应永久保存。10 通则
本办法经公司董事会审议批准后生效,修改时亦同。本办法由公司董事会负责解释。