北京中科三环高技术股份有限公司
内部控制评价制度
(2025 年 11 月 10 日 经公司第九届董事会 2025 年第五次临时会议审议通过)
第一章 总 则
第一条 为规范北京中科三环高技术股份有限公司(以下简称“公司”)、公
司各子公司内部控制评价工作,及时发现公司、子公司内部控制缺陷,提出和实
施改进方案,确保内部控制有效运行,根据《企业内部控制基本规范》、
《企业内
部控制评价指引》等国家有关法律法规和《公司章程》制定本制度。
第二条 本制度所称内部控制评价,是指由公司、子公司董事会和管理层实
施的,对公司、子公司内部控制有效性进行评价,形成评价结论,出具评价报告
的过程。内部控制有效性是指公司、子公司建立与实施内部控制能够为控制目标
的实现提供合理的保证。
第三条 公司、子公司应当根据国家有关法律法规和《企业内部控制基本规
范》、
《企业内部控制评价指引》的要求,结合公司、子公司实际情况,对战略目
标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全
目标、合法合规目标等单个或整体控制目标的实现进行评价。
第四条 公司、子公司实施内部控制评价,应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及
其子公司的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、
重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反
映内部控制设计与运行的有效性。
第五条 公司董事会及其审计委员会负责领导内部控制评价工作。
第六条 董事会授权内控审计部负责组织和实施内部控制评价工作。
第七条 公司、子公司内部控制评价,一般包括年度评价和专项评价。年度
评价是指公司、子公司根据内部控制目标,对公司、子公司某一年度建立与实施
内部控制的有效性进行的评价;专项评价是指公司、子公司在特定时点对特定范
围的内部控制的有效性进行的评价。
第二章 内部控制评价的内容和标准
第八条 公司、子公司应当对与实现整体控制目标相关的内部环境、风险评
估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性
的评价。
第九条 公司、子公司实施内部控制评价,包括对内部控制设计有效性和运
行有效性的评价。
内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并
且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执
行。
第十条 应用信息系统加强内部控制的,应当对信息系统的有效性进行评价,
包括信息系统一般控制评价和信息系统应用控制评价。
一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序
变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于公
司、子公司内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理
性。应用控制评价应当结合公司、子公司业务流程特点,着重考虑信息系统中与
业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和
合规性。
第十一条 对公司、子公司内部控制有效性的评价,应当至少涉及下列内容:
(一)内部控制是否在风险评估的基础上涵盖了公司及子公司层面的风险和
所有重要的业务流程层面的风险。
(二)内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科
学、阶段性工作要求是否合理。
(三)内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是
否合理。
(四)是否开展内部控制自查并向董事会、董事会审计委员会提交有关自查
报告。
(五)是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。
(六)在评价期间是否出现过重大风险事故等。
第三章 内部控制评价的程序和方法
第十二条 公司实施内部控制评价的步骤是:1、制定评价工作方案;2、组
成评价工作组;3、实施现场测试;4、认定控制缺陷;5、汇总评价结果;6、编
报评价报告。
第十三条 每年初,内控审计部根据公司整体控制目标,制定内部控制评价
工作方案,明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内
容,报董事会审计委员会审批。
第十四条 内部控制评价范围的确定遵循风险导向、自上而下的原则来确定
需要评价的分支机构、重要业务单元、重点业务领域或流程环节。
第十五条 内控审计部根据审批通过的评价方案组织实施内部控制评价工作,
通过适当的方法收集、确认、分析相关信息,确定与实现整体控制目标相关的风
险及细化控制目标,并在此基础上辨识与细化控制目标相对应的控制活动,然后
针对控制活动进行必要的测试,获取充分、相关、可靠的证据对内部控制的有效
性进行评价,并做出书面记录。
第十六条 内部控制评估和测试的方法主要包括:
(一)个别访谈法。是指根据内控审计部检查评价需要,对被查部门、子公
司员工进行单独访谈,以获取有关信息。
(二)调查问卷法。是指设置问卷调查表,分别对不同层次的员工进行问卷
调查,根据调查结果对相关项目作出评价。
(三)比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得
评价证据的方法。
(四)标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行
比较而对控制设计有效性评价的方法。
(五)穿行测试法。是指通过抽取一份全过程的文件,来了解整个业务流程
执行情况的评估评价方法。
(六)抽样法。是指公司针对具体的内部控制业务流程,按照业务发生频率
及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本
的符合性进行判断,进而对业务流程控制运行的有效性作出评价。
(七)实地查验法。是指对财产进行盘点、清查,以及对存货出、入库等控
制环节进行现场查验。
(八)重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制
执行情况的方法。
(九)专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程
的特定项目或具体问题进行讨论及评估的一种方法。
第十七条 内控审计部根据通过评估和测试获取与内部控制有效性相关的证
据,并合理保证证据的充分性和适当性。
证据的充分性是指获取证据的数量应当能合理保证相关控制的有效;证据的
适当性是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制
的实际运行状况。
第十八条 内控审计部根据所收集的证据,判断相关控制的设计与运行是否
有效。公司在判断内部控制设计与运行有效性时,充分考虑下列因素:
(一)是否针对风险设置了合理的细化控制目标。
(二)是否针对细化控制目标设置了对应的控制活动。
(三)相关控制活动是如何运行的。
(四)相关控制活动是否得到了持续一致的运行。
(五)实施相关控制活动的人员是否具备必需的权限和能力。
第十九条 公司应当充分评估下列因素导致内部控制失效的风险:
(一)控制活动的类型,一般包括人工控制和自动控制、预防性控制和发现
性控制等。
(二)控制活动的复杂性,通常与企业组织结构、市场环境、经营规模、人
员素质等相关。
(三)高级管理人员逾越内部控制的风险。
(四)实施控制活动所需要的职业判断的程度。
(五)控制活动所针对风险事项的性质及其重要性。
(六)一项控制活动对其他控制活动有效性的依赖程度。
第二十条 内控审计部及其工作人员应该及时记录开展内部控制评价工作的
方法和程序并以适当形式妥善保存相关证据。
第二十一条 内控审计部根据评估结果和经核实的证据,确认内部控制缺陷,
出具评价结论,编制评价报告,报送董事会及其审计委员会审阅。
第四章 内部控制缺陷认定和评价报告
第二十二条 在内部控制评价中,应当对内部控制缺陷进行分类分析。内部
控制缺陷一般可分为设计缺陷和运行缺陷。
(一)设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不
适当、即使正常运行也难以实现控制目标。
(二)运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没
有获得必要授权或缺乏胜任能力以有效地实施控制。
第二十三条 对内部控制评价过程中发现的问题,应当从定量和定性等方面
进行衡量,判断是否构成内部控制缺陷。
存在下列情况之一,应当认定内部控制存在设计或运行缺陷:
(一)未实现规定的控制目标。
(二)未执行规定的控制活动。
(三)突破规定的权限。
(四)不能及时提供控制运行有效的相关证据。
第二十四条 根据内部控制缺陷影响整体控制目标实现的严重程度,将内部
控制缺陷分为一般缺陷、重要缺陷和重大缺陷(也称实质性漏洞,以下统称重大
缺陷)。
重大缺陷,是指一个或多个一般缺陷的组合,可能严重影响内部整体控制的
有效性,进而导致公司无法及时防范或发现严重偏离整体控制目标的情形。
重要缺陷,是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但
导致公司无法及时防范或发现偏离整体控制目标的严重程度依然重大,须引起公
司管理层关注。内控审计部和管理层应当合理确定相关目标发生偏差的可容忍水
平,从而对严重偏离的情形予以确定。
第二十五条 判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因
素:
(一)影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。
(二)针对同一细化控制目标所采取的不同控制活动之间的相互作用。
(三)针对同一细化控制目标是否存在其他补偿性控制活动。
第二十六条 内控审计部根据内部控制评价过程中发现的内部控制缺陷,督
促相关单位或部门进行整改,并对整改结果进行核查和确认。
第二十七条 对于为实现单个或整体控制目标而设计与运行的控制不存在重
大缺陷的情形,应当认定针对这些整体控制目标的内部控制是有效的。
对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺
陷的情形,应当认定针对该项整体控制目标的内部控制是无效的。
第二十八条 对于因业务流程外包等原因造成无法评价特定业务、特定流程
的内部控制有效性的情形,应当充分考虑该项业务流程及其相关控制的重要性,
确定其对整体控制目标有效性评价的影响。
第二十九条 内控审计部应当结合年末控制缺陷的整改结果,编制年度内部
控制评价报告。
内部控制评价报告至少应当包括下列内容:
(一)内部控制评价的目的和责任主体。
(二)内部控制评价的内容和所依据的标准。
(三)内部控制评价的程序和所采用的方法。
(四)衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法。
(五)被评估的内部控制整体目标是否有效的结论。
(六)被评估的内部控制整体目标如果无效,存在的重大缺陷及其可能的影
响。
(七)造成重大缺陷的原因及相关责任人。
(八)所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及
补救措施的实施计划等。
第三十条 公司可以根据被评估的整体控制目标的不同,适当调整评价报告
的内容。
应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影
响财务报告控制目标有效性的所有重大变化。
第三十一条 为与证券交易所内控评价要求相匹配,内部控制评价至少每年
实施一次(并在时间安排上提前于外部评价),对内部控制整体有效性进行评价、
出具评价报告,并向董事会及其审计委员会报告内部控制设计与运行环节存在的
主要问题以及将要采取的整改措施。
第三十二条 公司将内部控制评价报告作为进一步完善内部控制、提高经营
管理水平和风险防范能力的重要依据。
对于内部控制评价报告中列示的问题,应当采取适当的措施进行改进,并追
究相关人员的责任。
董事会审计委员会根据评价结论对相关单位、部门或人员实施适当的奖励和
惩戒。
第五章 附 则
第三十三条 本制度由董事会审计委员会负责解释。
第三十四条 本制度自公司董事会批准之日起执行。
北京中科三环高技术股份有限公司
首页
微信公众号
证券之星APP
