杭州申昊科技股份有限公司
内部控制管理制度
第一章 总则
第一条 编写目的
为了规范杭州申昊科技股份有限公司(以下简称“公司”)内部控制,促进公司规
范运作和健康发展,根据《中华人民共和国公司法》《中华人民共和国证券法》《深圳
证券交易所上市公司自律监管指引第 2 号——创业板上市公司规范运作》《企业内部控
制基本规范》等有关法律法规及《杭州申昊科技股份有限公司章程》(以下简称“《公
司章程》”)的规定,结合公司实际情况,制定本制度。
第二条 总体要求
为贯彻落实中华人民共和国财政部、中国证券监督管理委员会(以下简称“证监会”)
发布的《关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知》
精神,公司应当建立内部控制及风险管理制度,并设立专职部门或者指定内设部门负责
对公司的重要营运行为、下属公司管控、财务信息披露和法律法规遵守执行情况进行检
查和监督。公司应当完善内部控制制度,确保董事会、股东会等机构合法运作和科学决
策,建立有效的激励约束机制,树立风险防范意识,培育良好的企业精神和内部控制文
化,创造全体职工充分了解并履行职责的环境。
公司依照有关规定定期披露内部控制制度建设及实施情况,以及会计师事务所对公
司内部控制有效性的审计意见。
第三条 术语和定义
(一)风险与风险管理
本制度所规范的风险,指未来的不确定性对企业实现战略规划和经营管理目标产生
的潜在影响。公司将企业风险分为外部风险和内部风险进行区分管理,外部风险包括政
治风险、法律合规风险、社会文化风险、技术风险和市场风险等,内部风险包括战略风
险、运营风险、财务风险等。
本制度所规范的风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节
和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险
管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信
息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)内部控制
本制度所规范的内部控制是由公司董事会、经营管理层和全体员工实施的、旨在实
现控制目标的过程。内部控制以内部环境、风险评估、控制活动、信息与沟通、内部监
督五要素为核心,与每项业务和管理活动的工作目标相对应,通过公司的制度、流程和
关键控制点进行明确和细化。
第四条 适用范围
本制度适用于公司及所属控股子公司各级组织和人员。
公司为实现战略目标而开展的各项经营活动均纳入风险管理与内部控制体系,所有
影响财务报告的业务和非财务报告的关键经营活动均应当建立内部控制机制并保持其
运转良好。
第五条 职责分工
(一)董事会是风险管理与内部控制决策机构
公司董事会应当对公司风险管理体系设计、实施,内部控制制度的制定和有效执行
负责。公司根据内部审计部门出具、审计委员会审议后的评价报告及相关资料,提交董
事会审议通过后,出具年度内部控制评价报告。
(二)经营管理层是内部控制管理机构
根据董事会的授权和决议,经营管理层负责公司风险管理与内部控制体系的建设、
运行,落实职能部门、事业部、各子公司的风险管理与内部控制责任,建立、完善内部
控制制度和流程,并按照相关规范执行控制措施,接受内部监督。综合管理部作为经营
管理层内控管理的常务机构。
织实施;
实施控制措施,管理风险,促成经营机会;
(三)各子公司、事业部、职能部门是内部控制体系责任的落实主体
公司各职能部门、事业部、子公司为风险管理、内部控制体系建设和运行的执行者,
按照内部控制体系和风险管理的统一要求,编制内部控制制度和流程,具体组织落实内
部控制活动。
(四)审计委员会、内部审计部门、外部审计机构是内部控制体系监督机构
内部审计部门应当对公司各内部机构、控股子公司以及对公司具有重大影响的参股
公司的内部控制制度的完整性、合理性及其实施的有效性进行检查和评估。评估的职责
至少包括:
与改进方法;
内部审计部门接受审计委员会的委托,定期开展公司内部控制评价,在人力资源不
足或时间紧张等特殊情况下,可以委托中介机构实施内部控制评价。同时,对各级管理
人员的风险管控能力进行评估,对各级单位的经营风险识别、内部控制体系的设计和运
行提出改进建议。
外部审计机构,即接受公司委托从事内部控制审计的会计师事务所,应当根据《企
业内部控制基本规范》及配套指引和相关执业准则,对公司内部控制的有效性进行审计,
出具内部控制审计报告。为企业内部控制提供咨询的会计师事务所,不得同时为同一企
业提供内部控制审计服务。
第二章 风险管理与内部控制体系的构成
第六条 风险管理与内部控制目标
合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高
经营效率和效果,促进企业实现发展战略。
第七条 建立与实施内部控制体系的基本原则
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司及所属
单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注公司战略决策、重要
业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等
方面相互制约、相互监督,同时应兼顾运营效率。
(四)适应性原则。内部控制应当与公司经营规模、业务范围、竞争状况和风险水
平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现
有效控制。
第八条 内部控制五要素
公司建立与实施有效的内部控制体系,包括下列五项基本要素:
(一)内部环境
合法合规且健康运行的组织环境,是保证内部控制有效的前提。治理结构、机构设
置及权责分配、内部审计、人力资源政策、公司文化等都应当形成规范的制度并被有效
执行。
(二)风险评估
在公司正常运转的过程中,不断识别、评估和应对经营风险(机会)是内部控制体
系运行的第二个要素。由董事会和管理层确认影响公司目标实现的内部和外部风险因素,
并及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对
策略。
(三)控制活动
应当结合对公司整体层面和业务层面风险评估结果,通过手工控制与自动控制、预
防性控制与发现性控制相结合的方法,在各项经营活动中运用相应的控制措施,将风险
控制在可承受度之内。
公司各级组织在建立工作制度和程序时,需引入如下控制手段:不相容职务分离控
制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考
评控制和风险预警与应急处置流程。
要求公司系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,
形成各司其职、各负其责、相互制约的工作机制。
要求公司根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、
审批程序和相应责任。
公司应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严
格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行
的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。
各级管理人员应当在授权范围内行使职权和承担责任。
对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独
进行决策或者擅自改变集体决策。
公司应当严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、
会计账簿和财务会计报告的处理程序,保证会计资料真实完整。依法设置会计机构,配
备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。
公司应当建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期
盘点、账实核对等措施,确保财产安全。同时,应当严格限制未经授权的人员接触和处
置财产。
公司可以实施全面预算管理,明确各责任单位在预算管理中的职责权限,规范预算
的编制、审定、下达和执行程序,强化预算约束。
公司应当建立运营情况分析机制,经营管理层应当综合运用生产、购销、投资、筹
资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情
况分析,发现存在的问题,及时查明原因并加以改进。
公司应当建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单
位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务
晋升、评优、降级、调岗、辞退等的依据。
公司应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对
可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保
突发事件得到及时妥善处理。
(四)信息与沟通
公司应当建立信息与沟通机制,明确内部控制相关信息的收集、处理和传递程序,
确保信息及时沟通,促进内部控制有效运行。内部控制相关信息,包括来源于公司内部
及外部、与公司经营管理相关的信息,包括各类文本信息、数据库信息、多媒体信息、
内部管理报告等。沟通,是指信息在公司内部各层级、各部门之间以及公司与客户、供
应商、监管者和股东等之间的传递。重要信息应当及时传递给董事会和经营管理层。
公司应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中
的作用。同时,加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存
与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、
关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、
报告和补救程序。
建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办
理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度
和举报人保护制度应当及时传达至全体员工。
(五)内部监督
公司应当制定内部控制监督机制,明确内部审计部门在内部监督中的职责权限,规
范内部监督的程序、方法和要求。
内部监督分为日常监督和专项监督。日常监督是指公司对建立与实施内部控制的情
况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、
业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些
方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常
监督的有效性等予以确定。
公司应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分
析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会或者经营管
理层报告。
内部控制缺陷包括设计缺陷和运行缺陷。公司应当跟踪内部控制缺陷整改情况,并
就内部监督中发现的重大缺陷,追究相关责任机构或者责任人的责任。
第九条 建立与实施风险管理体系的基本原则
公司应当在完善内部控制体系运行的基础上,开展风险管理体系的建设与实施。
风险管理体系是对内部控制五要素的“风险评估”要素进行扩充,在内部控制制度
和措施基础上,以“风险”为导向,从风险识别到风险监控,建立一套工作机制,保持
对风险信息的不断收集与应对。
公司风险管理应遵循以下原则:
(一)全面管理与重点防控相结合。企业风险管理应覆盖改革发展和经营管理过程
中所面临的各种风险,并对其中关键风险实施重点管理。
(二)分级分类管理。管理层以管理系统性、组合性重大风险为主,并根据不同种
类的风险特点实施分类监控,由相应职能部门、事业部、子公司负责具体管理。各单位
分别负责管理本单位面临的风险。
(三)领导主抓与全员参与相结合。公司管理层、各机构部门管理人员、全体员工
都要把风险管理融入岗位职责,把防控风险贯彻落实到分管业务各领域和岗位工作全过
程。
(四)可知、可控、可承受。公司应对风险进行事前预测,做到风险可知,通过分
析、评估并制定切实可行的风险管理策略和措施加以防范控制,将风险降至可承受范围
之内。
(五)管业务必须管风险。公司本部各职能部门和各单位是风险管理的责任主体,
对具体业务风险的管理情况负直接责任。
(六)持续改进,动态适应。风险管理要主动适应公司内、外部环境变化,动态研
究风险防控方案,持续完善风险管理体系。
第三章 内部控制制度
公司通过建立、健全内部控制制度,来落实内部控制五要素在具体经营活动中的体
现,以制度和流程来保证公司运行的效率、合法合规性、资产安全和财务报告的可靠性。
第十条 公司层面内控制度
公司应当至少编制和执行符合法律规范要求的下列制度:
(一)公司章程
应当履行有关法律规范的要求,对公司的组建、运转,包括股东会、董事会、经营
管理层等机构和董事、高级管理人员如何行使权利义务进行明确规范,并就股东会、董
事会的运行和重大事项决策、重要干部任免、重大项目投资决策以及大额资金使用的集
体决策机制进行明确,同时将《公司章程》信息对外及时完整地披露。
(二)公司股份变动的管理制度
公司针对股本发生变更的情形及其操作程序、信息披露的规范应当制定有关工作制
度或流程。包括但不限于:发行新股、权益工具,董事、高级管理人员之间股份转让,
股权激励,股利分配,股份回购,配股等。
(三)质量管理制度
公司应当建立产品与服务质量的管理制度,规范安全生产管理、产品质量管理、环
境保护与资源节约等工作,履行必要的社会责任。
(四)员工手册
应当明确公司的企业文化如何构建与维护,公司各级机构的员工职业道德、操守、
行为准则,以及如何营造积极向上的工作氛围,保护员工权益。
(五)对子公司的管理
公司应当重点加强对控股子公司的管理控制,制定对控股子公司的控制政策及程序,
并在充分考虑控股子公司业务特征等的基础上,督促其建立内部控制制度。
(六)信息披露制度
公司应当建立、健全信息披露内部控制制度及程序,保证信息披露的公平性。包括:
动内容安排、人员安排、禁止擅自披露、透露或者泄露未公开重大信息的规定等;
采访等活动予以详细记载,内容应当至少包括活动时间、地点、方式(书面或者口头)、
双方当事人姓名、活动中谈论的有关公司的内容、提供的有关资料等,公司应当在定期
报告中将信息披露备查登记情况予以披露。
(七)会计核算与预算管理制度
公司应当真实、全面、及时地记载各项业务,充分发挥会计的核算监督职能,确保
信息资料的真实与完整。建立会计核算、分析、报告系统,防止出现账外经营、账目不
清等问题。建立预算管理制度,对预算内资金或费用开支实行责任人或授权人限额审批,
超预算额度及预算外的费用开支按照公司预算管理办法及公司费用管理办法相关规定
办理。
(八)信息系统管理制度
对信息系统统一归口管理。建立信息系统的管理制度、操作流程,开发、测试、运
维等不相容岗位适当分离,建立信息系统安全防护机制,建立灾备和应急处理机制。
(九)合同管理制度
公司应当建立合同管理制度,确保合同的签署、履行符合国家法律、法规和公司内
部规章制度的要求。依据公平公正及诚实信用原则订立合同,依法有效监督、管理,保
证履约顺利进行,维护本公司合法权益;逐步建立体系化合同管理平台,实现资源共享,
提高本公司整体合约管理水平,保证合同数据库信息的真实、准确、完整,符合本公司
合同管理及信息披露的要求。
第十一条 业务层面内控制度
(一)日常经营性业务规范
款、代偿债务、代垫款项或者其他方式占用的情形。重点关注募集资金存储、使用、变
更、监督和责任追究的内部控制制度,明确募集资金使用的分级审批权限、决策程序、
风险控制措施及信息披露要求。
审批权限,并指定专人保管印章和登记使用情况。
等,均应当针对不同产品、不同服务的特点,对其产出过程进行制度规范和流程描述,
提高工作效率,降低经营成本。
账实相符,保护资产减少意外损失。
管理,规范计划、实施、验收、成本控制的各项要求,提高项目交付成功率和投资效益。
(二)非日常经营性业务规范
衍生品交易等高风险投资等事项时,董事应当充分关注上市公司是否建立专门内部控制
制度,投资风险是否可控以及风险控制措施是否有效,投资规模是否影响公司正常经营,
资金来源是否为自有资金,是否存在违反规定的投资等情形。
或者公司其他规章制度中明确股东会、董事会审批提供财务资助的审批权限、审议程序
以及违反审批权限、审议程序的责任追究机制,采取充分、有效的风险防范措施。
大投资、信息披露等活动的控制,按照有关规范要求建立相应控制政策和程序。
第十二条 内控制度的编写、更新与检查
公司各职能部门、事业部、子公司的内部控制制度应当遵照公司内部规章制度的相
关要求发布、更新和维护,因工作需要和业务变更而新编、修改相关内部控制制度的,
除履行内部审批会签手续外,应提交内部审计部门检查,判断是否与有关风险管理、内
部控制规范相抵触。
第四章 风险管理工作的开展
公司风险管理工作以公司发展战略为指导,确定风险管理总体目标,统筹安全,充
分发挥信息技术在全面风险管理工作中的基础性、支撑性作用。
第十三条 风险管理内容与流程
公司综合管理部统筹风险识别与分类,各单位部门应根据自身经营管理实际确定风
险管理重点内容,保证重大风险防控不遗漏。重点管理的风险不限于战略风险、市场风
险、财务风险、运营风险、法律风险等。
公司应遵循风险管理基本流程开展工作,风险管理基本流程包括:(一)收集、识
别风险信息;(二)开展风险评估;(三)制定并实施风险管理策略和解决方案;(四)
风险监控、预警和报告;(五)监督与改进。
第十四条 风险信息收集和管理
(一)风险信息分类
各单位部门应广泛、全面、持续的收集与风险和风险管理相关的内外部信息,包括
历史数据和未来预测。信息内容包括但不限于:
竞争对手情况等信息。
等物资供应信息。
融资政策和信息,行业平均指标、先进指标等。
然灾害预警信息,国家和地方安全生产、节能环保政策信息,产品质量、项目进度控制
等信息,资本运作、并购重组等信息。
集是否在合同中体现以及如何应对《数据安全法》对公司大数据战略的影响等,另外包
括这些法律法规调整变化情况,发生的重大法律纠纷案件等信息。
情信息、党风廉政建设等其他信息。
(二)收集整理的方法
综合管理部统筹经营风险有关信息的收集和积累机制,风险信息收集采取定期集中
收集与不定期动态收集方式开展。
子公司、事业部、职能部门应对所收集的风险信息进行识别、分析,并对其真实性
负责,风险管理信息应按管理关系实现与综合管理部的共享,并及时通报公司内部审计
部门。
第十五条 风险评估
(一)风险评估步骤
各职能部门、子公司、事业部应根据收集到的相关信息,对相关风险事项,按照风
险识别、风险分析和风险评价的步骤开展风险评估工作。
风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。
风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。
风险评价是指评估风险可能产生损失的大小及对企业实现经营目标的影响程度。
风险等级原则上分三级:一般风险、中等风险和重大风险。一般风险,指风险发生
可能性较低且风险影响程度较小;中等风险,指风险发生可能性与风险影响程度介于一
般风险与重大风险之间;重大风险,指风险发生的可能性较高且风险影响程度较大。
各职能部门、子公司、事业部应根据风险评估结果,确定各项风险的管理优先顺序
和管理策略。
(二)风险评估频率
公司每年底组织开展一次全面风险评估,各单位部门应按照确定的风险评估模型开
展规范评估。
各单位部门根据工作需要,可以组织开展专项风险评估,相关风险评估模型由组织
单位确定。
综合管理部负责组织建立公司风险信息库,主要包括风险分类、监控指标等信息,
对长期存在或动态变动的风险根据风险评估结果及时修订。
第十六条 风险管理策略和应对
(一)风险管理策略的选择
职能部门、子公司、事业部,应根据自身条件、经营特点和外部环境,围绕发展战
略和经营目标,在进行风险评估基础上,制定风险管理策略。按风险类别和等级确定其
风险偏好和风险承受度,选择风险承担、风险规避、风险转移、风险对冲、风险补偿、
风险控制等适合的风险管理策略。
(二)制定风险管理策略
公司根据战略规划和年度经营目标确定总体风险管理策略,并根据各业务板块的关
键风险按类别确定风险管理策略。
公司在制订年度投资经营计划和预算中应当充分考虑各种主要风险因素,并体现年
度风险管理策略。各职能部门、子公司、事业部应根据年度投资经营计划和预算编制安
排完成风险管理策略的制定工作。
(三)风险(机会)发生时的应对
各职能部门、子公司、事业部应根据风险管理策略,针对各类关键风险或每一项重
大风险制定风险管理解决方案,报有关决策主体审议批准后实施。风险管理解决方案应
包括风险解决具体目标、所涉及的管理及业务流程、所需手段、条件等资源,以及风险
事件发生前、中、后所采取的应对措施等。公司专项风险管理策略和应对方案由相关业
务主管部门负责制订,会签内部审计部门,经业务部门分管领导审核同意后,提交公司
有关会议审议决策。超出自身权限的风险管理解决方案应报总裁审批。
第十七条 风险监控、预警和报告
公司应研究建立风险监控指标体系,完善风险预警机制,对风险管理状况进行实时
监控,及时预警。风险预警指标应与公司生产经营核心绩效指标有机融合,按照相关性、
敏感性、可行性、可衡量性原则设定,根据行业、公司实际情况合理设置正常区域、异
常区域和报警区域的阈值。
综合管理部负责对风险监控指标进行监控、汇总、分析,出现异常或报警信息时,
及时向公司领导报告。
各职能部门、子公司、事业部负责本业务领域的监控指标设计、监测实施和报告等
工作。
各单位应在公司重大风险应急处置指导原则下制定应急处置预案,根据实际情况对
预案及时调整、优化、做好自身风险监控指标的监测。
公司建立风险管理沟通与报告制度,管理层与所辖各职能部门、子公司、事业部每
年初结合内部控制评价情况,向董事会报送年度《全面风险管理工作报告》以及后续风
险监控情况报告。
事业部、子公司在日常工作中突然发生风险事件(事故)或发现重大风险隐患,应
及时向归口职能部门、分管领导报告。各职能部门日常工作中突然发生风险事件(事故)
或发现重大风险隐患,应及时向公司总裁报告,不得拖延和隐瞒。
第十八条 风险文化培育
公司各级管理人员和全体员工要牢固树立风险意识,强化以风险管理为导向的经营
发展理念,将风险管理贯穿于经营管理的全过程,内化为自觉行动。
各职能部门、子公司、事业部要进一步将风险管理理念融入企业文化,培育具有自
身特色的风险管理文化。结合本单位实际情况和历史经验,加强风险管理理念、风险管
理方法、风险管理制度体系和风险典型案例的宣传,大力营造良好的风险管理氛围。
第十九条 监督、考核和问责
各事业部、子公司应加强风险管理工作自查,可以与本单位内控自评工作协同开展,
发现问题及时整改。公司各职能部门负责对所属各单位相关领域的风险管理工作进行监
督与检查,并向公司有关领导报告相关情况。
公司人力资源部门每年末对各部门和各单位的风险管理、内部控制工作进行考核评
价,重点考核风险管理体系的健全性和有效性,考核结果纳入公司绩效考评体系。
公司内部审计部门定期组织开展风险管理责任的落实检查,指导督促各单位提升风
险管理水平,评价各级管理人员的风险管控能力。
第五章 内部控制评价与审计
第二十条 内部控制评价的组织、范围、频率
内部控制评价是内部控制五要素“内部监督”的形式之一。公司应根据有关规范,
定期组织对内部控制体系建设与运行、内部控制制度设计与执行的有效性进行评价,出
具内部控制评价报告。
公司内部审计部门根据每年度的审计计划,组织各职能部门、事业部、子公司开展
内部控制评估。评估结果经审计委员会讨论确认后提交董事会审议,并作为董事会出具
年度内部控制评价报告的基准。内部控制评价发现的缺陷,各被审计机构在应当制定改
进措施、步骤,由内部审计部门跟踪其整改情况,并进行考核。
公司及所属机构、部门的所有经营活动都纳入内部控制评价的范畴,内部控制评价
工作每年至少开展一次,具体工作程序和要求以内部审计部门制定的内部控制评价工作
细则为准。各职能部门、事业部、子公司应当建立内部控制联络人机制,根据内部审计
部门的要求,安排各自的人员访谈、证据收集和内部控制制度维护的统筹工作,提升内
部控制评价工作效率。
第二十一条 内部控制评价的工作程序
内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、
认定控制缺陷汇总评价结果、编报评价报告等环节。
内部审计部门应当拟订评价工作方案,明确评价范围、工作任务、人员组织、进度
安排和费用预算等相关内容,报董事会或其授权机构审批后实施。
内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具体实
施内部控制评价工作。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加。
评价工作组成员对本机构的内部控制评价工作应当实行回避制度。
公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计服务的会计师
事务所,不得同时为公司提供内部控制评价服务。
内部控制评价工作组应当对被评价机构进行现场测试,综合运用个别访谈、调查问
卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价机构内
部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研
究分析内部控制缺陷。
第二十二条 内部控制评价报告
公司应当以内部控制评价工作获取的测试、评价证据为基础,如实编制和对外提供
年度内部控制评价报告,不得含有虚假的信息或者隐瞒重要事实。
内部控制评价的结论以内部控制评价报告的形式体现。公司至少应当在每年年末出
具年度内部控制评价报告,并根据内控工作需要可在年中期间执行半年度内部控制评价
或专项审计工作。
第二十三条 内部控制审计报告
公司或股东聘请的会计师事务所在出具年度审计报告的同时,应当对公司内部控制
的有效性发表审计意见,形成内部控制审计报告。内部控制审计报告的编制与披露由注
册会计师参照《企业内部控制审计指引》和有关审计准则开展工作。
公司内部控制审计报告应当与内部控制评价报告同时对外披露或报送。
第六章 内部控制相关信息披露
第二十四条 内部控制制度的披露
根据对上市公司的各类监管要求,至少下列有关内部控制制度的建立、更新都要履
行对外信息披露义务。
(一)募集资金管理制度。公司应当将募集资金存储、使用和管理的内部控制制度
及时报所属证券交易所备案并在该所网站上披露。
(二)董事、高级管理人员股份管理制度。公司应当建立董事、高级管理人员所持
本公司股份及其变动的专项管理制度,明确上述人员买卖本公司股份的报告、申报和监
督程序,并对外披露。
(三)信息披露制度。公司应当将其信息披露的内部控制制度公开。
(四)根据公司经营活动发生的变化和监管要求的变化,及时调整和更新业已披露
的内部控制相关制度。
第二十五条 年度内部控制评价报告的披露
内部控制评价报告每年至少披露一次。但是无论是否有明确要求,凡对投资者投资
决策有重大影响的内部控制信息,公司均应充分披露。
公司董事会及全体董事应保证提供的年度内部控制评价报告不存在虚假记载、误导
性陈述或重大遗漏,并就年度内部控制评价报告的真实性、准确性、完整性承担个别和
连带的法律责任。
公司编制的年度内部控制评价报告经董事会审议通过,并按定期报告相关要求审核
后,与年度报告一并对外披露。披露的格式可参考《公开发行证券的公司信息披露编报
规则第 21 号——年度内部控制评价报告的一般规定》、《公开发行证券的公司信息披
露内容与格式准则第 2 号——年度报告的内容与格式》等规定执行。
第七章 附则
第二十六条 本制度未尽事宜,依照国家有关法律、法规、规范性文件以及《公司
章程》的有关规定执行。本制度与国家有关法律法规和《公司章程》相抵触时,以国家
有关法律法规和《公司章程》的规定为准。
第二十七条 本制度由公司董事会负责解释、修订,自公司董事会审议通过之日起
生效。
杭州申昊科技股份有限公司
首页
微信公众号
证券之星APP
