内部受控文件
厦门钨业股份有限公司
制度文件编号:XTC 20 1 002 - 2026
厦门钨业
内部控制评价办法
版本:3.0
厦门钨业股份有限公司
审计部
(版权所有,翻版必究)
Copyright XIAMEN TUNGSTEN CO., LTD All Rights Reserved
目 录
《厦门钨业内部控制评价制度》版本:3.0 页码:1
为促进厦门钨业股份有限公司(以下简称“厦门钨业”或“公司”)全面评价内部
控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有
关法律法规和《企业内部控制基本规范》(财会〔2008〕7 号)、
《企业内部控制评价指引》
制定本办法。
本办法适用于公司、分公司、全资子公司、控股子公司(以下统称“被审计单位”)。
内部控制评价是对内部控制的有效性进行全面评价、形成评价结论、出具评价报告
的过程,内部控制有效性包括内部控制设计的有效性和内部控制运行的有效性。
公司授权审计部负责内部控制评价的具体组织实施工作,具体职责如下:
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:2
价小组沟通,对现场测试结论达成一致意见。
实施内部控制评价遵循下列原则:
(1)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖被审计单位的
各种业务和事项。
(2)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大
业务事项和高风险领域。
(3)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部
控制设计与运行的有效性。
审计部每年应结合各单位业务情况和管理需要,确定评价范围和检查重点,确保内
部控制评价覆盖范围的合理性、全面性,并重点关注高风险领域。
内部控制评价范围包括公司、资产或营业收入占合并资产或营业收入总比例较高的
子公司。纳入评价范围单位的资产总额占公司合并财务报表资产总额的比例不低于 80%,
营业收入合计占公司合并财务报表营业收入总额的比例不低于 80%。
内部控制评价应当根据财政部等五部委联合发布的《企业内部控制基本规范》和《企
业内部控制评价指引》,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督
等要素,结合《厦门钨业内部控制基本规范》的内部控制体系,确定内部控制评价的具
体内容,对内部控制设计与运行情况进行全面评价。
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:3
(1)公司组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业
文化、社会责任等应用指引为依据,结合被审计单位内部控制制度,对内部环境的设计
及实际运行情况进行认定和评价。
(2)公司组织开展风险评估机制评价,应当以《企业内部控制基本规范》组织开
展有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合厦门钨业《全
面风险管理制度》以及其他内部控制制度,对日常经营管理过程中的风险识别、风险分
析、应对策略等进行认定和评价。
(3)公司组织开展控制活动评价,应当以《企业内部控制基本规范》和应用指引
的各项控制措施为依据,结合厦门钨业的内部控制制度,对投资活动、采购业务、研究
开发、生产制造、销售业务等业务控制措施的设计和运行情况进行认定和评价。
(4)公司组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统
等相关应用指引为依据,对信息收集、处理和传递的及时性、财务报告的真实性、信息
系统及数据的安全性、反舞弊机制的健全性,以及利用信息系统实施内部控制的有效性
等进行认定和评价。
(5)公司组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监
督的要求,结合内部控制制度,对内部监督机制的有效性进行认定和评价。
公司内部控制评价应当按照本办法规定的程序,有序开展工作。内部控制评价程序
一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总
评价结果、编制评价报告等环节。
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:4
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:5
制定科学合理的内控评价工作方案,经董事会审计委员会批准后实施。
相关内容。
的基础上,分析被审计单位业务流程和管理需要,梳理各业务循环的风险和关
键控制点,明确各单位的评价重点和审计方法,并相应完善审计底稿的模板。
价人员组成评价工作组,明确评价人员的工作职责和分工。评价工作组具体实
施内部控制评价工作。
所在部门的内部控制评价工作应当实行回避。
师事务所,不得同时为同一企业提供内部控制评价服务。提供内部控制评价服务
的中介机构按照《厦门钨业总部服务类采购管理规定》进行选聘。
实地查验、抽样和比较分析等方法对内部控制设计与运行的有效性进行现场检查
测试,按要求编制工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行
初步认定。
(1)样本应尽量贯穿业务流程全过程。样本可从财务部门或业务主责部门获取。
(2)样本的选择需考虑交易的同质性。由于内控测试是针对每个控制事项进行的,
而每个控制事项可能对应多个业务类型或审批程序等控制手段。为保证测试样本覆盖面
完整,在抽取样本时应当根据业务类型的不同而选择相应的样本,针对不同的情况进行
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:6
独立抽样。
(3)测试要保证测试期间样本的有效性。测试样本抽取的期间应包括年初至测试
时点的期间。如果这一测试期间暂无样本(如发生频率为每年一次的控制活动),且控
制活动未发生改变,则可抽取以前年度的样本,用以评估测试期间该控制活动执行的有
效性。如果控制活动发生改变,则需要在年末或者来年年初进行补充测试。为了避免抽
样风险,测试者应在测试期间内相对均匀地选择样本。
(4)测试人员在抽取样本时应独立选择样本。
测试结果的评价共分为四种:控制有效、控制无效、样本量不足和未发生交易。
(1)控制有效:对于某个控制事项,当抽取的样本达到规定的样本量时,样本全
部满足要求,此控制事项被认为得到有效执行,测试结果为“控制有效”;若初始样本
量达到 20 个以上的控制事项,出现不超过 1 个的异常样本,可扩充样本量,抽取新的
测试样本,新样本全部满足要求,测试结果仍可评价为“控制有效”。
(2)控制无效:对于某个控制事项,抽取样本达到规定样本量时,若出现 2 个及
以上样本不满足控制要求时,测试结果评价为“控制无效”;若初始样本量达到 20 个
以上的控制事项出现了 1 个异常样本,扩充测试样本量后仍存在异常样本,测试结果仍
评价为“控制无效”。
(3)样本量不足:已抽取的样本全部满足要求,只是由于整改或者流程调整导致
无法满足要求的样本数量的情形。
(4)未发生交易:控制事项所涉及的业务在测试期间尚未发生的情形,需同时在
测试结果备注中说明“经询问 XX 部门 XX 该业务在 X-X 月份未发生”。
为验证内部控制设计是否有效,要求每年至少进行一次穿行测试。穿行测试样本选
取原则 :
(1)样本必须能够代表该流程(或子流程)的典型业务及操作过程;
(2)样本需要尽可能覆盖该流程(或子流程)的所有控制点;
(3)对于上述样本确实无法覆盖的控制点,可以单独选取额外样本进行测试。
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:7
(1)针对样本量充足的固定频率的手工控制事项,按下图所示要求抽取样本,样
本量及测试有效性的评价结论对应如图所示:
手工控制事项 初始样本量 异常 补充 新异常 测试结论
执行频率 (不少于) 样本数量 样本数量 样本数量
每日多次 25 0 — — 控制有效
≥ 1 控制无效
≥ 2 — — 控制无效
每日一次或 20 0 — — 控制有效
每周一次以上 1 8 0 控制有效
≥ 1 控制无效
≥ 2 — — 控制无效
每周一次或 12 0 — — 控制有效
每月一次以上 1 — — 控制无效
每月一次或 4 0 — — 控制有效
每季度一次以上 1 — — 控制无效
每季一次或 2 0 — 控制有效
每半年一次以上 —
每年一次 1 0 — — 控制有效
(2)针对非固定频率的手工控制事项,其抽取的样本量及测试结论对应如下所示:
手工控制事项 初始样本量 异常 补充 新异常 测试结论
预计每年发生次数 (不少于) 样本数量 样本数量 样本数量
> 250 25 1 15
≥ 1 控制无效
≥ 2 — — 控制无效
≥1 控制无效
≥ 2 — — 控制无效
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:8
以抽取。抽取的样本应当是系统中自动控制的截屏。
并在评价底稿中记录评价工作内容,包括评价要素、主要风险点、采取的控制措
施、样本清单以及测试结论。
(1)按照其成因分为设计缺陷和运行缺陷。
a)设计缺陷,是指缺少为实现控制目标所必需的控制,或现有控制设计不适当、
即使正常运行也难以实现预期的控制目标。
b)运行缺陷,是指现存设计的控制没有按设计意图运行,或执行人员没有获得
必要授权或缺乏胜任能力,无法有效地实施内部控制。
(2)按照其对财务报告的影响分为财务报告内控缺陷和非财务报告内控缺陷。
a)财务报告内控缺陷,是指在会计确认、计量、记录和报告过程中出现的,对
财务报告的真实性和完整性产生直接影响的控制缺陷。
b)非财务报告内控缺陷,是指虽不直接影响财务报告的真实性和完整性,但对
企业经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影
响的其他控制缺陷。
(3)按照其影响整体控制目标实现的严重程度,可分为重大缺陷、重要缺陷、一
般缺陷。
a)重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目
标。
b)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重
大缺陷,但仍有可能导致公司偏离控制目标。
c)一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
公司在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:9
影响程度。公司对内部控制缺陷的认定标准,应当以日常监督和专项监督为基础,由公
司审计部进行综合分析后提出认定意见,报请董事会审计委员会审核后,董事会予以最
终认定,并作为内控缺陷认定评价的参考依据。
(1)内部控制缺陷认定标准包括财务报告内控缺陷认定标准和非财务报告内控缺
陷认定标准两类。财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准均包括定
量标准和定性标准。
a)定量标准,即涉及金额的大小,可以根据造成直接损失的绝对金额确定,也
可以根据直接损失占本公司资产总额、销售收入及利润等的比率确定。
b)定性标准,即涉及业务性质的严重程度,可根据其直接或潜在负面影响的性
质、范围、程度等因素确定。
(2)非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,
不得随意变更。
(1)内控评价工作组应编制内部控制缺陷认定汇总表,结合日常监督和专项监督
发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程
度进行综合分析和全面复核,提出认定意见,并以书面形式向董事会、审计委员会或者
管理层报告。
(2)内部控制缺陷的认定实行逐级审批确认。评价工作组根据现场测试获取的证
据,对内部控制缺陷进行初步认定。一般缺陷在评价工作过程中确认;重要缺陷和重大
缺陷由评价工作组讨论并提出意见,其中重要缺陷报管理层研究确认,重大缺陷提交董
事会审议确认。
(3)财务报告内部控制可能存在重大缺陷的一些迹象:
a)董事和高级管理人员舞弊。
b)公司更正已公布的财务报告。
c)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发
现该错报。
d)公司董事会审计委员会和内部审计机构对内部控制的监督无效。
(4)非财务报告内部控制可能存在重大缺陷的一些迹象:
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:10
a)违反国家法律法规。
b)公司缺乏民主决策程序,如缺乏“三重一大”决策程序。
c)信息披露内部控制失效,导致公司被监管部门公开谴责。
d)内部控制评价的结果特别是重大或重要缺陷未得到整改。
e)重要业务缺乏制度控制或制度系统失效。
稿,汇总评价人员的工作底稿,初步认定内部控制缺陷。
有效性,编制公司内部控制评价缺陷汇总表,缺陷汇总表需被审计单位盖章确认。
内控评价发现的问题。
进各职能部门健全内部控制制度,并通过举一反三进一步规范内部控制执行。
原因,提出整改建议,必要时下发整改通知书。
送审计部。被审计单位收到内控缺陷报告 30 天内完成整改报告,并将整改报告和整改
证明材料一起报送审计部。审计整改流程和要求按《厦门钨业审计问题整改管理办法》
执行。
整改完成进度和未能及时完成的原因。
予以说明,同时要关注整改过程中出现的问题(如困难、需要协调其他部门的事项等)。
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:11
部控制缺陷汇总表等资料,及时编制内部控制评价报告上报董事会审计委员会审议。评
价报告应符合相关监管部门和上海证券交易所的规定和要求。
内部控制评价报告至少应当披露下列内容:
(1)董事会对内部控制报告真实性的声明。声明董事会及全体董事对报告内容的真
实性、准确性、完整性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导
性陈述或重大遗漏。
(2)内部控制评价工作的总体情况。明确公司内部控制评价工作的组织、领导机
制、进度安排,是否聘请会计师事务所对内部控制有效性进行独立审计。
(3)内部控制评价的依据。说明公司开展内部控制评价所依据的法律法规和规章制
度。
(4)内部控制评价的范围。描述内部控制评价所涵盖的被评价单位,纳入评价范围
的业务事项,以及重点关注的高风险领域。内部控制评价的范围如有所遗漏的,应说明
原因,及其对内部控制评价报告真实完整性产生的重大影响等。
(5)内部控制评价的程序和方法。描述公司在评价过程中的工作程序和方法。
(6)内部控制缺陷及其认定情况。描述适用本公司的内部控制缺陷具体认定标准,
并声明与以前年度保持一致或做出的调整及相应原因;根据内部控制缺陷认定标准,确
定期末存在的重大缺陷、重要缺陷和一般缺陷。
(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。对于评价期间发现但
期末已完成整改的重大缺陷,说明公司有足够的测试样本显示与该重大缺陷相关的内部
控制设计、运行有效。针对评价期末存在的内部控制缺陷,说明控制缺陷的风险级别,
及公司对重大缺陷拟采取的整改措施及预期效果。
(8)内部控制有效性的结论。对不存在重大缺陷的情形,出具评价期末内部控制有
效的结论;对存在重大缺陷的情形,不得做出内部控制有效的结论,并需描述该重大缺
陷的性质及其对实现相关控制目标的影响程度,可能给公司未来生产经营带来相关风
厦门钨业股份有限公司 审计部
《厦门钨业内部控制评价制度》版本:3.0 页码:12
险。
报告应于基准日后 4 个月内报出。
发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
度报告应永久保存。
本办法经公司董事会审议批准后生效,修改时亦同。本办法由公司董事会负责解释。
厦门钨业股份有限公司 审计部
首页
微信公众号
证券之星APP
