国机汽车股份有限公司
内部控制评价办法
第一章 总 则
第一条 为促进企业全面评价内部控制的设计与运行情况,规范
国机汽车股份有限公司(以下简称“公司”)内部控制评价工作,及
时发现公司内部控制缺陷,提出和实施改进方案,确保内部控制有效
运行,根据国家有关法律法规和《企业内部控制基本规范》及配套评
价指引,制定本办法。
第二条 本办法适用于公司及公司的全资、控股子公司。
第三条 本办法所称内部控制评价,是指由公司董事会和管理层
实施的,对公司内部控制有效性进行评价,形成评价结论,出具评价
报告的过程。
内部控制有效性是指公司建立与实施内部控制能够为控制目标
的实现提供合理的保证。
第四条 公司根据国家有关法律法规和《企业内部控制基本规范》
及配套评价指引的要求,结合公司实际情况,对战略目标、经营管理
的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目
标、合法合规目标等单个或整体控制目标的实现进行评价。
第五条 公司实施内部控制评价,应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,
贯穿决策、执行和监督全过程,涵盖公司及其分公司、控股子公司的
各种业务和事项;
(二)重要性原则。评价工作应当在全面评价的基础上,着眼于
风险,突出重点,关注影响控制目标的高风险领域、重要业务单位、
重大业务事项、关键控制环节和风险点;
(三)客观性原则。评价工作应准确地揭示经营管理的风险状况,
如实反映内部控制设计与运行的有效性;
(四)独立性原则。内部控制评价机构的确定及评价工作的组织
实施应当保持相应的独立性;
(五)成本效益原则。内部控制评价应当以适当的成本实现科学
有效的评价。
第六条 公司董事会应对内部控制自我评价报告的真实性负责。
董事会下设的审计与风险管理委员会负责审查企业内部控制,监督内
部控制的有效实施和内部控制自我评价情况,协调内部控制审计,并
对内控制度健全和完善提出改进意见和建议。公司经营层负责组织领
导内部控制评价实施工作的日常运营。
第七条 公司审计法律部作为内部控制评价实施机构,负责具体
组织实施公司内部控制评价工作,对董事会负责,向董事会审计与风
险管理委员会报告工作。
公司审计法律部在组织实施内部控制评价工作过程中,必要时可
抽调公司各部门业务骨干参与。
公司可以委托中介机构实施内部控制评价。为公司提供内部控制
审计服务的会计师事务所,不得同时为公司提供内部控制评价服务。
公司及公司的全资、控股子公司应逐级落实内部控制评价责任,
建立日常监控机制,实施内部控制自查、测试和评价工作,发现问题
并督促整改,对内部控制执行和整改情况考核;并编制内部控制自查
报告,上报内控评价实施机构。
第八条 公司内部控制评价,一般包括年度评价和专项评价。年
度评价是指公司根据内部控制目标,对公司某一年度建立与实施内部
控制的有效性进行的评价;专项评价是指公司在特定时点对特定范围
的内部控制的有效性进行的评价。
第二章 内部控制评价的内容和标准
第九条 公司根据国家颁布的《企业内部控制基本规范》及配套
指引、公司内部控制制度,考虑公司自身的经营特点、业务模式以及
风险管理要求,围绕内部环境、风险评估、控制活动、信息与沟通、
内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与
运行情况进行全面评价。
第十条 公司实施内部控制评价,包括对内部控制设计有效性和
运行有效性的评价。内部控制设计有效性是指为实现控制目标所必需
的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有
内部控制按照规定程序得到了正确执行。
第十一条 公司对被评价单位内部控制的有效性进行评价,应当
至少涉及下列内容:
(一)被评价单位内部控制是否在风险评估的基础上涵盖了公司
层面的风险和所有重要的业务流程层面的风险;
(二)被评价单位内部控制设计的方法是否适当,内部控制建设
的时间进度安排是否科学、阶段性工作要求是否合理;
(三)被评价单位内部控制设计和运行的组织是否有效,人员配
备、职责分工和授权是否合理;
(四)被评价单位是否开展内部控制自查并上报有关自查报告;
(五)被评价单位是否建立有利于促进内部控制各项政策措施落
实和问题整改的机制。
第三章 内部控制评价的程序和方法
第十二条 公司应当按照制定评价方案、实施评价活动、编制评
价报告等程序开展内部控制评价。
第十三条 内部控制评价机构应当根据公司整体控制目标,制定
内部控制评价工作方案,明确评价目的、范围、组织、标准、方法、
进度安排和费用预算等内容。
第十四条 内部控制评价范围的确定应当遵循风险导向、自上而
下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域
或流程环节。
第十五条 内部控制评价机构应当根据审批通过的评价方案组
织实施内部控制评价工作,通过适当的方法收集、确认、分析相关信
息,确定与实现整体控制目标相关的风险及细化控制目标,并在此基
础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进行
必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行
评价,并作出书面记录。
第十六条 内部控制评估和测试的方法主要包括:
(一)个别访谈法。是指公司根据检查评价需要,对被查单位员
工进行单独访谈,以获取有关信息;
(二)调查问卷法。是指公司设置问卷调查表,分别对不同层次
的员工进行问卷调查,根据调查结果对相关项目作出评价;
(三)比较分析法。是指通过分析、比较数据间的关系、趋势或
比率来取得评价证据的方法;
(四)穿行测试法。是指通过抽取一份全过程的文件,来了解整
个业务流程执行情况的评价方法;
(五)抽样法。是指公司针对具体的内部控制业务流程,按照业
务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的
业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行
的有效性作出评价;
(六)实地查验法。是指公司对财产进行盘点、清查,以及对存
货出、入库等控制环节进行现场查验;
(七)重新执行法。是指通过对某一控制活动全过程的重新执行
来评估控制执行情况的方法;
(八)专题讨论会法。是指通过召集与业务流程相关的管理人员
就业务流程的特定项目或具体问题进行讨论及评估的一种方法。
第十七条 公司应当根据通过评估和测试获取与内部控制有效
性相关的证据,并合理保证证据的充分性和适当性。证据的充分性是
指获取证据的数量应当能合理保证相关控制的有效;证据的适当性是
指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控
制的实际运行状况。
第十八条 公司应当根据所收集的证据,判断相关控制的设计与
运行是否有效。公司在判断内部控制设计与运行有效性时,应当充分
考虑下列因素:
(一)是否针对风险设置了合理的细化控制目标;
(二)是否针对细化控制目标设置了对应的控制活动;
(三)相关控制活动是如何运行的;
(四)相关控制活动是否得到了持续一致的运行;
(五)实施相关控制活动的人员是否具备必需的权限和能力。
第十九条 公司应当充分评估下列因素导致内部控制失效的风
险:
(一)控制活动的类型,一般包括人工控制和自动控制、预防性
控制和发现性控制等;
(二)控制活动的复杂性,通常与公司组织结构、市场环境、经
营规模、人员素质等相关;
(三)管理层逾越内部控制的风险;
(四)实施控制活动所需要的职业判断的程度;
(五)控制活动所针对风险事项的性质及其重要性;
(六)一项控制活动对其他控制活动有效性的依赖程度。
第二十条 公司应当及时记录开展内部控制评价工作的方法和
程序,如实填写评价工作底稿,并以适当形式妥善保存相关证据。
第二十一条 内部控制评价机构应当根据评估结果和经核实的
证据,确认内部控制缺陷,出具评价结论,编制评价报告,报送管理
层和董事会审阅。
第四章 内部控制缺陷认定和评价报告
第二十二条 公司在内部控制评价中,应对内部控制缺陷进行分
类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。
(一)设计缺陷是指缺少为实现控制目标所必需的控制,或现存
控制设计不适当、即使正常运行也难以实现控制目标;
(二)运行缺陷是指现存设计完好的控制没有按设计意图运行,
或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。
第二十三条 公司对内部控制评价过程中发现的问题,应当从定
量和定性等方面进行衡量,判断是否构成内部控制缺陷。
存在下列情况之一,公司应当认定内部控制存在设计或运行缺陷:
(一)未实现规定的控制目标;
(二)未执行规定的控制活动;
(三)突破规定的权限;
(四)不能及时提供控制运行有效的相关证据。
第二十四条 公司应当根据内部控制缺陷影响整体控制目标实
现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷
(也称实质性漏洞,以下统称重大缺陷)。
重大缺陷,是指一个或多个一般缺陷的组合,可能严重影响内部
整体控制的有效性,进而导致公司无法及时防范或发现严重偏离整体
控制目标的情形。
重要缺陷,是指一个或多个一般缺陷的组合,其严重程度低于重
大缺陷,但导致公司无法及时防范或发现偏离整体控制目标的严重程
度依然重大,须引起公司管理层关注。
董事会和管理层应当合理确定相关目标发生偏差的可容忍水平,
从而对严重偏离的情形予以确定。
第二十五条 公司判断和认定内部控制缺陷是否构成重大缺陷,
应当考虑下列因素:
(一)影响整体控制目标实现的多个一般缺陷的组合是否构成重
大缺陷;
(二)针对同一细化控制目标所采取的不同控制活动之间的相互
作用;
(三)针对同一细化控制目标是否存在其他补偿性控制活动。
第二十六条 内部控制缺陷认定标准的制定包括财务报告内控
缺陷认定标准和非财务报告内控缺陷认定标准两类。
第二十七条 内部控制缺陷认定标准包括定量标准和定性标准。
定量标准即涉及金额大小,可以根据错报金额或造成直接损失的绝对
金额制定,也可以根据错报金额或造成直接损失占公司资产总额、营
业收入及利润等的比率确定;定性标准,即涉及业务性质的严重程度,
可根据其直接或潜在负面影响的性质、影响范围、影响程度等因素确
定。
第二十八条 公司内部控制缺陷认定标准由审计与风险管理委
员会审核后提交董事会认定通过,并作为内部控制缺陷认定评价的依
据。
第二十九条 公司应当根据内部控制评价过程中发现的内部控
制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确
认。
第三十条 对于为实现单个或整体控制目标而设计与运行的控
制不存在重大缺陷的情形,公司应当认定针对这些整体控制目标的内
部控制是有效的。
对于为实现某一整体控制目标而设计与运行的控制存在一个或
多个重大缺陷的情形,公司应当认定针对该项整体控制目标的内部控
制是无效的。
第三十一条 对于因业务流程外包等原因造成公司无法评价特
定业务、特定流程的内部控制有效性的情形,内部控制评价机构应当
充分考虑该项业务流程及其相关控制的重要性,确定其对整体控制目
标有效性评价的影响。
第三十二条 公司结合年末控制缺陷的整改结果,编制年度内部
控制评价报告。
内部控制评价报告至少应当包括下列内容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据;
(四)内部控制评价的范围;
(五)内部控制评价的程序和方法;
(六)内部控制缺陷及其认定情况;
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
(八)内部控制有效性的结论。
第三十三条 公司可以根据被评估的整体控制目标的不同,适当
调整评价报告的内容。
公司在评价报告中明确财务报表日之后截至内部控制评价日发
生的、可能影响财务报告控制目标有效性的所有重大变化。
第三十四条 公司定期对内部控制整体有效性进行评价、出具评
价报告,并向董事会和管理层报告内部控制设计与运行环节存在的主
要问题以及将要采取的整改措施。
第三十五条 公司将把内部控制评价报告作为进一步完善内部
控制、提高经营管理水平和风险防范能力的重要依据。公司对于内部
控制评价报告中列示的问题,将采取适当的措施进行改进。
第三十六条 公司年度内部控制评价工作结束后,需将工作资料,
包括内部控制检查、监督工作报告、内部控制自我评估报告、工作底
稿及相关资料,根据公司档案管理制度要求妥善归档及保管。
第五章 附则
第三十七条 本办法由公司董事会负责解释和修订。本办法未尽
事宜,按照有关法律、法规、规章、中国证券监督管理委员会的有关
规定,以及公司章程的规定执行。
第三十八条 本办法自公司董事会审议通过后生效并实施。
国机汽车股份有限公司