陕西中天火箭技术股份有限公司
内部控制评价办法
第一章 总 则
第一条 为规范内部控制评价工作,促进公司内部控制不
断完善并有效实施,有效揭示和防范风险,发现公司内部控制
的缺陷,确保内部控制有效运行,根据《企业内部控制基本规
范》《企业内部控制评价指引》《深圳证券交易所上市公司自律
监管指引第 1 号——主板上市公司规范运作》
《公开发行证券的
公司信息披露编报规则第 21 号——年度内部控制评价报告的一
般规定》等法律法规、规范性文件、交易所业务规则以及《陕
西中天火箭技术股份有限公司章程》
(以下简称“公司章程”
),
特制定本办法。
第二条 本办法适用于公司本级及公司直接和间接控制的
分公司、控股子公司。
第三条 本办法所称内部控制评价,是指由公司董事会或
审计委员会、内部审计部实施的,对公司内部控制有效性进行
评价,形成评价结论,出具评价报告的过程。
内部控制的目标是合理保证企业经营管理合法合规、资产
安全、财务报告及相关信息真实完整,提高经营效率和效果,
促进企业实现发展战略。
第四条 公司实施内部控制评价,应当遵循下列原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督
全过程,覆盖企业及其所属单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,
关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置
及权责分配、业务流程等方面形成相互制约、相互监督,同时
兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务
范围、竞争状况和风险水平等相适应,并随着情况的变化及时
加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期
效益,以适当的成本实现有效控制。
第二章 职责分工
第五条 公司董事会领导本公司的内部控制评价工作,是
公司内部控制评价的最高决策机构,其主要职责包括:
(一)审批公司内部控制评价办法及评价工作方案;
(二)审批公司内部控制缺陷认定标准;
(三)最终认定及披露内部控制重大缺陷;
(四)审批内部控制评价报告,对内部控制评价报告的真
实性负责。
第六条 董事会审计委员会负责审查企业内部控制,监督
内部控制的有效实施和内部控制自我评价情况,协调内部控制
审计及其他相关事宜等,具体职责包括:
(一)审议内部控制评价工作方案;
(二)对公司内部控制有效性出具书面的评估意见,并向
董事会报告;
(三)审查公司内部控制是否存在重大缺陷或重大风险;
(四)审阅内部控制评价报告;
(五)向深圳证券交易所报备内部控制评价报告的审议情
况。
第七条 内部审计部负责组织和实施内部控制评价工作,
对审计委员会负责,向审计委员会报告工作。
内部审计部负责拟定评价工作方案,并报审计委员会审批
后实施;检查公司内部控制制度的执行情况,评价内部控制有
效性,提出完善内部控制制度的建议。
第八条 内部审计部应当根据国家有关法律法规,
《企业内
部控制基本规范》
《企业内部控制评价指引》和本制度要求,结
合公司实际情况,对战略、经营管理的效率和效果、财务报告
及相关信息真实完整、资产安全、合法合规等单个或整体控制
目标的实现进行评价。
所属子公司,各部门、事业部应当每年开展内部控制自评
价,并在每年 12 月 31 日前向公司上报内部控制自评价报告。
内部审计部应于每年四月底前完成对上一年度内部控制的
评估工作并向董事会、审计委员会提交内部控制评估报告。
第九条 内部控制评价包括年度评价和专项评价。
年度评价是指根据内部控制目标,对公司某一年度建立与
实施内部控制有效性进行的评价。
专项评价是指在特定时点对特定范围的内部控制有效性进
行的评价。
第三章 内部控制评价的内容
第十条 内部审计部应当对与实现整体控制目标相关的内
部环境、风险评估、控制活动、信息与沟通、内部监督等内部
控制要素进行全面、系统、有针对性的评价。
(一)内部环境。内部环境是公司实施内部控制的基础,
一般包括治理结构、机构设置及权责分配、内部审计、人力资
源政策、企业文化等。
(二)风险评估。风险评估是公司及时识别、系统分析经
营活动中与实现内部控制目标相关的风险,合理确定风险应对
策略。
(三)控制活动。控制活动是根据风险评估结果,采用相
应的控制措施,将风险控制在可承受度之内。
(四)信息及沟通。信息与沟通是公司及时、准确地收集、
传递与内部控制相关的信息,确保信息在公司内部、公司与外
部之间进行有效沟通。
(五)内部监督。内部监督是公司对内部控制建立与实施
情况进行监督检查,评价内部控制的有效性,发现内部控制缺
陷,应当及时加以改进。
监督可分为持续性监督及专项监督。持续性监督是经营过
程中的例行监督,包括管理层的日常管理与监督、员工履行其
职责时所采取的监督;专项监督是由公司内部相关人员或外部
相关机构就某一特定目标进行的监督。
第十一条 公司实施内部控制评价,包括对内部控制设计有
效性和运行有效性的评价。
内部控制设计有效性是指为实现控制目标所必需的内部控
制要素都存在并且设计恰当;内部控制运行有效性是指现有内
部控制按照规定程序得到了正确执行。
第十二条 内部审计人员应实施适当的审查程序,重点审
查以下内容:
(一)内部环境
其审查重点为以下内容:
(二)组织风险管理机制的健全性和有效性
其审查重点为以下内容:
(三)控制活动的适当性、合法性、有效性
其审查重点为以下内容:
(四)获取及处理信息的能力
其审查重点为以下内容:
第十三条 内部审计部对被评价单位内部控制的有效性进
行评价,应当至少涉及下列内容:
(一)被评价单位内部控制是否在风险评估的基础上涵盖
了公司层面的风险和所有重要的业务流程层面的风险。
(二)被评价单位内部控制设计的方法是否适当,内部控
制建设的时间进度安排是否科学、阶段性工作要求是否合理。
(三)被评价单位内部控制设计和运行的组织是否有效,
人员配备、职责分工和授权是否合理。
(四)被评价单位是否开展内部控制自查并上报有关自查
报告。
(五)被评价单位是否建立有利于促进内部控制各项政策
措施落实和问题整改的机制。
(六)被评价单位在评价期间是否出现过重大风险事故等。
第十四条 内部控制评价工作应形成工作底稿,详细记录
公司执行评价工作的内容,包括评价要素、主要风险点、采取
的控制措施、有关证据资料以及认定结果等。
第四章 内部控制评价的程序和方法
第十五条 内部控制评价程序一般包括:制定评价工作方
案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评
价结果、编报评价报告等环节。
第十六条 内部审计部应当拟定评价工作方案,明确评价
范围、工作任务、人员组织、进度安排和费用预算等相关内容,
报经董事会或审计委员会审批后实施。
第十七条 内部控制评价范围的确定应当遵循风险导向、
自上而下的原则来确定需要评价的分支机构、重要业务单元、
重点业务领域或流程环节。
第十八条 内部审计部应当根据审批通过的评价方案组织
实施内部控制评价工作,通过适当的方法收集、确认、分析相
关信息,确定与实现整体控制目标相关的风险及细化控制目标,
并在此基础上辨识与细化控制目标相对应的控制活动,然后针
对控制活动进行必要的测试,获取充分、相关、可靠的证据对
内部控制的有效性进行评价,并作出书面记录。
第十九条 内部审计人员对内部控制作出评价时,应选择
适当的评价标准。
内部审计人员应首先判断组织已有标准的适当性。如果认
为已有标准不合适,应向管理层报告;如果管理层没有制定合
适的标准,内部审计部可基于组织利益最大化的原则选择适当
的评价标准。
第二十条 内部审计人员在评价内部控制时,按照项目的
性质和需要,既可以对全部控制要素进行评价,也可以只对部
分控制要素进行评价。
第二十一条 内部控制评估和测试的方法主要包括:
(一)个别访谈法。根据评价需要,对被查单位员工进行
单独访谈,以获取有关信息。
(二)调查问卷法。设置问卷调查表,对不同层次的员工
进行问卷调查,根据调查结果对相关项目作出评价。
(三)比较分析法。通过分析、比较数据间的关系、趋势
或比率来取得评价证据的方法。
(四)标杆法。通过与组织内外部相同或相似经营活动的
最佳实务进行比较而对控制设计有效性进行评价的方法。
(五)穿行测试法。通过抽取一份全过程的文件,了解整
个业务流程执行情况的评估评价方法。
(六)抽样法。针对具体的内部控制业务流程,按照业务
发生频率及固有风险的高低,从确定的抽样总体中抽取一定比
例的业务样本,对业务样本的符合性进行判断,进而对业务流
程控制运行的有效性作出评价。
(七)实地查验法。公司对财产进行盘点、清查,以及对
存货出、入库等控制环节进行现场查验。
(八)重新执行法。通过对某一控制活动全过程的重新执
行来评估控制执行情况的方法。
(九)专题讨论会法。召集与业务流程相关的管理人员就
业务流程的特定项目或具体问题进行讨论及评估。
第二十二条 内部审计部通过采取上述适当的方法获取与
内部控制有效性相关的证据,并保证证据的充分性和适当性。
证据的充分性指获取证据的数量应当能合理保证相关控制
的有效性;证据的适当性指获取的证据应当与相关控制的设计
与运行有关,并能可靠地反映控制的实际运行状况。
第二十三条 内部审计部应根据所收集的证据,判断相关
控制的设计与运行是否有效。公司在判断内部控制设计与运行
有效性时,应当充分考虑下列因素:
(一)是否针对风险设置了合理的细化控制目标。
(二)是否针对细化控制目标设置了对应的控制活动。
(三)相关控制活动是如何运行的。
(四)相关控制活动是否得到了持续一致的运行。
(五)实施相关控制活动的人员是否具备必需的权限和能
力。
第二十四条 内部审计部应充分评估下列因素导致内部控
制失效的风险:
(一)控制活动的类型,一般包括人工控制和自动控制、
预防性控制和发现性控制等。
(二)控制活动的复杂性,通常与公司组织结构、市场环
境、经营规模、人员素质等相关。
(三)管理层逾越内部控制的风险。
(四)实施控制活动所需要的职业判断的程度。
(五)控制活动所针对风险事项的性质及其重要性。
(六)一项控制活动对其他控制活动有效性的依赖程度。
第二十五条 内部审计部应当根据评估结果和经核实的证
据,确认内部控制缺陷,出具评价结论,编制评价报告,报送
管理层、董事会和审计委员会审阅。
第五章 内部控制缺陷的认定
第二十六条 按照内部控制缺陷成因或来源,内部控制缺
陷分为设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,或现存
控制设计不适当、即使正常运行也难以实现控制目标。
运行缺陷是指设计有效的内部控制由于运行不当(包括由
不恰当的人执行、未按设计的方式运行、运行的时间或频率不
当、没有得到一贯有效运行等)而形成的内部控制缺陷。
第二十七条 根据内部控制缺陷影响整体控制目标实现的
严重程度,将内部控制缺陷分为重大缺陷、重要缺陷和一般缺
陷。
重大缺陷,是指一个或多个关键控制缺陷的组合,可能导
致公司严重偏离控制目标。当存在任何一个或多个内部控制重
大缺陷时,应当在内部控制评价报告中出具内部控制无效的结
论。
重要缺陷,是指一个或多个重要控制缺陷的组合,其严重
程度低于重大缺陷,但仍有可能导致公司偏离控制目标。重要
缺陷的严重程度低于重大缺陷,不会严重危及内部控制整体有
效性,但应当引起董事会、经营层的充分关注。
一般缺陷,指不构成重大缺陷、重要缺陷的内部控制缺陷。
第二十八条 按照影响内部控制目标的具体表现形式,内
部控制缺陷分为财务报告缺陷和非财务报告缺陷。
第二十九条 内部控制缺陷认定标准
根据《企业内部控制基本规范》
《企业内部控制评价指引》
,
结合公司规模、行业特征、风险水平等因素,确定适用公司的
内部控制缺陷具体认定标准:
(一)财务报告内部控制缺陷的认定标准
认定标准
缺陷等级
定量标准 定性标准
虚假记载、重大遗漏或者瞒报;
影响资产、营业收入、 在严重影响报告使用者正确判断的重大错
利润总额的错报、漏报 报,而公司内部控制运行过程中未能发现该
重大 金额,超过本公司资 错报;
产、营业收入、利润总 3.内部审计监督部门对公司内部控制的监
额的 2%以上。 督无效;
财务制度,受到国家机关在行业以上范围内
的通报、处罚。
影响资产、营业收入、 1.外部审计监督发现公司当期财务报告存
重要 利润总额的错报、漏报 在较为严重影响报告使用者正确判断的重
金额,超过本公司资 要错报,而公司内部控制运行过程中未能发
产、营业收入、利润总 现该错报;
额的 1%以上、小于 2%。 2.内部审计监督部门对公司内部控制的监
督不到位;
制度,受到集团公司通报、处罚。
影响资产、营业收入、
利润总额的错报、漏报
不构成重大缺陷、重要缺陷的其他定性内部
一般 金额,低于本公司资
缺陷。
产、营业收入、利润总
额的 1%以下。
(二)非财务报告内部控制缺陷的认定标准
认定标准
缺陷等级
定量标准 定性标准
或经营目标的实现产生严重负面影响;
受到司法机关或者省级以上监管机构的立
案调查、处罚;
保事故、失泄密事件;
项超过 1000 万元以上;
重大
效引发重大纠纷或诉讼案件;
项超过 500 万元以上,
且对公司造成严重负面
误或损失;
影响。
新闻频现;
效;
在合理期限内得到整改。
重要 项超过 500 万元以上; 营目标的实现产生较大负面影响;
项超过 100 万元以上, 东重要规章制度,已受到或可能受到集团
且对公司造成较大负面 公司内部通报、处罚;
影响。 3.发生后果比较严重的质量问题、安全环
保事故、失泄密事件;
到位引发重要纠纷或诉讼案件;
情;
误或损失;
失效;
在合理期限内得到整改。
不构成重大缺陷和重要
一般
不构成重大缺陷和重要缺陷的其他定性内
缺陷的其他定量内部控
部控制缺陷。
制缺陷。
第三十条 公司应当根据内部控制评价过程中发现的内部
控制缺陷,督促相关单位或部门进行整改,并对整改结果进行
核查和确认。
第三十一条 对于为实现单个或整体控制目标而设计与运
行的控制不存在重大缺陷的情形,公司应当认定针对这些整体
控制目标的内部控制是有效的。
对于为实现某一整体控制目标而设计与运行的控制存在一
个或多个重大缺陷的情形,公司应当认定针对该项整体控制目
标的内部控制是无效的。
第三十二条 对于因业务流程外包等原因造成公司无法评
价特定业务、特定流程的内部控制有效性的情形,内部控制评
价机构应当充分考虑该项业务流程及其相关控制的重要性,确
定其对整体控制目标有效性评价的影响。
第六章 内部控制评价报告
第三十三条 内部控制评价报告应当分别对内部环境、风
险评估、控制活动、信息与沟通、内部监督等要素进行设计,
对内部控制评价过程、内部控制缺陷认定及整改情况、内部控
制有效性的结论等相关内容作出披露。
第三十四条 内部控制评价报告至少应当包括下列内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改
措施。
(八)内部控制有效性的结论。
第三十五条 内部审计部应当根据年度内部控制评价结果,
结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按
照规定的程序和要求,及时编制内部控制评价报告。
第三十六条 内部控制评价报告应当报经董事会及审计委
员会批准后对外披露或报送相关部门。内部审计部应当关注自
内部控制评价报告基准日至内部控制评价报告发出日之间是否
发生影响内部控制有效性的因素,并根据其性质和影响程度对
评价结论进行相应调整。
第三十七条 对董事会审议通过的评价报告中要求整改的
事项,应进行追踪检查,对相关部门的整改措施进行评估,并
及时撰写落实情况报告报送董事会,同时抄报审计委员会。
第三十八条 公司应当定期对内部控制整体有效性进行评
价、出具评价报告,并向董事会、审计委员会和管理层报告内
部控制设计与运行环节存在的主要问题以及将要采取的整改措
施。
第三十九条 内部控制审计报告应当与内部控制评价报告
同时对外披露或报送。
第四十条 公司应当将内部控制评价报告作为进一步完善
内部控制、提高经营管理水平和风险防范能力的重要依据。
公司管理层和董事会应当根据评价结论对相关单位、部门或人
员实施适当的奖励和惩戒。
第四十一条 在内部控制评价的实施过程中,评价人员可
以采用文字叙述、调查问卷、流程图等方法对内部控制进行描
述和评价,相关人员应编制工作底稿,收集相关资料,认真取
证,及时做好分项记录。
每个内部控制审计项目完成后,应及时将审计工作底稿、
取证材料、分项记录、审计报告、董事会审议审计报告的会议
记录或决议、整改落实报告以及其他相关资料进行整理,按照
档案管理规定装订成册并移送公司档案室妥善保管,保存期一
般不少于五年。
第七章 附 则
第四十二条 本办法自董事会批准之日起施行。
第四十三条 本办法由内部审计部负责解释。
陕西中天火箭技术股份有限公司
首页
微信公众号
证券之星APP
