公司管理制度之内部控制评价制度

为了建立健全公司内部控制体系，促进公司全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，根据财政部、证监会、审计署、银监会、保监会颁布的《企业内部控制基本规范》、《企业内部控制评价指引》，结合公司实际情况，制定本制度。

2. 适应范围

适用于公司所属全资和控股子公司。

3. 3.1

术语与定义

内部控制评价：本制度所述的内部控制评价是指公司董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制评价与内部控制的建立和实施，构成有机循环。

3.2 3.3 3.4 3.5 3.6 4. 4.1

公司：本制度所述的公司是指股份有限公司。

子公司：本制度所述的子公司是指公司所属全资和控股子公司。 审计委员会：本制度所述的审计委员会是指公司董事会审计委员会。 审计办：本制度所述的审计办是指公司董事会审计委员会办公室。 评价工作组：本制度所述的评价工作组是指公司内部控制评价工作组。 职 责 公司董事会

1） 负责审议和批准公司内部控制评价报告；

2） 负责认定公司内部控制重大缺陷，审批内部控制重大缺陷的整改方案； 3） 负责审议和批准本制度。

4.2 审计委员会

1） 负责审定内部控制评价工作方案；

2） 负责认定公司内部控制重要缺陷、一般缺陷，审批内部控制重要缺陷、一般

缺陷的整改方案；

3） 负责审议内部控制重大缺陷及其整改方案； 4） 负责审议内部控制评价报告；

5） 对相关单位和个人反映的内部控制评价结论的客观性、公正性的质疑、举报、

投诉进行调查核实。

4.3 公司监事会

1） 负责对董事会建立与实施内部控制的情况进行监督；

第 1 页 共 13 页

2） 听取内部控制评价报告；

3） 听取内部控制重大缺陷及其整改方案。

4.4

公司经理层

1） 负责为内部控制评价工作方案提出应重点关注的业务或事项； 2） 听取内部控制评价报告；

3） 负责对内部控制评价中发现的问题及缺陷采取有效措施积极整改； 4） 负责协调、排除在内部控制评价以及督促整改中遇到的困难。

4.5

审计办

1） 负责起草本制度及提出修订草案；

2） 负责牵头、协调、组织成立公司内部控制评价工作组； 3） 负责指导公司内部控制评价工作组开展内部控制评价工作； 4） 负责草拟内部控制评价工作方案、评价报告；

5） 负责向董事会、审计委员会、监事会或经理层报告发现的重大缺陷、重要缺

陷和一般缺陷；

6） 草拟公司内部控制评价报告；

7） 根据评价和整改情况拟订内部控制考核方案。

4.6

公司内部控制评价工作组

1） 负责制定、更新和维护内部控制文档及测试表模板，并将内部控制文档及测

试表模板下发评价范围内相关部门、子公司使用；

2） 负责指导公司各部门及所属子公司开展内部控制自我评价工作；

3） 负责根据公司各部门、子公司的自评情况，对可能产生重要风险的业务事项

进行复核检查，形成检查工作底稿；

4） 负责内部控制评价结果的汇总，对内部控制缺陷进行综合分析，拟订认定意

见和整改方案；

5） 负责跟踪缺陷整改的落实情况。

4.7

公司各部门负责人

1） 负责组织本部门的内部控制自查、测试和评价工作； 2） 负责向审计办上报本部门的兼职评价员及变动情况；

3） 负责及时更新内部控制文档及测试表，并上报评价工作组复核；

4） 对自评发现的设计和运行缺陷提出整改方案，经部门负责人审核、公司分管

领导审定后报送给评价工作组复核；

第 2 页 共 13 页

5） 负责配合评价工作组针对重要业务进行复核检查； 6） 负责本部门内部控制缺陷整改建议的落实。

4.8

公司所属子公司负责人

1） 负责逐级落实内部控制评价责任，建立日常监控机制； 2） 负责开展内部控制自查、测试和定期检查评价；

3） 负责组建子公司内部控制评价组，由其对子公司各部门的内部控制自查、自

测、自评情况进行复核检查，形成检查工作底稿；

4） 负责向审计办上报子公司的兼职内部控制评价人员及变动情况； 5） 负责及时更新内部控制文档及测试表，并上报评价工作组复核检查； 6） 对自评发现问题并认定内部控制存在缺陷，负责拟订整改方案，经子公司负

责人审核、公司分管领导审定后报送给评价工作组复核； 7） 负责子公司内部控制缺陷整改建议的落实； 8） 负责配合评价工作组针对重要业务进行复核检查； 9） 负责编制子公司内部控制评价报告；

10） 对子公司的内部控制的执行和整改情况进行考核。

5. 5.1 5.1.1

管理规定

内部控制评价管理要求

董事会是内部控制评价工作的最高决策机构和承担最终责任者，负责内部控制的建立健全和有效实施。

审计委员会负责内部控制评价的领导、监督工作。 经理层负责领导公司内部控制的日常运行。

评价工作组在审计办组织下，具体承担内部控制检查评价任务。

公司各部门负责人、所属子公司负责人为各部门、子公司内部控制自我评价工作的负责人，并对其真实性、全面性负责。

5.1.2

公司各部门、子公司负责人对本部门、子公司在内部控制评价过程中所提供资料的真实性、完整性负责。

5.1.3 5.2

评价人员应当保持应有的职业谨慎，合理关注组织内部可能发生的舞弊行为。 内部控制评价原则

1） 全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司及其所属

子公司的各种业务和事项。

2） 重要性原则。评价工作应当在全面评价的基础上，着眼于风险，突出重点，

第 3 页 共 13 页

关注影响控制目标的高风险领域、重要业务单位、重大业务事项、关键控制环节和风险点。

3） 客观性原则。评价工作应当准确揭示经营管理的风险状况，如实反映内部控

制设计与运行的有效性。

4） 独立性原则。内部控制评价机构的确定以及评价工作的组织实施应该保持相

应的独立性。

5） 成本效益原则。在内部控制评价过程中，应当权衡实施成本与预期效益，以

适当的成本实现有效的控制。

6） 适应性原则。依据公司经营规模、业务范围、业务特点、风险状况以及所处

具体环境等方面的要求，并随着公司外部环境的变化、经营业务的调整、管理要求的提高等情况变化不断改进内部控制评价工作。

5.3 5.3.1

内部控制评价的内容和方法

内部控制评价工作主要依据公司内部控制制度和工作程序，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制设计和运行情况进行全面评价。

1） 组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、

社会责任等应用指引为依据，结合公司的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。内部环境评价需重点关注的内容包括治理结构、机构设置及权责分配、人力资源、企业文化、社会责任等。 2） 组织开展风险评估机制评价，应当以《企业内部控制基本规范》有关风险评

估的要求，以及各项应用指引中所列主要风险为依据，结合公司的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。风险评估评价需重点关注的内容包括目标设定、风险信息收集、风险识别、风险分析、风险应对等设计与运行情况。

3） 组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引

中的控制措施为依据，结合公司的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。控制活动评价需重点关注的内容包括各项业务处理程序的授权批准、职责分工、实物控制、凭证与记录控制、独立检查程序等控制措施的设计与运行情况。

4） 组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相

关应用指引为依据，结合公司的内部控制制度，对信息收集、处理和传递的

第 4 页 共 13 页

及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

5） 组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的

要求，以及各项应用指引中有关日常管控的规定为依据，结合本公司的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

5.3.2

评价人员可综合运用个别访谈法、调查问卷法、专题讨论法、穿行测试法、实地查验法、标杆法、抽样法、重新执行法和比较分析法等评价方法，充分收集被评价单位内部控制设计和运行是否有效的证据。

5.3.3

评价人员应当根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。

证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。

5.3.4

内部控制评价工作应当形成工作底稿，详细记录公司执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

评价工作底稿应当进行交叉复核。评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认。

5.4 5.4.1

内部控制评价程序 内部控制评价程序包括： 1） 制定评价工作方案； 2） 组成评价工作组；

3） 实施现场测试，包括执行风险评估、厘定项目范围、更新内部控制文档记录、

评价设计有效性、内部控制测试、评价执行有效性等； 4） 认定控制缺陷； 5） 汇总评价结果； 6） 编报评价报告。

5.4.2

制定评价工作方案

1） 每年年初，审计办拟订评价工作方案，明确评价范围、工作任务、人员组织、

进度安排等相关内容，经公司分管领导审核后，报审计委员会批准后实施。

第 5 页 共 13 页

2） 在拟定评价工作方案时，审计办应与经理层进行充分的沟通，听取经理层对

内部控制评价方案应重点关注的业务或事项等的意见。

5.4.3

组成评价工作组

1） 审计办根据经批准的评价工作方案，牵头组成评价工作组，具体实施内部控

制评价工作。

2） 内部控制评价工作组的人员由审计办人员和公司相关部门、子公司的业务骨

干构成。内部控制评价工作组成员可参与自身部门以外的评审工作，但在对自身部门、子公司评审时应当回避。

3） 内部控制评价工作组应结合评价工作组成员的专业背景进行合理分工。

5.4.4

送达评价通知书

1） 评价工作组应当在实施内部控制评价工作前向被评价各部门、子公司送达内

部控制评价通知书。

2） 被评价各部门、子公司接到通知书后，应当积极做好本部门、子公司的自评

工作。

5.4.5

公司各部门、子公司开展内部控制自评

1） 公司各部门、子公司应在本部门、子公司内确定兼职评价员，由其实施本部

门、子公司的自我评价工作。兼职评价员建议由部门、子公司主要负责人或核心业务骨干担当。兼职评价员确定后报审计办同意后实施。若拟更改兼职评价员，公司各部门、子公司应正式向审计办提出申请，经审计办同意后实施。

2） 公司各部门、子公司开展内部控制自我评价，应当重点关注下列内容：

a) 内部控制设计和运行是否有效，业务流程、岗位设置、人员匹配、职责

分工和审批授权是否合理；

b) 是否建立有利于促进内部控制各项政策措施落实和问题整改的机制； c) 在评价期间是否出现过重大风险事故等。

3） 公司各部门、子公司应根据《内部控制手册》及风险控制矩阵，结合自身内

部控制设计及执行实际情况和最近一年内部监督（包括内部控制评价）发现问题的整改情况等要素进行全面评价，积极寻找内部控制缺陷。对发现的缺陷提出整改方案，报本部门、子公司负责人审核、公司分管领导审定后，将自评内部控制测试表及内部控制缺陷汇总表上报公司内部控制评价工作组。

5.4.6

评价工作组开展现场补充复核检查测试

第 6 页 共 13 页

1） 评价工作组在开展现场补充复核检查测试前，应编制内部控制检查测试表。

内部控制检查测试表的编制应基于《内部控制手册》及风险控制矩阵的相关内容。同时，内部控制评价工作组还应将内部控制补充复核检查测试所需的资料汇总成资料需求清单，分发给被评价部门、子公司提前准备。 2） 评价工作组根据风险评估结果以及公司各部门、子公司内部控制自评情况，

确定评价重点领域和抽样数量，有针对性的开展内部控制现场补充复核测试工作。复核检查重点和人员分工情况可以根据需要进行适当调整。

5.4.7

公司根据情况可以委托中介机构实施内部控制评价工作。为公司提供内部控制审计的会计师事务所不得同时为公司提供内部控制评价服务。

5.5 5.5.1

缺陷认定

内部控制缺陷按其成因分为设计缺陷和运行缺陷。

1） 设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、

即使正常运行也难以实现控制目标。

2） 运行缺陷是指现存设计完好的内部控制没有按设计意图运行，或执行者没有

获得必要授权或缺乏胜任能力以有效地实施控制。

5.5.2

对内部控制评价过程中发现的问题，应当从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。存在下列情况之一，应当认定内部控制存在设计或运行缺陷： 1） 未实现规定的控制目标。 2） 未执行规定的控制活动。 3） 突破规定的权限。

4） 不能及时提供控制运行有效的相关证据。

5.5.3

根据内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。

1） 重大缺陷，是指一个或多个控制缺陷的组合，可能严重影响企业整体内部控

制的有效性，进而导致公司无法及时防范或发现并纠正严重偏离整体控制目标的情形。

2） 重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但

仍有可能导致公司无法及时防范或发现并纠正偏离整体控制目标的情形，须引起董事会、经理层充分关注。

3） 一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷。

5.5.4

判断和认定内部控制缺陷是否构成重大缺陷、重要缺陷，还应当考虑下列因素：

第 7 页 共 13 页

1） 影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷、重要缺陷。 2） 针对同一细化控制目标所采取的不同控制活动之间的相互作用。 3） 针对同一细化控制目标是否存在其他补偿性控制活动。

5.5.5

按照影响内部控制目标的具体表现形式，可以将内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制缺陷。

1） 财务报告内部控制缺陷是指不能合理保证财务报告可靠性的内部控制设计和

运行缺陷。

2） 非财务报告内部控制缺陷是指不能合理保证除财务报告目标之外的其他目标

内部控制设计和运行缺陷。这些目标一般包括战略目标、资产安全目标、经营目标、合规目标等。

5.5.6

财务报告内部控制缺陷的认定标准 

定性标准 1） 有确凿证据表明公司在评价期末存在下列情形之一，应认定为重大缺陷：

a) 董事、监事和高级管理人员舞弊；

b) 已公布的财务报告存在重大错报，影响其真实性、完整性、公允性，公

司予以更正；

c) 注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中

未能发现该错报；

d) 公司审计委员会和内部审计机构对内部控制的监督无效。

2） 有确凿证据表明公司在评价期末存在下列情形之一，应认定为重要缺陷：

a) 控制环境无效；

b) 公司制定的会计政策违反了企业会计准则； c) 公司应用的会计政策不符合公司会计核算制度； d) 未建立反舞弊程序和控制措施；

e) 对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实

施；

f) 对于期末财务报告过程的控制存在一项或多项缺陷，不能合理保证编制

的财务报告达到真实、完整的目标。

3） 一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。 

定量标准 根据影响财务报告严重程度，财务报表错报金额大于等于年度合并报表利润

第 8 页 共 13 页

总额5%，则认定为重大缺陷；财务报表错报金额大于等于年度合并报表利润总额3.75%，但小于年度合并报表利润总额5%，则认定为重要缺陷；财务报表错报金额小于年度合并报表利润总额3.75%，则认定为一般缺陷。

5.5.7

非财务报告内部控制缺陷的认定标准 

定性标准

1） 有确凿证据表明公司在评价期末存在下列情形之一，应认定为内部控制存在

重大缺陷：

a) 重大事项缺乏合法决策程序；

b) 缺乏决策程序或决策程序不规范，导致出现重大失误；

c) 违犯国家法律、法规、规章或规范性文件，受到刑事处罚或责令停产停

业、暂扣或者吊销许可证、暂扣或者吊销执照行政处罚； d) 内部控制重大缺陷未得到整改；

e) 重要业务缺乏制度控制或制度系统性失效。

2） 有确凿证据表明公司在评价期末存在下列情形之一，应认定为内部控制存在

重要缺陷：

a) 决策程序存在但不够完善；

b) 决策程序不规范导致出现较大失误；

c) 违犯国家法律、法规、规章或规范性文件，受到除责令停产停业、暂扣

或者吊销许可证、暂扣或者吊销以外的行政处罚； d) 重要业务制度或系统存在重要缺陷； e) 内部控制重要缺陷未得到整改。

3） 一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。 

定量标准 根据造成直接财产损失金额大小，直接财产损失大于等于年度合并报表利润总额5%，则认定为重大缺陷；直接财产损失大于等于年度合并报表利润总额3.75%，但小于年度合并报表利润总额5%，则认定为重要缺陷；直接财产损失小于年度合并报表利润总额3.75%，则认定为一般缺陷。

5.5.8

评价工作组汇总评价组成员的工作底稿，根据工作底稿对内部控制缺陷进行初步评定，初评结果报评价工作组组长审核。

评价工作组将初步评价结果及整改方案送达给被评价部门、子公司，并征求被评价部门、子公司的意见。被评价部门、子公司有异议的，应当自接到报告征求意见稿

第 9 页 共 13 页

之日起的10个工作日内提出书面意见。

被评价部门、子公司应当将拟回复意见报请其公司分管领导审核。

5.5.9

在初步评价结果及整改方案得到被评价部门、子公司负责人确认后，审计办应当编制内部控制缺陷认定汇总表，对评价工作组初步评定的内部控制缺陷进行全面复核、分类汇总，结合日常监督和专项监督发现的内部控制及其持续改进情况，对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度对缺陷提出认定意见及整改方案，经公司分管领导审核后，按照本制度规定的权限由董事会或审计委员会予以最终认定和审批。

5.5.10 对于认定的重大缺陷，董事会应当及时采取应对策略，切实将风险控制在可承受度

之内，并追究有关部门或相关人员的责任。

5.6 5.6.1

缺陷整改的跟踪落实

内部控制缺陷认定意见和整改方案经审批后，评价工作组应向公司各部门、子公司发出整改通知，由公司各部门、子公司负责人组织整改工作的具体落实。

5.6.2

整改责任部门、子公司应在收到整改通知之日起进行整改。在整改过程中，评价工作组应与整改责任部门、子公司保持积极的沟通，监督、跟进整改进度，协调解决整改过程的问题，确保整改有效进行。

5.6.3

整改的部门、子公司在整改完成后应及时向评价工作组提交整改落实情况书面材料。评价工作组在收到相关书面材料后，进行复查，并就复查情况向公司分管领导进行汇报。

5.6.4

对于重大缺陷的整改完成情况，审计办应定期分别向审计委员会、董事会、监事会、经理层报告。

5.7 5.7.1

内部控制评价报告

审计办在公司各部门、子公司完成内部控制自我评估工作及评价工作组完成补充复核检查测试工作后，根据汇总的评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，综合内部控制工作整体情况，客观、公正地草拟内部控制评价报告，经公司分管领导审核后，上报审计委员会审议，后由董事会最终审批。

5.7.2

审计办应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。

5.7.3

在内部控制评价报告对外披露之前，内部控制缺陷整改完成并通过复查的，审计办可以根据内部控制缺陷的严重程度和性质，对内部控制评价报告进行适当修订或补

第 10 页 共 13 页

充整改情况的内容，修订、补充工作完成后，审计办需再次报送公司分管领导审核，上报审计委员会审议，后经董事会最终审批。

5.7.4

公司应当根据《企业内部控制基本规范》、《企业内部控制评价指引》和上市公司监管要求，确定内部控制评价报告的格式和内容。内部控制评价报告应至少包括以下内容：

1） 董事会对内部控制报告真实性的声明； 2） 内部控制评价工作的总体情况； 3） 内部控制评价的依据； 4） 内部控制评价的范围； 5） 内部控制评价的程序和方法； 6） 内部控制缺陷及其评定情况；

7） 内部控制缺陷的整改情况及重大缺陷拟采取的整改措施； 8） 内部控制有效性的结论。

5.7.5

董事会审议批准审计委员会上报的年度内部控制评价报告。

董事会应在审议年度财务报告等事项的同时，对公司内部控制评价报告形成决议。

5.7.6

公司应在年度报告披露的同时，披露年度内部控制评价报告，并披露会计师事务所出具的公司内部控制审计报告。

5.7.7

公司以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。

5.8 5.8.1

监督与考核

审计委员会负责对内部控制评价工作实施监督。相关单位和个人对评价过程或结果的客观性、公正性存在质疑，可以向审计委员会反映、举报或投诉。

5.8.2

内部控制评价程序无法发现所有的舞弊行为。若评价人员秉持职业谨慎已执行了必要的评价程序，舞弊行为在该评价程序正常执行情况下无法发现的，应对评价人员免责。

5.8.3

评价工作组等相关人员应对评价工作中获取的内部资料及信息保密。如违反公司保密规定的，按公司规定追究责任。

5.8.4

公司各部门、子公司应认真组织自评。自评发现的重大缺陷，并及时整改的，不予考核处罚；自评时未发现，但被公司评价工作组发现的重大缺陷，经公司分管领导审批，审计办可向公司提出行政和经济问责建议。

5.8.5

公司各部门、子公司未按要求组织自评、提供资料、回复意见、缺陷整改，严重影

第 11 页 共 13 页

响公司内部控制评价工作进度或评价结论，经公司分管领导审批，审计办可向公司提出行政和经济问责建议。

5.8.6

对于公司内部评价时未发现，但被外部审计、监管机构发现的重大缺陷，公司可根据其影响程度对相关部门、子公司或相关人员进行行政和经济问责。

5.9 5.9.1 5.9.2 5.9.3

附则

本制度由董事会负责解释。

公司各控股子公司开展内部控制自我评价工作，参照本制度实施。

本制度未尽事宜，按国家有关法律、行政法规、部门规章、规范性文件和公司章程的规定执行。本制度如与国家日后颁布的法律、行政法规、部门规章、规范性文件或经合法程序修改后的公司章程相抵触时，按国家有关法律、行政法规、部门规章、规范性文件和公司章程的规定执行。

5.9.4

本制度由董事会审议通过之日实施。

第 12 页 共 13 页