内部控制评价与监督制度

内部控制评价与监督制度一、总则（一）目的为了加强公司内部控制，规范内部控制评价与监督工作，提高公司经营管理水平和风险防范能力，促进公司可持续发展，根据国家有关法律法规和公司实际情况，制定本制度。

（二）适用范围本制度适用于公司及所属各部门、各子公司的内部控制评价与监督工作。

（三）基本原则1.全面性原则：内部控制评价与监督应涵盖公司经营管理的各个环节，包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对实现控制目标的各个方面进行全面、系统的评价与监督。2.重要性原则：在全面评价的基础上，内部控制评价与监督应关注重要业务单位、重大业务事项和高风险领域，重点关注对公司经营、财务、合规目标有重大影响的内部控制制度的有效性。3.客观性原则：内部控制评价与监督应实事求是，以事实为依据，客观公正地反映内部控制的设计与运行情况，避免主观臆断和片面性。4.及时性原则：内部控制评价与监督应及时发现内部控制设计和运行中存在的缺陷，并采取有效措施加以改进，确保内部控制的持续有效。

二、内部控制评价（一）评价机构与人员1.公司设立内部控制评价工作领导小组（以下简称"领导小组"），由公司董事长担任组长，总经理担任副组长，各部门负责人为成员。领导小组负责领导和监督内部控制评价工作，审批内部控制评价报告。2.领导小组下设内部控制评价工作办公室（以下简称"办公室"），设在公司审计部门，负责组织实施内部控制评价工作。办公室主任由审计部门负责人担任。3.公司组建内部控制评价工作组，成员包括内部审计人员、财务人员、业务骨干等，负责具体实施内部控制评价工作。评价工作组应具备相应的专业知识和业务能力，熟悉公司业务流程和内部控制制度。

（二）评价范围与内容1.内部控制评价的范围包括公司层面内部控制和业务层面内部控制。公司层面内部控制主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等；业务层面内部控制主要包括采购业务、销售业务、资产管理、工程项目、资金活动、担保业务、财务报告等。2.内部控制评价的内容主要包括内部控制的设计有效性和运行有效性。设计有效性是指内部控制的设计是否合理、完整，能否有效防范风险；运行有效性是指内部控制是否得到有效执行，能否实现控制目标。

（三）评价程序与方法1.制定评价方案：办公室根据公司实际情况和年度内部控制评价工作计划，制定具体的内部控制评价方案，明确评价的目的、范围、内容、程序、方法、人员分工等。评价方案应报领导小组审批后实施。2.实施评价工作：评价工作组按照评价方案，通过询问、观察、检查、穿行测试、抽样测试等方法，对内部控制的设计和运行情况进行调查、分析和评价。在评价过程中，应充分收集相关证据，记录评价过程和结果。3.编制评价工作底稿：评价工作组应编制内部控制评价工作底稿，详细记录评价过程、发现的问题及相关证据等。工作底稿应真实、完整、清晰，能够反映评价工作的全过程。4.汇总评价结果：评价工作组对评价过程中发现的问题进行汇总分析，形成内部控制缺陷认定汇总表。根据缺陷的性质和影响程度，将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。5.编制评价报告：办公室根据评价工作组的汇总结果，编制内部控制评价报告。评价报告应包括评价的基本情况、内部控制缺陷认定及整改情况、内部控制有效性的结论等内容。评价报告经审计部门负责人审核后，报领导小组审批。6.提交评价报告：领导小组审批通过后，内部控制评价报告应及时提交公司董事会和监事会，并向社会披露。

（四）内部控制缺陷认定与整改1.内部控制缺陷认定标准：公司根据《企业内部控制基本规范》及其配套指引的要求，结合公司实际情况，制定内部控制缺陷认定标准。内部控制缺陷认定标准应明确重大缺陷、重要缺陷和一般缺陷的定义、特征、定量和定性判断标准等。2.内部控制缺陷认定：评价工作组根据内部控制缺陷认定标准，对评价过程中发现的问题进行分析判断，确定内部控制缺陷的性质和影响程度。对于认定的内部控制缺陷，应详细记录缺陷的内容、产生的原因、可能导致的后果等。3.内部控制缺陷整改：对于认定的内部控制缺陷，公司应制定切实可行的整改方案，明确整改责任部门、整改措施、整改期限等。整改责任部门应按照整改方案认真组织实施整改工作，确保内部控制缺陷得到及时有效的整改。办公室应对整改情况进行跟踪检查，及时掌握整改工作进展情况，督促整改责任部门按时完成整改任务。整改完成后，整改责任部门应向办公室提交整改报告，办公室应组织对整改效果进行验收。对于因内部控制缺陷导致公司发生重大损失或受到监管部门处罚的，公司应追究相关责任人的责任。

三、内部控制监督（一）监督机构与人员1.公司设立内部审计部门，负责对公司内部控制的有效性进行监督检查。内部审计部门应配备具备专业知识和业务能力的内部审计人员，独立行使内部审计监督权。2.内部审计部门应定期向公司董事会和监事会报告内部控制监督检查情况，及时发现和揭示内部控制存在的问题，并提出改进建议。

（二）监督方式与频率1.内部审计部门应采取定期监督和不定期监督相结合的方式，对公司内部控制进行监督检查。定期监督检查每年至少进行一次，全面评价公司内部控制的有效性；不定期监督检查根据公司实际情况和风险状况，对重点业务、关键环节、高风险领域等进行专项监督检查。2.在监督检查过程中，内部审计部门可以采用询问、观察、检查、抽样测试、穿行测试等方法，对内部控制的设计和运行情况进行调查、分析和评价。

（三）监督内容与报告1.内部审计部门监督检查的内容主要包括内部控制制度的执行情况、内部控制缺陷的整改情况、风险评估及应对措施的有效性、信息系统的安全性和可靠性等。2.内部审计部门应编制内部控制监督检查报告，详细记录监督检查的过程、发现的问题及相关证据等。监督检查报告应包括检查的基本情况、发现的问题、整改建议等内容。监督检查报告经内部审计部门负责人审核后，报公司董事会和监事会。3.对于监督检查过程中发现的内部控制缺陷，内部审计部门应及时下达整改通知书，要求相关责任部门限期整改。整改责任部门应按照整改通知书的要求认真组织实施整改工作，并将整改情况及时反馈给内部审计部门。内部审计部门应对整改情况进行跟踪检查，确保整改工作落实到位。

四、信息沟通与披露（一）信息沟通1.公司应建立健全信息沟通机制，确保内部控制相关信息在公司内部各部门、各层级之间及时、准确、完整地传递。信息沟通应涵盖公司内部信息和外部信息，包括财务信息、业务信息、市场信息、政策法规信息等。2.公司应明确各部门、各层级在信息沟通中的职责和权限，建立信息传递渠道和方式，如定期会议、报告制度、内部网络平台等。各部门应按照规定及时收集、整理、传递相关信息，确保信息的及时性和准确性。3.公司应加强对信息系统的管理和维护，确保信息系统的安全稳定运行，为信息沟通提供可靠的技术支持。同时，应建立信息安全保密制度，防止信息泄露和滥用。

（二）信息披露1.公司应按照国家有关法律法规和监管要求，定期披露内部控制评价报告和内部控制审计报告，向社会公众公开公司内部控制的建设和运行情况。2.内部控制评价报告应包括公司内部控制的基本情况、内部控制评价的范围和方法、内部控制缺陷认定及整改情况、内部控制有效性的结论等内容。内部控制审计报告应包括注册会计师对公司内部控制有效性的审计意见。3.公司应在年度报告中详细披露内部控制评价报告和内部控制审计报告的相关内容，确保投资者和其