日期:2016-07-28 00:00:00 浏览:8374 来源:
(本制度已经公司第五届董事会第十五次会议审议通过)
第一条 为规范湖北楚天高速公路股份有限公司(以下简称“公司”)内部控制评价工作,及时发现公司内部控制缺陷,确保内部控制有效运行,提高公司内部控制与经营管理水平,促进公司健康可持续发展,根据《企业内部控制基本规范》、《企业内部控制评价指引》、《上海证券交易所上市公司内部控制指引》等有关规定,并结合公司实际情况制定本制度。
第二条 本制度所称内部控制评价,是指由公司董事会对公司、子公司内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
内部控制有效性是指建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
第三条 本制度适用于公司及所属单位,包括全资子公司、控股子公司及其他直属单位。
第四条 公司实施内部控制评价应当遵循以下原则:
(一) 全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及其所属单位的各项业务和事项。
(二) 重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三) 客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
(四) 风险导向原则。评价工作应当以风险为导向,根据风险发生的可能性和对公司内部控制目标的影响程度确定需要评价的重点业务单元、重要业务领域和重要流程环节。
(五) 及时性原则。评价工作应当按照规定的时间进行,当经营管理环境发生重大变化时,应及时进行重新评价。
第五条 公司内部控制评价,一般包括年度评价和专项评价。
年度评价是指公司根据内部控制目标,对公司某一年度建立与实施内部控制的有效性进行的评价;专项评价是指公司在特定时点对特定范围的内部控制的有效性进行的评价。
年度评价为定期评价,在每个会计年度结束后至年度报告提交董事会审议前,应完成年度评价工作并将内部控制评价报告交董事会审计委员会审核;专项评价为不定期评价,根据需要视具体情况而定,不受检查时间和检查次数限制。
第六条 公司董事会对内部控制评价报告的真实性负责,其主要职责包括:
(一) 对内部控制评价过程中发现的重大缺陷进行最终认定,对评价中发现的所有内部控制缺陷进行审定和处理;
(二) 审议和批准内部控制自我评价报告。
第七条 监事会审议内部控制评价报告,对建立、实施、评价内部控制进行监督。
第八条 审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制的自我评价情况,其主要职责包括:
(一) 审议内部控制评价工作方案;
(二) 检查和评价内部控制评价人员的工作;
(三) 审核内部控制评价报告,对评价过程中发现的重大、重要缺陷及时向董事会报告。
第九条 董事会授权审计部为内部控制评价的归口管理部门,负责公司内部控制评价日常管理和监督工作,其主要职责包括:
(一) 制定内部控制评价工作方案;
(二) 组成内部控制评价工作组;
(三) 汇总各职能部门、所属单位内部控制自我评价表和报告并进行备案;
(四) 收集、整理内部控制评价工作组的内部控制评价工作底稿和评价报告;
(五) 按照内部控制评价工作组形成的内部控制有效性结论,编写年度内部控制自我评价报告。
第十条 内部控制评价工作组具体负责内部控制自我评价工作,其主要职责包括:
(一) 根据内部控制评价方案进行现场测试,收集内部控制评价的证据;
(二) 收集、整理和填制内部控制评价测试底稿;
(三) 研究分析并初步认定内部控制缺陷。
第十一条 公司各职能部门和所属单位是内部控制评价的参与单位,其主要职责包括:
(一) 配合内部控制评价工作组做好本单位内部控制自我评价工作;
(二) 提供真实、准确的信息资料配合内部控制评价工作组进行内部控制测评和检查工作。
第十二条 公司内部控制自我评价应根据《企业内部控制基本规范》及应用指引、公司《内部控制手册》,围绕内部控制的目标及内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
内部环境评价,是以《企业内部控制基本规范》和组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合公司内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
风险评估机制评价,是以《企业内部控制基本规范》有关风险评价的要求,以及各项应用指引中所列主要风险为依据,结合公司的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
控制活动评价,是以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本公司的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
信息与沟通评价,是以《企业内部控制基本规范》和内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本公司的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
内部监督评价,是以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本公司的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、审计部等是否在内部控制设计和运行中有效发挥监督作用。
第十三条 公司内部控制自我评价应涵盖公司所有重要环节及贯穿于经营管理活动各环节的各项规章制度。
第十四条 内部控制自我评价工作应当形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第十五条 公司内部控制评价程序主要包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十六条 制订内部控制评价工作方案。审计部根据内部监督情况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制订科学合理的评价工作方案,经公司审计委员会批准后实施。评价工作方案应明确评价主体范围、工作任务、人员组成、进度安排和费用预算等相关内容。
第十七条 组成内部控制评价工作组。审计部根据经批准的评价方案,牵头组成评价工作组,具体组织实施内部控制评价工作。内部控制评价工作组应吸收公司内部相关部门熟悉情况的业务骨干参加。
评价工作组成员应熟悉内部控制专业知识及相关管理制度、业务流程及需要重点关注的问题、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准等内容,评价组成员对本部门的内部控制评价工作予以回避。
公司实施内部控制评价可以委托中介机构,但不得选择同时为公司提供内部控制审计服务的中介机构。
第十八条 实施内部控制评价现场测试
内部控制评价工作组实施现场测试应提前书面通知被评价单位,通知内容至少包括:评价的目的、依据、原则、内容、时间安排及被评价单位应做的准备工作等。
内部控制评价工作组对被评价部门进行现场测试,综合运用个别访谈、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第十九条 评价工作组将评价结果及现场评价报告向被评价单位进行反馈,由被评价单位负责人签字确认。
第二十条 内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合内部控制评价,客观、公正、完整地编制内部控制缺陷认定表和整改建议书,以书面形式按以下规定报告。
报告频次:一般缺陷和重要缺陷每年至少报告一次,重大缺陷立即报告。
报告途径:对于重要缺陷和重大缺陷及整改方案,应分别向管理层、审计委员会、董事会报告。如果存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之上的情形,直接向审计委员会、董事会报告。
第二十一条 内部控制缺陷的分类
(一) 按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。
运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
(二) 按照影响公司内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个关键控制缺陷的组合,可能导致公司严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中出具内部控制无效的结论。
重要缺陷,是指一个或多个重要控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致公司偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制整体有效性,但应当引起公司管理层的充分关注。审计部和管理层应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。
一般缺陷,指不构成重大缺陷、重要缺陷的内部控制缺陷。
(三) 按照影响内部控制目标的具体表现形式,内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制缺陷。
财务报告内部控制缺陷,是指在会计确认、计量、记录和报告过程中出现的,对财务报告的真实性和完整性产生直接影响的控制缺陷。
非财务报告内部控制缺陷,是指虽不直接影响财务报告的真实性和完整性,但对公司经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。
第二十二条 内部控制缺陷认定标准
公司董事会根据《内部控制基本规范》及评价指引,结合公司规模、行业特征、风险水平等因素,研究确定了适用本公司的内部控制缺陷具体认定标准:
(一) 财务报告内部控制缺陷的认定标准
1. 定性标准
具有以下特征的缺陷,定性为重大缺陷:
(1) 外部发现公司管理层存在的任何程度并非由公司首先发现的舞弊;
(2) 已经发现并报告给管理层的重大内部控制缺陷在经过合理的时间后,并未加以改正;
(3) 控制环境无效;
(4) 影响收益趋势的缺陷;
(5) 影响关联交易总额超过股东批准的关联交易额度的缺陷;
(6) 外部审计发现的重大错报不是由公司首先发现的;
(7) 其他可能影响报表使用者正确判断的缺陷。
具有以下特征的缺陷,定性为重要缺陷:
(1) 未经授权进行担保、投资有价证券、金融衍生物交易和处置产权、股权造成经济损失;
(2) 公司财务人员或有关人员权责不清、岗位混乱,涉嫌经济、职务犯罪,被移交司法机关;
(3) 销毁、藏匿、随意更改发票、支票等重要原始凭证,造成经济损失;
(4) 现金收入不入账、公款私存或违反规定设立“小金库”。
不构成重大缺陷或重要缺陷的其他内部控制缺陷,定性为一般缺陷。
2. 定量标准
公司确定的财务报告内部控制缺陷评价的定量标准如下,公司按照下列参考指标孰低者作为相关缺陷的定量标准:
参考指标 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
潜在错报占营业收入总额的比重 | 错报≥3% | 1.5%≤错报<3% | 错报<1.5% |
潜在错报占利润总额的比重 | 错报≥5% | 2.5%≤错报<5% | 错报<2.5% |
潜在错报占所有者权益总额的比重 | 错报≥0.5% | 0.25%≤错报<0.5% | 错报<0.25% |
(一) 非财务报告内部控制缺陷认定标准
1. 定性标准
重大缺陷:对外正式披露并对本公司定期报告披露造成负面影响。有以下情况的直接视为非财务报告内部控制可能存在重大缺陷:
(1) 严重违反国家法律、法规;
(2) 除政策性亏损原因外,企业连年亏损,持续经营受到挑战;
(3) 重要业务缺乏制度控制或制度系统性失效;
(4) 子公司缺乏内部控制建设,管理散乱;
(5) 企业中高层管理人员、关键岗位人员流失严重;
(6) 内部控制的结果特别是重大或重要缺陷未得到整改。
重要缺陷:受到国家政府部门处罚但未对本公司定期报告披露造成负面影响。
一般缺陷:受到省级(含省级)以下政府部门处罚但未对本公司定期报告披露造成负面影响。
2. 定量标准
公司确定的非财务报告内部控制缺陷评价的定量标准如下,公司按照下列参考指标孰低者作为相关缺陷的定量标准:
参考指标 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
直接财产损失金额占营业收入总额的比重 | 错报≥2% | 1%≤错报<2% | 错报<1% |
直接财产损失金额占利润总额的比重 | 错报≥6% | 3%≤错报<6% | 错报<3% |
直接财产损失金额占所有者权益总额的比重 | 错报≥1% | 0.5%≤错报<1% | 错报<0.5% |
第二十三条 内部控制评价工作组应当建立评价质量交叉复核制度,评价工作组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认后,提交审计部。
第二十四条 审计部应当编制内部控制缺陷认定汇总表,结合发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式报告。重大缺陷应当由董事会予以最终认定。
第二十五条 对于认定的重大、重要缺陷,公司应当及时采取风险应对措施,明确整改责任人、整改措施及整改工作时间要求,切实将风险控制在可承受范围之内。缺陷整改责任人应积极落实整改措施,要求在内部控制评价报告基准日前将缺陷整改到位并严格落实规范性要求;对于内部控制评价报告基准日前未完成整改的重大、重要缺陷,则应由缺陷整改责任人提出具体整改计划。
第二十六条 缺陷整改责任人必须在不晚于内部控制评价报告日的规定时间内提交书面整改报告,整改报告内容至少包括:整改开始时间、已采取的整改措施、整改后运行时间、整改后运行有效性的评价结论等;若涉及内部控制评价报告基准日前未完成整改的重大、重要缺陷,则整改报告还应包括拟采取的具体整改计划、整改责任人、预计完成时间等。
第二十七条 公司对于认定的重大缺陷,应追究有关部门或相关人员的责任。
第二十八条 公司根据《企业内部控制基本规范》、应用指引和评价指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限经批准后对外报出。
第二十九条 内部控制评价报告应当分别以内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
第三十条 内部控制评价报告应当披露下列内容:
(一) 董事会对内部控制报告真实性的声明;
(二) 内部控制评价工作的总体情况;
(三) 内部控制评价的依据;
(四) 内部控制评价的范围;
(五) 内部控制评价的程序和方法;
(六) 内部控制缺陷及其认定情况;
(七) 内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
(八) 内部控制有效性的结论。
第三十一条 公司应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
第三十二条 内部控制评价报告应当经董事会批准后对外披露或报送相关部门。审计部应当关注内部控制自我评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第三十三条 公司内部控制审计报告与内部控制评价报告同时对外披露或报送。
第三十四条 公司以 12 月 31 日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后 4个月内报出。
第三十五条 公司应妥善保管内部控制评价的有关文件资料、工作底稿和证明材料等内部控制评价工作档案。
第三十六条 本制度由审计部负责解释,自董事会通过之日起执行。