600549厦门钨业内部控制评价办法

内部控制评价办法123目的促进厦门钨业股份有限公司(以下简称“公司”)全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险。适用范围厦门钨业股份有限公司总部、分公司及控股公司。定义3.1 内部控制评价，是指公司董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。3.2 内部控制评价测试主要是针对具体的内部控制业务流程，按照业务发生频率，从确定的抽样总体中抽取一定比例的业务样本，参照控制的标准程序对业务样本进行实地查验，并对其符合性进行判断，进而对业务流程控制运行的有效性做出评价的测试。评价测试选取的对象主要是各业务流程中的关键控制事项。4原则4.1 全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司及其所属单位的各种业务和事项。4.2 重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。4.3 客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。5职责5.1 公司授权监察审计部负责内部控制评价的具体组织实施工作。675.2 公司可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。5.3 公司董事会应对内部控制自我评价报告的真实性负责。内部控制评价的依据和范围确定6.1 内部控制评价是依据财政部等五部委联合发布的企业内部控制基本规范（以下简称“基本规范”)、企业内部控制应用指引（以下简称“应用指引”)、企业内部控制评价指引（以下简称“评价指引”)、上交所上海证券交易所上市公司内部控制指引（以下简称“上交所指引”)，结合公司内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，对公司每年截止 12 月 31 日的内部控制设计与运行有效性进行评价并发表结论。6.2 公司内部控制的目标是合理保证公司经营管理合法合规、公司资产安全、以及财务报告及相关信息真实完整，提高经营效率和效果，促进公司战略实施和战略目标的实现。6.3 公司根据基本规范、应用指引、评价指引以及本企业的内部控制制度，考虑公司自身的经营特点、业务模式以及风险管理要求，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。6.4 内控评价应当以风险为导向，在风险评估的基础上，对高风险领域（经营单元、业务流程）进行重点关注和评价。6.5 由于内部控制本身的局限性，评价范围所涉内容并非一成不变。各单位应结合单位自身业务、管理实际，开展内控评价工作。确保内部控制评价覆盖范围的合理性、全面性，并重点关注高风险领域。内部控制评价的程序7.1 制定评价工作方案监察审计部应当根据公司内部监督情况和管理要求，分析企业经营管理过程中的高风险领域和重要业务事项，确定检查评价方法，制定科学合理的评价工作方案，经董事会或其授权机构审批后实施。评价工作方案应当明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容。7.2 组成评价工作组评价工作组具体承担内部控制检查评价任务。监察审计部根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员组成评价工作组，明确相应工作职责，具体组织开展内部控制评价工作。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加，但评价工作组成员对其所在部门的内部控制评价工作应当实行回避。7.3 实施现场测试评价工作组按照人员分工，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法对内部控制设计与运行的有效性进行现场检查测试，按要求填写工作底稿、记录相关测试结果，并对发现的内部控制缺陷进行初步认定。7.4 认定控制缺陷评价工作组人员组织对评价过程中的异常原因进行分析，找到差距，分析可能带来的后果，由评价工作组进行综合分析后提出内部控制缺陷的认定意见，按照规定的权限和程序进行审核后予以最终认定。经认定的内部控制缺陷，可由评价工作组提出整改建议，存在缺陷的部门（或单位）根据实际情况制定相应整改方案，并组织整改。7.5 汇总评价结果及编制评价报告评价工作组汇总评价人员的工作底稿，初步认定内部控制缺陷，形成现场评价报告。评价结果及现场评价报告应向被评价单位进行通报，并由被评价单位相关责任人签字确认。88.1.18.1.28.1.38.1.49评价工作组分析、汇总评价结果和认定内部控制缺陷，综合判断公司整体控制的有效性，编制公司内部控制评价报告，提交公司管理层和董事会审议通过后对外披露。7.6 内部控制评价工作应当形成工作底稿，详细记录公司执行评价工作的内容，包括评价要素、测试方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等。内控自我评价底稿是形成内控自我评价报告的直接依据。内部控制评价测试8.1 评价测试方法一般分为询问、观察、检查、重新执行四种方法。询问：访谈控制活动执行人员，了解控制相关的流程现状和相关制度规范。观察：察看控制活动的执行现状和结果，包括在观察的同时进行询问。检查：审查相关记录和文件,确认业务流程的设计和执行是否有效；关键控制事项的执行程序是否及时、正确、完整；是否不相容岗位职责分离；是否对关键控制存在执行监控等；包括在检查的同时进行观察和询问。重新执行：将相关控制事项重新执行一次，以验证是否其控制执行有效；对于常见的手工控制活动不经常使用。测试样本选取规则9.1 样本应尽量贯穿业务流程全过程，侧重于财务信息相关的资料。尽量从财务部门（或业务流程的主责部门）取得具体样本，如无法获取完整，可自其他相关部门取得，但应保证自其他相关部门取得的样本与财务部门（或业务流程的主责部门）记录的业务确为同一笔业务。9.2 样本的选择需考虑交易的同质性。由于内控测试是针对每个控制事项进行的，而每个控制事项可能对应多个业务类型或审批程序等控制手段。为保证测试样本完整的覆盖面，在抽取样本时应该根据业务类型的不同而选择相应的样本。针对不同的情况进行独立抽样，并对此情况进行解释说明。9.3 测试要保证测试期间样本的有效性。测试样本抽取的期间应是指年初至测试时点的期间。如果这一测试期间暂无样本（如发生频率为每年一次的控制活动），且控制活动未发生改变，则可抽取以前年度的样本，用以评估测试期间该控制活动执行的有效性。如果控制活动发生改变，则需要在年末或者来年年初进行补充测试。为了避免抽样风险，测试者应在测试期间内相对均匀地选择样本。9.4 测试人员在抽取样本时应独立选择样本，不可任由被测试单位主动提供样本。10 样本量与测试结果评价10.1测试结果的评价共分为四种：控制有效、控制无效、样本量不足和未发生交易。10.1.1 控制有效：对于某个控制事项，当抽取的样本达到规定的样本量时，样本全部满足要求，此控制事项被认为是得到有效执行，测试结果为“控制有效”；若初始样本量达到 20 个以上的控制事项，出现不超过 1 个的异常样本，可扩充样本量，抽取新的测试样本，新样本全部满足要求，测试结果仍可评价为“控制有效”。10.1.2 控制无效：对于某个控制事项，抽取样本达到规定样本量时，若出现 2个及以上样本不满足控制要求时，测试结果评价为“控制无效”；若初始样本量达到 20 个以上的控制事项出现了 1 个异常样本，扩充测试样本量后仍存在异常样本，测试结果仍评价为“控制无效”。10.1.3 样本量不足：已抽取的样本全部满足要求，只是由于整改或者流程调整导致无法满足要求的样本数量的情形。10.1.4 未发生交易：控制事项所涉及的业务在测试期间尚未发生的情形，需同时在测试结果备注中说明“经询问 XX 部门 XX 该业务在 X-X 月份未发生”。10.2 针对样本量充足的固定频率的手工控制事项，其抽取的样本量及测试有效性的评价结论对应如下所示：手工控制事项 初始样本量 异常执行频率 （不少于） 样本数量补充 新异常样本数量 样本数量测试结论0控制有效每日多次每日一次或每周一次以上每周一次或每月一次以上每月一次或每季度一次以上每季一次或每半年一次以上每年一次2520124211 201 2010101011580 10 1控制有效控制无效控制无效控制有效控制有效控制无效控制无效控制有效控制无效控制有效控制无效控制有效控制无效控制有效控制无效10.3针对非固定频率的手工控制事项，其抽取的样本量及测试结论对应如下所示：手工控制事项 初始样本量 异常 补充 新异常预计每年发生次数 （不少于） 样本数量 样本数量 样本数量测试结论0控制有效 25051-25016-507-153-61-22520124211 201 2010101011580 101控制有效控制无效控制无效控制有效控制有效控制无效控制无效控制有效控制无效控制有效控制无效控制有效控制无效控制有效控制无效10.4由于自动控制是由系统自动完成的，因此自动控制活动的样本均按 1 个样本量予以抽取。抽取的样本应当是系统中自动控制的截屏。11 内部控制缺陷的认定11.1 公司在确定内部控制缺陷的认定标准时，应当充分考虑内部控制缺陷的重要性及其影响程度。11.2 内部控制缺陷的分类11.2.1 按照其成因分为设计缺陷和运行缺陷11.2.1.1 设计缺陷,是指缺少为实现控制目标所必需的控制，或现有控制设计不适当、即使正常运行也难以实现预期的控制目标。11.2.1.2 运行缺陷,是指现存设计适当的控制没有按设计意图运行，或执行人员没有获得必要授权或缺乏胜任能力，无法有效地实施内部控制。11.2.2 按照其对财务报告的影响分为财务报告内控缺陷和非财务报告内控缺陷11.2.2.1 财务报告内控缺陷，是指在会计确认、计量、记录和报告过程中出现的，对财务报告的真实性和完整性产生直接影响的控制缺陷。11.2.2.2 非财务报告内控缺陷，是指虽不直接影响财务报告的真实性和完整性，但对企业经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。11.2.3 按照其影响整体控制目标实现的严重程度，可分为重大缺陷、重要缺陷、一般缺陷。11.2.3.1 重大缺陷，是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。11.2.3.2 重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标。11.2.3.3 一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。11.3 内部控制缺陷认定标准的制定包括财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准两类。11.4 财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准均包括定量标准和定性标准.11.4.1 定量标准，即涉及金额的大小，可以根据造成直接损失的绝对金额确定，也可以根据直接损失占本公司资产总额、销售收入及利润等的比率确定。11.4.2 定性标准，即涉及业务性质的严重程度，可根据其直接或潜在负面影响的性质、范围、程度等因素确定。11.5 公司对内部控制缺陷的认定标准，应当以日常监督和专项监督为基础，由公司监察审计部进行综合分析后提出认定意见，报请审计委员会审核后，董事会予以最终认定，并作为内控缺陷认定评价的参考依据。11.6 内部控制缺陷的认定实行逐级审批确认。评价工作组根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。一般缺陷在评价工作过程中确认；重要缺陷和重大缺陷由评价工作组讨论并提出意见，其中重要缺陷报管理层研究确认，重大缺陷提交董事会审议确认。11.7 财务报告内部控制可能存在重大缺陷的一些迹象：（1） 董事、监事和高级管理人员舞弊；（2） 公司更正已公布的财务报告；（3） 注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；（4） 公司审计委员会和内部审计机构对内部控制的监督无效。11.8 非财务报告内部控制可能存在重大缺陷的一些迹象：（1） 违反国家法律、法规；（2） 公司缺乏重大事项决策程序；（3） 信息披露内部控制失效，导致公司被监管部门公开谴责；（4） 内部控制评价的结果特别是重大或重要缺陷未得到整改；（5） 重要业务缺乏制度控制或制度系统失效。11.9 非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。11.10 内控评价工作组应编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以书面形式向董事会、监事会或者管理层报告。12 内部控制缺陷的整改12.1内控评价工作组在评价过程中发现内部控制缺陷后，应分析该缺陷存在的主要原因，提出整改建议，必要时下发整改通知书。12.2相关单位自接到整改通知书之日起一月内，制定有针对性的整改方案并以书面形式报送监察审计部。整改方案应包括整改总负责人、整改责任部门和责任人、整改措施、整改计划完成时间。整改方案应具体明确，切实可行，并能保证及时性。对于整改期限超过一年的事项，整改方案应明确近期和远期目标以及相应的整改工作内容。12.3监察审计部负责跟踪整改进度落实情况，各单位整改负责人应按要求及时报告整改完成进度和未能及时完成的原因。12.4监察审计部定期就缺陷整改情况向管理层报告，报告不仅要对整改方案的完成进度予以说明，同时要关注的整改过程中出现的问题（如困难、需要协调其他部门的事项等）。13 内部控制评价报告13.1公司监察审计部负责根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，及时编制内部控制自我评价报告。评价报告应符合基本规范、应用指引，以及相关监管部门和上海证券交易所的规定和要求。13.2内部控制自我评价报告应当报经公司总裁办公会、董事会审议批准后对外披露或报送相关部门。13.3内部控制评价报告至少应当披露下列内容：13.3.1 董事会对内部控制报告真实性的声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。13.3.2 内部控制评价工作的总体情况。明确公司内部控制评价工作的组织、领导体制、进度安排，是否聘请会计师事务所对内部控制有效性进行独立审计。13.3.3 内部控制评价的依据。说明公司开展内部控制评价所依据的法律法规和规章制度。13.3.4 内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对内部控制评价报告真实完整性产生的重大影响等。13.3.5 内部控制评价的程序和方法。描述公司在评价过程中的工作程序和方法。13.3.6 内部控制缺陷及其认定情况。描述适用本公司的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制缺陷认定标准，确定期末存在的重大缺陷、重要缺陷和一般缺陷。13.3.7 内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。对于评价期间发现、期末已完成整改的重大缺陷，说明公司有足够的测试样本显示，与该重大缺陷相关的内部控制设计、运行有效。针对评价期末存在的内部控制缺陷，说明控制缺陷的风险级别，及公司对重大缺陷拟采取的整改措施及预期效果。13.3.8 内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效的结论；对存在重大缺陷的情形，不得做出内部控制有效的结论，并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来生产经营带来相关风险。13.4 公司以每年的 12 月 31 日作为年度内部控制自我评价报告的基准日。内部控制自我评价报告应于基准日后 4 个月内报出。监察审计部应当关注自内部控制自我评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。13.5内部控制评价的有关文件资料、工作底稿和证明材料等由监察审计部妥善保管，年度报告应永久保存。14 通则本办法经董事会后核准生效，自发行之日起实施，修改时亦同。本文件解释权归董事会。15 参考文件15.1企业内部控制基本规范15.2企业内部控制应用指引15.3企业内部控制评价指引15.4上海证券交易所上市公司内部控制指引