内部控制评价制度

内部控制评价制度

第一章总则

第一条编制目的和意义

作为上工申贝（集团）股份有限公司（以下简称“上工申贝”或“公司”）内部控制体系建设的组成部分，为确保公司内部控制体系的有效运行，提高公司内部控制与经营管理水平，促进公司健康、可持续发展，为公司增加价值并提高公司运作效率，特制定《内部控制评价制度》（以下简称“本制度”）。

公司旨在通过本制度明确公司内部控制评价、评估汇总和报告的工作流程和管理体系，明确内部控制评价工作的职责体系，将内部控制评价工作落实到公司的各个层面，实现对内部控制体系有效性的持续监控。内部控制评价作为内部控制监控的重要手段之一，帮助管理层确保公司内部控制体系有效地设计并且持续有效地运作。公司内各单位要对其负责的控制活动根据本制度进行自评，内部控制评价小组要根据本制度对公司的内部控制进行独立测试。通过自评与独立测试相结合，形成有效的内部控制自我评价体系和持续监督体系，确保内部控制的持续有效，最终实现公司内部控制的总体目标。

本制度适用于公司本部及直属分公司、公司范围内的全资和控股子公司。其他参股公司可在适用情况下参照执行。

第二条编制基础和依据

本制度依据财政部、证监会、审计署、银监会、保监会颁布的《企业内部控制基本规范》、《企业内部控制评价指引》等有关法规规定，并结合公司的具体情况编制而成。

第二章内部控制评价的组织机构

第三条内部控制评价组织机构

组长：董事长

副组长：总经理

成员：各业务分管副总、董秘

内部控制评价的参与主体及其各自的职责包括：

公司董事会：负责对内部控制的有效性进行全面评价、形成结论，出具报告，并对内控评价报告的真实性负责。

董事会授权公司审计部为公司内控评价部门，负责内部控制评价的具体组织实施工作，对控制缺陷进行分析、复核、报告及跟踪，向董事会、监事会或者经理层报告发现的内控缺陷。

公司审计部应组建内控评价小组，领导评价小组实施内部控制独立测试工作，并完成评价工作底稿。内控评价小组由公司审计部负责牵头，并吸纳企业内部相关职能部门（如：财务、人力资源、董办等部门）熟悉情况的业务骨干组成。也可以委托中介机构参与独立测试的工作。

公司内控评价小组工作成员：审计部骨干、财务部门骨干、人力资源部门骨干、经营管理部骨干、办公室骨干。

公司各职能部门、分公司及控股子公司：成立内控业务小组，由公司各职能部门正职、分公司及控股子公司一把手任组长，公司各职能部门副职、分公司及控股子公司的副职任内控联络员，内控业务小组主要负责实施内部控制自评工作，并填制内部控制自评问卷或底稿，上报公司审计部。

第三章内部控制评价范围

第四条依据全面性、重要性和客观性的原则，内部控制评价的范围是公司合并报表范围内的各级公司。

第五条公司评价包括公司层面和业务层面开展内部控制自我评价工作。在公司层面，对内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面从内部控制的设计有效性和运行有效性两方面进行全面系统评价。在业务层面，对为确保战略目标、经营管理的效率和效果、财务报告及相关信息的真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标实现所设置的内部控制活动进行评价。

第四章内部控制评价的整体工作流程

第六条内部控制评价的流程

内部控制评价程序包括：制定内部控制评价工作方案、执行内部控制现场测试、汇总控制缺陷和行动计划、内部控制缺陷认定和编报评价报告等环节。

内部控制评价的整体工作流程如下图所示：

第五章制定内部控制评价工作方案

第七条内部控制评价工作方案

每年由公司审计部负责内部控制评价工作。公司审计部根据国家法律法规要求、公司经营特点、发展目标及年度工作重点制定内部控制评价工作方案，其中包括公司各职能部门、分公司及控股子公司对内控设计有效性和运行有效性的自我评价工作计划和内控评价小组的独立测试计划。

内部控制评价工作方案应当明确评价目的、范围、组织、标准、方法、进度安排和人员预算等内容，报经理层和董事会审计委员会审批通过。

第八条组建内部控制评价小组

公司审计部应当根据经董事会审计委员会批准的评价方案，组成内部控制评价小组，具体实施内部控制评价工作。评价小组可以吸收公司职能部门、分公司及控股子公司（如财务、人力资源等）熟悉情况的业务骨干参加。评价小组成员对本部门的内部控制评价工作应当实行回避制度。

第六章执行内部控制评价

第九条内部控制评价的内容

内部控制评价包含两大部分：一是公司各职能部门、分公司及控股子公司的内控自评；二是内控评价小组的独立测试。

各职能部门、分公司及控股子公司的内控自评主要是由职能部门、分公司及控股子公司对内部控制有效性进行自我评估的过程。公司审计部负责组织协调各职能部门、分公司及控股子公司进行内控自评并在各部门、分公司及控股子公司进行内控自评的过程中提供业务指导。

内控评价小组独立测试是由内控评价小组综合运用访谈、测试和比较分析等方法，广泛收集内部控制设计和运行是否有效的证据，研究分析内部控制缺陷，对内部控制的有效性进行评价的过程。内部控制独立测试由审计部牵头组成的内控评价小组执行，各职能部门、分公司及控股子公司必须接受业务指导、予以配合和协助。

第十条内部控制评价的对象

公司内部控制评价的对象涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的所有内部控制活动及内控评价部门依据全面性、重要性和客观性的原则确定的公司合并报表范围内其他业务实体的内部控制活动。

公司内部控制手册针对各业务流程，确定了相应的风险、控制目标和控制活动。

公司内部控制手册中的风险来源于各个业务流程中的风险以及公司日常经营业务中面临的特定风险。

控制目标是指公司为达到资源合理组织、整合与利用，并规避及防范经营业务中可能的风险所须达到的目标。

控制活动根据其发生的时点，可分为预防型控制和检查型控制两大类，其中：（一）预防型控制是事前控制，是指采取措施以预防控制目标未能实现的情况；

（二）检查型控制是事后控制，是指采取措施以发现和纠正控制目标未能实现的情况。

控制活动根据其操作方式，又可分为手工控制和系统控制两大类，其中：（一）手工控制是通过人工操作（包括人工对系统的操作）来执行的控制活动。手工控制的有效性依赖于执行控制活动的执行人的胜任能力和尽责程度。培训和专业经验的培养对于手工控制的执行人非常重要，因为手工控制可能由于执行人缺乏培训和专业经验而导致控制活动未得到持续、有效地执行。

（二）系统控制是完全基于系统的操作和运行、不介入任何人工干预来执行的控制活动。系统控制的有效性依赖于有效的通用计算机控制环境。

第十一条内部控制评价的结论

内部控制评价的结论将分为设计有效性和运行有效性两个方面。

（一）设计有效性

设计有效性是指为实现控制目标所必需设置的控制措施设计适当并投入实施。

设计有效性的评估结果分为四种：有效、部分有效、无效和不适用。

有效：控制活动的设计能够完全满足控制目标。