您的当前位置:网站首页 > 投资者关系 > 公司治理 >
广东韶能集团股份有限公司内部控制评价管理办法
 

 

广东韶能集团股份有限公司

内部控制评价管理办法

 

第一章  总则

第一条 根据国家有关法律法规和监管规则的要求,结合本公司实际,制定本办法。
第二条 内部控制评价的组织和分工
(一)董事会、董事会审计委员会
    1、公司董事会对内部控制评价承担最终的责任,对内部控制评价报告的真实性负责。公司董事会通过下属审计委员会承担对内部控制评价的组织、领导和监督职责。
2、审计委员会的相关职责包括:
(1)监督与审查公司及所属分、子公司(下称“基层企业”)的内控制度和体系的完整性、合理性及有效性;
(2)评估公司存在的或潜在的风险状况,提出完善公司风险管理的建议;
(3)听取内部控制检查监督工作报告、内控制度自我评估报告及会计师事务所对公司年度审计、专项审计、管理建议书等情况的报告。
    (二)监事会
    公司监事会负责对公司建立与实施内部控制进行监督,并有权听取、获取公司内部控制的相关报告。
(三)经理层
公司经理层负责组织实施内部控制评价。公司成立内部控制评价领导小组,统一领导内部控制的检查评价与考核工作。内部控制评价领导小组的相关职责包括:
1、审核批准内部控制评价计划;
2、审议公司内部控制评价报告;
3、监督检查内部控制评价工作。
(四)审计监察部
审计监察部根据授权承担内部控制评价的具体组织实施任务,牵头组织公司职能部门和基层企业开展自我评价;组织成立内部控制评价工作组,开展内部控制评价及检查工作。审计监察部的相关职责包括:
1、制定评价、检查计划,分解工作任务;
2、指导、协调公司职能部门和基层企业的内部控制评价工作;
3、监督、检查各部门和基层企业的内部控制评价、检查的工作质量;
4、审核公司汇总内控缺陷,讨论确认内控缺陷性质,提出改进建议;
5、审核公司及基层企业的自评报告,并提交内控领导小组审议;
6、负责组织评价、检查工作培训并提供咨询;
7、起草公司内部控制评价报告。
(五)职能部门
公司各职能部门具体落实本部门内部控制工作。具体职责包括:
1、依照《内部控制手册》,组织实施本部门内部控制的自我评价工作;
2、配合内部控制评价工作小组的工作;
3、对内部控制评价中发现的内控缺陷,拟定改进方案,并进行整改。
(六)基层企业
    1、公司基层企业负责逐级落实内部控制评价责任,建立日常监督机制;
 2、开展内部控制自查、测试和定期检查评价,编制本企业内部控制评价报告;
 3、配合内部控制评价工作小组的工作;
    4、对内部控制评价中发现的内控缺陷,拟定改进方案,并进行整改。
 第三条 内部控制评价的遵循全面性原则、重要性原则和客观性原则。
第四条 内部控制评价的依据与目的
内部控制检查评价以公司及基层企业的《内部控制手册》和管理制度为依据,获取与内部控制有效性相关的证据,并合理保证证据的充分性和适当性,对相关控制的设计和运行是否有效做出评价。
第五条 内部控制评价的内容
公司应通过不同形式对内部控制有效性进行检查与评价,检查评价的内容应当包括以下三个层次:
(一)公司层面内部控制要素评价,对内部环境、风险评估、控制活动、信息与沟通、监督等五个要素进行细分评价。
(二)业务层面内部控制评价,对重要管理活动和业务活动进行测试评价。
(三)IT层面内部控制评价,对IT公司层面控制、IT一般控制和应用系统控制进行细分评价。
第六条 内部控制评价的类型
公司实行“年度检查评价”和“公司职能部门/基层企业自我评价”两级内部控制评价机制。实行日常监督、专项监督和年度评价相结合的方式健全内部控制评价体系。
(一)公司职能部门自我评价
公司职能部门对责任业务流程和控制点的有效性进行测试,结合日常管理,对基层企业对口部门的执行情况适当抽查。
(二)基层企业自我评价
基层企业按照各自的《内部控制评价手册》组织开展内部控制检查评价。基层企业自评应包括两部分:综合性检查评价和内控流程测试。
(三)年度检查评价
年度检查评价是内部控制评价工作组对公司各职能部门和各基层企业内部控制实施情况的检查与评价,每年根据管理需要和外部监管要求,选取一定数量的职能部门和基层企业进行检查评价。
(四)专项检查评价
专项检查评价是专项监督的表现形式。在公司及基层企业的发展战略、组织结构、经营活动、关键岗位员工等发生较大调整或变化的情况下,由审计监察部及公司职能部门对内部控制的某一或者某些方面进行有针对性的检查评价。专项检查评价一般为不定期评价,根据需要视具体情况而定,不受检查时间和检查次数的限制。专项检查评价的工作方式和程序可参照年度检查评价执行。基层企业根据本单位需要组织相关部门进行专项检查评价。
第七条 内部控制评价的计划与实施
每年9月底前,审计监察部拟定本年度内部控制评价工作计划,报公司内控领导小组批准后下发。
内部控制评价年度工作计划的内容应包括各类检查评价的目的、范围、组织、工作要求等。
当公司内外部环境发生重大变化或部门、基层企业的职责、流程、关键岗位等发生重大变动时,内控领导小组应就相关控制适当安排专项检查评价。由审计监察部及公司职能部门拟定专项检查评价计划报公司内控领导小组批准后实施。

第二章  年度检查评价

第八条 年度检查评价程序
(一)组成评价工作组
审计监察部按照经批准的内控评价计划,成立评价工作组,承担具体的检查评价任务。评价工作组应根据评价人员的专业背景进行具体分工。
(二)编制检查评价工作表
评价人员对被检查单位相关的业务和管理流程进行梳理,结合检查评价工作重点,编制检查评价工作表,明确检查步骤和检查方法。
(三)实施现场检查测试
评价人员根据相应的《内部控制手册》、管理制度及其实施细则的规定进行现场检查测试。重点检查测试内容包括:
1、执行了规定的控制活动或控制方法(如不相容职务分离);
2、按规定的权限执行了相关控制活动;
3、及时提供了真实、有效的证明控制点得以实施的相关资料;
4、实现了规定的控制目标。
(四)编制或收集工作底稿
评价人员应对检查评价过程及结果进行书面记录,填制评价工作表和控制测试工作表并签名,对发现的内部控制缺陷进行初步认定。评价工作表和控制测试工作表由评价工作组长指定的另一名评价工作组成员交叉复核签字,最终由评价工作组长审核签字确认。相关工作底稿应在年度评价工作完成后汇总送审计监察部归档。
对于“未执行”的控制点,应详细记录具体未执行原因,并复印或拍照留存有关抽查样本及相关证明材料。
(五)编制现场评价报告
1、评价工作组汇总工作底稿,讨论认定内部控制缺陷,编制现场评价报告。现场评价报告应说明检查评价整体情况、内部控制缺陷认定,以及对被检查部门或企业提出的意见和建议等。对发现的问题应深入分析,阐明评价依据。
2、评价工作组将评价结果及现场评价报告向被评价部门或企业进行通报,由被评价部门或企业流程责任人及单位负责人签字确认后,报送审计监察部。
3、对评价人员做出的检查评价结论,被检查部门或企业不得以任何形式施加影响;对检查评价结论有不同意见,可向审计监察部书面反映,由审计监察部会同相关部门研究解决方案并报公司经理层。
(六)复核评价结果
审计监察部综合各评价工作小组报送的评价工作底稿、现场评价报告和初步认定的内部控制缺陷,并进行全面复核。审计监察部对上报的控制缺陷成因、表现形式及风险程度进行定量及定性分析,按照对控制目标的影响程度审定缺陷等级。
审计监察部将各评价工作组提交的现场评价报告汇总,报公司内控领导小组审议。审计监察部根据审议情况,拟定内部控制缺陷整改通知,经公司内控领导小组签发后下达,并督促被检查单位进行整改。
第九条 年度检查评价的其他方式
年度检查评价也可以委托外部中介机构实施,但为公司提供内部控制审计服务的会计师事务所,不得同时提供内部控制评价服务。
第十条 对评价人员的要求
(一)评价工作组应当有公司职能部门和基层企业熟悉情况的业务骨干参加。审计监察部应充分考查候选评价人员的职业道德和专业胜任能力。职业道德是指认真履行检查义务,听从检查安排,公允地表达意见。专业胜任能力是指至少在某一类控制活动或内控要素方面具备足够的知识和经验,熟练掌握公司内部控制要求,并恰当地表达意见。
评价工作组成员应对本部门的内部控制评价工作进行回避。
(二) 评价人员拥有的权利
1、查阅被检查单位与内控流程(要素)相关的全部资料。
2、访谈被检查单位与内控流程(要素)相关的各级人员。
3、对于检查发现的问题有权要求被检查单位进一步提供相关佐证资料。
4、对于EAS等信息系统相关的检查有权获得最大查询权限。
5、对于检查事项,要求被检查单位给予必要的积极配合。
(三)评价人员应履行的义务
1、检查前应当充分了解被检查单位的情况。
(1)基本情况(生产经营业务范围、组织机构及其职能、领导班子成员及其分工、财务管理核算体制等)及年度变化情况;
(2)年度生产经营计划和预算完成情况;
(3)年度决算报告、财务报表;
(4)内部控制实施情况(内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、利用信息化技术实施内部控制、单位自查评价及整改);
(5)最近一次内部控制及审计或财务稽核查出问题的整改情况等。
2、遵循客观、公正、公平原则,以提高检查工作质量和效率为中心,结合被检查单位整体情况及检查要求进行检查。检查发现的问题应当如实反映,及时沟通,重大问题应当及时报告。
(1)按时完成检查工作,包括按要求填写检查工作底稿、汇总检查评价结果并与被检查单位交换意见,通报检查评价情况;
(2)检查中注意收集内控手册、管理制度执行中存在的问题,提出对公司内控手册设计和内控工作开展的意见和建议;
    3、评价人员应当遵守工作纪律,不得接受被检查单位以任何形式赠送的礼金、礼品。

第三章  自我评价

第十一条 内部控制及自我评价的总体要求
公司各职能部门和基层企业按照内部控制体系文件的要求,每年至少一次对所负责的业务和管理流程制定相应的控制活动并开展自我评价工作:
(一)各部门和基层企业应依据所处的经营环境及面临的主要管控问题,定期对所负责的业务和管理流程进行回顾、分析、梳理和更新,确定主要流程和相关的子流程;
(二)识别和评估本单位所负责的业务和管理流程中的具体风险事项;
(三)根据评估的结果确定本单位的主要管理问题和风险管控重点;
(四)制定或改进对主要风险管控重点的控制活动;
(五)在审计监察部的业务指导下,确定评价检查方法;
(六)编制控制活动自我评价工作表,并开展自我评价。
第十二条 公司职能部门自我评价程序
(一)开展自我检查评价
各部门负责人负责组织开展本部门的内部控制检查评价工作。结合本部门所负责流程的实际情况,重点关注:
1、检查评价流程和制度设计的合理性
(1)是否涵盖了本部门经营管理中需关注的重点问题及重点风险;
(2)是否明确了各项经营活动的管理要求;
(3)风险控制措施是否存在缺陷和漏洞,能否防范经营管理中的不规范行为,有效降低和控制经营管理中的风险;
(4)是否制定了清晰、明确的业务流程,流程的起点、终点以及中间涉及的各控制点、控制标准、各个岗位间的职责分工是否明确。
2、检查评价流程和制度执行的有效性
(1)各项经营活动是否按已制定的流程文档规范执行;
(2)实际执行与流程文档的描述存在什么差异;
(3)实际执行中各项流程文档是否有效地涵盖和控制了经营活动中的主要风险点;
(4)各个岗位的相关人员是否理解掌握内控流程文档的控制要求、本岗位的主要职责、主要风险点以及相应的控制措施;
(5)能否有效地控制当前公司经营过程中存在的风险,解决公司在经营活动中的突出问题。
3、检查执行过程是否保留了完整和可靠的文档记录
(1)验证每个业务控制环节;
(2)核实实际执行情况与流程描述及风险控制文档的描述是否一致;
(3)验证业务活动所经过的流程和控制是否有完整和可靠的文档记录;
(4)是否保留了控制实施证据。
4、验证业务控制流程设计和执行的一致性
从业务发生开始,抽取一定数量的样本,通过对业务申请、审批、执行、过程记录、款项收付到财务处理全过程测评,验证业务控制流程设计和执行是否一致。
(二)编制工作底稿
各部门评价人员填制自我评价工作表和控制测试工作表并签字,对检查评价过程及结果进行书面记录,由部门负责人复核签字,报分管领导审阅后,报送审计监察部审核、备案。
第十三条 基层企业的自我评价管理
基层企业应按照各自的《内部控制评价手册》,参照本办法第十二条组织开展内部控制检查评价,并不断完善评价管理,并结合评价结果组织制定和实施缺陷整改方案,按时将评价报告与缺陷整改情况及时上报审计监察部。
基层企业每年应依据内部控制综合评价和内控流程评价测试情况编写内部控制自我评价报告,经本企业负责人签字确认后,报送审计监察部。

第四章 内部控制缺陷的认定

第十四条 内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的认定,以日常监督和专项监督为基础,结合年度内控评价,按照规定的权限和程序进行审核后予以最终认定。
第十五条 内部控制评价工作组根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
(一)重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。
(二)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。
(三)一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
第十六条 公司内部控制缺陷的认定标准
(一)财务报告内部控制缺陷认定标准
1、定量标准
公司确定的财务报告内部控制缺陷评价定量标准如下:
缺陷等级 重大缺陷 重要缺陷 一般缺陷
资产
潜在错报
1)错报金额≥资产总额的1% 1)资产总额的0.5%≤错报金额<资产总额的1% 1)错报金额<资产总额的0.5%
营业收入
潜在错报
2)错报金额≥营业收入总额的1% 2)营业收入总额的0.5%≤错报金额<营业收入总额的1% 2)错报金额<营业收入总额的0.5%
所有者权益潜在错报 3)错报金额≥所有者权益总额的3% 3)所有者权益总额的1.5%≤错报金额<所有者权益总额的3% 3)错报金额<所有者权益总额的1.5%
利润总额
潜在错报
4)错报金额≥利润总额的5% 4)利润总额的3%≤错报金额<利润总额的5% 4)错报金额<利润总额的3%
2、定性标准
(1)重大缺陷的认定标准
具有以下特征的缺陷,可考虑认定为财务报告内部控制重大缺陷:
① 董事、监事和高级管理人员舞弊;
② 财务报告重大差错更正;
③ 当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;
④ 公司审计委员会、审核委员会以及内部审计部门对财务报告内部控制监督无效。
(2)重要缺陷的认定标准
具有以下特征的缺陷,可考虑认定为财务报告重要缺陷:
① 未依照公认会计准则选择和应用会计政策;
② 未建立反舞弊程序和控制措施;
③ 对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制;
④ 对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。
一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
(二)非财务报告内部控制缺陷认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制,一般包括战略目标、资产安全、经营目标、合规目标等。
1、定量标准
公司非财务报告内部控制缺陷定量标准主要根据控制缺陷可能造成直接经济损失的金额,参照财务报告内部控制缺陷的定量标准执行。
2、定性标准
公司非财务报告缺陷的定性标准主要依据缺陷涉及业务性质的严重程度、直接或潜在负面影响的性质、影响的范围等因素来确定。
(1)重大缺陷的认定标准
具有以下特征的缺陷,可考虑认定为非财务报告重大缺陷:
①公司缺乏民主决策程序;
②重大决策失误,导致公司发生重大损失;
③公司违反国家法律法规并受到省级以上机构处罚;
④公司重要业务缺乏制度控制或制度体系失效;
⑤重大缺陷未得到整改。
具有以下特征的缺陷,可考虑认定为非财务报告重要缺陷:
①决策导致出现一般性失误;
②重要业务制度或系统存在缺陷;
③重要缺陷未得到整改;
④其他对公司产生较大负面影响的情形。
具有以下特征的缺陷,可考虑认定为非财务报告一般缺陷:
①决策效率不高;
②一般业务制度或系统存在缺陷;
③一般缺陷未得到整改。
各基层企业根据自身情况确定重大缺陷、重要缺陷、一般缺陷的认定标准。
第十七条 审计监察部编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并向经理层报告。重大缺陷由董事会予以最终认定。
(一)公司对于认定的重大缺陷,立即采取应对策略,切实将风险控制在可承受度之内,并落实相关责任。
(二) 公司对于认定的重要缺陷,及时研究应对措施,限期解决,降低风险。
(三)公司对于认定的一般缺陷,指定责任部门及时研究解决,防止风险扩大。
第五章 内部控制自我评价报告
    第十八条 公司根据《企业内部控制基本规范》、应用指引和上市公司监管要求,确定内部控制自我评价报告的格式和内容,明确内部控制自我评价报告编制程序和要求,经董事会审议批准后对外披露。
第十九条 内部控制自我评价报告分别对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行简要描述,对内部控制自我评价过程及范围、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
第二十条 内部控制自我评价报告至少披露下列内容:
(一)董事会对内部控制报告真实性的声明。
(二) 内部控制自我评价工作的总体情况。包括:内部控制检查监督 工作的情况、内控制度及其实施过程中出现的重大风险及其处理情况、对本年度内部控制检查监督工作计划完成情况的评价等。
(三) 内部控制自我评价的依据。
(四) 内部控制自我评价的范围。
(五) 内部控制自我评价的程序和方法。
(六) 内部控制缺陷及其认定情况。
(七) 内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八) 内部控制有效性的结论。
第二十一条 审计监察部关注自内部控制自我评价报告基准日至内部控制自我评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第二十二条 公司以 12 月 31 日作为年度内部控制自我评价报告的基准日。内部控制自我评价报告应于基准日后 4 个月内对外报出。

第二十三条 内部控制评价的有关文件资料、工作底稿和证明材料等由审计监察部负责整理归档。

第六章 附则

第二十四条 本办法适用于公司及基层企业。

第二十五条 本办法由公司董事会负责解释。

第二十六条 本办法自公司董事会审议通过之日起实施,2014年4月28日公布实施的办法废止。