西部创业:内部控制评价管理办法

宁夏西部创业实业股份有限公司
内部控制评价管理办法
第一章总则
第一条为进一步加强和规范公司内部控制管理工作，提高
经营管理水平和风险防范能力，促进公司持续、健康、稳定发展，根据《中华人民共和国公司法》《中华人民共和国证券法》《中华人民共和国会计法》及财政部等五部委颁布的《企业内部控制基本规范》《企业内部控制评价指引》等有关法律法规、规章及《宁夏西部创业实业股份有限公司章程》的要求，结合公司实际情况，制定本办法。
第二条本办法适用于宁夏西部创业实业股份有限公司（以下简称公司）及权属子公司。
第三条本办法所称内部控制，是由公司董事会、经理层和
全体员工实施的、旨在实现控制目标的过程。
内部控制的目标是合理保证公司经营管理合法合规、资产安
全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。
第四条本办法所称内部控制评价，是指公司对内部控制的
设计和运行的有效性进行全面评价，形成评价结论，出具评价报告的过程。
—1—第五条建立与实施内部控制，应当遵循下列原则：
（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖公司的各种业务和事项，实现全过程、全员性控制。
（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。
（三）制衡性原则。内部控制应当在治理结构、机构设置及
权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。
（四）适应性原则。内部控制应当与公司经营规模、业务范
围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。
（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。
第六条建立与实施有效的内部控制，应当包括下列要素：
（一）内部环境。内部环境是企业实施内部控制的基础，一
般包括治理结构、机构设置及权责分配、内部审计、人力资源政
策、企业文化等。
（二）风险评估。风险评估是公司及时识别、系统分析经营
活动中与实现内部控制目标相关的风险，合理确定风险应对策略。
（三）控制活动。控制活动是公司根据风险评估结果，采用
相应的控制措施，将风险控制在可承受度之内。
（四）信息与沟通。信息与沟通是公司及时、准确地收集、—2—传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通。
（五）内部监督。内部监督是公司对内部控制建立与实施情
况进行监督检查，评价内部控制的有效性，发现内部控制缺陷并及时加以改进。
第七条公司应将内部控制的实施情况纳入绩效考评体系，促进内部控制的有效实施。
第二章组织机构与职责
第八条董事会审计委员会负责公司内部控制体系的建立、监
督和评估，监督内部控制的有效实施和内部控制评价工作，协调内部控制审计及其他相关事宜等。主要职责是：
（一）负责审查公司内部控制制度，监督内部控制的有效实施；
（二）对内部控制评价工作进行指导；
（三）审核审计风控部提交的《内部控制自我评价报告》；
（四）认为必要时，可委托中介机构实施内部控制评价；
（五）协调其他相关事宜。
第九条审计风控部是董事会审计委员会的日常办事机构，是内部控制体系建立及内部控制评价的牵头部门，主要职责如下：
（一）负责拟定公司年度内部控制评价工作方案，组织各部
—3—门、子公司开展内部控制评价工作；汇总内部控制评价工作底稿并对工作底稿进行独立的抽样复核；
（二）依据抽样复核结果和专项审计发现的问题，编制公司
《内部控制缺陷认定表》（附件1），对公司的内部控制缺陷和影响程度进行综合分析，提出认定意见和整改建议；
（三）对于发现的内部控制重大缺陷，直接向分管领导报告；
（四）对内部控制缺陷是否得到有效整改进行持续监督，做好监督记录；
（五）编制公司《内部控制自我评价报告》；
（六）内部控制评价文件的归档管理。
第十条各部门、子公司是内部控制执行及内部控制评价的
具体实施者，其主要职责如下：
（一）负责执行和完善《内部控制手册》中与其相关的内部
控制流程及风险控制矩阵，及时同审计风控部沟通内控制度变化情况，以便研究修订《内部控制手册》；
（二）根据公司内部控制评价工作方案的安排，每年开展一
次内部控制评价工作，完成《内部控制评价工作底稿》并按时提交至审计风控部；
（三）协助审计风控部开展内部控制评价工作底稿的抽样复核工作，确认审计风控部发现的内部控制缺陷，按时完成整改。
第三章内部控制评价的程序和方法
—4—第十一条准备
（一）审计风控部拟定公司《内部控制评价工作方案》，经公司分管领导审批后方可实施。
（二）审计风控部根据实际工作需要，对《内部控制手册》修订工作进行安排，各部门、子公司根据制度变化等情况，对《内部控制手册》相关内容进行全面复核并形成修订建议。修订建议内容包括：
1.说明业务流程自上次制订或修订以来环境、内容的变化；
2.部门职责、岗位调整和职责重新界定情况；
3.出现的新业务；
4.应用新的系统工具、软件等。
说明以上变化产生风险点或对原风险点的影响、可能带来的风险及应采取的控制措施的建议。
第十二条执行各部门、子公司内部控制评价工作严格按照公司《内部控制评价工作方案》中的要求自行完成。通过抽取规定数量的样本，测试内部控制活动是否按照控制流程描述得到有效执行，并如实填写工作底稿，为分析、认定内部控制缺陷提供依据。
第十三条评价
（一）审计风控部对各部门、子公司提交的内部控制评价工
作底稿进行复核，包括工作底稿填写的规范性、准确性、完整性—5—等。
（二）审计风控部应对内部控制工作底稿执行抽样测试程序。若抽样测试结果与自评测试结果不一致，须与相关部门、子公司进行沟通，研究分析内部控制缺陷事项。
第十四条缺陷认定
（一）审计风控部根据抽样测试后的结果，结合专项审计发
现的问题编制公司《内部控制缺陷认定表》（附件1），对公司的内部控制缺陷和影响程度进行综合分析，提出认定意见和整改建议。
（二）内部控制缺陷包括设计缺陷和运行缺陷，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷（内部控制缺陷认定标准详见附件2）。
第十五条整改相关责任部门、子公司应当按照《内部控制缺陷认定表》（附件1）及时进行落实整改。对于认定的重大缺陷，应当立即采取措施控制风险，并追究有关部门、子公司的责任。
审计风控部对内部控制缺陷是否得到有效整改进行持续监督，可采取访谈、查阅或抽查的方式进行，留存监督记录作为编制《内部控制自我评价报告》的依据。
第四章内部控制自我评价报告
—6—第十六条审计风控部根据《内部控制评价工作底稿》《内部控制缺陷认定表》（附件1）、整改监督记录以及本年度专项审计报告等资料，于每年3月底前编制完成上年度公司《内部控制自我评价报告》。
第十七条《内部控制自我评价报告》应当分别按内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制
有效性的结论等相关内容进行披露。其中至少应当披露下列内容：
（一）董事会对《内部控制自我评价报告》真实性的声明；
（二）内部控制评价工作的总体情况；
（三）内部控制评价的依据、范围、程序和方法；
（四）内部控制缺陷及其认定情况；
（五）对上一年度内部控制缺陷的整改情况；
（六）对本年度内部控制缺陷拟采取的整改措施；
（七）内部控制有效性的结论。
《内部控制自我评价报告》的基准日为同期财务报告基准日。
第十八条审计风控部应当关注自《内部控制自我评价报告》
基准日至《内部控制自我评价报告》发出日之间是否发生影响内
部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。
第十九条《内部控制自我评价报告》需提交董事会审议批—7—准。
第二十条审计风控部负责内部控制评价文档的归档管理，对内部控制评价的有关文件资料、工作底稿和证明材料等的电子文档及纸质文档进行妥善保管。
第五章附则
第二十一条本办法自董事会审议通过后施行。
第二十二条本办法由审计风控部负责解释。
附件：1.内部控制缺陷认定表
2.内部控制缺陷认定标准
—8—附件1内部控制缺陷认定表被评价单位编制人编制时间会计期间复核人复核时间流程编号流程名称索引编号缺陷类型缺陷等级
一、缺陷事项
缺陷描述：
可能存在的影响:
评价结论：
整改建议：
二、被评价单位（或当事人）意见及相关说明
—9—附件2内部控制缺陷认定标准
一、财务报告内部控制缺陷认定标准缺陷定量标准定性标准类别
*公司董事、监事和高级管理人员舞弊；
*注册会计师发现当期财务报告存在重大
错报≥营业收入错报，但公司内部控制在运行过程中未能
3%发现该错报；
*公司审计委员会和内部审计机构对内部重大
错报≥利润总额控制的监督无效；
缺陷
5%*已经发现并报告给管理层的重大缺陷未
得到改正；
错报≥净资产1%*公司因财务报告存在重大会计差错或者
虚假记载，被监管部门责令改正，公司股票停牌或直接影响公司重大项目的实施。
营业收入1%*注册会计师发现当期财务报告存在重要
≤错报＜错报，但内部控制在运行过程中未能发现营业收入3%该错报；
*已经发现并报告给管理层的重要缺陷未得到改正；
重要利润总额3%*审计委员会和内部审计机构对内部控制
缺陷≤错报＜的监督存在重要缺陷；
利润总额5%*高风险的领域不相容职务未分离；存在
未经授权/审批的业务操作；对特殊业务没
净资产0.5%有遵循会计操作准则也没有补偿性控制；
≤错报＜*公司股票因财务报告重要会计差错出现
净资产1%异常波动，被监管部门通报批评。
错报＜营业收入
1%
一般不构成重大缺陷或重要缺陷的其他内部控
错报＜利润总额缺陷制缺陷。
3%
错报＜净资产
—10—0.5%
二、非财务报告内部控制缺陷认定标准缺陷定量标准定性标准类别
*严重违反国家法律、行政法规和规范性文件，公司受到监管部门公开谴责或行政处罚；
*“三重一大”事项未经过集体决策程序，或决策程序不科学；
*关键岗位管理人员和技术人员流失严重；
重大
损失≥300万元*产品和服务质量出现重大事故；
缺陷
*涉及公司生产经营的重要业务缺乏制度控制或制度系统失效；
*内部控制评价的结果是重大缺陷但未得到整改；
*负面消息或报道频现，引起监管部门高度关注，并在较长时间内无法消除。
*违反国家法律法规和规范性文件，公司受到监管部门通报批评；
100万元*涉及公司生产经营的重要业务制度系统
重要
≤损失＜存在较大缺陷；
缺陷
300万元*内部控制评价的结果是重要缺陷但未得
到整改；
*媒体出现负面新闻，涉及局部区域。
*不构成重大缺陷和重要缺陷的非财务报一般
损失＜100万元告内部控制缺陷认定为一般缺陷；
缺陷
*媒体出现负面新闻，但影响不大。
—11——12—