ST交投:云南交投生态科技股份有限公司内部控制评价管理办法（试行）

云南交投生态科技股份有限公司
内部控制评价管理办法（试行）
第一章总则
第一条为建立云南交投生态科技股份有限公司（以下简称“公司”）内部控制评价体系，全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，根据《企业内部控制基本规范》《企业内部控制评价指引》《深圳证券交易所上市公司自律监管指引第1号—主板上市公司规范运作》《公开发行证券的公司信息披露编报规则第21号—年度内部控制评价报告的一般规定》及公司相关制度的规定，特制定本办法。
第二条本办法所称内部控制，是由公司董事会、监事会、经营管理层及全体员工实施的，旨在实现控制目标的过程。具体包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面。
第三条公司实施内部控制的目标是合理保证公司经营管理
合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。
-1-第四条本办法所称内部控制评价，是指公司董事会根据《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》以及公司经营管理制度规定，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价、形成评价结论、出具评价报告的过程。
第五条公司实施内部控制评价应遵循下列原则：
（一）全面性原则。评价工作应当包括公司内部控制的设
计与运行，涵盖公司及子公司的各业务内容和事项。
（二）重要性原则。评价工作应当在全面评价的基础上，关注重大业务事项和高风险领域。
（三）客观性原则。评价工作应当准确地揭示经营管理的
风险状况，如实反映内部控制设计与运行的有效性。
（四）以风险为导向原则。评价工作应当以风险为导向，根据风险发生的可能性和对公司内部控制目标的影响程度，确定需要评价的重点业务单元、重要业务领域和重要流程环节。
（五）及时性原则。评价工作应按照规定的时间进行，当
经营管理环境发生重大变化时，应及时重新评价。
第六条本办法适用于公司各部门、事业部和各分子公司，不包括参股公司。
-2-第二章内部控制评价的组织和职责
第七条公司董事会审议内部控制评价报告，负责认定公司
重大、重要内部控制缺陷，并对内部控制评价报告的真实性负责。
第八条公司监事会对内部控制的建立与实施进行监督，监事会和独立董事对内部控制评价报告发表意见。
第九条审计委员会负责内部控制评价的组织、领导和监督。审议并向董事会提交内部控制评价报告，评估内部控制评价和审计的结果，督促内部控制缺陷的整改。
第十条公司内部审计部门组织实施内部控制评价工作，负责对公司内部控制设计和运行的有效性进行评价；负责对内部
控制评价的一般缺陷、重要缺陷、重大缺陷进行初步认定；负责向审计委员会及董事会报告发现的内部控制缺陷；负责追踪缺陷整改的落实情况。
第十一条公司各部门、事业部和各分子公司负责实施本部门（单位）的内部控制初步评价工作，对内部控制评价过程中发现的缺陷进行整改。
第三章内部控制评价的程序
-3-第十二条公司可委托外部中介服务机构开展内部控制评价工作，也可引用本年度常规审计、专项审计、内部自查等工作的直接成果。
第十三条公司实施内部控制评价的程序包括：制定评价工
作方案、成立评价工作组、实施现场测试、认定控制缺陷、编制评价报告等环节。
第十四条制定内部控制评价工作方案。公司内部审计部门
根据内部监督情况和管理要求，分析公司经营管理过程中的高风险领域和重要业务事项，拟定科学合理的评价工作方案，明确评价范围、工作任务、人员组织、进度安排等相关内容，经审计委员会批准后实施。评价工作方案既可以全面评价为主，也可以根据公司实际情况采用重点评价的方式。
第十五条成立评价工作组。内部审计部门根据经批准的评
价工作方案成立评价工作组，评价工作组成员由公司具备独立性、业务胜任能力和职业道德素养的业务骨干组成，参与内部控制检查及评价。评价工作组成员对本部门（单位）的内部控制评价工作应当回避。
第十六条实施现场测试。内部控制评价工作组对被评价部门（单位）进行现场测试，可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价部门内部控制设计和运行是否有效的证据，按照-4-评价的具体内容进行如实评价。内部控制评价工作应当形成工作底稿，详细记录内部评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第十七条认定控制缺陷。内部审计部门汇总被评价部门的
评价结果，分析认定内部控制缺陷，进行深入评价。评价结果应由被评价单位负责人签字确认。
第十八条编制评价报告。内部审计部门对内部控制缺陷的
成因、表现形式及风险程度进行定量和定性的综合分析，编制评价报告，提交审计委员会审议。对于认定的内部控制缺陷，内部审计部门结合董事会和审计委员会要求，提出整改建议，督促责任部门（单位）及时整改，跟踪整改落实情况，已造成损失或负面影响的，提报公司追究相关人员的责任。
第四章内部控制缺陷的认定
第十九条公司对内部控制缺陷的认定，由公司内部审计部
门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。
第二十条内部控制缺陷的分类：
（一）按照内部控制缺陷成因或来源，分为设计缺陷和运行缺陷两类。设计缺陷，是指公司缺少为实现控制目标所必需的控制，或现存的控制不合理及未能满足控制目标；运行缺-5-陷，是指设计合理及有效的内部控制，但在运行过程中没有被正确执行，包括由不恰当的人员执行、未按设计的方式运行等。
（二）按照影响公司内部控制目标实现的严重程度，内部
控制缺陷分为重大缺陷、重要缺陷和一般缺陷。重大缺陷，是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标；重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍可能导致公司偏离控制目标；一般缺陷，是指除重大缺陷和重要缺陷之外的其他缺陷。
（三）按照影响内部控制目标的具体表现形式，内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
第二十一条财务报告内部控制缺陷认定标准。
财务报告内部控制，是指针对财务报告目标而设计和实施的内部控制。根据缺陷可能导致的财务报告错报的重要程度，公司采用定性和定量相结合的方法将缺陷划分为重大缺陷、重要缺陷和一般缺陷。
（一）财务报告内部控制缺陷评价的定性标准
1.重大缺陷认定标准
（1）控制环境无效；
（2）发现公司董事、监事、高级管理层存在舞弊行为；
-6-（3）已经发现并报告给管理层的重大内部控制缺陷并未加以改正；
（4）注册会计师发现当期财务报告因内控缺陷存在重大错报，在内部控制运行过程中未能发现该错报。
2.重要缺陷认定标准
（1）未依照公认的会计准则选择和应用会计政策；
（2）未建立反舞弊程序和控制措施；
（3）对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制；
（4）对于期末财务报告过程的控制存在一项或多项缺陷且
不能合理保证编制的财务报表达到真实、完整的目标。
3.一般缺陷认定标准
除上述重大缺陷、重要缺陷之外的其他内部控制缺陷。
（二）财务报告内部控制缺陷评价的定量标准
财务报告定量标准以净利润、营业收入总额作为衡量指标。公司首先选择净利润作为衡量标准，当净利润指标不适用时，选择营业收入总额。具体认定标准如下表：
衡量指标重大缺陷重要缺陷一般缺陷
错报≥年度净利润的年度净利润的10%或营错报＜年度净利
净利润、营15%或营业收入总额业收入总额的3%≤错润的10%或营业
业收入总额的5%报＜年度净利润的15%收入总额的3%
-7-或营业收入总额的5%
第二十二条非财务报告内部控制缺陷认定标准。
非财务报告内部控制，是指影响公司战略、经营、合规、资产安全目标实现的内部控制。公司采用定性和定量相结合的方法对非财务报告内部控制缺陷进行认定。
（一）非财务报告内部控制缺陷评价的定性标准
1.重大缺陷认定标准
（1）违反国家法律、法规，被处罚或承担刑事责任；
（2）中高级管理人员或关键技术人员流失严重；
（3）重要业务缺乏制度控制或制度系统性失效；
（4）信息披露内部控制失效，导致公司被监管部门公开谴责。
2.重要缺陷认定标准
（1）无法达到部分营运目标或关键业绩指标，在时间、人力或成本方面大幅超出预算；
（2）关键岗位业务人员流失严重；
（3）违反企业内部规章，形成较大损失；
（4）重要业务制度或系统存在重要缺陷，且未有相应的补偿性控制。
3.一般缺陷认定标准
除上述重大缺陷、重要缺陷之外的其他内部控制缺陷。
-8-（二）非财务报告内部控制缺陷评价的定量标准定量标准以直接财产损失作为衡量指标。具体认定标准如下表：
衡量指标重大缺陷重要缺陷一般缺陷
资产总额直接财产损失≥资资产总额的0.5%≤直直接财产损失＜资产
产总额的1%接财产损失＜资产总总额的0.5%
额的1%
第二十三条公司内部审计部门根据评价结果编制内部控制
缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见。
第五章内部控制评价报告
第二十四条公司根据《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》《公开发行证券的公司信息披露编报规则第21号—年度内部控制评价报告的一般规定》及公司相关制度，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。
-9-第二十五条内部控制评价报告分别对内部环境、风险评
估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容进行阐述。
第二十六条内部控制评价报告至少披露下列内容：
（一）董事会对内部控制报告真实性的声明。
（二）内部控制评价工作的总体情况。
（三）内部控制评价的依据、范围、程序和方法。
（四）内部控制存在的缺陷及其认定情况。
（五）内部控制缺陷的整改情况及拟采取的整改措施。
（六）内部控制有效性的结论。
第二十七条公司内部审计部门根据年度内部控制评价结果，结合内部控制评价工作底稿和缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告。
第二十八条公司内部审计部门应当关注自内部控制评价报告基准日至内部控制评价报告报出日之间影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。
第二十九条公司以每年的12月31日作为年度内部控制评价报告的基准日。
第三十条内部控制评价报告报经公司审计委员会审议通过
后提交董事会审议，并经董事会批准后对外披露或报送。
-10-第三十一条公司应当在年度报告披露的同时，在规定的媒体上披露内部控制评价报告和内部控制审计报告。
第三十二条公司内部控制评价的有关文件资料、工作底
稿、证明材料等资料应妥善保管，保存期限不少于10年。内部控制评价报告永久保存。
第六章附则
第三十三条本办法由公司内部审计部门负责解释。
第三十四条本办法自印发之日起执行。