太阳能:内部控制评价实施细则
中节能太阳能股份有限公司内部控制评价实施细则
第一章 总则 第一条 为规范和指导中节能太阳能股份有限公司(以下简称太阳能公司)全系统开展内部控制评价工作,构建和完善内部控制评价体系,根据《中节能太阳能股份有限公司内部控制评价办法》,结合国家有关法律法规,制定本实施细则。 第二条 本实施细则适用于太阳能公司及所属各级全资、控股子公司。 第三条 公司董事会审计与风险控制委员会或类似决策机构是内控评价工作的最终责任人,对本公司的内部控制评价工作结果负责。 第四条 太阳能公司内部控制评价包括年度评价和专项评价。年度评价是指太阳能公司按照上市工作监管要求,结合年度内部控制评价的工作要求,围绕公司内部控制目标,对公司年度内建立与实施内部控制的有效性进行的评价;专项评价是太阳能公司在特定时点对特定范围的内部控制有效性进行监督评价。 太阳能公司年度评价以12月31日为基准日,每年定期组织一次。专项评价不定期开展,评价对象可以是某大区或几家子公司,也可以针对某一要素、某一流程或某一业务领域在全系统范围内开展。
第五条 本实施细则重点对太阳能公司统一组织的年度内部控制评价工作流程及方法予以规范,太阳能公司开展专项监督评价及各大区、子公司自行组织的本单位内部控制自我评价,可在年度评价程序的基础上适当简化。
第二章 内部控制评价工作的组织方式 第六条 太阳能公司建立内部控制评价工作组织领导机制,负责监督和指导本公司的内部控制评价工作。太阳能公司内部控制评价工作接受董事会审计与风险控制委员会的业务指导和工作监督。各大区、子公司应当根据自身实际明确内部控制评价工作的领导机构及分管领导。 第七条 按照授权,太阳能公司审计部为内部控制评价工作的牵头部门,负责统一组织实施全系统的年度内部控制评价工作,以及根据需要和工作重点组织实施不定期的专项监督评价。各部门及各级子公司对太阳能公司审计部组织的评价工作应予以配合。 第八条 各大区、子公司审计部或专门机构负责本公司内部控制评价工作的具体组织实施。未设立内审部门或专门机构的大区以采取设立内部控制评价非常设机构的方式,组成联合评价小组承担本公司的年度自评工作。 各大区、子公司在组织机构职能设置中应当考虑内部控制评价工作的需要,设立相应的专、兼职岗位,负责本公司日常的内
控管理监督与评价工作。 第九条 太阳能公司年度内部控制评价按照年度内部控制评价方案,公司本部与各大区、子公司分别组织开展,采取评价小组现场检查方式。 第十条 太阳能公司本部每年均应纳入现场检查范围,各大区、子公司现场检查范围以年度内部控制评价方案为准。
第三章 内部控制评价的具体内容 第十一条 太阳能公司内部控制评价工作应当围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面开展,准确揭示风险状况,如实反映内部控制的有效性,最终形成内部控制评价工作底稿和评价报告。 第十二条 对内部环境的评价,重点关注以下方面:组织架构、发展战略、人力资源、社会责任和企业文化。 (一)对组织架构的评价主要涉及公司治理结构的设置及管理和组织架构的设置及运行。核心指标及评价内容如下:
| 核心指标 | 评价内容 | 涉及业务 |
| 董事会、监事会、经理层的相互制衡 | 1、董事会及各专门委员会、监事会和经理层的职责权限、任职资格和议事规则是否明确并严格执行 | 公司治理结构设置及管理 |
| 2、三重一大事项是否按照规定的权限和程序实行集体决策 | 决策机制 | |
| 董事会、监事会、经理层致力于内部控制建设和执行 | 3、是否科学界定了董事会、监事会、经理层在建立与实施内部控制中的职责分工 | 内控体系建设 |
| 4、公司是否采取必要的措施促进和推动企业内部控制工作,按照职责分工提出内部控制评价意见,定期听取内部控制报告,督促内部控制整改,修订内部控制要求 | 内控体系建设 | |
| 组织机构设 | 5、组织机构设置是否与公司业务特点相一致,能够控制各 | 公司组织架构 |
| 置科学、精简、高效、透明、权责匹配、相互制衡 | 项业务关键控制环节,各司其职、各尽其责,避免职能交叉、缺失或权责过于集中 | |
| 6、明确职责,制定组织结构图、业务流程图、职位说明书和权限指引等,保障权责行使的准确性和透明度 | 内控体系建设、内控手册制定 | |
| 组织机构适应性 | 7、是否定期梳理、评估企业治理结构和内部机构设置,发现问题及时采取措施加以优化调整,是否定期听取董事、监事、高级管理人员和其他员工的意见,按照规定的权限和程序行使决策审批 | 公司组织架构评估 |
| 组织架构 对子公司的控制力 | 8、是否通过合法有效的形式履行出资人职责、维护出资人权益,特别关注异地、境外子公司的发展战略、年度财务决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项 | 公司运营管理 |
(二)对发展战略的评价主要涉及战略制定与实施、战略评估与调整业务。核心指标及评价内容如下:
| 核心指标 | 评价内容 | 涉及业务 |
| 发展战略科学合理,既不缺乏也不激进,且实施到位 | 1、公司是否综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素制定科学合理的发展战略 | 战略规划制定 |
| 2、是否根据发展目标制定战略规划,确定不同发展阶段的具体目标、工作任务和实施路径 | ||
| 3、是否设立战略委员会或指定相关机构负责发展战略管理工作,是否明确战略委员会的职责和议事规则并按规定履行职责 | ||
| 发展战略有效实施 | 4、是否制定年度工作计划,编制全面预算,确保发展战略的有效实施 | 战略规划实施 |
| 5、是否采取有效方式将发展战略及其分解落实情况传递到内部各管理层级和全体员工 | ||
| 发展战略科学调整 | 6、是否及时监控发展战略实施情况,并根据环境变化及风险评估等情况及时对发展战略做出调整 | 战略规划评估及调整 |
(三)对人力资源政策的评价主要涉及人才规划制定、人才选拔、人才开发与培养,及人才的激励约束机制建设等业务。核
心指标及评价内容如下:
| 核心指标 | 评价内容 | 涉及业务 |
| 人力资源结构合理、能够满足企业需要 | 1、是否结合企业发展战略,制定人力资源总体规划和能力框架体系,以保障企业可持续发展和内部控制的有效执行 | 人才规划制定 |
| 2、是否根据人力资源总体规划,制定年度人力资源需求计划,完善人力资源引进制度,按照计划、制度和程序组织人力资源引进工作 | ||
| 3、是否明确各岗位职责权限、任职条件和工作要求,选拔是否公开、公平、公正,是否因事设岗、以岗选人 | 人才选拔 | |
| 人力资源开发机制健全有效 | 4、是否制定实施关于员工聘用、培训、辞退与辞职、薪酬、考核、健康与安全、晋升与奖惩等方面的管理制度 | 人才开发与培养 |
| 5、是否建立员工培训长效机制,培训是否能满足职工和业务岗位需要,是否存在员工知识老化 | ||
| 人力资源约束机制健全有效 | 6、是否设置科学的业绩考核指标体系,并严格考核评价,以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据 | 人才约束激励机制 |
| 7、是否对关键岗位员工有定期轮岗制度等方面的安排并执行到位 | ||
| 8、是否存在人才流失现象 | ||
| 9、是否对掌握重要商业秘密的员工离岗有限制性的规定 |
(四)对社会责任的评价主要涉及安全生产管理、质量管理、环境保护、职工权益及企业履行社会责任等业务。核心指标及评价内容如下:
| 核心指标 | 评价内容 | 涉及业务 |
| 安全生产体系、机制健全有效 | 1、是否建立严格的安全生产体系、操作规范和应急预案,强化安全生产责任追究,切实做到安全生产 | 安全生产管理 |
| 2、是否落实安全责任制,对安全管理的投入,包括人力、物力等,是否能保证及时发现、排除生产安全隐患 | ||
| 3、发生安全事故,是否妥善处理,排除故障,减轻损失,追究责任。是否有迟报、谎报、瞒报重大安全事故现象 | ||
| 产品/服务质量体系健全 | 4、是否建立严格的产品/服务质量控制和检验制度并严格执行,是否有健全的客户服务体系,能够妥善处理客户提出的 | 质量管理 |
| 有效 | 投诉和建议 | |
| 切实履行环境保护和资源节约责任 | 5、是否制定环境保护与资源节约制度,采取措施促进环境保护和资源节约并实现节能减排目标 | 环境保护 |
| 促进就业和保护员工权益 | 6、是否依法保护员工的合法权益,保持工作岗位相对稳定,促进充分就业 | 职工权益保护 |
| 7、是否实现按劳分配、同工同酬、建立科学的员工薪酬制度和激励机制,是否建立员工薪酬的正常增长机制 | ||
| 8、是否及时办理员工社会保险,足额缴纳社会保险费;维护员工健康,落实休息休假制度 | ||
| 履行社会责任 | 9、是否积极履行社会公益方面的责任和义务 | 社会责任履行及报告 |
(五)对企业文化的评价主要涉及企业文化建设及企业文化评估业务。核心指标及评价内容如下:
| 核心指标 | 评价内容 | 涉及业务 |
| 企业文化具有凝聚力和竞争力,促进企业可持续发展 | 1、是否采取切实有效的措施,积极培育具有企业自身特色的企业文化,打造以主业为核心的企业品牌,促进企业长远发展 | 企业文化建设 |
| 2、企业董事、监事、及其他高级管理人员是否在文化建设和履行社会责任中起到表率作用,促进文化建设在内部各层级的有效沟通 | ||
| 3、是否做到文化建设与发展战略的有机结合,使员工自身价值在企业发展中得到充分体现 | ||
| 4、是否重视并购重组子公司的文化建设,平等对待各方员工,促进双方的文化融合 | ||
| 企业文化评估具有客观性、实效性 | 5、是否建立企业文化评估制度,重点对董事、监事、经理和其他高级管理人员在企业文化建设中的责任履行情况、全体员工对企业核心价值观的认同感、企业经营管理行为与企业文化的一致性、企业品牌的社会影响力、参与企业并购重组各方文化的融合度,以及员工对企业未来发展的信心做出评估 | 企业文化评估 |
| 6、是否针对评估结果巩固和发扬文化建设成果、进而研究影响企业文化建设的不利因素,分析深层次的原因,及时采取措施加以改进 |
第十三条 风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的过程,是风险管理的基础。对风险评估的评价包含以下四个方面:
目标设定、风险识别、风险分析和风险应对策略。各项核心指标及评价内容如下:
| 核心指标 | 评价内容 | 涉及业务 |
| 控制目标设定 | 1.企业层面:是否有明确的目标,目标是否具有广泛的认知基础、企业战略是否与企业目标相匹配 | 内控目标的评估与设定 |
| 2.业务层面:各业务层面目标是否与企业目标一致,各业务层面目标是否衔接一致,各业务层面目标是否具有操作指导性 | ||
| 3.是否结合企业的风险偏好,确定相应的风险承受度 | ||
| 风险识别 | 4.目标是否层层分解并确立关键业务或事项 | 全面风险管理 |
| 5.是否持续收集相关信息,内外部风险识别机制是否健全,是否识别影响公司目标实现的风险 | ||
| 6.是否根据关键业务或事项分析关键成功因素 | ||
| 风险分析 | 7.风险分析技术方法的适用性 | 全面风险管理 |
| 8.结合风险发生可能性和影响程度标准划分风险等级的准确性 | ||
| 9.风险发生后负面影响判断的准确性 | ||
| 风险应对 | 10.风险应对策略与公司战略、企业文化的一致性,风险应对策略的可行性 | 全面风险管理 |
第十四条 控制活动评价是企业全面内部控制评价的主体内容,涉及经营管理的方方面面。对控制活动的评价从内控设计和运行的有效性两方面开展。核心指标及评价内容如下:
| 核心指标 | 评价内容 | 涉及业务 |
| 内控设计:控制 | 1.是否针对企业内部环境设立了相应的控制措施 | 不同行业有所 |
| 措施全面覆盖企业重要风险,不存在控制缺失、控制过度 | 2.各项控制措施的设计是否与风险应对策略相适应 | 不同,一般包括:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统建设等 |
| 3.各项主要业务控制措施是否完整、恰当 | ||
| 4.是否针对日常规定非系统性业务事项制定相应的控制措施,并定期对其执行情况进行检查分析 | ||
| 5.是否建立重大风险预警机制和突发事件,相关应急预案的处置程序和处理结果是否有效 | ||
| 内控运行:控制活动运行符合控制措施规定 | 6.针对各类业务事项的主要风险和关键环节所制定的各类控制方法和控制措施是否得以有效实施 | 针对以上业务事项的控制结果 |
第十五条 已编制完成内部控制手册的公司,对控制活动的评价以手册中已梳理完成的各项业务流程为基础开展。尚未完成内部控制手册编制的公司,对控制活动的评价从内部管理制度入手,结合公司主要经营业务进行评价。 第十六条 对信息与沟通控制的评价包括:信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性。核心指标及评价内容如下:
| 核心指标 | 评价内容 | 涉及业务 |
| 信息收集、处理和传递及时、准确、适用 | 1.是否有透明高效的信息收集、处理、传递程序,合理筛选、核对、整合与经营管理和内部控制相关信息 | 内部信息传递机制 |
| 反舞弊机制健全 | 2.是否建立健全并有效实施反舞弊机制 | 反舞弊机制建设 |
| 3.举报投诉制度和举报人保护制度是否及时准确传达至企业全体员工 |
| 4.对舞弊事件和举报所涉及的问题是否及时、妥善地作出处理 | ||
| 沟通顺畅 | 5.信息在企业内部、企业与外部有关方面之间的沟通是否有效 | 内外部沟通机制建设 |
| 6. 领导班子会和经理层是否能够及时掌握经营管理和内部控制的重要信息并进行应对 | ||
| 7.员工诉求是否有顺畅的反应渠道 | ||
| 信息化建设情况 | 8.是否有制度明确公司信息化建设工作的组织机构,是否建立了适当的企业信息化建设工作组织机构,是否明确了信息化建设工作的组织机构的管理职责和工作规定 | 信息规划制定及实施 |
| 9.信息化规划的制定和审批工作是否恰当,是否有信息化工作的长远规划和短期工作计划,并经主管领导批准后在企业中颁布实施 | ||
| 10.企业是否建立与经营管理相适应的信息系统,利用信息技术提高对业务事项自动控制水平 | ||
| 11.在信息系统的开发过程中,是否对信息技术风险进行识别、评估和防范 | ||
| 12.信息系统的一般控制是否涵盖信息系统开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全、硬件设备、操作人员等方面,确保信息系统安全稳定运行 | ||
| 13.信息系统的应用控制是否紧密结合业务事项进行,利用信息技术固化流程,提高效率,减少或消除人为操纵因素 | ||
| 14.信息系统是否建立并保持相关信息交流与沟通的记录 |
第十七条 对内部监督进行评价应当关注公司决策机构、监督机构、内部审计机构等是否在内部控制设计和运行过程中有效发挥监督作用。内部监督评价的核心指标及评价内容如下:
| 核心指标 | 评价内容 | 涉及业务 |
| 内部监督能够覆盖并监控企业日常业务活动 | 1.管理层是否定期与内部控制机构沟通评价结果,并积极整改 | 内控体系建设 |
| 2.是否落实各职能部门和所属单位在日常监督中的责任,及时识别环境和业务变化 | 内控体系建设 | |
| 3.日常监督的内容是否为经过分析确认的关键控制并有效 | 内控体系建设 |
| 控制,是否按重要程度将发现问题如实反馈内部控制机构,是否积极采取整改措施 | ||
| 4.日常监督用以证明内部控制有效性的监督人员是否具有胜任能力和客观性 | 履行内控监督人员的资格 | |
| 内部监督能够覆盖并监控企业日常业务活动 | 5.内部审计的独立性是否得以保障,审计委员会和内部审计机构是否独立、充分地履行监督职责 | 内审工作 |
| 6.是否开展了必要的专项监督 | 专项监督 | |
| 7.内部控制机构是否制定内部控制自我评价办法和考核奖励办法,明确评价主体、职责权限、工作程序和有关要求,定期组织开展内部控制自我评价,报送自我评价报告,合理认定内部控制缺陷并分析原因,提出整改方案建议 | 内控体系建设 | |
| 对内部控制缺陷管理科学、客观、合理,且报送机制健全 | 8.内部控制机构是否制定科学的内部控制缺陷标准并予以一贯地执行 | 内控体系建设 |
| 9.是否对控制缺陷进行全面、深入地研究分析,提出并实施整改方案,采取适当的形式及时向领导班子会或管理层汇报并督促业务部门整改重大缺陷,并按规定予以披露 | ||
| 10.对发现的内部控制重大缺陷,是否追究相关责任单位和责任人的责任 | ||
| 11.是否建立内部控制缺陷信息数据库,并对历年发现的内部控制缺陷及其整改情况进行跟踪检查 | ||
| 内部控制建设与评价文档妥善保管 | 12.是否采取书面或其他适当方式对内部控制的建立与实施情况进行记录 | 内控体系建设及档案管理 |
| 13.是否妥善保存内部控制相关记录和资料,确保内部控制建立与实施过程的可验证性 | ||
| 14.对暂未建立健全的有关内部控制文档或记录,是否有证据表明已实施了有效控制或者替代控制措施 |
第十八条 实际评价工作中,各公司应在以上列示的评价内容的基础上,结合本公司性质、特点及主要经营业务,确定评价的具体内容,并在实施方案中予以明确。
第四章 内部控制评价的方法 第十九条 太阳能公司开展内部控制评价,应当根据评价目
标及评价内容,综合考虑选择一种或多种评价方法,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并做出书面记录。 第二十条 常用的内部控制评价方法主要有:个别访谈法、调查问卷法、专题讨论会法、穿行测试法、实地查验法、抽样法和比较分析法。 (一)个别访谈法。即根据检查评价需要,对重点或关键岗位进行单独访谈,以获取有关信息; (二)调查问卷法。针对重要风险或控制问题设计问卷调查表,分别对不同层级的人员进行问卷调查,根据调查结果对相关项目做出评价; (三)专题讨论会法。通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法; (四)穿行测试法。通过抽取一份全过程的文件,来了解整个业务流程执行情况的评估评价方法; (五)实地查验法。对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验; (六)抽样法。针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性做出评价; (七)比较分析法。通过分析、比较数据间的关系、趋势或
比率来取得评价证据的方法。
第二十一条 通常情况下,对内部环境、风险评估、信息与沟通和内部监督的评价仅需运用上述一至两种方法,而对控制活动的评价则需要运用以上所有的方法。
第五章 内部控制评价的工作程序 第二十二条 太阳能公司内部控制评价程序分为以下三个阶段:准备阶段、实施阶段、报告阶段。 第二十三条 准备阶段的主要任务有:制定评价工作方案;组成评价项目工作组;下发工作通知或召开启动会。 第二十四条 太阳能公司组织开展年度评价应当制定统一的内部控制评价工作方案。评价方案应当以内部控制目标为依据,结合企业内部监督情况和管理要求而编制。方案至少应当包括以下内容:评价目标;评价范围;评价方法;评价重点;评价期间;工作分工及其他。 第二十五条 内部控制评价的范围包括太阳能公司总部各部门及各级子公司。对评价重点的确定,应当同时遵循全面性和重要性原则,在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
重要业务单位以“营业收入”、“资产总额”和“利润总额”三项指标为标准。凡其中任一指标达到太阳能合并报表的5%以上,即视为重要业务单位。
重大业务事项一般指与企业主要经营指标相关的流程。如与营业收入相关的销售业务,与资产相关的采购业务、实物资产管理、资金活动等。公司确定重大业务要立足于所处行业,根据不同行业特性分析确定相应的重大业务。 对高风险领域的认定,应当以风险评估结果为依据,同时关注合法合规、资产安全、提高经营效率和效果、促进企业实现发展战略等方面。高风险领域的识别不限于重要业务单位。 第二十六条 年度内部控制评价方案应报经太阳能公司管理层批准后组织实施。 第二十七条 各大区、子公司应当结合各自实际情况,依据太阳能公司统一方案制订本单位的内部控制自我评价实施方案,明确评价范围、工作任务、人员组织及分工、进度安排等相关内容,报本公司相应内部决策机构批准后实施,同时报太阳能公司审计部备案。 第二十八条 太阳能公司及各大区、子公司应根据经批准的评价方案,选择适当人员,组成内部控制评价项目工作组,具体实施内部控制评价工作。太阳能公司内部控制评价工作实行项目主审负责制。工作组组长由审计部负责人担任,项目主审由审计部指定人员担任,成员一般由审计部、各部门或单位业务骨干及中介机构人员担任。 第二十九条 太阳能公司组织实施的全系统年度内部控制评价,必要时可聘请具有相应资质的社会中介机构协助。选聘中介
机构的办法和程序按照太阳能公司有关规定执行。审计部根据已确定的评价目标、范围和具体要求,与选定的中介机构签订业务委托书。 第三十条 公司聘请的中介机构,不得既为本公司提供内部控制咨询服务又提供内部控制评价服务。 第三十一条 工作组在实施评价工作前,应当视需要组织工作组成员进行相关培训和学习,内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准及评价中需重点关注的问题等。 第三十二条 太阳能公司开展年度内部控制评价工作,应提前五个工作日召开启动会或下发工作通知,提前对评价工作做出部署,并明确相关要求。 第三十三条 实施阶段的主要任务为:各公司组织自评;工作组实施现场检查、测试;复核并汇总自评和测试结果;认定内部控制缺陷。第三十四条 各大区、子公司开展自评的工作步骤包括:
(一)实施自评,编制并填写自评工作底稿;
(二)缺陷汇总,初步认定;
(三)编制并上报自评报告。
第三十五条 内控评价工作应当依据已编制完成的内部控制手册或经过梳理的制度文件中各项业务的控制措施,采用适当的评价方法对本公司的内部控制设计和执行情况进行检查,并填写
自评工作底稿。 第三十六条 自评工作底稿是公司开展自评工作、进行流程改进的方法和依据,是在评价过程中,用以记录执行过程、内容及支撑评价结果的工作文档。工作底稿应详细记录公司执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。(太阳能公司内部控制评价工作底稿格式以年度评价工作要求为准) 第三十七条 自评完成后,公司对于发现的缺陷,应当编写内部控制缺陷汇总表、内部控制缺陷认定汇总表,对缺陷进行初步认定,相关业务人员或部门确认缺陷,公司负责人进行审核签字。(内部控制缺陷汇总表和内部控制缺陷认定汇总表格式以年度评价工作要求为准)
第三十八条 各大区、子公司根据自评结果编制完成内部控制自我评价报告,按照太阳能公司内部控制自我评价时间要求及时上报。
第三十九条 自评报告至少包含以下内容:
(一)年度内部控制建设及风险管控情况;
(二)年度内部控制检查监督工作开展情况;
(三)发现的内部控制缺陷及原因分析;
(四)改进建议及相应的改进措施;
(五)明确改进负责部门/人以及改进的计划完成时间。 第四十条 各大区、子公司应将自评工作底稿、缺陷汇总表、
缺陷认定汇总表作为自评的原始记录和依据随第一经营负责人签字后的自评报告一并上报太阳能公司。 第四十一条 太阳能公司根据内控评价结果确定是否开展现场评价工作。如开展现场评价工作应按照如下步骤:
(一)了解被评价单位情况,制定项目实施计划;
(二)实施现场测试,编制工作底稿;
(三)内部控制缺陷汇总、初步认定;
(四)评价工作底稿复核;
(五)编制完成被评价单位的内部控制评价报告。 第四十二条 项目小组进驻现场后,应当对被评价单位的基本情况进行了解,编写项目实施计划,确定具体的检查评价内容、检查重点和抽样数量等,并结合评价项目小组人员的专业背景进行合理分工。 第四十三条 评价人员根据分工,综合运用各种评价方法对被评价单位内部控制设计与运行的有效性进行现场检查,填写评价工作底稿、记录相关测试结果。 第四十四条 评价人员应遵循客观、公正、公平原则,如实反映测试中发现的问题,并及时与被评价单位进行沟通。 第四十五条 对于发现的缺陷,工作小组应当编写缺陷汇总表、内部控制缺陷认定汇总表,对缺陷进行初步认定。被评价单位相关部门对缺陷进行确认,单位负责人进行审核签字。 第四十六条 评价工作底稿应建立两级复核机制,分别为评
价小组内部交叉复核、工作组组长重点复核。 (一)现场测试评价完成后,评价项目小组成员之间应对评价工作底稿进行详细的交叉复核。 (二)工作组组长对评价工作底稿进行重点复核,对所认定的评价结果签字确认。重点复核主要是对内部控制评价工作底稿中重要业务的内部控制评价程序实施情况、内部控制评价缺陷认定表进行复核。 第四十七条 工作组组长应在现场评价工作完成后出具报告。 第四十八条 各单位评价工作全部完成后,项目主审应组织相关人员对自评和检查发现的问题进行全面复核及汇总分析,认定内部控制缺陷。 第四十九条 评价人员应当对自评报告及自评工作底稿的真实性、准确性、完整性进行复核、分析和汇总,对发现的各类缺陷做重点分析。 评价项目工作组编制完成太阳能公司内部控制缺陷认定汇总表,同时考虑日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析,对照认定标准提出认定意见,并以适当的形式向公司决策机构报告。 第五十条 太阳能公司重大缺陷由董事会予以最终认定,重要缺陷由经理层最终认定,一般缺陷由太阳能公司审计部认定。
第五十一条 报告阶段的主要任务有:编制内控评价报告;报告征求意见及上报审批;对外报送报告。 第五十二条 内部控制缺陷认定完成后,项目主审应当根据内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的内容、格式等要求,在十个工作日内编制完成内部控制评价报告初稿。 第五十三条 内部控制评价报告应当按照太阳能公司《内部控制评价办法》所规定的内容,分别内控五要素,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等内容作出披露。报告要素应当客观、完整。 第五十四条 内部控制评价报告初稿,经评价项目工作组组长审核修改后,形成征求意见稿正式征求相关单位的意见。有关单位应在规定时日内提出书面反馈意见。 第五十五条 项目主审根据各单位反馈意见在规定时日内对评价报告完成修改定稿,经评价项目工作组组长审核后,逐级履行上报审批程序。 第五十六条 太阳能公司年度内部控制评价报告应经董事会审计与风险控制委员会审议通过、报董事会批准后,经董事长签字对外报出。
第五十七条 太阳能公司年度内部控制评价报告,应在规定时间内报送有关监管部门。报告基准日至报出日之间发生影响内部控制有效性的因素,应根据其性质和影响程度对评价结论进行
相应调整。
第六章 内部控制缺陷认定的一般标准 第五十八条 内部控制缺陷包括设计缺陷和执行缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
设计缺陷,是指内部控制设计不科学、不适当,即使正常运行也难以实现控制目标。
执行缺陷,是指内部控制设计比较科学、适当,但在实际执行过程中没有严格按照设计意图执行,导致内部控制运行与设计相脱节,未能有效实施控制、实现控制目标。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。 第五十九条 对内部控制缺陷的认定应当根据不同的分类明确不同的标准。 第六十条 内部控制的设计有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计合理、恰当。评价内控设计有效性的因素包括:
(一)存在性:过程和风险已被充分识别,过程和风险的控制措施得到明确规定并得以保持; (二)合理性:内部控制的设计在符合内部控制原理的同时,
本着客观、公平、公正的原则制定,对内部决策机构、经理层和员工具有执行的基础和约束力; (三)恰当性:内部控制的设计结合企业自身的环境条件、业务范围、经营模式等进行风险识别和评估,确定主要及重大风险控制措施,从而有利于实现控制目标。 第六十一条 内部控制的运行有效性,是指现有内部控制按照规定程序得到了正确执行。评价运行有效性的因素包括:
(一)相关控制是否得到持续一致的运行;
(二)相关控制是否由适当的人员执行(执行人员具有相应的权限和能力); (三)相关控制是否在适当的时间被执行(例如,某交易在发生前得到相应的授权和审批,而不是在事后补齐授权审批手续); (四)执行方式恰当(例如,某控制按规定应执行管理层审批程序,但实际执行人仅进行审阅,没有批示决策意见,则该控制执行不当); (五)执行结果进行了适当的记录(重要控制环节需要签字、邮件、会议纪要等记录); (六)执行时发现的差异及时得到了跟进(例如对账环节,核对并不是最终目的,最终目的是核对过程中发现的差异均进行了调查跟进)。
第六十二条 按照影响内部控制目标的具体表现形式,可以
将内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制缺陷。
财务报告缺陷是指影响财务报告及相关信息真实性、完整性的内部控制缺陷。
(一)定量标准:
| 缺陷等级 | 定量标准 |
| 重大缺陷 | 错报金额≥资产总额的3%;或错报金额≥利润总额的5% |
| 重要缺陷 | 资产总额的1%≤错报金额<资产总额的3%; 或利润总额的3%≤错报金额<利润总额的5% |
| 一般缺陷 | 错报金额<资产总额的1%;或错报金额<利润总额的3% |
(二)定性标准:
1.重大缺陷:
(1)公司董事、监事和管理层存在舞弊行为;
(2)公司会计报表、财务报告及信息披露等方面发生重大违规事件,或当年财务报表被注册会计师出具否定意见或无法表示意见;
(3)当期财务报告存在重大错报,且内部控制运行未能发现该错报;
2.重要缺陷:
(1)未建立反舞弊程序和控制措施;
(2)未依照规定会计准则选择和应用会计政策;
(3)对于编制期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。
3.一般缺陷:
未构成重大缺陷、重要缺陷标准的其他内部控制缺陷。
第六十三条 非财务报告缺陷是指相关控制不能及时防止或
发现并纠正影响经营的效率效果、遵守法律法规、实现发展战略以及影响保护资产安全中与报告可靠性目标无关的内部控制目标。
(一)定量标准:
| 缺陷等级 | 缺陷造成的直接财务净损失 |
| 重大缺陷 | 评价期内因内部控制设计不健全或运行不规范等因素导致直接财务净损失总额大于等于最近一次年度财务决算审计的净资产总额的3%; |
| 重要缺陷 | 评价期内因内部控制设计不健全或运行不规范等因素导致直接财务净损失总额大于等于最近一次年度财务决算审计的净资产总额的1%而小于3% |
| 一般缺陷 | 评价期内因内部控制设计不健全或运行不规范等因素导致直接财务净损失总额小于最近一次年度财务决算审计的净资产总额的1%; |
(二)定性标准:
1.重大缺陷:
(1)违反国家法律、法规或规范性文件;
(2)违反决策程序,或“三重一大”等重大决策程序不科学,导致重大决策失误;
(3)董事、监事、高级管理层违反法律法规、公司治理授权等规定,造成重大损失;
(4)公司未对安全生产实施管理,造成重大人员伤亡的安全责任事故;
(5)媒体负面新闻频现,对公司造成重大影响;
(6)关键岗位人员流失严重;
(7)重要业务缺乏制度控制,或制度系统性失效、或重要业务违反法律法规,造成重大损失;
(8)内部控制评价的结果特别是重大或重要缺陷未得到整
改;
(9)其他对公司影响重大的情形。
2.重要缺陷:
(1)违反法律法规或决策程序,导致出现的决策失误,对公司造成较大损失;
(2)重要业务缺乏制度控制或设计存在较大缺陷;
(3)其他对公司产生较大负面影响的情形。
3.一般缺陷:
未构成重大缺陷、重要缺陷标准的其他内部控制缺陷。
第六十四条 内部控制缺陷应在进行设计缺陷和运行缺陷、财务报告缺陷和非财务报告缺陷分类认定的基础上,按照影响程度进一步认定重大缺陷、重要缺陷和一般缺陷。
太阳能公司和各大区、子公司应当分别制定各自层面的重大缺陷、重要缺陷和一般缺陷认定标准,缺陷认定标准应经董事会或类似决策机构批准。
第七章 内部控制缺陷的报告及整改 第六十五条 太阳能公司内部控制缺陷报告应当采取书面形式,可以单独报告,也可以作为内部控制评价报告的一个重要组成部分。内部控制的一般缺陷、重要缺陷至少每年报告一次,重大缺陷立即报告。 第六十六条 对于重大缺陷及其整改方案,应向公司董事会审计与风险控制委员会、监事会及第一经营负责人报告,并经董
事会审议批准。 第六十七条 对于重要缺陷和一般缺陷,应向公司第一经营负责人报告,并视情况考虑是否需要向董事会、监事会报告。 第六十八条 如果出现不适合向公司第一经营负责人报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之上的情形,应当直接向董事会、监事会报告。 第六十九条 企业对于认定的内部控制缺陷,应当及时落实整改。评价项目工作组应当根据评价结果,及时分析缺陷性质和产生原因,就发现的内部控制缺陷提出整改建议。 第七十条 太阳能公司审计部是内部控制缺陷整改工作的牵头组织部门。应当在年度内部控制评价报告提交后,根据认定的内控缺陷及其整改建议,组织责任部门、单位制订包括整改责任人、目标、内容、步骤、措施和期限在内的整改方案,及时进行整改,并向集团公司按季度上报整改工作进度。 第七十一条 各大区、子公司应当根据制订的整改方案组织实施本单位的整改工作,确保在规定时间内整改到位,并向太阳能公司审计部按季度上报整改工作进度。
第七十二条 在整改方案实施过程中,太阳能公司审计部应当对整改措施的落实情况进行监督,并填写缺陷跟踪表。各大区、子公司应当保证相对合理的时间来实施整改措施,在新的控制措施运行一段时间以后,复核评价其运行的有效性。
第八章 资料归档 第七十三条 内部控制评价资料应在项目完成后由审计部进行归档,项目主审负责档案收集、整理立卷,档案的所有权归属于太阳能公司。各大区、子公司组织开展内部控制评价工作的部门,负责档案收集、整理立卷,单独保管,以备上级单位调阅检查。
第七十四条 内部控制评价档案应视同会计档案管理,参照会计档案的保管办法、保管期限、档案保密和借阅、档案移交和销毁等规定执行。
第九章 附则 第七十五条 各大区、子公司可根据本实施细则,结合自身实际情况,制定本单位相关制度。第七十六条 本实施细则由太阳能公司审计部负责解释。
第七十七条 本实施细则自公司第十一届董事会第十次会议审议通过后生效实施。原《中节能太阳能股份有限公司内部审计管理办法》(太阳能〔2016〕224号)同时废止。