甘肃能源:内部控制评价管理办法(2023年10月)
甘肃电投能源发展股份有限公司
内部控制评价管理办法
(经公司第八届董事会第九次会议审议通过)
第一章 总 则
第一条 为了全面评价甘肃电投能源发展股份有限公司(以下简称公司)内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据《企业内部控制基本规范》《企业内部控制评价指引》等有关法律法规、规范性文件及本公司相关规定,结合公司实际情况,制定本办法。
第二条 本办法所称内部控制评价,是指公司董事会对公司内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 本办法适用于公司、所属全资及控股子公司(以下简称“子公司”)。
第四条 公司实施内部控制评价应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及各子公司的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
(四)成本效益原则。评价工作应当权衡实施成本与预期效益,以适当的成本实现有效评价,提高评价工作效率和效果。
第二章 内部控制评价的组织及职责
第五条 公司董事会负责公司内部控制的建立健全和有效实施,审批公司内部控制评价报告,对内部控制评价报告的真实性负责。
第六条 公司审计委员会负责指导公司内部控制评价工作,监督内部控制评价情况,审议内部控制评价报告。
第七条 公司监事会负责监督公司内部控制的建立、实施及评价,对公司内部控制评价报告发表意见。第八条 公司党委会前置研究公司内部控制评价报告。第九条 公司总经理办公会负责组织、协调公司内部控制工作的落实,其主要职责包括:
(一)审批公司内部控制评价工作方案;
(二)审核公司内部控制评价报告;
(三)管理内部控制评价工作,审核内部控制缺陷认定,组织实施缺陷整改工作;
(四)按照董事会授权协调和解决内部控制评价过程中出现的重大事项。
第十条 公司审计合规部是公司内部控制评价工作的归口管理部室,其主要职责包括:
(一)持续完善公司内部控制评价相关制度;
(二)编制公司内部控制评价工作方案;
(三)组织开展内部控制评价工作;
(四)编制公司内部控制评价报告;
(五)督导公司内部控制缺陷整改,跟踪整改情况并按要求报告。
第十一条 各子公司负责组织开展本公司内部控制评价工作,其主要职责包括:
(一)逐级落实内部控制评价责任,建立日常监控机制;
(二)依据公司内部控制评价程序,组织开展本公司内部控制评价工作;
(三)编制本公司内部控制评价报告,经本公司的决策机构批准后,按规定上报公司,并对本公司内部控制评价结果的真实性负责;
(四)对评价发现的内部控制缺陷,制定整改方案,明确整改责任,按要求报送内部控制缺陷整改完成情况。
第十二条 公司各部室负责本部室职责范围内的内部控制评价工作,其主要职责包括:
(一)按照公司内部控制建设与评价工作的总体部署,开展本部室内部控制建设与自查工作;
(二)根据内部控制标准与管理要求,对本部室职责范围内的制度进行梳理,落实内部控制基本要求,建立内部控制标准与制度对应关系,检查相关内部控制标准执行情况;
(三)配合公司审计合规部开展内部控制评价工作;
(四)负责落实本部室职能范围内的内部控制缺陷整改工作。
第三章 内部控制评价的内容
第十三条 内部控制评价工作根据《企业内部控制基本规范》、应用指引以及公司内部控制制度,结合公司实际情况,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
第十四条 公司组织开展内部环境评价,应当以组织架构、发展战略、人力资源、公司文化、社会责任等应用指引为依据,结合公司内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
第十五条 公司组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本公司的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
第十六条 公司组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本公司的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
第十七条 公司组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本公司的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十八条 公司组织开展内部监督评价,应当以《企业内部控制基本规范》
有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本公司的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
第十九条 内部控制评价工作要形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、及时更新、简便易行、便于操作和保存。
第四章 内部控制评价的程序和方法
第二十条 公司内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第二十一条 内部控制评价工作遵循以下程序:
(一)准备阶段
1.制定评价工作方案。审计合规部拟定公司评价工作方案,明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容,报公司总经理办公会审批后实施。公司本部及各子公司应根据公司评价工作方案,分别制订本公司内部控制评价工作方案,履行内部决策程序后分别组织实施。
2.组成评价工作组。公司本部及各子公司应当根据评价工作方案,分别组建内部控制评价工作组,具体实施内部控制评价工作。各评价工作组应当吸收公司内部熟悉情况的业务骨干参加。评价工作组成员对本部室的内部控制评价工作应当予以回避。
公司及各子公司可以委托中介机构实施内部控制评价,但为公司提供内部控制审计服务的会计师事务所,不得同时为公司及各子公司提供内部控制评价服务。
(二)实施阶段
1.了解被评价公司(部室)基本情况。各评价工作组应充分了解公司发展战略和环境、领导层成员构成及分工、部室设置及职责分工等基本情况。
2.确定检查评价范围和重点。各评价工作组应根据掌握的情况进一步确定评
价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
3.开展现场检查测试。各评价工作组应根据评价人员分工,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写评价工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。评价工作底稿应详细记录执行评价工作的内容,包括评价要素、评价和测试方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
(三)汇总评价结果,编制评价报告阶段
1.各评价工作组汇总评价结果,对初步确定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
2.各评价工作组应当对评价质量进行交叉复核,评价工作组组长应当对评价工作底稿进行严格审核,并对所认定的内部控制缺陷及评价结果签字确认,公司本部的评价资料提交公司审计合规部,各子公司的评价资料提交本公司相关内部控制评价部室。
3.各子公司内部控制评价部室以汇总的评价结果和认定的内部控制缺陷为基础,编制本公司内部控制评价报告,并按照规定权限履行内部决策程序后上报公司,同时按要求提交内部控制评价工作相关资料。
4.审计合规部以公司本部评价工作组及各子公司汇总的评价结果和认定的内部控制缺陷为基础,根据公司本部内部控制评价结果和各子公司的内部控制评价报告,编制公司内部控制评价报告。
(四)内部控制评价整改及反馈阶段
公司及各子公司对评价中发现的问题,要及时制定切实可行的整改方案,明确整改目标、措施、期限、责任岗位等内容,认真落实整改,并及时向审计合规部反馈,审计合规部对整改情况进行跟踪和监督并按要求及时报告。
第五章 内部控制缺陷的认定
第二十二条 内部控制缺陷按照成因或来源分为设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。第二十三条 内部控制缺陷按照影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。第二十四条 内部控制缺陷按照与财务报告的相关程度分为财务报告缺陷和非财务报告缺陷。财务报告内部控制的缺陷,是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。
非财务报告内部控制的缺陷,是指针对除财务报告目标之外的其他目标(一般包括战略目标、资产安全、经营目标、合规目标等)的内部控制存在的缺陷。
第二十五条 财务报告内部控制缺陷的认定标准:
(一)定性标准
财务报告重大缺陷的迹象包括:
(1)公司董事、监事和高级管理人员的舞弊行为;
(2)公司更正已公布的财务报告;
(3)注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报;
(4)审计委员会和审计部室对公司的对外财务报告和财务报告内部控制监
督无效。
财务报告重要缺陷的迹象包括:
(1)未依照公认会计准则选择和应用会计政策;
(2)未建立反舞弊程序和控制措施;
(3)对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制;
(4)对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。
一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
(二)定量标准
| 缺陷类型标准 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 营业收入 | ≥1% | 0.5%(含)-1% | <0.5% |
| 最近一期经审计净资产 | ≥1% | 0.5%(含)-1% | <0.5% |
第二十六条 非财务报告内部控制缺陷的认定标准:
(一)定性标准
非财务报告缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性作判定。如果缺陷发生的可能性较小,会降低工作效率或效果、或加大效果的不确定性、或使之偏离预期目标为一般缺陷;如果缺陷发生的可能性较高,会显著降低工作效率或效果、或显著加大效果的不确定性、或使之显著偏离预期目标为重要缺陷;如果缺陷发生的可能性高,会严重降低工作效率或效果、或严重加大效果的不确定性、或使之严重偏离预期目标为重大缺陷。
(二)定量标准
| 缺陷类型标准 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 营业收入 | ≥1% | 0.5%(含)-1% | <0.5% |
| 最近一期经审计净资产 | ≥1% | 0.5%(含)-1% | <0.5% |
第二十七条 公司各部室及子公司对内部控制缺陷整改负主体责任。对于一般缺陷,各部室及子公司应当及时研究解决,防止风险扩大;对于重要缺陷,公司应当及时研究应对策略,限期解决,降低风险;对于重大缺陷,公司应当及时
采取应对策略,切实将风险控制在可承受度之内,并追究有关部室或相关人员的责任。
第六章 内部控制评价报告第二十八条 内部控制评价报告分为定期内部控制评价报告和非定期内部控制评价报告。公司至少每年进行一次内部控制评价并由董事会对外发布内部控制评价报告。非定期内部控制评价报告可以是因特殊事项或原因(如公司因目标变化或提升)而对外发布的内部控制评价报告,也可以是公司针对发现的重大缺陷专项内部控制评价等向董事会或管理层报送的内部报告(即内部控制缺陷报告)。
第二十九条 内部控制评价报告应按内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。第三十条 内部控制评价报告至少应当披露下列内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
第三十一条 内部控制评价报告报送公司总经理办公会审核,党委会前置研究,报送公司审计委员会审议,经公司董事会批准后对外披露。监事会和独立董事应当对内部控制评价报告发表意见,保荐人或财务顾问(如需)应当对内部控制评价报告进行核查,并出具核查意见。
第三十二条 公司应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价
结论进行相应调整。
第三十三条 公司内部控制审计报告应当与内部控制评价报告同时对外披露或报送。
第三十四条 公司以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。
第三十五条 公司内部控制评价工作的有关文件资料、工作底稿和证明材料,由审计合规部整理并按公司档案管理相关制度移交公司档案室统一管理。
第七章 附则
第三十六条 本办法未尽事宜,依照国家有关法律、法规、规范性文件以及本公司章程的有关规定执行。本办法与有关法律、法规、规范性文件以及本公司章程的有关规定不一致的,以有关法律、法规、规范性文件以及本公司章程的规定为准。
第三十七条 本办法由公司董事会负责解释。
第三十八条 本办法自董事会审议通过之日起执行。