长源电力：内部控制评价办法

国家能源集团长源电力股份有限公司

内部控制评价办法

第二版（经2024年6月18日公司第十届董事会第二十三次会议

批准进行修订）第一章 总则第一条 为规范国家能源集团长源电力股份有限公司（以下简称公司）内部控制评价工作，依据财政部等五部委《企业内部控制基本规范》（财会〔2008〕7号）、《企业内部控制应用指引》《企业内部控制评价指引》（财会〔2010〕11号）、国务院国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号）等规范性文件的要求，参照国家能源集团《国家能源集团内部控制评价办法》（能源制度〔2023〕127号），结合公司实际，制定本办法。

第二条 本办法所称内控评价，是指在公司党委、董事会领导下，由内部审计部门或相关监督管理部门具体组织实施，对内控的有效性、风险、合规管理制度建设与实施情况进行全面评价，形成评价结论、出具内控体系工作报告（含内控评价报告）（以下简称内控报告）的过程。

第三条 实施内控评价，应当遵循如下原则：

（一）全面性原则。评价工作应当包括内控的设计与运行，并涵盖公司及所属全资、控股子公司的主要业务和事项。

（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内控设计与运行的有效性。

（四）内控风险合规监督一体化原则。评价工作中同时对内控、风险、合规制度建设和执行情况进行自我评价和监督评价。

第四条 本办法适用于公司本部、所属全资、控股公司、代管企业（以下简称各单位）。

第二章 组织与职责

第五条 公司董事会是内控评价工作的决策机构，主要职责包括：

（一）批准公司内控管理基本制度。

（二）批准三年内控评价工作方案或规划。

（三）认定内控重大缺陷和重要缺陷。

（四）批准公司内控评价报告，对内控报告的真实性负责。

第六条 公司党委领导企业内控评价工作，主要职责包括：

（一）研究批准三年内控评价工作方案或规划。

（二）研究内控重大和重要缺陷。

（三）研究、听取公司内控报告。

第七条 公司董事会审计与风险管理委员会负责监督内控，指导与监督内控评价工作，主要职责包括：

（一）指导公司内控体系、运行机制和制度建设。

（二）督导公司内控体系有效运行。

（三）初步审议三年内控评价方案或规划。

（四）初步审议公司内控报告及内控缺陷和整改方案。

（五）向董事会报告内部审计工作进度、质量以及发现的重大问题等；

（六）协调内部审计部门与会计师事务所、国家审计机构等外部审计单位之间的关系。

第八条 公司经理层负责组织实施内控评价工作，主要职责包括：

（一）组织制订公司内控管理制度。

（二）组织制订公司内控报告。

（三）明确缺陷整改责任，指导落实缺陷整改工作。 第九条 公司审计部负责内控评价的具体组织实施工作，主要职责包括：

（一）拟定公司内控管理制度。

（二）拟订公司三年内控评价方案或规划。

（三）组织公司各部门和各单位开展内控自我评价工作，组织实施内控检查工作。

（四）组织开展公司内控监督评价和内控专项审计工作，组织聘请外部中介机构开展年度财务报告为基础的内控审

计工作。

（五）汇总内控评价结果，提出内控缺陷认定意见，编制公司内控报告。

（六）跟踪监督内控缺陷整改情况。

（七）协助建立健全反舞弊机制，确定反舞弊的重点领域、关键环节和主要内容，并在内部审计过程中合理关注和检查可能存在的舞弊行为。

（八）至少每季度向董事会或者审计委员会报告一次，内容包括但不限于内部审计计划的执行情况以及内部审计工作中发现的问题。

（九）落实上级主管部门或外部监管机构提出的内控评价整改建议和决定。

第十条 公司各部门根据部门职责负责组织开展内控评价相关工作，主要职责包括：

（一）结合部门职责，对公司内控评价方案和内控报告提出意见和建议。

（二）根据《企业内部控制应用指引》和上级部门《内控风险矩阵和评价标准》，对本部门内控的有效性、风险、合规管理的制度建设与实施情况开展自我评价，提交内控自评工作底稿。

（三）配合并参与公司内控监督评价和内控专项审计工作，反馈内控监督评价和专项审计结果。

（四）对发现的本部门业务相关的内控缺陷制定整改方案，及时整改，按时提交整改情况报表。

第十一条 各单位负责组织开展本单位内控评价工作，主要职责包括：

（一）各单位应完善内控评价管理组织机构，建立健全内控管理相关制度。

（二）各单位内部审计部门或相关监督管理部门负责内控评价的具体组织实施工作。

（三）各单位应组织本单位的相关部门开展内控评价工作，编制内控自评工作底稿、内控缺陷汇总表与整改方案及内控报告，经本单位的决策机构批准后，按规定上报公司。

（四）配合公司内控监督评价和专项审计工作，反馈内控监督评价和专项审计结果。

（五）对评价发现的缺陷制定整改方案，明确整改责任，按要求报送内控缺陷整改完成情况。

第三章 内控评价范围与内容

第十二条 评价单位范围包括公司各部门、各单位。

第十三条 评价业务范围包括《企业内部控制基本规范》及其指引中涉及的公司各部门、各单位的业务，其他涉及公司的主要业务和事项以及高风险领域。

第十四条 评价时间范围为每年1月1日至12月31日。内控专项审计时间范围根据评价主体实际需求自行确定。

第十五条 评价依据为财政部等五部委《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》《深圳证券交易所上市公司自律监管指引第1号——

主板上市公司规范运作》《电力行业内部控制操作指南》等。

第十六条 评价内容围绕公司的内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对本单位内控设计与运行情况进行全面评价。

在开展内控评价工作过程中，应将风险、合规管理的制度建设及实施情况纳入内控体系监督评价范畴，通过制度审阅、穿行测试与抽样测试等方式开展评价工作。

对风险管理进行评价时，应按照《企业内部控制基本规范》相关要求，以各项应用指引中所列主要风险为依据，结合上级部门及本单位风险管理要求，对制度制定、风险识别、风险评估、风险应对及风险报告编制等内容开展评价。

对合规管理进行评价时，应按照公司及本单位合规管理要求，对制度制定、合规风险识别、合规审查、合规风险应对、禁止性规定、考核评价等内容开展评价。

第十七条 内部环境评价是以组织架构、发展战略、人力资源、企业文化、社会责任等指引为依据，结合公司内控制度，对内部环境的实际运行情况进行评价。重点关注：

（一）治理结构是否形同虚设。

（二）发展战略是否可行。

（三）机构设置是否重叠。

（四）权责分配是否明晰。

（五）不相容岗位是否分离。

（六）人力资源政策和激励约束机制是否科学合理。

（七）企业文化是否促进员工勤勉尽责。

（八）社会责任是否有效履行等。

第十八条 风险评估是以《企业内部控制基本规范》有关风险评估的有关要求，以及各项应用指引中所列主要风险点为依据，结合公司内控制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

第十九条 控制活动评价是以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合公司内控制度，对控制措施的设计和运行情况进行认定和评价。重点关注：

（一）资金的筹集、投放和营运过程是否存在资金链断裂。

（二）资产运行中是否存在效能低下或资产流失。

（三）采购与销售环节是否存在舞弊行为。

（四）研发项目是否经过科学论证。

（五）工程项目是否存在商业贿赂等。

第二十条 信息与沟通评价是以内部信息传递、财务报告、信息系统等指引为依据，结合公司的相关内控制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内控的有效性等进行评价。

第二十一条 内部监督评价是以《企业内部控制基本规范》有关内部监督的要求，以及指引中有关日常监督和持续监控的规定为依据，结合公司相关内控制度，对内部监督机制的有效性进行评价，重点关注监事会、董事会、审计与风险管理委员会、审计部是否在内控设计和运行中有效发挥监

督作用。

第二十二条 公司对各单位内控的有效性进行评价，重点涉及下列内容：

（一）各单位内控是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。

（二）各单位内控设计是否适当，运行的组织是否有效，人员配备、职责分工和授权是否合理。

（三）各单位是否开展内控自我评价。

（四）各单位是否建立有利于促进内控缺陷落实整改的机制。

第四章 内控评价方法

第二十三条 内控评价分为四个阶段，即：评价准备阶段、评价实施阶段、缺陷认定阶段和评价报告阶段。

第二十四条 内控评价方法包括：个别访谈法、调查问卷法、专题讨论会法、穿行测试法、抽样法、比较分析法、实地查验法、重新执行法及标杆法等，评价人员可根据被评价单位情况和评价内容选择以下一种或多种方法：

（一）个别访谈法，是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。

（二）调查问卷法，是指企业设计问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。

（三）专题讨论会法，是指通过召集与业务流程相关的

管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。

（四）穿行测试法，是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。

（五）抽样法，是指企业针对具体的内控业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。

（六）比较分析法，是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。

（七）实地查验法，是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。

（八）重新执行法，是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。

（九）标杆法，是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。

第二十五条 内控评价应当形成评价工作底稿。评价工作人员应详细记录评价工作的内容，包括风险情况、制度建设和执行情况、采取的控制措施以及认定结果等。

第二十六条 内控评价工作组应根据评价工作结果，编制内控评价报告。内控评价报告应对评价过程、缺陷认定及整改情况、内控有效性的结论等内容作出说明，经公司党委批准，董事会审计与风险管理委员审议后，按规定报送上级主管部门。

第二十七条 内控自我评价工作由公司审计部统一组织实施，于每年财务报告报出日前完成，《内控自我评价报告》经董事会审议批准后，报送相关监管机构。内部审计部门或相关监督管理部门应将内控评价文件资料、工作底稿和证明材料等及时归档并妥善保管。

第二十八条 内控自我评价项目委托社会中介机构实施时，不得与为公司提供内控审计服务的会计师事务所为同一会计师事务所。

第五章 内控评价程序

第二十九条 内控评价工作应按以下程序进行。具体包括：制定下发评价工作通知、组成评价工作组、开展内控自评工作、开展内控监督评价工作、沟通与认定内控缺陷、内控缺陷整改、编制内控报告、开展内控专项审计。

第三十条 制定下发评价工作通知。评价工作通知应包括评价范围、评价内容、工作任务、要求、人员组织和进度安排等。

第三十一条 公司审计部提出书面立项申请，经审计部负责人审核，报公司分管领导审批后，组建评价工作组。

第三十二条 内控评价组应按照批准的内控评价方案组织实施评价工作。主要包括了解内控整体情况、实施内控测试、编写评价底稿等步骤。

第三十三条 组成评价工作组。工作组应明确负责人、工作分工、沟通汇报机制等。必要时可以抽调其他部门、各

单位员工或聘请中介机构协助检查评价工作。工作组抽调人员应为熟悉公司内部情况的业务骨干。评价工作组成员对本部门或本单位的评价工作实行回避制度。

第三十四条 开展内控自评工作。自评单位范围包括各部门、各单位。各单位除成立不足1年、处于破产清算等特殊情况外，均须开展内控自评工作，做到全级次企业内控自评全覆盖。

第三十五条 各单位对照《企业内部控制基本规范》及其应用指引及上级部门和公司制定下发的有关制度、内控风险矩阵和评价标准，对本单位内控设计和执行的有效性逐项检查。

第三十六条 开展监督评价。评价工作组通过询问、观察、检查、重新执行等方式对被评价单位自评工作进行复核，运用个别访谈、调查问卷、专题讨论、穿行测试、关键控制点测试、实地查验、抽样和比较分析等方法对内控设计和执行情况进行测试，对风险管理、合规管理自我评价结果进行监督评价。

第三十七条 公司对各单位开展内控有效性监督评价，确保每3年全覆盖。对于新并入单位、新型商业模式、新兴业务领域每年必评，每年新发生的大额资金运作、重大投资决策、重大购销业务、重大工程项目承揽、高风险金融业务、以及发生重大经营风险事件的单位当年评价全覆盖。

第三十八条 沟通与认定内控缺陷。内控评价工作组应与被评价单位沟通确认评价结果。

第三十九条 内控缺陷整改。对于评价过程中发现的内控缺陷，应及时制订整改方案并组织整改。内部审计部门或相关监督管理部门应及时跟踪整改情况。

第四十条 编制内控报告。内部审计部门或相关监督管理部门根据评价工作结果，按照规定的程序和要求，及时编制本单位内控报告。

内控报告应对评价过程、缺陷认定及整改情况、内控有效性的结论等相关内容作出说明，经董事会批准后按规定报送上级单位，内控缺陷情况应作为内控报告附件一并上报。

内部审计部门或相关监督管理部门应当关注自内控报告基准日至内控报告发出日之间是否发生影响内控有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。

第四十一条 内控专项审计。根据内控自评和监督评价工作结果，对于内控自评没有发现但公司内控监督评价发现重大缺陷、风险事件和违规问题频发的单位，公司组织开展内控专项审计，出具内控专项审计报告。

第六章 内控缺陷分类及认定

第四十二条 内控缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

（一）重大缺陷指一个或多个控制缺陷的组合，可能导致被评价主体严重偏离控制目标。

（二）重要缺陷指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致被评价主体

偏离控制目标。多个“重要缺陷”共同作用有可能形成一个“重大缺陷”。

（三）一般缺陷指除重大缺陷、重要缺陷之外的其他缺陷。多个“一般缺陷”共同作用有可能形成一个“重要缺陷”。

第四十三条 内控缺陷按其与财务报告的相关程度，分为与财务报告直接相关、间接相关和非相关。

第四十四条 与财务报告直接相关和间接相关的内控缺陷，采取定量和定性相结合的方法，评价其影响程度。

（一）定量方法

财务报告内的定量标准：公司财务报表总体重要性水平为资产总额的0.2%或营业收入的0.3%，一般选择按资产总额和营业收入为基准计算结果的孰低原则确定。

重大缺陷：导致错报金额大于重要性水平。

重要缺陷：导致错报金额大于等于重要性水平的50%但小于重要性水平。一般缺陷：导致错报金额小于重要性水平的50%。

（二）定性方法

对某些性质的内控缺陷，即使其导致的错报金额小于总体重要性水平的20%，其缺陷的认定结果也应调高，包括但不限于：

1. 发现董事、监事和高级管理人员舞弊或者员工存在串谋舞弊情形并给公司造成重要损失和不利影响的。

2. 重述以前公布的财务报表，以更正由于舞弊或错误导致的重大错报的。

3. 发现当期财务报表存在重大错报，而内控在运行过程中未能发现该错报的。

4. 董事会审计与风险管理委员会和内部审计部门或相关监督管理部门对内控的监督无效的。

5. 在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故，给公司造成重大损失和不利影响，或者遭受监管部门重大处罚的。

6. 内控报告日后对内控有重大负面影响的期后事项的。

7. 财务报表已经或者很可能被注册会计师出具否定意见或者拒绝表示意见的。

8. 被境内或境外媒体网络刊载，造成重大负面舆情影响的。

9. 受到境外国家、地区或国际组织管制或制裁，企业国际化战略或国际形象产生重大负面影响的。

10. 董事会或党委认定的其他情形。

第四十五条 与财务报告非相关的内控缺陷，采取定量和定性相结合的方法，并结合经理层的意见，评价其影响程度。

（一）定量方法。与财务报告直接相关所采用的方法相同。

非财务报告内控缺陷的定量标准：导致直接财产损失大于等于1000万元的内控缺陷为重大缺陷；导致直接财产损失小于1000万元而大于等于500万元的内控缺陷为重要缺陷；导致直接财产损失小于500万元的内控缺陷为一般缺陷。

（二）定性方法。与财务报告非相关的内控缺陷定性标准，

主要考虑是否存在以下情形，包括但不限于：

严重违反国家法律、法规，引起国家级政府单位或监管机构调查，或引发国家级媒体负面报道，或遭受重大法律制裁；重大决策程序不规范；重要业务缺乏制度控制或制度体系失效；内控评价发现的重大缺陷未得到整改；其他对公司声誉造成重大负面影响的情形，应考虑认定重大缺陷。

未遵守国家法律法规和集团规章制度，引起省级政府单位或监管机构调查，或引发省级媒体负面报道；决策程序不规范造成公司较大资产损失；内控评价发现的重要缺陷未得到整改；其他对公司声誉产生较大负面影响的情形，应考虑认定为重要缺陷。

除上述重大缺陷、重要缺陷之外的其他缺陷，为一般缺陷。

第四十六条 内控缺陷认定。内部审计部门或相关监督管理部门以日常监督和专项监督为基础，结合年度内控评价，对内控缺陷及其成因、表现形式和影响程度、改进情况等进行综合分析和全面复核后，提出认定意见，按照规定的权限和程序进行审核后予以最终认定，编制内控缺陷认定汇总表。

重大缺陷、重要缺陷由董事会最终予以认定。一般缺陷由公司或各单位自行认定。对于认定的重大缺陷或重要缺陷，各单位应当及时采取应对策略，切实将风险控制在可承受度之内。

第七章 内控缺陷认定底稿和评价报告的编制

第四十七条 内控缺陷认定底稿包含以下要素：

（一）被评价单位名称，即接受评价的单位或者项目的名

称。

（二）评价事项，即评价实施方案确定的评价事项。

（三）评价期间或者截止日期，即评价事项所属期间或者截止日期。

（四）评价人员及编制日期，即实施评价项目并编制底稿的人员及编制日期。

（五）缺陷事项描述，即简要描述事项的性质、金额、数量、发生时间、地点、方式等内容，以及相关依据。

（六）缺陷性质确定，即该缺陷属于内控设计方面的缺陷，

还是内控执行方面的缺陷。

（七）缺陷评价结论，即根据该缺陷对公司整体经营情况、

管理情况、财务状况的影响程度，判断该缺陷属于重大缺陷、重要缺陷还是一般缺陷。

（八）缺陷认定依据，即指出该内控缺陷认定的依据文件名称、文号、制度条文等。

（九）复核人员、复核意见及复核日期，即内控评价组组长或者其委托的有资格的评价人员对缺陷认定底稿的复核意见及实施复核的日期。

第四十八条 内控缺陷认定底稿要详细描述缺陷事项情况、制度依据并提出改进意见和建议。缺陷认定底稿的编写应做到：描述事实清楚、引用法规准确、评价证据充分、评价结论恰当。缺陷认定底稿应当附有评价证据，缺陷认定底稿与评价证据的对应关系，应当通过索引号来体现。评价证据对应多个缺陷认定底稿时，应当将评价证据附在与其关系最密切的缺

陷认定底稿后面，并在其他缺陷认定底稿上予以注明。

第四十九条 建立缺陷认定底稿质量交叉复核制度。评价工作组负责人应当对缺陷认定工作底稿进行严格审核，对其所认定的结果要与被评价单位进行充分沟通，被评价单位提出书面反馈意见，意见与缺陷认定底稿所述内容一致的，被评价单位应在缺陷工作底稿上签字，加盖被评价单位公章。

第五十条 内控评价组应当根据复核无误的评价工作底稿、缺陷认定底稿等，撰写评价报告，评价工作组负责人审核通过后，提交公司审计部负责人审核。

第五十一条 评价报告应当分别对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行说明，对评价过程、缺陷认定及整改情况、内控有效性的结论等内容作出披露。

第五十二条 评价报告具体内容包括：

（一）董事会对内控报告真实性的声明（对外提供时）。

（二）内控评价工作的总体情况。

（三）内控评价的依据。

（四）内控评价的范围。

（五）内控评价的程序和方法。

（六）内控缺陷及其认定情况。

（七）内控缺陷的整改情况及整改措施。

（八）内控有效性的结论。

第五十三条 公司审计部门应编制、审核内控缺陷认定汇总表，提出认定意见，以适当的形式向公司董事会或类似权力机构报告。重大、重要缺陷由董事会予以最终认定。

第五十四条 公司应建立内控缺陷整改机制，明确内部各管理层整改的职责分工，董事会负责重大缺陷的整改，接受监事会的监督；经理层负责重要缺陷的整改，接受董事会的监督。

第八章 内控评价信息化

第五十五条 各单位统一使用内控风险管理系统开展内控评价工作，报送内控缺陷，通过编号对内控缺陷的整改情况进行全程跟踪。

第五十六条 公司通过内控风险系统下发通知，在线驳回修改，在线提醒预警，实时监控工作进展，实时在线催办。

第九章 监督与激励

第五十七条 对于有关单位存在重大风险隐患、内控缺陷和违法违规等问题失察，或虽发现但没有及时报告、处理，造成重大资产损失或其他严重不良后果的，或因内控制度缺失，或未按内控制度执行，导致内控存在重大缺陷或企业利益遭受重大损失的，公司将按照公司违规经营投资责任追究相关管理规定追究相关单位和人员的管控责任。

第五十八条 内控自评、监督评价和专项审计工作完成后，公司根据内控自评、检查结果、日常风险管控情况、缺陷整改落实情况进行综合认定，认定结果纳入各单位关键业绩指标（KPI）体系考核。

第十章 附则

第五十九条 本办法由公司审计部负责解释、修订。第六十条 本办法自印发之日起施行。原《国家能源集团长源电力股份有限公司内部控制评价办法》（国长电制度〔2022〕177号）同时废止。

附件：内部控制评价流程图