金瑞矿业:内部控制评价实施细则(2025年2月修订)
青海金瑞矿业发展股份有限公司
内部控制评价实施细则
第一章 总则第一条 为了确保青海金瑞矿业发展股份有限公司(以下简称“公司”)内部控制体系的有效运行,提高公司内部控制与经营管理水平,促进公司健康可持续发展,为公司增加价值并提高公司运作效率,根据《企业内部控制基本规范》、《企业内部控制评价指引》等有关法规规定,并结合公司的具体情况特制定本实施细则。
第二条 本细则适用于公司及所属各公司。第三条 公司旨在通过本细则明确公司内部控制评价、评估汇总和报告的工作流程和管理体系,明确内部控制评价工作的职责体系,将内部控制评价工作落实到公司的各个层面,实现对内部控制体系有效性的持续监控。
第二章 内部控制评价的组织机构和职责安排第四条 公司建立董事会负责制的内部控制评价组织机构。形成董事会、监事会、经理层和内部控制评价机构多层次、全方位的内部控制评价体系。
董事会对内部控制评价承担最终责任。董事会对内部控制评价报告的真实性负责。
第五条 董事会授权审计委员会负责内部控制评价的组织、领导、监督工作。
董事会授权公司内审与法务部按照审计委员会关于内部控制评价的工作要求,负责公司内部控制评价的具体组织实施工作。
第六条 公司成立以公司董事长牵头的公司内部控制评价领导小组,具体领导实施公司内部控制评价工作。内审与法务部牵头成立内部控制评价工作小组,各公司成立内部控制评价业务小组,并在内部控制评价工作小组的领导下开展工作,接受业务指导。
第七条 公司内部控制评价领导小组的组成情况如下:
组 长:董事长
副 组 长:董事会审计委员会主任委员、公司总经理
成 员:各业务分管副总经理。
第八条 内部控制评价工作小组组成情况如下:
组 长:内审与法务部负责人。
副组长:各业务部门负责人。
成 员:各业务部门骨干。
第九条 内部控制评价业务小组的组成情况如下:
组 长:各公司负责人。
内控联络员:各公司内控业务负责人。第十条 内部控制评价的参与主体的主要职责:
(一)公司董事会负责对内部控制的有效性进行全面评价,形成结论,出具报告,并对内控评价报告的真实性负责。
(二)审计委员会负责内部控制评价的组织、领导、监督工作,评估、审议批准内部控制评价报告。
(三)公司监事会审议内部控制评价报告,监督内控缺陷整改执行情况。
(四)公司管理层负责为内部控制评价提供必要的行政资源,协调和解决内部控制评价过程中出现的重大事项,听取内部控制评价的工作安排、工作进展和评价报告,及时掌握公司日常内部控制风险监控结果,组织实施缺陷整改工作。
(五)内控评价工作小组组织实施内部控制独立测试工作,并完成评价工作底稿。向董事会提交内部控制评价报告。
(六)内部控制评价业务小组主要负责实施各业务单位的内部控制自评工作,并填制内部控制自评问卷,上报内审与法务部内部控制评价工作小组。对形成的缺陷整改报告进行积极的落实和修改。
第三章 制定内部控制评价工作方案第十一条 内部控制评价工作方案每年末由内审与法务部牵头发起内部控制评价工作。内审与法务部应当根据国家法律法规要求、公司经营特点、发展目标及年度工作重点制定内部控制评价工作方案,其中包括公司各职能部门对内控设计有效性和运行有效性的自我评价工作计划和内控评价小组的独立测试计划。
内部控制评价工作方案应当明确评价目的、范围、组织、标准、方法、进度安排和人员预算等内容,报董事会审计委员会审批通过。
第十二条 组建内部控制评价小组
内审与法务部应当根据经董事会批准的评价方案,组成内部控制评价小组,具体实施内部控制评价工作。评价小组可以吸收公司职能部门熟悉情况的业务骨干参加。评价小组成员对本部门的内部控制评价工作应当实行回避制度。
第四章 执行内部控制评价
第十三条 内部控制评价的内容
内部控制评价包含两大部分:一是公司所属各公司的内控自评;二是内控评价小组的独立测试。
各公司的内控自评主要是由各公司对内部控制有效性进行自我评估的过程。
内审与法务部负责组织协调各公司进行内控自评并在各公司进行内控自评的过程中提供业务指导。
内控评价小组独立测试是由内控评价小组综合运用访谈、测试和比较分析等方法,广泛收集内部控制设计和运行是否有效的证据,研究分析内部控制缺陷,对内部控制的有效性进行评价的过程。
内部控制独立测试由内审与法务部牵头组成的内控评价小组执行,各公司必须接受业务指导、予以配合和协助。
第十四条 内部控制评价的对象
公司内部控制评价的对象为相关内部控制制度中记录的涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的所有内部控制活动及内审与法务部依据全面性、重要性和客观性的原则确定的公司合并报表范围内其他业务实体的内部控制活动。
控制目标是指公司为达到资源合理组织、整合与利用,并规避及防范经营业务中可能的风险所须达到的目标。
控制活动根据其发生的时点,可分为预防型控制和检查型控制两大类,其中:
(一)预防型控制是事前控制,是指采取措施以预防控制目标未能实现的情况。
(二)检查型控制是事后控制,是指采取措施以发现和纠正控制目标未能实现的情况。
控制活动根据其操作方式,又可分为手工控制和系统控制两大类,其中:
(一)手工控制是通过人工操作(包括人工对系统的操作)来执行的控制活动。手工控制的有效性依赖于执行控制活动的执行人的胜任能力和尽责程度。培训和专业经验的培养对于手工控制的执行人非常重要,因为手工控制可能由于执行人缺乏培训和专业经验而导致控制活动未得到持续、有效地执行。
(二)系统控制是完全基于系统的操作和运行、不介入任何人工干预来执行的控制活动。系统控制的有效性依赖于有效的通用计算机控制环境。
第十五条 内部控制评价的结论
内部控制评价的结论将分为设计有效性和运行有效性两个方面。
(一)设计有效性
设计有效性是指为实现控制目标所必需设置的控制措施设计适当并投入实施。
设计有效性的评估结果分为四种:有效、部分有效、
无效和不适用。
1.有效:控制活动的设计能够完全满足控制目标。
2.部分有效:控制活动的设计不能完全满足(即部分满足)控制目标。
3.无效:未针对控制目标设计相关的控制活动。
4.不适用:无控制目标相关的业务事项。
(二)运行有效性
运行有效性是在控制活动设计有效的前提下,得到持续有效的运行。
运行有效性的评估结果分为三种:有效、无效和不适用。
1.有效:控制活动得到持续有效的执行。
2.无效:控制活动未持续有效地执行,或者管理层突破规定的权限执行控制活动。
3.不适用:评估期间或测试期间内无相关业务事项发生,故该控制活动没有发生。
(三)控制缺陷类型
与内部控制的设计有效性和运行有效性相应,内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,公司现有控制措施设计不适当,即使正常运行也难以完全实现控制目标。
运行缺陷是指在内部控制设计有效的前提下,没有按设计意图持续有效运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制,导致控制目标不能完全实现。
第十六条 开展内部控制自评
内审与法务部根据年度内部控制评价工作方案的时间安排,发布统一通知启动公司年度内部控制自评工作。
(一)发起内部控制自我评估
每年,内部控制自评工作启动后,内审与法务部向各公司下发《内部控制自我评估表》。
(二)执行内部控制自我评估
各公司接到《内部控制自我评估表》后,组织本公司内部控制评价业务小组针对本公司负责的控制活动,根据其日常工作的情况,确认内部控制活动是否发生变化,并对控制活动的设计有效性和运行有效性进行自我评估,并将填制完成的《内部控制自我评估表》提交给相关公司负责人(内部控制评价业务小组组长)审核确认。
各公司内部控制评价业务小组在进行内部控制自我评估时,若发现属于其他公司负责的控制活动,须及时与内审与法务部联系,告知不属于本公司负责的控制活动,由内审与法务部核实后再联系相应的公司。
内审与法务部应检查以确保各流程《内部控制自我评
估表》填写的完整性。
内部控制自评工作开展过程中,各公司须按要求及时提交《内部控制自我评估表》,内审与法务部对《内部控制自我评估表》的提交情况进行跟踪统计,对逾期未提交《内部控制自我评估表》或未按要求填写《内部控制自我评估表》的公司由内审与法务部进行考核。
第十七条 控制缺陷和行动计划
在自评工作中,设计有效性和运行有效性评估结果为“部分有效”或“无效”时,针对内部控制自评过程中发现的内部控制缺陷,各公司需要在内部(内部控制评价业务小组)开展讨论,拟定整改计划,并细分至具体整改任务,包括落实到具体整改任务责任人、预计完成时间等,在《内部控制自我评估表》“说明”列中记录控制缺陷的相关信息,包括控制缺陷描述、提取的样本信息、控制缺陷种类和问题初步改善方案。《内部控制自我评估表》经过相关负责人(内部控制评价业务小组组长)审批确认后,交内审与法务部汇总。
如整改计划和整改任务涉及多个部门而无法由单部门单独确定时,该部门应及时与内审与法务部进行沟通,在内审与法务部协调下通过研讨会确定跨部门控制缺陷的整改计划,落实整改任务。
各公司的内控缺陷整改计划制订后,由本公司负责人
审核报分管领导审批通过后,下发执行整改。”
各公司负责人(内部控制评价业务小组组长)应定期督促、检查本部门缺陷整改进度,填写整改进度自查表,按要求报内审与法务部。
内审与法务部对整改结果进行核查和确认,并将整改进度和整改状态填写至《整改进度跟踪表》,交公司领导审阅。
第十八条 执行内部控制独立测试
每年,各公司完成内部控制自我评估工作后,内控自评工作小组查看本公司报的《内部控制自我评估表》中的内部控制活动是否发生变化,内控自评工作组对于各流程中发生变化的内部控制活动进行设计有效性评估,对于未发生变化的内部控制活动直接进行执行有效性评估。
对于控制活动发生变化的流程,内控评价小组对变化后的控制活动进行有效性评估确认有效后,由内审与法务部将变更后的控制活动更新至内部控制手册相应章节。
(一)设计有效性的评价方法
设计有效性的评估方法通常包括访谈和穿行测试。
1.访谈。访谈的主要目的是通过与相关人员进行访谈,了解各业务流程风险相关的控制措施的更新状况,主要步骤包括:
(1)了解相关各公司的背景资料,例如部门设置,职
责分工,基础业务说明,业务政策和历史稽核信息;
(2)事先阅读风险、控制目标及其对应的控制活动;
(3)按业务的流程顺序,列出访谈人员名单和访谈问题清单;
(4)在每次访谈前,向访谈人简要描述本次访谈的内容和目的;
(5)根据访谈问题清单开展访谈,初步了解业务流程和控制措施;
(6)对于访谈问题清单以外的一些发现点,可以当场与受访人员深入研究;
(7)访谈完毕后,可以根据访谈内容做简要汇总,将访谈中获得的控制措施与控制目标联系起来,填入工作底稿;
(8)列出所需资料清单,并向被访人员索取资料和代表性业务样本。
2.穿行测试。内控评价小组成员对每一类交易选择一笔代表性业务,取得从业务的发起到结束的相关资料和单据,验证相关控制活动是否投入实施,控制活动的描述是否正确,是否能充分实现控制目标。
如果设计有效性评估结果为有效,则继续进行运行有效性测试,并保留一份代表性样本支持性文件作为审计证据存档。
如果设计有效性评估结果为部分有效或无效,具体行动措施参见“第十七条控制缺陷和行动计划”。
(二)运行有效性的测试方法
控制活动的运行有效性主要通过抽样测试的方法来获取相关结论。若控制活动设计有效,则进一步根据控制活动发生的频率确定样本量,从确定的抽样总体中抽取样本,对控制活动的执行情况进行测试,进而对控制活动的运行有效性作出评价。
1.运行有效性测试样本量的确定
手工控制。手工控制的运行有效性测试样本量根据控制活动发生的频率确定。控制活动频率包括突发的、每日多次、每天、每周、每两周、每月、每季度、每半年、每年等。根据控制活动的类型和发生频率,可参考以下最低标准样本量,对不同的控制活动进行内部控制运行有效性测试。
(1)频率确定的控制活动的最低标准样本量
(2)频率不确定的控制活动的最低标准样本量
系统控制。系统控制的运行有效性选取一个样本进行测试。
2.运行有效性测试的执行
控制活动类型包括:预防型控制/检查型控制、手工/系统控制。根据不同类型的控制活动,内控评价小组组员可考虑采用不同的审计测试程序。内控评价小组组员可参考事先设定的审计测试程序执行,也可根据实际情况适时更新审计测试程序。
第十九条 内部控制独立测试工作底稿
内控评价小组组员在内部控制测试底稿中应详细记录样本编号、抽样日期、描述所见,并判断控制活动是否持续运行有效,并将测试底稿归档保存。编制的测试底稿必须经过内部控制评价公司负责人审核。
内控评价小组组员完成内部控制独立测试后,应汇总所有的控制活动测试中各职能部门的自评结果与内控评价小组独立测试结果的差异,形成内部控制自我评估及独立测试结果差异汇总表,并和相关部门进行及时沟通,讨论
理解上的差异并提出建议。
第二十条 控制缺陷和行动计划当设计有效性的评估结果为“部分有效”或“无效”,或者当运行有效性的评估结果为“无效”时,内控评价小组组员应提出控制缺陷,对发现的控制缺陷提供相关的整改建议,并向相关单位发送《控制缺陷整改通知书》,及时沟通以确认控制缺陷并讨论确定整改建议。
本公司根据整改建议,经过内部讨论一致确定整改计划并细分至整改任务,包括落实整改责任人、整改任务的优先顺序、预计完成时间等,填写完整《控制缺陷整改通知书》,经过本公司负责人审批确认后,书面反馈至公司内审与法务部汇总。
各公司的内控缺陷整改计划制订后,由本公司负责人审核报分管领导审批通过后,下发执行整改。
各公司负责人(内部控制评价业务小组组长)应定期督促、检查本公司缺陷整改进度,填写整改进度自查表,按要求报内审与法务部。
内审与法务部对整改结果进行核查和确认,并将整改进度和整改状态填写至《整改进度跟踪表》,交公司领导审阅。
第二十一条 内部控制评价工作考评
公司年度内控评价工作将纳入各公司年度绩效考核指
标,由内审与法务部根据各公司内控评价工作情况及评价结果提出奖惩建议。
第五章 内部控制缺陷的认定公司对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内审与法务部进行综合汇总分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
第二十二条 内部控制缺陷的认定程序内审与法务部应当根据各公司上报的《内部控制自我评估表》及内控评价小组独立测试发现的内部控制缺陷编制《内部控制缺陷认定汇总表》,结合内部控制缺陷及其持续整改情况对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,按照以下标准提出认定意见。
第二十三条 内部控制缺陷的认定标准内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷:
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离
控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
内审与法务部按照定量及定性的标准,对内部控制评价过程中发现的内部控制缺陷进行认定。
对于财务报告内部控制缺陷,通过定量的方式予以确定。由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。内审与法务部借鉴公司财务报表重要性水平来确定财务报告内部控制缺陷的定量认定标准。
对于非财务报告内部控制缺陷,综合采用定量或定性的标准来对内部控制缺陷进行认定。
定量:根据缺陷可能造成直接财产损失的绝对金额制定,或缺陷可能造成的直接损失占本企业资产、销售收入或利润等的比率确定。
| 评价指标 | 缺陷分类 | ||
| 评价指标 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 对税前利润的影响 | ≥6% | ≥3%且﹤6% | ﹤3% |
| 对销售收入的影响 | 销售收入≥0.5% | 销售收入≥0.1%且﹤0.5% | 销售收入﹤0.1% |
| 现金流影响 | 影响经营净现金流≥5% | 影响经营净现金流≥1%且﹤5% | 影响经营净现金流﹤1% |
| 财务错报 | 税前利润≥6% 销售收入≥0.5%净资产≥1%取三者中的最低值 | 税前利润≥3%且﹤6%销售收入≥0.1%且﹤0.5%净资产≥0.5%且﹤1%取三者中的最低值 | 税前利润﹤3% 销售收入﹤0.1%净资产﹤0.5%取三者中的最低值 |
| 财务重要性水平 | 税前利润≥6 销售收入≥0.5%净资产≥1% | 税前利润≥3%且﹤6%销售收入≥0.1%且﹤0.5%净资产≥0.5%且﹤1% | 税前利润﹤3%销售收入﹤0.1%净资产﹤0.5% |
| 生产损失 | 税前利润≥6%净资产≥1%取二者中的最低值 | 税前利润≥3%且﹤6%净资产≥0.5%且﹤1%取二者中的最低值 | 税前利润﹤3%净资产﹤0.5%取二者中的最低值 |
| 合法合规 | 生产经营活动违反国家各项法律法规,存在严重法律风险 | 生产经营活动违反国家各项法律法规,存在一定法律风险 | 生产经营活动违反国家各项法律法规,存在轻微法律风险 |
| 形象/商誉 | 媒体负面新闻频现,影响程度严重 | 媒体负面新闻偶尔出现,影响程度较重 | 媒体负面新闻偶尔出现,影响程度一般或轻微 |
| 公司持续经营 | 严重影响公司可持续经营,或导致公司无法可持续经营 | 公司持续经营发生可接受期限的中断,但该中断对公司整体经营影响 | 对公司持续经营影响一般或轻微 |
| 舞弊 | 发生管理层舞弊行为,或其他员工发生严重舞弊行为 | 其他员工发生较严重舞弊行为 | 其他员工发生轻微舞弊行为 |
| 资产安全或资产损失 | 净资产≥1% | 净资产≥0.5%且﹤1% | 净资产﹤0.5% |
定性:根据缺陷潜在负面影响的性质、范围等因素确定。考虑因素见下表:
| 缺陷分类 | 造成不利影响的可能性 | 且/或 | 影响的严重程度 |
| 重大缺陷 | 可能或很可能 | 且 | 严重影响 (1)导致重大的运营效率低下或失效的缺陷; (2)与相关法规、公司规程或 |
| 标准操作程序严重不符,且缺乏有效的补偿性控制的缺陷; (3)致使重大资产的安全性无法得到充分保障(包括信息与资料安全)的缺陷; (4)与财务相关的,会导致重要科目的系统性差错的缺陷。 | |||
| 重要缺陷 | 可能或很可能 | 且 | 介于重大缺陷和一般缺陷之间(1)在测试中发现的有可能对日常经营业务的效率和效果产生影响的缺陷; (2)对公司的流程操作缺乏定期的系统性评估; (3)可能影响资产的安全性保障的有待改进的领域。 |
| 一般缺陷 | 极小可能 | 或 | 一般 (1)在测试中发现的仅有较小可能对日常经营业务的效率和效果产生较小影响或不产生影响的缺陷; (2)对重要的文档的管理能够有所增强的缺陷; |
(3)整改后可以使业务流程、
控制或运营、资产安全保管得到提高的缺陷。
第二十四条 重大内部控制缺陷的认定对于重大内部控制缺陷应提交董事会予以最终认定。公司对于内部控制评价结果中认定的重大缺陷,应当及时采取应对策略,必要时还应追究有关部门或相关人员的责任。
第六章 内部控制评价报告第二十五条 内部控制评价报告的编制内审与法务部在协调各公司完成内部控制自我评估工作及内控评价小组完成独立测试工作后,应结合内部控制评价工作底稿和内部控制缺陷汇总表,形成书面的《内部控制评价报告》,每年呈交公司董事会审阅。
《内部控制评价报告》应包括但不限于以下重要内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
(九)其它。
内审与法务部还应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第二十六条 内部控制评价报告的批准和对外披露
董事会审核批准内审与法务部上报的年度内部控制自我评估报告及其相关支持信息。公司董事会应在审议年度财务报告等事项的同时,对公司内部控制自我评估报告形成决议。
董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。
第七章 附则
第二十七条 本办法由公司内审与法务部负责解释。
第二十八条 本办法经董事会审议通过,自发布之日起实施。