上海环境:内部控制评价制度
上海环境集团股份有限公司内部控制评价制度
(2023年10月修订)
第一章总则第一条为了引导和推动上海环境集团股份有限公司(以下简称“公司”)建立健全内部控制,提高公司内部控制与经营管理水平,促进公司健康可持续发展,为公司增加价值并提高公司运作效率,根据财政部等五部委颁布的《企业内部控制基本规范》、《企业内部控制配套指引》和上海证券交易所(以下简称“上交所”)颁布的《上海证券交易所上市公司自律监管指引第1号——规范运作》等有关法律、法规规定,制定本制度。
第二条本制度适用于公司、公司持股比例50%以上的绝对控股子公司和公司拥有实际控制权的相对控股子公司(以下简称“子公司”)。本制度所称被检查单位,特指公司各职能部门、事业部及所辖项目公司、直属公司以及上述机构相关责任人员;事业部特指环境设计院、生态事业部、环建事业部、固废事业部、危废事业部、水务事业部。
第三条本制度所称内部控制评价,主要分为三个层面的工作:
(一)管理层进行内部控制自查工作即内部控制自我评估;
(二)公司董事会审计委员会(以下简称“审计委员会”)授权公司审计部为执行内部控制检查监督工作的专门机构。审计部基于管理层的内部控制自我评估工作,对内部控制执行检查监督;
(三)基于上述(一)、(二)两方面,公司董事会应根据内部控制检查监督工作报告及相关信息,评价公司内部控制的建立和实施情况。公司审计委员会应形成年度内部控制自我评价报告草案并经审计委员会全体成员过半数同意后,报董事会审议。公司董事会在审议年度财务报告等事项的同时,应对公司年度内部控制自我评价报告形成决议并披露。
第四条公司董事会负责内部控制的建立健全和有效实施。审计委员会负责审查公司的内部控制,监督内部控制的评价工作。监事
会对董事会建立与实施内部控制进行监督。公司管理层负责组织实施内部控制的日常运行,并执行内部控制自我评估。第五条公司及各级子公司应将内部控制的实施情况纳入考评体系。第六条内部控制检查监督不能减轻管理层的责任,公司管理层对重大舞弊行为的发生承担责任。内部控制检查监督人员秉持职业谨慎执行了必要的程序,应对无法发现所有舞弊行为免责。
第二章内部控制自我评估的执行第七条内部控制评价应建立在内部控制自我评估机制基础上。第八条公司执行全面的内部控制自我评估。每年,各级子公司执行流程操作和控制活动的人员对所负责的内部控制活动的设计和执行有效性进行评价,填制内部控制自我评估问卷,会同本公司管理层声明书上报至上级公司(事业部)党群工作部(或其他相关部门)。上级公司(事业部)党群工作部(或其他相关部门)汇总本公司(事业部)及所辖项目公司内部控制自我评估中发现问题汇总表并牵头编制《内部控制工作总结报告》,会同本公司(事业部)管理层声明书一并上报至公司审计部。公司审计部汇总公司各职能部门、事业部和直属公司内部控制自我评估发现问题汇总表,编制公司《内部控制工作总结报告》报公司总裁审核后并签署管理层声明书。第九条内部控制自我评估必须有相应的样本支持。样本选择必须符合公司审计部的相关要求。
第十条内部控制自我评估问卷一式两份,一份在所属公司党群工作部(或其他相关部门)存档,另一份由流程负责部门存档。内控自我评估发现问题汇总和管理层声明书一式两份,一份在所属公司党群工作部(或其他相关部门)存档,一份上交上级公司(事业部)审计部(或其他相关部门)存档。内部控制自我评估的支持文档由各流程负责部门保存,保存时间不少于一年。
第十一条各级公司管理层负责执行内部控制自我评估工作,并对内部控制自我评估问卷填制的准确性、恰当性、真实性负责。
第三章内部控制检查监督工作方案第十二条公司审计部应当根据国家法律法规要求,公司经营特点,发展目标及年度工作重点,进行内部控制检查监督工作,制定年度内部控制检查监督工作计划,作为评价内部控制运行情况的依据。
第十三条公司审计部应当在每年一季度向审计委员会、董事会上报本年度的内部控制检查监督工作计划。第十四条如有购买或者出售资产、对外投资、关联交易、从事衍生品交易、提供财务资助、提供担保、募集资金使用、委托理财等重大事项,应将其作为内部控制检查监督工作方案的重点关注事项。
第十五条在制定内部控制检查监督工作计划时,内部审计人员应当合理关注可能存在的舞弊风险。
第四章内部控制检查监督工作执行
第十六条每年,公司审计部根据管理层的内部控制自我评估结果对内部控制执行独立的检查监督工作。
第十七条公司审计部应当在实施内部控制检查监督工作前向被检查单位送达通知书。被检查单位接到通知书后,应当做好接受检查的各项准备工作。
第十八条子公司与公司各职能部门应当对内部控制检查监督工作进行配合,保证工作的顺利开展。
第十九条公司审计部对被检查单位内部控制进行检查,应当至少涉及下列内容:
(一)被检查单位内部控制是否在风险评估的基础上涵盖了公司
层面的风险和所有重要的业务流程层面的风险。
(二)被检查单位内部控制设计的方法是否适当。
(三)被检查单位内部控制设计和运行的组织是否有效,人员配
备、职责分工和授权是否合理。
(四)被检查单位是否按要求开展内部控制自我评估工作并上报
自我评估结果。
(五)被检查单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。
(六)被检查单位在检查期间是否出现过重大风险事故及是否已
采取必要的补救措施等。
第二十条内部审计人员应深入调查、了解被检查单位的情况,采用恰当的测试方法,对其经营活动及内部控制的适当性和有效性进行测试。
第二十一条内部审计人员应将检查程序的执行过程及收集的证据,记录在工作底稿中。
第二十二条公司审计部关于内部控制检查监督工作的资料,包括内部控制检查监督工作报告、工作底稿及相关资料,保存时间不少于十年。
第二十三条对于因业务流程外包等原因造成公司无法评价特定业务、特定流程的内部控制有效性的情形,审计部应当充分考虑该项业务流程及其相关控制的重要性,确定其对整体控制目标有效性评价的影响。
第五章内部控制缺陷认定以及评价
第二十四条公司在内部控制检查监督工作中,应对发现的内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。
第二十五条公司对内部控制评价过程中发现的问题,应当从定量和定性等方面进行衡量,判断是否构成内部控制缺陷。
第二十六条公司应当根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷(也称实质性漏洞,以下统称重大缺陷)。
第二十七条公司判断和认定内部控制缺陷是否构成重大缺陷,
应当考虑下列因素:
(一)影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷;
(二)针对同一细化控制目标所采取的不同控制活动之间的相互作用;
(三)针对同一细化控制目标是否存在其他补偿性控制活动。
第六章内部控制检查监督工作报告与跟踪
第二十八条公司内部审计部人员应在实施必要的检查程序后根据评估结果和经核实的证据,确认内部控制缺陷。对于内部控制检查监督中发现的问题,由公司审计部向被检查单位出具《整改通知书》。
第二十九条被检查单位负责落实整改情况,在收到《整改通知书》之日起2个月内,将整改落实情况逐级书面报告公司审计部。公司审计部根据需要,跟踪检查整改情况,并按要求向管理层报告整改情况。
第三十条被检查单位基于成本或其他考虑,决定对内部控制检查监督中发现的问题不采取纠正措施,应当做出书面解释。
第三十一条公司审计部应将检查结果以及被检查单位书面解释作不采取纠正措施的情况向公司管理层报告。
第三十二条公司审计部在内部控制的检查监督中,如发现内部控制存在一个或一个以上重大缺陷或存在重大风险,应及时向审计委员会报告。由审计委员会根据审计部提交的内部审计报告及相关资料,对公司内部控制有效性出具书面的评估意见,并向董事会报告。公司董事会应根据上交所的监管要求报告该事项。经上交所认定,公司董事会应及时发布公告。公司应在公告中说明内部控制出现缺陷的环节、后果、相关责任追究以及拟采取的补救措施。
第三十三条公司应当将内部控制检查监督结果作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。
第三十四条公司管理层和董事会应当根据内部控制检查监督结论对相关单位、部门或人员实施适当的奖励和惩戒。
第七章内部控制自我评价报告及其披露
第三十五条公司审计委员会根据公司审计部年度的内部控制检查监督结果及其他相关信息,评价公司内部控制的建立和实施情况,草拟公司年度内部控制自我评价报告。
第三十六条公司董事会应在审议公司年度财务报告等事项的同时,对公司年度内部控制自我评价报告形成决议。
董事会应在公司年度财务报告披露的同时,披露公司年度内部控制自我评价报告,会计师事务所应当参照主管部门相关规定对公司内部控制评价报告进行核实评价。
第八章附则
第三十七条本制度未尽事宜,按有关法律、法规和规范性文件及《公司章程》的规定执行。
第三十八条本制度经董事会审议通过后实施。
第三十九条本制度由公司董事会负责解释和修订。