长城军工：内部控制管理办法

安徽长城军工股份有限公司

内部控制管理办法

第一章 总 则第一条 为了加强和规范安徽长城军工股份有限公司（以下简称公司）内部控制管理工作，提高公司经营管理水平和风险防范能力，促进公司持续健康稳定发展，根据《中华人民共和国公司法》《中华人民共和国会计法》《中华人民共和国证券法》《上海证券交易所股票上市规则》《企业内部控制基本规范》《关于印发企业内部控制配套指引的通知》（财会〔2010〕11号）《关于印发<关于加强中央企业内部控制体系建设与监督工作的实施意见>的通知》（国资发监督规〔2019〕101号）等有关法律法规和规范，制定本办法。

第二条 本办法适用于公司及各子公司。第三条 本办法所称内部控制管理，是指通过建立组织机制、运用管理办法、实施操作程序与控制措施等方式，保障公司业务活动严格按照国家有关法律法规和公司内部各项规章制度合规有序运行，防范公司重大重要风险。

第四条 内部控制管理基本原则

（一）全面性原则。内部控制须贯穿决策、执行和监督全过程，有效覆盖公司各项业务和事项；

（二）重要性原则。内部控制须在全面风险管理的基

础上，关注重点领域、重点业务和关键环节；

（三）制衡性原则。内部控制须在公司治理结构、组织机构设置及权责分配、业务流程等方面相互制约、相互监督，同时兼顾运营效率；

（四）适应性原则。内部控制应当与运行规模、竞争状况和风险水平相适应，根据业务发展和管理需要持续改进内部控制制度，建立动态调整机制，防止制度缺失和流程缺陷；

（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

第五条 内部控制工作应涵盖公司所有的营运环节,包括但不限于:采购管理、销售管理、存货管理、预算管理、资金管理、重大投资管理、固定资产管理、合同管理、重大风险管控、财务报告、成本和费用控制、信息披露、人力资源管理和信息系统管理等，保证内部控制体系的完整性和有效性。

内部控制主要围绕以下要素进行实施：

（一）内部环境。设置治理结构、机构及权责分配，制定内部控制制度、人力资源政策、宣传公司文化等，是公司业务实施内部控制的基础；

（二）风险评估。及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略；

（三）控制活动。根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内；

（四）信息与沟通。及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通；

（五）内部监督。对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。

第二章 组织机构及职责第六条 内部控制管理组织机构包括党委、董事会、监事会、经理层、审计风控部门、各业务部门。

第七条 党委全面领导公司内部控制工作，对内部控制工作的战略性、系统性和全面性把关定向，并定期听取和审议公司内部控制及风险管理工作，以及重大内控缺陷和风险隐患排查问责情况汇报。

第八条 董事会对内部控制管理工作进行决策和全链条监管。指导并监督公司内部控制体系构建及有效运行，并授权公司经理层开展公司内部控制工作相关事项，每半年听取公司内部控制工作开展情况的汇报。对重大决策出现偏差或执行效果不佳的经营投资事项，及时组织开展内部控制有效性监督评价。

董事会审计委员会负责贯彻落实公司内部控制与重大风险防控相关决策部署；定期评估内部控制体系，确保其能够有效防范和发现潜在风险，并提出改进建议，推动公司内部控制体系的持续改进。

第九条 监事会负责监督公司内部控制体系是否健全有效，督促董事会、经理层及时纠正内部控制缺陷，对重大决策过程进行监督、审查，确保重大决策合法合规。

第十条 经理层负责统筹推动、组织协调公司日常内部控制管理工作，并对内部控制有效性向公司党委和董事会负责。

第十一条 审计风控部门是公司内部控制归口管理部门，其主要职责包括：

（一）负责统筹公司内部控制体系的建设及持续完善，按照内部控制评价标准识别各业务领域内控缺陷，建立健全公司内控风险点库，优化内控工作机制；

（二）结合公司经营状况和内、外部监督检查结果，对重要业务领域内部控制制度缺陷提出意见，对重大制度设计缺陷及时报告；

（三）负责开展公司内部控制日常监督检查工作；配齐配强专职人员，确保内控监督履职独立性和客观性。加强重要领域、重要业务、重要人员和关键环节的内控监督，推进内控责任向业务、向基层传导；

（四）负责组织指导公司内各单位开展内部控制自评价工作；

（五）负责组织开展对各子公司的内部控制体系监督评价；

（六）对各类监督检查发现的内控缺陷和风险隐患组织倒查，按照影响程度和情形，认定违规责任，开展责任

追究工作，并对涉嫌违纪违法问题，及时移送纪检机构或司法机关；

（七）办理内部控制管理其他有关工作。

第十二条 业务部门负责本部门业务领域内部控制管理工作，其主要职责包括：

（一）各业务部门基于“谁主管、谁负责”的原则，负责归口范围内具体管理制度、业务流程及标准的制定、培训、执行和缺陷整改；

（二）各业务部门负责归口范围内管理制度、业务流程风险点的识别工作，对照风险点深入分析风险动因、影响，制定应对措施，形成风险点清单；

（三）各业务部门负责基于部门及岗位职责、业务活动性质合理划分岗位权限，各关键环节严格执行定期轮岗、不相容岗位分离、授权审批等要求，形成相互监督的制衡机制；

（四）各业务部门就所辖范围内内部控制运行情况进行日常检查，开展自评价工作；

（五）各业务部门需配合审计风控部门开展内控监督检查，并及时完成内部控制缺陷整改工作；

（六）办理内部控制管理其他有关工作。

第三章 内部控制工作程序

第十三条 内部控制体系日常维护管理

（一）制度牵头管理部门应当在国家法律法规、行业政

策发生变化，公司战略、业务范围、组织机构、管理职责进行调整时，以及公司董事会和经理层提出要求时，统筹各单位及时修订公司内部各项制度规范和操作流程；

（二）各业务部门应当在国家法律法规、行业政策以及制度使用环境与条件等发生变化，或内控制度存在设计缺陷时，重新修订制度及流程；

（三）审计风控部门应根据内外部环境变化完善内部控制工作制度、指引及内部控制评价标准，建立并持续更新内控风险点库，并上报分管领导进行审核；

（四）运用信息技术加强内部控制，建立与业务管理相适应的信息系统，促进内部控制流程的标准化，减少或消除人为操纵因素。

第十四条 内部控制活动。结合风险评估结果，运用不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等控制措施，将风险控制在可承受度之内。

（一）不相容职务分离控制是指全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制；

（二）授权审批控制是指明确各岗位办理业务和事项的权限范围、审批程序和相应责任，公司各级管理人员应当在授权范围内行使职权和承担责任。对于重大的业务和事项，应当严格按照公司“三重一大”决策事项清单执行；

（三）会计系统控制是指严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。公司依法设置会计机构，配备会计从业人员；

（四）财产保护控制是指建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。公司须严格限制未经授权的人员接触和处置财产；

（五）实施全面预算管理制度，明确各职能单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束；

（六）建立运营情况分析制度，经营层应当综合运用生产、购销、投资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进；

（七）绩效考评控制是指建立绩效考评体系，将内部控制、风险管理等工作纳入子公司领导人员绩效考评和员工绩效考评，明确考评标准和奖惩措施，保证控制目标实现。

第十五条 内部控制评价。内部控制评价主要分为定期评价和不定期评价。定期评价按照责任主体划分为内部控制自评价和内部控制监督评价，开展频次为自评价每半年开展一次，监督评价每一年开展一次。

第十六条 审计风控部门制定内控自评价质量提升方

案，各业务部门参照内控自评价质量提升方案及内控评价标准对所辖范围内内部控制（包括管理制度、业务流程、管理标准）设计与执行缺陷开展自查，同时根据自评情况揭示内控缺陷，形成自评结果。

第十七条 审计风控部门通过现场检查等方式对各单位自评情况进行审核确认和再评价，在内控监督评价工作中对自评价结果进行核验。

第十八条 公司及各子公司结合重要性程度、风险等级对特定的业务活动范围内部控制设计与运行的有效性进行不定期评价。

第十九条 内部控制评价程序一般包括：组成评价工作组、制定评价工作方案、实施现场测试、缺陷认定、编制评价报告等。

第二十条 组成评价工作组。审计风控部门可以根据需要抽调公司及各子公司相关业务人员、聘请中介机构组成内部控制评价工作组，开展内部控制评价工作。

第二十一条 制定评价工作方案。内部控制评价工作组应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排等相关内容。

第二十二条 实施现场测试。内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，研究分析内部控制缺陷。

第二十三条 内控缺陷认定。内部控制评价工作组应从定量或定性等方面认定内控检查中发现的问题是否属于设计缺陷或执行缺陷。并综合考虑缺陷发生频次、造成损失或不良后果等因素，按影响程度，将缺陷划分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标；

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标；

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

存在下列情形之一，应当认定为内部控制设计缺陷：

（一）不能实现既定的控制目标；

（二）业务活动关键控制点设计偏离，关键控制点缺乏有效的控制措施；

（三）制度、标准与流程违背国家法律法规及上级单位有关规定或脱离实际；

（四）未合理权衡成本和效益的关系，导致成本效益失衡；

（五）弱化公司内部门之间的协调作用。

存在下列情形之一，应当认定为内部控制执行缺陷：

（一）制度、流程及标准未执行或未有效执行有关的控制措施；

（二）未按授权的权限执行；

（三）违规经营投资造成资产损失或产生不良后果的；

（四）无法提供已遵守内部控制的有效证据。

第二十四条 内部控制评价报告应当对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性结论等相关内容作出披露，并上报分管领导进行审核。年度内部控制评价报告经分管领导审核后提交公司党委进行审议、董事会审定。

内部控制评价报告中如有涉及到国家秘密、公司技术和商业秘密的，应当严格执行保密管理要求。

内部控制评价报告至少应当披露下列内容：

（一）董事会对内部控制报告真实性的声明；

（二）内部控制评价工作的总体情况；

（三）内部控制评价的依据、范围、程序和方法；

（四）内部控制缺陷及其认定情况；

（五）内部控制缺陷的自评整改情况；

（六）内部控制缺陷拟采取的整改措施；

（七）内部控制有效性的结论。

第二十五条 审计风控部门分析梳理内控自评价或监督评价过程中所认定的控制缺陷，印发整改通知单，将其纳入挂账销号台账持续跟进整改情况，以确保问题整改形成闭环。各单位收到整改通知单后应立即落实整改责任，定期反馈内控缺陷整改进展情况。

第二十六条 审计、风险监控、监督检查、巡视巡察等内外部监管过程中发现风险或内控缺陷，审计风控部门应及时向责任单位下发提示函，实时把控重大重要风险。各单位收到提示函后须一个月内反馈风险应对措施及风险防控情况。

第四章 内部控制监督与考核

第二十七条 内部控制监督。公司及子公司审计风控部门应对内控监管过程中发现的涉及自身的问题及薄弱环节，及时采取措施，进行纠偏、止损。

第二十八条 内部控制管理考核。审计风控部门负责协助考核管理部门制定考核标准，并通过对内部控制管理工作执行情况开展检查，核实管控成效情况，依据检查和核实的结果，提出考核意见。

第二十九条 管理约束。公司及子公司应对关键环节的执行人员进行培训，新人、新岗须培训合格后上岗。同一类型问题在同一环节12个月内出现2次及以上的，应当视为该环节操作人员履职能力不足；达到3次及以上的，应当同时视为领导管控不力。对在内部控制工作中执行不力、弄虚作假，以及逾期未完成问题整改、问题整改不到位或形式整改、纸面整改的责任单位及相关人员视情况给予批评教育、责令书面检查、通报批评、诫勉等问责处理。

第五章 附 则第三十条 本办法由审计风控部门负责解释。第三十一条 本办法自公司董事会审议通过之日起施行。

附件1

内部控制管理流程图

附件2

内部控制管理流程说明

发现风险或内控缺陷，下发

提示函

附件3

内部控制评价流程图

附件4

内部控制评价流程说明

相关文档：《内控缺陷表》