山西杏花村汾酒厂股份有限公司

内部控制评价管理办法

第一章 总则

第一条为建立山西杏花村汾酒厂股份有限公司（以下简称“公司”）内控运行长

效机制，提升内控管理水平，提高内控执行力，进一步完善内控体系，根据《企业内部

控制基本规范》、《企业内部控制配套指引》等法律法规，特制定本办法。

第二条内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调

查、测试、分析和评估等系统性活动。其包括过程评价和结果评价。过程评价是对内部

控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系

要素的评价。结果评价是对内部控制主要目标实现程度的评价。

第三条 公司内部控制评价的目标主要包括：

（一）促进公司遵守国家法律法规、证监会及相关监管机构的监管要求。

（二）促进公司提高风险管理水平，保证发展战略和经营目标的实现。

（三）促进公司增强业务、财务和管理信息的真实性、完整性和及时性。

（四）促进公司各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，

确保内部控制体系得到有效运行。

（五）促进公司在出现业务创新、机构重组及新设等重大变化时，及时有效地评估

和控制可能出现的风险。

第四条 公司内部控制管理评价根据充分性、合规性、有效性和适宜性要求，注重

过程控制、结果考核、过失弥补三个环节，从以下方面进行：

（一）过程和风险是否已被充分识别。

（二）过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。

（三）控制措施是否有效。

（四）控制措施是否适宜。

第五条 公司内部控制评价遵循以下原则：

（一）全面性原则。评价范围覆盖公司内部控制活动的全过程及所有的部门和岗位。

（二）统一性原则。评价的准则、范围、程序和方法等保持一致，确保评价过程的

准确及评价结果的客观和可比。

（三）独立性原则。评价由内控管理委员会或内控合规部门独立进行。

1

（四）公正性原则。评价以事实为基础，以法律法规、监管要求为准则，客观公正，

实事求是。

（五）重要性原则。评价依据风险和控制的重要性确定重点，关注重点区域和重点

业务。

（六）及时性原则。评价按照规定的时间间隔持续进行，当经营管理环境发生重大

变化时，及时重新评价。

第六条 内部控制评价的主体是公司内部控制评价的实施者，主要是公司设立的内

控管理委员会，负责评价全公司内部控制总体执行情况。

第七条 内部控制评价的客体是公司内部控制评价的对象，包括机构单元及业务单

元。

（一）机构单元是指公司设立的授权经营的分支机构，包括分、子公司。

（二）业务单元是指公司依法开展的生产单位和保障业务持续经营的职能部门。

（三）机构单元与业务单元的内部控制要素。分别是内部控制环境、风险识别与评

估、内部控制措施、信息交流与反馈、监督评价与纠正。

第八条 本办法适用于股份公司各部门、各分子公司。

第二章 评价内容

第一节 内部控制环境

第九条 内部控制环境是指公司内部控制意识，以及与之相关的行为、政策和程序。

公司内部控制环境评价内容包括：组织机构、企业文化、人力资源等。

第十条 组织机构。公司各部门之间、公司与各分子公司之间要建立分工合理、职

责明确、报告关系清晰的组织结构。明确所有与风险和内部控制有关的部门、岗位、人

员的职责和权限。重点关注：

（一）组织机构的设立是否满足本公司业务运营及管理的需要；

（二）各专项业务职责是否清晰、权责是否明确、报告关系是否顺畅；

（三）岗位分离措施是否正确并得到严格执行；

第十一条 企业文化。公司各部门、各分、子公司是否按照公司的要求向员工正确

传达并广泛宣传遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险

意识；是否在工作中不断提高员工的职业道德规范水准，规范员工的职业行为。

第十二条 人力资源。人力资源部门应完善人力资源政策和程序，确保与风险和内

2

部控制有关人员具备相应的能力和意识。这些政策包括：

（一）与风险和内部控制有关人员的适任条件得到严格执行；

（二）公司各项激励奖惩措施是否得到执行；

（三）是否严格执行员工引进、退出、选拔、专业技术职务管理处罚等人员适用规

定；

（四）各项薪酬、福利、绩效考核政策是否正确执行。

第二节 风险识别与评估

第十三条 风险识别与评估。

各部门、各分、子公司是否严格执行以书面程序，持续对各类风险进行有效的识别

和评估。公司面临的风险主要包括信用风险、市场风险、操作风险、流动性风险、法律

风险及声誉风险等。

第十四条 各部门、各分、子公司根据法律法规、监管要求及公司内部控制制度确

定风险是否可以接受，以确定是否进一步采取措施。对识别的可接受风险是否进行定期

评审；对不可接受风险是否及时制定相应的控制措施。

第十五条 各部门、各分、子公司应对环境和条件发生变化的风险进行再识别和再

评估，应根据更新的法律法规和监管要求相应更新风险控制措施，并及时传达给相关部

门和员工。

第三节 内部控制措施

第十六条 内部控制措施包括运行控制、计算机系统环境下的控制和应急准备与处

置。

第十七条 各部门、各分、子公司依照法律法规对各项业务和管理活动采取控制措

施。

第十八条 计算机系统环境下的控制评价。

对计算机信息系统硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、

安全和使用实施控制，确保信息的完整性、安全性和可用性，针对信息安全管理体系进

行评价。

第十九条 应急准备与处置评价。对意外事件和紧急情况可能发生时的应急处置预

案和程序进行评价。

（一）是否定期检查、维护应急的设施、设备和系统。

3

（二）应急预案是否与意外事件或紧急情况发生相适应。

第四节 信息交流与反馈

第二十条 信息交流与反馈。公司各部门、各分、子公司应保持通畅的信息交流与

沟通程序，尤其对财务、管理、业务、重大事件和市场信息等相关信息的识别、收集、

处理、交流、沟通、反馈的渠道和方式要按照法律法规及公司相关规定保持通畅。

第二十一条 公司各部门、各分、子公司应识别其内部和外部的风险相关方，建立

与这些相关方进行信息交流的机制，确保：

（一）所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序

（二）险情、事故发生时，相关信息能得到及时报告和有效沟通。

（三）及时、真实、完整地向管理层、监管机构报告。

第二十二条 信息交流与沟通应考虑信息的安全性和保密性要求，相关信息报告、

发布、披露应该经过授权。

第二十三 条为保持信息交流沟通的可追溯性，应保持相关信息交流与沟通的记

录。

第二十四条 各部门、各分、子公司应该按照公司要求保持信息交流与反馈，包括：

（一）按照公司要求对内部控制体系及相互作用进行描述。

（二）关键岗位及其职责与权限。

（三）不可接受风险及其预防和控制措施。

（四）控制程序、作业指导、方案和其他内部文件。

第二十五条 文件控制。公司各部门、各分、子公司保持书面程序，确保公司内部

控制体系所要求的文件满足下列要求：

（一）易于查询。

（二）实施前得到授权人批准。

（三）所有相关岗位都能得到有效版本。

（四）及时识别、处置外来文件并进行标识，必要时转化为内部文件。

（五）留存的档案性文件和资料应予适当标识。

第二十六条 记录控制。各部门、各分、子公司保持书面程序，规定内部控制相关

活动中所涉及记录的标识、生成、储存、保护、检索、保存期限和处置。

记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证

4

据，并可追溯到相关的活动。

第五节 监督评价与纠正

第二十七条 内部控制绩效监测。

公司各部门、各分、子公司应以书面程序，确保各项内部控制措施得到有效执行，

日常内控管理工作得到正常开展，内控运行自我测试检查及各项内控目标得到有效完

成。

第二十八条 违规、险情、事故处置和纠正及预防措施。

公司各部门、各分、子公司应保持书面程序，对违规、险情、事故的发现、报告、

处置和纠正及预防措施作出规定：

（一）违规、险情、事故情况应及时报告，必要时，可以越级报告。

（二）及时处置违规、险情、事故。

（三）制定纠正与预防措施，防止违规、险情、事故的发生和再发生。

（四）对发生的险情和事故，应进行责任追究。

第二十九条 内部控制体系评价。

公司各部门、各分、子公司应建立并保持包括评价目的、准则、范围、频率、方法

及职责要求的书面程序，确保内部控制体系的充分性、合规性、有效性和适宜性。

第三十条 管理评审评价。

公司各部门、各分、子公司应采取措施保证定期对本部门的内部控制状况进行评审，

确保体系得到持续、有效的改进并落实。内容包含以下几个方面：

（一）内部控制体系评价的结果。

（二）内部控制政策执行情况和内部控制目标实现情况。

（三）对内部控制体系有重要影响的外部信息，如法律、法规的重大变化。

（四）组织结构的重大调整。

（五）事故和险情以及重大纠正和预防措施的状况。

（六）以往管理评审的跟踪情况。

（七）内部控制体系改进的建议。

（八）内部控制体系及其过程的改进。

（九）内部控制政策、目标的变更。

（十）与内部控制有关资源的需求。

5

第三章 评价程序及实施方法

第三十一条 评价程序。内部控制评价程序包括评价立项、评价准备、评价实施、

评价报告形成和评价反馈等步骤。

第三十二条 内部控制评价的立项。

（一）评价部门确定现场评价项目时，不再对该项目所涉及的内部审计项目进行立

项。

（二）评价部门确定对某被评价单位进行整体内部控制评价或专门立项开展特定内

部控制评价时，应当将该评价项目列入年度评价计划。

第三十三条 评价准备。

（一）组成评价组。评价组考虑组成人员的背景和能力。必要时，可聘请业务或管

理方面的专家。

（二）制订评价实施方案。实施方案明确本次评价的目的、范围、准则、时间安排

和相应的资源配置。

（三）准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机构的内部控

制体系文件及相关记录等，统一修订业务单元内部控制测试表、组织评价前培训、发出

评价通知书。

（四）调查和描述内部控制，应当在收集和研究评价依据、评价对象的经营环境和

经营状况、组织结构图、会计报表、统计报表、业务政策、会计政策、上次评价结果等

资料的基础上，重点对上次评价以来内部控制发生的重大变化进行了解，对内部控制的

健全性和合理性进行初步研究，并形成书面文件，为评价取证提供线索。调查和描述内

部控制，可以采用内部控制问卷法或文字描述法。

（五）现场评价前先与被评价单位建立初步联系，以便确认有关评价事项和安排。

第三十四条 评价实施。

评价组按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与

被评价单位之间的沟通做出正式安排，通过适当的方法收集与评价目的、范围和准则有

关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以

记录。

第三十五条 评价报告。

评价组根据评价实施情况，撰写评价报告，重点分析以下方面：

（一）被评价单位内控体系现状、存在问题及趋势分析。

6

（二）与公司同级机构、同业机构的比较。

（三）管理建议。

第三十六条 评价反馈。

对被评价单位内部控制体系进行综合评价后，与被评价单位管理层沟通，以核对数

据，确认事实，并就评价中的问题征求意见。

第三十七条 评价组根据评价报告，依据有关法律法规和公司的有关规定，做出评

价结论和处理意见，并以书面形式发送被评价单位，限期整改。

第三十八条 评审程序。

公司内控合规部门汇集全公司内控评价信息，出具评价专题报告，经内控管理委员

会审定后，提交董事会审议，并按照董事会意见对内控体系的设计内容进行完善，及时

整改内控运行中的问题，确保公司内控体系得到持续、有效的改进。

第三十九条 内部控制评价实施及实施方法。内控评价实施涉及三个层面：

（一）了解内控体系执行情况。了解被评价单位内控体系执行的基本情况。在此基

础上确认评价范围，确定内部控制体系的健全程度，确定实施测试所采取的方法。

（二）实施测试。在了解被评价单位内控体系执行情况的基础上，评价内部控制体

系运行与绩效进行符合性测试。

（三）指标分析。对内部控制结果评价，主要采用指标分析法。

第四十条 了解内部控制体系：评价人员主要通过询问、查阅、观察、流程图等方

法了解被评价单位内部控制体系的充分性和合规性。

（一）询问法

为掌握评价对象的控制环境、控制程序等方面的状况可以对被评价单位的内部控制

状况进行询问了解，具体包括调查问卷和现场访谈等。

1、调查问卷。调查问卷是设计一套问卷，同时对于问卷不能解释清楚的部分在附注

中用文字加以说明。对于问卷中的各个问题，评价人员可以根据需要， 灵活采用多种方

法如询问、观察、抽样验证等做出回答。

2、现场访谈。现场访谈是指评价人员到现场向内部控制体系的有关各方了解被评

价单位内部控制体系建立、执行和监督实际情况。现场访谈是收集信息的一个重要手段，

应当在条件许可并以适合于被访谈人的方式进行。

（二）书面文档检查

评价人员查阅被评价单位的规章制度，如行为守则、业务政策、业务程序、财务会

7

计制度、组织结构图等，审查执行内部控制体系生成的文件，如账本、报表、凭证、记录、

合同、报告等，检查其是否存在控制痕迹，以判断内部控制措施是否得到有效执行。

（三）观察法

评价人员在被评价单位的工作现场，或观看操作过程录像，观察有关人员的实际工

作情况，以确定其规定的内部控制措施是否得到严格执行，该方法适于那些不留书面痕

迹的内部控制体系，以及测试执行控制的到位程度。

第四十一条 符合性测试：是获得评价证据以证实内部控制在实际中的合规性、有

效性和适宜性，即相关规定在实际中是否被一贯执行，控制措施能否达到控制目的，控

制措施是否恰当。

（一）符合性测试分为两种形式：

1、业务测试，即对重要业务或典型业务进行测试，按照规定的业务处理程序进行

检查，确认有关控制点是否符合规定并得到认真执行，以判断内部控制的遵循情况。

2、功能测试，即对某项控制的特定环节，选择若干时期的同类业务进行检查，确

认该环节的控制措施是否一贯或持续发挥作用。

（二）符合性测试的具体方法包括抽样测试法、穿行测试法、证据检查法和压力测

试法等。

1、抽样测试法。

抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据

业务频次抽样的基础上，结合被评价项目的风险和重要性进行调整。

根据业务频次确定的抽样量参考标准如下：

（1）每月执行一次的业务或事项，抽样量应保持在 2-6 个之间。

（2）每周执行一次的业务或事项，抽样量应保持在 4-10 个之间。

（3）每日执行一次的业务或事项，抽样量应保持在 10-25 个之间。

（4）每日执行多次的业务或事项，全年 10000 次以下的，抽样量应保持在 25-50

个之间；全年 10000 次以上的，抽样量应保持在 50 个以上。

在开展符合性测试前，测试人员要根据测试项目编制测试计划表和测试表，在开展

测试时，还需填制抽样表。

2、穿行测试法，即评价人员将某项交易业务按照被评价单位规定的程序全部或部

分重做一次，验证内部控制的实际运行与规定之间的一致性，判断既定的控制措施是否

被贯彻执行。

8

3、证据检查法，即评价人员抽查一定数量的凭证、账簿、报表、借据、协议合同

等有关资料，以验证各项控制措施在实际操作中是否被真正运用。

4、压力测试法，是一种以定量分析为主的风险分析方法，通过确定风险因素，设计

压力情景，选择假设条件， 确定测试程序，测算公司在遇到假定的小概率事件等极端不

利情况下可能发生的损失，分析这些损失对公司盈利能力和资产带来的负面影响， 确定

潜在风险点和脆弱环节，进而对被评价机构的脆弱性做出评估和判断，并采取必要措施。

第四十二条 指标分析。

通过对被评价单位内部控制体系中的重要情况和趋势的分析，研究被评价单位内部

控制体系的异常变动和差异。主要包括比较分析、因素分析和趋势分析。

（一）比较分析就是针对同一内部控制内容和指标，在不同的时间和空间进行对比，

来说明实际情况与参照系的差异。

（二）因素分析是分析影响内部控制体系变化的若干因素，分析研究内部控制的变

动原因，从中发现被评价单位内部控制体系的异常变动和差异。

（三）趋势分析就是对连续若干期内部控制体系情况进行比较与分析，了解内部控

制体系变动的幅度和趋势。

第四章 内部控制缺陷认定

第四十三条 内部控制缺陷认定在一定程度上决定内部控制评价的成效。内部控制

缺陷包括设计缺陷和运行缺陷。内部控制缺陷的认定，以日常监督和专项监督为基础，

结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定

的权限和程序进行审核后予以最终认定。

第四十四条 评价部门根据现场测试获取的证据，对内部控制缺陷进行认定，并按

其影响程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。当存

在任何一个或多个内部控制重大缺陷时，应当在内部控制评价报告中作出内部控制无效

的结论。

重要缺陷是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能

导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制的

整体有效性，但也应当引起董事会、经理层的充分关注。

9

一般缺陷是指除重大缺陷、重要缺陷以外的其他控制缺陷

重大缺陷、重要缺陷和一般缺陷的具体认定标准由公司根据自身实际特点和要求自

行确定，缺陷认定标准一经确定，不可随意改变。

第四十五条 评价部门编制内部控制缺陷认定汇总表，结合日常监督和专项监督发

现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度

进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理

层报告。重大缺陷由董事会予以最终认定。对于认定的重大缺陷，公司及时采取应对策

略，切实将风险控制在可承受度之内。

第五章 评价报告与跟踪改进

第四十六条 评价报告

（一）评价报告形成。评价组根据评价实施情况，撰写评价报告，重点包含被评价

单位内部控制体系现状、存在问题及趋势分析、同类比较、监管建议、可能的谅解因素。

（二）评价报告内容。整体内部控制评价的评价报告，，采用详细表述的形式。“基

本情况”部分包括评价目标、评价范围和评价方式的简要描述，内部控制等级评述，以

及内部控制总体评述；“分类陈述”部分按照六个控制要素进行分类，包括评价单位评

价、评价单位发现和评价单位建议。

第四十七条 在实施评价后，评价组根据评价结果在报告中提出完善内控体系和改

进控制措施的管理建议。

第四十八条 对评价测试中发现的重大问题及严重违规违纪事件，评价组需即时报

告所在单位负责人，并按指示意见对违规行为进行即时纠正。

第四十九条 被评价单位按照评价报告提出的改进建议，落实专人负责，提出改进

措施，并在指定时间内组织实施。改进完成结果要按时上报内控合规管理部门。

第六章 附则

第五十条 本办法由山西杏花村汾酒厂股份有限公司内控管理委员会解释和修订。

第五十一条 本办法自发布之日起执行。

10