广宇发展：内部控制评价管理办法(2013年2月) 公告日期 2013-02-20 天津广宇发展股份有限公司
    内部控制评价管理办法
        2013 年 2 月
                              第一章     总则
       第一条 为规范天津广宇发展股份有限公司(以下简称“公司”)的管理,健全内部控制体系,满足外部监管要求,依据财政部等五部委颁发的《企业内部控制基本规范》、《企业内部控制评价指引》、《天津广宇发展股份有限公司内部控制管理办法》,结合公司的实际情况,制定本办法。
       第二条 本办法适用于公司及其所属企业。
       本办法用于规范内部控制评价的组织机构、管理要求和管理流程。
       第三条 本公司的内部控制评价,应遵循下列原则:
    (一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项;
    (二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域;
    (三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
       第四条 本办法所称的内部控制,是指由公司董事会领导的,公司审计部具体组织实施,对内部控制设计和运行的有效性进行全面检查(包括内部控制自我评价和内部控制抽查工作),认定内部控制缺陷、形成评价结论、编制评价报告、依据监管要求对外披露的过程。
       第五条 本办法所称内部控制自我评价,是指由公司审计部牵头组织,公司各职能部门,以及各下属企业职能部门、经营单位在自身职责范围内依据内部控制标准的要求,根据日常工作的开展情况,评价本部门或本单位内部控制标准的遵循情况,汇总并提交内部控制自我评价结果的过程。内部控制自我评价工作是内部控制评价工作的重要组成部分,是内部控制抽查工作的基础。
       第六条 本办法所称关键控制,是指管理层所依赖的控制,这些控制如果没有有效实施,即使有其他控制存在,也无法将发生损失的风险降低至可接受的程度。
       第七条 本办法所称与财务报表认定相关的控制,是指对财务报表真实性、准确性、完整性有影响的控制。
                        第二章    组织架构与职责
       第八条 公司可以授权内部审计机构或专门机构(下称“内部控制评价机构”)负责内部控制评价的具体组织实施工作。
       第九条 内部控制评价机构必须具备一定的设置条件:
    ( 一)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;
    (二)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;
    (三)与公司其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率效果上满足公司对内部控制系统进行监督与评价所提出的有关要求;
       (四)能够得到公司董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
       第十条 为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。
       第十一条 公司可以委托会计师事务所等中介机构实施内部控制评价。为公司提供内部控制审计的会计师事务所,不得同时为公司提供内部控制评价服务。
       第十二条 董事会负责审议《天津广宇发展股份有限公司内部控制评价管理办法》,并监督有效实施;负责内部控制缺陷的最终认定,审定内部控制重大缺陷与重要缺陷整改意见;审核并批准公司《内部控制评价报告》,并对内部控制评价报告的真实性负责。
       第十三条 公司董事会审计委员会对内部控制评价工作进行指导,监督内部控制自我评价情况,审阅内部控制自我评价报告。
       第十四条 监事会负责审议《内部控制评价报告》,为董事会决策提供意见,对董事会建立与实施内部控制进行监督。
       第十五条 总经理办公会主要职责包括:
    (一)负责组织实施内部控制评价工作,也可以授权内部控制评价机构组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境和条件;
    (二)审核《天津广宇发展股份有限公司内部控制评价管理办法》,并报董事会批准;
    (三)审核并批准公司《内部控制评价方案》;
    (四)听取公司内部控制评价报告,并报董事会批准;
    (五)对内部控制评价中发现的缺陷和问题,按照董事会或审计委员会的整改意见组织整改,并监督整改、报告落实的情况。
    第十六条 内部控制评价小组(以下简称评价小组)是负责公司内部控制评价的专业工作组,负责公司内部控制体系监督与评价工作的组织协调和管理,向总经理办公会负责并报告工作。评价小组组长由公司分管副总担任,成员单位:审计部及相关职能部门。审计部是评价小组的牵头部门。评价工作小组职责包括:
    (一)负责制订、修订《天津广宇发展股份有限公司内部控制评价管理办法》;
    (二)负责拟定公司年度《内部控制评价方案》,并组织实施;
    (三)负责汇总分析内部控制评价结果,跟踪内部控制缺陷的整改落实情况;
    (四)对发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告;
    (五)负责组织内部控制缺陷的认定,组织编写公司内部控制评价报告;
    (六)负责指导、监督和检查公司所属企业开展的内部控制评价工作;
    (七)配合、协调和沟通外部审计师内部控制审计工作事宜;
    (八)将在内部控制自我评价、外部审计师内部控制审计过程中发现的问题及时反馈给内部控制建设小组;
    (九)完成总经理办公会交办的其他工作。
    第十七条 公司各职能部门负责本部门内部控制的建立健全和有效实施,根据内部控制自我评价工作要求配合公司审计部或内部控制评价小组开展本部门的内部控制自我评价工作,及时与公司审计部或内部控制评价小组沟通评价结果,并落实内部控制缺陷的整改工作。
    第十八条 所属企业负责本单位内部控制的建立健全和有效实施。
    (一)逐级落实内部控制评价责任,建立日常监控机制;
    (二)成立本单位内部控制评价小组,开展本单位职责范围内的内部控制自我检查、测试和定期检查评价工作,配合评价工作小组开展内部控制评价工作;
    (三)发现问题并认定内部控制有缺陷,需拟订整改方案和计划,报本级管理层审定后,督促整改;
    (四)按照公司年度内部控制评价工作要求,组织、协调本单位年度内部控制评价工作,并落实本单位内部控制缺陷整改工作;
    (五)组织、协调本单位内部控制其他管理工作,并做好监督检查。
                   第三章    内部控制评价依据和内容
       第十九条 根据财政部等五部委颁布的《企业内部控制基本规范》及配套指引的要求,结合《天津广宇发展股份有限公司内部控制管理办法》,对公司层面和业务流程层面内部控制的设计与执行情况进行全面评价。其中,公司层面内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督;业务流程层面具体涵盖财务报告与信息披露、预算管理、资金管理、对外股权投资管理、对外担保、固定资产与无形资产、项目拓展管理、设计管理、招投标管理、项目建设与施工管理、采购管理、营销管理、成本计划管理、信息系统控制。
       第二十条 与财务报告有关的内部控制设计与执行情况作为重点评价内容。
       第二十一条 公司组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合公司的《内部控制制度》,对内部环境的设计及实施运行情况进行认定和评价。
    组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行;
    发展战略可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行;
       人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行;
    企业文化评价应从建设和评估两方面进行,从而促进诚信、道德价值观的提升,为内部控制的完善夯实人文基础;
    社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。
       第二十二条 公司组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合公司的《内部控制制度》,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
    第二十三条 公司组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合公司的《内部控制制度》,对相关控制措施与流程的设计和运行情况进行认定和评价。
    第二十四条 公司组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合公司的《内部控制制度》,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
    第二十五条 公司组织开展内部监督评价,应当以《企业内部控制基本规范》和有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合公司的《内部控制制度》和《内部审计制度》,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
    第二十六条 内部控制评价工作应当形成工作底稿,详细记录评价工作的内容,包括评价要素、采取的控制措施、有关证据资料以及认定结果等。
                第四章   内部控制评价的程序和方法
    第二十七条 内部控制评价的主体是公司董事会。董事会可指定审计委员会来承担对内部控制评价的组织、领导、监督职责,并通过授权内部控制评价机构执行内部控制评价的具体组织实施工作。
    第二十八条 公司内部控制评价程序一般包括:准备阶段、实施阶段、汇总评价结果、编报评价报告阶段、报告反馈和跟踪阶段等环节。公司审计部负责内部控制评价的具体组织实施工作。
    (一)准备阶段
    1、制定评价工作方案。公司审计部门应当拟订评价工作方案,应当根据公司内部监督情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,评价工作方案既以全面评价为主,也可以根据需要采用重点评价的方式。报经总经理办公会审批后实施。
    2、组成内部控制评价工作组。公司审计部门应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当回避。
    (二)实施阶段
    1、了解被评价单位(业务)基本情况。充分沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。
    2、确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
    3、开展现场检查测试。评价工作组根据评价人员分工,被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
    (三)汇总评价结果、编制评价报告阶段
    1、评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认后,提交公司审计部。
    2、内部控制评价机构汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
    3、内部控制评价工作组以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送公司经理层、董事会和监事会,由董事会最终审定后对外披露。
    (四)报告反馈和跟踪阶段
    对于认定的内部控制缺陷,内部控制评价工作组应当结合董事会和审计委员会要求,提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,公司应当追究相关人员的责任。
    第二十九条 内部控制评价方法
    主要有详细评价法和风险基础评价法两种方法。
    (一)详细评价法。以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在重大缺陷,确定内部控制是否有效。
    (二)风险基础评价法。首先,要评估相关目标实现的风险;其次,识别和确定公司充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性缺陷,确定内部控制是否有效。
    具体测试方法包括:
    1、个别访谈法。 个别访问法主要用于了解公司内部控制的现状,在公司层面评价及业务层面评价的了解阶段使用。访谈前应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈的内容。
    2、调查问卷法。 调查问卷法主要用于公司层面评价。调查问卷应尽量扩大对象范围,包括公司各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等)。
    3、穿行测试法。 穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制流程和控制措施设计的有效性,并识别出关键控制点。
    4、抽样法。 抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。
    5、实地查验法。 实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。
    6、比较分析法。 比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。
    7、专题讨论法。 对于同时涉及财务、业务、信息技术等方面的控制缺陷,需由内部控制管理部门组织召开专题讨论会议,综合内部各机构、各方面的意见,研究确定缺陷整改方案。
    8、其他方法 包括观察、抽查、审阅、重新执行、标杆、实际工作经验等方法。
    第三十条 内部控制评价工作组对被评价单位或部门进行现场测试,综合运用个别访谈、穿行测试、实地查验、抽样和比较分析等方法,广泛收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
    第三十一条 内部控制评价工作应当形成工作底稿,详细记录公司执行评价工作的内容,包括评价要素、评价标准、评价和测试方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
    第三十二条 记录内部控制有效运行证据的自我评价底稿,是形成内控自我评价报告的直接依据。测试控制有效性的程序,按其提供证据的效力,由弱到强排序通常为:询问、观察、检查和重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。
                   第五章      内部控制缺陷的认定
    第三十三条 公司在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其影响程度。
    第三十四条 内部控制缺陷的分类从环节上分为设计缺陷和运行缺陷,从与财务报告关系分为财务报告内控缺陷和非财务报告内控缺陷,从程度上分为重大缺陷、重要缺陷、一般缺陷。
    第三十五条 内部控制缺陷认定标准的制定包括财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准两类。
    第三十六条 内部控制缺陷认定标准包括定性标准和定量标准,定量标准即涉及金额大小,即可以根据造成直接损失绝对金额制定,也可以根据直接损失占本公司资产总额、销售收入及利润等的比率确定;定性标准,即涉及业务性质的严重程度,可根据其直接或潜在负面影响的性质,影响的范围,影响的程度等因素确定。
    第三十七条 公司内部控制缺陷认定标准由审计委员会审核后提交董事会最终认定通过,并作为内控缺陷认定评价的参考依据。
    第三十八条 公司对内部控制缺陷的认定应当以日常监督和专项监督为基础,由公司内部控制评价机构进行综合分析后提出认定意见,报请审计委员会审核后,董事会予以最终认定。
    第三十九条 公司在日常监督、专项监督和年度评价工作中,应当充分发挥内部控制评价工作组的作用,内部控制工作组根据现场测试获取的证据,对内部控制缺陷进行初步判断。
    重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。
    重要缺陷:是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致被评价单位偏离控制目标。多个“重要缺陷”共同作用有可能形成一个“重大缺陷”。
    一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
    第四十条 财务报告内部控制可能存在重大缺陷的一些迹象:
    (一)董事、监事和高级管理人员舞弊;
    (二)公司更正已公布的财务报告;
    (三)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;
    (四)公司审计委员会和内部审计机构对内部控制的监督无效。
    第四十一条 非财务报告内部控制可能存在重大缺陷的一些迹象:
    (一)企业缺乏民主决策程序,如缺乏“三重一大”决策程序;
    (二)企业决策程序不科学,如决策失误,导致并购不成功;
    (三)违犯国家法律、法规;
    (四)管理人员或技术人员纷纷流失;
    (五)媒体负面新闻频现;
    (六)内部控制评价的结果特别是重大或重要缺陷未得到整改;
    第四十二条 非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。
    第四十三条 内部控制评价机构需编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其影响程度进行综合分析和全面复核。重大缺陷的最终认定以及对相关部门的问责由董事会或其授权机构负责。
    第四十四条 内部控制评价工作组应当对评价质量进行交叉复核,评价工作组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认后,提交审计部门。
    第四十五条 内部控制缺陷的分类认定工作由公司审计部牵头负责。对于内部控制自我评价中发现的内部控制缺陷,公司审计部组织内部控制评价小组对缺陷发生的可能性及其潜在的影响程度进行综合分析,对缺陷的类别做出认定。重大缺陷需经公司董事会予以最终认定,并考虑追究相关单位责任。
            第六章 内部控制缺陷的报告与整改
    第四十六条 内部控制缺陷报告应当采取书面形式,可以单独报告,也可以作为内部控制评价报告的一个重要组成部分。
    第四十七条 内部控制缺陷的报告途径
    (一)内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。
    (二)对于重大缺陷和重要缺陷及整改方案,应向董事会(审计委员会)、监事会、经理层报告并审定。
    (三)对于一般缺陷,向公司经理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
    第四十八条 公司对于认定的内部控制缺陷,应当及时采取整改措施,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
    第四十九条 公司内部控制评价机构应当就发现的内部控制缺陷提出整改建议,并报经理层、董事会(审计委员会)、监事会批准。获批后,应制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。
    第五十条 对公司在日常监督、专项监督和年度评价工作中发现的内部控制缺陷,由相关业务主管部门或内部控制评价机构下发整改通知书。
    第五十一条 对存在整改事项的单位或业务流程部门,自接到整改通知书之日起一月内,应按照整改通知书要求,以书面形式上报整改责任人、整改期限、整改措施、整改方法和期限,整改情况上报内部控制评价机构。
                        第七章     内部控制评价报告
    第五十二条 公司审计部应当根据年度内部控制自我评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照《企业内部控制基本规范》、应用指引和本办法,并参照相关监管部门的通知、指引、问答及工作备忘录等,设计内部控制自我评价报告的内容,规定的程序和要求,及时编制公司年度内部控制评价报告。
    第五十三条 公司内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容做出披露。
    第五十四条 内部控制评价报告至少应当披露下列内容:
    (一)董事会对内部控制报告真实性的声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
    (二)内部控制评价工作的总体情况。明确公司内部控制评价工作的组织、领导体制、进度安排,是否聘请会计师事务所对内部控制有效性进行独立审计。
    (三)内部控制评价的依据。说明公司开展内部控制评价工作所依据的法律法规和规章制度。
    (四)内部控制评价的范围。描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项,及重点关注的高风险领域。内部控制评价的范围如有所遗漏的,应说明原因,及其对内部控制评价报告真实完整性产生的重大影响等。
    (五)内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程,以及评价过程中采用的主要方法。
    (六)内部控制缺陷及其认定情况。描述适用本公司的内部控制缺陷具体认定标准,并声明与以前年度保持一致或做出的调整及相应原因;根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
    (七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。对于评价期间发现、期末已完成整改的重大缺陷,说明公司有足够的测试样本显示,与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷,公司拟采取的整改措施及预期效果。
    (八)内部控制有效性的结论。对不存在重大缺陷的情形,出具评价期末内部控制有效结论;对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度,可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的,公司须责成内部控制评价机构予以核实,并根据核查结果对评价结论进行相应调整,说明董事会拟采取的措施。
       第五十五条 公司以 12 月 31 日作为年度内部控制自我评价报告的基准日。内部控制自我评价报告应于基准日后 4 个月内与内部控制审计报告同时报出。
       第五十六条 内部控制评价报告需经公司董事会批准,如需对外披露按相关程序和披露要求对外披露。在对外披露前,公司审计部应关注内部控制评价报告基准日(12月31日)至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度决定是否对评价报告内容进行相应调整。评价报告内容一经调整,需履行原有审批程序后才可正式生效。
       第五十七条 内部控制评价的有关文件资料,包括评价方案、自我评价报告、工作底稿和相关支持性证据(主要是涉及缺陷样本的支持性证据)、缺陷汇总表、评分结果等应当根据相关管理制度要求妥善归档及保管。
                              第八章      附则
       第五十八条 本制度由公司董事会负责修订和解释。
       第五十九条 本制度自公司董事会审议批准之日起实施。