AI assistant
Gansu Engineering Consulting Group Co., Ltd. — Audit Report / Information 2019
Nov 28, 2019
53810_rns_2019-11-28_1211b832-5772-498b-b6e0-530b9c442e10.PDF
Audit Report / Information
Open in viewerOpens in your device viewer
甘肃工程咨询集团股份有限公司 内部控制评价管理制度
第一章 总 则
第一条 为了建立健全甘肃工程咨询集团股份有限公司(以下简称“集团股 份公司”)内部控制,规范内部控制评价程序,依据财政部、证监会、审计署、 银保监会颁布的《企业内部控制基本规范》、《企业内部控制评价指引》等有关 规定,并结合集团股份公司实际情况制定本制度。
第二条 本制度内部控制(简称:内控)评价的定义
内控评价是指集团股份公司董事会对本公司内控有效性进行全面评价、形成 评价结论、出具评价报告的过程。
第三条 内部控制评价的范围
内控自评工作所评价的范围为集团股份公司及持续经营的各子公司全部经 营活动和业务流程。
第四条 内控评价的原则
(一)全面性原则: 评价工作包括内控的设计与运行,涵盖集团股份公司 及持续经营的各子公司各种业务和事项;
(二)风险导向原则:根据风险发生的可能性及其对集团股份公司控制目标 的影响程度,确定评价的重要业务单元、重要业务领域和流程环节;
(三)客观性原则:评价工作应当准确揭示经营管理的风险状况,如实反映 内控设计与运行的有效性;
==> picture [61 x 28] intentionally omitted <==
- 1 -
(四)适应性原则:依据集团股份公司经营规模、业务范围、风险状况以及 具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要 求的提高不断改进内控评价工作。
第二章 职责分工
第五条 董事会职责:负责对内控的有效性进行全面评价、形成结论,出具 内控评价报告,并对内控评价报告真实性负责;负责认定集团股份公司重大内控 缺陷,审批重大内控缺陷的整改措施。
第六条 在董事会的领导下由审计法务部牵头有关人员组成内控评价工作 组,具体实施内控评价工作。内控评价工作组职责:负责根据各子公司、集团股 份公司各部门的自评情况对可能产生重要风险的业务进行复核,形成检查底稿; 负责内控评价结果的汇总,控制缺陷的分析、报告及跟踪;负责对内控评价的一 般缺陷、重要缺陷、重大缺陷进行初步认定;负责向董事会报告发现的内控缺陷; 负责跟踪缺陷整改的落实情况。
第七条 各子公司、集团股份公司各部门职责:安排本公司(部门)能胜任 内控自评工作的人员负责部门自评工作;负责全面自评本公司(部门)的内控情 况,对自评发现的内控缺陷提出整改措施并上报内控评价工作组;保证提供资料 的真实、完整,并积极配合内控评价工作组针对重要业务进行复核;负责确认整 改建议并及时开展整改工作。
第八条 审计法务部职责:负责本制度的起草、修订;负责牵头、协调、组 织成立内控评价工作组;编写内控评价报告。
第三章 评价内容
==> picture [61 x 28] intentionally omitted <==
- 2 -
第九条 内控评价工作主要依据集团股份公司内控管理手册,围绕内部环境、 风险评估、控制活动、信息与沟通、内部监督等要素,对内控设计和运行情况进 行全面评价。
(一)内部环境评价内容:治理结构、机构设置及权责分配、人力资源、企 业文化、社会责任等;
(二)风险评估评价内容:目标设定、风险信息收集、风险识别、风险分析、 风险应对等设计与运行情况;
(三)控制活动评价内容:各项业务处理程序的授权批准、职责分工、实物 控制、凭证与记录控制、独立检查程序等控制措施的设计与运行情况;
(四)信息与沟通评价内容:信息收集、处理和传递的及时性、反舞弊机制 的健全性、财务报告的真实性、信息系统的安全性以及利用信息系统实施内控的 有效性;
(五)内部监督评价内容:内部监督机制的有效性,重点关注监事会、董事 会审计委员会、审计法务部等在内控设计和运行中的监督作用。
第十条 内控评价工作以工作底稿的形式记录评价工作的内容,包括评价要 素、主要风险点、采取的控制措施、有关证据资料、认定结果等。
第四章 评价程序
第十一条 集团股份公司内控评价程序包括:
(一)制定评价工作方案;
(二)组成评价工作组;
(三)实施现场测试;
(四)认定控制缺陷;
==> picture [61 x 28] intentionally omitted <==
- 3 -
(五)汇总评价结果;
(六)编报评价报告。
第十二条 每年年末,在董事会领导下审计法务部拟订内控评价工作方案, 明确评价范围、工作任务、人员组织、进度安排等相关内容,报董事会审计委员 会审核,并经董事会批准后实施。
第十三条 审计法务部根据经批准的评价方案,在董事会领导下牵头组成 内控评价工作组,具体实施内控评价工作。内控评价工作组的人员由审计法务部 人员和各子公司、集团股份公司相关部门相关人员构成。内控评价工作组成员可 参与自身部门以外的评审工作,但在对自身(各子公司、集团股份公司各部门) 评审时应当回避。
第十四条 集团股份公司根据情况可以委托中介机构实施内控评价检查工 作。为集团股份公司提供内控审计的会计师事务所不得同时为集团股份公司提供 内控评价服务。
第十五条 内控评价工作组在各子公司、集团股份公司各部门完成内控自 评后,根据业务重点有针对的开展内控现场测试工作,采用恰当的测试方法对其 经营活动及内部控制的设计和运行的有效性进行测试。测试方法包括但不限于: (一)个别访谈法:对被评单位员工进行单独访谈以获取有关信息;
(二)调查问卷法:设定问卷调查表,分别对不同层次的员工进行问卷调查, 根据调查结果对相关项目做出评价;
(三)专题讨论法:设定主题,专门组织相关人员参与讨论,调研与会人员 对内控设计和运行的看法;
==> picture [61 x 28] intentionally omitted <==
- 4 -
(四)穿行测试法:通过抽取一份全过程的文件,以了解整个业务流程执行 情况;
(五)抽样法:针对具体的内控业务流程,按照业务发生频率及固有风险的 高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行 判断,进而对业务流程控制运行的有效性做出评价;
(六)实地查验法:对财产进行盘点、清查,对存货出、入库等控制环节进 行现场查验。
第十六条 内控评价工作组应将测试程序的执行过程、收集和评价的证据 进行记录,并编制评价工作底稿。对于测试获取的样本,需要进行复印、归档, 以便审核人员可以有效地复查。
第十七条 对于因业务流程外包等特定业务、特定流程的内部控制,内控 评价工作组应当充分考虑该项业务流程及其相关控制的重要性,确定其对整体控 制目标有效性评价的影响。
第五章 内控缺陷的认定
第十八条 内部控制缺陷包括设计缺陷和运行缺陷:
(一)设计缺陷:集团股份公司或各子公司缺少为实现控制目标所必需的控 制,或现有控制设计不适当,即便正常运行也难以实现控制目标。
(二)运行缺陷:设计有效的内控由于运行不当(包括由不恰当的人执行、 未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形 成的内控缺陷。
==> picture [61 x 28] intentionally omitted <==
- 5 -
第十九条 内控评价工作组根据现场测试获取的证据,对内部控制缺陷进 行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷,定义及认定 标准:
| 缺陷 种类 |
定义 | 认定标准 | 认定标准 |
|---|---|---|---|
| 定量标准 (财务报表错报金额) |
定性标准 | ||
| 重 大 缺 陷 |
指一个或多个 控制缺陷的组 合,可能导致 企业严重偏离 控制目标。 |
1.错报≥利润总额500万; 2.错报≥资产总额的3%; 3.错报≥营业收入总额的2%; 4.错报≥股东权益总额的1%。 |
1.缺乏决策程序; 2.决策程序导致重大失误; 3.违反国家法律法规并受到 处罚; 4.重要业务缺乏制度控制或 制度体系失效; 5.内部控制重大缺陷未得到 整改。 |
| 重 要 缺 陷 |
指一个或多个 控制缺陷的组 合,其严重程 度和经济后果 低于重大缺 陷,但是仍有 可能导致企业 偏离控制目 标。 |
5.利润总额300万≤错报<利润 总额500万; 6.资产总额的1%≤错报<资产 总额的3%; 7.营业收入总额的1%≤错报< 营业收入总额的2%; 8.股东权益总额的0.5%≤错报 <股东权益总额的1%。 |
6.决策程序存在但不够完善; 7.决策程序导致出现一般失 误; 8.违反企业内部规章,形成较 大损失; 9.重要业务制度或系统存在 缺陷; 10.内部控制重要缺陷未得到 整改。 |
| 一 般 缺 陷 |
除重大缺陷、 重要缺陷之外 的其他控制缺 陷。 |
9.错报<利润总额300万; 10.错报<资产总额的1%; 11.错报<营业收入总额的1%; 12.错报<股东权益总额的 0.5%。 |
11.决策程序效率不高; 12.违反内部规章,但未形成 损失; 13.一般业务制度或系统存在 缺陷; 14.一般缺陷未得到整改; 15.存在其他缺陷 |
==> picture [61 x 28] intentionally omitted <==
- 6 -
第二十条 评价工作底稿应进行交叉复核签字,并由评价工作组负责人审 核后签字确认。
第二十一条 审计法务部负责编制内部控制缺陷认定汇总表,结合日常监 督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、 表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式 向董事会审计委员会或者董事会报告。重大缺陷由董事会予以最终认定。 对于 认定的重大缺陷,集团股份公司董事会应当及时采取应对策略,切实将风险控制 在可承受度之内,并追究有关部门或相关人员的责任。
第六章 内部控制体系整改、修编管理
第二十二条 发生下列事项时,应修改和完善内部控制体系文件:
(一)国家法律法规、行业从业规定、监管部门要求等发生变化;
- (二)《企业内部控制基本规范》、《企业内部控制评价配套指引》发生变
化;
(三)集团股份公司战略调整、业务范围、组织机构、管理职责等内部环境 发生调整变化;
(四)内部控制监督评价以及外部监督发现存在缺陷;
-
(五)集团股份公司董事会、监事会和经理层提出要求;
-
(六)各子公司、集团股份公司各部门在日常管理活动中发现问题;
-
(七)发生内部控制重大失控事件;
-
(八)其他。
==> picture [61 x 28] intentionally omitted <==
- 7 -
第二十三条 集团股份公司各部门发现管理制度和业务流程存在缺陷,应 及时提出改进完善意见和建议,并提交战略规划部门/董事会办公室。
第二十四条 集团股份公司战略规划部/董事会办公室负责组织改进建议 的评议,形成改进方案,报集团股份公司董事会审计委员会审核,并报董事会审 批,涉及内部控制体系文件的修改由战略规划部/董事会办公室负责,涉及管理 制度的修改或补充由归口部门负责。战略规划部/董事会办公室应及时将修改完 善后的内控体系文件发布实施。
第七章 内部控制文档管理
第二十五条 各子公司、集团股份公司各部门应当以纸质或电子文档等适 当的形式,妥善保存内部控制建立与实施过程中的相关文档记录或资料,确保内 部控制建立与实施过程的可验证性。
-
(一)内部控制文档按内部控制要素分为以下五类:
-
1.控制环境文档,如组织机构图、权限指引表、部门及岗位职责说明、员工
-
守则、董事会和监事会成员履历及议事规则、集团股份公司发展战略规划、企业 文化等;
-
2.风险评估文档,如风险评估制度、风险评估过程记录、风险评估报告等;
-
3.控制活动文档,包括财务报告、经营分析报告、董事会及专业委员会会议
-
纪要、股东会决议、总经理办公会议纪要、经营例会等重要会议纪要等;
-
4.内部监督文档,包括审计计划、年度内部审计工作总结、审计报告、审计
意见书、整改情况说明材料、内部控制自我评价报告及相关资料等。
-
(二)内控文档按形成过程分为三类:
-
1.制度设计文档;
==> picture [61 x 28] intentionally omitted <==
-
8 -
-
2.实际执行文档;
3.测试过程文档,测试文档由负责测试的部门保留,包括抽样记录,穿行测 试底稿记录、访谈记录等。
第八章 评价报告
第二十六条 审计法务部以汇总的评价结果和评定的内控缺陷为基础,综 合内控工作整体情况,客观、公正地编写内控评价报告,报送董事会审计委员会 审核后,由董事会最终审批。
第二十七条 内控评价报告应当分别对内部环境、风险评估、控制活动、 信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认 定及整改情况、内部控制有效性的结论等相关内容作出披露。
第二十八条 内控评价报告应至少包括以下重要内容:
(一)董事会对内控报告真实性的声明;
- (二)内控评价工作的总体情况;
(三)内控评价的依据;
(四)内控评价的范围;
(五)内控评价的程序和方法;
- (六)内控缺陷及其认定情况;
(七)内控缺陷的整改情况及重大缺陷拟采取的整改措施;
(八)内控有效性的结论。
第二十九条 内控评价报告应当报经董事会批准后对外披露。
==> picture [61 x 28] intentionally omitted <==
- 9 -
第三十条 审计法务部应当关注内控评价报告基准日至内控评价报告发出 日之间是否发生影响内控有效性的因素,并根据其性质和影响程度对评价结论进 行相应调整。
第三十一条 集团股份公司年度报告披露的同时,披露年度内控评价报告 以及会计师事务所对内控评价报告的审计意见。
第三十二条 集团股份公司以12月31日作为年度内控评价报告的基准日。 内控评价报告应于基准日后4个月内报出。
第三十三条 内控评价的有关文件资料、工作底稿和证明材料等由审计法 务部负责整理归档并妥善保管。
第九章 内部控制的检查和披露
第三十四条 集团股份公司审计法务部应当按照有关规定实施适当的审 计程序,评价集团股份公司内部控制的有效性,并至少每年向董事会审计委员会 提交一次内部控制评价报告。评价报告应当说明审计和评价内部控制的目的、范 围、审计结论及对改善内部控制的建议;要对集团股份公司内部控制运行情况进 行检查监督,并将检查中发现的内部控制缺陷和异常事项、改进建议及解决进展 情况等形成内部审计报告,向董事会和列席监事通报。如发现集团股份公司存在 重大异常情况,可能或已经遭受重大损失时,应立即报告集团股份公司董事会并 抄报监事会。由集团股份公司董事会提出切实可行的解决措施,必要时要及时报 告深交所并公告。
审计法务部应当在每个会计年度结束前两个月内向集团股份公司董事会审 计委员会提交次一年度内部审计工作计划,并在每个会计年度结束后两个月内向 集团股份公司董事会审计委员会提交年度内部审计工作报告。
==> picture [61 x 28] intentionally omitted <==
- 10 -
第三十五条 集团股份公司董事会审计委员依据审计法务部提交内部审 计报告,对集团股份公司内部控制情况进行审议评估,形成内部控制自我评价报 告。监事会和独立董事要对此报告发表意见。
自我评价报告至少应包括以下内容:
-
(一)对照本制度及有关规定,说明集团股份公司内部控制制度是否建立健
-
全和有效运行,是否存在缺陷;
-
(二)说明本制度重点关注的控制活动的自查和评估情况;
-
(三)说明内部控制缺陷和异常事项的改进措施及进展情况(如适用)。
-
第三十六条 注册会计师在对集团股份公司进行年度审计时,应参照有关
-
主管部门的规定,就财务报告内部控制情况出具评价意见。
第三十七条 如注册会计师对内部控制有效性表示异议的,董事会、监事 会要针对该审核意见涉及事项做出专项说明,专项说明至少应包括以下内容:
-
(一)异议事项的基本情况;
-
(二)该事项对集团股份公司内部控制有效性的影响程度;
-
(三)董事会、监事会对该事项的意见;
-
(四)消除该事项及其影响的可能性;
-
(五)消除该事项及其影响的具体措施。
第三十八条 集团股份公司将内部控制制度的健全完备和有效执行情况, 作为对各子公司、集团股份公司各部门的绩效考核重要指标之一,并建立起责任 追究机制。要对违反内部控制制度和影响内部控制制度执行的有关责任人追究其 责任。
==> picture [61 x 28] intentionally omitted <==
- 11 -
第三十九条 集团股份公司于每个会计年度结束后四个月内将内部控制 自我评价报告和注册会计师评价意见报深圳证券交易所,与本公司年度报告同时 对外披露。
第四十条 集团股份公司审计法务部工作底稿及内控评价相关资料,保存时 间应遵守有关档案管理规定。
第十章 附 则
第四十一条 本制度由集团股份公司董事会负责解释。 第四十二条 本制度自发布之日起施行。
==> picture [61 x 28] intentionally omitted <==
- 12 -