SHENZHEN SDG INFORMATION CO., LTD — Governance Information 2012

Apr 25, 2012

深圳市特发信息股份有限公司 内部控制评价管理办法

第一章 总 则

第一条 为了促进深圳市特发信息股份有限公司（以下简称“公 司”）全面评价内部控制的设计与运行情况，规范公司内部控制评价程 序和评价报告，揭示和防范风险，根据《企业内部控制基本规范》、《企 业内部控制评价指引》和《公司章程》等相关规定，并结合本公司的 实际情况，制定本办法。

第二条 本办法所称的内部控制评价，是指由公司董事会和管理层 实施的对内部控制的有效性进行全面评价，形成评价结论，出具评价 报告的过程。

第三条 内部控制评价工作的组织体系

审计委员会对公司年度内部控制自我评价报告进行审核评议，根 据需要提交董事会审议。

风控管理决策委员会是公司风控管理的领导机构，由公司领导班 子组成。风控管理决策委员会统筹指导公司的风控管理活动，以及风 控管理体系的建设，并按要求向审计委员会汇报。

风控管理职能部门是公司审计部，负责协助风控管理决策委员会 推动公司的风控管理体系建设，并跟踪各职能部门、分子公司日常风 控管理活动的执行情况。

各职能部门、各分子公司（含事业部）分别负责各单位领域内的 内控建设、风险识别、风控评价和信息传递。

第四条 公司内部控制评价形式

公司内部控制评价实行“总部全面评价”和“各单位自查评价” 两级评价体制。其中，“总部全面评价”主要为审计部为主导，各单位

==> picture [102 x 58] intentionally omitted <==

1

辅助为主的 “公司年度综合评价”；单位自查评价主要包括“各职能部 门、各分（子）公司（包括事业部）自查”。

第五条 “公司年度综合评价”是公司风控管理决策委员会授权审 计部组织对各单位内部控制实施情况的综合检查与评价，评价结果报 公司风控管理决策委员会审定后，作为公司年度综合评价的自我评价 报告。

第六条 “各职能部门、各分（子）公司（包括事业部）自查”是 各职能部门、各分（子）公司（包括事业部）按照内控手册有关规定， 组织开展的业务流程测试和内部控制执行情况的评价工作，主要包括 “业务流程半年度穿行测试”和“年度自评”。其中，业务流程半年度 穿行测试是指责任部门和责任人对相关业务流程和关键控制点的有效 性至少穿行测试一次，测试记录每年8 月1 日前（报告）报公司审计 部；年度自评是指分（子）公司（包括事业部）每年至少组织一次内 部控制综合评价。年度自查应填写自评工作底稿，检查结果形成自我 评价报告，经分（子）公司总经理审定后，于12 月30 日前报公司审 计部，并由审计部分析汇总上报公司风险管理决策委员会审议。

第七条 内部控制评价人员

公司审计部在各有关专业领域内公开选拔若干名业务骨干，组建 内部控制专业人员队伍，并进行专业性培训。年度综合评价时，以“内 控专业人员”为主组成评价小组，对各单位进行现场检查和评价，各 类评价结果必须由“内控专业人员”签字确认。

第八条 本办法适用于公司总部各职能部门、各事业部，各分（子） 公司。

第九条 审计部按照本办法进行内部控制评价。

第二章 公司年度综合评价

第十条 公司年度综合评价的原则

==> picture [102 x 58] intentionally omitted <==

2

公司年度综合评价（以下简称综合评价）以内控手册为基础，对 各单位内部控制的健全性、实施的有效性等进行综合检查和评价。 第十一条 综合评价内容及评分

综合检查内容：内部控制环境评价、单位自查情况评价、业务流 程综合评价、内部控制缺陷认定及整改落实等，总分100 分。综合检 查结果，记录在《内部控制评价汇总表》中。

• （一）内部控制环境评价10 分。

• （二）单位自查情况评价20 分。

• （三）业务流程综合评价70 分。

（四）内部控制缺陷认定，包括财务报告缺陷认定和非财务报告 缺陷认定。

财务报告缺陷分为3 个等级，即：一般缺陷、重要缺陷和重大缺 陷。非财务报告缺陷一般情况下视同一般缺陷。公司审计部根据确认 后的等级修正综合检查评分。

一般缺陷：扣减综合检查得分的10%；

重要缺陷：扣减综合检查得分的50%；

重大缺陷：综合检查得分为零。

（五）整改落实。

现场评价结束后2-3 个月内，被检查单位应就未执行的控制点及 内部控制缺陷制定措施并认真落实整改。公司审计部跟踪内控缺陷整 改结果，并上报风控管理决策委员会。

第十二条 综合评价工作流程

（一）制定评价工作方案。

公司审计部统一制定综合检查工作方案，报公司风控管理决策委 员会批准后，派出评价小组对各单位进行现场检查和评价。

（二）现场检查和评价。

评价小组进驻各单位进行现场检查和评价，遇到问题应及时向公

==> picture [102 x 58] intentionally omitted <==

3

司审计部经理报告。公司审计部对现场检查中遇到的各类问题要及时 协调和研究解决。现场检查结束后，评价小组需填写工作底稿并编制 内控评价结果

（三）评价结果复核与确认。

公司审计部会同有关单位对内控评价结果统一复核和确认，形成 年度综合评价报告，报公司风控管理决策委员会审定，并上报公司董 事会审计委员会审议。

第十三条 现场评价工作流程

（一）检查动员。

评价小组对内部控制检查的目的、意义等向被检查单位宣讲和动 员，对检查工作进行安排和部署。

（二）单位配合。

被检查单位向评价小组全面介绍本单位的基本情况、内部控制实 施情况（实施细则及相关制度修订完善、日常内控工作机制、单位测 试自查及整改情况）等。

（三）现场检查。

评价小组根据被检查单位适用业务流程和评价小组人员构成情况 等进行工作分工。每个检查项目配备相应的检查人员，同时进行交叉 复核。现场检查人员应根据内控手册控制点规定，参考检查工作底稿 中检查步骤及方法，认真填写检查工作底稿，做出评价结论。审计部 经理须审核全部检查结果，并对检查结果的真实性负责。检查工作底 稿由被检查单位流程责任人签字确认。

（四）汇总评价结果。

评价小组对检查中发现的各类问题进行分析和确定，汇总评价结 果，形成现场评价初步结果。

（五）通报评价情况。

评价小组就现场评价初步结果与被检查单位交换意见，形成现场

==> picture [102 x 58] intentionally omitted <==

4

评价报告，向被检查单位通报。

对评价小组做出的评价结论，被检查单位不得以任何形式施加影 响；对评价结论有不同意见，由评价小组汇总记录，上报公司审计部 经理，由公司审计部经理会同有关单位研究解决方案并报公司风控管 理决策委员会审定。

（六）跟踪整改。

对检查中发现的问题，被检查单位要及时制定整改方案，并认真 落实整改，整改情况及结果须在检查结束后2-3 个月内向公司审计部 反馈。公司审计部会同业务流程责任部门对各单位的整改情况进行跟 踪和监督。

第十四条 内部控制环境评价

评价小组在现场评价过程中，要注重与被检查单位各级人员的交 流与沟通，通过访谈、调查、实地观察等形式了解并掌握被检查单位 内部控制环境，由评价小组负责人或授权其他人员填制《内部控制环 境评价工作底稿》，进而对被检查单位内部控制环境综合评价。

第十五条 单位自查情况评价

各职能部门、各分（子）公司（包括事业部）自查情况评价的内 容包括“业务流程半年度穿行测试”和“年度自查”。评价小组在现场 检查过程中对各职能部门、各分（子）公司（包括事业部）自查情况 进行验证和评价，由评价小组负责人或授权其他人员填制《内部控制 自查情况评价表》。

第十六条 业务流程综合评价

业务流程综合评价，执行如下程序和要求：

（一）确定适用业务流程范围。

参照内控手册确认被检查单位适用的业务流程范围。

（二）确定各单位的抽查范围。

根据业务流程检查需要，结合被检查单位的管理层级和产权结构

==> picture [102 x 58] intentionally omitted <==

5

情况，确定对被检查单位的抽查范围和数量

（三）确定适用控制点。

参照业务流程中的“适用单位”，结合业务实际发生情况，确定被 检查单位适用控制点。

（四）控制点抽样检查与记录。

业务流程控制点按其性质可分为“财务报告相关控制点”和“非 财务报告相关控制点”两类。凡在《风险控制矩阵》中注明的控制点 基本为“财务报告相关控制点”，其余为“非财务报告相关控制点”。

业务发生频率与样本抽取数量对照关系如下：

序号	业务发生频率	至少抽样数量
1	每年一次	1 笔
2	每年一次以上至每季度一次	2 笔
3	每季度一次以上至每月一次	2 笔
4	每月一次以上至每周一次	5 笔
5	每周一次以上至每天一次	15 笔
6	每天多次	25 笔

检查人员可根据需要，增加抽样数量。

（五）控制点评价。

控制点的评价，包括“不相容岗位（职务）分离情况评价”和“控 制点执行情况评价”两项内容。

第十七条 内部控制缺陷认定

内部控制缺陷按照性质划分为财务报告缺陷和非财务报告缺陷。 （一）财务报告缺陷认定

财务报告缺陷，是指不能及时防止或发现并纠正财务报告错报的 内部控制缺陷。依其严重程度分为一般缺陷、重要缺陷和重大缺陷。 （二）非财务报告缺陷认定

非财务报告缺陷，即企业内部管理缺陷，是指不直接影响财务报

==> picture [102 x 58] intentionally omitted <==

6

告，但不符合公司内部管理要求的事项。依据内控手册规定，存在突 出问题认定为企业内部管理缺陷，一般情况下企业内部管理缺陷视同 为“一般缺陷”，情节严重者报公司风控管理决策委员会审订，以确定 按“重要缺陷”或“重大缺陷”分类。

内部控制缺陷认定标准

标准	事项	事项	一般缺陷	一般缺陷	重要缺陷	重要缺陷	重大缺陷	重大缺陷
			上期 利润	净资产	上期 利润	净资产	上期 利润	净资产
定量 标准	公司级 （对外）		P〈5% (损益类)	NA〈0.5% （资产类）	5%〈P〈10% (损益类)	0.5%〈NA〈1% （资产类）	P〉10% (损益类)	NA〉1% （资产类）
	事业部级 （对内）		P〈3%	NA〈0.5%	3%〈P〈5%	0.5%〈NA〈1%	P〉5%	NA〉1%
定性 标准	经济损失		直接损失<10万元		直接损失10-50万		直接损失≥50万元
	目标 偏离	结果 偏离	偏离目标值10%		偏离目标值10%-20%		偏离目标值≥50%
		控制 偏离	一般业务流程非关键 控制点存在设计缺陷、 人员岗位匹配度低、不 作为或执行无效		主要业务流程一般控制点或一 般业务流程关键控制点存在设 计缺陷、人员岗位匹配度低、不 作为或执行无效。		主要业务流程关键控制 点存在重大设计缺陷、 人员严重偏离岗位要 求、不作为或执行无效。

第十八条 内控缺陷应对措施

根据评价小组现场评价结果和评价报告等，对内控缺陷进行认定 并提出应对措施，对应关系如下：

==> picture [102 x 58] intentionally omitted <==

7

内控缺陷严重程度、认定机构及纠偏措施间的对应关系

缺陷影响程度	应对方式	认定 机构	负责纠偏的 机构	应对措施
一般缺陷	关注或修正	审计部	各经营单位、各 职能部门	给予常规关注，或将目前状况调整至可接 受水平。
重要缺陷	修正	风控管理 委员会	高管层	领导班子应采取行动或者督促有关部门采 取行动解决存在的问题，阻止对控制目标产 生较大负面影响的事件的发生；属于设计环 节的缺陷，应在采取纠正措施的同时，着手 修订内控体系。
重大缺陷	修正	董事会	领导班子	董事会给予关注，并督促有关部门立即进 行原因分析、采取纠错行动；属于设计环节 的缺陷，应在采取纠正措施的同时，着手修 订内控体系。

第十九条 内部控制自我评价报告

公司审计部根据评价小组现场评价结果和评价报告等，起草公司

内部控制年度综合自我评价报告，报公司风控管理决策委员会审定。 年度综合自我评价报告至少应包括以下内容：

• （一） 内部控制制度是否建立健全；

• （二） 内部控制制度是否有效实施；

• （三） 内部控制评价工作情况；

• （四） 内部控制制度及其实施过程中出现的重大风险和处理情 况；

• （五） 完善内部控制度的有关措施；

• （六） 下一年度内部控制有关工作计划。

第三章 内部控制考核

第二十条 为调动全体员工参与内部控制活动的积极性，公司鼓励 员工以口头或书面方式向公司董事会或公司审计部反映公司内部控制

==> picture [102 x 58] intentionally omitted <==

8

存在的缺陷及实施中存在的问题并提出改进的建议和措施。对于提出 改进建议和措施的员工，公司将视具体情况给与奖励。

第二十一条 公司将所发现的内部控制缺陷及实施中存在的问题 列为各职能部门、各分子公司（包括事业部）KPI 绩效考核的重要项目 之一，对内部控制存在重要缺陷或重大缺陷，给公司造成严重影响或 损失的，报公司风控管理决策委员会审定，由人力资源部根据考核结 果对各单位进行兑现。

第四章 对外披露

第二十二条 公司内部控制对外披露是以年度综合自我评价为基 础，根据业务流程中与财务报告相关控制点的执行情况及其它有关事 项，对公司内部控制情况进行的定量评价和定性评价。

第二十三条 各单位对内部控制评价中发现的问题要立即采取相 应措施进行整改。凡与财务报告相关的重大缺陷整改后3 个月内完全 符合内部控制要求的，对外披露作出整改有效说明。

第二十四条 公司结合对外披露有关要求，形成内部控制管理层 自我评价报告，报公司风控管理决策委员会审定，经董事会审议后对 外披露。

第五章 附 则

第二十五条 本办法由公司董事会负责解释。 第二十六条 本办法经董事会审议通过后实施。

深圳市特发信息股份有限公司 二○一二年四月二十五日

==> picture [102 x 58] intentionally omitted <==

9