友好集团(600778):友好集团内部控制评价制度(2025年10月修订)
内部控制评价制度 (2025年10月修订) 第一章 总则 第一条 为了加强公司的内部控制,全面评价内部控制的设计与运行情况,规范内部控制评价程序和报告,揭示和防范风险,及时发现公司内部控制缺陷,提出、实施改进方案,确保内部控制有效运行,提高管理水平,依据《企业内部控制基本规范》,结合公司实际情况,特制订本制度。 第二条 内部控制评价是指公司董事会对公司内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。 第三条 公司实施内部控制评价,进一步优化管理控制制度,促进公司内部控制体系的不断完善。通过评价报告,反映公司在内部控制建立与实施中存在的问题。通过内部控制评价查找、分析内部控制缺陷并有针对性地督促、落实、整改,及时堵塞管理漏洞,防范偏离目标的各种风险。 第四条 本制度适用新疆友好(集团)股份有限公司(以下简称“公司”)各部室、各门店、酒店及各分公司、全资子公司,控股子公司参照执行。 第二章 内部控制评价组织机构及职责 第五条 董事会对内部控制评价报告的真实性负责并对内部控制评价承担最终责任。 第六条 公司董事会授权审计委员会统一领导公司内部控制评价工作,审计委员会对公司董事会负责。 第七条 审计委员会负责内部控制评价的组织、领导和监督,听取内部控制评价报告,审定内部控制重大缺陷和重要缺陷的整改意见,积极协调整改过程中所遇到的问题。 第八条 公司内控管理部门是内部控制评价工作机构,具体由质量保证(内控)中心组织公司相关部门协助审计委员会完成对公司内部控制的测试和评价。 第九条 公司总经理负责组织实施内部控制评价工作,积极支持和配合内部控制评价工作的开展并为之创造良好的环境和条件;结合日常掌握的业务情况,提出内部控制评价应重点关注的业务或事项;审定内部控制评价方案,听取内部控制评价报告;对于内部控制评价中发现的问题或报告的缺陷,积极采取有效措施予以整改。 第十条 公司成立内部控制评价小组负责内部控制评价的具体组织实施工作;通过复核、汇总、分析内部监督资料,结合公司总经理要求,制定合理内部控制评价工作方案并认真组织实施。 第十一条 公司内部控制评价小组对评价过程中发现的重大问题,及时与审计委员会或公司总经理沟通;认定内部控制缺陷,制定内部控制整改方案,编制内部控制评价报告,及时报告内部控制缺陷和内部控制评价工作。 第十二条 公司内部控制评价采取“公司综合检查评价”和“各分子公司自查”两种形式。“公司综合检查评价”是公司审计委员会对各单位内部控制实施情况的综合评价,每年选取一定数量的单位进行评价。 第十三条 公司各分子公司应当逐级落实内部控制评价责任,建立日常监控机制,认真开展内控自查、定期检查评价工作。每年组织完成一次全面内控测试评价工作。内控评价发现问题并认定内部控制有缺陷,须拟订整改方案和计划,报公司主管副总经理审定后,予以整改,同时编制内部控制评价报告。 第三章 内部控制评价内容 第十四条 公司的内部控制制度围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,建立内部控制评价核心指标体系,对内部控制设计与运行情况进行全面评价。 1、内部环境评价。对公司组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本公司的内部控制制度,组织开展内部环境评价,对内部环境的设计及实际运行情况进行认定和评价。重点关注治理结构是否形同虚设,发展战略是否可行,机构设置是否重叠,权责分配是否明晰,不相容岗位是否分离,人力资源政策和激励约束机制是否科学合理,企业文化是否促进员工勤勉尽责,社会责任是否有效履行等。 2、风险评估评价。以各项应用指引中所列主要风险为依据,对公司日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。 3、控制活动评价。以各项应用指引中的控制措施为依据,对公司各类业务控制措施与流程的设计有效性和运行有效性进行认定和评价,特别是对重大事项的控制措施的设计和运行情况进行认定和评价。 4、信息与沟通评价。以内部信息传递、财务报告、信息系统等相关应用指引为依据,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。 5、内部监督评价。以公司有关内部监督的要求及各项应用指引中有关日常管控的规定为依据,对公司内部监督机制的有效性进行认定和评价,重点关注审计委员会、审计部门等是否在内部控制设计和运行中有效发挥监督作用。 第十五条 内部控制评价工作要形成工作底稿,详细记录公司执行评价工作内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。 第四章 内部控制评价方法和程序 第一节 内部控制评价方法 第十六条 内部控制评价方法: 1、个别访谈法。根据检查评价需要,对被评价单位员工进行单独访谈,以获取有关信息。 2、调查问卷法。设计问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目做出评价。 3、专题讨论法。通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估。 4、穿行测试法。通过抽取一份全过程的文件,来了解整个业务流程执行情况。 5、实地查验法。对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。 6、重新执行法。通过对某一个控制活动全过程的重新执行来评估控制执行情况。 7、抽样法。针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性做出评价。 8、比较分析法。通过分析、比较数据间的关系、趋势或比率来取得评价证据。 第二节 内部控制评价程序 第十七条 制定评价工作方案。内部控制评价工作方案由公司内控管理部门质量保证(内控)中心根据相关要求和实际经营管理需要,确定内部控制的检查评价方法,制定评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,经公司总经理批准后实施。评价工作方案既以全面评价为主,也可根据需要采用重点评价的方式。 第十八条 组成评价工作组。根据经批准的评价工作方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应吸收公司内部相关部门熟悉情况的、参与日常监控的负责人或业务骨干参加,分成若干评价小组。评价工作组成员对本部门的内部控制评价工作实行回避制度。公司可以委托会计师事务所等中介机构实施内部控制评价,但不得选择同时为公司提供内部控制审计服务的中介机构。 第十九条 发出评价通知。内部控制评价工作组根据内部控制评价计划,提前一周向被评价单位发出书面评价通知。通知内容包括:评价时间、评价范围和被评价单位应做的准备工作等。 第二十条 实施现场测试。内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,广泛收集被评价单位内部控制设计和运行是否有效的证据。按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。 1、了解被评价单位基本情况。与被评价单位充分沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。 2、确定检查评价范围和重点。根据所掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。 3、现场检查测试。根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,并按要求填写工作底稿、记录相关测试结果。评价工作底稿需经检查人、复核人确认。 第二十一条 汇总评价结果。 1、内部控制评价小组汇总评价结果,对现场初步认定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级,并将发现的缺陷报被测评单位负责人确认。 2、内部控制评价工作组应当以各小组汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制《内部控制评价报告》,并报送公司总经理、董事会和审计委员会。 第二十二条 反馈和跟踪 1、内部控制评价小组在完成内部控制评价报告后,向被评价单位管理层出示评价报告。被评价单位管理层收到评价报告后,如果有不同意见,可以在十个工作日内提出并附上有关证据资料。内部控制评价小组对被评价单位提供的证据资料进行鉴定研究后,在十个工作日内做出是否修改评价报告的决定。 2、对于认定的内部控制缺陷,内部控制评价小组应当结合公司总经理和审计委员会的整改意见,拟订整改方案,按规定程序和权限报经批准后,督促责任单位及时整改,并跟踪其整改落实情况。 第五章 内部控制缺陷的认定 第一节 内部控制缺陷的分类 第二十三条 内部控制缺陷按照其成因或来源分为设计缺陷和运行缺陷。设计缺陷是指公司缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。内部控制的设计缺陷和运行缺陷,影响内部控制的设计有效性和运行有效性。 第二十四条 内部控制缺陷按照其影响控制目标实现的严重程度分为重大缺陷、重要缺陷和一般缺陷。 1、重大缺陷:是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中做出内部控制无效的结论。 2、重要缺陷:是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控制目标。重要缺陷虽不会严重危及内部控制的整体有效性,但也应当引起董事会和公司总经理的充分关注。 3、一般缺陷:是指除重大缺陷、重要缺陷之外的其他缺陷认定控制缺陷。 第二节 内部控制缺陷的认定标准 第二十五条 公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准。公司确定的内部控制缺陷认定标准如下:(一)财务报告内部控制缺陷认定标准 1、公司确定的财务报告内部控制缺陷评价的定量标准如下: 定量标准以营业收入、资产总额作为衡量指标。 内部控制缺陷可能导致或导致的损失与利润表相关的,以营业收入指标衡量。 如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入的0.5%,则认定为一般缺陷;如果超过营业收入的0.5%但小于1%,则为重要缺陷;如果超过营业收入的1%,则认定为重大缺陷。 内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的0.5%,则认定为一般缺陷;如果超过资产总额的0.5%但小于1%,认定为重要缺陷;如果超过资产总额1%,则认定为重大缺陷。 注:上述所指金额单位均为人民币。 2、公司确定的财务报告内部控制缺陷评价的定性标准如下: 财务报告重大缺陷的迹象包括: (1)公司董事和高级管理人员舞弊行为; (2)公司更正由于舞弊或错误导致的已公布的财务报告出现重大错报的;(3)注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报; (4)公司审计委员会和审计部门对公司的对外财务报告和财务报告内部控制监督无效。 财务报告重要缺陷的迹象包括: (1)未依照公认会计准则选择和应用会计政策; (2)未建立反舞弊程序和控制措施; (3)对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制; (4)对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。 一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。 (二)非财务报告内部控制缺陷认定标准 1、公司确定的非财务报告内部控制缺陷评价的定量标准如下: 根据该内部控制缺陷导致的直接财产损失金额,确定缺陷等级标准:重大缺陷 1000万元以上(含1000万元) 重要缺陷 500万元(含500万元)--1000万元; 一般缺陷 50万元(含50万元)--500万元 注:不可抗力除外。上述所指金额单位均为人民币。 2、公司确定的非财务报告内部控制缺陷评价的定性标准如下: 重大缺陷:缺乏集体决策程序;决策程序不科学,导致重大失误;中高级管理人员和高级技术人员流失严重;内部控制评价发现的结果,特别是重大缺陷未得到整改;重要业务缺乏制度控制或制度系统性失效;其他对公司产生重大负面影响的情形。 重要缺陷:集体决策程序存在但不够完善;决策程序导致出现一般失误;关键岗位业务人员流失严重;内部控制重要缺陷未得到整改;重要业务制度或系统存在缺陷;其他对公司产生较大负面影响的情形。 一般缺陷:决策程序效率不高;一般岗位业务人员流失严重;一般业务制度或系统存在缺陷;一般缺陷未得到整改。 第三节 内部控制缺陷的报告与整改 第二十六条 内部控制评价工作组编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,针对财务报告内部控制缺陷,还应当反映该缺陷对财务报告的具体影响,并以书面形式向审计委员会和公司总经理报告。重大缺陷由董事会予以最终认定。 第二十七条 公司在日常监督、专项监督和年度评价工作中,应当充分发挥内部控制评价工作组的作用。内部控制评价小组应当根据现场测试获取的证据,初步判断内部控制的缺陷,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷,及时将内部控制缺陷报告内部控制评价工作组。 第二十八条 内部控制评价工作组报告内部控制缺陷应当遵循以下原则:1、一般缺陷和重要缺陷定期(至少每年)报告。 2、重大缺陷立即报告。 3、重大缺陷和重要缺陷向审计委员会和公司总经理报告。如果存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之上的情形,直接向审计委员会报告。 4、一般缺陷可以向公司总经理报告,并视情况考虑是否需要向审计委员会报告。 第二十九条 公司对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。 第三十条 缺陷认定与负责采取纠偏措施两者间要权责对应。不同严重程度的缺陷由于风险、控制层次、纠偏难度(纠偏所涉及的部门或动用的资源)存在着差别,需要由不同层级来认定和承担纠偏责任。对于认定的属于运行环节的缺陷,应通过加强监督、提高执行力度的方法解决;对属于设计环节的缺陷,应在采取纠正措施的同时,着手修订内控设计。具体如下表所示:
第三十二条 回复及整改要求。对内控评价或内控审计发现的缺陷,由公司内控管理部门质量保证(内控)中心填制《整改意见书》下发至相关部门,相关部门根据《整改意见书》,填写《回复及整改方案》经部门负责人审核、主管副总经理审批后进行整改。属于内控手册、内控制度设计方面的缺陷,由相关部门填制《文件更改申请表》经部门负责人、主管副总经理审核后,报公司内控管理部门质量保证(内控)中心。公司内控管理部门质量保证(内控)中心依据内部控制手册要求收集、汇总、填写《内部控制手册修订意见单》报公司内部会议讨论后,报公司总经理审批。审批通过后,由公司内控管理部门质量保证(内控)中心组织、实施、修订、发布。同时,将旧版本内控制度、内控手册及《内部控制手册修订意见单》回收作废、保存归档。 第六章 内部控制评价报告 第一节 编制内部控制评价报告 第三十三条 公司根据《企业内部控制基本规范》、应用指引和评价指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求。 第三十四条 内部控制评价报告按照编制主体、报送对象和时间,分为对内报告和对外报告。对外报告的内容、格式和时间符合中国证监会和上海证券交易所的要求;对内报告的内容、格式和时间符合董事会和公司总经理的要求。 第三十五条 公司内部控制评价报告应当分内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容做出披露。 第三十六条 公司应当根据内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求及时组织编制内部控制评价报告。 第二节 内部控制评价报告的审批和披露 第三十七条 内部控制评价报告至少应当披露下列内容: 1、董事会对内部控制评价报告真实性的声明。 2、内部控制评价工作的总体情况。 3、内部控制评价的依据。 4、内部控制评价的范围。 5、内部控制评价的程序和方法。 6、内部控制缺陷及其认定情况。 7、内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。 8、内部控制有效性的结论。 第三十八条 内部控制评价报告报经董事会批准后对外披露或报送相关部门。 第三十九条 内部控制评价工作组应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。 第四十条 会计师事务所对公司的《内部控制审计报告》与公司的《内部控制评价报告》同时对外披露或报送。 第四十一条 公司以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告于基准日后4个月内报出。 第四十二条 内部控制评价的有关文件资料、工作底稿和证明材料等按照档案管理的要求妥善保管。 第七章 附则 第四十三条 本制度未尽事宜按国家法律、法规、规范性文件和《公司章程》的规定执行。 第四十四条 本制度与国家法律、法规、规范性文件和《公司章程》的规定不一致的,以有关国家法律、法规、规范性文件和本公司章程规定为准。 第四十五条 本制度由公司内控管理部门拟定,自公司董事会审议通过之日起施行。 中财网
 |