振华新材(688707):内部控制评价手册(2025年10月修订)
(2025年10月修订) 第一节 前言 一、编制目的 为加强和规范贵州振华新材料股份有限公司(以下简 称振华新材料或公司)内部控制评价工作,确保内部控制 体系健康稳定、持续高效运行,切实提高公司经营管理水 平和风险防范能力,根据国家法律法规和有关规定,结合 公司实际情况,编制本手册。 二、编制依据 (一)《企业内部控制基本规范》; (二)《企业内部控制应用指引》; (三)《企业内部控制评价指引》; (四)《企业内部控制审计指引》; (五)振华新材料《内部控制管理手册》、管理制度 及相应内部控制流程文档等。 三、适用范围 本手册所构建的内部控制评价体系适用于: (一)振华新材料相关业务和管理活动; (二)各子公司应遵循本手册,如遇不适用或例外情 况,参照本手册原则另行编制。 四、名词术语释义 内部控制评价,是指公司董事会和经营层实施的,对 内部控制的有效性进行全面评价,形成评价结论,出具评 价报告的过程。内部控制有效性,是指公司建立与实施内 部控制对实现控制目标提供合理保证的程度,包括内部控 制设计的有效性和内部控制运行的有效性。内部控制设计 的有效性,是指为实现控制目标所必需的内部控制要素 都存在并且设计适当。 内部控制的运行有效性,是指现有内部控制按照规定 程序得到了正确执行。补偿性控制是针对某些环节的不足 或缺陷而采取的控制措施,其目的是排除损失、错误和舞 弊,把风险水平限制在一定的范围内。例如:岗位轮换、 不定期盘点、突击检查等。内部控制缺陷,是指企业内部 控制的设计或运行无法合理保证内部控制目标的实现。 五、基本要求 公司董事会应当根据国家法律法规和监管规则及集 团要求,结合实际情况,围绕公司战略目标、经营管理的 效率和效果目标、财务报告目标、资产安全目标、合规目 标等单个或整体控制目标的实现程度,组织实施对公司内 部控制系统设计和执行的有效性进行定期或不定期的检 查、分析、评估、改进,以合理保证公司目标实现。 六、生效日期 本手册经公司董事会审议通过后生效,于2025年11月1 日施行。 第二节内部控制评价原则 一、全面性原则 评价工作应当包括内部控制的设计与运行,涵盖公司 及子公司的各种业务和事项,对实现控制目标的各个方面 进行全面、系统、综合的评价。 全面性含义: (一)公司各部门/子公司全部开展自查工作; (二)评价工作涵盖内部控制的全过程,包括决策、 执行和监督; (三)对与实现整体控制目标相关的内部环境、风险 评估、控制活动、信息与沟通、内部监督等内部控制要素 进行全面系统、针对性的评价。 二、重要性原则 评价工作应当在全面评价的基础上,关注重要业务部 门、重大业务事项和高风险领域。重要性含义: (一)在全面开展的基础上,对公司各部门/子公司的 重要流程进行内部控制测试; (二)参照《企业内部控制应用指引》强调的控制点, 突出重点。 三、客观性原则 评价工作应当准确地揭示经营管理的风险状况,如实 反映内部控制设计与运行的有效性。 公司各部门/子公司应在自查工作的基础上,准确地揭 示经营管理中存在的问题和风险状况,在内部控制自查报 告中如实反映、准确描述内部控制缺陷,客观评价内部控 制设计与运行的有效性。 四、以风险为导向原则 评价工作应当以风险为导向,根据风险发生的可能性 和对公司内部控制目标影响的程度确定需要评价的重点 业务单元、重要业务领域和重要流程环节。 五、及时性原则 评价工作应按照规定的时间进行,当经营管理环境发 生重大变化时,应及时进行重新评价。 第三节组织与职责分工 一、内部控制评价的组织机构 (一)建立健全和有效实施内部控制,并评价其有效 性是公司董事会的责任。 (二)在公司董事会和经理层的领导下,成立内部控 制评价工作小组,内部控制评价工作小组由内部审计机构 牵头组织,由公司各部门/子公司熟悉情况的业务骨干参与, 负责公司内部控制评价具体实施工作。内部控制评价工作 组成员应具有专业胜任能力,具有丰富的管理控制经验, 熟练掌握自我评价的方法和工具。 二、内部控制评价的职责分工 (一)董事会是内部控制评价的最高决策机构,审定 和批准内部控制评价报告,对内部控制的评价承担最终的 责任。其职责如下: 1.审阅和批准由管理层提交的内部控制自我评价报告; 2.批准由管理层提交的涉及内部控制整改的重大决策、 重大风险、重大事项; 3.审议和批准按照振华新材料《章程》规定由董事会 批准的内部控制管理相关制度和规章。 (二)审计委员会负责对董事会建立与实施的内部控 制进行监督,负责监督内部控制评价工作情况,听取和审 议内部控制评价报告,并提出相关意见和建议。 (三)公司成立内部控制评价领导小组,内部控制 评价领导小组的主要职责包括: 1.审议内部控制评价工作计划; 2.审议年度内部控制评价报告,并提出相关意见和建 议; 3.了解公司日常内部控制风险监控结果,根据内部控 制缺陷情况,审议内部控制整改方案和措施; 4.协调和解决公司跨部门的内部控制评价过程中出现 的重大事项; 5.听取和了解内部控制整改过程中出现的相关重大事 项,并按照董事会授权进行决策。 (四)公司成立内部控制评价检查小组,具体负责内 部控制评价工作,其主要职责包括: 1.确定开展年度内部控制设计有效性评价的工作范围 和方法; 2.确定开展年度业务控制活动运行有效性评价的工作 范围和方法; 3.实施内部控制设计和执行的有效性评价,并分析其 设计和执行的有效性。 4.内部控制评价工作小组负责内部控制评价的现场测 试工作,并提交测试评价报告。 (五)内部审计机构是内部控制评价归口管理部门, 负责公司内部控制评价日常管理和监督工作。具体职责主 要包括: 1.组织和参与内部控制检查小组,制定内部控制评价 工作方案,召开内部控制有效性评价启动会; 2.汇总各职能部门的评价工作结果并向公司内部控制 评价领导小组汇报; 3.收集、整理内部控制评价检查小组独立性测试评价 工作底稿和评价报告; 4.按照内部控制评价检查小组形成的内部控制有效性 结论,编写年度内部控制自我评价报告 5.督促内部控制缺陷整改。 (六)参与评价的公司各部门/子公司具体职责主要包 括: 1.组织本单位/部门的内部控制自我评价工作; 2.实施本单位内部控制自查,填写本单位内部控制自 查底稿并撰写报告,报送公司内部审计机构汇总; 3.提供可靠信息资料配合内部控制评价检查小组进行 内部控制测评和检查工作。 第四节内部控制评价的主要内容 一、股份公司的内部控制评价工作包括对公司层面 和业务层面的内部控制设计和运行情况进行全面评价。 二、公司层面内部控制评价主要包括与内部环境、 风险评估、控制活动、信息与沟通、内部监督等要素直 接相关的内部控制进行评价。 三、业务层面内部控制评价主要包括与资金活动、 采购业务、资产管理、销售业务、研究与开发、工程项 目、担保业务、业务外包、财务报告、全面预算、合同 管理、内部信息传递、信息系统等相关的内部控制进行 评价。具体评价标准详见《内部控制评价工作底稿》。 第五节内部控制评价工作程序 公司内部控制评价是对公司内部控制设计与运行情 况进行评价。包括公司治理结构、人力资源、发展战略、 资金活动、资产管理、合同管理、采购、销售等生产经营 管理的各项业务和事项。重点关注经营管理过程中的高风 险领域和重要业务事项。 公司每年将根据自身的业务变化情况、当年国内外环 境变化、监管机构的关注重点、当年的管控重点、公司当 年风险评估结果、外部审计师关注的重点以及以前年度审 核发现的缺陷等,调整公司各部门/子公司当年的评价工 作内容和重点。 按照公司《内部控制管理手册》、企业内部控制基 本规范及配套指引对各流程管控点和控制活动的要求,公 司各部门/子公司应至少每年进行一次自查。当公司整体 环境发生重大变化或部门职责、流程、人员等发生重大变 动时,可以适当地增加公司范围或部门范围内自我评价的 次数。 内部控制评价的主要工作程序为: 一、制定工作方案 在每年评价工作开始前,内部审计机构应当根据企业 内部监督情况和管理要求,分析公司经营管理过程中的高 风险领域和重要业务事项,确定评价方法,制定科学合理 的评价工作方案,明确评价范围、工作任务、人员组织、 进度安排和费用预算等相关内容,报经总经理审批后实施。 二、各单位自查 公司各部门/子公司对照自查工作底稿,对本部门或 本公司各项业务内部控制的设计和执行情况进行全面自 查,并整理归档相关设计和运行的证据材料。 (一)各部门/子公司对照内部控制手册完成自查工作 底稿 自查工作底稿是各部门/子公司开展自查工作和进行 流程改进的方法和依据,是在评价过程中,自查工作底稿 中的控制点对本部门/公司的控制设计和控制执行情况逐 项检查。对于年度内多次发生的控制事项,应检查是否达 到一贯执行;对于没有建立的制度,考虑是否需要补充; 对于虽无工作底稿中提到的制度或控制措施,但有相应的 替代措施,应考虑替代措施是否为最优控制措施,是否应 进一步改进和加强规范管理。 (二)各部门/子公司编制自查报告 各职能部门以部门为单位编制,子公司以公司为单位 编制。 各部门/子公司编制的自查报告应包含的要素有: 年度内部控制建设及风险管控情况;年度内部控制检 查监督工作开展情况;发现的流程管控缺陷;改进建议及 提出相应的改进措施;明确改进负责部门/人以及改进的 计划完成时间;内部控制评价期后事项披露等。报告撰写 人、部门负责人签字确认,以确保自查工作的准确性和真 实性。自查报告应当附上自查工作底稿,作为自查的原始 记录和依据。 三、汇总自查报告 根据各部门/子公司报送的自查报告,内部审计机构 对各部门/子公司自查报告和工作底稿填报的真实性、准确 性、完整性进行复核、分析和汇总,对发现的各类缺陷做 重点分析。 四、实施现场检查测试 公司内部控制评价工作小组对公司各部门/子公司的 自查工作进行检查审核,综合运用个别访谈、调查问卷、 专题讨论、穿行测试、实地查验、抽样和比较分析等评价 方法对内部控制设计和运行的有效性进行现场检查测试, 对自查中发现的各类缺陷做重点测试,按要求填写测试工 作底稿,记录相关测试结果,评价相关内部控制设计与运 行情况,确保自我评价的工作质量。 评价人员应遵循客观、公正、公平原则,如实反映 测试中发现的问题,并及时与被评价部门/子公司进行沟 通。评价工作底稿应由评价工作组负责人审核后签字确 认。评价工作组将评价结果及现场评价报告向被评价部门 /子公司进行通报,由被评价部门/子公司相关责任人签字 确认后,提交内部审计机构审核。重点测试步骤: (一)确定关键控制点设计是否合理 评价工作小组通过访谈、分析,了解关键控制环节设 计和风险点情况,确定被测试的风险控制点是否设计合理, 是否能够有效地控制风险; (二)实施现场测试 1.选取重点单位、重要流程的原则 (1)重点单位选取原则: 用以记录执行过程、内容及支撑评价结果的一系列工 作文档。各部门/子公司对照能够体现公司内部控制管理 的重心和核心;侧重于对合并财务报告的影响。 (2)重要流程选取原则: 选取能够涵盖公司各板块的主要业务流程;能够体现 公司内部控制的重心和核心;能够涵盖各重点部门/子公 司重大风险的流程;侧重于对财务报告认定有重大影响的 流程。 2.测试步骤 根据业务活动或控制程序的流程描述,由具体测试人 员实施以下测试步骤: (1)访谈相关工作人员; (2)检查相关控制证据; (3)观察实际操作流程; (4)进行流程的再执行。 五、认定内部控制缺陷 内部控制评价工作小组综合运用个别访谈、调查问卷、 专题讨论、穿行测试、实地查验、抽样和比较分析等方法, 收集公司内部控制设计与运行的有效性的相关证据,对内 部控制缺陷进行初步认定。 由内部审计机构编制内部控制缺陷认定汇总表,结合 日常监督和专项监督发现的内部控制缺陷及其持续改进 情况,对内部控制缺陷及其成因、表现形式和影响程度进 行综合分析和全面复核,提出认定意见,并以适当的形式 向董事会、审计委员会或者经理层报告。重大缺陷由董事 会予以最终认定。 对于发现的重大缺陷,将要求有关责任部门及时采取 应对措施,将风险控制在可承受度之内,并按公司的有关 规定追究有关部门或相关人员的责任。公司在下一年度 的内部控制检查评价或组织专项检查中对上一年度的缺 陷整改情况进行检查,以确认整改工作的效果以及控制措 施运行的有效性。 六、缺陷整改 公司对发现的内部控制缺陷,要求责任部门及时整 改,并跟踪其整改落实情况。 七、编制内部控制评价报告 公司汇总年度评价结果,结合内部控制评价工作底稿 和发现内部控制缺陷的整改情况,按照规定的格式、时间 等要求,编制公司内部控制评价报告,并报送公司审计委 员会、董事会最终审定后对外披露。 内部控制评价报告的要素:董事会对内部控制报告真 实性的声明;内部控制评价工作的总体情况;内部控制评 价的依据;内部控制评价的范围;内部控制评价的程序和 方法;内部控制缺陷及其认定情况;内部控制缺陷的整改 情况及重大缺陷拟采取的整改措施;内部控制有效性的结 论等。 (一)内部控制评价报告应当分别对内部环境、风险 评估、控制活动、信息与沟通、内部监督等要素进行设计, 对内部控制评价过程、内部控制缺陷认定及整改情况、内 部控制有效性的结论等相关内容作出披露。 (二)公司对外报告的内部控制评价报告应根据监管 机构每年确定的格式内容要求撰写和披露。 (三)公司各部门/子公司的内部控制自查报告根据公 司当年的管理重点撰写,准确地揭示经营管理中存在的问 题和风险状况,在内部控制评价报告中如实反映、准确描 述内部控制缺陷。 (四)公司应当根据内部控制评价结果,结合内部控 制评价工作底稿和内部控制缺陷汇总表等资料,按照规定 的程序和要求,及时编制年度内部控制评价报告。 (五)内部控制评价报告应当报经董事会批准后对外 报出。内部控制评价工作小组应当关注自内部控制评价报 告基准日至内部控制评价报告发出日之间是否发生影响 内部控制有效性的因素,并根据其性质和影响程度对评价 结论进行相应调整。 (六)公司内部控制评价报告应当与内部控制审计报 告同时对外披露或报送。 (七)公司以12月31日作为内部控制评价报告的基准 日。内部控制评价报告应于基准日后4个月内向相关外部监 管机构提交及报送。 第六节自我评价方法 一、个别访谈法 个别访谈,指根据检查与评价需要,调查员与被评价 部门/子公司员工单独进行的访谈活动,以获取有关信息, 具有保密性强,访谈形式灵活,调查结果准确,访问表回 收率高等优点。 二、调查问卷法 问卷调查是指通过设置问卷调查表,分别对不同岗位、 不同层次的员工进行问卷调查,根据调查结果对相关项目 作出评价。是书面访问调研的一种重要形式,主要用于对 企业层面进行评价。 三、穿行测试法 穿行测试法,是指在企业业务流程中,任意选取一份 全过程的文件作为样本,并追踪该样本从起点到终点的全 过程,以了解整个业务流程的执行情况的评价方法。主要 应用于对业务流程和具体业务的测试和评价。 四、抽样法 抽样法,是指针对具体的内部控制业务流程,按照业 务发生频率及固有风险的高低,按一定比例从确定的抽样 总体中抽取一定数量的业务样本,对业务样本的符合性进 行判断,进而对业务流程控制运行的有效性作出评价。 五、实地查验法 实地查验法主要针对业务层面控制,通过对企业财产 进行盘点、清查,以及针对业务流程中的各个控制环节进 行现场查验等方式,进行控制测试。如现场查验存货出、 入库环节。 六、比较分析法 比较分析法也称对比分析法,是指通过分析企业经营 中的各类数据,比较数据间的关系、比率和趋势来进行有 效评价。 七、标杆法 标杆法是指通过与行业内具有相同或相似经营活动 的标杆企业进行比较,而对内部控制设计有效性进行评价 的方法。是将公司经营的各方面状况和环节与竞争对手或 行业内外一流的企业进行对照分析的过程,是一种评价自 身企业和研究其他组织的手段,是将外部企业的持久业绩 作为自身企业的内部发展目标并将外界的最佳做法移植 到本企业的经营环节中去的一种方法。 八、重新执行法 重新执行是指评价人员根据有关资料和业务处理程 序,以人工方式或使用计算机辅助审计技术,重新处理一 遍业务,并比较其结果,进而判断企业内部控制执行的有 效性,是一种通过对某一控制活动全过程的重新执行来评 估内部控制执行情况的方法。 九、专题讨论法 专题讨论法是指集中与业务流程有关的专业人员就 内部控制执行情况或控制缺陷进行分析,既可以是控制评 价的手段,也是形成缺陷整改方案的途径。比如,对于同 时涉及企业多个业务部门的控制缺陷,由内部控制管理部 门组织召开专题讨论会议,综合各方面意见,研究确定整 改方案。 第七节内部控制缺陷认定 一、内部控制缺陷的分类 (一)根据缺陷的成因或来源,内部控制缺陷包括设计 缺陷和运行缺陷。 1.设计缺陷是指缺少为实现控制目标所必需的控制,或 现存控制设计不适当、即使正常运行也难以实现控制目标。 2.运行缺陷是指设计有效(合理且适当)的内部控制, 但由于运行不当(包括由不恰当的人执行、未按设计的方式 运行、运行的时间或频率不当、执行者没有获得必要授权、 没有得到一贯有效运行等)导致无法有效实现控制目标而形 成的内部控制缺陷。 (二)根据缺陷的具体表现形式,内部控制缺陷可以分 为财务报告内部控制缺陷和非财务报告内部控制缺陷。 财务报告内部控制缺陷,是指在会计确认、计量、记录 和报告过程中出现的,对财务报告的真实性、准确性、完整 性和可靠性产生直接影响的控制缺陷。 非财务报告内部控制缺陷,是指虽不直接影响财务报告 的真实性、准确性、完整性和可靠性,但对企业经营管理的 合法合规、资产安全、经营的效率和效果等控制目标的实现 存在不利影响的其他控制缺陷。 (三)按照缺陷对控制目标的影响程度,内部控制缺陷 可分为重大缺陷、重要缺陷和一般缺陷。 1.重大缺陷,是指一个或多个控制缺陷的组合,可能导 致公司严重偏离控制目标。 2.重要缺陷,是指一个或多个控制缺陷的组合,其严重 程度和经济后果低于重大缺陷,但仍有可能导致公司偏离控 制目标。 3.一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺 陷。 二、内部控制缺陷认定的范围和内容 内部控制缺陷认定是指通过公认的、科学的、合理的方 法和标准,对企业内部控制设计和运行中存在的问题进行分 析和评价,确定内部控制缺陷的重要性和对企业控制目标的 影响程度的过程。 公司内部控制缺陷认定的范围应当包括在日常监督、专 项监督过程中发现的控制缺陷,以及公司在年度内部控制评 价及测试过程中发现的控制缺陷。根据内部控制缺陷的成因 和来源不同,内部控制缺陷认定分为企业层面和业务层面的 设计有效性控制缺陷和运行有效性控制缺陷。 三、内部控制缺陷的认定标准 内部控制缺陷认定标准是企业内部控制评价结论形成 的依据。对于内部控制评价过程中发现的控制缺陷,公司应 当根据评价指引,结合自身的实际情况和关注重点,制定适 应企业的内部控制重大缺陷、重要缺陷和一般缺陷的认定标 准。鉴于内部控制缺陷的表现形式和影响目标不同,可以从 公司层面与业务层面、财务报告与非财务报告两个方面来区 分内部控制缺陷的认定标准。 (一)公司层面内部控制缺陷的认定标准 公司层面内部控制是业务层面内部控制的基础,属于与 财务报告间接相关的内部控制。应关注如下定性因素: 1.缺陷在企业中的普遍性,是否具有广泛性影响; 2.缺陷对企业层面控制各组成要素的相对重要性; 3.管理层凌驾的风险包括考虑舞弊的可能性、以往内部 控制缺陷记录、表明内部控制风险增加的迹象等; 4.控制运行有效性方面已发现的例外情形的性质、原因 和频次; 5.缺陷可能的潜在影响。 公司层面内部控制缺陷具体认定标准如下:
业务层面内部控制可以分为与财务报告直接相关的内 部控制和与财务报告间接相关的内部控制。业务层面内部控 制缺陷的认定可以采用定性、定量或定性与定量相结合的方 法。 1.财务报告内部控制缺陷的认定标准 财务报告内部控制是指针对财务报告目标而设计和实 施的内部控制。 财务报告内部控制的缺陷主要是指不能合理保证财务 报告可靠性的内部控制设计和运行缺陷。 财务报告内部控制缺陷的认定标准,可由该缺陷可能导 致财务报表错报的重要程度来确定。 财务报告内部控制缺陷一般通过定量的方法予以确定: (1)重大缺陷。如果一项内部控制缺陷单独或连同其 他缺陷,具备合理可能性而导致不能及时防止或发现并纠正 会计报表中的重大错报,应将其认定为重大缺陷。其中,重 大错报中的“重大”,涉及公司确定的财务报告的重要性水 平。可采用绝对金额法或相对比例法来确定重要性水平。 (2)重要缺陷。如果一项内部控制缺陷单独或连同其 他缺陷,具备合理可能性导致不能及时防止、发现并纠正会 计报表中的错报,虽然未达到和超过重要性水平,但仍应引 起董事会和经理层的重视,应将其认定为重要缺陷。 (3)一般缺陷。不构成重大缺陷和重要缺陷的财务报 告内部控制缺陷,应认定为一般缺陷。 业务层面财务报告内部控制缺陷如下:
非财务报告内部控制是指针对除财务报告目标之外的 其他目标的内部控制,如战略目标、经营目标、合规目标等。 公司可根据实际情况,参照财务报告内部控制缺陷的认 定标准,合理确定非财务报告内部控制缺陷的定量和定性认 定标准。 2.1业务层面非财务报告内部控制缺陷具体认定定量标 准:
准: 出现以下情形的,认定为重大缺陷: ①缺乏民主决策程序,如缺乏“三重一大”决策程序; ②决策程序不科学,如决策失误导致并购不成功、损失 很大; ③违反国家法律法规,如环境污染、不按规定进行信息 上报或披露等; ④主要媒体负面新闻一年出现两次以上; ⑤内部控制评价结果特别是重大或重要缺陷未得到整 改; ⑥重要业务缺乏制度控制或制度系统失效; 出现以下情形的,认定为重要缺陷: ①未依照公认的会计准则选择和应用会计政策; ②未建立反舞弊程序和控制措施; ③对于非常规或特殊交易的账务处理没有建立相应的 控制机制或没有实施,且没有相应的补偿性控制; ④对于期末财务报告过程的控制存在一项或多项缺陷 且不能合理保证编制的财务报表达到真实准确的目标。 一般缺陷:未构成重大缺陷、重要缺陷标准的其他内部 控制缺陷。 五、内部控制缺陷的报告与整改 (一)内部控制缺陷的报告 企业应当对发现的内部控制缺陷及其认定情况,以适当 的形式向董事会、审计委员会或经理层报告,以使管理层及 有关部门能够有效地整改、完善内部控制。 (二)内部控制缺陷的整改 公司对发现的内部控制缺陷,要求责任部门及时整改, 并跟踪其整改落实情况。 中财网
 |