华峰铝业(601702):上海华峰铝业股份有限公司内部控制评价管理办法

时间：2025年11月12日 16:55:30 中财网

原标题:华峰铝业:上海华峰铝业股份有限公司内部控制评价管理办法

上海华峰铝业股份有限公司
内部控制评价管理办法
(2025年11月修订)
第一章 总则
第一条 为规范上海华峰铝业股份有限公司（以下简称“公司”）内部控制评价工作，完善内部控制评价程序与报告，有效识别与防范风险，根据《中华人民共和国公司法》、《中华人民共和国证券法》、《企业内部控制基本规范》、《企业内部控制应用指引》、《上海证券交易所股票上市规则》、《上海证券交易所上市公司自律监管指引第1号——规范运作》等法律法规及规范性文件，结合公司实际情况，制定本办法。

第二条 本办法所称内部控制评价，是指公司董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。

第三条 本办法适用于公司及其下属所有单位，包括公司各部门、全资子公司、控股子公司及其他具有重大影响的参股公司。

第四条 内部控制评价应遵循以下原则：
（一）全面性原则。评价应覆盖内部控制的设计与运行，涵盖公司及下属单位各项业务与事项；
（二）重要性原则。评价应重点关注重要业务单位、重大业务事项和高风险领域；
（三）客观性原则。评价应真实、准确反映内部控制的设计与运行状况及风险水平；
（四）适应性原则。评价应结合公司发展阶段、业务特点及风险变化动态调整。

第二章 组织与职责
第五条 公司内部控制评价组织体系包括：董事会、董事会审计委员会、公司管理层、审计部。

第六条 董事会对内部控制评价承担最终责任，对评价报告的真实性、完整性负责，审批评价方案，审议评价报告，审定重大和重要缺陷的整改措施。董事会可授权审计委员会履行相关职责。

第七条 董事会审计委员会负责监督内部控制评价工作，对董事会负责，具体职责包括：
（一）指导监督内部审计制度的建立与实施；
（二）审议年度内部控制评价计划；
（三）监督评价工作的实施；
（四）指导审计部的运作，接收其工作报告；
（五）向董事会报告内部控制评价进展及重大发现；
（六）协调内外部审计工作；
（七）监督公司内部控制制度的建立和完善，并对公司内部控制的有效性进行定期评估。

第八条 审计部是内部控制评价的责任部门，对董事会审计委员会负责，主要职责包括：
（一）检查评估公司及各下属单位内部控制的有效性；
（二）审计财务报告及相关经济活动的合法性、真实性、完整性；
（三）协助建立反舞弊机制并监督其运行；
（四）定期向审计委员会报告内部控制评价进展及发现的问题；
（五）督促缺陷整改并进行后续审计；
（六）组织编制内部控制评价报告。

第九条 各下属单位内部控制评价工作组负责本单位内部控制的自评、缺陷整改及配合公司审计部完成评价工作。

第三章 评价内容
第十条 内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，全面评价内部控制设计与运行的有效性。

第十一条 公司组织开展内部环境评价从组织架构、发展战略、人力资源、企业文化、社会责任等各方面，结合公司的各项内控管理制度，对内部环境的设计及实际运行情况进行认定和评价。

第十二条 公司组织开展风险评估，结合公司的各项内控管理制度，及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程。风险评估评价的内容包括目标设定、信息收集、风险识别、风险分析、风险应对等。

第十三条 公司组织开展控制活动评价，结合公司各项内控管理制度，对相关控制措施的设计和运行情况进行认定和评价。

第十四条 公司组织开展信息与沟通评价，结合公司各项内控管理制度，对信息收集、处理和传递的及时性、反舞弊机制的健全、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

第十五条 公司组织开展内部监督，结合公司各项内控管理制度，对公司内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进的过程。内部监督评价对内部监督机制的有效性进行认定和评价，重点关注审计委员会、审计部等是否在内部控制设计和运行中有效发挥监督作用。

第十六条 除法律法规另有规定外，董事会审计委员会应当督导审计部至少每半年对下列事项进行一次检查，出具检查报告并提交审计委员会。检查发现公司存在违法违规、运作不规范等情形的，应当及时向上海证券交易所报告：（一）公司募集资金使用、提供担保、关联交易、证券投资与衍生品交易、提供财务资助、购买或者出售资产、对外投资等重大事件的实施情况；（二）公司大额资金往来以及与董事、高级管理人员、控股股东、实际控制人及其关联人资金往来情况。

第十七条 审计委员会应当根据审计部提交的内部审计报告及相关资料，对公司内部控制有效性出具书面的评估意见，并向董事会报告。董事会或者审计委员会认为公司内部控制存在重大缺陷或者重大风险的，或者保荐人、会计师事务所指出公司内部控制有效性存在重大缺陷的，董事会应当及时向上海证券交易所报告并予以披露。公司应当在公告中披露内部控制存在的重大缺陷或者重大风险、已经或者可能导致的后果，以及已采取或者拟采取的措施。

第四章 内部控制评价程序
第十八条 公司内部控制评价程序包括：制定年度内控评价工作方案、组成评价组、实施内部控制评价工作、认定控制缺陷、汇总评价结果、编制评价报告等环节。

第十九条 每年年末，审计部应当拟订内控评价工作方案，明确工作任务、人员组织和费用预算等相关内容，经公司管理层确认后报审计委员会批准后实施。

第二十条 审计部应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。公司根据情况可以委托中介机构实施内部控制评价检查工作。为公司提供内部控制审计服务的会计师事务所，不得同时为公司提供内部控制评价服务。

第二十一条 内部控制评价工作组应当综合运用人员访谈、调查问卷、专题讨论、穿行测试、实地抽样等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，研究分析内部控制缺陷。

第二十二条 董事会或者审计委员会应当根据公司内部审计工作报告及相关信息，评价公司内部控制的建立和实施情况，形成内部控制评价报告。董事会应当在审议年度报告等事项的同时，对公司内部控制评价报告形成决议。

公司应当在披露年度报告的同时，披露年度内部控制评价报告，并同时披露会计师事务所出具的内部控制审计报告。

第五章 内部控制缺陷的认定
第二十三条 内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指公司缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。

第二十四条 内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以认定。

第二十五条 内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷，是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标；重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标；一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

第二十六条 财务报告内部控制缺陷认定标准
（一）财务报告内部控制缺陷评价的定量标准
1、重大缺陷：

项目	缺陷影响
利润总额潜在错报	错报利润总额的5%及以上
资产总额潜在错报	错报资产总额的1%及以上
营业收入潜在错报	错报营业收入的1%及以上

2、重要缺陷：

项目	缺陷影响
利润总额潜在错报	利润总额的3%≤错报<利润总额的5%
资产总额潜在错报	资产总额的0.5%≤错报<资产总额的1%
营业收入潜在错报	营业收入总额的0.5%≤错报<营业收入总额的1%

3、一般缺陷：

项目	缺陷影响
利润总额潜在错报	错报<利润总额的3%
资产总额潜在错报	错报<资产总额的0.5%
营业收入潜在错报	错报<营业收入总额的0.5%

（二）财务报告内部控制缺陷评价的定性标准
1、单独缺陷或连同其他缺陷，导致不能及时防止或发现并纠正财务报告中的重大错报。出现下列情形的，认定为重大缺陷：
（1）财务报告的任何舞弊；
（2）对已公布/披露的财务报告进行重报，以更正重大错误；
（3）审计中发现重大错报，需进行调整；
（4）内部审计对财务报告的监督无效等。

2、单独缺陷或连同其他缺陷，导致不能及时防止或发现并纠正财务报告中虽不构成重大错报但仍应引起管理层重视的错报：
（1）财务报告内控缺陷整改情况不理想；
（2）集团内就同一交易、事项的会计政策不统一；
（3）会计政策的制定未结合公司实际情况，直接照搬准则（上市公司），实际操作存在较大的人为因素；
（4）对非常规、特殊和复杂交易未给予足够重视，影响实际的会计处理工作；
（5）期末财务报告的编制不规范。

第二十七条 非财务报告内部控制缺陷认定标准
非财务报告内部控制缺陷评价的定量标准如下表：

指标 名称	重大缺陷 定量标准	重要缺陷 定量标准	一般缺陷 定量标准
直接财 产损失 金额	3000万以上或高 于公司净资产总 额1%	1500万元—3000万元（含） 或低于公司净资产总额1%高 于0.5%	1500万元及以下或 低于公司净资产总 额0.5%

非财务报告内部控制缺陷评价的定性标准如下表：

缺陷性质	定性标准
重大缺陷	具备以下特征之一的缺陷，可认定为重要缺陷或重大缺陷。 （1）违反法律法规，导致被行政法律部门、监管机构判罚或处罚； （2）被媒体曝光负面新闻，且未能及时消除影响，导致公司生产经 营、企业形象受损－危机处理； （3）出现安全生产、环境保护和质量方面的重大事故，导致严重后 果－人员、资产、环境等； （4）高风险业务未有相关制度规范，重要业务缺乏制度控制； （5）对已经发现并报告给管理层的重大或重要内部控制缺陷在经过 合理的时间后，并未加以改正。
重要缺陷	其他情形按影响程度分别确定为重要缺陷或一般缺陷。
一般缺陷	其他情形按影响程度分别确定为重要缺陷或一般缺陷。

第二十八条 内部控制评价工作组应当对评价质量进行交叉复核，评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的内部控制缺陷签字确认后，提交公司审计部。

第二十九条 公司审计部应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，按照本办法规定的权限和程序进行审核后予以认定。重大缺陷应当由公司董事会予以最终认定。

企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。

第三十条 对于认定的内部控制缺陷，公司管理层应当按照公司和审计委员会的要求，组织整改并向审计委员会及时通报整改情况；内部控制缺陷已经造成损失或负面影响的，应当追究有关部门或相关人员的责任。

第六章 内部控制评价报告
第三十一条 内部控制评价报告应当分别对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。

第三十二条 公司内部控制评价的具体组织实施工作由内部审计机构负责。

公司根据内部审计机构出具、审计委员会审议后的评价报告及相关资料，出具年度内部控制评价报告。内部控制评价报告应当包括下列内容：
（一）董事会对内部控制评价报告真实性的声明；
（二）内部控制评价工作的总体情况；
（三）内部控制评价的依据、范围、程序和方法；
（四）内部控制存在的缺陷及其认定情况；
（五）对上一年度内部控制缺陷的整改情况；
（六）对本年度内部控制缺陷拟采取的整改措施；
（七）内部控制有效性的结论。

会计师事务所应当参照主管部门相关规定对公司内部控制评价报告进行核实评价。

第三十三条 公司应当根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告。

第三十四条 内部控制评价报告报送公司管理层审阅后，报送公司审计委员会进行审议，经公司董事会批准后，对外披露或报送相关部门。公司应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。

第三十五条 公司内部控制审计报告应当与内部控制评价报告同时对外披露或报送。

第三十六条 公司应当以12月31日作为年度内部控制评价报告的基准日。

内部控制评价报告应于基准日后4个月内报出。

第三十七条 公司内部控制评价的有关文件资料、工作底稿和证明材料等由审计部负责妥善保管。

第七章 附则
第三十八条 本办法由公司董事会负责修订和解释。

第三十九条 本办法未尽事宜，按有关法律、行政法规、部门规章和公司章程的规定执行；如与国家日后颁布的法律、行政法规、部门规章或者经合法程序修改后的公司章程相抵触时，按有关国家法律、行政法规、部门规章和公司章程的规定执行，及时修订本办法，并提交董事会审议。

第四十条 本办法自公司董事会审议通过之日起生效，修改时亦同。