丽江股份(002033)_公司公告_丽江股份：内部控制评价管理制度-2024年修订_公司公告

丽江股份：内部控制评价管理制度-2024年修订（下载公告）
公告日期:2024-01-20
丽江玉龙旅游股份有限公司内部控制评价管理制度第一章总则第一条为了促进丽江玉龙旅游股份有限公司（以下简称“股份公司”或“公司”）全面评价公司内部控制的设计和运行情况，规范内部控制评价程序和评价报告，揭示和防范经营风险，根据《企业内部控制基本规范》、《企业内部控制评价指引》等有关法律、法规的规定，并结合本公司实际情况，特制定本制度。第二条本制度所称内部控制评价，是指公司董事会和管理层实施的，对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。第三条本制度适用于公司各部门和下属控股子公司（以下简称“各部门、各单位”）。第二章内部控制评价工作原则第四条公司实施内部控制评价工作，遵循下列原则：（一）全面性原则。评价工作范围包括公司内部控制的设计与运行，涵盖公司及其所属单位的各种业务和事项。（二）客观、一致性原则。评价工作应准确揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性；评价的准则、范围、程序和方法等应保持一致，以确保评价结果的客观、可比性。（三）重要性原则。评价应坚持全面性的同时，关注重点区域、重点业务和重要流程，特别是重大投资项目、担保项目、关联方交易、大额资金运作、融资项目、募集资金使用、大额营销业务、舞弊以及其他重大和高风险领域。（四）及时性原则。评价工作按照规定的时间持续进行，当经营管理环境发生重大变化时，应及时进行重新评价。（五）以风险为导向的原则。评价工作以风险为基础，根据风险发生的可能性和对公司内控目标影响的程度确定需要评价的重点业务单元、重要业务领域和重要流程环节。第三章内部控制评价机构与职能第五条公司董事会是公司内部控制评价的最高决策机构和最终责任者，其主要职责包括：（一）审阅和批准公司内部控制评价报告；（二）批准由公司管理层提交的涉及内部控制整改的重大决策、重大风险、重大事项；（三）审议和批准按照公司章程规定由董事会批准的内部控制管理相关制度和规章。第六条董事会审计委员会是公司内部控制评价的领导机构，其主要职责包括：（一）审议内部审计部的工作计划、方案和报告，检查和评价关键评价人员的工作，聘请外部独立评价机构，协调与外部评价机构之间的关系；（二）审议公司内部控制评价报告，重要和重大缺陷认定报告，发表专项意见，并向董事会报告；（三）监督公司内部控制的有效实施和内部控制评价情况。第七条公司内部控制评价领导小组是公司内部控制评价的主要工作机构，内部控制评价领导小组组长由公司董事长担任，成员由公司管理层组成，其主要职责包括：（一）审议和批准公司内部控制评价工作方案；（二）审议公司内部控制评价报告，并提出相关意见和建议；（三）了解公司日常内部控制风险监控结果，根据内控缺陷情况，审议内控缺陷整改方案和措施；（四）协调和解决公司跨部门的内部控制评价过程中出现的重大事项；（五）听取和了解内控缺陷整改过程中出现的相关重大事项，并按照董事会授权进行决策。第八条公司内部控制评价工作小组是在内部控制评价工作领导小组的领导下，具体负责公司内部控制评价工作实施的临时办事机构。公司内部控制评价工作小组由公司分管内部审计部领导牵头，工作组成员由公司内部审计部、财务部、人力资源部等熟悉公司业务和控制流程的业务骨干组成，其主要职责为：（一）实施内控测试和评价工作，编制评价工作底稿和起草内部控制评价报告；（二）提出内控缺陷整改建议，与各单位、各部门负责人和管理层沟通确定内控缺陷整改计划；（三）在内控测试评价实施过程中，根据各流程的实际执行情况，通过与相关流程负责人的沟通，整理并完善公司相应业务的《内部控制管理手册》；（四）根据现场测试获得的证据，对发现的内部控制缺陷及成因、表现形式和影响程度进行综合分析和全面复核，按照内控缺陷的评价标准，将其分为重大缺陷、重要缺陷和一般缺陷，并提出认定意见和整改意见，编制《评价缺陷汇总表》（详见表单一），督促相关单位或部门提出整改措施，并以书面形式向内部控制评价领导小组报告。第九条公司内部审计部是内部控制评价归口管理部门，负责公司内部控制评价日常管理和监督工作，其主要职责包括：（一）制定内部控制评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容；（二）根据内部控制评价工作方案，组织内部控制评价工作小组实施内部控制评价工作；（三）汇总分析各部门各单位内部控制自我评估表和自我评估报告；（四）收集、复核、整理内部控制评价工作小组独立性测试评价工作底稿和评价报告；（五）按照内部控制评价工作小组形成的内部控制有效性结论，编写《公司内部控制评价报告》。第十条公司各单位各部门是内部控制评价的参与单位及完成内控缺陷整改任务的责任主体，应指定内控专员负责本部门的内部控制评价及自我评估工作，其主要职责包括：（一）负责本单位本部门内部控制自我评估工作，按照公司内部控制评价工作小组的工作安排，填写本单位本部门内部控制自我评估表（详见表单二）和内部控制自我评估报告，报送内部审计部；（二）按照公司内控缺陷整改工作计划，及时完成各项流程所涉及到本单位、本部门的缺陷整改工作，并根据整改进度情况填写《内控缺陷整改进度一览表》（详见表单三）报送内部审计部；（三）提供可靠信息资料配合内部控制评价工作小组进行内部控制测评和检查工作。第四章内部控制评价工作内容第十一条公司内部控制评价主要包括以下工作内容：（一）各单位各部门的内部控制自我评估；（二）内部控制评价工作小组的独立性测试评价；（三）内部控制评价工作小组关于内控缺陷的汇总和认定；（四）内部控制缺陷整改；（五）内部控制评价报告编制；（六）内部控制评价报告的信息披露。第十二条公司的内部控制评价工作主要依据公司内部控制制度和工作程序，紧紧围绕对内部环境、风险评估、控制活动、信息沟通、内部监督等要素评价的具体内容，对内部控制设计和运行情况进行全面评价。第十三条公司内部审计部根据批准的评价方案，会同相关职能部门组织内部控制评价工作小组，具体实施内部控制评价工作，内部控制评价工作小组吸收企业内部控制熟悉情况的业务骨干参加，必要时可聘请外部专业机构和人士协助。第十四条公司内部控制缺陷包括设计缺陷和运行缺陷，公司对内部控制缺陷的认定，以各单位各部门内部日常监督和专项监督为基础，结合内部控制评价工作小组的年度综合分析，按照规定的权限程序进行汇总后，由公司内部控制评价工作领导小组认定。第十五条公司内部控制评价工作小组应对独立性测试评价工作底稿进行严格审核，对所认定的评价结果进行签字确认，并结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况进行综合分析。对于认定的重大缺陷，及时采取应对措施，确保将风险控制在可承受范围之内。第十六条公司根据年度内部控制评价工作小组评价结果，结合内部控制自我评估表和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制公司内部控制评价报告。第十七条公司应建立健全内部控制评价工作档案管理机制，妥善保管内部控制评价的有关文件资料、工作底稿和证明材料等。第十八条公司内部控制评价工作小组应综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，收集公司内部控制设计与运行的有效性的相关证据，如实填写内部控制缺陷并进行分析、研究。第五章内部控制评价程序第十九条公司内部审计部负责制定公司年度内部控制评价工作方案，明确内控评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经公司内部控制评价工作领导小组审批后实施。第二十条公司内部审计部会同相关职能部门共同组织内控评价专门机构负责内部控制评价的具体实施工作，有序开展内部控制评价。内部控制评价一般包括内控评价准备阶段、实施阶段和报告阶段，其主要工作程序为：（一）制定内部控制评价工作计划和方案，报送公司内部控制评价领导小组审议批准；（二）组织成立内部控制评价工作小组，实施独立的测试评价工作；（三）各单位各部门按照内部控制评价工作小组的安排开展本单位和本部门内部控制自我评估，并在规定时间内提交内部控制自我评估表和报告；（四）内部审计部汇总和统计各单位各部门内部控制自我评估表和报告；（五）内部控制评价工作小组根据各单位各部门内部控制自我评估表和评估报告，确定内部控制独立性测评的重点范围和工作计划，并具体实施分析和评价；（六）内部控制评价小组汇总和分析内部控制缺陷，指导各单位各部门进行整改和完善内部控制相关制度和工作程序，并持续根据内外部环境变化修订和更新内部控制手册；（七）审计部编制并修订内部控制评价报告；（八）内部控制评价报告经内部审核后报董事会审议，经董事会审议通过后，进行信息披露。第六章内部控制缺陷的认定第二十一条公司在确定内部控制缺陷的认定标准时，应当充分考虑内部控制缺陷的重要性及其影响程度。第二十二条内部控制缺陷的分类从环节上分为设计缺陷和运行缺陷，从与财务报告关系分为财务报告内控缺陷和非财务报告内控缺陷，从程度上分为重大缺陷、重要缺陷、一般缺陷。第二十三条内部控制缺陷认定标准的制定包括财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准两类。第二十四条内部控制缺陷认定标准包括定性标准和定量标准，定量标准即涉及金额大小，即可以根据造成直接损失绝对金额制定，也可以根据直接损失占本公司资产总额、销售收入及利润等的比率确定；定性标准，即涉及业务性质的严重程度，可根据其直接或潜在负面影响的性质，影响的范围，影响的程度等因素确定。第二十五条公司内部控制缺陷认定标准由内部审计部草拟，经过内部审核后提交董事会最终认定通过，并作为内控缺陷认定评价的依据。第二十六条公司对内部控制缺陷的认定应当以日常监督和专项监督为基础，由公司内部控制评价机构进行综合分析后提出认定意见，董事会予以最终认定。第二十七条公司在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作小组的作用，内部控制评价工作小组根据现场测试获取的证据，对内部控制缺陷进行初步判断。重大缺陷，是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。第二十八条财务报告内部控制可能存在重大缺陷的一些迹象：（一）董事、监事和高级管理人员舞弊；（二）公司更正已公布的财务报告；（三）注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；（四）公司审计委员会和内部审计机构对内部控制的监督无效。第二十九条非财务报告内部控制可能存在重大缺陷的一些迹象：（一）企业缺乏民主决策程序，如重大事项缺乏集体决策程序；（二）企业决策程序不科学，如决策失误，导致并购不成功；（三）违犯国家法律、法规，如环境污染；（四）管理人员或核心员工纷纷流失；（五）媒体负面新闻频现；（六）内部控制评价的结果特别是重大或重要缺陷未得到整改；（七）重要业务缺乏制度控制或制度系统性失效。第三十条非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。第三十一条内部控制评价机构需编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其影响程度进行综合分析和全面复核。重大缺陷的最终认定以及对相关部门的问责由董事会或其授权机构负责。第七章内部控制缺陷的报告与整改第三十二条内部控制缺陷报告应当采取书面形式，可以单独报告，也可以作为内部控制评价报告的一个重要组成部分。第三十三条内部控制缺陷的报告途径：（一）内部控制的一般缺陷、重要缺陷应定期（至少每年）报告，重大缺陷应立即报告。（二）对于重大缺陷及其认定理由，应向董事会（审计委员会）、监事会报告，并由董事会最终认定。（三）对于一般缺陷和重要缺陷，向公司经理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告；对于认定为重要缺陷还是重大缺陷尚不能确定的内部控制缺陷，向董事会（审计委员会）报告，由其最终认定缺陷等级。第三十四条公司对于认定的内部控制缺陷，应当及时采取整改措施，切实将风险控制在可承受度之内，并追究有关机构或相关人员的责任。第三十五条公司内部控制评价机构应当就发现的内部控制缺陷提出整改建议，并报经理层、董事会（审计委员会）、监事会批准。获批后，应制定切实可行的整改方案，包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的，整改目标应明确近期和远期目标以及相应的整改工作内容。第三十六条对公司在日常监督、专项监督和年度评价工作中发现的内部控制缺陷，由相关业务主管部门或内部控制评价机构下发整改通知书。第三十七条对存在整改事项的单位或部门，自接到整改通知书之日起一个月内，应按照整改通知书要求，以书面形式上报整改责任人、整改期限、整改措施、整改方法和期限，整改情况上报内部控制评价部门。第八章内部控制评价报告第三十八条内部控制评价报告是内部控制评价的最终体现，包括日常报告、专项报告和年度报告。第三十九条公司年度内部控制评价报告根据《企业内部控制基本规范》、应用指引和本制度，并参照相关监管部门和深圳证券交易所的通知、指引、问答及工作备忘录等，设计内部控制自我评价报告的内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。第四十条年度内部控制评价报告至少应当披露下列内容：（一）董事会对内部控制报告真实性的声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。（二）内部控制评价工作的总体情况。明确公司内部控制评价工作的组织、领导体制、进度安排，是否聘请会计师事务所对内部控制有效性进行独立审计。（三）内部控制评价的依据。说明公司开展内部控制评价工作所依据的法律法规和规章制度。（四）内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对内部控制评价报告真实完整性产生的重大影响等。（五）内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。（六）内部控制缺陷及其认定情况。描述适用本公司的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。（七）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。对于评价期间发现、期末已完成整改的重大缺陷，说明公司有足够的测试样本显示，与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷，公司拟采取的整改措施及预期效果。（八）内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效结论；对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，公司须责成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明董事会拟采取的措施。第四十一条公司内部控制评价机构负责根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，及时编制内部控制自我评价报告。第四十二条内部控制自我评价报告应当报经董事会审议批准后对外披露。公司董事审议该报告，需要亲笔填写《关于〈董事会关于公司内部控制的自我评估报告〉审议的工作底稿》，该底稿的具体规格应参照公司所属证券交易所公布的当年度定期报告披露要求。第四十三条公司以12月31日作为年度内部控制自我评价报告的基准日。内部控制自我评价报告应于基准日后4个月内与内部控制审计报告同时报出。公司内部控制评价机构需关注自内部控制自我评价报告基准日至内部控制自我评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。第四十四条内部控制评价的有关文件资料、工作底稿和证明材料等应当由内部审计机构妥善保管，保存时间不少于十年，年度报告应永久保存。第九章内部控制评价监督和改进第四十五条公司内部控制评价涉及的单位和部门应及时提供全面和准确的资料，保证内部控制评价工作的顺利开展，因迟报、漏报、瞒报等影响重大风险的妥善处置，造成严重后果，将追究有关人员的责任。第四十六条未经授权批准或许可，任何个人或权属单位不得对外公布内部控制评价结果，凡擅自公布内部控制评价结果，给公司声誉和经济造成损失，将追究有关人员的责任。第四十七条公司应开展内部控制评价工作机制的全面评估工作，通过评估持续改进内部控制评价工作的工作效率和工作质量。第十章附则第四十八条本管理制度由公司审计部负责制订、修订及解释，报董事会审议通过之日起生效。第四十九条本制度自董事会审议通过之日起执行。丽江玉龙旅游股份有限公司 2024年1月18日
附件： ↘公告原文阅读

丽江玉龙旅游股份有限公司

内部控制评价管理制度

第一章总则第一条为了促进丽江玉龙旅游股份有限公司（以下简称“股份公司”或“公司”）全面评价公司内部控制的设计和运行情况，规范内部控制评价程序和评价报告，揭示和防范经营风险，根据《企业内部控制基本规范》、《企业内部控制评价指引》等有关法律、法规的规定，并结合本公司实际情况，特制定本制度。第二条本制度所称内部控制评价，是指公司董事会和管理层实施的，对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。第三条本制度适用于公司各部门和下属控股子公司（以下简称“各部门、各单位”）。

第二章内部控制评价工作原则第四条公司实施内部控制评价工作，遵循下列原则：

（一）全面性原则。评价工作范围包括公司内部控制的设计与运行，涵盖公司及其所属单位的各种业务和事项。

（二）客观、一致性原则。评价工作应准确揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性；评价的准则、范围、程序和方法等应保持一致，以确保评价结果的客观、可比性。

（三）重要性原则。评价应坚持全面性的同时，关注重点区域、重点业务和重要流程，特别是重大投资项目、担保项目、关联方交易、大额资金运作、融资项目、募集资金使用、大额营销业务、舞弊以及其他重大和高风险领域。

（四）及时性原则。评价工作按照规定的时间持续进行，当经营管理环境发生重大变化时，应及时进行重新评价。

（五）以风险为导向的原则。评价工作以风险为基础，根据风险发生的可能性和对公司内控目标影响的程度确定需要评价的重点业务单元、重要业务领域和重要流程环节。

第三章内部控制评价机构与职能

第五条公司董事会是公司内部控制评价的最高决策机构和最终责任者，其主要职责包括：

（一）审阅和批准公司内部控制评价报告；

（二）批准由公司管理层提交的涉及内部控制整改的重大决策、重大风险、重大事项；

（三）审议和批准按照公司章程规定由董事会批准的内部控制管理相关制度和规章。

第六条董事会审计委员会是公司内部控制评价的领导机构，其主要职责包括：

（一）审议内部审计部的工作计划、方案和报告，检查和评价关键评价人员的工作，聘请外部独立评价机构，协调与外部评价机构之间的关系；

（二）审议公司内部控制评价报告，重要和重大缺陷认定报告，发表专项意见，并向董事会报告；

（三）监督公司内部控制的有效实施和内部控制评价情况。

第七条公司内部控制评价领导小组是公司内部控制评价的主要工作机构，内部控制评价领导小组组长由公司董事长担任，成员由公司管理层组成，其主要职责包括：

（一）审议和批准公司内部控制评价工作方案；

（二）审议公司内部控制评价报告，并提出相关意见和建议；

（三）了解公司日常内部控制风险监控结果，根据内控缺陷情况，审议内控缺陷整改方案和措施；

（四）协调和解决公司跨部门的内部控制评价过程中出现的重大事项；

（五）听取和了解内控缺陷整改过程中出现的相关重大事项，并按照董事会授权进行决策。

第八条公司内部控制评价工作小组是在内部控制评价工作领导小组的领导下，具体负责公司内部控制评价工作实施的临时办事机构。

公司内部控制评价工作小组由公司分管内部审计部领导牵头，工作组成员由公司内部审计部、财务部、人力资源部等熟悉公司业务和控制流程的业务骨干组成，其主要职责为：

（一）实施内控测试和评价工作，编制评价工作底稿和起草内部控制评价报告；

（二）提出内控缺陷整改建议，与各单位、各部门负责人和管理层沟通确定内控缺陷整改计划；

（三）在内控测试评价实施过程中，根据各流程的实际执行情况，通过与相关流程负责人的沟通，整理并完善公司相应业务的《内部控制管理手册》；

（四）根据现场测试获得的证据，对发现的内部控制缺陷及成因、表现形式和影响程度进行综合分析和全面复核，按照内控缺陷的评价标准，将其分为重大缺陷、重要缺陷和一般缺陷，并提出认定意见和

整改意见，编制《评价缺陷汇总表》（详见表单一），督促相关单位或部门提出整改措施，并以书面形式向内部控制评价领导小组报告。第九条公司内部审计部是内部控制评价归口管理部门，负责公司内部控制评价日常管理和监督工作，其主要职责包括：

（一）制定内部控制评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容；

（二）根据内部控制评价工作方案，组织内部控制评价工作小组实施内部控制评价工作；

（三）汇总分析各部门各单位内部控制自我评估表和自我评估报告；

（四）收集、复核、整理内部控制评价工作小组独立性测试评价工作底稿和评价报告；

（五）按照内部控制评价工作小组形成的内部控制有效性结论，编写《公司内部控制评价报告》。

第十条公司各单位各部门是内部控制评价的参与单位及完成内控缺陷整改任务的责任主体，应指定内控专员负责本部门的内部控制评价及自我评估工作，其主要职责包括：

（一）负责本单位本部门内部控制自我评估工作，按照公司内部控制评价工作小组的工作安排，填写本单位本部门内部控制自我评估表（详见表单二）和内部控制自我评估报告，报送内部审计部；

（二）按照公司内控缺陷整改工作计划，及时完成各项流程所涉及到本单位、本部门的缺陷整改工作，并根据整改进度情况填写《内控缺陷整改进度一览表》（详见表单三）报送内部审计部；

（三）提供可靠信息资料配合内部控制评价工作小组进行内部控

制测评和检查工作。

第四章内部控制评价工作内容第十一条公司内部控制评价主要包括以下工作内容：

（一）各单位各部门的内部控制自我评估；

（二）内部控制评价工作小组的独立性测试评价；

（三）内部控制评价工作小组关于内控缺陷的汇总和认定；

（四）内部控制缺陷整改；

（五）内部控制评价报告编制；

（六）内部控制评价报告的信息披露。

第十二条公司的内部控制评价工作主要依据公司内部控制制度和工作程序，紧紧围绕对内部环境、风险评估、控制活动、信息沟通、内部监督等要素评价的具体内容，对内部控制设计和运行情况进行全面评价。第十三条公司内部审计部根据批准的评价方案，会同相关职能部门组织内部控制评价工作小组，具体实施内部控制评价工作，内部控制评价工作小组吸收企业内部控制熟悉情况的业务骨干参加，必要时可聘请外部专业机构和人士协助。第十四条公司内部控制缺陷包括设计缺陷和运行缺陷，公司对内部控制缺陷的认定，以各单位各部门内部日常监督和专项监督为基础，结合内部控制评价工作小组的年度综合分析，按照规定的权限程序进行汇总后，由公司内部控制评价工作领导小组认定。第十五条公司内部控制评价工作小组应对独立性测试评价工作底稿进行严格审核，对所认定的评价结果进行签字确认，并结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况进行综合

分析。对于认定的重大缺陷，及时采取应对措施，确保将风险控制在可承受范围之内。第十六条公司根据年度内部控制评价工作小组评价结果，结合内部控制自我评估表和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制公司内部控制评价报告。第十七条公司应建立健全内部控制评价工作档案管理机制，妥善保管内部控制评价的有关文件资料、工作底稿和证明材料等。第十八条公司内部控制评价工作小组应综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，收集公司内部控制设计与运行的有效性的相关证据，如实填写内部控制缺陷并进行分析、研究。

第五章内部控制评价程序第十九条公司内部审计部负责制定公司年度内部控制评价工作方案，明确内控评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经公司内部控制评价工作领导小组审批后实施。

第二十条公司内部审计部会同相关职能部门共同组织内控评价专门机构负责内部控制评价的具体实施工作，有序开展内部控制评价。内部控制评价一般包括内控评价准备阶段、实施阶段和报告阶段，其主要工作程序为：

（一）制定内部控制评价工作计划和方案，报送公司内部控制评价领导小组审议批准；

（二）组织成立内部控制评价工作小组，实施独立的测试评价工作；

（三）各单位各部门按照内部控制评价工作小组的安排开展本单位和本部门内部控制自我评估，并在规定时间内提交内部控制自我评估表和报告；

（四）内部审计部汇总和统计各单位各部门内部控制自我评估表和报告；

（五）内部控制评价工作小组根据各单位各部门内部控制自我评估表和评估报告，确定内部控制独立性测评的重点范围和工作计划，并具体实施分析和评价；

（六）内部控制评价小组汇总和分析内部控制缺陷，指导各单位各部门进行整改和完善内部控制相关制度和工作程序，并持续根据内外部环境变化修订和更新内部控制手册；

（七）审计部编制并修订内部控制评价报告；

（八）内部控制评价报告经内部审核后报董事会审议，经董事会审议通过后，进行信息披露。

第六章内部控制缺陷的认定

第二十一条公司在确定内部控制缺陷的认定标准时，应当充分考虑内部控制缺陷的重要性及其影响程度。

第二十二条内部控制缺陷的分类从环节上分为设计缺陷和运行缺陷，从与财务报告关系分为财务报告内控缺陷和非财务报告内控缺陷，从程度上分为重大缺陷、重要缺陷、一般缺陷。

第二十三条内部控制缺陷认定标准的制定包括财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准两类。

第二十四条内部控制缺陷认定标准包括定性标准和定量标准，定量标准即涉及金额大小，即可以根据造成直接损失绝对金额制定，

也可以根据直接损失占本公司资产总额、销售收入及利润等的比率确定；定性标准，即涉及业务性质的严重程度，可根据其直接或潜在负面影响的性质，影响的范围，影响的程度等因素确定。

第二十五条公司内部控制缺陷认定标准由内部审计部草拟，经过内部审核后提交董事会最终认定通过，并作为内控缺陷认定评价的依据。第二十六条公司对内部控制缺陷的认定应当以日常监督和专项监督为基础，由公司内部控制评价机构进行综合分析后提出认定意见，董事会予以最终认定。第二十七条公司在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作小组的作用，内部控制评价工作小组根据现场测试获取的证据，对内部控制缺陷进行初步判断。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。第二十八条财务报告内部控制可能存在重大缺陷的一些迹象：

（一）董事、监事和高级管理人员舞弊；

（二）公司更正已公布的财务报告；

（三）注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；

（四）公司审计委员会和内部审计机构对内部控制的监督无效。

第二十九条非财务报告内部控制可能存在重大缺陷的一些迹象：

（一）企业缺乏民主决策程序，如重大事项缺乏集体决策程序；

（二）企业决策程序不科学，如决策失误，导致并购不成功；

（三）违犯国家法律、法规，如环境污染；

（四）管理人员或核心员工纷纷流失；

（五）媒体负面新闻频现；

（六）内部控制评价的结果特别是重大或重要缺陷未得到整改；

（七）重要业务缺乏制度控制或制度系统性失效。

第三十条非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。第三十一条内部控制评价机构需编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其影响程度进行综合分析和全面复核。重大缺陷的最终认定以及对相关部门的问责由董事会或其授权机构负责。

第七章内部控制缺陷的报告与整改

第三十二条内部控制缺陷报告应当采取书面形式，可以单独报告，也可以作为内部控制评价报告的一个重要组成部分。

第三十三条内部控制缺陷的报告途径：

（一）内部控制的一般缺陷、重要缺陷应定期（至少每年）报告，

重大缺陷应立即报告。

（二）对于重大缺陷及其认定理由，应向董事会（审计委员会）、

监事会报告，并由董事会最终认定。

（三）对于一般缺陷和重要缺陷，向公司经理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告；对于认定为重要缺陷还是重大缺陷尚不能确定的内部控制缺陷，向董事会（审计委

员会）报告，由其最终认定缺陷等级。第三十四条公司对于认定的内部控制缺陷，应当及时采取整改措施，切实将风险控制在可承受度之内，并追究有关机构或相关人员的责任。第三十五条公司内部控制评价机构应当就发现的内部控制缺陷提出整改建议，并报经理层、董事会（审计委员会）、监事会批准。获批后，应制定切实可行的整改方案，包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的，整改目标应明确近期和远期目标以及相应的整改工作内容。第三十六条对公司在日常监督、专项监督和年度评价工作中发现的内部控制缺陷，由相关业务主管部门或内部控制评价机构下发整改通知书。第三十七条对存在整改事项的单位或部门，自接到整改通知书之日起一个月内，应按照整改通知书要求，以书面形式上报整改责任人、整改期限、整改措施、整改方法和期限，整改情况上报内部控制评价部门。

第八章内部控制评价报告第三十八条内部控制评价报告是内部控制评价的最终体现，包括日常报告、专项报告和年度报告。第三十九条公司年度内部控制评价报告根据《企业内部控制基本规范》、应用指引和本制度，并参照相关监管部门和深圳证券交易所的通知、指引、问答及工作备忘录等，设计内部控制自我评价报告的内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。

第四十条年度内部控制评价报告至少应当披露下列内容：

（一）董事会对内部控制报告真实性的声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。

（二）内部控制评价工作的总体情况。明确公司内部控制评价工作的组织、领导体制、进度安排，是否聘请会计师事务所对内部控制有效性进行独立审计。

（三）内部控制评价的依据。说明公司开展内部控制评价工作所依据的法律法规和规章制度。

（四）内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对内部控制评价报告真实完整性产生的重大影响等。

（五）内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。

（六）内部控制缺陷及其认定情况。描述适用本公司的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。

（七）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。对于评价期间发现、期末已完成整改的重大缺陷，说明公司有足够的测试样本显示，与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷，公司拟采取的整改措施及预期效果。

（八）内部控制有效性的结论。对不存在重大缺陷的情形，出具

评价期末内部控制有效结论；对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，公司须责成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明董事会拟采取的措施。第四十一条公司内部控制评价机构负责根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，及时编制内部控制自我评价报告。第四十二条内部控制自我评价报告应当报经董事会审议批准后对外披露。公司董事审议该报告，需要亲笔填写《关于〈董事会关于公司内部控制的自我评估报告〉审议的工作底稿》，该底稿的具体规格应参照公司所属证券交易所公布的当年度定期报告披露要求。

第四十三条公司以12月31日作为年度内部控制自我评价报告的基准日。内部控制自我评价报告应于基准日后4个月内与内部控制审计报告同时报出。公司内部控制评价机构需关注自内部控制自我评价报告基准日至内部控制自我评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。第四十四条内部控制评价的有关文件资料、工作底稿和证明材料等应当由内部审计机构妥善保管，保存时间不少于十年，年度报告应永久保存。

第九章内部控制评价监督和改进

第四十五条公司内部控制评价涉及的单位和部门应及时提供全面和准确的资料，保证内部控制评价工作的顺利开展，因迟报、漏报、瞒报等影响重大风险的妥善处置，造成严重后果，将追究有关人员的责任。

第四十六条未经授权批准或许可，任何个人或权属单位不得对外公布内部控制评价结果，凡擅自公布内部控制评价结果，给公司声誉和经济造成损失，将追究有关人员的责任。

第四十七条公司应开展内部控制评价工作机制的全面评估工作，通过评估持续改进内部控制评价工作的工作效率和工作质量。

第十章附则

第四十八条本管理制度由公司审计部负责制订、修订及解释，

报董事会审议通过之日起生效。

第四十九条本制度自董事会审议通过之日起执行。

丽江玉龙旅游股份有限公司

2024年1月18日

爱股网

丽江股份(002033)_公司公告_丽江股份：内部控制评价管理制度-2024年修订