陕西中天火箭技术股份有限公司
内部控制评价办法
第一章总则第一条为规范内部控制评价工作,促进公司内部控制不断完善并有效实施,有效揭示和防范风险,发现公司内部控制的缺陷,确保内部控制有效运行,根据《企业内部控制基本规范》《企业内部控制评价指引》《深圳证券交易所上市公司自律监管指引第1号——主板上市公司规范运作》《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》等法律法规、规范性文件、交易所业务规则以及《陕西中天火箭技术股份有限公司章程》(以下简称“公司章程”),特制定本办法。
第二条本办法适用于公司本级及公司直接和间接控制的分公司、控股子公司。
第三条本办法所称内部控制评价,是指由公司董事会或审计委员会、内部审计部实施的,对公司内部控制有效性进行评价,形成评价结论,出具评价报告的过程。
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
第四条公司实施内部控制评价,应当遵循下列原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第二章职责分工
第五条公司董事会领导本公司的内部控制评价工作,是公司内部控制评价的最高决策机构,其主要职责包括:
(一)审批公司内部控制评价办法及评价工作方案;
(二)审批公司内部控制缺陷认定标准;
(三)最终认定及披露内部控制重大缺陷;
(四)审批内部控制评价报告,对内部控制评价报告的真实性负责。
第六条董事会审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等,具体职责包括:
(一)审议内部控制评价工作方案;
(二)对公司内部控制有效性出具书面的评估意见,并向董事会报告;
(三)审查公司内部控制是否存在重大缺陷或重大风险;
(四)审阅内部控制评价报告;
(五)向深圳证券交易所报备内部控制评价报告的审议情况。
第七条内部审计部负责组织和实施内部控制评价工作,对审计委员会负责,向审计委员会报告工作。
内部审计部负责拟定评价工作方案,并报审计委员会审批后实施;检查公司内部控制制度的执行情况,评价内部控制有效性,提出完善内部控制制度的建议。
第八条内部审计部应当根据国家有关法律法规,《企业内部控制基本规范》《企业内部控制评价指引》和本制度要求,结合公司实际情况,对战略、经营管理的效率和效果、财务报告
及相关信息真实完整、资产安全、合法合规等单个或整体控制目标的实现进行评价。
所属子公司,各部门、事业部应当每年开展内部控制自评价,并在每年12月31日前向公司上报内部控制自评价报告。
内部审计部应于每年四月底前完成对上一年度内部控制的评估工作并向董事会、审计委员会提交内部控制评估报告。
第九条内部控制评价包括年度评价和专项评价。
年度评价是指根据内部控制目标,对公司某一年度建立与实施内部控制有效性进行的评价。
专项评价是指在特定时点对特定范围的内部控制有效性进行的评价。
第三章内部控制评价的内容
第十条内部审计部应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面、系统、有针对性的评价。
(一)内部环境。内部环境是公司实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
(二)风险评估。风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对
策略。
(三)控制活动。控制活动是根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
(四)信息及沟通。信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。
(五)内部监督。内部监督是公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
监督可分为持续性监督及专项监督。持续性监督是经营过程中的例行监督,包括管理层的日常管理与监督、员工履行其职责时所采取的监督;专项监督是由公司内部相关人员或外部相关机构就某一特定目标进行的监督。
第十一条公司实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。
内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。
第十二条内部审计人员应实施适当的审查程序,重点审查以下内容:
(一)内部环境其审查重点为以下内容:
1.经营活动的复杂程度;
2.管理权限的集中程度;
3.管理行为守则的健全性和有效性;
4.管理层对逾越既定控制程序的态度;
5.组织文化的内容及组织成员对此的理解与认同;
6.法人治理结构的健全性和有效性;
7.组织各阶层人员的知识与技能;
8.组织结构和职责划分的合理性;
9.重要岗位人员的权责相称程度及其胜任能力;
10.员工聘用程序及培训制度;
11.员工业绩考核与激励机制。
(二)组织风险管理机制的健全性和有效性其审查重点为以下内容:
1.可能引发风险的内外因素;
2.风险发生的可能性和预计带来的后果;
3.对抗风险的能力;
4.风险管理的具体方法及效果。
(三)控制活动的适当性、合法性、有效性
其审查重点为以下内容:
1.控制活动建立的适当性;
2.控制活动对风险的识别和规避;
3.控制活动对组织目标实现的作用;
4.控制活动执行的有效性。
(四)获取及处理信息的能力其审查重点为以下内容:
1.获取财务信息、非财务信息的能力;
2.信息处理的及时性和适当性;
3.信息传递渠道的便捷与畅通;
4.管理信息系统的安全可靠性。第十三条内部审计部对被评价单位内部控制的有效性进行评价,应当至少涉及下列内容:
(一)被评价单位内部控制是否在风险评估的基础上涵盖了公司层面的风险和所有重要的业务流程层面的风险。
(二)被评价单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。
(三)被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理。
(四)被评价单位是否开展内部控制自查并上报有关自查
报告。
(五)被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。
(六)被评价单位在评价期间是否出现过重大风险事故等。
第十四条内部控制评价工作应形成工作底稿,详细记录公司执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第四章内部控制评价的程序和方法
第十五条内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十六条内部审计部应当拟定评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或审计委员会审批后实施。
第十七条内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。
第十八条内部审计部应当根据审批通过的评价方案组织实施内部控制评价工作,通过适当的方法收集、确认、分析相关信息,确定与实现整体控制目标相关的风险及细化控制目标,
并在此基础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进行必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并作出书面记录。
第十九条内部审计人员对内部控制作出评价时,应选择适当的评价标准。
内部审计人员应首先判断组织已有标准的适当性。如果认为已有标准不合适,应向管理层报告;如果管理层没有制定合适的标准,内部审计部可基于组织利益最大化的原则选择适当的评价标准。
第二十条内部审计人员在评价内部控制时,按照项目的性质和需要,既可以对全部控制要素进行评价,也可以只对部分控制要素进行评价。
第二十一条内部控制评估和测试的方法主要包括:
(一)个别访谈法。根据评价需要,对被查单位员工进行单独访谈,以获取有关信息。
(二)调查问卷法。设置问卷调查表,对不同层次的员工进行问卷调查,根据调查结果对相关项目作出评价。
(三)比较分析法。通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。
(四)标杆法。通过与组织内外部相同或相似经营活动的
最佳实务进行比较而对控制设计有效性进行评价的方法。
(五)穿行测试法。通过抽取一份全过程的文件,了解整个业务流程执行情况的评估评价方法。
(六)抽样法。针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性作出评价。
(七)实地查验法。公司对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。
(八)重新执行法。通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。
(九)专题讨论会法。召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估。
第二十二条内部审计部通过采取上述适当的方法获取与内部控制有效性相关的证据,并保证证据的充分性和适当性。
证据的充分性指获取证据的数量应当能合理保证相关控制的有效性;证据的适当性指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运行状况。
第二十三条内部审计部应根据所收集的证据,判断相关控制的设计与运行是否有效。公司在判断内部控制设计与运行有效性时,应当充分考虑下列因素:
(一)是否针对风险设置了合理的细化控制目标。
(二)是否针对细化控制目标设置了对应的控制活动。
(三)相关控制活动是如何运行的。
(四)相关控制活动是否得到了持续一致的运行。
(五)实施相关控制活动的人员是否具备必需的权限和能力。
第二十四条内部审计部应充分评估下列因素导致内部控制失效的风险:
(一)控制活动的类型,一般包括人工控制和自动控制、预防性控制和发现性控制等。
(二)控制活动的复杂性,通常与公司组织结构、市场环境、经营规模、人员素质等相关。
(三)管理层逾越内部控制的风险。
(四)实施控制活动所需要的职业判断的程度。
(五)控制活动所针对风险事项的性质及其重要性。
(六)一项控制活动对其他控制活动有效性的依赖程度。
第二十五条内部审计部应当根据评估结果和经核实的证据,确认内部控制缺陷,出具评价结论,编制评价报告,报送管理层、董事会和审计委员会审阅。
第五章内部控制缺陷的认定
第二十六条按照内部控制缺陷成因或来源,内部控制缺陷分为设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。
运行缺陷是指设计有效的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
第二十七条根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个关键控制缺陷的组合,可能导致公司严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中出具内部控制无效的结论。
重要缺陷,是指一个或多个重要控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致公司偏离控制目标。重要
缺陷的严重程度低于重大缺陷,不会严重危及内部控制整体有效性,但应当引起董事会、经营层的充分关注。
一般缺陷,指不构成重大缺陷、重要缺陷的内部控制缺陷。第二十八条按照影响内部控制目标的具体表现形式,内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
第二十九条内部控制缺陷认定标准根据《企业内部控制基本规范》《企业内部控制评价指引》,结合公司规模、行业特征、风险水平等因素,确定适用公司的内部控制缺陷具体认定标准:
(一)财务报告内部控制缺陷的认定标准
| 缺陷等级 | 认定标准 | |
| 定量标准 | 定性标准 | |
| 重大 | 影响资产、营业收入、利润总额的错报、漏报金额,超过本公司资产、营业收入、利润总额的2%以上。 | 1.公司领导人员存在舞弊,财务报告有重大虚假记载、重大遗漏或者瞒报;2.外部审计监督发现公司当期财务报告存在严重影响报告使用者正确判断的重大错报,而公司内部控制运行过程中未能发现该错报;3.内部审计监督部门对公司内部控制的监督无效;4.严重违反会计法律法规和会计准则、行业财务制度,受到国家机关在行业以上范围内的通报、处罚。 |
| 重要 | 影响资产、营业收入、利润总额的错报、漏报金额,超过本公司资 | 1.外部审计监督发现公司当期财务报告存在较为严重影响报告使用者正确判断的重要错报,而公司内部控制运行过程中未能发 |
(二)非财务报告内部控制缺陷的认定标准
| 缺陷等级 | 认定标准 | |
| 定量标准 | 定性标准 | |
| 重大 | 1.造成直接经济损失单项超过1000万元以上;2.造成直接经济损失单项超过500万元以上,且对公司造成严重负面影响。 | 1.严重偏离公司战略或经营目标,对战略或经营目标的实现产生严重负面影响;2.严重违反国家法律法规,已受到或可能受到司法机关或者省级以上监管机构的立案调查、处罚;3.发生后果严重的重大质量问题、安全环保事故、失泄密事件;4.经营管理违法违规或者重要业务内控失效引发重大纠纷或诉讼案件;5.决策程序缺失或者不科学,导致重大失误或损失;6.发生涉及公司的重大负面舆情或者负面新闻频现;7.重要业务缺乏制度控制或制度系统性失效;8.内部控制重大缺陷或者多项重要缺陷未在合理期限内得到整改。 |
| 重要 | 1.造成直接经济损失单项超过500万元以上;2.造成直接经济损失单 | 1.偏离公司战略或经营目标,对战略或经营目标的实现产生较大负面影响;2.违反国家法律法规、集团公司和控股股 |
产、营业收入、利润总额的1%以上、小于2%。
| 产、营业收入、利润总额的1%以上、小于2%。 | 现该错报;2.内部审计监督部门对公司内部控制的监督不到位;3.违反会计法律法规和会计准则、行业财务制度,受到集团公司通报、处罚。 | |
| 一般 | 影响资产、营业收入、利润总额的错报、漏报金额,低于本公司资产、营业收入、利润总额的1%以下。 | 不构成重大缺陷、重要缺陷的其他定性内部缺陷。 |
| 项超过100万元以上,且对公司造成较大负面影响。 | 东重要规章制度,已受到或可能受到集团公司内部通报、处罚;3.发生后果比较严重的质量问题、安全环保事故、失泄密事件;4.经营管理违法违规或者重要业务内控不到位引发重要纠纷或诉讼案件;5.发生涉及公司未造成重大影响的负面舆情;6.决策程序缺失或者不科学,导致重要失误或损失;7.重要业务缺乏部分制度控制或制度部分失效;8.内部控制重要缺陷或者多项一般缺陷未在合理期限内得到整改。 | |
| 一般 | 不构成重大缺陷和重要缺陷的其他定量内部控制缺陷。 | 不构成重大缺陷和重要缺陷的其他定性内部控制缺陷。 |
第三十条公司应当根据内部控制评价过程中发现的内部控制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确认。
第三十一条对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形,公司应当认定针对这些整体控制目标的内部控制是有效的。
对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形,公司应当认定针对该项整体控制目标的内部控制是无效的。
第三十二条对于因业务流程外包等原因造成公司无法评价特定业务、特定流程的内部控制有效性的情形,内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性,确定其对整体控制目标有效性评价的影响。
第六章内部控制评价报告
第三十三条内部控制评价报告应当分别对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
第三十四条内部控制评价报告至少应当包括下列内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
第三十五条内部审计部应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
第三十六条内部控制评价报告应当报经董事会及审计委员会批准后对外披露或报送相关部门。内部审计部应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第三十七条对董事会审议通过的评价报告中要求整改的事项,应进行追踪检查,对相关部门的整改措施进行评估,并及时撰写落实情况报告报送董事会,同时抄报审计委员会。
第三十八条公司应当定期对内部控制整体有效性进行评价、出具评价报告,并向董事会、审计委员会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。
第三十九条内部控制审计报告应当与内部控制评价报告同时对外披露或报送。
第四十条公司应当将内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。公司管理层和董事会应当根据评价结论对相关单位、部门或人
员实施适当的奖励和惩戒。
第四十一条在内部控制评价的实施过程中,评价人员可以采用文字叙述、调查问卷、流程图等方法对内部控制进行描述和评价,相关人员应编制工作底稿,收集相关资料,认真取证,及时做好分项记录。
每个内部控制审计项目完成后,应及时将审计工作底稿、取证材料、分项记录、审计报告、董事会审议审计报告的会议记录或决议、整改落实报告以及其他相关资料进行整理,按照档案管理规定装订成册并移送公司档案室妥善保管,保存期一般不少于五年。
第七章附则
第四十二条本办法自董事会批准之日起施行。
第四十三条本办法由内部审计部负责解释。
陕西中天火箭技术股份有限公司
2025年9月14日