湖北楚天智能交通股份有限公司
内部控制评价制度
第一章总则第二章职责分工第三章内部控制评价的内容第四章内部控制评价的程序第五章内部控制缺陷认定与整改第六章内部控制评价报告第七章附则
修订记录:
2015年6月23日经第五届董事会第十五次会议批准生效2026年1月6日经第八届董事会第三十三次会议批准修订
湖北楚天智能交通股份有限公司
内部控制评价制度第一章总则第一条为全面评价湖北楚天智能交通股份有限公司(以下简称“公司”)内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据《中华人民共和国》、《企业内部控制基本规范》及其配套指引、上海证券交易所《上市公司自律监管指引第1号——规范运作》等法律法规、规范性文件、业务规则及公司章程等有关规定,结合公司实际,制定本制度。
第二条本制度所称“内部控制评价”,是指公司董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。本制度所称“内部控制有效性”,是指公司建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。第三条本制度适用于公司及全资、控股子公司(以下统称“子公司”)。第四条公司实施内部控制评价应当遵循以下原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及其所属单位的各项业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
(四)风险导向原则。评价工作应当以风险为导向,根据风险发生的可能性和对公司内部控制目标的影响程度确定需要评价的重点业务单元、重要业务领域和重要流程环节。
(五)及时性原则。评价工作应当按照规定的时间进行,当经营管理环境发生重大变化时,应及时进行重新评价。
第五条公司内部控制评价,一般包括年度评价和专项评价。
年度评价是指公司根据内部控制目标,对公司某一年度建立与实施内部控制的有效性进行的评价;专项评价是指公司在特定时点对特定范围的内部控制的有
效性进行的评价。年度评价为定期评价,在每个会计年度结束后至年度报告提交董事会审议前,应完成年度评价工作并将内部控制评价报告提交董事会审计委员会审核;专项评价为不定期评价,根据需要视具体情况而定,不受检查时间和检查次数限制。
第二章职责分工
第六条公司董事会对内部控制评价报告的真实性负责,其主要职责包括:
(一)对内部控制评价过程中发现的重大缺陷进行最终认定,对评价中发现的所有内部控制缺陷进行审定和处理;
(二)审议和批准内部控制评价报告。
第七条审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制评价情况,其主要职责包括:
(一)审议内部控制评价工作方案;
(二)评价内部控制的建立和实施情况;
(三)审核内部控制评价报告,对评价过程中发现的重大、重要缺陷及时向董事会报告。
第八条审计部负责内部控制评价的具体组织实施,其主要职责包括:
(一)制定内部控制评价工作方案;
(二)组成内部控制评价工作组;
(三)汇总各部门(单位)内部控制评价表;
(四)收集、整理内部控制评价工作组的内部控制评价工作底稿;
(五)按照内部控制评价工作组形成的内部控制有效性结论,编写年度内部控制评价报告。
第九条内部控制评价工作组具体负责内部控制评价工作,其主要职责包括:
(一)根据内部控制评价方案进行现场测试,收集内部控制评价的证据;
(二)收集、整理和填制内部控制评价测试底稿;
(三)研究分析并初步认定内部控制缺陷。
第十条公司各部门(单位)是内部控制评价的参与单位,其主要职责包括:
(一)配合内部控制评价工作组做好本单位内部控制评价工作;
(二)提供真实、准确的信息资料配合内部控制评价工作组进行内部控制测评和检查工作。
第三章内部控制评价的内容第十一条公司内部控制评价应根据《企业内部控制基本规范》、应用指引及公司内部控制制度等,围绕内部控制的目标及内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。主要包括:
(一)内部环境评价,是以《企业内部控制基本规范》和组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合公司内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
(二)风险评估机制评价,是以《企业内部控制基本规范》有关风险评价的要求,以及各项应用指引中所列主要风险为依据,结合公司内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
(三)控制活动评价,是以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合公司内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
(四)信息与沟通评价,是以《企业内部控制基本规范》和内部信息传递、财务报告、信息系统等相关应用指引为依据,结合公司内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
(五)内部监督评价,是以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合公司内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注审计委员会、审计部等是否在内部控制设计和运行中有效发挥监督作用。
第十二条公司内部控制评价应涵盖公司所有重要环节及贯穿于经营管理活动各环节的各项规章制度。
第十三条内部控制评价工作应当形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第四章内部控制评价的程序
第十四条公司内部控制评价程序主要包括制定评价工作方案、组成评价工
作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。第十五条制订内部控制评价工作方案。审计部根据内部监督情况和管理要求,分析公司经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制订科学合理的评价工作方案,经公司审计委员会批准后实施。评价工作方案应明确评价主体范围、工作任务、人员组成、进度安排和费用预算等相关内容。
第十六条组成内部控制评价工作组。审计部根据经批准的评价方案,牵头组成评价工作组,具体组织实施内部控制评价工作。内部控制评价工作组应吸收公司内部相关部门熟悉情况的业务骨干参加。
评价工作组成员应熟悉内部控制专业知识及相关管理制度、业务流程及需要重点关注的问题、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准等内容,评价组成员对本部门负责的内部控制评价工作予以回避,应交叉检查和评价。
公司实施内部控制评价可以委托中介机构,但不得选择同时为公司提供内部控制审计服务的中介机构。
第十七条实施内部控制评价现场测试
内部控制评价工作组实施现场测试应提前通知被评价单位,通知内容至少包括:评价的目的、依据、原则、内容、时间安排及被评价单位应做的准备工作等。
内部控制评价工作组对被评价单位进行现场测试,综合运用个别访谈、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第十八条评价工作组将评价结果向被评价单位进行反馈并确认。
第五章内部控制缺陷认定与整改
第十九条内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合内部控制评价,客观、公正、完整地编制内部控制缺陷认定表和整改建议书,以书面形式按以下规定报告。
报告频次:一般缺陷和重要缺陷每年至少报告一次,重大缺陷立即报告。
报告途径:对于重要缺陷和重大缺陷及整改方案,应分别向管理层、审计委员会、董事会报告。如果存在与管理层舞弊相关的内部控制缺陷,或者存在管理层凌驾于内部控制之上的情形,直接向审计委员会、董事会报告。
第二十条内部控制缺陷的分类
(一)按照内部控制缺陷成因或者来源,内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或者现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或者频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
(二)按照影响公司内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或者多个关键控制缺陷的组合,可能导致公司严重偏离控制目标。当存在任何一个或者多个内部控制重大缺陷时,应当在内部控制评价报告中出具内部控制无效的结论。
重要缺陷,是指一个或者多个重要控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致公司偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制整体有效性,但应当引起公司管理层的充分关注。审计部和管理层应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。
一般缺陷,指不构成重大缺陷、重要缺陷的内部控制缺陷。
(三)按照影响内部控制目标的具体表现形式,内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制缺陷。
财务报告内部控制缺陷,是指在会计确认、计量、记录和报告过程中出现的,对财务报告的真实性和完整性产生直接影响的控制缺陷。
非财务报告内部控制缺陷,是指虽不直接影响财务报告的真实性和完整性,但对公司经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。
第二十一条内部控制缺陷认定标准
公司董事会根据《企业内部控制基本规范》及评价指引,结合公司规模、行业特征、风险水平等因素,研究确定了适用本公司的内部控制缺陷具体认定标准:
(一)财务报告内部控制缺陷的认定标准
1.定性标准
具有以下特征的缺陷,定性为重大缺陷:
(1)外部发现公司管理层存在的任何程度并非由公司首先发现的舞弊;
(2)已经发现并报告给管理层的重大内部控制缺陷在经过合理的时间后,并未加以改正;
(3)控制环境无效;
(4)影响收益趋势的缺陷;
(5)影响关联交易总额超过股东会批准的关联交易额度的缺陷;
(6)外部审计发现的重大错报不是由公司首先发现的;
(7)其他可能影响报表使用者正确判断的缺陷。
具有以下特征的缺陷,定性为重要缺陷:
(1)未经授权进行担保、投资有价证券、金融衍生物交易和处置产权、股权造成经济损失;
(2)公司财务人员或者有关人员权责不清、岗位混乱,涉嫌经济、职务犯罪,被移交司法机关;
(3)销毁、藏匿、随意更改发票、支票等重要原始凭证,造成经济损失;
(4)现金收入不入账、公款私存或者违反规定设立“小金库”。
不构成重大缺陷或者重要缺陷的其他内部控制缺陷,定性为一般缺陷。
2.定量标准
公司确定的财务报告内部控制缺陷评价的定量标准如下,公司按照下列参考指标孰低者作为相关缺陷的定量标准:
| 参考指标 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 潜在错报占营业收入总额的比重 | 错报≥3% | 1.5%≤错报<3% | 错报<1.5% |
| 潜在错报占利润总额的比重 | 错报≥5% | 2.5%≤错报<5% | 错报<2.5% |
| 潜在错报占所有者权益总额的比重 | 错报≥0.5% | 0.25%≤错报<0.5% | 错报<0.25% |
(二)非财务报告内部控制缺陷认定标准
1.定性标准
重大缺陷:对外正式披露并对本公司定期报告披露造成负面影响。有以下情况的直接视为非财务报告内部控制可能存在重大缺陷:
(1)严重违反国家法律、法规;
(2)除政策性亏损原因外,企业连年亏损,持续经营受到挑战;
(3)重要业务缺乏制度控制或者制度系统性失效;
(4)子公司缺乏内部控制建设,管理散乱;
(5)企业中高层管理人员、关键岗位人员流失严重;
(6)内部控制的结果特别是重大或者重要缺陷未得到整改。重要缺陷:受到国家政府部门处罚但未对本公司定期报告披露造成负面影响。一般缺陷:受到省级(含省级)以下政府部门处罚但未对本公司定期报告披露造成负面影响。
2.定量标准公司确定的非财务报告内部控制缺陷评价的定量标准如下,公司按照下列参考指标孰低者作为相关缺陷的定量标准:
| 参考指标 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 直接财产损失金额占营业收入总额的比重 | 错报≥2% | 1%≤错报<2% | 错报<1% |
| 直接财产损失金额占利润总额的比重 | 错报≥6% | 3%≤错报<6% | 错报<3% |
| 直接财产损失金额占所有者权益总额的比重 | 错报≥1% | 0.5%≤错报<1% | 错报<0.5% |
第二十二条内部控制评价工作组应当建立评价质量交叉复核制度,评价工作组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认后,提交审计部。
第二十三条审计部应当编制内部控制缺陷认定汇总表,结合发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式报告。重大缺陷应当由董事会予以最终认定。
第二十四条对于认定的重大、重要缺陷,公司应当及时采取风险应对措施,明确整改责任人、整改措施及整改工作时间要求,切实将风险控制在可承受范围之内。缺陷整改责任人应积极落实整改措施,要求在内部控制评价报告基准日前将缺陷整改到位并严格落实规范性要求;对于内部控制评价报告基准日前未完成整改的重大、重要缺陷,则应由缺陷整改责任人提出具体整改计划。
第二十五条缺陷整改责任人必须在不晚于内部控制评价报告日的规定时间内提交书面整改报告,整改报告内容至少包括:整改开始时间、已采取的整改
措施、整改后运行时间、整改后运行有效性的评价结论等;若涉及内部控制评价报告基准日前未完成整改的重大、重要缺陷,则整改报告还应包括拟采取的具体整改计划、整改责任人、预计完成时间等。
第二十六条公司对于认定的重大缺陷,应追究有关部门或者相关人员的责任。
第六章内部控制评价报告
第二十七条公司根据《企业内部控制基本规范》及其配套指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限经批准后对外报出。
第二十八条内部控制评价报告应当分别以内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
第二十九条内部控制评价报告应当包括下列内容:
(一)董事会对内部控制评价报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制存在的缺陷及其认定情况;
(五)对上一年度内部控制缺陷的整改情况;
(六)对本年度内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
第三十条公司应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
第三十一条内部控制评价报告应当经董事会批准后对外披露或者报送相关部门。审计部应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第三十二条公司应当在披露年度报告的同时,披露年度内部控制评价报告,并同时披露会计师事务所出具的内部控制审计报告。
第三十三条公司以12月31日作为年度内部控制评价报告的基准日。内部
控制评价报告应于基准日后四个月内报出。第三十四条公司应妥善保管内部控制评价的有关文件资料、工作底稿和证明材料等内部控制评价工作档案。
第七章附则第三十五条本制度经董事会批准后生效,修改时亦同。第三十六条本制度由审计部解释