内部控制评价规则
第一章 总则
第一条 为健全华数传媒控股股份有限公司(以下简称“公司”)内部控制,规范内部控制评价,提示和防范风险,提高公司运作效率,促进公司发展战略实现,特制订本规则。第二条 本规则依据财政部、证监会、审计署、银监会、保监会颁布的《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》等有关法规规定,结合公司的具体情况编制而成。第三条 本规则规定的内部控制评价是指企业董事会或董事会授权的权力机构,对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程,具体表现为评价、反馈、再评价。通过内控评价对内控缺陷的查找和分析,报告企业在内部控制建立与实施中存在的问题,有针对性地督促落实整改,可以及时堵塞管理漏洞,防范各种风险,从而能促进企业内控制度的不断完善。第四条 本规则适用于公司本级以及下属全资、控股子公司。第五条 公司实施内控评价工作时要遵循下列原则:
(一)全面性原则:评价工作应包括内部控制的设计与运行,涵盖公司本级以及下属全资、控股子公司的各种业务和事项。
(二)重要性原则:评价工作应在全面评价的基础上,着重关注重要业务单位、重要业务事项、关键控制环节、公司高风险领域。
(三)客观性原则:评价工作应准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
第二章 职责分工
第六条 董事会负责公司内部控制的建立、健全和有效实施,并对内部控制评价报告的真实性负责,是公司内部控制评价工作的最高决策机构和最终责任承担者。其职责如下:
(一)负责审定《内部控制评价规则》;
(二)负责审定公司年度内部控制评价报告;
(三)负责对内部控制重大缺陷作最终认定,对重大缺陷的整改意见作最终确认;
(四)负责授权风控审计部(以下统称“内部审计机构”)为内控评价工作主要责任部门。
第七条 审计委员会的职责:
(一)负责审定内部控制评价工作计划、内部控制评价工作方案;
(二)负责审定内控缺陷的评定标准;
(三)负责听取内部控制评价报告;
(四)负责听取内部控制重大缺陷及其整改方案;
(五)负责内控审计会计师事务所与公司内部审计机构之间的工作协调。
第八条 监事会的职责:
(一)负责对董事会建立与实施内部控制的情况进行监督;
(二)负责听取内部控制评价报告;
(三)负责听取内部控制重大缺陷及其整改方案。
第九条 经理层的职责:
(一)负责组织领导公司内部控制的日常运行;
(二)积极支持内部控制评价工作的顺利开展,负责协调解决内控评价部门在内控检查、评价工作中所遇到的困难;
(三)负责为内部控制评价方案提出应重点关注的业务、事项和高风险领域;
(四)负责对内部控制重要缺陷及其整改方案作最终认定和确认;
(五)负责听取内部控制一般缺陷和重大缺陷,并对内部控制评价中发现的问题及内控缺陷采取有效措施积极整改;
(六)负责听取内部控制评价报告。
第十条 内控评价工作小组(设在内部审计机构)的职责:
(一)负责拟订内控评价工作计划和内控评价工作方案;
(二)负责拟订内控缺陷评定标准;
(三)负责内控评价工作底稿、测试表的制定、更新和维护;
(四)负责吸收公司内部相关机构熟悉情况的业务骨干和内部审计机构员工
一起组成若干个内控复评专业工作组,根据各部门、分子公司的自评情况,对可能产生重要风险的业务进行复评,形成检查底稿;
(五)负责内控评价结果的汇总,编写内部控制评价报告;
(六)负责对内控评价的一般缺陷进行认定,并将重要缺陷、重大缺陷以及缺陷的整改方案复核后按本章第六条至第九条的规定向经理层、监事会、审计委员会、董事会报告;
(七)负责与内控审计的外部审计师进行沟通;
(八)负责复核各部门、分子公司的整改方案及具体的整改计划,督促缺陷的落实整改。
第十一条 各部门和分子公司的职责:
(一)负责组织本部门、本公司的内控自评、测试等工作;
(二)负责对自评时发现的缺陷提出整改方案及具体的整改计划;
(三)负责将拟订的整改方案及整改计划报送内部控制评价机构复核;
(四)负责对内控评价机构及外部审计师开展企业层面的内控评价工作予以配合。
第三章 评价范围
第十二条 评价范围
内控自我评价的范围为公司本级及下属全资、控股子公司的全部业务流程,并着重关注重要业务单位、重大业务事项和高风险领域。具体范围以当年审定的内控评价方案、工作计划为准。
第四章 内控评价的程序、频率
第十三条 内控评价的主要程序
(一)评价准备:制定内控评价工作计划、工作方案和组建若干个内控复评专业工作组。
(二)评价实施:被评价部门、分子公司进行自我评价,并提交自我评价资料。内部审计机构根据被评价单位自我评价情况确定复评范围和工作重点,再由
对应的内控复评专业工作组执行复核、检查、评价工作,包括实施现场测试、认定控制缺陷、汇总评价结果。
(三)评价报告:编制内控评价报告以及将内控评价报告予以上报、批准和对外披露。
(四)反馈跟踪:对照整改方案跟踪落实整改情况。
第十四条 内控评价的频率和具体工作流程
内控自我评价工作一年开展一次,分为两个阶段。第一阶段原则上定于每年5月~12月开展,第二阶段原则上定于每年12月~次年4月开展,具体工作时间以当年通过的内控评价工作计划、工作方案为准。专项评价则按照专项评价工作方案要求开展。
(一)第一阶段工作:主要包括内控评价准备和评价实施的各项工作。
(二)第二阶段工作:主要包括内控评价报告和反馈跟踪的各项工作。
第五章 内控评价准备阶段
第十五条 内控评价工作小组(内部审计机构)负责组建若干个内控复评专业工作组。内控复评专业工作组的人员应由内部审计机构人员和公司相关部门、分子公司的业务骨干构成,内控复评专业工作组成员可参与其他部门的评价工作,但在对自身部门评价时应予以回避。
第十六条 内控评价工作小组(内部审计机构)拟订内部控制缺陷的评价标准、内控评价工作计划、内控评价工作方案,明确评价范围、工作时间表及人员分工,报审计委员会审定。
第十七条 制定的内控评价工作方案应根据国家法律法规要求、公司经营特点、发展目标及年度工作重点而制定。
第十八条 内控评价工作方案应当明确评价范围、工作任务、人员组织、进度安排、费用预算等相关内容。
第六章 内控评价实施阶段
第十九条 根据审批后的内控评价工作计划、工作方案,内控评价工作小组
(内部审计机构)应当在实施内部控制评价工作前向被评价对象(部门或分子公司)送达通知书。被评价对象(部门或分子公司)接到自评通知书后,应当根据通知书的要求积极做好本部门或本公司内的自评工作。收到复评通知的部门和分子公司还要做好迎接复评的准备工作。
第二十条 被评价的部门或分子公司应根据自身业务范围、组织架构、岗位设计、职责分工、经营计划和预算完成情况、内部控制工作概况、最近一年内部监督(包括内部控制评价)发现问题的整改情况等要素进行全面自评,寻找潜在的内控缺陷。对发现的缺陷应提出整改措施,报本部门或本公司负责人审核。
第二十一条 被评价部门、分子公司应在本部门、公司内确定兼职内控员以推进本部门、公司的自我评价工作。兼职内控员建议由部门、分子公司主要负责人或核心业务骨干担当。兼职内控员确定后报内控评价工作小组(内部审计机构)备案。若拟更改兼职内控员,各部门、分子公司在更改完成后应向内控评价工作小组(内部审计机构)实施报备。
第二十二条 评价内容和重点
各部门、分子公司对内部控制进行自我评价,应当至少涉及下列内容:
(一)内部控制设计是否合理;
(二)内部控制设计和运行是否有效,业务流程、人员配备、职责分工和授权是否合理;
(三)是否建立有利于促进内部控制各项政策措施落实和问题整改的机制;
(四)在检查期间是否出现过符合内控缺陷评定标准的各种内控缺陷、重大风险事故等。
第二十三条 在各部门、分子公司对内部控制进行自评前,内控评价工作小组(内部审计机构)应编制具体的《内控自我评价表》。编制完成后,内控评价工作小组(内部审计机构)应将《内控自我评价表》随《自评通知书》一并分发给被评价部门、分子公司。
第二十四条 内控评价工作小组(内部审计机构)根据各部门或分子公司自评情况来确定需复评对象(部门或分子公司)、业务以及检查重点和抽样数量,并结合内控复评专业工作组成员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适当调整。在开展现场检查复评测试前,内控评价工作小组(内
部审计机构)还应将内控复评所需的资料汇总成《复评资料需求清单》,随《复评通知书》一并分发给需复评的被评价对象(部门或分子公司)。
第二十五条 内控复评专业工作组开展复评测试
(一)对内控自评进行复评测试
内控复评专业工作组的复评人员在各部门、分子公司所完成的《内控自我评价表》基础上,根据业务重点开展内控复评测试工作,复评测试时应采用恰当的测试方法,对其经营活动及内部控制的设计和运行的有效性进行复评测试。
(二)测试方法
内部控制检查监督评价时可采用的测试方法包括但不限于以下几种:
1、个别访谈法:是指公司根据检查需要,对被查单位员工进行单独访谈,以获取有关信息,访谈前应做好访谈准备工作,访谈时应撰写访谈纪要,以记录访谈的内容;
2、调查问卷法:是指公司设计问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目做出评价,问卷的题目应尽量简单易答;
3、穿行测试法:是指通过任意抽取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,来了解整个业务流程控制措施设计的有效性,并识别出关键控制点;
4、抽样法和比较分析法:是指公司针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行分析判断,进而对业务流程控制运行的整体有效性做出评价,样本量抽取可参考如下标准:
根据控制活动的类型和发生频率,可参考以下最低标准样本量,对不同的控制活动进行内部控制运行有效性测试。
(1)发生频率确定的控制活动需抽取的最低标准样本量
| 控制类型 | 控制活动发生频率 | 抽取的样本量 |
| 手工控制 | 每天多次 | 25 |
| 手工控制 | 每天1次 | 20 |
| 手工控制 | 每周/每两周1次 | 5 |
| 手工控制 | 每月1次 | 2 |
| 手工控制 | 每季度1次 | 2 |
| 手工控制 | 每年/每半年1次 | 1 |
(2)发生频率不确定的控制活动需抽取的最低标准样本量
| 控制类型 | 年发生次数 | 抽取的样本量 |
| 手工控制 | 年发生次数>200 | 25 |
| 手工控制 | 50<年发生次数≤200 | 15 |
| 手工控制 | 15<年发生次数≤50 | 5 |
| 手工控制 | 5<年发生次数≤15 | 2 |
| 手工控制 | 年发生次数≤5 | 1 |
5、实地查验法:是指公司对财产进行盘点、清查,以及对存货、工程物资等公司资产的出、入库等控制环节进行现场查验;
6、专题讨论法:是指集合有关专业人员就内控执行情况或控制问题进行分析,既可以是控制评价手段,也是形成缺陷整改方案的途径。
(三)内控复评专业工作组成员应对测试程序的执行过程、收集与评价的证据进行记录。编制的复评工作底稿应经过内控复评专业工作组组长审核。对于测试获取的样本,应进行复印、归档,以便审核人员可以有效地复查。第二十六条 实施阶段的其他注意事项
(一)内控复评专业工作组成员在检查过程中应积极利用计算机进行辅助检查,但不能改变内部控制评价工作方案确定的目标和范围。
(二)内控复评专业工作组应当根据通过评价和测试获取与内部控制有效性相关的证据,并合理保证证据的充分性和适当性。
(三)证据的充分性是指获取证据的数量应当能合理保证相关控制的有效;证据的适当性是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运行状况。
(四)各部门、分子公司负责人对本部门(公司)内控自评的真实性、全面性负责,并对发现的内控缺陷真实性负责。内控复评专业工作组是基于被评价部门(公司)提供的资料系真实、准确、完整的基础上开展复评测试工作。
(五)公司管理层对重大舞弊行为的发生承担最终责任。内部控制评价程序无法发现所有的舞弊行为,若内部控制评价人员秉持职业谨慎已执行了必要的评价程序,舞弊行为在该评价程序正常执行情况下无法发现的,应对内部控制评价
人员免责。
(六)内控复评专业工作组人员应当保持应有的职业谨慎,合理关注组织内部可能发生的舞弊行为,以协助组织管理层预防、检查和报告舞弊行为。
(七)对于因业务外包、服务外包以及流程外包等原因造成公司无法评价特定业务、特定流程的内部控制有效性的情形,内控复评专业工作组应当充分考虑该项业务流程及其相关控制的重要性,以确定其对整体控制目标有效性评价的影响。
第七章 内控评价汇总报告阶段
第二十七条 汇总内控评价结果
(一)各被评价部门、分子公司将经本部门、公司负责人签字或盖章审批后的评价资料(包括《内控自我评价表》在内的相关资料)提交内控评价工作小组(内部审计机构)。
(二)内控复评专业工作组汇总专业组成员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作底稿由专业组组长审核后签字确认。
(三)内控复评专业工作组将复评测试结果征求被评价部门、分子公司的意见。被评价部门、分子公司有异议的,应当在规定期限内提出书面意见;逾期不提出的,视为无异议。
(四)在评价结果得到被评价部门、分子公司确认后,内控复评专业工作组对初步认定的内部控制缺陷上报内控评价工作小组(内部审计机构),由内控评价工作小组(内部审计机构)进行全面复核、分类汇总,对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度对缺陷进行评定,提出内部控制缺陷等级评定意见,报内部审计机构负责人审核后,由内控评价工作小组(内部审计机构)根据第二章第六条至第九条规定的权限分别上报经理层、监事会、审计委员会、董事会,并作最终确认。
第二十八条 编制内控评价报告
(一)内控评价工作小组(内部审计机构)在各部门、分子公司完成内控自评工作及内控复评专业工作组完成复评测试工作后,以汇总的评价结果和评定的
内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正地编写《内部控制评价报告》,由内部审计机构负责人审核后,报送经理层、监事会、审计委员会、董事会。
(二)《内部控制评价报告》应至少包括以下重要内容:
1、董事会对内部控制报告真实性的声明;
2、内部控制评价工作的总体情况;
3、内部控制评价的依据;
4、内部控制评价的范围;
5、内部控制评价的程序和方法;
6、内部控制缺陷及其评定情况;
7、内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
8、内部控制有效性的结论。
(三)内控评价工作组应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。第二十九条 内控评价报告的批准和对外披露
(一)董事会审核批准公司年度内部控制评价报告及其相关支持信息。公司董事会应在审议年度财务报告等事项的同时,对公司年度内部控制评价报告形成决议。
(二)公司应在年度报告披露的同时,披露公司年度内部控制评价报告,并披露会计师事务所出具的公司内部控制审计报告。
第八章 内控评价反馈跟踪阶段
第三十条 确定内控整改建议
内控评价工作小组(内部审计机构)提交的内部控制评价报告中应包含针对内部控制缺陷而建议的整改措施。公司内部控制规范实施领导小组(或经理层)应就整改措施建议进行商讨,并确定具体的整改方案。整改方案确定后,下发至需整改的部门、分子公司,由部门、分子公司进行整改的具体落实。
第三十一条 跟踪整改落实情况
(一)被要求整改的部门、分子公司应在收到整改通知之日起按整改方案的要求进行整改,在整改过程中,应与内控评价工作小组(内部审计机构)保持积极的沟通。同时,内控评价工作小组(内部审计机构)应适时监督整改部门、分子公司的整改情况,确保整改有效进行。
(二)整改的部门、分子公司在整改得到一定时间的执行后(原则上为自整改之日起2个月),应向内控评价工作小组(内部审计机构)提交整改落实情况书面报告。内控评价工作小组(内部审计机构)在收到整改部门、分子公司书面报告后,安排内控复评专业工作组进行复查,并就复查情况向公司内部控制实施领导小组(经理层)进行书面汇报。
(三)在内控评价报告对外披露之前,内控缺陷整改完成并通过复查的,内控评价工作小组(内部审计机构)可以根据内控缺陷的严重程度和性质,对内控评价报告进行适当修订或补充整改情况的内容。修订、补充工作完成后,内控评价工作小组(内部审计机构)需将修订后的内部控制评价报告再次报送内审负责人审核,在内部审计机构负责人审核后再报送经理层、监事会、审计委员会、董事会,并由董事会作最终审批。
第九章 考核
第三十二条 各部门、分子公司应认真组织自评。自评发现重大缺陷,并及时整改的,不予考核处罚;自评时未发现,但被公司内控评价工作小组(内部审计机构)、内控复评专业工作组发现的重大缺陷,内控评价工作小组(内部审计机构)、内控复评专业工作组可向公司相关考核部门提出考核处罚建议。
第三十三条 对于公司内部评价时未发现,但被外部审计、监管机构发现的重大缺陷,可根据其影响情况对相关部门、分子公司进行考核处罚。
第十章 附则
第三十四条 本规则由内部审计机构拟订,报董事会批准后生效,自发布之
日起施行。
第三十五条 董事会授权内部审计机构对本规则进行解释。
附件:
内控缺陷评定标准
一、内控缺陷评定的基本思路
公司对内部控制缺陷的评定,以“日常监督评价”和“专项监督评价”为基础,结合年度内部控制评价,由内控评价工作小组进行综合汇总分析后提出评定意见,按照规定的权限和程序进行审核后予以最终评定。
二、内控缺陷的评定标准
内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷三个等级。
重大缺陷,是指一个或多个控制缺陷的组合,可能严重影响内部控制的整体有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,不会严重危及内部控制的整体有效性,但仍有可能导致企业偏离整体控制目标,须引起管理层的充分关注。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。
内控评价工作小组可以按照定量及定性的标准,对内部控制评价过程中发现的内部控制缺陷进行评定。
三、财务报告内部控制缺陷的认定标准
(一)定性标准
公司规定,具有以下特征的财务报告内控缺陷应认定为重大缺陷:
1、当已经对外公告的财务报告出现重大差错进行错报更正(由于政策变化或其他客观因素变化导致的对以前年度的追溯调整除外);
2、审计师发现、而公司未能自行发现当期财务报告存在重大错报;
3、董事、监事和高级管理人员存在舞弊行为;
4、审计委员会以及内部审计部门对财务报告内部控制监督无效。
(二)定量标准
与财务报告相关的内控缺陷认定的定量标准主要依据管理层确定的财务报告的重要性水平,即:当企业财务报告实际错报(漏报)的金额大于该重要性水平时,就认定企业存在重大内控缺陷;当企业财务报告实际错报(漏报)的金额
未超过该重要性水平,但仍应引起公司管理层重视的,就应将该缺陷认定为重要缺陷;不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一般缺陷。
重要性水平的确定一定程度上取决于公司对风险的谨慎程度,对于财务报告相关的内控缺陷定量标准,公司决定采用相对比例法来确定重要性水平,即:以公司上一年年末资产总额(合并报表)作为计算基数,按其一定比例计算出重要性水平。如果遇到公司当年发生重大资产重组等情况导致上一年年末资产总额与内控评价时资产总额发生重大差异(增加或减少30%及以上),可采用重大资产重组等事件完成后的最近一季末的资产总额等指标作为计算基数。具体定量标准如下:
| 重要程度项目 | 财务报告错报金额 |
| 一般缺陷 | 错报<资产总额(合并报表)的 0.5% |
| 重要缺陷 | 资产总额(合并报表)的0.5%≤错报<资产总额(合并报表)的 1% |
| 重大缺陷 | 错报≥资产总额(合并报表)的 1% |
四、非财务报告内部控制缺陷的认定标准 :
(一)定性标准
公司规定,具有以下特征的缺陷定为重大缺陷:
1、严重违反国家法律、法规;
2、因企业决策程序不科学而导致的重大交易失败;
3、管理人员或技术人员大量流失;
4、重要业务缺乏制度控制或制度系统性失效;
5、重大缺陷没有在合理期间得到整改。
(二)定量标准
非财务报告内控缺陷认定的定量标准主要依据管理层确定的直接损失金额的重要性水平,即:当企业直接财产损失金额大于该重要性水平时,就认定企业存在重大内控缺陷;当企业直接财产损失金额未超过该重要性水平,但仍应引起公司管理层重视的,就应将该缺陷认定为重要缺陷;不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一般缺陷。具体定量标准如下:
| 重要程度项目 | 直接财产损失金额 |
| 一般缺陷 | 损失<资产总额(合并报表)的 0.5% |
| 重要缺陷 | 资产总额(合并报表)的0.5%≤损失<资产总额(合并报表)的 1% |
| 重大缺陷 | 损失≥资产总额(合并报表)的 1% |
五、内控缺陷评定结果的汇报
内控缺陷评定后,应根据内控缺陷的严重程度采取书面形式向董事会(审计委员会)、监事会或者公司经理层汇报。内部控制的重大缺陷应立即报告,重要缺陷、一般缺陷应定期(至少每年)报告。
重大缺陷应分别向公司经理层、监事会、审计委员会和董事会报告,并由董事会作最终认定,对重大缺陷的整改方案应向公司经理层、监事会、审计委员会和董事会报告,并由董事会审定;重要缺陷及其整改方案应向公司经理层汇报,并由公司经理层作最终认定;一般缺陷及其整改方案由内控评价部门(内部审计机构)认定,并向公司经理层和被评价单位报告。如果出现不适合向公司经理层报告的情形,如存在与管理层舞弊相关的内控缺陷,或存在管理层凌驾于内部控制之上的情形,应当直接向董事会(审计委员会)、监事会报告。