高升控股股份有限公司
内部控制制度
(2020年7月)
第一章 总则第一条 为提高高升控股股份有限公司(以下简称“上市公司”)的风险管理水平,保护投资者的合法权益,依据《中华人民共和国公司法》、《中华人民共和国证券法》、《企业内部控制基本规范》、《企业内部控制配套指引》、《深圳证券交易所上市公司规范运作指引》及其他有关规定,特制定本制度。
第二条 本制度所称内部控制(以下简称“内控”),是由公司董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
第三条 上市公司保证本制度的完整、合理及有效实施,以提高公司经营的效果与效率,增强公司信息披露的可靠性,确保公司行为合法合规。
第四条 上市公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责,董事会及其全体成员保证内部控制相关信息披露内容的真实、准确、完整。
第五条 本制度适用于上市公司和子公司。
本制度所称的“子公司”,是指纳入上市公司合并报表
范围内的,全资子公司、控股子公司以及虽未达到控股地位但拥有实际控制权的股权投资企业。
第二章 内部控制的框架第六条 上市公司和子公司建立与实施内部控制,应当遵循下列原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖上市公司和子公司的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第七条 上市公司和子公司建立、实施内控制度时,应考虑以下基本要素:
(一)目标设定,指董事会和管理层根据公司的风险偏好设定战略目标。
(二)内部环境,指治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,是实施内控的基础。
(三)风险识别,指董事会和管理层确认影响公司目标实现的内部和外部风险因素。
(四)风险评估,指董事会和管理层根据风险因素发生的可能性和影响,确定管理风险的方法。
(五)风险应对,指董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略。
(六)控制活动,指为确保风险管理策略有效执行而制定的制度和程序,包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。
(七)信息沟通,指及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。
(八)内部监督,指对内控建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
第八条 上市公司和子公司内控通常应涵盖经营活动中所有业务环节,包括但不限于:
(一)销售及收款环节:包括订单处理、按客户需求提交解决方案及报价、客户测试、信用管理、提供服务、销售发票、确认收入及应收账款、收到现款及其记录等。
(二)采购及付款环节:包括采购申请、处理采购单、验收货物、填写验收报告或处理退货、记录应付账款、核准付款、支付款项及其记录等。
(三)运营环节:包括服务开通、日常运维、成本费用的计算等。
(四)固定资产管理环节:包括固定资产的自建、购置、处置、维护、保管与记录等。
(五)货币资金管理环节:包括货币资金的入账、划出、记录、报告、出纳人员和财务人员的授权等。
(六)关联交易环节:包括关联方的界定,关联交易的定价、授权、执行、报告和记录等。
(七)担保与融资环节:包括借款、担保、承兑、融资租赁、发行新股、发行债券等的授权、执行与记录等。
(八)投资环节:包括投资有价证券、股权、不动产、经营性资产、金融衍生品、理财产品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等。
(九)研发环节:包括基础研究、产品设计、技术开发、产品测试、研发记录及文件保管等。
(十)人事管理环节:包括雇用、签订聘用合同、培训、请假、加班、离岗、辞退、退休、计时、计算薪金、计算个人所得税及各项代扣款、薪资记录、薪资支付、考勤及考核等。
第九条 上市公司内控制度除涵盖对经营活动各环节的控制外,还包括贯穿于经营活动各环节之中的各项管理制度,包括但不限于:投资管理、担保管理、财务管理、资产管理、信息披露管理、对子公司管理及各其他管理制度的管理等。
第十条 上市公司和子公司应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。信息管理的内控制度至少应涵盖下列内容:
(一)信息处理部门与使用部门权责的划分;
(二)信息处理部门的功能及职责划分;
(三)系统开发及程序修改的控制;
(四)程序及资料的存取、数据处理的控制;
(五)档案、设备、信息的安全控制;
(六)在公司网站或其他网站上进行公开信息披露活动的控制。
第十一条 上市公司和子公司应当建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
第十二条 接受上市公司委托从事内部控制审计的会计师事务所,应当根据相关法律法规及执业准则,对上市公司内部控制的有效性进行审计,出具审计报告。为上市公司内控提供咨询的会计师事务所,不得同时为上市公司提供内控审计服务。
第三章 专项风险的控制
第一节 子公司管理控制
第十三条 上市公司应当加强对子公司的管理控制,制定对子公司的控制政策及程序,并在充分考虑子公司业务特征等的基础上,督促其建立内部控制制度。
第十四条 依法建立对子公司的控制架构,确定子公司章程的主要条款,选任董事、监事、总经理及财务负责人等。
第十五条 根据上市公司的经营策略和风险管理策略,督促子公司建立经营计划、风险管理程序。
第十六条 子公司建立重大事件报告制度、明确审议程序,及时向上市公司报告重大业务事件、重大财务事件以及其他可能对上市公司股票及其衍生品种交易价格产生较大影响的信息,并严格按照授权规定将重大事件报上市公司董事会审议或者股东大会审议。
第十七条 上市公司定期取得并分析子公司的月度、季度、半年度、年度报告,包括营运报告、资产负债表、利润表、现金流量表、对外借款及对外担保资料等。
第十八条 上市公司定期对子公司的业绩进行考核。
第十九条 上市公司定期对子公司内控制度的实施进行检查监督及评价。
第二节 其他风险的内部控制
第二十条 上市公司应根据行业特点、战略目标和风险管理策略的不同,对特有风险作出相关内部控制措施。对关联交易、提供担保、募集资金使用、重大投资、信息披露等活动的控制建立专项内控制度。
第四章 内部控制的检查监督第二十一条 上市公司和子公司应对内控制度的落实情况进行定期和不定期的检查。董事会及经理层应通过内控制度的检查监督,发现内控制度是否存在缺陷和实施中是否存在问题,并及时予以改进,确保内控制度的有效实施。
第二十二条 上市公司和子公司应确定内审部负责内部控制的日常检查监督工作,并根据相关规定以及实际情况配备专门的内部控制检查监督人员。上市公司和子公司可根据自身组织架构和行业特点安排该职能部门的设置。
上市公司内审部直接向董事会审计委员会报告,该部门负责人的任免由董事会决定。
第二十三条 上市公司应根据自身经营特点制定上市公司和子公司的年度内部控制检查监督计划,并作为评价内部控制运行情况的依据。
第二十四条 上市公司内审部应在年度结束后向董事会提交内部控制检查监督工作报告。
第二十五条 上市公司董事会对内部控制检查监督工作进行指导,并审阅检查监督部门提交的内部控制检查监督工作报告。具体工作由董事会下设的审计委员会实施。
第二十六条 检查监督工作人员对于检查中发现的内部控制缺陷及实施中存在的问题,应在内部控制检查监督工作报告中据实反映,并向董事会报告后进行追踪,以确定相关部门和子公司已及时采取适当的改进措施。
第二十七条 检查监督部门的工作资料,包括内部控制检查监督工作报告、工作底稿及相关资料,保存时间不少于十年。
第五章 内部控制的信息披露
第二十八条 上市公司和子公司在内部控制的检查监督中如发现内部控制存在重大缺陷或存在重大风险,应及时向董事会报告。
上市公司和子公司应在报告中说明内部控制出现缺陷的环节、后果、相关责任追究以及拟采取的补救措施。
第二十九条 上市公司董事会应根据内部控制检查监督工作报告及相关信息,评价内部控制的建立和实施情况,形成内部控制自我评价报告。上市公司董事会应在审议年度财务报告等事项的同时,对内部控制自我评价报告形成决议。
第三十条 上市公司董事会应在年度报告披露的同时,披露年度内部控制自我评价报告,并披露会计师事务所对内部控制自我评价报告的核实评价意见。
第三十一条 内部控制自我评价报告至少应包括如下内容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制缺陷及其认定情况;
(五)对上一年度内部控制缺陷的整改情况;
(六)对本年度内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
第六章 附则第三十二条 本制度经上市公司董事会审批通过后,自下发之日起施行。
第三十三条 本制度由上市公司内审部负责解释。