2026年企业内部控制评价实施方案

2026年企业内部控制评价实施方案一、总则1.1编制目的为科学、规范、高效地组织开展公司2026年度内部控制评价工作，全面、客观地评价内部控制体系的设计有效性与运行有效性，识别内部控制缺陷，促进内部控制持续改进与优化，保障公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司发展战略的实现，特制定本实施方案。1.2编制依据本实施方案依据以下法律法规、监管规定及公司内部规章制度制定：《中华人民共和国公司法》《中华人民共和国证券法》《企业内部控制基本规范》及其配套指引上海/深圳证券交易所上市公司自律监管指引国务院国有资产监督管理委员会关于中央企业内部控制体系建设与监督管理的相关规定《公司内部控制基本制度》《公司内部控制评价管理办法》公司年度经营计划与风险管理策略1.3适用范围本方案适用于公司总部、各事业部、全资及控股子公司（以下统称“各单位”）。参股公司可参照本方案执行或根据投资协议约定执行。1.4评价原则2026年度内部控制评价工作遵循以下基本原则：全面性原则：评价工作应覆盖公司及其所属单位的各种业务和事项，贯穿决策、执行、监督全过程。重要性原则：在全面评价的基础上，重点关注重要业务单位、重大业务事项和高风险领域。客观性原则：评价工作应以事实为依据，客观公正地反映内部控制设计与运行的实际情况。风险导向原则：评价工作应以风险识别与评估为基础，根据风险发生的可能性和对公司的影响程度，确定评价的重点和频次。成本效益原则：评价工作应权衡实施成本与预期效益，以适当的成本实现有效控制。1.5评价期间本次内部控制评价的基准日为2026年12月31日，评价期间覆盖2026年1月1日至2026年12月31日。对于特定重大事项或流程，评价期间可向前追溯或向后延伸。二、组织机构与职责分工为确保内部控制评价工作的顺利开展，公司成立内部控制评价工作领导小组及工作组，明确各方职责。2.1内部控制评价工作领导小组领导小组是公司内部控制评价工作的最高决策与领导机构。组成：由公司董事长担任组长，总经理、监事会主席、财务总监、董事会秘书及内审部门负责人担任副组长，其他高级管理人员及关键职能部门负责人为成员。主要职责：审批年度内部控制评价实施方案。听取评价工作进展汇报，协调解决重大问题和资源调配。审定内部控制评价报告及重大缺陷认定结果。监督评价发现问题的整改落实。2.2内部控制评价工作组工作组是内部控制评价工作的具体执行机构，设在公司内部审计部（或风险管理部），负责评价工作的日常组织与实施。组成：由内部审计部负责人担任组长，抽调内部审计、财务、法律、运营、信息技术等部门的业务骨干组成专职或兼职的评价团队。必要时，可聘请具备专业资质和良好声誉的中介机构协助工作。主要职责：拟定年度内部控制评价实施方案。组织开展内部控制评价的具体测试、检查、访谈与资料分析工作。识别、记录和初步认定内部控制缺陷。编制内部控制评价工作底稿。起草内部控制评价报告。跟踪、验证缺陷整改情况。负责评价工作的档案管理。2.3各职能部门及业务单位职责公司各职能部门及业务单位是内部控制评价的对象，也是配合与执行的主体。主要职责：指定专人作为内部控制评价联络员，负责对接评价工作组。按照评价工作组的要求，全面、及时、准确地提供相关资料和信息。组织本单位人员进行访谈、问卷填写及穿行测试。对评价工作组初步认定的缺陷进行确认与反馈。负责制定并落实本单位的缺陷整改计划。配合完成整改效果的跟踪检查。三、评价内容与范围3.1评价内容围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制五要素，对公司层面的控制和业务层面的控制进行评价。评价维度核心评价内容内部环境治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化、诚信与道德价值观等。风险评估目标设定、风险识别、风险分析、风险应对机制建立与更新情况。控制活动不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。信息与沟通内外部信息收集、处理与传递机制；财务报告流程；信息系统一般控制与应用控制；反舞弊机制。内部监督日常监督、专项监督程序的建立与执行；内部控制缺陷的认定、报告与整改机制。3.2评价范围2026年度内部控制评价范围包括：公司层面控制：对所有业务和流程产生广泛影响的控制，如治理结构、企业文化、反舞弊、财务报告流程等。业务层面控制：针对具体业务流程的控制，重点评价以下领域：资金活动：筹资、投资、营运资金管理。采购业务：供应商管理、采购申请与审批、采购执行、验收与付款。资产管理：存货、固定资产、无形资产的管理。销售业务：客户信用管理、销售定价、合同审批、发货与收款。研究与开发：立项与研究、开发与保护。工程项目：工程立项、招标、造价、建设、验收。担保业务：担保评估与审批、执行与监控。财务报告：账务处理、期末关账、报表编制与披露。合同管理：合同订立、履行、变更与归档。信息系统：系统开发、访问安全、变更管理、数据备份。3.3重要性水平与风险评估评价工作组将运用定量与定性相结合的方法，确定评价的重要性水平和风险排序，以合理分配评价资源。定量标准：主要参考资产总额、营业收入、净利润等财务指标的特定比例。定性标准：考虑业务复杂性、管理变革、监管关注度、舞弊风险、以往年度缺陷情况等因素。高风险领域识别：基于年度风险评估结果，将发生重大并购重组、新业务拓展、关键信息系统上线、重要管理层变动、以往存在重大缺陷的领域列为2026年度评价的高风险领域，进行重点测试。四、评价程序与方法内部控制评价工作按照准备、实施、报告、整改四个阶段有序开展。4.1准备阶段（2026年10月-11月）制定方案：评价工作组起草本实施方案，报领导小组审批。组织动员：召开启动会议，宣贯评价方案，明确工作要求。人员培训：对评价工作组成员及各单位联络员进行专项培训，内容涵盖评价方法、工具使用、工作纪律等。资料准备：收集并研读公司组织结构图、规章制度、流程文档、权限表、以往年度评价报告及审计报告等基础资料。4.2实施阶段（2026年12月-2027年1月）本阶段综合运用多种方法，获取关于内部控制设计和运行有效性的证据。评价方法适用场景具体操作个别访谈了解控制环境、职责分工、控制意识。与公司领导、部门负责人及关键岗位人员就控制设计和执行情况进行面对面交流，记录访谈纪要。调查问卷广泛了解控制环境、信息沟通等软控制。向特定范围的管理人员和员工发放匿名或实名问卷，收集对内部控制有效性的看法。穿行测试验证控制设计是否存在，并初步判断是否得到执行。选取少量交易样本，从业务发起追踪至财务报告，检查全流程中关键控制点的文档和操作。控制测试验证控制活动在评价期间内一贯有效运行。选取足够数量的样本，检查相关控制文档（如审批单、核对记录），观察控制执行，重新执行控制程序。实地查验验证资产存在性、控制实物形态。到仓库、车间、营业场所等进行现场观察和盘点，检查实物控制措施。抽样检查在控制测试和实质性测试中广泛应用。根据业务量、风险水平和置信度要求，采用随机抽样或分层抽样方法选取样本进行检查。比较分析发现异常波动或趋势。将财务数据、业务数据与预算、历史数据、行业数据进行比较，分析差异原因及背后的控制问题。重新计算/执行验证系统或人工计算的准确性。独立对重要计算（如折旧、摊销、减值准备）或控制程序（如对账）进行重新计算或执行。工作底稿要求：评价过程中获取的所有证据、得出的判断和结论，均需清晰、完整地记录于标准化的内部控制评价工作底稿中，并由底稿编制人及复核人签字确认。4.3缺陷认定与评价报告阶段（2027年2月）缺陷汇总与分析：评价工作组汇总测试发现的问题，对照缺陷认定标准进行初步分析。缺陷认定：根据缺陷的影响程度和发生可能性，将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。认定标准如下表所示：缺陷等级财务报告缺陷认定标准（定量）非财务报告缺陷认定标准（定性）重大缺陷潜在错报金额>合并财务报表整体重要性水平。1.缺乏民主决策程序导致重大决策失误；2.严重违反法律法规受到重大处罚；3.中高级管理人员和关键技术人员大量流失；4.媒体负面新闻频现，对公司声誉造成重大损害；5.内部控制评价发现重大缺陷未得到整改。重要缺陷潜在错报金额介于整体重要性水平的50%至100%之间。1.民主决策程序存在但不够完善；2.违反企业内部规章，形成重大损失风险；3.关键岗位业务人员流失严重；4.负面新闻对公司声誉造成一定损害。一般缺陷潜在错报金额<整体重要性水平的50%。除重大缺陷、重要缺陷之外的其他控制缺陷。沟通与确认：将初步认定的缺陷与相关单位负责人进行沟通，听取其解释和反馈，就缺陷事实达成一致。编制评价报告：评价工作组根据评价结果，起草《公司2026年度内部控制评价报告》，报告内容包括但不限于：声明、评价依据、范围、程序、结论、发现的缺陷及其认定情况、整改计划等。报告审批与披露：评价报告经工作组、领导小组审议后，报董事会或其审计委员会最终批准。按照监管要求，在法定期限内对外披露。4.4整改与跟踪阶段（2027年3月及以后）下达整改通知：对于认定的内部控制缺陷，评价工作组向责任单位下达《内部控制缺陷整改通知书》，明确缺陷描述、整改要求和完成时限。制定整改计划：责任单位分析缺陷根源，制定具体的整改措施、责任人和计划完成时间，报评价工作组备案。实施整改：责任单位按计划落实整改措施，包括完善制度、优化流程、调整授权、加强培训等。跟踪验证：评价工作组对缺陷整改情况进行持续跟踪，通过检查整改证据、重新测试等方式，验证整改措施的有效性。整改闭环：整改验证通过后，关闭该缺陷项。对于未按期完成或整改无效的，上报领导小组督办。五、资源保障与工作要求5.1资源保障人员保障：各单位应全力支持评价工作，确保评价工作组及联络员有充足的时间和精力投入。经费保障：评价工作所需经费，包括培训费、差旅费、外聘中介机构费用等，纳入公司年度财务预算，予以保障。信息技术保障：信息技术部门应为评价工作提供必要的数据提取、系统查询权限和技术支持。5.2工作要求高度重视，落实责任：各单位应充分认识内部控制评价的重要性，主要负责人为第一责任人。积极配合