湖北三峡旅游集团股份有限公司
内部控制评价管理办法
(2025年4月)第一章 总 则第一条 为全面评价湖北三峡旅游集团股份有限公司(以下简称“公司”)内部控制设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,促进内部控制体系不断完善,根据《企业内部控制基本规范》《企业内部控制评价指引》《深圳证券交易所上市公司自律监管指引第1号—主板上市公司规范运作》等有关规定,结合公司实际,制定本办法。
第二条 本办法所称内部控制评价,是指公司董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 本办法适用于公司及所属全资、控股子公司(以下统称“子公司”)。
第四条 公司实施内部控制评价遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖公司及所属子公司的各种业务和事项;
(二)重要性原则。评价工作应当在全面评价的基础上,围绕公司经营目标,关注重大经营事项、关键业务环节和高风险业务;
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
第二章 内部控制评价的组织机构和职责第五条 董事会负责公司内部控制的建立健全和有效实施,审批公司内部控制缺陷认定标准,认定内部控制重大缺陷,审议批准内部控制评价报告,对内部控制评价报告的真实性负责。
第六条 董事会审计与风险管理委员会负责审查公司内部控制,监督内部控制的建立、实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
第七条 经理层负责组织领导内部控制的日常运行,审定公司内部控制评价方案,听取内部控制评价报告,组织实施缺陷整改工作,协调和解决内部控制评价相关事项等。
第八条 公司风控审计部负责内部控制评价工作的组织实施,主要职责包括:
(一)拟订内部控制评价相关管理制度;
(二)拟订内部控制评价方案;
(三)组织开展内部控制评价工作;
(四)编制内部控制评价报告;
(五)督促、跟踪和检查内部控制缺陷整改情况。
第九条 各子公司、各部门负责根据公司内部控制评价工作安排开展本单位、本部门内部控制评价工作,负责落实职责范围内的内部控制缺陷整改工作,并按期报送整改完成情况。
第三章 内部控制评价内容
第十条 公司根据《企业内部控制基本规范》《企业内部控制应
用指引》以及公司的内部控制制度的有关内容,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
第十一条 公司组织开展内部环境评价,以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合公司内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
第十二条 公司组织开展风险评估机制评价,以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合公司内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
第十三条 公司组织开展控制活动评价,以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合公司内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
第十四条 公司组织开展信息与沟通评价,以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合公司内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十五条 公司组织开展内部监督评价,以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合公司内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注董事会审计与风险管理委员会、风控审计部等是否在内部控制设计和运行中有效发挥监督作用。
第十六条 内部控制评价工作应当形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第四章 内部控制评价程序
第十七条 公司内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、确定检查评价范围和重点、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告等环节。
公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计服务的中介机构不得同时为公司提供内部控制评价服务。
第十八条 内部控制评价分以下阶段具体实施。
(一)准备阶段
1.制定评价工作方案。风控审计部拟订评价工作方案,明确评价范围、工作任务、人员组织、进度安排等相关内容,报经理层审批后实施。
2.组成评价工作组。风控审计部根据经批准的评价工作方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组主要由公司各部门熟悉情况的业务骨干组成。评价工作组成员对本部门的内部控制评价工作实行回避制度。
(二)实施阶段
1.确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量,并结合工作组人员专业背景进行合理分工。
2.开展现场检查测试。评价工作组人员根据分工,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
3.认定内部控制缺陷。评价工作组应对初步认定的内部控制缺陷进行交叉复核,对缺陷的成因及风险程度等进行分析,对内部控制缺陷进行初步认定并提交评价工作组负责人,评价工作组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认后,提交风控审计部。
(三)编制评价报告阶段
1.汇总评价结果。风控审计部应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、经理层报告。重大缺陷应当由董事会予以最终认定。
2.编制评价报告。风控审计部根据年报内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,及时编制内部控制评价报告。
(四)报告反馈及跟踪阶段
风控审计部应结合公司经理层、董事会的要求,持续组织、督促公司各部门、各子公司整改,并跟踪其整改落实情况。公司对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承
受度之内,并追究有关部门或相关人员的责任。
第五章 内部控制缺陷认定
第十九条 内部控制缺陷的分类按其成因或来源分为设计缺陷和执行缺陷;按其与财务报告的关系分为财务报告内部控制缺陷和非财务报告内部控制缺陷;按其影响程度分为重大缺陷、重要缺陷、一般缺陷。
第二十条 公司根据《内部控制基本规范》《企业内部控制评价指引》,结合公司规模、行业特征、风险偏好和风险承受度等因素,研究制定本公司的缺陷认定标准。公司内部控制缺陷认定标准如下:
(一)财务报告内部控制缺陷认定标准
1.财务报告内部控制缺陷评价的定量标准如下:
| 评价指标 | 一般缺陷 | 重要缺陷 | 重大缺陷 |
| 收入总额 | 错报<营业收入总额的1% | 营业收入总额的1%≤错报<营业收入总额的2% | 错报≥营业收入总额的2% |
| 利润总额 | 错报<利润总额的1% | 利润总额的1%≤错报<利润总额的2% | 错报≥利润总额的2% |
| 资产总额 | 错报<资产总额的0.5% | 资产总额的0.5%≤错报<资产总额的1% | 错报≥资产总额的1% |
| 所有者权益总额 | 错报<所有者权益的0.5% | 所有者权益总额的0.5%≤错报<所有者权益的1% | 错报≥所有者权益的1% |
2.财务报告内部控制缺陷评价的定性标准如下:
(1)重大缺陷:控制环境无效;公司董事、高级管理人员存在任何形式的舞弊;注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错误;董事会审计与风险管理委员会和风控审计部对财务报告内部控制监督无效。
(2)重要缺陷:未依照公认会计准则选择和应用会计政策;未建立反舞弊程序和控制措施;对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制;财务报告过程中出现单独或多项缺陷,虽然未达到重大缺陷认定标准,但影响到财务报告的真实、准确目标。
(3)一般缺陷:除重大缺陷、重要缺陷之外的其他控制缺陷。
(二)非财务报告内部控制缺陷认定标准
1.非财务报告内部控制缺陷评价的定量标准如下:
| 缺陷认定标准 | 直接财产损失金额 |
| 一般缺陷 | 50万元≤单项损失金额<500万元 |
| 重要缺陷 | 500万元≤单项损失金额<1000万元 |
| 重大缺陷 | 1000万元≤单项损失金额 |
2.非财务报告内部控制缺陷评价的定性标准如下:
(1)重大缺陷:决策程序导致重大失误;严重违反国家法律法规;重要业务缺乏制度控制或系统性失效,且缺乏有效的补偿性控制;高级管理人员和高级技术人员流失严重;内部控制评价的结果特别是重大缺陷未得到整改;其他对公司产生重大负面影响的情形。
(2)重要缺陷:决策程序导致出现一般性失误;重要业务制度或系统存在缺陷;关键岗位业务人员流失严重;内部控制评价的结果特别是重要缺陷未得到整改;其他对公司产生较大负面影响的情形。
(3)一般缺陷:决策程序效率不高;一般业务制度或系统存在缺陷。
第六章 内部控制评价报告第二十一条 公司根据《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》《公开发行证券的公司信息披露编报规则第21号—年度内部控制评价报告的一般规定》及公司相关制度,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,经董事会批准后对外报出。
第二十二条 内部控制评价报告包括下列内容:
(一)董事会对内部控制报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制缺陷及其认定情况;
(五)对上一年度内部控制缺陷的整改情况;
(六)对本年度内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
第二十三条 内部控制评价报告报送经理层审核,董事会审计与风险管理委员会审议,经董事会批准后对外披露。
第二十四条 公司以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。
第二十五条 风控审计部及时对内部控制评价的有关文件资料、工作底稿和证明材料等整理归档。
第七章 附 则
第二十六条 本办法未尽事宜,公司应当依照有关法律法规、规范性文件和《公司章程》的规定执行。
第二十七条 本办法经公司董事会审议通过后生效,修改时亦同。
第二十八条 本办法由公司董事会负责解释。