山西杏花村汾酒厂股份有限公司  内部控制评价管理办法  第一章 总则 第一条 为建立山西杏花村汾酒厂股份有限公司（以下简称“公司”）内控运行长效机制，提升内控管理水平，提高内控执行力，进一步完善内控体系，根据《企业内部控制基本规范》、《企业内部控制配套指引》等法律法规，特制定本办法。 第二条 内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。其包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。 第三条 公司内部控制评价的目标主要包括： （一）促进公司遵守国家法律法规、证监会及相关监管机构的监管要求。 （二）促进公司提高风险管理水平，保证发展战略和经营目标的实现。 （三）促进公司增强业务、财务和管理信息的真实性、完整性和及时性。 （四）促进公司各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。 （五）促进公司在出现业务创新、机构重组及新设等重大变化时，及时有效地评估和控制可能出现的风险。 第四条 公司内部控制管理评价根据充分性、合规性、有效性和适宜性要求，注重过程控制、结果考核、过失弥补三个环节，从以下方面进行： （一）过程和风险是否已被充分识别。 （二）过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。 （三）控制措施是否有效。 （四）控制措施是否适宜。 第五条 公司内部控制评价遵循以下原则： （一）全面性原则。评价范围覆盖公司内部控制活动的全过程及所有的部门和岗位。 （二）统一性原则。评价的准则、范围、程序和方法等保持一致，确保评价过程的 准确及评价结果的客观和可比。 （三）独立性原则。评价由内控管理委员会或内控合规部门独立进行。 （四）公正性原则。评价以事实为基础，以法律法规、监管要求为准则，客观公正，实事求是。 （五）重要性原则。评价依据风险和控制的重要性确定重点，关注重点区域和重点业务。 （六）及时性原则。评价按照规定的时间间隔持续进行，当经营管理环境发生重大变化时，及时重新评价。 第六条 内部控制评价的主体是公司内部控制评价的实施者，主要是公司设立的内控管理委员会，负责评价全公司内部控制总体执行情况。 第七条 内部控制评价的客体是公司内部控制评价的对象，包括机构单元及业务单元。 （一）机构单元是指公司设立的授权经营的分支机构，包括分、子公司。 （二）业务单元是指公司依法开展的生产单位和保障业务持续经营的职能部门。 （三）机构单元与业务单元的内部控制要素。分别是内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。 第八条 本办法适用于股份公司各部门、各分子公司。  第二章 评价内容  第一节 内部控制环境 第九条 内部控制环境是指公司内部控制意识，以及与之相关的行为、政策和程序。公司内部控制环境评价内容包括：组织机构、企业文化、人力资源等。 第十条 组织机构。公司各部门之间、公司与各分子公司之间要建立分工合理、职责明确、报告关系清晰的组织结构。明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限。重点关注： （一）组织机构的设立是否满足本公司业务运营及管理的需要； （二）各专项业务职责是否清晰、权责是否明确、报告关系是否顺畅； （三）岗位分离措施是否正确并得到严格执行； 第十一条 企业文化。公司各部门、各分、子公司是否按照公司的要求向员工正确传达并广泛宣传遵守法律法规和实施内部控制的重要性，引导员工树立合规意识和风险意识；是否在工作中不断提高员工的职业道德规范水准，规范员工的职业行为。 第十二条 人力资源。人力资源部门应完善人力资源政策和程序，确保与风险和内部控制有关人员具备相应的能力和意识。这些政策包括： （一）与风险和内部控制有关人员的适任条件得到严格执行； （二）公司各项激励奖惩措施是否得到执行； （三）是否严格执行员工引进、退出、选拔、专业技术职务管理处罚等人员适用规定； （四）各项薪酬、福利、绩效考核政策是否正确执行。  第二节 风险识别与评估 第十三条 风险识别与评估。 各部门、各分、子公司是否严格执行以书面程序，持续对各类风险进行有效的识别和评估。公司面临的风险主要包括信用风险、市场风险、操作风险、流动性风险、法律风险及声誉风险等。 第十四条 各部门、各分、子公司根据法律法规、监管要求及公司内部控制制度确定风险是否可以接受，以确定是否进一步采取措施。对识别的可接受风险是否进行定期评审；对不可接受风险是否及时制定相应的控制措施。 第十五条 各部门、各分、子公司应对环境和条件发生变化的风险进行再识别和再评估，应根据更新的法律法规和监管要求相应更新风险控制措施，并及时传达给相关部门和员工。  第三节 内部控制措施 第十六条 内部控制措施包括运行控制、计算机系统环境下的控制和应急准备与处置。 第十七条 各部门、各分、子公司依照法律法规对各项业务和管理活动采取控制措施。 第十八条 计算机系统环境下的控制评价。 对计算机信息系统硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息的完整性、安全性和可用性，针对信息安全管理体系进行评价。 第十九条 应急准备与处置评价。对意外事件和紧急情况可能发生时的应急处置预案和程序进行评价。 （一）是否定期检查、维护应急的设施、设备和系统。 （二）应急预案是否与意外事件或紧急情况发生相适应。  第四节 信息交流与反馈 第二十条 信息交流与反馈。公司各部门、各分、子公司应保持通畅的信息交流与沟通程序，尤其对财务、管理、业务、重大事件和市场信息等相关信息的识别、收集、处理、交流、沟通、反馈的渠道和方式要按照法律法规及公司相关规定保持通畅。 第二十一条 公司各部门、各分、子公司应识别其内部和外部的风险相关方，建立与这些相关方进行信息交流的机制，确保： （一）所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序 （二）险情、事故发生时，相关信息能得到及时报告和有效沟通。 （三）及时、真实、完整地向管理层、监管机构报告。 第二十二条 信息交流与沟通应考虑信息的安全性和保密性要求，相关信息报告、发布、披露应该经过授权。 第二十三 条 为保持信息交流沟通的可追溯性，应保持相关信息交流与沟通的记录。 第二十四条 各部门、各分、子公司应该按照公司要求保持信息交流与反馈，包括： （一）按照公司要求对内部控制体系及相互作用进行描述。 （二）关键岗位及其职责与权限。 （三）不可接受风险及其预防和控制措施。 （四）控制程序、作业指导、方案和其他内部文件。 第二十五条 文件控制。公司各部门、各分、子公司保持书面程序，确保公司内部控制体系所要求的文件满足下列要求： （一）易于查询。 （二）实施前得到授权人批准。 （三）所有相关岗位都能得到有效版本。 （四）及时识别、处置外来文件并进行标识，必要时转化为内部文件。 （五）留存的档案性文件和资料应予适当标识。 第二十六条 记录控制。各部门、各分、子公司保持书面程序，规定内部控制相关活动中所涉及记录的标识、生成、储存、保护、检索、保存期限和处置。 记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。  第五节 监督评价与纠正 第二十七条 内部控制绩效监测。 公司各部门、各分、子公司应以书面程序，确保各项内部