第一章   总   则

第一条   为促进XX科技股份有限公司 (以下简称“公司”)  开展内部控制的设计与运行情况的全面评价，规范公司内部控制评价程序和评价报告，揭示和防范风险，根据《企业内部控制基本规范》《企业内部控制评价指引》和《公司章程》等相 关规定，制定本制度。

第二条   本制度所称的内部控制评价，是指由公司董事会和管理层实施的，对内部 控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制有效性是指公司建立与实施内控能够为控制目标的实现提供合理的保证程度，包括内部控制设计的有效性和内部控制运行的有效性。

第三条   本制度适用于公司， 及公司全资子公司、控股公司、拥有实际控制权的参 股公司(以下统称“子公司”)。

第四条   公司实施内部控制评价至少应当遵循下列原则：

(一)  全面性原则。评价工作应当包括内部控制的设计与运行， 涵盖公司及公司所 属单位的各种业务和事项。

(二)  重要性原则。评价工作应当在全面评价的基础上，根据风险发生的可能性及 其对公司内控目标的影响程度， 确定需要评价的重点业务单元、重要业务领域、重要流 程环节和高风险领域。

(三)  客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部 控制设计与运行的有效性。

(四)成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。

第二章 职责分工

第五条   公司董事会负责内部控制的建立健全和有效实施，审批内控评价报告，批 准涉及内控重大缺陷、重要缺陷的整改意见以及决定内控评价和检讨工作的合理性和充分性等。

第六条  公司董事会授权审计委员会负责内控评价工作安排、成果审议和工作监督等事项，其主要职责包括：

(一)审批年度内部控制评价工作计划；

(二)审议内部控制评价报告；

(三)审议内部控制重大缺陷整改意见；

(四)监督公司经营班子组织和领导开展内部控制评价工作；

(五)协调公司经营班子安排足够行政资源推进内部控制评价工作和缺陷整改工 作。

第七条公司监事会对董事会建立与实施内控及内控评价制度的情况进行监督，审议内控评价报告。

第八条 公司经营班子负责组织领导企业内部控制的日常运行，为内控评价提供必 要的行政资源， 制定公司内控评价工作具体实施办法， （更多内容可关注公众号CIA内审师小站）协调和解决内控评价过程中出现 的重大事项， 听取内控评价的工作安排、工作进展和评价报告，及时掌握公司内控风险 监控结果， 组织实施缺陷整改工作。公司经营班子可成立内控评价领导小组落实有关具体工作。

第九条   公司内控评价部门为风控审计部。根据审计委员会关于内控评价的工作要求和相关制度规定，负责公司内控评价的具体组织实施工作。

第十条   子公司是内控评价的基本主体单位，负责本单位内控自我评价工作。

第三章  内部控制评价的内容

第十一条   公司应当根据本制度的要求，围绕内部环境、风险评估、控制活动、信 息与沟通、内部监督等五个要素，确定内控评价的具体内容，对内控设计和运行情况进 行全面评价。

第十二条 评价范围是公司及各子公司所有经营环节，及贯穿于经营活动各环节之 中的各项管理制度。

第十三条 公司实施内控评价，包括对内部控制设计有效性和运行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当； 内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

第十四条 公司对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：

(一)被评价单位内部控制是否在风险评估的基础上涵盖了公司层面的风险和所有 重要的业务流程层面的风险。

(二)  被评价单位内部控制设计的方法是否适当、覆盖是否全面， 内部控制建设的 时间进度安排是否科学、阶段性工作要求是否合理。

(三)  被评价单位内部控制设计和运行的组织是否有效， 人员配备、职责分工和授 权是否合理。

(四)被评价单位是否开展内部控制自查并上报有关自查报告。

(五) 被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

(六)被评价单位在评价期间是否出现过重大风险事故等。

(七) 内部控制具体评价内容应该建立在内部核心指标体系的基础上展开，每个指 标需要逐级细化，具体参考附件2。

第四章  内部控制评价的组织和实施

第十五条  内控评价按照“统一领导，分级管理”的原则进行，即公司董事会负责领导、公司风控审计部负责具体组织和实施、公司各子公司负责本单位的内控评价工作。

第十六条 内控评价工作应当形成工作底稿，详细记录公司执行评价工作的内容，包括评价要素、 主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿通过一系列评价表格来实现，对每个要素核心指标进行分解、评价， 并最终汇总出评价结果。

第十七条 公司内控评价，一般包括年度评价和日常评价。年度评价是指公司根据内控目标，对公司某一年度建立与实施内控的有效性进行的 评价。日常评价是指公司在特定时点对待定范围的内控的有效性进行的评价。年度评价为定期评价，（更多内容可关注公众号CIA内审师小站）在每年年度结束后， 年度报告提交董事会审议之前， 应完成定期检查并将内控评价报告提交审计委员会审阅。日常评价一般为不定期评价，根据需要视具体情况而定， 不受检查时间和检查次数的限制。

第十八条 公司管理层和各部门及各子公司应负责组织相关人员按检查评价部门的 要求，积极配合并及时提供所需的原始凭证、报表、操作规程和书面报告等文件资料。

第五章  内部控制评价的程序和方法

第十九条   公司内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、 实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

第二十条 年度检查评价的程序

(一)  每年年末， 公司风控审计部拟订下一年度内部控制评价工作方案，明确评价 范围、工作任务、人员组织、进度安排和费用预算等相关内容，经公司经营班子确认后报审计委员会批准后实施。

(二)  内控评价工作组组织公司各相关部门、各子公司按工作方案进行自查， 编写 自查评价报告。

(三)公司各相关部门、各子公司将自查评价报告上报内控评价工作组。

(四)  公司内控评价工作组通过实施现场检查对各相关部门、各子公司自查评价报告进行审核确认和再评价。

(五)公司风控审计部对再评价结果进行汇总分析，编写公司年度内控评价报告，并上报审计委员会审阅。

(六)  公司审计委员会审议内控评价报告， 对存在缺陷和问题，以及提出的意见和 措施予以研究并形成决议。

(七)公司风控审计部将审计委员会审议后的内控评价报告提交公司董事会审议并 形成决议。公司监事会和独立董事亦应对此报告发表意见。

(八)  公司董事会在年度报告披露的同时， 按规定披露年度内控评价报告，并披露 会计事务所对年度内控评价报告的核实评价意见。

(九)  公司风控审计部对于检查中发现的内控缺陷及实施中存在的问题，应在向董 事会报告后进行追踪，以确定相关单位及时采取适当的改进措施。

第二十一条除年度检查评价外，公司风控审计部应不定期的组织开展日常内控检查评价，对于检查中发现的内控缺陷及存在问题，应督促相关部门或单位落实整改措施，并持续改进。同时，风控审计部亦应代表董事会对公司内控的建立与执行情况进行审计， 以规范管理，控制和防范风险。

第二十二条   内控评价工作组，应当对被评价单位进行现场测试， 综合运用个别访 谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，（更多内容可关注公众号CIA内审师小站）充分收集被 评价单位内部控制设计和运行是否有效的证据， 按照评价的具体内容，如实填写评价工 作底稿，研究分析内部控制缺陷。

第二十三条 风控审计部可根据情况可以委托中介机构实施内部控制专项评价和检查工作。为公司提供内部控制审计服务的中介机构，不得同时为公司提供内部控制评价服务。

第六章  内部控制缺陷的认定

第二十四条内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的认定，按照规定的权限和程序进行。

(一)以下任何一种情况出现，都意味着内控存在设计上的缺陷：

1、针对某一控制目标，缺失必要的控制点；

2、已有的内控设计不当，以致即使正确按设计的要求执行控制程序，也不能始终实现控制目标。

(二)以下任何一种情况出现，都意味着内控存在执行上的缺陷：

1、设计恰当的内控，未按照设计的要求正确执行；

2、控制执行人没有取得必要的授权或缺乏必要的胜任能力。

第二十五条   内控缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

(一)  重大缺陷， 是指一个或多个控制缺陷的组合， 可能导致公司严重偏离控制目 标。

(二)  重要缺陷， 是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重 大缺陷，但仍有可能导致公司偏离控制目标。

(三)一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。缺陷认定标准，应随着公司内控水平的提高进行适当的修订。

第二十六条   风控审计部应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况， 对内部控制缺陷及其成因、（更多内容可关注公众号CIA内审师小站）表现形式和影 响程度进行综合分析和全面复核， 提出认定意见，并以适当的形式向董事会、监事会或 管理层报告。重大缺陷应当由公司董事会予以最终认定。(附件 3、附件 4)

第二十七条   对于认定的内部控制缺陷，公司经营班子应当按照公司董事会和审计 委员会的要求， 组织整改并向审计委员会及时通报整改情况； 内部控制缺陷已经造成损 失或负面影响的，应当追究有关部门或相关人员的责任。

第七章  内部控制评价报告

第二十八条  内部控制评价报告应当分别就内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计， 对内部控制评价过程、内部控制缺陷认定及整改情 况、内部控制有效性的结论等相关内容作出披露。

第二十九条   内部控制评价报告应当包括下列内容：

(一)董事会对内部控制报告真实性的声明；

(二)内部控制评价工作的总体情况；

(三)内部控制评价的依据；

(四)内部控制评价的范围；

(五)内部控制评价的程序和方法；

(六)内部控制缺陷及其认定情况；

(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；

(八)内部控制有效性的结论。

第三十条内部控制评价报告报送公司经营班子审阅，报送公司审计委员会和监事会审议，经公司董事会批准后对外披露或报送相关部门。

第三十一条风控审计部应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结 论按程序进行相应调整。

第三十二条   公司内部控制审计报告与内部控制评价报告同时对外披露或报送。

第三十三条   公司以12 月 31 日作为年度内部控制评价报告的基准日。 内部控制评价报告应于基准日后4 个月报出。

第三十四条   公司内部控制评价的报告、工作底稿、证明材料及相关材料，由风控审计部负责整理并妥善保管。

第八章  内控评价的监督及奖惩措施

第三十五条 公司管理层和董事会应当根据评价结论对相关部门、单位或人员给予适当的奖励和惩戒。

第九章 附   则

第三十六条   本制度未尽事宜，或本制度与本制度生效后不时颁布或修订的法律法 规、部门规章、规范性文件及《公司章程》的规定相冲突的，以法律法规、部门规章、规范性文件及《公司章程》的规定为准。

第三十七条   本制度由公司风控审计部负责修订和解释。

第三十八条   本制度经公司董事会审议通过后实施。

第三十九条  附件

附件1： 内控评价工作流程图

附件 2：内部控制评价核心指标

附件3： 内部控制缺陷认定汇总表

附件 4：内控缺陷及改进建议汇总表

附件1

附件2

附件3

附件4

本文来源：风控新视野

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。