【世界播资讯】内部控制评价管理办法

1. 1内部控制评价管理办法
2. 2内部控制评价管理办法
3. 3山东高速公路股份有限公司内部控制评价管理办法

三审议和批准内部控制评价相关制度，一审阅和批准内部控制评价工作计划和方案，三组织起草内部控制评价报告，一制定内部控制评价工作计划和方案，第四章内部控制评价的程序和方法。

(资料图)

内部控制评价管理办法2017-07-22 22:39:51 | #1楼回目录

附件7：

内部控制评价管理办法

第一章总则

第一条为规范中国泛海控股集团有限公司（以下简称“集团公司”）及所属各公司内部控制评价工作，及时发现风险管理与内部控制缺陷，并提出改进方案，确保风险管理与内部控制有效运行，根据财政部等五部委发布的《企业内部控制基本规范》、《企业内部控制评价指引》相关规定，结合集团实际情况，制定本办法。

第二条本办法所称内部控制评价，是指在集团公司董事会和管理层领导下，由内部控制评价部门对集团风险管理与内部控制有效性进行定期或不定期评价，形成评价结论，出具评价报告的过程。

第三条本办法适用于集团公司、所属各公司及受托管理公司（以下总称为“集团”）的内部控制评价管理工作。集团公司所属上市公司、公众公司风险管理工作按照国家法律法规和监管部门的规定要求，结合实际分别制定。三级及以下公司内部控制评价工作，由所属各公司负责。

第四条内部控制评价，遵循下列原则：

（一）全面性原则。评价工作应当包括风险管理与内部控制的设计和运行，涵盖集团及所属各公司的各种业务和事项。

（二）重要性原则。评价工作应当在全面评价的基础上，关注重

1

要业务事项、高风险领域和重要流程环节。

（三）客观性原则。评价工作应当准确提示经营管理的风险状况，如实反映风险管理与内部控制设计与运行的有效性。

（四）成本效益原则。风险评价监督应当以适当的成本实现科学有效的评价。

（五）及时性原则。评价工作应按照规定的时间持续进行，当经营管理环境发生重大变化时，应及时进行重新评价。

第二章组织与职责分工

第五条集团公司董事会是内部控制评价的最高决策机构，其主要职责包括：

（一）审阅和批准集团公司管理层提交的内部控制评价报告。

（二）批准由集团公司管理层提交的涉及内部控制整改的重大决策、重大风险、重大事项报告。

（三）审议和批准内部控制评价相关制度。

第六条集团公司监事会对董事会实施内部控制评价进行监督。

第七条集团公司管理层负责内部控制评价直接领导工作，其主要职责包括：

（一）审阅和批准内部控制评价工作计划和方案。

（二）审阅内部控制评价报告，并提出相关意见和建议。

（三）协调和解决集团跨部门的内部控制评价过程中出现的重大

2

事项。

（四）听取和了解内控整改过程中出现的相关重大事项，并按照董事会的授权进行决策。

第八条集团公司风险控制总监负责组织和指导内部控制评价工作，其职责包括：

（一）组织起草并审核内部控制评价工作计划和方案。

（二）组织和指导集团开展风险管理与内部控制评价的工作。

（三）组织起草内部控制评价报告。

（四）对于内部控制评价识别出的缺陷提出整改建议。

第九条集团公司风险控制管理总部（以下简称“风险控制管理总部”）是内部控制评价归口管理部门，负责内部控制评价日常管理和监督工作，其主要职责包括：

（一）制定内部控制评价工作计划和方案。

（二）汇总、整理、分析集团各部门、所属各公司上报内部控制自评价报告。

（三）通过现场检查等方式对集团各部门、所属各公司内控自评价报告进行审核确认和再评价。

（四）编制集团内部控制评价报告，上报管理层、董事会。

（五）对集团各部门、所属各公司内控整改落实情况进行后续跟踪。

第十条集团公司各部门、所属各公司是内部控制评价的参与部门，其主要职责包括：

3

（一）参与本单位的内部控制评价工作。

（二）实施本单位内控自我评价，填写内部控制自我评价表并撰写内控自评报告，报送集团风险控制管理总部汇总、审核。

（三）提供可靠信息资料配合集团风险控制管理总部进行内控审核和再评价。

第三章内部控制评价的内容

第十一条内部控制评价应当根据本管理办法，从内部环境、风险评估、控制活动、信息与沟通、内部监督等方面，确定评价的具体内容，对风险管理与内部控制设计与运行情况进行全面评价。

第十二条内部控制评价，包括对内部控制设计有效性和运行有效性的评价。

内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

第十三条利用信息系统加强内部控制的，应当对信息系统的有效性进行评价，包括信息系统一般评价和信息系统应用控制评价。

一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业风险管理与内部控制的要求，是否有利于集团控制目标的实现，并以此评价信息系统的安全性、可靠性和合规性。

4

应用控制评价应结合业务流程的特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。

第十四条对风险管理与内部控制有效性的评价，应当至少涉及下列内容：

（一）公司治理结构是否完善，是否形成科学有效的的职责分工和制衡机制，是否构建科学的管理体系和决策机制。

（二）组织机构设置是否合理，组织间的配合沟通是否通畅，是否存在信息滞后的情况。

（三）所有重要的业务事项是否建立规范、完善的流程和制度约束，是否得到了有力执行。

（四）公司经营和管理中存在的重大和重要风险是否制定有效的控制措施。

（五）是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

（六）在评价期间是否出现过重大风险事故等。

第四章内部控制评价的程序和方法

第十五条内部控制评价程序一般包括：制定评价工作方案、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

第十六条内部控制评价，分为定期评价和不定期评价。定期评

5

价为年度评价，以12月31日为基准日，是指集团在每年1月初至年度报告提交董事会审议前，根据风险管理和内部控制目标，对上一年度风险管理与内部控制的有效性进行评价；

不定期评价是指集团根据实际工作需要或领导的指示在不特定的时点对特定范围的风险管理与内部控制的有效性进行评价。

第十七条定期检查评价的程序

（一）风险控制管理总部根据集团的内部控制整体目标，制定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容。

（二）风险控制管理总部组织集团各部门、所属各公司按工作方案进行自查，编写自查评价报告。

（三）集团公司各部门、所属各公司将自查评价报告报风险控制管理总部。

（四）风险控制管理总部通过现场检查等方式对集团各部门、所属各公司自查评价报告进行审核确认和再评价。

（五）风险控制管理总部对再评价结果进行汇总分析，编写年度内部控制评价报告，并上报集团管理层审核。

（六）管理层审核内部控制评价报告，并对存在的缺陷和问题，提出的整改意见和措施。

（七）管理层审核后，内部控制评价报告报集团公司董事会进行审议并形成决议。

（八）风险控制管理总部对于检查中发现的控制缺陷及实施中存

6

在的问题，应在集团公司董事会批准后进行跟踪，以确保相关单位已及时采取适当的改进措施。

第十八条除定期检查评价外，风险控制管理总部应根据实际工作需要在报经相关领导批准后或者根据领导的直接指示，不定期组织开展风险控制检查评价，促进各单位风险控制的持续改善。同时，风险控制管理总部亦应对集团风险控制的建立与执行情况进行不定期检查评价，以规范管理，控制和防范风险。

第十九条检查评价部门开展风险控制检查评价时，应当对被评价单位进行现场测试等方式，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析控制缺陷。

第二十条集团应当通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。

证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠的反映控制的实际运行情况。

第二十一条集团应当充分评估下列因素导致内部控制失效的风险：

（一）控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。

（二）控制活动的复杂性，通常与企业组织结构、市场环境、经

营规模、人员素质等相关。

（三）管理层逾越内部控制的风险。

（四）实施控制活动所需要的职业判断的程度。

（五）控制活动所针对风险事项的性质及其重要性。

（六）一项控制活动对其他控制活动有效性的依赖程度。

第二十二条风险控制评价人员应当及时记录开展风险控制评价工作的方法和程序，并以适当形式妥善保存相关证据。

第五章控制缺陷认定

第二十三条控制缺陷包括设计缺陷和运行缺陷。集团对控制缺陷的认定，按照规定的权限和程序进行。

（一）设计缺陷，是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。

（二）运行缺陷，是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效实施控制。

第二十四条对内部控制评价过程中发现的问题，应从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。

存在下列情况之一，应当认定内部控制存在设计或运行缺陷：

（一）未实现规定的控制目标。

（二）未执行规定的控制活动。

（三）突破规定的权限。

（四）不能及时提供控制运行有效的相关证据。

第二十五条根据内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

第二十六条风险控制管理总部根据集团公司各部门、所属各公司上报的内控自查评价报告中所认定的控制缺陷，编制内部控制缺陷认定汇总表，结合日常监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并作为内部控制评价报告的重要组成部分，向集团公司董事会、监事会或经理层报告。重大缺陷应当由集团公司董事会予以最终认定。

集团对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受范围之内。

第六章内部控制评价报告

第二十七条内部控制评价报告应当分别从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价

过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。

第二十八条内部控制评价报告一般至少应当包括下列内容：

（一）内部控制评价工作的总体情况。

（二）内控控制评价的依据。

（三）内部控制评价的范围。

（四）内部控制评价的程序和方法。

（五）内部控制缺陷及其认定情况。

（六）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。

（七）内部控制有效性的结论。

第二十九条内部控制评价报告应当报经集团公司董事会批准。集团将内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。

对于内部控制评价报告中列示的问题，应当采取适当的措施进行改进。

第七章评价监督及奖惩

第三十条所有内部控制评价活动都由集团公司监事会统一负责监督，如相关部门对检查评价过程或结果存在任何质疑，可以向监事会反映。

第三十一条集团内部控制评价涉及的部门和单位应及时提供全

面和准确的资料，保证内部控制评价工作的顺利开展，因迟报、漏报、瞒报等影响重大风险的妥善处置，造成严重后果，应追究有关人员的责任。

第三十二条未经授权批准或许可，任何个人或单位不得对外公布内部控制评价结果，凡擅自公布内部控制评价结果，给集团声誉和经济造成损失，应追究有关人员的责任。

第三十三条内部控制评价过程中形成的各种文档包括内部控制评价方案、工作通知、工作底稿、内控自查评价报告、内部控制评价报告及各种相关批示文件等，由集团公司风险控制管理总部按照公司档案管理办法保管和处置。

第八章附则

第三十四条本办法由集团公司风险控制管理总部负责解释。第三十五条本办法自印发之日起执行。

内部控制评价管理办法2017-07-22 22:40:54 | #2楼回目录

XXXX股份有限公司

内部控制评价管理办法

(经XXX会议审议通过)

第一章总则

第一条为全面评价公司内部控制设计与运行情况，推动内部控制规范工作稳步进行，公司依据《企业内部控制基本规范》、应用指引、评价指引以及中国证监会、深圳证监局关于内控试点通知的要求，结合公司实际情况，制订本办法。

第二条内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。

第三条内部控制评价的目标是依据《企业内部控制基本规范》、应用指引、评价指引的规定，结合公司内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督要素，全面、客观地评价公司内部控制设计与运行的有效性。

第四条内部控制评价应遵守“全面性”、“重要性”及“客观性”的原则。全面性原则要求评价工作包括内部控制设计和运行，涵盖公司及其所属单位的各种业务和事项；重要性原则要求评价工作应当在全面评价的基础上，关注重要业务单位，重大业务事项和高风险领域；客观性原则要求评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性，评价小组成员包括业务部门骨干时，评价本部门内部控制有效性应回避。

第二章评价范围

第五条根据中国证监会上市公司监管部【2016】031号函《关于做好上市公司内部控制规范试点有关工作的通知》要求，纳入合并范围的母子公司营业收入、净利润、总资产三项指标应同时达到合并财务报表相应指标的50％以上。

第六条公司通过“重要业务单元”、“重要业务流程”两个方面界定评价的范围。

（一）重要业务单元的界定：

（1）如果业务单元总资产、净资产、营业收入、净利润任何一项指标达

1/6

到合并报表相应指标的5%，我们认定为该业务单元是重要的；

（2）如果业务单元存在特殊的风险，可能导致重大（税前利润5%）损失或错报，我们认定为该业务单元是重要的。

（二）重要业务流程（事项）的界定：

（1）如果会计科目余额（或发生额）达到合并报表相应指标的3%，我们认定与该科目直接相关的业务流程（事项）是重要的；

（2）如果某业务事项存在特别的风险，从性质上判断可能给公司带来重大影响，我们认定该业务流程（事项）是重要的。

第七条如果通过上述方法界定的范围，未能达到证监会上市部【2016】031号函的要求，则降低重要性水平，直至达到要求为止。

第三章评价内容

第八条内部控制评价应当围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行，对公司层面、业务流程层面、IT层从内部控制的设计与运行情况进行评价。

第九条内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。控制活动评价应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性进行认定和评价。内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。

第四章人员的组织与分工

第十条董事会应当对内部控制评价报告的真实性负责，对内部控制评价承担最终的责任。审计委员会承担对内部控制评价的组织、领导、监督职责，听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改意见。

2/6

第十一条公司审计部门负责内部控制评价的具体实施工作，并聘请中介机构（友联时骏）进行技术性指导、培训及重要工作底稿复核。

第五章评价程序及评价办法

第十二条内部控制评价程序一般包括：依据公司《内部控制评价管理办法》制定《评价工作方案》、组织分工、实施现场测试、汇总评价结果、汇报及认定缺陷、编报评价报告。

第十三条为保证现场测试有序、有效地进行，《评价工作方案》应当至少包括测试工作的目的和要求、测试工作范围及测试期间、测试工作流程及时间人员安排、抽样与结果评价、测试工作底稿编制说明等内容。

第十四条评价工作将通过访谈、调查问卷、检查、询问及讨论、穿行测试、抽样及分析、实地查验等程序进行。内部控制设计的有效性，我们主要通过调查问卷、检查、询问及讨论、穿行测试等方法进行评价。内部控制运行的有效性，我们主要通过抽样及分析、询问、实地查验等方法进行评价。

第六章缺陷类型与认定

第十五条缺陷按影响的重要程度不同分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是可能导致企业严重偏离控制目标的一个缺陷或多个缺陷的组合；重要缺陷是指可能导致企业偏离控制目标但严重程度和经济后果都低于重大缺陷的一个缺陷或多个缺陷的组合；一般缺陷是指除重大缺陷与重要缺陷以外的其他缺陷。

第十六条缺陷按照控制目标的不同分为财务报告内部控制缺陷和非财务报告内部控制缺陷。财务报告内部控制是指针对财务报告目标而设计和实施的内部控制，财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性、完整性、合理性的内部控制设计和运行缺陷。除此以外，不能合理保证实现资产安全、经营效率效益、合法合规等其他目标的控制活动缺陷为非财务报告内部控制缺陷。

第十七条在评估控制活动是否存在缺陷时，应当考虑以下因素：

(一)

(二)是否针对风险设置了合理的控制目标；是否针对控制目标设置了合理的控制活动；

(三)

(四)

(五)相关控制活动是如何运行的；相关控制活动是否得到持续一致的运行；实施相关控制活动的人员是否具备专业胜任能力。

第十八条如果不能同时满足第十七条第一、二项的要求，则存在设计层面的缺陷；如果满足第一、二项的要求而不能同时满足第四、五项的要求，则存在执行层面的缺陷。

第七章财务报告内部控制缺陷重要性评定标准

第十九条财务报告内部控制缺陷重要程度主要取决于两个方面的因素：

（一）该缺陷可能导致企业的内部控制不能及时防止或发现并纠正财务报告错报的概率。

（二）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大校如果概率大于微小可能性（几乎不可能发生）的可能性，并且可能导致错报的金额超过重要性水平，则表示该缺陷是重要的。

第二十条从定量的标准看，公司属于盈利稳定增长的企业，以税前利润作为定量的指标，如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于税前利润的3%，则认定为不重要；如果超过3%，小于5%认定为重要；如果超过5%则认定为重大。

第二十一条如果发现的缺陷符合以下任何一条，应当认定为财务报告内部控制重大缺陷：

(一)该缺陷涉及高级管理人员任何舞弊；

(二)该缺陷表明未设立内部监督机构或内部监督机构未履行基本职能；

(三)当期财务报告存在依据第二十条认定的重大错报，控制活动未能识别该错报，或需要更正已公布的财务报告。

第二十二条如果发现的缺陷符合以下任何一条，应当认定为财务报告内部控制重要缺陷：

(一)当期财务报告存在依据第二十条认定的重要错报，控制活动未能识别该错报，或需要更正已公布的财务报告；

(二)虽然未达到和超过该重要性水平、但从性质上看，仍应引起董事会

和管理层重视的错报。

第二十三条除第二十一条及第二十二条规定的缺陷外的其他财务报告内部控制缺陷应当认定为一般缺陷。

第八章非财务报告内部控制缺陷重要性评定标准

第二十四条非财务报告内部控制缺陷重要程度主要取决于两个方面的因素：

（一）该缺陷可能导致公司的内部控制不能实现战略目标、资产安全、经营目标、合规等目标的概率及对控制目标的影响程度；

（二）该缺陷单独或连同其他缺陷可能导致公司财产损失金额的大校如果概率大于微小可能性（几乎不可能发生）的可能性，并且可能导致企业损失的金额超过重要性水平，则表示该缺陷是重要的。

第二十五条从定量的标准看，如果该缺陷单独或连同其他缺陷可能导致公司财产损失金额小于税前利润的1%，则认定为不重要；如果超过1%，小于3%认定为重要财产损失；如果超过3%则认定为重大财产损失。

第二十六条如果发现的缺陷符合以下任何一条，应当认定为非财务报告内部控制重大缺陷：

(一)缺乏民主决策程序，如缺乏重大问题决策、重要岗位人员聘任与解聘决策、重大项目投资决策、大额资金使用（三重一大）决策程序；

(二)决策程序不科学，如重大决策失误，给公司造成第二十五条认定的重大损失；

(三)严重违犯国家法律、法规；

(四)关键管理人员或重要人才大量流失；

(五)媒体负面新闻频现；

(六)内部控制评价的重大缺陷未得到整改；

(七)重要业务缺乏制度控制或制度系统性失效，，给公司造成第二十五条认定的重大损失。

第二十七条如果发现的缺陷符合以下任何一条，应当认定为非财务报告内部控制重要缺陷：

(一)

公司因管理失误发生依据第二十五条认定的重要财产损失，控制活

动未能防范该失误；

(二)财产损失虽然未达到和超过该重要性水平、但从性质上看，仍应引起董事会和管理层重视。

第二十八条除第二十六条及第二十七条规定的缺陷外的其他非财务报告内部控制缺陷应当认定为一般缺陷。

第九章沟通与报告

第二十九条审计部门就评估的缺陷及拟整改的措施与相关业务部门经理进行讨论与确认，经业务部门确认后，汇总缺陷清单及整改建议提交审计委员会讨论、认定。重大缺陷需提交公司董事会认定。

第三十条审计部门根据评价结果编制内部控制评价报告，与财务报告一并提交董事会审批后对外批露。

XXXXX股份有限公司

2016/03/XX

山东高速公路股份有限公司内部控制评价管理办法2017-07-22 22:41:33 | #3楼回目录

山东高速公路股份有限公司

内部控制评价管理办法

[经2016年3月25日公司第三届董事会第三十三次会议审议通过]

第一章总则

第一条为了促进山东高速公路股份有限公司（简称“高速股份”）全面评价其内部控制的设计和运行情况，揭示和防范经营风险，充分满足财政部、证监会、上海证券交易所等外部监管机构对于企业内部控制相关信息的需求，根据财政部《内部控制基本规范》、《企业内部控制评价指引》、《上市公司内部控制规范指引》等有关法律、法规的规定，并结合本公司实际情况，特制定本管理办法。

第二条本管理办法所称的内部控制评价，是指高速股份董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。

第三条本办法适用范围：高速股份及各权属单位。

本办法所称权属单位，指高速股份所属的直属分支机构和子公司。直属分支机构是指高速股份下属的直接从事生产经营或管理活动的非独立法人单位。子公司是指高速股份出资设立的全资子公司和控股子公司。

参股企业的内部控制自评价应当根据本管理办法，结合企业实际运行情况实施，高速股份派出的董事、监事应代表表达高速股份意见。

第四条高速股份至少应当关注内部控制评价工作中的下列风险：

（一）内控评价工作落实不到位，可能导致内控有效性评价工作未得到有效履行。

（二）内控评价工作流于形式，可能导致内控失效。

第五条高速股份董事会应当建立科学的内部控制评价工作机制，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构和岗位的职责权限，按照规定的办法、程序和要求，有序开展内部控制

第1页共6页

自我评价工作，并对内部控制评价报告的真实性负责。

第二章内部控制评价工作原则

第六条高速股份实施内部控制评价工作，至少应当遵循下列原则：

（一）全面性原则。评价工作范围应当包括高速股份内部控制设计与运行，涵盖公司及其所属单位的各种业务和事项。

（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务事项和高风险领域。

（三）客观性原则。评价工作应当准确揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

（四）以风险为导向的原则。评价工作应当以风险为基础，根据风险发生的可能性和对公司内控目标影响的程度确定需要评价的重点业务单元、重要业务领域和重要流程环节。

（五）及时性原则。评价工作应按照规定的时间持续进行，当经营管理环境发生重大变化时，应及时进行重新评价。

第三章内部控制评价组织职能

第七条高速股份董事会是公司内部控制评价的最高决策机构和最终责任者，其主要职责包括：

（一）审阅和批准由公司管理层提交的内部控制自我评价报告；

（二）批准由公司管理层提交的涉及内部控制整改的重大决策、重大风险、重大事项；

（三）审议和批准按照公司章程规定由董事会批准的内部控制管理相关制度和规章。

第八条高速股份总经理办公会是公司内部控制评价的领导机构和直接责任者，其主要职责包括：

（一）审议内部控制评价工作计划；

（二）审议年度内控自我评估报告，并提出相关意见和建议；

（三）了解公司日常内部控制风险监控结果，根据内控缺陷情况，审议内控

第2页共6页

整改方案和措施；

（四）协调和解决公司跨部门的内部控制评价过程中出现的重大事项；

（五）听取和了解内控整改过程中出现的相关重大事项，并按照董事会授权进行决策。

第九条高速股份内部控制评价检查小组是公司内部控制评价的主要工作机构，评价检查小组为临时机构，其主要职责包括：

（一）确定开展年度内部控制设计有效性评估的工作范围和方法；

（二）确定开展年度业务控制活动运行有效性评估的工作范围和方法；

（三）实施内部控制设计和执行的有效性评估，并分析其设计和执行的有效性。

第十条高速股份企业管理部是内部控制评价归口管理部门，负责公司内部控制评价日常管理和监督工作，其主要职责包括：

（一）组织和参与内部控制检查小组，召开内部控制有效性评价启动会；

（二）汇总各职能部门和权属单位内部控制自我评估表和报告并进行备案；

（三）收集、整理内部控制检查小组独立性测试评价工作底稿和评价报告；

（四）按照内部控制检查小组形成的内部控制有效性结论，编写年度《内部控制自我评估报告》。

第十一条公司相关职能部门和各权属单位是内部控制评价的参与单位，其主要职责包括：

（一）参与本部门内部控制自我评估工作；

（二）实施部门内控自我评估，填写本部门内部控制自我评估表并撰写报告，报送内部控制归口部门汇总；

（三）提供可靠信息资料配合内部控制检查小组进行内部控制测评和检查工作。

第四章内部控制评价工作内容

第十二条高速股份内部控制评价主要包括以下工作内容：

（一）各相关职能部门及权属单位的内部控制自我评估；

（二）内部控制检查小组的独立性测试评价；

（三）内部控制检查小组关于内控缺陷的汇总和认定；

（四）内部控制缺陷整改；

（五）内部控制自我评估报告编制；

（六）内部控制自我评估报告的信息披露

第十三条高速股份的内部控制评价工作主要依据公司内部控制制度和工作程序，紧紧围绕对内部环境、风险评估、控制活动、信息沟通、内部监督等要素评价的具体内容，对内部控制设计和运行情况进行全面评价。

第十四条高速股份企业管理部根据批准的评价方案，会同相关职能部门组织内部控制检查小组，具体实施内部控制评价工作，内部控制检查小组应当吸收企业内部控制熟悉情况的业务骨干参加。

第十五条高速股份内部控制缺陷包括设计缺陷和运行缺陷，公司对内部控制缺陷的认定，应当以各部门内部日常监督和专项监督为基础，结合内部控制检查小组的年度综合分析，按照规定的权限程序进行汇总后，由总经理办公会认定，并根据管理权限决定是否须报经董事会审议。

第十六条公司内部控制评价检查小组应对独立性测试评价工作底稿进行严格审核，对所认定的评价结果进行签字确认，并结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况进行综合分析。对于认定的重大缺陷，应当及时采取应对措施，确保将风险控制在可承受范围之内。

第十七条公司内部控制评价检查小组应设计内部控制评价报告格式，明确内部控制报告编制内容和基本要求，并按规定的决策程序和审批权限报经批准后方可适用。

第十八条公司应当根据年度内部控制检查小组评价结果，结合内部控制自我评估表和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告。内部控制评价报告应涵盖但不限于下列内容：

（一）董事会对内部控制报告真实性的声明

（二）内部控制评价工作的总体情况

（三）内部控制评价的依据

（四）内部控制评价的范围

（五）内部控制评价的程序和方法

（六）内部控制缺陷及认定情况

（七）内部控制缺陷的整改情况及重大缺陷采取的应对措施

（八）内部控制有效性的结论

第十九条公司应当建立健全内部控制评价工作档案管理机制，妥善保管内部控制评价的有关文件资料、工作底稿和证明材料等。

第二十条公司内部控制评价检查小组应当综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，收集公司内部控制设计与运行的有效性的相关证据，如实填写内部控制缺陷并进行分析、研究。

第二十一条公司选择以12月31日为作为年度内部控制评价报告的基准日，内部控制评价报告应于基准日后3个月内向相关外部监管机构提交及报送。

第二十二条公司自内部控制评价报告基准日至内部控制评价报告提交日之间发生的重大缺陷，公司管理层应予以核实，并根据核查结果对评价结论进行相应调整。

第二十三条公司内部控制报告经过内部审批程序，经董事会批准后，由董事会秘书处按照《信息披露管理办法》的要求，及时进行对外信息披露。

第五章内部控制评价程序

第二十四条高速股份企业管理部负责制定年度内部评价工作计划，明确内控评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经总经理办公会和董事会审批后实施。

第二十五条公司可以授权企业管理部会同相关职能部门共同组织内控评价专门机构负责内部控制评价的具体实施工作，有序开展内部控制评价。内部控制评价一般包括内控评价准备阶段、实施阶段和报告阶段，其主要工作程序为：

（一）制定内部控制评价工作计划和方案，报送总经理办公会和董事会审议批准；

（二）组织成立内部控制评价检查小组实施独立自我评价工作；

（三）各职能部门（中心）及各权属公司按照内部控制自我评价检查小组的安排开展本部门和本单位内部控制自我评估，并在规定时间内提交内部控制自我评估表和报告；

（四）企业管理部汇总和统计各部门自评报告；

（五）内部控制检查小组根据各部门内控自评报告确定内部控制独立性测评的重点范围和工作计划，并具体实施分析和评价。

（六）内部控制检查小组汇总和分析内部控制缺陷，指导各个部门进行整改和完善内部控制相关制度和工作程序，并持续根据内外部环境变化修订和更新内部控制手册。

（七）企业管理部编制并修订内部控制自我评价报告。

（八）内部控制自我评价报告经过规定的决策程序和审批程序后，由相关职能部门负责进行信息披露。

第六章内部控制评价监督和改进

第二十六条高速股份内部控制评价涉及的部门和权属单位应及时提供全面和准确的资料，保证内部控制评价工作的顺利开展，因迟报、漏报、瞒报等影响重大风险的妥善处置，造成严重后果，应追究有关人员的责任。

第二十七条未经授权批准或许可，任何个人或权属单位不得对外公布内部控制评价结果，凡擅自公布内部控制评价结果，给公司声誉和经济造成损失，应追究有关人员的责任。

第二十八条公司应开展内部控制评价工作机制的全面评估工作，通过评估持续改进内部控制评价工作的工作效率和工作质量。

第七章附则

第二十九条本管理办法由企业管理部负责解释。

第三十条本管理办法自董事会批准之日起实施。