内部控制检查监督办法及实施细则第一章内部控制检查监督办法第一节总则第一条为规范内部控制检查，提高检查工作效率，保证检查工作质量，加强公司风险管理，维护公司合法权益，根据《上海证券交易所上市公司内部控制指引》及其他有关法律、法规的规定，并结合公司的具体情况，制定本办法。

第二条内部控制是为了保护资产安全，经济、有效地利用资源，保证遵循政策、计划、程序、法律和法规，保证信息资料的可靠性和完整性，实现经营目标，使各项业务活动正常、有效进行而在内部设立的管理控制程序。

第三条内部控制检查是内部检查人员对所属单位内部控制制度的健全性、科学合理性，内部控制过程的符合有效性所进行的测试与评价。

第四条内部控制检查既可以作为独立的检查项目组织实施，用以完善内部控制，也可以作为实施其他检查项目的一个程序或方法，以便确定对其依赖程度和进行内部检查的范围、重点及方法，有效提高检查工作效率和质量。

第二节授权与职能第五条公司风险管理部门负责内部控制检查监督工作，直接受董事会审计委员会领导，该部门负责人的任免直接由董事会决定。

第六条公司风险管理部门每半年执行不少于一次的内部控制检查，并于半年度和年度结束后向公司董事会审计委员会提交内部控制检查监督工作报告，检查结果应在工作报告中据实反映。

对于监督检查中发现的内控制度存在的缺陷和实施中存在的问题，相关部门应及时整改，确保内控制度的有效实施。

第七条公司各部门于每半年对本部门的内部控制执行情况进行不少于一次的自评，并应出具自评报告。

第八条公司风险管理部门对内部控制检查监督工作报告和各部门自评报告中提出的问题进行检查，每年执行两次以上（包括两次）的后续突击检查，并将检查情况在后续检查报告中据实反映，后续检查报告直接提交董事会审计委员会。

对于没有及时整改的部门，可以提出处理建议。

第九条公司董事会审计委员会对内部控制检查监督工作进行指导，并审阅检查监督部门提交的内部控制检查监督工作报告和后续报告。

第十条公司风险管理部门在内部控制检查监督工作中的职权与义务包括：(一)根据内部控制检查监督工作的需要，要求有关部门按时报送计划、预算、报表和有关文件、资料等。

(二)审核有关凭证、帐表、决算、检查资金和财产，检测财务会计软件，查阅有关文件和资料，对涉及的有关事项进行调查。

(三)参加有关会议。

(四)对正在进行的严重违反法规、严重损失浪费的行为，及时上报公司董事会审计委员会，并及时制止。

(五)对阻挠、妨碍内部控制检查监督工作以及拒绝提供有关资料的，经公司领导批准，可以采取必要的临时措施，并提出追究有关人员责任的建议。

(六)检查公司管理工作及经济效益的情况，与公司管理层进行沟通，提出改进管理、提高经济效益的建议。

(七)如在内部控制检查监督工作中发现流程难以执行的情况，应向负责相关制度解释与修改的部门出具书面报告，并与之就制度修改事宜进行沟通。

(八)检查法律法规的遵守情况，提出纠正、处理违反财经法规行为的意见。

(九)对严重违反法律法规和造成严重损失浪费的直接责任人员提出处理建议。

第十一条内部控制检查工作底稿、检查监督工作报告、后续检查报告及其他相关资料等应在档案室保存，保存期限不应少于十年。

第三节内容与范围第十二条控制活动检查的内容与范围包括但不限于：(一)销售与收款控制：客户管理、收款方式等销售政策、制约机制以及减少应收账款、坏帐损失控制制度的健全性和有效性；(二)采购与付款控制：采购过程中因不正当行为导致本单位资金流失或采购物资质次价高等问题控制的有效性，对采购决策权有无制约机制，实施采购各环节的相互制约和监督机制是否得到保障；(三)生产控制：成本费用控制系统是否健全，开发成本和生产成本是否进行目标或计划成本管理控制、考核、奖惩制度的健全性和有效性程度；项目招投标、承发包及合同外的工程、费用等关键环节是否做到有效控制；(四)设备控制：设备的取得、保管、领用、发出、盘点处理等关键控制点是否有效控制、会计记录与设备保管是否相互分离和制约、非设备保管人员无权领发货物等一系列控制方法是否健全有效，是否存在因控制实效发生各种设备被盗、毁损和流失；(五)货币资金控制：不相容职务是否相分离、对货币资金的收、管、支过程中的关键控制点是否做出了较为严格的规范、授权制度及其有效性以及会计控制方法的有效性；(六)关联交易控制：关联方的界定，关联交易的定价、授权、执行、报告和记录等是否规范有效；(七)融资控制：对外担保业务、减少担保损失的制约机制是否健全和有效，是否有效地规避担保损失风险；融资活动控制是否有效，控制体系是否能保障降低筹资成本和筹资风险；(八)投资控制：投资的决策制约机制和程序是否健全有效，有无集体审议联签等内部控制制度，有无权威的投资可行性研究和投资效益论证，是否对投资风险进行充分分析估计；(九)产品研发控制：研发项目立项决策程序是否健全有效，是否对研发项目的风险进行评估和有效控制。

第四节程序与方法第十三条公司风险管理部门执行内部控制检查监督时，应按以下基本程序进行：业务风险和控制点概览、详细测试、工作汇报和后续检查，并在年度末对公司的内部控制的综合执行情况进行评价。

（一）业务风险和控制点概览为获得对有关业务流程的了解和对相关风险和控制点进行初步评价，检查人员将与业务流程负责人进行访谈并审阅有关政策和程序的书面记录，并将适当利用以前的工作底稿和工作成果。

（二）详细测试检查人员将进行内部控制检查测试以确保各业务流程中的关键控制点的存在。

其后，检查人员将从检查期间发生的交易中随即选取适当样本并进行必要的符合性或实质性测试，以确定相关业务流程运行是否良好，针对风险的关键控制点是否存在且足够。

（三）工作汇报检查人员将就内部控制检查监督工作中的发现、内部控制缺陷的影响和改进内部控制的建议等与[被检查部门负责人]/[流程负责人]交换意见。

在获得其认可和回复之后，向董事会审计委员会做出汇报。

（四）后续检查检查人员应根据内部控制检查中的发现，要求被检查部门就发现的内部控制缺陷的改进时间做出承诺。

根据被检查部门就跟进时间的承诺，检查人员应对有关内部控制检查发现的改进情况进行后续检查，并就内部控制缺陷的现状和改进情况在内部控制后续检查报告中进行汇报。

第十四条内部控制符合有效性测试：(一)测试公司有关经济业务活动的运行与相关内部控制的符合程度，评价各控制措施在实际经济活动中是否得到贯彻执行，履行结果是否达到预期目标，部门和个人是否严格按规定的程序处理业务，是否存在不遵循内部控制制度规定处理业务的重大事项，有无因制度失控而造成重大经济损失或资产严重流失等事项。

其重点是内部控制的执行记录、制约职能分工、操作状况等，这些有助于确定内部控制执行情况及有效程度。

(二)内部控制符合有效性测试程序1.业务测试：针对业务控制程序，在确定检查的业务系统中，选择若干笔业务，按照规定的业务处理程序进行穿行测试，观察、检查制度中规定的各项控制措施（即控制点，特别是关键控制点）在实际经济活动中的执行情况；2.穿行测试：既可采取顺查法，也可采取逆查法，重点是检查在这些事项的业务处理过程中，各控制环节的处理手续是否按规定办理，内部控制是否按规定发挥了作用；3.功能测试：针对业务控制程序中的关键控制点，选取若干笔业务，检查各项控制措施在实际工作中的运用效果。

(三)内部控制符合有效性测试方法1.证据检查法：通过对公司会计凭证、通知单、报告、申请书、批准书以及能反映控制措施的文件进行检查，看规定的控制措施是否得到有效执行。

2.复检法：部分或全部重复同样的工作程序，以确认这一程序能否发挥控制作用，所有控制措施能否得到切实遵循。

3.实地观察法：到工作现场观察某些控制措施的执行情况，以检查有关内部控制措施是否得到执行。

4.分析性复核：通过研究、比较所获资料间的关联性，如所属单位资料与同业趋势比较分析、以前年度与预计结果比较分析，利用分析性复核程序所取得的证据，作为检查结论或检查意见的基础资料。

第十五条内部控制实质性测试：(一)采取检查、监盘、观察、计算、分析性复核、查询及函证等检查方法，对公司相关资料进行实证性审核，检查业务活动是否合规合法，记录是否正确、真实可靠。

(二)检查过程中，出现下列情况之一时，可不进行符合有效性测试，而直接进行实质性测试：1.相关内部控制不存在；2.相关内部控制存在，但并未有效执行，或存在严重缺陷；3.易于发生舞弊的业务环节，存在固有风险，以及控制风险高的业务；4.符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。

第五节内部控制风险评级及综合评价第十六条内部控制风险评级需要检查人员的职业判断，可参照如下标准：[风险评级标准应由管理层确定，以下所列示的因素仅供参考。

]高★★★[存在较少控制或控制不存在；对经营或控制职能有重大影响；相关流程需要较大改进；管理层应立即予以关注并采取适当行动进行纠正。

]中★★[存在一定控制；对经营和控制职能的影响中等；相关流程需要一定程度上的改进；管理层应予以关注并采取适当行动进行纠正。

]低★[存在足够的控制；虽然相关流程仍存在一定的改进空间，但在相关控制机制有效运行的情况下，经营和控制职能将不会受到负面影响。

]第十七条内部控制综合评价：(一)各项控制措施方面存在的缺陷对相应的控制点的影响及控制点方面存在的缺陷对各项业务系统内部控制的影响，揭示可能产生的后果；(二)针对公司内部控制所存在的缺陷、薄弱环节，建议从哪些方面进行完善和加强。

第六节附则第十八条本办法由公司风险管理部门负责解释。

第十九条本办法自公布之日起执行。

第二章内部控制检查监督办法实施细则第一节内部控制检查监督工作计划编制第一条风险管理部门需在每次检查开始前15日内向董事会审计委员会提交内部控制检查监督工作计划，并由审计委员会对检查计划进行审批。

第二条风险管理部门根据审批的内部控制检查监督工作计划实施检查工作，必要的修改应提交审计委员会批准。

第三条在制定检查计划时，应考虑如下因素：（一）控制环境的有效性；（二）最近一次内部控制检查监督的日期和结果；（三）对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的最新评价；（四）特定内部控制的性质及其在内部控制整体中的重要性；（五）管理层和审计委员会的要求；（六）当前公司治理水平、公司业务、经营、流程、内部控制体系方面的主要变化等。

第四条检查计划应涵盖如下内容：（一）内部控制检查监督工作目标；（二）检查范围；（三）工作日程安排；（四）人员配备和财务预算；（五）检查工作文档的编制；第二节公司内部控制检查监督工作报告第五条公司风险管理部门在实施了必要的内部控制检查监督测试程序之后，应就被检查项目的测试结果，在检查监督工作报告中如实反映，并提交董事会审计委员会。