红相股份:内部控制评价管理办法(2024年11月)

内部控制评价管理办法
第一章 总 则
第一条 为促进红相股份有限公司（以下简称“公司”)全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，依据财政部等五部委颁发的《企业内部控制基本规范》《企业内部控制评价指引》、上市公司监管有关要求，结合公司实际，制定本办法。
第二条 本办法适用于公司及各全资子公司、控股子公司内部控制评价管理工作。第三条 本规定所称的内部控制评价，是指董事会授权内部审计部负责组织和实施内部控制评价工作，对公司内部控制制度的健全性、可靠性及实施的有效性和效率性进行审核、评价及监督，形成评价结论、出具评价报告的过程。
第四条 内部控制评价遵循下列原则
（一）全面性原则：评价工作应当包括内部控制的设计与运行，涵盖公司各种业务和事项；
（二）重要性原则：评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域；
（三）客观性原则：评价工作应当准确地揭示经营管理的风险状况，如实反应内部控制设计与运行的有效性。
第二章 内部控制评价职责
第五条 董事会主要职责包括：
（一）决定单位内部控制组织机构设置；
（二）审议单位内部控制基本管理制度；
（三）审批单位内部控制评价报告等事项。
第六条 董事会审计委员会主要职责包括：
（一）评估单位内部控制制度设计的适当性；
（二）审议内部控制评价报告；
（三）审议外部审计机构出具的内部控制审计报告，与外部审计机构沟通发现的问题与改进方法；
（四）评估内部控制评价结果，督促内控缺陷的整改等事项。
第七条 公司经理层主要职责包括：
（一）组织、协调内部控制管理工作的落实，推动单位内部控制体系良好运行；（二）审查单位内部控制评价报告；
（三） 明确缺陷整改责任，指导落实缺陷整改工作等事项。
（一）制定、修订内部控制评价管理制度；
（二）拟订评价工作方案；
（三）编写内部控制评价报告，按时向审计委员会、董事会报告；
（四）对于评价过程中发现的重大问题，应及时向审计委员会、董事会汇报，并复核内部控制缺陷初步认定意见；
（五）提出整改建议，督促各部门、所属单位对内部控制评价发现的问题进行整改；
（六）对所属单位内部控制工作进行检查考核等事项。
第九条 公司各部门主要职责包括：
（一）按照公司内部控制建设与评价工作的总体部署，对本部门职责范围内的内部控制制度建设情况进行自查、梳理和完善；
（二）根据内部控制标准与管理要求，建立内部控制标准与制度对应关系，检查相关控制标准执行情况，对本部门职责范围内的制度进行风险识别、评估；
（三）配合内部审计部开展内部控制评价工作；
（四）负责落实本部门职责范围内的内部控制缺陷整改工作，督导所属单位风险管理措施的落实。
第十条 所属单位主要职责包括：
（一）建立日常监控机制，对内部控制的执行和整改进行监督落实；
（二）逐级开展内部控制评价工作，落实内部控制评价责任，并进行管理和考评；（三）开展内部控制自查、测试和定期检查评价；发现问题并认定内部控制缺陷，拟订整改方案和计划；
（四）配合公司内控监督评价和专项审计工作，反馈内控监督评价和专项审计结果。
（五）对评价发现的缺陷制定整改方案，明确整改责任，按要求报送内控缺陷整改完成情况。
第三章 内部控制评价内容
第十一条 评价单位范围包括公司各部门、各单位。
第十二条 评价业务范围包括《企业内部控制基本规范》及其指引中涉及的公司各部门、各单位的业务，其他涉及公司的主要业务和事项以及高风险领域。
第十三条 评价依据为财政部等五部委发布的《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及《深圳证券交易所上市公司自律监管指引第 2 号——创业板上市公司规范运作》等。

第十四条 评价时间范围为每年 1 月 1 日至 12 月 31 日。内控专项审计时间范围
根据评价主体实际需求自行确定。
第十五条 公司评价内容围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价：
（一）公司组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本公司的内控制度，对内部环境的设计及实际运行情况进行认定和评价；
（二）公司组织开展风险评估机制评价，应当以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本公司内控制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价；（三）公司组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本公司的内控制度，对相关控制措施的设计和运行情况进行认定和评价；
（四）公司组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本公司相关的内控制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价；
（五）公司组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本公司内控制度，对内部监督机制的有效性进行认定和评价。
第四章 内部控制评价程序和方法
第十六条 内控评价按照“统一领导，分级管理”的原则进行，即公司董事会负责领导，公司内部审计部负责内部控制评价的具体组织实施工作，公司各子公司负责本单位的内控评价工作，必要时可以委托中介机构实施内部控制评价。
第十七条 公司管理层和各部门及各子公司应负责组织相关人员按检查评价部门的要求，积极配合并及时提供所需的原始凭证、报表、操作规程和书面报告等文件资料。
第十八条 内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场检查、认定控制缺陷、汇总评价结果、评价报告编审等环节。
第十九条 内控评价的程序
（一）内部审计部拟订内部控制评价工作方案，明确评价范围、工作任务、人员组织、进度安排等相关内容。
（二）内控评价工作组组织公司各相关部门、各子公司按工作方案进行自查，编写自查评价报告。
（三）公司各相关部门、各子公司将自查评价报告上报内控评价工作组。
（四）公司内控评价工作组通过实施现场检查对各相关部门、各子公司自查评价报告进行审核确认和再评价。
（五）内部审计部对再评价结果进行汇总分析，编写公司年度内控评价报告，并上报审计委员会审阅。
（六）公司审计委员会审议内控评价报告，对存在缺陷和问题，以及提出的意见和措施予以研究并形成决议。
（七）内部审计部将审计委员会审议后的内控评价报告提交公司董事会审议并形成决议。
（八）公司董事会在年度报告披露的同时，按规定披露年度内控评价报告。
第二十条 内控评价方法包括：个别访谈法、调查问 卷法、专题讨论会法、穿行测试法、抽样法、比较分析法、 实地查验法、重新执行法及标杆法等，评价人员可根据被评价单位情况和评价内容选择以下一种或多种方法：
（一）个别访谈法，是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。
（二）调查问卷法，是指企业设计问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。
（三）专题讨论会法，是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。
（四）穿行测试法，是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。
（五）抽样法，是指企业针对具体的内控业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。
（六）比较分析法，是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。
（七）实地查验法，是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。
（八）重新执行法，是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。
（九）标杆法，是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。
第二十一条 内部审计部通过采取上述适当的方法获取与内部控制有效性相关的证据，并保证证据的充分性和适当性。证据的充分性指获取证据的数量应当能合理保证相关控制的有效性；证据的适当性指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。
第二十二条 内部审计部应根据所收集的证据，判断相关控制的设计与运行是否有效。公司在判断内部控制设计与运行有效性时，应当充分考虑下列因素：
（一）是否针对风险设置了合理的细化控制目标。
（二）是否针对细化控制目标设置了对应的控制活动。
（三）相关控制活动是如何运行的。
（四）相关控制活动是否得到了持续一致的运行。
（五）实施相关控制活动的人员是否具备必需的权限和能力。
第二十三条 内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论，编制评价报告，报送管理层和董事会审阅。
第五章 内部控制缺陷认定
第二十四条 内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部审计部进行综合分析后提出认定意见，并向董事会报告。重大缺陷应当由董事会予以最终认定。
第二十五条 公司在日常监督、专项监督和年度评价工作中，内部控制评价工作组应当根据现场检查获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷：
（一）重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。
（二）重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。
（三）一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。
第二十六条 按照影响内部控制目标的具体表现形式，内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
第二十七条 内部控制缺陷认定标准：根据《内部控制基本规范》及评价指引，结合公司规模、行业特征、风险水平等因素，确定适用公司的内部控制缺陷，具体认定标准如下：
（一）财务报告内部控制缺陷的认定标准

项目 类别 重大缺陷 重要缺陷 一般缺陷
（1）审计委员会和审计 （1）未依照公认会计准则
部门对公司财务报告的 选择和应用会计政策；（2）
内部控制监督无效；（2） 未建立反舞弊程序和控制 除上述重大
公司董事、监事和高级 措施；（3）对于非常规或特 缺陷、重要
管理人员舞弊；（3）外 殊交易的账务处理没有建 缺陷之外的
定性标准 部审计师发现当期财务 立相应的控制程序；（4）对 其他控制缺
报表存在重大错报，而 于期末的财务报告过程的 陷，则认定
内部控制运行过程中未 控制存在一项或多项缺陷， 为 一 般 缺
能发现该错报；（4）其 虽未达到重大缺陷标准，但 陷。
他可能导致公司严重偏 影响财务报告达到合理、准
离控制目标的缺陷。 确的目标。
利润表潜在