*ST炼石:内部控制评价制度

炼石航空科技股份有限公司
内部控制评价制度
（经 2025 年 12 月 5 日第十一届董事会第二十三次会议修订）
第一章 总则
第一条 为确保炼石航空科技股份有限公司（以下简称“炼石航空”或者“公司”）内部控制评价工作有效开展，促进公司规范运作和健康发展，根据《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》《深圳证券交易所上市公司自律监管指引第 1 号——主板上市公司规范运作》等有关法律、法规、规范性文件的规定，结合公司实际情况，特制定本制度。
第二章 内部控制评价定义
第二条 内部控制评价：是指由公司董事会或授权机构对公司内部控制有效性进行全面评价，形成评价结论，出具评价报告的过程。
第三条 内部控制有效性：是指公司建立与实施内部控制能够为控制目标的实现提供合理的保证，包括内部控制设计的有效性和内部控制运行的有效性。
第三章 内部控制评价的组织及职责
第四条 公司风控合规部负责具体组织和实施内部控制评价工作。制定内部控制评价工作方案、组成内部控制评价工作组，并依据方案认真组织实施；对于评价过程中发现的重大问题，应及时与经营层、审计委员会或董事会沟通，认定内部控制缺陷，拟订整改意见，编写内部控制评价报告，及时向经营层、审计委员会和董事会报告；与外部审计师沟通；督促公司责任单位对内、外部内控评价过程中认定的内部控制缺陷进行整改；根据评价和整改情况提出内部控制评价奖惩建议。
第五条 公司及下属企业应积极配合内部控制评价工作组及外部审计师开展本部门、本企业的内控评价工作；对发现的设计和运行缺陷提出整改方案及具体整改计划，积极整改，并将整改结果报内部控制评价工作组。
第四章 内部控制评价内容
第六条 公司围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。
第七条 公司组织开展内部环境评价，内容应当以组织架构、发展战略、人
力资源、企业文化、社会责任等应用指引为依据，结合公司及下属企业的相关制度，对公司内部环境的设计及运行情况进行认定和评价。
第八条 公司组织开展风险评估评价，以《企业内部控制基本规范》《企业内部控制评价指引》及其配套指引的有关规定中所列主要风险为依据，结合本公司的内部控制制度，对公司日常经营管理过程中的风险识别、风险分析、风险应对等设计与运行情况进行认定和评价。
第九条 公司组织开展控制活动评价，以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本公司的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。
第十条 公司组织开展信息与沟通评价，以内部信息传递、财务报告、信息系统等相关应用指引为依据，对公司信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性以及利用信息系统实施内控的有效性等进行认定和评价。
第十一条 公司组织开展内部监督评价，以《企业内部控制基本规范》《企业内部控制评价指引》及其配套指引的有关规定中有关日常管控的规定为依据，结合本公司的内部控制制度，对公司内部监督机制的有效性进行认定和评价。
第五章 内部控制评价程序
第十二条 公司实施内部控制评价应遵循以下原则：
（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司各部门、下属企业。
（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。
（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。
（四）成本效益原则。评价工作应当权衡实施成本与预期效益，以适当的成本完成有效评价。
第十三条 公司董事会是公司内部控制评价的最高决策机构。审计委员会负责审查公司内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等，公司授权风控合规部具体组织实施内部控制评价工作。风控合规部根据本制度制订评价工作计划，明确评价范围、评价标准、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。
第十四条 内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编写评价报告等环节。

制定评价工作方案：风控合规部根据公司内部监督情况和管理要求，分析公司运营管理过程中的高风险领域和重要业务事项，拟定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会审计委员会审批后实施。
组成评价工作组：风控合规部根据工作方案组成内部评价工作组，评价工作组成员由公司具备独立性、业务胜任能力和职业道德素养的业务骨干组成，具体承担内部控制检查评价任务。评价工作组成员对本部门、本企业的内部控制评价工作应当实行回避原则。
实施现场测试：内部控制评价工作组对被评价部门、下属企业进行现场测试，可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价部门、下属企业内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。
汇总评价结果：评价工作组汇总各被评价部门、下属企业的评价结果，初步判定缺陷等级。
报告反馈与跟踪阶段：内部控制评价工作组编制内部控制评价报告，并上报董事会及其下设的审计委员会审议。对于认定的内部控制缺陷，内部审计机构结合董事会或其下设的审计委员会要求，提出整改建议，要求责任部门、下属企业及时整改，并跟踪其整改落实情况。已造成损失或负面影响的，公司应当追究相关人员的责任。
第六章 内部控制缺陷认定标准
第十五条 公司在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用，内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按照影响公司内部控制目标实现的严重程度，分为重大缺陷、重要缺陷和一般缺陷。
第十六条 内部控制评价工作组应当建立评价质量交叉复核制度，评价工作组负责人应当对评价底稿进行严格审核，并对所认定的评价结果签字确认后，提交风控合规部。
第十七条 风控合规部应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当形式向董事会、审计委员会、经理层报告，重大缺陷由董事会予以最终认定。公司对于认定的重大缺陷，应及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门、下属企业或相关人员的责任。重要缺陷和一般缺陷由风控合规部或评价工作组对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复
核后确定。
第十八条 内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。按照内部控制缺陷对财务报告目标和其他内部控制目标实现影响的具体表现形
式，区分财务报告内部控制缺陷和非财务报告内部控制缺陷，分别制定认定标准。
第十九条 财务报告内部控制缺陷的认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财
务报告内部控制的目标集中体现为财务报告的可靠性，因而财务报告内部控制的
缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。根据缺
陷可能导致的财务报告错报的重要程度，公司采用定量和定性相结合的方法。
1.财务报告内部控制缺陷的认定标准
A、一项内部控制缺陷单独或连同其它缺陷具备合理可能性导致不能及时防
止或发现并纠正财务报表中的重大错报，应将该缺陷认定为重大缺陷。合理可能
性是指大于微小可能性（几乎不可能发生）的可能性。
出现下列情形的，认定为重大缺陷：
（1）董事、高级管理人员舞弊行为；
（2）外部审计发现当期财务报告存在重大错报，公司在运行过程中未能发
现该错报；
（3）公司更正已公布的财务报告；
（4）公司审计委员会和内部审计机构对内部控制的监督无效。
B、一项内部控制缺陷单独或连同其它缺陷具备合理可能性导致不能及时防
止或发现并纠正财务报表中虽然未达到和超过重要性水平，但仍应引起董事会和
管理层重视的错报，应将该缺陷认定为重要缺陷。
C、不构成重大缺陷和重要缺陷的内部控制缺陷，应认定为一般缺陷。
2.定量标准如下：
项目 重大缺陷 重要缺陷 一般缺陷
营业收入的0.5%≤错报＜ 错报＜营业收入的
营业收入潜在错报 错报≥营业收入的1%
营业收入的1% 0.5%
净利润总额潜在错 净利润总额的2 % ≤错报 错报＜净利润总额
错报≥净利润总额的5%
报 ＜净利润总额的5 % 的2 %
资产总额的0.5%≤错报＜ 错报＜资产总额的
资产总额潜在错报 错报≥资产总额的1%
资产总额的1% 0.5 %

所有者权益总额的0.5% ≤
所有者权益潜在错 错报≥所有者权益总额 错报＜所有者权益总
错报＜所有者权益总额的
报 的1% 额的0.5 %
1%
第二十条 非财务报告内部控制缺陷的认定标准
1.出现以下情形的，认定为重大缺陷，其他情形按影响程度分别确定为重要
缺陷或一般缺陷。
（1）违反国家法律、法规较严重；
（2）重要业务缺乏制度控制或制度系统性失效；
（3）内部控制评价的结果特别是重大或重要缺陷未得到及时整改；
（4）信息披露内部控制失效，导致公司被监管部门公开谴责；
（5）其他对公司影响重大的情形。
2.定量标准如下：
缺陷认定 直接财产损失金额 重大负面影响
1000 万元（含）及以上 或已经对外正式披露并对公司造成负面影
重大缺陷
响
300 万元（含）-1000 万元（不 或受到国家政府部门处罚但未对公司造成
重要缺陷
含） 负面影响
300 万元（不含）