第一条 为了规范辽宁申华控股股份有限公司（以下简称“公司”）内部控制评价工作，根据财政部等五部委联合发布的《企业内部控制基本规范》、《企业内部控制应用指引》和《企业内部控制评价指引》等有关法规规定，结合公司真实的情况制定本制度。

  第二条 本制度所称内部控制评价，是指公司董事会对内部控制的有效性做全面评价，形成评价结论，出具评价报告的过程。

  第三条 内部控制评价对象是内部控制的有效性，即建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性与内部控制运行的有效性。

  （一）全面性原则。评价工作包括内部控制的设计与运行，涵盖公司及各级子公司的各种业务和事项。

  （二）重要性原则。在全面评价的基础上，着重关注高风险领域和风险点、重要的业务事项和关键的控制环节以及重要的产业板块。

  （三）客观性原则。准确地揭示各个管理环节的风险状况，如实反映内部控制设计与运行的有效性。

  第五条 本制度适用于公司本部、各分公司，和公司所属的各级控股子公司（以下简称“各单位”）。

  第六条 公司董事会对内部控制评价的最终结果负责，在内部控制评价工作中的主要负责：

  第七条 董事会审计委员会代表公司董事会审议企业内部控制评价报告，审定内部控制重大缺陷、重要缺陷的整改意见，有权对公司内部控制评价工作做监督和指导。

  （三）听取内部控制评价报告，协调和解决内部控制评价过程中出现的重大事项，及时了解企业内部控制监控结果，组织实施缺陷整改工作。

  第九条 内部控制评价小组是公司非常设的内部控制评价机构，由审计内控部牵头组建，小组成员由各职能部门、业务公司等熟悉企业内部管理的部门负责人或业务骨干组成。具体负责拟定内部控制评价方案并组织实施。

  内部控制评价小组可根据工作需要成立若干内部控制测试小组，具体负责各自范围内的内部控制评价工作。

  第十条 公司各单位负责组织本单位的内部控制自我评价工作。公司下属的三级子公司由各业务公司负责逐级落实内部控制自我评价责任。

  第十一条 公司依据《企业内部控制基本规范》、《企业内部控制评价指引》和公司内部控制管理制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行客观的评价。

  第十二条 内部环境是企业内部控制实施的基础，内部环境评价的内容包括：组织架构、发展战略、人力资源、内部审计、企业文化、社会责任等。

  第十三条 风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程。风险评估评价的内容包括对目标设定、风险识别、风险分析、风险应对策略等进行的认定和评价。

  第十四条 控制活动是公司根据风险评估结果，采取相应的控制措施，将风险控制在可承受范围内，达到控制目标的过程。控制活动评价包括对各类业务控制措施与流程的设计有效性和运行有效性进行的认定和评价。

  第十五条 信息与沟通是公司及时、准确地收集、传递与内部控制有关的信息，确保信息在公司内部、公司与外部进行有效沟通。信息与沟通评价包括对信息收集、处理和传递的及时性，反舞弊机制的健全性，财务报告的真实性，信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行的认定和评价。

  第十六条 内部监督是公司对内部控制建立与实施情况做监督检查，评价内部控制的有效性，发现内部控制缺陷及时加以改进的过程。内部监督评价是对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部控制评价小组等是否在内部控制设计和运行中有效发挥监督作用。

  第十七条 内部控制评价工作应当形成工作底稿，详细记录执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定的结果等。

  第十八条 拟订内部控制评价方案。内部控制评价小组根据企业内部监督情况和管理要求，分析公司经营管理过程中的高风险领域和重要业务事项，确定内部控制评价方法，拟订年度内部控制评价方案，经公司总裁办公会批准后实施。

  内部控制评价方案明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既可以采用全面评价方式，也可以采用重点评价方式。

  第十九条 成立内部控制测试小组。内部控制评价小组根据经批准的内部控制评价方案，组成若干内部控制测试小组，具体实施内部控制评价工作。内部控制测试小组成员对本部门的内部控制评价工作实行回避制度。

  公司可以委托会计师事务所等中介机构实施内部控制评价，但不得选择同时为公司提供内部控制审计服务的中介机构。

  第二十条 内部控制评价包括各单位的内部控制自评和内部控制测试小组独立测试两个部分。

  内部控制测试小组的独立测试，是指内部控制测试小组综合运用个别访谈、专题讨论、调查问卷和比较分析等方法，广泛收集内部控制设计和运行是否有效的证据，研究分析内部控制缺陷，对内部控制的有效性进行评价的过程。

  内部控制评价工作启动后，内部控制评价小组向各自评单位下发《内部控制自我评估表》。

  各单位收到《内部控制自我评估表》后，组织本单位相关人员针对本单位负责的控制活动，根据其日常工作的情况，对控制活动的设计有效性和运行有效性进行自我评估，并将填制完成的《内部控制自我评估表》提交给单位负责人审核确认。

  各单位完成内部控制自我评估工作后，内部控制评价小组检查各单位上报的《内部控制自我评估表》，根据需要选取全部或部分单位进行独立测试。内部控制测试小组应当按以下步骤对被评价单位进行现场测试：

  （一）了解被评价单位基本情况。与被评价单位充分沟通企业文化、发展的策略、组织机构设置及职责分工、领导层成员构成及分工、经营计划及预算的完成情况、内部控制工作概括等基本情况。

  （二）确定评价的范围和重点。根据所了解的情况进一步确定评价范围、检查重点和抽样数量，并结合测试人员的专业背景进行合理分工。

  （三）开展现场检查测试。根据测试人员分工，综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试，并按要求填写工作底稿、记录相关测试结果，对发现的内部控制缺陷进行初步认定。

  第二十三条 内部控制测试小组汇总工作底稿，初步认定内部控制缺陷，形成现场评价报告。评价工作底稿应进行交叉复核签字，并由评价测试小组负责人进行严格审核。现场评价报告连同评价结果向被评价单位进行通报，由被评价单位相关责任人签字确认后，提交企业内部控制评价小组。

  第二十四条 内部控制评价小组汇总各单位的《内部控制自我评估表》和内部控制测试小组的评价结果，对现场初步认定的内部控制缺陷进行全面复核、分类汇总；对缺陷的成因、表现形式及风险程度等进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级。

  第二十五条 内部控制评价小组以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制内部控制评价报告，并报送公司总裁办公会、董事会审计委员会和董事会，由董事会最终审定后对外披露。

  第二十六条 对于认定的内部控制缺陷，内部控制评价小组应当依据公司的管理要求，提出整改建议，拟订整改方案，按规定程序和权限报经批准后，督促被评价单位及时整改，并跟踪其整改方案的落实情况。已经造成损失或负面影响的，应追究相关人员的责任。

  第二十七条 内部控制缺陷按其成因和来源分为设计缺陷和运行缺陷，设计缺陷是指控制缺失和控制设计不适当。运行缺陷是指设计有效但运行不当。

  内部控制缺陷按其影响控制目标实现的严重程度分为重大缺陷、重要缺陷和一般缺陷；按其影响内部控制目标的具体表现形式，分为财务报告缺陷和非财务报告缺陷。

  重大缺陷：高级管理人员存在任何形式的舞弊；外部审计发现当期财务报告存在重大错报，而在内部控制运行过程中未能发现该错报；董事会审计委员会和审计内控部未能有效发挥监督职能。

  重要缺陷：未完全按照企业会计准则选择和应用会计政策；未建立反舞弊程序和控制措施；对于期末财务报告过程的控制存在一项或多项控制缺陷，不能合理保证财务报告的真实、准确，导致财务报表出现重要错报。

  重大缺陷：在考虑补偿性控制措施和实际偏差率后，该缺陷总体影响水平高于同期合并会计报表资产总额的 1%。

  重要缺陷：在考虑补偿性控制措施和实际偏差率后，该缺陷总体影响水平低于同期合并会计报表资产总额的 1%，但高于同期合并会计报表资产总额的 0.5%。

  一般缺陷：在考虑补偿性控制措施和实际偏差率后，该缺陷总体影响水平低于同期合并会计报表资产总额的 0.5%。

  重大缺陷:发生严重违反国家法律法规的事项；公司重要业务缺乏制度控制或制度体系失效；信息系统的安全存在重大隐患；内部控制重大缺陷未完成整改。

  重要缺陷：公司一般业务缺乏制度控制或制度体系失效；信息系统的安全存在隐患；内部控制重要缺陷未完成整改。

  重要缺陷：直接财产损失金额高于同期合并会计报表资产总额的 0.1%，低于同期合并会计报表资产总额的 0.3%。

  第三十条 内部控制评价小组编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度等进行综合分析和全面复核，提出认定意见。针对财务报告内部控制缺陷，还应当反映该缺陷对财务报告的具体影响，按照管理层级逐级进行书面汇报，重大缺陷由董事会予以最终认定。

  第三十一条 内部控制评价小组报告内部控制缺陷应当遵循以下原则： （一）一般缺陷和重要缺陷定期（至少每年）报告。

  （三）一般缺陷和重要缺陷直接向总裁办公会报告，并视情况考虑是否需要向董事会审计委员会和董事会报告。

  第三十二条 公司对于认定的重要缺陷和重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。

  一般缺陷和重要缺陷的整改方案由公司总裁批准，重大缺陷的整改方案由董事会审计委员会或董事会批准。

  第三十三条 根据《企业内部控制基本规范》和《企业内部控制评价指引》，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求。

  第三十四条 内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关联的内容作出披露。

  第三十六条 公司应当根据内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告。

  第三十八条 内部控制评价小组应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是不是发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行一定调整。

  第四十条 公司以 12月 31日作为年度内部控制评价报告的基准日。内部控制评价报告于基准日后 4个月内报出。

  第四十一条 内部控制评价的有关文件资料、工作底稿和证明材料等按公司《内部审计档案管理制度》的规定进行保管。