集团有限公司内部控制管理办法附内部控制缺陷认定标准及评价报告.docx

集团有限公司内部控制管理办法附内部控制缺陷认定标准及评价报告模板第一章总则第一条为了加强和规范X集团有限公司（以下简称“X集团”）内部控制规范建设，提高X集团经营管理水平和风险防范能力、促进可持续发展、规范内部控制评价程序，依据国家有关法律法规、企业内部控制基本规范及其配套指引和X集团有限公司内部控制评价办法等相关制度要求，制定本办法。第二条本办法适用于X集团本部。X集团所属全资、控股及实际控制子企业，以及受托管理企业及其所属全资、控股及实际控制子企业（以下简称“所属企业”）可根据本企业内部决策流程决定适用本办法或者参照适用本办法，并制定符合本企业实际的内部控制管理制度。第三条本管理办法所称内部控制，是由X集团及所属企业、董事会、监事会、管理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息等真实完整，提高经营效率和效果,促进企业实现发展战略。第二章管理职责与分工第四条X集团根据国家有关法律法规、内部控制相关制度要求和公司章程，建立规范的治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制O第五条X集团建立内部控制组织架构，明确企业主要领导是企业内控体系监管工作第一责任人，负责组织领导建立健全覆盖各业务领域、部门、岗位，涵盖各级子企业全面有效的内控体系。并明确汇报机制，根据发展战略规划，按照战略目标确定X集团内部控制规范建设整体目标。第六条董事会决定X集团内部控制管理工作的重大方针和政策，保证内部控制管理体系建立健全和有效实施，并在每年4月30日之前审议和批准X集团的上一年度内控评价报告。根据董事会的授权，总经理负责X集团内部控制管理工作的具体执行，并根据实际将有关事项提交总经理办公会审议，具体包括：1 .批准内部控制建设与实施的工作计划；2 .批准年度内部控制评价的工作方案；3 .批准X集团内部控制的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；4 .审阅和批准X集团内部控制评价报告；5 .批准内部控制重要、重大缺陷认定报告（含缺陷整改方案）；6.批准内部控制与风险管理的重要文档及重大、重要报告；7.批准内部控制组织架构设计及职责方案；8 .督导X集团内部控制与风险管理文化的培育；9 .批准内部控制管理相关制度；10 .批准其他涉及内部控制管理的有关事项。第七条法律风控部是内部控制规范建设的归口管理部门，统筹协调各部门推进X集团内部控制建设日常管理和监督工作,组织实施X集团及所属企业的内部控制检查、监督与评价。其主要职责包括：1 .拟订内部控制建设年度工作计划；2 .组织X集团内部控制体系的建立、实施与完善；3 .组织内部控制手册的编写工作；4 .组织查找内控缺陷，对内部控制建设工作中出现的重要问题提出解决方案并汇报；5 .组织编制并审核X集团年度内部控制评价的工作方案；6 .组织实施内部控制评价工作，并对过程中违规违纪事件根据有关规定进行处理；7 .组织审核X集团内部控制评价报告；8 .组织审核其他需要提交董事会或者总经理办公会解决的相关重要事项、文档；9 .其他涉及内部控制规范建设的事项。第八条各部门是内部控制规范建设的具体实施部门，具体负责各自职能范围内的内控控制规范建设的日常管理，针对具体业务流程进行内控控制检查与评价。各部门主要职责包括：1 .负责内部控制建设年度工作计划中涉及本部门职能的工作安排;2 .建立涉及本部门职能的内部控制体系的制度、业务流程建立、实施与完善；3 .负责各自职能范围内内部控制手册的编写工作；4 .查找公司的内控缺陷，对内部控制建设工作中出现的重要问题提出意见、建议；5 .编制、审核X集团年度内部控制评价工作方案中涉及本部门职能的部分；6 .实施涉及本部门职能范围的内部控制评价工作，并对过程中违规违纪事件根据有关规定移交有关部门进行处理；7 .审核内部控制评价报告涉及本部门职能的部分；8 .审核涉及本部门职能的其他需要提交董事会或者总经理办公会解决的相关重要事项、文档；9 .其他涉及本部门职能范围内的内部控制规范建设事项。第九条X集团所属企业按分级管理的原则对所辖业务涉及的内部控制建设管理工作负责，主要履行以下职责：1 .负责组织制定本企业的内部控制制度及流程；2 .负责执行本企业的内部控制制度及流程，并根据本业务及管理变化情况，开展风险评估，对照风险点制定或完善相应的内部控制措施，及时更新内部控制流程文档，确保内部控制有效;3 .根据X集团内部控制工作整体部署，负责组织落实本年度内部控制相关工作;4 .负责向x集团法律风控部提供本业务内部控制相关信息,主要包括内部控制设计、运行情况和对内部控制检查情况，如遇内部控制重大变化应及时沟通；5 .按照X集团年度内部控制评价方案，执行内部控制检查工作，完成内部控制检查底稿。提出所辖业务内部控制缺陷的初步认定及内部控制缺陷整改方案，并在决策完成后五个工作日内报X集团备案；6 .负责培育员工良好的内部控制管理素质；7 .其他涉及企业内部控制管理的工作。第十条X集团所属企业在实施内部控制时应按规定记录相关内部控制文档，文档的编制方法应符合本办法的要求。主要包括：1 .X集团及各所属企业的各项规章制度；2 .各项业务生成的各种原始资料；3 .与内部控制相关的各项记录及会议资料；4 .内部控制自我检查及评价过程中的资料；5 .其他相关材料。第十一条X集团各部门负责人负责配合组织实施本部门内部控制评价。审定内部控制评价方案，审核内部控制评价报告，对内部控制评价中发现的问题或缺陷，积极采取有效措施整改。第十二条X集团各部门应负责组织本部门的内控自查、测试和评价工作，对发现设计和运行缺陷提出整改方案及具体整改计划，积极整改，并报送工作组复核，配合工作组开展X集团层面的内控评价工作。第十三条X集团所属企业内部控制建设岗位的所有人员应具备相应的职业道德和任职能力，拥有完整专业的知识和对应的业务熟悉程度。第十四条X集团所属企业应参照X集团内控工作开展情况逐级落实内部控制评价责任，建立日常监控机制，开展内控自查、测试和定期检查评价，发现问题并认定内部控制有缺陷的，需拟定整改方案和计划，进行整改,编制并上报内部控制评价报告（详见附件2）。同时应制定相关制度，对内部控制执行和整改情况考核。第三章内部控制的建立与实施第十五条建立和实施内部控制，遵循以下基本原则：1.全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。2 .重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。3 .制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。4 .适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。5 .成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。第十六条建立和实施有效的内部控制，应当包括下列要素:1.内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。6 .风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。7 .控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。8 .信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。9 .内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第十七条控制措施一般包括：不相容职务分离控制、授权审批控制、业务程序控制、人员素质控制、重大风险预警控制、总法律顾问控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和审计检查控制等。第十八条法律风控部组织编制内部控制管理手册，从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面建立完善内部控制。业务流程是内部控制管理手册编制、更新的重要依据，X集团各职能部门应在制定、修订规章制度时编制和更新对应业务流程文件，并纳入规章制度中。第十九条当发生下列事项时，应修订完善内部控制管理手册及相关内部控制体系文件：1 .国家相关法律法规、外部监管要求等发生变化时。2 .公司发展战略、组织机构、管理职责、规章制度、信息系统等发生较大调整和变化时。3 .业务管理要求发生重大变化时。4 .发生重大内控缺陷事件时，需新增、修订和完善对应内部控制规范内容。5 .其他需修订和完善内部控制体系文件的事项。第二十条法律风控部牵头各有关部门在X集团整体内部控制框架下，牵头梳理规范X集团关键业务流程和控制措施，使员工掌握企业规章制度、业务流程、关键控制点等情况，明确权责分配，正确行使职权。第二十一条各部门应以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。第二十二条各部门应通力配合，加强内部控制信息化建设力度，推动公司“三重一大”、投资和项目管理、财务和资产、物资采购、全面风险管理、人力资源等信息系统的集成应用，逐步实现内部控制与业务信息系统互联互通、有机融合。第二十三条各部门应梳理和规范业务系统的审批流程及各层级管理人员权限设置，将内部控制管控措施嵌入各类业务信息系统，确保自动识别并终止超越权限、逾越程序和审核材料不健全等行为，促使各项经营管理决策和执行活动可控制、可追溯、可检查，有效减少人为违规操纵因素。第四章内部控制的评价内容第二十四条内部控制评价工作主要依据X集团制度和工作流程，围绕内部环境、风险评估、控制活动、信息与沟通和内部监督等要素，对内部控制设计和运行情况进行全面评价。第二十五条内部环境是实施内部控制的基础。内部环境评价的内容包括：治理结构、机构设置及权责分配、人力资源、企业文化和社会责任等，结合集团公司内控制度对内部环境的设计和运行情况进行认定和评价。第二十六条风险评估是及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程。风险评估评价的内容包括：以X集团日常管控过程发现的主要风险为依据，结合X集团内控制度，对日常经营管理过程中的风险识别、风险分析、风险应对政策等进行认定和评价。第二十七条控制活动是根据风险评估结果，采用相应的控制措施，将风险控制在可承受范围之内，达到控制目标的全过程。控制活动评价包括：以各项法律法规、行业规范中的控制措施为依据，结合X集团制度，对各项业务处理程序的授权批准、职责分工、财产保护、预算控制、风险化解及处置等控制措施的设计与运行情况进行认定和评价。第二十八条信息与沟通是及时、准确地收集、传递与内部控制相关的信息，确保信息在内、外部之间进行有效沟通。信息与沟通评价包括：以各项法律法规、行业规范为依据，结合X集团制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。第二十九条内部监督是对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进的过程。内部监督评价包括：以各项法律法规、行业规范中有关日常管控的规定为依据，结合X集团制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计与风险管理委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。第五章内部控制监督与评价第三十条X集团根据集团公司及公司实际设定的标准和依据，开展内部控制监督评价工作。第三十一条法律风控部统筹推进内部控制评价的具体组织实施任务。包括：1.拟订评价工作方案并认真组织实施；2初步认定内部控制缺陷，并与各职能部门沟通后提交X集团有关决策会议审议；3.拟订整改方案，编写内部控制评价报告，经董事会审议批准后报上级单位备案；4.督促各部门、所属企业对内、外部内控评价的缺陷进行整改。第三十二条各职能部门应按照职责分工落实内部控制评价责任，负责组织本部门的内控自查、测试和评价工作，对发现设计和运行缺陷提出整改方案及具体整改计划并落实整改。第三十三条法律风控部结合X集团情况拟订重大缺陷、重要缺陷、一般缺陷的认定标准，并将相关标准提交X集团有关决策会议审议。第三十四条对自评发现的内部控制缺陷，各部门分析缺陷的性质和产生原因，提出整改方案，促进内部控制持续优化。为进一步提升X集团精细化管理水平，对不构成一般缺陷的事项也应予以关注并加以整改。第三十五条内部控制评价程序包括：制定评价工作方案、组建评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告、反馈及跟踪整改情况等环节。各部门应综合运用抽样法、实地查验法、对比分析法、文档查看法、调查问卷法、个别访谈法、穿行测试法、重新执行法等，对X集团内部控制建设和执行情况进行自评价。每年年末或下一年度第一季度，X集团法律风控部一般按以下步骤组织实施内控自评价。1.制定评价工作方案。方案应明确评价主体范围、工作任务、人员组织、进度安排等相关内容，经董事会或其授权机构批准后实施。2 .组成评价工作组。法律风控部根据经批准的评价方案，组织挑选评价人员。工作组成员应当吸收X集团内部相关部门熟悉情况的业务骨干参加。工作组成员对本部门的内部控制评价工作应当实行回避。根据情况，法律风控部可以委托中介机构实施内部控制评价工作。但为X集团提供内部控制评价服务的中介机构,不得同时为X集团提供内部控制审计服务。3 .实施现场测试。(1) 了解被评价部门基本情况。工作组与被评部门进行充分沟通，了解其组织机构、工作标准、岗位职责和预算完成情况，内部控制工作概况等。(2)确定检查评价范围和重点。工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量，并结合工作组人员情况进行分工。(3)开展现场检查测试。工作组人员运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试，按要求填写工作底稿、记录相关测试结果，并对发现的内部控制缺陷进行初步认定。4 .认定控制缺陷。工作组汇总评价人员的工作底稿，工作底稿应进行交叉复核，初步确认内部控制缺陷。对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内控控制目标，按照规定的权限和程序进行审核后予以最终认定。5 .编制评价报告(1)工作组应根据评价情况，汇总分析，共同编制公司内部控制评价报告。内部控制评价报告应当包括内部控制环境、风险评估、控制活动、信息与沟通、内部监督等要素。(2)法律风控部对工作组评价人员现场初步认定的内部控制缺陷及内部控制评价报告进行全面复核、分类汇总，在此基础上综合内部控制工作整体情况，客观、公正、完整地编制内部控制评价报告。(3)内部控制评价报告应报审计与风险管理委员会审议，并提交公司董事会批准后，方可对外披露或报送相关部门。(4)工作组在评价过程中发现业务流程的设计内容与X集团经营运作需要不相符时，应及时反馈修改意见。(5)工作组应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。X集团以每年12月31日作为年度内部控制评价报告的基准日，且内部控制评价报告不得迟于基准日后4个月内完成。6 .报告反馈及跟踪。(1)对于认定的内部控制缺陷，法律风控部应结合董事会要求，提出整改建议，组织、督促各部门落实整改，建立整改台账，并跟踪其整改落实情况，按照上级要求上报整改报告及相关资料。已造成损失的，应当追究相关人员的责任。(2)各部门应明确内部控制缺陷的责任人和完成时限，对整改效果进行跟踪，并将整改结果及时报送法律风控部。(3)法律风控部应收集整理归档内部控制评价有关的文件材料、工作底稿和证明材料等，并按公司相关管理规定进行妥善保管。第六章附则第三十六条本办法所列条款如与国家相关法规、行业规范不符，按国家相关法规、行业监管规定执行。第三十七条所属企业应根据企业实际制定内部控制缺陷认定标准，并进行内部控制自评，在每年3月15日前将上一年度的企业内部控制评价报告报法律风控部备案。第三十八条本办法由法律风控部负责解释。第三十九条本办法自印发之日起实施。附件：LX集团有限公司内部控制缺陷认定标准7 .内部控制评价报告(模板)附件1：集团有限公司内部控制缺陷认定标准根据企业内部控制基本规范及其配套指引的有关规定，结合公司规模结构、经营特点、行业特点、风险水平等因素，确定公司内部控制缺陷认定标准。一、内部控制缺陷的分类（一）按照内部控制缺陷成因或来源，内部控制缺陷包括设计缺陷和运行缺陷。1.设计缺陷：指缺少为实现控制目标所必须的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。2 .运行缺陷：指设计有效（合理且适当）的内部控制由于运行不当包括未按设计方式或意图运行、运行的时间或频率不当、没有得到一贯有效运行、执行人员缺乏必要授权或专业胜任能力等，无法有效实现控制目标。（二）按照影响公司内部控制目标实现的严重程度，分为重大缺陷、重要缺陷和一般缺陷。1.重大缺陷，是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时，应当在内部控制评价报告中做出内部控制无效的结论。3 .重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离控制目标。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制的整体有效性，但也应当引起执行董事、经理层的充分关注。4 .一般缺陷，是指除重大缺陷、重要缺陷以外的其他控制缺陷。（三）按照影响公司内部控制目标的具体表现形式，将内部控制缺陷分为财务报告缺陷和非财务报告缺陷，缺陷主要以定性和定量分析划分。1.财务报告缺陷，主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。换句话说，财务报告缺陷,是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。2,非财务报告缺陷，是指虽不直接影响财务报告的真实性和完整性，但对企业经营管理的合法合规、资产安全、经营效率和效果以及发展战略等控制目标的实现存在不利影响的其他控制缺陷。二、内部控制缺陷的认定标准（一）设计性缺陷和执行性缺陷的认定虽然设计性缺陷和执行性缺陷的一般认定程序有差异,但是两部分工作没有绝对的界限，可能在设计性缺陷的认定过程中发现执行性缺陷，也可能在执行性缺陷认定程序中发现设计性缺陷。所以，缺陷认定程序时，应当注意全方位的分析与评估控制的涉及和执行有效性，识别内部控制缺陷。1 .设计性缺陷认定根据“目标认定-风险识别与评估-控制识别-缺陷认定”的思路对设计性缺陷进行识别认定。需要对公司整体层面和各业务流程层面的合法合规、资产安全、财务报告及相关信息真是完整、提高经营效率和效果以及促进公司实现发展战略等目标进行分析，识别公司在实现目标的过程中的风险。若未设置相应的控制措施对相应风险进行控制或者所设置的控制措施不能起到实质的控制作用，则认定为设计性缺陷。设计性缺陷是被完成后，需要留出整改的时间。待整改完成后，需要对整改后新的控制点进行整改情况跟踪，并且对新的控制点执行设计有效性测试。2 执行性缺陷认定按照“制定内部控制测试计划-执行内部控制测试-内部控制测试结果分析-缺陷认定”的思路对执行性缺陷进行认定。通过已经识别并梳理的内部控制关键控制点，制定每个期间的测试计划，对所需抽取的样本进行复核，汇总整理测试结果，分析所发现的例外事项，即执行的过程中与预先设置的控制点不一致的情况，最终确定执行性缺陷。执行性缺陷的发现一般基于已经设置并且已经执行过一段期间的控制活动，但并不保证该控制活动不存在设计性缺陷。(二)内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。按照内部控制缺陷对财务报告目标和其他内部控制目标实现影响的具体表现形式，区分财务报告内部控制缺陷和非财务报告内部控制缺陷，分别制定认定标准。1 .财务报告内部控制缺陷的认定财务报告内部控制是指针对财务报告目标而涉及和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性，因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。根据缺陷可能导致的财务报告错报的重要程序，公司采用定性和定量相结合的方法将缺陷划分确定为重大缺陷、重要缺陷和一般缺陷。缺陷定义认定标准定量标准定性标准重大缺陷至一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标该缺陷造成的财务报表错报金额落在如下区间：1.错报金额M当年合并报表利润总额的5%；2 .错报金额2当年合并报表资产总额的1%；3 .错报金额M当年合并报表营业收入总额的1%；4 .错报金额2当年合并报表所有者权益总额的l%o1 .如果存在包括但不限于下列问题的，考虑是否存在财务报告内部控制重大缺陷：(1)公司董事、监事和高级管理人员舞弊；(2)公司更正已公布的财务报告，且更正前信息已影响报告使用者作出正确判断的；(3)外部审计发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；(4)公司会计报告已经或很可能被注册会计师出具否定意见或拒绝表示意见；(5)公司内部监督无效。2 .如果存在包括但不限于下列问题的，考虑是否存在财务报告内部控制重要缺重要缺陷是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，单仍有该缺陷造成的财务报表错报金额落在如下区间：5 .当年合并报表利润总额的3%W错报金额当年合并报表利润总额的5%；6 .当年合并报表资产总额的0.5购合错报金额当年合并报表资产总额的1%；可能导致公司偏离控制目标7.当年合并报表营业收入的0.5购W错报金额<当年合并报表营业收入总额的1%；8.当年合并报表所有者权益总额的05%W错报金额<当年合并报表所有者权益总额的l%o陷：(1)公司中层管理人员舞弊、其他员工发生较严重集体舞弊行为，并对企业造成较大损失；(2)公司更正已公布的财务报告，并对公司造成较大影响；(3)外部审计发现当期财务报告存在重要错报，而内部控制在运行过程中未能发现该错报；(4)沟通后的重大缺陷没有在合理期间得到纠正。3.不构成重大缺陷和重要缺陷的内部控制缺陷，应认定为一般缺陷。一般缺陷是指除重大缺陷、重要缺陷以外的其他控制缺陷该缺陷造成的财务报表错报金额落在如下区间：9 .错报金额<当年合并报表利润总额的5%；10 .错报金额<当年合并报表资产总额的0.5%；11 .错报金额<当年合并报表营业收入的0.5%；12 .错报金额<当年合并报表所有者权益总额的0.5%o注：定量标准中所指的财务指标值均为公司最近一期经审计的合并报表数据。2 .非财务报告内部控制缺陷的认定非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全、经营目标、合规目标等。公司非财务报告缺陷认定主要依据缺陷涉及业务性质的严重程度、直接或潜在负面影响的性质、影响的范围等因素来确定。缺陷定义认定标准定量标准定性标准重大至一个或多个控制缺陷的组合，可该缺陷造成的财产损失落在如下区间：1.财产损失N利润总额的5%L缺乏民主决策程序，如缺乏“三重一大”决策程序；2 .决策程序导致重大失误，如决策失误，导致并购不成功；3 .违反国家法律、法规，受到政府部门处罚，且对公司定期报告披露造成重大负面影响；4 .管理人员和技术人员流失严重，给企业造成缺陷能导致企业2.财产损失N资产总额1%损失；严重偏离控制目标3 .财产损失N经营收入总额1%4 .财产损失N所有者权益总额1%5 .媒体负面缺乏制度控制活制度系统性时效，造成按定量标准认定的重大损失；6 .重要业务缺乏制度控制至或制度系统性失效，造成按定量标准认定的重大损失；7 .已经发现并报告给管理层的非财务报告内部控制重大缺陷在合理的时间内未得到整改；8.出现重大安全生产、环保、产品质量服务事故。重要缺陷是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，单仍有可能导致公司偏离控制目标该缺陷造成的财产损失落在如下区间：5 .利润总额的3%W财产损失<利润总额的5购6 .资产总额0.5驰W财产损失<资产总额1%7 .经营收入0.5驰这财产损失<经营收入总额1%8 .所有者权益总额0.5弱於财产损失<所有者权益总额1%9 .民主决策程序存在单不够完善或决策程序出现失误；10 .违反国家法律、法规，收到政府部门处罚，但未对公司定期报告披露造成显著负面影响；11 .重要业务制度执行中存在较大缺陷；12 .关键敢为业务人员流失严重；13 .媒体出现负面新闻，有较大不良影响；14 .重要业务缺乏有效制度控制，造成按定量标准认定的较大损失；15 .已经发现并报告给管理层的非财务报告内部控制重要缺陷在合理的时间内未得到整改；16 .公司出现较大安全生产、环保、产品质量或服务事故。一般缺陷是指除重大缺陷、重要缺陷以外的其他控制缺陷该缺陷造成的财产损失落在如下区间：9 .财产损失<净利润总额的3%财产损失<资产总额0.5%10 .财产损失<经营收入0.5%IL财产损失<所有者权益额0.5%17 .公司决策程序效率不高，影响公司生产经营效果。18 .公司员工违反内部规章，给公司造成一般损失；19 .媒体出现负面新闻，但影响不大；20 .公司一般业务制度或系统存在缺陷；21 .公司一般缺陷未得到整改。注：定量标准中所致的财务指标值均为公最近一期经审计的合并报表数据。三、内部控制缺陷的认定程序法律风控部编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程序进行综合分析和全面复核，提出认定意见，并以适当的形式向执行董事、监事或者经理层报告。重大缺陷应当由执行董事予以最终认定。四、内部控制文档记录与保管公司各部门应当以书面或其他适当的方式，妥善保存内部控制建立与实施过程中的相关记录或资料，确保内部控制建立与实施过程的可验证性。（一）内控文档按内部控制要素分为以下五类：1.内部环境文档包括组织结构图、权限指引表、部门及岗位职责说明、员工手则、执行董事和监事成员履历、发展战略规划等。2 .风险评估文档包括风险评估制度、风险评估过程记录、风险评估报告等。3 .控制活动文档包括各项控制流程文档。4 .信息与沟通文档包括财务报告，经营分析报告，执行董事及专业委员会会议、总经理办公会议、经营例会等重要会议纪要、举报投诉记录等。5,内部监督文档包括审计计划、审计项目计划、年度内部审计工作总结、审计报告、审计意见书、审计决定书、整改情况说明材料、员工合理化建议记录，专项监督实施方案和过程记录、专项监督报告、内部控制自我评价报告及相关资料等。（二）内控文档按行程过程分为设计文档、执行文档和测试文档。涉及文档按“谁设计，谁保留”的原则，由设计部门保留，各部门和单位保留操作细则和本岗位职责和权限指引等。执行文档由执行机构保留，保存期限遵从有关专业要求。测试文档按照“谁测试，谁保留”的原则，由负责测试部门保留。附件2：X公司X年度内部控制评价报告根据企业内部控制基本规范关于加强监管企业内控体系建设与监督工作的实施意见（X号）等有关要求，对本公司内部控制的有效性进行了自我评价。一、内控体系建设及执行情况（一）内控环境搭建情况。包括但不限于组织架构及履职情况。内控体系工作机制建立和完善情况、职能部门对内控、风险管理和合规管理监督的职责及履职情况、制度建设及执行情况、内控文化普及情况等。（二）风险评估工作开展情况。包括但不限于风险评估标准、风险管理的过程等。（三）控制活动开展情况。包括但不限于控制活动的分类、关注要点、措施等。（四）信息与沟通情况。信息系统覆盖的子企业和业务范围情况，以及管控措施嵌入、功能实现、集成应用等情况。（五）内控监督工作开展情况。董事会对企业年度内控体系有效性的评价意见、内控审计工作等。二、内控评价的范围（一）内控评价的范围涵盖了公司及所属企业的重点业务和事项，重点关注下列高风险区域（列示企业根据风险评估结果确定的前“十大”主要风险，风险分类详见附件）:1.2.（二）纳入评价范围的企业（三）纳入评价范围的业务和事项三、内部控制缺陷及认定根据内部控制缺陷认定标准，结合日常监督和专项监督情况，发现报告期内存在个缺陷，其中重大缺陷个，重要缺陷个。重大缺陷分别为（对重大缺陷进行描述，并说明其对实现相关控制目标的影响）1.2.四、内控缺陷的整改情况针对报告期内发现的内控缺陷，公司采取了相应的整改措施（描述整改措施的具体内容和实际效果）。经过整改，公司目前仍存在个缺陷，其中重大缺陷个，分别为（对重大缺陷进行描述）针对未完成整改的重大缺陷，公司拟进一步采取相应措施加以整改（描述整改措施的具体内容及预期达到的效果）五、内控控制有效性的结论公司已经根据基本规范及其他相关法律法规的要求，对公司截至X年12月31日的内部控制设计与运行的有效性进行了自我评价。（存在重大缺陷的情形）报告期内，公司在内部控制设计与运行方面尚存在未完成整改的重大缺陷（描述该缺陷的性质及对其实现相关控制目标的影响程度）。由于存在上述缺陷，可能会对公司未来带来相关风险（描述该风险）。（不存在重大缺陷的情形）报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行,达到了公司内部控制的目标，不存在重大缺陷。内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整（简要描述下一年度内控工作计划）