供銷大集集團股份有限公司

內部控制評價管理辦法

　　(2018 年 1 月 25 日第九屆董事會第七次會議修改)

　　1 總則1.1 為了全面評價供銷大集集團股份有限公司(以下簡稱“供銷大集”或“公司”)及其所屬控股子公司內部控制設計與運行情況，規范供銷大集內部控制評價程序和報告，保證評價工作質量，促使內部控制有效運行，根據《企業內部控制基本規范》、《企業內部控制評價指引》及《深圳證券交易所上市公司內部控制指引》等有關規定，結合公司實際情況，特制定本辦法。

　　1.2 本辦法適用于公司及所屬控股子公司。

　　2 釋義

　　2.1 內部控制評價：指公司董事會對公司內部控制的有效性進行全

　　面評價、形成評價結論、出具評價報告的過程。

　　2.2 內部控制有效性：指公司建立與實施內部控制對實現控制目標

　　提供合理保證的程度，包括內部控制設計的有效性和內部控制運行的有效性。

　　2.3 內部控制設計有效性：指為實現控制目標所必需的內部控制要素都存在并且設計恰當；內部控制運行有效性是指現有內部控制按照規定程序得到了正確執行。

　　3 內部控制評價的原則

　　3.1 全面性原則。評價工作應當包括內部控制的設計與運行，涵蓋公司及所屬控股子公司的各種業務和事項。

　　3.2 重要性原則。評價工作應當在全面評價的基礎上，以風險評估為基礎，根據風險發生的可能性和對公司內控目標影響的程度確定需要評價的重要業務單位、重大業務事項和高風險領域。

　　3.3 客觀性原則。評價工作應當準確地揭示經營管理的風險狀況，如實反映內部控制設計與運行的有效性。

　　3.4 及時性原則。評價工作通常每年度第四季度開展一次，但當公

　　司發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下，還應及時對內部控制的某一或某些方面進行有針對性的檢查評價。

　　4 職責分工

　　4.1 公司董事會對內部控制評價報告的真實性負責。公司董事會應

　　在審議年度財務報告等事項的同時，對公司內部控制評價報告進行審議。

　　4.2 董事會審計委員會(以下簡稱“審計委員會”)負責內部控制

　　評價的指導和監督。聽取內部控制評價報告，審定內部控制重大缺陷和重要缺陷及整改意見，積極協調缺陷整改過程中遇到的問題。

　　4.3 監事會對董事會建立與實施內部控制進行監督。

　　4.4 公司經營團隊負責對內部控制評價實施工作的組織領導。應積極支持內部控制評價工作的開展并為之創造良好的環境和條件；結合日常掌握的業務情況，提出內部控制評價應重點關注的業務或事項；審定內部控制評價方案，聽取內部控制評價報告；對于內部控制評價中遇到的問題或報告的缺陷，積極采取有效措施予以協調或整改。

　　4.5 風險控制職能部門負責具體組織和實施內部控制評價工作。制

　　定內部控制評價工作方案、組織成立內部控制評價工作組，并依據方案認真組織實施；對于評價過程中發現的重大問題，應及時與審計委員會或董事會溝通，認定內部控制缺陷，擬訂整改意見，編寫內部控制評價報告，及時向董事會報告；與外部審計師溝通；督促公司責任單位對內、外部內控評價過程中認定的內部控制缺陷進行整改；根據評價和整改情況提出內部控制評價獎懲建議。

　　4.6 公司各職能部門及所屬單位應積極配合內部控制評價工作組及外部審計師開展本部門的內控評價工作；對發現的設計缺陷和

　　運行缺陷提出整改方案及具體整改計劃，積極整改，并報告整改結果至公司內部控制評價工作組。

　　5 內部控制評價的內容

　　5.1 公司根據《企業內部控制基本規范》、應用指引以及本公司的

　　內部控制制度，圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素，確定內部控制評價的具體內容，對內部控制設計與運行情況進行全面評價。

　　5.2 公司組織開展內部環境評價，以組織架構、發展戰略、人力資

　　源、企業文化、社會責任等應用指引為依據，結合本公司的內部控制制度，對內部環境的設計及實際運行情況進行認定和評價。

　　重點關注治理結構是否形同虛設，發展戰略是否可行，機構設置是否重疊，權責分配是否明晰，不相容崗位是否分離，人力資源政策和激勵約束機制是否科學合理，企業文化是否促進員工勤勉盡責，社會責任是否有效履行等。

　　5.3 公司組織開展風險評估機制評價，以《企業內部控制基本規范》有關風險評估的要求，以及各項應用指引中所列主要風險為依據，結合本公司的內部控制制度，對日常經營管理過程中的風險識別、風險分析、風險應對等進行認定和評價。

　　5.4 公司組織開展控制活動評價，以《企業內部控制基本規范》和

　　各項應用指引中的控制措施為依據，結合本公司的內部控制制度，對相關業務控制措施的設計有效性和運行有效性進行認定和評價。

　　相關主要業務包括：采購業務、資產管理、招商管理、營運管理、合同管理、資金管理、全面預算、財務管理等。

　　5.5 公司組織開展信息與溝通評價，以內部信息傳遞、財務報告、信息系統等相關應用指引為依據，結合本公司的內部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性，以及利用信息系統實施內部控制的有效性等進行認定和評價。

　　5.6 公司組織開展內部監督評價，以《企業內部控制基本規范》有

　　關內部監督的要求，以及各項應用指引中有關日常管控的規定為依據，結合本公司的內部控制制度，對內部監督機制的有效性進行認定和評價，重點關注監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。

　　5.7 內部控制評價工作應當形成工作底稿，詳細記錄執行評價工作的內容，包括評價要素、主要風險點、采取的控制措施、有關證據資料以及認定結果等。

　　評價工作底稿應當設計合理、證據充分、簡便易行、便于操作。

　　6 內部控制評價的方法和程序

　　6.1 內部控制評價的方法包括個別訪談法、調查問卷法、穿行測試

　　法、抽樣法、實地查驗法、比較分析法、專題討論法、觀察、審閱、對標等；內部控制評價程序包括評價準備、評價實施、缺陷認定及整改、評價報告編制及審批、歸檔等環節。

　　6.2 評價準備

　　6.2.1 制定評價工作方案風險控制職能部門在審計委員會的指導下具體組織實施內部控制評價工作。根據公司內部監督情況和管理要求，分析企業經營過程中的高風險領域和重要業務事項，確定檢查評價方法，制定科學合理的評價工作方案，評價方案經風控總監批準后實施。評價工作方案需包含評價測試小組人員、評價依據、評價基本方法、評價期間、評價測試內容、風險控制點及評價標準等相關內容。評價工作方案既以全面評價為主，也可以根據需要采用重點評價的方式。

　　6.2.2 成立評價工作組

　　風險控制職能部門根據批準的評價方案組建評價工作組，可吸收公司內部熟悉情況的業務骨干參加工作組。評價工作組成員應保持獨立性原則，對本部門的內控評價工作實行回避。

　　公司實施內部控制評價可以委托中介機構，但不得選擇同時為公司提供內部控制審計服務的中介機構。

　　6.2.3 下發評價通知書

　　評價工作組在實施評價前，須提前 5 天向被評價部門或單位下發評價通知書。

　　6.2.4 評價資料收集

　　被評價部門或單位收到評價通知書后，須在評價工作組進場前按要求準備并提供首輪資料清單中列明的相關材料。評價小組根據反饋的材料以及抽樣規則出具詳細抽樣清單，被評價部門或單位需在規定時間內及時提供。

　　6.2.5 評價現場測試

　　評價工作組綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法對被評價對象進行現場測試，充分收集被評價對象內部控制管理體系的設計和運行是否有效的證據，按照評價的具體內容進行評價測試。

　　6.2.6 形成測試底稿

　　評價工作組詳細記錄執行評價工作內容，包括評價要素、主要風險點、采取的控制措施、有關證據資料以及認定結果等，形成測試底稿。

　　6.2.7 測試質量控制

　　評價工作組對評價測試結果進行交叉復核，評價工作組負責人對評價工作底稿嚴格審核，由被評價單位負責人簽字確認后，提交內部審計機構職能部門負責人最終確定。

　　6.2.8 內部控制評價工作組匯總各被評價單位確認后的評價結果，對

　　缺陷的成因、表現形式及風險程度進行定量或定性的綜合分析，按照對控制目標的影響程度判定缺陷等級。

　　6.3 內部控制缺陷認定與整改

　　內部控制缺陷的認定，應當以日常監督和專項監督為基礎，結合內部控制評價，客觀、公正、完整地編制內部控制缺陷認定表和整改建議書，以書面形式按以下規定報告。一般缺陷和重要缺陷每年至少報告一次，重大缺陷立即報告。對于重要缺陷和重大缺陷及整改方案，應分別向經營層、董事會報告。重大缺陷應當由董事會予以最終審定。如果存在與管理層舞弊相關的內部控制缺陷，或存在管理層凌駕于內部控制之上的情形，直接向董事會報告。

　　6.3.1 內部控制缺陷的分類

　　按照內部控制缺陷成因或來源，內部控制缺陷包括設計缺陷和運行缺陷。按照影響公司內部控制目標實現的嚴重程度，內部控制缺陷分為重大缺陷、重要缺陷和一般缺陷。按照影響內部控制目標的具體表現形式，內部控制缺陷分為財務報告缺陷和非財務報告缺陷。

　　6.3.1.1 設計缺陷是指缺少為實現控制目標所必需的控制，或現存控制

　　設計不適當，即使正常運行也難以實現控制目標。運行缺陷是指設計有效(合理且適當)的內部控制由于運行不當(包括由

　　不恰當的人執行、未按設計的方式運行、運行的時間或頻率不當、沒有得到一貫有效運行等)而形成的內部控制缺陷。

　　內部控制的設計缺陷和運行缺陷，影響內部控制的設計有效性和運行有效性。

　　6.3.1.2 重大缺陷，是指一個或多個關鍵控制缺陷的組合，可能導致公司嚴重偏離控制目標。當存在任何一個或多個內部控制重大缺陷時，應當在內部控制評價報告中出具內部控制無效的結論。

　　重要缺陷，是指一個或多個重要控制缺陷的組合，其嚴重程度低于重大缺陷，但仍有可能導致公司偏離控制目標。重要缺陷的嚴重程度低于重大缺陷，不會嚴重危及內部控制整體有效性，但應當引起董事會、經營層的充分關注。一般缺陷，指不構成重大缺陷、重要缺陷的內部控制缺陷。

　　6.3.2 內部控制缺陷認定標準

　　公司董事會根據《內部控制基本規范》及評價指引，結合公司規模、行業特征、風險水平等因素，研究確定了適用本公司的內部控制缺陷具體認定標準：

　　6.3.2.1 財務報告內部控制缺陷的認定標準

　　對于財務報告相關內部控制缺陷，由該缺陷可能導致財務報表錯報的重要程度來確定，該重要程度主要取決于兩方面因素：

　　一是該缺陷是否具備合理可能性導致內部控制不能及時防止、發現并糾正財務報表錯報，即導致錯報的可能性，從定性角度予以判斷；二是該缺陷單獨或連同其他缺陷可能導致的潛在錯

　　報金額的大小，即金額影響程度，從定量角度予以判斷。財務報告內部控制缺陷的等級需根據定量與定性判斷的結果，綜合考慮后予以認定。(具體定量、定性標準見附表 1)

　　6.3.2.2 非財務報告內部控制缺陷的認定標準

　　對非財務報告內部控制缺陷影響本公司戰略、合規、運營、資產安全目標的實現。對于非財務報告內部控制缺陷的認定，公司參照財務報告內部控制缺陷的認定標準予以設置，綜合考慮定量與定性判斷結果后認定。(具體定量、定性標準見附表 2)

　　6.3.3 內部控制缺陷的整改

　　對于認定的內部控制缺陷，內控評價工作組應及時提出整改意見，經批準后，各相關責任單位應制訂切實可行的整改方案，并按期完成整改。整改期限超過一年的，應明確整改的近期和遠期目標以及相應的整改工作內容。對于認定的重大缺陷，公司應及時采取應對策略，切實將風險控制在可承受度之內。

　　6.3.4 整改驗收

　　風險控制職能部門應跟蹤并監督被評價單位整改情況，對其整改效果出具驗收意見。驗收方式可根據具體情況采取書面或現場驗收的方式進行。并及時向公司經營團隊、董事會匯報被評價單位的缺陷整改情況。

　　6.4 內部控制評價報告的編制及審批

　　公司根據《企業內部控制基本規范》、應用指引和內部控制評價指引，設計內部控制評價報告的種類、格式和內容，明確內部控制評價報告的編制程序和要求，按照規定的權限經批準后報送相關部門、對外披露。

　　內部控制評價報告的內容、格式及披露時間應需符合深圳海證券交易所的要求。

　　6.4.1 公司內部控制評價報告應當分別對內部環境、風險評估、控制

　　活動、信息與溝通、內部監督等要素進行設計，對內部控制評價過程、內部控制缺陷認定及整改情況、內部控制有效性的結論等相關內容做出披露。

　　6.4.2 內部控制評價報告至少應當披露下列內容：

　　6.4.2.1 董事會對內部控制評價報告真實性的聲明；

　　6.4.2.2 內部控制評價工作的總體情況；

　　6.4.2.3 內部控制評價的依據；

　　6.4.2.4 內部控制評價的范圍；

　　6.4.2.5 內部控制評價的程序和方法；

　　6.4.2.6 內部控制缺陷及其認定情況；

　　6.4.2.7 內部控制缺陷的整改情況及重大缺陷擬采取的整改措施；

　　6.4.2.8 內部控制有效性的結論。

　　6.4.3 內部控制評價工作組應當以匯總的評價結果和認定的內部控制

　　缺陷為基礎，綜合內部控制工作的總體情況，客觀、公正、完整地編制內部控制評價報告。

　　6.4.4 內部控制評價報告應當報審計委員會、董事會審議通過后對外披露或報送相關部門。

　　內部控制評價工作組應當關注自內部控制評價報告基準日至內部控制評價報告發出日之間是否發生影響內部控制有效性的因素，并根據其性質和影響程度對評價結論進行相應調整。

　　6.4.5 公司內部控制審計報告應當與內部控制評價報告同時對外披露和報送。

　　6.4.6 公司以 12 月 31 日作為年度內部控制評價報告的基準日。內部

　　控制評價報告應于基準日后 4 個月內報出。

　　6.4.7 公司應當對內部控制評價相關的文件資料、工作底稿和證明材

　　料等進行妥善保管。保管時間不少于 10 年，年度報告應永久保存。

　　6.5 公司內部控制評價活動由董事會下設的董事會審計委員會負責監督，如相關單位對檢查評價的過程或結果的公正性存在質疑，可以向該董事會委員會反映。

　　6.6 內部控制評價工作的獎懲參照內部審計相關管理辦法執行。

　　7 附則

　　7.1 本辦法由董事會授權風險控制職能部門負責解釋。

　　7.2 本辦法自董事會審議通過后實施。

　　附件：

　　1 財務報告內部控制缺陷的認定標準

　　2 非財務報告內部控制缺陷的認定標準

　　附表 1財務報告內部控制缺陷的認定標準

　　缺陷 具體認定標準

　　定量標準 定性標準重大缺陷

　　利潤錯報金額≥稅

　　前利潤總額的 5％

　　1.董事、監事和高級管理人員發生任何程度的舞弊行為

　　2.外部審計機構發現財務報表發生重大錯報，出具非標準審計意見

　　3.提交到上級單位及外部證監會、稅務等政府監管

　　部門的財務報告達不到要求，并遭受處罰

　　4.公司其他對財務報告使用者正確判斷造成重大影響的缺陷重要缺陷稅前利潤總額

　　2.5%≤利潤錯報金

　　額＜稅前利潤總額

　　的 5％

　　1.控制環境無效

　　2.為針對復雜或者特殊交易的賬務處理建立和實施

　　相應的控制機制，且無相應的補救性措施

　　3.期末財務報告編制過程控制不足，不能合理保證

　　財務報表的真實、準確性

　　4.未建立反舞弊機制和程序

　　一般缺陷

　　利潤錯報金額＜稅前利潤總額的

　　2.5％不構成重大缺陷及重要缺陷的其他內部控制缺陷

　　附表 2非財務報告內部控制缺陷的認定標準缺陷具體認定標準

　　定量標準 定性標準重大缺陷

　　直接損失≥企業資產總額的

　　0.25％

　　1.嚴重違反法律、法規、規章、政府政策、其他規范性文件等，導致中央政府或監管機構的調查，并被處以罰款或罰金，或被限令行業退出、吊銷營業執照、強制關閉等

　　2.負面消息在全國范圍內流傳，引起政府部門或監管

　　機構關注并展開調查，對企業聲譽造成重大損害，在較長時間內無法消除

　　3.重要管理人員或者關鍵崗位人員流失嚴重

　　4.內部控制重大或者重要缺陷在合理時間內未得到整改重要缺陷企業資產總額

　　0.125%≤直接

　　損失＜企業資產

　　總額的 0.25％

　　違反法律、法規、規章、政府政策、其他規范性文件等，導致地方政府或監管機構的調查，并被處以罰款或罰金，或被責令停業整頓等；負面消息在某區域流傳，企業聲譽受到嚴重損害。

　　一般缺陷

　　直接損失＜企業資產總額的

　　0.125％不構成重大缺陷及重要缺陷的其他內部控制缺陷