金瑞矿业:青海金瑞矿业发展股份有限公司内部控制评价实施细则(2025年2月修订)

青海金瑞矿业发展股份有限公司
内部控制评价实施细则
第一章 总则
第一条 为了确保青海金瑞矿业发展股份有限公司
（以下简称“公司”）内部控制体系的有效运行，提高公司内部控制与经营管理水平，促进公司健康可持续发展，为公司增加价值并提高公司运作效率，根据《企业内部控制基本规范》、《企业内部控制评价指引》等有关法规规定，并结合公司的具体情况特制定本实施细则。
第二条 本细则适用于公司及所属各公司。
第三条 公司旨在通过本细则明确公司内部控制评
价、评估汇总和报告的工作流程和管理体系，明确内部控制评价工作的职责体系，将内部控制评价工作落实到公司的各个层面，实现对内部控制体系有效性的持续监控。
第二章 内部控制评价的组织机构和职责安排
第四条 公司建立董事会负责制的内部控制评价组织
机构。形成董事会、监事会、经理层和内部控制评价机构多层次、全方位的内部控制评价体系。
董事会对内部控制评价承担最终责任。董事会对内部控制评价报告的真实性负责。

第五条 董事会授权审计委员会负责内部控制评价的
组织、领导、监督工作。
董事会授权公司内审与法务部按照审计委员会关于内部控制评价的工作要求，负责公司内部控制评价的具体组织实施工作。
第六条 公司成立以公司董事长牵头的公司内部控制
评价领导小组，具体领导实施公司内部控制评价工作。内审与法务部牵头成立内部控制评价工作小组，各公司成立内部控制评价业务小组，并在内部控制评价工作小组的领导下开展工作，接受业务指导。
第七条 公司内部控制评价领导小组的组成情况如
下：
组 长：董事长
副 组 长：董事会审计委员会主任委员、公司总经
理
成 员：各业务分管副总经理。
第八条 内部控制评价工作小组组成情况如下：
组 长：内审与法务部负责人。
副组长：各业务部门负责人。
成 员：各业务部门骨干。
第九条 内部控制评价业务小组的组成情况如下：
组 长：各公司负责人。

内控联络员：各公司内控业务负责人。
第十条 内部控制评价的参与主体的主要职责:
（一）公司董事会负责对内部控制的有效性进行全面评价，形成结论，出具报告，并对内控评价报告的真实性负责。
（二）审计委员会负责内部控制评价的组织、领导、监督工作，评估、审议批准内部控制评价报告。
（三）公司监事会审议内部控制评价报告，监督内控缺陷整改执行情况。
（四）公司管理层负责为内部控制评价提供必要的行政资源，协调和解决内部控制评价过程中出现的重大事项，听取内部控制评价的工作安排、工作进展和评价报告，及时掌握公司日常内部控制风险监控结果，组织实施缺陷整改工作。
（五）内控评价工作小组组织实施内部控制独立测试工作，并完成评价工作底稿。向董事会提交内部控制评价报告。
（六）内部控制评价业务小组主要负责实施各业务单位的内部控制自评工作，并填制内部控制自评问卷，上报内审与法务部内部控制评价工作小组。对形成的缺陷整改报告进行积极的落实和修改。

第三章 制定内部控制评价工作方案
第十一条 内部控制评价工作方案
每年末由内审与法务部牵头发起内部控制评价工作。内审与法务部应当根据国家法律法规要求、公司经营特点、发展目标及年度工作重点制定内部控制评价工作方案，其中包括公司各职能部门对内控设计有效性和运行有效性的自我评价工作计划和内控评价小组的独立测试计划。
内部控制评价工作方案应当明确评价目的、范围、组织、标准、方法、进度安排和人员预算等内容，报董事会审计委员会审批通过。
第十二条 组建内部控制评价小组
内审与法务部应当根据经董事会批准的评价方案，组成内部控制评价小组，具体实施内部控制评价工作。评价小组可以吸收公司职能部门熟悉情况的业务骨干参加。评价小组成员对本部门的内部控制评价工作应当实行回避制度。
第四章 执行内部控制评价
第十三条 内部控制评价的内容
内部控制评价包含两大部分：一是公司所属各公司的内控自评；二是内控评价小组的独立测试。

各公司的内控自评主要是由各公司对内部控制有效性进行自我评估的过程。
内审与法务部负责组织协调各公司进行内控自评并在各公司进行内控自评的过程中提供业务指导。
内控评价小组独立测试是由内控评价小组综合运用访谈、测试和比较分析等方法，广泛收集内部控制设计和运行是否有效的证据，研究分析内部控制缺陷，对内部控制的有效性进行评价的过程。
内部控制独立测试由内审与法务部牵头组成的内控评价小组执行，各公司必须接受业务指导、予以配合和协助。
第十四条 内部控制评价的对象
公司内部控制评价的对象为相关内部控制制度中记录的涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的所有内部控制活动及内审与法务部依据全面性、重要性和客观性的原则确定的公司合并报表范围内其他业务实体的内部控制活动。
控制目标是指公司为达到资源合理组织、整合与利用，并规避及防范经营业务中可能的风险所须达到的目标。
控制活动根据其发生的时点，可分为预防型控制和检查型控制两大类，其中：

（一）预防型控制是事前控制，是指采取措施以预防控制目标未能实现的情况。
（二）检查型控制是事后控制，是指采取措施以发现和纠正控制目标未能实现的情况。
控制活动根据其操作方式，又可分为手工控制和系统控制两大类，其中：
（一）手工控制是通过人工操作（包括人工对系统的操作）来执行的控制活动。手工控制的有效性依赖于执行控制活动的执行人的胜任能力和尽责程度。培训和专业经验的培养对于手工控制的执行人非常重要，因为手工控制可能由于执行人缺乏培训和专业经验而导致控制活动未得到持续、有效地执行。
（二）系统控制是完全基于系统的操作和运行、不介入任何人工干预来执行的控制活动。系统控制的有效性依赖于有效的通用计算机控制环境。
第十五条 内部控制评价的结论
内部控制评价的结论将分为设计有效性和运行有效性两个方面。
（一）设计有效性
设计有效性是指为实现控制目标所必需设置的控制措施设计适当并投入实施。
设计有效性的评估结果分为四种：有效、部分有效、
无效和不适用。
1.有效：控制活动的设计能够完全满足控制目标。
2.部分有效：控制活动的设计不能完全满足（即部分满足）控制目标。
3.无效：未针对控制目标设计相关的控制活动。
4.不适用：无控制目标相关的业务事项。
（二）运行有效性
运行有效性是在控制活动设计有效的前提下，得到持续有效的运行。
运行有效性的评估结果分为三种：有效、无效和不适用。
1.有效：控制活动得到持续有效的执行。
2.无效：控制活动未持续有效地执行，或者管理层突破规定的权限执行控制活动。
3.不适用：评估期间或测试期间内无相关业务事项发生，故该控制活动没有发生。
（三）控制缺陷类型
与内部控制的设计有效性和运行有效性相应，内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制，公司现有控制措施设计不适当，即使正常运行也难以完全实现控制目标。

运行缺陷是指在内部控制设计有效的前提下，没有按设计意图持续有效运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制，导致控制目标不能完全实现。
第十六条 开展内部控制自评
内审与法务部根据年度内部控制评价工作方案的时间安排，发布统一通知启动公司年度内部控制自评工作。
（一）发起内部控制自我评估
每年，内部控制自评工作启动后，内审与法务部向各公司下发《内部控制自我评估表》。
（二）执行内部控制自我评估
各公司接到《内部控制自我评估表》后，组织本公司内部控制评价业务小组针对本公司负责的控制活动，根据其日常工作的情况，确认内部控制活动是否发生变化，并对控制活动的设计有效性和运行有效性进行自我评估，并将填制完成的《内部控制自我评估表》提交给相关公司负责人（内部控制评价业务小组组长）审核确认。
各公司内部控制评价业务小组在进行内部控制自我评估时，若发现属于其他公司负责的控制活动，须及时与内审与法务部联系，告知不属于本公司负责的控制活动，由内审与法务部核实后再联系相应的公司。
内审与法务部应检查以确保各流程《内部控制自我评
估表》填写的完整性。
内部控制自评工作开展过程中，各公司须按要求及时提交《内部控制自我评估表》，内审与法务部对《内部控制自我评估表》的提交情况进行跟踪统计，对逾期未提交《内部控制自我评估表》或未按要求填写《内部控制自我评估表》的公司由内审与法务部进行考核。
第十七条 控制缺陷和行动计划
在自评工作中，设计有效性和运行有效性评估结果为“部分有效”或“无效”时，针对内部控制自评过程中发现的内部控制缺陷，各公司需要在内部（内部控制评价业务小组）开展讨论，拟定整改计划，并细分至具体整改任务，包括落实到具体整改任务责任人、预计完成时间等，在《内部控制自我评估表》“说明”列中记录控制缺陷的相关信息，包括控制缺陷描述、提取的样本信息、控制缺陷种类和问题初步改善方案。《内部控制自我评估表》经过相关负责人（内部控制评价业务小组组长）审批确认后，交内审与法务部汇总。
如整改计划和整改任务涉及多个部门而无法由单部门单独确定时，该部门应及时与内审与法务部进行沟通，在内审与法务部协调下通过研讨会确定跨部门控制缺陷的整改计划，落实整改任务。
各公司的内控缺陷整改计划制订后，由本公司负责人
审核报分管领导审批通过后，下发执行整改。”
各公司负责人（内部控制评价业务小组组长）应定期督促、检查本部门缺陷整改进度，填写整改进度自查表，按要求报内审与法务部。
内审与法务部对整改结果进行核查和确认，并将整改进度和整改状态填写至《整改进度跟踪表》，交公司领导审阅。
第十八条 执行内部控制独立测试
每年，各公司完成内部控制自我评估工作后，内控自评工作小组查看本公司报的《内部控制自我评估表》中的内部控制活动是否发生变化，内控自评工作组对于各流程中发生变化的内部控制活动进行设计有效性评估，对于未发生变化的内部控制活动直接进行执行有效性评估。
对于控制活动发生变化的流程，内控评价小组对变化后的控制活动进行有效性评估确认有效后，由内审与法务部将变更后的控制活动更新至内部控制手册相应章节。
（一）设计有效性的评价方法
设计有效性的评估方法通常包括访谈和穿行测试。
1. 访谈。访谈的主要目的是通过与相关人员进行访谈，了解各业务流程风险相关的控制措施的更新状况，主要步骤包括：
（1）了解相关各公司的背景资料，例如部门设置，职
责分工，基础业务说明，业务政策和历史稽核信息；
（2）事先阅读风险、控制目标及其对应的控制活动；
（3）按业务的流程顺序，列出访谈人员名单和访谈问题清单；
（4）在每次访谈前，向访谈人简要描述本次访谈的内容和目的；
（5）根据访谈问题清单开展访谈，初步了解业务流程和控制措施；
（6）对于访谈问题清单以外的一些发现点，可以当场与受访人员深入