友好集团:友好集团内部控制评价制度(2025年10月修订)

新疆友好（集团）股份有限公司
内部控制评价制度
（2025 年 10 月修订）
第一章 总则
第一条 为了加强公司的内部控制，全面评价内部控制的设计与运行情况，规范内部控制评价程序和报告，揭示和防范风险，及时发现公司内部控制缺陷，提出、实施改进方案，确保内部控制有效运行，提高管理水平，依据《企业内部控制基本规范》，结合公司实际情况，特制订本制度。
第二条 内部控制评价是指公司董事会对公司内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 公司实施内部控制评价，进一步优化管理控制制度，促进公司内部控制体系的不断完善。通过评价报告，反映公司在内部控制建立与实施中存在的问题。通过内部控制评价查找、分析内部控制缺陷并有针对性地督促、落实、整改，及时堵塞管理漏洞，防范偏离目标的各种风险。
第四条 本制度适用新疆友好（集团）股份有限公司（以下简称“公司”）各部室、各门店、酒店及各分公司、全资子公司，控股子公司参照执行。
第二章 内部控制评价组织机构及职责
第五条 董事会对内部控制评价报告的真实性负责并对内部控制评价承担最终责任。
第六条 公司董事会授权审计委员会统一领导公司内部控制评价工作， 审
计委员会对公司董事会负责。
第七条 审计委员会负责内部控制评价的组织、领导和监督，听取内部控制评价报告，审定内部控制重大缺陷和重要缺陷的整改意见，积极协调整改过程中所遇到的问题。
第八条 公司内控管理部门是内部控制评价工作机构，具体由质量保证（内控）中心组织公司相关部门协助审计委员会完成对公司内部控制的测试和评价。
第九条 公司总经理负责组织实施内部控制评价工作，积极支持和配合内部控制评价工作的开展并为之创造良好的环境和条件；结合日常掌握的业务情况，
提出内部控制评价应重点关注的业务或事项；审定内部控制评价方案，听取内部控制评价报告；对于内部控制评价中发现的问题或报告的缺陷，积极采取有效措施予以整改。
第十条 公司成立内部控制评价小组负责内部控制评价的具体组织实施工作；通过复核、汇总、分析内部监督资料，结合公司总经理要求，制定合理内部控制评价工作方案并认真组织实施。
第十一条 公司内部控制评价小组对评价过程中发现的重大问题，及时与审计委员会或公司总经理沟通；认定内部控制缺陷，制定内部控制整改方案，编制内部控制评价报告，及时报告内部控制缺陷和内部控制评价工作。
第十二条 公司内部控制评价采取“公司综合检查评价”和“各分子公司自查” 两种形式。“公司综合检查评价”是公司审计委员会对各单位内部控制实施情况的综合评价，每年选取一定数量的单位进行评价。
第十三条 公司各分子公司应当逐级落实内部控制评价责任，建立日常监控机制，认真开展内控自查、定期检查评价工作。每年组织完成一次全面内控测试评价工作。内控评价发现问题并认定内部控制有缺陷，须拟订整改方案和计划，报公司主管副总经理审定后，予以整改，同时编制内部控制评价报告。
第三章 内部控制评价内容
第十四条 公司的内部控制制度围绕内部环境、风险评估、控制活动、信
息与沟通、内部监督等要素，确定内部控制评价的具体内容，建立内部控制评价核心指标体系，对内部控制设计与运行情况进行全面评价。
1、内部环境评价。对公司组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本公司的内部控制制度，组织开展内部环境评价，对内部环境的设计及实际运行情况进行认定和评价。重点关注治理结构是否形同虚设，发展战略是否可行，机构设置是否重叠，权责分配是否明晰，不相容岗位是否分离，人力资源政策和激励约束机制是否科学合理，企业文化是否促进员工勤勉尽责，社会责任是否有效履行等。
2、风险评估评价。以各项应用指引中所列主要风险为依据，对公司日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。
3、控制活动评价。以各项应用指引中的控制措施为依据，对公司各类业务
控制措施与流程的设计有效性和运行有效性进行认定和评价，特别是对重大事项的控制措施的设计和运行情况进行认定和评价。
4、信息与沟通评价。以内部信息传递、财务报告、信息系统等相关应用指引为依据，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。
5、内部监督评价。以公司有关内部监督的要求及各项应用指引中有关日常管控的规定为依据，对公司内部监督机制的有效性进行认定和评价，重点关注审计委员会、审计部门等是否在内部控制设计和运行中有效发挥监督作用。
第十五条 内部控制评价工作要形成工作底稿，详细记录公司执行评价工作内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第四章 内部控制评价方法和程序
第一节 内部控制评价方法
第十六条 内部控制评价方法：
1、个别访谈法。根据检查评价需要，对被评价单位员工进行单独访谈， 以获取有关信息。
2、调查问卷法。设计问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目做出评价。
3、专题讨论法。通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估。
4、穿行测试法。通过抽取一份全过程的文件，来了解整个业务流程执行情况。
5、实地查验法。对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。
6、重新执行法。通过对某一个控制活动全过程的重新执行来评估控制执行情况。
7、抽样法。针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进
行判断，进而对业务流程控制运行的有效性做出评价。
8、比较分析法。通过分析、比较数据间的关系、趋势或比率来取得评价证据。
第二节 内部控制评价程序
第十七条 制定评价工作方案。内部控制评价工作方案由公司内控管理部门质量保证（内控）中心根据相关要求和实际经营管理需要，确定内部控制的检查评价方法，制定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，经公司总经理批准后实施。评价工作方案既以全面评价为主，也可根据需要采用重点评价的方式。
第十八条 组成评价工作组。根据经批准的评价工作方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应吸收公司内部相关部门熟悉情况的、参与日常监控的负责人或业务骨干参加，分成若干评价小组。评价工作组成员对本部门的内部控制评价工作实行回避制度。公司可以委托会计师事务所等中介机构实施内部控制评价，但不得选择同时为公司提供内部控制审计服务的中介机构。
第十九条 发出评价通知。内部控制评价工作组根据内部控制评价计划，提前一周向被评价单位发出书面评价通知。通知内容包括：评价时间、评价范围和被评价单位应做的准备工作等。
第二十条 实施现场测试。内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，广泛收集被评价单位内部控制设计和运行是否有效的证据。按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。
1、了解被评价单位基本情况。与被评价单位充分沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。
2、确定检查评价范围和重点。根据所掌握的情况进一步确定评价范围、检查重点和抽样数量，并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
3、现场检查测试。根据评价人员分工，综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试，并按要求填写工作底稿、记录相关测试结果。评价工作底稿需经检查人、复核人确认。

第二十一条 汇总评价结果。
1、内部控制评价小组汇总评价结果，对现场初步认定的内部控制缺陷进行全面复核、分类汇总；对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级，并将发现的缺陷报被测评单位负责人确认。
2、内部控制评价工作组应当以各小组汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制《内部控制评价报告》，并报送公司总经理、董事会和审计委员会。
第二十二条 反馈和跟踪
1、内部控制评价小组在完成内部控制评价报告后，向被评价单位管理层出示评价报告。被评价单位管理层收到评价报告后，如果有不同意见，可以在十个工作日内提出并附上有关证据资料。内部控制评价小组对被评价单位提供的证据资料进行鉴定研究后，在十个工作日内做出是否修改评价报告的决定。
2、对于认定的内部控制缺陷，内部控制评价小组应当结合公司总经理和审计委员会的整改意见，拟订整改方案，按规定程序和权限报经批准后，督促责任单位及时整改，并跟踪其整改落实情况。
第五章 内部控制缺陷的认定
第一节 内部控制缺陷的分类
第二十三条 内部控制缺陷按照其成因或来源分为设计缺陷和运行缺陷。设计缺陷是指公司缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。 运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。内部控制的设计缺陷和运行缺陷，影响内部控制的设计有效性和运行有效性。
第二十四条 内部控制缺陷按照其影响控制目标实现的严重程度分为重大缺陷、重要缺陷和一般缺陷。
1、重大缺陷：是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时，应当在内部控制评价报告中做出内部控制无效的结论。

2、重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标。重要缺陷虽不会严重危及内部控制的整体有效性，但也应当引起董事会和公司总经理的充分关注。
3、一般缺陷：是指除重大缺陷、重要缺陷之外的其他缺陷认定控制缺陷。
第二节 内部控制缺陷的认定标准
第二十五条 公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准。公司确定的内部控制缺陷认定标准如下：
（一）财务报告内部控制缺陷认定标准
1、公司确定的财务报告内部控制缺陷评价的定量标准如下：
定量标准以营业收入、资产总额作为衡量指标。
内部控制缺陷可能导致或导致的损失与利润表相关的，以营业收入指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入的0.5%，则认定为一般缺陷；如果超过营业收入的 0.5%但小于 1%，则为重要缺陷；如果超过营业收入的 1%，则认定为重大缺陷。
内部控制缺陷可能导致或导致的损失与资产管理相关的，以资产总额指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的