楚天高速:湖北楚天智能交通股份有限公司内部控制评价制度

湖北楚天智能交通股份有限公司
内部控制评价制度
第一章 总 则
第二章 职责分工
第三章 内部控制评价的内容
第四章 内部控制评价的程序
第五章 内部控制缺陷认定与整改
第六章 内部控制评价报告
第七章 附 则
修订记录：
2015 年 6 月 23 日 经第五届董事会第十五次会议批准生效
2026 年 1 月 6 日 经第八届董事会第三十三次会议批准修订
湖北楚天智能交通股份有限公司
内部控制评价制度
第一章 总 则
第一条 为全面评价湖北楚天智能交通股份有限公司（以下简称“公司”）内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，根据《中华人民共和国》、《企业内部控制基本规范》及其配套指引、上海证券交易所《上市公司自律监管指引第 1 号——规范运作》等法律法规、规范性文件、业务规则及公司章程等有关规定,结合公司实际，制定本制度。
第二条 本制度所称“内部控制评价”，是指公司董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
本制度所称“内部控制有效性”，是指公司建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。
第三条 本制度适用于公司及全资、控股子公司（以下统称“子公司”）。
第四条 公司实施内部控制评价应当遵循以下原则：
（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司及其所属单位的各项业务和事项。
（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。
（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。
（四）风险导向原则。评价工作应当以风险为导向，根据风险发生的可能性和对公司内部控制目标的影响程度确定需要评价的重点业务单元、重要业务领域和重要流程环节。
（五）及时性原则。评价工作应当按照规定的时间进行，当经营管理环境发生重大变化时，应及时进行重新评价。
第五条 公司内部控制评价，一般包括年度评价和专项评价。
年度评价是指公司根据内部控制目标，对公司某一年度建立与实施内部控制的有效性进行的评价；专项评价是指公司在特定时点对特定范围的内部控制的有
效性进行的评价。
年度评价为定期评价，在每个会计年度结束后至年度报告提交董事会审议前，应完成年度评价工作并将内部控制评价报告提交董事会审计委员会审核；专项评价为不定期评价，根据需要视具体情况而定，不受检查时间和检查次数限制。
第二章 职责分工
第六条 公司董事会对内部控制评价报告的真实性负责，其主要职责包括：
（一）对内部控制评价过程中发现的重大缺陷进行最终认定，对评价中发现的所有内部控制缺陷进行审定和处理；
（二）审议和批准内部控制评价报告。
第七条 审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制评价情况，其主要职责包括：
（一）审议内部控制评价工作方案；
（二）评价内部控制的建立和实施情况；
（三）审核内部控制评价报告，对评价过程中发现的重大、重要缺陷及时向董事会报告。
第八条 审计部负责内部控制评价的具体组织实施，其主要职责包括：
（一）制定内部控制评价工作方案；
（二）组成内部控制评价工作组；
（三）汇总各部门（单位）内部控制评价表；
（四）收集、整理内部控制评价工作组的内部控制评价工作底稿；
（五）按照内部控制评价工作组形成的内部控制有效性结论，编写年度内部控制评价报告。
第九条 内部控制评价工作组具体负责内部控制评价工作，其主要职责包括：
（一）根据内部控制评价方案进行现场测试，收集内部控制评价的证据；
（二）收集、整理和填制内部控制评价测试底稿；
（三）研究分析并初步认定内部控制缺陷。
第十条 公司各部门（单位）是内部控制评价的参与单位，其主要职责包括：
（一）配合内部控制评价工作组做好本单位内部控制评价工作；
（二）提供真实、准确的信息资料配合内部控制评价工作组进行内部控制测评和检查工作。

第三章 内部控制评价的内容
第十一条 公司内部控制评价应根据《企业内部控制基本规范》、应用指引及公司内部控制制度等，围绕内部控制的目标及内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。主要包括：
（一）内部环境评价，是以《企业内部控制基本规范》和组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合公司内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。
（二）风险评估机制评价，是以《企业内部控制基本规范》有关风险评价的要求，以及各项应用指引中所列主要风险为依据，结合公司内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
（三）控制活动评价，是以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合公司内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。
（四）信息与沟通评价，是以《企业内部控制基本规范》和内部信息传递、财务报告、信息系统等相关应用指引为依据，结合公司内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。
（五）内部监督评价，是以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合公司内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注审计委员会、审计部等是否在内部控制设计和运行中有效发挥监督作用。
第十二条 公司内部控制评价应涵盖公司所有重要环节及贯穿于经营管理活动各环节的各项规章制度。
第十三条 内部控制评价工作应当形成工作底稿，详细记录执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第四章 内部控制评价的程序
第十四条 公司内部控制评价程序主要包括制定评价工作方案、组成评价工
第十五条 制订内部控制评价工作方案。审计部根据内部监督情况和管理要求，分析公司经营管理过程中的高风险领域和重要业务事项，确定检查评价方法，制订科学合理的评价工作方案，经公司审计委员会批准后实施。评价工作方案应明确评价主体范围、工作任务、人员组成、进度安排和费用预算等相关内容。
第十六条 组成内部控制评价工作组。审计部根据经批准的评价方案，牵头组成评价工作组，具体组织实施内部控制评价工作。内部控制评价工作组应吸收公司内部相关部门熟悉情况的业务骨干参加。
评价工作组成员应熟悉内部控制专业知识及相关管理制度、业务流程及需要重点关注的问题、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准等内容，评价组成员对本部门负责的内部控制评价工作予以回避，应交叉检查和评价。
公司实施内部控制评价可以委托中介机构，但不得选择同时为公司提供内部控制审计服务的中介机构。
第十七条 实施内部控制评价现场测试
内部控制评价工作组实施现场测试应提前通知被评价单位，通知内容至少包括：评价的目的、依据、原则、内容、时间安排及被评价单位应做的准备工作等。
内部控制评价工作组对被评价单位进行现场测试，综合运用个别访谈、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。
第十八条 评价工作组将评价结果向被评价单位进行反馈并确认。
第五章 内部控制缺陷认定与整改
第十九条 内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合内部控制评价，客观、公正、完整地编制内部控制缺陷认定表和整改建议书，以书面形式按以下规定报告。
报告频次：一般缺陷和重要缺陷每年至少报告一次，重大缺陷立即报告。
报告途径：对于重要缺陷和重大缺陷及整改方案，应分别向管理层、审计委员会、董事会报告。如果存在与管理层舞弊相关的内部控制缺陷，或者存在管理层凌驾于内部控制之上的情形，直接向审计委员会、董事会报告。

第二十条 内部控制缺陷的分类
（一）按照内部控制缺陷成因或者来源，内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制，或者现存控制设计不适当，即使正常运行也难以实现控制目标。
运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或者频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。
（二）按照影响公司内部控制目标实现的严重程度，内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷，是指一个或者多个关键控制缺陷的组合，可能导致公司严重偏离控制目标。当存在任何一个或者多个内部控制重大缺陷时，应当在内部控制评价报告中出具内部控制无效的结论。
重要缺陷，是指一个或者多个重要控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离控制目标。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制整体有效性，但应当引起公司管理层的充分关注。审计部和管理层应当合理确定相关目标发生偏差的可容忍水平，从而对严重偏离的情形予以确定。
一般缺陷，指不构成重大缺陷、重要缺陷的内部控制缺陷。
（三）按照影响内部控制目标的具体表现形式，内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制缺陷。
财务报告内部控制缺陷，是指在会计确认、计量、记录和报告过程中出现的，对财务报告的真实性和完整性产生直接影响的控制缺陷。
非财务报告内部控制缺陷，是指虽不直接影响财务报告的真实性和完整性，但对公司经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。
第二十一条 内部控制缺陷认定标准
公司董事会根据《企业内部控制基本规范》及评价指引，结合公司规模、行业特征、风险水平等因素，研究确定了适用本公司的内部控制缺陷具体认定标准：
（一）财务报告内部控制缺陷的认定标准
1.定性标准

具有以下特征的缺陷，定性为重大缺陷：
（1）外部发现公司管理层存在的任何程度并非由公司首先发现的舞弊；
（2）已经发现并报告给管理层的重大内部控制缺陷在经过合理的时间后，并未加以改正；
（3）控制环境无效；
（4）影响收益趋势的缺陷；
（5）影响关联交易总额超过股东会批准的关联交易额度的缺陷；
（6）外部审计发现的重大错报不是由公司首先发现的；
（7）其他可能影响报表使用者正确判断的缺陷。
具有以下特征的缺陷，定性为重要缺陷：
（1）未经授权进行担保、投资有价证券、金融衍生物交易和处置产权、股权造成经济损失；
（2）公司财务人员或者有关人员权责不清、岗位混乱，涉嫌经济、职务犯罪，被移交司法机关；
（3）销毁、藏匿、随意更改发票、支票等重要原始凭证，造成经济损失；
（4）现金收入不入账、公款私存或者违反规定设立“小金库”。
不构成重大缺陷或者重要缺陷的其他内部控制缺陷，定性为