汉维科技:内部控制评价办法

证券代码：920957证券简称：汉维科技公告编号：2026-041

东莞市汉维科技股份有限公司内部控制评价办法

本公司及董事会全体成员保证公告内容的真实、准确和完整，没有虚假记载、误导性陈述或者重大遗漏，并对其内容的真实性、准确性和完整性承担个别及连带法律责任。

一、审议及表决情况

东莞市汉维科技股份有限公司（以下简称“公司”）于2026年4月21日召开第四届董事会第十七次会议，审议通过了《关于修订<东莞市汉维科技股份有限公司内部控制评价办法>的议案》；议案表决结果：同意7票，反对0票，弃权

0票。该议案已经过公司审计委员会2026年第二次会议审议通过。本议案尚需

提交股东会审议。

二、分章节列示制度主要内容：

东莞市汉维科技股份有限公司内部控制评价办法

第一章总则

第一条为进一步规范东莞市汉维科技股份有限公司（以下简称“公司”）内

部控制评价工作，促进公司全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，促进公司持续健康发展，根据《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》等有关法律、法规、规章和规范性文件以及《东莞市汉维科技股份有限公司章程》（以下简称“《公司章程》”）的规定，结合公司实际情况，制定本办法。

第二条本办法适于本公司及下属分子公司。

第三条本办法所称内部控制评价，是指企业董事会对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。

内部控制有效性，是指公司建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。内部控制设计有效性，是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性，是指现有内部控制持续按照规定程序得到了正确执行。

第四条公司实施内部控制评价，旨在确保内部控制设计合理、运行有效，为实现以下控制目标提供合理保证：

（一）财务报告及相关信息真实、准确、完整；

（二）经营管理合法合规；

（三）公司资产安全完整；

（四）提升经营效率和效果；

（五）促进公司发展战略实现。

第五条公司实施内部控制评价至少应当遵循以下原则：

（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司及其所属分子公司的各种业务和事项。

（二）重要性原则。评价工作在全面评价的基础上，关注重要业务单位、重

大业务事项、高风险领域、重要业务流程和关键控制环节。

（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

（四）及时性原则。评价工作按照规定时间持续开展，并在经营管理环境、核心业务、监管政策发生重大变化时，及时启动专项评价。

第二章内部控制评价的组织架构与职责分工

第六条董事会对公司内部控制的建立健全和有效性负责，履行以下职责：

（一）审批内部控制评价报告；

（二）保证内部控制评价报告真实、准确、完整，无虚假记载、误导性陈述或重大遗漏；

（三）审批内部控制整改的重大决策、重大风险、重大事项。第七条审计委员会负责指导和监督内部控制评价工作的实施，履行以下职

责：

（一）对内部控制评价工作进行指导；

（二）审议并向董事会提交内部控制评价报告。

第八条经理层负责组织实施内部控制评价工作，履行以下职责：

（一）负责为内部控制评价方案提出应重点关注的业务或事项；

（二）听取内部控制评价报告；

（三）负责对内部控制评价中发现的问题及缺陷采取有效措施积极整改；

（四）协调、排除在内控评价以及督促整改中遇到的困难。

第九条内审部作为内部控制评价工作的牵头部门，履行以下职责：

（一）负责拟定内控评价工作计划和方案，并依据方案负责组织实施；

（二）负责内控评价结果的汇总，对内控缺陷的成因、表现形式和影响程度

进行综合分析，提出认定意见和整改意见，编写内部控制评价报告；

（三）负责对内控评价的一般缺陷、重要缺陷及其整改意见向经理层报告，重大缺陷及其整改方案向经理层及董事会报告；

（四）负责复核各业务部门的整改方案及具体的整改计划，督促缺陷的整改落实；

（五）负责与外部审计师沟通。

第十条各业务单位（包括公司本部各部门及公司下属分子公司），履行以下

职责：

（一）负责积极配合内控机构及外部审计师开展内控评价工作；

（二）负责对发现的缺陷提出整改方案及具体的整改计划，并报送内部控制机构复核；

（三）负责内控缺陷整改建议的落实。

第三章内部控制评价的内容

第十一条公司根据《企业内部控制基本规范》、《企业内部控制应用指引》

以及本公司的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

第十二条公司组织开展内部环境评价，应当以组织架构、发展战略、人力

资源、企业文化、社会责任等应用指引为依据，结合公司的内部控制流程及制度，对内部环境的设计及实际运行情况进行认定和评价。

第十三条公司组织开展风险评估机制评价，应当以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合公司的内控流程及制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

第十四条公司组织开展控制活动评价，应当以《企业内部控制基本规范》

和各项应用指引中的控制措施为依据，结合公司的内部控制流程及制度，对相关控制措施的设计和运行情况进行认定和评价。

第十五条公司组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合公司的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

第十六条公司组织开展内部监督评价，应当以《企业内部控制基本规范》

有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合公司的内部控制流程及制度，对内部监督机制的有效性进行认定和评价，重点关注审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

第十七条内部控制评价工作应当形成工作底稿，详细记录公司执行评价工

作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

第四章内部控制评价的程序

第十八条内部控制评价程序一般包括：制定评价工作方案、组成评价工作

组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

（一）内部控制评价工作方案

内审部根据相关要求和实际经营管理需要，拟定内部控制评价工作方案，明确内部控制评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，经审计委员会审议报董事会审批后实施。

（二）组成内部控制评价工作组

内部控制评价工作组由内审部、公司其它有关部门及分子公司的相关人员组成；内部控制评价工作组成员对本部门的内部控制评价工作应当实行回避制度。

（三）组织实施

评价工作组与被评价单位进行充分沟通，根据掌握的情况确定评价范围、测试重点，综合运用各种评价方法对内部控制设计与运行的有效性进行现场测试。

公司可以委托中介机构实施内部控制评价，为公司提供内部控制审计服务的会计师事务所，不得同时为公司提供内部控制评价服务。

（四）认定内部控制缺陷内部控制评价工作小组对内部控制评价过程中发

现的问题，从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。内部控制的缺陷由内部控制评价工作组进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。

（五）汇总内部控制评价结果

内审部编制内部控制缺陷认定汇总表，结合日常监督工作发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的方式向总经理办公会、审计委员会或董事会报告。

重大缺陷应当由董事会予以最终认定。

（六）编制内部控制自我评价报告

内审部结合内控评价工作组年度综合评价情况，汇总分析完成公司内部控制自我评价报告的编制工作。

第十九条内部控制评价工作组应当对被评价单位进行现场测试，综合运用

个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价部门内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

第五章内部控制缺陷的认定

第二十条内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合内部控制评价，客观、公正、完整地编制内部控制缺陷认定表和整改建议书，以书面形式按以下规定报告。

报告频次：一般缺陷和重要缺陷每年至少报告一次，重大缺陷立即报告。

报告途径：对于重要缺陷和重大缺陷及整改方案，应逐级向总经理办公会、审计委员会、董事会报告。重大缺陷应当由董事会予以最终审定。

如果存在与管理层舞弊相关的内部控制缺陷，或存在管理层凌驾于内部控制之上的情形，直接向董事会报告。

第二十一条内部控制缺陷的分类。

（一）按照内部控制缺陷成因或来源，内部控制缺陷包括设计缺陷和运行缺陷。

设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。

运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。

内部控制的设计缺陷和运行缺陷，影响内部控制的设计合理性和运行有效性。

（二）按照影响公司内部控制目标实现的严重程度，内部控制缺陷分为重大

缺陷、重要缺陷和一般缺陷。

重大缺陷，是指一个或多个关键控制缺陷的组合，可能导致公司严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时，应当在内部控制评价报告中出具内部控制无效的结论。

重要缺陷，是指一个或多个重要控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离控制目标。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制整体有效性，但应当引起董事会、经营层的充分关注。

一般缺陷，指不构成重大缺陷、重要缺陷的内部控制缺陷。

（三）按照影响内部控制目标的具体表现形式，内部控制缺陷分为财务报告缺陷和非财务报告缺陷。

财务报告缺陷，是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。

非财务报告缺陷，是指影响除财务报告目标之外的其他目标的内部控制缺陷。

第二十二条公司董事会根据《企业内部控制基本规范》及《企业内部控制评价指引》对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准。

公司确定的内部控制缺陷认定标准如下：

（一）财务报告内部控制缺陷认定标准

根据缺陷可能导致的财务报告错报的重要程度、公司采用定性和定量相结合

的方法将缺陷划分确定重大缺陷、重要缺陷和一般缺陷。

1、公司确定的财务报告内部控制缺陷评价的定性标准如下:

具有以下特征的为重大缺陷：

*公司出现重大会计差错更正已公布的财务报告；

*公司董事和高级管理人员的舞弊行为；

*注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报；

*内部控制重大或重要缺陷未得到整改；

*公司审计委员会和内部审计机构对内部控制监督无效。

具有以下特征的为重要缺陷：

*未按照公认的会计准则选择和应用会计政策；

*未建立反舞弊程序和控制措施；

*对于期末财务报告过程的控制，存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标；

*审计委员会和内部审计机构对内部控制的监督存在重要缺陷。

一般缺陷是指除上述重大缺陷或重要缺陷之外的其他内部控制缺陷。

2、公司确定的财务报告内部控制缺陷评价的定量标准如下:

定量标准以资产总额、收入总额作为衡量指标。

当资产负债表错报金额大于或等于资产总额的5%，或利润表错报金额大于或等于收入总额的5%，则认定为重大缺陷；

当资产负债表错报金额大于或等于资产总额的2%，但小于5%，或利润表错报金额大于或等于收入总额的2%，但小于5%，则认定为重要缺陷；

当资产负债表错报金额小于资产总额的2%，或利润表错报金额小于收入总额的2%，则认定为一般缺陷。

（二）非财务报告内控缺陷的认定标准

公司非财务报告缺陷认定主要依据缺陷涉及业务性质的严重程度、直接或潜

在负面影响的性质、影响的范围等因素来确定将缺陷划分确定重大缺陷、重要缺陷和一般缺陷。

1、非财务报告缺陷的认定按定性标准划分为重大缺陷、重要缺陷和一般缺陷。

具有以下特征的为重大缺陷：

*经营活动严重违犯国家法律、法规；

*决策程序出现重大失误，公司持续经营受到严重挑战；

*高级管理人员及核心技术人员流失严重；

*重要业务缺乏制度控制或系统失效，且缺乏有效的补偿措施；

*内部控制评价的结果是重大缺陷且未得到整改；

*其他对公司产生重大负面影响的情况。

具有以下特征的为重要缺陷：

*决策程序一般性失误；

*关键业务岗位人员流失严重；

*重要业务制度控制或系统存在重要缺陷；

*内部控制评价结果特别是重要缺陷未得到整改。

具有以下特征的为一般缺陷：

*决策程序效率不高；

*一般业务岗位人员流失严重；

*一般业务制度存在缺陷；

*一般缺陷未得到整改。

2、公司确定的非财务报告内部控制缺陷评价的定量标准与公司确定的财务报告内部控制缺陷评价标准一致。

第二十三条公司内部控制评价工作组应当建立评价质量交叉复核制度，评

价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交内审部。

第二十四条公司内部控制评价部门编制内部控制缺陷认定汇总表，结合日

常监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度。

进行综合分析和全面复核，提出认定意见，并以适当的形式向总经理办公会、审计委员会或董事会报告。重大缺陷由董事会予以最终认定。

公司对于认定的重大缺陷，及时采取应对策略，切实将风险控制在可承受范围之内，并追究有关部门或相关人员的责任。

第二十五条对于公司存在的重大缺陷，由经营管理层负责整改，并接受董

事会、审计委员会的监督。公司各部门负责人是本部门内部控制缺陷整改的具体负责人，在整改中要根据《企业内部控制基本规范》及相关指引，按照内部控制缺陷清单逐项分析、整改。

第六章内部控制评价报告

第二十六条公司根据《企业内部控制基本规范》、应用指引和评价指引及其

他相关法律法规，设计内部控制评价报告的格式和内容，明确内部控制评价报告编制程序和要求。

第二十七条公司年度内部控制评价报告应包括以下要素：

（一）标题、收件人、引言段。

（二）重要声明。

（三）内部控制评价结论。

（四）内部控制评价工作情况：

1.内部控制评价范围。

2.内部控制评价工作依据。

3.内部控制缺陷认定标准。

4.内部控制缺陷认定及整改情况。（五）其他内部控制相关重大事项说明。

第二十八条公司内审部根据年度内部控制评价结果，结合内部控制评价工

作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告。

第二十九条内部控制评价报告报经董事会批准后对外披露或报送相关部门。

公司应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是

否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。

第三十条公司以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。公司内部控制审计报告与内部控制评价报告同时对外披露或报送。

第三十一条内部控制评价的工作底稿、证明材料、内部控制评价报告等有关文件资料的保存时间不少于10年。

第七章附则第三十二条本办法未尽事宜，按国家有关法律、行政法规、部门规章和《公司章程》的规定执行。本办法如与国家颁布的法律、行政法规、部门规章以及《公司章程》相抵触时，按国家有关法律、行政法规、部门规章和《公司章程》的规定执行。

第三十三条本办法自董事会审议通过之日起生效实施，由董事会负责解释及修订。

东莞市汉维科技股份有限公司董事会

2026年4月22日