国机汽车:国机汽车内部控制评价办法（2026年4月修订）

国机汽车股份有限公司

内部控制评价办法

第一章总则

第一条为促进企业全面评价内部控制的设计与运行情况，规范

国机汽车股份有限公司（以下简称“公司”）内部控制评价工作，及时发现公司内部控制缺陷，提出和实施改进方案，确保内部控制有效运行，根据国家有关法律法规和《企业内部控制基本规范》及配套评价指引，制定本办法。

第二条本办法适用于公司及公司的全资、控股子公司。

第三条本办法所称内部控制评价，是指由公司董事会和管理层实施的，对公司内部控制有效性进行评价，形成评价结论，出具评价报告的过程。

内部控制有效性是指公司建立与实施内部控制能够为控制目标的实现提供合理的保证。

第四条公司根据国家有关法律法规和《企业内部控制基本规范》

及配套评价指引的要求，结合公司实际情况，对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目

标、合法合规目标等单个或整体控制目标的实现进行评价。

第五条公司实施内部控制评价，应当遵循下列原则：

（一）全面性原则。评价工作应当包括内部控制的设计与运行，贯穿决策、执行和监督全过程，涵盖公司及其分公司、控股子公司的各种业务和事项；

（二）重要性原则。评价工作应当在全面评价的基础上，着眼于风险，突出重点，关注影响控制目标的高风险领域、重要业务单位、重大业务事项、关键控制环节和风险点；

（三）客观性原则。评价工作应准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性；

（四）独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性；

（五）成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。

第六条公司董事会应对内部控制自我评价报告的真实性负责。

董事会下设的审计与风险管理委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计，并对内控制度健全和完善提出改进意见和建议。公司经营层负责组织领导内部控制评价实施工作的日常运营。

第七条公司审计法律部作为内部控制评价实施机构，负责具体

组织实施公司内部控制评价工作，对董事会负责，向董事会审计与风险管理委员会报告工作。

公司审计法律部在组织实施内部控制评价工作过程中，必要时可抽调公司各部门业务骨干参与。

公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计服务的会计师事务所，不得同时为公司提供内部控制评价服务。公司及公司的全资、控股子公司应逐级落实内部控制评价责任，建立日常监控机制，实施内部控制自查、测试和评价工作，发现问题并督促整改，对内部控制执行和整改情况考核；并编制内部控制自查报告，上报内控评价实施机构。

第八条公司内部控制评价，一般包括年度评价和专项评价。年

度评价是指公司根据内部控制目标，对公司某一年度建立与实施内部控制的有效性进行的评价；专项评价是指公司在特定时点对特定范围的内部控制的有效性进行的评价。

第二章内部控制评价的内容和标准

第九条公司根据国家颁布的《企业内部控制基本规范》及配套

指引、公司内部控制制度，考虑公司自身的经营特点、业务模式以及风险管理要求，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

第十条公司实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

第十一条公司对被评价单位内部控制的有效性进行评价，应当

至少涉及下列内容：

（一）被评价单位内部控制是否在风险评估的基础上涵盖了公司层面的风险和所有重要的业务流程层面的风险；

（二）被评价单位内部控制设计的方法是否适当，内部控制建设

的时间进度安排是否科学、阶段性工作要求是否合理；

（三）被评价单位内部控制设计和运行的组织是否有效，人员配

备、职责分工和授权是否合理；

（四）被评价单位是否开展内部控制自查并上报有关自查报告；

（五）被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

第三章内部控制评价的程序和方法

第十二条公司应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。

第十三条内部控制评价机构应当根据公司整体控制目标，制定

内部控制评价工作方案，明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容。

第十四条内部控制评价范围的确定应当遵循风险导向、自上而

下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。

第十五条内部控制评价机构应当根据审批通过的评价方案组

织实施内部控制评价工作，通过适当的方法收集、确认、分析相关信息，确定与实现整体控制目标相关的风险及细化控制目标，并在此基础上辨识与细化控制目标相对应的控制活动，然后针对控制活动进行必要的测试，获取充分、相关、可靠的证据对内部控制的有效性进行评价，并作出书面记录。

第十六条内部控制评估和测试的方法主要包括：

（一）个别访谈法。是指公司根据检查评价需要，对被查单位员

工进行单独访谈，以获取有关信息；

（二）调查问卷法。是指公司设置问卷调查表，分别对不同层次

的员工进行问卷调查，根据调查结果对相关项目作出评价；

（三）比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法；

（四）穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评价方法；

（五）抽样法。是指公司针对具体的内部控制业务流程，按照业

务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价；

（六）实地查验法。是指公司对财产进行盘点、清查，以及对存

货出、入库等控制环节进行现场查验；

（七）重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法；

（八）专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。

第十七条公司应当根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是

指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。

第十八条公司应当根据所收集的证据，判断相关控制的设计与运行是否有效。公司在判断内部控制设计与运行有效性时，应当充分考虑下列因素：

（一）是否针对风险设置了合理的细化控制目标；

（二）是否针对细化控制目标设置了对应的控制活动；

（三）相关控制活动是如何运行的；

（四）相关控制活动是否得到了持续一致的运行；

（五）实施相关控制活动的人员是否具备必需的权限和能力。

第十九条公司应当充分评估下列因素导致内部控制失效的风

险：

（一）控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等；

（二）控制活动的复杂性，通常与公司组织结构、市场环境、经

营规模、人员素质等相关；

（三）管理层逾越内部控制的风险；

（四）实施控制活动所需要的职业判断的程度；

（五）控制活动所针对风险事项的性质及其重要性；

（六）一项控制活动对其他控制活动有效性的依赖程度。第二十条公司应当及时记录开展内部控制评价工作的方法和程序，如实填写评价工作底稿，并以适当形式妥善保存相关证据。

第二十一条内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论，编制评价报告，报送管理层和董事会审阅。

第四章内部控制缺陷认定和评价报告

第二十二条公司在内部控制评价中，应对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。

（一）设计缺陷是指缺少为实现控制目标所必需的控制，或现存

控制设计不适当、即使正常运行也难以实现控制目标；

（二）运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。

第二十三条公司对内部控制评价过程中发现的问题，应当从定

量和定性等方面进行衡量，判断是否构成内部控制缺陷。

存在下列情况之一，公司应当认定内部控制存在设计或运行缺陷：

（一）未实现规定的控制目标；

（二）未执行规定的控制活动；

（三）突破规定的权限；

（四）不能及时提供控制运行有效的相关证据。

第二十四条公司应当根据内部控制缺陷影响整体控制目标实

现的严重程度，将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷（也称实质性漏洞，以下统称重大缺陷）。

重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致公司无法及时防范或发现严重偏离整体控制目标的情形。

重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致公司无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起公司管理层关注。

董事会和管理层应当合理确定相关目标发生偏差的可容忍水平，从而对严重偏离的情形予以确定。

第二十五条公司判断和认定内部控制缺陷是否构成重大缺陷，应当考虑下列因素：

（一）影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷；

（二）针对同一细化控制目标所采取的不同控制活动之间的相互作用；

（三）针对同一细化控制目标是否存在其他补偿性控制活动。

第二十六条内部控制缺陷认定标准的制定包括财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准两类。

第二十七条内部控制缺陷认定标准包括定量标准和定性标准。

定量标准即涉及金额大小，可以根据错报金额或造成直接损失的绝对金额制定，也可以根据错报金额或造成直接损失占公司资产总额、营业收入及利润等的比率确定；定性标准，即涉及业务性质的严重程度，可根据其直接或潜在负面影响的性质、影响范围、影响程度等因素确定。

第二十八条公司内部控制缺陷认定标准由审计与风险管理委

员会审核后提交董事会认定通过，并作为内部控制缺陷认定评价的依据。

第二十九条公司应当根据内部控制评价过程中发现的内部控制缺陷，督促相关单位或部门进行整改，并对整改结果进行核查和确认。

第三十条对于为实现单个或整体控制目标而设计与运行的控

制不存在重大缺陷的情形，公司应当认定针对这些整体控制目标的内部控制是有效的。

对于为实现某一整体控制目标而设计与运行的控制存在一个或

多个重大缺陷的情形，公司应当认定针对该项整体控制目标的内部控制是无效的。

第三十一条对于因业务流程外包等原因造成公司无法评价特

定业务、特定流程的内部控制有效性的情形，内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性，确定其对整体控制目标有效性评价的影响。

第三十二条公司结合年末控制缺陷的整改结果，编制年度内部控制评价报告。

内部控制评价报告至少应当包括下列内容：

（一）董事会对内部控制报告真实性的声明；（二）内部控制评价工作的总体情况；

（三）内部控制评价的依据；

（四）内部控制评价的范围；

（五）内部控制评价的程序和方法；

（六）内部控制缺陷及其认定情况；

（七）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；

（八）内部控制有效性的结论。

第三十三条公司可以根据被评估的整体控制目标的不同，适当调整评价报告的内容。

公司在评价报告中明确财务报表日之后截至内部控制评价日发

生的、可能影响财务报告控制目标有效性的所有重大变化。

第三十四条公司定期对内部控制整体有效性进行评价、出具评价报告，并向董事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。

第三十五条公司将把内部控制评价报告作为进一步完善内部

控制、提高经营管理水平和风险防范能力的重要依据。公司对于内部控制评价报告中列示的问题，将采取适当的措施进行改进。

第三十六条公司年度内部控制评价工作结束后，需将工作资料，包括内部控制检查、监督工作报告、内部控制自我评估报告、工作底

稿及相关资料，根据公司档案管理制度要求妥善归档及保管。

第五章附则第三十七条本办法由公司董事会负责解释和修订。本办法未尽事宜，按照有关法律、法规、规章、中国证券监督管理委员会的有关规定，以及公司章程的规定执行。

第三十八条本办法自公司董事会审议通过后生效并实施。

国机汽车股份有限公司

2026年4月22日