云鼎科技:云鼎科技股份有限公司内部控制管理制度

云鼎科技股份有限公司

内部控制管理制度

（2025年6月17日经公司第十一届董事会第二十五次会议审议通过）

第一章总则

第一条为加强云鼎科技股份有限公司（公司”）内部控制，促进公司规范运作和高质量发展，防范重大风险，根据企业内部控制基本规范》及其配套指引、公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》深圳证券交易所上市公司自律监管指引第1号——主板上市公司规范运作》等相关制度文件，结合公司实际，制定本办法。

第二条本办法适用于公司、各事业部和公司全资、控股、实际控制的子公司及其分支机构（以下简称各单位”）。各单位结合自身发展阶段、管理模式和行业性质，按照本办法开展内部控制管理工作。

第三条本办法所称内部控制是指由董事会、经理层和全体员工实施的、旨

在实现控制目标的过程。内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。

第四条内部控制管理坚持以风险管理为导向，遵循下列原则：

（一）合规性原则：满足国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。

（二）全面性原则：内部控制应当贯穿决策、执行和监督全过程，覆盖企业的各种业务和事项。

（三）重要性原则：内部控制应在全面控制的基础上，关注重要业务事项和高风险领域。

（四）制衡性原则：内部控制应在治理结构、机构设置及权责分配、业务流

程等方面形成相互制约、相互监督，同时兼顾运营效率。

（五）适应性原则：内部控制应与企业经营规模、业务范围、竞争状况和风

险水平等相适应，并随着情况的变化及时加以调整。

E（六）成本效益原则：内部控制应权衡实施成本预期效益，以适当的成本实现有效控制。

第二章组织机构与职责分工

第五条公司党委发挥把方向、管大局、保落实的领导作用，前置研究讨论

内部控制管理基本制度、体系建设方案，以及内控管理机构的设置和调整方案，推动内控管理要求得到严格遵循和落实，不断提升公司依法合规经营管理水平和风险防控能力。

第六条公司董事会依据公司章程》和股东会授权，对公司内部控制制度

的建立健全、有效实施及其检查监督负责，按规定披露与内部控制相关的各类信息。

第七条公司董事会审计委员会负责监督内部控制的建立、有效实施和内部

控制自我评价情况，对内部控制有效性出具书面评估意见并报董事会，协调内部控制审计及其他相关事宜等。

第八条公司总经理是内部控制体系管理的第一责任人，负责组织领导建立

健全覆盖各级单位、各业务领域、部门、岗位，全面有效的内控体系。其他经理层成员按照分工负责分工领域的内控体系运行的推动与监督。

第九条公司成立内部控制工作领导小组（以下简称领导小组”），负责内

部控制体系建立、运行、持续改进、监督评价等重大事宜的管理协调。

领导小组组长由公司董事长、总经理担任；副组长由公司其他班子成员担任；

成员由公司各部室负责人、各单位主要负责人组成。

领导小组下设办公室，负责内部控制体系建设、运行和持续改进的日常管理和考核工作，办公室设在运营管理部（安全环保部），办公室主任由运营管理部（安全环保部）主要负责人担任，其他部门、各单位指定一名相对固定人员作为联系人，授权代表本单位主办日常内部控制工作事务。

第十条运营管理部（安全环保部）负责组织和协调内部控制体系建设、日

常运行等工作，主要职责是：

（一）组织落实内部控制体系建设，落实内部控制有效运行。

（二）组织协调各职能部门、各单位建立和实施内部控制体系。

E（三）组织对内部控制体系的运行、管理等进行指导、监督和检查，并推进

持续改进，实现闭环管理。

（四）组织制定内部控制管理制度及内部控制规范，促进公司各业务领域内控制度建设和流程优化。

（五）推进内部控制体系信息化建设工作。

（六）配合监管机构对公司内部控制监督评价。

（七）其他与内部控制建立和实施有关的工作。

第十一条公司审计风险部对内部控制的建立和实施进行评价，对审计委员会负责，向审计委员会报告工作。主要履行以下职责：

（一）根据公司内部控制评价标准及内控缺陷认定标准，组织开展内部控制自我评价。

（二）对各单位内部控制制度的完整性、合理性及其实施的有效性进行监督评价。

（三）组织开展内控缺陷整改工作并跟踪监督整改效果。

（四）协助外部审计单位开展内部控制审计工作。

（五）其他职责范围内与内部控制有关的工作。

第十二条公司各部门是公司内部控制建设和实施的责任主体，主要职责是：

（一）推进本部门相关的内部控制建设与实施、优化与改进工作；

（二）指导和监督各单位建立完善本业务领域内各项内部管理制度和业务流程。

（三）配合审计风险部开展内部控制自我评价工作，协助开展公司内部控制监督评价工作。

（四）对本业务领域内发现的内部控制缺陷制定整改措施，及时进行整改。

（五）其他职责范围内与内部控制有关的工作。

第十三条各单位负责本单位内部控制建立健全和有效实施，主要职责是：

（一）建立健全本单位内部控制组织体系，负责落实本单位内部控制有效运行。

（二）建立健全本单位内部管理制度，优化业务流程、内部控制管理体系和运行机制。

（三）组织本单位开展内部控制自我评价，按时报送内控评价报告。

E（四）组织对本单位权属企业内部控制有效性开展监督评价。

（五）接受公司内部控制监督评价、审计监督，按照公司及监管要求配合外部审计机构开展内控审计。

（六）组织实施对本单位内部控制缺陷进行整改。

（七）其他职责范围内与内部控制有关的工作。

第三章内部控制建立和实施

第十四条公司及各单位应从如下方面建立和实施有效的内部控制：

（一）内部环境。内部环境是企业实施内部控制的基础，各单位应结合实际建立健全组织架构、发展战略、三重一大”决策管理、人力资源、社会责任、企业文化等控制环境要素。

（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内

部控制目标相关的风险，合理确定风险应对策略。各单位应建立健全风险识别、风险评估、风险应对等风险管理基本流程。

（三）控制活动。控制活动是实施内部控制的重要手段。各单位应结合实际，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，采取相应的控制措施，将风险控制在可承受范围之内。

（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息。各单位应建立健全内外部信息收集、传递和沟通渠道，确保信息在企业内部、企业与外部之间进行有效沟通。

（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷并及时加以改进。各单位应建立健全内部控制评价、外部审计等各类型内部监督机制。

第十五条公司结合风险评估结果，通过手工控制与自动控制、预防性控制

与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产

保护控制、预算控制、运营分析控制和绩效考评控制等。具体如下：

（一）不相容职务分离控制。应全面、系统地分析、梳理业务流程中涉及的

不相容职务，实施相应的分离措施，形成相对合理的各司其职、各负其责、相互制约的工作机制。

E（二）授权审批控制。应明确各岗位办理业务和事项的权限范围、审批程序和相应责任。各级管理人员均在授权范围内行使职权和承担责任。对于重大的业务和事项，执行三重一大”集体决策相关规定。

（三）会计系统控制。应严格执行国家统一的会计准则，建立完善的财务管理制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实、合法、完整。

（四）财产保护控制。应采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。

（五）预算控制。应实施全面预算管理，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

（六）运营分析控制。应综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，对运营情况进行分析，发现存在的问题，及时查明原因并加以改进。

（七）绩效考评控制。应建立和实施绩效考评制度，科学设置考核指标体系，对各部门及各单位业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

第十六条公司及各单位内部控制体系建设分为八个实施阶段，分别是制定

推进方案与明确组织体系、识别经济活动风险与评估重大风险、建立业务流程体

系与搭建制度框架、管理诊断报告与内部控制规范、建立内部控制评价机制、建

立内部控制监督机制、开展内部控制评价、内部控制信息系统需求分析与功能设计。重点工作包括：

（一）梳理各类经济活动流程。根据本单位各层级岗位职责管理要求，组织

相关人员对重要经济活动进行调研和访谈，既包括业务层面的组织机构设置，又包括业务层面本身的业务流程，对各项业务特点进行总结和归纳，明确各项业务的目标、范围和内容。

（二）明确业务环节。按照业务实现的时间顺序和逻辑顺序，将各个业务的

决策机制、执行机制和监督机制融入到业务流程中的每个环节，细化业务流程各环节中各单位、各岗位的设置，明确其职能范围和分工。

（三）系统分析经济活动风险。从各业务面临的内外部环境入手，以本单位

层面和业务层面为基准，明确各经济活动业务范围和业务环节后，全方位开展风险信息的收集，辨识风险，运用多种手段进行风险定性和定量评估，编制业务风P

E险列表，明确风险责任单位，提出管理策略和解决方案，与内部控制相关要求对接，建立规范统一的风险数据库。

（四）建立健全内部控制流程。对照重大风险管理要求，梳理查找业务流程

中影响目标实现的风险点，结合内部控制管理要求，查找流程缺陷，优化完善业务流程，确定各类业务的关键控制点、控制要求和控制措施。查找现行制度中存在的交叉、重叠、矛盾、缺失及与业务流程关联度不强等缺陷，对各项制度（标准）进行重新修订与整合，确保制度与流程、岗位职责、控制要求相统一，为制度的有效执行提供保障。

（五）培育良好的内部控制文化意识。全面落实将内部控制文化融入公司文

化体系建设，加强内部控制文化传播、落地和评价，增强领导干部和员工自觉落实内部控制措施意识和主动监督内部控制执行意识，为内部控制体系持续改进提供强大动力。

第十七条公司的内部控制活动应当涵盖公司经营活动中与财务报告和信息

披露事务相关的所有业务环节，包括：销货与收款、采购及付款、存货管理、固定资产管理、资金管理、投资与融资管理、人力资源管理、信息系统管理和信息披露事务管理等。

第十八条公司应当重点加强对各单位的管理控制，加强对关联交易、提供

担保、募集资金使用、重大投资、信息披露等活动的控制，按照公司的相应制度和流程执行。

第十九条公司对各单位内部控制组织体系和运行机制、重要领域和关键环

节内部控制建立和实施情况等进行督导检查，并根据检查结果完善公司内部控制管理体系。

第二十条公司及各单位应遵照内控制度文件要求，结合本单位所处行业及

实际情况，持续完善管理制度和业务流程，规范业务操作，定期对内部控制运行情况进行自查，针对自查中发现的内控缺陷组织整改落实，促进内部控制有效运行。

第二十一条当发生下列事项时，公司及各单位应修订相关内控制度文件：

（一）国家法律法规、行业规范、监管部门要求等发生变化。

（二）经营战略、业务范围、组织机构、管理职责、其他制度文件等内部环境发生较大及重大调整。

（三）重要业务或管理流程、管控措施发生变更或产生新的业务或管理流程。

E（四）内部控制评价或外部审计发现存在内部控制设计缺陷。

（五）公司党委会、董事会、经理层提出修订要求。

（六）其他需要对内部控制进行调整的情况。

第二十二条公司内部控制办公室适时向各部门收集制度修编情况，定期收

集、总结内控评价工作所发现的内部控制缺陷，组织对内控制度文件内容进行评估和更新。

第二十三条公司及各单位应持续加强内部控制信息化建设工作，提高重要领域和关键环节的信息化覆盖率，推动企业三重一大”、投资和项目管理、财务和资产、物资采购、全面风险管理、人力资源等信息系统的集成应用，逐步实现内部控制与业务信息系统有机融合。

第二十四条公司及各单位定期梳理业务系统的审批流程及各层级管理人员

权限设置，持续将内部控制管控措施嵌入各类业务信息系统，确保自动识别并终止超越权限、逾越程序和审核材料不健全等行为，促使各项经营管理决策和执行活动可控制、可追溯、可检查，有效减少人为违规操纵因素。

第四章内部控制自我评价

第二十五条公司每年对内控体系的有效性进行一次全面自评，客观、真实、准确揭示经营管理中存在的内控缺陷。公司各部门及各单位配合公司开展本部门、本单位的内部控制自我评价。

第二十六条公司内部控制自我评价内容应涵盖公司及各单位重大风险领域、重要经营活动和主要业务流程，确保无重大遗漏。

第二十七条内部控制自我评价工作包括制定自我评价工作方案、组成评价

工作组、初步内部控制自我评价、实施现场测试、认定控制缺陷、编报评价报告等环节。

第二十八条制定自我评价工作方案。内部控制自我评价方案应包括评价范

围和内容、工作任务、缺陷认定标准、人员组织和进度安排等。公司制定年度内控自我评价方案，报经审计委员会审批后实施。

第二十九条组成自我评价工作组。工作组应明确负责人、工作分工、沟通汇报机制等。公司内部控制自我评价工作组由审计风险部牵头，抽调其他部门各

1人组成，各部门应积极配合，必要时可抽调各单位人员或委托中介机构实施内控评价。

E第三十条公司各部门及各单位可借鉴本章自我评价流程评估本部门、本单

位在内部环境、风险评估、政策与程序、信息与沟通、内部监督等方面内部控制

建设及执行情况，出具本部门、本单位初步内部控制自我评价报告，经分管领导签字或履行内部审批程序后提交内部控制自我评价工作组。

第三十一条实施现场测试。内部控制自我评价工作组应依据内部控制评价方案，依照公司各部门及各单位出具的初步内部控制自我评价报告，选取重点业务及重大风险领域，对被评价部门或单位进行现场测试，综合运用个别访谈、调查问卷、比较分析、标杆对比、穿行测试、抽样、实地查验、重新执行、专题讨

论等方法，充分收集被评价部门或单位内部控制设计和运行是否有效的证据。现场测试步骤如下：

（一）与被评价部门或单位进行充分沟通，了解其内部环境。

（二）确定检查重点和抽样数量。按照被评价部门或单位实际，确定检查重点和抽样数量。

（三）开展内部控制设计与运行有效性测试。根据公司内部控制制度文件及

被评价部门、单位相关制度文件等，运用适当的评价方法对被评价单位内部控制体系设计与运行有效性进行检查测试，填写内部控制自我评价工作底稿，详细记录内部控制自我评价程序和相关测试结果。

第三十二条认定控制缺陷。内部控制缺陷按其影响程度分为重大缺陷、重

要缺陷和一般缺陷。各部门、各单位应参照公司内控缺陷认定标准（见附件1），结合自身情况从严制定重大缺陷、重要缺陷和一般缺陷认定标准。

内部控制自我评价工作组根据测试结果和经核实的证据，判断相关控制的设计与运行是否有效，依据内部控制缺陷认定标准对发现的内部控制缺陷进行认定。

公司内部控制自我评价工作组在审查过程中如发现内部控制存在重大缺陷

或者重大风险，应当及时向公司董事会或者审计委员会报告。

第三十三条编制内部控制自我评价报告。内部控制缺陷认定后，内部控制

自我评价工作组根据内部控制自我评价结果，结合内部控制自我评价工作底稿和内部控制缺陷认定情况等资料，编制内部控制自我评价报告。内部控制自我评价报告主要内容应包括内部控制体系总体情况、内部控制评价范围、内部控制缺陷

及其认定、内部控制有效性结论等。

第三十四条公司审计风险部根据公司内部控制自我评价工作组汇总的年度

内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，P

E按照规定的程序和要求，及时编制公司年度内部控制自我评价报告。公司年度内部控制自我评价报告至少应当包括下列内容：

（一）董事会对内部控制报告真实性的声明；

（二）内部控制评价工作的总体情况；

（三）内部控制评价的依据、范围、程序和方法；

（四）内部控制缺陷及其认定情况；

（五）对上一年度内部控制缺陷的整改情况；

（六）对本年度内部控制缺陷拟采取的整改措施；

（七）内部控制有效性的结论。

公司董事会应当在审议年度报告的同时，对内部控制自我评价报告形成决议，保荐人或独立财务顾问（如有）应当对内部控制评价报告进行核查，并出具核查意见。

公司在年度报告披露的同时，在符合条件媒体上披露公司内部控制自我评价报告。

第三十五条公司及各单位应制定本单位内部控制缺陷整改方案，明确整改

措施、整改负责人和完成时限，建立整改台账，对整改情况进行督促、跟踪和检查，直至完成整改。

第五章内部控制监督评价

第三十六条公司内部控制监督评价分为内部监督评价和外部监督评价。

第三十七条公司审计风险部在全面自评的基础上，根据年度内部控制评价方案，充分发挥内部监督的力量，有效利用公司内部审计、内部巡察、定期抽查等检查方式，围绕重点业务、关键环节和重要岗位，对各单位内控体系有效性进行监督评价。

第三十八条进一步强化对各单位重大风险隐患和内控缺陷整改工作跟踪检查力度，将各单位整改落实情况纳入每年内控体系抽查评价范围，严格落实提示、约谈和通报制度，对整改不力的印发提示函，或给予约谈、通报。深入落实整改责任，避免出现重复整改、形式整改等问题。

第三十九条各单位对本单位权属企业进行监督评价。

公司及各单位开展内控监督评价，应出具内控监督评价报告。各单位出具的内控监督评价报告应报公司内部控制工作领导小组备案。

E第四十条公司需充分发挥外部审计的专业性和独立性，聘请会计师事务所

每年对财务报告内部控制的有效性进行审计并出具审计报告，与年度报告一并对外披露。

第四十一条会计师事务所对公司内部控制有效性出具非标准审计报告、保

留结论或者否定结论的鉴证报告（如有），或者指出公司非财务报告内部控制存在重大缺陷的，公司董事会应当针对所涉及事项作出专项说明，专项说明至少应当包括下列内容：

（一）所涉及事项的基本情况；

（二）该事项对公司内部控制有效性的影响程度；

（三）公司董事会对该事项的意见；

（四）消除该事项及其影响的具体措施。

第四十二条公司将内部控制制度的健全完备和有效执行情况，作为对各部

门、各单位的绩效考核重要指标之一，并建立责任追究机制。对违反内部控制制度和影响内部控制制度执行的有关责任人予以查处。

第四十三条公司审计风险部的工作底稿、审计报告及相关资料，保存时间应遵守有关档案管理规定。

第六章附则

第四十四条本办法未尽事宜，按国家有关法律法规和公司章程的规定执行；

本办法如与国家日后颁布的法律法规或经合法程序修改后的公司章程相抵触时，按国家有关法律法规和公司章程的规定执行。

第四十五条本办法由董事会负责解释并修订。

第四十六条本办法自董事会审议通过之日起施行。

E附件 1内部控制缺陷认定标准

一、财务报告内部控制缺陷认定标准

1.财务报告内部控制缺陷评价的定量标准如下：

一般缺陷定量指标名称重大缺陷定量标准重要缺陷定量标准标准

合并会计报表资产总额的错报<合并会计

资产总额错错报≥合并会计报

0.5%≤错报<合并会计报表报表资产总额

报金额表资产总额的1%

资产总额的1%的0.5%

合并会计报表所有者权益的错报<合并会计

所有者权益错报≥合并会计报

0.5%≤错报<合并会计报表报表所有者权

错报金额表所有者权益的1%

所有者权益的1%益的0.5%

合并会计报表营业收入的错报<合并会计

营业收入错错报≥合并会计报

0.5%≤错报<合并会计报表报表营业收入

报金额表营业收入的1%

营业收入的1%的0.5%

合并会计报表利润总额的错报<合并会计

利润总额错错报≥合并会计报

1.5%≤错报<合并会计报表报表利润总额

报金额表利润总额的3%

利润总额的3%的1.5%

2.财务报告内部控制缺陷评价的定性标准如下：

缺陷性质定性标准

控制环境无效；公司董事、监事和高级管理人员舞弊并给企业造成

重要损失和不利影响；外部审计发现当期财务报表存在重大错报，重大缺陷而内部控制在运行过程中未能发现该错报；董事会或其授权机构及内审部门对公司的内部控制监督无效；内部控制评价的结果特别是重大或重要缺陷未得到整改。

未依照公认会计准则选择和应用会计政策；未建立反舞弊程序和控制措施；对于非常规或特殊交易的账务处理没有建立相应的控制机重要缺陷制或没有实施且没有相应的补偿性控制；对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真

实、准确的目标。

一般缺陷未构成重大缺陷、重要缺陷标准的其他内部控制缺陷。

二、非财务报告内部控制缺陷认定标准

1.非财务报告内部控制缺陷评价的定量标准如下：

E非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价的定量标准执行。

2.非财务报告内部控制缺陷评价的定性标准如下：

缺陷性质定性标准

违反决策程序，导致重大决策失误；重要业务缺乏制度控制或系统性失效，且缺乏有效的补偿性控制；中高级管理人员和高级技术人重大缺陷员流失严重；内部控制评价的结果特别是重大缺陷未得到整改；媒

体频频曝光重大负面新闻，难以恢复声誉；公司未对安全生产实施管理，造成重大人员伤亡的安全责任事故。

决策程序导致出现一般性失误；重要业务缺乏制度性控制，或制度重要缺陷系统性失效；关键岗位业务人员流失严重；内部控制评价的结果特别是重要缺陷未得到整改；其他对公司产生较大负面影响的情形。

决策程序效率不高；一般业务制度或系统存在缺陷；一般岗位业一般缺陷务人员流失严重；一般缺陷未得到整改。