广西粤桂广业控股股份有限公司

内部控制应用手册

（经2025年8月26日召开的第九届董事会第三十七次会议审议通过）

一、内部控制体系建设的背景、目标和原则

（一）内控体系建设的背景

内部控制体系是为合理保证单位经营活动的效益性、财务报告的可靠性和法

律法规的遵循性，而自行检查、制约和调整内部业务活动的自律系统。根据财政部、证监会、审计署、银监会、保监会五部委自2008年以来相继联合发布关于

印发《企业内部控制基本规范》、《企业内部控制应用指引》等通知文件，以及深圳证券交易所发布的《上市公司自律监管指引第1号——主板上市公司规范运作》等文件，要求上市公司加强和规范企业内部控制，完善内控规范建设工作，提高企业经营管理水平和风险防范能力，促进企业可持续发展。同时要求委托会计师事务所对企业内部控制的有效性进行审计，出具内部控制审计报告。

（二）内控体系建设的主要目标

1.经营管理合法合规。

2.资产安全。

3.财务报告及相关信息真实完整。

4.提高经营效率和效果。

5.促进公司实现发展战略。

（三）内控体系建设的原则

1.全面性原则。内部控制贯穿决策、执行和监督全过程，覆盖公司及其所属

单位的各种业务和事项。

2.重要性原则。内部控制在全面控制的基础上，关注重要业务事项和高风险领域。

3.制衡性原则。内部控制在治理结构、机构设置及权责分配、业务流程等方

面形成相互制约、相互监督，同时兼顾运营效率。

4.适应性原则。内部控制与公司经营规模、业务范围、竞争状况和风险水平

等相适应，并随着情况的变化及时加以调整。

5.成本效益原则。内部控制权衡实施成本与预期效益，以适当的成本实现有效控制。

二、内部控制体系建设的范围和步骤

（一）内部控制体系建设的范围

1.按实施主体分：

内控体系建设范围包括本公司以及下属子公司。

2.按涉及业务性质分：

内控建设的范围包括公司所有的业务，根据公司实际业务状况和内部控制需要，公司从不同的业务职能出发，对内部控制业务做了整体规划和部署，将内部控制分为二十三个业务板块，分别为：发展战略、人力资源、社会责任、企业文化、组织架构、资金活动、筹资管理、投资管理、采购管理、存货管理、固定资

产、无形资产、销售管理、研究与开发、工程项目、业务外包、财务报告、全面

预算、合同管理、内外部信息传递、信息系统、生产管理、农务管理。

（二）内部控制体系建设的步骤

内部控制体系建设分4个阶段：内部控制梳理、内部控制优化、内部控制评

价以及内部控制审计。前3个阶段为内控建设核心工作，需要公司主导完成，内控审计则由审计师在公司配合下实施。各阶段的主要工作如下图所示：三、内部控制的组织体系与工作职责

内控体系建设及维护的责任主体是董事会、审计委员会、经理层和公司全体员工，内控工作需要公司各部门、各层次的员工全面参与，在具体工作中，各层次管理机构的主要工作职责如下：

（一）治理层的职责

1.董事会负责内部控制的建立健全和有效实施；

2.审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制

评价情况，协调内部控制审计及其他相关事宜等。

（二）管理层的职责

管理层负责组织领导公司内部控制的日常运行与维护，为内部控制评价提供必要的行政资源，协调和解决评价过程中出现的重大事项，听取内部工作评价的工作安排、工作进展和评价报告，及时掌握日常内部控制风险的监控结果，组织实施缺陷整改工作。

（三）纪检审计部的职责

1.负责组织协调内部控制的建立实施及日常工作，督促下属企业和公司各部

门做好内部控制管理工作。

2.负责定期或不定期的审查、监督内部控制的有效实施。

3.组建内控评价小组领导评价小组实施内部控制独立测试工作结合内部控制评价工作底稿和内部控制缺陷汇总表等内部控制文档形成书面的《内部控制评价报告》。

4.负责组织协调内部控制实施部门进行内控自评并在自评的过程中提供业务指导。

（四）内部控制实施部门的职责

各职能部门（分公司）、子公司为内部控制的实施部门/单位，负责内部控制体系的日常运行与维护工作。

内部控制实施部门在内部控制体系完善、评价方面，应与其他业务部门、子公司保持整体系统性和同步协调性。各职能部门（分公司）、子公司作为内控关键点的第一道防线和第一责任部门，在日常工作中负有按照既定规程操作和运营的责任。职责具体如下：

1.负责维护与更新本部门/本单位的内控文档，定期确认内部控制矩阵是否

符合公司经营状况，对过时的内容提出更新建议并更新本部门业务的内控文档。

2.进行穿行测试以验证控制点有效性；并开展控制点自我评价，并由相关负

责人确认自我评价的结果。

3.在内部控制管理和协调部门有需要的情况下，汇报内部控制测试评价和评价结果。四、内部控制文档记录分类说明及编写要求

根据《企业内部控制基本规范》和《企业内部控制评价指引》的有关规定，结合公司的实际情况，公司明确内部控制的文档至少应包括四类：制度清单、控制矩阵、测试底稿以及管理建议。各类文档记录的要素及其编码规则、编写说明如下：

（一）制度清单公司应对公司所执行的各项规章制度进行分类登记，形成公司统一的《制度清单》，制度清单中至少应包括制度名称、起草部门、最终审批机构、执行日期、文件编号等内容。制度清单由各单位分别指定部门制订并及时更新。

（二）内控矩阵

内控矩阵与内部控制业务板块一一对应，公司内部控制业务分为23个板块，内控矩阵也按业务分类分为23个矩阵。内控矩阵包含的要素及其编制说明如下：

1.流程名称（简称）。本要素描述的是本控制矩阵对应的流程名称和简称。

流程名称按业务分类板块填列，简称及代码如下：

组织架构：CS

发展战略：ST

人力资源：HR

社会责任：SR

企业文化：EC

资金活动：TR

投资管理：TR-IN

筹资管理：TR-TR

采购管理：PR

固定资产管理AMFA 无形资产管理AMINA

存货管理AMINV

销售业务：RE

研究与开发：RD

工程项目：CP

业务外包：OS

财务报告：FR

全面预算：BU

合同管理：CM

内部信息传递：IC

信息系统：GC

生产管理：PM

农务管理：AR

2.适用实体

本要素是对流程对应的适用实体进行了描述，如果控制活动的执行方式、执行岗位、关键控制点设置基本一致，可以适用一个以上的实体。

3.子流程名称

本要素描述的是本流程对应的子流程名称。

4.主要操作环节

本要素用于记录对应子流程的主要环节。

5.主要风险

本要素用于记录对应子流程存在的风险。

6.控制目标编号本要素用于记录控制目标的顺序编号。控制目标编号规则：由各业务流程

代码、控制目标英文缩写（CO）、控制目标顺序数序编号组成。例如“资金活动”流程中的第一个控制目标可编号为TR-CO-01。

7.控制目标

控制目标是指内部控制总体目标在各个业务流程中的具体反映。因此本列的控制目标应具体到每一个业务流程下的子流程的目标。

8.控制活动编号

用于记录对应控制活动的唯一编号。编号规则：由各业务流程代码、控制活动英文缩写（CA）、控制活动顺序数序编号组成。例如“资金活动”流程的第一个控制活动可编号为TR-CA-01。

9.标准控制活动

指与内部控制基本规范及配套指引相符合，结合公司实际并能使公司达到控制目标的控制活动。标准的控制活动应是由国家法律法规、公司制度等明文规定的、必须遵循的活动。

10.实际执行的控制活动

本要素为公司在实际工作中“实际执行的控制活动”的详细描述和记录，记录每个控制步骤、具体控制办法。填写时一般要求遵循“4W1H”原则：

（1）WHO:谁是该业务的执行者，一般须明确记录业务执行人所属部门、岗位。

（2）WHERE:控制体现在什么地方。记录业务执行人在执行业务时，不同步

骤、阶段或节点在部门、岗位间的流转、配合关系。

（3）WHAT:控制活动的具体内容是什么。即业务本身所属类别、性质的详细记录。

（4）WHY:该控制的目的是什么。记录业务部分如何分工、如何执行。（5）HOW:怎么样实施该控制。

11.制度

主要描述公司目前已制定的涉及该控制活动的相关制度及规定。

12.文档

主要描述公司目前在该控制活动中涉及的相关文档，就是用来测试公司目前实际执行的控制活动的文件资料。文档编号规则为：流程代码＋D＋顺序号[M]/[E]（M表示纸质资料，E表示电子资料）。如：资金管理流程第一个穿行测试文档（书面文档）：TR-D-01[M]； 又如，资金管理流程第二个穿行测试文档（电子文档）：

TR-D-02[E]。

13.执行频率

主要描述对应的控制活动的发生频率，一般以“每日多次”、“每日”、“每周”、“每月”、“每季”、“每年”、“业务发生时”表示。该部分将用于测试阶段样本量的计算。

14.控制形式

控制形式分为“自动控制”与“手工控制”。如果该控制活动是由公司信息系统控制，控制形式选择“自动控制”。如果不是，控制形式选择“手工控制”。

15.控制活动负责部门/岗位

本列描述的是负责该控制活动的部门和岗位。

16.涉及系统

描述的是该控制活动使用的信息系统

17.控制的重要性

重要性分为关键控制和一般控制，通过判断该控制活动是否为关键控制活动，在下拉菜单中选择关键控制或一般控制。

18.财政部等五部委具体指引-条款主要描述控制活动相对应的五部委具体指引的条款序号。

19.财政部五部委具体指引-规定内容

主要描述控制活动相对应的五部委具体指引的条款具体内容。

20.设计有效性-测试方法

描写对控制活动涉及有效性的测试方法，包括询问、观察、检查、重新执行等。

21.设计有效性-测试结果

通过对现有控制活动与标准控制活动的对比测试，判断该控制活动的设计是否为有效。

（1）有效：指现有控制活动与标准控制活动相符，能够实现控制目标。

（2）无效：指现有控制活动与标准控制活动对比存在部分偏差或控制活动缺失，可能导致公司内部控制不到位。

22.执行有效性-测试底稿索引

填列执行有效性测试底稿的索引编号，测试底稿的索引编号规则为：流程代码+T+顺序号，顺序号和控制活动编号中的顺序号一一对应。如“TR-T-01”为资金管理流程（TR）中编号为 TR-CA-01 的控制活动的测试底稿编号。

23.执行有效性-测试结果

由自评人根据所执行测试结果填写，包括四种结果：“达标”、“不达标”、“样本量不足”和“不适用”。

（1）达标：检查了规定的报告期内的全部样本量，抽取的所有样本的各个属性均达到测试目的；

（2）不达标：某个样本的某一个测试属性不符合标准，无法达到测试目的；

（3）样本量不足：抽取样本所有属性均达标，但由于该控制活动执行的时间较短，或者因整改完成时间较短，导致不能获取足够数量的样本；（4）不适用：本报告期不进行测试，实施测试时该控制活动未发生，或未通过穿行测试而被认定存在设计缺陷等。

24.缺陷编号

描述的是对应控制缺陷的唯一编号。缺陷编号的编码规则为：流程代码＋CD＋顺序号。如：资金活动流程第一个控制缺陷：TR-CD-01。

25.缺陷描述通过实际执行的控制活动与标准控制活动进行对比后（即有可能与标准控制活动一致或存在偏差），如果存在的偏差且此偏差可能导致公司内部控制不到位，则此偏差即为目前公司内部控制的缺陷，需要整改。

（三）测试底稿

测试底稿是为检验关键控制活动设计及执行是否有效，按设定的抽样方法选取一定样本量的文档、单据、表格，按照测试点的要求进行测试及验证的一种测试记录文档。测试记录文档用于记录选取的样本内容、测试时间、测试人、所实施的具体测试程序、样本选取说明，以及测试结果说明等。测试记录文档中所记录的要素均是支持测试结果的证据，所有测试发现必须记录在测试记录文档中。

测试底稿包含的要素及编制说明如下：

1.控制活动编号：与控制矩阵中控制编号对应。

2.更新日起：该测试底稿更新的日期，由测试人员具体填写。

3.控制活动：对控制活动编号对应的控制活动进行描述。与控制矩阵中控制

活动编号对应的主要操作环节对应。

4.发生频率：与控制矩阵中的执行频率一致。

5.样本量：是根据执行频率以及已设置好的计算方法计算应抽查的样本数量。

根据不同的发生频率，样本的抽查量规定如下：

对于频率确定的控制活动：样本量备注控制类型控制频率计划没有偏差发现一个偏差手工控制每日多次2540无手工控制每日20不适用手工控制每周5不适用手工控制每月2不适用手工控制每季2不适用手工控制每年1不适用信息系统控制1不适用

对于频率不确定的控制活动，其样本量应按实际发生次数折合为年发生次数后按下列办法计算：

控制类型年发生次数折合频率样本量

手工控制>250每日多次25

手工控制50-250每日20

手工控制15-50每周5

手工控制<15每月2

6.样本描述：测试人应当对抽到的样本进行详细描述，确保独立的第三方能

够根据描述准确发现到该样本，以重新执行该测试，样本描述应具有唯一指定性与可追溯性，必要时可采取引用附件的形式与测试记录文档一并归档。

7.测试程序：为测试该控制活动是否有效执行应进行的测试工作，包括询问、观察、检查、重新执行等方法，并说明抽样测试样本量确定的过程。

8.测试属性：控制活动包含的关键控制要素，须根据控制活动分解成独立的属性，每个属性只能测试一个关键控制要素。

9.样本记录：按测试属性的要求详细记录各样本的测试结果是否达标。

10.测试结果：根据样本记录判断总的测试结果，测试结果分为“达标”、“不达标”、“样本量不足”及“不适用”四类。11.测试说明：用于填写测试人认为重要的补充说明事项，一般应填入备注的事项有：

（1）开始执行日说明：填写控制活动在本报告期开始执行的日期或完成整改的日期；

（2）测试结果说明：根据抽取的样本判断每个实际执行的控制的最终测试结果，描述实际控制活动的执行性抽样测试中发现的差错的统计；

（3）因存在系统变更、业务流程变更、缺陷整改等情况，控制活动开始执

行日需要重新进行评估，并在此具体说明开始执行的日期；

（4）对除“达标”以外的其他测试结果（即“不达标”、“样本量不足”和“不适用”），均需详细说明原因；对测试结果为“达标”，但有需要特别说明的情况，也可在此进行说明；

（5）其他说明：自评人可根据具体控制的差别，在此说明认为需要说明的其他事项；

（四）管理建议

管理建议是针对内控矩阵中的缺陷描述提出的整改建议，管理建议文档的主要要素及编写说明如下：

1.缺陷编号和控制矩阵的缺陷编号一致。

2.缺陷描述和控制矩阵的缺陷描述一致。

3.适用实体和控制矩阵的缺陷描述一致。

4.缺陷属性。

缺陷分为设计缺陷和执行缺陷。设计缺陷是指针对某一控制目标失去必要控制点，或已有的内部控制设计不当，即便正确执行也不能达到目的；执行缺陷是指已设计恰当的内部控制但没有按设计要求正确执行，或控制执行人员没有取得必要的授权或没有胜任能力。5.缺陷认定缺陷分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一个或者多个控制缺陷的组合，可能导致企业严重偏离控制目标。重要缺陷是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍可能导致企业偏离控制目标。一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。

6.改进要求对缺陷的改进要求分为合规和优化两类。合规是指根据《企业内部控制基本规范》及配套指引的要求，企业须达到的内控现状。优化是指在合规的前提下，如改进该缺陷可达到内控流程的优化或对公司的管理更为有效。

7.管理建议

针对缺陷描述，遵循内控指引和“4W1H”原则提出完善内部控制的建议。

8.公司反馈及整改计划

记录公司对整改建议的意见以及整改计划等内容。

五、内部控制评价及披露公司每年度的内控自我评价一般分两个阶段进行测评。第一阶段对1月至

10月的内部控制进行测试评价，包括对风险环境进行分析、检查内部控制设计

的完整性和有效性、检查内部控制执行的有效性；第二阶段对11月至12月期间

的内部控制执行的有效性进行测试，部分年度或季度控制活动尚未发生，可延伸到年后进行检查。内部控制评价的整体工作流程如下图所示：、重要（一）内部评价方案的制订。

1.每年由公司审计部门负责内部控制评价工作。公司审计部门根据国家法律

法规要求、公司经营特点、发展目标及年度工作重点制定内部控制评价工作方案

其中包括公司各职能部门、分公司及控股子公司对内控设计有效性和运行有效性的自我评价工作计划和内控评价小组的独立测试计划。

2.内部控制评价工作方案应当明确评价目的、范围、组织、标准、方法、进

度安排、人员预算以及各流程责任人等内容报经理层和董事会审计委员会审批通过。

3.组建内部控制评价小组。公司审计部门应当根据经董事会审计委员会批准

的评价方案组成内部控制评价小组具体实施内部控制评价工作。评价小组经董事长审批后执行。评价小组可以吸收公司职能部门（分公司）、控股子公司(如财务、人力资源等)熟悉情况的业务骨干参加。评价小组成员对本部门的内部控制评价工作应当实行回避制度。

（二）执行内部控制评价。

1.内部控制评价包含两大部分:一是公司各职能部门（分公司）、控股子公司

的内控自评;二是内控评价小组的独立测试。

2.各职能部门（分公司）、控股子的内控自评主要是由职能部门（分公司）、控股子公司对内部控制有效性进行自我评价的过程。审计部门负责组织协调内控自评并在各职能部门（分公司）、控股子公司进行内控自评的过程中提供业务指导。

3.各职能部门（分公司）、控股子公司的自评工作主要是运用制度清单、测

试底稿、内控矩阵以及管理建议四类内部控制文档记录按规定的编制说明进行测试评价。

4.内控评价小组独立测试是由内控评价小组通过对各职能部门（分公司）、控股子公司的测试结果进行复核，综合运用访谈、测试和比较分析等方法广泛

收集内部控制设计和运行是否有效的证据研究分析内部控制缺陷对内部控制的有效性进行评价的过程。内部控制独立测试由审计部门牵头组成的内控评价小组执行各职能部门、分公司必须接受业务指导、予以配合和协助。

(三)汇总内控缺陷和行动计划。

内控评价小组对各职能部门（分公司）、控股子公司的测试底稿进行汇总复核，结合小组的独立测试，形成内部控制缺陷汇总表以及整改建议，各职能部门（分公司）、控股子公司根据整改建议编制并落实各项整改计划。

（四）内部控制缺陷认定。

对各项缺陷的认定由内控评价小组根据公司《内部控制缺陷认定标准制度》执行。

（五）内部控制评价报告

公司审计部门在协调各职能部门（分公司）、控股子公司完成内部控制自我评价工作及内控评价小组完成独立测试工作后应结合内部控制评价工作底稿和

内部控制缺陷汇总表形成书面的《内部控制评价报告》每年呈交公司高级管理

层、董事会审阅。

《内部控制评价报告》应包括但不限于以下重要内容:

1.董事会对内部控制报告真实性的声明。

2.内部控制评价工作的总体情况。

3.内部控制评价的依据。

4.内部控制评价的范围。

5.内部控制评价的程序和方法。

6.内部控制缺陷及其认定情况。

7.内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。8.内部控制有效性的结论。

9.其它。

公司审计部门还应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素并根据其性质和影响程度对评价结论进行相应调整。

（六）内部控制评价报告的批准和对外披露。

董事会审核批准公司审计部门上报的年度内部控制自我评价报告及其相关支持信息。公司董事会应在审议年度财务报告等事项的同时对公司内部控制自我评价报告形成决议。

董事会应在年度报告披露的同时披露年度内部控制自我评价报告并披露会计师事务所对内部控制自我评价报告的审计意见。

六、内部控制文档的更新

公司在经营过程中将会面临不断变化的内部和外部风险，公司需要根据设定的目标，全面、系统、持续地收集相关信息，结合公司实际情况，及时进行内部控制评价，并检查现有的控制措施是否足以降低相关风险至可接受范围，同时完善相关的内控控制。因此，各业务部门应根据实际情况及时更新各种内部控制文档并报审计部门备案，审计部门每年应与各职能部门核对、更新内部控制文档。

七、其他事项

本手册由粤桂股份审计部门解释，自修订发布之日起实施。