马可波罗:内部控制评价管理制度

马可波罗控股股份有限公司

内部控制评价管理制度

第一章总则

第一条为全面评价马可波罗控股股份有限公司（以下简称“公司”）内部控

制设计与运行情况，规范内部控制评价程序和评价报告，及时识别和防范风险，促进内部控制体系不断完善，根据《企业内部控制基本规范》《企业内部控制评价指引》《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》《深圳证券交易所上市公司自律监管指引第1号—主板上市公司规范运作》《上市公司审计委员会工作指引》等有关规定，以及《马可波罗控股股份有限公司章程》（以下简称《公司章程》）结合公司实际情况，制定本制度。

第二条本制度适用于公司及其子公司，包括控股子公司。

第三条本制度所称的内部控制评价，是指由公司董事会和管理层实施的，对公司内部控制有效性进行全面评价，形成评价结论，出具评价报告的过程，主要涉及机构与职责、评价工作内容、评价方法、评价程序、评价报告、后续整改等内容。

第四条公司实施内部控制评价至少应遵循下列原则：

（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司及其所属单位的各种业务和事项。

（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计的恰当性和运行的有效性。

第二章内部控制评价组织机构和职责

第五条公司董事会是公司内部控制评价的最高决策机构，决定内部控制评

价工作的合理性和充分性，对内部控制评价承担最终责任，其主要职责包括：（一）批准按照《公司章程》规定由董事会批准的内部控制管理相关制度和规章。

（二）批准公司内部控制评价工作方案及内部控制评价报告。

（三）批准由审计委员会或管理层提交的涉及内部控制重大缺陷的整改方案。

第六条董事会设立审计委员会，公司审计委员会是公司内部控制评价的监督机构，负责审查和监督内部控制评价工作，其主要职责包括：

（一）批准内审部提交的年度工作计划、专项工作方案及工作报告。

（二）审议公司内部控制评价工作方案、内部控制评价报告，并对重要缺陷、重大缺陷的认定情况进行审核，出具专项审议意见，提交董事会审议批准。

（三）监督内部控制及内部控制评价制度执行情况，领导内审部推进内部控

制评价工作，定期听取内审部的工作汇报。

（四）发现公司存在重大风险或内部控制重大缺陷，而管理层未采取必要整

改措施的，应当及时向董事会报告，并督促相关责任人限期整改。

第七条公司内审部是公司内部控制评价的执行部门，负责内部控制评价的

具体组织实施工作，其主要职责包括：

（一）编制公司内部控制评价工作方案。

（二）组织开展内部控制评价工作。

（三）编制公司内部控制评价报告（草案）。

（四）督导公司内部控制缺陷整改，跟踪整改情况并按要求报告。

（五）负责与会计师事务所关于内部控制审计方面的沟通，及时掌握内部控

制审计的计划、进度、发现的问题及公司缺陷整改情况，确保内外审计工作的有效衔接。

（六）配合公司信息披露部门报送相关资料。

第八条公司各职能部门和下属各子公司是内部控制评价的参与主体，其负

责人是本部门（或单位）内部控制的第一责任人。各单位负责依据公司内部控制评价程序，组织开展本单位的内部控制自我评估，对内部控制设计的健全性、合理性及执行的有效性进行自查；开展日常监督和定期检查评价；落实本单位内部

控制缺陷的整改工作，跟踪整改进度并督促闭环；协助公司内审部完成公司整体内部控制评价工作。第三章内部控制评价的依据和内容

第九条公司根据《企业内部控制基本规范》及其应用指引，结合公司内部

控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

第十条公司组织开展内部控制环境评价，以组织架构、发展战略、人力资

源、企业文化、社会责任等应用指引为依据，结合本公司的内部控制制度，对内部控制环境的设计及实际运行情况进行认定和评价。包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

第十一条公司组织开展风险评估机制评价，根据《企业内部控制基本规范》

有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合公司的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

第十二条公司组织开展控制活动评价，以《企业内部控制基本规范》和各

项应用指引中的控制措施为依据，结合公司的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

第十三条公司组织开展信息与沟通评价，以内部信息传递、财务报告、信

息系统等相关应用指引为依据，结合公司的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

第十四条公司组织开展内部监督评价，根据《企业内部控制基本规范》中

有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合公司的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注审计委员会、内审部等是否在内部控制设计和运行中有效发挥监督作用。

第十五条内部控制评价工作应当形成工作底稿，详细记录公司执行评价工

作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

第四章内部控制评价的程序和方法

第十六条内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

第十七条公司内审部为公司内部控制评价部门，每年第四季度应根据公司

内部监督情况和管理要求，分析公司经营管理过程中的高风险领域和重要业务事项，拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排。

第十八条根据评价工作方案，内审部或根据需要组成内部控制评价工作组，具体实施内部控制评价工作。内部控制评价工作组应当吸收公司内部相关机构熟悉情况的参与日常监控负责人或业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。

公司根据工作需要，经审计委员会批准可以委托中介机构实施内部控制评价检查工作。为公司提供内部控制审计服务的会计师事务所，不得同时为公司提供内部控制评价服务。

第十九条内部控制评价工作组应当对被评价单位进行现场测试，综合运用

个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

第五章内部控制缺陷的分类

第二十条公司对内部控制缺陷的认定，应当以日常监督和专项监督为基础，按照规定的权限和程序进行审核后予以最终认定。

第二十一条按照内部控制缺陷成因或来源，内部控制缺陷分为设计缺陷和运行缺陷。

设计缺陷是公司缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。按已设计的控制措施执行，存在下列情况之一的，认定为设计缺陷：

（一）不能实现既定的控制目标；

（二）关键控制点缺乏有效的控制措施；

（三）控制措施成本过高，远远大于预期效益。

运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。

第二十二条按照影响公司内部控制目标实现的严重程度，内部控制缺陷分

为重大缺陷、重要缺陷和一般缺陷。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

第二十三条按照具体影响内部控制目标的具体表现形式，内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制缺陷。

第六章内部控制缺陷的认定标准

第二十四条公司按照对财务报告目标和其他内部控制目标实现的影响的具

体表现形式，区分财务报告内部控制缺陷和非财务报告内部控制缺陷，分别制定内部控制缺陷的认定标准。

第二十五条财务报告内部控制缺陷的认定标准。

根据内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，公司采用定量和定性相结合的方法，确定内部控制缺陷认定标准如下：

（一）财务报告内部控制缺陷评价的定量标准潜在错报项目重大缺陷重要缺陷一般缺陷

涉及利润的错错报金额≥利润总利润总额的5%≤错报金错报金额＜利润总

报额的10%额＜利润总额的10%额的5%

涉及资产、负债错报金额≥资产总资产总额的0.5%≤错报错报金额＜资产总

的错报额的1%金额＜资产总额的1%额的0.5%

*当某项内部控制缺陷导致的潜在错报影响多项指标时按照最严格的缺陷等级认定（即按孰低原则确定缺陷类别）。

（二）财务报告内部控制缺陷评价的定性标准

缺陷分类定性标准*董事和高级管理人员舞弊；

*严重违反法律法规的要求；

*对已经公告的财务报告出现的重大差错进行错报更正；

重大缺陷

*审计委员会以及内部审计部门对财务报告内部控制监督无效；

*注册会计师发现财务报告存在重大错报，而内部控制在运行过程中未能发现该错报。

*未依照公认会计准则选择和应用会计政策；

*未建立反舞弊程序和控制措施；

*对于非常规或特殊交易的账务处理没有建立相应的控制机制或重要缺陷没有实施且没有相应的补偿性控制；

*对于期末财务报告过程的控制存在一项或多项缺陷且不能合理

保证编制的财务报表达到真实、准确的目标。

一般缺陷指除重大缺陷和重要缺陷之外的其他控制缺陷。

第二十六条非财务报告内部控制缺陷的认定标准

（一）非财务报告内部控制缺陷评价的定量标准

非财务报告内部控制缺陷评价的定量标准，以缺陷可能造成的直接财产损失金额为衡量基础，参照本制度财务报告内部控制缺陷评价的定量标准执行。对于无法合理量化财产损失的缺陷，应主要依据定性标准认定。

（二）非财务报告内部控制缺陷评价的定性标准

非财务报告重大缺陷的迹象包括：*公司缺乏民主决策程序；*媒体频现负面新闻，政府或监管机构进行调查，引起重大诉讼，对企业声誉造成无法弥补的损害；*公司重要业务缺乏制度控制或制度体系失效；*公司经营活动严重违反

国家法律法规；*中高级管理人员、核心技术人员、业务人员严重流失。

非财务报告重要缺陷的迹象包括：*公司组织架构、民主决策程序不完善；

*媒体出现负面新闻，引起公众关注，引发诉讼，对企业声誉造成重大损害；*公司重要业务制度或系统存在缺陷；*公司内部控制重要或一般缺陷未得到整改；

*公司违反企业内部规章，形成损失；

非财务报告一般缺陷：除上述重大缺陷、重要缺陷之外的其他控制缺陷。第七章内部控制缺陷的报告与整改

第二十七条内部控制缺陷报告应当采取书面形式，可以单独报告，也可以作为内部控制评价报告的一个重要组成部分。

第二十八条公司内审部应当编制内部控制缺陷认定汇总表，结合日常监督

和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并向董事会、审计委员会报告。

第二十九条公司内审部应当就发现的内部控制缺陷提出整改建议，并报董

事会、审计委员会批准。获批后，应制定切实可行的整改方案，包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的，整改目标应明确近期和远期目标以及相应的整改工作内容。

第三十条公司内审部跟踪监督被评价单位的整改情况，并对其整改效果出具验证意见。验证方式可根据具体情况采取书面验证或现场验证的方式进行。被评价单位的缺陷整改情况，内审部应及时向董事会、审计委员会汇报。

第八章内部控制评价报告

第三十一条公司内审部应当根据年度内部控制评价结果，结合缺陷整改情

况等信息，及时编制内部控制评价报告。

第三十二条内部控制评价报告应当包括下列内容：

（一）董事会对内部控制报告真实性的声明；

（二）内部控制评价工作的总体情况；

（三）内部控制评价的依据、范围、程序和方法；

（四）内部控制缺陷及其认定情况；

（五）内部控制缺陷的整改情况；

（六）内部控制重大缺陷拟采取的整改措施；

（七）内部控制有效性的结论。

第三十三条内部控制评价报告经审计委员会全体成员过半数同意后，方可

提交董事会审议，经董事会批准后对外披露。

第三十四条公司以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。

第三十五条公司内审部负责归档、保管内部控制评价的工作资料，包括内

部控制检查监督工作报告、工作底稿及相关资料，保存时间不少于10年。

第九章附则

第三十六条本制度未尽事宜，按有关法律法规、部门规章、规范性文件的

相关规定执行，并及时对本制度进行修订。

第三十七条本制度由董事会负责解释，自董事会审议通过之日起实施。

马可波罗控股股份有限公司董事会

2026年4月