内部控制审计报告

XYZH/2024KMAA5B0030

云南旅游股份有限公司

云南旅游股份有限公司全体股东：

按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了云南旅游股份有限公司（以下简称云南旅游公司）2023年12月31日财务报告内部控制的有效性。

一、企业对内部控制的责任

按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是云南旅游公司董事会的责任。

二、注册会计师的责任

我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。

三、内部控制的固有局限性

内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。

四、财务报告内部控制审计意见

我们认为，云南旅游公司于2023年12月31日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。

1内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司（本页无正文）

信永中和会计师事务所(特殊普通合伙)中国注册会计师：李云虹

中国注册会计师：游旭

中国北京二○二四年三月二十八日

2内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司云南旅游股份有限公司

2023年度内部控制评价报告

云南旅游股份有限公司董事会并全体股东：

根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称:企业内部控制规范体系），结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2023年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。

一、重要声明

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。

公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚

假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告

及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

二、评价结论

根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。

3内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司

三、内部控制评价工作情况

（一）内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的单位涵盖公司本部及合并报表范围内子公司，纳入评价范围单位资产总额占公司合并财务报表资产总额的100%，营业收入合计占公司合并财务报表营业收入总额的100%。纳入评价范围的主要业务和事项包括:文旅综合体运营板块、旅游综合服务板块、旅游文化科技板块等现有业务板块；重

点关注的高风险领域主要包括纳入评价范围的主要业务和事项包括组织架构、发

展战略、人力资源、社会责任、企业文化、风险评估、资金活动、采购业务、资

产管理、销售业务、工程项目、担保业务、财务报告、全面预算、法务和合同管

理、信息披露、内部审计与监督、信息系统等；重点关注的重点领域主要包括资

金资产活动、收入、成本费用、投资活动、关联交易、重要风险业务和重大风险事件以及财务报告编制等。

上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理

的主要方面，不存在重大遗漏。具体内容如下：

1.组织架构

公司按照《公司法》和有关法律法规建立了股东大会、董事会、监事会、经

理层的法人治理结构。股东大会是公司的权力机构，通过董事会对公司进行管理和监督。董事会是公司的经营决策机构，对股东大会负责，董事会由九名董事组成，其中独立董事三名，董事会下设战略委员会、审计委员会、薪酬与考核委员会、提名委员会四个专门委员会。监事会是公司的监督机构。经理层是公司的执行机构，负责公司的日常经营管理，由董事会聘任和解聘。

公司制定了《“三重一大”决策制度》《权责清单》《独立董事制度》《总经理工作细则》和各治理主体议事规则等制度，明确股东大会、董事会、监事会和经理层的机构设置和职责权限，公司不断强化党委“把方向、管大局、保落实”的领导作用，促使各级党组织工作融入中心、服务大局。同时清晰界定党组织和其他各治理主体权责，做到了各司其职、各负其责、相互制衡、协调运转。

4内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司

公司将精益管理理念深植于公司管理之中、践行于公司治理各领域全过程。

按照“精益化”管理和“大部制”的思路，积极推进组织架构优化，完善各部门职能，提升公司运营效率和管理水平，2023年，公司结合实际，对组织架构进行了进一步调整完善。

2.发展战略

公司董事会下设战略委员会并制定了《战略委员会实施细则》，战略委员会对董事会负责，负责对公司长期发展战略和重大投资决策进行研究并提出建议，战略委员会的提案提交董事会审议决定。

2023年公司调整修订了云南旅游“十四五”规划。公司将以“全域旅游综合服务商”为定位，把握国家“扩内需、促消费”的战略时机，坚持以文塑旅、以旅促消，推动文化、科技、虚拟现实、服务消费协同发展，贯彻“科技升级文旅，文旅服务消费”的新发展理念，创建云南旅游特色的“文旅+产业”盈利模式。

云南旅游“十四五”规划的修订为公司未来的发展提供了明确的方向和目标。

3.人力资源

公司董事会下设薪酬与考核委员会并制定了《薪酬与考核委员会实施细则》，薪酬与考核委员会负责制定公司董事及高级管理人员的考核标准和薪酬政策。公司制定了人力资源招聘、培训、薪酬、绩效、规划等一整套管理制度，形成科学的人力资源管理机制，通过内部竞聘和外部招聘，不断优化人力资源结构，结合组织架构调整，合理配置人力资源，确保各岗位职工高效履行职责。

4.社会责任

公司的社会责任管理实行“专业分工，逐级负责”的管控方式，设立安全生产委员会负责指导公司安全生产管理；设立服务质量与环境保护领导小组负责服务质量及环境保护的总体控制和落实工作；工会负责维护职工合法权益；行政人

力中心负责员工权益保护管理相关工作。公司制定了安全生产、服务质量、环境保护、员工权益保护、对外捐赠等相关管理制度，规范履行社会职责和义务。

公司树牢安全发展理念，层层压实责任，深入排查各领域各环节安全生产隐患，全面开展安全生产专项整治行动，坚持系统治理、精准施策，扎实推进交通

5内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司

安全、游乐设备设施、森林防火等重点领域安全整治。

5.企业文化

公司制定了《品牌管理办法》，加强品牌管理与塑造，促进品牌的可持续发展。

公司党委领导企业文化建设工作。公司以战略眼光发展企业文化，不仅与员工签订劳动契约，更要签订心灵契约。多措并举，大力培育积极健康的企业文化。

通过充分利用公众号、内网网站、企业文化墙等方式，积极向员工宣传企业文化，法治合规理念。组织员工文体活动和廉洁警示教育活动，增强公司的凝聚力，向心力，促进公司长远健康发展。

6.风险评估

公司制定《全面风险管理制度》，明确风险管理原则和目标，建立了以董事会为最高决策机构、总经理全面负责、审计风控部为风险管理主管部门、各职能中心（部门）及所属企业分工参与的全面风险管理组织体系。公司每年组织风险识别及评估工作，在风险初始信息收集的基础上，采用财务报表分析法、列表检查法、案例分析法等方法进行风险识别，形成风险清单和风险明细表，采用定性与定量相结合的方法评定风险等级，同时结合公司内控建设、内部审计、合规管理、纪检巡查等工作，及时发现公司经营管理中的风险。公司将环境风险、社会风险、治理风险纳入风险识别评估的范围。年度结合内部控制评价开展风险评价，发现控制缺陷并制定措施整改，对风险评估工作进行总结与改进。

7.资金活动

公司编制年度资金计划，统筹资金调配，对涉及资金的重要财务事项、投融资和大额资金支付，按规定权限进行决策审批，日常资金支付按程序和权限审批。

财务共享系统上线后，公司的资金支付逐步转移至共享中心集中处理，规范了资金管理工作，降低了资金安全风险。公司制定了一系列资金活动管理制度，包括资金计划、资金审批、货币资金管理、财务票据管理、应收款项管理、筹资投资、

授权审批等多个方面，确保资金安全运行。

8.采购业务

6内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司

公司制定了《采购管理规定(试行)》，明确招标和采购适用范围，建立供应商管理体系，规范采购活动实施，健全招标与采购管理制度体系，完善监督机制，防范招标与采购活动重大风险的发生。

9.资产管理

公司制定了《资产管理办法》，对资产从购置、验收、使用、维护和处置等全过程进行有效和规范管理；制定《知识产权管理办法》规范商标、著作权、专

利权等的管理；制定《昆明世博园植物资产管理暂行办法》规范植物资产的管理。

公司

组织年度资产盘点，形成盘点报告，对拟报废资产和闲置资产进行处理，防范资产管理风险，提高资产使用效益，确保资产账实相符。

10.销售业务

公司及所属企业制定年度经营计划，据以编制所属企业年度经营业绩责任书进行考核，并将年度指标按月分解落实。公司制定了《年度经营计划管理办法》，监控经营事项及经营状况。各所属企业按实际业务情况制定销售相关管理制度，规范

销售政策、客户管理和销售过程。公司制定了《应收款项管理制度》，加强对应收款项的管理，加快账款回笼和资金周转，加大清欠力度，减少坏账损失。

11.工程项目

公司制定了《工程建设项目管理办法》和《建设工程质量管理办法》，规范工程项目前期准备阶段、实施阶段、工程竣工验收阶段、资料移交、归档等工作

流程和具体工作，严格控制工程造价，按照规定的权限和程序对工程进度款支付、工程变更、竣工结算进行审批，选择有资质的施工单位，加强对工程的全过程监督，保证工程建设质量。

12.担保业务

公司制定了《对外担保管理制度》，规范担保业务的风险控制、担保办理、担保审批、信息披露和保后管理，防范对外担保风险，保障公司资产安全。报告期内公司严格履行了相应的决策程序，不存在违规对外担保及逾期担保的事项。

7内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司

13.财务报告

公司财务报告以真实的交易事项和完整、准确的账簿记录等资料为依据，按照国家《企业会计准则》的规定编制。公司制定《会计基础工作管理办法》确保财务核算真实合规，制定《财务报告管理办法》规范财务报告的编制、审核、披露、报送和重大事项处理确保财务报告公允反映公司的财务状况、经营成果和现金流量。公司按照监管要求定期披露财务报告，年度财务报告经会计师事务所审计出具审计报告。

14.全面预算

公司实行全面预算管理，在科学预测和决策的战略目标指导下，对全部经营活动和财务结果进行全面的预测和筹划。公司制定了《全面预算管理办法》，明确全面预算的目标和原则、组织体系和编制内容、编制程序和方法、预算执行分

析和考核，在编制年度预算上对执行过程进行监控，定期开展预算执行分析，指导经营活动的改善和调整，促进更有效的管理企业和最大程度的实现预算目标。

15.法务和合同管理

公司制定《法律事务管理制度》，建立内部法律风险防范体系和管理机制，积极应对法律纠纷和诉讼案件，依法依规维护公司和股东的利益，避免国有资产流失。

公司制定了《合同事务管理办法》，对合同从调查谈判、订立审批、合同用印、履行变更终止、归档保存、纠纷处理等方面进行内部控制管理，合同管理过程遵守国家法律法规及公司内部规定，维护公司权益及声誉，保障合同的全面实际履行，防范合同纠纷的发生。

2023年度公司多措并举加强法务管理及合同审核。一是优化审查流程、提

高审查效率；二是突出审查重点，提高审查质量；三是普及示范文本，强化合同规范；四是加强培训，提高审查水平；五是积极处理各类涉诉案件，综合运用诉讼、仲裁等手段压减纠纷存量增量，维护公司合法权益，严守资产不流失底线，树立了类案处置样板经验。

16.信息披露

8内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司

公司制定了《信息披露管理制度》，明确信息披露的基本义务和原则、内容和标准。公司以董事长为信息披露工作的第一责任人，董事会秘书为直接责任人，负责公司信息披露的管理工作。公司制定《内幕信息知情人管理制度》加强对内幕信息的管理，对内幕信息知情人实行登记备案管理，确保内幕信息披露前保密。

公司严格按照监管要求开展信息披露工作，确保信息披露内容真实、准确、完整，没有虚假记载、严重误导性陈述和重大遗漏。

17.内部审计与监督

公司董事会下设审计委员会，并制定了《审计委员会实施细则》，审计委员会负责指导内部审计工作，审阅上市公司财务报告并发表意见，对公司内部控制制度的有效性进行评估。公司制定了《内部审计制度》，明确内部审计机构、职权和具体工作。公司设审计部在审计委员会的领导下下独立开展内部审计和监督工作，审计部对公司及所属企业内部控制和风险管理的有效性、财务信息的真实性和完整性、经营活动的效率和效果等开展审计评价和监督，每季度向审计委员会报告工作情况。2023年，公司坚持审计服务支撑中心工作，以审促改、以审督建，规范运营管理模式，优化运营管理秩序。同时，伴随工作开展，分析问题根源，做好审计整改“下半篇文章”。

公司制定了《监事会议事规则》，为充分发挥监事会的监督职权提供必要的工作条件，确保监事会正常履行对公司经营管理活动、董事会、经理层的全面监督职权，保障公司股东和职工的权益。

公司建立了涵盖各治理主体及审计、纪检巡察、法律、财务等部门的监督工作体系，把监督融入岗位、融入业务、融入管理，加大问责追责力度，初步了构建全方位管理、全过程控制、全主体参与的监督工作格局，营造风清气正的良好氛围。

18.信息系统

公司制定了《信息系统管理办法》，规范信息系统开发建设、运行维护、数据安全、网络安全等的管理。公司运用 OA 协同办公、法务风控、财务共享、督查督办、违规追责、云苍穹财务管理等系统，通过组织管理和系统安全措施，确

9内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司

保系统安全、受控、有效运行，加强内部信息传递沟通，提高公司运营和管理效率。

（二）内部控制评价工作原则及依据

本年度公司实施内部控制评价遵循下列原则和依据：

1.全面性原则。评价工作包括内部控制的设计与运行，涵盖企业及其所属单

位的各种业务和事项。

2.重要性原则。评价工作在全面评价的基础上，关注重要业务单位、重大业

务事项和高风险领域。

3.客观性原则。评价工作准确地揭示经营管理的风险状况，如实反映内部控

制设计与运行的有效性。

4.评价依据。公司依据《企业内部控制基本规范》及其配套指引、《深圳证券交易所上市公司内部控制指引》等相关规定，结合本公司实际经营管理状况，组织开展内部控制评价工作并对公司的内部控制体系进行持续的改进和优化，以适应不断变化的外部环境及内部管理要求。

（三）评价程序和方法

公司本年度内部控制评价工作按照内部控制评价办法规定的程序开展，相关工作程序包括制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺

陷、汇总评价结果、编报评价报告等环节。

公司授权内部控制评价工作小组（以下简称：工作小组）负责内部控制评价

的具体组织实施工作，包括拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排等相关内容，报经董事会或其授权机构审批后实施。

工作小组根据经批准的评价方案，具体实施内部控制评价工作。评价工作组由审计委员会委员及纳入内控自评范围各子企业负责人或内控分管领导及公司各职能部门负责人。参加评价工作组成员对本部门的内部控制评价工作实行回避制度。

内部控制评价工作组采用对被评价单位进行现场测试，综合运用个别访谈、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集了被评价单

10内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司

位内部控制设计和运行是否有效的证据，并按照评价的具体内容，如实填写了评价工作底稿，研究分析内部控制缺陷。

（四）内部控制缺陷及其认定标准

内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的认定，以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。

公司内部控制评价工作组根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

公司根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，采用定量和定性相结合的方法研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下：

1.财务报告缺陷认定标准

缺陷认定标准种类定量判断定性判断

1）发现公司董事、监事和高级管理人员存在的任何程度

的舞弊；

*资产总额：≥3%2）公司对已经公告的财务报告出现的重大差错进行错报

重大*经营收入总额：≥3%更正；

缺陷*所有者权益≥0.2%3）控制环境无效；

*利润总额：≥3%4）审计委员会和内部审计机构对内部控制的监督无效；

5）影响收益趋势的缺陷；

6）影响关联交易总额超过股东批准的关联交易额度的缺

11内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司缺陷认定标准种类定量判断定性判断陷；

7）当期财务报告存在重大错报，而内部控制在运行过程

中未能发现该错报；

8）其他可能影响报表使用者正确判断的缺陷。

1）未依照公认会计准则选择和运用会计政策；

*资产总额：≥1%且＜3%2）未建立反舞弊程序和控制措施；

重要*经营收入总额：≥1%且＜3%3）对于非常规或特殊交易的账务处理没有建立相应的控

缺陷*所有者权益≥0.1%且<0.2%制机制或没有实施且没有相应的补偿性控制；

*利润总额：≥1%且<3%4）对于期末财务报告过程的控制存在一项或多项缺陷且

不能合理保证编制的财务报表达到真实、准确的目标。

*资产总额：＜1%

1）可能有财务信息错报，但只对信息准确性有轻微影响，

一般*经营收入总额：＜1%不会影响使用者的判断；

缺陷*所有者权益＜0.1%

2）外部审计中非重要的发现。

*利润总额：＜1%

2.非财务报告缺陷认定标准

缺陷认定标准种类定量判断定性判断

1）公司决策程序导致重大失误；

2）公司违反国家法律法规并受到200万元以上的罚款；

*非财务报告控制缺陷造成公司直

3）媒体频现负面新闻，涉及面广且负面影响一直未能消

重大接财产损失金额在300万元以上的除；

缺陷*已经对外正式披露并对本公司定

4）公司重要业务缺乏制度控制或制度体系失效；

期报告披露造成负面影响

5）公司内部重大缺陷或重要缺陷未得到整改；

6）公司遭受证监会处罚或证券交易所警告。

*非财务报告控制缺陷造成公司直1）公司决策程序导致出现一般错误；

接财产损失金额在100万元（含）2）公司违反企业内部规章，形成损失；

重要以上、300万以下的3）公司关键岗位业务人员流失严重；

缺陷*受到国家政府部门处罚但未对本4）公司重要业务制度或系统存在缺陷；

公司定期报告披露造成负面影响5）公司内部重要或一般缺陷未得到整改；

一般*非财务报告控制缺陷造成公司直

指除重大缺陷、重要缺陷之外的其他缺陷。

缺陷接财产损失金额在10万元（含）

12内部控制审计报告 XYZH/2024KMAA5B0030

（续）云南旅游股份有限公司缺陷认定标准种类定量判断定性判断

以上、100万元以下的

*受到省级（含省级）以下政府部门处罚但未对本公司定期报告披露造成负面影响

（五）缺陷认定及整改情况

1.财务报告缺陷认定及整改情况

根据上述财务报告内部控制缺陷的认定标准，报告期内公司不存在财务报告内部控制重大缺陷、重要缺陷。

2.非财务报告缺陷认定及整改情况

根据上述非财务报告内部控制缺陷的认定标准，报告期内未发现公司非财务报告内部控制重大缺陷、重要缺陷。

四、其他相关重大事项说明

公司董事会将根据公司经营规模、业务范围、竞争状况和风险水平等因素状况，以及公司的不断发展和外部市场环境的变化，适时对公司内部控制进行调整。

未来期间，公司将继续完善内部控制制度，规范内部控制制度执行，强化内部控制监督检查，确保公司行稳致远、高质量发展。

云南旅游股份有限公司董事会

2024年3月28日

13