*ST高斯:高斯贝尔数码科技股份有限公司内部控制评价制度

高斯贝尔数码科技股份有限公司

内部控制评价制度

第一章总则

第一条为规范高斯贝尔数码科技股份有限公司（以下简称“公司”）内部

控制评价工作，全面评价内部控制的设计合理性与运行有效性，及时发现内部控制缺陷，促进内部控制持续改进，根据《企业内部控制基本规范》《企业内部控制评价指引》及《公司章程》等规定，结合公司实际，制定本制度。

第二条本制度适用于公司及合并报表范围内的全资、控股子公司的内部控制评价工作。

第三条本制度所称的内部控制评价，是指由公司董事会或经董事会授权的组织，对公司内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。

内部控制的有效性包括内控制设计有效和运行有效，内控设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内控运行有效性是指现有内部控制按照规定程序得到了正确执行。

第四条公司实施内部控制评价，应当实现下列目标：

（一）确保内部控制制度设计合理、执行有效；

（二）及时发现内部控制缺陷并推动整改；

（三）为编制和披露《内部控制自我评价报告》提供依据；

（四）促进内部控制体系持续优化，提升风险防范能力。

第五条公司实施内部控制评价，应当遵循下列原则：

（一）全面性原则：评价工作覆盖公司的各类业务和事项，贯穿内部控制的设计与运行过程。

（二）重要性原则：评价工作在全面评价的基础上，重点关注公司重要业务

单位、重大业务事项、重要业务流程、关键控制环节和高风险领域。

第1页/共10页（三）客观性原则：评价工作准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

（四）风险导向原则：评价工作以风险评估为基础，根据风险发生的可能性

以及其对公司单个或整体控制目标的影响程度来确定需要评价的重要业务单位、

重大业务事项、重要业务流程。

（五）独立性原则：内控评价机构的确定以及评价工作的组织实施应该保持相应的独立性。

（六）成本效益原则：控制所引起的成本增加应当小于其所带来的效益的增加，评价工作应当以适当的成本实现科学有效的评价。

第二章组织与职责分工

第六条公司董事会是内部控制评价工作的最高决策机构和承担最终责任者，负责内部控制的建立、健全和有效实施，其主要职责包括：

（一）审阅和批准公司内部控制评价报告；

（二）批准由管理层提交的涉及内部控制整改的重大决策、重大风险、重大事项；

（三）审议和批准按照公司章程规定由董事会批准的内部控制管理相关制度和规章。

第七条公司董事会授权审计委员会负责内部控制评价管理的组织领导、统

筹协调和工作监督等事项，其主要职责包括：

（一）审议公司内部控制评价管理制度；

（二）审议批准内部控制评价工作计划、方案；

（三）审议内部控制评价报告；

（四）法律法规、《公司章程》和董事会授权的其他内部控制事项。

第八条董事会授权审计部负责组织和实施内部控制评价工作，其主要职责

包括：

（一）持续完善公司内部控制评价相关制度；

（二）组织开展内部控制评价，完成内部控制评价相关工作；

第2页/共10页（三）编制公司年度内部控制评价报告；

（四）督导公司内部控制缺陷整改，跟踪整改情况并按要求报告。

第九条公司成立以审计部牵头，各职能部门及子公司业务骨干组成的内控

评价工作实施小组，其主要职责包括：

（一）拟定内控评价工作计划和方案；

（二）负责内控测试表的制定、更新和维护；

（三）根据各职能部门、子公司的自评情况，对可能产生重要风险的业务进行复核，形成检查底稿；

（四）负责内控评价结果的汇总，对内控缺陷的成因、表现形式和影响程度

进行综合分析，提出认定意见和整改意见，编写内部控制评价报告；

（五）负责对内控评价的一般缺陷、重要缺陷及其整改意见向管理层报告，重大缺陷及其整改方案向管理层及董事会报告；

（六）负责复核各业务部门的整改方案及具体的整改计划，督促缺陷的整改落实；

内控评价工作实施组成员可参与自身部门以外的评审工作，但在对自身部门评审时应当回避且不参与与本人有直接利益关系的评价事项。

第十条公司各部门是内部控制评价实施部门，其主要职责包括：

（一）负责组织本单位内控自查、测试和评价；

（二）负责配合审计部门及外部审计师开展内控评价工作；

（三）负责内控缺陷整改建议的落实；

（四）配合完成与内部控制评价有关的其他工作。

第三章内部控制评价的内容和标准

第十一条公司围绕内部环境、风险评估、控制活动、信息与沟通、内部监

督等要素，结合《企业内部控制基本规范》与公司的相关制度，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

（一）内部环境评价内容：以组织架构、发展战略、人力资源、企业文化、社会责任等和《企业内部控制应用指引》为依据，结合公司及控股子公司相关制度，对公司内部环境的设计及运行情况进行认定和评价。

第3页/共10页（二）风险评估评价内容：根据《企业内部控制基本规范》有关风险评估的要求，以《企业内部控制应用指引》中所列主要风险为依据，对公司风险识别、风险分析、风险应对等设计与运行情况进行认定和评价。

（三）控制活动评价内容：以《企业内部控制基本规范》和《企业内部控制应用指引》的控制措施为依据，对公司各项业务处理程序的授权批准、职责分工、实物控制、凭证与记录控制、独立检查程序等控制措施的设计与运行情况进行认定和评价。

（四）信息与沟通评价内容：以内部信息传递、财务报告、信息系统等和

《企业内部控制应用指引》为依据，对公司信息收集、处理和传递的及时性、财务报告的真实性、信息系统的安全性以及利用信息系统实施内控的有效性进行认定和评价。

（五）内部监督评价内容：以《企业内部控制基本规范》有关内部监督的要求，以及《企业内部控制应用指引》中有关日常管控的规定为依据，结合公司的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注审计委员会、审计部等是否在内部控制设计和运行中有效发挥监督作用。

第十二条公司对内部控制缺陷的认定，以日常监督和专项监督为基础，结

合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。

第十三条按照内部控制缺陷的成因或来源，公司将内部控制缺陷分为设计

缺陷和运行缺陷两类：

（一）设计缺陷：指公司缺少为实现控制目标所必需的内部控制，或现存的内部控制不合理及未能满足控制目标；

（二）运行缺陷：运行缺陷是指设计合理及有效的内部控制，但在运作上没

有被正确地执行，包括不恰当的人员执行，未按设计的方式运行等。

第十四条按照影响内部控制目标实现的严重程度，公司将内部控制缺陷分

为重大缺陷、重要缺陷和一般缺陷：

（一）重大缺陷：指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标；

第4页/共10页（二）重要缺陷：指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离控制目标；

（三）一般缺陷：指除重大缺陷和重要缺陷之外的其他缺陷。

第十五条按照内部控制缺陷对控制目标实现影响的具体表现形式，区分为

财务报告内部控制缺陷和非财务报告内部控制缺陷，分别制定内部控制缺陷的认定标准。

（一）财务报告内部控制缺陷认定标准

1.财务报告缺陷认定的定量判断标准如下：

财务报告内部控制缺陷评价的定量标准以营业收入、资产总额作为衡量指标：

（1）内部控制缺陷可能导致或导致的损失与利润相关的，以营业收入指标衡量，如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入的0.5%，则认定为一般缺陷；如果超过营业收入的0.5%但小于2%，则认定为重要缺陷；如果超过营业收入的2%，则认定为重大缺陷；

（2）内部控制缺陷可能导致或导致的损失与资产管理相关的，以资产总额指标衡量，如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的0.5%，则认定为一般缺陷；如果超过资产总额的0.5%但小于2%，则认定为重要缺陷；如果超过资产总额的2%，则认定为重大缺陷。

注：定量标准中所指的财务指标均为公司上一年度经审计后的合并报表数据。

2.财务报告缺陷认定的定性判断标准如下：

（1）重大缺陷：一项内部控制缺陷的单独作用或多项内部控制缺陷的共同作用，极可能导致不能及时防制、发现或纠正财务报告中的严重错报。例如：

*公司董事、高级管理人员的舞弊行为；

*公司更正已公布的财务报告，更正原因属舞弊或错误导致的重大错报；

*注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报；

*审计委员会和审计部对公司的对外财务报告和财务报告内部控制的监督无效；

*内部控制评价中发现的重大缺陷在经过合理的时间后，并未加以纠正。

第5页/共10页（2）重要缺陷：一项内部控制缺陷的单独作用，或多项内部控制缺陷的共同作用，可能导致不能及时防止、发现或纠正财务报告中的错报，虽未构成严重错报但仍应引起董事会和管理层重视的错报。例如：

*未依照企业会计准则选择和应用会计政策；

*未建立反舞弊程序和控制措施；

*对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制；

*对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的

财务报表达到真实、准确的目标；

*未对财务报告流程中涉及的信息系统进行有效控制。

（3）一般缺陷：是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。

（二）非财务报告内部控制缺陷认定标准

1.非财务报告缺陷认定的定量判断标准如下：

非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价的定量标准执行。

2.非财务报告缺陷认定的定性判断标准如下：

（1）重大缺陷定性标准：*违反国家法律法规或规范性文件；*违反决策程序，导致重大决策失误；*重要业务缺乏制度控制或制度系统性失效；*内部控制评价中发现的重大缺陷未得到及时整改；*核心管理人员或关键技术人员流失严重；*其他对公司负面影响重大的情形；

（2）重要缺陷定性标准：单独缺陷或连同其他缺陷组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离内部控制目标；

（3）一般缺陷定性标准：除上述重大缺陷、重要缺陷之外的其他控制缺陷。

第十六条内部控制缺陷的认定，应当按照以下程序进行：评价工作组初步

认定缺陷等级并征求被评价单位意见，经复核汇总后，一般缺陷由审计部确认，重大缺陷和重要缺陷提交审计委员会审核确认，最后由董事会最终审定。

第四章内部控制评价的程序和方法

第6页/共10页第十七条公司以每年的12月31日作为年度内部控制评价报告的基准日，评价报告在基准日后四个月内报出。内部控制专项评价根据企业经营管理需要依工作方案开展。

第十八条公司内部控制评价程序包括：制定评价工作方案、组成评价工作

组、实施现场测试、汇总评价结果、编报评价报告等环节。

（一）制定评价工作方案：审计部根据公司内部监督情况和管理要求，分析

公司经营管理过程中的高风险领域和重要业务事项，拟定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经审计委员会审批后实施。

（二）组成评价工作组：审计部根据工作方案组成内部评价工作组，评价工

作组成员由公司具备独立性、业务胜任能力和职业道德素养的业务骨干组成，具体承担内部控制检查评价任务。

（三）实施现场测试：内部控制评价工作组对被评价单位或部门进行现场测试，可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位或部门内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

（四）汇总评价结果：评价工作组汇总各被评价单位或部门的评价结果，初步判定缺陷等级。

（五）报告反馈与跟踪阶段：内部控制评价工作组编制专项内部控制评价报告，并上报审计委员会审议。对于认定的内部控制缺陷，审计部结合董事会和审计委员会要求，提出整改建议，要求责任部门及时整改，并跟踪其整改落实情况；

已造成损失或负面影响的，公司应当追究相关人员的责任。

第十九条内部控制评估和测试的方法主要包括：

（一）个别访谈法：是指根据审计部检查评价需要，对被检查部门、控股子

公司员工进行单独访谈，以获取有关信息。

（二）调查问卷法：是指设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。

第7页/共10页（三）比较分析法：是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。

（四）标杆法：是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。

（五）穿行测试法：是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。

（六）抽样法：是指公司针对具体的内部控制业务流程，按照业务发生频率

及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。

（七）实地查验法：是指对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。

（八）重新执行法：是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。

（九）专题讨论会法：是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。

第二十条审计部根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。

证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的

适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。

第五章内部控制缺陷整改和跟踪

第二十一条被评价单位是缺陷整改的责任主体，其负责人对整改工作负总责，各职能部门按职责分工指导、督促下属单位整改。

第二十二条对认定的缺陷，被评价单位应在十日内制定整改计划，明确整

改措施、责任部门与责任人、整改完成时限及验收标准，整改计划应报送评价工作组备案。

第二十三条评价工作组应建立缺陷整改台账跟踪整改进展，对重大缺陷和

第8页/共10页重要缺陷组织现场复核，对逾期未完成整改的向审计委员会报告。

（一）要求整改的部门、子公司应在收到整改通知之日起进行整改，在整改

过程中应与内控评价工作组保持积极沟通。同时，内控评价工作组应适时监督整改部门、子公司的整改情况，确保整改有效进行。

（二）整改的部门、子公司在整改得到一定时间的执行后，应向内控评价工

作组提交整改落实情况书面报告。内控评价工作组在收到整改部门、子公司书面报告后，安排复查，并就复查情况向公司管理层进行汇报。

（三）在内控评价报告对外披露之前，内控缺陷整改完成并通过复查的，内

控评价工作组可以根据内控缺陷的严重程度和性质，对内控评价报告进行适当修订或补充整改情况的内容。修订、补充工作完成后，内控评价工作组需再次报送公司管理层审核，由董事会最终审批。

第六章内部控制评价报告

第二十四条公司审计部根据相关法律法规的要求，结合年度内部控制评价，编制公司年度内部控制评价报告，提交审计委员会审核。

第二十五条内部控制评价报告至少应当包括下列内容：

（一）董事会对内部控制评价报告真实性的声明；

（二）内部控制评价工作的总体情况；

（三）内部控制评价的依据、范围、程序和方法；

（四）内部控制存在的缺陷及其认定情况；

（五）对上一年度内部控制缺陷的整改情况；

（六）对本年度内部控制缺陷拟采取的整改措施；

（七）内部控制有效性的结论。

第二十六条内部控制评价报告应当经审计委员会审核，公司董事会应在审

议年度报告的同时，对内部控制评价报告形成决议。

公司应当在年度报告披露的同时，在符合条件媒体上披露内部控制评价报告和内部控制审计报告，法律法规另有规定的除外。

第二十七条公司内部控制评价部门应当关注自内部控制评价报告基准日至

第9页/共10页内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。

第二十八条内部控制评价的工作底稿、证明材料、内部控制评价报告等有

关文件资料由审计部负责保存，保存时间不少于十年。

第七章内部控制监督与问责

第二十九条审计委员会对内部控制评价工作的质量进行监督，必要时可聘请外部专业机构对评价工作提供咨询或独立验证。

第三十条存在以下情形的，视情节轻重追究相关人员责任：

（一）在评价工作中提供虚假资料，或隐瞒、漏报重大缺陷的；

（二）对认定的缺陷拒不整改，或整改弄虚作假的；

（三）阻挠、干扰评价工作的；

（四）其他影响评价工作客观性、真实性的行为。

第三十一条内部控制评价旨在合理保证控制目标的实现，而非绝对保证。

评价人员按照本制度规定勤勉尽责履行评价职责的，不承担因被评价单位故意舞弊等导致的评价失实责任。

第八章附则

第三十二条本制度未尽事宜，按照法律法规、规范性文件及《公司章程》的规定执行。

第三十三条本制度由公司董事会负责解释。

第三十四条本制度自公司董事会审议通过之日起生效，修改时亦同。

高斯贝尔数码科技股份有限公司

2026年4月17日

第10页/共10页