*ST阳光:《内部控制评价管理办法(2025年修订)》

编号：YG/NS/ZD01-BF01/V2025
内部控制评价管理办法 页码：第 1 页 共 15 页
内部控制评价管理办法
（2025 年修订）
发布日期：2025 年 12 月

编号：YG/NS/ZD01-BF01/V2025
内部控制评价管理办法 页码：第 2 页 共 15 页
目录

第一章 总则...... 3
第二章 内部控制评价范围......3
第三章 内部控制评价内容......4
第四章 内部控制评价组织形式与职责......4
第五章 内部控制评价程序及办法......6
第六章 内部控制缺陷类型......6
第七章 财务报告内部控制缺陷的认定标准......7
第八章 非财务报告内部控制缺陷的认定标准......8
第九章 内部控制缺陷的汇报与整改...... 8
第十章 内部控制评价报告......9
第十一章 附则...... 11
第十二章 附件...... 11
编号：YG/NS/ZD01-BF01/V2025
内部控制评价管理办法 页码：第 3 页 共 15 页
第一章 总则
第一条 目的
为了促进公司全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，依据《公司法》、《证券法》、《企业内部控制基本规范》及其配套指引、以及中国证券监督管理委员会有关规定，特制定本办法。
第二条 适用范围
本办法适用于股份公司及各成员公司（以下合称“公司”)，其中“股份公司”是指阳光新业地产股份有限公司，“成员公司”指阳光新业地产股份有限公司全资、直接或间接控股的子公司、直接或间接的参股公司及受托管理的公司。合作协议和受托管理协议另有约定的除外。
第三条 定义
内部控制评价是指公司董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
第四条 原则
公司实施内部控制评价应当遵循下列原则：
（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司及其所属单位的各种业务和事项。
（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。
（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。
第二章 内部控制评价范围
第五条 内部控制评价范围应当从纳入评价范围的主要单位、业务和事项以及高风险领域三个方
面进行披露，纳入评价范围的的母子公司营业收入、净利润、总资产三项指标应同时达到合并财务报表相应指标的 50％以上。如果评价范围存在重大遗漏或法定豁免，则应当披露评价范围重大遗漏的具体情况及对评价结论产生的影响以及法定豁免的相关情况。

编号：YG/NS/ZD01-BF01/V2025
内部控制评价管理办法 页码：第 4 页 共 15 页
（一）重要业务单位一般以资产、收入、利润等作为判定标准，包括资产占合并资产总额比例较高、营业收入占合并营业收入比例较高的附属单位以及利润占合并利润比例较高的附属机构。
（二）重大事项一般是指重大投资决策项目，兼并重组、资产调整、产权转让项目，融资、担保项目，重大经营安排，采购大宗物资和购买服务，重大工程建设项目，年度预算内大额度资金调动和使用，以及其他大额度资金运作事项等。
（三）高风险业务一般是指经过风险评估后确定为较高或高风险的业务，以及监管要求的业务。
第三章 内部控制评价内容
第六条 内部控制评价应当围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素
进行，对公司层面、业务流程层面、IT 层面从内部控制的设计与运行情况进行评价。
（一）内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行；发展战略可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行；人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行；企业文化评价应从建设和评估两方面进行，从而促进诚信、道德价值观的提升，为内部控制的完善夯实人文基础；社会责任可以从安全运营、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。
（二）风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。
（三）控制活动评价应对公司各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。
（四）信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性进行认定和评价。
（五）内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。重点关注审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。
第四章 内部控制评价组织形式与职责
第七条 公司可以授权内部审计机构或专门机构（下称“内部控制评价机构”）负责内部控制评价
的具体组织实施工作。内部控制评价机构必须具备一定的设置条件：

编号：YG/NS/ZD01-BF01/V2025
内部控制评价管理办法 页码：第 5 页 共 15 页
（一）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；
（二）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；
（三）与公司其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约，在效率效果上满足公司对内部控制系统进行监督与评价所提出的有关要求；
（四）能够得到公司董事会和经理层的支持，有足够的权威性来保证内部控制评价工作的顺利开展。
第八条 公司可以委托会计师事务所等中介机构实施内部控制评价。此时，董事会（审计委员会）
应加强对内部控制评价工作的监督与指导。为保证审计的独立性，为公司提供内部控制审计的会计师事务所，不得同时为同一家公司提供内部控制评价服务。
第九条 无论采取何种组织形式，董事会、经理层和内部控制评价机构在内部控制评价中的职能
作用不会发生本质的变化。
（一）董事会对内部控制评价承担最终的责任。公司董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改意见，对内部控制部门在督促整改中遇到的困难，积极协调，排除障碍。审计委员会应审议内部控制评价报告，对董事会建立与实施内部控制进行监督。
（二）经理层负责组织实施内部控制评价工作，实际操作中，可以授权内部控制评价机构组织实施，并积极支持和配合内部控制评价的开展，创造良好的环境和条件。经理层应结合日常掌握的业务情况，为内部控制评价方案提出应重点关注的业务或事项，审定内部控制评价方案和听取内部控制评价报告，对于内部控制评价中发现的问题或报告的缺陷，要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。
（三）内部控制评价机构根据授权承担内部控制评价的具体组织实施任务，通过复核、汇总、分析内部监督资料，结合经理层要求，拟订合理评价工作方案并认真组织实施；对于评价过程中发现的重大问题，应及时与董事会、审计委员会或经理层沟通，并认定内部控制缺陷，拟订整改方案，编写内部控制评价报告，及时向董事会、审计委员会或经理层报告；沟通外部审计师，督促各部门、所属公司对内、外部内控评价进行整改；根据评价和整改情况拟订内部控制考核方案。
（四）各专业部门应负责组织本部门的内控自查、测试和评价工作，对发现的设计和运行缺陷提出整改方案及具体整改计划，积极整改，并报送内部控制机构复核，配合内控机构（部门）或外部审
编号：YG/NS/ZD01-BF01/V2025
内部控制评价管理办法 页码：第 6 页 共 15 页
计师开展公司层面的内控评价工作。
（五）公司所属单位，也应逐级落实内部控制评价责任，建立日常监控机制，开展内控自查、测试和定期检查评价，发现问题并认定内部控制有缺陷，需拟订整改方案和计划，报本级管理层审定后，督促整改，编制内部控制评价报告，对内部控制的执行和整改情况进行考核。
第五章 内部控制评价程序及办法
第十条 公司内部控制评价程序一般包括：制定评价工作方案、组织分工、实施现场测试、认定
控制缺陷、汇总评价结果、汇报以及编报评价报告等环节。
第十一条 公司内部控制评价机构应当拟订评价工作方案，明确评价范围、工作任务、人员组织、
进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。
第十二条 内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、
专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。
第六章 内部控制缺陷类型
第十三条 内部控制存在设计缺陷和运行缺陷，会影响内部控制的设计有效性和运行有效性。
（一）设计缺陷是指公司缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。
（二）运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。
第十四条 按照影响公司内部控制目标实现的严重程度，内部控制缺陷分为重大缺陷、重要缺陷
和一般缺陷。
（一）重大缺陷，是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。如果一个公司存在的内部控制缺陷达到了重大缺陷的程度，就不能说该公司的内部控制是整体有效的。
（二）重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离控制目标。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制的整体有效性，但也应当引起董