企业内部控制自我评价报告

一、董事会对内部控制报告真实性的声明

本公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对其内容的真实性、准确性和完整性承担个别及连带责任。

二、内部控制评价工作的总体情况

2010 年，中国远洋控股股份有限公司（以下简称公司或本公司）在按照财政部发布的《内部会计控制规范—基本规范（试行）》及相关具体规范和上海证券交易所发布的《上市公司内部控制指引》，建立的内部控制体系的基础上，重点按照财政部等五部委联合发布的《企业内部控制基本规范》，制定《内部控制建设总体方案》，并完成了第一阶段内控诊断评价工作，同时按照《企业内部控制评价指引》要求，提前组织改善提升中国远洋内部控制评价机制，并有计划地逐步按照新的要求组织内部控制评价工作，为 2011 年按照《企业内部控制基本规范》及配套指引要求实施内部控制建设打下基础。

按照《企业内部控制评价指引》要求，本公司在已有内部控制风险管理的基础上，进一步深化内部控制体系建设，完善内控评价机制，制定了《内部控制评价报告 2010 模版》，并在公司总部和下属公司开展了内控评价、缺陷整改等工作；下一步还将依据内控评价和整改结果，结合公司治理理论，以《企业内部制评价指引》为基础，以本公司战略目标为导向，通过协调总部与下属公司及各外部相关干系人的权利、利益与责任，同步实现公司总部与下属公司、公司整体与外部相关干系人之间内控要素的对接和整合，逐步建立全面高效的内部控制框架，提升公司全面风险管理能力。为保证此次内部控制评价工作的顺利开展，公司于 2010 年 12 月9 日在总部和参与评价的下属公司召开了内部控制建设启动会，在总部成立了内控领导小组，指导内控评价的开展，并对最终评价结果进行审核，在领导小组下设立了内控工作小组，全面负责内部控制评价的实施过程，同时参与评价的各下属公司也成立了相应的工作小组，总部各部门都指定了内控评价工作联络员，配合内控评价主管部门开展工作。在内控评价工作开展过程中，本公司分别在总部及下属公司开展了内部控制研讨和培训，下发了内控评价调问卷，全面梳理了内部控制制度和程序，针对重要职能部门和重点业务流程开展了访谈和穿行测试，形成了内部控制评价诊断工作底稿、内部控制缺陷汇总表、内

部控制改进计划等基础资料。各下属公司按照规定的程序和要求，分别编制了内部控制自我评价报告，公司总部在分析汇总各下属公司内部控制评价工作的基础上，按照《内部控制评价指引》的新要求，集成编制了本公司全面的内部控制自我评价报告，系统反映了本公司内部控制的整体情况，并摘要形成本公司内部控制自我评价报告对外披露稿，以供市场监督和利益相关者作为决策参考。

（一）内部环境

本公司以《企业内部控制基本规范》有关内部环境的要求，以及应用指引中关于组织架构、发展战略、人力资源、企业文化、社会责任等内容为依据，对公司内部环境要素进行了认定和评价。

（二）风险评估

本公司以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，对公司在经营管理过程中的风险识别、风险分析和应对策略等活动进行了认定和评价。

公司在发展战略目标和子目标制定过程中，进行风险辨识与评估，积极面对和应对符合公司战略发展方向和航运价值链关联业务所带来的威胁性风险和机会性风险，尽量规避从事投机性业务所带来的一切风险，再结合公司风险偏好和风险承受度，合理保证将影响战略目标的各项风险控制在可承受范围之内，为公司总体战略目标的实现提供有效保障。

公司建立了统一规范的风险评估程序，定义了风险评估模型和风险评价标准，从风险发生概率和影响程度两个维度，对风险进行定性评估，由此得到风险等级列表，之后根据董事会确定的风险偏好，建立了重大风险判断标准，根据内部控制的重要性原则，对风险进行排序，绘制风险地图，找出公司层面的重大风险和流程层面的重大缺陷，作为下阶段的管理重点。

本公司在 2010 年的风险评估工作中，针对未来的不确定性对公司目标的影响，分析了公司内外部环境所产生的变化，利用全面风险管理信息平台，开展了全员参与的风险辨识活动，针对 6 个一层风险、62 个二层风险，识别了风险在公司可能发生和表现的具体形式，形成并更新了 923 条风险事件，系统分析了各项风险的动因、影响、防范措施、改进建议和考核指标等内容，并运用风险评估模型，得出了公司的风险排序，明确了在经营管理过程中应重点关注和提高风

险管理水平的前 10 条重大风险。

针对这 10 条重大风险，公司明确和落实了风险管控责任，依据公司总体的风险偏好和风险承受度，选取风险接受、风险转移、风险降低、风险规避、风险利用等应对策略，制订具体的应对措施。

（三）控制活动

本公司以《企业内部控制基本规范》有关控制活动的要求，以及应用指引中关于资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、全面预算、合同管理等内容为依据，对公司控制活动的有效性进行了认定和评价。

1、不相容职务分离控制

公司在设定组织机构和岗位时，全面系统地分析和梳理了公司的业务流程，共清理流程356个，对容易产生舞弊风险的岗位实施相应的分离措施，形成了各司其职、相互制约的工作机制。

2、授权审批控制

本公司根据公司章程，对股东大会、董事会、监事会及管理层的职责进行了明确的划分，制定了有效的议事规则，各司其职、相互独立、相互监督、相互促进。对金额和性质不同的各项一般交易、关联交易和风险投资项目的授权程序，本公司都进行了详细的规定。本公司所属全资及控股子公司也都按相关规定明确了授权审批控制的权限和流程，保障公司的运营和安全。

3、会计系统控制

本公司严格执行国家统一的会计准则制度，严格按相关规定进行会计基础管理工作，完善财务报告编制、合并、内部审核、披露、报送、审计和分析利用制度，执行具体而严格的工作流程，并建立起了一套较为健全的内部管理与控制制度，保证财务报告的真实、完整和决策有用。

4、财产保护控制

本公司根据国有企业关于固定资产管理的有关规定，在公司总部制定了固定资产管理的相关制度，对固定资产的购置、日常管理、使用、处置等工作进行规范，明确了工作流程和操作细则。建立了固定资产卡片制度，纳入公司 SAP 系统，固定资产管理部门会同财务部定期进行资产盘点，保证账实核对。另外，公

司还定期对报废资产按照资产处置程序进行处理。各下属公司也都制定了完备的财产管理制度和程序，积极加强固定资产、应收账款、存货等管理，确保财产安全。

5、预算控制

公司设置了预算管理组织机构，统一协调本公司及所属单位的财务预算编报和日常管理。同时，明确了公司运输部、战略发展部、人力资源部、安全监督部等各职能部门职责。本公司还设计并执行了适合公司实际的“自上而下、自下而上、上下结合”的年度财务预算和年中调整预算编报工作流程，并通过实地调研、预算约谈、月度跟踪、财务预算考核等手段，加强对各公司预算工作的监督，并对财务预算执行情况进行动态监控。

6、运营分析控制

本公司通过加强对航运细分市场和竞争对手信息的收集、分析和研究，根据不断变化的趋势修正自身的策略和行动方案，积极规避风险，减少风险带来的损失，增加收益。同时根据自然灾害风险和突发事件的发生过程，积极进行事件态势跟踪，做好自然灾害和应急风险事件的处置工作。

7、绩效考评控制

本公司按照《中国远洋控股股份有限公司员工考核暂行办法》定期开展总部员工考核工作，由人力资源部统一部署，制定考核方案，并进行协调指导；各部门按照人力资源部制定的员工考核工作计划，在本部门组织实施员工考核工作，为人员聘任、员工培训、工资晋升等工作提供依据。

对各直属公司的经营业绩考核，本公司与各直属公司签订责任书，下达年度任务目标，并以此为基础，实行企业领导人员年薪制。对各直属公司负责人的考核，实行“目标分解、压力传导，因企制宜、分类考核，重在结果、兼顾过程，强化激励、绩薪挂钩”的原则，采取由公司 CEO 与各直属公司负责人签订经营业绩责任书的方式进行。

（四）信息与沟通

本公司以《企业内部控制基本规范》有关信息沟通的要求，以及应用指引中关于内部信息传递、财务报告、信息系统等内容为依据，对公司信息与沟通机制

的设计和运行有效性进行了认定和评价。

1、内部信息沟通

董事会成员通过出席董事会会议获得公司重大事项情况以及公司财务状况。监事会成员通过出席监事会会议、列席董事会会议获得公司重大事项情况，包括公司财务状况。董事会、监事会成员于每月通过《董事监事月报》获得公司生产经营最新情况，包括公司财务状况。公司管理层通过每月的调度会、经济活动分析会了解与公司盈利相关财务信息，并通过专门“财务信息查询系统”进行控制。除此之外，借助“财务数据管理系统”，进行生产运作、运量、燃油消耗量、运载率等类信息的统计。员工可通过内部网及时了解公司的相关新闻和生产经营资料，还可以通过内部网页上的“总经理、党委书记征求意见箱”直接与公司高管层进行沟通。公司日常文件传递、费用审批通过办公自动化系统（OA）传递，对于涉密文件公司则采用密件方式传递，请示工作使用签报，部门之间沟通使用工作联系单，事后信息反馈通过督办单形式来加强跟踪。

2、外部信息沟通

本公司利用多种渠道和机制，与投资者、媒体、监管机构保持顺畅的沟通和联络。投资者和财经媒体可以通过电话、电子邮件、投资者大会等方式了解公司信息，公司也会定期主动组织管理层见面会、媒体见面会、沟通会，拜会投行、券商和基金等组织。依据中国证监会、上交所、香港联交所、国资委等监管机构的要求，公司会定期及不定期披露相关报告，接受中国证监会、上交所、香港联交所等监管机构的问询、检查，向国资委上报国有控股上市运行情况，必要时还 会拜访中国证监会、上交所、香港联交所等监管机构。

3、信息系统

公司参考业界较为流行的信息系统控制架构结合自身实际情况，建立了本公司的信息系统控制制度，涵盖公司的重要 IT 资产及重要IT 业务流程，确保公司信息安全。本公司及旗下大部分子企业实施了以 SAP 系统为平台的财务信息系统，进行集中管控，规范了财务标准和流程，与业务系统紧密衔接，从源头上确保了财务数据质量，为高层决策提供及时可靠的信息。本公司全球班轮运输信息系统建设目前已形成了遍布全球的网络基础设施架构，形成了以 IRIS2 为核心的业务系统、SAP 财务系统和 MIS 业务管理系统相辅相承的管理信息系统构

架，并建立了具有中远特色的电子商务门户平台。

4、反舞弊机制

本公司根据中央和国务院国资委关于加强惩治和预防腐败体系建设的部署，制定了具体的实施办法，落实整体工作计划和年度实方案，将教育、制度、监督、改革、纠风、惩治的工作任务分解落实到有关领导和各单位、各部门，明确了完成时间、工作要求和考核办法，加强了反舞弊工作。各单位和部门坚持以权力运行和重要业务为监督重点，结合公司实际，重点针对航运管理、货运代理、营销贸易、基建项目、物资采购、财务管理等业务环节，加强对管人、管财、管物的过程监控，在坚持抓好共性业务的经常化监督管理的基础上，根据各自特点和存在的主要问题，明确舞弊风险监控点，开展重点监督检查，严肃查处违法违纪等各种舞弊问题，堵塞管理漏洞，从源头上预防违规违纪，维护改革发展稳定大局，促进企业健康发展。

（五）内部监督

公司以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关内部监督的规定为依据，对公司日常监督和专项监督机制的有效性进行了认定和评价。

1、日常监督

公司监事会对董事会运作、董事会成员及公司高级管理人员履职进行监督，时刻关注阻碍公司经营目标实现、威胁公司资产安全、隐瞒公司信息真实、违反法律法规的风险行为，并提醒改正和改进。董事会下设审核委员会，协助董事会审查公司全面风险管理和内部控制体系的建立健全，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制检查和审计，并对公司年度《内部控制自我评价报告》进行审议。此外，公司每年还组建内控检查小组，负责年度内部控制体系有效性自我评估工作的具体实施。

20xx年在董事会和审核委员会的领导下，本公司继续加强内部控制体系，对公司总部及子公司的内部控制情况进行必要的检查与评价，了解内控建设和运行现状，分析内控设计及执行有效性，明确内控差距及缺陷，进一步优化完善总部及下属企业内部控制体系。

2、专项监督

20xx年，本公司以防控风险、规范管理为重点，开展监督检查、效能监察和专项治理工作。一年来，各级纪委和监督部门重点针对各级领导班子和领导人员贯彻执行“三重一大”决策制度、领导干部廉洁从政若干准则和领导人员廉洁从业若干规定，以及落实中国远洋决策部署情况开展了监督检查；针对机务管理、航运业务、物资采购等重点领域和业务、组织开展了内部审计、效能监察和监督检查。根据中央的工作部署，中国远洋深入开展了对“小金库”和工程建设领域 突出问题的专项治理工作，通过抓好学习动员、责任分工、自查自纠和问题整改，实现了专项治理工作的整体推进，强化了企业基础管理。

七、内部控制缺陷及其认定情况

为了促进企业全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，结合监管机构相关要求，公司建立了以风险为导向的内部控制有效性评估机制，并确立了内部控制缺陷认定机制。20xx年6月，公司分别对内部控制体系的战略环境和核心控制活动层面的建设和实施情况，开展了有效性评价。针对内部控制战略环境层面，对内控体系要素的建立健全情况进行评价，并判断内部控制体系的有效性；针对内部控制活动层面，抽取中国远洋总部11个部门的11个部门核心程序，进行有效性测评，并判断控制活动的有效性。通过评估，内部审核小组认为公司现有的内部控制制度符合我国有关法规和证券监管部门的要求，能够适应公司管理的需要，基本保证了编制真实、公允的财务报表的要求，在重大风险失控、严重管理舞弊、重要流程错误等方面，具有控制与防范作用。在执行内部控制制度过程中，内部审核小组尚未发现重大风险失控、严重管理舞弊、重要流程错误。 为落实五部委联合发布的《企业内部控制基本规范》，公司按照《企业内部控制评价指引》对内部控制缺陷认定机制进行了对比评审，并进行了改进，它不同于过去通过检查历史记录与内部运营情况提出建议和意见的传统评价模式，而是把内部检查的重点放在关注企业具体业务流程运营中面临的风险上，以风险评估的结果作为内部控制有效评价的起点，重点关注企业为降低风险所采取的各项控制措施，通过运用以风险为导向的内部控制有效性评价模型，结合企业内控的目标，评价现有控制措施能否将风险降至企业可承受的范围内的过程。公司的内控有效性评价机制还明确了评价原则、组

织职责与权限、评价内容、评价程序方法、有效性认定标准、缺陷改进等内容。 20xx年12月份，本公司按照《企业内部控制评价指引》要求，并对照《企业内部控制应用指引》，对公司总部及下属公司内部控制设计和执行有效性进行检查评价。根据此次内控评价检查结果，从整体来看，本公司内部控制体系结构基本合理，内部控制制度框架基本符合了国资委和财政部对于内部控制体系完整性、合理性、有效性的要求，按照公司内部控制缺陷认定标准，不存在重大缺陷和重要缺陷，但由于公司内部控制体系还正在处于全面建立后的初期运转磨合过程中，对照《企业内部控制基本规范》及其配套指引的要求，还存在部分一般缺陷，需要总部各部门及下属公司进一步完善内部控制体系、强化执行力度，从而提高公司内部控制的效率和效果。

八、内部控制缺陷的整改情况及整改措施

本公司建立了内部控制缺陷的整改机制，对于内部控制评价发现的缺陷由各公司、各部门制定整改计划，并实施整改，经过内部控制主管部门进行审核后，在下一次内部控制评价中进行效果的确认。

针对20xx年度总部和下属公司内部控制评价过程中所发现的内部控制缺陷，公司总部和各下属公司均已制定了详细的、明确的整改措施和整改完成时间表，并按计划加以实施。

对于“相关制度不存在”和“相关制度不完整”类缺陷，责任部门和公司将编写完善相关制度，明确组织职责和操作流程；对于“相关制度不符合业务实际情况”类缺陷，责任部门和公司将修订更新相关制度及管理办法，优化业务流程，确保相应制度流程满足实际业务开展需要；对于“未按制度要求执行”类缺陷，责任部门和公司将进一步完善考核制度，逐步加强对相应管理制度的执行和考核力度，提升内控工作执行力，同时也加快相应控制工具（如计算机系统）的完备工作。接下来公司还将开展内部控制检查，对相关部门和下属公司内控改进措施的制定和执行进行检查验收，推进内控缺陷整改工作的开展。

鉴于内部控制建设是一项长期复杂的系统工程，公司将依据五部委《企业内部控制基本规范及配套指引》的要求，对照评价工作发现的内控缺陷及其整改情况，采取整体设计、分步实施的原则，制定中国远洋内部控制建设规划，并分解为年度计划目标，逐步推进，以企业治理理论为核心的全面风险控制管理思想为

基础，逐步指导各下属公司梳理内控制度及程序框架，开展全面风险评估，实现公司内外各层面内控要素的对接和整合，确保内部控制整体结构运作的一致性， 全面提升公司精细化、规范化管理水平和全面风险防范能力，实现公司战略目标，促进公司可持续发展。

九、内部控制有效性的结论

本公司认为，通过对内部控制系统的检查和评价，本公司具有较好的内部控制环境，对公司的风险进行了系统的辨识、评价和应对，具有健全和完善的内控制度和规范的业务流程，具有较强的信息传递和沟通能力和内部监督力度，并且公司内部控制制度得到了比较有效的执行。公司现有的内部控制制度符合我国有关法规和证券监管部门的要求，能够适应公司管理的需要，合理保证财务报告的真实性、完整性，在重大风险失控、严重管理舞弊、重要流程错误等方面，具有合理的防范作用。因此，可以认为本公司具备比较合理和有效的内部控制系统，对实现公司内部控制目标提供了合理的保障，而且公司能够客观的分析自身控制制度的现状，及时进行完善，满足和适应了公司发展的需要。

本公司董事会认为，自 2010 年度 1 月 1 日起至本报告期末止， 本公司内部控制系统的运行是有效的。

中国远洋控股股份有限公司董事会

2011 年 3 月 29 日