内控管理体系制度

*内控管理体系制度*四川路桥建设股份有限公司内部控制管理规范（2016年10月27日第六届董事会第14次会议审议通过）负责部门：内控管理部制度编号：QB-NK-001生效日期：发布之日修订日期：目录第一章总则．．．．．．．．．．．．．．．．．．1第二章内控实施．．．．．．．．．．．．．．．．．．4第三章内控评价．．．．．．．．．．．．．．．．．．7第四章内控检查．．．．．．．．．．．．．．．．．9第五章内控信息系统．．．．．．．．．．．．．．．10第六章内控体系运行效果考核．．．．．．．．．．．11第七章附则．．．．．．．．．．．．．．．．．．131/18四川路桥建设集团股份有限公司内部控制管理规范第一章总则第一条为建立健全四川路桥建设集团股份有限公司（简称：“公司”）内部控制管理体系（简称：“内控体系”），苦炼内功、强基固本，提高公司经营管理水平和风险防范能力，保护投资者的合法权益，根据《公司法》、《证券法》、《企业内控基本规范》及其配套指引等法律法规和《公司章程》的相关规定，并参照《中央企业全面风险管理指引》，结合公司实际，特制定本规范。第二条本规范所称内部控制（简称：“内控”），是指由公司董事会、监事会、管理层以及全体员工实施的、旨在实现控制目标的过程。第三条本规范目的是在满足国家规范的要求下，建立公司的内控管理体系，实现内控管理，合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。通过规范，明确公司内控管理职责，日常内控管理、定期内控评价考核等内控运作要求。内控管理采用以风险管理为主线，2/18以内控检查为手段的方法，逐步建立和完善内控管理体系，提高公司管理水平。本规范体系由四部分组成：《内部控制管理规范》、《风险管理办法》、《内控检查管理办法》、《内控管理手册》（包含公司本部、分子公司、项目部等多个手册）。本规范主要明确公司内控体系的运行规则，包含建立、运行、监督检查与评价考核等内控管理主要内容，是公司内控管理基础制度。《风险管理办法》主要明确风险的收集评估，风险策略的制定，风险报告的方法，风险库的更新，是对风险管理的具体要求和指导，为本规范配套规范。《内控检查管理办法》主要具体规定内控与风险检查的方法、过程，风险与问题整改的具体要求与指导，为本规范配套规范。《内控管理手册》依托公司主要业务进行详细风险防控方法编制，包含流程图、风险库、风险控制矩阵等信息，是对风险防控措施的具体分解，用以指导业务部门内控管理的执行，为本规范配套规范。第四条本规范适用范围。本规范适用于公司、分子公司及其下属单位、项目部或分子公司自管项目部。第五条内控管理组织及其职责依据《企业内控基本规范》第十二条～第十四条对内控体系3/18组织建设的相关规定，结合公司经营特点，本规范明确公司内控管理组织及其相应职责。（一）董事会负责领导公司内控体系的建立健全和有效实施，审议公司年度内控评价报告。（二）监事会负责对董事会建立与实施内控进行监督检查。（三）董事会审计委员会负责审查、监督内控的有效实施和内控自我评价情况，协调内控审计及其他相关事宜。（四）内控体系建设领导小组（简称：“内控领导小组”）对董事会负责，主要对公司内控体系的建设工作进行总体筹划、组织领导和推进，对工作中的重大事项进行决策，分阶段对内控体系建设的成果进行验收。领导小组下设办公室，负责日常工作联络，督办或承办内控领导小组的决定、部署、安排、要求及有关工作报告，办公室设在公司内控管理部。（五）经理层负责领导公司内控体系的日常运行。（六）职能部门1.内控管理部负责宣贯国家相关法律法规和《企业内控基本规范》与政府监管部门规章制度及规范性文件；负责按内控领导小组部署，在经理层领导下组织公司内控体系的设计、运行、协调和考核；具体负责公司内控体系管理制度的编制和管理，组织风险识别分析和建立风险矩阵，督促开展重大风险的动态监控并编写风险管理报告，组织内控管理知识培训，组织内控有效性4/18评价，组织开展内控常态化检查和整改跟踪，组织内控体系运行结果考核，督促推进内控与风险管理信息化建设，以及负责公司内控办公室的日常联络性工作。2.其他职能部门负责根据风险矩阵制定和落实本部门风险应对方案和措施；负责对本部门风险应对方案的执行情况和风险变化情况进行动态监控和报告；负责按本规范开展内控评价工作并配合检查考核；负责对分子公司、项目部的对应业务日常检查监督；参与公司风险矩阵和内控管理手册的建立。（七）分子公司、项目部1.内控领导小组及其工作机构负责领导本单位内控机制的建立健全和有效实施，统筹协调内控体系建设、运行、评价及检查考核管理工作；单位行政主要负责人为本单位内控管理第一责任人。2.分子公司、项目部结合实际情况设立内控管理机构，并明确该机构及其岗位人员职责；负责按本规范开展本单位内控管理的组织、协调和考核，以及按公司统筹部署组织内控评价与检查考核的衔接与开展。第二章内控实施第六条实施内控应遵循的原则（一）全面性原则。公司决策层、管理层和全体员工共同实施，覆盖公司各业务，贯穿管理各层级，实现决策、执行、监督、5/18反馈全过程管控。（二）重要性原则。在全面覆盖的基础上，重点关注高风险领域、主要经济活动和重要业务事项，防范重大风险，明确流程关键控制环节，制定风险控制措施。（三）制衡性原则。在兼顾业务运营效率的同时，确保治理结构、机构设置及权责分配等相互制约、相互监督。（四）标准化原则。统一制定内控管理制度，统一开发信息平台，加强执行监督，逐步消除管理差异，实现流程步骤、控制措施、岗位责任、风险管理、内控评价标准化。（五）成本效益原则。权衡内控实施成本与预期效益，以合理成本实现最有效控制。（六）持续改进原则。建立内控设计、执行、评价及改进闭环管理机制，动态适应公司组织架构、业务范围、风险水平等变化，实现持续完善与提升。（七）协同一致原则。内控流程、授权管理、风险管理、规章制度和内控评价及内控管理手册内容规定上应保持一致，促进公司一体化管理。第七条风险数据库的建立与完善（一）风险信息收集。内控管理部按照《企业内控基本规范》的相关规定和公司《内部控制风险管理办法》，组织和督导各单位以业务流程为线索，开展全面、系统的业务风险信息梳理、识别和收集工作。6/18（二）风险评估。内控管理部组织相关单位对所收集的风险信息进行系统分析，采用定性与定量相结合的方法，评价风险影响，确定风险值和风险等级，以及关注重点和优先控制的风险，结合公司风险承受度，权衡风险与收益，制定风险应对策略。（三）风险数据库建立。内控管理部制定风险编号、名称与定义规范，组织建立公司及各单位业务风险及风险等级数据库，以进行动态管理。未经批准，各单位不得擅自修改风险信息数据。（四）风险管理报告。内控管理部组织开展公司年度风险管理报告编报工作；各单位年度全面风险管理报告和公司各专业风险管理子报告应于每年2月底前报送至内控管理部。（五）内控管理部与相应职能部门结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时完善风险数据库，并调整风险应对策略。适时修订完善《内部控制风险管理办法》。第八条内控管理手册的编制与完善（一）内控管理部依据《企业内控基本规范》，结合公司风险数据库及风险应对策略，组织各单位梳理风险管控流程，明确风险点，制定风险控制矩阵，汇编制作《内控管理手册》。《内控管理手册》包含公司各业务领域风险点、管控流程图、风险控制矩阵，作为公司内控管理实施的依据与准则。（二）公司各职能部门、分子公司、项目部结合风险数据7/18库，梳理风险管控流程，参与编制《内控管理手册》。（三）内控管理部定期结合公司发展变化、业务拓展、风险数据库更新、年度内控评价与考核情况，修订完善《内控管理手册》。第九条内控管理的培训与执行（一）内控管理部根据各单位需求组织定期和不定期进行《内控管理手册》宣传和培训，促进各单位普及内控管理知识，加强风险防范意识，提高内控管理水平，推动内控管理的实施。（二）公司各职能部门、分子公司、项目部依据《内控管理手册》实施本单位内控管理，严格执行《内控管理手册》要求的控制措施，对缺失或不完善的业务流程或规章制度进行补充完善，对执行偏差按要求进行整改。第十条内控管理的信息与沟通（一）内控管理部收集和接收公司内控实施过程中的信息和反馈，及时分析与沟通协调，并将重要信息及时传递给董事会、监事会和经理层。（二）公司各职能部门、分子公司、项目部建立本单位内控相关信息的收集、处理和传递程序，对内控实施过程相关信息或意见及时反馈给内控管理部。第三章内控评价第十一条公司内控评价是指对公司内控设计和执行的有8/18效性进行评价，识别控制缺陷，形成评价结论，出具评价报告的过程。第十二条内控管理部依据《内控管理手册》中内控评价流程，制作印发公司《年度内控自评工作通知》及自评底稿模板，通知明确内控自评启动及方案制作时间、自评工作范围、现场测试要求、自评底稿及缺陷整改报告输出、内控资料归档、整改情况上报等具体工作要求。第十三条公司各职能部门、分子公司、项目部按通知要求编制本单位内控自评工作方案，并将方案报送内控管理部备案。各单位根据实际业务发生情况，从评价的组织范围、评价的业务范围两个方面调整或确认自我评价的工作范围；各个单位的某些业务和下属单位必须纳入自评范围，有些业务和下属单位可以不纳入自评范围，但是各单位纳入内控自评范围的业务和下属单位/项目部（含分部）的比例不能低于本单位财务口径范围的90%。不纳入年度自评范围的业务和下属单位/项目部（含分部），需要在自我评价工作方案中列明，并说明原因。各单位依据公司内控管理手册，以抽样法为主，辅以访谈、实地查验等其他测试方法，充分收集内控设计和运行是否有效的证据，对内控设计有效性和内控运行有效性进行规范的测试和评价，形成《测试底稿》、《缺陷认定表》、《样本统计表》并报送内控管理部备查。各单位对内控缺陷的认定，以本规范所附《内控缺陷认定标9/18准》为参考依据，以日常业务开展情况为基础，结合现场测试获取的证据，由各单位组织进行综合分析，对内控缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，形成内控缺陷汇总表,由单位负责人审核签署予以认定后上报。重大缺陷由公司董事会予以最终认定。第十四条内控管理部针对《内控缺陷汇总表》，督促公司各职能部门、分子公司、项目部进行缺陷整改。各单位针对发现的内控缺陷以及相关证据文件，制定缺陷整改计划，明确整改措施内容，并落实具体责任人及完成时间。各单位依据日常监督检查以及前期内控评价发现的内控缺陷的整改情况编制内控缺陷整改报告，对缺陷整改过程、整改结果、验收过程、验收结论以及持续整改措施计划进行汇报；内控缺陷整改报告经单位负责人确认后报送内控管理部。各单位按月定期反馈整改进展。第十五条内控管理部复核各单位《内控缺陷整改报告》，拟订公司《年度内控评价报告》，提交董事会审计委员会评审。第十六条董事会审计委员会评审《年度内控评价报告》，形成评审意见后报告公司董事会；公司董事会听取汇报、审阅报告，审定公司内控重大缺陷、重要缺陷整改意见。第四章内控检查第十七条各单位内控领导小组及其工作机构依据《内部控10/18制监督检查实施细则》，组织对本单位或下属单位进行内控管理常态化检查。第十八条各单位内控检查责任部门（对口业务检查的职能部门）/联合检查小组依据《内部控制监督检查实施细则》对检查对象开展内控检查。对检查过程中发现的内控缺陷及实施中存在的问题，被检查单位按照检查责任部门/联合检查小组提出的整改要求进行整改，并将整改结果送同级内控管理机构备案。内控管理机构对于检查中发现的内控缺陷及实施中存在的问题，在报告后进行追踪，以确保相关单位及时采取适当的改进措施。第十九条内控管理部通过内控检查及时完善风险管理数据库；对新发现风险，提出应对策略，修订完善《内控管理手册》或《内部控制监督检查实施细则》。第五章内控信息系统第二十条公司建立内控管理信息系统。以公司管控为核心，以风险管理为手段，以信息系统为平台