内控管理及考核办法第一章总则第一条为进一步加强XX公司(以下简称“公司”)内部控制管理,提高公司经营管理水平和风险防范能力,促进公司规范化运作和可持续发展,根据《企业内部控制基本规范》(以下简称“基本规范”)、《企业内部控制应用指引》(以下简称“应用指引”)及股份公司相关制度规定,并结合公司实际制定本办法。第二条本办法所称内部控制是指公司董事会、管理层和全体员工共同实施的,旨在实现控制目标的过程。内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司发展战略的实现。第三条本办法着力解决的问题(一)未有明确的内控管理体系及组织架构,可能导致公司内控管理职责不清、流程不规范,对内控管理工作效能产生影响。(二)未能建立内部控制检查评价机制,可能导致企业无法有效识别内控风险、认定内控缺陷、发现内控失效等情况,形成企业管理漏洞。第四条本制度适用于XX公司。第二章基本要素、原则及措施第五条内部控制的基本要素内部控制包括五项基本要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。内部环境是公司实施内部控制的基础,是公司建设内部控制的1土壤,是一切内控制度、流程、控制节点得以实施的根本条件,支配着全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。风险评估、控制活动、信息沟通是内控体系核心的三个环节。风险评估是内控建设的方向,非重大风险可以适当简化控制,提高效率和降低控制成本;重大风险则需要加强控制,并建立起相应的制度与流程予以保证。控制活动是内控体系的核心环节,嵌入在业务流程中,将风险控制在可接受程度之内。信息沟通是内控体系的桥梁,确保企业部门之间、上下级之间、各管理级次之间保持良好的沟通渠道。内部监督是内控体系的重要组成部分,是内控体系不断优化和提升的保证。第六条内部控制的基本原则(一)全面性原则:内控制度覆盖公司的所有业务、部门和人员,贯穿决策、执行、监督和反馈等各环节。(二)重要性原则:内控在兼顾全面的基础上突出重点,针对重要业务事项、高风险领域,制定严格的控制措施,确保不存在重大缺陷。(三)制衡性原则:内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(四)适应性原则:内部控制与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着公司外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。(五)成本效益原则:内部控制权衡实施成本与预期效益,以适当的成本实现有效控制。2(六)审慎性原则:内部控制以风险控制、规范经营、防范和化解风险为原则。第七条内部控制的控制措施控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。(一)不相容职务分离控制要求公司全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。(二)授权审批控制要求公司根据相关规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司各级管理人员在授权范围内行使职权和承担责任。授权审批包括常规授权和特别授权,常规授权是指单位在日常经营管理活动中按照既定的职责和程序进行的授权,用以规范经济业务的权力、条件和有关责任者,其时效性一般较长;特别授权是指单位对办理例外的、非常规性交易事件的权力、条件和责任的应急性授权。公司应逐步建立授权审批体系,明确授权审批的范围、层次、程序和责任。(三)会计系统控制要求公司严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。(四)财产保护控制要求公司建立财产日常管理制度和定期清查制度,采取财产记录和实物保管、定期盘点和账实核对、限制接近等措施,确保财产安全。(五)预算控制要求公司实施全面预算管理制度,明确各责任3单位在预算管理中的职责权限,规范预算的编制、审定、下达、执行的程序,强化预算约束。预算控制的主要环节包括:确定预算的项目、标准和程序,编制和审定预算,预算指标的下达和责任人的落实,预算执行的授权,预算执行过程的监控,预算差异的分析和调整,预算业绩的考核。(六)绩效考评控制要求公司建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等重要依据。(七)运营分析控制要求公司建立运营情况分析制度,管理层应综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,及时发现问题并查明原因、快速整改。第三章内部控制的组织架构及职责第八条公司成立内部控制领导小组(以下简称内控领导小组),负责公司内部控制体系的建立、健全和有效实施,并组织、领导企业内部控制体系的日常运行。组长:XX组员:XXX内控领导小组是公司内部控制管理最高层级决策机构,对公司内控体系设计有效性和运行有效性负责,主要职责包括:(一)制订公司内部控制总体目标和规划;(二)审议批准公司内部控制管理相关规章制度;(三)审议批准公司内控评价及制度管理相关工作方案计划;(四)对公司内控实施、缺陷整改、制度及流程管理等方面问4题进行决策并协调解决;(五)其它公司内控日常决策事项。第九条公司内控领导小组下设内控工作执行办公室(以下简称内控办公室),内控办公室设在企业管理部,企业管理部负责人担任主任,公司其他各部门负责人为组员。内控办公室作为公司内控体系日常管理执行机构,负责推动公司内控体系持续建设和日常运行,主要工作职责如下:(一)制(修)订公司内部控制管理办法、标准文件;(二)组织编制并持续优化公司内部控制手册;(三)负责公司制度体系建设工作,统筹安排推动公司制度更新与优化、制度执行力检查,督导审核公司制度下发等工作;(四)监督、指导各部门内控管理工作开展;(五)组织开展公司内控日常内控缺陷自查、现场稽核等活动,并对发现问题积极督导责任部门落实整改工作;(六)协调各部门对跨专业内部控制相关流程做好审核、更新及实施等工作;(七)组织开展公司内控建设及运行其他相关监督、检查及实施等工作;(八)完成公司内部控制领导小组交办其它内控相关工作。第十条各部门负责人为本部门内控管理工作第一责任人,对本部门内控管理工作完全责任。各部门设兼职内控管理员1名,负责按照企业管理部关于公司内控管理工作的部署和要求督导、协调本部门内控管理工作的具体开展,切实做好制度及流程管理、内控评价、缺陷整改等工作,主要职责如下:(一)负责本部门业务范围的规章制度、流程及表单的拟订、5优化和更新工作,配合其它部门开展交叉业务内控相关工作;(二)组织部门员工学习总部及公司相关规章制度和《公司内控手册》,严格按照手册和规章制度要求开展各项工作,确保部门内控执行的有效性;(三)配合公司做好内控审计和内部评价工作,并对提供数据、资料的准确性、完整性、可追溯性负责;(四)有效开展内控自查、缺陷整改、制度执行力检查等工作,高效落实内控审计及内控评价提出的各项缺陷的整改工作;(五)完成其它公司内控办公室安排的内控相关工作。第四章内部控制检查评价第十一条内部控制检查评价机制和形式公司实行股份公司检查评价、外部审计和单位自查的三级内部控制检查评价机制。其中股份公司检查评价包括年度综合检查评价和审计部独立检查评价;单位自查包括企业内控自查和专项稽核。(一)股份公司检查评价依据集团或股份公司相关文件执行(二)外部审计外部审计指公司股东聘请的外部内控审计机构,结合财务报告相关认定涉及的业务及实际审计需求,对公司具体业务的运行方式、规章制度执行情况进行的定期或不定期审计工作。具体工作开展按公司相关要求执行。(三)单位自查1.企业内控自查每年至少进行两次,由企业管理部负责组织实施。首先,企业管理部结合公司实际情况拟定自查通知文件经公司内控领导小组组长批准后下发;其次,各部门按照公司文件要求开展自查工作,形成自查底稿和报告并报企业管理部;最后,企业管6理部组织相关专业人员进行核实后形成公司内控自评总结报告和内部控制缺陷认定汇总表,经内控领导小组组长审批后对缺陷涉及部门下达整改任务单。2.专项稽核是专项监督的表现形式,一般是指企业管理部针对内部控制管理的薄弱环节、关键节点或企业管控变更节点组织开展的专项内控检查评价活动,由公司企业管理部具体组织实施。第十二条内部控制检查评价方法内部控制检查评价方法主要包括:个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法、专题讨论会法等。内部控制检查评价要综合运用上述方法,充分利用ERP等信息系统自带的检查功能,若条件允许时,可研究开发在线检查方法。第十三条内部控制的设计有效性和执行有效性测试评价设计有效性指业务环节所采取的控制措施是否能有效控制该环节的主要风险,实现预定的控制目标。测试评价时应考虑:本业务环节涉及的主要风险有哪些,对应的控制措施是否适当,本次评价期内是否有相较上期新增风险并采取了相应的控制措施,本次评价期内是否存在控制失效的情况(比如:非责任安全事故的发生)。执行有效性指业务环节所采取的控制措施是否得到了有效执行,是否存在因执行不力(执行层的胜任能力、过失、舞弊等原因)而导致的控制失效。测试评价时应考虑:评价范围涵盖本次评价期内的所有业务、按规定抽样方式进行测试、按测试底稿要求收集业务运行痕迹并如实记录、按测试底稿的结果进行执行测试总结。第十四条内控缺陷的分类内部控制缺陷是内部控制过程存在的缺点或不足,这种缺点或7不足使得内部控制无法为控制目标的实现提供合理保证。内部控制缺陷一般分为以下几类:(一)按照内部控制缺陷成因或来源,内部控制缺陷可分为设计缺陷和运行缺陷。设计缺陷指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。(二)按照影响内部控制目标的具体表现形式,内部控制缺陷可分为财务报告缺陷和非财务报告缺陷。财务报告内部控制缺陷指在会计确认、计量、记录和报告过程中出现的,对财务报告的公允性和合法性产生影响的控制缺陷,一般可分为财务(会计)报表缺陷、会计基础工作缺陷和与财务报告密切关联的信息系统控制缺陷等。非财务报告内部控制缺陷指虽不直接影响财务报告的真实性和完整性,但对企业经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。(三)按照影响企业内部控制目标实现的严重程度,内部控制缺陷分可为重大缺陷、重要缺陷和一般缺陷。重大缺陷指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中做出内部控制无效的结论。重要缺陷指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低8于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。一般缺陷指除重大缺陷、重要缺陷以外的其他控制缺陷。第十五条内控缺陷的认定和整改(一)内控缺陷的认定内部控制缺陷的认定标准和程序严格按照股份公司内部控制管理相关规定执行。(二)内控缺陷的整改1.缺陷整改期限缺陷按照整改难度分为普通、较难、困难三个等级,一般情况下,普通级缺陷应在2个月内完成整改、较难级缺陷应在3个月内完成整改、困难级缺陷应在4个月内完成整改,缺陷整改难度等级和整改完成时限由企业管理部结合实际情况在下达整改任务单中予以明确。2.缺陷整改责任人的认定缺陷整改责任人一般由业务部门负责人确定,特殊情况由业务主管经理确定,重大缺陷整改责任人由内控领导小组确定。3.缺陷整改方案的形成缺陷整改责任人按要求出具整改方案(模板详见附件),经部门主管经理审批同意后