目 录 第一章总则...1 一 手册编制目的...1 二 手册适用范围...1 三 手册编制依据...1 ( 一 )COSO 内部控制整体框架 及 企业风险管理整合框架...1 ( 二 ) 财会 [2008]7 号 企业内部控制基本规范...2 ( 三 ) 财会 [2010]11 号 企业内部控制配

Transcription

1 内部资料注意保密 长白山旅游股份有限公司 内部控制管理手册 二〇一七年八月

2 目 录 第一章总则...1 一 手册编制目的...1 二 手册适用范围...1 三 手册编制依据...1 ( 一 )COSO 内部控制整体框架 及 企业风险管理整合框架...1 ( 二 ) 财会 [2008]7 号 企业内部控制基本规范...2 ( 三 ) 财会 [2010]11 号 企业内部控制配套指引...2 ( 四 ) 上海证券交易所 上市公司内部控制指引...2 四 手册编制原则...2 ( 一 ) 先进性与实用性相结合...2 ( 二 ) 方法论与操作性相结合...2 ( 三 ) 承性与包容性相结合...2 ( 四 ) 满足外部监管与提升内部管理相结合...2 五 手册编制特征...3 ( 一 ) 具有广泛适用性和前瞻性...3 ( 二 ) 具有强制性和约束性...3 ( 三 ) 局限性...3 六 手册管理...3 ( 一 ) 修订与维护...3 ( 二 ) 颁布及生效日期...3 第二章内部控制管理体系...4 一 体系编制目的...4 二 体系框架基本内容...4 ( 一 ) 内部环境...4 ( 二 ) 风险评估...4 ( 三 ) 控制活动...4 ( 四 ) 信息与沟通...4 ( 五 ) 内部监督...5 三 体系文件...5

3 ( 一 ) 编制主要要求...5 ( 二 ) 体系文件组成...5 第三章内部控制工作机制...6 一 工作总体目标...6 二 组织机构及职责...6 ( 一 ) 组织机构...6 ( 二 ) 职责设置...6 三 日常执行要求...7 四 评价与考核...7 第四章内部环境...8 一 关注重点...8 ( 一 ) 内部环境关注的重点内容...8 ( 二 ) 内部环境关注的风险...9 二 控制措施...10 ( 一 ) 组织架构...10 ( 二 ) 战略管理...13 ( 三 ) 内部审计...13 ( 四 ) 人力资源...14 ( 五 ) 企业文化...17 ( 六 ) 社会责任...17 第五章风险评估...19 一 关注重点...19 ( 一 ) 风险评估重点内容...19 ( 二 ) 风险评估关注风险...19 二 控制措施...20 ( 一 ) 风险评估原则...20 ( 二 ) 目标设定...20 ( 三 ) 风险识别...21 ( 四 ) 风险分析与评价...22 ( 五 ) 风险应对...22

4 第六章控制活动...23 一 关注重点...23 ( 一 ) 控制活动重点内容...23 ( 二 ) 控制活动关注风险...24 二 控制措施...25 ( 一 ) 控制活动的建立...25 ( 二 ) 控制活动的实施...26 ( 三 ) 控制活动有效性评价...30 第七章信息与沟通...31 一 关注重点...31 ( 一 ) 信息与沟通重点内容...31 ( 二 ) 信息与沟通关注风险...31 二 控制措施...32 ( 一 ) 信息收集与沟通...32 ( 二 ) 信息系统管理...33 ( 三 ) 反舞弊...34 第八章内部监督...35 一 关注重点...35 ( 一 ) 内部监督重点内容...35 ( 二 ) 内部监督关注风险...36 二 控制措施...37 ( 一 ) 监督机构及职责...37 ( 二 ) 监督方法...37 ( 三 ) 内部控制评价...37 ( 四 ) 缺陷跟踪管理...38 ( 五 ) 内部控制文档记录与保管...39

5 第一章 总则 一 手册编制目的通过编制本手册, 旨在公司范围内建立起一套科学 系统的内部控制管理体系建设的方法和规范, 为长白山旅游股份有限公司 ( 以下简称 公司 或 股份公司 ) 内部控制管理体系建设 运行和维护提供指引, 并作为建立 运行及评价内部控制管理体系的依据和指南, 使公司上下对内部控制管理体系在理念 认识上保持高度一致, 并最终实现行为上的高度统一 二 手册适用范围本手册适用于长白山旅游股份有限公司 ( 以下简称 公司 或 股份公司 ) 的内部控制管理工作 三 手册编制依据 ( 一 )COSO 内部控制整体框架 及 企业风险管理整合框架 COSO 是美国反虚假财务报告委员会下属的发起人委员会 (The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting) 的英文缩写 反虚假财务报告委员会于 1987 年签署了报告, 号召研究并制定一个统一的内部控制框架 1992 年 9 月,COSO 委员会提出了报告 内部控制整体框架 (1994 年进行了增补 ), 即 COSO 内部控制框架 COSO 内部控制框架被广泛地选择作为构建和完善内部控制体系的标准, 是因为 : 虽然 COSO 内部控制框架并非唯一的内部控制框架, 但却是美国证券交易委员会唯一推荐使用的内部控制框架, 萨班斯 奥克斯利法案 第 404 条款的 最终细则 也明确表明 COSO 内部控制框架可以作为评估公司内部控制的标准 在 2001 年以后, 特别是安然事件发生以后, 企业风险管理成为焦点而受到突出关注, 需要一个强有力的框架以有效地识别 评估和管理风险 2004 年 9 月,COSO 委员会发布 企业风险管理整合框架, 在内部控制的基础上, 扩展 提供了一个更强有力的框架, 更广泛地专注企业的全面风险管理 该框架不会取代内部控制框架, 而是将内部控制框架与其融合为一体 公司仍可以决定依靠这个企业风险管理框架去满足企业内部控制的需要, 通过采用更全面的风险管理方法使企业持续发展 第 1 页

6 ( 二 ) 财会 [2008]7 号 企业内部控制基本规范 财政部会同证监会 审计署 银监会 保监会制定 企业内部控制基本规范, 自 2009 年 7 月 1 日起在上市公司范围内施行, 鼓励非上市的大中型企业执行 执行本规范的上市公司, 应当对本公司内部控制的有效性进行自我评价, 披露年度自我评价报告, 并可聘请具有证券 期货业务资格的会计师事务所对内部控制的有效性进行审计 ( 三 ) 财会 [2010]11 号 企业内部控制配套指引 财政部会同证监会 审计署 银监会 保监会制定 企业内部控制应用指引 企业内部控制评价指引 和 企业内部控制审计指引 ( 以下简称企业内部控制配套指引 ), 自 2011 年 1 月 1 日起在境内外同时上市的公司施行, 自 2012 年 1 月 1 日起在上海证券交易所 深圳证券交易所主板上市公司施行 ; 在此基础上, 择机在中小板和创业板上市公司施行 鼓励非上市大中型企业提前执行 ( 四 ) 上海证券交易所 上市公司内部控制指引 上海证券交易所与 2006 年 6 月发布 上市公司内部控制指引, 用以指导上市公司建立健全内部控制制度, 提高公司风险管理水平, 保护投资者的合法权益 四 手册编制原则 ( 一 ) 先进性与实用性相结合本手册采用国内 国际先进的内部控制管理理论, 并借鉴国内外大型企业集团的内部控制实践经验, 立足于公司自身的战略目标和管理特点, 力求与现有的管理程序相衔接, 充分考虑实际管理工作的可行性与可操作性 ( 二 ) 方法论与操作性相结合本手册的内容涵盖了内部控制体系的关键要素和环节, 对公司建立和运行内部控制体系提出了一套完整的方法论和指导原则, 针对内部控制体系建设 内部控制评价等常规性工作, 提出了具体要求 ( 三 ) 承载性与包容性相结合本手册与公司现行的管理制度 安全体系, 质量体系等相结合, 力求与其相融合, 对于已不适用的其它各项管理制度, 应对照本手册的规范要求及时修改 完善 ( 四 ) 满足外部监管与提升内部管理相结合公司内部控制管理工作既要为战略目标实现提供有力保障, 又应满足国资 第 2 页

7 委 财政部 证监会等监管部门的监管 本手册的编制以满足外部监管要求为出发点, 以提升公司内部控制管理水平为落脚点, 兼顾内外部内部控制管理的要求 五 手册编制特征 ( 一 ) 具有广泛适用性和前瞻性本手册以国内外通行的内部控制管理框架基本要素为基础, 建立各项业务流程, 规范内部控制行为, 提供操作指南, 在覆盖公司现有业务活动的同时, 对未来一定时期公司业务发展的需求提供了指导 ( 二 ) 具有强制性和约束性本手册明确公司建立内部控制体系及框架所遵循的原则, 规范各层级的管理与业务控制活动, 既适用公司治理层的控制, 又适用经营管理层面的控制, 具有广泛的约束性, 经批准发布, 公司必须严格执行 ( 三 ) 局限性本手册所涉及的范围与内容基于现行的内部控制措施 相关交易和资料信息 提供了在某一时段上有关现状 风险及内部控制的信息 对内外等未知因素变化可能造成的影响, 本手册无法预测和涵盖, 公司应及时对手册进行动态的维护和更新 六 手册管理 ( 一 ) 修订本手册的修订由内审部负责 根据公司内部控制变动情况, 定期或不定期修订本手册 各部门对本手册日常使用过程中发现的问题, 应认真记录并及时反馈给内审部 内审部根据反馈意见, 结合相关法律法规的要求, 对手册提出修改建议经分管领导 董事长审核批准后, 提交董事会审议 ( 二 ) 颁布及生效日期本手册的编制 变更和废止须经公司董事会批准 本手册自公司董事会审核通过之日起生效 第 3 页

8 第二章 内部控制管理体系 一 体系编制目的通过确定内部控制体系建设目标, 明晰内部控制体系建设的范围和内容, 建设 以风险为导向, 以内部控制为手段, 以业务流程为载体 的公司内部控制体系, 形成统一 规范 有效的内部控制体系, 增强公司风险防范能力, 为公司战略发展提供合理保障 二 体系框架基本内容 ( 一 ) 内部环境内部环境是内部控制体系建设的基础, 是有效实施内部控制的保障, 直接影响着内部控制的贯彻执行 公司经营目标及整体战略目标的实现 内部环境确定了公司对内部控制体系建设的总体态度, 是内部控制所有其他组成要素的基础 ( 二 ) 风险评估风险是指未来的不确定性对公司实现其目标的影响 风险评估是及时识别 科学分析和评估影响公司目标实现的各种不确定因素并制定应对策略的过程, 是实施内部控制的重要环节 在风险评估中, 既要识别和分析对实现目标具有阻碍作用的风险, 也要发现对实现目标具有积极影响的机遇 ( 三 ) 控制活动控制活动是指公司根据风险评估结果, 采用相应的控制措施, 将风险控制在可承受度之内 控制活动是确保管理层关于风险应对策略得以贯彻执行的政策和程序, 存在于公司所有级别的分支机构和职能部门, 包括不相容职务分离 授权审批 会计系统 财产保护 预算 运营分析 绩效考评 突发事件应急等 ( 四 ) 信息与沟通信息与沟通是公司及时 准确地收集 传递与内部控制相关的信息, 确保信息在公司内部 公司与外部之间进行有效沟通, 以促使职责的履行 信息是指与公司经营相关的财务及非财务信息, 不仅包括内部产生的信息, 还包括与公司经营决策和对外报告相关的外部信息 畅通的沟通渠道和机制使员工能及时取得他们在执行 管理和控制公司经营过程中所需的信息 公司建立符合发展战略并与经营管理活动一体化的信息系统, 为风险管理提供足够的信息资源和顺畅的沟通渠道 第 4 页

9 ( 五 ) 内部监督内部监督是对公司内部控制建立与实施情况进行监督检查, 评价内部控制有效性并及时加以改进的过程, 包括日常监督 专项监督 内部控制评价和缺陷跟踪等 三 体系文件 ( 一 ) 编制主要要求公司根据 内部控制基本规范 和 内部控制配套指引 的要求, 建立公司内部控制管理体系, 形成了相应的内部控制管理体系文件, 加以实施和保持, 并进行监督评价 持续改进, 以保证其有效性 公司子公司应在本手册的基础上, 考虑自身实际情况, 编制本单位的内部控制管理文件及标准, 以规范自身的内部控制工作 ( 二 ) 体系文件组成公司对内部控制管理体系进行了全面的策划并形成了文件, 主要有 : 1. 内部控制管理手册, 阐述了公司内部控制工作的指导原则 目标, 概括性 纲领性概述了公司内部控制管理体系文件的结构, 是公司内部控制工作的准则 2. 内部控制管理制度, 是本手册的支持性文件, 规定了开展内部控制工作所采取的方法和措施, 以确保内部控制体系的有效运行 3. 内部控制操作文件, 是保证公司内部控制有效执行的操作性文件, 主要包括业务流程体系 风险控制矩阵 权限指引表和有关记录等 第 5 页

10 第三章 内部控制工作机制 一 工作总体目标根据股份公司的业务特点和管理模式, 确定内部控制工作的总体目标为 : 建立并优化公司内部控制体系, 规范公司管理的程序与方法, 有效防范战略 财务 市场 运营和合规等 五类风险, 提高员工风险防范意识, 培育具有公司特色的内部控制管理文化, 保障公司积极发展 二 组织机构及职责 ( 一 ) 组织机构公司通过建立分工合理 职责明确 报告关系清晰的组织结构, 明确内部控制管理决策机构 管理机构 执行机构和监督机构的责任和义务, 确保内部控制管理职责明确 权限清晰, 确保内部控制管理体系得到有效运行, 内部控制组织结构如图所示 : ( 二 ) 职责设置公司董事会是内部控制的决策机构, 负责内控的建立健全和有效实施 内审部是内控管理体系运行的归口管理部门, 负责组织内控管理体系的建立和日常维护以及监督工作 ; 负责组织内部控制体系监督评价工作 公司各职能部门是内部控制的执行部门, 负责内部控制各项制度及流程的执行, 负责归口管理业务的内部控制建立和自我监督评价工作 第 6 页

11 各分子公司应建立健全本单位内部控制管理体系, 并就内部控制工作向股份公司报告 三 日常执行要求公司遵循内部控制标准要素要求, 制定本公司的 内部控制管理手册 ; 按照 内部控制管理手册 实施内部控制运行与维护工作, 开展内部控制监督评价, 利用检查监督评价的成果, 制定和完善各类管理制度及业务流程并贯彻执行 公司组织内审部等内外部专业人员组成内部控制评价小组, 参与内部控制监督评价, 采取定性和定量相结合的方法, 提高监督评估结果的准确性 内部控制评价小组在进行内部控制监督检查及评价时有权查阅 复制有关资料, 要求调查和评价对象做出说明和解释, 并对相关信息保密 公司应当充分利用信息技术, 提高内部控制管理水平 公司内控管理工作要点和计划一经下达, 各部门及分子公司应当组织实施 四 评价与考核公司开展绩效考核工作, 内部控制考核充分体现过程控制, 并纳入公司绩效考核体系 具体考核内容包括内部控制工作组织 内部控制体系健全性 内部控制执行有效性等情况 公司在内部控制管理中设置内部控制考核指标, 将各部门 分子公司内部控制运行工作纳入考核范围 第 7 页

12 第四章 内部环境 一 关注重点 ( 一 ) 内部环境关注的重点内容 1. 组织架构关注重点内容在治理结构所确定的内部控制基本组织框架基础上公司应结合业务特点和内部控制要求设置内部管理机构, 明确职责权限, 建立完善的权责管理体系, 制定完善的授权管理文件, 将权力和责任落实到各责任单位, 且组织架构的设定支持战略发展和管控要求 公司应建立合理的组织架构, 有效的开展经营和管理活动 公司各职能部门之间 职能部门内部应存在清晰的汇报 沟通程序 公司应定期评估内部机构设置情况, 关注组织机构设置的合理性及高效性, 发现组织机构设计与运行中的缺陷, 以进一步优化整改 2. 战略管理关注重点内容公司应在充分调查研究 科学分析预测和广泛征求意见的基础上制定发展目标, 根据发展目标制定战略规划, 并确保发展战略有效实施 ; 确需对发展战略做出调整的, 应当按照规定权限和程序调整发展战略 3. 内部审计关注重点内容公司应设置独立的内部审计机构, 配置充分和能够胜任的人员, 建立完善的内部审计工作程序与机制, 赋予内部审计机构足够权利, 使之与其承担的责任相配比, 维护其独立性 4. 人力资源关注重点内容公司应制定完善的员工招聘 培训 辞退与辞职 薪酬 考核 晋升与奖惩 关键岗位的强制休假和定期轮岗 重要岗位员工离岗的限制等政策及程序 ; 健全公司管理人员的任用选拔 管理考核和激励监督机制 5. 企业文化关注重点内容公司应加强文化建设 培育积极向上的价值观和社会责任感, 倡导团队协作精神, 树立现代管理理念, 强化风险意识, 增强高管人员的法律观念和意识, 严格依法决策 依法办事 依法监督 第 8 页

13 6. 社会责任关注重点内容公司应当重视履行社会责任, 切实做到经济效益与社会效益 短期利益与长远利益 自身发展与社会发展相互协调, 实现企业与员工 企业与社会 企业与环境的健康和谐发展 ( 二 ) 内部环境关注的风险 1. 组织架构的设计与运行至少应关注的风险治理结构设置不合理, 缺乏科学决策 良性运行机制和执行力, 可能导致企业经营失败, 难以实现发展战略 内部机构设计不科学, 权责分配不合理, 可能导致机构重叠 职能边界界定不清, 运行效率低下 2. 发展战略的制定与实施至少应关注的风险缺乏明确的发展战略或发展战略实施不到位, 可能导致企业盲目发展, 难以形成竞争优势, 丧失发展和动力发展战略过于激进, 脱离公司实际能力或偏离主业, 可能导致公司过度扩张, 甚至经营失败 发展战略因主观原因频繁变动, 可能导致资源浪费, 甚至危及公司的生存和持续发展 3. 内部审计至少应关注的风险未设置内部审计机构 人员配合不够, 可能影响内部审计效果 内部审计程序不规范, 汇报关系不清晰, 可能导致内部审计独立性受到干扰 4. 人力资源管理至少应当关注的风险人力资源缺乏或过剩 结构不合理 开发机制不健全, 可能导致企业发展战略难以实现 人力资源激励约束制度不合理 关键岗位人员管理不完善, 可能导致人才流失 经营效率低下或关键技术 商业秘密和国家机密泄露 人力资源退出机制不当, 可能导致法律诉讼或企业声誉受损 5. 企业文化至少应当关注的风险缺乏积极向上的企业文化, 可能导致员工丧失对公司的信心和认同感, 公司 第 9 页

14 缺乏凝聚力和竞争力 缺乏开拓创新 团队协作和风险意识, 可能导致公司发展目标难以实现, 影响可持续发展 缺乏诚实守信的经营理念, 可能导致舞弊事件的发生, 造成企业损失, 影响公司信誉 忽视企业间的文化差异和理念冲突, 可能导致并购重组失败 6. 社会责任至少应当关注的风险安全管理措施不到位, 责任不落实, 可能导致企业发生安全事故 环境保护投入不足, 资源耗费大, 造成环境污染或资源枯竭, 可能导致企业巨额赔偿 缺乏发展后劲 促进就业和员工权益保护不够, 可能导致员工积极性受挫, 影响公司发展和社会稳定 二 控制措施 ( 一 ) 组织架构 1. 治理结构 (1) 股东大会公司依据证券登记机构提供的凭证建立股东名册, 股东名册是证明股东持有公司股份的充分证据 股东按其所持有股份的种类享有权利, 承担义务 ; 持有同一种类股份的股东, 享有同等权利, 承担同种义务 公司根据 中华人民共和国公司法 中华人民共和国证券法 上市公司章程指引 等有关法律和行政法规的规定, 制定了 长白山旅游股份有限公司章程 ( 以下简称 公司章程 ), 并根据 公司章程 设立股东大会, 股东大会是公司的最高权力机构, 按照 公司章程 规定履行职权 (2) 董事会公司根据 公司章程 设立董事会 公司章程 董事会议事规则 规范了董事任职资格与履职要求, 明确了董事会的职权与决策程序 董事由股东大会选举或更换, 任期三年 董事任期届满, 可连选连任, 但是独立董事连任时间不得超过六年 董事在任期届满以前, 股东大会不能无故解除 第 10 页

15 其职务 (3) 设立董事会专门委员会董事会下设战略投资委员会 审计与风险控制委员会 提名委员会和薪酬与考核委员会协助董事会开展工作 董事会制定战略投资委员会 审计与风险控制委员会 提名委员会和薪酬与考核委员会工作规则, 各委员会遵照执行, 对董事会负责 各专门委员会的提案应提交董事会审查决定 公司应制定 董事会战略投资委员会议事规则 董事会审计与风险控制委员会议事规则 董事会提名委员会议事规则 董事会薪酬与考核委员会, 规范专门委员会的人员组成 职责权限 决策程序 议事规则 战略投资委员会主要负责对公司长期发展战略和重大投资决策进行研究并向董事会提出建议 审计与风险控制委员会负责提议聘请或更换外部审计机构 ; 监督公司的内部审计制度及其实施 ; 负责内部审计与外部审计之间的沟通 ; 审核公司的财务信息及其披露 ; 审查公司的内控制度 提名委员会主要负责对公司董事 高级管理人员的选任程序 标准和任职资格进行审议并向董事会提出建议 薪酬与考核委员会主要负责制定公司董事及高级管理人员的考核标准并进行考核, 负责制定 审查公司董事及高级管理人员的薪酬政策与方案, 对董事会负责 (4) 监事会公司应根据 公司章程 设立监事会, 监事会由五名监事组成, 其中监事会主席一名 监事中包括三名股东代表监事和两名职工代表监事 公司职工代表担任的监事不少于监事人数的三分之一 监事可以列席董事会会议, 并对董事会决议事项提出质询或者建议 监事会依照 公司法 公司章程 监事会议事规则 等有关法律法规规定履行监督职责 (5) 高级管理人员公司应根据 公司章程 设总经理一名, 由董事长提名, 董事会聘任或解聘 公司除董事会秘书以外的其他高级管理人员, 由总经理提名, 董事会聘任或解聘 第 11 页

16 公司设副总经理若干名, 总会计师一名 总经理主持公司的日常经营管理工作, 在董事会授权的职权范围内行使各项管理权, 并向董事会报告工作 公司不定期召开总经理办公会, 各部门根据需要提交议案, 综合部负责会议记录并负责会议决定事项的督办 公司不定期召开专题办公会, 由公司主要领导或分管领导召集会议, 各部门根据需要提交议案, 形成统一意见后再报公司相应决策会议审议 2. 组织机构 (1) 符合发展战略和公司管控要求公司组织机构编制管理遵循 有利于加强经营管理, 建立信息畅通 反应灵活 适应公司发展和市场环境变化的运行机制 的原则 设置科学制衡的职能机构 ( 见 3.2.1) 明确岗位职责, 分离不相容岗位公司人力资源部编制部门职位说明书, 明确公司内部组织架构 部门核心职能规划 部门内部定岗定编, 使员工清楚其行为要达到的目标及自己的职责与他人的职责如何相互影响 公司应当建立和完善人力资源激励约束机制, 设置科学的业绩考核指标体系, 对各级管理人员和全体员工进行严格考核与评价, 以此作为确定员工薪酬 职级调整和解除劳动合同等的重要依据, 确保员工队伍处于持续优化状态 (2) 满足内部控制管理要求公司的内部控制管理体系架构分为 : 决策层 执行层 监督层三个层级 各层级职责分工如下 : 决策层 : 公司董事会和总经理办公会作为内部控制管理决策机构, 行使决策职责 执行层 : 公司各部门 分子公司作为内部控制的执行机构, 行使执行职责 监督层 : 公司内审部作为内部控制的监督机构, 行使监督评价职责 各子公司参照三个层级设置适合本单位的内部控制体系架构 3. 组织架构的评估调整 第 12 页

17 公司应当定期对组织架构设计与运行的效率和效果进行全面评估, 发现组织架构设计与运行中存在重要缺陷的, 应当进行优化调整 公司组织架构调整应当充分听取董事 监事 高级管理人员和其他员工的意见, 按照规定的权限和程序进行决策审批并及时将调整结果以适当的形式通告给全体员工 ( 二 ) 战略管理公司企管企划部负责组织拟订公司发展战略规划, 收集国家方针政策 行业发展趋势 企业发展情况等相关资料, 战略规划经过公司领导, 董事会, 股东大会审批后发布, 并上报国资委及管委会备案 公司应当在充分调查研究科学分析预测和广泛征求意见的基础上制定发展目标 公司在制定发展目标过程中, 应当综合考虑宏观经济政策 国内外市场需求变化 技术发展趋势 可利用资源水平和自身优势等情况 公司应根据发展战略, 制定年度工作计划, 编制全面预算, 将发展战略分解 落实到产销水平 资产负债规模 收入及利润增长幅度 投资回报要求 技术创新 品牌建设 人才建设 制度建设 企业文化 社会责任等各个方面, 确保发展战略的有效实施 ( 三 ) 内部审计公司应当加强内部审计工作, 保证内部审计机构设置 人员配备和工作的独立性 内审部应结合内部审计监督, 对内部控制的有效性进行监督检查 内审部对监督检查中发现的内部控制缺陷, 应当按照企业内部审计工作程序进行报告 ; 对监督检查中发现的内部控制重大缺陷, 有权直接向董事会及其审计与风险控制委员会 监事会报告 1. 内部审计独立性公司内审部承担监督 评价 控制和服务职能, 在职能上向审计与风险控制委员会报告, 内审部不直接参与公司各部门的生产经营活动, 在审计活动中不受任何来自外界的干扰, 独立自主地开展审计工作 2. 审计人员能力公司在 内审部职位说明书 中明确规定内部审计人员应该具有的资质和执 第 13 页

18 业能力, 审计人员在办理审计事项时必须遵守审计职业道德规范 3. 与外部审计机构的沟通公司外部审计对口部门按有关规定对外部审计提供必要的支持和相关工作资料 ; 对社会中介机构开展对本公司及其所属企业有关财务审计 资产评估及相关业务活动的真实性 合法性以及中介机构的聘用 更换和报酬支付进行了解 ( 四 ) 人力资源 1. 人才引进机制人力资源政策的核心是如何建立一套科学的人力资源制度和机制, 不断优化人力资源结构, 实现人力资源的合理配置和布局, 做到人尽其才, 充分发挥人力资源的作用 内容应包括 : (1) 合理引进和开发人才 岗位职责和任职要求应当明确规范, 人力资源需求计划应当科学合理 ; (2) 用好和盘活现有人才 人员聘用应当引入竞争机制, 培训工作应当能够提高员工道德素养和专业胜任能力 ; (3) 强化激励机制, 增强人才活力 人力资源考核制度应当科学合理, 应当能够引导员工实现企业目标 薪酬制度应当能保持和吸引优秀人才, 符合国家有关法律法规的要求, 薪酬发放标准和程序应当规范 ; (4) 全面提升管理团队 专业技术人才和全体员工的创造力, 做到使每位员工都投身于企业可持续发展之中 ; (5) 建立健全良好的人力资源退出机制, 采取渐进措施执行退出计划 在具体执行过程中, 要充分体现人性化和柔性化 2. 人力资源开发机制 (1) 培训根据公司的业务和文化的实际需要制定培训计划, 对培训目的 培训人员 培训时间 培训方式 培训预算等作出适当安排, 确保员工专业知识和业务能力达到岗位要求 1 员工入职阶段可以通过培训将企业文化 道德风尚 风险与控制意识等思 第 14 页

19 想或理念传递给员工 2 公司可以采取工作轮岗 入职培训 脱产培训等方式对员工进行培训 培训期末应当由培训单位进行考核, 并将考核结果及时报人力资源部进行客观评价 3 公司应当将人力资源招聘与培训的费用纳入预算, 明确费用开支范围和开支标准, 并指定有关责任人对招聘和培训费用实施控制 (2) 人才储备公司重视人才培养与储备, 通过对员工实施绩效激励, 以提高员工对公司的认同感和使命感, 确保人才储备能够满足公司发展需要 3. 人力资源的使用 (1) 轮岗管理公司应当制定各级管理人员和关键岗位人员轮岗制度, 明确轮岗范围 轮岗周期 轮岗方式等, 形成相关岗位员工的有序流动, 全面提升员工素质 制定高效的轮岗机制应该遵循以下原则 : 1 轮岗工作的整体安排 轮岗应该制订具体的计划, 明确轮岗的时间 轮岗目标 考核标准 轮岗风险评估及轮岗工作协调机制等一系列问题 同时制定轮岗工作路线图 路线图包含几大关键节点 : 确定岗位轮换机会及对应的人选计划 ; 轮岗工作沟通计划 ; 制定并提交工作交接清单 ( 例如, 文件清单 物品清单 工作进度清单 工作注意事项清单等 ); 岗位交接及岗前培训 ; 定期轮岗效果调查评估等 2 轮岗前的沟通 轮岗是人才识别与培养工作的一部分, 但员工个人的发展也有其个人职业生涯规划, 如果事前没有沟通只是管理者一厢情愿地为其设置未来发展路线图, 很有可能无法使双方找到最终结合点而浪费资源 ; 3 轮岗前的工作交接和业务培训 确保各项资源完全移交 确保各项进展中工作接收者清楚了解, 这些都是工作交接过程中非常关键的工作 同时因为岗位调换, 工作内容和工作方式方法都会与以前有所不同, 如果不及时对当事人进行相关的培训, 人员对岗位可能出现的问题缺乏预见性和解决措施, 会造成业绩下滑 效率降低 工作混乱 人才流失等现象 ; 4 在轮岗后要定期 ( 如每年 ) 对当事人进行追踪调查, 倾听他的个人意愿 第 15 页

20 同时也可以对其进行一个专业性的评估, 了解当事人的特点和不足, 给予其尽可能的培训和帮助 (2) 绩效考核公司制定较为合理的部门与员工考核办法, 实现激励与惩处相结合的作用, 调动员工积极性 公司应明确各部门员工考核项目及考核标准, 对员工履行职责 完成任务的情况实施全面 客观 公正 准确的考核, 并以此作为确定员工薪酬 奖惩及任用的依据 (3) 薪酬体系公司依照 劳动法, 以按劳分配 效率优先 兼顾公平的原则设置薪酬体系, 以体现公平性和竞争性, 通过行业研究 市场调研建立完善的以绩效考核为发放依据的薪酬体系 根据公司的特点, 公司建立薪酬体系, 分为岗位绩效工资制 计件工资制及协议工资制三种类型 其中, 执行岗位绩效工资制员工的薪酬结构为 : 岗位工资 + 绩效工资 + 附加工资 ; 执行计件工资制员工的薪酬结构为 : 岗位工资 + 绩效工资 + 计件工资 + 附加工资 ; 执行协议工资制员工的薪酬结构为 : 协议工资 + 附加工资 公司的薪酬体系体现了激励导向, 激发员工工作积极性, 对内产生了凝聚力 (4) 关键岗位队伍的稳定机制人力资源部着力组织制定各部门的 职位说明书, 明确各部门岗位设置及职责, 通过制定岗位职责规范将业务活动的职责和期望传达给负责关键活动的人员 4. 人员退出机制公司应当按照有关法律法规规定, 结合企业实际, 建立健全员工退出 ( 辞职 辞退 退休等 ) 机制, 明确退出的条件和程序, 确保员工退出机制得到有效实施 公司对考核不能胜任岗位要求的员工, 应当及时暂停其工作, 安排再培训, 或调整工作岗位, 安排转岗培训 ; 仍不能满足岗位职责要求的, 应当按照规定的权限和程序解除劳动合同 公司应当与退出员工约定保守关键技术 商业秘密国家机密和竞业限制的期限, 确保知识产权 商业秘密和国家机密的安全 第 16 页

21 ( 五 ) 企业文化 1. 文化建设与品牌维护公司应当加强企业文化建设, 培育积极向上的价值观和社会责任感, 倡导诚实守信 爱岗敬业 开拓创新和团队协作精神, 树立现代管理理念, 强化风险意识 董事 监事 经理及其他高级管理人员应当在企业文化建设中发挥主导作用 企业员工应当遵守员工行为守则, 认真履行岗位职责 企业文化的规划与设计可以包括精神层 制度层和物质层等方面, 其中精神层应包括愿景 使命 理念 宗旨和精神等 ; 制度层包括制度和流程体系 ; 物质层包括公司的视觉识别系统 物质环境 公司文化传播网络等 2. 对员工遵守诚信与道德价值观规范的情况进行监督和考核公司对员工违反诚信与道德价值观规范的任何行为, 除依照国家法律 外部监管规则进行处理外, 可根据公司有关制度规定对其处分直至解除劳动合同 ( 六 ) 社会责任 1. 安全生产管理公司应当根据国家有关安全生产的规定, 结合公司实际情况, 建立严格的安全生产管理体系 操作规范和应急预案, 强化安全生产责任追究制度, 切实做到安全生产 公司明确安全生产责任制, 结合安全生产的要求, 层层分解安全管理任务, 确保安全生产责任制的落实 公司在编制年度预算时, 应当将安全生产投入纳入预算范畴, 结合上年安全生产投入及公司发展战略 经营情况等, 制定合理的安全生产投入预算 在生产经营过程中, 要保证投入安全所需要的资金 人力 财务及时足额到位 分阶段落实安全生产投入, 同时对安全费用的使用情况加强监督检查 公司加强对员工的安全生产培训教育 通过教育培训, 让员工牢固树立 安全第一 预防为主 的思想, 提供员工防范灾害的技能和水平 安全生产教育一般包括思想教育 法律教育 安全技术教育等 公司应施行岗位资格认证制度 安全生产一线员工由景区运营部 人力资源部对其安全生产知识和管理能力考核合格后方可任职 ; 对于特殊作业人员和特殊资质要求的生产岗位, 因工作接触的不安全因素较多, 危险性较大, 容易发生事故, 必须依法实行资格认证制度, 持证上岗 第 17 页

22 公司应建立安全生产应急处理预案, 结合运营过程中潜在的危险和可能出现的紧急情况, 提出应急准备和应对的相关措施 实际发生安全事故时, 应立即启动相应的事故应急预案, 参照相关程序文件的要求, 迅速组织现场抢救及现场保护, 防止事故态势扩大, 减少人员伤亡和财产损失 并在规定时间范围内向安委会领导报告事故情况 报告内容应包括 : 事故发生时间 地点及事故简要经过 已造成或可能造成的伤亡情况 2. 员工权益保护公司应当依法保护员工的合法权益, 贯彻人力资源政策, 保护员工依法享有劳动权利和履行劳动义务, 保持工作岗位相对稳定, 积极促进充分就业, 切实履行社会责任 企业应当避免正常经营情况下批量辞退员工, 增加社会负担 公司按照 工会法 的要求, 建立各级工会组织 公司各级工会组织的基本职责之一, 是维护职工合法权益 公司人力资源部严格按照 劳动法 及 劳动合同法 的相关规定保护员工权益 公司工会办公室负责公司工会 共青团 妇女工作, 组织召开职工代表大会, 组织职工参与公司的民主决策 民主管理和民主监督 第 18 页

23 第五章 风险评估 一 关注重点 ( 一 ) 风险评估重点内容 1. 目标设定应关注重点内容公司应根据设定的控制目标, 全面 系统 持续地收集相关信息, 并结合实际情况进行风险评估, 以实现公司内部控制五个方面的目标, 即经营的合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 实现公司发展战略 2. 风险识别应关注重点内容在目标设定的基础上, 公司应通过日常和定期的评估程序与方法识别内部控制实施过程中的风险, 将各类风险进行分类整理, 形成公司风险清单 3. 风险分析应关注重点内容按照严格规范的程序, 在风险识别的基础上, 公司应采用定性与定量相结合的方式, 按照风险发生的可能性及其影响程度, 对风险进行分析和排序, 确定关注重点和优先控制的风险 4. 风险应对应关注重点内容根据风险分析的结果, 公司应结合风险承受度, 权衡风险与收益, 确定风险应对策略, 将风险控制在企业可承受的范围内 公司应合理分析 准确掌握董事 经理及其他高级管理人员 关键岗位员工的风险偏好, 采取适当的控制措施, 避免因个人风险偏好给公司经营带来重大损失 ( 二 ) 风险评估关注风险 1. 目标设定至少应关注的风险未全面 系统 持续地收集相关信息, 未结合实际情况进行风险评估, 可能导致设定的控制目标难以实现公司内部控制五个方面的目标, 影响公司发展战略的实现 公司未建立适当的具有胜任能力的风险管理组织架构和职能部门, 导致风险管理职责无法落实, 风险管理工作无法有效推进 第 19 页

24 2. 风险识别至少应关注的风险公司缺乏有效 系统化的风险辨识 评估流程 机制以及技术手段和工具指导企业系统化的开展风险辨识 评估工作, 可能使得风险管理无法覆盖企业经营管理的全过程 公司的风险辨识 评估工作缺乏适当的计划, 导致风险识别 评估 应对工作无法有序开展 3. 风险分析至少应关注的风险公司未能运用适当的方法和技术分析 评估风险发生的可能性和影响程度, 并作出适当的风险排序以确定高风险领域 4. 风险应对至少应关注的风险公司未根据风险分析的结果综合考虑相互关联的风险, 未结合剩余风险与风险承受度, 权衡风险与收益, 确定风险应对策略, 导致风险应对策略无法有效防范和降低风险, 使之低于风险承受度 二 控制措施 ( 一 ) 风险评估原则 1. 体现从实际出发, 坚持与理论相结合的原则结合外部环境 行业特征 业务模式和业务发展的具体阶段等因素, 从实际出发识别公司层面及业务层面风险, 借助先进的评估方法及模型对风险进行评定等级, 建立公司风险数据库 2. 满足提高管理水平与监管要求相结合的原则既要结合价值观 发展战略和管理理念, 又要满足相关监管方的要求 3. 考虑实效性 渐进性原则从战略 环境 组织 流程 资源等层面系统 客观地进行风险识别和风险评估, 并随着公司业务发展 外部环境变化定期 持续进行风险识别和评估, 不断提高内部控制水平 ( 二 ) 目标设定 1. 目标设定的内容 第 20 页

25 目标设定是开展风险识别 风险评价 风险应对等风险与内部控制管理工作的基础 公司目标分为战略 经营 报告 合规和资产安全五个方面 : (1) 战略目标 : 是公司战略经营活动取得主要成果的期望值 战略目标统领经营目标 报告目标 合规目标及资产安全目标 (2) 经营目标 : 在一定时期内, 公司经营活动预期要达到的成果, 可以用营业收入 利润等目标来描述 (3) 报告目标 : 向报告使用者提供与公司财务状况 经营成果 现金流量及发展前景等有关的决策信息 报告分为内部报告和外部报告, 既有财务信息, 又有非财务信息 (4) 合规目标 : 指主动遵守公司经营活动相关法律 监管规定 自律性组织的有关准则以及公司行为准则, 避免法律制裁 监管处罚 行业处置等重大财务损失 声誉损失, 保证战略目标的实现 (5) 资产安全目标 : 预防和控制资产管理环节中的风险和损失 资产安全目标包括防止无效率经营 防止损失资产及防止员工舞弊等 2. 目标分解公司根据确定的战略目标, 制订公司的经营目标 报告目标 合规目标和资产安全目标等相关目标, 相关目标要支持战略目标并与其一致 根据经营目标 报告目标 合规性目标和资产安全目标等相关目标, 公司各职能部门和各分子公司制定相关的子目标 子目标要与上级目标保持一致, 支撑公司战略目标的实现 目标制定要易于理解和操作 本着从实际出发 务求实效的原则确定战略目标 战略目标要与公司的使命相一致, 同时要考虑公司的风险容量和风险承受度 ( 三 ) 风险识别风险识别是指根据公司设定的目标, 对公司各业务单元 各项重要经营活动及其重要业务流程中的风险事项进行辨识 判别 1. 风险识别方法公司应动态识别影响公司战略目标及相关目标实现的各种内 外部不确定性因素 其中, 有负面影响的因素代表风险, 需要对其进行分析和应对 ; 有积极影 第 21 页

26 响的因素代表机遇, 在制定目标和政策过程中应对其加以考虑并把握 风险识别是以广泛的内 外部信息收集为基础, 通过与公司领导及各职能部门负责人访谈, 了解公司基本运营情况, 了解公司业务流程的相关信息, 经过业务流程梳理, 绘制流程图, 确定流程控制目标, 最终识别风险 2. 风险识别程序 (1) 通过公司层面战略目标 经营目标 报告目标 合规目标 资产安全目标的设置与层层分解, 确立关键业务或事项 (2) 通过问卷 访谈 第三方研究成果等途径收集相关内外部信息和资料 (3) 从内外部环境两个角度, 考虑和寻找实现目标的内外部风险 (4) 对各业务流程进行流程梳理, 绘制流程图, 并进行流程描述 (5) 确定流程控制目标 (6) 基于流程控制目标识别风险 ( 四 ) 风险分析与评价风险分析与评价是指在风险识别的基础上, 对收集的详细资料加以分析, 从风险发生的可能性及影响程度两个维度进行评价, 对评价结果进行统计分析并测算离散度, 将统计结果按照从高到低的方式排序, 最终确定公司重大风险 ( 五 ) 风险应对风险应对是指公司根据自身条件和外部环境, 围绕公司发展战略, 确定风险偏好 风险承受度 风险管理有效性标准, 选择风险规避 风险降低 风险分担 风险承受等风险应对策略, 制定符合公司实际情况的风险应对措施 风险应对基于对公司各模块各业务流程的梳理及流程控制点的识别 在此基础上, 将流程控制点与业务流程层面风险相匹配, 即形成风险控制矩阵对业务流程层面风险的有效控制和应对 风险控制矩阵模板如表示例 表 : 风险控制矩阵 第 22 页

27 第六章 控制活动 一 关注重点 ( 一 ) 控制活动重点内容 1. 不相容职务分离控制应关注重点内容公司应全面系统地分析 梳理业务流程中所涉及的不相容职务, 实施相应的分离措施, 形成各司其职 各负其责 相互制约的工作机制 2. 授权审批控制应关注重点内容公司应根据常规授权和特别授权的规定, 明确各岗位办理业务和事项的权限范围 审批程序和相应责任 公司应编制常规授权的权限指引, 规范特别授权的范围 权限 程序和责任, 严格控制特别授权 对于重大业务和事项应当实行集体决策审批或者联签制度, 任何个人不得单独进行决策或者擅自改变集体决策 3. 会计系统控制应关注重点内容公司应严格执行国家统一的会计准则制度, 加强会计基础工作, 明确会计凭证 会计账簿和财务会计报告的处理程序, 保证会计资料真实完整 公司依法设置会计机构, 配备会计从业人员 会计机构负责人应当具备会计师以上专业技术职务资格 4. 财产保护控制应关注重点内容公司应建立财产日常管理制度和定期清查制度, 采取财产记录 实物保管 定期盘点 账实核对等措施, 限制未经授权的人员接触和处置财产 5. 预算控制应关注重点内容公司应实施全面预算管理, 明确各责任单位在预算管理中的职责权限, 规范预算的编制 审定 下达和执行程序, 强化预算约束 6. 运营分析控制应关注重点内容公司应建立运营情况分析制度, 运用综合信息和多种合理有效的分析方法, 定期开展运营情况分析, 对分析中发现的问题及时查明原因并加以改进 第 23 页

28 7. 绩效考评控制应关注重点内容公司应建立和实施绩效考评制度, 科学设置考核指标体系, 对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价, 将考评结果作为确定员工薪酬以及职务晋升 评优 降级 调岗 辞退等的依据 8. 重大风险预警和突发事件应急处理应关注重点内容公司应建立重大风险预警机制和突发事件应急处理机制, 对可能发生的重大风险或突发事件, 制定应急预案 明确责任人员, 规范处置程序, 确保突发事件得到及时妥善处理 ( 二 ) 控制活动关注风险 1. 不相容职务分离控制至少应关注的风险未明确岗位职责, 未严格执行业务经办与授权审批 会计记录与授权审批 业务经办与内部监督 财产保护与内部监督的有效分离, 可能导致舞弊风险 2. 授权审批控制至少应关注的风险审批权限设置不当, 存在缺失或冗余, 可能导致控制不力或效率受影响 未通过章程 制度 流程等文件规定审批权限, 可能导致授权审批缺乏依据 执行混乱 重大事项未实行集体决策, 可能导致决策不充分 3. 会计系统控制至少应关注的风险未严格遵守会计准则制度, 可能导致会计资料不真实 不完整 未设置相应的财务部门及具备一定专业能力的会计人员, 可能导致不能有效实现会计记账 结账等工作 未设立专门的总会计师或多重设置会计分管领导, 不利于财务工作的管理 4. 财产保护控制至少应关注的风险存货采购计划性较低, 库存管理不完善, 可能导致难以及时满足生产运营需求 固定资产使用效能低下 维护不当 管理不善, 可能导致资源浪费 无形资产权属不清 技术落后 存在重大技术安全隐患, 可能导致企业法律纠纷 第 24 页

29 资金活动管控不严, 可能导致资金被挪用 侵占 抽逃或遭受欺诈 5. 预算控制至少应关注的风险编制预算或预算不健全, 可能导致企业经营缺乏约束或盲目经营 预算目标不合理, 编制不科学, 可能导致企业资源浪费或发展战略难以实现 预算缺乏刚性 执行不力 考核不严, 可能导致预算管理流于形式 6. 运营分析控制至少应关注的风险未建立运营分析机制, 不利于及时发现企业运营中的问题并加以改进 未对发现的问题及时采取措施, 可能导致问题持续存在并扩大, 甚至影响企业的正常运转 7. 绩效考评控制至少应关注的风险考核对象不完整 考核指标设置不当, 可能导致考核不公平 不合理 考核结果未及时兑现, 未与薪酬 晋升 评优 降级 调岗 辞退等挂钩, 可能导致绩效考核激励效果受到削弱 8. 重大风险预警和突发事件应急处理至少应关注的风险重大风险预警和突发事件应急方案或机制制定不完整 不合理, 不利于指导重大风险与突发事件的处置 重大风险预警和突发事件应急方案未得到有效实施 未进行责任追究, 可能给公司带来重大损失, 可能导致消极行为的蔓延 二 控制措施 ( 一 ) 控制活动的建立 1. 公司层面公司层面的控制活动主要包括 : 内部环境 组织机构 发展战略 内部审计 人力资源政策 企业文化 社会责任, 其中内部环境详见第四章 2. 业务流程层面 (1) 建立流程体系框架公司通过建立内部控制流程体系文件进行风险和控制的配比分析, 发现现有控制措施可以进一步完善和提升的环节, 补充和完善现有控制措施, 以达到防范 第 25 页

30 风险的目的 (2) 编制流程控制文件公司通过编制内部控制流程体系文件描述业务流程控制现状, 并分析流程控制目标以及风险, 通过与业务流程的控制措施进行匹配, 判断控制措施的合理性 完整性 有效性, 寻找控制缺陷并提出改进建议 流程控制文件主要包括业务流程图 业务流程风险控制矩阵 内部控制缺陷跟踪等内容 公司针对三级流程编制 公司内部控制流程体系文件汇编, 用于确认 记录每个流程及活动中存在的风险和已建立的控制措施, 并与相应的制度和控制实施证据相对应 流程控制标准文件重点强调目标 风险 控制措施的一致性以及针对重大风险制定的关键控制措施的有效性 (3) 识别关键控制和一般控制关键控制, 是在相关流程中影响力和控制力相对较强的一项或多项控制, 其控制作用是必不可少和不可替代的 如果缺少该项控制, 将在很大程度上直接导致相关风险的产生, 其它控制为一般控制 公司以编制风险控制矩阵为基础, 通过对风险类别的识别以及对风险发生可能性和影响程度进行评级, 确定风险等级, 寻找影响公司目标实现的重大风险, 并针对这些重大风险, 识别其所对应的关键控制 同时, 通过确认流程活动中的一般控制和关键控制, 明确各项控制活动的控制类型 控制方式 控制频率, 并对应到活动实施证据和责任部门 责任岗位, 为内部控制评价提供合理依据 ( 二 ) 控制活动的实施公司依据 企业内部控制基本规范 以及 企业内部控制应用指引 中的十八项应用指引对公司现有的流程和内部控制体系文件进行对标检查工作, 以期达到内部控制合规要求 其中对内部控制关注重点采取以下控制措施 : 1. 不相容职务分离控制公司贯彻 责任分离 相互制约 不相容岗位分离 的原则, 通过岗位职责分工 流程控制等必要程序, 对投资业务管理 景区运营管理 资产管理 人力资源 资金管理 财务管理 采购管理 工程管理等各环节产生的凭证和记录进行有效控制 (1) 会计岗位设置 第 26 页

31 1 出纳职务与收入 支出 费用的核算职务, 与稽核职务, 与会计档案的保管职务不由同一人兼任 2 会计核算职务与相应的稽核检查职务不由同一人兼任 3 财务软件维护职务 系统中记账职务 证账审查职务 电算化档案保管职务等不由同一人兼任 (2) 货币资金业务岗位设置 1 钱账分管, 即出纳专职负责货币资金的收支业务, 除现金和银行存款日记账外, 不兼记总账和债权债务等明细账, 不负责汇总记账凭证, 不抄寄各种往来结算账户对账单, 除出纳外, 其他任何人, 包括会计人员 公司领导 各种业务人员等, 均不得办理货币资金收支业务, 包括收付现金和接收 开出银行支票 2 出纳与核对职务分离, 即库存现金由专人定期或不定期进行盘点 ; 银行存款指定专人及时对账, 每月根据银行对账单编制银行存款余额调节表, 由出纳 管理现金账和银行存款账以外的人员负责 3 支票的签发除财务专用章外, 还要财务部负责人或公司领导人名章同时盖印才有效 财务专用章由专人保管, 个人名章由本人或授权人员保管, 支票印签章不由同一人保管 4 付款经办人与审批人不为同一人 5 票务销售与票务印制不为同一人 6 票务销售与票务稽核不为同一人 (3) 采购与付款业务岗位设置请购与审批 询价与确定供应商 采购合同的订立与审批 采购与验收 采购和验收与相关会计记录 付款审批与付款执行分别由不同人员负责 (4) 工资业务部门分工起薪止薪决定 考勤记录 工薪计算由人力资源部负责, 工资发放 工资记账由财务部负责 (5) 筹资与投资业务岗位设置筹资计划编制与审批 经办与会计记录 会计记录与收付款分别由不同人员负责 对外投资预算的编制与审批 对外投资项目的分析论证与评估 对外投资的决策与执行 对外投资处置的审批与执行 对外投资业务的执行与相关会计记录 第 27 页

32 分别由不同人员负责 2. 授权审批控制公司应建立科学 适用的权限体系, 规范公司业务事项 资金使用等审批权限范围 对于 三重一大事项, 按照公司制度实行集体决策 3. 会计系统控制公司应按照 会计法 企业会计准则 等有关规定, 制定了涵盖固定资产 会计账套 会计核算 财务报告的处理程序等统一的会计政策 财务部各岗位职责清晰, 在会计记账 结账 财务报表的编制与审批 财务报表分析等流程设置合理的分工和控制, 有效发挥会计的监督职能 4. 财产保护控制公司应对财产安全设置相关政策 流程和控制措施, 实施台账登记 定期盘点 对账等方式确保财产安全和记录的完整与真实 公司办理资金支付业务, 应当明确支出款项的用途 金额 预算 限额 支付方式等内容, 并附原始单据或相关证明, 履行严格的授权审批程序后, 方可安排资金支出 公司办理资金收付业务, 应当遵守现金和银行存款管理的有关规定, 不得由一人办理货币资金全过程业务, 严禁将办理资金支付业务的相关印章和票据集中一人保管 公司应针对低值易耗品 固定资产 车辆等有形资产的管理制定明确的标准, 尤其对于车辆的管理, 包括购入 投保 维护与检修 安全运行等具体内容进行规范约束, 降低车辆的安全管理风险 5. 预算控制公司应当建立和完善预算编制工作制度, 明确编制依据 编制程序 编制方法等内容, 确保预算编制依据合理 程序适当 方法科学, 避免预算指标过高或过低 (1) 预算编制公司应当在预算年度开始前完成全面预算草案的编制工作 公司应明确各部门 分子公司的预算编制责任, 使公司各个部门的业务活动 第 28 页

33 全部纳入预算管理 将公司经营 投资 财务等各项经济活动的各方面 各环节都纳入预算编制范围, 形成由经营预算 投资预算 筹资预算 财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系 公司制定明确的战略规划 年度经营目标和计划是作为预算目标的首要依据 ; 深入开展公司外部环境的调研和预测, 包括预算期内客户需求 市场环境 行业趋势 宏观经济政策等调研 ; 分析上期预算执行情况, 充分预计预算期内公司资源状况 运营能力等自身环境的变化 ; 历史资料 定额制定与管理 标准化工作及会计核算等基础工作作为预算编制依据 公司批准下达的预算应当保持稳定, 不得随意调整 由于市场环境 国家政策或不可抗力等客观因素, 导致预算执行发生重大差异确需调整预算的, 应当履行严格的审批程序 (2) 预算分解与下达公司全面预算一经批准下达, 各预算执行单位应当认真组织实施, 将预算指标层层分解, 从横向和纵向落实到内部各部门 各环节和各岗位, 形成全方位的预算执行责任体系 公司应当以年度预算作为组织 协调各项生产经营活动的基本依据, 将年度预算细分为季度 月度预算, 通过实施分期预算控制, 实现年度预算目标 (3) 预算执行分析公司应当根据全面预算管理要求, 组织各项生产经营活动和投融资活动, 严格预算执行和控制 公司加强资金收付业务的预算控制, 及时组织预算资金收入, 严格控制预算资金支付, 调节资金收付平衡, 防范支付风险 公司办理采购与付款 销售与收款 成本费用 工程项目 对外投融资 信息系统 人力资源 安全环保 资产购置与维护等全部业务和事项, 均应符合预算要求 公司对于工程项目 对外投融资等重大预算项目, 应当密切跟踪和严格监控其实施进度和完成情况, 实行严格监控 6. 运营分析控制公司召开经济运行分析会 总经理办公会等会议形式听取公司运营情况及研究存在的问题, 同时要求各分子公司积极开展经营活动分析, 对经营活动情况实 第 29 页

34 施监督 改进和提升 7. 绩效考评控制公司应针对中层管理人员及普通员工分别建立绩效考核机制, 形成较为系统 规范的绩效考核评价体系, 对员工履行职责 完成任务的情况实施全面 客观 公正 准确的考核, 并以此作为确定员工薪酬 奖惩及任用的依据 8. 重大风险预警和突发事件应急处理机制公司通过危险源辨识 评价和控制 安全生产检查等措施, 有效规范安全生产秩序, 为及时有效地应对重大风险和突发事件奠定基础 ( 三 ) 控制活动有效性评价公司根据内部监督的政策和程序, 对控制活动的有效性进行评价, 查找控制缺陷, 并进行改进和完善, 确保控制活动的持续有效性 控制活动有效性评价详细内容请参见第八章内部监督部分 第 30 页

35 第七章 信息与沟通 一 关注重点 ( 一 ) 信息与沟通重点内容 1. 信息收集与沟通应关注重点内容公司应建立信息与沟通制度, 明确内部控制相关信息收集 处理和传递程序 ; 对收集的各种内外部信息进行合理筛选 核对 整合, 提高信息的有用性 公司内部各管理层级 责任单位 业务环节人员, 以及外部投资者 券商 供应商 中介机构和监管部门等沟通和反馈内部控制相关信息, 并就信息沟通中发现的问题及时报告并加以解决 公司应建立内部报告机制, 重要信息应当及时传递给总经理办公会 监事会 董事会 2. 信息系统应关注重点内容公司应利用信息技术促进信息的集成与共享, 充分发挥信息技术在信息与沟通中的作用 公司建立规范的信息系统管理程序, 加强对信息系统的开发 维护 访问及变更, 增强信息系统的安全性 可靠性和合理性 3. 反舞弊工作应关注重点内容公司应当建立反舞弊机制, 明确反舞弊工作的重要领域 关键环节和有关机构在反舞弊工作中的职责权限, 规范舞弊案件的举报 调查 处理 报告和补救程序 公司应当建立举报投诉制度和举报人保护制度, 设置举报专线, 明确举报投诉处理程序 办理时限和办结要求 ( 二 ) 信息与沟通关注风险 1. 信息传递至少应关注的风险内部报告系统缺失 功能不健全 内容不完整, 可能影响生产经营有序运行 内部信息传递不通畅, 不及时, 可能导致决策失误 相关政策措施难以落实 内部信息传递中泄露商业秘密, 可能削弱企业核心竞争力 2. 信息系统控制至少应关注的风险 第 31 页

36 信息系统缺乏或规划不合理, 可能造成信息孤岛或重复建设, 导致企业经营管理效率低下 系统开发不符合内部控制要求, 授权管理不当, 可能导致无法利用信息技术实施有效控制 系统运行维护和安全措施不到位, 可能导致信息泄漏或毁损, 系统无法正常运行 二 控制措施 ( 一 ) 信息收集与沟通 1. 内外部信息收集与传递公司应持续不断地识别 收集 整理与归纳内外部信息, 针对不同的信息来源和信息类型, 明确各种信息的收集人员 收集方式 传递程序 报告途径和加工与处理要求, 确保经营管理各种信息资源得到及时 准确 完整收集 2. 内外部信息沟通公司建立横向和纵向相互通畅 贯穿整个公司的信息沟通渠道, 确保公司目标 风险策略 风险现状 控制措施 员工职责 经营状况 市场变化等各种信息在公司内部得到有效传递 并建立适当的渠道, 与公司相关方如投资合作方 供应商 客户 律师 股东 监管机构 外部审计师等进行相关信息的外部沟通 3. 重大事项的报告公司建立安全生产事故应急预案, 当出现上述突发事件时事发单位将启动应急预案, 相关信息将快速传递至公司安委会, 及时决策和应对突发事件 4. 对外信息报送董事会办公室督促信息披露及时性, 在规定时间期限内跟踪信息披露 董事会办公室按照监管部门要求将定期报告信息或者临时重大信息公告刊登于指定的媒体或机构官网, 按规定披露的信息 ( 如年度或者临时公告等 ) 应依规提请董事会审议 5. 信息报告 (1) 例行报告公司各级管理 业务人员按照分级管理的组织结构和岗位职责, 定期向上级 第 32 页

37 反映其管辖部门或所在岗位的工作情况 (2) 实时报告公司应建立完备的信息沟通渠道, 针对发现问题或重要信息及时报告部门负责人及分管领导, 分管领导根据信息重要程度及时告知公司相关管理层进行处理 可通过邮件 电话等方式实现 (3) 专题报告公司根据需要成立专项工作领导小组或工作组, 及时向上级领导汇报专项工作情况 (4) 综合报告公司各部门定期向上级领导汇报本部门的工作情况, 主要包括工作总结 计划安排等内容 分子公司向股份公司职能部门定期报送各类管理报表 汇报工作总结及工作计划 6. 信息保密公司应当制定严格的内部报告保密制度, 明确保密内容 保密措施 密级程度和传递范围, 防止泄露商业秘密 针对泄密事件, 建立调查机制, 落实责任及惩处措施 ( 二 ) 信息系统管理 1. 信息系统归口管理公司应当指定专门机构对信息系统建设实施归口管理, 明确相关部门的职责权限, 建立有效工作机制 公司可委托专业机构从事信息系统的开发 运行和维护工作 企业负责人对信息系统建设工作负责 2. 信息系统总体控制 (1) 建立信息技术总体规划公司应当重视信息系统在内部控制中的作用, 根据内部控制要求, 结合组织架构 业务范围 地域分布 技术能力等因素, 制定信息系统建设整体规划, 加大投入力度, 有序组织信息系统开发 运行与维护, 优化管理流程, 防范经营风险, 全面提升企业现代化管理水平 (2) 信息系统开发管理公司开发信息系统, 应当将经营管理业务流程 关键控制点和处理规则嵌入 第 33 页

38 系统程序, 实现手工环境下难以实现的控制功能 (3) 信息系统运行维护管理公司应当加强信息系统运行与维护的管理, 制定信息系统工作程序 信息管理制度以及各模块子系统的具体操作规范, 及时跟踪 发现和解决系统运行中存在的问题, 确保信息系统按照规定的程序 制度和操作规范持续稳定运行 ( 三 ) 反舞弊 1. 反舞弊工作的归口管理违法违纪举报由纪检监察室归口管理, 主要负责违法违纪监督与核实 2. 反舞弊举报工作的受理程序公司通过受理来信 来访 来电举报等方式监督舞弊行为 纪检监察室对信访举报件进行登记, 向纪委领导报告 纪检监察室根据信访举报反映的具体问题, 按照规定进行办理 : 对属于本级管辖范围的信访举报开展调查 核实工作, 对查证属实的, 视情节轻重, 经公司纪委研究 党委同意, 按权限给予涉事人员诫勉谈话 党纪处分 政纪处分 ; 对涉嫌违法的移送司法机关处理 信访举报办理终结后, 纪检监察室按照有关规定向实名举报人反馈处理结果 对属于下级纪检监察部门管辖的信访举报, 转交下级纪检监察部门办理, 并责成其报告调查处理结果 对上级组织交办的举报件进行调查核实, 并将调查结果反馈至上级组织 3. 对最高管理层的监督按照 公司法 及 公司章程, 监事会有权监督公司高级管理人员执行公司职务的廉洁自律行为 4. 举报人保护对于实名举报, 纪检监察室在核实调查过程中, 对举报人信息进行严格保密, 核实调查信息实行单线汇报 第 34 页

39 第八章 内部监督 一 关注重点 ( 一 ) 内部监督重点内容 1. 监督机构设置应关注重点内容公司应设置独立于控制执行机构的内部审计机构 ( 或经授权的其他监督机构 ), 授权此类机构具体承担内部控制监督检查的职能, 并配备充分和胜任的人员 组织架构设计与运行环节应明确内部各机构 各岗位的内部监督关系, 进行定期的测试 监督活动, 及时发现环境变化 执行中出现的偏差 2. 监督程序应关注重点内容公司应建立健全内部监督制度, 明确监督的组织架构 岗位设置 岗位职责 相关权限 工作方法 信息沟通的方式 公司在工作中预防和发现内部控制缺陷, 设置分析和报告内部控制缺陷的程序和渠道, 对存在的内部控制缺陷及时采取应对措施 公司负责监督的人员应具备胜任能力, 采取有效措施把握和控制信息的适当性 可靠性 相关性和充足程度 3. 监督方法应关注重点内容公司综合运用日常监督和专项监督方式, 针对不同的监督方式明确监督机制 监督责任与监督方法 专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定 监督检查的方式主要包括持续性监督检查和专项监督检查 持续性监督检查是公司对建立和实施内部控制的整体情况所进行的连续的 全面的 系统的 动态的监督检查 ; 专项监督检查是企业对内部控制建立与实施的某一方面或者某些方面的情况进行的不定期 有针对性的监督检查 在具体操作中, 持续性监督检查和专项监督检查应当有机结合 4. 内部控制评价应关注重点内容公司从定性和定量的角度制定内部控制缺陷认定标准, 内审部对发现的内部 第 35 页

40 控制缺陷进行整理汇总 分析缺陷的性质和产生原因并提出整改建议, 采取适当的形式和程序及时向董事会 监事会或者经理层报告 公司建立内部控制评价机制, 设定内部控制评价的目标 原则 频率和范围, 结合内部监督情况对内部控制有效性进行评价, 披露年度内控评价报告 公司应建立内部控制文档的记录与保管机制, 采取书面或其他方式妥善保存内部控制建立与实施过程中的相关记录和资料, 确保内部控制建立与实施过程中的可验证性 ( 二 ) 内部监督关注风险 1. 监督机构设置至少应关注的风险未设立内部监督机构, 或职责分工不明确, 存在交叉 重叠等问题, 导致内部监督职能无法有效落实 监督机构的部门设置和人员配备无法满足监督工作需要 2. 监督程序至少应关注的风险内部审计 / 其它监督工作未能以风险为导向, 使工作范围不完整, 导致内部审计 / 其它监督工作无法适应公司本身业务性质 规模和结构的要求 内部审计 / 其它监督工作计划的范围未经管理层 董事会 审计委员会或独立审计师审阅, 无法确保其内容的适当性 3. 监督方法至少应关注的风险内部监督缺乏监督方法或手段, 导致公司无法对经营活动进行有效监督, 监督结果可能影响管理层决策 4. 内部控制评价至少应关注的风险公司未开展内部控制评价, 评价的方式 范围等未根据业务调整 环境变化等做出相应改变 ; 内部控制评价结果未以恰当的方式传达给董事会或其他相关人员, 导致重大风险未进行有效控制 ; 未完整保存内部控制评价的相关记录和资料, 难以对所实施的评价进行趋势研究 管理层未及时对内部审计或监督检查过程中发现的内部控制缺陷做出回应及纠正, 导致内部控制流程上的问题未得到及时解决, 不利于公司经营发展 第 36 页

41 二 控制措施 ( 一 ) 监督机构及职责公司设立内审部作为内部审计机构, 负责公司内部监督工作 ( 二 ) 监督方法 1. 日常监督日常监督是指公司监督组对建立与实施内部控制的情况进行常规 持续的监督检查 日常监督可采用如下方法进行 : 内部控制管理体系运行与维护管理 ; 获得内部控制执行的证据 ; 外部反映对内部信息的印证 ; 会计记录和实物资产的定期核对 ; 内外部审计建议的响应 ; 管理层及有关部门获知内部控制的程度 ; 询问员工 ; 内部审计的有效性等 2. 专项监督内部控制专项监督是指在公司发展战略 组织结构 经营活动 业务流程 关键岗位员工等发生较大调整或变化的情况下, 对内部控制的某一或某些方面进行有针对性的监督检查 内部控制专项监督的范围和频率主要根据内部控制日常监督的有效性予以确定 尽管日常监督程序可以提供内部控制是否有效的重要信息, 但公司有必要组织专项监督以直接检查内部控制体系的有效性, 这种做法可评估日常监督程序是否有效, 例如公司对所属企业开展内控评价 3. 监督要求公司组建内部控制评价工作组开展专项监督工作, 也可以引入中介机构 ( 专业内部控制和企业风险管理咨询机构 ) 的专业人员协助进行专项监督工作, 但必须注意以下几点 : (1) 专项监督人员不能参加自身负责的业务活动的评价 (2) 专项监督人员必须具备相关专业知识和一定的经验, 例如专项监督人员应充分了解公司的经营活动及内部控制体系的运行情况 ( 三 ) 内部控制评价公司为保证内部控制体系持续有效运行, 每年组织开展内部控制评价工作 内部控制评价遵循全面性原则 重要性原则 客观性原则 根据 企业内部控制基本规范 及其配套指引 公司内部控制制度, 围绕内第 37 页

42 部环境 风险评估 控制活动 信息与沟通 内部监督等要素, 确定内部控制评价的具体内容, 对内部控制设计与运行情况进行全面评价 内部控制评价主要包括以下三部分内容, 完成以下内容评价后, 编制年度 内部控制评价报告, 报公司审批 1. 设计健全性评价按照相关法律法规和内部控制制度规范, 评价公司内部控制体系的设计是否合法合规, 是否符合企业管理实际 2. 执行符合性评价按照内部控制基本工作要求, 通过符合性测试检查现有内部控制制度 流程及相关规定是否得到了正确执行 其中主要包括个别访谈 调查问卷 穿行测试 抽样 实地查验 比较分析等方法 3. 管理有效性评价按照公司内部控制缺陷认定标准, 内审部组织评价公司内部控制措施执行的有效性, 同时检查各部门对评价发现的问题是否及时进行了有效整改 ( 四 ) 缺陷跟踪管理公司采取定性和定量方式, 制定缺陷认定标准 公司明确缺陷报告职责和内容, 对缺陷报告程序及跟进措施等方面进行规范 ; 明确缺陷定义 分类, 缺陷评估内容 方法和标准等 缺陷整改方案应符合针对性 可衡量 可完成 符合现实情况 及时性等五项原则 整改方案的目标是针对缺陷产生的原因, 而不是针对缺陷的表象, 因此在制定整改方案时, 公司应具体分析缺陷产生的根本原因, 使缺陷整改措施有效发挥效用 若缺陷认定为设计缺陷, 则评价人员可结合实际情况和控制目标, 参考最佳实务制定相应整改方案 ; 若缺陷认定为执行缺陷, 则评价人员可分析产生执行缺陷的具体原因 内审部负责跟踪检查评价中发现缺陷的整改落实情况, 以及外部审计师提出的内部控制检查整改建议的落实情况 ; 监督 指导整改方案的实施 ; 对控制措施的有效性 适宜性进行验证, 提出改进建议 ; 组织相关部门对整改方案进行必要的调整, 以确保实现风险控制目标 公司经营层在内外部监管中发现的内部控制缺陷授权相关部门进行调查 分第 38 页

43 析, 采取相应的纠正措施, 并检查各项措施的执行情况 ( 五 ) 内部控制文档记录与保管公司明确内部控制过程文档的管理规定, 规范文档记录和保管的类别 时间 责任与方式, 确保实施证据保存完整, 真实可查 第 39 页